本發(fā)明涉及一種網(wǎng)絡(luò)加密技術(shù),尤其涉及一種基于SIM卡的加密方法和加密系統(tǒng)。
背景技術(shù):
隨著互聯(lián)網(wǎng)的發(fā)展,通過網(wǎng)絡(luò)傳送數(shù)據(jù)、共享信息已成為日常信息交流與傳遞的一個必備途徑,為保證數(shù)據(jù)傳送過程中的安全性,目前已有多種對傳送數(shù)據(jù)進(jìn)行加密的方法和工具,最主要的是有如下兩類:
采用非對稱公私鑰對加密方式,這主要B2C或電子商務(wù)類應(yīng)用使用較多??蛻舳耸褂梅?wù)端的公鑰加密數(shù)據(jù)傳送給服務(wù)端,服務(wù)端使用私鑰解開即可以得到明文。密文數(shù)據(jù)在網(wǎng)絡(luò)傳輸中被竊取也無法解密,原因是公鑰加密的數(shù)據(jù)只能私鑰解密,而私鑰除了服務(wù)端知道沒有別的地方知道。當(dāng)然,如果服務(wù)端需要主動傳送密文給客戶端,此種方案有一點局限性。通常情況,此時需要結(jié)合對稱密鑰體系,也就是還是客戶端產(chǎn)生一個臨時的會話密鑰,通過公鑰加密此密鑰后傳給服務(wù)端,服務(wù)端私鑰解密后得到此會話密鑰,此后可以采用此會話密鑰加密任何數(shù)據(jù)給客戶端。
采用對稱密鑰體系加密方式。由于需要堅持一個基本原則,密鑰明文本身是不能在網(wǎng)絡(luò)上傳輸?shù)?,而且有條件的話密鑰也不離開專用的密鑰存儲介質(zhì),因此,采用這種方式往往在客戶端需要有密鑰存儲和運算的芯片,通常是SAM卡。終端設(shè)備SAM卡中存儲的密鑰往往是服務(wù)端中存儲密鑰根據(jù)SAM卡唯一的UID分散的下一級密鑰。
技術(shù)實現(xiàn)要素:
以下給出一個或多個方面的簡要概述以提供對這些方面的基本理解。此概述不是所有構(gòu)想到的方面的詳盡綜覽,并且既非旨在指認(rèn)出所有方面的關(guān)鍵性 或決定性要素亦非試圖界定任何或所有方面的范圍。其唯一的目的是要以簡化形式給出一個或多個方面的一些概念以為稍后給出的更加詳細(xì)的描述之序。
根據(jù)本發(fā)明的一方面,提供了一種基于SIM卡的加密方法,適用于終端設(shè)備與應(yīng)用服務(wù)器之間的數(shù)據(jù)通信,該終端設(shè)備配有SIM卡,歸屬位置寄存器中存儲有該SIM卡中的Ki值且與該應(yīng)用服務(wù)器處于局域網(wǎng)中,該方法包括:
該終端設(shè)備和該歸屬位置寄存器分別基于第一隨機(jī)數(shù)和該SIM卡中的Ki值計算符號響應(yīng)值;以及
該歸屬位置寄存器通過內(nèi)網(wǎng)將該符號響應(yīng)值傳送給該應(yīng)用服務(wù)器,從而該終端設(shè)備和該應(yīng)用服務(wù)器將該符號響應(yīng)值作為加密之用。
在一實例中,該方法還包括:該終端設(shè)備和該應(yīng)用服務(wù)器使用該符號響應(yīng)值作為認(rèn)證密鑰進(jìn)行相互合法性認(rèn)證。
在一實例中,該終端設(shè)備和該應(yīng)用服務(wù)器使用該符號響應(yīng)值作為認(rèn)證密鑰進(jìn)行相互合法性認(rèn)證包括:
該應(yīng)用服務(wù)器使用本地的該符號響應(yīng)值對接收自該終端設(shè)備的第二隨機(jī)數(shù)進(jìn)行加密,并將加密后的密文數(shù)據(jù)回傳給該終端設(shè)備,以及
該終端設(shè)備使用本地的該符號響應(yīng)值對接收自該應(yīng)用服務(wù)器的密文數(shù)據(jù)進(jìn)行解密,若解密得到的數(shù)據(jù)與該第二隨機(jī)數(shù)相同,則該終端設(shè)備認(rèn)證該應(yīng)用服務(wù)器為合法,否則為非法;和/或
該終端設(shè)備使用本地的該符號響應(yīng)值對接收自該應(yīng)用服務(wù)器的第三隨機(jī)數(shù)進(jìn)行加密,并將加密后的密文數(shù)據(jù)回傳給該應(yīng)用服務(wù)器,以及
該應(yīng)用服務(wù)器使用本地的該符號響應(yīng)值對接收自該終端設(shè)備的密文數(shù)據(jù)進(jìn)行解密,若解密得到的數(shù)據(jù)與該第三隨機(jī)數(shù)相同,則該應(yīng)用服務(wù)器認(rèn)證該終端設(shè)備為合法,否則為非法。
在一實例中,該方法還包括:在相互認(rèn)證合法之后,該應(yīng)用服務(wù)器和該終端設(shè)備分別使用該符號響應(yīng)值作為母密鑰獲得子密鑰以用作雙方一次會話的會話密鑰。
在一實例中,該應(yīng)用服務(wù)器和該終端設(shè)備分別使用該符號響應(yīng)值作為母密鑰獲得子密鑰包括:
該終端設(shè)備生成第五隨機(jī)數(shù)并使用該第五隨機(jī)數(shù)作為分散因子對作為母 密鑰的該符號響應(yīng)值執(zhí)行分散計算以獲得該子密鑰,以及
該應(yīng)用服務(wù)器使用接收自該終端設(shè)備的該第五隨機(jī)數(shù)作為分散因子對作為母密鑰的該符號響應(yīng)值執(zhí)行分散計算以獲得該子密鑰;或者
該應(yīng)用服務(wù)器生成第六隨機(jī)數(shù)并使用該第六隨機(jī)數(shù)作為分散因子對作為母密鑰的該符號響應(yīng)值執(zhí)行分散計算以獲得該子密鑰,以及
該終端設(shè)備使用接收自該應(yīng)用服務(wù)器的該第六隨機(jī)數(shù)作為分散因子對作為母密鑰的該符號響應(yīng)值執(zhí)行分散計算以獲得該子密鑰。
在一實例中,該方法還包括:該應(yīng)用服務(wù)器向該歸屬位置寄存器發(fā)送密鑰請求;響應(yīng)于該密鑰請求,該歸屬位置寄存器生成該第一隨機(jī)數(shù)并傳送給該終端設(shè)備。
在一實例中,該方法還包括:該歸屬位置寄存器通過內(nèi)網(wǎng)將該終端設(shè)備的SIM卡用戶號碼傳送給該應(yīng)用服務(wù)器;該應(yīng)用服務(wù)器為該終端設(shè)備分配動態(tài)IP地址并將該動態(tài)IP地址與該SIM卡用戶號碼相關(guān)聯(lián);以及在該終端設(shè)備聯(lián)網(wǎng)時,該應(yīng)用服務(wù)器基于該終端設(shè)備的SIM卡用戶號碼尋找出相關(guān)聯(lián)的動態(tài)IP地址并搜尋到該終端設(shè)備。
在一實例中,該方法還包括:若該終端設(shè)備未聯(lián)網(wǎng),則該應(yīng)用服務(wù)器基于該SIM卡用戶號碼向該終端設(shè)備發(fā)送短信指令以使該終端設(shè)備聯(lián)網(wǎng)。
根據(jù)本發(fā)明的另一方面,提供了一種基于SIM卡的加密系統(tǒng),包括:
終端設(shè)備,該終端設(shè)備裝有SIM卡,并且包括符號響應(yīng)值計算模塊;
歸屬位置寄存器,該歸屬位置寄存器中存儲有該SIM卡中的Ki值,并且包括響應(yīng)值計算模塊;以及
應(yīng)用服務(wù)器,該應(yīng)用服務(wù)器與該歸屬位置寄存器處于同一無線局域網(wǎng)的內(nèi)網(wǎng)中,
其中該終端設(shè)備和該歸屬位置寄存器的符號響應(yīng)值計算模塊分別用于基于第一隨機(jī)數(shù)和該SIM卡中的Ki值計算符號響應(yīng)值,該歸屬位置寄存器通過內(nèi)網(wǎng)將該符號響應(yīng)值傳送給該應(yīng)用服務(wù)器,從而該終端設(shè)備和該應(yīng)用服務(wù)器將該符號響應(yīng)值作為加密之用。
在一實例中,該終端設(shè)備和該應(yīng)用服務(wù)器使用該符號響應(yīng)值作為認(rèn)證密鑰進(jìn)行相互合法性認(rèn)證。
在一實例中,該應(yīng)用服務(wù)器包括加密模塊,以用于使用本地的該符號響應(yīng)值對接收自該終端設(shè)備的第二隨機(jī)數(shù)進(jìn)行加密,加密后的密文數(shù)據(jù)被回傳給該終端設(shè)備,該終端設(shè)備還包括解密模塊,以用于使用本地的該符號響應(yīng)值對接收自該應(yīng)用服務(wù)器的密文數(shù)據(jù)進(jìn)行解密,若解密得到的數(shù)據(jù)與該第二隨機(jī)數(shù)相同,則該終端設(shè)備認(rèn)證該應(yīng)用服務(wù)器為合法,否則為非法;和/或
該終端設(shè)備包括加密模塊,以用于使用本地的該符號響應(yīng)值對接收自該應(yīng)用服務(wù)器的第三隨機(jī)數(shù)進(jìn)行加密,加密后的密文數(shù)據(jù)被回傳給該應(yīng)用服務(wù)器,
該應(yīng)用服務(wù)器還包括解密模塊,以用于使用本地的該符號響應(yīng)值對接收自該終端設(shè)備的密文數(shù)據(jù)進(jìn)行解密,若解密得到的數(shù)據(jù)與該第三隨機(jī)數(shù)相同,則該應(yīng)用服務(wù)器認(rèn)證該終端設(shè)備為合法,否則為非法。
在一實例中,該終端設(shè)備和該應(yīng)用服務(wù)器還分別包括會話密鑰計算模塊,以用于分別使用該符號響應(yīng)值作為母密鑰獲得子密鑰以用作雙方一次會話的會話密鑰。
在一實例中,該終端設(shè)備還包括隨機(jī)數(shù)發(fā)生器,以用于生成第五隨機(jī)數(shù),該終端設(shè)備的會話密鑰計算模塊用于使用該第五隨機(jī)數(shù)作為分散因子對作為母密鑰的該符號響應(yīng)值執(zhí)行分散計算以獲得該子密鑰,以及
該應(yīng)用服務(wù)器的會話密鑰計算模塊用于使用接收自該終端設(shè)備的該第五隨機(jī)數(shù)作為分散因子對作為母密鑰的該符號響應(yīng)值執(zhí)行分散計算以獲得該子密鑰;或者
該應(yīng)用服務(wù)器還包括隨機(jī)數(shù)發(fā)生器,以用于生成第六隨機(jī)數(shù),該應(yīng)用服務(wù)器的會話密鑰計算模塊用于使用該第六隨機(jī)數(shù)作為分散因子對作為母密鑰的該符號響應(yīng)值執(zhí)行分散計算以獲得該子密鑰,以及
該終端設(shè)備的會話密鑰計算模塊用于使用接收自該應(yīng)用服務(wù)器的該第六隨機(jī)數(shù)作為分散因子對作為母密鑰的該符號響應(yīng)值執(zhí)行分散計算以獲得該子密鑰。
在一實例中,該歸屬位置寄存器還包括隨機(jī)數(shù)發(fā)生器,以用于響應(yīng)于來自該應(yīng)用服務(wù)器的密鑰請求,生成該第一隨機(jī)數(shù),以傳送給該終端設(shè)備。
在一實例中,該應(yīng)用服務(wù)器還包括:IP地址分配模塊,用于為該終端設(shè)備分配動態(tài)IP地址;關(guān)聯(lián)單元模塊,用于將該動態(tài)IP地址與接收自該歸屬位 置寄存器的該終端設(shè)備的SIM卡用戶號碼相關(guān)聯(lián);以及查找模塊,用于基于該終端設(shè)備的SIM卡用戶號碼尋找出相關(guān)聯(lián)的動態(tài)IP地址并搜尋到該終端設(shè)備。
在一實例中,若該終端設(shè)備未聯(lián)網(wǎng),則該應(yīng)用服務(wù)器基于該SIM卡用戶號碼向該終端設(shè)備發(fā)送短信指令以使該終端設(shè)備聯(lián)網(wǎng)
附圖說明
在結(jié)合以下附圖閱讀本公開的實施例的詳細(xì)描述之后,能夠更好地理解本發(fā)明的上述特征和優(yōu)點。在附圖中,各組件不一定是按比例繪制,并且具有類似的相關(guān)特性或特征的組件可能具有相同或相近的附圖標(biāo)記。
圖1是示出了根據(jù)本發(fā)明的一方面的基于SIM卡的加密系統(tǒng)的框圖;
圖2是示出了根據(jù)本發(fā)明的一方面的終端設(shè)備的框圖;
圖3是示出了根據(jù)本發(fā)明的一方面的歸屬位置寄存器的框圖;
圖4是示出了根據(jù)本發(fā)明的一方面的應(yīng)用服務(wù)器的框圖;
圖5是示出了根據(jù)本發(fā)明的一方面的基于SIM卡的加密方法的框圖。
符號說明:
100:加密系統(tǒng)
110:終端設(shè)備 111:符號響應(yīng)值計算模塊 112:加密模塊
113:解密模塊 114:隨機(jī)數(shù)發(fā)生器 115:會話密鑰計算模塊
120:歸屬位置寄存器 121:符號響應(yīng)值計算模塊 122:隨機(jī)數(shù)發(fā)生器
123:存儲器
130:應(yīng)用服務(wù)器 131:加密模塊 132:解密模塊 133:隨機(jī)數(shù)發(fā)生器
134:會話密鑰計算模塊 135:IP地址分配模塊 136:關(guān)聯(lián)模塊
137:查找模塊 138:存儲器
具體實施方式
以下結(jié)合附圖和具體實施例對本發(fā)明作詳細(xì)描述。注意,以下結(jié)合附圖和具體實施例描述的諸方面僅是示例性的,而不應(yīng)被理解為對本發(fā)明的保護(hù)范圍進(jìn)行任何限制。
當(dāng)前的加密技術(shù),非對稱公私鑰對加密方式的局限性在于如果服務(wù)端需要主動傳送密文給客戶端,則通常情況,此時需要結(jié)合對稱密鑰體系。然而對稱密鑰體系加密方式往往在客戶端需要有密鑰存儲和運算的芯片,通常是SAM卡。
在本發(fā)明中,在客戶端中安裝SIM卡,由于SIM卡的Ki(Key identifier)值在SIM卡被注冊時已經(jīng)保存在歸屬位置寄存器中,基于移動通信原理,客戶端和歸屬位置寄存器皆可根據(jù)Ki值計算符號響應(yīng)值(sres)。歸屬位置寄存器再將計算出的符號響應(yīng)值通過內(nèi)網(wǎng)發(fā)送給同一局域網(wǎng)內(nèi)的應(yīng)用服務(wù)器,此時,客戶端和應(yīng)用服務(wù)器則可以利用該符號響應(yīng)值進(jìn)行后續(xù)的加密之用。由于符號響應(yīng)值僅僅在歸屬位置寄存器與應(yīng)用服務(wù)器的內(nèi)網(wǎng)中傳播,因此,不會有被竊取的風(fēng)險。
本發(fā)明通過在客戶端裝置上加裝SIM卡,利用移動通信技術(shù)中的sres作為數(shù)據(jù)加密的秘鑰,采用目前常規(guī)加密算法,提供了一種新型的數(shù)據(jù)加密系統(tǒng)及方法。由于sres為非公開傳送數(shù)據(jù),因此提高了加密數(shù)據(jù)的安全性。
以下結(jié)合附圖來描述本發(fā)明的具體實施方式。
圖1是示出了根據(jù)本發(fā)明的一方面的基于SIM卡的加密系統(tǒng)100的框圖。如圖1所示,該加密系統(tǒng)100可包括終端設(shè)備110、歸屬位置寄存器120以及應(yīng)用服務(wù)器130。
終端設(shè)備110可以是安裝有SIM卡的設(shè)備。在形式上,終端設(shè)備110可以是諸如智能電話、PDA、上網(wǎng)本、筆記本電腦等移動設(shè)備,也可以是諸如臺式機(jī)、機(jī)頂盒、智能電視等非移動設(shè)備。眾所周知,每一張SIM卡中存儲著一個Ki值,該Ki是制卡的時候就以特殊工藝燒進(jìn)SIM卡的,由32個十六進(jìn)制的字符組成,如D17F20239EEDBE1520F64A851F3C44C9,若每個字符以二進(jìn)制表示,則長度是128位。
歸屬位置寄存器(Home Location Register,HLR)120包括一個負(fù)責(zé)移動用戶管理的數(shù)據(jù)庫,存儲著所有在該HLR簽約的移動用戶的位置信息、業(yè)務(wù)數(shù)據(jù)、賬戶管理等信息,并可實時地提供對用戶位置信息的查詢和修改,及實現(xiàn)各類業(yè)務(wù)操作,包括位置更新、呼叫處理、鑒權(quán)和補充業(yè)務(wù)等,完成移動通信網(wǎng)中用戶的移動性管理。例如,終端設(shè)備110的SIM卡在開戶時,該SIM 卡的用戶號碼、該SIM卡中的Ki值等用戶信息就被保存到歸屬位置寄存器120中。
應(yīng)用服務(wù)器130是為終端設(shè)備110提供云服務(wù)功能以及相關(guān)需要后臺配合的增值服務(wù)的業(yè)務(wù)系統(tǒng)。應(yīng)用服務(wù)器130與終端設(shè)備110之間需要通過公共網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)通信。應(yīng)用服務(wù)器130與歸屬位置寄存器120處于局域網(wǎng)中。例如,應(yīng)用服務(wù)器130可以是提供移動服務(wù)的移動公司自己的應(yīng)用服務(wù)器。
例如,應(yīng)用服務(wù)器130與歸屬位置寄存器120可通過有線方式進(jìn)行通信。應(yīng)用服務(wù)器130與歸屬位置寄存器120之間的通信所以是內(nèi)網(wǎng)通信。由于是內(nèi)網(wǎng)通信,所以應(yīng)用服務(wù)器130與歸屬位置寄存器120之間的數(shù)據(jù)傳輸不會被竊取。
圖2示出了根據(jù)本發(fā)明的一方面的終端設(shè)備110的框圖,圖3示出了根據(jù)本發(fā)明的一方面的歸屬位置寄存器120的框圖,以及圖4示出了根據(jù)本發(fā)明的一方面的應(yīng)用服務(wù)器130的框圖。
如圖2所示,終端設(shè)備110可包括響應(yīng)值計算模塊111。響應(yīng)值計算模塊111可根據(jù)SIM卡中的Ki值和任一隨機(jī)數(shù)生成符號響應(yīng)值。類似地,如圖3所示,歸屬位置寄存器120也可包括響應(yīng)值計算模塊121,以用于根據(jù)Ki值和任一隨機(jī)數(shù)生成符號響應(yīng)值。
如圖2和圖3所示,終端設(shè)備110和歸屬位置寄存器120還可分別包括隨機(jī)數(shù)發(fā)生器114和隨機(jī)數(shù)發(fā)生器122,以用于生成隨機(jī)數(shù)。
在數(shù)據(jù)加密之前,應(yīng)用服務(wù)器130可向歸屬位置寄存器120發(fā)送密鑰請求。響應(yīng)于該密鑰請求,歸屬位置寄存器120的隨機(jī)數(shù)發(fā)生器122可生成一隨機(jī)數(shù)。響應(yīng)值計算模塊121可計算基于該隨機(jī)數(shù)以及存儲器123中存儲的終端設(shè)備110的SIM卡的Ki值生成符號響應(yīng)值。
另外,歸屬位置寄存器120可將該生成的隨機(jī)數(shù)發(fā)送給終端設(shè)備110。終端設(shè)備110的符號響應(yīng)值計算模塊111可基于該隨機(jī)數(shù)和自身SIM卡中的Ki值生成符號響應(yīng)值。
例如,符號響應(yīng)值計算模塊111和符號響應(yīng)值計算模塊121可基于A3算法來計算該符號響應(yīng)值。由于用于計算符號響應(yīng)值的Ki值和隨機(jī)數(shù)是相同的,因此,終端設(shè)備110和歸屬位置寄存器120可獲得一致的符號響應(yīng)值。
歸屬位置寄存器120在獲得該符號響應(yīng)值之后,可通過內(nèi)網(wǎng)將該符號響應(yīng)值和該SIM卡的用戶號碼傳送給應(yīng)用服務(wù)器130。雖然附圖中僅示出了一個終端設(shè)備110,然而事實上有眾多的終端設(shè)備。歸屬位置寄存器120可以相同方式取得與各終端設(shè)備110相對應(yīng)的符號響應(yīng)值,并傳送給應(yīng)用服務(wù)器130。由此,應(yīng)用服務(wù)器130可在存儲器138中維護(hù)一個實時更新的SIM卡用戶號碼與最近一次的符號響應(yīng)值的對應(yīng)表。
應(yīng)用服務(wù)器130獲得符號響應(yīng)值之后,將與終端設(shè)備110共同擁有該符號響應(yīng)值,從而可將該符號響應(yīng)值用于后續(xù)雙方通信的加密之用。
在一實施例中,終端設(shè)備110和應(yīng)用服務(wù)器130可使用該符號響應(yīng)值作為認(rèn)證密鑰進(jìn)行相互合法性認(rèn)證。
首先,終端設(shè)備110可認(rèn)證后臺的應(yīng)用服務(wù)器130的合法性。這種認(rèn)證最主要的目的是防止非法的后臺劫持某個終端設(shè)備的請求,以達(dá)到釣魚式攻擊。
此時,終端設(shè)備110的隨機(jī)數(shù)發(fā)生器114可隨機(jī)地生成一隨機(jī)數(shù),例如8字節(jié)的隨機(jī)數(shù),然后,將該隨機(jī)數(shù)發(fā)送給應(yīng)用服務(wù)器130。應(yīng)用服務(wù)器130可包括加密模塊131。該加密模塊131可使用本地的符號響應(yīng)值作為密鑰對接收自終端設(shè)備110的該隨機(jī)數(shù)進(jìn)行加密,例如使用3DES或AES加密算法進(jìn)行加密,以得到例如16字節(jié)的密文數(shù)據(jù)。加密后的密文數(shù)據(jù)被回傳給終端設(shè)備110。
終端設(shè)備110可包括解密模塊113。該解密模塊113可使用本地的符號響應(yīng)值對接收到的密文數(shù)據(jù)進(jìn)行解密,例如使用相應(yīng)地3DES或AES解密算法進(jìn)行解密。若解密后得到的數(shù)據(jù)(例如8字節(jié)的隨機(jī)數(shù))與此前發(fā)送給應(yīng)用服務(wù)器130的8字節(jié)的隨機(jī)數(shù)相同,則應(yīng)用服務(wù)器130為合法,即認(rèn)證成功,否則,應(yīng)用服務(wù)器130非法,認(rèn)證失敗。
其次,應(yīng)用服務(wù)器130可認(rèn)證終端設(shè)備110的合法性。這種認(rèn)證最主要的目的是防止非法的終端設(shè)備來攻擊后臺,以達(dá)到信息竊取或非法交易的目的。
此時,應(yīng)用服務(wù)器130的隨機(jī)數(shù)發(fā)生器133可隨機(jī)地生成一隨機(jī)數(shù),例如8字節(jié)的隨機(jī)數(shù),然后,將該隨機(jī)數(shù)發(fā)送給終端設(shè)備110。終端設(shè)備110可包括加密模塊112。該加密模塊112可使用本地的符號響應(yīng)值作為密鑰對接收自應(yīng)用服務(wù)器130的該隨機(jī)數(shù)進(jìn)行加密,例如使用3DES或AES加密算法進(jìn)行加密,以得到例如16字節(jié)的密文數(shù)據(jù)。加密后的密文數(shù)據(jù)被回傳給應(yīng)用服務(wù)器 130。
應(yīng)用服務(wù)器130可包括解密模塊132。該解密模塊132可使用本地的符號響應(yīng)值對接收到的密文數(shù)據(jù)進(jìn)行解密,例如使用相應(yīng)地3DES或AES解密算法進(jìn)行解密。若解密后得到的數(shù)據(jù)(例如8字節(jié)的隨機(jī)數(shù))與此前發(fā)送給終端設(shè)備110的8字節(jié)的隨機(jī)數(shù)相同,則終端設(shè)備110為合法,即認(rèn)證成功,否則,終端設(shè)備110非法,認(rèn)證失敗。
終端設(shè)備110和應(yīng)用服務(wù)器130在雙方認(rèn)證合法之后,可進(jìn)入真正的業(yè)務(wù)數(shù)據(jù)交換,包括業(yè)務(wù)請求、業(yè)務(wù)處理返回、交易請求、交易處理返回等。由于通信鏈路中的符號響應(yīng)值可能會保持較長時間,因此在業(yè)務(wù)處理的數(shù)據(jù)交換中可不采用符號響應(yīng)值本身作為密鑰,而是采用臨時的業(yè)務(wù)會話密鑰。
如果將任何一個業(yè)務(wù)處理的完整過程(每次總是開始于會話發(fā)起握手信息,然后是中間的若干次業(yè)務(wù)處理請求和業(yè)務(wù)處理返回,最后是會話結(jié)束握手信息)定義為一次業(yè)務(wù)會話,則終端設(shè)備110和應(yīng)用服務(wù)器130可為每次會話采用獨一無二的會話密鑰。
相應(yīng)地,在終端設(shè)備110和應(yīng)用服務(wù)器130相互認(rèn)證成功之后,可使用該符號響應(yīng)值作為母密鑰以獲取子密鑰,以用作雙方一次會話的會話密鑰。如圖2和圖4所示,終端設(shè)備110和應(yīng)用服務(wù)器130可分別包括會話密鑰計算模塊115和134,以用于分別使用符號響應(yīng)值作為母密鑰獲得子密鑰以用作雙方一次會話的會話密鑰。
在一實例中,此會話密鑰是通過符號響應(yīng)值分散得到的子密鑰,無論是終端110或應(yīng)用服務(wù)器130都可以向?qū)Ψ絺魉鸵粋€隨機(jī)數(shù)來請求產(chǎn)生會話密鑰,雙方通過這個隨機(jī)數(shù)作為分散因子,使用符號響應(yīng)值作為母密鑰計算得到會話密鑰。接下來的業(yè)務(wù)處理的數(shù)據(jù)交換使用此會話密鑰加解密,直到此業(yè)務(wù)處理完成為止。
具體地,終端設(shè)備110可發(fā)起該請求。例如終端設(shè)備的隨機(jī)數(shù)發(fā)生器114可生成一隨機(jī)數(shù),會話密鑰計算模塊115可使用該隨機(jī)數(shù)作為分散因子對本地的符號響應(yīng)值執(zhí)行分散計算以獲得該子密鑰。另外,終端設(shè)備110可將該隨機(jī)數(shù)發(fā)送給應(yīng)用服務(wù)器130以請求產(chǎn)生會話密鑰。應(yīng)用服務(wù)器130在接收到該隨機(jī)數(shù)后,會話密鑰計算模塊134可使用該隨機(jī)數(shù)作為分散因子對本地的符號響 應(yīng)值執(zhí)行分散計算以獲得該子密鑰。然后,終端設(shè)備110與應(yīng)用服務(wù)器130可將該子密鑰用于兩者間的一次會話。在該次會話結(jié)束后,下次會話開始前,可采用同樣流程以獲得用于下一次會話的會話密鑰。
另外,應(yīng)用服務(wù)器130可發(fā)起該請求。例如應(yīng)用服務(wù)器的隨機(jī)數(shù)發(fā)生器133可生成一隨機(jī)數(shù),會話密鑰計算模塊134可使用該隨機(jī)數(shù)作為分散因子對本地的符號響應(yīng)值執(zhí)行分散計算以獲得該子密鑰。另外,應(yīng)用服務(wù)器130可將該隨機(jī)數(shù)發(fā)送給終端設(shè)備110以請求產(chǎn)生會話密鑰。終端設(shè)備110在接收到該隨機(jī)數(shù)后,會話密鑰計算模塊115可使用該隨機(jī)數(shù)作為分散因子對本地的符號響應(yīng)值執(zhí)行分散計算以獲得該子密鑰。然后,終端設(shè)備110與應(yīng)用服務(wù)器130可將該子密鑰用于兩者間的一次會話。在該次會話結(jié)束后,下次會話開始前,可采用同樣流程以獲得用于下一次會話的會話密鑰。
另一方面,利用終端設(shè)備中的SIM卡,為終端設(shè)備分配唯一身份標(biāo)識,可實現(xiàn)應(yīng)用平臺對設(shè)備的尋址。
具體地,終端設(shè)備110開機(jī)后,歸屬位置寄存器120可將該終端設(shè)備110額注冊信息通過內(nèi)網(wǎng)發(fā)送給應(yīng)用服務(wù)器130,該注冊信息中包括SIM卡用戶號碼。
應(yīng)用服務(wù)器130可包括IP地址分配模塊135和關(guān)聯(lián)模塊136。若終端設(shè)備110處于聯(lián)網(wǎng)狀態(tài)。則應(yīng)用服務(wù)器130的IP地址分配模塊135可為該終端設(shè)備110分配一個動態(tài)IP地址,同時關(guān)聯(lián)模塊136可將該分配的動態(tài)IP地址與SIM卡用戶號碼相關(guān)聯(lián)。另外,應(yīng)用服務(wù)器130可包括查找模塊137,用于根據(jù)終端設(shè)備110的SIM卡用戶號碼可以尋找出相關(guān)聯(lián)的動態(tài)IP地址,從而搜索到該終端設(shè)備110,實現(xiàn)反向?qū)ぶ?。若終端設(shè)備110未聯(lián)網(wǎng),則應(yīng)用服務(wù)器130可基于該終端設(shè)備110的SIM卡用戶號碼向終端設(shè)備110發(fā)送短信指令,使其聯(lián)網(wǎng)。聯(lián)網(wǎng)后,可以實現(xiàn)上述反向?qū)ぶ饭δ堋?/p>
由于在終端設(shè)備上加裝了SIM卡,當(dāng)終端設(shè)備未實時聯(lián)網(wǎng)時,可以通過電話號碼反向?qū)ふ也拘言O(shè)備,解決了目前動態(tài)分配IP地址情況下,設(shè)備未聯(lián)網(wǎng)情況下無法尋找并連接設(shè)備的問題。
圖5是示出了根據(jù)本發(fā)明的一方面的基于SIM卡的加密方法500的框圖。附圖所示,該方法500可包括以下步驟:
步驟502:終端設(shè)備和歸屬位置寄存器分別基于第一隨機(jī)數(shù)和所述SIM卡中的Ki值計算符號響應(yīng)值。
該終端設(shè)備可配有SIM卡,該歸屬位置寄存器中存儲有該SIM卡中的Ki值且。特別地,該歸屬位置寄存器與該應(yīng)用服務(wù)器處于局域網(wǎng)中,換言之,兩者處于同一內(nèi)網(wǎng)中,從而兩者之間的數(shù)據(jù)傳輸是安全的,不會被竊取。
在一實例中,首先由應(yīng)用服務(wù)器向歸屬位置寄存器發(fā)送密鑰請求。響應(yīng)于該密鑰請求,歸屬位置寄存器生成該第一隨機(jī)數(shù)并傳送給終端設(shè)備。
步驟504:歸屬位置寄存器通過內(nèi)網(wǎng)將符號響應(yīng)值傳送給應(yīng)用服務(wù)器,從而終端設(shè)備和應(yīng)用服務(wù)器將符號響應(yīng)值作為加密之用。
在一實施例中,終端設(shè)備和應(yīng)用服務(wù)器可使用符號響應(yīng)值作為認(rèn)證密鑰進(jìn)行相互合法性認(rèn)證。
例如,應(yīng)用服務(wù)器可使用本地的符號響應(yīng)值對接收自終端設(shè)備的第二隨機(jī)數(shù)進(jìn)行加密,并將加密后的密文數(shù)據(jù)回傳給終端設(shè)備。然后,終端設(shè)備使用本地的符號響應(yīng)值對接收自應(yīng)用服務(wù)器的密文數(shù)據(jù)進(jìn)行解密,若解密得到的數(shù)據(jù)與該第二隨機(jī)數(shù)相同,則終端設(shè)備認(rèn)證該應(yīng)用服務(wù)器為合法,否則為非法。
再例如,終端設(shè)備可使用本地的符號響應(yīng)值對接收自應(yīng)用服務(wù)器的第三隨機(jī)數(shù)進(jìn)行加密,并將加密后的密文數(shù)據(jù)回傳給應(yīng)用服務(wù)器。然后,應(yīng)用服務(wù)器可使用本地的符號響應(yīng)值對接收自終端設(shè)備的密文數(shù)據(jù)進(jìn)行解密,若解密得到的數(shù)據(jù)與第三隨機(jī)數(shù)相同,則應(yīng)用服務(wù)器認(rèn)證該終端設(shè)備為合法,否則為非法。
在相互認(rèn)證合法之后,應(yīng)用服務(wù)器和終端設(shè)備可分別使用符號響應(yīng)值作為母密鑰獲得子密鑰以用作雙方一次會話的會話密鑰。
例如,終端設(shè)備可生成第五隨機(jī)數(shù)并使用該第五隨機(jī)數(shù)作為分散因子對作為母密鑰的符號響應(yīng)值執(zhí)行分散計算以獲得該子密鑰。作為另一方,應(yīng)用服務(wù)器使用接收自終端設(shè)備的該第五隨機(jī)數(shù)作為分散因子對作為母密鑰的符號響應(yīng)值執(zhí)行分散計算也獲得該子密鑰。
或者,由應(yīng)用服務(wù)器生成第六隨機(jī)數(shù)并使用該第六隨機(jī)數(shù)作為分散因子對作為母密鑰的符號響應(yīng)值執(zhí)行分散計算以獲得子密鑰。作為另一方,終端設(shè)備使用接收自應(yīng)用服務(wù)器的該第六隨機(jī)數(shù)作為分散因子對作為母密鑰的符號響應(yīng)值執(zhí)行分散計算也獲得該子密鑰。
在另一實施例中,歸屬位置寄存器可通過內(nèi)網(wǎng)將終端設(shè)備的SIM卡用戶號碼傳送給應(yīng)用服務(wù)器。應(yīng)用服務(wù)器可為該終端設(shè)備分配動態(tài)IP地址并將該動態(tài)IP地址與該SIM卡用戶號碼相關(guān)聯(lián)。然后,在終端設(shè)備聯(lián)網(wǎng)時,應(yīng)用服務(wù)器可基于終端設(shè)備的SIM卡用戶號碼尋找出相匹配的IP地址并搜尋到該終端設(shè)備。若終端設(shè)備未聯(lián)網(wǎng),則應(yīng)用服務(wù)器可基于SIM卡用戶號碼向終端設(shè)備發(fā)送短信指令以使終端設(shè)備聯(lián)網(wǎng)。通過電話號碼反向?qū)ふ也拘言O(shè)備,解決了目前動態(tài)分配IP地址情況下,設(shè)備未聯(lián)網(wǎng)情況下無法尋找并連接設(shè)備的問題。
盡管為使解釋簡單化將上述方法圖示并描述為一系列動作,但是應(yīng)理解并領(lǐng)會,這些方法不受動作的次序所限,因為根據(jù)一個或多個實施例,一些動作可按不同次序發(fā)生和/或與來自本文中圖示和描述或本文中未圖示和描述但本領(lǐng)域技術(shù)人員可以理解的其他動作并發(fā)地發(fā)生。
本領(lǐng)域技術(shù)人員將可理解,信息、信號和數(shù)據(jù)可使用各種不同技術(shù)和技藝中的任何技術(shù)和技藝來表示。例如,以上描述通篇引述的數(shù)據(jù)、指令、命令、信息、信號、位(比特)、碼元、和碼片可由電壓、電流、電磁波、磁場或磁粒子、光場或光學(xué)粒子、或其任何組合來表示。
本領(lǐng)域技術(shù)人員將進(jìn)一步領(lǐng)會,結(jié)合本文中所公開的實施例來描述的各種解說性邏輯板塊、模塊、電路、和算法步驟可實現(xiàn)為電子硬件、計算機(jī)軟件、或這兩者的組合。為清楚地解說硬件與軟件的這一可互換性,各種解說性組件、框、模塊、電路、和步驟在上面是以其功能性的形式作一般化描述的。此類功能性是被實現(xiàn)為硬件還是軟件取決于具體應(yīng)用和施加于整體系統(tǒng)的設(shè)計約束。技術(shù)人員對于每種特定應(yīng)用可用不同的方式來實現(xiàn)所描述的功能性,但這樣的實現(xiàn)決策不應(yīng)被解讀成導(dǎo)致脫離了本發(fā)明的范圍。
結(jié)合本文所公開的實施例描述的各種解說性邏輯模塊、和電路可用通用處理器、數(shù)字信號處理器(DSP)、專用集成電路(ASIC)、現(xiàn)場可編程門陣列(FPGA)或其它可編程邏輯器件、分立的門或晶體管邏輯、分立的硬件組件、或其設(shè)計成執(zhí)行本文所描述功能的任何組合來實現(xiàn)或執(zhí)行。通用處理器可以是微處理器,但在替換方案中,該處理器可以是任何常規(guī)的處理器、控制器、微控制器、或狀態(tài)機(jī)。處理器還可以被實現(xiàn)為計算設(shè)備的組合,例如DSP與微處理器的組合、多個微處理器、與DSP核心協(xié)作的一個或多個微處理器、或 任何其他此類配置。
結(jié)合本文中公開的實施例描述的方法或算法的步驟可直接在硬件中、在由處理器執(zhí)行的軟件模塊中、或在這兩者的組合中體現(xiàn)。軟件模塊可駐留在RAM存儲器、閃存、ROM存儲器、EPROM存儲器、EEPROM存儲器、寄存器、硬盤、可移動盤、CD-ROM、或本領(lǐng)域中所知的任何其他形式的存儲介質(zhì)中。示例性存儲介質(zhì)耦合到處理器以使得該處理器能從/向該存儲介質(zhì)讀取和寫入信息。在替換方案中,存儲介質(zhì)可以被整合到處理器。處理器和存儲介質(zhì)可駐留在ASIC中。ASIC可駐留在用戶終端中。在替換方案中,處理器和存儲介質(zhì)可作為分立組件駐留在用戶終端中。
在一個或多個示例性實施例中,所描述的功能可在硬件、軟件、固件或其任何組合中實現(xiàn)。如果在軟件中實現(xiàn)為計算機(jī)程序產(chǎn)品,則各功能可以作為一條或更多條指令或代碼存儲在計算機(jī)可讀介質(zhì)上或藉其進(jìn)行傳送。計算機(jī)可讀介質(zhì)包括計算機(jī)存儲介質(zhì)和通信介質(zhì)兩者,其包括促成計算機(jī)程序從一地向另一地轉(zhuǎn)移的任何介質(zhì)。存儲介質(zhì)可以是能被計算機(jī)訪問的任何可用介質(zhì)。作為示例而非限定,這樣的計算機(jī)可讀介質(zhì)可包括RAM、ROM、EEPROM、CD-ROM或其它光盤存儲、磁盤存儲或其它磁存儲設(shè)備、或能被用來攜帶或存儲指令或數(shù)據(jù)結(jié)構(gòu)形式的合意程序代碼且能被計算機(jī)訪問的任何其它介質(zhì)。任何連接也被正當(dāng)?shù)胤Q為計算機(jī)可讀介質(zhì)。例如,如果軟件是使用同軸電纜、光纖電纜、雙絞線、數(shù)字訂戶線(DSL)、或諸如紅外、無線電、以及微波之類的無線技術(shù)從web網(wǎng)站、服務(wù)器、或其它遠(yuǎn)程源傳送而來,則該同軸電纜、光纖電纜、雙絞線、DSL、或諸如紅外、無線電、以及微波之類的無線技術(shù)就被包括在介質(zhì)的定義之中。如本文中所使用的盤(disk)和碟(disc)包括壓縮碟(CD)、激光碟、光碟、數(shù)字多用碟(DVD)、軟盤和藍(lán)光碟,其中盤(disk)往往以磁的方式再現(xiàn)數(shù)據(jù),而碟(disc)用激光以光學(xué)方式再現(xiàn)數(shù)據(jù)。上述的組合也應(yīng)被包括在計算機(jī)可讀介質(zhì)的范圍內(nèi)。
提供對本公開的先前描述是為使得本領(lǐng)域任何技術(shù)人員皆能夠制作或使用本公開。對本公開的各種修改對本領(lǐng)域技術(shù)人員來說都將是顯而易見的,且本文中所定義的普適原理可被應(yīng)用到其他變體而不會脫離本公開的精神或范圍。由此,本公開并非旨在被限定于本文中所描述的示例和設(shè)計,而是應(yīng)被授 予與本文中所公開的原理和新穎性特征相一致的最廣范圍。