第一层：平台License ✅ （已学习）
  └── 控制客户的使用权限

第二层：设备密钥 ← （本章重点）
  └── 控制每个机器人的接入权限

[你的平台] ← 正常运行
    ↓
[机器人1] 正在上报数据
[机器人2] 正在上报数据
[机器人3] 正在上报数据

[黑客的假冒设备] → 伪装成机器人4 → 尝试连接平台

设备密钥文件
├── 📋 设备标识（身份信息）
│   ├── 物理标识（不可变）
│   │   ├── 序列号：CLN-2024-00001
│   │   ├── 型号：CLEAN-X1
│   │   ├── 生产日期：2024-01-01
│   │   └── 硬件版本：v1.2
│   │
│   ├── 网络标识（可能变化）
│   │   ├── MAC地址（主网卡）
│   │   ├── MAC地址（WiFi）
│   │   └── IMEI（4G模块）
│   │
│   └── 逻辑标识（系统分配）
│       ├── 设备UUID（全局唯一）
│       ├── 注册ID
│       └── 所属组ID
│
├── 🔑 密钥材料（核心部分）
│   ├── 主密钥（设备端保存）
│   ├── 认证密钥对（公钥+私钥）
│   ├── 通信密钥（TLS证书）
│   └── 数据加密密钥
│
├── 📜 密钥策略
│   ├── 轮换策略（多久换一次）
│   ├── 使用限制（每天最多用多少次）
│   └── 撤销控制（如何废除密钥）
│
└── 🔒 安全签名
    ├── 签名算法
    ├── 签名值
    └── 证书链

主密钥
  ├── 派生 → 认证密钥
  ├── 派生 → 通信密钥
  └── 派生 → 数据加密密钥

认证过程：
平台：你是谁？
设备：我是机器人001
平台：证明给我看！
设备：[用私钥签名] 这是我的签名
平台：[用公钥验证] 签名正确，确认是你 ✅

设备 → [加密] → 网络传输 → [解密] → 平台

设备本地数据：
清扫记录 → [加密] → 存储到设备
地图数据 → [加密] → 存储到设备

[阶段1：生成]
设备出厂 → 生成主密钥 → 派生子密钥 → 写入设备
                              ↓
[阶段2：注册]
设备首次连接平台 → 提交公钥 → 平台验证 → 注册成功
                              ↓
[阶段3：使用]
设备每次连接 → 用私钥签名 → 平台用公钥验证 → 允许连接
                              ↓
[阶段4：轮换]
密钥到期 → 生成新密钥 → 通知平台 → 废弃旧密钥
                              ↓
[阶段5：撤销]
设备丢失/报废 → 平台撤销密钥 → 设备无法再连接

❌ 错误做法：
用一个"万能密钥"做所有事情
  └── 如果泄露，全完了

✅ 正确做法：
认证密钥 → 只能用于身份认证
通信密钥 → 只能用于数据传输
数据密钥 → 只能用于本地加密
  └── 即使一个泄露，其他还安全

假设黑客在破解你的密钥：
- 如果密钥永不更换 → 黑客有无限时间破解
- 如果密钥30天一换 → 黑客只有30天时间
  └── 30天内破解不了，密钥就换了，前功尽弃

主密钥（最重要）
  └── 存储在硬件安全芯片（TPM）
      └── 即使黑客拿到设备，也读不出来

认证密钥
  └── 存储在加密文件中
      └── 需要密码才能解密

通信密钥
  └── 存储在内存中
      └── 设备重启后自动清除

❌ 错误做法：
设备 → 把私钥发给平台 → 平台验证
  └── 私钥在网络上传输，可能被截获

✅ 正确做法：
设备 → 用私钥签名 → 发送签名给平台
平台 → 用公钥验证签名 → 确认身份
  └── 私钥从不离开设备

class DeviceKeyGenerator:
    """
    设备密钥生成器
    """

    def generate_device_keys(self, device_info):
        """
        为一个机器人生成完整的密钥体系
        """

        # 1. 生成主密钥（256位随机数）
        master_key = generate_random_bytes(32)  # 32字节 = 256位

        # 2. 从主密钥派生认证密钥对
        auth_private_key = derive_key(master_key, "auth_private")
        auth_public_key = derive_public_key(auth_private_key)

        # 3. 生成通信密钥（TLS证书）
        tls_cert, tls_key = generate_tls_certificate(device_info)

        # 4. 生成数据加密密钥
        data_key = derive_key(master_key, "data_encryption")

        # 5. 组装密钥包
        key_package = {
            "device_id": device_info["id"],
            "serial_number": device_info["serial"],

            "keys": {
                "master_key": encrypt(master_key),  # 加密存储
                "auth_keypair": {
                    "public_key": auth_public_key,
                    "private_key": encrypt(auth_private_key)
                },
                "tls_cert": tls_cert,
                "tls_key": encrypt(tls_key),
                "data_key": encrypt(data_key)
            },

            "policy": {
                "rotation": {
                    "master_key_days": 365,
                    "auth_key_days": 90,
                    "tls_key_days": 30,
                    "data_key_days": 7
                }
            },

            "created_at": current_time(),
            "signature": sign_with_root_key(key_package)
        }

        return key_package

[收集设备信息]
序列号、MAC地址、型号等
        ↓
[生成主密钥]
256位随机数
        ↓
[派生子密钥]
认证密钥、通信密钥、数据密钥
        ↓
[加密敏感信息]
私钥、主密钥等
        ↓
[数字签名]
用根密钥签名整个密钥包
        ↓
[写入设备]
存储到设备的安全区域

[步骤1：设备发起连接]
设备 → 平台：你好，我是机器人001

[步骤2：平台发送挑战]
平台 → 设备：证明给我看，这是随机数：ABC123

[步骤3：设备签名响应]
设备：用私钥对"ABC123"签名
设备 → 平台：这是我的签名：XYZ789

[步骤4：平台验证签名]
平台：用设备的公钥验证签名
平台：签名正确 ✅ → 允许连接
平台：签名错误 ❌ → 拒绝连接

def authenticate_device(device_id, device_response):
    """
    验证设备身份
    """

    # 1. 查找设备的公钥
    device_public_key = get_device_public_key(device_id)
    if not device_public_key:
        return False, "设备未注册"

    # 2. 验证签名
    challenge = device_response["challenge"]
    signature = device_response["signature"]

    is_valid = verify_signature(
        data=challenge,
        signature=signature,
        public_key=device_public_key
    )

    if not is_valid:
        return False, "签名验证失败"

    # 3. 检查设备是否被撤销
    if is_device_revoked(device_id):
        return False, "设备已被撤销"

    # 4. 检查密钥是否过期
    key_expiry = get_key_expiry(device_id)
    if current_time() > key_expiry:
        return False, "密钥已过期"

    # 5. 所有检查通过
    return True, "认证成功"

                [根密钥]
              （厂商保管）
                   ↓
            [平台主密钥]
          （私有云平台）
                   ↓
            [设备组密钥]
          （一组机器人）
                   ↓
             [设备密钥]
           （单个机器人）

董事长（根密钥）
  └── 总经理（平台主密钥）
      └── 部门经理（设备组密钥）
          └── 员工（设备密钥）

设备密钥 = 身份证 + 银行卡 + 门禁卡
主密钥 = 总钥匙（可以配其他钥匙）
认证密钥 = 签名（证明身份）
通信密钥 = 密码本（加密通信）
数据密钥 = 保险柜密码（保护数据）

┌─────────────────────────────────────┐
│         License（第一层）            │
│   控制：客户能用什么功能、用多久      │
│   类比：小区门禁卡                   │
└─────────────────────────────────────┘
              ↓ 验证通过
┌─────────────────────────────────────┐
│        设备密钥（第二层）             │
│   控制：哪些机器人可以接入            │
│   类比：家门钥匙                     │
└─────────────────────────────────────┘