【技术实现步骤摘要】
【国外来华专利技术】向客户端设备安全调配数据
本申请涉及加密领域,更具体地,涉及向客户端设备安全调配数据,以及相关的设备、方法和计算机程序。
技术介绍
在设备制造过程中,可能需要将数据调配到移动和可穿戴设备。此类数据可包括各种资产数据,包括但不限于:设备密钥对、其它加密密钥材料、数字证书、安全策略、设备标识符和凭证。例如,通常需要设备密钥对启用所述移动/可穿戴设备提供的各种安全服务。附加地/可选地,此类数据可包括可执行代码,例如受信应用(TrustedApplication,简称TA)。所述调配的数据通常以某种方式受到所述移动/可穿戴设备的安全硬件的保护。例如,在设备在工厂制造过程中,可以生成设备密钥对,并通过注册设备证书对其进行公钥认证。所述设备密钥对和所述设备证书都可以放置在所述设备中的安全位置,使得对所述私钥的使用能够被严密控制。通常,所述设备密钥对只能用于所述设备与最终用户一起使用时的预定义使用情形。这些使用案例包括设备认证,其中所述设备可以在认证中签名,以证明某些参数对设备有效。另一个示例是密钥验证,其中密钥对由所述设备中的安...
【技术保护点】
1.一种安全服务器设备(100a),其特征在于,包括:/n接口(101a),用于获得调配非对称密钥对的公钥,所述调配非对称密钥对已经基于客户端设备类别标识符的第一对称密钥生成;/n处理器(102a),用于在生成第二对称加密密钥时使用所述获得的所述调配非对称加密密钥对的公钥,并在加密待调配给与所述类别标识符相关联的一个或多个客户端设备的数据时使用所述生成的第二对称密钥,/n其中,所述接口(101a)还用于将所述待调配的加密数据发送到与所述类别标识符关联的所述客户端设备中的一个或多个。/n
【技术特征摘要】
【国外来华专利技术】1.一种安全服务器设备(100a),其特征在于,包括:
接口(101a),用于获得调配非对称密钥对的公钥,所述调配非对称密钥对已经基于客户端设备类别标识符的第一对称密钥生成;
处理器(102a),用于在生成第二对称加密密钥时使用所述获得的所述调配非对称加密密钥对的公钥,并在加密待调配给与所述类别标识符相关联的一个或多个客户端设备的数据时使用所述生成的第二对称密钥,
其中,所述接口(101a)还用于将所述待调配的加密数据发送到与所述类别标识符关联的所述客户端设备中的一个或多个。
2.根据权利要求1所述的安全服务器设备(100a),其特征在于,所述处理器(102a)还用于生成临时非对称加密密钥对,并基于所述获得的所述调配非对称加密密钥对的公钥和使用预定密钥协议生成的所述临时非对称加密密钥对的私钥生成所述第二对称加密密钥,所述接口(101a)还用于将所述生成的临时非对称加密密钥对的公钥发送到与所述类别标识符关联的所述客户端设备中的所述一个或多个。
3.根据权利要求1或2所述的安全服务器设备(100a),其特征在于,所述待调配的数据包括加密密钥材料或可执行代码中的至少一种。
4.根据权利要求1至3中任一项所述的安全服务器设备(100a),其特征在于,所述调配非对称加密密钥对包括椭圆曲线密钥对或Rivest-Shamir-Adleman密钥对。
5.根据权利要求2至4中任一项所述的安全服务器设备(100a),其特征在于,所述预定密钥协议包括Diffie-Hellman密钥协商协议。
6.根据权利要求5所述的安全服务器设备(100a),其特征在于,所述Diffie-Hellman密钥协商协议包括椭圆曲线Diffie-Hellman密钥协商协议。
7.根据权利要求1至6中任一项所述的安全服务器设备(100a),其特征在于,还包括硬件安全模块(103a)。
8.一种安全服务器设备(100b),其特征在于,包括:
接口(101b),用于获得调配非对称密钥对的公钥,所述调配非对称密钥对已经基于客户端设备类别标识符的第一对称密钥生成;
处理器(102b),用于在生成第二对称密钥时使用所述获得的所述调用非对称密钥对的公钥,随机生成第三对称密钥,使用所述随机生成的第三对称密钥加密待调配给与所述类别标识符相关联的一个或多个客户端设备的数据,以及在对所述第三对称密钥进行加密时使用所述生成的第二对称密钥,
其中,所述接口(101b)还用于将所述待调配的加密数据和所述加密的第三对称加密密钥发送到与所述类别标识符关联的所述客户端设备中的一个或多个。
9.根据权利要求8所述的安全服务器设备(100b),其特征在于,所述处理器(102b)还用于生成临时非对称加密密钥对,并基于所述获得的所述调配非对称加密密钥对的公钥和使用预定密钥协议生成的所述临时非对称加密密钥对的私钥生成所述第二对称加密密钥,所述接口(101b)还用于将所述生成的临时非对称加密密钥对的公钥发送到与所述类别标识符关联的所述客户端设备中的所述一个或多个。
10.根据权利要求8或9所述的安全服务器设备(100b),其特征在于,所述处理器(102b)还用于在所述加密所述生成的第三对称密钥时使用白盒加密。
11.根据权利要求8至10中任一项所述的安全服务器设备(100b),其特征在于,所述待调配的数据包括加密密钥材料或可执行代码中的至少一种。
12.根据权利要求8至11中任一项所述的安全服务器设备(100b),其特征在于,所述调配非对称加密密钥对包括椭圆曲线密钥对或Rivest-Shamir-Adleman密钥对。
13.根据权利要求9至12中任一项所述的安全服务器设备(100b),其特征在于,所述预定密钥协议包括Diffie-Hellman密钥协商协议。
14.根据权利要求13所述的安全服务器设备(100b),其特征在于,所述Diffie-Hellman密钥协商协议包括椭圆曲线Diffie-Hellman密钥协商协议。
15.根据权利要求8至14中任一项所述的安全服务器设备(100b),其特征在于,还包括硬件安全模块(103b)。
16.一种客户端设备(110a),其特征在于,包括:
安全存储器(113a),用于存储与所述客户端设备(110a)关联的客户端设备类别标识符的第一对称加密密钥;
收发器(111a),用于从安全服务器设备接收待调配给所述客户端设备(110a)的加密数据;处理器(112a),用于获得调配非对称加密密钥对的私钥,所述调配非对称加密密钥对已经基于所述存储的第一对称加密密钥在所述客户端设备(110a)处生成,在生成第二对称密钥时使用所述获得的所述调配非对称密钥对的私钥,并且在解密所述待调配的加密数据时使用所述生成的第二对称密钥。
17.根据权利要求16所述的客户端设备(110a),其特征在于,所述收发器(111a)还用于从所述安全服务器设备接收临时非对称加密密钥对的公钥,所述处理器(112a)还用于使用预定密钥协商协议基于所述生成的调配非对称密钥对的所述私钥和所述接收的所述临时非对称密钥对的公钥生成所述第二对称密钥。
18.根据权利要求16或17所述的客户端设备(110a),其特征在于,还包括用于执行加密操作的受信执行环境(114a)。
19.一种客户端设备(110b),其特征在于,包括:
安全存储器(113b),用于存储与所述客户端设备(110b)关联的客户端设备类别标识符的第一对称加密密钥;
收发器(111b),用于从安全服务器设备接收待调配给所述客户端设备(110b)的加密数据;处理器(112b),用于获得调配非对称加密密钥对的私钥,所述调配非对称加密密钥对已经基于所述存储的第一对称加密密钥在所述客户端设备(110b)处生成,在生成第二对称密钥时使用所述获得的所述调配非对称密钥对的私钥,在解密加密的第三对称密钥时使用所述生成的第二对称密钥,并且在所述解密所述待调配的数据时使用所述解密的第三对称密钥,所述加密的第三对称密钥已经由所述收发器(111b)从所述安全服务器设备接收。
20.根据权利要求19所述的客户端设备(110b),其特征在于,所述收发器(111b)还用于从所述安全服务器设备接收临时非对称加密密钥对的公钥,所述处理器(112b)还用于使用预定密钥协商协议基于所述生成的调配非对称密钥对的所述私钥和所述接收的所述临时非对称密钥对的公钥生成所述第二对称密钥。
21.根据权利要求19或20所述的客户端设备(110b),其特征在于,所述处理器(112b)还用于在所述解密所述接收的加密第三对称密钥时使用白盒加密。
22.根据权利要求19至21中任一项所述的客户端设备(110b),其特征在于,还...
【专利技术属性】
技术研发人员:桑泊·索维欧,黎启明,佩卡·莱蒂宁,连刚,谢美伦,方习文,单志华,
申请(专利权)人:华为技术有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。