本發(fā)明涉及電子技術(shù)領(lǐng)域，尤其涉及一種獲取根密鑰的方法及服務(wù)器。

背景技術(shù)：

當前，終端的信息安全越來越受到用戶和業(yè)界的廣泛關(guān)注，而現(xiàn)在的安全策略的關(guān)鍵是加密技術(shù)。現(xiàn)有技術(shù)提供的一種加密技術(shù)是依賴于終端內(nèi)的硬件平臺，例如，安全芯片。終端可根據(jù)安全芯片的根密鑰(rootkey)以及預(yù)設(shè)的加密算法對需要加密的數(shù)據(jù)進行加密。其中，根密鑰是從安全芯片密鑰派生得到，用于層級密鑰首層的密鑰。

終端在需要使用安全芯片提供的各功能或服務(wù)前，需要預(yù)先從安全芯片廠家服務(wù)器獲取安全芯片根密鑰，由于安全芯片的根密鑰是保證終端信息安全的根本，當根密鑰從廠家服務(wù)器傳輸?shù)浇K端的傳過程中被泄露時，將對終端的信息安全將造成嚴重威脅。

技術(shù)實現(xiàn)要素：

本發(fā)明實施例提供一種獲取根密鑰的方法及服務(wù)器，能夠有效降低根密鑰在傳輸過程中被泄露的風險，提高根密鑰的傳輸安全性，從而提高終端內(nèi)信息安全性。

第一方面，本發(fā)明實施例提供了一種獲取根密鑰的方法，該方法包括：

獲取根密鑰獲取請求信息攜帶的唯一標識；其中，所述根密鑰獲取請求信息由終端發(fā)送，所述唯一標識是所述終端內(nèi)置的安全芯片的唯一標識；

采用第一加密密鑰對所述唯一標識進行加密，并將加密后的唯一標識發(fā)送至所述安全芯片對應(yīng)的服務(wù)商服務(wù)器；

接收所述服務(wù)商服務(wù)器返回的加密后的根密鑰；其中，所述根密鑰是所述服務(wù)商服務(wù)器根據(jù)所述唯一標識、唯一標識與根密鑰的預(yù)設(shè)對應(yīng)關(guān)系得到；

采用第一解密密鑰對所述加密后的根密鑰進行解密，得到所述唯一標識對應(yīng)的根密鑰；

采用第二加密密鑰對所述根密鑰進行加密，并根據(jù)所述根密鑰獲取請求信息攜帶的所述終端的標識將加密后的根密鑰發(fā)送至所述終端；其中，所述加密后的根密鑰用于所述終端通過第二解密密鑰進行解密得到根密鑰。

第二方面，本發(fā)明實施例提供了另一種獲取根密鑰的方法，該方法包括：

獲取管理服務(wù)器發(fā)送的加密后的唯一標識；其中，所述唯一標識由所述管理服務(wù)器從終端發(fā)送的根密鑰獲取請求信息中獲取，所述唯一標識是所述終端內(nèi)置的安全芯片的唯一標識；加密后的唯一標識攜帶所述管理服務(wù)器的標識；

采用預(yù)設(shè)的解密密鑰對所述加密后的唯一標識進行解密得到所述安全芯片的唯一標識；

根據(jù)唯一標識與根密鑰的預(yù)設(shè)對應(yīng)關(guān)系獲取所述唯一標識對應(yīng)的根密鑰；

采用預(yù)設(shè)的加密密鑰對所述根密鑰進行加密，并根據(jù)所述管理服務(wù)器的標識將加密后的根密鑰發(fā)送至所述管理服務(wù)器。

第三方面，本發(fā)明實施例提供了一種服務(wù)器，該服務(wù)器包括：

獲取單元，用于獲取根密鑰獲取請求信息攜帶的唯一標識；其中，所述根密鑰獲取請求信息由終端發(fā)送，所述唯一標識是所述終端內(nèi)置的安全芯片的唯一標識；

第一加密單元，用于采用第一加密密鑰對所述唯一標識進行加密；

第一發(fā)送單元，用于將所述第一加密單元加密后的唯一標識發(fā)送至所述安全芯片對應(yīng)的服務(wù)商服務(wù)器；

接收單元，用于接收所述服務(wù)商服務(wù)器返回的加密后的根密鑰；其中，所述根密鑰是所述服務(wù)商服務(wù)器根據(jù)所述唯一標識、唯一標識與根密鑰的預(yù)設(shè)對應(yīng)關(guān)系得到；

解密單元，用于采用第一解密密鑰對所述加密后的根密鑰進行解密，得到所述唯一標識對應(yīng)的根密鑰；

第二加密單元，用于采用第二加密密鑰對所述根密鑰進行加密；

第二發(fā)送單元，用于根據(jù)所述根密鑰獲取請求信息攜帶的所述終端的標識將所述第二加密單元加密后的根密鑰發(fā)送至所述終端；其中，所述加密后的根密鑰用于所述終端通過第二解密密鑰進行解密得到根密鑰。

第四方面，本發(fā)明實施例提供了另一種服務(wù)器，該服務(wù)器包括：

第一獲取單元，用于獲取管理服務(wù)器發(fā)送的加密后的唯一標識；其中，所述唯一標識由所述管理服務(wù)器從終端發(fā)送的根密鑰獲取請求信息中獲取，所述唯一標識是所述終端內(nèi)置的安全芯片的唯一標識；加密后的唯一標識攜帶所述管理服務(wù)器的標識；

解密單元，用采用預(yù)設(shè)的解密密鑰對所述加密后的唯一標識進行解密得到所述安全芯片的唯一標識；

第二獲取單元，用于根據(jù)唯一標識與根密鑰的預(yù)設(shè)對應(yīng)關(guān)系獲取所述唯一標識對應(yīng)的根密鑰；

加密單元，用于采用預(yù)設(shè)的加密密鑰對所述根密鑰進行加密；

發(fā)送單元，用于根據(jù)所述管理服務(wù)器的標識將所述加密單元加密后的根密鑰發(fā)送至所述管理服務(wù)器。

第五方面，本發(fā)明實施例提供了再一種服務(wù)器，包括處理器、輸入設(shè)備、輸出設(shè)備和存儲器，所述處理器、輸入設(shè)備、輸出設(shè)備和存儲器相互連接，其中，所述存儲器用于存儲支持服務(wù)器執(zhí)行上述方法的計算機程序，所述計算機程序包括程序指令，所述處理器被配置用于調(diào)用所述程序指令，執(zhí)行上述第一方面的方法。

第六方面，本發(fā)明實施例提供了一種計算機可讀存儲介質(zhì)，所述計算機存儲介質(zhì)存儲有計算機程序，所述計算機程序包括程序指令，所述程序指令當被處理器執(zhí)行時使所述處理器執(zhí)行上述第一方面的方法。

第七方面，本發(fā)明實施例提供了又一種服務(wù)器，包括處理器、輸入設(shè)備、輸出設(shè)備和存儲器，所述處理器、輸入設(shè)備、輸出設(shè)備和存儲器相互連接，其中，所述存儲器用于存儲支持服務(wù)器執(zhí)行上述方法的計算機程序，所述計算機程序包括程序指令，所述處理器被配置用于調(diào)用所述程序指令，執(zhí)行上述第二方面的方法。

第八方面，本發(fā)明實施例提供了一種計算機可讀存儲介質(zhì)，所述計算機存儲介質(zhì)存儲有計算機程序，所述計算機程序包括程序指令，所述程序指令當被處理器執(zhí)行時使所述處理器執(zhí)行上述第二方面的方法。

本發(fā)明實施例通過在終端與服務(wù)商服務(wù)器之間的根密鑰傳輸路徑中，增加具有可信執(zhí)行環(huán)境的管理服務(wù)器，終端在需要獲取內(nèi)置的安全芯片對應(yīng)的根密鑰時，通過向管理服務(wù)器發(fā)送攜帶安全芯片的唯一標識的根密鑰獲取請求信息，管理服務(wù)器對該唯一標識進行加密，并將加密后的唯一標識發(fā)送至服務(wù)商服務(wù)器，服務(wù)商服務(wù)器對加密后的唯一標識進行解密，并獲取該唯一標識對應(yīng)的根密鑰，對獲取到的根密鑰進行加密，并將加密后的根密鑰發(fā)送給管理服務(wù)器，管理服務(wù)器對服務(wù)商服務(wù)器發(fā)送的加密后的根密鑰進行解密獲得根密鑰，并將該根密鑰經(jīng)過加密后發(fā)送給終端，以使終端能夠解密該加密的根密鑰得到安全芯片對應(yīng)的根密鑰。由于在獲取根密鑰的過程中，傳輸?shù)陌踩酒奈ㄒ粯俗R及其對應(yīng)的根密鑰均是經(jīng)過加密的，并且加密安全芯片的唯一標識以及解密服務(wù)商服務(wù)器發(fā)送的加密后的根密鑰均在管理服務(wù)器的可信執(zhí)行環(huán)境中進行，因此，能夠有效降低根密鑰在傳輸過程中被泄露的風險，提高根密鑰的傳輸安全性，從而提高終端內(nèi)信息安全性。

附圖說明

為了更清楚地說明本發(fā)明實施例技術(shù)方案，下面將對實施例描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖是本發(fā)明的一些實施例，對于本領(lǐng)域普通技術(shù)人員來講，在不付出創(chuàng)造性勞動的前提下，還可以根據(jù)這些附圖獲得其他的附圖。

圖1是本發(fā)明實施例提供的一種獲取根密鑰的系統(tǒng)的示意圖；

圖2是本發(fā)明實施例提供的一種獲取根密鑰的交互圖；

圖3是本發(fā)明一實施例提供的一種獲取根密鑰的方法的示意流程圖；

圖4是本發(fā)明另一實施例提供的一種獲取根密鑰的方法的示意流程圖；

圖5是本發(fā)明再一實施例提供的一種獲取根密鑰的方法的示意流程圖；

圖6是本發(fā)明又一實施例提供的一種獲取根密鑰的方法的示意流程圖；

圖7是本發(fā)明實施例提供的一種服務(wù)器的示意性框圖；

圖8是本發(fā)明另一實施例提供的一種服務(wù)器示意性框圖；

圖9是本發(fā)明再一實施例提供的一種服務(wù)器的示意性框圖；

圖10是本發(fā)明又一實施例提供的一種服務(wù)器示意性框圖；

圖11是本發(fā)明再一實施例提供的一種服務(wù)器示意性框圖；

圖12是本發(fā)明又一實施例提供的一種服務(wù)器示意性框圖。

具體實施方式

下面將結(jié)合本發(fā)明實施例中的附圖，對本發(fā)明實施例中的技術(shù)方案進行清楚、完整地描述，顯然，所描述的實施例是本發(fā)明一部分實施例，而不是全部的實施例。基于本發(fā)明中的實施例，本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他實施例，都屬于本發(fā)明保護的范圍。

應(yīng)當理解，當在本說明書和所附權(quán)利要求書中使用時，術(shù)語“包括”和“包含”指示所描述特征、整體、步驟、操作、元素和/或組件的存在，但并不排除一個或多個其它特征、整體、步驟、操作、元素、組件和/或其集合的存在或添加。

還應(yīng)當理解，在此本發(fā)明說明書中所使用的術(shù)語僅僅是出于描述特定實施例的目的而并不意在限制本發(fā)明。如在本發(fā)明說明書和所附權(quán)利要求書中所使用的那樣，除非上下文清楚地指明其它情況，否則單數(shù)形式的“一”、“一個”及“該”意在包括復(fù)數(shù)形式。

還應(yīng)當進一步理解，在本發(fā)明說明書和所附權(quán)利要求書中使用的術(shù)語“和/或”是指相關(guān)聯(lián)列出的項中的一個或多個的任何組合以及所有可能組合，并且包括這些組合。

如在本說明書和所附權(quán)利要求書中所使用的那樣，術(shù)語“如果”可以依據(jù)上下文被解釋為“當...時”或“一旦”或“響應(yīng)于確定”或“響應(yīng)于檢測到”。類似地，短語“如果確定”或“如果檢測到[所描述條件或事件]”可以依據(jù)上下文被解釋為意指“一旦確定”或“響應(yīng)于確定”或“一旦檢測到[所描述條件或事件]”或“響應(yīng)于檢測到[所描述條件或事件]”。

具體實現(xiàn)中，本發(fā)明實施例中描述的終端包括但不限于諸如具有觸摸敏感表面(例如，觸摸屏顯示器和/或觸摸板)的移動電話、膝上型計算機或平板計算機之類的其它便攜式設(shè)備。還應(yīng)當理解的是，在某些實施例中，所述設(shè)備并非便攜式通信設(shè)備，而是具有觸摸敏感表面(例如，觸摸屏顯示器和/或觸摸板)的臺式計算機。

在接下來的討論中，描述了包括顯示器和觸摸敏感表面的終端。然而，應(yīng)當理解的是，終端可以包括諸如物理鍵盤、鼠標和/或控制桿的一個或多個其它物理用戶接口設(shè)備。

終端支持各種應(yīng)用程序，例如以下中的一個或多個：繪圖應(yīng)用程序、演示應(yīng)用程序、文字處理應(yīng)用程序、網(wǎng)站創(chuàng)建應(yīng)用程序、盤刻錄應(yīng)用程序、電子表格應(yīng)用程序、游戲應(yīng)用程序、電話應(yīng)用程序、視頻會議應(yīng)用程序、電子郵件應(yīng)用程序、即時消息收發(fā)應(yīng)用程序、鍛煉支持應(yīng)用程序、照片管理應(yīng)用程序、數(shù)碼相機應(yīng)用程序、數(shù)字攝影機應(yīng)用程序、web瀏覽應(yīng)用程序、數(shù)字音樂播放器應(yīng)用程序和/或數(shù)字視頻播放器應(yīng)用程序。

可以在終端上執(zhí)行的各種應(yīng)用程序可以使用諸如觸摸敏感表面的至少一個公共物理用戶接口設(shè)備?？梢栽趹?yīng)用程序之間和/或相應(yīng)應(yīng)用程序內(nèi)調(diào)整和/或改變觸摸敏感表面的一個或多個功能以及終端上顯示的相應(yīng)信息。這樣，終端的公共物理架構(gòu)(例如，觸摸敏感表面)可以支持具有對用戶而言直觀且透明的用戶界面的各種應(yīng)用程序。

請參見圖1，圖1是本發(fā)明實施例提供的一種獲取根密鑰的系統(tǒng)的示意圖。獲取根密鑰的系統(tǒng)包括至少一個終端110、管理服務(wù)器120以及服務(wù)商服務(wù)器130。終端內(nèi)置有安全芯片，且具備可信執(zhí)行環(huán)境(thetrustedexecutionenvironment，tee)；管理服務(wù)器可以是可信服務(wù)管理器，且可信服務(wù)管理器內(nèi)置有安全芯片，具備可信執(zhí)行環(huán)境；服務(wù)商服務(wù)器為安全芯片對應(yīng)的服務(wù)商服務(wù)器，用于為安全芯片實現(xiàn)各預(yù)設(shè)功能提供相應(yīng)的服務(wù)。管理服務(wù)器可分別與終端以及服務(wù)商服務(wù)器進行通信。其中，tee是一個與富操作系統(tǒng)(richos)并行的獨立運行環(huán)境，為富系統(tǒng)提供安全保護。圖1中的終端110、管理服務(wù)器120以及服務(wù)商服務(wù)器130用于執(zhí)行圖2所示的各步驟，具體請參閱圖2及相關(guān)描述。

請參見圖2，圖2是本發(fā)明實施例提供的一種獲取根密鑰的交互圖。如圖2所示的獲取根密鑰的交互圖包括：

s201：終端向管理服務(wù)器發(fā)送根密鑰獲取請求信息；其中，所述根密鑰獲取請求信息攜帶所述終端內(nèi)置的安全芯片的唯一標識以及所述終端的標識。

終端與管理服務(wù)器建立通信連接，且終端需要獲取根密鑰時，向管理服務(wù)器發(fā)送根密鑰獲取請求信息。根密鑰獲取請求信息攜帶終端內(nèi)置的安全芯片的唯一標識以及終端的標識。安全芯片的唯一標識可以是安全芯片出廠時設(shè)置的唯一標識碼sn。終端的標識也是唯一的，終端的標識可以是終端的媒體訪問控制(mediaaccesscontrol或者mediumaccesscontrol，mac)地址，但并不限于此，還可以是其他的用于能夠終端身份的標識。

安全芯片的唯一標識用于服務(wù)商服務(wù)器查找安全芯片的唯一標識對應(yīng)的根密鑰。終端的標識用于管理服務(wù)器向終端發(fā)送安全芯片的唯一標識對應(yīng)的根密鑰。

s202：管理服務(wù)器獲取根密鑰獲取請求信息攜帶的唯一標識；其中，所述根密鑰獲取請求信息由終端發(fā)送，所述唯一標識是所述終端內(nèi)置的安全芯片的唯一標識。

管理服務(wù)器接收終端發(fā)送的根密鑰獲取請求信息，并獲取根密鑰獲取請求信息攜帶的安全芯片的唯一標識，以及終端的標識。

s203：管理服務(wù)器采用第一加密密鑰對所述唯一標識進行加密，并將加密后的唯一標識發(fā)送至所述安全芯片對應(yīng)的服務(wù)商服務(wù)器。

管理服務(wù)器采用預(yù)設(shè)的第一加密密鑰對安全芯片的唯一標識進行加密，并將加密后的唯一標識發(fā)送至安全芯片對應(yīng)的服務(wù)商服務(wù)器。加密后的唯一標識攜帶管理服務(wù)器的標識，管理服務(wù)器的標識用于服務(wù)商服務(wù)器能夠在獲取到安全芯片的唯一標識對應(yīng)的根密鑰時，根據(jù)管理服務(wù)器的標識發(fā)送該獲取到的根密鑰。

其中，管理服務(wù)器可以采用對稱加密技術(shù)對待處理的數(shù)據(jù)進行加密或解密，也可以采用非對稱加密技術(shù)對待處理的數(shù)據(jù)進行加密或解密。非對稱加密技術(shù)采用非對稱加密算法生成一密鑰對，對待處理數(shù)據(jù)進行加密所采用的密鑰與對待處理數(shù)據(jù)進行解密所采用的密鑰不同。對稱加密技術(shù)采用對稱加密算法生成一密鑰，采用同一密鑰對待處理的數(shù)據(jù)進行加密或解密。非對稱加密算法可以是rsa算法、數(shù)字簽名(digitalsignaturealgorithm，dsa)算法、橢圓曲線密碼體制(ellipticcurvecryptosystem，ecc)算法或diffie-hellman算法。

可選地，當管理服務(wù)器以及服務(wù)商服務(wù)器均利用非對稱加密技術(shù)對待處理數(shù)據(jù)進行加密或解密時，s103具體為：管理服務(wù)器通過自身的簽名私鑰對所述唯一標識簽名得到第一唯一標識；采用第一加密公鑰對所述第一唯一標識進行加密得到第二唯一標識；其中，所述第一加密公鑰為所述服務(wù)商服務(wù)器對應(yīng)的加密公鑰；將所述第二唯一標識發(fā)送至所述安全芯片對應(yīng)的服務(wù)商服務(wù)器。

在本實施例中，管理服務(wù)器采用非對稱加密算法對待處理的數(shù)據(jù)進行加密或解密。管理服務(wù)器利用非對稱加密算法生成簽名公鑰以及簽名私鑰這一簽名密鑰對，管理服務(wù)器將簽名公鑰發(fā)送給終端以及安全芯片對應(yīng)的服務(wù)商服務(wù)器。

管理服務(wù)器利用非對稱加密算法生成加密公鑰以及加密私鑰這一加密密鑰對，管理服務(wù)器將加密公鑰發(fā)送給終端以及安全芯片對應(yīng)的服務(wù)商服務(wù)器。

服務(wù)商服務(wù)器對應(yīng)的加密公鑰由服務(wù)商服務(wù)器利用非對稱加密算法生成，服務(wù)商服務(wù)器對應(yīng)的加密公鑰與服務(wù)商服務(wù)器對應(yīng)的加密私鑰為一對加密密鑰。

服務(wù)商服務(wù)器還可以利用非對稱加密算法生成自身的簽名公鑰以及簽名私鑰這一簽名密鑰。同樣地，服務(wù)商服務(wù)器可以將自身的簽名公鑰以及加密公鑰發(fā)送給管理服務(wù)器。

非對稱加密算法實現(xiàn)機密信息交換的基本過程是：甲方生成一對密鑰并將其中的一把作為公用密鑰向其它方公開；得到該公用密鑰的乙方使用該密鑰對機密信息進行加密后再發(fā)送給甲方；甲方再用自己保存的另一把專用密鑰對加密后的機密信息進行解密。另一方面，甲方可以使用乙方的公鑰對機密信息進行簽名后再發(fā)送給乙方；乙方再用自己的私鑰對簽名后的機密數(shù)據(jù)進行驗簽。

管理服務(wù)器通過自身的簽名私鑰對安全芯片的唯一標識簽名得到第一唯一標識；采用第一加密公鑰對第一唯一標識進行加密得到第二唯一標識；其中，第一加密公鑰為服務(wù)商服務(wù)器對應(yīng)的加密公鑰；將第二唯一標識發(fā)送至安全芯片對應(yīng)的服務(wù)商服務(wù)器。管理服務(wù)器可以對唯一標識先簽名再加密，也可以對唯一標識先加密再簽名，此處不做限制。

管理服務(wù)器與服務(wù)商服務(wù)器可以采用專線通信，專線通信的數(shù)據(jù)安全性較高。

s204：服務(wù)商服務(wù)器獲取管理服務(wù)器發(fā)送的加密后的唯一標識；其中，所述唯一標識由所述管理服務(wù)器從終端發(fā)送的根密鑰獲取請求信息中獲取，所述唯一標識是所述終端內(nèi)置的安全芯片的唯一標識；加密后的唯一標識攜帶所述管理服務(wù)器的標識。

s205：服務(wù)商服務(wù)器采用預(yù)設(shè)的解密密鑰對所述加密后的唯一標識進行解密得到所述唯一標識。

服務(wù)商服務(wù)器可以利用對稱加密技術(shù)或非對稱加密技術(shù)對待處理數(shù)據(jù)進行加密或解密。其中，預(yù)設(shè)的解密密鑰與s203中的第一加密密鑰相對應(yīng)。

可選地，當管理服務(wù)器以及服務(wù)商服務(wù)器均利用非對稱加密技術(shù)對待處理數(shù)據(jù)進行加密或解密時，s205可以具體為：服務(wù)商服務(wù)器采用所述管理服務(wù)器對應(yīng)的簽名公鑰對所述管理服務(wù)器發(fā)送的第二唯一標識進行驗簽；其中，所述第二唯一標識為所述加密后的唯一標識；

若驗簽通過，則采用自身的加密私鑰對所述第二唯一標識進行解密得到所述安全芯片的唯一標識。

加密后的唯一標識為s203中管理服務(wù)器發(fā)送的第二唯一標識，由于第二唯一標識是管理服務(wù)器采用管理服務(wù)器生成的第一加密公鑰對第一唯一標識得到，第一唯一標識是管理服務(wù)器采用自身的簽名私鑰對安全芯片的唯一標識簽名得到；服務(wù)商服務(wù)器在獲取到管理服務(wù)器發(fā)送的第二唯一標識時，采用管理服務(wù)器對應(yīng)的簽名公鑰對該第二唯一標識進行驗簽，以驗證該第二唯一標識是否來自管理服務(wù)器。服務(wù)商服務(wù)器對第二唯一標識驗簽通過(即確認第二唯一標識來自管理服務(wù)器)時，采用服務(wù)商服務(wù)器自身的加密私鑰對第二唯一標識進行解密，得到安全芯片對應(yīng)的唯一標識。

自身的加密私鑰是服務(wù)商服務(wù)器的私有密鑰，其他設(shè)備無法獲取到。

對管理服務(wù)器發(fā)送的第二唯一標識進行驗簽是指：解析第二唯一標識攜帶的簽名信息，并識別該簽名信息是否為管理服務(wù)器的簽名信息，從而確認第二唯一標識是否來自管理服務(wù)器。其中，當該簽名信息為管理服務(wù)器的簽名信息時，服務(wù)商服務(wù)器識別為第二唯一標識來自管理服務(wù)器，驗簽成功；當該簽名信息不是管理服務(wù)器的簽名信息或無法解析第二唯一標識攜帶的簽名信息時，服務(wù)商服務(wù)器識別為第二唯一標識不是來自管理服務(wù)器，驗簽失敗。

可以理解的是，若驗簽失敗，則識別為第二唯一標識不是來自于管理服務(wù)器，服務(wù)商服務(wù)器不做任何處理，結(jié)束本次控制流程。

s206：服務(wù)商服務(wù)器根據(jù)唯一標識與根密鑰的預(yù)設(shè)對應(yīng)關(guān)系獲取所述唯一標識對應(yīng)的根密鑰。

服務(wù)商服務(wù)器內(nèi)預(yù)先存儲了唯一標識與根密鑰的預(yù)設(shè)對應(yīng)關(guān)系。唯一標識與根密鑰一一對應(yīng)，即一個唯一標識對應(yīng)一個根密鑰。該唯一標識是安全芯片廠商所生產(chǎn)的所有安全芯片的唯一標識。

可選地，服務(wù)商服務(wù)器保存的根密鑰是已加密的根密鑰。當服務(wù)器根據(jù)安全芯片的唯一標識在數(shù)據(jù)庫中查找到該唯一標識對應(yīng)的已加密的根密鑰時，需要采用約定的解密密碼對已加密的根密鑰進行解密，得到該唯一標識對應(yīng)的根密鑰。約定的解密密碼與服務(wù)商服務(wù)器對根密鑰進行加密時采用的加密密碼相對應(yīng)。

s207：服務(wù)商服務(wù)器采用預(yù)設(shè)的加密密鑰對所述根密鑰進行加密，并根據(jù)所述管理服務(wù)器的標識將加密后的根密鑰發(fā)送至所述管理服務(wù)器。

可選地，當管理服務(wù)器以及服務(wù)商服務(wù)器均利用非對稱加密技術(shù)對待處理數(shù)據(jù)進行加密或解密時，s207可以具體包括：

采用所述管理服務(wù)器對應(yīng)的加密公鑰對所述根密鑰進行加密，得到第一根密鑰；

采用自身的簽名私鑰對所述第一根密鑰進行簽名，得到第二根密鑰；

根據(jù)所述管理服務(wù)器的標識將所述第二根密鑰發(fā)送至所述管理服務(wù)器；其中，所述第二根密鑰用于所述管理服務(wù)器采用服務(wù)商服務(wù)器的簽名公鑰對所述第二根密鑰進行驗簽，并在驗簽通過時，通過所述管理服務(wù)器對應(yīng)的加密私鑰對所述加密的根密鑰進行解密得到所述唯一標識對應(yīng)的根密鑰。

自身的簽名私鑰為服務(wù)商服務(wù)器的簽名私鑰。

由于第二根密鑰是采用服務(wù)商服務(wù)器的簽名私鑰進行簽名得到的，因此，管理服務(wù)器需要采用服務(wù)商服務(wù)器的簽名公鑰對第二根密鑰進行驗簽，以驗證第二根密鑰是否來自服務(wù)商服務(wù)器。

其中，服務(wù)商服務(wù)器可以對獲取到的根密鑰先簽名再加密，也可以對獲取到的根密鑰先加密再簽名，此處不做限制。

s208：管理服務(wù)器接收所述服務(wù)商服務(wù)器返回的加密的根密鑰；其中，所述根密鑰是所述服務(wù)商服務(wù)器根據(jù)所述唯一標識、唯一標識與根密鑰的預(yù)設(shè)對應(yīng)關(guān)系得到。

s209：管理服務(wù)器采用第一解密密鑰對所述加密后的根密鑰進行解密，得到所述唯一標識對應(yīng)的根密鑰。

其中，第一解密密鑰與s207中預(yù)設(shè)的加密密鑰相對應(yīng)。

可選地，當管理服務(wù)器以及服務(wù)商服務(wù)器均利用非對稱加密技術(shù)對待處理數(shù)據(jù)進行加密或解密時，s209具體為：

采用所述服務(wù)商服務(wù)器對應(yīng)的簽名公鑰對所述服務(wù)商服務(wù)器返回的第二根密鑰進行驗簽；其中，所述第二根密鑰為所述加密后的根密鑰；

若驗簽通過，則采用自身的加密私鑰對所述第二根密鑰進行解密得到所述唯一標識對應(yīng)的根密鑰。

加密后的根密鑰為s207中服務(wù)商服務(wù)器發(fā)送的得到第二根密鑰，由于獲取的第二根密鑰是服務(wù)商服務(wù)器采用服務(wù)商服務(wù)器的簽名私鑰對第一根密鑰簽名得到，第一根密鑰是服務(wù)商服務(wù)器采用服務(wù)商服務(wù)器對應(yīng)的加密公鑰對根密鑰進行加密得到；管理服務(wù)器在獲取到第二根密鑰時，采用服務(wù)商服務(wù)器對應(yīng)的簽名公鑰對第二根密鑰進行驗簽，管理服務(wù)器對第二根密鑰驗簽通過(即確認第二根密鑰來自服務(wù)商服務(wù)器)時，采用管理服務(wù)器自身的加密私鑰對第二根密鑰進行解密，得到安全芯片對應(yīng)的根密鑰。

對服務(wù)商服務(wù)器返回的第二根密鑰進行驗簽是指：解析第二根密鑰攜帶的簽名信息，并識別該簽名信息是否為服務(wù)商服務(wù)器的簽名信息，從而確認第二根密鑰是否來自服務(wù)商服務(wù)器。其中，當該簽名信息為服務(wù)商服務(wù)器的簽名信息時，管理服務(wù)器識別為第二根密鑰來自服務(wù)商服務(wù)器，驗簽成功；當該簽名信息不是服務(wù)商服務(wù)器的簽名信息或無法解析第二根密鑰攜帶的簽名信息時，管理服務(wù)器識別為第二唯一標識不是來自服務(wù)商服務(wù)器，驗簽失敗。

可以理解的是，若驗簽失敗，則識別為第二根密鑰不是來自于服務(wù)商服務(wù)器，管理服務(wù)器不做任何處理，結(jié)束本次控制流程。

s210：管理服務(wù)器采用第二加密密鑰對所述根密鑰進行加密，并根據(jù)所述根密鑰獲取請求信息攜帶的所述終端的標識將加密后的根密鑰發(fā)送至所述終端；其中，所述加密后的根密鑰用于所述終端通過第二解密密鑰進行解密得到根密鑰。

第二加密密鑰與第二解密密鑰相對應(yīng)。管理服務(wù)器可由采用對稱加密技術(shù)或非對稱加密技術(shù)待處理數(shù)據(jù)進行加密或解密。

可選地，當管理服務(wù)器以及終端均利用非對稱加密技術(shù)對待處理數(shù)據(jù)進行加密或解密時，s210具體為：管理服務(wù)器還可以采用終端的加密公鑰對解密得到的根密鑰進行加密得到第三根密鑰，再用管理服務(wù)器自身的簽名私鑰對第三根密鑰進行簽名得到第四根密鑰，管理服務(wù)器根據(jù)終端的標識將第四根密鑰發(fā)送給終端。

s211：終端接收管理服務(wù)器發(fā)送的加密后的根密鑰，采用第二解密密鑰對該加密后的根密鑰進行解密，得到根密鑰。

可選地，當管理服務(wù)器以及終端均利用非對稱加密技術(shù)對待處理數(shù)據(jù)進行加密或解密時，s211具體為：終端接收管理服務(wù)器發(fā)送的第四根密鑰，采用管理服務(wù)器的簽名公鑰對第四根密鑰進行驗簽；若驗簽通過，采用終端自身的加密私鑰對第四根密鑰進行解密，得到根密鑰。

由于第四根密鑰是管理服務(wù)器采用管理服務(wù)器自身的簽名私鑰對第三根密鑰進行簽名得到，第三根密鑰是管理服務(wù)器采用終端的加密公鑰進行加密得到；因此，終端在獲取到第四根密鑰時，需要采用管理服務(wù)器的簽名公鑰進行驗簽，在驗簽通過時，采用終端自身的加密私鑰進行解密。

上述方案，在終端與服務(wù)商服務(wù)器之間的根密鑰傳輸路徑中，增加具有可信執(zhí)行環(huán)境的管理服務(wù)器，終端在需要獲取內(nèi)置的安全芯片對應(yīng)的根密鑰時，通過向管理服務(wù)器發(fā)送攜帶安全芯片的唯一標識的根密鑰獲取請求信息，管理服務(wù)器對該唯一標識進行加密，并將加密后的唯一標識發(fā)送至服務(wù)商服務(wù)器，服務(wù)商服務(wù)器對加密后的唯一標識進行解密，并獲取該唯一標識對應(yīng)的根密鑰，對獲取到的根密鑰進行加密，并將加密后的根密鑰發(fā)送給管理服務(wù)器，管理服務(wù)器對服務(wù)商服務(wù)器發(fā)送的加密后的根密鑰進行解密獲得根密鑰，并將該根密鑰經(jīng)過加密后發(fā)送給終端，以使終端能夠解密該加密的根密鑰得到安全芯片對應(yīng)的根密鑰。由于在獲取根密鑰的過程中，傳輸?shù)陌踩酒奈ㄒ粯俗R及其對應(yīng)的根密鑰均是經(jīng)過加密的，并且加密安全芯片的唯一標識以及解密服務(wù)商服務(wù)器發(fā)送的加密后的根密鑰均在管理服務(wù)器的可信執(zhí)行環(huán)境中進行，因此，能夠有效降低根密鑰在傳輸過程中被泄露的風險，提高根密鑰的傳輸安全性，從而提高終端內(nèi)信息安全性。

終端、管理服務(wù)器以及服務(wù)商服務(wù)器均采用非對稱加密技術(shù)進行加密或解密，能夠進一步降低根密鑰在傳輸過程中被泄露的風險。

請參見圖3，圖3是本發(fā)明實施例提供的一種獲取根密鑰的方法的示意流程圖。本實施例中獲取根密鑰的方法的執(zhí)行主體為管理服務(wù)器，管理服務(wù)器可以是可信服務(wù)管理器，且可信服務(wù)管理器內(nèi)置有安全芯片，具備可信執(zhí)行環(huán)境；其中，tee是一個與富操作系統(tǒng)(richos)并行的獨立運行環(huán)境，為富系統(tǒng)提供安全保護。如圖3所示的獲取根密鑰的方法可包括以下步驟：

s301：獲取根密鑰獲取請求信息攜帶的唯一標識；其中，所述根密鑰獲取請求信息由終端發(fā)送，所述唯一標識是所述終端內(nèi)置的安全芯片的唯一標識。

終端與管理服務(wù)器建立通信連接，且終端需要獲取根密鑰時，終端向管理服務(wù)器發(fā)送根密鑰獲取請求信息。根密鑰獲取請求信息攜帶終端內(nèi)置的安全芯片的唯一標識以及終端的標識。安全芯片的唯一標識可以是安全芯片出廠時設(shè)置的唯一標識碼sn。終端的標識也是唯一的，終端的標識可以是終端的媒體訪問控制(mediaaccesscontrol或者mediumaccesscontrol，mac)地址，但并不限于此，還可以是其他的用于能夠終端身份的標識。

安全芯片的唯一標識用于服務(wù)商服務(wù)器查找安全芯片的唯一標識對應(yīng)的根密鑰。終端的標識用于管理服務(wù)器向終端發(fā)送安全芯片的唯一標識對應(yīng)的根密鑰。

管理服務(wù)器獲取根密鑰獲取請求信息攜帶的唯一標識以及終端的標識。

s302：采用第一加密密鑰對所述唯一標識進行加密，并將加密后的唯一標識發(fā)送至所述安全芯片對應(yīng)的服務(wù)商服務(wù)器。

管理服務(wù)器采用預(yù)設(shè)的第一加密密鑰對安全芯片的唯一標識進行加密，并將加密后的唯一標識發(fā)送至安全芯片對應(yīng)的服務(wù)商服務(wù)器。加密后的唯一標識攜帶管理服務(wù)器的標識，管理服務(wù)器的標識用于服務(wù)商服務(wù)器能夠在獲取到安全芯片的唯一標識對應(yīng)的根密鑰時，根據(jù)管理服務(wù)器的標識發(fā)送該獲取到的根密鑰。

其中，管理服務(wù)器可以采用對稱加密技術(shù)對待處理的數(shù)據(jù)進行加密或解密，也可以采用非對稱加密技術(shù)對待處理的數(shù)據(jù)進行加密或解密。非對稱加密技術(shù)采用非對稱加密算法生成一密鑰對，對待處理數(shù)據(jù)進行加密所采用的密鑰與對待處理數(shù)據(jù)進行解密所采用的密鑰不同。對稱加密技術(shù)采用對稱加密算法生成一密鑰，采用同一密鑰對待處理的數(shù)據(jù)進行加密或解密。非對稱加密算法可以是rsa算法、數(shù)字簽名(digitalsignaturealgorithm，dsa)算法、橢圓曲線密碼體制(ellipticcurvecryptosystem，ecc)算法或diffie-hellman算法。

s303：接收所述服務(wù)商服務(wù)器返回的加密后的根密鑰；其中，所述根密鑰是所述服務(wù)商服務(wù)器根據(jù)所述唯一標識、唯一標識與根密鑰的預(yù)設(shè)對應(yīng)關(guān)系得到。

當服務(wù)商服務(wù)器根據(jù)唯一標識與根密鑰的預(yù)設(shè)對應(yīng)關(guān)系得到該安全芯片的唯一標識對應(yīng)的根密鑰，對獲取到的根密鑰進行加密，并將加密后的根密鑰發(fā)送至管理服務(wù)器時，接收所述服務(wù)商服務(wù)器返回的加密后的根密鑰。

s304：采用第一解密密鑰對所述加密后的根密鑰進行解密，得到所述唯一標識對應(yīng)的根密鑰。

管理服務(wù)器在可信執(zhí)行環(huán)境中采用第一解密密鑰對接收到的加密后的根密鑰進行解密，得到安全芯片的唯一標識對應(yīng)的根密鑰。

其中，第一解密密鑰與服務(wù)商服務(wù)器對獲取到的根密鑰進行加密時采用的加密密鑰相對應(yīng)。

s305：采用第二加密密鑰對所述根密鑰進行加密，并根據(jù)所述根密鑰獲取請求信息攜帶的所述終端的標識將加密后的根密鑰發(fā)送至所述終端；其中，所述加密后的根密鑰用于所述終端通過第二解密密鑰進行解密得到根密鑰。

管理服務(wù)器在可信執(zhí)行環(huán)境中采用第二加密密鑰對根密鑰進行加密，并根據(jù)根密鑰獲取請求信息攜帶的終端的標識將加密后的根密鑰發(fā)送至終端，以使得終端在接收到管理服務(wù)器發(fā)送的加密后根密鑰時，采用第二解密密鑰對該加密后根密鑰進行解密得到安全芯片對應(yīng)的根密鑰。第二解密密鑰與第二加密密鑰相對應(yīng)。

上述方案，管理服務(wù)器獲取根密鑰獲取請求信息攜帶的唯一標識；其中，所述根密鑰獲取請求信息由終端發(fā)送，所述唯一標識是所述終端內(nèi)置的安全芯片的唯一標識；采用第一加密密鑰對所述唯一標識進行加密，并將加密后的唯一標識發(fā)送至所述安全芯片對應(yīng)的服務(wù)商服務(wù)器；接收所述服務(wù)商服務(wù)器返回的加密后的根密鑰；其中，所述根密鑰是所述服務(wù)商服務(wù)器根據(jù)所述唯一標識、唯一標識與根密鑰的預(yù)設(shè)對應(yīng)關(guān)系得到；采用第一解密密鑰對所述加密后的根密鑰進行解密，得到所述唯一標識對應(yīng)的根密鑰；采用第二加密密鑰對所述根密鑰進行加密，并根據(jù)所述根密鑰獲取請求信息攜帶的所述終端的標識將加密后的根密鑰發(fā)送至所述終端；其中，所述加密后的根密鑰用于所述終端通過第二解密密鑰進行解密得到根密鑰。由于在獲取根密鑰的過程中，傳輸?shù)陌踩酒奈ㄒ粯俗R及其對應(yīng)的根密鑰均是經(jīng)過加密的，并且加密安全芯片的唯一標識以及解密服務(wù)商服務(wù)器發(fā)送的加密后的根密鑰均在管理服務(wù)器的可信執(zhí)行環(huán)境中進行，因此，能夠有效降低根密鑰在傳輸過程中被泄露的風險，提高根密鑰的傳輸安全性，從而提高終端內(nèi)信息安全性。

請參見圖4，圖4是本發(fā)明另一實施例提供的一種獲取根密鑰的方法的示意流程圖。本實施例中獲取根密鑰的方法的執(zhí)行主體為管理服務(wù)器，管理服務(wù)器可以是可信服務(wù)管理器，且可信服務(wù)管理器內(nèi)置有安全芯片，具備可信執(zhí)行環(huán)境；其中，tee是一個與富操作系統(tǒng)(richos)并行的獨立運行環(huán)境，為富系統(tǒng)提供安全保護。如圖4所示的獲取根密鑰的方法可包括以下步驟：

s401：獲取根密鑰獲取請求信息攜帶的唯一標識；其中，所述根密鑰獲取請求信息由終端發(fā)送，所述唯一標識是所述終端內(nèi)置的安全芯片的唯一標識。

終端與管理服務(wù)器建立通信連接，且終端需要獲取根密鑰時，終端向管理服務(wù)器發(fā)送根密鑰獲取請求信息。根密鑰獲取請求信息攜帶終端內(nèi)置的安全芯片的唯一標識以及終端的標識。安全芯片的唯一標識可以是安全芯片出廠時設(shè)置的唯一標識碼sn。終端的標識也是唯一的，終端的標識可以是終端的媒體訪問控制(mediaaccesscontrol或者mediumaccesscontrol，mac)地址，但并不限于此，還可以是其他的用于能夠終端身份的標識。

安全芯片的唯一標識用于服務(wù)商服務(wù)器查找安全芯片的唯一標識對應(yīng)的根密鑰。終端的標識用于管理服務(wù)器向終端發(fā)送安全芯片的唯一標識對應(yīng)的根密鑰。

管理服務(wù)器獲取根密鑰獲取請求信息攜帶的唯一標識以及終端的標識。

s402：采用第一加密密鑰對所述唯一標識進行加密，并將加密后的唯一標識發(fā)送至所述安全芯片對應(yīng)的服務(wù)商服務(wù)器。

管理服務(wù)器采用預(yù)設(shè)的第一加密密鑰對安全芯片的唯一標識進行加密，并將加密后的唯一標識發(fā)送至安全芯片對應(yīng)的服務(wù)商服務(wù)器。加密后的唯一標識攜帶管理服務(wù)器的標識，管理服務(wù)器的標識用于服務(wù)商服務(wù)器能夠在獲取到安全芯片的唯一標識對應(yīng)的根密鑰時，根據(jù)管理服務(wù)器的標識發(fā)送該獲取到的根密鑰。

其中，管理服務(wù)器可以采用對稱加密技術(shù)對待處理的數(shù)據(jù)進行加密或解密，也可以采用非對稱加密技術(shù)對待處理的數(shù)據(jù)進行加密或解密。非對稱加密技術(shù)采用非對稱加密算法生成一密鑰對，對待處理數(shù)據(jù)進行加密所采用的密鑰與對待處理數(shù)據(jù)進行解密所采用的密鑰不同。對稱加密技術(shù)采用對稱加密算法生成一密鑰，采用同一密鑰對待處理的數(shù)據(jù)進行加密或解密。非對稱加密算法可以是rsa算法、數(shù)字簽名(digitalsignaturealgorithm，dsa)算法、橢圓曲線密碼體制(ellipticcurvecryptosystem，ecc)算法或diffie-hellman算法。

可選地，當管理服務(wù)器利用非對稱加密技術(shù)對待處理數(shù)據(jù)進行加密時，s402可以包括s4021～s4023。

s4021：通過自身的簽名私鑰對所述唯一標識簽名得到第一唯一標識。

在本實施例中，管理服務(wù)器采用非對稱加密算法對待處理的數(shù)據(jù)進行加密或解密。管理服務(wù)器利用非對稱加密算法生成簽名公鑰以及簽名私鑰這一簽名密鑰對，管理服務(wù)器將簽名公鑰發(fā)送給終端以及安全芯片對應(yīng)的服務(wù)商服務(wù)器。

管理服務(wù)器利用非對稱加密算法生成加密公鑰以及加密私鑰這一加密密鑰對，管理服務(wù)器將加密公鑰發(fā)送給終端以及安全芯片對應(yīng)的服務(wù)商服務(wù)器。

非對稱加密算法實現(xiàn)機密信息交換的基本過程是：甲方生成一對密鑰并將其中的一把作為公用密鑰向其它方公開；得到該公用密鑰的乙方使用該密鑰對機密信息進行加密后再發(fā)送給甲方；甲方再用自己保存的另一把專用密鑰對加密后的機密信息進行解密。另一方面，甲方可以使用乙方的公鑰對機密信息進行簽名后再發(fā)送給乙方；乙方再用自己的私鑰對簽名后的機密數(shù)據(jù)進行驗簽。

管理服務(wù)器通過自身的簽名私鑰對安全芯片的唯一標識簽名得到第一唯一標識。

管理服務(wù)器生成的簽名密鑰對包括簽名公鑰以及簽名私鑰。簽名私鑰是管理服務(wù)器私有密鑰，不對任何其他設(shè)備公開，供管理服務(wù)器對需要向其他設(shè)備發(fā)送的數(shù)據(jù)進行簽名。簽名公鑰提供給與管理服務(wù)器進行數(shù)據(jù)交互的設(shè)備公用，以使其他設(shè)備能夠采用管理服務(wù)器的簽名公鑰對需要發(fā)送給管理服務(wù)器的數(shù)據(jù)進行簽名。

s4022：采用第一加密公鑰對所述第一唯一標識進行加密得到第二唯一標識；其中，所述第一加密公鑰為所述服務(wù)商服務(wù)器對應(yīng)的加密公鑰。

管理服務(wù)器采用服務(wù)商服務(wù)器根據(jù)非對稱加密算法生成的加密密鑰對中的加密公鑰對第一唯一標識進行加密得到第二唯一標識。

服務(wù)商服務(wù)器生成的加密密鑰對包括加密公鑰以及加密私鑰。

加密私鑰為管理服務(wù)器私有的密鑰，不對任何其他設(shè)備公開，管理服務(wù)器采用加密私鑰對需要外發(fā)的數(shù)據(jù)進行加密。加密公鑰提供給與管理服務(wù)器進行數(shù)據(jù)交互的設(shè)備公用，以使其他設(shè)備能夠采用管理服務(wù)器的加密公鑰對需要發(fā)送給管理服務(wù)器的數(shù)據(jù)進行加密。

s4021與s4022不分先后順序執(zhí)行。

s4023：將所述第二唯一標識發(fā)送至所述安全芯片對應(yīng)的服務(wù)商服務(wù)器。

管理服務(wù)器與服務(wù)商服務(wù)器建立專線通信連接，將第二唯一標識發(fā)送至安全芯片對應(yīng)的服務(wù)商服務(wù)器。

s403：接收所述服務(wù)商服務(wù)器返回的加密后的根密鑰；其中，所述根密鑰是所述服務(wù)商服務(wù)器根據(jù)所述唯一標識、唯一標識與根密鑰的預(yù)設(shè)對應(yīng)關(guān)系得到。

當服務(wù)商服務(wù)器根據(jù)唯一標識與根密鑰的預(yù)設(shè)對應(yīng)關(guān)系得到該安全芯片的唯一標識對應(yīng)的根密鑰，對獲取到的根密鑰進行加密，并將加密后的根密鑰發(fā)送至管理服務(wù)器時，管理服務(wù)器接收所述服務(wù)商服務(wù)器返回的加密后的根密鑰。

s404：采用第一解密密鑰對所述加密后的根密鑰進行解密，得到所述唯一標識對應(yīng)的根密鑰。

管理服務(wù)器在可信執(zhí)行環(huán)境中采用第一解密密鑰對接收到的加密后的根密鑰進行解密，得到安全芯片的唯一標識對應(yīng)的根密鑰。

其中，第一解密密鑰與服務(wù)商服務(wù)器對獲取到的根密鑰進行加密時采用的加密密鑰相對應(yīng)。

進一步地，當服務(wù)商服務(wù)器以及管理服務(wù)器利用非對稱加密技術(shù)對待處理數(shù)據(jù)進行加密或解密時，s404可以包括s4041～s4042。

s4041：采用所述服務(wù)商服務(wù)器對應(yīng)的簽名公鑰對所述服務(wù)商服務(wù)器返回的第二根密鑰進行驗簽；其中，所述第二根密鑰為所述加密后的根密鑰。

其中，第二根密鑰是服務(wù)商服務(wù)器采用服務(wù)商服務(wù)器的簽名私鑰對第一根密鑰進行簽名得到，第一根密鑰是服務(wù)商服務(wù)器采用管理服務(wù)器對應(yīng)的加密公鑰對獲取到的根密鑰進行加密得到。

服務(wù)商服務(wù)器還可以利用非對稱加密算法生成自身的簽名公鑰以及簽名私鑰這一簽名密鑰。同樣地，服務(wù)商服務(wù)器可以將自身的簽名公鑰以及加密公鑰發(fā)送給管理服務(wù)器。

由于第二根密鑰是服務(wù)商服務(wù)器采用服務(wù)商服務(wù)器的簽名私鑰對第一根密鑰簽名得到，第一根密鑰是服務(wù)商服務(wù)器采用服務(wù)商服務(wù)器對應(yīng)的加密公鑰對根密鑰進行加密得到；管理服務(wù)器在獲取到第二根密鑰時，在可信執(zhí)行環(huán)境中采用服務(wù)商服務(wù)器對應(yīng)的簽名公鑰對第二根密鑰進行驗簽，從而驗證該第二根密鑰是否來自服務(wù)商服務(wù)器。

對服務(wù)商服務(wù)器返回的第二根密鑰進行驗簽是指：解析第二根密鑰攜帶的簽名信息，并識別該簽名信息是否為服務(wù)商服務(wù)器的簽名信息，從而確認第二根密鑰是否來自服務(wù)商服務(wù)器。其中，當該簽名信息為服務(wù)商服務(wù)器的簽名信息時，管理服務(wù)器識別為第二根密鑰來自服務(wù)商服務(wù)器，驗簽成功；當該簽名信息不是服務(wù)商服務(wù)器的簽名信息或無法解析第二根密鑰攜帶的簽名信息時，管理服務(wù)器識別為第二唯一標識不是來自服務(wù)商服務(wù)器，驗簽失敗。

s4042：若驗簽通過，則采用自身的加密私鑰對所述第二根密鑰進行解密得到所述唯一標識對應(yīng)的根密鑰。

管理服務(wù)器對第二根密鑰驗簽通過(即確認第二根密鑰來自服務(wù)商服務(wù)器)時，采用管理服務(wù)器自身的加密私鑰對第二根密鑰進行解密，得到安全芯片對應(yīng)的根密鑰。

可以理解的是，若驗簽失敗，則識別為第二根密鑰不是來自于服務(wù)商服務(wù)器，管理服務(wù)器不做任何處理，結(jié)束本次控制流程。

s405：采用第二加密密鑰對所述根密鑰進行加密，并根據(jù)所述根密鑰獲取請求信息攜帶的所述終端的標識將加密后的根密鑰發(fā)送至所述終端；其中，所述加密后的根密鑰用于所述終端通過第二解密密鑰進行解密得到根密鑰。

管理服務(wù)器在可信執(zhí)行環(huán)境中采用第二加密密鑰對根密鑰進行加密，并根據(jù)根密鑰獲取請求信息攜帶的終端的標識將加密后的根密鑰發(fā)送至終端，以使得終端在接收到管理服務(wù)器發(fā)送的加密后根密鑰時，采用第二解密密鑰對該加密后根密鑰進行解密得到安全芯片對應(yīng)的根密鑰。第二解密密鑰與第二加密密鑰相對應(yīng)。

進一步地，當管理服務(wù)器以及終端均利用非對稱加密技術(shù)對待處理數(shù)據(jù)進行加密或解密時，s405可以包括s4051～s4053。

s4051：采用所述終端的加密公鑰對所述根密鑰進行加密得到第三根密鑰。

管理服務(wù)器在可信執(zhí)行環(huán)境中，采用終端的加密公鑰對根密鑰進行加密得到第三根密鑰。終端的加密公鑰以及終端的加密私鑰由終端采用非對稱加密算法生成，并將終端的加密公鑰發(fā)送給管理服務(wù)器；終端的加密私鑰為終端的私有密鑰，不發(fā)送給管理服務(wù)器或其他設(shè)備。

s4052：采用自身的簽名私鑰對所述第三根密鑰進行簽名得到第四根密鑰。

管理服務(wù)器在可信執(zhí)行環(huán)境中，采用管理服務(wù)器的簽名私鑰對第三根密鑰進行簽名得到第四根密鑰。

s4053：根據(jù)所述根密鑰獲取請求信息攜帶的所述終端的標識將所述第四根密鑰發(fā)送至所述終端；其中，所述第四根密鑰用于所述終端通過管理服務(wù)器的簽名公鑰驗簽，并在驗簽通過時，采用所述終端的加密私鑰進行解密得到所述唯一標識對應(yīng)的根密鑰。

管理服務(wù)器根據(jù)根密鑰獲取請求信息攜帶的終端的標識將第四根密鑰發(fā)送至終端。由于第四根密鑰是管理服務(wù)器采用管理服務(wù)器自身的簽名私鑰對第三根密鑰進行簽名得到，第三根密鑰是管理服務(wù)器采用終端的加密公鑰進行加密得到；因此，終端在獲取到第四根密鑰時，需要采用管理服務(wù)器的簽名公鑰進行驗簽，在驗簽通過時，采用終端自身的加密私鑰進行解密；在驗簽失敗時，不做任何處理或結(jié)束本次控制流程。

上述方案，管理服務(wù)器獲取根密鑰獲取請求信息攜帶的唯一標識；其中，所述根密鑰獲取請求信息由終端發(fā)送，所述唯一標識是所述終端內(nèi)置的安全芯片的唯一標識；采用第一加密密鑰對所述唯一標識進行加密，并將加密后的唯一標識發(fā)送至所述安全芯片對應(yīng)的服務(wù)商服務(wù)器；接收所述服務(wù)商服務(wù)器返回的加密后的根密鑰；其中，所述根密鑰是所述服務(wù)商服務(wù)器根據(jù)所述唯一標識、唯一標識與根密鑰的預(yù)設(shè)對應(yīng)關(guān)系得到；采用第一解密密鑰對所述加密后的根密鑰進行解密，得到所述唯一標識對應(yīng)的根密鑰；采用第二加密密鑰對所述根密鑰進行加密，并根據(jù)所述根密鑰獲取請求信息攜帶的所述終端的標識將加密后的根密鑰發(fā)送至所述終端；其中，所述加密后的根密鑰用于所述終端通過第二解密密鑰進行解密得到根密鑰。由于在獲取根密鑰的過程中，傳輸?shù)陌踩酒奈ㄒ粯俗R及其對應(yīng)的根密鑰均是經(jīng)過加密的，并且加密安全芯片的唯一標識以及解密服務(wù)商服務(wù)器發(fā)送的加密后的根密鑰均在管理服務(wù)器的可信執(zhí)行環(huán)境中進行，因此，能夠有效降低根密鑰在傳輸過程中被泄露的風險，提高根密鑰的傳輸安全性，從而提高終端內(nèi)信息安全性。

管理服務(wù)器采用非對稱加密技術(shù)進行加密或解密，能夠進一步降低根密鑰在傳輸過程中被泄露的風險。

請參見圖5，圖5是本發(fā)明再一實施例提供的一種獲取根密鑰的方法的示意流程圖。本實施例中獲取根密鑰的方法的執(zhí)行主體為服務(wù)商服務(wù)器，服務(wù)商服務(wù)器為安全芯片對應(yīng)的服務(wù)商服務(wù)器，用于為安全芯片實現(xiàn)各預(yù)設(shè)功能提供相應(yīng)的服務(wù)。管理服務(wù)器可分別與終端以及服務(wù)商服務(wù)器進行通信。如圖5所示的獲取根密鑰的方法可包括以下步驟：

s501：獲取管理服務(wù)器發(fā)送的加密后的唯一標識；其中，所述唯一標識由所述管理服務(wù)器從終端發(fā)送的根密鑰獲取請求信息中獲取，所述唯一標識是所述終端內(nèi)置的安全芯片的唯一標識；加密后的唯一標識攜帶所述管理服務(wù)器的標識。

當管理服務(wù)器在從終端發(fā)送的根密鑰獲取請求信息中，獲取到根密鑰獲取請求信息攜帶的唯一標識，采用預(yù)設(shè)的加密密鑰對該唯一標識進行加密，并將加密后的唯一標識發(fā)送至安全芯片對應(yīng)的服務(wù)商服務(wù)器時，獲取管理服務(wù)器發(fā)送的加密后的唯一標識。加密后的唯一標識攜帶管理服務(wù)器的標識，用于服務(wù)商服務(wù)器向管理服務(wù)器發(fā)送唯一標識對應(yīng)的根密鑰。

唯一標識是終端內(nèi)置的安全芯片的唯一標識。

s502：采用預(yù)設(shè)的解密密鑰對所述加密后的唯一標識進行解密得到所述安全芯片的唯一標識。

服務(wù)商服務(wù)器可以利用對稱加密技術(shù)或非對稱加密技術(shù)對待處理數(shù)據(jù)進行加密或解密。預(yù)設(shè)的解密密鑰與s501中管理服務(wù)器所采用的預(yù)設(shè)的加密密鑰相對應(yīng)。

非對稱加密算法實現(xiàn)機密信息交換的基本過程是：甲方生成一對密鑰并將其中的一把作為公用密鑰向其它方公開；得到該公用密鑰的乙方使用該密鑰對機密信息進行加密后再發(fā)送給甲方；甲方再用自己保存的另一把專用密鑰對加密后的機密信息進行解密。另一方面，甲方可以使用乙方的公鑰對機密信息進行簽名后再發(fā)送給乙方；乙方再用自己的私鑰對簽名后的機密數(shù)據(jù)進行驗簽。

s503：根據(jù)唯一標識與根密鑰的預(yù)設(shè)對應(yīng)關(guān)系獲取所述唯一標識對應(yīng)的根密鑰。

其中，服務(wù)商服務(wù)器內(nèi)預(yù)先存儲了唯一標識與根密鑰的預(yù)設(shè)對應(yīng)關(guān)系。唯一標識與根密鑰一一對應(yīng)，即一個唯一標識對應(yīng)一個根密鑰。該唯一標識是安全芯片廠商所生產(chǎn)的所有安全芯片的唯一標識。

可選地，服務(wù)商服務(wù)器保存的根密鑰是已加密的根密鑰。當服務(wù)器根據(jù)安全芯片的唯一標識在數(shù)據(jù)庫中查找到該唯一標識對應(yīng)的已加密的根密鑰時，需要采用約定的解密密碼對已加密的根密鑰進行解密，得到該唯一標識對應(yīng)的根密鑰。約定的解密密碼與服務(wù)商服務(wù)器對根密鑰進行加密時采用的加密密碼相對應(yīng)。

s504：采用預(yù)設(shè)的加密密鑰對所述根密鑰進行加密，并根據(jù)所述管理服務(wù)器的標識將加密后的根密鑰發(fā)送至所述管理服務(wù)器。

預(yù)設(shè)的加密密鑰可以是服務(wù)商服務(wù)器采用對稱加密算法生成的加密密鑰，也可以是服務(wù)商服務(wù)器采用非對稱加密算法生成的加密密鑰。預(yù)設(shè)的加密密鑰與管理服務(wù)器解密該加密后的根密鑰所采用的解密密鑰相對應(yīng)。

其中，加密后的根密鑰用于管理服務(wù)器采用與預(yù)設(shè)的加密密鑰對應(yīng)的解密密鑰進行解密，得到根密鑰，并采用與終端約定的加密密鑰對根密鑰進行加密，將加密后的根密鑰發(fā)送給終端，從而使得終端能夠采用與管理服務(wù)器約定的解密密鑰解密該接收到的加密的根密鑰，得到安全芯片對應(yīng)的根密鑰。與終端約定的加密密鑰、與管理服務(wù)器約定的解密密鑰兩者相對應(yīng)。再次對約定的加密密鑰以及約定的解密密鑰不做限定。

上述方案，服務(wù)商服務(wù)器獲取管理服務(wù)器發(fā)送的加密后的唯一標識；采用預(yù)設(shè)的解密密鑰對所述加密后的唯一標識進行解密得到所述安全芯片的唯一標識；根據(jù)唯一標識與根密鑰的預(yù)設(shè)對應(yīng)關(guān)系獲取所述唯一標識對應(yīng)的根密鑰；采用預(yù)設(shè)的加密密鑰對所述根密鑰進行加密，并根據(jù)所述管理服務(wù)器的標識將加密后的根密鑰發(fā)送至所述管理服務(wù)器，以使管理服務(wù)器能夠采用與預(yù)設(shè)的加密密鑰對應(yīng)的解密密鑰進行解密，得到根密鑰，并采用與終端約定的加密密鑰對根密鑰進行加密，將加密后的根密鑰發(fā)送給終端，從而使得終端能夠采用與管理服務(wù)器約定的解密密鑰解密該接收到的加密的根密鑰，得到安全芯片對應(yīng)的根密鑰。由于在獲取根密鑰的過程中，傳輸?shù)陌踩酒奈ㄒ粯俗R及其對應(yīng)的根密鑰均是經(jīng)過加密的，并且加密安全芯片的唯一標識以及解密服務(wù)商服務(wù)器發(fā)送的加密后的根密鑰均在管理服務(wù)器的可信執(zhí)行環(huán)境中進行，因此，能夠有效降低根密鑰在傳輸過程中被泄露的風險，提高根密鑰的傳輸安全性，從而提高終端內(nèi)信息安全性。

服務(wù)商服務(wù)器采用非對稱加密技術(shù)進行加密或解密，能夠進一步降低根密鑰在傳輸過程中被泄露的風險。

請參見圖6，圖6是本發(fā)明又一實施例提供的一種獲取根密鑰的方法的示意流程圖。本實施例中獲取根密鑰的方法的執(zhí)行主體為服務(wù)商服務(wù)器，服務(wù)商服務(wù)器為安全芯片對應(yīng)的服務(wù)商服務(wù)器，用于為安全芯片實現(xiàn)各預(yù)設(shè)功能提供相應(yīng)的服務(wù)。管理服務(wù)器可分別與終端以及服務(wù)商服務(wù)器進行通信。如圖6所示的獲取根密鑰的方法可包括以下步驟：

s601：獲取管理服務(wù)器發(fā)送的加密后的唯一標識；其中，所述唯一標識由所述管理服務(wù)器從終端發(fā)送的根密鑰獲取請求信息中獲取，所述唯一標識是所述終端內(nèi)置的安全芯片的唯一標識；加密后的唯一標識攜帶所述管理服務(wù)器的標識。

當管理服務(wù)器在從終端發(fā)送的根密鑰獲取請求信息中，獲取到根密鑰獲取請求信息攜帶的唯一標識，采用預(yù)設(shè)的加密密鑰對該唯一標識進行加密，并將加密后的唯一標識發(fā)送至安全芯片對應(yīng)的服務(wù)商服務(wù)器時，獲取管理服務(wù)器發(fā)送的加密后的唯一標識。加密后的唯一標識攜帶管理服務(wù)器的標識，用于服務(wù)商服務(wù)器向管理服務(wù)器發(fā)送唯一標識對應(yīng)的根密鑰。

唯一標識是終端內(nèi)置的安全芯片的唯一標識。

s6021：采用所述管理服務(wù)器對應(yīng)的簽名公鑰對所述管理服務(wù)器發(fā)送的第二唯一標識進行驗簽；其中，所述第二唯一標識為所述加密后的唯一標識；所述第二唯一標識是所述管理服務(wù)器采用服務(wù)商服務(wù)器對應(yīng)的加密公鑰對第一唯一標識進行加密得到，所述第一唯一標識是所述管理服務(wù)器采用所述管理服務(wù)器的簽名私鑰對所述安全芯片的唯一標識簽名得到。

當管理服務(wù)器以及服務(wù)商服務(wù)器均利用非對稱加密技術(shù)對待處理數(shù)據(jù)進行加密或解密時，由于管理服務(wù)器發(fā)送的加密后的唯一標識是管理服務(wù)器采用管理服務(wù)器的簽名私鑰進行簽名，因此，服務(wù)商服務(wù)器根據(jù)非對稱加密技術(shù)采用管理服務(wù)器對應(yīng)的簽名公鑰對管理服務(wù)器發(fā)送的第二唯一標識進行驗簽，以驗證第二唯一標識是否來自管理服務(wù)器。

其中，非對稱加密算法實現(xiàn)機密信息交換的基本過程是：甲方生成一對密鑰并將其中的一把作為公用密鑰向其它方公開；得到該公用密鑰的乙方使用該密鑰對機密信息進行加密后再發(fā)送給甲方；甲方再用自己保存的另一把專用密鑰對加密后的機密信息進行解密。另一方面，甲方可以使用乙方的公鑰對機密信息進行簽名后再發(fā)送給乙方；乙方再用自己的私鑰對簽名后的機密數(shù)據(jù)進行驗簽。

對管理服務(wù)器發(fā)送的第二唯一標識進行驗簽是指：解析第二唯一標識攜帶的簽名信息，并識別該簽名信息是否為管理服務(wù)器的簽名信息，從而確認第二唯一標識是否來自管理服務(wù)器。其中，當該簽名信息為管理服務(wù)器的簽名信息時，服務(wù)商服務(wù)器識別為第二唯一標識來自管理服務(wù)器，驗簽成功；當該簽名信息不是管理服務(wù)器的簽名信息或無法解析第二唯一標識攜帶的簽名信息時，服務(wù)商服務(wù)器識別為第二唯一標識不是來自管理服務(wù)器，驗簽失敗。

當?shù)诙ㄒ粯俗R來自管理服務(wù)器時，驗簽通過；當?shù)诙ㄒ粯俗R不是來自管理服務(wù)器時，驗簽失敗。

s6022：若驗簽通過，則采用自身的加密私鑰對所述第二唯一標識進行解密得到所述安全芯片的唯一標識。

由于第二唯一標識是管理服務(wù)器采用管理服務(wù)器生成的第一加密公鑰對第一唯一標識得到，第一唯一標識是管理服務(wù)器采用自身的簽名私鑰對安全芯片的唯一標識簽名得到；服務(wù)商服務(wù)器確認對第二唯一標識驗簽通過(即確認第二唯一標識來自管理服務(wù)器)時，服務(wù)商服務(wù)器采用服務(wù)商服務(wù)器自身的加密私鑰對第二唯一標識進行解密，得到安全芯片對應(yīng)的唯一標識。

可以理解的是，若驗簽失敗，則識別為第二唯一標識不是來自于管理服務(wù)器，服務(wù)商服務(wù)器不做任何處理，結(jié)束本次控制流程。

s603：根據(jù)唯一標識與根密鑰的預(yù)設(shè)對應(yīng)關(guān)系獲取所述唯一標識對應(yīng)的根密鑰。

其中，服務(wù)商服務(wù)器內(nèi)預(yù)先存儲了唯一標識與根密鑰的預(yù)設(shè)對應(yīng)關(guān)系。唯一標識與根密鑰一一對應(yīng)，即一個唯一標識對應(yīng)一個根密鑰。該唯一標識是安全芯片廠商所生產(chǎn)的所有安全芯片的唯一標識。

可選地，服務(wù)商服務(wù)器保存的根密鑰是已加密的根密鑰。當服務(wù)器根據(jù)安全芯片的唯一標識在數(shù)據(jù)庫中查找到該唯一標識對應(yīng)的已加密的根密鑰時，需要采用約定的解密密碼對已加密的根密鑰進行解密，得到該唯一標識對應(yīng)的根密鑰。約定的解密密碼與服務(wù)商服務(wù)器對根密鑰進行加密時采用的加密密碼相對應(yīng)。

s6041：采用所述管理服務(wù)器對應(yīng)的加密公鑰對所述根密鑰進行加密，得到第一根密鑰。

服務(wù)商服務(wù)器采用管理服務(wù)器根據(jù)非對稱加密算法生成的加密密鑰對中的加密公鑰對根密鑰進行加密，得到第一根密鑰。管理服務(wù)器生成的加密密鑰對包括加密公鑰以及加密私鑰。加密私鑰為管理服務(wù)器私有的密鑰，不對任何其他設(shè)備公開。加密公鑰提供給與管理服務(wù)器進行數(shù)據(jù)交互的設(shè)備公用，以使其他設(shè)備能夠采用管理服務(wù)器的加密公鑰對需要發(fā)送給管理服務(wù)器的數(shù)據(jù)進行加密。

s6042：采用自身的簽名私鑰對所述第一根密鑰進行簽名，得到第二根密鑰。

服務(wù)商服務(wù)器采用非對稱加密算法生成的簽名密鑰對中的簽名私鑰對第一根密鑰進行簽名，得到第二根密鑰。服務(wù)商服務(wù)器生成的簽名密鑰對包括簽名公鑰以及簽名私鑰。簽名私鑰是服務(wù)商服務(wù)器私有密鑰，不對任何其他設(shè)備公開，供服務(wù)商服務(wù)器簽名使用。簽名公鑰提供給與服務(wù)商服務(wù)器進行數(shù)據(jù)交互的設(shè)備公用，以使其他設(shè)備能夠采用服務(wù)商服務(wù)器的簽名公鑰對需要發(fā)送給服務(wù)商服務(wù)器的數(shù)據(jù)進行簽名。

s6041與s6042不分先后順序執(zhí)行。服務(wù)商服務(wù)器可以對獲取到的根密鑰先簽名再加密，也可以對獲取到的根密鑰先加密再簽名，此處不做限制。

s6043：根據(jù)所述管理服務(wù)器的標識將所述第二根密鑰發(fā)送至所述管理服務(wù)器；其中，所述第二根密鑰用于所述管理服務(wù)器采用服務(wù)商服務(wù)器的簽名公鑰對所述第二根密鑰進行驗簽，并在驗簽通過時，通過所述管理服務(wù)器對應(yīng)的加密私鑰對所述第二根密鑰進行解密得到所述唯一標識對應(yīng)的根密鑰。

第二根密鑰用于管理服務(wù)器采用服務(wù)商服務(wù)器對應(yīng)的簽名公鑰對服務(wù)商服務(wù)器發(fā)送的第二根密鑰進行驗簽，并在驗簽通過時，采用管理服務(wù)器的加密私鑰對第二根密鑰進行解密得到安全芯片的唯一標識對應(yīng)的根密鑰；并采用終端的加密公鑰對解密得到的根密鑰進行加密得到第三根密鑰，再用管理服務(wù)器自身的簽名私鑰對第三根密鑰進行簽名得到第四根密鑰，管理服務(wù)器根據(jù)終端的標識將第四根密鑰發(fā)送給終端，進而使得終端在接收到管理服務(wù)器發(fā)送的第四根密鑰時，采用管理服務(wù)器的簽名公鑰對第四根密鑰進行驗簽；并在驗簽通過時，采用終端自身的加密私鑰對第四根密鑰進行解密，得到根密鑰。

由于第二根密鑰是采用服務(wù)商服務(wù)器的簽名私鑰對第一根密鑰進行簽名得到的，第一根密鑰是服務(wù)商服務(wù)器采用管理服務(wù)器的加密公鑰對根密鑰進行加密得到，因此，管理服務(wù)器在接收到服務(wù)商服務(wù)器發(fā)送的第二根密鑰時，需要采用服務(wù)商服務(wù)器的簽名公鑰對第二根密鑰進行驗簽，以驗證第二根密鑰是否來自服務(wù)商服務(wù)器；并在驗簽通過時，管理服務(wù)器需要采用自身的加密私鑰對驗簽后的第二根密鑰進行解密，得到安全芯片的唯一標識對應(yīng)的根密鑰。

上述方案，服務(wù)商服務(wù)器獲取管理服務(wù)器發(fā)送的加密后的唯一標識；采用預(yù)設(shè)的解密密鑰對所述加密后的唯一標識進行解密得到所述安全芯片的唯一標識；根據(jù)唯一標識與根密鑰的預(yù)設(shè)對應(yīng)關(guān)系獲取所述唯一標識對應(yīng)的根密鑰；采用預(yù)設(shè)的加密密鑰對所述根密鑰進行加密，并根據(jù)所述管理服務(wù)器的標識將加密后的根密鑰發(fā)送至所述管理服務(wù)器，以使管理服務(wù)器能夠采用與預(yù)設(shè)的加密密鑰對應(yīng)的解密密鑰進行解密，得到根密鑰，并采用與終端約定的加密密鑰對根密鑰進行加密，將加密后的根密鑰發(fā)送給終端，從而使得終端能夠采用與管理服務(wù)器約定的解密密鑰解密該接收到的加密的根密鑰，得到安全芯片對應(yīng)的根密鑰。由于在獲取根密鑰的過程中，傳輸?shù)陌踩酒奈ㄒ粯俗R及其對應(yīng)的根密鑰均是經(jīng)過加密的，并且加密安全芯片的唯一標識以及解密服務(wù)商服務(wù)器發(fā)送的加密后的根密鑰均在管理服務(wù)器的可信執(zhí)行環(huán)境中進行，因此，能夠有效降低根密鑰在傳輸過程中被泄露的風險，提高根密鑰的傳輸安全性，從而提高終端內(nèi)信息安全性。

服務(wù)商服務(wù)器采用非對稱加密技術(shù)進行加密或解密，能夠進一步降低根密鑰在傳輸過程中被泄露的風險。

參見圖7，圖7是本發(fā)明實施例提供的一種服務(wù)器的示意性框圖。本實施例的服務(wù)器7為具有可信執(zhí)行環(huán)境的管理服務(wù)器，服務(wù)器7包括的各單元用于執(zhí)行圖3對應(yīng)的實施例中的各步驟，具體請參閱圖3以及圖3對應(yīng)的實施例中的相關(guān)描述，此處不贅述。本實施例的服務(wù)器包括：獲取單元701、第一加密單元702、第一發(fā)送單元703、接收單元704、解密單元705、第二加密單元706以及第二發(fā)送單元707。

獲取單元701用于獲取根密鑰獲取請求信息攜帶的唯一標識；其中，所述根密鑰獲取請求信息由終端發(fā)送，所述唯一標識是所述終端內(nèi)置的安全芯片的唯一標識。

第一加密單元702用于采用第一加密密鑰對所述唯一標識進行加密。

第一發(fā)送單元703用于將所述第一加密單元加密后的唯一標識發(fā)送至所述安全芯片對應(yīng)的服務(wù)商服務(wù)器。

接收單元704用于接收所述服務(wù)商服務(wù)器返回的加密后的根密鑰；其中，所述根密鑰是所述服務(wù)商服務(wù)器根據(jù)所述唯一標識、唯一標識與根密鑰的預(yù)設(shè)對應(yīng)關(guān)系得到。

解密單元705用于采用第一解密密鑰對所述加密后的根密鑰進行解密，得到所述唯一標識對應(yīng)的根密鑰。

第二加密單元706用于采用第二加密密鑰對所述根密鑰進行加密。

第二發(fā)送單元707用于根據(jù)所述根密鑰獲取請求信息攜帶的所述終端的標識將所述第二加密單元加密后的根密鑰發(fā)送至所述終端；其中，所述加密后的根密鑰用于所述終端通過第二解密密鑰進行解密得到根密鑰。

上述方案，管理服務(wù)器獲取根密鑰獲取請求信息攜帶的唯一標識；其中，所述根密鑰獲取請求信息由終端發(fā)送，所述唯一標識是所述終端內(nèi)置的安全芯片的唯一標識；采用第一加密密鑰對所述唯一標識進行加密，并將加密后的唯一標識發(fā)送至所述安全芯片對應(yīng)的服務(wù)商服務(wù)器；接收所述服務(wù)商服務(wù)器返回的加密后的根密鑰；其中，所述根密鑰是所述服務(wù)商服務(wù)器根據(jù)所述唯一標識、唯一標識與根密鑰的預(yù)設(shè)對應(yīng)關(guān)系得到；采用第一解密密鑰對所述加密后的根密鑰進行解密，得到所述唯一標識對應(yīng)的根密鑰；采用第二加密密鑰對所述根密鑰進行加密，并根據(jù)所述根密鑰獲取請求信息攜帶的所述終端的標識將加密后的根密鑰發(fā)送至所述終端；其中，所述加密后的根密鑰用于所述終端通過第二解密密鑰進行解密得到根密鑰。由于在獲取根密鑰的過程中，傳輸?shù)陌踩酒奈ㄒ粯俗R及其對應(yīng)的根密鑰均是經(jīng)過加密的，并且加密安全芯片的唯一標識以及解密服務(wù)商服務(wù)器發(fā)送的加密后的根密鑰均在管理服務(wù)器的可信執(zhí)行環(huán)境中進行，因此，能夠有效降低根密鑰在傳輸過程中被泄露的風險，提高根密鑰的傳輸安全性，從而提高終端內(nèi)信息安全性。

參見圖8，圖8是本發(fā)明另一實施例提供的一種服務(wù)器的示意性框圖。本實施例的服務(wù)器8為具有可信執(zhí)行環(huán)境的管理服務(wù)器，服務(wù)器8包括的各單元用于執(zhí)行圖4對應(yīng)的實施例中的各步驟，具體請參閱圖4以及圖4對應(yīng)的實施例中的相關(guān)描述，此處不贅述。本實施例的服務(wù)器包括：獲取單元801、第一加密單元802、第一發(fā)送單元803、接收單元804、解密單元805、第二加密單元806以及第二發(fā)送單元807。

獲取單元801用于獲取根密鑰獲取請求信息攜帶的唯一標識；其中，所述根密鑰獲取請求信息由終端發(fā)送，所述唯一標識是所述終端內(nèi)置的安全芯片的唯一標識。

第一加密單元802用于采用第一加密密鑰對所述唯一標識進行加密。

可選地，第一加密單元802可以包括簽名單元8021以及加密單元8022；

簽名單元8021用于通過自身的簽名私鑰對所述唯一標識簽名得到第一唯一標識；

加密單元8022用于采用第一加密公鑰對所述第一唯一標識進行加密得到第二唯一標識；其中，所述第一加密公鑰為所述服務(wù)商服務(wù)器對應(yīng)的加密公鑰。

第一發(fā)送單元803用于將所述第一加密單元加密后的唯一標識發(fā)送至所述安全芯片對應(yīng)的服務(wù)商服務(wù)器。

可選地，當?shù)谝患用軉卧?02可以包括第一簽名單元8021以及第一加密單元8022時，第一發(fā)送單元803具體用于將所述第二唯一標識發(fā)送至所述安全芯片對應(yīng)的服務(wù)商服務(wù)器。

接收單元804用于接收所述服務(wù)商服務(wù)器返回的加密后的根密鑰；其中，所述根密鑰是所述服務(wù)商服務(wù)器根據(jù)所述唯一標識、唯一標識與根密鑰的預(yù)設(shè)對應(yīng)關(guān)系得到。

解密單元805用于采用第一解密密鑰對所述加密后的根密鑰進行解密，得到所述唯一標識對應(yīng)的根密鑰。

可選地，解密單元805可以包括驗簽單元8051以及根密鑰解密單元8052；

驗簽單元8051用于采用所述服務(wù)商服務(wù)器對應(yīng)的簽名公鑰對所述服務(wù)商服務(wù)器返回的第二根密鑰進行驗簽；其中，所述第二根密鑰為所述加密后的根密鑰，所述第二根密鑰是服務(wù)商服務(wù)器采用所述服務(wù)商服務(wù)器的簽名私鑰對第一根密鑰進行簽名得到，所述第一根密鑰是所述服務(wù)商服務(wù)器采用管理服務(wù)器對應(yīng)的加密公鑰對獲取到的根密鑰進行加密得到；

根密鑰解密單元8052用于若驗簽單元8051驗簽通過，則采用自身的加密私鑰對所述第二根密鑰進行解密得到所述唯一標識對應(yīng)的根密鑰。

第二加密單元806用于采用第二加密密鑰對所述根密鑰進行加密。

可選地，第二加密單元806可以包括加密單元8061以及簽名單元8062；

加密單元8061用于采用所述終端的加密公鑰對所述根密鑰進行加密得到第三根密鑰；

簽名單元8062用于采用自身的簽名私鑰對所述第三根密鑰進行簽名得到第四根密鑰。

第二發(fā)送單元807用于根據(jù)所述根密鑰獲取請求信息攜帶的所述終端的標識將所述第二加密單元加密后的根密鑰發(fā)送至所述終端；其中，所述加密后的根密鑰用于所述終端通過第二解密密鑰進行解密得到根密鑰。

可選地，當?shù)诙用軉卧?06可以包括加密單元8061以及簽名單元8062時，第二發(fā)送單元807具體用于根據(jù)所述根密鑰獲取請求信息攜帶的所述終端的標識將所述第四根密鑰發(fā)送至所述終端；其中，所述第四根密鑰用于所述終端通過管理服務(wù)器的簽名公鑰驗簽，并在驗簽通過時，采用所述終端的加密私鑰進行解密得到所述唯一標識對應(yīng)的根密鑰。

上述方案，管理服務(wù)器獲取根密鑰獲取請求信息攜帶的唯一標識；其中，所述根密鑰獲取請求信息由終端發(fā)送，所述唯一標識是所述終端內(nèi)置的安全芯片的唯一標識；采用第一加密密鑰對所述唯一標識進行加密，并將加密后的唯一標識發(fā)送至所述安全芯片對應(yīng)的服務(wù)商服務(wù)器；接收所述服務(wù)商服務(wù)器返回的加密后的根密鑰；其中，所述根密鑰是所述服務(wù)商服務(wù)器根據(jù)所述唯一標識、唯一標識與根密鑰的預(yù)設(shè)對應(yīng)關(guān)系得到；采用第一解密密鑰對所述加密后的根密鑰進行解密，得到所述唯一標識對應(yīng)的根密鑰；采用第二加密密鑰對所述根密鑰進行加密，并根據(jù)所述根密鑰獲取請求信息攜帶的所述終端的標識將加密后的根密鑰發(fā)送至所述終端；其中，所述加密后的根密鑰用于所述終端通過第二解密密鑰進行解密得到根密鑰。由于在獲取根密鑰的過程中，傳輸?shù)陌踩酒奈ㄒ粯俗R及其對應(yīng)的根密鑰均是經(jīng)過加密的，并且加密安全芯片的唯一標識以及解密服務(wù)商服務(wù)器發(fā)送的加密后的根密鑰均在管理服務(wù)器的可信執(zhí)行環(huán)境中進行，因此，能夠有效降低根密鑰在傳輸過程中被泄露的風險，提高根密鑰的傳輸安全性，從而提高終端內(nèi)信息安全性。

管理服務(wù)器采用非對稱加密技術(shù)進行加密或解密，能夠進一步降低根密鑰在傳輸過程中被泄露的風險。

參見圖9，圖9是本發(fā)明再一實施例提供的一種服務(wù)器的示意性框圖。本實施例的服務(wù)器9為服務(wù)商管理服務(wù)器，用于為終端內(nèi)置的安全芯片提供服務(wù)。服務(wù)器9包括的各單元用于執(zhí)行圖5對應(yīng)的實施例中的各步驟，具體請參閱圖5以及圖5對應(yīng)的實施例中的相關(guān)描述，此處不贅述。本實施例的服務(wù)器包括：第一獲取單元901、解密單元902、第二獲取單元903、加密單元904以及發(fā)送單元905。

第一獲取單元901用于獲取管理服務(wù)器發(fā)送的加密后的唯一標識；其中，所述唯一標識由所述管理服務(wù)器從終端發(fā)送的根密鑰獲取請求信息中獲取，所述唯一標識是所述終端內(nèi)置的安全芯片的唯一標識；加密后的唯一標識攜帶所述管理服務(wù)器的標識。

解密單元902用采用預(yù)設(shè)的解密密鑰對所述加密后的唯一標識進行解密得到所述安全芯片的唯一標識。

第二獲取單元903用于根據(jù)唯一標識與根密鑰的預(yù)設(shè)對應(yīng)關(guān)系獲取所述唯一標識對應(yīng)的根密鑰。

加密單元904用于采用預(yù)設(shè)的加密密鑰對所述根密鑰進行加密；

發(fā)送單元905用于根據(jù)所述管理服務(wù)器的標識將所述加密單元加密后的根密鑰發(fā)送至所述管理服務(wù)器。

上述方案，服務(wù)商服務(wù)器獲取管理服務(wù)器發(fā)送的加密后的唯一標識；采用預(yù)設(shè)的解密密鑰對所述加密后的唯一標識進行解密得到所述安全芯片的唯一標識；根據(jù)唯一標識與根密鑰的預(yù)設(shè)對應(yīng)關(guān)系獲取所述唯一標識對應(yīng)的根密鑰；采用預(yù)設(shè)的加密密鑰對所述根密鑰進行加密，并根據(jù)所述管理服務(wù)器的標識將加密后的根密鑰發(fā)送至所述管理服務(wù)器，以使管理服務(wù)器能夠采用與預(yù)設(shè)的加密密鑰對應(yīng)的解密密鑰進行解密，得到根密鑰，并采用與終端約定的加密密鑰對根密鑰進行加密，將加密后的根密鑰發(fā)送給終端，從而使得終端能夠采用與管理服務(wù)器約定的解密密鑰解密該接收到的加密的根密鑰，得到安全芯片對應(yīng)的根密鑰。由于在獲取根密鑰的過程中，傳輸?shù)陌踩酒奈ㄒ粯俗R及其對應(yīng)的根密鑰均是經(jīng)過加密的，并且加密安全芯片的唯一標識以及解密服務(wù)商服務(wù)器發(fā)送的加密后的根密鑰均在管理服務(wù)器的可信執(zhí)行環(huán)境中進行，因此，能夠有效降低根密鑰在傳輸過程中被泄露的風險，提高根密鑰的傳輸安全性，從而提高終端內(nèi)信息安全性。

參見圖10，圖10是本發(fā)明又一實施例提供的一種服務(wù)器的示意性框圖。本實施例的服務(wù)器10為服務(wù)商管理服務(wù)器，用于為終端內(nèi)置的安全芯片提供服務(wù)。服務(wù)器10包括的各單元用于執(zhí)行圖6對應(yīng)的實施例中的各步驟，具體請參閱圖6以及圖6對應(yīng)的實施例中的相關(guān)描述，此處不贅述。本實施例的服務(wù)器包括：第一獲取單元1001、解密單元1002、第二獲取單元1003、加密單元1004以及發(fā)送單元1005。解密單元1002包括驗簽單元1021以及唯一標識解密單元1022；加密單元1004包括根密鑰加密單元10041以及簽名單元10042。

第一獲取單元1001用于獲取管理服務(wù)器發(fā)送的加密后的唯一標識；其中，所述唯一標識由所述管理服務(wù)器從終端發(fā)送的根密鑰獲取請求信息中獲取，所述唯一標識是所述終端內(nèi)置的安全芯片的唯一標識；加密后的唯一標識攜帶所述管理服務(wù)器的標識。

解密單元1002的驗簽單元1021用于采用所述管理服務(wù)器對應(yīng)的簽名公鑰對所述管理服務(wù)器發(fā)送的第二唯一標識進行驗簽；其中，所述第二唯一標識為所述加密后的唯一標識；所述第二唯一標識是所述管理服務(wù)器采用服務(wù)商服務(wù)器對應(yīng)的加密公鑰對第一唯一標識進行加密得到，所述第一唯一標識是所述管理服務(wù)器采用所述管理服務(wù)器的簽名私鑰對所述安全芯片的唯一標識簽名得到。

解密單元1002的唯一標識解密單元1022用于若驗簽單元1021驗簽通過，則采用自身的加密私鑰對所述第二唯一標識進行解密得到所述安全芯片的唯一標識。

第二獲取單元1003用于根據(jù)唯一標識與根密鑰的預(yù)設(shè)對應(yīng)關(guān)系獲取所述唯一標識對應(yīng)的根密鑰。

加密單元1004的根密鑰加密單元10041用于采用所述管理服務(wù)器對應(yīng)的加密公鑰對所述根密鑰進行加密，得到第一根密鑰。

加密單元1004的簽名單元10042用于采用自身的簽名私鑰對所述第一根密鑰進行簽名，得到第二根密鑰。

發(fā)送單元1005用于根據(jù)所述管理服務(wù)器的標識將所述第二根密鑰發(fā)送至所述管理服務(wù)器；其中，所述第二根密鑰用于所述管理服務(wù)器采用服務(wù)商服務(wù)器的簽名公鑰對所述第二根密鑰進行驗簽，并在驗簽通過時，通過所述管理服務(wù)器對應(yīng)的加密私鑰對所述第二根密鑰進行解密得到所述唯一標識對應(yīng)的根密鑰。

上述方案，服務(wù)商服務(wù)器獲取管理服務(wù)器發(fā)送的加密后的唯一標識；采用所述管理服務(wù)器對應(yīng)的簽名公鑰對所述管理服務(wù)器發(fā)送的第二唯一標識進行驗簽；若驗簽通過，則采用自身的加密私鑰對所述第二唯一標識進行解密得到所述安全芯片的唯一標識；根據(jù)唯一標識與根密鑰的預(yù)設(shè)對應(yīng)關(guān)系獲取所述唯一標識對應(yīng)的根密鑰；采用所述管理服務(wù)器對應(yīng)的加密公鑰對所述根密鑰進行加密，得到第一根密鑰；采用自身的簽名私鑰對所述第一根密鑰進行簽名，得到第二根密鑰；根據(jù)所述管理服務(wù)器的標識將所述第二根密鑰發(fā)送至所述管理服務(wù)器，以使管理服務(wù)器能夠采用自身的加密私鑰對應(yīng)的解密密鑰進行解密，得到根密鑰，并采用終端的加密公鑰對根密鑰進行加密，將加密后的根密鑰發(fā)送給終端，從而使得終端能夠自身的加密私鑰解密該接收到的加密的根密鑰，得到安全芯片對應(yīng)的根密鑰。由于在獲取根密鑰的過程中，傳輸?shù)陌踩酒奈ㄒ粯俗R及其對應(yīng)的根密鑰均是經(jīng)過加密的，并且加密安全芯片的唯一標識以及解密服務(wù)商服務(wù)器發(fā)送的加密后的根密鑰均在管理服務(wù)器的可信執(zhí)行環(huán)境中進行，因此，能夠有效降低根密鑰在傳輸過程中被泄露的風險，提高根密鑰的傳輸安全性，從而提高終端內(nèi)信息安全性。

服務(wù)商服務(wù)器采用非對稱加密技術(shù)進行加密或解密，能夠進一步降低根密鑰在傳輸過程中被泄露的風險。

參見11，圖11是本發(fā)明再一實施例提供的一種服務(wù)器示意框圖。如圖所示的本實施例中的服務(wù)器11可以包括：一個或多個處理器1101；一個或多個輸入設(shè)備1102，一個或多個輸出設(shè)備1103和存儲器1104。上述處理器1101、輸入設(shè)備1102、輸出設(shè)備1103和存儲器1104通過總線1105連接。存儲器1102用于存儲計算機程序，所述計算機程序包括程序指令，處理器1101用于執(zhí)行存儲器1102存儲的程序指令。其中，處理器1101被配置用于調(diào)用所述程序指令執(zhí)行：

獲取根密鑰獲取請求信息攜帶的唯一標識；其中，所述根密鑰獲取請求信息由終端發(fā)送，所述唯一標識是所述終端內(nèi)置的安全芯片的唯一標識；

采用第一加密密鑰對所述唯一標識進行加密，并將加密后的唯一標識發(fā)送至所述安全芯片對應(yīng)的服務(wù)商服務(wù)器；

接收所述服務(wù)商服務(wù)器返回的加密后的根密鑰；其中，所述根密鑰是所述服務(wù)商服務(wù)器根據(jù)所述唯一標識、唯一標識與根密鑰的預(yù)設(shè)對應(yīng)關(guān)系得到；

采用第一解密密鑰對所述加密后的根密鑰進行解密，得到所述唯一標識對應(yīng)的根密鑰；

采用第二加密密鑰對所述根密鑰進行加密，并根據(jù)所述根密鑰獲取請求信息攜帶的所述終端的標識將加密后的根密鑰發(fā)送至所述終端；其中，所述加密后的根密鑰用于所述終端通過第二解密密鑰進行解密得到根密鑰。

進一步地，處理器1101被配置具體用于調(diào)用所述程序指令執(zhí)行：通過自身的簽名私鑰對所述唯一標識簽名得到第一唯一標識；采用第一加密公鑰對所述第一唯一標識進行加密得到第二唯一標識；其中，所述第一加密公鑰為所述服務(wù)商服務(wù)器對應(yīng)的加密公鑰；將所述第二唯一標識發(fā)送至所述安全芯片對應(yīng)的服務(wù)商服務(wù)器。

進一步地，處理器1101被配置具體用于調(diào)用所述程序指令執(zhí)行：

采用所述服務(wù)商服務(wù)器對應(yīng)的簽名公鑰對所述服務(wù)商服務(wù)器返回的第二根密鑰進行驗簽；其中，所述第二根密鑰為所述加密后的根密鑰，所述第二根密鑰是服務(wù)商服務(wù)器采用所述服務(wù)商服務(wù)器的簽名私鑰對第一根密鑰進行簽名得到，所述第一根密鑰是所述服務(wù)商服務(wù)器采用管理服務(wù)器對應(yīng)的加密公鑰對獲取到的根密鑰進行加密得到；

若驗簽通過，則采用自身的加密私鑰對所述第二根密鑰進行解密得到所述唯一標識對應(yīng)的根密鑰。

進一步地，處理器1101被配置具體用于調(diào)用所述程序指令執(zhí)行：

采用所述終端的加密公鑰對所述根密鑰進行加密得到第三根密鑰；

采用自身的簽名私鑰對所述第三根密鑰進行簽名得到第四根密鑰；

根據(jù)所述根密鑰獲取請求信息攜帶的所述終端的標識將所述第四根密鑰發(fā)送至所述終端；其中，所述第四根密鑰用于所述終端通過管理服務(wù)器的簽名公鑰驗簽，并在驗簽通過時，采用所述終端的加密私鑰進行解密得到所述唯一標識對應(yīng)的根密鑰。

應(yīng)當理解，在本發(fā)明實施例中，所稱處理器1101可以是中央處理單元(centralprocessingunit，cpu)，該處理器還可以是其他通用處理器、數(shù)字信號處理器(digitalsignalprocessor，dsp)、專用集成電路(applicationspecificintegratedcircuit，asic)、現(xiàn)成可編程門陣列(field-programmablegatearray，fpga)或者其他可編程邏輯器件、分立門或者晶體管邏輯器件、分立硬件組件等。通用處理器可以是微處理器或者該處理器也可以是任何常規(guī)的處理器等。

輸入設(shè)備1102可以包括觸控板、指紋采傳感器(用于采集用戶的指紋信息和指紋的方向信息)、麥克風等，輸出設(shè)備1103可以包括顯示器(lcd等)、揚聲器等。

該存儲器1104可以包括只讀存儲器和隨機存取存儲器，并向處理器1101提供指令和數(shù)據(jù)。存儲器1104的一部分還可以包括非易失性隨機存取存儲器。例如，存儲器1104還可以存儲設(shè)備類型的信息。

具體實現(xiàn)中，本發(fā)明實施例中所描述的處理器1101、輸入設(shè)備1102、輸出設(shè)備1103可執(zhí)行本發(fā)明實施例提供的獲取根密鑰的方法的第一實施例和第二實施例中所描述的實現(xiàn)方式，也可執(zhí)行本發(fā)明實施例所描述的服務(wù)器的實現(xiàn)方式，在此不再贅述。

進一步地，在本發(fā)明的另一實施例中提供一種計算機可讀存儲介質(zhì)，所述計算機可讀存儲介質(zhì)存儲有計算機程序，所述計算機程序包括程序指令，所述程序指令被處理器執(zhí)行時實現(xiàn)：

獲取根密鑰獲取請求信息攜帶的唯一標識；其中，所述根密鑰獲取請求信息由終端發(fā)送，所述唯一標識是所述終端內(nèi)置的安全芯片的唯一標識；

采用第一加密密鑰對所述唯一標識進行加密，并將加密后的唯一標識發(fā)送至所述安全芯片對應(yīng)的服務(wù)商服務(wù)器；

接收所述服務(wù)商服務(wù)器返回的加密后的根密鑰；其中，所述根密鑰是所述服務(wù)商服務(wù)器根據(jù)所述唯一標識、唯一標識與根密鑰的預(yù)設(shè)對應(yīng)關(guān)系得到；

采用第一解密密鑰對所述加密后的根密鑰進行解密，得到所述唯一標識對應(yīng)的根密鑰；

采用第二加密密鑰對所述根密鑰進行加密，并根據(jù)所述根密鑰獲取請求信息攜帶的所述終端的標識將加密后的根密鑰發(fā)送至所述終端；其中，所述加密后的根密鑰用于所述終端通過第二解密密鑰進行解密得到根密鑰。

可選地，所述計算機程序被處理器執(zhí)行時可以具體實現(xiàn)：

通過自身的簽名私鑰對所述唯一標識簽名得到第一唯一標識；

采用第一加密公鑰對所述第一唯一標識進行加密得到第二唯一標識；其中，所述第一加密公鑰為所述服務(wù)商服務(wù)器對應(yīng)的加密公鑰；

將所述第二唯一標識發(fā)送至所述安全芯片對應(yīng)的服務(wù)商服務(wù)器。

可選地，所述計算機程序被處理器執(zhí)行時可以實現(xiàn)：

采用所述服務(wù)商服務(wù)器對應(yīng)的簽名公鑰對所述服務(wù)商服務(wù)器返回的第二根密鑰進行驗簽；其中，所述第二根密鑰為所述加密后的根密鑰，所述第二根密鑰是服務(wù)商服務(wù)器采用所述服務(wù)商服務(wù)器的簽名私鑰對第一根密鑰進行簽名得到，所述第一根密鑰是所述服務(wù)商服務(wù)器采用管理服務(wù)器對應(yīng)的加密公鑰對獲取到的根密鑰進行加密得到；

若驗簽通過，則采用自身的加密私鑰對所述第二根密鑰進行解密得到所述唯一標識對應(yīng)的根密鑰。

可選地，所述計算機程序被處理器執(zhí)行時還可以實現(xiàn)：采用所述終端的加密公鑰對所述根密鑰進行加密得到第三根密鑰；

采用自身的簽名私鑰對所述第三根密鑰進行簽名得到第四根密鑰；

根據(jù)所述根密鑰獲取請求信息攜帶的所述終端的標識將所述第四根密鑰發(fā)送至所述終端；其中，所述第四根密鑰用于所述終端通過管理服務(wù)器的簽名公鑰驗簽，并在驗簽通過時，采用所述終端的加密私鑰進行解密得到所述唯一標識對應(yīng)的根密鑰。

所述計算機可讀存儲介質(zhì)可以是前述任一實施例所述的管理服務(wù)器的內(nèi)部存儲單元，例如管理服務(wù)器的硬盤或內(nèi)存。所述計算機可讀存儲介質(zhì)也可以是所述管理服務(wù)器的外部存儲設(shè)備，例如所述管理服務(wù)器上配備的插接式硬盤，智能存儲卡(smartmediacard,smc)，安全數(shù)字(securedigital,sd)卡，閃存卡(flashcard)等。進一步地，所述計算機可讀存儲介質(zhì)還可以既包括所述管理服務(wù)器的內(nèi)部存儲單元也包括外部存儲設(shè)備。所述計算機可讀存儲介質(zhì)用于存儲所述計算機程序以及所述管理服務(wù)器所需的其他程序和數(shù)據(jù)。所述計算機可讀存儲介質(zhì)還可以用于暫時地存儲已經(jīng)輸出或者將要輸出的數(shù)據(jù)。

參見12，圖12是本發(fā)明又一實施例提供的一種服務(wù)器示意框圖。如圖所示的本實施例中的服務(wù)器12可以包括：一個或多個處理器1201；一個或多個輸入設(shè)備1202，一個或多個輸出設(shè)備1203和存儲器1204。上述處理器1201、輸入設(shè)備1202、輸出設(shè)備1203和存儲器1204通過總線1205連接。存儲器1202用于存儲計算機程序，所述計算機程序包括程序指令，處理器1201用于執(zhí)行存儲器1202存儲的程序指令。其中，處理器1201被配置用于調(diào)用所述程序指令執(zhí)行：

獲取管理服務(wù)器發(fā)送的加密后的唯一標識；其中，所述唯一標識由所述管理服務(wù)器從終端發(fā)送的根密鑰獲取請求信息中獲取，所述唯一標識是所述終端內(nèi)置的安全芯片的唯一標識；加密后的唯一標識攜帶所述管理服務(wù)器的標識；

采用預(yù)設(shè)的解密密鑰對所述加密后的唯一標識進行解密得到所述安全芯片的唯一標識；

根據(jù)唯一標識與根密鑰的預(yù)設(shè)對應(yīng)關(guān)系獲取所述唯一標識對應(yīng)的根密鑰；

采用預(yù)設(shè)的加密密鑰對所述根密鑰進行加密，并根據(jù)所述管理服務(wù)器的標識將加密后的根密鑰發(fā)送至所述管理服務(wù)器。

進一步地，處理器1201被配置具體用于調(diào)用所述程序指令執(zhí)行：

采用所述管理服務(wù)器對應(yīng)的簽名公鑰對所述管理服務(wù)器發(fā)送的第二唯一標識進行驗簽；其中，所述第二唯一標識為所述加密后的唯一標識；所述第二唯一標識是所述管理服務(wù)器采用服務(wù)商服務(wù)器對應(yīng)的加密公鑰對第一唯一標識進行加密得到，所述第一唯一標識是所述管理服務(wù)器采用所述管理服務(wù)器的簽名私鑰對所述安全芯片的唯一標識簽名得到；

若驗簽通過，則采用自身的加密私鑰對所述第二唯一標識進行解密得到所述安全芯片的唯一標識；

根據(jù)唯一標識與根密鑰的預(yù)設(shè)對應(yīng)關(guān)系獲取所述唯一標識對應(yīng)的根密鑰；

采用所述管理服務(wù)器對應(yīng)的加密公鑰對所述根密鑰進行加密，得到第一根密鑰；

采用自身的簽名私鑰對所述第一根密鑰進行簽名，得到第二根密鑰；

根據(jù)所述管理服務(wù)器的標識將所述第二根密鑰發(fā)送至所述管理服務(wù)器；其中，所述第二根密鑰用于所述管理服務(wù)器采用服務(wù)商服務(wù)器的簽名公鑰對所述第二根密鑰進行驗簽，并在驗簽通過時，通過所述管理服務(wù)器對應(yīng)的加密私鑰對所述第二根密鑰進行解密得到所述唯一標識對應(yīng)的根密鑰。

應(yīng)當理解，在本發(fā)明實施例中，所稱處理器1101可以是中央處理單元(centralprocessingunit，cpu)，該處理器還可以是其他通用處理器、數(shù)字信號處理器(digitalsignalprocessor，dsp)、專用集成電路(applicationspecificintegratedcircuit，asic)、現(xiàn)成可編程門陣列(field-programmablegatearray，fpga)或者其他可編程邏輯器件、分立門或者晶體管邏輯器件、分立硬件組件等。通用處理器可以是微處理器或者該處理器也可以是任何常規(guī)的處理器等。

輸入設(shè)備1202可以包括觸控板、指紋采傳感器(用于采集用戶的指紋信息和指紋的方向信息)、麥克風等，輸出設(shè)備1203可以包括顯示器(lcd等)、揚聲器等。

該存儲器1204可以包括只讀存儲器和隨機存取存儲器，并向處理器1201提供指令和數(shù)據(jù)。存儲器1204的一部分還可以包括非易失性隨機存取存儲器。例如，存儲器1204還可以存儲設(shè)備類型的信息。

具體實現(xiàn)中，本發(fā)明實施例中所描述的處理器1201、輸入設(shè)備1202、輸出設(shè)備1203可執(zhí)行本發(fā)明實施例提供的獲取根密鑰的方法的第三實施例和第四實施例中所描述的實現(xiàn)方式，也可執(zhí)行本發(fā)明實施例所描述的服務(wù)商服務(wù)器的實現(xiàn)方式，在此不再贅述。

進一步地，在本發(fā)明的另一實施例中提供一種計算機可讀存儲介質(zhì)，所述計算機可讀存儲介質(zhì)存儲有計算機程序，所述計算機程序包括程序指令，所述程序指令被處理器執(zhí)行時實現(xiàn)：

獲取管理服務(wù)器發(fā)送的加密后的唯一標識；其中，所述唯一標識由所述管理服務(wù)器從終端發(fā)送的根密鑰獲取請求信息中獲取，所述唯一標識是所述終端內(nèi)置的安全芯片的唯一標識；加密后的唯一標識攜帶所述管理服務(wù)器的標識；

采用預(yù)設(shè)的解密密鑰對所述加密后的唯一標識進行解密得到所述安全芯片的唯一標識；

根據(jù)唯一標識與根密鑰的預(yù)設(shè)對應(yīng)關(guān)系獲取所述唯一標識對應(yīng)的根密鑰；

采用預(yù)設(shè)的加密密鑰對所述根密鑰進行加密，并根據(jù)所述管理服務(wù)器的標識將加密后的根密鑰發(fā)送至所述管理服務(wù)器。

可選地，所述計算機程序被處理器執(zhí)行時可以具體實現(xiàn)：

采用所述管理服務(wù)器對應(yīng)的簽名公鑰對所述管理服務(wù)器發(fā)送的第二唯一標識進行驗簽；其中，所述第二唯一標識為所述加密后的唯一標識；所述第二唯一標識是所述管理服務(wù)器采用服務(wù)商服務(wù)器對應(yīng)的加密公鑰對第一唯一標識進行加密得到，所述第一唯一標識是所述管理服務(wù)器采用所述管理服務(wù)器的簽名私鑰對所述安全芯片的唯一標識簽名得到；

若驗簽通過，則采用自身的加密私鑰對所述第二唯一標識進行解密得到所述安全芯片的唯一標識；

根據(jù)唯一標識與根密鑰的預(yù)設(shè)對應(yīng)關(guān)系獲取所述唯一標識對應(yīng)的根密鑰；

采用所述管理服務(wù)器對應(yīng)的加密公鑰對所述根密鑰進行加密，得到第一根密鑰；

采用自身的簽名私鑰對所述第一根密鑰進行簽名，得到第二根密鑰；

根據(jù)所述管理服務(wù)器的標識將所述第二根密鑰發(fā)送至所述管理服務(wù)器；其中，所述第二根密鑰用于所述管理服務(wù)器采用服務(wù)商服務(wù)器的簽名公鑰對所述第二根密鑰進行驗簽，并在驗簽通過時，通過所述管理服務(wù)器對應(yīng)的加密私鑰對所述第二根密鑰進行解密得到所述唯一標識對應(yīng)的根密鑰。

所述計算機可讀存儲介質(zhì)可以是前述任一實施例所述的服務(wù)商服務(wù)器的內(nèi)部存儲單元，例如服務(wù)器的硬盤或內(nèi)存。所述計算機可讀存儲介質(zhì)也可以是所述服務(wù)商服務(wù)器的外部存儲設(shè)備，例如所述服務(wù)商服務(wù)器上配備的插接式硬盤，智能存儲卡(smartmediacard,smc)，安全數(shù)字(securedigital,sd)卡，閃存卡(flashcard)等。進一步地，所述計算機可讀存儲介質(zhì)還可以既包括所述服務(wù)商服務(wù)器的內(nèi)部存儲單元也包括外部存儲設(shè)備。所述計算機可讀存儲介質(zhì)用于存儲所述計算機程序以及所述服務(wù)商服務(wù)器所需的其他程序和數(shù)據(jù)。所述計算機可讀存儲介質(zhì)還可以用于暫時地存儲已經(jīng)輸出或者將要輸出的數(shù)據(jù)。

本領(lǐng)域普通技術(shù)人員可以意識到，結(jié)合本文中所公開的實施例描述的各示例的單元及算法步驟，能夠以電子硬件、計算機軟件或者二者的結(jié)合來實現(xiàn)，為了清楚地說明硬件和軟件的可互換性，在上述說明中已經(jīng)按照功能一般性地描述了各示例的組成及步驟。這些功能究竟以硬件還是軟件方式來執(zhí)行，取決于技術(shù)方案的特定應(yīng)用和設(shè)計約束條件。專業(yè)技術(shù)人員可以對每個特定的應(yīng)用來使用不同方法來實現(xiàn)所描述的功能，但是這種實現(xiàn)不應(yīng)認為超出本發(fā)明的范圍。

所屬領(lǐng)域的技術(shù)人員可以清楚地了解到，為了描述的方便和簡潔，上述描述的服務(wù)器和單元的具體工作過程，可以參考前述方法實施例中的對應(yīng)過程，在此不再贅述。

在本申請所提供的幾個實施例中，應(yīng)該理解到，所揭露的服務(wù)器和方法，可以通過其它的方式實現(xiàn)。例如，以上所描述的裝置實施例僅僅是示意性的，例如，所述單元的劃分，僅僅為一種邏輯功能劃分，實際實現(xiàn)時可以有另外的劃分方式，例如多個單元或組件可以結(jié)合或者可以集成到另一個系統(tǒng)，或一些特征可以忽略，或不執(zhí)行。另外，所顯示或討論的相互之間的耦合或直接耦合或通信連接可以是通過一些接口、裝置或單元的間接耦合或通信連接，也可以是電的，機械的或其它的形式連接。

所述作為分離部件說明的單元可以是或者也可以不是物理上分開的，作為單元顯示的部件可以是或者也可以不是物理單元，即可以位于一個地方，或者也可以分布到多個網(wǎng)絡(luò)單元上?？梢愿鶕?jù)實際的需要選擇其中的部分或者全部單元來實現(xiàn)本發(fā)明實施例方案的目的。

另外，在本發(fā)明各個實施例中的各功能單元可以集成在一個處理單元中，也可以是各個單元單獨物理存在，也可以是兩個或兩個以上單元集成在一個單元中。上述集成的單元既可以采用硬件的形式實現(xiàn)，也可以采用軟件功能單元的形式實現(xiàn)。

所述集成的單元如果以軟件功能單元的形式實現(xiàn)并作為獨立的產(chǎn)品銷售或使用時，可以存儲在一個計算機可讀取存儲介質(zhì)中?；谶@樣的理解，本發(fā)明的技術(shù)方案本質(zhì)上或者說對現(xiàn)有技術(shù)做出貢獻的部分，或者該技術(shù)方案的全部或部分可以以軟件產(chǎn)品的形式體現(xiàn)出來，該計算機軟件產(chǎn)品存儲在一個存儲介質(zhì)中，包括若干指令用以使得一臺計算機設(shè)備(可以是個人計算機，服務(wù)器，或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行本發(fā)明各個實施例所述方法的全部或部分步驟。而前述的存儲介質(zhì)包括：u盤、移動硬盤、只讀存儲器(rom，read-onlymemory)、隨機存取存儲器(ram，randomaccessmemory)、磁碟或者光盤等各種可以存儲程序代碼的介質(zhì)。

以上所述，僅為本發(fā)明的具體實施方式，但本發(fā)明的保護范圍并不局限于此，任何熟悉本技術(shù)領(lǐng)域的技術(shù)人員在本發(fā)明揭露的技術(shù)范圍內(nèi)，可輕易想到各種等效的修改或替換，這些修改或替換都應(yīng)涵蓋在本發(fā)明的保護范圍之內(nèi)。因此，本發(fā)明的保護范圍應(yīng)以權(quán)利要求的保護范圍為準。