專利名稱:密鑰管理方法和系統(tǒng)、密鑰生成及認(rèn)證方法和裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及移動通信領(lǐng)域,尤指一種在服務(wù)器端對密鑰進(jìn)行管理的方法和系統(tǒng)、密鑰生成及認(rèn)證方法和裝置。
背景技術(shù):
集成電路(Integrated Circuit, IC)卡,特別是非接觸式IC卡,經(jīng)過多年的發(fā)展已深入現(xiàn)代生活的各個(gè)角落,并廣泛應(yīng)用于7>交、門禁、小額電子支付等領(lǐng)域。近年來,在軌道交通、物流管理、物品防偽、身份識別等需求推動下,非接觸式IC卡(或電子標(biāo)簽)技術(shù)不斷進(jìn)步,應(yīng)用越來越普及,迫切需要各類非接觸IC卡(或電子標(biāo)簽)識別設(shè)備。與此同時(shí),移動終端經(jīng)歷20多年的迅速發(fā)展,已經(jīng)幾乎成為人們必備的隨身裝置,普及率非常高,并且有向手機(jī)集成更多功能的趨勢。
由索尼Sony、飛利浦Philips和諾基亞Nokia等公司提出的近場通訊(NearField Communication, NFC)是這幾年飛速發(fā)展的一種新興技術(shù),可以直接實(shí)現(xiàn)兩個(gè)電子設(shè)備之間的短程通訊,工作頻率一般在13.56MHz頻段,工作距離大概為幾個(gè)厘米。NFC技術(shù)主要是實(shí)現(xiàn)電子設(shè)備之間的非接觸IC卡片模擬功能、點(diǎn)對點(diǎn)數(shù)據(jù)通訊功能和讀卡^^莫式這三類近距離通訊功能。
NFC終端廣泛地應(yīng)用于移動支付、產(chǎn)品防偽、追蹤監(jiān)管、數(shù)字簽名、身份認(rèn)證、信息獲取等領(lǐng)域,除了完成非接觸通訊的接口和協(xié)議之外,還必須具有通信的安全管理功能,即需要使用對稱密鑰對終端用戶標(biāo)識模塊(SubscriberIdentity Module, SIM)卡和后臺服務(wù)器之間傳輸通信數(shù)據(jù)進(jìn)行加密,而對稱密鑰需要保存在終端SIM卡和后臺服務(wù)器上。
在現(xiàn)有使用對稱密鑰的體系中,應(yīng)用服務(wù)器與每個(gè)終端實(shí)體之間共享一對
7或多對私密密鑰,即應(yīng)用服務(wù)其中存儲的驗(yàn)證密鑰和終端實(shí)體擁有的對應(yīng)的加密密鑰組成一對私密密鑰。因此有多少個(gè)終端實(shí)體需要與應(yīng)用服務(wù)器交互,應(yīng)
用服務(wù)器就至少需要存儲多少驗(yàn)證密鑰;隨著用戶的增多,與應(yīng)用服務(wù)器需要交互的終端實(shí)體也逐漸增多,這樣應(yīng)用服務(wù)器需要存儲大數(shù)據(jù)量(幾乎是幾億量級)的終端SIM卡與應(yīng)用服務(wù)器共享的驗(yàn)證密鑰,而且還要維護(hù)驗(yàn)證密鑰與終端實(shí)體的對應(yīng)關(guān)系,這已經(jīng)成為應(yīng)用服務(wù)器的一個(gè)沉重的負(fù)擔(dān)。另外,存儲
在應(yīng)用服務(wù)器中的驗(yàn)證密鑰完全獨(dú)立生成,其生成過程沒有基于統(tǒng)一規(guī)劃,驗(yàn)證密鑰只與對應(yīng)的SIM卡之間具有映射關(guān)系,驗(yàn)證密鑰之間無依賴關(guān)系,因而給應(yīng)用服務(wù)器的密鑰管理造成很大的麻煩。
發(fā)明內(nèi)容
本發(fā)明實(shí)施例沖是供一種密鑰管理方法和系統(tǒng),通過上級密鑰得到下級密鑰這一分級管理模式,解決了密鑰管理困難的問題。
本發(fā)明實(shí)施例提供一種密鑰生成方法和裝置,通過上級密鑰得到下級密鑰,這一密鑰模式,解決了密鑰管理困難的問題。
本發(fā)明實(shí)施例提供一種密鑰認(rèn)證方法和裝置,采用即時(shí)生成的驗(yàn)證密鑰驗(yàn)證用戶卡的加密密鑰,解決了服務(wù)器中需要存儲大量驗(yàn)證密鑰及其與用戶卡加密密鑰的映射關(guān)系的問題,減輕了服務(wù)器的負(fù)擔(dān)且便于密鑰的管理。
一種密鑰管理方法,包括
將種子密鑰和各級別的下級密鑰的密鑰計(jì)算規(guī)則存儲到第 一級應(yīng)用服務(wù)器中;
在下級應(yīng)用服務(wù)器中存儲對應(yīng)級別的下級密鑰,以及存儲低于該對應(yīng)級別的各級別的下級密鑰的密鑰計(jì)算規(guī)則;其中,每一級下級密鑰由其上一級密鑰和本級的密鑰計(jì)算MJ'J生成。
根據(jù)本發(fā)明的上述方法,所述密鑰計(jì)算規(guī)則,包括密鑰的計(jì)算方法和計(jì)算參數(shù)。
8一種密鑰管理系統(tǒng),包括至少兩級應(yīng)用服務(wù)器,第一級應(yīng)用服務(wù)器,用于
存儲種子密鑰和各級別的下級密鑰的密鑰計(jì)算規(guī)則;
下級應(yīng)用服務(wù)器,用于存儲對應(yīng)級別的下級密鑰,以及存儲低于該對應(yīng)級別的各級別的下級密鑰的密鑰計(jì)算規(guī)則;其中,每一級下級密鑰由其上一級密鑰和本級的密鑰計(jì)算規(guī)則生成。
一種用戶卡驗(yàn)證密鑰生成方法,包括
應(yīng)用服務(wù)器根據(jù)用戶卡的用戶信息選擇本地存儲的所述應(yīng)用服務(wù)器級別以下的各級別的下級密鑰的密鑰計(jì)算MJ寸;
獲取本地存儲的與所述應(yīng)用服務(wù)器級別對應(yīng)的密鑰;
根據(jù)獲取的與所述應(yīng)用服務(wù)器級別對應(yīng)的密鑰,使用所述各級別的下級密鑰的密鑰計(jì)算規(guī)則,分別計(jì)算出各下級密鑰;其中,每一級下級密鑰由其上一級密鑰和本級的密鑰計(jì)算規(guī)則生成;
將計(jì)算得到的最后一級密鑰作為所述用戶卡的— 驗(yàn)證密鑰。
根據(jù)本發(fā)明的上述方法,所述密鑰計(jì)算規(guī)則包括密鑰的計(jì)算方法和計(jì)算參
數(shù);
所述選擇本地存儲的所述應(yīng)用服務(wù)器級別以下的各級別的下級密鑰的密鑰計(jì)算規(guī)則,包括
分別從本地存儲的各級別的下級密鑰的多種計(jì)算方法中選取一種;
根據(jù)所述用戶信息確定出所述用戶卡的各級歸屬地信息和用戶卡標(biāo)識信息,作為計(jì)算相應(yīng)級別的下級密鑰的計(jì)算參數(shù)。
根據(jù)本發(fā)明的上述方法,從本地存儲的各級別的下級密鑰的多種計(jì)算方法中選取一種,具體為
從本地存儲的各級別的下級密鑰的多種計(jì)算方法中任選一種,或者根據(jù)所述用戶信息中攜帶的算法標(biāo)識選擇對應(yīng)的計(jì)算方法。
根據(jù)本發(fā)明的上述方法,所述用戶卡發(fā)送的用戶信息中還攜帶密鑰索引;
所述獲取本地存儲的與所述應(yīng)用服務(wù)器級別對應(yīng)的密鑰,具體包括選取本地存儲的多個(gè)密鑰中與所述密鑰索引對應(yīng)的密鑰。
一種用戶卡驗(yàn)證密鑰生成裝置,包括存儲模塊、選擇模塊、計(jì)算模塊和 確定模塊;
所述存儲模塊,用于存儲對應(yīng)級別的密鑰和各級別的下級密鑰的密鑰計(jì)算 規(guī)則;
所述選擇模塊,用于根據(jù)所述用戶卡的用戶信息選擇所述存儲模塊存儲的 各級別的下級密鑰的密鑰計(jì)算規(guī)則;
所述計(jì)算模塊,獲取所述存儲模塊存儲的對應(yīng)級別的密鑰,根據(jù)獲取的密 鑰,使用所述選擇才莫塊選擇的各級別的下級密鑰的密鑰計(jì)算規(guī)則,分別計(jì)算出 各下級密鑰;其中,每一級下級密鑰由其上一級密鑰和本級的密鑰計(jì)算規(guī)則生 成;
所述確定模塊,用于確定所述計(jì)算模塊計(jì)算得到的最后一級密鑰為所述用 戶卡的-瞼證密鑰。
根據(jù)本發(fā)明的上述裝置,所述選擇模塊,包括方法選擇子模塊和參數(shù)選
擇子模塊;
所述方法選擇子模塊,用于從所述存儲模塊存儲的各級別的下級密鑰的多 種計(jì)算方法中分別選取一種;
所述參數(shù)選擇子模塊,用于根據(jù)所述用戶信息確定出所述用戶卡的各級歸 屬地信息和用戶卡標(biāo)識信息,作為計(jì)算各級別的下級密鑰的對應(yīng)計(jì)算參數(shù)。
根據(jù)本發(fā)明的上述裝置,所述方法選擇子模塊,還用于選取與用戶信息中 攜帶的算法標(biāo)識對應(yīng)的計(jì)算方法。
根據(jù)本發(fā)明的上述裝置,所述選擇才莫塊,還包括
密鑰選擇子模塊,用于選取所述存儲模塊存儲的多個(gè)密鑰中與所述用戶信 息中攜帶的密鑰索引對應(yīng)的密鑰。 一種用戶卡密鑰認(rèn)證方法,包括 應(yīng)用服務(wù)器接收所述用戶卡發(fā)送的認(rèn)證數(shù)據(jù);根據(jù)所述認(rèn)證數(shù)據(jù)中包含的用戶信息選擇本地存儲的所述應(yīng)用服務(wù)器級
別以下的各級別的下級密鑰的密鑰計(jì)算規(guī)則;
獲取本地存儲的與所述應(yīng)用服務(wù)器級別對應(yīng)的密鑰;
根據(jù)獲取的與所述應(yīng)用服務(wù)器級別對應(yīng)的密鑰,使用所述各級別的下級密 鑰的密鑰計(jì)算規(guī)則,分別計(jì)算出各下級密鑰;其中,每一級下級密鑰由其上一 級密鑰和本級的密鑰計(jì)算規(guī)則生成;
將計(jì)算得到的最后 一級密鑰作為所述用戶卡的-瞼-i正密鑰; 使用所述驗(yàn)證密鑰驗(yàn)證所述用戶卡的加密密鑰。
根據(jù)本發(fā)明的上述方法,所述密鑰計(jì)算規(guī)則包括密鑰的計(jì)算方法和計(jì)算參
計(jì)算規(guī)則,包括
分別從本地存儲的各級別的下級密鑰的多種計(jì)算方法中選取一種;
根據(jù)所述用戶信息確定出所述用戶卡的各級歸屬地信息和用戶卡標(biāo)識信 息,作為計(jì)算相應(yīng)級別的下級密鑰的計(jì)算參數(shù)。
才艮據(jù)本發(fā)明的上述方法,從本地存儲的各級別的下級密鑰的多種計(jì)算方法 中選取一種,具體為
從本地存儲的各級別的下級密鑰的多種計(jì)算方法中任選一種,或者根據(jù)所 述用戶信息中攜帶的算法標(biāo)識選擇對應(yīng)的計(jì)算方法。
才艮據(jù)本發(fā)明的上述方法,還包括在所述用戶信息中攜帶密鑰索引;
所述獲取本地存儲的與所述應(yīng)用服務(wù)器級別對應(yīng)的密鑰,具體包括選取 本地存儲的多個(gè)密鑰中與所述密鑰索引對應(yīng)的密鑰。
一種用戶卡密鑰認(rèn)證裝置,包括接收單元、存儲單元、選擇單元、計(jì)算 單元和驗(yàn)證單元;
所述接收單元,用于接收所述用戶卡發(fā)送的認(rèn)證數(shù)據(jù);
所述存儲單元,用于存儲對應(yīng)級別的密鑰和各級別的下級密鑰的密鑰計(jì)算 規(guī)則;
ii所述選擇單元,用于根據(jù)所述用戶卡的用戶信息選擇所述存儲單元存儲的
各級別的下級密鑰的密鑰計(jì)算規(guī)則;
所述計(jì)算單元,用于獲取所述存儲單元存儲的對應(yīng)級別的密鑰,根據(jù)獲取 的密鑰,使用所述選擇單元選擇的各級別的下級密鑰的密鑰計(jì)算規(guī)則,分別計(jì)
算出各下級密鑰;其中,每一級下級密鑰由其上一級密鑰和本級的密鑰計(jì)算規(guī) 則生成;
所述驗(yàn)證單元,用于將所述計(jì)算單元計(jì)算得到的最后一級密鑰作為所述用 戶卡的驗(yàn)證密鑰,使用所述驗(yàn)證密鑰驗(yàn)證所述用戶卡的加密密鑰。
根據(jù)本發(fā)明的上述裝置,所述選擇單元,包括方法選擇子單元、參數(shù)選 擇子單元和密鑰選擇子單元;
所述方法選擇子單元,用于選取所述存儲單元存儲的多種計(jì)算方法之一為 計(jì)算每一級下級密鑰時(shí)的計(jì)算方法;或選取與所述用戶信息中攜帶的算法標(biāo)識 對應(yīng)的計(jì)算方法為計(jì)算每一級下級密鑰時(shí)的計(jì)算方法;
所述參數(shù)選擇子單元,用于根據(jù)所述用戶信息確定出所述用戶卡的各級歸 屬地信息和用戶卡標(biāo)識信息;選擇所述各級歸屬地信息和用戶卡標(biāo)識信息作為 計(jì)算各級別的下級密鑰的對應(yīng)計(jì)算參數(shù);
所述密鑰選擇子單元,用于選取本地存儲的多個(gè)密鑰中與所述用戶信息中 攜帶的密鑰索引對應(yīng)級別的密鑰。
本發(fā)明實(shí)施例提供的密鑰管理方法和系統(tǒng)、密鑰生成及認(rèn)證方法和裝置, 應(yīng)用服務(wù)器接收所述用戶卡發(fā)送的認(rèn)證數(shù)據(jù);根據(jù)所述認(rèn)證數(shù)據(jù)中包含的用戶 信息選擇本地存儲的所述應(yīng)用服務(wù)器級別以下的各級別的下級密鑰的密鑰計(jì) 算規(guī)則;獲取本地存儲的與所述應(yīng)用服務(wù)器級別對應(yīng)的密鑰;根據(jù)獲取的與所 述應(yīng)用服務(wù)器級別對應(yīng)的密鑰,使用所述各級別的下級密鑰的密鑰計(jì)算規(guī)則, 分別計(jì)算出各下級密鑰;其中,每一級下級密鑰由其上一級密鑰和本級的密鑰 計(jì)算規(guī)則生成;將計(jì)算得到的最后一級密鑰作為所述用戶卡的驗(yàn)證密鑰;使用 所述-瞼證密鑰-驗(yàn)證所述用戶卡的加密密鑰。通過上級密鑰和相應(yīng)的下級密鑰計(jì)
12算規(guī)則計(jì)算各下級密鑰,得到用戶卡的驗(yàn)證密鑰,采用這種分級生成的方式生 成驗(yàn)證用戶卡加密密鑰的驗(yàn)證密鑰、實(shí)現(xiàn)了驗(yàn)證密鑰的分級生成及管理,使得 下級密鑰的生成過程可以重現(xiàn),服務(wù)器只需要存儲對應(yīng)級別的密鑰和計(jì)算規(guī)則 即可,解決了服務(wù)器中需要存儲大量驗(yàn)證密鑰及其與用戶卡加密密鑰的映射關(guān) 系的問題,減輕了服務(wù)器的負(fù)擔(dān)且便于密鑰管理。
圖1為本發(fā)明實(shí)施例中密鑰分級管理方法/系統(tǒng)的示意圖2為本發(fā)明實(shí)施例中用戶卡驗(yàn)證密鑰生成方法的流程圖; 圖3為本發(fā)明實(shí)施例中分級計(jì)算用戶卡驗(yàn)證密鑰的示意圖; 圖4為本發(fā)明實(shí)施例中計(jì)算#1用戶卡省級密鑰的示意圖; 圖5為本發(fā)明實(shí)施例中計(jì)算#1用戶卡驗(yàn)證密鑰的示意圖; 圖6為本發(fā)明實(shí)施例中計(jì)算#2用戶卡驗(yàn)證密鑰的示意圖; 圖7為本發(fā)明實(shí)施例中計(jì)算#3用戶卡省級密鑰的示意圖; 圖8為本發(fā)明實(shí)施例中計(jì)算#3用戶卡驗(yàn)證密鑰的示意圖; 圖9為本發(fā)明實(shí)施例中用戶卡驗(yàn)證密鑰生成裝置的結(jié)構(gòu)示意圖; 圖10為本發(fā)明實(shí)施例中用戶卡密鑰認(rèn)證方法的流程圖; 圖11為本發(fā)明實(shí)施例中用戶卡密鑰認(rèn)證裝置的結(jié)構(gòu)示意圖。
具體實(shí)施例方式
本發(fā)明實(shí)施例提供一種密鑰分級管理方法及系統(tǒng),如圖l所示。該方法具 體包括
種子密鑰和各級別的下級密鑰的密鑰計(jì)算規(guī)則存儲到第 一級應(yīng)用服務(wù)器中。
根據(jù)種子密鑰采用二級密鑰計(jì)算規(guī)則計(jì)算得到二級密鑰; 根據(jù)二級密鑰采用三級密鑰計(jì)算規(guī)則計(jì)算可以得到三級密鑰;
13依此類推,
根據(jù)n-l級密鑰采用n級密鑰計(jì)算規(guī)則計(jì)算可以得到n級密鑰;
根據(jù)N-l級密鑰采用N級密鑰計(jì)算規(guī)則計(jì)算可以得到N級密鑰。
其中,0<n<N, N為的正整數(shù),且N》2;計(jì)算規(guī)則是指計(jì)算各級別的下級
密鑰的計(jì)算方法和計(jì)算參數(shù)。
二級密鑰、三級密鑰........N級密鑰均為下級密鑰,每一級下級密鑰均
由其上一級密鑰和本級的密鑰計(jì)算規(guī)則生成。下級密鑰存儲在對應(yīng)級別的下級
應(yīng)用服務(wù)器中。
密鑰計(jì)算規(guī)則。
與上述密鑰分級管理方法對應(yīng)的密鑰分級管理系統(tǒng),包括至少兩級應(yīng)用 服務(wù)器。
第 一級應(yīng)用服務(wù)器,用于存儲種子密鑰和各級別的下級密鑰的密鑰計(jì)算規(guī)則。
下級應(yīng)用服務(wù)器,用于存儲對應(yīng)級別的下級密鑰,以及存儲低于其對應(yīng)級 別的各級別的下級密鑰的密鑰計(jì)算規(guī)則。
下級應(yīng)用服務(wù)器,可以包括二級應(yīng)用服務(wù)器、三級應(yīng)用服務(wù)器.......、
N級應(yīng)用服務(wù)器;其中,N>2。
二級應(yīng)用服務(wù)器,用于存儲對應(yīng)級別的二級密鑰及二級以下各級別的下級 密鑰的計(jì)算規(guī)則;
n級應(yīng)用服務(wù)器,用于存儲對應(yīng)級別的n級密鑰及n級以下各級別的下級 密鑰的計(jì)算規(guī)則;
N級應(yīng)用服務(wù)器,用于存儲對應(yīng)級別的N級密鑰及N級以下各級別的下級密鑰的計(jì)算規(guī)則。
系統(tǒng)中的下級應(yīng)用服務(wù)器,包括二級應(yīng)用服務(wù)器、三級應(yīng)用服務(wù)器、 N級應(yīng)用服務(wù)器,同 一級別的應(yīng)用服務(wù)器其數(shù)量都可以為多個(gè)。
如二級應(yīng)用服務(wù)器可以包括二級應(yīng)用服務(wù)器1、二級應(yīng)用服務(wù)器2、 二級應(yīng)用服務(wù)器X。
三級應(yīng)用服務(wù)器可以包括三級應(yīng)用服務(wù)器l、三級應(yīng)用服務(wù)器2、 三級應(yīng)用服務(wù)器X。
N級應(yīng)用服務(wù)器可以包括N級應(yīng)用服務(wù)器l、 N級應(yīng)用服務(wù)器2........
N級應(yīng)用服務(wù)器X。
每個(gè)應(yīng)用服務(wù)器中存儲有與各自的級別對應(yīng)的密鑰。
特別的,只設(shè)有第一級應(yīng)用服務(wù)器、只進(jìn)行一次密鑰計(jì)算的情況,可以看 做密鑰分級管理的特例,此時(shí),第一級應(yīng)用服務(wù)器中只存儲有種子密鑰和二級 密鑰的計(jì)算規(guī)則,通過計(jì)算得到的二級密鑰即可,此時(shí)該二級密鑰即為用戶卡 驗(yàn)證密鑰。
本發(fā)明實(shí)施例提供一種用戶卡驗(yàn)證密鑰生成方法,網(wǎng)絡(luò)側(cè)僅需要保存少量 的種子密鑰,還可以存儲少量的對應(yīng)級別的下級密鑰,然后通過保存的種子密 鑰或?qū)?yīng)級別的下級密鑰生成相應(yīng)用戶卡的驗(yàn)證密鑰。其流程如圖2所示,執(zhí) 行步驟如下
步驟S101:接收用戶卡發(fā)送的用戶信息。
且根據(jù)預(yù)先設(shè)定的規(guī)則,發(fā)送的用戶信息中還可以攜帶有算法標(biāo)識和密鑰 索引。
特別的,接收用戶卡的用戶信息的可以是第一級應(yīng)用服務(wù)器(中央服務(wù) 器),也可以是各個(gè)下級應(yīng)用服務(wù)器。
可以預(yù)先設(shè)定訪問規(guī)則,例如當(dāng)只設(shè)有第一級應(yīng)用服務(wù)器時(shí),用戶卡直 接訪問第一級應(yīng)用服務(wù)器;.當(dāng)設(shè)有下級應(yīng)用服務(wù)器服務(wù)器時(shí),用戶卡訪問所屬的下級應(yīng)用服務(wù)器。
第一級應(yīng)用服務(wù)器存儲的密鑰為種子密鑰。
下級的應(yīng)用服務(wù)器存儲的密鑰為根據(jù)所述種子密鑰,以及相應(yīng)的各級的計(jì) 算規(guī)則,計(jì)算得到的與該應(yīng)用服務(wù)器級別對應(yīng)級別的密鑰。
例如對某一項(xiàng)全網(wǎng)業(yè)務(wù)而言,在前期用戶量比4交小時(shí),可以由中央服務(wù) 器(該服務(wù)器或相應(yīng)的加密機(jī)中存放種子密鑰)來為所有的用戶服務(wù);隨著業(yè) 務(wù)的發(fā)展,用戶逐漸增多,當(dāng)中央服務(wù)器無法承擔(dān)超大數(shù)據(jù)量的用戶時(shí),若某 一個(gè)地方的(例如上海)的用戶量增長特別明顯,用戶量比較龐大,則可以 在上海單獨(dú)架設(shè)下級應(yīng)用服務(wù)器(即第二級應(yīng)用服務(wù)器),上海的用戶則可以 直接訪問該第二級應(yīng)用服務(wù)器。當(dāng)然根據(jù)業(yè)務(wù)的發(fā)展情況,還可以在架設(shè)再下 一級的下級應(yīng)用服務(wù)器(例如上海的某一個(gè)區(qū)縣單獨(dú)架設(shè)一個(gè)第三級應(yīng)用服
據(jù)用戶增長情況分級架設(shè)服務(wù)器的方法可便于業(yè)務(wù)的拓展,便于用戶的分地域 管理。
步驟S102:選擇本地存儲的該應(yīng)用服務(wù)器級別以下的各級別的下級密鑰的 密鑰計(jì)算規(guī)則。
其中,密鑰計(jì)算規(guī)則包括密鑰的計(jì)算方法和計(jì)算參數(shù)。選擇本地存儲的各 級別的下級密鑰的密鑰計(jì)算規(guī)則,包括選擇計(jì)算各級別的下級密鑰的計(jì)算方 法和計(jì)算參數(shù)。
其中,各級計(jì)算方法并不唯一,可以是任何一種強(qiáng)度足夠大的密碼算法, 例如三重?cái)?shù)據(jù)加密標(biāo)準(zhǔn)畫力口密字組鏈接(Triple Data Encryption Standard畫 Cipher Block Chaining , 3DES-CBC )算法、高級加密標(biāo)準(zhǔn)-加密字組鏈接 (Advanced Encryption Standard - Cipher Block Chaining, AES-CBC )算法等, 當(dāng)然也可以是多種算法的組合。
選擇計(jì)算各級別的下級密鑰的計(jì)算方法包括下列兩種情況 (1)應(yīng)用服務(wù)器任意選取本地存儲的多種計(jì)算方法之一作為計(jì)算每一級
16下級密鑰時(shí)的計(jì)算方法。此種情況下用戶卡發(fā)送的用戶信息中可以不攜帶算法 標(biāo)識。
(2 )選取與用戶卡發(fā)送的用戶信息中攜帶的算法標(biāo)識對應(yīng)計(jì)算方法作為 計(jì)算每一級下級密鑰時(shí)的計(jì)算方法。
例如應(yīng)用服務(wù)器中存儲有五種計(jì)算方法,算法標(biāo)識分別為1、 2、 3、 4、 5。若用戶卡發(fā)送的用戶信息中攜帶有算法標(biāo)識l,則采用第一種方法計(jì)算各下 級密鑰;若戶卡發(fā)送的用戶信息中攜帶有算法標(biāo)識2,則采用第二種方法計(jì)算 各下級密鑰;當(dāng)需要計(jì)算多級低于該應(yīng)用服務(wù)器對應(yīng)級別的下級密鑰時(shí),可以 為每一級攜帶不同的算法標(biāo)識。
選擇計(jì)算各級別的下級密鑰的計(jì)算參數(shù),具體為根據(jù)所述用戶信息,例
如用戶卡號碼等,確定出所述用戶卡的各級歸屬地信息和用戶卡標(biāo)識信息, 例如用戶卡標(biāo)識信息可以包括國際移動用戶標(biāo)識(International Mobile Subscriber Identity, IMSI)或密鑰Key類型等,選擇所述各級歸屬地信息和用 戶卡標(biāo)識信息作為計(jì)算各級別的下級密鑰的對應(yīng)計(jì)算參數(shù)。
例如 一個(gè)用戶卡的歸屬地信息可以分為若干級,如省編碼、市編碼等, 在計(jì)算驗(yàn)證密鑰時(shí)分別作為計(jì)算各下級密鑰的計(jì)算參數(shù),省編碼作為一級計(jì)算
參數(shù),市編碼作為二級計(jì)算參數(shù)等;IMSI或Key類型等用戶卡標(biāo)識信息作為 最低級的計(jì)算參數(shù)(例如三級分散參數(shù)),保證每個(gè)用戶卡計(jì)算得到的驗(yàn)證 密鑰的互異性。
步驟S103:獲取本地存儲的與該應(yīng)用服務(wù)器級別對應(yīng)的密鑰。
當(dāng)本地存儲的對應(yīng)級別的密鑰只有一個(gè)時(shí),使用存儲的這一個(gè)對應(yīng)級別的 密鑰,此種情況下用戶卡發(fā)送的信息中可以不攜帶密鑰索引。
當(dāng)本地存儲的對應(yīng)級別的密鑰為多個(gè)時(shí),選取本地存儲的多個(gè)密鑰中與接 收到的用戶信息中攜帶的密鑰索引對應(yīng)的密鑰。
特別的,若接收用戶卡用戶信息的是最高級的第一級應(yīng)用服務(wù)器,則確定 出的第一級應(yīng)用服務(wù)器中存儲的種子密鑰,則種子密鑰即為第一級應(yīng)用服務(wù)器的對應(yīng)級別的密鑰;若接收用戶卡認(rèn)證數(shù)據(jù)的是各下級應(yīng)用服務(wù)器,則其中存 儲有與該應(yīng)用服務(wù)器級別對應(yīng)級別的密鑰。
沿用上邊的例子,中央服務(wù)器中存儲有原始的種子密鑰;而上海的應(yīng)用服 務(wù)器專為上海的用戶服務(wù),其中存儲有上海的"省級密鑰"。
步驟S104:根據(jù)確定出的計(jì)算規(guī)則和獲取的對應(yīng)級別的密鑰計(jì)算用戶卡的 驗(yàn)證密鑰。
根據(jù)獲取的對應(yīng)級別的密鑰和選擇的各級別的下級密鑰的密鑰計(jì)算規(guī)則 (包括計(jì)算參數(shù)和計(jì)算方法),分別計(jì)算出各下級密鑰;其中,每一級下級密 鑰由其上一級密鑰和本級的密鑰計(jì)算規(guī)則生成;并將計(jì)算得到的最后一級密鑰 作為所述用戶卡的驗(yàn)證密鑰。
下面舉例說明用戶卡驗(yàn)證密鑰的生成過程。以采用三級生成體系為例,圖 3為分級計(jì)算用戶卡^S正密鑰的示意圖。
例如圖3所示的北京的某一個(gè)用戶A,使用其所擁有的#1用戶卡訪問中 央服務(wù)器,則中央服務(wù)器接收其發(fā)送的用戶信息。發(fā)現(xiàn)請求服務(wù)的用戶是北京 的,則根據(jù)中央服務(wù)器中存儲的對應(yīng)級別的密鑰和北京的省公司編碼生成下級 密鑰,即北京的省級密鑰,然后再根據(jù)#1用戶卡的用戶卡標(biāo)識信息生成特定于 該#1用戶卡的驗(yàn)證密鑰。
確定出#1用戶卡的計(jì)算參數(shù)、計(jì)算方法,以及與所訪問的服務(wù)器對應(yīng)級別 的密鑰,計(jì)算#1用戶卡驗(yàn)證密鑰的過程如下
假設(shè)中央服務(wù)器中存儲的對應(yīng)級別的密鑰,即種子密鑰為XXXXXXXX,。
計(jì)算二級密鑰(即省級密鑰)的計(jì)算參數(shù)為其歸屬地信息北京的省公司 編碼11111111。
計(jì)算三級密鑰(即用戶卡的驗(yàn)證密鑰)的計(jì)算參數(shù)為#1用戶卡的用戶卡標(biāo) 識信息例如IMSI,為AAAAAAAA。
則根據(jù)中央服務(wù)器中存儲的對應(yīng)級別的密鑰和二級密鑰的計(jì)算參數(shù)和計(jì) 算方法計(jì)算二級密鑰(省級密鑰)的計(jì)算流程如圖4所示。
18計(jì)算得到北京的省級密鑰YYYYYYYY。
根據(jù)北京的省級密鑰和三級密鑰計(jì)算參數(shù)和計(jì)算方法計(jì)算三級密鑰(該用 戶卡的驗(yàn)證密鑰)的計(jì)算流程如圖5所示。
計(jì)算得到該#1用戶卡的驗(yàn)證密鑰ZZZZZZZZ。
例如圖3所示的北京某一個(gè)用戶B,使用其所擁有的#2用戶卡直接訪問 北京的應(yīng)用服務(wù)器,其#2用戶卡驗(yàn)證密鑰的計(jì)算方法如下
北京的應(yīng)用服務(wù)器為第二級應(yīng)用服務(wù)器,其中存儲的對應(yīng)級別的密鑰為 北京的省級密鑰YYYYYYYY。
計(jì)算三級密鑰(即用戶卡的驗(yàn)證密鑰)的計(jì)算參數(shù)為#2用戶卡的用戶卡標(biāo) 識信息例如IMSI,為BBBBBBBB。
根據(jù)北京的省級密鑰和三級密鑰計(jì)算參數(shù)和計(jì)算方法計(jì)算三級密鑰(該用 戶卡的驗(yàn)證密鑰)的計(jì)算流程如圖6所示。
計(jì)算得到該#2用戶卡的驗(yàn)證密鑰Z,Z,Z,Z,Z,Z,Z,Z,。
又例如上海的某一個(gè)用戶C,使用其所擁有的#3用戶卡訪問中央服務(wù)器, 則中央服務(wù)器接收其發(fā)送的用戶信息。并確定出計(jì)算參數(shù)、計(jì)算方法和對應(yīng)級 別的密鑰,其#3用戶卡驗(yàn)證密鑰的計(jì)算過程如下
假設(shè)中央服務(wù)器中存儲的對應(yīng)級別的密鑰,即種子密鑰為XXXXXXXX,。
計(jì)算二級密鑰(即省級密鑰)的計(jì)算參數(shù)為其歸屬地信息上海的省公司
編碼22222222。
計(jì)算三級密鑰(即用戶卡的驗(yàn)證密鑰)的計(jì)算參數(shù)為#3用戶卡的用戶卡標(biāo) i口J言息仿J長口IMSI,為CCCCCCCC。
則根據(jù)中央服務(wù)器中存儲的對應(yīng)級別的密鑰和二級密鑰的計(jì)算參數(shù)和計(jì) 算方法計(jì)算二級密鑰(省級密鑰)的計(jì)算流程如圖7所示。
計(jì)算得到上海的省級密鑰SSSSSSSS
根據(jù)上海的省級密鑰和和三級密鑰計(jì)算參數(shù)和計(jì)算方法計(jì)算三級密鑰(該 用戶卡的驗(yàn)證密鑰)的計(jì)算流程如圖8所示。計(jì)算得到該#3用戶卡的驗(yàn)證密鑰HHHHHHHH。
根據(jù)本發(fā)明的上述用戶卡驗(yàn)證密鑰生成方法,可以構(gòu)建一種用戶卡驗(yàn)證密 鑰生成裝置,如圖9所示,包括存儲模塊101、選擇模塊102、計(jì)算模塊103 和確定一莫塊104。
存儲模塊101,用于存儲對應(yīng)級別的密鑰和各級別的下級密鑰的密鑰計(jì)算 規(guī)則。
選擇模塊102,用于根據(jù)所述用戶卡的用戶信息選擇存儲模塊101存儲的 各級別的下級密鑰的密鑰計(jì)算規(guī)則。
較佳的,選擇模塊102,包括方法選擇子模塊1021和參數(shù)選擇子模塊 1022。
方法選擇子模塊1021 ,用于從存儲模塊101存儲的各級別的下級密鑰的多 種計(jì)算方法中分別選^^一種。
參數(shù)選擇子模塊1022,用于根據(jù)用戶卡的用戶信息確定出該用戶卡的各級 歸屬地信息和用戶卡標(biāo)識信息,作為計(jì)算各級別的下級密鑰的對應(yīng)計(jì)算參數(shù)。
計(jì)算模塊103,用于獲取存儲模塊101存儲的對應(yīng)級別的密鑰,根據(jù)獲取 的密鑰,使用選擇模塊102選擇的各級別的下級密鑰的密鑰計(jì)算規(guī)則,分別計(jì) 算出各下級密鑰;其中,每一級下級密鑰由其上一級密鑰和本級的密鑰計(jì)算規(guī) 則生成。
確定模塊104,用于確定計(jì)算模塊103計(jì)算得到的最后一級密鑰為該用戶 卡的驗(yàn)證密鑰。
當(dāng)用戶信息中可以攜帶算法標(biāo)識和/或密鑰索引時(shí),方法選擇子模塊1021, 還用于選取與用戶信息中攜帶的算法標(biāo)識對應(yīng)的計(jì)算方法為計(jì)算每一級下級 密鑰時(shí)的計(jì)算方法。
且選擇模塊102,還包括密鑰選擇子模塊1023,用于選取存儲;漠塊IOI 存儲的多個(gè)密鑰中與用戶信息中攜帶的密鑰索引對應(yīng)的密鑰。
本發(fā)明實(shí)施例提供一種用戶卡密鑰認(rèn)證方法,網(wǎng)絡(luò)側(cè)僅需要保存少量的種子密鑰,然后通過保存的種子密鑰生成相應(yīng)用戶卡的驗(yàn)證密鑰,對用戶卡使用
的密鑰進(jìn)行驗(yàn)證。本發(fā)明方法的流程如圖IO所示,其執(zhí)行步驟如下
步驟S201:接收用戶卡發(fā)送的認(rèn)證數(shù)據(jù)以及第一信息-瞼證碼(Message
Authentication Codes, MAC) MAC1。
根據(jù)預(yù)先設(shè)定的規(guī)則,認(rèn)證數(shù)據(jù)中包含的用戶信息中可以攜帶算法標(biāo)識和
密鑰索引等信息。
第一信息驗(yàn)證碼MAC1為采用用戶卡擁有的加密密鑰對所發(fā)送的認(rèn)證數(shù) 據(jù)進(jìn)行加密計(jì)算得到。
特別的,接收用戶卡發(fā)送的認(rèn)證數(shù)據(jù)的可以是第一級應(yīng)用服務(wù)器(中央服 務(wù)器),也可以是各個(gè)下級應(yīng)用服務(wù)器。
第 一級應(yīng)用服務(wù)器存儲的密鑰為種子密鑰。
下級的應(yīng)用服務(wù)器存儲的密鑰為根據(jù)所述種子密鑰,以及相應(yīng)的各級的計(jì) 算規(guī)則,計(jì)算得到的與該應(yīng)用服務(wù)器級別對應(yīng)的級別的密鑰。
步驟S202:選擇本地存儲的該應(yīng)用服務(wù)器級別以下的各級別的下級密鑰的 密鑰計(jì)算規(guī)則。
具體同步驟S102,在此不再贅述。
步驟S203:獲取本地存儲的與該應(yīng)用服務(wù)器級別對應(yīng)的密鑰。 具體同步驟S103,在此不再贅述。
步驟S204:根據(jù)確定出的計(jì)算規(guī)則和獲取的對應(yīng)級別的密鑰計(jì)算用戶卡的 -瞼證密鑰。
特別的,應(yīng)用服務(wù)器和加密機(jī)可以是分開的,則此時(shí)將選擇的各級別的下 級密鑰計(jì)算規(guī)則、對應(yīng)級別的密鑰,以及MAC1通知給加密機(jī),由加密機(jī)根據(jù) 選擇的計(jì)算規(guī)則和獲取的本級密鑰計(jì)算用戶卡的驗(yàn)證密鑰。若對應(yīng)級別的密鑰
和下級密鑰計(jì)算規(guī)則存儲在接收認(rèn)證數(shù)據(jù)的第 一級應(yīng)用服務(wù)器或中間各級應(yīng) 用服務(wù)器中,則該步驟需要將各級計(jì)算參數(shù)、以及對應(yīng)級別的密鑰和下級密鑰 計(jì)算規(guī)則發(fā)送給加密機(jī);若對應(yīng)級別的密鑰和下級密鑰計(jì)算MJ'J存儲在加密機(jī)
21中,則該步驟除了發(fā)送各級計(jì)算參數(shù)外、還發(fā)送的給加密機(jī)是相應(yīng)的對應(yīng)級別 的密鑰和下級密鑰計(jì)算規(guī)則的指示信息。
用戶卡驗(yàn)證密鑰的具體計(jì)算過程,同步驟S104,此處不再贅述。
步驟S205:使用所述-險(xiǎn)證密鑰驗(yàn)證用戶卡的加密密鑰。 獲取接收到的第 一信息驗(yàn)證碼MAC 1 。
使用計(jì)算得到的該用戶卡的驗(yàn)證密鑰對接收到的認(rèn)證數(shù)據(jù)進(jìn)行加密運(yùn)算, 得到第二信息驗(yàn)證碼MAC2。
比較MAC1和MAC2是否相同,若相同則密鑰驗(yàn)證通過。 步驟S206:返回驗(yàn)證結(jié)果。
根據(jù)上述用戶卡密鑰認(rèn)證方法,可以構(gòu)建一種用戶卡密鑰認(rèn)證裝置,如圖 11所示,包括接收單元201、存儲單元202、選擇單元203、計(jì)算單元204 和驗(yàn)證單元205;
接收單元201,用于接收用戶卡發(fā)送的認(rèn)證數(shù)據(jù)。
存儲單元202,用于存儲對應(yīng)級別的密鑰和各級別的下級密鑰的密鑰計(jì)算 規(guī)則。
選擇單元203,用于根據(jù)用戶卡的用戶信息選擇存儲單元202存儲的各級 別的下級密鑰的密鑰計(jì)算規(guī)則。
較佳的,選擇單元203,進(jìn)一步可以包括方法選擇子單元2031、參數(shù)選 擇子單元2032和密鑰選擇子單元2033;
方法選擇子單元2031,用于選取存儲單元202存儲的多種計(jì)算方法之一為 計(jì)算每一級下級密鑰時(shí)的計(jì)算方法;或選取與接收單元201接收到的認(rèn)證數(shù)據(jù) 中包含的用戶信息中攜帶的算法標(biāo)識對應(yīng)計(jì)算方法為計(jì)算每一級下級密鑰時(shí) 的計(jì)算方法。
參數(shù)選擇子單元2032,用于根據(jù)接收單元201接收到的認(rèn)證數(shù)據(jù)中包含的 用戶信息確定出所述用戶卡的各級歸屬地信息和用戶卡標(biāo)識信息;選擇所述各 級歸屬地信息和用戶卡標(biāo)識信息作為計(jì)算各級別的下級密鑰的對應(yīng)計(jì)算參數(shù)。密鑰選擇子單元2033,用于選取存儲單元202存儲的多個(gè)密鑰中與所述用 戶信息中攜帶的密鑰索引對應(yīng)級別的密鑰。
計(jì)算單元204,用于獲取存儲單元202存儲的對應(yīng)級別的密鑰,根據(jù)獲取 的密鑰,使用選擇單元203選擇的各級別的下級密鑰的密鑰計(jì)算規(guī)則,分別計(jì) 算出各下級密鑰;其中,每一級下級密鑰由其上一級密鑰和本級的密鑰計(jì)算規(guī) 則生成。
驗(yàn)證單元205,用于將計(jì)算單元204計(jì)算得到的最后一級密鑰作為所述用 戶卡的驗(yàn)證密鑰,使用該驗(yàn)證密鑰驗(yàn)證該用戶卡的加密密鑰。
本發(fā)明實(shí)施例提供的密鑰管理方法和系統(tǒng)、密鑰生成及認(rèn)證方法和裝置, 通過應(yīng)用服務(wù)器接收用戶卡發(fā)送的認(rèn)證數(shù)據(jù);根據(jù)認(rèn)證數(shù)據(jù)中包含的用戶信息 選擇本地存儲的各下級密鑰的密鑰計(jì)算規(guī)則;獲取本地存儲的對應(yīng)級別的密 鑰,使用各下級密鑰的密鑰計(jì)算規(guī)則,分別計(jì)算出各下級密鑰;將計(jì)算得到的 最后一級密鑰作為用戶卡的驗(yàn)證密鑰;使用驗(yàn)證密鑰驗(yàn)i正所述用戶卡的加密密 鑰。通過上級密鑰和相應(yīng)的計(jì)算規(guī)則生成下級密鑰,得到用戶卡的驗(yàn)證密鑰, 這種分級生成驗(yàn)證用戶卡加密密鑰的對應(yīng)驗(yàn)證密鑰的方法、實(shí)現(xiàn)了驗(yàn)證密鑰的 分級生成及管理,服務(wù)器只需要存儲本級密鑰和計(jì)算規(guī)則即可,解決了服務(wù)器 中需要存儲大量驗(yàn)證密鑰的問題,且便于密鑰管理。
下級密鑰通過一定的計(jì)算規(guī)則由上級密鑰計(jì)算獲得,使得下級密鑰的生成 過程可以重現(xiàn),這樣應(yīng)用服務(wù)器不再需要存儲大數(shù)據(jù)量的與各用戶卡所共享的 私密密鑰對,應(yīng)用服務(wù)器只需要存儲本級密鑰和計(jì)算MJ'j,如最高級的應(yīng)用 服務(wù)器只需存儲原始的種子密鑰和各下級應(yīng)用服務(wù)器中存儲根據(jù)種子密鑰計(jì) 算得到的少量對應(yīng)級別的密鑰,即可根據(jù)用戶卡的歸屬地信息和用戶卡標(biāo)識信
息計(jì)算得到任何一個(gè)地域的任何一張卡片的-驗(yàn)證密鑰。
當(dāng)某個(gè)區(qū)域的業(yè)務(wù)量增多的時(shí),增設(shè)只為本區(qū)域用戶服務(wù)的下級應(yīng)用服務(wù) 器,將計(jì)算出的本區(qū)域的中間級密鑰,存儲在該下級應(yīng)用服務(wù)器中,該區(qū)域的 用戶直接訪問該下級應(yīng)用服務(wù)器,計(jì)算用戶卡的驗(yàn)證密鑰避免了重復(fù)計(jì)算該應(yīng)
23用服務(wù)器的對應(yīng)級別密鑰的過程,同時(shí)也避免了在下機(jī)應(yīng)用服務(wù)器中大量存儲 與每張用戶卡所共享的驗(yàn)證密鑰,也不再需要維護(hù)驗(yàn)證密鑰與用戶卡的映射關(guān) 系。使得應(yīng)用服務(wù)器能夠從用戶卡密鑰管理和維護(hù)的繁重工作中解脫出來。
由于不同的用戶卡擁有不同的個(gè)性化信息(IMSI或key類型等),因此以 歸屬地信息和個(gè)性化信息作為各級計(jì)算參數(shù),使得計(jì)算出的任一用戶卡的驗(yàn)證 密鑰與用戶卡之間具有固定的對應(yīng)關(guān)系,又可保證不同用戶卡間密鑰的互異 性,每一個(gè)用戶都能與所述級別的應(yīng)用服務(wù)器共享一對/幾對互不相同的私密密 鑰,且應(yīng)用服務(wù)器中不用再存儲用戶卡與私密密鑰對之間的映射關(guān)系,減輕了 應(yīng)用服務(wù)器的負(fù)擔(dān),降低了維護(hù)難度。
同時(shí),種子密鑰或?qū)?yīng)級別的密鑰可以存儲在與應(yīng)用服務(wù)器分離的加密機(jī) 中,且存儲在加密機(jī)安全存儲區(qū)。用戶卡驗(yàn)證密鑰的生成亦由加密機(jī)內(nèi)部完成, 無需應(yīng)用服務(wù)器參與,進(jìn)一步提高了整個(gè)密鑰體系的安全性。
明的精神和范圍。這樣,倘若本發(fā)明的這些修改和變型屬于本發(fā)明權(quán)利要求及 其等同技術(shù)的范圍之內(nèi),則本發(fā)明也意圖包含這些改動和變型在內(nèi)。
權(quán)利要求
1、一種密鑰管理方法,其特征在于,包括將種子密鑰和各級別的下級密鑰的密鑰計(jì)算規(guī)則存儲到第一級應(yīng)用服務(wù)器中;在下級應(yīng)用服務(wù)器中存儲對應(yīng)級別的下級密鑰,以及存儲低于該對應(yīng)級別的各級別的下級密鑰的密鑰計(jì)算規(guī)則;其中,每一級下級密鑰由其上一級密鑰和本級的密鑰計(jì)算規(guī)則生成。
2、 如權(quán)利要求1所述的方法,其特征在于,所述密鑰計(jì)算規(guī)則,包括密鑰的計(jì)算方法和計(jì)算參數(shù)。
3、 一種密鑰管理系統(tǒng),包括至少兩級應(yīng)用服務(wù)器,其特征在于,第一級應(yīng)用服務(wù)器,用于存儲種子密鑰和各級別的下級密鑰的密鑰計(jì)算規(guī)則;下級應(yīng)用服務(wù)器,用于存儲對應(yīng)級別的下級密鑰,以及存儲低于該對應(yīng)級別的各級別的下級密鑰的密鑰計(jì)算規(guī)則;其中,每一級下級密鑰由其上一級密鑰和本級的密鑰計(jì)算規(guī)則生成。
4、 一種用戶卡驗(yàn)^〖正密鑰生成方法,其特征在于,包括應(yīng)用服務(wù)器根據(jù)用戶卡的用戶信息選擇本地存儲的所述應(yīng)用服務(wù)器級別以下的各級別的下級密鑰的密鑰計(jì)算MJ'j;獲取本地存儲的與所述應(yīng)用服務(wù)器級別對應(yīng)的密鑰;根據(jù)獲取的與所述應(yīng)用服務(wù)器級別對應(yīng)的密鑰,使用所述各級別的下級密鑰的密鑰計(jì)算規(guī)則,分別計(jì)算出各下級密鑰;其中,每一級下級密鑰由其上一級密鑰和本級的密鑰計(jì)算規(guī)則生成;將計(jì)算得到的最后一級密鑰作為所述用戶卡的-險(xiǎn)證密鑰。
5、 如權(quán)利要求4所述的方法,其特征在于,所述密鑰計(jì)算規(guī)則包括密鑰的計(jì)算方法和計(jì)算參數(shù);鑰計(jì)算規(guī)則,包括分別從本地存儲的各級別的下級密鑰的多種計(jì)算方法中選取一種;根據(jù)所述用戶信息確定出所述用戶卡的各級歸屬地信息和用戶卡標(biāo)識信息,作為計(jì)算相應(yīng)級別的下級密鑰的計(jì)算參數(shù)。
6、 如權(quán)利要求5所述的方法,其特征在于,從本地存儲的各級別的下級密鑰的多種計(jì)算方法中選取一種,具體為從本地存儲的各級別的下級密鑰的多種計(jì)算方法中任選一種,或者根據(jù)所述用戶信息中攜帶的算法標(biāo)識選擇對應(yīng)的計(jì)算方法。
7、 如權(quán)利要求5或6所述的方法,其特征在于,所述用戶卡發(fā)送的用戶信息中還攜帶密鑰索引;所述獲取本地存儲的與所述應(yīng)用服務(wù)器級別對應(yīng)的密鑰,具體包括選取本地存儲的多個(gè)密鑰中與所述密鑰索引對應(yīng)的密鑰。
8、 一種用戶卡驗(yàn)證密鑰生成裝置,其特征在于,包括存儲模塊、選擇模塊、計(jì)算模塊和確定模塊;所述存儲模塊,用于存儲對應(yīng)級別的密鑰和各級別的下級密鑰的密鑰計(jì)算規(guī)則;所述選擇模塊,用于根據(jù)所述用戶卡的用戶信息選擇所述存儲模塊存儲的各級別的下級密鑰的密鑰計(jì)算規(guī)則;所述計(jì)算模塊,獲取所述存儲模塊存儲的對應(yīng)級別的密鑰,根據(jù)獲取的密鑰,使用所述選擇模塊選擇的各級別的下級密鑰的密鑰計(jì)算規(guī)則,分別計(jì)算出各下級密鑰;其中,每一級下級密鑰由其上一級密鑰和本級的密鑰計(jì)算規(guī)則生成;所述確定模塊,用于確定所述計(jì)算模塊計(jì)算得到的最后一級密鑰為所述用戶卡的—驗(yàn)證密鑰。
9、 如權(quán)利要求8所述的裝置,其特征在于,所述選4奪模塊,包括方法選擇子模塊和參數(shù)選擇子模塊;所述方法選擇子模塊,用于從所述存儲模塊存儲的各級別的下級密鑰的多種計(jì)算方法中分別選取一種;所述參數(shù)選擇子模塊,用于根據(jù)所述用戶信息確定出所述用戶卡的各級歸屬地信息和用戶卡標(biāo)識信息,作為計(jì)算各級別的下級密鑰的對應(yīng)計(jì)算參數(shù)。
10、 如權(quán)利要求9所述的裝置,其特征在于,所述方法選擇子模塊,還用于選取與用戶信息中攜帶的算法標(biāo)識對應(yīng)的計(jì)算方法。
11、 如權(quán)利要求9或IO所述的裝置,其特征在于,所述選擇模塊,還包括密鑰選擇子模塊,用于選取所述存儲模塊存儲的多個(gè)密鑰中與所述用戶信息中攜帶的密鑰索引對應(yīng)的密鑰。
12、 一種用戶卡密鑰認(rèn)證方法,其特征在于,包括應(yīng)用服務(wù)器接收所述用戶卡發(fā)送的認(rèn)證數(shù)據(jù);根據(jù)所述認(rèn)證數(shù)據(jù)中包含的用戶信息選擇本地存儲的所述應(yīng)用服務(wù)器級別以下的各級別的下級密鑰的密鑰計(jì)算規(guī)則;獲取本地存儲的與所述應(yīng)用服務(wù)器級別對應(yīng)的密鑰;根據(jù)獲取的與所述應(yīng)用服務(wù)器級別對應(yīng)的密鑰,使用所述各級別的下級密鑰的密鑰計(jì)算規(guī)則,分別計(jì)算出各下級密鑰;其中,每一級下級密鑰由其上一級密鑰和本級的密鑰計(jì)算規(guī)則生成;將計(jì)算得到的最后 一級密鑰作為所述用戶卡的—瞼,汪密鑰;使用所述驗(yàn)證密鑰驗(yàn)證所述用戶卡的加密密鑰。
13、 如權(quán)利要求12所述的方法,其特征在于,所述密鑰計(jì)算規(guī)則包括密鑰的計(jì)算方法和計(jì)算參數(shù),所述選擇本地存儲的所述應(yīng)用服務(wù)器級別以下的各級別的下級密鑰的密鑰計(jì)算規(guī)則,包括分別從本地存儲的各級別的下級密鑰的多種計(jì)算方法中選取一種;根據(jù)所述用戶信息確定出所述用戶卡的各級歸屬地信息和用戶卡標(biāo)識信息,作為計(jì)算相應(yīng)級別的下級密鑰的計(jì)算參數(shù)。
14、 如權(quán)利要求13所述的方法,其特征在于,從本地存儲的各級別的下級密鑰的多種計(jì)算方法中選取一種,具體為從本地存儲的各級別的下級密鑰的多種計(jì)算方法中任選一種,或者根據(jù)所述用戶信息中攜帶的算法標(biāo)識選擇對應(yīng)的計(jì)算方法。
15、 如權(quán)利要求13或14所述的方法,其特征在于,還包括在所述用戶信息中攜帶密鑰索引;所述獲取本地存儲的與所述應(yīng)用服務(wù)器級別對應(yīng)的密鑰,具體包括選取本地存儲的多個(gè)密鑰中與所述密鑰索引對應(yīng)的密鑰。
16、 一種用戶卡密鑰認(rèn)證裝置,其特征在于,包括接收單元、存儲單元、選擇單元、計(jì)算單元和驗(yàn)證單元;所述接收單元,用于接收所述用戶卡發(fā)送的認(rèn)證數(shù)據(jù);所述存儲單元,用于存儲對應(yīng)級別的密鑰和各級別的下級密鑰的密鑰計(jì)算規(guī)則;所述選擇單元,用于根據(jù)所述用戶卡的用戶信息選4奪所述存儲單元存儲的各級別的下級密鑰的密鑰計(jì)算規(guī)則;所述計(jì)算單元,用于獲取所述存儲單元存儲的對應(yīng)級別的密鑰,才艮據(jù)獲取的密鑰,使用所述選擇單元選擇的各級別的下級密鑰的密鑰計(jì)算規(guī)則,分別計(jì)算出各下級密鑰;其中,每一級下級密鑰由其上一級密鑰和本級的密鑰計(jì)算#見則生成;所述-瞼證單元,用于將所述計(jì)算單元計(jì)算得到的最后一級密鑰作為所述用戶卡的驗(yàn)證密鑰,使用所述驗(yàn)證密鑰驗(yàn)證所述用戶卡的加密密鑰。
17、 如權(quán)利要求16所述的裝置,其特征在于,所述選擇單元,包括方法選擇子單元、參數(shù)選擇子單元和密鑰選擇子單元;所述方法選擇子單元,用于選取所述存儲單元存儲的多種計(jì)算方法之一為計(jì)算每一級下級密鑰時(shí)的計(jì)算方法;或選取與所述用戶信息中攜帶的算法標(biāo)識對應(yīng)的計(jì)算方法為計(jì)算每一級下級密鑰時(shí)的計(jì)算方法;所述參數(shù)選擇子單元,用于根據(jù)所述用戶信息確定出所述用戶卡的各級歸屬地信息和用戶卡標(biāo)識信息;選擇所述各級歸屬地信息和用戶卡標(biāo)識信息作為計(jì)算各級別的下級密鑰的對應(yīng)計(jì)算參數(shù);所述密鑰選擇子單元,用于選取本地存儲的多個(gè)密鑰中與所述用戶信息中攜帶的密鑰索引對應(yīng)級別的密鑰。
全文摘要
本發(fā)明公開了一種密鑰管理方法和系統(tǒng)、密鑰生成及認(rèn)證方法和裝置,該方法包括應(yīng)用服務(wù)器接收用戶卡發(fā)送的認(rèn)證數(shù)據(jù);根據(jù)其中包含的用戶信息選擇本地存儲的應(yīng)用服務(wù)器級別以下的各級別的下級密鑰的密鑰計(jì)算規(guī)則;獲取本地存儲的與應(yīng)用服務(wù)器級別對應(yīng)的密鑰;根據(jù)獲取的密鑰,使用各級別的下級密鑰的密鑰計(jì)算規(guī)則,分別計(jì)算出各下級密鑰;其中,每一級下級密鑰由其上一級密鑰和本級的密鑰計(jì)算規(guī)則生成;將計(jì)算得到的最后一級密鑰作為用戶卡的驗(yàn)證密鑰;使用驗(yàn)證密鑰驗(yàn)證用戶卡的加密密鑰。采用分級方式生成驗(yàn)證用戶卡加密密鑰的對應(yīng)驗(yàn)證密鑰、實(shí)現(xiàn)了驗(yàn)證密鑰的分級生成及管理,解決了服務(wù)器中需要存儲大量驗(yàn)證密鑰及其與用戶卡加密密鑰的映射關(guān)系的問題,減輕了服務(wù)器的負(fù)擔(dān)。
文檔編號H04L9/08GK101686123SQ200810222780
公開日2010年3月31日 申請日期2008年9月24日 優(yōu)先權(quán)日2008年9月24日
發(fā)明者樂祖暉, 任曉明, 斐 劉, 琳 李, 柏洪濤, 鳴 陸 申請人:中國移動通信集團(tuán)公司