信息安全設備的遠程解鎖方法

專利名稱：信息安全設備的遠程解鎖方法
技術領域：
本發明涉及一種遠程解鎖方法，特別是一種信息安全設備固件的遠程解鎖方法。
背景技術：
通常情況下，包括手機、智能卡等這些用軟件加密保護以及身份驗證的信息安全設備產品的銷售模式是發行商—用戶，普通用戶在忘記自行設定的PIN碼(信息安全設備的密碼，用來防止他人盜用。當用戶啟用PIN碼后，相當于給信息安全設備加了一個密碼，用戶可以自行修改PIN碼)或PIN碼被鎖定后，需要通過發行商解鎖或者恢復初始PIN碼，這個過程需要發行商通過PUK(Personal Unlock Key，是用來對因錯誤輸入PIN碼而鎖住的信息安全設備進行解鎖使用的。每個PIN碼對應不同的PUK碼，當PIN碼多次輸入錯誤后，信息安全設備被鎖，需輸入PUK碼解鎖，在現有技術中也有人把PUK碼稱為SOPIN碼)碼驗證，但是如果發行商忘記了PUK碼，就無法完成解鎖或恢復PIN碼的工作，從而無法進行解鎖，這時就需要發行商同生產商聯系，實現對PUK碼的恢復。
傳統的方式是硬件報廢或發行商返回硬件設備給生產商，這一過程不僅需要耗費大量的人力、物力，而且硬件設備很容易在遠距離的傳遞過程中損壞或丟失，給用戶正常使用信息安全設備帶來不必要的麻煩。

發明內容
為了解決上述存在的問題，本發明提供一種信息安全設備的遠程解鎖方法，該方法無需將該設備返回給生產商進行解鎖，在發行商或用戶手中便可直接完成解鎖過程。
本發明通過以下方案實現一種信息安全設備的遠程解鎖方法，包括如下步驟(1)信息安全設備持有者從信息安全設備中獲取相關硬件信息；(2)將包含硬件信息的認證信息發送到硬件恢復信息生成裝置，所述硬件恢復信息生成裝置用于將認證信息生成硬件恢復信息；(3)硬件恢復信息生成裝置根據認證信息生成硬件恢復信息；(4)信息安全設備持有者用硬件恢復信息實現解鎖。
所述信息安全設備包括手機、智能卡、USB Key、智能密鑰設備。
所述信息安全設備持有者為信息安全設備發行商或信息安全設備的用戶。
所述步驟2中，所述認證信息包含硬件信息、信息安全設備持有者的特征信息。
所述硬件信息包括信息安全設備的唯一標識，保證每個信息安全設備對應唯一的認證信息。
所述信息安全設備持有者的特征信息是硬件恢復信息生成裝置操作者用來對該信息安全設備持有者身份進行驗證的信息。
所述步驟2中，硬件恢復信息生成裝置根據合法信息安全設備持有者的認證信息，分配特征碼，該特征碼配合認證信息生成硬件恢復信息。
所述特征碼不同于以往解鎖信息中的特征碼，它以密文的形式存在于硬件恢復信息中，對信息安全設備持有者來說是不可見的，只能被硬件設備所認取。
所述步驟3中，所述硬件恢復信息是通過一些基本信息并由加密算法生成，在用戶端實現解密，這些基本信息包括信息安全設備唯一標識、信息安全設備持有者的特征信息或特征碼。
所述加密解密過程采用對稱或非對稱算法。
所述步驟3中硬件恢復信息以密文的形式發送給信息安全設備持有者。
硬件設備持有者對以密文的形式發送的硬件恢復信息，在信息安全設備中進行解密；信息安全設備對硬件恢復信息進行解密，獲取新的PUK碼后完成解鎖任務，或者當信息安全設備完成解鎖后返回新的PUK碼。
所述PUK碼的生成有三種方式1)所述PUK碼對信息安全設備持有者來說是可見的，它可以以明文的形式存在于硬件恢復信息之中；2)所述PUK碼以密文的形式存在于解鎖信息中，合法信息安全設備持有者在完成對硬件恢復信息的解密后，便可得到該PUK碼；3)所述PUK碼是一個默認的初始值，合法信息安全設備持有者可以從公開的渠道獲得。
解鎖時需要對特征碼進行判定。
所述步驟4中，所述對信息安全設備的解鎖過程中，生產商預置在信息安全設備中的相關信息將把本次解鎖信息中的特征碼和上次用于恢復PUK碼的解鎖信息中的特征碼進行比較，只有當本次分配的特征碼不同于以往解鎖信息中的特征碼時，生成的解鎖信息才有效，即能夠恢復出有效的PUK碼，用其完成對信息安全設備PIN碼的解鎖。


圖1為本發明的流程圖。
具體實施例方式
下面結合附圖和具體實施例對本發明的工作流程進行更詳細的描述。
實施例1在本實施例中，所述信息安全設備持有者為信息安全設備發行商，硬件恢復信息生成裝置在硬件生產商手中。
如圖1所示，步驟101開始后，步驟102信息安全設備發行商從信息安全設備中獲取相關硬件信息后生成認證信息，所述認證信息包含硬件信息、發行商的特征信息，這些信息對于發行商來說是可見的。硬件信息可以采用信息安全設備的序列號，保證了每個信息安全設備對應唯一的認證信息。所述發行商的特征信息是信息安全設備生產商用來對該發行商身份進行驗證的信息。
步驟103，信息安全設備發行商將認證信息發送給信息安全設備生產商。
步驟104，生產商根據發行商提供的認證信息驗證信發行商的身份。
步驟105，判斷發行商的身份是否合法，若發行商通過身份認證則執行步驟107，否則執行步驟106。
步驟106，發行商沒有通過身份認證，系統提示錯誤，返回步驟104，要求重新進行身份驗證。
步驟107，信息安全設備生產商根據合法發行商的認證信息，分配的特征碼，該特征碼配合認證信息在硬件恢復信息裝置中生成硬件恢復信息。所述硬件恢復信息中主要包含生產商對發行商提供的新的解鎖信息，該信息是經加密后形成的密文，用于恢復PUK碼，只有合法發行商才能對該密文進行解密，所述硬件恢復信息的生成不需要用戶手中的信息安全設備就可以完成。在本實施例中，所述特征碼可以是一個流水號或者一個日期值，它以密文的形式存在于硬件恢復信息中，對發行商來說是不可見的，只能被信息安全設備所認取。所述硬件恢復信息是通過一些基本信息并由特定的加密算法生成(所謂加密算法就是將信息變成密文的計算方法。根據密鑰類型的不同將現代密碼技術分為兩類-對稱加密算法和非對稱加密算法。對稱鑰匙加密系統是加密和解密均采用同一把密鑰；非對稱密鑰加密和解密采用不同的密鑰)。，這些基本信息包括硬件序列號(A)、發行商的特征信息(B)或特征碼(C)，可以采用如下算法如K＝A+B+C，或K＝A^B^C，等其中K為硬件恢復信息。
硬件恢復信息可以通過類似以上算法的一系列計算生成，在以上最簡單的算法中，由A、B、C可以推導出K，但是不能從K推導出A、B和C。
步驟108，信息安全設備生產商發送硬件恢復信息給發行商。在發送時，不必保證信息被截獲，因為硬件恢復信息是由生產商根據發行商當前的信息安全設備的硬件信息生成，其他任何人獲得硬件恢復信息后無法對自己的信息安全設備進行解鎖。
步驟109信息安全設備發行商根據信息安全設備生產商提供的硬件恢復信息，結合上層軟件及硬件對密文進行解密，恢復PUK碼。所述解密過程可采用與加密過程對稱或非對稱算法。
所述PUK碼對發行商來說是可見的，它可以以明文的形式存在于解鎖信息之中，也可以以密文的形式存在于解鎖信息中，合法發行商在完成對硬件恢復信息的解密后，便可得到該PUK碼，所述PUK碼還可以是一個默認的初始值，合法發行商可以從公開的渠道獲得。當發行商完成對硬件恢復信息的解密得到新的PUK碼后，用于生成該PUK碼的解鎖信息被修改，再次用于恢復PUK碼所需的解鎖信息已經改變，從而保證了一次一密。所述一次一密即發行商每進行完一次PUK碼的恢復后，所用解鎖信息就失效，再次需要恢復PUK碼時需使用新的解鎖信息。
步驟110，發行商得到該PUK碼后，就可以用它來完成對信息安全設備PIN碼的解鎖。
解鎖信息的不同性主要取決于生產商在對發行商進行身份認證時，根據發行商所提供的認證信息每次分配的特征碼不同，因此，在硬件恢復信息生成裝置中生成的硬件恢復信息也不同。發行商在對硬件恢復信息進行解密的過程中，生產商預置在信息安全設備中的相關信息將把本次解鎖信息中的特征碼和上次用于恢復PUK碼的解鎖信息中的特征碼進行比較，只有當本次分配的特征碼與以往解鎖信息中的特征碼均不同時，生成的解鎖信息才有效，即能夠恢復出有效的PUK碼，用其完成對信息安全設備PIN碼的解鎖。
在本發明中，由于每個用戶購買的信息安全設備產品中硬件唯一信息不相同，每個用戶之間的解鎖數據不能互相使用，從而保證了一人一密。
步驟111，完成信息安全設備的遠程解鎖。
本實施例中是一個先解密后恢復PUK碼的過程，這兩個過程是在信息安全設備內部完成的，和加密一樣解密也是同該型號信息安全設備的硬件信息相關的，這樣，根據某一型號的信息安全設備生成的密文只能由同一型號的信息安全設備進行解密。
實施例2在本實施例中，所述信息安全設備持有者為使用該信息安全設備的用戶，所述遠程解鎖過程由用戶自己通過手中的硬件設備及上層軟件來實現。此時用戶不再需要到發行商處進行解鎖，直接與信息安全設備生產商聯系，向信息安全設備生產商提供認證信息，通過身份驗證后便可獲得信息安全設備生產商提供的解鎖信息，實現對信息安全設備的解鎖。
以上對本發明所提供的信息安全設備的遠程解鎖方法進行了詳細介紹，本文中應用了具體個例對本發明的原理及實施方式進行了闡述，以上實施例的說明只是用于幫助理解本發明的方法及其核心思想；同時，對于本領域的一般技術人員，依據本發明的思想，在具體實施方式
及應用范圍上均會有改變之處，綜上所述，本說明書內容不應理解為對本發明的限制。
權利要求
1.一種信息安全設備的遠程解鎖方法，包括如下步驟(1)信息安全設備持有者從信息安全設備中獲取相關硬件信息；(2)將包含所述硬件信息的認證信息發送到硬件恢復信息生成裝置，所述硬件恢復信息生成裝置用于將所述認證信息生成硬件恢復信息；(3)所述硬件恢復信息生成裝置根據所述認證信息生成所述硬件恢復信息，并返回給合法信息安全設備持有者；(4)所述信息安全設備持有者用所述硬件恢復信息實現解鎖。
2.根據權利要求1所述的信息安全設備的遠程解鎖方法，其特征在于所述信息安全設備包括手機、智能卡、USB Key、智能密鑰設備。
3.根據權利要求1或2所述的信息安全設備的遠程解鎖方法，其特征在于所述信息安全設備持有者為信息安全設備發行商或信息安全設備的用戶。
4.根據權利要求1所述的信息安全設備的遠程解鎖方法，其特征在于所述步驟2中，所述認證信息包含所述硬件信息、信息安全設備持有者的特征信息。
5.根據權利要求4所述的信息安全設備的遠程解鎖方法，其特征在于所述硬件信息包括信息安全設備的唯一標識，保證每個信息安全設備對應唯一的認證信息。
6.根據權利要求4所述的信息安全設備的遠程解鎖方法，其特征在于所述信息安全設備持有者的特征信息是硬件恢復信息生成裝置操作者用來對所述信息安全設備持有者身份進行驗證的信息。
7.根據權利要求1所述的信息安全設備的遠程解鎖方法，其特征在于所述步驟2中，所述硬件恢復信息生成裝置根據合法信息安全設備持有者的認證信息，分配特征碼，該特征碼配合認證信息生成硬件恢復信息。
8.根據權利要求7所述的信息安全設備的遠程解鎖方法，其特征在于所述特征碼不同于以往解鎖信息中的特征碼，它以密文的形式存在于所述硬件恢復信息中，對所述信息安全設備持有者來說是不可見的，只能被所述信息安全設備所認取。
9.根據權利要求1所述的信息安全設備的遠程解鎖方法，其特征在于所述步驟3中，所述硬件恢復信息是通過一些基本信息并由加密算法生成，在用戶端實現解密，這些基本信息包括信息安全設備唯一標識、信息安全設備持有者的特征信息或特征碼。
10.根據權利要求9所述的信息安全設備的遠程解鎖方法，其特征在于所述加密解密過程采用對稱或非對稱算法。
11.根據權利要求1所述的信息安全設備的遠程解鎖方法，其特征在于所述步驟3中硬件恢復信息以密文的形式發送給所述信息安全設備持有者。
12根據權利要求11所述的信息安全設備的遠程解鎖方法，其特征在于所述硬件設備持有者對以密文的形式發送的硬件恢復信息，在所述信息安全設備中進行解密。
13.根據權利要求12所述的信息安全設備的遠程解鎖方法，其特征在于所述信息安全設備對所述硬件恢復信息進行解密，獲取新的PUK碼后完成解鎖任務，或者當信息安全設備完成解鎖后返回新的PUK碼。
14.根據權利要求13所述的信息安全設備的遠程解鎖方法，其特征在于所述PUK碼的生成有三種方式1)所述PUK碼對信息安全設備持有者來說是可見的，它可以以明文的形式存在于硬件恢復信息之中；2)所述PUK碼以密文的形式存在于解鎖信息中，合法信息安全設備持有者在完成對所述硬件恢復信息的解密后，便可得到該PUK碼；3)所述PUK碼是一個默認的初始值，合法信息安全設備持有者可以從公開的渠道獲得。
15.根據權利要求1所述的信息安全設備的遠程解鎖方法，其特征在于所述步驟4中，解鎖時需要對特征碼進行判定。
16.根據權利要求1所述的信息安全設備的遠程解鎖方法，其特征在于所述步驟4中，所述對信息安全設備的解鎖過程中，生產商預置在信息安全設備中的相關信息將把本次解鎖信息中的特征碼和上次用于恢復PUK碼的解鎖信息中的特征碼進行比較，只有當本次分配的特征碼不同于以往解鎖信息中的特征碼時，生成的解鎖信息才有效，即能夠恢復出有效的PUK碼，用其完成對信息安全設備PIN碼的解鎖。
全文摘要
本發明公開了一種信息安全設備的遠程解鎖方法，包括如下步驟信息安全設備持有者從信息安全設備中獲取相關硬件信息；將包含硬件信息的認證信息發送到硬件恢復信息生成裝置，所述硬件恢復信息生成裝置根據認證信息生成硬件恢復信息；信息安全設備持有者用硬件恢復信息實現解鎖。本發明無需將信息安全設備返回給生產商進行解鎖，在發行商或用戶手中便可直接完成解鎖過程，解鎖簡單、安全、方便。
文檔編號H04Q7/32GK1901443SQ20061009876
公開日2007年1月24日 申請日期2006年7月12日 優先權日2006年7月12日
發明者陸舟, 于華章 申請人:北京飛天誠信科技有限公司