申请/专利权人：北京无字天书科技有限公司

申请日：2022-02-15

公开（公告）日：2024-06-07

公开（公告）号：CN114422261B

主分类号：H04L9/40

分类号：H04L9/40

优先权：

专利状态码：有效-授权

法律状态：2024.06.07#授权;2022.05.20#实质审查的生效;2022.04.29#公开

摘要：本发明提供一种用于管理智能密码钥匙的设备认证密钥和管理员PIN的管理方法、管理系统、计算机设备和计算机可读存储介质，所述管理方法包括下列方法中的一种或几种：方法A、对智能密码钥匙进行初始化的方法，包括设置设备认证密钥和设置管理员个人身份识别码；方法B、所述设备认证密钥和管理员个人身份识别码的使用方法；方法C、所述设备认证密钥和管理员个人身份识别码的修改方法。本发明的管理方法中，设备认证密钥和管理员PIN由服务端生成，且可以更改，有效的避免了设备认证密钥和管理员PIN不安全、易泄露等问题，使得智能密码钥匙的使用安全性大大增加。

主权项：1.管理方法，其特征在于，包括下列方法中的一种或几种：方法A、对智能密码钥匙进行初始化的方法，包括设置设备认证密钥和设置管理员个人身份识别码；方法B、所述设备认证密钥和管理员个人身份识别码的使用方法；方法C、所述设备认证密钥和管理员个人身份识别码的修改方法，其中，所述方法A包括步骤：AB、客户端获取所述智能密码钥匙中的设备信息，取出所述设备信息中的序列号SN；AC、服务端随机生成设备标签，并依据所述序列号SN、应用名AppName计算所述设备认证密钥和管理员个人身份识别码，然后发送给所述客户端；AD、所述客户端修改所述智能密码钥匙中的设备标签和设备认证密钥，建立新的应用，所述方法B包括步骤：BB、所述客户端获取所述智能密码钥匙中的设备信息中的序列号SN和设备标签，将所述序列号SN、设备标签和应用名AppName发送给所述服务端；BC、所述服务端计算所述设备认证密钥和管理员个人身份识别码并发送给所述客户端，所述方法C包括步骤：CB、所述客户端获取到当前的设备认证密钥和管理员个人身份识别码；CC、所述客户端向服务端申请计算得到新的设备标签NewLabel、新的设备认证密钥NewDevAuthKey和新的管理员个人身份识别码NewAdminPIN；CD、所述客户端更新所述设备标签、设备认证密钥和管理员个人身份识别码；所述步骤AC中，若所述客户端和服务端之间的连接为可信信道，则执行下列步骤：所述客户端将所述序列号SN、应用名AppName发送给所述服务端；所述服务端生成32字节随机数作为第一设备标签Label1，再将所述第一设备标签Label1和序列号SN进行字节拼接，得到第一数据data1：data1＝Label1||SN，其中，||表示字节的拼接；所述服务端调用服务器密码机，使用所述服务器密码机内的密钥索引为index的SM2密钥，并通过使用导入会话密钥并用内部椭圆曲线加密算法私钥解密接口导入会话密钥，并得到会话密钥句柄；所述服务端调用所述服务器密码机，使用所述会话密钥句柄，并通过使用SM4加密算法加密所述第一数据data1，得到第一密文C1；所述服务端计算C1||ID的第一SM3杂凑值S01＝SM3C1||ID，得到32字节SM3杂凑值S01，其中，ID为信息系统的固定标识字符串或空，所述服务端为所述信息系统的服务器；所述服务端取所述SM3杂凑值S01的前16字节为第一设备认证密钥DevAuthKey1：DevAuthKey1＝S01[0:16]，设构成字符串D的各字节均具有下标为整数，且以各字节的下标由小至大依次标识对应的各字节在字符串D中由前至后的顺序，D[m:n]表示对字符串D取从下标m初始下标至下标n-1的字节，m和n均为整数，且mn，S01中初始下标m为0；所述服务端计算S1＝SM3S01||AppName，以及S2＝Base64S1，得到44字节可打印字符串S2，Base64E表示把二进制数据E使用Base64编码转为44个可打印字符；所述服务端取所述可打印字符串S2的前16字节为第一管理员个人身份识别码AdminPIN1：AdminPIN1＝S2[0:16]；所述服务端将所述第一设备标签Label1、第一设备认证密钥DevAuthKey1、第一管理员个人身份识别码AdminPIN1发送给所述客户端；所述客户端修改第一设备标签Label1和第一设备认证密钥DevAuthKey1，并使用第一管理员PINAdminPIN1和用户输入的用户个人身份识别码建立新的应用；所述步骤AC中，若所述客户端和服务端的连接为非可信信道，则执行下列步骤：所述客户端建立一个新的临时应用，所述临时应用的临时用户个人身份识别码和临时管理员个人身份识别码由所述客户端随机生成；所述客户端使用所述临时应用建立临时容器；所述客户端在所述临时容器内生成椭圆曲线加密算法签名密钥对,并输出椭圆曲线加密算法签名密钥对中的临时签名公钥TempSignPubKey；所述客户端将所述序列号SN、应用名AppName、临时签名公钥TempSignPubKey发送给所述服务端；所述服务端生成32字节随机数作为第二设备标签Label2，将所述第二设备标签Label2和序列号SN进行字节拼接，得到第二数据data2：data2＝Label2||SN；所述服务端调用服务器密码机，使用所述服务器密码机内的密钥索引为index的SM2密钥，并通过使用导入会话密钥并用内部椭圆曲线加密算法私钥解密接口导入会话密钥，并得到会话密钥句柄；所述服务端调用所述服务器密码机，使用所述会话密钥句柄，并通过使用SM4加密算法加密所述第二数据data2，得到第二密文C2；所述服务端计算C2||ID的第二SM3杂凑值S02＝SM3C2||ID，得到32字节的所述第二SM3杂凑值S02，其中，ID为信息系统的固定标识字符串或空；所述服务端取所述第二SM3杂凑值S02的前16字节为第二设备认证密钥DevAuthKey2：DevAuthKey2＝S02[0:16]；所述服务端计算S11＝SM3S02||AppName，以及S21＝Base64S11，得到44字节可打印字符串S21；所述服务端取所述可打印字符串S21的前16字节为第二管理员个人身份识别码：AdminPIN2＝S21[0:16]；所述服务端生成临时会话密钥TempSessionKey，并使用所述临时会话密钥TempSessionKey和SM4算法加密组合数据Label2||DevAuthKey2||AdminPIN2得到加密数据EncryptedData：EncryptedData＝SM4TempSessionKey，Label2||DevAuthKey2||AdminPIN2，其中，SM4K，D1表示使用密钥K，对数据D1使用SM4加密算法加密得到的密文；所述服务端生成SM2加密密钥对TempEncPrivateKey，TempEncPubKey，使用其中的加密密钥TempEncPubKey加密所述临时会话密钥TempSessionKey得到数字信封EnvelopedSessionKey：EnvelopedSessionKey＝SM2TempEncPubKey，TempSessionKey，其中，SM2PubKey，D2表示使用SM2公钥PubKey，对数据D2使用SM2加密算法加密得到的密文；所述服务端使用所述客户端的临时签名公钥TempSignPubKey对所述加密密钥TempEncPrivateKey加密并组成椭圆曲线加密密钥对保护结构EnvelopedKeyBlob；所述服务端将所述椭圆曲线加密密钥对保护结构EnvelopedKeyBlob、数字信封EnvelopedSessionKey、加密数据EncryptedData发送给所述客户端；所述客户端使用导入椭圆曲线加密密钥对接口将所述椭圆曲线加密密钥对保护结构EnvelopedKeyBlob导入所述临时容器中；所述客户端使用导入会话密钥接口将所述数字信封EnvelopedSessionKey导入到所述临时容器中，并得到会话密钥句柄；所述客户端使用所述会话密钥句柄和单组数据解密接口解密所述加密数据EncryptedData得到组合数据Label2||DevAuthKey2||AdminPIN2，并根据数据长度分别截取得到所述第二设备标签Label2、第二设备认证密钥DevAuthKey2和第二管理员个人身份识别码AdminPIN2；所述步骤BC包括：所述服务端调用服务器密码机，使用密钥索引为index的SM2密钥，导入会话密钥，并用内部椭圆曲线加密私钥解密接口导入所述会话密钥中的SM2加密密文KeyCipher并得到会话密钥句柄；所述服务端调用所述服务器密码机，使用所述会话密钥句柄和SM4加密算法，加密Label||SN，得到密文C；所述服务端计算C||ID的第三SM3杂凑值S03＝SM3C||ID，得到32字节第三SM3杂凑值S03；所述服务端取所述第三SM3杂凑值S03的前16字节为第三设备认证密钥DevAuthKey3：DevAuthKey3＝S03[0:16]；所述服务端计算SS1＝SM3S03||AppName，以及SS2＝Base64SS1，得到44字节可打印字符串SS2；所述服务端取所述可打印字符串SS2的前16字节为第三管理员个人身份识别码AdminPIN3：AdminPIN3＝SS2[0:16]；所述服务端将第三设备认证密钥DevAuthKey3和第三管理员个人身份识别码AdminPIN3发送给客户端；所述步骤CB同所述步骤BB至步骤BC，所述客户端获取到当前的设备认证密钥：第四设备认证密钥DevAuthKey4和当前的第四管理员个人身份识别码：第四管理员PINAdminPIN4；所述步骤CC同所述步骤AC，由所述客户端向服务端申请计算得到新的设备标签NewLabel、新的设备认证密钥NewDevAuthKey和新的管理员个人身份识别码NewAdminPIN；所述步骤CD包括：所述客户端使用所述第四设备认证密钥DevAuthKey4进行设备认证，认证成功后，客户端使用修改设备认证密钥接口将所述第四设备认证密钥DevAuthKey4修改为所述新的设备认证密钥NewDevAuthKey；所述客户端使用修改个人身份识别码接口将所述第四管理员个人身份识别码AdminPIN4修改为新的管理员个人身份识别码NewAdminPIN；所述客户端使用设置设备标签接口将所述新的设备标签NewLabel写入所述智能密钥钥匙的设备标签字符串中。

全文数据：

权利要求：

百度查询： 北京无字天书科技有限公司 管理方法、管理系统、计算机设备和计算机可读存储介质

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD