WO2012075764A1

WO2012075764A1 - 关键参数的存储方法及终端设备

Info

Publication number: WO2012075764A1
Application number: PCT/CN2011/072931
Authority: WO
Inventors: 滕文星; 王延平
Original assignee: 中兴通讯股份有限公司
Priority date: 2010-12-06
Filing date: 2011-04-18
Publication date: 2012-06-14
Also published as: CN102075322A

Description

关键的存储方法及终端设备技术领域本发明涉及通信领域，尤其涉及一种关键参数的存储方法及终端设备。背景技术终端在业务接入、申请用户相关信息更改和重启后接入等情况下，会进行鉴权。鉴权的目的是为了检验终端的合法性、保护合法用户的利益，同时还要避免给运营商带来不必要的损失。目前，鉴权的算法很多，例如，全球移动通信系统 ( Global System for Mobile communications, 简称为 GSM ) 中的 COMP 128-1 算法、第 3 代移动通信 ( the third generation mobile communications,简称为 3G )中的蜂窝鉴权和语音力口密（ Cellular Authentication Voice Encryption, 简称为 CAVE ) 算法，还是 3G、长期演进 ( Long Term Evolution , 简称为 LTE ) 中的基于 Milenage 算法的鉴权和密钥同意 ( Authentication and key Agreement, 简称为 AKA )鉴权。大多釆用的方式是 "公钥 -密钥"的终端和网络间的双向认证机制，即，终端和基站各自保存一个密钥，该密钥是不能传输的，然后随机产生公钥，公钥可以在空中传输。移动台和基站分别利用各自的公钥和密钥通过"鉴权特征程序"产生各自的 "鉴权码，，，然后比较两者的鉴权码，如果鉴权码相同，表明鉴权通过；否则鉴权不通过。随着科技发展，犯罪分子的智商越来越高，作案手段也越来越高明，有些不法分子就利用固定台、数据卡等终端设备为机卡一体且鉴权密钥存储在终端上的特点，依靠工具、空中下载（Over -The- Air, 简称为 OTA )放号等手段找到密钥存储位置，从而非法获取密钥，并把该非法获取的密钥、电子序列号（ Electronic Serial Number, 简称为 ESN ) 等信息烧制到一张新卡上，而有密钥的新卡能通过鉴权，成为了一张合法的卡，用它来进行非法活动。这种卡资费比普通卡的资费要便宜，所以，有一定的市场。可见，不法分子利用上述手段盗号制卡，并依靠兜售这种卡谋取非法利益，损害了运营商和用户双方的利益。为了防止类似的非法行为，相关技术中，提供了两种方法：（ 1 ) 将关键参数换地方存储；（2 ) 将关键参数进行简单的处理。但是，将关键参数换地方存储，通过不法分子自己放号还是可以找到新的存储号码的位置，获取关键参数，而将关键参数进行简单的处理，这种方法也可以通过不法分子多次放号找到存储位置，对比放号前后的 AKEY ( Authentication-Key, 鉴权码）值由此得到关键参数计算公式，同样能获取关键参数。发明内容本发明的主要目的在于提供一种关键参数的存储方案，以至少解决上述相关技术中不法分子容易获取终端存储的关键参数而导致损害运营商和用户利益的问题之一。为了实现上述目的，根据本发明的一个方面，提供了一种关键参数的存储方法。根据本发明的关键参数的存储方法，包括以下步骤：将终端设备中存储的密钥的原始关键参数按照预定策略进行处理，其中，预定策略包括加密算法和分段规则；将处理后的数据使用离散的内存进行分散存储。优选地，将终端设备中存储的密钥的原始关键参数按照预定策略进行处理包括：将原始关键参数按照加密算法进行加密，并对加密后生成的新的数列按照分段规则进行分段；或者，将原始关键参数按照分段规则进行分段，并对分段后的每段数据按照加密算法进行加密。优选地，将处理后的数据使用离散的内存进行分散存储包括：记录处理后的数据与其存储位置的对应关系；居处理后的数据与其存储位置的对应关系及预定策略，对原始关键参数进行恢复。优选地，对原始关键参数进行恢复之后，该方法还包括：对恢复后的原始关键参数进行验证。优选地，加密算法至少包括以下之一：随机算法、 AES算法、 DES算法、取非、取异或。优选地，分段规则至少包括以下之一：分段的数量、分段后每段的大小、分段的顺序、分段的内容。为了实现上述目的，根据本发明的另一方面，还提供了一种终端设备。根据本发明的终端设备，包括：预处理模块，设置为将存储的密钥的原始关键参数按照预定策略进行处理，其中，预定策略包括加密算法和分段规则；存储模块，设置为将预处理模块处理后的数据使用离散的内存进行分散存储。优选地，预处理模块包括：第一加密单元，设置为将原始关键参数按照加密算法进行加密；第一分段单元，设置为对第一加密单元加密后生成的新的数列按照分段规则进行分段；或者，第二分段单元，设置为将原始关键参数按照分段规则进行分段；第二加密单元，设置为对第二分段单元分段后的每段数据按照加密算法进行加密。优选地，该终端设备还包括：记录模块，设置为记录预处理模块处理后的数据与其存储位置的对应关系；恢复模块，设置为根据预定策略及记录模块记录的预处理模块处理后的数据与其存储位置的对应关系，对原始关键参数进行恢复。优选地，该终端设备还包括：验证模块，设置为对恢复后的原始关键参数进行验证。通过本发明，釆用将关键参数进行加密和分段后，使用离散的内存进行分散存储的方式，解决了相关技术中不法分子容易获取终端存储的关键参数而导致损害运营商和用户利益的问题，提高了系统的安全性和性能。附图说明此处所说明的附图用来提供对本发明的进一步理解，构成本申请的一部分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：图 1是根据本发明实施例的关键参数的存储方法的流程图；图 2是根据本发明实施例的终端设备的结构框图；图 3是根据本发明优选实施例的终端设备的结构框图；图 4是根据本发明优选实施例二的关键参数存储算法涉及模块及其关系示意图；图 5 是根据本发明优选实施例三的关键参数分散加密存储算法的流程图；以及图 6是根据本发明优选实施例四的关键参数获取过程的流程图。具体实施方式下文中将参考附图并结合实施例来详细说明本发明。需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。在本实施例中，根据本发明的实施例 ,提供了一种关键参数的存储方法。图 1是根据本发明实施例的关键参数的存储方法的流程图，如图 1所示，该方法包括以下步 4聚：步骤 S 102,将终端设备中存储的密钥的原始关键参数按照预定策略进行处理，其中，预定策略包括加密算法和分段规则；步骤 S 104, 将处理后的数据使用离散的内存进行分散存储。通过上述步骤，釆用将关键参数进行加密和分段后，使用离散的内存进行分散存储的方式，解决了相关技术中不法分子容易获取终端存储的关键参数而导致损害运营商和用户利益的问题，提高了系统的安全性和性能。优选地，在步骤 S 102 中，可以先将原始关键参数按照加密算法进行加密，再对加密后生成的新的数列按照分段规则进行分段；或者，先将原始关键参数按照分段规则进行分段，再对分段后的每段数据按照加密算法进行加密。该方法可以增加系统的灵活性。优选地，在步骤 S 104 中，可以记录处理后的数据与其存储位置的对应关系；根据处理后的数据与其存储位置的对应关系及预定策略，对原始关键参数进行恢复。这样可以增加系统的有效性和有序性。优选地，对原始关键参数进行恢复之后，对恢复后的原始关键参数进行验证。该方法可以保证关键参数已被正确恢复，提高系统的准确性。优选地，上述加密算法至少包括以下之一：随机算法、高级加密标准

( Advanced Encryption Standard, 简称为 AES ) 算法、数据加密标准（Data Encryption Standard, 简称为 DES ) 算法、取非、取异或。该方法实现简单、可操作性强。优选地，上述分段规则至少包括以下之一：分段的数量、分段后每段的大小、分段的顺序、分段的内容。该方法实现简单、可操作性强。对应于上述的方法，在本实施例中还提供了一种终端设备。图 2是根据本发明实施例的终端设备的结构框图，如图 2所示，该终端设备 20 包括：预处理模块 22 , 设置为将存储的密钥的原始关键参数按照预定策略进行处理，其中，预定策略包括加密算法和分段规则；存储模块 24 , 耦合至预处理模块 22 , 设置为将预处理模块处理后的数据使用离散的内存进行分散存储。通过上述装置，预处理模块 22 将关键参数进行加密和分段后，存储模块 24 使用离散的内存进行分散存储，解决了相关技术中不法分子容易获取终端存储的关键参数而导致损害运营商和用户利益的问题，提高了系统的安全性和性能。图 3是根据本发明优选实施例的终端设备的结构框图，如图 3所示，预处理模块 22包括：第一加密单元 222和第一分段单元 224 , 或者，第二分段单元 226和第二加密单元 228。其中，第一加密单元 222 , 设置为将原始关键参数按照加密算法进行加密；第一分段单元 224 ,耦合至第一加密单元 222 , 设置为对第一加密单元 222加密后生成的新的数列按照分段规则进行分段；第二分段单元 226 , 设置为将原始关键参数按照分段规则进行分段；第二加密单元 228 , 耦合至第二分段单元 226 , 设置为对第二分段单元 226分段后的每段数据按照加密算法进行加密。优选地，终端设备 20还包括：记录模块 32 , 耦合至存储模块 24 , 设置为记录预处理模块 22处理后的数据与其存储位置的对应关系；恢复模块 34 , 耦合至记录模块 32 , 设置为根据预定策略及记录模块 32记录的预处理模块 22处理后的数据与其存储位置的对应关系，对原始关键参数进行恢复。优选地，终端设备 20还包括：验证模块 36 , 耦合至恢复模块 34 , 设置为对恢复后的原始关键参数进行验证。下面结合优选实施例和附图对上述实施例的实现过程进行详细说明。优选实施例一针对不法分子通过查找固定位置来找到参数的情况，可以将这些关键参数分成多段，并将分段分散在不同的位置存储起来，使用时再组合起来。但如果仅仅是简单分段，不法分子还是可以通过分别搜索分段参数方法——查出相关位置，并将分段拼凑起来，同样可以获取这些关键参数。为了加强关键参数的管理，本实施例首先对原始数据进行加密，再将加密后的数据分成多段，并分散地存储在不同位置，这样就可以制止不法分子依靠利用各种手段直接在明文中读取或者推测关键参数的违法行为。具体地，本发明优选实施例提供了一种关键参数分散加密存储方案，包括如下处理步 4聚：步骤 1 , 对原始关键参数进行加密处理，生成新数列，使得不法分子无法直接搜索到相关明文。步骤 2, 将新数列分段，确定分段的段数和大小，将每段编号，以便今后取用时按编号重组起来，为每段分配一个足够大小的存储空间，将每段存入存储空间中，记录每段存储空间的地址和与分段间的——对应关系。优选地，在步骤 1中，为了阻止不法分子备份找到关键参数，可以预先对原始关键参数进行处理，使其不明文化。在具体实施过程中，处理的方式可以是某种固定规则，例如，对数值进行统一的取异或，或者取非操作等，这样做法执行效率高，但是规则简单，比较好破译；也可以是某种加密算法，例如， AES , DES等，这些算法保密性好，但运算速度较慢。优选地，在步骤 2中，分段数量可以是一个固定值，也可以釆用在某个范围内随机生成的方式；分段的段大小也可以是固定大小段，也可以指定某个规则来分段；存储的位置可以是固定位置，也可以动态选择。随机的方式可以增加查找分段的难度，使得获取参数的开销超过可能获得的利益。除了上述步 4聚外，还可以釆取其他的措施强化这种保护机制，例如：釆用加密的方式处理原始数据，为了保护密钥，可以在每次访问完关键参数后 , 重新生成密钥。另外，也可先分段，再对每一段分别加密，处理完成后再存储。通过本实施例可以很好地利用加密参数、分散位置存储的方式，有效地制止不法分子找到关键参数，从而避免了他们盗号制卡的行为，有效地保护了运营商和用户的合法利益。优选实施例二图 4是根据本发明优选实施例二的关键参数存储算法涉及模块及其关系示意图，如图 4所示，该系统可以分为四个模块，包括参数加密模块、参数分割模块、位置分配模块和存储参数模块，下面对各模块进行详细说明。参数加密模块，用于对原始关键参数进行加密，使其不按照明文呈现在内存中；参数分割模块，用于对参数串进行划分，并确定分段的数量、大小、顺序、内容；位置分配模块，用于确定每个分段的存储顺序和存储位置；存储模块，用于完成各个分段及其相关信息（例如，分段数、分段大小和分段位置等）的存储功能。关键参数通过这 4个模块，可以完成分散加密存储，从而达到安全的保管关键参数的目的。优选实施例三图 5 是根据本发明优选实施例三的关键参数分散加密存储算法的流程图，如图 5所示，该流程可以包括以下步^^ 步骤 S 502 , 获取原始关键参数。步骤 S504, 使用某种加密算法（例如，随机密钥），对获取的原始关键参数进行加密处理。加密时所需的密钥可以使用随机密钥，这样做的好处是相比固定密钥，需要增加 4舞测。步骤 S506, 判断是否加密成功。如果加密成功，进入步 4聚 S508, 否则，进入步骤 S522。步骤 S508, 产生新参数数列，将随机密钥保存起来，以便下次访问参数使用。步骤 S510, 对新参数值分段。例如，可以按照随机数进行分段。在具体实施过程中，为了同时兼顾速率和保密性，可以取 2 ~ 8间的离散整数 N。步骤 S512, 判断是否分段成功。如果分段成功，进入步骤 S514, 否则，进入步骤 S524。步骤 S514, 将段数 N存储起来，对分段顺序进行编号。同时，记录该分段顺序和每个分段的大小（例如，长度）。步骤 S516, 为每个分段确定一个存储位置。这些位置应该是离散地分散在内存空间里。将分段对应的位置信息保存起来，以便后续读取。步骤 S518, 根据分段顺序和地址间的对应关系，将每个分段存储到对应的分配位置中去。例如，按照顺序，将 N个参数段存储到 N个位置。并将每个段编号、段的大小和地址可以存入一个数组中。步骤 S520, 参数存储成功，该流程结束。步骤 S522, 判断加密不成功的次数是否小于 3次。若小于 3次，则重新进入步骤 S504, 重新获取随机密钥，对原始关键参数进行加密；否则，进入步骤 S524。需要说明的是，这里加密不成功的次数定义为 3次是根据经验值，在具体实施过程中，可以居需要，自行设定，并不限于该值。步骤 S524, 参数存储失败，该流程结束。优选实施例四图 6是根据本发明优选实施例四的关键参数获取过程的流程图，如图 6 所示，在需要使用原始关键参数时，获取该原始关键参数的步骤如下：步骤 S602, 获取存储的分段数 N, 例如，可以连续获取 3次，如果获取不成功，进入步骤 S622, 如果获取成功，进入步骤 S604。步骤 S604, 获取分段信息保存数据结构（比如，数组），数据结构中保存有分段的顺序和每个分段的存储位置指针。通过该指针可以找到存储位置，根据数据结构中保存的分段的大小分别得到存储位置的存储内容。例如，获取保存的数组，数组中记录了每个段的编号、段的大小和地址。步骤 S606, 判断是否获取上述数据结构成功。若成功，进入步骤 S608, 否则，进入步骤 S622。步骤 S608, 根据分段顺序和地址间的对应关系，拼接各个分段为一个整体。例如，可以按照顺序查找每个分段，并且拼接为一个整体。步骤 S610, 判断是否拼接成功。如果拼接成功，进入步骤 S612, 如果出现异常（例如，存储位置越界等），进入参数获取失败处理。为了确保拼接的参数为之前的参数，可以使用某些验证算法。步骤 S612, 获取保存的随机密钥。步骤 S614,判断获取随机密钥是否成功。如果获取成功，进入步骤 S616, 如果获取失败，进入步骤 S622。步骤 S616, 根据密钥参数运行解密算法，得到原始关键参数。即，解码得到原始关键参数。步骤 S618, 使用该参数，同时，重复加密存储过程，将关键参数再次保存起来。参数使用完毕后, 为了确保随机密钥的安全性，可以重新更换随机密钥，通过加密算法对关键参数进行加密，加密后重新分段保存，存储过程和上述过程一致，同样随机选择分段数，确定分段大小、存储位置等，最后再次保存一次关键参数。步骤 S620, 参数存储成功，该流程结束。步骤 S622, 参数获取失败，返回失败，该流程结束。综上所述，通过本发明实施例的关键参数分散加密存储方案，釆用将关键参数进行加密和分段后，使用离散的内存进行分散存储的方式，能够有效地制止不法分子的盗取号行为，从而有效地保护商家和用户的合法利益。显然，本领域的技术人员应该明白，上述的本发明的各模块或各步骤可以用通用的计算装置来实现，它们可以集中在单个的计算装置上，或者分布在多个计算装置所组成的网络上，可选地，它们可以用计算装置可执行的程序代码来实现，从而，可以将它们存储在存储装置中由计算装置来执行，并且在某些情况下，可以以不同于此处的顺序执行所示出或描述的步 4聚，或者将它们分别制作成各个集成电路模块，或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样，本发明不限制于任何特定的硬件和软件结合。以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的^"神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims

权利要求书

1. 一种关键参数的存储方法，包括以下步骤：

将终端设备中存储的密钥的原始关键参数按照预定策略进行处理，其中，所述预定策略包括加密算法和分段规则；

将处理后的数据使用离散的内存进行分散存储。

2. 根据权利要求 1所述的方法，其中，将所述终端设备中存储的所述密钥的所述原始关键参数按照所述预定策略进行处理包括：

将所述原始关键参数按照所述加密算法进行加密，并对加密后生成的新的数列按照所述分段规则进行分段；或者

将所述原始关键参数按照所述分段规则进行分段，并对分段后的每段数据按照所述加密算法进行加密。

3. 根据权利要求 1所述的方法，其中，将所述处理后的数据使用离散的所述内存进行分散存储包括：

记录所述处理后的数据与其存储位置的对应关系；

根据所述处理后的数据与其存储位置的对应关系及所述预定策略，对所述原始关键参数进行恢复。

4. 根据权利要求 3所述的方法，其中，对所述原始关键参数进行恢复之后，还包括：

对恢复后的所述原始关键参数进行验证。

5. 根据权利要求 1所述的方法，其中，所述加密算法至少包括以下之一：随机算法、高级加密标准 AES算法、数据加密标准 DES算法、取非、取异或。

6. 根据权利要求 1至 5中任一项所述的方法，其中，所述分段规则至少包括以下之一：分段的数量、分段后每段的大小、分段的顺序、分段的内容。

7. —种终端设备，包括：

预处理模块，设置为将存储的密钥的原始关键参数按照预定策略进行处理，其中，所述预定策略包括加密算法和分段规则；

存储模块，设置为将所述预处理模块处理后的数据使用离散的内存进行分散存储。

8. 根据权利要求 7所述的终端设备，其中，所述预处理模块包括：

第一加密单元，设置为将所述原始关键参数按照所述加密算法进行加密；第一分段单元，设置为对所述第一加密单元加密后生成的新的数列按照所述分段规则进行分段；或者，

第二分段单元，设置为将所述原始关键参数按照所述分段规则进行分段；第二加密单元，设置为对所述第二分段单元分段后的每段数据按照所述加密算法进行加密。

9. 根据权利要求 7所述的终端设备，其中，所述终端设备还包括：

记录模块，设置为记录所述预处理模块处理后的数据与其存储位置的对应关系；

恢复模块，设置为根据所述预定策略及所述记录模块记录的所述预处理模块处理后的数据与其存储位置的对应关系，对所述原始关键参数进行恢复。

10. 根据权利要求 9所述的终端设备，其中，所述终端设备还包括：

验证模块，设置为对恢复后的所述原始关键参数进行验证。