CN109617703B - 密钥管理方法和装置、电子设备及存储介质 - Google Patents
密钥管理方法和装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN109617703B CN109617703B CN201910099498.4A CN201910099498A CN109617703B CN 109617703 B CN109617703 B CN 109617703B CN 201910099498 A CN201910099498 A CN 201910099498A CN 109617703 B CN109617703 B CN 109617703B
- Authority
- CN
- China
- Prior art keywords
- user
- trust list
- public key
- key
- access control
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07C—TIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
- G07C9/00—Individual registration on entry or exit
- G07C9/20—Individual registration on entry or exit involving the use of a pass
- G07C9/22—Individual registration on entry or exit involving the use of a pass in combination with an identity check of the pass holder
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种密钥管理方法和装置、电子设备及存储介质。该方法包括:将第一用户的公钥添加到信任列表中;接收来自第一用户的签名信息和添加指令,其中,签名信息为利用第一用户的私钥对第二用户的公钥进行签名得到的信息,添加指令用于请求将第二用户的公钥添加到信任列表中;对签名信息进行验证,并在验证通过之后将第二用户的公钥添加到信任列表中。本发明实现了基于信任列表的新用户添加,并进一步提高了密钥管理的灵活性。
Description
技术领域
本发明涉及信息安全技术领域,特别涉及一种密钥管理方法和装置、电子设备及存储介质。
背景技术
随着互联网技术的不断发展,人们对于终端验证安全性和便捷性的要求越来越高,对密钥的有效管理则成为提高终端安全性和便捷性的重要方法之一,而传统的密钥管理系统的灵活性差,无法满足用户需求。
发明内容
有鉴于此,本发明的一个目的在于提供一种密钥管理方法和装置、电子设备及存储介质,能够提高密钥管理的灵活性。
本发明的一个方面提供一种密钥管理方法,该方法包括:将第一用户的公钥添加到信任列表中;接收来自第一用户的签名信息和添加指令,其中,签名信息为利用第一用户的私钥对第二用户的公钥进行签名得到的信息,添加指令用于请求将第二用户的公钥添加到信任列表中;对签名信息进行验证,并在验证通过之后将第二用户的公钥添加到信任列表中。
在本发明的一个实施例中,在将第一用户的公钥添加到信任列表中之前,该方法还包括:接收来自第一用户的访问请求,并根据访问请求遍历信任列表;在检测到信任列表为空时,发送用于提示第一用户输入绑定码的提示信息。
在本发明的一个实施例中,将第一用户的公钥添加到信任列表中,包括:接收第一用户输入的绑定码;在验证绑定码正确之后,将第一用户的公钥添加到信任列表中。
在本发明的一个实施例中,第一用户具有第一管理权限,该第一管理权限包括添加、删除、设置、取消管理员的权限中的至少一种权限。
在本发明的一个实施例中,该方法还包括:根据来自第一用户的指令从信任列表中选择指定的第二用户作为管理员。
在本发明的一个实施例中,指定的第二用户具有第二管理权限,该第二管理权限包括添加或删除其他第二用户的公钥。
本发明的另一个方面提供一种密钥管理装置,该装置包括:添加模块,配置为将第一用户的公钥添加到信任列表中;接收模块,配置为接收来自第一用户的签名信息和添加指令,其中,签名信息为利用第一用户的私钥对第二用户的公钥进行签名得到的信息,添加指令用于请求将第二用户的公钥添加到信任列表中;验证模块,配置为对签名信息进行验证,并在验证通过之后将第二用户的公钥添加到信任列表中。
在本发明的一个实施例中,该装置还包括:发送模块,其中,接收模块接收来自第一用户的访问请求,并根据访问请求遍历信任列表;发送模块配置为在检测到信任列表为空时,发送用于提示第一用户输入绑定码的提示信息。
在本发明的一个实施例中,添加模块接收第一用户输入的绑定码,并在验证绑定码正确之后,将第一用户的公钥添加到信任列表中。
在本发明的一个实施例中,第一用户具有第一管理权限,该第一管理权限包括添加、删除、设置、取消管理员的权限中的至少一种权限。
在本发明的一个实施例中,该装置还包括:选择模块,配置为根据来自第一用户的指令从信任列表中选择指定的第二用户作为管理员。
在本发明的一个实施例中,指定的第二用户具有第二管理权限,该第二管理权限包括添加或删除其他第二用户的公钥。
本发明的再一个方面提供一种电子设备,包括存储器和处理器,存储器存储有计算机程序,其中,计算机程序被处理器执行时,使得处理器执行如上所述的方法。
本发明的又一个方面提供一种存储介质,存储有计算机程序,其中,计算机程序被处理器执行时,使得处理器执行如上所述的方法。
根据本发明实施例提供的技术方案,通过将第一用户的公钥添加到信任列表中;接收来自第一用户的签名信息和添加指令,其中,签名信息为利用第一用户的私钥对第二用户的公钥进行签名得到的信息,添加指令用于请求将第二用户的公钥添加到信任列表中;对签名信息进行验证,并在验证通过之后将第二用户的公钥添加到信任列表中,实现了基于信任列表的新用户添加,并进一步提高了密钥管理的灵活性。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本发明。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本发明的实施例,并与说明书一起用于解释本发明的原理。
图1是根据本发明一示例性实施例示出的一种密钥管理方法的流程图。
图2是根据本发明另一个示例性实施例示出的一种密钥管理方法的流程图。
图3是根据本发明另一个示例性实施例示出的一种密钥管理方法的流程图。
图4是根据本发明一示例性实施例示出的一种密钥管理装置的框图。
图5是根据本发明一示例性实施例示出的一种电子设备的框图。
具体实施方式
为了使得本发明的目的、技术方案和优点更加清楚,下面将结合本发明的附图,对本发明的技术方案进行清楚、完整地描述。显然,所描述的实施例是本发明的一部分实施例,而不是全部的实施例。基于所描述的本发明的实施例,本领域普通技术人员在无需创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
此处参考附图描述本申请的各种方案以及特征。应理解的是,可以对此处申请的实施例做出各种修改。因此,上述说明书不应该视为限制,而仅是作为实施例的范例。本领域的技术人员将想到在本申请的范围和精神内的其他修改。
包含在说明书中并构成说明书的一部分的附图示出了本申请的实施例,并且与上面给出的对本申请的大致描述以及下面给出的对实施例的详细描述一起用于解释本申请的原理。
通过下面参照附图对给定为非限制性实例的实施例的优选形式的描述,本申请的这些和其它特性将会变得显而易见。
还应当理解,尽管已经参照一些具体实例对本申请进行了描述,但本领域技术人员能够确定地实现本申请的很多其它等效形式,它们具有如权利要求所述的特征并因此都位于借此所限定的保护范围内。
当结合附图时,鉴于以下详细说明,本申请的上述和其他方面、特征和优势将变得更为显而易见。
此后参照附图描述本申请的具体实施例;然而,应当理解,所申请的实施例仅仅是本申请的实例,其可采用多种方式实施。熟知和/或重复的功能和结构并未详细描述以避免不必要或多余的细节使得本申请模糊不清。因此,本文所申请的具体的结构性和功能性细节并非意在限定,而是仅仅作为权利要求的基础和代表性基础用于教导本领域技术人员以实质上任意合适的详细结构多样地使用本申请。
除非另外定义,本发明使用的技术术语或者科学术语应当为本发明所属领域内具有一般技能的人士所理解的通常意义。本发明中使用的“第一”、“第二”以及类似的词语并不表示任何顺序、数量或者重要性,而只是用来区分不同的组成部分。“包括”或者“包含”等类似的词语意指出现该词前面的元件或者物件涵盖出现在该词后面列举的元件或者物件及其等同,而不排除其他元件或者物件。“连接”或者“相连”等类似的词语并非限定于物理的或者机械的连接,而是可以包括电性的连接,不管是直接的还是间接的。“上”、“下”、“左”、“右”等仅用于表示相对位置关系,当被描述对象的绝对位置改变后,则该相对位置关系也可能相应地改变。
为了保持本发明的以下说明清楚且简明,本发明省略了已知功能和已知部件的详细说明。
图1是根据本发明一示例性实施例示出的一种密钥管理方法的流程图。图1的方法可以由例如安防设备的管理设备执行,如图1所示,该方法包括:
110:将第一用户的公钥添加到信任列表中。
在本发明实施例中,将第一用户的公钥添加到安防设备的信任列表中。
具体地,为了使第一用户有权限访问安防设备,需要将第一用户的公钥添加到安防设备的信任列表中,以使第一用户成为被信任用户。
进一步地,第一用户可以是个人用户,也可以是企业用户。在该实施例中,第一用户为超级管理员,并且具有第一管理权限,即最高的管理权限。这里,第一管理权限可以包括添加、删除、设置、取消管理员的权限中的一种或多种权限。第一用户优选地为一个,但在某些情况下,也可以为两个或更多个,本发明对此不作限制。
公钥和私钥是通过一种算法得到的一个密钥对(即,一个公钥和一个私钥),公钥是密钥对中公开的部分,私钥则是密钥对中非公开的部分。公钥通常用于加密会话密钥、验证数字签名,或加密可以用相应的私钥解密的数据。通过这种算法得到的密钥对能保证在世界范围内是唯一的。使用这个密钥对的时候,如果用其中一个密钥加密一段数据,必须用另一个密钥解密;例如,用公钥加密数据就必须用私钥解密,而用私钥加密也必须用公钥解密,否则解密将不会成功。
安防设备即安全防护设备,用于通过防范的手段达到或实现安全的目的。安防设备可以包括但不限于监控设备、防盗设备、报警设备、门禁设备、安检设备、救生设备等。在该实施例中,安防设备优选地为门禁设备。
信任列表用于存储有权限访问安防设备的用户的公钥,也就是说,只要用户的公钥在信任列表中,即表示该用户为被信任用户。在该实施例中,在对安防设备进行初始化时,如果能够成功地将第一用户的公钥添加到信任列表中,则表示第一用户为被信任用户。
120:接收来自第一用户的签名信息和添加指令,其中,签名信息为利用第一用户的私钥对第二用户的公钥进行签名得到的信息,添加指令用于请求将第二用户的公钥添加到信任列表中。
在本发明实施例中,第一用户通过第一用户设备向安防设备发送签名信息和添加指令。这里,签名信息为利用第一用户的私钥对第二用户的公钥进行签名得到的信息;添加指令用于请求将第二用户的公钥添加到信任列表中。
具体地,当第二用户想要访问安防设备时,第二用户可以通过第二用户设备向安防设备发送使用其私钥签名过的指令;安防设备基于该指令遍历信任列表,以验证第二用户是否有权限访问安防设备;如果验证不通过,则呈现“验证失败”的提示信息,以提示第二用户其公钥不在信任列表中。
进一步地,如果第二用户仍想要访问安防设备,则需要第一用户利用其私钥对第二用户的公钥进行签名,得到私钥签名,并通过第一用户设备向安防设备发送该私钥签名和用于请求将第二用户的公钥添加到信任列表中的添加指令。
这里,第二用户可以是个人用户,也可以是企业用户。在该实施例中,第一用户为待添加用户,即新用户。第二用户优选地为两个或更多个,但在某些情况下,也可以为一个,本发明对此不作限制。
第一用户设备可以包括但不限于诸如手机、个人数字助理(Personal DigitalAssistant,PDA)的移动终端设备,或者诸如个人计算机(Personal Computer,PC)的PC终端设备等。第二用户设备可以包括但不限于诸如手机、个人数字助理的移动终端设备,或者诸如个人计算机的PC终端设备等。
130:对签名信息进行验证,并在验证通过之后将第二用户的公钥添加到信任列表中。
在本发明实施例中,安防设备对签名信息进行验证,并在验证通过之后将第二用户的公钥添加到信任列表中。
具体地,在接收到第一用户通过第一用户设备发送的私钥签名和添加指令之后,安防设备对私钥签名进行验证;如果验证通过,则将第二用户的公钥添加到信任列表中,以使第二用户成为被信任用户;否则,呈现“验证失败”的提示信息,即第二用户无法访问安防设备。
根据本发明实施例提供的技术方案,通过将第一用户的公钥添加到信任列表中;接收来自第一用户的签名信息和添加指令,其中,签名信息为利用第一用户的私钥对第二用户的公钥进行签名得到的信息,添加指令用于请求将第二用户的公钥添加到信任列表中;对签名信息进行验证,并在验证通过之后将第二用户的公钥添加到信任列表中,实现了基于信任列表的新用户添加,并进一步提高了密钥管理的灵活性。
在本发明的另一个实施例中,在将第一用户的公钥添加到信任列表中之前,该方法还包括:接收来自第一用户的访问请求,并根据访问请求遍历信任列表;在检测到信任列表为空时,发送用于提示第一用户输入绑定码的提示信息。
具体地,在将第一用户的公钥添加到信任列表中之前,需要对安防设备进行初始化,以将第一用户与安防设备进行绑定,即将第一用户的公钥添加到安防设备的信任列表中,以使第一用户成为被信任用户且拥有最高的管理权限。
进一步地,当首次访问安防设备时,第一用户可以通过第一用户设备向安防设备发送访问请求,该访问请求为第一用户使用其私钥签名过的指令;安防设备基于该指令遍历信任列表,以验证第一用户是否有权限访问安防设备;如果检测到信任列表为空,则安防设备呈现“请输入绑定码”的提示信息,以提示第一用户输入安防设备的绑定码。
需要说明的是,安防设备只能被初始化一次,也就是说,通过初始化的方式只能将安防设备与第一个用户(即,第一用户)进行绑定。
在本发明的另一个实施例中,将第一用户的公钥添加到信任列表中,包括:接收第一用户输入的绑定码;在验证绑定码正确之后,将第一用户的公钥添加到信任列表中。
具体地,每个全新的安防设备在出厂之后均配备有唯一的绑定码,即静态绑定码。在接收到第一用户输入的静态绑定码之后,安防设备对该静态绑定码进行验证;如果验证静态绑定码正确,则呈现“绑定成功”的提示信息,以提示第一用户已经与安防设备成功绑定,并将最高的管理权限赋予第一用户;否则,呈现“绑定失败”的提示信息并直接退出。
需要说明的是,将第一用户与安防设备进行绑定的方法不限于如上所述的输入静态绑定码,例如,还可以通过输入设置在安防设备上的显示器显示的动态绑定码对第一用户和安防设备进行绑定,本发明对此不作限制。
在本发明的另一个实施例中,该方法还包括:根据来自第一用户的指令从信任列表中选择指定的第二用户作为管理员。
具体地,如果第一用户想要添加新的管理员,则第一用户可以通过第一用户设备向安防设备发送添加请求,以请求安防设备从信任列表中选择指定的第二用户作为管理员;在接收到第一用户的添加请求之后,安防设备根据该添加请求从信任列表中选择指定的第二用户作为管理员。
这里,指定的第二用户具有第二管理权限,该第二管理权限包括添加或删除其他第二用户的公钥;也就是说,指定的第二用户可以将信任列表中的其他第二用户提升为管理员。
需要说明的是,第一用户的第一管理权限高于第二用户的第二管理权限。
上述所有可选技术方案,可以采用任意结合形成本发明的可选实施例,在此不再一一赘述。
图2是根据本发明另一个示例性实施例示出的一种密钥管理方法的流程图。如图2所示,该方法包括:
210:接收来自第一用户的访问请求,并根据访问请求遍历信任列表;
220:在检测到信任列表为空时,发送用于提示第一用户输入绑定码的提示信息;
230:接收第一用户输入的绑定码;
240:在验证绑定码正确之后,将第一用户的公钥添加到信任列表中;
250:接收来自第一用户的签名信息和添加指令,其中,签名信息为利用第一用户的私钥对第二用户的公钥进行签名得到的信息,添加指令用于请求将第二用户的公钥添加到信任列表中;
260:对签名信息进行验证,并在验证通过之后将第二用户的公钥添加到信任列表中。
根据本发明实施例提供的技术方案,通过接收来自第一用户的访问请求,并根据访问请求遍历信任列表;在检测到信任列表为空时,发送用于提示第一用户输入绑定码的提示信息;接收第一用户输入的绑定码;在验证绑定码正确之后,将第一用户的公钥添加到信任列表中;接收来自第一用户的签名信息和添加指令;对签名信息进行验证,并在验证通过之后将第二用户的公钥添加到信任列表中,实现了基于信任列表的新用户添加,并进一步提高了密钥管理的灵活性。
下面,以门禁设备的门禁系统为例,对上述的密钥管理方法进行详细描述。
假设门禁设备是全新的,并且在出厂之后配备有唯一的绑定码。在第一用户首次刷门禁卡时,门禁设备的门禁系统读取第一用户的门禁卡内的公钥,并遍历信任列表;如果检测到信任列表为空,则提示第一用户输入绑定码;在验证第一用户输入的绑定码正确之后,将第一用户的公钥添加到信任列表中,并将第一用户设置为超级管理员。
接着,第一用户使用门禁卡读写器对新的门禁卡进行初始化以生成密钥对并保存,将待添加的第二用户(即,新用户)的私钥签名和公钥写入到新的门禁卡中,以及利用第一用户的私钥对第二用户的公钥进行签名,并将私钥签名写入到第一用户的门禁卡中。
进一步地,在第二用户刷门禁卡时,门禁系统读取第二用户的门禁卡内的私钥签名和公钥,并遍历信任列表以对签名进行验证;如果验证不通过,则呈现“验证失败,请确认是否添加权限”的提示信息;如果第二用户选择“是”,则呈现“请刷第一用户的门禁卡”的提示信息;否则,直接退出门禁系统。在第二用户选择“是”之后,第一用户刷第一用户的门禁卡,门禁系统读取第一用户的门禁卡内的私钥签名,并遍历信任列表以对公钥进行验证;如果验证通过,则将第二用户的公钥添加到信任列表中。
最后,在第二用户刷门禁卡时,门禁系统读取第二用户的门禁卡内的私钥签名和公钥,并遍历信任列表以对公钥进行验证;如果验证通过,则门禁被解除,即第二用户可以进入;否则,呈现“验证失败”的提示信息且门禁无法被解除。
图3是根据本发明另一个示例性实施例示出的一种密钥管理方法的流程图。如图3所示,该方法包括:
310:接收来自第一用户的访问请求,并根据访问请求遍历信任列表;
320:在检测到信任列表为空时,发送用于提示第一用户输入绑定码的提示信息;
330:接收第一用户输入的绑定码;
340:在验证绑定码正确之后,将第一用户的公钥添加到信任列表中;
350:接收来自第一用户的签名信息和添加指令,其中,签名信息为利用第一用户的私钥对第二用户的公钥进行签名得到的信息,添加指令用于请求将第二用户的公钥添加到信任列表中;
360:对签名信息进行验证,并在验证通过之后将第二用户的公钥添加到信任列表中;
370:判断是否从信任列表中选择指定的第二用户作为管理员;
380:如果是,则根据来自第一用户的指令从信任列表中选择指定的第二用户作为管理员;否则,返回350。
根据本发明实施例提供的技术方案,通过对第一用户输入的绑定码进行验证,并在验证绑定码正确之后,将第一用户的公钥添加到信任列表中;对来自第一用户的签名信息进行验证,并在验证通过之后将第二用户的公钥添加到信任列表中;以及判断是否从信任列表中选择指定的第二用户作为管理员,如果是,则根据来自第一用户的指令从信任列表中选择指定的第二用户作为管理员,实现了基于信任列表的新用户添加,并进一步提高了密钥管理的灵活性;此外,还实现了管理员权限的分级管理,并进一步提升了密钥管理的安全性。
下述为本发明装置实施例,可以用于执行本发明方法实施例。对于本发明装置实施例中未披露的细节,请参照本发明方法实施例。
图4是根据本发明一示例性实施例示出的一种密钥管理装置的框图。如图4所示,该装置包括:添加模块410,配置为将第一用户的公钥添加到信任列表中;接收模块420,配置为接收来自第一用户的签名信息和添加指令,其中,签名信息为利用第一用户的私钥对第二用户的公钥进行签名得到的信息,添加指令用于请求将第二用户的公钥添加到信任列表中;验证模块430,配置为对签名信息进行验证,并在验证通过之后将第二用户的公钥添加到信任列表中。
根据本发明实施例提供的技术方案,通过将第一用户的公钥添加到信任列表中;接收来自第一用户的签名信息和添加指令,其中,签名信息为利用第一用户的私钥对第二用户的公钥进行签名得到的信息,添加指令用于请求将第二用户的公钥添加到信任列表中;对签名信息进行验证,并在验证通过之后将第二用户的公钥添加到信任列表中,实现了基于信任列表的新用户添加,并进一步提高了密钥管理的灵活性。
在本发明的另一个实施例中,图4的装置还包括:发送模块440,其中,接收模块接420收来自第一用户的访问请求,并根据访问请求遍历信任列表;发送模块440配置为在检测到信任列表为空时,发送用于提示第一用户输入绑定码的提示信息。
在本发明的另一个实施例中,添加模块410接收第一用户输入的绑定码,并在验证绑定码正确之后,将第一用户的公钥添加到信任列表中。
在本发明的另一个实施例中,第一用户具有第一管理权限,该第一管理权限包括添加、删除、设置、取消管理员的权限中的至少一种权限。
在本发明的另一个实施例中,图4的装置还包括:选择模块450,配置为根据来自第一用户的指令从信任列表中选择指定的第二用户作为管理员。
在本发明的另一个实施例中,指定的第二用户具有第二管理权限,该第二管理权限包括添加或删除其他第二用户的公钥。
上述装置中各个模块的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
图5是根据本发明一示例性实施例示出的一种电子设备500的框图。如图5所示,该电子设备500包括存储器510和处理器520,存储器510存储有计算机程序,该计算机程序被处理器520执行时,使得处理器520执行如上所述的实施例提供的方法。
具体地,该方法包括:处理器520将第一用户的公钥添加到信任列表中,接收来自第一用户的签名信息和添加指令,其中,签名信息为利用第一用户的私钥对第二用户的公钥进行签名得到的信息,添加指令用于请求将第二用户的公钥添加到信任列表中,以及对签名信息进行验证,并在验证通过之后将第二用户的公钥添加到信任列表中。
在将第一用户的公钥添加到信任列表中之前,处理器520还接收来自第一用户的访问请求,并根据访问请求遍历信任列表,以及在检测到信任列表为空时,发送用于提示第一用户输入绑定码的提示信息。
处理器520还接收第一用户输入的绑定码,并在验证绑定码正确之后,将第一用户的公钥添加到信任列表中。
第一用户具有第一管理权限,该第一管理权限包括添加、删除、设置、取消管理员的权限中的至少一种权限。
处理器520还根据来自第一用户的指令从信任列表中选择指定的第二用户作为管理员。
指定的第二用户具有第二管理权限,该第二管理权限包括添加或删除其他第二用户的公钥。
根据本发明实施例提供的技术方案,通过将第一用户的公钥添加到信任列表中;接收来自第一用户的签名信息和添加指令,其中,签名信息为利用第一用户的私钥对第二用户的公钥进行签名得到的信息,添加指令用于请求将第二用户的公钥添加到信任列表中;对签名信息进行验证,并在验证通过之后将第二用户的公钥添加到信任列表中,实现了基于信任列表的新用户添加,并进一步提高了密钥管理的灵活性。
本发明还提供了一种存储介质,当存储介质中的指令由上述装置500的处理器执行时,使得上述装置500能够执行一种密钥管理方法,包括:将第一用户的公钥添加到信任列表中;接收来自第一用户的签名信息和添加指令,其中,签名信息为利用第一用户的私钥对第二用户的公钥进行签名得到的信息,添加指令用于请求将第二用户的公钥添加到信任列表中;对签名信息进行验证,并在验证通过之后将第二用户的公钥添加到信任列表中。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统、装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或者不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性、机械或其它的形式。
作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序校验码的介质。
此外,尽管已经在本文中描述了示例性实施例,其范围包括任何和所有基于本发明的具有等同元件、修改、省略、组合(例如,各种实施例交叉的方案)、改编或改变的实施例。权利要求书中的元件将被基于权利要求中采用的语言宽泛地解释,并不限于在本说明书中或本申请的实施期间所描述的示例,其示例将被解释为非排他性的。因此,本说明书和示例旨在仅被认为是示例,真正的范围和精神由以下权利要求以及其等同物的全部范围所指示。
以上描述旨在是说明性的而不是限制性的。例如,上述示例(或其一个或更多方案)可以彼此组合使用。例如本领域普通技术人员在阅读上述描述时可以使用其它实施例。另外,在上述具体实施方式中,各种特征可以被分组在一起以简单化本发明。这不应解释为一种不要求保护的公开的特征对于任一权利要求是必要的意图。相反,本发明的主题可以少于特定的公开的实施例的全部特征。从而,以下权利要求书作为示例或实施例在此并入具体实施方式中,其中每个权利要求独立地作为单独的实施例,并且考虑这些实施例可以以各种组合或排列彼此组合。本发明的范围应参照所附权利要求以及这些权利要求赋权的等同形式的全部范围来确定。
以上对本发明多个实施例进行了详细说明,但本发明不限于这些具体的实施例,本领域技术人员在本发明构思的基础上,能够做出多种变型和修改实施例,这些变型和修改都应落入本发明所要求保护的范围之内。
Claims (10)
1.一种密钥管理方法,其特征在于,应用于安防设备的密钥管理装置,所述方法包括:
将第一用户的公钥添加到信任列表中,其中,所述信任列表用于存储有权限访问所述安防设备的用户的公钥;
接收第二用户的门禁卡向所述密钥管理装置发送的所述第二用户的私钥签名和公钥;
在利用所述信任列表对所述第二用户的私钥签名验证失败的情况下,生成第一提示信息,所述第一提示信息用于指示第一用户执行预设操作,所述预设操作为所述第一用户刷所述第一用户的门禁卡以使所述安防设备的门禁系统读取所述第一用户的门禁卡;
接收所述第一用户的门禁卡向所述密钥管理装置发送的签名信息和添加指令,其中,所述签名信息为利用所述第一用户的私钥对第二用户的公钥进行签名得到的信息,所述添加指令用于请求将所述第二用户的公钥添加到所述信任列表中;
对所述签名信息进行验证,并在验证通过之后将所述第二用户的公钥添加到所述信任列表中;所述第一用户具有第一管理权限,所述第二用户具有第二管理权限,所述第一用户的第一管理权限高于所述第二用户的第二管理权限。
2.根据权利要求1所述的方法,其特征在于,在所述将第一用户的公钥添加到信任列表中之前,所述方法还包括:
接收来自所述第一用户的访问请求,并根据所述访问请求遍历所述信任列表;
在检测到所述信任列表为空时,发送用于提示所述第一用户输入绑定码的提示信息。
3.根据权利要求2所述的方法,其特征在于,所述将第一用户的公钥添加到信任列表中,包括:
接收所述第一用户输入的所述绑定码;
在验证所述绑定码正确之后,将所述第一用户的公钥添加到所述信任列表中。
4.根据权利要求1至3中的任一项所述的方法,其特征在于,所述第一用户具有第一管理权限,所述第一管理权限包括添加、删除、设置、取消管理员的权限中的至少一种权限。
5.根据权利要求4所述的方法,其特征在于,所述方法还包括:
根据来自所述第一用户的指令从所述信任列表中选择指定的第二用户作为所述管理员。
6.根据权利要求5所述的方法,其特征在于,所述指定的第二用户具有第二管理权限,所述第二管理权限包括添加或删除其他第二用户的公钥。
7.一种密钥管理装置,其特征在于,应用于安防设备,所述装置包括:
添加模块,配置为将第一用户的公钥添加到信任列表中,其中,所述信任列表用于存储有权限访问所述安防设备的用户的公钥;
接收模块,配置为接收第二用户的门禁卡向所述密钥管理装置发送的所述第二用户的私钥签名和公钥;在利用所述信任列表对所述第二用户的私钥签名验证失败的情况下,生成第一提示信息,所述第一提示信息用于指示第一用户执行预设操作,所述预设操作为所述第一用户刷所述第一用户的门禁卡以使所述安防设备的门禁系统读取所述第一用户的门禁卡;接收所述第一用户的门禁卡向所述密钥管理装置发送的签名信息和添加指令,其中,所述签名信息为利用所述第一用户的私钥对第二用户的公钥进行签名得到的信息,所述添加指令用于请求将所述第二用户的公钥添加到所述信任列表中;
验证模块,配置为对所述签名信息进行验证,并在验证通过之后将所述第二用户的公钥添加到所述信任列表中;所述第一用户具有第一管理权限,所述第二用户具有第二管理权限,所述第一用户的第一管理权限高于所述第二用户的第二管理权限。
8.根据权利要求7所述的装置,其特征在于,所述装置还包括:发送模块,其中,
所述接收模块接收来自所述第一用户的访问请求,并根据所述访问请求遍历所述信任列表;
所述发送模块配置为在检测到所述信任列表为空时,发送用于提示所述第一用户输入绑定码的提示信息。
9.一种电子设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述计算机程序被所述处理器执行时,使得所述处理器执行如权利要求1至6中的任一项所述的方法。
10.一种存储介质,存储有计算机程序,其特征在于,所述计算机程序被处理器执行时,使得所述处理器执行如权利要求1至6中的任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910099498.4A CN109617703B (zh) | 2019-01-31 | 2019-01-31 | 密钥管理方法和装置、电子设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910099498.4A CN109617703B (zh) | 2019-01-31 | 2019-01-31 | 密钥管理方法和装置、电子设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109617703A CN109617703A (zh) | 2019-04-12 |
| CN109617703B true CN109617703B (zh) | 2022-07-05 |
Family
ID=66019545
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910099498.4A Active CN109617703B (zh) | 2019-01-31 | 2019-01-31 | 密钥管理方法和装置、电子设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109617703B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110149611B (zh) * | 2019-04-19 | 2021-02-09 | 华为技术有限公司 | 一种身份验证方法、设备、系统及计算机可读介质 |
| CN110191133A (zh) * | 2019-06-04 | 2019-08-30 | 湖北五五互联科技有限公司 | Cdn服务器使用权管理方法、设备及计算机可读存储介质 |
| CN110311787B (zh) * | 2019-06-21 | 2022-04-12 | 深圳壹账通智能科技有限公司 | 授权管理方法、系统、设备及计算机可读存储介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1885351A (zh) * | 2006-07-10 | 2006-12-27 | 北京飞天诚信科技有限公司 | 基于金融规范的ic卡在门禁系统中的应用方法 |
| CN105515768A (zh) * | 2016-01-08 | 2016-04-20 | 腾讯科技(深圳)有限公司 | 一种更新密钥的方法、装置和系统 |
| CN106301794A (zh) * | 2016-10-17 | 2017-01-04 | 特斯联(北京)科技有限公司 | 使用区块链进行授权认证的方法及系统 |
| CN108055124A (zh) * | 2017-11-15 | 2018-05-18 | 吕锋 | 锁管理系统及锁管理方法 |
| CN108551455A (zh) * | 2018-04-24 | 2018-09-18 | 北京小米移动软件有限公司 | 智能卡的配置方法及装置 |
| CN108650080A (zh) * | 2018-03-27 | 2018-10-12 | 北京迪曼森科技有限公司 | 一种密钥管理方法和系统 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1388126B1 (en) * | 2001-05-17 | 2013-03-27 | Nokia Corporation | Remotely granting access to a smart environment |
| CN102752112B (zh) * | 2011-04-22 | 2016-02-24 | 航天信息股份有限公司 | 基于sm1/sm2算法的权限控制方法及装置 |
| US10148441B2 (en) * | 2014-09-12 | 2018-12-04 | Verisign, Inc. | Systems, devices, and methods for detecting double signing in a one-time use signature scheme |
| CN108269334A (zh) * | 2018-01-10 | 2018-07-10 | 北京小米移动软件有限公司 | 开锁方法、终端设备以及智能锁 |
-
2019
- 2019-01-31 CN CN201910099498.4A patent/CN109617703B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1885351A (zh) * | 2006-07-10 | 2006-12-27 | 北京飞天诚信科技有限公司 | 基于金融规范的ic卡在门禁系统中的应用方法 |
| CN105515768A (zh) * | 2016-01-08 | 2016-04-20 | 腾讯科技(深圳)有限公司 | 一种更新密钥的方法、装置和系统 |
| CN106301794A (zh) * | 2016-10-17 | 2017-01-04 | 特斯联(北京)科技有限公司 | 使用区块链进行授权认证的方法及系统 |
| CN108055124A (zh) * | 2017-11-15 | 2018-05-18 | 吕锋 | 锁管理系统及锁管理方法 |
| CN108650080A (zh) * | 2018-03-27 | 2018-10-12 | 北京迪曼森科技有限公司 | 一种密钥管理方法和系统 |
| CN108551455A (zh) * | 2018-04-24 | 2018-09-18 | 北京小米移动软件有限公司 | 智能卡的配置方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109617703A (zh) | 2019-04-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20180357430A1 (en) | Secure credentials control method | |
| US8555079B2 (en) | Token management | |
| US8972719B2 (en) | Passcode restoration | |
| US9780950B1 (en) | Authentication of PKI credential by use of a one time password and pin | |
| US8656180B2 (en) | Token activation | |
| US8041954B2 (en) | Method and system for providing a secure login solution using one-time passwords | |
| CN101897165B (zh) | 数据处理系统中验证用户的方法 | |
| US10949566B2 (en) | Individual data unit and methods and systems for enhancing the security of user data | |
| US10045210B2 (en) | Method, server and system for authentication of a person | |
| WO2013043534A1 (en) | Mobile computing device authentication using scannable images | |
| US20130024947A1 (en) | Methods and systems for replacing shared secrets over networks | |
| CN109617703B (zh) | 密钥管理方法和装置、电子设备及存储介质 | |
| JP2007527059A (ja) | ユーザ、およびコンピュータシステムから受信された通信の認証のための方法および装置 | |
| CN113487321A (zh) | 基于区块链钱包的身份识别与验证方法及系统 | |
| CN102255728B (zh) | 计算机系统身份识别方法 | |
| KR100822890B1 (ko) | 인터넷상 주민등록번호 대체 서비스를 통한 인증 보안 방법 | |
| US9348983B2 (en) | Method for controlling the access to a specific type of services and authentication device for controlling the access to such type of services | |
| WO2011058629A1 (ja) | 情報管理システム | |
| US11972000B2 (en) | Information dispersal for secure data storage | |
| CN114553573A (zh) | 身份认证方法及装置 | |
| CN107172106B (zh) | 安全信息交互方法和系统 | |
| CN113454968B (zh) | 用于安全交易的方法和系统 | |
| KR102408528B1 (ko) | 사용자 인증 방법 및 그 장치 | |
| JP2019028940A (ja) | データ管理プログラム及びデータ管理方法 | |
| CN118449771A (zh) | 安全认证方法、装置、系统、设备、介质及产品 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder | ||
| CP01 | Change in the name or title of a patent holder |
Address after: 100193 5th floor 510, No. 5 Building, East Yard, No. 10 Wangdong Road, Northwest Haidian District, Beijing Patentee after: Beijing Shendun Technology Co.,Ltd. Address before: 100193 5th floor 510, No. 5 Building, East Yard, No. 10 Wangdong Road, Northwest Haidian District, Beijing Patentee before: BEIJING SENSESHIELD TECHNOLOGY Co.,Ltd. |