CN108075887B - 用于cpu卡加密认证的方法、云平台、用户设备和系统 - Google Patents
用于cpu卡加密认证的方法、云平台、用户设备和系统 Download PDFInfo
- Publication number
- CN108075887B CN108075887B CN201611021074.9A CN201611021074A CN108075887B CN 108075887 B CN108075887 B CN 108075887B CN 201611021074 A CN201611021074 A CN 201611021074A CN 108075887 B CN108075887 B CN 108075887B
- Authority
- CN
- China
- Prior art keywords
- cloud platform
- mac
- cpu card
- authentication
- user equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 46
- 238000013475 authorization Methods 0.000 claims description 24
- 238000004891 communication Methods 0.000 abstract description 4
- 238000010586 diagram Methods 0.000 description 8
- 230000005540 biological transmission Effects 0.000 description 7
- 238000007726 management method Methods 0.000 description 7
- 230000003993 interaction Effects 0.000 description 6
- 238000013478 data encryption standard Methods 0.000 description 5
- 238000012423 maintenance Methods 0.000 description 5
- 238000013500 data storage Methods 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 101100059544 Arabidopsis thaliana CDC5 gene Proteins 0.000 description 2
- 101100244969 Arabidopsis thaliana PRL1 gene Proteins 0.000 description 2
- 102100039558 Galectin-3 Human genes 0.000 description 2
- 101100454448 Homo sapiens LGALS3 gene Proteins 0.000 description 2
- 101150115300 MAC1 gene Proteins 0.000 description 2
- 101150051246 MAC2 gene Proteins 0.000 description 2
- 230000007547 defect Effects 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 1
- 238000007796 conventional method Methods 0.000 description 1
- 230000014509 gene expression Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
Abstract
本发明公开了一种用于CPU卡加密认证的方法、云平台、用户设备和系统,涉及通信安全领域。该方法包括:云平台将接收到的CPU卡的第一信息生成第一加密信息,并将第一加密信息发送至用户设备,以便用户设备对CPU卡的相关目录进行外部认证;将接收到的CPU卡的第二信息生成安全报文鉴别码MAC读取命令,并将MAC读取命令发送至用户设备,以便用户设备根据MAC读取命令读取CPU卡相关目录下的加密数据信息;接收到用户设备发送的加密数据信息后根据MAC认证密钥对加密数据信息进行解密,能够提高CPU卡加密认证的安全性。另外,本发明直接采用云平台来完成加密认证,用户无需携带PSAM卡,省去了PSAM卡损坏丢失等风险。
Description
技术领域
本发明涉及通信安全领域,尤其涉及一种用于CPU卡加密认证的方法、云平台、用户设备和系统。
背景技术
CPU卡因其安全性相对于普通IC卡提高很多,已经被广泛应用于金融、保险、交通、政府行业等多个领域,具有用户空间大、读取速度快、支持一卡多用等特点,并已经通过中国人民银行和国家商秘委的认证;CPU卡内含有随机数发生器,硬件DES(Data EncryptionStandard,数据加密标准),3DES(Triple DES,三重数据加密算法)等,配合片上OS(Operating System,操作系统),可以达到金融级别的安全等级。CPU卡尤其是在金融交易和身份识别上的应用已经逐步代替了传统方法,成为了主流的应用技术。
传统的CPU卡完成身份认证的方式主要是通过对加密信息的目录进行外部认证来完成的加密信息的读取或修改,从而实现身份认证和识别。传统的CPU卡加密认证方式如图1所示,CPU卡认证必须需要用到PSAM卡,PSAM卡是一种具有特殊性能的CPU卡,主要用于存放密钥和加密算法,可完成交易中的密码验证和加密、相互认证、解密运算,主要用作身份标志。PSAM可用于各种端末设备上,负责安全控管。
CPU卡加密算法和随机数发生器与安装在读写设备中的密钥认证卡(PSAM卡)相互发送认证的随机数,可以实现以下功能:
(1)通过终端设备上PSAM卡实现对卡的认证。
(2)非接触CPU卡与终端设备上的PSAM卡的相互认证,实现对卡终端的认证。
(3)通过PSAM卡对非接触CPU卡进行数据读取操作,实现数据读取的安全性。
(4)在终端设备与非接触CPU卡中传输的数据是加密传输。
(5)通过对非接触CPU卡发送给SAM卡的随机数MAC1,PSAM卡发送给非接触CPU的随机数MAC2和由非接触CPU卡返回的随机数TAC,可以实现数据传输验证的计算。而MAC1、MAC2和TAC就是同一张非接触CPU卡每次传输的过程中都是不同的,因此无法使用空中接收的办法来破解非接触CPU卡的密钥。
但现有技术有很多弊端,例如依赖于硬件介质PSAM卡,需要对PSAM卡进行妥善保管,PSAM卡及读卡器可能会出现丢失或被盗用的情况,且硬件介质存在损坏的可能等,这无疑增加了安全认证中的风险。
发明内容
本发明要解决的一个技术问题是提供一种用于CPU卡加密认证的方法、云平台、用户设备和系统能够提高CPU卡加密认证的安全性。
根据本发明一方面,提出一种用于CPU卡加密认证的方法,包括:将接收到的CPU卡的第一信息生成第一加密信息,并将第一加密信息发送至用户设备,以便用户设备对CPU卡的相关目录进行外部认证;将接收到的CPU卡的第二信息生成安全报文鉴别码MAC读取命令,并将MAC读取命令发送至用户设备,以便用户设备根据MAC读取命令读取CPU卡相关目录下的加密数据信息;接收到用户设备发送的加密数据信息后根据MAC认证密钥对加密数据信息进行解密。
进一步地,将接收到的CPU卡的第一信息生成第一加密信息,并将第一加密信息发送至用户设备包括:接收用户设备发送的CPU卡的相关目录外部认证随机数和用户标识;根据用户标识生成外部认证密钥,并通过外部认证密钥加密外部认证随机数;将加密后的外部认证随机数发送至用户设备。
进一步地,将接收到的CPU卡的第二信息生成MAC读取命令包括:接收用户设备发送的CPU卡的MAC数据随机数;根据MAC数据随机数生成MAC认证密钥和MAC读取命令。
进一步地,还包括:接收用户设备的MAC地址和授权数据,以便对用户设备进行认证。
根据本发明的另一方面,还提出一种用于CPU卡加密认证的方法,包括:将CPU卡的第一信息发送至云平台,以便云平台根据第一信息生成第一加密信息;接收云平台发送的第一加密信息,根据第一加密信息对CPU卡的相关目录进行外部认证;将CPU卡的第二信息发送至云平台,以便云平台根据第二信息生成MAC读取命令;接收云平台发送的MAC读取命令,根据MAC读取命令读取CPU卡相关目录下的加密数据信息;将加密数据信息发送至云平台,以便云平台根据MAC认证密钥对加密数据信息进行解密。
进一步地,将CPU卡的第一信息发送至云平台,以便云平台根据第一信息生成第一加密信息;接收云平台发送的第一加密信息,根据第一加密信息对CPU卡的相关目录进行外部认证包括:将CPU卡的相关目录外部认证随机数和用户标识发送至云平台,以便云平台根据用户标识生成外部认证密钥,并通过外部认证密钥加密外部认证随机数;接收云平台发送的加密后的外部认证随机数,以便对CPU卡的相关目录进行外部认证。
进一步地,将CPU卡的第二信息发送至云平台,以便云平台根据第二信息生成MAC读取命令包括:将CPU卡的MAC数据随机数发送至云平台,以便云平台根据MAC数据随机数生成MAC认证密钥和MAC读取命令。
进一步地,还包括:将自身的MAC地址和授权数据发送至云平台,以便云平台进行认证。
根据本发明的另一方面,还提出一种用于CPU卡加密认证的云平台,包括:第一信息加密单元,用于将接收到的CPU卡的第一信息生成第一加密信息;第一加密信息发送单元,用于将第一加密信息发送至用户设备,以便用户设备对CPU卡的相关目录进行外部认证;MAC读取命令生成单元,用于将接收到的CPU卡的第二信息生成安全报文鉴别码MAC读取命令;MAC读取命令发送单元,用于将MAC读取命令发送至用户设备,以便用户设备根据MAC读取命令读取CPU卡相关目录下的加密数据信息;加密数据信息解密单元,用于接收到用户设备发送的加密数据信息后根据MAC认证密钥对加密数据信息进行解密。
进一步地,还包括第一信息接收单元;第一信息接收单元用于接收用户设备发送的CPU卡的相关目录外部认证随机数和用户标识;第一信息加密单元用于根据用户标识生成外部认证密钥,并通过外部认证密钥加密外部认证随机数;第一加密信息发送单元用于将加密后的外部认证随机数发送至用户设备。
进一步地,还包括第二信息接收单元;第二信息接收单元用于接收用户设备发送的CPU卡的MAC数据随机数;MAC读取命令生成单元用于根据MAC数据随机数生成MAC认证密钥和MAC读取命令。
进一步地,还包括用户设备认证单元;用户设备认证单元用于接收用户设备的MAC地址和授权数据后对用户设备进行认证。
根据本发明的另一方面,还提出一种用于CPU卡加密认证的用户设备,包括第一模块和第二模块;第一模块用于将CPU卡的第一信息通过第二模块发送至云平台,以便云平台根据第一信息生成第一加密信息;还用于接收云平台通过第二模块发送的第一加密信息,根据第一加密信息对CPU卡的相关目录进行外部认证;还用于将CPU卡的第二信息通过第二模块发送至云平台,以便云平台根据第二信息生成MAC读取命令;还用于接收云平台通过第二模块发送的MAC读取命令,根据MAC读取命令读取CPU卡相关目录下的加密数据信息;还用于将加密数据信息通过第二模块发送至云平台,以便云平台根据MAC认证密钥对加密数据信息进行解密;第二模块用于转发第一模块发送的信息以及显示加密数据信息内容。
进一步地,第一模块还用于将CPU卡的相关目录外部认证随机数和用户标识通过第二模块发送至云平台,以便云平台根据用户标识生成外部认证密钥,并通过外部认证密钥加密外部认证随机数;第一模块还用于接收云平台通过第二模块发送的加密后的外部认证随机数,以便对CPU卡的相关目录进行外部认证。
进一步地,第一模块还用于将CPU卡的MAC数据随机数通过第二模块发送至云平台,以便云平台根据MAC数据随机数生成MAC认证密钥和MAC读取命令;第一模块还用于接收云平台通过第二模块发送的MAC读取命令,根据MAC读取命令读取CPU卡相关目录下的加密数据信息。
进一步地,第一模块还用于将自身的MAC地址和授权数据通过第二模块发送至云平台,以便云平台对第一模块进行认证。
进一步地,第一模块为读卡装置,第二模块为移动终端。
根据本发明的另一方面,还提出一种用于CPU卡加密认证的系统,包括上述的云平台和上述的用户设备。
与现有技术相比,本发明云平台将接收到的CPU卡的第一信息生成第一加密信息,并将第一加密信息发送至用户设备,以便用户设备对CPU卡的相关目录进行外部认证;将接收到的CPU卡的第二信息生成安全报文鉴别码MAC读取命令,并将MAC读取命令发送至用户设备,以便用户设备根据MAC读取命令读取CPU卡相关目录下的加密数据信息;接收到用户设备发送的加密数据信息后根据MAC认证密钥对加密数据信息进行解密,能够提高CPU卡加密认证的安全性,另外,该实施例省去了PSAM卡用来做母卡的加密认证方式,直接采用云平台来完成加密认证,用户无需携带PSAM卡,省去了PSAM卡损坏丢失等风险。
通过以下参照附图对本发明的示例性实施例的详细描述,本发明的其它特征及其优点将会变得清楚。
附图说明
构成说明书的一部分的附图描述了本发明的实施例,并且连同说明书一起用于解释本发明的原理。
参照附图,根据下面的详细描述,可以更加清楚地理解本发明,其中:
图1为现有技术中CPU卡加密认证的流程示意图。
图2为本发明用于CPU卡加密认证的方法的一个实施例的流程示意图。
图3为本发明用于CPU卡加密认证的方法的另一个实施例的流程示意图。
图4为本发明用于CPU卡加密认证的方法的再一个实施例的流程示意图。
图5为本发明用于CPU卡加密认证的方法的又一个实施例的流程示意图。
图6为本发明用于CPU卡加密认证的方法的又一个实施例的流程示意图。
图7为本发明用于CPU卡加密认证的云平台的一个实施例的结构示意图。
图8为本发明用于CPU卡加密认证的云平台的再一个实施例的结构示意图。
图9为本发明用于CPU卡加密认证的用户设备的一个实施例的结构示意图。
图10为本发明用于CPU卡加密认证的系统的一个实施例的结构示意图。
图11为本发明用于CPU卡加密认证的系统的一个实施例的结构示意图。
具体实施方式
现在将参照附图来详细描述本发明的各种示例性实施例。应注意到:除非另外具体说明,否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本发明的范围。
同时,应当明白,为了便于描述,附图中所示出的各个部分的尺寸并不是按照实际的比例关系绘制的。
以下对至少一个示例性实施例的描述实际上仅仅是说明性的,决不作为对本发明及其应用或使用的任何限制。
对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论,但在适当情况下,所述技术、方法和设备应当被视为授权说明书的一部分。
在这里示出和讨论的所有示例中,任何具体值应被解释为仅仅是示例性的,而不是作为限制。因此,示例性实施例的其它示例可以具有不同的值。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步讨论。
为使本发明的目的、技术方案和优点更加清楚明白,以下结合具体实施例,并参照附图,对本发明进一步详细说明。
图2为本发明用于CPU卡加密认证的方法的一个实施例的流程示意图。该实施例由云平台执行,包括以下步骤:
在步骤210,将接收到的CPU卡的第一信息生成第一加密信息。例如,接收到用户设备发送的CPU卡的相关目录外部认证随机数和UID(User Identification,用户标识)后,根据用户标识生成外部认证密钥,并通过外部认证密钥加密外部认证随机数,其中该用户设备可以为具有NFC(Near Field Communication,近距离无线通信技术)功能的移动终端,也可以为读卡装置和移动终端。
在步骤220,将第一加密信息发送至用户设备,以便用户设备对CPU卡的相关目录进行外部认证。例如,将加密后的外部认证随机数发送至用户设备,由用户设备使用该加密后的外部认证随机数完成CPU卡的相关目录外部认证。
在步骤230,将接收到的CPU卡的第二信息生成MAC(Message AuthenticationCode,安全报文鉴别码)读取命令。例如接收到用户设备发送的CPU卡的MAC数据随机数后,根据MAC数据随机数生成MAC认证密钥和MAC读取命令。
在步骤240,将MAC读取命令发送至用户设备,以便用户设备根据MAC读取命令读取CPU卡相关目录下的加密数据信息。
在步骤250,接收到用户设备发送的加密数据信息后根据MAC认证密钥对加密数据信息进行解密。用户设备将CPU卡相关目录下的加密数据信息发送至云平台,云平台根据MAC认证密钥对加密数据信息解密后,才对数据的实际内容通过RSA非对称解密,云平台可以将解密后的数据发送至用户设备进行显示。
在该实施例中,云平台将接收到的CPU卡的第一信息生成第一加密信息,并将第一加密信息发送至用户设备,以便用户设备对CPU卡的相关目录进行外部认证;将接收到的CPU卡的第二信息生成安全报文鉴别码MAC读取命令,并将MAC读取命令发送至用户设备,以便用户设备根据MAC读取命令读取CPU卡相关目录下的加密数据信息;接收到用户设备发送的加密数据信息后根据MAC认证密钥对加密数据信息进行解密,能够提高CPU卡加密认证的安全性,另外,该实施例省去了PSAM卡用来做母卡的加密认证方式,直接采用云平台来完成加密认证,用户无需携带PSAM卡,省去了PSAM卡损坏丢失等风险。
图3为本发明用于CPU卡加密认证的方法的另一个实施例的流程示意图。该方法包括以下步骤:
在步骤310,云平台接收用户设备的MAC地址和授权数据,以便对用户设备进行认证。该用户设备可以包括读卡装置和移动终端,当用户在移动终端登陆账号和密码后,云平台可以对移动终端认证;移动终端与读卡装置配对后,移动终端可以读取读卡装置的MAC地址和授权数据,并将该MAC地址和授权数据发送至云平台,云平台可以认证读卡装置的合法性。如果该用户设备为具有NFC功能的移动终端,则可以仅对移动终端进行认证。
在步骤320,云平台接收用户设备发送的CPU卡的相关目录外部认证随机数和用户标识。
在步骤330,云平台根据用户标识生成外部认证密钥,并通过外部认证密钥加密外部认证随机数。
在步骤340,云平台将将加密后的外部认证随机数发送至用户设备,以便用户设备对CPU卡的相关目录进行外部认证。
在步骤350,云平台接收用户设备发送的CPU卡的MAC数据随机数。
在步骤360,云平台根据MAC数据随机数生成MAC认证密钥和MAC读取命令。
在步骤370,云平台将MAC读取命令发送至用户设备,以便用户设备根据MAC读取命令读取CPU卡相关目录下的加密数据信息。
在步骤380,云平台接收用户设备发送的加密数据信息后根据MAC认证密钥对加密数据信息进行解密。云平台根据MAC认证密钥对加密数据信息解密后,才通过RSA非对称解密出实际数据内容,云平台可以将解密后的数据发送至用户设备进行显示。
在步骤390,云平台将解密后的CPU的信息发送至用户设备进行显示。
在该实施例中,省去了PSAM卡用来做母卡的加密认证方式,直接采用云平台来完成加密认证,用户无需携带PSAM卡,省去了PSAM卡损坏丢失等风险;另外,由于采用云平台来认证CPU卡,云平台数据存储空间大,可以在发卡的时候对卡片目录的实际内容采用RSA非对称加密,认证时可以从平台数据库获取密钥采用RSA非对称解密对数据内容进行解密,非对称加解密,数据的安全性更高;再者,密钥直接由云平台来管理,可以随时更新和作废已发行的CPU卡片,维护更方便安全。
图4为本发明用于CPU卡加密认证的方法的再一个实施例的流程示意图。该实施例由用户设备执行,包括以下步骤:
在步骤410,将CPU卡的第一信息发送至云平台,以便云平台根据第一信息生成第一加密信息。例如,用户设备将CPU卡的相关目录外部认证随机数和用户标识发送至云平台,云平台根据用户标识生成外部认证密钥,并通过外部认证密钥加密外部认证随机数。
在步骤420,接收云平台发送的第一加密信息,根据第一加密信息对CPU卡的相关目录进行外部认证。例如,用户设备接收云平台发送的加密后的外部认证随机数,对CPU卡的相关目录进行外部认证。
在步骤430,将CPU卡的第二信息发送至云平台,以便云平台根据第二信息生成MAC读取命令。例如,用户设备将CPU卡的MAC数据随机数发送至云平台,云平台根据MAC数据随机数生成MAC认证密钥和MAC读取命令。
在步骤440,接收云平台发送的MAC读取命令,根据MAC读取命令读取CPU卡相关目录下的加密数据信息。
在步骤450,将加密数据信息发送至云平台,以便云平台根据MAC认证密钥对加密数据信息进行解密。云平台根据MAC认证密钥对加密数据信息解密后,才通过RSA非对称解密出实际数据内容,云平台可以将解密后的数据发送至用户设备进行显示。
在该实施例中,用户设备将CPU卡的第一信息发送至云平台,以便云平台根据第一信息生成第一加密信息;接收云平台发送的第一加密信息,根据第一加密信息对CPU卡的相关目录进行外部认证;将CPU卡的第二信息发送至云平台,以便云平台根据第二信息生成MAC读取命令;接收云平台发送的MAC读取命令,根据MAC读取命令读取CPU卡相关目录下的加密数据信息;将加密数据信息发送至云平台,以便云平台根据MAC认证密钥对加密数据信息进行解密,能够提升CPU卡加密认证的安全性;另外,直接采用云平台来完成加密认证,无需携带PSAM卡,省去了PSAM卡损坏丢失等风险;结合智能终端来使用,无需额外增加PC等显示终端,还能够减少设备体积,应用更加方便快捷。
图5为本发明用于CPU卡加密认证的方法的又一个实施例的流程示意图。该方法包括以下步骤:
在步骤510,用户设备将自身的MAC地址和授权数据发送至云平台,以便在云平台进行认证。该用户设备可以包括读卡装置和移动终端,当用户在移动终端登陆账号和密码后,云平台可以对移动终端认证;移动终端与读卡装置配对后,移动终端可以读取读卡装置的MAC地址和授权数据,并将该MAC地址和授权数据发送至云平台,云平台可以认定读卡装置的合法性。如果该用户设备为具有NFC功能的移动终端,则可以仅对移动终端进行认证。
在步骤520,用户设备将CPU卡的相关目录外部认证随机数和用户标识发送至云平台,以便云平台根据用户标识生成外部认证密钥,并通过外部认证密钥加密外部认证随机数。
在步骤530,用户设备接收云平台发送的加密后的外部认证随机数,以便对CPU卡的相关目录进行外部认证。
在步骤540,用户设备将CPU卡的MAC数据随机数发送至云平台,以便云平台根据MAC数据随机数生成MAC认证密钥和MAC读取命令。
在步骤550,用户设备接收云平台发送的MAC读取命令,根据MAC读取命令读取CPU卡相关目录下的加密数据信息。
在步骤560,将加密数据信息发送至云平台,以便云平台根据MAC认证密钥对加密数据信息进行解密。云平台根据MAC认证密钥对加密数据信息解密后,才通过RSA非对称解密出实际数据内容。
在步骤570,用户设备接收云平台发送的CPU卡解密后的信息,并对信息进行显示。
在该实施例中,在当前移动互联网的快速发展和智能手机的广泛应用的背景下,采用智能手机等用户设备作为介质,将密钥管理由传统的PSAM卡配合硬件的方式转移到云平台虚拟介质来完成密钥管理和认证,可有效的消除传统方式带来的不足之处。
在上述实施例中,已经介绍用户设备可以包括读卡装置和移动终端,也可以将读卡装置集成到移动终端中,图6为以用户设备包括读卡装置和移动终端为例对本发明的CPU卡加密认证流程进行介绍。
用户打开移动终端管理软件和3G、4G、WIFI上网功能,输入管理帐号和密码,系统会自动提示打开蓝牙BLE功能,打开读卡装置电源开关,管理软件会自动查找读卡装置,选择系统找到的读卡装置进行配对,完成配对后,可以直接用读卡装置读卡,即可自动完成CPU卡、读卡装置、移动终端和云平台之间的交互过程。
在步骤610,用户在移动终端登陆账号、密码,由平台进行认证。
在步骤620,移动终端与读卡装置配对,读取读卡装置的MAC地址和授权数据,并将读卡装置的MAC地址和授权数据发送至云平台,由云平台认证读卡装置的合法性。
在步骤630,读卡装置读取CPU卡的相关目录外部认证随机数R1和用户标识UID,并通过BLE(Bluetooth Low Energy,低功耗蓝牙)发送至移动终端,移动终端将信息发送至云平台。
在步骤640,云平台根据用户标识UID,从密钥库生成外部认证密钥k1,并通过外部认证密钥k1加密外部认证随机数R1生成加密的外部认证随机数k1(R1)。
在步骤650,读卡装置通过移动终端接收云平台发送的加密后的外部认证随机数k1(R1)。
在步骤652,读卡装置使用此k1(R1)对CPU卡的相关目录进行外部认证。
在步骤660,读卡装置获取CPU卡的MAC数据随机数R2,并通过移动终端发送至云平台。
在步骤662,云平台根据MAC数据随机数R2生成MAC认证密钥k2和MAC读取命令C。
在步骤670,云平台通过移动终端向读卡装置发送MAC读取命令C。
在步骤672,读卡装置通过MAC读取命令C读取CPU卡相关目录下的加密数据信息E(data)。
在步骤680,读卡装置通过移动终端将加密数据信息E(data)发送至云平台。
在步骤682,云平台根据MAC认证密钥k2对加密数据信息E(data)进行解密。云平台根据MAC认证密钥对加密数据信息解密后,才对数据的实际内容通过RSA非对称解密出实际数据内容data。
在步骤690,云平台将CPU卡解密后的信息data发送至移动终端进行显示。
在上述实施例中,读卡装置与CPU卡之间的认证主要采用DES和3DES,标准的CPU卡支持的加密方式;读卡装置与移动终端交互主要用到AES加密和蓝牙BLE链路层加密;移动终端与云平台之间数据交互采用AES加密算法加密;云平台对CPU卡目录内容采用RSA非对称加解密的方式来加解密实际数据内容。
针对支持NFC功能的移动终端,该实施例还可以直接省去读卡装置部分,改为移动终端直接与CPU卡操作,然后与云平台完成加密认证,此种方式与上述描述的区别为省去了读卡装置的认证过程,直接由移动终端的NFC功能代替,实现卡--手机--平台之间直接的交互。交换流程减少了读卡装置认证的步骤,其他的步骤如将移动终端的数据传输和读卡装置的读卡操作合并到智能终端上来完成,流程更加简便。
在上述实施例中,CPU卡的加密认证模式由传统的PASM卡修改为直接通过云平台来完成认证,省去了PSAM卡损坏丢失等风险。将传统的读卡装置读卡认证修改为结合智能移动终端的方式更方便快捷;利用云平台数据存储量大的特点可以支持RSA非对称加密对卡片目录的实际内容进行RSA非对称加密,保证数据认证较高的安全性,并且密钥直接由云平台来管理,可以随时更新和作废已发行的CPU卡片,维护更方便安全。
图7为本发明用于CPU卡加密认证的云平台的一个实施例的结构示意图。该云平台包括第一信息加密单元710、第一加密信息发送单元720、MAC读取命令生成单元730、MAC读取命令发送单元740和加密数据信息解密单元750,其中:
第一信息加密单元710用于将接收到的CPU卡的第一信息生成第一加密信息。例如,云平台接收到用户设备发送的CPU卡的相关目录外部认证随机数和UID(UserIdentification,用户标识)后,第一信息加密单元710根据用户标识生成外部认证密钥,并通过外部认证密钥加密外部认证随机数,其中该用户设备可以为具有NFC(Near FieldCommunication,近距离无线通信技术)功能的移动终端,也可以为读卡装置和移动终端。
第一加密信息发送单元720用于将第一加密信息发送至用户设备,以便用户设备对CPU卡的相关目录进行外部认证。例如,将加密后的外部认证随机数发送至用户设备,由用户设备使用该加密后的外部认证随机数完成CPU卡的相关目录外部认证。
MAC读取命令生成单元730用于将接收到的CPU卡的第二信息生成MAC(MessageAuthentication Code,安全报文鉴别码)读取命令。例如接收到用户设备发送的CPU卡的MAC数据随机数后,MAC读取命令生成单元730根据MAC数据随机数生成MAC认证密钥和MAC读取命令。
MAC读取命令发送单元740用于将MAC读取命令发送至用户设备,以便用户设备根据MAC读取命令读取CPU卡相关目录下的加密数据信息。
加密数据信息解密单元750用于接收到用户设备发送的加密数据信息后根据MAC认证密钥对加密数据信息进行解密。用户设备将CPU卡相关目录下的加密数据信息发送至云平台,云平台根据MAC认证密钥对加密数据信息解密后,才对数据的实际内容通过RSA非对称解密,云平台可以将解密后的数据发送至用户设备进行显示。
在该实施例中,云平台将接收到的CPU卡的第一信息生成第一加密信息,并将第一加密信息发送至用户设备,以便用户设备对CPU卡的相关目录进行外部认证;将接收到的CPU卡的第二信息生成安全报文鉴别码MAC读取命令,并将MAC读取命令发送至用户设备,以便用户设备根据MAC读取命令读取CPU卡相关目录下的加密数据信息;接收到用户设备发送的加密数据信息后根据MAC认证密钥对加密数据信息进行解密,能够提高CPU卡加密认证的安全性,另外,该实施例省去了PSAM卡用来做母卡的加密认证方式,直接采用云平台来完成加密认证,用户无需携带PSAM卡,省去了PSAM卡损坏丢失等风险。
图8为本发明用于CPU卡加密认证的云平台的再一个实施例的结构示意图。该云平台包括用户设备认证单元810、第一信息接收单元820、第一信息加密单元830、第一加密信息发送单元840、第二信息接收单元850、MAC读取命令生成单元860、MAC读取命令发送单元870和加密数据信息解密单元880,其中:
用户设备认证单元810用于接收用户设备的MAC地址和授权数据后对用户设备进行认证。该用户设备可以包括读卡装置和移动终端,当用户在移动终端登陆账号和密码后,云平台可以对移动终端认证;移动终端与读卡装置配对后,移动终端可以读取读卡装置的MAC地址和授权数据,并将该MAC地址和授权数据发送至云平台,云平台可以认证读卡装置的合法性。如果该用户设备为具有NFC功能的移动终端,则可以仅对移动终端进行认证。
第一信息接收单元820用于接收用户设备发送的CPU卡的相关目录外部认证随机数和用户标识。第一信息加密单元830用于根据用户标识生成外部认证密钥,并通过外部认证密钥加密外部认证随机数。第一加密信息发送单元840用于将将加密后的外部认证随机数发送至用户设备,以便用户设备对CPU卡的相关目录进行外部认证。第二信息接收单元850用于接收用户设备发送的CPU卡的MAC数据随机数。MAC读取命令生成单元860用于根据MAC数据随机数生成MAC认证密钥和MAC读取命令。MAC读取命令发送单元870用于将MAC读取命令发送至用户设备,以便用户设备根据MAC读取命令读取CPU卡相关目录下的加密数据信息。加密数据信息解密单元880用于接收用户设备发送的加密数据信息后根据MAC认证密钥对加密数据信息进行解密。云平台根据MAC认证密钥对加密数据信息解密后,才通过RSA非对称解密出实际数据内容,云平台可以将解密后的数据发送至用户设备进行显示。
在该实施例中,省去了PSAM卡用来做母卡的加密认证方式,直接采用云平台来完成加密认证,用户无需携带PSAM卡,省去了PSAM卡损坏丢失等风险;另外,由于采用云平台来认证CPU卡,云平台数据存储空间大,可以在发卡的时候对卡片目录的实际内容采用RSA非对称加密,认证时可以从平台数据库获取密钥采用RSA非对称解密对数据内容进行解密,非对称加解密,数据的安全性更高;再者,密钥直接由云平台来管理,可以随时更新和作废已发行的CPU卡片,维护更方便安全。
图9为本发明用于CPU卡加密认证的用户设备的一个实施例的结构示意图。该用户设备包括第一模块910和第二模块920,第一模块910和第二模块920可以集成在具有NFC功能的移动终端,也可为分别为读卡装置和移动终端。
第一模块910用于将CPU卡的第一信息通过第二模块920发送至云平台,以便云平台根据第一信息生成第一加密信息,例如,将CPU卡的相关目录外部认证随机数和用户标识通过第二模块920发送至云平台,云平台根据用户标识生成外部认证密钥,并通过外部认证密钥加密外部认证随机数。
第一模块910还用于接收云平台通过第二模块920发送的第一加密信息,根据第一加密信息对CPU卡的相关目录进行外部认证;例如,通过第二模块920接收云平台发送的加密后的外部认证随机数,对CPU卡的相关目录进行外部认证。
第一模块910还用于将CPU卡的第二信息通过第二模块920发送至云平台,以便云平台根据第二信息生成MAC读取命令;例如,将CPU卡的MAC数据随机数通过第二模块920发送至云平台,云平台根据MAC数据随机数生成MAC认证密钥和MAC读取命令。
第一模块910还用于接收云平台通过第二模块920发送的MAC读取命令,根据MAC读取命令读取CPU卡相关目录下的加密数据信息。
第一模块910还用于将加密数据信息通过第二模块920发送至云平台,以便云平台根据MAC认证密钥对加密数据信息进行解密;云平台根据MAC认证密钥对加密数据信息解密后,才通过RSA非对称解密出实际数据内容,云平台可以将解密后的数据发送至用户设备进行显示。
第二模块920用于转发第一模块910发送的信息以及显示加密数据信息内容。
在该实施例中,用户设备将CPU卡的第一信息发送至云平台,以便云平台根据第一信息生成第一加密信息;接收云平台发送的第一加密信息,根据第一加密信息对CPU卡的相关目录进行外部认证;将CPU卡的第二信息发送至云平台,以便云平台根据第二信息生成MAC读取命令;接收云平台发送的MAC读取命令,根据MAC读取命令读取CPU卡相关目录下的加密数据信息;将加密数据信息发送至云平台,以便云平台根据MAC认证密钥对加密数据信息进行解密,能够提升CPU卡加密认证的安全性;另外,直接采用云平台来完成加密认证,无需携带PSAM卡,省去了PSAM卡损坏丢失等风险;结合智能终端来使用,无需额外增加PC等显示终端,还能够减少设备体积,应用更加方便快捷。
在本发明的另一个实施例中,第一模块910还用于将自身的MAC地址和授权数据通过第二模块920发送至云平台,以便在云平台进行认证。该用户设备可以包括读卡装置和移动终端,当用户在移动终端登陆账号和密码后,云平台可以对移动终端认证;移动终端与读卡装置配对后,移动终端可以读取读卡装置的MAC地址和授权数据,并将该MAC地址和授权数据发送至云平台,云平台可以认定读卡装置的合法性。如果该用户设备为具有NFC功能的移动终端,则可以仅对移动终端进行认证。
在该实施例中,在当前移动互联网的快速发展和智能手机的广泛应用的背景下,采用智能手机等用户设备作为介质,将密钥管理由传统的PSAM卡配合硬件的方式转移到云平台虚拟介质来完成密钥管理和认证,可有效的消除传统方式带来的不足之处。
在上述实施例中,已经介绍用户设备可以包括读卡装置和移动终端,也可以将读卡装置集成到移动终端中,其中用于CPU卡加密认证的系统包括上述用户设备1010和上述云平台1020,图10以用户设备1010包括读卡装置1011和移动终端1012为例对本发明的CPU卡加密认证的系统进行介绍,其中读卡装置1011可以包括13.56MHA的读卡芯片,并具有蓝牙模式。
用户打开移动终端管理软件和3G、4G、WIFI上网功能,输入管理帐号和密码,系统会自动提示打开蓝牙BLE功能,打开读卡装置1011电源开关,管理软件会自动查找读卡装置1011,选择系统找到的读卡装置1011进行配对,完成配对后,可以直接用读卡装置1011读卡,即可自动完成CPU卡、读卡装置1011、移动终端1012和云平台1020之间的交互过程。
用户在移动终端1012登陆账号、密码,由云平台1020进行认证。移动终端1012与读卡装置1011配对,读取读卡装置1011的MAC地址和授权数据,并将读卡装置1011的MAC地址和授权数据发送至云平台1020,由云平台1020认证读卡装置1011的合法性。读卡装置1011读取CPU卡的相关目录外部认证随机数R1和用户标识UID,并通过BLE(Bluetooth LowEnergy,低功耗蓝牙)发送至移动终端1012,移动终端1012将信息发送至云平台1020。云平台1020根据用户标识UID,从密钥库生成外部认证密钥k1,并通过外部认证密钥k1加密外部认证随机数R1生成加密的外部认证随机数k1(R1)。读卡装置1011通过移动终端1012接收云平台1020发送的加密后的外部认证随机数k1(R1)。读卡装置1011使用此k1(R1)对CPU卡的相关目录进行外部认证。读卡装置1011获取CPU卡的MAC数据随机数R2,并通过移动终端1012发送至云平台1020。云平台1020根据MAC数据随机数R2生成MAC认证密钥k2和MAC读取命令C。云平台1020通过移动终端1012向读卡装置1011发送MAC读取命令C。读卡装置1011通过MAC读取命令C读取CPU卡相关目录下的加密数据信息E(data)。读卡装置1011通过移动终端1012将加密数据信息E(data)发送至云平台1020。云平台1020根据MAC认证密钥k2对加密数据信息E(data)进行解密。云平台1020根据MAC认证密钥对加密数据信息解密后,才对数据的实际内容通过RSA非对称解密出实际数据内容data。云平台1020将CPU卡解密后的信息data发送至移动终端1012进行显示。
在上述实施例中,读卡装置1011与CPU卡之间的认证主要采用DES和3DES,标准的CPU卡支持的加密方式;读卡装置1011与移动终端1012交互主要用到AES加密和蓝牙BLE链路层加密;移动终端1012与云平台1020之间通过3G、4G、WIFI广域网等网络交互,数据交互采用AES加密算法加密;云平台1020对CPU卡目录内容采用RSA非对称加解密的方式来加解密实际数据内容。
针对支持NFC功能的移动终端,该实施例还可以直接省去读卡装置部分,如图11所示,改为移动终端1110直接与CPU卡操作,然后与云平台1120完成加密认证,此种方式与上述描述的区别为省去了读卡装置的认证过程,直接由移动终端1110的NFC功能代替,实现卡--手机--平台之间直接的交互。交换流程减少了读卡装置认证的步骤,其他的步骤如将移动终端的数据传输和读卡装置的读卡操作合并到智能终端上来完成,流程更加简便。
在上述实施例中,CPU卡的加密认证模式由传统的PASM卡修改为直接通过云平台来完成认证,省去了PSAM卡损坏丢失等风险。将传统的读卡装置读卡认证修改为结合智能移动终端的方式更方便快捷;利用云平台数据存储量大的特点可以支持RSA非对称加密对卡片目录的实际内容进行RSA非对称加密,保证数据认证较高的安全性,并且密钥直接由云平台来管理,可以随时更新和作废已发行的CPU卡片,维护更方便安全。
至此,已经详细描述了本发明。为了避免遮蔽本发明的构思,没有描述本领域所公知的一些细节。本领域技术人员根据上面的描述,完全可以明白如何实施这里公开的技术方案。
可能以许多方式来实现本发明的方法以及装置。例如,可通过软件、硬件、固件或者软件、硬件、固件的任何组合来实现本发明的方法以及装置。用于所述方法的步骤的上述顺序仅是为了进行说明,本发明的方法的步骤不限于以上具体描述的顺序,除非以其它方式特别说明。此外,在一些实施例中,还可将本发明实施为记录在记录介质中的程序,这些程序包括用于实现根据本发明的方法的机器可读指令。因而,本发明还覆盖存储用于执行根据本发明的方法的程序的记录介质。
虽然已经通过示例对本发明的一些特定实施例进行了详细说明,但是本领域的技术人员应该理解,以上示例仅是为了进行说明,而不是为了限制本发明的范围。本领域的技术人员应该理解,可在不脱离本发明的范围和精神的情况下,对以上实施例进行修改。本发明的范围由所附权利要求来限定。
Claims (10)
1.一种用于CPU卡加密认证的方法,由云平台执行,其特征在于,包括:
接收用户设备发送的CPU卡的相关目录外部认证随机数和用户标识,根据所述用户标识生成外部认证密钥,并通过所述外部认证密钥加密所述外部认证随机数,将加密后的外部认证随机数发送至用户设备,以便所述用户设备对所述CPU卡的相关目录进行外部认证;
接收所述用户设备发送的所述CPU卡的安全报文鉴别码MAC数据随机数,根据所述MAC数据随机数生成MAC认证密钥和MAC读取命令,并将所述MAC读取命令发送至所述用户设备,以便所述用户设备根据所述MAC读取命令读取所述CPU卡相关目录下的加密数据信息;
接收到所述用户设备发送的所述加密数据信息后根据MAC认证密钥对所述加密数据信息进行解密。
2.根据权利要求1所述的方法,其特征在于,还包括:
接收所述用户设备的MAC地址和授权数据,以便对所述用户设备进行认证。
3.一种用于CPU卡加密认证的方法,由用户设备执行,其特征在于,包括:
将CPU卡的相关目录外部认证随机数和用户标识发送至云平台,以便所述云平台根据所述用户标识生成外部认证密钥,并通过所述外部认证密钥加密所述外部认证随机数;
接收所述云平台发送的加密后的外部认证随机数,根据所述加密后的外部认证随机数对所述CPU卡的相关目录进行外部认证;
将所述CPU卡的安全报文鉴别码MAC数据随机数发送至所述云平台,以便所述云平台根据所述MAC数据随机数生成MAC认证密钥和MAC读取命令;
接收所述云平台发送的MAC读取命令,根据所述MAC读取命令读取所述CPU卡相关目录下的加密数据信息;
将所述加密数据信息发送至所述云平台,以便所述云平台根据MAC认证密钥对所述加密数据信息进行解密。
4.根据权利要求3所述的方法,其特征在于,还包括:
将自身的MAC地址和授权数据发送至所述云平台,以便所述云平台进行认证。
5.一种用于CPU卡加密认证的云平台,其特征在于,包括:
第一信息接收单元用于接收用户设备发送的CPU卡的相关目录外部认证随机数和用户标识;
第一信息加密单元,用于根据所述用户标识生成外部认证密钥,并通过所述外部认证密钥加密所述外部认证随机数;
第一加密信息发送单元,用于将加密后的外部认证随机数发送至用户设备,以便所述用户设备对所述CPU卡的相关目录进行外部认证;
第二信息接收单元,用于接收所述用户设备发送的所述CPU卡的安全报文鉴别码MAC数据随机数;
MAC读取命令生成单元,用于根据所述MAC数据随机数生成MAC认证密钥和MAC读取命令;
MAC读取命令发送单元,用于将所述MAC读取命令发送至所述用户设备,以便所述用户设备根据所述MAC读取命令读取所述CPU卡相关目录下的加密数据信息;
加密数据信息解密单元,用于接收到所述用户设备发送的所述加密数据信息后根据MAC认证密钥对所述加密数据信息进行解密。
6.根据权利要求5所述的云平台,其特征在于,还包括用户设备认证单元;
所述用户设备认证单元用于接收所述用户设备的MAC地址和授权数据后对所述用户设备进行认证。
7.一种用于CPU卡加密认证的用户设备,其特征在于,包括第一模块和第二模块;
所述第一模块用于将CPU卡的相关目录外部认证随机数和用户标识通过所述第二模块发送至云平台,以便所述云平台根据所述用户标识生成外部认证密钥,并通过所述外部认证密钥加密所述外部认证随机数;还用于接收所述云平台通过所述第二模块发送的加密后的外部认证随机数,以便对所述CPU卡的相关目录进行外部认证;还用于将所述CPU卡的安全报文鉴别码MAC数据随机数通过所述第二模块发送至所述云平台,以便所述云平台根据所述MAC数据随机数生成MAC认证密钥和MAC读取命令;还用于接收所述云平台通过所述第二模块发送的MAC读取命令,根据所述MAC读取命令读取所述CPU卡相关目录下的加密数据信息;还用于将所述加密数据信息通过所述第二模块发送至所述云平台,以便所述云平台根据MAC认证密钥对所述加密数据信息进行解密;
所述第二模块用于转发第一模块发送的信息以及显示所述加密数据信息内容。
8.根据权利要求7所述的用户设备,其特征在于,
所述第一模块还用于将自身的MAC地址和授权数据通过所述第二模块发送至所述云平台,以便所述云平台对所述第一模块进行认证。
9.根据权利要求7或8所述的用户设备,其特征在于,所述第一模块为读卡装置,所述第二模块为移动终端。
10.一种用于CPU卡加密认证的系统,其特征在于,包括权利要求5或6所述的云平台和权利要求7至9任一所述的用户设备。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201611021074.9A CN108075887B (zh) | 2016-11-15 | 用于cpu卡加密认证的方法、云平台、用户设备和系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201611021074.9A CN108075887B (zh) | 2016-11-15 | 用于cpu卡加密认证的方法、云平台、用户设备和系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN108075887A CN108075887A (zh) | 2018-05-25 |
CN108075887B true CN108075887B (zh) | 2024-07-02 |
Family
ID=
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101571926A (zh) * | 2009-06-09 | 2009-11-04 | 上海复旦微电子股份有限公司 | Ic卡的安全读写设备以及该设备的使用方法 |
CN103905388A (zh) * | 2012-12-26 | 2014-07-02 | 中国移动通信集团广东有限公司 | 一种认证方法、认证装置、智能卡、服务器 |
CN206195801U (zh) * | 2016-11-15 | 2017-05-24 | 北京维森科技有限公司 | 用于cpu卡加密认证的云平台、用户设备和系统 |
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101571926A (zh) * | 2009-06-09 | 2009-11-04 | 上海复旦微电子股份有限公司 | Ic卡的安全读写设备以及该设备的使用方法 |
CN103905388A (zh) * | 2012-12-26 | 2014-07-02 | 中国移动通信集团广东有限公司 | 一种认证方法、认证装置、智能卡、服务器 |
CN206195801U (zh) * | 2016-11-15 | 2017-05-24 | 北京维森科技有限公司 | 用于cpu卡加密认证的云平台、用户设备和系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20200104826A1 (en) | Contactless card emulation system and method | |
CN103279411B (zh) | 基于指纹识别进入应用程序的方法及系统 | |
JP6129325B2 (ja) | 通信端末でのアプリケーションプログラムを暗号化と復号化する方法、システム及び端末 | |
US20160104154A1 (en) | Securing host card emulation credentials | |
US9158939B2 (en) | Security chip, program, information processing apparatus, and information processing system | |
ES2970201T3 (es) | Sistema de identificación personal con tarjeta sin contacto | |
US20160012272A1 (en) | Fingerprint authentication system and a fingerprint authentication method based on nfc | |
CN101483654A (zh) | 实现认证及数据安全传输的方法及系统 | |
US20180247313A1 (en) | Fingerprint security element (se) module and payment verification method | |
RU2011130191A (ru) | Способ и система безопасной обработки транзакции | |
CN106789024B (zh) | 一种远程解锁方法、装置和系统 | |
CN101488111A (zh) | 一种身份认证方法和系统 | |
WO2010057423A1 (zh) | 智能卡的加密、解密方法及系统、读写器 | |
CN107332660A (zh) | 一种新型移动数据加密安全系统 | |
CN101944216A (zh) | 双因子在线交易安全认证方法及系统 | |
WO2015168878A1 (zh) | 支付方法和装置以及支付要素处理方法和装置 | |
CN103596175A (zh) | 一种基于近场通讯技术的移动智能终端认证系统及方法 | |
CN101557588B (zh) | 一种用户证书的管理及使用方法及移动终端 | |
CN103218633A (zh) | 一种rfid安全认证方法 | |
CN103944721A (zh) | 一种基于web的保护终端数据安全的方法和装置 | |
CN103514540B (zh) | 一种优盾业务实现方法及系统 | |
CN108075887B (zh) | 用于cpu卡加密认证的方法、云平台、用户设备和系统 | |
CN105516182A (zh) | 一种用于智能卡和读写器之间的双向认证方法及其系统 | |
CN103324970A (zh) | 一种高效安全的rfid的收发方法及其系统 | |
CN101094073A (zh) | 双因素内容保护 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant |