CN106953731B - 一种终端管理员的认证方法及系统 - Google Patents
一种终端管理员的认证方法及系统 Download PDFInfo
- Publication number
- CN106953731B CN106953731B CN201710086181.8A CN201710086181A CN106953731B CN 106953731 B CN106953731 B CN 106953731B CN 201710086181 A CN201710086181 A CN 201710086181A CN 106953731 B CN106953731 B CN 106953731B
- Authority
- CN
- China
- Prior art keywords
- terminal
- random number
- card
- authentication
- comparison result
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
- H04L9/3273—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response for mutual authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/34—User authentication involving the use of external additional devices, e.g. dongles or smart cards
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3234—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
Abstract
本发明提供一种终端管理员的认证方法,所述方法需提供一认证平台、一终端以及一IC卡,且认证平台和IC卡均与终端进行交互;所述方法包括:步骤1、生成2对公私钥,且将公私钥预置到认证平台、终端以及IC卡中;步骤2、使用预制的公私钥对终端与IC卡进行双向认证,确定IC卡的合法性;步骤3、终端请求认证平台对IC卡进行合法认证,同时生成IC卡的签名,并将签名发送到认证平台进行认证,且将认证结果返回给终端。本发明优点:可以有效避免出现管理员密码泄露问题的发生,并保证在IC卡丢失的情况可以及时采取补救措施,以确保数据安全。
Description
技术领域
本发明涉及一种终端管理员的认证方法及系统。
背景技术
很多终端(例如金融POS终端)在进行重要参数设置和操作时,都需要验证管理员的用户名和密码。而行业内通常的做法是:使用“99”作为管理员用户名,使用“00000000”作为默认密码,或者其它类似的用户名及默认密码;然后在安装终端之前,再由运营商修改成统一的密码。
但是,目前行业内的做法存在如下缺陷:管理员的用户名和默认密码是固定的,如果使用时不进行修改的话,将很容易造成非法进入;而运营商修改密码的话,为了管理方便,一般都使用统一的密码,这也导致密码很容易泄露,且密码一旦泄露,后续的补救措施也极其不方便。
发明内容
本发明要解决的技术问题之一,在于提供一种终端管理员的认证方法,通过该方法来有效避免出现管理员密码泄露问题的发生,并保证在IC卡丢失的情况可以及时采取补救措施,以确保数据安全。
本发明是这样实现技术问题之一的:一种终端管理员的认证方法,所述方法需提供一认证平台、一终端以及一IC卡,且认证平台和IC卡均与终端进行交互;
所述方法包括:
步骤1、生成2对公私钥,且将公私钥预置到认证平台、终端以及IC卡中;
步骤2、使用预制的公私钥对终端与IC卡进行双向认证,确定IC卡的合法性;
步骤3、终端请求认证平台对IC卡进行合法认证,同时生成IC卡的签名,并将签名发送到认证平台进行认证,且将认证结果返回给终端。
进一步地,所述步骤1具体为:
生成一对IC卡公私钥和一对终端公私钥,且将IC卡私钥预置到IC卡中,将IC卡公钥预置到认证平台中,将终端私钥预置到终端中,将终端公钥预置到IC卡中。
进一步地,所述步骤2具体为:
终端产生一个随机数一,且将随机数一发送给IC卡;IC卡读取出随机数一,且使用终端公钥对随机数一进行加密,同时IC卡产生一个随机数二,并将随机数二和加密的随机数一返回给终端;
终端使用终端私钥对加密的随机数一进行解密,并将解密出来的随机数一与终端产生的随机数一进行比对,如果比对结果不一致,则说明IC卡不合法,此时终止认证;如果比对结果一致,则说明IC卡合法,此时终端读取随机数二,使用终端私钥对随机数二进行加密,且将加密后的随机数二发送给IC卡;
IC卡使用终端公钥对加密的随机数二进行解密,并将解密出来的随机数二与IC卡产生的随机数二进行比对,且如果比对结果不一致,则终止认证;如果比对结果一致,则双向认证成功。
进一步地,所述步骤2进一步具体为:
终端产生一个16位的随机数一,同时获取16位的终端序列号,且将随机数一和终端序列号均发送给IC卡;IC卡读取出随机数一和终端序列号,并将随机数一与终端序列号进行异或运算后得到一个运算结果,且使用终端公钥对运算结果进行加密,同时IC卡产生一个随机数二,并将随机数二和加密的运算结果返回给终端;
终端使用终端私钥对加密的运算结果进行解密,且完成解密后,先将运算结果与终端序列号进行异或运算得到随机数一,然后将随机数一与终端产生的随机数一进行比对,如果比对结果不一致,则说明IC卡不合法,此时终止认证;如果比对结果一致,则说明IC卡合法,此时终端读取随机数二,使用终端私钥对随机数二进行加密,且将加密后的随机数二发送给IC卡;
IC卡使用终端公钥对加密的随机数二进行解密,并将解密出来的随机数二与IC卡产生的随机数二进行比对,且如果比对结果不一致,则终止认证;如果比对结果一致,则双向认证成功。
进一步地,所述步骤3具体为:
终端发送IC卡认证请求到认证平台,认证平台产生一个随机数三,且将随机数三发送给终端;终端取出随机数三,并获取终端序列号,之后将随机数三和终端序列号发送给IC卡;
IC卡取出随机数三和终端序列号,并获取IC卡信息,之后使用IC卡私钥对随机数三、终端序列号以及IC卡信息进行加密生成签名,且将签名返回给终端,由终端将签名发送到认证平台;
认证平台使用IC卡公钥对签名进行解密,并将解密出的随机数三与认证平台产生的随机数三进行比对,且如果比对结果不一致,则说明IC卡不合法,此时终止认证;如果比对结果一致,则将终端序列号和IC卡信息与认证平台上设置的黑白名单进行比对,且如果终端序列号和IC卡信息中有一个在黑名单中,则说明IC卡或终端不合法,此时终止认证;否则说明IC卡和终端合法,此时将认证通过结果返回给终端。
本发明要解决的技术问题之二,在于提供一种终端管理员的认证系统,通过该系统来有效避免出现管理员密码泄露问题的发生,并保证在IC卡丢失的情况可以及时采取补救措施,以确保数据安全。
本发明是这样实现技术问题之二的:一种终端管理员的认证系统,所述系统需提供一认证平台、一终端以及一IC卡,且认证平台和IC卡均与终端进行交互;
所述系统包括公私钥预置模块、双向认证模块以及签名认证模块;
所述公私钥预置模块,用于生成2对公私钥,且将公私钥预置到认证平台、终端以及IC卡中;
所述双向认证模块,用于使用预制的公私钥对终端与IC卡进行双向认证,确定IC卡的合法性;
所述签名认证模块,用于终端请求认证平台对IC卡进行合法认证,同时生成IC卡的签名,并将签名发送到认证平台进行认证,且将认证结果返回给终端。
进一步地,所述公私钥预置模块具体为:
生成一对IC卡公私钥和一对终端公私钥,且将IC卡私钥预置到IC卡中,将IC卡公钥预置到认证平台中,将终端私钥预置到终端中,将终端公钥预置到IC卡中。
进一步地,所述双向认证模块具体为:
终端产生一个随机数一,且将随机数一发送给IC卡;IC卡读取出随机数一,且使用终端公钥对随机数一进行加密,同时IC卡产生一个随机数二,并将随机数二和加密的随机数一返回给终端;
终端使用终端私钥对加密的随机数一进行解密,并将解密出来的随机数一与终端产生的随机数一进行比对,如果比对结果不一致,则说明IC卡不合法,此时终止认证;如果比对结果一致,则说明IC卡合法,此时终端读取随机数二,使用终端私钥对随机数二进行加密,且将加密后的随机数二发送给IC卡;
IC卡使用终端公钥对加密的随机数二进行解密,并将解密出来的随机数二与IC卡产生的随机数二进行比对,且如果比对结果不一致,则终止认证;如果比对结果一致,则双向认证成功。
进一步地,所述双向认证模块进一步具体为:
终端产生一个16位的随机数一,同时获取16位的终端序列号,且将随机数一和终端序列号均发送给IC卡;IC卡读取出随机数一和终端序列号,并将随机数一与终端序列号进行异或运算后得到一个运算结果,且使用终端公钥对运算结果进行加密,同时IC卡产生一个随机数二,并将随机数二和加密的运算结果返回给终端;
终端使用终端私钥对加密的运算结果进行解密,且完成解密后,先将运算结果与终端序列号进行异或运算得到随机数一,然后将随机数一与终端产生的随机数一进行比对,如果比对结果不一致,则说明IC卡不合法,此时终止认证;如果比对结果一致,则说明IC卡合法,此时终端读取随机数二,使用终端私钥对随机数二进行加密,且将加密后的随机数二发送给IC卡;
IC卡使用终端公钥对加密的随机数二进行解密,并将解密出来的随机数二与IC卡产生的随机数二进行比对,且如果比对结果不一致,则终止认证;如果比对结果一致,则双向认证成功。
进一步地,所述签名认证模块具体为:
终端发送IC卡认证请求到认证平台,认证平台产生一个随机数三,且将随机数三发送给终端;终端取出随机数三,并获取终端序列号,之后将随机数三和终端序列号发送给IC卡;
IC卡取出随机数三和终端序列号,并获取IC卡信息,之后使用IC卡私钥对随机数三、终端序列号以及IC卡信息进行加密生成签名,且将签名返回给终端,由终端将签名发送到认证平台;
认证平台使用IC卡公钥对签名进行解密,并将解密出的随机数三与认证平台产生的随机数三进行比对,且如果比对结果不一致,则说明IC卡不合法,此时终止认证;如果比对结果一致,则将终端序列号和IC卡信息与认证平台上设置的黑白名单进行比对,且如果终端序列号和IC卡信息中有一个在黑名单中,则说明IC卡或终端不合法,此时终止认证;否则说明IC卡和终端合法,此时将认证通过结果返回给终端。
本发明具有如下优点:1、在终端采用通过读取管理员IC卡信息的方式,对管理员的身份进行有效性认证,可以有效避免出现管理员密码泄露问题的发生;2、同时还采用平台认证的方式,可以保证在IC卡丢失的情况下,能够通过平台挂失的方式来保证安全性;3、实施本发明后,可以提高终端的安全性,且降低终端维护的工作量。
附图说明
下面参照附图结合实施例对本发明作进一步的说明。
图1为本发明需要使用的硬件原理图。
图2为本发明一种终端管理员的认证方法的执行流程图。
图3为本发明一种终端管理员的认证系统的结构示意图。
具体实施方式
请参照图1和图2所示,一种终端管理员的认证方法,所述方法需提供一认证平台、一终端(如金融POS终端)以及一IC卡,且认证平台和IC卡均与终端进行交互;
所述方法包括:
步骤1、生成2对公私钥,且将公私钥预置到认证平台、终端以及IC卡中;
步骤2、使用预制的公私钥对终端与IC卡进行双向认证,确定IC卡的合法性;
步骤3、终端请求认证平台对IC卡进行合法认证,同时生成IC卡的签名,并将签名发送到认证平台进行认证,且将认证结果返回给终端。
其中,
所述步骤1具体为:
生成一对IC卡公私钥和一对终端公私钥,且将IC卡私钥预置到IC卡中,将IC卡公钥预置到认证平台中,将终端私钥预置到终端中,将终端公钥预置到IC卡中,以方便后续对IC卡进行合法认证。
所述步骤2具体为:
终端产生一个随机数一,且将随机数一发送给IC卡(同时终端本身也会记录随机数一,以实现比对);IC卡读取出随机数一,且使用终端公钥对随机数一进行加密,同时IC卡产生一个随机数二(IC卡本身也会记录随机数二,以实现比对),并将随机数二和加密的随机数一返回给终端;
终端使用终端私钥对加密的随机数一进行解密,并将解密出来的随机数一与终端产生的随机数一进行比对,如果比对结果不一致,则说明IC卡不合法,此时终止认证,即认定该管理员无效;如果比对结果一致,则说明IC卡合法,此时终端读取随机数二,使用终端私钥对随机数二进行加密,且将加密后的随机数二发送给IC卡;
IC卡使用终端公钥对加密的随机数二进行解密,并将解密出来的随机数二与IC卡产生的随机数二进行比对,且如果比对结果不一致,则终止认证,即认定该管理员无效;如果比对结果一致,则IC卡与终端的双向认证成功。
为了使数据更加分散,以进一步提高安全性,所述步骤2进一步具体为:
终端产生一个16位的随机数一,同时获取16位的终端序列号,且将随机数一和终端序列号均发送给IC卡;IC卡读取出随机数一和终端序列号,并将随机数一与终端序列号进行异或运算后得到一个运算结果,且使用终端公钥对运算结果进行加密,同时IC卡产生一个随机数二,并将随机数二和加密的运算结果返回给终端;
终端使用终端私钥对加密的运算结果进行解密,且完成解密后,先将运算结果与终端序列号进行异或运算得到随机数一,然后将随机数一与终端产生的随机数一进行比对,如果比对结果不一致,则说明IC卡不合法,此时终止认证,即认定该管理员无效;如果比对结果一致,则说明IC卡合法,此时终端读取随机数二,使用终端私钥对随机数二进行加密,且将加密后的随机数二发送给IC卡;
IC卡使用终端公钥对加密的随机数二进行解密,并将解密出来的随机数二与IC卡产生的随机数二进行比对,且如果比对结果不一致,则终止认证,即认定该管理员无效;如果比对结果一致,则双向认证成功。
所述步骤3具体为:
终端发送IC卡认证请求到认证平台,认证平台产生一个随机数三(认证平台本身也会记录随机数三,以实现比对),且将随机数三发送给终端;终端取出随机数三,并获取终端序列号,之后将随机数三和终端序列号发送给IC卡;
IC卡取出随机数三和终端序列号,并获取IC卡信息,之后使用IC卡私钥对随机数三、终端序列号以及IC卡信息进行加密生成签名,且将签名返回给终端,由终端将签名发送到认证平台,以通过认证平台对签名进行认证;
认证平台使用IC卡公钥对签名进行解密,并将解密出的随机数三与认证平台产生的随机数三进行比对,且如果比对结果不一致,则说明IC卡不合法,此时终止认证,即认定该管理员无效;如果比对结果一致,则将终端序列号和IC卡信息与认证平台上设置的黑白名单进行比对,且如果终端序列号和IC卡信息中有一个在黑名单中(例如IC卡信息在黑名单中),则说明IC卡或终端不合法,此时终止认证,即认定该管理员无效;否则说明IC卡和终端合法,此时将认证通过结果返回给终端,终端就会认定该管理员为有效管理员,并运行其进行相关操作。
请参照图1和图3所示,一种终端管理员的认证系统,所述系统需提供一认证平台、一终端以及一IC卡,且认证平台和IC卡均与终端进行交互;
所述系统包括公私钥预置模块、双向认证模块以及签名认证模块;
所述公私钥预置模块,用于生成2对公私钥,且将公私钥预置到认证平台、终端以及IC卡中;
所述双向认证模块,用于使用预制的公私钥对终端与IC卡进行双向认证,确定IC卡的合法性;
所述签名认证模块,用于终端请求认证平台对IC卡进行合法认证,同时生成IC卡的签名,并将签名发送到认证平台进行认证,且将认证结果返回给终端。
其中,
所述公私钥预置模块具体为:
生成一对IC卡公私钥和一对终端公私钥,且将IC卡私钥预置到IC卡中,将IC卡公钥预置到认证平台中,将终端私钥预置到终端中,将终端公钥预置到IC卡中,以方便后续对IC卡进行合法认证。
所述双向认证模块具体为:
终端产生一个随机数一,且将随机数一发送给IC卡(同时终端本身也会记录随机数一,以实现比对);IC卡读取出随机数一,且使用终端公钥对随机数一进行加密,同时IC卡产生一个随机数二(IC卡本身也会记录随机数二,以实现比对),并将随机数二和加密的随机数一返回给终端;
终端使用终端私钥对加密的随机数一进行解密,并将解密出来的随机数一与终端产生的随机数一进行比对,如果比对结果不一致,则说明IC卡不合法,此时终止认证,即认定该管理员无效;如果比对结果一致,则说明IC卡合法,此时终端读取随机数二,使用终端私钥对随机数二进行加密,且将加密后的随机数二发送给IC卡;
IC卡使用终端公钥对加密的随机数二进行解密,并将解密出来的随机数二与IC卡产生的随机数二进行比对,且如果比对结果不一致,则终止认证,即认定该管理员无效;如果比对结果一致,则IC卡与终端的双向认证成功。
为了使数据更加分散,以进一步提高安全性,所述双向认证模块进一步具体为:
终端产生一个16位的随机数一,同时获取16位的终端序列号,且将随机数一和终端序列号均发送给IC卡;IC卡读取出随机数一和终端序列号,并将随机数一与终端序列号进行异或运算后得到一个运算结果,且使用终端公钥对运算结果进行加密,同时IC卡产生一个随机数二,并将随机数二和加密的运算结果返回给终端;
终端使用终端私钥对加密的运算结果进行解密,且完成解密后,先将运算结果与终端序列号进行异或运算得到随机数一,然后将随机数一与终端产生的随机数一进行比对,如果比对结果不一致,则说明IC卡不合法,此时终止认证,即认定该管理员无效;如果比对结果一致,则说明IC卡合法,此时终端读取随机数二,使用终端私钥对随机数二进行加密,且将加密后的随机数二发送给IC卡;
IC卡使用终端公钥对加密的随机数二进行解密,并将解密出来的随机数二与IC卡产生的随机数二进行比对,且如果比对结果不一致,则终止认证,即认定该管理员无效;如果比对结果一致,则双向认证成功。
所述签名认证模块具体为:
终端发送IC卡认证请求到认证平台,认证平台产生一个随机数三(认证平台本身也会记录随机数三,以实现比对),且将随机数三发送给终端;终端取出随机数三,并获取终端序列号,之后将随机数三和终端序列号发送给IC卡;
IC卡取出随机数三和终端序列号,并获取IC卡信息,之后使用IC卡私钥对随机数三、终端序列号以及IC卡信息进行加密生成签名,且将签名返回给终端,由终端将签名发送到认证平台,以通过认证平台对签名进行认证;
认证平台使用IC卡公钥对签名进行解密,并将解密出的随机数三与认证平台产生的随机数三进行比对,且如果比对结果不一致,则说明IC卡不合法,此时终止认证,即认定该管理员无效;如果比对结果一致,则将终端序列号和IC卡信息与认证平台上设置的黑白名单进行比对,且如果终端序列号和IC卡信息中有一个在黑名单中(例如IC卡信息在黑名单中),则说明IC卡或终端不合法,此时终止认证,即认定该管理员无效;否则说明IC卡和终端合法,此时将认证通过结果返回给终端,终端就会认定该管理员为有效管理员,并运行其进行相关操作。
总之,本发明具有如下优点:1、在终端采用通过读取管理员IC卡信息的方式,对管理员的身份进行有效性认证,可以有效避免出现管理员密码泄露问题的发生;2、同时还采用平台认证的方式,可以保证在IC卡丢失的情况下,能够通过平台挂失的方式来保证安全性;3、实施本发明后,可以提高终端的安全性,且降低终端维护的工作量。
虽然以上描述了本发明的具体实施方式,但是熟悉本技术领域的技术人员应当理解,我们所描述的具体的实施例只是说明性的,而不是用于对本发明的范围的限定,熟悉本领域的技术人员在依照本发明的精神所作的等效的修饰以及变化,都应当涵盖在本发明的权利要求所保护的范围内。
Claims (6)
1.一种终端管理员的认证方法,其特征在于:所述方法需提供一认证平台、一终端以及一IC卡,且认证平台和IC卡均与终端进行交互;
所述方法包括:
步骤1、生成一对IC卡公私钥和一对终端公私钥,且将IC卡私钥预置到IC卡中,将IC卡公钥预置到认证平台中,将终端私钥预置到终端中,将终端公钥预置到IC卡中;
步骤2、终端产生一个随机数一,且将随机数一发送给IC卡;IC卡读取出随机数一,且使用终端公钥对随机数一进行加密,同时IC卡产生一个随机数二,并将随机数二和加密的随机数一返回给终端;
终端使用终端私钥对加密的随机数一进行解密,并将解密出来的随机数一与终端产生的随机数一进行比对,如果比对结果不一致,则说明IC卡不合法,此时终止认证;如果比对结果一致,则说明IC卡合法,此时终端读取随机数二,使用终端私钥对随机数二进行加密,且将加密后的随机数二发送给IC卡;
IC卡使用终端公钥对加密的随机数二进行解密,并将解密出来的随机数二与IC卡产生的随机数二进行比对,且如果比对结果不一致,则终止认证;如果比对结果一致,则双向认证成功;
步骤3、终端请求认证平台对IC卡进行合法认证,同时生成IC卡的签名,并将签名发送到认证平台进行认证,且将认证结果返回给终端。
2.根据权利要求1所述的一种终端管理员的认证方法,其特征在于:所述步骤2进一步具体为:
终端产生一个16位的随机数一,同时获取16位的终端序列号,且将随机数一和终端序列号均发送给IC卡;IC卡读取出随机数一和终端序列号,并将随机数一与终端序列号进行异或运算后得到一个运算结果,且使用终端公钥对运算结果进行加密,同时IC卡产生一个随机数二,并将随机数二和加密的运算结果返回给终端;
终端使用终端私钥对加密的运算结果进行解密,且完成解密后,先将运算结果与终端序列号进行异或运算得到随机数一,然后将随机数一与终端产生的随机数一进行比对,如果比对结果不一致,则说明IC卡不合法,此时终止认证;如果比对结果一致,则说明IC卡合法,此时终端读取随机数二,使用终端私钥对随机数二进行加密,且将加密后的随机数二发送给IC卡;
IC卡使用终端公钥对加密的随机数二进行解密,并将解密出来的随机数二与IC卡产生的随机数二进行比对,且如果比对结果不一致,则终止认证;如果比对结果一致,则双向认证成功。
3.根据权利要求1所述的一种终端管理员的认证方法,其特征在于:所述步骤3具体为:
终端发送IC卡认证请求到认证平台,认证平台产生一个随机数三,且将随机数三发送给终端;终端取出随机数三,并获取终端序列号,之后将随机数三和终端序列号发送给IC卡;
IC卡取出随机数三和终端序列号,并获取IC卡信息,之后使用IC卡私钥对随机数三、终端序列号以及IC卡信息进行加密生成签名,且将签名返回给终端,由终端将签名发送到认证平台;
认证平台使用IC卡公钥对签名进行解密,并将解密出的随机数三与认证平台产生的随机数三进行比对,且如果比对结果不一致,则说明IC卡不合法,此时终止认证;如果比对结果一致,则将终端序列号和IC卡信息与认证平台上设置的黑白名单进行比对,且如果终端序列号和IC卡信息中有一个在黑名单中,则说明IC卡或终端不合法,此时终止认证;否则说明IC卡和终端合法,此时将认证通过结果返回给终端。
4.一种终端管理员的认证系统,其特征在于:所述系统需提供一认证平台、一终端以及一IC卡,且认证平台和IC卡均与终端进行交互;
所述系统包括公私钥预置模块、双向认证模块以及签名认证模块;
所述公私钥预置模块,用于生成一对IC卡公私钥和一对终端公私钥,且将IC卡私钥预置到IC卡中,将IC卡公钥预置到认证平台中,将终端私钥预置到终端中,将终端公钥预置到IC卡中;
所述双向认证模块,用于终端产生一个随机数一,且将随机数一发送给IC卡;IC卡读取出随机数一,且使用终端公钥对随机数一进行加密,同时IC卡产生一个随机数二,并将随机数二和加密的随机数一返回给终端;
终端使用终端私钥对加密的随机数一进行解密,并将解密出来的随机数一与终端产生的随机数一进行比对,如果比对结果不一致,则说明IC卡不合法,此时终止认证;如果比对结果一致,则说明IC卡合法,此时终端读取随机数二,使用终端私钥对随机数二进行加密,且将加密后的随机数二发送给IC卡;
IC卡使用终端公钥对加密的随机数二进行解密,并将解密出来的随机数二与IC卡产生的随机数二进行比对,且如果比对结果不一致,则终止认证;如果比对结果一致,则双向认证成功;
所述签名认证模块,用于终端请求认证平台对IC卡进行合法认证,同时生成IC卡的签名,并将签名发送到认证平台进行认证,且将认证结果返回给终端。
5.根据权利要求4所述的一种终端管理员的认证系统,其特征在于:所述双向认证模块进一步具体为:
终端产生一个16位的随机数一,同时获取16位的终端序列号,且将随机数一和终端序列号均发送给IC卡;IC卡读取出随机数一和终端序列号,并将随机数一与终端序列号进行异或运算后得到一个运算结果,且使用终端公钥对运算结果进行加密,同时IC卡产生一个随机数二,并将随机数二和加密的运算结果返回给终端;
终端使用终端私钥对加密的运算结果进行解密,且完成解密后,先将运算结果与终端序列号进行异或运算得到随机数一,然后将随机数一与终端产生的随机数一进行比对,如果比对结果不一致,则说明IC卡不合法,此时终止认证;如果比对结果一致,则说明IC卡合法,此时终端读取随机数二,使用终端私钥对随机数二进行加密,且将加密后的随机数二发送给IC卡;
IC卡使用终端公钥对加密的随机数二进行解密,并将解密出来的随机数二与IC卡产生的随机数二进行比对,且如果比对结果不一致,则终止认证;如果比对结果一致,则双向认证成功。
6.根据权利要求4所述的一种终端管理员的认证系统,其特征在于:所述签名认证模块具体为:
终端发送IC卡认证请求到认证平台,认证平台产生一个随机数三,且将随机数三发送给终端;终端取出随机数三,并获取终端序列号,之后将随机数三和终端序列号发送给IC卡;
IC卡取出随机数三和终端序列号,并获取IC卡信息,之后使用IC卡私钥对随机数三、终端序列号以及IC卡信息进行加密生成签名,且将签名返回给终端,由终端将签名发送到认证平台;
认证平台使用IC卡公钥对签名进行解密,并将解密出的随机数三与认证平台产生的随机数三进行比对,且如果比对结果不一致,则说明IC卡不合法,此时终止认证;如果比对结果一致,则将终端序列号和IC卡信息与认证平台上设置的黑白名单进行比对,且如果终端序列号和IC卡信息中有一个在黑名单中,则说明IC卡或终端不合法,此时终止认证;否则说明IC卡和终端合法,此时将认证通过结果返回给终端。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710086181.8A CN106953731B (zh) | 2017-02-17 | 2017-02-17 | 一种终端管理员的认证方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710086181.8A CN106953731B (zh) | 2017-02-17 | 2017-02-17 | 一种终端管理员的认证方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN106953731A CN106953731A (zh) | 2017-07-14 |
CN106953731B true CN106953731B (zh) | 2020-05-12 |
Family
ID=59467626
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710086181.8A Active CN106953731B (zh) | 2017-02-17 | 2017-02-17 | 一种终端管理员的认证方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN106953731B (zh) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107820136A (zh) * | 2017-11-17 | 2018-03-20 | 哈尔滨工大服务机器人有限公司 | 一种基于p2p的视频传输方法及系统 |
CN110460562A (zh) * | 2018-05-08 | 2019-11-15 | 无锡酷银科技有限公司 | 一种pos终端远程激活方法及系统 |
CN109977295A (zh) * | 2019-04-11 | 2019-07-05 | 北京安护环宇科技有限公司 | 一种黑白名单匹配方法及装置 |
CN111211906B (zh) * | 2019-12-20 | 2023-09-26 | 福建魔方电子科技有限公司 | 实现终端设备一机一密的方法、系统、装置、设备和介质 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103501191A (zh) * | 2013-08-21 | 2014-01-08 | 王越 | 一种基于nfc近场通信技术的移动支付装置及其方法 |
CN103746800A (zh) * | 2013-03-15 | 2014-04-23 | 福建联迪商用设备有限公司 | 一种终端主密钥tmk安全下载方法及系统 |
-
2017
- 2017-02-17 CN CN201710086181.8A patent/CN106953731B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103746800A (zh) * | 2013-03-15 | 2014-04-23 | 福建联迪商用设备有限公司 | 一种终端主密钥tmk安全下载方法及系统 |
CN103501191A (zh) * | 2013-08-21 | 2014-01-08 | 王越 | 一种基于nfc近场通信技术的移动支付装置及其方法 |
Also Published As
Publication number | Publication date |
---|---|
CN106953731A (zh) | 2017-07-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN105850073B (zh) | 信息系统访问认证方法及装置 | |
CN108965230B (zh) | 一种安全通信方法、系统及终端设备 | |
CN110324276B (zh) | 一种登录应用的方法、系统、终端和电子设备 | |
CN106330850B (zh) | 一种基于生物特征的安全校验方法及客户端、服务器 | |
WO2018050081A1 (zh) | 设备身份认证的方法、装置、电子设备及存储介质 | |
CN108684041B (zh) | 登录认证的系统和方法 | |
CN109005155B (zh) | 身份认证方法及装置 | |
WO2019020051A1 (zh) | 一种安全认证的方法及装置 | |
US11544365B2 (en) | Authentication system using a visual representation of an authentication challenge | |
US20160125180A1 (en) | Near Field Communication Authentication Mechanism | |
CN110990827A (zh) | 一种身份信息验证方法、服务器及存储介质 | |
CN106953731B (zh) | 一种终端管理员的认证方法及系统 | |
CN107733636B (zh) | 认证方法以及认证系统 | |
WO2015188424A1 (zh) | 一种密钥存储设备及其使用方法 | |
CN109672675A (zh) | 一种基于OAuth2.0的密码服务中间件的WEB认证方法 | |
CN111800377B (zh) | 一种基于安全多方计算的移动终端身份认证系统 | |
CN103701787A (zh) | 一种基于公开密钥算法实现的用户名口令认证方法 | |
CN106656955A (zh) | 一种通信方法及系统、客户端 | |
KR102012262B1 (ko) | 키 관리 방법 및 fido 소프트웨어 인증장치 | |
CN113312664A (zh) | 用户数据授权方法及用户数据授权系统 | |
CN105323063A (zh) | 基于二维码的移动终端与固定智能终端的身份验证方法 | |
WO2015109958A1 (zh) | 一种基于协商密钥的数据处理方法和手机 | |
CN110929231A (zh) | 数字资产的授权方法、装置和服务器 | |
CN104901967A (zh) | 信任设备的注册方法 | |
CN113727059B (zh) | 多媒体会议终端入网认证方法、装置、设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |