[发明专利]电子签名工具的密码管理方法及系统

说明书

技术领域

本发明涉及信息安全领域，尤其涉及一种电子签名工具的密码管理方法及系统。

背景技术

目前，电子签名工具(也称为电子密码钥匙或电子密钥设备)的应用越来越广泛，特别是在金融领域，为了保证交易的安全性，网上银行用户越来越多地使用电子签名工具，例如，通过USB(Universal Serial Bus，通用串行总线)接口与交易终端(通常为个人计算机)相连的USB Key等，作为身份认证和交易认证的工具。

电子签名工具一般是通过校验用户输入的PIN码的正确性与否来验证该用户的身份是否合法。具体的校验过程一般为：电子签名工具与个人计算机(PC)相连，用户通过PC向电子签名工具输入PIN码，电子签名工具校验用户输入的PIN码是否正确。如果用户输入的PIN码正确，则允许该用户使用电子签名工具；如果用户输入的PIN码错误、且错误次数达到了预先设定的最大值，则电子签名工具将该PIN码锁定，用户将无法使用该电子签名工具。

电子签名工具在交付给用户时，电子签名工具的PIN码通常都被设置为统一的初始密码，例如‘123456’，用户在使用前都需要对PIN码进行修改。现有技术中，用户通常都在与电子签名工具相连的PC上对PIN码进行修改。由于PC的安全性较差，较容易被病毒、木马侵入，因此在PC上对PIN码进行修改非常容易造成PIN码的泄漏。

目前，还存在一种在硬件上具有对多种连接方式进行识别和自适应能力的USB设备，这种USB设备具有以下特点：

1)具有标准的USB机械接口形状和引脚，可以与主机端的USB接口相连；

2)对USB接口D+和D-引脚具有USB标准和非USB标准两类使用方式；USB标准使用方式符合USB协议的电气和协议规范，非USB标准使用方式不符合USB协议的电气和协议规范；

3)设备在硬件层面可以识别出对D+和D-引脚不同的使用方式。

申请号为201010142982.X，名称为“USB Key装置及其利用USB接口实现智能卡通信的方法”的中国专利申请记载了一种具有对多种连接方式进行识别和自适应能力的USB设备。该专利所记载的USB装置通过D+或D-引脚上的电平来识别其连接的是USB主设备(标准使用方式)或者是USB读卡器(非标准使用方式)。

图1为上述专利申请中记载的USB Key的电路原理图。图1所示的USB Key中，USB接口1的D+和D-引脚分别与USB接口电路2的D+和D-引脚相连，并且USB接口的D+和D-引脚还分别与I/O接口电路3的双向接口A和输入接口B相连；接口处理单元5在USBKey上电时判断双向接口A的电平(即判断D+引脚的电平)，如果为低电平，则打开USB接口电路，使安全芯片4通过USB接口电路2与USB主设备进行数据交互；如果为高电平，则关闭USB接口电路2，打开IO接口电路3，使安全芯片4通过I/O接口电路3与外接设备，如IC(Integrate Circuit，集成电路)卡读卡器进行数据交互。

图1所示的USB Key中，当使用I/O接口电路与外接设备进行数据交互时，与I/O接口电路的双向接口相连的D+引脚与IC卡标准中的I/O引脚作用相同，与I/O接口电路的输入接口相连的D-引脚与IC卡标准中的RST引脚(用于发送复位信号)作用相同；外接设备(如IC卡读卡器)只需进行简单地改造即可将该USB Key当作一个IC卡来使用。

由于图1所示的USB Key的安全芯片可识别出是否正在通过USB接口与外接设备进行数据交互，安全芯片可以据此实施不同的安全策略。例如，当USB Key通过USB接口与外接设备(通常为比较容易被病毒或木马侵入的PC)进行数据交互时，将其作为不可信任的外接设备，实施严格的安全策略，仅启动对安全性要求较低的应用；当USB Key通过I/O接口电路与外接设备(例如，IC卡读卡器，银行柜员机，密码键盘等)进行数据交互时，将其作为可信任的外接设备，实施宽松的安全策略，可以启动对安全性要求较高的应用(例如，对PIN码的修改、重置和解锁等密码管理操作)。

如上所述，由于PC的安全性较差，如何在不使用PC的情况下，对PIN码进行修改、重置和解锁等密码管理操作是目前需要解决的技术问题。

发明内容

本发明的目的是提供一种电子签名工具的密码管理方法及系统，可在不使用PC的情况下，实现对电子签名工具的密码管理操作，提高了电子签名工具密码管理的安全性。

本发明的目的是通过以下技术方案实现的：

本发明实施方式提供一种电子签名工具的密码管理方法，包括：