信息安全设备及其管理方法、管理装置和管理系统的制作方法

信息安全设备及其管理方法、管理装置和管理系统的制作方法
【技术领域】
[0001]本发明属于信息安全技术领域，具体涉及一种信息安全设备管理方法和信息安全设备管理装置、信息安全设备及信息安全设备管理系统。
【背景技术】
[0002]随着信息技术的发展和网络交易的兴起，当前的日常生活中，很多人都拥有多个信息安全设备，比如具有支付功能的智能卡(IC卡)、动态口令卡、动态令牌、USBKEY、银行卡或具有认证功能的门禁卡、电子钥匙等等。通常情况下，为保证资金的安全，隶属于同一用户的多个信息安全设备相互独立，互相之间并无关联，用户的资金也不能在多个信息安全设备之间进行便捷地流通，在办理金融业务时用户常常不得不在多个信息安全设备的发行机构之间往返奔波，费时耗力。
[0003]当某一个信息安全设备的应用程序有了新版本时，为了能获得尽可能更新、更安全或更方便的使用体验，与该信息安全设备配套使用的其他设备通常也需要分别做相应的更新以支持信息安全设备新程序的顺利应用，从而造成连锁的更新需求;而一旦更新后的设备使用异常，目前最常用的解决方式是只能更换旧版本，却不能回退到原有版本。
[0004]更为严重的是，在信息安全设备丢失后，用户需要申请新的信息安全设备使丢失的旧信息安全设备失效，从而避免丢失的旧信息安全设备被盗刷带来的风险，这对人们的日常生活带来极大的不便。
[0005]可见，设计一种能方便地实现同一持有人名下的多个信息安全设备管理，实现将个人资金整合在一起的具备安全性、便捷性的信息安全设备管理方式成为目前亟待解决的技术问题。

【发明内容】

[0006]本发明所要解决的技术问题是针对现有技术中存在的上述不足，提供一种信息安全设备管理方法和信息安全设备管理装置、信息安全设备及信息安全设备管理系统，该信息安全设备管理方法在脱离信息安全设备的服务后台的情况下，实现了将个人资金整合在一起的具备安全性、便捷性的信息安全设备管理方式。
[0007]解决本发明技术问题所采用的技术方案是该信息安全设备管理方法，用于对多个信息安全设备进行信息共享管理，脱离所述信息安全设备的服务后台，在认证所述信息安全设备隶属于同一持有人时，对与信息安全设备管理装置建立连接的所述信息安全设备进行信息共享操作;其中，共享操作包括以下按序步骤中的至少一个步骤:
[0008]查询至少一个所述信息安全设备的安全信息；
[0009]同步至少两个所述信息安全设备之间的应用或数据；
[0010]以及为具有同一应用的至少两个所述信息安全设备分配应用权限以及配置所述信息安全设备之间的应用权限转移。
[0011]优选的是，所述信息安全设备管理装置与所述信息安全设备建立连接的方式包括无线通信方式或直连通信方式，所述信息安全设备管理装置与多个所述信息安全设备建立连接的方式相同或不相同。
[0012]优选的是，查询至少一个所述信息安全设备的安全信息的步骤包括:
[0013]所述信息安全设备管理装置搜索所述信息安全设备，并与所述信息安全设备建立成功连接；
[0014]用户通过所述信息安全设备管理装置向所述信息安全设备发送查询设备状态请求；
[0015]所述信息安全设备接收到查询设备状态请求，向所述信息安全设备管理装置返回当前已安装应用的应用信息及应用内的记录的数据；
[0016]所述信息安全设备管理装置接收并显示所述信息安全设备的应用信息及数据。
[0017]优选的是，所述信息安全设备管理装置对与其连接的至少两个所述信息安全设备的安全信息的查询还进一步包括，比较至少两个所述信息安全设备的应用信息及数据的异同，并显示至少两个所述信息安全设备的应用版本、数据时间先后以及数据大小。
[0018]优选的是，在查询两个所述信息安全设备的安全信息的步骤的基础上，同步两个所述信息安全设备之间的应用或数据的步骤包括:
[0019]用户通过所述信息安全设备管理装置选择待同步内容；
[0020]所述信息安全设备管理装置根据用户选择的同步内容，向已安装应用并激活应用的第一信息安全设备发送同步请求；
[0021]所述第一信息安全设备接收同步请求，将待同步的应用和/或数据加密形成密文，并将密文复制并发送至所述信息安全设备管理装置:
[0022]所述信息安全设备管理装置接收密文，当确认已接收完所有待同步的应用和/或数据形成的密文后，对接收到的密文进行完整性校验；
[0023]所述信息安全设备管理装置对密文完整性校验成功，将待同步的应用和/或数据形成的密文逐条发送至所述第二信息安全设备，所述第二信息安全设备对密文进行处理；同时，所述信息安全设备管理装置等待所述第二信息安全设备的数据处理结果；
[0024]所述第二信息安全设备接收完所有应用和/或数据形成的密文，并解密应用和/或数据，并向所述信息安全设备管理装置发送同步处理结果；
[0025]所述信息安全设备管理装置接收到所述第二信息安全设备发送的同步处理结果，提示用户同步结束。
[0026]优选的是，在将待同步的应用和/或数据形成的密文逐条发送至所述第二信息安全设备之前，还包括对两个所述信息安全设备之间的认证的步骤，具体包括:
[0027]所述信息安全设备管理装置向所述第一信息安全设备发送设备间认证开始信息；
[0028]所述第一信息安全设备生成设备间认证初始指令，并将设备间认证初始指令返回所述信息安全设备管理装置；
[0029]所述信息安全设备管理装置将设备间认证初始指令发送至所述第二信息安全设备;
[0030]所述第二信息安全设备接收并执行设备间认证初始指令，并向所述信息安全设备管理装置返回认证反馈数据；
[0031]所述信息安全设备管理装置接收认证反馈数据并将其发送至所述第一信息安全设备；
[0032]所述第一信息安全设备接收认证反馈数据并根据认证反馈数据生成认证指令，并将认证指令返回所述信息安全设备管理装置；
[0033]所述信息安全设备管理装置接收认证指令并将其发送至所述第二信息安全设备；
[0034]所述第二信息安全设备接收认证指令并根据所述认证指令进行认证，确定设备间认证成功后向所述信息安全设备管理装置返回确认认证成功信息；
[0035]所述信息安全设备管理装置接收确认认证成功信息。
[0036]优选的是，根据用户选择的待同步内容，所述第一信息安全设备采用不同的方式将待同步的应用和/或数据形成密文，并将密文复制并发送至所述信息安全设备管理装置，其中:
[0037]若选择的待同步内容为应用，则所述第一信息安全设备将其内部的全部数据拆分成多条数据元或者记录，使用用户私有密钥逐条进行全部加密或部分加密，并将加密形成的密文逐条返回所述信息安全设备管理装置；
[0038]若选择的待同步内容为数据，则所述第一信息安全设备将记录的数据逐条加密，并将加密形成的密文封装成指定格式逐条返回所述信息安全设备管理装置。
[0039]优选的是，在将待同步的应用和/或数据形成的密文逐条发送至所述第二信息安全设备之前还包括，确认所述第二信息安全设备的剩余存储空间是否满足待同步内容的空间条件，具体步骤为:
[0040]所述信息安全设备管理装置向所述第二信息安全设备发送剩余存储空间查询指令；
[0041]所述第二信息安全设备接收剩余存储空间查询指令，对自身的储存空间进行计算并向所述信息安全设备管理装置返回剩余存储空间信息；
[0042]所述信息安全设备管理装置接收所述第二信息安全设备返回的剩余存储空间信息，并比较剩余存储空间与待同步内容的大小；
[0043]当剩余存储空间大于待同步内容的大小时，确认所述第二信息安全设备满足同步的空间条件。
[0044]优选的是，在同步两个所述信息安全设备之间的应用或数据的步骤的基础上，为具有同一应用的两个所述信息安全设备分配应用权限以及配置应用权限转移的步骤包括:
[0045]所述信息安全设备管理装置提示用户是否切换激活设备；
[0046]若用户确定切换激活设备，则所述信息安全设备管理装置向所述第一信息安全设备发送切换申请指令；
[0047]所述第一信息安全设备接收切换申请指令，生成切换激活密文并去激活所述第一信息安全设备的指定应用，同时将切换激活密文返回所述信息安全设备管理装置；
[0048]所述信息安全设备管理装置接收切换激活密文并将其发送至所述第二信息安全设备；
[0049]所述第二信息安全设备接收切换激活密文，激活与所述第一信息安全设备相同的指定应用，并向所述信息安全设备管理装置返回激活成功信息；
[0050]所述信息安全设备管理装置根据所述第一信息安全设备、所述第二信息安全设备返回的信息提示用户切换激活设备的结果。[0051 ]优选的是，还进一步包括:将所述信息安全设备管理装置与服务后台建立连接，所述服务后台保存有用户私有密钥，通过所述信息安全设备管理装置对隶属于同一持有人的多个所述信息安全设备的信息进行同步或备份。
[0052]优选的是，所述信息安全设备具有用户密钥，并能完成与信息安全相关的多种应用；多个所述信息安全设备具有相同的能相互识别的认证方式，并与隶属于同一持有人的所述信息安全设备管理装置安装有相适的应用绑定程序;其中，具有相同应用的多个所述信息安全设备在某一时刻仅有一个所述信息安全设备的该应用权限有效，所述第一信息安全设备为已安装应用并激活应用，所述第二信息安全设备至少预存有用户密钥。
[0053]优选的是，所述信息安全设备管理装置搜索所述信息安全设备，并与所述信息安全设备建立成功的连接之前还包括:
[0054]所述信息安全设备与服务后台在线连接，所述信息安全设备管理装置认证当前与其连接的所述信息安全设备隶属于同一持有人时，将所述信息安全设备管理装置与与其连接的所述信息安全设备进行设备绑定。
[0055]—种信息安全设备，包括控制单元、设备通信单元、设备显示单元和确认单元，其中:
[0056]所述控制单元，分别与所述设备通信单元、所述设备显示单元和所述确认单元连接，用于解析数据报文以及对数据/应用进行加密或解密；
[0057]所述设备通信单元，用于与通过认证的外界安全设备通信，并与所述外界安全设备交换数据/应用；
[0058]所述设备显示单元，用于显示用户信息、安全信息、当前数据/应用信息或交易信息或操作信息，以为用户提供所述信息安全设备的状态；
[0059]所述确认单元，用于供用户发起信息共享请求，确认该所述信息安全设备的安全信息状态以及设定安全信息在所述信息安全设备之间的流向。
[0060]优选的是，所述控制单元包括逻辑模块、存储模块和验证模块，其中:
[0061]所述逻辑模块，用于根据通信数据组织APDU指令，设定该所述信息安全设备与与其连接的所述外界安全的交互行为；
[0062]所述存储模块，与所述逻辑模块连接，用于预存用户身份信息以及缓存应用和/或数据；
[0063]所述验证模块，还与所述存储模块连接，用于根据内置的安全算法对认证信息、数据和/或应用的数据报文进行校验。
[0064