[发明专利]密钥管理方法、装置、系统、存储介质和计算机设备

权利要求书

1.一种密钥管理方法，应用于生物认证标准中，包括：

在终端出厂前，通过运行在所述终端的本地的安全区域中的安全应用，生成包括设备公钥和设备私钥的设备密钥；所述安全区域是终端中独立于操作系统的可信执行环境；

将本地的设备参数和所述设备公钥发送至证书认证服务器；所述证书认证服务器是负责发放和管理数字证书的权威机构，并作为电子商务交易中受信任的第三方，承担公钥体系中公钥合法性检验的责任；

接收所述证书认证服务器反馈的设备证书；所述设备证书的签名数据，通过所述证书认证服务器的认证私钥对所述设备参数和所述设备公钥签名生成；

将所述设备私钥和所述设备证书存储于所述安全区域中的安全存储区域。

2.根据权利要求1所述的方法，其特征在于，所述方法还包括：

当获取到通过运行于本地的应用所触发的应用密钥生成指令时，在所述安全区域生成所述应用的应用密钥；所述应用密钥包括应用公钥和应用私钥；

在所述安全区域，通过所述设备私钥对所述应用的应用参数和所述应用公钥进行签名，生成所述应用的应用证书；

将所述应用私钥和所述应用证书对应存储于所述安全区域。

3.根据权利要求2所述的方法，其特征在于，所述通过所述设备私钥对所述应用的应用参数和所述应用公钥进行签名，生成所述应用的应用证书，包括：

获取所述应用的应用参数和所述应用公钥的摘要信息；

通过所述设备私钥加密所述摘要信息得到签名数据；

根据加密得到的所述签名数据生成所述应用的应用证书。

4.根据权利要求2所述的方法，其特征在于，所述方法还包括：

获取包括所述认证私钥所对应认证公钥的认证证书；

将所述认证证书、所述设备证书和所述应用证书作为所述应用的证书链；

将所述证书链存储于所述安全区域。

5.根据权利要求4所述的方法，其特征在于，所述方法还包括：

在接收到通过所述应用所触发的生物认证授权请求时，生成与所述应用对应的应用证书验证请求；

将所述应用的证书链与所述应用证书验证请求，对应发送至所述应用所对应的应用服务器；

当所述应用服务器存储有所述认证证书时，接收所述应用服务器根据所述应用服务器上存储的认证证书对接收到的证书链进行验证后反馈的验证结果；

当所述验证结果表示验证通过时，授予所述应用进行生物认证的权限。

6.根据权利要求5所述的方法，其特征在于，所述方法还包括：

当所述应用服务器未存储有所述认证证书时，接收所述应用服务器所反馈的、通过安全信道从所述证书认证服务器获取到的验证结果；所述验证结果由所述证书认证服务器在通过所述安全信道接收到所述应用服务器上传的所述证书链后，根据所述证书认证服务器上存储的认证证书对所述证书链验证得到。

7.一种证书验证方法，包括：

接收终端发送的应用证书验证请求；

获取所述终端发送的对应于所述应用证书验证请求的证书链；所述证书链在所述终端出厂前，预先存储于所述终端的本地的安全区域中；所述证书链包括认证证书、设备证书和应用证书；所述认证证书所对应的认证私钥用于签名生成所述设备证书的签名数据，所述认证证书的认证公钥用于解密所述设备证书的签名数据；所述设备证书所对应的设备私钥用于签名生成所述应用证书的签名数据，所述设备证书的设备公钥用于解密所述应用证书的签名数据；所述设备私钥和设备公钥，是在所述终端出厂前，通过运行在所述终端的本地的安全区域中的安全应用生成；所述设备证书和所述设备私钥，是在所述终端出厂前存储在所述终端的本地的安全区域中；

在本地存在与所述证书链中的认证证书一致的认证证书时，根据所述证书链中的认证证书中的认证公钥验证所述设备证书和所述应用证书；

当设备证书和应用证书均验证通过时，反馈表示验证通过的验证结果。