[发明专利]密钥管理方法和系统、密钥生成及认证方法和装置

权利要求书

1.一种密钥管理方法，其特征在于，包括：

将种子密钥和各级别的下级密钥的密钥计算规则存储到第一级应用服务 器中；其中，所述密钥计算规则包括：密钥的计算方法和计算参数；

在下级应用服务器中存储对应级别的下级密钥，以及存储低于该对应级别 的各级别的下级密钥的密钥计算规则；其中，每一级下级密钥由其上一级密钥 和本级的密钥计算规则生成。

2.一种密钥管理系统，包括至少两级应用服务器，其特征在于，第一级 应用服务器，用于存储种子密钥和各级别的下级密钥的密钥计算规则；其中， 所述密钥计算规则包括：密钥的计算方法和计算参数；

下级应用服务器，用于存储对应级别的下级密钥，以及存储低于该对应级 别的各级别的下级密钥的密钥计算规则；其中，每一级下级密钥由其上一级密 钥和本级的密钥计算规则生成。

3.一种用户卡验证密钥生成方法，其特征在于，包括：

应用服务器根据用户卡的用户信息选择本地存储的所述应用服务器级别 以下的各级别的下级密钥的密钥计算规则；其中，所述密钥计算规则包括：密 钥的计算方法和计算参数；

获取本地存储的与所述应用服务器级别对应的密钥；

根据获取的与所述应用服务器级别对应的密钥，使用所述各级别的下级密 钥的密钥计算规则，分别计算出各下级密钥；其中，每一级下级密钥由其上一 级密钥和本级的密钥计算规则生成；

将计算得到的最后一级密钥作为所述用户卡的验证密钥。

4.如权利要求3所述的方法，其特征在于，所述选择本地存储的所述应 用服务器级别以下的各级别的下级密钥的密钥计算规则，包括：

分别从本地存储的各级别的下级密钥的多种计算方法中选取一种；

根据所述用户信息确定出所述用户卡的各级归属地信息和用户卡标识信 息，作为计算相应级别的下级密钥的计算参数。

5.如权利要求4所述的方法，其特征在于，从本地存储的各级别的下级 密钥的多种计算方法中选取一种，具体为：

从本地存储的各级别的下级密钥的多种计算方法中任选一种，或者根据所 述用户信息中携带的算法标识选择对应的计算方法。

6.如权利要求4或5所述的方法，其特征在于，所述用户卡发送的用户 信息中还携带密钥索引；

所述获取本地存储的与所述应用服务器级别对应的密钥，具体包括：选取 本地存储的多个密钥中与所述密钥索引对应的密钥。

7.一种用户卡验证密钥生成装置，其特征在于，包括：存储模块、选择 模块、计算模块和确定模块；

所述存储模块，用于存储对应级别的密钥和各级别的下级密钥的密钥计算 规则；其中，所述密钥计算规则包括：密钥的计算方法和计算参数；

所述选择模块，用于根据所述用户卡的用户信息选择所述存储模块存储的 各级别的下级密钥的密钥计算规则；

所述计算模块，获取所述存储模块存储的对应级别的密钥，根据获取的密 钥，使用所述选择模块选择的各级别的下级密钥的密钥计算规则，分别计算出 各下级密钥；其中，每一级下级密钥由其上一级密钥和本级的密钥计算规则生 成；

所述确定模块，用于确定所述计算模块计算得到的最后一级密钥为所述用 户卡的验证密钥。

8.如权利要求7所述的装置，其特征在于，所述选择模块，包括：方法 选择子模块和参数选择子模块；

所述方法选择子模块，用于从所述存储模块存储的各级别的下级密钥的多 种计算方法中分别选取一种；

所述参数选择子模块，用于根据所述用户信息确定出所述用户卡的各级归 属地信息和用户卡标识信息，作为计算各级别的下级密钥的对应计算参数。

9.如权利要求8所述的装置，其特征在于，所述方法选择子模块，还用 于选取与用户信息中携带的算法标识对应的计算方法。

10.如权利要求8或9所述的装置，其特征在于，所述选择模块，还包括：

密钥选择子模块，用于选取所述存储模块存储的多个密钥中与所述用户信 息中携带的密钥索引对应的密钥。