[发明专利]用于非接触卡的密码认证的系统和方法

权利要求书

1.一种数据传输系统，包括：

具有处理器和存储器的发送设备，所述发送设备的所述存储器包含分散化主密钥、发送数据和计数器值；

具有处理器和存储器的认证服务器，所述认证服务器的所述存储器包含主密钥；

其中所述发送设备被配置为：

使用所述分散化主密钥、一种或多种密码算法和所述计数器值来生成分散化密钥，并将所述分散化密钥存储在所述发送设备的所述存储器中，

使用一种或多种密码算法和所述分散化密钥来生成包含所述计数器值的密码结果，

使用所述一种或多种密码算法和所述分散化密钥对所述发送数据进行加密，以产生加密的发送数据，以及

经由一个或多个中间设备将所述密码结果和加密的发送数据发送到所述认证服务器；以及

其中所述认证服务器被配置为：

基于所述主密钥和唯一标识符生成认证分散化密钥，并将所述认证分散化密钥存储在所述认证服务器的所述存储器中，

基于所述认证分散化密钥和所述密码结果生成会话密钥，以及

使用所述一种或多种密码算法和所述会话密钥对所述加密的发送数据进行解密并验证所述密码结果，

其中所述计数器值由所述发送设备和所述认证服务器针对所述发送设备与所述认证服务器之间的每次传输单独地更新。

2.根据权利要求1所述的数据传输系统，其中所述一种或多种密码算法包括从对称加密算法、HMAC算法和CMAC算法的组中选择的至少一种。

3.根据权利要求1所述的数据传输系统，其中所述计数器值包括一次性密码。

4.根据权利要求1所述的数据传输系统，其中用于生成所述密码结果的所述一种或多种密码算法包括密码MAC功能。

5.根据权利要求1所述的数据传输系统，其中针对所述发送设备与所述认证服务器之间的每次传输生成唯一的分散化会话密钥。

6.根据权利要求5所述的数据传输系统，其中所述唯一的分散化会话密钥使用所述计数器值的一部分生成。

7.根据权利要求5所述的数据传输系统，其中所述唯一的分散化会话密钥使用不同的计数器值生成。

8.根据权利要求1所述的数据传输系统，其中所述主密钥限于预定次数的使用。

9.根据权利要求1所述的数据传输系统，其中所述主密钥限于预定时间段内的使用。

10.根据权利要求1所述的数据传输系统，其中所述发送设备包括支付卡，并且所述发送数据包括所述支付卡的激活数据。

11.一种由具有处理器和存储器的非接触卡发送数据的方法，所述存储器包含主密钥、标识号和计数器，所述方法包括：

使用所述主密钥和所述标识号来生成卡密钥；

使用所述卡密钥和所述计数器的第一部分来生成第一会话密钥，以及使用所述卡密钥和所述计数器的第二部分来生成第二会话密钥，其中所述计数器的所述第一部分不同于所述计数器的所述第二部分；

使用一种或多种密码算法和所述卡密钥来生成包括所述计数器的密码结果；

使用所述第一会话密钥来生成密码，所述密码包括所述密码结果和所述标识号；

使用所述第二会话密钥对所述密码进行加密；以及

发送所述加密的密码和所述密码结果。

12.根据权利要求11所述的发送数据的方法，其中所述非接触卡包括支付卡，并且所述密码包括所述支付卡的激活数据。

13.根据权利要求11所述的发送数据的方法，其中在所述存储器中存储版本号，并且所述版本号与用于解释所述密码的一组规则相关联。

14.根据权利要求11所述的发送数据的方法，其中所述密码包括共享机密，所述共享机密包括随机数。