CN113609213B - 设备密钥的同步方法、系统、设备和存储介质 - Google Patents

Abstract

本申请公开了一种设备密钥的同步方法、系统、电子设备及存储介质。本申请的设备密钥的同步方法，包括：业务端根据预设的申请信息生成用于申请批次密钥的第一请求，并将第一请求发送至授权端，业务端接收授权端根据第一请求生成的数字信封和目标设备芯片，根据数字信封得到批次密钥和设备序列号，根据批次密钥和设备序列号，生成设备密钥，将设备密钥同步至业务系统，并将目标设备芯片集成到与设备序列号对应的终端设备，完成物联网和终端设备之间的密钥分发和同步，本申请实施例的设备密钥的同步方法，实现终端设备的设备密钥和业务系统通过数字信封的形式进行同步，能够以离线形式进行，即可保证业务系统和设备终端拥有相同的密钥。

Description

设备密钥的同步方法、系统、设备和存储介质

技术领域

本申请涉及信息安全领域，特别涉及一种设备密钥的同步方法、系统、设备和存储介质。

背景技术

随着信息技术的发展，物联网也在不断发展，连接互联网的连接设备也在不断增加，因此需要关注物联网的安全问题。目前通常采用一机一密认证方法保证物联网的安全问题，即预先为每个连接设备烧录其唯一的设备证书，当连接设备与物联网平台建立连接时，物联网平台对其携带的设备证书信息进行认证，如果认证通过，物联网平台才能够激活连接设备，连接设备与物联网平台间才能够传输数据。但是目前的一机一密认证方法主要是采用在线注册激活的形式对连接设备进行认证，需要依赖互联网进行在线激活设备。

发明内容

本申请旨在至少解决现有技术中存在的技术问题之一。为此，本申请提出一种设备密钥的同步方法、系统、设备和存储介质，设备密钥分发同步流程能够以离线形式进行，不需要依赖互联网进行在线激活设备，即可保证业务系统和设备终端拥有相同的密钥。

根据本申请的第一方面实施例的设备密钥的同步方法，包括：

根据预设的申请信息生成用于申请批次密钥的第一请求；

将所述第一请求发送至授权端；

接收所述授权端根据所述第一请求生成的数字信封和目标设备芯片；

根据所述数字信封，得到批次密钥和设备序列号；

根据所述批次密钥和所述设备序列号，生成对应所述目标设备芯片的设备密钥；

将所述设备密钥同步至业务系统，并将所述目标设备芯片集成到与所述设备序列号对应的终端设备。

根据本申请第一方面实施例的设备密钥的同步方法，至少具有如下有益效果：

业务端根据预设的申请信息生成用于申请批次密钥的第一请求，并将第一请求发送至授权端，业务端接收授权端根据第一请求生成的数字信封和目标设备芯片，根据数字信封得到批次密钥和设备序列号，根据批次密钥和设备序列号，生成设备密钥，将设备密钥同步至业务系统，并将目标设备芯片集成到与设备序列号对应的终端设备，完成物联网和终端设备之间的密钥分发和同步，本申请实施例的设备密钥的同步方法，实现终端设备的设备密钥和业务系统通过数字信封的形式进行同步，能够以离线形式进行，即可保证业务系统和设备终端拥有相同的密钥。

根据本申请的一些实施例，所述根据所述数字信封，得到批次密钥和设备序列号，包括：

获取所述授权端发送的第一公钥信息；

根据所述第一公钥信息验证所述数字信封的正确性；

若验证出所述数字信封为正确，则获取预设的第一私钥信息；

根据所述第一私钥信息对所述数字信封进行解密，得到批次密钥和设备序列号。

根据本申请的第二方面实施例的设备密钥的同步方法，包括：

获取业务端发送的用于申请批次密钥的第一请求；

根据所述第一请求生成数字信封和目标设备芯片；

将所述数字信封和所述目标设备芯片发送至所述业务端，以使所述业务端根据所述数字信封和所述目标设备芯片生成设备密钥。

根据本申请第二方面实施例的设备密钥的同步方法，至少具有如下有益效果：

授权端接收业务端发送的用于申请批次密钥的第一请求，授权端根据接收到的第一请求生成数字信封和目标设备芯片，并将数字信封和目标设备芯片发送到业务端，业务端根据数字信封生成设备密钥，将设备密钥同步至业务系统，并将目标设备芯片集成到对应的终端设备，完成物联网和终端设备之间的密钥分发和同步，本申请实施例的设备密钥的同步方法，实现终端设备的设备密钥和业务系统通过数字信封的形式进行同步，能够以离线形式进行，即可保证业务系统和设备终端拥有相同的密钥。

根据本申请的一些实施例，所述根据所述第一请求生成数字信封和目标设备芯片，包括：

根据所述第一请求生成批次密钥，并根据所述第一请求获取预设的设备序列号和初始设备芯片；

根据所述批次密钥和所述设备序列号生成数字信封；

根据所述批次密钥和所述设备序列号烧录所述初始设备芯片，得到目标设备芯片。

根据本申请的一些实施例，所述根据所述第一请求生成批次密钥，包括：

获取预设的密钥类型和密钥生成算法，并根据所述第一请求获取密钥申请数量；

根据所述密钥类型、所述密钥生成算法和所述密钥申请数量生成批次密钥。

根据本申请的一些实施例，所述根据所述批次密钥和所述设备序列号生成数字信封，包括：

获取所述业务端发送的第二公钥信息；

根据所述第二公钥信息对所述批次密钥进行加密，得到加密后的批次密钥；

根据所述加密后的批次密钥和所述设备序列号，生成数字信封。

根据本申请的一些实施例，所述方法还包括：

获取预设的第二私钥信息；

根据所述第二私钥信息更新所述数字信封，得到更新后的数字信封。

根据本申请的第三方面实施例的设备密钥的同步系统，包括：

业务端，所述业务端用于执行如本申请第一方面实施例任一项所述的设备密钥的同步方法；

授权端：所述授权端用于执行如本申请第二方面实施例任一项所述的设备密钥的同步方法。

根据本申请的第四方面实施例的电子设备，包括：

至少一个处理器，以及，

与所述至少一个处理器通信连接的存储器；其中，

所述存储器存储有指令，所述指令被所述至少一个处理器执行，以使所述至少一个处理器执行所述指令时实现如本申请第一方面实施例或本申请第二方面实施例任一项所述的设备密钥的同步方法。

根据本申请的第五方面实施例的计算机可读存储介质，所述计算机可读存储介质存储有计算机可执行指令，所述计算机可执行指令用于执行如本申请第一方面实施例或本申请第二方面实施例任一项所述的设备密钥的同步方法。

本申请的附加方面和优点将在下面的描述中部分给出，部分将从下面的描述中变得明显，或通过本申请的实践了解到。

附图说明

下面结合附图和实施例对本申请做进一步的说明，其中：

图1为本申请一些实施例提供的应用于业务端的设备密钥的同步方法的流程图；

图2为本申请一些实施例提供的应用于授权端的设备密钥的同步方法的流程图；

图3为本申请一些实施例提供的设备密钥的同步方法的模块流程示意图；

图4为本申请一些实施例提供的数字信封生成的具体流程图；

图5为本申请一些实施例提供的数字信封验证的具体流程图。

具体实施方式

下面详细描述本申请的实施例，实施例的示例在附图中示出，其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的，仅用于解释本申请，而不能理解为对本申请的限制。

在本申请的描述中，若干的含义是一个或者多个，多个的含义是两个以上，大于、小于、超过等理解为不包括本数，以上、以下、以内等理解为包括本数。如果有描述到第一、第二只是用于区分技术特征为目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量或者隐含指明所指示的技术特征的先后关系。

本申请的描述中，参考术语“一个实施例”、“一些实施例”、“示意性实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本申请的至少一个实施例或示例中。在本说明书中，对上述术语的示意性表述不一定指的是相同的实施例或示例。而且，描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。

首先，对本公开中涉及的若干名词和技术进行解释：

授权端：负责设备密钥生成、设备密钥烧录、为业务端提供设备芯片、为业务端提供数字信封同步设备密钥。

业务端：向授权端申请设备密钥和获取设备密钥，设备密钥将以设备芯片和数字信封的形式提供，并将获取的设备密钥同步到业务端服务器。

批次密钥(Batch Key)：业务端向授权端申请的密钥，该密钥由授权端生成，主要用于派生设备密钥。

设备密钥(Device Key)：该密钥根据批次密钥和设备唯一序列号派生而来。

数字信封：数字信封为设备密钥批量分发而定义的一种对信息进行加密和签名的数据格式。

设备唯一序列号(Key ID)：设备身份标识，具有唯一性，用来识别设备身份。

第一公钥信息：即授权端公钥，由授权端提供，提供给业务端，用于验证数字信封签名。

第一私钥信息：即业务端私钥，指业务端用于解密授权端提供的数字信封。

第二公钥信息，即业务端公钥，由业务端提供，提供给授权端，用于加密数字信封。

第二私钥信息，即授权端私钥，指授权端用于签发数字信封的密钥。

哈希运算消息认证码(Hash-based Message Authentication Code，HMAC)，是一种基于HMAC函数和密钥进行消息认证的方法，以一个密钥和一个消息为输入，生成一个消息摘要作为输出。

随着信息技术的发展，物联网也在不断发展，连接互联网的连接设备也在不断增加，因此需要关注物联网的安全问题。目前通常采用一机一密认证方法保证物联网的安全问题，即预先为每个连接设备烧录其唯一的设备证书，当连接设备与物联网平台建立连接时，物联网平台对其携带的设备证书信息进行认证，如果认证通过，物联网平台才能够激活连接设备，连接设备与物联网平台间才能够传输数据。但是目前的一机一密认证方法主要是采用在线注册激活的形式对连接设备进行认证，需要依赖互联网进行在线激活设备。

基于此，本申请提出一种设备密钥的同步方法、系统、设备和存储介质，设备密钥分发同步流程能够以离线形式进行，不需要依赖互联网进行在线激活设备，即可保证业务系统和设备终端拥有相同的密钥。

第一方面，本申请实施例提供了一种设备密钥的同步方法，应用于业务端。

在一些实施例中，本申请提供了一种数字信封格式，可以以离线的形式批量同步业务系统和终端设备的密钥，由于终端设备所处的网络环境可能不同于业务系统的网络环境，所以本申请侧重与终端设备的设备密钥如何与业务系统进行分发同步，其中本申请实施例的数字信封存储批次密钥和设备序列号等信息。

参照图1，图1为本申请一些实施例提供的应用于业务端的设备密钥的同步方法的流程图，具体包括步骤：

S110，根据预设的申请信息生成用于申请批次密钥的第一请求；

S120，将第一请求发送至授权端；

S130，接收授权端根据第一请求生成的数字信封和目标设备芯片；

S140，根据数字信封，得到批次密钥和设备序列号；

S150，根据批次密钥和设备序列号，生成对应目标设备芯片的设备密钥；

S160，将设备密钥同步至业务系统，并将目标设备芯片集成到与设备序列号对应的终端设备。

在步骤S110至步骤S120中，业务端根据预设的申请信息生成用于申请批次密钥的第一请求，将第一请求发送至授权端，其中申请信息指的是业务端需要向授权端申请批次密钥的申请数量、第二公钥信息等，申请数量表示所需设备密钥的数量，第二公钥信息指的是业务端公钥，业务端公钥由业务端提供，提供给授权端，用于加密数字信封。

在步骤S130至步骤S140中，业务端接收授权端根据第一请求生成的数字信封和目标设备芯片，根据数字信封，得到批次密钥和设备序列号，其中目标设备芯片指的是授权端根据第一请求的申请数量，烧录相同数量的目标设备芯片，

在一些实施例中，步骤S140具体包括步骤：

获取授权端发送的第一公钥信息；

根据第一公钥信息验证数字信封的正确性；

若验证出数字信封为正确，则获取预设的第一私钥信息；

根据第一私钥信息对数字信封进行解密，得到批次密钥和设备序列号。

在步骤“获取授权端发送的第一公钥信息”中，业务端获取授权端发送的第一公钥信息，其中第一公钥信息即授权端公钥，由授权端提供，提供给业务端，用于验证数字信封签名。

在步骤“根据第一公钥信息验证数字信封的正确性，若验证出数字信封为正确，则获取预设的第一私钥信息”中，业务端根据第一公钥信息验证数字信封是否正确，若验证出数字信封正确，则获取预设的第一私钥信息，需要说明的是，数字信封的生成需要加密密钥和签名密钥，加密密钥和签名密钥为非对称密钥，加密密钥和签名密钥是用于烧录目标设备芯片的烧录设备中预先设置好的，加密密钥由业务端生成，也就是本申请实施例提到的第二公钥信息，签名密钥由授权端生成，指授权端用于签发数字信封的密钥，第一公钥信息即授权端公钥，由授权端提供，提供给业务端，用于验证数字信封签名，业务端根据授权端发送的第一公钥信息就能验证数字信封是否正确，在实际应用中，业务端可以利用第一公钥信息验证数字信封的合法性，只有在验证数字信封正确时，才说明业务端获取到的数字信封正常，业务端才需要对数字进行解密，如果通过第一公钥信息验证数字信封不正确，说明数字信封不合法，此时不用考虑对数字信封进行解密，在实际应用中，可以重新获取授权端发动的数字信封，并根据第一公钥信息重新验证新获取的数字信封。

在步骤“根据第一私钥信息对数字信封进行解密，得到批次密钥和设备序列号”中，业务端根据第一私钥信息对数字信封进行解密，得到批次密钥和设备序列号，由于数字信封是由批次密钥和设备序列号进行加密后生成的，第一私钥信息即业务端私钥，指业务端用于解密授权端提供的数字信封，所以根据第一私钥信息就能够对数字信封进行解密，得到批次密钥和设备序列号。

在步骤S150中，业务端根据批次密钥和设备序列号，生成设备密钥，设备密钥和目标设备芯片一一对应，批次密钥和目标设备芯片均是授权端根据业务端发送的第一请求生成的，在实际应用中，根据批次密钥、设备序列号和派生算法就能够派生成设备密钥，在生成设备密钥的过程中，可以基于安全扩展的算法或函数，比如HMAC等。

在步骤S160中，将设备密钥同步至业务系统，并将目标设备芯片集成到与设备序列号对应的终端设备，其中本申请实施例将设备密钥烧录到对应的目标设备芯片中，目标芯片设备集成到终端设备，确保一台终端设备对应一个设备密钥，即一机一密，因此业务系统需要同步所有终端设备对应的设备密钥，业务系统同步好所有设备密钥后，就能根据设备密钥识别该批次的所有终端设备，本申请实施例的设备密钥的同步方法完成的条件是：授权端将某一批次烧录的设备芯片提供给业务端，业务端将该批次的目标设备芯片集成到终端设备，并且业务端将该批次的设备密钥同步到业务端对应的业务系统上，通过这样的方式就不需要依赖互联网进行在线激活设备，即可保证业务系统和设备终端拥有相同的密钥。

在本申请实施例中，业务端根据预设的申请信息生成用于申请批次密钥的第一请求，并将第一请求发送至授权端，业务端接收授权端根据第一请求生成的数字信封和目标设备芯片，根据数字信封得到批次密钥和设备序列号，根据批次密钥和设备序列号，生成设备密钥，将设备密钥同步至业务系统，并将目标设备芯片集成到与设备序列号对应的终端设备，完成物联网和终端设备之间的密钥分发和同步，本申请实施例的设备密钥的同步方法，实现终端设备的设备密钥和业务系统通过数字信封的形式进行同步，能够以离线形式进行，即可保证业务系统和设备终端拥有相同的密钥。

第二方面，本申请实施例提供了一种设备密钥的同步方法，应用于授权端。

参照图2，图2为本申请一些实施例提供的应用于授权端的设备密钥的同步方法的流程图，具体包括步骤：

S210，获取业务端发送的用于申请批次密钥的第一请求；

S220，根据第一请求生成数字信封和目标设备芯片；

S230，将业务端数字信封和业务端目标设备芯片发送至业务端业务端，以使业务端业务端根据业务端数字信封和业务端目标设备芯片生成设备密钥。

在步骤S210至步骤S220中，授权端获取业务端发送的用于申请批次密钥的第一请求，根据第一请求生成数字信封和目标设备芯片，数字信封和目标设备芯片后续用于同步设备密钥。

在一些实施例中，步骤S220具体包括步骤：

根据第一请求生成批次密钥，并根据第一请求获取预设的设备序列号和初始设备芯片；

根据批次密钥和设备序列号生成数字信封；

根据批次密钥和设备序列号烧录初始设备芯片，得到目标设备芯片。

在步骤“根据第一请求生成批次密钥，并根据第一请求获取预设的设备序列号和初始设备芯片”中，授权端根据第一请求生成批次密钥，第一请求主要包括申请设备密钥的数量、业务端公钥等申请信息，授权端获取到第一请求后，根据申请设备密钥的数量生成同等数量的批次密钥，需要说明的是，如果业务端是首次申请设备密钥，需要提供业务端的企业基本信息，经过授权端审核，核实业务端的企业资质后，由授权端生成批次密钥，由于本申请实施例的设备密钥与目标设备芯片一一对应，目标设备芯片与终端设备一一对应，设备密钥与终端设备一一对应，采用的是一机一密的思想，烧录目标芯片的数量就是业务端申请设备密钥的数量，同样一台终端设备对应一个设备序列号，所以设备序列号的数量就是业务端申请设备密钥的数量，授权端根据业务端申请设备密钥的数量，就能得知设备序列号的数量和初始设备芯片的数量。

在一些实施例中，步骤“根据第一请求生成批次密钥，并根据第一请求获取预设的设备序列号和初始设备芯片”具体包括步骤：

获取预设的密钥类型和密钥生成算法，并根据第一请求获取密钥申请数量；

根据密钥类型、密钥生成算法和密钥申请数量生成批次密钥。

在步骤“获取预设的密钥类型和密钥生成算法，并根据第一请求获取密钥申请数量”中，授权端获取预设的密钥类型和密钥生成算法，并根据第一请求获取密钥申请数量，预设的密钥类型例如初始密钥、会话密钥、密钥加密密钥和主机主密钥等，密钥生成算法可以为基于安全扩展的算法，比如上文提到的HMAC算法，本领域技术人员能够根据实际需求选择密钥类型和密钥生成算法来生成密钥，在此不再赘述。

在步骤“根据密钥类型、密钥生成算法和密钥申请数量生成批次密钥”中，授权端根据密钥类型、密钥生成算法和密钥申请数量生成批次密钥，其中根据密钥类型和密钥生成算法可以确定批次密钥的密钥格式和密钥内容，根据密钥申请数量可以确定生成批次密钥的数量。

在步骤“根据批次密钥和设备序列号生成数字信封”中，授权端根据批次密钥和设备序列号生成数字信封，具体地，将批次密钥和设备序列号，并根据本申请实施例预先定义好的数字信封，封装成数字信封格式，然后对数字信封内容进行签名生成完整的数字信封。

在一些实施例中，步骤“根据批次密钥和设备序列号生成数字信封”具体包括步骤：

获取业务端发送的第二公钥信息；

根据第二公钥信息对批次密钥进行加密，得到加密后的批次密钥；

根据批次密钥和加密后的设备序列号，生成数字信封。

在步骤“获取业务端发送的第二公钥信息，根据第二公钥信息对批次密钥进行加密，得到加密后的批次密钥”中，授权端获取业务端发送的第二公钥信息，根据第二公钥信息对批次密钥进行加密，得到加密后的批次密钥，其中第二公钥信息即业务端公钥，由业务端提供，提供给授权端，用于加密数字信封，授权端如果直接将其生成的批次密钥和设备序列号发送给业务端，可能会导致密码泄露的风险，所以需要将批次密钥和设备序列号封装成数字信封，在封装数字信封之前，需要获取业务端的业务端公钥对批次密钥进行加密，得到加密后的批次密钥，提高设备密钥的安全性。

在步骤“根据加密后的批次密钥和设备序列号，生成数字信封”中，具体为：将加密后的批次密钥和设备序列号作为数字信封的内容，制作数字信封，或者将多个设备序列号进行整合，得到设备序列号的列表信息，将加密后的批次密钥和设备序列号的列表信息封装成数字信封格式。

在步骤“根据批次密钥和设备序列号烧录初始设备芯片，得到目标设备芯片”中，根据批次密钥和设备序列号烧录初始设备芯片，得到目标设备芯片，初始设备芯片是根据第一请求中的申请设备密钥的数量决定的，根据申请设备密钥的数量能够获取一批未烧录的初始设备芯片，使用生成的设备密钥对设备芯片进行烧录，根据该批次申请设备密钥的数量，烧录相同数量的初始设备芯片，得到目标设备芯片，其中设备密钥根据批次密钥和设备唯一序列号生成，确保一机一密。

在步骤S230中，将数字信封和目标设备芯片发送至业务端，由业务端根据数字信封生成设备密钥，将设备密钥同步至业务系统，并将目标设备芯片集成到对应的终端设备。其中本申请实施例将设备密钥烧录到对应的目标设备芯片中，目标芯片设备集成到终端设备，确保一台终端设备对应一个设备密钥，即一机一密，因此业务系统需要同步所有终端设备对应的设备密钥，业务系统同步好所有设备密钥后，就能根据设备密钥识别该批次的所有终端设备，本申请实施例的设备密钥的同步方法完成的条件是：授权端将某一批次烧录的设备芯片提供给业务端，业务端将该批次的目标设备芯片集成到终端设备，并且业务端将该批次的设备密钥同步到业务端对应的业务系统上，通过这样的方式就不需要依赖互联网进行在线激活设备，即可保证业务系统和设备终端拥有相同的密钥。

在一些实施例中，本申请实施例提到的设备密钥的同步方法具体还包括步骤：

获取预设的第二私钥信息；

根据第二私钥信息更新数字信封，得到更新后的数字信封。

在步骤“获取预设的第二私钥信息”中，获取预设的第二私钥信息，即授权端私钥，指授权端用于签发数字信封的密钥。

在步骤“根据第二私钥信息更新数字信封，得到更新后的数字信封”中，根据第二私钥信息更新数字信封，得到更新后的数字信封，具体地，将加密后的批次密钥和设备序列号的列表信息封装成数字信封格式后，使用第二私钥信息对数字信封内容进行签名生成完整的数字信封。

在本申请实施例中，授权端接收业务端发送的用于申请批次密钥的第一请求，授权端根据接收到的第一请求生成数字信封和目标设备芯片，并将数字信封和目标设备芯片发送到业务端，业务端根据数字信封生成设备密钥，将设备密钥同步至业务系统，并将目标设备芯片集成到对应的终端设备，完成物联网和终端设备之间的密钥分发和同步，本申请实施例的设备密钥的同步方法，实现终端设备的设备密钥和业务系统通过数字信封的形式进行同步，能够以离线形式进行，即可保证业务系统和设备终端拥有相同的密钥。

在一些实施例中，在实际应用中，结合本申请第一方面实施例和本申请第二方面实施例对设备密钥的模块和流程进行举例，需要理解的是，下面描述仅是示例性说明，而不是对本申请的具体限制，如图3所示，具体内容为：

业务端向授权端发送申请批次密钥的请求，授权端接收到业务端的请求后生成批次密钥，授权端通过密钥管理模块生成设备密钥，并且通过密钥管理模块烧录与设备密钥同等数量的设备芯片，授权端烧录好设备芯片后，将设备芯片对接到终端设备，完成终端设备密钥的导入，授权端同时对设备序列号和设备密钥进行加密，加密后生成对应的数字信封，授权端生成的数字信封用于发送给业务方，由业务端对数字信封进行解密和验证，当业务端对数字信封进行加密和验证完成后，就根据解密后的数字信封派生出设备密钥，业务端将设备密钥导入至业务系统中，当检测到业务系统和终端设备都导入了对应的设备密钥，说明已经完成了设备密钥批量同步的过程。

在一些实施例中，在实际应用中，结合本申请第一方面实施例和本申请第二方面实施例对数字信封生成流程进行举例，需要理解的是，下面描述仅是示例性说明，而不是对本申请的具体限制，如图4所示，数字信封生成的具体过程为：

授权端获取业务端发送的申请信息，其中申请信息包括设备密钥申请数量n，接着授权端通过密钥管理模块派生批次密钥，并烧录设备芯片，在授权端烧录设备芯片的过程中，记录设备芯片对应的设备序列号，授权端判断设备芯片的烧录数量是否小于n，如果设备芯片的烧录数量小于n，则获取设备序列号的列表和批次密钥，同时，授权端根据业务端的申请信息获取业务端的公钥，并根据密钥管理模块获取授权端的私钥，根据设备序列号的列表、批次密钥生成数字签名、业务端公钥和授权端私钥生成数字签名，最后根据数字签名输出数字信封。

在一些实施例中，在实际应用中，结合本申请第一方面实施例和本申请第二方面实施例对数字信封验证过程进行举例，需要理解的是，下面描述仅是示例性说明，而不是对本申请的具体限制，如图5所示，数字信封验证的具体过程为：

业务端获取授权端发送的数字信封和授权端公钥，使用授权端公钥验证数字信封的正确性，业务端验证数字信封成功后，使用业务端私钥解密数字信封的加密数据，得到批次密钥和n个设备序列号，业务端读取批次密钥和n个设备序列号，接着根据授权端提供的派生方法或派生工具从批次密钥和设备序列号中派生出设备密钥，业务端判断业务端派生设备密钥的数量是否小于n，如果业务端派生设备密钥的数量小于n，则重新根据授权端提供的派生方法或派生工具从批次密钥和设备序列号中派生出设备密钥，如果业务端派生设备密钥的数量不小于n，则将派生出的设备密钥导入至业务端的业务系统中。

第三方面，本申请实施例还提供了一种设备密钥的同步系统，包括业务端和授权端，其中业务端用于执行如本申请第一方面实施例任一项设备密钥的同步方法，授权端用于执行如本申请第二方面实施例任一项设备密钥的同步方法。

第四方面，本申请实施例还提供了一种电子设备。

在一些实施例中，电子设备包括：至少一个处理器，以及与至少一个处理器通信连接的存储器；其中，存储器存储有指令，指令被至少一个处理器执行，以使至少一个处理器执行指令时实现本申请实施例中任一项设备密钥的同步方法。

处理器和存储器可以通过总线或者其他方式连接。

存储器作为一种非暂态计算机可读存储介质，可用于存储非暂态软件程序以及非暂态性计算机可执行程序，如本申请实施例描述的设备密钥的同步方法。处理器通过运行存储在存储器中的非暂态软件程序以及指令，从而实现上述的设备密钥的同步方法。

存储器可以包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、至少一个功能所需要的应用程序；存储数据区可存储执行上述设备密钥的同步方法。此外，存储器可以包括高速随机存取存储器，还可以包括非暂态存储器，比如至少一个磁盘存储器件、闪存器件、或其他非暂态固态存储器件。在一些实施方式中，存储器可选包括相对于处理器远程设置的存储器，这些远程存储器可以通过网络连接至该处理器。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。

实现上述的设备密钥的同步方法所需的非暂态软件程序以及指令存储在存储器中，当被一个或者多个处理器执行时，执行上述第一方面实施例或第二方面实施例中提到的设备密钥的同步方法。

第五方面，本申请实施例还提供了计算机可读存储介质。

在一些实施例中，计算机可读存储介质存储有计算机可执行指令，计算机可执行指令用于执行第一方面实施例或第二方面实施例中提到的设备密钥的同步方法。

在一些实施例中，该存储介质存储有计算机可执行指令，该计算机可执行指令被一个或多个控制处理器执行，比如，被上述电子设备中的一个处理器执行，可使得上述一个或多个处理器执行上述设备密钥的同步方法。

以上所描述的装置实施例仅仅是示意性的，其中作为分离部件说明的单元可以是或者也可以不是物理上分开的，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。

本领域普通技术人员可以理解，上文中所公开方法中的全部或某些步骤、系统可以被实施为软件、固件、硬件及其适当的组合。某些物理组件或所有物理组件可以被实施为由处理器，如中央处理器、数字信号处理器或微处理器执行的软件，或者被实施为硬件，或者被实施为集成电路，如专用集成电路。这样的软件可以分布在计算机可读介质上，计算机可读介质可以包括计算机存储介质(或非暂时性介质)和通信介质(或暂时性介质)。如本领域普通技术人员公知的，术语计算机存储介质包括在用于存储信息(诸如计算机可读指令、数据结构、程序模块或其他数据)的任何方法或技术中实施的易失性和非易失性、可移除和不可移除介质。计算机存储介质包括但不限于RAM、ROM、EEPROM、闪存或其他存储器技术、CD-ROM、数字多功能盘(DVD)或其他光盘存储、磁盒、磁带、磁盘存储或其他磁存储装置、或者可以用于存储期望的信息并且可以被计算机访问的任何其他的介质。此外，本领域普通技术人员公知的是，通信介质通常包含计算机可读指令、数据结构、程序模块或者诸如载波或其他传输机制之类的调制数据信号中的其他数据，并且可包括任何信息递送介质。

上面结合附图对本申请实施例作了详细说明，但是本申请不限于上述实施例，在所属技术领域普通技术人员所具备的知识范围内，还可以在不脱离本申请宗旨的前提下作出各种变化。此外，在不冲突的情况下，本申请的实施例及实施例中的特征可以相互组合。

Claims (9)

1.设备密钥的同步方法，其特征在于，包括：

根据预设的申请信息生成用于申请批次密钥的第一请求；

将所述第一请求发送至授权端；

接收所述授权端根据所述第一请求生成的数字信封和目标设备芯片；其中，所述根据所述第一请求生成数字信封和目标设备芯片，包括：根据所述第一请求生成批次密钥，并根据所述第一请求获取预设的设备序列号和初始设备芯片；根据所述批次密钥和所述设备序列号生成数字信封；根据所述批次密钥和所述设备序列号烧录所述初始设备芯片，得到目标设备芯片；

根据所述数字信封，得到批次密钥和设备序列号；

根据所述批次密钥和所述设备序列号，生成对应所述目标设备芯片的设备密钥；

将所述设备密钥同步至业务系统，并将所述目标设备芯片集成到与所述设备序列号对应的终端设备。

2.根据权利要求1所述的设备密钥的同步方法，其特征在于，所述根据所述数字信封，得到批次密钥和设备序列号，包括：

获取所述授权端发送的第一公钥信息；

根据所述第一公钥信息验证所述数字信封的正确性；

若验证出所述数字信封为正确，则获取预设的第一私钥信息；

根据所述第一私钥信息对所述数字信封进行解密，得到批次密钥和设备序列号。

3.设备密钥的同步方法，其特征在于，包括：

获取业务端发送的用于申请批次密钥的第一请求；

根据所述第一请求生成数字信封和目标设备芯片；其中，所述根据所述第一请求生成数字信封和目标设备芯片，包括：根据所述第一请求生成批次密钥，并根据所述第一请求获取预设的设备序列号和初始设备芯片；根据所述批次密钥和所述设备序列号生成数字信封；根据所述批次密钥和所述设备序列号烧录所述初始设备芯片，得到目标设备芯片；

将所述数字信封和所述目标设备芯片发送至所述业务端，以使所述业务端根据所述数字信封生成设备密钥，将所述设备密钥同步至业务系统，并将所述目标设备芯片集成到对应的终端设备。

4.根据权利要求3所述的设备密钥的同步方法，其特征在于，所述根据所述第一请求生成批次密钥，包括：

获取预设的密钥类型和密钥生成算法，并根据所述第一请求获取密钥申请数量；

根据所述密钥类型、所述密钥生成算法和所述密钥申请数量生成批次密钥。

5.根据权利要求3所述的设备密钥的同步方法，其特征在于，所述根据所述批次密钥和所述设备序列号生成数字信封，包括：

获取所述业务端发送的第二公钥信息；

根据所述第二公钥信息对所述批次密钥进行加密，得到加密后的批次密钥；

根据所述加密后的批次密钥和所述设备序列号，生成数字信封。

6.根据权利要求5所述的设备密钥的同步方法，其特征在于，所述方法还包括：

获取预设的第二私钥信息；

根据所述第二私钥信息更新所述数字信封，得到更新后的数字信封。

7.设备密钥的同步系统，其特征在于，包括：

业务端，所述业务端用于执行如权利要求1至2任一项所述的设备密钥的同步方法；

授权端：所述授权端用于执行如权利要求3至6任一项所述的设备密钥的同步方法。

8.电子设备，其特征在于，包括：

至少一个处理器，以及，

与所述至少一个处理器通信连接的存储器；其中，

所述存储器存储有指令，所述指令被所述至少一个处理器执行，以使所述至少一个处理器执行所述指令时实现如权利要求1至6任一项所述的设备密钥的同步方法。

9.计算机可读存储介质，其特征在于，所述计算机可读存储介质存储有计算机可执行指令，所述计算机可执行指令用于执行如权利要求1至6任一项所述的设备密钥的同步方法。