密钥管理方法、装置及系统与流程
本发明涉及信息安全技术领域,特别涉及一种密钥管理方法、装置及系统。
背景技术:
目前,数据的加密方式包括对称加密(Symmetric Cryptography)和非对称加密(Asymmetric Cryptography)两类。
对称加密方式是一种快速、简单的加密方式,加密(encryption)与解密(decryption)用的是同样的密钥(secret key)。对称加密方式通常使用相对较小的密钥,一般小于256bit(比特)。因为密钥越大,加密越强,但加密与解密的过程越慢。密钥的大小需要权衡安全性和效率。典型地,AES(Advanced Encryption Standard,高级加密标准)采用的是对称加密方式,在密码学中又称Rijndael加密法。以256Byte(字节)明文来说,估计速度在90万次/秒。对称加密方式由于加密与解密使用的是同样的密钥,因此其优势是加解密的速度快,但其劣势是通讯双方需要提前约定密钥,如果密钥通过网络来传输,则安全性不能保证。
非对称加密方式为数据的加密与解密提供了一种非常安全的方法,其使用一对密钥,公钥(public key)和私钥(private key)。私钥只能由一方安全保管,不能外泄,而公钥则可以发给任何需求方。非对称加密方式通常使用公钥加密,而使用私钥解密。与对称加密方式所不同的是,由于私钥不用在网络上传输,因此安全性得到提高。目前,常用的非对称加密算法是RSA(Rivest Shamir Adleman,一种公钥加密算法)算法。非对称加密方式的优势是安全性高,但其劣势是加解密的速度慢。以1024bit的密钥来说,估计解密速度在1000-1400次/秒,根据硬件略有不同。
基于此,采用对称加密方式对需要传输的数据进行加密和解密,但对称加密方式所使用的密钥通过非对称加密方式传输,这样既保证了对称加密方式所使用的密钥不直接暴露在网络上,又保证了加解密的高效性。具体来讲,在现 有技术中,通讯一方首先生成一个随机数作为对称密钥,采用通讯对端提供的公钥对该对称密钥加密,并将加密后的对称密钥发送给通讯对端;通讯对端采用与上述公钥对应的私钥对加密后的对称密钥解密,得到对称密钥。之后,通讯一方与通讯对端之间采用该对称密钥对两者之间传输的数据进行加解密。
考虑到目前一些采用C/S(Client/Server,客户端/服务器)架构的业务场景,客户端的日活数量可达到千万量级甚至上亿量级,客户端与服务器之间的会话数量相当庞大,这就导致服务器需要耗费大量的资源来管理对称密钥。
技术实现要素:
为了解决现有技术中服务器需要耗费大量的资源来管理对称密钥的问题,本发明实施例提供了一种密钥管理方法、装置及系统。所述技术方案如下:
第一方面,提供了一种密钥管理方法,所述方法包括:
生成临时密钥;
采用后台服务器提供的公钥对所述临时密钥加密,得到第一密文;
向所述后台服务器发送鉴权请求,所述鉴权请求中携带所述第一密文;
接收所述后台服务器发送的鉴权响应,所述鉴权响应中携带第二密文,所述第二密文是采用所述临时密钥对会话密钥和密钥标识加密得到的密文;其中,所述密钥标识用于标识会话密钥,所述会话密钥用于对所述会话的数据加密;
采用所述临时密钥对所述第二密文解密,得到所述会话密钥和所述密钥标识。
第二方面,提供了一种密钥管理方法,所述方法包括:
接收客户端发送的鉴权请求,所述鉴权请求中携带第一密文,所述第一密文是采用本端提供的公钥对临时密钥加密得到的密文;
采用与所述公钥对应的私钥对所述第一密文解密,得到所述临时密钥;
获取会话密钥和密钥标识;其中,所述密钥标识用于标识会话密钥,所述会话密钥用于对所述会话的数据加密;
采用所述临时密钥对所述会话密钥和所述密钥标识加密,得到第二密文;
向所述客户端发送鉴权响应,所述鉴权响应中携带所述第二密文。
第三方面,提供了一种密钥管理装置,所述装置包括:
密钥生成模块,用于生成临时密钥;
第一加密模块,用于采用后台服务器提供的公钥对所述临时密钥加密,得到第一密文;
请求发送模块,用于向所述后台服务器发送鉴权请求,所述鉴权请求中携带所述第一密文;
响应接收模块,用于接收所述后台服务器发送的鉴权响应,所述鉴权响应中携带第二密文,所述第二密文是采用所述临时密钥对会话密钥和密钥标识加密得到的密文;其中,所述密钥标识用于标识会话密钥,所述会话密钥用于对所述会话的数据加密;
第一解密模块,用于采用所述临时密钥对所述第二密文解密,得到所述会话密钥和所述密钥标识。
第四方面,提供了一种密钥管理装置,所述装置包括:
请求接收模块,用于接收客户端发送的鉴权请求,所述鉴权请求中携带第一密文,所述第一密文是采用本端提供的公钥对临时密钥加密得到的密文;
第二解密模块,用于采用与所述公钥对应的私钥对所述第一密文解密,得到所述临时密钥;
密钥获取模块,用于获取会话密钥和密钥标识;其中,所述密钥标识用于标识会话密钥,所述会话密钥用于对所述会话的数据加密;
第二加密模块,用于采用所述临时密钥对所述会话密钥和所述密钥标识加密,得到第二密文;
响应发送模块,用于向所述客户端发送鉴权响应,所述鉴权响应中携带所述第二密文。
第五方面,提供了一种密钥管理系统,所述系统包括:客户端和后台服务器;
所述客户端包括如第三方面所述的密钥管理装置;
所述后台服务器包括如第四方面所述的密钥管理装置。
本发明实施例提供的技术方案带来的有益效果包括:
通过客户端采用非对称加密方式对临时密钥加密后发送给后台服务器,后台服务器解密得到临时密钥后,采用该临时密钥对会话密钥和密钥标识加密得到第二密文,并将第二密文发送给客户端,客户端采用临时密钥对第二密文解 密,得到会话密钥和密钥标识,以便于客户端后续在与后台服务器进行会话时,采用会话密钥对会话的数据进行加解密;解决了现有技术中由于客户端与服务器之间的会话数量相当庞大,导致服务器需要耗费大量的资源来管理对称密钥的问题;相较于现有技术直接采用由客户端生成的对称密钥对会话的数据进行加解密,本发明实施例采用由后台服务器提供的会话密钥对会话的数据进行加解密,使得后台服务器仅需管理会话密钥即可,无需对大量客户端生成的密钥进行管理,从而简化了后台服务器对密钥进行管理的复杂度,且有助于节省后台服务器的资源。
本发明实施例提供的技术方案,在兼顾密钥的安全性和加解密的高效性的前提下,还简化了后台服务器对密钥进行管理的复杂度,节省了后台服务器的处理和存储资源。因此,本发明实施例提供的密钥管理方案,可以很好地适用于大量高并发业务场景,如C/S架构的业务场景,即便客户端的日活数量达到千万量级甚至上亿量级,即便客户端与服务器之间的会话数量相当庞大,服务器也能够简单有效地管理加密所需的密钥,并确保客户端与服务器之间数据传输的安全性和加解密效率。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明一个实施例提供的实施环境的示意图;
图2是本发明另一实施例提供的实施环境的示意图;
图3是本发明一个实施例提供的密钥管理方法的流程图;
图4是本发明另一实施例提供的密钥管理方法的流程图;
图5是本发明一个实施例涉及的鉴权阶段的流程图;
图6是本发明一个实施例涉及的数据通信阶段的流程图;
图7是本发明一个实施例提供的密钥管理装置的框图;
图8是本发明另一实施例提供的密钥管理装置的框图;
图9是本发明一个实施例提供的密钥管理系统的框图;
图10是本发明一个实施例提供的终端的结构示意图;
图11是本发明一个实施例提供的服务器的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明实施方式作进一步地详细描述。
请参考图1,其示出了本发明一个实施例提供的实施环境的示意图。以C/S架构的业务场景为例,该实施环境包括:至少一个终端11和后台服务器12。
终端11中可安装运行客户端。在本发明实施例中,对客户端的类型不作限定,例如客户端可以是即时通信客户端、社交应用客户端、支付应用客户端、视频播放客户端,等等。终端11可以是手机、平板电脑、电子书阅读器、多媒体播放设备、膝上型便携式计算机或者台式计算机等电子设备。
终端11与后台服务器12之间可通过有线网络或者无线网络建立通信连接。
后台服务器12可以是一台服务器,也可以是由多台服务器组成的服务器集群,或者是一个云计算服务中心。
在一个示例中,以后台服务器12是由多台服务器组成的服务器集群为例,如图2所示,后台服务器12包括:接入服务器121、业务服务器122、鉴权中心服务器123和密钥管理服务器124。
接入服务器121是客户端与业务服务器122和鉴权中心服务器123之间数据传递和分发的媒介。接入服务器121通过网络分别与业务服务器122、鉴权中心服务器123和密钥管理服务器124建立通信连接。
业务服务器122用于向客户端提供业务服务。在本发明实施例中,对业务服务器122所提供的业务类型不作限定,如即时通信业务、社交业务、支付业务、视频业务,等等。
鉴权中心服务器123用于向客户端提供鉴权服务,为客户端提供加密所需的密钥。鉴权中心服务器123通过网络与密钥管理服务器124建立通信连接。
密钥管理服务器124用于管理密钥。可选地,鉴权中心服务器123和密钥管理服务器124可以是两台相互独立的服务器,或者鉴权中心服务器123和密钥管理服务器124也可以集成为一台服务器。
本发明实施例提供的技术方案,可应用于任何需要对通信两端之间传输的数据进行加密的业务场景。在本发明实施例中,仅以C/S架构的业务场景为例进行举例说明。但是,本发明实施例并不对通信两端的设备进行限定。例如,通信两端的设备可以是运行有客户端的终端和后台服务器,也可以是终端和基站,或者是服务器和服务器,等等。
请参考图3,其示出了本发明一个实施例提供的密钥管理方法的流程图。该方法可应用于图1所示实施环境中。该方法可以包括如下几个步骤。
步骤301,客户端生成临时密钥。
步骤302,客户端采用后台服务器提供的公钥对临时密钥加密,得到第一密文。
步骤303,客户端向后台服务器发送鉴权请求,鉴权请求中携带第一密文。
相应地,后台服务器接收客户端发送的鉴权请求。
步骤304,后台服务器采用与公钥对应的私钥对第一密文解密,得到临时密钥。
步骤305,后台服务器获取会话密钥和密钥标识;其中,密钥标识用于标识会话密钥,会话密钥用于对会话的数据加密。
步骤306,后台服务器采用临时密钥对会话密钥和密钥标识加密,得到第二密文。
步骤307,后台服务器向客户端发送鉴权响应,鉴权响应中携带第二密文。
相应地,客户端接收后台服务器发送的鉴权响应。
步骤308,客户端采用临时密钥对第二密文解密,得到会话密钥和密钥标识。
综上所述,本实施例提供的方法,通过客户端采用非对称加密方式对临时密钥加密后发送给后台服务器,后台服务器解密得到临时密钥后,采用该临时密钥对会话密钥和密钥标识加密得到第二密文,并将第二密文发送给客户端,客户端采用临时密钥对第二密文解密,得到会话密钥和密钥标识,以便于客户端后续在与后台服务器进行会话时,采用会话密钥对会话的数据进行加解密;解决了现有技术中由于客户端与服务器之间的会话数量相当庞大,导致服务器需要耗费大量的资源来管理对称密钥的问题;相较于现有技术直接采用由客户端生成的对称密钥对会话的数据进行加解密,本发明实施例采用由后台服务器 提供的会话密钥对会话的数据进行加解密,使得后台服务器仅需管理会话密钥即可,无需对大量客户端生成的密钥进行管理,从而简化了后台服务器对密钥进行管理的复杂度,且有助于节省后台服务器的资源。
本发明实施例提供的技术方案,在兼顾密钥的安全性和加解密的高效性的前提下,还简化了后台服务器对密钥进行管理的复杂度,节省了后台服务器的处理和存储资源。因此,本发明实施例提供的密钥管理方案,可以很好地适用于大量高并发业务场景,如C/S架构的业务场景,即便客户端的日活数量达到千万量级甚至上亿量级,即便客户端与服务器之间的会话数量相当庞大,服务器也能够简单有效地管理加密所需的密钥,并确保客户端与服务器之间数据传输的安全性和加解密效率。
在本发明实施例中,会话(session)指的是在一个不中断的特定操作时间内,两个设备之间的通信交互。在一个会话期间,两个设备之间相互传输的所有数据包都属于该会话。在一个示例中,以C/S架构的业务场景为例,会话可以是客户端与服务器的某一次“通话过程”,一次完整的请求与回复过程。
请参考图4,其示出了本发明另一实施例提供的密钥管理方法的流程图。该方法可应用于图1所示实施环境中。该方法可以包括如下几个步骤。
步骤401,客户端生成临时密钥。
在一个示例中,采用随机数生成器生成临时密钥。临时密钥为对称密钥。
需要说明的是,在本发明实施例中,临时密钥并非用于对会话的数据进行加解密的密钥,临时密钥仅用于对会话密钥进行加解密,会话密钥才是真正用于对会话的数据进行加解密的密钥。
步骤402,客户端采用后台服务器提供的公钥对临时密钥加密,得到第一密文。
公钥是由后台服务器预先派发给客户端的。在一个示例中,后台服务器将公钥写入二进制文件,该二进制文件携带有客户端所对应的开发公司的数字签名,后台服务器将带有数字签名的二进制文件发送给客户端,以此来保证文件不被篡改和伪造,从而确保公钥的安全下发。可选地,公钥可以随该二进制文件的更新而更新,当后台服务器启用新的公钥之后,可以重新向客户端发送写 有该新的公钥的二进制文件。
客户端生成临时密钥之后,依据非对称加密方式,采用后台服务器提供的公钥对临时密钥加密,得到第一密文。
步骤403,客户端向后台服务器发送鉴权请求,鉴权请求中携带第一密文。
鉴权请求用于请求后台服务器对客户端进行鉴权,并在鉴权通过的情况下为客户端分配加密会话数据所需的密钥。
相应地,后台服务器接收客户端发送的鉴权请求。
此外,由于临时密钥是采用后台服务器提供的公钥进行加密的,即便鉴权请求被恶意用户监听获取,由于其并没有与该公钥对应的私钥,因此也无法对第一密文进行解密出临时密钥。因此,临时密钥的安全性可以得到保证,进而使得后续传输的会话密钥的安全性也可得到保证。
步骤404,后台服务器采用与公钥对应的私钥对第一密文解密,得到临时密钥。
后台服务器接收到鉴权请求之后,依据非对称加密方式,采用与公钥对应的私钥对第一密文解密,得到临时密钥。
步骤405,后台服务器获取会话密钥和密钥标识。
其中,密钥标识用于标识会话密钥,会话密钥用于对会话的数据加密。会话密钥为对称密钥。可选地,会话密钥是一个连续的字节流,一般为128bit的整数倍,为随机数生成器所产生。密钥标识用于唯一标识会话密钥,不同的会话可以使用同一个密钥标识,不同的密钥标识对应于不同的会话密钥。可选地,密钥标识为64位整数。
在一个示例中,后台服务器采用随机数生成器生成会话密钥,并生成对应于会话密钥的密钥标识。另外,后台服务器对应存储会话密钥和密钥标识。
在另一示例中,后台服务器从预存密钥中选取一组对应的会话密钥和密钥标识。其中,预存密钥中包括至少一组对应的会话密钥和密钥标识。预存密钥是由后台服务器预先生成并存储的。预存密钥可以存储在后台服务器的Cache(高速缓冲存储器)中,或者也可以存储在一个目标文件中。在一个示例中,预存密钥既存储在Cache中,又备份存储在目标文件中,以便于在Cache出现故障时后备之用。
密钥标识和会话密钥之间存在一一对应关系。可选地,每一个会话密钥具 有相应的有效期,在有效期之内会话密钥有效,否则会话密钥失效。会话密钥的有效期可以在会话密钥生成时对应设定。对于不同的会话密钥,其有效期的时长通常相同,但也可不同,本实施例对此不作限定。此外,在本实施例中,对会话密钥的有效期的生效时间也不作限定,例如会话密钥的有效期可以在会话密钥生成时开始生效,也可在后台服务器向客户端发送该会话密钥时开始生效,或者在客户端接收到该会话密钥时开始生效。
客户端使用有效状态(也即未超出有效期)的会话密钥对会话数据进行加解密,在会话密钥失效(也即超出有效期)之后,客户端可从后台服务器请求获取新的有效的会话密钥。因此,上述步骤403的执行时机可以是当已有的会话密钥已经失效时,或者也可以是当客户端需要向后台服务器发起会话且已有的会话密钥已经失效时。如果已有的会话密钥还未失效,客户端可使用已有的会话密钥对会话数据进行加解密,无需重新从后台服务器请求获取新的会话密钥。
可选地,后台服务器从预存密钥中选取一组对应的会话密钥和密钥标识,可包括如下几个子步骤:
1、后台服务器获取客户端对应的IP(Internet Protocol,互联网协议)地址;
例如,后台服务器对客户端发送的鉴权请求的数据包进行解析,从包头中解析获取客户端对应的IP地址。
2、后台服务器根据IP地址确定密钥选取范围,密钥选取范围包括预存密钥中的部分相对应的会话密钥和密钥标识;
后台服务器可以对预存密钥进行分段,后台服务器将预存密钥分为多段,每一段包括一部分相对应的会话密钥和密钥标识。例如,后台服务器计算客户端对应的IP地址的Hash(哈希)值,根据该Hash值映射到某一段预存密钥,该段预存密钥即为上述密钥选取范围。又例如,后台服务器还可以从分段后的预存密钥中,随机选择一段预存密钥,该段被选择的预存密钥即为上述密钥选取范围。
3、后台服务器从密钥选取范围中选取一组对应的会话密钥和密钥标识。
通过上述方式,可以防止后台服务器被拖库,因为同一个IP地址所能拿到的会话密钥为某段固定范围,而不是所有预存密钥。
步骤406,后台服务器采用临时密钥对会话密钥和密钥标识加密,得到第二 密文。
后台服务器依据对称加密方式,采用临时密钥对会话密钥和密钥标识加密,得到第二密文。
步骤407,后台服务器向客户端发送鉴权响应,鉴权响应中携带第二密文。
相应地,客户端接收后台服务器发送的鉴权响应。
可选地,后台服务器在接收到客户端发送的鉴权请求之后,还可以执行如下步骤:后台服务器获取客户端所在设备对应的GUID(Globally Unique Identifier,全局唯一标识符);获取GUID对应的鉴权请求次数;判断鉴权请求次数是否大于预设阈值;若鉴权请求次数大于预设阈值,则拒绝响应该鉴权请求;若鉴权请求次数小于预设阈值,则响应该鉴权请求,例如执行上述步骤404至407。其中,客户端所在设备对应的GUID可从鉴权请求的数据包的包头中解析获取。通过上述方式,对同一GUID的鉴权请求次数进行限制,可以在后台服务器受到频繁的恶意攻击时,有效防止后台服务器瘫痪。
步骤408,客户端采用临时密钥对第二密文解密,得到会话密钥和密钥标识。
客户端接收到鉴权响应之后,依据对称加密方式,采用临时密钥对第二密文解密,得到会话密钥和密钥标识。之后,客户端就用该会话密钥来对称加密与后台服务器之间的通信内容即可。在后续的客户端与服务器的会话过程中,客户端采用会话密钥对与后台服务器之间传输的会话的数据进行加解密,后台服务器采用会话密钥对与客户端之间传输的会话的数据进行加解密。
下面,对客户端与后台服务器之间的数据通信阶段的流程进行介绍和说明。步骤409至411为上行传输过程,步骤412至414为下行传输过程。
步骤409,客户端采用会话密钥对会话的上行数据加密,得到加密后的上行数据。
上行数据是指客户端向后台服务器传输的数据。
步骤410,客户端向后台服务器发送上行数据包。
上行数据包的包头携带密钥标识,上行数据包的包体携带加密后的上行数据。
相应地,后台服务器接收客户端发送的上行数据包。
步骤411,后台服务器采用与包头中携带的密钥标识相对应的会话密钥对加密后的上行数据解密,得到上行数据。
后台服务器接收到上行数据包之后,从预存密钥中查询获取与上行数据包的包头中携带的密钥标识相对应的会话密钥,而后依据对称加密方式,采用该查询到的会话密钥对加密后的上行数据解密,得到上行数据。
可选地,后台服务器在执行解密操作之前,还可对查询到的会话密钥的有效期进行验证,若已超出有效期则结束流程,若未超出有效期则执行解密操作。
步骤412,后台服务器采用会话密钥对会话的下行数据加密,得到加密后的下行数据。
下行数据是指后台服务器向客户端传输的数据。
步骤413,后台服务器向客户端发送下行数据包。
下行数据包的包头携带密钥标识,下行数据包的包体携带加密后的下行数据。
相应地,客户端接收后台服务器发送的下行数据包。
步骤414,客户端采用与包头中携带的密钥标识相对应的会话密钥对加密后的下行数据解密,得到下行数据。
客户端接收到下行数据包之后,查询获取与下行数据包的包头中携带的密钥标识相对应的会话密钥,而后依据对称加密方式,采用该查询到的会话密钥对加密后的下行数据解密,得到下行数据。
需要补充说明的一点是,后台服务器还可获取对应于会话密钥的初始化向量(Init Vector,IV),向客户端发送该初始化向量。该初始化向量供客户端采用会话密钥进行对称加密和解密时使用。相应地,客户端接收后台服务器发送的初始化向量。例如,后台服务器向客户端发送的鉴权响应中,还携带初始化向量。初始化向量可以采用临时密钥加密后发送,也可不加密,本实施例对此不作限定。初始化向量可以由后台服务器采用随机数生成器生成随机数,并结合该随机数和会话密钥一同生成。在使用过程中,初始化向量可根据相关算法动态改变。可选地,初始化向量为12字节的字节流。通过上述方式,使得同一个会话密钥,还必须配合使用对应的初始化向量才能完成解密,以实现进一步的优化加固。
综上所述,本实施例提供的方法,通过客户端采用非对称加密方式对临时密钥加密后发送给后台服务器,后台服务器解密得到临时密钥后,采用该临时密钥对会话密钥和密钥标识加密得到第二密文,并将第二密文发送给客户端, 客户端采用临时密钥对第二密文解密,得到会话密钥和密钥标识,以便于客户端后续在与后台服务器进行会话时,采用会话密钥对会话的数据进行加解密;解决了现有技术中由于客户端与服务器之间的会话数量相当庞大,导致服务器需要耗费大量的资源来管理对称密钥的问题;相较于现有技术直接采用由客户端生成的对称密钥对会话的数据进行加解密,本发明实施例采用由后台服务器提供的会话密钥对会话的数据进行加解密,使得后台服务器仅需管理会话密钥即可,无需对大量客户端生成的密钥进行管理,从而简化了后台服务器对密钥进行管理的复杂度,且有助于节省后台服务器的资源。
另外,还通过为会话密钥设置相应的有效期,在会话密钥未超期的情况下,即便是不同的会话,客户端均可采用该会话密钥对会话的数据进行加解密,无需从后台服务器重新请求获取新的会话密钥,节省客户端所在设备和后台服务器的处理开销和通信资源。
还需要补充说明的一点是,考虑到采用非对称加密算法解密的速度是较慢的,其解密速度通常在单线程2200次/秒左右,因此可采用多线程并行解密的方式,使得后台服务器在不投入很多机器的情况下,不成为系统瓶颈。另外,如果采用OpenSLL(Open Secure Sockets Layer,开放式安全套接层协议)库,由于OpenSLL库非多线程安全,因此一个服务进程只能有一个线程完成解密工作,要多线程并行,就需要运行多个进程,这样对开发和发布都影响较大,不方便维护。在本发明实施例中,针对OpenSLL库的rsa函数api进行代码调整,以实现分离多线程不安全的步骤,将其放到安全的地方调用,其余安全的步骤,即可位于多线程环境调用,从而达到多线程并行解密的要求。
在上述方法实施例中,有关客户端侧的步骤可以单独实现成为客户端侧的密钥管理方法,有关后台服务器侧的步骤可以单独实现成为后台服务器侧的密钥管理方法。
下面,结合图2所示的应用场景,对本发明实施例提供的技术方案进行介绍和说明。
图5示出了鉴权阶段的流程图。如图5所示,鉴权阶段可包括如下几个步骤。
步骤501,客户端生成临时密钥。
步骤502,客户端采用鉴权中心服务器提供的公钥对临时密钥加密,得到第一密钥。
步骤503,客户端向接入服务器发送鉴权请求,鉴权请求中携带第一密文。
相应地,接入服务器接收客户端发送的鉴权请求。
步骤504,接入服务器向鉴权中心服务器转发鉴权请求。
相应地,鉴权中心服务器接收接入服务器发送的鉴权请求。
步骤505,鉴权中心服务器采用与公钥对应的私钥对第一密文解密,得到临时密钥。
步骤506,鉴权中心服务器获取会话密钥和密钥标识。
其中,密钥标识用于标识会话密钥,会话密钥用于对会话的数据加密。
在一个示例中,步骤506包括如下子步骤:
步骤506a,鉴权中心服务器采用随机数生成器生成会话密钥;
步骤506b,鉴权中心服务器向密钥管理服务器发送会话密钥;
相应地,密钥管理服务器接收鉴权中心服务器发送的会话密钥;
步骤506c,密钥管理服务器生成对应于会话密钥的密钥标识;
步骤506d,密钥管理服务器对应存储密钥标识和会话密钥;
步骤506e,密钥管理服务器向鉴权中心服务器发送密钥标识;
相应地,鉴权中心服务器接收密钥管理服务器发送的密钥标识。
在另一示例中,步骤506包括如下子步骤:
步骤506f,鉴权中心服务器从预存密钥中选取一组对应的会话密钥和密钥标识。
其中,预存密钥中包括至少一组对应的会话密钥和密钥标识。预存密钥可以由密钥管理服务器预先生成,并提供给鉴权中心服务器。例如,密钥管理服务器将预存密钥写入目标文件中,并将目标文件发送给鉴权中心服务器。鉴权中心服务器启动后,将目标文件中的预存密钥加载至内存中,每次随机从中选取一组对应的会话密钥和密钥标识。
步骤507,鉴权中心服务器采用临时密钥对会话密钥和密钥标识加密,得到第二密文。
步骤508,鉴权中心服务器向接入服务器发送鉴权响应,鉴权响应中携带第二密文。
相应地,接入服务器接收鉴权中心服务器发送的鉴权响应。
步骤509,接入服务器向客户端转发鉴权响应。
相应地,客户端接收接入服务器发送的鉴权响应。
步骤510,客户端采用临时密钥对第二密文解密,得到会话密钥和密钥标识。
图6示出了数据通信阶段的流程图。如图6所示,数据通信阶段可包括如下几个步骤。
步骤601,客户端采用会话密钥对会话的上行数据加密,得到加密后的上行数据。
步骤602,客户端向接入服务器发送上行数据包。
上行数据包的包头携带密钥标识,上行数据包的包体携带加密后的上行数据。
相应地,接入服务器接收客户端发送的上行数据包。
步骤603,接入服务器查询获取与包头中携带的密钥标识相对应的会话密钥。
在一个示例中,步骤603包括如下子步骤:
步骤603a,接入服务器从本地缓存中查询获取与包头中携带的密钥标识相对应的会话密钥。
例如,接入服务器预先从密钥管理服务器获取预设密钥,并存储至本地缓存中。
在另一示例中,步骤603包括如下子步骤:
步骤603b,接入服务器向密钥管理服务器发送查询请求,查询请求中携带所述包头中携带的密钥标识;
相应地,密钥管理服务器接收接入服务器发送的查询请求;
步骤603c,密钥管理服务器从预设密钥中查询获取与查询请求中携带的密钥标识相对应的会话密钥;
步骤603d,密钥管理服务器向接入服务器发送查询响应,查询响应中携带其查询得到的会话密钥;
相应地,接入服务器接收密钥管理服务器发送的查询响应。
步骤604,接入服务器采用查询获取的会话密钥对加密后的上行数据解密, 得到上行数据。
步骤605,接入服务器向业务服务器发送上行数据。
相应地,业务服务器接收接入服务器发送的上行数据。
在一个示例中,接入服务器将上行数据明文发送给业务服务器。在另一示例中,接入服务器采用与业务服务器预先协商好的加密方式和密钥,将上行数据加密后发送给业务服务器。
业务服务器接收到上行数据之后,对该上行数据进行处理,必要时向客户端反馈回包。
步骤606,业务服务器向接入服务器发送下行数据。
相应地,接入服务器接收业务服务器发送的下行数据。
在一个示例中,业务服务器将下行数据明文发送给接入服务器。在另一示例中,业务服务器采用与接入服务器预先协商好的加密方式和密钥,将下行数据加密后发送给接入服务器。
步骤607,接入服务器采用查询获取的会话密钥对下行数据加密,得到加密后的下行数据。
步骤608,接入服务器向客户端发送下行数据包。
下行数据包的包头携带密钥标识,下行数据包的包体携带加密后的下行数据。
相应地,客户端接收接入服务器发送的下行数据包。
步骤609,客户端采用与包头中携带的密钥标识相对应的会话密钥对加密后的下行数据解密,得到下行数据。
下述为本发明装置实施例,可以用于执行本发明方法实施例。对于本发明装置实施例中未披露的细节,请参照本发明方法实施例。
请参考图7,其示出了本发明一个实施例提供的密钥管理装置的框图。该装置具有实现上述客户端侧的密钥管理方法的功能,所述功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。该装置可以包括:密钥生成模块710、第一加密模块720、请求发送模块730、响应接收模块740和第一解密模块750。
密钥生成模块710,用于生成临时密钥。
第一加密模块720,用于采用后台服务器提供的公钥对所述临时密钥加密, 得到第一密文。
请求发送模块730,用于向所述后台服务器发送鉴权请求,所述鉴权请求中携带所述第一密文。
响应接收模块740,用于接收所述后台服务器发送的鉴权响应,所述鉴权响应中携带第二密文,所述第二密文是采用所述临时密钥对会话密钥和密钥标识加密得到的密文。其中,所述密钥标识用于标识会话密钥,所述会话密钥用于对所述会话的数据加密。
第一解密模块750,用于采用所述临时密钥对所述第二密文解密,得到所述会话密钥和所述密钥标识。
综上所述,本实施例提供的装置,通过客户端采用非对称加密方式对临时密钥加密后发送给后台服务器,从后台服务器接收其采用临时密钥对会话密钥和密钥标识加密得到的第二密文,并采用临时密钥对第二密文解密,得到会话密钥和密钥标识,以便于客户端后续在与后台服务器进行会话时,采用会话密钥对会话的数据进行加解密;解决了现有技术中由于客户端与服务器之间的会话数量相当庞大,导致服务器需要耗费大量的资源来管理对称密钥的问题;相较于现有技术直接采用由客户端生成的对称密钥对会话的数据进行加解密,本发明实施例采用由后台服务器提供的会话密钥对会话的数据进行加解密,使得后台服务器仅需管理会话密钥即可,无需对大量客户端生成的密钥进行管理,从而简化了后台服务器对密钥进行管理的复杂度,且有助于节省后台服务器的资源。
请参考图8,其示出了本发明另一实施例提供的密钥管理装置的框图。该装置具有实现上述后台服务器侧的密钥管理方法的功能,所述功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。该装置可以包括:请求接收模块810、第二解密模块820、密钥获取模块830、第二加密模块840和响应发送模块850。
请求接收模块810,用于接收客户端发送的鉴权请求,所述鉴权请求中携带第一密文,所述第一密文是采用本端提供的公钥对临时密钥加密得到的密文。
第二解密模块820,用于采用与所述公钥对应的私钥对所述第一密文解密,得到所述临时密钥。
密钥获取模块830,用于获取会话密钥和密钥标识。其中,所述密钥标识用于标识会话密钥,所述会话密钥用于对所述会话的数据加密。
第二加密模块840,用于采用所述临时密钥对所述会话密钥和所述密钥标识加密,得到第二密文。
响应发送模块850,用于向所述客户端发送鉴权响应,所述鉴权响应中携带所述第二密文。
综上所述,本实施例提供的装置,通过客户端采用非对称加密方式对临时密钥加密后发送给后台服务器,后台服务器解密得到临时密钥后,采用该临时密钥对会话密钥和密钥标识加密得到第二密文,并将第二密文发送给客户端,以便于客户端后续在与后台服务器进行会话时,采用会话密钥对会话的数据进行加解密;解决了现有技术中由于客户端与服务器之间的会话数量相当庞大,导致服务器需要耗费大量的资源来管理对称密钥的问题;相较于现有技术直接采用由客户端生成的对称密钥对会话的数据进行加解密,本发明实施例采用由后台服务器提供的会话密钥对会话的数据进行加解密,使得后台服务器仅需管理会话密钥即可,无需对大量客户端生成的密钥进行管理,从而简化了后台服务器对密钥进行管理的复杂度,且有助于节省后台服务器的资源。
请参考图9,其示出了本发明一个实施例提供的密钥管理系统的框图。该系统包括:客户端700和后台服务器800。
客户端700可以包括密钥管理装置。该装置具有实现上述客户端侧的密钥管理方法的功能,所述功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。该装置可以包括:密钥生成模块710、第一加密模块720、请求发送模块730、响应接收模块740和第一解密模块750。
密钥生成模块710,用于生成临时密钥。
第一加密模块720,用于采用后台服务器800提供的公钥对所述临时密钥加密,得到第一密文。
请求发送模块730,用于向所述后台服务器800发送鉴权请求,所述鉴权请求中携带所述第一密文。
响应接收模块740,用于接收所述后台服务器800发送的鉴权响应,所述鉴权响应中携带第二密文,所述第二密文是采用所述临时密钥对会话密钥和密钥 标识加密得到的密文。其中,所述密钥标识用于标识会话密钥,所述会话密钥用于对所述会话的数据加密。
第一解密模块750,用于采用所述临时密钥对所述第二密文解密,得到所述会话密钥和所述密钥标识。
可选地,所述装置还包括:上行数据加密模块762和上行数据发送模块764。
上行数据加密模块762,用于采用所述会话密钥对所述会话的上行数据加密,得到加密后的上行数据。
上行数据发送模块764,用于向所述后台服务器800发送上行数据包,所述上行数据包的包头携带所述密钥标识,所述上行数据包的包体携带所述加密后的上行数据。
可选地,所述装置还包括:下行数据接收模块766和下行数据解密模块768。
下行数据接收模块766,用于接收所述后台服务器800发送的下行数据包,所述下行数据包的包头携带所述密钥标识,所述下行数据包的包体携带加密后的下行数据。
下行数据解密模块768,用于采用与所述包头中携带的所述密钥标识相对应的会话密钥对所述加密后的下行数据解密,得到下行数据。
在一个示例中,所述密钥生成模块710,用于采用随机数生成器生成所述临时密钥。
可选地,所述装置还包括:向量接收模块770。
向量接收模块770,用于接收所述后台服务器800发送的对应于所述会话密钥的初始化向量,所述初始化向量供本端采用所述会话密钥进行对称加密和解密时使用。
后台服务器800可以包括密钥管理装置。该装置具有实现上述后台服务器侧的密钥管理方法的功能,所述功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。该装置可以包括:请求接收模块810、第二解密模块820、密钥获取模块830、第二加密模块840和响应发送模块850。
请求接收模块810,用于接收客户端700发送的鉴权请求,所述鉴权请求中携带第一密文,所述第一密文是采用本端提供的公钥对临时密钥加密得到的密文。
第二解密模块820,用于采用与所述公钥对应的私钥对所述第一密文解密, 得到所述临时密钥。
密钥获取模块830,用于获取会话密钥和密钥标识。其中,所述密钥标识用于标识会话密钥,所述会话密钥用于对所述会话的数据加密。
第二加密模块840,用于采用所述临时密钥对所述会话密钥和所述密钥标识加密,得到第二密文。
响应发送模块850,用于向所述客户端700发送鉴权响应,所述鉴权响应中携带所述第二密文。
在一个示例中,所述密钥获取模块830,用于采用随机数生成器生成所述会话密钥,生成对应于所述会话密钥的密钥标识。
在另一示例中,所述密钥获取模块830,用于从预存密钥中选取一组对应的会话密钥和密钥标识。其中,所述预存密钥中包括至少一组对应的会话密钥和密钥标识。
可选地,所述密钥获取模块830,包括:地址获取单元、范围确定单元和密钥选取单元。
地址获取单元,用于获取所述客户端700对应的IP地址。
范围确定单元,用于根据所述IP地址确定密钥选取范围,所述密钥选取范围包括所述预存密钥中的部分相对应的会话密钥和密钥标识。
密钥选取单元,用于从所述密钥选取范围中选取一组对应的会话密钥和密钥标识。
可选地,所述装置还包括:上行数据接收模块862和上行数据解密模块864。
上行数据接收模块862,用于接收所述客户端700发送的上行数据包,所述上行数据包的包头携带所述密钥标识,所述上行数据包的包体携带加密后的上行数据。
上行数据解密模块864,用于采用与所述包头中携带的所述密钥标识相对应的会话密钥对所述加密后的上行数据解密,得到上行数据。
可选地,所述装置还包括:下行数据加密模块866和下行数据发送模块868。
下行数据加密模块866,用于采用所述会话密钥对所述会话的下行数据加密,得到加密后的下行数据。
下行数据发送模块868,用于向所述客户端700发送下行数据包,所述下行数据包的包头携带所述密钥标识,所述下行数据包的包体携带所述加密后的下 行数据。
可选地,所述装置还包括:标识获取模块812和次数获取模块814。
标识获取模块812,用于获取所述客户端700所在设备对应的GUID。
次数获取模块814,用于获取所述GUID对应的鉴权请求次数。
所述第二解密模块820,还用于当所述鉴权请求次数小于预设阈值时,采用与所述公钥对应的私钥对所述第一密文解密,得到所述临时密钥。
可选地,所述装置还包括:向量获取模块870和向量发送模块880。
向量获取模块870,用于获取对应于所述会话密钥的初始化向量。
向量发送模块880,用于向所述客户端700发送所述初始化向量,所述初始化向量供所述客户端700采用所述会话密钥进行对称加密和解密时使用。
综上所述,本实施例提供的系统,通过客户端采用非对称加密方式对临时密钥加密后发送给后台服务器,后台服务器解密得到临时密钥后,采用该临时密钥对会话密钥和密钥标识加密得到第二密文,并将第二密文发送给客户端,客户端采用临时密钥对第二密文解密,得到会话密钥和密钥标识,以便于客户端后续在与后台服务器进行会话时,采用会话密钥对会话的数据进行加解密;解决了现有技术中由于客户端与服务器之间的会话数量相当庞大,导致服务器需要耗费大量的资源来管理对称密钥的问题;相较于现有技术直接采用由客户端生成的对称密钥对会话的数据进行加解密,本发明实施例采用由后台服务器提供的会话密钥对会话的数据进行加解密,使得后台服务器仅需管理会话密钥即可,无需对大量客户端生成的密钥进行管理,从而简化了后台服务器对密钥进行管理的复杂度,且有助于节省后台服务器的资源。
需要说明的是:上述实施例提供的装置在实现其功能时,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将设备的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。另外,上述实施例提供的装置与方法实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。
请参考图10,其示出了本发明一个实施例提供的终端的结构示意图。该终端用于实施上述实施例中提供的客户端侧的密钥管理方法。具体来讲:
终端1000可以包括RF(Radio Frequency,射频)电路1010、包括有一个或一个以上计算机可读存储介质的存储器1020、输入单元1030、显示单元1040、传感器1050、音频电路1060、WiFi(wireless fidelity,无线保真)模块1070、包括有一个或者一个以上处理核心的处理器1080、以及电源1090等部件。本领域技术人员可以理解,图10中示出的终端结构并不构成对终端的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。其中:
RF电路1010可用于收发信息或通话过程中,信号的接收和发送,特别地,将基站的下行信息接收后,交由一个或者一个以上处理器1080处理;另外,将涉及上行的数据发送给基站。通常,RF电路1010包括但不限于天线、至少一个放大器、调谐器、一个或多个振荡器、用户身份模块(SIM)卡、收发信机、耦合器、LNA(Low Noise Amplifier,低噪声放大器)、双工器等。此外,RF电路1010还可以通过无线通信与网络和其他设备通信。所述无线通信可以使用任一通信标准或协议,包括但不限于GSM(Global System of Mobile communication,全球移动通讯系统)、GPRS(General Packet Radio Service,通用分组无线服务)、CDMA(Code Division Multiple Access,码分多址)、WCDMA(Wideband Code Division Multiple Access,宽带码分多址)、LTE(Long Term Evolution,长期演进)、电子邮件、SMS(Short Messaging Service,短消息服务)等。
存储器1020可用于存储软件程序以及模块,处理器1080通过运行存储在存储器1020的软件程序以及模块,从而执行各种功能应用以及数据处理。存储器1020可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序(比如声音播放功能、图像播放功能等)等;存储数据区可存储根据终端1000的使用所创建的数据(比如音频数据、电话本等)等。此外,存储器1020可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。相应地,存储器1020还可以包括存储器控制器,以提供处理器1080和输入单元1030对存储器1020的访问。
输入单元1030可用于接收输入的数字或字符信息,以及产生与用户设置以及功能控制有关的键盘、鼠标、操作杆、光学或者轨迹球信号输入。具体地,输入单元1030可包括图像输入设备1031以及其他输入设备1032。图像输入设备1031可以是摄像头,也可以是光电扫描设备。除了图像输入设备1031,输入 单元1030还可以包括其他输入设备1032。具体地,其他输入设备1032可以包括但不限于物理键盘、功能键(比如音量控制按键、开关按键等)、轨迹球、鼠标、操作杆等中的一种或多种。
显示单元1040可用于显示由用户输入的信息或提供给用户的信息以及终端1000的各种图形用户接口,这些图形用户接口可以由图形、文本、图标、视频和其任意组合来构成。显示单元1040可包括显示面板1041,可选的,可以采用LCD(Liquid Crystal Display,液晶显示器)、OLED(Organic Light-Emitting Diode,有机发光二极管)等形式来配置显示面板1041。
终端1000还可包括至少一种传感器1050,比如光传感器、运动传感器以及其他传感器。具体地,光传感器可包括环境光传感器及接近传感器,其中,环境光传感器可根据环境光线的明暗来调节显示面板1041的亮度,接近传感器可在终端1000移动到耳边时,关闭显示面板1041和/或背光。作为运动传感器的一种,重力加速度传感器可检测各个方向上(一般为三轴)加速度的大小,静止时可检测出重力的大小及方向,可用于识别手机姿态的应用(比如横竖屏切换、相关游戏、磁力计姿态校准)、振动识别相关功能(比如计步器、敲击)等;至于终端1000还可配置的陀螺仪、气压计、湿度计、温度计、红外线传感器等其他传感器,在此不再赘述。
音频电路1060、扬声器1061,传声器1062可提供用户与终端1000之间的音频接口。音频电路1060可将接收到的音频数据转换后的电信号,传输到扬声器1061,由扬声器1061转换为声音信号输出;另一方面,传声器1062将收集的声音信号转换为电信号,由音频电路1060接收后转换为音频数据,再将音频数据输出处理器1080处理后,经RF电路1010以发送给比如另一终端,或者将音频数据输出至存储器1020以便进一步处理。音频电路1060还可能包括耳塞插孔,以提供外设耳机与终端1000的通信。
WiFi属于短距离无线传输技术,终端1000通过WiFi模块1070可以帮助用户收发电子邮件、浏览网页和访问流式媒体等,它为用户提供了无线的宽带互联网访问。虽然图10示出了WiFi模块1070,但是可以理解的是,其并不属于终端1000的必须构成,完全可以根据需要在不改变发明的本质的范围内而省略。
处理器1080是终端1000的控制中心,利用各种接口和线路连接整个手机的各个部分,通过运行或执行存储在存储器1020内的软件程序和/或模块,以及 调用存储在存储器1020内的数据,执行终端1000的各种功能和处理数据,从而对手机进行整体监控。可选的,处理器1080可包括一个或多个处理核心;优选的,处理器1080可集成应用处理器和调制解调处理器,其中,应用处理器主要处理操作系统、用户界面和应用程序等,调制解调处理器主要处理无线通信。可以理解的是,上述调制解调处理器也可以不集成到处理器1080中。
终端1000还包括给各个部件供电的电源1090(比如电池),优选的,电源可以通过电源管理系统与处理器1080逻辑相连,从而通过电源管理系统实现管理充电、放电、以及功耗管理等功能。电源1090还可以包括一个或一个以上的直流或交流电源、再充电系统、电源故障检测电路、电源转换器或者逆变器、电源状态指示器等任意组件。
尽管未示出,终端1000还可以包括蓝牙模块等,在此不再赘述。
具体在本实施例中,终端1000还包括有存储器,以及一个或者一个以上的程序,其中一个或者一个以上程序存储于存储器中,且经配置以由一个或者一个以上处理器执行。上述一个或者一个以上程序包含用于执行上述客户端侧的密钥管理方法的指令。
请参考图11,其示出了本发明一个实施例提供的服务器的结构示意图。该服务器用于实施上述实施例中提供的后台服务器侧的密钥管理方法。具体来讲:
所述服务器1100包括中央处理单元(CPU)1101、包括随机存取存储器(RAM)1102和只读存储器(ROM)1103的系统存储器1104,以及连接系统存储器1104和中央处理单元1101的系统总线1105。所述服务器1100还包括帮助计算机内的各个器件之间传输信息的基本输入/输出系统(I/O系统)1106,和用于存储操作系统1113、应用程序1114和其他程序模块1115的大容量存储设备1107。
所述基本输入/输出系统1106包括有用于显示信息的显示器1108和用于用户输入信息的诸如鼠标、键盘之类的输入设备1109。其中所述显示器1108和输入设备1109都通过连接到系统总线1105的输入输出控制器1110连接到中央处理单元1101。所述基本输入/输出系统1106还可以包括输入输出控制器1110以用于接收和处理来自键盘、鼠标、或电子触控笔等多个其他设备的输入。类似地,输入输出控制器1110还提供输出到显示屏、打印机或其他类型的输出设备。
所述大容量存储设备1107通过连接到系统总线1105的大容量存储控制器(未示出)连接到中央处理单元1101。所述大容量存储设备1107及其相关联的计算机可读介质为服务器1100提供非易失性存储。也就是说,所述大容量存储设备1107可以包括诸如硬盘或者CD-ROM驱动器之类的计算机可读介质(未示出)。
不失一般性,所述计算机可读介质可以包括计算机存储介质和通信介质。计算机存储介质包括以用于存储诸如计算机可读指令、数据结构、程序模块或其他数据等信息的任何方法或技术实现的易失性和非易失性、可移动和不可移动介质。计算机存储介质包括RAM、ROM、EPROM、EEPROM、闪存或其他固态存储其技术,CD-ROM、DVD或其他光学存储、磁带盒、磁带、磁盘存储或其他磁性存储设备。当然,本领域技术人员可知所述计算机存储介质不局限于上述几种。上述的系统存储器1104和大容量存储设备1107可以统称为存储器。
根据本发明的各种实施例,所述服务器1100还可以通过诸如因特网等网络连接到网络上的远程计算机运行。也即服务器1100可以通过连接在所述系统总线1105上的网络接口单元1111连接到网络1112,或者说,也可以使用网络接口单元1111来连接到其他类型的网络或远程计算机系统(未示出)。
所述存储器还包括一个或者一个以上的程序,所述一个或者一个以上程序存储于存储器中,且经配置以由一个或者一个以上处理器执行。上述一个或者一个以上程序包含用于执行上述后台服务器侧的密钥管理方法的指令。
应当理解的是,在本文中提及的“多个”是指两个或两个以上。“和/或”,描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或 光盘等。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
- 还没有人留言评论。精彩留言会获得点赞!