CN104022886A - 应用于停车场的安全认证方法、相关装置和系统 - Google Patents
应用于停车场的安全认证方法、相关装置和系统 Download PDFInfo
- Publication number
- CN104022886A CN104022886A CN201410300956.3A CN201410300956A CN104022886A CN 104022886 A CN104022886 A CN 104022886A CN 201410300956 A CN201410300956 A CN 201410300956A CN 104022886 A CN104022886 A CN 104022886A
- Authority
- CN
- China
- Prior art keywords
- key
- card
- cpu
- sam
- cpu card
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Devices For Checking Fares Or Tickets At Control Points (AREA)
Abstract
本发明公开了应用于停车场的安全认证方法、相关装置和系统。本发明采用读取第一根密钥和第二根密钥,根据该第一根密钥和第二根密钥生成总控密钥,对总控密钥进行分散运算,生成发卡母卡密钥和SAM卡发卡控制密钥,根据发卡母卡密钥生成CPU卡子密钥,以及根据SAM卡发卡控制密钥生成SAM卡密钥,然后,根据CPU卡子密钥和SAM卡密钥对用户身份进行认证;由于该方案的密钥注入具有一定的次序和层次,且各个层次的密钥间具有相互保护的依存关系,所以密钥具有更高的安全性,而且,该方案采用了CPU卡和PSAM卡交互认证的方式来对用户身份进行验证,所以,大大加强了对用户数据的保护,可以提高停车场管理系统的安全性。
Description
技术领域
本发明涉及电子技术领域,具体涉及一种应用于停车场的安全认证方法、相关装置和系统。
背景技术
随着经济的快速发展,停车场已经成为我们日常生活中不可或缺的一部分,如何更好地对停车场进行管理和控制,逐渐成为人们日益关注的问题。
目前我国的停车场管理系统中,大多采用非接触集成电路(IC,integratedcircuit)卡,且都是采用非接触逻辑加密卡。其中,非接触式IC卡主要由IC芯片和感应天线组成,其被完全密封在一个标准聚氯乙烯(PVC,polyvinylchloride)卡片中,无外露部分;非接触式IC卡的读写过程,通常由非接触式IC卡与读写器之间通过无线电波来完成。
在对现有技术的研究和实践过程中,本发明的发明人发现,现有的停车场管理系统的安全性不高。
发明内容
本发明实施例提供一种应用于停车场的安全认证方法、相关装置和系统,可以提高停车场管理系统的安全性。
一种应用于停车场的安全认证方法,包括:
读取第一根密钥和第二根密钥;
根据所述第一根密钥和第二根密钥生成总控密钥;
对所述总控密钥进行分散运算,生成发卡母卡密钥和安全存取模块(SAM,Secure Access Module)卡控制密钥;
根据所述发卡母卡密钥生成中央处理器(CPU,Central Processing Unit)卡子密钥;以及根据所述SAM卡发卡控制密钥生成SAM卡密钥;
根据所述CPU卡子密钥和SAM卡密钥对用户身份进行认证。
可选的,其中,所述根据所述发卡母卡密钥生成CPU卡子密钥的步骤,具体可以为:
对所述发卡母卡密钥进行分散运算,生成CPU卡子密钥。
其中,所述CPU卡子密钥与SAM卡密钥满足第一映射关系,所述第一映射关系为:所述CPU卡子密钥等于对所述SAM卡密钥和CPU卡的物理标识号进行分散运算所得到的结果。
例如,所述CPU卡子密钥可以包括外部认证子密钥、消费子密钥、圈存子密钥和交易验证码(TAC,Transaction Authorization Code)子密钥;
所述SAM卡密钥可以包括CPU卡外部认证密钥、CPU卡消费密钥、CPU卡圈存密钥和CPU卡TAC密钥;
则此时,所述外部认证子密钥等于对所述CPU卡外部认证密钥和CPU卡的物理标识号进行分散运算所得到的结果;
所述消费子密钥等于对所述CPU卡消费密钥和CPU卡的物理标识号进行分散运算所得到的结果;
所述圈存子密钥等于对所述CPU卡圈存密钥和CPU卡的物理标识号进行分散运算所得到的结果;
所述TAC子密钥等于对所述CPU卡TAC密钥和CPU卡的物理标识号进行分散运算所得到的结果。
此外,可选的,所述根据所述CPU卡子密钥和SAM卡密钥对用户身份进行认证,可以包括:
通过终端接收CPU卡发送的安全认证请求,所述安全认证请求携带第一随机数和CPU卡的物理标识号;
通过终端将所述第一随机数和CPU卡的物理标识号发送给SAM卡;
由SAM卡根据CPU卡的物理标识号对SAM卡密钥进行分散,得到过程密钥;
由SAM卡根据所述过程密钥对所述第一随机数进行加密,得到第一加密数据;
由SAM卡通过终端将第一加密数据传送给CPU卡;
由CPU卡利用CPU卡子密钥对第一加密数据进行解密,得到第一解密数据,确定所述第一解密数据等于所述第一随机数时,生成指示安全认证通过的认证结果;
由CPU卡将所述认证结果发送给终端。
此外,在通过终端接收CPU卡发送的安全认证请求之前,该方法还可以包括:
通过终端向CPU卡获取CPU卡的物理标识号,并通过终端向SAM卡获取第二随机数;
通过终端将所述第二随机数发送给CPU卡;
由CPU卡采用内部认证密钥对所述第二随机数进行加密,得到第二加密数据,并发送给终端;
由终端将所述第二加密数据和CPU卡的物理标识号发送给SAM卡;
由SAM卡根据所述CPU卡的物理标识号对内部认证密钥进行分散,得到临时密钥;
由SAM卡利用所述临时密钥,对所述第二加密数据进行解密,得到第二解密数据,并在确定所述第二解密数据等于第二随机数时,生成指示认证通过的认证结果;
由终端接收SAM卡返回的携带认证结果的响应消息,并在确定所述认证结果指示认证通过时,执行通过终端接收CPU卡发送的安全认证请求的步骤。
相应的,本发明实施例还提供一种应用于停车场的发卡装置,包括读取单元、第一生成单元、运算单元和第二生成单元,如下:
读取单元,用于读取第一根密钥和第二根密钥;
第一生成单元,用于根据所述第一根密钥和第二根密钥生成总控密钥;
运算单元,用于对所述总控密钥进行分散运算,生成发卡母卡密钥和SAM卡发卡控制密钥;
第二生成单元,用于根据所述发卡母卡密钥生成CPU卡子密钥;以及根据所述SAM卡发卡控制密钥生成SAM卡密钥。
可选的,其中,第二生成单元,具体用于对所述发卡母卡密钥进行分散运算,生成CPU卡子密钥。
其中,所述CPU卡子密钥与SAM卡密钥满足第一映射关系,所述第一映射关系为:所述CPU卡子密钥等于对所述SAM卡密钥和CPU卡的物理标识号进行分散运算所得到的结果。
例如,所述CPU卡子密钥具体可以包括外部认证子密钥、消费子密钥、圈存子密钥和TAC子密钥;
所述SAM卡密钥包括CPU卡外部认证密钥、CPU卡消费密钥、CPU卡圈存密钥和CPU卡TAC密钥;
则此时,所述外部认证子密钥等于对所述CPU卡外部认证密钥和CPU卡的物理标识号进行分散运算所得到的结果;
所述消费子密钥等于对所述CPU卡消费密钥和CPU卡的物理标识号进行分散运算所得到的结果;
所述圈存子密钥等于对所述CPU卡圈存密钥和CPU卡的物理标识号进行分散运算所得到的结果;
所述TAC子密钥等于对所述CPU卡TAC密钥和CPU卡的物理标识号进行分散运算所得到的结果。
相应的,本发明实施例还一种停车场管理系统,包括认证装置和本发明实施例提供的任一种应用于停车场的发卡装置;
所述认证装置,用于根据所述发卡装置生成的中央处理器CPU卡子密钥和SAM卡密钥对用户身份进行认证。
例如,其中,所述认证装置可以包括终端、CPU卡和SAM卡;
终端,用于接收CPU卡发送的安全认证请求,所述安全认证请求携带第一随机数和CPU卡的物理标识号,将所述第一随机数和CPU卡的物理标识号发送给SAM卡,接收SAM卡返回的第一加密数据,将第一加密数据发送给CPU卡,接收CPU卡发送的认证结果;
SAM卡,装载了SAM卡密钥,用于根据CPU卡的物理标识号对SAM卡密钥进行分散,得到过程密钥,根据所述过程密钥对所述第一随机数进行加密,得到第一加密数据,将所述第一加密数据发送给终端;
CPU卡,装载了CPU卡子密钥以及记录有CPU卡的物理标识号,用于发送安全认证请求给终端,所述安全认证请求携带第一随机数和CPU卡的物理标识号,接收终端发送的第一加密数据,利用CPU卡子密钥对第一加密数据进行解密,得到第一解密数据,确定所述第一解密数据等于所述第一随机数时,生成指示安全认证通过的认证结果,将所述认证结果发送给终端。
可选的,终端,还可以用于向CPU卡获取用户身份证明信息,并向SAM卡获取第二随机数,将所述第二随机数发送给CPU卡,接收CPU卡返回的第二加密数据,将所述第二加密数据和用户身份证明信息发送给SAM卡,接收SAM卡返回的携带认证结果的响应消息,并在确定所述认证结果指示认证通过时,执行通过终端接收CPU卡发送的安全认证请求的步骤;
CPU卡,还可以用于采用内部认证密钥对所述第二随机数进行国密加密,得到第二加密数据,并发送给终端;
SAM卡,还可以用于根据所述用户身份证明信息对内部认证密钥进行分散,得到临时密钥,利用所述临时密钥,采用国密解密算法对所述第二加密数据进行解密,得到第二解密数据,并在确定所述第二解密数据等于第二随机数时,生成指示认证通过的认证结果。
本发明实施例采用读取第一根密钥和第二根密钥,并根据该第一根密钥和第二根密钥生成总控密钥,然后,对总控密钥进行分散运算,生成发卡母卡密钥和SAM卡发卡控制密钥,再根据发卡母卡密钥生成CPU卡子密钥,以及根据SAM卡发卡控制密钥生成SAM卡密钥,最后,根据CPU卡子密钥和SAM卡密钥对用户身份进行认证;由于该方案的密钥注入具有一定的次序和多个层次,且各个层次的密钥之间具有相互保护的依存关系,所以相对于现有技术而言,密钥具有更高的安全性,而且,该方案采用了CPU卡和PSAM卡交互认证的方式来对用户身份进行验证,所以,大大加强了对用户数据的保护,可以提高停车场管理系统的安全性。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的应用于停车场的安全认证方法的流程图;
图2a是为停车场管理系统的原理示意图;
图2b是本发明实施例提供的应用于停车场的安全认证方法中发卡的关系示意图;
图2c是本发明实施例提供的应用于停车场的安全认证方法中发卡的流程图;
图2d是认证装置根据CPU卡子密钥和SAM卡密钥对用户身份进行认证的流程图;
图2e是本发明实施例提供的停车场的场景示意图;
图3是本发明实施例提供的应用于停车场的发卡装置的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例提供应用于停车场的安全认证方法、相关装置和系统。以下分别进行详细说明。
实施例一、
本发明实施例将从停车场管理系统的角度进行描述,该停车系统可以包括发卡装置和认证装置,其中,认证装置可以包括终端、SAM卡和CPU卡。
一种应用于停车场的安全认证方法,包括:读取第一根密钥和第二根密钥,根据该第一根密钥和第二根密钥生成总控密钥,对总控密钥进行分散运算,生成发卡母卡密钥和SAM卡发卡控制密钥,根据发卡母卡密钥生成CPU卡子密钥,以及根据SAM卡发卡控制密钥生成SAM卡密钥,根据CPU卡子密钥和SAM卡密钥对用户身份进行认证。
如图1所示,具体流程可以如下:
101、读取第一根密钥和第二根密钥;
例如,第一根密钥可以装载在第一母卡中,第二根密钥可以装载在第二母卡中,其中,第一母卡和第二母卡均为种子密钥卡,分别装载有一部分根密钥,为了描述方便,在本发明实施例中,将第一母卡中装载的那部分根密钥称为第一根密钥,将第二母卡中装载的那部分密钥称为第二根密钥。即步骤101具体可以为:
从第一母卡中读取第一根密钥,以及从第二母卡中读取第二根密钥。
102、根据步骤101中读取到的第一根密钥和第二根密钥生成总控密钥;
例如,具体可以将第一根密钥和第二根密钥组合成总控密钥。
103、对步骤102中得到的总控密钥进行分散运算,生成发卡母卡密钥和SAM卡发卡控制密钥;
SAM卡可以包括主机SAM卡(HSAM,Host Secure Access Module)、存款SAM卡(ISAM,Increase Secure Access Module)和/或消费SAM卡(PSAM,Purchase Secure Access Module);HSAM可以安装在主机或圈存机中,用于为CPU卡进行圈存充值等操作;ISAM可以安装在圈存机或主机中,也可以用于为CPU卡进行圈存充值等操作;而PSAM卡则可以安装在消费终端中,用于对CPU卡进行消费费用扣除等操作。
其中,圈存指的是将钱存入到用户的CPU卡中,使得CPU卡中的余额增加;消费,指的是利用CPU卡中的钱购买服务或商品,使得余额减少。
104、根据发卡母卡密钥生成CPU卡子密钥,以及根据SAM卡发卡控制密钥生成SAM卡密钥;
例如,其中,根据发卡母卡密钥生成CPU卡子密钥具体可以为:对该发卡母卡密钥进行分散运算,生成CPU卡子密钥。
其中,CPU卡子密钥与SAM卡密钥满足第一映射关系,该第一映射关系具体可以为:CPU卡子密钥等于对该SAM卡密钥和CPU卡的物理标识号进行分散运算所得到的结果,如下:
DK=Diversify(MK,DATA)
其中,DK为CPU卡子密钥(即CPU卡中的子密钥),MK为SAM卡密钥(具体为PSAM卡中的CPU密钥),DATA为CPU卡的物理标识(ID,Identity)号,Diversify是分散算法。
例如,其中,CPU卡子密钥可以包括外部认证子密钥、消费子密钥、圈存子密钥和交易验证码TAC子密钥等;SAM卡密钥可以包括CPU卡外部认证密钥、CPU卡消费密钥、CPU卡圈存密钥和CPU卡TAC密钥等;则这些密钥之间的映射关系可以如下:
外部认证子密钥等于对CPU卡外部认证密钥和CPU卡的物理标识号进行分散运算所得到的结果;
消费子密钥等于对CPU卡消费密钥和CPU卡的物理标识号进行分散运算所得到的结果;
圈存子密钥等于对CPU卡圈存密钥和CPU卡的物理标识号进行分散运算所得到的结果;
TAC子密钥等于对CPU卡TAC密钥和CPU卡的物理标识号进行分散运算所得到的结果。
当然,除了上述所列出的CPU子密钥之外,CPU卡中还可以包括其他的密钥,比如,CPU卡主密钥、CPU卡维护主密钥、CPU卡应用主密钥和个人识别码(PIN,Personal Identification Number)解锁/重装密钥等,这些密钥具体可以由用户自行进行修改和设置。
同理,SAM卡中的密钥除了上述所列出的SAM卡密钥之外,还可以包括SAM卡主密钥、SAM卡维护主密钥、SAM卡应用主密钥和SAM卡应用维护密码等,这些密钥具体也可以由用户自行进行修改和设置。
105、根据CPU卡子密钥和SAM卡密钥对用户身份进行认证。例如,具体可以如下:
(1)通过终端接收CPU卡发送的安全认证请求,其中,安全认证请求携带第一随机数和CPU卡的物理标识号;
(2)通过终端将所述第一随机数和CPU卡的物理标识号发送给SAM卡;
(3)由SAM卡根据CPU卡的物理标识号对SAM卡密钥进行分散,得到过程密钥;
(4)由SAM卡根据该过程密钥对该第一随机数进行加密,得到第一加密数据;
例如,具体可以采用国密加密算法,比如国密SM1(SM1 cryptographicalgorithm)对该第一随机数进行加密,得到第一加密数据;或者,也可以采用3DES(Data Encryption Standard,是三重数据加密算法的数据加密标准)对该第一随机数进行加密,得到第一加密数据。
(5)由SAM卡通过终端将第一加密数据传送给CPU卡;
(6)由CPU卡利用CPU卡子密钥对第一加密数据进行解密,得到第一解密数据,确定该第一解密数据等于该第一随机数时,生成指示安全认证通过的认证结果;
例如,如果在SAM卡采用国密加密算法对第一随机数进行加密,得到第一加密数据,则此时,CPU卡具体可以利用国密解密算法对第一加密数据进行解密,得到第一解密数据。
同理,又例如,如果SAM卡采用3DES对第一随机数进行加密,得到第一加密数据,则此时,CPU卡具体可以利用3DES对应的解密算法对第一加密数据进行解密,得到第一解密数据。
此外,可选的,若该第一解密数据不等于该第一随机数,则流程结束,或者,如果该第一解密数据不等于该第一随机数,CPU卡也可以生成指示认证失败的认证结果。
(7)由CPU卡将该认证结果发送给终端。
终端在接收到CPU发送的认证结果后,若该认证结果指示安全认证通过,则终端可以进行后续操作,例如,具体可以根据该数据处理请求,对用户数据进行处理等等,比如,根据该数据处理请求,记录用户数据,并将该用户数据存储在服务器上,其中,该用户数据可以包括用户信息、入场时间、出场时间、车场信息和/或设备信息等数据,然后根据用户信息、入场时间和出场时间计算消费费用,从CPU卡中扣除该消费费用,等等。又或者,还可以对CPU卡进行圈存充值,等等。
此外,为了加强认证的安全性,也可以对CPU的合法性进行认证;为了描述方便,在本发明实施例中,将CPU卡认证SAM卡(SAM卡可以安装在终端中)的过程称为外部认证,将SAM卡认证CPU卡的过程称为内部认证,也就是说,在通过终端接收CPU卡发送的数据处理请求之前,还可以对CPU卡进行内部认证,即在通过终端接收CPU卡发送的数据处理请求,该方法还可以包括:
(1)通过终端向CPU卡获取CPU卡的物理标识号,并通过终端向SAM卡获取第二随机数;
(2)通过终端将该第二随机数发送给CPU卡;
(3)由CPU卡采用内部认证密钥对该第二随机数进行加密,得到第二加密数据,并发送给终端;
例如,具体可以采用国密加密算法或者3DES对该第二随机数进行加密,得到第二加密数据,并发送给终端。
(4)由终端将该第二加密数据和CPU卡的物理标识号发送给SAM卡;
(5)由SAM卡根据该CPU卡的物理标识号对内部认证密钥进行分散,得到临时密钥;
(6)由SAM卡利用该临时密钥,对该第二加密数据进行解密,得到第二解密数据,并在确定该第二解密数据等于第二随机数时,生成指示认证通过的认证结果;
例如,如果在CPU卡采用国密加密算法对第二随机数进行加密,得到第二加密数据,则此时,SAM卡具体可以利用国密解密算法对第二加密数据进行解密,得到第二解密数据。
同理,又例如,如果CPU卡采用3DES对第二随机数进行加密,得到第二加密数据,则此时,SAM卡具体可以利用3DES对应的解密算法对第二加密数据进行解密,得到第二解密数据。
此外,可选的,若该第二解密数据不等于该第二随机数,则流程结束,或者,如果该第二解密数据不等于该第二随机数,SAM卡也可以生成指示认证失败的认证结果。
(7)由终端接收SAM卡返回的携带认证结果的响应消息,并在确定该认证结果指示认证通过时,执行通过终端接收CPU卡发送的安全认证请求的步骤。
由上可知,本发明实施例采用读取第一根密钥和第二根密钥,并根据该第一根密钥和第二根密钥生成总控密钥,然后,对总控密钥进行分散运算,生成发卡母卡密钥和SAM卡发卡控制密钥,再根据发卡母卡密钥生成CPU卡子密钥,以及根据SAM卡发卡控制密钥生成SAM卡密钥,最后,根据CPU卡子密钥和SAM卡密钥对用户身份进行认证;由于该方案的密钥注入具有一定的次序和多个层次,且各个层次的密钥之间具有相互保护的依存关系,所以相对于现有技术而言,密钥具有更高的安全性,而且,该方案采用了CPU卡和PSAM卡交互认证的方式来对用户身份进行验证,所以,大大加强了对用户数据的保护,可以提高停车场管理系统的安全性。
实施例二、
根据实施例一所描述的方法,以下将举例作进一步详细说明。
如图2a所示,该图为停车场管理系统的原理示意图,如图2a所示,该停车场管理系统可以包括发卡装置和认证装置,其中认证装置可以包括终端、CPU卡和SAM卡,此外,认证装置还可以包括停车场控制器,其中,各个设备的结构和功能具体可以如下:
(1)终端;
终端可以包括微控制单元、通信模块和射频接口等模块;
终端作为SAM卡和CPU卡交互的发起者和联络者,传递和处理SAM卡与CPU卡的交互信息。
(2)CPU卡;
该CPU卡卡中包含所有的用户信息和交易信息,具体可以由用户持有。
(3)SAM卡;
SAM卡主要负责对CPU卡的操作进行密钥管控和认证,确保用户卡资金和信息安全。
其中,SAM卡可以包括HSAM、ISAM和/或PSAM;HSAM可以安装在主机或圈存机中,用于为CPU卡进行圈存充值等操作;ISAM可以安装在圈存机或主机中,也可以用于为CPU卡进行圈存充值等操作;而PSAM卡则可以安装在消费终端中,用于对CPU卡进行消费费用扣除等操作。
(4)停车场控制器
停车场控制器通过通信接口对终端进行控制。
需说明的是,该停车场管理系统还可以包括其他的设备,在此不再赘述。
以该停车场管理系统为例,该应用于停车场的安全认证方法具体可以如下:
(一)发卡阶段;
参见图2b和图2c;其中,图2b为本发明实施例提供的应用于停车场的安全认证方法中,发卡的关系示意图;图2c为本发明实施例提供的应用于停车场的安全认证方法中,发卡的流程图,如下:
A201、发卡装置从第一母卡中读取第一根密钥,以及从第二母卡中读取第二根密钥;
其中,第一母卡和第二母卡均为种子密钥卡,分别装载有一部分根密钥,为了描述方便,在本发明实施例中,将第一母卡中装载的那部分根密钥称为第一根密钥,将第二母卡中装载的那部分密钥称为第二根密钥。
A202、发卡装置根据读取到的第一根密钥和第二根密钥生成总控密钥;
例如,具体可以将第一根密钥和第二根密钥组合成总控密钥。
其中,该总控密钥可以装载在总控卡中。
A203、发卡装置对总控密钥进行分散运算,生成发卡母卡密钥和SAM卡发卡控制密钥;
其中,SAM卡可以包括HSAM、ISAM和/或PSAM;HSAM可以安装在主机或圈存机中,用于为CPU卡进行圈存充值等操作;ISAM可以安装在圈存机或主机中,也可以用于为CPU卡进行圈存充值等操作;而PSAM卡则可以安装在消费终端中,用于对CPU卡进行消费费用扣除等操作。
需说明的是,其中,发卡母卡密钥可以装载在发卡母卡(或称为发卡控制卡)中;SAM卡发卡控制密钥可以装载在SAM卡发卡控制卡中,比如装载在PSAM卡发卡控制卡中,或者,装载在HSAM卡发卡控制卡中,等等。
A204、发卡装置对该发卡母卡密钥进行分散运算,生成CPU卡子密钥,以及根据SAM卡发卡控制密钥生成SAM卡密钥;
其中,CPU卡子密钥与SAM卡密钥满足第一映射关系,该第一映射关系具体可以为:CPU卡子密钥等于对该SAM卡密钥和CPU卡的物理标识号进行分散运算所得到的结果,如下:
DK=Diversify(MK,DATA)
其中,DK为CPU卡子密钥,MK为SAM卡密钥,DATA为CPU卡的物理标识号,Diversify是分散算法。
例如,其中,CPU卡子密钥可以包括外部认证子密钥、消费子密钥、圈存子密钥和TAC子密钥等;SAM卡密钥可以包括CPU卡外部认证密钥、CPU卡消费密钥、CPU卡圈存密钥和CPU卡TAC密钥等;则这些密钥之间的映射关系可以如下(详见图2b中的虚框里的密钥,其中,虚线箭头表示第一映射关系):
外部认证子密钥等于对CPU卡外部认证密钥和CPU卡的物理标识号进行分散运算所得到的结果,即外部认证子密钥与CPU卡外部认证密钥之间满足DK=Diversify(MK,DATA)的关系;
消费子密钥等于对CPU卡消费密钥和CPU卡的物理标识号进行分散运算所得到的结果,即消费子密钥与CPU卡消费密钥之间满足DK=Diversify(MK,DATA)的关系;
圈存子密钥等于对CPU卡圈存密钥和CPU卡的物理标识号进行分散运算所得到的结果,即圈存子密钥与CPU卡圈存密钥之间满足DK=Diversify(MK,DATA)的关系;
TAC子密钥等于对CPU卡TAC密钥和CPU卡的物理标识号进行分散运算所得到的结果,即TAC子密钥与CPU卡TAC密钥之间满足DK=Diversify(MK,DATA)的关系。
需说明的是,其中,CPU卡子密钥可以装载在CPU卡中;SAM卡密钥可以装载在SAM卡中,比如具体可以装载在HSAM卡中,或者,具体也可以装载在PSAM卡中,等等。
当然,除了上述所列出的CPU子密钥之外,CPU卡中还可以包括其他的密钥,比如,CPU卡主密钥、CPU卡维护主密钥、CPU卡应用主密钥和PIN解锁/重装密钥等。
其中,CPU卡主密钥在CPU卡主密钥的控制下进行更新;CPU卡维护主密钥在CPU卡主密钥的控制下进行装载和更新;CPU卡应用主密钥在CPU卡主密钥的控制下进行装载;PIN解锁/重装密钥可以由用户自行进行修改和设置。
同理,SAM卡中的密钥除了上述所列出的SAM卡密钥之外,还可以包括SAM卡主密钥、SAM卡维护主密钥、SAM卡应用主密钥和SAM卡应用维护密码等。
其中,SAM卡主密钥在SAM卡主密钥的控制下进行更新;SAM卡维护主密钥在SAM卡主密钥的控制下进行装载和更新;SAM卡应用主密钥在SAM卡主密钥的控制下进行装载;SAM卡应用维护密码在SAM卡应用主密钥的控制下进行装载和更新。
当然,CPU卡和SAM卡中还可以包括其他的密钥,在此不再列举。
(二)安全认证阶段;
认证装置根据CPU卡子密钥和SAM卡密钥对用户身份进行认证,其中,终端、CPU卡和SAM卡;例如,如图2d所示,认证装置根据CPU卡子密钥和SAM卡密钥对用户身份进行认证的具体流程可以如下:
B201、终端接收CPU卡发送的安全认证请求,其中,安全认证请求携带第一随机数和CPU卡的物理标识号;
比如,在车辆进入停车场时,用户刷CPU卡入场,此时终端就会接收到CPU卡发送的关于车辆入场的数据处理请求;又比如,在车辆离开停车场时,用户刷CPU卡出场,此时终端就会接收到CPU卡发送的关于车辆出场的数据处理请求,等等。
B202、终端将接收到的第一随机数和CPU卡的物理标识号发送给SAM卡;
其中,该SAM卡可以安装在终端中,也可以安装在其他的设备中,然后通过有线或无线的方式与终端进行通信。
B203、SAM卡根据CPU卡的物理标识号对SAM卡密钥进行分散,得到过程密钥。
B204、SAM卡根据该过程密钥对该第一随机数进行加密,得到第一加密数据,将该第一加密数据发送给终端。
例如,具体可以采用国密加密算法,比如国密SM1对该第一随机数进行加密,得到第一加密数据;或者,也可以采用3DES对该第一随机数进行加密,得到第一加密数据。
B205、终端接收SAM卡发送的第一加密数据,并将该第一加密数据发送给CPU卡。
B206、CPU卡利用CPU卡子密钥对第一加密数据进行解密,得到第一解密数据;
例如,如果在SAM卡采用国密加密算法对第一随机数进行加密,得到第一加密数据,则此时,CPU卡具体可以利用国密解密算法对第一加密数据进行解密,得到第一解密数据。
同理,又例如,如果SAM卡采用3DES对第一随机数进行加密,得到第一加密数据,则此时,CPU卡具体可以利用3DES对应的解密算法对第一加密数据进行解密,得到第一解密数据。
B207、CPU卡确定该第一解密数据是否等于该第一随机数,若该第一解密数据等于该第一随机数,则生成指示认证通过的认证结果,并将该认证结果携带在响应消息中发送给终端;若该第一解密数据不等于该第一随机数,则流程结束,或者,可选的,如果该第一解密数据不等于该第一随机数,也可以生成指示认证失败的认证结果,并将认证结果携带在响应消息中发送给终端。
B208、终端接收响应消息,确定认证结果是否指示认证通过,若指示认证通过,则可以进行后续操作,即根据接收到的数据处理请求进行数据处理;若指示认证失败,则流程结束,此时可以生成提示消息以提示用户。
其中,终端根据接收到的数据处理请求进行数据处理具体可以如下:
根据该数据处理请求,记录用户数据,并将该用户数据存储在服务器上,其中,该用户数据可以包括用户信息、入场时间、出场时间、车场信息和/或设备信息等数据。
此外,还可以根据用户信息、入场时间和出场时间计算消费费用,从CPU卡中扣除该消费费用,可选的,若CPU卡中费用不足,终端还可以发送报警,以对用户进行提示,等等。
例如,具体可参见图2e,该图为停车场的场景示意图,其中,该停车场管理系统还包括停车场控制器,用于对停车场各个进出口的终端、SAM卡和/或服务器进行控制,则具体可以如下:
在车辆进入停车场时,车主(即用户)刷CPU卡入场,此时,停车场管理系统对车主进行身份验证,同时开始记录用户信息、车辆入场时间、车场信息和设备信息。然后,在车辆离开停车场时,车主(即用户)刷CPU出场,此时,停车场管理系统对车主进行身份验证,同时开始记录用户信息、车辆出场时间、车场信息和设备信息,并根据价格计算停车消费费用,通过出口终端从CPU用户卡中扣除费用,若费用不足,报警提示。
此外,可选的,在增值终端处,用户还可以可在圈存机(安装有HSAM)上对CPU卡进行圈存操作,以对CPU卡进行增值,当然,用户也可以在卡务中心管理进行人工增值,在此不再赘述。
此外,为了加强认证的安全性,还可以对CPU的合法性进行认证;也就是说,在终端接收CPU卡发送的数据处理请求之前,还可以对CPU卡进行内部认证,即在通过终端接收CPU卡发送的数据处理请求,该方法还可以包括:
(1)终端向CPU卡获取CPU卡的物理标识号,并向SAM卡获取第二随机数;
(2)终端将该第二随机数发送给CPU卡;
(3)CPU卡采用内部认证密钥对该第二随机数进行加密,得到第二加密数据,并发送给终端;
例如,具体可以采用国密加密算法或者3DES对该第二随机数进行加密,得到第二加密数据,并发送给终端。
(4)终端将该第二加密数据和CPU卡的物理标识号发送给SAM卡;
(5)SAM卡根据该CPU卡的物理标识号对内部认证密钥进行分散,得到临时密钥;
(6)SAM卡利用该临时密钥,对该第二加密数据进行解密,得到第二解密数据,并在确定该第二解密数据等于第二随机数时,生成指示认证通过的认证结果;
例如,如果在CPU卡采用国密加密算法对第二随机数进行加密,得到第二加密数据,则此时,SAM卡具体可以利用国密解密算法对第二加密数据进行解密,得到第二解密数据。
同理,又例如,如果CPU卡采用3DES对第二随机数进行加密,得到第二加密数据,则此时,SAM卡具体可以利用3DES对应的解密算法对第二加密数据进行解密,得到第二解密数据。
此外,可选的,若该第二解密数据不等于该第二随机数,则流程结束,或者,如果该第二解密数据不等于该第二随机数,SAM卡也可以生成指示认证失败的认证结果。
(7)终端接收SAM卡返回的携带认证结果的响应消息,并在确定该认证结果指示认证通过时,执行通过终端接收CPU卡发送的安全认证请求的步骤。
由上可知,本发明实施例采用读取第一根密钥和第二根密钥,并根据该第一根密钥和第二根密钥生成总控密钥,然后,对总控密钥进行分散运算,生成发卡母卡密钥和SAM卡发卡控制密钥,再根据发卡母卡密钥生成CPU卡子密钥,以及根据SAM卡发卡控制密钥生成SAM卡密钥,最后,根据CPU卡子密钥和SAM卡密钥对用户身份进行认证;由于该方案的密钥注入具有一定的次序和多个层次,且各个层次的密钥之间具有相互保护的依存关系,所以相对于现有技术而言,密钥具有更高的安全性,而且,该方案采用了CPU卡和PSAM卡交互认证和密文传送的方式来对用户身份进行验证,所以,大大加强了对用户数据的保护,可以提高停车场管理系统的安全性。
实施例三、
为了更好地实施以上方法,本发明实施例还提供一种应用于停车场的发卡装置,简称发卡装置,如图3所示,该发卡装置包括读取单元301、第一生成单元302、运算单元303和第二生成单元304;
读取单元301,用于读取第一根密钥和第二根密钥;
例如,第一根密钥可以装载在第一母卡中,第二根密钥可以装载在第二母卡中,其中,第一母卡和第二母卡均为种子密钥卡,分别装载有一部分根密钥,为了描述方便,在本发明实施例中,将第一母卡中装载的那部分根密钥称为第一根密钥,将第二母卡中装载的那部分密钥称为第二根密钥。即:
读取单元301,具体可以用于从第一母卡中读取第一根密钥,以及从第二母卡中读取第二根密钥。
第一生成单元302,用于根据第一根密钥和第二根密钥生成总控密钥;
运算单元303,用于对总控密钥进行分散运算,生成发卡母卡密钥和安全存取模块SAM卡发卡控制密钥;
其中,SAM卡可以包括HSAM、ISAM和/或PSAM;HSAM可以安装在主机或圈存机中,用于为CPU卡进行圈存充值等操作;ISAM可以安装在圈存机或主机中,也可以用于为CPU卡进行圈存充值等操作;而PSAM卡则可以安装在消费终端中,用于对CPU卡进行消费费用扣除等操作。
第二生成单元304,用于根据该发卡母卡密钥生成CPU卡子密钥,以及根据SAM卡发卡控制密钥生成SAM卡密钥。
例如,其中,第二生成单元304,具体可以用于对发卡母卡密钥进行分散运算,生成CPU卡子密钥。
其中,CPU卡子密钥与SAM卡密钥满足第一映射关系,该第一映射关系具体可以为:CPU卡子密钥等于对该SAM卡密钥和CPU卡的物理标识号进行分散运算所得到的结果,如下:
DK=Diversify(MK,DATA)
其中,DK为CPU卡子密钥,MK为SAM卡密钥,DATA为CPU卡的物理标识号,Diversify是分散算法。
例如,其中,CPU卡子密钥可以包括外部认证子密钥、消费子密钥、圈存子密钥和交易验证码TAC子密钥等;SAM卡密钥可以包括CPU卡外部认证密钥、CPU卡消费密钥、CPU卡圈存密钥和CPU卡TAC密钥等;则这些密钥之间的映射关系可以如下(详见图2b中的虚框里的密钥):
外部认证子密钥等于对CPU卡外部认证密钥和CPU卡的物理标识号进行分散运算所得到的结果,即外部认证子密钥与CPU卡外部认证密钥之间满足DK=Diversify(MK,DATA)的关系;
消费子密钥等于对CPU卡消费密钥和CPU卡的物理标识号进行分散运算所得到的结果,即消费子密钥与CPU卡消费密钥之间满足DK=Diversify(MK,DATA)的关系;
圈存子密钥等于对CPU卡圈存密钥和CPU卡的物理标识号进行分散运算所得到的结果,即圈存子密钥与CPU卡圈存密钥之间满足DK=Diversify(MK,DATA)的关系;
TAC子密钥等于对CPU卡TAC密钥和CPU卡的物理标识号进行分散运算所得到的结果,即TAC子密钥与CPU卡TAC密钥之间满足DK=Diversify(MK,DATA)的关系。
需说明的是,其中,CPU卡子密钥可以装载在CPU卡中;SAM卡密钥可以装载在SAM卡中,比如具体可以装载在HSAM卡中,或者,具体也可以装载在PSAM卡中,等等。
当然,除了上述所列出的CPU子密钥之外,CPU卡中还可以包括其他的密钥,比如,CPU卡主密钥、CPU卡维护主密钥、CPU卡应用主密钥和PIN解锁/重装密钥等。
其中,CPU卡主密钥在CPU卡主密钥的控制下进行更新;CPU卡维护主密钥在CPU卡主密钥的控制下进行装载和更新;CPU卡应用主密钥在CPU卡主密钥的控制下进行装载;PIN解锁/重装密钥具体可以由用户自行进行修改和设置。
同理,SAM卡中的密钥除了上述所列出的SAM卡密钥之外,还可以包括SAM卡主密钥、SAM卡维护主密钥、SAM卡应用主密钥和SAM卡应用维护密码等。
其中,SAM卡主密钥在SAM卡主密钥的控制下进行更新;SAM卡维护主密钥在SAM卡主密钥的控制下进行装载和更新;SAM卡应用主密钥在SAM卡主密钥的控制下进行装载;SAM卡应用维护密码在SAM卡应用主密钥的控制下进行装载和更新,在此不再赘述。
当然,CPU卡和SAM卡中还可以包括其他的密钥,在此不再列举。
具体实施时,以上各个单元可以作为独立的实体来实现,也可以进行任意组合,作为同一或若干个实体来实现,以上各个单元的具体实施可参见前面的实施例,在此不再赘述。
由上可知,本发明实施例的发卡装置的读取单元301可以读取第一根密钥和第二根密钥,并由第一生成单元302根据该第一根密钥和第二根密钥生成总控密钥,然后,由运算单元303对总控密钥进行分散运算,生成发卡母卡密钥和SAM卡发卡控制密钥,再由第二生成单元304根据发卡母卡密钥生成CPU卡子密钥,以及根据SAM卡发卡控制密钥生成SAM卡密钥,这样,后续认证装置就可以根据CPU卡子密钥和SAM卡密钥对用户身份进行认证;由于该方案的密钥注入具有一定的次序和多个层次,且各个层次的密钥之间具有相互保护的依存关系,所以相对于现有技术而言,密钥具有更高的安全性,所以,采用该发卡装置可以大大加强对用户数据的保护,大大提高了停车场管理系统的安全性。
实施例四、
相应的,本发明实施例还提供一种停车场管理系统,包括认证装置和本发明实施例提供的任一种应用于停车场的发卡装置(简称发卡装置);
其中,发卡装置具体可以参见实施例三,在此不再赘述。
例如,发卡装置,具体可以用于读取第一根密钥和第二根密钥,根据该第一根密钥和第二根密钥生成总控密钥,对该总控密钥进行分散运算,生成发卡母卡密钥和SAM卡发卡控制密钥,根据该发卡母卡密钥生成CPU卡子密钥,以及根据所述SAM卡发卡控制密钥生成SAM卡密钥;
而认证装置,可以用于根据发卡装置生成的CPU卡子密钥和SAM卡密钥对用户身份进行认证。
例如,该认证装置可以包括终端、CPU卡和SAM卡,如下:
终端,用于接收CPU卡发送的安全认证请求,其中,该安全认证请求携带第一随机数和CPU卡的物理标识号,将该第一随机数和CPU卡的物理标识号发送给SAM卡,接收SAM卡返回的第一加密数据,将第一加密数据发送给CPU卡,接收CPU卡发送的认证结果;
SAM卡,装载了SAM卡密钥,用于根据CPU卡的物理标识号对SAM卡密钥进行分散,得到过程密钥,根据该过程密钥对所述第一随机数进行加密,得到第一加密数据,将该第一加密数据发送给终端;
CPU卡,装载了CPU卡子密钥以及记录有CPU卡的物理标识号,用于发送安全认证请求给终端,其中,该安全认证请求携带第一随机数和CPU卡的物理标识号,接收终端发送的第一加密数据,利用CPU卡子密钥对第一加密数据进行解密,得到第一解密数据,确定该第一解密数据等于该第一随机数时,生成指示安全认证通过的认证结果,将该认证结果发送给终端。
其中,CPU卡子密钥与SAM卡密钥满足第一映射关系,该第一映射关系具体可以为:CPU卡子密钥等于对该SAM卡密钥和CPU卡的物理标识号进行分散运算所得到的结果,如下:
DK=Diversify(MK,DATA)
其中,DK为CPU卡子密钥,MK为SAM卡密钥,DATA为CPU卡的物理标识号,Diversify是分散算法。
例如,其中,CPU卡子密钥可以包括外部认证子密钥、消费子密钥、圈存子密钥和交易验证码TAC子密钥等;SAM卡密钥可以包括CPU卡外部认证密钥、CPU卡消费密钥、CPU卡圈存密钥和CPU卡TAC密钥等;则这些密钥之间的映射关系可以如下(详见图2b中的虚框里的密钥):
外部认证子密钥等于对CPU卡外部认证密钥和CPU卡的物理标识号进行分散运算所得到的结果,即外部认证子密钥与CPU卡外部认证密钥之间满足DK=Diversify(MK,DATA)的关系;
消费子密钥等于对CPU卡消费密钥和CPU卡的物理标识号进行分散运算所得到的结果,即消费子密钥与CPU卡消费密钥之间满足DK=Diversify(MK,DATA)的关系;
圈存子密钥等于对CPU卡圈存密钥和CPU卡的物理标识号进行分散运算所得到的结果,即圈存子密钥与CPU卡圈存密钥之间满足DK=Diversify(MK,DATA)的关系;
TAC子密钥等于对CPU卡TAC密钥和CPU卡的物理标识号进行分散运算所得到的结果,即TAC子密钥与CPU卡TAC密钥之间满足DK=Diversify(MK,DATA)的关系。
需说明的是,其中,CPU卡子密钥可以装载在CPU卡中;SAM卡密钥可以装载在SAM卡中,比如具体可以装载在HSAM卡中,或者,具体也可以装载在PSAM卡中,等等。
当然,除了上述所列出的CPU子密钥之外,CPU卡中还可以包括其他的密钥,比如,CPU卡主密钥、CPU卡维护主密钥、CPU卡应用主密钥和PIN解锁/重装密钥等。
其中,CPU卡主密钥在CPU卡主密钥的控制下进行更新;CPU卡维护主密钥在CPU卡主密钥的控制下进行装载和更新;CPU卡应用主密钥在CPU卡主密钥的控制下进行装载;PIN解锁/重装密钥具体可以由用户自行进行修改和设置。
同理,SAM卡中的密钥除了上述所列出的SAM卡密钥之外,还可以包括SAM卡主密钥、SAM卡维护主密钥、SAM卡应用主密钥和SAM卡应用维护密码等。
其中,SAM卡主密钥在SAM卡主密钥的控制下进行更新;SAM卡维护主密钥在SAM卡主密钥的控制下进行装载和更新;SAM卡应用主密钥在SAM卡主密钥的控制下进行装载;SAM卡应用维护密码在SAM卡应用主密钥的控制下进行装载和更新。
当然,CPU卡和SAM卡中还可以包括其他的密钥,在此不再列举。
其中,SAM卡可以包括HSAM、ISAM和/或PSAM;HSAM可以安装在主机或圈存机中,用于为CPU卡进行圈存充值等操作;ISAM可以安装在圈存机或主机中,也可以用于为CPU卡进行圈存充值等操作;而PSAM卡则可以安装在消费终端中,用于对CPU卡进行消费费用扣除等操作。
此外,该认证装置,还可以包括其他的设备,比如,还可以包括服务器;
服务器,用于对用户数据进行存储和管理;
则此时,终端具体可以用于根据该数据处理请求,对服务器上的用户数据进行处理。例如,具体可以如下:
终端,具体可以用于根据数据处理请求,记录用户数据,并将该用户数据存储在所述服务器上,其中,用户数据可以包括用户信息、入场时间、出场时间、车场信息和/或设备信息等信息。
该终端,还可以用于根据用户信息、入场时间和出场时间计算消费费用,从所述CPU卡中扣除该消费费用。
可选的,终端,还可以用于在CPU卡中费用不足时,报警提示。
此外,可选的,为了加强认证的安全性,也可以对CPU的合法性进行认证,即进行内部认证,具体可以如下:
终端,还可以用于向CPU卡获取CPU卡的物理标识号,并向SAM卡获取第二随机数,将该第二随机数发送给CPU卡,接收CPU卡返回的第二加密数据,将该第二加密数据和CPU卡的物理标识号发送给SAM卡,接收SAM卡返回的携带认证结果的响应消息,并在确定该认证结果指示认证通过时,执行通过终端接收CPU卡发送的安全认证请求的步骤;
CPU卡,还可以用于采用内部认证密钥对该第二随机数进行加密,得到第二加密数据,并发送给终端;
SAM卡,还可以用于根据该CPU卡的物理标识号对内部认证密钥进行分散,得到临时密钥,利用所述临时密钥,对该第二加密数据进行解密,得到第二解密数据,并在确定该第二解密数据等于第二随机数时,生成指示认证通过的认证结果。
可选的,若该第二解密数据不等于该第二随机数,则流程结束,或者,如果该第二解密数据不等于该第二随机数,SAM卡也可以生成指示认证失败的认证结果。
可选的,该认证装置还可以包括停车场控制器;
停车场控制器,用于对终端、SAM卡和/或服务器进行控制。
以上各个设备的具体实施可参见前面的实施例,在此不再赘述。
由上可知,本发明实施例的停车场管理系统的发卡装置采用读取第一根密钥和第二根密钥,并根据该第一根密钥和第二根密钥生成总控密钥,然后,对总控密钥进行分散运算,生成发卡母卡密钥和SAM卡发卡控制密钥,再根据发卡母卡密钥生成CPU卡子密钥,以及根据SAM卡发卡控制密钥生成SAM卡密钥,最后,由认证装置根据CPU卡子密钥和SAM卡密钥对用户身份进行认证;由于该方案的密钥注入具有一定的次序和多个层次,且各个层次的密钥之间具有相互保护的依存关系,所以相对于现有技术而言,密钥具有更高的安全性,而且,该方案采用了CPU卡和PSAM卡交互认证和密文传送的方式来对用户身份进行验证,所以,大大加强了对用户数据的保护,可以提高停车场管理系统的安全性。
本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,该程序可以存储于一计算机可读存储介质中,存储介质可以包括:只读存储器(ROM,Read Only Memory)、随机存取记忆体(RAM,Random Access Memory)、磁盘或光盘等。
以上对本发明实施例所提供的应用于停车场的安全认证方法、相关装置和系统进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (10)
1.一种应用于停车场的安全认证方法,其特征在于,包括:
读取第一根密钥和第二根密钥;
根据所述第一根密钥和第二根密钥生成总控密钥;
对所述总控密钥进行分散运算,生成发卡母卡密钥和安全存取模块SAM卡发卡控制密钥;
根据所述发卡母卡密钥生成中央处理器CPU卡子密钥;以及根据所述SAM卡发卡控制密钥生成SAM卡密钥;
根据所述CPU卡子密钥和SAM卡密钥对用户身份进行认证。
2.根据权利要求1所述的方法,其特征在于,
所述CPU卡子密钥与SAM卡密钥满足第一映射关系,所述第一映射关系为:所述CPU卡子密钥等于对所述SAM卡密钥和CPU卡的物理标识号进行分散运算所得到的结果。
3.根据权利要求2所述的方法,其特征在于,
所述CPU卡子密钥包括外部认证子密钥、消费子密钥、圈存子密钥和交易验证码TAC子密钥;
所述SAM卡密钥包括CPU卡外部认证密钥、CPU卡消费密钥、CPU卡圈存密钥和CPU卡TAC密钥;
则,所述外部认证子密钥等于对所述CPU卡外部认证密钥和CPU卡的物理标识号进行分散运算所得到的结果;
所述消费子密钥等于对所述CPU卡消费密钥和CPU卡的物理标识号进行分散运算所得到的结果;
所述圈存子密钥等于对所述CPU卡圈存密钥和CPU卡的物理标识号进行分散运算所得到的结果;
所述TAC子密钥等于对所述CPU卡TAC密钥和CPU卡的物理标识号进行分散运算所得到的结果。
4.根据权利要求1至3任一项所述的方法,其特征在于,所述根据所述CPU卡子密钥和SAM卡密钥对用户身份进行认证,包括:
通过终端接收CPU卡发送的安全认证请求,所述安全认证请求携带第一随机数和CPU卡的物理标识号;
通过终端将所述第一随机数和CPU卡的物理标识号发送给SAM卡;
由SAM卡根据CPU卡的物理标识号对SAM卡密钥进行分散,得到过程密钥;
由SAM卡根据所述过程密钥对所述第一随机数进行加密,得到第一加密数据;
由SAM卡通过终端将第一加密数据传送给CPU卡;
由CPU卡利用CPU卡子密钥对第一加密数据进行解密,得到第一解密数据,确定所述第一解密数据等于所述第一随机数时,生成指示安全认证通过的认证结果;
由CPU卡将所述认证结果发送给终端。
5.根据权利要求4所述的方法,其特征在于,所述通过终端接收CPU卡发送的安全认证请求之前,还包括:
通过终端向CPU卡获取CPU卡的物理标识号,并通过终端向SAM卡获取第二随机数;
通过终端将所述第二随机数发送给CPU卡;
由CPU卡采用内部认证密钥对所述第二随机数进行加密,得到第二加密数据,并发送给终端;
由终端将所述第二加密数据和CPU卡的物理标识号发送给SAM卡;
由SAM卡根据所述CPU卡的物理标识号对内部认证密钥进行分散,得到临时密钥;
由SAM卡利用所述临时密钥,对所述第二加密数据进行解密,得到第二解密数据,并在确定所述第二解密数据等于第二随机数时,生成指示认证通过的认证结果;
由终端接收SAM卡返回的携带认证结果的响应消息,并在确定所述认证结果指示认证通过时,执行通过终端接收CPU卡发送的安全认证请求的步骤。
6.一种应用于停车场的发卡装置,其特征在于,包括读取单元、第一生成单元、运算单元和第二生成单元;
读取单元,用于读取第一根密钥和第二根密钥;
第一生成单元,用于根据所述第一根密钥和第二根密钥生成总控密钥;
运算单元,用于对所述总控密钥进行分散运算,生成发卡母卡密钥和安全存取模块SAM卡发卡控制密钥;
第二生成单元,用于根据所述发卡母卡密钥生成中央处理器CPU卡子密钥;以及根据所述SAM卡发卡控制密钥生成SAM卡密钥。
7.根据权利要求6所述的发卡装置,其特征在于,
所述CPU卡子密钥包括外部认证子密钥、消费子密钥、圈存子密钥和交易验证码TAC子密钥;
所述SAM卡密钥包括CPU卡外部认证密钥、CPU卡消费密钥、CPU卡圈存密钥和CPU卡TAC密钥;
则,所述外部认证子密钥等于对所述CPU卡外部认证密钥和CPU卡的物理标识号进行分散运算所得到的结果;
所述消费子密钥等于对所述CPU卡消费密钥和CPU卡的物理标识号进行分散运算所得到的结果;
所述圈存子密钥等于对所述CPU卡圈存密钥和CPU卡的物理标识号进行分散运算所得到的结果;
所述TAC子密钥等于对所述CPU卡TAC密钥和CPU卡的物理标识号进行分散运算所得到的结果。
8.一种停车场管理系统,其特征在于,包括认证装置和权利要求6至7所述的任一种应用于停车场的发卡装置;
所述认证装置,用于根据所述发卡装置生成的中央处理器CPU卡子密钥和SAM卡密钥对用户身份进行认证。
9.根据权利要求8所述的停车场管理系统,其特征在于,所述认证装置包括终端、CPU卡和SAM卡;
终端,用于接收CPU卡发送的安全认证请求,所述安全认证请求携带第一随机数和CPU卡的物理标识号,将所述第一随机数和CPU卡的物理标识号发送给SAM卡,接收SAM卡返回的第一加密数据,将第一加密数据发送给CPU卡,接收CPU卡发送的认证结果;
SAM卡,装载了SAM卡密钥,用于根据CPU卡的物理标识号对SAM卡密钥进行分散,得到过程密钥,根据所述过程密钥对所述第一随机数进行加密,得到第一加密数据,将所述第一加密数据发送给终端;
CPU卡,装载了CPU卡子密钥以及记录有CPU卡的物理标识号,用于发送安全认证请求给终端,所述安全认证请求携带第一随机数和CPU卡的物理标识号,接收终端发送的第一加密数据,利用CPU卡子密钥对第一加密数据进行解密,得到第一解密数据,确定所述第一解密数据等于所述第一随机数时,生成指示安全认证通过的认证结果,将所述认证结果发送给终端。
10.根据权利要求9所述的停车场管理系统,其特征在于,
终端,还用于向CPU卡获取CPU卡的物理标识号,并向SAM卡获取第二随机数,将所述第二随机数发送给CPU卡,接收CPU卡返回的第二加密数据,将所述第二加密数据和CPU卡的物理标识号发送给SAM卡,接收SAM卡返回的携带认证结果的响应消息,并在确定所述认证结果指示认证通过时,执行通过终端接收CPU卡发送的安全认证请求的步骤;
CPU卡,还用于采用内部认证密钥对所述第二随机数进行加密,得到第二加密数据,并发送给终端;
SAM卡,还用于根据所述CPU卡的物理标识号对内部认证密钥进行分散,得到临时密钥,利用所述临时密钥,对所述第二加密数据进行解密,得到第二解密数据,并在确定所述第二解密数据等于第二随机数时,生成指示认证通过的认证结果。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410300956.3A CN104022886B (zh) | 2014-06-27 | 2014-06-27 | 应用于停车场的安全认证方法、相关装置和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410300956.3A CN104022886B (zh) | 2014-06-27 | 2014-06-27 | 应用于停车场的安全认证方法、相关装置和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104022886A true CN104022886A (zh) | 2014-09-03 |
| CN104022886B CN104022886B (zh) | 2018-04-27 |
Family
ID=51439470
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410300956.3A Expired - Fee Related CN104022886B (zh) | 2014-06-27 | 2014-06-27 | 应用于停车场的安全认证方法、相关装置和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104022886B (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105469630A (zh) * | 2015-12-24 | 2016-04-06 | 惠州Tcl移动通信有限公司 | 基于移动终端的停车管理方法和停车管理系统 |
| CN106874732A (zh) * | 2016-12-28 | 2017-06-20 | 广州安圣信息科技有限公司 | 一种基于cpu卡的授权系统 |
| CN108230522A (zh) * | 2018-03-16 | 2018-06-29 | 深圳市欣横纵技术股份有限公司 | 一种高安保门禁读卡器及其加密保护系统和方法 |
| CN108763969A (zh) * | 2018-08-03 | 2018-11-06 | 深圳市销邦科技股份有限公司 | 一种保障psam卡数据安全的方法及系统 |
| CN109448197A (zh) * | 2018-12-18 | 2019-03-08 | 杭州高锦科技有限公司 | 一种基于多重加密模式的云智能锁系统及密钥管理方法 |
| CN110011812A (zh) * | 2019-04-10 | 2019-07-12 | 民航成都电子技术有限责任公司 | 一种适用于机场安全的证卡防伪方法 |
| CN113470224A (zh) * | 2021-06-16 | 2021-10-01 | 支付宝(杭州)信息技术有限公司 | 开锁方法和系统 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1268933C (zh) * | 2001-09-03 | 2006-08-09 | 范国平 | 一种利用智能卡和智能卡电表实现付费用电的方法 |
| CN1320798C (zh) * | 2003-03-07 | 2007-06-06 | 广东亿业科技有限公司 | 密钥生成与分配方法以及使用该方法的计算机网络系统 |
| CN101739758B (zh) * | 2008-11-18 | 2012-12-19 | 中兴通讯股份有限公司 | 智能卡的加密、解密方法及系统、读写器 |
| CN103152174B (zh) * | 2013-01-28 | 2016-06-08 | 深圳市捷顺科技实业股份有限公司 | 应用于停车场的数据处理方法、装置及停车场管理系统 |
-
2014
- 2014-06-27 CN CN201410300956.3A patent/CN104022886B/zh not_active Expired - Fee Related
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105469630A (zh) * | 2015-12-24 | 2016-04-06 | 惠州Tcl移动通信有限公司 | 基于移动终端的停车管理方法和停车管理系统 |
| CN105469630B (zh) * | 2015-12-24 | 2019-08-23 | 惠州Tcl移动通信有限公司 | 基于移动终端的停车管理方法和停车管理系统 |
| CN106874732A (zh) * | 2016-12-28 | 2017-06-20 | 广州安圣信息科技有限公司 | 一种基于cpu卡的授权系统 |
| CN106874732B (zh) * | 2016-12-28 | 2020-11-06 | 广州安圣信息科技有限公司 | 一种基于cpu卡的授权系统 |
| CN108230522A (zh) * | 2018-03-16 | 2018-06-29 | 深圳市欣横纵技术股份有限公司 | 一种高安保门禁读卡器及其加密保护系统和方法 |
| CN108230522B (zh) * | 2018-03-16 | 2023-05-12 | 深圳市欣横纵技术股份有限公司 | 一种高安保门禁读卡器及其加密保护系统和方法 |
| CN108763969A (zh) * | 2018-08-03 | 2018-11-06 | 深圳市销邦科技股份有限公司 | 一种保障psam卡数据安全的方法及系统 |
| CN109448197A (zh) * | 2018-12-18 | 2019-03-08 | 杭州高锦科技有限公司 | 一种基于多重加密模式的云智能锁系统及密钥管理方法 |
| CN110011812A (zh) * | 2019-04-10 | 2019-07-12 | 民航成都电子技术有限责任公司 | 一种适用于机场安全的证卡防伪方法 |
| CN113470224A (zh) * | 2021-06-16 | 2021-10-01 | 支付宝(杭州)信息技术有限公司 | 开锁方法和系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104022886B (zh) | 2018-04-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104022886A (zh) | 应用于停车场的安全认证方法、相关装置和系统 | |
| US10430616B2 (en) | Systems and methods for secure processing with embedded cryptographic unit | |
| CN103152174B (zh) | 应用于停车场的数据处理方法、装置及停车场管理系统 | |
| EP3949333A1 (en) | Verifying identity of a vehicle entering a trust zone | |
| KR20210132216A (ko) | 동작 동안 긴급 차량의 아이덴티티 검증 | |
| US20130086385A1 (en) | System and Method for Providing Hardware-Based Security | |
| BR112016011293B1 (pt) | Terminal, dispositivo móvel, e método para a condução de uma transação móvel conveniente e segura, usando-se um terminal e um dispositivo móvel | |
| CN103679062A (zh) | 智能电表主控芯片和安全加密方法 | |
| WO2020020329A1 (zh) | 一种支持匿名或实名的离线交易的数字钱包及使用方法 | |
| TW201248409A (en) | Security architecture for using host memory in the design of a secure element | |
| CN101807994B (zh) | 一种ic卡应用数据传输的方法及系统 | |
| CN105957276A (zh) | 基于Android系统智能POS安全系统及启动、数据管控方法 | |
| CN101562040A (zh) | 高安全性移动存储器及其数据处理方法 | |
| WO2002048884A1 (en) | Dual processor trusted computing environment | |
| CN103326864A (zh) | 一种电子标签防伪认证方法 | |
| CN101771680B (zh) | 一种向智能卡写入数据的方法、系统以及远程写卡终端 | |
| CN101826219A (zh) | 一种轨道交通票卡处理智能系统及数据加密审计方法 | |
| CN101741565A (zh) | 一种ic卡应用数据传输的方法及系统 | |
| US11863688B2 (en) | Secure emergency vehicular communication | |
| CN113316784A (zh) | 基于存储在非接触式卡中的身份数据的安全认证 | |
| CN105608775B (zh) | 一种鉴权的方法、终端、门禁卡及sam卡 | |
| CN106682905B (zh) | 一种应用解锁方法 | |
| CN205091758U (zh) | 一种读卡器及cpu卡交易系统 | |
| JP2024528476A (ja) | 記憶装置へのアクセスを制御するための暗号認証 | |
| CN201185082Y (zh) | 高安全性移动存储器 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20180427 |