一种密码设备管理方法及系统技术方案

本发明专利技术提供一种密码设备管理方法及系统。该方法包括：用户添加过程、用户登录过程和密钥管理过程；用户添加过程包括：用户智能密码钥匙向密码设备发送公钥读取请求信息；密码设备接收到公钥读取请求信息后，生成公钥信息d_pub和私钥信息d_pri，并将公钥信息d_pub返回至用户智能密码钥匙；用户智能密码钥匙通过公钥信息d_pub加密其自身的设备类型、设备号和公钥信息u_pub生成第一密文，并发送至密码设备；密码设备通过私钥信息d_pri解密第一密文后，在本地写入用户智能密码钥匙的设备类型和设备号，并生成密钥key；然后通过公钥信息u_pub加密密钥key后生成第二密文，并发送至用户智能密码钥匙；用户智能密码钥匙通过其自身的私钥信息u_pri解密第二密文获得密钥key并保存。

【技术实现步骤摘要】
一种密码设备管理方法及系统
本专利技术涉及信息安全
，尤其涉及一种密码设备管理方法及系统。
技术介绍
随着信息产业的快速发展，信息安全现在已经成为人为关注的热点，一旦信息被泄露、篡改，将造成严重的后果，为了提升信息传输、存储等安全性，目前常用的是增加密码设备来保障信息安全性；密码设备是指能够提供数据加解密、数字签名、验签等密码服务的安全设备，常见的密码设备包括密码机、密码卡、密码终端等，密码设备中存储有各种密钥信息、文件、用户信息等，因此密码设备自身的安全性显得尤为重要。目前，针对密码设备的安全管理常见的是通过设置有不同级别的用户来进行鉴别认证，不同的用户设置有不同的服务权限，然而现有的技术在对密码设备管理用户的方式上安全性还有待提升。
技术实现思路
针对现有密码管理方法安全性不足的问题，本专利技术提供一种密码设备管理方法及系统，通过不同用户的智能密码钥匙能够实现对密码设备的安全管理，防止不合法用户访问密码设备，窃取密码设备的关键信息。一方面，本专利技术提供一种密码设备管理方法，该方法包括：用户添加过程、用户登录过程和密钥管理过程；所述用户添加过程具体包括：用户智能密码钥匙向密码设备发送公钥读取请求信息；所述密码设备接收到所述公钥读取请求信息后，生成公钥信息d_pub和私钥信息d_pri，并将所述公钥信息d_pub返回至所述用户智能密码钥匙；所述用户智能密码钥匙通过所述公钥信息d_pub加密其自身的设备类型、设备号和公钥信息u_pub生成第一密文，并发送至所述密码设备；所述密码设备通过所述私钥信息d_pri解密所述第一密文后，在本地写入所述用户智能密码钥匙的设备类型和设备号，并生成密钥key；然后通过所述公钥信息u_pub加密所述密钥key后生成第二密文，并发送至所述用户智能密码钥匙；所述用户智能密码钥匙通过其自身的私钥信息u_pri解密所述第二密文获得所述密钥key并保存。进一步地，所述密码设备的用户包括多个管理员和一个操作员；在用户添加过程中，当所述密码设备没有添加任何用户时，仅支持添加管理员操作；当获取所述密码设备的管理员权限后，才支持添加操作员操作；其中，所述管理员权限通过半数以上的管理员登录所述密码设备后获得。进一步地，所述用户登录过程，具体包括：所述用户智能密码钥匙通过所述公钥信息d_pub加密其自身的设备类型、设备号和公钥信息u_pub生成第三密文，并发送至所述密码设备；所述密码设备通过所述私钥信息d_pri解密所述第三密文后，将解密获得的设备号和设备类型分别与本地存储的设备号和设备类型进行比对验证，并生成一随机数r；然后通过解密获得的公钥信息u_pub加密所述随机数r生成第四密文，并发送至所述用户智能密码钥匙；所述用户智能密码钥匙通过其自身的私钥信息u_pri解密所述第四密文获得一随机数m，然后通过本地存储的密钥key加密所述随机数m生成第五密文，并发送至所述密码设备；所述密码设备通过其本地生成的密钥key解密所述第五密文获得随机数m，并将所述随机数m与所述随机数r进行比对，若一致，则允许登录；否则，禁止登录。进一步地，所述密钥管理过程，具体包括：当半数以上的管理员智能密码钥匙登录密码设备成功后获得管理员权限；在所述密码设备中生成并保存设备保护密钥；在所述密码设备中生成用户密钥和密钥加密密钥，并通过所述设备保护密钥加密保存在所述密码设备中；在所述密码设备中生成或者导入密钥备份密钥，并使用门限算法将所述密钥备份密钥分割成多个后保存至各个管理员智能密码钥匙中；在所述密码设备中生成或导入会话密钥；在进行密钥备份时，依次读取各个管理员智能密码钥匙中的密钥分量，使用门限算法恢复出密钥备份密钥，并使用所述密钥备份密钥加密所述用户密钥和所述密钥加密密钥，导出至所述密码设备外部；在进行密钥恢复时，依次读取各个管理员智能密码钥匙中的密钥分量，使用门限算法恢复出密钥备份密钥，并使用所述密钥备份密钥解密获得所述用户密钥和所述密钥加密密钥，并使用所述设备保护密钥加密所述用户密钥和所述密钥加密密钥后保存至所述密码设备内部。另一方面，本专利技术提供一种密码设备管理系统，包括用户智能密码钥匙和密码设备；所述用户智能密码钥匙，用于向密码设备发送公钥读取请求信息，以获取密码设备返回的公钥信息d_pub；通过所述公钥信息d_pub加密其自身的设备类型、设备号和公钥信息u_pub生成第一密文，并发送至密码设备；接收密码设备发送的第二密文；通过其自身的私钥信息u_pri解密所述第二密文获得密钥key并保存；所述密码设备，用于在接收到用户智能密码钥匙发送的公钥读取请求信息后，生成公钥信息d_pub和私钥信息d_pri，并将所述公钥信息d_pub返回至所述用户智能密码钥匙；接收用户智能密码钥匙发送的第一密文；通过所述私钥信息d_pri解密所述第一密文后，在本地写入所述用户智能密码钥匙的设备类型和设备号，并生成密钥key；通过所述公钥信息u_pub加密所述密钥key后生成第二密文，并发送至所述用户智能密码钥匙。进一步地，所述密码设备的用户至少包括多个管理员和一个操作员，当所述密码设备没有添加用户时，仅支持添加管理员操作；当获取所述密码设备的管理员权限后，才支持添加操作员操作；其中，所述管理员权限通过半数以上的管理员登录所述密码设备后获得。进一步地，所述用户智能密码钥匙，还用于通过所述公钥信息d_pub加密其自身的设备类型、设备号和公钥信息u_pub生成第三密文，并发送至所述密码设备；接收密码设备发送的第四密文；通过其自身的私钥信息u_pri解密所述第四密文获得一随机数m，然后通过本地存储的密钥key加密所述随机数m生成第五密文，并发送至所述密码设备；所述密码设备，还用于接收用户智能密码钥匙发送的第三密文；通过所述私钥信息d_pri解密所述第三密文后，将解密获得的设备号和设备类型分别与本地存储的设备号和设备类型进行比对验证，并生成一随机数r；通过解密获得的公钥信息u_pub加密所述随机数r生成第四密文，并发送至所述用户智能密码钥匙；接收用户智能密码钥匙发送的第五密文；通过其本地生成的密钥key解密所述第五密文获得随机数m，并将所述随机数m与所述随机数r进行比对，若一致，则允许登录，否则，禁止登录。进一步地，所述密码设备，用于生成并保存设备保护密钥，生成用户密钥和密钥加密密钥，并通过所述设备保护密钥加密保存在所述密码设备中；生成或者导入密钥备份密钥，并使用门限算法将所述密钥备份密钥分割成多个后保存至各个管理员智能密码钥匙中；生成或导入会话密钥；以及，在进行密钥备份时，依次读取各个管理员智能密码钥匙中的密钥分量，使用门限算法恢复出密钥备份密钥，并使用所述密钥备份密钥加密所述用户密钥和所述密钥加密密钥，导出至所述密码设备外部；以及，在进行密钥恢复时，依次读取各个管理员用户智能密码钥匙中的密钥分量，使用门限算法恢复出密钥备份密钥，并使用所述密钥备份密钥解密获得所述用本文档来自技高网...

【技术保护点】
1.一种密码设备管理方法，其特征在于，包括：用户添加过程、用户登录过程和密钥管理过程；所述用户添加过程具体包括：/n用户智能密码钥匙向密码设备发送公钥读取请求信息；/n所述密码设备接收到所述公钥读取请求信息后，生成公钥信息d_pub和私钥信息d_pri，并将所述公钥信息d_pub返回至所述用户智能密码钥匙；/n所述用户智能密码钥匙通过所述公钥信息d_pub加密其自身的设备类型、设备号和公钥信息u_pub生成第一密文，并发送至所述密码设备；/n所述密码设备通过所述私钥信息d_pri解密所述第一密文后，在本地写入所述用户智能密码钥匙的设备类型和设备号，并生成密钥key；然后通过所述公钥信息u_pub加密所述密钥key后生成第二密文，并发送至所述用户智能密码钥匙；/n所述用户智能密码钥匙通过其自身的私钥信息u_pri解密所述第二密文获得所述密钥key并保存。/n

【技术特征摘要】
1.一种密码设备管理方法，其特征在于，包括：用户添加过程、用户登录过程和密钥管理过程；所述用户添加过程具体包括：
用户智能密码钥匙向密码设备发送公钥读取请求信息；
所述密码设备接收到所述公钥读取请求信息后，生成公钥信息d_pub和私钥信息d_pri，并将所述公钥信息d_pub返回至所述用户智能密码钥匙；
所述用户智能密码钥匙通过所述公钥信息d_pub加密其自身的设备类型、设备号和公钥信息u_pub生成第一密文，并发送至所述密码设备；
所述密码设备通过所述私钥信息d_pri解密所述第一密文后，在本地写入所述用户智能密码钥匙的设备类型和设备号，并生成密钥key；然后通过所述公钥信息u_pub加密所述密钥key后生成第二密文，并发送至所述用户智能密码钥匙；
所述用户智能密码钥匙通过其自身的私钥信息u_pri解密所述第二密文获得所述密钥key并保存。


2.根据权利要求1所述的密码设备管理方法，其特征在于，所述密码设备的用户包括多个管理员和一个操作员；在用户添加过程中，当所述密码设备没有添加任何用户时，仅支持添加管理员操作；当获取所述密码设备的管理员权限后，才支持添加操作员操作；其中，所述管理员权限通过半数以上的管理员登录所述密码设备后获得。


3.根据权利要求1所述的密码设备管理方法，其特征在于，所述用户登录过程，具体包括：
所述用户智能密码钥匙通过所述公钥信息d_pub加密其自身的设备类型、设备号和公钥信息u_pub生成第三密文，并发送至所述密码设备；
所述密码设备通过所述私钥信息d_pri解密所述第三密文后，将解密获得的设备号和设备类型分别与本地存储的设备号和设备类型进行比对验证，并生成一随机数r；然后通过解密获得的公钥信息u_pub加密所述随机数r生成第四密文，并发送至所述用户智能密码钥匙；
所述用户智能密码钥匙通过其自身的私钥信息u_pri解密所述第四密文获得一随机数m，然后通过本地存储的密钥key加密所述随机数m生成第五密文，并发送至所述密码设备；
所述密码设备通过其本地生成的密钥key解密所述第五密文获得随机数m，并将所述随机数m与所述随机数r进行比对，若一致，则允许登录；否则，禁止登录。


4.根据权利要求1所述的密码设备管理方法，其特征在于，所述密钥管理过程，具体包括：
当半数以上的管理员智能密码钥匙登录密码设备成功后获得管理员权限；
在所述密码设备中生成并保存设备保护密钥；在所述密码设备中生成用户密钥和密钥加密密钥，并通过所述设备保护密钥加密保存在所述密码设备中；在所述密码设备中生成或者导入密钥备份密钥，并使用门限算法将所述密钥备份密钥分割成多个后保存至各个管理员智能密码钥匙中；在所述密码设备中生成或导入会话密钥；
在进行密钥备份时，依次读取各个管理员智能密码钥匙中的密钥分量，使用门限算法恢复出密钥备份密钥，并使用所述密钥备份密钥加密所述用户密钥和所述密钥加密密钥，导出至所述密码设备外部；
在进行密钥恢复时，依次读取各个管理员智能密码钥匙中的密钥分量，使用门限算法恢复出密钥备份密钥，并使用所述密钥备份密钥解密获得所述用户密钥和所述密钥加密密钥，并使用所述设备保护密钥加密所述用户密钥和所述密钥加密密钥后保存至所述密码设备内部。


5.一种密码设备管理系统，其特征在于，包括用户智能密码钥匙和密码设备；
所述用户智能密码钥匙，用于向密码设备发送公钥读取请求信息，以获取密码设备返回的公钥信息d_p...

【专利技术属性】
技术研发人员：雷宗华，彭金辉，王阳阳，习道彬，徐晓兵，
申请(专利权)人：郑州信大捷安信息技术股份有限公司，
类型：发明
国别省市：河南;41