专利名称:一种实现电子钥匙解锁的方法、装置及系统的制作方法
技术领域:
本发明涉及信息安全技术领域,特别涉及一种实现电子钥匙解锁的方法、装置及 系统。
背景技术:
基于电子钥匙的身份认证方式是近几年发展起来的一种方便、安全、可靠的身份 认证技术,广泛应用于网上银行等业务。USB Key是一种常见的电子钥匙,它是一种USB接 口的小巧的硬件设备,内置了 CPU、存储器和芯片操作系统,可以存储用户的密钥或数字证 书,在用户输入身份信息如用户名及密码信息时,根据其内置的密钥或数字证书利用USB Key内置的密码算法可以实现对用户身份的认证。USB Key进行初始化时需要获取该USB Key的序列号(sequence number, SN), USB Key的发行机构获取到序列号SN之后,用服务器上保存的加密根密钥Root Secret Key, 结合序列号SN,进行密码分散,得到该USB Key的加密子密钥her Secret Key,并将her Secret Key写入该USB Key中。这里,USB Key的发行机构可以是银行,也可以是USB Key 的制造方。用户在使用USB Key的过程中,如果连续多次输错身份信息,或者,出现其他操作 错误的情况,为了保障使用该USB Key的用户账户安全,该USBKey将被锁死,在对该USB Key进行解锁操作前不允许再进行任何操作。现有技术中,当USB Key被锁死后,用户必须携带有效证件去银行柜台办理解锁事 宜。用户需要向银行柜台的工作人员提交解锁请求,以及USB Key和相关证件,由工作人员 对提交的请求和相关的证件进行审核,审核通过后输入解锁口令为USB Key解锁;而且,由 于是人工操作,如果由于人工操作而导致泄露了解锁口令,则会导致用户账户安全受到威 胁,存在安全隐患。由此可见,现有技术存在如下缺陷解锁时必须前往银行柜台,由工作人员人工审 核并操作,既浪费了用户以及银行工作人员的时间和精力,又需要银行对解锁服务提供大 量的资源支持,且存在泄露解锁口令的安全隐患。
发明内容
本发明提供一种实现电子钥匙解锁的方法、装置及系统,用以解决现有技术中实 现电子钥匙解锁时必须前往指定柜台,由工作人员手工操作所导致的使用不便、效率低下 且存在安全隐患的技术问题。一种实现电子钥匙解锁的方法,包括客户端利用电子钥匙中存储的序列号及加密子密钥生成解锁请求码,并将所述解 锁请求码发送到解锁服务器;所述客户端接收所述解锁服务器返回的解锁响应码,从中解析出解锁子密钥,并 利用所述解锁子密钥对电子钥匙进行解锁。
一种实现电子钥匙解锁的方法,包括以下步骤解锁服务器接收客户端发送的解锁请求码,并根据自身保存的加密根密钥对所述 解锁请求码进行验证;所述解锁服务器确定验证通过后,根据自身保存的解密解锁根密钥生成解锁响应 码;所述解锁服务器将生成的解锁响应码发送给客户端。一种实现电子钥匙解锁的装置,包括发送单元,用于利用电子钥匙中存储的序列号及加密子密钥生成解锁请求码,并 将所述解锁请求码发送到解锁服务器;解锁单元,用于接收所述解锁服务器返回的解锁响应码,从中解析出解锁子密钥, 并利用所述解锁子密钥对电子钥匙进行解锁。一种实现电子钥匙解锁的装置,包括接收单元,用于接收客户端发送的解锁请求码,并根据自身保存的加密根密钥对 所述解锁请求码进行验证;生成单元,用于在接收单元确定验证通过后,根据自身保存的解锁根密钥生成解 锁响应码;发送单元,用于将生成的解锁响应码发送给客户端。一种实现电子钥匙解锁的系统,包括客户端,用于利用电子钥匙中存储的序列号及加密子密钥生成解锁请求码,并将 所述解锁请求码发送到解锁服务器;接收所述解锁服务器返回的解锁响应码,从中解析出 解锁子密钥,并利用所述解锁子密钥对电子钥匙进行解锁;解锁服务器,用于接收客户端发送的解锁请求码,并根据自身保存的加密根密钥 对所述解锁请求码进行验证;在确定验证通过后,根据自身保存的解锁根密钥生成解锁响 应码;并将生成的解锁响应码发送给客户端。本发明实施例中,通过采用高效的密码认证机制,使得用户无需去指定柜台,只需 通过客户端就可以为电子钥匙解锁,从而方便了用户的使用,提高了解锁效率,且杜绝了安
^^^ 急 ^^ ο
图1为本发明一个实施例中实现电子钥匙解锁的方法流程图;图2为本发明另一实施例中实现电子钥匙解锁的方法流程图;图3为本发明一个实施例中实现电子钥匙解锁的装置结构图;图4为本发明另一实施例中实现电子钥匙解锁的装置结构图。
具体实施例方式本发明实施例提供了一种实现电子钥匙解锁的方法、装置及系统,通过采用高效 的密码认证机制,使得用户无需去指定柜台,只需通过客户端就可以为电子钥匙解锁,从而 方便了用户的使用,提高了解锁效率,且杜绝了安全隐患。本发明实施例提供了一种实现电子钥匙解锁的方法,如图1所示,包括以下步骤
SlOl 客户端利用电子钥匙中存储的序列号及加密子密钥生成解锁请求码,并将 所述解锁请求码发送到解锁服务器;S102:所述客户端接收所述解锁服务器返回的解锁响应码,从中解析出解锁子密 钥,并利用所述解锁子密钥对电子钥匙进行解锁。较佳的,所述客户端利用电子钥匙中存储的序列号及加密子密钥生成解锁请求 码,具体包括产生第一随机数,利用加密子密钥对由第一随机数和所述序列号组成的第一 明文进行加密运算,获得第一密文;利用加密子密钥对由所述第一密文和所述序列号组成 的数据进行信息验证码(Message AuthenticationCode, MAC)计算,得到第一消息摘要;生 成包含所述第一密文、序列号和第一消息摘要的解锁请求码。较佳的,所述客户端接收所述解锁服务器返回的解锁响应码,从中解析出解锁子 密钥,具体包括解析出所述解锁响应码中包含的第二密文和第二消息摘要;利用加密子 密钥对所述第二密文进行信息验证码MAC计算;确定得到的计算结果与所述第二消息摘要 相同时,利用加密子密钥对所述第二密文进行解密运算,得到解锁子密钥。本发明实施例还提供了一种实现电子钥匙解锁的方法,如图2所示,包括以下步 骤S201 解锁服务器接收客户端发送的解锁请求码,并根据自身保存的加密根密钥 对所述解锁请求码进行验证;S202 所述解锁服务器确定验证通过后,根据自身保存的解锁根密钥生成解锁响 应码;S203 所述解锁服务器将生成的解锁响应码发送给客户端。较佳的,所述解锁服务器根据自身保存的加密根密钥对所述解锁请求码进行验 证,具体包括解析出所述解锁请求码中包含的第一密文、序列号和第一消息摘要;根据保 存的加密根密钥得到所述序列号对应的加密子密钥;利用加密子密钥对由所述第一密文和 所述序列号组成的数据进行消息验证码MAC计算,确定得到的计算结果与所述第一消息摘 要相同时,利用加密子密钥对所述第一密文进行解密运算;确定第一密文解密后得到的序 列号与所述解锁请求码中包含的序列号一致,则所述解锁请求码验证通过。较佳的,所述解锁服务器根据自身保存的解锁根密钥生成解锁响应码,具体包括 根据保存的解锁根密钥得到所述序列号对应的解锁子密钥,并产生第二随机数;利用加密 子密钥对由第二随机数和解锁子密钥组成的第二明文进行加密运算,获得第二密文;利用 加密子密钥对所述第二密文进行消息验证码MAC计算,得到第二消息摘要;生成包含所述 第二密文和第二消息摘要的解锁响应码。较佳的,所述解锁服务器将生成的解锁响应码发送给客户端,具体包括推迟预设 的时间之后,确定未收到对该电子钥匙的挂失请求,则将解锁响应码发送给客户端;或,向 客户端发送关于该电子钥匙的用户信息的问题,确定收到的问题答案正确后,将解锁响应 码发送给客户端。采用本发明实施例提供的实现电子钥匙解锁的方法,通过采用高效的密码认证机 制,使得用户无需去银行柜台,只需通过客户端就可以为电子钥匙解锁,从而方便了用户的 使用,提高了解锁效率,且杜绝了安全隐患。下面以两个优选实施例详细介绍一下本发明提供的实现电子钥匙解锁的方法,在
7以下两个优选实施例中,以电子钥匙中常见的USB Key为例进行说明。当然,其他电子钥匙, 如公交一卡通、手机卡等,都可以使用本发明实施例中的方法进行解锁。实施例一本发明实施例提供了一种利用客户端的解锁工具实现USB Key解锁的方法,包括 如下步骤步骤一用户通过安装在客户端上的解锁工具向解锁服务器发送解锁请求码。用户将USB Key插入客户端,并打开安装在客户端上的解锁工具,该解锁工具是一 个用于解锁的软件。用户通过点击解锁工具上的“口令解锁”按钮向解锁工具发送解锁请 求。解锁工具接收到解锁请求之后,首先判断该USBKey是否被锁死,具体判断时,可采用多 种方式,例如,如果片内操作系统(ChipOperating System, COS)支持可获取用户个人识别 号(personal identificationnumber, PIN)可重试次数的指令,可以直接发送该指令获得 重试次数,如果取得重试次数为0代表已经锁死;如果COS不支持该指令,可以在USB Key 中设置标志位,当USB Key被锁死后,可在应用层将该标志位设置为指定数值,通过查询标 志位的数值,即可判断该USB Key是否被锁死。当判断出该USB Key已被锁死时,则生成解 锁请求码;当判断出该USB Key未被锁死时,则不予处理,或向用户返回提示消息,提示用 户该USB Key未被锁死。其中,解锁工具在生成解锁请求码时,需要执行如下步骤产生随机数Randoml,并从USB Key中读取该USB Key中存储的序列号SN和加密 子密钥her Secret Key,每个USB Key中都存储着唯一的序列号SN和唯一的加密子密钥 User Secret Key,不同的USB Key的序列号和加密子密钥是不同的。将该USB Key的加密 子密钥 User Secret Key 记为 Secret Keyl0首先,使用kcret Keyl作为密钥,对由随机数Randoml和该USB Key的SN组 成的明文 Plain textl(Randoml, SN)进行三重数据加密标准(Triple DataEncryption Standard, 3DES)加密运算,获得密文Cipher textl (Randoml,SN),当然,在这里并不局限于 3DES这一种加密算法,也可以采用其他的对称加密算法来实现;然后,使用kcret Keyl作为密钥,对由刚刚得到的密文Ciphertextl (Randoml, SN)以及SN组成的数据进行信息验证码(Messageauthentication codes,MAC)计算,得到 消息摘要 MACl (Ciphertext 1,SN);最后,利用密文Ciphertextl、SN以及刚刚得到的消息摘要MACl生成解锁请求 码 Unlock Requisition (Ciphertextl, SN, MAC1),即将密文 Ciphertextl、SN 以及刚刚 得到的消息摘要MACl进行相应编码运算后写入解锁请求码,则该解锁请求码中包含密文 Ciphertextl、SN以及刚刚得到的消息摘要MACl这三项信息。或者,也可以直接将密文 Ciphertextl、SN以及刚刚得到的第一消息摘要MACl作为解锁请求码。解锁工具将该解锁请求码发送给解锁服务器。步骤二 解锁服务器收到该解锁请求码后,验证该解锁请求码的有效性及用户身 份信息;若验证失败,则拒绝解锁请求,若验证成功,则继续执行步骤三。解锁服务器根据接收到的该解锁请求码Unlock Requisition,解析出SN、密文 Ciphertextl以及消息摘要MACl这三项信息,具体解析时,如果该解锁请求码是由密文 Ciphertextl, SN以及刚刚得到的消息摘要MACl进行相应编码运算后得到的,则对该解锁请求码进行相应的解码运算即可,如果该解锁请求码是由密文Ciphertextl、SN以及刚刚 得到的消息摘要MACl直接组成的,则可根据该解锁请求码直接得到解析结果。利用解析得 到的SN,并结合解锁服务器上保存的加密根密钥Root Secret Key,进行密码分散的计算, 得到SN对应的加密子密钥User Secret Key,记为Secret Key2。首先,利用kcret Key2作为密钥,对由解析得到的密文Ciphertextl (Randoml, SN)以及SN这两部分所组成的数据进行MAC计算,得到消息摘要MAC2 (Ciphertextl, SN), 将计算得到的消息摘要MAC2与解析得到的消息摘要MACl进行比较,如果MACl = = MAC2, 则说明收到的解锁请求码是有效的,继续进行后续处理;否则,说明解锁请求码无效,拒绝 解锁请求。然后,使用kcret Key2作为密钥,对收到的密文Ciphertextl (Randoml, SN)进 行解密,即进行3DES解密运算,得到密文Ciphertextl (Randoml,SN)对应的明文Plain textl (Randoml, SN),将使用kcret Key2解密后得到的明文中的SN与根据解锁请求码解 析得到的SN进行比较,如果一致,则说明用户身份认证成功,如果不一致,则用户身份认证 失败,拒绝解锁请求。通过上面的两个过程,首先利用MAC校验的方式,通过比较消息摘要MACl和消息 摘要MAC2确保了数据包的完整性,然后,利用密码校验的方式,通过比较SN是否一致,确认 了用户的身份信息,上述两个过程中的MAC校验或密码校验,只要有一个过程出现错误,即 拒绝解锁请求,只有当上述两个过程中的校验全部成功时,才继续执行步骤三。步骤三解锁服务器生成解锁响应码。利用已经得到的SN,结合解锁服务器上保存的解锁根密钥Root UnlockKey,进行 密码分散的计算,得到SN对应的解锁子密钥her UnLock Key0首先,解锁服务器产生随机数Random2,利用kcret Key2作为密钥,对由Random2 和 User UnLock Key 组成的明文 Plaintext2 (Random2,User UnLockKey)进行 3DES 加密运 算,得到对应的密文 Ciphertext2(Random2,User UnLockKey);然后,使用 Secret Key2 对密文 Ciphertext2 (Random2,User UnLock Key)做 MAC 计算得到消息摘要MAC3 (Ciphertext2);最后,利用密文Ciphertext2(Random2,User UnLock Key)以及刚刚得到的消息摘 要MAC3生成解锁响应码,该解锁响应码包含密文CipherteXt2以及消息摘要MAC3这两部
分{曰息。步骤四解锁服务器向客户端发送解锁响应码。为了应对突发事件,例如,当USB Key丢失后,他人捡到USB Key后申请解锁,如果 申请成功将会对该USB Key的用户造成损失,因此,解锁服务器可以在发送解锁响应码之 前,先根据自身的安全机制进行审核,审核方式包括推迟两天时间发送解锁响应码,从而 给用户足够的时间进行挂失,一旦用户挂失,则解锁服务器不再发送解锁响应码给客户端; 或者,需要申请解锁的用户回答与个人信息相关的问题,如果回答错误,则解锁服务器不再 发送解锁响应码给客户端,也可以采用其他审核方式,总之,只要能够保证USB Key用户的 合法性即可。审核通过后,服务器向客户端发送解锁响应码。步骤五客户端收到解锁响应码后进行解锁。客户端接收到解锁响应码之后,发送给解锁工具进行处理,解锁工具根据解锁响应码,解析出其中包含的密文CipherteXt2和消息摘要MAC3。利用kcretKeyl作为密钥, 对密文Ciphertext2进行MAC计算,得到消息摘要MAC4 (Ciphertext2),并在确定MAC3 = =MAC4时,利用kcret Keyl对密文Ciphertext2进行解密,得到其中的解锁子密钥her UnLock Key,利用解锁子密钥her Unlock Key对USB Key进行解锁。实施例二、本发明实施例提供了一种利用银行网银系统实现USB Key解锁的方法,包括如下 步骤步骤一用户通过客户端登陆银行的网银系统,并向解锁服务器发送解锁请求码。用户利用客户端使用银行账户和密码登陆银行的网银系统,在登陆过程中,网银 系统会给客户端的设备安装USB Key所使用的插件,该插件类似于实施例一中的解锁工具, 将代替解锁工具完成相应的功能。用户将USB Key插入客户端,选择网银系统中的解锁功 能后,该插件将代替解锁工具发送解锁请求码。插件首先判断该USB Key是否被锁死,只有 当USB Key被锁死时才会发送解锁请求码,如果USB Key未被锁死,则插件将不予处理,或 者,提示用户该USB Key未被锁死。其中,插件在生成解锁请求码时的具体步骤,以及解锁请求码所包含的内容与实 施例一中的相应内容相同,此处不再赘述。该插件将该解锁请求码发送给解锁服务器。步骤二 解锁服务器收到该解锁请求码后,验证该解锁请求码的有效性及用户身 份信息;若验证失败,则拒绝解锁请求,若验证成功,则继续执行步骤三。该步骤的具体执行过程与实施例一中的相应内容相同,此处不再赘述。步骤三解锁服务器生成解锁响应码。该步骤的具体执行过程与实施例一中的相应内容相同,此处不再赘述。步骤四向客户端发送解锁响应码。在本实施例中,因为用户是利用银行账号和密码登陆网银系统的,因此,用户的身 份已经得到了合法性认证,所以,在该步骤中,可以不执行实施例一中的审核操作,直接将 解锁响应码发送给客户端。步骤五客户端收到解锁响应码后进行解锁。客户端接收到解锁响应码之后,由插件进行解锁,具体解锁过程与实施例一相同。本发明实施例提供的实现USB Key解锁的方法,具备如下有益效果数据传输时采用MAC校验的方式,保证了传输的数据包的完整性,并且,关键信息 使用3DES加密算法进行加密,保证了数据的私密性;用户USB key的加密密钥和解锁密钥 由根密钥结合序列号进行密码分散得到,从而达到一 key —密;数据传输过程都有随机数 参与,保证加密结果每次都不同,保护加密密钥的安全;解锁过程全部由网络数据传输实 现,避免了解锁过程中用户USB Key在不同人之间的流动,增加了用户USB Key中信息的安 全性,且减少了人工解锁的维护成本,提高了解锁效率,为用户节省了去银行解锁的时间和 成本,方便了用户,提高了客户体验满意度。本发明实施例还提供了一种实现电子钥匙解锁的装置,如图3所示,包括发送单元31,用于利用电子钥匙中存储的序列号及加密子密钥生成解锁请求码, 并将所述解锁请求码发送到解锁服务器;
解锁单元32,用于接收所述解锁服务器返回的解锁响应码,从中解析出解锁子密 钥,并利用所述解锁子密钥对电子钥匙进行解锁。较佳的,所述发送单元31,具体用于产生第一随机数,利用加密子密钥对由第一随 机数和所述序列号组成的第一明文进行加密运算,获得第一密文;利用加密子密钥对由所 述第一密文和所述序列号组成的数据进行信息验证码MAC计算,得到第一消息摘要;生成 包含所述第一密文、序列号和第一消息摘要的解锁请求码。较佳的,所述解锁单元32,具体用于解析出所述解锁响应码中包含的第二密文和 第二消息摘要;利用加密子密钥对所述第二密文进行信息验证码MAC计算;确定得到的计 算结果与所述第二消息摘要相同时,利用加密子密钥对所述第二密文进行解密运算,得到 解锁子密钥。本发明实施例还提供了一种实现电子钥匙解锁的装置,如图4所示,包括接收单元41,用于接收客户端发送的解锁请求码,并根据自身保存的加密根密钥 对所述解锁请求码进行验证;生成单元42,用于在接收单元确定验证通过后,根据自身保存的解锁根密钥生成 解锁响应码;发送单元43,用于将生成的解锁响应码发送给客户端。较佳的,所述接收单元41,具体用于解析出所述解锁请求码中包含的第一密文、序 列号和第一消息摘要;根据保存的加密根密钥得到所述序列号对应的加密子密钥;利用加 密子密钥对由所述第一密文和所述序列号组成的数据进行消息验证码MAC计算,确定得到 的计算结果与所述第一消息摘要相同时,利用加密子密钥对所述第一密文进行解密运算; 确定第一密文解密后得到的序列号与所述解锁请求码中包含的序列号一致,则所述解锁请 求码验证通过。较佳的,所述生成单元42,具体用于根据保存的解锁根密钥得到所述序列号对应 的解锁子密钥,并产生第二随机数;利用加密子密钥对由第二随机数和解锁子密钥组成的 第二明文进行加密运算,获得第二密文;利用加密子密钥对所述第二密文进行消息验证码 MAC计算,得到第二消息摘要;生成包含所述第二密文和第二消息摘要的解锁响应码。较佳的,所述发送单元43,具体用于推迟预设的时间之后,确定未收到对该电子钥 匙的挂失请求,则将解锁响应码发送给客户端;或,向客户端发送关于该电子钥匙的用户信 息的问题,确定收到的问题答案正确后,将解锁响应码发送给客户端。本发明实施例提供的实现电子钥匙解锁的装置,具备如下有益效果数据传输时采用MAC校验的方式,保证了传输的数据包的完整性,并且,关键信息 使用加密算法进行加密,保证了数据的私密性;用户电子钥匙的加密密钥和解锁密钥由根 密钥结合序列号进行密码分散得到,从而达到一 key —密;数据传输过程都有随机数参与, 保证加密结果每次都不同,保护加密密钥的安全;解锁过程全部由网络数据传输实现,避免 了解锁过程中用户电子钥匙在不同人之间的流动,增加了用户电子钥匙中信息的安全性, 且减少了人工解锁的维护成本,提高了解锁效率,为用户节省了去银行解锁的时间和成本, 方便了用户,提高了客户体验满意度。本发明实施例还提供了一种实现电子钥匙解锁的系统,包括客户端,用于利用电子钥匙中存储的序列号及加密子密钥生成解锁请求码,并将所述解锁请求码发送到解锁服务器;接收所述解锁服务器返回的解锁响应码,从中解析出 解锁子密钥,并利用所述解锁子密钥对电子钥匙进行解锁;解锁服务器,用于接收客户端发送的解锁请求码,并根据自身保存的加密根密钥 对所述解锁请求码进行验证;在确定验证通过后,根据自身保存的解锁根密钥生成解锁响 应码;并将生成的解锁响应码发送给客户端。显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精 神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围 之内,则本发明也意图包含这些改动和变型在内。
权利要求
1.一种实现电子钥匙解锁的方法,其特征在于,包括客户端利用电子钥匙中存储的序列号及加密子密钥生成解锁请求码,并将所述解锁请 求码发送到解锁服务器;所述客户端接收所述解锁服务器返回的解锁响应码,从中解析出解锁子密钥,并利用 所述解锁子密钥对电子钥匙进行解锁。
2.如权利要求1所述的方法,其特征在于,所述客户端利用电子钥匙中存储的序列号 及加密子密钥生成解锁请求码,具体包括产生第一随机数,利用加密子密钥对由所述第一随机数和所述序列号组成的第一明文 进行加密运算,获得第一密文;利用所述加密子密钥对由所述第一密文和所述序列号组成的数据进行信息验证码计 算,得到第一消息摘要;生成包含所述第一密文、序列号和第一消息摘要的解锁请求码。
3.如权利要求1或2所述的方法,其特征在于,所述客户端接收所述解锁服务器返回的 解锁响应码,从中解析出解锁子密钥,具体包括解析出所述解锁响应码中包含的第二密文和第二消息摘要; 利用加密子密钥对所述第二密文进行信息验证码计算;确定得到的计算结果与所述第二消息摘要相同时,利用所述加密子密钥对所述第二密 文进行解密运算,得到解锁子密钥。
4.一种实现电子钥匙解锁的方法,其特征在于,包括解锁服务器接收客户端发送的解锁请求码,并根据自身保存的加密根密钥对所述解锁 请求码进行验证;所述解锁服务器确定验证通过后,根据自身保存的解锁根密钥生成解锁响应码; 所述解锁服务器将生成的解锁响应码发送给客户端。
5.如权利要求4所述的方法,其特征在于,所述解锁服务器根据自身保存的加密根密 钥对所述解锁请求码进行验证,具体包括解析出所述解锁请求码中包含的第一密文、序列号和第一消息摘要; 根据保存的加密根密钥得到所述序列号对应的加密子密钥;利用所述加密子密钥对由所述第一密文和所述序列号组成的数据进行消息验证码计 算,确定得到的计算结果与所述第一消息摘要相同时,利用加密子密钥对所述第一密文进 行解密运算;确定第一密文解密后得到的序列号与所述解锁请求码中包含的序列号一致,则所述解 锁请求码验证通过。
6.如权利要求4或5所述的方法,其特征在于,所述解锁服务器根据自身保存的解锁根 密钥生成解锁响应码,具体包括根据保存的解锁根密钥得到所述序列号对应的解锁子密钥,并产生第二随机数; 利用加密子密钥对由第二随机数和解锁子密钥组成的第二明文进行加密运算,获得第 二密文;利用所述加密子密钥对所述第二密文进行消息验证码计算,得到第二消息摘要; 生成包含所述第二密文和第二消息摘要的解锁响应码。
7.如权利要求4所述的方法,其特征在于,所述解锁服务器将生成的解锁响应码发送 给客户端,具体包括推迟预设的时间之后,确定未收到对该电子钥匙的挂失请求,则将解锁响应码发送给 客户端;或,向客户端发送关于该电子钥匙的用户信息的问题,确定收到的问题答案正确后,将解 锁响应码发送给客户端。
8.一种实现电子钥匙解锁的装置,其特征在于,包括发送单元,用于利用电子钥匙中存储的序列号及加密子密钥生成解锁请求码,并将所 述解锁请求码发送到解锁服务器;解锁单元,用于接收所述解锁服务器返回的解锁响应码,从中解析出解锁子密钥,并利 用所述解锁子密钥对电子钥匙进行解锁。
9.如权利要求8所述的装置,其特征在于,所述发送单元,具体用于产生第一随机数,利用加密子密钥对由所述第一随机数和所述序列号组成的第一明文 进行加密运算,获得第一密文;利用所述加密子密钥对由所述第一密文和所述序列号组成的数据进行信息验证码计 算,得到第一消息摘要;生成包含所述第一密文、序列号和第一消息摘要的解锁请求码。
10.如权利要求8或9所述的装置,其特征在于,所述解锁单元,具体用于 解析出所述解锁响应码中包含的第二密文和第二消息摘要;利用加密子密钥对所述第二密文进行信息验证码计算;确定得到的计算结果与所述第二消息摘要相同时,利用所述加密子密钥对所述第二密 文进行解密运算,得到解锁子密钥。
11.一种实现电子钥匙解锁的装置,其特征在于,包括接收单元,用于接收客户端发送的解锁请求码,并根据自身保存的加密根密钥对所述 解锁请求码进行验证;生成单元,用于在接收单元确定验证通过后,根据自身保存的解锁根密钥生成解锁响 应码;发送单元,用于将生成的解锁响应码发送给客户端。
12.如权利要求11所述的装置,其特征在于,所述接收单元,具体用于 解析出所述解锁请求码中包含的第一密文、序列号和第一消息摘要; 根据保存的加密根密钥得到所述序列号对应的加密子密钥;利用加密子密钥对由所述第一密文和所述序列号组成的数据进行消息验证码计算,确 定得到的计算结果与所述第一消息摘要相同时,利用加密子密钥对所述第一密文进行解密 运算;确定第一密文解密后得到的序列号与所述解锁请求码中包含的序列号一致,则所述解 锁请求码验证通过。
13.如权利要求11或12所述的装置,其特征在于,所述生成单元,具体用于 根据保存的解锁根密钥得到所述序列号对应的解锁子密钥,并产生第二随机数;利用所述加密子密钥对由第二随机数和解锁子密钥组成的第二明文进行加密运算,获得第二密文;利用加密子密钥对所述第二密文进行消息验证码计算,得到第二消息摘要;生成包含所述第二密文和第二消息摘要的解锁响应码。
14.如权利要求11所述的装置,其特征在于,所述发送单元,具体用于推迟预设的时间之后,确定未收到对该电子钥匙的挂失请求,则将解锁响应码发送给 客户端;或,向客户端发送关于该电子钥匙的用户信息的问题,确定收到的问题答案正确后,将解 锁响应码发送给客户端。
15.一种实现电子钥匙解锁的系统,其特征在于,包括客户端,用于利用电子钥匙中存储的序列号及加密子密钥生成解锁请求码,并将所述 解锁请求码发送到解锁服务器;接收所述解锁服务器返回的解锁响应码,从中解析出解锁 子密钥,并利用所述解锁子密钥对电子钥匙进行解锁;解锁服务器,用于接收客户端发送的解锁请求码,并根据自身保存的加密根密钥对所 述解锁请求码进行验证;在确定验证通过后,根据自身保存的解锁根密钥生成解锁响应码; 并将生成的解锁响应码发送给客户端。
全文摘要
本发明公开了一种实现电子钥匙解锁的方法、装置及系统,该方法包括以下步骤客户端利用电子钥匙中存储的序列号及加密子密钥生成解锁请求码,并将所述解锁请求码发送到解锁服务器;所述客户端接收所述解锁服务器返回的解锁响应码,从中解析出解锁子密钥,并利用所述解锁子密钥对电子钥匙进行解锁。本发明实施例提供的解锁方法及装置,可以解决现有技术中实现电子钥匙解锁时必须前往指定柜台,由工作人员手工操作所导致的使用不便、效率低下且存在安全隐患的技术问题。通过采用高效的密码认证机制,使用户无需去指定柜台,只需通过客户端就可以为电子钥匙解锁,从而方便了用户的使用,提高了解锁效率,且杜绝了安全隐患。
文档编号H04L29/06GK102075327SQ20101059918
公开日2011年5月25日 申请日期2010年12月21日 优先权日2010年12月21日
发明者汪雪林, 石晶晶, 陈波, 龙春江 申请人:北京握奇数据系统有限公司