专利名称:电子签名工具的密码管理方法及系统的制作方法
技术领域:
本发明涉及信息安全领域,尤其涉及一种电子签名工具的密码管理方法及系统。
背景技术:
目前,电子签名工具(也称为电子密码钥匙或电子密钥设备)的应用越来越广泛, 特别是在金融领域,为了保证交易的安全性,网上银行用户越来越多地使用电子签名工具, 例如,通过USB(Universal Serial Bus,通用串行总线)接口与交易终端(通常为个人计算 机)相连的USB Key等,作为身份认证和交易认证的工具。电子签名工具一般是通过校验用户输入的PIN码的正确性与否来验证该用户的 身份是否合法。具体的校验过程一般为电子签名工具与个人计算机(PC)相连,用户通过 PC向电子签名工具输入PIN码,电子签名工具校验用户输入的PIN码是否正确。如果用户 输入的PIN码正确,则允许该用户使用电子签名工具;如果用户输入的PIN码错误、且错误 次数达到了预先设定的最大值,则电子签名工具将该PIN码锁定,用户将无法使用该电子 签名工具。电子签名工具在交付给用户时,电子签名工具的PIN码通常都被设置为统一的初 始密码,例如‘123456’,用户在使用前都需要对PIN码进行修改。现有技术中,用户通常都 在与电子签名工具相连的PC上对PIN码进行修改。由于PC的安全性较差,较容易被病毒、 木马侵入,因此在PC上对PIN码进行修改非常容易造成PIN码的泄漏。目前,还存在一种在硬件上具有对多种连接方式进行识别和自适应能力的USB设 备,这种USB设备具有以下特点1)具有标准的USB机械接口形状和引脚,可以与主机端的USB接口相连;2)对USB接口 D+和D-引脚具有USB标准和非USB标准两类使用方式;USB标准 使用方式符合USB协议的电气和协议规范,非USB标准使用方式不符合USB协议的电气和 协议规范;3)设备在硬件层面可以识别出对D+和D-引脚不同的使用方式。申请号为2010101^982. X,名称为“USB Key装置及其利用USB接口实现智能卡通 信的方法”的中国专利申请记载了一种具有对多种连接方式进行识别和自适应能力的USB 设备。该专利所记载的USB装置通过D+或D-引脚上的电平来识别其连接的是USB主设备 (标准使用方式)或者是USB读卡器(非标准使用方式)。图1为上述专利申请中记载的USB Key的电路原理图。图1所示的USB Key中, USB接口 1的D+和D-引脚分别与USB接口电路2的D+和D-引脚相连,并且USB接口的 D+和D-引脚还分别与I/O接口电路3的双向接口 A和输入接口 B相连;接口处理单元5 在USBKey上电时判断双向接口 A的电平(即判断D+引脚的电平),如果为低电平,则打开 USB接口电路,使安全芯片4通过USB接口电路2与USB主设备进行数据交互;如果为高电 平,则关闭USB接口电路2,打开IO接口电路3,使安全芯片4通过I/O接口电路3与外接 设备,如ICdntegrate Circuit,集成电路)卡读卡器进行数据交互。
图1所示的USB Key中,当使用I/O接口电路与外接设备进行数据交互时,与I/O 接口电路的双向接口相连的D+引脚与IC卡标准中的I/O引脚作用相同,与I/O接口电路 的输入接口相连的D-引脚与IC卡标准中的RST引脚(用于发送复位信号)作用相同;外 接设备(如IC卡读卡器)只需进行简单地改造即可将该USB Key当作一个IC卡来使用。由于图1所示的USB Key的安全芯片可识别出是否正在通过USB接口与外接设备 进行数据交互,安全芯片可以据此实施不同的安全策略。例如,当USB Key通过USB接口与 外接设备(通常为比较容易被病毒或木马侵入的PC)进行数据交互时,将其作为不可信任 的外接设备,实施严格的安全策略,仅启动对安全性要求较低的应用;当USB Key通过I/O 接口电路与外接设备(例如,IC卡读卡器,银行柜员机,密码键盘等)进行数据交互时,将其 作为可信任的外接设备,实施宽松的安全策略,可以启动对安全性要求较高的应用(例如, 对PIN码的修改、重置和解锁等密码管理操作)。如上所述,由于PC的安全性较差,如何在不使用PC的情况下,对PIN码进行修改、 重置和解锁等密码管理操作是目前需要解决的技术问题。
发明内容
本发明的目的是提供一种电子签名工具的密码管理方法及系统,可在不使用PC 的情况下,实现对电子签名工具的密码管理操作,提高了电子签名工具密码管理的安全性。本发明的目的是通过以下技术方案实现的本发明实施方式提供一种电子签名工具的密码管理方法,包括电子签名工具通过所连接的密码键盘发送的信号打开IO接口电路,所述IO接口 电路为通过所述电子签名工具的USB接口中的D+或D-引脚中的一个与所述密码键盘进行 数据交互的接口电路;所述电子签名工具接收所述密码键盘发送的密码管理指令,并判断接收所述密码 管理指令的接口电路是否为所述IO接口电路;若接收所述密码管理指令的接口电路为所述IO接口电路,则根据所述密码管理 指令执行密码管理操作。本发明实施方式还提供一种电子签名工具的密码管理系统,包括 密码键盘和电子签名工具,密码键盘与电子签名工具通过USB接口连接;所述密码键盘用于向所述电子签名工具发送信号以打开所述电子签名工具的IO 接口电路,并向所述电子签名工具发送密码管理指令;所述IO接口电路为通过所述电子签 名工具的USB接口中的D+或D-引脚中的一个与所述密码键盘进行数据交互的接口电路;所述电子签名工具用于接收所述密码键盘发送的密码管理指令,判断接收所述密 码管理指令的接口电路是否为所述IO接口电路;若接收所述密码管理指令的接口电路为 所述IO接口电路,则根据所述密码管理指令执行密码管理操作。由上述本发明提供的技术方案可以看出,本发明实施方式提供的电子签名工具的 密码管理方法,通过连接的密码键盘发送的信号打开该电子签名工具的IO接口电路,从而 通过IO接口电路接收密码键盘发送的密码管理指令,并根据密码管理指令完成该电子签 名工具的密码管理操作。该方法在不使用PC的情况下,通过密码键盘即可方便的实现对电 子签名工具密码的管理,如对PIN码进行修改、重置和解锁等密码管理操作。有效提高了电子签名工具密码管理操作的安全性和便利性。
为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中所需要使用 的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本 领域的普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他 附图。图1为申请号为201010142982. X的专利申请中记载的USB Key的电路原理图;图2为本发明实施例提供的电子签名工具的密码管理系统中各功能模块的连接 关系示意图;图3为本发明电子签名工具的密码管理方法第一实施例的流程图;图4为本发明电子签名工具的密码管理方法第二实施例的流程图;图5为本发明电子签名工具的密码管理方法第三实施例的流程图;图6为本发明电子签名工具的密码管理方法第四实施例的流程图。
具体实施例方式下面结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整 地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本 发明的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施 例,都属于本发明的保护范围。本发明的核心是通过可与图1所示的电子签名工具连接的密码键盘对电子签名 工具的PIN码进行修改、重置和解锁等密码管理操作。具体是由密码键盘打开电子签名工具的IO接口电路(10接口电路为通过所述电 子签名工具的USB接口中的D+或D-引脚中的一个与所述密码键盘进行数据交互的接口电 路)通过打开的IO接口电路向电子签名工具发送密码管理指令(包括PIN码修改指令、 PIN码重置指令、解锁指令),电子签名工具接收到密码管理指令后,判断接收到该指令的 接口是否为上述IO接口电路,如果是,则执行密码管理操作(包括PIN码修改、PIN码重置、 解锁)。由于不需要PC来对电子签名工具进行密码管理操作,有效提高了电子签名工具密 码管理操作的安全性和便利性。下面将结合附图对本发明实施例作进一步地详细描述。本发明实施例提供一种电子签名工具的密码管理系统,图2所示是该电子签名工 具的密码管理系统中各功能模块的连接关系示意图,其中包括密码键盘202和电子签名 工具201(即USB Key);电子签名工具(即USB Key)通过非标准USB接口与密码键盘相连 (即通过该电子签名工具的USB接口的D+或D-引脚中的一个作为I/O引脚与密码键盘进 行命令和数据的交互,也即电子签名工具的安全芯片通过IO接口电路与密码键盘进行命 令和数据的交互)。其中,密码键盘202向电子签名工具201发送信号以打开该电子签名工具的IO接 口电路,并通过所述IO接口电路向所述电子签名工具201发送密码管理指令;电子签名工具201通过所述密码键盘202发送的信号打开IO接口电路(该IO接口电路为通过所述电子签名工具的USB接口中的D+或D-引脚中的一个与所述密码键盘进 行数据交互的接口电路),并接收密码键盘发送的密码管理指令,判断接收密码管理指令的 接口是否为所述的IO接口电路;若接收所述密码管理指令的接口电路为所述IO接口电路, 则根据所述密码管理指令执行密码管理操作。上述系统中,密码键盘发送的密码管理指令为PIN码修改指令,发送所述PIN码 修改指令前,该密码键盘还用于向电子签名工具发送包含用于电子签名工具的原PIN码的 PIN码验证指令,并接收电子签名工具根据所述PIN码验证指令返回的验证结果,如果所述 验证结果为电子签名工具对原PIN码验证成功,所述密码键盘对用户输入的用于修改所述 电子签名工具的PIN码的新PIN码进行验证,验证成功后,将所述新PIN码包含在所述PIN 码修改指令中;所述电子签名工具还用于接收所述密码键盘发送的PIN码验证指令,并对所述 PIN码验证指令中包含的原PIN码进行验证后,向所述密码键盘返回所述验证结果。 上述系统中,密码键盘发送的密码管理指令为PIN码重置指令,发送所述PIN码重 置指令前,该密码键盘还用于获取用于解锁所述电子签名工具的解锁密码;并对用于重置 所述电子签名工具的PIN码的新PIN码进行验证,验证成功后将所述解锁密码和所述新PIN 码包含在所述PIN码重置指令中;所述电子签名工具还用于当接收到所述PIN码重置指令,验证该PIN码重置指令 中包含的解锁密码正确后,用所述PIN码重置指令中包含的新PIN码作为当前的PIN码,完 成PIN码的重置。上述系统中,密码键盘发送的密码管理指令为解锁指令,发送所述解锁指令前,该 密码键盘还用于获取用于解锁所述电子签名工具的解锁密码,并将所述解锁密码和用于所 述电子签名工具的原PIN码包含在所述解锁指令中;所述电子签名工具还用于当接收到所述解锁指令,验证该解锁指令中包含的解锁 密码和原PIN码正确后,解除PIN码的锁定状态。在上述系统的基础上,还可以包括交易终端(即图2中示意的银行交易终端 203),密码键盘202通过标准的USB接口或串口与该交易终端相连;该交易终端存储解锁电 子签名工具201的解锁密码,并根据所述密码键盘202发送的解锁密码请求,获取对应于电 子签名工具201的解锁密码,并将获取的所述解锁密码向所述密码键盘202发送。如图3所示,本发明实施例一提供一种电子签名工具的密码管理方法,可应用于 图2所示的系统中,该方法包括步骤300,电子签名工具接收所连接的密码键盘发送的信号,通过所述信号打开该 电子签名工具的IO接口电路;其中,所述的IO接口电路为通过所述电子签名工具的USB接 口中的D+或D-引脚中的一个与所述密码键盘进行数据交互的接口电路;上述步骤300中,电子签名工具通过IO接口电路接收密码键盘输出的高电平信 号,打开该电子签名工具的IO接口电路。步骤301,该电子签名工具接收所述密码键盘发送的密码管理指令,并判断接收所 述密码管理指令的接口电路是否为所述IO接口电路;上述步骤301中,该电子签名工具接收所述密码键盘发送的密码管理指令包括 PIN码修改指令;或者,PIN码重置指令;或者,解锁指令。其中,PIN码修改指令中包含修改PIN码用的新PIN码;PIN码重置指令中包含解锁密码和重置PIN码用的新PIN码;解锁指 令中包含解锁PIN码的解锁密码和原PIN码。使电子签名工具可根据不同的密码管理指令 进行相应的密码管理操作,如进行PIN码修改、PIN码重置及密码解锁等操作。步骤302,若接收所述密码管理指令的接口为所述IO接口电路,电子签名工具则 根据所述密码管理指令执行密码管理操作。上述步骤302中,当密码管理指令为PIN码修改指令时,执行PIN码修改操作;具 体为该电子签名工具用PIN码修改指令中包含的新PIN码作为当前的PIN码并存入安全 存储区,完成该电子签名工具PIN码的修改。或者,当密码管理指令为PIN码重置指令时,执行PIN码重置操作;具体为在该 电子签名工具验证PIN码重置指令中包含的解锁密码正确后,用所述PIN码重置指令中包 含的新PIN码作为当前的PIN码并存入安全存储区,完成该电子签名工具PIN码的重置。或者,当密码管理指令为解锁指令时,执行PIN码解锁操作。具体为该电子签名 工具在验证解锁指令中包含的解锁密码和原PIN码正确后,则解除PIN码的锁定状态。上述方法中,当密码键盘发送的密码管理指令为PIN码修改指令,在发送PIN码 修改指令前,还包括如下步骤电子签名工具接收所述密码键盘发送的包含用户输入的原 PIN码的PIN码验证指令,并对所述PIN码验证指令中包含的原PIN码进行验证后,向所述 密码键盘返回验证结果;如果所述验证结果为对原PIN码验证成功,所述密码键盘对用户输入的用于修改 所述电子签名工具的PIN码的新PIN码进行验证,验证成功后,将所述新PIN码包含在所述 PIN码修改指令中。当电子签名工具在接收到密码键盘发送的PIN码修改指令后,用PIN码修改指令 中包含的新PIN码作为当前的PIN码并存入安全存储区,完成该电子签名工具PIN码的修 改。上述方法中,当密码键盘发送的密码管理指令为PIN码重置指令,在发送PIN码 重置指令前,还包括如下步骤所述密码键盘获取用于解锁所述电子签名工具的解锁密码; 并对用于重置所述电子签名工具的PIN码的新PIN码进行验证,验证成功后将所述解锁密 码和所述新PIN码包含在所述PIN码重置指令中。当电子签名工具在接收到密码键盘发送的PIN码重置指令后,验证该PIN码重置 指令中包含的解锁密码正确后,用所述PIN码重置指令中包含的新PIN码作为当前的PIN 码并存入安全存储区,完成PIN码的重置。上述方法中,当密码键盘发送的密码管理指令为解锁指令,在发送解锁指令前,还 包括如下步骤密码键盘获取用于解锁所述电子签名工具的解锁密码,并将所述解锁密码 和用于所述电子签名工具的原PIN码包含在所述解锁指令中。当电子签名工具在接收到密码键盘发送的解锁指令后,验证该解锁指令中包含的 解锁密码和原PIN码正确后,解除PIN码的锁定状态。上述方法中,密码键盘可采用如下方式获取用于解锁所述电子签名工具的解锁密 码密码键盘向交易终端发送获取解锁密码请求;所述获取解锁密码请求中包含用于 获取解锁密码的标识信息;标识信息可以是所述电子签名工具的序列号;
所述密码键盘接收所述银行交易终端根据所述标识信息获取的所述解锁密码。上述方法中,若接收所述密码管理指令的接口电路不是所述IO接口电路,则还可 以包括不执行密码管理操作,并向所述密码键盘返回密码管理操作失败消息的步骤。该方法由于不需要PC,而采用密码键盘对电子签名工具进行PIN码修改、重置和 解锁等密码管理操作,有效提高了对电子签名工具密码管理操作的安全性,也增加了密码 管理操作的便利性。下面结合图2所示的系统,对电子签名工具密码管理操作(PIN码的修改、重置和 解锁)的几种情况,分别进行具体说明。图4是本发明电子签名工具的密码管理方法第二实施例的流程图;本流程描述了 对电子签名工具的PIN码进行修改的方法。如图4所示,该方法包括如下步骤400,电子签名工具上电时(即电子签名工具插入密码键盘的USB插槽时),密码键 盘将USB接口的D+或D-引脚中的一个作为IO接口,通过该IO接口向电子签名工具输出 高电平,以打开电子签名工具的IO接口电路;401,用户通过密码键盘上的功能键启动功能菜单,并通过密码键盘上的功能键选 择“修改PIN码”功能;402,密码键盘在其显示屏上提示用户输入原PIN码,用户输入原PIN码;403,密码键盘通过上述IO接口电路向电子签名工具发送PIN码验证指令,其中包 含用户输入的原PIN码;404,电子签名工具对原PIN码进行验证后,向密码键盘返回验证结果;405,如果原PIN码验证成功,密码键盘在其显示屏上提示用户输入新PIN码,用户 输入新PIN码;密码键盘存储用户输入的新PIN码;406,密码键盘在其显示屏上提示用户再次输入新PIN码,用户再次输入新PIN 码;407,密码键盘将用户第二次输入的新PIN码与用户第一次输入的新PIN码进行比 较,如果二者一致,则通过上述IO接口电路向电子签名工具发送PIN码修改指令;PIN码修改指令中可以包含用户输入的新PIN码。408,接收到PIN码修改指令后,电子签名工具中的安全芯片判断接收到该指令的 接口是否是IO接口电路,如果是,则执行PIN码修改修改操作,例如,将PIN码修改指令中 包含的新PIN码作为当前的PIN码存入安全存储区,PIN码修改完成;如果安全芯片判定接收到PIN码修改指令的接口是标准的USB接口,而不是上述 IO接口电路,则可以不执行PIN码修改操作,向密码键盘返回PIN码修改失败消息。图5是本发明电子签名工具的密码管理方法第三实施例的流程图;本流程描述了 对电子签名工具的PIN码进行重置的方法。对PIN码进行重置是指当用户遗忘PIN码,但 电子签名工具当前并未被锁定时,直接使用新PIN码替换旧PIN码的操作。如图5所示,该 方法包括如下步骤500,电子签名工具上电时(即电子签名工具插入密码键盘的USB插槽时),密码键 盘将USB接口的D+或D-引脚中的一个作为IO接口,通过该IO接口向电子签名工具输出 高电平,以打开电子签名工具的IO接口电路;501,用户通过密码键盘上的功能键启动功能菜单,并通过密码键盘上的功能键选择“重置PIN码”功能;502,密码键盘向银行交易终端发送获取解锁密码请求,以便获取用于重置PIN码 的解锁密码;获取解锁密码请求中可以包含解锁密码的标识信息;上述解锁密码的标识信息可以是电子签名工具的SN。503,银行交易终端根据获取解锁密码请求中包含的解锁密码的标识信息获取该 电子签名工具的解锁密码,并将其发送给密码键盘。步骤502为可选步骤,银行工作人员也可以通过用户提供的其它信息获取电子签 名工具的解锁密码,并通过银行交易终端发送给密码键盘。504,密码键盘在其显示屏上提示用户输入新PIN码,用户输入新PIN码;密码键盘 存储用户输入的新PIN码;505,密码键盘在其显示屏上提示用户再次输入新PIN码,用户再次输入新PIN 码;506,密码键盘将用户第二次输入的新PIN码与用户第一次输入的新PIN码进行比 较,如果二者一致,则通过上述IO接口向电子签名工具发送PIN码重置指令;PIN码重置指令中可以包含解锁密码,新PIN码。507,接收到PIN码重置指令后,电子签名工具中的安全芯片判断接收到该指令的 接口是否是IO接口电路,如果是,则执行PIN码重置操作,例如,验证解锁密码的正确性,如 果解锁密码正确,则进行PIN码重置,即将PIN码重置指令中包含的新PIN码作为当前的 PIN码存入安全存储区,PIN码修改完成。如果安全芯片判定接收到PIN码重置指令的接口是标准的USB接口,而不是上述 IO接口电路,则可以不执行PIN码重置操作,向密码键盘返回PIN码重置失败消息。图6是本发明电子签名工具的密码管理方法第四实施例的流程图;本流程描述了 对电子签名工具进行解锁的方法。对电子签名工具进行解锁是指电子签名工具锁定导致无 法使用后,对其进行解锁以便恢复原PIN码的操作。如图6所示,该方法包括如下步骤600,电子签名工具上电时(即电子签名工具插入密码键盘的USB插槽时),密码键 盘将USB接口的D+或D-引脚中的一个作为IO接口,通过该IO接口向电子签名工具输出 高电平,以打开电子签名工具的IO接口电路;601,用户通过密码键盘上的功能键启动功能菜单,并通过密码键盘上的功能键选 择“解锁”功能;602,密码键盘向银行交易终端发送获取解锁密码请求,以便获取用于解锁电子签 名工具的解锁密码;获取解锁密码请求中可以包含解锁密码的标识信息;上述解锁密码的标识信息可以是电子签名工具的SN。603,银行交易终端根据获取解锁密码请求中包含的解锁密码的标识信息获取该 电子签名工具的解锁密码,并将其发送给密码键盘。步骤602为可选步骤,银行工作人员也可以通过用户提供的其它信息获取电子签 名工具的解锁密码,并通过银行交易终端发送给密码键盘。604,密码键盘在其显示屏上提示用户输入原PIN码,用户输入原PIN码;
605,密码键盘通过上述IO接口电路向电子签名工具发送解锁指令;解锁指令中可以包含原PIN码,解锁密码。606,接收到解锁指令后,电子签名工具中的安全芯片判断接收到该指令的接口是 否是IO接口,如果是,则执行解锁操作,例如,验证解锁密码、以及PIN码的正确性,如果都 正确,则解除PIN码的锁定状态,恢复原PIN码的使用;如果安全芯片判定接收到解锁指令的接口是标准的USB接口,而不是上述IO接口 电路,则可以不执行解锁操作,向密码键盘返回解锁失败消息。本领域普通技术人员可以理解实现上述实施例中涉及的处理流程的全部或部分 步骤是可以通过程序来指令相关硬件完成,所述的程序可以存储于一可读取存储介质中, 所述的存储介质可以为,如ROM/RAM、磁碟、光盘等。本发明实施例提供的密码管理方法由于不需要PC,而采用密码键盘对电子签名工 具进行PIN码进行修改、重置和解锁等密码管理操作,有效提高了对电子签名工具密码管 理操作的安全性和便利性。以上所述,仅为本发明较佳的具体实施方式
,但本发明的保护范围并不局限于此, 任何熟悉本技术领域的技术人员在本发明披露的技术范围内,可轻易想到的变化或替换, 都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求书的保护范 围为准。
权利要求
1.一种电子签名工具的密码管理方法,其特征在于,包括电子签名工具通过所连接的密码键盘发送的信号打开IO接口电路,所述IO接口电路 为通过所述电子签名工具的USB接口中的D+或D-引脚中的一个与所述密码键盘进行数据 交互的接口电路;所述电子签名工具接收所述密码键盘发送的密码管理指令,并判断接收所述密码管理 指令的接口电路是否为所述IO接口电路;若接收所述密码管理指令的接口电路为所述IO接口电路,则根据所述密码管理指令 执行密码管理操作。
2.根据权利要求1所述电子签名工具的密码管理方法,其特征在于,所述密码键盘发 送的密码管理指令为PIN码修改指令; 或者,PIN码重置指令; 或者,解锁指令。
3.根据权利要求2所述的电子签名工具的密码管理方法,其特征在于,所述密码键盘发送的密码管理指令为PIN码修改指令,在发送所述PIN码修改指令前, 还包括如下步骤电子签名工具接收所述密码键盘发送的PIN码验证指令,并对所述PIN码 验证指令中包含的原PIN码进行验证后,向所述密码键盘返回验证结果;如果所述验证结果为对原PIN码验证成功,所述密码键盘对用户输入的用于修改所述 电子签名工具的PIN码的新PIN码进行验证,验证成功后,将所述新PIN码包含在所述PIN 码修改指令中。
4.根据权利要求2所述的电子签名工具的密码管理方法,其特征在于,所述密码键盘发送的密码管理指令为PIN码重置指令,在发送所述PIN码重置指令前, 还包括如下步骤所述密码键盘获取用于解锁所述电子签名工具的解锁密码;并对用于重 置所述电子签名工具的PIN码的新PIN码进行验证,验证成功后将所述解锁密码和所述新 PIN码包含在所述PIN码重置指令中;所述电子签名工具在验证PIN码重置指令中包含的解锁密码正确后,用所述PIN码重 置指令中包含的新PIN码作为当前的PIN码,完成PIN码的重置。
5.根据权利要求2所述的电子签名工具的密码管理方法,其特征在于,所述密码键盘发送的密码管理指令为解锁指令,在发送所述解锁指令前,还包括如下 步骤密码键盘获取用于解锁所述电子签名工具的解锁密码,并将所述解锁密码和所述电 子签名工具的原PIN码包含在所述解锁指令中;所述电子签名工具在验证解锁指令中包含的解锁密码和原PIN码正确后,解除原PIN 码的锁定状态。
6.根据权利要求4或5所述的电子签名工具的密码管理方法,其特征在于,所述密码键 盘采用如下方式获取所述解锁密码密码键盘向交易终端发送获取解锁密码请求;所述获取解锁密码请求中包含用于获取 解锁密码的标识信息;所述密码键盘接收所述交易终端发送的根据所述标识信息获取的所述解锁密码。
7.一种电子签名工具的密码管理系统,其特征在于,包括密码键盘和电子签名工具,密码键盘与电子签名工具通过USB接口连接; 所述密码键盘用于向所述电子签名工具发送信号以打开所述电子签名工具的IO接口 电路,并向所述电子签名工具发送密码管理指令;所述IO接口电路为通过所述电子签名工 具的USB接口中的D+或D-引脚中的一个与所述密码键盘进行数据交互的接口电路;所述电子签名工具用于接收所述密码键盘发送的密码管理指令,判断接收所述密码管 理指令的接口电路是否为所述IO接口电路;若接收所述密码管理指令的接口电路为所述 IO接口电路,则根据所述密码管理指令执行密码管理操作。
8.根据权利要求7所述的电子签名工具的密码管理系统,其特征在于, 所述密码键盘发送的密码管理指令为PIN码修改指令;发送所述PIN码修改指令前,所述密码键盘还用于向电子签名工具发送包含电子签名 工具的原PIN码的PIN码验证指令,并接收电子签名工具根据所述PIN码验证指令返回的 验证结果,如果所述验证结果为电子签名工具对原PIN码验证成功,所述密码键盘对用户 输入的用于修改所述电子签名工具的PIN码的新PIN码进行验证,验证成功后,将所述新 PIN码包含在所述PIN码修改指令中;所述电子签名工具还用于接收所述密码键盘发送的PIN码验证指令,并对所述PIN码 验证指令中包含的原PIN码进行验证后,向所述密码键盘返回所述验证结果。
9.根据权利要求7所述的电子签名工具的密码管理系统,其特征在于, 所述密码键盘发送的密码管理指令为PIN码重置指令;发送所述PIN码重置指令前,所述密码键盘还用于获取用于解锁所述电子签名工具的 解锁密码;并对用于重置所述电子签名工具的PIN码的新PIN码进行验证,验证成功后将所 述解锁密码和所述新PIN码包含在所述PIN码重置指令中;所述电子签名工具还用于当接收到所述PIN码重置指令,验证其中包含的解锁密码正 确后,用所述PIN码重置指令中包含的新PIN码作为当前的PIN码,完成PIN码的重置。
10.根据权利要求7所述的电子签名工具的密码管理系统,其特征在于, 所述密码键盘发送的密码管理指令为解锁指令;发送所述解锁指令前,所述密码键盘还用于获取用于解锁所述电子签名工具的解锁密 码,并将所述解锁密码和所述电子签名工具的原PIN码包含在所述解锁指令中;所述电子签名工具还用于当接收到所述解锁指令,验证其中包含的解锁密码和原PIN 码正确后,解除PIN码的锁定状态。
全文摘要
本发明公开了一种电子签名工具的密码管理方法及系统,属于信息安全领域。该方法包括电子签名工具通过所连接的密码键盘发送的信号打开IO接口电路,所述IO接口电路为通过所述电子签名工具的USB接口中的D+或D-引脚中的一个与所述密码键盘进行数据交互的接口电路;所述电子签名工具接收所述密码键盘发送的密码管理指令,并判断接收所述密码管理指令的接口电路是否为所述IO接口电路;若接收所述密码管理指令的接口电路为所述IO接口电路,则根据所述密码管理指令执行密码管理操作。该方法在不使用PC,通过密码键盘对电子签名工具进行密码管理,如进行PIN码修改、重置和解锁等。有效提高电子签名工具密码管理的安全性和便利性。
文档编号G06F21/00GK102122332SQ201110039069
公开日2011年7月13日 申请日期2011年2月16日 优先权日2011年2月16日
发明者李东声 申请人:北京天地融科技有限公司