[实用新型]用于CPU卡加密认证的云平台、用户设备和系统

说明书

技术领域

本实用新型涉及通信安全领域，尤其涉及一种用于CPU卡加密认证的云平台、用户设备和系统。

背景技术

CPU卡因其安全性相对于普通IC卡提高很多，已经被广泛应用于金融、保险、交通、政府行业等多个领域，具有用户空间大、读取速度快、支持一卡多用等特点，并已经通过中国人民银行和国家商秘委的认证；CPU卡内含有随机数发生器，硬件DES(Data Encryption Standard，数据加密标准)，3DES(Triple DES，三重数据加密算法)等，配合片上OS(Operating System，操作系统)，可以达到金融级别的安全等级。CPU卡尤其是在金融交易和身份识别上的应用已经逐步代替了传统方法，成为了主流的应用技术。

传统的CPU卡完成身份认证的方式主要是通过对加密信息的目录进行外部认证来完成的加密信息的读取或修改，从而实现身份认证和识别。传统的CPU卡加密认证方式如图1所示，CPU卡认证必须需要用到PSAM卡，PSAM卡是一种具有特殊性能的CPU卡，主要用于存放密钥和加密算法，可完成交易中的密码验证和加密、相互认证、解密运算，主要用作身份标志。PSAM可用于各种端末设备上，负责安全控管。

CPU卡加密算法和随机数发生器与安装在读写设备中的密钥认证卡(PSAM卡)相互发送认证的随机数，可以实现以下功能：

(1)通过终端设备上PSAM卡实现对卡的认证。

(2)非接触CPU卡与终端设备上的PSAM卡的相互认证，实现对卡终端的认证。

(3)通过PSAM卡对非接触CPU卡进行数据读取操作，实现数据读取的安全性。

(4)在终端设备与非接触CPU卡中传输的数据是加密传输。

(5)通过对非接触CPU卡发送给SAM卡的随机数MAC1，PSAM卡发送给非接触CPU的随机数MAC2和由非接触CPU卡返回的随机数TAC，可以实现数据传输验证的计算。而MAC1、MAC2和TAC就是同一张非接触CPU卡每次传输的过程中都是不同的，因此无法使用空中接收的办法来破解非接触CPU卡的密钥。

但现有技术有很多弊端，例如依赖于硬件介质PSAM卡，需要对PSAM卡进行妥善保管，PSAM卡及读卡器可能会出现丢失或被盗用的情况，且硬件介质存在损坏的可能等，这无疑增加了安全认证中的风险。

实用新型内容

本实用新型要解决的一个技术问题是提供一种用于CPU卡加密认证的云平台、用户设备和系统能够提高CPU卡加密认证的安全性。

根据本实用新型一方面，提供一种用于CPU卡加密认证的云平台，包括依次电连接的第一信息加密单元、第一加密信息发送单元、MAC读取命令生成单元、MAC读取命令发送单元和加密数据信息解密单元，其中：第一信息加密单元将接收到的CPU卡的第一信息生成第一加密信息，通过第一加密信息发送单元将第一加密信息发送至用户设备，以便用户设备对CPU卡的相关目录进行外部认证，MAC读取命令生成单元将接收到的CPU卡的第二信息生成安全报文鉴别码MAC读取命令，通过MAC读取命令发送单元将MAC读取命令发送至用户设备，以便用户设备根据MAC读取命令读取CPU卡相关目录下的加密数据信息，加密数据信息解密单元接收到用户设备发送的加密数据信息后根据MAC认证密钥对加密数据信息进行解密。

进一步地，还包括与第一加密单元电连接的第一信息接收单元，其中：第一信息接收单元接收用户设备发送的CPU卡的相关目录外部认证随机数和用户标识，第一信息加密单元根据用户标识生成外部认证密钥，并通过外部认证密钥加密外部认证随机数，第一加密信息发送单元将加密后的外部认证随机数发送至用户设备。

进一步地，还包括与MAC读取命令生成单元电连接的第二信息接收单元，其中：第二信息接收单元接收用户设备发送的CPU卡的MAC数据随机数，MAC读取命令生成单元根据MAC数据随机数生成MAC认证密钥和MAC读取命令。

进一步地，还包括与第一信息接收单元电连接的用户设备认证单元，其中：用户设备认证单元接收用户设备的MAC地址和授权数据后对用户设备进行认证。