CN103391194B - 对用户的安全设备进行解锁的方法和系统 - Google Patents
对用户的安全设备进行解锁的方法和系统 Download PDFInfo
- Publication number
- CN103391194B CN103391194B CN201210144874.5A CN201210144874A CN103391194B CN 103391194 B CN103391194 B CN 103391194B CN 201210144874 A CN201210144874 A CN 201210144874A CN 103391194 B CN103391194 B CN 103391194B
- Authority
- CN
- China
- Prior art keywords
- safety equipment
- unblock
- random number
- data
- request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Lock And Its Accessories (AREA)
Abstract
本发明实施例提供了一种对用户的安全设备进行解锁的方法和系统。该方法主要包括:安全设备向管理服务器发送包含请求随机数、签名数据和安全设备的序列号的解锁请求数据;管理服务器根据解锁请求数据中携带的安全设备的序列号获取预先存储的解锁公钥,用解锁公钥对所述解锁请求数据中的请求随机数和签名数据进行验证,在验证通过后,管理服务器用解锁公钥对请求随机数进行加密得到解锁回应数据,将解锁回应数据发送给安全设备。安全设备用解锁私钥对所述解锁回应数据进行解密,将解锁回应数据中携带的请求随机数和预先存储的请求随机数进行比较,在比较结果为一致后,安全设备自行解锁。本发明实施例可以实现用户在安全设备锁定后进行自助解锁。
Description
技术领域
本发明涉及信息安全领域中,特别是涉及一种对用户的安全设备进行解锁的方法和系统。
背景技术
随着信息安全技术的飞速发展,以及PKI(Public Key Infrastructure,公钥基础设施)技术的日渐成熟,以数字证书作为用户网络身份标识的应用也越来越多。通常,用户的数字证书及其对应的私钥都保存在UKEY(UniversalSerial Bus Key,U口密钥)或IC卡等类似的安全设备中。用户通过上述安全设备中的数字证书和私钥来实现网络上的用户身份安全认证和鉴别。
为了保证安全设备中用户私钥的安全性,用户在每次使用私钥进行用户身份认证和鉴别的时候都需要向安全设备提供用户口令,以实现安全设备对用户的认证。当用户提供的用户口令连续若干次(通常3次-5次)错误后,安全设备将自行锁定,形成死锁,用户将无法再继续使用该安全设备。这种方式有效抵制了用户在其安全设备丢失后,其身份被他人冒用的情况。但是这种方式也同样造成了正常用户在忘记口令后而导致安全设备死锁的情况。从实际应用情况看,这种正常安全设备死锁的情况还非常多。
现有技术中的一种对用户的安全设备进行解锁的方法为:在安全设备死锁后,用户持安全设备到安全设备发行点,由安全设备管理员输入管理员口令进行解锁。
上述现有技术中的对用户的安全设备进行解锁的方法的缺点为:安全设备要送到发行点进行解锁,对于用户群体较为分散的系统,会带来管理成本的增加和用户使用的不便。如果系统存在多个解锁管理员,会造成管理员口令的混乱,以及管理员集中监控上的不方便,从而形成整体系统上的不安全因素。
发明内容
本发明的实施例提供了一种对用户的安全设备进行解锁的方法和系统,以实现对用户的安全设备进行有效地解锁。
一种对用户的安全设备进行解锁的方法,包括:
在用户的安全设备锁定后,所述安全设备产生并存储请求随机数,用所述安全设备中存储的解锁私钥对所述请求随机数进行签名处理得到签名数据,所述安全设备向所述安全设备的管理服务器发送包含所述请求随机数、所述签名数据和所述安全设备的序列号的解锁请求数据;
所述管理服务器根据所述解锁请求数据中携带的所述安全设备的序列号获取预先存储的所述解锁私钥对应的解锁公钥,用所述解锁公钥对所述解锁请求数据中的请求随机数和签名数据进行验证签名处理,在验证签名通过后,所述管理服务器用所述解锁公钥对所述请求随机数进行加密得到解锁回应数据,将所述解锁回应数据发送给所述安全设备;
所述安全设备用所述解锁私钥对所述解锁回应数据进行解密,将所述解锁回应数据中携带的请求随机数和所述预先存储的请求随机数进行比较,在比较结果为一致后,所述安全设备自行解锁。
一种对用户的安全设备进行解锁的系统,包括:安全设备和管理服务器,
所述的安全设备包括:
请求随机数处理单元,用于在所述安全设备锁定后,产生并存储请求随机数;
解锁请求发送单元,用于用所述安全设备中存储的解锁私钥对所述请求随机数进行签名处理得到签名数据,向所述安全设备的管理服务器发送包含所述请求随机数、所述签名数据和所述安全设备的序列号的解锁请求数据;
所述的管理服务器包括,
解锁请求数据验证单元,用于根据所述解锁请求数据中携带的所述安全设备的序列号获取预先存储的解锁公钥,用所述解锁公钥对所述解锁请求数据中的请求随机数和签名数据进行验证签名处理;
解锁回应数据处理单元,用于在所述解锁请求数据验证单元的验证签名通过后,用所述解锁公钥对所述请求随机数进行加密得到解锁回应数据,将所述解锁回应数据发送给所述安全设备;
所述的安全设备还包括:
验证解锁单元,用于用所述解锁私钥对所述解锁回应数据进行解密,将所述解锁回应数据中携带的请求随机数和所述预先存储的请求随机数进行比较,在比较结果为一致后,所述安全设备自行解锁。
由上述本发明的实施例提供的技术方案可以看出,本发明实施例通过安全设备的管理服务器为用户的安全设备产生唯一的解锁密钥对,管理服务器和安全设备之间通过公钥算法实现相互认证,可以实现用户在安全设备锁定后进行自助解锁,并且保证了安全设备解锁的安全性与整体系统的安全性。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例一提供的一种对用户的安全设备进行解锁的方法的处理流程图;
图2为本发明实施例二提供的一种对用户的安全设备进行解锁的方法的处理流程图;
图3为本发明实施例三提供的一种对用户的安全设备进行解锁的系统的具体结构图;
图4为本发明实施例三提供的一种解锁请求数据验证单元的具体结构图;
图5为本发明实施例三提供的一种解锁回应数据处理单元的具体结构图;
图6为本发明实施例三提供的一种验证解锁单元的具体结构图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
为便于对本发明实施例的理解,下面将结合附图以几个具体实施例为例做进一步的解释说明,且各个实施例并不构成对本发明实施例的限定。
实施例一
该实施例提供的一种对用户的安全设备进行解锁的方法的处理流程如图1所示,包括如下的处理步骤:
步骤11、安全设备的管理服务器为用户的安全设备产生唯一的解锁密钥对,所述解锁密钥对包括解锁私钥和解锁公钥,将所述解锁私钥存储在所述安全设备中,将所述安全设备发放给用户。
上述解锁密钥对可以为RSA密钥对、ECC(Elliptic CurvesCryptography,椭圆曲线密码算法)密钥对等。
所述管理服务器将所述解锁公钥、安全设备的序列号、用户信息(至少包括用户手机号或Email地址)对应存储于所述管理服务器端的数据库中。
步骤12、在用户的安全设备锁定后,所述安全设备产生并存储请求随机数,用所述安全设备中存储的解锁私钥对所述请求随机数进行签名处理得到签名数据,所述安全设备向所述安全设备的管理服务器发送包含所述请求随机数、所述签名数据和所述安全设备的序列号的解锁请求数据。
步骤13、所述管理服务器接收到上述解锁请求数据后,从解锁请求数据中提取出所述安全设备的序列号,在所述管理服务器的数据库中查询获取预先存储的所述安全设备的序列号对应的解锁公钥,用所述解锁公钥对所述解锁请求数据中的请求随机数和签名数据进行所述签名处理所对应的验证签名处理。
在上述验证签名通过后,管理服务器获取所述解锁请求数据中的请求随机数。当所述管理服务器从所述管理服务器的数据库中还查询到安全设备的状态信息,管理服务器还要检查所述安全设备的状态是否正常。当所述解锁请求数据还携带解锁请求指令时,管理服务器还要检查解锁请求指令是否正确。
所述管理服务器用所述解锁公钥对所述请求随机数进行加密得到解锁回应数据,将所述解锁回应数据发送给所述安全设备。
步骤14、所述安全设备用所述解锁私钥对所述解锁回应数据进行解密,将所述解锁回应数据中携带的请求随机数和所述预先存储的请求随机数进行比较,在比较结果为一致后,所述安全设备自行解锁;在比较结果为不一致后,所述安全设备将维持锁定。
进一步地,上述步骤12中的所述安全设备用所述解锁私钥对所述请求随机数进行签名处理的过程可以为RSA签名过程、ECC签名过程等。
进一步地,上述步骤13中的所述管理服务器用所述解锁公钥对所述解锁请求数据中的请求随机数和签名数据进行验证签名的过程可以为RSA验证签名过程、ECC验证签名过程等。
进一步地,上述的步骤13还可以包括:所述管理服务器还产生回应随机数,将所述回应随机数通过所述用户信息中的Emial地址或手机号发送给所述用户的终端,用所述解锁公钥对所述请求随机数、回应随机数进行加密,得到解锁回应数据。
所述管理服务器将所述解锁回应数据发送给所述安全设备,所述安全设备接收输入的所述回应随机数;或者,所述管理服务器将所述解锁回应数据存储在管理服务器端的数据库中,所述用户的终端连接所述管理服务器端的数据库,根据所述回应随机数在所述管理服务器端的数据库中查询获取所述解锁回应数据,所述安全设备接收输入的所述回应随机数和解锁回应数据;或者,所述管理服务器将所述解锁回应数据存储在管理服务器端的数据库中,所述安全设备连接所述管理服务器端的数据库,根据所述回应随机数在所述管理服务器端的数据库中查询获取所述解锁回应数据,所述安全设备接收输入的所述回应随机数。
进一步地,上述的步骤14还可以包括:所述安全设备用所述解锁私钥对所述解锁回应数据进行解密,将解密后的解锁回应数据中携带的请求随机数与本地保存的请求随机数进行比较,将解密后的解锁回应数据中携带的回应随机数与所述输入的回应随机数进行比较。
当所述安全设备判断解密后的解锁回应数据中携带的请求随机数与本地保存的请求随机数的比较结果为一致,并且解密后的解锁回应数据中携带的回应随机数与所述输入的回应随机数的比较结果为一致,则所述安全设备自行解锁;否则,所述安全设备将维持锁定。
进一步地,当所述解密后的解锁回应数据中还携带解锁回应指令时,所述安全设备还判断所述解锁回应指令是否正确,如果不正确,则所述安全设备将维持锁定;如果正确,则进一步结合所述请求随机数、回应随机数的比较结果决定是否解锁。
实施例二
该实施例提供的一种对用户的安全设备进行解锁的方法的处理流程如图2所示,包括如下的处理步骤:
步骤21、安全设备的管理服务器给用户发行安全设备时候,需要在安全的环境中为每个安全设备随机产生适用于公钥算法计算使用的唯一的解锁密钥对(PKs,PKb),其中PKs为解锁私钥,PKb为对应的解锁公钥。上述解锁密钥对可以为RSA密钥对、ECC密钥对等。各个安全设备的解锁密钥对分别不相同。
然后,将密钥对的解锁私钥PKs导入安全设备中,并置为不可导出的状态,只能由安全设备内部计算使用。把密钥对的解锁公钥PKb、安全设备序列号、用户信息、设备状态信息对应存储于安全设备的管理服务器端的数据库中,上述用户信息中至少应该包含用户常用的手机号或者常用的Email地址,供用户以后解锁时获取校验数据使用。为了安全起见,解锁公钥PKb应加密保存,并且该公钥不应公开,这与通常公钥密码算法应用中,密钥的公钥部分应公开是不同的。
步骤22、将上述安全设备交付用户使用,在用户由于忘记口令而导致安全设备死锁后,用户将通过安全设备产生解锁请求。安全设备首先产生请求随机数Rr,将请求随机数Rr存储在安全设备中,供解锁时比对使用。由请求随机数Rr、安全设备序列号S、解锁请求指令Lr形成待签名数据Rr||S||Lr,安全设备用其内部存储的解锁私钥PKs对上述待签名数据进行签名处理,得到签名数据Sig。安全设备组合被签名数据Rr||S||Lr和签名数据Sig得到解锁请求数据Rr||S||Lr||Sig。解锁请求数据包含通过安全设备中的解锁私钥形成的签名数据,以保证管理服务器能够通过签名验证来安全识别解锁请求是由正确的安全设备发出。
然后,安全设备通过网络向安全设备的管理服务器发送解锁请求数据。
步骤23、安全设备的管理服务器接收到上述解锁请求数据后,从上述解锁请求数据中提取安全设备序列号S,在安全设备的管理服务器端的数据库中查询获取安全设备号S对应的数据信息,其中包括:解锁公钥PKb、设备状态信息和用户信息(至少包括用户手机号或Email地址)。
安全设备的管理服务器首先检查设备状态信息,对处于正常状态的,进入下一步解锁流程,对于非正常状态的设备,如挂失、锁定等,都不予以解锁,流程终止。
安全设备的管理服务器取出解锁请求数据中的签名数据Sig和被签名数据Rr||S||Lr,并用解锁公钥PKb对签名数据Sig和被签名数据Rr||S||Lr进行上述安全设备所进行的签名处理对应的验证签名处理。比如,上述签名处理为RSA签名过程或ECC签名过程,则上述验证签名处理分别为RSA验证签名过程或ECC验证签名过程等。
管理服务器对所述解锁请求数据中的请求随机数和签名数据的验证签名通过,则说明该解锁请求数据是由该安全设备发出,进入下一步解锁流程,否则流程终止。
安全设备的管理服务器取出解锁请求数据中的解锁请求指令Lr,判断指令是否正确,如果是,则对上述解锁请求数据的验证结束;否则流程终止。
步骤24、安全设备的管理服务器产生回应随机数Ra,把回应随机数Ra通过用户信息中的用户手机或Email发送给用户。
步骤25、所述管理服务器取出解锁请求数据中的请求随机数Rr,用解锁公钥PKb对请求随机数Rr、回应随机数Ra、解锁回应指令La进行加密,得到解锁回应数据,将解锁回应数据存储在管理服务器端的数据库中。由于解锁公钥只有管理服务器知道,所以也只有管理服务器能产生相对应的密文供安全设备解锁使用。
步骤26、用户在规定的时间内通过手机或Email接收到上述回应随机数Ra后,用户的客户端通过网络和上述管理服务器进行连接,通过回应随机数Ra在管理服务器的数据库中进行查询,获取上述解锁回应数据。管理服务器可以选择随后销毁上述解锁回应数据。
对于超过时间而未取的解锁回应数据,管理服务器将销毁解锁回应数据,不再使用,流程终止。
步骤27、用户向安全设备输入上述回应随机数Ra和解锁回应数据,安全设备用解锁私钥PKs对上述解锁回应数据进行解密。
安全设备将解密后的解锁回应数据中携带的请求随机数Rr’与本地保存的Rr进行比较,将解密后的解锁回应数据中携带的回应随机数Ra’与输入的回应随机数Ra进行比较,并检查解密后的解锁回应数据中携带的解锁回应指令La是否正确。当安全设备判断上述Rr’与Rr相等,上述Ra’与Ra相等,并且解锁回应指令La正确后,则安全设备将自行解除锁定;否则,安全设备将维持锁定,流程结束,即只要述Rr’与Rr不相等或上述Ra’与Ra不相等或La不正确后,则安全设备的解锁不成功。
上述过程可以完全自动实现,无需管理服务器的管理人员干预,从而实现用户自助解锁的过程。
实施例三
该实施例提供了一种对用户的安全设备进行解锁的系统,其具体结构如图3所示,包括:安全设备31和管理服务器32,
所述的安全设备31具体包括:
请求随机数处理单元311,用于在所述安全设备锁定后,产生并存储请求随机数;
解锁请求发送单元312,用于用所述安全设备中存储的解锁私钥对所述请求随机数进行签名处理得到签名数据,向所述安全设备的管理服务器发送包含所述请求随机数、所述签名数据和所述安全设备的序列号的解锁请求数据;
所述的管理服务器32包括,
解锁请求数据验证单元321,用于根据所述解锁请求数据中携带的所述安全设备的序列号获取预先存储的所述解锁私钥所对应的解锁公钥,用所述解锁公钥对所述解锁请求数据中的请求随机数和签名数据进行所述签名处理所对应的验证签名处理;
解锁回应数据处理单元322,用于在所述解锁请求数据验证单元的验证签名通过后,用所述解锁公钥对所述请求随机数进行加密得到解锁回应数据,将所述解锁回应数据发送给所述安全设备;
所述的安全设备31还包括:
验证解锁单元313,用于用所述解锁私钥对所述解锁回应数据进行解密,将所述解锁回应数据中携带的请求随机数和所述预先存储的请求随机数进行比较,在比较结果为一致后,所述安全设备自行解锁。
进一步地,所述的管理服务器32还可以包括:
解锁密钥对产生和存储单元323,用于为用户的安全设备产生唯一的解锁密钥对,所述解锁密钥对包括解锁私钥和解锁公钥,将所述解锁私钥存储在所述安全设备中,将所述安全设备发放给用户;将所述解锁公钥、安全设备的序列号、用户信息对应存储于所述管理服务器端的数据库中。
具体的,该实施例提供的一种上述解锁请求数据验证单元321的具体结构如图4所示,具体包括:
数据库查询子单元41,用于从所述解锁请求消息中提取所述解锁请求指令和所述安全设备的序列号,在所述数据库中查询获取所述安全设备的序列号对应的数据信息,该数据信息中包括:解锁公钥、安全设备的状态信息和用户信息;
验证和解密处理子单元42,用于在通过检查确定所述安全设备的状态信息为正常,当所述解锁请求消息中还携带所述安全设备产生的解锁请求指令时,验证所述解锁请求指令为正确后,用所述解锁公钥对所述解锁请求数据进行所述签名处理所对应的验证签名处理,在验证签名通过后,获取所述请求随机数。
具体的,该实施例提供的一种上述解锁回应数据处理单元322的具体结构如图5所示,具体包括:
回应随机数处理子单元51,用于产生回应随机数,将所述回应随机数通过所述用户信息中的Emial地址或手机号发送给所述用户的终端;
解锁回应数据产生子单元52,用于所述解锁公钥对所述请求随机数、回应随机数进行加密,得到解锁回应数据;
解锁回应数据发放子单元53,用于将所述解锁回应数据发送给所述安全设备,以使得所述安全设备接收输入的所述回应随机数;或者,将所述解锁回应数据存储在管理服务器端的数据库中,以使得所述用户的终端连接所述管理服务器端的数据库,根据所述回应随机数在所述管理服务器端的数据库中查询获取所述解锁回应数据,所述安全设备接收输入的所述回应随机数和解锁回应数据;或者,将所述解锁回应数据存储在管理服务器端的数据库中,以使得所述安全设备连接所述管理服务器端的数据库,根据所述回应随机数在所述管理服务器端的数据库中查询获取所述解锁回应数据,所述安全设备接收输入的所述回应随机数。
具体的,该实施例提供的一种上述验证解锁单元313的具体结构如图6所示,具体包括:
解密比较子单元61,用于用所述解锁私钥对所述解锁回应数据进行解密,将解密后的解锁回应数据中携带的请求随机数与本地保存的请求随机数进行比较,将解密后的解锁回应数据中携带的回应随机数与所述输入的回应随机数进行比较;
判断解锁子单元62,用于当所述安全设备判断解密后的解锁回应数据中携带的请求随机数与本地保存的请求随机数的比较结果为一致,并且解密后的解锁回应数据中携带的回应随机数与所述输入的回应随机数的比较结果为一致,当所述解密后的解锁回应数据中还携带解锁回应指令时,还判断所述解锁回应指令正确后,则所述安全设备自行解锁;否则,所述安全设备将维持锁定。
本领域普通技术人员可以理解:附图只是一个实施例的示意图,附图中的模块或流程并不一定是实施本发明所必须的。
本领域普通技术人员可以理解:实施例中的装置中的模块可以按照实施例描述分布于实施例的装置中,也可以进行相应变化位于不同于本实施例的一个或多个装置中。上述实施例的模块可以合并为一个模块,也可以进一步拆分成多个子模块。
应用本发明实施例的系统进行安全设备解锁的具体过程与前述方法实施例类似,此处不再赘述。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(Random Access Memory,RAM)等。
综上所述,本发明实施例通过安全设备的管理服务器为用户的安全设备产生唯一的解锁密钥对,管理服务器和安全设备之间通过公钥算法实现相互认证,可以实现用户在安全设备锁定后进行自助解锁,无需管理中心人工干预,降低管理成本。并且保证了安全设备解锁的安全性与整体系统的安全性。
本发明实施例不需要用户将安全设备送到发行点,方便了用户使用,避免了多个管理员口令混乱的情况。
本发明实施例的方法和系统可用于任何使用安全设备保存用户身份私钥和身份数字证书的系统。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。
Claims (7)
1.一种对用户的安全设备进行解锁的方法,其特征在于,包括:
在用户的安全设备锁定后,所述安全设备产生并存储请求随机数,用所述安全设备中存储的解锁私钥对所述请求随机数进行签名处理得到签名数据,所述安全设备向所述安全设备的管理服务器发送包含所述请求随机数、所述签名数据和所述安全设备的序列号的解锁请求数据;
所述管理服务器根据所述解锁请求数据中携带的所述安全设备的序列号获取预先存储的所述解锁私钥对应的解锁公钥,用所述解锁公钥对所述解锁请求数据中的请求随机数和签名数据进行验证签名处理,在验证签名通过后,所述管理服务器用所述解锁公钥对所述请求随机数进行加密得到解锁回应数据,将所述解锁回应数据发送给所述安全设备;
所述安全设备用所述解锁私钥对所述解锁回应数据进行解密,将所述解锁回应数据中携带的请求随机数和所述预先存储的请求随机数进行比较,在比较结果为一致后,所述安全设备自行解锁;
安全设备的管理服务器为用户的安全设备产生唯一的解锁密钥对,所述解锁密钥对包括解锁私钥和解锁公钥,将所述解锁私钥存储在所述安全设备中,将所述安全设备发放给用户;钥置为不可导出的状态,只能由所述安全设备计算使用;
所述管理服务器将所述解锁公钥、安全设备的序列号、用户信息对应存储于所述管理服务器端的数据库中;
所述管理服务器从所述解锁请求消息中提取所述安全设备的序列号,在所述管理服务器的数据库中查询获取所述安全设备的序列号对应的数据信息,该数据信息中包括:解锁公钥、安全设备的状态信息和用户信息;钥加密存储在所述管理服务器中,所述解锁公钥不公开;
所述管理服务器在通过检查确定所述安全设备的状态信息为正常,当所述解锁请求消息中还携带所述安全设备产生的解锁请求指令时,验证所述解锁请求指令为正确后,用所述解锁公钥对所述解锁请求数据进行所述签名处理所对应的验证签名处理,在验证签名通过后,获取所述请求随机数。
2.根据权利要求1所述的对用户的安全设备进行解锁的方法,其特征在于,所述的管理服务器用所述解锁公钥对所述请求随机数进行加密得到解锁回应数据,将所述解锁回应数据发送给所述安全设备,包括:
所述管理服务器产生回应随机数,将所述回应随机数发送给所述用户的终端,用所述解锁公钥对所述请求随机数、回应随机数进行加密,得到解锁回应数据;
所述管理服务器将所述解锁回应数据发送给所述安全设备,所述安全设备接收输入的所述回应随机数;或者,所述管理服务器将所述解锁回应数据存储在管理服务器端的数据库中,所述用户的终端连接所述管理服务器端的数据库,根据所述回应随机数在所述管理服务器端的数据库中查询获取所述解锁回应数据,所述安全设备接收输入的所述回应随机数和解锁回应数据;或者,所述管理服务器将所述解锁回应数据存储在管理服务器端的数据库中,所述安全设备连接所述管理服务器端的数据库,根据所述回应随机数在所述管理服务器端的数据库中查询获取所述解锁回应数据,所述安全设备接收输入的所述回应随机数。
3.根据权利要求2所述的对用户的安全设备进行解锁的方法,其特征在于,所述的安全设备用所述解锁私钥对所述解锁回应数据进行解密,将所述解锁回应数据中携带的请求随机数和所述预先存储的随机数进行比较,在比较结果为一致后,所述安全设备自行解锁,包括:
所述安全设备用所述解锁私钥对所述解锁回应数据进行解密,将解密后的解锁回应数据中携带的请求随机数与本地保存的请求随机数进行比较,将解密后的解锁回应数据中携带的回应随机数与所述输入的回应随机数进行比较;
当所述安全设备判断解密后的解锁回应数据中携带的请求随机数与本地保存的请求随机数的比较结果为一致,并且解密后的解锁回应数据中携带的回应随机数与所述输入的回应随机数的比较结果为一致,则所述安全设备自行解锁;否则,所述安全设备将维持锁定。
4.根据权利要求3所述的对用户的安全设备进行解锁的方法,其特征在于,所述的方法还包括:
当所述解密后的解锁回应数据中还携带解锁回应指令时,所述安全设备还判断所述解锁回应指令是否正确,如果不正确,则所述安全设备将维持锁定;如果正确,则进一步结合所述请求随机数、回应随机数的比较结果决定是否解锁。
5.一种对用户的安全设备进行解锁的系统,其特征在于,包括:安全设备和管理服务器,
所述的安全设备包括:
请求随机数处理单元,用于在所述安全设备锁定后,产生并存储请求随机数;
解锁请求发送单元,用于用所述安全设备中存储的解锁私钥对所述请求随机数进行签名处理得到签名数据,向所述安全设备的管理服务器发送包含所述请求随机数、所述签名数据和所述安全设备的序列号的解锁请求数据;
所述的管理服务器包括,
解锁请求数据验证单元,用于根据所述解锁请求数据中携带的所述安全设备的序列号获取预先存储的解锁公钥,用所述解锁公钥对所述解锁请求数据中的请求随机数和签名数据进行验证签名处理;
解锁回应数据处理单元,用于在所述解锁请求数据验证单元的验证签名通过后,用所述解锁公钥对所述请求随机数进行加密得到解锁回应数据,将所述解锁回应数据发送给所述安全设备;
所述的安全设备还包括:
验证解锁单元,用于用所述解锁私钥对所述解锁回应数据进行解密,将所述解锁回应数据中携带的请求随机数和所述预先存储的请求随机数进行比较,在比较结果为一致后,所述安全设备自行解锁;
解锁密钥对产生和存储单元,用于为用户的安全设备产生唯一的解锁密钥对,所述解锁密钥对包括解锁私钥和解锁公钥,将所述解锁私钥存储在所述安全设备中,将所述安全设备发放给用户;将所述解锁公钥、安全设备的序列号、用户信息对应存储于所述管理服务器端的数据库中;将所述解锁私钥置为不可导出的状态,只能由所述安全设备计算使用;
数据库查询子单元,用于从所述解锁请求消息中提取所述解锁请求指令和所述安全设备的序列号,在所述数据库中查询获取所述安全设备的序列号对应的数据信息,该数据信息中包括:解锁公钥、安全设备的状态信息和用户信息;所述解锁公钥加密存储在所述管理服务器中,所述解锁公钥不公开;
验证和解密处理子单元,用于在通过检查确定所述安全设备的状态信息为正常,当所述解锁请求消息中还携带所述安全设备产生的解锁请求指令时,验证所述解锁请求指令为正确后,用所述解锁公钥对所述解锁请求数据进行所述签名处理所对应的验证签名处理,在验证签名通过后,获取所述请求随机数。
6.根据权利要求5所述的对用户的安全设备进行解锁的系统,其特征在于,所述的解锁回应数据处理单元包括:
回应随机数处理子单元,用于产生回应随机数,将所述回应随机数发送给所述用户的终端;
解锁回应数据产生子单元,用于用所述解锁公钥对所述请求随机数、回应随机数进行加密,得到解锁回应数据;
解锁回应数据发放子单元,用于将所述解锁回应数据发送给所述安全设备,以使得所述安全设备接收输入的所述回应随机数;或者,将所述解锁回应数据存储在管理服务器端的数据库中,以使得所述用户的终端连接所述管理服务器端的数据库,根据所述回应随机数在所述管理服务器端的数据库中查询获取所述解锁回应数据,所述安全设备接收输入的所述回应随机数和解锁回应数据;或者,将所述解锁回应数据存储在管理服务器端的数据库中,以使得所述安全设备连接所述管理服务器端的数据库,根据所述回应随机数在所述管理服务器端的数据库中查询获取所述解锁回应数据,所述安全设备接收输入的所述回应随机数。
7.根据权利要求6所述的对用户的安全设备进行解锁的系统,其特征在于,所述的验证解锁单元包括:
解密比较子单元,用于用所述解锁私钥对所述解锁回应数据进行解密,将解密后的解锁回应数据中携带的请求随机数与本地保存的请求随机数进行比较,将解密后的解锁回应数据中携带的回应随机数与所述输入的回应随机数进行比较;
判断解锁子单元,用于当所述安全设备判断解密后的解锁回应数据中携带的请求随机数与本地保存的请求随机数的比较结果为一致,并且解密后的解锁回应数据中携带的回应随机数与所述输入的回应随机数的比较结果为一致,当所述解密后的解锁回应数据中还携带解锁回应指令时,还判断所述解锁回应指令正确后,则所述安全设备自行解锁;否则,所述安全设备将维持锁定。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210144874.5A CN103391194B (zh) | 2012-05-10 | 2012-05-10 | 对用户的安全设备进行解锁的方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210144874.5A CN103391194B (zh) | 2012-05-10 | 2012-05-10 | 对用户的安全设备进行解锁的方法和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103391194A CN103391194A (zh) | 2013-11-13 |
| CN103391194B true CN103391194B (zh) | 2016-08-31 |
Family
ID=49535359
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210144874.5A Active CN103391194B (zh) | 2012-05-10 | 2012-05-10 | 对用户的安全设备进行解锁的方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103391194B (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106789024B (zh) * | 2016-12-30 | 2019-10-25 | 深圳市文鼎创数据科技有限公司 | 一种远程解锁方法、装置和系统 |
| CN108319824A (zh) * | 2017-01-18 | 2018-07-24 | 芜湖美的厨卫电器制造有限公司 | 租赁净饮机解锁系统和方法 |
| CN107146120B (zh) * | 2017-04-25 | 2020-10-09 | 大象慧云信息技术有限公司 | 电子发票的生成方法及生成装置 |
| CN110581829A (zh) * | 2018-06-08 | 2019-12-17 | 中国移动通信集团有限公司 | 通信方法及装置 |
| CN109509314A (zh) * | 2018-12-15 | 2019-03-22 | 深圳市捷诚技术服务有限公司 | Pos终端的模式切换方法、装置、存储介质以及pos终端 |
| CN114615046B (zh) * | 2022-03-07 | 2024-04-30 | 中国大唐集团科学技术研究总院有限公司 | 一种基于国密证书的管理员双因子认证方法 |
| CN117411643B (zh) * | 2023-12-11 | 2024-02-27 | 四川省数字证书认证管理中心有限公司 | 在线ukey的pin码安全系统及方法 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5982892A (en) * | 1997-12-22 | 1999-11-09 | Hicks; Christian Bielefeldt | System and method for remote authorization for unlocking electronic data |
| CN1371057A (zh) * | 2001-01-31 | 2002-09-25 | 美国索尼电脑娱乐公司 | 安全分销计算机软件产品的方法和系统 |
| CN101345626A (zh) * | 2008-08-29 | 2009-01-14 | 广东南方信息安全产业基地有限公司 | 电子锁和电子钥匙之间的验证方法 |
| CN101425933A (zh) * | 2008-12-04 | 2009-05-06 | 北京握奇数据系统有限公司 | 一种工具软件安装方法、设备及系统 |
| CN101527630A (zh) * | 2008-12-31 | 2009-09-09 | 北京飞天诚信科技有限公司 | 远程制证的方法、服务器及系统 |
| CN101763469A (zh) * | 2008-12-24 | 2010-06-30 | 盛大计算机(上海)有限公司 | 数字版权管理系统及其实现方法 |
| CN102006306A (zh) * | 2010-12-08 | 2011-04-06 | 广东高新兴通信股份有限公司 | 一种web服务的安全认证方法 |
| CN102299930A (zh) * | 2011-09-19 | 2011-12-28 | 北京无限新锐网络科技有限公司 | 一种保障客户端软件安全的方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7062656B2 (en) * | 2002-02-22 | 2006-06-13 | International Busness Machines Corporation | Method for providing secure access to information held in a shared respiratory |
-
2012
- 2012-05-10 CN CN201210144874.5A patent/CN103391194B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5982892A (en) * | 1997-12-22 | 1999-11-09 | Hicks; Christian Bielefeldt | System and method for remote authorization for unlocking electronic data |
| CN1371057A (zh) * | 2001-01-31 | 2002-09-25 | 美国索尼电脑娱乐公司 | 安全分销计算机软件产品的方法和系统 |
| CN101345626A (zh) * | 2008-08-29 | 2009-01-14 | 广东南方信息安全产业基地有限公司 | 电子锁和电子钥匙之间的验证方法 |
| CN101425933A (zh) * | 2008-12-04 | 2009-05-06 | 北京握奇数据系统有限公司 | 一种工具软件安装方法、设备及系统 |
| CN101763469A (zh) * | 2008-12-24 | 2010-06-30 | 盛大计算机(上海)有限公司 | 数字版权管理系统及其实现方法 |
| CN101527630A (zh) * | 2008-12-31 | 2009-09-09 | 北京飞天诚信科技有限公司 | 远程制证的方法、服务器及系统 |
| CN102006306A (zh) * | 2010-12-08 | 2011-04-06 | 广东高新兴通信股份有限公司 | 一种web服务的安全认证方法 |
| CN102299930A (zh) * | 2011-09-19 | 2011-12-28 | 北京无限新锐网络科技有限公司 | 一种保障客户端软件安全的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103391194A (zh) | 2013-11-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103391194B (zh) | 对用户的安全设备进行解锁的方法和系统 | |
| US6073237A (en) | Tamper resistant method and apparatus | |
| CN110868301B (zh) | 一种基于国密算法的身份认证系统及方法 | |
| CN107222476B (zh) | 一种认证服务方法 | |
| CN105162797B (zh) | 一种基于视频监控系统的双向认证方法 | |
| CN107508791B (zh) | 一种基于分散密钥加密的终端身份验证方法及系统 | |
| CN106713279A (zh) | 一种视频终端身份认证系统 | |
| CN110505055A (zh) | 基于非对称密钥池对和密钥卡的外网接入身份认证方法和系统 | |
| CN105991650A (zh) | 一种密钥获取方法、身份证信息的传输方法及系统 | |
| CN106101160A (zh) | 一种系统登录方法及装置 | |
| CN103812651A (zh) | 密码验证方法、装置及系统 | |
| CN106027473A (zh) | 身份证读卡终端与云认证平台数据传输方法和系统 | |
| CN110401613A (zh) | 一种认证管理方法和相关设备 | |
| CN109285256A (zh) | 基于区块链身份验证的机房进门权限给定方法 | |
| CN106027252A (zh) | 一种身份证认证系统中的云认证平台 | |
| CN110519222A (zh) | 基于一次性非对称密钥对和密钥卡的外网接入身份认证方法和系统 | |
| CN102571341B (zh) | 一种基于动态图像的认证系统及认证方法 | |
| CN110176989A (zh) | 基于非对称密钥池的量子通信服务站身份认证方法和系统 | |
| CN108055124A (zh) | 锁管理系统及锁管理方法 | |
| CN105243305A (zh) | 基于生物识别特征的访问控制方法及系统 | |
| CN106027256B (zh) | 一种身份证读卡响应系统 | |
| CN112261103A (zh) | 一种节点接入方法及相关设备 | |
| CN110084031A (zh) | 一种认证逻辑可自定义的信息系统账号安全认证平台 | |
| CN103248490B (zh) | 一种备份电子签名令牌中信息的方法和系统 | |
| CN109902481A (zh) | 一种用于加密设备的加密锁认证方法及加密设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |