一種身份證讀卡響應(yīng)方法及裝置的制造方法
【專利摘要】本發(fā)明提供一種身份證讀卡響應(yīng)方法及裝置����,所述方法包括:身份證讀卡響應(yīng)裝置接收身份證讀卡終端發(fā)送的身份證標(biāo)識信息;將對生成的第一認(rèn)證因子安全處理得到的第一數(shù)據(jù)包發(fā)送至身份證讀卡終端�����;驗(yàn)證身份證讀卡終端發(fā)送的第二數(shù)據(jù)包���,對驗(yàn)證通過得到的第一認(rèn)證數(shù)據(jù)進(jìn)行認(rèn)證�����,將認(rèn)證通過后生成的認(rèn)證因子申請請求發(fā)送至身份證讀卡終端�;驗(yàn)證身份證讀卡終端發(fā)送的第四數(shù)據(jù)包���,對驗(yàn)證通過得到的第二認(rèn)證因子進(jìn)行處理�����,將對處理得到的第二認(rèn)證數(shù)據(jù)安全處理得到的第五數(shù)據(jù)包發(fā)送至身份證讀卡終端��;驗(yàn)證身份證讀卡終端發(fā)送的第六數(shù)據(jù)包�����,解密驗(yàn)證通過得到的身份證數(shù)據(jù)密文����,將對解密得到的身份證數(shù)據(jù)明文安全處理得到的第七數(shù)據(jù)包發(fā)送至身份證讀卡終端。
【專利說明】
_種身份證讀卡響應(yīng)方法及裝置
技術(shù)領(lǐng)域
[0001]本發(fā)明涉及一種電子技術(shù)領(lǐng)域���,尤其涉及一種身份證讀卡響應(yīng)方法及裝置���。【背景技術(shù)】
[0002]現(xiàn)有身份證信息讀取響應(yīng)方案中����,身份證讀卡終端需要配合使用可以對從身份證讀取的密文數(shù)據(jù)實(shí)現(xiàn)解密的身份證讀卡響應(yīng)裝置,來實(shí)現(xiàn)身份證信息的讀取及顯示�。例如, 銀行���、車站等需要采用身份證信息讀取的行業(yè)�����,通常需要在本地布局大量的身份證讀卡終端和身份證讀卡響應(yīng)裝置�,身份證讀卡終端與身份證讀卡響應(yīng)裝置之間還需要設(shè)置相應(yīng)的對應(yīng)關(guān)系,方案實(shí)現(xiàn)較復(fù)雜����,成本較高;并且��,現(xiàn)有的身份證讀卡響應(yīng)裝置不會對通訊的身份證相關(guān)數(shù)據(jù)進(jìn)行額外加密��、簽名等處理�����,因此導(dǎo)致通訊的安全性不高�。
【發(fā)明內(nèi)容】
[0003]本發(fā)明旨在至少解決上述問題之一。
[0004]本發(fā)明的主要目的在于提供一種身份證讀卡響應(yīng)方法�����;
[0005]本發(fā)明的另一目的在于提供一種身份證讀卡響應(yīng)裝置�����。[〇〇〇6]為達(dá)到上述目的���,本發(fā)明的技術(shù)方案具體是這樣實(shí)現(xiàn)的:
[0007]本發(fā)明一方面提供了一種身份證讀卡響應(yīng)方法����,包括:身份證讀卡響應(yīng)裝置接收身份證讀卡終端發(fā)送的讀卡請求數(shù)據(jù)包,并對所述讀卡請求數(shù)據(jù)包進(jìn)行安全驗(yàn)證����,安全驗(yàn)證通過后,得到身份證標(biāo)識信息�����;生成第一認(rèn)證因子����,對所述第一認(rèn)證因子進(jìn)行安全處理, 得到第一數(shù)據(jù)包���,并將所述第一數(shù)據(jù)包發(fā)送至所述身份證讀卡終端;接收所述身份證讀卡終端發(fā)送的第二數(shù)據(jù)包��,并對所述第二數(shù)據(jù)包進(jìn)行安全驗(yàn)證�����,安全驗(yàn)證通過后�,得到第一認(rèn)證數(shù)據(jù);對所述第一認(rèn)證數(shù)據(jù)進(jìn)行認(rèn)證,認(rèn)證通過后�����,生成認(rèn)證因子申請請求;對所述認(rèn)證因子申請請求進(jìn)行安全處理�����,得到第三數(shù)據(jù)包���,并將所述第三數(shù)據(jù)包發(fā)送至所述身份證讀卡終端;接收所述身份證讀卡終端發(fā)送的第四數(shù)據(jù)包,并對所述第四數(shù)據(jù)包進(jìn)行安全驗(yàn)證����, 安全驗(yàn)證通過后,得到第二認(rèn)證因子;對所述第二認(rèn)證因子進(jìn)行處理���,得到第二認(rèn)證數(shù)據(jù)���; 對所述第二認(rèn)證數(shù)據(jù)進(jìn)行安全處理,得到第五數(shù)據(jù)包�����,并將所述第五數(shù)據(jù)包發(fā)送至所述身份證讀卡終端;接收所述身份證讀卡終端發(fā)送的第六數(shù)據(jù)包,并對所述第六數(shù)據(jù)包進(jìn)行安全驗(yàn)證��,安全驗(yàn)證通過后�,得到身份證數(shù)據(jù)密文;對所述身份證數(shù)據(jù)密文進(jìn)行解密,得到身份證數(shù)據(jù)明文;對所述身份證數(shù)據(jù)明文進(jìn)行安全處理�����,得到第七數(shù)據(jù)包�����,并將所述第七數(shù)據(jù)包發(fā)送至所述身份證讀卡終端�。
[0008]此外,所述讀卡請求數(shù)據(jù)包包括讀卡請求數(shù)據(jù)密文和所述讀卡請求數(shù)據(jù)密文的簽名值;對所述讀卡請求數(shù)據(jù)包進(jìn)行安全驗(yàn)證�,安全驗(yàn)證通過后,得到身份證標(biāo)識信息����,包括: 使用所述身份證讀卡終端的第一證書對所述讀卡請求數(shù)據(jù)密文的簽名值進(jìn)行簽名驗(yàn)證,在驗(yàn)證通過的情況下��,使用會話密鑰對所述讀卡請求數(shù)據(jù)密文進(jìn)行解密����,得到所述身份證標(biāo)識信息;和/或所述第一數(shù)據(jù)包包括第一加密數(shù)據(jù)和第一簽名數(shù)據(jù);對所述第一認(rèn)證因子進(jìn)行安全處理���,包括:使用會話密鑰對所述第一認(rèn)證因子進(jìn)行加密,得到所述第一加密數(shù)據(jù)����,并使用所述身份證讀卡響應(yīng)裝置的私鑰對所述第一加密數(shù)據(jù)進(jìn)行簽名,得到所述第一簽名數(shù)據(jù);和/或所述第二數(shù)據(jù)包包括第一密文和所述第一密文的簽名值;對所述第二數(shù)據(jù)包進(jìn)行安全驗(yàn)證��,安全驗(yàn)證通過后��,得到第一認(rèn)證數(shù)據(jù)�����,包括:使用所述身份證讀卡終端的第一證書對所述第一密文的簽名值進(jìn)行簽名驗(yàn)證��,在驗(yàn)證通過的情況下����,使用會話密鑰對所述第一密文進(jìn)行解密��,得到所述第一認(rèn)證數(shù)據(jù);和/或所述第三數(shù)據(jù)包包括第二加密數(shù)據(jù)和第二簽名數(shù)據(jù);對所述認(rèn)證因子申請請求進(jìn)行安全處理����,包括:使用會話密鑰對所述認(rèn)證因子申請請求進(jìn)行加密�����,得到所述第二加密數(shù)據(jù)�,并使用所述身份證讀卡響應(yīng)裝置的私鑰對所述第二加密數(shù)據(jù)進(jìn)行簽名����,得到所述第二簽名數(shù)據(jù);和/或所述第四數(shù)據(jù)包包括第二密文和所述第二密文的簽名值;對所述第四數(shù)據(jù)包進(jìn)行安全驗(yàn)證,安全驗(yàn)證通過后���,得到第二認(rèn)證因子�,包括:使用所述身份證讀卡終端的第一證書對所述第二密文的簽名值進(jìn)行簽名驗(yàn)證����, 在驗(yàn)證通過的情況下,使用會話密鑰對所述第二密文進(jìn)行解密���,得到所述第二認(rèn)證因子��; 和/或所述第五數(shù)據(jù)包包括第三加密數(shù)據(jù)和第三簽名數(shù)據(jù);對所述第二認(rèn)證數(shù)據(jù)進(jìn)行安全處理��,包括:使用會話密鑰對所述第二認(rèn)證數(shù)據(jù)進(jìn)行加密����,得到所述第三加密數(shù)據(jù),并使用所述身份證讀卡響應(yīng)裝置的私鑰對所述第三加密數(shù)據(jù)進(jìn)行簽名��,得到所述第三簽名數(shù)據(jù)�; 和/或所述第六數(shù)據(jù)包包括第三密文和所述第三密文的簽名值;對所述第六數(shù)據(jù)包進(jìn)行安全驗(yàn)證,安全驗(yàn)證通過后����,得到身份證數(shù)據(jù)密文,包括:使用所述身份證讀卡終端的第一證書對所述第三密文的簽名值進(jìn)行簽名驗(yàn)證����,在驗(yàn)證通過的情況下,使用會話密鑰對所述第三密文進(jìn)行解密�����,得到所述身份證數(shù)據(jù)密文;和/或所述第七數(shù)據(jù)包包括第四加密數(shù)據(jù)和第四簽名數(shù)據(jù);對所述身份證數(shù)據(jù)明文進(jìn)行安全處理�,包括:使用會話密鑰對所述身份證數(shù)據(jù)明文進(jìn)行加密���,得到所述第四加密數(shù)據(jù)�����,并使用所述身份證讀卡響應(yīng)裝置的私鑰對所述第四加密數(shù)據(jù)進(jìn)行簽名����,得到所述第四簽名數(shù)據(jù)。[〇〇〇9] 此外����,在對所述讀卡請求數(shù)據(jù)包進(jìn)行安全驗(yàn)證之前,還包括:所述身份證讀卡響應(yīng)裝置接收所述身份證讀卡終端發(fā)送的會話密鑰請求數(shù)據(jù)包��,其中�����,所述會話密鑰請求數(shù)據(jù)包包括第一隨機(jī)因子��、所述第一隨機(jī)因子的簽名值和所述身份證讀卡終端的第一證書;對所述第一證書的合法性進(jìn)行驗(yàn)證�,在驗(yàn)證通過后,使用所述第一證書對所述第一隨機(jī)因子的簽名值進(jìn)行簽名驗(yàn)證���,在簽名驗(yàn)證通過的情況下�����,生成第二隨機(jī)因子;對所述第一隨機(jī)因子和所述第二隨機(jī)因子進(jìn)行加密��,得到第五加密數(shù)據(jù)����,并使用所述身份證讀卡響應(yīng)裝置的私鑰對所述第五加密數(shù)據(jù)進(jìn)行簽名,得到第五簽名數(shù)據(jù);將第八數(shù)據(jù)包發(fā)送至所述身份證讀卡終端����,其中,所述第八數(shù)據(jù)包包括所述第五加密數(shù)據(jù)���、所述第五簽名數(shù)據(jù)和所述身份證讀卡響應(yīng)裝置的證書;其中�����,在生成第二隨機(jī)因子之后�,還包括:根據(jù)所述第一隨機(jī)因子和所述第二隨機(jī)因子生成會話密鑰�。[〇〇1〇]此外,在接收身份證讀卡終端發(fā)送的讀卡請求數(shù)據(jù)包之前����,還包括:所述身份證讀卡響應(yīng)裝置接收所述身份證讀卡終端發(fā)送的尋卡請求數(shù)據(jù)包,其中��,所述尋卡請求數(shù)據(jù)包包括尋卡請求數(shù)據(jù)密文����、所述尋卡請求數(shù)據(jù)密文的簽名值以及所述身份證讀卡終端的第一證書和第二證書;對所述第一證書的合法性進(jìn)行驗(yàn)證,在驗(yàn)證通過后��,使用所述第一證書對所述尋卡請求數(shù)據(jù)密文的簽名值進(jìn)行簽名驗(yàn)證����,在簽名驗(yàn)證通過的情況下,使用獲取的認(rèn)證解密密鑰對所述尋卡請求數(shù)據(jù)密文進(jìn)行解密����,得到尋卡請求數(shù)據(jù);對所述尋卡請求數(shù)據(jù)進(jìn)行響應(yīng),生成尋卡請求響應(yīng)數(shù)據(jù);使用會話密鑰對所述尋卡請求響應(yīng)數(shù)據(jù)進(jìn)行加密��,得到第六加密數(shù)據(jù)�����,使用所述第二證書對所述會話密鑰進(jìn)行加密��,得到會話密鑰密文��,并使用所述身份證讀卡響應(yīng)裝置的私鑰對所述第六加密數(shù)據(jù)和所述會話密鑰密文進(jìn)行簽名�,得到第六簽名數(shù)據(jù);將尋卡請求響應(yīng)數(shù)據(jù)包發(fā)送至所述身份證讀卡終端,其中���,所述尋卡請求響應(yīng)數(shù)據(jù)包包括所述第六加密數(shù)據(jù)和所述第六簽名數(shù)據(jù)�����。
[0011]此外��,在對所述讀卡請求數(shù)據(jù)包進(jìn)行安全驗(yàn)證�,安全驗(yàn)證通過后,得到身份證標(biāo)識信息之后����,還包括:將所述身份證標(biāo)識信息發(fā)送至調(diào)度服務(wù)器。
[0012]此外�����,所述尋卡請求數(shù)據(jù)包括時間戳和/或終端計數(shù)器;在使用獲取的認(rèn)證解密密鑰對所述尋卡請求數(shù)據(jù)密文進(jìn)行解密��,得到尋卡請求數(shù)據(jù)之后�����,還包括:將所述時間戳和/ 或終端計數(shù)器發(fā)送至調(diào)度服務(wù)器����。
[0013]本發(fā)明另一方面提供了一種身份證讀卡響應(yīng)裝置�����,包括:接收模塊,用于接收身份證讀卡終端發(fā)送的讀卡請求數(shù)據(jù)包;安全驗(yàn)證模塊�,用于對所述讀卡請求數(shù)據(jù)包進(jìn)行安全驗(yàn)證,安全驗(yàn)證通過后����,得到身份證標(biāo)識信息;第一生成模塊,用于生成第一認(rèn)證因子;安全處理模塊,用于對所述第一認(rèn)證因子進(jìn)行安全處理���,得到第一數(shù)據(jù)包���;發(fā)送模塊����,用于將所述第一數(shù)據(jù)包發(fā)送至所述身份證讀卡終端;所述接收模塊��,還用于接收所述身份證讀卡終端發(fā)送的第二數(shù)據(jù)包;所述安全驗(yàn)證模塊���,還用于對所述第二數(shù)據(jù)包進(jìn)行安全驗(yàn)證�,安全驗(yàn)證通過后�����,得到第一認(rèn)證數(shù)據(jù);第二生成模塊,用于對所述第一認(rèn)證數(shù)據(jù)進(jìn)行認(rèn)證��,認(rèn)證通過后����,生成認(rèn)證因子申請請求;所述安全處理模塊���,還用于對所述認(rèn)證因子申請請求進(jìn)行安全處理����,得到第三數(shù)據(jù)包;所述發(fā)送模塊��,還用于將所述第三數(shù)據(jù)包發(fā)送至所述身份證讀卡終端;所述接收模塊���,還用于接收所述身份證讀卡終端發(fā)送的第四數(shù)據(jù)包;所述安全驗(yàn)證模塊��,還用于對所述第四數(shù)據(jù)包進(jìn)行安全驗(yàn)證���,安全驗(yàn)證通過后�,得到第二認(rèn)證因子;認(rèn)證處理模塊�����,用于對所述第二認(rèn)證因子進(jìn)行處理����,得到第二認(rèn)證數(shù)據(jù);所述安全處理模塊,還用于對所述第二認(rèn)證數(shù)據(jù)進(jìn)行安全處理�,得到第五數(shù)據(jù)包;所述發(fā)送模塊��,還用于將所述第五數(shù)據(jù)包發(fā)送至所述身份證讀卡終端;所述接收模塊����,還用于接收所述身份證讀卡終端發(fā)送的第六數(shù)據(jù)包;所述安全驗(yàn)證模塊,還用于對所述第六數(shù)據(jù)包進(jìn)行安全驗(yàn)證�,安全驗(yàn)證通過后,得到身份證數(shù)據(jù)密文;解密模塊�����,用于對所述身份證數(shù)據(jù)密文進(jìn)行解密��,得到身份證數(shù)據(jù)明文;所述安全處理模塊����,還用于對所述身份證數(shù)據(jù)明文進(jìn)行安全處理,得到第七數(shù)據(jù)包;所述發(fā)送模塊�����,還用于將所述第七數(shù)據(jù)包發(fā)送至所述身份證讀卡終端����。
[0014]此外,所述讀卡請求數(shù)據(jù)包包括讀卡請求數(shù)據(jù)密文和所述讀卡請求數(shù)據(jù)密文的簽名值;所述安全驗(yàn)證模塊�����,通過以下方式對所述讀卡請求數(shù)據(jù)包進(jìn)行安全驗(yàn)證�����,安全驗(yàn)證通過后���,得到身份證標(biāo)識信息:使用所述身份證讀卡終端的第一證書對所述讀卡請求數(shù)據(jù)密文的簽名值進(jìn)行簽名驗(yàn)證����,在驗(yàn)證通過的情況下,使用會話密鑰對所述讀卡請求數(shù)據(jù)密文進(jìn)行解密�����,得到所述身份證標(biāo)識信息;和/或所述第一數(shù)據(jù)包包括第一加密數(shù)據(jù)和第一簽名數(shù)據(jù);所述安全處理模塊�,通過以下方式對所述第一認(rèn)證因子進(jìn)行安全處理,得到第一數(shù)據(jù)包:使用會話密鑰對所述第一認(rèn)證因子進(jìn)行加密�����,得到所述第一加密數(shù)據(jù)����,并使用所述身份證讀卡響應(yīng)裝置的私鑰對所述第一加密數(shù)據(jù)進(jìn)行簽名,得到所述第一簽名數(shù)據(jù);和/或所述第二數(shù)據(jù)包包括第一密文和所述第一密文的簽名值;所述安全驗(yàn)證模塊��,通過以下方式對所述第二數(shù)據(jù)包進(jìn)行安全驗(yàn)證�,安全驗(yàn)證通過后����,得到第一認(rèn)證數(shù)據(jù):使用所述身份證讀卡終端的第一證書對所述第一密文的簽名值進(jìn)行簽名驗(yàn)證,在驗(yàn)證通過的情況下��,使用會話密鑰對所述第一密文進(jìn)行解密����,得到所述第一認(rèn)證數(shù)據(jù);和/或所述第三數(shù)據(jù)包包括第二加密數(shù)據(jù)和第二簽名數(shù)據(jù);所述安全處理模塊��,通過以下方式對所述認(rèn)證因子申請請求進(jìn)行安全處理����,得到第三數(shù)據(jù)包:使用會話密鑰對所述認(rèn)證因子申請請求進(jìn)行加密���,得到所述第二加密數(shù)據(jù)���,并使用所述身份證讀卡響應(yīng)裝置的私鑰對所述第二加密數(shù)據(jù)進(jìn)行簽名,得到所述第二簽名數(shù)據(jù);和/或所述第四數(shù)據(jù)包包括第二密文和所述第二密文的簽名值;所述安全驗(yàn)證模塊����,通過以下方式對所述第四數(shù)據(jù)包進(jìn)行安全驗(yàn)證,安全驗(yàn)證通過后���,得到第二認(rèn)證因子:使用所述身份證讀卡終端的第一證書對所述第二密文的簽名值進(jìn)行簽名驗(yàn)證�,在驗(yàn)證通過的情況下����,使用會話密鑰對所述第二密文進(jìn)行解密,得到所述第二認(rèn)證因子;和/ 或所述第五數(shù)據(jù)包包括第三加密數(shù)據(jù)和第三簽名數(shù)據(jù);所述安全處理模塊��,通過以下方式對所述第二認(rèn)證數(shù)據(jù)進(jìn)行安全處理,得到第五數(shù)據(jù)包:使用會話密鑰對所述第二認(rèn)證數(shù)據(jù)進(jìn)行加密���,得到所述第三加密數(shù)據(jù)��,并使用所述身份證讀卡響應(yīng)裝置的私鑰對所述第三加密數(shù)據(jù)進(jìn)行簽名����,得到所述第三簽名數(shù)據(jù);和/或所述第六數(shù)據(jù)包包括第三密文和所述第三密文的簽名值;所述安全驗(yàn)證模塊�����,通過以下方式對所述第六數(shù)據(jù)包進(jìn)行安全驗(yàn)證��,安全驗(yàn)證通過后�����,得到身份證數(shù)據(jù)密文:使用所述身份證讀卡終端的第一證書對所述第三密文的簽名值進(jìn)行簽名驗(yàn)證�����,在驗(yàn)證通過的情況下�����,使用會話密鑰對所述第三密文進(jìn)行解密��,得到所述身份證數(shù)據(jù)密文;和/或所述第七數(shù)據(jù)包包括第四加密數(shù)據(jù)和第四簽名數(shù)據(jù);所述安全處理模塊���,通過以下方式對所述身份證數(shù)據(jù)明文進(jìn)行安全處理���,得到第七數(shù)據(jù)包:使用會話密鑰對所述身份證數(shù)據(jù)明文進(jìn)行加密,得到所述第四加密數(shù)據(jù)��,并使用所述身份證讀卡響應(yīng)裝置的私鑰對所述第四加密數(shù)據(jù)進(jìn)行簽名��,得到所述第四簽名數(shù)據(jù)����。
[0015]此外,還包括:所述接收模塊��,還用于在所述安全驗(yàn)證模塊對所述讀卡請求數(shù)據(jù)包進(jìn)行安全驗(yàn)證之前����,接收所述身份證讀卡終端發(fā)送的會話密鑰請求數(shù)據(jù)包,其中��,所述會話密鑰請求數(shù)據(jù)包包括第一隨機(jī)因子、所述第一隨機(jī)因子的簽名值和所述身份證讀卡終端的第一證書���;所述安全驗(yàn)證模塊�,還用于對所述第一證書的合法性進(jìn)行驗(yàn)證��,并在驗(yàn)證通過后����,使用所述第一證書對所述第一隨機(jī)因子的簽名值進(jìn)行簽名驗(yàn)證;第四生成模塊,用于在簽名驗(yàn)證通過的情況下��,生成第二隨機(jī)因子;所述安全處理模塊����,還用于對所述第一隨機(jī)因子和所述第二隨機(jī)因子進(jìn)行加密,得到第五加密數(shù)據(jù)�����,并使用所述身份證讀卡響應(yīng)裝置的私鑰對所述第五加密數(shù)據(jù)進(jìn)行簽名��,得到第五簽名數(shù)據(jù);所述發(fā)送模塊����,還用于將第八數(shù)據(jù)包發(fā)送至所述身份證讀卡終端,其中����,所述第八數(shù)據(jù)包包括所述第五加密數(shù)據(jù)、所述第五簽名數(shù)據(jù)和所述身份證讀卡響應(yīng)裝置的證書���;第五生成模塊���,用于在所述第四生成模塊生成第二隨機(jī)因子之后,根據(jù)所述第一隨機(jī)因子和所述第二隨機(jī)因子生成會話密鑰��。[〇〇16]此外��,還包括:所述接收模塊����,還用于在接收身份證讀卡終端發(fā)送的讀卡請求數(shù)據(jù)包之前,接收所述身份證讀卡終端發(fā)送的尋卡請求數(shù)據(jù)包����,其中,所述尋卡請求數(shù)據(jù)包包括尋卡請求數(shù)據(jù)密文����、所述尋卡請求數(shù)據(jù)密文的簽名值以及所述身份證讀卡終端的第一證書和第二證書���;所述安全驗(yàn)證模塊,還用于對所述第一證書的合法性進(jìn)行驗(yàn)證��,在驗(yàn)證通過后�,使用所述第一證書對所述尋卡請求數(shù)據(jù)密文的簽名值進(jìn)行簽名驗(yàn)證,在簽名驗(yàn)證通過的情況下�,使用獲取的認(rèn)證解密密鑰對所述尋卡請求數(shù)據(jù)密文進(jìn)行解密,得到尋卡請求數(shù)據(jù);第三生成模塊���,用于對所述尋卡請求數(shù)據(jù)進(jìn)行響應(yīng)�����,生成尋卡請求響應(yīng)數(shù)據(jù);所述安全處理模塊��,還用于使用會話密鑰對所述尋卡請求響應(yīng)數(shù)據(jù)進(jìn)行加密��,得到第六加密數(shù)據(jù)�����,并使用所述第二證書對所述會話密鑰進(jìn)行加密���,得到會話密鑰密文;使用所述身份證讀卡響應(yīng)裝置的私鑰對所述第六加密數(shù)據(jù)和所述會話密鑰密文進(jìn)行簽名�����,得到第六簽名數(shù)據(jù);所述發(fā)送模塊,還用于將尋卡請求響應(yīng)數(shù)據(jù)包發(fā)送至所述身份證讀卡終端��,其中���,所述尋卡請求響應(yīng)數(shù)據(jù)包包括所述第六加密數(shù)據(jù)和所述第六簽名數(shù)據(jù)��。
[0017]此外�����,所述發(fā)送模塊���,還用于在所述安全驗(yàn)證模塊對所述讀卡請求數(shù)據(jù)包進(jìn)行安全驗(yàn)證,安全驗(yàn)證通過后����,得到身份證標(biāo)識信息之后,將所述身份證標(biāo)識信息發(fā)送至調(diào)度服務(wù)器�����。
[0018]此外,所述尋卡請求數(shù)據(jù)包括時間戳和/或終端計數(shù)器;還包括:所述發(fā)送模塊�����,還用于在所述安全驗(yàn)證模塊使用獲取的認(rèn)證解密密鑰對所述尋卡請求數(shù)據(jù)密文進(jìn)行解密��,得到尋卡請求數(shù)據(jù)之后��,將所述時間戳和/或終端計數(shù)器發(fā)送至調(diào)度服務(wù)器�。
[0019]由上述本發(fā)明提供的技術(shù)方案可以看出,本發(fā)明提供了一種身份證讀卡響應(yīng)方法及裝置�。在身份證讀卡終端內(nèi)并不設(shè)置有可以對從身份證讀取的密文數(shù)據(jù)實(shí)現(xiàn)解密的身份證讀卡響應(yīng)裝置,而是在云認(rèn)證平臺中設(shè)置身份證讀卡響應(yīng)裝置��,身份證讀卡終端可通過接入到云認(rèn)證平臺以實(shí)現(xiàn)對身份證的讀取�����,大大降低了用戶的實(shí)現(xiàn)成本���,特別是在銀行�����、車站�、保險等需要執(zhí)行身份證信息讀取操作的行業(yè),只需部署相應(yīng)數(shù)量的身份證讀卡終端即可�,無需再次大量部署身份證讀卡響應(yīng)裝置,也無需大量設(shè)置身份證讀卡響應(yīng)裝置與身份證讀卡終端之間的對應(yīng)關(guān)系����,簡化了實(shí)現(xiàn)方案;同時�,利用身份證讀卡響應(yīng)裝置與身份證讀卡終端之間建立的安全通道��,可以提高身份證與身份證讀卡響應(yīng)裝置之間通訊的安全性�����, 保證身份證數(shù)據(jù)的傳輸安全�����。并且����,身份證和身份證讀卡響應(yīng)裝置通過第一認(rèn)證因子和第二認(rèn)證因子的交互完成了雙向認(rèn)證,身份證讀卡響應(yīng)裝置對身份證數(shù)據(jù)密文進(jìn)行解密以得到身份證數(shù)據(jù)明文����,并發(fā)送給身份證讀卡終端����,以完成身份證數(shù)據(jù)的讀取�����?�!靖綀D說明】
[0020]為了更清楚地說明本發(fā)明實(shí)施例的技術(shù)方案��,下面將對實(shí)施例描述中所需要使用的附圖作簡單地介紹�����,顯而易見地����,下面描述中的附圖僅僅是本發(fā)明的一些實(shí)施例,對于本領(lǐng)域的普通技術(shù)人員來講�����,在不付出創(chuàng)造性勞動的前提下�����,還可以根據(jù)這些附圖獲得其他附圖。[0021 ]圖1為本發(fā)明實(shí)施例1提供的身份證讀卡響應(yīng)方法的流程示意圖����;
[0022]圖2為本發(fā)明實(shí)施例1提供的身份證讀卡響應(yīng)方法中會話密鑰請求響應(yīng)的流程示意圖;[〇〇23]圖3為本發(fā)明實(shí)施例1提供的身份證讀卡響應(yīng)方法中身份證尋卡請求響應(yīng)的流程示意圖�;
[0024]圖4為本發(fā)明實(shí)施例2提供的身份證讀卡響應(yīng)裝置的結(jié)構(gòu)示意圖?��!揪唧w實(shí)施方式】
[0025]下面結(jié)合本發(fā)明實(shí)施例中的附圖�,對本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚�����、完整地描述����,顯然����,所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例,而不是全部的實(shí)施例�����。基于本發(fā)明的實(shí)施例���,本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他實(shí)施例���,都屬于本發(fā)明的保護(hù)范圍。
[0026]在本發(fā)明的描述中��,需要理解的是�,術(shù)語“中心”、“縱向”���、“橫向”����、“上”�、“下”、 “前”����、“后”、“左”�����、“右”、“豎直”��、“水平”�、“頂”、“底”�����、“內(nèi)”����、“外”等指示的方位或位置關(guān)系為基于附圖所示的方位或位置關(guān)系,僅是為了便于描述本發(fā)明和簡化描述��,而不是指示或暗示所指的裝置或元件必須具有特定的方位����、以特定的方位構(gòu)造和操作�,因此不能理解為對本發(fā)明的限制。此外���,術(shù)語“第一”�����、“第二”僅用于描述目的�,而不能理解為指示或暗示相對重要性或數(shù)量或位置。
[0027]在本發(fā)明的描述中����,需要說明的是,除非另有明確的規(guī)定和限定���,術(shù)語“安裝”��、“相連”�、“連接”應(yīng)做廣義理解�,例如,可以是固定連接����,也可以是可拆卸連接,或一體地連接;可以是機(jī)械連接����,也可以是電連接;可以是直接相連,也可以通過中間媒介間接相連�����,可以是兩個元件內(nèi)部的連通。對于本領(lǐng)域的普通技術(shù)人員而言����,可以具體情況理解上述術(shù)語在本發(fā)明中的具體含義。
[0028]下面將結(jié)合附圖對本發(fā)明實(shí)施例作進(jìn)一步地詳細(xì)描述���。
[0029]實(shí)施例1
[0030]圖1為本實(shí)施例提供的一種身份證讀卡響應(yīng)方法的流程示意圖���,如圖1所示,本實(shí)施例提供的身份證讀卡響應(yīng)方法主要包括以下步驟(S101-S111)�。
[0031]步驟S101:身份證讀卡響應(yīng)裝置接收身份證讀卡終端發(fā)送的讀卡請求數(shù)據(jù)包,并對讀卡請求數(shù)據(jù)包進(jìn)行安全驗(yàn)證��,安全驗(yàn)證通過后���,得到身份證標(biāo)識信息��;
[0032]本實(shí)施例中���,身份證標(biāo)識信息是標(biāo)識身份證的唯一信息�����,例如身份證的序列號、用于指示身份證中設(shè)置的應(yīng)用的相關(guān)信息的應(yīng)用數(shù)據(jù)�����、傳輸協(xié)議(例如���,傳輸協(xié)議類型���、比特數(shù)率、最大幀長度)等����,身份證讀卡終端可以直接識別該身份證標(biāo)識信息,不需要身份證讀卡響應(yīng)裝置進(jìn)行解密����。
[0033]作為本實(shí)施例的一種可選實(shí)施方式,讀卡請求數(shù)據(jù)包包括讀卡請求數(shù)據(jù)密文和讀卡請求數(shù)據(jù)密文的簽名值;其中����,讀卡請求數(shù)據(jù)密文是身份證讀卡終端利用會話密鑰對包含身份證標(biāo)識信息的讀卡請求數(shù)據(jù)進(jìn)行加密得到的,讀卡請求數(shù)據(jù)密文的簽名值是身份證讀卡終端利用自身的第一私鑰對讀卡請求數(shù)據(jù)密文進(jìn)行簽名得到的�����;具體的,身份證讀卡終端利用HASH算法計算讀卡請求數(shù)據(jù)密文得到讀卡請求數(shù)據(jù)密文的摘要�,并利用身份證讀卡終端的第一私鑰對讀卡請求數(shù)據(jù)密文的摘要進(jìn)行加密,得到讀卡請求數(shù)據(jù)密文的簽名值�����。身份證讀卡響應(yīng)裝置對讀卡請求數(shù)據(jù)包進(jìn)行安全驗(yàn)證�����,安全驗(yàn)證通過后����,得到身份證標(biāo)識信息,包括:身份證讀卡響應(yīng)裝置使用身份證讀卡終端的第一證書對讀卡請求數(shù)據(jù)密文的簽名值進(jìn)行簽名驗(yàn)證;具體的���,身份證讀卡響應(yīng)裝置先利用身份證讀卡終端的第一證書中的第一公鑰對讀卡請求數(shù)據(jù)密文的簽名值進(jìn)行解密����,得到讀卡請求數(shù)據(jù)密文的摘要�����,利用HASH算法對接收到的讀卡請求數(shù)據(jù)密文進(jìn)行計算得到讀卡請求數(shù)據(jù)密文的摘要����,將解密得到的讀卡請求數(shù)據(jù)密文的摘要與計算得到的讀卡請求數(shù)據(jù)密文的摘要進(jìn)行比較,如果相同��,則驗(yàn)簽通過���,否則結(jié)束身份證讀卡響應(yīng)流程;在驗(yàn)證通過的情況下���,使用會話密鑰對讀卡請求數(shù)據(jù)密文進(jìn)行解密,得到身份證標(biāo)識信息��。其中��,第一證書至少包括身份證讀卡終端的第一公鑰��,身份證讀卡終端的第一公鑰與身份證讀卡終端的第一私鑰是一對非對稱密鑰�����。如果身份證讀卡響應(yīng)裝置利用身份證讀卡終端的第一公鑰能夠?qū)ψx卡請求數(shù)據(jù)密文的簽名值進(jìn)行解密���,則說明接收的讀卡請求數(shù)據(jù)密文的簽名值是由身份證讀卡終端發(fā)出的�����, 其數(shù)據(jù)來源是合法的����;如果身份證讀卡響應(yīng)裝置利用身份證讀卡終端的第一公鑰不能對讀卡請求數(shù)據(jù)密文的簽名值進(jìn)行解密,則說明接收的讀卡請求數(shù)據(jù)密文的簽名值不是由身份證讀卡終端發(fā)出的�,其數(shù)據(jù)來源是不合法的,因此���,對讀卡請求數(shù)據(jù)密文的簽名值進(jìn)行簽名驗(yàn)證可以確認(rèn)數(shù)據(jù)來源的合法性�。如果讀卡請求數(shù)據(jù)密文在傳輸過程中被非法分子篡改����,則身份證讀卡響應(yīng)裝置在驗(yàn)簽過程中,會對篡改后的讀卡請求數(shù)據(jù)密文進(jìn)行HASH計算得到摘要�����,該摘要與身份證讀卡響應(yīng)裝置利用身份證讀卡終端的第一公鑰對讀卡請求數(shù)據(jù)密文的簽名值進(jìn)行解密得到的摘要必定不同�����,導(dǎo)致驗(yàn)簽無法通過,因此����,通過對讀卡請求數(shù)據(jù)密文的簽名值進(jìn)行驗(yàn)簽可以判斷讀卡請求數(shù)據(jù)密文是否被篡改,保證接收的讀卡請求數(shù)據(jù)密文的完整性��。如果身份證讀卡響應(yīng)裝置利用自身和身份證讀卡終端才有的會話密鑰不能對接收到的讀卡請求數(shù)據(jù)密文進(jìn)行解密����,則說明該讀卡請求數(shù)據(jù)密文并不是身份證讀卡終端發(fā)出的�,因此,對讀卡請求數(shù)據(jù)密文進(jìn)行解密可以確認(rèn)數(shù)據(jù)來源的合法性;如果第三方截取到讀卡請求數(shù)據(jù)密文���,由于第三方無法獲取身份證讀卡響應(yīng)裝置和身份證讀卡終端才有的會話密鑰��,因此不能對讀卡請求數(shù)據(jù)密文進(jìn)行解密�����,無法獲得讀卡請求數(shù)據(jù)���,因此,對讀卡請求數(shù)據(jù)密文進(jìn)行解密可以防止讀卡請求數(shù)據(jù)在網(wǎng)絡(luò)傳輸中被非法竊取���、閱讀����,保證讀卡請求數(shù)據(jù)的傳輸安全性。通過對讀卡請求數(shù)據(jù)密文的簽名值進(jìn)行驗(yàn)簽可以判斷接收到的讀卡請求數(shù)據(jù)密文是否被非法分子篡改;通過對讀卡請求數(shù)據(jù)密文進(jìn)行解密可以讀取讀卡請求數(shù)據(jù)����。需要說明的是,本實(shí)施例中的驗(yàn)簽過程均可參見該實(shí)施方式���,下面涉及到驗(yàn)簽的過程將不再具體贅述���。
[0034]作為本實(shí)施例的一種可選實(shí)施方式,在對讀卡請求數(shù)據(jù)包進(jìn)行安全驗(yàn)證����,安全驗(yàn)證通過后,得到身份證標(biāo)識信息之后���,還包括:身份證讀卡響應(yīng)裝置將身份證標(biāo)識信息發(fā)送至調(diào)度服務(wù)器�。調(diào)度服務(wù)器同樣設(shè)置在云認(rèn)證平臺上��。這樣���,調(diào)度服務(wù)器可以根據(jù)身份證標(biāo)識信息���、身份證讀卡終端的標(biāo)識信息以及預(yù)先設(shè)定的策略�,判斷是否將身份證讀卡終端的標(biāo)識信息加入黑名單或管控名單��。[〇〇35] 步驟S102:身份證讀卡響應(yīng)裝置生成第一認(rèn)證因子��,對第一認(rèn)證因子進(jìn)行安全處理�,得到第一數(shù)據(jù)包,并將第一數(shù)據(jù)包發(fā)送至身份證讀卡終端���;[〇〇36]本實(shí)施例中,在身份證讀卡響應(yīng)裝置接收身份證發(fā)送的身份證數(shù)據(jù)密文前��,身份證應(yīng)與身份證讀卡響應(yīng)裝置實(shí)現(xiàn)雙向認(rèn)證���,該認(rèn)證目的在于要確保身份證和身份證讀卡響應(yīng)裝置都是合法的�����。身份證讀卡響應(yīng)裝置可以利用自身生成的第一認(rèn)證因子實(shí)現(xiàn)對身份證的認(rèn)證�����,其中�,第一認(rèn)證因子可以為一個或一串隨機(jī)數(shù),或者可以為一個或一串隨機(jī)字符�����, 或者一串隨機(jī)數(shù)和隨機(jī)字符的任意組合�����。
[0037]作為本實(shí)施例的一種可選實(shí)施方式�����,第一數(shù)據(jù)包包括第一加密數(shù)據(jù)和第一簽名數(shù)據(jù);身份證讀卡響應(yīng)裝置對第一認(rèn)證因子進(jìn)行安全處理�����,包括:身份證讀卡響應(yīng)裝置使用會話密鑰對第一認(rèn)證因子進(jìn)行加密�����,得到第一加密數(shù)據(jù)��,并使用身份證讀卡響應(yīng)裝置的私鑰對第一加密數(shù)據(jù)進(jìn)行簽名��,得到第一簽名數(shù)據(jù);具體的�����,身份證讀卡響應(yīng)裝置利用HASH算法計算第一加密數(shù)據(jù)得到第一加密數(shù)據(jù)的摘要����,并利用身份證讀卡響應(yīng)裝置的私鑰對第一加密數(shù)據(jù)的摘要進(jìn)行加密,得到第一簽名數(shù)據(jù)����。身份證讀卡響應(yīng)裝置將包含第一加密數(shù)據(jù)和第一簽名數(shù)據(jù)的第一數(shù)據(jù)包發(fā)送至身份證讀卡終端。身份證讀卡響應(yīng)裝置利用會話密鑰對第一認(rèn)證因子進(jìn)行加密得到第一加密數(shù)據(jù)�,即使第三方截取第一加密數(shù)據(jù),也無法獲得第一認(rèn)證因子�����,因?yàn)榈谌經(jīng)]有該會話密鑰���,不能利用該會話密鑰對第一加密數(shù)據(jù)進(jìn)行解密, 得到第一認(rèn)證因子�,只有同樣具有該會話密鑰的身份證讀卡終端才能解密第一加密數(shù)據(jù), 因此��,可以有效防止第一認(rèn)證因子在網(wǎng)絡(luò)傳輸中被非法竊取、閱讀���,保證第一認(rèn)證因子傳輸?shù)陌踩?��。身份證讀卡響應(yīng)裝置將第一簽名數(shù)據(jù)發(fā)送至身份證讀卡終端后,身份證讀卡終端會執(zhí)行驗(yàn)簽操作�����,如果身份證讀卡終端利用身份證讀卡響應(yīng)裝置的公鑰能夠?qū)Φ谝缓灻麛?shù)據(jù)進(jìn)行解密��,則說明接收的第一簽名數(shù)據(jù)是由身份證讀卡響應(yīng)裝置發(fā)出的�����,其數(shù)據(jù)來源是合法的��;如果身份證讀卡終端利用身份證讀卡響應(yīng)裝置的公鑰不能對第一簽名數(shù)據(jù)進(jìn)行解密���,則說明接收的第一簽名數(shù)據(jù)不是由身份證讀卡響應(yīng)裝置發(fā)出的�,其數(shù)據(jù)來源是不合法的�����,因此,對第一加密數(shù)據(jù)進(jìn)行簽名可以使身份證讀卡終端確認(rèn)數(shù)據(jù)來源的合法性�����。如果第一加密數(shù)據(jù)在傳輸過程中被非法分子篡改�����,則身份證讀卡終端在驗(yàn)簽過程中�����,會對篡改后的第一加密數(shù)據(jù)進(jìn)行HASH計算得到摘要�����,該摘要與身份證讀卡終端利用身份證讀卡響應(yīng)裝置的公鑰對第一簽名數(shù)據(jù)進(jìn)行解密得到的摘要必定不同��,導(dǎo)致驗(yàn)簽無法通過�����,因此����,通過對第一加密數(shù)據(jù)進(jìn)行簽名可以防止第一加密數(shù)據(jù)被篡改,保證身份證讀卡終端接收第一加密數(shù)據(jù)的完整性���。本可選實(shí)施方式中�����,需將身份證讀卡響應(yīng)裝置的證書發(fā)送至身份證讀卡終端�����,該證書至少包括身份證讀卡響應(yīng)裝置的公鑰����,該公鑰與身份證讀卡響應(yīng)裝置的私鑰是一對非對稱密鑰��,身份證讀卡終端可以利用該公鑰對第一簽名數(shù)據(jù)進(jìn)行簽名驗(yàn)證���,當(dāng)驗(yàn)證通過后�����,再利用會話密鑰對第一加密數(shù)據(jù)進(jìn)行解密����,得到第一認(rèn)證因子,并將第一認(rèn)證因子發(fā)送至身份證��。需要說明的是���,本實(shí)施例中的簽名過程均可參見該實(shí)施方式�,下面涉及到簽名的過程將不再具體贅述���。[〇〇38]步驟S103:身份證讀卡響應(yīng)裝置接收身份證讀卡終端發(fā)送的第二數(shù)據(jù)包��,并對第二數(shù)據(jù)包進(jìn)行安全驗(yàn)證��,安全驗(yàn)證通過后���,得到第一認(rèn)證數(shù)據(jù);[〇〇39]本實(shí)施例中��,身份證接收到身份證讀卡終端發(fā)送的第一認(rèn)證因子后�,利用預(yù)先內(nèi)置的公安部授權(quán)的處理算法對第一認(rèn)證因子進(jìn)行處理,得到第一認(rèn)證數(shù)據(jù)�����,并將第一認(rèn)證數(shù)據(jù)發(fā)送至身份證讀卡終端����。身份證讀卡終端對第一認(rèn)證數(shù)據(jù)進(jìn)行安全處理,得到第二數(shù)據(jù)包�����,并將第二數(shù)據(jù)包發(fā)送至身份證讀卡響應(yīng)裝置����。其中,身份證對第一認(rèn)證因子進(jìn)行處理可以采用但不限于以下方式:方式一:身份證利用利用安全密鑰對第一認(rèn)證因子進(jìn)行MAC計算得到MAC值�����,MAC值就是第一認(rèn)證數(shù)據(jù);方式二:身份證利用安全密鑰對第一認(rèn)證因子進(jìn)行加密�����,得到第一認(rèn)證數(shù)據(jù)���,該安全密鑰是預(yù)先內(nèi)置在合法的身份證中的���,只有合法的身份證才具有該安全密鑰。
[0040]作為本實(shí)施例的一種可選實(shí)施方式,第二數(shù)據(jù)包包括第一密文和第一密文的簽名值;其中����,第一密文是由身份證讀卡終端利用會話密鑰對第一認(rèn)證數(shù)據(jù)進(jìn)行加密得到的,第一密文的簽名值是由身份證讀卡終端利用自身的第一私鑰對第一密文進(jìn)行簽名得到的���。身份證讀卡響應(yīng)裝置對第二數(shù)據(jù)包進(jìn)行安全驗(yàn)證�����,安全驗(yàn)證通過后���,得到第一認(rèn)證數(shù)據(jù),包括:身份證讀卡響應(yīng)裝置使用身份證讀卡終端的第一證書對第一密文的簽名值進(jìn)行簽名驗(yàn)證���,在驗(yàn)證通過的情況下�,使用會話密鑰對第一密文進(jìn)行解密���,得到第一認(rèn)證數(shù)據(jù)�;否則結(jié)束身份證讀卡響應(yīng)流程��。如果身份證讀卡響應(yīng)裝置利用身份證讀卡終端的第一公鑰能夠?qū)Φ谝幻芪牡暮灻颠M(jìn)行解密�,則說明接收的第一密文的簽名值是由身份證讀卡終端發(fā)出的���,其數(shù)據(jù)來源是合法的;如果身份證讀卡響應(yīng)裝置利用身份證讀卡終端的第一公鑰不能對第一密文的簽名值進(jìn)行解密����,則說明接收的第一密文的簽名值不是由身份證讀卡終端發(fā)出的�,其數(shù)據(jù)來源是不合法的,因此����,對第一密文的簽名值進(jìn)行簽名驗(yàn)證可以確認(rèn)數(shù)據(jù)來源的合法性。如果第一密文在傳輸過程中被非法分子篡改�,則身份證讀卡響應(yīng)裝置在驗(yàn)簽過程中,會對篡改后的第一密文進(jìn)行HASH計算得到摘要��,該摘要與身份證讀卡響應(yīng)裝置利用身份證讀卡終端的第一公鑰對第一密文的簽名值進(jìn)行解密得到的摘要必定不同����,導(dǎo)致驗(yàn)簽無法通過,因此�����,通過對第一密文的簽名值進(jìn)行驗(yàn)簽可以判斷第一密文是否被篡改����,保證接收的第一密文的完整性���。如果身份證讀卡響應(yīng)裝置利用自身和身份證讀卡終端才有的會話密鑰不能對接收到的第一密文進(jìn)行解密,說明該第一密文并不是身份證讀卡終端發(fā)出的����, 因此,對第一密文進(jìn)行解密可以確認(rèn)數(shù)據(jù)來源的合法性;如果第三方截取到第一密文�����,由于第三方無法獲取身份證讀卡響應(yīng)裝置和身份證讀卡終端才有的會話密鑰���,因此不能對第一密文進(jìn)行解密���,無法獲得第一認(rèn)證數(shù)據(jù),因此�,對第一密文進(jìn)行解密可以防止第一認(rèn)證數(shù)據(jù)在網(wǎng)絡(luò)傳輸中被非法竊取、閱讀����,保證第一認(rèn)證數(shù)據(jù)的傳輸安全性。[0041 ] 步驟S104:身份證讀卡響應(yīng)裝置對第一認(rèn)證數(shù)據(jù)進(jìn)行認(rèn)證�,認(rèn)證通過后�,生成認(rèn)證因子申請請求����;[〇〇42]本實(shí)施例中,身份證讀卡響應(yīng)裝置利用預(yù)先內(nèi)置的公安部授權(quán)的認(rèn)證算法對安全驗(yàn)證得到的第一認(rèn)證數(shù)據(jù)進(jìn)行認(rèn)證�,如果認(rèn)證通過,則實(shí)現(xiàn)了對身份證合法性的認(rèn)證���,即身份證是真實(shí)合法的;然后生成認(rèn)證因子申請請求��。其中���,身份證讀卡響應(yīng)裝置對第一認(rèn)證數(shù)據(jù)進(jìn)行認(rèn)證可以采用但不限于以下方式:方式一:身份證讀卡響應(yīng)裝置利用與身份證標(biāo)識信息對應(yīng)的安全密鑰對自身生成的第一認(rèn)證因子進(jìn)行計算得到MAC值��,將計算得到的MAC值與安全驗(yàn)證得到的第一認(rèn)證數(shù)據(jù)進(jìn)行比較����,如果相同�,則對第一認(rèn)證數(shù)據(jù)的認(rèn)證通過。方式二:身份證讀卡響應(yīng)裝置可以利用與身份證標(biāo)識信息對應(yīng)的安全密鑰對安全驗(yàn)證得到的第一認(rèn)證數(shù)據(jù)進(jìn)行解密�,得到認(rèn)證因子,并比較解密得到的認(rèn)證因子與自身生成的第一認(rèn)證因子是否相同�,如果相同��,則對第一認(rèn)證數(shù)據(jù)的認(rèn)證通過�。方式三:身份證讀卡響應(yīng)裝置可以利用與身份證標(biāo)識信息對應(yīng)的安全密鑰對自身生成的第一認(rèn)證因子進(jìn)行加密得到認(rèn)證數(shù)據(jù)���,并比較加密得到的認(rèn)證數(shù)據(jù)與安全驗(yàn)證得到的第一認(rèn)證數(shù)據(jù)是否相同���,如果相同,則對第一認(rèn)證數(shù)據(jù)的認(rèn)證通過�。如果身份證讀卡響應(yīng)裝置對第一認(rèn)證數(shù)據(jù)進(jìn)行的認(rèn)證通過�, 則說明身份證使用的安全密鑰與身份證讀卡響應(yīng)裝置使用的安全密鑰相同,說明身份證是合法的身份證���,身份證讀卡響應(yīng)裝置通過對第一認(rèn)證數(shù)據(jù)進(jìn)行認(rèn)證確認(rèn)了身份證的合法性。身份證讀卡響應(yīng)裝置對預(yù)設(shè)信息進(jìn)行計算得到與身份證標(biāo)識信息對應(yīng)的安全密鑰��?��?蛇x的,如果對第一認(rèn)證數(shù)據(jù)進(jìn)行的認(rèn)證沒有通過���,則結(jié)束身份證讀卡響應(yīng)流程���。[〇〇43] 步驟S105:身份證讀卡響應(yīng)裝置對認(rèn)證因子申請請求進(jìn)行安全處理,得到第三數(shù)據(jù)包��,并將第三數(shù)據(jù)包發(fā)送至身份證讀卡終端��;
[0044]作為本實(shí)施例的一種可選實(shí)施方式���,第三數(shù)據(jù)包包括第二加密數(shù)據(jù)和第二簽名數(shù)據(jù);身份證讀卡響應(yīng)裝置對認(rèn)證因子申請請求進(jìn)行安全處理��,包括:身份證讀卡響應(yīng)裝置使用會話密鑰對認(rèn)證因子申請請求進(jìn)行加密���,得到第二加密數(shù)據(jù)�����,并使用身份證讀卡響應(yīng)裝置的私鑰對第二加密數(shù)據(jù)進(jìn)行簽名���,得到第二簽名數(shù)據(jù)。身份證讀卡響應(yīng)裝置將包含第二加密數(shù)據(jù)和第二簽名數(shù)據(jù)的第三數(shù)據(jù)包發(fā)送至身份證讀卡終端�����。身份證讀卡響應(yīng)裝置利用會話密鑰對認(rèn)證因子申請請求進(jìn)行加密得到第二加密數(shù)據(jù)�,即使第三方截取第二加密數(shù)據(jù),也無法獲得認(rèn)證因子申請請求�,因?yàn)榈谌經(jīng)]有該會話密鑰,不能利用該會話密鑰對第二加密數(shù)據(jù)進(jìn)行解密�����,得到認(rèn)證因子申請請求����,只有同樣具有該會話密鑰的身份證讀卡終端才能解密第二加密數(shù)據(jù)���,因此,可以有效防止認(rèn)證因子申請請求在網(wǎng)絡(luò)傳輸中被非法竊取��、閱讀����,保證認(rèn)證因子申請請求傳輸?shù)陌踩浴I矸葑C讀卡響應(yīng)裝置將第二簽名數(shù)據(jù)發(fā)送至身份證讀卡終端后����,身份證讀卡終端會執(zhí)行驗(yàn)簽操作,如果身份證讀卡終端利用身份證讀卡響應(yīng)裝置的公鑰能夠?qū)Φ诙灻麛?shù)據(jù)進(jìn)行解密�,則說明接收的第二簽名數(shù)據(jù)是由身份證讀卡響應(yīng)裝置發(fā)出的,其數(shù)據(jù)來源是合法的����;如果身份證讀卡終端利用身份證讀卡響應(yīng)裝置的公鑰不能對第二簽名數(shù)據(jù)進(jìn)行解密���,則說明接收的第二簽名數(shù)據(jù)不是由身份證讀卡響應(yīng)裝置發(fā)出的���,其數(shù)據(jù)來源是不合法的,因此���,對第二加密數(shù)據(jù)進(jìn)行簽名可以使身份證讀卡終端確認(rèn)數(shù)據(jù)來源的合法性�。如果第二加密數(shù)據(jù)在傳輸過程中被非法分子篡改,則身份證讀卡終端在驗(yàn)簽過程中�����,會對篡改后的第二加密數(shù)據(jù)進(jìn)行HASH計算得到摘要��,該摘要與身份證讀卡終端利用身份證讀卡響應(yīng)裝置的公鑰對第二簽名數(shù)據(jù)進(jìn)行解密得到的摘要必定不同��,導(dǎo)致驗(yàn)簽無法通過��,因此��,通過對第二加密數(shù)據(jù)進(jìn)行簽名可以防止第二加密數(shù)據(jù)被篡改��,保證身份證讀卡終端接收第二加密數(shù)據(jù)的完整性�。本可選實(shí)施方式中,身份證讀卡終端可以利用身份證讀卡響應(yīng)裝置的公鑰對第二簽名數(shù)據(jù)進(jìn)行簽名驗(yàn)證����,當(dāng)驗(yàn)證通過后,再利用會話密鑰對第二加密數(shù)據(jù)進(jìn)行解密���,得到認(rèn)證因子申請請求����,并將認(rèn)證因子申請請求發(fā)送至身份證。[〇〇45]本實(shí)施例中�����,身份證接收到身份證讀卡終端發(fā)送的認(rèn)證因子申請請求��,生成第二認(rèn)證因子��,并將第二認(rèn)證因子發(fā)送至身份證讀卡終端�。身份證讀卡終端對接收到的第二認(rèn)證因子進(jìn)行安全處理��,得到第四數(shù)據(jù)包�����,并將第四數(shù)據(jù)包發(fā)送至身份證讀卡響應(yīng)裝置����。其中����,第二認(rèn)證因子可以為一個或一串隨機(jī)數(shù)��,或者可以為一個或一串隨機(jī)字符����,或者一串隨機(jī)數(shù)和隨機(jī)字符的任意組合����。身份證可以利用第二認(rèn)證因子實(shí)現(xiàn)對身份證讀卡響應(yīng)裝置的認(rèn)證。[〇〇46]步驟S106:身份證讀卡響應(yīng)裝置接收身份證讀卡終端發(fā)送的第四數(shù)據(jù)包���,并對第四數(shù)據(jù)包進(jìn)行安全驗(yàn)證�����,安全驗(yàn)證通過后��,得到第二認(rèn)證因子����;
[0047]作為本實(shí)施例的一種可選實(shí)施方式�,第四數(shù)據(jù)包包括第二密文和第二密文的簽名值;其中,第二密文是由身份證讀卡終端利用會話密鑰對第二認(rèn)證因子進(jìn)行加密得到的����,第二密文的簽名值是由身份證讀卡終端利用自身的第一私鑰對第二密文進(jìn)行簽名得到的���。身份證讀卡響應(yīng)裝置對第四數(shù)據(jù)包進(jìn)行安全驗(yàn)證,安全驗(yàn)證通過后��,得到第二認(rèn)證因子�,包括:身份證讀卡響應(yīng)裝置使用身份證讀卡終端的第一證書對第二密文的簽名值進(jìn)行簽名驗(yàn)證,在驗(yàn)證通過的情況下���,使用會話密鑰對第二密文進(jìn)行解密��,得到第二認(rèn)證因子�����;否則結(jié)束身份證讀卡響應(yīng)流程��。如果身份證讀卡響應(yīng)裝置利用身份證讀卡終端的第一公鑰能夠?qū)Φ诙芪牡暮灻颠M(jìn)行解密�����,則說明接收的第二密文的簽名值是由身份證讀卡終端發(fā)出的����,其數(shù)據(jù)來源是合法的���;如果身份證讀卡響應(yīng)裝置利用身份證讀卡終端的第一公鑰不能對第二密文的簽名值進(jìn)行解密��,則說明接收的第二密文的簽名值不是由身份證讀卡終端發(fā)出的����,其數(shù)據(jù)來源是不合法的��,因此����,對第二密文的簽名值進(jìn)行簽名驗(yàn)證可以確認(rèn)數(shù)據(jù)來源的合法性。如果第二密文在傳輸過程中被非法分子篡改�����,則身份證讀卡響應(yīng)裝置在驗(yàn)簽過程中�����,會對篡改后的第二密文進(jìn)行HASH計算得到摘要�����,該摘要與身份證讀卡響應(yīng)裝置利用身份證讀卡終端的第一公鑰對第二密文的簽名值進(jìn)行解密得到的摘要必定不同,導(dǎo)致驗(yàn)簽無法通過�����,因此��,通過對第二密文的簽名值進(jìn)行驗(yàn)簽可以判斷第二密文是否被篡改��,保證接收的第二密文的完整性�。如果身份證讀卡響應(yīng)裝置利用自身和身份證讀卡終端才有的會話密鑰不能對接收到的第二密文進(jìn)行解密,說明該第二密文并不是身份證讀卡終端發(fā)出的����, 因此,對第二密文進(jìn)行解密可以確認(rèn)數(shù)據(jù)來源的合法性;如果第三方截取到第二密文�,由于第三方無法獲取身份證讀卡響應(yīng)裝置和身份證讀卡終端才有的會話密鑰,因此不能對第二密文進(jìn)行解密�,無法獲得第二認(rèn)證因子,因此���,對第二密文進(jìn)行解密可以防止第二認(rèn)證因子在網(wǎng)絡(luò)傳輸中被非法竊取��、閱讀�,保證第二認(rèn)證因子的傳輸安全性�����。
[0048] 步驟S107:身份證讀卡響應(yīng)裝置對第二認(rèn)證因子進(jìn)行處理,得到第二認(rèn)證數(shù)據(jù)�; [〇〇49]本實(shí)施例中����,身份證讀卡響應(yīng)裝置利用預(yù)先內(nèi)置的公安部授權(quán)的處理算法對第二認(rèn)證因子進(jìn)行處理,得到第二認(rèn)證數(shù)據(jù)����。其中,身份證讀卡響應(yīng)裝置對第二認(rèn)證因子進(jìn)行處理可以采用但不限于以下方式:方式一:身份證讀卡響應(yīng)裝置利用與身份證標(biāo)識信息對應(yīng)的安全密鑰對第二認(rèn)證因子進(jìn)行MAC計算得到MAC值���,該MAC值就是第二認(rèn)證數(shù)據(jù);方式二: 身份證讀卡響應(yīng)裝置利用與身份證標(biāo)識信息對應(yīng)的安全密鑰對第二認(rèn)證因子進(jìn)行加密�����,得到第二認(rèn)證數(shù)據(jù)�����。身份證讀卡響應(yīng)裝置對預(yù)設(shè)信息進(jìn)行計算得到與身份證標(biāo)識信息對應(yīng)的安全密鑰����。
[0050]步驟S108:身份證讀卡響應(yīng)裝置對第二認(rèn)證數(shù)據(jù)進(jìn)行安全處理,得到第五數(shù)據(jù)包���, 并將第五數(shù)據(jù)包發(fā)送至身份證讀卡終端�;
[0051]作為本實(shí)施例的一種可選實(shí)施方式�,第五數(shù)據(jù)包包括第三加密數(shù)據(jù)和第三簽名數(shù)據(jù);身份證讀卡響應(yīng)裝置對第二認(rèn)證數(shù)據(jù)進(jìn)行安全處理,包括:身份證讀卡響應(yīng)裝置使用會話密鑰對第二認(rèn)證數(shù)據(jù)進(jìn)行加密�,得到第三加密數(shù)據(jù),并使用身份證讀卡響應(yīng)裝置的私鑰對第三加密數(shù)據(jù)進(jìn)行簽名��,得到第三簽名數(shù)據(jù)�����。身份證讀卡響應(yīng)裝置將包括第三加密數(shù)據(jù)和第三簽名數(shù)據(jù)的第五數(shù)據(jù)包發(fā)送至身份證讀卡終端��。身份證讀卡響應(yīng)裝置利用會話密鑰對第二認(rèn)證數(shù)據(jù)進(jìn)行加密得到第三加密數(shù)據(jù)�,即使第三方截取第三加密數(shù)據(jù),也無法獲得第二認(rèn)證數(shù)據(jù)����,因?yàn)榈谌經(jīng)]有該會話密鑰,不能利用該會話密鑰對第三加密數(shù)據(jù)進(jìn)行解密�,得到第二認(rèn)證數(shù)據(jù),只有同樣具有該會話密鑰的身份證讀卡終端才能解密第三加密數(shù)據(jù),因此�����,可以有效防止第二認(rèn)證數(shù)據(jù)在網(wǎng)絡(luò)傳輸中被非法竊取����、閱讀,保證第二認(rèn)證數(shù)據(jù)傳輸?shù)陌踩?�。身份證讀卡響應(yīng)裝置將第三簽名數(shù)據(jù)發(fā)送至身份證讀卡終端后����,身份證讀卡終端會執(zhí)行驗(yàn)簽操作���,如果身份證讀卡終端利用身份證讀卡響應(yīng)裝置的公鑰能夠?qū)Φ谌灻麛?shù)據(jù)進(jìn)行解密��,則說明接收的第三簽名數(shù)據(jù)是由身份證讀卡響應(yīng)裝置發(fā)出的���,其數(shù)據(jù)來源是合法的;如果身份證讀卡終端利用身份證讀卡響應(yīng)裝置的公鑰不能對第三簽名數(shù)據(jù)進(jìn)行解密����,則說明接收的第三簽名數(shù)據(jù)不是由身份證讀卡響應(yīng)裝置發(fā)出的,其數(shù)據(jù)來源是不合法的,因此�,對第三加密數(shù)據(jù)進(jìn)行簽名可以使身份證讀卡終端確認(rèn)數(shù)據(jù)來源的合法性。 如果第三加密數(shù)據(jù)在傳輸過程中被非法分子篡改��,則身份證讀卡終端在驗(yàn)簽過程中���,會對篡改后的第三加密數(shù)據(jù)進(jìn)行HASH計算得到摘要���,該摘要與身份證讀卡終端利用身份證讀卡響應(yīng)裝置的公鑰對第三簽名數(shù)據(jù)進(jìn)行解密得到的摘要必定不同,導(dǎo)致驗(yàn)簽無法通過����,因此, 通過對第三加密數(shù)據(jù)進(jìn)行簽名可以防止第三加密數(shù)據(jù)被篡改���,保證身份證讀卡終端接收第三加密數(shù)據(jù)的完整性��。本可選實(shí)施方式中���,身份證讀卡終端可以利用身份證讀卡響應(yīng)裝置的公鑰對第三簽名數(shù)據(jù)進(jìn)行簽名驗(yàn)證,當(dāng)驗(yàn)證通過后����,再利用會話密鑰對第三加密數(shù)據(jù)進(jìn)行解密,得到第二認(rèn)證數(shù)據(jù),并將第二認(rèn)證數(shù)據(jù)發(fā)送至身份證��。[〇〇52]本實(shí)施例中���,身份證接收到身份證讀卡終端發(fā)送的第二認(rèn)證數(shù)據(jù)后�,首先利用預(yù)先內(nèi)置的認(rèn)證算法對第二認(rèn)證數(shù)據(jù)進(jìn)行認(rèn)證��,并在認(rèn)證通過后�����,向身份證讀卡終端發(fā)送身份證數(shù)據(jù)密文�����。其中���,身份證數(shù)據(jù)密文一般是居民身份證號、姓名����、照片、年齡����、住址���、卡片使用年限和/或指紋等數(shù)據(jù)的密文。其中����,身份證對第二認(rèn)證數(shù)據(jù)進(jìn)行認(rèn)證可以采用但不限于以下方式:方式一:身份證利用內(nèi)置的安全密鑰對自身生成的第二認(rèn)證因子進(jìn)行計算得到 MAC值,將計算得到的MAC值與接收到的第二認(rèn)證數(shù)據(jù)進(jìn)行比較��,如果相同�����,則對第二認(rèn)證數(shù)據(jù)的認(rèn)證通過��。方式二:身份證可以利用內(nèi)置的安全密鑰對接收到的第二認(rèn)證數(shù)據(jù)進(jìn)行解密�����,得到認(rèn)證因子��,并比較解密得到的認(rèn)證因子與自身生成的第二認(rèn)證因子是否相同�����,如果相同,則對第二認(rèn)證數(shù)據(jù)的認(rèn)證通過�。方式三:身份證可以利用內(nèi)置的安全密鑰對自身生成的第二認(rèn)證因子進(jìn)行加密得到認(rèn)證數(shù)據(jù),并比較加密得到的認(rèn)證數(shù)據(jù)與接收到的第二認(rèn)證數(shù)據(jù)是否相同����,如果相同,則對第二認(rèn)證數(shù)據(jù)的認(rèn)證通過�����。如果身份證對第二認(rèn)證數(shù)據(jù)認(rèn)證通過��,說明身份證讀卡響應(yīng)裝置使用的安全密鑰與身份證內(nèi)置的安全密鑰相同��,說明身份證讀卡響應(yīng)裝置是合法的身份證讀卡響應(yīng)裝置���,身份證通過對第二認(rèn)證數(shù)據(jù)進(jìn)行認(rèn)證確認(rèn)了身份證讀卡響應(yīng)裝置的合法性����。作為一種可選的實(shí)施方式����,如果對第二認(rèn)證數(shù)據(jù)進(jìn)行的認(rèn)證沒有通過�����,則結(jié)束身份證讀卡響應(yīng)流程。身份證讀卡終端對接收到的身份證數(shù)據(jù)密文進(jìn)行安全處理���,得到第六數(shù)據(jù)包����,并將第六數(shù)據(jù)包發(fā)送至身份證讀卡響應(yīng)裝置����。作為一種可選的實(shí)施方式,身份證讀卡終端可以將身份證數(shù)據(jù)密文所包括的信息通過一個數(shù)據(jù)包���,一次發(fā)送到身份證讀卡響應(yīng)裝置��,當(dāng)然�,也可以將身份證數(shù)據(jù)密文所包括的信息通過多個數(shù)據(jù)包�����,分多次發(fā)送到身份證讀卡響應(yīng)裝置���。
[0053]身份證讀卡響應(yīng)裝置通過第一認(rèn)證因子確認(rèn)了身份證的合法性�,身份證通過第二認(rèn)證因子確認(rèn)了身份證讀卡響應(yīng)裝置的合法性。雙向認(rèn)證通過后�����,身份證才向身份證讀卡終端發(fā)送身份證數(shù)據(jù)密文�����。
[0054]步驟S109:身份證讀卡響應(yīng)裝置接收身份證讀卡終端發(fā)送的第六數(shù)據(jù)包��,并對第六數(shù)據(jù)包進(jìn)行安全驗(yàn)證����,安全驗(yàn)證通過后,得到身份證數(shù)據(jù)密文����;
[0055]作為本實(shí)施例的一種可選實(shí)施方式,第六數(shù)據(jù)包包括第三密文和第三密文的簽名值;其中����,第三密文是由身份證讀卡終端利用會話密鑰身份證數(shù)據(jù)密文進(jìn)行加密得到的��,第三密文的簽名值是由身份證讀卡終端利用自身的第一私鑰對第三密文進(jìn)行簽名得到的�����。身份證讀卡響應(yīng)裝置對第六數(shù)據(jù)包進(jìn)行安全驗(yàn)證,安全驗(yàn)證通過后����,得到身份證數(shù)據(jù)密文,包括:身份證讀卡響應(yīng)裝置使用身份證讀卡終端的第一證書對第三密文的簽名值進(jìn)行簽名驗(yàn)證���,在驗(yàn)證通過的情況下���,使用會話密鑰對第三密文進(jìn)行解密,得到身份證數(shù)據(jù)密文���;否則結(jié)束身份證讀卡響應(yīng)流程��。如果身份證讀卡響應(yīng)裝置利用身份證讀卡終端的第一公鑰能夠?qū)Φ谌芪牡暮灻颠M(jìn)行解密�����,則說明接收的第三密文的簽名值是由身份證讀卡終端發(fā)出的��,其數(shù)據(jù)來源是合法的�����;如果身份證讀卡響應(yīng)裝置利用身份證讀卡終端的第一公鑰不能對第三密文的簽名值進(jìn)行解密���,則說明接收的第三密文的簽名值不是由身份證讀卡終端發(fā)出的�����,其數(shù)據(jù)來源是不合法的���,因此,對第三密文的簽名值進(jìn)行簽名驗(yàn)證可以確認(rèn)數(shù)據(jù)來源的合法性�。如果第三密文在傳輸過程中被非法分子篡改,則身份證讀卡響應(yīng)裝置在驗(yàn)簽過程中��,會對篡改后的第三密文進(jìn)行HASH計算得到摘要�,該摘要與身份證讀卡響應(yīng)裝置利用身份證讀卡終端的第一公鑰對第三密文的簽名值進(jìn)行解密得到的摘要必定不同,導(dǎo)致驗(yàn)簽無法通過�����,因此���,通過對第三密文的簽名值進(jìn)行驗(yàn)簽可以判斷第三密文是否被篡改�,保證接收的第三密文的完整性。如果身份證讀卡響應(yīng)裝置利用自身和身份證讀卡終端才有的會話密鑰不能對接收到的第三密文進(jìn)行解密���,說明該第三密文并不是身份證讀卡終端發(fā)出的,因此����,對第三密文進(jìn)行解密可以確認(rèn)數(shù)據(jù)來源的合法性;如果第三方截取到第三密文,由于第三方無法獲取身份證讀卡響應(yīng)裝置和身份證讀卡終端才有的會話密鑰����,因此不能對第三密文進(jìn)行解密��,無法獲得身份證數(shù)據(jù)密文�,因此,對第三密文進(jìn)行解密可以防止身份證數(shù)據(jù)密文在網(wǎng)絡(luò)傳輸中被非法竊取���、閱讀����,保證身份證數(shù)據(jù)密文的傳輸安全性��。
[0056]步驟S110:身份證讀卡響應(yīng)裝置對身份證數(shù)據(jù)密文進(jìn)行解密���,得到身份證數(shù)據(jù)明文���;
[0057]本實(shí)施例中���,身份證數(shù)據(jù)明文一般是居民身份證號、姓名�����、照片�����、年齡�����、住址��、卡片使用年限��、指紋等數(shù)據(jù)的明文�。
[0058]本實(shí)施例中,身份證讀卡響應(yīng)裝置設(shè)置在云認(rèn)證平臺����,其包括國家密碼管理局審批的安全芯片以及負(fù)責(zé)解密身份證數(shù)據(jù)密文的公安部指定的專用產(chǎn)品(SAM模塊)��,該專用產(chǎn)品符合GA 467-2013《居民身份證驗(yàn)證安全控制模塊接口技術(shù)規(guī)范》��。
[0059]步驟Slll:身份證讀卡響應(yīng)裝置對身份證數(shù)據(jù)明文進(jìn)行安全處理����,得到第七數(shù)據(jù)包�,并將第七數(shù)據(jù)包發(fā)送至身份證讀卡終端��。
[0060]本實(shí)施例中����,身份證讀卡響應(yīng)裝置將第七數(shù)據(jù)包發(fā)送至身份證讀卡終端后,身份證讀卡響應(yīng)成功�����,結(jié)束身份證讀卡響應(yīng)流程����。
[0061]作為本實(shí)施例的一種可選實(shí)施方式,身份證讀卡響應(yīng)裝置可以將身份證數(shù)據(jù)明文所包括的信息通過一個數(shù)據(jù)包����,一次發(fā)送到身份證讀卡終端�,當(dāng)然��,也可以將身份證數(shù)據(jù)明文所包括的信息通過多個數(shù)據(jù)包����,分多次發(fā)送到身份證讀卡終端。
[0062]作為本實(shí)施例的一種可選實(shí)施方式�����,身份證讀卡響應(yīng)裝置對身份證數(shù)據(jù)明文進(jìn)行安全處理�,包括:身份證讀卡響應(yīng)裝置使用會話密鑰對身份證數(shù)據(jù)明文進(jìn)行加密,得到第四加密數(shù)據(jù)�,并使用身份證讀卡響應(yīng)裝置的私鑰對第四加密數(shù)據(jù)進(jìn)行簽名,得到第四簽名數(shù)據(jù)����。身份證讀卡響應(yīng)裝置將包括第四加密數(shù)據(jù)和第四簽名數(shù)據(jù)的第七數(shù)據(jù)包發(fā)送至身份證讀卡終端。身份證讀卡響應(yīng)裝置利用會話密鑰對身份證數(shù)據(jù)明文進(jìn)行加密得到第四加密數(shù)據(jù)��,即使第三方截取第四加密數(shù)據(jù)�,也無法獲得身份證數(shù)據(jù)明文,因?yàn)榈谌經(jīng)]有該會話密鑰����,不能利用該會話密鑰對第四加密數(shù)據(jù)進(jìn)行解密����,得到身份證數(shù)據(jù)明文�����,只有同樣具有該會話密鑰的身份證讀卡終端才能解密第四加密數(shù)據(jù)��,因此���,可以有效防止身份證數(shù)據(jù)明文在網(wǎng)絡(luò)傳輸中被非法竊取、閱讀�,保證身份證數(shù)據(jù)明文傳輸?shù)陌踩浴I矸葑C讀卡響應(yīng)裝置將第四簽名數(shù)據(jù)發(fā)送至身份證讀卡終端后����,身份證讀卡終端會執(zhí)行驗(yàn)簽操作,如果身份證讀卡終端利用身份證讀卡響應(yīng)裝置的公鑰能夠?qū)Φ谒暮灻麛?shù)據(jù)進(jìn)行解密��,則說明接收的第四簽名數(shù)據(jù)是由身份證讀卡響應(yīng)裝置發(fā)出的����,其數(shù)據(jù)來源是合法的��;如果身份證讀卡終端利用身份證讀卡響應(yīng)裝置的公鑰不能對第四簽名數(shù)據(jù)進(jìn)行解密��,則說明接收的第四簽名數(shù)據(jù)不是由身份證讀卡響應(yīng)裝置發(fā)出的��,其數(shù)據(jù)來源是不合法的�����,因此���,對第四加密數(shù)據(jù)進(jìn)行簽名可以使身份證讀卡終端確認(rèn)數(shù)據(jù)來源的合法性。如果第四加密數(shù)據(jù)在傳輸過程中被非法分子篡改�����,則身份證讀卡終端在驗(yàn)簽過程中�,會對篡改后的第四加密數(shù)據(jù)進(jìn)行HASH計算得到摘要,該摘要與身份證讀卡終端利用身份證讀卡響應(yīng)裝置的公鑰對第四簽名數(shù)據(jù)進(jìn)行解密得到的摘要必定不同����,導(dǎo)致驗(yàn)簽無法通過,因此���,通過對第四加密數(shù)據(jù)進(jìn)行簽名可以防止第四加密數(shù)據(jù)被篡改��,保證身份證讀卡終端接收第四加密數(shù)據(jù)的完整性���。本可選實(shí)施方式中�����,身份證讀卡終端可以利用身份證讀卡響應(yīng)裝置的公鑰對第四簽名數(shù)據(jù)進(jìn)行簽名驗(yàn)證��,當(dāng)驗(yàn)證通過后��,再利用會話密鑰對第四加密數(shù)據(jù)進(jìn)行解密�,得到身份證數(shù)據(jù)明文����。
[0063]本實(shí)施例中的身份證讀卡終端內(nèi)并不設(shè)置有可以對從身份證讀取的密文數(shù)據(jù)實(shí)現(xiàn)解密的身份證讀卡響應(yīng)裝置�����,而是在云認(rèn)證平臺中設(shè)置身份證讀卡響應(yīng)裝置�,身份證讀卡終端可通過接入到云認(rèn)證平臺以實(shí)現(xiàn)對身份證的讀取,大大降低了用戶的實(shí)現(xiàn)成本����,特別是在銀行����、車站�����、保險等需要執(zhí)行身份證信息讀取操作的行業(yè)���,只需部署相應(yīng)數(shù)量的身份證讀卡終端即可����,無需再次大量部署身份證讀卡響應(yīng)裝置����,也無需大量設(shè)置身份證讀卡響應(yīng)裝置與身份證讀卡終端之間的對應(yīng)關(guān)系,簡化了實(shí)現(xiàn)方案�����。同時����,在云認(rèn)證平臺設(shè)置身份證讀卡響應(yīng)裝置,身份證讀卡響應(yīng)裝置對身份證讀卡終端發(fā)來的身份證相關(guān)數(shù)據(jù)進(jìn)行安全驗(yàn)證����,再對身份證相關(guān)數(shù)據(jù)進(jìn)行相應(yīng)處理��,生成響應(yīng)數(shù)據(jù)����,并對響應(yīng)數(shù)據(jù)進(jìn)行安全處理�,再將處理過的數(shù)據(jù)發(fā)送至身份證讀卡終端,因此身份證讀卡響應(yīng)裝置與身份證讀卡終端之間建立了安全通道���,通過該安全通道可以提高身份證與身份證讀卡響應(yīng)裝置之間通訊的安全性��,保證身份證數(shù)據(jù)的傳輸安全���。并且,身份證和身份證讀卡響應(yīng)裝置通過第一認(rèn)證因子和第二認(rèn)證因子的交互完成了雙向認(rèn)證�����,身份證讀卡響應(yīng)裝置對身份證數(shù)據(jù)密文進(jìn)行解密以得到身份證數(shù)據(jù)明文��,并發(fā)送給身份證讀卡終端��,以完成身份證的讀取��。
[0064]本實(shí)施例中����,如圖2所示,在步驟SlOI中對讀卡請求數(shù)據(jù)包進(jìn)行安全驗(yàn)證之前���,需要獲取會話密鑰���,因此,作為本實(shí)施例的一種可選實(shí)施方式����,本實(shí)施例提供的身份證讀卡響應(yīng)方法還可以包括以下步驟(步驟S201-S205):
[0065]步驟S201:身份證讀卡響應(yīng)裝置接收身份證讀卡終端發(fā)送的會話密鑰請求數(shù)據(jù)包,其中��,會話密鑰請求數(shù)據(jù)包包括第一隨機(jī)因子�、第一隨機(jī)因子的簽名值和身份證讀卡終端的第一證書;
[0066]本可選實(shí)施方式中�,第一隨機(jī)因子的簽名值是身份證讀卡終端利用自身的第一私鑰進(jìn)行簽名得到的。第一隨機(jī)因子可以為一個或一串隨機(jī)數(shù)�����,或者可以為一個或一串隨機(jī)字符,或者一串隨機(jī)數(shù)和隨機(jī)字符的任意組合�����。
[0067]步驟202:身份證讀卡響應(yīng)裝置對第一證書的合法性進(jìn)行驗(yàn)證�����,在驗(yàn)證通過后�����,使用第一證書對第一隨機(jī)因子的簽名值進(jìn)行簽名驗(yàn)證���,在簽名驗(yàn)證通過的情況下�����,生成第二隨機(jī)因子��;
[0068]本可選實(shí)施方式中����,身份證讀卡響應(yīng)裝置利用根證書對身份證讀卡終端的第一證書進(jìn)行驗(yàn)證����,如果驗(yàn)證通過,則說明身份證讀卡終端的第一證書是合法的�。
[0069]本可選實(shí)施方式中,如果身份證讀卡響應(yīng)裝置利用身份證讀卡終端的第一公鑰能夠?qū)Φ谝浑S機(jī)因子的簽名值進(jìn)行解密�,則說明接收的第一隨機(jī)因子的簽名值是由身份證讀卡終端發(fā)出的,其數(shù)據(jù)來源是合法的���;如果身份證讀卡響應(yīng)裝置利用身份證讀卡終端的第一公鑰不能對第一隨機(jī)因子的簽名值進(jìn)行解密��,則說明接收的第一隨機(jī)因子的簽名值不是由身份證讀卡終端發(fā)出的�,其數(shù)據(jù)來源是不合法的����,因此,對第一隨機(jī)因子的簽名值進(jìn)行簽名驗(yàn)證可以確認(rèn)數(shù)據(jù)來源的合法性���。如果第一隨機(jī)因子在傳輸過程中被非法分子篡改�����,則身份證讀卡響應(yīng)裝置在驗(yàn)簽過程中��,會對篡改后的第一隨機(jī)因子進(jìn)行HASH計算得到摘要��,該摘要與身份證讀卡響應(yīng)裝置利用身份證讀卡終端的第一公鑰對第一隨機(jī)因子的簽名值進(jìn)行解密得到的摘要必定不同����,導(dǎo)致驗(yàn)簽無法通過,因此����,通過對第一隨機(jī)因子的簽名值進(jìn)行驗(yàn)簽可以判斷第一隨機(jī)因子是否被篡改,保證接收的第一隨機(jī)因子的完整性��。
[0070]本可選實(shí)施方式中��,第二隨機(jī)因子可以為一個或一串隨機(jī)數(shù)����,或者可以為一個或一串隨機(jī)字符,或者一串隨機(jī)數(shù)和隨機(jī)字符的任意組合�����。
[0071]可選的�,若身份證讀卡響應(yīng)裝置對第一隨機(jī)因子的簽名值的驗(yàn)簽沒有通過,則結(jié)束會話密鑰請求響應(yīng)流程���。
[0072]本可選實(shí)施方式中�,在步驟S202生成第二隨機(jī)因子之后,還包括:
[0073]步驟205:身份證讀卡響應(yīng)裝置根據(jù)第一隨機(jī)因子和第二隨機(jī)因子生成會話密鑰��。
[0074]本可選實(shí)施方式中���,身份證讀卡響應(yīng)裝置利用預(yù)設(shè)算法對第一隨機(jī)因子和第二隨機(jī)因子生成會話密鑰。
[0075]步驟203:身份證讀卡響應(yīng)裝置對第一隨機(jī)因子和第二隨機(jī)因子進(jìn)行加密��,得到第五加密數(shù)據(jù)��,并使用身份證讀卡響應(yīng)裝置的私鑰對第五加密數(shù)據(jù)進(jìn)行簽名��,得到第五簽名數(shù)據(jù)�;
[0076]本可選實(shí)施方式中,身份證讀卡響應(yīng)裝置利用身份證讀卡終端的第一證書對第一隨機(jī)因子和第二隨機(jī)因子進(jìn)行加密���,得到第五加密數(shù)據(jù)��。身份證讀卡響應(yīng)裝置利用會話密鑰對第一隨機(jī)因子和第二隨機(jī)因子進(jìn)行加密得到第五加密數(shù)據(jù)���,即使第三方截取第五加密數(shù)據(jù),也無法獲得第一隨機(jī)因子和第二隨機(jī)因子�,因?yàn)榈谌經(jīng)]有該會話密鑰,不能利用該會話密鑰對第五加密數(shù)據(jù)進(jìn)行解密�,得到第一隨機(jī)因子和第二隨機(jī)因子�����,只有同樣具有該會話密鑰的身份證讀卡終端才能解密第五加密數(shù)據(jù)����,因此��,可以有效防止第一隨機(jī)因子和第二隨機(jī)因子在網(wǎng)絡(luò)傳輸中被非法竊取��、閱讀����,保證第一隨機(jī)因子和第二隨機(jī)因子傳輸?shù)陌踩浴I矸葑C讀卡響應(yīng)裝置將第五簽名數(shù)據(jù)發(fā)送至身份證讀卡終端后�����,身份證讀卡終端會執(zhí)行驗(yàn)簽操作���,如果身份證讀卡終端利用身份證讀卡響應(yīng)裝置的公鑰能夠?qū)Φ谖搴灻麛?shù)據(jù)進(jìn)行解密�,則說明接收的第五簽名數(shù)據(jù)是由身份證讀卡響應(yīng)裝置發(fā)出的���,其數(shù)據(jù)來源是合法的��;如果身份證讀卡終端利用身份證讀卡響應(yīng)裝置的公鑰不能對第五簽名數(shù)據(jù)進(jìn)行解密�����,則說明接收的第五簽名數(shù)據(jù)不是由身份證讀卡響應(yīng)裝置發(fā)出的�,其數(shù)據(jù)來源是不合法的,因此��,對第五加密數(shù)據(jù)進(jìn)行簽名可以使身份證讀卡終端確認(rèn)數(shù)據(jù)來源的合法性�����。如果第五加密數(shù)據(jù)在傳輸過程中被非法分子篡改���,則身份證讀卡終端在驗(yàn)簽過程中,會對篡改后的第五加密數(shù)據(jù)進(jìn)行HASH計算得到摘要�,該摘要與身份證讀卡終端利用身份證讀卡響應(yīng)裝置的公鑰對第五簽名數(shù)據(jù)進(jìn)行解密得到的摘要必定不同,導(dǎo)致驗(yàn)簽無法通過���,因此,通過對第五加密數(shù)據(jù)進(jìn)行簽名可以防止第五加密數(shù)據(jù)被篡改�,保證身份證讀卡終端接收第五加密數(shù)據(jù)的完整性。
[0077]步驟204:身份證讀卡響應(yīng)裝置將第八數(shù)據(jù)包發(fā)送至身份證讀卡終端����,其中�����,第八數(shù)據(jù)包包括第五加密數(shù)據(jù)����、第五簽名數(shù)據(jù)和身份證讀卡響應(yīng)裝置的證書���;
[0078]本可選實(shí)施方式中����,身份證讀卡終端接收到第八數(shù)據(jù)包后����,利用身份證讀卡響應(yīng)裝置的公鑰對第五簽名數(shù)據(jù)進(jìn)行簽名驗(yàn)證,在驗(yàn)證通過后�����,利用身份證讀卡終端的第一私鑰對第五加密數(shù)據(jù)進(jìn)行解密���,得到第一隨機(jī)因子和第二隨機(jī)因子��,將解密得到的第一隨機(jī)因子與自身生成的第一隨機(jī)因子進(jìn)行比較���,如果相同�,則說明身份證讀卡響應(yīng)裝置已接收到第一隨機(jī)因子并且身份證讀卡響應(yīng)裝置接收的第一隨機(jī)因子與身份證讀卡終端生成的第一隨機(jī)因子相同����,身份證讀卡終端利用與步驟S205中的預(yù)設(shè)算法相同的算法對第一隨機(jī)因子和第二隨機(jī)因子進(jìn)行計算,生成與身份證讀卡響應(yīng)裝置的會話密鑰相同的會話密鑰����,這樣���,身份證讀卡響應(yīng)裝置與身份證讀卡終端可以通過該會話密鑰建立安全通道來進(jìn)行身份證的相關(guān)數(shù)據(jù)傳輸���,能夠提高數(shù)據(jù)傳輸?shù)陌踩?如果不相同,則說明身份證讀卡響應(yīng)裝置接收的第一隨機(jī)因子與身份證讀卡終端生成的第一隨機(jī)因子是不同的�,身份證讀卡終端和身份證讀卡響應(yīng)裝置利用相同的預(yù)設(shè)算法對各自的第一隨機(jī)因子和第二隨機(jī)因子計算得到不相同的兩個會話密鑰,身份證讀卡終端和身份證讀卡響應(yīng)裝置均不能解密對方發(fā)來的加密數(shù)據(jù)�。
[0079]作為本實(shí)施例的一種可選實(shí)施方式,在步驟SlOl中接收身份證讀卡終端發(fā)送的讀卡請求數(shù)據(jù)包之前��,還可以進(jìn)行身份證尋卡請求操作的響應(yīng)��,如圖3所示,主要包括以下步驟(S301至S305):
[0080]步驟S301:身份證讀卡響應(yīng)裝置接收身份證讀卡終端發(fā)送的尋卡請求數(shù)據(jù)包�,其中,尋卡請求數(shù)據(jù)包包括尋卡請求數(shù)據(jù)密文����、尋卡請求數(shù)據(jù)密文的簽名值以及身份證讀卡終端的第一證書和第二證書;
[0081]本可選實(shí)施方式中����,尋卡請求數(shù)據(jù)密文是由身份證讀卡終端利用認(rèn)證加密密鑰對尋卡請求數(shù)據(jù)進(jìn)行加密得到的,尋卡請求數(shù)據(jù)密文的簽名值是由身份證讀卡終端利用自身的第一私鑰對尋卡請求數(shù)據(jù)密文進(jìn)行簽名得到的���。
[0082]可選的��,第一證書和第二證書可以是相同的證書�,也可以是不同的證書�。
[0083]可選的,尋卡請求數(shù)據(jù)包括時間戳和/或終端計數(shù)器;在使用獲取的認(rèn)證解密密鑰對尋卡請求數(shù)據(jù)密文進(jìn)行解密����,得到尋卡請求數(shù)據(jù)之后,還包括:將時間戳和/或終端計數(shù)器發(fā)送至調(diào)度服務(wù)器�����。調(diào)度服務(wù)器可以根據(jù)時間戳、終端計數(shù)器等信息進(jìn)行身份證讀卡終端的頻度管控和黑名單自動捕獲���,并將可疑的身份證讀卡終端加入黑名單��。
[0084]可選的�,在身份證讀卡響應(yīng)裝置接收身份證讀卡終端發(fā)送的尋卡請求數(shù)據(jù)包之前����,調(diào)度服務(wù)器會接收身份證讀卡終端的接入云認(rèn)證平臺的請求,獲取身份證讀卡終端的標(biāo)識信息�,根據(jù)身份證讀卡終端的標(biāo)識信息判斷是否允許身份證讀卡終端讀取身份證;在確定允許身份證讀卡終端讀取身份證的情況下,在接收到身份證讀卡終端發(fā)送的尋卡請求數(shù)據(jù)包后����,向云認(rèn)證平臺的云認(rèn)證數(shù)據(jù)庫發(fā)送工作狀態(tài)查詢請求�����;云認(rèn)證數(shù)據(jù)庫接收調(diào)度服務(wù)器發(fā)送的工作狀態(tài)查詢請求���,查詢調(diào)度服務(wù)器的管轄范圍內(nèi)的各個身份證讀卡響應(yīng)裝置的工作狀態(tài)��,并將查詢結(jié)果發(fā)送至調(diào)度服務(wù)器����;調(diào)度服務(wù)器接收云認(rèn)證數(shù)據(jù)庫發(fā)送的查詢結(jié)果,并根據(jù)查詢結(jié)果�����,選擇一個工作狀態(tài)為空閑的身份證讀卡響應(yīng)裝置����,將選擇的身份證讀卡響應(yīng)裝置的標(biāo)識信息發(fā)送至身份證讀卡終端。其中����,調(diào)度服務(wù)器可以通過以下方式判斷是否允許身份證讀卡終端讀取身份證:身份證讀卡終端的標(biāo)識信息包括第一證書和第二證書;可以利用根證書對第一證書的合法性進(jìn)行驗(yàn)證,若驗(yàn)證通過��,則允許身份證讀卡終端讀取身份證;若驗(yàn)證不通過��,則不允許身份證讀卡終端讀取身份證;和/或可以利用根證書對第二證書的合法性進(jìn)行驗(yàn)證���,若驗(yàn)證通過��,則允許身份證讀卡終端讀取身份證;若驗(yàn)證不通過�����,則不允許身份證讀卡終端讀取身份證��。
[0085]可選的���,在選擇一個工作狀態(tài)為空閑的身份證讀卡響應(yīng)裝置之后���,調(diào)度服務(wù)器會生成鑒權(quán)碼,將鑒權(quán)碼分別發(fā)送至身份證讀卡終端和云認(rèn)證數(shù)據(jù)庫�����;云認(rèn)證數(shù)據(jù)庫存儲鑒權(quán)碼�����,并在鑒權(quán)碼的有效期到達(dá)時���,刪除鑒權(quán)碼;尋卡請求數(shù)據(jù)包還包括鑒權(quán)碼密文,身份證讀卡響應(yīng)裝置對鑒權(quán)碼密文進(jìn)行解密��,得到鑒權(quán)碼�����,查詢云認(rèn)證數(shù)據(jù)庫中是否存儲有鑒權(quán)碼,若存儲有���,則繼續(xù)執(zhí)行操作�����,否則結(jié)束流程�。具體的��,在分配端口給工作狀態(tài)空閑的身份證讀卡響應(yīng)裝置之后��,調(diào)度服務(wù)器將生成的鑒權(quán)碼分別發(fā)送到身份證讀卡終端和云認(rèn)證數(shù)據(jù)庫中進(jìn)行存儲���,身份證讀卡終端利用認(rèn)證加密密鑰對該鑒權(quán)碼進(jìn)行加密�����,得到鑒權(quán)碼密文;身份證讀卡響應(yīng)裝置利用認(rèn)證解密密鑰對該鑒權(quán)碼密文進(jìn)行解密�,得到鑒權(quán)碼��,向云認(rèn)證數(shù)據(jù)庫發(fā)送查詢請求���,查詢云認(rèn)證數(shù)據(jù)庫中是否存儲有該鑒權(quán)碼���,若存儲有�����,則生成尋卡請求響應(yīng)數(shù)據(jù)��,否則結(jié)束尋卡響應(yīng)流程���。其中,該鑒權(quán)碼具有時效性���,當(dāng)超過預(yù)定時長時�,云認(rèn)證數(shù)據(jù)庫就會刪除存儲的鑒權(quán)碼����,鑒權(quán)碼失效,上述查詢操作失敗�,終止交易響應(yīng),因此�����,設(shè)置鑒權(quán)碼能夠識別交易是否合法���,從而判定是否繼續(xù)交易響應(yīng)����,保證身份證讀卡響應(yīng)流程的安全性�����。該鑒權(quán)碼可以為一個或一串隨機(jī)數(shù)����,或者可以為一個或一串隨機(jī)字符,或者一串隨機(jī)數(shù)和隨機(jī)字符的任意組合����,在本實(shí)施例中不作具體限定。
[0086]步驟S302:身份證讀卡響應(yīng)裝置對第一證書的合法性進(jìn)行驗(yàn)證����,在驗(yàn)證通過后,使用第一證書對尋卡請求數(shù)據(jù)密文的簽名值進(jìn)行簽名驗(yàn)證�����,在簽名驗(yàn)證通過的情況下,使用獲取的認(rèn)證解密密鑰對尋卡請求數(shù)據(jù)密文進(jìn)行解密�,得到尋卡請求數(shù)據(jù);
[0087]本可選實(shí)施方式中�,身份證讀卡響應(yīng)裝置利用根證書對身份證讀卡終端的第一證書進(jìn)行驗(yàn)證,如果驗(yàn)證通過����,則說明身份證讀卡終端的第一證書是合法的。
[0088]本可選實(shí)施方式中���,如果身份證讀卡響應(yīng)裝置利用身份證讀卡終端的第一公鑰能夠?qū)たㄕ埱髷?shù)據(jù)密文的簽名值進(jìn)行解密�,則說明接收的尋卡請求數(shù)據(jù)密文的簽名值是由身份證讀卡終端發(fā)出的���;如果身份證讀卡響應(yīng)裝置利用身份證讀卡終端的第一公鑰不能對尋卡請求數(shù)據(jù)密文的簽名值進(jìn)行解密���,則說明接收的尋卡請求數(shù)據(jù)密文的簽名值不是由身份證讀卡終端發(fā)出的,因此���,對尋卡請求數(shù)據(jù)密文的簽名值進(jìn)行簽名驗(yàn)證可以確認(rèn)數(shù)據(jù)來源的合法性����。如果尋卡請求數(shù)據(jù)密文在傳輸過程中被非法分子篡改,則身份證讀卡響應(yīng)裝置在驗(yàn)簽過程中���,會對篡改后的尋卡請求數(shù)據(jù)密文進(jìn)行HASH計算得到摘要����,該摘要與身份證讀卡響應(yīng)裝置利用身份證讀卡終端的第一公鑰對尋卡請求數(shù)據(jù)密文的簽名值進(jìn)行解密得到的摘要必定不同����,導(dǎo)致驗(yàn)簽無法通過����,因此,通過對尋卡請求數(shù)據(jù)密文的簽名值進(jìn)行驗(yàn)簽可以判斷尋卡請求數(shù)據(jù)密文是否被篡改���,保證接收的尋卡請求數(shù)據(jù)密文的完整性���。如果身份證讀卡響應(yīng)裝置利用自身和身份證讀卡終端才有的會話密鑰不能對接收到的尋卡請求數(shù)據(jù)密文進(jìn)行解密,說明該尋卡請求數(shù)據(jù)密文并不是身份證讀卡終端發(fā)出的�����,因此���,對尋卡請求數(shù)據(jù)密文進(jìn)行解密可以確認(rèn)數(shù)據(jù)來源的合法性;如果第三方截取到尋卡請求數(shù)據(jù)密文��,由于第三方無法獲取身份證讀卡響應(yīng)裝置和身份證讀卡終端才有的會話密鑰�����,因此不能對尋卡請求數(shù)據(jù)密文進(jìn)行解密�����,無法獲得尋卡請求數(shù)據(jù)�,因此,對尋卡請求數(shù)據(jù)密文進(jìn)行解密可以防止尋卡請求數(shù)據(jù)在網(wǎng)絡(luò)傳輸中被非法竊取��、閱讀���,并正確讀取尋卡請求數(shù)據(jù)���。
[0089]本可選實(shí)施方式中,身份證讀卡響應(yīng)裝置要解密尋卡請求數(shù)據(jù)密文�,需要獲取認(rèn)證解密密鑰,該認(rèn)證解密密鑰可以與上述認(rèn)證加密密鑰為相同的密鑰�����,即對稱密鑰。獲取認(rèn)證解密密鑰可以采用但不限于以下方式:方式一:認(rèn)證解密密鑰預(yù)先內(nèi)置在身份證讀卡響應(yīng)裝置中�,認(rèn)證加密密鑰也預(yù)先內(nèi)置在身份證讀卡終端中。方式二:身份證讀卡響應(yīng)裝置獲取認(rèn)證解密密鑰密文和云認(rèn)證數(shù)據(jù)庫的保護(hù)密鑰�,其中,認(rèn)證解密密鑰密文是云認(rèn)證數(shù)據(jù)庫的保護(hù)密鑰對各個身份證讀卡終端的認(rèn)證加密密鑰進(jìn)行加密得到的�����,身份證讀卡響應(yīng)裝置利用該保護(hù)密鑰對認(rèn)證解密密鑰密文進(jìn)行解密��,得到認(rèn)證解密密鑰���。在首次接收到身份證讀卡終端利用認(rèn)證加密密鑰加密的數(shù)據(jù)后,身份證讀卡響應(yīng)裝置利用認(rèn)證解密密鑰對接收到的身份證讀卡終端首次發(fā)送的數(shù)據(jù)進(jìn)行解密��,保證身份證讀卡響應(yīng)裝置與身份證讀卡終端的傳輸數(shù)據(jù)的安全性;在本實(shí)施例中����,尋卡請求數(shù)據(jù)密文為身份證讀卡終端首次發(fā)送的數(shù)據(jù)。
[°09°]步驟S303:身份證讀卡響應(yīng)裝置對尋卡請求數(shù)據(jù)進(jìn)行響應(yīng)��,生成尋卡請求響應(yīng)數(shù)據(jù)�;
[0091]步驟S304:身份證讀卡響應(yīng)裝置使用會話密鑰對尋卡請求響應(yīng)數(shù)據(jù)進(jìn)行加密,得到第六加密數(shù)據(jù)����,使用第二證書對會話密鑰進(jìn)行加密����,得到會話密鑰密文�����,并使用身份證讀卡響應(yīng)裝置的私鑰對第六加密數(shù)據(jù)和會話密鑰密文進(jìn)行簽名���,得到第六簽名數(shù)據(jù)����;
[0092]本可選實(shí)施方式中����,會話密鑰可以采用但不限于以下方式進(jìn)行獲取:方式一:身份證讀卡響應(yīng)裝置隨機(jī)生成會話密鑰,會話密鑰為隨機(jī)因子;可選的�����,會話密鑰可以為一個或一串隨機(jī)數(shù)��,或者可以為一個或一串隨機(jī)字符��,或者一串隨機(jī)數(shù)和隨機(jī)字符的任意組合;會話密鑰作為隨機(jī)產(chǎn)生的密鑰,不易被非法分子竊取���。方式二:在身份證讀卡響應(yīng)裝置內(nèi)部預(yù)先設(shè)置會話密鑰����。方式三:身份證讀卡響應(yīng)裝置與身份證讀卡終端通過協(xié)商產(chǎn)生協(xié)商密鑰�����,將協(xié)商密鑰作為會話密鑰��,具體協(xié)商方法可采用現(xiàn)有的協(xié)商方式�����,本實(shí)施例中不作具體限定�。
[0093]本可選實(shí)施方式中���,身份證讀卡響應(yīng)裝置利用會話密鑰對尋卡請求響應(yīng)數(shù)據(jù)進(jìn)行加密得到第六加密數(shù)據(jù),即使第三方截取第六加密數(shù)據(jù)�,也無法獲得尋卡請求響應(yīng)數(shù)據(jù),因?yàn)榈谌經(jīng)]有該會話密鑰��,不能利用該會話密鑰對第六加密數(shù)據(jù)進(jìn)行解密,得到尋卡請求響應(yīng)數(shù)據(jù)�,只有同樣具有該會話密鑰的身份證讀卡終端才能解密第六加密數(shù)據(jù),因此�����,可以有效防止尋卡請求響應(yīng)數(shù)據(jù)在網(wǎng)絡(luò)傳輸中被非法竊取���、閱讀����,保證尋卡請求響應(yīng)數(shù)據(jù)傳輸?shù)陌踩?���。身份證讀卡響應(yīng)裝置將第六簽名數(shù)據(jù)發(fā)送至身份證讀卡終端后,身份證讀卡終端會執(zhí)行驗(yàn)簽操作��,如果身份證讀卡終端利用身份證讀卡響應(yīng)裝置的公鑰能夠?qū)Φ诹灻麛?shù)據(jù)進(jìn)行解密�,則說明接收的第六簽名數(shù)據(jù)是由身份證讀卡響應(yīng)裝置發(fā)出的����,其數(shù)據(jù)來源是合法的;如果身份證讀卡終端利用身份證讀卡響應(yīng)裝置的公鑰不能對第六簽名數(shù)據(jù)進(jìn)行解密���,則說明接收的第六簽名數(shù)據(jù)不是由身份證讀卡響應(yīng)裝置發(fā)出的�,其數(shù)據(jù)來源是不合法的,因此�,對第六加密數(shù)據(jù)進(jìn)行簽名可以使身份證讀卡終端確認(rèn)數(shù)據(jù)來源的合法性。如果第六加密數(shù)據(jù)在傳輸過程中被非法分子篡改���,則身份證讀卡終端在驗(yàn)簽過程中����,會對篡改后的第六加密數(shù)據(jù)進(jìn)行HASH計算得到摘要�,該摘要與身份證讀卡終端利用身份證讀卡響應(yīng)裝置的公鑰對第六簽名數(shù)據(jù)進(jìn)行解密得到的摘要必定不同�����,導(dǎo)致驗(yàn)簽無法通過�,因此���,通過對第六加密數(shù)據(jù)進(jìn)行簽名可以防止第六加密數(shù)據(jù)被篡改,保證身份證讀卡終端接收第六加密數(shù)據(jù)的完整性�����。
[0094]本可選實(shí)施方式中,身份證讀卡響應(yīng)裝置只利用認(rèn)證解密密鑰對身份證讀卡終端首次發(fā)來的數(shù)據(jù)(例如本實(shí)施例的尋卡請求數(shù)據(jù)包)進(jìn)行解密處理��,而利用新獲取的會話密鑰對后續(xù)發(fā)送或接收的數(shù)據(jù)進(jìn)行加/解密處理�����,這樣�,可以與身份證讀卡終端建立數(shù)據(jù)安全通道,提高數(shù)據(jù)傳輸安全性�����。
[0095]步驟S305:身份證讀卡響應(yīng)裝置將尋卡請求響應(yīng)數(shù)據(jù)包發(fā)送至身份證讀卡終端�����,其中���,尋卡請求響應(yīng)數(shù)據(jù)包包括第六加密數(shù)據(jù)和第六簽名數(shù)據(jù)���。
[0096]本可選實(shí)施方式中,身份證讀卡終端在接收到身份證讀卡響應(yīng)裝置發(fā)來的尋卡請求響應(yīng)數(shù)據(jù)包后��,利用身份證讀卡響應(yīng)裝置的證書對第六簽名數(shù)據(jù)進(jìn)行簽名驗(yàn)證�����,在驗(yàn)證通過后���,利用身份證讀卡終端的第二私鑰(該第二私鑰與身份證讀卡終端的第二證書中的第二公鑰是一對非對稱密鑰)對會話密鑰密文進(jìn)行解密,得到會話密鑰�,再利用會話密鑰對第六加密數(shù)據(jù)進(jìn)行解密,得到尋卡請求響應(yīng)數(shù)據(jù);存儲該會話密鑰��,之后就可以通過會話密鑰建立安全通道��,與身份證讀卡響應(yīng)裝置進(jìn)行身份證的相關(guān)數(shù)據(jù)傳輸�����,保證數(shù)據(jù)傳輸?shù)陌踩浴?br>[0097]本實(shí)施例中��,身份證讀卡響應(yīng)裝置可以直接通過有線網(wǎng)絡(luò)或無線網(wǎng)絡(luò)與身份證讀卡終端直接進(jìn)行通信����,也可以通過調(diào)度服務(wù)器發(fā)送或接收與身份證讀卡終端的通信數(shù)據(jù)��。如果身份證讀卡響應(yīng)裝置不具有通訊接口��,則需要通過第三方�,例如調(diào)度服務(wù)器,進(jìn)行通信數(shù)據(jù)的轉(zhuǎn)發(fā)或轉(zhuǎn)接�����,而不直接與身份證讀卡終端進(jìn)行通信。當(dāng)通過調(diào)度服務(wù)器接收包含簽名數(shù)據(jù)的通信數(shù)據(jù)時��,如果通信數(shù)據(jù)中包含簽名數(shù)據(jù)�,可以由調(diào)度服務(wù)器對身份證讀卡終端發(fā)來的數(shù)據(jù)進(jìn)行簽名驗(yàn)證��,也可以由身份證讀卡響應(yīng)裝置進(jìn)行簽名驗(yàn)證����,在本實(shí)施例中不作限定����。
[0098]實(shí)施例2
[0099]圖4為本發(fā)明實(shí)施例提供的一種身份證讀卡響應(yīng)裝置的結(jié)構(gòu)示意圖。如圖4所示���,本實(shí)施例提供的身份證讀卡響應(yīng)裝置主要包括:接收模塊401��,用于接收身份證讀卡終端發(fā)送的讀卡請求數(shù)據(jù)包;安全驗(yàn)證模塊402�,用于對讀卡請求數(shù)據(jù)包進(jìn)行安全驗(yàn)證,安全驗(yàn)證通過后�,得到身份證標(biāo)識信息;第一生成模塊403�,用于生成第一認(rèn)證因子;安全處理模塊404�����,用于對第一認(rèn)證因子進(jìn)行安全處理����,得到第一數(shù)據(jù)包;發(fā)送模塊405,用于將第一數(shù)據(jù)包發(fā)送至身份證讀卡終端;接收模塊401��,還用于接收身份證讀卡終端發(fā)送的第二數(shù)據(jù)包���;安全驗(yàn)證模塊402���,還用于對第二數(shù)據(jù)包進(jìn)行安全驗(yàn)證����,安全驗(yàn)證通過后,得到第一認(rèn)證數(shù)據(jù)�����;第二生成模塊406���,用于對第一認(rèn)證數(shù)據(jù)進(jìn)行認(rèn)證���,認(rèn)證通過后,生成認(rèn)證因子申請請求;安全處理模塊404�,還用于對認(rèn)證因子申請請求進(jìn)行安全處理,得到第三數(shù)據(jù)包;發(fā)送模塊405����,還用于將第三數(shù)據(jù)包發(fā)送至身份證讀卡終端;接收模塊401,還用于接收身份證讀卡終端發(fā)送的第四數(shù)據(jù)包�;安全驗(yàn)證模塊402,還用于對第四數(shù)據(jù)包進(jìn)行安全驗(yàn)證�����,安全驗(yàn)證通過后,得到第二認(rèn)證因子;認(rèn)證處理模塊407�,用于對第二認(rèn)證因子進(jìn)行處理,得到第二認(rèn)證數(shù)據(jù);安全處理模塊404�,還用于對第二認(rèn)證數(shù)據(jù)進(jìn)行安全處理,得到第五數(shù)據(jù)包;發(fā)送模塊405����,還用于將第五數(shù)據(jù)包發(fā)送至身份證讀卡終端;接收模塊401,還用于接收身份證讀卡終端發(fā)送的第六數(shù)據(jù)包��;安全驗(yàn)證模塊402�����,還用于對第六數(shù)據(jù)包進(jìn)行安全驗(yàn)證����,安全驗(yàn)證通過后,得到身份證數(shù)據(jù)密文;解密模塊408���,用于對身份證數(shù)據(jù)密文進(jìn)行解密�,得到身份證數(shù)據(jù)明文;安全處理模塊404����,還用于對身份證數(shù)據(jù)明文進(jìn)行安全處理�����,得到第七數(shù)據(jù)包;發(fā)送模塊405����,還用于將第七數(shù)據(jù)包發(fā)送至身份證讀卡終端��。
[0100]本實(shí)施例中��,身份證讀卡響應(yīng)裝置設(shè)置在云認(rèn)證平臺���,其包括國家密碼管理局審批的安全芯片以及負(fù)責(zé)解密身份證數(shù)據(jù)密文的公安部指定的專用產(chǎn)品,該專用產(chǎn)品符合GA467-2013《居民身份證驗(yàn)證安全控制模塊接口技術(shù)規(guī)范》����。
[0101]本實(shí)施例中,身份證標(biāo)識信息是標(biāo)識身份證的唯一信息����,例如身份證的序列號、用于指示身份證中設(shè)置的應(yīng)用的相關(guān)信息的應(yīng)用數(shù)據(jù)����、傳輸協(xié)議(例如���,傳輸協(xié)議類型、比特數(shù)率����、最大幀長度)等,身份證讀卡終端可以直接識別該身份證標(biāo)識信息��,不需要身份證讀卡響應(yīng)裝置進(jìn)行解密����。
[0102]作為本實(shí)施例的一種可選實(shí)施方式,讀卡請求數(shù)據(jù)包包括讀卡請求數(shù)據(jù)密文和讀卡請求數(shù)據(jù)密文的簽名值;其中����,讀卡請求數(shù)據(jù)密文是身份證讀卡終端利用會話密鑰對包含身份證標(biāo)識信息的讀卡請求數(shù)據(jù)進(jìn)行加密得到的,讀卡請求數(shù)據(jù)密文的簽名值是身份證讀卡終端利用自身的第一私鑰對讀卡請求數(shù)據(jù)密文進(jìn)行簽名得到的����;具體的,身份證讀卡終端利用HASH算法計算讀卡請求數(shù)據(jù)密文得到讀卡請求數(shù)據(jù)密文的摘要��,并利用身份證讀卡終端的第一私鑰對讀卡請求數(shù)據(jù)密文的摘要進(jìn)行加密�����,得到讀卡請求數(shù)據(jù)密文的簽名值。安全驗(yàn)證模塊402����,通過以下方式對讀卡請求數(shù)據(jù)包進(jìn)行安全驗(yàn)證,安全驗(yàn)證通過后�,得到身份證標(biāo)識信息:使用身份證讀卡終端的第一證書對讀卡請求數(shù)據(jù)密文的簽名值進(jìn)行簽名驗(yàn)證,在驗(yàn)證通過的情況下����,使用會話密鑰對讀卡請求數(shù)據(jù)密文進(jìn)行解密�����,得到身份證標(biāo)識信息;具體的���,安全驗(yàn)證模塊402先利用身份證讀卡終端的第一證書對讀卡請求數(shù)據(jù)密文的簽名值進(jìn)行解密����,得到讀卡請求數(shù)據(jù)密文的摘要�����,利用HASH算法對接收到的讀卡請求數(shù)據(jù)密文進(jìn)行計算得到讀卡請求數(shù)據(jù)密文的摘要,將解密得到的讀卡請求數(shù)據(jù)密文的摘要與計算得到的讀卡請求數(shù)據(jù)密文的摘要進(jìn)行比較���,如果相同��,則驗(yàn)簽通過�,否則結(jié)束身份證讀卡響應(yīng)流程;在驗(yàn)證通過的情況下����,使用會話密鑰對讀卡請求數(shù)據(jù)密文進(jìn)行解密,得到身份證標(biāo)識信息���。其中��,第一證書至少包括身份證讀卡終端的第一公鑰�,身份證讀卡終端的第一公鑰與身份證讀卡終端的第一私鑰是一對非對稱密鑰�����。如果安全驗(yàn)證模塊402利用身份證讀卡終端的第一公鑰能夠?qū)ψx卡請求數(shù)據(jù)密文的簽名值進(jìn)行解密��,則說明接收的讀卡請求數(shù)據(jù)密文的簽名值是由身份證讀卡終端發(fā)出的���,其數(shù)據(jù)來源是合法的�����;如果安全驗(yàn)證模塊402利用身份證讀卡終端的第一公鑰不能對讀卡請求數(shù)據(jù)密文的簽名值進(jìn)行解密�����,則說明接收的讀卡請求數(shù)據(jù)密文的簽名值不是由身份證讀卡終端發(fā)出的�����,其數(shù)據(jù)來源是不合法的�,因此,對讀卡請求數(shù)據(jù)密文的簽名值進(jìn)行簽名驗(yàn)證可以確認(rèn)數(shù)據(jù)來源的合法性�����。如果讀卡請求數(shù)據(jù)密文在傳輸過程中被非法分子篡改�����,則安全驗(yàn)證模塊402在驗(yàn)簽過程中��,會對篡改后的讀卡請求數(shù)據(jù)密文進(jìn)行HASH計算得到摘要�,該摘要與安全驗(yàn)證模塊402利用身份證讀卡終端的第一公鑰對讀卡請求數(shù)據(jù)密文的簽名值進(jìn)行解密得到的摘要必定不同��,導(dǎo)致驗(yàn)簽無法通過,因此�����,通過對讀卡請求數(shù)據(jù)密文的簽名值進(jìn)行驗(yàn)簽可以判斷讀卡請求數(shù)據(jù)密文是否被篡改�,保證接收的讀卡請求數(shù)據(jù)密文的完整性。如果安全驗(yàn)證模塊402利用身份證讀卡響應(yīng)裝置和身份證讀卡終端才有的會話密鑰不能對接收到的讀卡請求數(shù)據(jù)密文進(jìn)行解密�����,則說明該讀卡請求數(shù)據(jù)密文并不是身份證讀卡終端發(fā)出的�����,因此���,對讀卡請求數(shù)據(jù)密文進(jìn)行解密可以確認(rèn)數(shù)據(jù)來源的合法性;如果第三方截取到讀卡請求數(shù)據(jù)密文����,由于第三方無法獲取身份證讀卡響應(yīng)裝置和身份證讀卡終端才有的會話密鑰��,因此不能對讀卡請求數(shù)據(jù)密文進(jìn)行解密���,無法獲得讀卡請求數(shù)據(jù)�����,因此�,對讀卡請求數(shù)據(jù)密文進(jìn)行解密可以防止讀卡請求數(shù)據(jù)在網(wǎng)絡(luò)傳輸中被非法竊取、閱讀��,保證讀卡請求數(shù)據(jù)的傳輸安全性�。需要說明的是,本實(shí)施例中的驗(yàn)簽過程均可參見該實(shí)施方式����,下面涉及到驗(yàn)簽的過程將不再具體贅述。
[0103]作為本實(shí)施例的一種可選實(shí)施方式�����,發(fā)送模塊405�,還用于在安全驗(yàn)證模塊402對讀卡請求數(shù)據(jù)包進(jìn)行安全驗(yàn)證,安全驗(yàn)證通過后�����,得到身份證標(biāo)識信息之后�����,將身份證標(biāo)識信息發(fā)送至調(diào)度服務(wù)器��。其中��,調(diào)度服務(wù)器同樣設(shè)置在云認(rèn)證平臺上���。這樣����,調(diào)度服務(wù)器可以根據(jù)身份證標(biāo)識信息����、身份證讀卡終端的標(biāo)識信息以及預(yù)先設(shè)定的策略,判斷是否將身份證讀卡終端的標(biāo)識信息加入黑名單或管控名單��。
[0104]本實(shí)施例中�,在身份證讀卡響應(yīng)裝置接收身份證發(fā)送的身份證數(shù)據(jù)密文前,身份證應(yīng)與身份證讀卡響應(yīng)裝置實(shí)現(xiàn)雙向認(rèn)證�,該認(rèn)證目的在于要確保身份證和身份證讀卡響應(yīng)裝置都是合法的。身份證讀卡響應(yīng)裝置可以利用第一認(rèn)證因子實(shí)現(xiàn)對身份證的認(rèn)證��,其中����,第一認(rèn)證因子可以為一個或一串隨機(jī)數(shù)���,或者可以為一個或一串隨機(jī)字符,或者一串隨機(jī)數(shù)和隨機(jī)字符的任意組合���。需要說明的是��,本實(shí)施例中第一認(rèn)證因子由身份證讀卡響應(yīng)裝置生成并發(fā)送給身份證���。
[0105]作為本實(shí)施例的一種可選實(shí)施方式,第一數(shù)據(jù)包包括第一加密數(shù)據(jù)和第一簽名數(shù)據(jù);安全處理模塊404�,通過以下方式對第一認(rèn)證因子進(jìn)行安全處理,得到第一數(shù)據(jù)包:使用會話密鑰對第一認(rèn)證因子進(jìn)行加密�,得到第一加密數(shù)據(jù),并使用身份證讀卡響應(yīng)裝置的私鑰對第一加密數(shù)據(jù)進(jìn)行簽名���,得到第一簽名數(shù)據(jù);具體的���,安全處理模塊404利用HASH算法計算第一加密數(shù)據(jù)得到第一加密數(shù)據(jù)的摘要,并利用身份證讀卡響應(yīng)裝置的私鑰對第一加密數(shù)據(jù)的摘要進(jìn)行加密�,得到第一簽名數(shù)據(jù)。發(fā)送模塊405將包含第一加密數(shù)據(jù)和第一簽名數(shù)據(jù)的第一數(shù)據(jù)包發(fā)送至身份證讀卡終端����。安全處理模塊404利用會話密鑰對第一認(rèn)證因子進(jìn)行加密得到第一加密數(shù)據(jù),即使第三方截取第一加密數(shù)據(jù)�,也無法獲得第一認(rèn)證因子,因?yàn)榈谌經(jīng)]有該會話密鑰����,不能利用該會話密鑰對第一加密數(shù)據(jù)進(jìn)行解密,得到第一認(rèn)證因子����,只有同樣具有該會話密鑰的身份證讀卡終端才能解密第一加密數(shù)據(jù),因此���,可以有效防止第一認(rèn)證因子在網(wǎng)絡(luò)傳輸中被非法竊取��、閱讀����,保證第一認(rèn)證因子傳輸?shù)陌踩?。發(fā)送模塊405將第一簽名數(shù)據(jù)發(fā)送至身份證讀卡終端后,身份證讀卡終端會執(zhí)行驗(yàn)簽操作��,如果身份證讀卡終端利用身份證讀卡響應(yīng)裝置的公鑰能夠?qū)Φ谝缓灻麛?shù)據(jù)進(jìn)行解密�����,則說明接收的第一簽名數(shù)據(jù)是由身份證讀卡響應(yīng)裝置發(fā)出的,其數(shù)據(jù)來源是合法的�;如果身份證讀卡終端利用身份證讀卡響應(yīng)裝置的公鑰不能對第一簽名數(shù)據(jù)進(jìn)行解密,則說明接收的第一簽名數(shù)據(jù)不是由身份證讀卡響應(yīng)裝置發(fā)出的����,其數(shù)據(jù)來源是不合法的,因此���,對第一加密數(shù)據(jù)進(jìn)行簽名可以使身份證讀卡終端確認(rèn)數(shù)據(jù)來源的合法性����。如果第一加密數(shù)據(jù)在傳輸過程中被非法分子篡改����,則身份證讀卡終端在驗(yàn)簽過程中,會對篡改后的第一加密數(shù)據(jù)進(jìn)行HASH計算得到摘要,該摘要與身份證讀卡終端利用身份證讀卡響應(yīng)裝置的公鑰對第一簽名數(shù)據(jù)進(jìn)行解密得到的摘要必定不同,導(dǎo)致驗(yàn)簽無法通過����,因此�,通過對第一加密數(shù)據(jù)進(jìn)行簽名可以防止第一加密數(shù)據(jù)被篡改,保證身份證讀卡終端接收第一加密數(shù)據(jù)的完整性。本可選實(shí)施方式中���,需將身份證讀卡響應(yīng)裝置的證書發(fā)送至身份證讀卡終端���,該證書至少包括身份證讀卡響應(yīng)裝置的公鑰��,該公鑰與身份證讀卡響應(yīng)裝置的私鑰是一對非對稱密鑰,身份證讀卡終端可以利用該公鑰對第一簽名數(shù)據(jù)進(jìn)行簽名驗(yàn)證�����,當(dāng)驗(yàn)證通過后���,再利用會話密鑰對第一加密數(shù)據(jù)進(jìn)行解密���,得到第一認(rèn)證因子����,并將第一認(rèn)證因子發(fā)送至身份證����。需要說明的是��,本實(shí)施例中的簽名過程均可參見該實(shí)施方式,下面涉及到簽名的過程將不再具體贅述���。
[0106]本實(shí)施例中����,身份證接收到身份證讀卡終端發(fā)送的第一認(rèn)證因子后�����,利用預(yù)先內(nèi)置的公安部授權(quán)的處理算法對第一認(rèn)證因子進(jìn)行處理��,得到第一認(rèn)證數(shù)據(jù)����,并將第一認(rèn)證數(shù)據(jù)發(fā)送至身份證讀卡終端。身份證讀卡終端對第一認(rèn)證數(shù)據(jù)進(jìn)行安全處理�,得到第二數(shù)據(jù)包,并將第二數(shù)據(jù)包發(fā)送至身份證讀卡響應(yīng)裝置�。其中,身份證對第一認(rèn)證因子進(jìn)行處理可以采用但不限于以下方式:方式一:身份證利用利用安全密鑰對第一認(rèn)證因子進(jìn)行MAC計算得到MAC值���,MAC值就是第一認(rèn)證數(shù)據(jù);方式二:身份證利用安全密鑰對第一認(rèn)證因子進(jìn)行加密�����,得到第一認(rèn)證數(shù)據(jù)���,該安全密鑰是預(yù)先內(nèi)置在合法的身份證中的,只有合法的身份證才具有該安全密鑰��。
[0107]作為本實(shí)施例的一種可選實(shí)施方式��,第二數(shù)據(jù)包包括第一密文和第一密文的簽名值;其中,第一密文是由身份證讀卡終端利用會話密鑰對第一認(rèn)證數(shù)據(jù)進(jìn)行加密得到的����,第一密文的簽名值是由身份證讀卡終端利用自身的第一私鑰對第一密文進(jìn)行簽名得到的。安全驗(yàn)證模塊402���,通過以下方式對第二數(shù)據(jù)包進(jìn)行安全驗(yàn)證�����,安全驗(yàn)證通過后��,得到第一認(rèn)證數(shù)據(jù):使用身份證讀卡終端的第一證書對第一密文的簽名值進(jìn)行簽名驗(yàn)證�,在驗(yàn)證通過的情況下�,使用會話密鑰對第一密文進(jìn)行解密,得到第一認(rèn)證數(shù)據(jù);否則結(jié)束身份證讀卡響應(yīng)流程����。如果安全驗(yàn)證模塊402利用身份證讀卡終端的第一公鑰能夠?qū)Φ谝幻芪牡暮灻颠M(jìn)行解密,則說明接收的第一密文的簽名值是由身份證讀卡終端發(fā)出的�,其數(shù)據(jù)來源是合法的;如果安全驗(yàn)證模塊402利用身份證讀卡終端的第一公鑰不能對第一密文的簽名值進(jìn)行解密����,則說明接收的第一密文的簽名值不是由身份證讀卡終端發(fā)出的,其數(shù)據(jù)來源是不合法的�,因此,對第一密文的簽名值進(jìn)行簽名驗(yàn)證可以確認(rèn)數(shù)據(jù)來源的合法性�。如果第一密文在傳輸過程中被非法分子篡改,則安全驗(yàn)證模塊402在驗(yàn)簽過程中�,會對篡改后的第一密文進(jìn)行HASH計算得到摘要,該摘要與安全驗(yàn)證模塊402利用身份證讀卡終端的第一公鑰對第一密文的簽名值進(jìn)行解密得到的摘要必定不同�����,導(dǎo)致驗(yàn)簽無法通過���,因此��,通過對第一密文的簽名值進(jìn)行驗(yàn)簽可以判斷第一密文是否被篡改�����,保證接收的第一密文的完整性��。如果安全驗(yàn)證模塊402利用身份證讀卡響應(yīng)裝置和身份證讀卡終端才有的會話密鑰不能對接收到的第一密文進(jìn)行解密�����,說明該第一密文并不是身份證讀卡終端發(fā)出的�,因此,對第一密文進(jìn)行解密可以確認(rèn)數(shù)據(jù)來源的合法性���;如果第三方截取到第一密文���,由于第三方無法獲取身份證讀卡響應(yīng)裝置和身份證讀卡終端才有的會話密鑰,因此不能對第一密文進(jìn)行解密��,無法獲得第一認(rèn)證數(shù)據(jù)��,因此�,對第一密文進(jìn)行解密可以防止第一認(rèn)證數(shù)據(jù)在網(wǎng)絡(luò)傳輸中被非法竊取、閱讀�����,保證第一認(rèn)證數(shù)據(jù)的傳輸安全性�����。
[0108]本實(shí)施例中�����,身份證讀卡響應(yīng)裝置利用預(yù)先內(nèi)置的公安部授權(quán)的認(rèn)證算法對安全驗(yàn)證得到的第一認(rèn)證數(shù)據(jù)進(jìn)行認(rèn)證,如果認(rèn)證通過��,則實(shí)現(xiàn)了對身份證合法性的認(rèn)證�,即身份證是真實(shí)合法的;然后生成認(rèn)證因子申請請求�����,并將認(rèn)證因子申請請求發(fā)送至身份證讀卡響應(yīng)裝置���。其中,身份證讀卡響應(yīng)裝置對第一認(rèn)證數(shù)據(jù)進(jìn)行認(rèn)證可以采用但不限于以下方式:方式一:身份證讀卡響應(yīng)裝置利用與身份證標(biāo)識信息對應(yīng)的安全密鑰對自身生成的第一認(rèn)證因子進(jìn)行計算得到MAC值���,將計算得到的MAC值與安全驗(yàn)證得到的第一認(rèn)證數(shù)據(jù)進(jìn)行比較�,如果相同��,則對第一認(rèn)證數(shù)據(jù)的認(rèn)證通過����。方式二:身份證讀卡響應(yīng)裝置可以利用與身份證標(biāo)識信息對應(yīng)的安全密鑰對安全驗(yàn)證得到的第一認(rèn)證數(shù)據(jù)進(jìn)行解密,得到認(rèn)證因子��,并比較解密得到的認(rèn)證因子與自身生成的第一認(rèn)證因子是否相同�,如果相同,則對第一認(rèn)證數(shù)據(jù)的認(rèn)證通過。方式三:身份證讀卡響應(yīng)裝置可以利用與身份證標(biāo)識信息對應(yīng)的安全密鑰對自身生成的第一認(rèn)證因子進(jìn)行加密得到認(rèn)證數(shù)據(jù)�����,并比較加密得到的認(rèn)證數(shù)據(jù)與安全驗(yàn)證得到的第一認(rèn)證數(shù)據(jù)是否相同���,如果相同�����,則對第一認(rèn)證數(shù)據(jù)的認(rèn)證通過�。如果身份證讀卡響應(yīng)裝置對第一認(rèn)證數(shù)據(jù)進(jìn)行的認(rèn)證通過���,則說明身份證使用的安全密鑰與身份證讀卡響應(yīng)裝置使用的安全密鑰相同��,說明身份證是合法的身份證����,身份證讀卡響應(yīng)裝置通過對第一認(rèn)證數(shù)據(jù)進(jìn)行認(rèn)證確認(rèn)了身份證的合法性��。身份證讀卡響應(yīng)裝置對預(yù)設(shè)信息進(jìn)行計算得到與身份證標(biāo)識信息對應(yīng)的安全密鑰���?��?蛇x的����,如果對第一認(rèn)證數(shù)據(jù)進(jìn)行的認(rèn)證沒有通過���,則結(jié)束身份證讀卡響應(yīng)流程����。
[0109]作為本實(shí)施例的一種可選實(shí)施方式��,第三數(shù)據(jù)包包括第二加密數(shù)據(jù)和第二簽名數(shù)據(jù);安全處理模塊404���,通過以下方式對認(rèn)證因子申請請求進(jìn)行安全處理,得到第三數(shù)據(jù)包:使用會話密鑰對認(rèn)證因子申請請求進(jìn)行加密�����,得到第二加密數(shù)據(jù)���,并使用身份證讀卡響應(yīng)裝置的私鑰對第二加密數(shù)據(jù)進(jìn)行簽名���,得到第二簽名數(shù)據(jù);發(fā)送模塊405將包含第二加密數(shù)據(jù)和第二簽名數(shù)據(jù)的第三數(shù)據(jù)包發(fā)送至身份證讀卡終端�����。安全處理模塊404利用會話密鑰對認(rèn)證因子申請請求進(jìn)行加密得到第二加密數(shù)據(jù)���,即使第三方截取第二加密數(shù)據(jù),也無法獲得認(rèn)證因子申請請求�����,因?yàn)榈谌經(jīng)]有該會話密鑰���,不能利用該會話密鑰對第二加密數(shù)據(jù)進(jìn)行解密�����,得到認(rèn)證因子申請請求�,只有同樣具有該會話密鑰的身份證讀卡終端才能解密第二加密數(shù)據(jù)�,因此,可以有效防止認(rèn)證因子申請請求在網(wǎng)絡(luò)傳輸中被非法竊取���、閱讀��,保證認(rèn)證因子申請請求傳輸?shù)陌踩?����。發(fā)送模塊405將第二簽名數(shù)據(jù)發(fā)送至身份證讀卡終端后�����,身份證讀卡終端會執(zhí)行驗(yàn)簽操作�,如果身份證讀卡終端利用身份證讀卡響應(yīng)裝置的公鑰能夠?qū)Φ诙灻麛?shù)據(jù)進(jìn)行解密,則說明接收的第二簽名數(shù)據(jù)是由身份證讀卡響應(yīng)裝置發(fā)出的�,其數(shù)據(jù)來源是合法的;如果身份證讀卡終端利用身份證讀卡響應(yīng)裝置的公鑰不能對第二簽名數(shù)據(jù)進(jìn)行解密����,則說明接收的第二簽名數(shù)據(jù)不是由身份證讀卡響應(yīng)裝置發(fā)出的����,其數(shù)據(jù)來源是不合法的,因此��,對第二加密數(shù)據(jù)進(jìn)行簽名可以使身份證讀卡終端確認(rèn)數(shù)據(jù)來源的合法性��。如果第二加密數(shù)據(jù)在傳輸過程中被非法分子篡改��,則身份證讀卡終端在驗(yàn)簽過程中�����,會對篡改后的第二加密數(shù)據(jù)進(jìn)行HASH計算得到摘要,該摘要與身份證讀卡終端利用身份證讀卡響應(yīng)裝置的公鑰對第二簽名數(shù)據(jù)進(jìn)行解密得到的摘要必定不同���,導(dǎo)致驗(yàn)簽無法通過�����,因此����,通過對第二加密數(shù)據(jù)進(jìn)行簽名可以防止第二加密數(shù)據(jù)被篡改����,保證身份證讀卡終端接收第二加密數(shù)據(jù)的完整性。本可選實(shí)施方式中����,身份證讀卡終端可以利用身份證讀卡響應(yīng)裝置的公鑰對第二簽名數(shù)據(jù)進(jìn)行簽名驗(yàn)證,當(dāng)驗(yàn)證通過后�,再利用會話密鑰對第二加密數(shù)據(jù)進(jìn)行解密,得到認(rèn)證因子申請請求���,并將認(rèn)證因子申請請求發(fā)送至身份證����。
[0110]本實(shí)施例中,身份證接收到身份證讀卡終端發(fā)送的認(rèn)證因子申請請求���,生成第二認(rèn)證因子����,并將第二認(rèn)證因子發(fā)送至身份證讀卡終端�����。身份證讀卡終端對接收到的第二認(rèn)證因子進(jìn)行安全處理��,得到第四數(shù)據(jù)包����,并將第四數(shù)據(jù)包發(fā)送至身份證讀卡響應(yīng)裝置����。其中,第二認(rèn)證因子可以為一個或一串隨機(jī)數(shù)��,或者可以為一個或一串隨機(jī)字符����,或者一串隨機(jī)數(shù)和隨機(jī)字符的任意組合��。身份證可以利用第二認(rèn)證因子實(shí)現(xiàn)對身份證讀卡響應(yīng)裝置的認(rèn)證�����。
[0111]作為本實(shí)施例的一種可選實(shí)施方式�����,第四數(shù)據(jù)包包括第二密文和第二密文的簽名值;其中�����,第二密文是由身份證讀卡終端利用會話密鑰對二認(rèn)證因子進(jìn)行加密得到的���,第二密文的簽名值是由身份證讀卡終端利用自身的第一私鑰對第二密文進(jìn)行簽名得到的。安全驗(yàn)證模塊402�,通過以下方式對第四數(shù)據(jù)包進(jìn)行安全驗(yàn)證,安全驗(yàn)證通過后�,得到第二認(rèn)證因子:使用身份證讀卡終端的第一證書對第二密文的簽名值進(jìn)行簽名驗(yàn)證,在驗(yàn)證通過的情況下���,使用會話密鑰對第二密文進(jìn)行解密��,得到第二認(rèn)證因子;否則結(jié)束身份證讀卡響應(yīng)流程����。如果安全驗(yàn)證模塊402利用身份證讀卡終端的第一公鑰能夠?qū)Φ诙芪牡暮灻颠M(jìn)行解密,則說明接收的第二密文的簽名值是由身份證讀卡終端發(fā)出的���,其數(shù)據(jù)來源是合法的�����;如果安全驗(yàn)證模塊402利用身份證讀卡終端的第一公鑰不能對第二密文的簽名值進(jìn)行解密���,則說明接收的第二密文的簽名值不是由身份證讀卡終端發(fā)出的,其數(shù)據(jù)來源是不合法的�,因此,對第二密文的簽名值進(jìn)行簽名驗(yàn)證可以確認(rèn)數(shù)據(jù)來源的合法性�����。如果第二密文在傳輸過程中被非法分子篡改��,則安全驗(yàn)證模塊402在驗(yàn)簽過程中��,會對篡改后的第二密文進(jìn)行HASH計算得到摘要�,該摘要與安全驗(yàn)證模塊402利用身份證讀卡終端的第一公鑰對第二密文的簽名值進(jìn)行解密得到的摘要必定不同,導(dǎo)致驗(yàn)簽無法通過�,因此,通過對第二密文的簽名值進(jìn)行驗(yàn)簽可以判斷第二密文是否被篡改�,保證接收的第二密文的完整性。如果安全驗(yàn)證模塊402利用身份證讀卡響應(yīng)裝置和身份證讀卡終端才有的會話密鑰不能對接收到的第二密文進(jìn)行解密���,說明該第二密文并不是身份證讀卡終端發(fā)出的���,因此,對第二密文進(jìn)行解密可以確認(rèn)數(shù)據(jù)來源的合法性;如果第三方截取到第二密文�,由于第三方無法獲取身份證讀卡響應(yīng)裝置和身份證讀卡終端才有的會話密鑰,因此不能對第二密文進(jìn)行解密���,無法獲得第二認(rèn)證因子�,因此��,對第二密文進(jìn)行解密可以防止第二認(rèn)證因子在網(wǎng)絡(luò)傳輸中被非法竊取��、閱讀�����,保證第二認(rèn)證因子的傳輸安全性。
[0112]本實(shí)施例中����,認(rèn)證處理模塊407利用預(yù)先內(nèi)置的公安部授權(quán)的處理算法對安全驗(yàn)證得到的第二認(rèn)證因子進(jìn)行處理,得到第二認(rèn)證數(shù)據(jù)���。其中�����,認(rèn)證處理模塊407對第二認(rèn)證因子進(jìn)行處理可以采用但不限于以下方式:方式一:認(rèn)證處理模塊407利用與身份證標(biāo)識信息對應(yīng)的安全密鑰對第二認(rèn)證因子進(jìn)行MAC計算得到MAC值���,該MAC值就是第二認(rèn)證數(shù)據(jù);方式二:認(rèn)證處理模塊407利用與身份證標(biāo)識信息對應(yīng)的安全密鑰對第二認(rèn)證因子進(jìn)行加密,得到第二認(rèn)證數(shù)據(jù)���。身份證讀卡響應(yīng)裝置對預(yù)設(shè)信息進(jìn)行計算得到與身份證標(biāo)識信息對應(yīng)的安全密鑰����。
[0113]作為本實(shí)施例的一種可選實(shí)施方式���,第五數(shù)據(jù)包包括第三加密數(shù)據(jù)和第三簽名數(shù)據(jù);安全處理模塊404��,通過以下方式對第二認(rèn)證數(shù)據(jù)進(jìn)行安全處理���,得到第五數(shù)據(jù)包:使用會話密鑰對第二認(rèn)證數(shù)據(jù)進(jìn)行加密,得到第三加密數(shù)據(jù)�����,并使用身份證讀卡響應(yīng)裝置的私鑰對第三加密數(shù)據(jù)進(jìn)行簽名���,得到第三簽名數(shù)據(jù);發(fā)送模塊405將包括第三加密數(shù)據(jù)和第三簽名數(shù)據(jù)的第五數(shù)據(jù)包發(fā)送至身份證讀卡終端��。安全處理模塊404利用會話密鑰對第二認(rèn)證數(shù)據(jù)進(jìn)行加密得到第三加密數(shù)據(jù)�����,即使第三方截取第三加密數(shù)據(jù)���,也無法獲得第二認(rèn)證數(shù)據(jù),因?yàn)榈谌經(jīng)]有該會話密鑰���,不能利用該會話密鑰對第三加密數(shù)據(jù)進(jìn)行解密���,得到第二認(rèn)證數(shù)據(jù),只有同樣具有該會話密鑰的身份證讀卡終端才能解密第三加密數(shù)據(jù)����,因此�,可以有效防止第二認(rèn)證數(shù)據(jù)在網(wǎng)絡(luò)傳輸中被非法竊取��、閱讀�,保證第二認(rèn)證數(shù)據(jù)傳輸?shù)陌踩浴0l(fā)送模塊405將第三簽名數(shù)據(jù)發(fā)送至身份證讀卡終端后�,身份證讀卡終端會執(zhí)行驗(yàn)簽操作,如果身份證讀卡終端利用身份證讀卡響應(yīng)裝置的公鑰能夠?qū)Φ谌灻麛?shù)據(jù)進(jìn)行解密����,則說明接收的第三簽名數(shù)據(jù)是由身份證讀卡響應(yīng)裝置發(fā)出的,其數(shù)據(jù)來源是合法的��;如果身份證讀卡終端利用身份證讀卡響應(yīng)裝置的公鑰不能對第三簽名數(shù)據(jù)進(jìn)行解密���,則說明接收的第三簽名數(shù)據(jù)不是由身份證讀卡響應(yīng)裝置發(fā)出的�,其數(shù)據(jù)來源是不合法的����,因此,對第三加密數(shù)據(jù)進(jìn)行簽名可以使身份證讀卡終端確認(rèn)數(shù)據(jù)來源的合法性���。如果第三加密數(shù)據(jù)在傳輸過程中被非法分子篡改�����,則身份證讀卡終端在驗(yàn)簽過程中��,會對篡改后的第三加密數(shù)據(jù)進(jìn)行HASH計算得到摘要��,該摘要與身份證讀卡終端利用身份證讀卡響應(yīng)裝置的公鑰對第三簽名數(shù)據(jù)進(jìn)行解密得到的摘要必定不同����,導(dǎo)致驗(yàn)簽無法通過�����,因此����,通過對第三加密數(shù)據(jù)進(jìn)行簽名可以防止第三加密數(shù)據(jù)被篡改,保證身份證讀卡終端接收第三加密數(shù)據(jù)的完整性�。本可選實(shí)施方式中,身份證讀卡終端可以利用身份證讀卡響應(yīng)裝置的公鑰對第三簽名數(shù)據(jù)進(jìn)行簽名驗(yàn)證���,當(dāng)驗(yàn)證通過后����,再利用會話密鑰對第三加密數(shù)據(jù)進(jìn)行解密,得到第二認(rèn)證數(shù)據(jù)�����,并將第二認(rèn)證數(shù)據(jù)發(fā)送至身份證�����。
[0114]本實(shí)施例中�����,身份證接收到身份證讀卡終端發(fā)送的第二認(rèn)證數(shù)據(jù)后����,首先利用預(yù)先內(nèi)置的認(rèn)證算法對第二認(rèn)證數(shù)據(jù)進(jìn)行認(rèn)證,并在認(rèn)證通過后���,向身份證讀卡終端發(fā)送身份證數(shù)據(jù)密文����。其中��,身份證數(shù)據(jù)密文一般是居民身份證號、姓名�����、照片��、年齡�����、住址���、卡片使用年限和/或指紋等數(shù)據(jù)的密文���。其中�����,身份證對第二認(rèn)證數(shù)據(jù)進(jìn)行認(rèn)證可以采用但不限于以下方式:方式一:身份證利用內(nèi)置的安全密鑰對自身生成的第二認(rèn)證因子進(jìn)行計算得到MAC值��,將計算得到的MAC值與安全驗(yàn)證得到的第二認(rèn)證數(shù)據(jù)進(jìn)行比較���,如果相同,則對第二認(rèn)證數(shù)據(jù)的認(rèn)證通過�。方式二:身份證可以利用內(nèi)置的安全密鑰對安全驗(yàn)證得到的第二認(rèn)證數(shù)據(jù)進(jìn)行解密�,得到認(rèn)證因子�����,并比較解密得到的認(rèn)證因子與自身生成的第二認(rèn)證因子是否相同���,如果相同����,則對第二認(rèn)證數(shù)據(jù)的認(rèn)證通過�����。方式三:身份證可以利用內(nèi)置的安全密鑰對自身生成的第二認(rèn)證因子進(jìn)行加密得到認(rèn)證數(shù)據(jù)�,并比較加密得到的認(rèn)證數(shù)據(jù)與安全驗(yàn)證得到的第二認(rèn)證數(shù)據(jù)是否相同,如果相同�����,則對第二認(rèn)證數(shù)據(jù)的認(rèn)證通過�。如果身份證對第二認(rèn)證數(shù)據(jù)認(rèn)證通過�����,說明身份證讀卡響應(yīng)裝置使用的安全密鑰與身份證內(nèi)置的安全密鑰相同,說明身份證讀卡響應(yīng)裝置是合法的身份證讀卡響應(yīng)裝置�,身份證通過對第二認(rèn)證數(shù)據(jù)進(jìn)行認(rèn)證確認(rèn)了身份證讀卡響應(yīng)裝置的合法性。作為一種可選的實(shí)施方式�����,如果對第二認(rèn)證數(shù)據(jù)進(jìn)行的認(rèn)證沒有通過��,則結(jié)束身份證讀卡響應(yīng)流程�。身份證讀卡終端對身份證數(shù)據(jù)密文進(jìn)行安全處理��,得到第六數(shù)據(jù)包�,并將第六數(shù)據(jù)包發(fā)送至身份證讀卡響應(yīng)裝置���。作為一種可選的實(shí)施方式��,身份證讀卡終端可以將身份證數(shù)據(jù)密文所包括的信息通過一個數(shù)據(jù)包�����,一次發(fā)送到身份證讀卡響應(yīng)裝置���,當(dāng)然��,也可以將身份證數(shù)據(jù)密文所包括的信息通過多個數(shù)據(jù)包����,分多次發(fā)送到身份證讀卡響應(yīng)裝置��。
[0115]身份證讀卡響應(yīng)裝置通過第一認(rèn)證因子確認(rèn)了身份證的合法性���,身份證通過第二認(rèn)證因子確認(rèn)了身份證讀卡響應(yīng)裝置的合法性�����。雙向認(rèn)證通過后���,身份證才向身份證讀卡終端發(fā)送身份證數(shù)據(jù)密文。
[0116]作為本實(shí)施例的一種可選實(shí)施方式�,第六數(shù)據(jù)包包括第三密文和第三密文的簽名值;其中,第三密文是由身份證讀卡終端利用會話密鑰身份證數(shù)據(jù)密文進(jìn)行加密得到的����,第三密文的簽名值是由身份證讀卡終端利用自身的第一私鑰對第三密文進(jìn)行簽名得到的。安全驗(yàn)證模塊402����,通過以下方式對第六數(shù)據(jù)包進(jìn)行安全驗(yàn)證�,安全驗(yàn)證通過后����,得到身份證數(shù)據(jù)密文:使用身份證讀卡終端的第一證書對第三密文的簽名值進(jìn)行簽名驗(yàn)證,在驗(yàn)證通過的情況下����,使用會話密鑰對第三密文進(jìn)行解密,得到身份證數(shù)據(jù)密文;否則結(jié)束身份證讀卡響應(yīng)流程����。如果安全驗(yàn)證模塊402利用身份證讀卡終端的第一公鑰能夠?qū)Φ谌芪牡暮灻颠M(jìn)行解密,則說明接收的第三密文的簽名值是由身份證讀卡終端發(fā)出的��,其數(shù)據(jù)來源是合法的�;如果安全驗(yàn)證模塊402利用身份證讀卡終端的第一公鑰不能對第三密文的簽名值進(jìn)行解密,則說明接收的第三密文的簽名值不是由身份證讀卡終端發(fā)出的��,其數(shù)據(jù)來源是不合法的���,因此,對第三密文的簽名值進(jìn)行簽名驗(yàn)證可以確認(rèn)數(shù)據(jù)來源的合法性��。如果第三密文在傳輸過程中被非法分子篡改,則安全驗(yàn)證模塊402在驗(yàn)簽過程中��,會對篡改后的第三密文進(jìn)行HASH計算得到摘要�,該摘要與安全驗(yàn)證模塊402利用身份證讀卡終端的第一公鑰對第三密文的簽名值進(jìn)行解密得到的摘要必定不同,導(dǎo)致驗(yàn)簽無法通過���,因此���,通過對第三密文的簽名值進(jìn)行驗(yàn)簽可以判斷第三密文是否被篡改,保證接收的第三密文的完整性��。如果安全驗(yàn)證模塊402利用身份證讀卡響應(yīng)裝置和身份證讀卡終端才有的會話密鑰不能對接收到的第三密文進(jìn)行解密�,說明該第三密文并不是身份證讀卡終端發(fā)出的,因此�����,對第三密文進(jìn)行解密可以確認(rèn)數(shù)據(jù)來源的合法性�;如果第三方截取到第三密文,由于第三方無法獲取身份證讀卡響應(yīng)裝置和身份證讀卡終端才有的會話密鑰����,因此不能對第三密文進(jìn)行解密,無法獲得身份證數(shù)據(jù)密文����,因此�����,對第三密文進(jìn)行解密可以防止身份證數(shù)據(jù)密文在網(wǎng)絡(luò)傳輸中被非法竊取、閱讀��,保證身份證數(shù)據(jù)密文的傳輸安全性����。
[0117]本實(shí)施例中,身份證數(shù)據(jù)明文一般是居民身份證號�、姓名����、照片、年齡����、住址、卡片使用年限��、指紋等數(shù)據(jù)的明文����。
[0118]本實(shí)施例中,發(fā)送模塊405將第七數(shù)據(jù)包發(fā)送至身份證讀卡終端后����,身份證讀卡響應(yīng)成功����,結(jié)束身份證讀卡響應(yīng)流程����。
[0119]作為本實(shí)施例的一種可選實(shí)施方式���,發(fā)送模塊405可以將身份證數(shù)據(jù)明文所包括的信息通過一個數(shù)據(jù)包,一次發(fā)送到身份證讀卡終端,當(dāng)然,也可以將身份證數(shù)據(jù)明文所包括的信息通過多個數(shù)據(jù)包,分多次發(fā)送到身份證讀卡終端�。
[0120]作為本實(shí)施例的一種可選實(shí)施方式,第七數(shù)據(jù)包包括第四加密數(shù)據(jù)和第四簽名數(shù)據(jù);安全處理模塊404�,通過以下方式對身份證數(shù)據(jù)明文進(jìn)行安全處理�����,得到第七數(shù)據(jù)包:使用會話密鑰對身份證數(shù)據(jù)明文進(jìn)行加密,得到第四加密數(shù)據(jù)�,并使用身份證讀卡響應(yīng)裝置的私鑰對第四加密數(shù)據(jù)進(jìn)行簽名�,得到第四簽名數(shù)據(jù)。發(fā)送模塊405將包括第四加密數(shù)據(jù)和第四簽名數(shù)據(jù)的第七數(shù)據(jù)包發(fā)送至身份證讀卡終端�。安全處理模塊404利用會話密鑰對身份證數(shù)據(jù)明文進(jìn)行加密得到第四加密數(shù)據(jù)���,即使第三方截取第四加密數(shù)據(jù),也無法獲得身份證數(shù)據(jù)明文,因?yàn)榈谌經(jīng)]有該會話密鑰,不能利用該會話密鑰對第四加密數(shù)據(jù)進(jìn)行解密�,得到身份證數(shù)據(jù)明文���,只有同樣具有該會話密鑰的身份證讀卡終端才能解密第四加密數(shù)據(jù),因此�,可以有效防止身份證數(shù)據(jù)明文在網(wǎng)絡(luò)傳輸中被非法竊取�、閱讀��,保證身份證數(shù)據(jù)明文傳輸?shù)陌踩?�。發(fā)送模塊405將第四簽名數(shù)據(jù)發(fā)送至身份證讀卡終端后����,身份證讀卡終端會執(zhí)行驗(yàn)簽操作,如果身份證讀卡終端利用身份證讀卡響應(yīng)裝置的公鑰能夠?qū)Φ谒暮灻麛?shù)據(jù)進(jìn)行解密���,則說明接收的第四簽名數(shù)據(jù)是由身份證讀卡響應(yīng)裝置發(fā)出的��,其數(shù)據(jù)來源是合法的��;如果身份證讀卡終端利用身份證讀卡響應(yīng)裝置的公鑰不能對第四簽名數(shù)據(jù)進(jìn)行解密,則說明接收的第四簽名數(shù)據(jù)不是由身份證讀卡響應(yīng)裝置發(fā)出的�,其數(shù)據(jù)來源是不合法的��,因此�����,安全處理模塊404對第四加密數(shù)據(jù)進(jìn)行簽名可以使身份證讀卡終端確認(rèn)數(shù)據(jù)來源的合法性。如果第四加密數(shù)據(jù)在傳輸過程中被非法分子篡改�����,則身份證讀卡終端在驗(yàn)簽過程中��,會對篡改后的第四加密數(shù)據(jù)進(jìn)行HASH計算得到摘要�,該摘要與身份證讀卡終端利用身份證讀卡響應(yīng)裝置的公鑰對第四簽名數(shù)據(jù)進(jìn)行解密得到的摘要必定不同,導(dǎo)致驗(yàn)簽無法通過�,因此,通過對第四加密數(shù)據(jù)進(jìn)行簽名可以防止第四加密數(shù)據(jù)被篡改����,保證身份證讀卡終端接收第四加密數(shù)據(jù)的完整性。本可選實(shí)施方式中��,身份證讀卡終端可以利用身份證讀卡響應(yīng)裝置的公鑰對第四簽名數(shù)據(jù)進(jìn)行簽名驗(yàn)證�����,當(dāng)驗(yàn)證通過后���,再利用會話密鑰對第四加密數(shù)據(jù)進(jìn)行解密��,得到身份證數(shù)據(jù)明文���。
[0121]本實(shí)施例中的身份證讀卡終端內(nèi)并不設(shè)置有可以對從身份證讀取的密文數(shù)據(jù)實(shí)現(xiàn)解密的身份證讀卡響應(yīng)裝置����,而是在云認(rèn)證平臺中設(shè)置身份證讀卡響應(yīng)裝置�,身份證讀卡終端可通過接入到云認(rèn)證平臺以實(shí)現(xiàn)對身份證的讀取,大大降低了用戶的實(shí)現(xiàn)成本�����,特別是在銀行���、車站����、保險等需要執(zhí)行身份證信息讀取操作的行業(yè)��,只需部署相應(yīng)數(shù)量的身份證讀卡終端即可���,無需再次大量部署身份證讀卡響應(yīng)裝置,也無需大量設(shè)置身份證讀卡響應(yīng)裝置與身份證讀卡終端之間的對應(yīng)關(guān)系�,簡化了實(shí)現(xiàn)方案。同時�����,在云認(rèn)證平臺設(shè)置身份證讀卡響應(yīng)裝置,身份證讀卡響應(yīng)裝置對身份證讀卡終端發(fā)來的身份證相關(guān)數(shù)據(jù)進(jìn)行安全驗(yàn)證�,再對身份證相關(guān)數(shù)據(jù)進(jìn)行相應(yīng)處理,生成響應(yīng)數(shù)據(jù)���,并對響應(yīng)數(shù)據(jù)進(jìn)行安全處理�,再將處理過的數(shù)據(jù)發(fā)送至身份證讀卡終端�,因此身份證讀卡響應(yīng)裝置與身份證讀卡終端之間建立了安全通道,通過該安全通道可以提高身份證與身份證讀卡響應(yīng)裝置之間通訊的安全性�,保證身份證數(shù)據(jù)的傳輸安全。并且����,身份證和身份證讀卡響應(yīng)裝置通過第一認(rèn)證因子和第二認(rèn)證因子的交互完成了雙向認(rèn)證,身份證讀卡響應(yīng)裝置對身份證數(shù)據(jù)密文進(jìn)行解密以得到身份證數(shù)據(jù)明文��,并發(fā)送給身份證讀卡終端����,以完成身份證的讀取。
[0122]作為本實(shí)施例的一種可選實(shí)施方式���,如圖4所示�,本實(shí)施例提供的身份證讀卡響應(yīng)裝置還可以包括:接收模塊401,還用于在安全驗(yàn)證模塊402對讀卡請求數(shù)據(jù)包進(jìn)行安全驗(yàn)證之前��,接收身份證讀卡終端發(fā)送的會話密鑰請求數(shù)據(jù)包��,其中�,會話密鑰請求數(shù)據(jù)包包括第一隨機(jī)因子、第一隨機(jī)因子的簽名值和身份證讀卡終端的第一證書;安全驗(yàn)證模塊402�����,還用于對第一證書的合法性進(jìn)行驗(yàn)證��,并在驗(yàn)證通過后���,使用第一證書對第一隨機(jī)因子的簽名值進(jìn)行簽名驗(yàn)證;第四生成模塊410��,用于在簽名驗(yàn)證通過的情況下�����,生成第二隨機(jī)因子;安全處理模塊404����,還用于對第一隨機(jī)因子和第二隨機(jī)因子進(jìn)行加密,得到第五加密數(shù)據(jù)�����,并使用身份證讀卡響應(yīng)裝置的私鑰對第五加密數(shù)據(jù)進(jìn)行簽名�����,得到第五簽名數(shù)據(jù);發(fā)送模塊405��,還用于將第八數(shù)據(jù)包發(fā)送至身份證讀卡終端�����,其中�����,第八數(shù)據(jù)包包括第五加密數(shù)據(jù)����、第五簽名數(shù)據(jù)和身份證讀卡響應(yīng)裝置的證書����;第五生成模塊411,用于在第四生成模塊410生成第二隨機(jī)因子之后,根據(jù)第一隨機(jī)因子和第二隨機(jī)因子生成會話密鑰��。
[0123]本可選實(shí)施方式中��,第一隨機(jī)因子的簽名值是身份證讀卡終端利用自身的第一私鑰進(jìn)行簽名得到的�����。第一隨機(jī)因子可以為一個或一串隨機(jī)數(shù)��,或者可以為一個或一串隨機(jī)字符���,或者一串隨機(jī)數(shù)和隨機(jī)字符的任意組合��。
[0124]本可選實(shí)施方式中���,身份證讀卡響應(yīng)裝置利用根證書對身份證讀卡終端的第一證書進(jìn)行驗(yàn)證,如果驗(yàn)證通過����,則說明身份證讀卡終端的第一證書是合法的。
[0125]本可選實(shí)施方式中�,如果安全驗(yàn)證模塊402利用身份證讀卡終端的第一公鑰能夠?qū)Φ谝浑S機(jī)因子的簽名值進(jìn)行解密,則說明接收的第一隨機(jī)因子的簽名值是由身份證讀卡終端發(fā)出的���,其數(shù)據(jù)來源是合法的���;如果安全驗(yàn)證模塊402利用身份證讀卡終端的第一公鑰不能對第一隨機(jī)因子的簽名值進(jìn)行解密���,則說明接收的第一隨機(jī)因子的簽名值不是由身份證讀卡終端發(fā)出的���,其數(shù)據(jù)來源是不合法的���,因此,對第一隨機(jī)因子的簽名值進(jìn)行簽名驗(yàn)證可以確認(rèn)數(shù)據(jù)來源的合法性����。如果第一隨機(jī)因子在傳輸過程中被非法分子篡改,則安全驗(yàn)證模塊402在驗(yàn)簽過程中��,會對篡改后的第一隨機(jī)因子進(jìn)行HASH計算得到摘要��,該摘要與安全驗(yàn)證模塊402402利用身份證讀卡終端的第一公鑰對第一隨機(jī)因子的簽名值進(jìn)行解密得到的摘要必定不同�,導(dǎo)致驗(yàn)簽無法通過,因此�,通過對第一隨機(jī)因子的簽名值進(jìn)行驗(yàn)簽可以判斷第一隨機(jī)因子是否被篡改,保證接收的第一隨機(jī)因子的完整性����。
[0126]本可選實(shí)施方式中���,第二隨機(jī)因子可以為一個或一串隨機(jī)數(shù),或者可以為一個或一串隨機(jī)字符����,或者一串隨機(jī)數(shù)和隨機(jī)字符的任意組合。
[0127]可選的�,若安全驗(yàn)證模塊402對第一隨機(jī)因子的簽名值的驗(yàn)簽沒有通過,則結(jié)束會話密鑰請求響應(yīng)流程�����。
[0128]本可選實(shí)施方式中�,第五生成模塊411利用預(yù)設(shè)算法對第一隨機(jī)因子和第二隨機(jī)因子生成會話密鑰。
[0129]本可選實(shí)施方式中,安全處理模塊404利用身份證讀卡終端的第一證書對第一隨機(jī)因子和第二隨機(jī)因子進(jìn)行加密,得到第五加密數(shù)據(jù)�����。安全處理模塊404利用會話密鑰對第一隨機(jī)因子和第二隨機(jī)因子進(jìn)行加密得到第五加密數(shù)據(jù)�,即使第三方截取第五加密數(shù)據(jù)����,也無法獲得第一隨機(jī)因子和第二隨機(jī)因子����,因?yàn)榈谌經(jīng)]有該會話密鑰�����,不能利用該會話密鑰對第五加密數(shù)據(jù)進(jìn)行解密�,得到第一隨機(jī)因子和第二隨機(jī)因子,只有同樣具有該會話密鑰的身份證讀卡終端才能解密第五加密數(shù)據(jù)���,因此,可以有效防止第一隨機(jī)因子和第二隨機(jī)因子在網(wǎng)絡(luò)傳輸中被非法竊取��、閱讀�����,保證第一隨機(jī)因子和第二隨機(jī)因子傳輸?shù)陌踩?��。發(fā)送模塊405將第五簽名數(shù)據(jù)發(fā)送至身份證讀卡終端后���,身份證讀卡終端會執(zhí)行驗(yàn)簽操作,如果身份證讀卡終端利用身份證讀卡響應(yīng)裝置的公鑰能夠?qū)Φ谖搴灻麛?shù)據(jù)進(jìn)行解密����,則說明接收的第五簽名數(shù)據(jù)是由身份證讀卡響應(yīng)裝置發(fā)出的���,其數(shù)據(jù)來源是合法的;如果身份證讀卡終端利用身份證讀卡響應(yīng)裝置的公鑰不能對第五簽名數(shù)據(jù)進(jìn)行解密���,則說明接收的第五簽名數(shù)據(jù)不是由身份證讀卡響應(yīng)裝置發(fā)出的��,其數(shù)據(jù)來源是不合法的��,因此�,對第五加密數(shù)據(jù)進(jìn)行簽名可以使身份證讀卡終端確認(rèn)數(shù)據(jù)來源的合法性�����。如果第五加密數(shù)據(jù)在傳輸過程中被非法分子篡改���,則身份證讀卡終端在驗(yàn)簽過程中��,會對篡改后的第五加密數(shù)據(jù)進(jìn)行HASH計算得到摘要��,該摘要與身份證讀卡終端利用身份證讀卡響應(yīng)裝置的公鑰對第五簽名數(shù)據(jù)進(jìn)行解密得到的摘要必定不同�,導(dǎo)致驗(yàn)簽無法通過���,因此���,通過對第五加密數(shù)據(jù)進(jìn)行簽名可以防止第五加密數(shù)據(jù)被篡改����,保證身份證讀卡終端接收第五加密數(shù)據(jù)的完整性����。
[0130]本可選實(shí)施方式中,身份證讀卡終端接收到第八數(shù)據(jù)包后�,利用身份證讀卡響應(yīng)裝置的證書對第五簽名數(shù)據(jù)進(jìn)行簽名驗(yàn)證,在驗(yàn)證通過后��,利用身份證讀卡終端的第一私鑰對第五加密數(shù)據(jù)進(jìn)行解密�,得到第一隨機(jī)因子和第二隨機(jī)因子���,將解密得到的第一隨機(jī)因子與自身生成的第一隨機(jī)因子進(jìn)行比較��,如果相同��,則說明身份證讀卡響應(yīng)裝置已接收到第一隨機(jī)因子并且身份證讀卡響應(yīng)裝置接收的第一隨機(jī)因子與身份證讀卡終端生成的第一隨機(jī)因子相同���,身份證讀卡終端利用與上述預(yù)設(shè)算法相同的算法對第一隨機(jī)因子和第二隨機(jī)因子進(jìn)行計算�,生成與身份證讀卡響應(yīng)裝置的會話密鑰相同的會話密鑰�����,這樣���,身份證讀卡響應(yīng)裝置與身份證讀卡終端可以通過該會話密鑰建立安全通道來進(jìn)行身份證的相關(guān)數(shù)據(jù)傳輸����,能夠提高數(shù)據(jù)傳輸?shù)陌踩?如果不相同����,則說明身份證讀卡響應(yīng)裝置接收的第一隨機(jī)因子與身份證讀卡終端生成的第一隨機(jī)因子是不同的,身份證讀卡終端和身份證讀卡響應(yīng)裝置利用相同的預(yù)設(shè)算法對各自的第一隨機(jī)因子和第二隨機(jī)因子計算得到不相同的兩個會話密鑰����,身份證讀卡終端和身份證讀卡響應(yīng)裝置均不能解密對方發(fā)來的加密數(shù)據(jù)。
[0131]作為本實(shí)施例的一種可選實(shí)施方式���,如圖4所示�����,本實(shí)施例提供的身份證讀卡響應(yīng)裝置還可以包括:接收模塊401�,還用于在接收身份證讀卡終端發(fā)送的讀卡請求數(shù)據(jù)包之前,接收身份證讀卡終端發(fā)送的尋卡請求數(shù)據(jù)包���,其中�,尋卡請求數(shù)據(jù)包包括尋卡請求數(shù)據(jù)密文���、尋卡請求數(shù)據(jù)密文的簽名值以及身份證讀卡終端的第一證書和第二證書�����;安全驗(yàn)證模塊402��,還用于對第一證書的合法性進(jìn)行驗(yàn)證�,在驗(yàn)證通過后�����,使用第一證書對尋卡請求數(shù)據(jù)密文的簽名值進(jìn)行簽名驗(yàn)證����,在簽名驗(yàn)證通過的情況下��,使用獲取的認(rèn)證解密密鑰對尋卡請求數(shù)據(jù)密文進(jìn)行解密,得到尋卡請求數(shù)據(jù);第三生成模塊409�,用于對尋卡請求數(shù)據(jù)進(jìn)行響應(yīng),生成尋卡請求響應(yīng)數(shù)據(jù);安全處理模塊404�,還用于使用會話密鑰對尋卡請求響應(yīng)數(shù)據(jù)進(jìn)行加密,得到第六加密數(shù)據(jù)����,并使用第二證書對會話密鑰進(jìn)行加密,得到會話密鑰密文;使用身份證讀卡響應(yīng)裝置的私鑰對第六加密數(shù)據(jù)和會話密鑰密文進(jìn)行簽名��,得到第六簽名數(shù)據(jù);發(fā)送模塊405�,還用于將尋卡請求響應(yīng)數(shù)據(jù)包發(fā)送至身份證讀卡終端,其中�,尋卡請求響應(yīng)數(shù)據(jù)包包括第六加密數(shù)據(jù)和第六簽名數(shù)據(jù)。
[0132]本可選實(shí)施方式中�����,尋卡請求數(shù)據(jù)密文是由身份證讀卡終端利用認(rèn)證加密密鑰對尋卡請求數(shù)據(jù)進(jìn)行加密得到的��,尋卡請求數(shù)據(jù)密文的簽名值是由身份證讀卡終端利用自身的第一私鑰對尋卡請求數(shù)據(jù)密文進(jìn)行簽名得到的�。
[0133]可選的,第一證書和第二證書可以是相同的證書�,也可以是不同的證書。
[0134]可選的�����,尋卡請求數(shù)據(jù)包括時間戳和/或終端計數(shù)器;發(fā)送模塊405,還用于在安全驗(yàn)證模塊402使用獲取的認(rèn)證解密密鑰對尋卡請求數(shù)據(jù)密文進(jìn)行解密����,得到尋卡請求數(shù)據(jù)之后,將時間戳和/或終端計數(shù)器發(fā)送至調(diào)度服務(wù)器�。調(diào)度服務(wù)器可以根據(jù)時間戳、終端計數(shù)器等信息進(jìn)行身份證讀卡終端的頻度管控和黑名單自動捕獲���,并將可疑的身份證讀卡終端加入黑名單����。
[0135]可選的��,在接收模塊401接收身份證讀卡終端發(fā)送的尋卡請求數(shù)據(jù)包之前���,調(diào)度服務(wù)器會接收身份證讀卡終端的接入云認(rèn)證平臺的請求�����,獲取身份證讀卡終端的標(biāo)識信息,根據(jù)身份證讀卡終端的標(biāo)識信息判斷是否允許身份證讀卡終端讀取身份證;在確定允許身份證讀卡終端讀取身份證的情況下�,在接收到身份證讀卡終端發(fā)送的尋卡請求數(shù)據(jù)包后��,向云認(rèn)證平臺的云認(rèn)證數(shù)據(jù)庫發(fā)送工作狀態(tài)查詢請求;云認(rèn)證數(shù)據(jù)庫接收調(diào)度服務(wù)器發(fā)送的工作狀態(tài)查詢請求���,查詢調(diào)度服務(wù)器的管轄范圍內(nèi)的各個身份證讀卡響應(yīng)裝置的工作狀態(tài),并將查詢結(jié)果發(fā)送至調(diào)度服務(wù)器;調(diào)度服務(wù)器接收云認(rèn)證數(shù)據(jù)庫發(fā)送的查詢結(jié)果��,并根據(jù)查詢結(jié)果��,選擇一個工作狀態(tài)為空閑的身份證讀卡響應(yīng)裝置��,將選擇的身份證讀卡響應(yīng)裝置的標(biāo)識信息發(fā)送至身份證讀卡終端�����。其中�����,調(diào)度服務(wù)器可以通過以下方式判斷是否允許身份證讀卡終端讀取身份證:身份證讀卡終端的標(biāo)識信息包括第一證書和第二證書��;可以利用根證書對第一證書的合法性進(jìn)行驗(yàn)證���,若驗(yàn)證通過���,則允許身份證讀卡終端讀取身份證;若驗(yàn)證不通過�,則不允許身份證讀卡終端讀取身份證;和/或可以利用根證書對第二證書的合法性進(jìn)行驗(yàn)證����,若驗(yàn)證通過,則允許身份證讀卡終端讀取身份證;若驗(yàn)證不通過�����,則不允許身份證讀卡終端讀取身份證���。
[0136]可選的���,在選擇一個工作狀態(tài)為空閑的身份證讀卡響應(yīng)裝置之后,調(diào)度服務(wù)器會生成鑒權(quán)碼��,將鑒權(quán)碼分別發(fā)送至身份證讀卡終端和云認(rèn)證數(shù)據(jù)庫��;云認(rèn)證數(shù)據(jù)庫存儲鑒權(quán)碼��,并在鑒權(quán)碼的有效期到達(dá)時���,刪除鑒權(quán)碼;尋卡請求數(shù)據(jù)包還包括鑒權(quán)碼密文�,身份證讀卡響應(yīng)裝置對鑒權(quán)碼密文進(jìn)行解密����,得到鑒權(quán)碼;如圖4所示,所述裝置還包括查詢模塊412���,用于查詢云認(rèn)證數(shù)據(jù)庫中是否存儲有鑒權(quán)碼��,若存儲有��,則繼續(xù)執(zhí)行操作����,否則結(jié)束流程���。具體的�,在分配端口給工作狀態(tài)空閑的身份證讀卡響應(yīng)裝置之后����,調(diào)度服務(wù)器將生成的鑒權(quán)碼分別發(fā)送到身份證讀卡終端和云認(rèn)證數(shù)據(jù)庫中進(jìn)行存儲,身份證讀卡終端利用認(rèn)證加密密鑰對該鑒權(quán)碼進(jìn)行加密���,得到鑒權(quán)碼密文���;身份證讀卡響應(yīng)裝置利用認(rèn)證解密密鑰對該鑒權(quán)碼密文進(jìn)行解密��,得到鑒權(quán)碼�,向云認(rèn)證數(shù)據(jù)庫發(fā)送查詢請求��,查詢云認(rèn)證數(shù)據(jù)庫中是否存儲有該鑒權(quán)碼����,若存儲有,則生成尋卡請求響應(yīng)數(shù)據(jù)�����,否則結(jié)束尋卡響應(yīng)流程����。其中,該鑒權(quán)碼具有時效性�,當(dāng)超過預(yù)定時長時,云認(rèn)證數(shù)據(jù)庫就會刪除存儲的鑒權(quán)碼�,鑒權(quán)碼失效,上述查詢操作失敗�,終止交易響應(yīng),因此�����,設(shè)置鑒權(quán)碼能夠識別交易是否合法,從而判定是否繼續(xù)交易響應(yīng)����,保證身份證讀卡響應(yīng)流程的安全性。該鑒權(quán)碼可以為一個或一串隨機(jī)數(shù)����,或者可以為一個或一串隨機(jī)字符�����,或者一串隨機(jī)數(shù)和隨機(jī)字符的任意組合��,在本實(shí)施例中不作具體限定�。
[0137]本可選實(shí)施方式中,身份證讀卡響應(yīng)裝置利用根證書對身份證讀卡終端的第一證書進(jìn)行驗(yàn)證����,如果驗(yàn)證通過,則說明身份證讀卡終端的第一證書是合法的�。
[0138]本可選實(shí)施方式中,如果安全驗(yàn)證模塊402利用身份證讀卡終端的第一公鑰能夠?qū)たㄕ埱髷?shù)據(jù)密文的簽名值進(jìn)行解密��,則說明接收的尋卡請求數(shù)據(jù)密文的簽名值是由身份證讀卡終端發(fā)出的;如果安全驗(yàn)證模塊402利用身份證讀卡終端的第一公鑰不能對尋卡請求數(shù)據(jù)密文的簽名值進(jìn)行解密�,則說明接收的尋卡請求數(shù)據(jù)密文的簽名值不是由身份證讀卡終端發(fā)出的,因此��,對尋卡請求數(shù)據(jù)密文的簽名值進(jìn)行簽名驗(yàn)證可以確認(rèn)數(shù)據(jù)來源的合法性��。如果尋卡請求數(shù)據(jù)密文在傳輸過程中被非法分子篡改�,則安全驗(yàn)證模塊402在驗(yàn)簽過程中,會對篡改后的尋卡請求數(shù)據(jù)密文進(jìn)行HASH計算得到摘要��,該摘要與安全驗(yàn)證模塊402利用身份證讀卡終端的第一公鑰對尋卡請求數(shù)據(jù)密文的簽名值進(jìn)行解密得到的摘要必定不同�,導(dǎo)致驗(yàn)簽無法通過,因此�,通過對尋卡請求數(shù)據(jù)密文的簽名值進(jìn)行驗(yàn)簽可以判斷尋卡請求數(shù)據(jù)密文是否被篡改,保證接收的尋卡請求數(shù)據(jù)密文的完整性�����。如果安全驗(yàn)證模塊402利用身份證讀卡響應(yīng)裝置和身份證讀卡終端才有的會話密鑰不能對接收到的尋卡請求數(shù)據(jù)密文進(jìn)行解密��,說明該尋卡請求數(shù)據(jù)密文并不是身份證讀卡終端發(fā)出的����,因此,對尋卡請求數(shù)據(jù)密文進(jìn)行解密可以確認(rèn)數(shù)據(jù)來源的合法性�;如果第三方截取到尋卡請求數(shù)據(jù)密文,由于第三方無法獲取身份證讀卡響應(yīng)裝置和身份證讀卡終端才有的會話密鑰,因此不能對尋卡請求數(shù)據(jù)密文進(jìn)行解密��,無法獲得尋卡請求數(shù)據(jù)��,因此�����,對尋卡請求數(shù)據(jù)密文進(jìn)行解密可以防止尋卡請求數(shù)據(jù)在網(wǎng)絡(luò)傳輸中被非法竊取����、閱讀����,并正確讀取尋卡請求數(shù)據(jù)。
[0139]本可選實(shí)施方式中�,安全驗(yàn)證模塊402要解密尋卡請求數(shù)據(jù)密文,需要獲取認(rèn)證解密密鑰�����,該認(rèn)證解密密鑰可以與上述認(rèn)證加密密鑰為相同的密鑰�,即對稱密鑰。獲取認(rèn)證解密密鑰可以采用但不限于以下方式:方式一:認(rèn)證解密密鑰預(yù)先內(nèi)置在身份證讀卡響應(yīng)裝置中�����,認(rèn)證加密密鑰也預(yù)先內(nèi)置在身份證讀卡終端中。方式二:身份證讀卡響應(yīng)裝置獲取認(rèn)證解密密鑰密文和云認(rèn)證數(shù)據(jù)庫的保護(hù)密鑰�,其中,認(rèn)證解密密鑰密文是云認(rèn)證數(shù)據(jù)庫的保護(hù)密鑰對各個身份證讀卡終端的認(rèn)證加密密鑰進(jìn)行加密得到的�����,身份證讀卡響應(yīng)裝置利用該保護(hù)密鑰對認(rèn)證解密密鑰密文進(jìn)行解密����,得到認(rèn)證解密密鑰。在首次接收到身份證讀卡終端利用認(rèn)證加密密鑰加密的數(shù)據(jù)后���,身份證讀卡響應(yīng)裝置利用認(rèn)證解密密鑰對接收到的身份證讀卡終端首次發(fā)送的數(shù)據(jù)進(jìn)行解密�����,保證身份證讀卡響應(yīng)裝置與身份證讀卡終端的傳輸數(shù)據(jù)的安全性;在本實(shí)施例中��,尋卡請求數(shù)據(jù)密文為身份證讀卡終端首次發(fā)送的數(shù)據(jù)����。
[0140]本可選實(shí)施方式中��,會話密鑰可以采用但不限于以下方式進(jìn)行獲取:方式一:身份證讀卡響應(yīng)裝置隨機(jī)生成會話密鑰,會話密鑰為隨機(jī)因子;可選的����,會話密鑰可以為一個或一串隨機(jī)數(shù),或者可以為一個或一串隨機(jī)字符�,或者一串隨機(jī)數(shù)和隨機(jī)字符的任意組合;會話密鑰作為隨機(jī)產(chǎn)生的密鑰,不易被非法分子竊取��。方式二:在身份證讀卡響應(yīng)裝置內(nèi)部預(yù)先設(shè)置會話密鑰�。方式三:身份證讀卡響應(yīng)裝置與身份證讀卡終端通過協(xié)商產(chǎn)生協(xié)商密鑰,將協(xié)商密鑰作為會話密鑰����,具體協(xié)商方法可采用現(xiàn)有的協(xié)商方式,本實(shí)施例中不作具體限定�����。
[0141]本可選實(shí)施方式中��,安全處理模塊404利用會話密鑰對尋卡請求響應(yīng)數(shù)據(jù)進(jìn)行加密得到第六加密數(shù)據(jù)����,即使第三方截取第六加密數(shù)據(jù)�����,也無法獲得尋卡請求響應(yīng)數(shù)據(jù),因?yàn)榈谌經(jīng)]有該會話密鑰�,不能利用該會話密鑰對第六加密數(shù)據(jù)進(jìn)行解密,得到尋卡請求響應(yīng)數(shù)據(jù)�����,只有同樣具有該會話密鑰的身份證讀卡終端才能解密第六加密數(shù)據(jù)�,因此,可以有效防止尋卡請求響應(yīng)數(shù)據(jù)在網(wǎng)絡(luò)傳輸中被非法竊取�、閱讀,保證尋卡請求響應(yīng)數(shù)據(jù)傳輸?shù)陌踩?�。發(fā)送模塊405將第六簽名數(shù)據(jù)發(fā)送至身份證讀卡終端后��,身份證讀卡終端會執(zhí)行驗(yàn)簽操作����,如果身份證讀卡終端利用身份證讀卡響應(yīng)裝置的公鑰能夠?qū)Φ诹灻麛?shù)據(jù)進(jìn)行解密,則說明接收的第六簽名數(shù)據(jù)是由身份證讀卡響應(yīng)裝置發(fā)出的�����,其數(shù)據(jù)來源是合法的��;如果身份證讀卡終端利用身份證讀卡響應(yīng)裝置的公鑰不能對第六簽名數(shù)據(jù)進(jìn)行解密,則說明接收的第六簽名數(shù)據(jù)不是由身份證讀卡響應(yīng)裝置發(fā)出的���,其數(shù)據(jù)來源是不合法的�����,因此���,對第六加密數(shù)據(jù)進(jìn)行簽名可以使身份證讀卡終端確認(rèn)數(shù)據(jù)來源的合法性。如果第六加密數(shù)據(jù)在傳輸過程中被非法分子篡改���,則身份證讀卡終端在驗(yàn)簽過程中���,會對篡改后的第六加密數(shù)據(jù)進(jìn)行HASH計算得到摘要,該摘要與身份證讀卡終端利用身份證讀卡響應(yīng)裝置的公鑰對第六簽名數(shù)據(jù)進(jìn)行解密得到的摘要必定不同�����,導(dǎo)致驗(yàn)簽無法通過�����,因此��,通過對第六加密數(shù)據(jù)進(jìn)行簽名可以防止第六加密數(shù)據(jù)被篡改���,保證身份證讀卡終端接收第六加密數(shù)據(jù)的完整性�����。本可選實(shí)施方式中��,安全驗(yàn)證模塊402只利用認(rèn)證解密密鑰對身份證讀卡終端首次發(fā)來的數(shù)據(jù)(例如本實(shí)施例的尋卡請求數(shù)據(jù)包)進(jìn)行解密處理��,而利用新獲取的會話密鑰對后續(xù)發(fā)送或接收的數(shù)據(jù)進(jìn)行加/解密處理�,這樣��,可以與身份證讀卡終端建立數(shù)據(jù)安全通道�,提高數(shù)據(jù)傳輸安全性。
[OH2]本可選實(shí)施方式中�����,身份證讀卡終端在接收到發(fā)送模塊405發(fā)來的尋卡請求響應(yīng)數(shù)據(jù)包后�,利用身份證讀卡響應(yīng)裝置的證書對第六簽名數(shù)據(jù)進(jìn)行簽名驗(yàn)證,在驗(yàn)證通過后��,利用身份證讀卡終端的第二私鑰(該第二私鑰與身份證讀卡終端的第二證書中的第二公鑰是一對非對稱密鑰)對會話密鑰密文進(jìn)行解密����,得到會話密鑰�,再利用會話密鑰對第六加密數(shù)據(jù)進(jìn)行解密��,得到尋卡請求響應(yīng)數(shù)據(jù);存儲該會話密鑰���,之后就可以通過會話密鑰建立安全通道����,與身份證讀卡響應(yīng)裝置進(jìn)行身份證的相關(guān)數(shù)據(jù)傳輸�����,保證數(shù)據(jù)傳輸?shù)陌踩浴?br>[0143]本實(shí)施例中��,身份證讀卡響應(yīng)裝置可以直接通過有線網(wǎng)絡(luò)或無線網(wǎng)絡(luò)與身份證讀卡終端直接進(jìn)行通信,也可以通過調(diào)度服務(wù)器發(fā)送或接收與身份證讀卡終端的通信數(shù)據(jù)����。如果身份證讀卡響應(yīng)裝置不具有通訊接口,則需要通過第三方��,例如調(diào)度服務(wù)器��,進(jìn)行通信數(shù)據(jù)的轉(zhuǎn)發(fā)或轉(zhuǎn)接����,而不直接與身份證讀卡終端進(jìn)行通信。當(dāng)通過調(diào)度服務(wù)器接收包含簽名數(shù)據(jù)的通信數(shù)據(jù)時�,如果通信數(shù)據(jù)中包含簽名數(shù)據(jù),可以由調(diào)度服務(wù)器對身份證讀卡終端發(fā)來的數(shù)據(jù)進(jìn)行簽名驗(yàn)證�,也可以由身份證讀卡響應(yīng)裝置進(jìn)行簽名驗(yàn)證,在本實(shí)施例中不作限定��。
[0144]流程圖中或在此以其他方式描述的任何過程或方法描述可以被理解為��,表示包括一個或更多個用于實(shí)現(xiàn)特定邏輯功能或過程的步驟的可執(zhí)行指令的代碼的模塊�����、片段或部分���,并且本發(fā)明的優(yōu)選實(shí)施方式的范圍包括另外的實(shí)現(xiàn)����,其中可以不按所示出或討論的順序,包括根據(jù)所涉及的功能按基本同時的方式或按相反的順序�����,來執(zhí)行功能��,這應(yīng)被本發(fā)明的實(shí)施例所屬技術(shù)領(lǐng)域的技術(shù)人員所理解���。
[0145]應(yīng)當(dāng)理解����,本發(fā)明的各部分可以用硬件��、軟件����、固件或它們的組合來實(shí)現(xiàn)。在上述實(shí)施方式中����,多個步驟或方法可以用存儲在存儲器中且由合適的指令執(zhí)行系統(tǒng)執(zhí)行的軟件或固件來實(shí)現(xiàn)。例如����,如果用硬件來實(shí)現(xiàn)���,和在另一實(shí)施方式中一樣�,可用本領(lǐng)域公知的下列技術(shù)中的任一項(xiàng)或他們的組合來實(shí)現(xiàn):具有用于對數(shù)據(jù)信號實(shí)現(xiàn)邏輯功能的邏輯門電路的離散邏輯電路���,具有合適的組合邏輯門電路的專用集成電路�,可編程門陣列(PGA)���,現(xiàn)場可編程門陣列(FPGA)等�����。
[0146]本技術(shù)領(lǐng)域的普通技術(shù)人員可以理解實(shí)現(xiàn)上述實(shí)施例方法攜帶的全部或部分步驟是可以通過程序來指令相關(guān)的硬件完成,所述的程序可以存儲于一種計算機(jī)可讀存儲介質(zhì)中�,該程序在執(zhí)行時,包括方法實(shí)施例的步驟之一或其組合����。
[0147]此外,在本發(fā)明各個實(shí)施例中的各功能單元可以集成在一個處理模塊中,也可以是各個單元單獨(dú)物理存在�����,也可以兩個或兩個以上單元集成在一個模塊中。上述集成的模塊既可以采用硬件的形式實(shí)現(xiàn)���,也可以采用軟件功能模塊的形式實(shí)現(xiàn)。所述集成的模塊如果以軟件功能模塊的形式實(shí)現(xiàn)并作為獨(dú)立的產(chǎn)品銷售或使用時���,也可以存儲在一個計算機(jī)可讀取存儲介質(zhì)中��。
[0148]上述提到的存儲介質(zhì)可以是只讀存儲器�,磁盤或光盤等�����。
[0149]在本說明書的描述中�����,參考術(shù)語“一個實(shí)施例”���、“一些實(shí)施例”����、“示例”、“具體示例”���、或“一些示例”等的描述意指結(jié)合該實(shí)施例或示例描述的具體特征�、結(jié)構(gòu)�����、材料或者特點(diǎn)包含于本發(fā)明的至少一個實(shí)施例或示例中����。在本說明書中�,對上述術(shù)語的示意性表述不一定指的是相同的實(shí)施例或示例。而且��,描述的具體特征�����、結(jié)構(gòu)���、材料或者特點(diǎn)可以在任何的一個或多個實(shí)施例或示例中以合適的方式結(jié)合�。
[0150]盡管上面已經(jīng)示出和描述了本發(fā)明的實(shí)施例,可以理解的是�����,上述實(shí)施例是示例性的�����,不能理解為對本發(fā)明的限制��,本領(lǐng)域的普通技術(shù)人員在不脫離本發(fā)明的原理和宗旨的情況下在本發(fā)明的范圍內(nèi)可以對上述實(shí)施例進(jìn)行變化�、修改���、替換和變型�。本發(fā)明的范圍由所附權(quán)利要求及其等同限定���。
【主權(quán)項(xiàng)】
1.一種身份證讀卡響應(yīng)方法��,其特征在于��,包括:身份證讀卡響應(yīng)裝置接收身份證讀卡終端發(fā)送的讀卡請求數(shù)據(jù)包��,并對所述讀卡請求 數(shù)據(jù)包進(jìn)行安全驗(yàn)證����,安全驗(yàn)證通過后,得到身份證標(biāo)識信息����;生成第一認(rèn)證因子�����,對所述第一認(rèn)證因子進(jìn)行安全處理,得到第一數(shù)據(jù)包�,并將所述第 一數(shù)據(jù)包發(fā)送至所述身份證讀卡終端;接收所述身份證讀卡終端發(fā)送的第二數(shù)據(jù)包,并對所述第二數(shù)據(jù)包進(jìn)行安全驗(yàn)證,安 全驗(yàn)證通過后��,得到第一認(rèn)證數(shù)據(jù);對所述第一認(rèn)證數(shù)據(jù)進(jìn)行認(rèn)證,認(rèn)證通過后�,生成認(rèn)證因子申請請求;對所述認(rèn)證因子申請請求進(jìn)行安全處理�,得到第三數(shù)據(jù)包,并將所述第三數(shù)據(jù)包發(fā)送 至所述身份證讀卡終端�;接收所述身份證讀卡終端發(fā)送的第四數(shù)據(jù)包,并對所述第四數(shù)據(jù)包進(jìn)行安全驗(yàn)證��,安 全驗(yàn)證通過后�����,得到第二認(rèn)證因子����;對所述第二認(rèn)證因子進(jìn)行處理��,得到第二認(rèn)證數(shù)據(jù)���;對所述第二認(rèn)證數(shù)據(jù)進(jìn)行安全處理,得到第五數(shù)據(jù)包�,并將所述第五數(shù)據(jù)包發(fā)送至所 述身份證讀卡終端;接收所述身份證讀卡終端發(fā)送的第六數(shù)據(jù)包�,并對所述第六數(shù)據(jù)包進(jìn)行安全驗(yàn)證,安 全驗(yàn)證通過后��,得到身份證數(shù)據(jù)密文�����;對所述身份證數(shù)據(jù)密文進(jìn)行解密����,得到身份證數(shù)據(jù)明文;對所述身份證數(shù)據(jù)明文進(jìn)行安全處理�����,得到第七數(shù)據(jù)包��,并將所述第七數(shù)據(jù)包發(fā)送至 所述身份證讀卡終端�。2.根據(jù)權(quán)利要求1所述的方法,其特征在于��,所述讀卡請求數(shù)據(jù)包包括讀卡請求數(shù)據(jù)密文和所述讀卡請求數(shù)據(jù)密文的簽名值;對所 述讀卡請求數(shù)據(jù)包進(jìn)行安全驗(yàn)證�,安全驗(yàn)證通過后,得到身份證標(biāo)識信息����,包括:使用所述 身份證讀卡終端的第一證書對所述讀卡請求數(shù)據(jù)密文的簽名值進(jìn)行簽名驗(yàn)證,在驗(yàn)證通過 的情況下��,使用會話密鑰對所述讀卡請求數(shù)據(jù)密文進(jìn)行解密�,得到所述身份證標(biāo)識信息; 和/或所述第一數(shù)據(jù)包包括第一加密數(shù)據(jù)和第一簽名數(shù)據(jù);對所述第一認(rèn)證因子進(jìn)行安全處 理��,包括:使用會話密鑰對所述第一認(rèn)證因子進(jìn)行加密����,得到所述第一加密數(shù)據(jù),并使用所 述身份證讀卡響應(yīng)裝置的私鑰對所述第一加密數(shù)據(jù)進(jìn)行簽名�����,得到所述第一簽名數(shù)據(jù);和/ 或所述第二數(shù)據(jù)包包括第一密文和所述第一密文的簽名值;對所述第二數(shù)據(jù)包進(jìn)行安全 驗(yàn)證���,安全驗(yàn)證通過后�,得到第一認(rèn)證數(shù)據(jù),包括:使用所述身份證讀卡終端的第一證書對 所述第一密文的簽名值進(jìn)行簽名驗(yàn)證���,在驗(yàn)證通過的情況下�����,使用會話密鑰對所述第一密 文進(jìn)行解密����,得到所述第一認(rèn)證數(shù)據(jù);和/或所述第三數(shù)據(jù)包包括第二加密數(shù)據(jù)和第二簽名數(shù)據(jù);對所述認(rèn)證因子申請請求進(jìn)行安 全處理����,包括:使用會話密鑰對所述認(rèn)證因子申請請求進(jìn)行加密,得到所述第二加密數(shù)據(jù)�, 并使用所述身份證讀卡響應(yīng)裝置的私鑰對所述第二加密數(shù)據(jù)進(jìn)行簽名,得到所述第二簽名 數(shù)據(jù);和/或所述第四數(shù)據(jù)包包括第二密文和所述第二密文的簽名值;對所述第四數(shù)據(jù)包進(jìn)行安全驗(yàn)證�,安全驗(yàn)證通過后,得到第二認(rèn)證因子�,包括:使用所述身份證讀卡終端的第一證書對 所述第二密文的簽名值進(jìn)行簽名驗(yàn)證,在驗(yàn)證通過的情況下���,使用會話密鑰對所述第二密 文進(jìn)行解密�����,得到所述第二認(rèn)證因子;和/或所述第五數(shù)據(jù)包包括第三加密數(shù)據(jù)和第三簽名數(shù)據(jù);對所述第二認(rèn)證數(shù)據(jù)進(jìn)行安全處 理���,包括:使用會話密鑰對所述第二認(rèn)證數(shù)據(jù)進(jìn)行加密,得到所述第三加密數(shù)據(jù)�,并使用所 述身份證讀卡響應(yīng)裝置的私鑰對所述第三加密數(shù)據(jù)進(jìn)行簽名,得到所述第三簽名數(shù)據(jù);和/ 或所述第六數(shù)據(jù)包包括第三密文和所述第三密文的簽名值;對所述第六數(shù)據(jù)包進(jìn)行安全 驗(yàn)證���,安全驗(yàn)證通過后����,得到身份證數(shù)據(jù)密文��,包括:使用所述身份證讀卡終端的第一證書 對所述第三密文的簽名值進(jìn)行簽名驗(yàn)證����,在驗(yàn)證通過的情況下,使用會話密鑰對所述第三 密文進(jìn)行解密�,得到所述身份證數(shù)據(jù)密文;和/或所述第七數(shù)據(jù)包包括第四加密數(shù)據(jù)和第四簽名數(shù)據(jù);對所述身份證數(shù)據(jù)明文進(jìn)行安全 處理,包括:使用會話密鑰對所述身份證數(shù)據(jù)明文進(jìn)行加密��,得到所述第四加密數(shù)據(jù)�����,并使 用所述身份證讀卡響應(yīng)裝置的私鑰對所述第四加密數(shù)據(jù)進(jìn)行簽名,得到所述第四簽名數(shù) 據(jù)�����。3.根據(jù)權(quán)利要求1或2所述的方法����,其特征在于,在對所述讀卡請求數(shù)據(jù)包進(jìn)行安全驗(yàn) 證之前�����,還包括:所述身份證讀卡響應(yīng)裝置接收所述身份證讀卡終端發(fā)送的會話密鑰請求數(shù)據(jù)包����,其 中,所述會話密鑰請求數(shù)據(jù)包包括第一隨機(jī)因子����、所述第一隨機(jī)因子的簽名值和所述身份 證讀卡終端的第一證書;對所述第一證書的合法性進(jìn)行驗(yàn)證�,在驗(yàn)證通過后,使用所述第一證書對所述第一隨 機(jī)因子的簽名值進(jìn)行簽名驗(yàn)證,在簽名驗(yàn)證通過的情況下�����,生成第二隨機(jī)因子��;對所述第一隨機(jī)因子和所述第二隨機(jī)因子進(jìn)行加密�,得到第五加密數(shù)據(jù),并使用所述 身份證讀卡響應(yīng)裝置的私鑰對所述第五加密數(shù)據(jù)進(jìn)行簽名���,得到第五簽名數(shù)據(jù);將第八數(shù)據(jù)包發(fā)送至所述身份證讀卡終端�����,其中���,所述第八數(shù)據(jù)包包括所述第五加密 數(shù)據(jù)����、所述第五簽名數(shù)據(jù)和所述身份證讀卡響應(yīng)裝置的證書�����;其中�,在生成第二隨機(jī)因子之后���,還包括:根據(jù)所述第一隨機(jī)因子和所述第二隨機(jī)因子 生成會話密鑰。4.根據(jù)權(quán)利要求1或2所述的方法�,其特征在于,在接收身份證讀卡終端發(fā)送的讀卡請 求數(shù)據(jù)包之前���,還包括:所述身份證讀卡響應(yīng)裝置接收所述身份證讀卡終端發(fā)送的尋卡請求數(shù)據(jù)包�,其中����,所 述尋卡請求數(shù)據(jù)包包括尋卡請求數(shù)據(jù)密文、所述尋卡請求數(shù)據(jù)密文的簽名值以及所述身份 證讀卡終端的第一證書和第二證書�����;對所述第一證書的合法性進(jìn)行驗(yàn)證�,在驗(yàn)證通過后,使用所述第一證書對所述尋卡請 求數(shù)據(jù)密文的簽名值進(jìn)行簽名驗(yàn)證�����,在簽名驗(yàn)證通過的情況下�����,使用獲取的認(rèn)證解密密鑰 對所述尋卡請求數(shù)據(jù)密文進(jìn)行解密,得到尋卡請求數(shù)據(jù)�;對所述尋卡請求數(shù)據(jù)進(jìn)行響應(yīng),生成尋卡請求響應(yīng)數(shù)據(jù)���;使用會話密鑰對所述尋卡請求響應(yīng)數(shù)據(jù)進(jìn)行加密��,得到第六加密數(shù)據(jù)���,使用所述第二 證書對所述會話密鑰進(jìn)行加密,得到會話密鑰密文�����,并使用所述身份證讀卡響應(yīng)裝置的私鑰對所述第六加密數(shù)據(jù)和所述會話密鑰密文進(jìn)行簽名�,得到第六簽名數(shù)據(jù)���;將尋卡請求響應(yīng)數(shù)據(jù)包發(fā)送至所述身份證讀卡終端�,其中���,所述尋卡請求響應(yīng)數(shù)據(jù)包 包括所述第六加密數(shù)據(jù)和所述第六簽名數(shù)據(jù)���。5.根據(jù)權(quán)利要求1至4任一項(xiàng)所述的方法�����,其特征在于���,在對所述讀卡請求數(shù)據(jù)包進(jìn)行安全驗(yàn)證,安全驗(yàn)證通過后��,得到身份證標(biāo)識信息之后��, 還包括:將所述身份證標(biāo)識信息發(fā)送至調(diào)度服務(wù)器�。6.根據(jù)權(quán)利要求4所述的方法,其特征在于���,所述尋卡請求數(shù)據(jù)包括時間戳和/或終端 計數(shù)器;在使用獲取的認(rèn)證解密密鑰對所述尋卡請求數(shù)據(jù)密文進(jìn)行解密���,得到尋卡請求數(shù) 據(jù)之后,還包括:將所述時間戳和/或終端計數(shù)器發(fā)送至調(diào)度服務(wù)器�。7.—種身份證讀卡響應(yīng)裝置,其特征在于�����,包括:接收模塊,用于接收身份證讀卡終端發(fā)送的讀卡請求數(shù)據(jù)包���;安全驗(yàn)證模塊�,用于對所述讀卡請求數(shù)據(jù)包進(jìn)行安全驗(yàn)證�����,安全驗(yàn)證通過后�,得到身份 證標(biāo)識信息;第一生成模塊�,用于生成第一認(rèn)證因子;安全處理模塊���,用于對所述第一認(rèn)證因子進(jìn)行安全處理���,得到第一數(shù)據(jù)包;發(fā)送模塊�,用于將所述第一數(shù)據(jù)包發(fā)送至所述身份證讀卡終端��;所述接收模塊���,還用于接收所述身份證讀卡終端發(fā)送的第二數(shù)據(jù)包��;所述安全驗(yàn)證模塊�,還用于對所述第二數(shù)據(jù)包進(jìn)行安全驗(yàn)證,安全驗(yàn)證通過后���,得到第 一認(rèn)證數(shù)據(jù)���;第二生成模塊���,用于對所述第一認(rèn)證數(shù)據(jù)進(jìn)行認(rèn)證,認(rèn)證通過后����,生成認(rèn)證因子申請請 求����;所述安全處理模塊�,還用于對所述認(rèn)證因子申請請求進(jìn)行安全處理,得到第三數(shù)據(jù)包����; 所述發(fā)送模塊,還用于將所述第三數(shù)據(jù)包發(fā)送至所述身份證讀卡終端��;所述接收模塊���,還用于接收所述身份證讀卡終端發(fā)送的第四數(shù)據(jù)包��;所述安全驗(yàn)證模塊�,還用于對所述第四數(shù)據(jù)包進(jìn)行安全驗(yàn)證���,安全驗(yàn)證通過后�,得到第 二認(rèn)證因子�����;認(rèn)證處理模塊����,用于對所述第二認(rèn)證因子進(jìn)行處理,得到第二認(rèn)證數(shù)據(jù)��;所述安全處理模塊�����,還用于對所述第二認(rèn)證數(shù)據(jù)進(jìn)行安全處理���,得到第五數(shù)據(jù)包����; 所述發(fā)送模塊�,還用于將所述第五數(shù)據(jù)包發(fā)送至所述身份證讀卡終端;所述接收模塊�,還用于接收所述身份證讀卡終端發(fā)送的第六數(shù)據(jù)包;所述安全驗(yàn)證模塊��,還用于對所述第六數(shù)據(jù)包進(jìn)行安全驗(yàn)證���,安全驗(yàn)證通過后���,得到身 份證數(shù)據(jù)密文�;解密模塊���,用于對所述身份證數(shù)據(jù)密文進(jìn)行解密���,得到身份證數(shù)據(jù)明文;所述安全處理模塊�����,還用于對所述身份證數(shù)據(jù)明文進(jìn)行安全處理�,得到第七數(shù)據(jù)包; 所述發(fā)送模塊�,還用于將所述第七數(shù)據(jù)包發(fā)送至所述身份證讀卡終端。8.根據(jù)權(quán)利要求7所述的裝置���,其特征在于���,所述讀卡請求數(shù)據(jù)包包括讀卡請求數(shù)據(jù)密文和所述讀卡請求數(shù)據(jù)密文的簽名值;所述安全驗(yàn)證模塊,通過以下方式對所述讀卡請求數(shù)據(jù)包進(jìn)行安全驗(yàn)證����,安全驗(yàn)證通過后�,得到 身份證標(biāo)識信息:使用所述身份證讀卡終端的第一證書對所述讀卡請求數(shù)據(jù)密文的簽名值 進(jìn)行簽名驗(yàn)證��,在驗(yàn)證通過的情況下��,使用會話密鑰對所述讀卡請求數(shù)據(jù)密文進(jìn)行解密�����,得 到所述身份證標(biāo)識信息;和/或所述第一數(shù)據(jù)包包括第一加密數(shù)據(jù)和第一簽名數(shù)據(jù);所述安全處理模塊���,通過以下方 式對所述第一認(rèn)證因子進(jìn)行安全處理,得到第一數(shù)據(jù)包:使用會話密鑰對所述第一認(rèn)證因 子進(jìn)行加密�,得到所述第一加密數(shù)據(jù),并使用所述身份證讀卡響應(yīng)裝置的私鑰對所述第一 加密數(shù)據(jù)進(jìn)行簽名��,得到所述第一簽名數(shù)據(jù);和/或所述第二數(shù)據(jù)包包括第一密文和所述第一密文的簽名值;所述安全驗(yàn)證模塊���,通過以 下方式對所述第二數(shù)據(jù)包進(jìn)行安全驗(yàn)證�,安全驗(yàn)證通過后����,得到第一認(rèn)證數(shù)據(jù):使用所述身 份證讀卡終端的第一證書對所述第一密文的簽名值進(jìn)行簽名驗(yàn)證,在驗(yàn)證通過的情況下, 使用會話密鑰對所述第一密文進(jìn)行解密�����,得到所述第一認(rèn)證數(shù)據(jù);和/或所述第三數(shù)據(jù)包包括第二加密數(shù)據(jù)和第二簽名數(shù)據(jù);所述安全處理模塊����,通過以下方 式對所述認(rèn)證因子申請請求進(jìn)行安全處理,得到第三數(shù)據(jù)包:使用會話密鑰對所述認(rèn)證因 子申請請求進(jìn)行加密���,得到所述第二加密數(shù)據(jù)��,并使用所述身份證讀卡響應(yīng)裝置的私鑰對 所述第二加密數(shù)據(jù)進(jìn)行簽名�����,得到所述第二簽名數(shù)據(jù);和/或所述第四數(shù)據(jù)包包括第二密文和所述第二密文的簽名值;所述安全驗(yàn)證模塊�����,通過以 下方式對所述第四數(shù)據(jù)包進(jìn)行安全驗(yàn)證�,安全驗(yàn)證通過后���,得到第二認(rèn)證因子:使用所述身 份證讀卡終端的第一證書對所述第二密文的簽名值進(jìn)行簽名驗(yàn)證�����,在驗(yàn)證通過的情況下��, 使用會話密鑰對所述第二密文進(jìn)行解密�����,得到所述第二認(rèn)證因子;和/或所述第五數(shù)據(jù)包包括第三加密數(shù)據(jù)和第三簽名數(shù)據(jù);所述安全處理模塊��,通過以下方 式對所述第二認(rèn)證數(shù)據(jù)進(jìn)行安全處理����,得到第五數(shù)據(jù)包:使用會話密鑰對所述第二認(rèn)證數(shù) 據(jù)進(jìn)行加密��,得到所述第三加密數(shù)據(jù)��,并使用所述身份證讀卡響應(yīng)裝置的私鑰對所述第三 加密數(shù)據(jù)進(jìn)行簽名�����,得到所述第三簽名數(shù)據(jù);和/或所述第六數(shù)據(jù)包包括第三密文和所述第三密文的簽名值;所述安全驗(yàn)證模塊����,通過以 下方式對所述第六數(shù)據(jù)包進(jìn)行安全驗(yàn)證,安全驗(yàn)證通過后,得到身份證數(shù)據(jù)密文:使用所述 身份證讀卡終端的第一證書對所述第三密文的簽名值進(jìn)行簽名驗(yàn)證���,在驗(yàn)證通過的情況 下�,使用會話密鑰對所述第三密文進(jìn)行解密����,得到所述身份證數(shù)據(jù)密文;和/或所述第七數(shù)據(jù)包包括第四加密數(shù)據(jù)和第四簽名數(shù)據(jù);所述安全處理模塊,通過以下方 式對所述身份證數(shù)據(jù)明文進(jìn)行安全處理�,得到第七數(shù)據(jù)包:使用會話密鑰對所述身份證數(shù) 據(jù)明文進(jìn)行加密,得到所述第四加密數(shù)據(jù)�,并使用所述身份證讀卡響應(yīng)裝置的私鑰對所述 第四加密數(shù)據(jù)進(jìn)行簽名,得到所述第四簽名數(shù)據(jù)����。9.根據(jù)權(quán)利要求7或8所述的裝置,其特征在于��,還包括:所述接收模塊���,還用于在所述安全驗(yàn)證模塊對所述讀卡請求數(shù)據(jù)包進(jìn)行安全驗(yàn)證之 前����,接收所述身份證讀卡終端發(fā)送的會話密鑰請求數(shù)據(jù)包�����,其中,所述會話密鑰請求數(shù)據(jù)包 包括第一隨機(jī)因子��、所述第一隨機(jī)因子的簽名值和所述身份證讀卡終端的第一證書����;所述安全驗(yàn)證模塊,還用于對所述第一證書的合法性進(jìn)行驗(yàn)證��,并在驗(yàn)證通過后�,使用 所述第一證書對所述第一隨機(jī)因子的簽名值進(jìn)行簽名驗(yàn)證��;第四生成模塊�,用于在簽名驗(yàn)證通過的情況下,生成第二隨機(jī)因子��;所述安全處理模塊�,還用于對所述第一隨機(jī)因子和所述第二隨機(jī)因子進(jìn)行加密,得到 第五加密數(shù)據(jù)�,并使用所述身份證讀卡響應(yīng)裝置的私鑰對所述第五加密數(shù)據(jù)進(jìn)行簽名,得 到第五簽名數(shù)據(jù)����;所述發(fā)送模塊�����,還用于將第八數(shù)據(jù)包發(fā)送至所述身份證讀卡終端����,其中���,所述第八數(shù)據(jù) 包包括所述第五加密數(shù)據(jù)�����、所述第五簽名數(shù)據(jù)和所述身份證讀卡響應(yīng)裝置的證書��;第五生成模塊���,用于在所述第四生成模塊生成第二隨機(jī)因子之后,根據(jù)所述第一隨機(jī) 因子和所述第二隨機(jī)因子生成會話密鑰��。10.根據(jù)權(quán)利要求7或8所述的裝置�,其特征在于,還包括:所述接收模塊�����,還用于在接收身份證讀卡終端發(fā)送的讀卡請求數(shù)據(jù)包之前,接收所述 身份證讀卡終端發(fā)送的尋卡請求數(shù)據(jù)包�,其中,所述尋卡請求數(shù)據(jù)包包括尋卡請求數(shù)據(jù)密 文����、所述尋卡請求數(shù)據(jù)密文的簽名值以及所述身份證讀卡終端的第一證書和第二證書; 所述安全驗(yàn)證模塊��,還用于對所述第一證書的合法性進(jìn)行驗(yàn)證�,在驗(yàn)證通過后,使用所 述第一證書對所述尋卡請求數(shù)據(jù)密文的簽名值進(jìn)行簽名驗(yàn)證��,在簽名驗(yàn)證通過的情況下��, 使用獲取的認(rèn)證解密密鑰對所述尋卡請求數(shù)據(jù)密文進(jìn)行解密�����,得到尋卡請求數(shù)據(jù)����;第三生成模塊��,用于對所述尋卡請求數(shù)據(jù)進(jìn)行響應(yīng)�,生成尋卡請求響應(yīng)數(shù)據(jù)�����;所述安全處理模塊�,還用于使用會話密鑰對所述尋卡請求響應(yīng)數(shù)據(jù)進(jìn)行加密����,得到第 六加密數(shù)據(jù),并使用所述第二證書對所述會話密鑰進(jìn)行加密����,得到會話密鑰密文;使用所述 身份證讀卡響應(yīng)裝置的私鑰對所述第六加密數(shù)據(jù)和所述會話密鑰密文進(jìn)行簽名,得到第六 簽名數(shù)據(jù)�����;所述發(fā)送模塊���,還用于將尋卡請求響應(yīng)數(shù)據(jù)包發(fā)送至所述身份證讀卡終端�����,其中�����,所述 尋卡請求響應(yīng)數(shù)據(jù)包包括所述第六加密數(shù)據(jù)和所述第六簽名數(shù)據(jù)�。
【文檔編號】H04L29/06GK106027482SQ201610243204
【公開日】2016年10月12日
【申請日】2016年4月18日
【發(fā)明人】李明
【申請人】李明