[发明专利]应用接入智能卡的认证方法、装置和系统

说明书

技术领域

本发明涉及通信领域，具体而言，涉及一种应用接入智能卡的认证方法、装置和系统。

背景技术

随着网络的升级，移动终端应用和移动业务也不断增多，使得移动用户的生活得到了极大的便利。这些移动业务的普及使得对用户的安全认证和对信息的安全保护越来越重要，用户也越来越关心自身信息的安全问题。移动支付和企业信息化系统等尤其需要用户身份的可靠验证和信息的安全保护以确保交易和信息的安全。

智能卡是抗破坏性高的安全设备，并且便于携带，同时还可基于密码学达到很高的安全水平。因此，将移动应用认证相关的数据存储在智能卡上，并利用智能卡完成鉴权认证是比较安全、可靠和方便的一种安全措施，同时也可以在智能卡上实现生成密钥对、完成数字签名等功能。但是由于终端没有开放应用直接访问智能卡的接口，因此导致了智能卡上的数据或功能不能被终端应用调用。

由于目前还没有一种可以通过智能卡完成应用接入的鉴权认证的方式，使得智能卡上的数据或功能不能被终端的应用调用，而导致智能卡资源浪费。

针对上述的问题，目前尚未提出有效的解决方案。

发明内容

本发明实施例提供了一种应用接入智能卡的认证方法、装置和系统，以至少解决现有技术中没有一种可以通过智能卡完成应用接入的鉴权认证的方式，使得智能卡上的数据或功能不能被终端的应用调用，业务的安全性得不到保证的技术问题。

根据本发明实施例的一个方面，提供了一种应用接入智能卡的认证方法，包括：智能卡接收应用发送的接入请求，将接入请求的认证信息发送给应用；智能卡接收认证信息的认证响应，其中，应用从智能卡的卡发行商服务器获取认证响应并发送至智能卡；当智能卡对认证响应验证通过时，允许应用接入到智能卡。

优选地，应用从智能卡的卡发行商服务器获取认证响应，包括：应用利用应用提供商服务器从卡发行商服务器获取认证响应。

优选地，应用利用应用提供商服务器从卡发行商服务器获取认证响应，包括：应用和应用提供商服务器之间进行相互认证并建立第一安全连接，应用通过第一安全连接将认证信息发送给应用提供商服务器；应用提供商服务器和卡发行商服务器之间进行相互认证并建立第二安全连接，应用提供商服务器通过第二安全连接将认证信息转发给卡发行商服务器；卡发行商服务器接收应用提供商服务器转发的认证信息；当卡发行商服务器对认证信息验证通过后，卡发行商服务器根据认证信息生成认证响应；卡发行商服务器通过第二安全连接将认证响应发送给应用提供商服务器，由应用提供商服务器通过第一安全连接将认证响应转发至应用。

优选地，卡发行商服务器根据认证信息生成认证响应，包括：卡发行商服务器根据智能卡标识查找与智能卡对应的根密钥，其中，根密钥是卡发行商服务器为每一张智能卡分配的密钥信息，智能卡与根密钥一一对应，认证信息携带有所述智能卡的智能卡标识和智能卡为所述应用本次接入所生成的随机数；卡发行商服务器根据根密钥和随机数生成认证响应。

优选地，认证响应携带有第一认证内容和第一临时会话密钥，其中，卡发行商服务器利用第一临时会话密钥对认证响应进行加密传输。

优选地，智能卡接收认证信息的认证响应之后，还包括：智能卡根据认证信息中的随机数和自身的根密钥按照和卡发行商服务器对应的方式生成第二认证内容和第二临时会话密钥；智能卡根据第二会话密钥对认证响应进行解密，如果解密成功，则对解密得到的第一认证内容和第二认证内容进行比较，如果相同，则表明验证成功。

优选地，智能卡接入应用，包括：智能卡使用第一临时会话密钥和第二临时会话密钥在自身和应用之间建立安全信道；智能卡通过安全信道与应用进行信息交互。

优选地，智能卡将应用接入智能卡之后，还包括：当应用关闭时，智能卡释放安全信道；智能卡删除第二临时会话密钥。

优选地，认证信息携带有应用本次接入时智能卡的第一序列号。

优选地，第一序列号按如下步骤生成：智能卡在自身存储的第二序列号上增加预定值，得到第三序列号；智能卡判断第三序列号是否大于预定阈值；若是，则将预设初始值赋值给第一序列号和第二序列号；若否，则将第三序列号赋值给第一序列号和第二序列号。

优选地，卡发行商服务器根据认证信息生成认证响应，包括：卡发行商服务器从认证信息中获取第一序列号和智能卡标识；卡发行商服务器根据智能卡标识查找自身存储的对应于该智能卡的第四序列号；卡发行商服务器根据第一序列号和第四序列号进行验证，在验证通过后，卡发行商服务器生成认证响应。