[发明专利]一种安全认证和传输的方法和系统

说明书

技术领域

本发明涉及信息安全领域，尤其涉及一种安全认证和传输的方法和系统。

背景技术

随着智能卡技术的快速发展，智能卡的应用领域十分广泛。智能卡作为关系国计民生的物质载体，其安全关系到人民的财产安全。因此，为进一步保证信息安全，需要改进现有技术方式。

在现有技术中，对数据的加密主要用对称密钥技术加密方法。在对称加密技术中，数据发信方将明文和加密密钥一起经过特殊加密算法处理后，将其变成密文发送出去。收信方收到密文后，使用与加密过程相同的密钥和算法对密文进行解密。在对称密钥技术中，使用的密钥只有一个，发信和收信双方都使用这个密钥对数据进行加密和解密。

根据上述描述可以看出，一旦对称密钥被攻破，整套安全体系的根基将不复存在。为了保证密钥的安全，为避免因网络攻击等可能引起的密钥泄露，对称密钥技术中的密码机一般与公网隔离，放置于内网或局域网中。

发明内容

本发明实施例提供了一种安全认证和传输的方法和系统，能够解决密码机放在公用网络上的身份认证问题和密钥安全问题。

一方面，本发明实施例提供了一种安全认证和传输的方法，所述方法包括：

对要发送的原始数据用对称密钥进行加密，生成对称密钥加密后的原始数据；

将所述对称密钥加密后的原始数据用非对称密钥中的私钥进行数字签名，将对称密钥加密后的原始数据、数字签名和数字证书发送出去；

接收所述对称密钥加密后的原始数据、数字签名和数字证书，用所述数字证书中的非对称密钥中的公钥验证数字签名；

通过验证后，将所述对称密钥加密后的原始数据用对称密钥进行解密，获取原始数据。

进一步地，所述对需要发送的原始数据用对称密钥进行加密之前，进一步包括：

获取CPU卡安全认证识别码，并对CPU卡安全认证识别码进行验证；

所述CPU卡安全认证识别码进行验证之后，进一步包括：

如果CPU卡安全认证识别码通过验证，开启指令透传功能，获取CPU卡的数据作为所述原始数据；

如果CPU卡安全认证识别码没有通过验证，屏蔽CPU卡。

进一步地，所述获取CPU卡的数据作为所述原始数据之前，进一步包括：

向CPU卡发送操作指令，CPU卡根据操作指令发送所述原始数据。

进一步地，所述获取原始数据之后，还包括：

对原始数据进行处理生成响应数据，将响应数据用对称密钥进行加密，生成对称密钥加密后的响应数据；

将对称密钥加密后的响应数据用数字证书中的非对称密钥中的私钥进行数字签名，将对称密钥加密后的响应数据、响应数据的数字签名和数字证书发送出去；

接收所述对称密钥加密后的响应数据、响应数据的数字签名和数字证书，用所述数字证书中的非对称密钥中的公钥验证数字签名；

通过验证后，将对称密钥加密后的响应数据用对称密钥进行解密，获取响应数据。

进一步地，所述将响应数据用对称密钥进行加密之前，还包括：

根据以下条件判断是否需要对响应数据进行加密：

当需要将对称密钥导出或变相实现密钥导出时，需要对所述响应数据进行加密；

当不需要将对称密钥导出或变相实现密钥导出时，不需要对所述响应数据进行加密。

另一方面，本发明实施例提供了一种安全认证和传输的系统，其特征在于，所述系统包括：

第一对称加密模块，用于对要发送的原始数据用对称密钥进行加密，输出对称密钥加密后的原始数据；

第一数字签名模块，用于将所述第一对称加密模块输出的对称密钥加密后的原始数据用非对称密钥中的私钥进行数字签名；

第一发送模块，用于将对称密钥加密后的原始数据、数字签名和数字证书发送出去；

第一接收模块，用于接收所述对称密钥加密后的原始数据、数字签名和数字证书；

第一验证模块，用于用所述数字证书中的非对称密钥中的公钥验证数字签名，验证通过后，解析获得对称密钥加密后的原始数据；

第一对称解密模块，用于将所述对称密钥加密后的原始数据用对称密钥进行解密，获取原始数据。

进一步地，所述系统进一步包括：

识别码获取模块，用于所述在所述第一对称加密模块对发送的原始数据用对称密钥进行加密之前，获取CPU卡安全认证识别码；

CPU卡验证模块，用于对所述获取模块获取的CPU卡安全认证识别码进行验证，输出验证结果；