业务密钥注入方法、装置、设备及存储介质与流程

本申请涉及密钥注入，尤其涉及一种业务密钥注入方法、装置、设备及存储介质。

背景技术：

1、为了提升各个业务的安全性，加密服务能够针对不同的业务生成不同的业务密钥。在oem(original equipment manufacturing，原始设备制造商)厂商将业务密钥(service key)注入设备端的过程，是将加密业务密钥的加解密密钥明文或者直接写在代码与加密的业务密钥一起发送至设备端。这样在产线将业务密钥注入设备端的过程，加解密业务密钥的加解密密钥和业务密钥被明文传输，存在暴露的风险，导致业务密钥的非法获取及泄漏。

技术实现思路

1、为解决或部分解决相关技术中存在的问题，本申请提供一种业务密钥注入方法、装置、设备及存储介质，能够在业务密钥注入设备端的过程，对业务密钥进行加密传输，保证业务密钥不会被泄露。

2、本申请第一方面提供一种业务密钥注入方法，所述方法包括：

3、生成ecdh算法的第一私钥、第一公钥、第二私钥和第二公钥；

4、根据所述第二私钥和第一公钥，获得ecdh算法的对称加密密钥；

5、采用所述对称加密密钥对注入设备端的业务密钥进行加密，获得加密业务密钥；

6、将所述加密业务密钥、所述第一私钥和第二公钥发送至所述设备端，以使所述设备端依据所述加密业务密钥、所述第一私钥和第二公钥，获得所述业务密钥。

7、在一些实施例中，所述将所述加密业务密钥、所述第一私钥和第二公钥发送至所述设备端，以使所述设备端依据所述加密业务密钥、所述第一私钥和第二公钥，获得所述业务密钥，包括：

8、采用加密密钥对所述第一私钥进行加密，获得加密第一私钥；

9、将所述加密业务密钥、所述加密第一私钥和第二公钥发送至所述设备端，以使所述设备端依据所述加密业务密钥、所述加密第一私钥和第二公钥，获得所述业务密钥。

10、在一些实施例中，所述设备端依据所述加密业务密钥、所述第一私钥和第二公钥，获得所述业务密钥，包括：

11、所述设备端的非安全世界的客户端应用接收所述加密业务密钥、所述加密第一私钥和第二公钥，并将所述加密业务密钥、所述加密第一私钥和第二公钥发送至所述设备端的安全世界的可信应用；

12、所述设备端的安全世界的可信应用依据所述加密业务密钥、所述加密第一私钥和第二公钥，获得所述业务密钥。

13、在一些实施例中，所述生成ecdh算法的第一私钥、第一公钥、第二私钥和第二公钥，包括：

14、通过第一服务器生成ecdh算法的所述第一私钥和第一公钥；

15、通过第二服务器生成ecdh算法的所述第二私钥和第二公钥。

16、在一些实施例中，所述根据所述第二私钥和第一公钥，获得ecdh算法的对称加密密钥，包括：

17、通过所述第一服务器将所述第一公钥发送至所述第二服务器；

18、通过所述第二服务器，根据所述第二私钥和第一公钥，获得ecdh算法的对称加密密钥。

19、在一些实施例中，所述采用所述对称加密密钥对注入设备端的业务密钥进行加密，获得加密业务密钥，包括：

20、通过所述第二服务器采用所述对称加密密钥对注入设备端的业务密钥进行加密，获得加密业务密钥。

21、在一些实施例中，所述将所述加密业务密钥、所述第一私钥和第二公钥发送至所述设备端，以使所述设备端依据所述加密业务密钥、所述第一私钥和第二公钥，获得所述业务密钥，包括：

22、通过所述第一服务器采用加密密钥对所述第一私钥进行加密，获得加密第一私钥；

23、通过所述第一服务器将所述加密第一私钥发送至所述设备端，或者，通过所述第一服务器将所述加密第一私钥发送至所述第二服务器，通过所述第二服务器将所述加密第一私钥发送至所述设备端；

24、通过所述第二服务器将所述加密业务密钥和第二公钥发送至所述设备端，以使所述设备端依据所述加密业务密钥、所述加密第一私钥和第二公钥，获得所述业务密钥。

25、本申请第二方面提供一种业务密钥注入装置，所述装置包括：

26、生成模块，用于生成ecdh算法的第一私钥、第一公钥、第二私钥和第二公钥；

27、协商模块，用于根据所述生成模块生成的所述第二私钥和第一公钥，获得ecdh算法的对称加密密钥；

28、加密模块，用于采用所述协商模块获得的所述对称加密密钥对注入设备端的业务密钥进行加密，获得加密业务密钥；

29、传输模块，用于将所述加密模块获得的所述加密业务密钥、所述生成模块生成的所述第一私钥和第二公钥发送至所述设备端，以使所述设备端依据所述加密业务密钥、所述第一私钥和第二公钥，获得所述业务密钥。

30、本申请第三方面提供一种电子设备，包括：

31、处理器；以及

32、存储器，其上存储有可执行代码，当所述可执行代码被所述处理器执行时，使所述处理器执行如上所述的方法。

33、本申请第四方面提供一种计算机可读存储介质，其上存储有可执行代码，当所述可执行代码被电子设备的处理器执行时，使所述处理器执行如上所述的方法。

34、本申请提供的技术方案可以包括以下有益效果：

35、本申请的技术方案，根据ecdh算法的第二私钥和第一公钥，获得ecdh算法的对称加密密钥；采用对称加密密钥对注入设备端的业务密钥进行加密；将加密业务密钥、ecdh算法的第一私钥和第二公钥注入设备端；由设备端根据第一私钥和第二公钥获得解密加密业务密钥的对称加密密钥，根据对称加密密钥对加密业务密钥进行解密，获得注入设备端的业务密钥。在业务密钥注入设备端的过程，将加密业务密钥注入设备端，对业务密钥进行加密传输，不对加解密业务密钥的对称加密密钥进行传输，保证业务密钥不会被泄露。

36、应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本申请。

技术特征：

1.一种业务密钥注入方法，其特征在于，包括：

2.根据权利要求1所述的方法，其特征在于，所述将所述加密业务密钥、所述第一私钥和第二公钥发送至所述设备端，以使所述设备端依据所述加密业务密钥、所述第一私钥和第二公钥，获得所述业务密钥，包括：

3.根据权利要求2所述的方法，其特征在于，所述设备端依据所述加密业务密钥、所述第一私钥和第二公钥，获得所述业务密钥，包括：

4.根据权利要求1-3任一项所述的方法，其特征在于，所述生成ecdh算法的第一私钥、第一公钥、第二私钥和第二公钥，包括：

5.根据权利要求4所述的方法，其特征在于，所述根据所述第二私钥和第一公钥，获得ecdh算法的对称加密密钥，包括：

6.根据权利要求5所述的方法，其特征在于，所述采用所述对称加密密钥对注入设备端的业务密钥进行加密，获得加密业务密钥，包括：

7.根据权利要求6所述的方法，其特征在于，所述将所述加密业务密钥、所述第一私钥和第二公钥发送至所述设备端，以使所述设备端依据所述加密业务密钥、所述第一私钥和第二公钥，获得所述业务密钥，包括：

8.一种业务密钥注入装置，其特征在于，包括：

9.一种电子设备，其特征在于，包括：

10.一种计算机可读存储介质，其特征在于：其上存储有可执行代码，当所述可执行代码被电子设备的处理器执行时，使所述处理器执行如权利要求1-7中任一项所述的方法。

技术总结
本申请涉及一种业务密钥注入方法、装置、设备及存储介质。该方法首先生成ECDH算法的第一私钥、第一公钥、第二私钥和第二公钥；然后根据所述第二私钥和第一公钥，获得ECDH算法的对称加密密钥；采用所述对称加密密钥对注入设备端的业务密钥进行加密，获得加密业务密钥；最后将所述加密业务密钥、所述第一私钥和第二公钥发送至所述设备端，以使所述设备端依据所述加密业务密钥、所述第一私钥和第二公钥，获得所述业务密钥。本申请提供的方案，能够在业务密钥注入设备端的过程，对业务密钥进行加密传输，保证业务密钥不会被泄露。

技术研发人员：于海滨
受保护的技术使用者：广州小鹏自动驾驶科技有限公司
技术研发日：
技术公布日：2024/1/16