一种远程解锁方法、装置和系统与流程

本发明涉及信息加密技术领域，尤其涉及一种远程解锁方法、装置和系统。

背景技术：

目前，当类似USBKey的安全设备被锁死时，一般采取柜面解锁和远程解锁两种方式来解锁该安全设备。

柜面解锁是当前主流的安全设备解锁方式，需要携带安全设备至发行方的柜面提交解锁申请，经发行方审核通过后，对安全设备初始化，并重新下载证书，实现安全设备的解锁。然而，虽然柜面解锁的安全性高，但由于解锁权限集中在发行方的柜面，用户需要到柜面才能解锁，解锁过程不方便。

远程解锁是现在安全设备解锁方式的主要发展方向，其可以让用户远程解锁安全设备，无需用户携带安全设备到柜面解锁，为解锁提供了便利。现有远程解锁方法一般采用对称算法对安全服务器与安全设备之间交互的解锁信息进行加密，成功验证解锁信息后安全设备即可使用解锁信息解锁。然而由于解锁信息在远程通信的过程中往往容易被不法分子截获，从而为安全设备带来极大的安全隐患。

因此，寻找一种安全性高的远程解锁方法成为本领域技术人员亟需解决的问题。

技术实现要素：

本发明实施例提供了一种远程解锁方法、装置和系统，能够大大降低解密信息被不法分子截获的可能性，提高远程解锁的安全性。

本发明实施例提供的一种远程解锁方法，包括：

在安全设备被锁状态下，当前用户的身份验证通过后，获取所述安全设备的验证信息；

将所述验证信息发送至安全服务器；

获取服务器签名，所述服务器签名是由所述安全服务器使用服务器私钥对所述验证信息进行签名得到，所述服务器私钥与预先写入所述安全设备的服务器公钥为一对非对称密钥；

将所述服务器签名和本地的解锁信息发送至所述安全设备，使得所述安全设备使用所述服务器公钥对所述服务器签名进行签名验证，若签名验证成功并且所述验证信息一致，则所述安全设备使用所述解锁信息解锁。

可选地，将所述服务器签名和本地的解锁信息发送至所述安全设备之前，还包括：

获取输入的新用户密码；

读取所述安全设备的设备公钥，并使用所述设备公钥加密所述新用户密码，得到所述解锁信息，所述设备公钥与设备私钥配对并且被预先写入至所述安全设备；

所述安全设备使用所述解锁信息解锁具体包括：

所述安全设备使用所述设备私钥对所述解锁信息解密，得到所述新用户密码；

所述安全设备将其用户密码修改为所述新用户密码，完成解锁。

可选地，使用所述设备公钥加密所述新用户密码，得到所述解密信息具体包括：

获取输入的用户初始密码；

采用所述用户初始密码加密所述新用户密码得到用户密码密文；

根据所述用户初始密码对所述用户密码密文进行MAC算法计算，得到MAC信息；

使用所述设备公钥加密所述用户密码密文和所述MAC信息，得到所述解密信息；

所述安全设备使用所述设备私钥对所述解锁信息解密，得到所述新用户密码具体包括：

所述安全设备使用所述设备私钥对所述解锁信息解密，得到用户密码密文和MAC信息；

所述安全设备使用默认的用户初始密码对解密得到的用户密码密文进行MAC算法计算，得到新的MAC信息；

若所述新的MAC信息与解密得到的MAC信息一致，则所述安全设备采用默认的用户初始密码解密所述用户密码密文，得到所述新用户密码。

可选地，将所述服务器签名和本地的解锁信息发送至所述安全设备之前，还包括：

获取输入的新用户密码；

读取所述安全设备的设备公钥，并使用所述设备公钥加密所述新用户密码，得到所述解锁信息，所述设备公钥与设备私钥配对并且被预先写入至所述安全设备；

使用所述设备公钥加密所述新用户密码，得到所述解密信息具体包括：

获取输入的用户初始密码；

采用预设的运算因子分别对所述用户初始密码和所述新用户密码进行密码转换运算，对应得到转换后的默认用户密钥和新用户密钥；

根据预设的密码修改流程规则对所述默认用户密钥和新用户密钥进行处理，生成密码修改指令；

使用所述设备公钥加密所述密码修改指令，得到所述解密信息；

所述安全设备使用所述解锁信息解锁具体包括：

所述安全设备将其用户密码重置为默认的用户初始密码；

所述安全设备使用所述设备私钥对所述解锁信息解密，得到密码修改指令；

所述安全设备根据所述密码修改指令将重置后的用户密码修改为所述新用户密码。

可选地，所述验证信息包括序列号，所述服务器签名是在所述安全服务器对所述序列号验证通过后由所述安全服务器使用服务器私钥对所述验证信息进行签名得到。

可选地，在获取所述安全设备的验证信息之前，还包括：

所述安全设备生成一随机数作为所述验证信息或者作为所述验证信息的一部分。

本发明实施例提供的一种远程解锁装置，包括：

获取模块，用于在安全设备被锁状态下，当前用户的身份验证通过后，获取所述安全设备的验证信息；

发送模块，用于将所述验证信息发送至安全服务器；

服务器签名获取模块，用于获取服务器签名，所述服务器签名是由所述安全服务器使用服务器私钥对所述验证信息进行签名得到，所述服务器私钥与预先写入所述安全设备的服务器公钥为一对非对称密钥；

解锁信息发送模块，用于将所述服务器签名和本地的解锁信息发送至所述安全设备，使得所述安全设备使用所述服务器公钥对所述服务器签名进行签名验证，若签名验证成功并且所述验证信息一致，则所述安全设备使用所述解锁信息解锁。

可选地，所述远程解锁装置还包括：

新用户密码获取模块，用于获取输入的新用户密码；

新密码加密模块，用于读取所述安全设备的设备公钥，并使用所述设备公钥加密所述新用户密码，得到所述解锁信息，所述设备公钥与设备私钥配对并且被预先写入至所述安全设备；

所述解锁信息发送模块具体用于若签名验证成功并且所述验证信息一致，使得所述安全设备使用所述设备私钥对所述解锁信息解密，得到所述新用户密码，所述安全设备将其用户密码修改为所述新用户密码，完成解锁。

可选地，所述新密码加密模块包括：

初始密码获取单元，用于获取输入的用户初始密码；

密码密文单元，用于采用所述用户初始密码加密所述新用户密码得到用户密码密文；

MAC计算单元，用于根据所述用户初始密码对所述用户密码密文进行MAC算法计算，得到MAC信息；

解密信息单元，用于使用所述设备公钥加密所述用户密码密文和所述MAC信息，得到所述解密信息；

所述解锁信息发送模块用于使得所述安全设备使用所述设备私钥对所述解锁信息解密，得到用户密码密文和MAC信息，然后使用默认的用户初始密码对解密得到的用户密码密文进行MAC算法计算，得到新的MAC信息，若所述新的MAC信息与解密得到的MAC信息一致，则所述安全设备采用默认的用户初始密码解密所述用户密码密文，得到所述新用户密码。

可选地，所述远程解锁装置还包括：

新用户密码获取模块，用于获取输入的新用户密码；

新密码加密模块，用于读取所述安全设备的设备公钥，并使用所述设备公钥加密所述新用户密码，得到所述解锁信息，所述设备公钥与设备私钥配对并且被预先写入至所述安全设备；

所述新密码加密模块包括：

用户初始密码单元，用于获取输入的用户初始密码；

密码转换运算单元，用于采用预设的运算因子分别对所述用户初始密码和所述新用户密码进行密码转换运算，对应得到转换后的默认用户密钥和新用户密钥；

修改指令生成单元，用于根据预设的密码修改流程规则对所述默认用户密钥和新用户密钥进行处理，生成密码修改指令；

指令加密单元，用于使用所述设备公钥加密所述密码修改指令，得到所述解密信息；

所述解锁信息发送模块用于使得所述安全设备将其用户密码重置为默认的用户初始密码，使用所述设备私钥对所述解锁信息解密，得到密码修改指令，然后根据所述密码修改指令将重置后的用户密码修改为所述新用户密码。

本发明实施例提供的一种远程解锁系统，包括安全服务器、安全设备以及上述的远程解锁装置；

所述安全服务器用于接收来自所述远程解锁装置的所述验证信息，使用服务器私钥对所述验证信息进行签名，得到所述服务器签名；

所述安全设备用于接收来自所述远程解锁装置的所述服务器签名和本地的解锁信息，使用所述服务器公钥对所述服务器签名进行签名验证，若签名验证成功并且所述验证信息一致，则使用所述解锁信息解锁。

本发明实施例提供的一种安全设备，包括：

签名信息获取模块，用于接收来自远程解锁装置的服务器签名和本地的解锁信息，所述服务器签名是由安全服务器使用服务器私钥对验证信息进行签名得到，所述服务器私钥与预先写入所述安全设备的服务器公钥为一对非对称密钥，所述验证信息是由所述远程解锁装置在所述安全设备被锁状态下，当前用户的身份验证通过后，获取所述安全设备的验证信息并发送至所述安全服务器；

签名验证模块，用于使用所述服务器公钥对所述服务器签名进行签名验证；

解锁模块，用于若所述签名验证模块的验证结果为签名验证成功并且所述验证信息一致，则使用所述解锁信息解锁。

从以上技术方案可以看出，本发明实施例具有以下优点：

本发明实施例中，在安全设备被锁状态下，当前用户的身份验证通过后，获取所述安全设备的验证信息；将所述验证信息发送至安全服务器；然后，获取服务器签名，所述服务器签名是由所述安全服务器使用服务器私钥对所述验证信息进行签名得到，所述服务器私钥与预先写入所述安全设备的服务器公钥为一对非对称密钥；最后，将所述服务器签名和本地的解锁信息发送至所述安全设备，使得所述安全设备使用所述服务器公钥对所述服务器签名进行签名验证，若签名验证成功并且所述验证信息一致，则所述安全设备使用所述解锁信息解锁。在本发明实施例中，采用非对称密钥对服务器签名进行加密，提高了服务器签名的安全性；并且，解锁信息不需要出现在安全服务器与安全设备之间的通信中，可以只出现在安全设备本地，大大降低了被不法分子截获的可能性，减少了安全隐患。

附图说明

图1为本发明实施例中一种远程解锁方法一个实施例流程图；

图2为本发明实施例中一种远程解锁方法在一个应用场景下的数据交互示意图；

图3为本发明实施例中一种远程解锁装置一个实施例结构图。

具体实施方式

本发明实施例提供了一种远程解锁方法、装置和系统，用于解决现有远程解锁过程中解锁信息容易被不法分子截获的问题。

为使得本发明的发明目的、特征、优点能够更加的明显和易懂，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，下面所描述的实施例仅仅是本发明一部分实施例，而非全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。

请参阅图1，本发明实施例中一种远程解锁方法一个实施例包括：

101、在安全设备被锁状态下，当前用户的身份验证通过后，获取所述安全设备的验证信息；

本实施例中，在在安全设备被锁状态下，当前用户的身份验证通过后，获取所述安全设备的验证信息。

本实施例中所说的安全设备可以是安全芯片，例如智能卡、USBKey等。该安全设备在出厂前便预先写入一个服务器公钥和一对设备公私钥，在安全设备出厂后，服务器公钥不能读取、不能更新且不能删除，设备公私钥不能更新和不能删除，设备公钥可以读取，设备私钥不能读取。

本实施例中，在获取所述安全设备的验证信息之前，还可以包括：所述安全设备生成一随机数作为所述验证信息或者作为所述验证信息的一部分，使用即时生成的随机数作为验证信息，可以避免不法分子提前获取验证信息，提高验证信息的安全性。

进一步地，为了提高远程解锁的安全性，可以对当前操作的用户进行身份验证，在获取所述安全设备的验证信息之前，还可以包括：

验证当前用户的身份，若验证成功，则执行获取所述安全设备的验证信息的步骤；

其中，验证当前用户的身份可以通过预留信息对当前用户进行验证，例如：

对当前用户进行指纹识别验证；或者，对当前用户进行人脸识别验证；或者，

对当前用户进行绑定手机验证。

进一步地，所述验证信息可以包括序列号，所述服务器签名是在所述安全服务器对所述序列号验证通过后由所述安全服务器使用服务器私钥对所述验证信息进行签名得到。上述的序列号可以是指安全设备的设备序列号，也即SN码。

102、将所述验证信息发送至安全服务器；

在获取所述安全设备的验证信息之后，可以将所述验证信息发送至安全服务器。该安全服务器为用于解锁授权的服务器设备，其一般由安全设备的发行方进行管理，本实施例中，该安全服务器可以设置在远端，通过网络通信可以与该安全服务器进行连接。

进一步地，在将所述验证信息和序列号发送至安全服务器之前，可以先向安全服务器发起解锁请求，安全服务器接收到解锁请求之后可以要求进行用户身份验证，具体用户身份验证方法可以与上述步骤101中的当前用户的身份验证方法类似。当用户身份验证通过之后，安全服务器可以开启用户解锁权限，可以初始化解锁授权次数和/或解锁有效时间。上述解锁授权次数是指在本实施例中进行远程解锁时的最大有效解锁次数，比如若解锁授权次数为3，则可以尝试进行3次远程解锁，若3次尝试后仍未解锁成功，则安全服务器不再接受对于该安全设备的解锁请求。上述解锁有效时间是指在本实施例中进行远程解锁时的最长有效时间，比如若解锁有效时间为3分钟，则可以在3分钟内尝试进行远程解锁，若3分钟已过，则安全服务器不再接受与该安全设备解锁有关的请求或者信息。

103、获取服务器签名；

在将所述验证信息和序列号发送至安全服务器之后，可以获取服务器签名，所述服务器签名是由所述安全服务器使用服务器私钥对所述验证信息进行签名得到，所述服务器私钥与预先写入所述安全设备的服务器公钥为一对非对称密钥。

本实施例中，所述服务器私钥和所述服务器公钥为一对非对称密钥，每个安全设备在出厂前被预先写入所述服务器公钥，而服务器私钥则保存在安全服务器中。当安全服务器需要对所述验证信息和所述序列号进行签名时，可以根据该安全设备的序列号查找到与该安全设备对应的服务器私钥。可以理解的是，采用非对称密钥加密的信息破解难度比对称密钥加密的信息大，安全性更高，即便服务器签名被不法分子截获，在不法分子未获取到安全设备上的服务器公钥的情况下，服务器签名无法被破解，提高了验证信息和序列号的安全程度。

104、将所述服务器签名和本地的解锁信息发送至所述安全设备，使得所述安全设备使用所述服务器公钥对所述服务器签名进行签名验证，若签名验证成功并且所述验证信息一致，则所述安全设备使用所述解锁信息解锁。

在获取服务器签名之后，可以将所述服务器签名和本地的解锁信息发送至所述安全设备，使得所述安全设备使用所述服务器公钥对所述服务器签名进行签名验证，若签名验证成功并且所述验证信息一致，则所述安全设备使用所述解锁信息解锁。

进一步地，将所述服务器签名和本地的解锁信息发送至所述安全设备之前，还可以包括：获取输入的新用户密码；读取所述安全设备的设备公钥，并使用所述设备公钥加密所述新用户密码，得到所述解锁信息，所述设备公钥与设备私钥配对并且被预先写入至所述安全设备。

相应地，所述安全设备使用所述解锁信息解锁具体可以包括：所述安全设备使用所述设备私钥对所述解锁信息解密，得到所述新用户密码；所述安全设备将其用户密码修改为所述新用户密码，完成解锁。

更进一步地，使用所述设备公钥加密所述新用户密码，得到所述解密信息具体可以包括：

获取输入的用户初始密码；

采用所述用户初始密码加密所述新用户密码得到用户密码密文；

根据所述用户初始密码对所述用户密码密文进行MAC算法计算，得到MAC信息；

使用所述设备公钥加密所述用户密码密文和所述MAC信息，得到所述解密信息。

相应地，所述安全设备使用所述设备私钥对所述解锁信息解密，得到所述新用户密码具体可以包括：

所述安全设备使用所述设备私钥对所述解锁信息解密，得到用户密码密文和MAC信息；

所述安全设备使用默认的用户初始密码对解密得到的用户密码密文进行MAC算法计算，得到新的MAC信息；

若所述新的MAC信息与解密得到的MAC信息一致，则所述安全设备采用默认的用户初始密码解密所述用户密码密文，得到所述新用户密码。

可以理解的是，现有技术在解锁安全设备时，大多直接将安全设备的用户密码恢复为默认的用户初始密码，若该默认的用户初始密码提前被不法分子得知，则会给解锁后的安全设备带来安全隐患。因此本实施例进一步地在解锁安全设备的同时，将安全设备的用户密码修改为新用户密码，进一步提高安全设备的安全性。

上述的MAC算法是指Message Authentication Codes，即带秘密密钥的Hash函数，其消息的散列值由只有通信双方知道的秘密密钥K来控制。

进一步地，如上所述，可以获取输入的用户初始密码，然后使用该输入的用户初始密码对新用户密码进行加密和MAC计算，提高新用户密码的安全性。该用户初始密码可以由用户输入，其应当与该安全设备的默认的用户初始密码一致，否则将导致安全设备对解密信息验证失败。当安全设备收到解锁信息时，先使用设备私钥解密该解锁信息得到用户密码密文和MAC信息，然后再使用默认的用户初始密码对解密得到的用户密码密文进行MAC算法计算，得到新的MAC信息，在对比新的MAC信息和解密得到的MAC信息是否一致，若是，则采用默认的用户初始密码解密所述用户密码密文，得到所述新用户密码，若否，则说明该用户密码密文不合法，安全设备返回解锁失败信息。

更进一步地，将所述服务器签名和本地的解锁信息发送至所述安全设备之前，该远程解锁方法还可以包括：

获取输入的新用户密码；

读取所述安全设备的设备公钥，并使用所述设备公钥加密所述新用户密码，得到所述解锁信息，所述设备公钥与设备私钥配对并且被预先写入至所述安全设备；

上述的“使用所述设备公钥加密所述新用户密码，得到所述解密信息”具体可以包括：

获取输入的用户初始密码；

采用预设的运算因子分别对所述用户初始密码和所述新用户密码进行密码转换运算，对应得到转换后的默认用户密钥和新用户密钥；

根据预设的密码修改流程规则对所述默认用户密钥和新用户密钥进行处理，生成密码修改指令；

使用所述设备公钥加密所述密码修改指令，得到所述解密信息；

其中，所述安全设备使用所述解锁信息解锁具体可以包括：

所述安全设备将其用户密码重置为默认的用户初始密码；

所述安全设备使用所述设备私钥对所述解锁信息解密，得到密码修改指令；

所述安全设备根据所述密码修改指令将重置后的用户密码修改为所述新用户密码。

可以理解的是，本实施例所述的预设的运算因子是指在客户端和安全设备内均预设的相同的运算因子，可以是某一固定或按照相同的规律变化的数值。本实施例所述的预设的密码修改流程规则为预先设置在安全设备内的修改密码的流程规则，如简单的将默认用户密钥和新用户密钥进行组合，生成密码修改指令，本实施例对具体的流程规则形式不做限定。

可以理解的是，通过密码修改指令使得安全设备将用户密码修改为新用户密码，简化了修改密码的操作流程，既安全又高效。

本实施例中，在安全设备被锁状态下，当前用户的身份验证通过后，获取所述安全设备的验证信息；将所述验证信息发送至安全服务器；然后，获取服务器签名，所述服务器签名是由所述安全服务器使用服务器私钥对所述验证信息进行签名得到，所述服务器私钥与预先写入所述安全设备的服务器公钥为一对非对称密钥；最后，将所述服务器签名和本地的解锁信息发送至所述安全设备，使得所述安全设备使用所述服务器公钥对所述服务器签名进行签名验证，若签名验证成功并且所述验证信息一致，则所述安全设备使用所述解锁信息解锁。在本实施例中，采用非对称密钥对服务器签名进行加密，提高了服务器签名的安全性；并且，解锁信息不需要出现在安全服务器与安全设备之间的通信中，可以只出现在安全设备本地，大大降低了被不法分子截获的可能性，减少了安全隐患。

为便于理解，根据图1所描述的实施例，下面以一个实际应用场景对本发明实施例中的一种远程解锁方法进行描述：

图2示出了本发明实施例中一种远程解锁方法在一个应用场景下的数据交互示意图。

本应用场景中，安全设备被锁，用户通过客户端与安全设备本地连接，并通过客户端与远端的服务器进行通信，实现远程解锁。上述客户端可以是个人电脑、智能手机、平板电脑等智能设备，客户端上可以安装有能读写安全设备内部数据的程序。

1、客户端向服务器发起解锁请求；

2、服务器要求客户端对用户进行身份验证，并返回解锁请求响应；

3、客户端回传身份验证信息至服务器；

4、服务器验证通过，则向客户端请求用户信息；

5、客户端请求读取安全设备生成的随机数、安全设备的序列号和设备公钥；

6、安全设备向客户端返回所述随机数、序列号和设备公钥；

7、客户端将所述随机数和序列号发送至服务器；

8、服务器验证序列号通过后，使用服务器私钥对随机数和序列号进行签名，并返回服务器签名至客户端；

9、客户端请求用户输入初始密码和新密码，加密得到用户密码密文，并采用设备公钥对该用户密码密文加密得到解锁信息，把所述服务器签名和所述解锁信息传给安全设备；

10、安全设备验证服务器签名和解锁信息，验证通过后，使用解锁该解锁信息得到的新用户密码修改自身的用户密码，向客户端返回解锁完成信息；

11、客户端接收到解锁完成信息之后，返回解锁请求完成信息至服务器。

上面主要描述了一种远程解锁方法，下面将对一种远程解锁装置进行详细描述。

图3示出了本发明实施例中一种远程解锁装置一个实施例结构图。

本实施例中，一种远程解锁装置包括：

获取模块301，用于在安全设备被锁状态下，当前用户的身份验证通过后，获取所述安全设备的验证信息；

发送模块302，用于将所述验证信息发送至安全服务器；

服务器签名获取模块303，用于获取服务器签名，所述服务器签名是由所述安全服务器使用服务器私钥对所述验证信息进行签名得到，所述服务器私钥与预先写入所述安全设备的服务器公钥为一对非对称密钥；

解锁信息发送模块304，用于将所述服务器签名和本地的解锁信息发送至所述安全设备，使得所述安全设备使用所述服务器公钥对所述服务器签名进行签名验证，若签名验证成功并且所述验证信息一致，则所述安全设备使用所述解锁信息解锁。

进一步地，所述远程解锁装置还可以包括：

新用户密码获取模块，用于获取输入的新用户密码；

新密码加密模块，用于读取所述安全设备的设备公钥，并使用所述设备公钥加密所述新用户密码，得到所述解锁信息，所述设备公钥与设备私钥配对并且被预先写入至所述安全设备；

所述解锁信息发送模块具体用于若签名验证成功并且所述验证信息一致，使得所述安全设备使用所述设备私钥对所述解锁信息解密，得到所述新用户密码，所述安全设备将其用户密码修改为所述新用户密码，完成解锁。

进一步地，所述新密码加密模块可以包括：

初始密码获取单元，用于获取输入的用户初始密码；

密码密文单元，用于采用所述用户初始密码加密所述新用户密码得到用户密码密文；

MAC计算单元，用于根据所述用户初始密码对所述用户密码密文进行MAC算法计算，得到MAC信息；

解密信息单元，用于使用所述设备公钥加密所述用户密码密文和所述MAC信息，得到所述解密信息；

所述解锁信息发送模块用于使得所述安全设备使用所述设备私钥对所述解锁信息解密，得到用户密码密文和MAC信息，然后使用默认的用户初始密码对解密得到的用户密码密文进行MAC算法计算，得到新的MAC信息，若所述新的MAC信息与解密得到的MAC信息一致，则所述安全设备采用默认的用户初始密码解密所述用户密码密文，得到所述新用户密码。

进一步地，所述远程解锁装置还可以包括：

新用户密码获取模块，用于获取输入的新用户密码；

新密码加密模块，用于读取所述安全设备的设备公钥，并使用所述设备公钥加密所述新用户密码，得到所述解锁信息，所述设备公钥与设备私钥配对并且被预先写入至所述安全设备；

所述新密码加密模块可以包括：

用户初始密码单元，用于获取输入的用户初始密码；

密码转换运算单元，用于采用预设的运算因子分别对所述用户初始密码和所述新用户密码进行密码转换运算，对应得到转换后的默认用户密钥和新用户密钥；

修改指令生成单元，用于根据预设的密码修改流程规则对所述默认用户密钥和新用户密钥进行处理，生成密码修改指令；

指令加密单元，用于使用所述设备公钥加密所述密码修改指令，得到所述解密信息；

所述解锁信息发送模块用于使得所述安全设备将其用户密码重置为默认的用户初始密码，使用所述设备私钥对所述解锁信息解密，得到密码修改指令，然后根据所述密码修改指令将重置后的用户密码修改为所述新用户密码。

进一步地，所述远程解锁装置还可以包括：

用户身份验证模块，用于验证当前用户的身份，若验证成功，则触发所述获取模块；

所述用户身份验证模块具体包括以下单元中的至少一个：

指纹识别单元，用于对当前用户进行指纹识别验证；

人脸识别单元，用于对当前用户进行人脸识别验证；

手机验证单元，用于对当前用户进行绑定手机验证。

在本发明实施例中，还公开了一种远程解锁系统，其包括安全服务器、安全设备以及如上图3对应实施例所述的任意一种远程解锁装置；

所述安全服务器用于接收来自所述远程解锁装置的所述验证信息，使用服务器私钥对所述验证信息进行签名，得到所述服务器签名；

所述安全设备用于接收来自所述远程解锁装置的所述服务器签名和本地的解锁信息，使用所述服务器公钥对所述服务器签名进行签名验证，若签名验证成功并且所述验证信息一致，则使用所述解锁信息解锁。

在本发明实施例中，还公开了一种安全设备，其包括签名信息获取模块、签名验证模块和解锁模块。

签名信息获取模块，用于接收来自远程解锁装置的服务器签名和本地的解锁信息，所述服务器签名是由安全服务器使用服务器私钥对验证信息进行签名得到，所述服务器私钥与预先写入所述安全设备的服务器公钥为一对非对称密钥，所述验证信息是由所述远程解锁装置在所述安全设备被锁状态下，当前用户的身份验证通过后，获取所述安全设备的验证信息并发送至所述安全服务器；

签名验证模块，用于使用所述服务器公钥对所述服务器签名进行签名验证；

解锁模块，用于若所述签名验证模块的验证结果为签名验证成功并且所述验证信息一致，则使用所述解锁信息解锁。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统，装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统，装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。