一種數據發送的方法及設備，涉及終端技術領域，其中該方法包括：終端接收CA簽發的設備證書，并生成第一密鑰對，向第一證書服務器發送第一證書注冊請求，并在接收第一證書服務器發送的第一證書，且第一證書與設備證書不同。終端針對第一應用生成第二密鑰對。終端使用第一私鑰簽發針對第一應用的應用證書，并將應用證書發送給第一應用對應的第一應用服務器。終端使用第二私鑰對待發送給第一應用服務器的數據進行簽名，并將簽名后的數據發送給第一應用服務器。這種技術方案有助于提高數據傳輸的可靠性、不可抵賴性和安全性的同時，而且有助于避免向應用提供商泄露設備商的終端產品的制造周期和產能等敏感信息。

本申請中要求在2018年01月27日提交中國專利局、申請號為201810080311.1、申請名稱為“一種密鑰分發管理方法、終端和服務器”的中國專利申請的優先權，以及要求在2017年10月09日提交中國專利局、申請號為201710931102.9、申請名稱為“一種基于證書鏈的終端密鑰分發與管理方法和裝置”的中國專利申請的優先權，其全部內容通過引用結合在本申請中。

技術領域

本申請涉及終端技術領域，特別涉及一種數據發送的方法及設備。

背景技術

隨著終端硬件技術的發展，生物特征技術得以在終端上實現，大大提高了用戶操作的便捷性。例如，指紋認證技術可以基于內置在終端中的指紋傳感器實現。再例如，人臉識別認證技術可以基于終端上的攝像頭實現。又例如，聲紋識別認證技術可以基于終端上的麥克風實現。

其中，生物認證技術作為一種身份認證的手段，可以應用于互聯網服務、安防、交通等領域。例如，如圖1所示，為將指紋認證技術應用于移動支付領域的應用場景的示意圖。用戶在使用終端上安裝的支付類應用(例如支付寶)完成一筆在線支付時，需要輸入用戶的指紋進行身份驗證，以保證資金的安全性。具體的，終端在通過指紋傳感器檢測到指紋后，對指紋傳感器檢測到的指紋進行驗證，并將驗證結果發送到應用服務器。應用服務器若確定驗證結果指示終端的驗證通過，則向終端發送在線支付服務授權成功響應，從而使得用戶可以使用終端完成在線支付。但是，應用服務器若確定驗證結果指示終端的驗證不通過，則向終端發送在線支付服務授權失敗響應，從而限制終端使用在線支付服務，導致用戶使用終端在線支付失敗。

為了確保驗證結果在從終端發送給應用服務器的過程中完整性、不可抵賴性得以滿足，需要針對應用的客戶端和服務器建立一個可信通道。其中針對應用的客戶端指的是安裝在終端上的應用。現有技術中，終端在可信執行環境(trust execution environment，TEE)生成并保存針對應用的非對稱密鑰對，針對應用的非對稱密鑰對包括針對應用的公鑰和針對應用的私鑰。以下將針對應用的公鑰簡稱為應用公鑰，將針對應用的私鑰簡稱為應用私鑰。終端將應用公鑰發送給應用服務器，應用服務器在接收到應用公鑰后，保存應用公鑰。從而使得終端和應用服務器之間針對應用的客戶端和服務器建立了一個可信的通道。若終端需要將驗證結果發送給應用服務器，則終端向應用服務器發送使用應用私鑰對驗證結果的簽名以及驗證結果，應用服務器可以使用應用公鑰對簽名進行驗證，若驗證通過，則確認驗證結果有效，否則確定驗證結果無效。在驗證結果有效的情況下，進一步對驗證結果進行判斷。

但是，如何保證應用公鑰從終端發送給應用服務器的過程中完整性、不可抵賴性得以滿足。現有技術中，可以使用設備私鑰和設備公鑰建立終端與應用服務器之間的可信通道，來發送應用公鑰。具體的，終端可以將使用設備私鑰對應用公鑰的簽名以及應用公鑰發送給應用服務器。應用服務器在接收到使用設備私鑰對應用公鑰的簽名以及應用公鑰后，使用設備公鑰對上述簽名進行驗證，若驗證通過，則應用服務器存儲應用公鑰，若驗證不通過，則應用服務器可以向終端發送重新獲取應用公鑰的請求。其中設備私鑰和設備公鑰可以為一對密鑰，且設備公鑰為在終端生產階段由生產服務器(設備商)提供給應用服務器(應用服務提供商)的。出于對安全的考慮，一般情況下，每臺終端對應一對設備公私鑰，則設備商需要在生產階段將每臺終端對應的設備公鑰提供給應用服務提供商，容易導致泄露設備商的終端產品的制造周期和產能等敏感信息。

發明內容