一種基于單向散列函數(shù)的密鑰臨時分配方法和系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及一種密鑰臨時分配的方法和系統(tǒng)��,適用于各類需要將權(quán)限有限下放或授予的場景��,臨時授權(quán)卻又不暴露原始密鑰����,尤其主要應(yīng)用于分布式功能終端的安全防護(hù),屬于信息安全領(lǐng)域��。
【背景技術(shù)】
[0002]在本技術(shù)主要適用的社會場景中�����,需得到保護(hù)的價值信息或服務(wù)位于終端尤其是分布式的功能終端中(如各類不聯(lián)網(wǎng)的電子鎖或暫時沒有網(wǎng)絡(luò)信號的自動售賣機)����,而與之對接的能夠開啟該權(quán)限的手機、電子鑰匙等�����,我們稱之為次級鑰匙終端����。
[0003]目前,公知的中心式密碼安全系統(tǒng)(云安全)�����,要求用戶在請求相應(yīng)權(quán)限時每一次都與云端通訊�,而在現(xiàn)實應(yīng)用中����,很多時候如手持移動終端信號不佳時��,可能不具備實時聯(lián)網(wǎng)的條件�,這為一些安全類的應(yīng)用帶來了諸多限制。
[0004]密鑰的分配可以解決上述的問題����,但是現(xiàn)存的密鑰分配體系特別是臨時密鑰分配的體系普遍要求使用時和云服務(wù)器通訊,而如果直接將密鑰提前分配給用戶�,則面臨密鑰泄漏體系被破解的巨大風(fēng)險。而且�����,目前一些一次性密碼僅能夠做到一次一密等初級功能或是收回權(quán)限需再一次聯(lián)網(wǎng)由服務(wù)器發(fā)送相關(guān)指令動作�,授予的密鑰不具備精確控制的權(quán)限收回能力,也不具備離線操作能力��。
【發(fā)明內(nèi)容】
[0005]為了克服現(xiàn)有的密鑰臨時分配體系安全性����、網(wǎng)絡(luò)依賴性、控制精確度的不足����,本發(fā)明提供一種基于單向散列函數(shù)的密鑰臨時分配方法和系統(tǒng)���,在原始密鑰中加入控制信息���,并用單項散列函數(shù)隱藏原始密鑰信息�����,將運算結(jié)果和控制代碼同時下放給次級鑰匙終端�,同時通過與功能終端中的鑒權(quán)模塊的配合���,實現(xiàn)一種離線式的權(quán)限自動收回能力�����。
[0006]為解決上述技術(shù)問題�����,本發(fā)明所采取的技術(shù)方案如下��。
[0007]本發(fā)明所述的一種基于單向散列函數(shù)的密鑰臨時分配方法和系統(tǒng)��,包含服務(wù)器端�����、次級鑰匙終端�、功能終端。其中功能終端存有自己的原始密鑰keyl����,服務(wù)器端存有全部原始密鑰信息并包括該功能終端的keyl,服務(wù)器端與功能終端都存有control代碼的功能列表�����。授權(quán)過程中�����,服務(wù)器將keyl與一段控制代碼control組合��,經(jīng)過單項散列函數(shù)得到key2�,并通過安全的信道將key2和control代碼分配給次級鑰匙終端,次級鑰匙終端將key2和control代碼保存在內(nèi)部的非易失性存儲器中�;使用過程中,次級鑰匙終端通過安全信道發(fā)送key2和control向功能終端鑒權(quán)��,功能終端通過control代碼判斷該key2的權(quán)限屬性,動作屬性�����,時間屬性�,并調(diào)用自身內(nèi)部存放的原始keyl與control代碼組合計算其單向散列函數(shù)值,若該值與接受到的key2相同���,貝Ij鑒權(quán)成功,執(zhí)行control所包含的指令?目息O
[0008]進(jìn)一步的�����,control控制代碼包含基于絕對時間的起止時間控制����,使用次數(shù)控制,最晚啟用時間控制��,或其他系統(tǒng)底層調(diào)試控制指令����。
[0009]進(jìn)一步的,control代碼中可以包含該key的身份ID��,用于標(biāo)識該key以及承載該key值的次級鑰匙終端的唯一性,以實現(xiàn)通過服務(wù)器端的某鑰匙的廢除�����,添加�,暫時禁用。
[0010]進(jìn)一步的�,上述的安全信道,是由目前主流的AES���、MD5�、SHA, RSA中的一種單獨或任意組合構(gòu)建���,其形式是靜態(tài)密碼認(rèn)證方法�、時間動態(tài)認(rèn)證方法�、事件動態(tài)認(rèn)證方法、沖擊響應(yīng)型動態(tài)認(rèn)證方法中的一種�����。
[0011]進(jìn)一步的����,次級鑰匙終端是手機�����、平板電腦�、智能可穿戴設(shè)備或?qū)S械碾娮予€匙��。
[0012]進(jìn)一步的�����,單向散列函數(shù)是]\?4����、]\?5��、5擬-1����、5擬-2、5擬-256�、5擬-512中的一種。
[0013]進(jìn)一步的�,該control控制代碼是一串二進(jìn)制組成的機器碼。
[0014]進(jìn)一步的����,功能終端的芯片中運行有絕對時間值�����,通過與該值的配合�����,可以實現(xiàn)時間相關(guān)的控制動作����。
[0015]本發(fā)明的有益效果是�,通過密鑰臨時分配,將有限的權(quán)限授予各類次級鑰匙終端而不暴露原始密鑰值�����,同時實現(xiàn)對密鑰的非實時的離線控制��。通過本發(fā)明所述的方法及其系統(tǒng)����,次級鑰匙終端如手機不必實時聯(lián)網(wǎng),它可以獲得一個臨時的權(quán)限來作為鑰匙,解決如在地下停車場�����,電梯等特定場景網(wǎng)絡(luò)失效的影響����,而與此同時它又不將密鑰直接發(fā)放給鑰匙終端,這些次級密鑰都不是永久的�,以此可以建立一個如以天或小時為單位的動態(tài)密鑰更新的系統(tǒng),在授權(quán)的同時保證安全�����。此外�����,在控制層面�,本發(fā)明所述的方法及其系統(tǒng)�����,能夠在非實時或離線的場景狀態(tài)中實現(xiàn)設(shè)定的控制目標(biāo)的實現(xiàn)�,比如控制信息為某天某小時到某小時,則用戶在使用該密鑰時,功能終端就同時獲得該控制信息����,進(jìn)行控制動作;密鑰的收回也將不用主動控制���,帶有截止時間戳的密鑰信息��,在指定時間后將會不被功能終端認(rèn)可����,從而自動失效�����。該發(fā)明主要能夠解決一些非實時聯(lián)網(wǎng)的嵌入式設(shè)備或物聯(lián)網(wǎng)設(shè)備的鑒權(quán)與控制問題����。
【附圖說明】
[0016]下面結(jié)合附圖和實施例對本發(fā)明進(jìn)一步說明。
[0017]圖1是本發(fā)明的方法示意圖�����。
[0018]圖2是該系統(tǒng)的系統(tǒng)結(jié)構(gòu)示意圖����。
【具體實施方式】
[0019]為了使本發(fā)明的目的�����、技術(shù)方案及優(yōu)點更加清楚明白��,以下結(jié)合附圖及實施例�,對本發(fā)明進(jìn)行進(jìn)一步詳細(xì)說明�����。應(yīng)當(dāng)理解��,此處所描述的具體實施例僅僅用以解釋本發(fā)明���,并不用于限定本發(fā)明�。此外��,下面所描述的本發(fā)明各個實施方式中所涉及到的技術(shù)特征只要彼此之間未構(gòu)成沖突就可以相互組合��。
[0020]如圖1�����,本發(fā)明所述的一種基于單向散列函數(shù)的密鑰臨時分配方法和系統(tǒng)�,包含服務(wù)器端、次級鑰匙終端�、功能終端。其中功能終端存有自己的原始密鑰keyl���,服務(wù)器端存有全部原始密鑰信息并包括該功能終端的keyl�����,服務(wù)器端與功能終端都存有control代碼的功能列表���。授權(quán)過程中,服務(wù)器將keyl與一段控制代碼contro