[发明专利]私钥生成方法、设备以及系统

说明书

本申请实施例提供了一种私钥生成方法、设备以及系统。所述方法包括：终端设备接收第一网络设备发送的第一响应消息，其中，所述第一响应消息至少包括第一子私钥，所述第一子私钥是根据第二网络设备发送的第一参数集合生成的；所述终端设备接收所述第二网络设备发送的第二响应消息，其中，所述第二响应消息至少包括第二子私钥，所述第二子私钥是根据所述第一网络设备发送的第二参数集合生成的；所述终端设备至少根据所述第一子私钥以及所述第二子私钥合成联合私钥。上述方法能够生成同时为电信运营商以及垂直行业客户同时信任的，但却不为电信运营商以及垂直行业客户中的任一个掌握的密钥。

技术领域

本申请涉及通信领域，尤其涉及一种私钥生成方法、设备以及系统。

背景技术

目前，语音和短信业务日益萎缩，给电信运营商创造的效益越来越低，电信运营商纷纷将目光瞄向垂直行业市场，电信运营商与垂直行业客户的合作越来越多。电信运营商和终端设备的双边的关系被电信运营商、垂直行业客户和终端设备的三边关系所代替。原来的对称密钥认证体系已经不能满足新的三边关系的要求。原因在于，在原来的对称密钥认证体系中，电信运营商和终端设备都要预存相同的认证密钥，并通过该认证密钥进行认证。这样，对称密钥会被电信运营商所掌握，对垂直行业客户的数字资产的安全构成威胁。在新的三边关系中，电信运营商不希望认证密钥被垂直行业客户所掌握，垂直行业客户也不希望认证密钥被电信运营商所掌握，但是，认证密钥又必须能够同时被电信运营商以及垂直行业所信任。

发明内容

本申请提供了一种私钥生成方法、设备以及系统，能够生成同时为电信运营商以及垂直行业客户同时信任的，但却不为电信运营商以及垂直行业客户中的任一个掌握的密钥。

在第一方面，提供了一种私钥生成方法，应用于终端设备侧，包括：终端设备接收第一网络设备发送的第一响应消息，其中，所述第一响应消息至少包括第一子私钥，所述第一子私钥是根据第二网络设备发送的第一参数集合生成的；所述终端设备接收所述第二网络设备发送的第二响应消息，其中，所述第二响应消息至少包括第二子私钥，所述第二子私钥是根据所述第一网络设备发送的第二参数集合生成的；所述终端设备至少根据所述第一子私钥以及所述第二子私钥合成联合私钥。

在第二方面，提供了一种私钥生成方法，应用于第一网络设备侧，包括：第一网络设备接收终端设备发送的第一请求，其中，所述第一请求包括所述终端设备的标识以及第二网络设备的标识；所述第一网络设备基于所述第二网络设备的标识接收所述第二网络设备发送的第二全局公钥以及第二公共验证令牌，其中，所述第二全局公钥是所述第二网络设备生成的，所述第二公共验证令牌是所述第二网络设备生成的；所述第一网络设备根据第一参数集合生成第一子私钥，其中，所述第一参数集合包括所述终端设备的标识、所述第二全局公钥以及所述第二公共验证令牌；所述第一网络设备向所述终端设备发送第一响应消息，其中，所述第一响应消息至少包括第一子私钥。

在第三方面，提供了一种私钥生成方法，应用于第二网络设备侧，包括：第二网络设备接收所述终端设备的标识、第一全局公钥以及第一公共验证令牌，其中，所述第一全局公钥是所述第一网络设备生成的，所述第一公共验证令牌是所述第一网络设备生成的；所述第二网络设备根据第二参数集合生成第二子私钥，其中，所述第二参数集合包括所述终端设备的标识、所述第二全局公钥以及所述第二公共验证令牌；所述第二网络设备向所述终端设备发送第二响应消息，其中，所述第二响应消息至少包括第二子私钥。