[go: up one dir, main page]

CN110049025A - 针对智能芯片卡实现安全遥毙处理的方法 - Google Patents

针对智能芯片卡实现安全遥毙处理的方法 Download PDF

Info

Publication number
CN110049025A
CN110049025A CN201910261847.8A CN201910261847A CN110049025A CN 110049025 A CN110049025 A CN 110049025A CN 201910261847 A CN201910261847 A CN 201910261847A CN 110049025 A CN110049025 A CN 110049025A
Authority
CN
China
Prior art keywords
authentication
chip card
smart chip
session key
client
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201910261847.8A
Other languages
English (en)
Inventor
邹翔
陈兵
梁皓
倪力舜
代乾坤
程岚
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Third Research Institute of the Ministry of Public Security
Original Assignee
Third Research Institute of the Ministry of Public Security
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Third Research Institute of the Ministry of Public Security filed Critical Third Research Institute of the Ministry of Public Security
Priority to CN201910261847.8A priority Critical patent/CN110049025A/zh
Priority to CN201910620824.1A priority patent/CN110278214B/zh
Publication of CN110049025A publication Critical patent/CN110049025A/zh
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06KGRAPHICAL DATA READING; PRESENTATION OF DATA; RECORD CARRIERS; HANDLING RECORD CARRIERS
    • G06K17/00Methods or arrangements for effecting co-operative working between equipments covered by two or more of main groups G06K1/00 - G06K15/00, e.g. automatic card files incorporating conveying and reading operations
    • G06K17/0022Methods or arrangements for effecting co-operative working between equipments covered by two or more of main groups G06K1/00 - G06K15/00, e.g. automatic card files incorporating conveying and reading operations arrangements or provisions for transferring data to distant stations, e.g. from a sensing device
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0866Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • H04L9/3213Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Power Engineering (AREA)
  • Storage Device Security (AREA)

Abstract

本发明涉及一种针对智能芯片卡实现安全遥毙处理的方法,包括实现专用机具与智能芯片卡之间的读认证机制、认证系统与专用机具之间读认证机制、智能芯片卡与认证系统之间写认证机制、智能芯片卡数据重置与核验机制。采用了本发明的针对智能芯片卡实现安全遥毙处理的方法,能够在无专用机具条件下实现智能芯片卡身份认证、识别出已注销智能芯片卡并建立遥毙安全通道,从而实现了高安全、高可靠的已注销智能芯片卡遥毙,有效降低了智能芯片卡离线认证不准确的安全风险。

Description

针对智能芯片卡实现安全遥毙处理的方法
技术领域
本发明涉及身份认证领域,尤其涉及智能芯片卡身份认证技术领域,具体是指一种针对智能芯片卡实现安全遥毙处理的方法。
背景技术
目前,智能芯片卡在金融、社保、交通、治安等多个领域,如金融IC卡、社保卡、交通一卡通、居民身份证件、芯片印章等业务应用中都得到了广泛使用。现有智能芯片卡身份认证通常包括在线认证与离线认证两种方式,在线认证方式通过服务端的认证服务系统实现了智能芯片卡的身份认证,而离线认证方式通过客户端的专用机具实现智能芯片卡的身份认证;智能芯片卡注销方法通常是将智能芯片卡中业务应用数据在认证系统中注销并发布注销状态信息,由于智能芯片卡丢失等情况下的无卡注销,智能芯片卡的业务应用数据仍留存于卡内,存在智能芯片卡实际已注销而离线认证却仍然有效的问题。
发明内容
本发明的目的是克服了上述现有技术的缺点,提供了一种满足准确性、有效性、操作简便的针对智能芯片卡实现安全遥毙处理的方法。
为了实现上述目的,本发明的针对智能芯片卡实现安全遥毙处理的方法如下:
该针对智能芯片卡实现安全遥毙处理的方法,其主要特点是,所述的方法包括有专用机具条件下实现智能芯片卡身份认证与遥毙安全通道建立的步骤,具体包括以下步骤:
(1-1)专用机具与智能芯片卡完成双向读认证,验证客户端读取智能芯片卡唯一编码和前255字节业务应用数据;
(1-2)认证系统与专用机具协商验证会话密钥,所述的验证客户端向认证系统发送在线认证请求信息;
(1-3)所述的认证系统返还数据至验证客户端,通过验证会话密钥进行数据完整性保护;
(1-4)所述的验证客户端发送重置数据请求,并清除智能芯片卡安全状态和智能芯片卡读写权限。
较佳地,所述的步骤(1-1)具体包括以下步骤:
(1-1.1)专用机具与智能芯片卡通过读认证机制完成双向读认证;
(1-1.2)验证客户端读取所述的智能芯片卡的唯一编码和前255字节业务应用数据,判断前255字节业务应用数据是否为重置数据,如果是,则提示已注销并退出步骤;否则继续步骤(1-2)。
较佳地,所述的步骤(1-2)具体包括以下步骤:
(1-2.1)所述的认证系统与专用机具完成读双向认证并协商验证会话密钥;
(1-2.2)所述的验证客户端向认证系统发送在线认证请求信息,使用验证会话密钥作数据完整性保护。
较佳地,所述的在线认证请求信息为智能芯片卡唯一编码UID和专用机具唯一编码SAMID。
较佳地,所述的步骤(1-3)具体包括以下步骤:
(1-3.1)所述的认证系统返还数据至验证客户端,通过验证会话密钥进行数据完整性保护;
(1-3.2)判断所述的智能芯片卡的状态是否正常,如果是,则返还智能芯片卡业务应用数据信息并退出步骤;否则,所述认证系统与智能芯片卡通过两者间写认证机制,完成写双向认证并协商遥毙会话密钥。
较佳地,所述的步骤(1-4)具体包括以下步骤:
(1-4.1)所述的验证客户端向认证系统发送重置数据请求,通过遥毙会话密钥作数据完整性保护;
(1-4.2)所述的认证系统返还数据至验证客户端,使用遥毙会话密钥作数据完整性保护;
(1-4.3)所述的验证客户端向智能芯片卡写入重置数据;
(1-4.4)所述的验证客户端清除智能芯片卡安全状态,进行智能芯片卡读写权限清除。
该针对智能芯片卡实现安全遥毙处理的方法,其主要特点是,所述的方法还包括有专用机具条件下实现认证系统与专用机具之间读认证机制的步骤,具体包括以下步骤:
(2-1)验证客户端和专用机具传输专用机具卡唯一编码、取随机数指令和取认证码指令,专用机具对随机数Rc进行加密获得认证码Token1,并返还至验证客户端;
(2-2)认证系统保护主密钥,通过认证通信保护主密钥对随机数Rs和解密获得的Rc'合成的分散因子进行加密,获得认证码Token2;
(2-3)专用机具对认证通信保护主密钥PMENC2获得会话密钥SK,并使用会话密钥SK加密专用机具唯一编码SAMID获得验证会话密钥;
(2-4)所述的认证系统产生认证通信保护主密钥PMENC2,通过会话密钥SK获得验证会话密钥,添加专用机具唯一编码SAMID和验证会话密钥的绑定信息到内存列表。
较佳地,所述的步骤(2-1)具体包括以下步骤:
(2-1.1)验证客户端读取专用机具的专用机具卡唯一编码;
(2-1.2)所述的验证客户端向所述的专用机具发送取随机数指令,专用机具返还随机数Rc至验证客户端;
(2-1.3)所述的验证客户端向专用机具发送取认证码指令,专用机具使用分散得到的认证通信保护主密钥对随机数Rc进行加密获得认证码Token1,并返还至验证客户端。
较佳地,所述的步骤(2-2)具体包括以下步骤:
(2-2.1)验证客户端向认证系统发送专用机具唯一编码SAMID和认证码Token1;
(2-2.2)所述的认证系统根据专用机具唯一编码分散产生认证通信保护主密钥,解密认证码Token1获得随机数Rc'并生成随机数Rs,通过认证通信保护主密钥对随机数Rs和Rc'合成的分散因子进行加密,获得认证码Token2;
(2-2.3)所述的认证系统向验证客户端返还专用机具唯一编码和认证码Token2,验证客户端发送认证码Token2至专用机具。
较佳地,所述的步骤(2-3)具体包括以下步骤:
(2-3.1)所述的专用机具解密认证码Token2获得Rc'和Rs',并返还至验证客户端;
(2-3.2)所述的验证客户端比对Rc和Rc'是否一致,如果是,则向专用机具发送计算验证会话密钥指令;否则退出步骤;
(2-3.3)所述的专用机具使用随机数Rc和Rs'作为分散因子,对认证通信保护主密钥PMENC2分散获得会话密钥SK,并使用会话密钥SK加密专用机具唯一编码SAMID获得验证会话密钥,并返还验证客户端。
较佳地,所述的步骤(2-4)具体包括以下步骤:
(2-4.1)所述的认证系统根据专用机具唯一编码分散产生认证通信保护主密钥PMENC2,并使用随机数Rc'和Rs作为分散因子对认证通信保护主密钥PMENC2分散产生会话密钥SK;
(2-4.2)所述的认证系统通过会话密钥SK加密专用机具唯一编码SAMID获得验证会话密钥,添加专用机具唯一编码SAMID和验证会话密钥的绑定信息到内存列表。
该针对智能芯片卡实现安全遥毙处理的方法,其主要特点是,所述的方法还包括无专用机具条件下实现智能芯片卡身份认证与遥毙安全通道建立的步骤,具体包括以下步骤:
(3-1)认证系统与智能芯片卡协商验证会话密钥,所述的验证客户端向认证系统发送在线认证请求信息;
(3-2)认证系统返还数据至验证客户端,使用验证会话密钥作数据完整性保护,判断智能芯片卡状态是否为正常,如果是,则返还智能芯片卡业务应用数据信息并退出步骤;否则,认证系统与智能芯片卡通过两者间写认证机制,完成写双向认证并协商遥毙会话密钥;
(3-3)验证客户端向认证系统发送获取重置数据请求,通过遥毙会话密钥作数据完整性保护,并清除智能芯片卡安全状态。
较佳地,所述的步骤(3-1)具体包括以下步骤:
(3-1.1)所述的认证系统与智能芯片卡通过两者间读认证机制完成读双向认证并协商验证会话密钥;
(3-1.2)所述的验证客户端向认证系统发送在线认证请求信息,使用验证会话密钥作数据完整性保护。
较佳地,所述的在线认证请求信息包括智能芯片卡唯一编码和专用机具唯一编码。
较佳地,所述的步骤(3-3)具体包括以下步骤:
(3-3.1)所述的验证客户端向认证系统发送获取重置数据请求,通过遥毙会话密钥作数据完整性保护;
(3-3.2)所述的认证系统返还重置数据至验证客户端,通过遥毙会话密钥作数据完整性保护;
(3-3.3)所述的验证客户端向智能芯片卡写入重置数据;
(3-3.4)所述的验证客户端清除智能芯片卡安全状态,完成智能芯片卡读写权限清除。
该针对智能芯片卡实现安全遥毙处理的方法,其主要特点是,所述的方法还包括无专用机具条件下实现认证系统与专用机具之间读认证机制的步骤,具体包括以下步骤:
(4-1)验证客户端读取智能芯片卡唯一编码,智能芯片卡发送随机数Rc至验证客户端;
(4-2)认证系统加密随机数Rc和Rr的合成数据获得会话密钥,加密智能芯片卡唯一编码获得验证会话密钥,添加智能芯片卡唯一编码和验证会话密钥到内存列表;
(4-3)所述的验证客户端和智能芯片卡通过读外部认证指令和读内部认证指令获得验证会话密钥。
较佳地,所述的步骤(4-1)具体包括以下步骤:
(4-1.1)所述的验证客户端读取智能芯片卡唯一编码,并向智能芯片卡发送取随机数指令;
(4-1.2)所述的智能芯片卡返还随机数Rc至验证客户端;
(4-1.3)所述的验证客户端向认证系统发送智能芯片卡唯一编码和随机数Rc。
较佳地,所述的步骤(4-2)具体包括以下步骤:
(4-2.1)所述的认证系统根据智能芯片卡唯一编码分散产生读认证主密钥,加密随机数Rc获得认证码Token1,认证系统产生随机数Rr,并返还认证码Token1和随机数Rr至验证客户端;
(4-2.2)所述的认证系统使用读认证主密钥加密随机数Rc和Rr的合成数据获得会话密钥,并使用会话密钥加密智能芯片卡唯一编码获得验证会话密钥,添加智能芯片卡唯一编码和验证会话密钥到内存列表,并定时清除使验证会话密钥超时无效。
较佳地,所述的步骤(4-3)具体包括以下步骤:
(4-3.1)所述的验证客户端向智能芯片卡发送包含认证码Token1的读外部认证指令;
(4-3.2)所述的智能芯片卡进行认证码Token1的认证,并返还读外部认证结果至验证客户端;
(4-3.3)所述的验证客户端向智能芯片卡发送读内部认证指令;
(4-3.4)所述的智能芯片卡使用读认证主密钥加密随机数Rc和Rr的合成数据获得会话密钥,并使用会话密钥加密智能芯片卡唯一编码获得验证会话密钥,并返还验证会话密钥至验证客户端。
该针对智能芯片卡实现安全遥毙处理的方法,其主要特点是,所述的方法还包括实现智能芯片卡与认证系统之间写认证机制的步骤,具体包括以下步骤:
(5-1)验证客户端读取智能芯片卡唯一编码,智能芯片卡发送智能芯片卡唯一编码和认证码Token1至验证客户端;
(5-2)所述的认证系统会话密钥加密智能芯片卡唯一编码获得遥毙会话密钥,并添加智能芯片卡唯一编码和遥毙会话密钥绑定信息到内存列表;
(5-3)所述的验证客户端和智能芯片卡通过写外部认证指令和写内部认证指令获得遥毙会话密钥。
较佳地,所述的步骤(5-1)具体包括以下步骤:
(5-1.1)所述的验证客户端读取智能芯片卡唯一编码UID;
(5-1.2)所述的验证客户端向智能芯片卡发送取认证码指令,智能芯片卡产生随机数Rc,并通过验证会话密钥加密随机数Rc获得认证码Token1,并返还认证码Token1至验证客户端;
(5-1.3)所述的验证客户端向认证系统发送智能芯片卡唯一编码和认证码Token1。
较佳地,所述的步骤(5-2)具体包括以下步骤:
(5-2.1)所述的认证系统通过验证会话密钥解密认证码Token1获得Rc',根据智能芯片卡唯一编码分散产生写认证主密钥,并使用写认证主密钥加密Rc'获得认证码Token2;
(5-2.2)所述的认证系统产生随机数Rr,通过写认证主密钥加密Rr获得认证码Token3,根据Rc和Rr合成数据分散获得会话密钥,通过会话密钥加密智能芯片卡唯一编码获得遥毙会话密钥,并添加智能芯片卡唯一编码和遥毙会话密钥绑定信息到内存列表,并定时清除使遥毙会话密钥超时无效;
(5-2.3)所述的认证系统返还认证码Token2和Token3至验证客户端。
较佳地,所述的步骤(5-3)具体包括以下步骤:
(5-3.1)所述的验证客户端向智能芯片卡发送包含Token2的写外部认证指令;
(5-3.2)所述的智能芯片卡认证Token2并返还写外部认证结果至验证客户端,若认证Token2失败,则退出,否则,验证客户端向智能芯片卡发送写内部认证指令;
(5-3.3)所述的智能芯片卡解密认证码Token3获得Rr',通过写认证主密钥对Rr'和Rc合成数据加密获得会话密钥,通过会话密钥加密智能芯片卡唯一编码获得遥毙会话密钥,并返还遥毙会话密钥至验证客户端。
采用了本发明的针对智能芯片卡实现安全遥毙处理的方法,能够在有专用机具条件下实现智能芯片卡身份认证、识别出已注销智能芯片卡并建立遥毙安全通道,包括实现专用机具与智能芯片卡之间的读认证机制、认证系统与专用机具之间读认证机制、智能芯片卡与认证系统之间写认证机制、智能芯片卡数据重置与核验机制;且能够在无专用机具条件下实现智能芯片卡身份认证、识别出已注销智能芯片卡并建立遥毙安全通道,包括智能芯片卡与认证系统之间读/写认证机制、智能芯片卡数据重置与核验机制,从而实现了高安全、高可靠的已注销智能芯片卡遥毙,有效降低了智能芯片卡离线认证不准确的安全风险。
附图说明
图1为本发明的针对智能芯片卡实现安全遥毙处理的方法的有专用机具条件下的智能芯片卡身份认证与遥毙安全通道建立机制的示意图。
图2为本发明的针对智能芯片卡实现安全遥毙处理的方法的有专用机具条件下的认证系统与专用机具之间读认证机制的示意图。
图3为本发明的针对智能芯片卡实现安全遥毙处理的方法的无专用机具条件下的智能芯片卡身份认证与遥毙安全通道建立机制的示意图。
图4为本发明的针对智能芯片卡实现安全遥毙处理的方法的无专用机具条件下的所述的智能芯片卡与认证系统之间读认证机制的示意图。
图5为本发明的针对智能芯片卡实现安全遥毙处理的方法的智能芯片卡与认证系统之间写认证机制的示意图。
具体实施方式
为了能够更清楚地描述本发明的技术内容,下面结合具体实施例来进行进一步的描述。
本发明的该针对智能芯片卡实现安全遥毙处理的方法,其中包括以下步骤:
所述的方法包括有专用机具条件下实现智能芯片卡身份认证与遥毙安全通道建立的步骤,具体包括以下步骤:
(1-1)专用机具与智能芯片卡完成双向读认证,验证客户端读取智能芯片卡唯一编码和前255字节业务应用数据;
(1-1.1)专用机具与智能芯片卡通过读认证机制完成双向读认证;
(1-1.2)验证客户端读取所述的智能芯片卡的唯一编码和前255字节业务应用数据,判断前255字节业务应用数据是否为重置数据,如果是,则提示已注销并退出步骤;否则继续步骤(1-2);
(1-2)认证系统与专用机具协商验证会话密钥,所述的验证客户端向认证系统发送在线认证请求信息;
(1-2.1)所述的认证系统与专用机具完成读双向认证并协商验证会话密钥;
(1-2.2)所述的验证客户端向认证系统发送在线认证请求信息,使用验证会话密钥作数据完整性保护;
(1-3)所述的认证系统返还数据至验证客户端,通过验证会话密钥进行数据完整性保护;
(1-3.1)所述的认证系统返还数据至验证客户端,通过验证会话密钥进行数据完整性保护;
(1-3.2)判断所述的智能芯片卡的状态是否正常,如果是,则返还智能芯片卡业务应用数据信息并退出步骤;否则,所述认证系统与智能芯片卡通过两者间写认证机制,完成写双向认证并协商遥毙会话密钥;
(1-4)所述的验证客户端发送重置数据请求,并清除智能芯片卡安全状态和智能芯片卡读写权限;
(1-4.1)所述的验证客户端向认证系统发送重置数据请求,通过遥毙会话密钥作数据完整性保护;
(1-4.2)所述的认证系统返还数据至验证客户端,使用遥毙会话密钥作数据完整性保护;
(1-4.3)所述的验证客户端向智能芯片卡写入重置数据;
(1-4.4)所述的验证客户端清除智能芯片卡安全状态,进行智能芯片卡读写权限清除。
较佳地,所述的在线认证请求信息为智能芯片卡唯一编码UID和专用机具唯一编码SAMID。
该针对智能芯片卡实现安全遥毙处理的方法,其主要特点是,所述的方法还包括有专用机具条件下实现认证系统与专用机具之间读认证机制的步骤,具体包括以下步骤:
(2-1)验证客户端和专用机具传输专用机具卡唯一编码、取随机数指令和取认证码指令,专用机具对随机数Rc进行加密获得认证码Token1,并返还至验证客户端;
(2-1.1)验证客户端读取专用机具的专用机具卡唯一编码;
(2-1.2)所述的验证客户端向所述的专用机具发送取随机数指令,专用机具返还随机数Rc至验证客户端;
(2-1.3)所述的验证客户端向专用机具发送取认证码指令,专用机具使用分散得到的认证通信保护主密钥对随机数Rc进行加密获得认证码Token1,并返还至验证客户端;
(2-2)认证系统保护主密钥,通过认证通信保护主密钥对随机数Rs和解密获得的Rc'合成的分散因子进行加密,获得认证码Token2;
(2-2.1)验证客户端向认证系统发送专用机具唯一编码SAMID和认证码Token1;
(2-2.2)所述的认证系统根据专用机具唯一编码分散产生认证通信保护主密钥,解密认证码Token1获得随机数Rc'并生成随机数Rs,通过认证通信保护主密钥对随机数Rs和Rc'合成的分散因子进行加密,获得认证码Token2;
(2-2.3)所述的认证系统向验证客户端返还专用机具唯一编码和认证码Token2,验证客户端发送认证码Token2至专用机具;
(2-3)专用机具对认证通信保护主密钥PMENC2获得会话密钥SK,并使用会话密钥SK加密专用机具唯一编码SAMID获得验证会话密钥;
(2-3.1)所述的专用机具解密认证码Token2获得Rc'和Rs',并返还至验证客户端;
(2-3.2)所述的验证客户端比对Rc和Rc'是否一致,如果是,则向专用机具发送计算验证会话密钥指令;否则退出步骤;
(2-3.3)所述的专用机具使用随机数Rc和Rs'作为分散因子,对认证通信保护主密钥PMENC2分散获得会话密钥SK,并使用会话密钥SK加密专用机具唯一编码SAMID获得验证会话密钥,并返还验证客户端;
(2-4)所述的认证系统产生认证通信保护主密钥PMENC2,通过会话密钥SK获得验证会话密钥,添加专用机具唯一编码SAMID和验证会话密钥的绑定信息到内存列表;
(2-4.1)所述的认证系统根据专用机具唯一编码分散产生认证通信保护主密钥PMENC2,并使用随机数Rc'和Rs作为分散因子对认证通信保护主密钥PMENC2分散产生会话密钥SK;
(2-4.2)所述的认证系统通过会话密钥SK加密专用机具唯一编码SAMID获得验证会话密钥,添加专用机具唯一编码SAMID和验证会话密钥的绑定信息到内存列表。
该针对智能芯片卡实现安全遥毙处理的方法,其主要特点是,所述的方法还包括无专用机具条件下实现智能芯片卡身份认证与遥毙安全通道建立的步骤,具体包括以下步骤:
(3-1)认证系统与智能芯片卡协商验证会话密钥,所述的验证客户端向认证系统发送在线认证请求信息;
(3-1.1)所述的认证系统与智能芯片卡通过两者间读认证机制完成读双向认证并协商验证会话密钥;
(3-1.2)所述的验证客户端向认证系统发送在线认证请求信息,使用验证会话密钥作数据完整性保护;
(3-2)认证系统返还数据至验证客户端,使用验证会话密钥作数据完整性保护,判断智能芯片卡状态是否为正常,如果是,则返还智能芯片卡业务应用数据信息并退出步骤;否则,认证系统与智能芯片卡通过两者间写认证机制,完成写双向认证并协商遥毙会话密钥;
(3-3)验证客户端向认证系统发送获取重置数据请求,通过遥毙会话密钥作数据完整性保护,并清除智能芯片卡安全状态;
(3-3.1)所述的验证客户端向认证系统发送获取重置数据请求,通过遥毙会话密钥作数据完整性保护;
(3-3.2)所述的认证系统返还重置数据至验证客户端,通过遥毙会话密钥作数据完整性保护;
(3-3.3)所述的验证客户端向智能芯片卡写入重置数据;
(3-3.4)所述的验证客户端清除智能芯片卡安全状态,完成智能芯片卡读写权限清除。
较佳地,所述的在线认证请求信息包括智能芯片卡唯一编码和专用机具唯一编码。
该针对智能芯片卡实现安全遥毙处理的方法,其主要特点是,所述的方法还包括无专用机具条件下实现认证系统与专用机具之间读认证机制的步骤,具体包括以下步骤:
(4-1)验证客户端读取智能芯片卡唯一编码,智能芯片卡发送随机数Rc至验证客户端;
(4-1.1)所述的验证客户端读取智能芯片卡唯一编码,并向智能芯片卡发送取随机数指令;
(4-1.2)所述的智能芯片卡返还随机数Rc至验证客户端;
(4-1.3)所述的验证客户端向认证系统发送智能芯片卡唯一编码和随机数Rc;
(4-2)认证系统加密随机数Rc和Rr的合成数据获得会话密钥,加密智能芯片卡唯一编码获得验证会话密钥,添加智能芯片卡唯一编码和验证会话密钥到内存列表;
(4-2.1)所述的认证系统根据智能芯片卡唯一编码分散产生读认证主密钥,加密随机数Rc获得认证码Token1,认证系统产生随机数Rr,并返还认证码Token1和随机数Rr至验证客户端;
(4-2.2)所述的认证系统使用读认证主密钥加密随机数Rc和Rr的合成数据获得会话密钥,并使用会话密钥加密智能芯片卡唯一编码获得验证会话密钥,添加智能芯片卡唯一编码和验证会话密钥到内存列表,并定时清除使验证会话密钥超时无效;
(4-3)所述的验证客户端和智能芯片卡通过读外部认证指令和读内部认证指令获得验证会话密钥。
(4-3.1)所述的验证客户端向智能芯片卡发送包含认证码Token1的读外部认证指令;
(4-3.2)所述的智能芯片卡进行认证码Token1的认证,并返还读外部认证结果至验证客户端;
(4-3.3)所述的验证客户端向智能芯片卡发送读内部认证指令;
(4-3.4)所述的智能芯片卡使用读认证主密钥加密随机数Rc和Rr的合成数据获得会话密钥,并使用会话密钥加密智能芯片卡唯一编码获得验证会话密钥,并返还验证会话密钥至验证客户端。
该针对智能芯片卡实现安全遥毙处理的方法,其主要特点是,所述的方法还包括实现智能芯片卡与认证系统之间写认证机制的步骤,具体包括以下步骤:
(5-1)验证客户端读取智能芯片卡唯一编码,智能芯片卡发送智能芯片卡唯一编码和认证码Token1至验证客户端;
(5-1.1)所述的验证客户端读取智能芯片卡唯一编码UID;
(5-1.2)所述的验证客户端向智能芯片卡发送取认证码指令,智能芯片卡产生随机数Rc,并通过验证会话密钥加密随机数Rc获得认证码Token1,并返还认证码Token1至验证客户端;
(5-1.3)所述的验证客户端向认证系统发送智能芯片卡唯一编码和认证码Token1;
(5-2)所述的认证系统会话密钥加密智能芯片卡唯一编码获得遥毙会话密钥,并添加智能芯片卡唯一编码和遥毙会话密钥绑定信息到内存列表;
(5-2.1)所述的认证系统通过验证会话密钥解密认证码Token1获得Rc',根据智能芯片卡唯一编码分散产生写认证主密钥,并使用写认证主密钥加密Rc'获得认证码Token2;
(5-2.2)所述的认证系统产生随机数Rr,通过写认证主密钥加密Rr获得认证码Token3,根据Rc和Rr合成数据分散获得会话密钥,通过会话密钥加密智能芯片卡唯一编码获得遥毙会话密钥,并添加智能芯片卡唯一编码和遥毙会话密钥绑定信息到内存列表,并定时清除使遥毙会话密钥超时无效;
(5-2.3)所述的认证系统返还认证码Token2和Token3至验证客户端;
(5-3)所述的验证客户端和智能芯片卡通过写外部认证指令和写内部认证指令获得遥毙会话密钥。
(5-3.1)所述的验证客户端向智能芯片卡发送包含Token2的写外部认证指令;
(5-3.2)所述的智能芯片卡认证Token2并返还写外部认证结果至验证客户端,若认证Token2失败,则退出,否则,验证客户端向智能芯片卡发送写内部认证指令;
(5-3.3)所述的智能芯片卡解密认证码Token3获得Rr',通过写认证主密钥对Rr'和Rc合成数据加密获得会话密钥,通过会话密钥加密智能芯片卡唯一编码获得遥毙会话密钥,并返还遥毙会话密钥至验证客户端。
本发明的具体实施方式中,目的是提供一种智能芯片卡安全遥毙方法,能够在有专用机具或无专用机具条件下实现智能芯片卡身份认证、识别出已注销智能芯片卡并建立遥毙安全通道,在此基础上实现已注销智能芯片卡的卡内数据重置与核验以完成安全遥毙,从而解决智能芯片卡离线认证的准确有效性问题。
为了实现上述目的,本发明的一种智能芯片卡安全遥毙方法,构成如下:
该智能芯片卡安全遥毙方法,其主要特点是,包括有专用机具条件下的智能芯片卡身份认证与遥毙安全通道建立机制、无专用机具条件下的智能芯片卡身份认证与遥毙安全通道机制以及智能芯片卡数据重置与核验机制,其中,
1、有专用机具条件下的智能芯片卡身份认证与遥毙安全通道建立机制,如图1所示:
专用机具与智能芯片卡通过两者间的读认证机制,完成双向读认证;
验证客户端读取智能芯片卡唯一编码和前255字节业务应用数据,若前255字节业务应用数据为重置数据,则提示已注销并退出,否则继续;
认证系统与专用机具通过两者间读认证机制完成读双向认证并协商验证会话密钥;
验证客户端向认证系统发送在线认证请求,使用验证会话密钥作数据完整性保护;
请求信息包括智能芯片卡唯一编码UID和专用机具唯一编码SAMID;
认证系统返还数据至验证客户端,使用验证会话密钥作数据完整性保护,若智能芯片卡状态为正常,则返还智能芯片卡业务应用数据信息并退出;
若智能芯片卡状态为已注销,认证系统与智能芯片卡通过两者间写认证机制,完成写双向认证并协商遥毙会话密钥;
验证客户端向认证系统发送重置数据请求,使用遥毙会话密钥作数据完整性保护;
认证系统返还数据至验证客户端,使用遥毙会话密钥作数据完整性保护;
验证客户端向智能芯片卡写入重置数据;
验证客户端清除智能芯片卡安全状态,完成智能芯片卡读写权限清除。
2、认证系统与专用机具之间读认证机制,如图2所示:
验证客户端读取专用机具的专用机具卡唯一编码;
验证客户端向专用机具发送取随机数指令,专用机具返还随机数Rc至验证客户端;
验证客户端向专用机具发送取认证码指令,专用机具使用分散得到的认证通信保护主密钥对随机数Rc进行加密获得认证码Token1,并返还给验证客户端;
验证客户端向认证系统发送专用机具唯一编码和认证码Token1;
认证系统根据专用机具唯一编码分散产生认证通信保护主密钥,解密认证码Token1获得随机数Rc',认证系统生成随机数Rs,并使用认证通信保护主密钥对随机数Rs和Rc'合成的分散因子进行加密,获得认证码Token2;
认证系统向验证客户端返还专用机具唯一编码和认证码Token2,验证客户端发送认证码Token2至专用机具;
专用机具解密认证码Token2获得Rc'和Rs',并返还至验证客户端;
验证客户端比对Rc和Rc'是否一致,若一致,则向专用机具发送计算验证会话密钥指令,否则退出;
专用机具使用随机数Rc和Rs'作为分散因子,对认证通信保护主密钥PMENC2分散获得会话密钥SK并使用会话密钥SK加密专用机具唯一编码SAMID获得验证会话密钥,并返还验证客户端;
认证系统根据专用机具唯一编码分散产生认证通信保护主密钥PMENC2,并使用随机数Rc'和Rs作为分散因子对认证通信保护主密钥PMENC2分散产生会话密钥SK;
认证系统使用会话密钥SK加密专用机具唯一编码SAMID获得验证会话密钥,添加专用机具唯一编码SAMID和验证会话密钥的绑定信息到内存列表,并定时清除使验证会话密钥超时无效。
3、智能芯片卡与认证系统之间写认证机制,如图5所示:
验证客户端读取智能芯片卡唯一编码UID;
验证客户端向智能芯片卡发送取认证码指令,智能芯片卡产生随机数Rc,并通过验证会话密钥加密随机数Rc获得认证码Token1,并返还认证码Token1至验证客户端;
验证客户端向认证系统发送智能芯片卡唯一编码和认证码Token1;
认证系统使用验证会话密钥解密认证码Token1获得Rc',并根据智能芯片卡唯一编码分散产生写认证主密钥,并使用写认证主密钥加密Rc'获得认证码Token2;
认证系统产生随机数Rr,并使用写认证主密钥加密Rr获得认证码Token3,根据Rc和Rr合成数据分散获得会话密钥,使用会话密钥加密智能芯片卡唯一编码获得遥毙会话密钥,并添加智能芯片卡唯一编码和遥毙会话密钥绑定信息到内存列表,并定时清除使遥毙会话密钥超时无效;
认证系统返还认证码Token2和Token3至验证客户端;
验证客户端向智能芯片卡发送包含Token2的写外部认证指令;
智能芯片卡认证Token2并返还写外部认证结果至验证客户端,若认证Token2失败,则退出,否则,验证客户端向智能芯片卡发送写内部认证指令;
智能芯片卡解密认证码Token3获得Rr',并使用写认证主密钥对Rr'和Rc合成数据加密获得会话密钥,并使用会话密钥加密智能芯片卡唯一编码获得遥毙会话密钥,并返还遥毙会话密钥至验证客户端。
4、无专用机具条件下的智能芯片卡身份认证与遥毙安全通道建立机制,如图4所示:
认证系统与智能芯片卡通过两者间读认证机制完成读双向认证并协商验证会话密钥;
验证客户端向认证系统发送在线认证请求,使用验证会话密钥作数据完整性保护;
请求信息包括智能芯片卡唯一编码和专用机具唯一编码。
认证系统返还数据至验证客户端,使用验证会话密钥作数据完整性保护,若智能芯片卡状态为正常,则返还智能芯片卡业务应用数据信息并退出;若状态为已注销,则认证系统与智能芯片卡通过两者间写认证机制,完成写双向认证并协商遥毙会话密钥;
验证客户端向认证系统发送获取重置数据请求,使用遥毙会话密钥作数据完整性保护;且认证系统返还重置数据至验证客户端,使用遥毙会话密钥作数据完整性保护;
验证客户端向智能芯片卡写入重置数据;且验证客户端清除智能芯片卡安全状态,完成智能芯片卡读写权限清除。
5、智能芯片卡与认证系统之间读认证机制,如图5所示:
验证客户端读取智能芯片卡唯一编码,并向智能芯片卡发送取随机数指令;
智能芯片卡产生并返还随机数Rc至验证客户端;
验证客户端向认证系统发送智能芯片卡唯一编码和随机数Rc;
认证系统根据智能芯片卡唯一编码分散产生读认证主密钥,并加密随机数Rc获得认证码Token1,认证系统产生随机数Rr,并返还认证码Token1和随机数Rr至验证客户端;同时,
认证系统使用读认证主密钥加密随机数Rc和Rr的合成数据获得会话密钥,并使用会话密钥加密智能芯片卡唯一编码获得验证会话密钥,添加智能芯片卡唯一编码和验证会话密钥到内存列表,并定时清除使验证会话密钥超时无效;
验证客户端向智能芯片卡发送包含认证码Token1的读外部认证指令;
智能芯片卡完成认证认证码Token1并返还读外部认证结果至验证客户端;
验证客户端向智能芯片卡发送读内部认证指令;
智能芯片卡使用读认证主密钥加密随机数Rc和Rr的合成数据获得会话密钥,并使用会话密钥加密智能芯片卡唯一编码获得验证会话密钥,并返还验证会话密钥至验证客户端。
无专用机具条件下的智能芯片卡身份认证与遥毙安全通道建立机制中,重置数据内容为255字节全0xFF数据信息,并分别写入智能芯片卡文件系统中相应业务应用数据文件的前255字节;业务应用数据文件包括文本信息文件和图像信息文件;离线认证时,专用机具通过读取智能芯片卡文件系统中相应业务应用数据文件的前255字节,若为全0xFF,则智能芯片卡为已注销状态。
采用了本发明的针对智能芯片卡实现安全遥毙处理的方法,能够在有专用机具条件下实现智能芯片卡身份认证、识别出已注销智能芯片卡并建立遥毙安全通道,包括实现专用机具与智能芯片卡之间的读认证机制、认证系统与专用机具之间读认证机制、智能芯片卡与认证系统之间写认证机制、智能芯片卡数据重置与核验机制;且能够在无专用机具条件下实现智能芯片卡身份认证、识别出已注销智能芯片卡并建立遥毙安全通道,包括智能芯片卡与认证系统之间读/写认证机制、智能芯片卡数据重置与核验机制,从而实现了高安全、高可靠的已注销智能芯片卡遥毙,有效降低了智能芯片卡离线认证不准确的安全风险。
在此说明书中,本发明已参照其特定的实施例作了描述。但是,很显然仍可以作出各种修改和变换而不背离本发明的精神和范围。因此,说明书和附图应被认为是说明性的而非限制性的。

Claims (23)

1.一种针对智能芯片卡实现安全遥毙处理的方法,其特征在于,所述的方法包括有专用机具条件下实现智能芯片卡身份认证与遥毙安全通道建立的步骤,具体包括以下步骤:
(1-1)专用机具与智能芯片卡完成双向读认证,验证客户端读取智能芯片卡唯一编码和前255字节业务应用数据;
(1-2)认证系统与专用机具协商验证会话密钥,所述的验证客户端向认证系统发送在线认证请求信息;
(1-3)所述的认证系统返还数据至验证客户端,通过验证会话密钥进行数据完整性保护;
(1-4)所述的验证客户端发送重置数据请求,并清除智能芯片卡安全状态和智能芯片卡读写权限。
2.根据权利要求1所述的针对智能芯片卡实现安全遥毙处理的方法,其特征在于,所述的步骤(1-1)具体包括以下步骤:
(1-1.1)专用机具与智能芯片卡通过读认证机制完成双向读认证;
(1-1.2)验证客户端读取所述的智能芯片卡的唯一编码和前255字节业务应用数据,判断前255字节业务应用数据是否为重置数据,如果是,则提示已注销并退出步骤;否则继续步骤(1-2)。
3.根据权利要求1所述的针对智能芯片卡实现安全遥毙处理的方法,其特征在于,所述的步骤(1-2)具体包括以下步骤:
(1-2.1)所述的认证系统与专用机具完成读双向认证并协商验证会话密钥;
(1-2.2)所述的验证客户端向认证系统发送在线认证请求信息,使用验证会话密钥作数据完整性保护。
4.根据权利要求3所述的针对智能芯片卡实现安全遥毙处理的方法,其特征在于,所述的在线认证请求信息为智能芯片卡唯一编码UID和专用机具唯一编码SAMID。
5.根据权利要求1所述的针对智能芯片卡实现安全遥毙处理的方法,其特征在于,所述的步骤(1-3)具体包括以下步骤:
(1-3.1)所述的认证系统返还数据至验证客户端,通过验证会话密钥进行数据完整性保护;
(1-3.2)判断所述的智能芯片卡的状态是否正常,如果是,则返还智能芯片卡业务应用数据信息并退出步骤;否则,所述认证系统与智能芯片卡通过两者间写认证机制,完成写双向认证并协商遥毙会话密钥。
6.根据权利要求1所述的针对智能芯片卡实现安全遥毙处理的方法,其特征在于,所述的步骤(1-4)具体包括以下步骤:
(1-4.1)所述的验证客户端向认证系统发送重置数据请求,通过遥毙会话密钥作数据完整性保护;
(1-4.2)所述的认证系统返还数据至验证客户端,使用遥毙会话密钥作数据完整性保护;
(1-4.3)所述的验证客户端向智能芯片卡写入重置数据;
(1-4.4)所述的验证客户端清除智能芯片卡安全状态,进行智能芯片卡读写权限清除。
7.根据权利要求1所述的针对智能芯片卡实现安全遥毙处理的方法,其特征在于,所述的方法还包括有专用机具条件下实现认证系统与专用机具之间读认证机制的步骤,具体包括以下步骤:
(2-1)验证客户端和专用机具传输专用机具卡唯一编码、取随机数指令和取认证码指令,专用机具对随机数Rc进行加密获得认证码Token1,并返还至验证客户端;
(2-2)认证系统保护主密钥,通过认证通信保护主密钥对随机数Rs和解密获得的Rc'合成的分散因子进行加密,获得认证码Token2;
(2-3)专用机具对认证通信保护主密钥PMENC2获得会话密钥SK,并使用会话密钥SK加密专用机具唯一编码SAMID获得验证会话密钥;
(2-4)所述的认证系统产生认证通信保护主密钥PMENC2,通过会话密钥SK获得验证会话密钥,添加专用机具唯一编码SAMID和验证会话密钥的绑定信息到内存列表。
8.根据权利要求7所述的针对智能芯片卡实现安全遥毙处理的方法,其特征在于,所述的步骤(2-1)具体包括以下步骤:
(2-1.1)验证客户端读取专用机具的专用机具卡唯一编码;
(2-1.2)所述的验证客户端向所述的专用机具发送取随机数指令,专用机具返还随机数Rc至验证客户端;
(2-1.3)所述的验证客户端向专用机具发送取认证码指令,专用机具使用分散得到的认证通信保护主密钥对随机数Rc进行加密获得认证码Token1,并返还至验证客户端。
9.根据权利要求7所述的针对智能芯片卡实现安全遥毙处理的方法,其特征在于,所述的步骤(2-2)具体包括以下步骤:
(2-2.1)验证客户端向认证系统发送专用机具唯一编码SAMID和认证码Token1;
(2-2.2)所述的认证系统根据专用机具唯一编码分散产生认证通信保护主密钥,解密认证码Token1获得随机数Rc'并生成随机数Rs,通过认证通信保护主密钥对随机数Rs和Rc'合成的分散因子进行加密,获得认证码Token2;
(2-2.3)所述的认证系统向验证客户端返还专用机具唯一编码和认证码Token2,验证客户端发送认证码Token2至专用机具。
10.根据权利要求7所述的针对智能芯片卡实现安全遥毙处理的方法,其特征在于,所述的步骤(2-3)具体包括以下步骤:
(2-3.1)所述的专用机具解密认证码Token2获得Rc'和Rs',并返还至验证客户端;
(2-3.2)所述的验证客户端比对Rc和Rc'是否一致,如果是,则向专用机具发送计算验证会话密钥指令;否则退出步骤;
(2-3.3)所述的专用机具使用随机数Rc和Rs'作为分散因子,对认证通信保护主密钥PMENC2分散获得会话密钥SK,并使用会话密钥SK加密专用机具唯一编码SAMID获得验证会话密钥,并返还验证客户端。
11.根据权利要求7所述的针对智能芯片卡实现安全遥毙处理的方法,其特征在于,所述的步骤(2-4)具体包括以下步骤:
(2-4.1)所述的认证系统根据专用机具唯一编码分散产生认证通信保护主密钥PMENC2,并使用随机数Rc'和Rs作为分散因子对认证通信保护主密钥PMENC2分散产生会话密钥SK;
(2-4.2)所述的认证系统通过会话密钥SK加密专用机具唯一编码SAMID获得验证会话密钥,添加专用机具唯一编码SAMID和验证会话密钥的绑定信息到内存列表。
12.根据权利要求1所述的针对智能芯片卡实现安全遥毙处理的方法,其特征在于,所述的方法还包括无专用机具条件下实现智能芯片卡身份认证与遥毙安全通道建立的步骤,具体包括以下步骤:
(3-1)认证系统与智能芯片卡协商验证会话密钥,所述的验证客户端向认证系统发送在线认证请求信息;
(3-2)认证系统返还数据至验证客户端,使用验证会话密钥作数据完整性保护,判断智能芯片卡状态是否为正常,如果是,则返还智能芯片卡业务应用数据信息并退出步骤;否则,认证系统与智能芯片卡通过两者间写认证机制,完成写双向认证并协商遥毙会话密钥;
(3-3)验证客户端向认证系统发送获取重置数据请求,通过遥毙会话密钥作数据完整性保护,并清除智能芯片卡安全状态。
13.根据权利要求12所述的针对智能芯片卡实现安全遥毙处理的方法,其特征在于,所述的步骤(3-1)具体包括以下步骤:
(3-1.1)所述的认证系统与智能芯片卡通过两者间读认证机制完成读双向认证并协商验证会话密钥;
(3-1.2)所述的验证客户端向认证系统发送在线认证请求信息,使用验证会话密钥作数据完整性保护。
14.根据权利要求13所述的针对智能芯片卡实现安全遥毙处理的方法,其特征在于,所述的在线认证请求信息包括智能芯片卡唯一编码和专用机具唯一编码。
15.根据权利要求12所述的针对智能芯片卡实现安全遥毙处理的方法,其特征在于,所述的步骤(3-3)具体包括以下步骤:
(3-3.1)所述的验证客户端向认证系统发送获取重置数据请求,通过遥毙会话密钥作数据完整性保护;
(3-3.2)所述的认证系统返还重置数据至验证客户端,通过遥毙会话密钥作数据完整性保护;
(3-3.3)所述的验证客户端向智能芯片卡写入重置数据;
(3-3.4)所述的验证客户端清除智能芯片卡安全状态,完成智能芯片卡读写权限清除。
16.根据权利要求12所述的针对智能芯片卡实现安全遥毙处理的方法,其特征在于,所述的方法还包括无专用机具条件下实现认证系统与专用机具之间读认证机制的步骤,具体包括以下步骤:
(4-1)验证客户端读取智能芯片卡唯一编码,智能芯片卡发送随机数Rc至验证客户端;
(4-2)认证系统加密随机数Rc和Rr的合成数据获得会话密钥,加密智能芯片卡唯一编码获得验证会话密钥,添加智能芯片卡唯一编码和验证会话密钥到内存列表;
(4-3)所述的验证客户端和智能芯片卡通过读外部认证指令和读内部认证指令获得验证会话密钥。
17.根据权利要求16所述的针对智能芯片卡实现安全遥毙处理的方法,其特征在于,所述的步骤(4-1)具体包括以下步骤:
(4-1.1)所述的验证客户端读取智能芯片卡唯一编码,并向智能芯片卡发送取随机数指令;
(4-1.2)所述的智能芯片卡返还随机数Rc至验证客户端;
(4-1.3)所述的验证客户端向认证系统发送智能芯片卡唯一编码和随机数Rc。
18.根据权利要求16所述的针对智能芯片卡实现安全遥毙处理的方法,其特征在于,所述的步骤(4-2)具体包括以下步骤:
(4-2.1)所述的认证系统根据智能芯片卡唯一编码分散产生读认证主密钥,加密随机数Rc获得认证码Token1,认证系统产生随机数Rr,并返还认证码Token1和随机数Rr至验证客户端;
(4-2.2)所述的认证系统使用读认证主密钥加密随机数Rc和Rr的合成数据获得会话密钥,并使用会话密钥加密智能芯片卡唯一编码获得验证会话密钥,添加智能芯片卡唯一编码和验证会话密钥到内存列表,并定时清除使验证会话密钥超时无效。
19.根据权利要求16所述的针对智能芯片卡实现安全遥毙处理的方法,其特征在于,所述的步骤(4-3)具体包括以下步骤:
(4-3.1)所述的验证客户端向智能芯片卡发送包含认证码Token1的读外部认证指令;
(4-3.2)所述的智能芯片卡进行认证码Token1的认证,并返还读外部认证结果至验证客户端;
(4-3.3)所述的验证客户端向智能芯片卡发送读内部认证指令;
(4-3.4)所述的智能芯片卡使用读认证主密钥加密随机数Rc和Rr的合成数据获得会话密钥,并使用会话密钥加密智能芯片卡唯一编码获得验证会话密钥,并返还验证会话密钥至验证客户端。
20.根据权利要求1所述的针对智能芯片卡实现安全遥毙处理的方法,其特征在于,所述的方法还包括实现智能芯片卡与认证系统之间写认证机制的步骤,具体包括以下步骤:
(5-1)验证客户端读取智能芯片卡唯一编码,智能芯片卡发送智能芯片卡唯一编码和认证码Token1至验证客户端;
(5-2)所述的认证系统会话密钥加密智能芯片卡唯一编码获得遥毙会话密钥,并添加智能芯片卡唯一编码和遥毙会话密钥绑定信息到内存列表;
(5-3)所述的验证客户端和智能芯片卡通过写外部认证指令和写内部认证指令获得遥毙会话密钥。
21.根据权利要求20所述的针对智能芯片卡实现安全遥毙处理的方法,其特征在于,所述的步骤(5-1)具体包括以下步骤:
(5-1.1)所述的验证客户端读取智能芯片卡唯一编码UID;
(5-1.2)所述的验证客户端向智能芯片卡发送取认证码指令,智能芯片卡产生随机数Rc,并通过验证会话密钥加密随机数Rc获得认证码Token1,并返还认证码Token1至验证客户端;
(5-1.3)所述的验证客户端向认证系统发送智能芯片卡唯一编码和认证码Token1。
22.根据权利要求20所述的针对智能芯片卡实现安全遥毙处理的方法,其特征在于,所述的步骤(5-2)具体包括以下步骤:
(5-2.1)所述的认证系统通过验证会话密钥解密认证码Token1获得Rc',根据智能芯片卡唯一编码分散产生写认证主密钥,并使用写认证主密钥加密Rc'获得认证码Token2;
(5-2.2)所述的认证系统产生随机数Rr,通过写认证主密钥加密Rr获得认证码Token3,根据Rc和Rr合成数据分散获得会话密钥,通过会话密钥加密智能芯片卡唯一编码获得遥毙会话密钥,并添加智能芯片卡唯一编码和遥毙会话密钥绑定信息到内存列表,并定时清除使遥毙会话密钥超时无效;
(5-2.3)所述的认证系统返还认证码Token2和Token3至验证客户端。
23.根据权利要求20所述的针对智能芯片卡实现安全遥毙处理的方法,其特征在于,所述的步骤(5-3)具体包括以下步骤:
(5-3.1)所述的验证客户端向智能芯片卡发送包含Token2的写外部认证指令;
(5-3.2)所述的智能芯片卡认证Token2并返还写外部认证结果至验证客户端,若认证Token2失败,则退出,否则,验证客户端向智能芯片卡发送写内部认证指令;
(5-3.3)所述的智能芯片卡解密认证码Token3获得Rr',通过写认证主密钥对Rr'和Rc合成数据加密获得会话密钥,通过会话密钥加密智能芯片卡唯一编码获得遥毙会话密钥,并返还遥毙会话密钥至验证客户端。
CN201910261847.8A 2019-04-02 2019-04-02 针对智能芯片卡实现安全遥毙处理的方法 Pending CN110049025A (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CN201910261847.8A CN110049025A (zh) 2019-04-02 2019-04-02 针对智能芯片卡实现安全遥毙处理的方法
CN201910620824.1A CN110278214B (zh) 2019-04-02 2019-07-10 针对智能芯片卡实现安全遥毙处理的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910261847.8A CN110049025A (zh) 2019-04-02 2019-04-02 针对智能芯片卡实现安全遥毙处理的方法

Publications (1)

Publication Number Publication Date
CN110049025A true CN110049025A (zh) 2019-07-23

Family

ID=67275889

Family Applications (2)

Application Number Title Priority Date Filing Date
CN201910261847.8A Pending CN110049025A (zh) 2019-04-02 2019-04-02 针对智能芯片卡实现安全遥毙处理的方法
CN201910620824.1A Active CN110278214B (zh) 2019-04-02 2019-07-10 针对智能芯片卡实现安全遥毙处理的方法

Family Applications After (1)

Application Number Title Priority Date Filing Date
CN201910620824.1A Active CN110278214B (zh) 2019-04-02 2019-07-10 针对智能芯片卡实现安全遥毙处理的方法

Country Status (1)

Country Link
CN (2) CN110049025A (zh)

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101771680B (zh) * 2008-12-29 2013-03-13 中国移动通信集团公司 一种向智能卡写入数据的方法、系统以及远程写卡终端
CH705774B1 (de) * 2011-11-16 2016-12-15 Swisscom Ag Verfahren, System und Karte zur Authentifizierung eines Benutzers durch eine Anwendung.
US20130238392A1 (en) * 2012-03-07 2013-09-12 Frequency Inc. Systems, methods, apparatuses, and computer program products for facilitating interaction and interconnectivity in a live entertainment setting
CN202548899U (zh) * 2012-03-12 2012-11-21 上海电信科技发展有限公司 移动一卡通平台
CN102945379A (zh) * 2012-06-27 2013-02-27 无锡北邮感知技术产业研究院有限公司 一种离线式rfid系统读卡器与标签双向认证方法
US9489785B2 (en) * 2013-03-14 2016-11-08 Covidien Lp RFID secure authentication
CN103279775B (zh) * 2013-05-03 2016-08-03 无锡昶达信息技术有限公司 能够保证秘密性和数据完整性的rfid系统及其实现方法
CN104579673B (zh) * 2014-03-06 2018-05-18 上海励识电子科技有限公司 Rfid卡与读卡器之间的交互认证方法
CN105636012B (zh) * 2014-10-27 2019-06-21 中国移动通信集团公司 一种写卡方法、智能卡、写卡平台和系统
CN106411522A (zh) * 2015-08-03 2017-02-15 中兴通讯股份有限公司 一种基于智能卡的在线认证方法、智能卡及认证服务器
CN108075894B (zh) * 2016-11-17 2023-03-28 广州大白互联网科技有限公司 一种身份认证在线处理方法和系统
CN109413648B (zh) * 2018-10-26 2022-03-25 国民技术股份有限公司 访问控制方法、终端、智能卡、后台服务器及存储介质

Also Published As

Publication number Publication date
CN110278214A (zh) 2019-09-24
CN110278214B (zh) 2020-05-01

Similar Documents

Publication Publication Date Title
US11664997B2 (en) Authentication in ubiquitous environment
CN101662469B (zh) 基于USBKey网上银行交易信息认证的方法和系统
US11917074B2 (en) Electronic signature authentication system based on biometric information and electronic signature authentication method
US9525690B2 (en) Securely integrating third-party applications with banking systems
CN101661599B (zh) 一种对设备系统自带的软件进行合法性认证的方法
US20160036793A1 (en) Key downloading method, management method, downloading management method, device and system
CN106203168B (zh) 数据库安全访问系统
TW201229932A (en) Physically secured authorization for utility applications
CN104021332A (zh) 一种基于指纹UsbKey实现身份鉴别和文件加解密的方法
CN106850638B (zh) 一种车载设备访问控制方法及系统
CN102004872A (zh) 一种基于指纹加密的身份认证系统及其实现方法
US8316437B2 (en) Method for protecting the access to an electronic object connected to a computer
CN111798224A (zh) 一种基于sgx的数字货币支付方法
CN104579681A (zh) 互信应用系统间身份认证系统
CN103606223A (zh) 一种卡片认证方法及装置
CN106100854A (zh) 基于权威主体的终端设备的逆向认证方法及系统
CN108881240A (zh) 基于区块链的会员隐私数据保护方法
US10764260B2 (en) Distributed processing of a product on the basis of centrally encrypted stored data
KR20100006004A (ko) 카드를 이용한 인증 처리 방법 및 시스템, 카드를 이용한인증 처리를 위한 카드 단말기
KR101295038B1 (ko) 보안 리더기를 이용한 공인 인증서 사용방법
CN110049025A (zh) 针对智能芯片卡实现安全遥毙处理的方法
KR20150017374A (ko) 아이씨칩을 이용한 결제 방법
CN103955998A (zh) 银行卡预留验证信息
KR101708880B1 (ko) 통합 로그인 장치 및 통합 로그인 방법
KR20130048532A (ko) 차세대 금융 거래 시스템

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
WD01 Invention patent application deemed withdrawn after publication

Application publication date: 20190723

WD01 Invention patent application deemed withdrawn after publication