[发明专利]物联网终端设备的密钥生成方法、系统及电子设备

说明书

本申请提供了一种物联网终端设备的密钥生成方法、系统及电子设备。本申请中，私钥并非由一个设备比如物联网终端设备自主生成，而是由终端和服务端双端协同并各自生成私钥分量，任何一端无法单独恢复完整私钥，保护私钥安全不被非法窃取。

技术领域

本申请涉及数据安全技术，特别涉及物联网终端设备的密钥生成方法、系统及电子设备。

背景技术

在物联网应用中，物联网终端设备（也可简称终端设备）执行的身份认证、数据加密等操作需要运用大量的密码运算。但是，密码运算并不能对其根基---密钥比如私钥等进行安全保护，这很容易导致密钥泄露。而密钥泄露则会导致重要数据被窃取，带来很多安全问题。

发明内容

本申请提供了物联网终端设备的密钥生成方法、系统及电子设备，以实现私钥的保护。

本申请实施例提供一种密钥生成方法，该方法应用于物联网终端设备，所述物联网终端设备上部署终端密码模块，该方法包括：

通过终端密码模块检测到密钥生成事件时，若发现所述终端密码模块已通过第一自检和第二自检，则通过终端密码模块发送所述物联网终端设备的当前校验参数至服务端上已部署的服务端密码模块进行校验，以使所述服务端密码模块在所述当前校验参数通过校验时进行第一密钥运算生成第一私钥分量并依据所述第一私钥分量生成公钥分量；所述第一自检用于检查所述终端密码模块被设置的数字签名是否合法，所述第二自检用于检查所述终端密码模块的运行环境是否正常；

获得所述服务端密码模块生成的所述公钥分量，并通过终端密码模块进行第二密钥运算生成第二私钥分量，依据所述第二私钥分量和所述公钥分量生成目标公钥；所述第一私钥分量和所述第二私钥分量协同解密经由所述目标公钥加密的密文和/或生成数字签名；所述目标公钥用于加密数据和/或验证所述数字签名。

本申请实施例提供了一种密钥保护方法，该方法应用于服务端，所述服务端上部署服务端密码模块，所述服务端密码模块与物联网终端设备上部署的终端密码模块协同生成密钥；该方法包括：

通过所述服务端密码模块接收所述终端密码模块发送的当前校验参数；

对所述当前校验参数进行校验，在所述当前校验参数通过校验时进行第一密钥运算生成第一私钥分量，依据所述第一私钥分量生成对应的公钥分量，并发送给所述终端密码模块，以使所述终端密码模块依据所述公钥分量和第二私钥分量生成目标公钥，所述第二私钥分量为所述终端密码模块在所述当前校验参数通过所述服务端密码模块的校验时进行第二密钥运算生成的；所述第一私钥分量和所述第二私钥分量协同生成数字签名和/或解密经由所述目标公钥加密的密文；所述目标公钥用于加密数据，和/或，用于验证所述数字签名。

本申请实施例提供一种密钥生成系统，该系统包括物联网终端设备和服务端，所述物联网终端设备上部署终端密码模块，所述服务端上部署服务端密码模块；

所述终端密码模块检测到密钥生成事件时，若发现所述终端密码模块已通过第一自检和第二自检，则通过终端密码模块发送当前校验参数至所述服务端密码模块进行校验；

所述服务端密码模块对接收的所述当前校验参数进行校验，在所述当前校验参数通过校验时进行第一密钥运算生成第一私钥分量，依据所述第一私钥分量生成对应的公钥分量，并发送给所述终端密码模块；

所述终端密码模块获得所述公钥分量，并进行第二密钥运算生成第二私钥分量，依据所述第二私钥分量和所述公钥分量生成目标公钥；所述第一私钥分量和所述第二私钥分量协同生成数字签名和/或解密经由所述目标公钥加密的密文；所述目标公钥用于加密数据，和/或，用于验证所述数字签名。

本申请实施例还提供了一种电子设备。该电子设备包括：处理器和机器可读存储介质；

所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令；