CN106407859B - 证件卡信息获取方法、终端及证件卡信息获取*** - Google Patents

证件卡信息获取方法、终端及证件卡信息获取*** Download PDF

Info

Publication number
CN106407859B
CN106407859B CN201610780371.5A CN201610780371A CN106407859B CN 106407859 B CN106407859 B CN 106407859B CN 201610780371 A CN201610780371 A CN 201610780371A CN 106407859 B CN106407859 B CN 106407859B
Authority
CN
China
Prior art keywords
card
certificate
certificate card
terminal
security control
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201610780371.5A
Other languages
English (en)
Other versions
CN106407859A (zh
Inventor
李明
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Tendyron Corp
Original Assignee
Individual
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Individual filed Critical Individual
Priority to CN201610780371.5A priority Critical patent/CN106407859B/zh
Publication of CN106407859A publication Critical patent/CN106407859A/zh
Application granted granted Critical
Publication of CN106407859B publication Critical patent/CN106407859B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06KGRAPHICAL DATA READING; PRESENTATION OF DATA; RECORD CARRIERS; HANDLING RECORD CARRIERS
    • G06K7/00Methods or arrangements for sensing record carriers, e.g. for reading patterns
    • G06K7/10Methods or arrangements for sensing record carriers, e.g. for reading patterns by electromagnetic radiation, e.g. optical sensing; by corpuscular radiation
    • G06K7/10009Methods or arrangements for sensing record carriers, e.g. for reading patterns by electromagnetic radiation, e.g. optical sensing; by corpuscular radiation sensing by radiation using wavelengths larger than 0.1 mm, e.g. radio-waves or microwaves
    • G06K7/10257Methods or arrangements for sensing record carriers, e.g. for reading patterns by electromagnetic radiation, e.g. optical sensing; by corpuscular radiation sensing by radiation using wavelengths larger than 0.1 mm, e.g. radio-waves or microwaves arrangements for protecting the interrogation against piracy attacks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • G06F21/445Program or device authentication by mutual authentication, e.g. between devices or programs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/606Protecting data by securing the transmission between two devices or processes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06KGRAPHICAL DATA READING; PRESENTATION OF DATA; RECORD CARRIERS; HANDLING RECORD CARRIERS
    • G06K17/00Methods or arrangements for effecting co-operative working between equipments covered by two or more of main groups G06K1/00 - G06K15/00, e.g. automatic card files incorporating conveying and reading operations
    • G06K17/0022Methods or arrangements for effecting co-operative working between equipments covered by two or more of main groups G06K1/00 - G06K15/00, e.g. automatic card files incorporating conveying and reading operations arrangements or provisious for transferring data to distant stations, e.g. from a sensing device
    • G06K17/0029Methods or arrangements for effecting co-operative working between equipments covered by two or more of main groups G06K1/00 - G06K15/00, e.g. automatic card files incorporating conveying and reading operations arrangements or provisious for transferring data to distant stations, e.g. from a sensing device the arrangement being specially adapted for wireless interrogation of grouped or bundled articles tagged with wireless record carriers
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06KGRAPHICAL DATA READING; PRESENTATION OF DATA; RECORD CARRIERS; HANDLING RECORD CARRIERS
    • G06K7/00Methods or arrangements for sensing record carriers, e.g. for reading patterns
    • G06K7/10Methods or arrangements for sensing record carriers, e.g. for reading patterns by electromagnetic radiation, e.g. optical sensing; by corpuscular radiation
    • G06K7/10009Methods or arrangements for sensing record carriers, e.g. for reading patterns by electromagnetic radiation, e.g. optical sensing; by corpuscular radiation sensing by radiation using wavelengths larger than 0.1 mm, e.g. radio-waves or microwaves

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • General Health & Medical Sciences (AREA)
  • Toxicology (AREA)
  • Computer Hardware Design (AREA)
  • Artificial Intelligence (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Electromagnetism (AREA)
  • Bioethics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Storage Device Security (AREA)

Abstract

本发明提供了一种证件卡信息获取方法、终端及证件卡信息获取***,其中方法包括:终端将读卡请求发送至第一证件卡安全控制设备,第一证件卡安全控制设备接收所述读卡请求,根据读卡请求启动读取证件卡信息的流程,通过所述终端和所述证件卡阅读装置与证件卡之间进行信息交互,读取所述证件卡中存储的证件卡信息;第一证件卡安全控制设备读取到证件卡存储的证件卡信息后,将证件卡信息发送至终端,终端接收证件卡信息。

Description

证件卡信息获取方法、终端及证件卡信息获取***
技术领域
本发明涉及电子技术领域,尤其涉及一种证件卡信息获取方法、终端及证件卡信息获取***。
背景技术
现有的前端证件卡读卡器具有至少两个模块,包括读模块以及证件卡验证安全控制模块。由于每个前端证件卡读卡器均设置证件卡验证安全控制模块,因此,现有的前端证件卡读卡器的制造成本高;并且,证件卡验证安全控制模块只能对一个读模块读取的证件卡信息进行身份验证,因此,现有的前端证件卡读卡器利用率较低。
发明内容
本发明旨在解决上述问题之一。
本发明的主要目的在于提供一种证件卡信息获取方法;
本发明的另一目的在于提供一种终端;
本发明的又一目的在于提供一种证件卡信息获取***。
为达到上述目的,本发明的技术方案具体是这样实现的:
方案1、一种证件卡信息获取方法,包括:
步骤1,终端向证件卡阅读装置发送操作指令;
步骤2,所述证件卡阅读装置周期性的广播寻卡指令;
步骤3,所述证件卡阅读装置接收到证件卡返回的响应消息,判断所述响应消息为针对所述寻卡指令的寻卡确认数据;
步骤4,所述证件卡阅读装置停止广播所述寻卡指令,向所述终端发送寻卡请求,所述终端接收所述寻卡请求,并向第一证件卡安全控制设备发送所述寻卡请求;
步骤5,所述第一证件卡安全控制设备接收所述寻卡请求,通过所述终端向所述证件卡阅读装置发送寻卡响应,其中,所述寻卡响应中携带有寻卡响应数据;
步骤6,所述证件卡阅读装置接收所述第一证件卡安全控制设备发送的所述寻卡响应,获取所述寻卡响应数据;
步骤7,所述证件卡阅读装置确定所述寻卡响应数据为响应所述寻卡请求的响应数据,将所述寻卡确认数据通过所述终端发送给所述第一证件卡安全控制设备;
步骤8,所述证件卡阅读装置向所述证件卡发送选卡指令;
步骤9,所述证件卡阅读装置接收所述证件卡发送的选卡确认数据,其中,所述选卡确认数据至少包括所述证件卡的唯一标识信息;
步骤10,所述证件卡阅读装置通过所述终端向所述第一证件卡安全控制设备发送选卡请求;
步骤11,所述第一证件卡安全控制设备接收所述选卡请求;
步骤12,所述第一证件卡安全控制设备通过所述终端向所述证件卡阅读装置发送选卡请求响应;
步骤13,所述证件卡阅读装置接收所述第一证件卡安全控制设备发送的选卡请求响应;
步骤14,所述证件卡阅读装置确定所述选卡请求响应为针对所述选卡请求的响应数据,将所述选卡确认数据通过所述终端发送给所述第一证件卡安全控制设备;
步骤15,所述证件卡阅读装置向所述证件卡发送读卡指令;
步骤16,所述证件卡阅读装置接收所述证件卡返回的读卡确认数据;
步骤17,所述证件卡阅读装置向通过所述终端将读卡请求发送至所述第一证件卡安全控制设备,所述第一证件卡安全控制设备接收所述读卡请求,根据所述读卡请求启动读取证件卡信息的流程,通过所述终端和所述证件卡阅读装置与所述证件卡之间进行信息交互,读取所述证件卡中存储的证件卡信息;
步骤18,所述第一证件卡安全控制设备读取到所述证件卡存储的证件卡信息后,将所述证件卡信息发送至所述终端;
步骤19,所述终端接收所述证件卡信息。
方案2、根据方案1所述的方法,
所述寻卡请求中至少携带有第一身份认证数据;
所述第一证件卡安全控制设备在通过所述终端向所述证件卡阅读装置返回所述寻卡响应之前,所述方法还包括:所述第一证件卡安全控制设备根据所述寻卡请求中携带的所述第一身份认证数据对所述证件卡阅读装置的身份进行认证,在认证通过的情况下,执行通过所述终端向所述证件卡阅读装置返回所述寻卡响应的步骤。
方案3、根据方案1或2所述的方法,
所述寻卡响应中至少携带有第二身份认证数据;
在所述证件卡阅读装置接收所述第一证件卡安全控制设备通过所述终端发送的寻卡响应之后,在将所述寻卡确认数据通过所述终端发送给所述第一证件卡安全控制设备之前,所述方法还包括:所述证件卡阅读装置根据所述第二身份认证数据对所述第一证件卡安全控制设备的身份进行认证,在认证通过的情况下,执行将所述寻卡确认数据通过所述终端发送给所述第一证件卡安全控制设备的步骤。
方案4、根据方案1至3任一项所述的方法,
所述选卡请求中携带有第三身份认证数据;
在所述第一证件卡安全控制设备接收所述选卡请求之后,通过所述终端向所述证件卡阅读装置发送选卡请求响应之前,所述方法还包括:所述第一证件卡安全控制设备根据所述选卡请求中携带的第三身份认证数据对所述证件卡阅读装置的身份进行认证,在认证通过的情况下,执行通过所述终端向所述证件卡阅读装置发送选卡请求响应的步骤。
方案5、根据方案1至4任一项所述的方法,
所述选卡请求响应中至少携带有第四身份认证数据;
在所述证件卡阅读装置接收所述第一证件卡安全控制设备发送的选卡请求响应之后,将所述选卡确认数据通过所述终端发送给所述第一证件卡安全控制设备之前,所述方法还包括:所述证件卡阅读装置解析所述选卡请求响应中携带的信息,获取所述选卡请求响应中携带的第四身份认证数据,并根据所述第四身份认证数据对所述第一证件卡安全控制设备的身份进行认证,在认证通过的情况下,执行将所述选卡确认数据通过所述终端发送给所述第一证件卡安全控制设备的步骤。
方案6、根据方案1至5任一项所述的方法,
所述读卡请求中至少携带第五身份认证数据;
在所述第一证件卡安全控制设备接收所述读卡请求之后,启动读取证件卡信息的流程之前,所述方法还包括:所述第一证件卡安全控制设备根据所述读卡请求中携带的所述第五认证数据对所述证件卡阅读装置的身份进行认证,在认证通过的情况下,执行启动读取证件卡信息的流程的步骤。
方案7、根据方案1至6任一项所述的方法,
在所述第一证件卡安全控制设备启动读取证件卡信息的流程之前,所述方法还包括:所述证件卡阅读装置通过所述终端与所述第一证件卡安全控制设备进行协商,双方得到会话密钥;
在所述证件卡阅读装置与所述第一证件卡安全控制设备得到会话密钥之后,在所述证件卡阅读装置与所述第一证件卡安全控制设备的后续通信过程中,所述证件卡阅读装置和所述第一证件卡安全控制设备使用所述会话密钥分别对发送和接收的数据进行加密和解密。
方案8、根据方案1至7任一项所述的方法,所述终端向第一证件卡安全控制设备发送所述寻卡请求包括:
所述终端从多个证件卡安全控制设备中选择出所述第一证件卡安全控制设备;
所述终端将所述寻卡请求发送至选择出的所述第一证件卡安全控制设备。
方案9、根据方案8所述的方法,所述终端从多个证件卡安全控制设备中选择出所述第一证件卡安全控制设备包括:
所述终端根据预先存储的所述终端与所述第一证件卡安全控制设备的对应关系,从多个证件卡安全控制设备中选择出所述第一证件卡安全控制设备;或者
所述终端从所述多个证件卡安全控制设备中选择当前工作状态为空闲的证件卡安全控制设备作为所述第一证件卡安全控制设备。
方案10、根据方案1至9任一项所述的方法,所述终端接收所述证件卡信息之后,所述方法还包括:
将所述证件卡信息发送至存储装置进行存储。
方案11、根据方案1至10任一项所述的方法,在所述终端向第一证件卡安全控制设备发送所述寻卡请求之前,所述方法还包括:
所述终端与所述第一证件卡安全控制设备进行互相认证。
方案12、一种证件卡信息获取***,包括:第一证件卡安全控制设备、终端以及证件卡阅读装置,其中,
所述终端,用于向所述证件卡阅读装置发送操作指令;
所述证件卡阅读装置,用于:周期性的广播寻卡指令;接收到证件卡返回的响应消息,判断所述响应消息为针对所述寻卡指令的寻卡确认数据,则停止广播所述寻卡指令,向所述终端发送寻卡请求;
所述终端,还用于接收所述寻卡请求,并向所述第一证件卡安全控制设备发送所述寻卡请求;
所述第一证件卡安全控制设备,用于接收所述寻卡请求,通过所述终端向所述证件卡阅读装置发送寻卡响应,其中,所述寻卡响应中携带有寻卡响应数据;
所述证件卡阅读装置,还用于:接收所述第一证件卡安全控制设备发送的所述寻卡响应,获取所述寻卡响应数据;确定所述寻卡响应数据为响应所述寻卡请求的响应数据,将所述寻卡确认数据通过所述终端发送给所述第一证件卡安全控制设备;以及,向所述证件卡发送选卡指令;接收所述证件卡发送的选卡确认数据,其中,所述选卡确认数据至少包括所述证件卡的唯一标识信息;通过所述终端向所述第一证件卡安全控制设备发送选卡请求;
所述第一证件卡安全控制设备,还用于接收所述选卡请求,以及通过所述终端向所述证件卡阅读装置发送选卡请求响应;
所述证件卡阅读装置,还用于:接收所述第一证件卡安全控制设备发送的选卡请求响应;确定所述选卡请求响应为针对所述选卡请求的响应数据,将所述选卡确认数据通过所述终端发送给所述第一证件卡安全控制设备;以及,向所述证件卡发送读卡指令,并接收所述证件卡返回的读卡确认数据,再向通过所述终端将读卡请求发送至所述第一证件卡安全控制设备;
所述第一证件卡安全控制设备,还用于:接收所述读卡请求,根据所述读卡请求启动读取证件卡信息的流程,通过所述终端和所述证件卡阅读装置与所述证件卡之间进行信息交互,读取所述证件卡中存储的证件卡信息;以及读取到所述证件卡存储的证件卡信息后,将所述证件卡信息发送至所述终端;
所述终端,还用于接收所述证件卡信息。
方案13、根据方案12所述的***,
所述寻卡请求中至少携带有第一身份认证数据;
所述第一证件卡安全控制设备还用于,在通过所述终端向所述证件卡阅读装置返回所述寻卡响应之前,根据所述寻卡请求中携带的所述第一身份认证数据对所述证件卡阅读装置的身份进行认证,在认证通过的情况下,执行通过所述终端向所述证件卡阅读装置返回所述寻卡响应的操作。
方案14、根据方案12或13所述的***,
所述寻卡响应中至少携带有第二身份认证数据;
所述证件卡阅读装置还用于在接收所述第一证件卡安全控制设备通过所述终端发送的寻卡响应之后,在将所述寻卡确认数据通过所述终端发送给所述第一证件卡安全控制设备之前,根据所述第二身份认证数据对所述第一证件卡安全控制设备的身份进行认证,在认证通过的情况下,执行将所述寻卡确认数据通过所述终端发送给所述第一证件卡安全控制设备的操作。
方案15、根据方案12至14任一项所述的***,
所述选卡请求中携带有第三身份认证数据;
第一证件卡安全控制设备还用于在接收所述选卡请求之后,通过所述终端向所述证件卡阅读装置发送选卡请求响应之前,根据所述选卡请求中携带的第三身份认证数据对所述证件卡阅读装置的身份进行认证,在认证通过的情况下,执行通过所述终端向所述证件卡阅读装置发送选卡请求响应的操作。
方案16、根据方案12至15任一项所述的***,
所述选卡请求响应中至少携带有第四身份认证数据;
所述证件卡阅读装置还用于在接收所述第一证件卡安全控制设备发送的选卡请求响应之后,将所述选卡确认数据通过所述终端发送给所述第一证件卡安全控制设备之前,解析所述选卡请求响应中携带的信息,获取所述选卡请求响应中携带的第四身份认证数据,并根据所述第四身份认证数据对所述第一证件卡安全控制设备的身份进行认证,在认证通过的情况下,执行将所述选卡确认数据通过所述终端发送给所述第一证件卡安全控制设备的操作。
方案17、根据方案12至16任一项所述的***,
所述读卡请求中至少携带第五身份认证数据;
所述第一证件卡安全控制设备还用于在接收所述读卡请求之后,启动读取证件卡信息的流程之前,根据所述读卡请求中携带的所述第五认证数据对所述证件卡阅读装置的身份进行认证,在认证通过的情况下,执行启动读取证件卡信息的流程的操作。
方案18、根据方案12至17任一项所述的***,
所述第一证件卡安全控制设备还用于在启动读取证件卡信息的流程之前,与所述第一证件卡安全控制设备通过所述终端进行协商,双方得到会话密钥;
所述证件卡阅读装置与所述第一证件卡安全控制设备还用于在得到会话密钥之后,在所述证件卡阅读装置与所述第一证件卡安全控制设备的后续通信过程中,使用所述会话密钥分别对发送和接收的数据进行加密和解密。
方案19、根据方案12至18任一项所述的***,所述终端通过以下方式向所述第一证件卡安全控制设备发送所述寻卡请求:
从多个证件卡安全控制设备中选择出所述第一证件卡安全控制设备;
将所述寻卡请求发送至选择出的所述第一证件卡安全控制设备。
方案20、根据方案19所述的***,所述终端通过以下方式从多个证件卡安全控制设备中选择出所述第一证件卡安全控制设备:
根据预先存储的所述终端与所述第一证件卡安全控制设备的对应关系,从多个证件卡安全控制设备中选择出所述第一证件卡安全控制设备;或者
从所述多个证件卡安全控制设备中选择当前工作状态为空闲的证件卡安全控制设备作为所述第一证件卡安全控制设备。
方案21、根据方案12至20任一项所述的***,所述终端还用于在接收所述证件卡信息之后,将所述证件卡信息发送至存储装置进行存储。
方案22、根据方案12至21任一项所述的***,所述终端还用于在向所述第一证件卡安全控制设备发送所述寻卡请求之前,与所述第一证件卡安全控制设备进行互相认证。
方案23、一种证件卡阅读装置,包括:第一收发模块、第二收发模块、以及处理模块,其中,
所述第一收发模块,用于接收终端发送的操作指令;
所述第二收发模块,用于周期性的广播寻卡指令,以及接收证件卡返回的响应消息;
所述处理模块,用于判断所述响应消息是否为针对所述寻卡指令的寻卡确认数据,如果是,则指示所述第二收发模块停止广播所述寻卡指令,并指示所述第一收发模块通过所述终端向第一证件卡安全控制设备发送寻卡请求;
所述第一收发模块,还用于接收所述第一证件卡安全控制设备通过所述终端发送的所述寻卡响应;
所述处理模块,还用于获取从所述寻卡响应中获取寻卡响应数据,确定所述寻卡响应数据为响应所述寻卡请求的响应数据,指示所述第一收发模块将所述寻卡确认数据通过所述终端发送给所述第一证件卡安全控制设备;
所述第二收发模块,还用于向所述证件卡发送选卡指令,接收所述证件卡发送的选卡确认数据,其中,所述选卡确认数据至少包括所述证件卡的唯一标识信息;
所述第一收发模块,还用于通过所述终端向所述第一证件卡安全控制设备发送选卡请求;以及接收所述第一证件卡安全控制设备通过所述终端发送的选卡请求响应;
所述处理模块,还用于确定所述选卡请求响应为针对所述选卡请求的响应数据,指示所述第一收发模块将所述选卡确认数据通过所述终端发送给所述第一证件卡安全控制设备;
所述第二收发模块,还用于向所述证件卡发送读卡指令;以及接收所述证件卡返回的读卡确认数据;
所述第一收发模块,还用于通过所述终端将读卡请求发送至所述第一证件卡安全控制设备,指示所述第一证件卡安全控制设备根据所述读卡请求启动读取证件卡信息的流程;
所述处理模块,还用于在所述读取证件卡信息的流程中,通过所述第一收发模块和所述第二收发模块,转发所述第一证件卡安全控制设备与所述证件卡之间交互的信息。
方案24、根据方案23所述的装置,
所述处理模块,还用于在所述第一收发模块通过所述终端向所述第一证件卡安全控制设备发送寻卡请求之前,获取第一身份认证数据,并将所述第一身份认证数据携带在所述寻卡请求中。
方案25、根据方案23或24所述的装置,
所述寻卡响应中至少携带有第二身份认证数据;
所述处理模块,还用于在所述第一收发模块接收所述第一证件卡安全控制设备通过所述终端发送的寻卡响应之后,将所述寻卡确认数据通过所述终端发送给所述第一证件卡安全控制设备之前,根据所述第二身份认证数据对所述第一证件卡安全控制设备的身份进行认证,在认证通过的情况下,指示所述第一收发模块将所述寻卡确认数据通过所述终端发送给所述第一证件卡安全控制设备。
方案26、根据方案23至25任一项所述的装置,
所述处理模块,还用于在所述第一收发模块通过所述终端向所述第一证件卡安全控制设备发送所述选卡请求之前,获取第三身份认证数据,将所述第三身份认证数据携带在所述第一所述选卡请求中。
方案27、根据方案23至26任一项所述的装置,
所述选卡请求响应中至少携带有第四身份认证数据;
所述处理模块,还用于在所述第一收发模块接收所述第一证件卡安全控制设备发送的选卡请求响应之后,将所述选卡确认数据通过所述终端发送给所述第一证件卡安全控制设备之前,解析所述选卡请求响应中携带的信息,获取所述选卡请求响应中携带的第四身份认证数据,并根据所述第四身份认证数据对所述第一证件卡安全控制设备的身份进行认证,在认证通过的情况下,触发所述第一收发模块将所述选卡确认数据通过所述终端发送给所述第一证件卡安全控制设备。
方案28、根据方案23至27任一项所述的装置,
所述处理模块,还用于在所述第一收发模块通过所述终端向所述第一证件卡安全控制设备发送所述读卡请求之前,获取第五身份认证数据,将所述第五身份认证数据携带在所述读卡请求中。
方案29、根据方案23至28任一项所述的装置,
所述证件卡阅读装置还包括:协商模块,用于通过所述终端与所述第一证件卡安全控制设备进行协商,双方得到会话密钥;
所述处理模块,还用于在与所述第一证件卡安全控制设备的后续通信过程中,使用所述会话密钥对发送给所述第一证件卡安全控制设备的数据进行加密和接收到的来自所述第一证件卡安全控制设备的数据进行解密。
由上述本发明提供的技术方案可以看出,本发明的证件卡阅读装置独立于第一证件卡安全控制设备设置,可以通过终端与第一证件卡安全控制设备进行信息交互,作为证件卡与第一证件卡安全控制设备进行信息交互的桥梁,在实际应用中,可以设置多个证件卡阅读装置并对应多个终端,每个终端均与第一证件卡安全控制设备进行连接,由此可以提高第一证件卡安全控制设备的利用率,避免每个证件卡阅读装置均设置证件卡安全控制设备,节约了成本。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他附图。
图1为本发明实施例1提供的一种证件卡信息获取***的架构示意图;
图2为本发明实施例2提供的一种证件卡信息获取装置的结构示意图;
图3为本发明实施例3提供的一种证件卡信息获取方法的信令流程图;
图4本发明实施例3提供的一种证件卡信息获取方法的部分信令流程图;
图5本发明实施例3提供的一种证件卡信息获取方法的部分信令流程图。
具体实施方式
下面结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明的保护范围。
在本发明的描述中,需要理解的是,术语“中心”、“纵向”、“横向”、“上”、“下”、“前”、“后”、“左”、“右”、“竖直”、“水平”、“顶”、“底”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。此外,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或数量或位置。
在本发明的描述中,需要说明的是,除非另有明确的规定和限定,术语“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本发明中的具体含义。
下面将结合附图对本发明实施例作进一步地详细描述。
实施例1
本实施例提供了一种证件卡信息获取***,通过该***可以获取到证件卡中存储的证件卡信息。
图1为本实施例提供的证件卡信息获取***的架构示意图,如图1所示,该***主要包括:终端10、证件卡阅读装置20和第一证件卡安全控制设备40。
在本实施例中,终端10,用于向证件卡阅读装置20发送操作请求。证件卡阅读装置20,用于:接收操作请求,周期性的广播寻卡指令,接收证件卡返回的响应消息,并判断响应消息为针对寻卡指令的寻卡确认数据,则停止广播寻卡指令,向终端10发送寻卡请求。终端10,还用于接收寻卡请求,向第一证件卡安全控制设备40发送寻卡请求。第一证件卡安全控制设备40,用于:接收寻卡请求,通过终端10向证件卡阅读装置20发送寻卡响应,其中,寻卡响应中携带有寻卡响应数据。证件卡阅读装置20,还用于:接收第一证件卡安全控制设备40发送的寻卡响应,获取寻卡响应数据;确定寻卡响应数据为响应寻卡请求的响应数据,将寻卡确认数据通过终端10发送给第一证件卡安全控制设备40;以及向证件卡发送选卡指令;接收证件卡发送的选卡确认数据,其中,选卡确认数据至少包括证件卡的唯一标识信息;然后向第一证件卡安全控制设备40发送选卡请求。第一证件卡安全控制设备40还用于接收选卡请求;并通过终端10向证件卡阅读装置20发送选卡请求响应。证件卡阅读装置20接收第一证件卡安全控制设备40发送的选卡请求响应。证件卡阅读装置20还用于:确定选卡请求响应为针对选卡请求的响应数据,将选卡确认数据通过终端10发送给第一证件卡安全控制设备40;以及向证件卡发送读卡指令,接收证件卡返回的读卡确认数据;并向终端10发送读卡请求。终端10还用于将读卡请求发送至第一证件卡安全控制设备40。第一证件卡安全控制设备40还用于:接收读卡请求,启动读取证件卡信息的流程,通过终端10和证件卡阅读装置20与证件卡之间进行信息交互,读取到证件卡中存储的证件卡信息;并将读取到的证件卡信息发送给终端10。终端10还用于接收证件卡信息。
在本实施例中,用户在需要读取证件卡中存储的证件卡信息时,通过终端10向证件卡阅读装置20发送操作请求,指示证件卡阅读装置20需要读取证件卡中存储的证件卡信息。例如,用户可以通过终端10中的某个按键向终端10输入操作指令,终端10响应用户输入的操作指令,向证件卡阅读装置20发送操作请求。在具体实施过程中,终端10与证件卡阅读装置20之间可以通过有线连接(例如USB接口、串口、耳机接口等),也可以通过无线连接(例如WIFI、蓝牙、红外、NFC等)。
另外,证件卡中存储的证件卡信息是加密传输的,由于证件卡的特殊性,只有证件卡安全控制设备才能对证件卡中存储的证件卡信息进行解密。在具体实施过程中,可以在读卡请求中对需要第一证件卡安全控制设备40进行解密的内容进行设置,例如,可以设置第一证件卡安全控制设备40只读取证件卡中存储的基本信息(例如,姓名、性别、出生年月等),也可以设置第一证件卡安全控制设备40读取证件卡中存储的基本信息+照片,还可以设置第一证件卡安全控制设备40读取证件卡中存储的基本信息+照片+指纹信息等,具体可以根据需要进行设置。在具体实施过程中,可以由用户在终端10进行设置,设置完成之后,通过操作请求发送给证件卡阅读装置20,证件卡阅读装置20根据用户的设置,在发送读卡请求时,将设置信息发送给第一证件卡安全控制设备40。
通过本实施例提供的上述***,将证件卡阅读装置20(相当于现有技术的证件卡阅读装置中的读模块,其仅具有信息交互功能,并不具有现有证件卡读卡器的证件卡安全控制认证等其他功能)与第一证件卡安全控制设备40(相当于现有技术的证件卡阅读装置中的证件卡安全控制模块,用于对证件卡进行证件卡安全控制认证)分开设置,通过终端10进行通讯,可以多个证件卡阅读装置共用一个证件卡安全控制设备,从而提高了证件卡安全控制设备的利用率,节约了成本。
本实施例提供的上述***,可以应用在银行***中,其中,终端10可以为银行柜台的前端,可以在每个营业点设置一个证件卡安全控制设备,也可以设置多个,或者,也可以多个营业点的共用一个或多个证件卡安全控制设备。
为了使第一证件卡安全控制设备40能够确定寻卡请求为证件卡阅读装置20所发送的,避免非法模拟的证件卡阅读装置20对第一证件卡安全控制设备40的攻击,在本发明实施例的一个可选实施方案中,证件卡阅读装置发送的寻卡请求中至少携带有第一身份认证数据;第一证件卡安全控制设备40还用于在通过终端10向证件卡阅读装置20返回寻卡响应之前,根据寻卡请求中携带的第一身份认证数据对证件卡阅读装置20的身份进行认证,在认证通过的情况下,执行通过终端10向证件卡阅读装置20返回寻卡响应的操作。在该可选实施方式中,可选地,第一身份认证数据可以是证件卡阅读装置20使用自身的私钥对待签名信息进行签名得到的签名值,其中,待签名信息可以是证件卡阅读装置20生成的随机数,证件卡阅读装置20可以将该随机数以及该随机数的签名值一起携带在寻卡请求中发送;或者,待签名信息也可以为寻卡请求中携带的寻卡请求数据,具体本实施例不作限定。第一证件卡安全控制设备40在接收到寻卡请求之后,可以通过第一身份认证数据对证件卡阅读装置20的身份进行认证,认证通过之后,才向证件卡阅读装置20返回寻卡响应。当然,第一身份认证数据除了可以是对待签名信息进行签名得到的签名值以外,还可以为其它数据,例如,对采用预先与第一证件卡安全控制设备40约定的算法对待认证数据进行检验计算的检验值等,具体本实施例不作限定。第一证件卡安全控制设备40采用相应的方式对第一身份认证数据进行认证。
为了使证件卡阅读装置20能够确定寻卡响应为第一证件卡安全控制设备40所发送的,避免非法模拟的第一证件卡安全控制设备40非法获取证件卡中存储的信息,在本发明实施例的一个可选实施方案中,第一证件卡安全控制设备40还用于在发送寻卡响应之前,获取第二身份认证数据,将第二身份认证数据携带在寻卡响应中。证件卡阅读装置20还用于在接收第一证件卡安全控制设备40通过终端10发送的寻卡响应之后,在将寻卡确认数据通过终端10发送给第一证件卡安全控制设备40之前,根据第二身份认证数据对第一证件卡安全控制设备40的身份进行认证,在认证通过的情况下,执行将寻卡确认数据通过终端10发送给第一证件卡安全控制设备40的操作。即在该可选实施方式中,证件卡阅读装置20只有在确定了第一证件卡安全控制设备40的身份的情况下,才将证件卡返回的确认数据发送给第一证件卡安全控制设备40,避免了证件卡中存储的信息被非法获取。
在上述可选实施方式中,可选地,第二身份认证数据可以是第一证件卡安全控制设备40使用自身的私钥对待签名信息进行签名得到的签名值,其中,该待签名信息可以是第一证件卡安全控制设备40生成的随机数,第一证件卡安全控制设备40可以将该随机数以及该随机数的签名值一起携带在寻卡响应中发送给第一证件卡安全控制设备40;或者,待签名信息也可以为寻卡响应中携带的寻卡响应数据,具体本实施例不作限定。证件卡阅读装置20在接收到该寻卡响应之后,可以通过第二身份认证数据对第一证件卡安全控制设备40的身份进行认证,认证通过之后,才向第一证件卡安全控制设备40发送寻卡确认数据。当然,第二身份认证数据除了可以是对待签名信息进行签名得到的签名值以外,还可以为其它数据,例如,对采用预先与证件卡阅读装置20约定的算法对待认证数据进行检验计算的检验值等,具体本实施例不作限定。证件卡阅读装置20采用对应的方式对第二身份认证数据进行认证。
类似地,为了使第一证件卡安全控制设备40能够确定选卡请求为证件卡阅读装置20所发送的,避免非法模拟的证件卡阅读装置20对第一证件卡安全控制设备40的攻击,在本发明实施例的一个可选实施方案中,证件卡阅读装置20发送的选卡请求中还可以携带有第三身份认证数据;第一证件卡安全控制设备40还用于在接收选卡请求之后,通过终端10向证件卡阅读装置20发送选卡请求响应之前,根据选卡请求中携带的第三身份认证数据对证件卡阅读装置20的身份进行认证,在认证通过的情况下,执行通过终端10向证件卡阅读装置20发送选卡请求响应的操作。与上述第一身份认证数据相似,第三身份认证数据也可以为证件卡阅读装置20利用自身私钥对待签名信息进行签名得到的签名值,或者,也可以为采用预定与第一证件卡安全控制设备40约定的算法对待认证数据进行检验计算得到的检验址,具体不再赘述。
另外,为了使证件卡阅读装置20能够确定选卡请求响应为第一证件卡安全控制设备40所发送的,避免非法模拟的第一证件卡安全控制设备40非法获取证件卡中存储的信息,在本发明实施例的一个可选实施方案中,第一证件卡安全控制设备40还用于在发送选卡请求响应之前,获取第四身份认证数据,将第四身份认证数据携带在选卡请求响应中;证件卡阅读装置20还用于在接收第一证件卡安全控制设备40发送的选卡请求响应之后,将选卡确认数据通过终端10发送给第一证件卡安全控制设备40之前,解析选卡请求响应中携带的信息,获取选卡请求响应中携带的第四身份认证数据,并根据第四身份认证数据对第一证件卡安全控制设备40的身份进行认证,在认证通过的情况下,执行将选卡确认数据通过终端10发送给第一证件卡安全控制设备40的操作。同样,与第二身份认证数据类似,第四身份认证数据可以是第一证件卡安全控制设备40使用自身的私钥对待签名信息进行签名得到的签名值,或者,也可以为采用预定与证件卡阅读装置20约定的算法对待认证数据进行检验计算得到的检验址,具体不再赘述。
同样,为了使第一证件卡安全控制设备40能够确定读卡请求为证件卡阅读装置20所发送的,避免非法模拟的证件卡阅读装置20对第一证件卡安全控制设备40的攻击,在本发明实施例的一个可选实施方案中,证件卡阅读装置20发送的读卡请求中至少携带第五身份认证数据;第一证件卡安全控制设备40还用于在接收读卡请求之后,启动读取证件卡信息的流程之前,根据读卡请求中携带的第五认证数据对证件卡阅读装置20的身份进行认证,在认证通过的情况下,执行启动读取证件卡信息的流程的操作。
在本发明实施例的一个可选实施方案中,第一证件卡安全控制设备40启动读取证件卡信息的流程之后,在读取证件卡信息的流程之中,第一证件卡安全控制设备40与证件卡之间可以通过证件卡阅读装置20和终端10进行相互认证,证件卡只有在对第一证件卡安全控制设备40认证通过之后,才允许将其存储的信息读出,而第一证件卡安全控制设备40只有在对证件卡认证通过之后,才接收证件卡发送的信息,进而对证件卡发送的信息进行处理,以得到可读的证件卡信息。第一证件卡安全控制设备40与证件卡之间的具体认证流程可以参见实施例3中的描述,在此不赘述。
为了保证证件卡阅读装置20与第一证件卡安全控制设备40之间的数据传输安全,在本发明实施例的一个可选实施方案中,证件卡阅读装置20与第一证件卡安全控制设备40还用于在第一证件卡安全控制设备40启动读取证件卡信息的流程之前,通过终端10进行协商,双方得到会话密钥;以及在证件卡阅读装置20与第一证件卡安全控制设备40得到会话密钥之后,在证件卡阅读装置20与第一证件卡安全控制设备40的后续通信过程中,证使用会话密钥分别对发送和接收的数据进行加密和解密。在具体应用中,证件卡阅读装置20与第一证件卡安全控制设备40可以在证件卡阅读装置20发送寻卡请求之前进行会话密钥的协商,也可以是在发送寻卡请求时开始执行会话密钥的协商,还可以是在证件卡阅读装置20将寻卡请求发送至第一证件卡安全控制设备40之后,启动会话密钥的协商,具体本实施例不作限定。证件卡阅读装置20与第一证件卡安全控制设备40之间的会话密钥协商过程可以参见实施例3的描述,在此不再赘述。
在本发明实施例的一个可选实施方案中,一个终端10可以连接多个证件卡安全控制设备,因此,在该可选实施方案中,终端10还用于在向第一证件卡安全控制设备40发送寻卡请求之前,从多个证件卡安全控制设备中选择出第一证件卡安全控制设备40。
在本发明实施例的一个可选实施方案中,终端10选择证件卡安全控制设备的方式包括但不限于以下之一:
(1)从预先存储的对应关系中选择与证件卡阅读装置20对应的证件卡安全控制设备,其中,该对应关系中记录了多个证件卡安全控制设备中每个证件卡安全控制设备对应的一个或多个证件卡阅读装置;
例如,终端10连接多个证件卡安全控制设备,并可以存储多个证件卡安全控制设备中的每个证件卡安全控制设备与多个证件卡阅读装置的对应关系。其中,该对应关系也可以按照一定规则进行设定,例如,可以按照地理区域进行划分,同一个区域的多个证件卡阅读装置对应同一个证件卡安全控制设备,或者,也可以给每个证件卡阅读装置分配一个ID,按照ID号进行划分,ID在同一范围内的证件卡阅读装置对应同一个证件卡安全控制设备,或者,也可以按照各个证件卡阅读装置在网络中的地址(例如IP地址)进行划分。通过该可选实施方案,可以通过终端10,将多个证件卡阅读装置对应到一个证件卡安全控制设备,提高了证件卡安全控制设备的利用率和***可管理性,并且,通过将多个证件卡阅读装置对应到一个证件卡安全控制设备,如果出现故障,也可以迅速地对故障进行定位。
例如,在银行***中,可以在一个营业点设置多个证件卡安全控制设备,终端10中可以设置一个对应关系,对前端的证件卡阅读装置进行编号,然后在对应关系中记录对应每个证件卡阅读装置的证件卡安全控制设备。对于多个营业点共用多个证件卡安全控制设备的情形,终端中可以设置一个对应关系,记录来自每个营业点的证件卡阅读装置对应证件卡安全控制设备,或者,也可以按照前端的证件卡阅读装置的IP地址进行证件卡安全控制设备的分配。
(2)选择所述多个证件卡安全控制设备中当前工作状态为空闲的证件卡安全控制设备作为所述第一证件卡安全控制设备。
例如,终端10可以记录***中多个证件卡安全控制设备中每个证件卡安全控制设备的工作状态,在接收到来自证件卡阅读装置20的寻卡请求时,终端10可以根据各个证件卡安全控制设备的工作状态,选择当前工作状态为空闲的证件卡安全控制设备作为与证件卡阅读装置对应的证件卡安全控制设备,并将选择的证件卡安全控制设备的工作状态标记为非空闲。通过该可选实施方案,可以避免一个证件卡安全控制设备同时接收到多个终端的信息,而导致处理效率下降的情况。
在本发明实施例的一个可选实施方案中,为了快速释放未使用的证件卡安全控制设备,终端10还可以证件卡阅读装置与选择的证件卡安全控制设备通信结束后,将选择的证件卡安全控制设备的工作状态标记为空闲。当然,在具体实施过程中,如果所有证件卡安全控制设备都处理非空闲状态,还可以根据各个证件卡安全控制设备的负荷状态选择证件卡安全控制设备,以达到负载均衡。
例如,在银行***中,可以在一个营业点或多个营业点或全网设置多个证件卡安全控制设备,设置空闲证件卡安全控制设备池,终端10在接收到来自前端的证件卡阅读装置发送的请求时,从空闲证件卡安全控制设备池取出一个证件卡安全控制设备,将该证件卡安全控制设备分配给当前的证件卡阅读装置,由该证件卡安全控制设备处理当前的证件卡阅读装置的相关请求,并将该证件卡安全控制设备从空闲证件卡安全控制设备池中移出,在使用完之后,再将该证件卡安全控制设备放入空闲证件卡安全控制设备池。
通过上述可选实施方式,终端10可以根据具体应用为证件卡阅读装置20选择合适的证件卡安全控制设备,从而可以在提高证件卡安全控制设备的利用率的同时,提高数据处理的效率。
在本发明实施例的一个可选实施方案中,如图1所示,该***还可以包括:存储装置50。则在该可选实施方案中,终端10在接收到证件卡信息后,还用于将证件卡信息发送给存储装置50;存储装置50还用于存储接收到的证件卡信息。通过该可选实施方式,后续需要出示证件卡信息时,可以直接从存储装置50中获取,从而避免了用户随身携带证件卡而给用户带来不便的问题。
在具体实施过程中,存储装置50可以设置在终端10中,作为终端10的一个部分,也可以设置在终端10之外。可以为单一存储设备,也可以是和其他功能合一设置的设备,例如,可以为电子签名设备(例如工行U盾、农行K宝等)。另外,证件卡信息可以是明文存储到存储装置50中,也可以是加密存储到存储装置50中,具体本实施例不作限定。
在本发明实施例的一个可选实施方案中,如图1所示,该***还可以显示装置60。在该可选实施方案中,终端10还用于将证件卡信息发送至显示装置60;显示装置60,用于显示证件卡信息。通过该可选实施方式,可以显示读取到的证件卡信息,从而可以使用户获知证件卡中存储的证件卡信息。
在具体实施过程中,显示装置60可以设置在终端10中,作为终端10的一部分,也可以独立于终端10之外设置,具体本实施例不作限定。
在本发明实施例的另一个可选实施方案中,证件卡阅读装置20也可以将接收到的证件卡信息发送给外部存储装置存储,因此,在该可选实施方式中,证件卡阅读装置20在获取到证件卡信息后,还用于将证件卡信息发送给存储装置50;存储装置50还用于存储接收到的证件卡信息。通过该可选实施方式,后续需要出示证件卡信息时,可以直接从存储装置50中获取,从而避免了用户随身携带证件卡而给用户带来不便的问题。在该可选实施方式中,存储装置50可以为单一存储设备,也可以是和其他功能合一设置的设备,例如,可以为电子签名设备(例如工行U盾、农行K宝等)。另外,证件卡信息可以是明文存储到存储装置50中,也可以是加密存储到存储装置50中,具体本实施例不作限定。
在本发明实施例的另一个可选实施方案中,证件卡阅读装置20在接收到证件卡信息后,如果证件卡阅读装置20具有显示模块,则可以通过显示模块显示接收到的证件卡信息,如果证件卡阅读装置20不具有显示模块,则证件卡阅读装置20可以将证件卡信息发送给外部显示装置存储。因此,在该可选实施方式中,证件卡阅读装置20还用于将证件卡信息发送至显示装置60;显示装置60,用于显示证件卡信息。通过该可选实施方式,可以显示读取到的证件卡信息,从而可以使用户获知证件卡中存储的证件卡信息。
在本发明实施例的一个可选实施方案中,终端10还可以在第一证件卡安全控制设备40启动读取证件卡信息的流程之前,与第一证件卡安全控制设备40进行互相认证,并在互相认证均通过后,第一证件卡安全控制设备40才可以启动读取证件卡信息的流程,例如第一证件卡安全控制设备40与终端10可以通过互相认证对方证书的合法性的方式来进行认证,当然本发明并不局限于认证证书这一方式,其他可以互相认证对方身份合法的方式均应属于本发明的保护范围。这样,终端10可以认证第一证件卡安全控制设备40的真实性和安全性,第一证件卡安全控制设备40也可以认证终端的真实性和安全性,由此可以保证终端10与第一证件卡安全控制设备40之间信息交互的安全性。
由此可见,本发明实施例提供的证件卡信息获取***中,终端10通过证件卡阅读装置20连接证件卡,并可以协助第一证件卡安全控制设备40从证件卡获取证件卡信息,并在设置多个终端时,每个终端均与第一证件卡安全控制设备进行连接,由此可以提高第一证件卡安全控制设备的利用率。
实施例2
本实施例提供了一种证件卡信息获取装置,该装置可以设置在上述实施例1的证件卡阅读装置20中,用于获取证件卡中存储的证件卡信息。
图2为本实施例提供的证件卡信息获取装置的结构示意图,如图2所示,该装置主要包括:第一收发模块200、第二收发模块202和处理模块206。其中,第一收发模块200,用于接收终端发送操作请求;第二收发模块202,用于周期性的广播寻卡指令,并接收证件卡返回的响应消息;处理模块206,用于判断响应消息为针对寻卡指令的寻卡确认数据;如果是,则指示第二收发模块202停止广播寻卡指令,并指示第一收发模块200通过终端向第一证件卡安全控制设备发送寻卡请求;第一收发模块200,还用于通过终端发送寻卡请求,并接收第一证件卡安全控制设备通过终端返回的寻卡响应;处理模块206,还用于从寻卡响应中获取寻卡响应数据,确定寻卡响应数据为响应寻卡请求的响应数据,指示第一收发模块200将寻卡确认数据通过终端发送给第一证件卡安全控制设备;第二收发模块202,还用于向证件卡发送选卡指令,并接收证件卡发送的选卡确认数据,其中,选卡确认数据至少包括证件卡的唯一标识信息;第一收发模块200,还用于通过终端向第一证件卡安全控制设备发送选卡请求,以及接收第一证件卡安全控制设备通过终端发送的选卡请求响应;处理模块206,还用于确定选卡请求响应为针对选卡请求的响应数据,指示第一收发模块200将选卡确认数据通过终端发送给第一证件卡安全控制设备;第二收发模块202,还用于向证件卡发送读卡指令,以及接收证件卡返回的读卡确认数据;第一收发模块200,还用于通过终端向第一证件卡安全控制设备发送读卡请求,指示第一证件卡安全控制设备启动读取证件卡信息的流程;处理模块206,还用于在读取证件卡信息的流程中,通过第一收发模块200和第二收发模块202,转发第一证件卡安全控制设备与证件卡之间交互的信息。具体地,在读取证件卡信息的流程中,第一收发模块200接收第一证件卡安全控制设备通过终端发送的第一交互信息,并将证件卡发送的第二交互信息通过终端发送给第一证件卡安全控制设备;以及接收第一证件卡安全控制设备通过终端发送的从证件卡中读取的证件卡信息;第二收发模块202将第一收发模块204接收到的第一交互信息发送给证件卡,以及接收证件卡发送的第二交互信息。
为了使第一证件卡安全控制设备40能够确定寻卡请求为证件卡信息获取装置所发送的,避免非法模拟的证件卡信息获取装置对第一证件卡安全控制设备40的攻击,在本发明实施例的一个可选实施方案中,处理模块206还用于在第一收发模块200发送寻卡请求之前,获取第一身份认证数据,并将第一身份认证数据携带在寻卡请求中。在该可选实施方式中,可选地,第一身份认证数据可以是证件卡信息获取装置使用自身的私钥对待签名信息进行签名得到的签名值,其中,待签名信息可以是证件卡信息获取装置生成的随机数,证件卡信息获取装置可以将该随机数以及该随机数的签名值一起携带在寻卡请求中发送;或者,待签名信息也可以为寻卡请求中携带的寻卡请求数据,具体本实施例不作限定。第一证件卡安全控制设备40在接收到寻卡请求之后,可以通过第一身份认证数据对证件卡信息获取装置的身份进行认证,认证通过之后,才向证件卡信息获取装置返回寻卡响应。当然,第一身份认证数据除了可以是对待签名信息进行签名得到的签名值以外,还可以为其它数据,例如,对采用预先与第一证件卡安全控制设备40约定的算法对待认证数据进行检验计算的检验值等,具体本实施例不作限定。
为了使证件卡信息获取装置能够确定寻卡响应为第一证件卡安全控制设备40所发送的,避免非法模拟的第一证件卡安全控制设备40非法获取证件卡中存储的信息,在本发明实施例的一个可选实施方案中,寻卡响应中至少携带有第二身份认证数据;处理模块206,还用于在第一收发模块200接收第一证件卡安全控制设备通过终端发送的寻卡响应之后,将寻卡确认数据通过终端发送给第一证件卡安全控制设备之前,根据第二身份认证数据对第一证件卡安全控制设备的身份进行认证,在认证通过的情况下,触发第一收发模块200将寻卡确认数据通过终端发送给第一证件卡安全控制设备。即在该可选实施方式中,处理模块206只有在确定了第一证件卡安全控制设备40的身份的情况下,才触发第一收发模块200将证件卡返回的确认数据发送给第一证件卡安全控制设备40,避免了证件卡中存储的信息被非法获取。
在上述可选实施方式中,可选地,第二身份认证数据可以是第一证件卡安全控制设备40使用自身的私钥对待签名信息进行签名得到的签名值,其中,该待签名信息可以是第一证件卡安全控制设备40生成的随机数,第一证件卡安全控制设备40可以将该随机数以及该随机数的签名值一起携带在寻卡响应中发送给第一证件卡安全控制设备40;或者,待签名信息也可以为寻卡响应中携带的寻卡响应数据,具体本实施例不作限定。证件卡信息获取装置20在接收到该寻卡响应之后,可以通过第二身份认证数据对第一证件卡安全控制设备40的身份进行认证,认证通过之后,才向第一证件卡安全控制设备40发送寻卡确认数据。当然,第二身份认证数据除了可以是对待签名信息进行签名得到的签名值以外,还可以为其它数据,例如,对采用预先与证件卡信息获取装置约定的算法对待认证数据进行检验计算的检验值等,具体本实施例不作限定。
类似地,为了使第一证件卡安全控制设备40能够确定选卡请求为证件卡信息获取装置所发送的,避免非法模拟的证件卡信息获取装置对第一证件卡安全控制设备40的攻击,在本发明实施例的一个可选实施方案中,处理模块206,还用于在第一收发模块200发送选卡请求之前,获取第三身份认证数据,将第三身份认证数据携带在选卡请求中。与上述第一身份认证数据相似,第三身份认证数据也可以为证件卡信息获取装置利用自身私钥对待签名信息进行签名得到的签名值,或者,也可以为采用预定与第一证件卡安全控制设备40约定的算法对待认证数据进行检验计算得到的检验址,具体不再赘述。
另外,为了使证件卡信息获取装置能够确定选卡请求响应为第一证件卡安全控制设备40所发送的,避免非法模拟的第一证件卡安全控制设备40非法获取证件卡中存储的信息,在本发明实施例的一个可选实施方案中,选卡请求响应中至少携带有第四身份认证数据;处理模块206,还用于在第一收发模块200接收第一证件卡安全控制设备发送的选卡请求响应之后,将选卡确认数据通过终端发送给第一证件卡安全控制设备之前,解析选卡请求响应中携带的信息,获取选卡请求响应中携带的第四身份认证数据,并根据第四身份认证数据对第一证件卡安全控制设备的身份进行认证,在认证通过的情况下,触发第一收发模块200将选卡确认数据通过终端发送给第一证件卡安全控制设备。同样,与第二身份认证数据类似,第四身份认证数据可以是第一证件卡安全控制设备40使用自身的私钥对待签名信息进行签名得到的签名值,或者,也可以为采用预定与证件卡信息获取装置约定的算法对待认证数据进行检验计算得到的检验值,具体不再赘述。
同样,为了使第一证件卡安全控制设备能够确定读卡请求为证件卡信息获取装置所发送的,避免非法模拟的证件卡信息获取装置对第一证件卡安全控制设备的攻击,在本发明实施例的一个可选实施方案中,处理模块206,还用于在第一收发模块200发送读卡请求之前,获取第五身份认证数据,将第五身份认证数据携带在读卡请求中。
为了保证与第一证件卡安全控制设备40之间的数据传输安全,在本发明实施例的一个可选实施方案中,处理模块206,还用于在第一证件卡安全控制设备启动读取证件卡信息的流程之前,通过终端与第一证件卡安全控制设备进行协商,得到会话密钥;以及在与第一证件卡安全控制设备的后续通信过程中,使用会话密钥分别对第一收发模块200发送给第一证件卡安全控制设备的数据进行加密发送和对第一收发模块200接收到的来自第一证件卡安全控制设备的数据进行解密。在具体应用中,与第一证件卡安全控制设备40的会话密钥协商可以在第一收发模块200发送寻卡请求之前进行会话密钥的协商,也可以是在发送寻卡请求时开始执行会话密钥的协商,还可以是在将寻卡请求发送至第一证件卡安全控制设备40之后,启动会话密钥的协商,具体本实施例不作限定。与第一证件卡安全控制设备40之间的会话密钥协商过程可以参见实施例3的描述,在此不再赘述。
实施例3
本实施例提供了一种证件卡信息获取方法,该方法可以通过上述实施例1至2所提供的***或装置实施。
图3为根据本实施例的证件卡信息获取方法的流程示意图,如图3所示,该方法主要包括以下步骤S301至步骤S320。
步骤S301,终端向证件卡阅读装置发送操作请求。
在具体实施过程中,终端与证件卡阅读装置之间可以通过有线连接(例如,USB接口、串口、音频接口等),也可以通过无线连接(例如WIFI、蓝牙、红外、NFC等)。
在本实施例中,用户在需要读取证件卡中存储的证件卡信息时,通过终端向证件卡阅读装置发送操作请求,指示证件卡阅读装置需要读取证件卡中存储的证件卡信息。例如,用户可以通过终端中的某个按键向终端输入操作指令,终端响应用户输入的操作指令,向证件卡阅读装置发送操作请求。
另外,证件卡中存储的证件卡信息是加密存储的,由于证件卡的特殊性,只有证件卡安全控制设备才能对证件卡中存储的证件卡信息进行解密。在具体实施过程中,可以在读卡请求中对需要第一证件卡安全控制设备进行解密的内容进行设置,例如,可以设置第一证件卡安全控制设备只读取证件卡中存储的基本信息(例如,姓名、性别、出生年月等),也可以设置第一证件卡安全控制设备读取证件卡中存储的基本信息+照片,还可以设置第一证件卡安全控制设备读取证件卡中存储的基本信息+照片+指纹信息等,具体可以根据需要进行设置。在具体实施过程中,可以由用户在终端进行设置,设置完成后,通过操作请求发送给证件卡阅读装置,证件卡阅读装置根据用户的设置,在读卡过程中,将设置信息发送给第一证件卡安全控制设备。
步骤S302,证件卡阅读装置接收操作请求,周期性的广播寻卡指令。
在具体实施过程中,证件卡阅读装置可以通过其射频(RF)天线,周期性的广播寻卡指令,如果在证件卡阅读装置的可读范围内存在证件卡,则该证件卡能够接收到该寻卡指令,并对该寻卡指令进行响应。
步骤S303,证件卡阅读装置接收到证件卡返回的响应消息,判断响应消息为针对上述寻卡指令的寻卡确认数据。
在本实施例中,证件卡阅读装置通过其RF射频模块每间隔一段时间向外发送寻卡指令,证件卡接收到该寻卡指令后,向证件卡阅读装置返回携带寻卡确认数据的响应消息,证件卡阅读装置确定接收到证件卡发送的寻卡确认数据后,执行步骤S304。
步骤S304,证件卡阅读装置停止广播寻卡指令,向终端发送寻卡请求。
在本实施例中,寻卡请求中可以携带寻卡请求数据,以使证件卡安全控制设备能够获知接收到的寻卡请求的类型。
步骤S305,终端接收寻卡请求,向第一证件卡安全控制设备发送寻卡请求。
在具体应用中,与终端连接的证件卡安全控制设备可以为一个(即第一证件卡安全控制设备),也可以为多个,在为多个的情况下,终端在发送寻卡请求之前,将为证件卡阅读装置选择一个证件卡安全控制设备(即第一证件卡安全控制设备)。
在本发明实施例的一个可选实施方案中,终端选择证件卡安全控制设备的方式包括但不限于以下之一:
(1)从预先存储的对应关系中选择与证件卡阅读装置对应的证件卡安全控制设备,其中,该对应关系中记录了多个证件卡安全控制设备中每个证件卡安全控制设备对应的一个或多个证件卡阅读装置;
例如,终端连接多个证件卡安全控制设备,并可以存储多个证件卡安全控制设备中的每个证件卡安全控制设备与多个证件卡阅读装置的对应关系。其中,该对应关系也可以按照一定规则进行设定,例如,可以按照地理区域进行划分,同一个区域的多个证件卡阅读装置对应同一个证件卡安全控制设备,或者,也可以给每个证件卡阅读装置分配一个ID,按照ID号进行划分,ID在同一范围内的证件卡阅读装置对应同一个证件卡安全控制设备,或者,也可以按照各个证件卡阅读装置在网络中的地址(例如IP地址)进行划分。通过该可选实施方案,可以将多个证件卡阅读装置对应到一个证件卡安全控制设备,提高了证件卡安全控制设备的利用率和***可管理性,并且,通过将多个证件卡阅读装置对应到一个证件卡安全控制设备,如果出现故障,也可以迅速地对故障进行定位。
例如,在银行***中,可以在一个营业点设置多个证件卡安全控制设备,终端中可以设置一个对应关系,对前端的证件卡阅读装置进行编号,然后在对应关系中记录对应每个证件卡阅读装置的证件卡安全控制设备。对于多个营业点共用多个证件卡安全控制设备的情形,终端中可以设置一个对应关系,记录来自每个营业点的证件卡阅读装置对应证件卡安全控制设备,或者,也可以按照前端的证件卡阅读装置的IP地址进行证件卡安全控制设备的分配。
(2)选择所述多个证件卡安全控制设备中当前工作状态为空闲的证件卡安全控制设备作为所述第一证件卡安全控制设备。
例如,终端可以记录***中多个证件卡安全控制设备中每个证件卡安全控制设备的工作状态,在接收到来自证件卡阅读装置的寻卡请求时,终端可以根据各个证件卡安全控制设备的工作状态,选择当前工作状态为空闲的证件卡安全控制设备作为与证件卡阅读装置对应的证件卡安全控制设备(即第一证件卡安全控制设备),并将选择的证件卡安全控制设备的工作状态标记为非空闲。通过该可选实施方案,可以避免一个证件卡安全控制设备同时接收到多个终端的信息,而导致处理效率下降的情况。
在本发明实施例的一个可选实施方案中,为了快速释放未使用的证件卡安全控制设备,终端还可以证件卡阅读装置与选择的证件卡安全控制设备通信结束后,将选择的证件卡安全控制设备的工作状态标记为空闲。当然,在具体实施过程中,如果所有证件卡安全控制设备都处理非空闲状态,还可以根据各个证件卡安全控制设备的负荷状态选择证件卡安全控制设备,以达到负载均衡。
例如,在银行***中,可以在一个营业点或多个营业点或全网设置多个证件卡安全控制设备,在终端中设置空闲证件卡安全控制设备池,终端在接收到来自前端的证件卡阅读装置发送的寻卡请求时,从空闲证件卡安全控制设备池取出一个证件卡安全控制设备,将该证件卡安全控制设备分配给当前的证件卡阅读装置,由该证件卡安全控制设备处理当前的证件卡阅读装置的相关请求,并将该证件卡安全控制设备从空闲证件卡安全控制设备池中移出,在使用完之后,再将该证件卡安全控制设备放入空闲证件卡安全控制设备池。
通过上述可选实施方式,终端可以根据具体应用为证件卡阅读装置选择合适的证件卡安全控制设备,从而可以在提高证件卡安全控制设备的利用率的同时,提高数据处理的效率。
步骤S306,第一证件卡安全控制设备接收寻卡请求,通过终端向证件卡阅读装置发送寻卡响应,其中,寻卡响应中携带有寻卡响应数据。
为了使第一证件卡安全控制设备能够确定寻卡请求为证件卡阅读装置所发送的,避免非法模拟的证件卡信息获取装置对第一证件卡安全控制设备的攻击,在本发明实施例的一个可选实施方案中,证件卡阅读装置发送的寻卡请求中至少携带有第一身份认证数据;第一证件卡安全控制设备在通过终端向证件卡阅读装置返回寻卡响应之前,该方法还可以包括:第一证件卡安全控制设备根据寻卡请求中携带的第一身份认证数据对证件卡阅读装置的身份进行认证,在认证通过的情况下,执行通过终端向证件卡阅读装置返回寻卡响应的步骤。
在该可选实施方式中,可选地,第一身份认证数据可以是证件卡阅读装置使用自身的私钥对待签名信息进行签名得到的签名值,其中,待签名信息可以是证件卡阅读装置生成的随机数,证件卡阅读装置可以将该随机数以及该随机数的签名值一起携带在寻卡请求中发送;或者,待签名信息也可以为寻卡请求中携带的寻卡请求数据,具体本实施例不作限定。第一证件卡安全控制设备在接收到寻卡请求之后,可以通过第一身份认证数据对证件卡阅读装置的身份进行认证,认证通过之后,才向证件卡阅读装置返回寻卡响应。当然,第一身份认证数据除了可以是对待签名信息进行签名得到的签名值以外,还可以为其它数据,例如,对采用预先与第一证件卡安全控制设备约定的算法对待认证数据进行检验计算的检验值等,具体本实施例不作限定。第一证件卡安全控制设备采用相应的方式对第一身份认证数据进行认证。
步骤S307,证件卡阅读装置接收第一证件卡安全控制设备发送的寻卡响应,获取寻卡响应数据。
步骤S308,证件卡阅读装置确定寻卡响应数据为响应寻卡请求的响应数据,将寻卡确认数据通过终端发送给第一证件卡安全控制设备。
为了使证件卡阅读装置能够确定寻卡响应为第一证件卡安全控制设备所发送的,避免非法模拟的第一证件卡安全控制设备非法获取证件卡中存储的信息,在本发明实施例的一个可选实施方案中,第一证件卡安全控制设备在发送寻卡响应之前,获取第二身份认证数据,将第二身份认证数据携带在寻卡响应中。证件卡阅读装置在接收第一证件卡安全控制设备通过终端发送的寻卡响应之后,在将寻卡确认数据通过终端发送给第一证件卡安全控制设备之前,根据第二身份认证数据对第一证件卡安全控制设备的身份进行认证,在认证通过的情况下,执行将寻卡确认数据通过终端发送给第一证件卡安全控制设备的操作。即在该可选实施方式中,证件卡阅读装置只有在确定了第一证件卡安全控制设备的身份的情况下,才将证件卡返回的确认数据发送给第一证件卡安全控制设备,避免了证件卡中存储的信息被非法获取。
在上述可选实施方式中,可选地,第二身份认证数据可以是第一证件卡安全控制设备使用自身的私钥对待签名信息进行签名得到的签名值,其中,该待签名信息可以是第一证件卡安全控制设备生成的随机数,第一证件卡安全控制设备可以将该随机数以及该随机数的签名值一起携带在寻卡响应中发送给第一证件卡安全控制设备;或者,待签名信息也可以为寻卡响应中携带的寻卡响应数据,具体本实施例不作限定。证件卡阅读装置在接收到该寻卡响应之后,可以通过第二身份认证数据对第一证件卡安全控制设备的身份进行认证,认证通过之后,才向第一证件卡安全控制设备发送寻卡确认数据。当然,第二身份认证数据除了可以是对待签名信息进行签名得到的签名值以外,还可以为其它数据,例如,对采用预先与证件卡阅读装置约定的算法对待认证数据进行检验计算的检验值等,具体本实施例不作限定。证件卡阅读装置采用对应的方式对第二身份认证数据进行认证。
步骤S309,证件卡阅读装置向证件卡发送选卡指令。
步骤S310,证件卡阅读装置接收证件卡发送的选卡确认数据,其中,选卡确认数据至少包括证件卡的唯一标识信息;
步骤S311,证件卡阅读装置通过终端向第一证件卡安全控制设备发送选卡请求;
步骤S312,第一证件卡安全控制设备接收选卡请求,通过终端向证件卡阅读装置发送选卡请求响应;
为了使第一证件卡安全控制设备能够确定选卡请求为证件卡阅读装置所发送的,避免非法模拟的证件卡阅读装置对第一证件卡安全控制设备的攻击,在本发明实施例的一个可选实施方案中,证件卡阅读装置发送的选卡请求中还可以携带有第三身份认证数据;第一证件卡安全控制设备还用于在接收选卡请求之后,通过终端向证件卡阅读装置发送选卡请求响应之前,根据选卡请求中携带的第三身份认证数据对证件卡阅读装置的身份进行认证,在认证通过的情况下,执行通过终端向证件卡阅读装置发送选卡请求响应的操作。与上述第一身份认证数据相似,第三身份认证数据也可以为证件卡阅读装置利用自身私钥对待签名信息进行签名得到的签名值,或者,也可以为采用预定与第一证件卡安全控制设备约定的算法对待认证数据进行检验计算得到的检验址,具体不再赘述。
步骤S313,证件卡阅读装置接收第一证件卡安全控制设备发送的选卡请求响应,确定该选卡请求响应为针对选卡请求的响应数据,将选卡确认数据通过终端发送给第一证件卡安全控制设备;
为了使证件卡阅读装置能够确定选卡请求响应为第一证件卡安全控制设备所发送的,避免非法模拟的第一证件卡安全控制设备非法获取证件卡中存储的信息,在本发明实施例的一个可选实施方案中,第一证件卡安全控制设备还在发送选卡请求响应之前,获取第四身份认证数据,将第四身份认证数据携带在选卡请求响应中;证件卡阅读装置在接收第一证件卡安全控制设备发送的选卡请求响应之后,将选卡确认数据通过终端发送给第一证件卡安全控制设备之前,解析选卡请求响应中携带的信息,获取选卡请求响应中携带的第四身份认证数据,并根据第四身份认证数据对第一证件卡安全控制设备的身份进行认证,在认证通过的情况下,执行将选卡确认数据通过终端发送给第一证件卡安全控制设备的操作。同样,与第二身份认证数据类似,第四身份认证数据可以是第一证件卡安全控制设备使用自身的私钥对待签名信息进行签名得到的签名值,或者,也可以为采用预定与证件卡阅读装置约定的算法对待认证数据进行检验计算得到的检验址,具体不再赘述。
步骤S314,证件卡阅读装置向证件卡发送读卡指令;
步骤S315,证件卡阅读装置接收证件卡返回的读卡确认数据;
步骤S316,证件卡阅读装置接收操作请求,向终端发送读卡请求;
步骤S317,终端将读卡请求发送至第一证件卡安全控制设备;
步骤S318,第一证件卡安全控制设备接收读卡请求,启动读取证件卡信息的流程,通过终端和证件卡阅读装置与证件卡之间进行信息交互,读取到证件卡中存储的证件卡信息;
为了使第一证件卡安全控制设备能够确定读卡请求为证件卡阅读装置所发送的,避免非法模拟的证件卡阅读装置对第一证件卡安全控制设备的攻击,在本发明实施例的一个可选实施方案中,证件卡阅读装置发送的读卡请求中至少携带第五身份认证数据;第一证件卡安全控制设备在接收读卡请求之后,启动读取证件卡信息的流程之前,根据读卡请求中携带的第五认证数据对证件卡阅读装置的身份进行认证,在认证通过的情况下,执行启动读取证件卡信息的流程的操作。
在本实施例的上述流程中,在第一证件卡安全控制设备40启动读取证件卡信息的流程之前的步骤,可以称之为读卡准备流程。
在本发明实施例的一个可选实施方案中,第一证件卡安全控制设备启动读取证件卡信息的流程之后,在读取证件卡信息的流程之中,第一证件卡安全控制设备与证件卡之间可以通过证件卡阅读装置和终端进行相互认证,证件卡只有在对第一证件卡安全控制设备认证通过之后,才允许将其存储的信息读出,而第一证件卡安全控制设备只有在对证件卡认证通过之后,才接收证件卡发送的信息,进而对证件卡发送的信息进行处理,以得到可读的证件卡信息。
在本发明实施例的一个可选实施方案中,如果读卡请求中有指定需要读取的内容,则第一证件卡安全控制设备根据该指示,读取证件卡中存储的基本信息(例如,姓名、性别、出生年月等),或者读取证件卡中存储的基本信息+照片。如果读卡请求中没有指定需要读取的内容,则第一证件卡安全控制设备读取默认的证件卡信息,例如,证件卡中存储的基本信息。
步骤S319,第一证件卡安全控制设备将读取到的证件卡信息发送给终端;
在具体应用中,第一证件卡安全控制设备通过读卡流程,获取到证件卡中存储的证件卡信息的明文,在本实施例的一个可选实施方式中,第一证件卡安全控制设备可以将读取到的证件卡信息的明文直接发送给终端,或者,第一证件卡安全控制设备可以与终端进行协商,得到传输密钥,使用该传输密钥对证件卡信息的明文进行加密,将加密的证件卡信息发送给终端;或者,第一证件卡安全控制设备可以使用与证件卡阅读装置协商会话密钥进行加密,将加密的证件卡信息发送给证件卡阅读装置,由证件卡阅读装置进行解密后发送给终端。
步骤S320,终端接收证件卡信息。
通过本实施例提供的上述方法,将证件卡阅读装置只与证件卡进行信息交互,由远端的证件卡安全控制设备执行证件卡安全控制认证等功能,可以多个证件卡阅读装置共用一个证件卡安全控制设备,从而提高了证件卡安全控制设备的利用率,节约了成本。
可选地,终端在接收到证件卡信息后,可以将证件卡信息发送给显示装置显示,从而可以方便用户阅读证件卡信息。
可选地,终端还也可以将证件卡信息发送给存储装置(例如,电子签名设备)进行存储。从而使得后续使用中,用户可以不用携带证件卡,从而避免了用户随身携带证件卡而给用户带来不便的问题。
为了保证证件卡阅读装置与第一证件卡安全控制设备之间的数据传输安全,在本发明实施例的一个可选实施方案中,在第一证件卡安全控制设备启动读取证件卡信息的流程之前,证件卡阅读装置与第一证件卡安全控制设备通过终端进行协商,双方得到会话密钥;在证件卡阅读装置与第一证件卡安全控制设备得到会话密钥之后,在证件卡阅读装置与第一证件卡安全控制设备的后续通信过程中,双方使用会话密钥分别对发送和接收的数据进行加密和解密。在具体应用中,证件卡阅读装置与第一证件卡安全控制设备可以在证件卡阅读装置发送寻卡请求之前进行会话密钥的协商,也可以是在发送寻卡请求时开始执行会话密钥的协商,还可以是在证件卡阅读装置将寻卡请求发送至第一证件卡安全控制设备之后,启动会话密钥的协商,具体本实施例不作限定。
图4为本实施例的一种可选读卡准备流程的实施方式示意图,如图4所示,在该可选实施方式中,读卡准备流程主要包括以下寻卡流程(a1-a9):
步骤a1:证件卡阅读装置向证件卡发送寻卡指令;
步骤a2:证件卡接收寻卡指令,并向证件卡阅读装置发送寻卡确认数据;
步骤a3:证件卡阅读装置利用认证加密密钥对寻卡请求数据进行加密,得到寻卡请求数据密文D1,利用证件卡阅读装置的第一私钥对寻卡请求数据密文进行签名,得到寻卡请求签名值SD1;
步骤a4:证件卡阅读装置通过终端向第一证件卡安全控制设备发送寻卡请求,寻卡请求包括寻卡请求数据密文D1、寻卡请求签名值SD1、证件卡阅读装置的第一证书和证件卡阅读装置的第二证书;
在本实施例中,证件卡阅读装置通过其RF射频模块每间隔一段时间向外发送寻卡指令,证件卡接收到该寻卡指令后,向证件卡阅读装置发送寻卡确认数据,证件卡阅读装置接收到证件卡发送的寻卡确认数据后,证件卡阅读装置向第一证件卡安全控制设备发送寻卡请求。
在本实施例中,寻卡请求中包括寻卡请求数据密文、寻卡请求签名值、证件卡阅读装置的第一证书和证件卡阅读装置的第二证书。其中,寻卡请求数据密文是证件卡阅读装置在收到证件卡发送的寻卡确认数据后,利用认证加密密钥对寻卡请求数据进行加密生成的。利用认证加密密钥对寻卡请求数据加密后传输至第一证件卡安全控制设备可以保证寻卡请求数据在网络传输中的安全。
在本实施例中,证件卡阅读装置的第一证书中至少包括证件卡阅读装置的第一公钥,证件卡阅读装置的第二证书中也至少包括证件卡阅读装置的第二公钥。证件卡阅读装置的第一证书中的第一公钥与第二证书中的第二公钥可以相同,也可以不同,本实施例不做限定。本步骤中使用的证件卡阅读装置的第二公钥与步骤a8中使用的证件卡阅读装置的第二私钥是一对非对称密钥对,分别用于步骤a6、步骤a8中对会话密钥进行加解密运算。
作为本实施例的一种可选实施方式,步骤a3中的寻卡请求数据还包括时间戳和/或单次认证数据,寻卡请求中还包括证件卡阅读装置的标识。其中,单次认证标识包括证件卡阅读装置中的计数器产生的计数值和/或随机因子。当单次认证标识为计数器产生的计数值时,证件卡阅读装置每执行一次证件卡信息读取操作,计数器会产生一个计数值,用于对发送出的第一数据包进行计数,例如,证件卡阅读装置读取证件卡A时,计数器产生计数值1,下次读取证件卡B时,计数器产生计数值2,以此类推,当然具体的计数值形式不限于此;当单次认证标识为随机因子时,随机因子可以为一个或一串随机数,或者可以为一个或一串随机字符,或者一串随机数和随机字符的任意组合;证件卡阅读装置的标识可以为证件卡阅读装置的序列号,当然,证件卡阅读装置的标识只要是可以唯一表示证件卡阅读装置的标识即可,并不局限于证件卡阅读装置的序列号。
作为本实施例的一种可选实施方式,寻卡请求发送到终端时,终端可以判断寻卡请求中的证件卡阅读装置的标志是否在黑名单内,如果在黑名单内,则结束证件卡读取流程;否则,终端根据各个证件卡安全控制设备的处理能力,选择将寻卡请求发送到哪个证件卡安全控制设备进行处理,终端再将寻卡请求发送给该选中的第一证件卡安全控制设备。通过终端对第一数据包进行分流处理,可以防止单点故障。
作为本实施例的一种可选实施方式,终端接收到寻卡请求并判断证件卡阅读装置的标识不在黑名单后,利用根证书对接收到的证件卡阅读装置的第一证书和证件卡阅读装置的第二证书进行验证,并在验证通过后,终端可以利用证件卡阅读装置的第一证书对寻卡请求签名值进行签名验证,并在对寻卡请求签名值进行签名验证通过后,将寻卡请求中的寻卡请求数据密文和证件卡阅读装置的第二证书发送至第一证件卡安全控制设备。
步骤a5:第一证件卡安全控制设备接收寻卡请求,并利用证件卡阅读装置的第一证书对寻卡请求签名值SD1进行签名验证,并在对寻卡请求签名值进行签名验证通过后,利用认证解密密钥对寻卡请求数据密文进行解密,得到寻卡请求数据d1,根据寻卡请求数据d1,生成寻卡请求响应数据rd1;
作为本实施例的一种可选实施方式,第一证件卡安全控制设备接收到寻卡请求后,利用根证书对接收到的证件卡阅读装置的第一证书和证件卡阅读装置的第二证书进行验证,以防止非法分子篡改证件卡阅读装置第一证书中的第一公钥和证件卡阅读装置第二证书中的第二公钥,实现对证件卡阅读装置的安全认证,提高双方交互的安全性。
在本实施例中,认证解密密钥与步骤a3中的认证加密密钥为相同的密钥,即对称密钥,预先内置在第一证件卡安全控制设备和证件卡阅读装置中,证件卡阅读装置利用该对称密钥对证件卡阅读装置首次发送给第一证件卡安全控制设备的数据进行加密,第一证件卡安全控制设备利用该对称密钥对第一证件卡安全控制设备首次接收到证件卡阅读装置发送的数据进行解密,保证证件卡阅读装置与第一证件卡安全控制设备首次传输数据的安全性。可选的,认证加密密钥和认证解密密钥保存在密钥数据库中,第一证件卡安全控制设备可以从密钥数据库中读取该认证解密密钥,并保存在第一证件卡安全控制设备本地。证件卡阅读装置也可以从密钥数据库中读取该认证加密密钥,并保存在证件卡阅读装置本地。
步骤a6:第一证件卡安全控制设备生成会话密钥r3,并利用会话密钥对寻卡请求响应数据rd1进行加密,得到寻卡请求响应数据密文RD1,并利用证件卡阅读装置的第二证书对会话密钥进行加密,得到会话密钥密文R3,并利用第一证件卡安全控制设备的私钥对寻卡请求响应数据密文和会话密钥密文进行签名,得到寻卡请求响应签名值SRD1;
步骤a7:第一证件卡安全控制设备向证件卡阅读装置发送寻卡请求响应,寻卡请求响应包括:寻卡请求响应数据密文RD1、会话密钥密文R3、寻卡请求响应签名值SRD1和第一证件卡安全控制设备的证书;
在本实施例中,第一证件卡安全控制设备解密得到寻卡请求数据后,生成寻卡请求响应数据,并生成会话密钥,其中会话密钥可以为一个或一串随机数,或者可以为一个或一串随机字符,或者一串随机数和随机字符的任意组合。利用会话密钥对寻卡请求响应数据进行加密,保证了寻卡请求响应数据的在网络传输中的安全性。另外,会话密钥作为随机产生的密钥,不易被非法分子窃取。本实施例中,除证件卡阅读装置与第一证件卡安全控制设备首次传输的数据使用认证加密密钥进行加密之外,后续证件卡阅读装置与第一证件卡安全控制设备进行传输的数据可以通过会话密钥进行加密,以避免认证加密密密钥被破解导致数据传输安全性降低。由于会话密钥采用随机数的形式,每次传输的数据采用的随机数均不同,进一步可以提高证件卡阅读装置和第一证件卡安全控制设备之间数据传输的安全性。
在本实施例中,第一证件卡安全控制设备利用证件卡阅读装置的第二证书中的公钥对会话密钥进行加密,得到会话密钥密文,保证了会话密钥在网络传输中的安全性。
在本实施例中,第一证件卡安全控制设备利用自身存储的私钥对寻卡请求响应密文和会话密钥进行签名,可以防止非法分子篡改寻卡请求响应密文和会话密钥。
在本实施例中,第一证件卡安全控制设备向证件卡阅读装置发送的寻卡请求响应包括:寻卡请求响应数据密文、会话密钥密文、寻卡请求响应签名值和第一证件卡安全控制设备的证书。其中,第一证件卡安全控制设备的证书中包括第一证件卡安全控制设备的公钥,第一证件卡安全控制设备的私钥与第一证件卡安全控制设备的公钥是一对非对称密钥对,用于对从第一证件卡安全控制设备向证件卡阅读装置中传输的数据进行签名和验签。
作为本实施例的一种可选实施方式,第一证件卡安全控制设备可以直接将寻卡请求响应发送至证件卡阅读装置;也可将寻卡请求响应发送至调度装置后,调度装置再将寻卡请求响应发送至证件卡阅读装置。
步骤a8:证件卡阅读装置接收寻卡请求响应,并利用第一证件卡安全控制设备的证书对寻卡请求响应签名值SRD1进行验签,并在对寻卡请求响应签名值进行验签通过后,利用证件卡阅读装置的第二私钥对会话密钥密文进行解密,得到会话密钥r3,并利用会话密钥对寻卡请求响应数据密文进行解密,得到寻卡请求响应数据rd1。
步骤a9:证件卡阅读装置得到寻卡请求响应数据后,向第一证件卡安全控制设备发送寻卡确认数据,寻卡流程结束。
作为本实施例的一种可选实施方式,证件卡阅读装置接收到寻卡请求响应后,利用根证书对接收到的第一证件卡安全控制设备的证书进行验证,以防止非法分子篡改第一证件卡安全控制设备的证书中的公钥,实现对第一证件卡安全控制设备的安全认证,提高双方交互的安全性。
作为本实施例的一种可选实施方式,当第一证件卡安全控制设备是利用证件卡阅读装置的第二证书对会话密钥和单次认证标识进行加密,生成会话密钥密文时,证件卡阅读装置的第二私钥对会话密文进行解密,得到会话密钥和单次认证标识,可根据单次认证标识判断是对哪一次寻卡请求的响应。
作为本实施例的一种可选实施方式,在寻卡流程之前,证件卡阅读装置和第一证件卡安全控制设备可以协商会话密钥以进一步保证寻卡请求数据传输的安全,具体协商会话密钥的过程为:证件卡阅读装置利用认证加密密钥对会话密钥请求数据进行加密,得到会话密钥请求数据密文,利用证件卡阅读装置的第一私钥对会话密钥请求数据密文进行签名,得到会话密钥请求签名值,并向第一证件卡安全控制设备发送会话密钥请求,会话密钥请求包括会话密钥请求数据密文、会话密钥请求签名值、证件卡阅读装置的第一证书和证件卡阅读装置的第二证书;第一证件卡安全控制设备接收会话密钥请求,并利用证件卡阅读装置的第一证书对会话密钥请求签名值进行签名验证,并在对会话密钥请求签名值进行签名验证通过后,利用认证解密密钥对会话密钥请求数据密文进行解密,得到会话密钥请求数据;第一证件卡安全控制设备生成会话密钥,并利用证件卡阅读装置的第二证书对会话密钥进行加密,得到会话密钥密文,并利用第一证件卡安全控制设备的私钥对会话密钥密文进行签名,得到会话密钥密文签名值,并向证件卡阅读装置发送会话密钥请求响应,会话密钥请求响应包括:会话密钥密文、会话密钥密文签名值和第一证件卡安全控制设备的证书;证件卡阅读装置接收会话密钥请求响应,并利用第一证件卡安全控制设备的证书对会话密钥密文签名值进行验签,并在对会话密钥密文签名值进行验签通过后,利用证件卡阅读装置的第二私钥对会话密钥密文进行解密,得到会话密钥。
在本发明实施例的一个可选实施方案中,终端还可以在第一证件卡安全控制设备启动读取证件卡信息的流程之前,与第一证件卡安全控制设备进行互相认证,并在互相认证均通过后,第一证件卡安全控制设备才可以启动读取证件卡信息的流程,例如第一证件卡安全控制设备与终端可以通过互相认证对方证书的合法性的方式来进行认证,当然本发明并不局限于认证证书这一方式,其他可以互相认证对方身份合法的方式均应属于本发明的保护范围。这样,终端可以认证第一证件卡安全控制设备的真实性和安全性,第一证件卡安全控制设备也可以认证终端的真实性和安全性,由此可以保证终端与第一证件卡安全控制设备之间信息交互的安全性。
作为本实施例的一种可选实施方式,在寻卡流程之前已经协商好会话密钥时,上述读卡准备流程中证件卡阅读装置和第一证件卡安全控制设备可以直接利用会话密钥对寻卡请求数据和寻卡请求响应数据进行加解密,上述读卡准备流程中的寻卡流程可以替换为:
步骤a1:证件卡阅读装置向证件卡发送寻卡指令;
步骤a2:证件卡接收寻卡指令,并向证件卡阅读装置发送寻卡确认数据;
步骤a3:证件卡阅读装置利用会话密钥对寻卡请求数据进行加密,得到寻卡请求数据密文,利用证件卡阅读装置的第一私钥对寻卡请求数据密文进行签名,得到寻卡请求签名值;
步骤a4:证件卡阅读装置向第一证件卡安全控制设备发送寻卡请求,寻卡请求包括寻卡请求数据密文和寻卡请求签名值;
步骤a5:第一证件卡安全控制设备接收寻卡请求,并利用证件卡阅读装置的第一证书对寻卡请求签名值进行签名验证,并在对寻卡请求签名值进行签名验证通过后,利用会话密钥对寻卡请求数据密文进行解密,得到寻卡请求数据d1,根据寻卡请求数据d1生成寻卡请求响应数据rd1;
步骤a6:第一证件卡安全控制设备利用会话密钥对寻卡请求响应数据rd1进行加密,得到寻卡请求响应数据密文RD1,并利用第一证件卡安全控制设备的私钥对寻卡请求响应数据密文进行签名,得到寻卡请求响应签名值;
步骤a7:第一证件卡安全控制设备向证件卡阅读装置发送寻卡请求响应,寻卡请求响应包括:寻卡请求响应数据密文和寻卡请求响应签名值;
步骤a8:证件卡阅读装置利用第一证件卡安全控制设备的证书对接收的寻卡请求响应签名值进行验签,并在对寻卡请求响应签名值验签通过后,利用会话密钥对接收到的寻卡请求响应数据密文进行解密,得到寻卡请求响应数据。
步骤a9:证件卡阅读装置向第一证件卡安全控制设备发送寻卡确认数据。
步骤a1-a9完成了寻卡流程,寻卡流程结束后还包括选卡流程,通过选卡流程第一证件卡安全控制设备可以确认是对哪一张证件卡进行的读取操作。作为本实施例的一种可选实施方式,在步骤a9步骤之后,还包括以下选卡流程的实现步骤(a10-a18):
步骤a10:证件卡阅读装置得到寻卡请求响应数据后,向证件卡发送选卡指令;
步骤a11:证件卡接收选卡指令,并向证件卡阅读装置发送选卡确认数据,其中选卡确认数据至少包括证件卡的序列号。
步骤a12:证件卡阅读装置接收选卡确认数据,并利用会话密钥对选卡请求数据d2进行加密,得到选卡请求数据密文D2,利用证件卡阅读装置的第一私钥对选卡请求数据密文进行签名,得到选卡请求签名值SD2;
步骤a13:证件卡阅读装置向第一证件卡安全控制设备发送选卡请求,选卡请求包括选卡请求数据密文D2和选卡请求签名值SD2;
步骤a14:第一证件卡安全控制设备接收选卡请求,并利用证件卡阅读装置的第一证书对选卡请求签名值SD2进行签名验证,并在对选卡请求签名值进行签名验证通过后,利用会话密钥对选卡请求数据密文D2进行解密,得到选卡请求数据d2,根据选卡请求数据d2生成选卡请求响应数据rd2;
步骤a15:第一证件卡安全控制设备利用会话密钥对选卡请求响应数据rd2进行加密,得到选卡请求响应数据密文RD2,并利用第一证件卡安全控制设备的私钥对选卡请求响应数据密文进行签名,得到选卡请求响应签名值SRD2;
步骤a16:第一证件卡安全控制设备向证件卡阅读装置发送选卡请求响应,选卡请求响应包括:选卡请求响应数据密文RD2和选卡请求响应签名值SRD2;
步骤a17:证件卡阅读装置利用第一证件卡安全控制设备的证书对接收的选卡请求响应签名值SRD2进行验签,并在对选卡请求响应签名值验签通过后,利用会话密钥对接收到的选卡请求响应数据密文RD2进行解密,得到选卡请求响应数据rd2;
步骤a18:证件卡阅读装置在得到选卡请求响应数据后,利用会话密钥对选卡确认数据进行加密得到选卡确认数据密文,并利用证件卡阅读装置的第一私钥对选卡确认数据密文进行签名,得到选卡确认数据签名值,并向第一证件卡安全控制设备发送选卡确认数据密文和选卡确认数据签名值;第一证件卡安全控制设备接收到选卡确认数据密文和选卡确认数据签名值后,利用证件卡阅读装置的第一证书对选卡数据签名值进行签名验证,并在对选卡数据签名值进行签名验证通过后,利用会话密钥对选卡确认数据密文进行解密,得到选卡确认数据。
在本实施例中,一个证件卡具有一个安全密钥,不同的证件卡,对应的安全密钥也不相同,第一证件卡安全控制设备中存储有多个证件卡的安全密钥,通过步骤a18,第一证件卡安全控制设备得到选卡确认数据,其中选卡确认数据中包括证件卡的序列号,第一证件卡安全控制设备获得证件卡的序列号后,可根据证件卡的序列号查找该证件卡对应的安全密钥,以便后续使用该安全密钥实现证件卡与第一证件卡安全控制设备的双向认证。
选卡流程结束后,开始读卡流程之前的准备,主要包括以下步骤(步骤a19-a23):
步骤a19:证件卡阅读装置向证件卡发送读卡指令;
步骤a20:证件卡接收读卡指令,并向证件卡阅读装置发送读卡确认数据;
步骤a21:证件卡阅读装置利用会话密钥对读卡请求数据d3进行加密,得到读卡请求数据密文D3,并利用证件卡阅读装置的第一私钥对读卡请求数据密文进行签名,得到读卡请求签名值SD3;
步骤a22:证件卡阅读装置向第一证件卡安全控制设备发送读卡请求,读卡请求包括读卡请求数据密文D3和读卡请求签名值SD3;
步骤a23:第一证件卡安全控制设备接收读卡请求,并利用证件卡阅读装置的第一证书对读卡请求签名值SD3进行签名验证,并在对读卡请求签名值进行签名验证通过后,利用会话密钥对读卡请求数据密文D3进行解密,得到读卡请求数据d3。
需要说明的是,在上述流程中,证件卡阅读装置与第一证件卡安全控制设备之间传输的信息是通过终端转发的。
至此,读卡准备流程结束,第一证件安全控制设备启动读卡流程,获取到证件卡中存储的证件卡信息。图5为本发明实施例的一个可选实施方案中的读卡流程示意图,如图5所示,在该可选实施方式中,读卡流程可以包括:
步骤b1:第一证件卡安全控制设备生成第一认证因子r1;利用会话密钥对第一认证因子进行加密,得到第一认证因子密文R1,并利用第一证件卡安全控制设备的私钥对第一认证因子密文进行签名,得到第一认证因子签名值SR1;该步骤可以紧接着步骤a23执行。
步骤b2:第一证件卡安全控制设备向证件卡阅读装置发送读卡请求响应,读卡请求响应包括:第一认证因子密文R1和第一认证因子签名值SR1;
步骤b3:证件卡阅读装置接收读卡请求响应,并利用第一证件卡安全控制设备的证书对第一认证因子签名值SR1进行签名验证,并在对第一认证因子签名值进行签名验证通过后,利用会话密钥对第一认证因子密文R1进行解密,得到第一认证因子r1。
步骤b4:证件卡阅读装置向证件卡发送第一认证因子r1;
在本实施例中,第一认证因子可以为一个或一串随机数,或者可以为一个或一串随机字符,或者一串随机数和随机字符的任意组合。
在本实施例中,证件卡阅读装置通过非接触接口向证件卡发送第一认证因子,其中非接触接口可以是RF射频模块。
步骤b5:证件卡接收第一认证因子r1,并对第一认证因子进行加密,得到第一认证数据C1,以及生成第二认证因子r2;
步骤b6:证件卡向证件卡阅读装置发送第一认证数据C1和第二认证因子r2;
在本实施例中,证件卡可以利用安全密钥对第一认证因子进行加密,该安全密钥是预先内置在合法的证件卡中的,只有合法的证件卡才具有该安全密钥。
在本实施例中,证件卡通过非接触接口接收证件卡阅读装置发送的第一认证因子,其中,非接触接口可以是RF射频模块。本实施例中的证件卡阅读装置与证件卡之间的数据均是通过非接触接口进行通信传输,下面涉及到证件卡阅读装置与证件卡之间的数据发送将不再赘述具体实施方式。
步骤b7:证件卡阅读装置接收第一认证数据和第二认证因子,并利用会话密钥对第一认证数据和第二认证因子进行加密,得到第一密文E1,以及利用证件卡阅读装置的第一私钥对第一密文进行签名,得到第一签名值S1;
在本实施例中,第二认证因子可以为一个或一串随机数,或者可以为一个或一串随机字符,或者一串随机数和随机字符的任意组合。证件卡可以利用第二认证因子实现对第一证件卡安全控制设备的认证。
在本实施例中,会话密钥也可以为一个或一串随机数,或者可以为一个或一串随机字符,或者一串随机数和随机字符的任意组合。证件卡阅读装置和第一证件卡安全控制设备利用会话密钥对证件卡阅读装置和第一证件卡安全控制设备之间传输的数据进行加解密。
在本实施例中,证件卡阅读装置利用证件卡阅读装置的第一私钥对第一密文进行签名,得到第一签名值的一种可选实施方式为:证件卡阅读装置利用HASH算法计算第一密文得到第一密文的摘要,并利用证件卡阅读装置的第一私钥对第一密文的摘要进行加密,得到第一签名值。通过对第一密文进行签名可以防止非法分子篡改第一密文。需要说明的是,本实施例中的签名过程均可参见该实施方式,下面涉及到签名的过程将不再具体赘述。
步骤b8:证件卡阅读装置向第一证件卡安全控制设备发送第一数据包,第一数据包包括:第一密文E1和第一签名值S1;
在本实施例中,证件卡阅读装置不具有联网功能,而是利用终端(例如手机、PAD(平板电脑)或PC等)通过有线网络或无线网络向第一证件卡安全控制设备发送第一数据包。可选的,证件卡阅读装置可通过有线方式(例如,USB接口等)或无线方式(例如,WiFi,蓝牙等)与终端实现通信连接。
作为一种可选的实施方式,证件卡阅读装置可以利用会话密钥对第一认证数据和第二认证因子一起进行加密后,传输至第一证件卡安全控制设备,当然,也可以分别对第一认证数据和第二认证因子进行加密后,并分别传输至第一证件卡安全控制设备。
步骤b9:第一证件卡安全控制设备接收第一数据包;并利用证件卡阅读装置的第一证书对第一签名值S1进行签名验证,并在对第一签名值进行签名验证通过后,利用会话密钥对第一密文E1进行解密,得到第一认证数据C1和第二认证因子r2;并对第一认证数据C1进行验证,在对第一认证数据进行验证通过后,对第二认证因子r2进行加密,得到第二认证数据C2;并利用会话密钥对第二认证数据进行加密,得到第二密文E2,以及利用第一证件卡安全控制设备的私钥对第二密文进行签名,得到第二签名值S2;
在本实施例中,证件卡阅读装置的第一证书至少包括证件卡阅读装置的第一公钥,证件卡阅读装置的第一公钥与步骤b7中的证件卡阅读装置的第一私钥是一对非对称密钥。
在本实施例中,第一证件卡安全控制设备利用证件卡阅读装置的第一证书对第一签名值进行签名验证的一种可选实施方式为:第一证件卡安全控制设备利用证件卡阅读装置的第一证书的公钥对接收到第一签名值进行解密,得到第一密文的摘要,并利用HASH算法对接收到的第一密文进行计算得到第一密文的摘要,并比对解密得到的第一密文的摘要与计算得到的第一密文的摘要是否相同,如果相同,则对第一签名值进行签名验证通过。在本实施例中,第一证件卡安全控制设备对第一认证数据进行验证包括两种可实施方式:方式一:第一证件卡安全控制设备可以利用第一证件卡安全控制设备内置的安全密钥对接收到的第一认证数据进行解密,得到认证因子,并比较解密得到的认证因子与自身生成的第一认证因子是否相同,如果相同,则对第一认证数据进行验证通过。方式二:第一证件卡安全控制设备可以利用第一证件卡安全控制设备存储的该证件卡对应的安全密钥对自身生成的第一认证因子进行加密得到认证数据,并比较加密得到的认证数据与接收到的第一认证数据是否相同,如果相同,则对第一认证数据进行验证通过。由于合法的证件卡制作过程中会内置安全密钥,在第一证件卡安全控制设备中也会存储相同的安全密钥,以便后续实现该证件卡和第一证件卡安全控制设备之间的双向认证。如果第一证件卡安全控制设备对第一认证数据进行验证通过,说明证件卡使用的安全密钥与第一证件卡安全控制设备使用的安全密钥相同,且证件卡是对第一证件卡安全控制设备生成的第一认证因子进行加密得到的第一认证数据,则该证件卡是合法的证件卡,第一证件卡安全控制设备通过对第一认证数据进行验证确认了证件卡的合法性。
在本实施例中,对第一认证数据进行验证通过后,第一证件卡安全控制设备利用安全密钥对第二认证因子进行加密,得到第二认证数据。同样,第一证件卡安全控制设备利用的安全密钥也是预先内置在第一证件卡安全控制设备中的,只有合法的第一证件卡安全控制设备才具有该安全密钥。作为一种可选的实施方式,对第一认证数据进行验证没有通过,则结束证件卡读取流程。
步骤b10:第一证件卡安全控制设备向证件卡阅读装置发送第二数据包,第二数据包包括:第二密文E2和第二签名值S2;
步骤b11:证件卡阅读装置接收第二数据包,利用第一证件卡安全控制设备的证书对第二签名值S2进行签名验证,并在对第二签名值进行签名验证通过后,利用会话密钥对第二密文E2进行解密,得到第二认证数据C2;
在本实施例中,第一证件卡安全控制设备的证书至少包括第一证件卡安全控制设备的公钥。
步骤b12:证件卡阅读装置向证件卡发送第二认证数据C2;
步骤b13:证件卡对第二认证数据进行验证C2;
步骤b14:证件卡在对第二认证数据进行验证通过后,向证件卡阅读装置发送证件卡数据密文cd1;
在本实施例中,证件卡对第二认证数据进行验证的具体实施方式为:方式一:证件卡可以利用证件卡内置的安全密钥对应的解密密钥对接收到的第二认证数据进行解密,得到认证因子,并比较解密得到的认证因子与自身生成的第二认证因子是否相同,如果相同,则对第二认证数据进行验证通过。方式二:证件卡可以利用证件卡的安全密钥对自身生成的第二认证因子进行加密得到认证数据,并比较加密得到的认证数据与接收到的第二认证数据是否相同,如果相同,则对第二认证数据进行验证通过。证件卡对第二认证数据进行验证通过,说明第一证件卡安全控制设备使用的安全密钥与证件卡内置的安全密钥相同,说明第一证件卡安全控制设备是合法的第一证件卡安全控制设备,证件卡通过对第二认证数据进行验证确认了第一证件卡安全控制设备的合法性。
在步骤b9中第一证件卡安全控制设备通过第一认证因子确认了证件卡的合法性,在步骤b14中证件卡通过第二认证因子确认了第一证件卡安全控制设备的合法性。双向认证通过后,证件卡才向证件卡阅读装置发送证件卡数据密文,其中,证件卡数据密文一般是证件***、姓名、照片、年龄、住址、卡片使用年限和/或指纹等数据的密文。
步骤b15:证件卡阅读装置接收证件卡数据密文cd1,并利用会话密钥对证件卡数据密文进行加密,得到第三密文E3,并利用证件卡阅读装置的第一私钥对第三密文进行签名,得到第三签名值S3;
在本实施例,证件卡阅读装置利用会话密钥对证件卡数据密文进行加密,保证了证件卡数据密文在网络传输过程中的安全。另外,利用证件卡阅读装置的第一私钥对第三密文进行签名,可以防止非法分子篡改第三密文。
步骤b16:证件卡阅读装置向第一证件卡安全控制设备发送第三数据包,第三数据包包括:第三密文E3和第三签名值S3;
步骤b17:第一证件卡安全控制设备接收第三数据包,并利用证件卡阅读装置的第一证书对第三签名值S3进行签名验证,并在对第三签名值进行签名验证通过后,利用会话密钥对第三密文E3进行解密,得到证件卡数据密文cd1;并对证件卡数据密文进行解密,得到证件卡数据明文cd2;并利用会话密钥对证件卡数据明文cd2进行加密,得到第四密文E4,以及利用第一证件卡安全控制设备的私钥对第四密文进行签名,得到第四签名值S4;
可选的,证件卡数据密文所包括的信息可以通过一个数据包一次发送给第一证件卡安全控制设备,当然,证件卡数据密文所包括的信息也可以通过多个数据包分多次发送给第一证件卡安全控制设备。
在本实施例中,第一证件卡安全控制设备对第三密文解密得到证件卡数据密文后,利用第一证件卡安全控制设备中设置的可以对从证件卡中读取的密文数据进行解密的模块对证件卡数据密文进行解密,得到证件卡数据明文。利用会话密钥对证件卡数据明文进行加密,保证了证件卡数据明文在网络传输过程中的安全;利用第一证件卡安全控制设备的私钥对第四密文进行签名,可以防止非法分子篡改第四密文。
步骤b18:第一证件卡安全控制设备向证件卡阅读装置发送第四数据包,第四数据包包括:第四密文E4和第四签名值S4;
步骤b19:证件卡阅读装置接收第四数据包,并利用第一证件卡安全控制设备的证书对第四签名值S4进行签名验证,并在对第四签名值进行签名验证通过后,利用会话密钥对第四密文E4进行解密,得到证件卡数据明文cd2;
b20:证件卡阅读装置将数据明文cd2发送给终端。
或者,在步骤b18中第一证件卡安全控制设备发送的第四数据包可以直接为证件卡数据明文,第一证件卡安全控制设备直接将证件卡数据明文发送给终端。
需要说明的是,在上述流程中,证件卡阅读装置与第一证件卡安全控制设备之间传输的数据是通过终端转发的。
在本实施例中,证件卡数据明文一般是证件***、姓名、照片、年龄、住址、卡片使用年限和/或指纹等数据的明文。作为本实施例的一种可选实施方式,证件卡阅读装置解密得到证件卡数据明文后,可直接通过证件卡阅读装置显示证件卡数据明文。当然,证件卡阅读装置也可将证件卡数据明文发送至上位机,由上位机显示证件卡数据明文。
通过上述流程,证件卡和第一证件卡安全控制设备通过第一认证因子和第二认证因子的交互完成了双向认证,第一证件卡安全控制设备对证件卡数据密文进行解密以得到证件卡数据明文,并发送给证件卡阅读装置,以完成证件卡的读取。
由上述本发明提供的技术方案可以看出,在本发明实施例提供的方案中,将证件卡安全控制模块从证件卡阅读装置中移除,证件卡阅读装置只可以与证件卡进行通信,而证件卡信息需要由设置在后台的证件卡安全控制设备完成读取,从而可以减少证件卡射频装置的成本,并且,多个终端可以由同一个证件卡安全控制设备进行验证,从而提高了证件卡安全控制设备的利用率。
流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为,表示包括一个或更多个用于实现特定逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分,并且本发明的优选实施方式的范围包括另外的实现,其中可以不按所示出或讨论的顺序,包括根据所涉及的功能按基本同时的方式或按相反的顺序,来执行功能,这应被本发明的实施例所属技术领域的技术人员所理解。
尽管上面已经示出和描述了本发明的实施例,可以理解的是,上述实施例是示例性的,不能理解为对本发明的限制,本领域的普通技术人员在不脱离本发明的原理和宗旨的情况下在本发明的范围内可以对上述实施例进行变化、修改、替换和变型。本发明的范围由所附权利要求及其等同限定。

Claims (29)

1.一种证件卡信息获取方法,其特征在于,包括:
步骤1,终端向证件卡阅读装置发送操作指令;
步骤2,所述证件卡阅读装置周期性的广播寻卡指令;
步骤3,所述证件卡阅读装置接收到证件卡返回的响应消息,判断所述响应消息为针对所述寻卡指令的寻卡确认数据;
步骤4,所述证件卡阅读装置停止广播所述寻卡指令,向所述终端发送寻卡请求,所述终端接收所述寻卡请求,并向第一证件卡安全控制设备发送所述寻卡请求;所述寻卡请求包括所述证件卡阅读装置的标识、时间戳和/或单次认证数据,所述单次认证数据包括所述证件卡阅读装置中的计数器产生的计数值和/或随机因子,若所述单次认证数据为所述计数值,所述证件卡阅读装置每执行一次证件卡的信息读取操作,所述计数器产生一个计数值,对所述寻卡请求进行计数,若所述单次认证数据为所述随机因子,所述随机因子为一个或一串随机数或随机字符,所述证件卡阅读装置的标识为所述证件卡阅读装置的序列号;
步骤5,所述第一证件卡安全控制设备接收所述寻卡请求,通过所述终端向所述证件卡阅读装置发送寻卡响应,其中,所述寻卡响应中携带有寻卡响应数据;
步骤6,所述证件卡阅读装置接收所述第一证件卡安全控制设备发送的所述寻卡响应,获取所述寻卡响应数据;
步骤7,所述证件卡阅读装置确定所述寻卡响应数据为响应所述寻卡请求的响应数据,将所述寻卡确认数据通过所述终端发送给所述第一证件卡安全控制设备;
步骤8,所述证件卡阅读装置向所述证件卡发送选卡指令;
步骤9,所述证件卡阅读装置接收所述证件卡发送的选卡确认数据,其中,所述选卡确认数据至少包括所述证件卡的唯一标识信息;
步骤10,所述证件卡阅读装置通过所述终端向所述第一证件卡安全控制设备发送选卡请求;
步骤11,所述第一证件卡安全控制设备接收所述选卡请求;
步骤12,所述第一证件卡安全控制设备通过所述终端向所述证件卡阅读装置发送选卡请求响应;
步骤13,所述证件卡阅读装置接收所述第一证件卡安全控制设备发送的选卡请求响应;
步骤14,所述证件卡阅读装置确定所述选卡请求响应为针对所述选卡请求的响应数据,将所述选卡确认数据通过所述终端发送给所述第一证件卡安全控制设备;
步骤15,所述证件卡阅读装置向所述证件卡发送读卡指令;
步骤16,所述证件卡阅读装置接收所述证件卡返回的读卡确认数据;
步骤17,所述证件卡阅读装置通过所述终端将读卡请求发送至所述第一证件卡安全控制设备,所述第一证件卡安全控制设备接收所述读卡请求,根据所述读卡请求启动读取证件卡信息的流程,通过所述终端和所述证件卡阅读装置与所述证件卡之间进行信息交互,读取所述证件卡中存储的证件卡信息;
步骤18,所述第一证件卡安全控制设备读取到所述证件卡存储的证件卡信息后,将所述证件卡信息发送至所述终端;
步骤19,所述终端接收所述证件卡信息。
2.根据权利要求1所述的方法,其特征在于,
所述寻卡请求中至少携带有第一身份认证数据;
所述第一证件卡安全控制设备在通过所述终端向所述证件卡阅读装置返回所述寻卡响应之前,所述方法还包括:所述第一证件卡安全控制设备根据所述寻卡请求中携带的所述第一身份认证数据对所述证件卡阅读装置的身份进行认证,在认证通过的情况下,执行通过所述终端向所述证件卡阅读装置返回所述寻卡响应的步骤。
3.根据权利要求1所述的方法,其特征在于,
所述寻卡响应中至少携带有第二身份认证数据;
在所述证件卡阅读装置接收所述第一证件卡安全控制设备通过所述终端发送的寻卡响应之后,在将所述寻卡确认数据通过所述终端发送给所述第一证件卡安全控制设备之前,所述方法还包括:所述证件卡阅读装置根据所述第二身份认证数据对所述第一证件卡安全控制设备的身份进行认证,在认证通过的情况下,执行将所述寻卡确认数据通过所述终端发送给所述第一证件卡安全控制设备的步骤。
4.根据权利要求1所述的方法,其特征在于,
所述选卡请求中携带有第三身份认证数据;
在所述第一证件卡安全控制设备接收所述选卡请求之后,通过所述终端向所述证件卡阅读装置发送选卡请求响应之前,所述方法还包括:所述第一证件卡安全控制设备根据所述选卡请求中携带的第三身份认证数据对所述证件卡阅读装置的身份进行认证,在认证通过的情况下,执行通过所述终端向所述证件卡阅读装置发送选卡请求响应的步骤。
5.根据权利要求1所述的方法,其特征在于,
所述选卡请求响应中至少携带有第四身份认证数据;
在所述证件卡阅读装置接收所述第一证件卡安全控制设备发送的选卡请求响应之后,将所述选卡确认数据通过所述终端发送给所述第一证件卡安全控制设备之前,所述方法还包括:所述证件卡阅读装置解析所述选卡请求响应中携带的信息,获取所述选卡请求响应中携带的第四身份认证数据,并根据所述第四身份认证数据对所述第一证件卡安全控制设备的身份进行认证,在认证通过的情况下,执行将所述选卡确认数据通过所述终端发送给所述第一证件卡安全控制设备的步骤。
6.根据权利要求1所述的方法,其特征在于,
所述读卡请求中至少携带第五身份认证数据;
在所述第一证件卡安全控制设备接收所述读卡请求之后,启动读取证件卡信息的流程之前,所述方法还包括:所述第一证件卡安全控制设备根据所述读卡请求中携带的所述第五身份认证数据对所述证件卡阅读装置的身份进行认证,在认证通过的情况下,执行启动读取证件卡信息的流程的步骤。
7.根据权利要求1所述的方法,其特征在于,
在所述第一证件卡安全控制设备启动读取证件卡信息的流程之前,所述方法还包括:所述证件卡阅读装置通过所述终端与所述第一证件卡安全控制设备进行协商,双方得到会话密钥;
在所述证件卡阅读装置与所述第一证件卡安全控制设备得到会话密钥之后,在所述证件卡阅读装置与所述第一证件卡安全控制设备的后续通信过程中,所述证件卡阅读装置和所述第一证件卡安全控制设备使用所述会话密钥分别对发送和接收的数据进行加密和解密。
8.根据权利要求1所述的方法,其特征在于,所述终端向第一证件卡安全控制设备发送所述寻卡请求包括:
所述终端从多个证件卡安全控制设备中选择出所述第一证件卡安全控制设备;
所述终端将所述寻卡请求发送至选择出的所述第一证件卡安全控制设备。
9.根据权利要求8所述的方法,其特征在于,所述终端从多个证件卡安全控制设备中选择出所述第一证件卡安全控制设备包括:
所述终端根据预先存储的所述终端与所述第一证件卡安全控制设备的对应关系,从多个证件卡安全控制设备中选择出所述第一证件卡安全控制设备;或者
所述终端从所述多个证件卡安全控制设备中选择当前工作状态为空闲的证件卡安全控制设备作为所述第一证件卡安全控制设备。
10.根据权利要求1所述的方法,其特征在于,所述终端接收所述证件卡信息之后,所述方法还包括:
将所述证件卡信息发送至存储装置进行存储。
11.根据权利要求1至10任一项所述的方法,其特征在于,在所述终端向第一证件卡安全控制设备发送所述寻卡请求之前,所述方法还包括:
所述终端与所述第一证件卡安全控制设备进行互相认证。
12.一种证件卡信息获取***,其特征在于,包括:第一证件卡安全控制设备、终端以及证件卡阅读装置,其中,
所述终端,用于向所述证件卡阅读装置发送操作指令;
所述证件卡阅读装置,用于:周期性的广播寻卡指令;接收到证件卡返回的响应消息,判断所述响应消息为针对所述寻卡指令的寻卡确认数据,则停止广播所述寻卡指令,向所述终端发送寻卡请求;所述寻卡请求包括所述证件卡阅读装置的标识、时间戳和/或单次认证数据,所述单次认证数据包括所述证件卡阅读装置中的计数器产生的计数值和/或随机因子,若所述单次认证数据为所述计数值,所述证件卡阅读装置每执行一次证件卡的信息读取操作,所述计数器产生一个计数值,对所述寻卡请求进行计数,若所述单次认证数据为所述随机因子,所述随机因子为一个或一串随机数或随机字符,所述证件卡阅读装置的标识为所述证件卡阅读装置的序列号;
所述终端,还用于接收所述寻卡请求,并向所述第一证件卡安全控制设备发送所述寻卡请求;
所述第一证件卡安全控制设备,用于接收所述寻卡请求,通过所述终端向所述证件卡阅读装置发送寻卡响应,其中,所述寻卡响应中携带有寻卡响应数据;
所述证件卡阅读装置,还用于:接收所述第一证件卡安全控制设备发送的所述寻卡响应,获取所述寻卡响应数据;确定所述寻卡响应数据为响应所述寻卡请求的响应数据,将所述寻卡确认数据通过所述终端发送给所述第一证件卡安全控制设备;以及,向所述证件卡发送选卡指令;接收所述证件卡发送的选卡确认数据,其中,所述选卡确认数据至少包括所述证件卡的唯一标识信息;通过所述终端向所述第一证件卡安全控制设备发送选卡请求;
所述第一证件卡安全控制设备,还用于接收所述选卡请求,以及通过所述终端向所述证件卡阅读装置发送选卡请求响应;
所述证件卡阅读装置,还用于:接收所述第一证件卡安全控制设备发送的选卡请求响应;确定所述选卡请求响应为针对所述选卡请求的响应数据,将所述选卡确认数据通过所述终端发送给所述第一证件卡安全控制设备;以及,向所述证件卡发送读卡指令,并接收所述证件卡返回的读卡确认数据,再通过所述终端将读卡请求发送至所述第一证件卡安全控制设备;
所述第一证件卡安全控制设备,还用于:接收所述读卡请求,根据所述读卡请求启动读取证件卡信息的流程,通过所述终端和所述证件卡阅读装置与所述证件卡之间进行信息交互,读取所述证件卡中存储的证件卡信息;以及读取到所述证件卡存储的证件卡信息后,将所述证件卡信息发送至所述终端;
所述终端,还用于接收所述证件卡信息。
13.根据权利要求12所述的***,其特征在于,
所述寻卡请求中至少携带有第一身份认证数据;
所述第一证件卡安全控制设备还用于,在通过所述终端向所述证件卡阅读装置返回所述寻卡响应之前,根据所述寻卡请求中携带的所述第一身份认证数据对所述证件卡阅读装置的身份进行认证,在认证通过的情况下,执行通过所述终端向所述证件卡阅读装置返回所述寻卡响应的操作。
14.根据权利要求12所述的***,其特征在于,
所述寻卡响应中至少携带有第二身份认证数据;
所述证件卡阅读装置还用于在接收所述第一证件卡安全控制设备通过所述终端发送的寻卡响应之后,在将所述寻卡确认数据通过所述终端发送给所述第一证件卡安全控制设备之前,根据所述第二身份认证数据对所述第一证件卡安全控制设备的身份进行认证,在认证通过的情况下,执行将所述寻卡确认数据通过所述终端发送给所述第一证件卡安全控制设备的操作。
15.根据权利要求12所述的***,其特征在于,
所述选卡请求中携带有第三身份认证数据;
第一证件卡安全控制设备还用于在接收所述选卡请求之后,通过所述终端向所述证件卡阅读装置发送选卡请求响应之前,根据所述选卡请求中携带的第三身份认证数据对所述证件卡阅读装置的身份进行认证,在认证通过的情况下,执行通过所述终端向所述证件卡阅读装置发送选卡请求响应的操作。
16.根据权利要求12所述的***,其特征在于,
所述选卡请求响应中至少携带有第四身份认证数据;
所述证件卡阅读装置还用于在接收所述第一证件卡安全控制设备发送的选卡请求响应之后,将所述选卡确认数据通过所述终端发送给所述第一证件卡安全控制设备之前,解析所述选卡请求响应中携带的信息,获取所述选卡请求响应中携带的第四身份认证数据,并根据所述第四身份认证数据对所述第一证件卡安全控制设备的身份进行认证,在认证通过的情况下,执行将所述选卡确认数据通过所述终端发送给所述第一证件卡安全控制设备的操作。
17.根据权利要求12所述的***,其特征在于,
所述读卡请求中至少携带第五身份认证数据;
所述第一证件卡安全控制设备还用于在接收所述读卡请求之后,启动读取证件卡信息的流程之前,根据所述读卡请求中携带的所述第五身份认证数据对所述证件卡阅读装置的身份进行认证,在认证通过的情况下,执行启动读取证件卡信息的流程的操作。
18.根据权利要求12所述的***,其特征在于,
所述第一证件卡安全控制设备还用于在启动读取证件卡信息的流程之前,与所述第一证件卡安全控制设备通过所述终端进行协商,双方得到会话密钥;
所述证件卡阅读装置与所述第一证件卡安全控制设备还用于在得到会话密钥之后,在所述证件卡阅读装置与所述第一证件卡安全控制设备的后续通信过程中,使用所述会话密钥分别对发送和接收的数据进行加密和解密。
19.根据权利要求12所述的***,其特征在于,所述终端通过以下方式向所述第一证件卡安全控制设备发送所述寻卡请求:
从多个证件卡安全控制设备中选择出所述第一证件卡安全控制设备;
将所述寻卡请求发送至选择出的所述第一证件卡安全控制设备。
20.根据权利要求19所述的***,其特征在于,所述终端通过以下方式从多个证件卡安全控制设备中选择出所述第一证件卡安全控制设备:
根据预先存储的所述终端与所述第一证件卡安全控制设备的对应关系,从多个证件卡安全控制设备中选择出所述第一证件卡安全控制设备;或者
从所述多个证件卡安全控制设备中选择当前工作状态为空闲的证件卡安全控制设备作为所述第一证件卡安全控制设备。
21.根据权利要求12所述的***,其特征在于,所述终端还用于在接收所述证件卡信息之后,将所述证件卡信息发送至存储装置进行存储。
22.根据权利要求12至21任一项所述的***,其特征在于,所述终端还用于在向所述第一证件卡安全控制设备发送所述寻卡请求之前,与所述第一证件卡安全控制设备进行互相认证。
23.一种证件卡阅读装置,其特征在于,包括:第一收发模块、第二收发模块、以及处理模块,其中,
所述第一收发模块,用于接收终端发送的操作指令;
所述第二收发模块,用于周期性的广播寻卡指令,以及接收证件卡返回的响应消息;
所述处理模块,用于判断所述响应消息是否为针对所述寻卡指令的寻卡确认数据,如果是,则指示所述第二收发模块停止广播所述寻卡指令,并指示所述第一收发模块通过所述终端向第一证件卡安全控制设备发送寻卡请求;所述寻卡请求包括所述证件卡阅读装置的标识、时间戳和/或单次认证数据,所述单次认证数据包括所述证件卡阅读装置中的计数器产生的计数值和/或随机因子,若所述单次认证数据为所述计数值,所述证件卡阅读装置每执行一次证件卡的信息读取操作,所述计数器产生一个计数值,对所述寻卡请求进行计数,若所述单次认证数据为所述随机因子,所述随机因子为一个或一串随机数或随机字符,所述证件卡阅读装置的标识为所述证件卡阅读装置的序列号;
所述第一收发模块,还用于接收所述第一证件卡安全控制设备通过所述终端发送的寻卡响应;
所述处理模块,还用于获取从所述寻卡响应中获取寻卡响应数据,确定所述寻卡响应数据为响应所述寻卡请求的响应数据,指示所述第一收发模块将所述寻卡确认数据通过所述终端发送给所述第一证件卡安全控制设备;
所述第二收发模块,还用于向所述证件卡发送选卡指令,接收所述证件卡发送的选卡确认数据,其中,所述选卡确认数据至少包括所述证件卡的唯一标识信息;
所述第一收发模块,还用于通过所述终端向所述第一证件卡安全控制设备发送选卡请求;以及接收所述第一证件卡安全控制设备通过所述终端发送的选卡请求响应;
所述处理模块,还用于确定所述选卡请求响应为针对所述选卡请求的响应数据,指示所述第一收发模块将所述选卡确认数据通过所述终端发送给所述第一证件卡安全控制设备;
所述第二收发模块,还用于向所述证件卡发送读卡指令;以及接收所述证件卡返回的读卡确认数据;
所述第一收发模块,还用于通过所述终端将读卡请求发送至所述第一证件卡安全控制设备,指示所述第一证件卡安全控制设备根据所述读卡请求启动读取证件卡信息的流程;
所述处理模块,还用于在所述读取证件卡信息的流程中,通过所述第一收发模块和所述第二收发模块,转发所述第一证件卡安全控制设备与所述证件卡之间交互的信息。
24.根据权利要求23所述的装置,其特征在于,
所述处理模块,还用于在所述第一收发模块通过所述终端向所述第一证件卡安全控制设备发送寻卡请求之前,获取第一身份认证数据,并将所述第一身份认证数据携带在所述寻卡请求中。
25.根据权利要求23所述的装置,其特征在于,
所述寻卡响应中至少携带有第二身份认证数据;
所述处理模块,还用于在所述第一收发模块接收所述第一证件卡安全控制设备通过所述终端发送的寻卡响应之后,将所述寻卡确认数据通过所述终端发送给所述第一证件卡安全控制设备之前,根据所述第二身份认证数据对所述第一证件卡安全控制设备的身份进行认证,在认证通过的情况下,指示所述第一收发模块将所述寻卡确认数据通过所述终端发送给所述第一证件卡安全控制设备。
26.根据权利要求23所述的装置,其特征在于,
所述处理模块,还用于在所述第一收发模块通过所述终端向所述第一证件卡安全控制设备发送所述选卡请求之前,获取第三身份认证数据,将所述第三身份认证数据携带在所述选卡请求中。
27.根据权利要求23所述的装置,其特征在于,
所述选卡请求响应中至少携带有第四身份认证数据;
所述处理模块,还用于在所述第一收发模块接收所述第一证件卡安全控制设备发送的选卡请求响应之后,将所述选卡确认数据通过所述终端发送给所述第一证件卡安全控制设备之前,解析所述选卡请求响应中携带的信息,获取所述选卡请求响应中携带的第四身份认证数据,并根据所述第四身份认证数据对所述第一证件卡安全控制设备的身份进行认证,在认证通过的情况下,触发所述第一收发模块将所述选卡确认数据通过所述终端发送给所述第一证件卡安全控制设备。
28.根据权利要求23所述的装置,其特征在于,
所述处理模块,还用于在所述第一收发模块通过所述终端向所述第一证件卡安全控制设备发送所述读卡请求之前,获取第五身份认证数据,将所述第五身份认证数据携带在所述读卡请求中。
29.根据权利要求23至28任一项所述的装置,其特征在于,
所述证件卡阅读装置还包括:协商模块,用于通过所述终端与所述第一证件卡安全控制设备进行协商,双方得到会话密钥;
所述处理模块,还用于在与所述第一证件卡安全控制设备的后续通信过程中,使用所述会话密钥对发送给所述第一证件卡安全控制设备的数据进行加密和接收到的来自所述第一证件卡安全控制设备的数据进行解密。
CN201610780371.5A 2016-08-30 2016-08-30 证件卡信息获取方法、终端及证件卡信息获取*** Active CN106407859B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610780371.5A CN106407859B (zh) 2016-08-30 2016-08-30 证件卡信息获取方法、终端及证件卡信息获取***

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610780371.5A CN106407859B (zh) 2016-08-30 2016-08-30 证件卡信息获取方法、终端及证件卡信息获取***

Publications (2)

Publication Number Publication Date
CN106407859A CN106407859A (zh) 2017-02-15
CN106407859B true CN106407859B (zh) 2021-07-16

Family

ID=58000212

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610780371.5A Active CN106407859B (zh) 2016-08-30 2016-08-30 证件卡信息获取方法、终端及证件卡信息获取***

Country Status (1)

Country Link
CN (1) CN106407859B (zh)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1815488A (zh) * 2005-02-04 2006-08-09 高晶 第二代居民身份证管理号和序列号的读取设备及方法
US20080073426A1 (en) * 2006-09-24 2008-03-27 Rfcyber Corp. Method and apparatus for providing electronic purse
CN104636777A (zh) * 2015-01-15 2015-05-20 李明 身份证信息获取***
CN104899533A (zh) * 2015-05-20 2015-09-09 李明 身份证信息获取方法、装置及***
CN104899497A (zh) * 2015-05-20 2015-09-09 李明 不具有sam模块的身份证阅读装置、sam装置及***

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1815488A (zh) * 2005-02-04 2006-08-09 高晶 第二代居民身份证管理号和序列号的读取设备及方法
US20080073426A1 (en) * 2006-09-24 2008-03-27 Rfcyber Corp. Method and apparatus for providing electronic purse
CN104636777A (zh) * 2015-01-15 2015-05-20 李明 身份证信息获取***
CN104899533A (zh) * 2015-05-20 2015-09-09 李明 身份证信息获取方法、装置及***
CN104899497A (zh) * 2015-05-20 2015-09-09 李明 不具有sam模块的身份证阅读装置、sam装置及***

Also Published As

Publication number Publication date
CN106407859A (zh) 2017-02-15

Similar Documents

Publication Publication Date Title
US10606997B2 (en) Remote identity authentication method and system and remote account opening method and system
CN108551455B (zh) 智能卡的配置方法及装置
CN105050081B (zh) 网络接入设备接入无线网络接入点的方法、装置和***
CN109600223A (zh) 验证方法、激活方法、装置、设备及存储介质
CN109920100B (zh) 一种智能锁开锁方法及***
CN110446177B (zh) 物联网计量表的通信方法、装置及***
US20200233947A1 (en) System and method for facilitating authentication via a short-range wireless token
CN106027250A (zh) 一种身份证信息安全传输方法及***
CN106022081A (zh) 一种身份证读卡终端的读卡方法、身份证读卡终端和***
CN106357627B (zh) 读取居民证件卡信息的方法、***及终端
CN106027457A (zh) 一种身份证信息传输方法和***
CN105592056A (zh) 用于移动设备的密码安全***及其密码安全输入方法
CN106027254B (zh) 一种身份证认证***中身份证读卡终端使用密钥的方法
CN106372557B (zh) 证件卡信息获取方法、装置及***
CN106027474B (zh) 一种身份证认证***中的身份证读卡终端
CN103514540B (zh) 一种优盾业务实现方法及***
CN108319870B (zh) 一种无按键的电子密钥设备
CN106022140B (zh) 身份证读取方法和***
CN106407859B (zh) 证件卡信息获取方法、终端及证件卡信息获取***
CN202918498U (zh) 一种sim卡卡套、移动终端及数字签名认证***
CN106228349B (zh) 一种电子签名设备的交易方法和电子签名设备
CN106372548A (zh) 证件卡信息获取方法、装置及***
CN111222108B (zh) 一种云身份证的实现方法及***
CN106027483B (zh) 一种身份证读取方法及身份证读卡终端
CN105635096A (zh) 数据模块的访问方法、***和终端

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
TR01 Transfer of patent right
TR01 Transfer of patent right

Effective date of registration: 20220412

Address after: Tiantianrong building, No. 1, Zhongguancun, Beiqing Road, Haidian District, Beijing 100094

Patentee after: TENDYRON Corp.

Address before: 100086 room 603, building 12, taiyueyuan, Haidian District, Beijing

Patentee before: Li Ming