CN109525989B - 数据处理、身份认证方法及系统、终端 - Google Patents
数据处理、身份认证方法及系统、终端 Download PDFInfo
- Publication number
- CN109525989B CN109525989B CN201710852631.XA CN201710852631A CN109525989B CN 109525989 B CN109525989 B CN 109525989B CN 201710852631 A CN201710852631 A CN 201710852631A CN 109525989 B CN109525989 B CN 109525989B
- Authority
- CN
- China
- Prior art keywords
- terminal
- key
- server
- management server
- service server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/02—Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/18—Processing of user or subscriber data, e.g. subscribed services, user preferences or user profiles; Transfer of user or subscriber data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/18—Processing of user or subscriber data, e.g. subscribed services, user preferences or user profiles; Transfer of user or subscriber data
- H04W8/183—Processing at user equipment or user record carrier
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Databases & Information Systems (AREA)
- Storage Device Security (AREA)
- Telephonic Communication Services (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本申请公开了一种数据处理、身份认证方法及系统、终端。其中,该数据处理方法包括:终端获取认证密文,其中,所述认证密文为基于终端中SIM卡存储的第一密钥生成的密文;所述终端向业务服务器申请更新敏感数据,并经由所述业务服务器将所述认证密文发送至管理服务器;所述终端接收所述管理服务器经由所述业务服务器发送的加密数据,其中,所述加密数据为所述管理服务器使用与所述第一密钥对应的第二密钥对所述业务服务器提供的敏感数据进行加密得到的;所述终端使用SIM卡中存储的所述第一密钥对所述加密数据进行解密,并存储解密得到的所述敏感数据。
Description
技术领域
本申请涉及认证领域,具体而言,涉及一种数据处理、身份认证方法及系统、终端。
背景技术
传统物联网(Internet of Things,简称IoT)设备安全的做法,是通过外挂安全载体或者直接使用微控制单元(Miro Controller Unit,简称为MCU)存储密钥。但是外挂安全载体需要厂商改动硬件设计并增加成本;密钥直接存储在MCU中,缺乏安全存储环境的保护,容易被攻击者窃取。
并且,如果采用复杂的网络安全协议或者运营商专线解决安全问题,都会给产品的成本和部署带来一定的挑战。
针对上述的问题,目前尚未提出有效的解决方案。
发明内容
本申请实施例提供了一种数据处理、身份认证方法及系统、终端,以至少解决相关技术中安全认证方案存在的无法兼顾成本和高安全性的需求的技术问题。
根据本申请实施例的一个方面,提供了一种数据处理系统,包括:终端,设置有用户身份识别模块(Subscriber Identification Module,简称为SIM)卡,所述SIM卡存储有第一密钥,所述终端用于向业务服务器发送基于所述第一密钥产生的认证密文;业务服务器,用于提供敏感数据,并将该敏感数据发送至管理服务器;所述管理服务器,用于对所述认证密文进行认证,在认证通过后,与所述第一密钥对应的第二密钥对所述敏感数据进行加密;将加密后的敏感数据经由所述业务服务器发送至所述终端,其中,所述终端使用所述SIM卡中存储的所述第一密钥对所述加密后的敏感数据进行解密。
根据本申请实施例的另一方面,提供了一种终端,包括:SIM卡,用于存储预先写入的第一密钥,该第一密钥用于生成认证密文;处理器,耦接至所述SIM卡,用于存储敏感数据。
根据本申请实施例的又一方面,提供了另一种终端,包括:安全模块,用于存储安全密钥;处理器,耦接至所述安全模块,用于存储敏感数据。
根据本申请实施例的又一方面,还提供了一种数据处理方法,包括:终端根据SIM卡中的第一密钥生成认证信息;所述终端向业务服务器申请获取敏感数据,并经由所述业务服务器将所述认证信息发送至管理服务器;所述终端接收所述管理服务器经由所述业务服务器发送的加密数据,其中,所述加密数据为所述管理服务器使用与所述第一密钥对应的第二密钥对所述业务服务器提供的敏感数据进行加密得到的;所述终端根据所述第一密钥对所述加密数据进行解密,得到所述敏感数据。
根据本申请实施例的又一方面,还提供了一种存储介质,所述存储介质包括存储的程序,其中,在所述程序运行时控制所述存储介质所在设备执行以上所述的数据处理方法。
根据本申请实施例的又一方面,还提供了一种处理器,所述处理器用于运行程序,其中,所述程序运行时执行以上所述的数据处理方法。
根据本申请实施例的再一方面,还提供了一种SIM卡的生产方法,包括:启动用户身份识别模块SIM卡上的应用;通过所述应用接收管理服务器下发的安全密钥,并存储至所述SIM卡中。
根据本申请实施例的再一方面,提供了一种身份认证方法,包括:管理服务器接收终端经由业务服务器转发的认证密文,其中,所述认证密文为所述终端基于终端中SIM卡存储的第一密钥生成的;所述管理服务器对所述认证密文进行认证。
根据本申请实施例的再一方面,提供了一种数据处理方法,包括:终端接收管理服务器经由业务服务器发送的加密数据,其中,所述加密数据为所述管理服务器使用第二密钥,对所述业务服务器提供的敏感数据进行加密得到的;所述第二密钥为所述终端中的用户身份识别模块SIM卡中存储的第一密钥对应的密钥;所述终端使用所述第一密钥对所述加密数据进行解密,并存储解密得到的所述敏感数据。
根据本申请实施例的再一方面,提供了一种数据处理方法,包括:终端根据安全模块中的第一密钥生成认证信息;所述终端向业务服务器申请获取敏感数据,并经由所述业务服务器将所述认证信息发送至管理服务器;所述终端接收所述管理服务器经由所述业务服务器发送的加密数据,其中,所述加密数据为所述管理服务器使用与所述第一密钥对应的第二密钥对所述业务服务器提供的敏感数据进行加密得到的;所述终端根据所述第一密钥对所述加密数据进行解密,得到所述敏感数据。
根据本申请实施例的再一方面,提供了一种身份认证方法,包括:终端根据安全模块中的第一密钥生成认证信息;所述终端经由业务服务器将所述认证信息发送至管理服务器;所述管理服务器根据所述认证信息对所述终端进行认证。
根据本申请实施例的再一方面,提供了一种身份认证方法,包括:管理服务器接收终端经由业务服务器转发的认证信息,其中,所述认证信息为所述终端基于终端中安全模块存储的第一密钥生成的;所述管理服务器对所述认证信息进行认证。
根据本申请实施例的再一方面,提供了一种数据处理方法,包括:终端接收管理服务器经由业务服务器发送的加密数据,其中,所述加密数据为所述管理服务器使用第二密钥,对所述业务服务器提供的敏感数据进行加密得到的;所述第二密钥为所述终端中的安全模块中存储的第一密钥对应的密钥;所述终端使用所述第一密钥对所述加密数据进行解密,并存储解密得到的所述敏感数据。
在本申请实施例中,采用预先写入了第一密钥的SIM卡和管理服务器实现了设备的合法性认证和安全通道的建立,由于SIM卡中的第一密钥是预先写入的,例如在SIM卡的生产环节中写入,因此,保证了密钥在存储环节的安全性,并且可以基于认证报文实现安全通道的建立,从而进一步增强了认证的安全性,进而解决了相关技术中安全认证方案存在的无法兼顾成本和高安全性的需求的技术问题。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1是根据本申请实施例的一种数据处理系统的结构示意图;
图2为根据本申请实施例的一种SIM卡应用流程示意图;
图3是根据本申请实施例的一种终端的结构示意图;
图4是根据本申请实施例的另一种终端的结构示意图;
图5为根据本申请实施例的一种安全通道的建立流程示意图。
图6是根据本申请实施例的一种计算机终端的结构示意图;
图7是根据本申请实施例的一种数据处理方法的流程示意图;
图8是根据本申请实施例的另一种身份认证方法的流程示意图;
图9是根据本申请实施例的一种身份认证方法的流程示意图;
图10是根据本申请实施例的另一种数据处理方法的流程示意图;
图11是根据本申请实施例的一种SIM卡的生产方法流程示意图。
图12是根据本申请实施例的另一种数据处理方法的流程示意图;
图13是根据本申请实施例的另一种身份认证方法的流程示意图;
图14是根据本申请实施例的另一种身份认证方法的流程示意图;以及
图15是根据本申请实施例的另一种数据处理方法的流程示意图。
具体实施方式
为了使本技术领域的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分的实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本申请保护的范围。
需要说明的是,本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
首先,在对本申请实施例进行描述的过程中出现的部分名词或术语适用于如下解释:
安全芯片:可信任平台模块,是一个可独立进行密钥生成、加解密的装置,内部拥有独立的处理器和存储单元,可存储密钥和特征数据,为电脑提供加密和安全认证服务。
安全密钥:用公钥加密的数据只有私钥才能解密,相反的,用私钥加密的数据只有公钥才能解密。
敏感数据:是指不当使用或未经授权被人接触或修改会不利于公众利益或不利于个人依法享有的个人隐私权的所有信息。
实施例1
相关技术中,在对密钥进行存储时,往往通过安全载体或使用MCU存储,但是,外挂安全载体,需要对设备的设计进行改动,会增加成本,密钥存储在MCU中,易被破解,存储环境不安全。
为了满足厂商对于低成本、易部署、高安全的密钥服务需求,本申请实施例将密钥与SIM卡结合,在安全标准满足EAL4+的SIM卡产线上,安全预制密钥,并实现了的不可篡改性密钥在设备端的安全存储性。同时,管理服务器在云平台上安全存储密钥,并为设备提供在线的密钥使用服务。
为实现上述目的,本申请实施例提供一种数据处理系统,如图1所示,该系统包括:
终端10,设置有SIM卡,上述SIM卡存储有第一密钥,上述终端用于向业务服务器发送基于上述第一密钥产生的认证密文;
可选地,该终端10在结构上包括但不限于:SIM卡卡槽,该SIM卡卡槽中安装有SIM卡;处理器,用于与SIM卡耦合连接,用于存储敏感数据。其中,该处理器包括但不限于微控制单元(MCU)。
其中,为保证第一密钥的存储环境的安全,可以在SIM卡的生产线上写入上述第一密钥。例如,如图2所示:步骤S202,在SIM卡中安装应用,其中,该安装过程可以为SIM卡生产商在安全生产线上进行;步骤S204,进行密钥数据的烧录:与云平台对接,实现密钥数据的安全写入;步骤S206,运营商进行SIM卡卡号的烧录;步骤S208,进行SIM卡与终端的集成:在终端厂商这一侧,使用写入密钥数据的SIM卡,与终端设备进行硬件和软件的集成,形成最终产品;步骤S210:终端对接管理服务器:终端在使用过程中,可以通过访问在线服务器(即管理服务器14),与设备上集成的SIM卡一起建立云端到设备端的安全链路。
上述第一密钥也可以在SIM卡卡号烧录时写入(即在运营商环节完成第一密钥的写入);上述第一密钥也可以在终端生产环节写入上述第一密钥,即在SIM卡集成至终端过程中实现第一密钥的写入。上述第一密钥写入SIM卡的时机是可以根据实际情况灵活确定的,并不限于上述写入时机。
在一个可选实施例中,上述终端包括但不限于智能移动终端、平板电脑等,但不限于此。
业务服务器12,用于提供敏感数据,并将该敏感数据发送至管理服务器;该业务服务器用于提供具体的业务数据,例如,共享单车相关的业务数据,在终端请求业务数据时,业务服务器将该业务数据发送至管理服务器,经管理服务器加密后,再将加密后的业务数据发送至终端,此时,便实现了业务数据的安全传输。
在一种可选的实施例中,上述敏感数据可以为用户的隐私信息数据:用户的通讯号码、通讯记录、图片、视频等;还可以为用户权限信息数据:登陆密码、支付密码等,但不限于此,上述敏感数据可以包括:使用不当或未经授权被他人接触或修改,不利于公众利益或不利于个人依法享有的个人隐私权的所有信息。
上述管理服务器14,用于对上述认证密文进行认证,在认证通过后,第二密钥对上述敏感数据进行加密,其中,上述第二密钥与第一密钥对应;将加密后的敏感数据经由上述业务服务器发送至上述终端,其中,上述终端使用上述SIM卡中存储的上述第一密钥对上述加密后的敏感数据进行解密。通过上述过程可以看出,通过管理服务器对敏感数据的加密以及对认证密文的认证,实现了认证过程和敏感数据传输的安全性需求。
在一个可选实施例中,上述管理服务器14可以为网络侧的一个服务器,也可以是云网络中的一个服务器。具体地,一个或多个管理服务器14可以组成云平台,该云平台用于提供上述第一密钥和上述第二密钥,其中,该第一密钥和第二密钥可以是相同的密钥,或者是具有对应关系的密钥。
通过上述各个部分所实现的过程,可以实现云端和设备端安全链路的建立。为便于理解,以下结合一个可选实施例详细说明上述数据处理系统中各个组成部分的流程。其中,终端中的处理器包括MCU,但不限于此。
作为本申请的一个可选实施例,终端10的结构可以参见图3所示,如图3所示,该终端包括:
SIM卡30,用于存储预先写入的第一密钥,该第一密钥用于生成认证密文;
由于SIM卡是大多数设备采用的上网鉴权载体。将密钥与SIM结合,可以在厂商不修改现有产品设计、不自建密钥系统的情况下,实现安全密钥的管理。同时,利用密钥的在线服务器,帮助设备进行合法性认证和安全通道建立。
此外,需要说明的是,为了实现帮助设备进行合法性认证的目的,可以在线服务器上预先存储一个或多个合法性判断标准,该合法性判断标准可以为:已确定其准确性和安全性的一个或者多个密钥,具体的,上述一个或者多个密钥与上述设备对应设置,可以由在线服务器进行在线管理和更新。
在一种可选的实施例中,若设备端输入的密钥与在线服务器中存储该设备的密钥一致,则确定该设备的合法性认证通过,否则,则确定该设备的合法性认证失败。
处理器32,耦接至上述SIM卡30,用于存储敏感数据,其中,该敏感数据用于对业务数据进行解密。
可选地,上述处理器32,用于向上述SIM卡发送用于获取上述认证密文的请求;上述SIM卡,用于基于上述第一密钥产生认证密文,并反馈至上述处理器32。
如图3所示,在一个可选实施例中,上述终端还可以包括:通信模块34,用于将上述认证密文经由业务服务器发送至管理服务器;其中,该管理服务器,用于对上述认证密文进行认证,在认证通过后,对上述敏感数据进行加密;以及将与上述第一密钥对应的第二密钥和加密后的敏感数据经由上述业务服务器发送至上述终端,其中,上述终端使用SIM卡中存储的第一密钥对第二密钥进行认证。
可选地,上述SIM卡预先写入的第一密钥是上述管理服务器预先发送至上述SIM卡的。
作为本申请的另一个可选实施例,本申请实施例还提供了另一种终端。图4是根据本申请实施例的另一种终端的结构示意图。如图4所示,该终端包括:
安全模块40,用于存储安全密钥;可选地,该安全模块可以为安全芯片,也可以为内置有密钥的SIM卡等。
处理器42,耦接至上述安全模块42,用于存储敏感数据,其中,该敏感数据用于对业务数据进行解密。
可选地,如图4所示,该终端还可以包括通信模块44,用于接收管理服务器下发的上述安全密钥。
图5为根据本申请实施例的一种安全通道的建立流程示意图。如图5所示,该流程包括以下处理步骤:
步骤S502,业务服务器向终端中的MCU发送更新请求,该更新请求用于请求更新MCU中的敏感数据。
步骤S504,MCU开启敏感数据的更新功能;
步骤S506,MCU向SIM卡发送获取认证密文的请求;
步骤S508,SIM卡向MCU返回认证密文;
步骤S510,MCU向业务服务器上传认证密文,并申请更新敏感数据;
步骤S512,业务服务器生成新的敏感数据,并将新的敏感数据和认证密文发送至管理服务器,其中,上述新的敏感数据和认证密文可以分别通过单独的消息发送,也可以通过一条消息发送,在通过一条消息发送时,可以将上述新的敏感数据和认证密文作为该消息的两个参数发送。其中,在发送新的敏感数据和认证密文时,可以对其进行哈希运算,得到哈希值,以便后续进行认证;
步骤S514,管理服务器对认证密文进行认证,并在认证通过后,对接收的敏感数据进行加密,得到加密数据;
步骤S516,管理服务器将加密数据发送至业务服务器;
步骤S518,业务服务器将上述加密数据发送至MCU;
步骤S520,MCU向SIM卡调用SIM卡中的第一密钥进行解密;
步骤S522,SIM卡向MCU反馈解密后的敏感数据;
步骤S524,MCU更新敏感数据;
步骤S526,MCU关闭更新功能;
步骤S528,终端将敏感数据更新成功消息发送至业务服务器;
步骤S530,业务数据使用敏感数据对业务数据进行加密;
步骤S532,向MCU发送加密后的业务数据;
步骤S534,解密业务数据。
基于上述实施例,密钥与SIM卡结合,在安全标准满足要求的SIM卡产线上,安全预制密钥,并实现了密钥的不可篡改性和密钥在设备端的安全存储。同时,管理服务器在云上安全存储密钥,并为设备提供在线的密钥使用服务。由于SIM卡本来就是大多数设备采用的上网鉴权载体。密钥与SIM结合,可以在厂商不修改现有产品设计、不自建密钥系统的情况下,实现安全密钥的管理。同时,利用存储有密钥的在线服务器,可以帮助设备进行合法性认证和安全通道的建立。
实施例2
本申请实施例一所提供的方法实施例可以在移动终端、计算机终端或者类似的运算装置中执行。图6示出了一种用于实现数据处理方法的计算机终端(或移动设备)的硬件结构框图。如图6所示,计算机终端60可以包括一个或多个(图中采用602a、602b,……,602n来示出)处理器602(处理器602可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置)、用于存储数据的存储器604、以及用于通信功能的传输模块606。除此以外,还可以包括:显示器、输入/输出接口(I/O接口)、通用串行总线(USB)端口(可以作为I/O接口的端口中的一个端口被包括)、网络接口、电源和/或相机。本领域普通技术人员可以理解,图6所示的结构仅为示意,其并不对上述电子装置的结构造成限定。例如,计算机终端60还可包括比图6中所示更多或者更少的组件,或者具有与图6所示不同的配置。
应当注意到的是上述一个或多个处理器602和/或其他数据处理电路在本文中通常可以被称为“数据处理电路”。该数据处理电路可以全部或部分的体现为软件、硬件、固件或其他任意组合。此外,数据处理电路可为单个独立的处理模块,或全部或部分的结合到计算机终端60(或移动设备)中的其他元件中的任意一个内。如本申请实施例中所涉及到的,该数据处理电路作为一种处理器控制(例如与接口连接的可变电阻终端路径的选择)。
存储器604可用于存储应用软件的软件程序以及模块,如本申请实施例中的方法对应的程序指令/数据存储装置,处理器602通过运行存储在存储器604内的软件程序以及模块,从而执行各种功能应用以及数据处理,即实现上述的应用程序的漏洞检测方法。存储器604可包括高速随机存储器,还可包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器604可进一步包括相对于处理器602远程设置的存储器,这些远程存储器可以通过网络连接至计算机终端60。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
传输装置606用于经由一个网络接收或者发送数据。上述的网络具体实例可包括计算机终端60的通信供应商提供的无线网络。在一个实例中,传输装置606包括一个网络适配器(Network Interface Control ler,NIC),其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中,传输装置606可以为射频(Radio Frequency,RF)模块,其用于通过无线方式与互联网进行通讯。
显示器可以例如触摸屏式的液晶显示器(LCD),该液晶显示器可使得用户能够与计算机终端60(或移动设备)的用户界面进行交互。
图7是根据本申请实施例的一种数据处理方法的流程示意图。如图7所示,该计算机终端包括:
步骤S702,终端根据SIM卡中的第一密钥生成认证信息;
在一个可选实施例中,上述第一密钥为上述管理服务器生成并下发至上述终端的随机值。
需要说明的是,上述认证信息可以为:认证密文,认证报文。
上述第一密钥写入SIM卡的时机是可以根据实际情况灵活确定的,例如,为保证第一密钥的存储环境的安全,可以在SIM卡的生产线上写入上述第一密钥。例如在SIM卡安装有与管理服务器通信的应用,该应用接收来自管理服务器下发的第一密钥,并存储。这样,便保证了SIM卡在生产环节的安全性。上述第一密钥也可以在SIM卡卡号烧录时写入(即在运营商环节完成第一密钥的写入);上述第一密钥也可以在终端生产环节写入上述第一密钥,即在SIM卡集成至终端过程中实现第一密钥的写入。
其中,终端获取认证信息可以是主动获取,例如定时获取;也可以被动获取,例如在终端获取认证信息之前,上述终端接收来自上述业务服务器的触发消息,该触发消息用于触发上述终端获取上述认证信息。上述触发消息包括但不限于密钥更新消息。
在一个可选实施例中,终端中的MCU接收上述触发消息,在上述触发消息为密钥更新消息时,开启密钥更新功能,并触发获取上述认证信息。
终端可以通过以下方式获取认证信息:终端中的处理器向上述SIM卡发送用于获取上述认证信息的请求;上述SIM卡依据上述请求向上述处理器反馈上述认证信息。
步骤S704,终端向业务服务器申请获取敏感数据,并经由业务服务器将认证信息发送至管理服务器;
此处需要说明的是,当终端中没有敏感数据时,也即终端向业务服务器申请获取上述敏感数据;但是当终端中已经存在有敏感数据时,终端向业务服务器申请获取敏感数据可以理解为:终端向业务服务器申请更新敏感数据。
步骤S706,终端接收上述管理服务器经由上述业务服务器发送的加密数据,其中,上述加密数据为上述管理服务器使用与上述第一密钥对应的第二密钥对上述业务服务器提供的敏感数据进行加密得到的;
步骤S708,终端根据第一密钥对加密数据进行解密,得到敏感数据。
在一个可选实施例中,上述终端使用SIM卡中存储的上述第一密钥对上述加密数据进行解密,并存储解密得到的上述敏感数据之后,上述终端接收上述业务服务器发送的业务数据,其中,该业务数据为使用上述敏感数据加密后的业务数据;上述终端使用存储的上述敏感数据解密上述业务数据。其中,在终端接收上述业务服务器发送的业务数据之前,可以执行以下实现过程:上述终端向上述业务服务器发送通知消息,该通知消息用于指示上述终端已经完成密钥更新,即业务服务器在接收到上述通知消息后,发送业务数据。当然,在一个可选实施例中,业务服务器也可以根据预设规则确定发送业务数据的时机,例如,业务服务器按照预设周期定期发送业务数据。
需要说明的是,本实施例的优选实施方式可以参见实施例1中的相关描述,此处不再赘述。
实施例3
基于上述系统或终端,根据本申请实施例,还提供了一种身份认证的方法实施例,需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
本申请实施例提供一种数据处理方法,如图8所示,该方法包括:
步骤S802,终端根据SIM卡中的第一密钥生成认证信息。
可选地,上述第一密钥为上述管理服务器生成并下发至上述终端的随机值。
需要说明的是,上述认证信息可以为:认证密文,认证报文。
可选地,SIM卡可以主动生成上述认证信息认证报文,并发送给处理器,也可以采用被动的方式生成,例如,对于后者,可以通过以下方式实现:上述终端中的处理器向上述SIM卡发送用于获取上述认证密文信息的请求;上述SIM卡依据上述请求向上述处理器反馈上述认证信息。
步骤S804,终端经由业务服务器将认证信息发送至管理服务器。
步骤S806,管理服务器根据认证信息对终端进行认证。
通过上述各个处理步骤,可以实现管理服务器对终端的认证,由于其是利用终端中的第一密钥生成的认证密文进行认证,因此,可以保证认证密文传输过程的安全性。
需要说明的是,本实施例的优选实施方式,可以参见实施例1-2中的相关描述,此处不再赘述。
实施例4
本申请实施例还提供另外一种数据处理方法,如图9所示,该方法包括:
步骤S902,管理服务器接收终端经由业务服务器转发的认证信息,其中,上述认证信息为上述终端基于终端中SIM卡存储的第一密钥生成的;
可选地,管理服务器接收终端经由业务服务器转发的认证信息之前,上述管理服务器向上述终端的SIM卡发送上述第一密钥。
其中,为保证第一密钥的存储环境的安全,可以在SIM卡的生产线上写入上述第一密钥。例如,SIM卡生产商在安全产线上,在SIM上安装应用,通过该应用接收第一密钥并存储;上述第一密钥也可以在SIM卡卡号烧录时写入(即在运营商环节完成第一密钥的写入);上述第一密钥也可以在终端生产环节写入上述第一密钥,即在SIM卡集成至终端过程中实现第一密钥的写入。上述第一密钥写入SIM卡的时机是可以根据实际情况灵活确定的,并不限于上述写入时机。
步骤S904,管理服务器对上述认证信息进行认证。可选地,在认证通过时,则确认上述终端合法。
需要说明的是,本实施例的优选实施方式,可以参见实施例1-2中的相关描述,此处不再赘述。
实施例4
本申请实施例提供一种数据处理方法,如图10所示,该方法包括:
步骤S1002,终端接收管理服务器经由业务服务器发送的加密数据,其中,上述加密数据为上述管理服务器使用第二密钥,对上述业务服务器提供的敏感数据进行加密得到的;上述第二密钥为上述终端中的SIM卡中存储的第一密钥对应的密钥。
在一个可选实施例中,上述第一密钥和第二密钥可以是相同的密钥,也可以是对应的密钥。
步骤S1004,终端使用上述第一密钥对上述加密数据进行解密,并存储解密得到的上述敏感数据。
需要说明的是,本实施例的优选实施方式,可以参见实施例1-2中的相关描述,此处不再赘述。
实施例5
本实施例还提供一种SIM卡的生产方法,如图11所示,该方法包括:
步骤S1102,启动用户身份识别模块SIM卡上的应用;
其中,为保证第一密钥的存储环境的安全,可以在SIM卡的生产线上写入上述第一密钥。例如,SIM卡生产商在安全产线上,在SIM上安装应用,通过该应用接收第一密钥并存储;上述第一密钥也可以在SIM卡卡号烧录时写入(即在运营商环节完成第一密钥的写入);上述第一密钥也可以在终端生产环节写入上述第一密钥,即在SIM卡集成至终端过程中实现第一密钥的写入。上述第一密钥写入SIM卡的时机是可以根据实际情况灵活确定的,并不限于上述写入时机。
步骤S1104,通过应用接收管理服务器下发的安全密钥,并存储至SIM卡中。
在一个可选实施例中,上述管理服务器可以为网络侧的一个服务器,也可以是云网络中的一个服务器。具体地,一个或多个管理服务器可以组成云平台,该云平台用于提供上述第一密钥和上述第二密钥,其中,该第一密钥和第二密钥可以是相同的密钥,或者是具有对应关系的密钥。
实施例6
本实施例还提供一种数据处理方法,如图12所示,该方法包括:
步骤S1202,终端根据安全模块中的第一密钥生成认证信息;
在一个可选实施例中,上述安全模块可以为但不限于SIM卡,上述第一密钥为上述管理服务器生成并下发至上述终端的随机值。
步骤S1204,终端向业务服务器申请获取敏感数据,并经由业务服务器将认证信息发送至管理服务器;
步骤S1206,终端接收管理服务器经由业务服务器发送的加密数据,其中,加密数据为管理服务器使用与第一密钥对应的第二密钥对业务服务器提供的敏感数据进行加密得到的;
步骤S1208,终端根据第一密钥对加密数据进行解密,得到敏感数据。
需要说明的是,本实施例的优选实施方式,可以参见实施例1-2中的相关描述,此处不再赘述。
实施例7
本实施例还提供一种身份认证方法,如图13所示,该方法包括:
步骤S1302,终端根据安全模块中的第一密钥生成认证信息;
在一个可选实施例中,上述安全模块可以为但不限于SIM卡。
可选地,上述第一密钥为上述管理服务器生成并下发至上述终端的随机值。
需要说明的是,上述认证信息可以为:认证密文,认证报文。
可选地,SIM卡可以主动生成上述认证信息,并发送给处理器,也可以采用被动的方式生成,例如,对于后者,可以通过以下方式实现:上述终端中的处理器向上述SIM卡发送用于获取上述认证信息的请求;上述SIM卡依据上述请求向上述处理器反馈上述认证信息。
步骤S1304,终端经由业务服务器将认证信息发送至管理服务器;
步骤S1306,管理服务器根据认证信息对终端进行认证。
通过上述各个处理步骤,可以实现管理服务器对终端的认证,由于其是利用终端中的第一密钥生成的认证密文进行认证,因此,可以保证认证密文传输过程的安全性。
需要说明的是,本实施例的优选实施方式,可以参见实施例1-2中的相关描述,此处不再赘述。
实施例8
本实施例还提供一种身份认证方法,如图14所示,该方法包括:
步骤S1402,管理服务器接收终端经由业务服务器转发的认证信息,其中,认证信息为终端基于终端中安全模块存储的第一密钥生成的;
在一个可选实施例中,上述安全模块可以为但不限于SIM卡。
可选地,管理服务器接收终端经由业务服务器转发的认证信息之前,上述管理服务器向上述终端的SIM卡发送上述第一密钥。
其中,为保证第一密钥的存储环境的安全,可以在SIM卡的生产线上写入上述第一密钥。例如,SIM卡生产商在安全产线上,在SIM上安装应用,通过该应用接收第一密钥并存储;上述第一密钥也可以在SIM卡卡号烧录时写入(即在运营商环节完成第一密钥的写入);上述第一密钥也可以在终端生产环节写入上述第一密钥,即在SIM卡集成至终端过程中实现第一密钥的写入。上述第一密钥写入SIM卡的时机是可以根据实际情况灵活确定的,并不限于上述写入时机。
步骤S1404,管理服务器对认证信息进行认证。可选地,其中,在认证通过时,则确认终端合法。
需要说明的是,本实施例的优选实施方式,可以参见实施例1-2中的相关描述,此处不再赘述。
实施例9
本实施例还提供一种数据处理方法,如图15所示,该方法包括:
步骤S1502,终端接收管理服务器经由业务服务器发送的加密数据,其中,加密数据为管理服务器使用第二密钥,对业务服务器提供的敏感数据进行加密得到的;第二密钥为终端中的安全模块中存储的第一密钥对应的密钥;
在一个可选实施例中,上述安全模块可以为但不限于SIM卡。
在一个可选实施例中,上述第一密钥和第二密钥可以是相同的密钥,也可以是对应的密钥。
步骤S1504,终端使用第一密钥对加密数据进行解密,并存储解密得到的敏感数据。
需要说明的是,本实施例的优选实施方式,可以参见实施例1-2中的相关描述,此处不再赘述。
需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本申请并不受所描述的动作顺序的限制,因为依据本申请,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本申请所必须的。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到根据上述实施例的方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)执行本申请各个实施例的方法。
本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令终端设备相关的硬件来完成,该程序可以存储于一计算机可读存储介质中,存储介质可以包括:闪存盘、只读存储器(Read-Only Memory,ROM)、随机存取器(RandomAccess Memory,RAM)、磁盘或光盘等。
实施例10
本申请的实施例还提供了一种存储介质。可选地,在本实施例中,上述存储介质可以用于保存上述实施例2所提供的数据处理方法所执行的程序代码。
可选地,在本实施例中,上述存储介质可以位于计算机网络中计算机终端群中的任意一个计算机终端中,或者位于移动终端群中的任意一个移动终端中。
在本实施例中,存储介质被设置为存储用于执行以下步骤的程序代码:终端获取认证密文,其中,上述认证密文为基于终端中SIM卡存储的第一密钥生成的密文;终端向业务服务器申请更新敏感数据,并经由上述业务服务器将上述认证密文发送至管理服务器;终端接收上述管理服务器经由上述业务服务器发送的加密数据,其中,上述加密数据为上述管理服务器使用与上述第一密钥对应的第二密钥对上述业务服务器提供的敏感数据进行加密得到的;终端使用SIM卡中存储的上述第一密钥对上述加密数据进行解密,并存储解密得到的上述敏感数据。
可选地,在本实施例中,存储介质被设置为存储用于执行以下步骤的程序代码:在终端获取认证密文之前,上述终端接收来自上述业务服务器的触发消息,该触发消息用于触发上述终端获取上述认证密文。
可选地,在本实施例中,存储介质被设置为存储用于执行以下步骤的程序代码:终端中的MCU接收上述触发消息,在上述触发消息为密钥更新消息时,开启密钥更新功能,并触发获取上述认证密文。
实施例11
本申请的实施例还提供了一种处理器。可选地,在本实施例中,上述处理器可以用于执行实现上述实施例2所提供的数据处理方法的程序代码。
可选地,在本实施例中,上述处理器可以位于计算机网络中计算机终端群中的任意一个计算机终端中,或者位于移动终端群中的任意一个移动终端中。
在本实施例中,处理器被设置为执行以下步骤的程序代码:终端获取认证密文,其中,上述认证密文为基于终端中SIM卡存储的第一密钥生成的密文;终端向业务服务器申请更新敏感数据,并经由上述业务服务器将上述认证密文发送至管理服务器;终端接收上述管理服务器经由上述业务服务器发送的加密数据,其中,上述加密数据为上述管理服务器使用与上述第一密钥对应的第二密钥对上述业务服务器提供的敏感数据进行加密得到的;终端使用SIM卡中存储的上述第一密钥对上述加密数据进行解密,并存储解密得到的上述敏感数据。
可选地,在本实施例中,处理器被设置为执行以下步骤的程序代码:在终端获取认证密文之前,上述终端接收来自上述业务服务器的触发消息,该触发消息用于触发上述终端获取上述认证密文。
可选地,在本实施例中,处理器被设置为执行以下步骤的程序代码:终端中的MCU接收上述触发消息,在上述触发消息为密钥更新消息时,开启密钥更新功能,并触发获取上述认证密文。
上述本申请实施例序号仅仅为了描述,不代表实施例的优劣。
在本申请的上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的技术内容,可通过其它的方式实现。其中,以上所描述的装置实施例仅仅是示意性的,例如所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,单元或模块的间接耦合或通信连接,可以是电性或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅是本申请的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本申请的保护范围。
Claims (24)
1.一种数据处理系统,其特征在于,包括:
终端,设置有用户身份识别模块SIM卡,所述SIM卡存储有第一密钥,所述终端用于向业务服务器发送基于所述第一密钥产生的认证密文;
业务服务器,用于提供敏感数据,并将该敏感数据发送至管理服务器;
所述管理服务器,用于对所述认证密文进行认证,在认证通过后,与所述第一密钥对应的第二密钥对所述敏感数据进行加密;将加密后的敏感数据经由所述业务服务器发送至所述终端,其中,所述终端使用所述SIM卡中存储的所述第一密钥对所述加密后的敏感数据进行解密,所述第一密钥和所述第二密钥为相同的密钥;
其中,所述系统还包括:
在线服务器,用于对所述终端中存储的所述第一密钥进行合法性认证,其中,若所述第一密钥与所述在线服务器预先存储的所述终端的密钥一致,则确定所述终端具有合法性。
2.根据权利要求1所述的系统,其特征在于,所述管理服务器,还用于生成随机值,并将所述随机值作为所述第一密钥发送至所述终端。
3.一种终端,其特征在于,包括:
用户身份识别模块SIM卡,用于存储预先写入的第一密钥,该第一密钥用于生成认证密文;
处理器,耦接至所述SIM卡,用于存储敏感数据;
其中,所述终端还包括:
通信模块,用于将所述认证密文经由业务服务器发送至管理服务器,以及接收管理服务器经由业务服务器发送的加密数据,其中,所述加密数据为所述管理服务器使用与所述第一密钥对应的第二密钥对所述敏感数据进行加密得到的,所述第一密钥和所述第二密钥为相同的密钥;
所述处理器,调用所述SIM卡中存储的所述第一密钥对所述加密数据进行解密;
其中,所述终端应用于系统中,所述系统还包括:
在线服务器,用于对所述终端中存储的所述第一密钥进行合法性认证,其中,若所述第一密钥与所述在线服务器预先存储的所述终端的密钥一致,则确定所述终端具有合法性。
4.根据权利要求3所述的终端,其特征在于,所述处理器,用于向所述SIM卡发送用于获取所述认证密文的请求;所述SIM卡,用于基于所述第一密钥产生认证密文,并反馈至所述处理器。
5.根据权利要求4所述的终端,其特征在于,所述SIM卡预先写入的第一密钥是所述管理服务器在SIM卡的生产过程中预先发送至所述SIM卡的。
6.一种数据处理方法,其特征在于,包括:
终端根据SIM卡中的第一密钥生成认证信息;
所述终端向业务服务器申请获取敏感数据,并经由所述业务服务器将所述认证信息发送至管理服务器;
所述终端接收所述管理服务器经由所述业务服务器发送的加密数据,其中,所述加密数据为所述管理服务器使用与所述第一密钥对应的第二密钥对所述业务服务器提供的敏感数据进行加密得到的,所述第一密钥和所述第二密钥为相同的密钥;
所述终端根据所述第一密钥对所述加密数据进行解密,得到所述敏感数据;
其中,所述方法还包括:
通过在线服务器对所述终端中存储的所述第一密钥进行合法性认证,其中,若所述第一密钥与所述在线服务器预先存储的所述终端的密钥一致,则确定所述终端具有合法性。
7.根据权利要求6所述的方法,其特征在于,所述第一密钥为所述管理服务器生成并下发至所述终端的随机值。
8.根据权利要求6所述的方法,其特征在于,终端根据SIM卡中的第一密钥生成认证信息之前,所述方法还包括:
所述终端接收来自所述业务服务器的触发消息,该触发消息用于触发所述终端获取所述认证信息。
9.根据权利要求6所述的方法,其特征在于,终端根据SIM卡中的第一密钥生成认证信息包括:
所述终端中的处理器向所述SIM卡发送用于获取所述认证信息的请求;
所述SIM卡依据所述请求向所述处理器反馈所述认证信息。
10.根据权利要求6所述的方法,其特征在于,所述终端使用SIM卡中存储的所述第一密钥对所述加密数据进行解密,并存储解密得到的所述敏感数据之后,所述方法还包括:
所述终端接收所述业务服务器发送的业务数据,其中,该业务数据为使用所述敏感数据加密后的业务数据;
所述终端使用存储的所述敏感数据解密所述业务数据。
11.根据权利要求10所述的方法,其特征在于,所述终端接收所述业务服务器发送的业务数据之前,所述方法还包括:
所述终端向所述业务服务器发送通知消息,该通知消息用于指示所述终端已经完成密钥更新。
12.一种存储介质,其特征在于,所述存储介质包括存储的程序,其中,在所述程序运行时控制所述存储介质所在设备执行权利要求6至11中任意一项所述的数据处理方法。
13.一种处理器,其特征在于,所述处理器用于运行程序,其中,所述程序运行时执行权利要求6至11中任意一项所述的数据处理方法。
14.一种SIM卡的生产方法,其特征在于,包括:
启动用户身份识别模块SIM卡上的应用;
通过所述应用接收管理服务器下发的安全密钥,并存储至所述SIM卡中;
其中,所述方法还包括:
终端根据SIM卡中的第一密钥生成认证信息;
所述终端向业务服务器申请获取敏感数据,并经由所述业务服务器将所述认证信息发送至所述管理服务器;
所述终端接收所述管理服务器经由所述业务服务器发送的加密数据,其中,所述加密数据为所述管理服务器使用与所述第一密钥对应的第二密钥对所述业务服务器提供的敏感数据进行加密得到的,所述第一密钥和所述第二密钥为相同的密钥;
所述终端根据所述第一密钥对所述加密数据进行解密,得到所述敏感数据;
其中,所述方法还包括:
通过在线服务器对所述终端中存储的所述第一密钥进行合法性认证,其中,若所述第一密钥与所述在线服务器预先存储的所述终端的密钥一致,则确定所述终端具有合法性。
15.一种身份认证方法,其特征在于,包括:
终端根据SIM卡中的第一密钥生成认证信息;
所述终端经由业务服务器将所述认证信息发送至管理服务器;
所述管理服务器根据所述认证信息对所述终端进行认证;
其中,所述方法还包括:
所述终端接收所述管理服务器经由所述业务服务器发送的加密数据,其中,所述加密数据为所述管理服务器使用与所述第一密钥对应的第二密钥对所述业务服务器提供的敏感数据进行加密得到的,所述第一密钥和所述第二密钥为相同的密钥;
所述终端根据所述第一密钥对所述加密数据进行解密,得到所述敏感数据;
其中,所述方法还包括:
通过在线服务器对所述终端中存储的所述第一密钥进行合法性认证,其中,若所述第一密钥与所述在线服务器预先存储的所述终端的密钥一致,则确定所述终端具有合法性。
16.根据权利要求15所述的方法,其特征在于,所述第一密钥为所述管理服务器生成并下发至所述终端的随机值。
17.根据权利要求15所述的方法,其特征在于,终端根据SIM卡中的第一密钥生成认证信息,包括:
所述终端中的处理器向所述SIM卡发送用于获取所述认证信息的请求;
所述SIM卡依据所述请求向所述处理器反馈所述认证信息。
18.一种身份认证方法,其特征在于,包括:
管理服务器接收终端经由业务服务器转发的认证信息,其中,所述认证信息为所述终端基于终端中SIM卡存储的第一密钥生成的;
所述管理服务器对所述认证信息进行认证;
其中,所述方法还包括:
所述终端根据SIM卡中的第一密钥生成认证信息;
所述终端向业务服务器申请获取敏感数据,并经由所述业务服务器将所述认证信息发送至所述管理服务器;
所述终端接收所述管理服务器经由所述业务服务器发送的加密数据,其中,所述加密数据为所述管理服务器使用与所述第一密钥对应的第二密钥对所述业务服务器提供的敏感数据进行加密得到的,所述第一密钥和所述第二密钥为相同的密钥;
所述终端根据所述第一密钥对所述加密数据进行解密,得到所述敏感数据;
其中,所述方法还包括:
通过在线服务器对所述终端中存储的所述第一密钥进行合法性认证,其中,若所述第一密钥与所述在线服务器预先存储的所述终端的密钥一致,则确定所述终端具有合法性。
19.根据权利要求18所述的方法,其特征在于,管理服务器接收终端经由业务服务器转发的认证信息之前,所述方法还包括:
所述管理服务器向所述终端的SIM卡发送所述第一密钥。
20.一种数据处理方法,其特征在于,包括:
终端接收管理服务器经由业务服务器发送的加密数据,其中,所述加密数据为所述管理服务器使用第二密钥,对所述业务服务器提供的敏感数据进行加密得到的;所述第二密钥为所述终端中的用户身份识别模块SIM卡中存储的第一密钥对应的密钥,所述第一密钥和所述第二密钥为相同的密钥;
所述终端使用所述第一密钥对所述加密数据进行解密,并存储解密得到的所述敏感数据;
其中,所述方法还包括:
通过在线服务器对所述终端中存储的所述第一密钥进行合法性认证,其中,若所述第一密钥与所述在线服务器预先存储的所述终端的密钥一致,则确定所述终端具有合法性。
21.一种数据处理方法,其特征在于,包括:
终端根据安全模块中的第一密钥生成认证信息;
所述终端向业务服务器申请获取敏感数据,并经由所述业务服务器将所述认证信息发送至管理服务器;
所述终端接收所述管理服务器经由所述业务服务器发送的加密数据,其中,所述加密数据为所述管理服务器使用与所述第一密钥对应的第二密钥对所述业务服务器提供的敏感数据进行加密得到的,所述第一密钥和所述第二密钥为相同的密钥;
所述终端根据所述第一密钥对所述加密数据进行解密,得到所述敏感数据;
其中,所述方法还包括:
通过在线服务器对所述终端中存储的所述第一密钥进行合法性认证,其中,若所述第一密钥与所述在线服务器预先存储的所述终端的密钥一致,则确定所述终端具有合法性。
22.一种身份认证方法,其特征在于,包括:
终端根据安全模块中的第一密钥生成认证信息;
所述终端经由业务服务器将所述认证信息发送至管理服务器;
所述管理服务器根据所述认证信息对所述终端进行认证;
其中,所述方法还包括:
终端根据SIM卡中的第一密钥生成认证信息;
所述终端向业务服务器申请获取敏感数据,并经由所述业务服务器将所述认证信息发送至所述管理服务器;
所述终端接收所述管理服务器经由所述业务服务器发送的加密数据,其中,所述加密数据为所述管理服务器使用与所述第一密钥对应的第二密钥对所述业务服务器提供的敏感数据进行加密得到的,所述第一密钥和所述第二密钥为相同的密钥;
所述终端根据所述第一密钥对所述加密数据进行解密,得到所述敏感数据;
其中,所述方法还包括:
通过在线服务器对所述终端中存储的所述第一密钥进行合法性认证,其中,若所述第一密钥与所述在线服务器预先存储的所述终端的密钥一致,则确定所述终端具有合法性。
23.一种身份认证方法,其特征在于,包括:
管理服务器接收终端经由业务服务器转发的认证信息,其中,所述认证信息为所述终端基于终端中安全模块存储的第一密钥生成的;
所述管理服务器对所述认证信息进行认证;
其中,所述方法还包括:
终端根据SIM卡中的第一密钥生成认证信息;
所述终端向业务服务器申请获取敏感数据,并经由所述业务服务器将所述认证信息发送至所述管理服务器;
所述终端接收所述管理服务器经由所述业务服务器发送的加密数据,其中,所述加密数据为所述管理服务器使用与所述第一密钥对应的第二密钥对所述业务服务器提供的敏感数据进行加密得到的,所述第一密钥和所述第二密钥为相同的密钥;
所述终端根据所述第一密钥对所述加密数据进行解密,得到所述敏感数据;
其中,所述方法还包括:
通过在线服务器对所述终端中存储的所述第一密钥进行合法性认证,其中,若所述第一密钥与所述在线服务器预先存储的所述终端的密钥一致,则确定所述终端具有合法性。
24.一种数据处理方法,其特征在于,包括:
终端接收管理服务器经由业务服务器发送的加密数据,其中,所述加密数据为所述管理服务器使用第二密钥,对所述业务服务器提供的敏感数据进行加密得到的;所述第二密钥为所述终端中的安全模块中存储的第一密钥对应的密钥,所述第一密钥和所述第二密钥为相同的密钥;
所述终端使用所述第一密钥对所述加密数据进行解密,并存储解密得到的所述敏感数据;
其中,所述方法还包括:
通过在线服务器对所述终端中存储的所述第一密钥进行合法性认证,其中,若所述第一密钥与所述在线服务器预先存储的所述终端的密钥一致,则确定所述终端具有合法性。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710852631.XA CN109525989B (zh) | 2017-09-19 | 2017-09-19 | 数据处理、身份认证方法及系统、终端 |
| PCT/CN2018/104763 WO2019056957A1 (zh) | 2017-09-19 | 2018-09-10 | 数据处理、身份认证方法及系统、终端 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710852631.XA CN109525989B (zh) | 2017-09-19 | 2017-09-19 | 数据处理、身份认证方法及系统、终端 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109525989A CN109525989A (zh) | 2019-03-26 |
| CN109525989B true CN109525989B (zh) | 2022-09-02 |
Family
ID=65769614
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710852631.XA Active CN109525989B (zh) | 2017-09-19 | 2017-09-19 | 数据处理、身份认证方法及系统、终端 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN109525989B (zh) |
| WO (1) | WO2019056957A1 (zh) |
Families Citing this family (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112329049B (zh) * | 2020-01-23 | 2024-11-29 | 北京沃东天骏信息技术有限公司 | 业务数据管理方法、装置、电子设备和介质 |
| CN113468543A (zh) * | 2020-03-30 | 2021-10-01 | 阿里巴巴集团控股有限公司 | 数据处理方法、装置、系统、存储介质和处理器 |
| CN113852957B (zh) * | 2020-06-09 | 2024-11-08 | 中国移动通信有限公司研究院 | 安全服务器、sp服务器、终端、安全授权方法及系统 |
| CN111859420A (zh) * | 2020-07-01 | 2020-10-30 | 深圳市中网信安技术有限公司 | 一种数据加密方法及设备、解密方法及设备和可存储介质 |
| CN114143018B (zh) * | 2020-09-04 | 2023-09-22 | 苏州科知律信息科技有限公司 | 一种智慧经营平台信息加密方法及系统 |
| CN114363894B (zh) * | 2020-09-27 | 2024-06-04 | 花瓣云科技有限公司 | 数据传输方法和装置 |
| CN112672333B (zh) * | 2020-12-15 | 2023-08-25 | 三维通信股份有限公司 | 设备连接方法及装置 |
| CN112702731B (zh) * | 2020-12-18 | 2023-03-10 | 深圳市广和通无线股份有限公司 | Sim卡信息的传输方法、装置、计算机设备和存储介质 |
| CN112528311B (zh) * | 2020-12-23 | 2024-02-20 | 杭州海康汽车软件有限公司 | 数据管理方法、装置及终端 |
| CN112668032B (zh) * | 2021-03-16 | 2021-06-04 | 四川微巨芯科技有限公司 | 加解密计算机的方法及系统、计算机、服务器和移动设备 |
| CN115021895B (zh) * | 2021-11-19 | 2023-04-14 | 荣耀终端有限公司 | 数据保护方法、系统及电子设备 |
| CN114679259A (zh) * | 2021-12-15 | 2022-06-28 | 中国电力科学研究院有限公司 | 一种电力物联网设备的密钥分发方法和系统 |
| CN114500093B (zh) * | 2022-02-24 | 2024-06-11 | 中国工商银行股份有限公司 | 报文信息的安全交互方法及系统 |
| CN115276963B (zh) * | 2022-06-13 | 2024-06-14 | 云南电网有限责任公司 | 一种基于智能密钥的电网安全管理方法、系统及介质 |
| CN115442090A (zh) * | 2022-08-22 | 2022-12-06 | 中国银联股份有限公司 | 一种应用于脚本的敏感信息获取方法及装置 |
| CN116155497B (zh) * | 2023-01-06 | 2023-09-29 | 南京通力峰达软件科技有限公司 | 一种车联网用户应用程序中的敏感数据加密和保存方法 |
| CN117375814B (zh) * | 2023-10-11 | 2024-11-22 | 中移互联网有限公司 | 数据的存储方法、装置、系统、设备及存储介质 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105245526A (zh) * | 2015-10-19 | 2016-01-13 | 中国联合网络通信集团有限公司 | 调用sim卡应用的方法与装置 |
Family Cites Families (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7644272B2 (en) * | 2004-10-22 | 2010-01-05 | Broadcom Corporation | Systems and methods for providing security to different functions |
| CN100531365C (zh) * | 2007-07-09 | 2009-08-19 | 中国联合网络通信集团有限公司 | Iptv认证鉴权方法、服务器及系统 |
| CN101170765B (zh) * | 2007-11-23 | 2012-08-08 | 东信和平智能卡股份有限公司 | 电信智能卡生产及鉴权方法 |
| CN101583124B (zh) * | 2009-06-10 | 2011-06-15 | 大唐微电子技术有限公司 | 一种用户识别模块与终端进行认证的方法和系统 |
| CN102378174A (zh) * | 2010-08-25 | 2012-03-14 | 大唐移动通信设备有限公司 | 一种sim卡的用户终端的接入方法、装置及系统 |
| US9350550B2 (en) * | 2013-09-10 | 2016-05-24 | M2M And Iot Technologies, Llc | Power management and security for wireless modules in “machine-to-machine” communications |
| CN103747443B (zh) * | 2013-11-29 | 2017-03-15 | 厦门盛华电子科技有限公司 | 一种基于手机用户识别卡多安全域装置及其鉴权方法 |
| CN104683979B (zh) * | 2013-12-02 | 2018-11-23 | 中国移动通信集团公司 | 一种认证方法及设备 |
| CN103763631B (zh) * | 2014-01-07 | 2018-06-01 | 青岛海信电器股份有限公司 | 认证方法、服务器和电视机 |
| CN104506481A (zh) * | 2014-08-05 | 2015-04-08 | 深圳市财富之舟科技有限公司 | 一种移动通信网络认证方法 |
| CN105704092A (zh) * | 2014-11-25 | 2016-06-22 | 卓望数码技术(深圳)有限公司 | 用户身份认证方法、装置和系统 |
| CN106603234A (zh) * | 2015-10-14 | 2017-04-26 | 阿里巴巴集团控股有限公司 | 一种设备身份认证的方法、装置和系统 |
| CN106992956B (zh) * | 2016-01-21 | 2021-02-02 | 斑马智行网络(香港)有限公司 | 一种实现设备间认证的方法、装置和系统 |
| CN110176987B (zh) * | 2016-02-02 | 2022-08-09 | 斑马智行网络(香港)有限公司 | 一种设备认证的方法、装置、设备和计算机存储介质 |
-
2017
- 2017-09-19 CN CN201710852631.XA patent/CN109525989B/zh active Active
-
2018
- 2018-09-10 WO PCT/CN2018/104763 patent/WO2019056957A1/zh active Application Filing
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105245526A (zh) * | 2015-10-19 | 2016-01-13 | 中国联合网络通信集团有限公司 | 调用sim卡应用的方法与装置 |
Non-Patent Citations (2)
| Title |
|---|
| Design of a key exchange protocol between SIM card and service provider;K. Ok, V. Coskun, C. Cevikbas and B. Ozdenizci;《2015 23rd Telecommunications Forum Telfor (TELFOR)》;20160111;全文 * |
| 移动交易业务中的密钥管理改进;程达等;《北京电子科技学院学报》;20051230(第04期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2019056957A1 (zh) | 2019-03-28 |
| CN109525989A (zh) | 2019-03-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109525989B (zh) | 数据处理、身份认证方法及系统、终端 | |
| US10298398B2 (en) | Peer discovery, connection, and data transfer | |
| CN111079103B (zh) | 一种身份认证方法和设备 | |
| US10503918B2 (en) | Process to access a data storage device of a cloud computer system | |
| US12041452B2 (en) | Non-3GPP device access to core network | |
| US9445269B2 (en) | Terminal identity verification and service authentication method, system and terminal | |
| CN102739642A (zh) | 许可访问网络 | |
| US10050944B2 (en) | Process to access a data storage device of a cloud computer system with the help of a modified Domain Name System (DNS) | |
| JP7564919B2 (ja) | コアネットワークへの非3gppデバイスアクセス | |
| CA3178204A1 (en) | Secure messaging between cryptographic hardware modules | |
| US10256976B2 (en) | Method and apparatus for information interaction | |
| CN103581153A (zh) | 物联网系统中的加密方法和装置 | |
| US11206129B2 (en) | First entity, a second entity, an intermediate node, methods for setting up a secure session between a first and second entity, and computer program products | |
| CN111405016B (zh) | 用户信息获取方法及相关设备 | |
| CN110166460B (zh) | 业务帐号的注册方法和装置、存储介质、电子装置 | |
| EP2658297A1 (en) | Method and system for accessing a service | |
| US10491590B2 (en) | System and method for verifying and redirecting mobile applications | |
| CN109600631B (zh) | 视频文件的加密及公布方法与装置 | |
| CN108924136B (zh) | 授权认证方法、装置及存储介质 | |
| JP2017103710A (ja) | 端末装置認証用のプログラム、端末装置認証方法、サーバ装置、および、認証システム | |
| US12267683B2 (en) | Non-3GPP device access to core network | |
| CN116546523A (zh) | 一种网络配置方法、系统以及存储介质 | |
| CN118473654A (zh) | 基于可信执行环境的可信根实现方法及通信系统 | |
| CN115080986A (zh) | 数据加密方法、装置、数据解密方法、装置及介质 | |
| WO2018007411A1 (en) | Method, device and system for storing securely data |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |