基于se的密鑰管理方法和裝置制造方法
【專利摘要】本發(fā)明實施例提供了一種基于SE的密鑰管理方法和裝置,包括:SE發(fā)行方對所述SE進行初始化���,生成所述SE的標識和MAC密鑰�����;SE應用方或者所述SE生成對稱密鑰����,通過所述SE發(fā)行方利用所述MAC密鑰對所述對稱密鑰進行驗證;在所述對稱密鑰驗證通過后�����,所述SE和所述SE應用方將所述對稱密鑰進行存儲���。以實現(xiàn)在數(shù)據傳輸中容易被跟蹤從而被偽造和篡改�����,且私鑰容易泄露的缺點��,從而降低加密數(shù)據泄露的風險�。
【專利說明】基于SE的密鑰管理方法和裝置
【技術領域】
[0001]本發(fā)明涉及信息安全【技術領域】���,尤其涉及一種基于SE的密鑰管理方法和裝置�。
【背景技術】
[0002]隨著計算機的發(fā)展,網絡中的安全問題也日趨嚴重�。在傳輸控制協(xié)議中,傳輸?shù)臄?shù)據都是以明文進行傳輸?shù)?,所以存在固有安全缺陷,解決這一問題的重要手段就是數(shù)據加密����,在現(xiàn)代網絡通信中,人們的安全意識越來越強烈����,密碼學的應用也越來越廣泛。
[0003]目前加密技術是電子商務采取的主要安全保密措施����,是最常用的安全保密手段����,利用技術手段把重要的數(shù)據變?yōu)閬y碼(加密)發(fā)送,到達目的地后再用相同或不同的手段還原(解密)�����。加密技術包括兩個元素:算法和密鑰。算法是將普通的文本(或者可以理解的信息)與一竄數(shù)字(密鑰)的結合���,產生不可理解的密文的步驟����,密鑰是用來對數(shù)據進行編碼和解碼的一種算法�����。在安全保密中����,可通過適當?shù)拿荑€加密技術和管理機制來保證網絡的信息通訊安全。
[0004]密鑰加密技術的密碼體制分為對稱密鑰體制和非對稱密鑰體制兩種���。相應地�����,對數(shù)據加密的技術分為兩類�,即對稱加密(私人密鑰加密)和非對稱加密(公開密鑰加密)�����。對稱加密以DES (Data Encrypt1n Standard,數(shù)據加密標準)算法為典型代表;非對稱加密通常以RSA (Rivest Shamir Adleman����,公鑰加密算法)算法為代表。對稱加密的加密密鑰和解密密鑰相同��;而非對稱加密的加密密鑰和解密密鑰不同�����,加密密鑰可以公開而解密密鑰需要保密���。
[0005]上述現(xiàn)有技術中的對數(shù)據進行加密的方法的缺點為:使用軟件對數(shù)據進行加密存在一定的安全風險�,在數(shù)據傳輸中容易被跟蹤從而被偽造和篡改�,且私鑰容易泄露。
【發(fā)明內容】
[0006]為解決上述問題�,本發(fā)明的實施例提供了一種基于SE的密鑰管理方法和裝置,以實現(xiàn)通過硬件加密數(shù)據�����,降低密碼泄露的風險���。
[0007]一種基于SE的密鑰管理方法,其特征在于,包括:
[0008]SE發(fā)行方對所述SE進行初始化�����,生成所述SE的標識和MAC密鑰���;
[0009]SE應用方或者所述SE生成對稱密鑰�,通過所述SE發(fā)行方利用所述MAC密鑰對所述對稱密鑰進行驗證����;
[0010]在所述對稱密鑰驗證通過后,所述SE和所述SE應用方將所述對稱密鑰進行存儲�。
[0011]所述SE發(fā)行方對所述SE進行初始化,生成所述SE的標識和MAC密鑰�����,包括:
[0012]所述SE發(fā)行方向所述SE發(fā)送標識及所述SE發(fā)行方的公鑰�;
[0013]所述SE將所述標識寫入到所述SE中,作為所述SE的標識����,并生成MAC密鑰,將所述MAC密鑰使用所述SE發(fā)行方的公鑰進行加密��,并將加密后的數(shù)據發(fā)送給所述SE發(fā)行方;
[0014]所述SE發(fā)行方產生生成非對稱密鑰請求���,并將所述生成非對稱密鑰請求發(fā)送給所述SE ��;
[0015]所述SE根據所述生成非對稱密鑰請求生成非對稱密鑰對�����,將包含所述非對稱密鑰的公鑰證書申請請求發(fā)送給所述SE發(fā)行方���。
[0016]所述SE將所述非對稱密鑰中的一個密鑰作為自己的公鑰。
[0017]所述SE應用方或者SE生成對稱密鑰�,通過所述SE發(fā)行方利用所述MAC密鑰對所述對稱密鑰進行驗證,包括:
[0018]所述SE應用方向所述SE發(fā)送攜帶自己的公鑰和密鑰參數(shù)的生成對稱密鑰請求��;
[0019]所述SE根據所述生成對稱密鑰請求中攜帶的密鑰參數(shù)生成對稱密鑰�����,使用所述SE應用方的公鑰將所述對稱密鑰進行加密��,并將加密后的數(shù)據使用所述MAC密鑰計算出相應的MAC密鑰數(shù)值�����,將所述加密后的數(shù)據及所述MAC密鑰數(shù)值發(fā)送給所述SE應用方��;
[0020]所述SE應用方將收到的所述加密后的數(shù)據及所述MAC密鑰數(shù)值發(fā)送給所述SE發(fā)行方����,所述SE發(fā)行方對所述MAC密鑰數(shù)值進行驗證;
[0021 ] 所述SE發(fā)行方對所述MAC密鑰數(shù)值進行驗證通過后����,發(fā)送驗證通過指示消息給所述SE應用方;
[0022]所述SE應用方接收到所述驗證通過指示消息后���,使用自身的私鑰對所述加密后的數(shù)據進行解密��,得到所述對稱密鑰����,并存儲����。
[0023]所述SE應用方或者SE生成對稱密鑰,通過所述SE發(fā)行方利用所述MAC密鑰對所述對稱密鑰進行驗證��,包括:
[0024]所述SE應用方向所述SE發(fā)送獲取公鑰請求�����;
[0025]所述SE根據所述獲取公鑰請求發(fā)送自身的公鑰給所述SE應用方;
[0026]所述SE應用方生成對稱密鑰�,并使用所述SE的公鑰對所述對稱密鑰進行加密,得到加密后的對稱密鑰���;
[0027]所述SE應用方向所述SE發(fā)行方發(fā)送所述加密后的對稱密鑰�,所述SE發(fā)行方利用所述SE的MAC密鑰對所述加密后的對稱密鑰計算出MAC密鑰數(shù)值��,并將所述MAC密鑰數(shù)值發(fā)送給所述SE應用方����;
[0028]所述SE應用方使用所述加密后的對稱密鑰及所述MAC密鑰數(shù)值生成密鑰導入請求,并將所述密鑰導入請求發(fā)送給所述SE ����;
[0029]所述SE接收到所述密鑰導入請求后,對所述MAC密鑰數(shù)值進行驗證�,在驗證通過后,使用自身的私鑰解密所述加密后的對稱密鑰���,得到所述對稱密鑰�,并保存��。
[0030]所述SE包括:全球用戶識別卡、移動終端���、安全數(shù)碼卡。
[0031]一種基于SE的密鑰管理裝置����,其特征在于,包括:SE�����、SE發(fā)行方和SE應用方�,
[0032]所述的SE發(fā)行方,用于對所述SE進行初始化�����,生成所述SE的標識和MAC密鑰��;
[0033]SE應用方或者所述SE�����,用于生成對稱密鑰����,通過所述SE發(fā)行方利用所述MAC密鑰對所述對稱密鑰進行驗證��;
[0034]所述SE和所述SE應用方����,還用于在所述對稱密鑰驗證通過后���,將所述對稱密鑰進行存儲����。
[0035]所述SE發(fā)行方�����,用于向所述SE發(fā)送標識及所述SE發(fā)行方的公鑰�;
[0036]所述SE,用于將所述標識寫入到所述SE中�,作為所述SE的標識,并生成MAC密鑰�,將所述MAC密鑰使用所述SE發(fā)行方的公鑰進行加密,并將加密后的數(shù)據發(fā)送給所述SE發(fā)行方�����;
[0037]所述SE發(fā)行方,用于產生生成非對稱密鑰請求����,并將所述生成非對稱密鑰請求發(fā)送給所述SE ;
[0038]所述SE��,用于根據所述生成非對稱密鑰請求生成非對稱密鑰對��,將包含所述非對稱密鑰對的證書申請請求發(fā)送給所述SE發(fā)行方��。
[0039]所述SE����,還用于將所述非對稱密鑰中的一個密鑰作為自己的公鑰�。
[0040]所述SE應用方,用于向所述SE發(fā)送攜帶自己的公鑰和密鑰參數(shù)的生成對稱密鑰請求����;
[0041]所述SE,用于根據所述生成對稱密鑰請求中攜帶的密鑰參數(shù)生成對稱密鑰�,使用所述SE應用方的公鑰將所述對稱密鑰進行加密,并將加密后的數(shù)據使用所述MAC密鑰計算出相應的MAC密鑰數(shù)值��,將所述加密后的數(shù)據及所述MAC密鑰數(shù)值發(fā)送給所述SE應用方;
[0042]所述SE應用方�����,用于將收到的所述加密后的數(shù)據及所述MAC密鑰數(shù)值發(fā)送給所述SE發(fā)行方�;
[0043]所述SE發(fā)行方,用于對所述MAC密鑰數(shù)值進行驗證��,所述SE發(fā)行方對所述MAC密鑰數(shù)值進行驗證通過后����,發(fā)送驗證通過指示消息給所述SE應用方;
[0044]所述SE應用方��,用于接收到所述驗證通過指示消息后��,使用自身的私鑰對所述加密后的數(shù)據進行解密�����,得到所述對稱密鑰��,并存儲��。
[0045]所述SE應用方�����,用于向所述SE發(fā)送獲取公鑰請求;
[0046]所述SE����,用于根據所述獲取公鑰請求發(fā)送自身的公鑰給所述SE應用方,
[0047]所述SE應用方���,用于生成對稱密鑰�����,并使用所述SE的公鑰對所述對稱密鑰進行加密,得到加密后的對稱密鑰���,并將該加密后的對稱密鑰發(fā)送給所述SE發(fā)行方���;
[0048]所述SE發(fā)行方,用于利用所述SE的MAC密鑰對所述加密后的對稱密鑰計算出MAC密鑰數(shù)值��,并將所述MAC密鑰數(shù)值發(fā)送給所述SE應用方����;
[0049]所述SE應用方,用于使用所述加密后的對稱密鑰及所述MAC密鑰數(shù)值生成密鑰導入請求,并將所述密鑰導入請求發(fā)送給所述SE �;
[0050]所述SE,用于接收到所述密鑰導入請求后�,對所述MAC密鑰數(shù)值進行驗證,在驗證通過后�,使用自身的私鑰解密所述加密后的對稱密鑰,得到所述對稱密鑰����,并保存。
[0051]所述SE包括:全球用戶識別卡��、移動終端��、安全數(shù)碼卡����。
[0052]由上述本發(fā)明的實施例提供的技術方案可以看出,本發(fā)明實施例提供一種基于SE的密鑰管理方法���,通過SE發(fā)行方對所述SE進行初始化��,SE應用方或者所述SE生成對稱密鑰�����,通過所述SE發(fā)行方對稱密鑰進行驗證���,所述SE和所述SE應用方將所述對稱密鑰進行存儲����。從而達到防止在使用軟件操作時�,在數(shù)據傳輸?shù)倪^程中被跟蹤,密鑰被破譯�;且降低私鑰泄露而造成數(shù)據被盜的風險。
【專利附圖】
【附圖說明】
[0053]為了更清楚地說明本發(fā)明實施例的技術方案�,下面將對實施例描述中所需要使用的附圖作簡單地介紹,顯而易見地�,下面描述中的附圖僅僅是本發(fā)明的一些實施例,對于本領域普通技術人員來講��,在不付出創(chuàng)造性勞動性的前提下�,還可以根據這些附圖獲得其他的附圖��。
[0054]圖1為本發(fā)明實施例一提供的一種基于SE的密鑰管理方法的處理流程圖�����;
[0055]圖2為本發(fā)明實施例一提供的一種SE的初始化流程圖����;
[0056]圖3為本發(fā)明實施例一提供的一種SE生成對稱密鑰處理流程圖���;
[0057]圖4為本發(fā)明實施例一提供的一種SE應用方生成對稱密鑰的處理流程圖;
[0058]圖5為本發(fā)明實施例二提供的一種基于SE的密鑰管理裝置的示意圖���。
【具體實施方式】
[0059]為便于對本發(fā)明實施例的理解�����,下面將結合附圖以具體實施例為例做進一步的解釋說明���,且各個實施例并不構成對本發(fā)明實施例的限定。
[0060]實施例一
[0061]本發(fā)明實施例一提供了一種基于SE的密鑰管理方法���,包括:SE發(fā)行方對SE進行初始化��,上述SE應用方或者上述SE生成對稱密鑰�����,并通過上述SE發(fā)行方利用MAC密鑰對上述對稱密鑰進行驗證���,在驗證通過后���,上述SE和上述SE應用方將上述對稱密鑰進行存儲。通過利用上述SE中的公鑰或者上述SE應用方的公鑰對上述對稱密鑰進行加密���,從而增強數(shù)據的安全性���。上述MAC密鑰包括MAC密鑰。
[0062]上述SE即安全元件可以存在多種硬件上�,包括在SM卡、SD卡或移動終端中����,該SE具備運算能力,它可以完成非對稱密鑰加解密和對稱密鑰加解密過程���,可以對密碼密鑰��、加密密鑰��、運營商密鑰、通訊密鑰提供更加安全的保護���。
[0063]以下結合附圖對本發(fā)明的原理和特征進行描述�����,所舉實例只用于解釋本發(fā)明��,并非用于限定本發(fā)明的范圍�。
[0064]該實施例提供了一種基于SE的密鑰管理方法的處理流程圖如圖1所示,包括如下的處理步驟:
[0065]步驟SI 1:SE發(fā)行方對上述SE進行初始化���,生成上述SE的標識和MAC密鑰���。在需要使用SE保護密鑰的安全時,首先對該SE進行初始化�,初始化完成才能進行之后的步驟。
[0066]步驟S12:SE應用方或者上述SE生成對稱密鑰��,通過上述SE發(fā)行方利用上述MAC密鑰對上述對稱密鑰進行驗證�����。當上述SE應用方需要使用SE來保證密碼或數(shù)據安全時�,需要先在上述SE上存儲對稱密鑰。上述對稱密鑰包括兩種生成方式����,一種是由該SE生成���,傳遞給上述SE應用方;另一種方式是由上述SE應用方生成����,再將對稱密鑰導入到該SE中。
[0067]步驟S13:在上述對稱密鑰驗證通過后��,上述SE和上述SE應用方將上述對稱密鑰進行存儲�。
[0068]本發(fā)明實施例一提供的一種SE的初始化流程圖如圖2所示,即對上述步驟Sll作進一步的解釋��,包括如下步驟:
[0069]步驟S21:上述SE發(fā)行方向上述SE發(fā)送上述標識及上述SE發(fā)行方的公鑰及相關的參數(shù)�,上述參數(shù)包括,該SE的標識�。上述SE在使用之前必須由上述SE發(fā)行方對該SE進行初始化,內容包括:設置SE的標識�����,生成MAC密鑰��,生成非對稱密鑰對��。設置SE標識是為了在上述SE發(fā)行方標識每一個SE��,生成MAC密鑰是為了�,在數(shù)據傳輸過程中進行消息驗證,從而保證數(shù)據在傳輸過程中不被篡改和偽造�。
[0070]步驟S22:上述SE將上述標識寫入到自身中,作為上述SE的標識��,并生成MAC密鑰����,將生成的MAC密鑰使用上述SE發(fā)行方的公鑰進行加密,并將加密后的數(shù)據發(fā)送給上述SE發(fā)行方��。該SE寫入標識后����,即具有唯一的標識,以便上述SE發(fā)行方對每個SE進行識別��,并通過MAC密鑰驗證上述SE身份的真實性���,并將上述MAC密鑰使用上述SE發(fā)行方的公鑰進行加密后發(fā)送給該SE發(fā)行方����,以保證數(shù)據在發(fā)送過程中的安全。
[0071]步驟S23:上述SE發(fā)行方產生生成非對稱密鑰請求�����,并將上述生成非對稱密鑰請求發(fā)送給上述SE����。上述SE發(fā)行方需要請求該SE生成非對稱密鑰對,并將上述非對稱密鑰中的一個密鑰作為自己的公鑰���,以便對對稱密鑰進行加密���。該SE發(fā)行方發(fā)送的生成非對稱密鑰請求包括:SE標識、強制更新標識�����、算法標識�、密鑰長度、PIN碼����、MAC密鑰索引。
[0072]步驟S24:上述SE根據上述SE發(fā)行方發(fā)送的生成非對稱密鑰請求生成非對稱密鑰對���,并將包含上述非對稱密鑰對的證書申請請求發(fā)送給上述SE發(fā)行方�。
[0073]本發(fā)明實施例一提供的一種SE生成對稱密鑰處理流程圖如圖3所示,具體包括如下步驟:
[0074]步驟S31:上述SE應用方具有一對非對稱密鑰����,首先將攜帶自己的公鑰和密鑰參數(shù)的生成對稱密鑰請求發(fā)送給上述SE��,請求該SE生成對稱密鑰����,上述密鑰參數(shù)包括:密鑰的類型以及密鑰的長度等。
[0075]步驟S32:上述SE根據上述SE應用方發(fā)送的生成對稱密鑰請求以及攜帶的密鑰參數(shù)生成對稱密鑰����,并使用上述SE應用方的公鑰將上述對稱密鑰進行加密,并將加密后的數(shù)據使用上述SE中的MAC密鑰計算出相應的MAC密鑰數(shù)值�,再將上述加密后的數(shù)據及上述MAC密鑰數(shù)值發(fā)送給上述SE應用方,以完成上述對稱密鑰的生成以及對該對稱密鑰進行加密��,并且通過上述MAC密鑰保證數(shù)據在傳輸過程中的安全��。
[0076]步驟S33:上述SE應用方將收到的上述加密后的數(shù)據及上述MAC密鑰數(shù)值發(fā)送給上述SE發(fā)行方�����,以便上述SE發(fā)行方對上述MAC密鑰數(shù)值進行驗證,從而確認確保數(shù)據在傳輸過程中不會被篡改�����。
[0077]上述SE生成對稱密鑰需要通過上述SE發(fā)行方驗證MAC密鑰��,當該SE發(fā)行方需要向該SE上保存數(shù)據時都需要輸入SE標識進行識別���,且為了防止數(shù)據在傳輸過程中被偽造和篡改��,需計算MAC密鑰數(shù)值���。
[0078]步驟S34:上述SE發(fā)行方接收到上述加密后的數(shù)據及上述MAC密鑰數(shù)值后,對上述MAC密鑰數(shù)值進行驗證��,如果驗證通過���,則上述SE發(fā)行方將發(fā)送驗證通過指示消息給上述SE應用方����;如果驗證不通過����,則上述SE發(fā)行方發(fā)送驗證失敗消息給該SE應用方���,則該對稱密鑰生成失敗,SE應用方將上述加密后的數(shù)據及上述MAC密鑰數(shù)值丟棄��。
[0079]步驟S35:上述SE應用方接收到上述驗證通過指示消息后����,使用自身的私鑰對上述加密后的數(shù)據進行解密,得到上述對稱密鑰�����,并將上述對稱密鑰存儲�����,加密程序結束��。
[0080]本發(fā)明實施例一提供的一種SE應用方生成對稱密鑰的處理流程圖如圖4上述�����,具體包括如下步驟:
[0081]步驟S41:上述SE應用方首先向上述SE發(fā)送獲取公鑰請求��,請求該SE將自身的公鑰發(fā)送給該SE應用方�,以便上述SE應用方對對稱密鑰進行加密。
[0082]步驟S42:上述SE接收到上述SE應用方發(fā)送的上述獲取公鑰請求后�����,即將自身的公鑰發(fā)送給上述SE應用方��。
[0083]步驟S43:上述SE應用方接收到上述SE的公鑰后�,生成對稱密鑰,并使用該SE的公鑰對該對稱密鑰進行加密���,以得到加密后的對稱密鑰�����。
[0084]步驟S44:上述SE應用方向上述SE發(fā)行方發(fā)送上述加密后的對稱密鑰��,上述SE發(fā)行方收到加密后的對稱密鑰后�����,利用上述SE的MAC密鑰對上述加密后的對稱密鑰計算出MAC密鑰數(shù)值�,并將上述MAC密鑰數(shù)值發(fā)送給上述SE應用方����。
[0085]步驟S45:上述SE應用方使用上述加密后的對稱密鑰及上述MAC密鑰數(shù)值生成密鑰導入請求�,并將上述密鑰導入請求發(fā)送給上述SE����,以便將上述生成的對稱密鑰安全的導入到上述SE中。
[0086]步驟S46:上述SE接收到上述密鑰導入請求后�,對上述MAC密鑰數(shù)值進行驗證,以便識別上述數(shù)據及身份的真實性��,如果驗證通過����,則該SE使用自身的私鑰解密上述加密后的對稱密鑰,得到上述對稱密鑰��,并保存��;否則將放棄解密上述加密后的對稱密鑰�����,即對稱密鑰導入失敗���。
[0087]本發(fā)明實施例支持非對稱密鑰加密和對稱密鑰加解密。其中非對稱加密支持多種算法包括:RSA����,ECC, DSA, SM2 ;對稱加密支持的算法包括:DES�����,3DES��,AES, SM4�����。
[0088]本領域技術人員應能理解��,上述所舉的利用SE公鑰對對稱密鑰進行加密的方法僅為更好地說明本發(fā)明實施例的技術方案����,而非對本發(fā)明實施例作出的限定�。任何對上述對稱密鑰進行加密的方法如可適用于本專利,均包含在本發(fā)明實施例的范圍內����。
[0089]實施例二
[0090]該實施例提供了一種基于SE的密鑰管理裝置如圖5所示,具體可以包括如下的模塊:SE�、SE發(fā)行方和SE應用方。上述的SE發(fā)行方,用于對上述SE進行初始化��,生成上述SE的標識和MAC密鑰��;SE應用方或者上述SE���,用于生成對稱密鑰���,并通過上述SE發(fā)行方利用上述MAC密鑰對上述對稱密鑰進行驗證;進一步地����,上述SE和上述SE應用方,還用于在上述對稱密鑰驗證通過后���,將上述對稱密鑰進行存儲���。
[0091]上述SE發(fā)行方�����,用于向上述SE發(fā)送標識及上述SE發(fā)行方的公鑰����;上述SE��,用于將上述標識寫入到上述SE中�,作為上述SE的標識��,并生成MAC密鑰�����,將上述MAC密鑰使用上述SE發(fā)行方的公鑰進行加密���,并將加密后的數(shù)據發(fā)送給上述SE發(fā)行方��。
[0092]上述SE發(fā)行方�,用于產生生成非對稱密鑰請求�����,并將上述非對稱密鑰請求發(fā)送給上述SE;上述SE��,用于根據上述生成非對稱密鑰請求生成非對稱密鑰對����,將包含上述非對稱密鑰對的證書申請請求發(fā)送給上述SE發(fā)行方。上述SE,還用于將上述非對稱密鑰中的一個密鑰作為自己的公鑰�。
[0093]上述SE應用方,用于向上述SE發(fā)送攜帶自己的公鑰和密鑰參數(shù)的生成對稱密鑰請求��;上述SE�����,用于根據上述生成對稱密鑰請求中攜帶的密鑰參數(shù)生成對稱密鑰�����,使用上述SE應用方的公鑰將上述對稱密鑰進行加密���,并將加密后的數(shù)據使用上述MAC密鑰計算出相應的MAC密鑰數(shù)值�����,將上述加密后的數(shù)據及上述MAC密鑰數(shù)值發(fā)送給上述SE應用方��。
[0094]上述SE應用方���,用于將收到的上述加密后的數(shù)據及上述MAC密鑰數(shù)值發(fā)送給上述SE發(fā)行方��;上述SE發(fā)行方,用于對上述MAC密鑰數(shù)值進行驗證���,上述SE發(fā)行方對上述MAC密鑰數(shù)值進行驗證通過后��,發(fā)送驗證通過指示消息給上述SE應用方�����;上述SE應用方�����,用于接收到上述驗證通過指示消息后���,使用自身的私鑰對上述加密后的數(shù)據進行解密,得到上述對稱密鑰���,并存儲�。
[0095]上述SE應用方���,用于向上述SE發(fā)送獲取公鑰請求�;上述SE����,用于根據上述獲取公鑰請求發(fā)送自身的公鑰給上述SE應用方���,上述SE應用方,用于生成對稱密鑰���,并使用上述SE的公鑰對上述對稱密鑰進行加密�����,得到加密后的對稱密鑰��,并將該加密后的對稱密鑰發(fā)送給上述SE發(fā)行方����。
[0096]上述SE發(fā)行方�,用于利用上述SE的MAC密鑰對上述加密后的對稱密鑰計算出MAC密鑰數(shù)值,并將上述MAC密鑰數(shù)值發(fā)送給上述SE應用方�;上述SE應用方,用于使用上述加密后的對稱密鑰及上述MAC密鑰數(shù)值生成密鑰導入請求���,并將上述密鑰導入請求發(fā)送給上述SE;上述SE�,用于接收到上述密鑰導入請求后����,對上述MAC密鑰數(shù)值進行驗證,在驗證通過后�,使用自身的私鑰解密上述加密后的對稱密鑰,得到上述對稱密鑰����,并保存。
[0097]用本發(fā)明實施例的裝置對對稱密鑰的生成����、加密解密的具體過程與前述方法實施例類似,此處不再贅述�。
[0098]綜上上述,本發(fā)明實施例通過SE發(fā)行方對SE進行初始化�����,并通過SE應用方或者該SE生成對稱密鑰�����,再通過上述SE發(fā)行方對稱密鑰進行驗證����,最后上述SE和上述SE應用方將上述對稱密鑰進行存儲���。從而達到防止在使用軟件操作時,在數(shù)據傳輸?shù)倪^程中被跟蹤��,密鑰被破譯�;且降低私鑰泄露而造成數(shù)據被盜的風險。
[0099]本發(fā)明通過SE安全設備進行操作�,將密鑰被破譯的風險等級降至最低,確保密鑰數(shù)據的安全�����。此外�����,本發(fā)明采用硬件SE方式降低人為因素對于數(shù)據安全性的風險��,同時私鑰存儲于硬件中避免了私鑰的泄露���。因此�����,很好地實現(xiàn)了對密鑰數(shù)據的安全性和真實性的保護��,保護了使用者的利益����。
[0100]本領域普通技術人員可以理解:附圖只是一個實施例的示意圖,附圖中的模塊或流程并不一定是實施本發(fā)明所必須的����。
[0101]通過以上的實施方式的描述可知����,本領域的技術人員可以清楚地了解到本發(fā)明可借助軟件加必需的通用硬件平臺的方式來實現(xiàn)?��;谶@樣的理解����,本發(fā)明的技術方案本質上或者說對現(xiàn)有技術做出貢獻的部分可以以軟件產品的形式體現(xiàn)出來����,該計算機軟件產品可以存儲在存儲介質中,如R0M/RAM�、磁碟、光盤等���,包括若干指令用以使得一臺計算機設備(可以是個人計算機���,服務器�,或者網絡設備等)執(zhí)行本發(fā)明各個實施例或者實施例的某些部分上述的方法��。
[0102]本說明書中的各個實施例均采用遞進的方式描述�����,各個實施例之間相同相似的部分互相參見即可�����,每個實施例重點說明的都是與其他實施例的不同之處���。尤其��,對于裝置或系統(tǒng)實施例而言�,由于其基本相似于方法實施例���,所以描述得比較簡單���,相關之處參見方法實施例的部分說明即可���。以上所描述的裝置及系統(tǒng)實施例僅僅是示意性的,其中上述作為分離部件說明的單元可以是或者也可以不是物理上分開的���,作為單元顯示的部件可以是或者也可以不是物理單元�����,即可以位于一個地方,或者也可以分布到多個網絡單元上��?���?梢愿鶕嶋H的需要選擇其中的部分或者全部模塊來實現(xiàn)本實施例方案的目的。本領域普通技術人員在不付出創(chuàng)造性勞動的情況下�����,即可以理解并實施�。
[0103]以上上述,僅為本發(fā)明較佳的【具體實施方式】��,但本發(fā)明的保護范圍并不局限于此,任何熟悉本【技術領域】的技術人員在本發(fā)明揭露的技術范圍內��,可輕易想到的變化或替換���,都應涵蓋在本發(fā)明的保護范圍之內���。因此,本發(fā)明的保護范圍應該以權利要求的保護范圍為準�����。
【權利要求】
1.一種基于SE的密鑰管理方法��,其特征在于�����,包括: SE發(fā)行方對所述SE進行初始化�,生成所述SE的標識和MAC密鑰; SE應用方或者所述SE生成對稱密鑰��,通過所述SE發(fā)行方利用所述MAC密鑰對所述對稱密鑰進行驗證�����; 在所述對稱密鑰驗證通過后,所述SE和所述SE應用方將所述對稱密鑰進行存儲����。
2.根據權利要求1所述的基于SE的密鑰管理方法,其特征在于�����,所述SE發(fā)行方對所述SE進行初始化,生成所述SE的標識和MAC密鑰,包括: 所述SE發(fā)行方向所述SE發(fā)送標識及所述SE發(fā)行方的公鑰��;所述SE將所述標識寫入到所述SE中����,作為所述SE的標識,并生成MAC密鑰��,將所述MAC密鑰使用所述SE發(fā)行方的公鑰進行加密���,并將加密后的數(shù)據發(fā)送給所述SE發(fā)行方;所述SE發(fā)行方產生生成非對稱密鑰請求���,并將所述生成非對稱密鑰請求發(fā)送給所述SE ����; 所述SE根據所述生成非對稱密鑰請求生成非對稱密鑰對,將包含所述非對稱密鑰的公鑰證書申請請求發(fā)送給所述SE發(fā)行方��。
3.根據權利要求2所述的基于SE的密鑰管理方法�����,其特征在于��,所述SE將所述非對稱密鑰中的一個密鑰作為自己的公鑰���。
4.根據權利要求2所述的基于SE的密鑰管理方法��,其特征在于��,所述SE應用方或者SE生成對稱密鑰����,通過所述SE發(fā)行方利用所述MAC密鑰對所述對稱密鑰進行驗證����,包括: 所述SE應用方向所述SE發(fā)送攜帶自己的公鑰和密鑰參數(shù)的生成對稱密鑰請求; 所述SE根據所述生成對稱密鑰請求中攜帶的密鑰參數(shù)生成對稱密鑰�,使用所述SE應用方的公鑰將所述對稱密鑰進行加密,并將加密后的數(shù)據使用所述MAC密鑰計算出相應的MAC密鑰數(shù)值���,將所述加密后的數(shù)據及所述MAC密鑰數(shù)值發(fā)送給所述SE應用方�; 所述SE應用方將收到的所述加密后的數(shù)據及所述MAC密鑰數(shù)值發(fā)送給所述SE發(fā)行方,所述SE發(fā)行方對所述MAC密鑰數(shù)值進行驗證�����; 所述SE發(fā)行方對所述MAC密鑰數(shù)值進行驗證通過后��,發(fā)送驗證通過指示消息給所述SE應用方����; 所述SE應用方接收到所述驗證通過指示消息后,使用自身的私鑰對所述加密后的數(shù)據進行解密��,得到所述對稱密鑰�����,并存儲�����。
5.根據權利要求3所述的基于SE的密鑰管理方法�����,其特征在于���,所述SE應用方或者SE生成對稱密鑰����,通過所述SE發(fā)行方利用所述MAC密鑰對所述對稱密鑰進行驗證��,包括: 所述SE應用方向所述SE發(fā)送獲取公鑰請求����; 所述SE根據所述獲取公鑰請求發(fā)送自身的公鑰給所述SE應用方; 所述SE應用方生成對稱密鑰���,并使用所述SE的公鑰對所述對稱密鑰進行加密�����,得到加S后的對稱S鑰�; 所述SE應用方向所述SE發(fā)行方發(fā)送所述加密后的對稱密鑰�,所述SE發(fā)行方利用所述SE的MAC密鑰對所述加密后的對稱密鑰計算出MAC密鑰數(shù)值,并將所述MAC密鑰數(shù)值發(fā)送給所述SE應用方��; 所述SE應用方使用所述加密后的對稱密鑰及所述MAC密鑰數(shù)值生成密鑰導入請求�����,并將所述密鑰導入請求發(fā)送給所述SE ; 所述SE接收到所述密鑰導入請求后���,對所述MAC密鑰數(shù)值進行驗證���,在驗證通過后,使用自身的私鑰解密所述加密后的對稱密鑰�����,得到所述對稱密鑰�,并保存。
6.根據權利要求1至5任一項所述的基于SE的密鑰管理方法���,其特征在于��,所述SE包括:全球用戶識別卡�����、移動終端�����、安全數(shù)碼卡�。
7.一種基于SE的密鑰管理裝置�,其特征在于,包括:SE���、SE發(fā)行方和SE應用方����, 所述的SE發(fā)行方�,用于對所述SE進行初始化,生成所述SE的標識和MAC密鑰�; SE應用方或者所述SE,用于生成對稱密鑰����,通過所述SE發(fā)行方利用所述MAC密鑰對所述對稱密鑰進行驗證; 所述SE和所述SE應用方����,還用于在所述對稱密鑰驗證通過后,將所述對稱密鑰進行存儲���。
8.根據權利要求7所述的基于SE的密鑰管理裝置�����,其特征在于����, 所述SE發(fā)行方,用于向所述SE發(fā)送標識及所述SE發(fā)行方的公鑰����; 所述SE,用于將所述標識寫入到所述SE中��,作為所述SE的標識���,并生成MAC密鑰�����,將所述MAC密鑰使用所述SE發(fā)行方的公鑰進行加密���,并將加密后的數(shù)據發(fā)送給所述SE發(fā)行方; 所述SE發(fā)行方�����,用于產生生成非對稱密鑰請求,并將所述生成非對稱密鑰請求發(fā)送給所述SE �; 所述SE����,用于根據所述生成非對稱密鑰請求生成非對稱密鑰對,將包含所述非對稱密鑰對的證書申請請求發(fā)送給所述SE發(fā)行方�����。
9.根據權利要求8所述的基于SE的密鑰管理裝置���,其特征在于:所述SE�,還用于將所述非對稱密鑰中的一個密鑰作為自己的公鑰����。
10.根據權利要求8所述的基于SE的密鑰管理裝置,其特征在于���, 所述SE應用方���,用于向所述SE發(fā)送攜帶自己的公鑰和密鑰參數(shù)的生成對稱密鑰請求; 所述SE,用于根據所述生成對稱密鑰請求中攜帶的密鑰參數(shù)生成對稱密鑰�,使用所述SE應用方的公鑰將所述對稱密鑰進行加密,并將加密后的數(shù)據使用所述MAC密鑰計算出相應的MAC密鑰數(shù)值���,將所述加密后的數(shù)據及所述MAC密鑰數(shù)值發(fā)送給所述SE應用方����; 所述SE應用方�����,用于將收到的所述加密后的數(shù)據及所述MAC密鑰數(shù)值發(fā)送給所述SE發(fā)行方����; 所述SE發(fā)行方,用于對所述MAC密鑰數(shù)值進行驗證����,所述SE發(fā)行方對所述MAC密鑰數(shù)值進行驗證通過后,發(fā)送驗證通過指示消息給所述SE應用方�����; 所述SE應用方���,用于接收到所述驗證通過指示消息后����,使用自身的私鑰對所述加密后的數(shù)據進行解密,得到所述對稱密鑰�,并存儲。
11.根據權利要求8所述的基于SE的密鑰管理裝置�����,其特征在于�����, 所述SE應用方��,用于向所述SE發(fā)送獲取公鑰請求�����; 所述SE���,用于根據所述獲取公鑰請求發(fā)送自身的公鑰給所述SE應用方, 所述SE應用方��,用于生成對稱密鑰,并使用所述SE的公鑰對所述對稱密鑰進行加密��,得到加密后的對稱密鑰��,并將該加密后的對稱密鑰發(fā)送給所述SE發(fā)行方��; 所述SE發(fā)行方�,用于利用所述SE的MAC密鑰對所述加密后的對稱密鑰計算出MAC密鑰數(shù)值,并將所述MAC密鑰數(shù)值發(fā)送給所述SE應用方��; 所述SE應用方��,用于使用所述加密后的對稱密鑰及所述MAC密鑰數(shù)值生成密鑰導入請求��,并將所述密鑰導入請求發(fā)送給所述SE ��; 所述SE����,用于接收到所述密鑰導入請求后,對所述MAC密鑰數(shù)值進行驗證����,在驗證通過后,使用自身的私鑰解密所述加密后的對稱密鑰����,得到所述對稱密鑰�����,并保存��。
12.根據權利要求7至11任一項所述的基于SE的密鑰管理裝置���,其特征在于,所述SE包括:全球用戶識別卡�、移動終端�����、安全數(shù)碼卡��。
【文檔編號】H04L9/32GK104253692SQ201410028406
【公開日】2014年12月31日 申請日期:2014年1月21日 優(yōu)先權日:2014年1月21日
【發(fā)明者】孫貴成 申請人:北京印天網真科技有限公司