CN102281143B - 智能卡远程解锁系统 - Google Patents
智能卡远程解锁系统 Download PDFInfo
- Publication number
- CN102281143B CN102281143B CN201110253400.XA CN201110253400A CN102281143B CN 102281143 B CN102281143 B CN 102281143B CN 201110253400 A CN201110253400 A CN 201110253400A CN 102281143 B CN102281143 B CN 102281143B
- Authority
- CN
- China
- Prior art keywords
- argument
- sub
- unlocking
- auditing
- smart card
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Landscapes
- Lock And Its Accessories (AREA)
Abstract
本发明公开了智能卡远程解锁系统及解锁方法,该解锁系统中客户端用于产生智能卡解锁请求,提交身份校验数据,接收解锁指令并执行智能卡解锁操作;分理/代理单元与客户端进行数据传输,用于审核客户端提交的身份校验数据和相应的智能卡解锁请求;授权审计与计费单元与分理/代理单元进行数据传输,用于校验来自分理/代理单元的解锁请求;密钥管理单元与授权审计与计费单元进行数据传输,用于管理解锁密钥。解锁时解锁请求由智能卡产生,经各级分理/代理点传递至授权中心,授权中心的解锁应答亦由各级分理/代理点传回卡片;解锁指令加密传输。本发明可有效降低传统智能卡解锁模式和方法中存在的密钥泄露、失控等安全隐患。
Description
技术领域
本发明涉及一种智能卡技术,具体涉及一种智能卡远程解锁系统以及与该系统相配合的解锁方法。
背景技术
智能卡的芯片操作系统在设计之时,均会为敏感操作提供身份鉴别机制,以防卡片被误用或是敏感信息泄露。通常做法是要求持卡人在敏感操作之前输入PIN码,卡片内校验通过之后才允许敏感操作执行。如果不通过,持卡人尝试次数是受到限制的,以防穷举破解。那么重试次数超过限制之后,卡片会进入锁定状态,不再允许尝试。
当卡片遵循安全机制设定进入锁定状态时,需要专用解锁指令进行解锁。在卡片生产或发行时,会预共享一段密钥,用于解除PIN码锁定。常见的PIN码解锁装置、程序等会根据此密钥产生解锁指令,当需要时传入卡内进行卡片解锁。但是这种做法存在巨大的安全隐患:
1)卡片解锁不可控。同批次同类型卡片可以使用专用解锁工具任意解锁,无法控制和限制使用范围。
2)解锁操作不可审计,不可追踪。由于缺乏紧密结合的有效管理手段,无法统计卡片解锁操作,也无法认定执行卡片解锁操作的个人。
3)解锁密钥泄露风险增大。解锁工具内置预共享解锁密钥,一旦被反编译或是破解,该密钥泄露的概率极高。
采用专用设备、专人定点为持卡人解锁,可以提高安全性,但是操作极不方便,增加了持卡人的用卡成本。
由此,如何提高智能卡解锁的可操行和安全性,是本领域亟需解决的技术问题。
发明内容
本发明针对现有技术存在的缺陷,提供了一种智能卡远程解锁系统,该系统采用授权中心-分理/代理点-用户多级可扩展的安全解锁模式,既提高了安全性,又保证解锁服务广泛可达、易于获取。
为了达到上述目的,本发明采用如下的技术方案:
智能卡远程解锁系统,所述系统包括:
客户端,用于产生智能卡解锁请求,提交身份校验数据,接收解锁指令并执行智能卡解锁操作;
分理/代理单元,与客户端进行数据传输,用于审核客户端提交的身份校验数据和相应的智能卡解锁请求;
授权审计与计费单元,与分理/代理单元进行数据传输,用于校验来自分理/代理单元的解锁请求,并通过设定规则进行审计和计费;
密钥管理单元,与授权审计与计费单元进行数据传输,用于管理解锁密钥,并使相应解锁密钥可备份、可恢复和不可明文导出。
进一步的,所述分理/代理单元由多级的上级分理/代理点和下级分理/代理点组成,所述下级分理/代理点与客户端和上级分理/代理点之间进行数据传输,所述下级分理/代理点用于审核客户端提交的身份校验数据和相应的智能卡解锁请求,所述上级分理/代理点用于审核下级分理/代理点提交的身份校验数据和相应的智能卡解锁请求。
再进一步的,所述数据传输采用一次一密模式。
基于上述解锁系统,本发明还提供一种智能卡远程解锁方法,该方法包括如下步骤:
(1)用户通过客户端产生智能卡解锁请求,并提交相应的身份校验数据,将智能卡解锁请求和身份校验数据签名后传至分理/代理单元;
(2)分理/代理单元验证客户端提供的数据,并根据身份校验数据鉴别智能卡持有者身份,审核智能卡解锁请求,在审核通过后对其进行签名并传至授权审计与计费单元;
(3)授权审计与计费单元验证分理/代理单元提交请求数据的合法性,在验证通过后对相应的请求数据进行签名发送至密钥管理单元,并对相应的解锁请求进行审计和计费;
(4)密钥管理单元验证授权审计与计费单元提交的请求数据的合法性,相应解锁请求,获取解锁密钥产生解锁指令,并对解锁指令进行签名加密后传至授权审计与计费单元;
(5)授权审计与计费单元在解密并验证签名后将解锁指令再次签名加密后传至分理/代理单元;
(6)分理/代理单元在解密并验证签名后,解包解锁指令,并对其签名加密后传至客户端;
(7)客户端在解密并验证签名后获取相应的解锁指令,并根据解锁指令对智能卡进行解锁。
进一步的,在上述各个单元之间进行数据传输之前还包括相互身份鉴别步骤。
根据上述方案形成的本发明与现有技术相比具有以下优势:
(1)采用授权中心-分理/代理点-用户的多级可扩展模式,一次一密、全程加密传递解锁指令序列;集中管理解锁核心密钥,统一解锁操作入口,可有效降低传统智能卡解锁模式和方法中存在的密钥泄露、失控等安全隐患;
(2)解锁操作可控、人员操作可追踪、总体使用情况可审计;
(3)部署灵活易于扩展等。
附图说明
以下结合附图和具体实施方式来进一步说明本发明。
图1为本发明的系统框图;
图2为本发明解锁的原理图;
图3为本发明中解锁请求基本信息数据结构示意图;
图4为本发明中解锁请求数据结构示意图;
图5为本发明中密码服务请求数据结构示意图;
图6为本发明中密码服务响应数据结构示意图。
具体实施方式
为了使本发明实现的技术手段、创作特征、达成目的与功效易于明白了解, 下面结合具体图示,进一步阐述本发明。
参见图1,本发明提供的智能卡远程解锁系统,整个解锁系统包括客户端100、分理/代理单元200、授权审计与计费单元300以及密钥管理单元400。
其中,客户端100用于产生智能卡解锁请求,提交身份校验数据,接收解锁指令并执行智能卡解锁操作。
分理/代理单元200与客户端100进行数据传输,主要用于审核客户端提交的身份校验数据和相应的智能卡解锁请求。分理/代理单元200与客户端100之间的数据传输采用数字签名进行安全保护。
同时分理/代理单元200由多级的上级分理/代理点201和下级分理/代理点202组成,下级分理/代理点202与客户端100和上级分理/代理点201之间进行数据传输。其中下级分理/代理点202用于审核客户端提交的身份校验数据和相应的智能卡解锁请求,上级分理/代理点201用于审核下级分理/代理点提交的身份校验数据和相应的智能卡解锁请求。
授权审计与计费单元300与分理/代理单元200进行数据传输,并采用数字签名进行安全保护。其主要用于校验来自分理/代理单元的解锁请求,并通过设定规则进行审计和计费。
密钥管理单元400与授权审计与计费单元300进行数据传输,并采用数字签名进行安全保护。其主要用于管理解锁密钥,并使相应解锁密钥可备份、可恢复和不可明文导出。
上述方案形成的解锁系统采用授权中心-分理/代理点-用户的多级可扩展模式,由密钥管理单元集中管理解锁核心密钥,统一解锁服务入口,具有极高的安全性。
再者,各个单元之间均采用全程加密传输模式所有数据请求与回应均有数字证书签名保护,进一步提高其数据传输的安全性。
基于上述解锁系统,进行智能卡远程解锁方法具体包括如下步骤(参见图2):
(1)用户通过客户端产生智能卡解锁请求,并提交相应的身份校验数据,将智能卡解锁请求和身份校验数据签名后传至分理/代理单元;
(2)分理/代理单元验证客户端提供的数据,并根据身份校验数据鉴别智 能卡持有者身份,审核智能卡解锁请求,在审核通过后对其进行签名并传至授权审计与计费单元;
(3)授权审计与计费单元验证分理/代理单元提交请求数据的合法性,在验证通过后对相应的请求数据进行签名发送至密钥管理单元,并对相应的解锁请求进行审计和计费;
(4)密钥管理单元验证授权审计与计费单元提交的请求数据的合法性,相应解锁请求,获取解锁密钥产生解锁指令,并对解锁指令进行签名加密后传至授权审计与计费单元;
(5)授权审计与计费单元在解密并验证签名后将解锁指令再次签名加密后传至分理/代理单元;
(6)分理/代理单元在解密并验证签名后,解包解锁指令,并对其签名加密后传至客户端;
(7)客户端在解密并验证签名后获取相应的解锁指令,并根据解锁指令对智能卡进行解锁。
在上述步骤中,在客户端与分理/代理单元之间、分理/代理单元与授权审计与计费单元之间以及授权审计与计费单元与密钥管理单元之间进行数据传输之前可进行相互身份鉴别的操作,具体方法可以采用多种方法,只要能够达到识别传输数据双方的身份即可。
基于上述方案,本发明实现远程解锁操作的流程如下:
1)持卡客户端产生用户请求
客户端根据持卡用户的要求产生包含相应基本信息的解锁请求数据包,并将相应的解锁请求数据包进行提交。
参见图3,客户端产生的解锁请求基本信息数据包主要包含:待解锁智能卡的序列号、智能卡卡片软硬件版本以及智能卡内产生的随机数。
2)分理/代理点鉴别用户请求数据,重新组包、传递请求
分理/代理点根据自定规则审核用户身份,检查客户端提交的解锁请求数据包的完整性,并附加自身身份标示信息,重新封装解锁请求数据包并签名。如图4所示,其形成的数据结构主要包含:分理/代理点标示、操作人员身份标示、解锁请求基本信息数据、数字签名。
3)授权中心(即授权审计与计费单元)鉴别请求数据,发送密钥服务请求至密钥管理中心(即密钥管理单元)
授权中心校验分理/代理点请求合法性,解析出卡片序列号、卡片软硬件版本和卡内产生随机数等基本信息数据,形成密码服务请求数据,并发送到密钥管理中心。
参见图5,密码服务请求数据主要包含:操作类型、卡内产生的随机数、接收端加密公钥。
4)密钥管理中心(即密钥管理单元)响应密码服务请求,产生一次一密解锁指令,形成密码服务响应数据,并加密传回。
参见图6,密码服务响应数据主要包含:使用接收端公钥加密、一次一密解锁指令以及数字签名。
5)授权中心回传响应数据。
6)代理/分理点解包数据,发送解锁指令至客户端。
7)客户端发送解锁指令到卡片,完成解锁。
以上显示和描述了本发明的基本原理、主要特征和本发明的优点。本行业的技术人员应该了解,本发明不受上述实施例的限制,上述实施例和说明书中描述的只是说明本发明的原理,在不脱离本发明精神和范围的前提下,本发明还会有各种变化和改进,这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。
Claims (3)
1.智能卡远程解锁系统,其特征在于,所述系统包括:
客户端,用于产生智能卡解锁请求,提交身份校验数据,接收解锁指令并执行智能卡解锁操作;
分理/代理单元,与客户端进行数据传输,用于审核客户端提交的身份校验数据和相应的智能卡解锁请求;
授权审计与计费单元,与分理/代理单元进行数据传输,用于校验来自分理/代理单元的解锁请求,并通过设定规则进行审计和计费;
密钥管理单元,与授权审计与计费单元进行数据传输,用于管理解锁密钥,并使相应解锁密钥可备份、可恢复和不可明文导出;
由此形成授权中心-分理/代理点-用户的多级可扩展模式,一次一密、全程加密传递解锁指令序列;集中管理解锁核心密钥,统一解锁操作入口;
所述解锁系统的工作过程如下:
(1)用户通过客户端产生智能卡解锁请求,并提交相应的身份校验数据,将智能卡解锁请求和身份校验数据签名后传至分理/代理单元;所述智能卡解锁请求的基本信息数据包主要包含:待解锁智能卡的序列号、智能卡卡片软硬件版本以及智能卡内产生的随机数;
(2)分理/代理单元验证客户端提供的数据,并根据自定规则审核用户身份,检查客户端提交的解锁请求数据包的完整性,并附加自身身份标示信息,重新封装解锁请求数据包并签名并传至授权审计与计费单元,其形成的数据结构主要包含:分理/代理点标示、操作人员身份标示、解锁请求基本信息数据、数字签名;
(3)授权审计与计费单元验证分理/代理单元提交请求数据的合法性,在验证通过后,解析出卡片序列号、卡片软硬件版本和卡内产生随机数,形成密码服务请求数据,对相应的请求数据进行签名发送至密钥管理单元,并对相应的解锁请求进行审计和计费;所述密码服务请求数据包含:操作类型、卡内产生的随机数、接收端加密公钥;
(4)密钥管理单元验证授权审计与计费单元提交的请求数据的合法性,相应解锁请求,获取解锁密钥产生一次一密解锁指令,形成密码服务响应数据,并加密后传至授权审计与计费单元;所述密码服务响应数据包含:使用接收端公钥加密、一次一密解锁指令以及数字签名;
(5)授权审计与计费单元在解密并验证签名后将解锁指令再次签名加密后传至分理/代理单元;
(6)分理/代理单元在解密并验证签名后,解包解锁指令,并对其签名加密后传至客户端;
(7)客户端在解密并验证签名后获取相应的解锁指令,并根据解锁指令对智能卡进行解锁。
2.根据权利要求1所述的智能卡远程解锁系统,其特征在于,所述分理/代理单元由多级的上级分理/代理点和下级分理/代理点组成,所述下级分理/代理点与客户端和上级分理/代理点之间进行数据传输,所述下级分理/代理点用于审核客户端提交的身份校验数据和相应的智能卡解锁请求,所述上级分理/代理点用于审核下级分理/代理点提交的身份校验数据和相应的智能卡解锁请求。
3.根据权利要求1所述的智能卡远程解锁系统,其特征在于,所述系统中的分理/代理单元、授权审计与计费单元、密钥管理单元之间进行数据传输之前还包括相互身份鉴别步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110253400.XA CN102281143B (zh) | 2011-08-30 | 2011-08-30 | 智能卡远程解锁系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110253400.XA CN102281143B (zh) | 2011-08-30 | 2011-08-30 | 智能卡远程解锁系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102281143A CN102281143A (zh) | 2011-12-14 |
| CN102281143B true CN102281143B (zh) | 2015-04-01 |
Family
ID=45106341
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201110253400.XA Expired - Fee Related CN102281143B (zh) | 2011-08-30 | 2011-08-30 | 智能卡远程解锁系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102281143B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP4258596A1 (en) * | 2022-04-08 | 2023-10-11 | Sebastien Armleder | Method for digital signing and corresponding system |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102780978B (zh) * | 2012-08-14 | 2015-06-03 | 福建伊时代信息科技股份有限公司 | 智能卡解锁方法及系统 |
| CN102902464B (zh) * | 2012-09-25 | 2015-08-05 | 百度在线网络技术(北京)有限公司 | 一种移动终端的解锁方法及装置 |
| CN104753886B (zh) * | 2013-12-31 | 2018-10-19 | 中国科学院信息工程研究所 | 一种对远程用户的加锁方法、解锁方法及装置 |
| CN104881595B (zh) * | 2015-04-27 | 2017-08-04 | 广东省电子商务认证有限公司 | 基于pin码管理的自助远程解锁方法 |
| CN106789024B (zh) * | 2016-12-30 | 2019-10-25 | 深圳市文鼎创数据科技有限公司 | 一种远程解锁方法、装置和系统 |
| CN108280947A (zh) * | 2017-11-29 | 2018-07-13 | 艾体威尔电子技术(北京)有限公司 | 一种pos机远程解锁的系统和方法 |
| CN114598461B (zh) * | 2022-02-24 | 2023-10-31 | 广东天波信息技术股份有限公司 | 终端设备的联机解锁方法、终端设备及可读存储介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1463351A1 (fr) * | 2003-03-26 | 2004-09-29 | Alcatel | Procédé de déblocage d'un terminal de télécommunication sans fil de type téléphone portable |
| CN1901443A (zh) * | 2006-07-12 | 2007-01-24 | 北京飞天诚信科技有限公司 | 信息安全设备的远程解锁方法 |
| CN101645124A (zh) * | 2009-09-03 | 2010-02-10 | 北京飞天诚信科技有限公司 | 一种解锁pin码的方法和智能密钥设备 |
| CN101917691A (zh) * | 2010-08-12 | 2010-12-15 | 中国电信股份有限公司 | 设置终端pin码的方法、系统及终端 |
| CN101996446A (zh) * | 2009-08-28 | 2011-03-30 | 中兴通讯股份有限公司 | 智能卡远程控制的方法和系统 |
| CN102083058A (zh) * | 2009-11-27 | 2011-06-01 | 中国移动通信集团山东有限公司 | 智能卡、写卡系统及方法、自助开户服务器 |
-
2011
- 2011-08-30 CN CN201110253400.XA patent/CN102281143B/zh not_active Expired - Fee Related
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1463351A1 (fr) * | 2003-03-26 | 2004-09-29 | Alcatel | Procédé de déblocage d'un terminal de télécommunication sans fil de type téléphone portable |
| CN1901443A (zh) * | 2006-07-12 | 2007-01-24 | 北京飞天诚信科技有限公司 | 信息安全设备的远程解锁方法 |
| CN101996446A (zh) * | 2009-08-28 | 2011-03-30 | 中兴通讯股份有限公司 | 智能卡远程控制的方法和系统 |
| CN101645124A (zh) * | 2009-09-03 | 2010-02-10 | 北京飞天诚信科技有限公司 | 一种解锁pin码的方法和智能密钥设备 |
| CN102083058A (zh) * | 2009-11-27 | 2011-06-01 | 中国移动通信集团山东有限公司 | 智能卡、写卡系统及方法、自助开户服务器 |
| CN101917691A (zh) * | 2010-08-12 | 2010-12-15 | 中国电信股份有限公司 | 设置终端pin码的方法、系统及终端 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP4258596A1 (en) * | 2022-04-08 | 2023-10-11 | Sebastien Armleder | Method for digital signing and corresponding system |
| WO2023194161A1 (en) * | 2022-04-08 | 2023-10-12 | Sebastien Armleder | Method for digital signing and corresponding system |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102281143A (zh) | 2011-12-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102281143B (zh) | 智能卡远程解锁系统 | |
| CN106161032B (zh) | 一种身份认证的方法及装置 | |
| CN103716167B (zh) | 一种安全采集和分发传输密钥的方法及装置 | |
| CN101192926B (zh) | 帐号保护的方法及系统 | |
| US9253162B2 (en) | Intelligent card secure communication method | |
| CN101300808B (zh) | 安全认证的方法和设置 | |
| CN109257328B (zh) | 一种现场运维数据的安全交互方法及装置 | |
| CN110753344B (zh) | 基于NB-IoT的智能表安全接入系统 | |
| CN101483654A (zh) | 实现认证及数据安全传输的方法及系统 | |
| CN103825871A (zh) | 一种鉴权系统及其发射终端、接收终端和权限认证方法 | |
| CN109949461B (zh) | 开锁方法及装置 | |
| CN106656489B (zh) | 一种面向移动支付的自助售卖设备与服务器间信息交互的安全提升方法 | |
| CN109474419A (zh) | 一种活体人像照片加密、解密方法及加解密系统 | |
| CN108323230B (zh) | 一种传输密钥的方法、接收终端和分发终端 | |
| CN106713279A (zh) | 一种视频终端身份认证系统 | |
| CN106060073B (zh) | 信道密钥协商方法 | |
| CN103916363A (zh) | 加密机的通讯安全管理方法和系统 | |
| CN101819614A (zh) | 利用语音核验USBKey增强网络交易安全性的系统和方法 | |
| CN106936588A (zh) | 一种硬件控制锁的托管方法、装置及系统 | |
| CN106027250A (zh) | 一种身份证信息安全传输方法及系统 | |
| CN111435390A (zh) | 一种配电终端运维工具安全防护方法 | |
| CN109462572B (zh) | 基于加密卡和UsbKey的多因子认证方法、系统、存储介质及安全网关 | |
| CN108964897A (zh) | 基于群组通信的身份认证系统和方法 | |
| CN109922022A (zh) | 物联网通信方法、平台、终端和系统 | |
| CN104486322A (zh) | 终端接入认证授权方法及终端接入认证授权系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20150401 Termination date: 20170830 |