CN109818734A - 一种基本密钥分发方法、装置和介质 - Google Patents
一种基本密钥分发方法、装置和介质 Download PDFInfo
- Publication number
- CN109818734A CN109818734A CN201711168630.XA CN201711168630A CN109818734A CN 109818734 A CN109818734 A CN 109818734A CN 201711168630 A CN201711168630 A CN 201711168630A CN 109818734 A CN109818734 A CN 109818734A
- Authority
- CN
- China
- Prior art keywords
- key
- basic key
- basic
- terminal device
- cryptographic hash
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Abstract
本发明公开了一种基本密钥分发方法、装置和介质,用以在提高密钥分发的安全性的同时,节约网络侧密钥管理平台的存储资源的开销。网络侧实施的基本密钥分发方法,包括:生成基本密钥分发文件,所述基本密钥分发文件中包含有基本密钥生成资源;向终端设备离线传输基本密钥分发文件。
Description
技术领域
本发明涉及信息安全技术领域,尤其涉及一种基本密钥分发方法、装置和介质。
背景技术
本部分旨在为权利要求书中陈述的本发明的实施方式提供背景或上下文。此处的描述不因为包括在本部分中就承认是现有技术。
数据加密是解决信息安全问题的有效手段,可以防止信息在存储和传输过程中被窃取、篡改。目前,随着各公司越来越重视商业秘密的保护,个人越来越重视个人隐私的保护,更多的信息系统使用了数据加密技术。
在VOIP(Voice over Internet Protocol,网络语音电话)语音加密系统中,密钥管理平台负责系统内部所有终端设备密钥的产生、分发、存储、销毁等,终端设备通过建立加密隧道保证语音数据的无线传输安全。基本密钥是终端设备最底层的初始密钥,完成对其它密钥的加密保护。为满足系统安全性要求,每台终端设备的基本密钥不能相同。
目前基本密钥一般是由密钥管理平台使用物理噪声源产生,通过离线方式分发给终端设备,同时密钥管理平台存储所有终端设备的基本密钥。
现有技术中,一方面,基本密钥离线分发采用明文数据直接传输的方式,使得基本密钥分发存在一定的安全风险;另一方面,由于密钥管理平台需要存储所有终端设备的基本密钥,当系统中存在的终端设备数量较大时,密钥管理平台需要存储的数据量相应也比较大,增加了密钥管理平台的存储资源的开销。
发明内容
本发明实施例提供了一种基本密钥分发方法、装置和介质,用以在提高密钥分发的安全性的同时,节约网络侧密钥管理平台的存储资源的开销。
第一方面,提供了一种网络侧实施的基本密钥分发方法,包括:
生成基本密钥分发文件,所述基本密钥分发文件中包含有基本密钥生成资源;
向终端设备离线传输基本密钥分发文件。
可选地,网络侧实施的基本密钥分发方法,还包括:
接收所述终端设备发送的密钥分发响应消息,所述密钥分发响应消息为所述终端设备在利用所述基本密钥生成资源生成基本密钥之后发送的,所述密钥分发响应消息中携带有所述终端设备对应的设备标识;
更新所述设备标识对应的密钥状态。
可选地,网络侧实施的基本密钥分发方法,还包括:
接收所述终端设备发送的基本密钥恢复请求,所述基本密钥恢复请求中携带有所述终端设备对应的设备标识;
查询所述设备标识对应的密钥状态为在用状态时,利用所述基本密钥生成资源生成所述终端设备对应的基本密钥并发送给所述终端设备。
可选地,所述基本密钥生成资源包括所述网络侧为终端设备分配的唯一设备标识、所述网络侧生成的密钥库表和基础密钥,所述密钥库表中存储有预设数量的随机数;以及
利用所述基本密钥生成资源生成所述终端设备对应的基本密钥,具体包括:
根据所述设备标识和所述基础密钥确定第一哈希值;
按照预设规则从所述第一哈希值中选取两位字符;
根据选取的两位字符,从所述密钥库表中查找对应的随机数;
利用所述随机数作为密钥确定所述第一哈希值对应的第二哈希值;
确定所述第二哈希值为所述终端设备对应的基本密钥。
第二方面,提供了一种终端设备实施的基本密钥分发方法,包括:
接收网络侧离线传输的基本密钥分发文件,所述基本密钥分发文件中包含有基本密钥生成资源;
根据所述基本密钥生成资源,利用预设的密钥生成算法生成基本密钥并存储。
可选地,所述基本密钥生成资源包括所述网络侧为终端设备分配的唯一设备标识、所述网络侧生成的密钥库表和基础密钥,所述密钥库表中存储有预设数量的随机数;以及
根据所述基本密钥生成资源,利用预设的密钥生成算法生成基本密钥,具体包括:
根据所述设备标识和所述基础密钥确定第一哈希值;
按照预设规则从所述第一哈希值中选取两位字符;
根据选取的两位字符,从所述密钥库表中查找对应的随机数;
利用所述随机数作为密钥确定所述第一哈希值对应的第二哈希值;
确定所述第二哈希值为所述基本密钥。
可选地,终端设备实施的基本密钥分发方法,在生成基本密钥之后,还包括:
利用所述基本密钥对终端本地存储的数据进行加密;或者
利用所述基本密钥对发送给网络侧的数据进行加密后传输。
可选地,在生成基本密钥之后,还包括:
向所述网络侧发送密钥分发响应消息,所述响应消息中携带有所述设备标识,使得所述网络侧根据所述设备标识更新所述设备标识对应的密钥状态。
第三方面,提供了一种网络侧实施的基本密钥分发装置,包括:
第一生成单元,用于生成基本密钥分发文件,所述基本密钥分发文件中包含有基本密钥生成资源;
发送单元,用于向终端设备离线传输基本密钥分发文件。
可选地,网络侧实施的基本密钥分发装置,还包括:
第一接收单元,用于接收所述终端设备发送的密钥分发响应消息,所述密钥分发响应消息为所述终端设备在利用所述基本密钥生成资源生成基本密钥之后发送的,所述密钥分发响应消息中携带有所述终端设备对应的设备标识;
更新单元,用于更新所述设备标识对应的密钥状态。
可选地,网络侧实施的基本密钥分发装置,还包括:
第二接收单元,用于接收所述终端设备发送的基本密钥恢复请求,所述基本密钥恢复请求中携带有所述终端设备对应的设备标识;
第二生成单元,用于查询所述设备标识对应的密钥状态为在用状态时,利用所述基本密钥生成资源生成所述终端设备对应的基本密钥并发送给所述终端设备。
可选地,所述基本密钥生成资源包括所述网络侧为终端设备分配的唯一设备标识、所述网络侧生成的密钥库表和基础密钥,所述密钥库表中存储有预设数量的随机数;以及
所述第二生成单元,用于根据所述设备标识和所述基础密钥确定第一哈希值;按照预设规则从所述第一哈希值中选取两位字符;根据选取的两位字符,从所述密钥库表中查找对应的随机数;利用所述随机数作为密钥确定所述第一哈希值对应的第二哈希值;确定所述第二哈希值为所述终端设备对应的基本密钥。
第四方面,提供一种终端设备实施的基本密钥分发装置,包括:
接收单元,用于接收网络侧离线传输的基本密钥分发文件,所述基本密钥分发文件中包含有基本密钥生成资源;
生成单元,用于根据所述基本密钥生成资源,利用预设的密钥生成算法生成基本密钥并存储。
可选地,所述基本密钥生成资源包括所述网络侧为终端设备分配的唯一设备标识、所述网络侧生成的密钥库表和基础密钥,所述密钥库表中存储有预设数量的随机数;以及
所述生成单元,具体用于根据所述设备标识和所述基础密钥确定第一哈希值;按照预设规则从所述第一哈希值中选取两位字符;根据选取的两位字符,从所述密钥库表中查找对应的随机数;利用所述随机数作为密钥确定所述第一哈希值对应的第二哈希值;确定所述第二哈希值为所述基本密钥。
可选地,终端设备实施的基本密钥分发装置,还包括:
加密单元,用于在所述生成单元生成基本密钥之后,利用所述基本密钥对终端本地存储的数据进行加密;或者利用所述基本密钥对发送给网络侧的数据进行加密后传输。
可选地,终端设备实施的基本密钥分发装置,还包括:
发送单元,用于向所述网络侧发送密钥分发响应消息,所述响应消息中携带有所述设备标识,使得所述网络侧根据所述设备标识更新所述设备标识对应的密钥状态。
第五方面,提供一种计算装置,包括至少一个处理单元、以及至少一个存储单元,其中,所述存储单元存储有计算机程序,当所述程序被所述处理单元执行时,使得所述处理单元执行上述任一方法所述的步骤。
第六方面,提供一种计算机可读介质,其存储有可由计算装置执行的计算机程序,当所述程序在计算装置上运行时,使得所述计算装置执行上述任一方法所述的步骤。
本发明实施例提供的基本密钥分发方法、装置和介质中,通过生成基本密钥分发文件并离线发送给终端设备,所述基本密钥分发文件文件中包含有基本密钥生成资源,由终端设备根据基本密钥生成资源自行生成基本密钥,这样,一方面,由于网络侧与终端设备之间传输的是基本密钥分发文件而不是基本密钥,因此,提高了基本密钥的安全性;另一方面,由于网络侧只需存储基本密钥分发文件,而无需存储每一终端设备对应的基本密钥,因此,大大节约了网络侧存储资源的开销。
本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本发明的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1为本发明实施例中,网络侧实施的基本密钥分发方法的实施流程示意图;
图2为本发明实施例中,恢复终端设备的基本密钥的实施流程示意图;
图3为本发明实施例中,终端设备实施的基本密钥分发方法的实施流程示意图;
图4为本发明实施例中,网络侧实施的基本密钥分发装置的结构示意图;
图5为本发明实施例中,终端设备侧实施的基本密钥分发装置的结构示意图;
图6为根据本发明实施方式的计算装置的结构示意图。
具体实施方式
为了提高基本密钥的安全性,节约网络侧存储资源的开销,本发明实施例提供一种基本密钥分发方法、装置和介质。
以下结合说明书附图对本发明的优选实施例进行说明,应当理解,此处所描述的优选实施例仅用于说明和解释本发明,并不用于限定本发明,并且在不冲突的情况下,本发明中的实施例及实施例中的特征可以相互组合。
如图1所示,其为本发明实施例提供的网络侧实施的基本密钥分发方法的实施流程示意图,可以包括以下步骤:
S11、生成基本密钥分发文件,所述基本密钥分发文件中包含有基本密钥生成资源。
具体实施时,网络侧的密钥管理平台可以按照以下流程生成密钥生成文件:
步骤1、密钥管理平台通过物理噪声源产生一随机数,为了便于描述,本发明实施例中称之为基础密钥。
其中,网络侧的密钥管理平台产生的随机数的长度可以预先设置,例如,可以设置为20byte,即密钥管理平台通过物理噪声源产生一段长度为20byte的随机数。
步骤2、密钥管理平台生成密钥库表。
其中,密钥库表大小以及其包含的每一个数据的大小也可以预先设置,例如,设置密钥库表大小为16*16,每一个数据大小为20byte,这样,密钥管理平台生成一个大小为16*16的数据表,其中,每一个数据为长度为20Byte的随机数,密钥库表占用的存储空间大小为(16*16*20/1024=)5Kbyte。
步骤3、密钥管理平台为每一终端设备分配唯一的设备标识。
具体实施时,设备标识的长度可以根据实际需要进行设置,例如设备标识为长度为8的十进制数,其可满足终端设备数量为108的加密系统的使用需求。
在生成了基础密钥、密钥库表和为终端设备分配了设备标识之后,密钥管理平台存储基础密钥和密钥库表,同时建立一个数据库表,通过设备标识来记录终端设备的基本密钥状态。
较佳地,在密钥管理平台可以对基础密钥和密钥库表加密后存储,以降低网络侧存储的基础密钥和密钥库表泄露的风险。
如表1所示,其为密钥管理平台建立的数据库表一种可能的结构示意:
表1
密钥管理平台将基础密钥、密钥库表和为终端设备分配的设备标识组成基本密钥分发文件。如表2所示,其为密钥管理平台存储的密钥分发文件的一种结构示意图:
表2
| 设备标识(ID) | 基础密钥(KB) | 密钥库表(KDB) |
| 4Byte | 20Byte | 5KByte |
S12、向终端设备离线传输基本密钥分发文件。
本步骤中,可以通过离线方式将基本密钥分发文件导入至终端设备中。例如,可以通过物理接口传输给终端设备。
需要说明的是,密钥管理平台向终端设备发送的基本密钥分发文件中,可以仅包括为该终端设备分配的设备标识。具体实施时,密钥管理平台在向终端设备发送基本密钥分发文件之后,首先查询自身为终端设备分配的设备标识对应的密钥状态,并从密钥状态为未使用状态的设备标识中选择一个携带在基本密钥分发文件中发送给终端设备作为该终端设备的设备标识。
终端设备在接收到密钥管理平台传输的基本密钥分发文件之后,获得其中的基本密钥生成资源,即基础密钥,密钥管理平台为其分配的唯一的设备标识和密钥库表。并利用获得的基本密钥生成资源根据预设算法生成其对应的基本密钥。终端设备在生成了基本密钥之后,向网络侧的密钥管理平台发送密钥分发响应消息,其中携带有该终端设备对应的设备标识,密钥管理平台根据其中携带的设备标识更新数据库表中相应设备标识对应的密钥状态,即从未使用状态更新为在用状态。
具体实施时,如果终端设备由于某种原因丢失了其本地存储的基本密钥,本发明实施例中可以通过图2所示的流程恢复终端设备的基本密钥:
S21、密钥管理平台接收所述终端设备发送的基本密钥恢复请求。
其中,密钥管理平台接收到的基本密钥恢复请求中携带有所述终端设备对应的设备标识。
S22、密钥管理平台查询所述设备标识对应的密钥状态为在用状态时,利用所述基本密钥生成资源生成所述终端设备对应的基本密钥并发送给所述终端设备。
本步骤中,密钥管理平台可以按照以下方法生成该终端设备对应的基本密钥:
步骤1、根据所述设备标识和所述基础密钥确定第一哈希值。
本步骤中,密钥管理平台可以按照以下公式确定第一哈希值:N1=HASH(ID||KB),其中,N1表示第一哈希值,ID为终端设备对应的设备标识,KB为基础密钥,本步骤为计算“ID+KB”的HASH值。
步骤2、按照预设规则从所述第一哈希值中选取两位字符。
本步骤中,可以按照一定的规则从步骤1得到的第一哈希值中选取两位字符。例如,具体实施时,可以按照以下公式从第一哈希值中选取两位字符:N2=RIGHT(N1,2),其中,N2表示从第一哈希值中选取的两位字符,RIGHT(N1,2)表示取字符串N1的后两位字符。
步骤3、根据选取的两位字符,从所述密钥库表中查找对应的随机数。
本步骤中,可以通过N2在密钥库表中选择对应的随机数K,其中两位字符中的前一位表示行标识,后一位字符标识列标识,例如,字符25表示密钥库表中第2行第5列的随机数。
步骤4、利用所述随机数作为密钥确定所述第一哈希值对应的第二哈希值。
本步骤中,可以按照以下公式得到第二哈希值N3:N3=HASH_MAC(K,N1),即以K为密钥计算N1的HASH_MAC值。计算得到的N3即为终端设备对应的基本密钥。
密钥管理平台将生成的基本密钥发送给终端设备,并删除中间计算数据。
具体实施时,密钥管理平台在接收到终端设备发送的基本密钥恢复请求之后,还可以根据其中携带的设备标识查询到该设备标识对应的密钥状态为在用状态时,重新向终端设备发送基本密钥分发文件,由终端设备自行重新生成其对应的基本密钥。
本发明实施例中,以“基本密钥生成资源”替代“基本密钥”作为离线密钥分发的数据内容,终端设备收到数据后计算生成基本密钥,避免了基本密钥明文数据的直接分发,提高了基本密钥的安全性,同时解决了数据加密系统中由于终端设备数量较多带来的密钥数据存储性能的问题。本发明实施例总,利用设备标识,结合HASH算法的特点,保证基本密钥生成资源的随机性,从而不影响终端设备基本密钥各不相同的原则,而且,通过引入密钥库表,通过选取的方式选择基本密钥的基础密钥,保证基本密钥计算的安全性,达到提供密钥分发安全的目的。
另一方面,本发明实施例中,密钥管理平台只需要保存基础密钥(20Byte)和密钥库表(5kByte),极大地减少了基本密钥在密钥管理平台存储所占用的空间。假设,数据加密系统终端设备数量为N,密钥管理平台采用现有技术方案需要存储的基本密钥数据量为N*20/1024,当N=10000000时,此值为195312.5KByte,而根据本发明实施例,密钥管理平台存储的数据量仅为现有技术中0.0025%。采用本发明实施例提供的方法,在恢复终端设备的基本密钥时,仅需要针对该终端设备的设备标识进行计算,避免了对整个系统终端设备基本密钥的解密工作,优化了系统处理性能。
相应地,本发明实施例还提供了一种终端设备实施的基本密钥分发方法,如图3所示,可以包括以下步骤:
S31、接收网络侧离线传输的基本密钥分发文件,所述基本密钥分发文件中包含有基本密钥生成资源。
其中,基本密钥生成文件为密钥管理平台根据步骤S11所述的方法生成的,这里不再赘述。
S32、根据所述基本密钥生成资源,利用预设的密钥生成算法生成基本密钥并存储。
其中,基本密钥生成资源包括所述网络侧为终端设备分配的唯一设备标识、所述网络侧生成的密钥库表和基础密钥,所述密钥库表中存储有预设数量的随机数,基于此,终端设备可以按照以下方法生成自身对应的基本密钥:
步骤1、根据所述设备标识和所述基础密钥确定第一哈希值。
本步骤中,密钥管理平台可以按照以下公式确定第一哈希值:N1=HASH(ID||KB),其中,N1表示第一哈希值,ID为终端设备对应的设备标识,KB为基础密钥,本步骤为计算“ID+KB”的HASH值。
步骤2、按照预设规则从所述第一哈希值中选取两位字符。
本步骤中,可以按照一定的规则从步骤1得到的第一哈希值中选取两位字符。例如,具体实施时,可以按照以下公式从第一哈希值中选取两位字符:N2=RIGHT(N1,2),其中,N2表示从第一哈希值中选取的两位字符,RIGHT(N1,2)表示取字符串N1的后两位字符。
步骤3、根据选取的两位字符,从所述密钥库表中查找对应的随机数。
本步骤中,可以通过N2在密钥库表中选择对应的随机数K,其中两位字符中的前一位表示行标识,后一位字符标识列标识,例如,字符25表示密钥库表中第2行第5列的随机数。
步骤4、利用所述随机数作为密钥确定所述第一哈希值对应的第二哈希值。
本步骤中,可以按照以下公式得到第二哈希值N3:N3=HASH_MAC(K,N1),即以K为密钥计算N1的HASH_MAC值。计算得到的N3即为终端设备对应的基本密钥。
终端设备存储基本密钥分发文件中携带的设备标识为自身的设备标识,并存储N3作为自身的基本密钥。终端设备删除密钥管理平台发送的基本密钥分发文件(包括KB和KDB)和中间计算结果(包括N1、N2和K)。
终端设备在生成了基本密钥之后,可以利用基本密钥对本地存储的数据进行加密,其也可以利用所述基本密钥对发送给网络侧的数据进行加密后传输等等。例如,在VOIP语音系统中,终端设备在与网络侧协商工作密钥的过程中,可以利用基本密钥对自身与网络侧传输的协商数据进行加密。
具体实施时,终端设备在生成了基本密钥之后,还可以向网络侧发送密钥分发响应消息,所述响应消息中携带有所述设备标识,使得所述网络侧根据所述设备标识更新所述设备标识对应的密钥状态。密钥管理平台收到终端设备的密钥分发应答消息后,将数据库表中对应设备标识的密钥状态置为在用。
后续,数据加密系统注销终端设备时,至需要在密钥管理平台更新该终端设备的设备标识对应的密钥状态为未使用即可。
基于同一发明构思,本发明实施例中还分别提供了一种网络侧和终端设备实施的基本密钥分发装置,由于上述装置解决问题的原理分别与网络侧和终端设备实施的基本密钥分发方法相似,因此上述装置的实施可以参见方法的实施,重复之处不再赘述。
如图4所示,其为网络侧实施的基本密钥分发装置的结构示意图,包括:
第一生成单元41,用于生成基本密钥分发文件,所述基本密钥分发文件中包含有基本密钥生成资源。
发送单元42,用于向终端设备离线传输基本密钥分发文件。
可选地,网络侧实施的基本密钥分发装置,还包括:
第一接收单元,用于接收所述终端设备发送的密钥分发响应消息,所述密钥分发响应消息为所述终端设备在利用所述基本密钥生成资源生成基本密钥之后发送的,所述密钥分发响应消息中携带有所述终端设备对应的设备标识;
更新单元,用于更新所述设备标识对应的密钥状态。
可选地,网络侧实施的基本密钥分发装置,还包括:
第二接收单元,用于接收所述终端设备发送的基本密钥恢复请求,所述基本密钥恢复请求中携带有所述终端设备对应的设备标识;
第二生成单元,用于查询所述设备标识对应的密钥状态为在用状态时,利用所述基本密钥生成资源生成所述终端设备对应的基本密钥并发送给所述终端设备。
可选地,所述基本密钥生成资源包括所述网络侧为终端设备分配的唯一设备标识、所述网络侧生成的密钥库表和基础密钥,所述密钥库表中存储有预设数量的随机数;以及
所述第二生成单元,用于根据所述设备标识和所述基础密钥确定第一哈希值;按照预设规则从所述第一哈希值中选取两位字符;根据选取的两位字符,从所述密钥库表中查找对应的随机数;利用所述随机数作为密钥确定所述第一哈希值对应的第二哈希值;确定所述第二哈希值为所述终端设备对应的基本密钥。
如图5所示,其为本发明实施例提供的终端设备实施的基本密钥分发装置的结构示意图,包括:
接收单元51,用于接收网络侧离线传输的基本密钥分发文件,所述基本密钥分发文件中包含有基本密钥生成资源;
生成单元52,用于根据所述基本密钥生成资源,利用预设的密钥生成算法生成基本密钥并存储。
可选地,所述基本密钥生成资源包括所述网络侧为终端设备分配的唯一设备标识、所述网络侧生成的密钥库表和基础密钥,所述密钥库表中存储有预设数量的随机数;以及
所述生成单元52,具体用于根据所述设备标识和所述基础密钥确定第一哈希值;按照预设规则从所述第一哈希值中选取两位字符;根据选取的两位字符,从所述密钥库表中查找对应的随机数;利用所述随机数作为密钥确定所述第一哈希值对应的第二哈希值;确定所述第二哈希值为所述基本密钥。
可选地,终端设备实施的基本密钥分发装置,还包括:
加密单元,用于在所述生成单元生成基本密钥之后,利用所述基本密钥对终端本地存储的数据进行加密;或者利用所述基本密钥对发送给网络侧的数据进行加密后传输。
可选地,终端设备实施的基本密钥分发装置,还包括:
发送单元,用于向所述网络侧发送密钥分发响应消息,所述响应消息中携带有所述设备标识,使得所述网络侧根据所述设备标识更新所述设备标识对应的密钥状态。
为了描述的方便,以上各部分按照功能划分为各模块(或单元)分别描述。当然,在实施本发明时可以把各模块(或单元)的功能在同一个或多个软件或硬件中实现。
在介绍了本发明示例性实施方式的基本密钥分发方法和装置之后,接下来,介绍根据本发明的另一示例性实施方式的计算装置。
所属技术领域的技术人员能够理解,本发明的各个方面可以实现为系统、方法或程序产品。因此,本发明的各个方面可以具体实现为以下形式,即:完全的硬件实施方式、完全的软件实施方式(包括固件、微代码等),或硬件和软件方面结合的实施方式,这里可以统称为“电路”、“模块”或“系统”。
在一些可能的实施方式中,根据本发明的计算装置可以至少包括至少一个处理单元、以及至少一个存储单元。其中,所述存储单元存储有程序代码,当所述程序代码被所述处理单元执行时,使得所述处理单元执行本说明书上述描述的根据本发明各种示例性实施方式基本密钥分发方法中的步骤。例如,所述处理单元可以执行如图1中所示的步骤S11、生成基本密钥分发文件,所述基本密钥分发文件中包含有基本密钥生成资源,和步骤S12、向终端设备离线传输基本密钥分发文件;或者,所述处理单元可以执行如图3中所示的步骤S31、接收网络侧离线传输的基本密钥分发文件,所述基本密钥分发文件中包含有基本密钥生成资源;和步骤S32、根据所述基本密钥生成资源,利用预设的密钥生成算法生成基本密钥并存储。
下面参照图6来描述根据本发明的这种实施方式的计算装置60。图6显示的计算装置60仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。
如图6所示,计算装置60以通用计算设备的形式表现。计算装置60的组件可以包括但不限于:上述至少一个处理单元61、上述至少一个存储单元62、连接不同系统组件(包括存储单元62和处理单元61)的总线63。
总线63表示几类总线结构中的一种或多种,包括存储器总线或者存储器控制器、外围总线、处理器或者使用多种总线结构中的任意总线结构的局域总线。
存储单元62可以包括易失性存储器形式的可读介质,例如随机存取存储器(RAM)621和/或高速缓存存储器622,还可以进一步包括只读存储器(ROM)623。
存储单元62还可以包括具有一组(至少一个)程序模块624的程序/实用工具625,这样的程序模块624包括但不限于:操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。
计算装置60也可以与一个或多个外部设备64(例如键盘、指向设备等)通信,还可与一个或者多个使得用户能与计算装置60交互的设备通信,和/或与使得该计算装置60能与一个或多个其它计算设备进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口65进行。并且,计算装置60还可以通过网络适配器66与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。如图所示,网络适配器66通过总线63与用于计算装置60的其它模块通信。应当理解,尽管图中未示出,可以结合计算装置60使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。
在一些可能的实施方式中,本发明提供的基本密钥分发方法的各个方面还可以实现为一种程序产品的形式,其包括程序代码,当所述程序产品在计算机设备上运行时,所述程序代码用于使所述计算机设备执行本说明书上述描述的根据本发明各种示例性实施方式的基本密钥分发方法中的步骤,例如,所述计算机设备可以执行如图1中所示的步骤S11、生成基本密钥分发文件,所述基本密钥分发文件中包含有基本密钥生成资源,和步骤S12、向终端设备离线传输基本密钥分发文件;或者,所述处理单元可以执行如图3中所示的步骤S31、接收网络侧离线传输的基本密钥分发文件,所述基本密钥分发文件中包含有基本密钥生成资源;和步骤S32、根据所述基本密钥生成资源,利用预设的密钥生成算法生成基本密钥并存储。
所述程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
本发明的实施方式的用于基本密钥分发的程序产品可以采用便携式紧凑盘只读存储器(CD-ROM)并包括程序代码,并可以在计算设备上运行。然而,本发明的程序产品不限于此,在本文件中,可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了可读程序代码。这种传播的数据信号可以采用多种形式,包括——但不限于——电磁信号、光信号或上述的任意合适的组合。可读信号介质还可以是可读存储介质以外的任何可读介质,该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
可读介质上包含的程序代码可以用任何适当的介质传输,包括——但不限于——无线、有线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言的任意组合来编写用于执行本发明操作的程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、C++等,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中,远程计算设备可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)—连接到用户计算设备,或者,可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
应当注意,尽管在上文详细描述中提及了装置的若干单元或子单元,但是这种划分仅仅是示例性的并非强制性的。实际上,根据本发明的实施方式,上文描述的两个或更多单元的特征和功能可以在一个单元中具体化。反之,上文描述的一个单元的特征和功能可以进一步划分为由多个单元来具体化。
此外,尽管在附图中以特定顺序描述了本发明方法的操作,但是,这并非要求或者暗示必须按照该特定顺序来执行这些操作,或是必须执行全部所示的操作才能实现期望的结果。附加地或备选地,可以省略某些步骤,将多个步骤合并为一个步骤执行,和/或将一个步骤分解为多个步骤执行。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例做出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (18)
1.一种基本密钥分发方法,其特征在于,包括:
生成基本密钥分发文件,所述基本密钥分发文件中包含有基本密钥生成资源;
向终端设备离线传输基本密钥分发文件。
2.如权利要求1所述的方法,其特征在于,还包括:
接收所述终端设备发送的密钥分发响应消息,所述密钥分发响应消息为所述终端设备在利用所述基本密钥生成资源生成基本密钥之后发送的,所述密钥分发响应消息中携带有所述终端设备对应的设备标识;
更新所述设备标识对应的密钥状态。
3.如权利要求1所述的方法,其特征在于,还包括:
接收所述终端设备发送的基本密钥恢复请求,所述基本密钥恢复请求中携带有所述终端设备对应的设备标识;
查询所述设备标识对应的密钥状态为在用状态时,利用所述基本密钥生成资源生成所述终端设备对应的基本密钥并发送给所述终端设备。
4.如权利要求3所述的方法,其特征在于,所述基本密钥生成资源包括所述网络侧为终端设备分配的唯一设备标识、所述网络侧生成的密钥库表和基础密钥,所述密钥库表中存储有预设数量的随机数;以及
利用所述基本密钥生成资源生成所述终端设备对应的基本密钥,具体包括:
根据所述设备标识和所述基础密钥确定第一哈希值;
按照预设规则从所述第一哈希值中选取两位字符;
根据选取的两位字符,从所述密钥库表中查找对应的随机数;
利用所述随机数作为密钥确定所述第一哈希值对应的第二哈希值;
确定所述第二哈希值为所述终端设备对应的基本密钥。
5.一种基本密钥分发方法,其特征在于,包括:
接收网络侧离线传输的基本密钥分发文件,所述基本密钥分发文件中包含有基本密钥生成资源;
根据所述基本密钥生成资源,利用预设的密钥生成算法生成基本密钥并存储。
6.如权利要求5所述的方法,其特征在于,所述基本密钥生成资源包括所述网络侧为终端设备分配的唯一设备标识、所述网络侧生成的密钥库表和基础密钥,所述密钥库表中存储有预设数量的随机数;以及
根据所述基本密钥生成资源,利用预设的密钥生成算法生成基本密钥,具体包括:
根据所述设备标识和所述基础密钥确定第一哈希值;
按照预设规则从所述第一哈希值中选取两位字符;
根据选取的两位字符,从所述密钥库表中查找对应的随机数;
利用所述随机数作为密钥确定所述第一哈希值对应的第二哈希值;
确定所述第二哈希值为所述基本密钥。
7.如权利要求5或6所述的方法,其特征在于,在生成基本密钥之后,还包括:
利用所述基本密钥对终端本地存储的数据进行加密;或者
利用所述基本密钥对发送给网络侧的数据进行加密后传输。
8.如权利要求6所述的方法,其特征在于,在生成基本密钥之后,还包括:
向所述网络侧发送密钥分发响应消息,所述响应消息中携带有所述设备标识,使得所述网络侧根据所述设备标识更新所述设备标识对应的密钥状态。
9.一种基本密钥分发装置,其特征在于,包括:
第一生成单元,用于生成基本密钥分发文件,所述基本密钥分发文件中包含有基本密钥生成资源;
发送单元,用于向终端设备离线传输基本密钥分发文件。
10.如权利要求9所述的装置,其特征在于,还包括:
第一接收单元,用于接收所述终端设备发送的密钥分发响应消息,所述密钥分发响应消息为所述终端设备在利用所述基本密钥生成资源生成基本密钥之后发送的,所述密钥分发响应消息中携带有所述终端设备对应的设备标识;
更新单元,用于更新所述设备标识对应的密钥状态。
11.如权利要求9所述的装置,其特征在于,还包括:
第二接收单元,用于接收所述终端设备发送的基本密钥恢复请求,所述基本密钥恢复请求中携带有所述终端设备对应的设备标识;
第二生成单元,用于查询所述设备标识对应的密钥状态为在用状态时,利用所述基本密钥生成资源生成所述终端设备对应的基本密钥并发送给所述终端设备。
12.如权利要求11所述的装置,其特征在于,所述基本密钥生成资源包括所述网络侧为终端设备分配的唯一设备标识、所述网络侧生成的密钥库表和基础密钥,所述密钥库表中存储有预设数量的随机数;以及
所述第二生成单元,用于根据所述设备标识和所述基础密钥确定第一哈希值;按照预设规则从所述第一哈希值中选取两位字符;根据选取的两位字符,从所述密钥库表中查找对应的随机数;利用所述随机数作为密钥确定所述第一哈希值对应的第二哈希值;确定所述第二哈希值为所述终端设备对应的基本密钥。
13.一种基本密钥分发装置,其特征在于,包括:
接收单元,用于接收网络侧离线传输的基本密钥分发文件,所述基本密钥分发文件中包含有基本密钥生成资源;
生成单元,用于根据所述基本密钥生成资源,利用预设的密钥生成算法生成基本密钥并存储。
14.如权利要求13所述的装置,其特征在于,所述基本密钥生成资源包括所述网络侧为终端设备分配的唯一设备标识、所述网络侧生成的密钥库表和基础密钥,所述密钥库表中存储有预设数量的随机数;以及
所述生成单元,具体用于根据所述设备标识和所述基础密钥确定第一哈希值;按照预设规则从所述第一哈希值中选取两位字符;根据选取的两位字符,从所述密钥库表中查找对应的随机数;利用所述随机数作为密钥确定所述第一哈希值对应的第二哈希值;确定所述第二哈希值为所述基本密钥。
15.如权利要求13或14所述的装置,其特征在于,还包括:
加密单元,用于在所述生成单元生成基本密钥之后,利用所述基本密钥对终端本地存储的数据进行加密;或者利用所述基本密钥对发送给网络侧的数据进行加密后传输。
16.如权利要求15所述的装置,其特征在于,还包括:
发送单元,用于向所述网络侧发送密钥分发响应消息,所述响应消息中携带有所述设备标识,使得所述网络侧根据所述设备标识更新所述设备标识对应的密钥状态。
17.一种计算装置,其特征在于,包括至少一个处理单元、以及至少一个存储单元,其中,所述存储单元存储有计算机程序,当所述程序被所述处理单元执行时,使得所述处理单元执行权利要求1~8任一权利要求所述方法的步骤。
18.一种计算机可读介质,其特征在于,其存储有可由计算装置执行的计算机程序,当所述程序在计算装置上运行时,使得所述计算装置执行权利要求1~8任一所述方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711168630.XA CN109818734B (zh) | 2017-11-21 | 2017-11-21 | 一种基本密钥分发方法、装置和介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711168630.XA CN109818734B (zh) | 2017-11-21 | 2017-11-21 | 一种基本密钥分发方法、装置和介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109818734A true CN109818734A (zh) | 2019-05-28 |
| CN109818734B CN109818734B (zh) | 2021-07-27 |
Family
ID=66600822
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201711168630.XA Active CN109818734B (zh) | 2017-11-21 | 2017-11-21 | 一种基本密钥分发方法、装置和介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109818734B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111600879A (zh) * | 2020-05-14 | 2020-08-28 | 杭州海康威视数字技术股份有限公司 | 一种数据输出/获取方法、装置和电子设备 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030219129A1 (en) * | 2002-05-21 | 2003-11-27 | Robert Whelan | System and method for providing WLAN security through synchronized update and rotation of WEP keys |
| CN102137395A (zh) * | 2010-09-09 | 2011-07-27 | 华为技术有限公司 | 配置接入设备的方法、装置及系统 |
| CN102647274A (zh) * | 2012-04-12 | 2012-08-22 | 福建联迪商用设备有限公司 | Pos终端、终端接入前置、主密钥管理系统及其方法 |
| CN106330435A (zh) * | 2015-07-02 | 2017-01-11 | 中兴通讯股份有限公司 | 一种密钥变换方法、装置及终端 |
| CN107113296A (zh) * | 2014-09-23 | 2017-08-29 | 凯里赛克公司 | 安全的节点到多节点通信 |
-
2017
- 2017-11-21 CN CN201711168630.XA patent/CN109818734B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030219129A1 (en) * | 2002-05-21 | 2003-11-27 | Robert Whelan | System and method for providing WLAN security through synchronized update and rotation of WEP keys |
| CN102137395A (zh) * | 2010-09-09 | 2011-07-27 | 华为技术有限公司 | 配置接入设备的方法、装置及系统 |
| CN102647274A (zh) * | 2012-04-12 | 2012-08-22 | 福建联迪商用设备有限公司 | Pos终端、终端接入前置、主密钥管理系统及其方法 |
| CN107113296A (zh) * | 2014-09-23 | 2017-08-29 | 凯里赛克公司 | 安全的节点到多节点通信 |
| CN106330435A (zh) * | 2015-07-02 | 2017-01-11 | 中兴通讯股份有限公司 | 一种密钥变换方法、装置及终端 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111600879A (zh) * | 2020-05-14 | 2020-08-28 | 杭州海康威视数字技术股份有限公司 | 一种数据输出/获取方法、装置和电子设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109818734B (zh) | 2021-07-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109040090B (zh) | 一种数据加密方法及装置 | |
| JP6941183B2 (ja) | データのトークン化 | |
| CN101316424A (zh) | 一种信息传输方法、系统及装置 | |
| CN110061840A (zh) | 数据加密方法、装置、计算机设备及存储介质 | |
| CN102710412B (zh) | 加密算法兼容管理的方法及装置 | |
| CN103107995A (zh) | 一种云计算环境数据安全存储系统和方法 | |
| CN103248476B (zh) | 数据加密密钥的管理方法、系统及终端 | |
| CN109922084A (zh) | 密钥管理方法、装置以及电子设备 | |
| CN107786331A (zh) | 数据处理方法、装置、系统及计算机可读存储介质 | |
| CN104967693A (zh) | 面向云存储的基于全同态密码技术的文档相似度计算方法 | |
| CN113537633A (zh) | 基于纵向联邦学习的预测方法、装置、设备、介质和系统 | |
| CN109345242A (zh) | 基于区块链的密钥存储、更新方法、装置、设备和介质 | |
| CN102833077A (zh) | 金融ic及金融社保ic卡远程发卡数据传输加解密方法 | |
| CN106452752A (zh) | 修改密码的方法、系统及客户端、服务器和智能设备 | |
| CN109818734A (zh) | 一种基本密钥分发方法、装置和介质 | |
| CN110598427B (zh) | 数据的处理方法、系统和存储介质 | |
| CN114840739B (zh) | 信息检索方法、装置、电子设备及存储介质 | |
| US20220360459A1 (en) | Method of querying data, method of writing data, electronic device, and readable storage medium | |
| CN116010401A (zh) | 基于区块链与不经意传输扩展的信息匿踪查询方法及系统 | |
| CN110166234A (zh) | 一种业务密钥创建与业务数据加密方法、装置及系统 | |
| CN109598137B (zh) | 一种用于安全处理数据的方法及其系统 | |
| CN109726584A (zh) | 云数据库密钥管理系统 | |
| CN113038444B (zh) | 生成应用层密钥的方法和装置 | |
| CN104462994A (zh) | 一种数据加密及解密操作方法 | |
| CN105681027A (zh) | Hsm加密信息同步实现方法、装置和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |