CN108075887A - 用于cpu卡加密认证的方法、云平台、用户设备和系统 - Google Patents

用于cpu卡加密认证的方法、云平台、用户设备和系统 Download PDF

Info

Publication number
CN108075887A
CN108075887A CN201611021074.9A CN201611021074A CN108075887A CN 108075887 A CN108075887 A CN 108075887A CN 201611021074 A CN201611021074 A CN 201611021074A CN 108075887 A CN108075887 A CN 108075887A
Authority
CN
China
Prior art keywords
information
cloud platform
mac
cpu card
sent
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201611021074.9A
Other languages
English (en)
Inventor
范小雨
穆青
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
BEIJING WEISEN TECHNOLOGY Co Ltd
Original Assignee
BEIJING WEISEN TECHNOLOGY Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by BEIJING WEISEN TECHNOLOGY Co Ltd filed Critical BEIJING WEISEN TECHNOLOGY Co Ltd
Priority to CN201611021074.9A priority Critical patent/CN108075887A/zh
Publication of CN108075887A publication Critical patent/CN108075887A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1097Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0877Generation of secret information including derivation or calculation of cryptographic keys or passwords using additional device, e.g. trusted platform module [TPM], smartcard, USB or hardware security module [HSM]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开了一种用于CPU卡加密认证的方法、云平台、用户设备和系统,涉及通信安全领域。该方法包括:云平台将接收到的CPU卡的第一信息生成第一加密信息,并将第一加密信息发送至用户设备,以便用户设备对CPU卡的相关目录进行外部认证;将接收到的CPU卡的第二信息生成安全报文鉴别码MAC读取命令,并将MAC读取命令发送至用户设备,以便用户设备根据MAC读取命令读取CPU卡相关目录下的加密数据信息;接收到用户设备发送的加密数据信息后根据MAC认证密钥对加密数据信息进行解密,能够提高CPU卡加密认证的安全性。另外,本发明直接采用云平台来完成加密认证,用户无需携带PSAM卡,省去了PSAM卡损坏丢失等风险。

Description

用于CPU卡加密认证的方法、云平台、用户设备和系统
技术领域
本发明涉及通信安全领域,尤其涉及一种用于CPU卡加密认证的方法、云平台、用户设备和系统。
背景技术
CPU卡因其安全性相对于普通IC卡提高很多,已经被广泛应用于金融、保险、交通、政府行业等多个领域,具有用户空间大、读取速度快、支持一卡多用等特点,并已经通过中国人民银行和国家商秘委的认证;CPU卡内含有随机数发生器,硬件DES(Data EncryptionStandard,数据加密标准),3DES(Triple DES,三重数据加密算法)等,配合片上OS(Operating System,操作系统),可以达到金融级别的安全等级。CPU卡尤其是在金融交易和身份识别上的应用已经逐步代替了传统方法,成为了主流的应用技术。
传统的CPU卡完成身份认证的方式主要是通过对加密信息的目录进行外部认证来完成的加密信息的读取或修改,从而实现身份认证和识别。传统的CPU卡加密认证方式如图1所示,CPU卡认证必须需要用到PSAM卡,PSAM卡是一种具有特殊性能的CPU卡,主要用于存放密钥和加密算法,可完成交易中的密码验证和加密、相互认证、解密运算,主要用作身份标志。PSAM可用于各种端末设备上,负责安全控管。
CPU卡加密算法和随机数发生器与安装在读写设备中的密钥认证卡(PSAM卡)相互发送认证的随机数,可以实现以下功能:
(1)通过终端设备上PSAM卡实现对卡的认证。
(2)非接触CPU卡与终端设备上的PSAM卡的相互认证,实现对卡终端的认证。
(3)通过PSAM卡对非接触CPU卡进行数据读取操作,实现数据读取的安全性。
(4)在终端设备与非接触CPU卡中传输的数据是加密传输。
(5)通过对非接触CPU卡发送给SAM卡的随机数MAC1,PSAM卡发送给非接触CPU的随机数MAC2和由非接触CPU卡返回的随机数TAC,可以实现数据传输验证的计算。而MAC1、MAC2和TAC就是同一张非接触CPU卡每次传输的过程中都是不同的,因此无法使用空中接收的办法来破解非接触CPU卡的密钥。
但现有技术有很多弊端,例如依赖于硬件介质PSAM卡,需要对PSAM卡进行妥善保管,PSAM卡及读卡器可能会出现丢失或被盗用的情况,且硬件介质存在损坏的可能等,这无疑增加了安全认证中的风险。
发明内容
本发明要解决的一个技术问题是提供一种用于CPU卡加密认证的方法、云平台、用户设备和系统能够提高CPU卡加密认证的安全性。
根据本发明一方面,提出一种用于CPU卡加密认证的方法,包括:将接收到的CPU卡的第一信息生成第一加密信息,并将第一加密信息发送至用户设备,以便用户设备对CPU卡的相关目录进行外部认证;将接收到的CPU卡的第二信息生成安全报文鉴别码MAC读取命令,并将MAC读取命令发送至用户设备,以便用户设备根据MAC读取命令读取CPU卡相关目录下的加密数据信息;接收到用户设备发送的加密数据信息后根据MAC认证密钥对加密数据信息进行解密。
进一步地,将接收到的CPU卡的第一信息生成第一加密信息,并将第一加密信息发送至用户设备包括:接收用户设备发送的CPU卡的相关目录外部认证随机数和用户标识;根据用户标识生成外部认证密钥,并通过外部认证密钥加密外部认证随机数;将加密后的外部认证随机数发送至用户设备。
进一步地,将接收到的CPU卡的第二信息生成MAC读取命令包括:接收用户设备发送的CPU卡的MAC数据随机数;根据MAC数据随机数生成MAC认证密钥和MAC读取命令。
进一步地,还包括:接收用户设备的MAC地址和授权数据,以便对用户设备进行认证。
根据本发明的另一方面,还提出一种用于CPU卡加密认证的方法,包括:将CPU卡的第一信息发送至云平台,以便云平台根据第一信息生成第一加密信息;接收云平台发送的第一加密信息,根据第一加密信息对CPU卡的相关目录进行外部认证;将CPU卡的第二信息发送至云平台,以便云平台根据第二信息生成MAC读取命令;接收云平台发送的MAC读取命令,根据MAC读取命令读取CPU卡相关目录下的加密数据信息;将加密数据信息发送至云平台,以便云平台根据MAC认证密钥对加密数据信息进行解密。
进一步地,将CPU卡的第一信息发送至云平台,以便云平台根据第一信息生成第一加密信息;接收云平台发送的第一加密信息,根据第一加密信息对CPU卡的相关目录进行外部认证包括:将CPU卡的相关目录外部认证随机数和用户标识发送至云平台,以便云平台根据用户标识生成外部认证密钥,并通过外部认证密钥加密外部认证随机数;接收云平台发送的加密后的外部认证随机数,以便对CPU卡的相关目录进行外部认证。
进一步地,将CPU卡的第二信息发送至云平台,以便云平台根据第二信息生成MAC读取命令包括:将CPU卡的MAC数据随机数发送至云平台,以便云平台根据MAC数据随机数生成MAC认证密钥和MAC读取命令。
进一步地,还包括:将自身的MAC地址和授权数据发送至云平台,以便云平台进行认证。
根据本发明的另一方面,还提出一种用于CPU卡加密认证的云平台,包括:第一信息加密单元,用于将接收到的CPU卡的第一信息生成第一加密信息;第一加密信息发送单元,用于将第一加密信息发送至用户设备,以便用户设备对CPU卡的相关目录进行外部认证;MAC读取命令生成单元,用于将接收到的CPU卡的第二信息生成安全报文鉴别码MAC读取命令;MAC读取命令发送单元,用于将MAC读取命令发送至用户设备,以便用户设备根据MAC读取命令读取CPU卡相关目录下的加密数据信息;加密数据信息解密单元,用于接收到用户设备发送的加密数据信息后根据MAC认证密钥对加密数据信息进行解密。
进一步地,还包括第一信息接收单元;第一信息接收单元用于接收用户设备发送的CPU卡的相关目录外部认证随机数和用户标识;第一信息加密单元用于根据用户标识生成外部认证密钥,并通过外部认证密钥加密外部认证随机数;第一加密信息发送单元用于将加密后的外部认证随机数发送至用户设备。
进一步地,还包括第二信息接收单元;第二信息接收单元用于接收用户设备发送的CPU卡的MAC数据随机数;MAC读取命令生成单元用于根据MAC数据随机数生成MAC认证密钥和MAC读取命令。
进一步地,还包括用户设备认证单元;用户设备认证单元用于接收用户设备的MAC地址和授权数据后对用户设备进行认证。
根据本发明的另一方面,还提出一种用于CPU卡加密认证的用户设备,包括第一模块和第二模块;第一模块用于将CPU卡的第一信息通过第二模块发送至云平台,以便云平台根据第一信息生成第一加密信息;还用于接收云平台通过第二模块发送的第一加密信息,根据第一加密信息对CPU卡的相关目录进行外部认证;还用于将CPU卡的第二信息通过第二模块发送至云平台,以便云平台根据第二信息生成MAC读取命令;还用于接收云平台通过第二模块发送的MAC读取命令,根据MAC读取命令读取CPU卡相关目录下的加密数据信息;还用于将加密数据信息通过第二模块发送至云平台,以便云平台根据MAC认证密钥对加密数据信息进行解密;第二模块用于转发第一模块发送的信息以及显示加密数据信息内容。
进一步地,第一模块还用于将CPU卡的相关目录外部认证随机数和用户标识通过第二模块发送至云平台,以便云平台根据用户标识生成外部认证密钥,并通过外部认证密钥加密外部认证随机数;第一模块还用于接收云平台通过第二模块发送的加密后的外部认证随机数,以便对CPU卡的相关目录进行外部认证。
进一步地,第一模块还用于将CPU卡的MAC数据随机数通过第二模块发送至云平台,以便云平台根据MAC数据随机数生成MAC认证密钥和MAC读取命令;第一模块还用于接收云平台通过第二模块发送的MAC读取命令,根据MAC读取命令读取CPU卡相关目录下的加密数据信息。
进一步地,第一模块还用于将自身的MAC地址和授权数据通过第二模块发送至云平台,以便云平台对第一模块进行认证。
进一步地,第一模块为读卡装置,第二模块为移动终端。
根据本发明的另一方面,还提出一种用于CPU卡加密认证的系统,包括上述的云平台和上述的用户设备。
与现有技术相比,本发明云平台将接收到的CPU卡的第一信息生成第一加密信息,并将第一加密信息发送至用户设备,以便用户设备对CPU卡的相关目录进行外部认证;将接收到的CPU卡的第二信息生成安全报文鉴别码MAC读取命令,并将MAC读取命令发送至用户设备,以便用户设备根据MAC读取命令读取CPU卡相关目录下的加密数据信息;接收到用户设备发送的加密数据信息后根据MAC认证密钥对加密数据信息进行解密,能够提高CPU卡加密认证的安全性,另外,该实施例省去了PSAM卡用来做母卡的加密认证方式,直接采用云平台来完成加密认证,用户无需携带PSAM卡,省去了PSAM卡损坏丢失等风险。
通过以下参照附图对本发明的示例性实施例的详细描述,本发明的其它特征及其优点将会变得清楚。
附图说明
构成说明书的一部分的附图描述了本发明的实施例,并且连同说明书一起用于解释本发明的原理。
参照附图,根据下面的详细描述,可以更加清楚地理解本发明,其中:
图1为现有技术中CPU卡加密认证的流程示意图。
图2为本发明用于CPU卡加密认证的方法的一个实施例的流程示意图。
图3为本发明用于CPU卡加密认证的方法的另一个实施例的流程示意图。
图4为本发明用于CPU卡加密认证的方法的再一个实施例的流程示意图。
图5为本发明用于CPU卡加密认证的方法的又一个实施例的流程示意图。
图6为本发明用于CPU卡加密认证的方法的又一个实施例的流程示意图。
图7为本发明用于CPU卡加密认证的云平台的一个实施例的结构示意图。
图8为本发明用于CPU卡加密认证的云平台的再一个实施例的结构示意图。
图9为本发明用于CPU卡加密认证的用户设备的一个实施例的结构示意图。
图10为本发明用于CPU卡加密认证的系统的一个实施例的结构示意图。
图11为本发明用于CPU卡加密认证的系统的一个实施例的结构示意图。
具体实施方式
现在将参照附图来详细描述本发明的各种示例性实施例。应注意到:除非另外具体说明,否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本发明的范围。
同时,应当明白,为了便于描述,附图中所示出的各个部分的尺寸并不是按照实际的比例关系绘制的。
以下对至少一个示例性实施例的描述实际上仅仅是说明性的,决不作为对本发明及其应用或使用的任何限制。
对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论,但在适当情况下,所述技术、方法和设备应当被视为授权说明书的一部分。
在这里示出和讨论的所有示例中,任何具体值应被解释为仅仅是示例性的,而不是作为限制。因此,示例性实施例的其它示例可以具有不同的值。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步讨论。
为使本发明的目的、技术方案和优点更加清楚明白,以下结合具体实施例,并参照附图,对本发明进一步详细说明。
图2为本发明用于CPU卡加密认证的方法的一个实施例的流程示意图。该实施例由云平台执行,包括以下步骤:
在步骤210,将接收到的CPU卡的第一信息生成第一加密信息。例如,接收到用户设备发送的CPU卡的相关目录外部认证随机数和UID(User Identification,用户标识)后,根据用户标识生成外部认证密钥,并通过外部认证密钥加密外部认证随机数,其中该用户设备可以为具有NFC(Near Field Communication,近距离无线通信技术)功能的移动终端,也可以为读卡装置和移动终端。
在步骤220,将第一加密信息发送至用户设备,以便用户设备对CPU卡的相关目录进行外部认证。例如,将加密后的外部认证随机数发送至用户设备,由用户设备使用该加密后的外部认证随机数完成CPU卡的相关目录外部认证。
在步骤230,将接收到的CPU卡的第二信息生成MAC(Message AuthenticationCode,安全报文鉴别码)读取命令。例如接收到用户设备发送的CPU卡的MAC数据随机数后,根据MAC数据随机数生成MAC认证密钥和MAC读取命令。
在步骤240,将MAC读取命令发送至用户设备,以便用户设备根据MAC读取命令读取CPU卡相关目录下的加密数据信息。
在步骤250,接收到用户设备发送的加密数据信息后根据MAC认证密钥对加密数据信息进行解密。用户设备将CPU卡相关目录下的加密数据信息发送至云平台,云平台根据MAC认证密钥对加密数据信息解密后,才对数据的实际内容通过RSA非对称解密,云平台可以将解密后的数据发送至用户设备进行显示。
在该实施例中,云平台将接收到的CPU卡的第一信息生成第一加密信息,并将第一加密信息发送至用户设备,以便用户设备对CPU卡的相关目录进行外部认证;将接收到的CPU卡的第二信息生成安全报文鉴别码MAC读取命令,并将MAC读取命令发送至用户设备,以便用户设备根据MAC读取命令读取CPU卡相关目录下的加密数据信息;接收到用户设备发送的加密数据信息后根据MAC认证密钥对加密数据信息进行解密,能够提高CPU卡加密认证的安全性,另外,该实施例省去了PSAM卡用来做母卡的加密认证方式,直接采用云平台来完成加密认证,用户无需携带PSAM卡,省去了PSAM卡损坏丢失等风险。
图3为本发明用于CPU卡加密认证的方法的另一个实施例的流程示意图。该方法包括以下步骤:
在步骤310,云平台接收用户设备的MAC地址和授权数据,以便对用户设备进行认证。该用户设备可以包括读卡装置和移动终端,当用户在移动终端登陆账号和密码后,云平台可以对移动终端认证;移动终端与读卡装置配对后,移动终端可以读取读卡装置的MAC地址和授权数据,并将该MAC地址和授权数据发送至云平台,云平台可以认证读卡装置的合法性。如果该用户设备为具有NFC功能的移动终端,则可以仅对移动终端进行认证。
在步骤320,云平台接收用户设备发送的CPU卡的相关目录外部认证随机数和用户标识。
在步骤330,云平台根据用户标识生成外部认证密钥,并通过外部认证密钥加密外部认证随机数。
在步骤340,云平台将将加密后的外部认证随机数发送至用户设备,以便用户设备对CPU卡的相关目录进行外部认证。
在步骤350,云平台接收用户设备发送的CPU卡的MAC数据随机数。
在步骤360,云平台根据MAC数据随机数生成MAC认证密钥和MAC读取命令。
在步骤370,云平台将MAC读取命令发送至用户设备,以便用户设备根据MAC读取命令读取CPU卡相关目录下的加密数据信息。
在步骤380,云平台接收用户设备发送的加密数据信息后根据MAC认证密钥对加密数据信息进行解密。云平台根据MAC认证密钥对加密数据信息解密后,才通过RSA非对称解密出实际数据内容,云平台可以将解密后的数据发送至用户设备进行显示。
在步骤390,云平台将解密后的CPU的信息发送至用户设备进行显示。
在该实施例中,省去了PSAM卡用来做母卡的加密认证方式,直接采用云平台来完成加密认证,用户无需携带PSAM卡,省去了PSAM卡损坏丢失等风险;另外,由于采用云平台来认证CPU卡,云平台数据存储空间大,可以在发卡的时候对卡片目录的实际内容采用RSA非对称加密,认证时可以从平台数据库获取密钥采用RSA非对称解密对数据内容进行解密,非对称加解密,数据的安全性更高;再者,密钥直接由云平台来管理,可以随时更新和作废已发行的CPU卡片,维护更方便安全。
图4为本发明用于CPU卡加密认证的方法的再一个实施例的流程示意图。该实施例由用户设备执行,包括以下步骤:
在步骤410,将CPU卡的第一信息发送至云平台,以便云平台根据第一信息生成第一加密信息。例如,用户设备将CPU卡的相关目录外部认证随机数和用户标识发送至云平台,云平台根据用户标识生成外部认证密钥,并通过外部认证密钥加密外部认证随机数。
在步骤420,接收云平台发送的第一加密信息,根据第一加密信息对CPU卡的相关目录进行外部认证。例如,用户设备接收云平台发送的加密后的外部认证随机数,对CPU卡的相关目录进行外部认证。
在步骤430,将CPU卡的第二信息发送至云平台,以便云平台根据第二信息生成MAC读取命令。例如,用户设备将CPU卡的MAC数据随机数发送至云平台,云平台根据MAC数据随机数生成MAC认证密钥和MAC读取命令。
在步骤440,接收云平台发送的MAC读取命令,根据MAC读取命令读取CPU卡相关目录下的加密数据信息。
在步骤450,将加密数据信息发送至云平台,以便云平台根据MAC认证密钥对加密数据信息进行解密。云平台根据MAC认证密钥对加密数据信息解密后,才通过RSA非对称解密出实际数据内容,云平台可以将解密后的数据发送至用户设备进行显示。
在该实施例中,用户设备将CPU卡的第一信息发送至云平台,以便云平台根据第一信息生成第一加密信息;接收云平台发送的第一加密信息,根据第一加密信息对CPU卡的相关目录进行外部认证;将CPU卡的第二信息发送至云平台,以便云平台根据第二信息生成MAC读取命令;接收云平台发送的MAC读取命令,根据MAC读取命令读取CPU卡相关目录下的加密数据信息;将加密数据信息发送至云平台,以便云平台根据MAC认证密钥对加密数据信息进行解密,能够提升CPU卡加密认证的安全性;另外,直接采用云平台来完成加密认证,无需携带PSAM卡,省去了PSAM卡损坏丢失等风险;结合智能终端来使用,无需额外增加PC等显示终端,还能够减少设备体积,应用更加方便快捷。
图5为本发明用于CPU卡加密认证的方法的又一个实施例的流程示意图。该方法包括以下步骤:
在步骤510,用户设备将自身的MAC地址和授权数据发送至云平台,以便在云平台进行认证。该用户设备可以包括读卡装置和移动终端,当用户在移动终端登陆账号和密码后,云平台可以对移动终端认证;移动终端与读卡装置配对后,移动终端可以读取读卡装置的MAC地址和授权数据,并将该MAC地址和授权数据发送至云平台,云平台可以认定读卡装置的合法性。如果该用户设备为具有NFC功能的移动终端,则可以仅对移动终端进行认证。
在步骤520,用户设备将CPU卡的相关目录外部认证随机数和用户标识发送至云平台,以便云平台根据用户标识生成外部认证密钥,并通过外部认证密钥加密外部认证随机数。
在步骤530,用户设备接收云平台发送的加密后的外部认证随机数,以便对CPU卡的相关目录进行外部认证。
在步骤540,用户设备将CPU卡的MAC数据随机数发送至云平台,以便云平台根据MAC数据随机数生成MAC认证密钥和MAC读取命令。
在步骤550,用户设备接收云平台发送的MAC读取命令,根据MAC读取命令读取CPU卡相关目录下的加密数据信息。
在步骤560,将加密数据信息发送至云平台,以便云平台根据MAC认证密钥对加密数据信息进行解密。云平台根据MAC认证密钥对加密数据信息解密后,才通过RSA非对称解密出实际数据内容。
在步骤570,用户设备接收云平台发送的CPU卡解密后的信息,并对信息进行显示。
在该实施例中,在当前移动互联网的快速发展和智能手机的广泛应用的背景下,采用智能手机等用户设备作为介质,将密钥管理由传统的PSAM卡配合硬件的方式转移到云平台虚拟介质来完成密钥管理和认证,可有效的消除传统方式带来的不足之处。
在上述实施例中,已经介绍用户设备可以包括读卡装置和移动终端,也可以将读卡装置集成到移动终端中,图6为以用户设备包括读卡装置和移动终端为例对本发明的CPU卡加密认证流程进行介绍。
用户打开移动终端管理软件和3G、4G、WIFI上网功能,输入管理帐号和密码,系统会自动提示打开蓝牙BLE功能,打开读卡装置电源开关,管理软件会自动查找读卡装置,选择系统找到的读卡装置进行配对,完成配对后,可以直接用读卡装置读卡,即可自动完成CPU卡、读卡装置、移动终端和云平台之间的交互过程。
在步骤610,用户在移动终端登陆账号、密码,由平台进行认证。
在步骤620,移动终端与读卡装置配对,读取读卡装置的MAC地址和授权数据,并将读卡装置的MAC地址和授权数据发送至云平台,由云平台认证读卡装置的合法性。
在步骤630,读卡装置读取CPU卡的相关目录外部认证随机数R1和用户标识UID,并通过BLE(Bluetooth Low Energy,低功耗蓝牙)发送至移动终端,移动终端将信息发送至云平台。
在步骤640,云平台根据用户标识UID,从密钥库生成外部认证密钥k1,并通过外部认证密钥k1加密外部认证随机数R1生成加密的外部认证随机数k1(R1)。
在步骤650,读卡装置通过移动终端接收云平台发送的加密后的外部认证随机数k1(R1)。
在步骤652,读卡装置使用此k1(R1)对CPU卡的相关目录进行外部认证。
在步骤660,读卡装置获取CPU卡的MAC数据随机数R2,并通过移动终端发送至云平台。
在步骤662,云平台根据MAC数据随机数R2生成MAC认证密钥k2和MAC读取命令C。
在步骤670,云平台通过移动终端向读卡装置发送MAC读取命令C。
在步骤672,读卡装置通过MAC读取命令C读取CPU卡相关目录下的加密数据信息E(data)。
在步骤680,读卡装置通过移动终端将加密数据信息E(data)发送至云平台。
在步骤682,云平台根据MAC认证密钥k2对加密数据信息E(data)进行解密。云平台根据MAC认证密钥对加密数据信息解密后,才对数据的实际内容通过RSA非对称解密出实际数据内容data。
在步骤690,云平台将CPU卡解密后的信息data发送至移动终端进行显示。
在上述实施例中,读卡装置与CPU卡之间的认证主要采用DES和3DES,标准的CPU卡支持的加密方式;读卡装置与移动终端交互主要用到AES加密和蓝牙BLE链路层加密;移动终端与云平台之间数据交互采用AES加密算法加密;云平台对CPU卡目录内容采用RSA非对称加解密的方式来加解密实际数据内容。
针对支持NFC功能的移动终端,该实施例还可以直接省去读卡装置部分,改为移动终端直接与CPU卡操作,然后与云平台完成加密认证,此种方式与上述描述的区别为省去了读卡装置的认证过程,直接由移动终端的NFC功能代替,实现卡--手机--平台之间直接的交互。交换流程减少了读卡装置认证的步骤,其他的步骤如将移动终端的数据传输和读卡装置的读卡操作合并到智能终端上来完成,流程更加简便。
在上述实施例中,CPU卡的加密认证模式由传统的PASM卡修改为直接通过云平台来完成认证,省去了PSAM卡损坏丢失等风险。将传统的读卡装置读卡认证修改为结合智能移动终端的方式更方便快捷;利用云平台数据存储量大的特点可以支持RSA非对称加密对卡片目录的实际内容进行RSA非对称加密,保证数据认证较高的安全性,并且密钥直接由云平台来管理,可以随时更新和作废已发行的CPU卡片,维护更方便安全。
图7为本发明用于CPU卡加密认证的云平台的一个实施例的结构示意图。该云平台包括第一信息加密单元710、第一加密信息发送单元720、MAC读取命令生成单元730、MAC读取命令发送单元740和加密数据信息解密单元750,其中:
第一信息加密单元710用于将接收到的CPU卡的第一信息生成第一加密信息。例如,云平台接收到用户设备发送的CPU卡的相关目录外部认证随机数和UID(UserIdentification,用户标识)后,第一信息加密单元710根据用户标识生成外部认证密钥,并通过外部认证密钥加密外部认证随机数,其中该用户设备可以为具有NFC(Near FieldCommunication,近距离无线通信技术)功能的移动终端,也可以为读卡装置和移动终端。
第一加密信息发送单元720用于将第一加密信息发送至用户设备,以便用户设备对CPU卡的相关目录进行外部认证。例如,将加密后的外部认证随机数发送至用户设备,由用户设备使用该加密后的外部认证随机数完成CPU卡的相关目录外部认证。
MAC读取命令生成单元730用于将接收到的CPU卡的第二信息生成MAC(MessageAuthentication Code,安全报文鉴别码)读取命令。例如接收到用户设备发送的CPU卡的MAC数据随机数后,MAC读取命令生成单元730根据MAC数据随机数生成MAC认证密钥和MAC读取命令。
MAC读取命令发送单元740用于将MAC读取命令发送至用户设备,以便用户设备根据MAC读取命令读取CPU卡相关目录下的加密数据信息。
加密数据信息解密单元750用于接收到用户设备发送的加密数据信息后根据MAC认证密钥对加密数据信息进行解密。用户设备将CPU卡相关目录下的加密数据信息发送至云平台,云平台根据MAC认证密钥对加密数据信息解密后,才对数据的实际内容通过RSA非对称解密,云平台可以将解密后的数据发送至用户设备进行显示。
在该实施例中,云平台将接收到的CPU卡的第一信息生成第一加密信息,并将第一加密信息发送至用户设备,以便用户设备对CPU卡的相关目录进行外部认证;将接收到的CPU卡的第二信息生成安全报文鉴别码MAC读取命令,并将MAC读取命令发送至用户设备,以便用户设备根据MAC读取命令读取CPU卡相关目录下的加密数据信息;接收到用户设备发送的加密数据信息后根据MAC认证密钥对加密数据信息进行解密,能够提高CPU卡加密认证的安全性,另外,该实施例省去了PSAM卡用来做母卡的加密认证方式,直接采用云平台来完成加密认证,用户无需携带PSAM卡,省去了PSAM卡损坏丢失等风险。
图8为本发明用于CPU卡加密认证的云平台的再一个实施例的结构示意图。该云平台包括用户设备认证单元810、第一信息接收单元820、第一信息加密单元830、第一加密信息发送单元840、第二信息接收单元850、MAC读取命令生成单元860、MAC读取命令发送单元870和加密数据信息解密单元880,其中:
用户设备认证单元810用于接收用户设备的MAC地址和授权数据后对用户设备进行认证。该用户设备可以包括读卡装置和移动终端,当用户在移动终端登陆账号和密码后,云平台可以对移动终端认证;移动终端与读卡装置配对后,移动终端可以读取读卡装置的MAC地址和授权数据,并将该MAC地址和授权数据发送至云平台,云平台可以认证读卡装置的合法性。如果该用户设备为具有NFC功能的移动终端,则可以仅对移动终端进行认证。
第一信息接收单元820用于接收用户设备发送的CPU卡的相关目录外部认证随机数和用户标识。第一信息加密单元830用于根据用户标识生成外部认证密钥,并通过外部认证密钥加密外部认证随机数。第一加密信息发送单元840用于将将加密后的外部认证随机数发送至用户设备,以便用户设备对CPU卡的相关目录进行外部认证。第二信息接收单元850用于接收用户设备发送的CPU卡的MAC数据随机数。MAC读取命令生成单元860用于根据MAC数据随机数生成MAC认证密钥和MAC读取命令。MAC读取命令发送单元870用于将MAC读取命令发送至用户设备,以便用户设备根据MAC读取命令读取CPU卡相关目录下的加密数据信息。加密数据信息解密单元880用于接收用户设备发送的加密数据信息后根据MAC认证密钥对加密数据信息进行解密。云平台根据MAC认证密钥对加密数据信息解密后,才通过RSA非对称解密出实际数据内容,云平台可以将解密后的数据发送至用户设备进行显示。
在该实施例中,省去了PSAM卡用来做母卡的加密认证方式,直接采用云平台来完成加密认证,用户无需携带PSAM卡,省去了PSAM卡损坏丢失等风险;另外,由于采用云平台来认证CPU卡,云平台数据存储空间大,可以在发卡的时候对卡片目录的实际内容采用RSA非对称加密,认证时可以从平台数据库获取密钥采用RSA非对称解密对数据内容进行解密,非对称加解密,数据的安全性更高;再者,密钥直接由云平台来管理,可以随时更新和作废已发行的CPU卡片,维护更方便安全。
图9为本发明用于CPU卡加密认证的用户设备的一个实施例的结构示意图。该用户设备包括第一模块910和第二模块920,第一模块910和第二模块920可以集成在具有NFC功能的移动终端,也可为分别为读卡装置和移动终端。
第一模块910用于将CPU卡的第一信息通过第二模块920发送至云平台,以便云平台根据第一信息生成第一加密信息,例如,将CPU卡的相关目录外部认证随机数和用户标识通过第二模块920发送至云平台,云平台根据用户标识生成外部认证密钥,并通过外部认证密钥加密外部认证随机数。
第一模块910还用于接收云平台通过第二模块920发送的第一加密信息,根据第一加密信息对CPU卡的相关目录进行外部认证;例如,通过第二模块920接收云平台发送的加密后的外部认证随机数,对CPU卡的相关目录进行外部认证。
第一模块910还用于将CPU卡的第二信息通过第二模块920发送至云平台,以便云平台根据第二信息生成MAC读取命令;例如,将CPU卡的MAC数据随机数通过第二模块920发送至云平台,云平台根据MAC数据随机数生成MAC认证密钥和MAC读取命令。
第一模块910还用于接收云平台通过第二模块920发送的MAC读取命令,根据MAC读取命令读取CPU卡相关目录下的加密数据信息。
第一模块910还用于将加密数据信息通过第二模块920发送至云平台,以便云平台根据MAC认证密钥对加密数据信息进行解密;云平台根据MAC认证密钥对加密数据信息解密后,才通过RSA非对称解密出实际数据内容,云平台可以将解密后的数据发送至用户设备进行显示。
第二模块920用于转发第一模块910发送的信息以及显示加密数据信息内容。
在该实施例中,用户设备将CPU卡的第一信息发送至云平台,以便云平台根据第一信息生成第一加密信息;接收云平台发送的第一加密信息,根据第一加密信息对CPU卡的相关目录进行外部认证;将CPU卡的第二信息发送至云平台,以便云平台根据第二信息生成MAC读取命令;接收云平台发送的MAC读取命令,根据MAC读取命令读取CPU卡相关目录下的加密数据信息;将加密数据信息发送至云平台,以便云平台根据MAC认证密钥对加密数据信息进行解密,能够提升CPU卡加密认证的安全性;另外,直接采用云平台来完成加密认证,无需携带PSAM卡,省去了PSAM卡损坏丢失等风险;结合智能终端来使用,无需额外增加PC等显示终端,还能够减少设备体积,应用更加方便快捷。
在本发明的另一个实施例中,第一模块910还用于将自身的MAC地址和授权数据通过第二模块920发送至云平台,以便在云平台进行认证。该用户设备可以包括读卡装置和移动终端,当用户在移动终端登陆账号和密码后,云平台可以对移动终端认证;移动终端与读卡装置配对后,移动终端可以读取读卡装置的MAC地址和授权数据,并将该MAC地址和授权数据发送至云平台,云平台可以认定读卡装置的合法性。如果该用户设备为具有NFC功能的移动终端,则可以仅对移动终端进行认证。
在该实施例中,在当前移动互联网的快速发展和智能手机的广泛应用的背景下,采用智能手机等用户设备作为介质,将密钥管理由传统的PSAM卡配合硬件的方式转移到云平台虚拟介质来完成密钥管理和认证,可有效的消除传统方式带来的不足之处。
在上述实施例中,已经介绍用户设备可以包括读卡装置和移动终端,也可以将读卡装置集成到移动终端中,其中用于CPU卡加密认证的系统包括上述用户设备1010和上述云平台1020,图10以用户设备1010包括读卡装置1011和移动终端1012为例对本发明的CPU卡加密认证的系统进行介绍,其中读卡装置1011可以包括13.56MHA的读卡芯片,并具有蓝牙模式。
用户打开移动终端管理软件和3G、4G、WIFI上网功能,输入管理帐号和密码,系统会自动提示打开蓝牙BLE功能,打开读卡装置1011电源开关,管理软件会自动查找读卡装置1011,选择系统找到的读卡装置1011进行配对,完成配对后,可以直接用读卡装置1011读卡,即可自动完成CPU卡、读卡装置1011、移动终端1012和云平台1020之间的交互过程。
用户在移动终端1012登陆账号、密码,由云平台1020进行认证。移动终端1012与读卡装置1011配对,读取读卡装置1011的MAC地址和授权数据,并将读卡装置1011的MAC地址和授权数据发送至云平台1020,由云平台1020认证读卡装置1011的合法性。读卡装置1011读取CPU卡的相关目录外部认证随机数R1和用户标识UID,并通过BLE(Bluetooth LowEnergy,低功耗蓝牙)发送至移动终端1012,移动终端1012将信息发送至云平台1020。云平台1020根据用户标识UID,从密钥库生成外部认证密钥k1,并通过外部认证密钥k1加密外部认证随机数R1生成加密的外部认证随机数k1(R1)。读卡装置1011通过移动终端1012接收云平台1020发送的加密后的外部认证随机数k1(R1)。读卡装置1011使用此k1(R1)对CPU卡的相关目录进行外部认证。读卡装置1011获取CPU卡的MAC数据随机数R2,并通过移动终端1012发送至云平台1020。云平台1020根据MAC数据随机数R2生成MAC认证密钥k2和MAC读取命令C。云平台1020通过移动终端1012向读卡装置1011发送MAC读取命令C。读卡装置1011通过MAC读取命令C读取CPU卡相关目录下的加密数据信息E(data)。读卡装置1011通过移动终端1012将加密数据信息E(data)发送至云平台1020。云平台1020根据MAC认证密钥k2对加密数据信息E(data)进行解密。云平台1020根据MAC认证密钥对加密数据信息解密后,才对数据的实际内容通过RSA非对称解密出实际数据内容data。云平台1020将CPU卡解密后的信息data发送至移动终端1012进行显示。
在上述实施例中,读卡装置1011与CPU卡之间的认证主要采用DES和3DES,标准的CPU卡支持的加密方式;读卡装置1011与移动终端1012交互主要用到AES加密和蓝牙BLE链路层加密;移动终端1012与云平台1020之间通过3G、4G、WIFI广域网等网络交互,数据交互采用AES加密算法加密;云平台1020对CPU卡目录内容采用RSA非对称加解密的方式来加解密实际数据内容。
针对支持NFC功能的移动终端,该实施例还可以直接省去读卡装置部分,如图11所示,改为移动终端1110直接与CPU卡操作,然后与云平台1120完成加密认证,此种方式与上述描述的区别为省去了读卡装置的认证过程,直接由移动终端1110的NFC功能代替,实现卡--手机--平台之间直接的交互。交换流程减少了读卡装置认证的步骤,其他的步骤如将移动终端的数据传输和读卡装置的读卡操作合并到智能终端上来完成,流程更加简便。
在上述实施例中,CPU卡的加密认证模式由传统的PASM卡修改为直接通过云平台来完成认证,省去了PSAM卡损坏丢失等风险。将传统的读卡装置读卡认证修改为结合智能移动终端的方式更方便快捷;利用云平台数据存储量大的特点可以支持RSA非对称加密对卡片目录的实际内容进行RSA非对称加密,保证数据认证较高的安全性,并且密钥直接由云平台来管理,可以随时更新和作废已发行的CPU卡片,维护更方便安全。
至此,已经详细描述了本发明。为了避免遮蔽本发明的构思,没有描述本领域所公知的一些细节。本领域技术人员根据上面的描述,完全可以明白如何实施这里公开的技术方案。
可能以许多方式来实现本发明的方法以及装置。例如,可通过软件、硬件、固件或者软件、硬件、固件的任何组合来实现本发明的方法以及装置。用于所述方法的步骤的上述顺序仅是为了进行说明,本发明的方法的步骤不限于以上具体描述的顺序,除非以其它方式特别说明。此外,在一些实施例中,还可将本发明实施为记录在记录介质中的程序,这些程序包括用于实现根据本发明的方法的机器可读指令。因而,本发明还覆盖存储用于执行根据本发明的方法的程序的记录介质。
虽然已经通过示例对本发明的一些特定实施例进行了详细说明,但是本领域的技术人员应该理解,以上示例仅是为了进行说明,而不是为了限制本发明的范围。本领域的技术人员应该理解,可在不脱离本发明的范围和精神的情况下,对以上实施例进行修改。本发明的范围由所附权利要求来限定。

Claims (18)

1.一种用于CPU卡加密认证的方法,其特征在于,包括:
将接收到的CPU卡的第一信息生成第一加密信息,并将所述第一加密信息发送至用户设备,以便所述用户设备对所述CPU卡的相关目录进行外部认证;
将接收到的所述CPU卡的第二信息生成安全报文鉴别码MAC读取命令,并将所述MAC读取命令发送至所述用户设备,以便所述用户设备根据所述MAC读取命令读取所述CPU卡相关目录下的加密数据信息;
接收到所述用户设备发送的所述加密数据信息后根据MAC认证密钥对所述加密数据信息进行解密。
2.根据权利要求1所述的方法,其特征在于,将接收到的CPU卡的第一信息生成第一加密信息,并将所述第一加密信息发送至用户设备包括:
接收所述用户设备发送的所述CPU卡的相关目录外部认证随机数和用户标识;
根据所述用户标识生成外部认证密钥,并通过所述外部认证密钥加密所述外部认证随机数;
将加密后的外部认证随机数发送至所述用户设备。
3.根据权利要求1所述的方法,其特征在于,将接收到的所述CPU卡的第二信息生成MAC读取命令包括:
接收所述用户设备发送的所述CPU卡的MAC数据随机数;
根据所述MAC数据随机数生成MAC认证密钥和MAC读取命令。
4.根据权利要求1-3任一所述的方法,其特征在于,还包括:
接收所述用户设备的MAC地址和授权数据,以便对所述用户设备进行认证。
5.一种用于CPU卡加密认证的方法,其特征在于,包括:
将CPU卡的第一信息发送至云平台,以便所述云平台根据所述第一信息生成第一加密信息;
接收所述云平台发送的所述第一加密信息,根据所述第一加密信息对所述CPU卡的相关目录进行外部认证;
将所述CPU卡的第二信息发送至所述云平台,以便所述云平台根据第二信息生成MAC读取命令;
接收所述云平台发送的MAC读取命令,根据所述MAC读取命令读取所述CPU卡相关目录下的加密数据信息;
将所述加密数据信息发送至所述云平台,以便所述云平台根据MAC认证密钥对所述加密数据信息进行解密。
6.根据权利要求5所述的方法,其特征在于,将CPU卡的第一信息发送至云平台,以便所述云平台根据所述第一信息生成第一加密信息;接收所述云平台发送的所述第一加密信息,根据所述第一加密信息对所述CPU卡的相关目录进行外部认证包括:
将所述CPU卡的相关目录外部认证随机数和用户标识发送至所述云平台,以便所述云平台根据所述用户标识生成外部认证密钥,并通过所述外部认证密钥加密所述外部认证随机数;
接收所述云平台发送的加密后的外部认证随机数,以便对所述CPU卡的相关目录进行外部认证。
7.根据权利要求5所述的方法,其特征在于,将所述CPU卡的第二信息发送至所述云平台,以便所述云平台根据第二信息生成MAC读取命令包括:
将所述CPU卡的MAC数据随机数发送至所述云平台,以便所述云平台根据所述MAC数据随机数生成MAC认证密钥和MAC读取命令。
8.根据权利要求5-7任一所述的方法,其特征在于,还包括:
将自身的MAC地址和授权数据发送至所述云平台,以便所述云平台进行认证。
9.一种用于CPU卡加密认证的云平台,其特征在于,包括:
第一信息加密单元,用于将接收到的CPU卡的第一信息生成第一加密信息;
第一加密信息发送单元,用于将所述第一加密信息发送至用户设备,以便所述用户设备对所述CPU卡的相关目录进行外部认证;
MAC读取命令生成单元,用于将接收到的所述CPU卡的第二信息生成安全报文鉴别码MAC读取命令;
MAC读取命令发送单元,用于将所述MAC读取命令发送至所述用户设备,以便所述用户设备根据所述MAC读取命令读取所述CPU卡相关目录下的加密数据信息;
加密数据信息解密单元,用于接收到所述用户设备发送的所述加密数据信息后根据MAC认证密钥对所述加密数据信息进行解密。
10.根据权利要求9所述的云平台,其特征在于,还包括第一信息接收单元;
所述第一信息接收单元用于接收所述用户设备发送的所述CPU卡的相关目录外部认证随机数和用户标识;
所述第一信息加密单元用于根据所述用户标识生成外部认证密钥,并通过所述外部认证密钥加密所述外部认证随机数;
所述第一加密信息发送单元用于将加密后的外部认证随机数发送至所述用户设备。
11.根据权利要求9所述的云平台,其特征在于,还包括第二信息接收单元;
所述第二信息接收单元用于接收所述用户设备发送的所述CPU卡的MAC数据随机数;
所述MAC读取命令生成单元用于根据所述MAC数据随机数生成MAC认证密钥和MAC读取命令。
12.根据权利要求9-11任一所述的云平台,其特征在于,还包括用户设备认证单元;
所述用户设备认证单元用于接收所述用户设备的MAC地址和授权数据后对所述用户设备进行认证。
13.一种用于CPU卡加密认证的用户设备,其特征在于,包括第一模块和第二模块;
所述第一模块用于将CPU卡的第一信息通过所述第二模块发送至云平台,以便所述云平台根据所述第一信息生成第一加密信息;还用于接收所述云平台通过所述第二模块发送的所述第一加密信息,根据所述第一加密信息对所述CPU卡的相关目录进行外部认证;还用于将所述CPU卡的第二信息通过所述第二模块发送至所述云平台,以便所述云平台根据第二信息生成MAC读取命令;还用于接收所述云平台通过所述第二模块发送的MAC读取命令,根据所述MAC读取命令读取所述CPU卡相关目录下的加密数据信息;还用于将所述加密数据信息通过所述第二模块发送至所述云平台,以便所述云平台根据MAC认证密钥对所述加密数据信息进行解密;
所述第二模块用于转发第一模块发送的信息以及显示所述加密数据信息内容。
14.根据权利要求13所述的用户设备,其特征在于,
所述第一模块还用于将所述CPU卡的相关目录外部认证随机数和用户标识通过所述第二模块发送至所述云平台,以便所述云平台根据所述用户标识生成外部认证密钥,并通过所述外部认证密钥加密所述外部认证随机数;
所述第一模块还用于接收所述云平台通过所述第二模块发送的加密后的外部认证随机数,以便对所述CPU卡的相关目录进行外部认证。
15.根据权利要求13所述的用户设备,其特征在于,
所述第一模块还用于将所述CPU卡的MAC数据随机数通过所述第二模块发送至所述云平台,以便所述云平台根据所述MAC数据随机数生成MAC认证密钥和MAC读取命令;
所述第一模块还用于接收所述云平台通过所述第二模块发送的MAC读取命令,根据所述MAC读取命令读取所述CPU卡相关目录下的加密数据信息。
16.根据权利要求13-15所述的用户设备,其特征在于,
所述第一模块还用于将自身的MAC地址和授权数据通过所述第二模块发送至所述云平台,以便所述云平台对所述第一模块进行认证。
17.根据权利要求13-15所述的用户设备,其特征在于,所述第一模块为读卡装置,所述第二模块为移动终端。
18.一种用于CPU卡加密认证的系统,其特征在于,包括权利要求9-12任一所述的云平台和权利要求13-17任一所述的用户设备。
CN201611021074.9A 2016-11-15 2016-11-15 用于cpu卡加密认证的方法、云平台、用户设备和系统 Pending CN108075887A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201611021074.9A CN108075887A (zh) 2016-11-15 2016-11-15 用于cpu卡加密认证的方法、云平台、用户设备和系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201611021074.9A CN108075887A (zh) 2016-11-15 2016-11-15 用于cpu卡加密认证的方法、云平台、用户设备和系统

Publications (1)

Publication Number Publication Date
CN108075887A true CN108075887A (zh) 2018-05-25

Family

ID=62160656

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201611021074.9A Pending CN108075887A (zh) 2016-11-15 2016-11-15 用于cpu卡加密认证的方法、云平台、用户设备和系统

Country Status (1)

Country Link
CN (1) CN108075887A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109672521A (zh) * 2018-12-26 2019-04-23 贵州华芯通半导体技术有限公司 基于国密加密引擎实现的安全存储系统和方法

Citations (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004288080A (ja) * 2003-03-25 2004-10-14 Hitachi Ltd Icカードシステムおよびicカード発行方法
JP2006243860A (ja) * 2005-03-01 2006-09-14 Dainippon Printing Co Ltd Icカードシステムおよびコンピュータプログラム
CN101571926A (zh) * 2009-06-09 2009-11-04 上海复旦微电子股份有限公司 Ic卡的安全读写设备以及该设备的使用方法
CN101741565A (zh) * 2009-12-18 2010-06-16 北京握奇数据系统有限公司 一种ic卡应用数据传输的方法及系统
US20100235629A1 (en) * 2009-03-10 2010-09-16 Kabushiki Kaisha Toshiba Information storage medium, authentication data generation method, and medium authentication system
CN101866411A (zh) * 2009-04-16 2010-10-20 深圳市数智国兴信息科技有限公司 非接触式cpu卡一卡多应用安全认证加密方法及系统
CN103888429A (zh) * 2012-12-21 2014-06-25 华为技术有限公司 虚拟机启动方法、相关设备和系统
CN103905388A (zh) * 2012-12-26 2014-07-02 中国移动通信集团广东有限公司 一种认证方法、认证装置、智能卡、服务器
CN104217327A (zh) * 2014-09-25 2014-12-17 山东中孚信息产业股份有限公司 一种金融ic卡互联网终端及其交易方法
CN106027249A (zh) * 2015-11-10 2016-10-12 天地融科技股份有限公司 身份证读卡方法和系统
US20160300224A1 (en) * 2014-01-07 2016-10-13 Tencent Technology (Shenzhen) Company Limited Method, Server, And Storage Medium For Verifying Transactions Using A Smart Card
CN206195801U (zh) * 2016-11-15 2017-05-24 北京维森科技有限公司 用于cpu卡加密认证的云平台、用户设备和系统

Patent Citations (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004288080A (ja) * 2003-03-25 2004-10-14 Hitachi Ltd Icカードシステムおよびicカード発行方法
JP2006243860A (ja) * 2005-03-01 2006-09-14 Dainippon Printing Co Ltd Icカードシステムおよびコンピュータプログラム
US20100235629A1 (en) * 2009-03-10 2010-09-16 Kabushiki Kaisha Toshiba Information storage medium, authentication data generation method, and medium authentication system
CN101866411A (zh) * 2009-04-16 2010-10-20 深圳市数智国兴信息科技有限公司 非接触式cpu卡一卡多应用安全认证加密方法及系统
CN101571926A (zh) * 2009-06-09 2009-11-04 上海复旦微电子股份有限公司 Ic卡的安全读写设备以及该设备的使用方法
CN101741565A (zh) * 2009-12-18 2010-06-16 北京握奇数据系统有限公司 一种ic卡应用数据传输的方法及系统
CN103888429A (zh) * 2012-12-21 2014-06-25 华为技术有限公司 虚拟机启动方法、相关设备和系统
CN103905388A (zh) * 2012-12-26 2014-07-02 中国移动通信集团广东有限公司 一种认证方法、认证装置、智能卡、服务器
US20160300224A1 (en) * 2014-01-07 2016-10-13 Tencent Technology (Shenzhen) Company Limited Method, Server, And Storage Medium For Verifying Transactions Using A Smart Card
CN104217327A (zh) * 2014-09-25 2014-12-17 山东中孚信息产业股份有限公司 一种金融ic卡互联网终端及其交易方法
CN106027249A (zh) * 2015-11-10 2016-10-12 天地融科技股份有限公司 身份证读卡方法和系统
CN206195801U (zh) * 2016-11-15 2017-05-24 北京维森科技有限公司 用于cpu卡加密认证的云平台、用户设备和系统

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
B. BALAMURUGAN ET AL.: "Unified RB-DAC Approach with Secure Authentication Using Smart Card Architecture", 2014 3RD INTERNATIONAL CONFERENCE ON ECO-FRIENDLY COMPUTING AND COMMUNICATION SYSTEMS, 20 August 2015 (2015-08-20) *
杨小宝等: "基于智能卡的云终端设备安全接入", 西安邮电大学学报, no. 02, 10 March 2015 (2015-03-10) *
胡祥义等: "基于云计算的文件加密传输方法", 网络安全技术与应用, no. 05, 15 May 2013 (2013-05-15) *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109672521A (zh) * 2018-12-26 2019-04-23 贵州华芯通半导体技术有限公司 基于国密加密引擎实现的安全存储系统和方法
CN109672521B (zh) * 2018-12-26 2022-11-29 贵州华芯通半导体技术有限公司 基于国密加密引擎实现的安全存储系统和方法

Similar Documents

Publication Publication Date Title
CN104778794B (zh) 移动支付装置和方法
CN110291754A (zh) 使用移动设备的系统访问
JP6531092B2 (ja) モバイルアプリケーションとゲートウェイの間の無線通信を安全化する方法
CN106161359B (zh) 认证用户的方法及装置、注册可穿戴设备的方法及装置
DK2995039T3 (en) SYSTEMS AND PROCEDURES FOR SECURE COMMUNICATION.
CN103229452B (zh) 移动手持设备的识别和通信认证
CN103747443B (zh) 一种基于手机用户识别卡多安全域装置及其鉴权方法
CN107113553B (zh) 用于统一近场通信基础架构的装置、方法及服务器
JP2022508010A (ja) 非接触カードの暗号化認証のためのシステムおよび方法
CN107820238B (zh) Sim卡、区块链应用安全模块、客户端及其安全操作方法
US20150310427A1 (en) Method, apparatus, and system for generating transaction-signing one-time password
JP2012507900A (ja) Nfcを使用する遠隔ユーザ認証
CN102170357A (zh) 组合密钥动态安全管理系统
JP2022501872A (ja) 非接触カードの暗号化認証のためのシステムおよび方法
CN103268511A (zh) 集成电路卡、安全信息处理系统及其工作方法
CN104281272B (zh) 密码输入处理方法及装置
WO2011076102A1 (zh) 一种一卡通系统的实现方法和系统以及一种智能卡
CN101944216A (zh) 双因子在线交易安全认证方法及系统
CN106789024A (zh) 一种远程解锁方法、装置和系统
CN107332660A (zh) 一种新型移动数据加密安全系统
JP2022508026A (ja) 非接触カードの暗号化認証のためのシステムおよび方法
TW202137199A (zh) 生物支付設備的認證方法、裝置、電腦設備和儲存媒體
CN114070614A (zh) 身份认证方法、装置、设备、存储介质和计算机程序产品
CN107209843A (zh) 安全执行环境通信
CN107333263A (zh) 一种改进型的sim卡以及移动通信身份识别方法和系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination