本申請(qǐng)公開了一種密鑰保護(hù)方法、終端、服務(wù)器及存儲(chǔ)介質(zhì)，能夠降低密鑰被泄漏的風(fēng)險(xiǎn)，提高密鑰的安全性。該方法包括：向加密服務(wù)器發(fā)送認(rèn)證碼；在第一處理器中對(duì)密鑰報(bào)文進(jìn)行解析，得到加密私鑰；在第二處理器中對(duì)所述加密私鑰進(jìn)行準(zhǔn)確性校驗(yàn)及解密，得到明文私鑰；將所述明文私鑰存儲(chǔ)至第二處理器中，生成所述明文私鑰的索引信息；將所述索引信息存儲(chǔ)至所述第一處理器的目標(biāo)目錄中，以指示所述終端與認(rèn)證服務(wù)器進(jìn)行SSL雙向認(rèn)證時(shí)，基于所述索引信息查找所述明文私鑰。

技術(shù)領(lǐng)域

本申請(qǐng)屬于通信安全技術(shù)領(lǐng)域，尤其涉及一種密鑰保護(hù)方法、裝置、設(shè)備及存儲(chǔ)介質(zhì)。

背景技術(shù)

在信息化高度發(fā)達(dá)的今天，信息安全與我們每個(gè)人都息息相關(guān)。其中，基于SecureSocket Layer協(xié)議的雙向認(rèn)證技術(shù)，簡(jiǎn)稱SSL雙向認(rèn)證技術(shù)，是保護(hù)我們傳輸信息的有效方案。

而SSL雙向認(rèn)證技術(shù)通常使用非對(duì)稱加密技術(shù)來實(shí)現(xiàn)不同設(shè)備之間的安全通信。由于私鑰的安全性是非對(duì)稱加密技術(shù)中保證不同設(shè)備之間安全通信的關(guān)鍵，一旦私鑰被不法分子獲取或篡改，則會(huì)導(dǎo)致傳輸報(bào)文泄漏，不同設(shè)備之間通信的安全性就無從談起。因此，如何確保私鑰的安全性是非對(duì)稱加密技術(shù)中安全通信的核心。目前針對(duì)私鑰的保護(hù)，通常是將私鑰進(jìn)行隔離存儲(chǔ)，或者是將私鑰進(jìn)行加密存儲(chǔ)。而對(duì)私鑰進(jìn)行隔離存儲(chǔ)不僅會(huì)增加額外的硬件成本，對(duì)硬件性能要求較高，而且還會(huì)帶來額外的計(jì)算和存儲(chǔ)負(fù)擔(dān)，存在成本較高不利于普遍使用的問題，而對(duì)私鑰進(jìn)行加密存儲(chǔ)的方法會(huì)使操作更為繁瑣，也存在加密口令被泄漏的風(fēng)險(xiǎn)。

發(fā)明內(nèi)容

本申請(qǐng)?zhí)峁┝艘环N密鑰保護(hù)方法、裝置、設(shè)備及存儲(chǔ)介質(zhì)，能夠在不增加硬件性能、額外計(jì)算和存儲(chǔ)負(fù)擔(dān)的情況下，降低密鑰被泄漏的風(fēng)險(xiǎn)，提高密鑰的安全性。

第一方面，本申請(qǐng)?zhí)峁┝艘环N密鑰保護(hù)方法，應(yīng)用于終端，所述方法包括：

向加密服務(wù)器發(fā)送認(rèn)證碼，以指示所述加密服務(wù)器基于所述認(rèn)證碼對(duì)所述終端進(jìn)行權(quán)限驗(yàn)證，并在權(quán)限驗(yàn)證通過后，根據(jù)預(yù)設(shè)的通信協(xié)議生成密鑰報(bào)文，將所述密鑰報(bào)文傳輸至所述終端；在第一處理器中對(duì)所述密鑰報(bào)文進(jìn)行解析，得到加密私鑰；

在第二處理器中對(duì)所述加密私鑰進(jìn)行準(zhǔn)確性校驗(yàn)及解密，得到明文私鑰；

將所述明文私鑰存儲(chǔ)至第二處理器中，生成所述明文私鑰的索引信息；

將所述索引信息存儲(chǔ)至所述第一處理器的目標(biāo)目錄中，以指示所述終端與認(rèn)證服務(wù)器進(jìn)行SSL雙向認(rèn)證時(shí)，基于所述索引信息查找所述明文私鑰。

在一可選的實(shí)現(xiàn)方式中，所述預(yù)設(shè)的通信協(xié)議為安全通信協(xié)議SecureCommunication Protocol，所述秘鑰報(bào)文包括報(bào)文頭、附件信息、校驗(yàn)碼、加密有效信息及報(bào)文尾。

在一可選的實(shí)現(xiàn)方式中，所述第一處理器為應(yīng)用處理器；

在所述第一處理器中對(duì)所述秘鑰報(bào)文進(jìn)行解析，得到加密私鑰，包括：

在所述應(yīng)用處理器中對(duì)所述秘鑰報(bào)文進(jìn)行拆包分析，得到至少兩段預(yù)設(shè)長(zhǎng)度的數(shù)據(jù)包，所述數(shù)據(jù)包包括附加信息；

根據(jù)各個(gè)所述數(shù)據(jù)包的所述附加信息，將各個(gè)所述數(shù)據(jù)包進(jìn)行重新排序組合，得到所述加密私鑰。

在一可選的實(shí)現(xiàn)方式中，所述第二處理器為安全處理器；所述加密私鑰包括加密有效信息和校驗(yàn)碼；

所述在第二處理器中對(duì)所述加密私鑰進(jìn)行準(zhǔn)確性校驗(yàn)及解密，得到明文私鑰，包括：

在所述安全處理器中根據(jù)所述檢驗(yàn)碼對(duì)所述加密有效信息進(jìn)行準(zhǔn)確性校驗(yàn)；

若校驗(yàn)通過，則對(duì)所述有效加密信息進(jìn)行解密，得到所述明文私鑰。

第二方面，本申請(qǐng)?zhí)峁┝艘环N密鑰保護(hù)方法，其特征在于，應(yīng)用于加密服務(wù)器，所述方法包括：

接收終端發(fā)送的認(rèn)證碼；