一种中国教育卡与可信智能终端的验证方法及系统与流程

本发明涉及网络与信息安全技术领域，具体涉及一种中国教育卡与可信智能终端的验证方法及系统。

背景技术：

基于智能卡的身份认证、数字签名技术可有效保障用户密钥安全，防止身份假冒，在网络安全领域得到较广泛应用。中国教育卡，是中国教育部信息管理中心统一推广的一种面向在校学生、毕业生、教职员工、以及教育行政管理部门的人员等对象发放的集成电路卡与网上副本，是满足教育应用安全性要求、具备身份鉴别功能、具有可识别的全国唯一的教育电子安全身份号，可同时支持教育管理应用、学校应用、智慧教育应用、网络空间应用、社会化应用的可信教育身份标识。

但是，在对现有智慧教育领域的技术研究与实践过程中，本发明的发明人发现，现有技术尚无一种中国教育卡与可信智能终端的验证方法与系统，智能终端缺乏网络可信身份，且不能准确解密读取中国教育卡中的可信教育数字身份信息，导致用户在智能终端上的相关操作缺乏安全性加密、不可抵赖性以及可追溯性。

技术实现要素：

本发明实施例所要解决的技术问题在于，提供一种中国教育卡与可信智能终端的验证方法及系统，提供用于对中国教育卡识别设备的网络可信身份；并与中国教育卡进行相互认证并安全准确解密读取可信教育数字身份信息。

为解决上述问题，本发明的一个实施例提供一种中国教育卡与可信智能终端的验证方法，至少包括如下步骤：

在读卡模组感应到中国教育卡后，发送触发命令至主板模组；

主板模组接收所述触发命令后，发送芯片鉴权证书鉴别命令至安全认证模组，以使所述安全认证模组鉴别所述中国教育卡是否为有效的中国教育卡；

在通过所述鉴别后，所述主板模组对所述中国教育卡进行数据读取处理，从所述中国教育卡芯片的文件中读取可信教育数字身份信息，并通过液晶屏模组显示和操作。

进一步地，所述中国教育卡与可信智能终端的验证方法，还包括：

通过信息化系统平台对智能终端进行身份验证，在通过所述身份验证后，颁发专属的网络可信身份证书至所述智能终端。

进一步地，所述中国教育卡与可信智能终端的验证方法，还包括：

对可信智能终端发出的操作指令进行签名和验签，其中，所述签名包括用户签名和设备签名。

进一步地，所述数据读取包括卡片公共应用区信息读取和PKI应用区信息读取。

进一步地，所述用户签名，具体为：

在发送教育数字身份鉴权指令后，判断所接收的签名需求是否正确，若是，则在用户通过输入PIN码或人脸识别验证后，生成用户签名；若否，则作错误处理；所述用户签名包括签名原数据和签名值。

进一步地，所述设备签名，具体为：

判断所接收的签名需求是否正确，若是，则调用设备数字证书，生成设备签名；若否，则作错误处理；其中，所述设备签名包括签名原数据和签名值。

进一步地，所述验签，具体为：

在主板模组通过安全认证模组对用户进行用户认证后，调用对应的用户数字证书对用户签名进行验证。

本发明的一个实施例还提供了一种中国教育卡与可信智能终端的验证系统，包括：

读卡模块，用于在读卡模组感应到中国教育卡后，发送触发命令至主板模组；

鉴别模块，用于主板模组接收所述触发命令后，发送芯片鉴权证书鉴别命令至安全认证模组，以使所述安全认证模组鉴别所述中国教育卡是否为有效的中国教育卡；

数据读取模块，用于在通过所述鉴别后，所述主板模组对所述中国教育卡进行数据读取处理，从所述中国教育卡芯片的文件中读取可信教育数字身份信息，并通过液晶屏模组显示和操作。

进一步地，所述中国教育卡与可信智能终端的验证系统，还包括：

设备验证模块，用于通过信息化系统平台对智能终端进行身份验证，在通过所述身份验证后，颁发专属的网络可信身份证书至所述智能终端。

进一步地，所述中国教育卡与可信智能终端的验证系统，还包括：

签名模块，用于对可信智能终端发出的操作指令进行签名和验签，其中，所述签名包括用户签名和设备签名。

实施本发明实施例，具有如下有益效果：

本发明实施例提供的一种中国教育卡与可信智能终端的验证方法及系统，所述方法包括：在读卡模组感应到中国教育卡后，发送触发命令至主板模组；主板模组接收所述触发命令后，发送芯片鉴权证书鉴别命令至安全认证模组，以使所述安全认证模组鉴别所述中国教育卡是否为有效的中国教育卡；在通过所述鉴别后，所述主板模组对所述中国教育卡进行数据读取处理，从所述中国教育卡芯片的文件中读取可信教育数字身份信息，并通过液晶屏模组显示和操作。本发明能够提供用于对中国教育卡识别设备的网络可信身份；通过能够用于中国教育卡的安全模组和读卡密钥，与中国教育卡进行相互认证并安全准确解密读取可信教育数字身份信息，提高安全性加密、不可抵赖性以及可追溯性。

附图说明

图1为本发明实施例提供的一种中国教育卡与可信智能终端的验证方法的流程示意图；

图2为本发明实施例提供的一种可信智能终端的结构示意图；

图3为本发明实施例提供的用户签名的流程示意图；

图4为本发明实施例提供的设备签名的流程示意图；

图5为本发明实施例提供的验签的流程示意图；

图6为本发明实施例提供的一种中国教育卡与可信智能终端的验证系统的结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

首先介绍本发明可以提供的应用场景，如验证和读取中国教育卡。

本发明第一实施例：

请参阅图1-5。

如图1所示，本实施例提供的一种中国教育卡与可信智能终端的验证方法，至少包括如下步骤：

S101、在读卡模组感应到中国教育卡后，发送触发命令至主板模组；

S102、主板模组接收所述触发命令后，发送芯片鉴权证书鉴别命令至安全认证模组，以使所述安全认证模组鉴别所述中国教育卡是否为有效的中国教育卡；

具体的，对于步骤S101和S102，感应到中国教育卡后，返回“触发”命令至主板模组，主板模组发起“芯片鉴权证书鉴别”命令至安全认证模组，以确认中国教育卡的有效性。

需要说明的是，本实施例提供的所述安全认证模块中包括专供于解密中国教育卡的读卡密钥，是中国教育部门指定的读卡密钥，具有唯一解密性。

S103、在通过所述鉴别后，所述主板模组对所述中国教育卡进行数据读取处理，从所述中国教育卡芯片的文件中读取可信教育数字身份信息，并通过液晶屏模组显示和操作。

具体的，对于步骤S103，当确认中国教育卡有效后，主板模组发起数据读取指令，从中国教育卡芯片的文件中读取可信教育数字身份信息；由于中国教育卡经过读卡模组和安全认证模组的相互验证，以及相应的解密，充分保证了信息读取的准确性和安全性。

如图2所示，本发明实施例还提供了一种可信智能终端，①为电源模组；②为主板模组；③为液晶屏模组；④为安全认证模组；⑤为摄像头模组；⑥为读卡模组。

在优选的实施例中，所述中国教育卡与可信智能终端的验证方法，还包括：

通过信息化系统平台对智能终端进行身份验证，在通过所述身份验证后，颁发专属的网络可信身份证书至所述智能终端。

具体的，在联网情况下，信息化系统平台均可随时通过安全认证模组对智能终端进行验证，在验证审核通过后，颁发专属的网络可信身份证书至所述智能终端，所述智能终端在拥有专属的网络可信身份证书后，才能定义为可信智能终端，保证在可信智能终端对中国教育卡进行操作的安全性和可信性。

在优选的实施例中，所述中国教育卡与可信智能终端的验证方法，还包括：

对可信智能终端发出的操作指令进行签名和验签，其中，所述签名包括用户签名和设备签名。

具体的，用户凭中国教育卡在本设备上的登录、查询等涉及个人隐私的操作，均有设有数据加密与签名验证，充分保证对用户个人隐私的保护。通过安全认证模组对经由本设备发出的所有信息(包括人员操作指令、设备操作指令等)进行签名，大大提高了对发出信息的可追溯性，保证证据链完整。

在优选的实施例中，所述数据读取包括卡片公共应用区信息读取和PKI应用区信息读取。

具体的，所述数据读取包括从卡片公共应用区读取发行信息文件、个人基本身份信息文件和相片信息文件，从PKI应用区读取中国教育卡中心证书文件、人员签名证书文件和人员加密证书文件。

在优选的实施例中，所述用户签名，具体为：

在发送教育数字身份鉴权指令后，判断所接收的签名需求是否正确，若是，则在用户通过输入PIN码或人脸识别验证后，生成用户签名；若否，则作错误处理；所述用户签名包括签名原数据和签名值。

具体的，如图3所示，用户凭中国教育卡在终端设备上使用教育数字身份进行相关操作时，如需用户签名时，会弹出口令(即PIN码)，用户自行输入，生成签名原数据和签名值。

在优选的实施例中，所述设备签名，具体为：

判断所接收的签名需求是否正确，若是，则调用设备数字证书，生成设备签名；若否，则作错误处理；其中，所述设备签名包括签名原数据和签名值。

具体的，如图4所示，设备通过调用寄存在本地的网络可信身份数字证书，对关键操作指令或重要数据进行签名，生成签名原数据以及签名值。

在优选的实施例中，所述验签，具体为：

在主板模组通过安全认证模组对用户进行用户认证后，调用对应的用户数字证书对用户签名进行验证。

具体的，如图5所示，验签即验证签名，是主板模组通过安全认证模组对用户认证通过后，调用用户数字证书，对用户的签名进行验证。因为身份鉴权、签名以及验签机制的完善，对于某些个人操作环节或者设备操作环节进行签名与验签，充分保证不可抵赖性。

本实施例提供的一种中国教育卡与可信智能终端的验证方法及系统，所述方法包括：在读卡模组感应到中国教育卡后，发送触发命令至主板模组；主板模组接收所述触发命令后，发送芯片鉴权证书鉴别命令至安全认证模组，以使所述安全认证模组鉴别所述中国教育卡是否为有效的中国教育卡；在通过所述鉴别后，所述主板模组对所述中国教育卡进行数据读取处理，从所述中国教育卡芯片的文件中读取可信教育数字身份信息，并通过液晶屏模组显示和操作。本发明能够提供用于对中国教育卡识别设备的网络可信身份；通过能够用于中国教育卡的安全模组和读卡密钥，与中国教育卡进行相互认证并安全准确解密读取可信教育数字身份信息，提高安全性加密、不可抵赖性以及可追溯性。

本发明第二实施例：

请参阅图2-6。

如图6所示，本实施例还提供了一种中国教育卡与可信智能终端的验证系统，包括：

读卡模块100，用于在读卡模组感应到中国教育卡后，发送触发命令至主板模组；

鉴别模块200，用于主板模组接收所述触发命令后，发送芯片鉴权证书鉴别命令至安全认证模组，以使所述安全认证模组鉴别所述中国教育卡是否为有效的中国教育卡；

具体的，对于读卡模块100和鉴别模块200，感应到中国教育卡后，返回“触发”命令至主板模组，主板模组发起“芯片鉴权证书鉴别”命令至安全认证模组，以确认中国教育卡的有效性。

数据读取模块300，用于在通过所述鉴别后，所述主板模组对所述中国教育卡进行数据读取处理，从所述中国教育卡芯片的文件中读取可信教育数字身份信息，并通过液晶屏模组显示和操作。

具体的，对于数据读取模块300，当确认中国教育卡有效后，主板模组发起数据读取指令，从中国教育卡芯片的文件中读取可信教育数字身份信息；由于中国教育卡经过读卡模组和安全认证模组的相互验证，以及相应的解密，充分保证了信息读取的准确性和安全性。

需要说明的是，本实施例提供的所述安全认证模块中包括专供于解密中国教育卡的读卡密钥，是中国教育部门指定的读卡密钥，具有唯一解密性。

如图2所示，本发明实施例还提供了一种可信智能终端，①为电源模组；②为主板模组；③为液晶屏模组；④为安全认证模组；⑤为摄像头模组；⑥为读卡模组。

在优选的实施例中，所述中国教育卡与可信智能终端的验证系统，还包括：

设备验证模块400，用于通过信息化系统平台对智能终端进行身份验证，在通过所述身份验证后，颁发专属的网络可信身份证书至所述智能终端。

具体的，对于设备验证模块400，在联网情况下，信息化系统平台均可随时通过安全认证模组对智能终端进行验证，在验证审核通过后，颁发专属的网络可信身份证书至所述智能终端，所述智能终端在拥有专属的网络可信身份证书后，才能定义为可信智能终端，保证在可信智能终端对中国教育卡进行操作的安全性和可信性。

在优选的实施例中，所述中国教育卡与可信智能终端的验证系统，还包括：

签名模块500，用于对可信智能终端发出的操作指令进行签名和验签，其中，所述签名包括用户签名和设备签名。

具体的，对于签名模块500，用户凭中国教育卡在本设备上的登录、查询等涉及个人隐私的操作，均有设有数据加密与签名验证，充分保证对用户个人隐私的保护。通过安全认证模组对经由本设备发出的所有信息(包括人员操作指令、设备操作指令等)进行签名，大大提高了对发出信息的可追溯性，保证证据链完整。

在优选的实施例中，所述数据读取包括卡片公共应用区信息读取和PKI应用区信息读取。

具体的，所述数据读取包括从卡片公共应用区读取发行信息文件、个人基本身份信息文件、相片信息文件，从PKI应用区读取中国教育卡中心证书文件、人员签名证书文件、人员加密证书文件。

在优选的实施例中，所述用户签名，具体为：

在发送教育数字身份鉴权指令后，判断所接收的签名需求是否正确，若是，则在用户通过输入PIN码或人脸识别验证后，生成用户签名；若否，则作错误处理；所述用户签名包括签名原数据和签名值。

具体的，如图3所示，用户凭中国教育卡在终端设备上使用教育数字身份进行相关操作时，如需用户签名时，会弹出口令(即PIN码)，用户自行输入，生成签名原数据和签名值。

在优选的实施例中，所述设备签名，具体为：

判断所接收的签名需求是否正确，若是，则调用设备数字证书，生成设备签名；若否，则作错误处理；其中，所述设备签名包括签名原数据和签名值。

具体的，如图4所示，设备通过调用寄存在本地的网络可信身份数字证书，对关键操作指令或重要数据进行签名，生成签名原数据以及签名值。

在优选的实施例中，所述验签，具体为：

在主板模组通过安全认证模组对用户进行用户认证后，调用对应的用户数字证书对用户签名进行验证。

具体的，如图5所示，验签即验证签名，是主板模组通过安全认证模组对用户认证通过后，调用用户数字证书，对用户的签名进行验证。因为身份鉴权、签名以及验签机制的完善，对于某些个人操作环节或者设备操作环节进行签名与验签，充分保证不可抵赖性。

本实施例提供的一种中国教育卡与可信智能终端的验证系统，包括：读卡模块，用于在读卡模组感应到中国教育卡后，发送触发命令至主板模组；鉴别模块，用于主板模组接收所述触发命令后，发送芯片鉴权证书鉴别命令至安全认证模组，以使所述安全认证模组鉴别所述中国教育卡是否为有效的中国教育卡；数据读取模块，用于在通过所述鉴别后，所述主板模组对所述中国教育卡进行数据读取处理，从所述中国教育卡芯片的文件中读取可信教育数字身份信息，并通过液晶屏模组显示和操作。本发明能够提供用于对中国教育卡识别设备的网络可信身份；通过能够用于中国教育卡的安全模组和读卡密钥，与中国教育卡进行相互认证并安全准确解密读取可信教育数字身份信息，提高安全性加密、不可抵赖性以及可追溯性。

本发明的一个实施例还提供了一种计算机可读存储介质，所述计算机可读存储介质包括存储的计算机程序，其中，在所述计算机程序运行时控制所述计算机可读存储介质所在设备执行如上述的一种中国教育卡与可信智能终端的验证。

以上所述是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和变形，这些改进和变形也视为本发明的保护范围。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的程序可存储于一计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory，ROM)或随机存储记忆体(Random Access Memory，RAM)等。