CN1953366B - 智能密钥装置的密码管理方法和系统 - Google Patents
智能密钥装置的密码管理方法和系统 Download PDFInfo
- Publication number
- CN1953366B CN1953366B CN2006101144477A CN200610114447A CN1953366B CN 1953366 B CN1953366 B CN 1953366B CN 2006101144477 A CN2006101144477 A CN 2006101144477A CN 200610114447 A CN200610114447 A CN 200610114447A CN 1953366 B CN1953366 B CN 1953366B
- Authority
- CN
- China
- Prior art keywords
- key
- intelligent key
- key apparatus
- intelligent
- corresponding levels
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Abstract
本发明提供了智能密钥装置的密码管理方法和系统,属于安全通信领域。为了解决现有技术中智能密钥装置解锁不安全或无法解锁的问题,本发明提供了智能密钥装置的密码管理方法,所述方法包括本级智能密钥装置获取到次级智能密钥装置的硬件特征标识后,对所述标识进行变换,并将所述经过变换后的标识作为所述次级智能密钥装置的管理员密码,在解锁所述次级智能密钥装置时,获取所述管理员密码对所述次级智能密钥装置进行解锁。本发明还提供了智能密钥装置的密码管理系统,包括管理员密码生成模块和解锁模块。采用本发明所述方案提高智能密钥装置的安全性,方便用户使用,节省人力、物力和智能密钥装置的维护成本。
Description
技术领域
本发明涉及安全通信领域,特别涉及智能密钥装置的密码管理方法和系统。
背景技术
智能密钥装置是一种带有处理器和存储器的小型硬件装置,它可通过计算机的数据通讯接口与计算机连接。智能密钥装置采用密码验证用户身份的合法性,在进行身份认证时将智能密钥装置与计算机相连,用户在计算机上输入密码,智能密钥装置会自动校验该密码的正确性,只有当用户输入的密码正确时,才允许用户操作智能密钥装置。智能密钥装置还具有密钥生成功能,并可安全存储密钥和预置加密算法。智能密钥装置与密钥相关的运算完全在装置内部运行,且智能密钥装置具有物理抗攻击的特性,安全性极高,常用的智能密钥装置通过USB接口与计算机相连。
由于智能密钥装置具有高安全的特性,所以很多要求安全性较高的领域都采用智能密钥装置进行身份认证,以保证操作的安全性。例如银行系统利用智能密钥装置认证柜员和用户的身份。
一般情况下,智能密钥装置为提高其安全性设置了两个权限等级——管理员和普通用户,其中管理员的密码为SoPIN,即安全管理员PIN,普通用户的密码为用户PIN,管理员的权限比普通用户大。在使用智能密钥装置时由于用户的多次误操作或非法分子的攻击等,智能密钥装置会对自身进行保护——智能密钥装置的PIN码就会自动锁住,只有管理员输入SoPIN才能将其解锁。
现有的智能密钥装置有两种SoPIN的设置方法,一种方法是发行商设置智能密钥装置的SoPIN为同一个值,当智能密钥装置被锁住时,用户必须到开发商处由管理人员输入SoPIN将其解锁,这种方法多个智能密钥装置的SoPIN相同,SoPIN容易外漏,安全性较低;另一种方法是SoPIN值为随机数,由于记录此随机数需要建立数据库进行管理,成本较高,所以一般不记录此随机数,如果智能密钥装置被锁住,则需将智能密钥装置返回开发商处重新初始化,这样的方法会使用户的数据全部丢失,并且浪费人力和物力。
发明内容
本发明为了解决现有技术中智能密钥装置解锁不安全或无法解锁必须重新初始化的问题,提供了智能密钥装置的密码管理方法和系统。所述技术方案如下:
智能密钥装置的密码管理方法,在分发密钥时,所述方法包括以下步骤:
步骤A:本级智能密钥装置、次级授权密钥装置和次级操作密钥装置分别连接到主机;
所述次级授权密钥装置生成非对称公私密钥对,将其中的公钥发给本级智能密钥装置;
所述本级智能密钥装置利用本级授权密钥和用户输入的信息组合并进行散列运算,生成次级授权密钥;利用本级操作密钥和所述用户输入的信息组合并进行散列运算,生成次级操作密钥,所述用户输入的信息为省级信息、市级信息、支行信息;
步骤B:所述本级智能密钥装置利用所述公钥加密内部的初始授权密钥和所述次级授权密钥,发给所述次级授权密钥装置;所述次级授权密钥装置利用对应的私钥解密后,保存所述初始授权密钥和所述次级授权密钥;
所述本级智能密钥装置利用所述次级授权密钥装置发送的所述次级授权密钥装置自身的序列号、本级授权密钥、本级操作密钥组合并进行散列运算,得到所述次级授权密钥装置的解锁密码;
步骤C:所述本级智能密钥装置接收所述次级操作密钥装置发送的所述次级操作密钥装置的序列号,利用本级授权密钥和所述次级操作密钥装置的序列号组合并进行散列运算生成会话密钥,并利用所述会话密钥加密内部的初始操作密钥和所述次级操作密钥,将加密结果发给所述次级操作密钥装置;
所述本级智能密钥装置利用所述次级操作密钥装置发送的所述次级操作密钥装置的序列号、本级授权密钥、本级操作密钥组合并进行散列运算,得到所述次级操作密钥装置的解锁密码。
所述本级智能密钥装置和所述次级授权密钥装置之间以及所述本级智能密钥装置和所述次级操作密钥装置之间发送信息时,对所述发送的信息加密,所述本级智能密钥装置和所述次级授权密钥装置之间以及所述本级智能密钥装置和所述次级操作密钥装置之间接收信息时,对所述接收的信息进行解密;所述加密、解密以及散列运算的处理是在所述本级智能密钥装置内部实现。
所述次级操作密钥装置的序列号为所述次级操作密钥装置自身的序列号;或者,为随机生成并存储在所述次级操作密钥装置内的消息串。
所述本级智能密钥装置为主控智能密钥装置时,所述主控智能密钥装置保存有初始授权密钥、初始操作密钥、本级授权密钥和本级操作密钥。
所述加密和解密用到的算法包括AES算法、DES算法、3DES算法、SSF33算法、SCB2算法、ECC算法、RSA算法。
本发明同时提供了另一种智能密钥装置的密码管理方法,在解锁密钥时,所述方法包括以下步骤:
步骤A:授权智能密钥装置、操作智能密钥装置和待解锁智能密钥装置连接到主机;所述操作智能密钥装置把加密的本级操作密钥和加密的初始操作密钥发给所述授权智能密钥装置;
步骤B:所述授权智能密钥装置利用内置的本级授权密钥和所述授权智能密钥装置的序列号组合并进行散列运算生成会话密钥,利用所述会话密钥解密得到本级操作密钥和初始操作密钥;
步骤C:如果待解锁智能密钥装置为次级授权智能密钥装置,所述授权智能密钥装置将所述次级授权智能密钥装置的序列号与所述本级操作密钥、所述本级授权密钥进行组合并进行散列运算,生成次级授权智能密钥装置的解锁密码;
如果待解锁智能密钥装置为次级操作智能密钥装置,所述授权智能密钥装置将所述次级操作智能密钥装置的序列号与所述本级操作密钥、所述本级授权密钥进行组合并进行散列运算,生成次级操作智能密钥装置的解锁密码;
如果待解锁智能装置为用户智能密钥装置,所述授权智能密钥装置利用初始授权密钥、初始操作密钥和所述用户智能密钥装置的序列号组合并进行散列运算,生成用户智能密钥装置的解锁密码。
所述授权智能密钥装置和所述操作智能密钥装置之间以及所述授权智能密钥装置和所述待解锁智能密钥装置之间发送信息时,对所述发送的信息加密,所述授权智能密钥装置和所述操作智能密钥装置之间以及所述授权智能密钥装置和所述待解锁智能密钥装置之间接收信息时,对所述接收的信息进行解密;所述加密、解密以及散列运算的处理是在所述授权智能密钥装置内部实现。
所述授权智能密钥装置的序列号为随机生成并存储在所述授权智能密钥装置内的消息串;所述次级授权智能密钥装置的序列号为随机生成并存储在所述次级授权智能密钥装置内的消息串;所述次级操作智能密钥装置的序列号为随机生成并存储在所述次级操作智能密钥装置内的消息串;所述用户智能密钥装置的序列号为随机生成并存储在所述用户智能密钥装置内的消息串。
所述授权智能密钥装置为主控智能密钥装置时,所述主控智能密钥装置保存有初始授权密钥、初始操作密钥、本级授权密钥和本级操作密钥。
所述加密和解密用到的算法包括AES算法、DES算法、3DES算法、SSF33算法、SCB2算法、ECC算法、RSA算法。
本发明的技术方案带来的有益效果是:通过本发明提供的智能密钥装置的密码管理方法和系统,解决了现有技术中智能密钥装置解锁不安全或无法解锁必须重新初始化的问题,提高智能密钥装置的安全性,方便用户使用,节省人力、物力和智能密钥装置的维护成本。
附图说明
图1是本发明提供的设置一级授权智能密钥装置的方法流程图;
图2是本发明提供的设置一级操作智能密钥装置的方法流程图;
图3是本发明提供的设置二级智能密钥装置部分的方法流程图;
图4是本发明提供的一种为二级操作智能密钥装置解锁的方法流程图;
图5是本发明提供的另一种为二级操作智能密钥装置解锁的方法流程图;
图6是本发明提供的设置用户智能密钥装的方法流程图。
具体实施方式
下面结合附图和具体实施例对本发明作进一步说明,但不作为对本发明的限定。
本发明以银行系统为例进行说明,银行从上到下包括总行、省行、市行和支行四个等级,本发明的技术方案中总行持有主控智能密钥装置,省行、市行和支行分别持有一个授权智能密钥装置,省行、市行和支行的柜员每人持有一个操作智能密钥装置,为方便说明,本发明将省行的授权智能密钥装置称为一级授权智能密钥装置,省行的操作智能密钥装置称为一级操作智能密钥装置,同样的,市行的分别称为二级授权智能密钥装置和二级操作智能密钥装置,支行的分别称为三级授权智能密钥装置和三级操作智能密钥装置,用户持有的智能密钥装置称为用户智能密钥装置。
主控智能密钥装置和各级授权智能密钥装置是安全的载体,其密钥以明文的形式存储在智能密钥装置的安全存储区域内;各级操作智能密钥装置内的密钥以密文形式存储。总行的主控智能密钥装置能够设置省行的一级授权智能密钥装置和一级操作智能密钥装置,省行的一级授权智能密钥装置和一级操作智能密钥装置共同设置市级的二级授权智能密钥装置和二级操作智能密钥装置,同样的,市行的二级授权智能密钥装置和二级操作智能密钥装置共同设置支行的三级授权智能密钥装置、三级级操作智能密钥装置。用户智能密钥装置可以由主控智能密钥装置设置,也可以由一级授权智能密钥装置和一级操作智能密钥装置共同设置,同样也可以由二级或三级的两个智能密钥装置共同设置。在具体实现时,可以根据需要设定等级的个数,不限于本实施例中的四个等级。
本实施例中设置下一级智能密钥装置的上级智能密钥装置为本级智能密钥装置,被设置的下一级智能密钥装置为次级智能密要装置。例如一级智能密钥装置设置二级智能密钥装置时,一级智能密钥装置为本级智能密钥装置,二级智能密钥装置为次级智能密要装置,当二级智能密钥装置设置三级智能密钥装置时,二级智能密钥装置作为本级智能密钥装置,而此时三级智能密钥装置为次级智能密钥装置。
主控智能密钥装置中以明文形式存储四个密钥,分别为第一授权密钥Ka1、第二授权密钥Ka2、第一操作密钥Ko1和第二操作密钥Ko2,其中Ka1和Ka2传递给一级授权智能密钥装置,Ko1和Ko2传递给一级操作智能密钥装置。
实施例1
参见图1,为设置一级授权智能密钥装置的方法流程图,具体过程如下:
步骤101:将主控智能密钥装置和一级授权智能密钥装置同时连接到主机;
步骤102:一级授权智能密钥装置生成非对称密钥体制的公私钥对,将该公私钥对的公钥通过主机发送给主控智能密钥装置,私钥保存在此一级授权智能密钥装置中;
步骤103:主控智能密钥装置利用发送过来的公钥加密其内部的密钥Ka1得到第一授权加密密钥Ka1′,然后通过主机发送给一级授权智能密钥装置;
步骤104:一级授权智能密钥装置将Ka1′用对应的私钥解密得到明文形式的Ka1,并保存至其安全存储区域内;
步骤105:主控智能密钥装置要求操作者输入省级信息(例如省级分行的内部代码),操作者通过主机输入省级信息;
步骤106:主控智能密钥装置将Ka2与省级信息组合后得到字符串Ka2.1,然后利用公钥对字符串Ka2.1加密后生成密文Ka2.1′,并将Ka2.1′通过主机发送给一级授权智能密钥装置;
步骤107:一级授权智能密钥装置将Ka2.1′用对应的私钥解密得到明文形式的字符串Ka2.1,并将Ka2.1保存;
步骤108:一级授权智能密钥装置将其序列号发送给主控智能密钥装置;
步骤109:主控智能密钥装置收到一级授权智能密钥装置的序列号后,将此序列号与Ka2、Ko2进行组合,并将组合后的结果进行散列运算得到散列值,然后将该散列值设置为一级授权智能密钥装置的口令SoPIN。
组合的方法可以是将硬件序列号、Ka2、Ko2求和,也可以是将三个值进行连接等。
至此,一级授权智能密钥装置内存有第一授权密钥Ka1和带有省级信息的第二授权密钥字符串Ka2.1,并设定了其口令SoPIN,已经完成了设置过程。
在具体实现时,一级授权智能密钥装置的SoPIN值也可以通过以下方法得到:
由主控智能密钥装置、一级授权智能密钥装置或上层应用程序生成一个随机数,主控智能密钥装置利用此随机数与Ka2、Ko2进行组合,并将组合的结果进行散列运算,得到的运算结果设置为一级授权智能密钥装置的SoPIN,同时将上述产生的随机数保存在一级授权智能密钥装置内。
一级授权智能密钥装置的SoPIN值还可以通过以下方法得到:
由主控智能密钥装置、一级授权智能密钥装置或上层应用程序生成一个随机数,主控智能密钥装置通过主机将此随机数设置为一级授权智能密钥装置的SoPIN,然后主控智能密钥装置再将此随机数与Ka2、Ko2进行组合,并将组合后的结果进行3DES运算得到运算后的值,然后将运算后的值保存在一级授权智能密钥装置内。
参见图2,为设置一级操作智能密钥装置的方法流程图,具体步骤如下:
步骤201:将主控智能密钥装置和一级操作智能密钥装置连接到主机;
步骤202:主控智能密钥装置要求操作者输入省级信息(例如省级分行的内部代码,与上述步骤105中的省级信息相同),操作者通过主机输入省级信息;
步骤203:主控智能密钥装置将Ka2与省级信息组合后得到字符串Ka2.1,将Ko2与省级信息组合后得到字符串Ko2.1;
步骤204:一级操作智能密钥装置将其硬件序列号发送至主控智能密钥装置;
步骤205:主控智能密钥装置将一级操作智能密钥装置的硬件序列号与字符串Ka2.1进行组合,然后对组合的结果求散列值得到一个临时密钥X,用X对Ko1进行加密运算得到第一操作加密密钥Ko1′,该加密运算采用对称加密算法,本实施例为3DES;
步骤206:主控智能密钥装置用X对Ko2.1进行加密运算得到第二操作加密密钥Ko2.1′,该加密运算采用对称加密算法,本实施例为3DES;
步骤207:主控智能密钥装置将Ko1′和Ko2.1′通过主机发送至一级操作智能密钥装置内;
步骤208:主控智能密钥装置将一级操作智能密钥装置的硬件序列号与Ka2、Ko2进行组合,再对组合的结果进行散列运算得到散列值;然后将该散列值设置为一级操作智能密钥装置的口令SoPIN。
至此,一级操作智能密钥装置内存有Ko1′和Ko2.1′,并设定了其SoPIN,已经完成其设置过程。
同样的,在具体实现时一级操作智能密钥装置的SoPIN也可以同一级授权智能密钥装置一样由随机数的方案实现。
参见图3,为设置二级智能密钥装置的部分方法流程图,具体步骤如下:
步骤301:一级操作智能密钥装置将其硬件序列号发送至一级授权智能密钥装置;
步骤302:一级授权智能密钥装置将一级操作智能密钥装置的硬件序列号与Ka2.1进行组合,并将组合的结果求散列值得X(与步骤205中的X相同);
步骤303:一级操作智能密钥装置将Ko1′和Ko2.1′发送至一级授权智能密钥装置;
步骤304:一级授权智能密钥装置利用密钥X将Ko1′解密得到明文形式的Ko1,利用密钥X将Ko2.1′解密得到明文形式的Ko2.1;
步骤305:二级授权智能密钥装置和二级操作智能密钥装置分别将其硬件序列号发送至一级授权智能密钥装置;
步骤306:一级授权智能密钥装置收到硬件序列号后,将二级授权智能密钥装置的硬件序列号与Ka2.1、Ko2.1进行组合,并将组合的结果求散列值,然后将该散列值设置为二级授权智能密钥装置的口令SoPIN;将二级操作智能密钥装置的硬件序列号与Ka2.1、Ko2.1进行组合并将组合的结果求散列值,然后将该散列值设置为二级操作智能密钥装置的口令SoPIN。
至此,一级授权智能密钥装置内已存有Ka1、Ka2.1、Ko1和Ko2.1,以一级授权智能密钥装置生成二级授权智能密钥装置和二级操作智能密钥装置的方法与以主控智能密钥装置生成一级授权智能密钥装置和一级操作智能密钥装置的方法步骤相同;同样的方法生成三级授权智能密钥装置和三级操作智能密钥装置。不同的是,在生成二级智能密钥装置时输入市级信息代替省级信息,生成三级智能密钥装置时输入支行信息代替省级信息。
在具体实现时,二级或三级智能密钥装置的SoPIN也可以同一级授权智能密钥装置一样由随机数的方案实现。
参见图4,为利用一级授权智能密钥装置和一级操作智能密钥装置为二级操作智能密钥装置解锁的方法流程图,具体步骤如下:
步骤401:将一级授权智能密钥装置、一级操作智能密钥装置和二级操作智能密钥装置连接到主机;
步骤402:一级操作智能密钥装置将其硬件序列号发送至一级授权智能密钥装置内;
步骤403:一级授权智能密钥装置将一级操作智能密钥装置的硬件序列号与Ka2.1进行组合并将组合后的结果求散列值得X(与步骤205中的X相同);
步骤404:一级操作智能密钥装置将Ko1′和Ko2.1′发送给一级授权智能密钥装置;
步骤405:一级授权智能密钥装置利用密钥X将Ko1′解密得到明文形式的Ko1,利用密钥X将Ko2.1′解密得到明文形式的Ko2.1;
步骤406:二级操作智能密钥装置将其硬件序列号发送至一级授权智能密钥装置;
步骤407:一级授权智能密钥装置将收到的二级操作智能密钥装置的硬件序列号与Ka2.1、Ko2.1进行组合,并将组合后的结果求散列值,得到二级操作智能密钥装置的SoPIN;
步骤408:一级授权智能密钥装置利用SoPIN值解锁二级操作智能密钥装置。
如果在设置SoPIN时,SoPIN值是通过随机数经过变换得到的,那么步骤406和407中的硬件序列号用一级授权智能密钥装置内存储的随机数进行替换。
如果在设置SoPIN时,SoPIN值是一个随机数,参见图5,具体解锁步骤如下:
步骤501:将一级授权智能密钥装置、一级操作智能密钥装置和二级操作智能密钥装置连接到主机;
步骤502:一级操作智能密钥装置将其硬件序列号发送至一级授权智能密钥装置内;
步骤503:一级授权智能密钥装置将一级操作智能密钥装置的硬件序列号与Ka2.1进行组合,并将组合后的结果求散列值得X(与步骤205中的X相同);
步骤504:一级操作智能密钥装置将Ko1′和Ko2.1′发送至一级授权智能密钥装置;
步骤505:一级授权智能密钥装置利用密钥X将Ko1′解密得到明文形式的Ko1,利用密钥X将Ko2.1′解密得到明文形式的Ko2.1;
步骤506:二级操作智能密钥装置将其内存储的变换后的随机数发送至一级授权智能密钥装置;
步骤507:一级授权智能密钥装置收到变换后的随机数,对此变换后的随机数进行3DES的逆运算,并结合Ka2.1和Ko2.1得到原随机数,即得到二级操作智能密钥装置的SoPIN;
步骤508:一级授权智能密钥装置利用SoPIN值解锁二级操作智能密钥装置。
二级操作智能密钥装置和三级智能密钥装置的解锁方法与上述步骤相同;一级授权智能密钥装置或一级操作智能密钥装置的解锁是由主控智能密钥装置完成的,主控智能密钥装置分别利用一级授权智能密钥装置或一级操作智能密钥装置的硬件序列号与Ka2、Ko2进行组合,并将组合后的结果的散列值分别作为一级授权智能密钥装置或一级操作智能密钥装置的SoPIN为之解锁的,或者利用同样的随机数方案解锁。
参见图6,为设置用户智能密钥装置的方法流程图,以一级授权智能密钥装置和一级操作智能密钥装置设置用户智能密钥装置的SoPIN为例,具体步骤如下:
步骤601:将一级授权智能密钥装置、一级操作智能密钥装置和用户智能密钥装置连接到主机;
步骤602:一级操作智能密钥装置将其硬件序列号发送至一级授权智能密钥装置;
步骤603:一级授权智能密钥装置将一级操作智能密钥装置的硬件序列号与Ka2.1进行组合,并将组合后的结果求散列值得X(与步骤205中的X相同);
步骤604:一级操作智能密钥装置将Ko1′发送至一级授权智能密钥装置;
步骤605:一级授权智能密钥装置利用密钥X将Ko1′解密得到明文形式的Ko1;
步骤606:用户智能密钥装置将其硬件序列号发送至一级授权智能密钥装置;
步骤607:一级授权智能密钥装置利用用户智能密钥装置的硬件序列号与Ko1、Ka1进行组合,并对其组合的结果求散列值,然后将该散列值设置为用户智能密钥装置的口令SoPIN。
同样的利用二级或三级授权智能密钥装置和操作智能密钥装置共同设置用户智能密钥装置的SoPIN。
在解锁用户智能密钥装置时用同样的方法求得SoPIN,利用SoPIN解锁用户智能密钥装置。
在具体实现时,上述设置用户智能密钥装置的方法也可以由两种随机数的方案进行替换,与设置授权或操作智能密钥装置不同的是,用Ka1和Ko1替换Ka2和Ko2进行计算。
在具体实现时,上述所有用到散列算法的步骤中,散列运算可以用AES、DES、3DES、SSF33、SCB2、ECC或RSA算法进行替换。
上述所有用到3DES算法的步骤中,3DES算法可以用AES、DES、SSF33、SCB2、ECC或RSA算法进行替换。
实施例2
一种智能密钥装置的密码管理系统,该系统包括以下模块:
管理员密码生成模块,用于获取次级智能密钥装置的硬件特征标识,再由本级智能密钥装置参与对所述硬件特征标识进行变换,将变换后的结果作为次级智能密钥装置的管理员密码;
解锁模块,用于在解锁次级智能密钥装置时,获取所述次级智能密钥装置的硬件特征标识,由本级智能密钥装置参与对硬件特征标识进行管理员密码生成模块中相同的变换,得到次级智能密钥装置的管理员密码,使用管理员密码对次级智能密钥装置进行解锁。
其中,硬件特征标识是次级智能密钥装置的硬件序列号。
实施例3
本发明还提供了另一种智能密钥装置的密码管理系统,该系统包括以下模块:
管理员密码生成模块,用于生成一个随机数,本级智能密钥装置参与对所述随机数进行变换,并将变换后的结果作为所述次级智能密钥装置的管理员密码;
存储模块,用于将上述随机数保存在次级智能密钥装置内;
解锁模块,用于在解锁次级智能密钥装置时,获取到次级智能密钥装置内存储的随机数,本级智能密钥装置参与对该随机数进行管理员密码生成模块中的变换,得到次级智能密钥装置的管理员密码,使用次级智能密钥装置的管理员密码对次级智能密钥装置进行解锁。
实施例4
本发明同时还提供了第三种智能密钥装置的密码管理系统,该系统包括以下模块:
管理员密码生成模块,用于生成一个随机数,并将该随机数作为次级智能密钥装置的管理员密码;
存储模块,用于将上述随机数进行变换后保存在次级智能密钥装置内;
解锁模块,用于在解锁次级智能密钥装置时,将次级智能密钥装置内的变换后的随机数进行恢复,得到原随机数,使用该随机数对次级智能密钥装置进行解锁。
以上所述的实施例,只是本发明较优选的几种具体实施方式,本领域的技术人员在本发明技术方案范围内进行的通常变化和替换都应包含在本发明的保护范围内。
Claims (10)
1.智能密钥装置的密码管理方法,其特征在于,在分发密钥时,所述方法包括以下步骤:
步骤A:本级智能密钥装置、次级授权密钥装置和次级操作密钥装置分别连接到主机;
所述次级授权密钥装置生成非对称公私密钥对,将其中的公钥发给本级智能密钥装置;
所述本级智能密钥装置利用本级授权密钥和用户输入的信息组合并进行散列运算,生成次级授权密钥;利用本级操作密钥和所述用户输入的信息组合并进行散列运算,生成次级操作密钥,所述用户输入的信息为省级信息、市级信息、支行信息;
步骤B:所述本级智能密钥装置利用所述公钥加密内部的初始授权密钥和所述次级授权密钥,发给所述次级授权密钥装置;所述次级授权密钥装置利用对应的私钥解密后,保存所述初始授权密钥和所述次级授权密钥;
所述本级智能密钥装置利用所述次级授权密钥装置发送的所述次级授权密钥装置自身的序列号、本级授权密钥、本级操作密钥组合并进行散列运算,得到所述次级授权密钥装置的解锁密码;
步骤C:所述本级智能密钥装置接收所述次级操作密钥装置发送的所述次级操作密钥装置的序列号,利用本级授权密钥和所述次级操作密钥装置的序列号组合并进行散列运算生成会话密钥,并利用所述会话密钥加密内部的初始操作密钥和所述次级操作密钥,将加密结果发给所述次级操作密钥装置;
所述本级智能密钥装置利用所述次级操作密钥装置发送的所述次级操作密钥装置的序列号、本级授权密钥、本级操作密钥组合并进行散列运算,得到所述次级操作密钥装置的解锁密码。
2.如权利要求1所述的智能密钥装置的密码管理方法,其特征在于,所述本级智能密钥装置和所述次级授权密钥装置之间以及所述本级智能密钥装置和所述次级操作密钥装置之间发送信息时,对所述发送的信息加密,所述本级智能密钥装置和所述次级授权密钥装置之间以及所述本级智能密钥装置和所述次级操作密钥装置之间接收信息时,对所述接收的信息进行解密;所述加密、解密以及散列运算的处理是在所述本级智能密钥装置内部实现。
3.如权利要求1所述的智能密钥装置的密码管理方法,其特征在于,所述次级操作密钥装置的序列号为所述次级操作密钥装置自身的序列号;或者,为随机生成并存储在所述次级操作密钥装置内的消息串。
4.如权利要求1所述的智能密钥装置的密码管理方法,其特征在于,所述本级智能密钥装置为主控智能密钥装置时,所述主控智能密钥装置保存有初始授权密钥、初始操作密钥、本级授权密钥和本级操作密钥。
5.如权利要求1所述的智能密钥装置的密码管理方法,其特征在于,所述加密和解密用到的算法包括AES算法、DES算法、3DES算法、SSF33算法、SCB2算法、ECC算法、RSA算法。
6.智能密钥装置的密码管理方法,其特征在于,在解锁密钥时,所述方法包括以下步骤:
步骤A:授权智能密钥装置、操作智能密钥装置和待解锁智能密钥装置连接到主机;所述操作智能密钥装置把加密的本级操作密钥和加密的初始操作密钥发给所述授权智能密钥装置;
步骤B:所述授权智能密钥装置利用内置的本级授权密钥和所述授权智能密钥装置的序列号组合并进行散列运算生成会话密钥,利用所述会话密钥解密得到本级操作密钥和初始操作密钥;
步骤C:如果待解锁智能密钥装置为次级授权智能密钥装置,所述授权智能密钥装置将所述次级授权智能密钥装置的序列号与所述本级操作密钥、所述本级授权密钥进行组合并进行散列运算,生成次级授权智能密钥装置的解锁密码;
如果待解锁智能密钥装置为次级操作智能密钥装置,所述授权智能密钥装置将所述次级操作智能密钥装置的序列号与所述本级操作密钥、所述本级授权密钥进行组合并进行散列运算,生成次级操作智能密钥装置的解锁密码;
如果待解锁智能装置为用户智能密钥装置,所述授权智能密钥装置利用初始授权密钥、初始操作密钥和所述用户智能密钥装置的序列号组合并进行散列运算,生成用户智能密钥装置的解锁密码。
7.如权利要求6所述的智能密钥装置的密码管理方法,其特征在于,所述授权智能密钥装置和所述操作智能密钥装置之间以及所述授权智能密钥装置和所述待解锁智能密钥装置之间发送信息时,对所述发送的信息加密,所述授权智能密钥装置和所述操作智能密钥装置之间以及所述授权智能密钥装置和所述待解锁智能密钥装置之间接收信息时,对所述接收的信息进行解密;所述加密、解密以及散列运算的处理是在所述授权智能密钥装置内部实现。
8.如权利要求6所述的智能密钥装置的密码管理方法,其特征在于,所述授权智能密钥装置的序列号为随机生成并存储在所述授权智能密钥装置内的消息串;
所述次级授权智能密钥装置的序列号为随机生成并存储在所述次级授权智能密钥装置内的消息串;
所述次级操作智能密钥装置的序列号为随机生成并存储在所述次级操作智能密钥装置内的消息串;
所述用户智能密钥装置的序列号为随机生成并存储在所述用户智能密钥装置内的消息串。
9.如权利要求6所述的智能密钥装置的密码管理方法,其特征在于,所述授权智能密钥装置为主控智能密钥装置时,所述主控智能密钥装置保存有初始授权密钥、初始操作密钥、本级授权密钥和本级操作密钥。
10.如权利要求6所述的智能密钥装置的密码管理方法,其特征在于,所述加密和解密用到的算法包括AES算法、DES算法、3DES算法、SSF33算法、SCB2算法、ECC算法、RSA算法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2006101144477A CN1953366B (zh) | 2006-11-10 | 2006-11-10 | 智能密钥装置的密码管理方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2006101144477A CN1953366B (zh) | 2006-11-10 | 2006-11-10 | 智能密钥装置的密码管理方法和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1953366A CN1953366A (zh) | 2007-04-25 |
| CN1953366B true CN1953366B (zh) | 2011-02-16 |
Family
ID=38059515
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2006101144477A Active CN1953366B (zh) | 2006-11-10 | 2006-11-10 | 智能密钥装置的密码管理方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN1953366B (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101798889B (zh) * | 2010-03-15 | 2013-05-01 | 郎孙俊 | 电子密码开锁方法和电子密码锁装置 |
| CN102571327B (zh) * | 2010-12-31 | 2015-04-01 | 上海格尔软件股份有限公司 | 一种集中安全管理USBKey解锁密钥的方法 |
| CN102571802B (zh) * | 2012-01-18 | 2016-04-13 | 深圳市文鼎创数据科技有限公司 | 信息安全设备及服务器远程解锁方法、设备和服务器 |
| CN102983974B (zh) * | 2012-11-12 | 2016-02-24 | 天地融科技股份有限公司 | 动态口令显示系统 |
| CN102983975B (zh) * | 2012-11-12 | 2016-02-24 | 天地融科技股份有限公司 | 动态口令显示方法 |
| CN106789094A (zh) * | 2017-03-09 | 2017-05-31 | 龙尚科技(上海)有限公司 | 基于随机算法与加密算法的动态认证方法 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1838142A (zh) * | 2006-04-29 | 2006-09-27 | 北京飞天诚信科技有限公司 | 带有数据存储和智能密钥的usb设备及其控制方法 |
-
2006
- 2006-11-10 CN CN2006101144477A patent/CN1953366B/zh active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1838142A (zh) * | 2006-04-29 | 2006-09-27 | 北京飞天诚信科技有限公司 | 带有数据存储和智能密钥的usb设备及其控制方法 |
Non-Patent Citations (6)
| Title |
|---|
| 朱鹏飞等.基于非密码认证体制的密钥分配方案.计算机工程31 2.2005,31(2),169-170. |
| 朱鹏飞等.基于非密码认证体制的密钥分配方案.计算机工程31 2.2005,31(2),169-170. * |
| 肖孟强,王承君.基于EPASS1000网络身份安全认证解决方案的设计.北京航天航空大学学报30 7.2004,30(7),686-692. |
| 肖孟强,王承君.基于EPASS1000网络身份安全认证解决方案的设计.北京航天航空大学学报30 7.2004,30(7),686-692. * |
| 谭畅.基于USB-KEY的用户认证在WEB气象服务上的应用.计算机与网络 10.2006,(10),50-51. |
| 谭畅.基于USB-KEY的用户认证在WEB气象服务上的应用.计算机与网络 10.2006,(10),50-51. * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN1953366A (zh) | 2007-04-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103067160B (zh) | 一种加密sd卡的动态密钥生成的方法及系统 | |
| CN111130757A (zh) | 一种基于区块链的多云cp-abe访问控制方法 | |
| CN109379387B (zh) | 一种物联网设备间的安全认证和数据通信系统 | |
| CN106161402A (zh) | 基于云环境的加密机密钥注入系统、方法及装置 | |
| CN101986596A (zh) | 密钥管理机制 | |
| CN101945114B (zh) | 基于fuzzy vault和数字证书的身份认证方法 | |
| CN101359991A (zh) | 基于标识的公钥密码体制私钥托管系统 | |
| CN110519046A (zh) | 基于一次性非对称密钥对和qkd的量子通信服务站密钥协商方法和系统 | |
| CN107948156A (zh) | 一种基于身份的封闭式密钥管理方法及系统 | |
| CN106789039B (zh) | 一种机密数据的存储方法 | |
| CN1953366B (zh) | 智能密钥装置的密码管理方法和系统 | |
| CN103560892A (zh) | 密钥生成方法和密钥生成装置 | |
| CN102752109A (zh) | 应用于数据库列加密的密钥管理方法和装置 | |
| CN110138548A (zh) | 基于非对称密钥池对和dh协议的量子通信服务站密钥协商方法和系统 | |
| JP2024511236A (ja) | コンピュータファイルのセキュリティ暗号化方法、復号化方法および読み取り可能な記憶媒体 | |
| CN110224816A (zh) | 基于密钥卡和序列号的抗量子计算应用系统以及近距离节能通信方法和计算机设备 | |
| TWI476629B (zh) | Data security and security systems and methods | |
| CN112787996B (zh) | 一种密码设备管理方法及系统 | |
| CN110098925A (zh) | 基于非对称密钥池对和随机数的量子通信服务站密钥协商方法和系统 | |
| CN110519222A (zh) | 基于一次性非对称密钥对和密钥卡的外网接入身份认证方法和系统 | |
| CN110176989A (zh) | 基于非对称密钥池的量子通信服务站身份认证方法和系统 | |
| CN100566239C (zh) | 多级智能密钥装置的密钥传递方法和系统 | |
| CN110519214A (zh) | 基于在线离线签名和辅助验证签名的应用系统近距离节能通信方法、系统、设备 | |
| CN114401087B (zh) | 一种基于国密算法的无源锁身份认证与密钥协商的系统 | |
| CN110266483A (zh) | 基于非对称密钥池对和qkd的量子通信服务站密钥协商方法、系统、设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C56 | Change in the name or address of the patentee |
Owner name: FEITIAN CHENGXIN TECHNOLOGIES CO., LTD. Free format text: FORMER NAME: BEIJING FEITIAN CHENGXIN SCIENCE + TECHNOLOGY CO. LTD. |
|
| CP03 | Change of name, title or address |
Address after: 100085 Beijing city Haidian District Xueqing Road No. 9 Ebizal building B block 17 layer Patentee after: Feitian Technologies Co., Ltd. Address before: 100083, Haidian District, Xueyuan Road, No. 40 research, 7 floor, 5 floor, Beijing Patentee before: Beijing Feitian Chengxin Science & Technology Co., Ltd. |