CN106603532B - 教育金融复合卡认证方法和*** - Google Patents

教育金融复合卡认证方法和*** Download PDF

Info

Publication number
CN106603532B
CN106603532B CN201611165864.4A CN201611165864A CN106603532B CN 106603532 B CN106603532 B CN 106603532B CN 201611165864 A CN201611165864 A CN 201611165864A CN 106603532 B CN106603532 B CN 106603532B
Authority
CN
China
Prior art keywords
education
card
authentication
finance
chip
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201611165864.4A
Other languages
English (en)
Other versions
CN106603532A (zh
Inventor
谭武征
陈小玲
罗继东
徐智
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Southern Wall Information Security Technology Co Ltd
Original Assignee
Southern Wall Information Security Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Southern Wall Information Security Technology Co Ltd filed Critical Southern Wall Information Security Technology Co Ltd
Priority to CN201611165864.4A priority Critical patent/CN106603532B/zh
Publication of CN106603532A publication Critical patent/CN106603532A/zh
Application granted granted Critical
Publication of CN106603532B publication Critical patent/CN106603532B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明公开了一种教育金融复合卡方法和***,教育金融复合卡认证***包括教育金融复合卡应用装置及与教育金融复合卡应用装置相连接的教育应用平台,教育金融复合卡应用装置包括教育金融复合卡和用于读写教育金融复合卡的智能卡读写设备,教育金融复合卡包括卡基和封装在卡基中的智能芯片,其中,教育金融复合卡应用装置,用于接收第三方证书颁发机构颁发的芯片鉴权证书和人员鉴权证书,并将芯片鉴权证书和人员鉴权证书存储在智能芯片中;教育应用平台,使用芯片鉴权证书和人员鉴权证书完成与教育金融复合卡应用装置的身份认证。本发明提供的教育金融复合卡认证方法和***,对教育金融复合卡进行有效性和合法性保护,保密性高。

Description

教育金融复合卡认证方法和***
技术领域
本发明涉及智能卡数据保密领域,特别地,涉及一种教育金融复合卡认证方法和***。
背景技术
智能卡在各行业得到广泛地应用,如社保卡、居民健康卡和教育金融卡等。教育金融卡是金融应用与校园应用领域相结合的新产品,校方可以进行门禁管理、学生接送***考勤管理、学生注册、通道管理和考务管理。打造数字化校园体***,学生在校园食堂就餐、小超市等消费,均可享受一卡多能、方便快捷的校园服务,并可实现借贷记帐户或电子现金帐户向校园一通卡应用电子钱包转帐、完成交易记录验证、对学校资金结算以及跨行圈存等。教育金融卡分为学生卡和教师卡两种,学生卡基本功能包括身份认证、资源学习、学习管理和成长记录等。教师卡的基本功能包括身份认证、资源学习和档案管理等。然而,现有的教育金融卡使用对称算法进行数据加解密,以保证应用数据的机密性;并通过口令完成卡片持有人身份合法性认证。
现有的教育金融卡的数据保护方式,存在以下的缺点:
1、教育金融卡数据来源保护的局限性:现有的教育金融卡只完成对持卡人身份合法性验证,而无法完成教育金融卡安全芯片合法性的验证。
2、应用功能局限性:现有的教育金融卡无非对称证书应用,不满足数据传输以及身份认证不可抵赖性需求,在行业应用中存在一定的局限性。
因此,现有的教育金融卡应用数据可追溯性差,是一个亟待解决的技术问题。
发明内容
本发明提供了一种教育金融复合卡认证方法和***,以解决现有的教育金融卡应用数据可追溯性差的技术问题。
本发明采用的技术方案如下:
本发明提供一种教育金融复合卡认证***,包括教育金融复合卡应用装置及与教育金融复合卡应用装置相连接的教育应用平台,教育金融复合卡应用装置包括教育金融复合卡和用于读写教育金融复合卡的智能卡读写设备,教育金融复合卡包括卡基和封装在卡基中的智能芯片,其中,教育金融复合卡应用装置,用于接收第三方证书颁发机构颁发的芯片鉴权证书和人员鉴权证书,并将芯片鉴权证书和人员鉴权证书存储在智能芯片中;教育应用平台,用于使用芯片鉴权证书和人员鉴权证书完成与教育金融复合卡应用装置的身份认证。
进一步地,教育金融复合卡应用装置包括芯片验证指令发送模块和第一验签模块,教育应用平台包括第一签名模块,
芯片验证指令发送模块,用于发送芯片验证指令;
第一签名模块,用于接收芯片验证指令发送模块发送的芯片验证指令,通过芯片鉴权证书对应的私钥对芯片信息以及与芯片信息相对应的芯片安全识别码进行签名,并将签名结果、芯片信息和芯片安全识别码发送给第一验签模块;
第一验签模块,用于接收第一签名模块发送的签名结果,获取与芯片安全识别码相对应的芯片鉴权证书,使用对应的芯片鉴权证书中的公钥对芯片信息签名结果进行验签。
进一步地,教育金融复合卡应用装置还包括口令验证模块、身份签权指令接收模块和第二签名模块,教育应用平台包括口令验证指令发送模块、身份签权指令发送模块和第二验签模块,
口令验证指令发送模块,用于发送口令验证指令;
口令验证模块,用于接收口令验证指令发送模块发送的口令验证指令,进行口令验证操作;
身份签权指令发送模块,用于发送身份鉴权指令;
身份签权指令接收模块,用于接收身份签权指令发送模块发送的身份鉴权指令,获取卡片信息和人员鉴权证书;
第二签名模块,用于使用人员鉴权证书对应的私钥对卡片信息进行签名,并将签名结果和人员鉴权证书发送给第二验签模块;
第二验签模块,用于使用人员鉴权证书的公钥对卡片信息签名结果进行验签。
进一步地,教育金融复合卡应用装置包括卡片随机数生成模块和认证数据匹配模块,教育应用平台包括第一计算模块和认证模块,
卡片随机数生成模块,用于生成卡片随机数;
第一计算模块,用于接收卡片随机数生成模块生成的卡片随机数,使用卡片随机数和对称密钥计算应用认证数据;
认证模块,用于发送外部认证指令,并将应用认证数据传输给认证数据匹配模块;
认证数据匹配模块,用于接收认证模块发送的外部认证指令以及应用认证数据,与智能芯片内部计算的认证数据进行匹配。
进一步地,教育金融复合卡应用装置还包括解密模块和第二计算模块,教育应用平台包括数据处理模块和验证模块,
数据处理模块,用于计算卡片密文数据和校验值,发送数据读写指令;
解密模块,用于接收数据处理模块发送过来的数据读写指令,通过校验值验证卡片密文数据的完整性,并使用内部密钥对卡片密文数据进行解密,获取明文数据;
第二计算模块,用于计算应用密文数据和校验值,并将应用密文数据和校验值上传至验证模块;
验证模块,用于接收第二计算模块上传的应用密文数据和校验值,通过校验值验证传输数据完整性,解密应用密文数据,获取应用明文数据。
根据本发明的另一方面,还提供一种教育金融复合卡认证方法,应用于教育金融复合卡认证***中,教育金融复合卡认证***包括教育金融复合卡应用装置及与教育金融复合卡应用装置相连接的教育应用平台,教育金融复合卡应用装置包括教育金融复合卡和用于读写教育金融复合卡的智能卡读写设备,教育金融复合卡包括卡基和封装在卡基中的智能芯片,教育金融复合卡认证方法包括步骤:
教育金融复合卡应用装置接收第三方证书颁发机构颁发的芯片鉴权证书和人员鉴权证书,并将芯片鉴权证书和人员鉴权证书存储在智能芯片中;
教育应用平台通过芯片鉴权证书和人员鉴权证书完成与教育金融复合卡应用装置的身份认证。
进一步地,教育应用平台通过芯片鉴权证书完成与教育金融复合卡应用装置的芯片合法性验证的步骤包括:
教育应用平台发送芯片验证指令;
教育金融复合卡应用装置接收教育应用平台发送的芯片验证指令,通过芯片鉴权证书对应的私钥对芯片信息以及与芯片信息相对应的芯片安全识别码进行签名,并将签名结果、芯片信息和芯片安全识别码发送给教育应用平台;
教育应用平台接收教育金融复合卡应用装置发送的签名结果,获取与芯片安全识别码相对应的芯片鉴权证书,使用对应的芯片鉴权证书中的公钥对芯片信息签名结果进行验签。
进一步地,教育应用平台通过人员鉴权证书完成与教育金融复合卡应用装置的身份认证的步骤包括:
教育应用平台发送口令验证指令;
教育金融复合卡应用装置接收教育应用平台发送的口令验证指令,进行口令验证操作;
教育应用平台发送身份鉴权指令;
教育金融复合卡应用装置接收教育应用平台发送的身份鉴权指令,获取卡片信息和人员鉴权证书;
教育金融复合卡应用装置使用人员鉴权证书中对应的私钥对卡片信息进行签名,并将签名结果和人员鉴权证书发送给教育应用平台;
教育应用平台使用人员鉴权证书的公钥对卡片信息签名结果进行验签。
进一步地,教育应用平台通过芯片鉴权证书和人员鉴权证书完成与教育金融复合卡应用装置的身份认证的步骤之后还包括:
教育金融复合卡应用装置生成卡片随机数;
教育应用平台接收教育金融复合卡应用装置生成的卡片随机数,使用卡片随机数和对称密钥计算应用认证数据;
教育金融复合卡应用装置发送外部认证指令,并将应用认证数据传输给教育应用平台;
教育应用平台接收教育金融复合卡应用装置发送的外部认证指令以及应用认证数据,与智能芯片内部计算的认证数据进行匹配。
进一步地,教育应用平台接收教育金融复合卡应用装置发送的应用认证数据,与智能芯片内部计算的认证数据进行匹配的步骤之后还包括:
教育应用平台计算卡片密文数据和校验值,发送数据读写指令;
教育金融复合卡应用装置接收教育应用平台发送的数据读写指令,通过校验值验证卡片密文数据的完整性,并使用内部密钥对卡片密文数据进行解密,获取明文数据;
教育金融复合卡应用装置计算应用密文数据和校验值,并将应用密文数据和校验值上传至教育金融复合卡应用装置;
教育应用平台接收教育金融复合卡应用装置上传的应用密文数据和校验值,通过校验值验证传输数据完整性,解密应用密文数据,获取应用明文数据。
本发明具有以下有益效果:
本发明提供的教育金融复合卡认证方法和***,教育应用平台和教育金融复合卡应用装置作为教育金融复合卡认证***的组件,通过芯片鉴权证书和人员鉴权证书完成教育应用平台与教育金融复合卡的身份认证,保持传输数据的完整性和不可抵赖性。本发明提供的教育金融复合卡认证方法和***,对教育金融复合卡进行有效性和合法性保护,保密性高。
除了上面所描述的目的、特征和优点之外,本发明还有其它的目的、特征和优点。下面将参照图,对本发明作进一步详细的说明。
附图说明
构成本申请的一部分的附图用来提供对本发明的进一步理解,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是本发明教育金融复合卡认证***第一实施例的结构示意图;
图2是本发明教育金融复合卡认证***第二实施例的结构示意图;
图3是本发明教育金融复合卡认证***第三实施例的结构示意图;
图4是本发明教育金融复合卡认证***第四实施例的结构示意图;
图5是本发明教育金融复合卡认证***第五实施例的结构示意图;
图6是本发明教育金融复合卡认证方法第一实施例的流程示意图;
图7是图6中教育应用平台通过芯片鉴权证书和人员鉴权证书完成与教育金融复合卡应用装置的身份认证的步骤中第一实施例的流程细化示意图;
图8是图6中教育应用平台通过芯片鉴权证书和人员鉴权证书完成与教育金融复合卡应用装置的身份认证的步骤中第二实施例的流程细化示意图;
图9是本发明教育金融复合卡认证方法第二实施例的流程示意图;
图10是本发明教育金融复合卡认证方法第三实施例的流程示意图。
附图标号说明:
100、教育金融复合卡应用装置;200、教育应用平台;10、教育金融复合卡;20、智能卡读写设备;11、智能芯片;201、芯片验证指令发送模块;202、第一验签模块;101、第一签名模块;203、口令验证指令发送模块;204、身份签权指令发送模块;205、第二验签模块;102、口令验证模块;103、身份签权指令接收模块;104、第二签名模块;105、卡片随机数生成模块;106、认证数据匹配模块;206、第一计算模块;207、认证模块;107、解密模块;108、第二计算模块;208、数据处理模块;209、验证模块。
具体实施方式
需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本发明。
参照图1,本发明的优选实施例提供了一种教育金融复合卡认证***,包括教育金融复合卡应用装置100及与教育金融复合卡应用装置100相连接的教育应用平台200,教育金融复合卡应用装置100包括教育金融复合卡10和用于读写教育金融复合卡10的智能卡读写设备20,教育金融复合卡10包括卡基和封装在卡基中的智能芯片11,教育金融复合卡10满足教育领域安全性要求、具备身份鉴权功能和具有可识别的全国唯一的教育电子身份号,支持非对称证书应用。教育金融复合卡10与智能卡读写设备20通过ISO7816/ISO1443进行通讯,完成教育应用平台200发出的指令接收以及响应数据的回送。其中,教育金融复合卡应用装置100,用于接收第三方证书颁发机构颁发的芯片鉴权证书和人员鉴权证书,并将芯片鉴权证书和/人员鉴权证书存储在智能芯片11中;教育应用平台200,使用芯片鉴权证书和人员鉴权证书完成与教育金融复合卡应用装置100的身份认证。其中,智能芯片11中的芯片鉴权证书用于确认教育金融复合卡10中的芯片是通过***权威机构认可。
教育金融复合卡应用装置100向第三方证书颁发机构(CA机构)发出证书申请请求,要求获取芯片鉴权证书和人员鉴权证书。第三方证书颁发机构接收到证书申请请求后,发放与教育金融复合卡应用装置100对应的唯一的芯片鉴权证书和人员鉴权证书给教育金融复合卡应用装置100。教育金融复合卡应用装置100将第三方证书颁发机构下发的芯片鉴权证书和人员鉴权证书存储在教育金融复合卡10的智能芯片11中。
教育应用平台200使用芯片鉴权证书对教育金融复合卡10中的芯片信息进行验签,验证当前教育金融复合卡10中智能芯片11的合法性。教育应用平台200使用人员鉴权证书对教育金融复合卡10中的卡片信息进行验签,完成教育金融复合卡10以及持卡人身份的合法性和不可抵赖性保护。
本实施例提供的教育金融复合卡认证***,教育应用平台和卡应用装置作为教育金融复合卡认证***的组件,通过芯片鉴权证书和人员鉴权证书完成教育应用平台与教育金融复合卡的身份认证,保持传输数据的完整性和不可抵赖性。本实施例提供的教育金融复合卡认证***,对教育金融复合卡进行有效性和合法性保护,保密性高。
优选地,如图2所示,图2是本发明教育金融复合卡认证***第二实施例的结构示意图,在第一实施例的基础上,教育金融复合卡应用装置100包括第一签名模块101,教育应用平台200包括芯片验证指令发送模块201和第一验签模块202,其中,芯片验证指令发送模块201,用于发送芯片验证指令;第一签名模块101,用于接收芯片验证指令发送模块201发送过来的芯片验证指令,通过芯片鉴权证书中的私钥对芯片信息以及与芯片信息相对应的芯片安全识别码进行签名,并将签名结果、签名的芯片信息和芯片安全识别码发送给第一验签模块202;第一验签模块202,用于接收第一验签模块202发送过来的签名结果,获取与芯片安全识别码相对应的芯片鉴权证书,使用对应的芯片鉴权证书中的公钥对签名的芯片信息进行验签。
教育应用平台200的芯片验证指令发送模块201向教育金融复合卡应用装置100的第一签名模块101发送芯片验证指令。
教育金融复合卡应用装置100的第一签名模块101接收教育应用平台200的芯片验证指令发送模块201发送过来的芯片验证指令,利用存储在智能芯片11中的芯片鉴权证书中的私钥对芯片信息以及与芯片信息相对应的CSN(Chip Security Numbdr,芯片安全识别码)进行签名,并将签名结果、签名的芯片信息和芯片安全识别码发送给教育应用平台200的第一验签模块202。其中,签名结果是按照一定的算法对待签名的芯片信息和芯片安全识别码进行计算后得到的结果。签名的芯片信息和芯片安全识别码为签名后的签名数据。
教育应用平台200的第一验签模块202接收教育金融复合卡应用装置100的第一签名模块101发送过来的签名结果,在本地数据库中获取与CSN相对应的芯片鉴权证书,使用对应的芯片鉴权证书中的公钥对签名的芯片信息进行验签。
本实施例提供的教育金融复合卡认证***,教育应用平台通过芯片鉴权证书中的私钥对芯片信息以及与芯片信息相对应的芯片安全识别码进行签名;教育金融复合卡应用装置使用对应的芯片鉴权证书中的公钥对签名的芯片信息进行验签,验证当前教育金融复合卡中智能芯片的合法性。本实施例提供的教育金融复合卡认证***,对教育金融复合卡进行有效性和合法性保护,保密性高。
优选地,如图3所示,图3是本发明教育金融复合卡认证***第三实施例的结构示意图,在第二实施例的基础上,教育金融复合卡应用装置100还包括口令验证模块102、身份签权指令接收模块103和第二签名模块104,教育应用平台200包括口令验证指令发送模块203、身份签权指令发送模块204和第二验签模块205,其中,口令验证指令发送模块203,用于发送口令验证指令;口令验证模块102,用于接收口令验证指令发送模块203发送的口令验证指令,进行口令验证操作;身份签权指令发送模块204,用于发送身份鉴权指令;身份签权指令接收模块103,用于接收身份签权指令发送模块204发送的身份鉴权指令,获取卡片信息和人员鉴权证书;第二签名模块104使用人员鉴权证书对应的私钥对卡片信息进行签名,并将签名结果和人员鉴权证书发送给第二验签模块205;第二验签模块205,用于使用人员鉴权证书的公钥对签名的卡片信息进行验签。
教育应用平台200的口令验证指令发送模块203向教育金融复合卡应用装置100的口令验证模块102发送口令验证指令。
教育金融复合卡应用装置100的口令验证模块102接收教育应用平台200的口令验证指令发送模块203发送的口令验证指令,进行口令验证操作,若输入的口令正确,则验证成功,执行下一步;若输入的口令错识,则验证失败,返回重新进行口令验证操作。
教育应用平台200的身份签权指令发送模块204向教育金融复合卡应用装置100的身份签权指令接收模块103发送身份鉴权指令。
教育金融复合卡应用装置100的身份签权指令接收模块103接收教育应用平台200的身份签权指令发送模块204发送过来的身份鉴权指令,判断口令验证通过标志,在智能芯片11内获取卡片随机数、ESN(Electronic Serial Number,电子序列号)卡片信息、人员鉴权证书。
教育金融复合卡应用装置100的第二签名模块104使用人员鉴权证书对应的私钥对卡片信息进行签名,并将签名结果和人员鉴权证书上传给教育应用平台200的第二验签模块205。
教育应用平台200的第二验签模块205解析人员鉴权证书数据,判断证书格式是否正确,并根据证书颁发者信息获取根证书。使用根证书公钥对人员鉴权证书数据进行验鉴,判断人员鉴权证书合法性。从身份鉴权响应数据中获取卡片信息和应用平台随机数。组织应用平台随机数、卡片随机数和卡片信息进行hash(摘要算法),使用Hash结果、卡片签名结果进行验签操作。验签通过则进入后续应用;否则教育应用平台200将拒绝后续应用。
本实施例提供的教育金融复合卡认证方法,采用身份鉴权实现“口令验证+数字签名”双因子认证,教育应用平台使用人员鉴权证书对卡片信息进行验签,完成教育金融复合卡以及持卡人身份合法性和不可抵赖性保护,保密性高。
优选地,如图4所示,图4是本发明教育金融复合卡认证***第四实施例的结构示意图,在第一实施例的基础上,教育金融复合卡应用装置100包括卡片随机数生成模块105和认证数据匹配模块106,教育应用平台200包括第一计算模块206和认证模块207,卡片随机数生成模块105,用于生成卡片随机数;第一计算模块206,用于接收卡片随机数生成模块105生成的卡片随机数,使用卡片随机数和对称密钥计算应用认证数据;认证模块207,用于发送外部认证指令,并将应用认证数据传输给认证数据匹配模块106;认证数据匹配模块106,用于接收认证模块207发送过来的应用认证数据,与智能芯片11内部计算的认证数据进行匹配。
本实施例提供的教育金融复合卡认证***,采用对称加密的方式保护数据的完整性与机密性,通过认证数据完成教育金融复合卡对应用平台身份合法性验证,保密性高。
优选地,如图5所示,图5是本发明教育金融复合卡认证***第五实施例的结构示意图,在第四实施例的基础上,教育金融复合卡应用装置100还包括解密模块107和第二计算模块108,教育应用平台200包括数据处理模块208和验证模块209,其中,数据处理模块208,用于计算卡片密文数据和校验值,发送数据读写指令;解密模块107,用于接收数据处理模块208发送过来的数据读写指令,通过校验值验证卡片密文数据的完整性,并使用内部密钥对卡片密文数据进行解密,获取明文数据;第二计算模块108,用于计算应用平台密文数据和校验值,并将应用密文数据和校验值上传至验证模块209;验证模块209,用于接收第二计算模块108上传的应用密文数据和校验值,通过校验值验证传输数据完整性,解密应用密文数据,获取应用明文数据。
本实施例提供的教育金融复合卡认证***,使用SM4对称算法计算传输数据和校验值来完成教育应用平台与教育金融复合卡之间的数据传输,从而保障传输数据的机密性和完整性,保密性高。
如图6所示,图6是本发明教育金融复合卡认证方法第一实施例的流程示意图,本实施例提供的一种教育金融复合卡认证方法,应用于教育金融复合卡认证***中,教育金融复合卡认证***包括教育金融复合卡应用装置及与教育金融复合卡应用装置相连接的教育应用平台,教育金融复合卡应用装置包括教育金融复合卡和用于读写教育金融复合卡的智能卡读写设备,教育金融复合卡包括卡基和封装在卡基中的智能芯片,教育金融复合卡认证方法包括步骤:
步骤S100、教育金融复合卡应用装置接收第三方证书颁发机构颁发的芯片鉴权证书和人员鉴权证书,并将芯片鉴权证书和人员鉴权证书存储在智能芯片中。
教育金融复合卡应用装置向第三方证书颁发机构(CA机构)发出证书申请请求,要求获取芯片鉴权证书和人员鉴权证书。第三方证书颁发机构接收到证书申请请求后,下发与教育金融复合卡应用装置对应的唯一的芯片鉴权证书和人员鉴权证书给教育金融复合卡应用装置。教育金融复合卡应用装置将第三方证书颁发机构颁发的芯片鉴权证书和人员鉴权证书存储在教育金融复合卡的智能芯片中。
步骤S200、教育应用平台通过芯片鉴权证书和人员鉴权证书完成与教育金融复合卡应用装置的身份认证。
教育应用平台使用芯片鉴权证书对教育金融复合卡中的芯片信息进行验签,验证当前教育金融复合卡中智能芯片的合法性。教育应用平台使用人员鉴权证书对教育金融复合卡中的卡片信息进行验签,完成教育金融复合卡以及持卡人身份的合法性和不可抵赖性保护。
本实施例提供的教育金融复合卡认证方法,教育应用平台和教育金融复合卡应用装置为教育金融复合卡认证***的组件,通过芯片鉴权证书和人员鉴权证书完成教育应用平台与教育金融复合卡的身份认证,保持传输数据的完整性和不可抵赖性。本实施例提供的教育金融复合卡认证方法,对教育金融复合卡进行有效性和合法性保护,保密性高。
优选地,如图7所示,本实施例提供的教育金融复合卡认证方法,所述步骤S200包括:
步骤S211、教育应用平台发送芯片验证指令。
教育应用平台向教育金融复合卡应用装置发送芯片验证指令。
步骤S212、教育金融复合卡应用装置接收教育应用平台发送的芯片验证指令,通过芯片鉴权证书对应的私钥对芯片信息以及与芯片信息相对应的芯片安全识别码进行签名,并将签名结果、芯片信息和芯片安全识别码发送给教育应用平台。
教育金融复合卡应用装置接收教育应用平台发送芯片验证指令,利用存储在智能芯片中的芯片鉴权证书对应的私钥对芯片信息以及与芯片信息相对应的CSN(ChipSecurity Numbdr,芯片安全识别码)进行签名,并将签名结果、芯片信息和芯片安全识别码发送给教育应用平台。其中,签名结果是按照一定的算法对待签名的芯片信息和芯片安全识别码进行计算后得到的结果。
步骤S213、教育应用平台接收教育金融复合卡应用装置发送的签名结果,获取与芯片安全识别码相对应的芯片鉴权证书,使用对应的芯片鉴权证书中的公钥对芯片信息签名结果进行验签。
教育应用平台接收教育金融复合卡应用装置发送的签名结果,在本地数据库中获取与CSN相对应的芯片鉴权证书,使用对应的芯片鉴权证书中的公钥对芯片信息签名结果进行验签。
本实施例提供的教育金融复合卡认证方法,教育应用平台通过芯片鉴权证书对应的私钥对芯片信息以及与芯片信息相对应的芯片安全识别码进行签名;教育金融复合卡应用装置使用对应的芯片鉴权证书中的公钥对芯片信息签名结果进行验签,验证当前教育金融复合卡中智能芯片的合法性。本实施例提供的教育金融复合卡认证方法,对教育金融复合卡进行有效性和合法性保护,保密性高。
优选地,如图8所示,本实施例提供的教育金融复合卡认证方法,所述步骤S200还包括:
步骤S221、教育应用平台发送口令验证指令。
教育应用平台向教育金融复合卡应用装置发送口令验证指令。
步骤S222、教育金融复合卡应用装置接收教育应用平台发送的口令验证指令,进行口令验证操作。
教育金融复合卡应用装置接收教育应用平台发送过来的口令验证指令,进行口令验证操作,若输入的口令正确,则验证成功,执行下一步;若输入的口令错识,则验证失败,返回重新进行口令验证操作。
步骤S223、教育应用平台发送身份鉴权指令。
教育应用平台向教育金融复合卡应用装置发送身份鉴权指令。
步骤S224、教育金融复合卡应用装置接收教育应用平台发送的身份鉴权指令,获取卡片信息和人员鉴权证书。
教育金融复合卡应用装置接收教育应用平台发送过来的身份鉴权指令,判断口令通过标志,在智能芯片内获取卡片随机数、ESN(Electronic Serial Number,电子序列号)卡片信息、人员鉴权证书。
步骤S225、教育金融复合卡应用装置使用人员鉴权证书对应的私钥对卡片信息进行签名,并将签名结果和人员鉴权证书发送给教育应用平台。
教育金融复合卡应用装置使用人员鉴权证书对应的私钥对卡片信息进行签名,并将签名结果和人员鉴权证书上传给教育应用平台。
步骤S226、教育应用平台使用人员鉴权证书的公钥对签名后卡片信息进行验签。
教育应用平台解析人员鉴权证书数据,判断证书格式是否正确,并根据证书颁发者信息获取根证书。使用根证书公钥对人员鉴权证书数据进行验鉴,判断人员鉴权证书合法性。从身份鉴权响应数据中获取卡片信息和应用平台随机数。组织应用平台随机数、卡片随机数和卡片信息进行hash(摘要算法),使用Hash结果、卡片签名结果进行验签操作。验签通过则进入后续应用;否则教育应用平台将拒绝后续应用。
本实施例提供的教育金融复合卡认证方法,采用身份鉴权实现“口令验证+数字签名”双因子认证,教育应用平台使用人员鉴权证书对卡片信息进行验签,完成教育金融复合卡以及持卡人身份合法性和不可抵赖性保护,保密性高。
优选地,如图9所示,本实施例提供的教育金融复合卡认证方法,所述步骤S200之后还包括:
步骤S310、教育金融复合卡应用装置生成卡片随机数。
步骤S320、教育应用平台接收教育金融复合卡应用装置生成的卡片随机数,使用卡片随机数和对称密钥计算应用认证数据。
步骤S330、教育金融复合卡应用装置发送外部认证指令,并将应用认证数据传输给教育应用平台。
步骤S340、教育应用平台接收教育金融复合卡应用装置发送的应用认证数据,与智能芯片内部计算的认证数据进行匹配。
本实施例提供的教育金融复合卡认证方法,采用对称加密的方式保护数据的完整性与机密性,通过认证数据完成教育金融复合卡对应用平台身份合法性验证,保密性高。
优选地,如图10所示,本实施例提供的教育金融复合卡认证方法,所述步骤S340之后还包括:
步骤S350、教育应用平台计算卡片密文数据和校验值,发送数据读写指令。
步骤S360、教育金融复合卡应用装置接收教育应用平台发送的数据读写指令,通过校验值验证卡片密文数据的完整性,并使用内部密钥对卡片密文数据进行解密,获取明文数据。
步骤S370、教育金融复合卡应用装置计算应用密文数据和校验值,并将应用密文数据和校验值上传至教育金融复合卡应用装置。
步骤S380、教育应用平台接收教育金融复合卡应用装置上传的应用密文数据和校验值,通过校验值验证传输数据完整性,解密应用密文数据,获取应用明文数据。
本实施例提供的教育金融复合卡认证方法,使用SM4对称算法计算传输数据和校验值来完成教育应用平台与教育金融复合卡之间的数据传输,从而保障传输数据的机密性和完整性,保密性高。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (6)

1.一种教育金融复合卡认证***,其特征在于,包括教育金融复合卡应用装置(100)及与所述教育金融复合卡应用装置(100)相连接的教育应用平台(200),所述教育金融复合卡应用装置(100)包括教育金融复合卡(10)和用于读写所述教育金融复合卡(10)的智能卡读写设备(20),所述教育金融复合卡(10)包括卡基和封装在所述卡基中的智能芯片(11),其中,
所述教育金融复合卡应用装置(100),用于接收第三方证书颁发机构颁发的芯片鉴权证书和人员鉴权证书,并将所述芯片鉴权证书和所述人员鉴权证书存储在所述智能芯片(11)中;
所述教育应用平台(200),使用所述芯片鉴权证书和所述人员鉴权证书完成与所述教育金融复合卡应用装置(100)的身份认证;
所述教育金融复合卡应用装置(100)包括第一签名模块(101),所述教育应用平台(200)包括芯片验证指令发送模块(201)和第一验签模块(202),
所述芯片验证指令发送模块(201),用于发送芯片验证指令;
第一签名模块(101),用于接收所述芯片验证指令发送模块(201)发送的所述芯片验证指令,使用所述芯片鉴权证书对应的私钥对芯片信息以及与所述芯片信息相对应的芯片安全识别码进行签名,并将签名结果、所述芯片信息和所述芯片安全识别码发送给所述第一验签模块(202);
所述第一验签模块(202),用于接收所述第一签名模块(101)发送所述签名结果,获取与所述芯片安全识别码相对应的芯片鉴权证书,使用对应的芯片鉴权证书中的公钥对所述芯片信息的签名结果进行验签;
所述教育金融复合卡应用装置(100)包括卡片随机数生成模块(105)和认证数据匹配模块(106),所述教育应用平台(200)包括第一计算模块(206)和认证模块(207),
所述卡片随机数生成模块(105),用于生成卡片随机数;
所述第一计算模块(206),用于接收所述卡片随机数生成模块(105)生成的所述卡片随机数,使用所述卡片随机数和对应的对称密钥计算应用认证数据;
所述认证模块(207),用于发送外部认证指令,并将所述应用认证数据传输给所述认证数据匹配模块(106);
所述认证数据匹配模块(106),用于接收所述认证模块(207)发送的外部认证指令和所述应用认证数据,与所述智能芯片(11)内部计算的认证数据进行匹配。
2.根据权利要求1所述的教育金融复合卡认证***,其特征在于,
所述教育金融复合卡应用装置(100)还包括口令验证模块(102)、身份签权指令接收模块(103)和第二签名模块(104),所述教育应用平台(200)包括口令验证指令发送模块(203)、身份签权指令发送模块(204)和第二验签模块(205),
所述口令验证指令发送模块(203),用于发送口令验证指令;
所述口令验证模块(102),用于接收所述口令验证指令发送模块(203)发送的口令验证指令,进行口令验证操作;
所述身份签权指令发送模块(204),用于发送身份鉴权指令;
所述身份签权指令接收模块(103),用于接收所述身份签权指令发送模块(204)发送的所述身份鉴权指令,获取卡片信息和人员鉴权证书;
所述第二签名模块(104),用于使用所述人员鉴权证书对应的私钥对所述卡片信息进行签名,并将所述签名结果和所述人员鉴权证书发送给所述第二验签模块(205);
所述第二验签模块(205),用于使用所述人员鉴权证书的公钥对所述卡片信息签名结果进行验签。
3.根据权利要求1所述的教育金融复合卡认证***,其特征在于,
所述教育金融复合卡应用装置(100)还包括解密模块(107)和第二计算模块(108),所述教育应用平台(200)包括数据处理模块(208)和验证模块(209),
所述数据处理模块(208),用于计算卡片密文数据和校验值,发送数据读写指令;
所述解密模块(107),用于接收所述数据处理模块(208)发送的所述数据读写指令,通过所述校验值验证所述卡片密文数据的完整性,并使用内部密钥对所述卡片密文数据进行解密,获取明文数据;
所述第二计算模块(108),用于计算应用密文数据和校验值,并将所述应用密文数据和所述校验值上传至所述验证模块(209);
所述验证模块(209),用于接收所述第二计算模块(108)上传的所述应用密文数据和所述校验值,通过所述校验值验证传输数据完整性,解密所述应用密文数据,获取应用明文数据。
4.一种教育金融复合卡认证方法,应用于教育金融复合卡认证***中,所述教育金融复合卡认证***包括教育金融复合卡应用装置及与所述教育金融复合卡应用装置相连接的教育应用平台,所述教育金融复合卡应用装置包括教育金融复合卡和用于读写所述教育金融复合卡的智能卡读写设备,所述教育金融复合卡包括卡基和封装在所述卡基中的智能芯片,其特征在于,所述教育金融复合卡认证方法包括步骤:
所述教育金融复合卡应用装置接收第三方证书颁发机构颁发的芯片鉴权证书和人员鉴权证书,并将芯片鉴权证书和人员鉴权证书存储在智能芯片中;
所述教育应用平台使用所述芯片鉴权证书和所述人员鉴权证书完成与所述教育金融复合卡应用装置的身份认证;
所述教育应用平台使用所述芯片鉴权证书完成与所述教育金融复合卡应用装置芯片合法性认证的步骤包括:
所述教育应用平台发送芯片验证指令;
所述教育金融复合卡应用装置接收所述教育应用平台发送的所述芯片验证指令,通过所述芯片鉴权证书对应的私钥对芯片信息以及与所述芯片信息相对应的芯片安全识别码进行签名,并将签名结果、所述芯片信息和所述芯片安全识别码发送给所述教育应用平台;
所述教育应用平台接收所述教育金融复合卡应用装置发送的所述签名结果,获取与所述芯片安全识别码相对应的芯片鉴权证书,使用对应的芯片鉴权证书中的公钥对所述芯片信息签名结果进行验签;
所述教育应用平台使用所述芯片鉴权证书和所述人员鉴权证书完成与所述教育金融复合卡应用装置芯片合法性验证和身份认证的步骤之后还包括:
所述教育金融复合卡应用装置生成卡片随机数;
所述教育应用平台接收所述教育金融复合卡应用装置生成的所述卡片随机数,使用所述卡片随机数和对称密钥计算应用认证数据;
所述教育应用平台发送外部认证指令,并将所述应用认证数据传输给所述教育金融复合卡应用装置;
所述教育金融复合卡应用装置接收所述教育应用平台发送过来的所述应用认证数据,与所述智能芯片内部计算的认证数据进行匹配。
5.根据权利要求4所述的教育金融复合卡认证方法,其特征在于,
所述教育应用平台通过所述人员鉴权证书完成与所述教育金融复合卡应用装置的身份认证的步骤包括:
所述教育应用平台发送口令验证指令;
所述教育金融复合卡应用装置接收所述教育应用平台发送的口令验证指令,进行口令验证操作;
所述教育应用平台发送身份鉴权指令;
所述教育金融复合卡应用装置接收所述教育应用平台发送的所述身份鉴权指令,获取卡片信息和人员鉴权证书;
所述教育金融复合卡应用装置使用所述人员鉴权证书对应的私钥对所述卡片信息进行签名,并将所述签名结果和所述人员鉴权证书发送给所述教育应用平台;
所述教育应用平台使用所述人员鉴权证书的公钥对所述卡片信息签名结果进行验签。
6.根据权利要求4所述的教育金融复合卡认证方法,其特征在于,
所述教育金融复合卡应用装置接收所述教育应用平台发送的所述应用认证数据,与所述智能芯片内部计算的认证数据进行匹配的步骤之后还包括:
所述教育应用平台计算卡片密文数据和校验值,发送数据读写指令;
所述教育金融复合卡应用装置接收所述教育应用平台发送的所述数据读写指令,通过所述校验值验证所述卡片密文数据的完整性,并使用内部密钥对所述卡片密文数据进行解密,获取明文数据;
所述教育金融复合卡应用装置计算应用密文数据和校验值,并将所述应用密文数据和所述校验值上传至所述教育应用平台;
所述教育应用平台接收所述教育金融复合卡应用装置上传的所述应用密文数据和所述校验值,通过所述校验值验证传输数据完整性,解密所述应用密文数据,获取应用明文数据。
CN201611165864.4A 2016-12-16 2016-12-16 教育金融复合卡认证方法和*** Active CN106603532B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201611165864.4A CN106603532B (zh) 2016-12-16 2016-12-16 教育金融复合卡认证方法和***

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201611165864.4A CN106603532B (zh) 2016-12-16 2016-12-16 教育金融复合卡认证方法和***

Publications (2)

Publication Number Publication Date
CN106603532A CN106603532A (zh) 2017-04-26
CN106603532B true CN106603532B (zh) 2020-03-27

Family

ID=58801823

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201611165864.4A Active CN106603532B (zh) 2016-12-16 2016-12-16 教育金融复合卡认证方法和***

Country Status (1)

Country Link
CN (1) CN106603532B (zh)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107392805B (zh) * 2017-07-03 2020-09-08 南方城墙信息安全科技有限公司 电子文凭读写控制***和方法
CN110457967A (zh) * 2019-07-30 2019-11-15 广州童联信息科技有限公司 一种用于中国教育卡安全验证的读写卡***、方法及介质
CN110992228B (zh) * 2019-12-09 2024-01-23 哈尔滨新中新电子股份有限公司 一种校园安全识别管理***及其管理方法
CN112380509A (zh) * 2020-11-16 2021-02-19 湖南中育至诚科技有限公司 身份信息生成及验证方法、装置、可读存储介质
CN112491558A (zh) * 2020-11-26 2021-03-12 湖南中育至诚数字科技有限公司 多应用芯片卡的数据写入方法、***及存储介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102904719A (zh) * 2011-07-27 2013-01-30 国民技术股份有限公司 一种USB-key的使用方法及USB-key
CN103164738A (zh) * 2013-02-06 2013-06-19 厦门盛华电子科技有限公司 一种基于移动支付多通道数字认证的手机用户识别卡
CN105160242A (zh) * 2015-08-07 2015-12-16 北京亿速码数据处理有限责任公司 一种读卡器的证书加载方法、证书更新方法及读卡器
CN105306988A (zh) * 2015-10-27 2016-02-03 四川九州电子科技股份有限公司 基于机顶盒的近场安全支付方法及***

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102904719A (zh) * 2011-07-27 2013-01-30 国民技术股份有限公司 一种USB-key的使用方法及USB-key
CN103164738A (zh) * 2013-02-06 2013-06-19 厦门盛华电子科技有限公司 一种基于移动支付多通道数字认证的手机用户识别卡
CN105160242A (zh) * 2015-08-07 2015-12-16 北京亿速码数据处理有限责任公司 一种读卡器的证书加载方法、证书更新方法及读卡器
CN105306988A (zh) * 2015-10-27 2016-02-03 四川九州电子科技股份有限公司 基于机顶盒的近场安全支付方法及***

Also Published As

Publication number Publication date
CN106603532A (zh) 2017-04-26

Similar Documents

Publication Publication Date Title
CN106603532B (zh) 教育金融复合卡认证方法和***
CN104885091B (zh) Rfid标签以及用于运行rfid标签的方法
CN105790951B (zh) 一种身份认证的装置以及智能终端
US20160330035A1 (en) User Identification Management System and Method
CN102831529B (zh) 一种基于射频的商品信息识别方法及***
ES2378609T3 (es) Procedimiento de certificación individual
CN109409472B (zh) 二维码生成方法、数据处理方法、装置及服务器
US20020042879A1 (en) Electronic signature system
CN109639651A (zh) 基于活体认证和区块链技术的合同在线签订认证方法及其***
WO2004066177A1 (ja) 指紋センサ付き携帯型電子機器を用いたカード決済方法
WO2012014231A4 (en) System and method for generating a strong multi factor personalized server key from a simple user password
US20200213302A1 (en) Providing verified claims of user identity
US20200274714A1 (en) System for, method of, and server computer system for implementing transformation of an original entity into a verifiably authenticable entity in a heterogeneous communications network environment
CN103914913A (zh) 一种智能卡应用场景识别方法及***
US20110296191A1 (en) Method for securely drawing up a virtual multiparty contract capable of being physically represented
KR20140108749A (ko) 프라이버시 보호형 문서 인증 정보 생성 장치 및 이를 이용한 프라이버시 보호형 문서 인증 방법
CN102271040A (zh) 身份验证***和方法
CN107451643A (zh) 动态二维码的生成、识别方法和装置
CN107425969A (zh) 一种基于区块链技术的雇员体检信息认证方法
CN108334927A (zh) 一种nfc收单标签及其支付方法
Zhi et al. Effective and efficient attendance tracking system using secret code
CN107093078B (zh) 芯片卡发卡***及方法
CN111709747B (zh) 智能终端认证方法及***
KR101635176B1 (ko) 본인 대면 확인 검증 시스템 장치
CN104881791B (zh) 基于rfid的具备隐私保护特性的高效追踪溯源方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant