密钥注入方法、装置、电子设备及计算机可读存储介质制造方法及图纸

本申请涉及信息安全技术领域，特别是涉及一种密钥注入方法、装置、电子设备及计算机可读存储介质。该方法包括：终端设备接收服务器发送的密钥数据包；当预存随机数与第一随机数匹配时，根据服务器公钥证书对应的公钥对服务器签名数据进行解密，得到第一摘要数据；对第一摘要数据和第二摘要数据进行比对；根据终端设备公钥证书对应的私钥对第一加密密钥块进行解密处理，得到保护密钥；根据保护密钥对第二加密密钥块进行解密，得到参数数据；提取参数数据中的交易密钥；根据密钥块头中的注入参数将交易密钥注入到对应的密钥容器中。本申请中，实现了对密钥的远程便捷注入，且通过与服务器的配合，保证了密钥注入的安全性。

Key injection method, device, electronic equipment and computer readable storage medium

【技术实现步骤摘要】
密钥注入方法、装置、电子设备及计算机可读存储介质
本申请涉及信息安全
，特别是涉及一种密钥注入方法、装置、电子设备及计算机可读存储介质。
技术介绍
密钥注入一直是金融行业的关注焦点，远程密钥注入更是一种密钥注入和更新的方法。现有的远程密钥注入，通过在终端的生产阶段导入固定的保护密钥，在终端出厂后需要注入或更新交易密钥时通过生产阶段导入的保护密钥对交易密钥进行加密来注入或更新交易密钥。如果更新保护密钥，则需要返厂重新进行生产阶段，且一般不支持保护密钥的更新。且由于远程密钥注入涉及到网络传输，容易产生风险，怎么保证远程密钥注入的安全性就成了当前亟待解决的技术问题。
技术实现思路
本申请提供了一种密钥注入方法、装置、电子设备及计算机可读存储介质，以实现对密钥的远程便捷注入，且通过与服务器的配合，保证密钥注入的安全性。第一方面，提供了一种密钥注入方法，该方法包括如下步骤：终端设备获取服务器对应的服务器公钥证书，确定所述服务器公钥证书对应的公钥；所述终端设备接收所述服务器发送的密钥数据包，其中，所述密钥数据包由第一随机数、密钥块头、第一加密密钥块、第二加密密钥块和服务器签名数据构成；所述终端设备基于终端设备的预存随机数与所述密钥数据包中的第一随机数进行匹配；当所述预存随机数与所述第一随机数匹配时，所述终端设备根据所述服务器公钥证书对应的公钥对所述服务器签名数据进行解密，得到第一摘要数据；对所述第一随机数、密钥块头、第一加密密钥块和第二加密密钥块进行计算，得到第二摘要数据；对所述第一摘要数据和所述第二摘要数据进行比对；若相同，确定对所述服务器签名数据验签通过；否则，验签失败；当所述终端设备对所述服务器签名数据验签通过时，所述终端设备根据所述终端设备的终端设备公钥证书对应的私钥对所述第一加密密钥块进行解密处理，得到保护密钥；所述终端设备根据所述保护密钥对所述第二加密密钥块进行解密，得到相应的参数数据；所述终端设备确定所述参数数据是否正确；当确定所述参数数据正确时，所述终端设备提取所述参数数据中的交易密钥；所述终端设备根据所述密钥块头中的注入参数将所述交易密钥注入到所述终端设备对应的密钥容器中。在一个可能地实现方式中，所述终端设备获取服务器对应的服务器公钥证书，确定所述服务器公钥证书对应的公钥，包括：所述终端设备接收所述服务器发送的服务器公钥证书及对应的指示标志位，所述指示标志位用于表征所述服务器公钥证书的当前级数状态；所述终端设备根据所述指示标志位确定所述服务器公钥证书的个数；当所述服务器公钥证书的个数为1个时，确定所述服务器公钥证书对应的公钥；当所述服务器公钥证书的个数为至少2个时，所述终端设备确定最后一级的服务器公钥证书，并获取最后一级的服务器公钥证书对应的公钥，所述最后一级的服务器公钥证书为所述服务器各按级排列的服务器公钥证书中位于最后一级的公钥证书。在一个可能地实现方式中，所述终端设备获取服务器对应的服务器公钥证书之前，还包括：所述终端设备将自身的终端设备公钥证书向所述服务器发送，以使所述服务器对接收到的终端设备公钥证书进行验证；当所述服务器对所述终端设备公钥证书验证通过后，所述终端设备获取服务器对应的服务器公钥证书。在一个可能地实现方式中，所述终端设备确定最后一级的服务器公钥证书，包括：所述终端设备获取当前服务器公钥证书的公钥；接收所述服务器对应的下一级服务器公钥证书及对应的指示标志位；基于所述当前服务器公钥证书的公钥对所述下一级服务器公钥证书进行校验，并在校验通过后，基于所述下一级服务器公钥证书对应的指示标志位确定所述下一级服务器公钥证书是否为最后一级的服务器公钥证书；当确定所述下一级服务器公钥证书为最后一级的服务器公钥证书时，获取所述下一级服务器公钥证书对应的公钥；否则，重复执行上述获取所述服务器公钥证书的公钥的相关处理，直到当前的服务器公钥证书为最后一级的服务器公钥证书时获取其所对应的公钥为止。在一个可能地实现方式中，所述终端设备根据所述指示标志位确定所述服务器公钥证书的个数之前，包括：所述终端设备基于预存的服务器的校验证书对所述服务器公钥证书进行合法校验，确定所述服务器公钥证书是否合法；当所述终端设备确定服务器公钥证书合法时，执行根据所述指示标志位确定所述服务器公钥证书的个数的处理；否则，进行报错，结束流程。在一个可能地实现方式中，所述终端设备接收所述服务器发送的密钥数据包，包括：所述终端设备向所述服务器发送终端设备的预存随机数，以使所述服务器基于所述预存随机数构建密钥数据包；所述终端设备接收所述服务器发送的密钥数据包。在一个可能地实现方式中，所述密钥数据包还由证书吊销列表构成，所述终端设备接收所述服务器发送的密钥数据包之后，还包括：所述终端设备对所述密钥数据包的证书吊销列表进行查找，确定所述证书吊销列表中是否包含有所述服务器公钥证书对应的序列号；当所述证书吊销列表中未包含有所述服务器公钥证书对应的序列号时，确定所述服务器公钥证书未被吊销。在一个可能地实现方式中，所述终端设备根据所述密钥块头中的注入参数将所述交易密钥注入到所述终端设备对应的密钥容器中之后，还包括：所述终端设备根据所述交易密钥构建校验值，并将所述校验值携带于密钥注入成功指令中发送给所述服务器，以使所述服务器对所述校验值进行校验。第二方面，提供了一种密钥注入装置，包括：第一处理模块，用于获取服务器对应的服务器公钥证书，确定所述服务器公钥证书对应的公钥；第二处理模块，用于接收所述服务器发送的密钥数据包，其中，所述密钥数据包由第一随机数、密钥块头、第一加密密钥块、第二加密密钥块和服务器签名数据构成；第三处理模块，用于基于终端设备的预存随机数与所述密钥数据包中的第一随机数进行匹配；当所述预存随机数与所述第一随机数匹配时，根据所述服务器公钥证书对应的公钥对所述服务器签名数据进行解密，得到第一摘要数据；对所述第一随机数、密钥块头、第一加密密钥块和第二加密密钥块进行计算，得到第二摘要数据；对所述第一摘要数据和所述第二摘要数据进行比对；若相同，确定对所述服务器签名数据验签通过；否则，验签失败；对所述服务器签名数据验签通过时，根据所述终端设备的终端设备公钥证书对应的私钥对所述第一加密密钥块进行解密处理，得到保护密钥；第四处理模块，用于根据所述保护密钥对所述第二加密密钥块进行解密，得到相应的参数数据；确定所述参数数据是否正确；当确定所述参数数据正确时，提取所述参数数据中的交易密钥；第五处理模块，用于根据所述密钥块头中的注入参数将所述交易密钥注入到所述终端设备对应的密钥容器中。在一个可能地实现方式中，所述第一处理模块，用于接收所述服务器发送的服务器公钥证书及对应的指示标志位，所述指示标志位用于表征所述服务器公钥证书的当前级数状态；根据所述指示标志位确定所述服务器公钥证书的个数；当所述服务器公钥证书的个本文档来自技高网...

【技术保护点】
1.一种密钥注入方法，其特征在于，该方法包括如下步骤：/n终端设备获取服务器对应的服务器公钥证书，确定所述服务器公钥证书对应的公钥；/n所述终端设备接收所述服务器发送的密钥数据包，其中，所述密钥数据包由第一随机数、密钥块头、第一加密密钥块、第二加密密钥块和服务器签名数据构成；/n所述终端设备基于终端设备的预存随机数与所述密钥数据包中的第一随机数进行匹配；/n当所述预存随机数与所述第一随机数匹配时，所述终端设备根据所述服务器公钥证书对应的公钥对所述服务器签名数据进行解密，得到第一摘要数据；对所述第一随机数、密钥块头、第一加密密钥块和第二加密密钥块进行计算，得到第二摘要数据；对所述第一摘要数据和所述第二摘要数据进行比对；若相同，确定对所述服务器签名数据验签通过；否则，验签失败；/n当所述终端设备对所述服务器签名数据验签通过时，所述终端设备根据所述终端设备的终端设备公钥证书对应的私钥对所述第一加密密钥块进行解密处理，得到保护密钥；/n所述终端设备根据所述保护密钥对所述第二加密密钥块进行解密，得到相应的参数数据；/n所述终端设备确定所述参数数据是否正确；/n当确定所述参数数据正确时，所述终端设备提取所述参数数据中的交易密钥；/n所述终端设备根据所述密钥块头中的注入参数将所述交易密钥注入到所述终端设备对应的密钥容器中。/n...

【技术特征摘要】
1.一种密钥注入方法，其特征在于，该方法包括如下步骤：
终端设备获取服务器对应的服务器公钥证书，确定所述服务器公钥证书对应的公钥；
所述终端设备接收所述服务器发送的密钥数据包，其中，所述密钥数据包由第一随机数、密钥块头、第一加密密钥块、第二加密密钥块和服务器签名数据构成；
所述终端设备基于终端设备的预存随机数与所述密钥数据包中的第一随机数进行匹配；
当所述预存随机数与所述第一随机数匹配时，所述终端设备根据所述服务器公钥证书对应的公钥对所述服务器签名数据进行解密，得到第一摘要数据；对所述第一随机数、密钥块头、第一加密密钥块和第二加密密钥块进行计算，得到第二摘要数据；对所述第一摘要数据和所述第二摘要数据进行比对；若相同，确定对所述服务器签名数据验签通过；否则，验签失败；
当所述终端设备对所述服务器签名数据验签通过时，所述终端设备根据所述终端设备的终端设备公钥证书对应的私钥对所述第一加密密钥块进行解密处理，得到保护密钥；
所述终端设备根据所述保护密钥对所述第二加密密钥块进行解密，得到相应的参数数据；
所述终端设备确定所述参数数据是否正确；
当确定所述参数数据正确时，所述终端设备提取所述参数数据中的交易密钥；
所述终端设备根据所述密钥块头中的注入参数将所述交易密钥注入到所述终端设备对应的密钥容器中。


2.如权利要求1所述的方法，其特征在于，所述终端设备获取服务器对应的服务器公钥证书，确定所述服务器公钥证书对应的公钥，包括：
所述终端设备接收所述服务器发送的服务器公钥证书及对应的指示标志位，所述指示标志位用于表征所述服务器公钥证书的当前级数状态；
所述终端设备根据所述指示标志位确定所述服务器公钥证书的个数；当所述服务器公钥证书的个数为1个时，确定所述服务器公钥证书对应的公钥；当所述服务器公钥证书的个数为至少2个时，所述终端设备确定最后一级的服务器公钥证书，并获取最后一级的服务器公钥证书对应的公钥，所述最后一级的服务器公钥证书为所述服务器各按级排列的服务器公钥证书中位于最后一级的公钥证书。


3.如权利要求2所述的方法，其特征在于，所述终端设备获取服务器对应的服务器公钥证书之前，还包括：
所述终端设备将自身的终端设备公钥证书向所述服务器发送，以使所述服务器对接收到的终端设备公钥证书进行验证；
当所述服务器对所述终端设备公钥证书验证通过后，所述终端设备获取服务器对应的服务器公钥证书。


4.如权利要求2所述的方法，其特征在于，所述终端设备确定最后一级的服务器公钥证书，包括：
所述终端设备获取当前服务器公钥证书的公钥；接收所述服务器对应的下一级服务器公钥证书及对应的指示标志位；基于所述当前服务器公钥证书的公钥对所述下一级服务器公钥证书进行校验，并在校验通过后，基于所述下一级服务器公钥证书对应的指示标志位确定所述下一级服务器公钥证书是否为最后一级的服务器公钥证书；当确定所述下一级服务器公钥证书为最后一级的服务器公钥证书时，获取所述下一级服务器公钥证书对应的公钥；否则，重复执行上述获取所述服务器公钥证书的公钥的相关处理，直到当前的服务器公钥证书为最后一级的服务器公钥证书时获取其所对应的公钥为止。


5.如权利要求2所述的方法，其特征在于，所述终端设备根据所述指示标志位确定所述服务器公钥证书的个数之前，包括：
所述终端设备基于预存的服务器的校验证书对所述服务器公钥证书进行合法校验，确定所述服务器公钥证书是否合法；
当所述终端设备确定服务器公钥证书合法时，执行根据所述指示标志位确定所述服务器公钥证书的个数的处理；否则，进行报错，结束流程。


6.如权利要求1所述的方法，其特征在于，所述终端设备接收所述服务器发送的密钥数据包，包括：
所述终端设备向所述服务器发送终端设备的预存随机数，以使所述服务器基于所述预存随机数构建密钥数据包；
所述终端设备接收所述服务器发送的密钥数据包。


7.如权利要求1所述的方法，其特征在于，所述密钥数据包还由证书吊销列表构成，所述终端设备接收所述服务器发送的密钥数据包之后，还包括：
所述终端设备对所述密钥数据包的证书吊销列表进行查找，确定所述证书吊销列表中是否包含有所述服务器公钥证书对应的序列号；当所述证书吊销列表中未包含有所述服务器公钥证书对应的序列号时，确定所述服务器公钥证书未被吊销。


8.如权利要求1所述的方法，其特征在于，所述终端设备根据所述密钥块头中的注入参数将所述交易密钥注入到所述终端设备对应的密钥容器中之后，还包括：
所述终端设备根据所述交易密钥构建校验值，并将所述校验值携带于密钥注入成...

【专利技术属性】
技术研发人员：陆舟，于华章，
申请(专利权)人：飞天诚信科技股份有限公司，
类型：发明
国别省市：北京;11