WO2017118412A1

WO2017118412A1 - 一种更新密钥的方法、装置和系统

Info

Publication number: WO2017118412A1
Application number: PCT/CN2017/070436
Authority: WO
Inventors: 叶轩
Original assignee: 腾讯科技（深圳）有限公司
Priority date: 2016-01-08
Filing date: 2017-01-06
Publication date: 2017-07-13
Also published as: US20180234237A1; US11088836B2; CN105515768B; CN105515768A; US20210336780A1

Abstract

本发明公开了一种更新密钥的方法、装置和系统，属于电子技术领域。所述方法包括：终端接收业务服务器发送的密钥更新通知，终端通过终端安全区域TEE系统，生成一对新私钥和新公钥，将所述新私钥存储在所述TEE系统中，并使用所述新私钥的上级私钥对所述新公钥进行签名处理，得到第一待验签信息，终端向所述业务服务器发送携带有本地的设备标识、所述新公钥以及所述第一待验签信息的第一存储请求，以使所述业务服务器获取预先存储的所述设备标识对应的上级公钥，基于所述上级公钥对所述第一待验签信息进行验签处理，如果验签成功，则存储所述新公钥。采用本发明，可以增强更新密钥的安全性。

Description

一种更新密钥的方法、装置和系统

本申请要求于2016年1月8日提交中国专利局、申请号201610012443.1、发明名称为“一种更新密钥的方法、装置和系统”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本发明涉及电子技术领域，特别涉及一种更新密钥的方法、装置和系统。

背景技术

随着电子技术的发展，手机、平板电脑等移动终端的应用越来越广泛，为了保证业务信息的安全，终端一般会使用密钥对业务信息加密，业务服务器接收到业务信息后可以通过预先存储的密钥对加密后的业务信息进行解密。

当需要更新密钥时，终端一般会向业务服务器发送密钥更新请求，然后业务服务器返回密钥更新应答，之后终端生成新密钥，并使用原密钥对新密钥加密，并将加密后的新密钥发送给业务服务器，最后业务服务器使用原密钥对加密后的新密钥解密，并存储新密钥。

在实现本发明的过程中，发明人发现现有技术至少存在以下问题：

在更新密钥的处理过程中，如果原密钥已经过期或者泄露，使用原密钥对新密钥进行加密，则无法保证新密钥的有效性和安全性，从而，导致更新密钥的安全性较低。

发明内容

为了解决现有技术的问题，本发明实施例提供了一种更新密钥的方法、装置和系统。所述技术方案如下：

第一方面，提供了一种更新密钥的方法，所述方法包括：

终端接收业务服务器发送的密钥更新通知，其中，所述终端具有多个密钥，每一个密钥都对应一个等级，下级密钥的合法性由上级密钥验证；

所述终端通过终端安全区域TEE(trusted executed environment)系统，生成一对新私钥和新公钥，将所述新私钥存储在所述TEE系统中，并使用所述新私钥的上级私钥对所述新公钥进行签名处理，得到第一待验签信息；

所述终端向所述业务服务器发送携带有本地的设备标识、所述新公钥以及所述第一待验签信息的第一存储请求，以使所述业务服务器获取预先存储的所述设备标识对应的所述新公钥的上级公钥，基于所述上级公钥对所述第一待验签信息进行验签处理，如果验签成功，则存储所述新公钥。

可选的，所述新私钥为新应用私钥，所述新公钥为新应用公钥，所述上级私钥为设备私钥，其中，设备密钥用于验证终端的合法性，应用密钥用于验证应用程序的安全性与身份；

在接收业务服务器发送的密钥更新通知之前，所述方法还包括：

通过所述TEE系统，生成一对设备私钥和设备公钥，将所述设备私钥存储在所述TEE系统中，将所述设备公钥以及终端的设备标识发送至设备公钥管理服务器，以使所述设备公钥管理服务器将所述设备标识与所述设备公钥对应存储。

这样，可以基于设备验证密钥更新应用验证密钥，保证了更新密钥的安全性。

可选的，所述新私钥为新业务私钥，所述新公钥为新业务公钥，所述上级私钥为应用私钥，其中，应用密钥用于验证应用程序的安全性与身份，业务密钥用于验证具体业务逻辑的合法性；

通过所述TEE系统，生成一对设备私钥和设备公钥，将所述设备私钥存储在所述TEE系统中，将所述设备公钥以及终端的设备标识发送至设备公钥管理服务器，以使所述设备公钥管理服务器将所述设备标识与所述设备公钥对应存储；

通过所述TEE系统，生成一对应用私钥和应用公钥，将所述应用私钥存储在所述TEE系统中，并使用所述设备私钥对所述应用公钥进行签名处理，得到第二待验签信息；

向所述业务服务器发送携带有所述设备标识、所述应用公钥以及所述第二待验签信息的第二存储请求。

这样，可以基于应用验证密钥更新业务验证密钥，保证了更新密钥的安全性。

第二方面，提供了一种更新密钥的方法，所述方法包括：

接收业务服务器向终端发送密钥更新通知，其中，所述终端具有多个密钥，每一个密钥都对应一个等级，下级密钥的合法性由上级密钥验证；

所述接收业务服务器接收所述终端发送的携带有所述终端的设备标识、新公钥以及第一待验签信息的第一存储请求；

所述接收业务服务器获取预先存储的所述设备标识对应的所述新公钥的上级公钥，基于所述上级公钥以及新公钥，对所述第一待验签信息进行验签处理，如果验签成功，则存储所述新公钥。

可选的，所述新公钥为新应用公钥，所述上级公钥为设备公钥，其中，设备密钥用于验证终端的合法性，应用密钥用于验证应用程序的安全性与身份，所述获取预先存储的所述设备标识对应的上级公钥，包括：

从设备公钥管理服务器获取所述设备标识对应的设备公钥。

这样，设备公钥管理服务器可以保证设备公钥的安全性，同时，可以基于设备验证密钥更新应用验证密钥，保证了更新密钥的安全性。

可选的，所述新公钥为新业务公钥，所述上级公钥为应用公钥，其中，应用密钥用于验证应用程序的安全性与身份，业务密钥用于验证具体业务逻辑的合法性，所述获取预先存储的所述设备标识对应的上级公钥，包括：

获取本地存储的所述设备标识对应的应用公钥。

可选的，在向终端发送密钥更新通知前，所述方法还包括：

所述接收业务服务器接收所述终端发送的携带有所述终端的设备标识、所述应用公钥以及所述第二待验签信息的第二存储请求；

所述接收业务服务器从设备公钥管理服务器获取所述设备标识对应的设备公钥，基于所述设备公钥以及应用公钥，对所述第二待验签信息进行验签处理，如果验签成功，则存储所述应用公钥。

可选的，所述向终端发送密钥更新通知，包括：

如果检测到本地存储的公钥在生成后的持续时长达到预设时长阈值，则获取预先存储的所述公钥对应的设备标识，向所述设备标识对应的终端发送密钥更新通知；或者，

当接收到终端发送的密钥更新请求时，向所述终端发送密钥更新通知。

这样，当密钥过期或泄露时，业务服务器和终端都可以触发更新密钥的过程。

第三方面，提供了一种终端，所述终端包括：

接收模块，用于接收业务服务器发送的密钥更新通知；

生成模块，用于通过终端安全区域TEE系统，生成一对新私钥和新公钥，将所述新私钥存储在所述TEE系统中；

签名模块，用于使用所述新私钥的上级私钥对所述新公钥进行签名处理，得到第一待验签信息；

发送模块，用于向所述业务服务器发送携带有本地的设备标识、所述新公钥以及所述第一待验签信息的第一存储请求，以使所述业务服务器获取预先存储的所述设备标识对应的所述新公钥的上级公钥，基于所述上级公钥对所述第一待验签信息进行验签处理，如果验签成功，则存储所述新公钥，其中，所述终端具有多个密钥，每一个密钥都对应一个等级，下级密钥的合法性由上级密钥验证。

所述生成模块，还用于在接收业务服务器发送的密钥更新通知之前，通过所述TEE系统，生成一对设备私钥和设备公钥，将所述设备私钥存储在所述TEE系统中，将所述设备公钥以及终端的设备标识发送至设备公钥管理服务器，以使所述设备公钥管理服务器将所述设备标识与所述设备公钥对应存储。

所述生成模块，还用于在接收业务服务器发送的密钥更新通知之前，通过所述TEE系统，生成一对设备私钥和设备公钥，将所述设备私钥存储在所述TEE系统中，将所述设备公钥以及终端的设备标识发送至设备公钥管理服务器，以使所述设备公钥管理服务器将所述设备标识与所述设备公钥对应存储；

所述生成模块，还用于在接收业务服务器发送的密钥更新通知之前，通过所述TEE系统，生成一对应用私钥和应用公钥，将所述应用私钥存储在所述TEE 系统中，并使用所述设备私钥对所述应用公钥进行签名处理，得到第二待验签信息；

所述发送模块，还用于向所述业务服务器发送携带有所述设备标识、所述应用公钥以及所述第二待验签信息的第二存储请求。

第四方面，提供了一种业务服务器，所述业务服务器包括：

发送模块，用于向终端发送密钥更新通知，其中，所述终端具有多个密钥，每一个密钥都对应一个等级，下级密钥的合法性由上级密钥验证；

接收模块，用于接收所述终端发送的携带有所述终端的设备标识、新公钥以及第一待验签信息的第一存储请求；

获取模块，用于获取预先存储的所述设备标识对应的所述新公钥的上级公钥；

验签模块，用于基于所述上级公钥以及新公钥，对所述第一待验签信息进行验签处理，如果验签成功，则存储所述新公钥。

可选的，所述新公钥为新应用公钥，所述上级公钥为设备公钥，其中，设备密钥用于验证终端的合法性，应用密钥用于验证应用程序的安全性与身份，所述获取模块，用于：

从设备公钥管理服务器获取所述设备标识对应的设备公钥。

可选的，所述新公钥为新业务公钥，所述上级公钥为应用公钥，其中，应用密钥用于验证应用程序的安全性与身份，业务密钥用于验证具体业务逻辑的合法性，所述获取模块，用于：

获取本地存储的所述设备标识对应的应用公钥。

可选的，所述接收模块，还用于在向终端发送密钥更新通知前，接收所述终端发送的携带有所述终端的设备标识、所述应用公钥以及所述第二待验签信息的第二存储请求；

所述验签模块，还用于在向终端发送密钥更新通知前，从设备公钥管理服务器获取所述设备标识对应的设备公钥，基于所述设备公钥以及应用公钥，对所述第二待验签信息进行验签处理，如果验签成功，则存储所述应用公钥。

可选的，所述发送模块，用于：

第五方面，提供了一种更新密钥的系统，其特征在于，所述系统包括业务服务器和终端，其中：

所述终端，用于接收所述业务服务器发送的密钥更新通知，通过终端安全区域TEE系统，生成一对新私钥和新公钥，将所述新私钥存储在所述TEE系统中，并使用所述新私钥的上级私钥对所述新公钥进行签名处理，得到第一待验签信息，向所述业务服务器发送携带有本地的设备标识、所述新公钥以及所述第一待验签信息的第一存储请求，以使所述业务服务器获取预先存储的所述设备标识对应的所述新公钥的上级公钥，基于所述上级公钥对所述第一待验签信息进行验签处理，如果验签成功，则存储所述新公钥，其中，所述终端具有多个密钥，每一个密钥都对应一个等级，下级密钥的合法性由上级密钥验证；

所述业务服务器，用于向所述终端发送密钥更新通知，接收所述终端发送的携带有所述终端的设备标识、新公钥以及第一待验签信息的第一存储请求，获取预先存储的所述设备标识对应的上级公钥，基于所述上级公钥以及新公钥，对所述第一待验签信息进行验签处理，如果验签成功，则存储所述新公钥。

本发明实施例提供的技术方案带来的有益效果是：

本发明实施例中，接收业务服务器发送的密钥更新通知，通过终端安全区域TEE系统，生成一对新私钥和新公钥，将新私钥存储在TEE系统中，并使用新私钥的上级私钥对新公钥进行签名处理，得到第一待验签信息，向业务服务器发送携带有本地的设备标识、新公钥以及第一待验签信息的第一存储请求，以使业务服务器获取预先存储的设备标识对应的上级公钥，基于上级公钥对第一待验签信息进行验签处理，如果验签成功，则存储新公钥。这样，在更新密钥的过程中，使用上级密钥对新密钥进行签名处理，上级密钥的使用频率相对较低，不容易泄露，可以提高新密钥的有效性和安全性，从而更新密钥的安全性较高。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本发明实施例提供的一种更新密钥的方法流程图；

图2是本发明实施例提供的一种更新密钥的方法流程图；

图3是本发明实施例提供的一种更新密钥的方法流程图；

图4是本发明实施例提供的一种更新密钥的方法流程图；

图5是本发明实施例提供的一种更新密钥的系统框架图；

图6是本发明实施例提供的一种终端的结构示意图；

图7是本发明实施例提供的一种业务服务器的结构示意图；

图8是本发明实施例提供的一种终端的结构示意图；

图9是本发明实施例提供的一种业务服务器的结构示意图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚，下面将结合附图对本发明实施方式作进一步地详细描述。

本发明实施例提供了一种更新密钥的方法，该方法可以由终端和业务服务器共同实现。其中，终端可以是具有密钥生成功能的终端，可以是手机、平板电脑等移动终端，业务服务器可以是用于进行业务处理的服务器，比如可以是用于在线支付处理的服务器。终端中可以设置有处理器、存储器、收发器，处理器可以用于对签名信息进行加密的相关处理，存储器可以用于存储下述处理过程中需要和产生的数据，收发器可以用于接收和发送数据。还可以设置有生物识别部件，生物识别部件可以用于检测当前输入的生物特征信息。业务服务器中可以设置有处理器、存储器、收发器，处理器可以用于对终端发送的待验签信息进行解密、判断是否对业务执行请求对应的业务进行处理，以及解密得到的信息与签名信息相匹配时进行业务处理的相关处理，存储器可以用于存储下述处理过程中需要和产生的数据，收发器可以用于接收和发送数据。本方案中，设备私钥为应用私钥的上级私钥，应用私钥为业务私钥的上级私钥，设备公钥为应用公钥的上级公钥，应用公钥为业务公钥的上级公钥，相应的名词概念可见下文中的具体说明。

下面将结合具体实施方式，对图1所示的处理流程进行详细的说明，内容可以如下：

步骤101，业务服务器向终端发送密钥更新通知。

其中，业务服务器可以是用于处理业务的服务器，可以是终端中具有某种业务处理功能的应用程序的后台服务器，例如，业务服务器可以是微信的后台服务器。密钥可以是由终端生成的一对相互匹配的私钥和公钥，终端将私钥存储在本地，并将公钥发送至业务服务器进行存储。

在实施中，终端中可以安装有用于实现某种业务处理的应用程序，例如，终端中可以安装有用于实现在线支付处理的应用程序(比如微信)，相应的，用户可以通过终端对该应用程序或者应用程序的某些业务设置密钥，这样，在进行信息传输时可以使用密钥对信息进行加密，从而可以保证信息传输过程中信息的安全性。同时，业务服务器中可以存储有上述密钥，并且将密钥与终端进行绑定，当服务器接收到终端发送的加密信息后，可以使用终端对应的密钥对该加密信息进行解密，从而获取信息的传输。当业务服务器发现需要更新本地存储的某个密钥时，可以向该密钥绑定的终端发送密钥更新通知，以通知终端重新生成新的密钥。

可选的，触发业务服务器向终端发送密钥更新通知的方式多种多样，如下给出了两种可行的方式：

方式一：如果检测到本地存储的公钥在生成后的持续时长达到预设时长阈值，则获取预先存储的公钥对应的设备标识，向设备标识对应的终端发送密钥更新通知。

在实施中，为了保证信息的安全性，可以为生成的密钥设置有效期限，即经过预设时长后，密钥自动无效。业务服务器可以定期检测本地存储的公钥是否处于有效期限内，或者当需要调用公钥时检测公钥是否处于有效期限内。如果业务服务器检测到本地存储的公钥在生成后的持续时长达到预设时长阈值，则可以获取该公钥对应的设备标识，进而可以向该设备标识对应的终端发送密钥更新通知。

方式二：当接收到终端发送的密钥更新请求时，向终端发送密钥更新通知。

在实施中，当用户发现密钥可能已经泄露或者密钥即将过期时，可以通过终端向业务服务器发送密钥更新请求，请求更新密钥，当服务器接收到终端发送的密钥更新请求后，可以向终端发送密钥更新通知，通知终端生成新的密钥。

步骤102，终端接收业务服务器发送的密钥更新通知。

在实施中，业务服务器向终端发送密钥更新通知后，终端可以接收到业务服务器发送的密钥更新通知。

步骤103，终端通过终端安全区域TEE系统，生成一对新私钥和新公钥，将新私钥存储在TEE系统中，并使用新私钥的上级私钥对新公钥进行签名处理，得到第一待验签信息。

其中，TEE系统可以是终端中用于验证生物特征信息以及对签名信息进行加密的系统，在其中存储、处理的数据是安全的，TEE系统独立于终端中的其他系统(比如安卓系统)，终端可以在TEE系统中安装密钥生成应用，该密钥生成应用在生成和存储密钥的过程可以认为是安全的。

在实施中，终端在接收到业务服务器发送的密钥更新通知后，可以启动TEE系统中的密钥生成应用，根据终端的硬件信息以及预设算法生成一对互相匹配的新私钥和新公钥，将该密钥应用于上述业务服务器对应的应用程序中。进而，终端可以将新私钥存储在TEE系统的密钥存储区域中，可以保证新私钥的安全性，之后终端可以使用新私钥的上级私钥对新公钥进行签名处理，从而得到第一待验签信息。本方案中涉及的密钥是采用了密钥链的生成方式，具体的密钥链可以如下，在存在第一级密钥的情况下，可以使用第一级密钥验证后续生成的第二级密钥的合法性，进而也可以使用第二级密钥验证后续生成的第三级密钥的合法性，依此类推，后续N级密钥的关系同上。

步骤104，终端向业务服务器发送携带有本地的设备标识、新公钥以及第一待验签信息的第一存储请求。

在实施中，在生成第一待验签信息后，终端可以向业务服务器发送第一存储请求，其中，第一存储请求中可以携带有终端的设备标识、新公钥以及第一待验签信息。

步骤105，业务服务器接收终端发送的携带有终端的设备标识、新公钥以及第一待验签信息的第一存储请求。

在实施中，在终端向业务服务器发送携带有本地的设备标识、新公钥以及第一待验签信息的第一存储请求后，业务服务器可以接收到该第一存储请求。

步骤106，获取预先存储的设备标识对应的上级公钥，基于上级公钥以及新公钥，对第一待验签信息进行验签处理，如果验签成功，则存储新公钥。

在实施中，业务服务器在接收到终端发送的第一存储请求后，可以对其进行解析，获取其中携带的设备标识、新公钥以及第一待验签信息，进而，可以获取预先存储的第一存储请求中携带的设备标识对应的上级公钥，然后基于获取的上级公钥以及新公钥对第一待验签信息进行验签处理，并判断是否验签成功，如果验签成功，则可以将设备标识与新公钥进行对应存储，否则，可以不对其进行存储。

可选的，上述密钥更新的流程可以是对应用验证密钥(也可称作二级密钥)进行更新的流程，相应的，上述的流程可以如图2所示：

步骤201，终端通过TEE系统，生成一对设备私钥和设备公钥(即前文的第一级密钥)，将设备私钥存储在TEE系统中，将设备公钥以及终端的设备标识发送至设备公钥管理服务器，以使设备公钥管理服务器将设备标识与设备公钥对应存储。

其中，设备验证密钥包括一对设备私钥和设备公钥，用于验证终端的合法性，是产生应用验证密钥的必要密钥，设备私钥可以由厂商在终端出厂前内置在设备安全区域中，设备公钥存放在设备公钥管理服务器，一个终端有且只有一个设备验证密钥。

在实施中，终端可以通过TEE系统生成设备验证密钥，设备验证密钥包括设备私钥和设备公钥，其中，可以在终端出厂前通过终端中的TEE系统根据终端的硬件信息以及预设算法生成一对设备私钥和设备公钥，不同的终端对应不同的设备私钥和设备公钥。生成一对设备私钥和设备公钥后，可以将生成的设备私钥存储在TEE系统中，其中，设备私钥存储在安全区域，其他终端无法获知存储在安全区域的设备私钥，并将生成的设备公钥以及终端的设备标识发送至设备公钥管理服务器，其中，设备公钥管理服务器可以用于存储终端在出厂前生成的设备公钥，设备公钥管理服务器可以接收终端发送的设备公钥以及设备标识，进而，可以将设备标识与设备公钥对应存储。

步骤202，终端通过TEE系统，生成一对应用私钥和应用公钥，将应用私钥存储在TEE系统中，并使用设备私钥对应用公钥进行签名处理，得到第二待验签信息。

其中，应用验证密钥包括一对应用私钥和应用公钥，是由应用程序产生的一对使用预设算法生成的密钥，应用私钥存放于安全存储区域，应用公钥存放在业务服务器，该应用验证密钥可以用于验证应用程序的安全性与身份，是产生业务验证密钥的必要密钥，一个应用程序有且只有一个应用验证密钥，如果重复生成应用验证密钥，则会覆盖掉之前生成的应用验证密钥。

在实施中，终端在安装完用于实现某种业务处理的应用程序(比如微信)，第一次启动该应用程序时，可以通过TEE系统生成应用验证密钥，应用验证密钥包括应用私钥和应用公钥，其中，可以通过终端中的TEE系统根据终端的硬件信息以及预设算法生成一对应用私钥和应用公钥，终端中的该应用程序对应有一对应用私钥和应用公钥，即生成的这一对应用私钥和应用公钥与应用程序具有对应关系，与登录在应用程序的账户没有对应关系。生成一对应用私钥和应用公钥后，可以将应用私钥存储在TEE系统中，并可以使用终端中预先存储的设备私钥对生成的应用公钥进行签名处理，得到第二待验签信息,。此步骤可以认为是终端第一次生成上述应用程序对应的应用验证密钥。

步骤203，终端向业务服务器发送携带有设备标识、应用公钥以及第二待验签信息的第二存储请求。

在实施中，终端得到第二待验签信息后，可以向业务服务器发送第二存储请求，其中，第二存储请求中可以携带有设备标识、应用公钥以及第二待验签信息。

步骤204，业务服务器当接收终端发送的携带有设备标识、应用公钥以及第二待验签信息的第二存储请求时，向设备公钥管理服务器获取设备标识对应的设备公钥，基于设备公钥以及应用公钥，对第二待验签信息进行验签处理，如果验签成功，则将设备标识与应用公钥对应存储。

在实施中，终端向业务服务器发送携带有设备标识、应用公钥以及第二待验签信息的第二存储请求后，业务服务器可以接收终端发送的第二存储请求，并对其进行解析，获取其中携带的设备标识、应用公钥以及第二待验签信息，进而，可以向设备公钥管理服务器获取存储请求中携带的设备标识对应的设备公钥，可以基于获取的设备公钥以及应用公钥对第二待验签信息进行验签处理，并判断是否验签成功，如果验签成功，则可以将设备标识与应用公钥进行对应存储，否则，可以不对其进行存储。此步骤可以认为是业务服务器第一次存储上述设备标识对应的应用公钥。

步骤205，业务服务器向终端发送应用验证密钥更新通知。

步骤206，终端接收业务服务器发送的应用验证密钥更新通知。

步骤207，终端通过终端安全区域TEE系统，生成一对新应用私钥和新应用公钥，将新应用私钥存储在TEE系统中，并使用设备私钥对新应用公钥进行签名处理，得到第一待验签信息。

在实施中，对应用验证密钥更新的处理与应用验证密钥生成的过程类似，具体的，终端在接收到业务服务器发送的密钥更新通知后，可以启动TEE系统中的密钥生成应用，根据终端的硬件信息以及预设算法生成一对互相匹配的新应用私钥和新应用公钥，进而，终端可以删除本地存储的原应用私钥，并将新应用私钥存储在TEE系统的密钥存储区域中，同时可以使用设备私钥对新应用公钥进行签名处理，从而得到第一待验签信息。

步骤208，终端向业务服务器发送携带有本地的设备标识、新应用公钥以及第一待验签信息的第一存储请求。

在实施中，在生成第一待验签信息后，终端可以向业务服务器发送第一存储请求，其中，第一存储请求中可以携带有终端的设备标识、新应用公钥以及第一待验签信息。

步骤209，业务服务器接收终端发送的携带有终端的设备标识、新应用公钥以及第一待验签信息的第一存储请求。

在实施中，在终端向业务服务器发送携带有本地的设备标识、新应用公钥以及第一待验签信息的第一存储请求后，业务服务器可以接收到该第一存储请求。

步骤210，业务服务器从设备公钥管理服务器获取设备标识对应的设备公钥，基于设备公钥以及新应用公钥，对第一待验签信息进行验签处理，如果验签成功，则存储新应用公钥。

在实施中，业务服务器在接收到终端发送的第一存储请求后，可以对其进行解析，获取其中携带的设备标识、新应用公钥以及第一待验签信息，进而，可以向设备公钥管理服务器获取存储请求中携带的设备标识对应的设备公钥，可以基于获取的设备公钥以及应用公钥对第一待验签信息进行验签处理，并判断是否验签成功，如果验签成功，则可以删除与设备标识对应的原应用公钥，并将设备标识与新应用公钥进行对应存储，否则，可以不进行上述处理。

可选的，上述密钥更新的流程可以是对业务验证密钥(也可称作三级密钥)进行更新的流程，相应的，上述的流程可以如图3所示：

步骤301，终端通过TEE系统，生成一对设备私钥和设备公钥(即前文的第一级密钥)，将设备私钥存储在TEE系统中，将设备公钥以及终端的设备标识发送至设备公钥管理服务器，以使设备公钥管理服务器将设备标识与设备公钥对应存储。

步骤302，终端通过TEE系统，生成一对应用私钥和应用公钥，将应用私钥存储在TEE系统中，并使用设备私钥对应用公钥进行签名处理，得到第二待验签信息。

步骤303，终端向业务服务器发送携带有设备标识、应用公钥以及第二待验签信息的第二存储请求。

步骤304，业务服务器当接收终端发送的携带有设备标识、应用公钥以及第二待验签信息的第二存储请求时，向设备公钥管理服务器获取设备标识对应的设备公钥，基于设备公钥以及应用公钥，对第二待验签信息进行验签处理，如果验签成功，则将设备标识与应用公钥对应存储。

步骤305，终端通过TEE系统，生成一对业务私钥和业务公钥，将业务私钥存储在TEE系统中，并使用应用私钥对业务公钥进行签名处理，得到第三待验签信息。

其中，业务验证密钥包括业务私钥和业务公钥，用于验证具体业务逻辑的合法性，业务私钥存放于安全存储区域，业务公钥存放于业务服务器，业务验证密钥的数量不限，有业务方控制生成数量。

在实施中，终端安装的应用程序可以用于实现多种业务处理，并且用户对多种业务都录入了生物特征信息，即对多种业务都进行了签名处理，应用程序的不同业务可以对应不用的业务验证密钥，例如，用户对微信的登录业务、支付业务都设置了指纹验证过程，可以分别称为指纹登录业务、指纹支付业务，这两种业务可以对应不同的业务验证密钥，对应相同的应用验证密钥(应用验证密钥包括应用私钥和应用公钥)。可以在接收到应用程序中的某种业务的开启指令时，比如，用户开启指纹支付业务时，将会触发终端接收指纹支付业务的开启指令，通过终端中的TEE系统，生成该业务对应的一对业务私钥和业务公钥，其中，业务私钥与登录在应用程序中的账户具有对应关系，并可以使用预先存储的应用私钥对业务公钥进行签名处理，得到第三待验签信息。

步骤306，终端向业务服务器发送携带有设备标识、业务公钥以及第三待验签信息的第三存储请求。

在实施中，终端得到第三待验签信息后，可以向业务服务器发送第三存储请求，其中，第三存储请求中可以携带有设备标识、业务公钥以及第三待验签信息。

步骤307，业务服务器当接收终端发送的携带有设备标识、业务公钥以及第三待验签信息的第三存储请求时，基于存储的设备标识对应的应用公钥以及业务公钥，对第三待验签信息进行验签处理，如果验签成功，则将业务公钥进行存储。

在实施中，终端向业务服务器发送携带有设备标识、业务公钥以及第三待验签信息的第三存储请求后，业务服务器可以接收终端发送的第三存储请求，并对其进行解析，获取其中携带的设备标识、业务公钥以及第三待验签信息，进而，可以基于预先存储的该设备标识对应的应用公钥以及业务公钥对第三待验签信息进行验签处理，并判断是否验签成功，如果验签成功，则可以将业务公钥进行对应存储，其中，终端发送的存储请求中还可以携带有账户标识，业务服务器可以将设备标识、账户标识与业务公钥进行对应存储。

步骤308，业务服务器向终端发送业务验证密钥更新通知。

步骤309，终端接收业务服务器发送的业务验证密钥更新通知。

步骤310，终端通过终端安全区域TEE系统，生成一对新业务私钥和新业务公钥，将新业务私钥存储在TEE系统中，并使用设备私钥对新业务公钥进行签名处理，得到第一待验签信息。

在实施中，对业务验证密钥更新的处理与业务验证密钥生成的过程类似，具体的，终端在接收到业务服务器发送的密钥更新通知后，可以启动TEE系统中的密钥生成应用，根据终端的硬件信息以及预设算法生成一对互相匹配的新业务私钥和新业务公钥，进而，终端可以删除本地存储的原业务私钥，并将新业务私钥存储在TEE系统的密钥存储区域中，同时可以使用设备验证密钥对新业务公钥进行签名处理，从而得到第一待验签信息。

步骤311，终端向业务服务器发送携带有本地的设备标识、新业务公钥以及第一待验签信息的第一存储请求。

在实施中，在生成第一待验签信息后，终端可以向业务服务器发送第一存储请求，其中，第一存储请求中可以携带有终端的设备标识、新业务公钥以及第一待验签信息。

步骤312，业务服务器接收终端发送的携带有终端的设备标识、新业务公钥以及第一待验签信息的第一存储请求。

在实施中，在终端向业务服务器发送携带有本地的设备标识、新业务公钥以及第一待验签信息的第一存储请求后，业务服务器可以接收到该第一存储请求。

步骤313，业务服务器从设备公钥管理服务器获取设备标识对应的设备公钥，基于设备公钥以及新业务公钥，对第一待验签信息进行验签处理，如果验签成功，则存储新业务公钥。

在实施中，业务服务器在接收到终端发送的第一存储请求后，可以对其进行解析，获取其中携带的设备标识、新业务公钥以及第一待验签信息，进而，可以向设备公钥管理服务器获取存储请求中携带的设备标识对应的设备公钥，可以基于获取的设备公钥以及业务公钥对第一待验签信息进行验签处理，并判断是否验签成功，如果验签成功，则可以删除与设备标识对应的原业务公钥，并将设备标识与新业务公钥进行对应存储，否则，可以不进行上述处理。

此外，四级至N级验证密钥的更新流程与业务验证密钥更新流程基本相似，此处不再赘述，具体流程可参照图4，本方案的系统架构如图5所示。

基于相同的技术构思，本发明实施例还提供了一种终端，如图6所示，该终端包括：

接收模块601，用于接收业务服务器发送的密钥更新通知；

生成模块602，用于通过终端安全区域TEE系统，生成一对新私钥和新公钥，将所述新私钥存储在所述TEE系统中；

签名模块603，用于使用所述新私钥的上级私钥对所述新公钥进行签名处理，得到第一待验签信息；

发送模块604，用于向所述业务服务器发送携带有本地的设备标识、所述新公钥以及所述第一待验签信息的第一存储请求，以使所述业务服务器获取预先存储的所述设备标识对应的上级公钥，基于所述上级公钥对所述第一待验签信息进行验签处理，如果验签成功，则存储所述新公钥。

可选的，所述新私钥为新应用私钥，所述新公钥为新应用公钥，所述上级私钥为设备私钥；

所述生成模块602，还用于在接收业务服务器发送的密钥更新通知之前，通过所述TEE系统，生成一对设备私钥和设备公钥，将所述设备私钥存储在所述TEE系统中，将所述设备公钥以及终端的设备标识发送至设备公钥管理服务器，以使所述设备公钥管理服务器将所述设备标识与所述设备公钥对应存储。

可选的，所述新私钥为新业务私钥，所述新公钥为新业务公钥，所述上级私钥为应用私钥；

所述生成模块602，还用于在接收业务服务器发送的密钥更新通知之前，通过所述TEE系统，生成一对设备私钥和设备公钥，将所述设备私钥存储在所述TEE系统中，将所述设备公钥以及终端的设备标识发送至设备公钥管理服务器，以使所述设备公钥管理服务器将所述设备标识与所述设备公钥对应存储；

所述生成模块602，还用于在接收业务服务器发送的密钥更新通知之前，通过所述TEE系统，生成一对应用私钥和应用公钥，将所述应用私钥存储在所述TEE系统中，并使用所述设备私钥对所述应用公钥进行签名处理，得到第二待验签信息；

所述发送模块604，还用于向所述业务服务器发送携带有所述设备标识、所述应用公钥以及所述第二待验签信息的第二存储请求。

基于相同的技术构思，本发明实施例还提供了一种业务服务器，如图7所示，该业务服务器包括：

发送模块701，用于向终端发送密钥更新通知；

接收模块702，用于接收所述终端发送的携带有所述终端的设备标识、新公钥以及第一待验签信息的第一存储请求；

获取模块703，用于获取预先存储的所述设备标识对应的上级公钥；

验签模块704，用于基于所述上级公钥以及新公钥，对所述第一待验签信息进行验签处理，如果验签成功，则存储所述新公钥。

可选的，所述新公钥为新应用公钥，所述上级公钥为设备公钥，所述获取模块703，用于：

从设备公钥管理服务器获取所述设备标识对应的设备公钥。

可选的，所述新公钥为新业务公钥，所述上级公钥为应用公钥，所述获取模块703，用于：

获取本地存储的所述设备标识对应的应用公钥。

可选的，所述接收模块702，还用于在向终端发送密钥更新通知前，接收所述终端发送的携带有所述终端的设备标识、所述应用公钥以及所述第二待验签信息的第二存储请求；

所述验签模块704，还用于在向终端发送密钥更新通知前，从设备公钥管理服务器获取所述设备标识对应的设备公钥，基于所述设备公钥以及应用公钥，对所述第二待验签信息进行验签处理，如果验签成功，则存储所述应用公钥。

可选的，所述发送模块701，用于：

基于相同的技术构思，本发明实施例还提供了一种更新密钥的系统，所述系统包括业务服务器和终端，其中：

所述终端，用于接收所述业务服务器发送的密钥更新通知，通过终端安全区域TEE系统，生成一对新私钥和新公钥，将所述新私钥存储在所述TEE系统中，并使用所述新私钥的上级私钥对所述新公钥进行签名处理，得到第一待验签信息，向所述业务服务器发送携带有本地的设备标识、所述新公钥以及所述第一待验签信息的第一存储请求，以使所述业务服务器获取预先存储的所述设备标识对应的上级公钥，基于所述上级公钥对所述第一待验签信息进行验签处理，如果验签成功，则存储所述新公钥；

本发明实施例还提供了一种终端，请参考图8，其示出了本发明实施例所涉及的具有触敏表面的终端结构示意图，该终端可以用于实施上述实施例中提供的进行业务处理的方法。具体来讲：

终端800可以包括RF(Radio Frequency，射频)电路110、包括有一个或一个以上计算机可读存储介质的存储器120、输入单元130、显示单元140、传感器150、音频电路160、WiFi(wireless fidelity，无线保真)模块170、包括有一个或者一个以上处理核心的处理器180、以及电源190等部件。本领域技术人员可以理解，图8中示出的终端结构并不构成对终端的限定，可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置。其中：

RF电路110可用于收发信息或通话过程中，信号的接收和发送，特别地，将基站的下行信息接收后，交由一个或者一个以上处理器180处理；另外，将涉及上行的数据发送给基站。通常，RF电路110包括但不限于天线、至少一个放大器、调谐器、一个或多个振荡器、用户身份模块(SIM)卡、收发信机、耦合器、LNA(Low Noise Amplifier，低噪声放大器)、双工器等。此外，RF电路110还可以通过无线通信与网络和其他设备通信。所述无线通信可以使用任一通信标准或协议，包括但不限于GSM(Global System of Mobile communication，全球移动通讯系统)、GPRS(General Packet Radio Service，通用分组无线服务)、CDMA(Code Division Multiple Access，码分多址)、WCDMA(Wideband Code Division Multiple Access,宽带码分多址)、LTE(Long Term Evolution,长期演进)、电子邮件、SMS(Short Messaging Service，短消息服务)等。

存储器120可用于存储软件程序以及模块，处理器180通过运行存储在存储器120的软件程序以及模块，从而执行各种功能应用以及数据处理。存储器120可主要包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、至少一个功能所需的应用程序(比如声音播放功能、图像播放功能等)等；存储数据区可存储根据终端800的使用所创建的数据(比如音频数据、电话本等)等。此外，存储器120可以包括高速随机存取存储器，还可以包括非易失性存储器，例如至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。相应地，存储器120还可以包括存储器控制器，以提供处理器180和输入单元130对存储器120的访问。

输入单元130可用于接收输入的数字或字符信息，以及产生与用户设置以及功能控制有关的键盘、鼠标、操作杆、光学或者轨迹球信号输入。具体地，输入单元130可包括触敏表面131以及其他输入设备132。触敏表面131，也称为触摸显示屏或者触控板，可收集用户在其上或附近的触摸操作(比如用户使用手指、触笔等任何适合的物体或附件在触敏表面131上或在触敏表面131附近的操作)，并根据预先设定的程式驱动相应的连接装置。可选的，触敏表面131可包括触摸检测装置和触摸控制器两个部分。其中，触摸检测装置检测用户的触摸方位，并检测触摸操作带来的信号，将信号传送给触摸控制器；触摸控制器从触摸检测装置上接收触摸信息，并将它转换成触点坐标，再送给处理器180，并能接收处理器180发来的命令并加以执行。此外，可以采用电阻式、电容式、红外线以及表面声波等多种类型实现触敏表面131。除了触敏表面131，输入单元130还可以包括其他输入设备132。具体地，其他输入设备132可以包括但不限于物理键盘、功能键(比如音量控制按键、开关按键等)、轨迹球、鼠标、操作杆等中的一种或多种。

显示单元140可用于显示由用户输入的信息或提供给用户的信息以及终端800的各种图形用户接口，这些图形用户接口可以由图形、文本、图标、视频和其任意组合来构成。显示单元140可包括显示面板141，可选的，可以采用LCD(Liquid Crystal Display，液晶显示器)、OLED(Organic Light-Emitting Diode,有机发光二极管)等形式来配置显示面板141。进一步的，触敏表面131可覆盖显示面板141，当触敏表面131检测到在其上或附近的触摸操作后，传送给处理器180以确定触摸事件的类型，随后处理器180根据触摸事件的类型在显示面板141上提供相应的视觉输出。虽然在图8中，触敏表面131与显示面板141是作为两个独立的部件来实现输入和输入功能，但是在某些实施例中，可以将触敏表面131与显示面板141集成而实现输入和输出功能。

终端800还可包括至少一种传感器150，比如光传感器、运动传感器以及其他传感器。具体地，光传感器可包括环境光传感器及接近传感器，其中，环境光传感器可根据环境光线的明暗来调节显示面板141的亮度，接近传感器可在终端800移动到耳边时，关闭显示面板141和/或背光。作为运动传感器的一种，重力加速度传感器可检测各个方向上(一般为三轴)加速度的大小，静止时可检测出重力的大小及方向，可用于识别手机姿态的应用(比如横竖屏切换、相关游戏、磁力计姿态校准)、振动识别相关功能(比如计步器、敲击)等；至于终端800还可配置的陀螺仪、气压计、湿度计、温度计、红外线传感器等其他传感器，在此不再赘述。

音频电路160、扬声器161，传声器162可提供用户与终端800之间的音频接口。音频电路160可将接收到的音频数据转换后的电信号，传输到扬声器161，由扬声器161转换为声音信号输出；另一方面，传声器162将收集的声音信号转换为电信号，由音频电路160接收后转换为音频数据，再将音频数据输出处理器180处理后，经RF电路110以发送给比如另一终端，或者将音频数据输出至存储器120以便进一步处理。音频电路160还可能包括耳塞插孔，以提供外设耳机与终端800的通信。

WiFi属于短距离无线传输技术，终端800通过WiFi模块170可以帮助用户收发电子邮件、浏览网页和访问流式媒体等，它为用户提供了无线的宽带互联网访问。虽然图8示出了WiFi模块170，但是可以理解的是，其并不属于终端800的必须构成，完全可以根据需要在不改变发明的本质的范围内而省略。

处理器180是终端800的控制中心，利用各种接口和线路连接整个手机的各个部分，通过运行或执行存储在存储器120内的软件程序和/或模块，以及调用存储在存储器120内的数据，执行终端800的各种功能和处理数据，从而对手机进行整体监控。可选的，处理器180可包括一个或多个处理核心；优选的，处理器180可集成应用处理器和调制解调处理器，其中，应用处理器主要处理操作系统、用户界面和应用程序等，调制解调处理器主要处理无线通信。可以理解的是，上述调制解调处理器也可以不集成到处理器180中。

终端800还包括给各个部件供电的电源190(比如电池)，优选的，电源可以通过电源管理系统与处理器180逻辑相连，从而通过电源管理系统实现管理充电、放电、以及功耗管理等功能。电源190还可以包括一个或一个以上的直流或交流电源、再充电系统、电源故障检测电路、电源转换器或者逆变器、电源状态指示器等任意组件。

尽管未示出，终端800还可以包括摄像头、蓝牙模块等，在此不再赘述。具体在本实施例中，终端800的显示单元是触摸屏显示器，终端800还包括有存储器，以及一个或者一个以上的程序，其中一个或者一个以上程序存储于存储器中，且经配置以由一个或者一个以上处理器执行述一个或者一个以上程序包含用于进行以下操作的指令：

接收业务服务器发送的密钥更新通知；

通过终端安全区域TEE系统，生成一对新私钥和新公钥，将所述新私钥存储在所述TEE系统中；

使用所述新私钥的上级私钥对所述新公钥进行签名处理，得到第一待验签信息；

向所述业务服务器发送携带有本地的设备标识、所述新公钥以及所述第一待验签信息的第一存储请求，以使所述业务服务器获取预先存储的所述设备标识对应的上级公钥，基于所述上级公钥对所述第一待验签信息进行验签处理，如果验签成功，则存储所述新公钥。

所述终端还用于在接收业务服务器发送的密钥更新通知之前，通过所述TEE系统，生成一对设备私钥和设备公钥，将所述设备私钥存储在所述TEE系统中，将所述设备公钥以及终端的设备标识发送至设备公钥管理服务器，以使所述设备公钥管理服务器将所述设备标识与所述设备公钥对应存储。

所述终端还用于在接收业务服务器发送的密钥更新通知之前，通过所述TEE系统，生成一对设备私钥和设备公钥，将所述设备私钥存储在所述TEE系统中，将所述设备公钥以及终端的设备标识发送至设备公钥管理服务器，以使所述设备公钥管理服务器将所述设备标识与所述设备公钥对应存储；

所述生成模块，还用于在接收业务服务器发送的密钥更新通知之前，通过所述TEE系统，生成一对应用私钥和应用公钥，将所述应用私钥存储在所述TEE系统中，并使用所述设备私钥对所述应用公钥进行签名处理，得到第二待验签信息；

所述终端还用于向所述业务服务器发送携带有所述设备标识、所述应用公钥以及所述第二待验签信息的第二存储请求。

本发明实施例还提供了一种业务服务器，图9是本发明实施例提供的业务服务器的结构示意图。该业务服务器900可因配置或性能不同而产生比较大的差异，可以包括一个或一个以上中央处理器(central processing units，CPU)922(例如，一个或一个以上处理器)和存储器932，一个或一个以上存储应用程序942或数据944的存储介质930(例如一个或一个以上海量存储设备)。其中，存储器932和存储介质930可以是短暂存储或持久存储。存储在存储介质930的程序可以包括一个或一个以上模块(图示没标出)，每个模块可以包括对服务器中的一系列指令操作。更进一步地，中央处理器922可以设置为与存储介质930通信，在业务服务器900上执行存储介质930中的一系列指令操作。

业务服务器900还可以包括一个或一个以上电源926，一个或一个以上有线或无线网络接口950，一个或一个以上输入输出接口958，一个或一个以上键盘956，和/或，一个或一个以上操作系统941，例如Windows ServerTM，Mac OS XTM，UnixTM，LinuxTM，FreeBSDTM等等。

业务服务器900可以包括有存储器，以及一个或者一个以上的程序，其中一个或者一个以上程序存储于存储器中，且经配置以由一个或者一个以上处理器执行所述一个或者一个以上程序包含用于进行以下操作的指令：

向终端发送密钥更新通知；

接收所述终端发送的携带有所述终端的设备标识、新公钥以及第一待验签信息的第一存储请求；

获取预先存储的所述设备标识对应的上级公钥，基于所述上级公钥以及新公钥，对所述第一待验签信息进行验签处理，如果验签成功，则存储所述新公钥。

可选的，所述新公钥为新应用公钥，所述上级公钥为设备公钥，所述获取预先存储的所述设备标识对应的上级公钥，包括：

从设备公钥管理服务器获取所述设备标识对应的设备公钥。

可选的，所述新公钥为新业务公钥，所述上级公钥为应用公钥，所述获取预先存储的所述设备标识对应的上级公钥，包括：

获取本地存储的所述设备标识对应的应用公钥。

可选的，在向终端发送密钥更新通知前，所述业务服务器还用于：

接收所述终端发送的携带有所述终端的设备标识、所述应用公钥以及所述第二待验签信息的第二存储请求；

从设备公钥管理服务器获取所述设备标识对应的设备公钥，基于所述设备公钥以及应用公钥，对所述第二待验签信息进行验签处理，如果验签成功，则存储所述应用公钥。

可选的，所述向终端发送密钥更新通知，包括：

需要说明的是：上述实施例提供的更新密钥的装置在更新密钥时，仅以上述各功能模块的划分进行举例说明，实际应用中，可以根据需要而将上述功能分配由不同的功能模块完成，即将装置的内部结构划分成不同的功能模块，以完成以上描述的全部或者部分功能。另外，上述实施例提供的更新密钥的装置与更新密钥的方法实施例属于同一构思，其具体实现过程详见方法实施例，这里不再赘述。

本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成，也可以通过程序来指令相关的硬件完成，所述的程序可以存储于一种计算机可读存储介质中，上述提到的存储介质可以是只读存储器，磁盘或光盘等。

以上所述仅为本发明的较佳实施例，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims

一种更新密钥的方法，其特征在于，所述方法包括：

终端接收业务服务器发送的密钥更新通知，其中，所述终端具有多个密钥，每一个密钥都对应一个等级，下级密钥的合法性由上级密钥验证；

所述终端通过终端安全区域TEE系统，生成一对新私钥和新公钥，将所述新私钥存储在所述TEE系统中，并使用所述新私钥的上级私钥对所述新公钥进行签名处理，得到第一待验签信息；以及

所述终端向所述业务服务器发送携带有本地的设备标识、所述新公钥以及所述第一待验签信息的第一存储请求，以使所述业务服务器获取预先存储的所述设备标识对应的所述新公钥的上级公钥，基于所述上级公钥对所述第一待验签信息进行验签处理，如果验签成功，则存储所述新公钥。
根据权利要求1所述的方法，其特征在于，所述新私钥为新应用私钥，所述新公钥为新应用公钥，所述上级私钥为设备私钥，其中，设备密钥用于验证终端的合法性，应用密钥用于验证应用程序的安全性与身份；

在接收业务服务器发送的密钥更新通知之前，所述方法还包括：

通过所述TEE系统，生成一对设备私钥和设备公钥，将所述设备私钥存储在所述TEE系统中，将所述设备公钥以及终端的设备标识发送至设备公钥管理服务器，以使所述设备公钥管理服务器将所述设备标识与所述设备公钥对应存储。
根据权利要求1所述的方法，其特征在于，所述新私钥为新业务私钥，所述新公钥为新业务公钥，所述上级私钥为应用私钥，其中，应用密钥用于验证应用程序的安全性与身份，业务密钥用于验证具体业务逻辑的合法性；

在接收业务服务器发送的密钥更新通知之前，所述方法还包括：

通过所述TEE系统，生成一对设备私钥和设备公钥，将所述设备私钥存储在所述TEE系统中，将所述设备公钥以及终端的设备标识发送至设备公钥管理服务器，以使所述设备公钥管理服务器将所述设备标识与所述设备公钥对应存储；

通过所述TEE系统，生成一对应用私钥和应用公钥，将所述应用私钥存储在所述TEE系统中，并使用所述设备私钥对所述应用公钥进行签名处理，得到第二待验签信息；以及

向所述业务服务器发送携带有所述设备标识、所述应用公钥以及所述第二待验签信息的第二存储请求。
一种更新密钥的方法，其特征在于，所述方法包括：

业务服务器向终端发送密钥更新通知，其中，所述终端具有多个密钥，每一个密钥都对应一个等级，下级密钥的合法性由上级密钥验证；

所述业务服务器接收所述终端发送的携带有所述终端的设备标识、新公钥以及第一待验签信息的第一存储请求；以及

所述业务服务器获取预先存储的所述设备标识对应的所述新公钥的上级公钥，基于所述上级公钥以及新公钥，对所述第一待验签信息进行验签处理，如果验签成功，则存储所述新公钥。
根据权利要求4所述的方法，其特征在于，所述新公钥为新应用公钥，所述上级公钥为设备公钥，其中，设备密钥用于验证终端的合法性，应用密钥用于验证应用程序的安全性与身份，所述获取预先存储的所述设备标识对应的上级公钥，包括：

从设备公钥管理服务器获取所述设备标识对应的设备公钥。
根据权利要求4所述的方法，其特征在于，所述新公钥为新业务公钥，所述上级公钥为应用公钥，其中，应用密钥用于验证应用程序的安全性与身份，业务密钥用于验证具体业务逻辑的合法性，所述获取预先存储的所述设备标识对应的上级公钥，包括：

获取本地存储的所述设备标识对应的应用公钥。
根据权利要求6所述的方法，其特征在于，在向终端发送密钥更新通知前，所述方法还包括：

所述接收业务服务器接收所述终端发送的携带有所述终端的设备标识、所述应用公钥以及所述第二待验签信息的第二存储请求；以及

所述接收业务服务器从设备公钥管理服务器获取所述设备标识对应的设备公钥，基于所述设备公钥以及应用公钥，对所述第二待验签信息进行验签处理，如果验签成功，则存储所述应用公钥。
根据权利要求4所述的方法，其特征在于，所述向终端发送密钥更新通知，包括：

如果检测到本地存储的公钥在生成后的持续时长达到预设时长阈值，则获取预先存储的所述公钥对应的设备标识，向所述设备标识对应的终端发送密钥更新通知；或者，

当接收到终端发送的密钥更新请求时，向所述终端发送密钥更新通知。
一种终端，其特征在于，所述终端包括：

接收模块，用于接收业务服务器发送的密钥更新通知；

生成模块，用于通过终端安全区域TEE系统，生成一对新私钥和新公钥，将所述新私钥存储在所述TEE系统中；

签名模块，用于使用所述新私钥的上级私钥对所述新公钥进行签名处理，得到第一待验签信息；以及

发送模块，用于向所述业务服务器发送携带有本地的设备标识、所述新公钥以及所述第一待验签信息的第一存储请求，以使所述业务服务器获取预先存储的所述设备标识对应的所述新公钥的上级公钥，基于所述上级公钥对所述第一待验签信息进行验签处理，如果验签成功，则存储所述新公钥，其中，所述终端具有多个密钥，每一个密钥都对应一个等级，下级密钥的合法性由上级密钥验证。
根据权利要求9所述的终端，其特征在于，所述新私钥为新应用私钥，所述新公钥为新应用公钥，所述上级私钥为设备私钥，其中，设备密钥用于验证终端的合法性，应用密钥用于验证应用程序的安全性与身份；

所述生成模块，还用于在接收业务服务器发送的密钥更新通知之前，通过所述TEE系统，生成一对设备私钥和设备公钥，将所述设备私钥存储在所述TEE系统中，将所述设备公钥以及终端的设备标识发送至设备公钥管理服务器，以使所述设备公钥管理服务器将所述设备标识与所述设备公钥对应存储。
根据权利要求9所述的终端，其特征在于，所述新私钥为新业务私钥，所述新公钥为新业务公钥，所述上级私钥为应用私钥，其中，应用密钥用于验证应用程序的安全性与身份，业务密钥用于验证具体业务逻辑的合法性；

所述生成模块，还用于在接收业务服务器发送的密钥更新通知之前，通过所述TEE系统，生成一对设备私钥和设备公钥，将所述设备私钥存储在所述TEE系统中，将所述设备公钥以及终端的设备标识发送至设备公钥管理服务器，以使所述设备公钥管理服务器将所述设备标识与所述设备公钥对应存储；

所述生成模块，还用于在接收业务服务器发送的密钥更新通知之前，通过所述TEE系统，生成一对应用私钥和应用公钥，将所述应用私钥存储在所述TEE系统中，并使用所述设备私钥对所述应用公钥进行签名处理，得到第二待验签信息；

所述发送模块，还用于向所述业务服务器发送携带有所述设备标识、所述应用公钥以及所述第二待验签信息的第二存储请求。
一种业务服务器，其特征在于，所述业务服务器包括：

发送模块，用于向终端发送密钥更新通知，其中，所述终端具有多个密钥，每一个密钥都对应一个等级，下级密钥的合法性由上级密钥验证；

接收模块，用于接收所述终端发送的携带有所述终端的设备标识、新公钥以及第一待验签信息的第一存储请求；

获取模块，用于获取预先存储的所述设备标识对应的所述新公钥的上级公钥；以及

验签模块，用于基于所述上级公钥以及新公钥，对所述第一待验签信息进行验签处理，如果验签成功，则存储所述新公钥。
根据权利要求12所述的业务服务器，其特征在于，所述新公钥为新应用公钥，所述上级公钥为设备公钥，其中，设备密钥用于验证终端的合法性，应用密钥用于验证应用程序的安全性与身份，所述获取模块，用于：

从设备公钥管理服务器获取所述设备标识对应的设备公钥。
设备据权利要求12所述的业务服务器，其特征在于，所述新公钥为新业务公钥，所述上级公钥为应用公钥，其中，应用密钥用于验证应用程序的安全性与身份，业务密钥用于验证具体业务逻辑的合法性，所述获取模块，用于：

获取本地存储的所述设备标识对应的应用公钥。
根据权利要求14所述的业务服务器，其特征在于，所述接收模块，还用于在向终端发送密钥更新通知前，接收所述终端发送的携带有所述终端的设备标识、所述应用公钥以及所述第二待验签信息的第二存储请求；

所述验签模块，还用于在向终端发送密钥更新通知前，从设备公钥管理服务器获取所述设备标识对应的设备公钥，基于所述设备公钥以及应用公钥，对所述第二待验签信息进行验签处理，如果验签成功，则存储所述应用公钥。
根据权利要求12所述的业务服务器，其特征在于，所述发送模块，用于：

如果检测到本地存储的公钥在生成后的持续时长达到预设时长阈值，则获取预先存储的所述公钥对应的设备标识，向所述设备标识对应的终端发送密钥更新通知；或者，

当接收到终端发送的密钥更新请求时，向所述终端发送密钥更新通知。
一种更新密钥的系统，其特征在于，所述系统包括业务服务器和终端，其中：

所述终端，用于接收所述业务服务器发送的密钥更新通知，通过终端安全区域TEE系统，生成一对新私钥和新公钥，将所述新私钥存储在所述TEE系统中，并使用所述新私钥的上级私钥对所述新公钥进行签名处理，得到第一待验签信息，向所述业务服务器发送携带有本地的设备标识、所述新公钥以及所述第一待验签信息的第一存储请求，以使所述业务服务器获取预先存储的所述设备标识对应的所述新公钥的上级公钥，基于所述上级公钥对所述第一待验签信息进行验签处理，如果验签成功，则存储所述新公钥，其中，所述终端具有多个密钥，每一个密钥都对应一个等级，下级密钥的合法性由上级密钥验证；

所述业务服务器，用于向所述终端发送密钥更新通知，接收所述终端发送的携带有所述终端的设备标识、新公钥以及第一待验签信息的第一存储请求，获取预先存储的所述设备标识对应的上级公钥，基于所述上级公钥以及新公钥，对所述第一待验签信息进行验签处理，如果验签成功，则存储所述新公钥。