一种基于单向散列函数的密钥临时分配方法和系统的制作方法

一种基于单向散列函数的密钥临时分配方法和系统的制作方法
【技术领域】
[0001]本发明涉及一种密钥临时分配的方法和系统，适用于各类需要将权限有限下放或授予的场景，临时授权却又不暴露原始密钥，尤其主要应用于分布式功能终端的安全防护，属于信息安全领域。
【背景技术】
[0002]在本技术主要适用的社会场景中，需得到保护的价值信息或服务位于终端尤其是分布式的功能终端中(如各类不联网的电子锁或暂时没有网络信号的自动售卖机)，而与之对接的能够开启该权限的手机、电子钥匙等，我们称之为次级钥匙终端。
[0003]目前，公知的中心式密码安全系统(云安全)，要求用户在请求相应权限时每一次都与云端通讯，而在现实应用中，很多时候如手持移动终端信号不佳时，可能不具备实时联网的条件，这为一些安全类的应用带来了诸多限制。
[0004]密钥的分配可以解决上述的问题，但是现存的密钥分配体系特别是临时密钥分配的体系普遍要求使用时和云服务器通讯，而如果直接将密钥提前分配给用户，则面临密钥泄漏体系被破解的巨大风险。而且，目前一些一次性密码仅能够做到一次一密等初级功能或是收回权限需再一次联网由服务器发送相关指令动作，授予的密钥不具备精确控制的权限收回能力，也不具备离线操作能力。

【发明内容】

[0005]为了克服现有的密钥临时分配体系安全性、网络依赖性、控制精确度的不足，本发明提供一种基于单向散列函数的密钥临时分配方法和系统，在原始密钥中加入控制信息，并用单项散列函数隐藏原始密钥信息，将运算结果和控制代码同时下放给次级钥匙终端，同时通过与功能终端中的鉴权模块的配合，实现一种离线式的权限自动收回能力。
[0006]为解决上述技术问题，本发明所采取的技术方案如下。
[0007]本发明所述的一种基于单向散列函数的密钥临时分配方法和系统，包含服务器端、次级钥匙终端、功能终端。其中功能终端存有自己的原始密钥keyl，服务器端存有全部原始密钥信息并包括该功能终端的keyl，服务器端与功能终端都存有control代码的功能列表。授权过程中，服务器将keyl与一段控制代码control组合，经过单项散列函数得到key2，并通过安全的信道将key2和control代码分配给次级钥匙终端，次级钥匙终端将key2和control代码保存在内部的非易失性存储器中；使用过程中，次级钥匙终端通过安全信道发送key2和control向功能终端鉴权，功能终端通过control代码判断该key2的权限属性，动作属性，时间属性，并调用自身内部存放的原始keyl与control代码组合计算其单向散列函数值，若该值与接受到的key2相同，贝Ij鉴权成功，执行control所包含的指令?目息O
[0008]进一步的，control控制代码包含基于绝对时间的起止时间控制，使用次数控制，最晚启用时间控制，或其他系统底层调试控制指令。
[0009]进一步的，control代码中可以包含该key的身份ID，用于标识该key以及承载该key值的次级钥匙终端的唯一性，以实现通过服务器端的某钥匙的废除，添加，暂时禁用。
[0010]进一步的，上述的安全信道，是由目前主流的AES、MD5、SHA, RSA中的一种单独或任意组合构建，其形式是静态密码认证方法、时间动态认证方法、事件动态认证方法、冲击响应型动态认证方法中的一种。
[0011]进一步的，次级钥匙终端是手机、平板电脑、智能可穿戴设备或专有的电子钥匙。
[0012]进一步的，单向散列函数是]\?4、]\?5、5拟-1、5拟-2、5拟-256、5拟-512中的一种。
[0013]进一步的，该control控制代码是一串二进制组成的机器码。
[0014]进一步的，功能终端的芯片中运行有绝对时间值，通过与该值的配合，可以实现时间相关的控制动作。
[0015]本发明的有益效果是，通过密钥临时分配，将有限的权限授予各类次级钥匙终端而不暴露原始密钥值，同时实现对密钥的非实时的离线控制。通过本发明所述的方法及其系统，次级钥匙终端如手机不必实时联网，它可以获得一个临时的权限来作为钥匙，解决如在地下停车场，电梯等特定场景网络失效的影响，而与此同时它又不将密钥直接发放给钥匙终端，这些次级密钥都不是永久的，以此可以建立一个如以天或小时为单位的动态密钥更新的系统，在授权的同时保证安全。此外，在控制层面，本发明所述的方法及其系统，能够在非实时或离线的场景状态中实现设定的控制目标的实现，比如控制信息为某天某小时到某小时，则用户在使用该密钥时，功能终端就同时获得该控制信息，进行控制动作；密钥的收回也将不用主动控制，带有截止时间戳的密钥信息，在指定时间后将会不被功能终端认可，从而自动失效。该发明主要能够解决一些非实时联网的嵌入式设备或物联网设备的鉴权与控制问题。
【附图说明】
[0016]下面结合附图和实施例对本发明进一步说明。
[0017]图1是本发明的方法示意图。
[0018]图2是该系统的系统结构示意图。
【具体实施方式】
[0019]为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。此外，下面所描述的本发明各个实施方式中所涉及到的技术特征只要彼此之间未构成冲突就可以相互组合。
[0020]如图1，本发明所述的一种基于单向散列函数的密钥临时分配方法和系统，包含服务器端、次级钥匙终端、功能终端。其中功能终端存有自己的原始密钥keyl，服务器端存有全部原始密钥信息并包括该功能终端的keyl，服务器端与功能终端都存有control代码的功能列表。授权过程中，服务器将keyl与一段控制代码contro