CN103929306B - 智能密钥设备和智能密钥设备的信息管理方法 - Google Patents
智能密钥设备和智能密钥设备的信息管理方法 Download PDFInfo
- Publication number
- CN103929306B CN103929306B CN201410132192.1A CN201410132192A CN103929306B CN 103929306 B CN103929306 B CN 103929306B CN 201410132192 A CN201410132192 A CN 201410132192A CN 103929306 B CN103929306 B CN 103929306B
- Authority
- CN
- China
- Prior art keywords
- cipher key
- intelligent cipher
- key equipment
- user
- user data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Storage Device Security (AREA)
Abstract
本发明提出一种智能密钥设备和智能密钥设备的信息管理方法。其中,该智能密钥设备包括:第一存储模块,用于存储智能密钥设备的私钥和数字证书;第二存储模块,用于存储用户数据;收发模块,用于接收用户输入的操作指令和待存储的用户数据;访问控制模块,用于对用户进行身份验证,并在用户通过身份验证之后,将第二存储模块的写权限开放给用户,以及将待存储的用户数据写入至第二存储模块;以及安全芯片,用于进行数字签名的生成和认证,以及加密和解密。本发明实施例的智能密钥设备,使得用户在使用智能密钥设备登录时无需手动输入登录账号以及密码,给用户带来了极大的便利,尤其是对于有多个账户的用户来说,大大减少了用户记忆的难度。
Description
技术领域
本发明涉及网络信息安全技术领域,尤其涉及一种智能密钥设备和智能密钥设备的信息管理方法。
背景技术
口令技术是目前网络信息***中最为常用的安全与保密措施之一,例如,用户在登录网上银行、第三方支付平台、各种购物社交类网站时都需要先设置相应登录账号以及密码。随着网络信息时代的快速发展,用户在网上的活动也日趋频繁。目前,USBKey技术可以解决对用户身份认证的问题,USBKey是一种USB接口的硬件设备,其内置单片机或智能卡芯片,并且在USBKey中具有一定的存储空间,可以存储用户的私钥以及数字证书,利用USBKey内置的公钥算法实现对用户的身份认证。因此,利用USBKey技术可以解决网络安全中对用户进行身份认证的难题,并已广泛应用于网上银行或者第三方支付平台等支付领域。
在实现本发明的过程中,发明人发现现有技术至少存在以下问题:虽然USBKey具有高安全的特性,确保了用户的私钥和数字证书的安全,但是用户在使用USBKey登录网上银行或者第三方支付平台时仍然需要手动输入登录账号以及密码,用户操作起来很不方便,使用体验也不好。
进一步而言,对于拥有多个银行、第三方支付平台或者购物社交类网站等账户的用户来说,很多用户为了便于记忆而选择相同或类似特征的组合作为登录账号和密码,虽然便于用户的记忆却并不安全,因为一旦某个账号的登录账号和密码被破解,将直接威胁到其他账户的安全,对用户信息的安全保护带来了极大的隐患。如果用户为多个账户分别设置对应的登录账号和密码,虽然安全性较好却需要用户准确记忆每个账户的登录账号和密码,必然会增加了用户记忆的难度。
发明内容
本发明旨在至少在一定程度上解决相关技术中的技术问题之一。
为此,本发明的第一个目的在于提出一种智能密钥设备,该智能密钥设备使得用户在使用智能密钥设备登录网上银行或者第三方支付平台时无需手动输入登录账号以及密码,减少了用户记忆的难度,提升了用户体验。
本发明的第二个目的在于提出一种智能密钥设备的信息管理方法。
为达上述目的,本发明第一方面实施例提出了一种智能密钥设备,包括:第一存储模块,用于存储所述智能密钥设备的私钥和数字证书;第二存储模块,用于存储用户数据;收发模块,用于接收用户输入的操作指令和待存储的用户数据;访问控制模块,用于对所述用户进行身份验证,并在所述用户通过身份验证之后,将所述第二存储模块的写权限开放给所述用户,以及将所述待存储的用户数据写入至所述第二存储模块;以及安全芯片,用于进行数字签名的生成和认证,以及加密和解密。
在本发明的一个实施例中,所述访问控制模块根据所述智能密钥设备的个人识别密码PIN码对所述用户进行身份验证。
在本发明的一个实施例中,所述智能密钥设备还包括激活控制模块,所述激活控制模块用于接收所述用户在智能密钥设备上输入的激活码,并对所述激活码进行激活验证,以及在激活验证通过后激活所述访问控制模块,或接收所述用户通过客户端发送的激活请求和所述用户通过所述客户端输入的激活码,并对所述激活码进行激活验证,以及在激活验证通过后激活所述访问控制模块。
在本发明的一个实施例中,所述智能密钥设备还包括开启模块,所述开启模块用于接收所述用户输入的开启指令,并根据所述开启指令启用所述访问控制模块。
在本发明的一个实施例中,所述收发模块通过所述智能密钥设备提供的操作界面及控制按钮接收所述操作指令和所述待存储的用户数据;或所述收发模块通过通信接口接收外部设备发送的所述操作指令和所述待存储的用户数据。
在本发明的一个实施例中,所述收发模块接收所述用户通过客户端发送的对所述智能密钥设备的验证请求和随机数,所述安全芯片根据所述智能密钥设备的私钥对所述随机数进行加密,以及所述收发模块根据所述验证请求将所述智能密钥设备的数字证书和加密后的随机数发送至所述客户端;其中,所述客户端根据根证书对所述智能密钥设备的数字证书进行验证,并根据所述智能密钥设备的公钥对所述加密后的随机数进行解密,以及对解密后的随机数进行验证。
在本发明的一个实施例中,所述收发模块接收客户端发送的用户数据密文,所述安全芯片根据所述智能密钥设备的私钥对所述用户数据密文解密以获取所述待存储的用户数据,其中,所述客户端根据所述智能密钥设备的公钥对所述待存储的用户数据加密以生成所述用户数据密文,或所述收发模块接收客户端发送的会话密钥密文和用户数据密文,所述安全芯片根据所述智能密钥设备的私钥对所述会话密钥密文解密以获取会话密钥,并根据所述会话密钥对所述用户数据密文解密以获取所述待存储的用户数据,其中,所述客户端随机生成会话密钥,并根据所述智能密钥设备的公钥对所述会话密钥加密以生成所述会话密钥密文,以及根据所述会话密钥对所述待存储的用户数据加密以生成所述用户数据密文。
在本发明的一个实施例中,所述智能密钥设备还包括显示模块,所述显示模块用于在所述收发模块接收所述用户输入的待存储的用户数据之后,显示所述操作指令和待存储的用户数据,以及所述访问控制模块在所述收发模块接收到所述用户对显示出的所述待存储的用户数据的确认指令之后,将所述待存储的用户数据写入所述第二存储模块。
本发明实施例的智能密钥设备,利用智能密钥设备自身可存储数据并具备高安全性的特点,在智能密钥设备中增加新的功能模块,并在用户需要使用该功能模块时对用户进行身份验证,在用户身份验证通过后通过新增的功能模块为用户提供私人信息的存储和管理功能。由此使得用户在使用智能密钥设备登录网上银行或者第三方支付平台时无需手动输入登录账号以及密码,在保护用户的登录账号和密码安全的同时也给用户带来了极大的便利,尤其是对于有多个账户的用户来说,利用智能密钥设备保存账号和密码,大大减少了用户记忆的难度,提升了用户体验。
本发明的一个实施例中,所述收发模块,还用于接收客户端发送的动态口令生成请求;所述访问控制模块,还用于获取所述智能密钥设备中第二存储模块存储的用户数据;所述显示模块,还用于显示所述用户数据,其中,所述用户数据包括账号和对应的密码;所述安全芯片,还用于获得用户选中的用户数据,并根据所述用户选中的用户数据生成动态口令,其中,所述动态口令用于所述用户在所述客户端使用所述用户选中的用户数据进行登录时的身份验证。
其中,所述安全芯片,具体用于将所述用户选中的用户数据作为种子密钥,根据所述种子密钥和因子信息计算所述动态口令,其中,所述因子信息包括时间因子和/或事件因子,所述用户数据包括数字信息和可转换为数字信息的非数字信息,所述非数字信息包括字母、运算符号和标点符号中的一种或几种。
本发明实施例的智能密钥设备,在将用户账户、密码等用户数据存储在智能密钥设备的第二存储装置中后,还可以实现利用这些存储的用户数据生成动态口令。
本发明的一个实施例中,所述收发模块,还用于接收客户端发送的密码输出请求;所述显示模块,还用于根据所述密码输出请求,显示与所述智能密钥设备中预先存储的用户数据对应的条目列表,其中,所述用户数据包括账户信息和对应的密码;所述智能密钥设备还包括:确定模块用于确定用户在所述条目列表中选择的账户信息,并根据所述用户选择的账户信息确定第一密码,其中,所述第一密码为用于登录认证的密码;所述收发模块,还用于将所述第一密码发送给所述客户端,以便所述客户端输入所述第一密码。
其中,所述确定模块具体用于根据所述用户选择的账户信息,从所述中获取与所述用户选择的账户信息对应的密码;将所述获取的密码确定为所述第一密码,或者对所述获取的密码进行加密处理,得到所述第一密码;或者,所述确定模块具体用于根据所述用户选择的账户信息,从所述存储信息中获取所述用户选择的账户信息以及与所述用户选择的账户信息对应的信息中的一种或多种;采用动态密码计算算法,对所述获取的信息进行计算得到动态密码,将所述动态密码确定为所述第一密码。
本发明实施例的智能密钥设备,在将用户账户、密码等用户数据存储在智能密钥设备的第二存储装置中后,还可以实现从智能密钥设备中安全的读出账号、密码等用户数据,并使用该用户数据进行客户端的登录。
本发明的一个实施例中,所述访问控制模块,还用于从所述智能密钥设备的第二存储模块中获取待备份的数据;所述收发模块,还用于将所述待备份的数据发送至所述目标智能密钥设备;其中,所述目标智能密钥设备接收所述待备份的数据;并在所述目标智能密钥设备中显示所述待备份的数据,以供所述用户确认;以及在接收到所述用户的确认指令之后,所述目标智能密钥设备保存所述待备份的数据。
本发明实施例的智能密钥设备,在将用户账户、密码等用户数据存储在智能密钥设备的第二存储装置中后,还可以实现将智能密钥设备中保存的所述用户数据备份到其他的智能密钥设备中,以防止智能密钥设备丢失造成用户密码丢失的问题。
为达上述目的,本发明第二方面实施例提出了一种智能密钥设备的信息管理方法,包括:接收用户输入的操作指令和待存储的用户数据;对所述用户进行身份验证,并在所述用户通过身份验证之后,将所述智能密钥设备的写权限开放给所述用户;以及将所述待存储的用户数据写入至所述智能密钥设备。
在本发明的一个实施例中,所述对用户进行身份验证具体包括根据所述智能密钥设备的个人识别密码PIN码对所述用户进行身份验证。
在本发明的一个实施例中,在所述接收用户输入的操作指令和待存储的用户数据之前,还包括接收所述用户在智能密钥设备上输入的激活码,并对所述激活码进行激活验证,以及在激活验证通过后激活所述智能密钥设备的信息存储功能,或接收所述用户通过客户端发送的激活请求和所述用户通过所述客户端输入的激活码,并对所述激活码进行激活验证,以及在激活验证通过后激活所述智能密钥设备的信息存储功能,其中,所述信息存储功能用于实现将所述待存储的用户数据写入至所述智能密钥设备。
在本发明的一个实施例中,在所述接收用户输入的操作指令和待存储的用户数据之前,还包括接收所述用户输入的开启指令,并根据所述开启指令启用所述智能密钥设备的信息存储功能。
在本发明的一个实施例中,所述接收用户输入的操作指令和待存储的用户数据具体包括通过所述智能密钥设备提供的操作界面及控制按钮接收所述操作指令和所述待存储的用户数据;或通过通信接口接收外部设备发送的所述操作指令和所述待存储的用户数据。
在本发明的一个实施例中,在所述将待存储的用户数据写入至所述智能密钥设备之前,还包括接收所述用户通过客户端发送的对所述智能密钥设备的验证请求和随机数,并根据所述智能密钥设备的私钥对所述随机数进行加密,以及根据所述验证请求将所述智能密钥设备的数字证书和加密后的随机数发送至所述客户端;以及所述客户端根据根证书对所述智能密钥设备的数字证书进行验证,并根据所述智能密钥设备的公钥对所述加密后的随机数进行解密,以及对解密后的随机数进行验证。
在本发明的一个实施例中,所述接收用户输入的操作指令和待存储的用户数据具体包括接收客户端发送的用户数据密文,并根据所述智能密钥设备的私钥对所述用户数据密文解密以获取所述待存储的用户数据,其中,所述客户端根据所述智能密钥设备的公钥对所述待存储的用户数据加密以生成所述用户数据密文,或接收客户端发送的会话密钥密文和用户数据密文,并根据所述智能密钥设备的私钥对所述会话密钥密文解密以获取会话密钥,以及根据所述会话密钥对所述用户数据密文解密以获取所述待存储的用户数据,其中,所述客户端随机生成会话密钥,并根据所述智能密钥设备的公钥对所述会话密钥加密以生成所述会话密钥密文,以及根据所述会话密钥对所述待存储的用户数据加密以生成所述用户数据密文。
在本发明的一个实施例中,在所述将待存储的用户数据写入至所述智能密钥设备之前,还包括显示所述待存储的用户数据,所述将待存储的用户数据写入至所述智能密钥设备具体为:在接收到所述用户对显示出的所述待存储的用户数据的确认指令之后,将所述待存储的用户数据写入至所述智能密钥设备。
本发明实施例的智能密钥设备的信息管理方法,利用智能密钥设备自身可存储数据并具备高安全性的特点,在智能密钥设备中增加新的功能模块,并在用户需要使用该功能模块时对用户进行身份验证,在用户身份验证通过后通过新增的功能模块为用户提供私人信息的存储和管理功能。由此使得用户在使用智能密钥设备登录网上银行或者第三方支付平台时无需手动输入登录账号以及密码,在保护用户的登录账号和密码安全的同时也给用户带来了极大的便利,尤其是对于有多个账户的用户来说,利用智能密钥设备保存账号和密码,大大减少了用户记忆的难度,提升了用户体验。
本发明的一个实施例中,在所述将待存储的用户数据写入至所述智能密钥设备之后,还包括:所述智能密钥设备接收客户端发送的动态口令生成请求;所述智能密钥设备获取所述智能密钥设备中第二存储模块存储的用户数据;所述智能密钥设备在显示屏上显示所述用户数据,其中,所述用户数据包括账号和对应的密码;所述智能密钥设备获得用户选中的用户数据,并根据所述用户选中的用户数据生成动态口令,其中,所述动态口令用于所述用户在所述客户端使用所述用户选中的用户数据进行登录时的身份验证。
其中,所述智能密钥设备获得用户选中的用户数据,并根据所述用户选中的用户数据生成动态口令包括:将所述用户选中的用户数据作为种子密钥,根据所述种子密钥和因子信息计算所述动态口令,其中,所述因子信息包括时间因子和/或事件因子,所述用户数据包括数字信息和可转换为数字信息的非数字信息,所述非数字信息包括字母、运算符号和标点符号中的一种或几种。
本发明实施例的智能密钥设备,在将用户账户、密码等用户数据存储在智能密钥设备的第二存储装置中后,还可以实现利用这些存储的用户数据生成动态口令。
本发明的一个实施例中,在所述将待存储的用户数据写入至所述智能密钥设备之后,还包括:所述智能密钥设备接收客户端发送的密码输出请求;所述智能密钥设备根据所述密码输出请求,显示与所述智能密钥设备中预先存储的用户数据对应的条目列表,其中,所述用户数据包括账户信息和对应的密码;所述智能密钥设备确定用户在所述条目列表中选择的账户信息,并根据所述用户选择的账户信息确定第一密码,其中,所述第一密码为用于登录认证的密码;所述智能密钥设备将所述第一密码发送给所述客户端,以便所述客户端输入所述第一密码。
其中,所述智能密钥设备确定用户在所述条目列表中选择的账户信息,并根据所述用户选择的账户信息确定第一密码包括:根据所述用户选择的账户信息,从所述中获取与所述用户选择的账户信息对应的密码;将所述获取的密码确定为所述第一密码,或者对所述获取的密码进行加密处理,得到所述第一密码;或者,根据所述用户选择的账户信息,从所述存储信息中获取所述用户选择的账户信息以及与所述用户选择的账户信息对应的信息中的一种或多种;采用动态密码计算算法,对所述获取的信息进行计算得到动态密码,将所述动态密码确定为所述第一密码。
本发明实施例的智能密钥设备,在将用户账户、密码等用户数据存储在智能密钥设备的第二存储装置中后,还可以实现从智能密钥设备中安全的读出账号、密码等用户数据,并使用该用户数据进行客户端的登录。
本发明的一个实施例中,还包括:所述智能密钥设备从所述智能密钥设备的存储模块中获取待备份的数据;所述智能密钥设备将所述待备份的数据发送至所述目标智能密钥设备;其中,所述目标智能密钥设备接收所述待备份的数据;并在所述目标智能密钥设备中显示所述待备份的数据,以供所述用户确认;以及在接收到所述用户的确认指令之后,所述目标智能密钥设备保存所述待备份的数据。
本发明实施例的智能密钥设备,在将用户账户、密码等用户数据存储在智能密钥设备的第二存储装置中后,还可以实现将智能密钥设备中保存的所述用户数据备份到其他的智能密钥设备中,以防止智能密钥设备丢失造成用户密码丢失的问题。
本发明附加的方面和优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本发明的实践了解到。
附图说明
本发明上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解,其中:
图1是本发明一个实施例的智能密钥设备的结构示意图;
图2是本发明一个具体实施例的智能密钥设备的结构示意图;
图3是本发明一个实施例的激活访问控制模块的流程图;
图4是本发明另一个具体实施例的智能密钥设备的结构示意图;
图5是本发明一个实施例的智能密钥设备的工作流程图;
图6是本发明另一个实施例的智能密钥设备的工作流程图;
图7是根据本发明一个实施例的智能密钥设备的信息管理方法的流程图;
图8是根据本发明一个具体实施例的智能密钥设备的信息管理方法的流程图;以及
图9是根据本发明另一个具体实施例的智能密钥设备的信息管理方法的流程图。
具体实施方式
下面详细描述本发明的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,旨在用于解释本发明,而不能理解为对本发明的限制。
此外,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个该特征。在本发明的描述中,“多个”的含义是两个或两个以上,除非另有明确具体的限定。
流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为,表示包括一个或更多个用于实现特定逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分,并且本发明的优选实施方式的范围包括另外的实现,其中可以不按所示出或讨论的顺序,包括根据所涉及的功能按基本同时的方式或按相反的顺序,来执行功能,这应被本发明的实施例所属技术领域的技术人员所理解。
图1是本发明一个实施例的智能密钥设备的结构示意图。
如图1所示,智能密钥设备包括第一存储模块100、第二存储模块200、收发模块300、访问控制模块400和安全芯片500。
具体地,第一存储模块100用于存储智能密钥设备的私钥和数字证书。在本发明的实施例中,智能密钥设备可为USBKey、音频Key、蓝牙Key等,其中,USBKey可通过USB接口与客户端之间进行数据传输,音频Key可通过音码的方式与客户端之间进行数据传输,而蓝牙Key可通过蓝牙连接的方式与客户端之间进行数据传输。
第二存储模块200用于存储用户数据。具体而言,用户数据可包括用户在网上银行进行交易、或在第三方支付平台上进行支付时,登录网上银行或者第三方支付平台的登录账号和密码。此外,用户数据还可以是用户的银行卡***和密码,或者还可以是用户日常常用的网站的登录账号和密码等私人的数据信息。
收发模块300用于接收用户输入的操作指令和待存储的用户数据。具体而言,用户输入的操作指令可以是用户在第二存储模块200中添加新的用户数据的指令,或者对第二存储模块200中已存储的用户数据进行编辑、修改、删除等指令。
在本发明的实施例中,收发模块300可通过智能密钥设备提供的操作界面及控制按钮接收操作指令和待存储的用户数据。具体而言,用户可通过智能密钥设备提供的键盘(例如,物理键盘或者虚拟键盘)输入操作指令和待存储的用户数据至收发模块300。
应当理解的是,除了上述方式以外,智能密钥设备可为用户提供不同方式将操作指令和待存储的用户数据输入至智能密钥设备的收发模块300。在本发明的实施例中,收发模块300亦可通过通信接口接收外部设备发送的操作指令和待存储的用户数据。具体而言,用户可将智能密钥设备连接到客户端,在客户端上安装相应的管理应用程序,在管理应用程序的操作界面中通过鼠标、键盘、触摸屏等设备输入操作指令和待存储的用户数据,然后通过客户端的通信接口将操作指令和待存储的用户数据发送至收发模块300。其中,在本发明的实施例中,客户端可为个人计算机PC、笔记本电脑、平板电脑等。
访问控制模块400用于对用户进行身份验证,并在用户通过身份验证之后,将第二存储模块200的写权限开放给用户,以及将用户输入的待存储的用户数据写入至第二存储模块200。
在本发明的实施例中,访问控制模块400根据智能密钥设备的个人识别密码PIN码对用户进行身份验证。具体而言,在收发模块300接收用户输入的操作指令和待存储的用户数据之后,访问控制模块400可提示用户输入智能密钥设备的密码,即智能密钥设备的PIN码。在用户输入PIN码之后,访问控制模块400可根据用户输入的PIN码对用户的身份进行验证。举例而言,访问控制模块400可为用户提供两种不同的途径输入PIN码:
(1)、用户可通过智能密钥设备提供的键盘(物理键盘或者虚拟键盘)输入PIN码。具体而言,访问控制模块400可提示用户输入PIN码,并通过智能密钥设备的键盘等设备接收用户输入的PIN码,然后判断用户输入的PIN码和智能密钥设备中预存的PIN码是否一致,如果一致,则通过用户的身份验证。
(2)、用户可将智能密钥设备连接到客户端,通过客户端上的键盘或者触摸屏等设备输入PIN码,然后通过客户端的通信接口将PIN码发送至访问控制模块400进行验证。具体而言,在智能密钥设备连接到客户端之后,访问控制模块400对客户端发送验证用户身份的验证请求,用户可通过客户端的键盘或者触摸屏等设备输入PIN码,客户端将用户输入的PIN码发送至访问控制模块400。访问控制模块400判断接收到的PIN码和智能密钥设备中预存的PIN码是否一致,如果一致,则通过用户的身份验证。
进一步而言,访问控制模块400根据接收到的PIN码对用户的身份进行认证的同时,客户端也应当对智能密钥设备进行验证,从而保证该接收客户端传输数据的智能密钥设备也是合法的。
在本发明的实施例中,收发模块300接收用户通过客户端发送的对智能密钥设备的验证请求和随机数,安全芯片500根据智能密钥设备的私钥对随机数进行加密,以及收发模块300根据验证请求将智能密钥设备的数字证书和加密后的随机数发送至客户端,其中,客户端根据根证书对智能密钥设备的数字证书进行验证,并根据智能密钥设备的公钥对加密后的随机数进行解密,以及对解密后的随机数进行验证。具体而言,客户端可生成一个随机数,并将该随机数存储在客户端的缓存中,然后客户端可将该随机数和读取智能密钥设备的数字证书的请求一并发送至智能密钥设备的收发模块300。收发模块300在接收到随机数之后,将该随机数存储在智能密钥设备的缓存中,安全芯片500通过智能密钥设备的私钥对该随机数进行加密,然后收发模块300将加密后的随机数和智能密钥设备的数字证书一并发送至客户端。客户端在接收到智能密钥设备的数字证书和加密后的随机数之后,根据客户端中的根证书对该数字证书进行验证。
也就是说,客户端可使用根证书验证电子签名的数字证书的合法性,根证书即为CA认证中心(CertificateAuthority)的公钥证书,智能密钥设备的数字证书包含用户的信息、用户的公钥、以及CA认证中心对该数字证书中信息的签名。要验证智能密钥设备的数字证书的真伪(即验证CA认证中心对该数字证书的信息的签名是否有效),需要通过CA认证中心的公钥进行验证。客户端在验证智能密钥设备的数字证书时,可通过客户端内部的CA根证书读出智能密钥设备的数字证书中的用户信息、用户的公钥,从而验证智能密钥设备的数字证书的合法性。
如果客户端通过对智能密钥设备的数字证书的验证,则客户端还通过智能密钥设备的公钥对加密后的随机数进行解密,然后与客户端缓存中的随机数进行对比,从而进一步对智能密钥设备进行验证。
在本发明的实施例中,访问控制模块400还用于在用户输入的错误次数大于预设次数之后,锁定智能密钥设备。具体而言,如果用户输入智能密钥设备的PIN码错误,则访问控制模块400可统计用户输入错误的次数。当输入错误的次数大于预设次数后,即用户输入错误的次数超过预设阈值时,例如,5次,则访问控制模块400锁定智能密钥设备,由此进一步保证了智能密钥设备的安全性。
在本发明的实施例中,访问控制模块400在用户通过身份验证之后,将第二存储模块200的写权限开放给用户,以及将用户输入的待存储的用户数据写入至第二存储模块200。也就是说,在获取第二存储模块200的写入权限之后,用户可输入新的用户数据至存储模块200中,或者对第二存储模块200中已存储的用户数据进行修改。具体而言,用户输入新的用户数据时,可在智能密钥设备中选择预设的项目,或者可通过用户手动输入的自定义的项目。换言之,第二存储模块200存储的用户数据可分为两类:一类是预设的项目,可供用户直接进行选择,例如,银行***、网上银行登录名、密码、网址、邮箱名等等。在每个项目下还可预设多个下级的项目,例如,在银行***下可设置中行,工行,农行等。此外,另一类是空白的可供用户自定义输入的,用户需要存储用户数据时,可新建一个条目,其中,该条目可包括多个项目,例如,银行卡的种类、账号、密码等。
应当理解的是,用户在输入新的用户数据至存储模块200,或者对第二存储模块200中已存储的用户数据进行修改时,可通过智能密钥设备提供的键盘(物理键盘或者虚拟键盘)进行输入或者修改操作;或者还可通过与智能密钥设备相连的客户端,利用客户端上安装的管理应用程序通过键盘或者触摸屏等设备进行输入或者修改操作,然后通过客户端的通信接口将用户的待存储的数据发送至收发模块300。
在本发明的实施例中,在客户端和智能密钥设备进行数据传输时可采用密文传输的方式,即通过智能密钥设备内存中的密钥对传输的数据进行加解密。具体而言,客户端可通过智能密钥设备的公钥对用户输入的待存储的用户数据进行加密以得到用户数据密文,并将该用户数据密文发送至收发模块300。安全芯片500可通过智能密钥设备的私钥对用户数据密文进行解密,从而得到用户输入的用户数据。
此外,客户端和智能密钥设备之间还可通过协商会话密钥的方式来进行数据传输。具体而言,客户端可生成一个随机数,将该随机数作为会话密钥,并通过智能密钥设备的公钥对该会话密钥进行加密后得到会话密钥密文,然后通过该会话密钥对用户输入的待存储的用户数据进行加密以得到用户数据密文,然后客户端将会话密钥密文和用户数据密文一并发送至收发模块300。安全芯片500可通过智能密钥设备的私钥对会话密钥密文进行解密得到会话密钥,并通过会话密钥对用户数据密文进行解密,从而得到用户输入的用户数据。
安全芯片500用于进行数字签名的生成和认证,以及加密和解密。
本发明实施例的智能密钥设备,利用智能密钥设备自身可存储数据并具备高安全性的特点,在智能密钥设备中增加新的功能模块,并在用户需要使用该功能模块时对用户进行身份验证,在用户身份验证通过后通过新增的功能模块为用户提供私人信息的存储和管理功能。由此使得用户在使用智能密钥设备登录网上银行或者第三方支付平台时无需手动输入登录账号以及密码,在保护用户的登录账号和密码安全的同时也给用户带来了极大的便利,尤其是对于有多个账户的用户来说,利用智能密钥设备保存账号和密码,大大减少了用户记忆的难度,提升了用户体验。
图2是本发明一个具体实施例的智能密钥设备的结构示意图。
如图2所示,智能密钥设备包括第一存储模块100、第二存储模块200、收发模块300、访问控制模块400、安全芯片500、激活控制模块600和开启模块700。
区别于上述实施例的是,在本实施例中智能密钥设备还包括激活控制模块600和开启模块700。激活控制模块600用于接收用户在智能密钥设备上输入的激活码,并对激活码进行激活验证,以及在激活验证通过后激活访问控制模块400,或者接收用户通过客户端发送的激活请求和用户通过客户端输入的激活码,并对激活码进行激活验证,以及在激活验证通过后激活访问控制模块400。具体而言,用户可通过激活控制模块600设置是否激活访问控制模块400。换言之,用户可通过激活控制模块600设置智能密钥设备是否具有信息存储功能,用户在通过激活控制模块600激活访问控制模块400后,智能密钥设备才具备对信息的存储功能。进一步而言,用户可通过下述两种方式激活访问控制模块400:
(1)、在本发明的实施例中,激活控制模块600接收用户在智能密钥设备上输入的激活码,并对激活码进行激活验证,以及在激活验证通过后激活访问控制模块400。具体而言,用户可通过智能密钥设备提供的键盘(物理键盘或者虚拟键盘)直接输入激活码至激活控制模块600;
(2)、在本发明的实施例中,激活控制模块600接收用户通过客户端发送的激活请求和用户通过客户端输入的激活码,并对激活码进行激活验证,以及在激活验证通过后激活访问控制模块400。具体而言,如图3所示,用户可将智能密钥设备连接到客户端的接口上,客户端上安装的管理应用程序中设置有激活访问控制模块400的功能选项,用户可通过鼠标、键盘等设备通过管理应用程序向激活控制模块600发送激活请求。激活控制模块600在接收到激活请求后,发送输入激活码的指令至客户端的管理应用程序,此时用户通过客户端提供的键盘或者触摸屏等设备输入激活码,然后通过客户端的通信接口将激活码发送至激活控制模块600。激活控制模块600对接收到的激活码进行验证,并在验证通过后激活访问控制模块400。除此之外,开启模块700用于接收用户输入的开启指令,并根据开启指令启用访问控制模块400。具体而言,在用户通过激活控制模块700激活访问控制模块400后,如果用户需要将用户输入的待存储的用户数据存储在第二存储模块200中,还需要通过开启模块700开启访问控制模块400。换言之,在智能密钥设备具备对信息的存储功能之后,如果用户需要使用该存储功能,则还需要用户进行启用存储功能的操作。也就是说,启用存储功能的操作是在智能密钥设备具备了对信息的存储功能的基础上,用来开启该存储功能的。
进一步而言,在对智能密钥设备进行出厂配置时,可以将智能密钥设备的信息存储功能设置为直接可用、或者设置为可选两种状态。如果将智能密钥设备的信息存储功能设置为直接可用,也就是设置智能密钥设备具备信息的存储功能,也就无需通过激活控制模块700对激活访问控制模块400进行激活,直接通过开启模块700启用访问控制模块400即可;如果将智能密钥设备的信息存储功能设置为可选,也就是由用户来选择设置智能密钥设备是否具备信息的存储功能,此时就需要用户先通过激活控制模块700对激活访问控制模块400进行激活,再通过开启模块700启用访问控制模块400。
本发明实施例的智能密钥设备,用户可以选择直接开启/或用户选择开启智能密钥设备中新增加的功能模块,并在用户选择由用户选择开启智能密钥设备中新增加的功能模块时,先通过激活码的机制来对智能密钥设备中新增加的功能模块进行激活,从而使得用户可以根据自己的需求对智能密钥设备中新增加的功能模块进行控制,进一步提升了用户体验。
图4是本发明另一个具体实施例的智能密钥设备的结构示意图。
如图4所示,智能密钥设备包括第一存储模块100、第二存储模块200、收发模块300、访问控制模块400、安全芯片500、激活控制模块600、开启模块700和显示模块800。
区别于上述实施例的是,在本实施例中智能密钥设备还包括显示模块800,显示模块800用于在收发模块300接收到用户输入的操作指令和待存储的用户数据之后,显示待存储的用户数据。收发模块300在接收到用户对显示出的待存储的用户数据的确认指令之后,将待存储的用户数据写入第二存储模块200。具体而言,智能密钥设备上可具有显示屏,显示模块800可将智能密钥设备接收到的用户输入的待存储的用户数据等信息显示在该显示屏上。此外,用户还可对显示屏上显示的信息进行确认,如果确认待存储的用户数据正确,则可通过点击智能密钥设备上提供的“确认键”进行确认,将确认指令发送至收发模块300,从而访问控制模块400将用户输入的用户数据写入至第二存储模块200中。
本发明实施例的智能密钥设备,通过将智能密钥设备接收到的信息显示给用户进行确认,由此可以避免数据从客户端传输至智能密钥设备的过程中被恶意篡改的危险性,进一步提高了智能密钥设备的安全性,提升了用户体验。
下面结合图5和图6详细说明一下本发明实施例中的智能密钥设备的工作流程。根据本发明的一个实施例,该工作流程可以分为用户直接在智能密钥设备上进行操作,和用户在客户端上通过客户端上安装的管理应用程序对智能密钥设备进行操作。
根据本发明的一个实施例,如图5所示,在用户直接在智能密钥设备上进行操作的情况下,当用户使用智能密钥设备时,智能密钥设备判断自身是否已被激活,如果智能密钥设备已经被激活,则提示用户输入智能密钥设备的PIN码。用户通过智能密钥设备提供的键盘输入PIN码后,智能密钥设备通过验证接收到的PIN码以验证用户的身份。如果验证用户的身份通过,则用户可通过智能密钥设备提供的键盘输入预存储的用户数据,此时,智能密钥设备可在显示屏上显示用户数据。如果用户确认显示的用户数据正确,则用户通过点击智能密钥设备提供的“确认键”以将用户数据存储在智能密钥设备中。
根据本发明的一个实施例,如图6所示,在用户在客户端上通过客户端上安装的管理应用程序对智能密钥设备进行操作的情况下,当用户使用智能密钥设备时,用户通过客户端发送启用智能密钥设备存储功能的请求。智能密钥设备判断自身是否已被激活,如果智能密钥设备已经被激活,则响应客户端智能密钥设备已激活的信号。客户端接收到该信号后,生成一个随机数并将该随机数存储在缓存中,然后将该随机数和读取智能密钥设备的数字证书的请求发送至智能密钥设备。智能密钥设备接收到客户端发送的请求后,发送智能密钥设备的密码验证请求至客户端。客户端提示用户输入智能密钥设备的PIN码,并将该PIN码发送至智能密钥设备。智能密钥设备验证PIN码是否正确,如果验证通过,则将智能密钥设备的数字证书发送至客户端。客户端验证智能密钥设备是否合法,如果验证通过,则提示用户输入预存储的用户数据,并对该用户数据进行加密,然后将加密后的用户数据密文发送至智能密钥设备。智能密钥设备通过私钥对用户数据密文进行解密,并将解密后的用户数据显示在显示屏上。如果用户确认显示的用户数据正确,则用户通过点击智能密钥设备提供的“确认键”以将用户数据存储在智能密钥设备中。
根据上述实施例中所说明的方式,用户可以安全地将登录账号和密码等用户数据存储在智能密钥设备中。如果其他人要想破解用户密码,首先要获得用户的智能密钥设备的物理设备,其次还要获得智能密钥设备的PIN码,而智能密钥设备本身具有安全保护功能,当用户输入的PIN码错误超过最大次数时就会自动锁死智能密钥设备,从而保证了用户的用户数据的安全性。
示例性的,本发明的一个实施例中,收发模块300,还用于接收客户端发送的动态口令生成请求;访问控制模块400,还用于获取智能密钥设备中第二存储模块200存储的用户数据;显示模块800,还用于显示用户数据,其中,用户数据包括账号和对应的密码;安全芯片500,还用于获得用户选中的用户数据,并根据用户选中的用户数据生成动态口令,其中,动态口令用于用户在客户端使用用户选中的用户数据进行登录时的身份验证。
其中,安全芯片500,具体用于将用户选中的用户数据作为种子密钥,根据种子密钥和因子信息计算动态口令,其中,因子信息包括时间因子和/或事件因子,用户数据包括数字信息和可转换为数字信息的非数字信息,非数字信息包括字母、运算符号和标点符号中的一种或几种。
在该实施例中,因子信息包括时间因子和/或事件因子。其中,时间因子与时间有关,即每隔预设时间段可以产生一个预设位数的动态口令。事件因子与驱动事件有关,即根据驱动事件可以产生动态口令,即智能密钥设备例如USBkey支持时间型或事件型OTP功能。
上述用户数据可以包括账号信息、密码、邮箱信息、网站信息和用户自定义的信息等。这些信息一般包括汉字、字母、数字和符号,其中,可以作为种子密钥的是数字。因此,作为种子密钥的是用户数据中的数字信息和可转换为数字信息的非数字信息,非数字信息可以包括但不限于英文字母、运算符号和标点符号中的一种或几种。例如,可通过ASCII(AmericanStandardCodeforInformationInterchange,美国信息交换标准码)码对照表将用户选中的用户数据中的英文、标点符号和运算符号换为数字,作为种子密钥;或者,将用户选中的用户数据的密码作为种子密钥,如果密码中存在非数字信息,则可通过ASCII码对照表将非数字信息转换为数字之后,作为种子密钥。当然,也可以在存储用户数据时,将全部用户数据中的非数字转换为数字,并存储起来,以便后续生成动态口令时使用。
可见,本发明实施例的智能密钥设备,在将用户账户、密码等用户数据存储在智能密钥设备的第二存储装置200中后,还可以实现利用这些存储的用户数据生成动态口令。
示例性的,本发明的一个实施例中,收发模块300,还用于接收客户端发送的密码输出请求;显示模块800,还用于根据密码输出请求,显示与智能密钥设备中预先存储的用户数据对应的条目列表,其中,用户数据包括账户信息和对应的密码;智能密钥设备还包括:确定模块用于确定用户在条目列表中选择的账户信息,并根据用户选择的账户信息确定第一密码,其中,第一密码为用于登录认证的密码;收发模块300,还用于将第一密码发送给客户端,以便客户端输入第一密码。
其中,确定模块具体用于根据用户选择的账户信息,从中获取与用户选择的账户信息对应的密码;将获取的密码确定为第一密码,或者对获取的密码进行加密处理,得到第一密码;或者,确定模块具体用于根据用户选择的账户信息,从存储信息中获取用户选择的账户信息以及与用户选择的账户信息对应的信息中的一种或多种;采用动态密码计算算法,对获取的信息进行计算得到动态密码,将动态密码确定为第一密码。
例如,当客户端接收到第一密码后,就可以在输入密码的位置输入第一密码,例如,用户在使用网银时,客户端可以将第一密码输入到密码输入位置。之后,客户端可以采用该输入的第一密码进行登录认证,例如,在认证时客户端将密码输入位置的第一密码发送给银行后台,由银行后台进行登录认证,以允许或拒绝用户登录。具体的,如果第一密码是明文,则后台直接进行认证;如果第一密码是密文,则后台对其进行解密得到明文密码,再进行认证;如果第一密码是动态密码,则后台采用与智能密钥设备相同的动态密码算法对存储在后台的信息进行计算,将计算结果与第一密码比对,以进行认证。
可见,本发明实施例的智能密钥设备,在将用户账户、密码等用户数据存储在智能密钥设备的第二存储装置200中后,还可以实现从智能密钥设备中安全的读出账号、密码等用户数据,并使用该用户数据进行客户端的登录。
示例性的,本发明的一个实施例中,访问控制模块400,还用于从智能密钥设备的第二存储模块200中获取待备份的数据;收发模块300,还用于将待备份的数据发送至目标智能密钥设备;其中,目标智能密钥设备接收待备份的数据;并在目标智能密钥设备中显示待备份的数据,以供用户确认;以及在接收到用户的确认指令之后,目标智能密钥设备保存待备份的数据。
具体应用时,在将一个智能密钥设备A中的用户数据导入到其他智能密钥设备B中时,为了保证待备份数据的安全性,在执行数据备份操作之前,还可以增加智能密钥设备对用户的身份认证和智能密钥设备之间的设备认证,具体为:
首先,对用户的身份认证的实现方式为:第一智能密钥设备通过个人识别密码PIN码对用户进行第一身份验证;当用户通过第一身份验证之后,第一智能密钥设备向第二智能密钥设备发送启用备份请求;第二智能密钥设备通过PIN码对用户进行第二身份验证;以及当用户通过第二身份验证之后,第二智能密钥设备向第一智能密钥设备发送验证通过消息;
其次,智能密钥设备之间的设备认证实现方式为:第一智能密钥设备生成随机数;并将随机数、第一智能密钥设备的数字证书发送至第二智能密钥设备;第二智能密钥设备根据根证书对第一智能密钥设备的数字证书进行验证;并对随机数进行签名以生成签名值,并将第二智能密钥设备的数字证书和签名值发送至第一智能密钥设备;第一智能密钥设备根据根证书对第二智能密钥设备的数字证书进行证书验证,并根据第二智能密钥设备的数字证书对签名值进行签名验证。
最后,当证书验证和签名验证成功之后,从第一智能密钥设备的预设存储模块中获取待备份的数据;第一智能密钥设备将存储在第一智能密钥设备中待备份的数据发送至第二智能密钥设备。
进一步地,第一智能密钥设备将存储在第一智能密钥设备中待备份的数据发送至第二智能密钥设备时,还可以对待备份数据进行加密,以进一步的保证备份数据过程中数据的安全性。对待备份数据进行加密的具体实现方式如下:
第一智能密钥设备生成会话密钥,并根据会话密钥对待备份的数据进行加密以生成密文;根据第二智能密钥设备的数字证书中的公钥对会话密钥进行加密以生成数字信封;根据待备份的数据生成报文摘要,并通过第一智能密钥设备的私钥对报文摘要进行签名以生成数字签名;以及第一智能密钥设备将密文、数字信封以及数字签名进行打包后发送至第二智能密钥设备;或者
第一智能密钥设备对待备份的数据进行拆分以获得多个子数据;根据第二智能密钥设备的数字证书中的公钥对多个子数据分别进行加密;以及将加密后的多个子数据发送至第二智能密钥设备。
可见,本发明实施例的智能密钥设备,在将用户账户、密码等用户数据存储在智能密钥设备的第二存储装置200中后,还可以实现将智能密钥设备中保存的用户数据安全地备份到其他的智能密钥设备中,以防止智能密钥设备丢失造成用户密码丢失的问题。
为了实现上述实施例,本发明还提出一种智能密钥设备的信息管理方法。
图7是根据本发明一个实施例的智能密钥设备的信息管理方法的流程图。
如图7所示,该智能密钥设备的信息管理方法包括:
S101,接收用户输入的操作指令和待存储的用户数据。
在本发明的实施例中,智能密钥设备可为USBKey、音频Key、蓝牙Key等,其中,USBKey可通过USB接口与客户端之间进行数据传输,音频Key可通过音码的方式与客户端之间进行数据传输,而蓝牙Key可通过蓝牙连接的方式与客户端之间进行数据传输。
具体而言,用户输入的操作指令可以是用户在智能密钥设备中添加新的用户数据的指令,或者对在智能密钥设备中已存储的用户数据进行编辑、修改、删除等指令。待存储的用户数据可包括用户在网上银行进行交易、或在第三方支付平台上进行支付时,登录网上银行或者第三方支付平台的登录账号和密码。此外,待存储的用户数据还可以是用户的银行卡***和密码,或者还可以是用户日常常用的网站的登录账号和密码等。
在本发明的实施例中,智能密钥设备可通过智能密钥设备提供的操作界面及控制按钮接收操作指令和待存储的用户数据。具体而言,用户可通过智能密钥设备提供的键盘(例如,物理键盘或者虚拟键盘)输入操作指令和待存储的用户数据至智能密钥设备。
应当理解的是,除了上述方式以外,智能密钥设备可为用户提供不同方式将操作指令和待存储的用户数据输入至智能密钥设备。在本发明的实施例中,智能密钥设备亦可通过通信接口接收外部设备发送的操作指令和待存储的用户数据。具体而言,用户可将智能密钥设备连接到客户端,在客户端上安装相应的管理应用程序,在管理应用程序的操作界面中通过鼠标、键盘、触摸屏等设备输入操作指令和待存储的用户数据,然后通过客户端的通信接口发送至智能密钥设备。其中,在本发明的实施例中,客户端可为个人计算机PC、笔记本电脑、平板电脑等。
S102,对用户进行身份验证,并在用户通过身份验证之后,将智能密钥设备的写权限开放给用户。
在本发明的实施例中,智能密钥设备根据智能密钥设备的个人识别密码PIN码对用户进行身份验证。具体而言,在智能密钥设备接收用户输入的操作指令和待存储的用户数据之后,智能密钥设备可提示用户输入智能密钥设备的密码,即智能密钥设备的PIN码。在用户输入PIN码之后,智能密钥设备可根据用户输入的PIN码对用户的身份进行验证。举例而言,智能密钥设备可为用户提供两种不同的途径输入PIN码:
(1)、用户可通过智能密钥设备提供的键盘(物理键盘或者虚拟键盘)输入PIN码。具体而言,智能密钥设备可提示用户输入PIN码,并通过智能密钥设备的键盘等设备接收用户输入的PIN码,然后判断用户输入的PIN码和智能密钥设备中预存的PIN码是否一致,如果一致,则通过用户的身份验证。
(2)、用户可将智能密钥设备连接到客户端,通过客户端上的键盘或者触摸屏等设备输入PIN码,然后通过客户端的通信接口将PIN码发送至智能密钥设备进行验证。具体而言,在智能密钥设备连接到客户端之后,智能密钥设备对客户端发送验证用户身份的验证请求,用户可通过客户端的键盘或者触摸屏等设备输入PIN码,客户端将用户输入的PIN码发送至智能密钥设备。智能密钥设备判断接收到的PIN码和智能密钥设备中预存的PIN码是否一致,如果一致,则通过用户的身份验证,
进一步而言,智能密钥设备根据接收到的PIN码对用户的身份进行认证的同时,客户端也应当对智能密钥设备进行验证,从而保证该接收客户端传输数据的智能密钥设备也是合法的。
在本发明的实施例中,智能密钥设备接收用户通过客户端发送的对智能密钥设备的验证请求和随机数,智能密钥设备根据智能密钥设备的私钥对随机数进行加密,以及根据验证请求将智能密钥设备的数字证书和加密后的随机数发送至客户端,其中,客户端根据根证书对智能密钥设备的数字证书进行验证,并根据智能密钥设备的公钥对加密后的随机数进行解密,以及对解密后的随机数进行验证。具体而言,客户端可生成一个随机数,并将该随机数存储在客户端的缓存中,然后客户端可将该随机数和读取智能密钥设备的数字证书的请求一并发送至智能密钥设备。智能密钥设备在接收到随机数之后,将该随机数存储在智能密钥设备的缓存中,然后通过智能密钥设备的私钥对该随机数进行加密,然后将加密后的随机数和智能密钥设备的数字证书一并发送至客户端。客户端在接收到智能密钥设备的数字证书和加密后的随机数之后,根据客户端中的根证书对该数字证书进行验证。
也就是说,客户端可使用根证书验证电子签名的数字证书的合法性,根证书即为CA认证中心(CertificateAuthority)的公钥证书,智能密钥设备的数字证书包含用户的信息、用户的公钥、以及CA认证中心对该数字证书中信息的签名。要验证智能密钥设备的数字证书的真伪(即验证CA认证中心对该数字证书的信息的签名是否有效),需要通过CA认证中心的公钥进行验证。客户端在验证智能密钥设备的数字证书时,可通过客户端内部的CA根证书读出智能密钥设备的数字证书中的用户信息、用户的公钥,从而验证智能密钥设备的数字证书的合法性。
如果客户端通过对智能密钥设备的数字证书的验证,则客户端还通过智能密钥设备的公钥对加密后的随机数进行解密,然后与客户端缓存中的随机数进行对比,从而进一步对智能密钥设备进行验证。
在本发明的实施例中,智能密钥设备还用于在用户输入的错误次数大于预设次数之后,锁定智能密钥设备。具体而言,如果用户输入智能密钥设备的PIN码错误,则智能密钥设备可统计用户输入错误的次数。当输入错误的次数大于预设次数后,即用户输入错误的次数超过预设阈值时,例如,5次,则智能密钥设备锁定智能密钥设备,由此进一步保证了智能密钥设备的安全性。
S103,将待存储的用户数据写入至智能密钥设备。
具体而言,在获取智能密钥设备的写入权限之后,用户可输入新的用户数据至智能密钥设备中,或者对智能密钥设备中已存储的用户数据进行修改。举例而言,用户输入新的用户数据时,可在智能密钥设备中选择预设的项目,或者可通过用户手动输入的自定义的项目。换言之,智能密钥设备存储的用户数据可分为两类:一类是预设的项目,可供用户直接进行选择,例如,银行***、网上银行登录名、密码、网址、邮箱名等等。在每个项目下还可预设多个下级的项目,例如,在银行***下可设置中行,工行,农行等。此外,另一类是空白的可供用户自定义输入的,用户需要存储用户数据时,可新建一个条目,其中,该条目可包括多个项目,例如,银行卡的种类、账号、密码等。
应当理解的是,用户在输入新的用户数据至智能密钥设备,或者对智能密钥设备中已存储的用户数据进行修改时,可通过智能密钥设备提供的键盘(物理键盘或者虚拟键盘)进行输入或者修改操作;或者还可通过与智能密钥设备相连的客户端,利用客户端上安装的管理应用程序通过键盘或者触摸屏等设备进行输入或者修改操作,然后通过客户端的通信接口将用户的待存储的数据发送至智能密钥设备。
在本发明的实施例中,在客户端和智能密钥设备进行数据传输时可采用密文传输的方式,即通过智能密钥设备内存中的密钥对传输的数据进行加解密。具体而言,客户端可通过智能密钥设备的公钥对用户输入的待存储的用户数据进行加密以得到用户数据密文,并将该用户数据密文发送至智能密钥设备。智能密钥设备可通过智能密钥设备的私钥对用户数据密文进行解密,从而得到用户输入的用户数据。
此外,客户端和智能密钥设备之间还可通过协商会话密钥的方式来进行数据传输。具体而言,客户端可生成一个随机数,将该随机数作为会话密钥,并通过智能密钥设备的公钥对该会话密钥进行加密后得到会话密钥密文,然后通过该会话密钥对用户输入的待存储的用户数据进行加密以得到用户数据密文,然后客户端将会话密钥密文和用户数据密文一并发送至智能密钥设备。智能密钥设备可通过智能密钥设备的私钥对会话密钥密文进行解密得到会话密钥,并通过会话密钥对用户数据密文进行解密,从而得到用户输入的用户数据。
本发明实施例的智能密钥设备的信息管理方法,利用智能密钥设备自身可存储数据并具备高安全性的特点,在智能密钥设备中增加新的功能模块,并在用户需要使用该功能模块时对用户进行身份验证,在用户身份验证通过后通过新增的功能模块为用户提供私人信息的存储和管理功能。由此使得用户在使用智能密钥设备登录网上银行或者第三方支付平台时无需手动输入登录账号以及密码,在保护用户的登录账号和密码安全的同时也给用户带来了极大的便利,尤其是对于有多个账户的用户来说,利用智能密钥设备保存账号和密码,大大减少了用户记忆的难度,提升了用户体验。
图8是根据本发明一个具体实施例的智能密钥设备的信息管理方法的流程图。
如图8所示,该智能密钥设备的信息管理方法包括:
S201,接收用户输入的激活码,并对激活码进行激活验证,以及在激活验证通过后激活智能密钥设备的信息存储功能。
在本发明的实施例中,接收用户在智能密钥设备上输入的激活码,并对激活码进行激活验证,以及在激活验证通过后激活智能密钥设备的信息存储功能,或者接收用户通过客户端发送的激活请求和用户通过客户端输入的激活码,并对激活码进行激活验证,以及在激活验证通过后激活智能密钥设备的信息存储功能。具体而言,用户可设置是否激活智能密钥设备的信息存储功能。换言之,用户可设置智能密钥设备是否具有信息的存储功能,用户在激活智能密钥设备的信息存储功能后,智能密钥设备才具备对信息的存储功能。进一步而言,用户可通过下述两种方式激活智能密钥设备的存储功能:
(1)、在本发明的实施例中,智能密钥设备接收用户在智能密钥设备上输入的激活码,并对激活码进行激活验证,以及在激活验证通过后激活智能密钥设备的信息存储功能,其中,信息存储功能用于实现将待存储的用户数据写入至智能密钥设备。具体而言,用户可通过智能密钥设备提供的键盘(物理键盘或者虚拟键盘)直接输入激活码至智能密钥设备;
(2)、在本发明的实施例中,智能密钥设备接收用户通过客户端发送的激活请求和用户通过客户端输入的激活码,并对激活码进行激活验证,以及在激活验证通过后激活智能密钥设备的信息存储功能。具体而言,如图3所示,用户可将智能密钥设备连接到客户端的接口上,客户端上安装的管理应用程序中设置有激活智能密钥设备的信息存储功能的功能选项,用户可通过鼠标、键盘等设备通过管理应用程序向智能密钥设备发送激活请求。智能密钥设备在接收到激活请求后,发送输入激活码的指令至客户端的管理应用程序,此时用户通过客户端提供的键盘或者触摸屏等设备输入激活码,然后通过客户端的通信接口将激活码发送至智能密钥设备。智能密钥设备对接收到的激活码进行验证,并在验证通过后激活智能密钥设备的信息存储功能。
S202,接收用户输入的开启指令,并根据开启指令启用智能密钥设备的信息存储功能。
具体而言,在用户激活智能密钥设备的信息存储功能之后,如果用户需要将用户输入的待存储的用户数据存储在智能密钥设备中,还需要开启智能密钥设备的信息存储功能。换言之,在智能密钥设备具备对信息的存储功能之后,如果用户需要使用该存储功能,则还需要用户进行启用该信息存储功能的操作。也就是说,启用该信息存储功能的操作是在智能密钥设备具备了对信息的存储功能的基础上,用来打开该存储功能的。
进一步而言,在对智能密钥设备进行出厂配置时,可以将智能密钥设备的信息存储功能设置为直接可用、或者设置为可选两种状态。如果将智能密钥设备的信息存储功能设置为直接可用,也就是设置智能密钥设备具备信息的存储功能,也就无需对智能密钥设备的信息存储功能进行激活,直接启用智能密钥设备的信息存储功能即可;如果将智能密钥设备的信息存储功能设置为可选,也就是由用户来选择设置智能密钥设备是否具备信息的存储功能,此时就需要用户先对智能密钥设备的信息存储功能进行激活,再启用智能密钥设备的信息存储功能。
S203,接收用户输入的操作指令和待存储的用户数据。
S204,对用户进行身份验证,并在用户通过身份验证之后,将智能密钥设备的写权限开放给用户。
S205,将待存储的用户数据写入至智能密钥设备。
本发明实施例的智能密钥设备的信息管理方法,用户可以选择直接开启/或用户选择开启智能密钥设备中新增加的功能模块,并在用户选择由用户选择开启智能密钥设备中新增加的功能模块时,先通过激活码的机制来对智能密钥设备中新增加的功能模块进行激活,从而使得用户可以根据自己的需求对智能密钥设备中新增加的功能模块进行控制,进一步提升了用户体验。
图9是根据本发明另一个具体实施例的智能密钥设备的信息管理方法的流程图。
如图9所示,该智能密钥设备的信息管理方法包括:
S301,接收用户输入的激活码,并对激活码进行激活验证,以及在激活验证通过后激活智能密钥设备的信息存储功能。
S302,接收用户输入的开启指令,并根据开启指令启用智能密钥设备的信息存储功能。
S303,接收用户输入的操作指令和待存储的用户数据。
S304,对用户进行身份验证,并在用户通过身份验证之后,将智能密钥设备的写权限开放给用户。
S305,显示待存储的用户数据。
在本发明的实施例中,将待存储的用户数据写入至智能密钥设备具体包括,在接收到用户对显示出的待存储的用户数据的确认指令之后,将待存储的用户数据写入至智能密钥设备。具体而言,智能密钥设备上可具有显示屏,智能密钥设备可将接收到的用户输入的待存储的用户数据等信息显示在该显示屏上。此外,用户还可对显示屏上显示的信息进行确认,如果确认待存储的用户数据正确,则可通过点击智能密钥设备上提供的“确认键”进行确认,将确认指令发送至智能密钥设备,从而将用户输入的用户数据写入至智能密钥设备中。
S306,将待存储的用户数据写入至智能密钥设备。
本发明实施例的智能密钥设备的信息管理方法,通过将智能密钥设备接收到的信息显示给用户进行确认,由此可以避免数据从客户端传输至智能密钥设备的过程中被恶意篡改的危险性,进一步提高了智能密钥设备的安全性,提升了用户体验。
本发明的一个实施例中,在所述将待存储的用户数据写入至所述智能密钥设备之后,还包括:所述智能密钥设备接收客户端发送的动态口令生成请求;所述智能密钥设备获取所述智能密钥设备中第二存储模块存储的用户数据;所述智能密钥设备在显示屏上显示所述用户数据,其中,所述用户数据包括账号和对应的密码;所述智能密钥设备获得用户选中的用户数据,并根据所述用户选中的用户数据生成动态口令,其中,所述动态口令用于所述用户在所述客户端使用所述用户选中的用户数据进行登录时的身份验证。
其中,所述智能密钥设备获得用户选中的用户数据,并根据所述用户选中的用户数据生成动态口令包括:将所述用户选中的用户数据作为种子密钥,根据所述种子密钥和因子信息计算所述动态口令,其中,所述因子信息包括时间因子和/或事件因子,所述用户数据包括数字信息和可转换为数字信息的非数字信息,所述非数字信息包括字母、运算符号和标点符号中的一种或几种。
在该实施例中,因子信息包括时间因子和/或事件因子。其中,时间因子与时间有关,即每隔预设时间段可以产生一个预设位数的动态口令。事件因子与驱动事件有关,即根据驱动事件可以产生动态口令,即智能密钥设备例如USBkey支持时间型或事件型OTP功能。
上述用户数据可以包括账号信息、密码、邮箱信息、网站信息和用户自定义的信息等。这些信息一般包括汉字、字母、数字和符号,其中,可以作为种子密钥的是数字。因此,作为种子密钥的是用户数据中的数字信息和可转换为数字信息的非数字信息,非数字信息可以包括但不限于英文字母、运算符号和标点符号中的一种或几种。例如,可通过ASCII(AmericanStandardCodeforInformationInterchange,美国信息交换标准码)码对照表将用户选中的用户数据中的英文、标点符号和运算符号换为数字,作为种子密钥;或者,将用户选中的用户数据的密码作为种子密钥,如果密码中存在非数字信息,则可通过ASCII码对照表将非数字信息转换为数字之后,作为种子密钥。当然,也可以在存储用户数据时,将全部用户数据中的非数字转换为数字,并存储起来,以便后续生成动态口令时使用。
可见,本发明实施例的智能密钥设备,在将用户账户、密码等用户数据存储在智能密钥设备的第二存储装置中后,还可以利用这些存储的用户数据实现生成动态口令。
本发明的一个实施例中,在所述将待存储的用户数据写入至所述智能密钥设备之后,还包括:所述智能密钥设备接收客户端发送的密码输出请求;所述智能密钥设备根据所述密码输出请求,显示与所述智能密钥设备中预先存储的用户数据对应的条目列表,其中,所述用户数据包括账户信息和对应的密码;所述智能密钥设备确定用户在所述条目列表中选择的账户信息,并根据所述用户选择的账户信息确定第一密码,其中,所述第一密码为用于登录认证的密码;所述智能密钥设备将所述第一密码发送给所述客户端,以便所述客户端输入所述第一密码。
其中,所述智能密钥设备确定用户在所述条目列表中选择的账户信息,并根据所述用户选择的账户信息确定第一密码包括:根据所述用户选择的账户信息,从所述中获取与所述用户选择的账户信息对应的密码;将所述获取的密码确定为所述第一密码,或者对所述获取的密码进行加密处理,得到所述第一密码;或者,根据所述用户选择的账户信息,从所述存储信息中获取所述用户选择的账户信息以及与所述用户选择的账户信息对应的信息中的一种或多种;采用动态密码计算算法,对所述获取的信息进行计算得到动态密码,将所述动态密码确定为所述第一密码。
例如,当客户端接收到第一密码后,就可以在输入密码的位置输入所述第一密码,例如,用户在使用网银时,客户端可以将第一密码输入到密码输入位置。之后,客户端可以采用该输入的第一密码进行登录认证,例如,在认证时客户端将密码输入位置的第一密码发送给银行后台,由银行后台进行登录认证,以允许或拒绝用户登录。具体的,如果第一密码是明文,则后台直接进行认证;如果第一密码是密文,则后台对其进行解密得到明文密码,再进行认证;如果第一密码是动态密码,则后台采用与智能密钥设备相同的动态密码算法对存储在后台的信息进行计算,将计算结果与第一密码比对,以进行认证。
可见,本发明实施例的智能密钥设备,在将用户账户、密码等用户数据存储在智能密钥设备的第二存储装置中后,还可以实现从智能密钥设备中安全的读出账号、密码等用户数据,并使用该用户数据进行客户端的登录。
本发明的一个实施例中,还包括:所述智能密钥设备从所述智能密钥设备的存储模块中获取待备份的数据;所述智能密钥设备将所述待备份的数据发送至所述目标智能密钥设备;其中,所述目标智能密钥设备接收所述待备份的数据;并在所述目标智能密钥设备中显示所述待备份的数据,以供所述用户确认;以及在接收到所述用户的确认指令之后,所述目标智能密钥设备保存所述待备份的数据。
具体应用时,在将一个智能密钥设备A中的用户数据导入到其他智能密钥设备B中时,为了保证待备份数据的安全性,在执行数据备份操作之前,还可以增加智能密钥设备对用户的身份认证和智能密钥设备之间的设备认证,具体为:
首先,对用户的身份认证的实现方式为:所述第一智能密钥设备通过个人识别密码PIN码对所述用户进行所述第一身份验证;当所述用户通过所述第一身份验证之后,所述第一智能密钥设备向所述第二智能密钥设备发送启用备份请求;所述第二智能密钥设备通过所述PIN码对所述用户进行所述第二身份验证;以及当所述用户通过所述第二身份验证之后,所述第二智能密钥设备向所述第一智能密钥设备发送验证通过消息;
其次,智能密钥设备之间的设备认证实现方式为:所述第一智能密钥设备生成随机数;并将所述随机数、所述第一智能密钥设备的数字证书发送至所述第二智能密钥设备;所述第二智能密钥设备根据根证书对所述第一智能密钥设备的数字证书进行验证;并对所述随机数进行签名以生成签名值,并将所述第二智能密钥设备的数字证书和所述签名值发送至所述第一智能密钥设备;所述第一智能密钥设备根据所述根证书对所述第二智能密钥设备的数字证书进行证书验证,并根据所述第二智能密钥设备的数字证书对所述签名值进行签名验证。
最后,当证书验证和签名验证成功之后,从所述第一智能密钥设备的预设存储模块中获取待备份的数据;所述第一智能密钥设备将存储在所述第一智能密钥设备中待备份的数据发送至所述第二智能密钥设备。
进一步地,所述第一智能密钥设备将存储在所述第一智能密钥设备中待备份的数据发送至所述第二智能密钥设备时,还可以对待备份数据进行加密,以进一步的保证备份数据过程中数据的安全性。对待备份数据进行加密的具体实现方式如下:
所述第一智能密钥设备生成会话密钥,并根据所述会话密钥对所述待备份的数据进行加密以生成密文;根据所述第二智能密钥设备的数字证书中的公钥对所述会话密钥进行加密以生成数字信封;根据所述待备份的数据生成报文摘要,并通过所述第一智能密钥设备的私钥对所述报文摘要进行签名以生成数字签名;以及所述第一智能密钥设备将所述密文、所述数字信封以及所述数字签名进行打包后发送至所述第二智能密钥设备;或者
所述第一智能密钥设备对所述待备份的数据进行拆分以获得多个子数据;根据所述第二智能密钥设备的数字证书中的公钥对所述多个子数据分别进行加密;以及将加密后的所述多个子数据发送至所述第二智能密钥设备。
可见,本发明实施例的智能密钥设备,在将用户账户、密码等用户数据存储在智能密钥设备的第二存储装置中后,还可以实现将智能密钥设备中保存的所述用户数据备份到其他的智能密钥设备中,以防止智能密钥设备丢失造成用户密码丢失的问题。
应当理解,本发明的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中,多个步骤或方法可以用存储在存储器中且由合适的指令执行***执行的软件或固件来实现。例如,如果用硬件来实现,和在另一实施方式中一样,可用本领域公知的下列技术中的任一项或他们的组合来实现:具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路,具有合适的组合逻辑门电路的专用集成电路,可编程门阵列(PGA),现场可编程门阵列(FPGA)等。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不必须针对的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外,在不相互矛盾的情况下,本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。
尽管上面已经示出和描述了本发明的实施例,可以理解的是,上述实施例是示例性的,不能理解为对本发明的限制,本领域的普通技术人员在本发明的范围内可以对上述实施例进行变化、修改、替换和变型。
Claims (20)
1.一种智能密钥设备,其特征在于,包括:
第一存储模块,用于存储所述智能密钥设备的私钥和数字证书;
第二存储模块,用于存储用户数据;
收发模块,用于接收用户输入的操作指令和待存储的用户数据;
访问控制模块,用于根据所述智能密钥设备的个人识别密码PIN码对所述用户进行身份验证,并在所述用户通过身份验证之后,将所述第二存储模块的写权限开放给所述用户;
显示模块,用于在所述收发模块接收所述用户输入的操作指令和待存储的用户数据之后,显示所述待存储的用户数据,以及
所述访问控制模块,还用于在所述收发模块接收到所述用户对显示出的所述待存储的用户数据的确认指令之后,将所述待存储的用户数据写入所述第二存储模块;
安全芯片,用于进行数字签名的生成和认证,以及加密和解密。
2.如权利要求1所述的智能密钥设备,其特征在于,还包括:
激活控制模块,用于接收所述用户在智能密钥设备上输入的激活码,并对所述激活码进行激活验证,以及在激活验证通过后激活所述访问控制模块,或者用于接收所述用户通过客户端发送的激活请求和所述用户通过所述客户端输入的激活码,并对所述激活码进行激活验证,以及在激活验证通过后激活所述访问控制模块;
开启模块,用于接收所述用户输入的开启指令,并根据所述开启指令启用所述访问控制模块。
3.如权利要求1所述的智能密钥设备,其特征在于,所述收发模块通过所述智能密钥设备提供的操作界面及控制按钮接收所述操作指令和所述待存储的用户数据;或
所述收发模块通过通信接口接收外部设备发送的所述操作指令和所述待存储的用户数据。
4.如权利要求1所述的智能密钥设备,其特征在于,所述收发模块接收所述用户通过客户端发送的对所述智能密钥设备的验证请求和随机数,所述安全芯片根据所述智能密钥设备的私钥对所述随机数进行加密,以及所述收发模块根据所述验证请求将所述智能密钥设备的数字证书和加密后的随机数发送至所述客户端;其中,所述客户端根据根证书对所述智能密钥设备的数字证书进行验证,并根据所述智能密钥设备的公钥对所述加密后的随机数进行解密,以及对解密后的随机数进行验证。
5.如权利要求1所述的智能密钥设备,其特征在于,所述收发模块接收客户端发送的用户数据密文,所述安全芯片根据所述智能密钥设备的私钥对所述用户数据密文解密以获取所述待存储的用户数据,其中,所述客户端根据所述智能密钥设备的公钥对所述待存储的用户数据加密以生成所述用户数据密文,或
所述收发模块接收客户端发送的会话密钥密文和用户数据密文,所述安全芯片根据所述智能密钥设备的私钥对所述会话密钥密文解密以获取会话密钥,并根据所述会话密钥对所述用户数据密文解密以获取所述待存储的用户数据,其中,所述客户端随机生成会话密钥,并根据所述智能密钥设备的公钥对所述会话密钥加密以生成所述会话密钥密文,以及根据所述会话密钥对所述待存储的用户数据加密以生成所述用户数据密文。
6.如权利要求1-5任一项所述的智能密钥设备,其特征在于,
所述收发模块,还用于接收客户端发送的动态口令生成请求;
所述访问控制模块,还用于获取所述智能密钥设备中第二存储模块存储的用户数据;
所述显示模块,还用于显示所述用户数据,其中,所述用户数据包括账号和对应的密码;
所述安全芯片,还用于获得用户选中的用户数据,并根据所述用户选中的用户数据生成动态口令,其中,所述动态口令用于所述用户在所述客户端使用所述用户选中的用户数据进行登录时的身份验证。
7.根据权利要求6所述的智能密钥设备,其特征在于,所述安全芯片,具体用于将所述用户选中的用户数据作为种子密钥,根据所述种子密钥和因子信息计算所述动态口令,其中,所述因子信息包括时间因子和/或事件因子,所述用户数据包括数字信息和可转换为数字信息的非数字信息,所述非数字信息包括字母、运算符号和标点符号中的一种或几种。
8.如权利要求1-5任一项所述的智能密钥设备,其特征在于,
所述收发模块,还用于接收客户端发送的密码输出请求;
所述显示模块,还用于根据所述密码输出请求,显示与所述智能密钥设备中预先存储的用户数据对应的条目列表,其中,所述用户数据包括账户信息和对应的密码;
所述智能密钥设备还包括:确定模块用于确定用户在所述条目列表中选择的账户信息,并根据所述用户选择的账户信息确定第一密码,其中,所述第一密码为用于登录认证的密码;
所述收发模块,还用于将所述第一密码发送给所述客户端,以便所述客户端输入所述第一密码。
9.根据权利要求8所述的智能密钥设备,其特征在于,所述确定模块具体用于根据所述用户选择的账户信息,从所述存储信息中获取与所述用户选择的账户信息对应的密码;将所述获取的密码确定为所述第一密码,或者对所述获取的密码进行加密处理,得到所述第一密码;
或者,
所述确定模块具体用于根据所述用户选择的账户信息,从所述存储信息中获取所述用户选择的账户信息以及与所述用户选择的账户信息对应的信息中的一种或多种;采用动态密码计算算法,对所述获取的信息进行计算得到动态密码,将所述动态密码确定为所述第一密码。
10.如权利要求1-5任一项所述的智能密钥设备,其特征在于,
所述访问控制模块,还用于从所述智能密钥设备的第二存储模块中获取待备份的数据;
所述收发模块,还用于将所述待备份的数据发送至目标智能密钥设备;其中,所述目标智能密钥设备接收所述待备份的数据;并在所述目标智能密钥设备中显示所述待备份的数据,以供所述用户确认;以及在接收到所述用户的确认指令之后,所述目标智能密钥设备保存所述待备份的数据。
11.一种智能密钥设备的信息管理方法,其特征在于,包括:
接收用户输入的操作指令和待存储的用户数据;
根据所述智能密钥设备的个人识别密码PIN码对所述用户进行身份验证,并在所述用户通过身份验证之后,将所述智能密钥设备的写权限开放给所述用户;
显示所述待存储的用户数据;
在接收到所述用户对显示出的所述待存储的用户数据的确认指令之后,将所述待存储的用户数据写入至所述智能密钥设备。
12.如权利要求11所述的智能密钥设备的信息管理方法,其特征在于,在所述接收用户输入的操作指令和待存储的用户数据之前,还包括:
接收所述用户在智能密钥设备上输入的激活码,并对所述激活码进行激活验证,以及在激活验证通过后激活所述智能密钥设备的信息存储功能,或接收所述用户通过客户端发送的激活请求和所述用户通过所述客户端输入的激活码,并对所述激活码进行激活验证,以及在激活验证通过后激活所述智能密钥设备的信息存储功能,其中,所述信息存储功能用于实现将所述待存储的用户数据写入至所述智能密钥设备;
接收所述用户输入的开启指令,并根据所述开启指令启用所述智能密钥设备的信息存储功能。
13.如权利要求11所述的智能密钥设备的信息管理方法,其特征在于,所述接收用户输入的操作指令和待存储的用户数据具体包括:
通过所述智能密钥设备提供的操作界面及控制按钮接收所述操作指令和所述待存储的用户数据;或者
通过通信接口接收外部设备发送的所述操作指令和所述待存储的用户数据。
14.如权利要求11所述的智能密钥设备的信息管理方法,其特征在于,在所述将待存储的用户数据写入至所述智能密钥设备之前,还包括:
接收所述用户通过客户端发送的对所述智能密钥设备的验证请求和随机数,并根据所述智能密钥设备的私钥对所述随机数进行加密,以及根据所述验证请求将所述智能密钥设备的数字证书和加密后的随机数发送至所述客户端;以及
所述客户端根据根证书对所述智能密钥设备的数字证书进行验证,并根据所述智能密钥设备的公钥对所述加密后的随机数进行解密,以及对解密后的随机数进行验证。
15.如权利要求11所述的智能密钥设备的信息管理方法,其特征在于,所述接收用户输入的操作指令和待存储的用户数据具体包括:
接收客户端发送的用户数据密文,并根据所述智能密钥设备的私钥对所述用户数据密文解密以获取所述待存储的用户数据,其中,所述客户端根据所述智能密钥设备的公钥对所述待存储的用户数据加密以生成所述用户数据密文,或
接收客户端发送的会话密钥密文和用户数据密文,并根据所述智能密钥设备的私钥对所述会话密钥密文解密以获取会话密钥,以及根据所述会话密钥对所述用户数据密文解密以获取所述待存储的用户数据,其中,所述客户端随机生成会话密钥,并根据所述智能密钥设备的公钥对所述会话密钥加密以生成所述会话密钥密文,以及根据所述会话密钥对所述待存储的用户数据加密以生成所述用户数据密文。
16.如权利要求11-15任一项所述的智能密钥设备的信息管理方法,其特征在于,在所述将待存储的用户数据写入至所述智能密钥设备之后,还包括:
所述智能密钥设备接收客户端发送的动态口令生成请求;
所述智能密钥设备获取所述智能密钥设备中第二存储模块存储的用户数据;
所述智能密钥设备在显示屏上显示所述用户数据,其中,所述用户数据包括账号和对应的密码;
所述智能密钥设备获得用户选中的用户数据,并根据所述用户选中的用户数据生成动态口令,其中,所述动态口令用于所述用户在所述客户端使用所述用户选中的用户数据进行登录时的身份验证。
17.根据权利要求16所述的方法,其特征在于,所述智能密钥设备获得用户选中的用户数据,并根据所述用户选中的用户数据生成动态口令包括:
将所述用户选中的用户数据作为种子密钥,根据所述种子密钥和因子信息计算所述动态口令,其中,所述因子信息包括时间因子和/或事件因子,所述用户数据包括数字信息和可转换为数字信息的非数字信息,所述非数字信息包括字母、运算符号和标点符号中的一种或几种。
18.如权利要求11-15任一项所述的方法,其特征在于,在所述将待存储的用户数据写入至所述智能密钥设备之后,还包括:
所述智能密钥设备接收客户端发送的密码输出请求;
所述智能密钥设备根据所述密码输出请求,显示与所述智能密钥设备中预先存储的用户数据对应的条目列表,其中,所述用户数据包括账户信息和对应的密码;
所述智能密钥设备确定用户在所述条目列表中选择的账户信息,并根据所述用户选择的账户信息确定第一密码,其中,所述第一密码为用于登录认证的密码;
所述智能密钥设备将所述第一密码发送给所述客户端,以便所述客户端输入所述第一密码。
19.根据权利要求18所述的方法,其特征在于,所述智能密钥设备确定用户在所述条目列表中选择的账户信息,并根据所述用户选择的账户信息确定第一密码包括:
根据所述用户选择的账户信息,从所述存储信息中获取与所述用户选择的账户信息对应的密码;将所述获取的密码确定为所述第一密码,或者对所述获取的密码进行加密处理,得到所述第一密码;或者,
根据所述用户选择的账户信息,从所述存储信息中获取所述用户选择的账户信息以及与所述用户选择的账户信息对应的信息中的一种或多种;采用动态密码计算算法,对所述获取的信息进行计算得到动态密码,将所述动态密码确定为所述第一密码。
20.如权利要求11-15任一项所述的方法,其特征在于,还包括:
所述智能密钥设备从所述智能密钥设备的存储模块中获取待备份的数据;
所述智能密钥设备将所述待备份的数据发送至目标智能密钥设备;其中,所述目标智能密钥设备接收所述待备份的数据;并在所述目标智能密钥设备中显示所述待备份的数据,以供所述用户确认;以及在接收到所述用户的确认指令之后,所述目标智能密钥设备保存所述待备份的数据。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410132192.1A CN103929306B (zh) | 2014-04-02 | 2014-04-02 | 智能密钥设备和智能密钥设备的信息管理方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410132192.1A CN103929306B (zh) | 2014-04-02 | 2014-04-02 | 智能密钥设备和智能密钥设备的信息管理方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN103929306A CN103929306A (zh) | 2014-07-16 |
CN103929306B true CN103929306B (zh) | 2016-04-06 |
Family
ID=51147391
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201410132192.1A Active CN103929306B (zh) | 2014-04-02 | 2014-04-02 | 智能密钥设备和智能密钥设备的信息管理方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN103929306B (zh) |
Families Citing this family (18)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103929307B (zh) * | 2014-04-02 | 2018-06-01 | 天地融科技股份有限公司 | 密码输入方法、智能密钥设备以及客户端装置 |
CN107729775B (zh) * | 2014-07-17 | 2020-04-10 | 天地融科技股份有限公司 | 实现智能密钥设备模式间切换的方法和装置 |
CN104486085A (zh) * | 2014-12-24 | 2015-04-01 | 北京深思数盾科技有限公司 | 管理智能密钥设备的***及方法 |
CN104636926A (zh) * | 2015-03-09 | 2015-05-20 | 苏州海博智能***有限公司 | 一种穿戴设备 |
WO2016181585A1 (ja) * | 2015-05-08 | 2016-11-17 | パナソニックIpマネジメント株式会社 | 認証方法、認証システムおよびコントローラ |
CN106789848A (zh) * | 2015-11-23 | 2017-05-31 | 阿里巴巴集团控股有限公司 | 一种用户密钥存储方法及服务器 |
CN107248969A (zh) * | 2016-06-13 | 2017-10-13 | 苏州海博智能***有限公司 | 安全加密设备用通讯处理***及方法 |
CN108154364A (zh) * | 2016-12-06 | 2018-06-12 | 上海方付通商务服务有限公司 | 可穿戴设备及具有所述可穿戴设备的支付***及支付方法 |
CN108092764B (zh) * | 2017-11-02 | 2021-06-15 | 捷开通讯(深圳)有限公司 | 一种密码管理方法、设备和具有存储功能的装置 |
FR3079343B1 (fr) * | 2018-03-22 | 2021-07-09 | Schneider Electric Ind Sas | Procede de consignation d'une fonction d'un appareil electrique et appareil electrique mettant en oeuvre ce procede |
CN110581829A (zh) * | 2018-06-08 | 2019-12-17 | ***通信集团有限公司 | 通信方法及装置 |
CN110661623B (zh) * | 2018-06-29 | 2022-10-11 | 高级计算发展中心(C-Dac),班加罗尔 | 用于使用个人认证设备(pad)认证用户的方法和*** |
CN109922042B (zh) * | 2019-01-21 | 2020-07-03 | 北京邮电大学 | 遗失设备的子密钥管理方法和*** |
CN110290113B (zh) * | 2019-06-03 | 2023-09-01 | 深圳巴克云网络科技有限公司 | 基于PoW算法的设备标识构造方法、装置及计算机可读存储介质 |
CN110704827B (zh) * | 2019-09-27 | 2023-05-05 | 深圳市元征科技股份有限公司 | 一种权限管理方法及相关装置 |
CN111800377B (zh) * | 2020-05-20 | 2023-03-24 | 中国电力科学研究院有限公司 | 一种基于安全多方计算的移动终端身份认证*** |
CN112003697B (zh) * | 2020-08-25 | 2023-09-29 | 成都卫士通信息产业股份有限公司 | 密码模块加解密方法、装置、电子设备及计算机存储介质 |
CN112491843B (zh) * | 2020-11-17 | 2022-06-21 | 苏州浪潮智能科技有限公司 | 一种数据库多重认证方法、***、终端及存储介质 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101697537A (zh) * | 2009-10-20 | 2010-04-21 | 宇龙计算机通信科技(深圳)有限公司 | 一种互联网的访问方法、***及移动终端 |
CN101741843A (zh) * | 2009-12-10 | 2010-06-16 | 北京握奇数据***有限公司 | 利用公钥基础设施实现用户身份验证的方法、设备及*** |
CN203278851U (zh) * | 2013-03-06 | 2013-11-06 | 上海阳扬电子科技有限公司 | 一种带有无线通信功能的加密认证设备 |
-
2014
- 2014-04-02 CN CN201410132192.1A patent/CN103929306B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101697537A (zh) * | 2009-10-20 | 2010-04-21 | 宇龙计算机通信科技(深圳)有限公司 | 一种互联网的访问方法、***及移动终端 |
CN101741843A (zh) * | 2009-12-10 | 2010-06-16 | 北京握奇数据***有限公司 | 利用公钥基础设施实现用户身份验证的方法、设备及*** |
CN203278851U (zh) * | 2013-03-06 | 2013-11-06 | 上海阳扬电子科技有限公司 | 一种带有无线通信功能的加密认证设备 |
Also Published As
Publication number | Publication date |
---|---|
CN103929306A (zh) | 2014-07-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103929306B (zh) | 智能密钥设备和智能密钥设备的信息管理方法 | |
US11877213B2 (en) | Methods and systems for asset obfuscation | |
CN103929307A (zh) | 密码输入方法、智能密钥设备以及客户端装置 | |
US9858401B2 (en) | Securing transactions against cyberattacks | |
US11776348B2 (en) | Contactless card personal identification system | |
KR102381153B1 (ko) | 신원 정보에 기초한 암호화 키 관리 | |
CN103905188A (zh) | 利用智能密钥设备生成动态口令的方法和智能密钥设备 | |
CN108667608A (zh) | 数据密钥的保护方法、装置和*** | |
CN108447154A (zh) | 安全解锁方法及装置、加解密方法及装置、锁及服务器 | |
CN113169973A (zh) | 增强加密算法的强度的***和方法 | |
CN104125230A (zh) | 一种短信认证服务***以及认证方法 | |
US20230088837A1 (en) | Secure password generation and management using nfc and contactless smart cards | |
TW201544983A (zh) | 資料通訊方法和系統及客戶端和伺服器 | |
CN101785238A (zh) | 用户认证***和方法 | |
US20220366410A1 (en) | Systems and techniques to utilize an active link in a uniform resource locator to perform a money exchange | |
US11502840B2 (en) | Password management system and method | |
Kiljan et al. | What you enter is what you sign: Input integrity in an online banking environment | |
CN114631109A (zh) | 用于交叉耦合风险分析和一次性口令的***及方法 | |
US20240143719A1 (en) | System and method for provisioning a physical security token | |
Lee et al. | Ubi‐RKE: A Rhythm Key Based Encryption Scheme for Ubiquitous Devices | |
WO2018079708A2 (ja) | 送受信システム、送信装置、受信装置、方法、コンピュータプログラム | |
AU2023285934A1 (en) | Secure password generation and management using NFC and contactless smart cards |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |