(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210699449.6 (22)申请日 2022.06.20 (71)申请人 北京紫光展锐通信技 术有限公司 地址 100191 北京市海淀区知春路7号 致真 大厦B座18层 (72)发明人 邢国柱　任仕玖　张寒冰　 (74)专利代理 机构 上海恒锐佳知识产权代理事 务所(普通 合伙) 31286 专利代理师 黄海霞 (51)Int.Cl. H04L 9/08(2006.01) H04L 9/32(2006.01) H04L 9/40(2022.01) (54)发明名称 数据部署方法、 系统、 介质及其终端和设备 (57)摘要 本发明提供了一种数据部署方法、 系统、 介 质及其终端和设备， 该方法包括： 利用预置对称 密钥对终端可信存储空间中的加密公钥进行解 密， 得到密钥对中的公钥； 接收来自部署设备的 第一签名数据； 利用公钥对第一签名数据进行解 密， 得到第一随机数； 利用公钥加密第一随机数 和终端的特征标识， 得到第一加密数据； 将第一 加密数据发送至部署设备， 第一加密数据用于验 证终端是否为合法终端； 接收来自部署设备的第 二签名数据， 对第二签名数据进行验签， 当验签 通过， 从第二签名数据中解密得到敏感数据。 本 发明通过所述部署设备与所述终端的双向认证， 实现对敏感信息的部署， 降低了对终端存储空间 的要求， 便 于加密公钥的替换。 权利要求书2页 说明书7页 附图5页 CN 115174050 A 2022.10.11 CN 115174050 A 1.一种数据部署方法， 其特 征在于， 包括： 利用预置对称密钥对所述终端可信存储空间中的加密公钥进行解密， 得到密钥对中的 公钥； 接收来自部署设备的第一签名数据； 利用所述公钥对所述第一签名数据进行验签并解密， 得到第一随机数； 利用所述公钥加密所述第一随机数和所述终端的特 征标识， 得到第一加密数据； 将所述第一加密数据发送至所述部署设备， 所述第 一加密数据用于验证所述终端是否 为合法终端； 接收来自所述部署设备的第二签名数据； 对所述第二签名数据进行验签， 当验签通过， 从所述第二签名数据中解密得到敏感数 据。 2.根据权利要求1所述的方法， 其特征在于， 所述对称密钥预先部署到芯片的安全存储 区域， 所述芯片安装于所述终端。 3.根据权利要求1所述的方法， 其特征在于， 所述公钥是以密文形式保存到所述终端可 信存储空间的镜像文件中。 4.根据权利要求1所述的方法， 其特征在于， 所述利用所述公钥加密所述第 一随机数和 所述终端的特 征标识， 得到第一加密数据， 包括： 将所述第一随机数和所述特 征标识进行 数据拼接， 得到拼接数据； 利用所述公钥加密所述 拼接数据， 得到所述第一加密数据。 5.一种数据部署方法， 应用于 部署设备， 其特 征在于， 所述方法包括： 生成第一随机数， 以及利用 密钥对中的私钥签名并加密所述第一随机数， 得到第一签 名数据； 将所述第一签名数据发送至终端； 接收来自所述终端的第一加密数据； 解密所述第一加密数据， 得到第二随机数和特 征标识； 当所述第一随机数和所述第 二随机数相同， 以及在标识数据库中匹配到所述特征标识 时， 确定所述终端为 合法终端； 利用所述私钥加密 传输密钥和敏感数据明文， 得到加密 传输密钥和敏感数据密文； 将所述敏感数据明文和所述敏感数据密文拼接， 形成敏感数据块； 将所述敏感数据块和所述加密 传输密钥进行密文签名后拼接， 得到第二签名数据； 将所述第二签名数据发送至所述终端。 6.根据权利要求5所述的方法， 其特 征在于， 所述利用第三随机数生成所述传输密钥。 7.根据权利要求5所述的方法， 其特征在于， 所述解密所述第一加密数据， 得到第二随 机数， 包括： 利用所述私钥解密所述第一加密数据， 得到拼接数据； 拆解所述 拼接数据， 得到所述第二随机数。 8.一种终端的数据部署系统， 其特 征在于， 包括： 第一解密模块， 利用预置对称密钥对所述终端可信存储空间中的加密公钥进行解密， 得到密钥对中的公钥；权　利　要　求　书 1/2 页 2 CN 115174050 A 2第一接收模块， 接收来自部署设备的第一签名数据； 所述第一解密模块， 还用于利用所述公钥对所述第一签名数据进行验签并解密， 得到 第一随机数； 第一加密模块， 利用所述公钥加密所述第一随机数和所述终端的特征标识， 得到第一 加密数据； 第一验证模块， 将所述第一加密数据发送至所述部署设备， 所述第一加密数据用于验 证所述终端是否为 合法终端； 所述第一接收模块， 还用于 接收来自所述部署设备的第二签名数据； 所述第一验证模块， 还用于对所述第 二签名数据进行验签， 当验签通过， 从所述第二签 名数据中解密得到敏感数据。 9.一种部署设备的数据部署系统， 其特 征在于， 包括： 第二加密模块， 利用 密钥对中的私钥签名并加密生成的第一随机数， 得到第一签名数 据； 发送模块， 用于将所述第一签名数据发送至终端； 第二接收模块， 用于 接收来自所述终端的第一加密数据； 第二解密模块， 用于解密所述第一加密数据， 得到第二随机数和特 征标识； 第二验证模块， 用于验证当所述第一随机数和所述第二随机数相同， 以及在标识数据 库中匹配到所述特 征标识， 确定所述终端为 合法终端； 所述第二加密模块， 还用于利用所述私钥加密传输密钥和敏感数据明文， 得到加密传 输密钥和敏感数据密文， 并将所述敏感数据块和所述加密传输密钥进行密文签名后拼接， 得到第二签名数据； 所述发送模块， 还用于将所述第二签名数据发送至所述终端。 10.一种计算机可读存储介质， 其上存储有计算机程序， 其特征在于， 所述计算机程序 被处理器运行时执 行权利要求1至7中任一项所述数据部署方法的步骤。 11.一种终端， 包括存储器和处理器， 所述存储器上存储有可在所述处理器上运行的计 算机程序， 其特征在于， 所述处理器运行所述计算机程序时执行权利要求1至4中任一项所 述数据部署方法的步骤。 12.一种部署设备， 包括存储器和处理器， 所述存储器上存储有可在所述处理器上运行 的计算机程序， 其特征在于， 所述处理器运行所述计算机程序时执行权利要求5至7中任一 项所述数据部署方法的步骤。权　利　要　求　书 2/2 页 3 CN 115174050 A 3