[发明专利]智能电视终端的信任链建立方法和智能电视终端

说明书

本发明涉及智能电视终端的信任链建立方法和智能电视终端。该方法包括：向第三CA申请第三密钥对以及第三证书，将第三密钥对私钥和第三证书写入智能电视终端的安全存储区，第三证书包含智能电视终端型号信息和第三密钥对公钥信息；将智能电视终端设置为：每次启动时检测自身是否具有第四证书，如果没有则所述智能电视终端生成唯一的第四密钥对，并在线将所述第四密钥对公钥和每一台智能电视终端唯一的标识提交至第四CA以请求获取第四证书，并附带发送第三证书以及用第三密钥对私钥对上述请求的签名；以及设置为：在接收到第四证书的情况下，将第四证书写入智能电视终端安全存储区。实现第四证书的在线安全下发，提高第四密钥对私钥安全性。

技术领域

本发明涉及智能电视技术领域，更具体地，涉及一种智能电视终端的信任链建立方法和一种智能电视终端。

背景技术

智能电视终端为安装有智能电视操作系统的终端产品，例如智能机顶盒、智能电视一体机等。一般在智能电视终端中会存储有一个非对称密钥对私钥，以及某个CA为这个非对称密钥对公钥所签发的证书(一般称为设备证书，即本发明所述的第四证书)，设备证书和上述私钥具有唯一性和保密性的需求，用于实现同服务端的通信，实现基于设备证书的加解密、签名与验证等功能，是智能电视终端上层业务的信任基础。设备证书及私钥无论预置在智能电视终端或打包在线下发至智能电视终端均存在一定程度的安全风险。例如可能存在私钥从某个机构生成到最终写入到智能电视终端的过程中遭到泄露，或者未经充分的安全验证向一个非法的智能电视终端下发设备证书及私钥的可能性。

发明内容

本发明的一个目的是提供一种智能电视终端的信任链建立方法的新技术方案，解决上述至少一个技术问题。

根据本发明的第一方面，提供一种智能电视终端的信任链建立方法，所述智能电视终端具有唯一的标识，该方法包括：向第三CA申请第三密钥对以及第三证书，将第三密钥对私钥和第三证书写入智能电视终端的安全存储区，所述第三证书包含智能电视终端型号信息和第三密钥对公钥信息；将智能电视终端设置为：每次启动时检测自身是否具有第四证书，如果没有则所述智能电视终端生成唯一的第四密钥对，并在线将所述第四密钥对公钥和每一台智能电视终端唯一的标识提交至第四CA以请求获取第四证书，并附带发送第三证书以及用第三密钥对私钥对上述请求的签名；将智能电视终端设置为：在接收到所述第四证书的情况下，将第四证书写入智能电视终端的安全存储区。

可选地，所述智能电视终端型号信息包括智能电视终端型号、智能电视终端所采用芯片的芯片型号、终端商信息。

可选地，所述将第三密钥对私钥和第三证书写入智能电视终端的安全存储区包括：运行于安全操作系统中的可信程序将第三密钥对私钥和第三证书写入智能电视终端的安全存储区。

可选地，在所述向第三CA申请第三密钥对以及第三证书之前，还包括：第一密钥对生成机构为相同芯片型号的芯片生成相同的第一密钥对,所述第一密钥对公钥用于被写入芯片的一次性可编程区,所述第一密钥对生成机构为安全认证机构或由经安全认证机构授权的机构，并且所述第一密钥对生成机构将第一密钥对公钥提交至第一CA以申请获得第一证书；运营商为相同智能电视终端型号的智能电视终端生成相同的第二密钥对，并将第二密钥对公钥发送至所述第一密钥对生成机构，以使所述第一密钥对生成机构使用第一密钥对私钥对第二密钥对公钥进行签名，得到第一签名；所述运营商使用第二密钥对私钥为智能电视终端的系统镜像进行签名，得到第二签名，并且运营商将第二密钥对公钥提交至第二CA以申请获得第二证书；终端商获取所述第二签名、第二密钥对公钥、所述第一签名，并将系统镜像、所述第二签名、第二密钥对公钥、所述第一签名烧录入智能电视终端的存储区中。