本發明提供一種密碼設備管理方法及系統。該方法包括：用戶添加過程、用戶登錄過程和密鑰管理過程；用戶添加過程包括：用戶智能密碼鑰匙向密碼設備發送公鑰讀取請求信息；密碼設備接收到公鑰讀取請求信息后，生成公鑰信息d_pub和私鑰信息d_pri，并將公鑰信息d_pub返回至用戶智能密碼鑰匙；用戶智能密碼鑰匙通過公鑰信息d_pub加密其自身的設備類型、設備號和公鑰信息u_pub生成第一密文，并發送至密碼設備；密碼設備通過私鑰信息d_pri解密第一密文后，在本地寫入用戶智能密碼鑰匙的設備類型和設備號，并生成密鑰key；然后通過公鑰信息u_pub加密密鑰key后生成第二密文，并發送至用戶智能密碼鑰匙；用戶智能密碼鑰匙通過其自身的私鑰信息u_pri解密第二密文獲得密鑰key并保存。

技術領域

本發明涉及信息安全技術領域，尤其涉及一種密碼設備管理方法及系統。

背景技術

隨著信息產業的快速發展，信息安全現在已經成為人為關注的熱點，一旦信息被泄露、篡改，將造成嚴重的后果，為了提升信息傳輸、存儲等安全性，目前常用的是增加密碼設備來保障信息安全性；密碼設備是指能夠提供數據加解密、數字簽名、驗簽等密碼服務的安全設備，常見的密碼設備包括密碼機、密碼卡、密碼終端等，密碼設備中存儲有各種密鑰信息、文件、用戶信息等，因此密碼設備自身的安全性顯得尤為重要。

目前，針對密碼設備的安全管理常見的是通過設置有不同級別的用戶來進行鑒別認證，不同的用戶設置有不同的服務權限，然而現有的技術在對密碼設備管理用戶的方式上安全性還有待提升。

發明內容

針對現有密碼管理方法安全性不足的問題，本發明提供一種密碼設備管理方法及系統，通過不同用戶的智能密碼鑰匙能夠實現對密碼設備的安全管理，防止不合法用戶訪問密碼設備，竊取密碼設備的關鍵信息。

一方面，本發明提供一種密碼設備管理方法，該方法包括：用戶添加過程、用戶登錄過程和密鑰管理過程；所述用戶添加過程具體包括：

用戶智能密碼鑰匙向密碼設備發送公鑰讀取請求信息；

所述密碼設備接收到所述公鑰讀取請求信息后，生成公鑰信息d_pub和私鑰信息d_pri，并將所述公鑰信息d_pub返回至所述用戶智能密碼鑰匙；

所述用戶智能密碼鑰匙通過所述公鑰信息d_pub加密其自身的設備類型、設備號和公鑰信息u_pub生成第一密文，并發送至所述密碼設備；

所述密碼設備通過所述私鑰信息d_pri解密所述第一密文后，在本地寫入所述用戶智能密碼鑰匙的設備類型和設備號，并生成密鑰key；然后通過所述公鑰信息u_pub加密所述密鑰key后生成第二密文，并發送至所述用戶智能密碼鑰匙；

所述用戶智能密碼鑰匙通過其自身的私鑰信息u_pri解密所述第二密文獲得所述密鑰key并保存。

進一步地，所述密碼設備的用戶包括多個管理員和一個操作員；在用戶添加過程中，當所述密碼設備沒有添加任何用戶時，僅支持添加管理員操作；當獲取所述密碼設備的管理員權限后，才支持添加操作員操作；其中，所述管理員權限通過半數以上的管理員登錄所述密碼設備后獲得。

進一步地，所述用戶登錄過程，具體包括：

所述用戶智能密碼鑰匙通過所述公鑰信息d_pub加密其自身的設備類型、設備號和公鑰信息u_pub生成第三密文，并發送至所述密碼設備；

所述密碼設備通過所述私鑰信息d_pri解密所述第三密文后，將解密獲得的設備號和設備類型分別與本地存儲的設備號和設備類型進行比對驗證，并生成一隨機數r；然后通過解密獲得的公鑰信息u_pub加密所述隨機數r生成第四密文，并發送至所述用戶智能密碼鑰匙；

所述用戶智能密碼鑰匙通過其自身的私鑰信息u_pri解密所述第四密文獲得一隨機數m，然后通過本地存儲的密鑰key加密所述隨機數m生成第五密文，并發送至所述密碼設備；