[发明专利]一种数据发送的方法及设备

说明书

一种数据发送的方法及设备，涉及终端技术领域，其中该方法包括：终端接收CA签发的设备证书，并生成第一密钥对，向第一证书服务器发送第一证书注册请求，并在接收第一证书服务器发送的第一证书，且第一证书与设备证书不同。终端针对第一应用生成第二密钥对。终端使用第一私钥签发针对第一应用的应用证书，并将应用证书发送给第一应用对应的第一应用服务器。终端使用第二私钥对待发送给第一应用服务器的数据进行签名，并将签名后的数据发送给第一应用服务器。这种技术方案有助于提高数据传输的可靠性、不可抵赖性和安全性的同时，而且有助于避免向应用提供商泄露设备商的终端产品的制造周期和产能等敏感信息。

本申请中要求在2018年01月27日提交中国专利局、申请号为201810080311.1、申请名称为“一种密钥分发管理方法、终端和服务器”的中国专利申请的优先权，以及要求在2017年10月09日提交中国专利局、申请号为201710931102.9、申请名称为“一种基于证书链的终端密钥分发与管理方法和装置”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请涉及终端技术领域，特别涉及一种数据发送的方法及设备。

背景技术

随着终端硬件技术的发展，生物特征技术得以在终端上实现，大大提高了用户操作的便捷性。例如，指纹认证技术可以基于内置在终端中的指纹传感器实现。再例如，人脸识别认证技术可以基于终端上的摄像头实现。又例如，声纹识别认证技术可以基于终端上的麦克风实现。

其中，生物认证技术作为一种身份认证的手段，可以应用于互联网服务、安防、交通等领域。例如，如图1所示，为将指纹认证技术应用于移动支付领域的应用场景的示意图。用户在使用终端上安装的支付类应用(例如支付宝)完成一笔在线支付时，需要输入用户的指纹进行身份验证，以保证资金的安全性。具体的，终端在通过指纹传感器检测到指纹后，对指纹传感器检测到的指纹进行验证，并将验证结果发送到应用服务器。应用服务器若确定验证结果指示终端的验证通过，则向终端发送在线支付服务授权成功响应，从而使得用户可以使用终端完成在线支付。但是，应用服务器若确定验证结果指示终端的验证不通过，则向终端发送在线支付服务授权失败响应，从而限制终端使用在线支付服务，导致用户使用终端在线支付失败。

为了确保验证结果在从终端发送给应用服务器的过程中完整性、不可抵赖性得以满足，需要针对应用的客户端和服务器建立一个可信通道。其中针对应用的客户端指的是安装在终端上的应用。现有技术中，终端在可信执行环境(trust execution environment，TEE)生成并保存针对应用的非对称密钥对，针对应用的非对称密钥对包括针对应用的公钥和针对应用的私钥。以下将针对应用的公钥简称为应用公钥，将针对应用的私钥简称为应用私钥。终端将应用公钥发送给应用服务器，应用服务器在接收到应用公钥后，保存应用公钥。从而使得终端和应用服务器之间针对应用的客户端和服务器建立了一个可信的通道。若终端需要将验证结果发送给应用服务器，则终端向应用服务器发送使用应用私钥对验证结果的签名以及验证结果，应用服务器可以使用应用公钥对签名进行验证，若验证通过，则确认验证结果有效，否则确定验证结果无效。在验证结果有效的情况下，进一步对验证结果进行判断。

但是，如何保证应用公钥从终端发送给应用服务器的过程中完整性、不可抵赖性得以满足。现有技术中，可以使用设备私钥和设备公钥建立终端与应用服务器之间的可信通道，来发送应用公钥。具体的，终端可以将使用设备私钥对应用公钥的签名以及应用公钥发送给应用服务器。应用服务器在接收到使用设备私钥对应用公钥的签名以及应用公钥后，使用设备公钥对上述签名进行验证，若验证通过，则应用服务器存储应用公钥，若验证不通过，则应用服务器可以向终端发送重新获取应用公钥的请求。其中设备私钥和设备公钥可以为一对密钥，且设备公钥为在终端生产阶段由生产服务器(设备商)提供给应用服务器(应用服务提供商)的。出于对安全的考虑，一般情况下，每台终端对应一对设备公私钥，则设备商需要在生产阶段将每台终端对应的设备公钥提供给应用服务提供商，容易导致泄露设备商的终端产品的制造周期和产能等敏感信息。

发明内容