[发明专利]密钥存储方法、密钥管理方法及装置

说明书

技术领域

本发明涉及终端技术领域，特别涉及一种密钥存储方法、密钥管理方法及装置。

背景技术

随着终端技术的不断发展，终端系统的安全性和保密性也越来越高。为了提高数据传输的安全性，当终端与第三方应用进行数据交互时，第三方应用需要获取该终端密钥，以便能够使用该终端密钥对所传输的数据进行加密或解密。因此，如何提高密钥存储的安全性成为提高数据传输安全性的重要研究方向之一。

目前，密钥存储方法可以为：终端密钥提供商在终端出厂前，将该终端的密钥写在TA(Trusted Application，可信应用)的代码中；其中，TA运行在终端的TEE(Trusted Execution Environment，设备安全区域)中，TA应用的逻辑行为和存储行为均为安全行为，TEE可以认为是终端中的另一个操作系统，该操作系统的运行环境为受信环境，在TEE中处理的数据独立于该终端的可视操作系统。

在实现本发明的过程中，发明人发现现有技术至少存在以下问题：

上述方法通过将该终端密钥写在TA代码中达到对终端密钥进行存储的目的，该密钥存储方法会导致同一型号或同一批次的终端均只能共享一个密钥或一个密钥对，一旦发生密钥泄露，会造成极大的安全隐患。

发明内容

为了解决现有技术的问题，本发明实施例提供了一种密钥存储方法、密钥管理方法及装置。所述技术方案如下：

第一方面，提供了一种密钥存储方法，所述方法包括：

生成终端根密钥；

生成该终端根密钥的第一密钥摘要；

将该终端根密钥存储于终端的第一指定存储区域中，该第一指定存储区域为密码保护区域；

将该第一密钥摘要存储于该终端的第二指定存储区域中，该第二指定存储区域是指具有熔断特征的可编程硬件区域。

第二方面，提供了一种密钥管理方法，所述方法包括：

从终端的第一指定存储区域中和第二指定存储区域中分别获取终端根密钥和第一密钥摘要，所述第一密钥摘要为所述终端根密钥的密钥摘要，所述第一指定存储区域为密码保护区域，所述第二指定存储区域是指具有熔断特征的可编程硬件区域；

生成所述终端根密钥的第二密钥摘要；

将所述第一密钥摘要和所述第二密钥摘要进行比较；

如果所述第一密钥摘要与所述第二密钥摘要一致，继续使用所述终端根密钥。

第三方面，提供了一种密钥存储装置，所述装置包括：

根密钥生成模块，用于生成终端根密钥；

第一密钥摘要生成模块，用于生成该根密钥生成模块生成的该终端根密钥的第一密钥摘要；

根密钥存储模块，用于将该根密钥生成模块生成的该终端根密钥存储于终端的第一指定存储区域中，该第一指定存储区域为密码保护区域；

密钥摘要存储模块，用于将该第一密钥摘要生成模块生成的该第一密钥摘要存储于该终端的第二指定存储区域中，该第二指定存储区域是指具有熔断特征的可编程硬件区域。

第四方面，提高了一种密钥管理装置，所述装置包括：

获取模块，用于从终端的第一指定存储区域中和第二指定存储区域中分别获取终端根密钥和第一密钥摘要，该第一密钥摘要为该终端根密钥的密钥摘要，该第一指定存储区域为密码保护区域，该第二指定存储区域是指具有熔断特征的可编程硬件区域；

第二密钥摘要生成模块，用于生成该终端密钥的第二密钥摘要；

比较模块，用于将该第一密钥摘要和该第二密钥摘要进行比较；

处理模块，用于如果该第一密钥摘要与该第二密钥摘要一致，继续使用该终端根密钥。

本发明实施例提供的技术方案带来的有益效果是：

通过将终端根密钥存储至终端的第一指定存储区域，将该终端根密钥的第一密钥摘要存储至终端的第二指定存储区域，能够避免其他程序对该终端根密钥和密钥摘要的更改，进而能够提高密钥存储的安全性。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本发明实施例提供的一种密钥存储方法流程图；

图2是本发明实施例提供的一种密钥管理方法流程图；

图3是本发明实施例提供的一种密钥存储方法流程图；

图4是本发明实施例提供的一种密钥管理方法流程图；