[发明专利]一种建立安全基础设施的方法、终端及装置

权利要求书

1.一种建立安全基础设施的方法，其特征在于，包括：

中间服务机构接收第三方服务机构发送的机构密钥；

所述中间服务机构采用第一加密手段对所述机构密钥进行加密，并将加密后的机构密钥发送给终端的安全存储区域，所述第一加密手段为使用所述中间服务机构的服务私钥签名所述机构密钥，并使用所述终端的根公钥加密签名后的机构密钥；

所述中间服务机构接收所述终端采用第二加密手段进行加密的第一终端公钥，所述第二加密手段为使用所述终端的根私钥签名所述第一终端公钥，并使用所述中间服务机构的服务公钥加密签名后的第一终端公钥；

所述中间服务机构将解密得到的所述第一终端公钥发送给所述第三方服务机构；

在所述中间服务机构接收第三方服务机构发送的机构密钥之前，还包括：

所述中间服务机构向所述终端的安全存储区域发送服务公钥；

所述中间服务机构接收所述终端采用第三加密手段进行加密的所述根公钥，所述第三加密手段为使用所述根私钥签名所述根公钥并使用所述服务公钥加密签名后的根公钥；

所述中间服务机构解密得到所述根公钥。

2.一种建立安全基础设施的方法，其特征在于，包括：

终端接收中间服务机构采用第一加密手段处理的第三方服务机构的机构密钥；所述第一加密手段为使用所述中间服务机构的服务私钥签名所述机构密钥，并使用所述终端的根公钥加密签名后的机构公钥；

所述终端使用所述终端的根私钥和所述中间服务机构的服务公钥解密得到所述机构密钥并将所述机构密钥存储在所述终端的安全存储区域中；

所述终端采用第二加密手段对第一终端公钥进行加密处理，所述第二加密手段为使用所述终端的根私钥对所述第一终端公钥进行签名且使用所述中间服务机构的服务公钥加密签名后的第一终端公钥；

所述终端将加密后的第一终端公钥发送给所述中间服务机构；

在所述终端接收所述中间服务机构采用第一加密手段处理的第三方服务机构的机构密钥之前，还包括：

所述终端接收所述中间服务机构发送的服务公钥，并将所述服务公钥存储在安全存储区域中；

所述终端采用第三加密手段对所述根公钥进行加密，所述第三加密手段为使用所述根私钥签名所述根公钥并使用所述服务公钥加密签名后的根公钥；

所述终端将加密后的根公钥发送给所述中间服务机构。

3.如权利要求2所述的方法，其特征在于，在所述终端将加密后的第一终端公钥发送给所述中间服务机构之后，还包括：

所述终端接收所述第三方服务机构采用第四加密手段处理后的应用密钥，所述第四加密手段为使用机构私钥签名所述应用密钥并使用所述第一终端公钥加密签名后的应用密钥；

所述终端使用第一终端私钥和所述机构公钥解密得到所述应用密钥，并将所述应用密钥存储在所述终端的安全存储区域中；

所述终端将采用第五加密手段处理后的第二终端公钥发送给所述第三方服务机构，所述第五加密手段为对所述第二终端公钥采用第二终端私钥签名并使用机构公钥加密。

4.如权利要求3所述的方法，其特征在于，还包括：

所述终端通过板载方式生成所述第三方服务机构对应的所述根公钥及根私钥、所述第一终端公钥及第一终端私钥、所述第二终端公钥及第二终端私钥。

5.如权利要求3所述的方法，其特征在于，还包括：

所述终端接收第三方应用的访问请求，所述第三方应用为所述第三方服务机构对应的应用；

所述终端生成校验内容并将所述校验内容发送给所述第三方服务机构；

所述终端接收到所述第三方服务机构发送的校验指令，所述校验指令为所述第三方服务机构采用应用私钥对所述校验内容进行签名得到的；

所述终端采用应用公钥对所述校验指令进行签名验证；所述应用公钥为第三方服务机构采用第四加密手段对应用公钥进行加密并发送给所述终端的；

所述终端在验证通过后，允许所述第三方应用对所述终端的安全区域进行访问。

6.如权利要求2至5任一项所述的方法，其特征在于，所述终端的安全存储区域为安全载体SE或可信执行环境TEE。