本發(fā)明涉及電子技術(shù)領(lǐng)域,尤其涉及一種證件卡信息獲取方法、終端及證件卡信息獲取系統(tǒng)。
背景技術(shù):
現(xiàn)有的前端證件卡讀卡器具有至少兩個模塊,包括讀模塊以及證件卡驗證安全控制模塊。由于每個前端證件卡讀卡器均設(shè)置證件卡驗證安全控制模塊模塊,因此,現(xiàn)有的前端證件卡讀卡器的制造成本高;并且,證件卡驗證安全控制模塊模塊只能對一個讀模塊讀取的證件卡信息進行身份驗證,因此,現(xiàn)有的前端證件卡讀卡器利用率較低。
技術(shù)實現(xiàn)要素:
本發(fā)明旨在解決上述問題之一。
本發(fā)明的主要目的在于提供一種證件卡信息獲取方法;
本發(fā)明的另一目的在于提供一種終端;
本發(fā)明的又一目的在于提供一種證件卡信息獲取系統(tǒng)。
為達到上述目的,本發(fā)明的技術(shù)方案具體是這樣實現(xiàn)的:
方案1、一種證件卡信息獲取方法,包括:
步驟1,終端向證件卡閱讀裝置發(fā)送操作指令;
步驟2,所述證件卡閱讀裝置周期性的廣播尋卡指令;
步驟3,所述證件卡閱讀裝置接收到證件卡返回的響應(yīng)消息,判斷所述響應(yīng)消息為針對所述尋卡指令的尋卡確認數(shù)據(jù);
步驟4,所述證件卡閱讀裝置停止廣播所述尋卡指令,向所述終端發(fā)送尋卡請求,所述終端接收所述尋卡請求,并向第一證件卡安全控制設(shè)備發(fā)送所述尋卡請求;
步驟5,所述第一證件卡安全控制設(shè)備接收所述尋卡請求,通過所述終端向所述證件卡閱讀裝置發(fā)送尋卡響應(yīng),其中,所述尋卡響應(yīng)中攜帶有尋卡響應(yīng)數(shù)據(jù);
步驟6,所述證件卡閱讀裝置接收所述第一證件卡安全控制設(shè)備發(fā)送的所述尋卡響應(yīng),獲取所述尋卡響應(yīng)數(shù)據(jù);
步驟7,所述證件卡閱讀裝置確定所述尋卡響應(yīng)數(shù)據(jù)為響應(yīng)所述尋卡請求的響應(yīng)數(shù)據(jù),將所述尋卡確認數(shù)據(jù)通過所述終端發(fā)送給所述第一證件卡安全控制設(shè)備;
步驟8,所述證件卡閱讀裝置向所述證件卡發(fā)送選卡指令;
步驟9,所述證件卡閱讀裝置接收所述證件卡發(fā)送的選卡確認數(shù)據(jù),其中,所述選卡確認數(shù)據(jù)至少包括所述證件卡的唯一標(biāo)識信息;
步驟10,所述證件卡閱讀裝置通過所述終端向所述第一證件卡安全控制設(shè)備發(fā)送選卡請求;
步驟11,所述第一證件卡安全控制設(shè)備接收所述選卡請求;
步驟12,所述第一證件卡安全控制設(shè)備通過所述終端向所述證件卡閱讀裝置發(fā)送選卡請求響應(yīng);
步驟13,所述證件卡閱讀裝置接收所述第一證件卡安全控制設(shè)備發(fā)送的選卡請求響應(yīng);
步驟14,所述證件卡閱讀裝置確定所述選卡請求響應(yīng)為針對所述選卡請求的響應(yīng)數(shù)據(jù),將所述選卡確認數(shù)據(jù)通過所述終端發(fā)送給所述第一證件卡安全控制設(shè)備;
步驟15,所述證件卡閱讀裝置向所述證件卡發(fā)送讀卡指令;
步驟16,所述證件卡閱讀裝置接收所述證件卡返回的讀卡確認數(shù)據(jù);
步驟17,所述證件卡閱讀裝置向通過所述終端將讀卡請求發(fā)送至所述第一證件卡安全控制設(shè)備,所述第一證件卡安全控制設(shè)備接收所述讀卡請求,根據(jù)所述讀卡請求啟動讀取證件卡信息的流程,通過所述終端和所述證件卡閱讀裝置與所述證件卡之間進行信息交互,讀取所述證件卡中存儲的證件卡信息;
步驟18,所述第一證件卡安全控制設(shè)備讀取到所述證件卡存儲的證件卡信息后,將所述證件卡信息發(fā)送至所述終端;
步驟19,所述終端接收所述證件卡信息。
方案2、根據(jù)方案1所述的方法,
所述尋卡請求中至少攜帶有第一身份認證數(shù)據(jù);
所述第一證件卡安全控制設(shè)備在通過所述終端向所述證件卡閱讀裝置返回所述尋卡響應(yīng)之前,所述方法還包括:所述第一證件卡安全控制設(shè)備根據(jù)所述尋卡請求中攜帶的所述第一身份認證數(shù)據(jù)對所述證件卡閱讀裝置的身份進行認證,在認證通過的情況下,執(zhí)行通過所述終端向所述證件卡閱讀裝置返回所述尋卡響應(yīng)的步驟。
方案3、根據(jù)方案1或2所述的方法,
所述尋卡響應(yīng)中至少攜帶有第二身份認證數(shù)據(jù);
在所述證件卡閱讀裝置接收所述第一證件卡安全控制設(shè)備通過所述終端發(fā)送的尋卡響應(yīng)之后,在將所述尋卡確認數(shù)據(jù)通過所述終端發(fā)送給所述第一證件卡安全控制設(shè)備之前,所述方法還包括:所述證件卡閱讀裝置根據(jù)所述第二身份認證數(shù)據(jù)對所述第一證件卡安全控制設(shè)備的身份進行認證,在認證通過的情況下,執(zhí)行將所述尋卡確認數(shù)據(jù)通過所述終端發(fā)送給所述第一證件卡安全控制設(shè)備的步驟。
方案4、根據(jù)方案1至3任一項所述的方法,
所述選卡請求中攜帶有第三身份認證數(shù)據(jù);
在所述第一證件卡安全控制設(shè)備接收所述選卡請求之后,通過所述終端向所述證件卡閱讀裝置發(fā)送選卡請求響應(yīng)之前,所述方法還包括:所述第一證件卡安全控制設(shè)備根據(jù)所述選卡請求中攜帶的第三身份認證數(shù)據(jù)對所述證件卡閱讀裝置的身份進行認證,在認證通過的情況下,執(zhí)行通過所述終端向所述證件卡閱讀裝置發(fā)送選卡請求響應(yīng)的步驟。
方案5、根據(jù)方案1至4任一項所述的方法,
所述選卡請求響應(yīng)中至少攜帶有第四身份認證數(shù)據(jù);
在所述證件卡閱讀裝置接收所述第一證件卡安全控制設(shè)備發(fā)送的選卡請求響應(yīng)之后,將所述選卡確認數(shù)據(jù)通過所述終端發(fā)送給所述第一證件卡安全控制設(shè)備之前,所述方法還包括:所述證件卡閱讀裝置解析所述選卡請求響應(yīng)中攜帶的信息,獲取所述選卡請求響應(yīng)中攜帶的第四身份認證數(shù)據(jù),并根據(jù)所述第四身份認證數(shù)據(jù)對所述第一證件卡安全控制設(shè)備的身份進行認證,在認證通過的情況下,執(zhí)行將所述選卡確認數(shù)據(jù)通過所述終端發(fā)送給所述第一證件卡安全控制設(shè)備的步驟。
方案6、根據(jù)方案1至5任一項所述的方法,
所述讀卡請求中至少攜帶第五身份認證數(shù)據(jù);
在所述第一證件卡安全控制設(shè)備接收所述讀卡請求之后,啟動讀取證件卡信息的流程之前,所述方法還包括:所述第一證件卡安全控制設(shè)備根據(jù)所述讀卡請求中攜帶的所述第五認證數(shù)據(jù)對所述證件卡閱讀裝置的身份進行認證,在認證通過的情況下,執(zhí)行啟動讀取證件卡信息的流程的步驟。
方案7、根據(jù)方案1至6任一項所述的方法,
在所述第一證件卡安全控制設(shè)備啟動讀取證件卡信息的流程之前,所述方法還包括:所述證件卡閱讀裝置通過所述終端與所述第一證件卡安全控制設(shè)備進行協(xié)商,雙方得到會話密鑰;
在所述證件卡閱讀裝置與所述第一證件卡安全控制設(shè)備得到會話密鑰之后,在所述證件卡閱讀裝置與所述第一證件卡安全控制設(shè)備的后續(xù)通信過程中,所述證件卡閱讀裝置和所述第一證件卡安全控制設(shè)備使用所述會話密鑰分別對發(fā)送和接收的數(shù)據(jù)進行加密和解密。
方案8、根據(jù)方案1至7任一項所述的方法,所述終端向第一證件卡安全控制設(shè)備發(fā)送所述尋卡請求包括:
所述終端從多個證件卡安全控制設(shè)備中選擇出所述第一證件卡安全控制設(shè)備;
所述終端將所述尋卡請求發(fā)送至選擇出的所述第一證件卡安全控制設(shè)備。
方案9、根據(jù)方案8所述的方法,所述終端從多個證件卡安全控制設(shè)備中選擇出所述第一證件卡安全控制設(shè)備包括:
所述終端根據(jù)預(yù)先存儲的所述終端與所述第一證件卡安全控制設(shè)備的對應(yīng)關(guān)系,從多個證件卡安全控制設(shè)備中選擇出所述第一證件卡安全控制設(shè)備;或者
所述終端從所述多個證件卡安全控制設(shè)備中選擇當(dāng)前工作狀態(tài)為空閑的證件卡安全控制設(shè)備作為所述第一證件卡安全控制設(shè)備。
方案10、根據(jù)方案1至9任一項所述的方法,所述終端接收所述證件卡信息之后,所述方法還包括:
將所述證件卡信息發(fā)送至存儲裝置進行存儲。
方案11、根據(jù)方案1至10任一項所述的方法,在所述終端向第一證件卡安全控制設(shè)備發(fā)送所述尋卡請求之前,所述方法還包括:
所述終端與所述第一證件卡安全控制設(shè)備進行互相認證。
方案12、一種證件卡信息獲取系統(tǒng),包括:第一證件卡安全控制設(shè)備、終端以及證件卡閱讀裝置,其中,
所述終端,用于向所述證件卡閱讀裝置發(fā)送操作指令;
所述證件卡閱讀裝置,用于:周期性的廣播尋卡指令;接收到證件卡返回的響應(yīng)消息,判斷所述響應(yīng)消息為針對所述尋卡指令的尋卡確認數(shù)據(jù),則停止廣播所述尋卡指令,向所述終端發(fā)送尋卡請求;
所述終端,還用于接收所述尋卡請求,并向所述第一證件卡安全控制設(shè)備發(fā)送所述尋卡請求;
所述第一證件卡安全控制設(shè)備,用于接收所述尋卡請求,通過所述終端向所述證件卡閱讀裝置發(fā)送尋卡響應(yīng),其中,所述尋卡響應(yīng)中攜帶有尋卡響應(yīng)數(shù)據(jù);
所述證件卡閱讀裝置,還用于:接收所述第一證件卡安全控制設(shè)備發(fā)送的所述尋卡響應(yīng),獲取所述尋卡響應(yīng)數(shù)據(jù);確定所述尋卡響應(yīng)數(shù)據(jù)為響應(yīng)所述尋卡請求的響應(yīng)數(shù)據(jù),將所述尋卡確認數(shù)據(jù)通過所述終端發(fā)送給所述第一證件卡安全控制設(shè)備;以及,向所述證件卡發(fā)送選卡指令;接收所述證件卡發(fā)送的選卡確認數(shù)據(jù),其中,所述選卡確認數(shù)據(jù)至少包括所述證件卡的唯一標(biāo)識信息;通過所述終端向所述第一證件卡安全控制設(shè)備發(fā)送選卡請求;
所述第一證件卡安全控制設(shè)備,還用于接收所述選卡請求,以及通過所述終端向所述證件卡閱讀裝置發(fā)送選卡請求響應(yīng);
所述證件卡閱讀裝置,還用于:接收所述第一證件卡安全控制設(shè)備發(fā)送的選卡請求響應(yīng);確定所述選卡請求響應(yīng)為針對所述選卡請求的響應(yīng)數(shù)據(jù),將所述選卡確認數(shù)據(jù)通過所述終端發(fā)送給所述第一證件卡安全控制設(shè)備;以及,向所述證件卡發(fā)送讀卡指令,并接收所述證件卡返回的讀卡確認數(shù)據(jù),再向通過所述終端將讀卡請求發(fā)送至所述第一證件卡安全控制設(shè)備;
所述第一證件卡安全控制設(shè)備,還用于:接收所述讀卡請求,根據(jù)所述讀卡請求啟動讀取證件卡信息的流程,通過所述終端和所述證件卡閱讀裝置與所述證件卡之間進行信息交互,讀取所述證件卡中存儲的證件卡信息;以及讀取到所述證件卡存儲的證件卡信息后,將所述證件卡信息發(fā)送至所述終端;
所述終端,還用于接收所述證件卡信息。
方案13、根據(jù)方案12所述的系統(tǒng),
所述尋卡請求中至少攜帶有第一身份認證數(shù)據(jù);
所述第一證件卡安全控制設(shè)備還用于,在通過所述終端向所述證件卡閱讀裝置返回所述尋卡響應(yīng)之前,根據(jù)所述尋卡請求中攜帶的所述第一身份認證數(shù)據(jù)對所述證件卡閱讀裝置的身份進行認證,在認證通過的情況下,執(zhí)行通過所述終端向所述證件卡閱讀裝置返回所述尋卡響應(yīng)的操作。
方案14、根據(jù)方案12或13所述的系統(tǒng),
所述尋卡響應(yīng)中至少攜帶有第二身份認證數(shù)據(jù);
所述證件卡閱讀裝置還用于在接收所述第一證件卡安全控制設(shè)備通過所述終端發(fā)送的尋卡響應(yīng)之后,在將所述尋卡確認數(shù)據(jù)通過所述終端發(fā)送給所述第一證件卡安全控制設(shè)備之前,根據(jù)所述第二身份認證數(shù)據(jù)對所述第一證件卡安全控制設(shè)備的身份進行認證,在認證通過的情況下,執(zhí)行將所述尋卡確認數(shù)據(jù)通過所述終端發(fā)送給所述第一證件卡安全控制設(shè)備的操作。
方案15、根據(jù)方案12至14任一項所述的系統(tǒng),
所述選卡請求中攜帶有第三身份認證數(shù)據(jù);
第一證件卡安全控制設(shè)備還用于在接收所述選卡請求之后,通過所述終端向所述證件卡閱讀裝置發(fā)送選卡請求響應(yīng)之前,根據(jù)所述選卡請求中攜帶的第三身份認證數(shù)據(jù)對所述證件卡閱讀裝置的身份進行認證,在認證通過的情況下,執(zhí)行通過所述終端向所述證件卡閱讀裝置發(fā)送選卡請求響應(yīng)的操作。
方案16、根據(jù)方案12至15任一項所述的系統(tǒng),
所述選卡請求響應(yīng)中至少攜帶有第四身份認證數(shù)據(jù);
所述證件卡閱讀裝置還用于在接收所述第一證件卡安全控制設(shè)備發(fā)送的選卡請求響應(yīng)之后,將所述選卡確認數(shù)據(jù)通過所述終端發(fā)送給所述第一證件卡安全控制設(shè)備之前,解析所述選卡請求響應(yīng)中攜帶的信息,獲取所述選卡請求響應(yīng)中攜帶的第四身份認證數(shù)據(jù),并根據(jù)所述第四身份認證數(shù)據(jù)對所述第一證件卡安全控制設(shè)備的身份進行認證,在認證通過的情況下,執(zhí)行將所述選卡確認數(shù)據(jù)通過所述終端發(fā)送給所述第一證件卡安全控制設(shè)備的操作。
方案17、根據(jù)方案12至16任一項所述的系統(tǒng),
所述讀卡請求中至少攜帶第五身份認證數(shù)據(jù);
所述第一證件卡安全控制設(shè)備還用于在接收所述讀卡請求之后,啟動讀取證件卡信息的流程之前,根據(jù)所述讀卡請求中攜帶的所述第五認證數(shù)據(jù)對所述證件卡閱讀裝置的身份進行認證,在認證通過的情況下,執(zhí)行啟動讀取證件卡信息的流程的操作。
方案18、根據(jù)方案12至17任一項所述的系統(tǒng),
所述第一證件卡安全控制設(shè)備還用于在啟動讀取證件卡信息的流程之前,與所述第一證件卡安全控制設(shè)備通過所述終端進行協(xié)商,雙方得到會話密鑰;
所述證件卡閱讀裝置與所述第一證件卡安全控制設(shè)備還用于在得到會話密鑰之后,在所述證件卡閱讀裝置與所述第一證件卡安全控制設(shè)備的后續(xù)通信過程中,使用所述會話密鑰分別對發(fā)送和接收的數(shù)據(jù)進行加密和解密。
方案19、根據(jù)方案12至18任一項所述的系統(tǒng),所述終端通過以下方式向所述第一證件卡安全控制設(shè)備發(fā)送所述尋卡請求:
從多個證件卡安全控制設(shè)備中選擇出所述第一證件卡安全控制設(shè)備;
將所述尋卡請求發(fā)送至選擇出的所述第一證件卡安全控制設(shè)備。
方案20、根據(jù)方案19所述的系統(tǒng),所述終端通過以下方式從多個證件卡安全控制設(shè)備中選擇出所述第一證件卡安全控制設(shè)備:
根據(jù)預(yù)先存儲的所述終端與所述第一證件卡安全控制設(shè)備的對應(yīng)關(guān)系,從多個證件卡安全控制設(shè)備中選擇出所述第一證件卡安全控制設(shè)備;或者
從所述多個證件卡安全控制設(shè)備中選擇當(dāng)前工作狀態(tài)為空閑的證件卡安全控制設(shè)備作為所述第一證件卡安全控制設(shè)備。
方案21、根據(jù)方案12至20任一項所述的系統(tǒng),所述終端還用于在接收所述證件卡信息之后,將所述證件卡信息發(fā)送至存儲裝置進行存儲。
方案22、根據(jù)方案12至21任一項所述的系統(tǒng),所述終端還用于在向所述第一證件卡安全控制設(shè)備發(fā)送所述尋卡請求之前,與所述第一證件卡安全控制設(shè)備進行互相認證。
方案23、一種證件卡閱讀裝置,包括:第一收發(fā)模塊、第二收發(fā)模塊、以及處理模塊,其中,
所述第一收發(fā)模塊,用于接收終端發(fā)送的操作指令;
所述第二收發(fā)模塊,用于周期性的廣播尋卡指令,以及接收證件卡返回的響應(yīng)消息;
所述處理模塊,用于判斷所述響應(yīng)消息是否為針對所述尋卡指令的尋卡確認數(shù)據(jù),如果是,則指示所述第二收發(fā)模塊停止廣播所述尋卡指令,并指示所述第一收發(fā)模塊通過所述終端向第一證件卡安全控制設(shè)備發(fā)送尋卡請求;
所述第一收發(fā)模塊,還用于接收所述第一證件卡安全控制設(shè)備通過所述終端發(fā)送的所述尋卡響應(yīng);
所述處理模塊,還用于獲取從所述尋卡響應(yīng)中獲取尋卡響應(yīng)數(shù)據(jù),確定所述尋卡響應(yīng)數(shù)據(jù)為響應(yīng)所述尋卡請求的響應(yīng)數(shù)據(jù),指示所述第一收發(fā)模塊將所述尋卡確認數(shù)據(jù)通過所述終端發(fā)送給所述第一證件卡安全控制設(shè)備;
所述第二收發(fā)模塊,還用于向所述證件卡發(fā)送選卡指令,接收所述證件卡發(fā)送的選卡確認數(shù)據(jù),其中,所述選卡確認數(shù)據(jù)至少包括所述證件卡的唯一標(biāo)識信息;
所述第一收發(fā)模塊,還用于通過所述終端向所述第一證件卡安全控制設(shè)備發(fā)送選卡請求;以及接收所述第一證件卡安全控制設(shè)備通過所述終端發(fā)送的選卡請求響應(yīng);
所述處理模塊,還用于確定所述選卡請求響應(yīng)為針對所述選卡請求的響應(yīng)數(shù)據(jù),指示所述第一收發(fā)模塊將所述選卡確認數(shù)據(jù)通過所述終端發(fā)送給所述第一證件卡安全控制設(shè)備;
所述第二收發(fā)模塊,還用于向所述證件卡發(fā)送讀卡指令;以及接收所述證件卡返回的讀卡確認數(shù)據(jù);
所述第一收發(fā)模塊,還用于通過所述終端將讀卡請求發(fā)送至所述第一證件卡安全控制設(shè)備,指示所述第一證件卡安全控制設(shè)備根據(jù)所述讀卡請求啟動讀取證件卡信息的流程;
所述處理模塊,還用于在所述讀取證件卡信息的流程中,通過所述第一收發(fā)模塊和所述第二收發(fā)模塊,轉(zhuǎn)發(fā)所述第一證件卡安全控制設(shè)備與所述證件卡之間交互的信息。
方案24、根據(jù)方案23所述的裝置,
所述處理模塊,還用于在所述第一收發(fā)模塊通過所述終端向所述第一證件卡安全控制設(shè)備發(fā)送尋卡請求之前,獲取第一身份認證數(shù)據(jù),并將所述第一身份認證數(shù)據(jù)攜帶在所述尋卡請求中。
方案25、根據(jù)方案23或24所述的裝置,
所述尋卡響應(yīng)中至少攜帶有第二身份認證數(shù)據(jù);
所述處理模塊,還用于在所述第一收發(fā)模塊接收所述第一證件卡安全控制設(shè)備通過所述終端發(fā)送的尋卡響應(yīng)之后,將所述尋卡確認數(shù)據(jù)通過所述終端發(fā)送給所述第一證件卡安全控制設(shè)備之前,根據(jù)所述第二身份認證數(shù)據(jù)對所述第一證件卡安全控制設(shè)備的身份進行認證,在認證通過的情況下,指示所述第一收發(fā)模塊將所述尋卡確認數(shù)據(jù)通過所述終端發(fā)送給所述第一證件卡安全控制設(shè)備。
方案26、根據(jù)方案23至25任一項所述的裝置,
所述處理模塊,還用于在所述第一收發(fā)模塊通過所述終端向所述第一證件卡安全控制設(shè)備發(fā)送所述選卡請求之前,獲取第三身份認證數(shù)據(jù),將所述第三身份認證數(shù)據(jù)攜帶在所述第一所述選卡請求中。
方案27、根據(jù)方案23至26任一項所述的裝置,
所述選卡請求響應(yīng)中至少攜帶有第四身份認證數(shù)據(jù);
所述處理模塊,還用于在所述第一收發(fā)模塊接收所述第一證件卡安全控制設(shè)備發(fā)送的選卡請求響應(yīng)之后,將所述選卡確認數(shù)據(jù)通過所述終端發(fā)送給所述第一證件卡安全控制設(shè)備之前,解析所述選卡請求響應(yīng)中攜帶的信息,獲取所述選卡請求響應(yīng)中攜帶的第四身份認證數(shù)據(jù),并根據(jù)所述第四身份認證數(shù)據(jù)對所述第一證件卡安全控制設(shè)備的身份進行認證,在認證通過的情況下,觸發(fā)所述第一收發(fā)模塊將所述選卡確認數(shù)據(jù)通過所述終端發(fā)送給所述第一證件卡安全控制設(shè)備。
方案28、根據(jù)方案23至27任一項所述的裝置,
所述處理模塊,還用于在所述第一收發(fā)模塊通過所述終端向所述第一證件卡安全控制設(shè)備發(fā)送所述讀卡請求之前,獲取第五身份認證數(shù)據(jù),將所述第五身份認證數(shù)據(jù)攜帶在所述讀卡請求中。
方案29、根據(jù)方案23至28任一項所述的裝置,
所述證件卡閱讀裝置還包括:協(xié)商模塊,用于通過所述終端與所述第一證件卡安全控制設(shè)備進行協(xié)商,雙方得到會話密鑰;
所述處理模塊,還用于在與所述第一證件卡安全控制設(shè)備的后續(xù)通信過程中,使用所述會話密鑰對發(fā)送給所述第一證件卡安全控制設(shè)備的數(shù)據(jù)進行加密和接收到的來自所述第一證件卡安全控制設(shè)備的數(shù)據(jù)進行解密。
由上述本發(fā)明提供的技術(shù)方案可以看出,本發(fā)明的證件卡閱讀裝置獨立于第一證件卡安全控制設(shè)備設(shè)置,可以通過終端與第一證件卡安全控制設(shè)備進行信息交互,作為證件卡與第一證件卡安全控制設(shè)備進行信息交互的橋梁,在實際應(yīng)用中,可以設(shè)置多個證件卡閱讀裝置并對應(yīng)多個終端,每個終端均與第一證件卡安全控制設(shè)備進行連接,由此可以提高第一證件卡安全控制設(shè)備的利用率,避免每個證件卡閱讀裝置均設(shè)置證件卡安全控制設(shè)備,節(jié)約了成本。
附圖說明
為了更清楚地說明本發(fā)明實施例的技術(shù)方案,下面將對實施例描述中所需要使用的附圖作簡單地介紹,顯而易見地,下面描述中的附圖僅僅是本發(fā)明的一些實施例,對于本領(lǐng)域的普通技術(shù)人員來講,在不付出創(chuàng)造性勞動的前提下,還可以根據(jù)這些附圖獲得其他附圖。
圖1為本發(fā)明實施例1提供的一種證件卡信息獲取系統(tǒng)的架構(gòu)示意圖;
圖2為本發(fā)明實施例2提供的一種證件卡信息獲取裝置的結(jié)構(gòu)示意圖;
圖3為本發(fā)明實施例3提供的一種證件卡信息獲取方法的信令流程圖;
圖4本發(fā)明實施例3提供的一種證件卡信息獲取方法的部分信令流程圖;
圖5本發(fā)明實施例3提供的一種證件卡信息獲取方法的部分信令流程圖。
具體實施方式
下面結(jié)合本發(fā)明實施例中的附圖,對本發(fā)明實施例中的技術(shù)方案進行清楚、完整地描述,顯然,所描述的實施例僅僅是本發(fā)明一部分實施例,而不是全部的實施例?;诒景l(fā)明的實施例,本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他實施例,都屬于本發(fā)明的保護范圍。
在本發(fā)明的描述中,需要理解的是,術(shù)語“中心”、“縱向”、“橫向”、“上”、“下”、“前”、“后”、“左”、“右”、“豎直”、“水平”、“頂”、“底”、“內(nèi)”、“外”等指示的方位或位置關(guān)系為基于附圖所示的方位或位置關(guān)系,僅是為了便于描述本發(fā)明和簡化描述,而不是指示或暗示所指的裝置或元件必須具有特定的方位、以特定的方位構(gòu)造和操作,因此不能理解為對本發(fā)明的限制。此外,術(shù)語“第一”、“第二”僅用于描述目的,而不能理解為指示或暗示相對重要性或數(shù)量或位置。
在本發(fā)明的描述中,需要說明的是,除非另有明確的規(guī)定和限定,術(shù)語“安裝”、“相連”、“連接”應(yīng)做廣義理解,例如,可以是固定連接,也可以是可拆卸連接,或一體地連接;可以是機械連接,也可以是電連接;可以是直接相連,也可以通過中間媒介間接相連,可以是兩個元件內(nèi)部的連通。對于本領(lǐng)域的普通技術(shù)人員而言,可以具體情況理解上述術(shù)語在本發(fā)明中的具體含義。
下面將結(jié)合附圖對本發(fā)明實施例作進一步地詳細描述。
實施例1
本實施例提供了一種證件卡信息獲取系統(tǒng),通過該系統(tǒng)可以獲取到證件卡中存儲的證件卡信息。
圖1為本實施例提供的證件卡信息獲取系統(tǒng)的架構(gòu)示意圖,如圖1所示,該系統(tǒng)主要包括:終端10、證件卡閱讀裝置20和第一證件卡安全控制設(shè)備40。
在本實施例中,終端10,用于向證件卡閱讀裝置20發(fā)送操作請求。證件卡閱讀裝置20,用于:接收操作請求,周期性的廣播尋卡指令,接收證件卡返回的響應(yīng)消息,并判斷響應(yīng)消息為針對尋卡指令的尋卡確認數(shù)據(jù),則停止廣播尋卡指令,向終端10發(fā)送尋卡請求。終端10,還用于接收尋卡請求,向第一證件卡安全控制設(shè)備40發(fā)送尋卡請求。第一證件卡安全控制設(shè)備40,用于:接收尋卡請求,通過終端10向證件卡閱讀裝置20發(fā)送尋卡響應(yīng),其中,尋卡響應(yīng)中攜帶有尋卡響應(yīng)數(shù)據(jù)。證件卡閱讀裝置20,還用于:接收第一證件卡安全控制設(shè)備40發(fā)送的尋卡響應(yīng),獲取尋卡響應(yīng)數(shù)據(jù);確定尋卡響應(yīng)數(shù)據(jù)為響應(yīng)尋卡請求的響應(yīng)數(shù)據(jù),將尋卡確認數(shù)據(jù)通過終端10發(fā)送給第一證件卡安全控制設(shè)備40;以及向證件卡發(fā)送選卡指令;接收證件卡發(fā)送的選卡確認數(shù)據(jù),其中,選卡確認數(shù)據(jù)至少包括證件卡的唯一標(biāo)識信息;然后向第一證件卡安全控制設(shè)備40發(fā)送選卡請求。第一證件卡安全控制設(shè)備40還用于接收選卡請求;并通過終端10向證件卡閱讀裝置20發(fā)送選卡請求響應(yīng)。證件卡閱讀裝置20接收第一證件卡安全控制設(shè)備40發(fā)送的選卡請求響應(yīng)。證件卡閱讀裝置20還用于:確定選卡請求響應(yīng)為針對選卡請求的響應(yīng)數(shù)據(jù),將選卡確認數(shù)據(jù)通過終端10發(fā)送給第一證件卡安全控制設(shè)備40;以及向證件卡發(fā)送讀卡指令,接收證件卡返回的讀卡確認數(shù)據(jù);并向終端10發(fā)送讀卡請求。終端10還用于將讀卡請求發(fā)送至第一證件卡安全控制設(shè)備40。第一證件卡安全控制設(shè)備40還用于:接收讀卡請求,啟動讀取證件卡信息的流程,通過終端10和證件卡閱讀裝置20與證件卡之間進行信息交互,讀取到證件卡中存儲的證件卡信息;并將讀取到的證件卡信息發(fā)送給終端10。終端10還用于接收證件卡信息。
在本實施例中,用戶在需要讀取證件卡中存儲的證件卡信息時,通過終端10向證件卡閱讀裝置20發(fā)送操作請求,指示證件卡閱讀裝置20需要讀取證件卡中存儲的證件卡信息。例如,用戶可以通過終端10中的某個按鍵向終端10輸入操作指令,終端10響應(yīng)用戶輸入的操作指令,向證件卡閱讀裝置20發(fā)送操作請求。在具體實施過程中,終端10與證件卡閱讀裝置20之間可以通過有線連接(例如USB接口、串口、耳機接口等),也可以通過無線連接(例如WIFI、藍牙、紅外、NFC等)。
另外,證件卡中存儲的證件卡信息是加密傳輸?shù)?,由于證件卡的特殊性,只有證件卡安全控制設(shè)備才能對證件卡中存儲的證件卡信息進行解密。在具體實施過程中,可以在讀卡請求中對需要第一證件卡安全控制設(shè)備40進行解密的內(nèi)容進行設(shè)置,例如,可以設(shè)置第一證件卡安全控制設(shè)備40只讀取證件卡中存儲的基本信息(例如,姓名、性別、出生年月等),也可以設(shè)置第一證件卡安全控制設(shè)備40讀取證件卡中存儲的基本信息+照片,還可以設(shè)置第一證件卡安全控制設(shè)備40讀取證件卡中存儲的基本信息+照片+指紋信息等,具體可以根據(jù)需要進行設(shè)置。在具體實施過程中,可以由用戶在終端10進行設(shè)置,設(shè)置完成之后,通過操作請求發(fā)送給證件卡閱讀裝置20,證件卡閱讀裝置20根據(jù)用戶的設(shè)置,在發(fā)送讀卡請求時,將設(shè)置信息發(fā)送給第一證件卡安全控制設(shè)備40。
通過本實施例提供的上述系統(tǒng),將證件卡閱讀裝置20(相當(dāng)于現(xiàn)有技術(shù)的證件卡閱讀裝置中的讀模塊,其僅具有信息交互功能,并不具有現(xiàn)有證件卡讀卡器的證件卡安全控制認證等其他功能)與第一證件卡安全控制設(shè)備40(相當(dāng)于現(xiàn)有技術(shù)的證件卡閱讀裝置中的證件卡安全控制模塊,用于對證件卡進行證件卡安全控制認證)分開設(shè)置,通過終端10進行通訊,可以多個證件卡閱讀裝置共用一個證件卡安全控制設(shè)備,從而提高了證件卡安全控制設(shè)備的利用率,節(jié)約了成本。
本實施例提供的上述系統(tǒng),可以應(yīng)用在銀行系統(tǒng)中,其中,終端10可以為銀行柜臺的前端,可以在每個營業(yè)點設(shè)置一個證件卡安全控制設(shè)備,也可以設(shè)置多個,或者,也可以多個營業(yè)點的共用一個或多個證件卡安全控制設(shè)備。
為了使第一證件卡安全控制設(shè)備40能夠確定尋卡請求為證件卡閱讀裝置20所發(fā)送的,避免非法模擬的證件卡閱讀裝置20對第一證件卡安全控制設(shè)備40的攻擊,在本發(fā)明實施例的一個可選實施方案中,證件卡閱讀裝置發(fā)送的尋卡請求中至少攜帶有第一身份認證數(shù)據(jù);第一證件卡安全控制設(shè)備40還用于在通過終端10向證件卡閱讀裝置20返回尋卡響應(yīng)之前,根據(jù)尋卡請求中攜帶的第一身份認證數(shù)據(jù)對證件卡閱讀裝置20的身份進行認證,在認證通過的情況下,執(zhí)行通過終端10向證件卡閱讀裝置20返回尋卡響應(yīng)的操作。在該可選實施方式中,可選地,第一身份認證數(shù)據(jù)可以是證件卡閱讀裝置20使用自身的私鑰對待簽名信息進行簽名得到的簽名值,其中,待簽名信息可以是證件卡閱讀裝置20生成的隨機數(shù),證件卡閱讀裝置20可以將該隨機數(shù)以及該隨機數(shù)的簽名值一起攜帶在尋卡請求中發(fā)送;或者,待簽名信息也可以為尋卡請求中攜帶的尋卡請求數(shù)據(jù),具體本實施例不作限定。第一證件卡安全控制設(shè)備40在接收到尋卡請求之后,可以通過第一身份認證數(shù)據(jù)對證件卡閱讀裝置20的身份進行認證,認證通過之后,才向證件卡閱讀裝置20返回尋卡響應(yīng)。當(dāng)然,第一身份認證數(shù)據(jù)除了可以是對待簽名信息進行簽名得到的簽名值以外,還可以為其它數(shù)據(jù),例如,對采用預(yù)先與第一證件卡安全控制設(shè)備40約定的算法對待認證數(shù)據(jù)進行檢驗計算的檢驗值等,具體本實施例不作限定。第一證件卡安全控制設(shè)備40采用相應(yīng)的方式對第一身份認證數(shù)據(jù)進行認證。
為了使證件卡閱讀裝置20能夠確定尋卡響應(yīng)為第一證件卡安全控制設(shè)備40所發(fā)送的,避免非法模擬的第一證件卡安全控制設(shè)備40非法獲取證件卡中存儲的信息,在本發(fā)明實施例的一個可選實施方案中,第一證件卡安全控制設(shè)備40還用于在發(fā)送尋卡響應(yīng)之前,獲取第二身份認證數(shù)據(jù),將第二身份認證數(shù)據(jù)攜帶在尋卡響應(yīng)中。證件卡閱讀裝置20還用于在接收第一證件卡安全控制設(shè)備40通過終端10發(fā)送的尋卡響應(yīng)之后,在將尋卡確認數(shù)據(jù)通過終端10發(fā)送給第一證件卡安全控制設(shè)備40之前,根據(jù)第二身份認證數(shù)據(jù)對第一證件卡安全控制設(shè)備40的身份進行認證,在認證通過的情況下,執(zhí)行將尋卡確認數(shù)據(jù)通過終端10發(fā)送給第一證件卡安全控制設(shè)備40的操作。即在該可選實施方式中,證件卡閱讀裝置20只有在確定了第一證件卡安全控制設(shè)備40的身份的情況下,才將證件卡返回的確認數(shù)據(jù)發(fā)送給第一證件卡安全控制設(shè)備40,避免了證件卡中存儲的信息被非法獲取。
在上述可選實施方式中,可選地,第二身份認證數(shù)據(jù)可以是第一證件卡安全控制設(shè)備40使用自身的私鑰對待簽名信息進行簽名得到的簽名值,其中,該待簽名信息可以是第一證件卡安全控制設(shè)備40生成的隨機數(shù),第一證件卡安全控制設(shè)備40可以將該隨機數(shù)以及該隨機數(shù)的簽名值一起攜帶在尋卡響應(yīng)中發(fā)送給第一證件卡安全控制設(shè)備40;或者,待簽名信息也可以為尋卡響應(yīng)中攜帶的尋卡響應(yīng)數(shù)據(jù),具體本實施例不作限定。證件卡閱讀裝置20在接收到該尋卡響應(yīng)之后,可以通過第二身份認證數(shù)據(jù)對第一證件卡安全控制設(shè)備40的身份進行認證,認證通過之后,才向第一證件卡安全控制設(shè)備40發(fā)送尋卡確認數(shù)據(jù)。當(dāng)然,第二身份認證數(shù)據(jù)除了可以是對待簽名信息進行簽名得到的簽名值以外,還可以為其它數(shù)據(jù),例如,對采用預(yù)先與證件卡閱讀裝置20約定的算法對待認證數(shù)據(jù)進行檢驗計算的檢驗值等,具體本實施例不作限定。證件卡閱讀裝置20采用對應(yīng)的方式對第二身份認證數(shù)據(jù)進行認證。
類似地,為了使第一證件卡安全控制設(shè)備40能夠確定選卡請求為證件卡閱讀裝置20所發(fā)送的,避免非法模擬的證件卡閱讀裝置20對第一證件卡安全控制設(shè)備40的攻擊,在本發(fā)明實施例的一個可選實施方案中,證件卡閱讀裝置20發(fā)送的選卡請求中還可以攜帶有第三身份認證數(shù)據(jù);第一證件卡安全控制設(shè)備40還用于在接收選卡請求之后,通過終端10向證件卡閱讀裝置20發(fā)送選卡請求響應(yīng)之前,根據(jù)選卡請求中攜帶的第三身份認證數(shù)據(jù)對證件卡閱讀裝置20的身份進行認證,在認證通過的情況下,執(zhí)行通過終端10向證件卡閱讀裝置20發(fā)送選卡請求響應(yīng)的操作。與上述第一身份認證數(shù)據(jù)相似,第三身份認證數(shù)據(jù)也可以為證件卡閱讀裝置20利用自身私鑰對待簽名信息進行簽名得到的簽名值,或者,也可以為采用預(yù)定與第一證件卡安全控制設(shè)備40約定的算法對待認證數(shù)據(jù)進行檢驗計算得到的檢驗址,具體不再贅述。
另外,為了使證件卡閱讀裝置20能夠確定選卡請求響應(yīng)為第一證件卡安全控制設(shè)備40所發(fā)送的,避免非法模擬的第一證件卡安全控制設(shè)備40非法獲取證件卡中存儲的信息,在本發(fā)明實施例的一個可選實施方案中,第一證件卡安全控制設(shè)備40還用于在發(fā)送選卡請求響應(yīng)之前,獲取第四身份認證數(shù)據(jù),將第四身份認證數(shù)據(jù)攜帶在選卡請求響應(yīng)中;證件卡閱讀裝置20還用于在接收第一證件卡安全控制設(shè)備40發(fā)送的選卡請求響應(yīng)之后,將選卡確認數(shù)據(jù)通過終端10發(fā)送給第一證件卡安全控制設(shè)備40之前,解析選卡請求響應(yīng)中攜帶的信息,獲取選卡請求響應(yīng)中攜帶的第四身份認證數(shù)據(jù),并根據(jù)第四身份認證數(shù)據(jù)對第一證件卡安全控制設(shè)備40的身份進行認證,在認證通過的情況下,執(zhí)行將選卡確認數(shù)據(jù)通過終端10發(fā)送給第一證件卡安全控制設(shè)備40的操作。同樣,與第二身份認證數(shù)據(jù)類似,第四身份認證數(shù)據(jù)可以是第一證件卡安全控制設(shè)備40使用自身的私鑰對待簽名信息進行簽名得到的簽名值,或者,也可以為采用預(yù)定與證件卡閱讀裝置20約定的算法對待認證數(shù)據(jù)進行檢驗計算得到的檢驗址,具體不再贅述。
同樣,為了使第一證件卡安全控制設(shè)備40能夠確定讀卡請求為證件卡閱讀裝置20所發(fā)送的,避免非法模擬的證件卡閱讀裝置20對第一證件卡安全控制設(shè)備40的攻擊,在本發(fā)明實施例的一個可選實施方案中,證件卡閱讀裝置20發(fā)送的讀卡請求中至少攜帶第五身份認證數(shù)據(jù);第一證件卡安全控制設(shè)備40還用于在接收讀卡請求之后,啟動讀取證件卡信息的流程之前,根據(jù)讀卡請求中攜帶的第五認證數(shù)據(jù)對證件卡閱讀裝置20的身份進行認證,在認證通過的情況下,執(zhí)行啟動讀取證件卡信息的流程的操作。
在本發(fā)明實施例的一個可選實施方案中,第一證件卡安全控制設(shè)備40啟動讀取證件卡信息的流程之后,在讀取證件卡信息的流程之中,第一證件卡安全控制設(shè)備40與證件卡之間可以通過證件卡閱讀裝置20和終端10進行相互認證,證件卡只有在對第一證件卡安全控制設(shè)備40認證通過之后,才允許將其存儲的信息讀出,而第一證件卡安全控制設(shè)備40只有在對證件卡認證通過之后,才接收證件卡發(fā)送的信息,進而對證件卡發(fā)送的信息進行處理,以得到可讀的證件卡信息。第一證件卡安全控制設(shè)備40與證件卡之間的具體認證流程可以參見實施例3中的描述,在此不贅述。
為了保證證件卡閱讀裝置20與第一證件卡安全控制設(shè)備40之間的數(shù)據(jù)傳輸安全,在本發(fā)明實施例的一個可選實施方案中,證件卡閱讀裝置20與第一證件卡安全控制設(shè)備40還用于在第一證件卡安全控制設(shè)備40啟動讀取證件卡信息的流程之前,通過終端10進行協(xié)商,雙方得到會話密鑰;以及在證件卡閱讀裝置20與第一證件卡安全控制設(shè)備40得到會話密鑰之后,在證件卡閱讀裝置20與第一證件卡安全控制設(shè)備40的后續(xù)通信過程中,證使用會話密鑰分別對發(fā)送和接收的數(shù)據(jù)進行加密和解密。在具體應(yīng)用中,證件卡閱讀裝置20與第一證件卡安全控制設(shè)備40可以在證件卡閱讀裝置20發(fā)送尋卡請求之前進行會話密鑰的協(xié)商,也可以是在發(fā)送尋卡請求時開始執(zhí)行會話密鑰的協(xié)商,還可以是在證件卡閱讀裝置20將尋卡請求發(fā)送至第一證件卡安全控制設(shè)備40之后,啟動會話密鑰的協(xié)商,具體本實施例不作限定。證件卡閱讀裝置20與第一證件卡安全控制設(shè)備40之間的會話密鑰協(xié)商過程可以參見實施例3的描述,在此不再贅述。
在本發(fā)明實施例的一個可選實施方案中,一個終端10可以連接多個證件卡安全控制設(shè)備,因此,在該可選實施方案中,終端10還用于在向第一證件卡安全控制設(shè)備40發(fā)送尋卡請求之前,從多個證件卡安全控制設(shè)備中選擇出第一證件卡安全控制設(shè)備40。
在本發(fā)明實施例的一個可選實施方案中,終端10選擇證件卡安全控制設(shè)備的方式包括但不限于以下之一:
(1)從預(yù)先存儲的對應(yīng)關(guān)系中選擇與證件卡閱讀裝置20對應(yīng)的證件卡安全控制設(shè)備,其中,該對應(yīng)關(guān)系中記錄了多個證件卡安全控制設(shè)備中每個證件卡安全控制設(shè)備對應(yīng)的一個或多個證件卡閱讀裝置;
例如,終端10連接多個證件卡安全控制設(shè)備,并可以存儲多個證件卡安全控制設(shè)備中的每個證件卡安全控制設(shè)備與多個證件卡閱讀裝置的對應(yīng)關(guān)系。其中,該對應(yīng)關(guān)系也可以按照一定規(guī)則進行設(shè)定,例如,可以按照地理區(qū)域進行劃分,同一個區(qū)域的多個證件卡閱讀裝置對應(yīng)同一個證件卡安全控制設(shè)備,或者,也可以給每個證件卡閱讀裝置分配一個ID,按照ID號進行劃分,ID在同一范圍內(nèi)的證件卡閱讀裝置對應(yīng)同一個證件卡安全控制設(shè)備,或者,也可以按照各個證件卡閱讀裝置在網(wǎng)絡(luò)中的地址(例如IP地址)進行劃分。通過該可選實施方案,可以通過終端10,將多個證件卡閱讀裝置對應(yīng)到一個證件卡安全控制設(shè)備,提高了證件卡安全控制設(shè)備的利用率和系統(tǒng)可管理性,并且,通過將多個證件卡閱讀裝置對應(yīng)到一個證件卡安全控制設(shè)備,如果出現(xiàn)故障,也可以迅速地對故障進行定位。
例如,在銀行系統(tǒng)中,可以在一個營業(yè)點設(shè)置多個證件卡安全控制設(shè)備,終端10中可以設(shè)置一個對應(yīng)關(guān)系,對前端的證件卡閱讀裝置進行編號,然后在對應(yīng)關(guān)系中記錄對應(yīng)每個證件卡閱讀裝置的證件卡安全控制設(shè)備。對于多個營業(yè)點共用多個證件卡安全控制設(shè)備的情形,終端中可以設(shè)置一個對應(yīng)關(guān)系,記錄來自每個營業(yè)點的證件卡閱讀裝置對應(yīng)證件卡安全控制設(shè)備,或者,也可以按照前端的證件卡閱讀裝置的IP地址進行證件卡安全控制設(shè)備的分配。
(2)選擇所述多個證件卡安全控制設(shè)備中當(dāng)前工作狀態(tài)為空閑的證件卡安全控制設(shè)備作為所述第一證件卡安全控制設(shè)備。
例如,終端10可以記錄系統(tǒng)中多個證件卡安全控制設(shè)備中每個證件卡安全控制設(shè)備的工作狀態(tài),在接收到來自證件卡閱讀裝置20的尋卡請求時,終端10可以根據(jù)各個證件卡安全控制設(shè)備的工作狀態(tài),選擇當(dāng)前工作狀態(tài)為空閑的證件卡安全控制設(shè)備作為與證件卡閱讀裝置對應(yīng)的證件卡安全控制設(shè)備,并將選擇的證件卡安全控制設(shè)備的工作狀態(tài)標(biāo)記為非空閑。通過該可選實施方案,可以避免一個證件卡安全控制設(shè)備同時接收到多個終端的信息,而導(dǎo)致處理效率下降的情況。
在本發(fā)明實施例的一個可選實施方案中,為了快速釋放未使用的證件卡安全控制設(shè)備,終端10還可以證件卡閱讀裝置與選擇的證件卡安全控制設(shè)備通信結(jié)束后,將選擇的證件卡安全控制設(shè)備的工作狀態(tài)標(biāo)記為空閑。當(dāng)然,在具體實施過程中,如果所有證件卡安全控制設(shè)備都處理非空閑狀態(tài),還可以根據(jù)各個證件卡安全控制設(shè)備的負荷狀態(tài)選擇證件卡安全控制設(shè)備,以達到負載均衡。
例如,在銀行系統(tǒng)中,可以在一個營業(yè)點或多個營業(yè)點或全網(wǎng)設(shè)置多個證件卡安全控制設(shè)備,設(shè)置空閑證件卡安全控制設(shè)備池,終端10在接收到來自前端的證件卡閱讀裝置發(fā)送的請求時,從空閑證件卡安全控制設(shè)備池取出一個證件卡安全控制設(shè)備,將該證件卡安全控制設(shè)備分配給當(dāng)前的證件卡閱讀裝置,由該證件卡安全控制設(shè)備處理當(dāng)前的證件卡閱讀裝置的相關(guān)請求,并將該證件卡安全控制設(shè)備從空閑證件卡安全控制設(shè)備池中移出,在使用完之后,再將該證件卡安全控制設(shè)備放入空閑證件卡安全控制設(shè)備池。
通過上述可選實施方式,終端10可以根據(jù)具體應(yīng)用為證件卡閱讀裝置20選擇合適的證件卡安全控制設(shè)備,從而可以在提高證件卡安全控制設(shè)備的利用率的同時,提高數(shù)據(jù)處理的效率。
在本發(fā)明實施例的一個可選實施方案中,如圖1所示,該系統(tǒng)還可以包括:存儲裝置50。則在該可選實施方案中,終端10在接收到證件卡信息后,還用于將證件卡信息發(fā)送給存儲裝置50;存儲裝置50還用于存儲接收到的證件卡信息。通過該可選實施方式,后續(xù)需要出示證件卡信息時,可以直接從存儲裝置50中獲取,從而避免了用戶隨身攜帶證件卡而給用戶帶來不便的問題。
在具體實施過程中,存儲裝置50可以設(shè)置在終端10中,作為終端10的一個部分,也可以設(shè)置在終端10之外??梢詾閱我淮鎯υO(shè)備,也可以是和其他功能合一設(shè)置的設(shè)備,例如,可以為電子簽名設(shè)備(例如工行U盾、農(nóng)行K寶等)。另外,證件卡信息可以是明文存儲到存儲裝置50中,也可以是加密存儲到存儲裝置50中,具體本實施例不作限定。
在本發(fā)明實施例的一個可選實施方案中,如圖1所示,該系統(tǒng)還可以顯示裝置60。在該可選實施方案中,終端10還用于將證件卡信息發(fā)送至顯示裝置60;顯示裝置60,用于顯示證件卡信息。通過該可選實施方式,可以顯示讀取到的證件卡信息,從而可以使用戶獲知證件卡中存儲的證件卡信息。
在具體實施過程中,顯示裝置60可以設(shè)置在終端10中,作為終端10的一部分,也可以獨立于終端10之外設(shè)置,具體本實施例不作限定。
在本發(fā)明實施例的另一個可選實施方案中,證件卡閱讀裝置20也可以將接收到的證件卡信息發(fā)送給外部存儲裝置存儲,因此,在該可選實施方式中,證件卡閱讀裝置20在獲取到證件卡信息后,還用于將證件卡信息發(fā)送給存儲裝置50;存儲裝置50還用于存儲接收到的證件卡信息。通過該可選實施方式,后續(xù)需要出示證件卡信息時,可以直接從存儲裝置50中獲取,從而避免了用戶隨身攜帶證件卡而給用戶帶來不便的問題。在該可選實施方式中,存儲裝置50可以為單一存儲設(shè)備,也可以是和其他功能合一設(shè)置的設(shè)備,例如,可以為電子簽名設(shè)備(例如工行U盾、農(nóng)行K寶等)。另外,證件卡信息可以是明文存儲到存儲裝置50中,也可以是加密存儲到存儲裝置50中,具體本實施例不作限定。
在本發(fā)明實施例的另一個可選實施方案中,證件卡閱讀裝置20在接收到證件卡信息后,如果證件卡閱讀裝置20具有顯示模塊,則可以通過顯示模塊顯示接收到的證件卡信息,如果證件卡閱讀裝置20不具有顯示模塊,則證件卡閱讀裝置20可以將證件卡信息發(fā)送給外部顯示裝置存儲。因此,在該可選實施方式中,證件卡閱讀裝置20還用于將證件卡信息發(fā)送至顯示裝置60;顯示裝置60,用于顯示證件卡信息。通過該可選實施方式,可以顯示讀取到的證件卡信息,從而可以使用戶獲知證件卡中存儲的證件卡信息。
在本發(fā)明實施例的一個可選實施方案中,終端10還可以在第一證件卡安全控制設(shè)備40啟動讀取證件卡信息的流程之前,與第一證件卡安全控制設(shè)備40進行互相認證,并在互相認證均通過后,第一證件卡安全控制設(shè)備40才可以啟動讀取證件卡信息的流程,例如第一證件卡安全控制設(shè)備40與終端10可以通過互相認證對方證書的合法性的方式來進行認證,當(dāng)然本發(fā)明并不局限于認證證書這一方式,其他可以互相認證對方身份合法的方式均應(yīng)屬于本發(fā)明的保護范圍。這樣,終端10可以認證第一證件卡安全控制設(shè)備40的真實性和安全性,第一證件卡安全控制設(shè)備40也可以認證終端的真實性和安全性,由此可以保證終端10與第一證件卡安全控制設(shè)備40之間信息交互的安全性。
由此可見,本發(fā)明實施例提供的證件卡信息獲取系統(tǒng)中,終端10通過證件卡閱讀裝置20連接證件卡,并可以協(xié)助第一證件卡安全控制設(shè)備40從證件卡獲取證件卡信息,并在設(shè)置多個終端時,每個終端均與第一證件卡安全控制設(shè)備進行連接,由此可以提高第一證件卡安全控制設(shè)備的利用率。
實施例2
本實施例提供了一種證件卡信息獲取裝置,該裝置可以設(shè)置在上述實施例1的證件卡閱讀裝置20中,用于獲取證件卡中存儲的證件卡信息。
圖2為本實施例提供的證件卡信息獲取裝置的結(jié)構(gòu)示意圖,如圖2所示,該裝置主要包括:第一收發(fā)模塊200、第二收發(fā)模塊202和處理模塊206。其中,第一收發(fā)模塊200,用于接收終端發(fā)送操作請求;第二收發(fā)模塊202,用于周期性的廣播尋卡指令,并接收證件卡返回的響應(yīng)消息;處理模塊206,用于判斷響應(yīng)消息為針對尋卡指令的尋卡確認數(shù)據(jù);如果是,則指示第二收發(fā)模塊202停止廣播尋卡指令,并指示第一收發(fā)模塊200通過終端向第一證件卡安全控制設(shè)備發(fā)送尋卡請求;第一收發(fā)模塊200,還用于通過終端發(fā)送尋卡請求,并接收第一證件卡安全控制設(shè)備通過終端返回的尋卡響應(yīng);處理模塊206,還用于從尋卡響應(yīng)中獲取尋卡響應(yīng)數(shù)據(jù),確定尋卡響應(yīng)數(shù)據(jù)為響應(yīng)尋卡請求的響應(yīng)數(shù)據(jù),指示第一收發(fā)模塊200將尋卡確認數(shù)據(jù)通過終端發(fā)送給第一證件卡安全控制設(shè)備;第二收發(fā)模塊202,還用于向證件卡發(fā)送選卡指令,并接收證件卡發(fā)送的選卡確認數(shù)據(jù),其中,選卡確認數(shù)據(jù)至少包括證件卡的唯一標(biāo)識信息;第一收發(fā)模塊200,還用于通過終端向第一證件卡安全控制設(shè)備發(fā)送選卡請求,以及接收第一證件卡安全控制設(shè)備通過終端發(fā)送的選卡請求響應(yīng);處理模塊206,還用于確定選卡請求響應(yīng)為針對選卡請求的響應(yīng)數(shù)據(jù),指示第一收發(fā)模塊200將選卡確認數(shù)據(jù)通過終端發(fā)送給第一證件卡安全控制設(shè)備;第二收發(fā)模塊202,還用于向證件卡發(fā)送讀卡指令,以及接收證件卡返回的讀卡確認數(shù)據(jù);第一收發(fā)模塊200,還用于通過終端向第一證件卡安全控制設(shè)備發(fā)送讀卡請求,指示第一證件卡安全控制設(shè)備啟動讀取證件卡信息的流程;處理模塊206,還用于在讀取證件卡信息的流程中,通過第一收發(fā)模塊200和第二收發(fā)模塊202,轉(zhuǎn)發(fā)第一證件卡安全控制設(shè)備與證件卡之間交互的信息。具體地,在讀取證件卡信息的流程中,第一收發(fā)模塊200接收第一證件卡安全控制設(shè)備通過終端發(fā)送的第一交互信息,并將證件卡發(fā)送的第二交互信息通過終端發(fā)送給第一證件卡安全控制設(shè)備;以及接收第一證件卡安全控制設(shè)備通過終端發(fā)送的從證件卡中讀取的證件卡信息;第二收發(fā)模塊202將第一收發(fā)模塊204接收到的第一交互信息發(fā)送給證件卡,以及接收證件卡發(fā)送的第二交互信息。
為了使第一證件卡安全控制設(shè)備40能夠確定尋卡請求為證件卡信息獲取裝置所發(fā)送的,避免非法模擬的證件卡信息獲取裝置對第一證件卡安全控制設(shè)備40的攻擊,在本發(fā)明實施例的一個可選實施方案中,處理模塊206還用于在第一收發(fā)模塊200發(fā)送尋卡請求之前,獲取第一身份認證數(shù)據(jù),并將第一身份認證數(shù)據(jù)攜帶在尋卡請求中。在該可選實施方式中,可選地,第一身份認證數(shù)據(jù)可以是證件卡信息獲取裝置使用自身的私鑰對待簽名信息進行簽名得到的簽名值,其中,待簽名信息可以是證件卡信息獲取裝置生成的隨機數(shù),證件卡信息獲取裝置可以將該隨機數(shù)以及該隨機數(shù)的簽名值一起攜帶在尋卡請求中發(fā)送;或者,待簽名信息也可以為尋卡請求中攜帶的尋卡請求數(shù)據(jù),具體本實施例不作限定。第一證件卡安全控制設(shè)備40在接收到尋卡請求之后,可以通過第一身份認證數(shù)據(jù)對證件卡信息獲取裝置的身份進行認證,認證通過之后,才向證件卡信息獲取裝置返回尋卡響應(yīng)。當(dāng)然,第一身份認證數(shù)據(jù)除了可以是對待簽名信息進行簽名得到的簽名值以外,還可以為其它數(shù)據(jù),例如,對采用預(yù)先與第一證件卡安全控制設(shè)備40約定的算法對待認證數(shù)據(jù)進行檢驗計算的檢驗值等,具體本實施例不作限定。
為了使證件卡信息獲取裝置能夠確定尋卡響應(yīng)為第一證件卡安全控制設(shè)備40所發(fā)送的,避免非法模擬的第一證件卡安全控制設(shè)備40非法獲取證件卡中存儲的信息,在本發(fā)明實施例的一個可選實施方案中,尋卡響應(yīng)中至少攜帶有第二身份認證數(shù)據(jù);處理模塊206,還用于在第一收發(fā)模塊200接收第一證件卡安全控制設(shè)備通過終端發(fā)送的尋卡響應(yīng)之后,將尋卡確認數(shù)據(jù)通過終端發(fā)送給第一證件卡安全控制設(shè)備之前,根據(jù)第二身份認證數(shù)據(jù)對第一證件卡安全控制設(shè)備的身份進行認證,在認證通過的情況下,觸發(fā)第一收發(fā)模塊200將尋卡確認數(shù)據(jù)通過終端發(fā)送給第一證件卡安全控制設(shè)備。即在該可選實施方式中,處理模塊206只有在確定了第一證件卡安全控制設(shè)備40的身份的情況下,才觸發(fā)第一收發(fā)模塊200將證件卡返回的確認數(shù)據(jù)發(fā)送給第一證件卡安全控制設(shè)備40,避免了證件卡中存儲的信息被非法獲取。
在上述可選實施方式中,可選地,第二身份認證數(shù)據(jù)可以是第一證件卡安全控制設(shè)備40使用自身的私鑰對待簽名信息進行簽名得到的簽名值,其中,該待簽名信息可以是第一證件卡安全控制設(shè)備40生成的隨機數(shù),第一證件卡安全控制設(shè)備40可以將該隨機數(shù)以及該隨機數(shù)的簽名值一起攜帶在尋卡響應(yīng)中發(fā)送給第一證件卡安全控制設(shè)備40;或者,待簽名信息也可以為尋卡響應(yīng)中攜帶的尋卡響應(yīng)數(shù)據(jù),具體本實施例不作限定。證件卡信息獲取裝置20在接收到該尋卡響應(yīng)之后,可以通過第二身份認證數(shù)據(jù)對第一證件卡安全控制設(shè)備40的身份進行認證,認證通過之后,才向第一證件卡安全控制設(shè)備40發(fā)送尋卡確認數(shù)據(jù)。當(dāng)然,第二身份認證數(shù)據(jù)除了可以是對待簽名信息進行簽名得到的簽名值以外,還可以為其它數(shù)據(jù),例如,對采用預(yù)先與證件卡信息獲取裝置約定的算法對待認證數(shù)據(jù)進行檢驗計算的檢驗值等,具體本實施例不作限定。
類似地,為了使第一證件卡安全控制設(shè)備40能夠確定選卡請求為證件卡信息獲取裝置所發(fā)送的,避免非法模擬的證件卡信息獲取裝置對第一證件卡安全控制設(shè)備40的攻擊,在本發(fā)明實施例的一個可選實施方案中,處理模塊206,還用于在第一收發(fā)模塊200發(fā)送選卡請求之前,獲取第三身份認證數(shù)據(jù),將第三身份認證數(shù)據(jù)攜帶在選卡請求中。與上述第一身份認證數(shù)據(jù)相似,第三身份認證數(shù)據(jù)也可以為證件卡信息獲取裝置利用自身私鑰對待簽名信息進行簽名得到的簽名值,或者,也可以為采用預(yù)定與第一證件卡安全控制設(shè)備40約定的算法對待認證數(shù)據(jù)進行檢驗計算得到的檢驗址,具體不再贅述。
另外,為了使證件卡信息獲取裝置能夠確定選卡請求響應(yīng)為第一證件卡安全控制設(shè)備40所發(fā)送的,避免非法模擬的第一證件卡安全控制設(shè)備40非法獲取證件卡中存儲的信息,在本發(fā)明實施例的一個可選實施方案中,選卡請求響應(yīng)中至少攜帶有第四身份認證數(shù)據(jù);處理模塊206,還用于在第一收發(fā)模塊200接收第一證件卡安全控制設(shè)備發(fā)送的選卡請求響應(yīng)之后,將選卡確認數(shù)據(jù)通過終端發(fā)送給第一證件卡安全控制設(shè)備之前,解析選卡請求響應(yīng)中攜帶的信息,獲取選卡請求響應(yīng)中攜帶的第四身份認證數(shù)據(jù),并根據(jù)第四身份認證數(shù)據(jù)對第一證件卡安全控制設(shè)備的身份進行認證,在認證通過的情況下,觸發(fā)第一收發(fā)模塊200將選卡確認數(shù)據(jù)通過終端發(fā)送給第一證件卡安全控制設(shè)備。同樣,與第二身份認證數(shù)據(jù)類似,第四身份認證數(shù)據(jù)可以是第一證件卡安全控制設(shè)備40使用自身的私鑰對待簽名信息進行簽名得到的簽名值,或者,也可以為采用預(yù)定與證件卡信息獲取裝置約定的算法對待認證數(shù)據(jù)進行檢驗計算得到的檢驗值,具體不再贅述。
同樣,為了使第一證件卡安全控制設(shè)備能夠確定讀卡請求為證件卡信息獲取裝置所發(fā)送的,避免非法模擬的證件卡信息獲取裝置對第一證件卡安全控制設(shè)備的攻擊,在本發(fā)明實施例的一個可選實施方案中,處理模塊206,還用于在第一收發(fā)模塊200發(fā)送讀卡請求之前,獲取第五身份認證數(shù)據(jù),將第五身份認證數(shù)據(jù)攜帶在讀卡請求中。
為了保證與第一證件卡安全控制設(shè)備40之間的數(shù)據(jù)傳輸安全,在本發(fā)明實施例的一個可選實施方案中,處理模塊206,還用于在第一證件卡安全控制設(shè)備啟動讀取證件卡信息的流程之前,通過終端與第一證件卡安全控制設(shè)備進行協(xié)商,得到會話密鑰;以及在與第一證件卡安全控制設(shè)備的后續(xù)通信過程中,使用會話密鑰分別對第一收發(fā)模塊200發(fā)送給第一證件卡安全控制設(shè)備的數(shù)據(jù)進行加密發(fā)送和對第一收發(fā)模塊200接收到的來自第一證件卡安全控制設(shè)備的數(shù)據(jù)進行解密。在具體應(yīng)用中,與第一證件卡安全控制設(shè)備40的會話密鑰協(xié)商可以在第一收發(fā)模塊200發(fā)送尋卡請求之前進行會話密鑰的協(xié)商,也可以是在發(fā)送尋卡請求時開始執(zhí)行會話密鑰的協(xié)商,還可以是在將尋卡請求發(fā)送至第一證件卡安全控制設(shè)備40之后,啟動會話密鑰的協(xié)商,具體本實施例不作限定。與第一證件卡安全控制設(shè)備40之間的會話密鑰協(xié)商過程可以參見實施例3的描述,在此不再贅述。
實施例3
本實施例提供了一種證件卡信息獲取方法,該方法可以通過上述實施例1至2所提供的系統(tǒng)或裝置實施。
圖3為根據(jù)本實施例的證件卡信息獲取方法的流程示意圖,如圖3所示,該方法主要包括以下步驟S301至步驟S320。
步驟S301,終端向證件卡閱讀裝置發(fā)送操作請求。
在具體實施過程中,終端與證件卡閱讀裝置之間可以通過有線連接(例如,USB接口、串口、音頻接口等),也可以通過無線連接(例如WIFI、藍牙、紅外、NFC等)。
在本實施例中,用戶在需要讀取證件卡中存儲的證件卡信息時,通過終端向證件卡閱讀裝置發(fā)送操作請求,指示證件卡閱讀裝置需要讀取證件卡中存儲的證件卡信息。例如,用戶可以通過終端中的某個按鍵向終端輸入操作指令,終端響應(yīng)用戶輸入的操作指令,向證件卡閱讀裝置發(fā)送操作請求。
另外,證件卡中存儲的證件卡信息是加密存儲的,由于證件卡的特殊性,只有證件卡安全控制設(shè)備才能對證件卡中存儲的證件卡信息進行解密。在具體實施過程中,可以在讀卡請求中對需要第一證件卡安全控制設(shè)備進行解密的內(nèi)容進行設(shè)置,例如,可以設(shè)置第一證件卡安全控制設(shè)備只讀取證件卡中存儲的基本信息(例如,姓名、性別、出生年月等),也可以設(shè)置第一證件卡安全控制設(shè)備讀取證件卡中存儲的基本信息+照片,還可以設(shè)置第一證件卡安全控制設(shè)備讀取證件卡中存儲的基本信息+照片+指紋信息等,具體可以根據(jù)需要進行設(shè)置。在具體實施過程中,可以由用戶在終端進行設(shè)置,設(shè)置完成后,通過操作請求發(fā)送給證件卡閱讀裝置,證件卡閱讀裝置根據(jù)用戶的設(shè)置,在讀卡過程中,將設(shè)置信息發(fā)送給第一證件卡安全控制設(shè)備。
步驟S302,證件卡閱讀裝置接收操作請求,周期性的廣播尋卡指令。
在具體實施過程中,證件卡閱讀裝置可以通過其射頻(RF)天線,周期性的廣播尋卡指令,如果在證件卡閱讀裝置的可讀范圍內(nèi)存在證件卡,則該證件卡能夠接收到該尋卡指令,并對該尋卡指令進行響應(yīng)。
步驟S303,證件卡閱讀裝置接收到證件卡返回的響應(yīng)消息,判斷響應(yīng)消息為針對上述尋卡指令的尋卡確認數(shù)據(jù)。
在本實施例中,證件卡閱讀裝置通過其RF射頻模塊每間隔一段時間向外發(fā)送尋卡指令,證件卡接收到該尋卡指令后,向證件卡閱讀裝置返回攜帶尋卡確認數(shù)據(jù)的響應(yīng)消息,證件卡閱讀裝置確定接收到證件卡發(fā)送的尋卡確認數(shù)據(jù)后,執(zhí)行步驟S304。
步驟S304,證件卡閱讀裝置停止廣播尋卡指令,向終端發(fā)送尋卡請求。
在本實施例中,尋卡請求中可以攜帶尋卡請求數(shù)據(jù),以使證件卡安全控制設(shè)備能夠獲知接收到的尋卡請求的類型。
步驟s305,終端接收尋卡請求,向第一證件卡安全控制設(shè)備發(fā)送尋卡請求。
在具體應(yīng)用中,與終端連接的證件卡安全控制設(shè)備可以為一個(即第一證件卡安全控制設(shè)備),也可以為多個,在為多個的情況下,終端在發(fā)送尋卡請求之前,將為證件卡閱讀裝置選擇一個證件卡安全控制設(shè)備(即第一證件卡安全控制設(shè)備)。
在本發(fā)明實施例的一個可選實施方案中,終端選擇證件卡安全控制設(shè)備的方式包括但不限于以下之一:
(1)從預(yù)先存儲的對應(yīng)關(guān)系中選擇與證件卡閱讀裝置對應(yīng)的證件卡安全控制設(shè)備,其中,該對應(yīng)關(guān)系中記錄了多個證件卡安全控制設(shè)備中每個證件卡安全控制設(shè)備對應(yīng)的一個或多個證件卡閱讀裝置;
例如,終端連接多個證件卡安全控制設(shè)備,并可以存儲多個證件卡安全控制設(shè)備中的每個證件卡安全控制設(shè)備與多個證件卡閱讀裝置的對應(yīng)關(guān)系。其中,該對應(yīng)關(guān)系也可以按照一定規(guī)則進行設(shè)定,例如,可以按照地理區(qū)域進行劃分,同一個區(qū)域的多個證件卡閱讀裝置對應(yīng)同一個證件卡安全控制設(shè)備,或者,也可以給每個證件卡閱讀裝置分配一個ID,按照ID號進行劃分,ID在同一范圍內(nèi)的證件卡閱讀裝置對應(yīng)同一個證件卡安全控制設(shè)備,或者,也可以按照各個證件卡閱讀裝置在網(wǎng)絡(luò)中的地址(例如IP地址)進行劃分。通過該可選實施方案,可以將多個證件卡閱讀裝置對應(yīng)到一個證件卡安全控制設(shè)備,提高了證件卡安全控制設(shè)備的利用率和系統(tǒng)可管理性,并且,通過將多個證件卡閱讀裝置對應(yīng)到一個證件卡安全控制設(shè)備,如果出現(xiàn)故障,也可以迅速地對故障進行定位。
例如,在銀行系統(tǒng)中,可以在一個營業(yè)點設(shè)置多個證件卡安全控制設(shè)備,終端中可以設(shè)置一個對應(yīng)關(guān)系,對前端的證件卡閱讀裝置進行編號,然后在對應(yīng)關(guān)系中記錄對應(yīng)每個證件卡閱讀裝置的證件卡安全控制設(shè)備。對于多個營業(yè)點共用多個證件卡安全控制設(shè)備的情形,終端中可以設(shè)置一個對應(yīng)關(guān)系,記錄來自每個營業(yè)點的證件卡閱讀裝置對應(yīng)證件卡安全控制設(shè)備,或者,也可以按照前端的證件卡閱讀裝置的IP地址進行證件卡安全控制設(shè)備的分配。
(2)選擇所述多個證件卡安全控制設(shè)備中當(dāng)前工作狀態(tài)為空閑的證件卡安全控制設(shè)備作為所述第一證件卡安全控制設(shè)備。
例如,終端可以記錄系統(tǒng)中多個證件卡安全控制設(shè)備中每個證件卡安全控制設(shè)備的工作狀態(tài),在接收到來自證件卡閱讀裝置的尋卡請求時,終端可以根據(jù)各個證件卡安全控制設(shè)備的工作狀態(tài),選擇當(dāng)前工作狀態(tài)為空閑的證件卡安全控制設(shè)備作為與證件卡閱讀裝置對應(yīng)的證件卡安全控制設(shè)備(即第一證件卡安全控制設(shè)備),并將選擇的證件卡安全控制設(shè)備的工作狀態(tài)標(biāo)記為非空閑。通過該可選實施方案,可以避免一個證件卡安全控制設(shè)備同時接收到多個終端的信息,而導(dǎo)致處理效率下降的情況。
在本發(fā)明實施例的一個可選實施方案中,為了快速釋放未使用的證件卡安全控制設(shè)備,終端還可以證件卡閱讀裝置與選擇的證件卡安全控制設(shè)備通信結(jié)束后,將選擇的證件卡安全控制設(shè)備的工作狀態(tài)標(biāo)記為空閑。當(dāng)然,在具體實施過程中,如果所有證件卡安全控制設(shè)備都處理非空閑狀態(tài),還可以根據(jù)各個證件卡安全控制設(shè)備的負荷狀態(tài)選擇證件卡安全控制設(shè)備,以達到負載均衡。
例如,在銀行系統(tǒng)中,可以在一個營業(yè)點或多個營業(yè)點或全網(wǎng)設(shè)置多個證件卡安全控制設(shè)備,在終端中設(shè)置空閑證件卡安全控制設(shè)備池,終端在接收到來自前端的證件卡閱讀裝置發(fā)送的尋卡請求時,從空閑證件卡安全控制設(shè)備池取出一個證件卡安全控制設(shè)備,將該證件卡安全控制設(shè)備分配給當(dāng)前的證件卡閱讀裝置,由該證件卡安全控制設(shè)備處理當(dāng)前的證件卡閱讀裝置的相關(guān)請求,并將該證件卡安全控制設(shè)備從空閑證件卡安全控制設(shè)備池中移出,在使用完之后,再將該證件卡安全控制設(shè)備放入空閑證件卡安全控制設(shè)備池。
通過上述可選實施方式,終端可以根據(jù)具體應(yīng)用為證件卡閱讀裝置選擇合適的證件卡安全控制設(shè)備,從而可以在提高證件卡安全控制設(shè)備的利用率的同時,提高數(shù)據(jù)處理的效率。
步驟S306,第一證件卡安全控制設(shè)備接收尋卡請求,通過終端向證件卡閱讀裝置發(fā)送尋卡響應(yīng),其中,尋卡響應(yīng)中攜帶有尋卡響應(yīng)數(shù)據(jù)。
為了使第一證件卡安全控制設(shè)備能夠確定尋卡請求為證件卡閱讀裝置所發(fā)送的,避免非法模擬的證件卡信息獲取裝置對第一證件卡安全控制設(shè)備的攻擊,在本發(fā)明實施例的一個可選實施方案中,證件卡閱讀裝置發(fā)送的尋卡請求中至少攜帶有第一身份認證數(shù)據(jù);第一證件卡安全控制設(shè)備在通過終端向證件卡閱讀裝置返回尋卡響應(yīng)之前,該方法還可以包括:第一證件卡安全控制設(shè)備根據(jù)尋卡請求中攜帶的第一身份認證數(shù)據(jù)對證件卡閱讀裝置的身份進行認證,在認證通過的情況下,執(zhí)行通過終端向證件卡閱讀裝置返回尋卡響應(yīng)的步驟。
在該可選實施方式中,可選地,第一身份認證數(shù)據(jù)可以是證件卡閱讀裝置使用自身的私鑰對待簽名信息進行簽名得到的簽名值,其中,待簽名信息可以是證件卡閱讀裝置生成的隨機數(shù),證件卡閱讀裝置可以將該隨機數(shù)以及該隨機數(shù)的簽名值一起攜帶在尋卡請求中發(fā)送;或者,待簽名信息也可以為尋卡請求中攜帶的尋卡請求數(shù)據(jù),具體本實施例不作限定。第一證件卡安全控制設(shè)備在接收到尋卡請求之后,可以通過第一身份認證數(shù)據(jù)對證件卡閱讀裝置的身份進行認證,認證通過之后,才向證件卡閱讀裝置返回尋卡響應(yīng)。當(dāng)然,第一身份認證數(shù)據(jù)除了可以是對待簽名信息進行簽名得到的簽名值以外,還可以為其它數(shù)據(jù),例如,對采用預(yù)先與第一證件卡安全控制設(shè)備約定的算法對待認證數(shù)據(jù)進行檢驗計算的檢驗值等,具體本實施例不作限定。第一證件卡安全控制設(shè)備采用相應(yīng)的方式對第一身份認證數(shù)據(jù)進行認證。
步驟S307,證件卡閱讀裝置接收第一證件卡安全控制設(shè)備發(fā)送的尋卡響應(yīng),獲取尋卡響應(yīng)數(shù)據(jù)。
步驟S308,證件卡閱讀裝置確定尋卡響應(yīng)數(shù)據(jù)為響應(yīng)尋卡請求的響應(yīng)數(shù)據(jù),將尋卡確認數(shù)據(jù)通過終端發(fā)送給第一證件卡安全控制設(shè)備。
為了使證件卡閱讀裝置能夠確定尋卡響應(yīng)為第一證件卡安全控制設(shè)備所發(fā)送的,避免非法模擬的第一證件卡安全控制設(shè)備非法獲取證件卡中存儲的信息,在本發(fā)明實施例的一個可選實施方案中,第一證件卡安全控制設(shè)備在發(fā)送尋卡響應(yīng)之前,獲取第二身份認證數(shù)據(jù),將第二身份認證數(shù)據(jù)攜帶在尋卡響應(yīng)中。證件卡閱讀裝置在接收第一證件卡安全控制設(shè)備通過終端發(fā)送的尋卡響應(yīng)之后,在將尋卡確認數(shù)據(jù)通過終端發(fā)送給第一證件卡安全控制設(shè)備之前,根據(jù)第二身份認證數(shù)據(jù)對第一證件卡安全控制設(shè)備的身份進行認證,在認證通過的情況下,執(zhí)行將尋卡確認數(shù)據(jù)通過終端發(fā)送給第一證件卡安全控制設(shè)備的操作。即在該可選實施方式中,證件卡閱讀裝置只有在確定了第一證件卡安全控制設(shè)備的身份的情況下,才將證件卡返回的確認數(shù)據(jù)發(fā)送給第一證件卡安全控制設(shè)備,避免了證件卡中存儲的信息被非法獲取。
在上述可選實施方式中,可選地,第二身份認證數(shù)據(jù)可以是第一證件卡安全控制設(shè)備使用自身的私鑰對待簽名信息進行簽名得到的簽名值,其中,該待簽名信息可以是第一證件卡安全控制設(shè)備生成的隨機數(shù),第一證件卡安全控制設(shè)備可以將該隨機數(shù)以及該隨機數(shù)的簽名值一起攜帶在尋卡響應(yīng)中發(fā)送給第一證件卡安全控制設(shè)備;或者,待簽名信息也可以為尋卡響應(yīng)中攜帶的尋卡響應(yīng)數(shù)據(jù),具體本實施例不作限定。證件卡閱讀裝置在接收到該尋卡響應(yīng)之后,可以通過第二身份認證數(shù)據(jù)對第一證件卡安全控制設(shè)備的身份進行認證,認證通過之后,才向第一證件卡安全控制設(shè)備發(fā)送尋卡確認數(shù)據(jù)。當(dāng)然,第二身份認證數(shù)據(jù)除了可以是對待簽名信息進行簽名得到的簽名值以外,還可以為其它數(shù)據(jù),例如,對采用預(yù)先與證件卡閱讀裝置約定的算法對待認證數(shù)據(jù)進行檢驗計算的檢驗值等,具體本實施例不作限定。證件卡閱讀裝置采用對應(yīng)的方式對第二身份認證數(shù)據(jù)進行認證。
步驟S309,證件卡閱讀裝置向證件卡發(fā)送選卡指令。
步驟S310,證件卡閱讀裝置接收證件卡發(fā)送的選卡確認數(shù)據(jù),其中,選卡確認數(shù)據(jù)至少包括證件卡的唯一標(biāo)識信息;
步驟S311,證件卡閱讀裝置通過終端向第一證件卡安全控制設(shè)備發(fā)送選卡請求;
步驟S312,第一證件卡安全控制設(shè)備接收選卡請求,通過終端向證件卡閱讀裝置發(fā)送選卡請求響應(yīng);
為了使第一證件卡安全控制設(shè)備能夠確定選卡請求為證件卡閱讀裝置所發(fā)送的,避免非法模擬的證件卡閱讀裝置對第一證件卡安全控制設(shè)備的攻擊,在本發(fā)明實施例的一個可選實施方案中,證件卡閱讀裝置發(fā)送的選卡請求中還可以攜帶有第三身份認證數(shù)據(jù);第一證件卡安全控制設(shè)備還用于在接收選卡請求之后,通過終端向證件卡閱讀裝置發(fā)送選卡請求響應(yīng)之前,根據(jù)選卡請求中攜帶的第三身份認證數(shù)據(jù)對證件卡閱讀裝置的身份進行認證,在認證通過的情況下,執(zhí)行通過終端向證件卡閱讀裝置發(fā)送選卡請求響應(yīng)的操作。與上述第一身份認證數(shù)據(jù)相似,第三身份認證數(shù)據(jù)也可以為證件卡閱讀裝置利用自身私鑰對待簽名信息進行簽名得到的簽名值,或者,也可以為采用預(yù)定與第一證件卡安全控制設(shè)備約定的算法對待認證數(shù)據(jù)進行檢驗計算得到的檢驗址,具體不再贅述。
步驟S313,證件卡閱讀裝置接收第一證件卡安全控制設(shè)備發(fā)送的選卡請求響應(yīng),確定該選卡請求響應(yīng)為針對選卡請求的響應(yīng)數(shù)據(jù),將選卡確認數(shù)據(jù)通過終端發(fā)送給第一證件卡安全控制設(shè)備;
為了使證件卡閱讀裝置能夠確定選卡請求響應(yīng)為第一證件卡安全控制設(shè)備所發(fā)送的,避免非法模擬的第一證件卡安全控制設(shè)備非法獲取證件卡中存儲的信息,在本發(fā)明實施例的一個可選實施方案中,第一證件卡安全控制設(shè)備還在發(fā)送選卡請求響應(yīng)之前,獲取第四身份認證數(shù)據(jù),將第四身份認證數(shù)據(jù)攜帶在選卡請求響應(yīng)中;證件卡閱讀裝置在接收第一證件卡安全控制設(shè)備發(fā)送的選卡請求響應(yīng)之后,將選卡確認數(shù)據(jù)通過終端發(fā)送給第一證件卡安全控制設(shè)備之前,解析選卡請求響應(yīng)中攜帶的信息,獲取選卡請求響應(yīng)中攜帶的第四身份認證數(shù)據(jù),并根據(jù)第四身份認證數(shù)據(jù)對第一證件卡安全控制設(shè)備的身份進行認證,在認證通過的情況下,執(zhí)行將選卡確認數(shù)據(jù)通過終端發(fā)送給第一證件卡安全控制設(shè)備的操作。同樣,與第二身份認證數(shù)據(jù)類似,第四身份認證數(shù)據(jù)可以是第一證件卡安全控制設(shè)備使用自身的私鑰對待簽名信息進行簽名得到的簽名值,或者,也可以為采用預(yù)定與證件卡閱讀裝置約定的算法對待認證數(shù)據(jù)進行檢驗計算得到的檢驗址,具體不再贅述。
步驟S314,證件卡閱讀裝置向證件卡發(fā)送讀卡指令;
步驟S315,證件卡閱讀裝置接收證件卡返回的讀卡確認數(shù)據(jù);
步驟S316,證件卡閱讀裝置接收操作請求,向終端發(fā)送讀卡請求;
步驟S317,終端將讀卡請求發(fā)送至第一證件卡安全控制設(shè)備;
步驟S318,第一證件卡安全控制設(shè)備接收讀卡請求,啟動讀取證件卡信息的流程,通過終端和證件卡閱讀裝置與證件卡之間進行信息交互,讀取到證件卡中存儲的證件卡信息;
為了使第一證件卡安全控制設(shè)備能夠確定讀卡請求為證件卡閱讀裝置所發(fā)送的,避免非法模擬的證件卡閱讀裝置對第一證件卡安全控制設(shè)備的攻擊,在本發(fā)明實施例的一個可選實施方案中,證件卡閱讀裝置發(fā)送的讀卡請求中至少攜帶第五身份認證數(shù)據(jù);第一證件卡安全控制設(shè)備在接收讀卡請求之后,啟動讀取證件卡信息的流程之前,根據(jù)讀卡請求中攜帶的第五認證數(shù)據(jù)對證件卡閱讀裝置的身份進行認證,在認證通過的情況下,執(zhí)行啟動讀取證件卡信息的流程的操作。
在本實施例的上述流程中,在第一證件卡安全控制設(shè)備40啟動讀取證件卡信息的流程之前的步驟,可以稱之為讀卡準備流程。
在本發(fā)明實施例的一個可選實施方案中,第一證件卡安全控制設(shè)備啟動讀取證件卡信息的流程之后,在讀取證件卡信息的流程之中,第一證件卡安全控制設(shè)備與證件卡之間可以通過證件卡閱讀裝置和終端進行相互認證,證件卡只有在對第一證件卡安全控制設(shè)備認證通過之后,才允許將其存儲的信息讀出,而第一證件卡安全控制設(shè)備只有在對證件卡認證通過之后,才接收證件卡發(fā)送的信息,進而對證件卡發(fā)送的信息進行處理,以得到可讀的證件卡信息。
在本發(fā)明實施例的一個可選實施方案中,如果讀卡請求中有指定需要讀取的內(nèi)容,則第一證件卡安全控制設(shè)備根據(jù)該指示,讀取證件卡中存儲的基本信息(例如,姓名、性別、出生年月等),或者讀取證件卡中存儲的基本信息+照片。如果讀卡請求中沒有指定需要讀取的內(nèi)容,則第一證件卡安全控制設(shè)備讀取默認的證件卡信息,例如,證件卡中存儲的基本信息。
步驟S319,第一證件卡安全控制設(shè)備將讀取到的證件卡信息發(fā)送給終端;
在具體應(yīng)用中,第一證件卡安全控制設(shè)備通過讀卡流程,獲取到證件卡中存儲的證件卡信息的明文,在本實施例的一個可選實施方式中,第一證件卡安全控制設(shè)備可以將讀取到的證件卡信息的明文直接發(fā)送給終端,或者,第一證件卡安全控制設(shè)備可以與終端進行協(xié)商,得到傳輸密鑰,使用該傳輸密鑰對證件卡信息的明文進行加密,將加密的證件卡信息發(fā)送給終端;或者,第一證件卡安全控制設(shè)備可以使用與證件卡閱讀裝置協(xié)商會話密鑰進行加密,將加密的證件卡信息發(fā)送給證件卡閱讀裝置,由證件卡閱讀裝置進行解密后發(fā)送給終端。
步驟S320,終端接收證件卡信息。
通過本實施例提供的上述方法,將證件卡閱讀裝置只與證件卡進行信息交互,由遠端的證件卡安全控制設(shè)備執(zhí)行證件卡安全控制認證等功能,可以多個證件卡閱讀裝置共用一個證件卡安全控制設(shè)備,從而提高了證件卡安全控制設(shè)備的利用率,節(jié)約了成本。
可選地,終端在接收到證件卡信息后,可以將證件卡信息發(fā)送給顯示裝置顯示,從而可以方便用戶閱讀證件卡信息。
可選地,終端還也可以將證件卡信息發(fā)送給存儲裝置(例如,電子簽名設(shè)備)進行存儲。從而使得后續(xù)使用中,用戶可以不用攜帶證件卡,從而避免了用戶隨身攜帶證件卡而給用戶帶來不便的問題。
為了保證證件卡閱讀裝置與第一證件卡安全控制設(shè)備之間的數(shù)據(jù)傳輸安全,在本發(fā)明實施例的一個可選實施方案中,在第一證件卡安全控制設(shè)備啟動讀取證件卡信息的流程之前,證件卡閱讀裝置與第一證件卡安全控制設(shè)備通過終端進行協(xié)商,雙方得到會話密鑰;在證件卡閱讀裝置與第一證件卡安全控制設(shè)備得到會話密鑰之后,在證件卡閱讀裝置與第一證件卡安全控制設(shè)備的后續(xù)通信過程中,雙方使用會話密鑰分別對發(fā)送和接收的數(shù)據(jù)進行加密和解密。在具體應(yīng)用中,證件卡閱讀裝置與第一證件卡安全控制設(shè)備可以在證件卡閱讀裝置發(fā)送尋卡請求之前進行會話密鑰的協(xié)商,也可以是在發(fā)送尋卡請求時開始執(zhí)行會話密鑰的協(xié)商,還可以是在證件卡閱讀裝置將尋卡請求發(fā)送至第一證件卡安全控制設(shè)備之后,啟動會話密鑰的協(xié)商,具體本實施例不作限定。
圖4為本實施例的一種可選讀卡準備流程的實施方式示意圖,如圖4所示,在該可選實施方式中,讀卡準備流程主要包括以下尋卡流程(a1-a9):
步驟a1:證件卡閱讀裝置向證件卡發(fā)送尋卡指令;
步驟a2:證件卡接收尋卡指令,并向證件卡閱讀裝置發(fā)送尋卡確認數(shù)據(jù);
步驟a3:證件卡閱讀裝置利用認證加密密鑰對尋卡請求數(shù)據(jù)進行加密,得到尋卡請求數(shù)據(jù)密文D1,利用證件卡閱讀裝置的第一私鑰對尋卡請求數(shù)據(jù)密文進行簽名,得到尋卡請求簽名值SD1;
步驟a4:證件卡閱讀裝置通過終端向第一證件卡安全控制設(shè)備發(fā)送尋卡請求,尋卡請求包括尋卡請求數(shù)據(jù)密文D1、尋卡請求簽名值SD1、證件卡閱讀裝置的第一證書和證件卡閱讀裝置的第二證書;
在本實施例中,證件卡閱讀裝置通過其RF射頻模塊每間隔一段時間向外發(fā)送尋卡指令,證件卡接收到該尋卡指令后,向證件卡閱讀裝置發(fā)送尋卡確認數(shù)據(jù),證件卡閱讀裝置接收到證件卡發(fā)送的尋卡確認數(shù)據(jù)后,證件卡閱讀裝置向第一證件卡安全控制設(shè)備發(fā)送尋卡請求。
在本實施例中,尋卡請求中包括尋卡請求數(shù)據(jù)密文、尋卡請求簽名值、證件卡閱讀裝置的第一證書和證件卡閱讀裝置的第二證書。其中,尋卡請求數(shù)據(jù)密文是證件卡閱讀裝置在收到證件卡發(fā)送的尋卡確認數(shù)據(jù)后,利用認證加密密鑰對尋卡請求數(shù)據(jù)進行加密生成的。利用認證加密密鑰對尋卡請求數(shù)據(jù)加密后傳輸至第一證件卡安全控制設(shè)備可以保證尋卡請求數(shù)據(jù)在網(wǎng)絡(luò)傳輸中的安全。
在本實施例中,證件卡閱讀裝置的第一證書中至少包括證件卡閱讀裝置的第一公鑰,證件卡閱讀裝置的第二證書中也至少包括證件卡閱讀裝置的第二公鑰。證件卡閱讀裝置的第一證書中的第一公鑰與第二證書中的第二公鑰可以相同,也可以不同,本實施例不做限定。本步驟中使用的證件卡閱讀裝置的第二公鑰與步驟a8中使用的證件卡閱讀裝置的第二私鑰是一對非對稱密鑰對,分別用于步驟a6、步驟a8中對會話密鑰進行加解密運算。
作為本實施例的一種可選實施方式,步驟a3中的尋卡請求數(shù)據(jù)還包括時間戳和/或單次認證數(shù)據(jù),尋卡請求中還包括證件卡閱讀裝置的標(biāo)識。其中,單次認證標(biāo)識包括證件卡閱讀裝置中的計數(shù)器產(chǎn)生的計數(shù)值和/或隨機因子。當(dāng)單次認證標(biāo)識為計數(shù)器產(chǎn)生的計數(shù)值時,證件卡閱讀裝置每執(zhí)行一次證件卡信息讀取操作,計數(shù)器會產(chǎn)生一個計數(shù)值,用于對發(fā)送出的第一數(shù)據(jù)包進行計數(shù),例如,證件卡閱讀裝置讀取證件卡A時,計數(shù)器產(chǎn)生計數(shù)值1,下次讀取證件卡B時,計數(shù)器產(chǎn)生計數(shù)值2,以此類推,當(dāng)然具體的計數(shù)值形式不限于此;當(dāng)單次認證標(biāo)識為隨機因子時,隨機因子可以為一個或一串隨機數(shù),或者可以為一個或一串隨機字符,或者一串隨機數(shù)和隨機字符的任意組合;證件卡閱讀裝置的標(biāo)識可以為證件卡閱讀裝置的序列號,當(dāng)然,證件卡閱讀裝置的標(biāo)識只要是可以唯一表示證件卡閱讀裝置的標(biāo)識即可,并不局限于證件卡閱讀裝置的序列號。
作為本實施例的一種可選實施方式,尋卡請求發(fā)送到終端時,終端可以判斷尋卡請求中的證件卡閱讀裝置的標(biāo)志是否在黑名單內(nèi),如果在黑名單內(nèi),則結(jié)束證件卡讀取流程;否則,終端根據(jù)各個證件卡安全控制設(shè)備的處理能力,選擇將尋卡請求發(fā)送到哪個證件卡安全控制設(shè)備進行處理,終端再將尋卡請求發(fā)送給該選中的第一證件卡安全控制設(shè)備。通過終端對第一數(shù)據(jù)包進行分流處理,可以防止單點故障。
作為本實施例的一種可選實施方式,終端接收到尋卡請求并判斷證件卡閱讀裝置的標(biāo)識不在黑名單后,利用根證書對接收到的證件卡閱讀裝置的第一證書和證件卡閱讀裝置的第二證書進行驗證,并在驗證通過后,終端可以利用證件卡閱讀裝置的第一證書對尋卡請求簽名值進行簽名驗證,并在對尋卡請求簽名值進行簽名驗證通過后,將尋卡請求中的尋卡請求數(shù)據(jù)密文和證件卡閱讀裝置的第二證書發(fā)送至第一證件卡安全控制設(shè)備。
步驟a5:第一證件卡安全控制設(shè)備接收尋卡請求,并利用證件卡閱讀裝置的第一證書對尋卡請求簽名值SD1進行簽名驗證,并在對尋卡請求簽名值進行簽名驗證通過后,利用認證解密密鑰對尋卡請求數(shù)據(jù)密文進行解密,得到尋卡請求數(shù)據(jù)d1,根據(jù)尋卡請求數(shù)據(jù)d1,生成尋卡請求響應(yīng)數(shù)據(jù)rd1;
作為本實施例的一種可選實施方式,第一證件卡安全控制設(shè)備接收到尋卡請求后,利用根證書對接收到的證件卡閱讀裝置的第一證書和證件卡閱讀裝置的第二證書進行驗證,以防止非法分子篡改證件卡閱讀裝置第一證書中的第一公鑰和證件卡閱讀裝置第二證書中的第二公鑰,實現(xiàn)對證件卡閱讀裝置的安全認證,提高雙方交互的安全性。
在本實施例中,認證解密密鑰與步驟a3中的認證加密密鑰為相同的密鑰,即對稱密鑰,預(yù)先內(nèi)置在第一證件卡安全控制設(shè)備和證件卡閱讀裝置中,證件卡閱讀裝置利用該對稱密鑰對證件卡閱讀裝置首次發(fā)送給第一證件卡安全控制設(shè)備的數(shù)據(jù)進行加密,第一證件卡安全控制設(shè)備利用該對稱密鑰對第一證件卡安全控制設(shè)備首次接收到證件卡閱讀裝置發(fā)送的數(shù)據(jù)進行解密,保證證件卡閱讀裝置與第一證件卡安全控制設(shè)備首次傳輸數(shù)據(jù)的安全性。可選的,認證加密密鑰和認證解密密鑰保存在密鑰數(shù)據(jù)庫中,第一證件卡安全控制設(shè)備可以從密鑰數(shù)據(jù)庫中讀取該認證解密密鑰,并保存在第一證件卡安全控制設(shè)備本地。證件卡閱讀裝置也可以從密鑰數(shù)據(jù)庫中讀取該認證加密密鑰,并保存在證件卡閱讀裝置本地。
步驟a6:第一證件卡安全控制設(shè)備生成會話密鑰r3,并利用會話密鑰對尋卡請求響應(yīng)數(shù)據(jù)rd1進行加密,得到尋卡請求響應(yīng)數(shù)據(jù)密文RD1,并利用證件卡閱讀裝置的第二證書對會話密鑰進行加密,得到會話密鑰密文R3,并利用第一證件卡安全控制設(shè)備的私鑰對尋卡請求響應(yīng)數(shù)據(jù)密文和會話密鑰密文進行簽名,得到尋卡請求響應(yīng)簽名值SRD1;
步驟a7:第一證件卡安全控制設(shè)備向證件卡閱讀裝置發(fā)送尋卡請求響應(yīng),尋卡請求響應(yīng)包括:尋卡請求響應(yīng)數(shù)據(jù)密文RD1、會話密鑰密文R3、尋卡請求響應(yīng)簽名值SRD1和第一證件卡安全控制設(shè)備的證書;
在本實施例中,第一證件卡安全控制設(shè)備解密得到尋卡請求數(shù)據(jù)后,生成尋卡請求響應(yīng)數(shù)據(jù),并生成會話密鑰,其中會話密鑰可以為一個或一串隨機數(shù),或者可以為一個或一串隨機字符,或者一串隨機數(shù)和隨機字符的任意組合。利用會話密鑰對尋卡請求響應(yīng)數(shù)據(jù)進行加密,保證了尋卡請求響應(yīng)數(shù)據(jù)的在網(wǎng)絡(luò)傳輸中的安全性。另外,會話密鑰作為隨機產(chǎn)生的密鑰,不易被非法分子竊取。本實施例中,除證件卡閱讀裝置與第一證件卡安全控制設(shè)備首次傳輸?shù)臄?shù)據(jù)使用認證加密密鑰進行加密之外,后續(xù)證件卡閱讀裝置與第一證件卡安全控制設(shè)備進行傳輸?shù)臄?shù)據(jù)可以通過會話密鑰進行加密,以避免認證加密密密鑰被破解導(dǎo)致數(shù)據(jù)傳輸安全性降低。由于會話密鑰采用隨機數(shù)的形式,每次傳輸?shù)臄?shù)據(jù)采用的隨機數(shù)均不同,進一步可以提高證件卡閱讀裝置和第一證件卡安全控制設(shè)備之間數(shù)據(jù)傳輸?shù)陌踩浴?/p>
在本實施例中,第一證件卡安全控制設(shè)備利用證件卡閱讀裝置的第二證書中的公鑰對會話密鑰進行加密,得到會話密鑰密文,保證了會話密鑰在網(wǎng)絡(luò)傳輸中的安全性。
在本實施例中,第一證件卡安全控制設(shè)備利用自身存儲的私鑰對尋卡請求響應(yīng)密文和會話密鑰進行簽名,可以防止非法分子篡改尋卡請求響應(yīng)密文和會話密鑰。
在本實施例中,第一證件卡安全控制設(shè)備向證件卡閱讀裝置發(fā)送的尋卡請求響應(yīng)包括:尋卡請求響應(yīng)數(shù)據(jù)密文、會話密鑰密文、尋卡請求響應(yīng)簽名值和第一證件卡安全控制設(shè)備的證書。其中,第一證件卡安全控制設(shè)備的證書中包括第一證件卡安全控制設(shè)備的公鑰,第一證件卡安全控制設(shè)備的私鑰與第一證件卡安全控制設(shè)備的公鑰是一對非對稱密鑰對,用于對從第一證件卡安全控制設(shè)備向證件卡閱讀裝置中傳輸?shù)臄?shù)據(jù)進行簽名和驗簽。
作為本實施例的一種可選實施方式,第一證件卡安全控制設(shè)備可以直接將尋卡請求響應(yīng)發(fā)送至證件卡閱讀裝置;也可將尋卡請求響應(yīng)發(fā)送至調(diào)度裝置后,調(diào)度裝置再將尋卡請求響應(yīng)發(fā)送至證件卡閱讀裝置。
步驟a8:證件卡閱讀裝置接收尋卡請求響應(yīng),并利用第一證件卡安全控制設(shè)備的證書對尋卡請求響應(yīng)簽名值SRD1進行驗簽,并在對尋卡請求響應(yīng)簽名值進行驗簽通過后,利用證件卡閱讀裝置的第二私鑰對會話密鑰密文進行解密,得到會話密鑰r3,并利用會話密鑰對尋卡請求響應(yīng)數(shù)據(jù)密文進行解密,得到尋卡請求響應(yīng)數(shù)據(jù)rd1。
步驟a9:證件卡閱讀裝置得到尋卡請求響應(yīng)數(shù)據(jù)后,向第一證件卡安全控制設(shè)備發(fā)送尋卡確認數(shù)據(jù),尋卡流程結(jié)束。
作為本實施例的一種可選實施方式,證件卡閱讀裝置接收到尋卡請求響應(yīng)后,利用根證書對接收到的第一證件卡安全控制設(shè)備的證書進行驗證,以防止非法分子篡改第一證件卡安全控制設(shè)備的證書中的公鑰,實現(xiàn)對第一證件卡安全控制設(shè)備的安全認證,提高雙方交互的安全性。
作為本實施例的一種可選實施方式,當(dāng)?shù)谝蛔C件卡安全控制設(shè)備是利用證件卡閱讀裝置的第二證書對會話密鑰和單次認證標(biāo)識進行加密,生成會話密鑰密文時,證件卡閱讀裝置的第二私鑰對會話密文進行解密,得到會話密鑰和單次認證標(biāo)識,可根據(jù)單次認證標(biāo)識判斷是對哪一次尋卡請求的響應(yīng)。
作為本實施例的一種可選實施方式,在尋卡流程之前,證件卡閱讀裝置和第一證件卡安全控制設(shè)備可以協(xié)商會話密鑰以進一步保證尋卡請求數(shù)據(jù)傳輸?shù)陌踩?,具體協(xié)商會話密鑰的過程為:證件卡閱讀裝置利用認證加密密鑰對會話密鑰請求數(shù)據(jù)進行加密,得到會話密鑰請求數(shù)據(jù)密文,利用證件卡閱讀裝置的第一私鑰對會話密鑰請求數(shù)據(jù)密文進行簽名,得到會話密鑰請求簽名值,并向第一證件卡安全控制設(shè)備發(fā)送會話密鑰請求,會話密鑰請求包括會話密鑰請求數(shù)據(jù)密文、會話密鑰請求簽名值、證件卡閱讀裝置的第一證書和證件卡閱讀裝置的第二證書;第一證件卡安全控制設(shè)備接收會話密鑰請求,并利用證件卡閱讀裝置的第一證書對會話密鑰請求簽名值進行簽名驗證,并在對會話密鑰請求簽名值進行簽名驗證通過后,利用認證解密密鑰對會話密鑰請求數(shù)據(jù)密文進行解密,得到會話密鑰請求數(shù)據(jù);第一證件卡安全控制設(shè)備生成會話密鑰,并利用證件卡閱讀裝置的第二證書對會話密鑰進行加密,得到會話密鑰密文,并利用第一證件卡安全控制設(shè)備的私鑰對會話密鑰密文進行簽名,得到會話密鑰密文簽名值,并向證件卡閱讀裝置發(fā)送會話密鑰請求響應(yīng),會話密鑰請求響應(yīng)包括:會話密鑰密文、會話密鑰密文簽名值和第一證件卡安全控制設(shè)備的證書;證件卡閱讀裝置接收會話密鑰請求響應(yīng),并利用第一證件卡安全控制設(shè)備的證書對會話密鑰密文簽名值進行驗簽,并在對會話密鑰密文簽名值進行驗簽通過后,利用證件卡閱讀裝置的第二私鑰對會話密鑰密文進行解密,得到會話密鑰。
在本發(fā)明實施例的一個可選實施方案中,終端還可以在第一證件卡安全控制設(shè)備啟動讀取證件卡信息的流程之前,與第一證件卡安全控制設(shè)備進行互相認證,并在互相認證均通過后,第一證件卡安全控制設(shè)備才可以啟動讀取證件卡信息的流程,例如第一證件卡安全控制設(shè)備與終端可以通過互相認證對方證書的合法性的方式來進行認證,當(dāng)然本發(fā)明并不局限于認證證書這一方式,其他可以互相認證對方身份合法的方式均應(yīng)屬于本發(fā)明的保護范圍。這樣,終端可以認證第一證件卡安全控制設(shè)備的真實性和安全性,第一證件卡安全控制設(shè)備也可以認證終端的真實性和安全性,由此可以保證終端與第一證件卡安全控制設(shè)備之間信息交互的安全性。
作為本實施例的一種可選實施方式,在尋卡流程之前已經(jīng)協(xié)商好會話密鑰時,上述讀卡準備流程中證件卡閱讀裝置和第一證件卡安全控制設(shè)備可以直接利用會話密鑰對尋卡請求數(shù)據(jù)和尋卡請求響應(yīng)數(shù)據(jù)進行加解密,上述讀卡準備流程中的尋卡流程可以替換為:
步驟a1:證件卡閱讀裝置向證件卡發(fā)送尋卡指令;
步驟a2:證件卡接收尋卡指令,并向證件卡閱讀裝置發(fā)送尋卡確認數(shù)據(jù);
步驟a3:證件卡閱讀裝置利用會話密鑰對尋卡請求數(shù)據(jù)進行加密,得到尋卡請求數(shù)據(jù)密文,利用證件卡閱讀裝置的第一私鑰對尋卡請求數(shù)據(jù)密文進行簽名,得到尋卡請求簽名值;
步驟a4:證件卡閱讀裝置向第一證件卡安全控制設(shè)備發(fā)送尋卡請求,尋卡請求包括尋卡請求數(shù)據(jù)密文和尋卡請求簽名值;
步驟a5:第一證件卡安全控制設(shè)備接收尋卡請求,并利用證件卡閱讀裝置的第一證書對尋卡請求簽名值進行簽名驗證,并在對尋卡請求簽名值進行簽名驗證通過后,利用會話密鑰對尋卡請求數(shù)據(jù)密文進行解密,得到尋卡請求數(shù)據(jù)d1,根據(jù)尋卡請求數(shù)據(jù)d1生成尋卡請求響應(yīng)數(shù)據(jù)rd1;
步驟a6:第一證件卡安全控制設(shè)備利用會話密鑰對尋卡請求響應(yīng)數(shù)據(jù)rd1進行加密,得到尋卡請求響應(yīng)數(shù)據(jù)密文RD1,并利用第一證件卡安全控制設(shè)備的私鑰對尋卡請求響應(yīng)數(shù)據(jù)密文進行簽名,得到尋卡請求響應(yīng)簽名值;
步驟a7:第一證件卡安全控制設(shè)備向證件卡閱讀裝置發(fā)送尋卡請求響應(yīng),尋卡請求響應(yīng)包括:尋卡請求響應(yīng)數(shù)據(jù)密文和尋卡請求響應(yīng)簽名值;
步驟a8:證件卡閱讀裝置利用第一證件卡安全控制設(shè)備的證書對接收的尋卡請求響應(yīng)簽名值進行驗簽,并在對尋卡請求響應(yīng)簽名值驗簽通過后,利用會話密鑰對接收到的尋卡請求響應(yīng)數(shù)據(jù)密文進行解密,得到尋卡請求響應(yīng)數(shù)據(jù)。
步驟a9:證件卡閱讀裝置向第一證件卡安全控制設(shè)備發(fā)送尋卡確認數(shù)據(jù)。
步驟a1-a9完成了尋卡流程,尋卡流程結(jié)束后還包括選卡流程,通過選卡流程第一證件卡安全控制設(shè)備可以確認是對哪一張證件卡進行的讀取操作。作為本實施例的一種可選實施方式,在步驟a9步驟之后,還包括以下選卡流程的實現(xiàn)步驟(a10-a18):
步驟a10:證件卡閱讀裝置得到尋卡請求響應(yīng)數(shù)據(jù)后,向證件卡發(fā)送選卡指令;
步驟a11:證件卡接收選卡指令,并向證件卡閱讀裝置發(fā)送選卡確認數(shù)據(jù),其中選卡確認數(shù)據(jù)至少包括證件卡的序列號。
步驟a12:證件卡閱讀裝置接收選卡確認數(shù)據(jù),并利用會話密鑰對選卡請求數(shù)據(jù)d2進行加密,得到選卡請求數(shù)據(jù)密文D2,利用證件卡閱讀裝置的第一私鑰對選卡請求數(shù)據(jù)密文進行簽名,得到選卡請求簽名值SD2;
步驟a13:證件卡閱讀裝置向第一證件卡安全控制設(shè)備發(fā)送選卡請求,選卡請求包括選卡請求數(shù)據(jù)密文D2和選卡請求簽名值SD2;
步驟a14:第一證件卡安全控制設(shè)備接收選卡請求,并利用證件卡閱讀裝置的第一證書對選卡請求簽名值SD2進行簽名驗證,并在對選卡請求簽名值進行簽名驗證通過后,利用會話密鑰對選卡請求數(shù)據(jù)密文D2進行解密,得到選卡請求數(shù)據(jù)d2,根據(jù)選卡請求數(shù)據(jù)d2生成選卡請求響應(yīng)數(shù)據(jù)rd2;
步驟a15:第一證件卡安全控制設(shè)備利用會話密鑰對選卡請求響應(yīng)數(shù)據(jù)rd2進行加密,得到選卡請求響應(yīng)數(shù)據(jù)密文RD2,并利用第一證件卡安全控制設(shè)備的私鑰對選卡請求響應(yīng)數(shù)據(jù)密文進行簽名,得到選卡請求響應(yīng)簽名值SRD2;
步驟a16:第一證件卡安全控制設(shè)備向證件卡閱讀裝置發(fā)送選卡請求響應(yīng),選卡請求響應(yīng)包括:選卡請求響應(yīng)數(shù)據(jù)密文RD2和選卡請求響應(yīng)簽名值SRD2;
步驟a17:證件卡閱讀裝置利用第一證件卡安全控制設(shè)備的證書對接收的選卡請求響應(yīng)簽名值SRD2進行驗簽,并在對選卡請求響應(yīng)簽名值驗簽通過后,利用會話密鑰對接收到的選卡請求響應(yīng)數(shù)據(jù)密文RD2進行解密,得到選卡請求響應(yīng)數(shù)據(jù)rd2;
步驟a18:證件卡閱讀裝置在得到選卡請求響應(yīng)數(shù)據(jù)后,利用會話密鑰對選卡確認數(shù)據(jù)進行加密得到選卡確認數(shù)據(jù)密文,并利用證件卡閱讀裝置的第一私鑰對選卡確認數(shù)據(jù)密文進行簽名,得到選卡確認數(shù)據(jù)簽名值,并向第一證件卡安全控制設(shè)備發(fā)送選卡確認數(shù)據(jù)密文和選卡確認數(shù)據(jù)簽名值;第一證件卡安全控制設(shè)備接收到選卡確認數(shù)據(jù)密文和選卡確認數(shù)據(jù)簽名值后,利用證件卡閱讀裝置的第一證書對選卡數(shù)據(jù)簽名值進行簽名驗證,并在對選卡數(shù)據(jù)簽名值進行簽名驗證通過后,利用會話密鑰對選卡確認數(shù)據(jù)密文進行解密,得到選卡確認數(shù)據(jù)。
在本實施例中,一個證件卡具有一個安全密鑰,不同的證件卡,對應(yīng)的安全密鑰也不相同,第一證件卡安全控制設(shè)備中存儲有多個證件卡的安全密鑰,通過步驟a18,第一證件卡安全控制設(shè)備得到選卡確認數(shù)據(jù),其中選卡確認數(shù)據(jù)中包括證件卡的序列號,第一證件卡安全控制設(shè)備獲得證件卡的序列號后,可根據(jù)證件卡的序列號查找該證件卡對應(yīng)的安全密鑰,以便后續(xù)使用該安全密鑰實現(xiàn)證件卡與第一證件卡安全控制設(shè)備的雙向認證。
選卡流程結(jié)束后,開始讀卡流程之前的準備,主要包括以下步驟(步驟a19-a23):
步驟a19:證件卡閱讀裝置向證件卡發(fā)送讀卡指令;
步驟a20:證件卡接收讀卡指令,并向證件卡閱讀裝置發(fā)送讀卡確認數(shù)據(jù);
步驟a21:證件卡閱讀裝置利用會話密鑰對讀卡請求數(shù)據(jù)d3進行加密,得到讀卡請求數(shù)據(jù)密文D3,并利用證件卡閱讀裝置的第一私鑰對讀卡請求數(shù)據(jù)密文進行簽名,得到讀卡請求簽名值SD3;
步驟a22:證件卡閱讀裝置向第一證件卡安全控制設(shè)備發(fā)送讀卡請求,讀卡請求包括讀卡請求數(shù)據(jù)密文D3和讀卡請求簽名值SD3;
步驟a23:第一證件卡安全控制設(shè)備接收讀卡請求,并利用證件卡閱讀裝置的第一證書對讀卡請求簽名值SD3進行簽名驗證,并在對讀卡請求簽名值進行簽名驗證通過后,利用會話密鑰對讀卡請求數(shù)據(jù)密文D3進行解密,得到讀卡請求數(shù)據(jù)d3。
需要說明的是,在上述流程中,證件卡閱讀裝置與第一證件卡安全控制設(shè)備之間傳輸?shù)男畔⑹峭ㄟ^終端轉(zhuǎn)發(fā)的。
至此,讀卡準備流程結(jié)束,第一證件安全控制設(shè)備啟動讀卡流程,獲取到證件卡中存儲的證件卡信息。圖5為本發(fā)明實施例的一個可選實施方案中的讀卡流程示意圖,如圖5所示,在該可選實施方式中,讀卡流程可以包括:
步驟b1:第一證件卡安全控制設(shè)備生成第一認證因子r1;利用會話密鑰對第一認證因子進行加密,得到第一認證因子密文R1,并利用第一證件卡安全控制設(shè)備的私鑰對第一認證因子密文進行簽名,得到第一認證因子簽名值SR1;該步驟可以緊接著步驟a23執(zhí)行。
步驟b2:第一證件卡安全控制設(shè)備向證件卡閱讀裝置發(fā)送讀卡請求響應(yīng),讀卡請求響應(yīng)包括:第一認證因子密文R1和第一認證因子簽名值SR1;
步驟b3:證件卡閱讀裝置接收讀卡請求響應(yīng),并利用第一證件卡安全控制設(shè)備的證書對第一認證因子簽名值SR1進行簽名驗證,并在對第一認證因子簽名值進行簽名驗證通過后,利用會話密鑰對第一認證因子密文R1進行解密,得到第一認證因子r1。
步驟b4:證件卡閱讀裝置向證件卡發(fā)送第一認證因子r1;
在本實施例中,第一認證因子可以為一個或一串隨機數(shù),或者可以為一個或一串隨機字符,或者一串隨機數(shù)和隨機字符的任意組合。
在本實施例中,證件卡閱讀裝置通過非接觸接口向證件卡發(fā)送第一認證因子,其中非接觸接口可以是RF射頻模塊。
步驟b5:證件卡接收第一認證因子r1,并對第一認證因子進行加密,得到第一認證數(shù)據(jù)C1,以及生成第二認證因子r2;
步驟b6:證件卡向證件卡閱讀裝置發(fā)送第一認證數(shù)據(jù)C1和第二認證因子r2;
在本實施例中,證件卡可以利用安全密鑰對第一認證因子進行加密,該安全密鑰是預(yù)先內(nèi)置在合法的證件卡中的,只有合法的證件卡才具有該安全密鑰。
在本實施例中,證件卡通過非接觸接口接收證件卡閱讀裝置發(fā)送的第一認證因子,其中,非接觸接口可以是RF射頻模塊。本實施例中的證件卡閱讀裝置與證件卡之間的數(shù)據(jù)均是通過非接觸接口進行通信傳輸,下面涉及到證件卡閱讀裝置與證件卡之間的數(shù)據(jù)發(fā)送將不再贅述具體實施方式。
步驟b7:證件卡閱讀裝置接收第一認證數(shù)據(jù)和第二認證因子,并利用會話密鑰對第一認證數(shù)據(jù)和第二認證因子進行加密,得到第一密文E1,以及利用證件卡閱讀裝置的第一私鑰對第一密文進行簽名,得到第一簽名值S1;
在本實施例中,第二認證因子可以為一個或一串隨機數(shù),或者可以為一個或一串隨機字符,或者一串隨機數(shù)和隨機字符的任意組合。證件卡可以利用第二認證因子實現(xiàn)對第一證件卡安全控制設(shè)備的認證。
在本實施例中,會話密鑰也可以為一個或一串隨機數(shù),或者可以為一個或一串隨機字符,或者一串隨機數(shù)和隨機字符的任意組合。證件卡閱讀裝置和第一證件卡安全控制設(shè)備利用會話密鑰對證件卡閱讀裝置和第一證件卡安全控制設(shè)備之間傳輸?shù)臄?shù)據(jù)進行加解密。
在本實施例中,證件卡閱讀裝置利用證件卡閱讀裝置的第一私鑰對第一密文進行簽名,得到第一簽名值的一種可選實施方式為:證件卡閱讀裝置利用HASH算法計算第一密文得到第一密文的摘要,并利用證件卡閱讀裝置的第一私鑰對第一密文的摘要進行加密,得到第一簽名值。通過對第一密文進行簽名可以防止非法分子篡改第一密文。需要說明的是,本實施例中的簽名過程均可參見該實施方式,下面涉及到簽名的過程將不再具體贅述。
步驟b8:證件卡閱讀裝置向第一證件卡安全控制設(shè)備發(fā)送第一數(shù)據(jù)包,第一數(shù)據(jù)包包括:第一密文E1和第一簽名值S1;
在本實施例中,證件卡閱讀裝置不具有聯(lián)網(wǎng)功能,而是利用終端(例如手機、PAD(平板電腦)或PC等)通過有線網(wǎng)絡(luò)或無線網(wǎng)絡(luò)向第一證件卡安全控制設(shè)備發(fā)送第一數(shù)據(jù)包。可選的,證件卡閱讀裝置可通過有線方式(例如,USB接口等)或無線方式(例如,WiFi,藍牙等)與終端實現(xiàn)通信連接。
作為一種可選的實施方式,證件卡閱讀裝置可以利用會話密鑰對第一認證數(shù)據(jù)和第二認證因子一起進行加密后,傳輸至第一證件卡安全控制設(shè)備,當(dāng)然,也可以分別對第一認證數(shù)據(jù)和第二認證因子進行加密后,并分別傳輸至第一證件卡安全控制設(shè)備。
步驟b9:第一證件卡安全控制設(shè)備接收第一數(shù)據(jù)包;并利用證件卡閱讀裝置的第一證書對第一簽名值S1進行簽名驗證,并在對第一簽名值進行簽名驗證通過后,利用會話密鑰對第一密文E1進行解密,得到第一認證數(shù)據(jù)C1和第二認證因子r2;并對第一認證數(shù)據(jù)C1進行驗證,在對第一認證數(shù)據(jù)進行驗證通過后,對第二認證因子r2進行加密,得到第二認證數(shù)據(jù)C2;并利用會話密鑰對第二認證數(shù)據(jù)進行加密,得到第二密文E2,以及利用第一證件卡安全控制設(shè)備的私鑰對第二密文進行簽名,得到第二簽名值S2;
在本實施例中,證件卡閱讀裝置的第一證書至少包括證件卡閱讀裝置的第一公鑰,證件卡閱讀裝置的第一公鑰與步驟b7中的證件卡閱讀裝置的第一私鑰是一對非對稱密鑰。
在本實施例中,第一證件卡安全控制設(shè)備利用證件卡閱讀裝置的第一證書對第一簽名值進行簽名驗證的一種可選實施方式為:第一證件卡安全控制設(shè)備利用證件卡閱讀裝置的第一證書的公鑰對接收到第一簽名值進行解密,得到第一密文的摘要,并利用HASH算法對接收到的第一密文進行計算得到第一密文的摘要,并比對解密得到的第一密文的摘要與計算得到的第一密文的摘要是否相同,如果相同,則對第一簽名值進行簽名驗證通過。在本實施例中,第一證件卡安全控制設(shè)備對第一認證數(shù)據(jù)進行驗證包括兩種可實施方式:方式一:第一證件卡安全控制設(shè)備可以利用第一證件卡安全控制設(shè)備內(nèi)置的安全密鑰對接收到的第一認證數(shù)據(jù)進行解密,得到認證因子,并比較解密得到的認證因子與自身生成的第一認證因子是否相同,如果相同,則對第一認證數(shù)據(jù)進行驗證通過。方式二:第一證件卡安全控制設(shè)備可以利用第一證件卡安全控制設(shè)備存儲的該證件卡對應(yīng)的安全密鑰對自身生成的第一認證因子進行加密得到認證數(shù)據(jù),并比較加密得到的認證數(shù)據(jù)與接收到的第一認證數(shù)據(jù)是否相同,如果相同,則對第一認證數(shù)據(jù)進行驗證通過。由于合法的證件卡制作過程中會內(nèi)置安全密鑰,在第一證件卡安全控制設(shè)備中也會存儲相同的安全密鑰,以便后續(xù)實現(xiàn)該證件卡和第一證件卡安全控制設(shè)備之間的雙向認證。如果第一證件卡安全控制設(shè)備對第一認證數(shù)據(jù)進行驗證通過,說明證件卡使用的安全密鑰與第一證件卡安全控制設(shè)備使用的安全密鑰相同,且證件卡是對第一證件卡安全控制設(shè)備生成的第一認證因子進行加密得到的第一認證數(shù)據(jù),則該證件卡是合法的證件卡,第一證件卡安全控制設(shè)備通過對第一認證數(shù)據(jù)進行驗證確認了證件卡的合法性。
在本實施例中,對第一認證數(shù)據(jù)進行驗證通過后,第一證件卡安全控制設(shè)備利用安全密鑰對第二認證因子進行加密,得到第二認證數(shù)據(jù)。同樣,第一證件卡安全控制設(shè)備利用的安全密鑰也是預(yù)先內(nèi)置在第一證件卡安全控制設(shè)備中的,只有合法的第一證件卡安全控制設(shè)備才具有該安全密鑰。作為一種可選的實施方式,對第一認證數(shù)據(jù)進行驗證沒有通過,則結(jié)束證件卡讀取流程。
步驟b10:第一證件卡安全控制設(shè)備向證件卡閱讀裝置發(fā)送第二數(shù)據(jù)包,第二數(shù)據(jù)包包括:第二密文E2和第二簽名值S2;
步驟b11:證件卡閱讀裝置接收第二數(shù)據(jù)包,利用第一證件卡安全控制設(shè)備的證書對第二簽名值s2進行簽名驗證,并在對第二簽名值進行簽名驗證通過后,利用會話密鑰對第二密文E2進行解密,得到第二認證數(shù)據(jù)C2;
在本實施例中,第一證件卡安全控制設(shè)備的證書至少包括第一證件卡安全控制設(shè)備的公鑰。
步驟b12:證件卡閱讀裝置向證件卡發(fā)送第二認證數(shù)據(jù)C2;
步驟b13:證件卡對第二認證數(shù)據(jù)進行驗證C2;
步驟b14:證件卡在對第二認證數(shù)據(jù)進行驗證通過后,向證件卡閱讀裝置發(fā)送證件卡數(shù)據(jù)密文cd1;
在本實施例中,證件卡對第二認證數(shù)據(jù)進行驗證的具體實施方式為:方式一:證件卡可以利用證件卡內(nèi)置的安全密鑰對應(yīng)的解密密鑰對接收到的第二認證數(shù)據(jù)進行解密,得到認證因子,并比較解密得到的認證因子與自身生成的第二認證因子是否相同,如果相同,則對第二認證數(shù)據(jù)進行驗證通過。方式二:證件卡可以利用證件卡的安全密鑰對自身生成的第二認證因子進行加密得到認證數(shù)據(jù),并比較加密得到的認證數(shù)據(jù)與接收到的第二認證數(shù)據(jù)是否相同,如果相同,則對第二認證數(shù)據(jù)進行驗證通過。證件卡對第二認證數(shù)據(jù)進行驗證通過,說明第一證件卡安全控制設(shè)備使用的安全密鑰與證件卡內(nèi)置的安全密鑰相同,說明第一證件卡安全控制設(shè)備是合法的第一證件卡安全控制設(shè)備,證件卡通過對第二認證數(shù)據(jù)進行驗證確認了第一證件卡安全控制設(shè)備的合法性。
在步驟b9中第一證件卡安全控制設(shè)備通過第一認證因子確認了證件卡的合法性,在步驟b14中證件卡通過第二認證因子確認了第一證件卡安全控制設(shè)備的合法性。雙向認證通過后,證件卡才向證件卡閱讀裝置發(fā)送證件卡數(shù)據(jù)密文,其中,證件卡數(shù)據(jù)密文一般是證件卡號、姓名、照片、年齡、住址、卡片使用年限和/或指紋等數(shù)據(jù)的密文。
步驟b15:證件卡閱讀裝置接收證件卡數(shù)據(jù)密文cd1,并利用會話密鑰對證件卡數(shù)據(jù)密文進行加密,得到第三密文E3,并利用證件卡閱讀裝置的第一私鑰對第三密文進行簽名,得到第三簽名值S3;
在本實施例,證件卡閱讀裝置利用會話密鑰對證件卡數(shù)據(jù)密文進行加密,保證了證件卡數(shù)據(jù)密文在網(wǎng)絡(luò)傳輸過程中的安全。另外,利用證件卡閱讀裝置的第一私鑰對第三密文進行簽名,可以防止非法分子篡改第三密文。
步驟b16:證件卡閱讀裝置向第一證件卡安全控制設(shè)備發(fā)送第三數(shù)據(jù)包,第三數(shù)據(jù)包包括:第三密文E3和第三簽名值S3;
步驟b17:第一證件卡安全控制設(shè)備接收第三數(shù)據(jù)包,并利用證件卡閱讀裝置的第一證書對第三簽名值S3進行簽名驗證,并在對第三簽名值進行簽名驗證通過后,利用會話密鑰對第三密文E3進行解密,得到證件卡數(shù)據(jù)密文cd1;并對證件卡數(shù)據(jù)密文進行解密,得到證件卡數(shù)據(jù)明文cd2;并利用會話密鑰對證件卡數(shù)據(jù)明文cd2進行加密,得到第四密文E4,以及利用第一證件卡安全控制設(shè)備的私鑰對第四密文進行簽名,得到第四簽名值S4;
可選的,證件卡數(shù)據(jù)密文所包括的信息可以通過一個數(shù)據(jù)包一次發(fā)送給第一證件卡安全控制設(shè)備,當(dāng)然,證件卡數(shù)據(jù)密文所包括的信息也可以通過多個數(shù)據(jù)包分多次發(fā)送給第一證件卡安全控制設(shè)備。
在本實施例中,第一證件卡安全控制設(shè)備對第三密文解密得到證件卡數(shù)據(jù)密文后,利用第一證件卡安全控制設(shè)備中設(shè)置的可以對從證件卡中讀取的密文數(shù)據(jù)進行解密的模塊對證件卡數(shù)據(jù)密文進行解密,得到證件卡數(shù)據(jù)明文。利用會話密鑰對證件卡數(shù)據(jù)明文進行加密,保證了證件卡數(shù)據(jù)明文在網(wǎng)絡(luò)傳輸過程中的安全;利用第一證件卡安全控制設(shè)備的私鑰對第四密文進行簽名,可以防止非法分子篡改第四密文。
步驟b18:第一證件卡安全控制設(shè)備向證件卡閱讀裝置發(fā)送第四數(shù)據(jù)包,第四數(shù)據(jù)包包括:第四密文E4和第四簽名值S4;
步驟b19:證件卡閱讀裝置接收第四數(shù)據(jù)包,并利用第一證件卡安全控制設(shè)備的證書對第四簽名值s4進行簽名驗證,并在對第四簽名值進行簽名驗證通過后,利用會話密鑰對第四密文E4進行解密,得到證件卡數(shù)據(jù)明文cd2;
b20:證件卡閱讀裝置將數(shù)據(jù)明文cd2發(fā)送給終端。
或者,在步驟b18中第一證件卡安全控制設(shè)備發(fā)送的第四數(shù)據(jù)包可以直接為證件卡數(shù)據(jù)明文,第一證件卡安全控制設(shè)備直接將證件卡數(shù)據(jù)明文發(fā)送給終端。
需要說明的是,在上述流程中,證件卡閱讀裝置與第一證件卡安全控制設(shè)備之間傳輸?shù)臄?shù)據(jù)是通過終端轉(zhuǎn)發(fā)的。
在本實施例中,證件卡數(shù)據(jù)明文一般是證件卡號、姓名、照片、年齡、住址、卡片使用年限和/或指紋等數(shù)據(jù)的明文。作為本實施例的一種可選實施方式,證件卡閱讀裝置解密得到證件卡數(shù)據(jù)明文后,可直接通過證件卡閱讀裝置顯示證件卡數(shù)據(jù)明文。當(dāng)然,證件卡閱讀裝置也可將證件卡數(shù)據(jù)明文發(fā)送至上位機,由上位機顯示證件卡數(shù)據(jù)明文。
通過上述流程,證件卡和第一證件卡安全控制設(shè)備通過第一認證因子和第二認證因子的交互完成了雙向認證,第一證件卡安全控制設(shè)備對證件卡數(shù)據(jù)密文進行解密以得到證件卡數(shù)據(jù)明文,并發(fā)送給證件卡閱讀裝置,以完成證件卡的讀取。
由上述本發(fā)明提供的技術(shù)方案可以看出,在本發(fā)明實施例提供的方案中,將證件卡安全控制模塊從證件卡閱讀裝置中移除,證件卡閱讀裝置只可以與證件卡進行通信,而證件卡信息需要由設(shè)置在后臺的證件卡安全控制設(shè)備完成讀取,從而可以減少證件卡射頻裝置的成本,并且,多個終端可以由同一個證件卡安全控制設(shè)備進行驗證,從而提高了證件卡安全控制設(shè)備的利用率。
流程圖中或在此以其他方式描述的任何過程或方法描述可以被理解為,表示包括一個或更多個用于實現(xiàn)特定邏輯功能或過程的步驟的可執(zhí)行指令的代碼的模塊、片段或部分,并且本發(fā)明的優(yōu)選實施方式的范圍包括另外的實現(xiàn),其中可以不按所示出或討論的順序,包括根據(jù)所涉及的功能按基本同時的方式或按相反的順序,來執(zhí)行功能,這應(yīng)被本發(fā)明的實施例所屬技術(shù)領(lǐng)域的技術(shù)人員所理解。
盡管上面已經(jīng)示出和描述了本發(fā)明的實施例,可以理解的是,上述實施例是示例性的,不能理解為對本發(fā)明的限制,本領(lǐng)域的普通技術(shù)人員在不脫離本發(fā)明的原理和宗旨的情況下在本發(fā)明的范圍內(nèi)可以對上述實施例進行變化、修改、替換和變型。本發(fā)明的范圍由所附權(quán)利要求及其等同限定。