密钥找回方法、服务器及用户身份识别卡与流程

1.本技术涉及通信技术领域，具体涉及一种密钥找回方法、服务器及用户身份识别卡。


背景技术：

2.元宇宙(metaverse)是利用科技手段进行链接与创造的，与现实世界映射与交互的虚拟世界，具备新型社会体系的数字生活空间。元宇宙中的用户信息和资产都以数字形式存在，用户身份的标识依赖于用户的私钥，如果一旦私钥丢失，则可能导致用户个人宇宙的坍塌。
3.相关技术中，用户在丢失私钥之后，可以通过运营商取回私钥，
4.但是，由于运营商对私钥有着较为绝对的掌控权，容易导致不法分子通过运营商恶意获取用户私钥的情况，从而对用户在元宇宙中的资产造成较大风险，无法有效保障用户的利益。


技术实现要素：

5.为此，本技术提供一种密钥找回方法、服务器及用户身份识别卡，以解决不法分子通过运营商恶意获取用户私钥，导致用户信息和资产遭受损失的问题。
6.为了实现上述目的，本技术第一方面提供一种密钥找回方法，应用于运营商业务服务器，该方法包括：
7.响应终端发送的密钥找回请求，向第一用户身份识别卡发送密钥取回指令，所述密钥找回请求是所述终端在丢失所述第一用户身份识别卡的情况下发送的请求，所述第一用户身份识别卡内置有用于登录预设客户端的第一密钥和第一密钥参数，所述密钥取回指令用于指示所述第一用户身份识别卡生成身份验证请求；
8.在接收到所述第一用户身份识别卡返回的所述身份验证请求的情况下，向所述终端发送信息获取请求；
9.接收所述终端返回的所述第一密钥参数和预设的目的地址；
10.根据所述第一密钥参数和所述目的地址，与所述第一用户身份识别卡进行身份验证；
11.在通过身份验证的情况下，向运营商安全服务器发送验证通过消息，以供所述运营商安全服务器接收所述终端发送的第二密钥和所述第一密钥参数，根据所述第一密钥参数对所述第二密钥进行解密，获得所述第一密钥，依据所述第一密钥和所述终端发送的第二密钥参数配置第二用户身份识别卡，使所述终端通过所述第二用户身份识别卡登录所述预设客户端，所述第二密钥为所述第一用户身份识别卡使用所述第一密钥参数对所述第一密钥进行加密生成的、并发送至所述目的地址的密钥。
12.进一步地，所述根据所述第一密钥参数和所述目的地址，与所述第一用户身份识别卡进行身份验证，包括：
13.使用所述第一密钥参数对所述目的地址进行加密，获得第一加密结果；
14.将所述第一加密结果发送至所述第一用户身份识别卡，以供所述第一用户身份识别卡根据所述第一加密结果和第二加密结果获得身份验证结果，所述第二加密结果为所述第一用户身份识别卡根据第一密钥参数对所述目的地址进行加密获得的结果；
15.接收所述第一用户身份识别卡返回的所述身份验证结果；
16.根据所述身份验证结果确定是否通过身份验证。
17.进一步地，所述目的地址为所述第一用户身份识别卡中内置的指定地址，或者，所述目的地址为所述终端提供的临时地址；
18.在所述目的地址为所述终端提供的临时地址的情况下，所述接收所述终端返回的所述第一密钥参数和预设的目的地址之后，还包括：
19.将所述目的地址发送至所述第一用户身份识别卡。
20.为了实现上述目的，本技术第二方面提供一种密钥找回方法，应用于运营商安全服务器，该方法包括：
21.响应于运营商业务服务器发送的验证通过消息，获取终端提供的第二密钥和第一密钥参数；
22.其中，所述验证通过消息为所述运营商业务服务器通过第一用户身份识别卡的身份验证的情况下发送的消息，所述第一用户身份识别卡内置有用于登录预设客户端的第一密钥和所述第一密钥参数，所述第二密钥为所述第一用户身份识别卡使用所述第一密钥参数对所述第一密钥进行加密生成的、并发送至目的地址的密钥；
23.根据所述第一密钥参数对所述第二密钥进行解密，获得所述第一密钥；
24.在获取到所述终端提供的第二密钥参数的情况下，依据所述第一密钥和所述第二密钥参数配置第二用户身份识别卡，以供所述终端通过所述第二用户身份识别卡登录所述预设客户端。
25.为了实现上述目的，本技术第三方面提供一种密钥找回方法，应用于第一用户身份识别卡，该方法包括：
26.接收运营商业务服务器发送的密钥取回指令，所述密钥取回指令为所述运营商业务服务器响应于终端的密钥找回请求发送的指令；
27.向所述运营商业务服务器发送身份验证请求；
28.使用预设的目的地址和所述第一用户身份识别卡中内置的第一密钥参数对所述运营商业务服务器进行身份验证；
29.在所述运营商业务服务器通过身份验证的情况下，使用所述第一密钥参数对所述第一密钥进行加密，获得第二密钥；
30.将所述第二密钥发送到所述目的地址，以供所述终端从所述目的地址获取所述第二密钥，并将所述第二密钥和所述第一密钥参数提供给运营商安全服务器，使所述运营商安全服务器根据所述第一密钥参数对所述第二密钥进行解密，获得所述第一密钥，并依据所述第一密钥和所述终端提供的第二密钥参数配置第二用户身份识别卡，以供所述终端通过所述第二用户身份识别卡登录所述预设客户端。
31.进一步地，所述目的地址为所述第一用户身份识别卡中内置的指定地址，或者，所述目的地址为由所述终端提供的、并由所述运营商业务服务器转发的临时地址。
32.进一步地，所述使用预设的目的地址和所述第一用户身份识别卡中内置的第一密钥参数对所述运营商业务服务器进行身份验证，包括：
33.接收所述运营商业务服务器发送的第一加密结果，所述第一加密结果为所述运营商业务服务器使用所述终端提供的第一密钥参数对所述终端提供的目的地址进行加密获得的结果；
34.根据所述第一密钥参数对所述目的地址进行加密，获得第二加密结果；
35.根据所述第一加密结果和所述第二加密结果，获得身份验证结果；
36.将所述身份验证结果发送至所述运营商业务服务器。
37.为了实现上述目的，本技术第四方面提供一种运营商业务服务器，该运营商业务服务器包括：
38.第一发送模块，用于响应终端发送的密钥找回请求，向第一用户身份识别卡发送密钥取回指令，所述密钥找回请求是所述终端在丢失所述第一用户身份识别卡的情况下发送的请求，所述第一用户身份识别卡内置有用于登录预设客户端的第一密钥和第一密钥参数，所述密钥取回指令用于指示所述第一用户身份识别卡生成身份验证请求；
39.第二发送模块，用于在接收到所述第一用户身份识别卡返回的所述身份验证请求的情况下，向所述终端发送信息获取请求；
40.第一接收模块，用于接收所述终端返回的所述第一密钥参数和预设的目的地址；
41.第一验证模块，用于根据所述第一密钥参数和所述目的地址，与所述第一用户身份识别卡进行身份验证；
42.第三发送模块，用于在通过身份验证的情况下，向运营商安全服务器发送验证通过消息，以供所述运营商安全服务器接收所述终端发送的第二密钥和所述第一密钥参数，根据所述第一密钥参数对所述第二密钥进行解密，获得所述第一密钥，依据所述第一密钥和所述终端发送的第二密钥参数配置第二用户身份识别卡，使所述终端通过所述第二用户身份识别卡登录所述预设客户端，所述第二密钥为所述第一用户身份识别卡使用所述第一密钥参数对所述第一密钥进行加密生成的、并发送至所述目的地址的密钥。
43.为了实现上述目的，本技术第五方面提供一种运营商安全服务器，该运营商安全服务器包括：
44.获取模块，用于响应于运营商业务服务器发送的验证通过消息，获取终端提供的第二密钥和第一密钥参数；
45.其中，所述验证通过消息为所述运营商业务服务器通过第一用户身份识别卡的身份验证的情况下发送的消息，所述第一用户身份识别卡内置有用于登录预设客户端的第一密钥和所述第一密钥参数，所述第二密钥为所述第一用户身份识别卡使用所述第一密钥参数对所述第一密钥进行加密生成的、并发送至目的地址的密钥；
46.解密模块，用于根据所述第一密钥参数对所述第二密钥进行解密，获得所述第一密钥；
47.配置模块，用于在接收所述终端发送的第二密钥参数的情况下，依据所述第一密钥和所述第二密钥参数配置第二用户身份识别卡，以供所述终端通过所述第二用户身份识别卡登录所述预设客户端。
48.为了实现上述目的，本技术第六方面提供一种用户身份识别卡，该用户身份识别
卡包括：
49.第二接收模块，用于接收运营商业务服务器发送的密钥取回指令，所述密钥取回指令为所述运营商业务服务器响应于终端的密钥找回请求发送的指令；
50.第四发送模块，用于向所述运营商业务服务器发送身份验证请求；
51.第二验证模块，用于使用预设的目的地址和所述第一用户身份识别卡中内置的第一密钥参数对所述运营商业务服务器进行身份验证；
52.加密模块，用于在所述运营商业务服务器通过身份验证的情况下，使用所述第一密钥参数对所述第一密钥进行加密，获得第二密钥；
53.第五发送模块，用于将所述第二密钥发送到所述目的地址，以供所述终端从所述目的地址获取所述第二密钥，并将所述第二密钥和所述第一密钥参数提供给运营商安全服务器，使所述运营商安全服务器根据所述第一密钥参数对所述第二密钥进行解密，获得所述第一密钥，并依据所述第一密钥和所述终端提供的第二密钥参数配置第二用户身份识别卡，以供所述终端通过所述第二用户身份识别卡登录所述预设客户端。
54.本技术具有如下优点：
55.本技术提供的密钥找回方法、服务器及用户身份识别卡，运营商业务服务器响应终端发送的密钥找回请求，向第一用户身份识别卡发送密钥取回指令，并根据第一密钥参数和预设的目的地址与第一用户身份识别卡进行身份验证，在通过身份验证的情况下，向运营商安全服务器发送验证通过消息；运营商安全服务器获取终端提供的第二密钥和第一密钥参数，根据第一密钥参数对第二密钥进行解密，获得第一密钥，并依据第一密钥和第二密钥参数配置第二用户身份识别卡；终端通过第二用户身份识别卡登录预设客户端。该方法将运营商侧的服务器划分为运营商业务服务器和运营商安全服务器，由运营商业务服务器执行身份验证等业务，由运营商安全服务器执行密钥解密等操作，通过业务划分以及服务器划分，保障用户密钥找回过程的安全性，从而有效降低不法分子通过运营商恶意获取用户私钥，导致用户信息和资产遭受损失等情况的发生。
附图说明
56.附图是用来提供对本技术的进一步理解，并且构成说明书的一部分，与下面的具体实施方式一起用于解释本技术，但并不构成对本技术的限制。
57.图1是本技术实施例提供的一种密钥找回方法的流程图；
58.图2是本技术实施例提供的一种密钥找回方法的流程图；
59.图3是本技术实施例提供的一种密钥找回方法的流程图；
60.图4是本技术实施例提供的一种运营商业务服务器的框图；
61.图5是本技术实施例提供的一种运营商安全服务器的框图；
62.图6是本技术实施例提供的一种用户身份识别卡的框图；
63.图7是本技术实施例提供的一种密钥找回系统的示意图；
64.图8是本技术实施例提供的一种密钥找回方法的工作过程示意图；
65.图9是本技术实施例提供的一种电子设备的框图。
具体实施方式
66.以下结合附图对本技术的具体实施方式进行详细说明。应当理解的是，此处所描述的具体实施方式仅用于说明和解释本技术，并不用于限制本技术。
67.如本技术所使用的，术语“和/或”包括一个或多个相关列举条目的任何和全部组合。
68.本技术所使用的术语仅用于描述特定实施例，且不意欲限制本技术。如本技术所使用的，单数形式“一个”和“该”也意欲包括复数形式，除非上下文另外清楚指出。
69.当本技术中使用术语“包括”和/或“由
……
制成”时，指定存在所述特征、整体、步骤、操作、元件和/或组件，但不排除存在或添加一个或多个其它特征、整体、步骤、操作、元件、组件和/或其群组。
70.除非另外限定，否则本技术所用的全部术语(包括技术和科学术语)的含义与本领域普通技术人员通常理解的含义相同。还将理解，诸如那些在常用字典中限定的那些术语应当被解释为具有与其在相关技术以及本技术的背景下的含义一致的含义，且将不解释为具有理想化或过度形式上的含义，除非本技术明确如此限定。
71.元宇宙是利用科技手段进行链接与创造的，与现实世界映射与交互的虚拟世界，具备新型社会体系的数字生活空间。元宇宙中的用户信息和资产都以数字形式存在，用户身份的标识依赖于用户的私钥(即密钥)，用户通过其用户身份识别卡即可登录其元宇宙客户端，查看相关信息或者进行交易。
72.如果一旦密钥丢失，则可能导致用户个人宇宙的坍塌。相关技术中，用户在丢失密钥之后，可以通过运营商取回密钥，但是，由于运营商对密钥有着较为绝对的掌控权，容易导致不法分子通过运营商恶意获取用户私钥的情况，从而对用户在元宇宙中的资产造成较大风险，无法有效保障用户的利益。
73.基于此，在本技术实施例中，在找回用户密钥时，先由运营商业务服务器与第一用户身份识别卡进行身份验证，当通过身份验证之后，由安全等级较高的运营商安全服务器完成密钥找回以及配置新卡的操作。由于运营商安全服务器的运行过程以及运行结果不向外(包括运营商业务服务器)展示，因此，可以有效保障密钥等信息的安全性。
74.第一方面，本技术实施例提供一种密钥找回方法。
75.图1是本技术实施例提供的一种密钥找回方法的流程图，该密钥找回方法可应用于运营商业务服务器。如图1所示，该密钥找回方法包括如下步骤：
76.步骤s101，响应终端发送的密钥找回请求，向第一用户身份识别卡发送密钥取回指令。
77.其中，密钥找回请求是终端在丢失第一用户身份识别卡的情况下发送的请求，第一用户身份识别卡内置有用于登录预设客户端的第一密钥和第一密钥参数，密钥取回指令用于指示第一用户身份识别卡生成身份验证请求。
78.在一些可能的实现方式中，第一用户身份识别卡即为用户的(subscriber identity model card，sim卡)，用户预先在第一用户身份识别卡中内置第一密钥和第一密钥参数，使得用户可以基于第一密钥登录预设客户端。其中，预设客户端可以是元宇宙客户端，第一密钥参数是用于找回第一密钥的参数，其可以是口令、验证码等。
79.在一些可能的实现方式中，当用户丢失第一用户身份识别卡之后，用户通过线上
或线下方式向运营商业务服务器发送密钥找回请求。运营商业务服务器指示终端提供身份证明信息，在运营商业务服务器通过身份证明信息证实用户为真实可信的用户的情况下，向第一用户身份识别卡发送密钥取回指令。其中，身份证明信息可以是用户的身份证信息、或者预设安全问题对应的安全答案等，本技术实施例对此不作限制。
80.需要说明的是，运营商业务服务器通过信令通道向第一用户身份识别卡发送密钥取回指令，只要第一用户身份识别卡所在的终端处于开机状态即可接收到该密钥取回指令。
81.还需要说明的是，当前的执行主体为运营商业务服务器，对于运营商而言，其还包括运营商安全服务器。通常情况下，运营商业务服务器主要用于执行常规业务，运营商安全服务器用于执行安全等级较高的业务，且运营商安全服务器的运行过程以及运行结果不向外展示，从而保障相关信息的安全性。
82.步骤s102，在接收到第一用户身份识别卡返回的身份验证请求的情况下，向终端发送信息获取请求。
83.在一些可能的实现方式中，第一用户身份识别卡接收到密钥取回指令之后，需要通过身份验证操作确定运营商业务服务器的合法性，以避免第三方非法借助运营商业务服务器的身份盗取密钥。
84.在一个示例中，第一用户身份识别卡响应于密钥取回指令，向运营商业务服务器发送身份验证请求。运营商业务服务器在接收到该身份验证请求的情况下，向终端发送信息获取请求。其中，信息获取请求中可以携带对所需获取的信息的说明。例如，需要获取第一密钥参数以及目的地址。
85.应当理解，若密钥取回指令不是该运营商业务服务器发送的指令时，运营商业务服务器不再响应该身份验证请求，并可向对应终端发送提醒消息。
86.步骤s103，接收终端返回的第一密钥参数和预设的目的地址。
87.在一些可能的实现方式中，若为线上场景，则终端通过移动通信网络或者其他通信网络向运营商业务服务器返回第一密钥参数和预设的目的地址。其中，目的地址可以是邮箱或者其他指定的地址。
88.在一些可能的实现方式中，若为线下场景，则运营商业务服务器指示用户输入相关信息，用户通过安全键盘输入第一密钥参数和目的地址。
89.在一些可能的实现方式中，目的地址为第一用户身份识别卡中内置的指定地址，或者，目的地址为终端提供的临时地址。在目的地址为终端提供的临时地址的情况下，在步骤s102之后，该方法还包括：运营商业务服务器将目的地址发送至第一用户身份识别卡。
90.步骤s104，根据第一密钥参数和目的地址，与第一用户身份识别卡进行身份验证。
91.在一些可能的实现方式中，运营商业务服务器使用第一密钥参数对目的地址进行加密，获得第一加密结果，并将第一加密结果发送至第一用户身份识别卡。第一用户身份识别卡根据其内置的第一密钥参数对目的地址进行加密，获得第二加密结果，并根据第一加密结果和第二加密结果获得身份验证结果，然后将身份验证结果发送给运营商业务服务器。运营商业务服务器接收第一用户身份识别卡返回的身份验证结果，根据身份验证结果确定是否通过身份验证。
92.在一个示例中，第一加密结果为运营商业务服务器按照预先约定的加密算法，使
用第一密钥参数对目的地址进行加密获得的结果。例如，第一加密结果c1＝e
pwd
(addr)，其中，pwd为终端提供的第一密钥参数，addr为目的地址，e()表示加密算法。与之相应的，第二加密结果为第一用户身份识别卡按照预先约定的加密算法，使用内置的第一密钥参数对目的地址进行加密获得的结果。例如，第二加密结果c2＝e
pwd’(addr’)，其中，pwd’为内置的第一密钥参数，addr’为第一用户身份识别卡对应的目的地址，e()表示加密算法。当c1与c2相同时，第一用户身份识别卡确定验证通过，当c1与c2不同时，第一用户身份识别卡确定验证未通过。
93.需要说明的是，如果终端为合法终端，则其提供的pwd应与第一身份识别卡中内置的pwd’相同，addr也应与addr’相同。
94.步骤s105，在通过身份验证的情况下，向运营商安全服务器发送验证通过消息。
95.在一些可能的实现方式中，运营商安全服务器接收终端发送的第二密钥和第一密钥参数，根据第一密钥参数对第二密钥进行解密，获得第一密钥，依据第一密钥和终端发送的第二密钥参数配置第二用户身份识别卡，使终端通过第二用户身份识别卡登录预设客户端，第二密钥为第一用户身份识别卡使用第一密钥参数对第一密钥进行加密生成的、并发送至目的地址的密钥。
96.图2是本技术实施例提供的一种密钥找回方法的流程图，该密钥找回方法可应用于运营商安全服务器。如图2所示，该密钥找回方法包括如下步骤：
97.步骤s201，响应于运营商业务服务器发送的验证通过消息，获取终端提供的第二密钥和第一密钥参数。
98.其中，验证通过消息为运营商业务服务器通过第一用户身份识别卡的身份验证的情况下发送的消息，第一用户身份识别卡内置有用于登录预设客户端的第一密钥和第一密钥参数，第二密钥为第一用户身份识别卡使用第一密钥参数对第一密钥进行加密生成的、并发送至目的地址的密钥。
99.在一些可能的实现方式中，在第一用户身份识别卡对运营商业务服务器的身份验证通过的情况下，第一用户身份识别卡使用第一密钥参数对第一密钥进行加密，生成第二密钥，并将第二密钥发送至目的地址。由于目的地址是用户(终端)与第一用户身份识别卡约定好的地址，因此，用户(终端)可以从目的地址中获得该第二密钥。在获得第二密钥之后，线上场景中，用户通过终端向运营商安全服务器发送第二密钥和第一密钥参数；在线下场景中，用户通过安全键盘向运营商安全服务器输入第二密钥和第一密钥参数。
100.需要说明的是，运营商业务服务器无法获取上述第二密钥等信息，因此，可以在移动程度上保障用户的信息安全，从而保障用户在元宇宙系统中的资产安全。
101.步骤s202，根据第一密钥参数对第二密钥进行解密，获得第一密钥。
102.在一些可能的实现方式中，第二密钥sk’＝f
pwd’(sk)，其中，sk表示第一密钥，pwd’为卡中内置的第一密钥参数，f()表示相应的加密算法。与之相应的，运营商安全服务器采用与f()对应的解密算法，并使用终端提供的第一密钥参数pwd对sk’进行解密，从而获得第一密钥sk。
103.步骤s203，在获取到终端提供的第二密钥参数的情况下，依据第一密钥和第二密钥参数配置第二用户身份识别卡，以供终端通过第二用户身份识别卡登录预设客户端。
104.在一些可能的实现方式中，第二密钥参数是新的密钥参数，若在丢失第二用户身
份识别卡之后找回第一密钥，则需要基于第二密钥参数执行上述密钥找回方法。
105.在一些可能的实现方式中，第二用户身份识别卡为一张新的sim卡，在依据第一密钥和第二密钥参数对该sim卡进行配置之后，获得了最终的第二用户时身份识别卡。终端基于该第二用户身份识别卡下载指定客户端，并利用卡中内置的第一密钥登录该客户端。
106.图3是本技术实施例提供的一种密钥找回方法的流程图，该密钥找回方法可应用于第一用户身份识别卡，第一用户身份识别卡内置有用于登录预设客户端的第一密钥和第一密钥参数。如图3所示，该密钥找回方法包括如下步骤：
107.步骤s301，接收运营商业务服务器发送的密钥取回指令。
108.其中，密钥取回指令为运营商业务服务器响应于终端的密钥找回请求发送的指令。
109.在一些可能的实现方式中。运营商业务服务器通过信令通道发送密钥取回指令。只要第一用户身份识别卡所在终端处于开机状态，即可接收到该密钥取回指令。
110.步骤s302，向运营商业务服务器发送身份验证请求。
111.在一些可能的实现方式中，第一用户身份识别卡接收到密钥取回指令之后，需要通过身份验证操作确定运营商业务服务器的合法性，以避免第三方非法借助运营商业务服务器的身份盗取密钥。
112.在一个示例中，身份验证请求可以采用挑战问答的方式。例如，第一用户身份识别卡向运营商业务服务器发送挑战问答，要求运营商业务服务器使用第一密钥参数对目的地址进行加密，获得第一加密结果，并将第一加密结果返回至第一用户身份识别卡。
113.步骤s303，使用预设的目的地址和第一用户身份识别卡中内置的第一密钥参数对运营商业务服务器进行身份验证。
114.在一些可能的实现方式中，目的地址为第一用户身份识别卡中内置的指定地址，或者，目的地址为终端提供的临时地址。在目的地址为终端提供的临时地址的情况下，运营商业务服务器需要通过信令通道将终端提供的目的地址发送至第一用户身份识别卡，以便第一用户身份识别卡基于该目的地址执行身份验证及后续操作；在目的地址为第一用户身份识别卡中内置的指定地址时，第一用户身份识别卡直接使用该指定地址执行身份验证及后续操作即可。
115.在一些可能的实现方式中，运营商业务服务器使用第一密钥参数对目的地址进行加密，获得第一加密结果，并将第一加密结果发送至第一用户身份识别卡。第一用户身份识别卡根据其内置的第一密钥参数对目的地址进行加密，获得第二加密结果，并根据第一加密结果和第二加密结果获得身份验证结果，然后将身份验证结果发送给运营商业务服务器。运营商业务服务器接收第一用户身份识别卡返回的身份验证结果，根据身份验证结果确定是否通过身份验证。
116.在一个示例中，第一加密结果为运营商业务服务器按照预先约定的加密算法，使用第一密钥参数对目的地址进行加密获得的结果。例如，第一加密结果c1＝e
pwd
(addr)，其中，pwd为第一密钥参数，addr为目的地址，e()表示加密算法。与之相应的，第二加密结果为第一用户身份识别卡按照预先约定的加密算法，使用内置的第一密钥参数对目的地址进行加密获得的结果。例如，第二加密结果c2＝e
pwd’(addr’)，其中，pwd’为内置的第一密钥参数，addr’为第一用户身份识别卡对应的目的地址，e()表示加密算法。当c1与c2相同时，第
一用户身份识别卡确定验证通过，当c1与c2不同时，第一用户身份识别卡确定验证未通过。
117.步骤s304，在运营商业务服务器通过身份验证的情况下，使用第一密钥参数对第一密钥进行加密，获得第二密钥。
118.在一些可能的实现方式中，第二密钥sk’＝f
pwd’(sk)，其中，sk表示第一密钥，pwd’为卡中内置的第一密钥参数，f()表示相应的加密算法。
119.步骤s305，将第二密钥发送到目的地址。
120.在一些可能的实现方式中，由于目的地址是用户(终端)与第一用户身份识别卡约定好的地址，因此，用户(终端)可以从目的地址中获得该第二密钥。在获得第二密钥之后，线上场景中，用户通过终端向运营商安全服务器发送第二密钥和第一密钥参数；在线下场景中，用户通过安全键盘向运营商安全服务器输入第二密钥和第一密钥参数。运营商安全服务器按照预先约定的解密算法，使用第一密钥参数对第二密钥进行解密，获得第一密钥，并依据第一密钥和终端提供的第二密钥参数配置第二用户身份识别卡。终端基于该第二用户身份识别卡下载指定客户端，并利用卡中内置的第一密钥登录该客户端。
121.上面各种方法的步骤划分，只是为了描述清楚，实现时可以合并为一个步骤或者对某些步骤进行拆分，分解为多个步骤，只要包括相同的逻辑关系，都在本专利的保护范围内；对算法中或者流程中添加无关紧要的修改或者引入无关紧要的设计，但不改变其算法和流程的核心设计都在该专利的保护范围内。
122.第二方面，本技术实施例提供一种运营商业务服务器、运营商安全服务器及用户身份识别卡。
123.图4是本技术实施例提供的一种运营商业务服务器的框图。如图4所示，该运营商业务服务器包括如下模块：
124.第一发送模块401，用于响应终端发送的密钥找回请求，向第一用户身份识别卡发送密钥取回指令。
125.其中，密钥找回请求是终端在丢失第一用户身份识别卡的情况下发送的请求，第一用户身份识别卡内置有用于登录预设客户端的第一密钥和第一密钥参数，密钥取回指令用于指示第一用户身份识别卡生成身份验证请求。
126.第二发送模块402，用于在接收到第一用户身份识别卡返回的身份验证请求的情况下，向终端发送信息获取请求。
127.第一接收模块403，用于接收终端返回的第一密钥参数和预设的目的地址。
128.在一些可能的实现方式中，目的地址为第一用户身份识别卡中内置的指定地址，或者，目的地址为终端提供的临时地址。在目的地址为终端提供的临时地址的情况下，运营商业务服务器需要通过信令通道将终端提供的目的地址发送至第一用户身份识别卡。
129.第一验证模块404，用于根据第一密钥参数和目的地址，与第一用户身份识别卡进行身份验证。
130.在一些可能的实现方式中，第一验证模块404包括：第一加密单元、第一发送单元、第一接收单元和结果确定单元。其中，第一加密单元，用于使用第一密钥参数对目的地址进行加密，获得第一加密结果；第一发送单元，用于将第一加密结果发送至第一用户身份识别卡，以供第一用户身份识别卡根据第一加密结果和第二加密结果获得身份验证结果，第二加密结果为第一用户身份识别卡根据第一密钥参数对目的地址进行加密获得的结果；第一
接收单元，用于接收第一用户身份识别卡返回的身份验证结果；结果确定单元，用于根据身份验证结果确定是否通过身份验证。
131.第三发送模块405，用于在通过身份验证的情况下，向运营商安全服务器发送验证通过消息，以供运营商安全服务器接收终端发送的第二密钥和第一密钥参数，根据第一密钥参数对第二密钥进行解密，获得第一密钥，依据第一密钥和终端发送的第二密钥参数配置第二用户身份识别卡，使终端通过第二用户身份识别卡登录预设客户端，第二密钥为第一用户身份识别卡使用第一密钥参数对第一密钥进行加密生成的、并发送至目的地址的密钥。
132.图5是本技术实施例提供的一种运营商安全服务器的框图。如图5所示，该运营商安全服务器包括如下模块：
133.获取模块501，用于响应于运营商业务服务器发送的验证通过消息，获取终端提供的第二密钥和第一密钥参数。
134.其中，验证通过消息为运营商业务服务器通过第一用户身份识别卡的身份验证的情况下发送的消息，第一用户身份识别卡内置有用于登录预设客户端的第一密钥和第一密钥参数，第二密钥为第一用户身份识别卡使用第一密钥参数对第一密钥进行加密生成的、并发送至目的地址的密钥。
135.解密模块502，用于根据第一密钥参数对第二密钥进行解密，获得第一密钥。
136.配置模块503，用于在接收终端发送的第二密钥参数的情况下，依据第一密钥和第二密钥参数配置第二用户身份识别卡，以供终端通过第二用户身份识别卡登录预设客户端。
137.图6是本技术实施例提供的一种用户身份识别卡的框图。如图6所示，该用户身份识别卡包括如下模块：
138.第二接收模块601，用于接收运营商业务服务器发送的密钥取回指令。
139.其中，密钥取回指令为运营商业务服务器响应于终端的密钥找回请求发送的指令。
140.第四发送模块602，用于向运营商业务服务器发送身份验证请求。
141.第二验证模块603，用于使用预设的目的地址和第一用户身份识别卡中内置的第一密钥参数对运营商业务服务器进行身份验证。
142.在一些可能的实现方式中，第二验证模块603包括：第二接收单元、第二加密单元、验证单元和第二发送单元。其中，第二接收单元，用于接收运营商业务服务器发送的第一加密结果，第一加密结果为运营商业务服务器使用终端提供的第一密钥参数对终端提供的目的地址进行加密获得的结果；第二加密单元，用于根据第一密钥参数对目的地址进行加密，获得第二加密结果；验证单元，用于根据第一加密结果和第二加密结果，获得身份验证结果；第二发送单元，用于将身份验证结果发送至运营商业务服务器。
143.加密模块604，用于在运营商业务服务器通过身份验证的情况下，使用第一密钥参数对第一密钥进行加密，获得第二密钥。
144.第五发送模块605，用于将第二密钥发送到目的地址，以供终端从目的地址获取第二密钥，并将第二密钥和第一密钥参数提供给运营商安全服务器，使运营商安全服务器根据第一密钥参数对第二密钥进行解密，获得第一密钥，并依据第一密钥和终端提供的第二
密钥参数配置第二用户身份识别卡，以供终端通过第二用户身份识别卡登录预设客户端。
145.在一些可能的实现方式中，目的地址为第一用户身份识别卡中内置的指定地址，或者，目的地址为终端提供的临时地址。在目的地址为终端提供的临时地址的情况下，运营商业务服务器需要通过信令通道将终端提供的目的地址发送至第一用户身份识别卡。
146.第三方面，本技术实施例提供一种密钥找回系统。
147.图7是本技术实施例提供的一种密钥找回系统的示意图。如图7所示，该密钥找回系统包括：终端701、运营商安全服务器702、运营商业务服务器703、目的地址服务器704、第一用户身份识别卡705和第二用户身份识别卡706。
148.参照图7，在丢失第一用户身份识别卡705之后，终端701向运营商业务服务器703发送密钥找回请求，运营商业务服务器703通过信令通道向第一用户身份识别卡705发送密钥取回指令。第一用户身份识别卡705与运营商业务服务器703之间进行身份验证，在通过身份验证的情况下，第一用户身份识别卡705使用卡中内置的第一密钥参数对第一密钥进行加密，并发送到与目的地址对应的目的地址服务器704，以便终端701从目的地址服务器704中获取第二密钥。运营商安全服务器702响应于运营商业务服务器703发送的验证通过消息，从终端701获取第二密钥和第一密钥参数，根据第一密钥参数对第二密钥进行解密，获得第一密钥，并依据第一密钥和终端701提供的第二密钥参数配置第二用户身份识别卡706。终端701利用第二用户身份识别卡706即可登录预设客户端。
149.图8是本技术实施例提供的一种密钥找回方法的工作过程示意图。如图8所示，该密钥找回方法的工作过程包括：
150.步骤s801，终端向运营商业务服务器发送密钥找回请求。
151.步骤s802，运营商业务服务器响应于密钥找回请求，向第一用户身份识别卡发送密钥取回指令。
152.步骤s803，第一用户身份识别卡向运营商业务服务器发送身份验证请求。
153.步骤s804，运营商业务服务器向终端发送信息获取请求，终端向运营商业务服务器返回第一密钥参数和目的地址。
154.步骤s805，运营商业务服务器使用第一密钥参数对目的地址进行加密，获得第一加密结果。
155.步骤s806，运营商业务服务器将第一加密结果发送至第一用户身份识别卡。
156.步骤s807，第一用户身份识别卡根据内置的第一密钥参数对预设的目的地址进行加密，获得第二加密结果，并根据第一加密结果和第二加密结果，获得身份验证结果。
157.步骤s808，第一用户身份识别卡将身份验证结果发送至运营商业务服务器。
158.步骤s809，在运营商业务服务器通过身份验证的情况下，第一用户身份识别卡使用第一密钥参数对第一密钥进行加密，获得第二密钥。
159.步骤s810，第一用户身份识别卡将第二密钥发送到目的地址服务器。
160.步骤s811，在运营商业务服务器通过身份验证的情况下，运营商业务服务器向运营商安全服务器发送验证通过消息。
161.步骤s812，运营商安全服务器响应于验证通过消息，向终端发送信息获取指示。
162.步骤s813，终端响应信息获取指示，从目的地址服务器获取该第二密钥。
163.步骤s814，终端将第二密钥和第一密钥参数发送到运营商安全服务器。
164.步骤s815，运营商安全服务器根据第一密钥参数对第二密钥进行解密，获得第一密钥。
165.步骤s816，运营商安全服务器依据第一密钥和终端发送的第二密钥参数配置第二用户身份识别卡，使终端通过第二用户身份识别卡登录预设客户端。
166.本技术实施例提供的装置具有的功能或包含的模块可以用于执行上文第一方面方法实施例描述的方法，其具体实现和技术效果可参照上文方法实施例的描述，为了简洁，这里不再赘述。
167.需要说明的是，本实施方式中所涉及到的各模块均为逻辑模块，在实际应用中，一个逻辑单元可以是一个物理单元，也可以是一个物理单元的一部分，还可以以多个物理单元的组合实现。此外，为了突出本技术的创新部分，本实施方式中并没有将与解决本技术所提出的技术问题关系不太密切的单元引入，但这并不表明本实施方式中不存在其它的单元。
168.图9是本技术实施例提供的一种电子设备的框图。
169.参照图9，本技术实施例提供一种电子设备，其包括：
170.一个或多个处理器901；
171.存储器902，其上存储有一个或多个程序，当一个或多个程序被一个或多个处理器执行，使得一个或多个处理器实现上述任意一项的密钥找回方法；
172.一个或多个i/o接口903，连接在处理器与存储器之间，配置为实现处理器与存储器的信息交互。
173.其中，处理器901为具有数据处理能力的器件，其包括但不限于中央处理器(cpu)等；存储器902为具有数据存储能力的器件，其包括但不限于随机存取存储器(ram，更具体如sdram、ddr等)、只读存储器(rom)、带电可擦可编程只读存储器(eeprom)、闪存(flash)；i/o接口(读写接口)903连接在处理器901与存储器902间，能实现处理器901与存储器902的信息交互，其包括但不限于数据总线(bus)等。
174.在一些实施例中，处理器901、存储器902和i/o接口903通过总线相互连接，进而与计算设备的其它组件连接。
175.本实施例还提供一种计算机可读介质，其上存储有计算机程序，所述程序被处理器执行时实现本实施例提供的密钥找回方法，为避免重复描述，在此不再赘述密钥找回方法的具体步骤。
176.本领域普通技术人员可以理解，上文中所发明方法中的全部或某些步骤、系统、装置中的功能模块/单元可以被实施为软件、固件、硬件及其适当的组合。在硬件实施方式中，在以上描述中提及的功能模块/单元之间的划分不一定对应于物理组件的划分；例如，一个物理组件可以具有多个功能，或者一个功能或步骤可以由若干物理组件合作执行。某些物理组件或所有物理组件可以被实施为由处理器，如中央处理器、数字信号处理器或微处理器执行的软件，或者被实施为硬件，或者被实施为集成电路，如专用集成电路。这样的软件可以分布在计算机可读介质上，计算机可读介质可以包括计算机存储介质(或非暂时性介质)和通信介质(或暂时性介质)。如本领域普通技术人员公知的，术语计算机存储介质包括在用于存储信息(诸如计算机可读指令、数据结构、程序模块或其它数据)的任何方法或技术中实施的易失性和非易失性、可移除和不可移除介质。计算机存储介质包括但不限于
ram、rom、eeprom、闪存或其它存储器技术、cd-rom、数字多功能盘(dvd)或其它光盘存储、磁盒、磁带、磁盘存储或其它磁存储装置、或者可以用于存储期望的信息并且可以被计算机访问的任何其它的介质。此外，本领域普通技术人员公知的是，通信介质通常包含计算机可读指令、数据结构、程序模块或者诸如载波或其它传输机制之类的调制数据信号中的其它数据，并且可包括任何信息递送介质。
177.需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
178.本领域的技术人员能够理解，尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征，但是不同实施例的特征的组合意味着处于本实施例的范围之内并且形成不同的实施例。
179.可以理解的是，以上实施方式仅仅是为了说明本技术的原理而采用的示例性实施方式，然而本技术并不局限于此。对于本领域内的普通技术人员而言，在不脱离本技术的精神和实质的情况下，可以做出各种变型和改进，这些变型和改进也视为本技术的保护范围。