一種基于單向散列函數(shù)的密鑰臨時(shí)分配方法和系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及一種密鑰臨時(shí)分配的方法和系統(tǒng)，適用于各類需要將權(quán)限有限下放或授予的場(chǎng)景，臨時(shí)授權(quán)卻又不暴露原始密鑰，尤其主要應(yīng)用于分布式功能終端的安全防護(hù)，屬于信息安全領(lǐng)域。
【背景技術(shù)】
[0002]在本技術(shù)主要適用的社會(huì)場(chǎng)景中，需得到保護(hù)的價(jià)值信息或服務(wù)位于終端尤其是分布式的功能終端中(如各類不聯(lián)網(wǎng)的電子鎖或暫時(shí)沒(méi)有網(wǎng)絡(luò)信號(hào)的自動(dòng)售賣機(jī))，而與之對(duì)接的能夠開(kāi)啟該權(quán)限的手機(jī)、電子鑰匙等，我們稱之為次級(jí)鑰匙終端。
[0003]目前，公知的中心式密碼安全系統(tǒng)(云安全)，要求用戶在請(qǐng)求相應(yīng)權(quán)限時(shí)每一次都與云端通訊，而在現(xiàn)實(shí)應(yīng)用中，很多時(shí)候如手持移動(dòng)終端信號(hào)不佳時(shí)，可能不具備實(shí)時(shí)聯(lián)網(wǎng)的條件，這為一些安全類的應(yīng)用帶來(lái)了諸多限制。
[0004]密鑰的分配可以解決上述的問(wèn)題，但是現(xiàn)存的密鑰分配體系特別是臨時(shí)密鑰分配的體系普遍要求使用時(shí)和云服務(wù)器通訊，而如果直接將密鑰提前分配給用戶，則面臨密鑰泄漏體系被破解的巨大風(fēng)險(xiǎn)。而且，目前一些一次性密碼僅能夠做到一次一密等初級(jí)功能或是收回權(quán)限需再一次聯(lián)網(wǎng)由服務(wù)器發(fā)送相關(guān)指令動(dòng)作，授予的密鑰不具備精確控制的權(quán)限收回能力，也不具備離線操作能力。

【發(fā)明內(nèi)容】

[0005]為了克服現(xiàn)有的密鑰臨時(shí)分配體系安全性、網(wǎng)絡(luò)依賴性、控制精確度的不足，本發(fā)明提供一種基于單向散列函數(shù)的密鑰臨時(shí)分配方法和系統(tǒng)，在原始密鑰中加入控制信息，并用單項(xiàng)散列函數(shù)隱藏原始密鑰信息，將運(yùn)算結(jié)果和控制代碼同時(shí)下放給次級(jí)鑰匙終端，同時(shí)通過(guò)與功能終端中的鑒權(quán)模塊的配合，實(shí)現(xiàn)一種離線式的權(quán)限自動(dòng)收回能力。
[0006]為解決上述技術(shù)問(wèn)題，本發(fā)明所采取的技術(shù)方案如下。
[0007]本發(fā)明所述的一種基于單向散列函數(shù)的密鑰臨時(shí)分配方法和系統(tǒng)，包含服務(wù)器端、次級(jí)鑰匙終端、功能終端。其中功能終端存有自己的原始密鑰keyl，服務(wù)器端存有全部原始密鑰信息并包括該功能終端的keyl，服務(wù)器端與功能終端都存有control代碼的功能列表。授權(quán)過(guò)程中，服務(wù)器將keyl與一段控制代碼control組合，經(jīng)過(guò)單項(xiàng)散列函數(shù)得到key2，并通過(guò)安全的信道將key2和control代碼分配給次級(jí)鑰匙終端，次級(jí)鑰匙終端將key2和control代碼保存在內(nèi)部的非易失性存儲(chǔ)器中；使用過(guò)程中，次級(jí)鑰匙終端通過(guò)安全信道發(fā)送key2和control向功能終端鑒權(quán)，功能終端通過(guò)control代碼判斷該key2的權(quán)限屬性，動(dòng)作屬性，時(shí)間屬性，并調(diào)用自身內(nèi)部存放的原始keyl與control代碼組合計(jì)算其單向散列函數(shù)值，若該值與接受到的key2相同，貝Ij鑒權(quán)成功，執(zhí)行control所包含的指令?目息O
[0008]進(jìn)一步的，control控制代碼包含基于絕對(duì)時(shí)間的起止時(shí)間控制，使用次數(shù)控制，最晚啟用時(shí)間控制，或其他系統(tǒng)底層調(diào)試控制指令。
[0009]進(jìn)一步的，control代碼中可以包含該key的身份ID，用于標(biāo)識(shí)該key以及承載該key值的次級(jí)鑰匙終端的唯一性，以實(shí)現(xiàn)通過(guò)服務(wù)器端的某鑰匙的廢除，添加，暫時(shí)禁用。
[0010]進(jìn)一步的，上述的安全信道，是由目前主流的AES、MD5、SHA, RSA中的一種單獨(dú)或任意組合構(gòu)建，其形式是靜態(tài)密碼認(rèn)證方法、時(shí)間動(dòng)態(tài)認(rèn)證方法、事件動(dòng)態(tài)認(rèn)證方法、沖擊響應(yīng)型動(dòng)態(tài)認(rèn)證方法中的一種。
[0011]進(jìn)一步的，次級(jí)鑰匙終端是手機(jī)、平板電腦、智能可穿戴設(shè)備或?qū)Ｓ械碾娮予€匙。
[0012]進(jìn)一步的，單向散列函數(shù)是]\?4、]\?5、5擬-1、5擬-2、5擬-256、5擬-512中的一種。
[0013]進(jìn)一步的，該control控制代碼是一串二進(jìn)制組成的機(jī)器碼。
[0014]進(jìn)一步的，功能終端的芯片中運(yùn)行有絕對(duì)時(shí)間值，通過(guò)與該值的配合，可以實(shí)現(xiàn)時(shí)間相關(guān)的控制動(dòng)作。
[0015]本發(fā)明的有益效果是，通過(guò)密鑰臨時(shí)分配，將有限的權(quán)限授予各類次級(jí)鑰匙終端而不暴露原始密鑰值，同時(shí)實(shí)現(xiàn)對(duì)密鑰的非實(shí)時(shí)的離線控制。通過(guò)本發(fā)明所述的方法及其系統(tǒng)，次級(jí)鑰匙終端如手機(jī)不必實(shí)時(shí)聯(lián)網(wǎng)，它可以獲得一個(gè)臨時(shí)的權(quán)限來(lái)作為鑰匙，解決如在地下停車場(chǎng)，電梯等特定場(chǎng)景網(wǎng)絡(luò)失效的影響，而與此同時(shí)它又不將密鑰直接發(fā)放給鑰匙終端，這些次級(jí)密鑰都不是永久的，以此可以建立一個(gè)如以天或小時(shí)為單位的動(dòng)態(tài)密鑰更新的系統(tǒng)，在授權(quán)的同時(shí)保證安全。此外，在控制層面，本發(fā)明所述的方法及其系統(tǒng)，能夠在非實(shí)時(shí)或離線的場(chǎng)景狀態(tài)中實(shí)現(xiàn)設(shè)定的控制目標(biāo)的實(shí)現(xiàn)，比如控制信息為某天某小時(shí)到某小時(shí)，則用戶在使用該密鑰時(shí)，功能終端就同時(shí)獲得該控制信息，進(jìn)行控制動(dòng)作；密鑰的收回也將不用主動(dòng)控制，帶有截止時(shí)間戳的密鑰信息，在指定時(shí)間后將會(huì)不被功能終端認(rèn)可，從而自動(dòng)失效。該發(fā)明主要能夠解決一些非實(shí)時(shí)聯(lián)網(wǎng)的嵌入式設(shè)備或物聯(lián)網(wǎng)設(shè)備的鑒權(quán)與控制問(wèn)題。
【附圖說(shuō)明】
[0016]下面結(jié)合附圖和實(shí)施例對(duì)本發(fā)明進(jìn)一步說(shuō)明。
[0017]圖1是本發(fā)明的方法示意圖。
[0018]圖2是該系統(tǒng)的系統(tǒng)結(jié)構(gòu)示意圖。
【具體實(shí)施方式】
[0019]為了使本發(fā)明的目的、技術(shù)方案及優(yōu)點(diǎn)更加清楚明白，以下結(jié)合附圖及實(shí)施例，對(duì)本發(fā)明進(jìn)行進(jìn)一步詳細(xì)說(shuō)明。應(yīng)當(dāng)理解，此處所描述的具體實(shí)施例僅僅用以解釋本發(fā)明，并不用于限定本發(fā)明。此外，下面所描述的本發(fā)明各個(gè)實(shí)施方式中所涉及到的技術(shù)特征只要彼此之間未構(gòu)成沖突就可以相互組合。
[0020]如圖1，本發(fā)明所述的一種基于單向散列函數(shù)的密鑰臨時(shí)分配方法和系統(tǒng)，包含服務(wù)器端、次級(jí)鑰匙終端、功能終端。其中功能終端存有自己的原始密鑰keyl，服務(wù)器端存有全部原始密鑰信息并包括該功能終端的keyl，服務(wù)器端與功能終端都存有control代碼的功能列表。授權(quán)過(guò)程中，服務(wù)器將keyl與一段控制代碼contro