CN101789068B - 读卡器安全认证装置及方法 - Google Patents
读卡器安全认证装置及方法 Download PDFInfo
- Publication number
- CN101789068B CN101789068B CN2009101052322A CN200910105232A CN101789068B CN 101789068 B CN101789068 B CN 101789068B CN 2009101052322 A CN2009101052322 A CN 2009101052322A CN 200910105232 A CN200910105232 A CN 200910105232A CN 101789068 B CN101789068 B CN 101789068B
- Authority
- CN
- China
- Prior art keywords
- authentication
- terminal
- card reader
- session
- signal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本发明揭示数据安全领域的一种读卡器、读卡器安全认证方法、装置及***,所述读卡器包括:数据传输模块,与终端和/或外接卡进行数据传输;设置数据加密算法和认证算法,进行认证;安全认证模块,与数据传输模块和终端连接通信,设置数据加密算法和认证算法,与数据传输模块和/或终端进行认证。本发明所述读卡器安全认证方法、装置及***,通过会话前的认证,增强了通信的安全性和读卡器的可靠性;通过会话中的加密,增强数据的保密性。
Description
技术领域
本发明涉及数据安全领域,特别涉及到读卡器、读卡器安全认证方法、装置及***。
背景技术
读卡器是可以与智能卡、存储卡或者其他类型卡片进行数据交换的设备。所述读卡器通过USB或者其他串口连接到个人电脑,可以与个人电脑之间进行数据交换,但是接收和发送数据都需要遵循所述读卡器的数据通讯协议。
读卡器是一个数据传输通讯模块,负责从终端(例如个人电脑或者其他电子设备)通过一定的数据通讯协议格式接收数据,并将此数据按照与读卡器连接的卡片能够接收的数据通讯协议格式,重新组织数据后转发给所述卡片;反之,从卡片接收数据后按照终端设备能够接收的数据通讯协议格式,重新组织数据后返回给终端。
目前的读卡器有以下方面的不足:终端与读卡器之间,按照数据通讯协议传输的数据没有经过加密处理,使数据容易被截取;终端与读卡器进行数据交换之前,相互之间无需进行任何认证,不能保证数据交换的安全性。
发明内容
本发明的目的之一为提供一种读卡器、读卡器安全认证方法、装置及***,提升了读卡器的可靠性和数据传输的安全性。
本发明提出一种读卡器,所述读卡器包括:
数据传输模块,与终端和/或外接卡进行数据传输;设置数据加密算法和认证算法,进行认证;
安全认证模块,与数据传输模块和终端连接通信,设置数据加密算法和认证算法,与数据传输模块和/或终端进行认证。
优选地,所述数据传输模块包括:
发送接收单元,发送和接收利用数据加密算法加密的数据信号以及利用认证算法加密的认证信号;
读卡认证单元,将接收后的认证信号解密认证以及产生认证信号供安全认证模块认证。
优选地,所述安全认证模块包括:
信号接收单元,接收数据传输模块和/或终端利用数据加密算法加密的数据信号和/或利用认证算法加密的认证信号;
加解密/认证单元,将所述认证信号解密认证,并可利用认证算法加密认证信号供数据传输模块和/或终端进行认证;
会话建立单元,在认证成功后,接收认证确认,建立数据传输模块与终端之间的会话,并产生会话信息传送给所述终端。
优选地,所述会话信息包括会话标识符和会话密钥。
优选地,所述安全认证模块还包括密钥产生单元,根据所述会话标识符产生会话密钥,加密会话。
优选地,所述加解密/认证单元,还包括将所述读卡器传送给终端的数据进行加密和/或将终端利用会话密钥加密传送给读卡器的数据解密。
本发明还提出一种读卡器安全认证***,对读卡器和与其连接通信的终端之间的通信进行认证,所述***包括:
读卡器和终端,发送和接收利用认证算法加密的认证信号,并将接收后的认证信号解密认证;
安全认证模块,与读卡器和终端连接通信,接收读卡器和/或终端利用认证算法加密的认证信号;将所述认证信号解密认证;并可利用认证算法加密认证信号供读卡器和/或终端进行认证;
认证成功后,建立读卡器与终端之间的会话,并产生会话信息传送给所述终端。
本发明还提出一种读卡器安全认证方法,对读卡器和与其连接通信的终端之间的通信进行认证,包括步骤:
利用认证算法加密认证信号供读卡器和/或终端进行认证;
接收读卡器和/或终端利用认证算法加密的认证信号;
将所述认证信号解密后认证;
认证成功后,建立读卡器与终端之间的会话,并产生会话信息传送给所述终端。
优选地,所述认证成功后,建立读卡器与终端之间的会话,并产生会话信息传送给所述终端的步骤还包括步骤:
根据所述会话标识符产生会话密钥,加密会话。
本发明还提出一种读卡器安全认证装置,与读卡器和/或终端连接通信,所述装置包括:
信号接收单元,接收读卡器和/或终端利用认证算法加密的认证信号;
加解密/认证单元,将所述认证信号解密后认证,并可利用认证算法加密认证信号供读卡器和/或终端进行认证;
会话建立单元,在认证成功后,建立读卡器与终端之间的会话,并产生会话信息传送给所述终端。
本发明所述读卡器、读卡器安全认证方法、装置及***,通过会话前的认证,增强了通信的安全性和读卡器的可靠性;通过会话中的加密,增强数据的保密性。
附图说明
图1是本发明第一实施例读卡器的结构示意图;
图2是本发明第二实施例读卡器的结构示意图;
图3是本发明第三实施例读卡器的结构示意图;
图4是本发明第四实施例读卡器安全认证***的结构示意图;
图5是本发明第五实施例读卡器安全认证方法的工作流程示意图;
图6是本发明第六实施例读卡器安全认证方法的工作流程示意图;
图7是本发明第七实施例读卡器安全认证装置的结构示意图;
图8是本发明第七实施例读卡器安全认证装置的另一结构示意图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
本发明提供一种读卡器、读卡器安全认证方法、装置及***,在读卡器和与读卡器连接的终端之间,建立需要通过认证的会话通信,并加密会话通信,保护数据;且读卡器内部需要进行认证,确保读卡器不会被仿冒。
参照图1,本发明第一实施例提出一种读卡器,其包括数据传输模块21和安全认证模块22。
所述数据传输模块21,与终端30和/或外接卡10进行数据传输;设置数据加密算法和认证算法,进行数据加密和认证;所述终端30可以是个人电脑或者其他电子设备;所述外接卡10可以是智能卡、存储卡或者其他类型可以进行数据交换的卡片。
所述安全认证模块22,与数据传输模块21和终端30连接通信,设置数据加密算法和认证算法,与数据传输模块21和/或终端30进行认证。
所述数据传输模块21和终端30,需要进行会话时,可以发起认证,通过将一数据利用认证算法加密后,传送给所述安全认证模块22;经过所述安全认证模块22利用认证算法解密后认证,并利用认证算法加密数据传输模块21或终端30送入的信息后形成认证信号,分别返回给所述数据传输模块21或终端30;所述数据传输模块21和终端30通过解密进行认证,确认解密后数据是发起认证时加密发送的数据,则认证成功。
本实施例,通过会话前的认证,增强了通信的安全性;同时,读卡器的所述数据传输模块21与所述安全认证模块22之间的认证,使得读卡器的所述数据传输模块21与所述安全认证模块22,不能被仿冒,增强读卡器的可靠性。
参照图2,本发明第二实施例基于第一实施例提出一种读卡器,其包括数据传输模块21和安全认证模块22。
所述数据传输模块21包括发送接收单元211和读卡认证单元212,所述发送接收单元211,发送和接收利用认证算法加密产生的认证信号;所述读卡认证单元212,将接收后的认证信号解密并认证。
所述安全认证模块22包括信号接收单元221、加解密/认证单元222和会话建立单元223,所述认证信号接收单元221,接收数据传输模块21和/或终端30利用认证算法加密产生的认证信号;所述加解密/认证单元222,将所述认证信号解密后认证,再利用认证算法加密数据传输模块21或终端30送入的信息后传送给数据传输模块21和/或终端30进行认证;所述会话建立单元223,在认证成功后,建立数据传输模块21与终端30之间的会话,并产生会话信息传送给所述终端30。
所述会话信息包括会话标识符和会话密钥等;所述会话密钥可以根据所述会话标识符等产生。
所述会话标识符可以对会话进行唯一标识。
本实施例数据加密算法可以是对称算法;认证算法可以是非对称算法等;所述认证信号可以是一随机数,所述随机数是由认证者产生;所述认证者可以是数据传输模块21和终端30和安全认证模块22等。
由于非对称算法中包括公钥和私钥,因此,在本实施例中,所述数据传输模块21中设置读卡私钥和认证公钥;所述终端30中设置终端私钥和认证公钥;所述安全认证模块22中设置认证私钥、读卡公钥和终端公钥。
所述数据传输模块21,可以发起认证,其可以向安全认证模块22请求一安全认证随机数,并自身生成一读卡随机数,利用读卡认证单元212的读卡私钥将所述安全认证随机数和读卡器随机数加密后,使用发送接收单元211传送给所述安全认证模块22;所述安全认证模块22通过信号接收单元221接收加密后的随机数,利用加解密/认证单元222的读卡公钥解密后,将解密后得到的安全认证随机数和安全认证模块22内部保存的原始随机数比较,两个随机数不相同则认证失败,拒绝继续通讯;两个随机数相同,则再使用加解密/认证单元222的认证私钥加密读卡随机数后,返回给所述数据传输模块21;所述数据传输模块21通过认证公钥解密得到解密后的读卡随机数,将解密后得到的读卡随机数和内部保存的原始随机数比较,两个随机数不相同,则认证失败,拒绝继续通讯,两个随机数相同,则认证成功。通过认证可以提高数据传输模块21与安全认证模块22的安全性,并且可以作为两者之间的硬件安全识别。
所述终端30,可以发起认证,其可以向安全认证模块22请求一安全认证随机数,并生成一终端随机数,利用终端私钥将所述安全认证随机数和终端随机数加密后,传送给所述安全认证模块22;所述安全认证模块22通过信号接收单元221接收加密后的随机数,利用加解密/认证单元222的终端公钥解密,得到解密后的安全认证随机数,将解密后的安全认证随机数和内部保存的原始随机数比较,两个随机数不相同,则认证失败,拒绝继续通讯;两个随机数相同,则认证成功,利用会话建立单元223生成会话标识符,并根据会话标识符生成会话密钥,使用终端公钥加密会话标识符和会话密钥形成加密会话信息,再使用加解密/认证单元222的认证私钥加密终端随机数后,将所述加密会话信息和加密终端随机数返回给所述终端30;所述终端30通过认证公钥解密加密终端随机数后得到解密后的终端随机数,将解密后的终端随机数和内部保存的原始随机数比较,两个随机数不相同,则认证失败,拒绝继续通讯,两个随机数相同,认证成功,用终端私钥解密得到会话标识符和会话密钥,从而建立了数据传输模块21与终端30之间的会话。通过认证可以提高数据传输模块21与终端30会话的安全性。
本实施例,通过使用非对称算法进行认证,使得认证更加安全可靠。
参照图3,本发明第三实施例基于第二实施例提出一种读卡器,其中,所述安全认证模块22还包括密钥产生单元,根据所述会话标识符产生会话密钥,利用所述非对称算法加密传送给所述终端30,加密会话。
所述密钥产生单元224,在上电时产生一个随机数作为会话密钥的根密钥,并将会话数目设置为一个随机初始值,终端30每次申请会话时,会话数目自动增一,并将增一后的会话数目作为终端30的会话标识符,利用会话密钥的根密钥对会话标识符分散就得到会话密钥,分散算法为对称算法,利用所述加解密/认证单元222的终端公钥,对所述会话标识符和会话密钥加密发送给所述终端30。
所述加解密/认证单元222,还包括将所述读卡器传送给终端30的数据进行加密和/或将终端30利用会话密钥加密传送给读卡器的数据解密。
所述数据传输模块21,还可以在与所述安全认证模块22的认证通过后,向所述安全认证模块22申请所述会话密钥;所述安全认证模块22将会话标识符和会话密钥,利用读卡公钥加密后发送给所述数据传输模块21。
所述数据传输模块21将导入所述会话密钥,如果导入成功,将使用所述会话密钥与所述终端30进行加密的数据交换;将从所述外接卡10中读取的数据,通过所述会话密钥加密后,传送给所述终端30,并接收终端30传送的数据,利用所述会话密钥解密后,传送给外接卡10进行存储;如果导入不成功,则通过所述安全认证模块22进行加解密。
所述终端30,在接收所述加密的会话标识符和会话密钥并解密后,也可以使用所述会话密钥对数据进行加解密,与所述数据传输模块21进行加密的数据交换。
由于会话不同,会话标识符将变化,而导致会话密钥变化,使得会话密钥被破译的可能性减少,增加了数据传输的安全性。
本实施例所述安全认证模块22可以是终端安全存取模块(Purchase SecureAccess Module,PSAM)。
本实施例所述读卡器还可以外接射频模块等,与所述外接卡10进行无线数据交换。
本实施例所述读卡器,通过认证与加密,提高硬件的可靠性和数据传输的安全性。
参照图4,本发明第四实施例提出一种读卡器安全认证***,对读卡器和与其连接通信的终端30之间的通信进行认证,所述***包括:
读卡器40和终端30,发送和接收利用认证算法加密产生的认证信号,并将接收后的加密的认证信号解密认证;所述终端30可以是个人电脑或者其他电子设备;所述认证信号可以是由安全认证模块22产生的一随机数。
安全认证模块22,与读卡器40和终端30连接通信,接收读卡器40和/或终端30利用认证算法加密产生的认证信号;
将所述认证信号解密认证,再利用认证算法加密读卡器40和/或终端30送入的信息后传送给读卡器40和/或终端30进行认证;
在认证成功后,建立读卡器40与终端30之间的会话,并产生会话信息传送给所述终端30。
所述会话信息包括会话标识符和会话密钥等;所述会话密钥可以根据所述会话标识符等产生。
所述会话标识符可以对会话进行唯一标识。
本实施例数据加密算法可以是对称算法;认证算法可以是非对称算法等;所述认证信号可以是一随机数,所述随机数是由认证者产生;所述认证者可以是读卡器40和终端30等。
由于非对称算法中包括公钥和私钥,因此,在本实施例中,所述读卡器40中设置读卡私钥和认证公钥;所述终端30中设置终端私钥和认证公钥;所述安全认证模块22中设置认证私钥、读卡公钥和终端公钥。
所述读卡器40,可以发起认证,其可以向安全认证模块22请求一安全认证随机数,并产生一个读卡随机数,利用读卡私钥将所述安全认证随机数和读卡器机数加密后,传送给所述安全认证模块22;所述安全认证模块22接收加密后的安全认证随机数,利用读卡公钥解密,得到解密后的安全认证随机数,并与内部保存的原始随机数比较,两个随机数不相同,则认证失败,拒绝继续通讯;两个随机数相同,则认证成功,再使用认证私钥加密读卡随机数后,返回给所述读卡器40;所述读卡器40通过认证公钥解密进行认证,确认解密后得到的数据是读卡器产生的读卡随机数,则认证成功。通过认证可以提高读卡器40与终端30会话的安全性,并且可以对读卡器40进行识别。
所述终端30,可以发起认证,其可以向安全认证模块22请求一安全认证随机数,并产生一个终端随机数,利用终端私钥将所述安全认证随机数和终端随机数加密后,传送给所述安全认证模块22;所述安全认证模块22接收加密后的认证信号,利用终端公钥解密,得到解密后的安全认证随机数,并与内部保存的原始随机数比较,两个随机数不相同,则认证失败,拒绝继续通讯;两个随机数相同,则认证成功,生成会话标识符以及会话密钥,再使用认证私钥加密终端随机数,用终端公钥加密会话标识符和会话密钥后,返回给所述终端30;所述终端30通过认证公钥解密得到解密后的终端随机数与内部保存的原始终端随机数比较进行认证,确认解密后的终端随机数是发起认证时生成的原始终端随机数,则认证成功,用终端私钥解密得到会话标识符和会话密钥,从而建立读卡器40与终端30之间的会话。通过认证可以提高读卡器40与终端30会话的安全性。
所述安全认证模块22,还可以利用所述加解密/认证单元222生成会话标识符,并用会话根密钥(上电时生成的随机数)对会话标识符分散以产生会话密钥。使用加解密/认证单元222的终端公钥对会话标识符和会话密钥加密后发送给所述终端30。
所述读卡器40,还可以在与所述安全认证模块22的认证通过后,向所述安全认证模块22申请所述会话密钥;所述安全认证模块22将会话标识符和会话密钥,利用读卡公钥加密后发送给所述读卡器40。
所述读卡器40将导入所述会话密钥,如果导入成功,将使用所述会话密钥与所述终端30进行加密的数据交换;将从所述外接卡10中读取的数据,通过所述会话密钥加密后,传送给所述终端30,并接收终端30传送的数据,利用所述会话密钥解密后,传送给外接卡10进行存储;如果导入不成功,则通过所述安全认证模块22进行传输数据加解密。
所述终端30,在接收所述加密的会话标识符和会话密钥并解密后,也可以使用所述会话密钥对数据进行传输数据加解密,与所述读卡器40进行加密的数据交换。
由于会话不同,会话标识符将变化,而导致会话密钥变化,使得会话密钥被破译的可能性减少,增加了数据传输的安全性。
本实施例所述安全认证模块22可以是终端安全存取模块。
本实施例所述读卡器安全认证***,通过认证与加密,提高硬件的可靠性和数据传输的安全性。
参照图5,本发明第五实施例提出一种读卡器安全认证方法,对读卡器40和与其连接通信的终端30之间的通信进行认证,包括步骤:
S10、利用认证算法加密认证信号供读卡器和/或终端进行认证;
S11、接收读卡器40和/或终端30利用加密算法加密的认证信号;
S12、将所述认证信号解密后认证;
S13、认证成功后,建立读卡器40与终端30之间的会话,并产生会话信息传送给所述终端30。
本实施例,所述终端30可以是个人电脑或者其他电子设备;所述认证信号可以是一随机数;所述会话标识符可以对会话进行唯一标识;所述加密算法可以是非对称算法等。由于非对称算法中包括公钥和私钥,因此,在本实施例中,设置有读卡私钥和读卡公钥、终端私钥和终端公钥以及认证私钥和认证公钥;所述读卡器40中设置读卡私钥和认证公钥;所述终端30中设置终端私钥和认证公钥。
如步骤S10所述,在读卡器40与终端30之间的会话建立前,先需要进行认证;在本实施例中,认证也可以通过设置安全认证模块22实现,首先,由读卡器40和/或终端30向安全认证模块22请求认证;然后,安全认证模块22返回安全认证随机数给读卡器40和/或终端30。
如步骤S11所述,读卡器40和/或终端30产生读卡随机数和/或终端随机数,并用读卡私钥和/或终端私钥对安全认证随机数和读卡随机数和/或终端随机数加密形成加密认证信号,并将认证信号传送给安全认证模块22;
如步骤S12所述,安全认证模块22接收到加密的认证信号后,用读卡器公钥和/或终端公钥解密认证信号,得到解密后的安全认证随机数、读卡随机数和/或终端随机数。
所述安全认证模块22比较解密后的安全认证随机数和内部保存的原始安全认证随机数是否相同,不相同,则认证失败,相同,认证成功。
如步骤S13所述,如果是终端30请求的认证,则安全认证模块22产生会话信息,并用终端公钥加密会话信息传送给终端30,同时,利用认证私钥加密终端随机数形成认证信号,传送给终端30进行认证;如果是读卡器40请求认证,则安全认证模块22利用认证私钥加密读卡随机数形成认证信号,并传送给读卡器40进行认证。
读卡器40和/或终端30接收到认证信号后,先用认证公钥解密认证信号得到解密后的读卡随机数和/或终端随机数,并比较解密后的随机数与保存的原始随机数是否相同,如果不相同,认证失败,则拒绝继续通讯;如果相同,认证成功,会话建立;如果是终端30,则用终端私钥解密得到会话信息。
终端30在建立会话时,还可以随机产生一个公私钥对,并将公钥传递给安全认证模块22,安全认证模块22在认证成功后,利用传递进来的临时终端公钥加密会话信息传回给终端30,终端30再利用临时终端私钥解密得到会话信息。
所述会话信息包括会话标识符和会话密钥等;所述会话密钥可以根据所述会话标识符等产生。
本实施例所述读卡器安全认证方法,通过会话前的认证,增强了通信的安全性,而且可以对读卡器40进行识别,防止读卡器40被假冒。
参照图6,本发明第六实施例基于第五实施例提出一种读卡器安全认证方法,还包括步骤:
S130、根据所述会话标识符产生会话密钥,利用所述认证算法加密传送给所述终端,加密会话。
如步骤S130所述,安全认证模块22上电时生成一随机数作为会话根密钥和一随机数作为会话标识符初始值;
终端30每次申请认证,且安全认证模块22认证终端30成功的基础上,会话标识符初始值增一,并将增一后的会话标识符初始值作为此次会话的会话标识符,并用对称算法使用会话根密钥分散会话标识符得到会话密钥。
所述读卡器40将使用所述会话密钥与所述终端30进行加密的数据交换;将从所述外接卡10中读取的数据,通过所述会话密钥加密后,传送给所述终端30,并接收终端30传送的数据,利用所述会话密钥解密后,传送给外接卡10进行存储。
所述终端30,也可以使用所述会话密钥对数据进行加解密,与所述读卡器40进行加密的数据交换。
由于会话不同,会话标识符将变化,而导致会话密钥变化,使得会话密钥被破译的可能性减少,增加了数据传输的安全性。
本实施例所述读卡器安全认证方法,通过认证与加密,提高硬件的可靠性和数据传输的安全性。
参照图7,本发明第七实施例提出一种读卡器安全认证装置50,与读卡器40和/或终端30连接通信,所述读卡器安全认证装置50包括:
信号接收单元221,接收读卡器40和/或终端30利用认证算法加密的认证信号;
加解密/认证单元222,将所述认证信号解密认证,再利用认证算法加密读卡器40和/或终端30送入的信息后传送给读卡器40和/或终端30进行认证;
会话建立单元223,在认证成功后,建立读卡器40与终端30之间的会话,并产生会话信息传送给所述终端30。
所述会话信息包括会话标识符和会话密钥等;所述会话密钥可以根据所述会话标识符等产生。
所述加解密/认证单元222,还包括将所述读卡器40传送给终端30的数据进行加密和/或将终端30利用会话密钥加密传送给读卡器40的数据解密。
本实施例,所述终端30可以是个人电脑或者其他电子设备;所述认证信号可以是由读卡器安全认证装置50产生的一随机数;所述会话标识符可以对会话进行唯一标识;所述认证算法可以是非对称算法等。由于非对称算法中包括公钥和私钥,因此,在本实施例中,所述读卡器40中设置读卡私钥和认证公钥;所述终端30中设置终端私钥和认证公钥;所述加解密/认证单元222中设置认证私钥、读卡公钥和终端公钥。
所述读卡器40,可以发起认证,其可以向所述读卡器安全认证装置50请求一安全认证随机数,并产生一读卡随机数,利用读卡私钥将所述安全认证随机数和读卡随机数加密后发送;所述信号接收单元221接收加密后的认证信号,利用加解密/认证单元222的读卡公钥解密和得到解密后的安全认证随机数和读卡随机数,并比较解密后的安全认证随机数与内部保存的原始安全认证随机数是否相同,如果不相同,则认证失败,拒绝继续通讯;如果相同,则认证成功,再使用加解密/认证单元222的认证私钥加密读卡随机数后,返回给所述读卡器40;所述读卡器40通过认证公钥解密进行认证,确认解密后数据是发起认证时生成的读卡随机数,则认证成功,向所述信号接收单元221发送认证确认。通过认证可以提高读卡器40与终端30会话的安全性,并且可以对读卡器40进行识别。
所述终端30,可以发起认证,其可以向所述读卡器安全认证装置50请求一安全认证随机数,并产生一终端随机数,利用终端私钥将所述安全认证随机数和终端随机数加密后发送;所述信号接收单元221接收加密后的认证信号,利用加解密/认证单元222的终端公钥解密后得到解密后的安全认证随机数和终端随机数,并比较解密后的安全认证随机数与内部保存的原始随机数是否相同,如果不相同,则认证失败,拒绝继续通讯;如果相同,则认证成功,利用会话建立单元生成会话标识符和会话密钥,再使用加解密/认证单元222的认证私钥加密终端随机数后形成加密认证信号,使用终端公钥加密会话标识符和会话密钥形成加密会话信息,将加密认证信号和加密会话信息返回给所述终端30;所述终端30通过认证公钥解密进行认证,确认解密后数据是发起认证时产生的终端随机数,则认证成功,再利用终端私钥解密加密会话信息得到会话标识符和会话密钥,从而建立了读卡器40与终端30之间的会话。通过认证可以提高读卡器40与终端30会话的安全性。
参照图8,所述读卡器安全认证装置50还包括密钥产生单元224,可以利用安全认证模块上电时产生的一个随机数作为会话根密钥和另外一个随机数作为会话标识符初始值,每次会话申请时会话标识符初始值增一,并将增一后的会话标识符初始值作为此次会话的会话标识符,用会话根密钥分散会话标识符得到会话密钥,使用加解密/认证单元222的终端公钥对会话标识符和会话密钥加密后发送给所述终端30。
如果所述读卡器40将导入所述会话密钥成功,将使用所述会话密钥与所述终端30进行加密的数据交换;将从所述外接卡10中读取的数据,通过所述会话密钥加密后,传送给所述终端30,并接收终端30传送的数据,利用所述会话密钥解密后,传送给外接卡10进行存储;如果导入不成功,则通过所述加解密/认证单元222进行数据加解密。
所述终端30,在接收所述加密的会话标识符和会话密钥并解密后,也可以使用所述会话密钥对数据进行加解密,与所述读卡器40进行加密的数据交换。
由于会话不同,会话标识符将变化,而导致会话密钥变化,使得会话密钥被破译的可能性减少,增加了数据传输的安全性。
本实施例所述读卡器安全认证装置50可以是终端安全存取模块。
本实施例所述读卡器安全认证装置50,通过认证与加密,提高硬件的可靠性和数据传输的安全性。
以上所述仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (9)
1.一种读卡器,其特征在于,所述读卡器包括:
数据传输模块,与终端和/或外接卡进行数据传输;设置数据加密算法和认证算法,进行认证;
所述数据传输模块包括:
发送接收单元,发送和接收利用数据加密算法加密的数据信号以及利用认证算法加密的认证信号;
读卡认证单元,将接收后的认证信号解密认证以及产生认证信号供安全认证模块认证;
安全认证模块,与数据传输模块和终端连接通信,设置数据加密算法和认证算法,与数据传输模块和/或终端进行认证;
所述安全认证模块包括:
信号接收单元,接收数据传输模块和/或终端利用数据加密算法加密的数据信号和/或利用认证算法加密的认证信号;
加解密/认证单元,将所述认证信号解密认证,并可利用认证算法加密认证信号供数据传输模块和/或终端进行认证;
会话建立单元,在认证成功后,接收认证确认,建立数据传输模块与终端之间的会话,并产生会话信息传送给所述终端。
2.根据权利要求1所述的读卡器,其特征在于:
所述会话信息包括会话标识符和会话密钥。
3.根据权利要求2所述的读卡器,其特征在于:
所述安全认证模块还包括密钥产生单元,根据所述会话标识符产生会话密钥,加密会话。
4.根据权利要求3所述的读卡器,其特征在于:
所述加解密/认证单元,还包括将所述读卡器传送给终端的数据进行加密和/或将终端利用会话密钥加密传送给读卡器的数据解密。
5.根据权利要求1至4中任意一项所述的读卡器,其特征在于:
所述数据加密算法为对称算法,所述认证算法为非对称算法。
6.一种读卡器安全认证***,其特征在于,对读卡器和与其连接通信的终端之间的通信进行认证,所述***包括:
读卡器和终端,发送和接收利用认证算法加密的认证信号,并将接收后的认证信号解密认证;
安全认证模块,与读卡器和终端连接通信,接收读卡器和/或终端利用认证算法加密的认证信号;将所述认证信号解密认证;并可利用认证算法加密认证信号供读卡器和/或终端进行认证;
认证成功后,建立读卡器与终端之间的会话,并产生会话信息传送给所述终端。
7.一种读卡器安全认证方法,其特征在于,对读卡器和与其连接通信的终端之间的通信进行认证,包括步骤:
利用认证算法加密认证信号供读卡器和/或终端进行认证;
接收读卡器和/或终端利用认证算法加密的认证信号;
将所述认证信号解密后认证;
认证成功后,建立读卡器与终端之间的会话,并产生会话信息传送给所述终端。
8.根据权利要求7所述的读卡器安全认证方法,其特征在于,所述认证成功后,建立读卡器与终端之间的会话,并产生会话信息传送给所述终端步骤的还包括步骤:
根据所述会话标识符产生会话密钥,加密会话。
9.一种读卡器安全认证装置,其特征在于,与读卡器和/或终端连接通信,所述装置包括:
信号接收单元,接收读卡器和/或终端利用认证算法加密的认证信号;
加解密/认证单元,将所述认证信号解密后认证,并可利用认证算法加密认证信号供读卡器和/或终端进行认证;
会话建立单元,在认证成功后,建立读卡器与终端之间的会话,并产生会话信息传送给所述终端。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2009101052322A CN101789068B (zh) | 2009-01-22 | 2009-01-22 | 读卡器安全认证装置及方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2009101052322A CN101789068B (zh) | 2009-01-22 | 2009-01-22 | 读卡器安全认证装置及方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101789068A CN101789068A (zh) | 2010-07-28 |
CN101789068B true CN101789068B (zh) | 2012-11-07 |
Family
ID=42532274
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2009101052322A Expired - Fee Related CN101789068B (zh) | 2009-01-22 | 2009-01-22 | 读卡器安全认证装置及方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101789068B (zh) |
Families Citing this family (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102542130B (zh) * | 2010-12-09 | 2017-09-08 | 东莞广州中医药大学中医药数理工程研究院 | 一种可分层授权的私密型居民健康档案卡及读卡装置 |
CN102201070B (zh) * | 2011-04-15 | 2012-10-03 | 东莞广州中医药大学中医药数理工程研究院 | 集成卡、读卡器及其组合 |
CN104573591B (zh) * | 2015-01-05 | 2017-11-28 | 飞天诚信科技股份有限公司 | 一种安全读卡器及其工作方法 |
CN104573467B (zh) * | 2015-01-24 | 2015-12-30 | 浙江远望软件有限公司 | 一种由读卡器直接接受用户确认的文件存储与访问方法 |
CN106022140B (zh) * | 2016-04-18 | 2019-02-15 | 李明 | 身份证读取方法和*** |
CN106022141B (zh) * | 2016-04-18 | 2019-02-15 | 李明 | 一种身份证读取方法和身份证读卡终端 |
CN106845300A (zh) * | 2016-12-02 | 2017-06-13 | 北京握奇智能科技有限公司 | 一种安全读卡器和安全读卡方法 |
CN107623914A (zh) * | 2017-08-21 | 2018-01-23 | 上海源岷投资管理有限公司 | 一种用于乡村沼气数据采集终端的安全认证*** |
CN108683674A (zh) * | 2018-05-22 | 2018-10-19 | 深圳中泰智丰物联网科技有限公司 | 门锁通信的验证方法、装置、终端及计算机可读存储介质 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1303197A (zh) * | 1999-11-02 | 2001-07-11 | 赵敏 | 数据保密传输*** |
CN2473675Y (zh) * | 2000-12-21 | 2002-01-23 | 孙吉平 | 利用通用串行总线接口识别ic智能卡的装置 |
CN1337803A (zh) * | 2001-07-03 | 2002-02-27 | 上海复旦微电子股份有限公司 | 用于ic卡的数据安全通信的加密方法及电路 |
CN1818923A (zh) * | 2006-03-17 | 2006-08-16 | 清华大学 | 用于射频识别***的加密验证方法 |
CN1932835A (zh) * | 2006-09-30 | 2007-03-21 | 华中科技大学 | 一种射频识别***中的安全认证方法 |
-
2009
- 2009-01-22 CN CN2009101052322A patent/CN101789068B/zh not_active Expired - Fee Related
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1303197A (zh) * | 1999-11-02 | 2001-07-11 | 赵敏 | 数据保密传输*** |
CN2473675Y (zh) * | 2000-12-21 | 2002-01-23 | 孙吉平 | 利用通用串行总线接口识别ic智能卡的装置 |
CN1337803A (zh) * | 2001-07-03 | 2002-02-27 | 上海复旦微电子股份有限公司 | 用于ic卡的数据安全通信的加密方法及电路 |
CN1818923A (zh) * | 2006-03-17 | 2006-08-16 | 清华大学 | 用于射频识别***的加密验证方法 |
CN1932835A (zh) * | 2006-09-30 | 2007-03-21 | 华中科技大学 | 一种射频识别***中的安全认证方法 |
Non-Patent Citations (1)
Title |
---|
JP特开2009-3703A 2009.01.08 |
Also Published As
Publication number | Publication date |
---|---|
CN101789068A (zh) | 2010-07-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101789068B (zh) | 读卡器安全认证装置及方法 | |
CN102017578B (zh) | 用于在令牌与验证器之间进行认证的网络助手 | |
KR100652125B1 (ko) | 서비스 제공자, 단말기 및 사용자 식별 모듈 간을총괄적으로 인증하여 관리할 수 있도록 하는 상호 인증방법 및 이를 이용한 시스템과 단말 장치 | |
CN107896147B (zh) | 一种基于国密算法协商临时会话密钥的方法及其*** | |
CN102394749B (zh) | 数据传输的线路保护方法、***、信息安全设备及应用设备 | |
CN103152366B (zh) | 获得终端权限的方法、终端及服务器 | |
CN108243181A (zh) | 一种车联网终端、数据加密方法及车联网服务器 | |
KR101468626B1 (ko) | 밴사 서버와의 키교환을 이용한 스마트폰 카드결제 시스템 | |
CN104704769A (zh) | 无线通信*** | |
CA2518032A1 (en) | Methods and software program product for mutual authentication in a communications network | |
CN102026180A (zh) | M2m传输控制方法、装置及*** | |
CN104185176A (zh) | 一种物联网虚拟用户识别模块卡远程初始化方法及*** | |
CN101964805B (zh) | 一种数据安全发送与接收的方法、设备及*** | |
CN111131300B (zh) | 通信方法、终端及服务器 | |
CN101789863B (zh) | 数据信息安全传输方法 | |
CN103905388A (zh) | 一种认证方法、认证装置、智能卡、服务器 | |
CN101895881A (zh) | 一种实现gba密钥的方法及终端可插拔设备 | |
CN102082669A (zh) | 一种安全认证方法及装置 | |
KR102219086B1 (ko) | 드론(Unnamed Aerial vehicle)시스템을 위한 HMAC기반의 송신원 인증 및 비밀키 공유 방법 및 시스템 | |
CN107888376B (zh) | 基于量子通信网络的nfc认证*** | |
CN104883260B (zh) | 证件信息处理和验证方法、处理终端及验证服务器 | |
US9876774B2 (en) | Communication security system and method | |
CN101340439A (zh) | 一种身份认证方法、***及移动终端 | |
US8953804B2 (en) | Method for establishing a secure communication channel | |
CN112787990B (zh) | 一种电力终端可信接入认证方法和*** |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20121107 Termination date: 20220122 |