CN108768941B - 一种远程解锁安全设备的方法及装置 - Google Patents
一种远程解锁安全设备的方法及装置 Download PDFInfo
- Publication number
- CN108768941B CN108768941B CN201810355758.5A CN201810355758A CN108768941B CN 108768941 B CN108768941 B CN 108768941B CN 201810355758 A CN201810355758 A CN 201810355758A CN 108768941 B CN108768941 B CN 108768941B
- Authority
- CN
- China
- Prior art keywords
- password
- unlocking
- security device
- user
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
- H04L63/0838—Network architectures or network communication protocols for network security for authentication of entities using passwords using one-time-passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
Abstract
本发明公开了一种远程解锁安全设备的方法及装置,所述方法包括:所述安全设备将所述安全设备的用户证书发送至解锁服务器;所述安全设备获取用户从解锁服务器接收的动态口令,以及所述安全设备从所述解锁服务器获取的第一口令;所述动态口令和所述第一口令为所述解锁服务器根据所述用户证书生成的;所述用户为所述解锁服务器根据所述用户证书确定出的所述安全设备的合法持有者;所述安全设备在确定所述动态口令与所述第一口令比对成功后,解锁所述安全设备。
Description
技术领域
本发明涉及数据处理技术领域,尤其涉及一种远程解锁安全设备的方法及装置。
背景技术
随着互联网技术的不断发展,越来越多的人开始通过网络进行网络购物以及办理银行业务等。在网络购物以及办理银行业务时,需要进行转账业务、支付业务等业务的操作。为了保证业务操作的安全,需要对业务操作进行验证。
通常而言,包括手机、智能设备等用软件加密保护以及身份验证的信息安全设备产品,通常会包括用户自行设定的密码,用来防止他人盗用。当用户自行修改密码后,若用户在忘记自行设定的密码或安全设备被锁定后,现有的方式是需要用户去银行等开通安全设备功能的机构进行解锁,这一过程不仅需要耗费大量的人力、物力,给用户正常使用信息安全设备带来不必要的麻烦。
发明内容
本发明实施例提供了一种远程解锁安全设备的方法及装置,用以解决现有的安全设备系统所存在的无法远程解锁的问题。
本发明实施例提供了一种远程解锁安全设备的方法,所述方法包括:
所述安全设备将所述安全设备的用户证书发送至解锁服务器;
所述安全设备获取用户从解锁服务器接收的动态口令,以及所述安全设备从所述解锁服务器获取的第一口令;所述动态口令和所述第一口令为所述解锁服务器根据所述用户证书生成的;所述用户为所述解锁服务器根据所述用户证书确定出的所述安全设备的合法持有者;
所述安全设备在确定所述动态口令与所述第一口令比对成功后,解锁所述安全设备。
一种可能的实现方式,所述第一口令与所述动态口令相同,所述安全设备在确定所述动态口令与所述第一口令成功后,解锁所述安全设备,包括:
所述安全设备若确定所述动态口令与所述第一口令相同,则解锁所述安全设备。
一种可能的实现方式,所述安全设备在确定所述动态口令与所述第一口令比对成功后,解锁所述安全设备,包括:
所述安全设备使用所述动态口令解密所述第一口令;
所述安全设备在确定解密成功后,解锁所述安全设备。
一种可能的实现方式,所述安全设备通过以下方式确定解密成功,包括:
所述安全设备将所述安全设备的第二口令发送至所述解锁服务器;
所述安全设备接收所述解锁服务器发送的所述第一口令,所述第一口令为为所述解锁服务器使用所述动态口令加密所述第二口令得到的;
所述安全设备使用从用户获取的所述动态口令解密所述第一口令,获得第三口令;
所述安全设备若确定所述第三口令与所述第二口令相同,则确定解密成功。
一种可能的实现方式,所述安全设备将所述安全设备的第一口令A发送至所述解锁服务器,包括:
所述安全设备获取解锁服务器的公钥;
所述安全设备通过所述公钥将所述安全设备的第二口令加密成第一加密口令;
所述安全设备将所述安全设备的所述第一加密口令发送至所述解锁服务器;所述第二口令为所述解锁服务器通过所述公钥对应的私钥将所述第一加密口令解密后获得的。
一种可能的实现方式,所述解锁所述安全设备之后,还包括:所述安全设备根据用户发送的修改密码的指令,修改所述安全设备的密码。
本发明实施例提供了一种远程解锁安全设备的装置,所述装置包括:
收发单元,用于将所述安全设备的用户证书发送至解锁服务器;所述安全设备获取用户从解锁服务器接收的动态口令,以及所述安全设备从所述解锁服务器获取的第一口令;所述动态口令和所述第一口令为所述解锁服务器根据所述用户证书生成的;所述用户为所述解锁服务器根据所述用户证书确定出的所述安全设备的合法持有者;
处理单元,用于在确定所述动态口令与所述第一口令比对成功后,解锁所述安全设备。
一种可能的实现方式,所述第一口令与所述动态口令相同,所述处理单元具体用于:
若确定所述动态口令与所述第一口令相同,则解锁所述安全设备。
一种可能的实现方式,所述处理单元具体用于:
使用所述动态口令解密所述第一口令;在确定解密成功后,解锁所述安全设备。
一种可能的实现方式,所述收发单元具体用于:
将所述安全设备的第二口令发送至所述解锁服务器;接收所述解锁服务器发送的所述第一口令,所述第一口令为为所述解锁服务器使用所述动态口令加密所述第二口令得到的;
所述处理单元具体用于:使用从用户获取的所述动态口令解密所述第一口令,获得第三口令;若确定所述第三口令与所述第二口令相同,则确定解密成功。
一种可能的实现方式,所述收发单元具体用于:获取解锁服务器的公钥;将所述安全设备的所述第一加密口令发送至所述解锁服务器;所述第二口令为所述解锁服务器通过所述公钥对应的私钥将所述第一加密口令解密后获得的;
所述处理单元具体用于:通过所述公钥将所述安全设备的第二口令加密成第一加密口令。
一种可能的实现方式,所述处理单元具体用于:
根据用户发送的修改密码的指令,修改所述安全设备的密码。
本发明有益效果如下:
本发明实施例提供了一种远程解锁安全设备的方法及装置。相比于现有技术,在本发明实施例中,通过安全设备将所述安全设备的用户证书发送至解锁服务器;所述解锁服务器根据所述用户证书确定出的所述安全设备的合法持有者,即所述用户;所述解锁服务器根据所述用户证书生成所述动态口令和所述第一口令,并发送动态口令至所述用户;所述安全设备获取所述第一口令和所述动态口令;所述安全设备在确定所述动态口令与所述第一口令比对成功后,解锁所述安全设备。因而能够保证远程解锁的安全性和私密性,解决了用户只能到柜台解锁安全设备的问题。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简要介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1所示为本发明实施例提供的一种远程解锁安全设备的方法的架构示意图;
图2所示为本发明实施例提供一种远程解锁安全设备的方法的流程示意图;
图3所示为本发明实施例提供一种远程解锁安全设备的方法的流程示意图;
图4所示为本发明实施例提供一种远程解锁安全设备的方法的流程示意图;
图5所示为本发明实施例提供一种远程解锁安全设备的装置的结构示意图。
具体实施方式
网上银行首要的关键问题就是安全,安全是所有一切的基础。本发明实施例中的安全设备可以为基于USB接口的可移动身份认证设备,专门针对银行业或其它数字证书用户,例如,USB-key,智能卡,智能密钥设备等。所述安全设备支持数字签名和PKI体系,可生成并储存私钥和数字证书,被用作客户数字证书和私有密钥的载体,在网络上用于鉴别用户身份。以下以usb-key为例进行说明。
USB Key是一种USB接口的硬件设备。可以包括内置单片机或智能卡芯片,可以实现数据摘要、数据加解密和签名的各种算法,加解密运算在USB Key内进行,例如,带有智能卡芯片的USB Key可以通过内置的智能卡芯片在Key内部硬件实现DES/3DES、RSA加解密运算,并支持Key内生成RSA密钥对,杜绝了密钥在客户端内存中出现的可能性,大大提高了安全性。
USB Key采用公钥加密的认证模式,公钥密码体制和数字证书从密码学的角度上保证了USB Key的安全性,在USB Key初始化的时候,先将密码算法程序存储于在客户端中,然后通过产生公私密钥对的程序生成一对公私密钥,公私密钥产生后,公钥可以导出到USBKey外,而私钥则存储于密钥区,不允许外部访问。进行数字签名时以及非对称解密运算时,有私钥参与的密码运算只在芯片内部即可完成,全过程中私钥可以不出USB Key介质,以此来保证以USB Key为存储介质的数字证书认证的安全。
客户端还包括存储空间,可以存储用户的私钥以及数字证书,USB Key的密钥存储于安全的介质之中,外部用户无法直接读取,对密钥文件的读写和修改都必须由USB Key内的程序调用。从USB Key接口的外面,没有任何一条命令能够对密钥区的内容进行读出、修改、更新和删除。
利用USB Key内置的公钥算法实现对用户身份的认证。支持公钥技术设施(PublicKey Infrastructure,PKI),可在USB Key内部生成密钥对,存储密钥对和数字证书,以及在USB Key内部执行签名操作。USB Key硬件内部生成密钥对,私钥从生成、管理到销毁始终在USB Key硬件内部完成,消除了密钥外流的危险性。由于用户私钥保存在密码锁中,因此保证了用户认证的安全性。
利用USB Key来保存数字证书和用户私钥,并对应用开发商提供符合PKI标准的编程接口,如PKCS#11和MSCAPI,以便于开发基于PKI的应用程序。由于USB Key本身作为密钥存储器,其自身的硬件结构决定了用户只能通过厂商编程接口访问数据,保证了保存在USBKey中的数字证书无法被复制,并且每一个USB Key都带有PIN码保护,这样USB Key的硬件和PIN码构成了可以使用证书的两个必要因子。如果用户PIN码被泄漏,只要保存好USBKey的硬件就可以保护自己的证书不被盗用,如果用户的USB Key丢失,获得者由于不知道该硬件的PIN码,也无法盗用用户存在USB Key中的证书。
USB Key的硬件和PIN码构成了可以使用证书的两个必要因素。如果用户PIN码被泄漏,只要USB Key本身不被盗用即安全。黑客如果想要通过破解加密狗的方法破解USBKey,那么需要先偷到用户USB Key的物理硬件。黑客需要同时取得用户的USB Key硬件以及用户的PIN码,才可以登录系统。即使用户的PIN码被泄漏,只要用户持有的USB Key不被盗取,合法用户的身份就不会被仿冒;如果用户的USB Key遗失,拾到者由于不知道用户PIN码,也无法仿冒合法用户的身份。
申请USB-key需要用户本人到银行网点进行业务申请,通过安装应用数字证书和PKI体系实现网上账户资金的交易和转移。USB Key的使用方法是,当登录网银系统的时候,在用户设备上插入USB Key,然后输入PIN码,如果验证通过,则可以进行相关交易。这种加密方式使用了双钥加密,私钥安全地保存在Key中,在网络应用的环境下,可以更安全,弥补了动态密码锁单钥加密的一些缺陷。
将客户端登录时所需的认证信息,(如用户名,密码,QQ,邮箱,电话,身份证号等等)写入到USB-key内,可以写入算法,也可写入代码,从而让key取代传统的"用户名+密码"的登录方式,实现插上USB-key才能登录网站或应用系统。客户端第一次插上USB-key登录时,(以后登录不需再做此设置)会自动下载身份识别控件,可以根据需要,设定客户端是自动安装控件,还是手动安装。如淘宝的支付宝盾、网上银行的U盾等。USB-key都有全球唯一ID,可以将ID与客户端整合,通过读取ID来获取客户端的登录和使用信息。若客户端的USB-key不慎丢失,可以在数据库里取消key的绑定。
在本发明实施例中,USB-key出厂时都会带有两个默认的第二口令和第四口令。第二口令可以是随机的,也可以是固定的某个值,且出厂后不再修改,用于标识所述USB-key的ID;第四口令是默认的一个固定的值,初始值可以由厂家自定义,用户在使用过程中可通过验证后自行修改。当USB-key生成密钥对并且从数字认证中心(CA)服务器下载了证书信息,USB-key验证通过后,用户可以自行修改第四口令。
若用户使用USB-key进行业务交易时,忘记了修改后的第四口令B,将导致USB-key无法正常使用,当用户尝试了多次第四口令B,且达到了USB-key默认设置的最大尝试输入的次数时,USB-key将被锁定。现有技术中USB-key解锁方式都是发放所述USB-key设备的柜台办理,这样会增加柜台的业务压力,浪费用户的宝贵的时间,降低用户体验。
为了解决现有的的问题,本发明实施例提供了一种远程解锁系统,如图1所示,包括:客户端,用于使用USB Key,解锁服务器,动态口令服务器;
USB Key,能够进行RSA等加密算法运算,私钥无法读取,USB Key的安全性在于私钥不能被导出,加密解密运算用Key内完成,需要PIN码验证。
本发明实施例提供一种验证方法,如图1所示,包括以下步骤:
步骤101:安全设备将所述安全设备的用户证书发送至解锁服务器;
步骤102:所述安全设备获取用户从解锁服务器接收的动态口令,以及所述安全设备从所述解锁服务器获取的第一口令;
其中,所述动态口令和所述第一口令为所述解锁服务器根据所述用户证书生成的;所述用户为所述解锁服务器根据所述用户证书确定出的所述安全设备的合法持有者;
步骤103:所述安全设备在确定所述动态口令与所述第一口令比对成功后,解锁所述安全设备。
在步骤101中,所述安全设备可以通过以下方式与所述解锁服务器建立通信,具体可以包括:
所述解锁服务器向所述安全设备发送对所述安全设备的远程解锁请求。
其中,一种可能的实现方式,所述远程解锁请求可以为用户登录所述解锁服务器的解锁页面后生成的;
一种可能的实现方式,所述解锁页面可以为所述解锁服务器生成的单项的https协议的web页面,用于指示用户发送所述远程解锁请求;也可通过其他方式指示用户发送所述远程解锁请求。例如,所述解锁服务器生成对应的应用程序,用户通过所述应用程序发送所述远程解锁请求。
一种可能的实现方式,在发送所述远程解锁请求之前,用户需要先将所述安全设备与用户的用户设备连接,用于所述安全设备与所述解锁服务器建立通信连接。
在具体实施过程中,所述安全设备通过调用对应的接口,与所述解锁服务器建立通信连接。
在步骤102中,所述解锁服务器可以根据所述安全设备的用户证书,生成所述动态口令,具体包括以下步骤:
步骤一、所述解锁服务器根据所述用户证书,确定所述安全设备的用户信息;
步骤二、所述动态令牌服务器根据所述用户信息,生成所述动态口令,并将所述动态口令发送至所述用户信息对应的用户的用户设备和所述解锁服务器上。
动态口令是根据专门的算法生成一个不可预测的随机数字组合,每个密码只能使用一次。生成动态口令的终端可以有硬件令牌、短信密码、手机令牌、软件令牌等。例如,短信密码可以通过手机短信的形式请求包含6位或更多随机数的动态口令,动态令牌系统以短信形式发送随机的6/8位密码到用户的手机上,用户在登录或者交易认证时候输入此动态口令,从而确保系统身份认证的安全性。例如,基于时间同步的硬件口令牌,可以每60秒变换一次动态口令,动态口令一次有效,可以产生6位或8位动态数字。手机令牌是一种手机客户端软件,它是基于时间同步方式,每隔30秒产生一个随机6位动态密码,口令生成过程不产生通信及费用,具有使用简单、安全性高、低成本、无需携带额外设备、容易获取、无物流等优势。
通过用户证书的信息的获取,可以确定所述安全设备的合法拥有者,即所述安全设备在柜台登记的用户,进而通过发送动态口令的方式,验证发送所述远程解锁请求的用户是否为所述安全设备的合法拥有者。另外,若所述用户接收到所述动态口令,但是并未发出所述远程解锁的请求,可以及时发现所述用户的安全设备可能被盗用,从而提高所述安全设备的安全性,进一步降低所述用户的财务风险。
在步骤102中,所述安全设备获取所述用户接收的所述动态口令,可以通过以下方式实现:
所述用户通过生成第一解锁请求将获得的动态口令发送至所述安全设备。
结合上面的例子,具体实施过程可以包括:
步骤一、用户在所述解锁服务器生成的web页面上输入所述动态口令;
步骤二、所述解锁服务器的web页面获取所述用户输入的所述动态口令,生成第一解锁请求;
步骤三、所述安全设备通过调用对应的接口获取所述第一解锁请求中的所述动态口令。
在步骤102的一个具体的实施例中,所述第一口令与所述动态口令可以相同,即所述解锁服务器将生成的所述动态口令发送至所述用户和所述安全设备,在具体实施过程中,结合上述例子,可以包括:
步骤一、所述解锁服务器根据所述动态口令,生成第二解锁请求;
步骤二、所述安全设备通过调用对应的接口获取所述第二解锁请求中的所述动态口令。
因此,在步骤103中,所述安全设备可以通过以下方式进行验证,包括:
所述安全设备若确定所述动态口令与所述第一口令相同,则解锁所述安全设备。
通过上述步骤,所述安全设备可以确定所述安全设备的合法拥有者为发出所述远程解锁请求的用户,即可以执行解锁,解决了用户需要到柜台解锁安全设备的问题。
为提高远程解锁的安全性,所述动态口令和所述第一口令可以不同,一种可能的实现方式,所述第一口令可以为根据所述动态口令加密后的口令。在具体实施过程中,可以包括以下步骤:
步骤一、所述解锁服务器根据所述解锁服务器的私钥加密所述动态口令,生成所述第一口令;
步骤二、所述安全设备获取所述解锁服务器的所述私钥对应的公钥,并根据所述公钥解密所述第一口令为第一动态口令;
在具体实施过程中,所述安全设备获取所述解锁服务器发送至所述安全设备的远程解锁指令,并获取所述解锁服务器的证书,所述证书包括所述解锁服务器的公钥,通过所述解锁服务器的公钥和私钥组成的密钥对,所述安全设备与所述解锁服务器之间建立安全通信。
所述安全设备若解密成功,则所述安全设备可以确定所述第一口令为所述解锁服务器发送的,以保证所述解锁服务器与所述安全设备在公网中发送的信息的安全性。
步骤三、所述安全设备若确定所述第一动态口令与所述动态口令相同,则解锁所述安全设备。
为进一步提高远程解锁的安全性,如图2所示,本申请实施例提供一种远程解锁方法,具体的,所述安全设备通过以下方式确定解密成功,包括以下步骤:
步骤201:所述安全设备将所述安全设备的第二口令发送至所述解锁服务器;
其中,所述第二口令用于唯一标识所述安全设备。
步骤202:所述解锁服务器向所述安全设备发送第一口令;
其中,所述第一口令为所述解锁服务器使用动态口令加密所述第二口令得到的;
其中,所述加密算法可以为单密钥加密算法,采用单钥密码系统的加密方法,同一个密钥可以同时用作信息的加密和解密,这种加密方法称为对称加密,也称为单密钥加密,其特点是算法公开、计算量少、加密速度快,对于同样大小的传输对象,对称加密效率通常为非对称加密的千倍左右,因此通常被广泛应用于很多加密协议的核心工作(如https在数据通信时使用对称加密算法)。在数据传送前,发送方和接收方确定秘钥,然后使双方都能保存好秘钥。
在本发明实施例中,所述安全设备和所述解锁服务器可以根据预设的加密算法中对应的秘钥作为所述动态口令。
步骤203:所述解锁服务器向用户发送所述动态口令;
步骤204:所述用户根据接收的所述动态口令,向所述解锁服务器输入所述动态口令;
其中,所述用户向所述解锁服务器输入所述动态口令的方式,可以为在所述解锁服务器的显示界面中输入所述动态口令,也可以为用户向所述解锁服务器发送短信等方式,在此不做限定。
步骤205:所述安全设备使用从所述用户获取的所述动态口令解密所述第一口令,获得第三口令;
步骤206:所述安全设备若确定所述第三口令与所述第二口令相同,则确定解密成功。
具体解锁过程,可以根据实际的安全设备进行确定,在此不做限定。
在一种具体的实施过程中,如图2所示,本申请实施例提供一种验证方法,包括:
为提高远程解锁的安全性,一种可能的实现方式,在步骤一中,所述安全设备可以通过以下方式将所述第二口令发送至所述解锁服务器,具体的,如图3所示,可以包括以下步骤:
步骤301:所述安全设备获取所述解锁服务器的公钥;
步骤302:所述安全设备通过所述公钥将所述安全设备的第二口令加密成第一加密口令;
步骤303:所述安全设备将所述安全设备的所述第一加密口令发送至所述解锁服务器;
步骤304:所述解锁服务器通过所述公钥对应的私钥将所述第一加密口令解密后获得第一解密口令。
一种可能的场景中,在上述加密解密无误的情况下,所述第一加密口令解密后可以直接获得所述第二口令。
一种可能的场景中,若出现解密错误,可能的原因是非解锁服务器截获所述第一加密口令并对其篡改,则所述解锁服务器解密出的数据则与所述第二口令不同,此时,所述解锁服务器根据解密的数据通过所述动态口令进行加密后发送至所述安全设备,所述安全设备根据所述用户输入的所述动态口令解密出的第三口令与所述第二口令不同,因此,通过上述方法,可以提高远程解锁的安全性。
为提高所述解锁过程的安全性,防止所述第二口令在解锁过程中被窃取,一种可能的实现方式,所述安全设备可以通过对所述第二口令进行哈希处理,获得第二哈希口令;所述安全设备在与所述解锁服务器通信的过程中,所述第二口令可以以所述第二哈希口令的方式发送,所述解锁服务器仅能获得所述第二哈希口令,对于任何用户和设备,所述第二口令都是不可见的,相对于现有技术中,通过直接去柜台输入第二口令解锁所述安全设备的方式,提高了解锁过程的安全性和解锁效率。
在成功解锁所述安全设备后,可以通知所述用户重新设置所述第四口令B,具体的,可以包括:
步骤一、所述解锁页面通知所述用户解锁成功,并发送修改密码的指令;
步骤二、所述安全设备根据用户发送的所述修改密码的请求,重新输入密码;
步骤三、所述安全设备将所述重新输入的密码更新所述安全设备的第四口令。
本发明实施例提供一种远程解锁安全设备的方法的流程示意图,如图4所示,包括以下步骤:
步骤401:解锁服务器解收用户的远程解锁请求;
步骤402:所述解锁服务器发送第一解锁请求,所述第一解锁请求用于将所述远程解锁请求发送至所述远程解锁请求对应的安全设备;所述第一解锁请求可以包括所述解锁服务器的公钥;
步骤403:所述安全设备根据获取的所述解锁服务器的公钥,加密第二口令为第一加密口令;
步骤404:所述安全设备将所述安全设备的所述第一加密口令和用户证书发送至所述解锁服务器;
步骤405:所述解锁服务器根据所述解锁服务器的私钥解密所述第一加密口令为第一解密口令;
步骤406:所述解锁服务器根据所述用户证书生成动态口令;
步骤407:所述解锁服务器根据所述第一解密口令和所述动态口令,通过单密钥算法,生成第一口令;
步骤408:所述解锁服务器将所述第一口令发送至所述安全设备;
步骤409:所述解锁服务器将所述动态口令发送至所述用户证书对应的用户;
步骤410:所述用户将所述动态口令输入至所述解锁服务器,所述解锁服务器根据所述用户输入的所述动态口令,生成第二解锁请求;
步骤411:所述安全设备对应的接口获取所述第二解锁请求中的所述动态口令;所述安全设备根据所述动态口令解密所述第一口令,获得第三口令;
步骤412:所述安全设备若确定所述第三口令与所述第二口令相同,则解锁所述安全设备:,并发送解锁成功的消息至所述解锁服务器;
步骤413:所述解锁服务器接收所述安全设备发送的解锁成功的消息后,向所述用户发送重新输入密码的指令;
步骤414:所述解锁服务器接收所述用户输入的密码,并更新第四口令为所述用户输入的密码。
步骤415:所述安全设备若确定所述第三口令与所述第二口令不同,则拒绝所述远程解锁的请求,并发送解锁失败的消息至所述解锁服务器;
步骤416:所述解锁服务器通知所述用户解锁失败。
如图5所示,本发明实施例提供了一种远程解锁安全设备的装置,所述装置包括:
收发单元501,用于将所述安全设备的用户证书发送至解锁服务器;所述安全设备获取用户从解锁服务器接收的动态口令,以及所述安全设备从所述解锁服务器获取的第一口令;所述动态口令和所述第一口令为所述解锁服务器根据所述用户证书生成的;所述用户为所述解锁服务器根据所述用户证书确定出的所述安全设备的合法持有者;
处理单元502,用于在确定所述动态口令与所述第一口令比对成功后,解锁所述安全设备。
一种可能的实现方式,所述第一口令与所述动态口令相同,处理单元502具体用于:
若确定所述动态口令与所述第一口令相同,则解锁所述安全设备。
一种可能的实现方式,处理单元502具体用于:
使用所述动态口令解密所述第一口令;在确定解密成功后,解锁所述安全设备。
一种可能的实现方式,收发单元501具体用于:
将所述安全设备的第二口令A发送至所述解锁服务器;接收所述解锁服务器发送的所述第一口令,所述第一口令为为所述解锁服务器使用所述动态口令加密所述第二口令得到的;
处理单元502具体用于:使用从用户获取的所述动态口令解密所述第一口令,获得第三口令;若确定所述第三口令与所述第二口令相同,则确定解密成功。
一种可能的实现方式,收发单元501具体用于:获取解锁服务器的公钥;将所述安全设备的所述第一加密口令发送至所述解锁服务器;所述第一口令A为所述解锁服务器通过所述公钥对应的私钥将所述第一加密口令EA解密后获得的;
处理单元502具体用于:通过所述公钥将所述安全设备的第一口令加密成第一加密口令。
一种可能的实现方式,处理单元502具体用于:
根据用户发送的修改密码的指令,修改所述安全设备的密码。
本发明实施例提供了一种计算机存储介质,用于储存为上述计算设备所用的计算机程序指令,其包含用于执行上述执行主体为远程解锁安全设备方法的程序。
所述计算机存储介质可以是计算机能够存取的任何可用介质或数据存储设备,包括但不限于磁性存储器(例如软盘、硬盘、磁带、磁光盘(MO)等)、光学存储器(例如CD、DVD、BD、HVD等)、以及半导体存储器(例如ROM、EPROM、EEPROM、非易失性存储器(NAND FLASH)、固态硬盘(SSD))等。
本领域技术人员应明白,本发明的实施例可提供为方法、装置(设备)、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、装置(设备)和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (7)
1.一种远程解锁安全设备的方法,其特征在于,所述方法包括:
所述安全设备将第二口令和所述安全设备的用户证书发送至解锁服务器;
所述安全设备获取用户从所述解锁服务器接收的动态口令,以及所述安全设备从所述解锁服务器获取的第一口令;所述动态口令和所述第一口令为所述解锁服务器根据所述用户证书确定所述安全设备的用户信息后生成的;所述用户为所述解锁服务器根据所述用户证书确定出的所述安全设备的合法持有者;所述第一口令为所述解锁服务器使用所述动态口令加密所述第二口令得到的;
所述安全设备在确定所述动态口令与所述第一口令比对成功后,解锁所述安全设备,包括:
所述安全设备使用从用户获取的所述动态口令解密所述第一口令,获得第三口令;
所述安全设备若确定所述第三口令与所述第二口令相同,则确定解密成功。
2.如权利要求1所述的方法,其特征在于,所述安全设备将所述安全设备的第二口令发送至所述解锁服务器,包括:
所述安全设备获取解锁服务器的公钥;
所述安全设备通过所述公钥将所述安全设备的第二口令加密成第一加密口令;
所述安全设备将所述安全设备的所述第一加密口令发送至所述解锁服务器;所述第二口令为所述解锁服务器通过所述公钥对应的私钥将所述第一加密口令解密后获得的。
3.如权利要求1所述的方法,其特征在于,所述解锁所述安全设备之后,还包括:所述安全设备根据用户发送的修改密码的指令,修改所述安全设备的密码。
4.一种远程解锁安全设备的方法,其特征在于,所述方法包括:
解锁服务器接收所述安全设备发送的第二口令和所述安全设备的用户证书;
所述解锁服务器根据所述用户证书确定所述安全设备的用户信息后确定出的所述安全设备的合法持有者;
所述解锁服务器将动态口令发送给用户;所述用户为所述合法持有者;
所述解锁服务器将第一口令发送给所述安全设备;所述第一口令为所述解锁服务器使用所述动态口令加密所述第二口令得到的;所述安全设备用于根据所述动态口令解密所述第一口令,获得第三口令,并在确定所述第三口令与所述第二口令相同,确定解密成功。
5.一种远程解锁安全设备的装置,其特征在于,所述装置包括:
收发单元,用于将第二口令和所述安全设备的用户证书发送至解锁服务器;所述安全设备获取用户从所述解锁服务器接收的动态口令,以及所述安全设备从所述解锁服务器获取的第一口令;所述动态口令和所述第一口令为所述解锁服务器根据所述用户证书确定所述安全设备的用户信息后生成的;所述用户为所述解锁服务器根据所述用户证书确定出的所述安全设备的合法持有者;所述第一口令为所述解锁服务器使用所述动态口令加密所述第二口令得到的;
处理单元,用于在确定所述动态口令与所述第一口令比对成功后,解锁所述安全设备,包括:
所述安全设备使用从用户获取的所述动态口令解密所述第一口令,获得第三口令;
所述安全设备若确定所述第三口令与所述第二口令相同,则确定解密成功。
6.如权利要求5所述的装置,其特征在于,所述收发单元具体用于:获取解锁服务器的公钥;将所述安全设备的第一加密口令发送至所述解锁服务器;所述第二口令为所述解锁服务器通过所述公钥对应的私钥将所述第一加密口令解密后获得的;
所述处理单元具体用于:通过所述公钥将所述安全设备的第二口令加密成第一加密口令。
7.如权利要求5所述的装置,其特征在于,所述处理单元具体用于:
根据用户发送的修改密码的指令,修改所述安全设备的密码。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810355758.5A CN108768941B (zh) | 2018-04-19 | 2018-04-19 | 一种远程解锁安全设备的方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810355758.5A CN108768941B (zh) | 2018-04-19 | 2018-04-19 | 一种远程解锁安全设备的方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108768941A CN108768941A (zh) | 2018-11-06 |
| CN108768941B true CN108768941B (zh) | 2021-08-31 |
Family
ID=64011240
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810355758.5A Active CN108768941B (zh) | 2018-04-19 | 2018-04-19 | 一种远程解锁安全设备的方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108768941B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113345139A (zh) * | 2021-06-03 | 2021-09-03 | 珠海优特物联科技有限公司 | 开锁方法、智能锁芯和智能锁系统 |
| CN113593088A (zh) * | 2021-07-27 | 2021-11-02 | 胡奕旸 | 一种智能开锁方法、智能锁、移动终端及服务器 |
| CN114158051B (zh) * | 2021-11-30 | 2024-01-09 | 元心信息科技集团有限公司 | 解锁方法、装置、电子设备及计算机可读存储介质 |
| CN117411643B (zh) * | 2023-12-11 | 2024-02-27 | 四川省数字证书认证管理中心有限公司 | 在线ukey的pin码安全系统及方法 |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101166085B (zh) * | 2007-09-24 | 2012-03-07 | 飞天诚信科技股份有限公司 | 远程解锁方法和系统 |
| US8966581B1 (en) * | 2011-04-07 | 2015-02-24 | Vmware, Inc. | Decrypting an encrypted virtual machine using asymmetric key encryption |
| CN102571802B (zh) * | 2012-01-18 | 2016-04-13 | 深圳市文鼎创数据科技有限公司 | 信息安全设备及服务器远程解锁方法、设备和服务器 |
| CN102571823A (zh) * | 2012-02-27 | 2012-07-11 | 深圳趋势数码科技有限公司 | 一种对优盘数据进行远程安全保护的方法 |
| CN103647695A (zh) * | 2013-10-31 | 2014-03-19 | 北京奇虎科技有限公司 | 一种客户端应用程序的用户注册方法、移动终端及服务器 |
| CN104753886B (zh) * | 2013-12-31 | 2018-10-19 | 中国科学院信息工程研究所 | 一种对远程用户的加锁方法、解锁方法及装置 |
| CN104469767B (zh) * | 2014-10-28 | 2017-12-26 | 杭州电子科技大学 | 一套移动办公系统中集成式安全防护子系统的实现方法 |
| CN106210913B (zh) * | 2016-08-09 | 2019-07-23 | 北海爱飞数码科技有限公司 | 具有安全支付功能的电视机系统 |
| CN107893583A (zh) * | 2017-10-16 | 2018-04-10 | 杭州软库科技有限公司 | 一种智能门锁系统及控制方法 |
-
2018
- 2018-04-19 CN CN201810355758.5A patent/CN108768941B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN108768941A (zh) | 2018-11-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11258777B2 (en) | Method for carrying out a two-factor authentication | |
| CN111756533B (zh) | 用于安全密码生成的系统、方法和存储介质 | |
| JP6117317B2 (ja) | 否認防止方法、このための決済管理サーバおよび使用者端末 | |
| US9338163B2 (en) | Method using a single authentication device to authenticate a user to a service provider among a plurality of service providers and device for performing such a method | |
| JP6586446B2 (ja) | 通信端末および関連システムのユーザーの識別情報を確認するための方法 | |
| EP3487142B1 (en) | Providing and obtaining graphic payment code information | |
| CN111034120B (zh) | 基于身份信息的加密密钥管理 | |
| CN108768941B (zh) | 一种远程解锁安全设备的方法及装置 | |
| CN100533459C (zh) | 数据安全读取方法及其安全存储装置 | |
| CN111404696B (zh) | 协同签名方法、安全服务中间件、相关平台及系统 | |
| KR20140126787A (ko) | PUF 기반 하드웨어 OTP 제공 장치 및 이를 이용한 2-Factor 인증 방법 | |
| US20170171183A1 (en) | Authentication of access request of a device and protecting confidential information | |
| CN110290134B (zh) | 一种身份认证方法、装置、存储介质及处理器 | |
| CN107920052B (zh) | 一种加密方法及智能装置 | |
| KR101724401B1 (ko) | 생체 정보 인식과 키 분할 방식을 이용한 공인인증 시스템 및 그 방법, 그 방법을 수행하는 프로그램이 기록된 기록매체 | |
| KR100939725B1 (ko) | 모바일 단말기 인증 방법 | |
| CN111401901B (zh) | 生物支付设备的认证方法、装置、计算机设备和存储介质 | |
| CN106936588A (zh) | 一种硬件控制锁的托管方法、装置及系统 | |
| CN101944216A (zh) | 双因子在线交易安全认证方法及系统 | |
| TWI476629B (zh) | Data security and security systems and methods | |
| JP2016515778A (ja) | アプリケーション暗号化処理方法、装置及び端末 | |
| CN107947934B (zh) | 基于银行系统的移动终端的指纹识别认证系统及方法 | |
| KR102053993B1 (ko) | 인증서를 이용한 사용자 인증 방법 | |
| KR101947408B1 (ko) | PUF 기반 하드웨어 OTP 제공 장치 및 이를 이용한 2-Factor 인증 방법 | |
| KR20190002388A (ko) | PUF 기반 하드웨어 OTP 제공 장치 및 이를 이용한 2-Factor 인증 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |