本发明公开了一种远程解锁方法和系统,属于信息安全领域。所述方法包括:信息安全设备根据预设的随机口令算法生成标识码及接收用户通过客户端输入的识别码,用户输入的识别码为服务端根据用户提供的认证信息,验证用户为合法用户后,采用与信息安全设备生成标识码相同的方法生成并返回给用户的识别码;将识别码与标识码进行比对,若一致,则允许用户进入信息安全设备内部的操作系统修改信息安全设备的状态;否则,禁止用户进入信息安全设备内部的操作系统修改信息安全设备的状态。所述系统包括:信息安全设备、客户端和服务端。本发明通过用户从远程服务端获取标识码,避免了用户到专门的柜台解锁,既方便又节省了用户的时间。
信息安全设备根据预设的随机口令算法生成一个标识码或一组标识码及接收用户通过客户端输入的识别码,所述用户输入的识别码为服务端根据所述用户提供的认证信息,验证所述用户为合法用户后,根据所述认证信息或硬件标识得到与所述信息安全设备对应的随机口令算法,并采用所述与所述信息安全设备对应的随机口令算法生成并返回给所述用户的识别码;
所述信息安全设备将所述识别码与标识码进行比对,如果所述一个标识码与所述识别码一致或所述一组标识码中存在与所述识别码相同的,则允许所述用户进入所述信息安全设备内部的操作系统,将所述信息安全设备的锁定状态修改为正常状态,允许用户对所述信息安全设备内的信息或数据进行加密或解密操作,或者对用户的访问权限进行管理和控制;否则,禁止所述用户进入所述信息安全设备内部的操作系统修改所述信息安全设备的状态。
2.根据权利要求1所述的远程解锁方法,其特征在于,所述信息安全设备根据预设的随机口令算法生成标识码的步骤具体包括:信息安全设备收到由用户按动所述信息安全设备上的按键或开关所产生的触发信号后,根据预设的随机口令算法生成标识码。
3.根据权利要求1所述的远程解锁方法,其特征在于,所述信息安全设备根据预设的随机口令算法生成标识码的步骤具体包括:信息安全设备收到由客户端在用户的操作下产生的触发信号后,根据预设的随机口令算法生成标识码。
4.根据权利要求1所述的远程解锁方法,其特征在于,所述信息安全设备根据预设的随机口令算法生成标识码的步骤具体包括:信息安全设备每隔固定的时间间隔根据预设的随机口令算法自动生成标识码。
5.根据权利要求4所述的远程解锁方法,其特征在于,所述固定的时间间隔为生产商或用户预先设定的。
6.根据权利要求1所述的远程解锁方法,其特征在于,所述信息安全设备根据预设的随机口令算法生成标识码的步骤具体为:所述信息安全设备根据预设的随机口令算法对内置的生成要素进行计算生成标识码。
7.根据权利要求6所述的远程解锁方法,其特征在于,所述生成要素为时间生成要素或事件生成要素。
8.根据权利要求6所述的远程解锁方法,其特征在于,所述方法还包括:所述信息安全设备生成标识码后,修改所述生成要素。
9.根据权利要求6所述的远程解锁方法,其特征在于,所述服务端生成识别码的步骤具体包括:所述服务端预设与所述信息安全设备的随机口令算法相同的随机口令算法,并预设与所述信息安全设备内置的生成要素相同的生成要素;
所述服务端根据所述随机口令算法对所述生成要素进行计算生成识别码。
10.根据权利要求9所述的远程解锁方法,其特征在于,所述方法还包括:所述服务端生成识别码后,采用与所述信息安全设备修改生成要素相同的方法修改所述服务端的生成要素。
11.根据权利要求6所述的远程解锁方法,其特征在于,所述用户提供的认证信息中包含所述信息安全设备内置的生成要素,所述服务端生成识别码的步骤具体包括:所述服务端预设与所述信息安全设备的随机口令算法相同的随机口令算法;
所述服务端根据所述随机口令算法对所述认证信息中的生成要素进行计算生成识别码。
12.根据权利要求1所述的远程解锁方法,其特征在于,所述方法还包括:将所述信息安全设备的锁定状态修改为正常状态后,利用所述信息安全设备实现信息安全操作。
13.一种远程解锁系统,其特征在于,所述系统包括信息安全设备、客户端和服务端,所述信息安全设备包括生成模块、通信模块、比对模块和控制模块:所述生成模块用于在所述控制模块的控制下根据预设的随机口令算法生成一个标识码或一组标识码,并将所述一个标识码或一组标识码发送给所述比对模块;
所述通信模块用于在所述控制模块的控制下接收用户通过所述客户端输入的识别码,并将所述识别码发送给所述比对模块;
所述比对模块用于在所述控制模块的控制下,比对所述通信模块发来的识别码与所述生成模块发来的一个标识码是否一致,或者比对所述生成模块发来的一组标识码中是否存在与所述通信模块发来的识别码相同的,并将比对结果发送给所述控制模块;
所述控制模块用于控制所述生成模块生成所述标识码并发送给所述比对模块,并控制所述比对模块比对所述通信模块发来的识别码与所述生成模块发来的标识码,还用于当所述比对模块发送的比对结果为一致时,允许所述用户进入所述信息安全设备内部的操作系统,将所述信息安全设备的锁定状态修改为正常状态,允许用户对所述信息安全设备内的信息或数据进行加密或解密操作,或者对用户的访问权限进行管理和控制;当所述比对模块发送的比对结果为不一致时,禁止所述用户进入所述信息安全设备内部的操作系统,修改所述信息安全设备的状态;
所述接收模块用于接收所述用户输入的所述服务端返回的识别码;
所述发送模块用于将所述接收模块接收到的识别码发送给所述通信模块;
所述验证模块用于根据所述用户提供的认证信息,验证所述用户是否为合法用户;
所述生成模块用于当所述验证模块验证出所述用户为合法用户时,根据所述认证信息或硬件标识得到与所述信息安全设备对应的随机口令算法,并采用所述与所述信息安全设备对应的随机口令算法生成识别码;
所述返回模块用于将所述服务端的生成模块生成的识别码返回给所述用户。
14.根据权利要求13所述的远程解锁系统,其特征在于,所述信息安全设备还包括:触发模块,用于触发所述控制模块控制所述信息安全设备的生成模块生成所述标识码。
15.根据权利要求14所述的远程解锁系统,其特征在于,所述触发模块具体为按键或开关。
16.根据权利要求14所述的远程解锁系统,其特征在于,所述客户端还包括:触发信号生成模块,用于在所述用户的操作下产生触发信号;
所述发送模块还用于将所述触发信号生成模块产生的触发信号发送给所述信息安全设备;
触发单元,用于在所述接收单元收到所述触发信号后,触发所述控制模块控制所述信息安全设备的生成模块生成所述标识码。
17.根据权利要求14所述的远程解锁系统,其特征在于,所述触发模块具体包括:时钟单元,用于时钟计数;
触发单元,用于当所述时钟单元的时钟计数值达到预设的固定时间间隔值时,自动触发所述控制模块控制所述信息安全设备的生成模块生成所述标识码。
18.根据权利要求16或17所述的远程解锁系统,其特征在于,所述触发模块与所述控制模块集成在一颗控制芯片中。
19.根据权利要求18所述的远程解锁系统,其特征在于,所述控制芯片为安全设计芯片,所述安全设计芯片包括智能卡芯片。
20.根据权利要求13所述的远程解锁系统,其特征在于,所述信息安全设备的生成模块具体包括:设置单元,用于预设随机口令算法和生成要素;
生成单元,用于在所述控制模块的控制下根据所述设置单元预设的随机口令算法对所述预设的生成要素进行计算生成标识码。
21.根据权利要求20所述的远程解锁系统,其特征在于,所述信息安全设备还包括:修改模块,用于在所述生成单元生成标识码后,修改所述设置单元预设的生成要素。
22.根据权利要求13所述的远程解锁系统,其特征在于,所述服务端的生成模块具体包括:设置单元,用于预设与所述信息安全设备的随机口令算法相同的随机口令算法,预设与所述信息安全设备的生成要素相同的生成要素;
生成单元,用于在所述验证模块验证出所述用户为合法用户后,根据所述设置单元预设的随机口令算法对所述预设的生成要素进行计算生成识别码。
23.根据权利要求22所述的远程解锁系统,其特征在于,所述服务端还包括:修改模块,用于在所述生成单元生成识别码后,用与所述信息安全设备修改生成要素相同的方法修改所述设置单元预设的生成要素。
24.根据权利要求13所述的远程解锁系统,其特征在于,所述服务端的生成模块具体包括:设置单元,用于预设与所述信息安全设备的随机口令算法相同的随机口令算法;
生成单元,用于在所述验证模块验证出所述用户为合法用户后,根据所述设置单元预设的随机口令算法对所述用户提供的认证信息中的生成要素进行计算生成识别码。
25.根据权利要求13所述的远程解锁系统,其特征在于,所述通信模块为USB通信接口、红外通信接口、蓝牙通信接口或ISO14443通信接口。
26.根据权利要求13所述的远程解锁系统,其特征在于,所述通信模块与所述控制模块集成在一颗控制芯片中。
27.根据权利要求13所述的远程解锁系统,其特征在于,所述信息安全设备还包括:安全模块,用于当所述控制模块将所述信息安全设备的锁定状态修改为正常状态后,在所述控制模块的控制下实现信息安全操作。
28.根据权利要求27所述的远程解锁系统,其特征在于,所述通信模块和安全模块中的至少一个与所述控制模块集成在一颗控制芯片中。
29.根据权利要求26或28所述的远程解锁系统,其特征在于,所述控制芯片为安全设计芯片,所述安全设计芯片包括智能卡芯片。
远程解锁方法和系统
技术领域
[0001] 本发明涉及信息安全领域,特别涉及一种远程解锁方法和系统。 背景技术
[0002] 随着计算机技术的发展,信息安全越来越受到人们的关注,近年来出现的信息安全设备是一种带有处理器和存储器的小型硬件装置,可以通过计算机的数据通讯接口与计算机相连,一般通过USB(Universal Serial Bus,通用串行总线)接口与计算机相连,通常被称为USB KEY或USB Token(身份认证设备),另外,信息安全设备还可以采用ISO14443通信接口,即非接触式通信接口,该接口为ISO(International Standardize Organization,国际标准化组织)制定的非接触式智能卡通信标准。信息安全设备具有抗攻击的物理特性,安全性很高,因此被广泛应用在身份识别、网上银行和VPN(Virtual Private Network,虚拟专用网络)等领域,并且可以对信息安全设备内存储的数据进行加/解密处理,所以还可以将信息安全设备用于软件版权保护领域;另外也可以将一些重要信息,比如密码、电子证书、电子签名和电子图章等,存储到信息安全设备中,用以保证安全性或者防止遗忘。目前,较高端的信息安全设备是可编程的,即可以在信息安全设备中运行预先存入其中的代码。
[0003] 信息安全设备一般采用安全设计芯片来实现其安全功能,因为安全设计芯片除了具有通用嵌入式微控制器的各种特性外,更突出的特性表现在安全性能方面,在设计时会针对安全性能方面在安全设计芯片的结构上做一些特殊处理,比如,安全设计芯片采用特定的安全内核,该安全内核能够支持多个拥有不同权限定义的状态,用于实现对硬件资源访问权限的管理;支持指令执行时间(指令周期)的随机化;其中断系统能够支持芯片状态的转换,从而实现对不同层次的安全级别的控制,以支持多应用的实现;安全设计芯片还可以带有MMU单元(Memory Management Unit,存储器管理单元),用于实现逻辑地址与物理地址的隔离以及地址映射,从体系结构上支持应用(多应用)、安全性的设计实现,与内核支持的不同状态一起组成一个有机的硬件防火墙;其中断系统还能支持系统数据库与用户程序的接口及权限传递和切换;其存储介质方面采用非易失性存储介质等等。安全设计芯片一般都要符合相关的标准及通过相关的认证等以保证其安全性能,比如TCG(Trusted Computing Group,可 信计算组织)TPM(TrustedPlatformModule,可信平台模块)v1.2规范、ISO15408国际标准或中国密码管理委员会标准等等。目前市面上有很多款安全设计芯片可供选择,其中意法半导体的ST19WP18微控制器,已通过“公共标准”评估保障级EAL5+(增强版)的认证,这是ISO15408国际标准关于此类产品的最高的标准之一。目前的智能卡芯片就是一种比较常用的安全设计芯片。
[0004] 通常在信息安全设备内包含通过安全设计芯片与其它硬件电路结合构成的用于实现信息安全操作的安全模块。其中,安全模块执行的信息安全操作主要包括:数据交互(在信息安全设备内对写入的数据进行加密或对读取的数据进行解密)、身份认证信息处理、存储/验证密码信息、存储/验证签名、存储/验证证书、权限管理以及预置代码进行数据运算等等。其中预置代码包括预置用户软件部分片断(用户软件部分片断不能被读出信息安全设备,可以在信息安全设备内部运行进行数据运算),和预置软件保护应用接口函数(信息安全设备和软件开发商之间的接口级函数)等等。
[0005] 随机口令技术是一种动态生成随机口令的技术,即每一个口令只使用一次的技术,所以每次使用的口令都是变化的。随机口令是利用随机口令算法生成的。其中随机口令算法可以按照时间或次数的动态变化来实现,即随机口令是通过随机因子(即生成要素)和另外一个或几个因子经过随机口令算法计算得来的,其中生成要素可以采用时间生成要素,也可以采用事件生成要素,随机口令算法通常存储在口令生成芯片中。 [0006] 信息安全设备一般采用PIN(Personal Identification Number,个人身份识别码)验证用户是否为该信息安全设备合法持有者。在进行身份认证时将信息安全设备与计算机相连,用户在计算机中输入PIN码,信息安全设备从计算机中获取到用户输入的PIN码,并将用户输入的PIN码与其内预先存储的PIN码进行比较,校验该PIN码的正确性,只有当用户输入的PIN码正确时,才说明该用户为信息安全设备的合法持有者,允许该用户使用信息安全设备;否则,禁止用户使用信息安全设备。PIN码可以由生产商或用户自己预先设置好,也可以由用户定期或不定期的修改。PIN码一般分为UserPIN和SoPIN两种,UserPIN是用户使用的PIN码,SoPIN是管理员使用的PIN码,用于管理信息安全设备,拥有更高的权限,比如可以解锁,可以初始化信息安全设备等。
[0007] 一般信息安全设备连续验证的次数是由生产商预先设置好的,用来防止被人穷举破解,比如,生产商在信息安全设备出厂前可以预先设置连续验证的最大次数为3次,则如果用户连续输入3次PIN码都是错误的情况下,信息安全设备将被锁定。当信息安全设备被锁定后,用户需要拿着信息安全设备到专门的柜台那里去做解锁,比如,用户的信息安全设备是用于 银行系统的,那么,当信息安全设备被锁定后,用户就需要拿着信息安全设备到银行去解锁。
[0008] 现有技术中对信息安全设备解锁的过程如下:用户到达专门的解锁柜台后,柜台服务人员首先让用户提供包含有有效证件信息的认证信息以及信息安全设备的硬件标识,该有效证件是用户在购买信息安全设备时所登记并记录在服务端数据库中的有效证件,硬件标识是区别每个信息安全设备唯一的的标识,比如序列号等;服务人员通过验证用户的有效证件与服务端存储的用户的有效证件是否一致来确定该用户是否为信息安全设备的合法持有者,在确定其为信息安全设备合法持有者后,根据据用户提供的被锁定的信息安全设备的硬件标识找到信息安全设备对应的SoPIN,服务人员利用SoPIN进入解锁系统完成对信息安全设备的解锁。
[0009] 上述现有技术中的解锁方法需要用户到专门的柜台去办理,比较麻烦和耗时,而且如果用户有急用的话会给用户造成很多不便,甚至会给用户造成经济上的损失。 发明内容
[0010] 为了提高用户解锁时的便利性,本发明实施例提供了一种远程解锁方法和系统。所述技术方案如下:
[0011] 本发明实施例提供了一种远程解锁方法,所述方法包括:
[0012] 信息安全设备根据预设的随机口令算法生成一个标识码或一组标识码及接收用户通过客户端输入的识别码,所述用户输入的识别码为服务端根据所述用户提供的认证信息,验证所述用户为合法用户后,根据所述认证信息或硬件标识得到与所述信息安全设备对应的随机口令算法,并采用所述与所述信息安全设备对应的随机口令算法生成并返回给所述用户的识别码;
[0013] 所述信息安全设备将所述识别码与标识码进行比对,如果所述一个标识码与所述识别码一致或所述一组标识码中存在与所述识别码相同的,则允许所述用户进入所述信息安全设备内部的操作系统,将所述信息安全设备的锁定状态修改为正常状态,允许用户对所述信息安全设备内的信息或数据进行加密或解密操作,或者对用户的访问权限进行管理和控制;否则,禁止所述用户进入所述信息安全设备内部的操作系统修改所述信息安全设备的状态。
[0014] 所述信息安全设备根据预设的随机口令算法生成标识码的步骤具体包括: [0015] 信息安全设备收到由用户按动所述信息安全设备上的按键或开关所产生的触发信号后,根据预设的随机口令算法生成标识码。
[0016] 所述信息安全设备根据预设的随机口令算法生成标识码的步骤具体包括: [0017] 信息安全设备收到由客户端在用户的操作下产生的触发信号后,根据预设的随机口令算法生成标识码。
[0018] 所述信息安全设备根据预设的随机口令算法生成标识码的步骤具体包括: [0019] 信息安全设备每隔固定的时间间隔根据预设的随机口令算法自动生成标识码。 [0020] 所述固定的时间间隔为生产商或用户预先设定的。
[0021] 所述信息安全设备根据预设的随机口令算法生成标识码的步骤具体为: [0022] 所述信息安全设备根据预设的随机口令算法对内置的生成要素进行计算生成标识码。
[0023] 所述生成要素为时间生成要素或事件生成要素。
[0024] 所述方法还包括:
[0025] 所述信息安全设备生成标识码后,修改所述生成要素。
[0026] 所述服务端生成识别码的步骤具体包括:
[0027] 所述服务端预设与所述信息安全设备的随机口令算法相同的随机口令算法,并预设与所述信息安全设备内置的生成要素相同的生成要素;
[0028] 所述服务端根据所述随机口令算法对所述生成要素进行计算生成识别码。 [0029] 所述方法还包括:
[0030] 所述服务端生成识别码后,采用与所述信息安全设备修改生成要素相同的方法修改所述服务端的生成要素。
[0031] 所述用户提供的认证信息中包含所述信息安全设备内置的生成要素,所述服务端生成识别码的步骤具体包括:
[0032] 所述服务端预设与所述信息安全设备的随机口令算法相同的随机口令算法; [0033] 所述服务端根据所述随机口令算法对所述认证信息中的生成要素进行计算生成识别码。
[0034] 所述方法还包括:
[0035] 将所述信息安全设备的锁定状态修改为正常状态后,利用所述信息安全设备实现信息安全操作。
[0036] 另外,本发明实施例还提供了一种远程解锁系统,所述系统包括信息安全设备、客户端和服务端,
[0037] 所述信息安全设备包括生成模块、通信模块、比对模块和控制模块: [0038] 所述生成模块用于在所述控制模块的控制下根据预设的随机口令算法生成一个标识码或一组标识码,并将所述一个标识码或一组标识码发送给所述比对模块; [0039] 所述通信模块用于在所述控制模块的控制下接收用户通过所述客户端输入的识别码,并 将所述识别码发送给所述比对模块;
[0040] 所述比对模块用于在所述控制模块的控制下,比对所述通信模块发来的识别码与所述生成模块发来的一个标识码是否一致,或者比对所述生成模块发来的一组标识码中是否存在与所述通信模块发来的识别码相同的,并将比对结果发送给所述控制模块; [0041] 所述控制模块用于控制所述生成模块生成所述标识码并发送给所述比对模块,并控制所述比对模块比对所述通信模块发来的识别码与所述生成模块发来的标识码,还用于当所述比对模块发送的比对结果为一致时,允许所述用户进入所述信息安全设备内部的操作系统,将所述信息安全设备的锁定状态修改为正常状态,允许用户对所述信息安全设备内的信息或数据进行加密或解密操作,或者对用户的访问权限进行管理和控制;当所述比对模块发送的比对结果为不一致时,禁止所述用户进入所述信息安全设备内部的操作系统,修改所述信息安全设备的状态;
[0042] 所述客户端包括接收模块和发送模块:
[0043] 所述接收模块用于接收所述用户输入的所述服务端返回的识别码; [0044] 所述发送模块用于将所述接收模块接收到的识别码发送给所述通信模块; [0045] 所述服务端包括验证模块、生成模块和返回模块:
[0046] 所述验证模块用于根据所述用户提供的认证信息,验证所述用户是否为合法用户;
[0047] 所述生成模块用于当所述验证模块验证出所述用户为合法用户时,根据所述认证信息或硬件标识得到与所述信息安全设备对应的随机口令算法,并采用所述与所述信息安全设备对应的随机口令算法生成并返回给所述用户的识别码;
[0048] 所述返回模块用于将所述服务端的生成模块生成的识别码返回给所述用户。 [0049] 所述信息安全设备还包括:
[0050] 触发模块,用于触发所述控制模块控制所述信息安全设备的生成模块生成所述标识码。
[0051] 所述触发模块具体为按键或开关。
[0052] 所述客户端还包括:
[0053] 触发信号生成模块,用于在所述用户的操作下产生触发信号; [0054] 所述发送模块还用于将所述触发信号生成模块产生的触发信号发送给所述信息安全设备;
[0055] 相应地,所述触发模块具体包括:
[0056] 接收单元,用于接收所述发送模块发来的触发信号;
[0057] 触发单元,用于在所述接收单元收到所述触发信号后,触发所述控制模块控制所述信息 安全设备的生成模块生成所述标识码。
[0058] 所述触发模块具体包括:
[0059] 时钟单元,用于时钟计数;
[0060] 触发单元,用于当所述时钟单元的时钟计数值达到预设的固定时间间隔值时,自动触发所述控制模块控制所述信息安全设备的生成模块生成所述标识码。 [0061] 所述触发模块与所述控制模块集成在一颗控制芯片中。
[0062] 所述控制芯片为安全设计芯片,所述安全设计芯片包括智能卡芯片。 [0063] 所述信息安全设备的生成模块具体包括:
[0064] 设置单元,用于预设随机口令算法和生成要素;
[0065] 生成单元,用于在所述控制模块的控制下根据所述设置单元预设的随机口令算法对所述预设的生成要素进行计算生成标识码。
[0066] 所述信息安全设备还包括:
[0067] 修改模块,用于在所述生成单元生成标识码后,修改所述设置单元预设的生成要素。
[0068] 所述服务端的生成模块具体包括:
[0069] 设置单元,用于预设与所述信息安全设备的随机口令算法相同的随机口令算法,预设与所述信息安全设备的生成要素相同的生成要素;
[0070] 生成单元,用于在所述验证模块验证出所述用户为合法用户后,根据所述设置单元预设的随机口令算法对所述预设的生成要素进行计算生成识别码。
[0071] 所述服务端还包括:
[0072] 修改模块,用于在所述生成单元生成识别码后,用与所述信息安全设备修改生成要素相同的方法修改所述设置单元预设的生成要素。
[0073] 所述服务端的生成模块具体包括:
[0074] 设置单元,用于预设与所述信息安全设备的随机口令算法相同的随机口令算法; [0075] 生成单元,用于在所述验证模块验证出所述用户为合法用户后,根据所述设置单元预设的随机口令算法对所述用户提供的认证信息中的生成要素进行计算生成识别码。 [0076] 所述通信模块为USB通信接口、红外通信接口、蓝牙通信接口或ISO14443通信接口。
[0077] 所述通信模块与所述控制模块集成在一颗控制芯片中。
[0078] 所述信息安全设备还包括:
[0079] 安全模块,用于当所述控制模块将所述信息安全设备的锁定状态修改为正常状态后,在所述控制模块的控制下实现信息安全操作。
[0080] 所述通信模块和安全模块中的至少一个与所述控制模块集成在一颗控制芯片中。 [0081] 所述控制芯片为安全设计芯片,所述安全设计芯片包括智能卡芯片。 [0082] 本发明实施例提供的技术方案的有益效果是:
[0083] 通过信息安全设备利用随机口令算法生成标识码,并与服务端生成并返回的识别码进行比对,提高了用户解锁时的便利性与安全性:其中,利用随机口令技术每次都生成不同的识别码,从而在每次解锁时都使用不同的识别码,极大地提高了安全性;另外,通过服务端远程返回识别码给用户,不需要用户拿着信息安全设备到专门的柜台去办理,减少了用户解锁时的麻烦,极大地提高了便利性,当用户有急事而专门的柜台又很远时,有效地节省了用户的时间。
附图说明
[0084] 图1是本发明实施例1提供的远程解锁方法的流程图;
[0085] 图2是本发明实施例2提供的远程解锁系统的结构图。
具体实施方式
[0086] 为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明实施方式作进一步地详细描述。
[0087] 本发明实施例提供了一种远程解锁方法和系统,在用户由于忘记密码或由于失误多次输入密码错误而使信息安全设备锁定时,可以通过登录专门的解锁网站、电话、邮寄、邮件或短信等方式获得解锁所需的识别码(即具有解锁权限的SoPIN),然后将获得的识别码输入到信息安全设备内,信息安全设备验证通过后完成解锁,与现有技术中需要到专门的柜台进行解锁相比,既省时又方便安全。
[0088] 本发明实施例中,信息安全设备中预设有随机口令算法,在服务端预存有用户在购买信息安全设备时提供的认证信息,用于在用户需要解锁时验证用户是否为合法用户;因为有时会出现一个用户有两个或两个以上信息安全设备的情况,所以服务端还预存有信息安全设备的硬件标识,并且服务端还预存有相对应的随机口令算法,该随机口令算法与信息安全设备的随机口令算法是相同的,服务端在验证用户为合法用户后,根据用户提供的认证信息或信息安全设备的硬件标识找到与其对应的随机口令算法生成标识码。 [0089] 实施例1
[0090] 在本实施例中,服务端和信息安全设备中都预设有相同的生成要素,参见图1,本发明 实施例提供了一种远程解锁方法,具体包括以下步骤:
[0091] 步骤101:用户向服务端提供认证信息。
[0092] 在购买信息安全设备时,需要用户提供自己的有效证件,该有效证件信息会被存储到服务端作为以后解锁时使用的认证信息,例如,用户在购买信息安全设备时提供自己的身份证,则其身份证号码会被存储到服务端。
[0093] 用户提供的认证信息中还可以包含信息安全设备的硬件标识,服务端在收到认证信息后,根据认证信息或硬件标识就可以找到与信息安全设备对应的随机口令算法。 [0094] 用户可以通过多种方式向服务端提供认证信息,例如,用户登录专门的解锁网站,通过网站提供的解锁通道提供认证信息;或者通过电话提供;或者在不着急的情况下,通过邮寄、电子邮件或短信等方式将其认证信息提供给服务端,本实施例中以用户通过专门的解锁网站提供认证信息为例进行说明。
[0095] 步骤102:服务端收到用户提供的认证信息后,根据认证信息验证用户是否为合法用户,如果是,则执行步骤103;否则,执行步骤110。
[0096] 步骤103:服务端生成识别码SoPIN1,并将生成的识别码SoPIN1返回给用户。 [0097] 服务端生成识别码的步骤可以具体如下:
[0098] 服务端根据预设的随机口令算法对预设的生成要素进行计算生成识别码,在采用随机口令算法对生成要素进行计算时,还可以用随机口令算法对生成要素和其它因子一起计算生成识别码。例如,将信息安全设备的硬件标识等作为其它因子,该硬件标识可以包含在用户提供的认证信息中,由用户提供认证信息时一起提供给服务端。 [0099] 其中,生成要素可以是时间生成要素,也可以是事件生成要素。例如,当前的时间为8:15,服务端在生成识别码时,将当前的时间8:15作为时间生成要素。 [0100] 其中,服务端将识别码返回给用户的方式也有很多种,例如,将识别码通过专门的解锁网站提供的解锁通道返回给用户;或者可以通过电话通知用户该识别码;或者还可以通过邮寄、邮件或短信的方式将该识别码返回给用户等。
[0101] 步骤104:信息安全设备根据预设的随机口令算法,采用与服务端生成识别码SoPIN1相同的方法生成标识码SoPIN2。
[0102] 其中,信息安全设备可以在以下几种方式的触发下生成标识码: [0103] 1)用户按动信息安全设备上的按键或开关产生触发信号,信息安全设备收到该触发信号后,根据预设的随机口令算法生成标识码;其中开关可以选用推动式开关,或乒乓开关等。
[0104] 2)将信息安全设备连接到客户端,客户端在用户的操作下产生触发信号并发送给信息安 全设备,信息安全设备收到该触发信号后,根据预设的随机口令算法生成标识码;例如,将信息安全设备连接到客户端后,客户端提示用户按动客户端键盘进行触发,或客户端提示用户点击鼠标进行触发等,用户根据客户端的提示进行操作,使客户端产生触发信号并将其发送给信息安全设备。
[0105] 3)信息安全设备每隔固定的时间间隔自动产生触发信号,根据预设的随机口令算法生成标识码;固定的时间间隔可以由信息安全设备生产商或用户预先设定好的,例如,可以是5分钟或3分钟等等,用户也可以根据自己的需要重新设定或修改。 [0106] 信息安全设备根据预设的随机口令算法生成标识码的步骤可以具体如下: [0107] 信息安全设备根据预设的随机口令算法对内置的生成要素进行计算生成标识码。 [0108] 其中,生成要素可以是时间生成要素,也可以是事件生成要素。例如,当用户通过按键或开关触发信息安全设备时,生成要素可以为用户按动按键或开关进行解锁的次数的事件生成要素;当客户端通过用户的操作产生触发信号时,生成要素可以为用户进行解锁的操作次数的事件生成要素;当信息安全设备定时自动产生触发信号时,生成要素可以为时间生成要素。
[0109] 进一步地,信息安全设备生成标识码SoPIN2与服务端生成识别码SoPIN1时还可以采取同步的方式,比如,在利用时间生成要素生成标识码时,可以将生成要素设置在一定的时间范围内,例如,可以将时间范围设置为5分钟之内,如果服务端生成识别码时的时间生成要素为8:15,则在信息安全设备内生成标识码时的时间生成要素在8:13到8:18之间即可;在利用事件生成要素生成标识码时,同理,可以将生成要素设置在一定的次数范围内,例如,可以将次数范围设定为5次之内,如果服务端生成识别码时的事件生成要素为第5次,则在信息安全设备内生成标识码时的事件生成要素在第3次到第7次之间即可。 [0110] 步骤105:用户将服务端返回的识别码SoPIN1输入到客户端。
[0111] 步骤106:客户端收到用户输入的识别码SoPIN1后,将其发送到信息安全设备。 [0112] 步骤107:信息安全设备收到用户通过客户端输入的识别码SoPIN1后,将其与步骤104中信息安全设备自己生成的标识码SoPIN2进行比对。
[0113] 当信息安全设备和服务端采用同步方式生成标识码时,若采用时间生成要素,则信息安全设备可以将在设置的时间范围内生成的多个标识码与服务端生成的识别码一一比对,如果有相同的则比对一致;若采用事件生成要素,则信息安全设备可以在设置的次数范围内生成的多个标识码与服务端生成的识别码一一比对,如果有相同的则比对一致。 [0114] 步骤108:判断比对结果是否一致,如果一致,则执行步骤109;否则,执行步骤110。
[0115] 步骤109:允许用户进入信息安全设备内部的操作系统,将信息安全设备的锁定状态修改为正常状态,结束。
[0116] 进一步地,将信息安全设备的锁定状态修改为正常状态后,用户便可以继续利用信息安全设备实现信息安全操作,例如,用户可以对信息安全设备内的信息或数据进行加密或解密处理,或者信息安全设备还可以对用户的访问权限进行管理和控制。 [0117] 步骤110:禁止用户进入信息安全设备内部的操作系统,修改信息安全设备的状态,结束。
[0118] 本实施例中服务端生成识别码并返回给用户、用户将识别码输入客户端以及客户端将其发送给信息安全设备的步骤与信息安全设备生成标识码的步骤没有固定的先后顺序,也可以同时进行。
[0119] 为了使下一次生成标识码时采用的生成要素与本次的不同,进一步地,本实施例中还可以包括以下步骤:
[0120] 信息安全设备生成标识码及服务端生成识别码后,还可以用相同的方法修改各自的生成要素。例如,当生成要素为时间生成要素时,可以根据计时器自动修改当前的时间来修改时间生成要素;当生成要素为事件生成要素时,可以用根据计数器修改事件发生的次数来修改事件生成要素。
[0121] 另外,本实施例中信息安全设备与服务端都预设生成要素的方式还可以由以下方式来替换:
[0122] 用户提供的认证信息中还包含信息安全设备的生成要素,即生成要素由用户在提供认证信息时一起提供给服务端,服务端不需要预设生成要素,在收到该认证信息后,从中提取出生成要素,根据服务端的随机口令算法对提取出的生成要素进行计算生成识别码,此时就不需要做时间同步或事件同步了。在这种方式下,为了使下一次生成标识码时采用的生成要素与本次的不同,进一步地,信息安全设备在生成标识码后,还可以修改内置的生成要素。
[0123] 实施例2
[0124] 参见图2,本发明实施例提供了一种远程解锁系统,包括信息安全设备200、客户端300和服务端400,
[0125] 信息安全设备200包括生成模块201、通信模块202、比对模块203和控制模块204:
[0126] 生成模块201用于在控制模块204的控制下根据预设的随机口令算法生成标识码,并将标识码发送给比对模块203;
[0127] 通信模块202用于在控制模块204的控制下接收用户通过客户端300输入的识别码,并 将接收的识别码发送给比对模块203;
[0128] 比对模块203用于在控制模块204的控制下,比对通信模块202发来的识别码与生成模块201发来的标识码是否一致,并将比对结果发送给控制模块204; [0129] 控制模块204用于控制生成模块201生成标识码并发送给比对模块203,并控制比对模块203比对通信模块202发来的识别码与生成模块201发来的标识码,还用于当比对模块203发送的比对结果为一致时,允许用户进入信息安全设备200内部的操作系统,将信息安全设备200的锁定状态修改为正常状态;当比对模块203发送的比对结果为不一致时,禁止用户进入信息安全设备200内部的操作系统,修改信息安全设备200的状态; [0130] 客户端300包括接收模块301和发送模块302:
[0131] 接收模块301用于接收用户输入的服务端400返回的识别码;
[0132] 发送模块302用于将接收模块301接收到的用户输入的识别码发送给通信模块202;
[0133] 服务端400包括验证模块401、生成模块402和返回模块403:
[0134] 验证模块401用于根据用户提供的认证信息,验证用户是否为合法用户; [0135] 生成模块402用于当验证模块401验证出用户为合法用户时,采用与信息安全设备200生成标识码相同的方法生成识别码;
[0136] 返回模块403用于将服务端400的生成模块402生成的识别码返回给用户。 [0137] 进一步地,信息安全设备200还可以包括:
[0138] 触发模块,用于触发控制模块204控制信息安全设备200的生成模块201生成标识码。
[0139] 上述触发模块可以具体为按键或开关。
[0140] 客户端300还可以包括:
[0141] 触发信号生成模块,用于在用户的操作下产生触发信号;
[0142] 发送模块302还用于将触发信号生成模块产生的触发信号发送给所述信息安全设备200;
[0143] 相应地,上述触发模块可以具体包括:
[0144] 接收单元,用于接收发送模块302发来的触发信号;
[0145] 触发单元,用于在接收单元收到触发信号后,触发控制模块204控制信息安全设备200的生成模块201生成标识码;而且,该触发模块可以与控制模块204集成在一颗控制芯片中。
[0146] 上述触发模块可以具体包括:
[0147] 时钟单元,用于时钟计数;
[0148] 触发单元,用于当时钟单元的时钟计数值达到预设的固定时间间隔值时,自动触发控制模块204控制信息安全设备200的生成模块201生成标识码,而且,该触发模块可以与控制 模块204集成在一颗控制芯片中。
[0149] 信息安全设备200的生成模块201可以具体包括:
[0150] 设置单元,用于预设随机口令算法和生成要素;
[0151] 生成单元,用于在控制模块204的控制下根据设置单元预设的随机口令算法对预设的生成要素进行计算生成标识码。
[0152] 进一步地,信息安全设备200还可以包括:
[0153] 修改模块,用于在生成单元生成标识码后,修改设置单元预设的生成要素。 [0154] 服务端400的生成模块402可以具体包括:
[0155] 设置单元,用于预设与信息安全设备200的随机口令算法相同的随机口令算法,预设与信息安全设备200的生成要素相同的生成要素;
[0156] 生成单元,用于在验证模块401验证出用户为合法用户后,根据设置单元预设的随机口令算法对预设的生成要素进行计算生成识别码。
[0157] 进一步地,服务端400还可以包括:
[0158] 修改模块,用于在生成单元生成标识码后,用与信息安全设备200修改生成要素相同的方法修改设置单元预设的生成要素。
[0159] 服务端400的生成模块402可以具体包括:
[0160] 设置单元,用于预设与信息安全设备200的随机口令算法相同的随机口令算法; [0161] 生成单元,用于在验证模块401验证出用户为合法用户后,根据设置单元预设的随机口令算法对用户提供的认证信息中的生成要素进行计算生成识别码。 [0162] 通信模块202可以为USB通信接口、红外通信接口、蓝牙通信接口或ISO14443通信接口等。
[0163] 通信模块202可以与控制模块204集成在一颗控制芯片中。
[0164] 为了提高应用时的安全性,信息安全设备200还可以包括:
[0165] 安全模块,用于当控制模块204将信息安全设备200的锁定状态修改为正常状态后后,在控制模块204的控制下实现信息安全操作。
[0166] 上述安全模块可以具体包括:
[0167] 加密和解密单元,用于在控制模块204的控制下对信息安全设备200内用户的信息和/或数据进行加密或解密处理;
[0168] 权限管理单元,用于在控制模块204的控制下对用户的访问权限进行管理和控制。
[0169] 通信模块202和安全模块中的至少一个可以与控制模块204集成在一颗控制芯片中。
[0170] 本实施例中的所有控制芯片可以为安全设计芯片,安全设计芯片包括智能卡芯片。
[0171] 通过信息安全设备利用随机口令算法生成标识码,并与服务端生成并返回的识别码进行比对,提高了用户解锁时的便利性及安全性:其中,利用随机口令技术每次都生成不同的识别码,从而在每次解锁时都使用不同的识别码,极大地提高了安全性;另外,通过服务端远程返回识别码给用户,不需要用户拿着信息安全设备到专门的柜台去办理,减少了用户解锁时的麻烦,极大地提高了便利性,当用户有急事而专门的柜台又很远时,有效地节省了用户的时间。
[0172] 以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
