CN103905388A - 一种认证方法、认证装置、智能卡、服务器 - Google Patents
一种认证方法、认证装置、智能卡、服务器 Download PDFInfo
- Publication number
- CN103905388A CN103905388A CN201210575132.8A CN201210575132A CN103905388A CN 103905388 A CN103905388 A CN 103905388A CN 201210575132 A CN201210575132 A CN 201210575132A CN 103905388 A CN103905388 A CN 103905388A
- Authority
- CN
- China
- Prior art keywords
- random number
- key
- certification end
- verification
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
本发明涉及一种认证方法、认证装置、智能卡、服务器,其中,认证方法用于第一认证端和第二认证端中的一个,第一认证端和第二认证端以及一中介平台构成一个认证系统,智能卡为第一认证端和第二认证端中的一个,服务器为第一认证端和第二认证端中的另一个,包括以下步骤:通过中介平台向第二认证端发送包括第一随机数的第一信息;通过中介平台从第二认证端接收第一验证数据,第一验证数据为第二认证端对第一随机数使用第一密钥加密后的数据;通过第一验证数据和第一随机数对第二认证端进行验证。第一认证端、中介平台、第二认证端的交互过程简单,适用范围广;中介平台仅用于读取第一认证端或第二认证端的数据及数据的传输,提高了安全性能。
Description
技术领域
本发明涉及数据安全技术领域,尤其涉及一种认证方法、认证装置、智能卡、服务器。
背景技术
目前,智能卡一般参考PKI体系实现身份认证、数字签名。
PKI即公共密钥基础设施PKI(Public Key Infrastructure),是一种遵循既定标准的密钥管理平台,它能够为所有网络应用提供加密和数字签名等密码服务以及所必须的密钥和证书管理体系。在公共密钥系统中,PKI体系涉及多个实体之间的协作过程:认证机构、注册机构、证书库、密钥管理、应用接口和用户等。主要基于非对称密码技术,即公开密钥密码技术。
公钥体制于1976年由W.Diffie和M.Hellman提出,其最大特点是采用两个密钥将加密和解密分开,一个公钥作为加密密钥,另一个私钥为用户专有。用户要保障专用密钥的安全,公开密钥则可以发布出去。若以公钥作为加密密钥,以用户私钥作为解密密钥,可实现多个用户加密的信息只能由一个用户解读;反之,以用户专有的私钥作为加密密钥,而以公钥作为解密密钥,则实现由一个用户加密的信息,可使多个用户解读。前者可用于保密通信,后者可用于数字签名。
一般智能卡是借助数字证书实现认证的,而数字证书是一段包含用户身份信息、用户公钥信息以及身份验证机构数字签名的数据。身份验证机构的数字签名可以确保证书信息的真实性,用户公钥信息可以保证数字信息传输的完整性,用户的数字签名可以保证数字信息的不可否认性。数字证书的认证过程如下:
持证人甲想与持证人乙通信时,他首先查找数据库并得到一个从甲到乙的证书路径(certification path)和乙的公开密钥。这时甲可使用单向或双向验证证书。
单向验证是从甲到乙的单向通信。它建立了甲和乙双方身份的证明以及从甲到乙的任何通信信息的完整性。它还可以防止通信过程中的任何攻击。
双向验证与单向验证类似,但它增加了来自乙的应答。它保证是乙而不是冒名者发送来的应答。它还保证双方通信的机密性并可防止攻击。单向和双向验证都使用了时间标记。
专利文献《一种动态口令生成及认证的方法和系统》(申请号:201110349121.3),公开了一种动态生成及认证的方法和系统,涉及身份认证领域,该方法包括:智能卡与读卡终端建立连接;读卡终端将第一原始数据、第一预置数据发送给智能卡;智能卡生成第一应用密文,并根据第一应用密文、第一交易序号、第一卡片状态数据生成第二组合数据;读卡终端对第二组合数据进行处理生成动态口令并输出;服务器接收用户输入的动态口令,解析得到第二交易序号、第二卡片状态数据、第二应用密文;服务器根据第二交易序号得到第四交易序号;服务器生成第三应用密文,并验证第三应用密文与第二应用密文是否相应,是则认为用户输入的动态口令合法,认证成功,否则认证失败。但是,智能卡、读卡端和服务器的交互过程过于繁琐,适用范围较窄;而且过于依赖读卡端的性能,降低了整个认证过程的安全性。
发明内容
为了解决上述技术问题,本发明提供一种认证方法、认证装置、智能卡、服务器,简化认证流程,提高安全性。
本发明采用的技术方案是:一种认证方法,用于第一认证端和第二认证端中的一个,所述第一认证端和所述第二认证端以及一中介平台构成一个认证系统,所述智能卡为所述第一认证端和第二认证端中的一个,所述服务器为所述第一认证端和所述第二认证端中的另一个,包括以下步骤:
通过所述中介平台向所述第二认证端发送包括第一随机数的第一信息;
通过所述中介平台从所述第二认证端接收第一验证数据,所述第一验证数据为所述第二认证端对所述第一随机数使用第一密钥加密后的数据;
通过所述第一验证数据和所述第一随机数对所述第二认证端进行验证。
进一步的,还包括:
通过所述中介平台从所述第二认证端接收第二随机数;
对所述第二随机数使用第二密钥加密,得到第二验证数据;
通过所述中介平台向所述第二认证端发送包括所述第二验证数据的第二信息,使得所述第二认证端通过所述第二验证数据和所述第二随机数对所述第一认证端进行验证。
进一步的,所述第一认证端为智能卡,所述中介平台为读卡端,所述第二认证端为服务器。
进一步的,所述第一信息还包括第一原始数据,使得服务器的外部主密钥根据所述第一原始数据分散获得所述第一密钥。
进一步的,所述通过所述第一验证数据和所述第一随机数对所述第二认证端进行验证,包括以下步骤:
通过外部主密钥根据所述第一原始数据分散获得的第一子密钥对所述第一随机数进行加密获得第三验证数据;
判断所述第三验证数据与所述第一验证数据是否一致。
进一步的,所述通过所述第一验证数据和所述第一随机数对所述第二认证端进行验证,包括以下步骤:
通过外部主密钥根据所述第一原始数据分散获得的第二子密钥对所述第一验证数据进行解密获得第三随机数;
判断所述第三随机数与所述第一随机数是否一致。
进一步的,所述第一原始数据为卡片序列号。
进一步的,所述第二密钥由智能卡内部主密钥根据第二原始数据分散获得,所述第二信息还包括所述第二原始数据,使得服务器通过判断经第三密钥对所述第二验证数据解密获得第四随机数与所述第二随机数是否一致来对智能卡进行验证,其中,所述第三密钥为服务器的内部主密钥根据所述第二原始数据分散获得。
进一步的,所述第二密钥由智能卡内部主密钥根据第二原始数据分散获得,所述第二信息还包括所述第二原始数据,使得服务器通过判断经第三密钥对所述第二随机数加密获得的第四验证数据与所述第二验证数据是否一致来对智能卡进行验证,其中,所述第三密钥为服务器的内部主密钥根据所述第二原始数据分散获得。
进一步的,所述第二原始数据为卡片用户编码。
本发明还提供一种认证装置,用于第一认证端和第二认证端,所述第一认证端和所述第二认证端以及一中介平台构成一个认证系统,所述智能卡为所述第一认证端和第二认证端中的一个,所述服务器为所述第一认证端和所述第二认证端中的另一个,包括:
第一发送模块,用于通过所述中介平台向所述第二认证端发送包括第一随机数的第一信息;
第一接收模块,用于通过所述中介平台从所述第二认证端接收第一验证数据,所述第一验证数据为所述第二认证端对所述第一随机数使用第一密钥加密后的数据;
第一验证模块,用于通过所述第一验证数据和所述第一随机数对所述第二认证端进行验证。
进一步的,还包括:
第二接收模块,用于通过所述中介平台从所述第二认证端接收第二随机数;
第一加密模块,用于对所述第二随机数使用第二密钥加密,得到第二验证数据;
第二发送模块,用于通过所述中介平台向所述第二认证端发送包括所述第二验证数据的第二信息,使得所述第二认证端通过所述第二验证数据和所述第二随机数对所述第一认证端进行验证。
进一步的,所述第一认证端为智能卡,所述中介平台为读卡端,所述第二认证端为服务器。
进一步的,所述第一信息还包括第一原始数据,使得服务器的外部主密钥根据所述第一原始数据分散获得所述第一密钥。
进一步的,所述第一验证模块包括:
第一加密单元,用于通过外部主密钥根据所述第一原始数据分散获得的第一子密钥对所述第一随机数进行加密获得第三验证数据;
第一判断单元,用于判断所述第三验证数据与所述第一验证数据是否一致。
进一步的,所述第一验证模块包括:
第一解密单元,用于通过外部主密钥根据所述第一原始数据分散获得的第二子密钥对所述第一验证数据进行解密获得第三随机数;
第二判断单元,用于判断所述第三随机数与所述第一随机数是否一致。
进一步的,所述第一原始数据为卡片序列号。
进一步的,所述第二密钥由智能卡内部主密钥根据第二原始数据分散获得,所述第二信息还包括所述第二原始数据,使得服务器通过判断经第三密钥对所述第二验证数据解密获得第四随机数与所述第二随机数是否一致来对智能卡进行验证,其中,所述第三密钥为服务器的内部主密钥根据所述第二原始数据分散获得。
进一步的,所述第二密钥由智能卡内部主密钥根据第二原始数据分散获得,所述第二信息还包括所述第二原始数据,使得服务器通过判断经第三密钥对所述第二随机数加密获得的第四验证数据与所述第二验证数据是否一致来对智能卡进行验证,其中,所述第三密钥为服务器的内部主密钥根据所述第二原始数据分散获得。
本发明还提供一种智能卡,包括上述的认证装置。
本发明还提供一种服务器,包括上述的认证装置。
本发明的有益效果是:第一认证端、中介平台、第二认证端的交互过程简单,适用范围广;中介平台仅用于读取第一认证端或第二认证端的数据及数据的传输,并不对数据进行过多的处理,提高了安全性能。
附图说明
图1表示本发明认证方法流程图;
图2表示本发明认证方法流程图;
图3表示本发明具体实施例认证方法流程图。
具体实施方式
以下结合附图对本发明结构和原理进行详细说明,所举实施例仅用于解释本发明,并非以此限定本发明的保护范围。
如图1所示,本实施例提供一种认证方法,用于第一认证端和第二认证端中的一个,所述第一认证端和所述第二认证端以及一中介平台构成一个认证系统,所述智能卡为所述第一认证端和第二认证端中的一个,所述服务器为所述第一认证端和所述第二认证端中的另一个,包括以下步骤:
通过所述中介平台向所述第二认证端发送包括第一随机数的第一信息;
通过所述中介平台从所述第二认证端接收第一验证数据,所述第一验证数据为所述第二认证端对所述第一随机数使用第一密钥加密后的数据;
通过所述第一验证数据和所述第一随机数对所述第二认证端进行验证。
通过第一认证端、中介平台、第二认证端的简单的交互过程完成第一认证端与第二认证端之间的认证,适用范围广;且中介平台仅用于读取第一认证端或第二认证端的数据及数据的传输,并不对数据进行过多的处理,相对于现有技术,避免了数据在读卡端的丢失等问题,提高了安全性能。
为了进一步提高信息交互的安全性,第一认证端对第二认证端进行验证之后,第二认证端还可以对第一认证端进行验证。
优选的,如图2所示,本实施例中的认证方法,还包括:
通过所述中介平台从所述第二认证端接收第二随机数;
对所述第二随机数使用第二密钥加密,得到第二验证数据;
通过所述中介平台向所述第二认证端发送包括所述第二验证数据的第二信息,使得所述第二认证端通过所述第二验证数据和所述第二随机数对所述第一认证端进行验证。
第一认证终端对第二认证终端验证成功后,通过所述中介平台从所述第二认证端接收第二随机数,并对所述第二随机数进行加密获得第二验证数据,以便第二认证端对第一认证端进行验证,提高了安全性能。
优选的,所述第一认证端为智能卡,所述中介平台为读卡端,所述第二认证端为服务器。
本实施例中优选为智能卡、服务器之间的相互认证方式,具体过程如下:
智能卡接收读卡端发送的第一认证请求;
智能卡通过读卡端向服务器发送包括第一随机数的第一信息;
智能卡通过读卡端从服务器接收第一验证数据,所述第一验证数据为服务器对所述第一随机数使用第一密钥加密后的数据;
智能卡通过所述第一验证数据和所述第一随机数对所述第二认证端服务器进行验证;
智能卡返回第一认证成功标志,并通过读卡端从服务器接收第二随机数;
智能卡对所述第二随机数使用第二密钥加密,得到第二验证数据;
智能卡通过读卡端向服务器发送包括所述第二验证数据的第二信息,使得服务器通过所述第二验证数据和所述第二随机数对所述第一认证端进行验证。
智能卡与服务器之间的认证流程,由读卡端发起,智能卡通过读卡端与服务器进行交互,读卡端仅用于读取数据和传输数据,认证过程简单,适用范围广,且读卡端没有对数据进行其他处理,数据不会在读卡端保存火残留,提高了安全性。
优选的,所述第一信息还包括第一原始数据,使得服务器的外部主密钥根据所述第一原始数据分散获得所述第一密钥。
智能卡通过所述第一验证数据和所述第一随机数对所述第二认证端服务器进行验证的验证方式可以有多种,本实施例中优选以下两种验证方式,但并不以此为限。
方式一:通过所述第一验证数据和所述第一随机数对所述第二认证端进行验证,包括以下步骤:
通过外部主密钥根据所述第一原始数据分散获得的第一子密钥对所述第一随机数进行加密获得第三验证数据;
判断所述第三验证数据与所述第一验证数据是否一致。
所述第三验证数据与所述第一验证数据一致,则验证成功;所述第三验证数据与所述第一验证数据验证不一致,则验证失败,认证终止。
方式二:所述通过所述第一验证数据和所述第一随机数对所述第二认证端进行验证,包括以下步骤:
通过外部主密钥根据所述第一原始数据分散获得的第二子密钥对所述第一验证数据进行解密获得第三随机数;
判断所述第三随机数与所述第一随机数是否一致。
所述第三随机数与所述第一随机数一致,则认证成功;所述第三随机数与所述第一随机数不一致,则验证失败,认证终止。
优选的,所述第一原始数据为卡片序列号,但并不以此为限。
优选的,所述第一随机数为4字节或8字节。
优选的,所述第二密钥由智能卡内部主密钥根据第二原始数据分散获得。
优选的,所述第二信息还包括所述第二原始数据。
服务器对智能卡的认证方式有多种,本实施例中优选以下两种方式:
服务器通过判断第四随机数与所述第二随机数是否一致来对智能卡进行验证,其中,所述第三密钥为服务器的内部主密钥根据所述第二原始数据分散获得,所述第四随机数为第三密钥对所述第二验证数据解密获得。
方式二:服务器通过判断第四验证数据与所述第二验证数据是否一致来对智能卡进行验证,其中,所述第三密钥为服务器的内部主密钥根据所述第二原始数据分散获得,所述第四验证数据为第三密钥对所述第二随机数加密获得的。
优选的,所述第二原始数据为卡片用户编码,但并不以此为限。
如图3所示,以下具体描述一实施例中用于智能卡、读卡端、服务器的认证方法:
智能卡接收读卡端发送的第一认证请求;
智能卡通过读卡端向服务器发送包括第一随机数、第一原始数据的第一信息;
智能卡通过读卡端从服务器接收第一验证数据,所述第一验证数据为服务器对所述第一随机数使用第一密钥加密后的数据;
智能卡通过外部主密钥对所述第一原始数据分散获得的第一子密钥对所述第一验证数据进行解密获得第二随机数;
智能卡判断所述第二随机数和所述第一随机数是否一致;
智能卡返回第一认证成功标志,并通过读卡端从服务器接收第二随机数;
智能卡对所述第二随机数使用第二密钥加密,得到第二验证数据,所述第二密钥为内部主密钥根据第二原始数据分散获得;
智能卡通过读卡端向服务器发送包括所述第二验证数据、所述第二原始数据的第二信息;
服务器通过内部主密钥根据所述第二原始数据分散获得的第三密钥对所述第二验证数据进行解密获得第四随机数;
服务器判断所述第四随机数和所述第二随机数是否一致。
智能卡中具有外部主密钥根据第一原始数据分散获得的第一密钥,以及内部主密钥根据第二原始数据分散获得的第一子密钥。
服务器中具有所述外部主密钥和所述内部主密钥,认证过程中,外部主密钥根据接收的第一原始数据分散获得第二密钥,内部主密钥根据接收的第二原始数据分散获得第三密钥。
当然,智能卡和服务器还可以采用其他约定的密钥参数。
本发明还提供一种认证装置,用于第一认证端和第二认证端,所述第一认证端和所述第二认证端以及一中介平台构成一个认证系统,所述智能卡为所述第一认证端和第二认证端中的一个,所述服务器为所述第一认证端和所述第二认证端中的另一个,包括:
第一发送模块,用于通过所述中介平台向所述第二认证端发送包括第一随机数的第一信息;
第一接收模块,用于通过所述中介平台从所述第二认证端接收第一验证数据,所述第一验证数据为所述第二认证端对所述第一随机数使用第一密钥加密后的数据;
第一验证模块,用于通过所述第一验证数据和所述第一随机数对所述第二认证端进行验证。
通过第一认证端、中介平台、第二认证端的简单的交互过程完成第一认证端与第二认证端之间的认证,适用范围广;且中介平台仅用于读取第一认证端或第二认证端的数据及数据的传输,并不对数据进行过多的处理,相对于现有技术,避免了数据在读卡端的丢失等问题,提高了安全性能。
为了进一步提高信息交互的安全性,第一认证端对第二认证端进行验证之后,第二认证端还可以对第一认证端进行验证。
本实施例认证装置还包括:
第二接收模块,用于通过所述中介平台从所述第二认证端接收第二随机数;
第一加密模块,用于对所述第二随机数使用第二密钥加密,得到第二验证数据;
第二发送模块,用于通过所述中介平台向所述第二认证端发送包括所述第二验证数据的第二信息,使得所述第二认证端通过所述第二验证数据和所述第二随机数对所述第一认证端进行验证。
第一认证终端对第二认证终端验证成功后,通过所述中介平台从所述第二认证端接收第二随机数,并对所述第二随机数进行加密获得第二验证数据,以便第二认证端对第一认证端进行验证,提高了安全性能。
优选的,所述第一认证端为智能卡,所述中介平台为读卡端,所述第二认证端为服务器。
优选的,所述第一信息还包括第一原始数据,使得服务器的外部主密钥根据所述第一原始数据分散获得所述第一密钥。
第一验证模块的结构形式有多种,本实施例中优选以下两种结构形式:
形式一:所述第一验证模块包括:
第一加密单元,用于通过外部主密钥根据所述第一原始数据分散获得的第一子密钥对所述第一随机数进行加密获得第三验证数据;
第一判断单元,用于判断所述第三验证数据与所述第一验证数据是否一致。
形式二:所述第一验证模块包括:
第一解密单元,用于通过外部主密钥根据所述第一原始数据分散获得的第二子密钥对所述第一验证数据进行解密获得第三随机数;
第二判断单元,用于判断所述第三随机数与所述第一随机数是否一致。
优选的,所述第一原始数据为卡片序列号。
优选的,所述第二密钥由智能卡内部主密钥根据第二原始数据分散获得,所述第二信息还包括所述第二原始数据,使得服务器通过判断经第三密钥对所述第二验证数据解密获得第四随机数与所述第二随机数是否一致来对智能卡进行验证,其中,所述第三密钥为服务器的内部主密钥根据所述第二原始数据分散获得。
优选的,所述第二密钥由智能卡内部主密钥根据第二原始数据分散获得,所述第二信息还包括所述第二原始数据,使得服务器通过判断经第三密钥对所述第二随机数加密获得的第四验证数据与所述第二验证数据是否一致来对智能卡进行验证,其中,所述第三密钥为服务器的内部主密钥根据所述第二原始数据分散获得。
本发明还提供一种智能卡,包括上述的认证装置。
一种智能卡,包括:
第一发送模块,用于通过读卡端向服务器发送包括第一随机数的第一信息;
第一接收模块,用于通过读卡端从服务器第一验证数据,所述第一验证数据为服务器对所述第一随机数使用第一密钥加密后的数据;
第一验证模块,用于通过所述第一验证数据和所述第一随机数对服务器进行验证。
优选的,智能卡还包括:
第二接收模块,用于通过读卡端从服务器接收第二随机数;
第一加密模块,用于对所述第二随机数使用第二密钥加密,得到第二验证数据;
第二发送模块,用于通过读卡端向服务器发送包括所述第二验证数据的第二信息,使得服务器通过所述第二验证数据和所述第二随机数对智能卡进行验证。
所述第一验证模块包括:
第一加密单元,用于通过外部主密钥根据所述第一原始数据分散获得的第一子密钥对所述第一随机数进行加密获得第三验证数据;
第一判断单元,用于判断所述第三验证数据与所述第一验证数据是否一致。
优选的,所述第一验证模块包括:
第一解密单元,用于通过外部主密钥根据所述第一原始数据分散获得的第二子密钥对所述第一验证数据进行解密获得第三随机数;
第二判断单元,用于判断所述第三随机数与所述第一随机数是否一致。
优选的,所述第一原始数据为卡片序列号。
本发明还提供一种服务器,包括上述的认证装置。
一种服务器,包括:
第一发送模块,用于通过读卡端向智能卡发送包括第一随机数的第一信息;
第一接收模块,用于通过读卡端从智能卡接收第一验证数据,所述第一验证数据为智能卡对所述第一随机数使用第一密钥加密后的数据;
第一验证模块,用于通过所述第一验证数据和所述第一随机数对所述第二认证端进行验证。
优选的,服务器还包括:
第二接收模块,用于通过读卡端从智能卡接收第二随机数;
第一加密模块,用于对所述第二随机数使用第二密钥加密,得到第二验证数据;
第二发送模块,用于通过读卡端向智能卡发送包括所述第二验证数据的第二信息,使得智能卡通过所述第二验证数据和所述第二随机数对智能卡进行验证。
优选的,所述第一验证模块包括:
第一加密单元,用于通过外部主密钥根据所述第一原始数据分散获得的第一子密钥对所述第一随机数进行加密获得第三验证数据;
第一判断单元,用于判断所述第三验证数据与所述第一验证数据是否一致。
优选的,所述第一验证模块包括:
第一解密单元,用于通过外部主密钥根据所述第一原始数据分散获得的第二子密钥对所述第一验证数据进行解密获得第三随机数;
第二判断单元,用于判断所述第三随机数与所述第一随机数是否一致。
以上所述为本发明较佳实施例,应当指出,对于本领域技术人员来说,在不脱离本发明所述原理的前提下,还可以作出若干改进和润饰,这些改进和润饰也应视为本发明保护范围。
Claims (21)
1.一种认证方法,用于第一认证端和第二认证端中的一个,所述第一认证端和所述第二认证端以及一中介平台构成一个认证系统,所述智能卡为所述第一认证端和第二认证端中的一个,所述服务器为所述第一认证端和所述第二认证端中的另一个,其特征在于,包括以下步骤:
通过所述中介平台向所述第二认证端发送包括第一随机数的第一信息;
通过所述中介平台从所述第二认证端接收第一验证数据,所述第一验证数据为所述第二认证端对所述第一随机数使用第一密钥加密后的数据;
通过所述第一验证数据和所述第一随机数对所述第二认证端进行验证。
2.根据权利要求1所述的认证方法,其特征在于,还包括:
通过所述中介平台从所述第二认证端接收第二随机数;
对所述第二随机数使用第二密钥加密,得到第二验证数据;
通过所述中介平台向所述第二认证端发送包括所述第二验证数据的第二信息,使得所述第二认证端通过所述第二验证数据和所述第二随机数对所述第一认证端进行验证。
3.根据权利要求2所述的认证方法,其特征在于,所述第一认证端为智能卡,所述中介平台为读卡端,所述第二认证端为服务器。
4.根据权利要求3所述的认证方法,其特征在于,所述第一信息还包括第一原始数据,使得服务器的外部主密钥根据所述第一原始数据分散获得所述第一密钥。
5.根据权利要求4所述的认证方法,其特征在于,所述通过所述第一验证数据和所述第一随机数对所述第二认证端进行验证,包括以下步骤:
通过外部主密钥根据所述第一原始数据分散获得的第一子密钥对所述第一随机数进行加密获得第三验证数据;
判断所述第三验证数据与所述第一验证数据是否一致。
6.根据权利要求4所述的认证方法,其特征在于,所述通过所述第一验证数据和所述第一随机数对所述第二认证端进行验证,包括以下步骤:
通过外部主密钥根据所述第一原始数据分散获得的第二子密钥对所述第一验证数据进行解密获得第三随机数;
判断所述第三随机数与所述第一随机数是否一致。
7.根据权利要求4-6任一项所述的认证方法,其特征在于,所述第一原始数据为卡片序列号。
8.根据权利要求3所述的认证方法,其特征在于,所述第二密钥由智能卡内部主密钥根据第二原始数据分散获得,所述第二信息还包括所述第二原始数据,使得服务器通过判断经第三密钥对所述第二验证数据解密获得第四随机数与所述第二随机数是否一致来对智能卡进行验证,其中,所述第三密钥为服务器的内部主密钥根据所述第二原始数据分散获得。
9.根据权利要求8所述的认证方法,其特征在于,所述第二密钥由智能卡内部主密钥根据第二原始数据分散获得,所述第二信息还包括所述第二原始数据,使得服务器通过判断经第三密钥对所述第二随机数加密获得的第四验证数据与所述第二验证数据是否一致来对智能卡进行验证,其中,所述第三密钥为服务器的内部主密钥根据所述第二原始数据分散获得。
10.根据权利要求8或9所述的认证方法,其特征在于,所述第二原始数据为卡片用户编码。
11.一种认证装置,用于第一认证端和第二认证端,所述第一认证端和所述第二认证端以及一中介平台构成一个认证系统,所述智能卡为所述第一认证端和第二认证端中的一个,所述服务器为所述第一认证端和所述第二认证端中的另一个,其特征在于,包括:
第一发送模块,用于通过所述中介平台向所述第二认证端发送包括第一随机数的第一信息;
第一接收模块,用于通过所述中介平台从所述第二认证端接收第一验证数据,所述第一验证数据为所述第二认证端对所述第一随机数使用第一密钥加密后的数据;
第一验证模块,用于通过所述第一验证数据和所述第一随机数对所述第二认证端进行验证。
12.根据权利要求11所述的认证装置,其特征在于,还包括:
第二接收模块,用于通过所述中介平台从所述第二认证端接收第二随机数;
第一加密模块,用于对所述第二随机数使用第二密钥加密,得到第二验证数据;
第二发送模块,用于通过所述中介平台向所述第二认证端发送包括所述第二验证数据的第二信息,使得所述第二认证端通过所述第二验证数据和所述第二随机数对所述第一认证端进行验证。
13.根据权利要求12所述的认证装置,其特征在于,所述第一认证端为智能卡,所述中介平台为读卡端,所述第二认证端为服务器。
14.根据权利要求13所述的认证装置,其特征在于,所述第一信息还包括第一原始数据,使得服务器的外部主密钥根据所述第一原始数据分散获得所述第一密钥。
15.根据权利要求14所述的认证装置,其特征在于,所述第一验证模块包括:
第一加密单元,用于通过外部主密钥根据所述第一原始数据分散获得的第一子密钥对所述第一随机数进行加密获得第三验证数据;
第一判断单元,用于判断所述第三验证数据与所述第一验证数据是否一致。
16.根据权利要求15所述的认证装置,其特征在于,所述第一验证模块包括:
第一解密单元,用于通过外部主密钥根据所述第一原始数据分散获得的第二子密钥对所述第一验证数据进行解密获得第三随机数;
第二判断单元,用于判断所述第三随机数与所述第一随机数是否一致。
17.根据权利要求14-16任一项所述的认证装置,其特征在于,所述第一原始数据为卡片序列号。
18.根据权利要求13所述的认证装置,其特征在于,所述第二密钥由智能卡内部主密钥根据第二原始数据分散获得,所述第二信息还包括所述第二原始数据,使得服务器通过判断经第三密钥对所述第二验证数据解密获得第四随机数与所述第二随机数是否一致来对智能卡进行验证,其中,所述第三密钥为服务器的内部主密钥根据所述第二原始数据分散获得。
19.根据权利要求13所述的认证装置,其特征在于,所述第二密钥由智能卡内部主密钥根据第二原始数据分散获得,所述第二信息还包括所述第二原始数据,使得服务器通过判断经第三密钥对所述第二随机数加密获得的第四验证数据与所述第二验证数据是否一致来对智能卡进行验证,其中,所述第三密钥为服务器的内部主密钥根据所述第二原始数据分散获得。
20.一种智能卡,其特征在于,包括权利要求11-19任一项所述的认证装置。
21.一种服务器,其特征在于,包括权利要求11-19任一项所述的认证装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210575132.8A CN103905388A (zh) | 2012-12-26 | 2012-12-26 | 一种认证方法、认证装置、智能卡、服务器 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210575132.8A CN103905388A (zh) | 2012-12-26 | 2012-12-26 | 一种认证方法、认证装置、智能卡、服务器 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN103905388A true CN103905388A (zh) | 2014-07-02 |
Family
ID=50996543
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210575132.8A Pending CN103905388A (zh) | 2012-12-26 | 2012-12-26 | 一种认证方法、认证装置、智能卡、服务器 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103905388A (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104537298A (zh) * | 2014-12-04 | 2015-04-22 | 腾讯科技(深圳)有限公司 | 基于微处理器卡进行授权的方法和装置 |
| CN104917614A (zh) * | 2015-04-21 | 2015-09-16 | 中国建设银行股份有限公司 | 一种智能卡和受理终端的双向验证方法和装置 |
| CN105245339A (zh) * | 2015-09-01 | 2016-01-13 | 青岛丰华时代信息技术有限公司 | 一种通过金融ic卡进行交易签名及加密传输的方法 |
| CN105577612A (zh) * | 2014-10-11 | 2016-05-11 | 中兴通讯股份有限公司 | 身份认证方法、第三方服务器、商家服务器及用户终端 |
| CN106357400A (zh) * | 2016-11-07 | 2017-01-25 | 福建星海通信科技有限公司 | 建立tbox终端和tsp平台之间通道的方法以及系统 |
| CN107274183A (zh) * | 2017-03-21 | 2017-10-20 | 中国银联股份有限公司 | 交易验证方法及系统 |
| CN108075887A (zh) * | 2016-11-15 | 2018-05-25 | 北京维森科技有限公司 | 用于cpu卡加密认证的方法、云平台、用户设备和系统 |
| CN108243197A (zh) * | 2018-01-31 | 2018-07-03 | 北京深思数盾科技股份有限公司 | 一种数据分发、转发方法及装置 |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101034423A (zh) * | 2006-03-09 | 2007-09-12 | 福建省普集网络科技有限公司 | 一种用于网络上唯一性、精确、快速定位登陆网页的方法 |
| CN101131720A (zh) * | 2006-08-23 | 2008-02-27 | 联想(北京)有限公司 | 一种射频识别的计算机安全锁定认证系统和方法 |
| CN101223729A (zh) * | 2005-06-28 | 2008-07-16 | 易通卡有限公司 | 对移动支付设备进行更新 |
| CN101409592A (zh) * | 2008-11-17 | 2009-04-15 | 普天信息技术研究院有限公司 | 一种基于条件接收卡实现多应用业务的方法、系统及装置 |
| CN101458853A (zh) * | 2007-12-11 | 2009-06-17 | 结行信息技术(上海)有限公司 | 一种在线pos系统和智能卡在线支付方法 |
| US20100325435A1 (en) * | 2003-06-27 | 2010-12-23 | Young-Man Park | Two-factor authenticated key exchange method and authentication method using the same, and recording medium storing program including the same |
| CN102013026A (zh) * | 2010-12-04 | 2011-04-13 | 上海众人网络安全技术有限公司 | 一种智能卡动态密码认证系统和智能卡动态密码认证方法 |
| CN102118385A (zh) * | 2010-12-14 | 2011-07-06 | 北京握奇数据系统有限公司 | 安全域的管理方法和装置 |
| CN102377783A (zh) * | 2011-11-07 | 2012-03-14 | 飞天诚信科技股份有限公司 | 一种动态口令生成及认证的方法和系统 |
| CN102768744A (zh) * | 2012-05-11 | 2012-11-07 | 福建联迪商用设备有限公司 | 一种远程安全支付方法和系统 |
| CN102800141A (zh) * | 2012-07-24 | 2012-11-28 | 东信和平科技股份有限公司 | 一种基于双向认证的门禁控制方法及系统 |
-
2012
- 2012-12-26 CN CN201210575132.8A patent/CN103905388A/zh active Pending
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20100325435A1 (en) * | 2003-06-27 | 2010-12-23 | Young-Man Park | Two-factor authenticated key exchange method and authentication method using the same, and recording medium storing program including the same |
| CN101223729A (zh) * | 2005-06-28 | 2008-07-16 | 易通卡有限公司 | 对移动支付设备进行更新 |
| CN101034423A (zh) * | 2006-03-09 | 2007-09-12 | 福建省普集网络科技有限公司 | 一种用于网络上唯一性、精确、快速定位登陆网页的方法 |
| CN101131720A (zh) * | 2006-08-23 | 2008-02-27 | 联想(北京)有限公司 | 一种射频识别的计算机安全锁定认证系统和方法 |
| CN101458853A (zh) * | 2007-12-11 | 2009-06-17 | 结行信息技术(上海)有限公司 | 一种在线pos系统和智能卡在线支付方法 |
| CN101409592A (zh) * | 2008-11-17 | 2009-04-15 | 普天信息技术研究院有限公司 | 一种基于条件接收卡实现多应用业务的方法、系统及装置 |
| CN102013026A (zh) * | 2010-12-04 | 2011-04-13 | 上海众人网络安全技术有限公司 | 一种智能卡动态密码认证系统和智能卡动态密码认证方法 |
| CN102118385A (zh) * | 2010-12-14 | 2011-07-06 | 北京握奇数据系统有限公司 | 安全域的管理方法和装置 |
| CN102377783A (zh) * | 2011-11-07 | 2012-03-14 | 飞天诚信科技股份有限公司 | 一种动态口令生成及认证的方法和系统 |
| CN102768744A (zh) * | 2012-05-11 | 2012-11-07 | 福建联迪商用设备有限公司 | 一种远程安全支付方法和系统 |
| CN102800141A (zh) * | 2012-07-24 | 2012-11-28 | 东信和平科技股份有限公司 | 一种基于双向认证的门禁控制方法及系统 |
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105577612A (zh) * | 2014-10-11 | 2016-05-11 | 中兴通讯股份有限公司 | 身份认证方法、第三方服务器、商家服务器及用户终端 |
| CN105577612B (zh) * | 2014-10-11 | 2020-04-17 | 中兴通讯股份有限公司 | 身份认证方法、第三方服务器、商家服务器及用户终端 |
| CN104537298A (zh) * | 2014-12-04 | 2015-04-22 | 腾讯科技(深圳)有限公司 | 基于微处理器卡进行授权的方法和装置 |
| CN104917614A (zh) * | 2015-04-21 | 2015-09-16 | 中国建设银行股份有限公司 | 一种智能卡和受理终端的双向验证方法和装置 |
| CN105245339B (zh) * | 2015-09-01 | 2018-09-11 | 青岛丰华时代信息技术有限公司 | 一种通过金融ic卡进行交易签名及加密传输的方法 |
| CN105245339A (zh) * | 2015-09-01 | 2016-01-13 | 青岛丰华时代信息技术有限公司 | 一种通过金融ic卡进行交易签名及加密传输的方法 |
| CN106357400A (zh) * | 2016-11-07 | 2017-01-25 | 福建星海通信科技有限公司 | 建立tbox终端和tsp平台之间通道的方法以及系统 |
| CN106357400B (zh) * | 2016-11-07 | 2019-08-30 | 福建星海通信科技有限公司 | 建立tbox终端和tsp平台之间通道的方法以及系统 |
| CN108075887A (zh) * | 2016-11-15 | 2018-05-25 | 北京维森科技有限公司 | 用于cpu卡加密认证的方法、云平台、用户设备和系统 |
| WO2018171519A1 (zh) * | 2017-03-21 | 2018-09-27 | 中国银联股份有限公司 | 交易验证方法及系统 |
| TWI678666B (zh) * | 2017-03-21 | 2019-12-01 | 大陸商中國銀聯股份有限公司 | 交易驗證方法及系統 |
| CN107274183A (zh) * | 2017-03-21 | 2017-10-20 | 中国银联股份有限公司 | 交易验证方法及系统 |
| CN108243197B (zh) * | 2018-01-31 | 2019-03-08 | 北京深思数盾科技股份有限公司 | 一种数据分发、转发方法及装置 |
| CN108243197A (zh) * | 2018-01-31 | 2018-07-03 | 北京深思数盾科技股份有限公司 | 一种数据分发、转发方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20190364032A1 (en) | Method for carrying out a two-factor authentication | |
| CN107896147B (zh) | 一种基于国密算法协商临时会话密钥的方法及其系统 | |
| CN103905388A (zh) | 一种认证方法、认证装置、智能卡、服务器 | |
| CN102394749B (zh) | 数据传输的线路保护方法、系统、信息安全设备及应用设备 | |
| KR20170139570A (ko) | 클라우드 기반 암호화 기계 키 주입을 위한 방법, 장치 및 시스템 | |
| CN104901935A (zh) | 一种基于cpk的双向认证及数据交互安全保护方法 | |
| CN102664898A (zh) | 一种基于指纹识别的加密传输方法、装置及系统 | |
| CN103684766A (zh) | 一种终端用户的私钥保护方法和系统 | |
| CN101931536B (zh) | 一种无需认证中心的高效数据加密及认证方法 | |
| CN101286849A (zh) | 基于约定算法的第三方认证系统和方法 | |
| CN104424446A (zh) | 一种安全认证和传输的方法和系统 | |
| US10693645B2 (en) | Security management system for performing a secure transmission of data from a token to a service provider server by means of an identity provider server | |
| CN113204760B (zh) | 用于软件密码模块的安全通道建立方法及系统 | |
| CN112351037B (zh) | 用于安全通信的信息处理方法及装置 | |
| CN113285803B (zh) | 一种基于量子安全密钥的邮件传输系统和传输方法 | |
| KR101113446B1 (ko) | 휴대기기에 공인인증서를 전송하는 시스템 및 방법 그리고 다차원 코드를 이용하여 데이터를 전송 및 인증하는 시스템 및 방법 | |
| CN104901803A (zh) | 一种基于cpk标识认证技术的数据交互安全保护方法 | |
| CN101789068A (zh) | 读卡器安全认证装置及方法 | |
| CN108401494B (zh) | 一种传输数据的方法及系统 | |
| CN113507372A (zh) | 一种接口请求的双向认证方法 | |
| CN111416712B (zh) | 基于多个移动设备的量子保密通信身份认证系统及方法 | |
| CN105554008A (zh) | 用户终端、认证服务器、中间服务器、系统和传送方法 | |
| KR102219086B1 (ko) | 드론(Unnamed Aerial vehicle)시스템을 위한 HMAC기반의 송신원 인증 및 비밀키 공유 방법 및 시스템 | |
| US20060053288A1 (en) | Interface method and device for the on-line exchange of content data in a secure manner | |
| US10764260B2 (en) | Distributed processing of a product on the basis of centrally encrypted stored data |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20140702 |