实现终端设备一机一密的方法、系统、装置、设备和介质制造方法及图纸

本发明专利技术提供一种实现终端设备一机一密的方法、系统、装置、设备和介质，方法包括：1、终端设备授权后进入激活界面；2、生成随机数作为根密钥并写入寄存器；3、终端设备上送终端序列号和芯片ID给服务器；4、服务器收到后生成随机数R1，发送R1和请求；5、终端设备接收后生成K1，用K1加密根密钥生成EK1，用根密钥加密R1生成ER1，并上送EK1与ER1；6、服务器获取后生成K1，用K1解密EK1获取密钥K2，用K2解密ER1获取随机数R2；7、若R1与R2一致，则获取根密钥成功，绑定并存储，再发送激活指令；8、终端设备接收后执行激活；9、当寄存器内数据受到攻击后对根密钥进行清除。本发明专利技术实现一机一密功能。

The method, system, device, equipment and medium of realizing terminal equipment one machine one secret

【技术实现步骤摘要】
实现终端设备一机一密的方法、系统、装置、设备和介质
本专利技术涉及计算机
，特别涉及一种实现终端设备一机一密的方法、系统、装置、设备和介质。
技术介绍
大多数情况下，多个终端设备都是会固化固定根密钥，用于保护终端设备其他密钥，但是这种方式存在一些缺点：根密钥一般是存储在FLASH内，只要知道根密钥的具体存储位置就可以破解根密钥；由于根密钥不唯一，如果一台终端设备的根密钥被破解，就会导致所有终端设备的根密钥也被破解，降低了终端设备的安全性。因此，需要通过一种方法实现终端设备一机一密。
技术实现思路
本专利技术要解决的技术问题，在于提供一种实现终端设备一机一密的方法、系统、装置、设备和介质，通过随机数作为根密钥保证唯一性，从而实现一机一密功能。第一方面，本专利技术提供了一种实现终端设备一机一密的方法，包括根密钥生成步骤，具体包括：步骤A1、终端设备经管理员授权后，进入激活界面；步骤A2、在激活前，该终端设备调用自身的随机数接口生成随机数作为根密钥RK，并写入到寄存器中；步骤A3、终端设备上送终端序列号和芯片CPUID给服务器；步骤A4、服务器收到该终端序列号和芯片CPUID后，根据自身的随机数接口生成随机数R1，并将该随机数R1和获取根密钥请求发送给终端设备；步骤A5、终端设备接收到该随机数R1和获取根密钥请求后，根据终端序列号与芯片CPUID生成临时密钥K1，用临时密钥K1加密根密钥RK生成EK1，用根密钥RK加密随机数R1生成ER1，并上送EK1与ER1给服务器；步骤A6、服务器获取EK1与ER1后，根据终端序列号与芯片CPUID生成临时密钥K1，用临时密钥K1解密EK1获取密钥K2，用K2解密ER1获取随机数R2；步骤A7、将R1与R2进行比对，如果R1与R2一致，则认为获取终端设备的根密钥成功，即K2为根密钥RK，同时与终端序列号与芯片CPUID绑定并存储，再发送激活指令给终端设备；如果R1与R2不一致，则不做处理；步骤A8、终端设备接收该激活指令并执行激活；步骤A9、当寄存器内数据受到攻击后由硬件对根密钥RK进行清除。进一步地，所述步骤A9之后还包括根密钥恢复步骤，具体包括：步骤B1、当需要恢复根密钥时，终端设备经管理员授权后，进入恢复界面；步骤B2、终端设备调用自身的随机数接口生成随机数R1’，并上送终端序列号、芯片CPUID和随机数R1’给服务器；步骤B3、服务器收到终端设备上送的终端序列号、芯片CPUID与随机数R1’，比对存储的终端序列号和芯片CPUID与上送的终端序列号和芯片CPUID是否一致，如果一致，服务器根据终端序列号与芯片CPUID生成临时密钥K1，用临时密钥K1加密备份的根密钥RK生成EK1，用备份的根密钥RK加密随机数R1’生成ER1’；如果不一致，则不做处理；步骤B4、终端设备发送获取根密钥请求给服务器；步骤B5、服务器收到该获取根密钥请求后，发送EK1与ER1’给终端设备；步骤B6、终端设备获取到EK1与ER1’后，根据终端序列号与芯片CPUID生成临时密钥K1，用临时密钥K1解密EK1获取密钥K2，用K2解密ER1’获取随机数R2’，将R1’与R2’进行比对，如果R1’与R2’一致，则认为获取终端设备的根密钥成功，即K2为根密钥RK，并将根密钥写入寄存器，根密钥恢复成功；如果R1’与R2’不一致，则不做处理。进一步地，所述临时密钥K1的生成方式是终端设备或服务器由终端序列号与芯片CPUID采用异或方式进行生成的。第二方面，本专利技术提供了一种实现终端设备一机一密的方法，用于终端设备中，所述方法包括：步骤AS1、经管理员授权后，进入激活界面；步骤AS2、在激活前，调用自身的随机数接口生成随机数作为根密钥RK，并写入到寄存器中；步骤AS3、上送终端序列号和芯片CPUID给服务器；步骤AS4、接收到由服务器发送的随机数R1和获取根密钥请求，该随机数R1是服务器在收到该终端序列号和芯片CPUID后，根据自身的随机数接口生成的；步骤AS5、根据终端序列号与芯片CPUID生成临时密钥K1，用临时密钥K1加密根密钥RK生成EK1，用根密钥RK加密随机数R1生成ER1，并上送EK1与ER1给服务器；步骤AS6、接收到由服务器发送的激活指令并执行激活；该激活指令是在服务器获取EK1与ER1后，根据终端序列号与芯片CPUID生成临时密钥K1，用临时密钥K1解密EK1获取密钥K2，用K2解密ER1获取随机数R2，将R1与R2进行比对，如果R1与R2不一致，则不做处理；如果R1与R2一致，则认为获取根密钥成功，即K2为根密钥RK，同时与终端序列号与芯片CPUID绑定并存储后，再发送出去的；步骤AS7、当寄存器内数据受到攻击后由硬件对根密钥RK进行清除。第三方面，本专利技术提供了一种实现终端设备一机一密的方法，用于服务器中，所述方法包括：步骤AM1、收到由终端设备上送的终端序列号和芯片CPUID，所述终端序列号和芯片CPUID是在终端设备经管理员授权后，进入激活界面，在激活前，由终端设备调用自身的随机数接口生成随机数作为根密钥RK，并写入到寄存器中，再发送出去的；步骤AM2、根据自身的随机数接口生成随机数R1，并将该随机数R1和获取根密钥请求发送给终端设备；步骤AM3、获取由终端设备上送的EK1与ER1，所述EK1与ER1是终端设备接收到该随机数R1和获取根密钥请求后，根据终端序列号与芯片CPUID生成临时密钥K1，用临时密钥K1加密根密钥RK生成EK1，用根密钥RK加密随机数R1生成ER1；步骤AM4、根据终端序列号与芯片CPUID生成临时密钥K1，用临时密钥K1解密EK1获取密钥K2，用K2解密ER1获取随机数R2；步骤AM5、将R1与R2进行比对，如果R1与R2一致，则认为获取终端设备的根密钥成功，即K2为根密钥RK，同时与终端序列号与芯片CPUID绑定并存储，再发送激活指令给终端设备执行激活；如果R1与R2不一致，则不做处理；步骤AM6、当寄存器内数据受到攻击后由硬件对根密钥RK进行清除。第四方面，本专利技术提供了一种实现终端设备一机一密的系统，包括：授权管理模块，用于终端设备经管理员授权后，进入激活界面；根密钥生成模块，用于在激活前，该终端设备调用自身的随机数接口生成随机数作为根密钥RK，并写入到寄存器中；标识传输模块，用于终端设备上送终端序列号和芯片CPUID给服务器；请求传输模块，用于服务器收到该终端序列号和芯片CPUID后，根据自身的随机数接口生成随机数R1，并将该随机数R1和获取根密钥请求发送给终端设备；密钥加密模块，用于终端设备接收到该随机数R1和获取根密钥请求后，根据终端序列号与芯片CPUID生成临时密钥K1，用临时密钥K1加密根密钥RK生成EK1，用根密钥RK加密随机数R1生成ER1，并上送EK1与E本文档来自技高网...

【技术保护点】
1.一种实现终端设备一机一密的方法，其特征在于：包括根密钥生成步骤，具体包括：/n步骤A1、终端设备经管理员授权后，进入激活界面；/n步骤A2、在激活前，该终端设备调用自身的随机数接口生成随机数作为根密钥RK，并写入到寄存器中；/n步骤A3、终端设备上送终端序列号和芯片CPUID给服务器；/n步骤A4、服务器收到该终端序列号和芯片CPUID后，根据自身的随机数接口生成随机数R1，并将该随机数R1和获取根密钥请求发送给终端设备；/n步骤A5、终端设备接收到该随机数R1和获取根密钥请求后，根据终端序列号与芯片CPUID生成临时密钥K1，用临时密钥K1加密根密钥RK生成EK1，用根密钥RK加密随机数R1生成ER1，并上送EK1与ER1给服务器；/n步骤A6、服务器获取EK1与ER1后，根据终端序列号与芯片CPUID生成临时密钥K1，用临时密钥K1解密EK1获取密钥K2，用K2解密ER1获取随机数R2；/n步骤A7、将R1与R2进行比对，如果R1与R2一致，则认为获取终端设备的根密钥成功，即K2为根密钥RK，同时与终端序列号与芯片CPUID绑定并存储，再发送激活指令给终端设备；如果R1与R2不一致，则不做处理；/n步骤A8、终端设备接收该激活指令并执行激活；/n步骤A9、当寄存器内数据受到攻击后由硬件对根密钥RK进行清除。/n...

【技术特征摘要】
1.一种实现终端设备一机一密的方法，其特征在于：包括根密钥生成步骤，具体包括：
步骤A1、终端设备经管理员授权后，进入激活界面；
步骤A2、在激活前，该终端设备调用自身的随机数接口生成随机数作为根密钥RK，并写入到寄存器中；
步骤A3、终端设备上送终端序列号和芯片CPUID给服务器；
步骤A4、服务器收到该终端序列号和芯片CPUID后，根据自身的随机数接口生成随机数R1，并将该随机数R1和获取根密钥请求发送给终端设备；
步骤A5、终端设备接收到该随机数R1和获取根密钥请求后，根据终端序列号与芯片CPUID生成临时密钥K1，用临时密钥K1加密根密钥RK生成EK1，用根密钥RK加密随机数R1生成ER1，并上送EK1与ER1给服务器；
步骤A6、服务器获取EK1与ER1后，根据终端序列号与芯片CPUID生成临时密钥K1，用临时密钥K1解密EK1获取密钥K2，用K2解密ER1获取随机数R2；
步骤A7、将R1与R2进行比对，如果R1与R2一致，则认为获取终端设备的根密钥成功，即K2为根密钥RK，同时与终端序列号与芯片CPUID绑定并存储，再发送激活指令给终端设备；如果R1与R2不一致，则不做处理；
步骤A8、终端设备接收该激活指令并执行激活；
步骤A9、当寄存器内数据受到攻击后由硬件对根密钥RK进行清除。


2.根据权利要求1所述的一种实现终端设备一机一密的方法，其特征在于：所述步骤A9之后还包括根密钥恢复步骤，具体包括：
步骤B1、当需要恢复根密钥时，终端设备经管理员授权后，进入恢复界面；
步骤B2、终端设备调用自身的随机数接口生成随机数R1’，并上送终端序列号、芯片CPUID和随机数R1’给服务器；
步骤B3、服务器收到终端设备上送的终端序列号、芯片CPUID与随机数R1’，比对存储的终端序列号和芯片CPUID与上送的终端序列号和芯片CPUID是否一致，如果一致，服务器根据终端序列号与芯片CPUID生成临时密钥K1，用临时密钥K1加密备份的根密钥RK生成EK1，用备份的根密钥RK加密随机数R1’生成ER1’；如果不一致，则不做处理；
步骤B4、终端设备发送获取根密钥请求给服务器；
步骤B5、服务器收到该获取根密钥请求后，发送EK1与ER1’给终端设备；
步骤B6、终端设备获取到EK1与ER1’后，根据终端序列号与芯片CPUID生成临时密钥K1，用临时密钥K1解密EK1获取密钥K2，用K2解密ER1’获取随机数R2’，将R1’与R2’进行比对，如果R1’与R2’一致，则认为获取终端设备的根密钥成功，即K2为根密钥RK，并将根密钥写入寄存器，根密钥恢复成功；如果R1’与R2’不一致，则不做处理。


3.根据权利要求1或2所述的，其特征在于：所述临时密钥K1的生成方式是终端设备或服务器由终端序列号与芯片CPUID采用异或方式进行生成的。


4.一种实现终端设备一机一密的方法，其特征在于：用于终端设备中，所述方法包括：
步骤AS1、经管理员授权后，进入激活界面；
步骤AS2、在激活前，调用自身的随机数接口生成随机数作为根密钥RK，并写入到寄存器中；
步骤AS3、上送终端序列号和芯片CPUID给服务器；
步骤AS4、接收到由服务器发送的随机数R1和获取根密钥请求，该随机数R1是服务器在收到该终端序列号和芯片CPUID后，根据自身的随机数接口生成的；
步骤AS5、根据终端序列号与芯片CPUID生成临时密钥K1，用临时密钥K1加密根密钥RK生成EK1，用根密钥RK加密随机数R1生成ER1，并上送EK1与ER1给服务器；
步骤AS6、接收到由服务器发送的激活指令并执行激活；该激活指令是在服务器获取EK1与ER1后，根据终端序列号与芯片CPUID生成临时密钥K1，用临时密钥K1解密EK1获取密钥K2，用K2解密ER1获取随机数R2，将R1与R2进行比对，如果R1与R2不一致，则不做处理；如果R1与R2一致，则认为获取根密钥成功，即K2为根密钥RK，同时与终端序列号与芯片CPUID绑定并存储后，再发送出去的；
步骤AS7、当寄存器内数据受到攻击后由硬件对根密钥RK进行清除。


5.一种实现终端设备一机一密的方法，其特征在于：用于服务器中，所述方法包括：
步骤AM1、收到由终端设备上送的终端序列号和芯片CPUID，所述终端序列号和芯片CPUID是在终端设备经管理员授权后，进入激活界面，在激活前，由终端设备调用自身的随机数接口生成随机数作为根密钥RK，并写入到寄存器中，再发送出去的；
步骤AM2、根据自身的随机数接口生成随机数R1，并将该随机数R1和获取根密钥请求发送给终端设备；
步骤AM3、获取由终端设备上送的EK1与ER1，所述EK1与ER1是终端设备接收到该随机数R1和获取根密钥请求后，根据终端序列号与芯片CPUID生成临时密钥K1，用临时密钥K1加密根密钥RK生成EK1，用根密钥RK加密随机数R1生成ER1；
...

【专利技术属性】
技术研发人员：林化龙，
申请(专利权)人：福建魔方电子科技有限公司，
类型：发明
国别省市：福建;35