基于se的密钥管理方法和装置制造方法
【专利摘要】本发明实施例提供了一种基于SE的密钥管理方法和装置,包括:SE发行方对所述SE进行初始化,生成所述SE的标识和MAC密钥;SE应用方或者所述SE生成对称密钥,通过所述SE发行方利用所述MAC密钥对所述对称密钥进行验证;在所述对称密钥验证通过后,所述SE和所述SE应用方将所述对称密钥进行存储。以实现在数据传输中容易被跟踪从而被伪造和篡改,且私钥容易泄露的缺点,从而降低加密数据泄露的风险。
【专利说明】基于SE的密钥管理方法和装置
【技术领域】
[0001]本发明涉及信息安全【技术领域】,尤其涉及一种基于SE的密钥管理方法和装置。
【背景技术】
[0002]随着计算机的发展,网络中的安全问题也日趋严重。在传输控制协议中,传输的数据都是以明文进行传输的,所以存在固有安全缺陷,解决这一问题的重要手段就是数据加密,在现代网络通信中,人们的安全意识越来越强烈,密码学的应用也越来越广泛。
[0003]目前加密技术是电子商务采取的主要安全保密措施,是最常用的安全保密手段,利用技术手段把重要的数据变为乱码(加密)发送,到达目的地后再用相同或不同的手段还原(解密)。加密技术包括两个元素:算法和密钥。算法是将普通的文本(或者可以理解的信息)与一窜数字(密钥)的结合,产生不可理解的密文的步骤,密钥是用来对数据进行编码和解码的一种算法。在安全保密中,可通过适当的密钥加密技术和管理机制来保证网络的信息通讯安全。
[0004]密钥加密技术的密码体制分为对称密钥体制和非对称密钥体制两种。相应地,对数据加密的技术分为两类,即对称加密(私人密钥加密)和非对称加密(公开密钥加密)。对称加密以DES (Data Encrypt1n Standard,数据加密标准)算法为典型代表;非对称加密通常以RSA (Rivest Shamir Adleman,公钥加密算法)算法为代表。对称加密的加密密钥和解密密钥相同;而非对称加密的加密密钥和解密密钥不同,加密密钥可以公开而解密密钥需要保密。
[0005]上述现有技术中的对数据进行加密的方法的缺点为:使用软件对数据进行加密存在一定的安全风险,在数据传输中容易被跟踪从而被伪造和篡改,且私钥容易泄露。
【发明内容】
[0006]为解决上述问题,本发明的实施例提供了一种基于SE的密钥管理方法和装置,以实现通过硬件加密数据,降低密码泄露的风险。
[0007]一种基于SE的密钥管理方法,其特征在于,包括:
[0008]SE发行方对所述SE进行初始化,生成所述SE的标识和MAC密钥;
[0009]SE应用方或者所述SE生成对称密钥,通过所述SE发行方利用所述MAC密钥对所述对称密钥进行验证;
[0010]在所述对称密钥验证通过后,所述SE和所述SE应用方将所述对称密钥进行存储。
[0011]所述SE发行方对所述SE进行初始化,生成所述SE的标识和MAC密钥,包括:
[0012]所述SE发行方向所述SE发送标识及所述SE发行方的公钥;
[0013]所述SE将所述标识写入到所述SE中,作为所述SE的标识,并生成MAC密钥,将所述MAC密钥使用所述SE发行方的公钥进行加密,并将加密后的数据发送给所述SE发行方;
[0014]所述SE发行方产生生成非对称密钥请求,并将所述生成非对称密钥请求发送给所述SE ;
[0015]所述SE根据所述生成非对称密钥请求生成非对称密钥对,将包含所述非对称密钥的公钥证书申请请求发送给所述SE发行方。
[0016]所述SE将所述非对称密钥中的一个密钥作为自己的公钥。
[0017]所述SE应用方或者SE生成对称密钥,通过所述SE发行方利用所述MAC密钥对所述对称密钥进行验证,包括:
[0018]所述SE应用方向所述SE发送携带自己的公钥和密钥参数的生成对称密钥请求;
[0019]所述SE根据所述生成对称密钥请求中携带的密钥参数生成对称密钥,使用所述SE应用方的公钥将所述对称密钥进行加密,并将加密后的数据使用所述MAC密钥计算出相应的MAC密钥数值,将所述加密后的数据及所述MAC密钥数值发送给所述SE应用方;
[0020]所述SE应用方将收到的所述加密后的数据及所述MAC密钥数值发送给所述SE发行方,所述SE发行方对所述MAC密钥数值进行验证;
[0021 ] 所述SE发行方对所述MAC密钥数值进行验证通过后,发送验证通过指示消息给所述SE应用方;
[0022]所述SE应用方接收到所述验证通过指示消息后,使用自身的私钥对所述加密后的数据进行解密,得到所述对称密钥,并存储。
[0023]所述SE应用方或者SE生成对称密钥,通过所述SE发行方利用所述MAC密钥对所述对称密钥进行验证,包括:
[0024]所述SE应用方向所述SE发送获取公钥请求;
[0025]所述SE根据所述获取公钥请求发送自身的公钥给所述SE应用方;
[0026]所述SE应用方生成对称密钥,并使用所述SE的公钥对所述对称密钥进行加密,得到加密后的对称密钥;
[0027]所述SE应用方向所述SE发行方发送所述加密后的对称密钥,所述SE发行方利用所述SE的MAC密钥对所述加密后的对称密钥计算出MAC密钥数值,并将所述MAC密钥数值发送给所述SE应用方;
[0028]所述SE应用方使用所述加密后的对称密钥及所述MAC密钥数值生成密钥导入请求,并将所述密钥导入请求发送给所述SE ;
[0029]所述SE接收到所述密钥导入请求后,对所述MAC密钥数值进行验证,在验证通过后,使用自身的私钥解密所述加密后的对称密钥,得到所述对称密钥,并保存。
[0030]所述SE包括:全球用户识别卡、移动终端、安全数码卡。
[0031]一种基于SE的密钥管理装置,其特征在于,包括:SE、SE发行方和SE应用方,
[0032]所述的SE发行方,用于对所述SE进行初始化,生成所述SE的标识和MAC密钥;
[0033]SE应用方或者所述SE,用于生成对称密钥,通过所述SE发行方利用所述MAC密钥对所述对称密钥进行验证;
[0034]所述SE和所述SE应用方,还用于在所述对称密钥验证通过后,将所述对称密钥进行存储。
[0035]所述SE发行方,用于向所述SE发送标识及所述SE发行方的公钥;
[0036]所述SE,用于将所述标识写入到所述SE中,作为所述SE的标识,并生成MAC密钥,将所述MAC密钥使用所述SE发行方的公钥进行加密,并将加密后的数据发送给所述SE发行方;
[0037]所述SE发行方,用于产生生成非对称密钥请求,并将所述生成非对称密钥请求发送给所述SE ;
[0038]所述SE,用于根据所述生成非对称密钥请求生成非对称密钥对,将包含所述非对称密钥对的证书申请请求发送给所述SE发行方。
[0039]所述SE,还用于将所述非对称密钥中的一个密钥作为自己的公钥。
[0040]所述SE应用方,用于向所述SE发送携带自己的公钥和密钥参数的生成对称密钥请求;
[0041]所述SE,用于根据所述生成对称密钥请求中携带的密钥参数生成对称密钥,使用所述SE应用方的公钥将所述对称密钥进行加密,并将加密后的数据使用所述MAC密钥计算出相应的MAC密钥数值,将所述加密后的数据及所述MAC密钥数值发送给所述SE应用方;
[0042]所述SE应用方,用于将收到的所述加密后的数据及所述MAC密钥数值发送给所述SE发行方;
[0043]所述SE发行方,用于对所述MAC密钥数值进行验证,所述SE发行方对所述MAC密钥数值进行验证通过后,发送验证通过指示消息给所述SE应用方;
[0044]所述SE应用方,用于接收到所述验证通过指示消息后,使用自身的私钥对所述加密后的数据进行解密,得到所述对称密钥,并存储。
[0045]所述SE应用方,用于向所述SE发送获取公钥请求;
[0046]所述SE,用于根据所述获取公钥请求发送自身的公钥给所述SE应用方,
[0047]所述SE应用方,用于生成对称密钥,并使用所述SE的公钥对所述对称密钥进行加密,得到加密后的对称密钥,并将该加密后的对称密钥发送给所述SE发行方;
[0048]所述SE发行方,用于利用所述SE的MAC密钥对所述加密后的对称密钥计算出MAC密钥数值,并将所述MAC密钥数值发送给所述SE应用方;
[0049]所述SE应用方,用于使用所述加密后的对称密钥及所述MAC密钥数值生成密钥导入请求,并将所述密钥导入请求发送给所述SE ;
[0050]所述SE,用于接收到所述密钥导入请求后,对所述MAC密钥数值进行验证,在验证通过后,使用自身的私钥解密所述加密后的对称密钥,得到所述对称密钥,并保存。
[0051]所述SE包括:全球用户识别卡、移动终端、安全数码卡。
[0052]由上述本发明的实施例提供的技术方案可以看出,本发明实施例提供一种基于SE的密钥管理方法,通过SE发行方对所述SE进行初始化,SE应用方或者所述SE生成对称密钥,通过所述SE发行方对称密钥进行验证,所述SE和所述SE应用方将所述对称密钥进行存储。从而达到防止在使用软件操作时,在数据传输的过程中被跟踪,密钥被破译;且降低私钥泄露而造成数据被盗的风险。
【专利附图】
【附图说明】
[0053]为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
[0054]图1为本发明实施例一提供的一种基于SE的密钥管理方法的处理流程图;
[0055]图2为本发明实施例一提供的一种SE的初始化流程图;
[0056]图3为本发明实施例一提供的一种SE生成对称密钥处理流程图;
[0057]图4为本发明实施例一提供的一种SE应用方生成对称密钥的处理流程图;
[0058]图5为本发明实施例二提供的一种基于SE的密钥管理装置的示意图。
【具体实施方式】
[0059]为便于对本发明实施例的理解,下面将结合附图以具体实施例为例做进一步的解释说明,且各个实施例并不构成对本发明实施例的限定。
[0060]实施例一
[0061]本发明实施例一提供了一种基于SE的密钥管理方法,包括:SE发行方对SE进行初始化,上述SE应用方或者上述SE生成对称密钥,并通过上述SE发行方利用MAC密钥对上述对称密钥进行验证,在验证通过后,上述SE和上述SE应用方将上述对称密钥进行存储。通过利用上述SE中的公钥或者上述SE应用方的公钥对上述对称密钥进行加密,从而增强数据的安全性。上述MAC密钥包括MAC密钥。
[0062]上述SE即安全元件可以存在多种硬件上,包括在SM卡、SD卡或移动终端中,该SE具备运算能力,它可以完成非对称密钥加解密和对称密钥加解密过程,可以对密码密钥、加密密钥、运营商密钥、通讯密钥提供更加安全的保护。
[0063]以下结合附图对本发明的原理和特征进行描述,所举实例只用于解释本发明,并非用于限定本发明的范围。
[0064]该实施例提供了一种基于SE的密钥管理方法的处理流程图如图1所示,包括如下的处理步骤:
[0065]步骤SI 1:SE发行方对上述SE进行初始化,生成上述SE的标识和MAC密钥。在需要使用SE保护密钥的安全时,首先对该SE进行初始化,初始化完成才能进行之后的步骤。
[0066]步骤S12:SE应用方或者上述SE生成对称密钥,通过上述SE发行方利用上述MAC密钥对上述对称密钥进行验证。当上述SE应用方需要使用SE来保证密码或数据安全时,需要先在上述SE上存储对称密钥。上述对称密钥包括两种生成方式,一种是由该SE生成,传递给上述SE应用方;另一种方式是由上述SE应用方生成,再将对称密钥导入到该SE中。
[0067]步骤S13:在上述对称密钥验证通过后,上述SE和上述SE应用方将上述对称密钥进行存储。
[0068]本发明实施例一提供的一种SE的初始化流程图如图2所示,即对上述步骤Sll作进一步的解释,包括如下步骤:
[0069]步骤S21:上述SE发行方向上述SE发送上述标识及上述SE发行方的公钥及相关的参数,上述参数包括,该SE的标识。上述SE在使用之前必须由上述SE发行方对该SE进行初始化,内容包括:设置SE的标识,生成MAC密钥,生成非对称密钥对。设置SE标识是为了在上述SE发行方标识每一个SE,生成MAC密钥是为了,在数据传输过程中进行消息验证,从而保证数据在传输过程中不被篡改和伪造。
[0070]步骤S22:上述SE将上述标识写入到自身中,作为上述SE的标识,并生成MAC密钥,将生成的MAC密钥使用上述SE发行方的公钥进行加密,并将加密后的数据发送给上述SE发行方。该SE写入标识后,即具有唯一的标识,以便上述SE发行方对每个SE进行识别,并通过MAC密钥验证上述SE身份的真实性,并将上述MAC密钥使用上述SE发行方的公钥进行加密后发送给该SE发行方,以保证数据在发送过程中的安全。
[0071]步骤S23:上述SE发行方产生生成非对称密钥请求,并将上述生成非对称密钥请求发送给上述SE。上述SE发行方需要请求该SE生成非对称密钥对,并将上述非对称密钥中的一个密钥作为自己的公钥,以便对对称密钥进行加密。该SE发行方发送的生成非对称密钥请求包括:SE标识、强制更新标识、算法标识、密钥长度、PIN码、MAC密钥索引。
[0072]步骤S24:上述SE根据上述SE发行方发送的生成非对称密钥请求生成非对称密钥对,并将包含上述非对称密钥对的证书申请请求发送给上述SE发行方。
[0073]本发明实施例一提供的一种SE生成对称密钥处理流程图如图3所示,具体包括如下步骤:
[0074]步骤S31:上述SE应用方具有一对非对称密钥,首先将携带自己的公钥和密钥参数的生成对称密钥请求发送给上述SE,请求该SE生成对称密钥,上述密钥参数包括:密钥的类型以及密钥的长度等。
[0075]步骤S32:上述SE根据上述SE应用方发送的生成对称密钥请求以及携带的密钥参数生成对称密钥,并使用上述SE应用方的公钥将上述对称密钥进行加密,并将加密后的数据使用上述SE中的MAC密钥计算出相应的MAC密钥数值,再将上述加密后的数据及上述MAC密钥数值发送给上述SE应用方,以完成上述对称密钥的生成以及对该对称密钥进行加密,并且通过上述MAC密钥保证数据在传输过程中的安全。
[0076]步骤S33:上述SE应用方将收到的上述加密后的数据及上述MAC密钥数值发送给上述SE发行方,以便上述SE发行方对上述MAC密钥数值进行验证,从而确认确保数据在传输过程中不会被篡改。
[0077]上述SE生成对称密钥需要通过上述SE发行方验证MAC密钥,当该SE发行方需要向该SE上保存数据时都需要输入SE标识进行识别,且为了防止数据在传输过程中被伪造和篡改,需计算MAC密钥数值。
[0078]步骤S34:上述SE发行方接收到上述加密后的数据及上述MAC密钥数值后,对上述MAC密钥数值进行验证,如果验证通过,则上述SE发行方将发送验证通过指示消息给上述SE应用方;如果验证不通过,则上述SE发行方发送验证失败消息给该SE应用方,则该对称密钥生成失败,SE应用方将上述加密后的数据及上述MAC密钥数值丢弃。
[0079]步骤S35:上述SE应用方接收到上述验证通过指示消息后,使用自身的私钥对上述加密后的数据进行解密,得到上述对称密钥,并将上述对称密钥存储,加密程序结束。
[0080]本发明实施例一提供的一种SE应用方生成对称密钥的处理流程图如图4上述,具体包括如下步骤:
[0081]步骤S41:上述SE应用方首先向上述SE发送获取公钥请求,请求该SE将自身的公钥发送给该SE应用方,以便上述SE应用方对对称密钥进行加密。
[0082]步骤S42:上述SE接收到上述SE应用方发送的上述获取公钥请求后,即将自身的公钥发送给上述SE应用方。
[0083]步骤S43:上述SE应用方接收到上述SE的公钥后,生成对称密钥,并使用该SE的公钥对该对称密钥进行加密,以得到加密后的对称密钥。
[0084]步骤S44:上述SE应用方向上述SE发行方发送上述加密后的对称密钥,上述SE发行方收到加密后的对称密钥后,利用上述SE的MAC密钥对上述加密后的对称密钥计算出MAC密钥数值,并将上述MAC密钥数值发送给上述SE应用方。
[0085]步骤S45:上述SE应用方使用上述加密后的对称密钥及上述MAC密钥数值生成密钥导入请求,并将上述密钥导入请求发送给上述SE,以便将上述生成的对称密钥安全的导入到上述SE中。
[0086]步骤S46:上述SE接收到上述密钥导入请求后,对上述MAC密钥数值进行验证,以便识别上述数据及身份的真实性,如果验证通过,则该SE使用自身的私钥解密上述加密后的对称密钥,得到上述对称密钥,并保存;否则将放弃解密上述加密后的对称密钥,即对称密钥导入失败。
[0087]本发明实施例支持非对称密钥加密和对称密钥加解密。其中非对称加密支持多种算法包括:RSA,ECC, DSA, SM2 ;对称加密支持的算法包括:DES,3DES,AES, SM4。
[0088]本领域技术人员应能理解,上述所举的利用SE公钥对对称密钥进行加密的方法仅为更好地说明本发明实施例的技术方案,而非对本发明实施例作出的限定。任何对上述对称密钥进行加密的方法如可适用于本专利,均包含在本发明实施例的范围内。
[0089]实施例二
[0090]该实施例提供了一种基于SE的密钥管理装置如图5所示,具体可以包括如下的模块:SE、SE发行方和SE应用方。上述的SE发行方,用于对上述SE进行初始化,生成上述SE的标识和MAC密钥;SE应用方或者上述SE,用于生成对称密钥,并通过上述SE发行方利用上述MAC密钥对上述对称密钥进行验证;进一步地,上述SE和上述SE应用方,还用于在上述对称密钥验证通过后,将上述对称密钥进行存储。
[0091]上述SE发行方,用于向上述SE发送标识及上述SE发行方的公钥;上述SE,用于将上述标识写入到上述SE中,作为上述SE的标识,并生成MAC密钥,将上述MAC密钥使用上述SE发行方的公钥进行加密,并将加密后的数据发送给上述SE发行方。
[0092]上述SE发行方,用于产生生成非对称密钥请求,并将上述非对称密钥请求发送给上述SE;上述SE,用于根据上述生成非对称密钥请求生成非对称密钥对,将包含上述非对称密钥对的证书申请请求发送给上述SE发行方。上述SE,还用于将上述非对称密钥中的一个密钥作为自己的公钥。
[0093]上述SE应用方,用于向上述SE发送携带自己的公钥和密钥参数的生成对称密钥请求;上述SE,用于根据上述生成对称密钥请求中携带的密钥参数生成对称密钥,使用上述SE应用方的公钥将上述对称密钥进行加密,并将加密后的数据使用上述MAC密钥计算出相应的MAC密钥数值,将上述加密后的数据及上述MAC密钥数值发送给上述SE应用方。
[0094]上述SE应用方,用于将收到的上述加密后的数据及上述MAC密钥数值发送给上述SE发行方;上述SE发行方,用于对上述MAC密钥数值进行验证,上述SE发行方对上述MAC密钥数值进行验证通过后,发送验证通过指示消息给上述SE应用方;上述SE应用方,用于接收到上述验证通过指示消息后,使用自身的私钥对上述加密后的数据进行解密,得到上述对称密钥,并存储。
[0095]上述SE应用方,用于向上述SE发送获取公钥请求;上述SE,用于根据上述获取公钥请求发送自身的公钥给上述SE应用方,上述SE应用方,用于生成对称密钥,并使用上述SE的公钥对上述对称密钥进行加密,得到加密后的对称密钥,并将该加密后的对称密钥发送给上述SE发行方。
[0096]上述SE发行方,用于利用上述SE的MAC密钥对上述加密后的对称密钥计算出MAC密钥数值,并将上述MAC密钥数值发送给上述SE应用方;上述SE应用方,用于使用上述加密后的对称密钥及上述MAC密钥数值生成密钥导入请求,并将上述密钥导入请求发送给上述SE;上述SE,用于接收到上述密钥导入请求后,对上述MAC密钥数值进行验证,在验证通过后,使用自身的私钥解密上述加密后的对称密钥,得到上述对称密钥,并保存。
[0097]用本发明实施例的装置对对称密钥的生成、加密解密的具体过程与前述方法实施例类似,此处不再赘述。
[0098]综上上述,本发明实施例通过SE发行方对SE进行初始化,并通过SE应用方或者该SE生成对称密钥,再通过上述SE发行方对称密钥进行验证,最后上述SE和上述SE应用方将上述对称密钥进行存储。从而达到防止在使用软件操作时,在数据传输的过程中被跟踪,密钥被破译;且降低私钥泄露而造成数据被盗的风险。
[0099]本发明通过SE安全设备进行操作,将密钥被破译的风险等级降至最低,确保密钥数据的安全。此外,本发明采用硬件SE方式降低人为因素对于数据安全性的风险,同时私钥存储于硬件中避免了私钥的泄露。因此,很好地实现了对密钥数据的安全性和真实性的保护,保护了使用者的利益。
[0100]本领域普通技术人员可以理解:附图只是一个实施例的示意图,附图中的模块或流程并不一定是实施本发明所必须的。
[0101]通过以上的实施方式的描述可知,本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如R0M/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例或者实施例的某些部分上述的方法。
[0102]本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于装置或系统实施例而言,由于其基本相似于方法实施例,所以描述得比较简单,相关之处参见方法实施例的部分说明即可。以上所描述的装置及系统实施例仅仅是示意性的,其中上述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
[0103]以上上述,仅为本发明较佳的【具体实施方式】,但本发明的保护范围并不局限于此,任何熟悉本【技术领域】的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。
【权利要求】
1.一种基于SE的密钥管理方法,其特征在于,包括: SE发行方对所述SE进行初始化,生成所述SE的标识和MAC密钥; SE应用方或者所述SE生成对称密钥,通过所述SE发行方利用所述MAC密钥对所述对称密钥进行验证; 在所述对称密钥验证通过后,所述SE和所述SE应用方将所述对称密钥进行存储。
2.根据权利要求1所述的基于SE的密钥管理方法,其特征在于,所述SE发行方对所述SE进行初始化,生成所述SE的标识和MAC密钥,包括: 所述SE发行方向所述SE发送标识及所述SE发行方的公钥;所述SE将所述标识写入到所述SE中,作为所述SE的标识,并生成MAC密钥,将所述MAC密钥使用所述SE发行方的公钥进行加密,并将加密后的数据发送给所述SE发行方;所述SE发行方产生生成非对称密钥请求,并将所述生成非对称密钥请求发送给所述SE ; 所述SE根据所述生成非对称密钥请求生成非对称密钥对,将包含所述非对称密钥的公钥证书申请请求发送给所述SE发行方。
3.根据权利要求2所述的基于SE的密钥管理方法,其特征在于,所述SE将所述非对称密钥中的一个密钥作为自己的公钥。
4.根据权利要求2所述的基于SE的密钥管理方法,其特征在于,所述SE应用方或者SE生成对称密钥,通过所述SE发行方利用所述MAC密钥对所述对称密钥进行验证,包括: 所述SE应用方向所述SE发送携带自己的公钥和密钥参数的生成对称密钥请求; 所述SE根据所述生成对称密钥请求中携带的密钥参数生成对称密钥,使用所述SE应用方的公钥将所述对称密钥进行加密,并将加密后的数据使用所述MAC密钥计算出相应的MAC密钥数值,将所述加密后的数据及所述MAC密钥数值发送给所述SE应用方; 所述SE应用方将收到的所述加密后的数据及所述MAC密钥数值发送给所述SE发行方,所述SE发行方对所述MAC密钥数值进行验证; 所述SE发行方对所述MAC密钥数值进行验证通过后,发送验证通过指示消息给所述SE应用方; 所述SE应用方接收到所述验证通过指示消息后,使用自身的私钥对所述加密后的数据进行解密,得到所述对称密钥,并存储。
5.根据权利要求3所述的基于SE的密钥管理方法,其特征在于,所述SE应用方或者SE生成对称密钥,通过所述SE发行方利用所述MAC密钥对所述对称密钥进行验证,包括: 所述SE应用方向所述SE发送获取公钥请求; 所述SE根据所述获取公钥请求发送自身的公钥给所述SE应用方; 所述SE应用方生成对称密钥,并使用所述SE的公钥对所述对称密钥进行加密,得到加S后的对称S钥; 所述SE应用方向所述SE发行方发送所述加密后的对称密钥,所述SE发行方利用所述SE的MAC密钥对所述加密后的对称密钥计算出MAC密钥数值,并将所述MAC密钥数值发送给所述SE应用方; 所述SE应用方使用所述加密后的对称密钥及所述MAC密钥数值生成密钥导入请求,并将所述密钥导入请求发送给所述SE ; 所述SE接收到所述密钥导入请求后,对所述MAC密钥数值进行验证,在验证通过后,使用自身的私钥解密所述加密后的对称密钥,得到所述对称密钥,并保存。
6.根据权利要求1至5任一项所述的基于SE的密钥管理方法,其特征在于,所述SE包括:全球用户识别卡、移动终端、安全数码卡。
7.一种基于SE的密钥管理装置,其特征在于,包括:SE、SE发行方和SE应用方, 所述的SE发行方,用于对所述SE进行初始化,生成所述SE的标识和MAC密钥; SE应用方或者所述SE,用于生成对称密钥,通过所述SE发行方利用所述MAC密钥对所述对称密钥进行验证; 所述SE和所述SE应用方,还用于在所述对称密钥验证通过后,将所述对称密钥进行存储。
8.根据权利要求7所述的基于SE的密钥管理装置,其特征在于, 所述SE发行方,用于向所述SE发送标识及所述SE发行方的公钥; 所述SE,用于将所述标识写入到所述SE中,作为所述SE的标识,并生成MAC密钥,将所述MAC密钥使用所述SE发行方的公钥进行加密,并将加密后的数据发送给所述SE发行方; 所述SE发行方,用于产生生成非对称密钥请求,并将所述生成非对称密钥请求发送给所述SE ; 所述SE,用于根据所述生成非对称密钥请求生成非对称密钥对,将包含所述非对称密钥对的证书申请请求发送给所述SE发行方。
9.根据权利要求8所述的基于SE的密钥管理装置,其特征在于:所述SE,还用于将所述非对称密钥中的一个密钥作为自己的公钥。
10.根据权利要求8所述的基于SE的密钥管理装置,其特征在于, 所述SE应用方,用于向所述SE发送携带自己的公钥和密钥参数的生成对称密钥请求; 所述SE,用于根据所述生成对称密钥请求中携带的密钥参数生成对称密钥,使用所述SE应用方的公钥将所述对称密钥进行加密,并将加密后的数据使用所述MAC密钥计算出相应的MAC密钥数值,将所述加密后的数据及所述MAC密钥数值发送给所述SE应用方; 所述SE应用方,用于将收到的所述加密后的数据及所述MAC密钥数值发送给所述SE发行方; 所述SE发行方,用于对所述MAC密钥数值进行验证,所述SE发行方对所述MAC密钥数值进行验证通过后,发送验证通过指示消息给所述SE应用方; 所述SE应用方,用于接收到所述验证通过指示消息后,使用自身的私钥对所述加密后的数据进行解密,得到所述对称密钥,并存储。
11.根据权利要求8所述的基于SE的密钥管理装置,其特征在于, 所述SE应用方,用于向所述SE发送获取公钥请求; 所述SE,用于根据所述获取公钥请求发送自身的公钥给所述SE应用方, 所述SE应用方,用于生成对称密钥,并使用所述SE的公钥对所述对称密钥进行加密,得到加密后的对称密钥,并将该加密后的对称密钥发送给所述SE发行方; 所述SE发行方,用于利用所述SE的MAC密钥对所述加密后的对称密钥计算出MAC密钥数值,并将所述MAC密钥数值发送给所述SE应用方; 所述SE应用方,用于使用所述加密后的对称密钥及所述MAC密钥数值生成密钥导入请求,并将所述密钥导入请求发送给所述SE ; 所述SE,用于接收到所述密钥导入请求后,对所述MAC密钥数值进行验证,在验证通过后,使用自身的私钥解密所述加密后的对称密钥,得到所述对称密钥,并保存。
12.根据权利要求7至11任一项所述的基于SE的密钥管理装置,其特征在于,所述SE包括:全球用户识别卡、移动终端、安全数码卡。
【文档编号】H04L9/32GK104253692SQ201410028406
【公开日】2014年12月31日 申请日期:2014年1月21日 优先权日:2014年1月21日
【发明者】孙贵成 申请人:北京印天网真科技有限公司