CN106100850A - 基于二维码的智能安全芯片签名信息传输方法及系统 - Google Patents

基于二维码的智能安全芯片签名信息传输方法及系统 Download PDF

Info

Publication number
CN106100850A
CN106100850A CN201610435820.2A CN201610435820A CN106100850A CN 106100850 A CN106100850 A CN 106100850A CN 201610435820 A CN201610435820 A CN 201610435820A CN 106100850 A CN106100850 A CN 106100850A
Authority
CN
China
Prior art keywords
intelligent
quick response
response code
data
terminal unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201610435820.2A
Other languages
English (en)
Other versions
CN106100850B (zh
Inventor
胡永涛
黄�俊
胥怡心
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Third Research Institute of the Ministry of Public Security
Original Assignee
Third Research Institute of the Ministry of Public Security
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Third Research Institute of the Ministry of Public Security filed Critical Third Research Institute of the Ministry of Public Security
Priority to CN201610435820.2A priority Critical patent/CN106100850B/zh
Publication of CN106100850A publication Critical patent/CN106100850A/zh
Application granted granted Critical
Publication of CN106100850B publication Critical patent/CN106100850B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • H04L9/3249Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures using RSA or related signature schemes, e.g. Rabin scheme
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06KGRAPHICAL DATA READING; PRESENTATION OF DATA; RECORD CARRIERS; HANDLING RECORD CARRIERS
    • G06K7/00Methods or arrangements for sensing record carriers, e.g. for reading patterns
    • G06K7/10Methods or arrangements for sensing record carriers, e.g. for reading patterns by electromagnetic radiation, e.g. optical sensing; by corpuscular radiation
    • G06K7/10544Methods or arrangements for sensing record carriers, e.g. for reading patterns by electromagnetic radiation, e.g. optical sensing; by corpuscular radiation by scanning of the records by radiation in the optical part of the electromagnetic spectrum
    • G06K7/10821Methods or arrangements for sensing record carriers, e.g. for reading patterns by electromagnetic radiation, e.g. optical sensing; by corpuscular radiation by scanning of the records by radiation in the optical part of the electromagnetic spectrum further details of bar or optical code scanning devices
    • GPHYSICS
    • G09EDUCATION; CRYPTOGRAPHY; DISPLAY; ADVERTISING; SEALS
    • G09CCIPHERING OR DECIPHERING APPARATUS FOR CRYPTOGRAPHIC OR OTHER PURPOSES INVOLVING THE NEED FOR SECRECY
    • G09C5/00Ciphering apparatus or methods not provided for in the preceding groups, e.g. involving the concealment or deformation of graphic data such as designs, written or printed messages
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0643Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3234Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3242Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • Power Engineering (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Electromagnetism (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Toxicology (AREA)
  • Artificial Intelligence (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Storage Device Security (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

本发明涉及一种基于二维码的智能安全芯片签名信息传输方法及系统,其中二维码生成包括将智能安全芯片插入终端设备;智能安全芯片对数据原文进行签名得到签名值信息;终端设备组装数据原文、签名值信息和消息验证码生成二维码,并显示;二维码扫描认证包括应用扫描到二维码并对二维码进行数据解析得到待认证数据,将待认证数据发送至应用后台;认证中心对认证数据进行验证,将验证结果通过应用后台返回至应用。采用该种基于二维码的智能安全芯片签名信息传输方法及系统,解决了现有智能卡身份认证应用系统中因读卡设备不普及而导致智能卡与后台系统难以进行数据通信问题,实现对智能卡签名信息的兼容传输,而无需使用特定的智能卡读卡设备。

Description

基于二维码的智能安全芯片签名信息传输方法及系统
技术领域
本发明涉及认证技术领域,尤其涉及二维码认证技术领域,具体是指一种基于二维码的智能安全芯片签名信息传输方法及系统。
背景技术
随着移动终端设备的广泛使用,移动终端设备的安全性越来越受关注。当人们使用移动终端设备时,需要登录淘宝、微博、社区、人人网等Web站点,尤其是购物网登录时,用户需要输入用户名和密码。用户在认证过程中,只输入用户名和密码,而密码在人们的日常生活中使用过于频繁,导致人们需要记住很多个密码,因为使用单一密码,一个平台下被攻破则所有平台将面临灾难。此时,二维码作为一种新的登录方式广泛应用在各种平台应用。
二维条码/二维码(2-dimensional bar code)是用某种特定的几何图形按一定规律在平面(二维方向上)分布的黑白相间的图形记录数据符号信息的;在代码编制上巧妙地利用构成计算机内部逻辑基础的“0”、“1”比特流的概念,使用若干个与二进制相对应的几何形体来表示文字数值信息,通过图象输入设备或光电扫描设备自动识读以实现信息自动处理:它具有条码技术的一些共性:每种码制有其特定的字符集;每个字符占有一定的宽度;具有一定的校验功能等。同时还具有对不同行的信息自动识别功能、及处理图形旋转变化点。
“二维码扫码功能”经过微信及支付宝的扫码支付用户习惯培养后,已具有普适性的认知度。当前,各大平台应用的二维码信息是由后台生成的,用户使用移动端APP扫描二维码进行安全登录。其安全性由后台到前台的传输链路来保证,因二维码为时效性数据,若出现二维码数据泄漏,则可能导致重放攻击。
智能安全芯片例如智能卡可以带有PKI功能,具体包括产生非对称密钥对、非对称密钥加解密和非对称密钥签名验签功能,另外可支持对称算法的加解密功能,如SM4、3DES等,也可以支持哈希算法计算,如Sha1、Sha256、Sm3等。智能安全芯片产生非对称公私钥对,可以实现私钥不出卡的安全特性,防止智能安全芯片被复制的风险,具有智能安全芯片作为个人身份唯一标识的特点。非对称密钥加解密功能可以对短消息进行加密,并只能由相应的私钥才能解密,可实现数据保密的安全特性。非对称密钥签名验签功能可以对数据进行签名,并只能由相应的公钥才能验证成功,可确保数据的完整性以及个人身份标识的唯一性。然而现有技术中,智能卡身份认证应用系统中因读卡设备不普及而导致智能卡与后台系统难以进行数据通信,无法广泛推广应用。
发明内容
本发明的目的是克服了上述现有技术的缺点,提供了一种基于二维码的智能安全芯片签名信息传输方法及系统,解决现有智能卡身份认证应用系统中因读卡设备不普及而导致智能卡与后台系统难以进行数据通信问题,实现对智能卡签名信息的兼容传输,而无需使用特定的智能卡读卡设备。
为了实现上述目的,本发明具有如下构成:
(1-1)将智能安全芯片插入终端设备;
(1-2)用户在终端设备上发送二维码生成请求;
(1-3)终端设备组装数据原文,并使用智能安全芯片对数据原文进行签名得到签名值信息;
(1-4)终端设备将签名值信息发送至终端设备后台,终端设备后台生成消息验证码返回至终端设备;
(1-5)终端设备组装数据原文、签名值信息和消息验证码生成二维码,并显示;
所述的二维码扫描认证包括如下步骤:
(2-1)用户在移动设备上打开待认证的应用并扫描二维码;
(2-2)应用扫描到二维码并对二维码进行数据解析得到待认证数据,将待认证数据发送至应用后台;
(2-3)应用后台对待认证数据进行消息验证码校验;
(2-4)应用后台在消息验证码校验成功后,将去除消息验证码后的认证数据发送至认证中心;
(2-5)认证中心对认证数据进行验证,将验证结果通过应用后台返回至应用。
较佳地,所述的步骤(1-1)和(1-2)之间,还包括以下步骤:
(1-1-1)用户通过安全口令登录到终端设备。
较佳地,所述的智能安全芯片中包含有密钥数据,所述的终端设备组装数据原文,具体为:
终端设备使用版本号、终端设备机构编号、智能安全芯片编号、交易时间和终端设备编号组装成数据原文。
较佳地,所述的使用智能安全芯片对数据原文进行签名得到签名值信息,包括以下步骤:
(1-3-A-1)将数据原文发送至智能安全芯片,并指定签名算法;
(1-3-A-2)智能安全芯片对传入的数据原文和密钥数据进行签名计算,得到消息验证码。
更佳地,所述的步骤(1-4)包括以下步骤:
(1-4-A-1)智能安全芯片将得到的消息验证码和算法标记发送至终端设备后台;
(1-4-A-2)终端设备后台对消息验证码和算法标记进行CBC模式的对称分组加密算法加密,将加密结果编码取前四个字节即为消息验证码;
(1-4-A-3)将数据原文、消息验证码、算法标记以及消息验证码组装生成二维码。
较佳地,所述的使用智能安全芯片对数据原文进行签名得到签名值信息,包括以下步骤:
(1-3-B-1)使用非对称密码算法签名,指定哈希算法,对数据原文进行哈希计算得到哈希值;
(1-3-B-2)将哈希值进行填充,得到HashValueRSA_padded
(1-3-B-3)将HashValueRSA_padded通过指令发送到智能安全芯片内,指定签名算法;
(1-3-B-4)智能安全芯片对传入的数据进行签名计算,得到PkiSig值。
更佳地,所述的步骤(1-4),包括以下步骤:
(1-4-B-1)智能安全芯片将得到的PkiSig值和算法标记发送至终端设备后台;
(1-4-B-2)终端设备后台对PkiSig值和算法标记进行CBC模式的对称分组加密算法加密,将加密结果编码取前四个字节即为消息验证码;
(1-4-B-3)将数据原文、PkiSig值、算法标记以及消息验证码组装生成二维码。
本发明还涉及一种基于二维码的智能安全芯片签名信息传输系统,其主要特点是,所述的系统包括智能安全芯片、终端设备、移动设备、终端设备后台、应用后台和认证中心,其中:
所述的终端设备组装数据原文,并使用智能安全芯片对数据原文进行签名得到签名值信息,以及将数据源文、签名值信息和终端设备后台生成的消息验证码组装生成二维码;
所述的移动设备通过应用扫描二维码,将二维码解析成待认证数据;
所述的应用后台对待认证数据进行消息验证码校验,并将去除消息验证码后的认证数据发送至认证中心;
所述的认证中心对认证数据进行验证,将验证结果通过应用后台返回至移动设备。
采用了该发明中的基于二维码的智能安全芯片签名信息传输方法及系统,具有如下有益效果:
(1)高安全性:本发明对认证信息使用智能安全芯片进行算法签名,满足保密性、完整性和不可否认性三大安全要素,具有高安全性。
(2)合法性:本发明中的认证信息是通过安全芯片进行密码计算得出的,且认证信息具有唯一性,从而保证认证的合法性。
(3)可用性:本发明通过二维码进行安全认证,可以适用于各种智能安全芯片,而无需设置具体的读卡设备,具有广泛的应用基础,可用性强。
(4)便捷性:本发明中采用移动终端APP对二维码进行扫描即可完成扫码认证过程,不需要用户输入用户名和密码,也不需要验证码,减轻了用户负担,极其便捷。
附图说明
图1为本发明的基于二维码的智能安全芯片签名信息传输方法的示意图。
图2为本发明的基于二维码的智能安全芯片签名信息传输方法的流程图。
图3为本发明的在终端设备上使用智能安全芯片生成二维码的流程图。
图4为本发明的移动设备上使用APP扫描二维码认证的流程图。
具体实施方式
为了能够更清楚地描述本发明的技术内容,下面结合具体实施例来进行进一步的描述。
本发明的目的是提供一种基于智能安全芯片和密码算法的二维码认证方法,实现对用户登录平台的安全认证功能,以达到安全登陆的目的。同时解决当前应用模式下存在的问题,如用户需要记下不同平台下的账户密码信息、移动终端若遭受病毒木马攻击、移动终端设备(特别是iPhone设备)与智能卡的通信需要外置读卡器等,并可安全地登录到平台系统,完成一系列后续交互操作。目前在基于智能安全芯片和密码算法的二维码安全登录方面,尚没有相关解决方案。
一、基于智能安全芯片和密码算法的二维码认证方法的角色定义:
发行中心:发行中心具有发行智能安全芯片(如智能卡)的功能,且可在发行时将认证数据写入卡内。
认证中心:认证中心主要负责对移动端扫描到的二维码数据进行认证,并返回认证结果。
智能安全芯片:智能安全芯片是指具有密码算法功能的一类芯片,它能够完成对称算法的加解密功能、哈希算法功能,有些还具有非对称算法功能,所以能够完成对用户的认证操作,满足不同行业的需求。
二维码:二维码储存认证数据,使用移动设备可扫描二维码。
移动设备:移动设备如手机、平板电脑等,带有摄像头,可扫描二维码。
APP(应用):APP为扫描二维码的移动端上的应用,包括Android、iOS等平台。
APP后台:移动设备后台为移动设备程序提供认证支持,并将认证结果返回给前端移动设备。
终端设备:终端设备具有生成二维码的功能,且可显示二维码以供移动端设备扫描;终端设备可以与智能安全芯片通信,如接触式或非接触式皆可。
终端设备后台:终端设备后台为终端设备提供后台计算支持,如计算MAC值
MAC:MAC(Message Authenticate Code)即消息验证码,用于消息完整性验证。
二、基于智能安全芯片和密码算法的二维码认证流程描述:
1、生成二维码流程
(1)用户将智能安全芯片插入终端设备,并使用安全口令登陆到终端设备上;
(2)用户可在终端设备上通过点击操作,发送请求生成二维码;
(3)终端设备程序组装数据原文,并使用智能安全芯片对数据进行签名;
(4)终端设备将签名值信息发给终端设备后台,后台生成MAC值返回给终端;
(5)终端设备组装待数据原文、签名值信息和MAC生成二维码,并显示在屏幕上。
2、扫描二维码认证流程
(1)用户在移动设备上打开需要做认证的APP,然后扫描二维码;
(2)APP扫描到二维码,对二维码数据进行解析,得到待认证数据,然后将待认证数据发送到APP后台;
(3)APP后台对待认证数据进行MAC值校验;
(4)APP后台在MAC值校验成功后,将除掉MAC值后的认证数据发给认证中心;
(5)认证中心对认证数据进行验证,然后将验证结果返回给APP后台;
(6)APP后台将接收到的验证结果返回给移动终端APP。
基于智能安全芯片和密码算法的二维码认证方法,可以采用HMAC算法或PKI签名算法是实现。
智能安全芯片发行机构
智能安全芯片必须由独立于第三方的机构发行,且须满足面签要求。
用户定义
智能安全芯片持有人:拥有智能安全芯片的用户,在使用认证功能时,想要通过终端设备完成认证相关的应用。
以HMAC算法为例
数据定义
认证流程定义
a)智能安全芯片:在制卡时,发行中心将密钥数据Key(如定义128字节长度,且具有随机性)加密写入智能安全芯片内,且写入后外部无法读取;
b)终端后台使用版本号Version、终端设备机构编号TerAgentCode、智能安全芯片编号SCardSecChipCode、交易时间TransacTime、终端设备编号TerminalCode组装成原文,对原文进行HMAC签名,具体流程如下;
(1)连接智能安全芯片;
(2)打开智能安全芯片中的应用,设为E;
(3)组装数据,Version||TerAgentCode||SCardSecChipCode||TransacTime||TerminalCode,定为EData=Version||TerAgentCode||SCardSecChipCode||TransacTime||TerminalCode;
(4)将数据EData通过指令发送到智能安全芯片内,并指定签名算法为Sha1、Sha256或Sm3;
(5)智能安全芯片对传入的数据和密钥数据Key进行签名计算,得到Hmac值,即Hmac=Sha1(EData||Key)、Hmac=Sha256(EData||Key)或Hmac=Sm3(Edata||Key)。
a)将得到的Hmac值和算法标记SigAlgTag,发送到终端后台服务,终端后台对数据SigAlgTag||Hmac进行CBC模式的Sm4算法加密,将加密结果编码后取前4个字节,即为MAC值;
b)将原文EData、HMAC、签名算法标记SigAlgTag以及MAC值进行组装生成二维码。
c)APP应用通过扫描二维码得到认证数据并传递给APP应用后台。
d)APP应用后台将认证数据传递给认证中心,认证中心进行MAC验证和HMAC认证,并返回认证结果信息。
e)APP应用显示认证结果。
以PKI签名为例
PKI签名数据定义
认证流程定义
智能安全芯片:在制卡时,发行中心发行智能安全芯片内,且写入后外部无法读取;
终端后台使用版本号Version、终端设备机构编号TerAgentCode、智能安全芯片编号SCardSecChipCode、交易时间TransacTime、终端设备编号TerminalCode组装成原文,对原文进行PKI签名,具体流程如下;
(1)连接智能安全芯片;
(2)打开智能安全芯片中的应用,设为E;
(3)组装数据,Version||TerAgentCode||SCardSecChipCode||TransacTime||TerminalCode,设定EData=Version||TerAgentCode||SCardSecChipCode||TransacTime||TerminalCode;
(4)使用RSA1024算法签名,指定哈希算法Sha1、Sha256,对数据EData进行哈希计算得到哈希值HashValue,然后将HashValue进行填充,得到HashValueRSA_padded,最后将HashValueRSA_padded通过指令发送到智能安全芯片内,指定签名算法为RSA1024;使用SM2算法签名,指定哈希算法Sm3,对数据EData进行哈希计算得到HashValuesm3,然后将HashValuesm3通过指令发送到智能安全芯片内,并指定签名算法为Sm2;
(5)智能安全芯片对传入的数据进行签名计算,得到PkiSig值,即PkiSig=RSA1024(HashValueRSA_padded)或PkiSig=Sm2(HashValuesm3)。
a)将得到的PkiSig值和算法标记SigAlgTag,发送到终端后台服务,终端后台对数据SigAlgTag||PkiSig进行CBC模式的Sm4算法加密,将加密结果编码后取前4个字节,即为MAC值;
b)将原文EData、PkiSig、签名算法标记SigAlgTag以及MAC值进行组装生成二维码。
(6)APP应用通过扫描二维码得到认证数据并传递给APP应用后台。
(7)APP应用后台将认证数据传递给认证中心,认证中心进行MAC验证和PKI签名认证,并返回认证结果信息。
(8)APP应用显示认证结果。
采用了该发明中的基于二维码的智能安全芯片签名信息传输方法及系统,具有如下有益效果:
(1)高安全性:本发明对认证信息使用智能安全芯片进行算法签名,满足保密性、完整性和不可否认性三大安全要素,具有高安全性。
(2)合法性:本发明中的认证信息是通过安全芯片进行密码计算得出的,且认证信息具有唯一性,从而保证认证的合法性。
(3)可用性:本发明通过二维码进行安全认证,可以适用于各种智能安全芯片,而无需设置具体的读卡设备,具有广泛的应用基础,可用性强。
(4)便捷性:本发明中采用移动终端APP对二维码进行扫描即可完成扫码认证过程,不需要用户输入用户名和密码,也不需要验证码,减轻了用户负担,极其便捷。
在此说明书中,本发明已参照其特定的实施例作了描述。但是,很显然仍可以作出各种修改和变换而不背离本发明的精神和范围。因此,说明书和附图应被认为是说明性的而非限制性的。

Claims (8)

1.一种基于二维码的智能安全芯片签名信息传输方法,其特征在于,所述的方法包括二维码生成和二维码扫描认证,所述的二维码生成包括如下步骤:
(1-1)将智能安全芯片插入终端设备;
(1-2)用户在终端设备上发送二维码生成请求;
(1-3)终端设备组装数据原文,并使用智能安全芯片对数据原文进行签名得到签名值信息;
(1-4)终端设备将签名值信息发送至终端设备后台,终端设备后台生成消息验证码返回至终端设备;
(1-5)终端设备组装数据原文、签名值信息和消息验证码生成二维码,并显示;
所述的二维码扫描认证包括如下步骤:
(2-1)用户在移动设备上打开待认证的应用并扫描二维码;
(2-2)应用扫描到二维码并对二维码进行数据解析得到待认证数据,将待认证数据发送至应用后台;
(2-3)应用后台对待认证数据进行消息验证码校验;
(2-4)应用后台在消息验证码校验成功后,将去除消息验证码后的认证数据发送至认证中心;
(2-5)认证中心对认证数据进行验证,将验证结果通过应用后台返回至应用。
2.根据权利要求1所述的基于二维码的智能安全芯片签名信息传输方法,其特征在于,所述的步骤(1-1)和(1-2)之间,还包括以下步骤:
(1-1-1)用户通过安全口令登录到终端设备。
3.根据权利要求1所述的基于二维码的智能安全芯片签名信息传输方法,其特征在于,所述的智能安全芯片中包含有密钥数据,所述的终端设备组装数据原文,具体为:
终端设备使用版本号、终端设备机构编号、智能安全芯片编号、交易时间和终端设备编号组装成数据原文。
4.根据权利要求1至3中任一项所述的基于二维码的智能安全芯片签名信息传输方法,其特征在于,所述的使用智能安全芯片对数据原文进行签名得到签名值信息,包括以下步骤:
(1-3-A-1)将数据原文发送至智能安全芯片,并指定签名算法;
(1-3-A-2)智能安全芯片对传入的数据原文和密钥数据进行签名计算,得到消息验证码。
5.根据权利要求4所述的基于二维码的智能安全芯片签名信息传输方法,其特征在于,所述的步骤(1-4)包括以下步骤:
(1-4-A-1)智能安全芯片将得到的消息验证码和算法标记发送至终端设备后台;
(1-4-A-2)终端设备后台对消息验证码和算法标记进行CBC模式的对称分组加密算法加密,将加密结果编码取前四个字节即为消息验证码;
(1-4-A-3)将数据原文、消息验证码、算法标记以及消息验证码组装生成二维码。
6.根据权利要求1至3中任一项所述的基于二维码的智能安全芯片签名信息传输方法,其特征在于,所述的使用智能安全芯片对数据原文进行签名得到签名值信息,包括以下步骤:
(1-3-B-1)使用非对称密码算法签名,指定哈希算法,对数据原文进行哈希计算得到哈希值;
(1-3-B-2)将哈希值进行填充,得到HashValueRSA_padded
(1-3-B-3)将HashValueRSA_padded通过指令发送到智能安全芯片内,指定签名算法;
(1-3-B-4)智能安全芯片对传入的数据进行签名计算,得到PkiSig值。
7.根据权利要求6所述的基于二维码的智能安全芯片签名信息传输方法,其特征在于,所述的步骤(1-4),包括以下步骤:
(1-4-B-1)智能安全芯片将得到的PkiSig值和算法标记发送至终端设备后台;
(1-4-B-2)终端设备后台对PkiSig值和算法标记进行CBC模式的对称分组加密算法加密,将加密结果编码取前四个字节即为消息验证码;
(1-4-B-3)将数据原文、PkiSig值、算法标记以及消息验证码组装生成二维码。
8.一种基于二维码的智能安全芯片签名信息传输系统,其特征在于,所述的系统包括智能安全芯片、终端设备、移动设备、终端设备后台、应用后台和认证中心,其中:
所述的终端设备组装数据原文,并使用智能安全芯片对数据原文进行签名得到签名值信息,以及将数据源文、签名值信息和终端设备后台生成的消息验证码组装生成二维码;
所述的移动设备通过应用扫描二维码,将二维码解析成待认证数据;
所述的应用后台对待认证数据进行消息验证码校验,并将去除消息验证码后的认证数据发送至认证中心;
所述的认证中心对认证数据进行验证,将验证结果通过应用后台返回至移动设备。
CN201610435820.2A 2016-06-17 2016-06-17 基于二维码的智能安全芯片签名信息传输方法及系统 Active CN106100850B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610435820.2A CN106100850B (zh) 2016-06-17 2016-06-17 基于二维码的智能安全芯片签名信息传输方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610435820.2A CN106100850B (zh) 2016-06-17 2016-06-17 基于二维码的智能安全芯片签名信息传输方法及系统

Publications (2)

Publication Number Publication Date
CN106100850A true CN106100850A (zh) 2016-11-09
CN106100850B CN106100850B (zh) 2019-07-05

Family

ID=57235522

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610435820.2A Active CN106100850B (zh) 2016-06-17 2016-06-17 基于二维码的智能安全芯片签名信息传输方法及系统

Country Status (1)

Country Link
CN (1) CN106100850B (zh)

Cited By (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106452734A (zh) * 2016-12-17 2017-02-22 上海莱柏信息科技有限公司 一种基于安全元件的可信标签的生成方法及系统
CN107194695A (zh) * 2017-04-25 2017-09-22 国民技术股份有限公司 交易码生成及扫描终端、交易码生成及交易方法
CN108075894A (zh) * 2016-11-17 2018-05-25 广州大白互联网科技有限公司 一种身份认证在线处理方法和系统
CN108455068A (zh) * 2018-04-08 2018-08-28 成都为克防伪科技有限公司 内弹式智能防伪包装瓶电子密码锁
CN108664795A (zh) * 2017-03-27 2018-10-16 曲立东 基于oto平台的数据安全优化应用系统及方法
TWI640940B (zh) * 2017-06-13 2018-11-11 財金資訊股份有限公司 Information exchange verification platform and method for mobile payment, computer readable recording medium and computer program product
CN109409472A (zh) * 2018-08-24 2019-03-01 阿里巴巴集团控股有限公司 二维码生成方法、数据处理方法、装置及服务器
CN110022317A (zh) * 2019-04-02 2019-07-16 中国工商银行股份有限公司 基于图形的信息传输方法、系统及装置
CN110390530A (zh) * 2019-07-31 2019-10-29 中国工商银行股份有限公司 芯片银行卡的安全支付方法及相关装置
CN111612459A (zh) * 2018-08-15 2020-09-01 阿里巴巴集团控股有限公司 一种二维码支付的安全控制方法和装置
CN111628873A (zh) * 2020-07-28 2020-09-04 四川省数字证书认证管理中心有限公司 一种使用数字证书固化数据电文的存证方法
CN111770081A (zh) * 2020-06-28 2020-10-13 广州知弘科技有限公司 基于角色认证的大数据机密文件访问方法
CN115022042A (zh) * 2022-06-02 2022-09-06 贵州数据宝网络科技有限公司 一种保护数据隐私的合规码验证方法和计算机可读介质

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101075316A (zh) * 2007-06-25 2007-11-21 陆航程 一种电子票证交易认证管理方法、载体结构、系统、终端
CN102291383A (zh) * 2011-05-13 2011-12-21 中国电信股份有限公司 在线处理涉税业务的方法与系统、业务终端与服务器
CN102789612A (zh) * 2012-07-16 2012-11-21 深圳宝嘉电子设备有限公司 一种数字印章支付验证系统及其方法
CN103136664A (zh) * 2013-03-06 2013-06-05 天地融科技股份有限公司 具有电子签名功能的智能卡交易系统及方法
CN103366111A (zh) * 2013-07-10 2013-10-23 公安部第三研究所 移动设备上基于二维码实现智能卡扩展认证控制的方法
CN103714458A (zh) * 2013-12-20 2014-04-09 江苏大学 基于二维码的移动终端交易加密方法
CN103957105A (zh) * 2014-04-28 2014-07-30 中国联合网络通信集团有限公司 用户身份认证方法和sim卡

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101075316A (zh) * 2007-06-25 2007-11-21 陆航程 一种电子票证交易认证管理方法、载体结构、系统、终端
CN102291383A (zh) * 2011-05-13 2011-12-21 中国电信股份有限公司 在线处理涉税业务的方法与系统、业务终端与服务器
CN102789612A (zh) * 2012-07-16 2012-11-21 深圳宝嘉电子设备有限公司 一种数字印章支付验证系统及其方法
CN103136664A (zh) * 2013-03-06 2013-06-05 天地融科技股份有限公司 具有电子签名功能的智能卡交易系统及方法
CN103366111A (zh) * 2013-07-10 2013-10-23 公安部第三研究所 移动设备上基于二维码实现智能卡扩展认证控制的方法
CN103714458A (zh) * 2013-12-20 2014-04-09 江苏大学 基于二维码的移动终端交易加密方法
CN103957105A (zh) * 2014-04-28 2014-07-30 中国联合网络通信集团有限公司 用户身份认证方法和sim卡

Cited By (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108075894A (zh) * 2016-11-17 2018-05-25 广州大白互联网科技有限公司 一种身份认证在线处理方法和系统
CN106452734A (zh) * 2016-12-17 2017-02-22 上海莱柏信息科技有限公司 一种基于安全元件的可信标签的生成方法及系统
CN108664795A (zh) * 2017-03-27 2018-10-16 曲立东 基于oto平台的数据安全优化应用系统及方法
CN107194695A (zh) * 2017-04-25 2017-09-22 国民技术股份有限公司 交易码生成及扫描终端、交易码生成及交易方法
TWI640940B (zh) * 2017-06-13 2018-11-11 財金資訊股份有限公司 Information exchange verification platform and method for mobile payment, computer readable recording medium and computer program product
CN108455068A (zh) * 2018-04-08 2018-08-28 成都为克防伪科技有限公司 内弹式智能防伪包装瓶电子密码锁
CN111612459A (zh) * 2018-08-15 2020-09-01 阿里巴巴集团控股有限公司 一种二维码支付的安全控制方法和装置
CN111612459B (zh) * 2018-08-15 2023-06-02 创新先进技术有限公司 一种二维码支付的安全控制方法和装置
TWI718567B (zh) * 2018-08-24 2021-02-11 開曼群島商創新先進技術有限公司 二維碼生成方法、資料處理方法、裝置、伺服器及計算機可讀儲存媒體
US10992481B2 (en) 2018-08-24 2021-04-27 Advanced New Technologies Co., Ltd. Two-dimensional code generation method, apparatus, data processing method, apparatus, and server
CN109409472B (zh) * 2018-08-24 2022-11-22 创新先进技术有限公司 二维码生成方法、数据处理方法、装置及服务器
EP3779792B1 (en) 2018-08-24 2023-02-22 Advanced New Technologies Co., Ltd. Two-dimensional code generation method, data processing method, apparatus, and server
CN109409472A (zh) * 2018-08-24 2019-03-01 阿里巴巴集团控股有限公司 二维码生成方法、数据处理方法、装置及服务器
CN110022317A (zh) * 2019-04-02 2019-07-16 中国工商银行股份有限公司 基于图形的信息传输方法、系统及装置
CN110390530A (zh) * 2019-07-31 2019-10-29 中国工商银行股份有限公司 芯片银行卡的安全支付方法及相关装置
CN111770081A (zh) * 2020-06-28 2020-10-13 广州知弘科技有限公司 基于角色认证的大数据机密文件访问方法
CN111628873A (zh) * 2020-07-28 2020-09-04 四川省数字证书认证管理中心有限公司 一种使用数字证书固化数据电文的存证方法
CN115022042A (zh) * 2022-06-02 2022-09-06 贵州数据宝网络科技有限公司 一种保护数据隐私的合规码验证方法和计算机可读介质

Also Published As

Publication number Publication date
CN106100850B (zh) 2019-07-05

Similar Documents

Publication Publication Date Title
CN106100850B (zh) 基于二维码的智能安全芯片签名信息传输方法及系统
US20220191016A1 (en) Methods, apparatuses, and computer program products for frictionless electronic signature management
CN101272237B (zh) 一种用于自动生成和填写登录信息的方法和系统
CN101897165B (zh) 数据处理系统中验证用户的方法
CN105515783B (zh) 身份认证方法、服务器及认证终端
US20160205098A1 (en) Identity verifying method, apparatus and system, and related devices
US20150349960A1 (en) Two factor authentication using a protected pin-like passcode
US8540149B1 (en) Active barcode authentication system and authentication method thereof
CN104618117B (zh) 基于二维码的智能卡设备的身份认证装置及方法
CN104065621A (zh) 一种第三方服务的身份验证方法、客户端和系统
WO2015188424A1 (zh) 一种密钥存储设备及其使用方法
WO2019226115A1 (en) Method and apparatus for user authentication
CN104854597B (zh) 认证服务器、认证系统以及认证方法
JP6419660B2 (ja) 秘密情報設定方法、秘密情報設定システム、および秘密情報設定装置
CN102801724A (zh) 一种图形图像与动态密码相结合的身份认证方法
CN103944877A (zh) 一种基于二维码实现银行网站安全登录的方法及系统
CN104253689A (zh) 基于二维码的用户卡动态口令验证方法与系统
CN104486087A (zh) 一种基于远程硬件安全模块的数字签名方法
CN106101140B (zh) 一种信息认证的方法及服务器
EP2674901A1 (en) Active barcode authentication system and authentication method thereof
CN102571341B (zh) 一种基于动态图像的认证系统及认证方法
CN103731543A (zh) 一种二维码手机游戏登陆系统
CN108322440A (zh) 一种利用安全设备读卡登录方法及安全登录系统
CN103701603A (zh) 利用网银进行抽奖的方法、终端、方法及系统
CN101777980B (zh) 一种数字证书扩展项信息保护方法

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant