本發(fā)明涉及電子技術(shù)領(lǐng)域，尤其涉及一種獲取根密鑰的方法及服務(wù)器。

背景技術(shù)：

當(dāng)前，終端的信息安全越來越受到用戶和業(yè)界的廣泛關(guān)注，而現(xiàn)在的安全策略的關(guān)鍵是加密技術(shù)?，F(xiàn)有技術(shù)提供的一種加密技術(shù)是依賴于終端內(nèi)的硬件平臺(tái)，例如，安全芯片。終端可根據(jù)安全芯片的根密鑰(rootkey)以及預(yù)設(shè)的加密算法對(duì)需要加密的數(shù)據(jù)進(jìn)行加密。其中，根密鑰是從安全芯片密鑰派生得到，用于層級(jí)密鑰首層的密鑰。

終端在需要使用安全芯片提供的各功能或服務(wù)前，需要預(yù)先從安全芯片廠家服務(wù)器獲取安全芯片根密鑰，由于安全芯片的根密鑰是保證終端信息安全的根本，當(dāng)根密鑰從廠家服務(wù)器傳輸?shù)浇K端的傳過程中被泄露時(shí)，將對(duì)終端的信息安全將造成嚴(yán)重威脅。

技術(shù)實(shí)現(xiàn)要素：

本發(fā)明實(shí)施例提供一種獲取根密鑰的方法及服務(wù)器，能夠有效降低根密鑰在傳輸過程中被泄露的風(fēng)險(xiǎn)，提高根密鑰的傳輸安全性，從而提高終端內(nèi)信息安全性。

第一方面，本發(fā)明實(shí)施例提供了一種獲取根密鑰的方法，該方法包括：

獲取根密鑰獲取請(qǐng)求信息攜帶的唯一標(biāo)識(shí)；其中，所述根密鑰獲取請(qǐng)求信息由終端發(fā)送，所述唯一標(biāo)識(shí)是所述終端內(nèi)置的安全芯片的唯一標(biāo)識(shí)；

采用第一加密密鑰對(duì)所述唯一標(biāo)識(shí)進(jìn)行加密，并將加密后的唯一標(biāo)識(shí)發(fā)送至所述安全芯片對(duì)應(yīng)的服務(wù)商服務(wù)器；

接收所述服務(wù)商服務(wù)器返回的加密后的根密鑰；其中，所述根密鑰是所述服務(wù)商服務(wù)器根據(jù)所述唯一標(biāo)識(shí)、唯一標(biāo)識(shí)與根密鑰的預(yù)設(shè)對(duì)應(yīng)關(guān)系得到；

采用第一解密密鑰對(duì)所述加密后的根密鑰進(jìn)行解密，得到所述唯一標(biāo)識(shí)對(duì)應(yīng)的根密鑰；

采用第二加密密鑰對(duì)所述根密鑰進(jìn)行加密，并根據(jù)所述根密鑰獲取請(qǐng)求信息攜帶的所述終端的標(biāo)識(shí)將加密后的根密鑰發(fā)送至所述終端；其中，所述加密后的根密鑰用于所述終端通過第二解密密鑰進(jìn)行解密得到根密鑰。

第二方面，本發(fā)明實(shí)施例提供了另一種獲取根密鑰的方法，該方法包括：

獲取管理服務(wù)器發(fā)送的加密后的唯一標(biāo)識(shí)；其中，所述唯一標(biāo)識(shí)由所述管理服務(wù)器從終端發(fā)送的根密鑰獲取請(qǐng)求信息中獲取，所述唯一標(biāo)識(shí)是所述終端內(nèi)置的安全芯片的唯一標(biāo)識(shí)；加密后的唯一標(biāo)識(shí)攜帶所述管理服務(wù)器的標(biāo)識(shí)；

采用預(yù)設(shè)的解密密鑰對(duì)所述加密后的唯一標(biāo)識(shí)進(jìn)行解密得到所述安全芯片的唯一標(biāo)識(shí)；

根據(jù)唯一標(biāo)識(shí)與根密鑰的預(yù)設(shè)對(duì)應(yīng)關(guān)系獲取所述唯一標(biāo)識(shí)對(duì)應(yīng)的根密鑰；

采用預(yù)設(shè)的加密密鑰對(duì)所述根密鑰進(jìn)行加密，并根據(jù)所述管理服務(wù)器的標(biāo)識(shí)將加密后的根密鑰發(fā)送至所述管理服務(wù)器。

第三方面，本發(fā)明實(shí)施例提供了一種服務(wù)器，該服務(wù)器包括：

獲取單元，用于獲取根密鑰獲取請(qǐng)求信息攜帶的唯一標(biāo)識(shí)；其中，所述根密鑰獲取請(qǐng)求信息由終端發(fā)送，所述唯一標(biāo)識(shí)是所述終端內(nèi)置的安全芯片的唯一標(biāo)識(shí)；

第一加密單元，用于采用第一加密密鑰對(duì)所述唯一標(biāo)識(shí)進(jìn)行加密；

第一發(fā)送單元，用于將所述第一加密單元加密后的唯一標(biāo)識(shí)發(fā)送至所述安全芯片對(duì)應(yīng)的服務(wù)商服務(wù)器；

接收單元，用于接收所述服務(wù)商服務(wù)器返回的加密后的根密鑰；其中，所述根密鑰是所述服務(wù)商服務(wù)器根據(jù)所述唯一標(biāo)識(shí)、唯一標(biāo)識(shí)與根密鑰的預(yù)設(shè)對(duì)應(yīng)關(guān)系得到；

解密單元，用于采用第一解密密鑰對(duì)所述加密后的根密鑰進(jìn)行解密，得到所述唯一標(biāo)識(shí)對(duì)應(yīng)的根密鑰；

第二加密單元，用于采用第二加密密鑰對(duì)所述根密鑰進(jìn)行加密；

第二發(fā)送單元，用于根據(jù)所述根密鑰獲取請(qǐng)求信息攜帶的所述終端的標(biāo)識(shí)將所述第二加密單元加密后的根密鑰發(fā)送至所述終端；其中，所述加密后的根密鑰用于所述終端通過第二解密密鑰進(jìn)行解密得到根密鑰。

第四方面，本發(fā)明實(shí)施例提供了另一種服務(wù)器，該服務(wù)器包括：

第一獲取單元，用于獲取管理服務(wù)器發(fā)送的加密后的唯一標(biāo)識(shí)；其中，所述唯一標(biāo)識(shí)由所述管理服務(wù)器從終端發(fā)送的根密鑰獲取請(qǐng)求信息中獲取，所述唯一標(biāo)識(shí)是所述終端內(nèi)置的安全芯片的唯一標(biāo)識(shí)；加密后的唯一標(biāo)識(shí)攜帶所述管理服務(wù)器的標(biāo)識(shí)；

解密單元，用采用預(yù)設(shè)的解密密鑰對(duì)所述加密后的唯一標(biāo)識(shí)進(jìn)行解密得到所述安全芯片的唯一標(biāo)識(shí)；

第二獲取單元，用于根據(jù)唯一標(biāo)識(shí)與根密鑰的預(yù)設(shè)對(duì)應(yīng)關(guān)系獲取所述唯一標(biāo)識(shí)對(duì)應(yīng)的根密鑰；

加密單元，用于采用預(yù)設(shè)的加密密鑰對(duì)所述根密鑰進(jìn)行加密；

發(fā)送單元，用于根據(jù)所述管理服務(wù)器的標(biāo)識(shí)將所述加密單元加密后的根密鑰發(fā)送至所述管理服務(wù)器。

第五方面，本發(fā)明實(shí)施例提供了再一種服務(wù)器，包括處理器、輸入設(shè)備、輸出設(shè)備和存儲(chǔ)器，所述處理器、輸入設(shè)備、輸出設(shè)備和存儲(chǔ)器相互連接，其中，所述存儲(chǔ)器用于存儲(chǔ)支持服務(wù)器執(zhí)行上述方法的計(jì)算機(jī)程序，所述計(jì)算機(jī)程序包括程序指令，所述處理器被配置用于調(diào)用所述程序指令，執(zhí)行上述第一方面的方法。

第六方面，本發(fā)明實(shí)施例提供了一種計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)，所述計(jì)算機(jī)存儲(chǔ)介質(zhì)存儲(chǔ)有計(jì)算機(jī)程序，所述計(jì)算機(jī)程序包括程序指令，所述程序指令當(dāng)被處理器執(zhí)行時(shí)使所述處理器執(zhí)行上述第一方面的方法。

第七方面，本發(fā)明實(shí)施例提供了又一種服務(wù)器，包括處理器、輸入設(shè)備、輸出設(shè)備和存儲(chǔ)器，所述處理器、輸入設(shè)備、輸出設(shè)備和存儲(chǔ)器相互連接，其中，所述存儲(chǔ)器用于存儲(chǔ)支持服務(wù)器執(zhí)行上述方法的計(jì)算機(jī)程序，所述計(jì)算機(jī)程序包括程序指令，所述處理器被配置用于調(diào)用所述程序指令，執(zhí)行上述第二方面的方法。

第八方面，本發(fā)明實(shí)施例提供了一種計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)，所述計(jì)算機(jī)存儲(chǔ)介質(zhì)存儲(chǔ)有計(jì)算機(jī)程序，所述計(jì)算機(jī)程序包括程序指令，所述程序指令當(dāng)被處理器執(zhí)行時(shí)使所述處理器執(zhí)行上述第二方面的方法。

本發(fā)明實(shí)施例通過在終端與服務(wù)商服務(wù)器之間的根密鑰傳輸路徑中，增加具有可信執(zhí)行環(huán)境的管理服務(wù)器，終端在需要獲取內(nèi)置的安全芯片對(duì)應(yīng)的根密鑰時(shí)，通過向管理服務(wù)器發(fā)送攜帶安全芯片的唯一標(biāo)識(shí)的根密鑰獲取請(qǐng)求信息，管理服務(wù)器對(duì)該唯一標(biāo)識(shí)進(jìn)行加密，并將加密后的唯一標(biāo)識(shí)發(fā)送至服務(wù)商服務(wù)器，服務(wù)商服務(wù)器對(duì)加密后的唯一標(biāo)識(shí)進(jìn)行解密，并獲取該唯一標(biāo)識(shí)對(duì)應(yīng)的根密鑰，對(duì)獲取到的根密鑰進(jìn)行加密，并將加密后的根密鑰發(fā)送給管理服務(wù)器，管理服務(wù)器對(duì)服務(wù)商服務(wù)器發(fā)送的加密后的根密鑰進(jìn)行解密獲得根密鑰，并將該根密鑰經(jīng)過加密后發(fā)送給終端，以使終端能夠解密該加密的根密鑰得到安全芯片對(duì)應(yīng)的根密鑰。由于在獲取根密鑰的過程中，傳輸?shù)陌踩酒奈ㄒ粯?biāo)識(shí)及其對(duì)應(yīng)的根密鑰均是經(jīng)過加密的，并且加密安全芯片的唯一標(biāo)識(shí)以及解密服務(wù)商服務(wù)器發(fā)送的加密后的根密鑰均在管理服務(wù)器的可信執(zhí)行環(huán)境中進(jìn)行，因此，能夠有效降低根密鑰在傳輸過程中被泄露的風(fēng)險(xiǎn)，提高根密鑰的傳輸安全性，從而提高終端內(nèi)信息安全性。

附圖說明

為了更清楚地說明本發(fā)明實(shí)施例技術(shù)方案，下面將對(duì)實(shí)施例描述中所需要使用的附圖作簡(jiǎn)單地介紹，顯而易見地，下面描述中的附圖是本發(fā)明的一些實(shí)施例，對(duì)于本領(lǐng)域普通技術(shù)人員來講，在不付出創(chuàng)造性勞動(dòng)的前提下，還可以根據(jù)這些附圖獲得其他的附圖。

圖1是本發(fā)明實(shí)施例提供的一種獲取根密鑰的系統(tǒng)的示意圖；

圖2是本發(fā)明實(shí)施例提供的一種獲取根密鑰的交互圖；

圖3是本發(fā)明一實(shí)施例提供的一種獲取根密鑰的方法的示意流程圖；

圖4是本發(fā)明另一實(shí)施例提供的一種獲取根密鑰的方法的示意流程圖；

圖5是本發(fā)明再一實(shí)施例提供的一種獲取根密鑰的方法的示意流程圖；

圖6是本發(fā)明又一實(shí)施例提供的一種獲取根密鑰的方法的示意流程圖；

圖7是本發(fā)明實(shí)施例提供的一種服務(wù)器的示意性框圖；

圖8是本發(fā)明另一實(shí)施例提供的一種服務(wù)器示意性框圖；

圖9是本發(fā)明再一實(shí)施例提供的一種服務(wù)器的示意性框圖；

圖10是本發(fā)明又一實(shí)施例提供的一種服務(wù)器示意性框圖；

圖11是本發(fā)明再一實(shí)施例提供的一種服務(wù)器示意性框圖；

圖12是本發(fā)明又一實(shí)施例提供的一種服務(wù)器示意性框圖。

具體實(shí)施方式

下面將結(jié)合本發(fā)明實(shí)施例中的附圖，對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述，顯然，所描述的實(shí)施例是本發(fā)明一部分實(shí)施例，而不是全部的實(shí)施例?；诒景l(fā)明中的實(shí)施例，本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例，都屬于本發(fā)明保護(hù)的范圍。

應(yīng)當(dāng)理解，當(dāng)在本說明書和所附權(quán)利要求書中使用時(shí)，術(shù)語“包括”和“包含”指示所描述特征、整體、步驟、操作、元素和/或組件的存在，但并不排除一個(gè)或多個(gè)其它特征、整體、步驟、操作、元素、組件和/或其集合的存在或添加。

還應(yīng)當(dāng)理解，在此本發(fā)明說明書中所使用的術(shù)語僅僅是出于描述特定實(shí)施例的目的而并不意在限制本發(fā)明。如在本發(fā)明說明書和所附權(quán)利要求書中所使用的那樣，除非上下文清楚地指明其它情況，否則單數(shù)形式的“一”、“一個(gè)”及“該”意在包括復(fù)數(shù)形式。

還應(yīng)當(dāng)進(jìn)一步理解，在本發(fā)明說明書和所附權(quán)利要求書中使用的術(shù)語“和/或”是指相關(guān)聯(lián)列出的項(xiàng)中的一個(gè)或多個(gè)的任何組合以及所有可能組合，并且包括這些組合。

如在本說明書和所附權(quán)利要求書中所使用的那樣，術(shù)語“如果”可以依據(jù)上下文被解釋為“當(dāng)...時(shí)”或“一旦”或“響應(yīng)于確定”或“響應(yīng)于檢測(cè)到”。類似地，短語“如果確定”或“如果檢測(cè)到[所描述條件或事件]”可以依據(jù)上下文被解釋為意指“一旦確定”或“響應(yīng)于確定”或“一旦檢測(cè)到[所描述條件或事件]”或“響應(yīng)于檢測(cè)到[所描述條件或事件]”。

具體實(shí)現(xiàn)中，本發(fā)明實(shí)施例中描述的終端包括但不限于諸如具有觸摸敏感表面(例如，觸摸屏顯示器和/或觸摸板)的移動(dòng)電話、膝上型計(jì)算機(jī)或平板計(jì)算機(jī)之類的其它便攜式設(shè)備。還應(yīng)當(dāng)理解的是，在某些實(shí)施例中，所述設(shè)備并非便攜式通信設(shè)備，而是具有觸摸敏感表面(例如，觸摸屏顯示器和/或觸摸板)的臺(tái)式計(jì)算機(jī)。

在接下來的討論中，描述了包括顯示器和觸摸敏感表面的終端。然而，應(yīng)當(dāng)理解的是，終端可以包括諸如物理鍵盤、鼠標(biāo)和/或控制桿的一個(gè)或多個(gè)其它物理用戶接口設(shè)備。

終端支持各種應(yīng)用程序，例如以下中的一個(gè)或多個(gè)：繪圖應(yīng)用程序、演示應(yīng)用程序、文字處理應(yīng)用程序、網(wǎng)站創(chuàng)建應(yīng)用程序、盤刻錄應(yīng)用程序、電子表格應(yīng)用程序、游戲應(yīng)用程序、電話應(yīng)用程序、視頻會(huì)議應(yīng)用程序、電子郵件應(yīng)用程序、即時(shí)消息收發(fā)應(yīng)用程序、鍛煉支持應(yīng)用程序、照片管理應(yīng)用程序、數(shù)碼相機(jī)應(yīng)用程序、數(shù)字?jǐn)z影機(jī)應(yīng)用程序、web瀏覽應(yīng)用程序、數(shù)字音樂播放器應(yīng)用程序和/或數(shù)字視頻播放器應(yīng)用程序。

可以在終端上執(zhí)行的各種應(yīng)用程序可以使用諸如觸摸敏感表面的至少一個(gè)公共物理用戶接口設(shè)備。可以在應(yīng)用程序之間和/或相應(yīng)應(yīng)用程序內(nèi)調(diào)整和/或改變觸摸敏感表面的一個(gè)或多個(gè)功能以及終端上顯示的相應(yīng)信息。這樣，終端的公共物理架構(gòu)(例如，觸摸敏感表面)可以支持具有對(duì)用戶而言直觀且透明的用戶界面的各種應(yīng)用程序。

請(qǐng)參見圖1，圖1是本發(fā)明實(shí)施例提供的一種獲取根密鑰的系統(tǒng)的示意圖。獲取根密鑰的系統(tǒng)包括至少一個(gè)終端110、管理服務(wù)器120以及服務(wù)商服務(wù)器130。終端內(nèi)置有安全芯片，且具備可信執(zhí)行環(huán)境(thetrustedexecutionenvironment，tee)；管理服務(wù)器可以是可信服務(wù)管理器，且可信服務(wù)管理器內(nèi)置有安全芯片，具備可信執(zhí)行環(huán)境；服務(wù)商服務(wù)器為安全芯片對(duì)應(yīng)的服務(wù)商服務(wù)器，用于為安全芯片實(shí)現(xiàn)各預(yù)設(shè)功能提供相應(yīng)的服務(wù)。管理服務(wù)器可分別與終端以及服務(wù)商服務(wù)器進(jìn)行通信。其中，tee是一個(gè)與富操作系統(tǒng)(richos)并行的獨(dú)立運(yùn)行環(huán)境，為富系統(tǒng)提供安全保護(hù)。圖1中的終端110、管理服務(wù)器120以及服務(wù)商服務(wù)器130用于執(zhí)行圖2所示的各步驟，具體請(qǐng)參閱圖2及相關(guān)描述。

請(qǐng)參見圖2，圖2是本發(fā)明實(shí)施例提供的一種獲取根密鑰的交互圖。如圖2所示的獲取根密鑰的交互圖包括：

s201：終端向管理服務(wù)器發(fā)送根密鑰獲取請(qǐng)求信息；其中，所述根密鑰獲取請(qǐng)求信息攜帶所述終端內(nèi)置的安全芯片的唯一標(biāo)識(shí)以及所述終端的標(biāo)識(shí)。

終端與管理服務(wù)器建立通信連接，且終端需要獲取根密鑰時(shí)，向管理服務(wù)器發(fā)送根密鑰獲取請(qǐng)求信息。根密鑰獲取請(qǐng)求信息攜帶終端內(nèi)置的安全芯片的唯一標(biāo)識(shí)以及終端的標(biāo)識(shí)。安全芯片的唯一標(biāo)識(shí)可以是安全芯片出廠時(shí)設(shè)置的唯一標(biāo)識(shí)碼sn。終端的標(biāo)識(shí)也是唯一的，終端的標(biāo)識(shí)可以是終端的媒體訪問控制(mediaaccesscontrol或者mediumaccesscontrol，mac)地址，但并不限于此，還可以是其他的用于能夠終端身份的標(biāo)識(shí)。

安全芯片的唯一標(biāo)識(shí)用于服務(wù)商服務(wù)器查找安全芯片的唯一標(biāo)識(shí)對(duì)應(yīng)的根密鑰。終端的標(biāo)識(shí)用于管理服務(wù)器向終端發(fā)送安全芯片的唯一標(biāo)識(shí)對(duì)應(yīng)的根密鑰。

s202：管理服務(wù)器獲取根密鑰獲取請(qǐng)求信息攜帶的唯一標(biāo)識(shí)；其中，所述根密鑰獲取請(qǐng)求信息由終端發(fā)送，所述唯一標(biāo)識(shí)是所述終端內(nèi)置的安全芯片的唯一標(biāo)識(shí)。

管理服務(wù)器接收終端發(fā)送的根密鑰獲取請(qǐng)求信息，并獲取根密鑰獲取請(qǐng)求信息攜帶的安全芯片的唯一標(biāo)識(shí)，以及終端的標(biāo)識(shí)。

s203：管理服務(wù)器采用第一加密密鑰對(duì)所述唯一標(biāo)識(shí)進(jìn)行加密，并將加密后的唯一標(biāo)識(shí)發(fā)送至所述安全芯片對(duì)應(yīng)的服務(wù)商服務(wù)器。

管理服務(wù)器采用預(yù)設(shè)的第一加密密鑰對(duì)安全芯片的唯一標(biāo)識(shí)進(jìn)行加密，并將加密后的唯一標(biāo)識(shí)發(fā)送至安全芯片對(duì)應(yīng)的服務(wù)商服務(wù)器。加密后的唯一標(biāo)識(shí)攜帶管理服務(wù)器的標(biāo)識(shí)，管理服務(wù)器的標(biāo)識(shí)用于服務(wù)商服務(wù)器能夠在獲取到安全芯片的唯一標(biāo)識(shí)對(duì)應(yīng)的根密鑰時(shí)，根據(jù)管理服務(wù)器的標(biāo)識(shí)發(fā)送該獲取到的根密鑰。

其中，管理服務(wù)器可以采用對(duì)稱加密技術(shù)對(duì)待處理的數(shù)據(jù)進(jìn)行加密或解密，也可以采用非對(duì)稱加密技術(shù)對(duì)待處理的數(shù)據(jù)進(jìn)行加密或解密。非對(duì)稱加密技術(shù)采用非對(duì)稱加密算法生成一密鑰對(duì)，對(duì)待處理數(shù)據(jù)進(jìn)行加密所采用的密鑰與對(duì)待處理數(shù)據(jù)進(jìn)行解密所采用的密鑰不同。對(duì)稱加密技術(shù)采用對(duì)稱加密算法生成一密鑰，采用同一密鑰對(duì)待處理的數(shù)據(jù)進(jìn)行加密或解密。非對(duì)稱加密算法可以是rsa算法、數(shù)字簽名(digitalsignaturealgorithm，dsa)算法、橢圓曲線密碼體制(ellipticcurvecryptosystem，ecc)算法或diffie-hellman算法。

可選地，當(dāng)管理服務(wù)器以及服務(wù)商服務(wù)器均利用非對(duì)稱加密技術(shù)對(duì)待處理數(shù)據(jù)進(jìn)行加密或解密時(shí)，s103具體為：管理服務(wù)器通過自身的簽名私鑰對(duì)所述唯一標(biāo)識(shí)簽名得到第一唯一標(biāo)識(shí)；采用第一加密公鑰對(duì)所述第一唯一標(biāo)識(shí)進(jìn)行加密得到第二唯一標(biāo)識(shí)；其中，所述第一加密公鑰為所述服務(wù)商服務(wù)器對(duì)應(yīng)的加密公鑰；將所述第二唯一標(biāo)識(shí)發(fā)送至所述安全芯片對(duì)應(yīng)的服務(wù)商服務(wù)器。

在本實(shí)施例中，管理服務(wù)器采用非對(duì)稱加密算法對(duì)待處理的數(shù)據(jù)進(jìn)行加密或解密。管理服務(wù)器利用非對(duì)稱加密算法生成簽名公鑰以及簽名私鑰這一簽名密鑰對(duì)，管理服務(wù)器將簽名公鑰發(fā)送給終端以及安全芯片對(duì)應(yīng)的服務(wù)商服務(wù)器。

管理服務(wù)器利用非對(duì)稱加密算法生成加密公鑰以及加密私鑰這一加密密鑰對(duì)，管理服務(wù)器將加密公鑰發(fā)送給終端以及安全芯片對(duì)應(yīng)的服務(wù)商服務(wù)器。

服務(wù)商服務(wù)器對(duì)應(yīng)的加密公鑰由服務(wù)商服務(wù)器利用非對(duì)稱加密算法生成，服務(wù)商服務(wù)器對(duì)應(yīng)的加密公鑰與服務(wù)商服務(wù)器對(duì)應(yīng)的加密私鑰為一對(duì)加密密鑰。

服務(wù)商服務(wù)器還可以利用非對(duì)稱加密算法生成自身的簽名公鑰以及簽名私鑰這一簽名密鑰。同樣地，服務(wù)商服務(wù)器可以將自身的簽名公鑰以及加密公鑰發(fā)送給管理服務(wù)器。

非對(duì)稱加密算法實(shí)現(xiàn)機(jī)密信息交換的基本過程是：甲方生成一對(duì)密鑰并將其中的一把作為公用密鑰向其它方公開；得到該公用密鑰的乙方使用該密鑰對(duì)機(jī)密信息進(jìn)行加密后再發(fā)送給甲方；甲方再用自己保存的另一把專用密鑰對(duì)加密后的機(jī)密信息進(jìn)行解密。另一方面，甲方可以使用乙方的公鑰對(duì)機(jī)密信息進(jìn)行簽名后再發(fā)送給乙方；乙方再用自己的私鑰對(duì)簽名后的機(jī)密數(shù)據(jù)進(jìn)行驗(yàn)簽。

管理服務(wù)器通過自身的簽名私鑰對(duì)安全芯片的唯一標(biāo)識(shí)簽名得到第一唯一標(biāo)識(shí)；采用第一加密公鑰對(duì)第一唯一標(biāo)識(shí)進(jìn)行加密得到第二唯一標(biāo)識(shí)；其中，第一加密公鑰為服務(wù)商服務(wù)器對(duì)應(yīng)的加密公鑰；將第二唯一標(biāo)識(shí)發(fā)送至安全芯片對(duì)應(yīng)的服務(wù)商服務(wù)器。管理服務(wù)器可以對(duì)唯一標(biāo)識(shí)先簽名再加密，也可以對(duì)唯一標(biāo)識(shí)先加密再簽名，此處不做限制。

管理服務(wù)器與服務(wù)商服務(wù)器可以采用專線通信，專線通信的數(shù)據(jù)安全性較高。

s204：服務(wù)商服務(wù)器獲取管理服務(wù)器發(fā)送的加密后的唯一標(biāo)識(shí)；其中，所述唯一標(biāo)識(shí)由所述管理服務(wù)器從終端發(fā)送的根密鑰獲取請(qǐng)求信息中獲取，所述唯一標(biāo)識(shí)是所述終端內(nèi)置的安全芯片的唯一標(biāo)識(shí)；加密后的唯一標(biāo)識(shí)攜帶所述管理服務(wù)器的標(biāo)識(shí)。

s205：服務(wù)商服務(wù)器采用預(yù)設(shè)的解密密鑰對(duì)所述加密后的唯一標(biāo)識(shí)進(jìn)行解密得到所述唯一標(biāo)識(shí)。

服務(wù)商服務(wù)器可以利用對(duì)稱加密技術(shù)或非對(duì)稱加密技術(shù)對(duì)待處理數(shù)據(jù)進(jìn)行加密或解密。其中，預(yù)設(shè)的解密密鑰與s203中的第一加密密鑰相對(duì)應(yīng)。

可選地，當(dāng)管理服務(wù)器以及服務(wù)商服務(wù)器均利用非對(duì)稱加密技術(shù)對(duì)待處理數(shù)據(jù)進(jìn)行加密或解密時(shí)，s205可以具體為：服務(wù)商服務(wù)器采用所述管理服務(wù)器對(duì)應(yīng)的簽名公鑰對(duì)所述管理服務(wù)器發(fā)送的第二唯一標(biāo)識(shí)進(jìn)行驗(yàn)簽；其中，所述第二唯一標(biāo)識(shí)為所述加密后的唯一標(biāo)識(shí)；

若驗(yàn)簽通過，則采用自身的加密私鑰對(duì)所述第二唯一標(biāo)識(shí)進(jìn)行解密得到所述安全芯片的唯一標(biāo)識(shí)。

加密后的唯一標(biāo)識(shí)為s203中管理服務(wù)器發(fā)送的第二唯一標(biāo)識(shí)，由于第二唯一標(biāo)識(shí)是管理服務(wù)器采用管理服務(wù)器生成的第一加密公鑰對(duì)第一唯一標(biāo)識(shí)得到，第一唯一標(biāo)識(shí)是管理服務(wù)器采用自身的簽名私鑰對(duì)安全芯片的唯一標(biāo)識(shí)簽名得到；服務(wù)商服務(wù)器在獲取到管理服務(wù)器發(fā)送的第二唯一標(biāo)識(shí)時(shí)，采用管理服務(wù)器對(duì)應(yīng)的簽名公鑰對(duì)該第二唯一標(biāo)識(shí)進(jìn)行驗(yàn)簽，以驗(yàn)證該第二唯一標(biāo)識(shí)是否來自管理服務(wù)器。服務(wù)商服務(wù)器對(duì)第二唯一標(biāo)識(shí)驗(yàn)簽通過(即確認(rèn)第二唯一標(biāo)識(shí)來自管理服務(wù)器)時(shí)，采用服務(wù)商服務(wù)器自身的加密私鑰對(duì)第二唯一標(biāo)識(shí)進(jìn)行解密，得到安全芯片對(duì)應(yīng)的唯一標(biāo)識(shí)。

自身的加密私鑰是服務(wù)商服務(wù)器的私有密鑰，其他設(shè)備無法獲取到。

對(duì)管理服務(wù)器發(fā)送的第二唯一標(biāo)識(shí)進(jìn)行驗(yàn)簽是指：解析第二唯一標(biāo)識(shí)攜帶的簽名信息，并識(shí)別該簽名信息是否為管理服務(wù)器的簽名信息，從而確認(rèn)第二唯一標(biāo)識(shí)是否來自管理服務(wù)器。其中，當(dāng)該簽名信息為管理服務(wù)器的簽名信息時(shí)，服務(wù)商服務(wù)器識(shí)別為第二唯一標(biāo)識(shí)來自管理服務(wù)器，驗(yàn)簽成功；當(dāng)該簽名信息不是管理服務(wù)器的簽名信息或無法解析第二唯一標(biāo)識(shí)攜帶的簽名信息時(shí)，服務(wù)商服務(wù)器識(shí)別為第二唯一標(biāo)識(shí)不是來自管理服務(wù)器，驗(yàn)簽失敗。

可以理解的是，若驗(yàn)簽失敗，則識(shí)別為第二唯一標(biāo)識(shí)不是來自于管理服務(wù)器，服務(wù)商服務(wù)器不做任何處理，結(jié)束本次控制流程。

s206：服務(wù)商服務(wù)器根據(jù)唯一標(biāo)識(shí)與根密鑰的預(yù)設(shè)對(duì)應(yīng)關(guān)系獲取所述唯一標(biāo)識(shí)對(duì)應(yīng)的根密鑰。

服務(wù)商服務(wù)器內(nèi)預(yù)先存儲(chǔ)了唯一標(biāo)識(shí)與根密鑰的預(yù)設(shè)對(duì)應(yīng)關(guān)系。唯一標(biāo)識(shí)與根密鑰一一對(duì)應(yīng)，即一個(gè)唯一標(biāo)識(shí)對(duì)應(yīng)一個(gè)根密鑰。該唯一標(biāo)識(shí)是安全芯片廠商所生產(chǎn)的所有安全芯片的唯一標(biāo)識(shí)。

可選地，服務(wù)商服務(wù)器保存的根密鑰是已加密的根密鑰。當(dāng)服務(wù)器根據(jù)安全芯片的唯一標(biāo)識(shí)在數(shù)據(jù)庫中查找到該唯一標(biāo)識(shí)對(duì)應(yīng)的已加密的根密鑰時(shí)，需要采用約定的解密密碼對(duì)已加密的根密鑰進(jìn)行解密，得到該唯一標(biāo)識(shí)對(duì)應(yīng)的根密鑰。約定的解密密碼與服務(wù)商服務(wù)器對(duì)根密鑰進(jìn)行加密時(shí)采用的加密密碼相對(duì)應(yīng)。

s207：服務(wù)商服務(wù)器采用預(yù)設(shè)的加密密鑰對(duì)所述根密鑰進(jìn)行加密，并根據(jù)所述管理服務(wù)器的標(biāo)識(shí)將加密后的根密鑰發(fā)送至所述管理服務(wù)器。

可選地，當(dāng)管理服務(wù)器以及服務(wù)商服務(wù)器均利用非對(duì)稱加密技術(shù)對(duì)待處理數(shù)據(jù)進(jìn)行加密或解密時(shí)，s207可以具體包括：

采用所述管理服務(wù)器對(duì)應(yīng)的加密公鑰對(duì)所述根密鑰進(jìn)行加密，得到第一根密鑰；

采用自身的簽名私鑰對(duì)所述第一根密鑰進(jìn)行簽名，得到第二根密鑰；

根據(jù)所述管理服務(wù)器的標(biāo)識(shí)將所述第二根密鑰發(fā)送至所述管理服務(wù)器；其中，所述第二根密鑰用于所述管理服務(wù)器采用服務(wù)商服務(wù)器的簽名公鑰對(duì)所述第二根密鑰進(jìn)行驗(yàn)簽，并在驗(yàn)簽通過時(shí)，通過所述管理服務(wù)器對(duì)應(yīng)的加密私鑰對(duì)所述加密的根密鑰進(jìn)行解密得到所述唯一標(biāo)識(shí)對(duì)應(yīng)的根密鑰。

自身的簽名私鑰為服務(wù)商服務(wù)器的簽名私鑰。

由于第二根密鑰是采用服務(wù)商服務(wù)器的簽名私鑰進(jìn)行簽名得到的，因此，管理服務(wù)器需要采用服務(wù)商服務(wù)器的簽名公鑰對(duì)第二根密鑰進(jìn)行驗(yàn)簽，以驗(yàn)證第二根密鑰是否來自服務(wù)商服務(wù)器。

其中，服務(wù)商服務(wù)器可以對(duì)獲取到的根密鑰先簽名再加密，也可以對(duì)獲取到的根密鑰先加密再簽名，此處不做限制。

s208：管理服務(wù)器接收所述服務(wù)商服務(wù)器返回的加密的根密鑰；其中，所述根密鑰是所述服務(wù)商服務(wù)器根據(jù)所述唯一標(biāo)識(shí)、唯一標(biāo)識(shí)與根密鑰的預(yù)設(shè)對(duì)應(yīng)關(guān)系得到。

s209：管理服務(wù)器采用第一解密密鑰對(duì)所述加密后的根密鑰進(jìn)行解密，得到所述唯一標(biāo)識(shí)對(duì)應(yīng)的根密鑰。

其中，第一解密密鑰與s207中預(yù)設(shè)的加密密鑰相對(duì)應(yīng)。

可選地，當(dāng)管理服務(wù)器以及服務(wù)商服務(wù)器均利用非對(duì)稱加密技術(shù)對(duì)待處理數(shù)據(jù)進(jìn)行加密或解密時(shí)，s209具體為：

采用所述服務(wù)商服務(wù)器對(duì)應(yīng)的簽名公鑰對(duì)所述服務(wù)商服務(wù)器返回的第二根密鑰進(jìn)行驗(yàn)簽；其中，所述第二根密鑰為所述加密后的根密鑰；

若驗(yàn)簽通過，則采用自身的加密私鑰對(duì)所述第二根密鑰進(jìn)行解密得到所述唯一標(biāo)識(shí)對(duì)應(yīng)的根密鑰。

加密后的根密鑰為s207中服務(wù)商服務(wù)器發(fā)送的得到第二根密鑰，由于獲取的第二根密鑰是服務(wù)商服務(wù)器采用服務(wù)商服務(wù)器的簽名私鑰對(duì)第一根密鑰簽名得到，第一根密鑰是服務(wù)商服務(wù)器采用服務(wù)商服務(wù)器對(duì)應(yīng)的加密公鑰對(duì)根密鑰進(jìn)行加密得到；管理服務(wù)器在獲取到第二根密鑰時(shí)，采用服務(wù)商服務(wù)器對(duì)應(yīng)的簽名公鑰對(duì)第二根密鑰進(jìn)行驗(yàn)簽，管理服務(wù)器對(duì)第二根密鑰驗(yàn)簽通過(即確認(rèn)第二根密鑰來自服務(wù)商服務(wù)器)時(shí)，采用管理服務(wù)器自身的加密私鑰對(duì)第二根密鑰進(jìn)行解密，得到安全芯片對(duì)應(yīng)的根密鑰。

對(duì)服務(wù)商服務(wù)器返回的第二根密鑰進(jìn)行驗(yàn)簽是指：解析第二根密鑰攜帶的簽名信息，并識(shí)別該簽名信息是否為服務(wù)商服務(wù)器的簽名信息，從而確認(rèn)第二根密鑰是否來自服務(wù)商服務(wù)器。其中，當(dāng)該簽名信息為服務(wù)商服務(wù)器的簽名信息時(shí)，管理服務(wù)器識(shí)別為第二根密鑰來自服務(wù)商服務(wù)器，驗(yàn)簽成功；當(dāng)該簽名信息不是服務(wù)商服務(wù)器的簽名信息或無法解析第二根密鑰攜帶的簽名信息時(shí)，管理服務(wù)器識(shí)別為第二唯一標(biāo)識(shí)不是來自服務(wù)商服務(wù)器，驗(yàn)簽失敗。

可以理解的是，若驗(yàn)簽失敗，則識(shí)別為第二根密鑰不是來自于服務(wù)商服務(wù)器，管理服務(wù)器不做任何處理，結(jié)束本次控制流程。

s210：管理服務(wù)器采用第二加密密鑰對(duì)所述根密鑰進(jìn)行加密，并根據(jù)所述根密鑰獲取請(qǐng)求信息攜帶的所述終端的標(biāo)識(shí)將加密后的根密鑰發(fā)送至所述終端；其中，所述加密后的根密鑰用于所述終端通過第二解密密鑰進(jìn)行解密得到根密鑰。

第二加密密鑰與第二解密密鑰相對(duì)應(yīng)。管理服務(wù)器可由采用對(duì)稱加密技術(shù)或非對(duì)稱加密技術(shù)待處理數(shù)據(jù)進(jìn)行加密或解密。

可選地，當(dāng)管理服務(wù)器以及終端均利用非對(duì)稱加密技術(shù)對(duì)待處理數(shù)據(jù)進(jìn)行加密或解密時(shí)，s210具體為：管理服務(wù)器還可以采用終端的加密公鑰對(duì)解密得到的根密鑰進(jìn)行加密得到第三根密鑰，再用管理服務(wù)器自身的簽名私鑰對(duì)第三根密鑰進(jìn)行簽名得到第四根密鑰，管理服務(wù)器根據(jù)終端的標(biāo)識(shí)將第四根密鑰發(fā)送給終端。

s211：終端接收管理服務(wù)器發(fā)送的加密后的根密鑰，采用第二解密密鑰對(duì)該加密后的根密鑰進(jìn)行解密，得到根密鑰。

可選地，當(dāng)管理服務(wù)器以及終端均利用非對(duì)稱加密技術(shù)對(duì)待處理數(shù)據(jù)進(jìn)行加密或解密時(shí)，s211具體為：終端接收管理服務(wù)器發(fā)送的第四根密鑰，采用管理服務(wù)器的簽名公鑰對(duì)第四根密鑰進(jìn)行驗(yàn)簽；若驗(yàn)簽通過，采用終端自身的加密私鑰對(duì)第四根密鑰進(jìn)行解密，得到根密鑰。

由于第四根密鑰是管理服務(wù)器采用管理服務(wù)器自身的簽名私鑰對(duì)第三根密鑰進(jìn)行簽名得到，第三根密鑰是管理服務(wù)器采用終端的加密公鑰進(jìn)行加密得到；因此，終端在獲取到第四根密鑰時(shí)，需要采用管理服務(wù)器的簽名公鑰進(jìn)行驗(yàn)簽，在驗(yàn)簽通過時(shí)，采用終端自身的加密私鑰進(jìn)行解密。

上述方案，在終端與服務(wù)商服務(wù)器之間的根密鑰傳輸路徑中，增加具有可信執(zhí)行環(huán)境的管理服務(wù)器，終端在需要獲取內(nèi)置的安全芯片對(duì)應(yīng)的根密鑰時(shí)，通過向管理服務(wù)器發(fā)送攜帶安全芯片的唯一標(biāo)識(shí)的根密鑰獲取請(qǐng)求信息，管理服務(wù)器對(duì)該唯一標(biāo)識(shí)進(jìn)行加密，并將加密后的唯一標(biāo)識(shí)發(fā)送至服務(wù)商服務(wù)器，服務(wù)商服務(wù)器對(duì)加密后的唯一標(biāo)識(shí)進(jìn)行解密，并獲取該唯一標(biāo)識(shí)對(duì)應(yīng)的根密鑰，對(duì)獲取到的根密鑰進(jìn)行加密，并將加密后的根密鑰發(fā)送給管理服務(wù)器，管理服務(wù)器對(duì)服務(wù)商服務(wù)器發(fā)送的加密后的根密鑰進(jìn)行解密獲得根密鑰，并將該根密鑰經(jīng)過加密后發(fā)送給終端，以使終端能夠解密該加密的根密鑰得到安全芯片對(duì)應(yīng)的根密鑰。由于在獲取根密鑰的過程中，傳輸?shù)陌踩酒奈ㄒ粯?biāo)識(shí)及其對(duì)應(yīng)的根密鑰均是經(jīng)過加密的，并且加密安全芯片的唯一標(biāo)識(shí)以及解密服務(wù)商服務(wù)器發(fā)送的加密后的根密鑰均在管理服務(wù)器的可信執(zhí)行環(huán)境中進(jìn)行，因此，能夠有效降低根密鑰在傳輸過程中被泄露的風(fēng)險(xiǎn)，提高根密鑰的傳輸安全性，從而提高終端內(nèi)信息安全性。

終端、管理服務(wù)器以及服務(wù)商服務(wù)器均采用非對(duì)稱加密技術(shù)進(jìn)行加密或解密，能夠進(jìn)一步降低根密鑰在傳輸過程中被泄露的風(fēng)險(xiǎn)。

請(qǐng)參見圖3，圖3是本發(fā)明實(shí)施例提供的一種獲取根密鑰的方法的示意流程圖。本實(shí)施例中獲取根密鑰的方法的執(zhí)行主體為管理服務(wù)器，管理服務(wù)器可以是可信服務(wù)管理器，且可信服務(wù)管理器內(nèi)置有安全芯片，具備可信執(zhí)行環(huán)境；其中，tee是一個(gè)與富操作系統(tǒng)(richos)并行的獨(dú)立運(yùn)行環(huán)境，為富系統(tǒng)提供安全保護(hù)。如圖3所示的獲取根密鑰的方法可包括以下步驟：

s301：獲取根密鑰獲取請(qǐng)求信息攜帶的唯一標(biāo)識(shí)；其中，所述根密鑰獲取請(qǐng)求信息由終端發(fā)送，所述唯一標(biāo)識(shí)是所述終端內(nèi)置的安全芯片的唯一標(biāo)識(shí)。

終端與管理服務(wù)器建立通信連接，且終端需要獲取根密鑰時(shí)，終端向管理服務(wù)器發(fā)送根密鑰獲取請(qǐng)求信息。根密鑰獲取請(qǐng)求信息攜帶終端內(nèi)置的安全芯片的唯一標(biāo)識(shí)以及終端的標(biāo)識(shí)。安全芯片的唯一標(biāo)識(shí)可以是安全芯片出廠時(shí)設(shè)置的唯一標(biāo)識(shí)碼sn。終端的標(biāo)識(shí)也是唯一的，終端的標(biāo)識(shí)可以是終端的媒體訪問控制(mediaaccesscontrol或者mediumaccesscontrol，mac)地址，但并不限于此，還可以是其他的用于能夠終端身份的標(biāo)識(shí)。

安全芯片的唯一標(biāo)識(shí)用于服務(wù)商服務(wù)器查找安全芯片的唯一標(biāo)識(shí)對(duì)應(yīng)的根密鑰。終端的標(biāo)識(shí)用于管理服務(wù)器向終端發(fā)送安全芯片的唯一標(biāo)識(shí)對(duì)應(yīng)的根密鑰。

管理服務(wù)器獲取根密鑰獲取請(qǐng)求信息攜帶的唯一標(biāo)識(shí)以及終端的標(biāo)識(shí)。

s302：采用第一加密密鑰對(duì)所述唯一標(biāo)識(shí)進(jìn)行加密，并將加密后的唯一標(biāo)識(shí)發(fā)送至所述安全芯片對(duì)應(yīng)的服務(wù)商服務(wù)器。

管理服務(wù)器采用預(yù)設(shè)的第一加密密鑰對(duì)安全芯片的唯一標(biāo)識(shí)進(jìn)行加密，并將加密后的唯一標(biāo)識(shí)發(fā)送至安全芯片對(duì)應(yīng)的服務(wù)商服務(wù)器。加密后的唯一標(biāo)識(shí)攜帶管理服務(wù)器的標(biāo)識(shí)，管理服務(wù)器的標(biāo)識(shí)用于服務(wù)商服務(wù)器能夠在獲取到安全芯片的唯一標(biāo)識(shí)對(duì)應(yīng)的根密鑰時(shí)，根據(jù)管理服務(wù)器的標(biāo)識(shí)發(fā)送該獲取到的根密鑰。

其中，管理服務(wù)器可以采用對(duì)稱加密技術(shù)對(duì)待處理的數(shù)據(jù)進(jìn)行加密或解密，也可以采用非對(duì)稱加密技術(shù)對(duì)待處理的數(shù)據(jù)進(jìn)行加密或解密。非對(duì)稱加密技術(shù)采用非對(duì)稱加密算法生成一密鑰對(duì)，對(duì)待處理數(shù)據(jù)進(jìn)行加密所采用的密鑰與對(duì)待處理數(shù)據(jù)進(jìn)行解密所采用的密鑰不同。對(duì)稱加密技術(shù)采用對(duì)稱加密算法生成一密鑰，采用同一密鑰對(duì)待處理的數(shù)據(jù)進(jìn)行加密或解密。非對(duì)稱加密算法可以是rsa算法、數(shù)字簽名(digitalsignaturealgorithm，dsa)算法、橢圓曲線密碼體制(ellipticcurvecryptosystem，ecc)算法或diffie-hellman算法。

s303：接收所述服務(wù)商服務(wù)器返回的加密后的根密鑰；其中，所述根密鑰是所述服務(wù)商服務(wù)器根據(jù)所述唯一標(biāo)識(shí)、唯一標(biāo)識(shí)與根密鑰的預(yù)設(shè)對(duì)應(yīng)關(guān)系得到。

當(dāng)服務(wù)商服務(wù)器根據(jù)唯一標(biāo)識(shí)與根密鑰的預(yù)設(shè)對(duì)應(yīng)關(guān)系得到該安全芯片的唯一標(biāo)識(shí)對(duì)應(yīng)的根密鑰，對(duì)獲取到的根密鑰進(jìn)行加密，并將加密后的根密鑰發(fā)送至管理服務(wù)器時(shí)，接收所述服務(wù)商服務(wù)器返回的加密后的根密鑰。

s304：采用第一解密密鑰對(duì)所述加密后的根密鑰進(jìn)行解密，得到所述唯一標(biāo)識(shí)對(duì)應(yīng)的根密鑰。

管理服務(wù)器在可信執(zhí)行環(huán)境中采用第一解密密鑰對(duì)接收到的加密后的根密鑰進(jìn)行解密，得到安全芯片的唯一標(biāo)識(shí)對(duì)應(yīng)的根密鑰。

其中，第一解密密鑰與服務(wù)商服務(wù)器對(duì)獲取到的根密鑰進(jìn)行加密時(shí)采用的加密密鑰相對(duì)應(yīng)。

s305：采用第二加密密鑰對(duì)所述根密鑰進(jìn)行加密，并根據(jù)所述根密鑰獲取請(qǐng)求信息攜帶的所述終端的標(biāo)識(shí)將加密后的根密鑰發(fā)送至所述終端；其中，所述加密后的根密鑰用于所述終端通過第二解密密鑰進(jìn)行解密得到根密鑰。

管理服務(wù)器在可信執(zhí)行環(huán)境中采用第二加密密鑰對(duì)根密鑰進(jìn)行加密，并根據(jù)根密鑰獲取請(qǐng)求信息攜帶的終端的標(biāo)識(shí)將加密后的根密鑰發(fā)送至終端，以使得終端在接收到管理服務(wù)器發(fā)送的加密后根密鑰時(shí)，采用第二解密密鑰對(duì)該加密后根密鑰進(jìn)行解密得到安全芯片對(duì)應(yīng)的根密鑰。第二解密密鑰與第二加密密鑰相對(duì)應(yīng)。

上述方案，管理服務(wù)器獲取根密鑰獲取請(qǐng)求信息攜帶的唯一標(biāo)識(shí)；其中，所述根密鑰獲取請(qǐng)求信息由終端發(fā)送，所述唯一標(biāo)識(shí)是所述終端內(nèi)置的安全芯片的唯一標(biāo)識(shí)；采用第一加密密鑰對(duì)所述唯一標(biāo)識(shí)進(jìn)行加密，并將加密后的唯一標(biāo)識(shí)發(fā)送至所述安全芯片對(duì)應(yīng)的服務(wù)商服務(wù)器；接收所述服務(wù)商服務(wù)器返回的加密后的根密鑰；其中，所述根密鑰是所述服務(wù)商服務(wù)器根據(jù)所述唯一標(biāo)識(shí)、唯一標(biāo)識(shí)與根密鑰的預(yù)設(shè)對(duì)應(yīng)關(guān)系得到；采用第一解密密鑰對(duì)所述加密后的根密鑰進(jìn)行解密，得到所述唯一標(biāo)識(shí)對(duì)應(yīng)的根密鑰；采用第二加密密鑰對(duì)所述根密鑰進(jìn)行加密，并根據(jù)所述根密鑰獲取請(qǐng)求信息攜帶的所述終端的標(biāo)識(shí)將加密后的根密鑰發(fā)送至所述終端；其中，所述加密后的根密鑰用于所述終端通過第二解密密鑰進(jìn)行解密得到根密鑰。由于在獲取根密鑰的過程中，傳輸?shù)陌踩酒奈ㄒ粯?biāo)識(shí)及其對(duì)應(yīng)的根密鑰均是經(jīng)過加密的，并且加密安全芯片的唯一標(biāo)識(shí)以及解密服務(wù)商服務(wù)器發(fā)送的加密后的根密鑰均在管理服務(wù)器的可信執(zhí)行環(huán)境中進(jìn)行，因此，能夠有效降低根密鑰在傳輸過程中被泄露的風(fēng)險(xiǎn)，提高根密鑰的傳輸安全性，從而提高終端內(nèi)信息安全性。

請(qǐng)參見圖4，圖4是本發(fā)明另一實(shí)施例提供的一種獲取根密鑰的方法的示意流程圖。本實(shí)施例中獲取根密鑰的方法的執(zhí)行主體為管理服務(wù)器，管理服務(wù)器可以是可信服務(wù)管理器，且可信服務(wù)管理器內(nèi)置有安全芯片，具備可信執(zhí)行環(huán)境；其中，tee是一個(gè)與富操作系統(tǒng)(richos)并行的獨(dú)立運(yùn)行環(huán)境，為富系統(tǒng)提供安全保護(hù)。如圖4所示的獲取根密鑰的方法可包括以下步驟：

s401：獲取根密鑰獲取請(qǐng)求信息攜帶的唯一標(biāo)識(shí)；其中，所述根密鑰獲取請(qǐng)求信息由終端發(fā)送，所述唯一標(biāo)識(shí)是所述終端內(nèi)置的安全芯片的唯一標(biāo)識(shí)。

終端與管理服務(wù)器建立通信連接，且終端需要獲取根密鑰時(shí)，終端向管理服務(wù)器發(fā)送根密鑰獲取請(qǐng)求信息。根密鑰獲取請(qǐng)求信息攜帶終端內(nèi)置的安全芯片的唯一標(biāo)識(shí)以及終端的標(biāo)識(shí)。安全芯片的唯一標(biāo)識(shí)可以是安全芯片出廠時(shí)設(shè)置的唯一標(biāo)識(shí)碼sn。終端的標(biāo)識(shí)也是唯一的，終端的標(biāo)識(shí)可以是終端的媒體訪問控制(mediaaccesscontrol或者mediumaccesscontrol，mac)地址，但并不限于此，還可以是其他的用于能夠終端身份的標(biāo)識(shí)。

安全芯片的唯一標(biāo)識(shí)用于服務(wù)商服務(wù)器查找安全芯片的唯一標(biāo)識(shí)對(duì)應(yīng)的根密鑰。終端的標(biāo)識(shí)用于管理服務(wù)器向終端發(fā)送安全芯片的唯一標(biāo)識(shí)對(duì)應(yīng)的根密鑰。

管理服務(wù)器獲取根密鑰獲取請(qǐng)求信息攜帶的唯一標(biāo)識(shí)以及終端的標(biāo)識(shí)。

s402：采用第一加密密鑰對(duì)所述唯一標(biāo)識(shí)進(jìn)行加密，并將加密后的唯一標(biāo)識(shí)發(fā)送至所述安全芯片對(duì)應(yīng)的服務(wù)商服務(wù)器。

管理服務(wù)器采用預(yù)設(shè)的第一加密密鑰對(duì)安全芯片的唯一標(biāo)識(shí)進(jìn)行加密，并將加密后的唯一標(biāo)識(shí)發(fā)送至安全芯片對(duì)應(yīng)的服務(wù)商服務(wù)器。加密后的唯一標(biāo)識(shí)攜帶管理服務(wù)器的標(biāo)識(shí)，管理服務(wù)器的標(biāo)識(shí)用于服務(wù)商服務(wù)器能夠在獲取到安全芯片的唯一標(biāo)識(shí)對(duì)應(yīng)的根密鑰時(shí)，根據(jù)管理服務(wù)器的標(biāo)識(shí)發(fā)送該獲取到的根密鑰。

其中，管理服務(wù)器可以采用對(duì)稱加密技術(shù)對(duì)待處理的數(shù)據(jù)進(jìn)行加密或解密，也可以采用非對(duì)稱加密技術(shù)對(duì)待處理的數(shù)據(jù)進(jìn)行加密或解密。非對(duì)稱加密技術(shù)采用非對(duì)稱加密算法生成一密鑰對(duì)，對(duì)待處理數(shù)據(jù)進(jìn)行加密所采用的密鑰與對(duì)待處理數(shù)據(jù)進(jìn)行解密所采用的密鑰不同。對(duì)稱加密技術(shù)采用對(duì)稱加密算法生成一密鑰，采用同一密鑰對(duì)待處理的數(shù)據(jù)進(jìn)行加密或解密。非對(duì)稱加密算法可以是rsa算法、數(shù)字簽名(digitalsignaturealgorithm，dsa)算法、橢圓曲線密碼體制(ellipticcurvecryptosystem，ecc)算法或diffie-hellman算法。

可選地，當(dāng)管理服務(wù)器利用非對(duì)稱加密技術(shù)對(duì)待處理數(shù)據(jù)進(jìn)行加密時(shí)，s402可以包括s4021～s4023。

s4021：通過自身的簽名私鑰對(duì)所述唯一標(biāo)識(shí)簽名得到第一唯一標(biāo)識(shí)。

在本實(shí)施例中，管理服務(wù)器采用非對(duì)稱加密算法對(duì)待處理的數(shù)據(jù)進(jìn)行加密或解密。管理服務(wù)器利用非對(duì)稱加密算法生成簽名公鑰以及簽名私鑰這一簽名密鑰對(duì)，管理服務(wù)器將簽名公鑰發(fā)送給終端以及安全芯片對(duì)應(yīng)的服務(wù)商服務(wù)器。

管理服務(wù)器利用非對(duì)稱加密算法生成加密公鑰以及加密私鑰這一加密密鑰對(duì)，管理服務(wù)器將加密公鑰發(fā)送給終端以及安全芯片對(duì)應(yīng)的服務(wù)商服務(wù)器。

非對(duì)稱加密算法實(shí)現(xiàn)機(jī)密信息交換的基本過程是：甲方生成一對(duì)密鑰并將其中的一把作為公用密鑰向其它方公開；得到該公用密鑰的乙方使用該密鑰對(duì)機(jī)密信息進(jìn)行加密后再發(fā)送給甲方；甲方再用自己保存的另一把專用密鑰對(duì)加密后的機(jī)密信息進(jìn)行解密。另一方面，甲方可以使用乙方的公鑰對(duì)機(jī)密信息進(jìn)行簽名后再發(fā)送給乙方；乙方再用自己的私鑰對(duì)簽名后的機(jī)密數(shù)據(jù)進(jìn)行驗(yàn)簽。

管理服務(wù)器通過自身的簽名私鑰對(duì)安全芯片的唯一標(biāo)識(shí)簽名得到第一唯一標(biāo)識(shí)。

管理服務(wù)器生成的簽名密鑰對(duì)包括簽名公鑰以及簽名私鑰。簽名私鑰是管理服務(wù)器私有密鑰，不對(duì)任何其他設(shè)備公開，供管理服務(wù)器對(duì)需要向其他設(shè)備發(fā)送的數(shù)據(jù)進(jìn)行簽名。簽名公鑰提供給與管理服務(wù)器進(jìn)行數(shù)據(jù)交互的設(shè)備公用，以使其他設(shè)備能夠采用管理服務(wù)器的簽名公鑰對(duì)需要發(fā)送給管理服務(wù)器的數(shù)據(jù)進(jìn)行簽名。

s4022：采用第一加密公鑰對(duì)所述第一唯一標(biāo)識(shí)進(jìn)行加密得到第二唯一標(biāo)識(shí)；其中，所述第一加密公鑰為所述服務(wù)商服務(wù)器對(duì)應(yīng)的加密公鑰。

管理服務(wù)器采用服務(wù)商服務(wù)器根據(jù)非對(duì)稱加密算法生成的加密密鑰對(duì)中的加密公鑰對(duì)第一唯一標(biāo)識(shí)進(jìn)行加密得到第二唯一標(biāo)識(shí)。

服務(wù)商服務(wù)器生成的加密密鑰對(duì)包括加密公鑰以及加密私鑰。

加密私鑰為管理服務(wù)器私有的密鑰，不對(duì)任何其他設(shè)備公開，管理服務(wù)器采用加密私鑰對(duì)需要外發(fā)的數(shù)據(jù)進(jìn)行加密。加密公鑰提供給與管理服務(wù)器進(jìn)行數(shù)據(jù)交互的設(shè)備公用，以使其他設(shè)備能夠采用管理服務(wù)器的加密公鑰對(duì)需要發(fā)送給管理服務(wù)器的數(shù)據(jù)進(jìn)行加密。

s4021與s4022不分先后順序執(zhí)行。

s4023：將所述第二唯一標(biāo)識(shí)發(fā)送至所述安全芯片對(duì)應(yīng)的服務(wù)商服務(wù)器。

管理服務(wù)器與服務(wù)商服務(wù)器建立專線通信連接，將第二唯一標(biāo)識(shí)發(fā)送至安全芯片對(duì)應(yīng)的服務(wù)商服務(wù)器。

s403：接收所述服務(wù)商服務(wù)器返回的加密后的根密鑰；其中，所述根密鑰是所述服務(wù)商服務(wù)器根據(jù)所述唯一標(biāo)識(shí)、唯一標(biāo)識(shí)與根密鑰的預(yù)設(shè)對(duì)應(yīng)關(guān)系得到。

當(dāng)服務(wù)商服務(wù)器根據(jù)唯一標(biāo)識(shí)與根密鑰的預(yù)設(shè)對(duì)應(yīng)關(guān)系得到該安全芯片的唯一標(biāo)識(shí)對(duì)應(yīng)的根密鑰，對(duì)獲取到的根密鑰進(jìn)行加密，并將加密后的根密鑰發(fā)送至管理服務(wù)器時(shí)，管理服務(wù)器接收所述服務(wù)商服務(wù)器返回的加密后的根密鑰。

s404：采用第一解密密鑰對(duì)所述加密后的根密鑰進(jìn)行解密，得到所述唯一標(biāo)識(shí)對(duì)應(yīng)的根密鑰。

管理服務(wù)器在可信執(zhí)行環(huán)境中采用第一解密密鑰對(duì)接收到的加密后的根密鑰進(jìn)行解密，得到安全芯片的唯一標(biāo)識(shí)對(duì)應(yīng)的根密鑰。

其中，第一解密密鑰與服務(wù)商服務(wù)器對(duì)獲取到的根密鑰進(jìn)行加密時(shí)采用的加密密鑰相對(duì)應(yīng)。

進(jìn)一步地，當(dāng)服務(wù)商服務(wù)器以及管理服務(wù)器利用非對(duì)稱加密技術(shù)對(duì)待處理數(shù)據(jù)進(jìn)行加密或解密時(shí)，s404可以包括s4041～s4042。

s4041：采用所述服務(wù)商服務(wù)器對(duì)應(yīng)的簽名公鑰對(duì)所述服務(wù)商服務(wù)器返回的第二根密鑰進(jìn)行驗(yàn)簽；其中，所述第二根密鑰為所述加密后的根密鑰。

其中，第二根密鑰是服務(wù)商服務(wù)器采用服務(wù)商服務(wù)器的簽名私鑰對(duì)第一根密鑰進(jìn)行簽名得到，第一根密鑰是服務(wù)商服務(wù)器采用管理服務(wù)器對(duì)應(yīng)的加密公鑰對(duì)獲取到的根密鑰進(jìn)行加密得到。

服務(wù)商服務(wù)器還可以利用非對(duì)稱加密算法生成自身的簽名公鑰以及簽名私鑰這一簽名密鑰。同樣地，服務(wù)商服務(wù)器可以將自身的簽名公鑰以及加密公鑰發(fā)送給管理服務(wù)器。

由于第二根密鑰是服務(wù)商服務(wù)器采用服務(wù)商服務(wù)器的簽名私鑰對(duì)第一根密鑰簽名得到，第一根密鑰是服務(wù)商服務(wù)器采用服務(wù)商服務(wù)器對(duì)應(yīng)的加密公鑰對(duì)根密鑰進(jìn)行加密得到；管理服務(wù)器在獲取到第二根密鑰時(shí)，在可信執(zhí)行環(huán)境中采用服務(wù)商服務(wù)器對(duì)應(yīng)的簽名公鑰對(duì)第二根密鑰進(jìn)行驗(yàn)簽，從而驗(yàn)證該第二根密鑰是否來自服務(wù)商服務(wù)器。

對(duì)服務(wù)商服務(wù)器返回的第二根密鑰進(jìn)行驗(yàn)簽是指：解析第二根密鑰攜帶的簽名信息，并識(shí)別該簽名信息是否為服務(wù)商服務(wù)器的簽名信息，從而確認(rèn)第二根密鑰是否來自服務(wù)商服務(wù)器。其中，當(dāng)該簽名信息為服務(wù)商服務(wù)器的簽名信息時(shí)，管理服務(wù)器識(shí)別為第二根密鑰來自服務(wù)商服務(wù)器，驗(yàn)簽成功；當(dāng)該簽名信息不是服務(wù)商服務(wù)器的簽名信息或無法解析第二根密鑰攜帶的簽名信息時(shí)，管理服務(wù)器識(shí)別為第二唯一標(biāo)識(shí)不是來自服務(wù)商服務(wù)器，驗(yàn)簽失敗。

s4042：若驗(yàn)簽通過，則采用自身的加密私鑰對(duì)所述第二根密鑰進(jìn)行解密得到所述唯一標(biāo)識(shí)對(duì)應(yīng)的根密鑰。

管理服務(wù)器對(duì)第二根密鑰驗(yàn)簽通過(即確認(rèn)第二根密鑰來自服務(wù)商服務(wù)器)時(shí)，采用管理服務(wù)器自身的加密私鑰對(duì)第二根密鑰進(jìn)行解密，得到安全芯片對(duì)應(yīng)的根密鑰。

可以理解的是，若驗(yàn)簽失敗，則識(shí)別為第二根密鑰不是來自于服務(wù)商服務(wù)器，管理服務(wù)器不做任何處理，結(jié)束本次控制流程。

s405：采用第二加密密鑰對(duì)所述根密鑰進(jìn)行加密，并根據(jù)所述根密鑰獲取請(qǐng)求信息攜帶的所述終端的標(biāo)識(shí)將加密后的根密鑰發(fā)送至所述終端；其中，所述加密后的根密鑰用于所述終端通過第二解密密鑰進(jìn)行解密得到根密鑰。

管理服務(wù)器在可信執(zhí)行環(huán)境中采用第二加密密鑰對(duì)根密鑰進(jìn)行加密，并根據(jù)根密鑰獲取請(qǐng)求信息攜帶的終端的標(biāo)識(shí)將加密后的根密鑰發(fā)送至終端，以使得終端在接收到管理服務(wù)器發(fā)送的加密后根密鑰時(shí)，采用第二解密密鑰對(duì)該加密后根密鑰進(jìn)行解密得到安全芯片對(duì)應(yīng)的根密鑰。第二解密密鑰與第二加密密鑰相對(duì)應(yīng)。

進(jìn)一步地，當(dāng)管理服務(wù)器以及終端均利用非對(duì)稱加密技術(shù)對(duì)待處理數(shù)據(jù)進(jìn)行加密或解密時(shí)，s405可以包括s4051～s4053。

s4051：采用所述終端的加密公鑰對(duì)所述根密鑰進(jìn)行加密得到第三根密鑰。

管理服務(wù)器在可信執(zhí)行環(huán)境中，采用終端的加密公鑰對(duì)根密鑰進(jìn)行加密得到第三根密鑰。終端的加密公鑰以及終端的加密私鑰由終端采用非對(duì)稱加密算法生成，并將終端的加密公鑰發(fā)送給管理服務(wù)器；終端的加密私鑰為終端的私有密鑰，不發(fā)送給管理服務(wù)器或其他設(shè)備。

s4052：采用自身的簽名私鑰對(duì)所述第三根密鑰進(jìn)行簽名得到第四根密鑰。

管理服務(wù)器在可信執(zhí)行環(huán)境中，采用管理服務(wù)器的簽名私鑰對(duì)第三根密鑰進(jìn)行簽名得到第四根密鑰。

s4053：根據(jù)所述根密鑰獲取請(qǐng)求信息攜帶的所述終端的標(biāo)識(shí)將所述第四根密鑰發(fā)送至所述終端；其中，所述第四根密鑰用于所述終端通過管理服務(wù)器的簽名公鑰驗(yàn)簽，并在驗(yàn)簽通過時(shí)，采用所述終端的加密私鑰進(jìn)行解密得到所述唯一標(biāo)識(shí)對(duì)應(yīng)的根密鑰。

管理服務(wù)器根據(jù)根密鑰獲取請(qǐng)求信息攜帶的終端的標(biāo)識(shí)將第四根密鑰發(fā)送至終端。由于第四根密鑰是管理服務(wù)器采用管理服務(wù)器自身的簽名私鑰對(duì)第三根密鑰進(jìn)行簽名得到，第三根密鑰是管理服務(wù)器采用終端的加密公鑰進(jìn)行加密得到；因此，終端在獲取到第四根密鑰時(shí)，需要采用管理服務(wù)器的簽名公鑰進(jìn)行驗(yàn)簽，在驗(yàn)簽通過時(shí)，采用終端自身的加密私鑰進(jìn)行解密；在驗(yàn)簽失敗時(shí)，不做任何處理或結(jié)束本次控制流程。

上述方案，管理服務(wù)器獲取根密鑰獲取請(qǐng)求信息攜帶的唯一標(biāo)識(shí)；其中，所述根密鑰獲取請(qǐng)求信息由終端發(fā)送，所述唯一標(biāo)識(shí)是所述終端內(nèi)置的安全芯片的唯一標(biāo)識(shí)；采用第一加密密鑰對(duì)所述唯一標(biāo)識(shí)進(jìn)行加密，并將加密后的唯一標(biāo)識(shí)發(fā)送至所述安全芯片對(duì)應(yīng)的服務(wù)商服務(wù)器；接收所述服務(wù)商服務(wù)器返回的加密后的根密鑰；其中，所述根密鑰是所述服務(wù)商服務(wù)器根據(jù)所述唯一標(biāo)識(shí)、唯一標(biāo)識(shí)與根密鑰的預(yù)設(shè)對(duì)應(yīng)關(guān)系得到；采用第一解密密鑰對(duì)所述加密后的根密鑰進(jìn)行解密，得到所述唯一標(biāo)識(shí)對(duì)應(yīng)的根密鑰；采用第二加密密鑰對(duì)所述根密鑰進(jìn)行加密，并根據(jù)所述根密鑰獲取請(qǐng)求信息攜帶的所述終端的標(biāo)識(shí)將加密后的根密鑰發(fā)送至所述終端；其中，所述加密后的根密鑰用于所述終端通過第二解密密鑰進(jìn)行解密得到根密鑰。由于在獲取根密鑰的過程中，傳輸?shù)陌踩酒奈ㄒ粯?biāo)識(shí)及其對(duì)應(yīng)的根密鑰均是經(jīng)過加密的，并且加密安全芯片的唯一標(biāo)識(shí)以及解密服務(wù)商服務(wù)器發(fā)送的加密后的根密鑰均在管理服務(wù)器的可信執(zhí)行環(huán)境中進(jìn)行，因此，能夠有效降低根密鑰在傳輸過程中被泄露的風(fēng)險(xiǎn)，提高根密鑰的傳輸安全性，從而提高終端內(nèi)信息安全性。

管理服務(wù)器采用非對(duì)稱加密技術(shù)進(jìn)行加密或解密，能夠進(jìn)一步降低根密鑰在傳輸過程中被泄露的風(fēng)險(xiǎn)。

請(qǐng)參見圖5，圖5是本發(fā)明再一實(shí)施例提供的一種獲取根密鑰的方法的示意流程圖。本實(shí)施例中獲取根密鑰的方法的執(zhí)行主體為服務(wù)商服務(wù)器，服務(wù)商服務(wù)器為安全芯片對(duì)應(yīng)的服務(wù)商服務(wù)器，用于為安全芯片實(shí)現(xiàn)各預(yù)設(shè)功能提供相應(yīng)的服務(wù)。管理服務(wù)器可分別與終端以及服務(wù)商服務(wù)器進(jìn)行通信。如圖5所示的獲取根密鑰的方法可包括以下步驟：

s501：獲取管理服務(wù)器發(fā)送的加密后的唯一標(biāo)識(shí)；其中，所述唯一標(biāo)識(shí)由所述管理服務(wù)器從終端發(fā)送的根密鑰獲取請(qǐng)求信息中獲取，所述唯一標(biāo)識(shí)是所述終端內(nèi)置的安全芯片的唯一標(biāo)識(shí)；加密后的唯一標(biāo)識(shí)攜帶所述管理服務(wù)器的標(biāo)識(shí)。

當(dāng)管理服務(wù)器在從終端發(fā)送的根密鑰獲取請(qǐng)求信息中，獲取到根密鑰獲取請(qǐng)求信息攜帶的唯一標(biāo)識(shí)，采用預(yù)設(shè)的加密密鑰對(duì)該唯一標(biāo)識(shí)進(jìn)行加密，并將加密后的唯一標(biāo)識(shí)發(fā)送至安全芯片對(duì)應(yīng)的服務(wù)商服務(wù)器時(shí)，獲取管理服務(wù)器發(fā)送的加密后的唯一標(biāo)識(shí)。加密后的唯一標(biāo)識(shí)攜帶管理服務(wù)器的標(biāo)識(shí)，用于服務(wù)商服務(wù)器向管理服務(wù)器發(fā)送唯一標(biāo)識(shí)對(duì)應(yīng)的根密鑰。

唯一標(biāo)識(shí)是終端內(nèi)置的安全芯片的唯一標(biāo)識(shí)。

s502：采用預(yù)設(shè)的解密密鑰對(duì)所述加密后的唯一標(biāo)識(shí)進(jìn)行解密得到所述安全芯片的唯一標(biāo)識(shí)。

服務(wù)商服務(wù)器可以利用對(duì)稱加密技術(shù)或非對(duì)稱加密技術(shù)對(duì)待處理數(shù)據(jù)進(jìn)行加密或解密。預(yù)設(shè)的解密密鑰與s501中管理服務(wù)器所采用的預(yù)設(shè)的加密密鑰相對(duì)應(yīng)。

非對(duì)稱加密算法實(shí)現(xiàn)機(jī)密信息交換的基本過程是：甲方生成一對(duì)密鑰并將其中的一把作為公用密鑰向其它方公開；得到該公用密鑰的乙方使用該密鑰對(duì)機(jī)密信息進(jìn)行加密后再發(fā)送給甲方；甲方再用自己保存的另一把專用密鑰對(duì)加密后的機(jī)密信息進(jìn)行解密。另一方面，甲方可以使用乙方的公鑰對(duì)機(jī)密信息進(jìn)行簽名后再發(fā)送給乙方；乙方再用自己的私鑰對(duì)簽名后的機(jī)密數(shù)據(jù)進(jìn)行驗(yàn)簽。

s503：根據(jù)唯一標(biāo)識(shí)與根密鑰的預(yù)設(shè)對(duì)應(yīng)關(guān)系獲取所述唯一標(biāo)識(shí)對(duì)應(yīng)的根密鑰。

其中，服務(wù)商服務(wù)器內(nèi)預(yù)先存儲(chǔ)了唯一標(biāo)識(shí)與根密鑰的預(yù)設(shè)對(duì)應(yīng)關(guān)系。唯一標(biāo)識(shí)與根密鑰一一對(duì)應(yīng)，即一個(gè)唯一標(biāo)識(shí)對(duì)應(yīng)一個(gè)根密鑰。該唯一標(biāo)識(shí)是安全芯片廠商所生產(chǎn)的所有安全芯片的唯一標(biāo)識(shí)。

可選地，服務(wù)商服務(wù)器保存的根密鑰是已加密的根密鑰。當(dāng)服務(wù)器根據(jù)安全芯片的唯一標(biāo)識(shí)在數(shù)據(jù)庫中查找到該唯一標(biāo)識(shí)對(duì)應(yīng)的已加密的根密鑰時(shí)，需要采用約定的解密密碼對(duì)已加密的根密鑰進(jìn)行解密，得到該唯一標(biāo)識(shí)對(duì)應(yīng)的根密鑰。約定的解密密碼與服務(wù)商服務(wù)器對(duì)根密鑰進(jìn)行加密時(shí)采用的加密密碼相對(duì)應(yīng)。

s504：采用預(yù)設(shè)的加密密鑰對(duì)所述根密鑰進(jìn)行加密，并根據(jù)所述管理服務(wù)器的標(biāo)識(shí)將加密后的根密鑰發(fā)送至所述管理服務(wù)器。

預(yù)設(shè)的加密密鑰可以是服務(wù)商服務(wù)器采用對(duì)稱加密算法生成的加密密鑰，也可以是服務(wù)商服務(wù)器采用非對(duì)稱加密算法生成的加密密鑰。預(yù)設(shè)的加密密鑰與管理服務(wù)器解密該加密后的根密鑰所采用的解密密鑰相對(duì)應(yīng)。

其中，加密后的根密鑰用于管理服務(wù)器采用與預(yù)設(shè)的加密密鑰對(duì)應(yīng)的解密密鑰進(jìn)行解密，得到根密鑰，并采用與終端約定的加密密鑰對(duì)根密鑰進(jìn)行加密，將加密后的根密鑰發(fā)送給終端，從而使得終端能夠采用與管理服務(wù)器約定的解密密鑰解密該接收到的加密的根密鑰，得到安全芯片對(duì)應(yīng)的根密鑰。與終端約定的加密密鑰、與管理服務(wù)器約定的解密密鑰兩者相對(duì)應(yīng)。再次對(duì)約定的加密密鑰以及約定的解密密鑰不做限定。

上述方案，服務(wù)商服務(wù)器獲取管理服務(wù)器發(fā)送的加密后的唯一標(biāo)識(shí)；采用預(yù)設(shè)的解密密鑰對(duì)所述加密后的唯一標(biāo)識(shí)進(jìn)行解密得到所述安全芯片的唯一標(biāo)識(shí)；根據(jù)唯一標(biāo)識(shí)與根密鑰的預(yù)設(shè)對(duì)應(yīng)關(guān)系獲取所述唯一標(biāo)識(shí)對(duì)應(yīng)的根密鑰；采用預(yù)設(shè)的加密密鑰對(duì)所述根密鑰進(jìn)行加密，并根據(jù)所述管理服務(wù)器的標(biāo)識(shí)將加密后的根密鑰發(fā)送至所述管理服務(wù)器，以使管理服務(wù)器能夠采用與預(yù)設(shè)的加密密鑰對(duì)應(yīng)的解密密鑰進(jìn)行解密，得到根密鑰，并采用與終端約定的加密密鑰對(duì)根密鑰進(jìn)行加密，將加密后的根密鑰發(fā)送給終端，從而使得終端能夠采用與管理服務(wù)器約定的解密密鑰解密該接收到的加密的根密鑰，得到安全芯片對(duì)應(yīng)的根密鑰。由于在獲取根密鑰的過程中，傳輸?shù)陌踩酒奈ㄒ粯?biāo)識(shí)及其對(duì)應(yīng)的根密鑰均是經(jīng)過加密的，并且加密安全芯片的唯一標(biāo)識(shí)以及解密服務(wù)商服務(wù)器發(fā)送的加密后的根密鑰均在管理服務(wù)器的可信執(zhí)行環(huán)境中進(jìn)行，因此，能夠有效降低根密鑰在傳輸過程中被泄露的風(fēng)險(xiǎn)，提高根密鑰的傳輸安全性，從而提高終端內(nèi)信息安全性。

服務(wù)商服務(wù)器采用非對(duì)稱加密技術(shù)進(jìn)行加密或解密，能夠進(jìn)一步降低根密鑰在傳輸過程中被泄露的風(fēng)險(xiǎn)。

請(qǐng)參見圖6，圖6是本發(fā)明又一實(shí)施例提供的一種獲取根密鑰的方法的示意流程圖。本實(shí)施例中獲取根密鑰的方法的執(zhí)行主體為服務(wù)商服務(wù)器，服務(wù)商服務(wù)器為安全芯片對(duì)應(yīng)的服務(wù)商服務(wù)器，用于為安全芯片實(shí)現(xiàn)各預(yù)設(shè)功能提供相應(yīng)的服務(wù)。管理服務(wù)器可分別與終端以及服務(wù)商服務(wù)器進(jìn)行通信。如圖6所示的獲取根密鑰的方法可包括以下步驟：

s601：獲取管理服務(wù)器發(fā)送的加密后的唯一標(biāo)識(shí)；其中，所述唯一標(biāo)識(shí)由所述管理服務(wù)器從終端發(fā)送的根密鑰獲取請(qǐng)求信息中獲取，所述唯一標(biāo)識(shí)是所述終端內(nèi)置的安全芯片的唯一標(biāo)識(shí)；加密后的唯一標(biāo)識(shí)攜帶所述管理服務(wù)器的標(biāo)識(shí)。

當(dāng)管理服務(wù)器在從終端發(fā)送的根密鑰獲取請(qǐng)求信息中，獲取到根密鑰獲取請(qǐng)求信息攜帶的唯一標(biāo)識(shí)，采用預(yù)設(shè)的加密密鑰對(duì)該唯一標(biāo)識(shí)進(jìn)行加密，并將加密后的唯一標(biāo)識(shí)發(fā)送至安全芯片對(duì)應(yīng)的服務(wù)商服務(wù)器時(shí)，獲取管理服務(wù)器發(fā)送的加密后的唯一標(biāo)識(shí)。加密后的唯一標(biāo)識(shí)攜帶管理服務(wù)器的標(biāo)識(shí)，用于服務(wù)商服務(wù)器向管理服務(wù)器發(fā)送唯一標(biāo)識(shí)對(duì)應(yīng)的根密鑰。

唯一標(biāo)識(shí)是終端內(nèi)置的安全芯片的唯一標(biāo)識(shí)。

s6021：采用所述管理服務(wù)器對(duì)應(yīng)的簽名公鑰對(duì)所述管理服務(wù)器發(fā)送的第二唯一標(biāo)識(shí)進(jìn)行驗(yàn)簽；其中，所述第二唯一標(biāo)識(shí)為所述加密后的唯一標(biāo)識(shí)；所述第二唯一標(biāo)識(shí)是所述管理服務(wù)器采用服務(wù)商服務(wù)器對(duì)應(yīng)的加密公鑰對(duì)第一唯一標(biāo)識(shí)進(jìn)行加密得到，所述第一唯一標(biāo)識(shí)是所述管理服務(wù)器采用所述管理服務(wù)器的簽名私鑰對(duì)所述安全芯片的唯一標(biāo)識(shí)簽名得到。

當(dāng)管理服務(wù)器以及服務(wù)商服務(wù)器均利用非對(duì)稱加密技術(shù)對(duì)待處理數(shù)據(jù)進(jìn)行加密或解密時(shí)，由于管理服務(wù)器發(fā)送的加密后的唯一標(biāo)識(shí)是管理服務(wù)器采用管理服務(wù)器的簽名私鑰進(jìn)行簽名，因此，服務(wù)商服務(wù)器根據(jù)非對(duì)稱加密技術(shù)采用管理服務(wù)器對(duì)應(yīng)的簽名公鑰對(duì)管理服務(wù)器發(fā)送的第二唯一標(biāo)識(shí)進(jìn)行驗(yàn)簽，以驗(yàn)證第二唯一標(biāo)識(shí)是否來自管理服務(wù)器。

其中，非對(duì)稱加密算法實(shí)現(xiàn)機(jī)密信息交換的基本過程是：甲方生成一對(duì)密鑰并將其中的一把作為公用密鑰向其它方公開；得到該公用密鑰的乙方使用該密鑰對(duì)機(jī)密信息進(jìn)行加密后再發(fā)送給甲方；甲方再用自己保存的另一把專用密鑰對(duì)加密后的機(jī)密信息進(jìn)行解密。另一方面，甲方可以使用乙方的公鑰對(duì)機(jī)密信息進(jìn)行簽名后再發(fā)送給乙方；乙方再用自己的私鑰對(duì)簽名后的機(jī)密數(shù)據(jù)進(jìn)行驗(yàn)簽。

對(duì)管理服務(wù)器發(fā)送的第二唯一標(biāo)識(shí)進(jìn)行驗(yàn)簽是指：解析第二唯一標(biāo)識(shí)攜帶的簽名信息，并識(shí)別該簽名信息是否為管理服務(wù)器的簽名信息，從而確認(rèn)第二唯一標(biāo)識(shí)是否來自管理服務(wù)器。其中，當(dāng)該簽名信息為管理服務(wù)器的簽名信息時(shí)，服務(wù)商服務(wù)器識(shí)別為第二唯一標(biāo)識(shí)來自管理服務(wù)器，驗(yàn)簽成功；當(dāng)該簽名信息不是管理服務(wù)器的簽名信息或無法解析第二唯一標(biāo)識(shí)攜帶的簽名信息時(shí)，服務(wù)商服務(wù)器識(shí)別為第二唯一標(biāo)識(shí)不是來自管理服務(wù)器，驗(yàn)簽失敗。

當(dāng)?shù)诙ㄒ粯?biāo)識(shí)來自管理服務(wù)器時(shí)，驗(yàn)簽通過；當(dāng)?shù)诙ㄒ粯?biāo)識(shí)不是來自管理服務(wù)器時(shí)，驗(yàn)簽失敗。

s6022：若驗(yàn)簽通過，則采用自身的加密私鑰對(duì)所述第二唯一標(biāo)識(shí)進(jìn)行解密得到所述安全芯片的唯一標(biāo)識(shí)。

由于第二唯一標(biāo)識(shí)是管理服務(wù)器采用管理服務(wù)器生成的第一加密公鑰對(duì)第一唯一標(biāo)識(shí)得到，第一唯一標(biāo)識(shí)是管理服務(wù)器采用自身的簽名私鑰對(duì)安全芯片的唯一標(biāo)識(shí)簽名得到；服務(wù)商服務(wù)器確認(rèn)對(duì)第二唯一標(biāo)識(shí)驗(yàn)簽通過(即確認(rèn)第二唯一標(biāo)識(shí)來自管理服務(wù)器)時(shí)，服務(wù)商服務(wù)器采用服務(wù)商服務(wù)器自身的加密私鑰對(duì)第二唯一標(biāo)識(shí)進(jìn)行解密，得到安全芯片對(duì)應(yīng)的唯一標(biāo)識(shí)。

可以理解的是，若驗(yàn)簽失敗，則識(shí)別為第二唯一標(biāo)識(shí)不是來自于管理服務(wù)器，服務(wù)商服務(wù)器不做任何處理，結(jié)束本次控制流程。

s603：根據(jù)唯一標(biāo)識(shí)與根密鑰的預(yù)設(shè)對(duì)應(yīng)關(guān)系獲取所述唯一標(biāo)識(shí)對(duì)應(yīng)的根密鑰。

其中，服務(wù)商服務(wù)器內(nèi)預(yù)先存儲(chǔ)了唯一標(biāo)識(shí)與根密鑰的預(yù)設(shè)對(duì)應(yīng)關(guān)系。唯一標(biāo)識(shí)與根密鑰一一對(duì)應(yīng)，即一個(gè)唯一標(biāo)識(shí)對(duì)應(yīng)一個(gè)根密鑰。該唯一標(biāo)識(shí)是安全芯片廠商所生產(chǎn)的所有安全芯片的唯一標(biāo)識(shí)。

可選地，服務(wù)商服務(wù)器保存的根密鑰是已加密的根密鑰。當(dāng)服務(wù)器根據(jù)安全芯片的唯一標(biāo)識(shí)在數(shù)據(jù)庫中查找到該唯一標(biāo)識(shí)對(duì)應(yīng)的已加密的根密鑰時(shí)，需要采用約定的解密密碼對(duì)已加密的根密鑰進(jìn)行解密，得到該唯一標(biāo)識(shí)對(duì)應(yīng)的根密鑰。約定的解密密碼與服務(wù)商服務(wù)器對(duì)根密鑰進(jìn)行加密時(shí)采用的加密密碼相對(duì)應(yīng)。

s6041：采用所述管理服務(wù)器對(duì)應(yīng)的加密公鑰對(duì)所述根密鑰進(jìn)行加密，得到第一根密鑰。

服務(wù)商服務(wù)器采用管理服務(wù)器根據(jù)非對(duì)稱加密算法生成的加密密鑰對(duì)中的加密公鑰對(duì)根密鑰進(jìn)行加密，得到第一根密鑰。管理服務(wù)器生成的加密密鑰對(duì)包括加密公鑰以及加密私鑰。加密私鑰為管理服務(wù)器私有的密鑰，不對(duì)任何其他設(shè)備公開。加密公鑰提供給與管理服務(wù)器進(jìn)行數(shù)據(jù)交互的設(shè)備公用，以使其他設(shè)備能夠采用管理服務(wù)器的加密公鑰對(duì)需要發(fā)送給管理服務(wù)器的數(shù)據(jù)進(jìn)行加密。

s6042：采用自身的簽名私鑰對(duì)所述第一根密鑰進(jìn)行簽名，得到第二根密鑰。

服務(wù)商服務(wù)器采用非對(duì)稱加密算法生成的簽名密鑰對(duì)中的簽名私鑰對(duì)第一根密鑰進(jìn)行簽名，得到第二根密鑰。服務(wù)商服務(wù)器生成的簽名密鑰對(duì)包括簽名公鑰以及簽名私鑰。簽名私鑰是服務(wù)商服務(wù)器私有密鑰，不對(duì)任何其他設(shè)備公開，供服務(wù)商服務(wù)器簽名使用。簽名公鑰提供給與服務(wù)商服務(wù)器進(jìn)行數(shù)據(jù)交互的設(shè)備公用，以使其他設(shè)備能夠采用服務(wù)商服務(wù)器的簽名公鑰對(duì)需要發(fā)送給服務(wù)商服務(wù)器的數(shù)據(jù)進(jìn)行簽名。

s6041與s6042不分先后順序執(zhí)行。服務(wù)商服務(wù)器可以對(duì)獲取到的根密鑰先簽名再加密，也可以對(duì)獲取到的根密鑰先加密再簽名，此處不做限制。

s6043：根據(jù)所述管理服務(wù)器的標(biāo)識(shí)將所述第二根密鑰發(fā)送至所述管理服務(wù)器；其中，所述第二根密鑰用于所述管理服務(wù)器采用服務(wù)商服務(wù)器的簽名公鑰對(duì)所述第二根密鑰進(jìn)行驗(yàn)簽，并在驗(yàn)簽通過時(shí)，通過所述管理服務(wù)器對(duì)應(yīng)的加密私鑰對(duì)所述第二根密鑰進(jìn)行解密得到所述唯一標(biāo)識(shí)對(duì)應(yīng)的根密鑰。

第二根密鑰用于管理服務(wù)器采用服務(wù)商服務(wù)器對(duì)應(yīng)的簽名公鑰對(duì)服務(wù)商服務(wù)器發(fā)送的第二根密鑰進(jìn)行驗(yàn)簽，并在驗(yàn)簽通過時(shí)，采用管理服務(wù)器的加密私鑰對(duì)第二根密鑰進(jìn)行解密得到安全芯片的唯一標(biāo)識(shí)對(duì)應(yīng)的根密鑰；并采用終端的加密公鑰對(duì)解密得到的根密鑰進(jìn)行加密得到第三根密鑰，再用管理服務(wù)器自身的簽名私鑰對(duì)第三根密鑰進(jìn)行簽名得到第四根密鑰，管理服務(wù)器根據(jù)終端的標(biāo)識(shí)將第四根密鑰發(fā)送給終端，進(jìn)而使得終端在接收到管理服務(wù)器發(fā)送的第四根密鑰時(shí)，采用管理服務(wù)器的簽名公鑰對(duì)第四根密鑰進(jìn)行驗(yàn)簽；并在驗(yàn)簽通過時(shí)，采用終端自身的加密私鑰對(duì)第四根密鑰進(jìn)行解密，得到根密鑰。

由于第二根密鑰是采用服務(wù)商服務(wù)器的簽名私鑰對(duì)第一根密鑰進(jìn)行簽名得到的，第一根密鑰是服務(wù)商服務(wù)器采用管理服務(wù)器的加密公鑰對(duì)根密鑰進(jìn)行加密得到，因此，管理服務(wù)器在接收到服務(wù)商服務(wù)器發(fā)送的第二根密鑰時(shí)，需要采用服務(wù)商服務(wù)器的簽名公鑰對(duì)第二根密鑰進(jìn)行驗(yàn)簽，以驗(yàn)證第二根密鑰是否來自服務(wù)商服務(wù)器；并在驗(yàn)簽通過時(shí)，管理服務(wù)器需要采用自身的加密私鑰對(duì)驗(yàn)簽后的第二根密鑰進(jìn)行解密，得到安全芯片的唯一標(biāo)識(shí)對(duì)應(yīng)的根密鑰。

上述方案，服務(wù)商服務(wù)器獲取管理服務(wù)器發(fā)送的加密后的唯一標(biāo)識(shí)；采用預(yù)設(shè)的解密密鑰對(duì)所述加密后的唯一標(biāo)識(shí)進(jìn)行解密得到所述安全芯片的唯一標(biāo)識(shí)；根據(jù)唯一標(biāo)識(shí)與根密鑰的預(yù)設(shè)對(duì)應(yīng)關(guān)系獲取所述唯一標(biāo)識(shí)對(duì)應(yīng)的根密鑰；采用預(yù)設(shè)的加密密鑰對(duì)所述根密鑰進(jìn)行加密，并根據(jù)所述管理服務(wù)器的標(biāo)識(shí)將加密后的根密鑰發(fā)送至所述管理服務(wù)器，以使管理服務(wù)器能夠采用與預(yù)設(shè)的加密密鑰對(duì)應(yīng)的解密密鑰進(jìn)行解密，得到根密鑰，并采用與終端約定的加密密鑰對(duì)根密鑰進(jìn)行加密，將加密后的根密鑰發(fā)送給終端，從而使得終端能夠采用與管理服務(wù)器約定的解密密鑰解密該接收到的加密的根密鑰，得到安全芯片對(duì)應(yīng)的根密鑰。由于在獲取根密鑰的過程中，傳輸?shù)陌踩酒奈ㄒ粯?biāo)識(shí)及其對(duì)應(yīng)的根密鑰均是經(jīng)過加密的，并且加密安全芯片的唯一標(biāo)識(shí)以及解密服務(wù)商服務(wù)器發(fā)送的加密后的根密鑰均在管理服務(wù)器的可信執(zhí)行環(huán)境中進(jìn)行，因此，能夠有效降低根密鑰在傳輸過程中被泄露的風(fēng)險(xiǎn)，提高根密鑰的傳輸安全性，從而提高終端內(nèi)信息安全性。

服務(wù)商服務(wù)器采用非對(duì)稱加密技術(shù)進(jìn)行加密或解密，能夠進(jìn)一步降低根密鑰在傳輸過程中被泄露的風(fēng)險(xiǎn)。

參見圖7，圖7是本發(fā)明實(shí)施例提供的一種服務(wù)器的示意性框圖。本實(shí)施例的服務(wù)器7為具有可信執(zhí)行環(huán)境的管理服務(wù)器，服務(wù)器7包括的各單元用于執(zhí)行圖3對(duì)應(yīng)的實(shí)施例中的各步驟，具體請(qǐng)參閱圖3以及圖3對(duì)應(yīng)的實(shí)施例中的相關(guān)描述，此處不贅述。本實(shí)施例的服務(wù)器包括：獲取單元701、第一加密單元702、第一發(fā)送單元703、接收單元704、解密單元705、第二加密單元706以及第二發(fā)送單元707。

獲取單元701用于獲取根密鑰獲取請(qǐng)求信息攜帶的唯一標(biāo)識(shí)；其中，所述根密鑰獲取請(qǐng)求信息由終端發(fā)送，所述唯一標(biāo)識(shí)是所述終端內(nèi)置的安全芯片的唯一標(biāo)識(shí)。

第一加密單元702用于采用第一加密密鑰對(duì)所述唯一標(biāo)識(shí)進(jìn)行加密。

第一發(fā)送單元703用于將所述第一加密單元加密后的唯一標(biāo)識(shí)發(fā)送至所述安全芯片對(duì)應(yīng)的服務(wù)商服務(wù)器。

接收單元704用于接收所述服務(wù)商服務(wù)器返回的加密后的根密鑰；其中，所述根密鑰是所述服務(wù)商服務(wù)器根據(jù)所述唯一標(biāo)識(shí)、唯一標(biāo)識(shí)與根密鑰的預(yù)設(shè)對(duì)應(yīng)關(guān)系得到。

解密單元705用于采用第一解密密鑰對(duì)所述加密后的根密鑰進(jìn)行解密，得到所述唯一標(biāo)識(shí)對(duì)應(yīng)的根密鑰。

第二加密單元706用于采用第二加密密鑰對(duì)所述根密鑰進(jìn)行加密。

第二發(fā)送單元707用于根據(jù)所述根密鑰獲取請(qǐng)求信息攜帶的所述終端的標(biāo)識(shí)將所述第二加密單元加密后的根密鑰發(fā)送至所述終端；其中，所述加密后的根密鑰用于所述終端通過第二解密密鑰進(jìn)行解密得到根密鑰。

上述方案，管理服務(wù)器獲取根密鑰獲取請(qǐng)求信息攜帶的唯一標(biāo)識(shí)；其中，所述根密鑰獲取請(qǐng)求信息由終端發(fā)送，所述唯一標(biāo)識(shí)是所述終端內(nèi)置的安全芯片的唯一標(biāo)識(shí)；采用第一加密密鑰對(duì)所述唯一標(biāo)識(shí)進(jìn)行加密，并將加密后的唯一標(biāo)識(shí)發(fā)送至所述安全芯片對(duì)應(yīng)的服務(wù)商服務(wù)器；接收所述服務(wù)商服務(wù)器返回的加密后的根密鑰；其中，所述根密鑰是所述服務(wù)商服務(wù)器根據(jù)所述唯一標(biāo)識(shí)、唯一標(biāo)識(shí)與根密鑰的預(yù)設(shè)對(duì)應(yīng)關(guān)系得到；采用第一解密密鑰對(duì)所述加密后的根密鑰進(jìn)行解密，得到所述唯一標(biāo)識(shí)對(duì)應(yīng)的根密鑰；采用第二加密密鑰對(duì)所述根密鑰進(jìn)行加密，并根據(jù)所述根密鑰獲取請(qǐng)求信息攜帶的所述終端的標(biāo)識(shí)將加密后的根密鑰發(fā)送至所述終端；其中，所述加密后的根密鑰用于所述終端通過第二解密密鑰進(jìn)行解密得到根密鑰。由于在獲取根密鑰的過程中，傳輸?shù)陌踩酒奈ㄒ粯?biāo)識(shí)及其對(duì)應(yīng)的根密鑰均是經(jīng)過加密的，并且加密安全芯片的唯一標(biāo)識(shí)以及解密服務(wù)商服務(wù)器發(fā)送的加密后的根密鑰均在管理服務(wù)器的可信執(zhí)行環(huán)境中進(jìn)行，因此，能夠有效降低根密鑰在傳輸過程中被泄露的風(fēng)險(xiǎn)，提高根密鑰的傳輸安全性，從而提高終端內(nèi)信息安全性。

參見圖8，圖8是本發(fā)明另一實(shí)施例提供的一種服務(wù)器的示意性框圖。本實(shí)施例的服務(wù)器8為具有可信執(zhí)行環(huán)境的管理服務(wù)器，服務(wù)器8包括的各單元用于執(zhí)行圖4對(duì)應(yīng)的實(shí)施例中的各步驟，具體請(qǐng)參閱圖4以及圖4對(duì)應(yīng)的實(shí)施例中的相關(guān)描述，此處不贅述。本實(shí)施例的服務(wù)器包括：獲取單元801、第一加密單元802、第一發(fā)送單元803、接收單元804、解密單元805、第二加密單元806以及第二發(fā)送單元807。

獲取單元801用于獲取根密鑰獲取請(qǐng)求信息攜帶的唯一標(biāo)識(shí)；其中，所述根密鑰獲取請(qǐng)求信息由終端發(fā)送，所述唯一標(biāo)識(shí)是所述終端內(nèi)置的安全芯片的唯一標(biāo)識(shí)。

第一加密單元802用于采用第一加密密鑰對(duì)所述唯一標(biāo)識(shí)進(jìn)行加密。

可選地，第一加密單元802可以包括簽名單元8021以及加密單元8022；

簽名單元8021用于通過自身的簽名私鑰對(duì)所述唯一標(biāo)識(shí)簽名得到第一唯一標(biāo)識(shí)；

加密單元8022用于采用第一加密公鑰對(duì)所述第一唯一標(biāo)識(shí)進(jìn)行加密得到第二唯一標(biāo)識(shí)；其中，所述第一加密公鑰為所述服務(wù)商服務(wù)器對(duì)應(yīng)的加密公鑰。

第一發(fā)送單元803用于將所述第一加密單元加密后的唯一標(biāo)識(shí)發(fā)送至所述安全芯片對(duì)應(yīng)的服務(wù)商服務(wù)器。

可選地，當(dāng)?shù)谝患用軉卧?02可以包括第一簽名單元8021以及第一加密單元8022時(shí)，第一發(fā)送單元803具體用于將所述第二唯一標(biāo)識(shí)發(fā)送至所述安全芯片對(duì)應(yīng)的服務(wù)商服務(wù)器。

接收單元804用于接收所述服務(wù)商服務(wù)器返回的加密后的根密鑰；其中，所述根密鑰是所述服務(wù)商服務(wù)器根據(jù)所述唯一標(biāo)識(shí)、唯一標(biāo)識(shí)與根密鑰的預(yù)設(shè)對(duì)應(yīng)關(guān)系得到。

解密單元805用于采用第一解密密鑰對(duì)所述加密后的根密鑰進(jìn)行解密，得到所述唯一標(biāo)識(shí)對(duì)應(yīng)的根密鑰。

可選地，解密單元805可以包括驗(yàn)簽單元8051以及根密鑰解密單元8052；

驗(yàn)簽單元8051用于采用所述服務(wù)商服務(wù)器對(duì)應(yīng)的簽名公鑰對(duì)所述服務(wù)商服務(wù)器返回的第二根密鑰進(jìn)行驗(yàn)簽；其中，所述第二根密鑰為所述加密后的根密鑰，所述第二根密鑰是服務(wù)商服務(wù)器采用所述服務(wù)商服務(wù)器的簽名私鑰對(duì)第一根密鑰進(jìn)行簽名得到，所述第一根密鑰是所述服務(wù)商服務(wù)器采用管理服務(wù)器對(duì)應(yīng)的加密公鑰對(duì)獲取到的根密鑰進(jìn)行加密得到；

根密鑰解密單元8052用于若驗(yàn)簽單元8051驗(yàn)簽通過，則采用自身的加密私鑰對(duì)所述第二根密鑰進(jìn)行解密得到所述唯一標(biāo)識(shí)對(duì)應(yīng)的根密鑰。

第二加密單元806用于采用第二加密密鑰對(duì)所述根密鑰進(jìn)行加密。

可選地，第二加密單元806可以包括加密單元8061以及簽名單元8062；

加密單元8061用于采用所述終端的加密公鑰對(duì)所述根密鑰進(jìn)行加密得到第三根密鑰；

簽名單元8062用于采用自身的簽名私鑰對(duì)所述第三根密鑰進(jìn)行簽名得到第四根密鑰。

第二發(fā)送單元807用于根據(jù)所述根密鑰獲取請(qǐng)求信息攜帶的所述終端的標(biāo)識(shí)將所述第二加密單元加密后的根密鑰發(fā)送至所述終端；其中，所述加密后的根密鑰用于所述終端通過第二解密密鑰進(jìn)行解密得到根密鑰。

可選地，當(dāng)?shù)诙用軉卧?06可以包括加密單元8061以及簽名單元8062時(shí)，第二發(fā)送單元807具體用于根據(jù)所述根密鑰獲取請(qǐng)求信息攜帶的所述終端的標(biāo)識(shí)將所述第四根密鑰發(fā)送至所述終端；其中，所述第四根密鑰用于所述終端通過管理服務(wù)器的簽名公鑰驗(yàn)簽，并在驗(yàn)簽通過時(shí)，采用所述終端的加密私鑰進(jìn)行解密得到所述唯一標(biāo)識(shí)對(duì)應(yīng)的根密鑰。

上述方案，管理服務(wù)器獲取根密鑰獲取請(qǐng)求信息攜帶的唯一標(biāo)識(shí)；其中，所述根密鑰獲取請(qǐng)求信息由終端發(fā)送，所述唯一標(biāo)識(shí)是所述終端內(nèi)置的安全芯片的唯一標(biāo)識(shí)；采用第一加密密鑰對(duì)所述唯一標(biāo)識(shí)進(jìn)行加密，并將加密后的唯一標(biāo)識(shí)發(fā)送至所述安全芯片對(duì)應(yīng)的服務(wù)商服務(wù)器；接收所述服務(wù)商服務(wù)器返回的加密后的根密鑰；其中，所述根密鑰是所述服務(wù)商服務(wù)器根據(jù)所述唯一標(biāo)識(shí)、唯一標(biāo)識(shí)與根密鑰的預(yù)設(shè)對(duì)應(yīng)關(guān)系得到；采用第一解密密鑰對(duì)所述加密后的根密鑰進(jìn)行解密，得到所述唯一標(biāo)識(shí)對(duì)應(yīng)的根密鑰；采用第二加密密鑰對(duì)所述根密鑰進(jìn)行加密，并根據(jù)所述根密鑰獲取請(qǐng)求信息攜帶的所述終端的標(biāo)識(shí)將加密后的根密鑰發(fā)送至所述終端；其中，所述加密后的根密鑰用于所述終端通過第二解密密鑰進(jìn)行解密得到根密鑰。由于在獲取根密鑰的過程中，傳輸?shù)陌踩酒奈ㄒ粯?biāo)識(shí)及其對(duì)應(yīng)的根密鑰均是經(jīng)過加密的，并且加密安全芯片的唯一標(biāo)識(shí)以及解密服務(wù)商服務(wù)器發(fā)送的加密后的根密鑰均在管理服務(wù)器的可信執(zhí)行環(huán)境中進(jìn)行，因此，能夠有效降低根密鑰在傳輸過程中被泄露的風(fēng)險(xiǎn)，提高根密鑰的傳輸安全性，從而提高終端內(nèi)信息安全性。

管理服務(wù)器采用非對(duì)稱加密技術(shù)進(jìn)行加密或解密，能夠進(jìn)一步降低根密鑰在傳輸過程中被泄露的風(fēng)險(xiǎn)。

參見圖9，圖9是本發(fā)明再一實(shí)施例提供的一種服務(wù)器的示意性框圖。本實(shí)施例的服務(wù)器9為服務(wù)商管理服務(wù)器，用于為終端內(nèi)置的安全芯片提供服務(wù)。服務(wù)器9包括的各單元用于執(zhí)行圖5對(duì)應(yīng)的實(shí)施例中的各步驟，具體請(qǐng)參閱圖5以及圖5對(duì)應(yīng)的實(shí)施例中的相關(guān)描述，此處不贅述。本實(shí)施例的服務(wù)器包括：第一獲取單元901、解密單元902、第二獲取單元903、加密單元904以及發(fā)送單元905。

第一獲取單元901用于獲取管理服務(wù)器發(fā)送的加密后的唯一標(biāo)識(shí)；其中，所述唯一標(biāo)識(shí)由所述管理服務(wù)器從終端發(fā)送的根密鑰獲取請(qǐng)求信息中獲取，所述唯一標(biāo)識(shí)是所述終端內(nèi)置的安全芯片的唯一標(biāo)識(shí)；加密后的唯一標(biāo)識(shí)攜帶所述管理服務(wù)器的標(biāo)識(shí)。

解密單元902用采用預(yù)設(shè)的解密密鑰對(duì)所述加密后的唯一標(biāo)識(shí)進(jìn)行解密得到所述安全芯片的唯一標(biāo)識(shí)。

第二獲取單元903用于根據(jù)唯一標(biāo)識(shí)與根密鑰的預(yù)設(shè)對(duì)應(yīng)關(guān)系獲取所述唯一標(biāo)識(shí)對(duì)應(yīng)的根密鑰。

加密單元904用于采用預(yù)設(shè)的加密密鑰對(duì)所述根密鑰進(jìn)行加密；

發(fā)送單元905用于根據(jù)所述管理服務(wù)器的標(biāo)識(shí)將所述加密單元加密后的根密鑰發(fā)送至所述管理服務(wù)器。

上述方案，服務(wù)商服務(wù)器獲取管理服務(wù)器發(fā)送的加密后的唯一標(biāo)識(shí)；采用預(yù)設(shè)的解密密鑰對(duì)所述加密后的唯一標(biāo)識(shí)進(jìn)行解密得到所述安全芯片的唯一標(biāo)識(shí)；根據(jù)唯一標(biāo)識(shí)與根密鑰的預(yù)設(shè)對(duì)應(yīng)關(guān)系獲取所述唯一標(biāo)識(shí)對(duì)應(yīng)的根密鑰；采用預(yù)設(shè)的加密密鑰對(duì)所述根密鑰進(jìn)行加密，并根據(jù)所述管理服務(wù)器的標(biāo)識(shí)將加密后的根密鑰發(fā)送至所述管理服務(wù)器，以使管理服務(wù)器能夠采用與預(yù)設(shè)的加密密鑰對(duì)應(yīng)的解密密鑰進(jìn)行解密，得到根密鑰，并采用與終端約定的加密密鑰對(duì)根密鑰進(jìn)行加密，將加密后的根密鑰發(fā)送給終端，從而使得終端能夠采用與管理服務(wù)器約定的解密密鑰解密該接收到的加密的根密鑰，得到安全芯片對(duì)應(yīng)的根密鑰。由于在獲取根密鑰的過程中，傳輸?shù)陌踩酒奈ㄒ粯?biāo)識(shí)及其對(duì)應(yīng)的根密鑰均是經(jīng)過加密的，并且加密安全芯片的唯一標(biāo)識(shí)以及解密服務(wù)商服務(wù)器發(fā)送的加密后的根密鑰均在管理服務(wù)器的可信執(zhí)行環(huán)境中進(jìn)行，因此，能夠有效降低根密鑰在傳輸過程中被泄露的風(fēng)險(xiǎn)，提高根密鑰的傳輸安全性，從而提高終端內(nèi)信息安全性。

參見圖10，圖10是本發(fā)明又一實(shí)施例提供的一種服務(wù)器的示意性框圖。本實(shí)施例的服務(wù)器10為服務(wù)商管理服務(wù)器，用于為終端內(nèi)置的安全芯片提供服務(wù)。服務(wù)器10包括的各單元用于執(zhí)行圖6對(duì)應(yīng)的實(shí)施例中的各步驟，具體請(qǐng)參閱圖6以及圖6對(duì)應(yīng)的實(shí)施例中的相關(guān)描述，此處不贅述。本實(shí)施例的服務(wù)器包括：第一獲取單元1001、解密單元1002、第二獲取單元1003、加密單元1004以及發(fā)送單元1005。解密單元1002包括驗(yàn)簽單元1021以及唯一標(biāo)識(shí)解密單元1022；加密單元1004包括根密鑰加密單元10041以及簽名單元10042。

第一獲取單元1001用于獲取管理服務(wù)器發(fā)送的加密后的唯一標(biāo)識(shí)；其中，所述唯一標(biāo)識(shí)由所述管理服務(wù)器從終端發(fā)送的根密鑰獲取請(qǐng)求信息中獲取，所述唯一標(biāo)識(shí)是所述終端內(nèi)置的安全芯片的唯一標(biāo)識(shí)；加密后的唯一標(biāo)識(shí)攜帶所述管理服務(wù)器的標(biāo)識(shí)。

解密單元1002的驗(yàn)簽單元1021用于采用所述管理服務(wù)器對(duì)應(yīng)的簽名公鑰對(duì)所述管理服務(wù)器發(fā)送的第二唯一標(biāo)識(shí)進(jìn)行驗(yàn)簽；其中，所述第二唯一標(biāo)識(shí)為所述加密后的唯一標(biāo)識(shí)；所述第二唯一標(biāo)識(shí)是所述管理服務(wù)器采用服務(wù)商服務(wù)器對(duì)應(yīng)的加密公鑰對(duì)第一唯一標(biāo)識(shí)進(jìn)行加密得到，所述第一唯一標(biāo)識(shí)是所述管理服務(wù)器采用所述管理服務(wù)器的簽名私鑰對(duì)所述安全芯片的唯一標(biāo)識(shí)簽名得到。

解密單元1002的唯一標(biāo)識(shí)解密單元1022用于若驗(yàn)簽單元1021驗(yàn)簽通過，則采用自身的加密私鑰對(duì)所述第二唯一標(biāo)識(shí)進(jìn)行解密得到所述安全芯片的唯一標(biāo)識(shí)。

第二獲取單元1003用于根據(jù)唯一標(biāo)識(shí)與根密鑰的預(yù)設(shè)對(duì)應(yīng)關(guān)系獲取所述唯一標(biāo)識(shí)對(duì)應(yīng)的根密鑰。

加密單元1004的根密鑰加密單元10041用于采用所述管理服務(wù)器對(duì)應(yīng)的加密公鑰對(duì)所述根密鑰進(jìn)行加密，得到第一根密鑰。

加密單元1004的簽名單元10042用于采用自身的簽名私鑰對(duì)所述第一根密鑰進(jìn)行簽名，得到第二根密鑰。

發(fā)送單元1005用于根據(jù)所述管理服務(wù)器的標(biāo)識(shí)將所述第二根密鑰發(fā)送至所述管理服務(wù)器；其中，所述第二根密鑰用于所述管理服務(wù)器采用服務(wù)商服務(wù)器的簽名公鑰對(duì)所述第二根密鑰進(jìn)行驗(yàn)簽，并在驗(yàn)簽通過時(shí)，通過所述管理服務(wù)器對(duì)應(yīng)的加密私鑰對(duì)所述第二根密鑰進(jìn)行解密得到所述唯一標(biāo)識(shí)對(duì)應(yīng)的根密鑰。

上述方案，服務(wù)商服務(wù)器獲取管理服務(wù)器發(fā)送的加密后的唯一標(biāo)識(shí)；采用所述管理服務(wù)器對(duì)應(yīng)的簽名公鑰對(duì)所述管理服務(wù)器發(fā)送的第二唯一標(biāo)識(shí)進(jìn)行驗(yàn)簽；若驗(yàn)簽通過，則采用自身的加密私鑰對(duì)所述第二唯一標(biāo)識(shí)進(jìn)行解密得到所述安全芯片的唯一標(biāo)識(shí)；根據(jù)唯一標(biāo)識(shí)與根密鑰的預(yù)設(shè)對(duì)應(yīng)關(guān)系獲取所述唯一標(biāo)識(shí)對(duì)應(yīng)的根密鑰；采用所述管理服務(wù)器對(duì)應(yīng)的加密公鑰對(duì)所述根密鑰進(jìn)行加密，得到第一根密鑰；采用自身的簽名私鑰對(duì)所述第一根密鑰進(jìn)行簽名，得到第二根密鑰；根據(jù)所述管理服務(wù)器的標(biāo)識(shí)將所述第二根密鑰發(fā)送至所述管理服務(wù)器，以使管理服務(wù)器能夠采用自身的加密私鑰對(duì)應(yīng)的解密密鑰進(jìn)行解密，得到根密鑰，并采用終端的加密公鑰對(duì)根密鑰進(jìn)行加密，將加密后的根密鑰發(fā)送給終端，從而使得終端能夠自身的加密私鑰解密該接收到的加密的根密鑰，得到安全芯片對(duì)應(yīng)的根密鑰。由于在獲取根密鑰的過程中，傳輸?shù)陌踩酒奈ㄒ粯?biāo)識(shí)及其對(duì)應(yīng)的根密鑰均是經(jīng)過加密的，并且加密安全芯片的唯一標(biāo)識(shí)以及解密服務(wù)商服務(wù)器發(fā)送的加密后的根密鑰均在管理服務(wù)器的可信執(zhí)行環(huán)境中進(jìn)行，因此，能夠有效降低根密鑰在傳輸過程中被泄露的風(fēng)險(xiǎn)，提高根密鑰的傳輸安全性，從而提高終端內(nèi)信息安全性。

服務(wù)商服務(wù)器采用非對(duì)稱加密技術(shù)進(jìn)行加密或解密，能夠進(jìn)一步降低根密鑰在傳輸過程中被泄露的風(fēng)險(xiǎn)。

參見11，圖11是本發(fā)明再一實(shí)施例提供的一種服務(wù)器示意框圖。如圖所示的本實(shí)施例中的服務(wù)器11可以包括：一個(gè)或多個(gè)處理器1101；一個(gè)或多個(gè)輸入設(shè)備1102，一個(gè)或多個(gè)輸出設(shè)備1103和存儲(chǔ)器1104。上述處理器1101、輸入設(shè)備1102、輸出設(shè)備1103和存儲(chǔ)器1104通過總線1105連接。存儲(chǔ)器1102用于存儲(chǔ)計(jì)算機(jī)程序，所述計(jì)算機(jī)程序包括程序指令，處理器1101用于執(zhí)行存儲(chǔ)器1102存儲(chǔ)的程序指令。其中，處理器1101被配置用于調(diào)用所述程序指令執(zhí)行：

獲取根密鑰獲取請(qǐng)求信息攜帶的唯一標(biāo)識(shí)；其中，所述根密鑰獲取請(qǐng)求信息由終端發(fā)送，所述唯一標(biāo)識(shí)是所述終端內(nèi)置的安全芯片的唯一標(biāo)識(shí)；

采用第一加密密鑰對(duì)所述唯一標(biāo)識(shí)進(jìn)行加密，并將加密后的唯一標(biāo)識(shí)發(fā)送至所述安全芯片對(duì)應(yīng)的服務(wù)商服務(wù)器；

接收所述服務(wù)商服務(wù)器返回的加密后的根密鑰；其中，所述根密鑰是所述服務(wù)商服務(wù)器根據(jù)所述唯一標(biāo)識(shí)、唯一標(biāo)識(shí)與根密鑰的預(yù)設(shè)對(duì)應(yīng)關(guān)系得到；

采用第一解密密鑰對(duì)所述加密后的根密鑰進(jìn)行解密，得到所述唯一標(biāo)識(shí)對(duì)應(yīng)的根密鑰；

采用第二加密密鑰對(duì)所述根密鑰進(jìn)行加密，并根據(jù)所述根密鑰獲取請(qǐng)求信息攜帶的所述終端的標(biāo)識(shí)將加密后的根密鑰發(fā)送至所述終端；其中，所述加密后的根密鑰用于所述終端通過第二解密密鑰進(jìn)行解密得到根密鑰。

進(jìn)一步地，處理器1101被配置具體用于調(diào)用所述程序指令執(zhí)行：通過自身的簽名私鑰對(duì)所述唯一標(biāo)識(shí)簽名得到第一唯一標(biāo)識(shí)；采用第一加密公鑰對(duì)所述第一唯一標(biāo)識(shí)進(jìn)行加密得到第二唯一標(biāo)識(shí)；其中，所述第一加密公鑰為所述服務(wù)商服務(wù)器對(duì)應(yīng)的加密公鑰；將所述第二唯一標(biāo)識(shí)發(fā)送至所述安全芯片對(duì)應(yīng)的服務(wù)商服務(wù)器。

進(jìn)一步地，處理器1101被配置具體用于調(diào)用所述程序指令執(zhí)行：

采用所述服務(wù)商服務(wù)器對(duì)應(yīng)的簽名公鑰對(duì)所述服務(wù)商服務(wù)器返回的第二根密鑰進(jìn)行驗(yàn)簽；其中，所述第二根密鑰為所述加密后的根密鑰，所述第二根密鑰是服務(wù)商服務(wù)器采用所述服務(wù)商服務(wù)器的簽名私鑰對(duì)第一根密鑰進(jìn)行簽名得到，所述第一根密鑰是所述服務(wù)商服務(wù)器采用管理服務(wù)器對(duì)應(yīng)的加密公鑰對(duì)獲取到的根密鑰進(jìn)行加密得到；

若驗(yàn)簽通過，則采用自身的加密私鑰對(duì)所述第二根密鑰進(jìn)行解密得到所述唯一標(biāo)識(shí)對(duì)應(yīng)的根密鑰。

進(jìn)一步地，處理器1101被配置具體用于調(diào)用所述程序指令執(zhí)行：

采用所述終端的加密公鑰對(duì)所述根密鑰進(jìn)行加密得到第三根密鑰；

采用自身的簽名私鑰對(duì)所述第三根密鑰進(jìn)行簽名得到第四根密鑰；

根據(jù)所述根密鑰獲取請(qǐng)求信息攜帶的所述終端的標(biāo)識(shí)將所述第四根密鑰發(fā)送至所述終端；其中，所述第四根密鑰用于所述終端通過管理服務(wù)器的簽名公鑰驗(yàn)簽，并在驗(yàn)簽通過時(shí)，采用所述終端的加密私鑰進(jìn)行解密得到所述唯一標(biāo)識(shí)對(duì)應(yīng)的根密鑰。

應(yīng)當(dāng)理解，在本發(fā)明實(shí)施例中，所稱處理器1101可以是中央處理單元(centralprocessingunit，cpu)，該處理器還可以是其他通用處理器、數(shù)字信號(hào)處理器(digitalsignalprocessor，dsp)、專用集成電路(applicationspecificintegratedcircuit，asic)、現(xiàn)成可編程門陣列(field-programmablegatearray，fpga)或者其他可編程邏輯器件、分立門或者晶體管邏輯器件、分立硬件組件等。通用處理器可以是微處理器或者該處理器也可以是任何常規(guī)的處理器等。

輸入設(shè)備1102可以包括觸控板、指紋采傳感器(用于采集用戶的指紋信息和指紋的方向信息)、麥克風(fēng)等，輸出設(shè)備1103可以包括顯示器(lcd等)、揚(yáng)聲器等。

該存儲(chǔ)器1104可以包括只讀存儲(chǔ)器和隨機(jī)存取存儲(chǔ)器，并向處理器1101提供指令和數(shù)據(jù)。存儲(chǔ)器1104的一部分還可以包括非易失性隨機(jī)存取存儲(chǔ)器。例如，存儲(chǔ)器1104還可以存儲(chǔ)設(shè)備類型的信息。

具體實(shí)現(xiàn)中，本發(fā)明實(shí)施例中所描述的處理器1101、輸入設(shè)備1102、輸出設(shè)備1103可執(zhí)行本發(fā)明實(shí)施例提供的獲取根密鑰的方法的第一實(shí)施例和第二實(shí)施例中所描述的實(shí)現(xiàn)方式，也可執(zhí)行本發(fā)明實(shí)施例所描述的服務(wù)器的實(shí)現(xiàn)方式，在此不再贅述。

進(jìn)一步地，在本發(fā)明的另一實(shí)施例中提供一種計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)，所述計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)存儲(chǔ)有計(jì)算機(jī)程序，所述計(jì)算機(jī)程序包括程序指令，所述程序指令被處理器執(zhí)行時(shí)實(shí)現(xiàn)：

獲取根密鑰獲取請(qǐng)求信息攜帶的唯一標(biāo)識(shí)；其中，所述根密鑰獲取請(qǐng)求信息由終端發(fā)送，所述唯一標(biāo)識(shí)是所述終端內(nèi)置的安全芯片的唯一標(biāo)識(shí)；

采用第一加密密鑰對(duì)所述唯一標(biāo)識(shí)進(jìn)行加密，并將加密后的唯一標(biāo)識(shí)發(fā)送至所述安全芯片對(duì)應(yīng)的服務(wù)商服務(wù)器；

接收所述服務(wù)商服務(wù)器返回的加密后的根密鑰；其中，所述根密鑰是所述服務(wù)商服務(wù)器根據(jù)所述唯一標(biāo)識(shí)、唯一標(biāo)識(shí)與根密鑰的預(yù)設(shè)對(duì)應(yīng)關(guān)系得到；

采用第一解密密鑰對(duì)所述加密后的根密鑰進(jìn)行解密，得到所述唯一標(biāo)識(shí)對(duì)應(yīng)的根密鑰；

采用第二加密密鑰對(duì)所述根密鑰進(jìn)行加密，并根據(jù)所述根密鑰獲取請(qǐng)求信息攜帶的所述終端的標(biāo)識(shí)將加密后的根密鑰發(fā)送至所述終端；其中，所述加密后的根密鑰用于所述終端通過第二解密密鑰進(jìn)行解密得到根密鑰。

可選地，所述計(jì)算機(jī)程序被處理器執(zhí)行時(shí)可以具體實(shí)現(xiàn)：

通過自身的簽名私鑰對(duì)所述唯一標(biāo)識(shí)簽名得到第一唯一標(biāo)識(shí)；

采用第一加密公鑰對(duì)所述第一唯一標(biāo)識(shí)進(jìn)行加密得到第二唯一標(biāo)識(shí)；其中，所述第一加密公鑰為所述服務(wù)商服務(wù)器對(duì)應(yīng)的加密公鑰；

將所述第二唯一標(biāo)識(shí)發(fā)送至所述安全芯片對(duì)應(yīng)的服務(wù)商服務(wù)器。

可選地，所述計(jì)算機(jī)程序被處理器執(zhí)行時(shí)可以實(shí)現(xiàn)：

采用所述服務(wù)商服務(wù)器對(duì)應(yīng)的簽名公鑰對(duì)所述服務(wù)商服務(wù)器返回的第二根密鑰進(jìn)行驗(yàn)簽；其中，所述第二根密鑰為所述加密后的根密鑰，所述第二根密鑰是服務(wù)商服務(wù)器采用所述服務(wù)商服務(wù)器的簽名私鑰對(duì)第一根密鑰進(jìn)行簽名得到，所述第一根密鑰是所述服務(wù)商服務(wù)器采用管理服務(wù)器對(duì)應(yīng)的加密公鑰對(duì)獲取到的根密鑰進(jìn)行加密得到；

若驗(yàn)簽通過，則采用自身的加密私鑰對(duì)所述第二根密鑰進(jìn)行解密得到所述唯一標(biāo)識(shí)對(duì)應(yīng)的根密鑰。

可選地，所述計(jì)算機(jī)程序被處理器執(zhí)行時(shí)還可以實(shí)現(xiàn)：采用所述終端的加密公鑰對(duì)所述根密鑰進(jìn)行加密得到第三根密鑰；

采用自身的簽名私鑰對(duì)所述第三根密鑰進(jìn)行簽名得到第四根密鑰；

根據(jù)所述根密鑰獲取請(qǐng)求信息攜帶的所述終端的標(biāo)識(shí)將所述第四根密鑰發(fā)送至所述終端；其中，所述第四根密鑰用于所述終端通過管理服務(wù)器的簽名公鑰驗(yàn)簽，并在驗(yàn)簽通過時(shí)，采用所述終端的加密私鑰進(jìn)行解密得到所述唯一標(biāo)識(shí)對(duì)應(yīng)的根密鑰。

所述計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)可以是前述任一實(shí)施例所述的管理服務(wù)器的內(nèi)部存儲(chǔ)單元，例如管理服務(wù)器的硬盤或內(nèi)存。所述計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)也可以是所述管理服務(wù)器的外部存儲(chǔ)設(shè)備，例如所述管理服務(wù)器上配備的插接式硬盤，智能存儲(chǔ)卡(smartmediacard,smc)，安全數(shù)字(securedigital,sd)卡，閃存卡(flashcard)等。進(jìn)一步地，所述計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)還可以既包括所述管理服務(wù)器的內(nèi)部存儲(chǔ)單元也包括外部存儲(chǔ)設(shè)備。所述計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)用于存儲(chǔ)所述計(jì)算機(jī)程序以及所述管理服務(wù)器所需的其他程序和數(shù)據(jù)。所述計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)還可以用于暫時(shí)地存儲(chǔ)已經(jīng)輸出或者將要輸出的數(shù)據(jù)。

參見12，圖12是本發(fā)明又一實(shí)施例提供的一種服務(wù)器示意框圖。如圖所示的本實(shí)施例中的服務(wù)器12可以包括：一個(gè)或多個(gè)處理器1201；一個(gè)或多個(gè)輸入設(shè)備1202，一個(gè)或多個(gè)輸出設(shè)備1203和存儲(chǔ)器1204。上述處理器1201、輸入設(shè)備1202、輸出設(shè)備1203和存儲(chǔ)器1204通過總線1205連接。存儲(chǔ)器1202用于存儲(chǔ)計(jì)算機(jī)程序，所述計(jì)算機(jī)程序包括程序指令，處理器1201用于執(zhí)行存儲(chǔ)器1202存儲(chǔ)的程序指令。其中，處理器1201被配置用于調(diào)用所述程序指令執(zhí)行：

獲取管理服務(wù)器發(fā)送的加密后的唯一標(biāo)識(shí)；其中，所述唯一標(biāo)識(shí)由所述管理服務(wù)器從終端發(fā)送的根密鑰獲取請(qǐng)求信息中獲取，所述唯一標(biāo)識(shí)是所述終端內(nèi)置的安全芯片的唯一標(biāo)識(shí)；加密后的唯一標(biāo)識(shí)攜帶所述管理服務(wù)器的標(biāo)識(shí)；

采用預(yù)設(shè)的解密密鑰對(duì)所述加密后的唯一標(biāo)識(shí)進(jìn)行解密得到所述安全芯片的唯一標(biāo)識(shí)；

根據(jù)唯一標(biāo)識(shí)與根密鑰的預(yù)設(shè)對(duì)應(yīng)關(guān)系獲取所述唯一標(biāo)識(shí)對(duì)應(yīng)的根密鑰；

采用預(yù)設(shè)的加密密鑰對(duì)所述根密鑰進(jìn)行加密，并根據(jù)所述管理服務(wù)器的標(biāo)識(shí)將加密后的根密鑰發(fā)送至所述管理服務(wù)器。

進(jìn)一步地，處理器1201被配置具體用于調(diào)用所述程序指令執(zhí)行：

采用所述管理服務(wù)器對(duì)應(yīng)的簽名公鑰對(duì)所述管理服務(wù)器發(fā)送的第二唯一標(biāo)識(shí)進(jìn)行驗(yàn)簽；其中，所述第二唯一標(biāo)識(shí)為所述加密后的唯一標(biāo)識(shí)；所述第二唯一標(biāo)識(shí)是所述管理服務(wù)器采用服務(wù)商服務(wù)器對(duì)應(yīng)的加密公鑰對(duì)第一唯一標(biāo)識(shí)進(jìn)行加密得到，所述第一唯一標(biāo)識(shí)是所述管理服務(wù)器采用所述管理服務(wù)器的簽名私鑰對(duì)所述安全芯片的唯一標(biāo)識(shí)簽名得到；

若驗(yàn)簽通過，則采用自身的加密私鑰對(duì)所述第二唯一標(biāo)識(shí)進(jìn)行解密得到所述安全芯片的唯一標(biāo)識(shí)；

根據(jù)唯一標(biāo)識(shí)與根密鑰的預(yù)設(shè)對(duì)應(yīng)關(guān)系獲取所述唯一標(biāo)識(shí)對(duì)應(yīng)的根密鑰；

采用所述管理服務(wù)器對(duì)應(yīng)的加密公鑰對(duì)所述根密鑰進(jìn)行加密，得到第一根密鑰；

采用自身的簽名私鑰對(duì)所述第一根密鑰進(jìn)行簽名，得到第二根密鑰；

根據(jù)所述管理服務(wù)器的標(biāo)識(shí)將所述第二根密鑰發(fā)送至所述管理服務(wù)器；其中，所述第二根密鑰用于所述管理服務(wù)器采用服務(wù)商服務(wù)器的簽名公鑰對(duì)所述第二根密鑰進(jìn)行驗(yàn)簽，并在驗(yàn)簽通過時(shí)，通過所述管理服務(wù)器對(duì)應(yīng)的加密私鑰對(duì)所述第二根密鑰進(jìn)行解密得到所述唯一標(biāo)識(shí)對(duì)應(yīng)的根密鑰。

應(yīng)當(dāng)理解，在本發(fā)明實(shí)施例中，所稱處理器1101可以是中央處理單元(centralprocessingunit，cpu)，該處理器還可以是其他通用處理器、數(shù)字信號(hào)處理器(digitalsignalprocessor，dsp)、專用集成電路(applicationspecificintegratedcircuit，asic)、現(xiàn)成可編程門陣列(field-programmablegatearray，fpga)或者其他可編程邏輯器件、分立門或者晶體管邏輯器件、分立硬件組件等。通用處理器可以是微處理器或者該處理器也可以是任何常規(guī)的處理器等。

輸入設(shè)備1202可以包括觸控板、指紋采傳感器(用于采集用戶的指紋信息和指紋的方向信息)、麥克風(fēng)等，輸出設(shè)備1203可以包括顯示器(lcd等)、揚(yáng)聲器等。

該存儲(chǔ)器1204可以包括只讀存儲(chǔ)器和隨機(jī)存取存儲(chǔ)器，并向處理器1201提供指令和數(shù)據(jù)。存儲(chǔ)器1204的一部分還可以包括非易失性隨機(jī)存取存儲(chǔ)器。例如，存儲(chǔ)器1204還可以存儲(chǔ)設(shè)備類型的信息。

具體實(shí)現(xiàn)中，本發(fā)明實(shí)施例中所描述的處理器1201、輸入設(shè)備1202、輸出設(shè)備1203可執(zhí)行本發(fā)明實(shí)施例提供的獲取根密鑰的方法的第三實(shí)施例和第四實(shí)施例中所描述的實(shí)現(xiàn)方式，也可執(zhí)行本發(fā)明實(shí)施例所描述的服務(wù)商服務(wù)器的實(shí)現(xiàn)方式，在此不再贅述。

進(jìn)一步地，在本發(fā)明的另一實(shí)施例中提供一種計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)，所述計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)存儲(chǔ)有計(jì)算機(jī)程序，所述計(jì)算機(jī)程序包括程序指令，所述程序指令被處理器執(zhí)行時(shí)實(shí)現(xiàn)：

獲取管理服務(wù)器發(fā)送的加密后的唯一標(biāo)識(shí)；其中，所述唯一標(biāo)識(shí)由所述管理服務(wù)器從終端發(fā)送的根密鑰獲取請(qǐng)求信息中獲取，所述唯一標(biāo)識(shí)是所述終端內(nèi)置的安全芯片的唯一標(biāo)識(shí)；加密后的唯一標(biāo)識(shí)攜帶所述管理服務(wù)器的標(biāo)識(shí)；

采用預(yù)設(shè)的解密密鑰對(duì)所述加密后的唯一標(biāo)識(shí)進(jìn)行解密得到所述安全芯片的唯一標(biāo)識(shí)；

根據(jù)唯一標(biāo)識(shí)與根密鑰的預(yù)設(shè)對(duì)應(yīng)關(guān)系獲取所述唯一標(biāo)識(shí)對(duì)應(yīng)的根密鑰；

采用預(yù)設(shè)的加密密鑰對(duì)所述根密鑰進(jìn)行加密，并根據(jù)所述管理服務(wù)器的標(biāo)識(shí)將加密后的根密鑰發(fā)送至所述管理服務(wù)器。

可選地，所述計(jì)算機(jī)程序被處理器執(zhí)行時(shí)可以具體實(shí)現(xiàn)：

采用所述管理服務(wù)器對(duì)應(yīng)的簽名公鑰對(duì)所述管理服務(wù)器發(fā)送的第二唯一標(biāo)識(shí)進(jìn)行驗(yàn)簽；其中，所述第二唯一標(biāo)識(shí)為所述加密后的唯一標(biāo)識(shí)；所述第二唯一標(biāo)識(shí)是所述管理服務(wù)器采用服務(wù)商服務(wù)器對(duì)應(yīng)的加密公鑰對(duì)第一唯一標(biāo)識(shí)進(jìn)行加密得到，所述第一唯一標(biāo)識(shí)是所述管理服務(wù)器采用所述管理服務(wù)器的簽名私鑰對(duì)所述安全芯片的唯一標(biāo)識(shí)簽名得到；

若驗(yàn)簽通過，則采用自身的加密私鑰對(duì)所述第二唯一標(biāo)識(shí)進(jìn)行解密得到所述安全芯片的唯一標(biāo)識(shí)；

根據(jù)唯一標(biāo)識(shí)與根密鑰的預(yù)設(shè)對(duì)應(yīng)關(guān)系獲取所述唯一標(biāo)識(shí)對(duì)應(yīng)的根密鑰；

采用所述管理服務(wù)器對(duì)應(yīng)的加密公鑰對(duì)所述根密鑰進(jìn)行加密，得到第一根密鑰；

采用自身的簽名私鑰對(duì)所述第一根密鑰進(jìn)行簽名，得到第二根密鑰；

根據(jù)所述管理服務(wù)器的標(biāo)識(shí)將所述第二根密鑰發(fā)送至所述管理服務(wù)器；其中，所述第二根密鑰用于所述管理服務(wù)器采用服務(wù)商服務(wù)器的簽名公鑰對(duì)所述第二根密鑰進(jìn)行驗(yàn)簽，并在驗(yàn)簽通過時(shí)，通過所述管理服務(wù)器對(duì)應(yīng)的加密私鑰對(duì)所述第二根密鑰進(jìn)行解密得到所述唯一標(biāo)識(shí)對(duì)應(yīng)的根密鑰。

所述計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)可以是前述任一實(shí)施例所述的服務(wù)商服務(wù)器的內(nèi)部存儲(chǔ)單元，例如服務(wù)器的硬盤或內(nèi)存。所述計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)也可以是所述服務(wù)商服務(wù)器的外部存儲(chǔ)設(shè)備，例如所述服務(wù)商服務(wù)器上配備的插接式硬盤，智能存儲(chǔ)卡(smartmediacard,smc)，安全數(shù)字(securedigital,sd)卡，閃存卡(flashcard)等。進(jìn)一步地，所述計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)還可以既包括所述服務(wù)商服務(wù)器的內(nèi)部存儲(chǔ)單元也包括外部存儲(chǔ)設(shè)備。所述計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)用于存儲(chǔ)所述計(jì)算機(jī)程序以及所述服務(wù)商服務(wù)器所需的其他程序和數(shù)據(jù)。所述計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)還可以用于暫時(shí)地存儲(chǔ)已經(jīng)輸出或者將要輸出的數(shù)據(jù)。

本領(lǐng)域普通技術(shù)人員可以意識(shí)到，結(jié)合本文中所公開的實(shí)施例描述的各示例的單元及算法步驟，能夠以電子硬件、計(jì)算機(jī)軟件或者二者的結(jié)合來實(shí)現(xiàn)，為了清楚地說明硬件和軟件的可互換性，在上述說明中已經(jīng)按照功能一般性地描述了各示例的組成及步驟。這些功能究竟以硬件還是軟件方式來執(zhí)行，取決于技術(shù)方案的特定應(yīng)用和設(shè)計(jì)約束條件。專業(yè)技術(shù)人員可以對(duì)每個(gè)特定的應(yīng)用來使用不同方法來實(shí)現(xiàn)所描述的功能，但是這種實(shí)現(xiàn)不應(yīng)認(rèn)為超出本發(fā)明的范圍。

所屬領(lǐng)域的技術(shù)人員可以清楚地了解到，為了描述的方便和簡(jiǎn)潔，上述描述的服務(wù)器和單元的具體工作過程，可以參考前述方法實(shí)施例中的對(duì)應(yīng)過程，在此不再贅述。

在本申請(qǐng)所提供的幾個(gè)實(shí)施例中，應(yīng)該理解到，所揭露的服務(wù)器和方法，可以通過其它的方式實(shí)現(xiàn)。例如，以上所描述的裝置實(shí)施例僅僅是示意性的，例如，所述單元的劃分，僅僅為一種邏輯功能劃分，實(shí)際實(shí)現(xiàn)時(shí)可以有另外的劃分方式，例如多個(gè)單元或組件可以結(jié)合或者可以集成到另一個(gè)系統(tǒng)，或一些特征可以忽略，或不執(zhí)行。另外，所顯示或討論的相互之間的耦合或直接耦合或通信連接可以是通過一些接口、裝置或單元的間接耦合或通信連接，也可以是電的，機(jī)械的或其它的形式連接。

所述作為分離部件說明的單元可以是或者也可以不是物理上分開的，作為單元顯示的部件可以是或者也可以不是物理單元，即可以位于一個(gè)地方，或者也可以分布到多個(gè)網(wǎng)絡(luò)單元上?？梢愿鶕?jù)實(shí)際的需要選擇其中的部分或者全部單元來實(shí)現(xiàn)本發(fā)明實(shí)施例方案的目的。

另外，在本發(fā)明各個(gè)實(shí)施例中的各功能單元可以集成在一個(gè)處理單元中，也可以是各個(gè)單元單獨(dú)物理存在，也可以是兩個(gè)或兩個(gè)以上單元集成在一個(gè)單元中。上述集成的單元既可以采用硬件的形式實(shí)現(xiàn)，也可以采用軟件功能單元的形式實(shí)現(xiàn)。

所述集成的單元如果以軟件功能單元的形式實(shí)現(xiàn)并作為獨(dú)立的產(chǎn)品銷售或使用時(shí)，可以存儲(chǔ)在一個(gè)計(jì)算機(jī)可讀取存儲(chǔ)介質(zhì)中?；谶@樣的理解，本發(fā)明的技術(shù)方案本質(zhì)上或者說對(duì)現(xiàn)有技術(shù)做出貢獻(xiàn)的部分，或者該技術(shù)方案的全部或部分可以以軟件產(chǎn)品的形式體現(xiàn)出來，該計(jì)算機(jī)軟件產(chǎn)品存儲(chǔ)在一個(gè)存儲(chǔ)介質(zhì)中，包括若干指令用以使得一臺(tái)計(jì)算機(jī)設(shè)備(可以是個(gè)人計(jì)算機(jī)，服務(wù)器，或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行本發(fā)明各個(gè)實(shí)施例所述方法的全部或部分步驟。而前述的存儲(chǔ)介質(zhì)包括：u盤、移動(dòng)硬盤、只讀存儲(chǔ)器(rom，read-onlymemory)、隨機(jī)存取存儲(chǔ)器(ram，randomaccessmemory)、磁碟或者光盤等各種可以存儲(chǔ)程序代碼的介質(zhì)。

以上所述，僅為本發(fā)明的具體實(shí)施方式，但本發(fā)明的保護(hù)范圍并不局限于此，任何熟悉本技術(shù)領(lǐng)域的技術(shù)人員在本發(fā)明揭露的技術(shù)范圍內(nèi)，可輕易想到各種等效的修改或替換，這些修改或替換都應(yīng)涵蓋在本發(fā)明的保護(hù)范圍之內(nèi)。因此，本發(fā)明的保護(hù)范圍應(yīng)以權(quán)利要求的保護(hù)范圍為準(zhǔn)。