CN111654510B - 一种带有国密加密功能的签批终端及签批数据传输方法 - Google Patents
一种带有国密加密功能的签批终端及签批数据传输方法 Download PDFInfo
- Publication number
- CN111654510B CN111654510B CN202010596515.8A CN202010596515A CN111654510B CN 111654510 B CN111654510 B CN 111654510B CN 202010596515 A CN202010596515 A CN 202010596515A CN 111654510 B CN111654510 B CN 111654510B
- Authority
- CN
- China
- Prior art keywords
- signing
- terminal
- data
- key
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/14—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y04—INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
- Y04S—SYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
- Y04S40/00—Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
- Y04S40/20—Information technology specific aspects, e.g. CAD, simulation, modelling, system security
Abstract
本发明涉及一种带有国密加密功能的签批终端及签批数据传输方法,所述签批终端包括主控芯片、国密芯片、电源和外部设备;所述主控芯片分别与所述国密芯片和外部设备电连接,用于运行安卓系统和应用程序,并管理所述外部设备;所述国密芯片用于秘钥管理并提供国密算法支持,包括SM2密钥对生成、SM2加解密、SM2签名、SM2验签、SM3摘要、SM4加解密;所述外部设备包括通信模块、显示模块、指纹模块和身份证模块,所述通信模块用于与服务器端或PC端建立通信连接;所述显示模块用于显示信息;所述指纹模块用于获取用户指纹数据;所述身份证模块用于获取用户身份证数据。
Description
技术领域
本发明涉及一种带有国密加密功能的签批终端及签批数据传输方法,属于智能签批终端和数据安全技术领域。
背景技术
当前市面上比较多的智能终端包括电子签名智能终端、电子签名摁印终端、智能交互终端、身份认证终端等设备,大部分都是基于android系统,加上电子签名、指纹仪、人像识别以及身份证信息读取功能,以达到行业应用需求。
但是上述现有的智能终端无法确保电子签名数据、身份证数据以及指纹数据的传输安全性,这些数据有很多都是通过线缆或网络的方式传输给PC机(个人电脑)或者网络服务器,但是无法确保数据传输的安全性,数据存在被窃听、修改的风险;在当前复杂的安全环境下,无法满足安全性要求。
发明内容
为了解决上述现有技术中存在的问题,本发明提供一种带有国密加密功能的签批终端,通过在签批终端内设置国密算法芯片,在数据传输的过程中,可以通过国密算法对数据进行加密,保证数据的安全性,并且设置有防拆电路和防入侵电路,防止设备被强拆破解。
本发明的技术方案如下:
技术方案一:
一种带有国密加密功能的签批终端,包括主控芯片、国密芯片、电源和外部设备;
所述主控芯片分别与所述国密芯片和外部设备电连接,用于运行安卓系统和应用程序,并管理所述外部设备;
所述国密芯片用于秘钥管理并提供国密算法支持,包括SM2密钥对生成、SM2加解密、SM2签名、SM2验签、SM3摘要、SM4加解密;
所述外部设备包括通信模块、显示模块、指纹模块和身份证模块,所述通信模块用于与服务器端或PC端建立通信连接;所述显示模块用于显示信息;所述指纹模块用于获取用户指纹数据;所述身份证模块用于获取用户身份证数据。
进一步的,还包括防拆电路和防入侵电路。
技术方案二
一种基于国密算法的签批数据传输方法,所述签批数据在签批终端与PC/服务器端之间传输,所述签批终端采用所述技术方案一中所述的一种带有国密加密功能的签批终端;所述传输方法包括以下步骤:
所述PC/服务器端向所述签批终端发起采集数据请求;
所述签批终端收到所述采集数据请求后,建立用于传输数据的安全通道,所述安全通道建立完成后获取临时传输秘钥TK;
所述签批终端通过外部设备采集身份证、指纹和手写签名的数据;
所述签批终端通过国密算法对所述身份证、指纹和手写签名的数据使用临时传输秘钥TK进行加密,通过安全通道将加密后的数据传输至所述PC/服务器端;
所述PC/服务器端使用临时传输秘钥TK对加密后的数据进行解密后,获取所述身份证、指纹和手写签名的数据;
数据传输完成后,销毁当前使用的所述临时传输秘钥TK。
进一步的,所述安全通道的建立步骤如下:
所述签批终端向所述PC/服务器端发起建立安全通道请求;
所述PC/服务器端收到请求后向所述签批终端发送PC/服务器端公钥PK;
所述签批终端收到PC/服务器端公钥PK后,使用认证中心公钥CAPK验证所述PC/服务器端公钥PK的合法性;验证失败则认为建立安全通道失败,结束流程;验证成功则继续以下步骤:
所述签批终端发送通信终端公钥TPK至所述PC/服务器端;
所述PC/服务器端收到通信终端公钥TPK后,使用认证中心公钥CAPK验证通信终端公钥TPK合法性,如果验签失败则建立通道失败,结束流程;验证成功则继续以下步骤:
所述PC/服务器端生成16字节的随机数,作为本次通信的传输密钥TK,并使用通信终端公钥TPK中的公钥用SM2算法加密传输密钥TK,然后使用PC/服务器端私钥SK对传输密钥TK的密文进行签名后发送至所述签批终端;
所述签批终端使用PC/服务器端下发的PC/服务器端公钥PK验签传输密钥TK的签名数据,验签通过后使用终端私钥TSK解密传输密钥TK密文得到TK明文,作为本次通信的临时密钥,完成安全通道的建立。
本发明具有如下有益效果:
通过在签批终端内设置国密算法芯片,在数据传输的过程中,可以通过国密算法对数据进行加密,保证数据的安全性,并且设置有防拆电路和防入侵电路,防止设备被强拆破解。
附图说明
图1为本发明实施例一中签批终端的框架原理图;
图2为本发明实施例二的流程图。
具体实施方式
下面结合附图和具体实施例来对本发明进行详细的说明。
实施例一
一种带有国密加密功能的签批终端,包括主控芯片、国密芯片、电源和外部设备,电源用于为终端内用电装置提供电能。
所述主控芯片分别与所述国密芯片和外部设备电连接,本实施例中主控芯片采用RK3288芯片,负责安卓系统的运行和应用程序功能同时还负责管理外部设备,其中安卓系统负责获取系统内部的指纹、电子签名以及身份证信息,并将这些信息通过国密算法系统加密后送给终端外的系统,而国密芯片和国密算法系统就负责密钥的分发、存储、加密以及解密等国密安全部分。
本实施例中,国密芯片采用SSX1710芯片,负责密钥管理、提供国密算法支持,包括SM2密钥对生成、SM2加解密、SM2签名、SM2验签、SM3摘要、SM4加解密。
所述外部设备包括通信模块、显示模块、指纹模块和身份证模块,所述通信模块用于与服务器端或PC端建立通信连接;所述显示模块用于显示身份证信息、指纹图像、签名图像以及软件运行提示等信息;所述指纹模块用于获取用户指纹数据;所述身份证模块用于获取用户身份证数据。
进一步的,还包括防拆电路和防入侵电路,防拆电路和防入侵电路与国密芯片连接,防拆电路和防入侵电路可使用现有技术中POS机、密码键盘等设备上使用的防拆电路和防入侵电路。由国密芯片负责整机的安全防护,包括攻击检测与防护、敏感服务控制、固件保护等。
本实施例通过在签批终端内设置国密算法芯片,在数据传输的过程中,可以通过国密算法对数据进行加密,保证数据的安全性,并且设置有防拆电路和防入侵电路,防止设备被强拆破解。
实施例二
一种基于国密算法的签批数据传输方法,所述签批数据在签批终端与PC/服务器端之间传输,所述签批终端采用所述实施例一中的一种带有国密加密功能的签批终端;所述传输方法包括以下步骤:
所述PC/服务器端向所述签批终端发起采集数据请求;
所述签批终端收到所述采集数据请求后,建立用于传输数据的安全通道,所述安全通道建立完成后获取临时传输秘钥TK;
所述签批终端通过外部设备采集身份证、指纹和手写签名的数据;
所述签批终端通过国密算法对所述身份证、指纹和手写签名的数据使用临时传输秘钥TK进行加密,通过安全通道将加密后的数据传输至所述PC/服务器端;
所述PC/服务器端使用临时传输秘钥TK对加密后的数据进行解密后,获取所述身份证、指纹和手写签名的数据。
进一步的,所述安全通道的建立步骤如下:
所述签批终端向所述PC/服务器端发起建立安全通道请求;
所述PC/服务器端收到请求后向所述签批终端发送PC/服务器端公钥PK,PK是提前注入PC端的公钥证书,有效期内都可以不改变;
所述签批终端收到PC/服务器端公钥PK后,使用认证中心公钥CAPK验证所述PC/服务器端公钥PK的合法性,CAPK是提前注入签批终端和PC端的公钥证书,有效期内都可以不改变;验证失败则认为建立安全通道失败,结束流程;验证成功则继续以下步骤:
所述签批终端发送通信终端公钥TPK至所述PC/服务器端,TPK是提前注入签批终端的公钥证书,有效期内都可以不改变;
所述PC/服务器端收到通信终端公钥TPK后,使用认证中心公钥CAPK验证通信终端公钥TPK合法性,如果验签失败则建立通道失败,结束流程;验证成功则继续以下步骤:
所述PC/服务器端生成16字节的随机数,作为本次通信的传输密钥TK,并使用通信终端公钥TPK中的公钥用SM2算法加密传输密钥TK,然后使用PC/服务器端私钥SK对传输密钥TK的密文进行签名后发送至所述签批终端,SK是PC端的私钥证书,有效期内都可以不改变;
所述签批终端使用PC/服务器端下发的PC/服务器端公钥PK验签传输密钥TK的签名数据,PK是公钥,可以对私钥SK签名的传输密钥TK的密文进行解密,并验证签名信息,验签通过后使用终端私钥TSK解密传输密钥TK密文得到TK明文,作为本次通信的临时密钥,临时传输秘钥TK经过了TPK公钥证书中的公钥加密的,而这个公钥和TSK是一对公私钥,签批终端可以使用私钥TSK对密文进行非对称解密;公钥加密,私钥解密,这里使用的是非对称加解密算法;
获取临时传输秘钥TK后,完成安全传输通道的建立,临时传输秘钥TK用于传输后续明文数据的密钥,这个临时传输秘钥TK在一次业务流程结束后就销毁了。
以上所述仅为本发明的实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (2)
1.一种基于国密算法的签批数据传输方法,其特征在于,所述签批数据在签批终端与PC/服务器端之间传输,所述签批终端采用一种带有国密加密功能的签批终端;所述签批终端包括主控芯片、国密芯片、电源和外部设备;
所述主控芯片分别与所述国密芯片和外部设备电连接,用于运行安卓系统和应用程序,并管理所述外部设备;
所述国密芯片用于秘钥管理并提供国密算法支持,包括SM2密钥对生成、SM2加解密、SM2签名、SM2验签、SM3摘要、SM4加解密;
所述外部设备包括通信模块、显示模块、指纹模块和身份证模块,所述通信模块用于与服务器端或PC端建立通信连接;所述显示模块用于显示信息;所述指纹模块用于获取用户指纹数据;所述身份证模块用于获取用户身份证数据;
所述传输方法包括以下步骤:
所述PC/服务器端向所述签批终端发起采集数据请求;
所述签批终端收到所述采集数据请求后,建立用于传输数据的安全通道,所述安全通道建立完成后获取临时传输秘钥TK;
所述签批终端通过外部设备采集身份证、指纹和手写签名的数据;
所述签批终端通过国密算法对所述身份证、指纹和手写签名的数据使用临时传输秘钥TK进行加密,通过安全通道将加密后的数据传输至所述PC/服务器端;
所述PC/服务器端使用临时传输秘钥TK对加密后的数据进行解密后,获取所述身份证、指纹和手写签名的数据;
数据传输完成后,销毁当前使用的所述临时传输秘钥TK;
所述安全通道的建立步骤如下:
所述签批终端向所述PC/服务器端发起建立安全通道请求;
所述PC/服务器端收到请求后向所述签批终端发送PC/服务器端公钥PK;
所述签批终端收到PC/服务器端公钥PK后,使用认证中心公钥CAPK验证所述PC/服务器端公钥PK的合法性;验证失败则认为建立安全通道失败,结束流程;验证成功则继续以下步骤:
所述签批终端发送通信终端公钥TPK至所述PC/服务器端;
所述PC/服务器端收到通信终端公钥TPK后,使用认证中心公钥CAPK验证通信终端公钥TPK合法性,如果验签失败则建立通道失败,结束流程;验证成功则继续以下步骤:
所述PC/服务器端生成16字节的随机数,作为本次通信的传输密钥TK,并使用通信终端公钥TPK中的公钥用SM2算法加密传输密钥TK,然后使用PC/服务器端私钥SK对传输密钥TK的密文进行签名后发送至所述签批终端;
所述签批终端使用PC/服务器端下发的PC/服务器端公钥PK验签传输密钥TK的签名数据,验签通过后使用终端私钥TSK解密传输密钥TK密文得到TK明文,作为本次通信的临时密钥,完成安全通道的建立。
2.根据权利要求1所述的一种基于国密算法的签批数据传输方法,其特征在于:所述签批终端还包括防拆电路和防入侵电路。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010596515.8A CN111654510B (zh) | 2020-06-28 | 2020-06-28 | 一种带有国密加密功能的签批终端及签批数据传输方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010596515.8A CN111654510B (zh) | 2020-06-28 | 2020-06-28 | 一种带有国密加密功能的签批终端及签批数据传输方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111654510A CN111654510A (zh) | 2020-09-11 |
| CN111654510B true CN111654510B (zh) | 2022-08-16 |
Family
ID=72345174
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010596515.8A Active CN111654510B (zh) | 2020-06-28 | 2020-06-28 | 一种带有国密加密功能的签批终端及签批数据传输方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111654510B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112491884A (zh) * | 2020-11-27 | 2021-03-12 | 中孚安全技术有限公司 | 一种基于国密算法的可视化数据展示方法、系统及加密设备 |
| CN112464291B (zh) * | 2020-12-17 | 2022-03-22 | 杭州电子科技大学 | 面向安卓智能终端的基于fpga的数据解密与脱敏设备 |
| CN114499891A (zh) * | 2022-03-21 | 2022-05-13 | 宁夏凯信特信息科技有限公司 | 一种签名服务器系统以及签名验证方法 |
| CN116484412B (zh) * | 2023-06-25 | 2024-03-22 | 深圳市上融科技有限公司 | 一种无源电磁触控屏手写签批加密算法、媒介及存储设备 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103338215A (zh) * | 2013-07-26 | 2013-10-02 | 中金金融认证中心有限公司 | 基于国密算法建立tls通道的方法 |
| CN206907059U (zh) * | 2017-09-25 | 2018-01-19 | 深圳易普森科技股份有限公司 | 二代身份证读取加密系统 |
| CN107896147A (zh) * | 2017-12-07 | 2018-04-10 | 福建联迪商用设备有限公司 | 一种基于国密算法协商临时会话密钥的方法及其系统 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106789018B (zh) * | 2016-12-20 | 2019-10-08 | 百富计算机技术(深圳)有限公司 | 密钥远程获取方法和装置 |
| CN108683498A (zh) * | 2018-05-14 | 2018-10-19 | 国网江西省电力有限公司电力科学研究院 | 一种基于可变密钥国密算法的云终端管控方法 |
-
2020
- 2020-06-28 CN CN202010596515.8A patent/CN111654510B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103338215A (zh) * | 2013-07-26 | 2013-10-02 | 中金金融认证中心有限公司 | 基于国密算法建立tls通道的方法 |
| CN206907059U (zh) * | 2017-09-25 | 2018-01-19 | 深圳易普森科技股份有限公司 | 二代身份证读取加密系统 |
| CN107896147A (zh) * | 2017-12-07 | 2018-04-10 | 福建联迪商用设备有限公司 | 一种基于国密算法协商临时会话密钥的方法及其系统 |
Non-Patent Citations (1)
| Title |
|---|
| 基于国密算法的银行移动营销终端安全系统研究;周宇坤等;《电子测试》;20180505(第09期);正文第1-2页 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111654510A (zh) | 2020-09-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111654510B (zh) | 一种带有国密加密功能的签批终端及签批数据传输方法 | |
| CN111614637B (zh) | 一种基于软件密码模块的安全通信方法及系统 | |
| CN111740844A (zh) | 基于硬件的国密算法的ssl通信方法及装置 | |
| US8386647B2 (en) | Method for time source calibration and system thereof | |
| CN107248075B (zh) | 一种实现智能密钥设备双向认证和交易的方法及装置 | |
| CN101212293B (zh) | 一种身份认证方法及系统 | |
| WO2019052286A1 (zh) | 基于区块链的用户身份验证方法、装置及系统 | |
| CN106790064B (zh) | 可信根服务器-云计算服务器模型中双方进行通信的方法 | |
| CN111372247A (zh) | 一种基于窄带物联网的终端安全接入方法及终端安全接入系统 | |
| CN101483654A (zh) | 实现认证及数据安全传输的方法及系统 | |
| CN112565265B (zh) | 物联网终端设备间的认证方法、认证系统及通讯方法 | |
| CN108323230B (zh) | 一种传输密钥的方法、接收终端和分发终端 | |
| CN102036236A (zh) | 一种对移动终端认证的方法和装置 | |
| CN106713279A (zh) | 一种视频终端身份认证系统 | |
| CN112232814A (zh) | 支付密钥的加密和解密方法、支付认证方法及终端设备 | |
| CN109474419A (zh) | 一种活体人像照片加密、解密方法及加解密系统 | |
| US20120124378A1 (en) | Method for personal identity authentication utilizing a personal cryptographic device | |
| CN104935441A (zh) | 一种认证方法及相关装置、系统 | |
| CN111435390A (zh) | 一种配电终端运维工具安全防护方法 | |
| CN111540093A (zh) | 一种门禁控制系统及其控制方法 | |
| CN105099705A (zh) | 一种基于usb协议的安全通信方法及其系统 | |
| CN113472793A (zh) | 一种基于硬件密码设备的个人数据保护系统 | |
| CN111224784B (zh) | 一种基于硬件可信根的角色分离的分布式认证授权方法 | |
| CN106953731B (zh) | 一种终端管理员的认证方法及系统 | |
| KR20180087543A (ko) | 키 관리 방법 및 fido 소프트웨어 인증장치 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |