CN106027461B - 一种身份证认证系统中云认证平台使用密钥的方法 - Google Patents
一种身份证认证系统中云认证平台使用密钥的方法 Download PDFInfo
- Publication number
- CN106027461B CN106027461B CN201610040609.0A CN201610040609A CN106027461B CN 106027461 B CN106027461 B CN 106027461B CN 201610040609 A CN201610040609 A CN 201610040609A CN 106027461 B CN106027461 B CN 106027461B
- Authority
- CN
- China
- Prior art keywords
- key
- authentication platform
- cloud authentication
- key pair
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 109
- 230000005540 biological transmission Effects 0.000 claims abstract description 76
- 238000001629 sign test Methods 0.000 claims description 41
- 238000013475 authorization Methods 0.000 claims description 22
- 238000012795 verification Methods 0.000 claims description 10
- 235000013399 edible fruits Nutrition 0.000 claims 1
- 238000004891 communication Methods 0.000 description 14
- 238000010586 diagram Methods 0.000 description 5
- 210000000056 organ Anatomy 0.000 description 5
- 238000012360 testing method Methods 0.000 description 4
- 238000004364 calculation method Methods 0.000 description 3
- 238000012790 confirmation Methods 0.000 description 3
- 239000000463 material Substances 0.000 description 2
- 238000000465 moulding Methods 0.000 description 2
- 230000004075 alteration Effects 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000005096 rolling process Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
本发明提供了一种身份证认证系统中云认证平台使用密钥的方法,其中,该方法包括:云认证平台接收身份证读卡终端发送的第一传输数据;云认证平台将第二传输数据发送给身份证读卡终端;云认证平台接收身份证读卡终端发送的第三传输数据;云认证平台对利用会话密钥对第三传输数据进行解密,得到身份证密文,并对身份证密文进行解密,得到身份证明文,并利用会话密钥对身份证明文进行加密得到第四传输数据;云认证平台将第四传输数据发送给身份证读卡终端。通过云认证平台在身份证认证系统中对密钥进行使用,从而保证了身份证认证系统中的密钥的可靠性,保证了身份证阅读过程中身份信息的安全性。
Description
技术领域
本发明涉及身份证认证领域,尤其涉及一种身份证认证系统中云认证平台使用密钥的方法。
背景技术
现有技术中,第二代居民身份证的身份证阅读装置具有至少两个模块:读卡模块及SAM(Secure Access Module,居民身份证验证安全控制)模块。其中,读卡模块读取的身份证信息都是密文的,只有居民身份证验证安全控制模块才能对读卡模块读取的密文身份证信息进行解密以完成身份证阅读,该居民身份证验证安全控制模块是公安部指定的专用产品,价格昂贵,为节约成本,目前已有将居民身份证验证安全控制模块与读卡模块分离设置、多个读卡器可以共用一个居民身份证验证安全控制模块的方案,在这种方案中,如何对密钥进行使用从而保证身份证阅读过程的安全性是个亟需解决的技术问题。
发明内容
本发明旨在至少解决上述问题之一,通过云认证平台在身份证认证系统中对密钥进行使用,保证了身份证认证系统中的密钥的可靠性,保证了身份证阅读过程中身份信息的安全性。
本发明的主要目的在于提供一种身份证认证系统中云认证平台使用密钥的方法。
为达到上述目的,本发明的技术方案具体是这样实现的:
本发明的一个方面提供了一种身份证认证系统中云认证平台使用密钥的方法,包括:
云认证平台接收身份证读卡终端发送的第一传输数据,其中,第一传输数据至少包括第二密钥对的公钥证书、第一密钥对的公钥证书、第一加密信息、第一签名信息,其中,第一加密信息是身份证读卡终端使用第一密钥对的公钥对会话密钥请求信息进行加密得到,第一签名信息是身份证读卡终端使用第一密钥对的私钥对第一加密信息进行签名得到;
云认证平台根据第一密钥对的公钥证书获取第一密钥对的公钥,并使用第一密钥对的公钥对第一签名信息进行验签,若验签结果正确,云认证平台根据认证解密密钥对第一加密信息进行解密得到第二信息;
云认证平台生成会话密钥;
云认证平台根据第二密钥对的公钥证书获取第二密钥对的公钥,并使用第二密钥对的公钥对会话密钥进行加密得到第一加密会话密钥;
云认证平台使用第三密钥对的私钥对第一加密会话密钥进行签名得到第二签名信息;
云认证平台将第二传输数据发送给身份证读卡终端,其中,第二传输数据至少包括第三密钥对的公钥证书、第一加密会话密钥、第二签名信息;
云认证平台接收身份证读卡终端发送的第三传输数据,其中,第三传输数据是身份证读卡终端通过会话密钥加密身份证读卡终端获取的身份证密文得到的;
云认证平台对利用会话密钥对第三传输数据进行解密,得到身份证密文,并对身份证密文进行解密,得到身份证明文,并利用会话密钥对身份证明文进行加密得到第四传输数据;
云认证平台将第四传输数据发送给身份证读卡终端。
此外,云认证平台接收身份证读卡终端发送的第一传输数据之前,方法还包括:
云认证平台接收用户识别信息,并获取用户识别信息的验证结果,若验证结果为正确,则执行接收身份证读卡终端发送的第一传输数据的步骤。
此外,云认证平台接收身份证读卡终端发送的第一传输数据之前,方法还包括:
云认证平台还获取本次使用的用户识别信息的最大错误使用次数以及本次使用的用户识别信息的当前使用次数;
云认证平台判断本次使用的用户识别信息的当前使用次数是否小于本次使用的用户识别信息的最大错误使用次数,若是,则执行接收身份证读卡终端发送的第一传输数据的步骤。
此外,云认证平台使用第一密钥对的公钥对第一签名信息进行验签之前,方法还包括:
云认证平台获取本次使用的第一密钥对的公钥的使用方式信息以及本次使用的第一密钥对的公钥的属性信息;
云认证平台判断本次使用的第一密钥对的公钥的使用方式信息与第一密钥对的公钥的属性信息是否一致,若一致,则执行云认证平台使用第一密钥对的公钥对第一签名信息进行验签的步骤。
此外,云认证平台使用第一密钥对的公钥对第一签名信息进行验签之前,方法还包括:
云认证平台将本次使用的第一密钥对的公钥存入云认证中心的安全芯片的RAM中。
此外,云认证平台使用第一密钥对的公钥对第一签名信息进行验签之后,方法还包括:
云认证平台将本次使用的第一密钥对的公钥从云认证平台的安全芯片的RAM中清除。
此外,云认证平台根据认证解密密钥对第一加密信息进行解密得到第二信息之前,方法还包括:
云认证平台向云认证平台的数据库服务器申请认证解密密钥;
云认证平台的数据库给云认证平台分配一个加密的认证解密密钥;
云认证平台向云认证平台的授权服务器申请一个用于解密加密的认证解密密钥的解密密钥;
云认证平台向使用解密密钥对加密的认证解密密钥进行解密得到认证解密密钥。
此外,云认证平台根据认证解密密钥对第一加密信息进行解密得到第二信息之前,方法还包括:
云认证平台获取本次使用的认证解密密钥的使用方式信息以及本次使用的认证解密密钥的属性信息;
云认证平台判断本次使用的认证解密密钥的使用方式信息与认证解密密钥的属性信息是否一致,若一致,则执行云认证平台使用认证解密密钥对会话密钥请求信息进行加密得到第一加密信息的步骤。
此外,云认证平台根据认证解密密钥对第一加密信息进行解密得到第二信息之前,方法还包括:
云认证平台将本次使用的认证解密密钥存入云认证平台的安全芯片的RAM中。
此外,云认证平台根据认证解密密钥对第一加密信息进行解密得到第二信息之前,方法还包括:
云认证平台将本次使用的认证解密密钥从云认证平台的安全芯片的RAM中清除。
此外,云认证平台使用第二密钥对的公钥对会话密钥进行加密得到第一加密会话密钥之前,方法还包括:
云认证平台获取本次使用的第二密钥对的公钥的使用方式信息以及本次使用的第二密钥对的公钥的属性信息;
云认证平台判断本次使用的第二密钥对的公钥的使用方式信息与第二密钥对的公钥的属性信息是否一致,若一致,则执行云认证平台使用第二密钥对的公钥对会话密钥进行加密得到第一加密会话密钥的步骤。
此外,云认证平台使用第二密钥对的公钥对会话密钥进行加密得到第一加密会话密钥之前,方法还包括:
云认证平台将本次使用的第二密钥对的公钥存入云认证平台的安全芯片的RAM中。
此外,云认证平台使用第二密钥对的公钥对会话密钥进行加密得到第一加密会话密钥之后,方法还包括:
云认证平台将本次使用的第二密钥对的公钥从云认证平台的安全芯片的RAM中清除。
此外,云认证平台使用第三密钥对的私钥对第一加密会话密钥进行签名得到第二签名信息之前,方法还包括:
云认证平台获取本次使用的第三密钥对的私钥的使用方式信息以及本次使用的第二密钥对的公钥的属性信息;
云认证平台判断本次使用的第三密钥对的私钥的使用方式信息与第三密钥对的私钥的属性信息是否一致,若一致,则执行云认证平台使用第三密钥对的私钥对第一加密会话密钥进行签名得到第二签名信息的步骤。
此外,云认证平台使用第三密钥对的私钥对第一加密会话密钥进行签名得到第二签名信息之前,方法还包括:
云认证平台将本次使用的第三密钥对的私钥存入云认证平台的安全芯片的RAM中。
此外,云认证平台使用第三密钥对的私钥对第一加密会话密钥进行签名得到第二签名信息之后,方法还包括:
云认证平台将本次使用的第三密钥对的私钥从云认证平台的安全芯片的RAM中清除。
本发明提供的一种身份证认证系统中云认证平台使用密钥的方法,保证了身份证认证系统中的密钥的可靠性,保证了身份证阅读过程中身份信息的安全性。进一步地,在密钥的使用过程中,通过对密钥进行权限控制,实现了对密钥的使用方式进行查验,保证了密钥的正常使用。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他附图。
图1是本发明实施例1的身份证认证系统中云认证平台使用密钥的流程示意图;
图2是本发明实施例1的身份证认证系统中云认证平台的结构示意图;
图3是本发明实施例1的身份证认证系统中云认证平台的可选结构示意图。
具体实施方式
下面结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明的保护范围。
在本发明的描述中,需要理解的是,术语“中心”、“纵向”、“横向”、“上”、“下”、“前”、“后”、“左”、“右”、“竖直”、“水平”、“顶”、“底”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。此外,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或数量或位置。
在本发明的描述中,需要说明的是,除非另有明确的规定和限定,术语“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本发明中的具体含义。
下面将结合附图和实施例对本发明进行详细描述。
实施例1
本实施例提供了一种身份证认证系统中云认证平台使用密钥的方法,图1为身份证认证系统中云认证平台使用密钥的流程示意图,如图1所示,该方法包括以下步骤(S101~S108):
S101:云认证平台接收第一传输数据,其中,所述第一传输数据至少包括第二密钥对的公钥证书、第一密钥对的公钥证书、第一加密信息、第一签名信息,其中,所述第一加密信息是所述身份证读卡终端使用第一密钥对的公钥对会话密钥请求信息进行加密得到,所述第一签名信息是所述身份证读卡终端使用第一密钥对的私钥对所述第一加密信息进行签名得到;并根据第一密钥对的公钥证书获取第一密钥对的公钥,并使用第一密钥对的公钥对第一签名信息进行验签,若验签结果正确,云认证平台根据认证解密密钥对第一加密信息进行解密得到第二信息;
本实施例中,云认证平台本为支持验证身份证信息的验证平台,用于对接收到的身份证读卡终端发送的身份证信息进行认证。也就是说,该云认证平台包括居民身份证验证安全控制模块,需要对二代身份证信息进行认证。具体实施过程中,云认证平台可以为计算机,例如平板电脑、台式机、笔记本电脑、大型服务器等,在本发明的实施例中对此不进行限定。
本实施例中,由于第一密钥对的公钥为验签密钥、私钥为签名密钥,因此,身份证读卡终端使用第一密钥对的私钥对身份证读卡终端发送给云认证平台的第一加密信息进行签名后得到第一签名信息,并将第一签名信息携带在第一传输数据中发送至云认证平台,云认证平台接收到第一传输数据后,可以根据第一密钥对的公钥证书获取第一密钥对的公钥,从而使用第一密钥对的公钥对第一签名信息进行验签,若验签结果正确,说明第一签名信息确实是身份证读卡终端发送给云认证平台的,而且在传输的过程中没有被篡改,从而实现了云认证平台对身份证读卡终端的身份进行验证。因此,若验签结果正确,云认证平台根据认证解密密钥对第一加密信息进行解密得到第二信息。
在本实施例的一个可选实施方式中,云认证平台根据认证解密密钥对第一加密信息进行解密得到第二信息之前,云认证平台需要先获取认证解密密钥。优选的,第一密钥对的公钥为对称密钥,身份证读卡终端和云认证平台可以均从云认证平台的数据服务器获取相同的对称算法生成第一密钥对的公钥。
具体实施过程中,云认证平台的数据库服务器存储了生成第一密钥对的公钥的算法,云认证平台向云认证平台的数据库服务器申请认证解密密钥时,云认证平台的数据库给云认证平台分配一个认证解密密钥的密文,其中,该认证解密密钥与身份证读卡终端所申请的第一密钥对的公钥相对应;云认证平台为了获得认证解密密钥的明文,云认证平台向云认证平台的授权服务器申请一个授权解密密钥,其中,该授权解密密钥用于解密认证解密密钥的密文;云认证平台的授权服务器判断认证解密密钥的使用方式,若通过认证,则给云认证平台分配一个授权解密密钥;云认证平台使用授权解密密钥对认证解密密钥的密文进行解密得到认证解密密钥的明文,从而云认证平台得到认证解密密钥。
通过本实施例的可选实施方式,云认证平台经过授权服务器授权后,才能获取认证解密密钥,防止了对云认证平台的数据库中的密钥算法的非法使用。
S102:云认证平台生成会话密钥;
本实施例中,云认证平台可以调用随机数接口获得一设定长度的随机数,作为会话密钥。该随机数的设定长度可以是16字节也可以是其他长度,如采用RC4密码算法则可以为1-256字节。优选的,采用RC4密码算法。身份证读卡终端与云认证平台之间通过会话密钥进行数据传输,保证了数据传输链路的安全。
S103:云认证平台根据第二密钥对的公钥证书获取第二密钥对的公钥,并使用第二密钥对的公钥对会话密钥进行加密得到第一加密会话密钥;
本实施例中,由于第二密钥对的公钥为加密密钥、私钥为解密密钥,因此,云认证平台根据第二密钥对的公钥证书获取第二密钥对的公钥,并使用第二密钥对的公钥对会话密钥进行加密得到第一加密会话密钥,身份证读卡终端接收到第一加密会话密钥后,身份证读卡终端可以根据第二密钥对的私钥对第一加密会话密钥进行解密得到会话密钥,防止了云认证平台将会话密钥传输给身份证读卡终端的过程中受到破坏,从而保证了身份证读卡终端接收到的会话密钥是安全的。
S104:云认证平台使用第三密钥对的私钥对第一加密会话密钥进行签名得到第二签名信息;
本实施例中,第三密钥对为非对称密钥对,其中,第三密钥对包括第三密钥对的公钥和第三密钥对的私钥。第三密钥对的公钥为验签密钥、私钥为签名密钥。具体实施过程中,云认证平台使用第三密钥对的私钥对发送给身份证读卡终端的第一加密会话密钥进行签名得到第二签名信息,身份证读卡终端接收到第二签名信息后,身份证读卡终端使用第三密钥对的公钥对第二签名信息进行验签,若验签结果正确,说明第二签名信息确实是云认证平台发送给身份证读卡终端的,而且在传输的过程中没有被篡改,从而实现了身份证读卡终端对云认证平台的身份进行验证。
在本实施例的一个可选实施方式中,云认证平台使用第三密钥对的私钥之前,需要先获取第三密钥对。具体实施过程中,云认证平台获取第三密钥对可以是云认证平台从外部获取第三密钥对,也可以是云认证平台内部生成第三密钥对。为了保证云认证平台获取的第三密钥对是安全的,优选的,云认证平台内部生成第三密钥对。通过本实施例的可选实施方式,由于云认证平台内部生成第三密钥对,第三密钥对的私钥不能导出,第三密钥对的公钥可以携带在公钥证书中输出,通过采用云认证平台内部生成的方式,使得私钥不可泄露,保证了第三密钥对的安全性。
S105:云认证平台将第二传输数据发送给身份证读卡终端,其中,第二传输数据至少包括第三密钥对的公钥证书、第一加密会话密钥、第二签名信息;
在本实施例的一个可选实施方式中,云认证平台将第二传输数据发送给身份证读卡终端,需要先获取第三密钥对的公钥证书。具体实施过程中,云认证平台获取的证书都是通过数字证书服务器签发的,数字证书服务器通常为证书签证机关,证书签证机关根据签证机关的信息、用户的公钥信息、权威机关的签字和有效期等生成用户的公钥证书。
具体实施过程中,如果云认证平台内部生成第三密钥对,云认证平台获取第三密钥对的公钥证书时,云认证平台需要将第三密钥对的公钥发送至数字证书服务器,数字证书服务器根据签证机关的信息、第三密钥对的公钥信息、权威机关的签字和有效期等对所述第三密钥对的公钥进行数字证书签发操作生成第三密钥对的公钥证书,并将第三密钥对的公钥证书发送至云认证平台;如果云认证平台从外部获取第三密钥对,那么在获取的同时也获取已经生成的第三密钥对的公钥证书。
通过本实施例的可选实施方式,云认证平台通过获取第三密钥对的公钥证书,可以将第三密钥对的公钥证书发送给身份证读卡终端,使得身份证读卡终端使用第三密钥对的公钥对接收到的信息进行验签,从而使得身份证读卡终端确认云认证平台的身份。
S106:云认证平台接收身份证读卡终端发送的第三传输数据,其中第三传输数据是由身份证读卡终端通过会话密钥加密身份证读卡终端获取的身份证密文得到的;
本实施例中,身份证读卡终端与云认证平台之间确认了会话密钥之后,就可以通过会话密钥进行数据传输。具体实施过程中,身份证读卡终端读取的身份证信息通常为密文形式,身份证读卡终端无法显示身份证信息的明文,因此,身份证读卡终端需要将身份证密文发送给云认证平台进行认证,而在发送的过程中,为了保证身份证密文的安全,身份证读卡终端先使用会话密钥对身份证密文加密得到第三传输数据,再将第三传输数据发送给云认证平台。
S107:云认证平台对利用会话密钥对第三传输数据进行解密,得到身份证密文,并对身份证密文进行解密,得到身份证明文,并利用会话密钥对身份证明文进行加密得到第四传输数据。
本实施例中,云认证平台接收到第三传输数据后,先使用会话密钥对第三传输数据进行解密得到身份证密文,再将身份证密文发送至云认证平台的验证安全模块进行解密得到身份证明文。为了保证身份证明文的安全,云认证平台先使用会话密钥对身份证明文加密得到第四传输数据,再将第四传输数据发送给身份证读卡终端。
S108:云认证平台将第四传输数据发送给身份证读卡终端。
本实施例中,云认证平台将第四传输数据发送给身份证读卡终端,身份证读卡终端接收到第四传输数据后,使用会话密钥对第四传输数据进行解密从而得到身份证明文,从而实现了身份证读卡终端对身份证明文的获取。具体实施过程中,身份证读卡终端可以具有显示屏,将身份证明文显示在显示屏,以便用户读取。
通过本实施例提供的一种身份证认证系统中云认证平台对密钥进行使用,保证了身份证认证系统中的密钥的可靠性,保证了身份证阅读过程中身份信息的安全性。
在本实施例的一个可选实施方式中,在步骤S101之前,云认证平台还可以获取本次使用的第一密钥对的公钥的使用方式信息以及本次使用的第一密钥对的公钥的属性信息;云认证平台判断本次使用的第一密钥对的公钥的使用方式信息与第一密钥对的公钥的属性信息是否一致,若一致,则执行步骤S101,否则,不执行步骤S101。
具体实施过程中,安全信息都具有属性信息,并且属性信息可以用几个字节表示,例如,第一密钥对的公钥的属性信息为“01”,用于表示第一密钥对的公钥用于验签;第二密钥对的公钥的属性信息为“10”,用于表示第二密钥对用于解密;第三密钥对的私钥的属性信息为“11”,用于表示第三密钥对用于签名。
而云认证平台使用安全信息之前,云认证平台获取的本次使用的安全信息的使用方式信息也可以用2个字节表示,例如,本次使用的安全信息的使用方式是用于验签,则本次使用的安全信息的使用方式信息为“01”;本次使用的安全信息的使用方式是用于解密,则本次使用的安全信息的使用方式信息为“10”;本次使用的安全信息的使用方式是用于签名,则本次使用的安全信息的使用方式信息为“11”。
云认证平台判断本次使用的安全信息的使用方式信息是否与安全信息的属性信息一致,若一致,则云认证平台可以使用该安全信息,否则,云认证平台拒绝使用该安全信息。例如,本次使用的安全信息是第一密钥对的公钥,本次使用的安全信息用于验签,则本次使用的安全信息的使用方式信息为“01”,而第一密钥对的公钥的属性信息为“01”,二者一致,则云认证平台可以使用第一密钥对的公钥。又例如,本次使用的安全信息是第二密钥对的公钥,本次使用的安全信息用于签名,则本次使用的安全信息的使用方式信息为“11”,而第二密钥对的公钥是用于解密的,其属性信息为“10”,二者不一致,则云认证平台拒绝使用第二密钥对的公钥。
因此,云认证平台使用第一密钥对的公钥之前,先获取本次使用的第一密钥对的公钥的使用方式信息以及本次使用的第一密钥对的公钥的属性信息并判断本次使用的第一密钥对的公钥的使用方式信息与第一密钥对的公钥的属性信息是否一致,若一致,云认证平台才可以使用第一密钥对的公钥。
通过本实施例的可选实施方式,通过对第一密钥对的公钥的属性进行限定,例如只能进行验签的第一密钥对的公钥不能用于数据加密或解密计算或者只能进行加密或解密的密钥对不能用于数据签名或验签计算,云认证平台对第一密钥对的公钥的使用方式进行查验,使得云认证平台直接拒绝不被允许的使用方式,保证了第一密钥对的公钥的正常使用。
在本实施例的一个可选实施方式中,在步骤S101之前,云认证平台还可以将本次使用的第一密钥对的公钥存入云认证平台的安全芯片的RAM中,在步骤S101之后,即在云认证平台使用完第一密钥对的公钥后,云认证平台将第一密钥对的公钥从读卡云认证平台的安全芯片的RAM中清除。具体实施过程中,云认证平台的安全芯片使用第一密钥对的公钥时,会将第一密钥对的公钥暂时存放在安全芯片的RAM中,当第一密钥对的公钥相关的应用使用完成后,云认证平台强制从安全芯片内部RAM中清除该第一密钥对的公钥。通过本实施例的可选实施方式,保证了安全芯片的RAM中不会存在安全信息的残留数据,避免了安全隐患。
在本实施例的一个可选实施方式中,在步骤S101之前,云认证平台还可以获取云认证平台用户识别信息,并获取用户识别信息的验证结果,若验证结果为正确,则执行步骤S101。具体实施过程中,用户识别信息可以为PIN码、指纹、虹膜、人脸等。在用户首次登陆云认证平台时,用户通过物理按键和/或虚拟按键输入PIN码,或者通过云认证平台的红外线扫描区域进行指纹、虹膜或人脸的录入。云认证平台每一次开始工作,都需要对用户识别信息确认,使得云认证平台得到用户授权后才开始工作,保证了云认证平台的安全使用。
在本实施例的一个可选实施方式中,在步骤S101之前,云认证平台获取了云认证平台用户识别信息,而且,云认证平台还获取本次使用的用户识别信息的最大错误使用次数以及本次使用的用户识别信息的当前使用次数;云认证平台判断本次使用的用户识别信息的当前使用次数是否小于本次使用的用户识别信息的最大错误使用次数,若是,则执行S101,否则,不执行步骤S101。
具体实施过程中,用户识别信息的最大错误使用次数可以用1个字节表示,例如,用户识别信息的最大错误使用次数为“3”,用于表示用户识别信息的最大错误使用次数为3次。而云认证平台使用用户识别信息时,获取的本次使用的用户识别信息的当前使用次数也可以用1个字节表示,例如,本次使用的是用户识别信息而且是第2次使用用户识别信息,则本次使用的用户识别信息的当前使用次数为“2”。
云认证平台判断本次使用的用户识别信息的当前使用次数是否小于用户识别信息的最大错误使用次数,若是,则云认证平台可以使用该用户识别信息,并对用户识别信息进行验证,否则,云认证平台拒绝对该用户识别信息进行验证。例如,本次使用的是用户识别信息而且是第2次使用用户识别信息,则本次使用的用户识别信息的使用次数为“2”,而用户识别信息的最大错误使用次数为3次,由于2小于3,则云认证平台可以使用用户识别信息,并对用户识别信息进行验证。又例如,本次使用的是用户识别信息而且是第4次使用用户识别信息,则本次使用的用户识别信息的当前使用次数为“4”,而用户识别信息的最大错误使用次数为3次,由于4不小于3,则云认证平台拒绝对用户识别信息进行验证。
另外,具体实施过程中,云认证平台使用用户识别信息时,获取的本次使用的用户识别信息的当前使用次数可以通过计数器来计数,即每一次使用用户识别信息,该用户识别信息对应的计数器都会增加1次。例如,在本次使用用户识别信息前,用户识别信息已经被使用1次,计数器计数为“1”,本次再使用用户识别信息时,计数器计数为“2”,则本次使用的用户识别信息的当前使用次数为“2”。云认证平台判断本次使用的用户识别信息的计数器的计数是否小于用户识别信息的最大错误使用次数,若是,则云认证平台可以使用该用户识别信息,并对用户识别信息进行验证,否则,云认证平台拒绝对该用户识别信息进行验证。例如,在本次使用用户识别信息前,用户识别信息已经被使用1次,计数器计数为“1”,本次再使用用户识别信息时,计数器计数为“2”,而用户识别信息的最大错误使用次数为3次,由于2小于3,则云认证平台可以使用用户识别信息,并对用户识别信息进行验证。
通过本实施例的可选实施方式,通过限制用户识别信息的最大错误使用次数,使得用户识别信息的使用次数超过最大错误使用次数后,该用户识别信息相关的应用将被锁定,从而防止了对云认证平台的非法试探。
在本实施例的一个可选实施方式中,在步骤S103之前,云认证平台还可以获取本次使用的第二密钥对的公钥的使用方式信息以及本次使用的第二密钥对的公钥的属性信息;云认证平台判断本次使用的第二密钥对的公钥的使用方式信息与第二密钥对的公钥的属性信息是否一致,若一致,则执行步骤S103,否则,不执行步骤S103。该过程与上述查验第一密钥对的公钥的使用方式类似,在此不再赘述。
在本实施例的一个可选实施方式中,在步骤S103之前,云认证平台还可以将本次使用的第二密钥对的公钥存入云认证平台的安全芯片的RAM中,在步骤S103之后,即在云认证平台使用完第二密钥对的公钥后,云认证平台将第二密钥对的公钥从云认证平台的安全芯片的RAM中清除。该过程与上述存储并清除第一密钥对的公钥的过程类似,在此不再赘述。
在本实施例的一个可选实施方式中,在步骤S104之前,云认证平台还可以获取本次使用的第三密钥对的私钥的使用方式信息以及本次使用的第三密钥对的私钥的属性信息;云认证平台判断本次使用的第三密钥对的私钥的使用方式信息与第三密钥对的私钥的属性信息是否一致,若一致,则执行步骤S104,否则,不执行步骤S104。该过程与上述查验第一密钥对的公钥的使用方式类似,在此不再赘述。
在本实施例的一个可选实施方式中,在步骤S104之前,云认证平台还可以将本次使用的第三密钥对的私钥存入云认证平台的安全芯片的RAM中,在步骤S104之后,即在云认证平台使用完第三密钥对的私钥后,云认证平台将第三密钥对的私钥从云认证平台的安全芯片的RAM中清除。该过程与上述存储并清除第一密钥对的公钥的过程类似,在此不再赘述。
通过本实施例提供的一种身份证认证系统中云认证平台使用密钥的方法,保证了安全信息的可靠性,保证了身份证阅读过程中身份信息的安全性。进一步地,在密钥的使用过程中,通过对密钥进行权限控制,实现了对密钥的使用方式进行查验,保证了密钥的正常使用。
图2是本发明实施例1的身份证认证系统中云认证平台的结构示意图,如图2所示,该云认证平台包括:通信模块21和认证安全控制模块22。
通信模块21,用于接收身份证读卡终端发送的第一传输数据,其中,第一传输数据至少包括第二密钥对的公钥证书、第一密钥对的公钥证书、第一加密信息、第一签名信息,其中,第一加密信息是身份证读卡终端使用第一密钥对的公钥对会话密钥请求信息进行加密得到,第一签名信息是身份证读卡终端使用第一密钥对的私钥对第一加密信息进行签名得到;将第二传输数据发送给身份证读卡终端,其中,第二传输数据至少包括第三密钥对的公钥证书、第一加密会话密钥、第二签名信息;接收身份证读卡终端发送的第三传输数据,其中,第三传输数据是身份证读卡终端通过会话密钥加密身份证读卡终端获取的身份证密文得到的;将第四传输数据发送给身份证读卡终端;
认证安全控制模块22,用于根据第一密钥对的公钥证书获取第一密钥对的公钥,并使用第一密钥对的公钥对第一签名信息进行验签,若验签结果正确,云认证平台根据认证解密密钥对第一加密信息进行解密得到第二信息;生成会话密钥;根据第二密钥对的公钥证书获取第二密钥对的公钥,并使用第二密钥对的公钥对会话密钥进行加密得到第一加密会话密钥;使用第三密钥对的私钥对第一加密会话密钥进行签名得到第二签名信息;利用会话密钥对第三传输数据进行解密,得到身份证密文,并对身份证密文进行解密,得到身份证明文,并利用会话密钥对身份证明文进行加密得到第四传输数据。
通过本实施例提供的一种身份证认证系统中的云认证平台对密钥进行使用,保证了身份证认证系统中的密钥的可靠性,保证了身份证阅读过程中身份信息的安全性。
本实施例中,云认证平台本为支持验证身份证信息的验证平台,用于对接收到的身份证读卡终端发送的身份证信息进行认证。也就是说,该云认证平台包括居民身份证验证安全控制模块,需要对二代身份证信息进行认证。具体实施过程中,云认证平台可以为计算机,例如平板电脑、台式机、笔记本电脑、大型服务器等,在本发明的实施例中对此不进行限定。
本实施例中,由于第一密钥对的公钥为验签密钥、私钥为签名密钥,因此,身份证读卡终端使用第一密钥对的私钥对身份证读卡终端发送给通信模块21的第一加密信息进行签名后得到第一签名信息,并将第一签名信息携带在第一传输数据中发送至通信模块21,通信模块21接收到第一传输数据后,认证安全控制模块22可以根据第一密钥对的公钥证书获取第一密钥对的公钥,从而使用第一密钥对的公钥对第一签名信息进行验签,若验签结果正确,说明第一签名信息确实是身份证读卡终端发送给云认证平台的,而且在传输的过程中没有被篡改,从而实现了云认证平台对身份证读卡终端的身份进行验证。因此,若验签结果正确,认证安全控制模块22根据认证解密密钥对第一加密信息进行解密得到第二信息。
本实施例中,由于第二密钥对的公钥为加密密钥、私钥为解密密钥,因此,认证安全控制模块22根据第二密钥对的公钥证书获取第二密钥对的公钥,并使用第二密钥对的公钥对会话密钥进行加密得到第一加密会话密钥,身份证读卡终端接收到第一加密会话密钥后,身份证读卡终端可以根据第二密钥对的私钥对第一加密会话密钥进行解密得到会话密钥,防止了云认证平台将会话密钥传输给身份证读卡终端的过程中受到破坏,从而保证了身份证读卡终端接收到的会话密钥是安全的。
本实施例中,认证安全控制模块22可以调用随机数接口获得一设定长度的随机数,作为会话密钥。该随机数的设定长度可以是16字节也可以是其他长度,如采用RC4密码算法则可以为1-256字节。优选的,采用RC4密码算法。身份证读卡终端与云认证平台之间通过会话密钥进行数据传输,保证了数据传输链路的安全。
本实施例中,第三密钥对为非对称密钥对,其中,第三密钥对包括第三密钥对的公钥和第三密钥对的私钥。第三密钥对的公钥为验签密钥、私钥为签名密钥。具体实施过程中,认证安全控制模块22使用第三密钥对的私钥对发送给身份证读卡终端的第一加密会话密钥进行签名得到第二签名信息,身份证读卡终端接收到第二签名信息后,身份证读卡终端使用第三密钥对的公钥对第二签名信息进行验签,若验签结果正确,说明第二签名信息确实是认证安全控制模块22发送给身份证读卡终端的,而且在传输的过程中没有被篡改,从而实现了身份证读卡终端对云认证平台的身份进行验证。
在本实施例的一个可选实施方式中,认证安全控制模块22使用第三密钥对的私钥之前,需要先获取第三密钥对。具体实施过程中,认证安全控制模块22获取第三密钥对可以是认证安全控制模块22从外部获取第三密钥对,也可以是认证安全控制模块22内部生成第三密钥对。为了保证认证安全控制模块22获取的第三密钥对是安全的,优选的,认证安全控制模块22内部生成第三密钥对。通过本实施例的可选实施方式,由于认证安全控制模块内部生成第三密钥对,第三密钥对的私钥不能导出,第三密钥对的公钥可以携带在公钥证书中输出,通过采用云认证平台内部生成的方式,使得私钥不可泄露,保证了第三密钥对的安全性。
在本实施例的另一个可选实施方式中,通信模块21将第二传输数据发送给身份证读卡终端,认证安全控制模块22需要先获取第三密钥对的公钥证书。具体实施过程中,认证安全控制模块22获取的证书都是通过数字证书服务器签发的,数字证书服务器通常为证书签证机关,证书签证机关根据签证机关的信息、用户的公钥信息、权威机关的签字和有效期等生成用户的公钥证书。
具体实施过程中,如果认证安全控制模块22内部生成第三密钥对,认证安全控制模块22获取第三密钥对的公钥证书时,通信模块21需要将第三密钥对的公钥发送至数字证书服务器,数字证书服务器根据签证机关的信息、第三密钥对的公钥信息、权威机关的签字和有效期等对所述第三密钥对的公钥进行数字证书签发操作生成第三密钥对的公钥证书,并将第三密钥对的公钥证书发送至通信模块21;如果认证安全控制模块22从外部获取第三密钥对,那么在获取的同时也获取已经生成的第三密钥对的公钥证书。
通过本实施例的可选实施方式,认证安全控制模块通过获取第三密钥对的公钥证书,可以将第三密钥对的公钥证书发送给身份证读卡终端,使得身份证读卡终端使用第三密钥对的公钥对接收到的信息进行验签,从而使得身份证读卡终端确认云认证平台的身份。
本实施例中,身份证读卡终端与云认证平台之间确认了会话密钥之后,就可以通过会话密钥进行数据传输。具体实施过程中,身份证读卡终端读取的身份证信息通常为密文形式,身份证读卡终端无法显示身份证信息的明文,因此,身份证读卡终端需要将身份证密文发送给云认证平台的认证安全控制模块22进行认证,而在发送的过程中,为了保证身份证密文的安全,身份证读卡终端先使用会话密钥对身份证密文加密得到第三传输数据,再将第三传输数据发送给云认证平台的通信模块21。
本实施例中,通信模块21接收到第三传输数据后,认证安全控制模块22先使用会话密钥对第三传输数据进行解密得到身份证密文,再将身份证密文发送至云认证平台的验证安全模块进行解密得到身份证明文。为了保证身份证明文的安全,认证安全控制模块22先使用会话密钥对身份证明文加密得到第四传输数据,再通过通信模块21将第四传输数据发送给身份证读卡终端。身份证读卡终端接收到第四传输数据后,使用会话密钥对第四传输数据进行解密从而得到身份证明文,从而实现了身份证读卡终端对身份证明文的获取。具体实施过程中,身份证读卡终端可以具有显示屏,将身份证明文显示在显示屏,以便用户读取。
通过本实施例提供的一种身份证认证系统中的云认证平台,保证了身份证认证系统中的密钥的可靠性,保证了身份证阅读过程中身份信息的安全性。
在本实施例的一个可选实施方式中,云认证平台还包括获取模块23,如图3所示。获取模块23可以获取云认证平台用户识别信息,并获取用户识别信息的验证结果,若验证结果为正确,则通信模块21接收身份证读卡终端发送的第一传输数据。具体实施过程中,用户识别信息可以为PIN码、指纹、虹膜、人脸等。在用户首次登陆云认证平台时,用户通过物理按键和/或虚拟按键输入PIN码,或者通过云认证平台的红外线扫描区域进行指纹、虹膜或人脸的录入。云认证平台每一次开始工作,都需要对用户识别信息确认,使得云认证平台得到用户授权后才开始工作,保证了云认证平台的安全使用。
在本实施例的一个可选实施方式中,云认证平台还包括权限控制模块24,如图3所示。获取模块23获取了云认证平台用户识别信息,而且,权限控制模块24还获取本次使用的用户识别信息的最大错误使用次数以及本次使用的用户识别信息的当前使用次数;权限控制模块24判断本次使用的用户识别信息的当前使用次数是否小于本次使用的用户识别信息的最大错误使用次数,若是,则通信模块21接收身份证读卡终端发送的第一传输数据,否则,通信模块21不接收身份证读卡终端发送的第一传输数据。
具体实施过程中,用户识别信息的最大错误使用次数可以用1个字节表示,例如,用户识别信息的最大错误使用次数为“3”,用于表示用户识别信息的最大错误使用次数为3次。而获取模块23使用用户识别信息时,权限控制模块24获取本次使用的用户识别信息的当前使用次数也可以用1个字节表示,例如,本次使用的是用户识别信息而且是第2次使用用户识别信息,则本次使用的用户识别信息的当前使用次数为“2”。
权限控制模块24判断本次使用的用户识别信息的当前使用次数是否小于用户识别信息的最大错误使用次数,若是,则获取模块23可以使用用户识别信息,并对用户识别信息进行验证,否则,获取模块23拒绝对该用户识别信息进行验证。例如,本次使用的是用户识别信息而且是第2次使用用户识别信息,则本次使用的用户识别信息的使用次数为“2”,而用户识别信息的最大错误使用次数为3次,由于2小于3,则获取模块23可以使用用户识别信息,并对用户识别信息进行验证。又例如,本次使用的是用户识别信息而且是第4次使用用户识别信息,则本次使用的用户识别信息的当前使用次数为“4”,而用户识别信息的最大错误使用次数为3次,由于4不小于3,则获取模块23拒绝对用户识别信息进行验证。
另外,具体实施过程中,获取模块23使用用户识别信息时,权限控制模块24获取的本次使用的用户识别信息的当前使用次数可以通过计数器来计数,即每一次使用用户识别信息,该用户识别信息对应的计数器都会增加1次。例如,在本次使用用户识别信息前,用户识别信息已经被使用1次,计数器计数为“1”,本次再使用用户识别信息时,计数器计数为“2”,则本次使用的用户识别信息的当前使用次数为“2”。权限控制模块24判断本次使用的用户识别信息的计数器的计数是否小于用户识别信息的最大错误使用次数,若是,则获取模块23可以使用用户识别信息,并对用户识别信息进行验证,否则,获取模块23拒绝对该用户识别信息进行验证。例如,在本次获取用户识别信息前,用户识别信息已经被获取1次,计数器计数为“1”,本次再获取用户识别信息时,计数器计数为“2”,而用户识别信息的最大错误使用次数为3次,由于2小于3,则获取模块23可以使用用户识别信息,并对用户识别信息进行验证。
通过本实施例的可选实施方式,通过限制用户识别信息的最大错误使用次数,使得用户识别信息的使用次数超过最大错误使用次数后,该用户识别信息相关的应用将被锁定,从而防止了对云认证平台的非法试探。
在本实施例的另一个可选实施方式中,云认证平台还包括权限控制模块24,权限控制可以为权限控制模块24对使用的安全信息的用途进行查验,其中安全信息可以包括:第一密钥对的公钥、第二密钥对的公钥和第三密钥对的私钥。
即权限控制模块24还用于认证安全控制模块22使用安全信息之前,权限控制模块24获取本次使用的安全信息的使用方式信息;权限控制模块24在认证安全控制模块22使用安全信息时,获取本次使用的安全信息的属性信息;权限控制模块24判断本次使用的安全信息的使用方式信息与安全信息的属性信息是否一致,若一致,则认证安全控制模块22使用安全信息。
具体实施过程中,每一个安全信息中还包括属性信息,用于表示安全信息的属性。例如,第一密钥对的公钥的属性信息用于表示第一密钥对的公钥用于验签,获取模块23获取第一密钥对的公钥后还获取第一密钥对的公钥属性信息;第二密钥对的公钥的属性信息用于表示第二密钥对的公钥用于解密,获取模块23获取第二密钥对的公钥后还获取第二密钥对的公钥的属性信息;第三密钥对的私钥的属性信息用于表示第三密钥对的私钥用于签名,获取模块23获取第三密钥对的私钥后还获取第三密钥对的私钥的属性信息;。
具体实施过程中,权限控制模块24对使用的安全信息进行权限控制可以为:认证安全控制模块22使用安全信息之前,权限控制模块24还获取本次使用的安全信息的使用方式信息,即认证安全控制模块22使用第一密钥对的公钥之前权限控制模块24还获取本次使用的第一密钥对的公钥的使用方式信息,认证安全控制模块22使用第二密钥对的公钥之前权限控制模块24还获取本次使用的第二密钥对的公钥的使用方式信息,认证安全控制模块22使用第三密钥对的私钥之前权限控制模块24还获取本次使用的第三密钥对的私钥的使用方式信息。权限控制模块24判断本次使用的安全信息的使用方式信息与安全信息的属性信息是否一致,若一致,则执行后续操作,否则,身份证读卡终端拒绝执行后续操作。
具体实施过程中,安全信息的属性信息可以用几个字节表示,例如,第一密钥对的公钥属性信息为“10”,用于表示第一密钥对的公钥用于验签;第二密钥对的公钥的属性信息为“11”,用于表示第二密钥对的公钥用于解密;第三密钥对的私钥的属性信息为“01”,用于表示第三密钥对的私钥用于签名。
而认证安全控制模块22使用安全信息之前,权限控制模块24获取的本次使用的安全信息的使用方式信息也可以用2个字节表示,例如,本次使用的安全信息的使用方式是用于验签,则本次使用的安全信息的使用方式信息为“10”;本次使用的安全信息的使用方式是用于解密,则本次使用的安全信息的使用方式信息为“11”;本次使用的安全信息的使用方式是用于签名,则本次使用的安全信息的使用方式信息为“01”。
权限控制模块24判断本次使用的安全信息的使用方式信息是否与安全信息的属性信息一致,若一致,则认证安全控制模块22使用安全信息,否则,认证安全控制模块22拒绝使用安全信息。例如,本次使用的安全信息是第一密钥对的公钥,本次使用的安全信息用于验签,则本次使用的安全信息的使用方式信息为“10”,而第一密钥对的公钥的属性信息为“10”,二者一致,则认证安全控制模块22使用安全信息。又例如,本次使用的安全信息是第二密钥对的公钥,本次使用的安全信息用于签名,则本次使用的安全信息的使用方式信息为“01”,而第二密钥对的公钥是用于解密的,其属性信息为“11”,二者不一致,则认证安全控制模块22拒绝使用安全信息。
通过本实施例的可选实施方式,通过对安全信息的属性进行限定,例如只能签名的密钥不能用于数据加密或解密计算或者只能进行加密或解密的密钥对不能用于数据签名或验签计算,云认证平台对安全信息的使用方式进行查验,使得云认证平台直接拒绝不被允许的使用方式,保证了安全信息的正常使用。
在本实施例的另一个可选实施方式中,云认证平台还可以包括RAM模块25,如图3所示。权限控制模块24对使用的安全信息的权限可以为,认证安全控制模块22使用安全信息时,权限控制模块24将本次使用的安全信息存入RAM模块中;认证安全控制模块22使用安全信息之后,权限控制模块24将本次使用的安全信息从RAM模块中清除。
具体实施过程中,认证安全控制模块22使用安全信息时,权限控制模块24会将安全信息暂时存放在RAM模块25中,当安全信息相关的应用使用完成后,权限控制模块24强制从RAM模块25中清除该安全信息。例如,认证安全控制模块22使用第一密钥对的公钥进行验签之前,权限控制模块24会从第一密钥对的公钥的存储地址读取第一密钥对的公钥,并将其存放在RAM模块中,当认证安全控制模块22使用第一密钥对的公钥后,该第一密钥对的公钥的应用使用完成,那么权限控制模块24将其从RAM模块25中强制清除。
通过本实施例的可选实施方式,保证了RAM模块中不会存在安全信息的残留数据,避免了安全隐患。
在本实施例的另一个可选实施方式中,云认证平台还可以包括数据库模块26和授权模块27,如图3所示。即认证安全控制模块22根据认证解密密钥对第一加密信息进行解密得到第二信息之前,认证安全控制模块22需要先获取认证解密密钥。优选的,第一密钥对的公钥为对称密钥,身份证读卡终端和云认证平台可以均从云认证平台的数据服务器获取相同的对称算法生成第一密钥对的公钥。
具体实施过程中,数据库模块26存储了生成第一密钥对的公钥的算法,认证安全控制模块22向云认证平台的数据库服务器申请认证解密密钥时,数据库模块26给认证安全控制模块22分配一个认证解密密钥的密文,其中,该认证解密密钥与身份证读卡终端所申请的第一密钥对的公钥相对应;认证安全控制模块22为了获得认证解密密钥的明文,认证安全控制模块22向授权模块27申请一个授权解密密钥,其中,该授权解密密钥用于解密认证解密密钥的密文;授权模块27判断认证解密密钥的使用方式,若通过认证,则给认证安全控制模块22分配一个授权解密密钥;认证安全控制模块22使用授权解密密钥对认证解密密钥的密文进行解密得到认证解密密钥的明文,从而认证安全控制模块22得到认证解密密钥。
通过本实施例的可选实施方式,认证安全控制模块22经过授权模块27授权后,才能获取认证解密密钥,防止了对数据库模块26中的密钥算法的非法使用。
综上所述,通过本实施例提供的身份证认证系统中的云认证平台,通过云认证平台对密钥进行使用,保证了密钥的可靠性,保证了身份证阅读过程中身份信息的安全性。进一步地,在密钥的使用过程中,通过对密钥进行权限控制,实现了对密钥的使用方式进行查验,保证了密钥的正常使用。
流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为,表示包括一个或更多个用于实现特定逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分,并且本发明的优选实施方式的范围包括另外的实现,其中可以不按所示出或讨论的顺序,包括根据所涉及的功能按基本同时的方式或按相反的顺序,来执行功能,这应被本发明的实施例所属技术领域的技术人员所理解。
本技术领域的普通技术人员可以理解实现上述实施例方法携带的全部或部分步骤是可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,该程序在执行时,包括方法实施例的步骤之一或其组合。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
尽管上面已经示出和描述了本发明的实施例,可以理解的是,上述实施例是示例性的,不能理解为对本发明的限制,本领域的普通技术人员在不脱离本发明的原理和宗旨的情况下在本发明的范围内可以对上述实施例进行变化、修改、替换和变型。本发明的范围由所附权利要求及其等同限定。
Claims (16)
1.一种身份证认证系统中云认证平台使用密钥的方法,其特征在于,包括:
云认证平台接收身份证读卡终端发送的第一传输数据,其中,所述第一传输数据至少包括第二密钥对的公钥证书、第一密钥对的公钥证书、第一加密信息、第一签名信息,其中,所述第一加密信息是所述身份证读卡终端使用第一密钥对的公钥对会话密钥请求信息进行加密得到,所述第一签名信息是所述身份证读卡终端使用第一密钥对的私钥对所述第一加密信息进行签名得到;
所述云认证平台根据所述第一密钥对的公钥证书获取第一密钥对的公钥,并使用所述第一密钥对的公钥对所述第一签名信息进行验签,若验签结果正确,所述云认证平台根据认证解密密钥对第一加密信息进行解密得到第二信息;
所述云认证平台生成会话密钥;
所述云认证平台根据所述第二密钥对的公钥证书获取第二密钥对的公钥,并使用所述第二密钥对的公钥对所述会话密钥进行加密得到第一加密会话密钥;
所述云认证平台使用第三密钥对的私钥对所述第一加密会话密钥进行签名得到第二签名信息;
所述云认证平台将第二传输数据发送给所述身份证读卡终端,其中,所述第二传输数据至少包括第三密钥对的公钥证书、第一加密会话密钥、第二签名信息;
所述云认证平台接收所述身份证读卡终端发送的第三传输数据,其中,所述第三传输数据是所述身份证读卡终端通过所述会话密钥加密所述身份证读卡终端获取的身份证密文得到的;
所述云认证平台对利用所述会话密钥对第三传输数据进行解密,得到身份证密文,并对身份证密文进行解密,得到身份证明文,并利用所述会话密钥对所述身份证明文进行加密得到第四传输数据;
所述云认证平台将第四传输数据发送给所述身份证读卡终端。
2.根据权利要求1所述的方法,其特征在于,所述云认证平台接收身份证读卡终端发送的第一传输数据之前,所述方法还包括:
所述云认证平台接收用户识别信息,并获取所述用户识别信息的验证结果,若验证结果为正确,则执行接收身份证读卡终端发送的第一传输数据的步骤。
3.根据权利要求2所述的方法,其特征在于,所述云认证平台接收身份证读卡终端发送的第一传输数据之前,所述方法还包括:
所述云认证平台还获取本次使用的所述用户识别信息的最大错误使用次数以及本次使用的所述用户识别信息的当前使用次数;
所述云认证平台判断所述本次使用的所述用户识别信息的当前使用次数是否小于本次使用的所述用户识别信息的最大错误使用次数,若是,则执行接收身份证读卡终端发送的第一传输数据的步骤。
4.根据权利要求1至3任一项所述的方法,其特征在于,所述云认证平台使用所述第一密钥对的公钥对所述第一签名信息进行验签之前,所述方法还包括:
所述云认证平台获取本次使用的所述第一密钥对的公钥的使用方式信息以及本次使用的所述第一密钥对的公钥的属性信息;
所述云认证平台判断所述本次使用的所述第一密钥对的公钥的使用方式信息与所述第一密钥对的公钥的属性信息是否一致,若一致,则执行云认证平台使用所述第一密钥对的公钥对所述第一签名信息进行验签的步骤。
5.根据权利要求1至3任一项所述的方法,其特征在于,所述云认证平台使用所述第一密钥对的公钥对所述第一签名信息进行验签之前,所述方法还包括:
所述云认证平台将本次使用的所述第一密钥对的公钥存入所述云认证中心的安全芯片的RAM中。
6.根据权利要求5所述的方法,其特征在于,所述云认证平台使用所述第一密钥对的公钥对所述第一签名信息进行验签之后,所述方法还包括:
所述云认证平台将本次使用的所述第一密钥对的公钥从所述云认证平台的安全芯片的RAM中清除。
7.根据权利要求1至3任一项所述的方法,其特征在于,所述云认证平台根据认证解密密钥对第一加密信息进行解密得到第二信息之前,所述方法还包括:
所述云认证平台向所述云认证平台的数据库服务器申请认证解密密钥;
所述云认证平台的数据库给所述云认证平台分配一个加密的认证解密密钥;
所述云认证平台向所述云认证平台的授权服务器申请一个用于解密所述加密的认证解密密钥的解密密钥;
所述云认证平台向使用所述解密密钥对所述加密的认证解密密钥进行解密得到所述认证解密密钥。
8.根据权利要求1至3任一项所述的方法,其特征在于,所述云认证平台根据认证解密密钥对第一加密信息进行解密得到第二信息之前,所述方法还包括:
所述云认证平台获取本次使用的所述认证解密密钥的使用方式信息以及本次使用的所述认证解密密钥的属性信息;
所述云认证平台判断所述本次使用的所述认证解密密钥的使用方式信息与所述认证解密密钥的属性信息是否一致,若一致,则执行所述云认证平台使用认证解密密钥对所述会话密钥请求信息进行加密得到第一加密信息的步骤。
9.根据权利要求1至3任一项所述的方法,其特征在于,所述云认证平台根据认证解密密钥对第一加密信息进行解密得到第二信息之前,所述方法还包括:
所述云认证平台将本次使用的所述认证解密密钥存入所述云认证平台的安全芯片的RAM中。
10.根据权利要求9所述的方法,其特征在于,所述云认证平台根据认证解密密钥对第一加密信息进行解密得到第二信息之后,所述方法还包括:
所述云认证平台将所述本次使用的认证解密密钥从所述云认证平台的安全芯片的RAM中清除。
11.根据权利要求1至3任一项所述的方法,其特征在于,所述云认证平台使用所述第二密钥对的公钥对所述会话密钥进行加密得到第一加密会话密钥之前,所述方法还包括:
所述云认证平台获取本次使用的所述第二密钥对的公钥的使用方式信息以及本次使用的所述第二密钥对的公钥的属性信息;
所述云认证平台判断所述本次使用的所述第二密钥对的公钥的使用方式信息与所述第二密钥对的公钥的属性信息是否一致,若一致,则执行所述云认证平台使用所述第二密钥对的公钥对所述会话密钥进行加密得到第一加密会话密钥的步骤。
12.根据权利要求1至3任一项所述的方法,其特征在于,所述云认证平台使用所述第二密钥对的公钥对所述会话密钥进行加密得到第一加密会话密钥之前,所述方法还包括:
所述云认证平台将本次使用的所述第二密钥对的公钥存入所述云认证平台的安全芯片的RAM中。
13.根据权利要求12所述的方法,其特征在于,所述云认证平台使用所述第二密钥对的公钥对所述会话密钥进行加密得到第一加密会话密钥之后,所述方法还包括:
所述云认证平台将所述本次使用的第二密钥对的公钥从所述云认证平台的安全芯片的RAM中清除。
14.根据权利要求1至3任一项所述的方法,其特征在于,所述云认证平台使用第三密钥对的私钥对所述第一加密会话密钥进行签名得到第二签名信息之前,所述方法还包括:
所述云认证平台获取本次使用的所述第三密钥对的私钥的使用方式信息以及本次使用的所述第二密钥对的公钥的属性信息;
所述云认证平台判断所述本次使用的所述第三密钥对的私钥的使用方式信息与所述第三密钥对的私钥的属性信息是否一致,若一致,则执行所述云认证平台使用第三密钥对的私钥对所述第一加密会话密钥进行签名得到第二签名信息的步骤。
15.根据权利要求1至3任一项所述的方法,其特征在于,所述云认证平台使用第三密钥对的私钥对所述第一加密会话密钥进行签名得到第二签名信息之前,所述方法还包括:
所述云认证平台将本次使用的所述第三密钥对的私钥存入所述云认证平台的安全芯片的RAM中。
16.根据权利要求15所述的方法,其特征在于,所述云认证平台使用第三密钥对的私钥对所述第一加密会话密钥进行签名得到第二签名信息之后,所述方法还包括:
所述云认证平台将所述本次使用的第三密钥对的私钥从所述云认证平台的安全芯片的RAM中清除。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610040609.0A CN106027461B (zh) | 2016-01-21 | 2016-01-21 | 一种身份证认证系统中云认证平台使用密钥的方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610040609.0A CN106027461B (zh) | 2016-01-21 | 2016-01-21 | 一种身份证认证系统中云认证平台使用密钥的方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN106027461A CN106027461A (zh) | 2016-10-12 |
CN106027461B true CN106027461B (zh) | 2019-02-15 |
Family
ID=57082725
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610040609.0A Active CN106027461B (zh) | 2016-01-21 | 2016-01-21 | 一种身份证认证系统中云认证平台使用密钥的方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN106027461B (zh) |
Families Citing this family (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107229874B (zh) * | 2017-05-27 | 2020-12-15 | 北京世纪龙脉科技有限公司 | 一种实现VR-Key的方法、装置和服务器 |
CN110768938A (zh) * | 2018-07-27 | 2020-02-07 | 上海汽车集团股份有限公司 | 一种车辆安全通信方法及装置 |
CN111224926B (zh) * | 2018-11-27 | 2022-05-13 | 天地融科技股份有限公司 | 一种云身份证的实现方法及系统 |
CN109413116A (zh) * | 2019-01-03 | 2019-03-01 | 国家电网有限公司 | 一种可信的云端身份认证方法及系统 |
CN111770081B (zh) * | 2020-06-28 | 2021-11-05 | 国网江苏省电力有限公司信息通信分公司 | 基于角色认证的大数据机密文件访问方法 |
CN112995160B (zh) * | 2021-02-07 | 2022-05-06 | 北京声智科技有限公司 | 数据解密系统及方法、终端、服务器和非瞬时性存储介质 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103368736A (zh) * | 2012-04-06 | 2013-10-23 | 汉王科技股份有限公司 | 业务信息加密、解密方法及装置 |
CN104618115A (zh) * | 2015-01-27 | 2015-05-13 | 李明 | 身份证信息获取方法及系统 |
CN105007274A (zh) * | 2015-07-27 | 2015-10-28 | 尤磊 | 一种基于移动终端的身份认证系统和方法 |
CN105245341A (zh) * | 2015-09-07 | 2016-01-13 | 天地融科技股份有限公司 | 远程身份认证方法和系统以及远程开户方法和系统 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7558387B2 (en) * | 2005-04-15 | 2009-07-07 | Research In Motion Limited | Gathering randomness in a wireless smart card reader |
US10438187B2 (en) * | 2014-05-08 | 2019-10-08 | Square, Inc. | Establishment of a secure session between a card reader and a mobile device |
-
2016
- 2016-01-21 CN CN201610040609.0A patent/CN106027461B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103368736A (zh) * | 2012-04-06 | 2013-10-23 | 汉王科技股份有限公司 | 业务信息加密、解密方法及装置 |
CN104618115A (zh) * | 2015-01-27 | 2015-05-13 | 李明 | 身份证信息获取方法及系统 |
CN105007274A (zh) * | 2015-07-27 | 2015-10-28 | 尤磊 | 一种基于移动终端的身份认证系统和方法 |
CN105245341A (zh) * | 2015-09-07 | 2016-01-13 | 天地融科技股份有限公司 | 远程身份认证方法和系统以及远程开户方法和系统 |
Also Published As
Publication number | Publication date |
---|---|
CN106027461A (zh) | 2016-10-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106027461B (zh) | 一种身份证认证系统中云认证平台使用密钥的方法 | |
CN105429760B (zh) | 一种基于tee的数字证书的身份验证方法及系统 | |
CN105427099B (zh) | 安全电子交易的网络认证方法 | |
CN103440444B (zh) | 电子合同的签订方法 | |
CN106027252B (zh) | 一种身份证认证系统中的云认证平台 | |
CN104798083B (zh) | 用于验证访问请求的方法和系统 | |
CN110337797A (zh) | 用于执行双因素认证的方法 | |
CN106327184A (zh) | 一种基于安全硬件隔离的移动智能终端支付系统及方法 | |
CN103532719B (zh) | 动态口令生成方法和系统、交易请求的处理方法和系统 | |
CN105516077B (zh) | 自助服务终端(sst)的验证访问 | |
CN105939196B (zh) | 身份认证方法和系统 | |
CN109150535A (zh) | 一种身份认证方法、设备、计算机可读存储介质及装置 | |
CN106209383B (zh) | 一种移动支付安全认证的方法及装置 | |
CN106027251B (zh) | 一种身份证读卡终端与云认证平台数据传输方法和系统 | |
CN106713279A (zh) | 一种视频终端身份认证系统 | |
Kumar | An Enhanced Remote User Authentication Scheme with Smart Card. | |
KR20120108599A (ko) | 온라인 신용카드 결제 단말기를 활용한 신용카드 결제 서비스 | |
CN104618114B (zh) | 身份证信息获取方法、装置及系统 | |
CN111654510B (zh) | 一种带有国密加密功能的签批终端及签批数据传输方法 | |
CN105162797A (zh) | 一种基于视频监控系统的双向认证方法 | |
TWI526871B (zh) | Server, user device, and user device and server interaction method | |
CN106101160A (zh) | 一种系统登录方法及装置 | |
CN106027254B (zh) | 一种身份证认证系统中身份证读卡终端使用密钥的方法 | |
CN103366278A (zh) | 处理操作请求的方法及系统 | |
CN110401613A (zh) | 一种认证管理方法和相关设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
TR01 | Transfer of patent right |
Effective date of registration: 20220406 Address after: Tiantianrong building, No. 1, Zhongguancun, Beiqing Road, Haidian District, Beijing 100094 Patentee after: TENDYRON Corp. Address before: 100086 room 603, building 12, taiyueyuan, Haidian District, Beijing Patentee before: Li Ming |
|
TR01 | Transfer of patent right |