通信建立方法、装置、电子设备和存储介质制造方法及图纸

本公开提出一种通信建立方法、装置、电子设备和存储介质，通过向终端设备发送通信请求，接收终端设备发送的具有签名的第二加密数据，采用服务器存储的第一密钥对中的私钥对第二加密数据进行解密，得到数字钥匙所在可信环境下存储的第三密钥对中的公钥，以及该终端设备的设备标识，查找该设备标识对应的第二密钥对中的公钥，采用第二密钥对中的公钥验证第二加密数据的签名，若验证通过，根据第三密钥对中的公钥，建立与该数字钥匙之间的安全通信，使得终端设备中的数字钥匙与服务器能够在双方建立通信之前验证对方的合法性，拥有对方的公钥，并能够建立双方互信的通信，有效保证了可信环境下的数字钥匙与服务器之间的数据传输的安全性和可靠性。输的安全性和可靠性。输的安全性和可靠性。

【技术实现步骤摘要】
通信建立方法、装置、电子设备和存储介质


[0001]本公开涉及移动通信
，尤其涉及智慧车联
，尤其涉及一种通信建立方法、装置、电子设备和存储介质。

技术介绍

[0002]随着移动通信互联技术的不断发展，数字钥匙进入人们的视野，人们可以通过终端设备中的数字钥匙实现对车辆的控制。数字钥匙通过结合车辆、终端设备、云服务三端，构建智能钥匙锁芯(车端)、智能钥匙保险箱(终端设备)、智能钥匙工厂(云服务端)三位一体的车辆钥匙保护体系。同时还能够发挥钥匙数字化的优势，为用户提供个性化的车控服务。
[0003]相关技术中，数字钥匙一般作为可信应用(Trusted Application，TA)存储在终端设备的可信执行环境(Trusted Execution Environment，TEE)中。如何保证数字钥匙和服务器之间通信的安全，是数字钥匙技术中重要的问题。

技术实现思路

[0004]本公开旨在至少在一定程度上解决相关技术中的技术问题之一。
[0005]为此，本公开提出了如下技术方案：
[0006]本公开第一方面实施例提出了一种通信建立方法，所述方法由服务器执行，所述方法包括：
[0007]终端设备发送通信请求；
[0008]接收所述终端设备响应于所述通信请求发送的具有签名的第二加密数据；
[0009]采用所述服务器存储的第一密钥对中的私钥对所述第二加密数据进行解密，得到所述终端设备中数字钥匙所在可信环境下存储的第三密钥对中的公钥，以及得到所述终端设备的设备标识；
[0010]查找所述设备标识对应的所述终端设备在非可信环境下存储的第二密钥对中的公钥；
[0011]采用所述第二密钥对中的公钥验证所述第二加密数据的签名，若验证通过，根据所述第三密钥对中的公钥，建立与所述数字钥匙之间的安全通信。
[0012]可选地，所述向终端设备发送通信请求，包括：
[0013]向所述终端设备发送通信请求，所述通信请求采用所述第一密钥对中的私钥进行签名；
[0014]其中，所述通信请求的签名，用于所述终端设备采用所述第一密钥对中的公钥进行验证。
[0015]可选地，所述方法还包括：
[0016]通过与所述终端设备之间的可信通信通道，读取所述终端设备在非可信环境下存储的第二密钥对中的公钥，以及读取所述终端设备的设备标识；
[0017]建立所述设备标识与所述第二密钥对中的公钥之间的对应关系。
[0018]可选地，所述方法还包括：
[0019]生成并存储所述第一密钥对；
[0020]通过与所述终端设备之间的可信通信通道，向所述终端设备的可信执行环境写入所述第一密钥对中的公钥。
[0021]本公开第二方面实施例提出了一种通信建立方法，所述方法由终端设备执行，所述方法包括：
[0022]接收服务器发送的通信请求；
[0023]响应于所述通信请求，采用所述终端设备存储的第一密钥对中的公钥，对所述终端设备中数字钥匙所在可信环境下存储的第三密钥对中的公钥，以及所述终端设备的设备标识进行加密，得到第二加密数据；
[0024]采用所述终端设备在非可信环境下存储的第二密钥对中的私钥，对所述第二加密数据进行签名；
[0025]向所述服务器发送具有签名的第二加密数据，以使所述服务器对所述具有签名的第二加密数据进行解密和验证，并根据解密得到的所述第三密钥对中的公钥，建立与所述数字钥匙之间的安全通信。
[0026]可选地，所述接收服务器发送的通信请求，包括：
[0027]接收所述服务器发送的通信请求，所述通信请求采用所述第一密钥对中的私钥进行签名；
[0028]采用所述第一密钥对中的公钥进行验证所述通信请求的签名。
[0029]可选地，所述方法还包括：
[0030]在非可信环境下生成并存储第二密钥对；
[0031]通过与所述服务器之间的可信通信通道，向所述服务器发送所述第二密钥对中的公钥，以及所述终端设备的设备标识。
[0032]可选地，所述方法还包括：
[0033]通过与所述服务器之间的可信通信通道，读取所述服务器存储的所述第一密钥对中的公钥并将所述第一密钥对中的公钥写进终端的可信执行环境中。
[0034]本公开第三方面实施例提出了一种通信建立装置，所述装置应用于服务器，所述装置包括：
[0035]发送模块，用于向终端设备发送通信请求；
[0036]接收模块，用于接收所述终端设备响应于所述通信请求发送的具有签名的第二加密数据；
[0037]解密模块，用于采用所述服务器存储的第一密钥对中的私钥对所述第二加密数据进行解密，得到所述终端设备中数字钥匙所在可信环境下存储的第三密钥对中的公钥，以及得到所述终端设备的设备标识；
[0038]查找模块，用于查找所述设备标识对应的所述终端设备在非可信环境下存储的第二密钥对中的公钥；
[0039]验证模块，用于采用所述第二密钥对中的公钥验证所述第二加密数据的签名，若验证通过，根据所述第三密钥对中的公钥，建立与所述数字钥匙之间的安全通信。
[0040]可选地，所述发送模块具体用于：
[0041]向所述终端设备发送通信请求，所述通信请求采用所述第一密钥对中的私钥进行签名；
[0042]其中，所述通信请求的签名，用于所述终端设备采用所述第一密钥对中的公钥进行验证。
[0043]可选地，所述装置还包括：
[0044]读取模块，用于通过与所述终端设备之间的可信通信通道，读取所述终端设备在非可信环境下存储的第二密钥对中的公钥，以及读取所述终端设备的设备标识；
[0045]关联模块，用于建立所述设备标识与所述第二密钥对中的公钥之间的对应关系。
[0046]可选地，所述装置还包括：
[0047]密钥生成模块，用于生成并存储所述第一密钥对；
[0048]预置模块，用于通过与所述终端设备之间的可信通信通道，向所述终端设备的可信执行环境写入所述第一密钥对中的公钥。
[0049]本公开第四方面实施例提出了一种通信建立装置，所述装置应用于终端设备，所述装置包括：
[0050]接收模块，用于接收服务器发送的通信请求；
[0051]加密模块，用于响应于所述通信请求，采用所述终端设备存储的第一密钥对中的公钥，对所述终端设备中数字钥匙所在可信环境下存储的第三密钥对中的公钥，以及所述终端设备的设备标识进行加密，得到第二加密数据；
[0052]签名模块，用于采用所述终端设备在非可信环境下存储的第二密钥对中的私钥，对所述第二加密数据进行签名；
[0053]发送模块，用于向所述服务器发送具有签名的第二加密数据，以使所述服务器对所述具有签名的第二加密数据进行解密和验证，并根据解密得到的所述第三密钥对中的公钥，建立与所述数字钥匙之间的安全通信。
[0054]可选地，所述接收模块具体用于：
本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种通信建立方法，其特征在于，所述方法由服务器执行，所述方法包括：向终端设备发送通信请求；接收所述终端设备响应于所述通信请求发送的具有签名的第二加密数据；采用所述服务器存储的第一密钥对中的私钥对所述第二加密数据进行解密，得到所述终端设备中数字钥匙所在可信环境下存储的第三密钥对中的公钥，以及得到所述终端设备的设备标识；查找所述设备标识对应的所述终端设备在非可信环境下存储的第二密钥对中的公钥；采用所述第二密钥对中的公钥验证所述第二加密数据的签名，若验证通过，根据所述第三密钥对中的公钥，建立与所述数字钥匙之间的安全通信。2.根据权利要求1所述的方法，其特征在于，所述向终端设备发送通信请求，包括：向所述终端设备发送通信请求，所述通信请求采用所述第一密钥对中的私钥进行签名；其中，所述通信请求的签名，用于所述终端设备采用所述第一密钥对中的公钥进行验证。3.根据权利要求1或2所述的方法，其特征在于，所述方法还包括：通过与所述终端设备之间的可信通信通道，读取所述终端设备在非可信环境下存储的第二密钥对中的公钥，以及读取所述终端设备的设备标识；建立所述设备标识与所述第二密钥对中的公钥之间的对应关系。4.根据权利要求1或2所述的方法，其特征在于，所述方法还包括：生成并存储所述第一密钥对；通过与所述终端设备之间的可信通信通道，向所述终端设备的可信执行环境写入所述第一密钥对中的公钥。5.一种通信建立方法，其特征在于，所述方法由终端设备执行，所述方法包括：接收服务器发送的通信请求；响应于所述通信请求，采用所述终端设备存储的第一密钥对中的公钥，对所述终端设备中数字钥匙所在可信环境下存储的第三密钥对中的公钥，以及所述终端设备的设备标识进行加密，得到第二加密数据；采用所述终端设备在非可信环境下存储的第二密钥对中的私钥，对所述第二加密数据进行签名；向所述服务器发送具有签名的第二加密数据，以使所述服务器对所述具有签名的第二加密数据进行解密和验证，并根据解密得到的所述第三密钥对中的公钥，建立与所述数字钥匙之间的安全通信。6.根据权利要求5所述的方法，其特征在于，所述接收服务器发送的通信请求，包括：接收所述服务器发送的通信请求，所述通信请求采用所述第一密钥对中的私钥进行签名；采用所述第一密钥对中的公钥进行验证所述通信请求的签名。7.根据权利要求5或6所述的方法，其特征在于，所述方法还包括：在非可信环境下生成并存储第二密钥对；通过与所述服务器之间的可信通信通道，向所述服务器发送所述第二密钥对中的公
钥，以及所述终端设备的设备标识。8.根据权利要求5或6所述的方法，其特征在于，所述方法还包括：通过与所述服务器之间的可信通信通道，读取所述服务器存储的所述第一密钥对中的公钥并将所述第一密钥对中的公钥写进终端的可信执行环境中。9.一种通信建立装置，其特征在于，所述装置应用于服务器，所述装置包括：发送模块，用于向终端设备发送通信请求；接收模块，用于接收所述终端设备响应于所述通信请求发送的具有签名的第二加密数据；解密模块，用于采用所述服务器存储的第一密钥对中的私钥对所述第二加密数据进行解密，得到所述终端设备中数字钥匙所在可信环境下存储的第三密钥对中的公钥，以及得到所述终端设备的设备标识；查找模块，用于查找所述设备标识对应的所述终端设备在非可信环境下存储的第二密钥对中的公钥；验证模块，用于采用所述第二密钥对中的公钥验证所述第二加密数据的签名，若验证通过，根据所述第三密钥对中的公钥，建立与所述数字钥匙之间的安全通信。10.根据权利要求9所述的装置，其特征在于，所述发...

【专利技术属性】
技术研发人员：乔光军，
申请(专利权)人：北京小米移动软件有限公司，
类型：发明
国别省市：