自动同步密钥的方法和系统以及密钥管理平台的制作方法
【专利摘要】本发明公开了一种自动同步密钥的方法和系统以及密钥管理平台,涉及通信领域。本发明通过终端厂商将密钥信息导入密钥管理平台,终端用户发起业务开通注册流程,将MDN和应用标识注册到密钥管理平台,密钥管理平台基于终端发起的密钥同步请求,建立MDN、应用标识、密钥标识以及密钥之间的绑定关系,并将MDN、密钥标识以及密钥同步到相应的应用平台,实现了一种密钥的自动同步方案,避免了用户直接干预密钥同步所导致的流程长、效率低等问题,简化了密钥同步过程,提高了密钥同步效率。并且,密钥管理平台自动同步终端密钥,以取代介质传输,可以实现对密钥的统一管理。
【专利说明】自动同步密钥的方法和系统以及密钥管理平台
【技术领域】
[0001]本发明涉及通信领域,特别涉及一种自动同步密钥的方法和系统以及密钥管理平台。
【背景技术】
[0002]基于硬件加密的121 (此吐丨加-丨0-1^*1116,机器对机器)终端,一般需要在终端出厂前将密钥信息烧写进121终端内部。密钥信息包括加密密钥,以及用于标识该密钥的唯一编号:密钥10。
[0003]在终端正式使用前,需要在对应的应用平台侧配置同样的密钥信息,以保证终端和应用平台能够实现加密通信。
[0004]应用平台侧通常的密钥配置方式是:在终端投入使用前,管理员将终端对应的密钥相关信息以光盘等传递媒介,通过手工录入的方式录入到相应的应用平台中,从而实现密钥的同步。
[0005]现有的密钥同步方案存在以下问题:
[0006]1、操作复杂:使用光盘等媒介,通过手工录入,操作繁琐、复杂,效率偏低。
[0007]2、安全性低:终端在最终部署之前,可能会经过层层分销,终端和与其相配套的密钥文件在流通渠道中流转多轮才到最终用户手中,从而导致密钥信息有提前泄露的危险。
【发明内容】
[0008]本发明实施例所要解决的一个技术问题是:解决现有手工密钥同步方式操作繁琐、效率偏低的问题。
[0009]本发明实施例所要解决的再一个技术问题是:解决现有密钥同步方式安全性低的问题。
[0010]本发明实施例的一个方面提出一种自动同步密钥的方法,包括:密钥管理平台响应于终端厂商对硬件加密终端中的密钥信息的导入操作,存储硬件加密终端中的密钥信息,该密钥信息包括密钥标识和密钥;密钥管理平台响应于终端用户发起的业务开通注册请求,存储业务开通注册请求中携带的移动用户号码簿号码11^和应用标识;密钥管理平台响应于硬件加密终端发起的密钥同步请求,根据密钥同步请求携带的密钥标识和101建立10队应用标识、密钥标识以及密钥之间的绑定关系;密钥管理平台将绑定关系中的10队密钥标识以及密钥同步到与该绑定关系中的应用标识相应的应用平台。
[0011]终端厂商可以在硬件加密终端出厂前对硬件加密终端中的密钥信息执行导入操作。
[0012]硬件加密终端可以通过短信发起密钥同步请求,以便请求接收方通过短信获取硬件加密终端所使用的101
[0013]密钥管理平台可以通过加密通道将绑定关系中的10队密钥标识以及密钥同步到与该绑定关系中的应用标识相应的应用平台。
[0014]其中,密钥信息包括一组或多组密钥标识和密钥,不同的密钥可以对应不同的应用。当密钥信息包括多组密钥标识和密钥时,硬件加密终端发起的密钥同步请求还携带应用标识,以便密钥管理平台将该应用对应的密钥信息同步给应用平台。
[0015]本发明实施例的再一个方面提出一种密钥管理平台,包括:第一存储单元,用于响应于终端厂商对硬件加密终端中的密钥信息的导入操作,存储硬件加密终端中的密钥信息,该密钥信息包括密钥标识和密钥;第二存储单元,用于响应于终端用户发起的业务开通注册请求,存储业务开通注册请求中携带的移动用户号码簿号码11^和应用标识;绑定关系建立单元,用于响应于硬件加密终端发起的密钥同步请求,根据密钥同步请求携带的密钥标识和101建立10队应用标识、密钥标识以及密钥之间的绑定关系;信息同步单元,用于将绑定关系中的10队密钥标识以及密钥同步到与该绑定关系中的应用标识相应的应用
^17.么卞口。
[0016]信息同步单元,具体可以用于通过加密通道将绑定关系中的10队密钥标识以及密钥同步到与该绑定关系中的应用标识相应的应用平台。
[0017]本发明实施例的又一个方面提出一种自动同步密钥的系统,包括:前述的密钥管理平台。
[0018]该系统还包括硬件加密终端,硬件加密终端通过短信发起密钥同步请求,以便密钥管理平台通过短信获取硬件加密终端所使用的101
[0019]本发明具有以下有益效果:
[0020]首先,终端厂商将密钥信息导入密钥管理平台,终端用户发起业务开通注册流程,将11^和应用标识注册到密钥管理平台,密钥管理平台基于终端发起的密钥同步请求,建立10队应用标识、密钥标识以及密钥之间的绑定关系,并将10队密钥标识以及密钥同步到相应的应用平台,实现了一种密钥的自动同步方案,避免了用户直接干预密钥同步所导致的流程长、效率低等问题,简化了密钥同步过程,提高了密钥同步效率。并且,密钥管理平台自动同步终端密钥,以取代介质传输,可以实现对密钥的统一管理。
[0021]其次,在终端出厂前将密钥信息导入到统一的密钥管理平台,避免密钥在安全不受控的环境下传播;并且,通过短信可以很容易的获取11^并依此验证终端3頂/瓜1卡真实性、以及通过加密通道传输密钥等措施,均可以增强整个同步过程的安全性。
[0022]再次,密钥信息可以有多组,可以分别对应不同的应用,在密钥同步过程中可以根据不同的应用将相应的密钥信息同步到不同的应用平台,可以适用多种业务需要密钥同步的情况。
[0023]最后,将终端311/111卡信息作为确定终端应用绑定的关键信息,增强了密钥管理和同步的操作灵活性,方便运营管理。
[0024]通过以下参照附图对本发明的示例性实施例的详细描述,本发明的其它特征及其优点将会变得清楚。
【专利附图】
【附图说明】
[0025]为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
[0026]图1为本发明提出的自动同步密钥的方法一个实施例的流程示意图。
[0027]图2为本发明提出的自动同步密钥的方法一个实施例的信息交互图。
[0028]图3为本发明密钥管理平台一个实施例的结构示意图。
【具体实施方式】
[0029]下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。以下对至少一个示例性实施例的描述实际上仅仅是说明性的,决不作为对本发明及其应用或使用的任何限制。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
[0030]鉴于现有手工密钥同步方案存在的操作复杂、效率偏低的问题,以及在终端最终部署之前终端和与其相配套的密钥文件在流通环节流转所引发的密钥提前泄露风险,本发明提出了一种自动同步密钥方案,可以适用于例如移动通信网络环境,可以解决现有技术存在的操作复杂、效率偏低以及安全性低等问题。下面详细说明本发明的方案。
[0031]图1为本发明提出的自动同步密钥的方法一个实施例的流程示意图。
[0032]如图1所示,本实施例的自动同步密钥的方法包括以下步骤:
[0033]3101,密钥管理平台响应于终端厂商对硬件加密终端中的密钥信息的导入操作,存储硬件加密终端中的密钥信息,其中,该密钥信息包括密钥标识(如密钥10)和密钥。
[0034]需要说明的是,终端厂商可以在硬件加密终端出厂前对硬件加密终端中的密钥信息执行导入操作,以尽量避免密钥在安全不受控的环境下传播,提高密钥同步的安全性。
[0035]硬件加密终端例如可以是121终端,但不限于此。
[0036]3102,密钥管理平台响应于终端用户发起的业务开通注册请求,存储业务开通注册请求中携带的勵X (10)3116 1)11-601:01-7他',移动用户号码簿号码)和应用标识。
[0037]其中,10^可以是 311 (81113801-1)361- 1(16111:11:7 10(11116,客户识别模块)卡或 1111
(1)861- 1(16111:11:7此如丨6,用户识别模块)卡的号码。
[0038]3103,密钥管理平台响应于硬件加密终端发起的密钥同步请求,根据密钥同步请求携带的密钥标识和101建立10队应用标识、密钥标识以及密钥之间的绑定关系。
[0039]其中,硬件加密终端可以通过短信发起密钥同步请求,这样密钥管理平台通过短信就可以获知终端所使用的101无需在同步请求中额外携带该信息。
[0040]在绑定关系建立过程中,密钥管理平台通过密钥同步请求携带的密钥标识可以从终端厂商导入的密钥信息在找到相应的密钥,并通过密钥同步请求携带的11^找到注册过程存储的应用标识,从而将这四项信息10队应用标识、密钥标识以及密钥关联起来,并建立绑定关系。
[0041]在接收到硬件加密终端发起的密钥同步请求之后,在建立绑定关系之前,密钥管理平台还可以根据密钥同步请求携带11^对终端进行合法性验证,验证内容例如可以是检验11^是否符合相关标准的规定,还可以根据密钥管理平台是否存储有该101以检验该终端是否是已经注册的终端,如果存储有该101说明该终端已经进行过上述步骤3102的注册过程。只有注册过的终端,密钥管理平台才会进行绑定以及后续的同步过程。
[0042]3104,密钥管理平台将绑定关系中的10队密钥标识以及密钥同步到与该绑定关系中的应用标识相应的应用平台。
[0043]具体地,密钥管理平台根据同步请求中的密钥标识或者11^就可以找到相应的绑定关系记录,根据绑定关系记录中应用标识就可以确定需要同步的应用平台,然后将绑定关系记录中的10队密钥标识以及密钥同步到该应用平台,完成同步过程。
[0044]需要说明的是,为了增强整个同步过程的安全性,密钥管理平台可以通过加密通道将绑定关系中的10队密钥标识以及密钥同步到与该绑定关系中的应用标识相应的应用平台。其中,加密通道例如可以采用33? (860111-6 8116111,安全外壳协议)加密通道,也可以采用密钥管理平台与应用平台之间预先协商好的密钥和加密算法进行加密,并且密钥管理平台与不同的应用平台之间可以采用不同的加密通道。
[0045]为了使图1的方案更加清楚,图2示出了本发明提出的自动同步密钥的方法一个实施例的信息交互图,方案细节可以参考3101?3104,这里仅就关键步骤进行简单描述。
[0046]如图2所示,本实施例的自动同步密钥的方法包括以下步骤:
[0047]3201,终端厂商在硬件加密终端出厂前将硬件加密终端中的密钥信息导入到密钥管理平台,由密钥管理平台进行统一管理。其中,该密钥信息包括密钥标识(如密钥10)和密钥。
[0048]3202,在硬件加密终端启用前,终端用户到密钥管理平台进行业务开通注册,向密钥管理平台发送业务开通注册请求,业务开通注册请求中携带11^和应用标识。密钥管理平台响应于终端用户发起的业务开通注册请求,存储业务开通注册请求中携带的11^和应用标识。
[0049]3203,硬件加密终端向密钥管理平台发起密钥同步请求,该密钥同步请求携带和密钥标识。
[0050]如果硬件加密终端通过短信向密钥管理平台发起密钥同步请求,则该密钥同步请求无需额外携带101仅携带密钥标识即可,密钥管理平台通过短信可以获得终端的11^信肩、0
[0051]3204,密钥管理平台根据密钥同步请求携带11^对终端进行合法性验证,在验证通过后,根据密钥同步请求携带的密钥标识和101建立10队应用标识、密钥标识以及密钥之间的绑定关系。
[0052]3205,密钥管理平台通过加密通道将绑定关系中的10队密钥标识以及密钥同步到与该绑定关系中的应用标识相应的应用平台,完成同步过程。
[0053]密钥管理平台在终端使用时自动将终端密钥信息分发到对应的应用平台,可以满足在项目实施时才能确定终端和应用对应关系的场景需要,尤其能够适用终端集成第三方提供的硬件芯片加密模式中。
[0054]需要说明的是,本发明所涉及的密钥信息可以包括一组或多组密钥标识和密钥,不同的密钥可以对应不同的应用。当仅包括一组密钥标识和密钥时的同步过程可以参考图1和图2所示实施例。
[0055]当密钥信息包括多组密钥标识和密钥时的同步过程可以包括以下步骤:
[0056]8301,终端厂商在硬件加密终端出厂前将硬件加密终端中的密钥信息导入到密钥管理平台,由密钥管理平台进行统一管理。其中,该密钥信息包括多组密钥标识(如密钥10)和密钥。
[0057]3302,在硬件加密终端启用前,终端用户到密钥管理平台进行业务开通注册,可以针对不同的业务发起多次注册过程,每次注册时向密钥管理平台发送业务开通注册请求,业务开通注册请求中携带11^和应用标识。密钥管理平台存储11^和应用标识。当同一硬件加密终端的用户发起多次注册时,密钥管理平台针对一个11^存储有多个应用标识。
[0058]3303,硬件加密终端向密钥管理平台发起密钥同步请求,该密钥同步请求除了携带10队密钥标识,还携带应用标识,以便于密钥管理平台结合11^和应用标识来确定密钥标识所对应的密钥信息与哪一条注册信息绑定。
[0059]3304,密钥管理平台根据密钥同步请求携带11^对终端进行合法性验证,在验证通过后,根据密钥同步请求携带的密钥标识、11^和应用标识,建立10队应用标识、密钥标识以及密钥之间的绑定关系。
[0060]3305,密钥管理平台通过加密通道将绑定关系中的10队密钥标识以及密钥同步到与该绑定关系中的应用标识相应的应用平台,完成同步过程。
[0061]本发明还提出一种自动同步密钥的系统,包括:密钥管理平台、硬件加密终端、应用平台。
[0062]其中,如图3所示,密钥管理平台包括:
[0063]第一存储单元401,用于响应于终端厂商对硬件加密终端中的密钥信息的导入操作,存储硬件加密终端中的密钥信息,该密钥信息包括密钥标识和密钥;
[0064]第二存储单元402,用于响应于终端用户发起的业务开通注册请求,存储业务开通注册请求中携带的移动用户号码簿号码11^和应用标识;
[0065]绑定关系建立单元403,用于响应于硬件加密终端发起的密钥同步请求,根据密钥同步请求携带的密钥标识和101建立10队应用标识、密钥标识以及密钥之间的绑定关系;
[0066]信息同步单元404,用于将绑定关系中的10队密钥标识以及密钥同步到与该绑定关系中的应用标识相应的应用平台。
[0067]在一种实现方式中,信息同步单元404,具体可以用于通过加密通道将绑定关系中的10队密钥标识以及密钥同步到与该绑定关系中的应用标识相应的应用平台。
[0068]其中,硬件加密终端可以通过短信发起密钥同步请求,以便密钥管理平台通过短信获取硬件加密终端所使用的101
[0069]另外,密钥信息可用于包括一组或多组密钥标识和密钥,不同的密钥可以对应不同的应用。当密钥信息包括多组密钥标识和密钥时,硬件加密终端发起的密钥同步请求还携带应用标识,以便密钥管理平台将该应用对应的密钥信息同步给应用平台。
[0070]本发明具有以下有益效果:
[0071]首先,终端厂商将密钥信息导入密钥管理平台,终端用户发起业务开通注册流程,将11^和应用标识注册到密钥管理平台,密钥管理平台基于终端发起的密钥同步请求,建立10队应用标识、密钥标识以及密钥之间的绑定关系,并将10队密钥标识以及密钥同步到相应的应用平台,实现了一种密钥的自动同步方案,避免了用户直接干预密钥同步所导致的流程长、效率低等问题,简化了密钥同步过程,提高了密钥同步效率。并且,密钥管理平台自动同步终端密钥,以取代介质传输,可以实现对密钥的统一管理。
[0072]其次,在终端出厂前将密钥信息导入到统一的密钥管理平台,避免密钥在安全不受控的环境下传播;并且,通过短信可以很容易的获取11^并依此验证终端3頂/瓜1卡真实性、以及通过加密通道传输密钥等措施,均可以增强整个同步过程的安全性。
[0073]再次,密钥信息可以有多组,可以分别对应不同的应用,在密钥同步过程中可以根据不同的应用将相应的密钥信息同步到不同的应用平台,可以适用多种业务需要密钥同步的情况。
[0074]最后,将终端311/111卡信息作为确定终端应用绑定的关键信息,增强了密钥管理和同步的操作灵活性,方便运营管理。
[0075]本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
[0076]以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
【权利要求】
1.一种自动同步密钥的方法,包括: 密钥管理平台响应于终端厂商对硬件加密终端中的密钥信息的导入操作,存储硬件加密终端中的密钥信息,该密钥信息包括密钥标识和密钥; 密钥管理平台响应于终端用户发起的业务开通注册请求,存储业务开通注册请求中携带的移动用户号码簿号码MDN和应用标识; 密钥管理平台响应于硬件加密终端发起的密钥同步请求,根据密钥同步请求携带的密钥标识和MDN,建立MDN、应用标识、密钥标识以及密钥之间的绑定关系; 密钥管理平台将绑定关系中的MDN、密钥标识以及密钥同步到与该绑定关系中的应用标识相应的应用平台。
2.根据权利要求1所述的方法,其特征在于,终端厂商在硬件加密终端出厂前对硬件加密终端中的密钥信息执行导入操作。
3.根据权利要求1所述的方法,其特征在于,硬件加密终端通过短信发起密钥同步请求,以便请求接收方通过短信获取硬件加密终端所使用的MDN。
4.根据权利要求1所述的方法,其特征在于,密钥管理平台通过加密通道将绑定关系中的MDN、密钥标识以及密钥同步到与该绑定关系中的应用标识相应的应用平台。
5.根据权利要求1所述的方法,其特征在于,密钥信息包括一组或多组密钥标识和密钥; 当密钥信息包括多组密钥标识和密钥时,硬件加密终端发起的密钥同步请求还携带应用标识。
6.一种密钥管理平台,包括: 第一存储单元,用于响应于终端厂商对硬件加密终端中的密钥信息的导入操作,存储硬件加密终端中的密钥信息,该密钥信息包括密钥标识和密钥; 第二存储单元,用于响应于终端用户发起的业务开通注册请求,存储业务开通注册请求中携带的移动用户号码簿号码MDN和应用标识; 绑定关系建立单元,用于响应于硬件加密终端发起的密钥同步请求,根据密钥同步请求携带的密钥标识和MDN,建立MDN、应用标识、密钥标识以及密钥之间的绑定关系; 信息同步单元,用于将绑定关系中的MDN、密钥标识以及密钥同步到与该绑定关系中的应用标识相应的应用平台。
7.根据权利要求6所述的密钥管理平台,其特征在于,信息同步单元,具体用于通过加密通道将绑定关系中的MDN、密钥标识以及密钥同步到与该绑定关系中的应用标识相应的应用平台。
8.一种自动同步密钥的系统,包括:权利要求6或7所述的密钥管理平台。
9.根据权利要求8所述的系统,其特征在于,该系统还包括硬件加密终端,硬件加密终端通过短信发起密钥同步请求,以便密钥管理平台通过短信获取硬件加密终端所使用的MDN。
10.根据权利要求9所述的系统,其特征在于,密钥信息包括一组或多组密钥标识和密钥; 当密钥信息包括多组密钥标识和密钥时,硬件加密终端发起的密钥同步请求还携带应用标识。
【文档编号】H04L9/00GK104426649SQ201310368619
【公开日】2015年3月18日 申请日期:2013年8月22日 优先权日:2013年8月22日
【发明者】邓佳佳, 成建波, 王艺 申请人:中国电信股份有限公司