技術領域

本發明涉及信息安全領域中，特別是涉及一種對用戶的安全設備進行解鎖的方法和系統。

背景技術

隨著信息安全技術的飛速發展，以及PKI（Public?Key?Infrastructure，公鑰基礎設施）技術的日漸成熟，以數字證書作為用戶網絡身份標識的應用也越來越多。通常，用戶的數字證書及其對應的私鑰都保存在UKEY（Universal?Serial?Bus?Key，U口密鑰）或IC卡等類似的安全設備中。用戶通過上述安全設備中的數字證書和私鑰來實現網絡上的用戶身份安全認證和鑒別。

為了保證安全設備中用戶私鑰的安全性，用戶在每次使用私鑰進行用戶身份認證和鑒別的時候都需要向安全設備提供用戶口令，以實現安全設備對用戶的認證。當用戶提供的用戶口令連續若干次（通常3次－5次）錯誤后，安全設備將自行鎖定，形成死鎖，用戶將無法再繼續使用該安全設備。這種方式有效抵制了用戶在其安全設備丟失后，其身份被他人冒用的情況。但是這種方式也同樣造成了正常用戶在忘記口令后而導致安全設備死鎖的情況。從實際應用情況看，這種正常安全設備死鎖的情況還非常多。

現有技術中的一種對用戶的安全設備進行解鎖的方法為：在安全設備死鎖后，用戶持安全設備到安全設備發行點，由安全設備管理員輸入管理員口令進行解鎖。

上述現有技術中的對用戶的安全設備進行解鎖的方法的缺點為：安全設備要送到發行點進行解鎖，對于用戶群體較為分散的系統，會帶來管理成本的增加和用戶使用的不便。如果系統存在多個解鎖管理員，會造成管理員口令的混亂，以及管理員集中監控上的不方便，從而形成整體系統上的不安全因素。

發明內容

本發明的實施例提供了一種對用戶的安全設備進行解鎖的方法和系統，以實現對用戶的安全設備進行有效地解鎖。

一種對用戶的安全設備進行解鎖的方法，包括：

在用戶的安全設備鎖定后，所述安全設備產生并存儲請求隨機數，用所述安全設備中存儲的解鎖私鑰對所述請求隨機數進行簽名處理得到簽名數據，所述安全設備向所述安全設備的管理服務器發送包含所述請求隨機數、所述簽名數據和所述安全設備的序列號的解鎖請求數據；

所述管理服務器根據所述解鎖請求數據中攜帶的所述安全設備的序列號獲取預先存儲的所述解鎖私鑰對應的解鎖公鑰，用所述解鎖公鑰對所述解鎖請求數據中的請求隨機數和簽名數據進行驗證簽名處理，在驗證簽名通過后，所述管理服務器用所述解鎖公鑰對所述請求隨機數進行加密得到解鎖回應數據，將所述解鎖回應數據發送給所述安全設備；

所述安全設備用所述解鎖私鑰對所述解鎖回應數據進行解密，將所述解鎖回應數據中攜帶的請求隨機數和所述預先存儲的請求隨機數進行比較，在比較結果為一致后，所述安全設備自行解鎖。

一種對用戶的安全設備進行解鎖的系統，包括：安全設備和管理服務器，

所述的安全設備包括：

請求隨機數處理單元，用于在所述安全設備鎖定后，產生并存儲請求隨機數；

解鎖請求發送單元，用于用所述安全設備中存儲的解鎖私鑰對所述請求隨機數進行簽名處理得到簽名數據，向所述安全設備的管理服務器發送包含所述請求隨機數、所述簽名數據和所述安全設備的序列號的解鎖請求數據；

所述的管理服務器包括，

解鎖請求數據驗證單元，用于根據所述解鎖請求數據中攜帶的所述安全設備的序列號獲取預先存儲的解鎖公鑰，用所述解鎖公鑰對所述解鎖請求數據中的請求隨機數和簽名數據進行驗證簽名處理；

解鎖回應數據處理單元，用于在所述解鎖請求數據驗證單元的驗證簽名通過后，用所述解鎖公鑰對所述請求隨機數進行加密得到解鎖回應數據，將所述解鎖回應數據發送給所述安全設備；

所述的安全設備還包括：

驗證解鎖單元，用于用所述解鎖私鑰對所述解鎖回應數據進行解密，將所述解鎖回應數據中攜帶的請求隨機數和所述預先存儲的請求隨機數進行比較，在比較結果為一致后，所述安全設備自行解鎖。

由上述本發明的實施例提供的技術方案可以看出，本發明實施例通過安全設備的管理服務器為用戶的安全設備產生唯一的解鎖密鑰對，管理服務器和安全設備之間通過公鑰算法實現相互認證，可以實現用戶在安全設備鎖定后進行自助解鎖，并且保證了安全設備解鎖的安全性與整體系統的安全性。

附圖說明