[发明专利]一种建立安全基础设施的方法、终端及装置

说明书

本发明实施例涉及支付安全技术领域，尤其涉及一种建立安全基础设施的方法、终端及装置，包括：中间服务机构接收第三方服务机构发送的机构密钥；所述中间服务机构采用第一加密手段对所述机构密钥进行加密，并将加密后的机构密钥发送给终端的安全存储区域；所述中间服务机构接收所述终端采用第二加密手段进行加密的第一终端公钥；所述中间服务机构将解密得到的所述第一终端公钥发送给所述第三方服务机构。可以看出，通过中间服务机构能够将第三方服务机构的机构密钥发送给终端，以及通过中间服务机构能够将终端的第一终端公钥发送给第三方服务机构，从而能够通过中间服务机构提供通用的安全基础设施，技术框架的开放性较好。

技术领域

本发明实施例涉及支付安全技术领域，尤其涉及一种建立安全基础设施的方法、终端及装置。

背景技术

手机U盾(USB key，USB钥匙)，是目前已有的支付方案，主要利用SE(SecureElement，安全载体)结合TEE(Trusted Execution Environment，可信执行环境)实现。SE中的U盾应用实现密钥和证书的存储，TEE实现生物特征识别等人机交互。以手机银行转账场景为例：用户确认转账，手机银行客户端调起生物特征识别的TA(Trust App，可信应用)，TA完成用户生物特征识别后，允许手机银行客户端访问SE中的U盾程序进行签名并返回签名结果，手机银行客户端将交易送到后台，后台验签并承兑交易。然而，手机U盾主要是手机厂商和银行间的直接业务，一个银行对应一个手机U盾，缺少服务商的服务抽象，导致技术框架的开放性较差。

发明内容

本发明实施例提供一种建立安全基础设施的方法、终端及装置，用以提供开放性较好的技术框架。

本发明实施例提供一种建立安全基础设施的方法，包括：

中间服务机构接收第三方服务机构发送的机构密钥；

所述中间服务机构采用第一加密手段对所述机构密钥进行加密，并将加密后的机构密钥发送给终端的安全存储区域，所述第一加密手段为使用所述中间服务机构的服务私钥签名所述机构密钥，并使用所述终端的根公钥加密签名后的机构密钥；

所述中间服务机构接收所述终端采用第二加密手段进行加密的第一终端公钥，所述第二加密手段为使用所述终端的根私钥签名所述第一终端公钥，并使用所述中间服务机构的服务公钥加密签名后的第一终端公钥；

所述中间服务机构将解密得到的所述第一终端公钥发送给所述第三方服务机构。

较佳的，在所述中间服务机构接收第三方服务机构发送的机构密钥之前，还包括：

所述中间服务机构向所述终端的安全存储区域发送服务公钥；

所述中间服务机构接收所述终端采用第三加密手段进行加密的所述根公钥，所述第三加密手段为使用所述根私钥签名所述根公钥并使用所述服务公钥加密签名后的根公钥；

所述中间服务机构解密得到所述根公钥。

本发明另一实施例还提供一种建立安全基础设施的方法，包括：

终端接收中间服务机构采用第一加密手段处理的第三方服务机构的机构密钥；所述第一加密手段为使用所述中间服务机构的服务私钥签名所述机构密钥，并使用所述终端的根公钥加密签名后的机构公钥；

所述终端使用所述终端的根私钥和所述中间服务机构的服务公钥解密得到所述机构密钥并将所述机构密钥存储在所述终端的安全存储区域中；

所述终端采用第二加密手段对第一终端公钥进行加密处理，所述第二加密手段为使用所述终端的根私钥对所述第一终端公钥进行签名且使用所述中间服务机构的服务公钥加密签名后的第一终端公钥；

所述终端将加密后的第一终端公钥发送给所述中间服务机构。