密钥存储方法、密钥管理方法及装置的制造方法
【技术领域】
[0001]本发明涉及终端技术领域,特别涉及一种密钥存储方法、密钥管理方法及装置。
【背景技术】
[0002]随着终端技术的不断发展,终端系统的安全性和保密性也越来越高。为了提高数据传输的安全性,当终端与第三方应用进行数据交互时,第三方应用需要获取该终端密钥,以便能够使用该终端密钥对所传输的数据进行加密或解密。因此,如何提高密钥存储的安全性成为提高数据传输安全性的重要研究方向之一。
[0003]目前,密钥存储方法可以为:终端密钥提供商在终端出厂前,将该终端的密钥写在TA(Trusted Appl i cat 1n,可信应用)的代码中;其中,TA运行在终端的TEE (Trus tedExecut1n Environment,设备安全区域)中,TA应用的逻辑行为和存储行为均为安全行为,TEE可以认为是终端中的另一个操作系统,该操作系统的运行环境为受信环境,在TEE中处理的数据独立于该终端的可视操作系统。
[0004]在实现本发明的过程中,发明人发现现有技术至少存在以下问题:
[0005]上述方法通过将该终端密钥写在TA代码中达到对终端密钥进行存储的目的,该密钥存储方法会导致同一型号或同一批次的终端均只能共享一个密钥或一个密钥对,一旦发生密钥泄露,会造成极大的安全隐患。
【发明内容】
[0006]为了解决现有技术的问题,本发明实施例提供了一种密钥存储方法、密钥管理方法及装置。所述技术方案如下:
[0007]第一方面,提供了一种密钥存储方法,所述方法包括:
[0008]生成终端根密钥;
[0009]生成该终端根密钥的第一密钥摘要;
[0010]将该终端根密钥存储于终端的第一指定存储区域中,该第一指定存储区域为密码保护区域;
[0011 ]将该第一密钥摘要存储于该终端的第二指定存储区域中,该第二指定存储区域是指具有熔断特征的可编程硬件区域。
[0012]第二方面,提供了一种密钥管理方法,所述方法包括:
[0013]从终端的第一指定存储区域中和第二指定存储区域中分别获取终端根密钥和第一密钥摘要,所述第一密钥摘要为所述终端根密钥的密钥摘要,所述第一指定存储区域为密码保护区域,所述第二指定存储区域是指具有熔断特征的可编程硬件区域;
[0014]生成所述终端根密钥的第二密钥摘要;
[0015]将所述第一密钥摘要和所述第二密钥摘要进行比较;
[0016]如果所述第一密钥摘要与所述第二密钥摘要一致,继续使用所述终端根密钥。
[0017]第三方面,提供了一种密钥存储装置,所述装置包括:
[0018]根密钥生成模块,用于生成终端根密钥;
[0019]第一密钥摘要生成模块,用于生成该根密钥生成模块生成的该终端根密钥的第一密钥摘要;
[0020]根密钥存储模块,用于将该根密钥生成模块生成的该终端根密钥存储于终端的第一指定存储区域中,该第一指定存储区域为密码保护区域;
[0021]密钥摘要存储模块,用于将该第一密钥摘要生成模块生成的该第一密钥摘要存储于该终端的第二指定存储区域中,该第二指定存储区域是指具有熔断特征的可编程硬件区域。
[0022 ]第四方面,提高了一种密钥管理装置,所述装置包括:
[0023]获取模块,用于从终端的第一指定存储区域中和第二指定存储区域中分别获取终端根密钥和第一密钥摘要,该第一密钥摘要为该终端根密钥的密钥摘要,该第一指定存储区域为密码保护区域,该第二指定存储区域是指具有熔断特征的可编程硬件区域;
[0024]第二密钥摘要生成模块,用于生成该终端密钥的第二密钥摘要;
[0025]比较模块,用于将该第一密钥摘要和该第二密钥摘要进行比较;
[0026]处理模块,用于如果该第一密钥摘要与该第二密钥摘要一致,继续使用该终端根密钥。
[0027]本发明实施例提供的技术方案带来的有益效果是:
[0028]通过将终端根密钥存储至终端的第一指定存储区域,将该终端根密钥的第一密钥摘要存储至终端的第二指定存储区域,能够避免其他程序对该终端根密钥和密钥摘要的更改,进而能够提高密钥存储的安全性。
【附图说明】
[0029]为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0030]图1是本发明实施例提供的一种密钥存储方法流程图;
[0031 ]图2是本发明实施例提供的一种密钥管理方法流程图;
[0032]图3是本发明实施例提供的一种密钥存储方法流程图;
[0033]图4是本发明实施例提供的一种密钥管理方法流程图;
[0034]图5是本发明实施例提供的一种密钥存储装置结构示意图;
[0035]图6是本发明实施例提供的一种密钥管理装置结构示意图;
[0036]图7是本发明实施例提供的一种终端700的框图。
【具体实施方式】
[0037]为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明实施方式作进一步地详细描述。
[0038]这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本发明相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本发明的一些方面相一致的装置和方法的例子。
[0039]图1是本发明实施例提供的一种密钥存储方法流程图,如图1所示,包括以下步骤:
[0040]101、生成终端根密钥。
[0041]102、生成该终端根密钥的第一密钥摘要。
[0042]103、将该终端根密钥存储于终端的第一指定存储区域中,该第一指定存储区域为密码保护区域。
[0043]104、将该第一密钥摘要存储于该终端的第二指定存储区域中,该第二指定存储区域是指具有熔断特征的可编程硬件区域。
[0044]本发明实施例提供的方法,通过将终端根密钥存储至终端的第一指定存储区域,将该终端根密钥的第一密钥摘要存储至终端的第二指定存储区域,能够避免其他程序对该终端根密钥和密钥摘要的更改,进而能够提高密钥存储的安全性。
[0045]在本发明的第一种可能实现方式中,该第一指定存储区域和该第二指定存储区域为该终端中两个相互独立的存储区域。
[0046]在本发明的第二种可能实现方式中,该终端根密钥为根据非对称密钥算法所生成的密钥对中的私钥。
[0047]图2是本发明实施例提供的一种密钥管理方法流程图,如图2所示,包括以下步骤:
[0048]201、从终端的第一指定存储区域中和第二指定存储区域中分别获取终端根密钥和第一密钥摘要,所述第一密钥摘要为所述终端根密钥的密钥摘要,所述第一指定存储区域为密码保护区域,所述第二指定存储区域是指具有熔断特征的可编程硬件区域。
[0049]202、生成所述终端根密钥的第二密钥摘要。
[0050]203、将所述第一密钥摘要和所述第二密钥摘要进行比较。
[0051]204、如果所述第一密钥摘要与所述第二密钥摘要一致,继续使用所述终端根密钥。
[0052]在本发明的第一种可能实现方式中,将该第一密钥摘要和该第二密钥摘要进行比较之后,该方法还包括:
[0053]如果该第一密钥摘要与该第二密钥摘要不一致,报错并停止使用该终端根密钥。
[0054]在本发明的第二种可能实现方式中,生成该终端根密钥中私钥的第一密钥摘要所使用的算法与生成该终端根密钥中私钥的第二密钥摘要所使用的算法相同。
[0055]在本发明的第三种可能实现方式中,该终端根密钥为根据非对称密钥算法所生成的密钥对中的私钥。
[0056]图3是本发明实施例提供的一种密钥存储方法流程图,参见图3,该方法包括:
[0057]301、生成终端根密钥。
[0058]在