[发明专利]智能终端与服务端建立安全通道的方法

权利要求书

1.一种智能终端与服务端建立安全通道的方法，其特征在于，所述方法包括：

智能终端与服务端进行链路会话协商生成链路会话密钥；

利用所述链路会话密钥对智能终端与服务端的认证数据进行加密/解密，在所述智能终端与所述服务端之间建立多级别的安全通道；

所述智能终端与服务端进行链路会话协商生成链路会话密钥，包括：

服务端生成第一随机数，利用根密钥加密所述第一随机数得到第一密文，将第一密文发送至智能终端，并向所述智能终端下发解密命令；

所述智能终端利用根密钥解密所述服务端发送的第一密文得到第一随机数并返回至所述服务端；

所述服务端验证所述智能终端返回的第一随机数与服务端生成的所述第一随机数是否一致，若一致，则所述服务端验证所述智能终端成功，向智能终端下发获取随机数的命令；

所述智能终端生成第二随机数发送至所述服务端；

所述服务端对接收到的所述第二随机数取反后拼接于所述第一随机数的尾端得到第三随机数，利用所述根密钥加密所述第三随机数得到第二密文，利用所述第二密文加密所述第一随机数得到第三密文；向所述智能终端下发所述第一随机数和加密命令；

所述智能终端将所述第二随机数取反后拼接于所述第一随机数的尾端得到第三随机数，利用所述根密钥加密所述第三随机数得到第三密文，将所述第三密文返回至所述服务端；

所述服务端判断自身的第三密文与所述智能终端返回的第三密文是否一致，若一致，则所述智能终端验证所述服务端成功，将所述第二密文下发至所述智能终端作为本次链路会话协商的链路会话密钥。

2.根据权利要求1所述的智能终端与服务端建立安全通道的方法，其特征在于，所述在所述智能终端与所述服务端之间建立多级别的安全通道，包括：

在所述智能终端与所述服务端之间建立基于对称算法或非对称算法的多级别的安全通道。

3.根据权利要求2所述的智能终端与服务端建立安全通道的方法，其特征在于，所述在所述智能终端与所述服务端之间建立基于对称算法的多级别的安全通道，包括：

所述服务端生成加密会话密钥和MAC会话密钥，采用SM1算法，利用初始化密钥加密所述加密会话密钥、所述MAC会话密钥以及安全级别数据后组成初始化数据包，利用所述链路会话密钥对所述初始化数据包进行加密得到初始化加密数据，将所述初始化加密数据发送至所述智能终端；

所述智能终端利用所述链路会话密钥解密所述服务端发送的所述初始化加密数据得到所述初始化数据包，利用初始化密钥解密所述初始化数据包得到所述加密会话密钥、所述MAC会话密钥以及所述安全级别数据；确定所述加密会话密钥、所述MAC会话密钥以及所述安全级别数据的格式是否正确，若正确，则确定初始化协商成功，将初始化协商结果返回至所述服务端；

所述服务端生成随机数组成APDU命令，利用所述链路会话密钥对所述随机数组成的APDU命令进行加密得到随机数加密数据，将所述随机数加密数据发送至所述智能终端；

所述智能终端利用所述链路会话密钥解密所述服务端发送的所述随机数加密数据得到所述随机数，利用加密密钥初始值加密所述随机数、所述加密会话密钥以及所述MAC会话密钥得到第一认证加密数据，并将所述第一认证加密数据返回至所述服务端；

所述服务端利用加密密钥初始值解密所述智能终端返回的所述第一认证加密数据得到所述随机数、所述加密会话密钥以及所述MAC会话密钥；判断所述智能终端返回的所述随机数、所述加密会话密钥以及所述MAC会话密钥与所述服务端的所述随机数、所述加密会话密钥以及所述MAC会话密钥是否一致，若一致，则所述服务端认证所述智能终端成功，将第一认证结果返回至所述智能终端；

所述智能终端接收到所述第一认证结果后生成随机数发送至所述服务端；

所述服务端利用加密密钥初始值对所述加密会话密钥、所述MAC会话密钥、所述安全级别数据以及所述智能终端发送的所述随机数进行加密得到认证数据，利用MAC密钥初始值对所述认证数据进行计算得到认证校验数据；将所述认证数据和所述认证校验数据组成APDU命令，通过所述链路会话密钥加密后得到第二认证加密数据，并将所述第二认证加密数据发送至所述智能终端；

所述智能终端利用所述链路会话密钥解密所述服务端发送的所述第二认证加密数据得到所述APDU命令并执行，若所述APDU命令执行成功，则所述智能终端认证所述服务端成功，将第二认证结果返回至所述服务端；

在所述智能终端与所述服务端双向认证成功后，所述智能终端与所述服务端之间的对称算法安全通道建立完成。