本發(fā)明提供一種用于管理智能密碼鑰匙的設(shè)備認證密鑰和管理員PIN的管理方法、管理系統(tǒng)、計算機設(shè)備和計算機可讀存儲介質(zhì)，所述管理方法包括下列方法中的一種或幾種：方法A、對智能密碼鑰匙進行初始化的方法，包括設(shè)置設(shè)備認證密鑰和設(shè)置管理員個人身份識別碼；方法B、所述設(shè)備認證密鑰和管理員個人身份識別碼的使用方法；方法C、所述設(shè)備認證密鑰和管理員個人身份識別碼的修改方法。本發(fā)明的管理方法中，設(shè)備認證密鑰和管理員PIN由服務(wù)端生成，且可以更改，有效的避免了設(shè)備認證密鑰和管理員PIN不安全、易泄露等問題，使得智能密碼鑰匙的使用安全性大大增加。

技術(shù)領(lǐng)域

本發(fā)明屬于信息安全技術(shù)領(lǐng)域，特別涉及一種管理方法、管理系統(tǒng)、計算機設(shè)備和計算機可讀存儲介質(zhì)。

背景技術(shù)

智能密碼鑰匙(USB KEY，也稱為智能秘鑰鑰匙)是一種公鑰基礎(chǔ)設(shè)施(Public KeyInfrastructure,PKI)體系下的終端設(shè)備，為使用者提供身份認證、數(shù)字證書、數(shù)據(jù)保護等服務(wù)，廣泛應(yīng)用于網(wǎng)上銀行、電子簽章等領(lǐng)域。智能密碼鑰匙接口規(guī)范遵循GB/T 35291《信息安全技術(shù)智能密碼鑰匙應(yīng)用接口規(guī)范》。

智能密碼鑰匙通過使用設(shè)備認證密鑰(DevAuthKey)(參見GB/T 35291，設(shè)備認證密鑰是用于設(shè)備認證的密鑰)對調(diào)用智能密碼鑰匙的應(yīng)用程序進行認證。設(shè)備認證密鑰一般為16字節(jié)的SM4密鑰。應(yīng)用程序通過設(shè)備認證密鑰完成設(shè)備認證后，可以對智能密碼鑰匙中的應(yīng)用進行新建、刪除等管理。

智能密碼鑰匙中可以存在多個應(yīng)用[參見GB/T 35291，一個設(shè)備中存在設(shè)備認證密鑰和多個應(yīng)用，應(yīng)用之間相互獨立，應(yīng)用由管理員(Admin)個人身份識別碼(PersonalIdentification Number，PIN)、用戶PIN、文件和容器組成]。其中，容器(參見GB/T 35291，容器是密碼設(shè)備中用于保存密鑰所劃分的唯一性存儲空間)用于存放密鑰數(shù)據(jù)和數(shù)字證書。用戶PIN用于驗證使用者身份以打開容器，調(diào)用相關(guān)接口使用容器內(nèi)密鑰進行密碼運算。在實際的應(yīng)用中，如果用戶PIN和管理員PIN多次重復(fù)輸入錯誤會鎖死，雖然用戶PIN鎖死后可以使用管理員PIN進行解鎖并設(shè)置新的用戶PIN，但若管理員PIN被鎖死，則該應(yīng)用就無法再使用。據(jù)此，考慮到管理員PIN的重要性，需要嚴格對其進行保護和管理。

在現(xiàn)有信息系統(tǒng)中，設(shè)備認證密鑰一般由智能密碼鑰匙的廠商設(shè)置為固定值，用戶PIN理應(yīng)由使用者進行管理，對于管理員PIN，現(xiàn)有的信息系統(tǒng)一般同時也交由使用者管理，或有的信息系統(tǒng)將其統(tǒng)一設(shè)置為固定值，然后由信息系統(tǒng)的系統(tǒng)管理員管理。

以上對設(shè)備認證密鑰和管理員PIN的管理方式的不足之處在于：1、設(shè)備認證密鑰為固定值會導(dǎo)致智能密碼鑰匙內(nèi)的應(yīng)用可被惡意刪除。2、管理管理員PIN不常使用，若交由使用者管理會容易被遺忘，造成智能密碼鑰匙一旦被鎖死后不再可用；3、若管理管理員PIN使用固定值，則不易定期更換，并且一旦泄露會造成所有智能密碼鑰匙的管理員PIN泄露。因此，如何提供一個高效安全的機制來管理所述設(shè)備認證密鑰和管理員PIN，是一個亟待解決的問題。

發(fā)明內(nèi)容

針對上述問題，本發(fā)明提供一種用于管理設(shè)備認證密鑰和管理員PIN的管理方法。

本發(fā)明提供的管理方法，包括下列方法中的一種或幾種：

方法A、對智能密碼鑰匙進行初始化的方法，包括設(shè)置設(shè)備認證密鑰和設(shè)置管理員個人身份識別碼；

方法B、所述設(shè)備認證密鑰和管理員個人身份識別碼的使用方法；

方法C、所述設(shè)備認證密鑰和管理員個人身份識別碼的修改方法，

其中，

所述方法A包括步驟：

AB、客戶端獲取所述智能密碼鑰匙中的設(shè)備信息，取出所述設(shè)備信息中的序列號SN；