CN103944724A - 一种用户身份识别卡 - Google Patents
一种用户身份识别卡 Download PDFInfo
- Publication number
- CN103944724A CN103944724A CN201410156521.6A CN201410156521A CN103944724A CN 103944724 A CN103944724 A CN 103944724A CN 201410156521 A CN201410156521 A CN 201410156521A CN 103944724 A CN103944724 A CN 103944724A
- Authority
- CN
- China
- Prior art keywords
- module
- information
- calculation
- public key
- signature
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000004364 calculation method Methods 0.000 claims abstract description 232
- 238000004422 calculation algorithm Methods 0.000 claims abstract description 173
- 238000012545 processing Methods 0.000 claims abstract description 140
- 238000004891 communication Methods 0.000 claims abstract description 30
- 238000012795 verification Methods 0.000 claims description 92
- 238000000034 method Methods 0.000 claims description 17
- 230000005540 biological transmission Effects 0.000 abstract description 36
- 230000006870 function Effects 0.000 description 33
- 238000004458 analytical method Methods 0.000 description 12
- 230000003993 interaction Effects 0.000 description 9
- 238000005336 cracking Methods 0.000 description 4
- 230000000694 effects Effects 0.000 description 3
- 238000011161 development Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 230000004075 alteration Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3234—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Telephone Function (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明提供了一种用户身份识别卡,包括:通讯模块,用于进行信息接收和输出;安全认证模块,用于对用户身份信息以及用户操作信息进行安全认证;权限控制模块,用于对处理模块对各个模块的调用进行权限控制;安全防护模块,用于至少对公钥算法模块、对称算法模块、随机数模块和/或杂凑模块的操作进行防护操作;安全存储模块,用于至少存储进行签名计算的私钥、进行加解密计算和/或校验计算的协商密钥;公钥算法模块,用于进行签名计算;对称算法模块,用于进行加解密计算和/或校验计算;随机数模块,用于生成随机因子;杂凑模块,用于进行杂凑计算;处理模块,用于对各个模块进行调用。本发明的用户身份识别卡,可以安全地进行数据传输。
Description
技术领域
本发明涉及电子技术领域,尤其涉及一种用户身份识别卡。
背景技术
随着网络的迅速发展给人们带来的极大便利,人们越来越依赖于网络进行各种活动,例如网络文件的传输、网上银行交易均已逐渐成为人们生活、工作中不可缺少的一部分。由于网络毕竟是一个虚拟的环境,存在着太多不安全的因素,而在网络环境中必然会进行数据交互的网络活动,尤其是像网上银行业务和机密信息的传输这样的网络活动,对网络的安全提出了很高的要求,因此人们开始大力发展网络信息安全技术。
然而,随着现今手机技术的飞速发展,手机终端越来越多的被用来替代计算机使用,但现今并没有一种手机终端能够安全执行网上银行业务和/或机密信息传输的解决方案,并且现在手机中使用的用户身份识别卡仅具有数据传输功能,并不具备更加安全的其他功能。
发明内容
本发明旨在解决上述问题之一。
本发明的主要目的在于提供一种用户身份识别卡。
为达到上述目的,本发明的技术方案具体是这样实现的:
本发明一方面提供了一种用户身份识别卡,包括:处理模块、通讯模块、安全认证模块、权限控制模块、安全防护模块、安全存储模块、公钥算法模块、对称算法模块、随机数模块以及杂凑模块;
所述通讯模块,用于进行信息接收和输出;
所述安全认证模块,用于对用户身份信息以及用户操作信息进行安全认证;
所述权限控制模块,用于对所述处理模块对各个模块的调用进行权限控制;
所述安全防护模块,用于至少对所述公钥算法模块、所述对称算法模块、所述随机数模块和/或所述杂凑模块的操作进行防护操作;
所述安全存储模块,用于至少存储进行签名计算的私钥、进行加解密计算和/或校验计算的协商密钥;
所述公钥算法模块,用于进行签名计算;
所述对称算法模块,用于进行加解密计算和/或校验计算;
随机数模块,用于生成随机因子;
杂凑模块,用于进行杂凑计算;
所述处理模块,用于对所述通讯模块的信息接收和输出进行调用,对所述安全认证模块认证后的认证结果进行调用,对所述安全防护模块的防护操作进行调用,对所述安全存储模块存储的信息进行调用,对所述公钥算法模块的计算进行调用,对所述对称算法模块的计算进行调用,对所述随机数模块生成的随机因子进行调用,对所述杂凑模块的杂凑计算进行调用,以及根据所述权限控制模块的权限进行各个模块的调用。
此外,
所述通讯模块,还用于接收第一认证信息以及待处理信息,输出第二认证信息、第二密文信息以及处理信息,其中,所述第一认证信息至少包括:第一密文信息、密文签名信息以及待认证证书,所述第一密文信息至少包括第一随机因子以及第二随机因子,所述密文签名信息为对所述第一密文信息进行的签名;所述第二认证信息至少包括:第一随机因子以及用户身份识别卡证书,所述第二密文信息至少包括所述第二随机因子以及第三随机因子;
所述安全存储模块,还用于存储用户身份识别卡的私钥、所述用户身份识别卡的证书、所述待认证证书的公钥;
所述公钥算法模块,通过所述待认证证书的公钥进行所述密文签名信息的验签计算,以及对所述待认证证书认证计算;
所述对称算法模块,还用于对所述第一密文信息进行解密计算,以及至少对所述第二随机因子和所述第三随机因子进行加密计算获得第二密文信息;
随机数模块,还用于生成所述第一随机因子以及所述第三随机因子;
所述处理模块,还用于在调用所述公钥算法模块对所述待认证证书进行认证通过后,调用所述公钥算法模块对所述密文签名信息的验签计算,并在验签通过后,调用所述对称算法模块解密所述第一密文信息,获得所述第二随机因子,以及调用所述随机数模块生成的所述第三随机因子,并调用所述对称算法模块对所述第二随机因子和所述第三随机因子进行加密计算获得所述第二密文信息。
此外,
所述通讯模块,还用于接收第一校验信息以及待处理信息,输出第二校验信息以及处理信息;其中,所述第一校验信息是通过第一随机因子计算得到的,所述第二校验信息是通过第二随机因子计算得到的;
所述安全存储模块,还用于存储用户身份识别卡的私钥、进行验证的第一密钥和第二密钥;
所述对称算法模块,还用于通过所述第一密钥对所述第一校验信息进行校验计算,通过所述第二密钥对第二随机因子进行校验计算获得所述第二校验信息;
随机数模块,还用于至少生成所述第二随机因子;
所述处理模块,还用于在调用所述安全存储模块存储的所述第一密钥以及所述对称算法模块对所述第一校验信息进行校验,并在校验通过后,调用所述随机数模块生成的所述第二随机因子,并调用所述对称算法模块对所述第二随机因子进行校验计算获得所述第二校验信息。
此外,
所述通讯模块,还用于接收第一密文信息以及待处理信息,输出第二密文信息以及处理信息;其中,所述第一密文信息是通过用户身份识别卡的公钥对第一随机因子进行加密计算得到的,所述第二密文信息是通过待交互模块的公钥对第二随机因子进行加密计算得到的;
所述安全存储模块,还用于存储用户身份识别卡的私钥、进行待交互模块的公钥生成的公钥计算算法;
所述公钥算法模块,还用于根据所述公钥计算算法以及待交互模块标识信息生成所述待交互模块的公钥;
所述对称算法模块,还用于通过用户身份识别卡的私钥对所述第一密文信息进行解密计算,通过所述待交互模块的公钥对所述第二随机因子进行加密计算;
随机数模块,还用于至少生成所述第二随机因子;
所述处理模块,还用于调用所述对称算法模块根据所述用户身份识别卡的私钥解密所述第一密文信息获得第一随机因子,并调用所述安全存储模块存储的所述公钥计算算法以及所述公钥算法模块生成所述待交互模块的公钥,以及调用所述随机数模块生成的所述第二随机因子,并调用所述对称算法模块根据所述待交互模块的公钥对所述第二随机因子进行加密计算获得所述第二密文信息。
此外,
所述处理信息包括:所述对称算法模块根据所述协商密钥对签名信息进行加密计算得到的加密信息,其中,所述签名信息为所述公钥算法模块根据所述用户身份识别卡的私钥对所述待处理信息进行签名计算得到的;或者
所述处理信息包括:所述对称算法模块根据所述协商密钥对签名信息进行校验计算得到的校验信息以及所述签名信息,其中,所述签名信息为所述公钥算法模块根据所述用户身份识别卡的私钥对所述待处理信息进行签名计算得到的;或者
所述处理信息包括:所述对称算法模块根据所述协商密钥对签名信息进行加密计算得到的加密信息和对所述签名信息进行校验计算得到的校验信息,其中,所述签名信息为所述公钥算法模块根据所述用户身份识别卡的私钥对所述待处理信息进行签名计算得到的;或者
所述处理信息包括:所述对称算法模块根据所述协商密钥对签名信息进行加密计算得到的加密信息和对所述加密信息进行校验计算得到的校验信息,其中,所述签名信息为所述公钥算法模块根据所述用户身份识别卡的私钥对所述待处理信息进行签名计算得到的。
此外,所述处理模块还用于在所述公钥算法模块根据所述用户身份识别卡的私钥对所述待处理信息进行签名计算时,调用所述杂凑模块的杂凑计算以获得所述签名信息。
此外,所述对称算法模块,还用于对所述待处理信息进行解密计算和/或校验计算。
此外,所述通讯模块包括:串口、USB接口、NFC接口、蓝牙接口、红外接口、按键或者音频接口。
此外,所述防护操作包括:频率加扰、功耗加扰、计算加扰或者平衡计算。
此外,所述权限控制模块还用于对代码和/或应用程序的执行进行控制。
由上述本发明提供的技术方案可以看出,通过本发明的具备安全功能的用户身份识别卡,可以安全地进行数据传输。
进而通过本发明的用户身份识别卡配合手机的安全部分共同使用以实现手机安全执行网上银行业务和/或机密信息传输。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他附图。
图1为本发明提供的用户身份识别卡的结构示意图。
具体实施方式
下面结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明的保护范围。
在本发明的描述中,需要理解的是,术语“中心”、“纵向”、“横向”、“上”、“下”、“前”、“后”、“左”、“右”、“竖直”、“水平”、“顶”、“底”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。此外,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或数量或位置。
在本发明的描述中,需要说明的是,除非另有明确的规定和限定,术语“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本发明中的具体含义。
下面将结合附图对本发明实施例作进一步地详细描述。
本发明的用户身份识别卡是可以为如下任一种卡片:SIM(Subscriber Identity Module,客户识别模块)卡、UIM(User Identity Module)卡、USIM卡、PIM卡等,以上的卡片均在现有的功能的基础上,拓展了安全功能,从而可以配合手机实现手机安全执行网上银行业务和/或机密信息传输的功能。
此外,本发明的用户身份识别卡需要与具备安全功能的手机进行匹配使用,以保证具有安全功能的手机可以与本发明的用户身份识别卡共同完成网上银行业务和/或机密信息传输的功能。
图1出示了本发明实施例1的用户身份识别卡的结构示意图,参见图1,本发明实施例1的用户身份识别卡,包括:通讯模块101、安全认证模块102、权限控制模块103、安全防护模块104、安全存储模块105、公钥算法模块106、对称算法模块107、随机数模块108、杂凑模块109以及处理模块110;其中,
通讯模块101,用于进行信息接收和输出;具体的,该通讯模块101可以接受处理模块110的调用,以便接收与用户身份识别卡相匹配使用的具有安全功能的手机的安全部分发送的信息,同时也可以将用户身份识别卡生成的各类信息输出至手机的安全部分。该通讯模块101可以为串口、USB接口、NFC接口、蓝牙接口、红外接口、按键或者音频接口等任意接口。
安全认证模块102,用于对用户身份信息以及用户操作信息进行安全认证;具体的,安全认证模块102可以接受处理模块110的调用,对用户通过手机输入或者其他方式输入的身份信息进行安全认证,也可以对用户的操作信息进行安全认证,例如读取操作等操作,该安全认证模块102可以根据不同的用户设定不同的安全级别,以便根据不同用户的身份和/或操作完成安全认证功能。
权限控制模块103,用于对处理模块110对各个模块的调用进行权限控制;具体的,权限控制模块103可以接受处理模块110的调用,并与处理模块110配合完成处理模块110对各个模块的调用,从而控制处理模块110的调用。当然,权限控制模块103还可以对代码和/或应用程序的执行权限进行控制,以保证信息、功能和应用的安全。
安全防护模块104,用于至少对公钥算法模块106、对称算法模块107、随机数模块108和/或杂凑模块109的操作进行防护操作;具体的,在公钥算法模块106进行签名计算时,以及在对称算法模块107进行加解密计算和/或校验计算时,通过处理模块110的调用在计算中进行防护。从而可以抵御能量分析或电磁分析等攻击分析,提高计算破解的难度,从而提高各类信息计算的安全性。其中,防护操作可以包括:频率加扰、功耗加扰或者计算加扰等任意加扰操作,防护操作还可以为平衡计算等操作,只要可以实现安全防护目的,防止攻击等操作均可以属于本发明的保护范围。其中,安全防护模块104至少对公钥算法模块106和/或对称算法模块107的计算操作进行防护操作。
安全存储模块105,用于至少存储进行签名计算的私钥、进行加解密计算和/或校验计算的协商密钥;具体的,安全存储模块105可以至少对安全密钥、协商密钥等安全的信息进行存储,并接受处理模块110的调用,以便配合其他模块完成用户身份识别卡的安全功能。其中,进行签名计算的私钥完全不可被取出,提高私钥存储的安全性。
公钥算法模块106,用于进行签名计算;具体的,公钥算法模块106在被处理模块110的调用中,根据安全存储模块105中存储的用于进行签名计算的私钥(本发明中可以是用户身份识别卡的私钥)进行签名计算,从而可以实现用户身份识别卡的安全功能。
对称算法模块107,用于进行加解密计算和/或校验计算;具体的,本发明中,处理模块110可以调用对称算法模块107对用户身份识别卡输出至手机的安全部分以及对手机的安全部分发送至用户身份识别卡的信息进行加解密计算和/或校验计算,从而保证手机的安全部分与用户身份识别卡之间传输的信息传输不被篡改,提高安全性。
随机数模块108,用于生成随机因子;具体的,随机数模块108可以被处理模块110调用其生成的随机因子,从而可以将随机因子发送至手机的安全部分同时接收手机的安全部分发送的随机因子,以便处理模块110可以根据一方或者双方的随机因子产生用于手机的安全部分和用户身份识别卡之间信息交互的协商密钥,从而提高手机的安全模块与用户身份识别卡之间信息交互的安全性;此外,在每次进行信息传输时还可以增加该随机因子,防止重放攻击。
杂凑模块109,用于进行杂凑计算;具体的,杂凑模块109可以接受处理模块110的调用,在处理模块110调用公钥算法模块106根据用户身份识别卡的私钥对信息进行签名计算时,配合进行杂凑计算以获得签名信息,以完成用户身份识别卡的安全功能。
处理模块110,用于对通讯模块101的信息接收和输出进行调用,对安全认证模块102认证后的认证结果进行调用,对安全防护模块104的防护操作进行调用,对安全存储模块105存储的信息进行调用,对公钥算法模块106的计算进行调用,对对称算法模块107的计算进行调用,对随机数模块108生成的随机因子进行调用,对杂凑模块109的杂凑计算进行调用,以及根据权限控制模块103的权限进行各个模块的调用。具体的,处理模块110对于以上各个模块均可以实现调用从而配合完成用户身份识别卡的安全功能。
由此,通过本发明的具备安全功能的用户身份识别卡,可以安全地进行数据传输。
进而采用本发明的用户身份识别卡配合手机的安全部分共同使用以实现手机安全执行网上银行业务和/或机密信息传输。
实施例1
本实施例中,用户身份识别卡的结构如图1所示,在本实施例中,用户身份识别卡与手机的安全部分之间通过相互认证证书的方式生成协商密钥,以便用户身份识别卡与手机安全部分采用生成的协商密钥进行信息的安全传输。其中:
通讯模块101,具体用于接收第一认证信息以及待处理信息,输出第二认证信息、第二密文信息以及处理信息,其中,第一认证信息至少包括:第一密文信息、密文签名信息以及待认证证书,第一密文信息至少包括第一随机因子以及第二随机因子,密文签名信息为对第一密文信息进行的签名;第二认证信息至少包括:第一随机因子以及用户身份识别卡证书,第二密文信息至少包括第二随机因子以及第三随机因子;
具体的,通讯模块101接受处理模块110的调用,用于接收第一认证信息以及待处理信息,输出第二认证信息、第二密文信息以及处理信息。其中:
第一认证信息即是手机的安全部分发送给用户身份识别卡的认证信息,用于认证手机的安全部分的合法性;待处理信息即手机的安全部分发送给用户身份识别卡的信息,该信息可以为需要安全传输的机密信息,也可以为网银中待交易的交易信息等任意信息。如果本发明应用于机密信息安全传输中,则该信息可以为手机需要输出的机密信息,例如:手机从手机的安全存储区域内获取的机密信息等;如果本发明应用于网上银行业务中,则该信息可以为待执行交易的交易信息,例如:手机通过网上银行客户端获取到的交易账号、交易金额等交易信息。
第二认证信息即用户身份识别卡发送至手机的安全部分的认证信息,用于手机的安全部分认证用户身份识别卡的合法性;第一密文信息可以携带手机的安全部分生成的用于生成用户身份识别卡和手机的安全部分互相协商的协商密钥中的部分因子;当然,第二密文信息也可以携带用户身份识别卡生成的和/或手机的安全部分生成的并发送给用户身份识别卡的用于生成用户身份识别卡和手机的安全部分互相协商的协商密钥中的部分因子;
处理信息即用户身份识别卡向手机的安全部分发送的响应待处理信息的信息,如果本发明应用于机密信息安全传输中,则处理信息可以为签名后的机密信息等;如果本发明应用于网上银行业务中,则处理信息可以为签名后的交易信息等。
当然,该处理信息还可以包括:对称算法模块107根据协商密钥对签名信息进行加密计算得到的加密信息,其中,签名信息为公钥算法模块106根据用户身份识别卡的私钥对待处理信息进行签名计算得到的;或者
处理信息包括:对称算法模块107根据协商密钥对签名信息进行校验计算得到的校验信息以及签名信息,其中,签名信息为公钥算法模块106根据用户身份识别卡的私钥对待处理信息进行签名计算得到的;或者
处理信息包括:对称算法模块107根据协商密钥对签名信息进行加密计算得到的加密信息和对签名信息进行校验计算得到的校验信息,其中,签名信息为公钥算法模块106根据用户身份识别卡的私钥对待处理信息进行签名计算得到的;或者
处理信息包括:对称算法模块107根据协商密钥对签名信息进行加密计算得到的加密信息和对加密信息进行校验计算得到的校验信息,其中,签名信息为公钥算法模块106根据用户身份识别卡的私钥对待处理信息进行签名计算得到的。
由此,用户身份识别卡在传输处理信息的同时还可以保证签名信息传输的安全性。
该通讯模块101可以为串口、USB接口、NFC接口、蓝牙接口、红外接口、按键或者音频接口等任意接口。
安全认证模块102,用于对用户身份信息以及用户操作信息进行安全认证;具体的,安全认证模块102可以接受处理模块110的调用,对用户通过手机输入或者其他方式输入的身份信息进行安全认证,也可以对用户的操作信息进行安全认证,例如读取操作等操作,该安全认证模块102可以根据不同的用户设定不同的安全级别,以便根据不同用户的身份和/或操作完成安全认证功能。
权限控制模块103,用于对处理模块110对各个模块的调用进行权限控制;具体的,权限控制模块103可以接受处理模块110的调用,并与处理模块110配合完成处理模块110对各个模块的调用,从而控制处理模块110的调用。当然,权限控制模块103还可以对代码和/或应用程序的执行权限进行控制,以保证信息、功能和应用的安全。
安全防护模块104,用于至少对公钥算法模块106、对称算法模块107、随机数模块108和/或杂凑模块109的操作进行防护操作;具体的,在公钥算法模块106进行签名计算时,以及在对称算法模块107进行加解密计算和/或校验计算时,通过处理模块110的调用在计算中进行防护。从而可以抵御能量分析或电磁分析等攻击分析,提高计算破解的难度,从而提高各类信息计算的安全性。其中,防护操作可以包括:频率加扰、功耗加扰或者计算加扰等任意加扰操作,防护操作还可以为平衡计算等操作,只要可以实现安全防护目的,防止攻击等操作均可以属于本发明的保护范围。其中,安全防护模块104至少对公钥算法模块106和/或对称算法模块107的计算操作进行防护操作。
安全存储模块105,还用于存储用户身份识别卡的私钥、用户身份识别卡的证书、待认证证书的公钥;
具体的,安全存储模块105除了存储进行签名计算的私钥、进行加解密计算和/或校验计算的协商密钥外,还具体存储了用户身份识别卡的私钥,以便接受处理模块110的调用,执行机密信息传输中的签名操作和/或网上银行的签名操作等;存储用户身份识别卡的证书,以便接受处理模块110的调用,用以将用户身份识别卡的证书发送至手机的安全部分进行用户身份识别卡的合法性认证,提高安全性;存储待认证证书的公钥,以便接受处理模块110的调用,从而令用户身份识别卡对手机的安全部分进行认证,提高安全性,该待认证证书可以为手机的安全部分的证书。
公钥算法模块106,通过待认证证书的公钥进行密文签名信息的验签计算,以及对待认证证书认证计算;
具体的,公钥算法模块106除了用于进行签名计算外,还具体用于接受处理模块110的调用,通过待认证证书的公钥对手机的安全部分发送的密文签名信息进行验签计算,以便验证密文签名信息的正确性;同时还接受处理模块110的调用,对待认证证书进行认证计算,以便认证手机的安全部分的合法性。
对称算法模块107,还用于对第一密文信息进行解密计算,以及至少对第二随机因子和第三随机因子进行加密计算获得第二密文信息;
具体的,对称算法模块107具体用于接受处理模块110的调用,对第一密文信息进行解密,以便获得生成协商密钥的因子,还用于接受处理模块110的调用,对生成协商密钥的因子进行加密计算,以便将生成协商密钥的因子安全的发送至手机的安全部分。当然,本实施例的对称算法模块107还可以用于对待处理信息进行解密计算和/或校验计算,在手机的安全部分对待处理信息进行了加密计算和/或校验计算后,为了核实待处理信息的完整性和真实性,对称算法模块107还对待处理信息进行解密计算和/或校验计算,当然,本实施例的对称算法模块107还可以接受处理模块110的调用,对处理信息进行加密计算和/或校验计算,以便保证处理信息的真实性性和完整性。
随机数模块108,还用于生成第一随机因子以及第三随机因子;
具体的,随机数模块108具体用于生成防止重放攻击的第一随机因子,以及生成用于生成协商密钥的第三随机因子,并接受处理模块110的调用。
杂凑模块109,用于进行杂凑计算;具体的,杂凑模块109可以接受处理模块110的调用,在处理模块110调用公钥算法模块106根据用户身份识别卡的私钥对信息进行签名计算时,配合进行杂凑计算以获得签名信息,以完成用户身份识别卡的安全功能。
处理模块110,还用于在调用公钥算法模块106对待认证证书进行认证通过后,调用公钥算法模块106对密文签名信息的验签计算,并在验签通过后,调用对称算法模块107解密第一密文信息,获得第二随机因子,以及调用随机数模块108生成的第三随机因子,并调用对称算法模块107对第二随机因子和第三随机因子进行加密计算获得第二密文信息。具体的,处理模块110对上述各个模块进行调用,以便可以对手机的安全部分发送的证书进行认证,对手机的安全部分发送的签名进行验签,以及对手机的安全部分发送的密文进行解密获得协商密钥的生成因子,而后调用生成的另一协商密钥的生成因子,根据手机的安全部分发送来的生成因子和用户身份识别卡生成的生成因子共同生成用户身份识别卡端的协商密钥,从而令手机的安全部分与用户身份识别卡之间通过协商密钥进行信息交互,提高信息交互的安全性。
由此,通过本发明的具备安全功能的用户身份识别卡,可以安全地进行数据传输。
进而采用本发明的用户身份识别卡配合手机的安全部分共同使用以实现手机安全执行网上银行业务和/或机密信息传输。
实施例2
本实施例中,用户身份识别卡的结构如图1所示,在本实施例中,用户身份识别卡与手机的安全部分之间通过对称密钥计算生成协商密钥的因子并相互发送和验证的方式生成协商密钥,以便用户身份识别卡与手机安全部分采用生成的协商密钥进行信息的安全传输。其中:
通讯模块101,还用于接收第一校验信息以及待处理信息,输出第二校验信息以及处理信息;其中,第一校验信息是通过第一随机因子计算得到的,第二校验信息是通过第二随机因子计算得到的;
具体的,通讯模块101接受处理模块110的调用,用于接收第一校验信息以及待处理信息,输出第二校验信息以及处理信息。其中:
第一校验信息是手机的安全部分通过第一密钥对第一随机因子进行校验计算得到的,用户身份识别卡获得第一校验信息并验证通过后获得未经篡改的真实的第一随机因子,该第一随机因子可以是手机的安全部分生成的,也可以是用户身份识别卡生成安全发送至手机的安全部分的;待处理信息即手机的安全部分发送给用户身份识别卡的信息,该信息可以为需要安全传输的机密信息,也可以为网银中待交易的交易信息等任意信息。如果本发明应用于机密信息安全传输中,则该信息可以为手机需要输出的机密信息,例如:手机从手机的安全存储区域内获取的机密信息等;如果本发明应用于网上银行业务中,则该信息可以为待执行交易的交易信息,例如:手机通过网上银行客户端获取到的交易账号、交易金额等交易信息。
第二校验信息是用户身份识别卡通过第二密钥对第二随机因子进行校验计算得到的,以便手机的安全部分获得第二校验信息并验证通过后获得未经篡改的真实的第二随机因子。
用户身份识别卡与手机的安全部分根据各自获得的第一随机因子和第二随机因子生成双方的协商密钥。
处理信息即用户身份识别卡向手机的安全部分发送的响应待处理信息的信息,如果本发明应用于机密信息安全传输中,则处理信息可以为签名后的机密信息等;如果本发明应用于网上银行业务中,则处理信息可以为签名后的交易信息等。
当然,该处理信息还可以包括:对称算法模块107根据协商密钥对签名信息进行加密计算得到的加密信息,其中,签名信息为公钥算法模块106根据用户身份识别卡的私钥对待处理信息进行签名计算得到的;或者
处理信息包括:对称算法模块107根据协商密钥对签名信息进行校验计算得到的校验信息以及签名信息,其中,签名信息为公钥算法模块106根据用户身份识别卡的私钥对待处理信息进行签名计算得到的;或者
处理信息包括:对称算法模块107根据协商密钥对签名信息进行加密计算得到的加密信息和对签名信息进行校验计算得到的校验信息,其中,签名信息为公钥算法模块106根据用户身份识别卡的私钥对待处理信息进行签名计算得到的;或者
处理信息包括:对称算法模块107根据协商密钥对签名信息进行加密计算得到的加密信息和对加密信息进行校验计算得到的校验信息,其中,签名信息为公钥算法模块106根据用户身份识别卡的私钥对待处理信息进行签名计算得到的。
由此,用户身份识别卡在传输处理信息的同时还可以保证签名信息传输的安全性。
该通讯模块101可以为串口、USB接口、NFC接口、蓝牙接口、红外接口、按键或者音频接口等任意接口。
安全认证模块102,用于对用户身份信息以及用户操作信息进行安全认证;具体的,安全认证模块102可以接受处理模块110的调用,对用户通过手机输入或者其他方式输入的身份信息进行安全认证,也可以对用户的操作信息进行安全认证,例如读取操作等操作,该安全认证模块102可以根据不同的用户设定不同的安全级别,以便根据不同用户的身份和/或操作完成安全认证功能。
权限控制模块103,用于对处理模块110对各个模块的调用进行权限控制;具体的,权限控制模块103可以接受处理模块110的调用,并与处理模块110配合完成处理模块110对各个模块的调用,从而控制处理模块110的调用。当然,权限控制模块103还可以对代码和/或应用程序的执行权限进行控制,以保证信息、功能和应用的安全。
安全防护模块104,用于至少对公钥算法模块106、对称算法模块107、随机数模块108和/或杂凑模块109的操作进行防护操作;具体的,在公钥算法模块106进行签名计算时,以及在对称算法模块107进行加解密计算和/或校验计算时,通过处理模块110的调用在计算中进行防护。从而可以抵御能量分析或电磁分析等攻击分析,提高计算破解的难度,从而提高各类信息计算的安全性。其中,防护操作可以包括:频率加扰、功耗加扰或者计算加扰等任意加扰操作,防护操作还可以为平衡计算等操作,只要可以实现安全防护目的,防止攻击等操作均可以属于本发明的保护范围。其中,安全防护模块104至少对公钥算法模块106和/或对称算法模块107的计算操作进行防护操作。
安全存储模块105,还用于存储用户身份识别卡的私钥、进行验证的第一密钥和第二密钥;
具体的,安全存储模块105除了存储进行签名计算的私钥、进行加解密计算和/或校验计算的协商密钥外,还具体存储了用户身份识别卡的私钥,以便接受处理模块110的调用,执行机密信息传输中的签名操作和/或网上银行的签名操作等;存储进行验证的第一密钥和第二密钥,以便接受处理模块110的调用,用以验证第一校验信息获得真实的第一随机因子,以及用以对第二随机因子进行校验计算,以便手机的安全部分获得真实的第二随机因子,提高安全性。当然,第一密钥和第二密钥可以为相同的密钥,也可以为不同的密钥,只要用户身份识别卡和手机的安全部分均存储相同的校验计算密钥即可,这均应属于本发明的保护范围。
公钥算法模块106,用于进行签名计算;具体的,公钥算法模块106在被处理模块110的调用中,根据安全存储模块105中存储的用于进行签名计算的私钥(本发明中可以是用户身份识别卡的私钥)进行签名计算,从而可以实现用户身份识别卡的安全功能。
对称算法模块107,还用于通过第一密钥对第一校验信息进行校验计算,通过第二密钥对第二随机因子进行校验计算获得第二校验信息;
具体的,对称算法模块107具体用于接受处理模块110的调用,通过第一密钥对第一校验信息进行校验计算,从而在校验通过后以便处理模块110获得真实的第一随机因子;还用于接受处理模块110的调用,通过第二密钥对第二随机因子进行校验计算获得第二校验信息,以便安全传输第二随机因子,确保第二随机因子在传输过程中不被篡改,或者即便被篡改,在手机的安全部分也可以校验出其被篡改,以便手机的安全部分获得真实的未经篡改的第二随机因子。当然,本实施例的对称算法模块107还可以用于对待处理信息进行解密计算和/或校验计算,在手机的安全部分对待处理信息进行了加密计算和/或校验计算后,为了核实待处理信息的完整性和真实性,对称算法模块107还对待处理信息进行解密计算和/或校验计算,当然,本实施例的对称算法模块107还可以接受处理模块110的调用,对处理信息进行加密计算和/或校验计算,以便保证处理信息的真实性性和完整性。
随机数模块108,还用于至少生成第二随机因子;
具体的,随机数模块108具体用于生成用于生成协商密钥的第二随机因子,并接受处理模块110的调用。
杂凑模块109,用于进行杂凑计算;具体的,杂凑模块109可以接受处理模块110的调用,在处理模块110调用公钥算法模块106根据用户身份识别卡的私钥对信息进行签名计算时,配合进行杂凑计算以获得签名信息,以完成用户身份识别卡的安全功能。
处理模块110,还用于在调用安全存储模块105存储的第一密钥以及对称算法模块107对第一校验信息进行校验,并在校验通过后,调用随机数模块108生成的第二随机因子,并调用对称算法模块107对第二随机因子进行校验计算获得第二校验信息。具体的,处理模块110用于调用上述各个模块,以便对手机的安全部分发送的校验信息进行校验,以及获取协商密钥生成因子而生成用户身份识别卡端的协商密钥,从而令手机的安全部分与用户身份识别卡之间通过协商密钥进行信息交互,提高信息交互的安全性。
由此,通过本发明的具备安全功能的用户身份识别卡,可以安全地进行数据传输。
进而采用本发明的用户身份识别卡配合手机的安全部分共同使用以实现手机安全执行网上银行业务和/或机密信息传输。
实施例3
本实施例中,用户身份识别卡的结构如图1所示,在本实施例中,用户身份识别卡与手机的安全部分之间通过生成对方的公钥,以便用对方的公钥加密生成协商密钥的因子进行发送和解密获得生成协商密钥的因子的方式生成协商密钥,以便用户身份识别卡与手机安全部分采用生成的协商密钥进行信息的安全传输。其中:
通讯模块101,还用于接收第一密文信息以及待处理信息,输出第二密文信息以及处理信息;其中,第一密文信息是通过用户身份识别卡的公钥对第一随机因子进行加密计算得到的,第二密文信息是通过待交互模块的公钥对第二随机因子进行加密计算得到的;
具体的,通讯模块101接受处理模块110的调用,用于接收第一密文信息以及待处理信息,输出第二密文信息以及处理信息。其中:
第一密文信息是手机的安全部分通过生成的用户身份识别卡的公钥对第一随机因子进行加密计算得到的,用户身份识别卡获得第一加密信息并以用户身份识别卡的私钥解密后获得的真实的第一随机因子,该第一随机因子可以是手机的安全部分生成的,也可以是用户身份识别卡生成安全发送至手机的安全部分的;待处理信息即手机的安全部分发送给用户身份识别卡的信息,该信息可以为需要安全传输的机密信息,也可以为网银中待交易的交易信息等任意信息。如果本发明应用于机密信息安全传输中,则该信息可以为手机需要输出的机密信息,例如:手机从手机的安全存储区域内获取的机密信息等;如果本发明应用于网上银行业务中,则该信息可以为待执行交易的交易信息,例如:手机通过网上银行客户端获取到的交易账号、交易金额等交易信息。
第二密文信息是用户身份识别卡通过用户身份识别卡生成的待交互模块的公钥对第二随机因子进行加密计算得到的,以便手机的安全部分获得第二密文信息并解密后获得真实的第二随机因子。
用户身份识别卡与手机的安全部分根据各自获得的第一随机因子和第二随机因子生成双方的协商密钥。
处理信息即用户身份识别卡向手机的安全部分发送的响应待处理信息的信息,如果本发明应用于机密信息安全传输中,则处理信息可以为签名后的机密信息等;如果本发明应用于网上银行业务中,则处理信息可以为签名后的交易信息等。
当然,该处理信息还可以包括:对称算法模块107根据协商密钥对签名信息进行加密计算得到的加密信息,其中,签名信息为公钥算法模块106根据用户身份识别卡的私钥对待处理信息进行签名计算得到的;或者
处理信息包括:对称算法模块107根据协商密钥对签名信息进行校验计算得到的校验信息以及签名信息,其中,签名信息为公钥算法模块106根据用户身份识别卡的私钥对待处理信息进行签名计算得到的;或者
处理信息包括:对称算法模块107根据协商密钥对签名信息进行加密计算得到的加密信息和对签名信息进行校验计算得到的校验信息,其中,签名信息为公钥算法模块106根据用户身份识别卡的私钥对待处理信息进行签名计算得到的;或者
处理信息包括:对称算法模块107根据协商密钥对签名信息进行加密计算得到的加密信息和对加密信息进行校验计算得到的校验信息,其中,签名信息为公钥算法模块106根据用户身份识别卡的私钥对待处理信息进行签名计算得到的。
由此,用户身份识别卡在传输处理信息的同时还可以保证签名信息传输的安全性。
该通讯模块101可以为串口、USB接口、NFC接口、蓝牙接口、红外接口、按键或者音频接口等任意接口。
安全认证模块102,用于对用户身份信息以及用户操作信息进行安全认证;具体的,安全认证模块102可以接受处理模块110的调用,对用户通过手机输入或者其他方式输入的身份信息进行安全认证,也可以对用户的操作信息进行安全认证,例如读取操作等操作,该安全认证模块102可以根据不同的用户设定不同的安全级别,以便根据不同用户的身份和/或操作完成安全认证功能。
权限控制模块103,用于对处理模块110对各个模块的调用进行权限控制;具体的,权限控制模块103可以接受处理模块110的调用,并与处理模块110配合完成处理模块110对各个模块的调用,从而控制处理模块110的调用。当然,权限控制模块103还可以对代码和/或应用程序的执行权限进行控制,以保证信息、功能和应用的安全。
安全防护模块104,用于至少对公钥算法模块106、对称算法模块107、随机数模块108和/或杂凑模块109的操作进行防护操作;具体的,在公钥算法模块106进行签名计算时,以及在对称算法模块107进行加解密计算和/或校验计算时,通过处理模块110的调用在计算中进行防护。从而可以抵御能量分析或电磁分析等攻击分析,提高计算破解的难度,从而提高各类信息计算的安全性。其中,防护操作可以包括:频率加扰、功耗加扰或者计算加扰等任意加扰操作,防护操作还可以为平衡计算等操作,只要可以实现安全防护目的,防止攻击等操作均可以属于本发明的保护范围。其中,安全防护模块104至少对公钥算法模块106和/或对称算法模块107的计算操作进行防护操作。
安全存储模块105,还用于存储用户身份识别卡的私钥、进行待交互模块的公钥生成的公钥计算算法;
具体的,安全存储模块105除了存储进行签名计算的私钥、进行加解密计算和/或校验计算的协商密钥外,还具体存储了用户身份识别卡的私钥,以便接受处理模块110的调用,执行机密信息传输中的签名操作和/或网上银行的签名操作等,同时,还可以接受处理模块110的调用,解密待交互模块以用户身份识别卡的公钥加密传输的信息;存储进行待交互模块的公钥生成的公钥计算算法,以便接受处理模块110的调用,与公钥算法模块106共同根据手机的安全部分的标识信息生成待交互模块的公钥(即手机的安全部分的公钥),以便对需要发送至手机的安全部分的信息可以被手机的安全部分的公钥进行加密,保证传输安全性。
公钥算法模块106,还用于根据公钥计算算法以及待交互模块标识信息生成待交互模块的公钥;
具体的,公钥算法模块106除了用于进行签名计算外,还具体用于接受处理模块110的调用,根据公钥计算算法以及待交互模块(即手机的安全部分)标识信息生成待交互模块的公钥。待交互模块的标识信息可以包括但不限于:手机CPU的序列号、手机CPU的MAC地址等。
对称算法模块107,还用于通过用户身份识别卡的私钥对第一密文信息进行解密计算,通过待交互模块的公钥对第二随机因子进行加密计算;
具体的,对称算法模块107具体用于接受处理模块110的调用,通过用户身份识别卡的私钥对第一密文信息进行解密,以便获得生成协商密钥的因子,还用于接受处理模块110的调用,对生成协商密钥的因子通过待交互模块的公钥进行加密计算,以便将生成协商密钥的因子安全的发送至手机的安全部分。当然,本实施例的对称算法模块107还可以用于对待处理信息进行解密计算和/或校验计算,在手机的安全部分对待处理信息进行了加密计算和/或校验计算后,为了核实待处理信息的完整性和真实性,对称算法模块107还对待处理信息进行解密计算和/或校验计算,当然,本实施例的对称算法模块107还可以接受处理模块110的调用,对处理信息进行加密计算和/或校验计算,以便保证处理信息的真实性性和完整性。
随机数模块108,还用于至少生成第二随机因子;
具体的,随机数模块108具体用于生成用于生成协商密钥的第二随机因子,并接受处理模块110的调用。
杂凑模块109,用于进行杂凑计算;具体的,杂凑模块109可以接受处理模块110的调用,在处理模块110调用公钥算法模块106根据用户身份识别卡的私钥对信息进行签名计算时,配合进行杂凑计算以获得签名信息,以完成用户身份识别卡的安全功能。
处理模块110,还用于调用对称算法模块107根据用户身份识别卡的私钥解密第一密文信息获得第一随机因子,并调用安全存储模块105存储的公钥计算算法以及公钥算法模块106生成待交互模块的公钥,以及调用随机数模块108生成的第二随机因子,并调用对称算法模块107根据待交互模块的公钥对第二随机因子进行加密计算获得第二密文信息。具体的,处理模块110用于调用上述各个模块,以便对手机的安全部分发送的加密信息进行解密获得协商密钥的生成因子,以及根据手机的安全部分的标识信息生成手机的安全部分的公钥,从而可以将用户身份识别卡端生成的协商密钥生成因子安全的传输至手机的安全部分,同时根据协商密钥生成因子户身份识别卡端的协商密钥,从而令手机的安全部分与用户身份识别卡之间通过协商密钥进行信息交互,提高信息交互的安全性。
由此,通过本发明的具备安全功能的用户身份识别卡,可以安全地进行数据传输。
进而采用本发明的用户身份识别卡配合手机的安全部分共同使用以实现手机安全执行网上银行业务和/或机密信息传输。
流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为,表示包括一个或更多个用于实现特定逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分,并且本发明的优选实施方式的范围包括另外的实现,其中可以不按所示出或讨论的顺序,包括根据所涉及的功能按基本同时的方式或按相反的顺序,来执行功能,这应被本发明的实施例所属技术领域的技术人员所理解。
应当理解,本发明的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中,多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。例如,如果用硬件来实现,和在另一实施方式中一样,可用本领域公知的下列技术中的任一项或他们的组合来实现:具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路,具有合适的组合逻辑门电路的专用集成电路,可编程门阵列(PGA),现场可编程门阵列(FPGA)等。
本技术领域的普通技术人员可以理解实现上述实施例方法携带的全部或部分步骤是可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,该程序在执行时,包括方法实施例的步骤之一或其组合。
此外,在本发明各个实施例中的各功能单元可以集成在一个处理模块中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。
上述提到的存储介质可以是只读存储器,磁盘或光盘等。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
尽管上面已经示出和描述了本发明的实施例,可以理解的是,上述实施例是示例性的,不能理解为对本发明的限制,本领域的普通技术人员在不脱离本发明的原理和宗旨的情况下在本发明的范围内可以对上述实施例进行变化、修改、替换和变型。本发明的范围由所附权利要求及其等同限定。
Claims (10)
1.一种用户身份识别卡,其特征在于,包括:处理模块、通讯模块、安全认证模块、权限控制模块、安全防护模块、安全存储模块、公钥算法模块、对称算法模块、随机数模块以及杂凑模块;
所述通讯模块,用于进行信息接收和输出;
所述安全认证模块,用于对用户身份信息以及用户操作信息进行安全认证;
所述权限控制模块,用于对所述处理模块对各个模块的调用进行权限控制;
所述安全防护模块,用于至少对所述公钥算法模块、所述对称算法模块、所述随机数模块和/或所述杂凑模块的操作进行防护操作;
所述安全存储模块,用于至少存储进行签名计算的私钥、进行加解密计算和/或校验计算的协商密钥;
所述公钥算法模块,用于进行签名计算;
所述对称算法模块,用于进行加解密计算和/或校验计算;
随机数模块,用于生成随机因子;
杂凑模块,用于进行杂凑计算;
所述处理模块,用于对所述通讯模块的信息接收和输出进行调用,对所述安全认证模块认证后的认证结果进行调用,对所述安全防护模块的防护操作进行调用,对所述安全存储模块存储的信息进行调用,对所述公钥算法模块的计算进行调用,对所述对称算法模块的计算进行调用,对所述随机数模块生成的随机因子进行调用,对所述杂凑模块的杂凑计算进行调用,以及根据所述权限控制模块的权限进行各个模块的调用。
2.根据权利要求1所述的用户身份识别卡,其特征在于,
所述通讯模块,还用于接收第一认证信息以及待处理信息,输出第二认证信息、第二密文信息以及处理信息,其中,所述第一认证信息至少包括:第一密文信息、密文签名信息以及待认证证书,所述第一密文信息至少包括第一随机因子以及第二随机因子,所述密文签名信息为对所述第一密文信息进行的签名;所述第二认证信息至少包括:第一随机因子以及用户身份识别卡证书,所述第二密文信息至少包括所述第二随机因子以及第三随机因子;
所述安全存储模块,还用于存储用户身份识别卡的私钥、所述用户身份识别卡的证书、所述待认证证书的公钥;
所述公钥算法模块,通过所述待认证证书的公钥进行所述密文签名信息的验签计算,以及对所述待认证证书认证计算;
所述对称算法模块,还用于对所述第一密文信息进行解密计算,以及至少对所述第二随机因子和所述第三随机因子进行加密计算获得第二密文信息;
随机数模块,还用于生成所述第一随机因子以及所述第三随机因子;
所述处理模块,还用于在调用所述公钥算法模块对所述待认证证书进行认证通过后,调用所述公钥算法模块对所述密文签名信息的验签计算,并在验签通过后,调用所述对称算法模块解密所述第一密文信息,获得所述第二随机因子,以及调用所述随机数模块生成的所述第三随机因子,并调用所述对称算法模块对所述第二随机因子和所述第三随机因子进行加密计算获得所述第二密文信息。
3.根据权利要求1所述的用户身份识别卡,其特征在于,
所述通讯模块,还用于接收第一校验信息以及待处理信息,输出第二校验信息以及处理信息;其中,所述第一校验信息是通过第一随机因子计算得到的,所述第二校验信息是通过第二随机因子计算得到的;
所述安全存储模块,还用于存储用户身份识别卡的私钥、进行验证的第一密钥和第二密钥;
所述对称算法模块,还用于通过所述第一密钥对所述第一校验信息进行校验计算,通过所述第二密钥对第二随机因子进行校验计算获得所述第二校验信息;
随机数模块,还用于至少生成所述第二随机因子;
所述处理模块,还用于在调用所述安全存储模块存储的所述第一密钥以及所述对称算法模块对所述第一校验信息进行校验,并在校验通过后,调用所述随机数模块生成的所述第二随机因子,并调用所述对称算法模块对所述第二随机因子进行校验计算获得所述第二校验信息。
4.根据权利要求1所述的用户身份识别卡,其特征在于,
所述通讯模块,还用于接收第一密文信息以及待处理信息,输出第二密文信息以及处理信息;其中,所述第一密文信息是通过用户身份识别卡的公钥对第一随机因子进行加密计算得到的,所述第二密文信息是通过待交互模块的公钥对第二随机因子进行加密计算得到的;
所述安全存储模块,还用于存储用户身份识别卡的私钥、进行待交互模块的公钥生成的公钥计算算法;
所述公钥算法模块,还用于根据所述公钥计算算法以及待交互模块标识信息生成所述待交互模块的公钥;
所述对称算法模块,还用于通过用户身份识别卡的私钥对所述第一密文信息进行解密计算,通过所述待交互模块的公钥对所述第二随机因子进行加密计算;
随机数模块,还用于至少生成所述第二随机因子;
所述处理模块,还用于调用所述对称算法模块根据所述用户身份识别卡的私钥解密所述第一密文信息获得第一随机因子,并调用所述安全存储模块存储的所述公钥计算算法以及所述公钥算法模块生成所述待交互模块的公钥,以及调用所述随机数模块生成的所述第二随机因子,并调用所述对称算法模块根据所述待交互模块的公钥对所述第二随机因子进行加密计算获得所述第二密文信息。
5.根据权利要求2至4任一项所述的用户身份识别卡,其特征在于,
所述处理信息包括:所述对称算法模块根据所述协商密钥对签名信息进行加密计算得到的加密信息,其中,所述签名信息为所述公钥算法模块根据所述用户身份识别卡的私钥对所述待处理信息进行签名计算得到的;或者
所述处理信息包括:所述对称算法模块根据所述协商密钥对签名信息进行校验计算得到的校验信息以及所述签名信息,其中,所述签名信息为所述公钥算法模块根据所述用户身份识别卡的私钥对所述待处理信息进行签名计算得到的;或者
所述处理信息包括:所述对称算法模块根据所述协商密钥对签名信息进行加密计算得到的加密信息和对所述签名信息进行校验计算得到的校验信息,其中,所述签名信息为所述公钥算法模块根据所述用户身份识别卡的私钥对所述待处理信息进行签名计算得到的;或者
所述处理信息包括:所述对称算法模块根据所述协商密钥对签名信息进行加密计算得到的加密信息和对所述加密信息进行校验计算得到的校验信息,其中,所述签名信息为所述公钥算法模块根据所述用户身份识别卡的私钥对所述待处理信息进行签名计算得到的。
6.根据权利要求2至5任一项所述的用户身份识别卡,其特征在于,
所述处理模块还用于在所述公钥算法模块根据所述用户身份识别卡的私钥对所述待处理信息进行签名计算时,调用所述杂凑模块的杂凑计算以获得所述签名信息。
7.根据权利要求2至6任一项所述的用户身份识别卡,其特征在于,
所述对称算法模块,还用于对所述待处理信息进行解密计算和/或校验计算。
8.根据权利要求1至7任一项所述的用户身份识别卡,其特征在于,所述通讯模块包括:串口、USB接口、NFC接口、蓝牙接口、红外接口、按键或者音频接口。
9.根据权利要求1至8任一项所述的用户身份识别卡,其特征在于,所述防护操作包括:频率加扰、功耗加扰、计算加扰或者平衡计算。
10.根据权利要求1至9任一项所述的用户身份识别卡,其特征在于,所述权限控制模块还用于对代码和/或应用程序的执行进行控制。
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410156521.6A CN103944724B (zh) | 2014-04-18 | 2014-04-18 | 一种用户身份识别卡 |
| HK15100231.2A HK1199984A1 (zh) | 2014-04-18 | 2015-01-09 | 種用戶身份識別卡 |
| PCT/CN2015/070906 WO2015158172A1 (zh) | 2014-04-18 | 2015-01-16 | 一种用户身份识别卡 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410156521.6A CN103944724B (zh) | 2014-04-18 | 2014-04-18 | 一种用户身份识别卡 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103944724A true CN103944724A (zh) | 2014-07-23 |
| CN103944724B CN103944724B (zh) | 2017-10-03 |
Family
ID=51192224
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410156521.6A Active CN103944724B (zh) | 2014-04-18 | 2014-04-18 | 一种用户身份识别卡 |
Country Status (3)
| Country | Link |
|---|---|
| CN (1) | CN103944724B (zh) |
| HK (1) | HK1199984A1 (zh) |
| WO (1) | WO2015158172A1 (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104158567A (zh) * | 2014-07-25 | 2014-11-19 | 天地融科技股份有限公司 | 蓝牙设备间的配对方法和系统、数据交互方法和系统 |
| WO2015158172A1 (zh) * | 2014-04-18 | 2015-10-22 | 天地融科技股份有限公司 | 一种用户身份识别卡 |
| CN105812334A (zh) * | 2014-12-31 | 2016-07-27 | 北京华虹集成电路设计有限责任公司 | 一种网络认证方法 |
| CN106982214A (zh) * | 2017-03-31 | 2017-07-25 | 山东超越数控电子有限公司 | 一种采用nfc技术的云桌面安全登录身份卡及云桌面安全登录方法 |
| CN108985046A (zh) * | 2018-06-07 | 2018-12-11 | 国民技术股份有限公司 | 一种安全停靠控制方法、系统及计算机可读存储介质 |
| CN110728347A (zh) * | 2019-09-16 | 2020-01-24 | 中云信安(深圳)科技有限公司 | 一种实体电子卡及实体电子卡卡面显示信息的更新方法 |
| CN115022093A (zh) * | 2022-08-05 | 2022-09-06 | 确信信息股份有限公司 | 基于多级密钥的可信cpu密钥计算方法及系统 |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107451647B (zh) * | 2016-06-01 | 2023-08-29 | 北京军地联合网络技术中心 | 一种内置安全机制的营区专用sim卡 |
| CN106652665A (zh) * | 2016-12-09 | 2017-05-10 | 西安电子科技大学 | 一种计算机组成原理的实验装置 |
| CN112885434B (zh) * | 2021-03-23 | 2022-04-15 | 中国人民解放军联勤保障部队第九六〇医院 | 无网络环境下便携性信息采集与心理测试综合系统及方法 |
| CN114615046B (zh) * | 2022-03-07 | 2024-04-30 | 中国大唐集团科学技术研究总院有限公司 | 一种基于国密证书的管理员双因子认证方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7076062B1 (en) * | 2000-09-14 | 2006-07-11 | Microsoft Corporation | Methods and arrangements for using a signature generating device for encryption-based authentication |
| CN1832403A (zh) * | 2006-04-24 | 2006-09-13 | 北京易恒信认证科技有限公司 | Cpk可信认证系统 |
| CN101009556A (zh) * | 2007-01-08 | 2007-08-01 | 中国信息安全产品测评认证中心 | 一种智能卡与u盘复合设备及其基于双向认证机制以提高访问安全性的方法 |
| CN101106455A (zh) * | 2007-08-20 | 2008-01-16 | 北京飞天诚信科技有限公司 | 身份认证的方法和智能密钥装置 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101938520B (zh) * | 2010-09-07 | 2015-01-28 | 中兴通讯股份有限公司 | 一种基于移动终端签名的远程支付系统及方法 |
| CN102802036B (zh) * | 2012-07-26 | 2015-04-29 | 深圳创维-Rgb电子有限公司 | 一种数字电视认证的系统及方法 |
| CN103164738B (zh) * | 2013-02-06 | 2015-09-30 | 厦门盛华电子科技有限公司 | 一种基于移动支付多通道数字认证的手机用户识别卡 |
| CN103944724B (zh) * | 2014-04-18 | 2017-10-03 | 天地融科技股份有限公司 | 一种用户身份识别卡 |
-
2014
- 2014-04-18 CN CN201410156521.6A patent/CN103944724B/zh active Active
-
2015
- 2015-01-09 HK HK15100231.2A patent/HK1199984A1/zh unknown
- 2015-01-16 WO PCT/CN2015/070906 patent/WO2015158172A1/zh active Application Filing
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7076062B1 (en) * | 2000-09-14 | 2006-07-11 | Microsoft Corporation | Methods and arrangements for using a signature generating device for encryption-based authentication |
| CN1832403A (zh) * | 2006-04-24 | 2006-09-13 | 北京易恒信认证科技有限公司 | Cpk可信认证系统 |
| CN101009556A (zh) * | 2007-01-08 | 2007-08-01 | 中国信息安全产品测评认证中心 | 一种智能卡与u盘复合设备及其基于双向认证机制以提高访问安全性的方法 |
| CN101106455A (zh) * | 2007-08-20 | 2008-01-16 | 北京飞天诚信科技有限公司 | 身份认证的方法和智能密钥装置 |
Non-Patent Citations (1)
| Title |
|---|
| 宣蕾等: "基于CPK认证技术的智能卡设计", 《2009年中国高校通信类院系学术研讨会论文集》 * |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2015158172A1 (zh) * | 2014-04-18 | 2015-10-22 | 天地融科技股份有限公司 | 一种用户身份识别卡 |
| CN104158567A (zh) * | 2014-07-25 | 2014-11-19 | 天地融科技股份有限公司 | 蓝牙设备间的配对方法和系统、数据交互方法和系统 |
| CN104158567B (zh) * | 2014-07-25 | 2016-05-18 | 天地融科技股份有限公司 | 蓝牙设备间的配对方法和系统、数据交互方法和系统 |
| CN105812334A (zh) * | 2014-12-31 | 2016-07-27 | 北京华虹集成电路设计有限责任公司 | 一种网络认证方法 |
| CN105812334B (zh) * | 2014-12-31 | 2019-02-05 | 北京华虹集成电路设计有限责任公司 | 一种网络认证方法 |
| CN106982214A (zh) * | 2017-03-31 | 2017-07-25 | 山东超越数控电子有限公司 | 一种采用nfc技术的云桌面安全登录身份卡及云桌面安全登录方法 |
| CN108985046A (zh) * | 2018-06-07 | 2018-12-11 | 国民技术股份有限公司 | 一种安全停靠控制方法、系统及计算机可读存储介质 |
| CN110728347A (zh) * | 2019-09-16 | 2020-01-24 | 中云信安(深圳)科技有限公司 | 一种实体电子卡及实体电子卡卡面显示信息的更新方法 |
| CN115022093A (zh) * | 2022-08-05 | 2022-09-06 | 确信信息股份有限公司 | 基于多级密钥的可信cpu密钥计算方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2015158172A1 (zh) | 2015-10-22 |
| CN103944724B (zh) | 2017-10-03 |
| HK1199984A1 (zh) | 2015-07-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103944724B (zh) | 一种用户身份识别卡 | |
| US11258777B2 (en) | Method for carrying out a two-factor authentication | |
| CN111614637B (zh) | 一种基于软件密码模块的安全通信方法及系统 | |
| CN106797311B (zh) | 用于安全密码生成的系统、方法和存储介质 | |
| US10461927B2 (en) | Secure channel establishment between payment device and terminal device | |
| CN103532719B (zh) | 动态口令生成方法和系统、交易请求的处理方法和系统 | |
| CN102547688B (zh) | 一种基于虚拟专用信道的高可信手机安全通信信道的建立方法 | |
| US11636478B2 (en) | Method of performing authentication for a transaction and a system thereof | |
| CN103516525B (zh) | 一种动态口令生成方法和系统 | |
| CN107784499B (zh) | 近场通信移动终端的安全支付系统及方法 | |
| WO2015161689A1 (zh) | 一种基于协商密钥的数据处理方法 | |
| CN109272314B (zh) | 一种基于两方协同签名计算的安全通信方法及系统 | |
| WO2015135398A1 (zh) | 一种基于协商密钥的数据处理方法 | |
| CN101964805B (zh) | 一种数据安全发送与接收的方法、设备及系统 | |
| CN101819614A (zh) | 利用语音核验USBKey增强网络交易安全性的系统和方法 | |
| CN105812334A (zh) | 一种网络认证方法 | |
| CN110505055A (zh) | 基于非对称密钥池对和密钥卡的外网接入身份认证方法和系统 | |
| CN103905388A (zh) | 一种认证方法、认证装置、智能卡、服务器 | |
| CN113507372A (zh) | 一种接口请求的双向认证方法 | |
| CN106056419A (zh) | 利用电子签名设备实现独立交易的方法、系统和设备 | |
| CN108401494B (zh) | 一种传输数据的方法及系统 | |
| CN103746802B (zh) | 一种基于协商密钥的数据处理方法和手机 | |
| CN117081736A (zh) | 密钥分发方法、密钥分发装置、通信方法及通信装置 | |
| CN108768941A (zh) | 一种远程解锁安全设备的方法及装置 | |
| Pratama et al. | 2FMA-NetBank: A proposed two factor and mutual authentication scheme for efficient and secure internet banking |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 1199984 Country of ref document: HK |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: GR Ref document number: 1199984 Country of ref document: HK |