一种安全认证和传输的方法和系统的制作方法

一种安全认证和传输的方法和系统的制作方法
【专利摘要】本发明提供了一种安全认证和传输的方法和系统，该方法包括：对要发送的原始数据用对称密钥进行加密，生成对称密钥加密后的原始数据；将所述对称密钥加密后的原始数据用非对称密钥中的私钥进行数字签名，将对称密钥加密后的原始数据、数字签名和数字证书发送出去；接收所述对称密钥加密后的原始数据、数字签名和数字证书，用所述数字证书中的非对称密钥中的公钥验证数字签名；通过验证后，将所述对称密钥加密后的原始数据用对称密钥进行解密，获取原始数据。本发明提供的方法中，先对要发送的数据采用对称密钥加密，确保原始数据的安全，再对用对称密钥加密后的数据采用非对称密钥中的私钥进行数字签名，保证数据在传输中的安全。
【专利说明】一种安全认证和传输的方法和系统

【技术领域】
[0001]本发明涉及信息安全领域，尤其涉及一种安全认证和传输的方法和系统。

【背景技术】
[0002]随着智能卡技术的快速发展，智能卡的应用领域十分广泛。智能卡作为关系国计民生的物质载体，其安全关系到人民的财产安全。因此，为进一步保证信息安全，需要改进现有技术方式。
[0003]在现有技术中，对数据的加密主要用对称密钥技术加密方法。在对称加密技术中，数据发信方将明文和加密密钥一起经过特殊加密算法处理后，将其变成密文发送出去。收信方收到密文后，使用与加密过程相同的密钥和算法对密文进行解密。在对称密钥技术中，使用的密钥只有一个，发信和收信双方都使用这个密钥对数据进行加密和解密。
[0004]根据上述描述可以看出，一旦对称密钥被攻破，整套安全体系的根基将不复存在。为了保证密钥的安全，为避免因网络攻击等可能引起的密钥泄露，对称密钥技术中的密码机一般与公网隔离，放置于内网或局域网中。


【发明内容】

[0005]本发明实施例提供了一种安全认证和传输的方法和系统，能够解决密码机放在公用网络上的身份认证问题和密钥安全问题。
[0006]一方面，本发明实施例提供了一种安全认证和传输的方法，所述方法包括:
[0007]对要发送的原始数据用对称密钥进行加密，生成对称密钥加密后的原始数据；
[0008]将所述对称密钥加密后的原始数据用非对称密钥中的私钥进行数字签名，将对称密钥加密后的原始数据、数字签名和数字证书发送出去；
[0009]接收所述对称密钥加密后的原始数据、数字签名和数字证书，用所述数字证书中的非对称密钥中的公钥验证数字签名；
[0010]通过验证后，将所述对称密钥加密后的原始数据用对称密钥进行解密，获取原始数据。
[0011 ] 进一步地，所述对需要发送的原始数据用对称密钥进行加密之前，进一步包括:
[0012]获取CPU卡安全认证识别码，并对CPU卡安全认证识别码进行验证；
[0013]所述CPU卡安全认证识别码进行验证之后，进一步包括:
[0014]如果CPU卡安全认证识别码通过验证，开启指令透传功能，获取CPU卡的数据作为所述原始数据；
[0015]如果CPU卡安全认证识别码没有通过验证,屏蔽CPU卡。
[0016]进一步地，所述获取CPU卡的数据作为所述原始数据之前，进一步包括:
[0017]向CPU卡发送操作指令，CPU卡根据操作指令发送所述原始数据。
[0018]进一步地，所述获取原始数据之后，还包括:
[0019]对原始数据进行处理生成响应数据，将响应数据用对称密钥进行加密，生成对称密钥加密后的响应数据；
[0020]将对称密钥加密后的响应数据用数字证书中的非对称密钥中的私钥进行数字签名，将对称密钥加密后的响应数据、响应数据的数字签名和数字证书发送出去；
[0021]接收所述对称密钥加密后的响应数据、响应数据的数字签名和数字证书，用所述数字证书中的非对称密钥中的公钥验证数字签名；
[0022]通过验证后，将对称密钥加密后的响应数据用对称密钥进行解密，获取响应数据。
[0023]进一步地，所述将响应数据用对称密钥进行加密之前，还包括:
[0024]根据以下条件判断是否需要对响应数据进行加密:
[0025]当需要将对称密钥导出或变相实现密钥导出时，需要对所述响应数据进行加密；
[0026]当不需要将对称密钥导出或变相实现密钥导出时，不需要对所述响应数据进行加
LU O
[0027]另一方面，本发明实施例提供了一种安全认证和传输的系统，其特征在于，所述系统包括:
[0028]第一对称加密模块，用于对要发送的原始数据用对称密钥进行加密，输出对称密钥加密后的原始数据；
[0029]第一数字签名模块，用于将所述第一对称加密模块输出的对称密钥加密后的原始数据用非对称密钥中的私钥进行数字签名；
[0030]第一发送模块，用于将对称密钥加密后的原始数据、数字签名和数字证书发送出去;
[0031]第一接收模块，用于接收所述对称密钥加密后的原始数据、数字签名和数字证书;
[0032]第一验证模块，用于用所述数字证书中的非对称密钥中的公钥验证数字签名，验证通过后，解析获得对称密钥加密后的原始数据；
[0033]第一对称解密模块，用于将所述对称密钥加密后的原始数据用对称密钥进行解密，获取原始数据。
[0034]进一步地,所述系统进一步包括:
[0035]识别码获取模块，用于所述在所述第一对称加密模块对发送的原始数据用对称密钥进行加密之前，获取CPU卡安全认证识别码；
[0036]CPU卡验证模块，用于对所述获取模块获取的CPU卡安全认证识别码进行验证，输出验证结果；
[0037]原始数据获取模块，用于当所述CPU卡验证模块对CPU卡安全认证识别码的验证结果为通过验证时，开启指令透传功能，获取CPU卡的数据作为所述原始数据，当所述CPU卡验证模块对CPU卡安全认证识别码的验证结果为没有通过验证时,屏蔽CPU卡。
[0038]进一步地，所述系统进一步包括:
[0039]操作指令发送模块，用于向CPU卡发送操作指令。
[0040]进一步地,所述系统还包括:
[0041]处理模块，用于对原始数据进行处理输出响应数据；
[0042]第二对称加密模块，用于将所述处理模块输出的响应数据用对称密钥进行加密，输出对称密钥加密后的响应数据；
[0043]第二数字签名模块，用于将所述第二对称加密模块输出的对称密钥加密后的响应数据用数字证书中的非对称密钥中的私钥进行数字签名；
[0044]第二发送模块，用于将所述对称密钥加密后的响应数据、响应数据的数字签名和数字证书发送出去；
[0045]第二接收模块，用于接收所述第二发送模块发送的对称密钥加密后的响应数据、响应数据的数字签名和数字证书；
[0046]第二验证模块，用于用所述数字证书中的非对称密钥中的公钥验证数字签名，验证通过后，解析获得对称密钥加密后的原始数据；
[0047]第二对称解密模块，用于将所述对称密钥加密后的响应数据用对称密钥进行解密，获取响应数据。
[0048]进一步地,所述系统还包括:
[0049]判断模块，用于在将响应数据用对称密钥进行加密之前，根据以下条件判断是否需要对响应数据进行加密:
[0050]当需要将对称密钥导出或变相实现密钥导出时，需要对所述响应数据进行加密；
[0051]当不需要将对称密钥导出或变相实现密钥导出时，不需要对所述响应数据进行加
LU O
[0052]本发明实施例提出了一种安全认证和传输的方法和系统，在加密过程中采用了数字认证技术，使用非对称密钥技术和对称密钥技术双层加密。其中，先对要发送的数据采用对称密钥加密，确保原始数据的安全，然后，对用对称密钥加密后的数据采用非对称密钥中的私钥进行数字签名，保证数据在通讯链路中的安全。当数据在公网中传输时，对加密数据进行攻击，由于传输数据采用了非对称密钥进行加密，保证了加密数据能够安全的在公网中传输。

【专利附图】

【附图说明】
[0053]图1是本发明实施例提供的一种安全认证和传输的方法流程图；
[0054]图2是本发明实施例提供的一种安全认证和传输的方法中响应数据需要加密时的流程图；
[0055]图3是本发明实施例中城市一卡通系统中数据加密传输的流程图；
[0056]图4是本发明实施例提供的一种安全认证和传输的系统示意图；
[0057]图5是本发明实施例提供的一种安全认证和传输的系统示意图；
[0058]图6是本发明实施例提供的一种安全认证和传输的系统示意图。

【具体实施方式】
[0059]为了使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
[0060]随着对数据安全的要求越来越高，对加密技术也有更高的要求。现有技术中，主要采用对称加密技术对数据进行加密，这种加密方法中，发信和收信双方使用同一个密钥进行加密和解密，一旦密钥泄露后，数据的安全将受到严重威胁。
[0061]因此，本发明实施例提供了一种安全认证和传输的方法，可以使加密数据在公网中传输，并能保证数据的安全，参见图1，该方法包括:
[0062]步骤101:对要发送的原始数据用对称密钥进行加密，生成对称密钥加密后的原始数据；
[0063]步骤102:将对称密钥加密后的原始数据用非对称密钥中的私钥进行数字签名，将对称密钥加密后的原始数据、数字签名和数字证书发送出去；
[0064]步骤103:接收对称密钥加密后的原始数据、数字签名和数字证书，用数字证书中的非对称密钥中的公钥验证数字签名；
[0065]步骤104:通过验证后，将对称密钥加密后的原始数据用对称密钥进行解密，获取原始数据。
[0066]可见，本发明实施例提出的一种安全认证和传输的方法中，在加密过程中采用了数字认证技术，使用非对称密钥技术和对称密钥技术双层加密。其中，先对要发送的数据采用对称密钥加密，确保原始数据的安全，然后，对用对称密钥加密后的数据采用非对称密钥中的私钥进行数字签名，保证数据在通讯链路中的安全。当数据在公网中传输时，对加密数据进行攻击，由于传输数据采用了非对称密钥进行加密，保证了数据的安全性。
[0067]为了进一步提高数据的安全性，在对要发送的原始数据用对称密钥进行加密之前，还要确保数据来源的安全性，要对提供数据的CPU卡是否是标准CPU卡进行识别。通过获取CPU卡安全认证识别码，并对CPU卡安全认证识别码进行验证，如果CPU卡安全认证识别码通过验证，开启指令透传功能，获取CPU卡的数据作为所述原始数据，如果CPU卡安全认证识别码没有通过验证，屏蔽CPU卡。当要获取通过验证的CPU卡的数据作为原始数据时，要先向CPU卡发送操作指令，CPU卡根据操作指令发送原始数据。
[0068]获得原始数据后，对原始数据进行处理，并返回响应数据。在返回响应数据前要判断是否需要对响应数据进行加密:当不需要将对称密钥导出或变相实现密钥导出时，不对响应数据进行加密，直接发送响应数据；当需要将对称密钥导出或变相实现密钥导出时，要对响应数据进行加密。
[0069]当响应数据需要进行加密时，参见图2，具体步骤如下:
[0070]步骤201:对原始数据进行处理生成响应数据，将响应数据用对称密钥进行加密，生成对称密钥加密后的响应数据；
[0071]步骤202:将对称密钥加密后的响应数据用数字证书中的非对称密钥中的私钥进行数字签名，将对称密钥加密后的响应数据、响应数据的数字签名和数字证书发送出去；
[0072]步骤203:接收所述对称密钥加密后的响应数据、响应数据的数字签名和数字证书，用所述数字证书中的非对称密钥中的公钥验证数字签名；
[0073]步骤204:通过验证后，将对称密钥加密后的响应数据用对称密钥进行解密，获取响应数据。
[0074]下面以城市一卡通系统中的数据加密传输过程来详细说明本发明实施例的实现过程。
[0075]城市一^^通系统主要包括三个部分:
[0076]1、读写终端
[0077]读写终端需要装载相应的数字证书，除了实现CPU卡指令操作功能外，还承担身份认证和安全通信的相关功能。
[0078]其中，在读写终端中内嵌了集RF(Rad1 Frequency,射频)与SAM (SecurityAccount Manager,安全账号管理器)功能于一身的专用安全芯片，由安全芯片统一接管安全处理和RF通讯，芯片内部处理完毕收到数据后，直接交由RF转发，提高了被攻击的难度，也加快了处理速度。另外，专用安全芯片对外提供统一的调用接口，扩大了产品的选型范围。
[0079]2、业务平台
[0080]业务平台是系统的操作平台，且为前台和后台连接的桥梁。
[0081]3、后台系统
[0082]后台系统为业务平台提供密钥应用服务，且实现身份认证和安全通信的相关功倉泛。
[0083]其中，后台系统主要包括三个组成部分:
[0084]a、CA/RA (Certificat1n Authority/Registrat1n Authority,认证中心 / 注册审批机构):主要用于提供非对称密钥技术中数字证书合法性验证服务；
[0085]b、CA (Certificat1n Authority,认证中心)功能密码机:主要用于提供对称密钥技术中密钥应用服务；
[0086]C、中间件:是后台系统的出入口，主要用于对外提供统一的业务服务接口，并实现CA/RA与CA功能密码机的交接。
[0087]在对CPU卡进行操作之前，要对CPU卡进行上电复位:业务平台发送CPU卡上电复位指令给读写终端,读写终端执行指令,对CPU卡进行上电复位，复位成功后将CPU卡上电复位成功的信息发给业务平台。上电复位成功后，读写终端开始对CPU卡进行操作。
[0088]参见图3，城市一卡通系统中数据加密传输的步骤如下:
[0089]步骤301:读写终端获取CPU卡安全认证识别码，并对CPU卡安全认证识别码进行验证；
[0090]具体地，如果CPU卡安全认证识别码通过验证，开启指令透传功能，获取CPU卡的数据作为所述原始数据；
[0091]如果CPU卡安全认证识别码没有通过验证,屏蔽CPU卡。
[0092]步骤302 =CPU卡通过安全认证识别码验证后，业务平台调用指令透传功能，执行明文/密文CPU卡操作指令，读写终端向CPU卡发送操作指令，CPU卡根据操作指令发送原始数据给读写终端；
[0093]步骤303:读写终端接收CPU卡发送的原始数据并对原始数据用对称密码进行加密，生成对称密钥加密后的原始数据；
[0094]步骤304:读写终端将对称密钥加密后的原始数据用非对称密钥中的私钥进行数字签名，将对称密钥加密后的原始数据、数字签名和数字证书发送给业务平台；
[0095]具体地，读写终端在收到CPU卡发送的原始数据后，内部对数据进行数字签名，最终将原始数据和数字签名结果返回给业务平台；
[0096]步骤305:业务平台接收到读写终端发送的对称密钥加密后的原始数据、数字签名和数字证书后，将处理请求、对称密钥加密后的原始数据、数字签名和数字证书发送给后台系统；
[0097]步骤306:后台系统接收业务平台发送的处理请求、对称密钥加密后的原始数据、数字签名和数字证书，通过CA/RA用数字证书中的非对称密钥中的公钥对数字签名后的原始数据进行验证数字签名；
[0098]步骤307:后台系统通过CA功能密码机将验证数字签名后的原始数据用对称密钥进行解密，获取原始数据；
[0099]步骤308:后台系统根据处理请求对原始数据进行处理，生成响应数据，判断是否需要对响应数据进行加密；
[0100]具体地，当业务平台需要将对称密钥导出或变相实现密钥导出时，对响应数据进行加密，发送加密后的响应数据；
[0101]当业务平台不需要将对称密钥导出或变相实现密钥导出时，不对响应数据进行加密，直接发送响应数据。
[0102]步骤309:当需要对响应数据进行加密时，后台系统通过CA功能密码机将响应数据用对称密钥进行加密，生成对称密钥加密后的响应数据；
[0103]步骤310:后台系统将对称密钥加密后的响应数据通过CA/RA用数字证书中的非对称密钥中的私钥进行数字签名，将对称密钥加密后的响应数据、响应数据的数字签名和数字证书发送出去；
[0104]步骤311:业务平台接收后台系统发送的对称密钥加密后的响应数据、响应数据的数字签名和数字证书，用非对称密钥中的公钥对签名进行验证，得到对称密钥加密后的响应数据；
[0105]步骤312:业务平台将对称密钥加密后的响应数据用对称密钥进行解密，获取响应数据。
[0106]其中，业务平台依据响应数据确定读写终端透传功能明文/密文调用，读写终端依据指令形态的不同，在指令发送时，区分了两种模式:
[0107]模式一、明文转发
[0108]直接发送。读写终端的安全芯片依据指令格式获取指令数据域后，直接交由RF转发。
[0109]模式二、密文转发
[0110]由数字证书解密后转发。读写终端的安全芯片依据指令格式，获取指令数据域后，内部先用数字证书的私钥解密，再交由RF转发。
[0111]另外，在后台系统中，由中间件对外提供标准的接口服务，业务平台无需关心后台系统的相关内容，只需按照接口要求向中间件发送请求即可。
[0112]本发明一个实施例中还提出了一种安全认证和传输的系统，参见图4,该系统包括:
[0113]第一对称加密模块401，用于对要发送的原始数据用对称密钥进行加密，输出对称密钥加密后的原始数据；
[0114]第一数字签名模块402，用于将所述第一对称加密模块输出的对称密钥加密后的原始数据用非对称密钥中的私钥进行数字签名；
[0115]第一发送模块403，用于将对称密钥加密后的原始数据、数字签名和数字证书发送出去；
[0116]第一接收模块404，用于接收所述对称密钥加密后的原始数据、数字签名和数字证书;
[0117]第一验证模块405，用于用所述数字证书中的非对称密钥中的公钥验证数字签名；
[0118]第一对称解密模块406，用于将所述对称密钥加密后的原始数据用对称密钥进行解密，获取原始数据。
[0119]为了进一步提高数据的安全性，在对发送的原始数据用对称密钥进行加密之前，还要确保数据来源的安全性，增加了下面的模块来对提供数据的CPU卡是否是标准CPU卡进行识别，参见图5:
[0120]识别码获取模块501，用于所述在所述第一对称加密模块对发送的原始数据用对称密钥进行加密之前，获取CPU卡安全认证识别码；
[0121]CPU卡验证模块502，用于对所述获取模块获取的CPU卡安全认证识别码进行验证，输出验证结果；
[0122]原始数据获取模块502，用于当所述CPU卡验证模块对CPU卡安全认证识别码的验证结果为通过验证时，开启指令透传功能，获取CPU卡的数据作为所述原始数据，当所述CPU卡验证模块对CPU卡安全认证识别码的验证结果为没有通过验证时,屏蔽CPU卡。
[0123]当要获取通过验证的CPU卡的数据作为原始数据时，要先向CPU卡发送操作指令，CPU卡根据操作指令发送原始数据，进而增加了操作指令发送模块503，用于向CPU卡发送操作指令。
[0124]参见图6，获得原始数据后，对原始数据进行处理，并返回响应数据。处理模块601，用于对原始数据进行处理输出响应数据。为了判断返回的响应数据是否需要加密，增加了判断模块602，用于在将响应数据用对称密钥进行加密之前，根据以下条件判断是否需要对响应数据进行加密:当不需要将对称密钥导出或变相实现密钥导出时，不对响应数据进行加密，直接发送响应数据；当需要将对称密钥导出或变相实现密钥导出时，要对响应数据进行加密。
[0125]对于需要加密的响应数据，用下面的模块完成:
[0126]第二对称加密模块603，用于将所述处理模块输出的响应数据用对称密钥进行加密，输出对称密钥加密后的响应数据；
[0127]第二数字签名模块604，用于将所述第二对称加密模块输出的对称密钥加密后的响应数据用数字证书中的非对称密钥中的私钥进行数字签名；
[0128]第二发送模块605，用于将所述对称密钥加密后的响应数据、响应数据的数字签名和数字证书发送出去；
[0129]第二接收模块606，用于接收所述第二发送模块发送的对称密钥加密后的响应数据、响应数据的数字签名和数字证书；
[0130]第二验证模块607，用于用数字证书中的非对称密钥中的公钥验证数字签名；
[0131]第二对称解密模块608，用于将对称密钥加密后的响应数据用对称密钥进行解密，获取响应数据。
[0132]可见，本发明实施例具有如下的有益效果:
[0133]1、本发明实施例提出的一种安全认证和传输的方法中，在加密过程中采用了数字认证技术，使用非对称密钥技术和对称密钥技术双层加密。其中，先对要发送的数据采用对称密钥加密，确保原始数据的安全，然后，对用对称密钥加密后的数据采用非对称密钥中的私钥进行数字签名，保证数据在通讯链路中的安全。当数据在公网中传输时，对加密数据进行攻击，由于传输数据采用了非对称密钥进行加密，公钥和私钥是不同的，保证了加密数据能够安全的在公网中传输。
[0134]2、本发明实施例提供的一种安全认证和传输的方法中，采用非对称密钥技术和对称密钥技术双层加密，不仅能够兼容现有的应用，更超前使用了符合国家安全要求的安全机制，增加了数据的安全性。
[0135]3、本发明实施例提供的一种安全认证和传输的方法中，在获取CPU卡的数据之前，对CPU卡是否是标准卡进行验证，将没有通过验证的CPU卡屏蔽与系统之外，确保了 CPU卡的合法性，进而提高了数据的安全性。
[0136]4、本发明实施例提供的一种安全认证和传输的方法中，统一规范了产品的调用接口，前端的读写终端中的专用安全芯片与后台系统的专用密码机，对外提供统一的调用接口，不再区分厂家和型号。对产品的调用统一且规范，扩大了对产品的选型范围。
[0137]需要说明的是，在本文中，诸如第一和第二之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同因素。
[0138]本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成，前述的程序可以存储在计算机可读取的存储介质中，该程序在执行时，执行包括上述方法实施例的步骤；而前述的存储介质包括:R0M、RAM、磁碟或者光盘等各种可以存储程序代码的介质中。
[0139]最后需要说明的是:以上所述仅为本发明的较佳实施例，仅用于说明本发明的技术方案，并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所做的任何修改、等同替换、改进等，均包含在本发明的保护范围内。
【权利要求】
1.一种安全认证和传输的方法，其特征在于，所述方法包括: 对要发送的原始数据用对称密钥进行加密，生成对称密钥加密后的原始数据； 将所述对称密钥加密后的原始数据用非对称密钥中的私钥进行数字签名，将对称密钥加密后的原始数据、数字签名和数字证书发送出去； 接收所述对称密钥加密后的原始数据、数字签名和数字证书，用所述数字证书中的非对称密钥中的公钥验证数字签名； 通过验证后，将所述对称密钥加密后的原始数据用对称密钥进行解密，获取原始数据。
2.根据权利要求1所述的方法，其特征在于，所述对要发送的原始数据用对称密钥进行加密之前，进一步包括: 获取CPU卡安全认证识别码，并对CPU卡安全认证识别码进行验证； 所述CPU卡安全认证识别码进行验证之后，进一步包括: 如果CPU卡安全认证识别码通过验证，开启指令透传功能，获取CPU卡的数据作为所述原始数据； 如果CPU卡安全认证识别码没有通过验证，屏蔽CPU卡。
3.根据权利要求2所述的方法，其特征在于，所述获取CPU卡的数据作为所述原始数据之前，进一步包括: 向CPU卡发送操作指令，CPU卡根据操作指令发送所述原始数据。
4.根据权利要求1所述的方法，其特征在于，所述获取原始数据之后，还包括: 对原始数据进行处理生成响应数据，将响应数据用对称密钥进行加密，生成对称密钥加密后的响应数据； 将对称密钥加密后的响应数据用数字证书中的非对称密钥中的私钥进行数字签名，将对称密钥加密后的响应数据、响应数据的数字签名和数字证书发送出去； 接收所述对称密钥加密后的响应数据、响应数据的数字签名和数字证书，用所述数字证书中的非对称密钥中的公钥验证数字签名； 通过验证后，将对称密钥加密后的响应数据用对称密钥进行解密，获取响应数据。
5.根据权利要求4所述的方法，其特征在于，所述将响应数据用对称密钥进行加密之前，还包括: 根据以下条件判断是否需要对响应数据进行加密: 当需要将对称密钥导出或变相实现密钥导出时，需要对所述响应数据进行加密； 当不需要将对称密钥导出或变相实现密钥导出时，不需要对所述响应数据进行加密。
6.一种安全认证和传输的系统，其特征在于，所述系统包括: 第一对称加密模块，用于对要发送的原始数据用对称密钥进行加密，输出对称密钥加密后的原始数据； 第一数字签名模块，用于将所述第一对称加密模块输出的对称密钥加密后的原始数据用非对称密钥中的私钥进行数字签名； 第一发送模块，用于将对称密钥加密后的原始数据、数字签名和数字证书发送出去； 第一接收模块，用于接收所述对称密钥加密后的原始数据、数字签名和数字证书； 第一验证模块，用于用所述数字证书中的非对称密钥中的公钥验证数字签名； 第一对称解密模块，用于将所述对称密钥加密后的原始数据用对称密钥进行解密，获取原始数据。
7.根据权利要求6所述的系统，其特征在于，所述系统进一步包括: 识别码获取模块，用于所述在所述第一对称加密模块对发送的原始数据用对称密钥进行加密之前，获取CPU卡安全认证识别码； CPU卡验证模块，用于对所述获取模块获取的CPU卡安全认证识别码进行验证，输出验证结果； 原始数据获取模块，用于当所述CPU卡验证模块对CPU卡安全认证识别码的验证结果为通过验证时，开启指令透传功能，获取CPU卡的数据作为所述原始数据，当所述CPU卡验证模块对CPU卡安全认证识别码的验证结果为没有通过验证时，屏蔽CPU卡。
8.根据权利要求6所述的系统，其特征在于，所述系统进一步包括: 操作指令发送模块，用于向CPU卡发送操作指令。
9.根据权利要求6所述的系统，其特征在于，所述系统还包括: 处理模块，用于对原始数据进行处理输出响应数据； 第二对称加密模块，用于将所述处理模块输出的响应数据用对称密钥进行加密，输出对称密钥加密后的响应数据； 第二数字签名模块，用于将所述第二对称加密模块输出的对称密钥加密后的响应数据用数字证书中的非对称密钥中的私钥进行数字签名； 第二发送模块，用于将所述对称密钥加密后的响应数据、响应数据的数字签名和数字证书发送出去； 第二接收模块，用于接收所述第二发送模块发送的对称密钥加密后的响应数据、响应数据的数字签名和数字证书； 第二验证模块，用于用所述数字证书中的非对称密钥中的公钥验证数字签名，如果通过验证，解析获取对称密钥加密后的响应数据； 第二对称解密模块，用于将所述对称密钥加密后的响应数据用对称密钥进行解密，获取响应数据。
10.根据权利要求9所述的系统，其特征在于，所述系统还包括: 判断模块，用于在将响应数据用对称密钥进行加密之前，根据以下条件判断是否需要对响应数据进行加密: 当需要将对称密钥导出或变相实现密钥导出时，需要对所述响应数据进行加密； 当不需要将对称密钥导出或变相实现密钥导出时，不需要对所述响应数据进行加密。
【文档编号】H04L29/06GK104424446SQ201310367733
【公开日】2015年3月18日 申请日期:2013年8月21日 优先权日:2013年8月21日
【发明者】王辉, 周欣, 马虹, 申绯斐, 曹子新, 杨辉, 苑朋朋, 樊静静 申请人:中外建设信息有限责任公司