[发明专利]密钥交换方法、设备和系统

说明书

本申请提供一种密钥交换方法、设备和系统，该方法包括：终端设备通过运行在内部TEE中的程序生成设备公钥和设备私钥,采集设备信息,基于设备私钥对设备公钥和设备信息进行签名。终端设备向服务器发送包括签名结果、所述设备公钥和所述设备信息的注册信息。服务器根据设备公钥和设备信息确定签名结果通过验签，以及确定设备信息符合检验条件时生成终端设备对应的设备标识，将设备标识和服务器的公钥发送给终端设备。通过该方案，可以实现终端设备与服务器之间的安全的公钥交换。

技术领域

本发明涉及物联网技术领域，尤其涉及一种密钥交换方法、设备和系统。

背景技术

物联网(IoT)是新一代信息技术的重要组成部分，也是信息化时代的重要发展阶段。随着物联网的不断发展，安全问题越来越得到广泛的重视。

物联网的设备端和服务端建立通信连接时，需要进行双向认证，以保证双方的通信安全。一种常用的双向认证方式是采用非对称密钥体系认证，此时，需要双方预先交换彼此的公钥。但是，目前很多存量的物联网设备在出厂时设备上并未烧录该终端设备对应的唯一的公私钥对，在需要与服务端进行联网时再生成并向服务端注册自己的公钥。服务端需要对该终端设备上传的信息进行校验，以保证双方信息传输的安全性。

发明内容

本发明实施例提供一种密钥交换方法、设备和系统，用以提高终端设备与服务器的公钥交换过程的安全性。

第一方面，本发明实施例提供一种密钥交换方法，应用于目标终端设备，所述方法包括：

通过运行在内部可信环境中的程序生成设备公钥和设备私钥；

通过所述程序采集所述终端设备的设备信息；

通过所述程序，基于所述设备私钥对所述设备公钥和所述设备信息进行签名；

向服务器发送注册信息，所述注册信息中包括签名结果、所述设备公钥和所述设备信息；

接收所述服务器反馈的设备标识和所述服务器的公钥，所述设备标识是所述服务器根据所述设备公钥和所述设备信息确定所述签名结果通过验签，以及确定所述设备信息符合检验条件时生成的，所述设备标识用于唯一性标识所述目标终端设备。

第二方面，本发明实施例提供一种密钥交换装置，应用于目标终端设备，所述装置包括：

处理模块，用于通过运行在内部可信环境中的程序生成设备公钥和设备私钥，通过所述程序采集所述终端设备的设备信息，通过所述程序，基于所述设备私钥对所述设备公钥和所述设备信息进行签名；

发送模块，用于向服务器发送注册信息，所述注册信息中包括签名结果、所述设备公钥和所述设备信息；

接收模块，用于接收所述服务器反馈的设备标识和所述服务器的公钥，所述设备标识是所述服务器根据所述设备公钥和所述设备信息确定所述签名结果通过验签，以及确定所述设备信息符合检验条件时生成的，所述设备标识用于唯一性标识所述目标终端设备。

第三方面，本发明实施例提供一种终端设备，包括：存储器、处理器、通信接口；其中，所述存储器上存储有可执行代码，当所述可执行代码被所述处理器执行时，使所述处理器至少可以实现如第一方面所述的密钥交换方法。

第四方面，本发明实施例提供了一种非暂时性机器可读存储介质，所述非暂时性机器可读存储介质上存储有可执行代码，当所述可执行代码被终端设备的处理器执行时，使所述处理器至少可以实现如第一方面所述的密钥交换方法。

第五方面，本发明实施例提供一种密钥交换方法，应用于服务器，所述方法包括：