CN111211906B - 实现终端设备一机一密的方法、系统、装置、设备和介质 - Google Patents

实现终端设备一机一密的方法、系统、装置、设备和介质 Download PDF

Info

Publication number
CN111211906B
CN111211906B CN201911326382.6A CN201911326382A CN111211906B CN 111211906 B CN111211906 B CN 111211906B CN 201911326382 A CN201911326382 A CN 201911326382A CN 111211906 B CN111211906 B CN 111211906B
Authority
CN
China
Prior art keywords
key
root key
random number
terminal equipment
cpuid
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201911326382.6A
Other languages
English (en)
Other versions
CN111211906A (zh
Inventor
林化龙
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujian Morefun Electronic Technology Co ltd
Original Assignee
Fujian Morefun Electronic Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujian Morefun Electronic Technology Co ltd filed Critical Fujian Morefun Electronic Technology Co ltd
Priority to CN201911326382.6A priority Critical patent/CN111211906B/zh
Publication of CN111211906A publication Critical patent/CN111211906A/zh
Application granted granted Critical
Publication of CN111211906B publication Critical patent/CN111211906B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3228One-time or temporary data, i.e. information which is sent for every authentication or authorization, e.g. one-time-password, one-time-token or one-time-key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)
  • Telephonic Communication Services (AREA)

Abstract

本发明提供一种实现终端设备一机一密的方法、系统、装置、设备和介质,方法包括:1、终端设备授权后进入激活界面;2、生成随机数作为根密钥并写入寄存器;3、终端设备上送终端序列号和芯片ID给服务器;4、服务器收到后生成随机数R1,发送R1和请求;5、终端设备接收后生成K1,用K1加密根密钥生成EK1,用根密钥加密R1生成ER1,并上送EK1与ER1;6、服务器获取后生成K1,用K1解密EK1获取密钥K2,用K2解密ER1获取随机数R2;7、若R1与R2一致,则获取根密钥成功,绑定并存储,再发送激活指令;8、终端设备接收后执行激活;9、当寄存器内数据受到攻击后对根密钥进行清除。本发明实现一机一密功能。

Description

实现终端设备一机一密的方法、系统、装置、设备和介质
技术领域
本发明涉及计算机技术领域,特别涉及一种实现终端设备一机一密的方法、系统、装置、设备和介质。
背景技术
大多数情况下,多个终端设备都是会固化固定根密钥,用于保护终端设备其他密钥,但是这种方式存在一些缺点:根密钥一般是存储在FLASH内,只要知道根密钥的具体存储位置就可以破解根密钥;由于根密钥不唯一,如果一台终端设备的根密钥被破解,就会导致所有终端设备的根密钥也被破解,降低了终端设备的安全性。
因此,需要通过一种方法实现终端设备一机一密。
发明内容
本发明要解决的技术问题,在于提供一种实现终端设备一机一密的方法、系统、装置、设备和介质,通过随机数作为根密钥保证唯一性,从而实现一机一密功能。
第一方面,本发明提供了一种实现终端设备一机一密的方法,包括根密钥生成步骤,具体包括:
步骤A1、终端设备经管理员授权后,进入激活界面;
步骤A2、在激活前,该终端设备调用自身的随机数接口生成随机数作为根密钥RK,并写入到寄存器中;
步骤A3、终端设备上送终端序列号和芯片CPUID给服务器;
步骤A4、服务器收到该终端序列号和芯片CPUID后,根据自身的随机数接口生成随机数R1,并将该随机数R1和获取根密钥请求发送给终端设备;
步骤A5、终端设备接收到该随机数R1和获取根密钥请求后,根据终端序列号与芯片CPUID生成临时密钥K1,用临时密钥K1加密根密钥RK生成EK1,用根密钥RK加密随机数R1生成ER1,并上送EK1与ER1给服务器;
步骤A6、服务器获取EK1与ER1后,根据终端序列号与芯片CPUID生成临时密钥K1,用临时密钥K1解密EK1获取密钥K2,用K2解密ER1获取随机数R2;
步骤A7、将R1与R2进行比对,如果R1与R2一致,则认为获取终端设备的根密钥成功,即K2为根密钥RK,同时与终端序列号与芯片CPUID绑定并存储,再发送激活指令给终端设备;如果R1与R2不一致,则不做处理;
步骤A8、终端设备接收该激活指令并执行激活;
步骤A9、当寄存器内数据受到攻击后由硬件对根密钥RK进行清除。
进一步地,所述步骤A9之后还包括根密钥恢复步骤,具体包括:
步骤B1、当需要恢复根密钥时,终端设备经管理员授权后,进入恢复界面;
步骤B2、终端设备调用自身的随机数接口生成随机数R1’,并上送终端序列号、芯片CPUID和随机数R1’给服务器;
步骤B3、服务器收到终端设备上送的终端序列号、芯片CPUID与随机数R1’,比对存储的终端序列号和芯片CPUID与上送的终端序列号和芯片CPUID是否一致,如果一致,服务器根据终端序列号与芯片CPUID生成临时密钥K1,用临时密钥K1加密备份的根密钥RK生成EK1,用备份的根密钥RK加密随机数R1’生成ER1’;如果不一致,则不做处理;
步骤B4、终端设备发送获取根密钥请求给服务器;
步骤B5、服务器收到该获取根密钥请求后,发送EK1与ER1’给终端设备;
步骤B6、终端设备获取到EK1与ER1’后,根据终端序列号与芯片CPUID生成临时密钥K1,用临时密钥K1解密EK1获取密钥K2,用K2解密ER1’获取随机数R2’,将R1’与R2’进行比对,如果R1’与R2’一致,则认为获取终端设备的根密钥成功,即K2为根密钥RK,并将根密钥写入寄存器,根密钥恢复成功;如果R1’与R2’不一致,则不做处理。
进一步地,所述临时密钥K1的生成方式是终端设备或服务器由终端序列号与芯片CPUID采用异或方式进行生成的。
第二方面,本发明提供了一种实现终端设备一机一密的方法,用于终端设备中,所述方法包括:
步骤AS1、经管理员授权后,进入激活界面;
步骤AS2、在激活前,调用自身的随机数接口生成随机数作为根密钥RK,并写入到寄存器中;
步骤AS3、上送终端序列号和芯片CPUID给服务器;
步骤AS4、接收到由服务器发送的随机数R1和获取根密钥请求,该随机数R1是服务器在收到该终端序列号和芯片CPUID后,根据自身的随机数接口生成的;
步骤AS5、根据终端序列号与芯片CPUID生成临时密钥K1,用临时密钥K1加密根密钥RK生成EK1,用根密钥RK加密随机数R1生成ER1,并上送EK1与ER1给服务器;
步骤AS6、接收到由服务器发送的激活指令并执行激活;该激活指令是在服务器获取EK1与ER1后,根据终端序列号与芯片CPUID生成临时密钥K1,用临时密钥K1解密EK1获取密钥K2,用K2解密ER1获取随机数R2,将R1与R2进行比对,如果R1与R2不一致,则不做处理;如果R1与R2一致,则认为获取根密钥成功,即K2为根密钥RK,同时与终端序列号与芯片CPUID绑定并存储后,再发送出去的;
步骤AS7、当寄存器内数据受到攻击后由硬件对根密钥RK进行清除。
第三方面,本发明提供了一种实现终端设备一机一密的方法,用于服务器中,所述方法包括:
步骤AM1、收到由终端设备上送的终端序列号和芯片CPUID,所述终端序列号和芯片CPUID是在终端设备经管理员授权后,进入激活界面,在激活前,由终端设备调用自身的随机数接口生成随机数作为根密钥RK,并写入到寄存器中,再发送出去的;
步骤AM2、根据自身的随机数接口生成随机数R1,并将该随机数R1和获取根密钥请求发送给终端设备;
步骤AM3、获取由终端设备上送的EK1与ER1,所述EK1与ER1是终端设备接收到该随机数R1和获取根密钥请求后,根据终端序列号与芯片CPUID生成临时密钥K1,用临时密钥K1加密根密钥RK生成EK1,用根密钥RK加密随机数R1生成ER1;
步骤AM4、根据终端序列号与芯片CPUID生成临时密钥K1,用临时密钥K1解密EK1获取密钥K2,用K2解密ER1获取随机数R2;
步骤AM5、将R1与R2进行比对,如果R1与R2一致,则认为获取终端设备的根密钥成功,即K2为根密钥RK,同时与终端序列号与芯片CPUID绑定并存储,再发送激活指令给终端设备执行激活;如果R1与R2不一致,则不做处理;
步骤AM6、当寄存器内数据受到攻击后由硬件对根密钥RK进行清除。
第四方面,本发明提供了一种实现终端设备一机一密的系统,包括:
授权管理模块,用于终端设备经管理员授权后,进入激活界面;
根密钥生成模块,用于在激活前,该终端设备调用自身的随机数接口生成随机数作为根密钥RK,并写入到寄存器中;
标识传输模块,用于终端设备上送终端序列号和芯片CPUID给服务器;
请求传输模块,用于服务器收到该终端序列号和芯片CPUID后,根据自身的随机数接口生成随机数R1,并将该随机数R1和获取根密钥请求发送给终端设备;
密钥加密模块,用于终端设备接收到该随机数R1和获取根密钥请求后,根据终端序列号与芯片CPUID生成临时密钥K1,用临时密钥K1加密根密钥RK生成EK1,用根密钥RK加密随机数R1生成ER1,并上送EK1与ER1给服务器;
密钥解密模块,用于服务器获取EK1与ER1后,根据终端序列号与芯片CPUID生成临时密钥K1,用临时密钥K1解密EK1获取密钥K2,用K2解密ER1获取随机数R2;
根密钥获取模块,用于将R1与R2进行比对,如果R1与R2一致,则认为获取终端设备的根密钥成功,即K2为根密钥RK,同时与终端序列号与芯片CPUID绑定并存储,再发送激活指令给终端设备;如果R1与R2不一致,则不做处理;
终端激活模块,用于终端设备接收该激活指令并执行激活;
根密钥清除模块,用于当寄存器内数据受到攻击后由硬件对根密钥RK进行清除。
第五方面,本发明提供了一种实现终端设备一机一密的装置,用于终端设备中,包括:
授权管理模块,用于经管理员授权后,进入激活界面;
根密钥生成模块,用于在激活前,调用自身的随机数接口生成随机数作为根密钥RK,并写入到寄存器中;
标识传输模块,用于上送终端序列号和芯片CPUID给服务器;
请求传输模块,用于接收到由服务器发送的随机数R1和获取根密钥请求,该随机数R1是服务器在收到该终端序列号和芯片CPUID后,根据自身的随机数接口生成的;
密钥加密模块,用于根据终端序列号与芯片CPUID生成临时密钥K1,用临时密钥K1加密根密钥RK生成EK1,用根密钥RK加密随机数R1生成ER1,并上送EK1与ER1给服务器;
终端激活模块,用于接收到由服务器发送的激活指令并执行激活;该激活指令是在服务器获取EK1与ER1后,根据终端序列号与芯片CPUID生成临时密钥K1,用临时密钥K1解密EK1获取密钥K2,用K2解密ER1获取随机数R2,将R1与R2进行比对,如果R1与R2不一致,则不做处理;如果R1与R2一致,则认为获取根密钥成功,即K2为根密钥RK,同时与终端序列号与芯片CPUID绑定并存储后,再发送出去的;
根密钥清除模块,用于当寄存器内数据受到攻击后由硬件对根密钥RK进行清除。
第六方面,本发明提供了一种实现终端设备一机一密的装置,用于服务器中,包括:
标识传输模块,用于收到由终端设备上送的终端序列号和芯片CPUID,所述终端序列号和芯片CPUID是在终端设备经管理员授权后,进入激活界面,在激活前,由终端设备调用自身的随机数接口生成随机数作为根密钥RK,并写入到寄存器中,再发送出去的;
请求传输模块,用于根据自身的随机数接口生成随机数R1,并将该随机数R1和获取根密钥请求发送给终端设备;
密钥加密模块,用于获取由终端设备上送的EK1与ER1,所述EK1与ER1是终端设备接收到该随机数R1和获取根密钥请求后,根据终端序列号与芯片CPUID生成临时密钥K1,用临时密钥K1加密根密钥RK生成EK1,用根密钥RK加密随机数R1生成ER1;
密钥解密模块,用于根据终端序列号与芯片CPUID生成临时密钥K1,用临时密钥K1解密EK1获取密钥K2,用K2解密ER1获取随机数R2;
根密钥获取模块,用于将R1与R2进行比对,如果R1与R2一致,则认为获取终端设备的根密钥成功,即K2为根密钥RK,同时与终端序列号与芯片CPUID绑定并存储,再发送激活指令给终端设备执行激活;如果R1与R2不一致,则不做处理;
根密钥清除模块,用于当寄存器内数据受到攻击后由硬件对根密钥RK进行清除。
第七方面,本发明提供了一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现第一方面所述的方法。
第八方面,本发明提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现第一方面所述的方法。
本发明实施例中提供的一个或多个技术方案,至少具有如下技术效果或优点:
本申请实施例提供的一种实现终端设备一机一密的方法、系统、装置、设备和介质,终端设备通过随机数接口生成随机数作为根密钥并写入到寄存器BPK中,同时将根密钥送到服务器后台做备份,以作为后续根密钥恢复操作,当寄存器BPK内数据受到攻击后由硬件清除根密钥,通过硬件安全防护保证根密钥安全;同时通过随机数作为根密钥保证根密钥的唯一性,从而实现一机一密功能,提高终端设备安全性能。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
附图说明
下面参照附图结合实施例对本发明作进一步的说明。
图1为本发明整体的框架示意图。
图2为本发明实施例一/实施例二/实施例三中方法的根密钥生成流程图。
图3为本发明实施例一中方法的根密钥恢复流程图。
图4为本发明实施例四中系统的结构示意图。
图5为本发明实施例五中装置的结构示意图。
图6为本发明实施例六中装置的结构示意图。
图7为本发明实施例七中电子设备的结构示意图。
图8为本发明实施例八中介质的结构示意图。
具体实施方式
本申请实施例通过提供一种实现终端设备一机一密的方法、系统、装置、设备及介质,通过随机数作为根密钥保证唯一性,从而实现一机一密功能。
本申请实施例中的技术方案,总体思路如下:
终端设备激活时调用随机数接口生成随机数作为根密钥,然后将根密钥写入到备份寄存器BPK中,同时将根密钥送到服务器后台做备份,以作为后续根密钥恢复操作,寄存器BPK内数据在受到攻击后由硬件清除,通过硬件安全防护保证根密钥安全,同时通过随机数作为根密钥保证唯一性,从而实现一机一密功能。
在介绍具体实施例之前,先介绍本申请实施例方法所对应的整体框架,如图1所示,整体大概分两个部分:终端设备和服务器,终端设备与服务器之间实现数据交互。
实施例一
本实施例提供一种实现终端设备一机一密的方法,如图2所示,包括根密钥生成步骤,具体包括:
步骤A1、终端设备经管理员授权后,进入激活界面;
步骤A2、在激活前,该终端设备调用自身的随机数接口生成随机数作为根密钥RK,并写入到寄存器中;
步骤A3、终端设备上送终端序列号和芯片CPUID给服务器;
步骤A4、服务器收到该终端序列号和芯片CPUID后,根据自身的随机数接口生成随机数R1,并将该随机数R1和获取根密钥请求发送给终端设备;
步骤A5、终端设备接收到该随机数R1和获取根密钥请求后,根据终端序列号与芯片CPUID生成临时密钥K1,用临时密钥K1加密根密钥RK生成EK1,用根密钥RK加密随机数R1生成ER1,并上送EK1与ER1给服务器;
步骤A6、服务器获取EK1与ER1后,根据终端序列号与芯片CPUID生成临时密钥K1,用临时密钥K1解密EK1获取密钥K2,用K2解密ER1获取随机数R2;
步骤A7、将R1与R2进行比对,如果R1与R2一致,则认为获取终端设备的根密钥成功,即K2为根密钥RK,同时与终端序列号与芯片CPUID绑定并存储,再发送激活指令给终端设备;如果R1与R2不一致,则不做处理;
步骤A8、终端设备接收该激活指令并执行激活;
步骤A9、当寄存器内数据受到攻击后由硬件对根密钥RK进行清除,通过硬件安全防护保证根密钥安全,同时通过随机数作为根密钥保证唯一性,从而实现一机一密功能。
如图3所示,所述步骤A9之后还包括根密钥恢复步骤,具体包括:
步骤B1、当需要恢复根密钥时,终端设备经管理员授权后,进入恢复界面;
步骤B2、终端设备调用自身的随机数接口生成随机数R1’,并上送终端序列号、芯片CPUID和随机数R1’给服务器;
步骤B3、服务器收到终端设备上送的终端序列号、芯片CPUID与随机数R1’,比对存储的终端序列号和芯片CPUID与上送的终端序列号和芯片CPUID是否一致,如果一致,服务器根据终端序列号与芯片CPUID生成临时密钥K1,用临时密钥K1加密备份的根密钥RK生成EK1,用备份的根密钥RK加密随机数R1’生成ER1’;如果不一致,则不做处理;
步骤B4、终端设备发送获取根密钥请求给服务器;
步骤B5、服务器收到该获取根密钥请求后,发送EK1与ER1’给终端设备;
步骤B6、终端设备获取到EK1与ER1’后,根据终端序列号与芯片CPUID生成临时密钥K1,用临时密钥K1解密EK1获取密钥K2,用K2解密ER1’获取随机数R2’,将R1’与R2’进行比对,如果R1’与R2’一致,则认为获取终端设备的根密钥成功,即K2为根密钥RK,并将根密钥写入寄存器,根密钥恢复成功;如果R1’与R2’不一致,则不做处理。
其中有,所述临时密钥K1的生成方式是终端设备或服务器由终端序列号与芯片CPUID采用异或方式进行生成的。
实施例二
基于同一发明构思,本实施例还提供了一种实现终端设备一机一密的方法,用于终端设备中,如图2所示,所述方法包括:
步骤AS1、经管理员授权后,进入激活界面;
步骤AS2、在激活前,调用自身的随机数接口生成随机数作为根密钥RK,并写入到寄存器中;
步骤AS3、上送终端序列号和芯片CPUID给服务器;
步骤AS4、接收到由服务器发送的随机数R1和获取根密钥请求,该随机数R1是服务器在收到该终端序列号和芯片CPUID后,根据自身的随机数接口生成的;
步骤AS5、根据终端序列号与芯片CPUID生成临时密钥K1,用临时密钥K1加密根密钥RK生成EK1,用根密钥RK加密随机数R1生成ER1,并上送EK1与ER1给服务器;
步骤AS6、接收到由服务器发送的激活指令并执行激活;该激活指令是在服务器获取EK1与ER1后,根据终端序列号与芯片CPUID生成临时密钥K1,用临时密钥K1解密EK1获取密钥K2,用K2解密ER1获取随机数R2,将R1与R2进行比对,如果R1与R2不一致,则不做处理;如果R1与R2一致,则认为获取根密钥成功,即K2为根密钥RK,同时与终端序列号与芯片CPUID绑定并存储后,再发送出去的;
步骤AS7、当寄存器内数据受到攻击后由硬件对根密钥RK进行清除,通过硬件安全防护保证根密钥安全,同时通过随机数作为根密钥保证唯一性,从而实现一机一密功能。
实施例三
基于同一发明构思,本实施例还提供了一种实现终端设备一机一密的方法,用于服务器中,如图2所示,所述方法包括:
步骤AM1、收到由终端设备上送的终端序列号和芯片CPUID,所述终端序列号和芯片CPUID是在终端设备经管理员授权后,进入激活界面,在激活前,由终端设备调用自身的随机数接口生成随机数作为根密钥RK,并写入到寄存器中,再发送出去的;
步骤AM2、根据自身的随机数接口生成随机数R1,并将该随机数R1和获取根密钥请求发送给终端设备;
步骤AM3、获取由终端设备上送的EK1与ER1,所述EK1与ER1是终端设备接收到该随机数R1和获取根密钥请求后,根据终端序列号与芯片CPUID生成临时密钥K1,用临时密钥K1加密根密钥RK生成EK1,用根密钥RK加密随机数R1生成ER1;
步骤AM4、根据终端序列号与芯片CPUID生成临时密钥K1,用临时密钥K1解密EK1获取密钥K2,用K2解密ER1获取随机数R2;
步骤AM5、将R1与R2进行比对,如果R1与R2一致,则认为获取终端设备的根密钥成功,即K2为根密钥RK,同时与终端序列号与芯片CPUID绑定并存储,再发送激活指令给终端设备执行激活;如果R1与R2不一致,则不做处理;
步骤AM6、当寄存器内数据受到攻击后由硬件对根密钥RK进行清除,通过硬件安全防护保证根密钥安全,同时通过随机数作为根密钥保证唯一性,从而实现一机一密功能。
基于同一发明构思,本申请还提供了与实施例一中的方法对应的系统,详见实施例四。
实施例四
在本实施例中提供了一种实现终端设备一机一密的系统,如图4所示,包括:
授权管理模块,用于终端设备经管理员授权后,进入激活界面;
根密钥生成模块,用于在激活前,该终端设备调用自身的随机数接口生成随机数作为根密钥RK,并写入到寄存器中;
标识传输模块,用于终端设备上送终端序列号和芯片CPUID给服务器;
请求传输模块,用于服务器收到该终端序列号和芯片CPUID后,根据自身的随机数接口生成随机数R1,并将该随机数R1和获取根密钥请求发送给终端设备;
密钥加密模块,用于终端设备接收到该随机数R1和获取根密钥请求后,根据终端序列号与芯片CPUID生成临时密钥K1,用临时密钥K1加密根密钥RK生成EK1,用根密钥RK加密随机数R1生成ER1,并上送EK1与ER1给服务器;
密钥解密模块,用于服务器获取EK1与ER1后,根据终端序列号与芯片CPUID生成临时密钥K1,用临时密钥K1解密EK1获取密钥K2,用K2解密ER1获取随机数R2;
根密钥获取模块,用于将R1与R2进行比对,如果R1与R2一致,则认为获取终端设备的根密钥成功,即K2为根密钥RK,同时与终端序列号与芯片CPUID绑定并存储,再发送激活指令给终端设备;如果R1与R2不一致,则不做处理;
终端激活模块,用于终端设备接收该激活指令并执行激活;
根密钥清除模块,用于当寄存器内数据受到攻击后由硬件对根密钥RK进行清除。
由于本发明实施例四所介绍的系统,为实施本发明实施例一的方法所采用的系统,故而基于本发明实施例一所介绍的方法,本领域所属人员能够了解该系统的具体结构及变形,故而在此不再赘述。凡是本发明实施例一的方法所采用的系统都属于本发明所欲保护的范围。
基于同一发明构思,本申请还提供了与实施例二中的方法对应的装置,详见实施例五。
实施例五
在本实施例中提供了一种实现终端设备一机一密的装置,如图5所示,包括:
授权管理模块,用于经管理员授权后,进入激活界面;
根密钥生成模块,用于在激活前,调用自身的随机数接口生成随机数作为根密钥RK,并写入到寄存器中;
标识传输模块,用于上送终端序列号和芯片CPUID给服务器;
请求传输模块,用于接收到由服务器发送的随机数R1和获取根密钥请求,该随机数R1是服务器在收到该终端序列号和芯片CPUID后,根据自身的随机数接口生成的;
密钥加密模块,用于根据终端序列号与芯片CPUID生成临时密钥K1,用临时密钥K1加密根密钥RK生成EK1,用根密钥RK加密随机数R1生成ER1,并上送EK1与ER1给服务器;
终端激活模块,用于接收到由服务器发送的激活指令并执行激活;该激活指令是在服务器获取EK1与ER1后,根据终端序列号与芯片CPUID生成临时密钥K1,用临时密钥K1解密EK1获取密钥K2,用K2解密ER1获取随机数R2,将R1与R2进行比对,如果R1与R2不一致,则不做处理;如果R1与R2一致,则认为获取根密钥成功,即K2为根密钥RK,同时与终端序列号与芯片CPUID绑定并存储后,再发送出去的;
根密钥清除模块,用于当寄存器内数据受到攻击后由硬件对根密钥RK进行清除。
由于本发明实施例五所介绍的装置,为实施本发明实施例二的方法所采用的装置,故而基于本发明实施例二所介绍的方法,本领域所属人员能够了解该装置的具体结构及变形,故而在此不再赘述。凡是本发明实施例二的方法所采用的装置都属于本发明所欲保护的范围。
基于同一发明构思,本申请还提供了与实施例三中的方法对应的装置,详见实施例六。
实施例六
在本实施例中提供了一种实现终端设备一机一密的装置,用于服务器中,如图6所示,包括:
标识传输模块,用于收到由终端设备上送的终端序列号和芯片CPUID,所述终端序列号和芯片CPUID是在终端设备经管理员授权后,进入激活界面,在激活前,由终端设备调用自身的随机数接口生成随机数作为根密钥RK,并写入到寄存器中,再发送出去的;
请求传输模块,用于根据自身的随机数接口生成随机数R1,并将该随机数R1和获取根密钥请求发送给终端设备;
密钥加密模块,用于获取由终端设备上送的EK1与ER1,所述EK1与ER1是终端设备接收到该随机数R1和获取根密钥请求后,根据终端序列号与芯片CPUID生成临时密钥K1,用临时密钥K1加密根密钥RK生成EK1,用根密钥RK加密随机数R1生成ER1;
密钥解密模块,用于根据终端序列号与芯片CPUID生成临时密钥K1,用临时密钥K1解密EK1获取密钥K2,用K2解密ER1获取随机数R2;
根密钥获取模块,用于将R1与R2进行比对,如果R1与R2一致,则认为获取终端设备的根密钥成功,即K2为根密钥RK,同时与终端序列号与芯片CPUID绑定并存储,再发送激活指令给终端设备执行激活;如果R1与R2不一致,则不做处理;
根密钥清除模块,用于当寄存器内数据受到攻击后由硬件对根密钥RK进行清除。
由于本发明实施例六所介绍的装置,为实施本发明实施例三的方法所采用的装置,故而基于本发明实施例三所介绍的方法,本领域所属人员能够了解该装置的具体结构及变形,故而在此不再赘述。凡是本发明实施例三的方法所采用的装置都属于本发明所欲保护的范围。
基于同一发明构思,本申请提供了实施例一对应的电子设备实施例,详见实施例七。
实施例七
本实施例提供了一种电子设备,如图7所示,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,处理器执行计算机程序时,可以实现实施例一中任一实施方式。
由于本实施例所介绍的电子设备为实施本申请实施例一中方法所采用的设备,故而基于本申请实施例一中所介绍的方法,本领域所属技术人员能够了解本实施例的电子设备的具体实施方式以及其各种变化形式,所以在此对于该电子设备如何实现本申请实施例中的方法不再详细介绍。只要本领域所属技术人员实施本申请实施例中的方法所采用的设备,都属于本申请所欲保护的范围。
基于同一发明构思,本申请提供了实施例一对应的存储介质,详见实施例八。
实施例八
本实施例提供一种计算机可读存储介质,如图8所示,其上存储有计算机程序,该计算机程序被处理器执行时,可以实现实施例一中任一实施方式。
本申请实施例中提供的技术方案,至少具有如下技术效果或优点:本申请实施例提供的一种实现终端设备一机一密的方法、系统、装置、设备和介质,终端设备通过随机数接口生成随机数作为根密钥并写入到寄存器BPK中,同时将根密钥送到服务器后台做备份,以作为后续根密钥恢复操作,当寄存器BPK内数据受到攻击后由硬件清除根密钥,通过硬件安全防护保证根密钥安全;同时通过随机数作为根密钥保证根密钥的唯一性,从而实现一机一密功能,提高终端设备安全性能。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
虽然以上描述了本发明的具体实施方式,但是熟悉本技术领域的技术人员应当理解,我们所描述的具体的实施例只是说明性的,而不是用于对本发明的范围的限定,熟悉本领域的技术人员在依照本发明的精神所作的等效的修饰以及变化,都应当涵盖在本发明的权利要求所保护的范围内。

Claims (9)

1.一种实现终端设备一机一密的方法,其特征在于:包括根密钥生成步骤,具体包括:
步骤A1、终端设备经管理员授权后,进入激活界面;
步骤A2、在激活前,该终端设备调用自身的随机数接口生成随机数作为根密钥RK,并写入到寄存器中;
步骤A3、终端设备上送终端序列号和芯片CPUID给服务器;
步骤A4、服务器收到该终端序列号和芯片CPUID后,根据自身的随机数接口生成随机数R1,并将该随机数R1和获取根密钥请求发送给终端设备;
步骤A5、终端设备接收到该随机数R1和获取根密钥请求后,根据终端序列号与芯片CPUID生成临时密钥K1,用临时密钥K1加密根密钥RK生成EK1,用根密钥RK加密随机数R1生成ER1,并上送EK1与ER1给服务器;
步骤A6、服务器获取EK1与ER1后,根据终端序列号与芯片CPUID生成临时密钥K1,用临时密钥K1解密EK1获取密钥K2,用K2解密ER1获取随机数R2;
步骤A7、将R1与R2进行比对,如果R1与R2一致,则认为获取终端设备的根密钥成功,即K2为根密钥RK,同时与终端序列号与芯片CPUID绑定并存储,再发送激活指令给终端设备;如果R1与R2不一致,则不做处理;
步骤A8、终端设备接收该激活指令并执行激活;
步骤A9、当寄存器内数据受到攻击后由硬件对根密钥RK进行清除;
其中,所述临时密钥K1的生成方式是终端设备或服务器由终端序列号与芯片CPUID采用异或方式进行生成的。
2.根据权利要求1所述的一种实现终端设备一机一密的方法,其特征在于:所述步骤A9之后还包括根密钥恢复步骤,具体包括:
步骤B1、当需要恢复根密钥时,终端设备经管理员授权后,进入恢复界面;
步骤B2、终端设备调用自身的随机数接口生成随机数R1’,并上送终端序列号、芯片CPUID和随机数R1’给服务器;
步骤B3、服务器收到终端设备上送的终端序列号、芯片CPUID与随机数R1’,比对存储的终端序列号和芯片CPUID与上送的终端序列号和芯片CPUID是否一致,如果一致,服务器根据终端序列号与芯片CPUID生成临时密钥K1,用临时密钥K1加密备份的根密钥RK生成EK1,用备份的根密钥RK加密随机数R1’生成ER1’;如果不一致,则不做处理;
步骤B4、终端设备发送获取根密钥请求给服务器;
步骤B5、服务器收到该获取根密钥请求后,发送EK1与ER1’给终端设备;
步骤B6、终端设备获取到EK1与ER1’后,根据终端序列号与芯片CPUID生成临时密钥K1,用临时密钥K1解密EK1获取密钥K2,用K2解密ER1’获取随机数R2’,将R1’与R2’进行比对,如果R1’与R2’一致,则认为获取终端设备的根密钥成功,即K2为根密钥RK,并将根密钥写入寄存器,根密钥恢复成功;如果R1’与R2’不一致,则不做处理。
3.一种实现终端设备一机一密的方法,其特征在于:用于终端设备中,所述方法包括:
步骤AS1、经管理员授权后,进入激活界面;
步骤AS2、在激活前,调用自身的随机数接口生成随机数作为根密钥RK,并写入到寄存器中;
步骤AS3、上送终端序列号和芯片CPUID给服务器;
步骤AS4、接收到由服务器发送的随机数R1和获取根密钥请求,该随机数R1是服务器在收到该终端序列号和芯片CPUID后,根据自身的随机数接口生成的;
步骤AS5、根据终端序列号与芯片CPUID生成临时密钥K1,用临时密钥K1加密根密钥RK生成EK1,用根密钥RK加密随机数R1生成ER1,并上送EK1与ER1给服务器;
步骤AS6、接收到由服务器发送的激活指令并执行激活;该激活指令是在服务器获取EK1与ER1后,根据终端序列号与芯片CPUID生成临时密钥K1,用临时密钥K1解密EK1获取密钥K2,用K2解密ER1获取随机数R2,将R1与R2进行比对,如果R1与R2不一致,则不做处理;如果R1与R2一致,则认为获取根密钥成功,即K2为根密钥RK,同时与终端序列号与芯片CPUID绑定并存储后,再发送出去的;
步骤AS7、当寄存器内数据受到攻击后由硬件对根密钥RK进行清除;
其中,所述临时密钥K1的生成方式是终端设备或服务器由终端序列号与芯片CPUID采用异或方式进行生成的。
4.一种实现终端设备一机一密的方法,其特征在于:用于服务器中,所述方法包括:
步骤AM1、收到由终端设备上送的终端序列号和芯片CPUID,所述终端序列号和芯片CPUID是在终端设备经管理员授权后,进入激活界面,在激活前,由终端设备调用自身的随机数接口生成随机数作为根密钥RK,并写入到寄存器中,再发送出去的;
步骤AM2、根据自身的随机数接口生成随机数R1,并将该随机数R1和获取根密钥请求发送给终端设备;
步骤AM3、获取由终端设备上送的EK1与ER1,所述EK1与ER1是终端设备接收到该随机数R1和获取根密钥请求后,根据终端序列号与芯片CPUID生成临时密钥K1,用临时密钥K1加密根密钥RK生成EK1,用根密钥RK加密随机数R1生成ER1;
步骤AM4、根据终端序列号与芯片CPUID生成临时密钥K1,用临时密钥K1解密EK1获取密钥K2,用K2解密ER1获取随机数R2;
步骤AM5、将R1与R2进行比对,如果R1与R2一致,则认为获取终端设备的根密钥成功,即K2为根密钥RK,同时与终端序列号与芯片CPUID绑定并存储,再发送激活指令给终端设备执行激活;如果R1与R2不一致,则不做处理;
步骤AM6、当寄存器内数据受到攻击后由硬件对根密钥RK进行清除;
其中,所述临时密钥K1的生成方式是终端设备或服务器由终端序列号与芯片CPUID采用异或方式进行生成的。
5.一种实现终端设备一机一密的系统,其特征在于:包括:
授权管理模块,用于终端设备经管理员授权后,进入激活界面;
根密钥生成模块,用于在激活前,该终端设备调用自身的随机数接口生成随机数作为根密钥RK,并写入到寄存器中;
标识传输模块,用于终端设备上送终端序列号和芯片CPUID给服务器;
请求传输模块,用于服务器收到该终端序列号和芯片CPUID后,根据自身的随机数接口生成随机数R1,并将该随机数R1和获取根密钥请求发送给终端设备;
密钥加密模块,用于终端设备接收到该随机数R1和获取根密钥请求后,根据终端序列号与芯片CPUID生成临时密钥K1,用临时密钥K1加密根密钥RK生成EK1,用根密钥RK加密随机数R1生成ER1,并上送EK1与ER1给服务器;
密钥解密模块,用于服务器获取EK1与ER1后,根据终端序列号与芯片CPUID生成临时密钥K1,用临时密钥K1解密EK1获取密钥K2,用K2解密ER1获取随机数R2;
根密钥获取模块,用于将R1与R2进行比对,如果R1与R2一致,则认为获取终端设备的根密钥成功,即K2为根密钥RK,同时与终端序列号与芯片CPUID绑定并存储,再发送激活指令给终端设备;如果R1与R2不一致,则不做处理;
终端激活模块,用于终端设备接收该激活指令并执行激活;
根密钥清除模块,用于当寄存器内数据受到攻击后由硬件对根密钥RK进行清除;
其中,所述临时密钥K1的生成方式是终端设备或服务器由终端序列号与芯片CPUID采用异或方式进行生成的。
6.一种实现终端设备一机一密的装置,其特征在于:用于终端设备中,包括:
授权管理模块,用于经管理员授权后,进入激活界面;
根密钥生成模块,用于在激活前,调用自身的随机数接口生成随机数作为根密钥RK,并写入到寄存器中;
标识传输模块,用于上送终端序列号和芯片CPUID给服务器;
请求传输模块,用于接收到由服务器发送的随机数R1和获取根密钥请求,该随机数R1是服务器在收到该终端序列号和芯片CPUID后,根据自身的随机数接口生成的;
密钥加密模块,用于根据终端序列号与芯片CPUID生成临时密钥K1,用临时密钥K1加密根密钥RK生成EK1,用根密钥RK加密随机数R1生成ER1,并上送EK1与ER1给服务器;
终端激活模块,用于接收到由服务器发送的激活指令并执行激活;该激活指令是在服务器获取EK1与ER1后,根据终端序列号与芯片CPUID生成临时密钥K1,用临时密钥K1解密EK1获取密钥K2,用K2解密ER1获取随机数R2,将R1与R2进行比对,如果R1与R2不一致,则不做处理;如果R1与R2一致,则认为获取根密钥成功,即K2为根密钥RK,同时与终端序列号与芯片CPUID绑定并存储后,再发送出去的;
根密钥清除模块,用于当寄存器内数据受到攻击后由硬件对根密钥RK进行清除;
其中,所述临时密钥K1的生成方式是终端设备或服务器由终端序列号与芯片CPUID采用异或方式进行生成的。
7.一种实现终端设备一机一密的装置,其特征在于:用于服务器中,包括:
标识传输模块,用于收到由终端设备上送的终端序列号和芯片CPUID,所述终端序列号和芯片CPUID是在终端设备经管理员授权后,进入激活界面,在激活前,由终端设备调用自身的随机数接口生成随机数作为根密钥RK,并写入到寄存器中,再发送出去的;
请求传输模块,用于根据自身的随机数接口生成随机数R1,并将该随机数R1和获取根密钥请求发送给终端设备;
密钥加密模块,用于获取由终端设备上送的EK1与ER1,所述EK1与ER1是终端设备接收到该随机数R1和获取根密钥请求后,根据终端序列号与芯片CPUID生成临时密钥K1,用临时密钥K1加密根密钥RK生成EK1,用根密钥RK加密随机数R1生成ER1;
密钥解密模块,用于根据终端序列号与芯片CPUID生成临时密钥K1,用临时密钥K1解密EK1获取密钥K2,用K2解密ER1获取随机数R2;
根密钥获取模块,用于将R1与R2进行比对,如果R1与R2一致,则认为获取终端设备的根密钥成功,即K2为根密钥RK,同时与终端序列号与芯片CPUID绑定并存储,再发送激活指令给终端设备执行激活;如果R1与R2不一致,则不做处理;
根密钥清除模块,用于当寄存器内数据受到攻击后由硬件对根密钥RK进行清除;
其中,所述临时密钥K1的生成方式是终端设备或服务器由终端序列号与芯片CPUID采用异或方式进行生成的。
8.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1至2任一项所述的方法。
9.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1至2任一项所述的方法。
CN201911326382.6A 2019-12-20 2019-12-20 实现终端设备一机一密的方法、系统、装置、设备和介质 Active CN111211906B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911326382.6A CN111211906B (zh) 2019-12-20 2019-12-20 实现终端设备一机一密的方法、系统、装置、设备和介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911326382.6A CN111211906B (zh) 2019-12-20 2019-12-20 实现终端设备一机一密的方法、系统、装置、设备和介质

Publications (2)

Publication Number Publication Date
CN111211906A CN111211906A (zh) 2020-05-29
CN111211906B true CN111211906B (zh) 2023-09-26

Family

ID=70788241

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911326382.6A Active CN111211906B (zh) 2019-12-20 2019-12-20 实现终端设备一机一密的方法、系统、装置、设备和介质

Country Status (1)

Country Link
CN (1) CN111211906B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112468295B (zh) * 2020-11-26 2023-05-12 江西省湾流港智能科技有限公司 基于车位锁设备的物联网通信加密方法、系统、计算机设备

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102521546A (zh) * 2011-12-22 2012-06-27 福建联迪商用设备有限公司 自助终端与密码键盘相互认证的方法
CN103368735A (zh) * 2012-04-06 2013-10-23 中兴通讯股份有限公司 应用接入智能卡的认证方法、装置和系统
CN106953731A (zh) * 2017-02-17 2017-07-14 福建魔方电子科技有限公司 一种终端管理员的认证方法及系统
CN109728909A (zh) * 2019-03-21 2019-05-07 郑建建 基于USBKey的身份认证方法和系统
CN110390746A (zh) * 2019-06-16 2019-10-29 广州智慧城市发展研究院 一种指纹防盗门禁的实现方法
CN110460562A (zh) * 2018-05-08 2019-11-15 无锡酷银科技有限公司 一种pos终端远程激活方法及系统

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10922441B2 (en) * 2018-05-04 2021-02-16 Huawei Technologies Co., Ltd. Device and method for data security with a trusted execution environment

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102521546A (zh) * 2011-12-22 2012-06-27 福建联迪商用设备有限公司 自助终端与密码键盘相互认证的方法
CN103368735A (zh) * 2012-04-06 2013-10-23 中兴通讯股份有限公司 应用接入智能卡的认证方法、装置和系统
CN106953731A (zh) * 2017-02-17 2017-07-14 福建魔方电子科技有限公司 一种终端管理员的认证方法及系统
CN110460562A (zh) * 2018-05-08 2019-11-15 无锡酷银科技有限公司 一种pos终端远程激活方法及系统
CN109728909A (zh) * 2019-03-21 2019-05-07 郑建建 基于USBKey的身份认证方法和系统
CN110390746A (zh) * 2019-06-16 2019-10-29 广州智慧城市发展研究院 一种指纹防盗门禁的实现方法

Also Published As

Publication number Publication date
CN111211906A (zh) 2020-05-29

Similar Documents

Publication Publication Date Title
CN110324143B (zh) 数据传输方法、电子设备及存储介质
CN110149209B (zh) 物联网设备及其提高数据传输安全性的方法和装置
CN110414248B (zh) 一种调试微处理器的方法及微处理器
CN112257086B (zh) 一种用户隐私数据保护方法及电子设备
US20180204004A1 (en) Authentication method and apparatus for reinforced software
CN111242611B (zh) 一种用于恢复数字钱包密钥的方法及系统
CN109286502B (zh) 恢复加密机管理员锁的方法以及加密机
CN111385084A (zh) 数字资产的密钥管理方法、装置及计算机可读存储介质
CN110572468A (zh) 服务器集群文件同步方法及装置、电子设备及存储介质
CN112241527B (zh) 物联网终端设备的密钥生成方法、系统及电子设备
CN109656750A (zh) 用于在安全闪存装置上数据恢复的基于puf的引导加载
CN113014381B (zh) 一种车载终端的密钥处理方法、装置、电子设备和介质
CN111628863B (zh) 一种数据签名的方法、装置、电子设备及存储介质
CN112307488A (zh) 一种认证凭据保护方法和系统
CN111177693B (zh) 一种验证终端根证书的方法、装置、设备和介质
CN111211906B (zh) 实现终端设备一机一密的方法、系统、装置、设备和介质
CN103592927A (zh) 一种通过license绑定产品服务器及业务功能的方法
CN111143784A (zh) 一种版权保护的实现方法和版权保护存储装置
CN114598501A (zh) 一种基于物联网的数据处理方法和装置
CN109391689A (zh) 一种微服务应用程序编程接口调用的方法及装置
CN109891823B (zh) 用于凭证加密的方法、系统以及非暂态计算机可读介质
CN111291398B (zh) 基于区块链的认证方法、装置、计算机设备及存储介质
CN112631836A (zh) 用于区块链的方法、装置、存储介质及电子设备
CN110445774B (zh) IoT设备的安全防护方法、装置及设备
CN112052432A (zh) 终端设备授权方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant