[发明专利]密钥存储及设备身份认证方法、装置

权利要求书

1.一种密钥存储方法，其特征在于，所述方法包括：

向安全芯片内部导入第一加密密钥；

导出所述第一加密密钥的公钥；

利用所述第一加密密钥的公钥在所述安全芯片外部生成第一会话密钥密文和第一会话密钥句柄；

在所述安全芯片外部生成存储密钥；

采用所述第一会话密钥句柄对所述存储密钥加密，得到存储密文；

将所述第一会话密钥密文和所述存储密文存储至安全芯片内部的可读写存储区；所述第一会话密钥密文导入所述安全芯片可以获取所述第一会话密钥句柄。

2.根据权利要求1所述的密钥存储方法，其特征在于，所述向安全芯片内导入第一加密密钥的步骤包括：

控制安全芯片内部生成并导出第一签名密钥；

采用所述第一签名密钥在所述安全芯片内部生成第二会话密钥，并导出第二会话密钥密文和第二会话密钥句柄；

在所述安全芯片外部生成第二加密密钥；

采用所述第二会话密钥句柄对所述第二加密密钥进行加密，得到第二加密密钥密文；

根据所述第二会话密钥密文和所述第二加密密钥密文生成第一加密密钥；

将所述第一加密密钥导入所述安全芯片内部。

3.一种设备身份认证方法，其特征在于，用于服务器，所述服务器采用权利要求1或2所述的密钥存储方法存储签名私钥；所述方法包括：

接收客户端所发送的客户端证书以及第一加密数据；所述第一加密数据采用服务器的签名公钥加密；

当所述客户端证书验证合法时，从所述安全芯片的可读写存储区获取签名私钥；

采用所述签名私钥对所述第一加密数据进行解密；

当解密成功时，接收所述客户端所发送的签名值；

采用所述客户端证书中的公钥对所述签名值验签；

当验签通过时，确定所述客户端身份认证通过。

4.根据权利要求3所述的设备身份认证方法，其特征在于，所述从所述安全芯片的可读写存储区获取签名私钥的步骤，包括：

从所述安全芯片的可读写存储区获取所述第一会话密钥密文和所述存储密文；

将所述第一会话密钥密文导入所述安全芯片，得到所述第一会话密钥句柄；

采用所述第一会话密钥句柄对所述存储密文解密，得到所述存储密钥作为所述服务器的签名私钥。

5.根据权利要求3所述的设备身份认证方法，其特征在于，所述接收所述客户端所发送的客户端证书以及第一加密数据的步骤之前，还包括：

将签名公钥和服务器信息生成证书请求文件；

通过所述证书请求文件向证书认证机构请求获取数字证书；

接收所述证书认证机构所发送的数字证书；

存储所述数字证书。

6.一种密钥存储装置，其特征在于，所述装置包括：

导入单元，用于向安全芯片内部导入第一加密密钥；

导出单元，用于导出所述第一加密密钥的公钥；

第一生成单元，用于利用所述第一加密密钥的公钥在所述安全芯片外部生成第一会话密钥密文和第一会话密钥句柄；

第二生成单元，用于在所述安全芯片外部生成存储密钥；

加密单元，用于采用所述第一会话密钥句柄对所述存储密钥加密，得到存储密文；

第一存储单元，用于将所述第一会话密钥密文和所述存储密文存储至安全芯片内部的可读写存储区；所述第一会话密钥密文导入所述安全芯片可以获取所述第一会话密钥句柄。