专利名称:关键参数的存储方法及终端设备的制作方法
技术领域:
本发明涉及通信领域,尤其涉及一种关键参数的存储方法及终端设备。
背景技术:
终端在业务接入、申请用户相关信息更改,重启后接入等情况下,会进行鉴权。 鉴权的目的是为了检验终端的合法性、保护合法用户的利益,同时还要避免给运营商带 来不必要的损失。目前,鉴权的算法很多,例如,全球移动通信系统(GlcAal System for Mobile communications,简称为 GSM)中的 C0MPU8-1 算法、第 3 代移动通信(the third generation mobile communications,简称为 3G)中的蜂窝鉴权禾口语音力口密(Cellular Authentication Voice Encryption,简称为 CAVE)算法,还是 3G、长期演进(Long Term Evolution,简称为LTE)中的基于Milenage算法的鉴权和密钥同意(Authentication and key Agreement,简称为AKA)鉴权。大多采用的方式是“公钥-密钥”的终端和网络间的双 向认证机制,即,终端和基站各自保存一个密钥,该密钥是不能传输的,然后随机产生公钥, 公钥可以在空中传输。移动台和基站分别利用各自的公钥和密钥通过“鉴权特征程序”产 生各自的“鉴权码”,然后比较两者的鉴权码,如果鉴权码相同,表明鉴权通过;否则鉴权不 通过。随着科技发展,犯罪分子的智商越来越高,作案手段也越来越高明,有些不法分子 就利用固定台、数据卡等终端设备为机卡一体且鉴权密钥存储在终端上的特点,依靠工具、 空中下载(Over-The-Air,简称为0ΤΑ)放号等手段找到密钥存储位置,从而非法获取密钥, 并把该非法获取的密钥、电子序列号(Electronic Serial Number,简称为ESN)等信息烧制 到一张新卡上,而有密钥的新卡能通过鉴权,成为了一张合法的卡,用它来进行非法活动。 这种卡资费比普通卡的资费要便宜,所以,有一定的市场。可见,不法分子利用上述手段盗 号制卡,并依靠兜售这种卡谋取非法利益,损害了运营商和用户双方的利益。为了防止类似的非法行为,相关技术中,提供了两种方法⑴将关键参数换地方 存储;( 将关键参数进行简单的处理。但是,将关键参数换地方存储,通过不法分子自己放号还是可以找到新的存储号 码的位置,获取关键参数,而将关键参数进行简单的处理,这种方法也可以通过不法分子多 次放号找到存储位置,对比放号前后的AKEY(鉴权码)值由此得到关键参数计算公式,同样 能获取关键参数。
发明内容
本发明的主要目的在于提供一种关键参数的存储方案,以至少解决上述相关技术 中不法分子容易获取终端存储的关键参数而导致损害运营商和用户利益的问题之一。为了实现上述目的,根据本发明的一个方面,提供了 一种关键参数的存储方法。根据本发明的关键参数的存储方法,包括以下步骤将终端设备中存储的密钥的 原始关键参数按照预定策略进行处理,其中,预定策略包括加密算法和分段规则;将处理后的数据使用离散的内存进行分散存储。进一步地,将终端设备中存储的密钥的原始关键参数按照预定策略进行处理包 括将原始关键参数按照加密算法进行加密,并对加密后生成的新的数列按照分段规则进 行分段;或者,将原始关键参数按照分段规则进行分段,并对分段后的每段数据按照加密算 法进行加密。进一步地,将处理后的数据使用离散的内存进行分散存储包括记录处理后的数 据与其存储位置的对应关系;根据处理后的数据与其存储位置的对应关系及预定策略,对 原始关键参数进行恢复。进一步地,对原始关键参数进行恢复之后,该方法还包括对恢复后的原始关键参 数进行验证。进一步地,加密算法至少包括以下之一随机算法、AES算法、DES算法、取非、取异 或。进一步地,分段规则至少包括以下之一分段的数量、分段后每段的大小、分段的 顺序、分段的内容。为了实现上述目的,根据本发明的另一方面,还提供了一种终端设备。根据本发明的终端设备,包括预处理模块,用于将存储的密钥的原始关键参数按 照预定策略进行处理,其中,预定策略包括加密算法和分段规则;存储模块,用于将预处理 模块处理后的数据使用离散的内存进行分散存储。进一步地,预处理模块包括第一加密单元,用于将原始关键参数按照加密算法进 行加密;第一分段单元,用于对第一加密单元加密后生成的新的数列按照分段规则进行分 段;或者,第二分段单元,用于将原始关键参数按照分段规则进行分段;第二加密单元,用 于对第二分段单元分段后的每段数据按照加密算法进行加密。进一步地,该终端设备还包括记录模块,用于记录预处理模块处理后的数据与其 存储位置的对应关系;恢复模块,用于根据预定策略及记录模块记录的预处理模块处理后 的数据与其存储位置的对应关系,对原始关键参数进行恢复。进一步地,该终端设备还包括验证模块,用于对恢复后的原始关键参数进行验 证。通过本发明,采用将关键参数进行加密和分段后,使用离散的内存进行分散存储 的方式,解决了相关技术中不法分子容易获取终端存储的关键参数而导致损害运营商和用 户利益的问题,提高了系统的安全性和性能。
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发 明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中图1是根据本发明实施例的关键参数的存储方法的流程图;图2是根据本发明实施例的终端设备的结构框图;图3是根据本发明优选实施例的终端设备的结构框图;图4是根据本发明优选实施例二的关键参数存储算法涉及模块及其关系示意图;图5是根据本发明优选实施例三的关键参数分散加密存储算法的流程图;以及
图6是根据本发明优选实施例四的关键参数获取过程的流程图。
具体实施例方式下文中将参考附图并结合实施例来详细说明本发明。需要说明的是,在不冲突的 情况下,本申请中的实施例及实施例中的特征可以相互组合。在本实施例中,根据本发明的实施例,提供了一种关键参数的存储方法。图1是根 据本发明实施例的关键参数的存储方法的流程图,如图1所示,该方法包括以下步骤步骤S102,将终端设备中存储的密钥的原始关键参数按照预定策略进行处理,其 中,预定策略包括加密算法和分段规则;步骤S104,将处理后的数据使用离散的内存进行分散存储。通过上述步骤,采用将关键参数进行加密和分段后,使用离散的内存进行分散存 储的方式,解决了相关技术中不法分子容易获取终端存储的关键参数而导致损害运营商和 用户利益的问题,提高了系统的安全性和性能。优选地,在步骤S102中,可以先将原始关键参数按照加密算法进行加密,再对加 密后生成的新的数列按照分段规则进行分段;或者先将原始关键参数按照分段规则进行分 段,再对分段后的每段数据按照加密算法进行加密。该方法可以增加系统的灵活性。优选地,在步骤S104中,可以记录处理后的数据与其存储位置的对应关系;根据 处理后的数据与其存储位置的对应关系及预定策略,对原始关键参数进行恢复。这样可以 增加系统的有效性和有序性。优选地,对原始关键参数进行恢复之后,对恢复后的原始关键参数进行验证。该方 法可以保证关键参数已被正确恢复,提高系统的准确性。优选地,上述加密算法至少包括以下之一随机算法、高级加密标准(Advanced Encryption Mandard,简称为 AES)算法、数据加密标准(Data Encryption Mandard,简称 为DES)算法、取非、取异或。该方法实现简单、可操作性强。优选地,上述分段规则至少包括以下之一分段的数量、分段后每段的大小、分段 的顺序、分段的内容。该方法实现简单、可操作性强。对应于上述的方法,在本实施例中还提供了一种终端设备。图2是根据本发明实 施例的终端设备的结构框图,如图2所示,该终端设备20包括预处理模块22,用于将存储 的密钥的原始关键参数按照预定策略进行处理,其中,预定策略包括加密算法和分段规则; 存储模块对,耦合至预处理模块22,用于将预处理模块处理后的数据使用离散的内存进行 分散存储。通过上述装置,预处理模块22将关键参数进行加密和分段后,存储模块M使用离 散的内存进行分散存储,解决了相关技术中不法分子容易获取终端存储的关键参数而导致 损害运营商和用户利益的问题,提高了系统的安全性和性能。图3是根据本发明优选实施例的终端设备的结构框图,如图3所示,预处理模块 22包括第一加密单元222和第一分段单元224,或者,第二分段单元2 和第二加密单元 228。其中,第一加密单元222,用于将原始关键参数按照加密算法进行加密;第一分段单元 224,耦合至第一加密单元222,用于对第一加密单元222加密后生成的新的数列按照分段 规则进行分段;第二分段单元226,用于将原始关键参数按照分段规则进行分段;第二加密
5单元228,耦合至第二分段单元226,用于对第二分段单元2 分段后的每段数据按照加密 算法进行加密。 优选地,终端设备20还包括记录模块32,用于记录预处理模块处理后的数据与 其存储位置的对应关系;恢复模块34,耦合至记录模块32,用于根据预定策略及记录模块 32记录的预处理模块处理后的数据与其存储位置的对应关系,对原始关键参数进行恢复。
优选地,终端设备20还包括验证模块36,耦合至恢复模块34,用于对恢复后的原 始关键参数进行验证。下面结合优选实施例和附图对上述实施例的实现过程进行详细说明。优选实施例一针对不法分子通过查找固定位置来找到参数的情况,可以将这些关键参数分成多 段,并将分段分散在不同的位置存储起来,使用时再组合起来。但如果仅仅是简单分段,不 法分子还是可以通过分别搜索分段参数方法一一查出相关位置,并将分段拼凑起来,同样 可以获取这些关键参数。为了加强关键参数的管理,本实施例首先对原始数据进行加密,再 将加密后的数据分成多段,并分散地存储在不同位置,这样就可以制止不法分子依靠利用 各种手段直接在明文中读取或者推测关键参数的违法行为。具体地,本发明优选实施例提供了一种关键参数分散加密存储方案,包括如下处 理步骤步骤1,对原始关键参数进行加密处理,生成新数列,使得不法分子无法直接搜索 到相关明文。步骤2,将新数列分段,确定分段的段数和大小,将每段编号,以便今后取用时按编 号重组起来,为每段分配一个足够大小的存储空间,将每段存入存储空间中,记录每段存储 空间的地址和与分段间的一一对应关系。优选地,在步骤1中,为了阻止不法分子备份找到关键参数,可以预先对原始关键 参数进行处理,使其不明文化。在具体实施过程中,处理的方式可以是某种固定规则,例如, 对数值进行统一的取异或,或者取非操作等,这样做法执行效率高,但是规则简单,比较好 破译;也可以是某种加密算法,例如,AES, DES等,这些算法保密性好,但运算速度较慢。优选地,在步骤2中,分段数量可以是一个固定值,也可以采用在某个范围内随机 生成的方式;分段的段大小也可以是固定大小段,也可以指定某个规则来分段;存储的位 置可以是固定位置,也可以动态选择。随机的方式可以增加查找分段的难度,使得获取参数 的开销超过可能获得的利益。除了上述步骤外,还可以采取其他的措施强化这种保护机制,例如采用加密的方 式处理原始数据,为了保护密钥,可以在每次访问完关键参数后,重新生成密钥。另外,也可 先分段,再对每一段分别加密,处理完成后再存储。通过本实施例可以很好地利用加密参数、分散位置存储的方式,有效地制止不法 分子找到关键参数,从而避免了他们盗号制卡的行为,有效地保护了运营商和用户的合法利益。优选实施例二图4是根据本发明优选实施例二的关键参数存储算法涉及模块及其关系示意图, 如图4所示,该系统可以分为四个模块,包括参数加密模块、参数分割模块、位置分配模块和存储参数模块,下面对各模块进行详细说明。参数加密模块,用于对原始关键参数进行加密,使其不按照明文呈现在内存中; 参数分割模块,用于对参数串进行划分,并确定分段的数量、大小、顺序、内容;位置分配模 块,用于确定每个分段的存储顺序和存储位置;存储模块,用于完成各个分段及其相关信息 (例如,分段数、分段大小和分段位置等)的存储功能。关键参数通过这4个模块,可以完成 分散加密存储,从而达到安全的保管关键参数的目的。优选实施例三图5是根据本发明优选实施例三的关键参数分散加密存储算法的流程图,如图5 所示,该流程可以包括以下步骤步骤S502,获取原始关键参数。步骤S504,使用某种加密算法,对获取的原始关键参数进行加密处理。加密时所需 的密钥可以使用随机密钥,这样做的好处是相比固定密钥,需要增加推测。步骤S506,判断是否加密成功。如果加密成功,进入步骤S508,否则,进入步骤 S522。步骤S508,产生新参数数列,将随机密钥保存起来,以便下次访问参数使用。步骤S510,对新参数值分段。例如,可以按照随机数进行分段。在具体实施过程 中,为了同时兼顾速率和保密性,可以取2 8间的离散整数N。步骤S512,判断是否分段成功。如果分段成功,进入步骤S514,否则,进入步骤 S524。步骤S514,将段数N存储起来,对分段顺序进行编号。同时,记录该分段顺序和每 个分段的大小(例如,长度)。步骤S516,为每个分段确定一个分段位置。这些位置应该是离散地分散在内存空 间里。将分段对应的位置信息保存起来,以便后续读取。步骤S518,根据分段顺序和地址间的对应关系,将每个分段存储到对应的分配位 置中去。例如,按照顺序,将N个参数段存储到N个位置。并将每个段编号、段的大小和地 址可以存入一个数组中。步骤S520,参数存储成功,该流程结束。步骤S522,判断加密不成功的次数是否小于3次。若小于3次,则重新进入步骤 S504,重新获取随机密钥,对原始关键参数进行加密;否则,进入步骤S5M。需要说明的是, 这里加密不成功的次数定义为3次是根据经验值,在具体实施过程中,可以根据需要,自行 设定,并不限于该值。步骤S5M,参数存储失败,该流程结束。优选实施例四图6是根据本发明优选实施例四的关键参数获取过程的流程图,如图6所示,在需 要使用原始关键参数时,获取该原始关键参数的步骤如下步骤S602,获取存储的分段数N,例如,可以连续获取3次,如果获取不成功,进入 步骤S622,如果获取成功,进入步骤S604。步骤S604,获取分段信息保存数据结构,数据结构中保存有分段的顺序和每个分 段的存储位置指针。通过该指针可以找到存储位置,根据数据结构中保存的分段的大小分别得到存储位置的存储内容。例如,获取保存的数组,数组中记录了每个段的编号、段的大 小和地址。步骤S606,判断是否获取上述数据结构成功。若成功,进入步骤S608,否则,进入 步骤S622。步骤S608,根据分段顺序和地址间的对应关系,拼接各个分段为一个整体。例如, 可以按照顺序查找每个分段,并且拼接为一个整体。步骤S610,判断是否拼接成功。如果拼接成功,进入步骤S612,如果出现异常(例 如,存储位置越界等),进入参数获取失败处理。为了确保拼接的参数为之前的参数,可以使 用某些验证算法。步骤S612,获取保存的随机密钥。步骤S614,判断获取随机密钥是否成功。如果获取成功,进入步骤S616,如果获取 失败,进入步骤S622。步骤S616,根据密钥参数运行解密算法,得到原始关键参数。即,解码得到原始关 键参数。步骤S618,使用该参数,同时,重复加密存储过程,将关键参数再次保存起来。参数 使用完毕后,为了确保随机密钥的安全性,可以重新更换随机密钥,通过加密算法对关键参 数进行加密,加密后重新分段保存,存储过程和上述过程一致,同样随机选择分段数,确定 分段大小、存储位置等,最后再次保存一次关键参数。步骤S620,参数获取成功,该流程结束。步骤S622,参数存储失败,返回失败,该流程结束。综上所述,通过本发明实施例的关键参数分散加密存储方案,采用将关键参数进 行加密和分段后,使用离散的内存进行分散存储的方式,能够有效地制止不法分子的盗取 号行为,从而有效地保护商家和用户的合法利益。显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用 的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成 的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储 在存储装置中由计算装置来执行,并且在某些情况下,可以以不同于此处的顺序执行所示 出或描述的步骤,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或 步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技 术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修 改、等同替换、改进等,均应包含在本发明的保护范围之内。
权利要求
1.一种关键参数的存储方法,其特征在于,包括以下步骤将终端设备中存储的密钥的原始关键参数按照预定策略进行处理,其中,所述预定策 略包括加密算法和分段规则;将处理后的数据使用离散的内存进行分散存储。
2.根据权利要求1所述的方法,其特征在于,将所述终端设备中存储的所述密钥的所 述原始关键参数按照所述预定策略进行处理包括将所述原始关键参数按照所述加密算法进行加密,并对加密后生成的新的数列按照所 述分段规则进行分段;或者将所述原始关键参数按照所述分段规则进行分段,并对分段后的每段数据按照所述加 密算法进行加密。
3.根据权利要求1所述的方法,其特征在于,将所述处理后的数据使用离散的所述内 存进行分散存储包括记录所述处理后的数据与其存储位置的对应关系;根据所述处理后的数据与其存储位置的对应关系及所述预定策略,对所述原始关键参 数进行恢复。
4.根据权利要求3所述的方法,其特征在于,对所述原始关键参数进行恢复之后,还包括对恢复后的所述原始关键参数进行验证。
5.根据权利要求1所述的方法,其特征在于,所述加密算法至少包括以下之一随机算 法、AES算法、DES算法、取非、取异或。
6.根据权利要求1至5中任一项所述的方法,其特征在于,所述分段规则至少包括以下 之一分段的数量、分段后每段的大小、分段的顺序、分段的内容。
7.—种终端设备,其特征在于,包括预处理模块,用于将存储的密钥的原始关键参数按照预定策略进行处理,其中,所述预 定策略包括加密算法和分段规则;存储模块,用于将所述预处理模块处理后的数据使用离散的内存进行分散存储。
8.根据权利要求7所述的终端设备,其特征在于,所述预处理模块包括第一加密单元,用于将所述原始关键参数按照所述加密算法进行加密;第一分段单元, 用于对所述第一加密单元加密后生成的新的数列按照所述分段规则进行分段;或者第二分段单元,用于将所述原始关键参数按照所述分段规则进行分段;第二加密单元, 用于对所述第二分段单元分段后的每段数据按照所述加密算法进行加密。
9.根据权利要求7所述的终端设备,其特征在于,所述终端设备还包括记录模块,用于记录所述预处理模块处理后的数据与其存储位置的对应关系;恢复模块,用于根据所述预定策略及所述记录模块记录的所述预处理模块处理后的数 据与其存储位置的对应关系,对所述原始关键参数进行恢复。
10.根据权利要求9所述的终端设备,其特征在于,所述终端设备还包括验证模块,用于对恢复后的所述原始关键参数进行验证。
全文摘要
本发明公开了一种关键参数的存储方法及终端设备,该方法包括以下步骤将终端设备中存储的密钥的原始关键参数按照预定策略进行处理,其中,预定策略包括加密算法和分段规则;将处理后的数据使用离散的内存进行分散存储。通过本发明提高了系统的安全性和性能。
文档编号H04L9/06GK102075322SQ20101057447
公开日2011年5月25日 申请日期2010年12月6日 优先权日2010年12月6日
发明者滕文星, 王延平 申请人:中兴通讯股份有限公司