一种身份证读取响应方法

一种身份证读取响应方法
【专利摘要】本发明公开了一种身份证读取响应方法。该方法包括：调度服务器获取读卡终端的标识信息，根据标识信息判断是否允许读卡终端读取身份证；允许读取身份证的情况下，选择一个认证安全控制模块；选择的认证安全控制模块将寻卡请求发送给对应的验证安全控制模块；对应的验证安全控制模块发送确认结果信息；选择的认证安全控制模块发送加密的确认结果信息；选择的认证安全控制模块接收读卡终端发送第一数据包，得到身份证原始密文信息，将身份证原始密文信息发送给对应的验证安全模块；对应的验证安全模块对身份证原始密文信息进行解密，得到身份证明文信息；选择的认证安全控制模块对身份证明文信息进行加密，将第二数据包发送给读卡终端。
【专利说明】
_种身份证读取响应方法
技术领域
[0001]本发明涉及一种电子技术领域，尤其涉及一种身份证读取响应方法。
【背景技术】
[0002]现有的身份证读卡终端具有至少两个模块，包括读模块以及居民身份证验证安全控制模块。由于每个身份证读卡终端均设置居民身份证验证安全控制模块，因此，现有的身份证读卡终端的制造成本高;并且，居民身份证验证安全控制模块只能对一个读模块读取的居民身份证信息进行身份验证，因此，现有的身份证读卡终端利用率较低。
[0003]在相关技术中给出的解决方案是:将居民身份证验证安全控制模块从身份证读卡终端中移除，身份证读卡终端只作身份信息读取的功能，身份验证由后台居民身份证验证安全控制模块完成，从而可以减少身份证读卡终端的成本，并且，多个身份证读卡终端可以由同一个后台居民身份证验证安全控制模块进行验证，从而提高了后台居民身份证验证安全控制模块的利用率。采用这种方案，由于身份证读卡终端的身份不确定，可能会给后台居民身份证验证安全控制模块带来不安全的因素，进而导致居民身份证被非法使用。

【发明内容】

[0004]本发明旨在解决上述问题之一。
[0005]本发明的主要目的在于提供一种身份证读取响应方法。
[0006]为达到上述目的，本发明的技术方案具体是这样实现的:
[0007]本发明一方面提供了一种身份证读取响应方法，包括:调度服务器获取读卡终端的标识信息，根据标识信息判断是否允许读卡终端读取身份证;在确定允许读卡终端读取身份证的情况下，调度服务器在接收到读卡终端发送的加密寻卡请求后，从认证数据库获取调度服务器的管辖范围内的各个认证安全控制模块的工作状态，根据各个认证安全控制模块的工作状态，选择一个认证安全控制模块;调度服务器将选择的认证安全控制模块的标识信息发送给读卡终端;选择的认证安全控制模块获取读卡终端发送的寻卡请求，将寻卡请求发送给与选择的认证安全控制模块对应的验证安全控制模块;对应的验证安全控制模块对接收寻卡请求，对寻卡请求进行确认，将确认结果信息发送给选择的认证安全控制模块;选择的认证安全控制模块获取会话密钥，使用会话密钥对确认结果信息进行加密，将加密的确认结果信息发送给读卡终端;选择的认证安全控制模块接收读卡终端发送第一数据包，其中，第一数据包包括:读卡终端对读取到的身份证原始密文信息进行加密得到的身份证密文;选择的认证安全控制模块使用会话密钥对身份证密文进行解密，得到身份证原始密文信息，将身份证原始密文信息发送给对应的验证安全模块;对应的验证安全模块对身份证原始密文信息进行解密，得到身份证明文信息，将身份证明文信息返回给选择的认证安全控制模块;选择的认证安全控制模块使用会话密钥对身份证明文信息进行加密，将第二数据包发送给读卡终端，其中，第二数据包包括:加密的身份证明文信息。
[0008]可选地，调度服务器获取读卡终端的标识信息包括:调度服务器接收读卡终端发送的接入请求，从接入请求中获取读卡终端的标识信息;或者，调度服务器接收读卡终端发送的身份证请求，从身份证请求中获取读卡终端的标识信息，其中，身份证请求中携带有寻卡请求、读卡终端的标识信息。
[0009]可选地，读卡终端的标识信息包括:读卡终端的数字证书;调度服务器判断是否允许读卡终端读取身份证包括:判断读卡终端的数字证书是否异常，如果是，则确定不允许读卡终端读取身份证，否则判断读卡终端的数字证书是否在黑名单或管控名单中，其中，黑名单中记录了不允许接入的读卡终端的数字证书，管控名单中记录了需要按照预设的管控策略对其接入进行控制的读卡终端的数字证书;在判断读卡终端的数字证书在黑名单中的情况下，不允许读卡终端读取身份证，拒绝读卡终端的请求;在判断读卡终端的数字证书在管控名单中的情况下，按照预设的管控策略判断是否允许读卡终端读取身份证。
[0010]可选地，读卡终端的标识信息包括:读卡终端的序列号以及读卡终端的数字证书；调度服务器判断是否允许读卡终端读取身份证，包括:判断读卡终端的数字证书是否异常，如果是，则确定不允许读卡终端读取身份证，否则，判断读卡终端的数字证书或读卡终端的序列号是否在黑名单或管控名单中，其中，黑名单中记录了不允许读取身份证的读卡终端的标识信息，管控名单中记录了需要按照预设的管控策略对读取身份证操作进行控制的读卡终端的标识信息；在判断读卡终端的数字证书或读卡终端的序列号在黑名单中的情况下，不允许读卡终端读取身份证，拒绝读卡终端的请求;在判断读卡终端的数字证书或读卡终端的序列号在管控名单中的情况下，按照预设的管控策略判断是否允许读卡终端读取身份证。
[0011]可选地，在判断读卡终端的标识信息在管控名单中的情况下，判断是否允许读卡终端读取身份证至少包括以下之一:根据预设的管控策略，判断读卡终端当前是否处于允许的接入位置范围，如果是，则允许读卡终端读取身份证，否则，不允许读卡终端读取身份证，拒绝读卡终端的请求，其中，预设的管控策略中记录了读卡终端允许的接入位置范围；根据预设的管控策略，判断当前时间是否在允许读卡终端接入的时间范围内，如果是，则允许读卡终端读取身份证，否则，不允许读卡终端读取身份证，拒绝读卡终端的请求，其中，预设的管控策略中记录了允许读卡终端接入的时间范围；根据预设的管控策略，判断在预设时间段内，读卡终端的历史接入次数是否超过预设次数阈值，如果是，则不允许读卡终端读取身份证，拒绝读卡终端的请求，否则，允许读卡终端读取身份证，其中，预设的管控策略中记录了预设时间段的时长以及预设次数阈值;根据预设的管控策略，判断在预设时间段内，读卡终端连续两次接入的接入位置之间的距离是否超过预设距离，如果是，则不允许读卡终端读取身份证，拒绝读卡终端的请求，否则，允许读卡终端读取身份证，其中，预设的管控策略中记录了预设时间段的时长以及预设距离;根据预设的管控策略，判断读卡终端连续两次接入的时间间隔是否超过预设值，如果是，则不允许读卡终端读取身份证，拒绝读卡终端的请求，否则，允许读卡终端读取身份证，其中，预设的管控策略中记录了预设时间段的时长以及预设距离。
[0012]可选地，将加密的确认结果信息发送给读卡终端之后，还包括:选择的认证安全控制模块接收加密身份证标识信息，对加密身份证标识信息进行解密，将解密得到的身份证标识信息返回给调度服务器;调度服务器接收身份证标识信息，至少根据身份证标识信息、读卡终端的标识信息、以及预先设定的策略，判断是否将读卡终端的标识信息加入黑名单或管控名单。
[0013]可选地，调度服务器接收身份证标识信息之后，方法还包括:调度服务器判断身份证标识信息是否在身份证黑名单中，如果是，则向选择的认证安全控制模块发送指示信息，指示读卡终端当前读取的身份证非法。
[0014]可选地，在调度服务器选择一个认证安全控制模块之后，还包括:调度服务器从认证数据库中获取发送请求的读卡终端的加密密钥的密文，向选择的认证安全控制模块发送数据信息，其中，读卡终端的加密密钥的密文为使用认证数据库的保护密钥分别对各个读卡终端的加密密钥进行加密得到的，数据信息包括:读卡终端的加密密钥的密文;选择的认证安全控制模块使用认证数据库的保护密钥对读卡终端的加密密钥的密文进行解密，得到读卡终端的加密密钥。
[0015]可选地，选择的认证安全控制模块获取的寻卡请求为使用读卡终端的加密密钥进行加密的密文;将寻卡请求发送给与选择的认证安全控制模块对应的验证安全控制模块，包括:选择的认证安全控制模块使用读卡终端的加密密钥对寻卡请求进行解密，将解密得到的寻卡请求发送给与对应的验证安全控制模块处理。
[0016]可选地，选择的认证安全控制模块获取读卡终端发送的寻卡请求包括:接收调度服务器转发的寻卡请求;或接收读卡终端在接收到选择的认证安全控制模块的标识信息之后，发送的寻卡请求。
[0017]可选地，在将加密的确认结果信息发送给读卡终端之后，在接收读卡终端发送的身份证密文之前，还包括:选择的认证安全控制模块接收读卡器发送的加密读卡请求，使用会话密钥对加密读卡请求进行解密，得到读卡请求，将读卡请求发送给对应的验证安全控制模块;对应的验证安全控制模块收读卡请求，生成第一认证因子，将第一认证因子发送给选择的认证安全控制模块;选择的认证安全控制模块使用会话密钥对第一认证因子进行加密，将加密后的第一认证因子发送给读卡终端；以及接收读卡终端返回的第一密文和第一签名值，利用读卡终端的签名证书对第一签名值进行验签，在对第一签名值进行签名验证通过后，利用会话密钥对第一密文进行解密，得到第一认证数据和第二认证因子，将第一认证数据和第二认证因子发送给对应的验证安全控制模块，其中，第一认证数据为读卡终端读取的身份证对第一认证因子进行加密得到的，第二认证因子为身份证生成的，第一密文为读卡终端使用会话密钥对第一认证数据和第二认证因子进行加密得的，第一签名值为读卡终端使用读卡终端的签名私钥对第一密文进行签名得到的;对应的验证安全模块对第一认证数据进行验证，在对第一认证数据进行验证通过后，对第二认证因子进行加密，得到第二认证数据，将第二认证数据发送给选择的认证安全控制模块;选择的认证安全控制模块利用会话密钥对第二认证数据进行加密，得到第二密文，以及利用选择的认证安全控制模块的签名私钥对第二密文进行签名，得到第二签名值，向读卡终端发送第二密文和第二签名值。
[0018]可选地，第一数据包还包括:读卡终端对身份证密文进行签名得到的签名值;在将身份证原始密文信息发送给对应的验证安全模块之前，还包括:选择的认证安全控制模块对签名值进行验签，验签通过的情况下，才执行在将身份证原始密文信息发送给对应的验证安全模块的操作;第二数据包还包括:选择的认证安全控制模块对加密的身份证明文信息进行签名得到的签名值。
[0019]可选地，在从工作状态表中选择一个认证安全控制模块之后，还包括:调度服务器生成鉴权码，将鉴权码分别发送给读卡终端和选择的认证数据库;认证数据库存储鉴权码，并在鉴权码的有效期到达时，删除鉴权码;第一数据包还包括:鉴权码的密文;在接收到第一数据包之后，在将身份证原始密文信息发送给对应的验证安全模块之前，方法还包括:选择的认证安全控制模块对鉴权码的密文进行解密，得到鉴权码，查询认证数据库中是否存储有鉴权码，如果是，则继续后续操作，否则，不执行后续操作。
[0020]可选地，在调度服务器选择一个认证安全控制模块之前，还包括:调度服务器在选择的认证安全控制模块上电时，向选择的认证安全控制模块发送待签名数据;选择的认证安全控制模块使用签名私钥对待签名数据进行签名得到的签名数据，将包括签名数据、签名私钥对应的签名公钥证书、以及选择的认证安全控制模块的加密公钥证书的认证数据返回给调度服务器;调度服务器接收选择的认证安全控制模块返回的认证数据，判断签名公钥证书以及加密公钥证书是否处理异常状态;在判断签名公钥证书以及加密公钥证书不是处理异常状态的情况下，将待签名数据以及认证数据发送给授权服务器;授权服务器通过连接的授权电子签名设备校验签名公钥证书以及加密公钥证书是否分配给同一读卡终端的，如果是，则验证签名数据是否正确，如果是，则选择的认证安全控制模块的身份认证通过，否则，选择的认证安全模块的身份认证不通过;授权服务器在选择的认证安全控制模块的身份认证通过的情况下，通过授权电子签名设备对认证数据库的保护密钥进行加密后发送给调度服务器；以及在选择的认证安全控制模块的身份认证不通过的情况下发出警告信息；调度服务器将加密的认证数据库的保护密钥发送给选择的认证安全控制模块;选择的认证安全控制模块对加密的认证数据库的保护密钥进行解密，得到认证数据库的保护密钥。
[0021 ] 可选地，选择的认证安全控制模块得到认证数据库的保护密钥之后，方法还包括:认证安全控制模块将得到的认证数据库的保护密钥存储在RAM中，且禁止将认证数据库的保护密钥保存在flash中。
[0022]可选地，在调度服务器选择一个认证服务器之后，方法还包括:调度服务器更新认证数据库存储的选择的认证安全控制模块的工作状态。
[0023]由上述本发明提供的技术方案可以看出，本发明提供的身份证读取响应方法中，调度服务器在为身份证读卡终端的选择认证安全控制模块前，先对身份证读卡终端进行判断，判断是否允许身份证读卡终端读取身份证，只有允许身份证读卡终端读取身份证的情况下，才为身份证读卡终端选择一个认证安全控制模块，身份证读卡终端利用调度服务器选择的认证安全控制模块进行身份证信息读取，从而避免非法身份证读卡终端对认证安全控制模块进行攻击，保证居民身份证的安全。
【附图说明】
[0024]为了更清楚地说明本发明实施例的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域的普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他附图。
[0025]图1为本发明实施例1提供的身份证读卡响应系统的架构示意图；
[0026]图2为本发明实施例1提供的一种可选身份证读卡响应系统的架构示意图；
[0027]图3为本发明实施例2提供的身份证读卡响应方法的流程图；
[0028]图4为本发明实施例3提供的身份证读卡过程中身份证与验证安全控制模块进行认证的信令流程图；
[0029]图5为本发明实施例4提供的密钥获取方法的流程图；
[0030]图6为本发明实施例5提供的密钥获取方法的流程图；
[0031 ]图7为本发明实施例6提供的内管服务器的工作流程图。
【具体实施方式】
[0032]下面结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明的保护范围。
[0033]下面将结合附图对本发明实施例作进一步地详细描述。
[0034]实施例1
[0035]本实施例提供了一种身份证读取响应系统。
[0036]图1为本实施例提供的身份证读取响应系统的架构示意图，如图1所示，该系统主要包括:认证数据库101、调度服务器102、n个认证安全控制模块(103-1、103-2、……、103_n)以及η个验证安全控制模块(105-1、105-2、……、105_η)，其中，η为大于等于I的整数，所述认证安全控制模块与所述验证安全控制模块一一对应。
[0037]在实施例中，认证数据库101，用于存储系统内的所有认证安全控制模块103的工作状态;在本发明实施例的一个可选实施方案中，认证数据库101中可以维护一个工作状态表，该工作状态表至少记录了每个认证安全控制模块(103-1、103-2、……、103-η)当前是处于空闲状态还是忙碌状态。调度服务器102可以根据该工作状态表判断某个认证安全控制模块当前是空闲还是忙碌。进一步地，如果某个认证安全控制模块当前的状态为忙碌状态，则认证数据库101中还可以进一步维护该认证安全控制模块当前处理的身份证读卡终端的个数，以方便调度服务器101根据负载均衡的原则进行分配。
[0038]调度服务器102，用于:获取身份证读卡终端的标识信息，根据标识信息判断是否允许身份证读卡终端读取身份证;在确定允许身份证读卡终端读取身份证的情况下，在接收到身份证读卡终端发送的加密寻卡请求后，从认证数据库101获取调度服务器102的管辖范围内的各个认证安全控制模块103的工作状态，按照工作任务均衡的原则，选择一个认证安全控制模块(假设选择的认证安全控制模块为103-1)；将选择的认证安全控制模块103-1的标识信息发送给身份证读卡终端。
[0039]选择的认证安全控制模块103-1，用于获取身份证读卡终端发送的寻卡请求，将寻卡请求发送给与选择的认证安全控制模块103-1对应的验证安全控制模块105-1;对应的验证安全控制模块105-1，用于对接收寻卡请求，对寻卡请求进行确认，将确认结果信息发送给选择的认证安全控制模块103-1;选择的认证安全控制模块103-1还用于获取会话密钥，使用会话密钥对确认结果信息进行加密，将加密的确认结果信息发送给身份证读卡终端；以及接收身份证读卡终端发送第一数据包，其中，第一数据包包括:身份证读卡终端对读取到的身份证原始密文信息进行加密得到的身份证密文;使用会话密钥对身份证密文进行解密，得到身份证原始密文信息，将身份证原始密文信息发送给对应的验证安全控制模块105-1;对应的验证安全控制模块105-1还用于对身份证原始密文信息进行解密，得到身份证明文信息，将身份证明文信息返回给选择的认证安全控制模块103;选择的认证安全控制模块103-1还用于使用会话密钥对身份证明文信息进行加密，将第二数据包发送给身份证读卡终端，其中，第二数据包包括:加密的身份证明文信息。
[0040]通过本实施例提供的上述系统，在身份证读卡终端寻到身份证，向网络侧发送寻卡请求时，调度服务器102在接收到该寻卡请求后，首先判断是否允许该身份证读卡终端读取身份证，只有在允许该身份证读卡终端读取身份证的情况下，才为该身份证读卡终端分配认证安全控制模块，在后续读取身份证的流程中，身份证读卡终端与选择的认证安全控制模块103-1进行通讯，完成身份证的读取。从而避免了非法身份证读卡终端对认证安全控制模块的攻击，提高了身份证读取的安全性。
[0041]在本发明实施例的一个可选实施方案中，调度服务器102可以通过以下方式之一获取身份证读卡终端的标识信息:
[0042](I)调度服务器102接收身份证读卡终端发送的接入请求，从接入请求中获取身份证读卡终端的标识信息；即身份证读卡终端在接入网络时，向网络侧发送接入请求，请求接入，调度服务器102根据接入请求中携带的身份证读卡终端的标识信息获取身份证读卡终端的标识信息，在该方式中，调度服务器102判断允许该身份证读卡终端读取身份证后，允许该身份证读卡终端接入，身份证读卡终端接入后，可以保护长连接，在寻到身份证之后，向调度服务器102发送寻卡请求;在本实施例的一个可选实施方式中，为了保证数据传输安全，调度服务器102在允许身份证读卡终端接入后，可以与身份证读卡终端建立安全通道，例如，与身份证读卡终端协商传输密钥，身份证读卡终端在寻到身份证之后，可以通过该安全通道向调度服务器102发送寻卡请求，即使用传输密钥对寻卡请求进行加密，调度服务器102接收到该加密寻卡请求后，使用传输密钥进行解密，得到寻卡请求，为身份证读卡终端分配认证安全控制模块。通过该方式，可以在身份证读卡终端接入时对身份证读卡终端进行验证，对于相对安全的身份证读卡终端(例如，设置在银行的身份证读卡终端)，可以采用这种方式，可以减少对身份证读卡终端的验证次数，提高效率。
[0043](2)调度服务器102接收身份证读卡终端发送的身份证请求，从身份证请求中获取身份证读卡终端的标识信息，其中，身份证请求中携带有寻卡请求、身份证读卡终端的标识信息。即在该方式中，身份证读卡终端每读取一次身份证，调度服务器102验证一次，身份证读卡终端在寻到身份证之后，向网络侧发送寻卡请求，调度服务器102接收到该寻卡请求之后，获取身份证读卡终端的标识信息。通过该方式，可以在身份证读卡终端每读取一张身份证时对身份证读卡终端进行验证，对于相对不太安全的身份证读卡终端(例如，设置在个人商户的身份证读卡终端)，可以采用这种方式，以保证安全。
[0044]在本发明实施例的一个可选实施方案中，身份证读卡终端的标识信息可以包括:身份证读卡终端的数字证书；调度服务器102通过以下方式判断是否允许身份证读卡终端读取身份证:判断身份证读卡终端的数字证书是否异常，如果是，则确定不允许身份证读卡终端读取身份证，否则判断身份证读卡终端的数字证书是否在黑名单或管控名单中，其中，黑名单中记录了不允许接入的身份证读卡终端的数字证书，管控名单中记录了需要按照预设的管控策略对其接入进行控制的身份证读卡终端的数字证书;在判断身份证读卡终端的数字证书在黑名单中的情况下，不允许身份证读卡终端读取身份证，拒绝身份证读卡终端的请求;在判断身份证读卡终端的数字证书在管控名单中的情况下，按照预设的管控策略判断是否允许身份证读卡终端读取身份证。
[0045]或者，在本发明实施例的另一个可选实施方式中，身份证读卡终端的标识信息可以包括:身份证读卡终端的序列号以及身份证读卡终端的数字证书；调度服务器102通过以下方式判断是否允许身份证读卡终端读取身份证:判断身份证读卡终端的数字证书是否异常，如果是，则确定不允许身份证读卡终端读取身份证，否则，判断身份证读卡终端的数字证书或身份证读卡终端的序列号是否在黑名单或管控名单中，其中，黑名单中记录了不允许读取身份证的身份证读卡终端的标识信息，管控名单中记录了需要按照预设的管控策略对读取身份证操作进行控制的身份证读卡终端的标识信息;在判断身份证读卡终端的数字证书或身份证读卡终端的序列号在黑名单中的情况下，不允许身份证读卡终端读取身份证，拒绝身份证读卡终端的请求;在判断身份证读卡终端的数字证书或身份证读卡终端的序列号在管控名单中的情况下，按照预设的管控策略判断是否允许身份证读卡终端读取身份证。
[0046]在上述两种可选实施方式中，调度服务器102在判断身份证读卡终端的数字证书是否异常时，可以在数字证书状态在线查询服务器上查询所述用于验签的数字证书和所述用于加密的数字证书的生存状态，所述生存状态包括:正常生存状态和非正常生存状态，所述非正常生存状态至少包括以下之一:证书失效、证书过期、证书冻结和证书已被列入黑名单。
[0047]在上述两种可选实施方式中，黑名单和管控名单可以根据预先设置的规则根据各个身份证读卡终端的读卡行为进行设置。
[0048]通过上述两种可选实施方式，可以通过黑名单和管控名单对是否允许身份证读卡终端读取身份证进行判断，可以避免非法身份证读卡终端对网络侧的攻击，提高身份证读取的安全性。
[0049]在本发明实施例的一个可选实施方案中，黑名单中存有非法的身份证读卡终端的标识信息，例如被挂失的身份证读卡终端的标识信息、连续出现异常的身份证读卡终端的标识信息、超过使用年限的身份证读卡终端的序列号或短时在多个地区出现的身份证读卡终端的标识信息等，对其请求的处理会带来较大风险，若调度服务器102判断身份证读卡终端的标识信息包含在黑名单内，说明该身份证读卡终端的标识信息为非法身份证读卡终端的标识信息，调度服务器102不予于处理，终止处理流程。可选地，调度服务器102可以返回提示信息以提示用户，该身份证读卡终端已被加入黑名单，便于用户进行后续操作和问题解决。
[0050]在本发明实施例的一个可选实施方案中，管控名单中可以记录具体的管控策略，在判断身份证读卡终端的标识信息在管控名单中的情况下，包括但不限于以下方式之一判断是否允许身份证读卡终端读取身份证:
[0051](— )根据预设的管控策略，判断身份证读卡终端当前是否处于允许的位置范围，如果是，则允许身份证读卡终端读取身份证，否则，不允许身份证读卡终端读取身份证，拒绝身份证读卡终端的请求，其中，预设的管控策略中记录了身份证读卡终端允许的位置范围；即对于某些身份证读卡终端，只允许这些身份证读卡终端在某些位置范围内读取身份证，而超出这些范围，则不允许其读取身份证。例如，在具体应用中，可以设置银行客户申请的身份证读卡终端只能在银行网点进行身份证读取，超出银行网点则不允许身份证读卡终端读取身份证。在这种情况下，采用这种方式，可以对身份证读卡终端进行定位，以确定身份证读卡终端当前的位置。采用这种方式，可以避免专属于某地使用的身份证读卡终端被盗用。
[0052](二)根据预设的管控策略，判断当前时间是否在允许身份证读卡终端读卡的时间范围内，如果是，则允许身份证读卡终端读取身份证，否则，不允许身份证读卡终端读取身份证，拒绝身份证读卡终端的请求，其中，预设的管控策略中记录了允许身份证读卡终端读卡的时间范围。即对于某些身份证读卡终端，只允许这些身份证读卡终端在某些时间段内读取身份证，超出这些时间段就不允许身份证读卡终端读取身份证。例如，铁路系统只有在7:00-22:00售票，因此，设置在铁路系统的身份证读卡终端只允许在这些时间段内读取身份证，以避免这些身份证读卡终端被非法使用。
[0053](三)根据预设的管控策略，判断在预设时间段内，身份证读卡终端的历史读卡次数是否超过预设次数阈值，如果是，则不允许身份证读卡终端读取身份证，拒绝身份证读卡终端的请求，否则，允许身份证读卡终端读取身份证，其中，预设的管控策略中记录了预设时间段的时长以及预设次数阈值。即限制身份证读卡终端在预设时间段内的读卡次数，避免同一身份证读卡终端在短时间内频繁读卡造成认证安全控制模块的负担过重，而导致认证安全控制模块无法正常工作的问题。
[0054](四)根据预设的管控策略，判断在预设时间段内，身份证读卡终端连续两次读卡的位置之间的距离是否超过预设距离，如果是，则不允许身份证读卡终端读取身份证，拒绝身份证读卡终端的请求，否则，允许身份证读卡终端读取身份证，其中，预设的管控策略中记录了预设时间段的时长以及预设距离；即对于某些身份证读卡终端，不允许其跨距离使用，例如，分发给某个商户的身份证读卡终端，不允许该身份证读卡终端在两个距离较远的地方使用，以避免用户的身份证读卡终端被盗用。
[0055](五)根据预设的管控策略，判断身份证读卡终端连续两次读卡的时间间隔是否超过预设值，如果是，则不允许身份证读卡终端读取身份证，拒绝身份证读卡终端的请求，否贝1J，允许身份证读卡终端读取身份证，其中，预设的管控策略中记录了预设时间段的时长以及预设距离。即控制身份证读卡终端的读卡频率，避免同一身份证读卡终端频繁读卡给认证安全控制模块带来的攻击。
[0056]需要说明的是，虽然上述五种方式分开论述，但对于本领域技术人员来，对于同一身份证读卡终端，显然可以同时设置两种或两种以上的管控策略，例如，对于同一身份证读卡终端，只允许该身份证读卡终端在某些位置范围内的某一段时间内读取身份证，则只有在同时满足位置和时间的要求时，才允许身份证读卡终端读取身份证。
[0057]在本发明实施例的一个可选实施方案中，调度服务器102将选择的认证安全控制模块103-1的标识信息(例如，可以为选择的认证安全控制模块103-1的网络端口)返回给身份证读卡终端后，调度服务器102可以将接收到的寻卡请求发送给选择的认证安全控制模块103-1，在这种情况下，各个认证安全控制模块(103-1、103-2、……、103_n)可以直接连接在调度服务器102的各个端口上；或者，也可以是调度服务器102将选择的认证安全控制模块103-1的标识信息返回给身份证读卡终端后，身份证读卡终端根据选择的认证安全控制模块103-1的标识信息，向选择的认证安全控制模块103-1的发送寻卡请求，在这种情况下，认证安全控制模块为具有网络通讯功能的模块，可以直接与身份证读卡终端进行通讯。
[0058]在本发明实施例的一个可选实施方案中，认证数据库101还可以用于存储系统内的各个身份证读卡终端的加密密钥的密文，其中，各个身份证读卡终端的加密密钥的密文为使用认证数据库101的保护密钥分别对各个身份证读卡终端的加密密钥进行加密得到的；调度服务器102还用于在选择一个认证安全控制模块103之后，从认证数据库101中获取发送请求的身份证读卡终端的加密密钥的密文，向选择的认证安全控制模块103发送数据信息，其中，数据信息包括:身份证读卡终端的加密密钥的密文;选择的认证安全控制模块103还用于使用认证数据库101的保护密钥对身份证读卡终端的加密密钥的密文进行解密，得到身份证读卡终端的加密密钥。通过该可选实施方式，身份证读卡终端发送的寻卡请求可以为身份证读卡终端采用自身的加密密钥对寻卡请求数据进行加密得到的密文数据，选择的认证安全控制模块103-1还用于获取寻卡请求，使用获取到的身份证读卡终端的加密密钥对寻卡请求进行解密，将解密得到的寻卡请求发送给与选择的认证安全控制模块103-1对应连接的验证安全控制模块105-1。对应连接的验证安全控制模块105-1，用于对接收到寻卡请求进行确认，将确认信息发送给选择的认证安全控制模块103-1;选择的认证安全控制模块103-1还用于获取会话密钥，使用会话密钥对确认信息进行加密，将加密后的确认信息发送给身份证读卡终端。需要说明的是，在该可选实施方式中，为了保证数据传输安全身份证读卡终端对寻卡请求进行加密发送，选择的认证安全控制模块103-1也对确认信息进行加密发送，但如果传输环境安全，也可以不进行加密，具体本实施例不作限定。
[0059]在上述可选实施方式中，会话密钥可以是选择的认证安全控制模块103-1与身份证读卡终端进行协商得到的，也可以是选择的认证安全控制模块103-1直接生成的随机数，如果是选择的认证安全控制模块103-1生成的随机数，则选择的认证安全控制模块103-1可以使用身份证读卡终端的加密密钥对随机数进行加密，也可以采用身份证读卡终端的签名公钥对随机数进行加密，将加密的随机数与加密的确认信息一起发送给身份证读卡终端，从而可以保证会话密钥的传输安全。
[0060]在本发明实施例的一个可选实施方案中，按照正常的身份证读卡流程，身份证读卡终端在接收到寻卡请求的确认信息之后，执行选卡流程，在选取身份证之后，身份证读卡终端向选择的认证安全控制模块1 3 -1发送加密的选卡请求，选择的认证安全控制模块103-1对加密的选卡请求进行解密后发送给对应的验证安全控制模块105-1，验证安全控制模块105-1对选卡请求进行响应，发送响应信息给选择的认证安全控制模块103-1，选择的认证安全控制模块103-1对响应信息进行加密发送给身份证读卡终端，身份证读卡终端在接收到响应信息后，将选择的身份证的标识信息发送给选择的认证安全控制模块103-1。在该可选实施方式中，选择的认证安全控制模块103还用于接收加密身份证标识信息，对加密身份证标识信息进行解密，将解密得到的身份证标识信息返回给调度服务器102;调度服务器102还用于至少根据身份证标识信息、身份证读卡终端的标识信息、以及预先设定的策略，判断是否将身份证读卡终端的标识信息加入黑名单或管控名单。例如，判断该身份证读卡终端的读卡频率是否超过预定值、身份证读卡终端频繁地读取不同身份证等，从而确定是否将身份证读卡终端的标识信息加入黑名单或管控名单。通过该可选实施方式中，调度服务器102可以根据预先设定的策略对身份证读卡终端进行管理，从而可以动态更新黑名单和管控名单，进一步保证认证安全控制模块不会被非法攻击。
[0061]在本发明实施例的一个可选实施方案中，调度服务器102还用于判断身份证标识信息是否在身份证黑名单中，如果是，则向选择的认证安全控制模块103发送指示信息，指示身份证读卡终端当前读取的身份证非法。选择的认证安全控制模块103-1接收到指示信息后，可以停止处理当前的身份证读取流程，还可以选择的认证安全控制模块103-1还可以向身份证读卡终端发送提示信息，提示用户当前的身份证非法。其中，身份证黑名单中存有非法的身份证的标识信息，例如被挂失的身份证的标识信息、连续出现异常的身份证的标识信息、过期的身份证的标识信息等。可选地，身份证的标识信息可以为身份证的序列号，即身份证的出生证。通过该可选实施方式，可以识别出非法身份证，避免读取非法身份证。
[0062]按照身份证的读取流程，在身份证读卡终端读取身份证中的身份证原始密文之前，身份证与验证安全控制模块之间需要进行认证。因此，在本发明实施例的一个可选实施方案中，选择的认证安全控制模块103-1还用于在将加密的确认结果信息发送给身份证读卡终端之后，在接收身份证读卡终端发送的身份证密文之前，接收身份证读卡终端发送的加密读卡请求，使用会话密钥对加密读卡请求进行解密，得到读卡请求，将读卡请求发送给对应的验证安全控制模块105-1;对应的验证安全控制模块105-1还用于接收读卡请求，生成第一认证因子，将第一认证因子发送给选择的认证安全控制模块103-1;选择的认证安全控制模块103-1还用于使用会话密钥对第一认证因子进行加密，将加密后的第一认证因子发送给身份证读卡终端；以及接收身份证读卡终端返回的第一密文和第一签名值，利用身份证读卡终端的签名证书对第一签名值进行验签，在对第一签名值进行签名验证通过后，利用会话密钥对第一密文进行解密，得到第一认证数据和第二认证因子，将第一认证数据和第二认证因子发送给对应的验证安全控制模块105-1，其中，第一认证数据为身份证读卡终端读取的身份证对第一认证因子进行加密得到的，第二认证因子为身份证生成的，第一密文为身份证读卡终端使用会话密钥对第一认证数据和第二认证因子进行加密得的，第一签名值为身份证读卡终端使用身份证读卡终端的签名私钥对第一密文进行签名得到的;对应的验证安全控制模块105-1还用于对第一认证数据进行验证，在对第一认证数据进行验证通过后，对第二认证因子进行加密，得到第二认证数据，将第二认证数据发送给选择的认证安全控制模块103-1;选择的认证安全控制模块103-1还用于利用会话密钥对第二认证数据进行加密，得到第二密文，以及利用选择的认证安全控制模块103-1的签名私钥对第二密文进行签名，得到第二签名值，向身份证读卡终端发送第二密文和第二签名值。通过该可选实施方式，身份证与对应的验证安全控制模块105-1之间可以进行认证，从而可以确保身份证数据的安全。
[0063]在本发明实施例的一个可选实施方案中，第一数据包还包括:身份证读卡终端对身份证密文进行签名得到的签名值;选择的认证安全控制模块103-1还用于在将身份证原始密文信息发送给对应的验证安全控制模块之前，对签名值进行验签，验签通过的情况下，才执行在将身份证原始密文信息发送给对应的验证安全控制模块的操作;第二数据包还包括:选择的认证安全控制模块103-1对加密的身份证明文信息进行签名得到的签名值。通过该可选实施方式，可以保证身份证读卡终端发送的数据以及选择的认证安全控制模块103-1发送的数据在传输过程中没有受到篡改。
[0064]在本发明实施例的一个可选实施方案中，调度服务器102还用于在从工作状态表中选择一个认证安全控制模块103之后，生成鉴权码，将鉴权码分别发送给身份证读卡终端和选择的认证数据库101(例如，可以与选择的认证安全控制模块103-1的标识信息一起发送给身份证读卡终端)；认证数据库101还用于存储鉴权码，并在鉴权码的有效期到达时，删除鉴权码;第一数据包还包括:鉴权码的密文;选择的认证安全控制模块103还用于在接收到第一数据包之后，在将身份证原始密文信息发送给对应的验证安全控制模块之前，对鉴权码的密文进行解密，得到鉴权码，查询认证数据库101中是否存储有鉴权码，如果是，则继续后续操作，否则，不执行后续操作。在该可选实施方式中，鉴权码存储在认证数据库101中，鉴权码具有一个有效期，在有效期到达时，认证数据库101删除该鉴权码。身份证读卡终端接收到鉴权码后，在后续发送给网络侧的请求中携带该鉴权码。例如，如果身份证读卡终端在接收到选择的认证安全控制模块103-1的标识信息之后，需要向选择的认证安全控制模块103-1发送寻卡请求，则可以在寻卡请求中携带该鉴权码，如果寻卡请求是加密的，是可以将鉴权码一起加密发送给选择的认证安全控制模块103-1，选择的认证安全控制模块103-1接收到该鉴权码后，可以查询认证数据库中是否包含该鉴权码，如果是，则继续后续处理，如果不包含，则说明鉴权码已经失效，拒绝身份证读卡终端的请求。通过该可选实施方式，调度服务器102可以通过鉴权码的有效时间来控制身份证读卡终端的访问时间，避免为身份证读卡终端选择认证安全控制模块之后，身份证读卡终端长时间不发起读卡请求而导致认证安全控制模块长时间空闲又不能被分配给其它身份证读卡终端的问题。
[0065]在本发明实施例的一个可选实施方案中，为了保证数据安全，还可以对认证安全控制模块进行认证。在该可选实施方式中，如图2所示，该系统还包括授权服务器104。
[0066]在上述可选实施方式中，调度服务器102还用于在选择的认证安全控制模块103-1上电时，向选择的认证安全控制模块103-1发送待签名数据;选择的认证安全控制模块103-1还用于使用签名私钥对待签名数据进行签名得到的签名数据，将包括签名数据、签名私钥对应的签名公钥证书、以及选择的认证安全控制模块103-1的加密公钥证书的认证数据返回给调度服务器102;调度服务器102还用于接收选择的认证安全控制模块103-1返回的认证数据，判断签名公钥证书以及加密公钥证书是否处理异常状态;在判断签名公钥证书以及加密公钥证书不是处理异常状态的情况下，将待签名数据以及认证数据发送给授权服务器;授权服务器，用于通过连接的授权电子签名设备校验签名公钥证书以及加密公钥证书是否分配给同一身份证读卡终端的，如果是，则验证签名数据是否正确，如果是，则选择的认证安全控制模块103-1的身份认证通过，否则，选择的认证安全模块的身份认证不通过；授权服务器还用于在选择的认证安全控制模块103-1的身份认证通过的情况下，通过授权电子签名设备对认证数据库101的保护密钥进行加密后发送给调度服务器102;以及在选择的认证安全控制模块103-1的身份认证不通过的情况下发出警告信息；调度服务器102还用于将加密的认证数据库101的保护密钥发送给选择的认证安全控制模块103-1;选择的认证安全控制模块103-1还用于对加密的认证数据库101的保护密钥进行解密，得到认证数据库101的保护密钥。
[0067]在上述实施方式中，调度服务器102通过授权服务器104对选择的认证安全控制模块103-1进行认证，但不限于此，如果选择的认证安全控制模块103-1具有通讯功能，授权服务器104可以直接对选择的认证安全控制模块103-1进行认证。认证安全控制模块的认证具体可以参见实施例4和实施例5的描述。
[0068]在本发明实施例的一个可选实施方案中，认证安全控制模块103还用于将得到的认证数据库101的保护密钥存储在RAM中，且禁止将认证数据库101的保护密钥保存在flash中。通过该可选实施方式，选择的认证安全控制模块103-1在下电后，认证数据库101的保护密钥自动删除，保证了认证数据库1I的保护密钥的安全。
[0069]在本发明实施例的一个可选实施方案中，调调度服务器102还用于在选择一个认证服务器之后，更新认证数据库101存储的选择的认证安全控制模块103-1的工作状态，从而使得后续调度服务器102可以根据更新的工作状态进行选择。
[0070]在本发明实施例的一个可选实施方案中，调度服务器102还用于根据当前系统内所有认证安全控制模块的工作状态，命令开启或关闭部分认证安全控制模块。通过该可选实施方式，调度服务器102可以根据当前系统内的认证安全控制模块的工作状态，开启或关闭部分认证安全控制模块，达到资源充分利用和节能的目的。
[0071]在本发明实施例的一个可选实施方案中，调度服务器102还用于对各个认证安全控制的工作状态进行实时监控，在监控到有认证安全控制模块出现异常时，则输出报警信息，从而可以在认证安全控制模块出现异常时及时通知系统维护人员进行处理。
[0072]在本发明实施例的一个可选实施方案中，如图2所示，该系统还可以包括:内管服务器106，用于接收用户对系统的配置。内管服务器106的具体实现方式参见实施例5。
[0073]实施例2
[0074]本实施例提供一种身份证读取响应方法。
[0075]图3为本实施例提供的身份证读取响应方法的流程图，如图3所示，该方法主要包括以下步骤:
[0076]步骤S301，调度服务器获取身份证读卡终端的标识信息，根据标识信息判断是否允许身份证读卡终端读取身份证；
[0077]步骤S302，在确定允许身份证读卡终端读取身份证的情况下，调度服务器在接收到身份证读卡终端发送的加密寻卡请求后，从认证数据库获取调度服务器的管辖范围内的各个认证安全控制模块的工作状态，按照工作任务均衡的原则，选择一个认证安全控制模块；
[0078]步骤S303，调度服务器将选择的认证安全控制模块的标识信息发送给身份证读卡终端；
[0079]步骤S304，选择的认证安全控制模块获取身份证读卡终端发送的寻卡请求，将寻卡请求发送给与选择的认证安全控制模块对应的验证安全控制模块；
[0080]步骤S305，对应的验证安全控制模块对接收寻卡请求，对寻卡请求进行确认，将确认结果信息发送给选择的认证安全控制模块；
[0081]步骤S306，选择的认证安全控制模块获取会话密钥，使用会话密钥对确认结果信息进行加密，将加密的确认结果信息发送给身份证读卡终端；
[0082]步骤S307，选择的认证安全控制模块接收身份证读卡终端发送第一数据包，其中，第一数据包包括:身份证读卡终端对读取到的身份证原始密文信息进行加密得到的身份证密文；
[0083]步骤S308，选择的认证安全控制模块使用会话密钥对身份证密文进行解密，得到身份证原始密文信息，将身份证原始密文信息发送给对应的验证安全控制模块；
[0084]步骤S309，对应的验证安全控制模块对身份证原始密文信息进行解密，得到身份证明文信息，将身份证明文信息返回给选择的认证安全控制模块；
[0085]S310，选择的认证安全控制模块使用会话密钥对身份证明文信息进行加密，将第二数据包发送给身份证读卡终端，其中，第二数据包包括:加密的身份证明文信息。
[0086]通过本实施例提供的上述方法，在身份证读卡终端寻到身份证，向网络侧发送寻卡请求时，调度服务器在接收到该寻卡请求后，首先判断是否允许该身份证读卡终端读取身份证，只有在允许该身份证读卡终端读取身份证的情况下，才为该身份证读卡终端分配认证安全控制模块，在后续读取身份证的流程中，身份证读卡终端与选择的认证安全控制模块进行通讯，完成身份证的读取。从而避免了非法身份证读卡终端对认证安全控制模块的攻击，提高了身份证读取的安全性。
[0087]在本发明实施例的一个可选实施方案中，调度服务器获取身份证读卡终端的标识信息可以包括以下之一:
[0088](I)，调度服务器接收身份证读卡终端发送的接入请求，从接入请求中获取身份证读卡终端的标识信息；即身份证读卡终端在接入网络时，向网络侧发送接入请求，请求接入，调度服务器根据接入请求中携带的身份证读卡终端的标识信息获取身份证读卡终端的标识信息，在该方式中，调度服务器判断允许该身份证读卡终端读取身份证后，允许该身份证读卡终端接入，身份证读卡终端接入后，可以保护长连接，在寻到身份证之后，向调度服务器发送寻卡请求;在本实施例的一个可选实施方式中，为了保证数据传输安全，调度服务器在允许身份证读卡终端接入后，可以与身份证读卡终端建立安全通道，例如，与身份证读卡终端协商传输密钥，身份证读卡终端在寻到身份证之后，可以通过该安全通道向调度服务器发送寻卡请求，即使用传输密钥对寻卡请求进行加密，调度服务器接收到该加密寻卡请求后，使用传输密钥进行解密，得到寻卡请求，为身份证读卡终端分配认证安全控制模块。通过该方式，可以在身份证读卡终端接入时对身份证读卡终端进行验证，对于相对安全的身份证读卡终端(例如，设置在银行的身份证读卡终端)，可以采用这种方式，可以减少对身份证读卡终端的验证次数，提高效率。
[0089](2)调度服务器接收身份证读卡终端发送的身份证请求，从身份证请求中获取身份证读卡终端的标识信息，其中，身份证请求中携带有寻卡请求、身份证读卡终端的标识信息。即在该方式中，身份证读卡终端每读取一次身份证，调度服务器验证一次，身份证读卡终端在寻到身份证之后，向网络侧发送寻卡请求，调度服务器接收到该寻卡请求之后，获取身份证读卡终端的标识信息。通过该方式，可以在身份证读卡终端每读取一张身份证时对身份证读卡终端进行验证，对于相对不太安全的身份证读卡终端(例如，设置在个人商户的身份证读卡终端)，可以采用这种方式，以保证安全。
[0090]在本发明实施例的一个可选实施方案中，身份证读卡终端的标识信息可以包括:身份证读卡终端的数字证书;调度服务器判断是否允许身份证读卡终端读取身份证包括:判断身份证读卡终端的数字证书是否异常，如果是，则确定不允许身份证读卡终端读取身份证，否则判断身份证读卡终端的数字证书是否在黑名单或管控名单中，其中，黑名单中记录了不允许接入的身份证读卡终端的数字证书，管控名单中记录了需要按照预设的管控策略对其接入进行控制的身份证读卡终端的数字证书;在判断身份证读卡终端的数字证书在黑名单中的情况下，不允许身份证读卡终端读取身份证，拒绝身份证读卡终端的请求;在判断身份证读卡终端的数字证书在管控名单中的情况下，按照预设的管控策略判断是否允许身份证读卡终端读取身份证。
[0091]在本发明实施例的另一个可选实施方案中，身份证读卡终端的标识信息可以包括:身份证读卡终端的序列号以及身份证读卡终端的数字证书；调度服务器判断是否允许身份证读卡终端读取身份证，包括:判断身份证读卡终端的数字证书是否异常，如果是，则确定不允许身份证读卡终端读取身份证，否则，判断身份证读卡终端的数字证书或身份证读卡终端的序列号是否在黑名单或管控名单中，其中，黑名单中记录了不允许读取身份证的身份证读卡终端的标识信息，管控名单中记录了需要按照预设的管控策略对读取身份证操作进行控制的身份证读卡终端的标识信息;在判断身份证读卡终端的数字证书或身份证读卡终端的序列号在黑名单中的情况下，不允许身份证读卡终端读取身份证，拒绝身份证读卡终端的请求;在判断身份证读卡终端的数字证书或身份证读卡终端的序列号在管控名单中的情况下，按照预设的管控策略判断是否允许身份证读卡终端读取身份证。
[0092]在上述两种可选实施方式中，调度服务器在判断身份证读卡终端的数字证书是否异常时，可以在数字证书状态在线查询服务器上查询所述用于验签的数字证书和所述用于加密的数字证书的生存状态，所述生存状态包括:正常生存状态和非正常生存状态，所述非正常生存状态至少包括以下之一:证书失效、证书过期、证书冻结和证书已被列入黑名单。
[0093]通过上述两种可选实施方式，可以通过黑名单和管控名单对是否允许身份证读卡终端读取身份证进行判断，可以避免非法身份证读卡终端对网络侧的攻击，提高身份证读取的安全性。
[0094]在本发明实施例的一个可选实施方案中，黑名单中存有非法的身份证读卡终端的标识信息，例如被挂失的身份证读卡终端的标识信息、连续出现异常的身份证读卡终端的标识信息、超过使用年限的身份证读卡终端的序列号或短时在多个地区出现的身份证读卡终端的标识信息等，若调度服务器判断身份证读卡终端的标识信息包含在黑名单内，说明该身份证读卡终端的标识信息为非法身份证读卡终端的标识信息，调度服务器处理该身份证读卡终端发送的请求。可选地，调度服务器102可以返回提示信息以提示用户，该身份证读卡终端已被加入黑名单，便于用户进行后续操作和问题解决。
[0095]在本发明实施例的一个可选实施方案中，管控名单中可以记录具体的管控策略，在判断身份证读卡终端的标识信息在管控名单中的情况下，判断是否允许身份证读卡终端读取身份证至少包括以下之一:
[0096](— )根据预设的管控策略，判断身份证读卡终端当前是否处于允许的接入位置范围，如果是，则允许身份证读卡终端读取身份证，否则，不允许身份证读卡终端读取身份证，拒绝身份证读卡终端的请求，其中，预设的管控策略中记录了身份证读卡终端允许的接入位置范围；即对于某些身份证读卡终端，只允许这些身份证读卡终端在某些位置范围内读取身份证，而超出这些范围，则不允许其读取身份证。
[0097](二)根据预设的管控策略，判断当前时间是否在允许身份证读卡终端接入的时间范围内，如果是，则允许身份证读卡终端读取身份证，否则，不允许身份证读卡终端读取身份证，拒绝身份证读卡终端的请求，其中，预设的管控策略中记录了允许身份证读卡终端接入的时间范围；
[0098](三)根据预设的管控策略，判断在预设时间段内，身份证读卡终端的历史接入次数是否超过预设次数阈值，如果是，则不允许身份证读卡终端读取身份证，拒绝身份证读卡终端的请求，否则，允许身份证读卡终端读取身份证，其中，预设的管控策略中记录了预设时间段的时长以及预设次数阈值；即限制身份证读卡终端在预设时间段内的读卡次数，避免同一身份证读卡终端在短时间内频繁读卡造成认证安全控制模块的负担过重，而导致认证安全控制模块无法正常工作的问题。
[0099](四)根据预设的管控策略，判断在预设时间段内，身份证读卡终端连续两次接入的接入位置之间的距离是否超过预设距离，如果是，则不允许身份证读卡终端读取身份证，拒绝身份证读卡终端的请求，否则，允许身份证读卡终端读取身份证，其中，预设的管控策略中记录了预设时间段的时长以及预设距离；即对于某些身份证读卡终端，不允许其跨距离使用，例如，分发给某个商户的身份证读卡终端，不允许该身份证读卡终端在两个距离较远的地方使用，以避免用户的身份证读卡终端被盗用。
[0100](五)根据预设的管控策略，判断身份证读卡终端连续两次接入的时间间隔是否超过预设值，如果是，则不允许身份证读卡终端读取身份证，拒绝身份证读卡终端的请求，否贝1J，允许身份证读卡终端读取身份证，其中，预设的管控策略中记录了预设时间段的时长以及预设距离。即控制身份证读卡终端的读卡频率，避免同一身份证读卡终端频繁读卡给认证安全控制模块带来的攻击。
[0101]需要说明的是，虽然上述五种方式分开论述，但对于本领域技术人员来，对于同一身份证读卡终端，显然可以同时设置两种或两种以上的管控策略，例如，对于同一身份证读卡终端，只允许该身份证读卡终端在某些位置范围内的某一段时间内读取身份证，则只有在同时满足位置和时间的要求时，才允许身份证读卡终端读取身份证。
[0102]在本发明实施例的一个可选实施方案中，调度服务器将选择的认证安全控制模块的标识信息(例如，可以为选择的认证安全控制模块的网络端口)返回给身份证读卡终端后，调度服务器可以将接收到的寻卡请求发送给选择的认证安全控制模块，在这种情况下，各个认证安全控制模块可以直接连接在调度服务器的各个端口上；或者，也可以是调度服务器将选择的认证安全控制模块的标识信息返回给身份证读卡终端后，身份证读卡终端根据选择的认证安全控制模块的标识信息，向选择的认证安全控制模块的发送寻卡请求，在这种情况下，认证安全控制模块为具有网络通讯功能的模块，可以直接与身份证读卡终端进行通讯。
[0103]在本发明实施例的一个可选实施方案中，认证数据库还存储有系统内的各个身份证读卡终端的加密密钥的密文，其中，各个身份证读卡终端的加密密钥的密文为使用认证数据库的保护密钥分别对各个身份证读卡终端的加密密钥进行加密得到的；调度服务器在选择一个认证安全控制模块之后，从认证数据库中获取发送请求的身份证读卡终端的加密密钥的密文，向选择的认证安全控制模块发送数据信息，其中，数据信息包括:身份证读卡终端的加密密钥的密文;选择的认证安全控制模块还用于使用认证数据库的保护密钥对身份证读卡终端的加密密钥的密文进行解密，得到身份证读卡终端的加密密钥。通过该可选实施方式，身份证读卡终端发送的寻卡请求可以为身份证读卡终端采用自身的加密密钥对寻卡请求数据进行加密得到的密文数据，选择的认证安全控制模块获取寻卡请求，使用获取到的身份证读卡终端的加密密钥对寻卡请求进行解密，将解密得到的寻卡请求发送给与选择的认证安全控制模块对应连接的验证安全控制模块。对应连接的验证安全控制模块对接收到寻卡请求进行确认，将确认信息发送给选择的认证安全控制模块;选择的认证安全控制模块获取会话密钥，使用会话密钥对确认信息进行加密，将加密后的确认信息发送给身份证读卡终端。需要说明的是，在该可选实施方式中，为了保证数据传输安全身份证读卡终端对寻卡请求进行加密发送，选择的认证安全控制模块也对确认信息进行加密发送，但如果传输环境安全，也可以不进行加密，具体本实施例不作限定。
[0104]在上述可选实施方式中，会话密钥可以是选择的认证安全控制模块与身份证读卡终端进行协商得到的，也可以是选择的认证安全控制模块直接生成的随机数，如果是选择的认证安全控制模块生成的随机数，则选择的认证安全控制模块可以使用身份证读卡终端的加密密钥对随机数进行加密，也可以采用身份证读卡终端的公钥进行加密，将加密的随机数与加密的确认信息一起发送给身份证读卡终端，从而可以保证会话密钥的传输安全。
[0105]在本发明实施例的一个可选实施方案中，按照正常的身份证读卡流程，身份证读卡终端在接收到寻卡请求的确认信息之后，执行选卡流程，在选取身份证之后，身份证读卡终端向选择的认证安全控制模块发送加密的选卡请求，选择的认证安全控制模块对加密的选卡请求进行解密后发送给对应的验证安全控制模块，验证安全控制模块对选卡请求进行响应，发送响应信息给选择的认证安全控制模块，选择的认证安全控制模块对响应信息进行加密发送给身份证读卡终端，身份证读卡终端在接收到响应信息后，将选择的身份证的标识信息发送给选择的认证安全控制模块。因此，在该可选实施方式中，该方法还包括:在将加密的确认结果信息发送给身份证读卡终端之后，选择的认证安全控制模块接收加密身份证标识信息，对加密身份证标识信息进行解密，将解密得到的身份证标识信息返回给调度服务器;调度服务器至少根据身份证标识信息、身份证读卡终端的标识信息、以及预先设定的策略，判断是否将身份证读卡终端的标识信息加入黑名单或管控名单。例如，判断该身份证读卡终端的读卡频率是否超过预定值、身份证读卡终端频繁地读取不同身份证等，从而确定是否将身份证读卡终端的标识信息加入黑名单或管控名单。通过该可选实施方式中，调度服务器可以根据预先设定的策略对身份证读卡终端进行管理，从而可以动态更新黑名单和管控名单，进一步保证认证安全控制模块不会被非法攻击。
[0106]在本发明实施例的一个可选实施方案中，调度服务器接收身份证标识信息之后，该方法还包括:调度服务器判断身份证标识信息是否在身份证黑名单中，如果是，则向选择的认证安全控制模块发送指示信息，指示身份证读卡终端当前读取的身份证非法。选择的认证安全控制模块接收到指示信息后，可以停止处理当前的身份证读取流程，还可以选择的认证安全控制模块还可以向身份证读卡终端发送提示信息，提示用户当前的身份证非法。其中，身份证黑名单中存有非法的身份证的标识信息，例如被挂失的身份证的标识信息、连续出现异常的身份证的标识信息、过期的身份证的标识信息等。可选地，身份证的标识信息可以为身份证的序列号，即身份证的出生证。通过该可选实施方式，可以识别出非法身份证，避免读取非法身份证。
[0107]按照身份证的读取流程，在身份证读卡终端读取身份证中的身份证原始密文之前，身份证与验证安全控制模块之间需要进行认证。因此，在本发明实施例的一个可选实施方案中，在将加密的确认结果信息发送给身份证读卡终端之后，在接收身份证读卡终端发送的身份证密文之前，该方法还可以包括:选择的认证安全控制模块接收身份证读卡终端发送的加密读卡请求，使用会话密钥对加密读卡请求进行解密，得到读卡请求，将读卡请求发送给对应的验证安全控制模块;对应的验证安全控制模块收读卡请求，生成第一认证因子，将第一认证因子发送给选择的认证安全控制模块;选择的认证安全控制模块使用会话密钥对第一认证因子进行加密，将加密后的第一认证因子发送给身份证读卡终端；以及接收身份证读卡终端返回的第一密文和第一签名值，利用身份证读卡终端的签名证书对第一签名值进行验签，在对第一签名值进行签名验证通过后，利用会话密钥对第一密文进行解密，得到第一认证数据和第二认证因子，将第一认证数据和第二认证因子发送给对应的验证安全控制模块，其中，第一认证数据为身份证读卡终端读取的身份证对第一认证因子进行加密得到的，第二认证因子为身份证生成的，第一密文为身份证读卡终端使用会话密钥对第一认证数据和第二认证因子进行加密得的，第一签名值为身份证读卡终端使用身份证读卡终端的签名私钥对第一密文进行签名得到的;对应的验证安全控制模块对第一认证数据进行验证，在对第一认证数据进行验证通过后，对第二认证因子进行加密，得到第二认证数据，将第二认证数据发送给选择的认证安全控制模块;选择的认证安全控制模块利用会话密钥对第二认证数据进行加密，得到第二密文，以及利用选择的认证安全控制模块的签名私钥对第二密文进行签名，得到第二签名值，向身份证读卡终端发送第二密文和第二签名值。通过该可选实施方式，身份证与对应的验证安全控制模块105-1之间可以进行认证，从而可以确保身份证数据的安全。
[0108]在本发明实施例的一个可选实施方案中，第一数据包还可以包括:身份证读卡终端对身份证密文进行签名得到的签名值;在将身份证原始密文信息发送给对应的验证安全控制模块之前，方法还包括:选择的认证安全控制模块对签名值进行验签，验签通过的情况下，才执行在将身份证原始密文信息发送给对应的验证安全控制模块的操作;第二数据包还包括:选择的认证安全控制模块对加密的身份证明文信息进行签名得到的签名值。具体地，身份证读卡终端可以采用自身的签名私钥对身份证密文进行签名，得到身份证密文的签名值，选择的认证安全控制模块接收到身份证读卡终端发送的第一数据包之后，使用身份证读卡终端的签名公钥对身份证密文的签名值进行验证，验签通过的情况下，才将解密得的身份证原始密文发送给对应的验证安全控制模块，同样，选择的认证安全控制模块在向身份证读卡终端返回加密的身份证明文信息时，同时返回加密的身份证明文信息的签名值。通过该可选实施方式，可以保证身份证读卡终端发送的数据以及选择的认证安全控制模块103-1发送的数据在传输过程中没有受到篡改。
[0109]在本发明实施例的一个可选实施方案中，在从工作状态表中选择一个认证安全控制模块之后，该方法还可以包括:调度服务器生成鉴权码，将鉴权码分别发送给身份证读卡终端和选择的认证数据库;认证数据库存储鉴权码，并在鉴权码的有效期到达时，删除鉴权码;第一数据包还包括:鉴权码的密文;在接收到第一数据包之后，在将身份证原始密文信息发送给对应的验证安全控制模块之前，该方法还可以包括:选择的认证安全控制模块对鉴权码的密文进行解密，得到鉴权码，查询认证数据库中是否存储有鉴权码，如果是，则继续后续操作，否则，不执行后续操作。在该可选实施方式中，鉴权码存储在认证数据库中，鉴权码具有一个有效期，在有效期到达时，认证数据库删除该鉴权码。身份证读卡终端接收到鉴权码后，在后续发送给网络侧的请求中携带该鉴权码。例如，如果身份证读卡终端在接收到选择的认证安全控制模块的标识信息之后，需要向选择的认证安全控制模块发送寻卡请求，则可以在寻卡请求中携带该鉴权码，如果不需要发送寻卡请求，则可以在发送选卡请求时携带该鉴权码(即在接收到鉴权码后，身份证读卡终端第一次向网络侧发送的请求中携带的该鉴权码)，如果寻卡请求或选卡请求是加密的，是可以将鉴权码一起加密发送给选择的认证安全控制模块，选择的认证安全控制模块接收到该鉴权码后，可以查询认证数据库中是否包含该鉴权码，如果是，则继续后续处理，如果不包含，则说明鉴权码已经失效，拒绝身份证读卡终端的请求。通过该可选实施方式，调度服务器可以通过鉴权码的有效时间来控制身份证读卡终端的访问时间，避免为身份证读卡终端选择认证安全控制模块之后，身份证读卡终端长时间不发起读卡请求而导致认证安全控制模块长时间空闲又不能被分配给其它身份证读卡终端的问题。
[0110]在本发明实施例的一个可选实施方案中，为了保证数据安全，还可以对认证安全控制模块进行认证。在该可选实施方式中，在调度服务器选择一个认证安全控制模块之前，该方法还可以包括:调度服务器在选择的认证安全控制模块上电时，向选择的认证安全控制模块发送待签名数据;选择的认证安全控制模块使用签名私钥对待签名数据进行签名得到的签名数据，将包括签名数据、签名私钥对应的签名公钥证书、以及选择的认证安全控制模块的加密公钥证书的认证数据返回给调度服务器;调度服务器接收选择的认证安全控制模块返回的认证数据，判断签名公钥证书以及加密公钥证书是否处理异常状态;在判断签名公钥证书以及加密公钥证书不是处理异常状态的情况下，将待签名数据以及认证数据发送给授权服务器;授权服务器通过连接的授权电子签名设备校验签名公钥证书以及加密公钥证书是否分配给同一身份证读卡终端的，如果是，则验证签名数据是否正确，如果是，则选择的认证安全控制模块的身份认证通过，否则，选择的认证安全模块的身份认证不通过；授权服务器在选择的认证安全控制模块的身份认证通过的情况下，通过授权电子签名设备对认证数据库的保护密钥进行加密后发送给调度服务器；以及在选择的认证安全控制模块的身份认证不通过的情况下发出警告信息；调度服务器将加密的认证数据库的保护密钥发送给选择的认证安全控制模块;选择的认证安全控制模块对加密的认证数据库的保护密钥进行解密，得到认证数据库的保护密钥。
[0111]在上述实施方式中，调度服务器通过授权服务器对选择的认证安全控制模块进行认证，但不限于此，如果选择的认证安全控制模块具有通讯功能，授权服务器可以直接对选择的认证安全控制模块进行认证。认证安全控制模块的认证具体可以参见实施例4和实施例5的描述。
[0112]在本发明实施例的一个可选实施方案中，选择的认证安全控制模块得到认证数据库的保护密钥之后，该方法还可以包括:认证安全控制模块将得到的认证数据库的保护密钥存储在RAM中，且禁止将认证数据库的保护密钥保存在flash中。该实施方式中选择的认证安全控制模块在下电后，认证数据库的保护密钥自动删除，保证了认证数据库的保护密钥的安全。
[0113]在本发明实施例的一个可选实施方案中，在调度服务器选择一个认证服务器之后，该方法还可以包括:调度服务器更新认证数据库存储的选择的认证安全控制模块的工作状态，从而使得后续调度服务器可以根据更新的工作状态进行选择。
[0114]实施例三
[0115]本实施例提供了一种身份证读取过程中，身份证与验证安全控制模块进行相互认证的方法。
[0116]图4为本实施例提供的身份证与验证安全控制模块进行相互认证的方法的信令流程示意图，如图4所示，该方法主要包括以下步骤:
[0117]步骤S401:身份证读卡终端向身份证发送寻卡指令；
[0118]步骤S402:身份证接收寻卡指令，并向身份证读卡终端发送寻卡确认数据；
[0119]步骤S403:身份证读卡终端利用认证加密密钥对寻卡请求数据进行加密，得到寻卡请求数据密文，利用身份证读卡终端的第一私钥对寻卡请求数据密文进行签名，得到寻卡请求签名值；
[0? 20]步骤S404:身份证读卡终端向认证安全控制模块发送寻卡请求，寻卡请求包括寻卡请求数据密文、寻卡请求签名值、身份证读卡终端的第一证书和身份证读卡终端的第二证书；
[0121]在本实施例中，身份证读卡终端通过其RF射频模块每间隔一段时间向外发送寻卡指令，身份证接收到该寻卡指令后，向身份证读卡终端发送寻卡确认数据，身份证读卡终端接收到身份证发送的寻卡确认数据后，身份证读卡终端向认证安全控制模块发送寻卡请求。
[0122]在本实施例中，寻卡请求中包括寻卡请求数据密文、寻卡请求签名值、身份证读卡终端的第一证书和身份证读卡终端的第二证书。其中，寻卡请求数据密文是身份证读卡终端在收到身份证发送的寻卡确认数据后，利用认证加密密钥对寻卡请求数据进行加密生成的。利用认证加密密钥对寻卡请求数据加密后传输至认证安全控制模块可以保证寻卡请求数据在网络传输中的安全。
[0123]在本实施例中，身份证读卡终端的第一证书中至少包括身份证读卡终端的第一公钥，身份证读卡终端的第二证书中也至少包括身份证读卡终端的第二公钥。身份证读卡终端的第一证书中的公钥与第二证书中的公钥可以相同，也可以不同，本实施例不做限定。
[0124]作为本实施例的一种可选实施方式，身份证读卡终端并不是直接将寻卡请求发送至云认证平台的认证安全控制模块，而是先将寻卡请求发送给调度服务器，调度服务器判断寻卡请求中的身份证读卡终端的标识是否在黑名单内，如果在黑名单内，则结束身份证读取流程;否则，调度服务器根据各个认证安全控制模块的处理能力，决定将寻卡请求发送到哪个认证安全控制模块进行处理，调度服务器再将寻卡请求发送给认证安全控制模块。通过调度服务器对第一数据包进行分流处理，可以防止单点故障。
[0125]作为本实施例的一种可选实施方式，身份证读卡终端向云认证平台发送数据时，除了身份证读卡终端第一次向云认证平台发送数据时需要由调度服务器分配认证安全控制模块，后续向云认证平台发送的数据均可直接发送至端口号对应的认证安全控制模块。当然，后续向云认证平台发送的数据也可通过调度服务器做相应处理(例如签名验证、转发)后发送至认证安全控制模块，本实施例不做具体限定。
[0126]作为本实施例的一种可选实施方式，调度服务器接收到寻卡请求并判断身份证读卡终端的标识不在黑名单后，利用根证书对接收到的身份证读卡终端的第一证书和身份证读卡终端的第二证书进行验证，并在验证通过后，调度服务器利用身份证读卡终端的第一证书对寻卡请求签名值进行签名验证，并在对寻卡请求签名值进行签名验证通过后，将寻卡请求中的寻卡请求数据密文和身份证读卡终端的第二证书发送至认证安全控制模块。[Ο127]步骤S405:认证安全控制模块接收寻卡请求，并利用认证安全控制模块的第一证书对寻卡请求签名值进行签名验证，并在对寻卡请求签名值进行签名验证通过后，利用认证解密密钥对寻卡请求数据密文进行解密，得到寻卡请求数据；
[0? 28]步骤S406:认证安全控制模块向验证安全控制模块发送寻卡请求数据；
[0129]作为本实施例中的一种可选实施方式，认证安全控制模块接收到寻卡请求后，利用根证书对接收到身份证读卡终端的第一证书和身份证读卡终端的第二证书进行验证，以防止非法分子篡改身份证读卡终端的公钥，实现对身份证读卡终端的安全认证，提高双方交互的安全性。
[0130]在本实施例中，认证解密密钥与步骤S403中的认证加密密钥为相同的密钥，即对称密钥，身份证读卡终端和认证安全控制模块分别利用该对称密钥对寻卡请求数据进行加解密，保证寻卡请求数据在网络传输中的安全性。可选的，认证加密密钥和认证解密密钥保存在密钥数据库中，认证安全控制模块可以从密钥数据库中读取该认证解密密钥，并保存在认证安全控制模块本地。身份证读卡终端也可以从密钥数据库中读取该认证加密密钥，并保存在身份证读卡终端本地。
[0131]作为本实施例的一种可选实施方式，当调度服务器已经对寻卡请求签名值进行验签后，认证安全控制模块只接收到调度服务器发送的寻卡请求数据密文和身份证读卡终端的第二证书时，认证安全控制模块只利用认证解密密钥对寻卡请求数据密文进行解密以得到寻卡请求数据。
[0132]步骤S407:验证安全控制模块接收到寻卡请求数据，生成寻卡请求响应数据；
[0? 33]步骤S408:验证安全控制模块向认证安全控制模块发送寻卡请求响应数据；
[0134]步骤S409:认证安全控制模块接收到寻卡请求响应数据，生成会话密钥，并利用会话密钥对寻卡请求响应数据进行加密，得到寻卡请求响应数据密文，并利用身份证读卡终端的第二证书对会话密钥进行加密，得到会话密钥密文，并利用认证安全控制模块的私钥对寻卡请求响应数据密文和会话密钥密文进行签名，得到寻卡请求响应签名值；
[0135]步骤S410:认证安全控制模块向身份证读卡终端发送寻卡请求响应，寻卡请求响应包括:寻卡请求响应数据密文、会话密钥密文、寻卡请求响应签名值和认证安全控制模块的证书；
[0136]在本实施例中，认证安全控制模块解密得到寻卡请求数据后，生成寻卡请求响应数据，并向认证安全控制模块发送寻卡请求响应数据;认证安全控制模块接收到寻卡请求响应数据后，生成会话密钥，其中会话密钥可以为一个或一串随机数，或者可以为一个或一串随机字符，或者一串随机数和随机字符的任意组合。利用会话密钥对寻卡请求响应数据进行加密，保证了寻卡请求响应数据的在网络传输中的安全性。另外，会话密钥作为随机产生的密钥，不易被非法分子窃取。
[0137]步骤S411:身份证读卡终端接收寻卡请求响应，并利用认证安全控制模块的证书对寻卡请求响应签名值进行验签，并在对寻卡请求响应签名值进行验签通过后，利用身份证读卡终端的第二私钥对会话密钥密文进行解密，得到会话密钥，并利用会话密钥对寻卡请求响应数据密文进行解密，得到寻卡请求响应数据；
[0138]步骤S412:身份证读卡终端向认证安全控制模块发送寻卡确认数据。
[0139]作为本实施例的一种可选实施方式，身份证读卡终端接收到寻卡请求响应后，利用根证书对接收到的认证安全控制模块的证书进行验证，以防止非法分子篡改认证安全控制模块证书中的公钥，实现对认证安全控制模块的安全认证，提高双方交互的安全性。
[0140]步骤S401-S412完成了寻卡流程，寻卡流程结束后还包括选卡流程，通过选卡流程认证验证安全控制模块可以确认是对哪一张身份证进行的读取操作。
[0141]步骤S413:身份证读卡终端得到寻卡请求响应数据后，向身份证发送选卡指令；[OH2]步骤S414:身份证接收该选卡指令，向身份证读卡终端发送选卡确认数据，其中选卡确认数据至少包括身份证的序列号；
[0143]步骤S415:身份证读卡终端接收:身份证发送的选卡确认数据，并利用会话密钥对选卡请求数据进行加密，得到选卡请求数据密文，利用身份证读卡终端的第一私钥对选卡请求数据密文进行签名，得到选卡请求签名值；
[OH4]步骤S416:身份证读卡终端向认证安全控制模块发送选卡请求，选卡请求包括选卡请求数据密文和选卡请求签名值；
[0145]步骤S417:认证安全控制模块接收选卡请求，并利用身份证读卡终端的第一证书对选卡请求签名值进行签名验证，并在对选卡请求签名值进行签名验证通过后，利用会话密钥对选卡请求数据密文进行解密，得到选卡请求数据；
[OH6]步骤S418:认证安全控制模块向验证安全控制模块发送选卡请求数据；
[0147]步骤S419:验证安全控制模块接收选卡请求数据，生成选卡请求响应数据；
[OH8]步骤S420:验证安全控制模块向认证安全控制模块发送选卡请求响应数据；
[0149]步骤S421:认证安全控制模块接收选卡请求响应数据，利用会话密钥对选卡请求响应数据进行加密，得到选卡请求响应数据密文，并利用认证安全控制模块的私钥对选卡请求响应数据密文进行签名，得到选卡请求响应签名值；
[0?50]步骤S422:认证安全控制模块向身份证读卡终端发送选卡请求响应，选卡请求响应包括:选卡请求响应数据密文和选卡请求响应签名值；
[0151]步骤S423:身份证读卡终端利用认证安全控制模块的证书对接收的选卡请求响应签名值进行验签，并在对选卡请求响应签名值验签通过后，利用会话密钥对接收到的选卡请求响应数据密文进行解密，得到选卡请求响应数据；
[0152]步骤S424:身份证读卡终端在得到选卡请求响应数据后，利用会话密钥对选卡确认数据进行加密得到选卡确认数据密文，并利用身份证读卡终端的第一私钥对选卡确认数据密文进行签名，得到选卡确认数据签名值，并向认证安全控制模块发送选卡确认数据密文和选卡确认数据签名值;认证安全控制模块接收到选卡确认数据密文和选卡确认数据签名值后，利用身份证读卡终端的第一证书对选卡数据签名值进行签名验证，并在对选卡数据签名值进行签名验证通过后，利用会话密钥对选卡确认数据密文进行解密，得到选卡确认数据，并向验证安全控制模块发送选卡确认数据;验证安全控制模块接收选卡确认数据后，获得身份证的序列号。
[0153]通过步骤S424，验证安全控制模块得到选卡确认数据，其中选卡确认数据中包括身份证的序列号，验证安全控制模块获得身份证的序列号后，可根据身份证的序列号查找身份证与验证安全控制模块进行认证过程中所使用的安全密钥。
[0154]选卡流程结束后，启动读卡流程。
[0155]步骤S425:身份证读卡终端向身份证发送读卡指令；
[0156]步骤S426:身份证向身份证读卡终端发送读卡确认数据；
[0157]步骤S427:身份证读卡终端利用会话密钥对读卡请求数据进行加密，得到读卡请求数据密文，利用身份证读卡终端的第一私钥对读卡请求数据密文进行签名，得到读卡请求签名值；
[0?58]步骤S428:身份证读卡终端向认证安全控制模块发送读卡请求，读卡请求包括读卡请求数据密文和读卡请求签名值；
[0159]步骤S429:认证安全控制模块接收读卡请求，并利用身份证读卡终端的第一证书对读卡请求签名值进行签名验证，并在对读卡请求签名值进行签名验证通过后，利用会话密钥对读卡请求数据密文进行解密，得到读卡请求数据；
[0? 60]步骤S430:认证安全控制模块向验证安全控制模块发送读卡请求数据；
[0161]步骤S431:验证安全控制模块接收读卡请求数据，生成第一认证因子；
[0162]步骤S432:验证安全控制模块向认证安全控制模块发送第一认证因子；
[0163]步骤S433:认证安全控制模块接收到第一认证因子后，利用会话密钥对第一认证因子进行加密，得到第一认证因子密文，并利用认证安全控制模块的私钥对第一认证因子密文进行签名，得到第一认证因子签名值；
[0? 64]步骤S434:认证安全控制模块向身份证读卡终端发送读卡请求响应，读卡请求响应包括:第一认证因子密文和第一认证因子签名值；
[0??5]步骤S435:身份证读卡终端接收读卡请求响应，利用认证安全控制模块的证书对第一认证因子签名值进行签名验证，并在对第一认证因子签名值进行签名验证通过后，利用会话密钥对第一认证因子密文进行解密，得到第一认证因子。
[0166]本实施例中，身份证读卡终端并不设置有验证安全控制模块，而是在云端的云认证平台中设置验证安全控制模块(即验证安全控制模块)，任何用户均可通过有线或无线网络接入到云端的验证安全控制模块以实现对身份证的读取，大大降低了用户的实现成本，特别是在银行、车站、保险等需要执行身份证信息读取操作的行业，只需部署相应数量的只具有RF射频模块的身份证读卡终端即可，无需再次大量部署验证安全控制模块，也无需大量设置验证安全控制模块与只具有RF射频模块之间的对应关系，简化了实现方案。
[0167]实施例4
[0168]本实施例提供了一种密钥获取方法，在该实施例中，调度服务器配合授权服务器对认证安全控制模块进行认证并在认证通过后向认证安全控制模块发送认证数据库的保护密钥。如图5所示，该方法包括以下步骤S501?S505:
[0169]S501:认证安全控制模块向调度服务器发送认证数据，认证数据至少包括:认证安全控制模块对待签名数据进行签名得到的签名数据、以及用于验签的数字证书和用于加密的数字证书；
[0170]在本实施例中，作为本实施例中的一种可选实施方式，认证安全控制模块可以为安全芯片，安全芯片(如国民技术股份有限公司的Z8D64U(国密批号SSX43)、Z32(国密批号SSX20))内部拥有独立的处理器和存储单元，可存储PKI数字证书和对应的私钥，以及其他特征数据，对数据进行加解密运算，为用户提供数据加密和身份安全认证服务，保护商业隐私和数据安全，因此，本实施例中认证安全控制模块中存储有用于验签的数字证书和用于加密的数字证书，以及各自对应的私钥，其中，对于前者，认证安全控制模块可以使用与用于验签的数字证书对应的私钥对待签名数据进行签名得到签名数据，授权服务器可以利用该用于验签的数字证书的公钥对签名数据验签，以实现授权服务器对认证安全控制模块的身份认证，保证认证安全控制模块的合法性;对于后者，授权服务器可以利用用于加密的数字证书的公钥对认证数据库的保护密钥加密生成认证数据库的保护密钥密文，以实现密文传输，从而保证传输方式的安全性，而且只有存储有与用于加密的数字证书对应的私钥的认证安全控制模块才能解密认证数据库的保护密钥密文得到认证数据库的保护密钥，以保证获取认证数据库的保护密钥的安全性，能够防止认证数据库的保护密钥被非法盗用。
[0171]在本实施例中，待签名数据可以由认证安全控制模块生成，也可以由授权服务器生成。因此，对于前者，作为本实施例中的一种可选实施方式，认证安全控制模块发送至调度服务器的认证数据中还包括:待签名数据;该待签名数据至少包括:认证安全控制模块生成的单次认证数据、用于验签的数字证书、用于加密的数字证书和认证安全控制模块的身份标识。其中，单次认证数据为随机因子，包括随机数和/或随机事件，以防止重复攻击，而且通过上述多种待签名数据的组合增加了授权服务器验签的可靠性;或者，对于后者，作为本实施例中的另一种可选实施方式，待签名数据，包括:授权服务器生成的单次认证数据和/或授权服务器的身份标识，其中，单次认证数据为随机因子，包括随机数和/或随机事件，以防止重复攻击，而且通过上述多种待签名数据的组合增加了授权服务器验签的可靠性；该授权服务器生成的单次认证数据可以通过调度服务器转发至认证安全控制模块，认证安全控制模块可以利用用于验签的数字证书对应的私钥对该待签名数据进行签名得到签名数据以便授权服务器进行验签。
[0172]S502:调度服务器接收认证安全控制模块发送的认证数据，并查询用于验签的数字证书和用于加密的数字证书的生存状态，若生存状态为正常生存状态，则将认证数据发送至授权服务器；
[0173]在本实施例中，认证安全控制模块只有通过调度服务器和授权服务器的双重认证，才能获得认证数据库的保护密钥。调度服务器对认证安全控制模块的认证是通过查询用于验签的数字证书和用于加密的数字证书的生存状态是否为正常生存状态来实现的。如果上述数字证书失效、过期、冻结或者已被列入黑名单，就说明认证安全控制模块很有可能是非法设备，则调度服务器不会将认证数据发送至授权服务器，所以，认证安全控制模块也就无法获到认证数据库的保护密钥，不能对从身份证读卡终端接收到的密文解密，从而制止了该非法的安全控制模块对验证安全控制模块的攻击，由此，通过调度服务器的认证保证了认证安全控制模块的合法性。
[0174]S503:授权服务器判断用于验签的数字证书和用于加密的数字证书是否属于同一用户，在判断用于验签的数字证书和用于加密的数字证书属于同一用户后，对签名数据进行验签，验签通过后，获取认证数据库的保护密钥;并对认证数据库的保护密钥加密生成认证数据库的保护密钥密文，并将认证数据库的保护密钥密文发送至调度服务器；
[0175]在本实施例中，授权服务器对认证安全控制模块的认证是通过判断用于验签的数字证书和用于加密的数字证书是否属于同一用户以及利用用于验签的数字证书对签名数据进行验签来实现的。其中，作为本实施例中的一种可选实施方式，授权服务器判断用于验签的数字证书和用于加密的数字证书是否属于同一用户，包括:授权服务器根据用于验签的数字证书和用于加密的数字证书各自携带的用户归属信息判断用于验签的数字证书和用于加密的数字证书是否属于同一用户。
[0176]用户归属信息是指可以标识用户身份的信息，比如UID(UserIdentif icat1n，用户唯一标识)等，如果两个数字证书携带的用户归属信息相同，则说明二者属于同一用户。实际应用时，用于验签的数字证书和用于加密的数字证书应该是同一个用户在第三方认证平台申请的，因为一旦授权服务器对这个用户的签名数据验签用过之后，该用户就可以用该用于加密的数字证书对从授权服务器接收到的认证数据库的保护密钥密文解密得到认证数据库的保护密钥，为了防止非法用户盗用他人的用于验签的数字证书或盗用他人的用于加密的数字证书，本实施例中授权服务器50需要在对签名数据验签之前，先判断两个数字证书是否属于同一用户，如果属于同一用户，至少能够保证排除掉非法盗用数字证书的情况。
[0177]此外，授权服务器收到的签名数据为认证安全控制模块利用与用于验签的数字证书对应的私钥对待签名数据签名得到的签名数据，由此，授权服务器可以利用该用于验签的数字证书的公钥对签名数据进行验签。
[0178]由此，只有通过调度服务器和授权服务器的双重认证，认证安全控制模块才能获得认证数据库的保护密钥，保证了认证安全控制模块获取认证数据库的保护密钥的安全性。
[0179]作为本实施例一种可选的实施方式，授权服务器可以利用用于加密的数字证书的公钥对认证数据库的保护密钥加密生成认证数据库的保护密钥密文，当然，作为本实施例另一种可选的实施方式，授权服务器也可以生成随机密钥，利用随机密钥对认证数据库的保护密钥加密，并利用用于加密的数字证书的公钥对随机密钥加密，将加密后的随机密钥和认证数据库的保护密钥密文一起发送至调度服务器;本实施例中，由于认证安全控制模块将自己用于加密的数字证书发送至授权服务器，授权服务器采用该数字证书的公钥采用上述提到的方式对认证数据库的保护密钥加密后再传输给认证安全控制模块，实现密文传输，保证了传输数据的安全，而且只有拥有该数字证书对应的私钥的认证安全控制模块才能对认证数据库的保护密钥密文解密，即使被截获，由于没有保存私钥也无法破译该认证数据库的保护密钥密文，因此，进一步保证了认证数据库的保护密钥的安全。
[0180]S504:调度服务器将认证数据库的保护密钥密文发送至认证安全控制模块；
[0181 ]具体实施时，认证安全控制模块为安全芯片没有通信接口时，需要调度服务器进行转发数据。而且，认证安全控制模块仅与调度服务器连接通信，而不与其他外部设备连接通信，只接收调度服务器发送的数据，进一步由调度服务器将不安全的数据挡在了认证安全控制模块之外，保障了认证安全控制模块的安全。
[0182]S505:认证安全控制模块对认证数据库的保护密钥密文解密得到认证数据库的保护密钥，并将认证数据库的保护密钥保存在认证安全控制模块的随机存取存储器中。
[0183]与步骤S503中授权服务器生成认证数据库的保护密钥密文的方式相应的，认证安全控制模块对认证数据库的保护密钥密文解密得到认证数据库的保护密钥示例性地给出以下实现方式:利用本地存储的与用于加密的数字证书对应的私钥对认证数据库的保护密钥密文解密得到认证数据库的保护密钥，或者，利用本地存储的与用于加密的数字证书对应的私钥对加密后的随机密钥解密得到随机密钥，并利用随机密钥对认证数据库的保护密钥密文解密得到认证数据库的保护密钥。本实施例中，由于认证安全控制模块将自己用于加密的数字证书发送至授权服务器，授权服务器采用该数字证书的公钥对认证数据库的保护密钥加密后再传输给认证安全控制模块，实现密文传输，保证了传输数据的安全，而且只有拥有该数字证书对应的私钥的认证安全控制模块才能对认证数据库的保护密钥密文解密，即使被截获，由于没有保存私钥也无法破译该认证数据库的保护密钥密文，因此，进一步保证了认证数据库的保护密钥的安全。
[0184]而且，认证安全控制模块解密获得认证数据库的保护密钥后保存在随机存取存储器RAM中，而非保存在FLASH中，这样一旦掉电该认证数据库的保护密钥就被删除了，当认证安全控制模块再次上电时，就需要重新执行获取认证数据库的保护密钥的步骤，由此，从硬件上保证了认证数据库的保护密钥不会被一个认证安全控制模块持续占用，更加不易被截获。
[0185]通过本实施例提供的密钥获取方法，认证安全控制模块为了将非法攻击的事件都挡在验证安全控制模块之外，需要经由调度服务器和授权服务器认证通过后，才能从授权服务器获取到认证数据库的保护密钥，从而使得身份证信息的传输系统中的认证安全控制模块可以利用该认证数据库的保护密钥对身份证读卡终端的传输密钥密文解密得到传输密钥，认证安全控制模块只有获取到该传输密钥才能够对身份证读卡终端发送的密文解密，由此可以保证认证安全控制模块发送至验证安全控制模块的数据的安全性。
[0186]实施例5
[0187]本实施例提供了一种密钥获取方法，在该实施例中，授权服务器直接对认证安全控制模块进行认证并在认证通过后向认证安全控制模块发送认证数据库的保护密钥。如图6所示，该方法包括以下步骤S601?S604:
[0188]S601:认证安全控制模块向授权服务器发送认证数据，认证数据至少包括:认证安全控制模块对待签名数据进行签名得到的签名数据、以及用于验签的数字证书和用于加密的数字证书；
[0189]在本实施例中，作为本实施例中的一种可选实施方式，认证安全控制模块可以为安全芯片，安全芯片(如国民技术股份有限公司的Z8D64U(国密批号SSX43)、Z32(国密批号SSX20))内部拥有独立的处理器和存储单元，可存储PKI数字证书和对应的私钥，以及其他特征数据，对数据进行加解密运算，为用户提供数据加密和身份安全认证服务，保护商业隐私和数据安全。
[0190]在本实施例中，待签名数据可以由认证安全控制模块生成，也可以由授权服务器生成。因此，对于前者，作为本实施例中的一种可选实施方式，认证安全控制模块发送至授权服务器的认证数据中还包括:待签名数据;该待签名数据至少包括:认证安全控制模块生成的单次认证数据、用于验签的数字证书、用于加密的数字证书和认证安全控制模块的身份标识。其中，单次认证数据为随机因子，包括随机数和/或随机事件，以防止重复攻击，而且通过上述多种待签名数据的组合增加了授权服务器验签的可靠性;或者，对于后者，作为本实施例中的另一种可选实施方式，待签名数据，包括:授权服务器生成的单次认证数据和/或授权服务器的身份标识，其中，单次认证数据为随机因子，包括随机数和/或随机事件，以防止重复攻击，而且通过上述多种待签名数据的组合增加了授权服务器验签的可靠性；该授权服务器生成的单次认证数据可以通过授权服务器转发至认证安全控制模块，认证安全控制模块可以利用用于验签的数字证书对应的私钥对该待签名数据进行签名得到签名数据以便授权服务器进行验签。
[0191]S602:授权服务器接收认证安全控制模块发送的认证数据，并查询用于验签的数字证书和用于加密的数字证书的生存状态，若生存状态为正常生存状态，则执行步骤S603;
[0192]在本实施例中，认证安全控制模块只有通过授权服务器的认证，才能获得认证数据库的保护密钥。授权服务器对认证安全控制模块的认证包括:对认证安全控制模块的数字证书的有效性的认证以及对认证安全控制模块的数字证书的合法性的认证。
[0193]其中，授权服务器对认证安全控制模块的认证是通过查询用于验签的数字证书和用于加密的数字证书的生存状态是否为正常生存状态来实现的。作为本实施例的一种可选实施方式，授权服务器查询用于验签的数字证书和用于加密的数字证书的状态，包括:授权服务器在数字证书状态在线查询服务器上查询用于验签的数字证书和用于加密的数字证书的生存状态，生存状态包括:正常生存状态和非正常生存状态，非正常生存状态至少包括以下之一:证书失效、证书过期、证书冻结和证书已被列入黑名单。如果上述数字证书失效、过期、冻结或者已被列入黑名单，就说明认证安全控制模块很有可能是非法设备，则授权服务器不会将认证数据发送至授权服务器，所以，认证安全控制模块也就无法获到认证数据库的保护密钥，不能对从身份证读卡终端接收到的密文解密，从而制止了该非法的安全控制模块对验证安全控制模块的攻击，由此，通过授权服务器的认证保证了认证安全控制模块的合法性。
[0194]S603:授权服务器判断用于验签的数字证书和用于加密的数字证书是否属于同一用户，在判断用于验签的数字证书和用于加密的数字证书属于同一用户后，对签名数据进行验签，验签通过后，获取认证数据库的保护密钥;并对认证数据库的保护密钥加密生成认证数据库的保护密钥密文，并将认证数据库的保护密钥密文发送至认证安全控制模块；
[0195]在本实施例中，授权服务器对认证安全控制模块的数字证书的合法性的认证是通过判断用于验签的数字证书和用于加密的数字证书是否属于同一用户以及利用用于验签的数字证书对签名数据进行验签来实现的。其中，作为本实施例中的一种可选实施方式，授权服务器判断用于验签的数字证书和用于加密的数字证书是否属于同一用户，包括:授权服务器根据用于验签的数字证书和用于加密的数字证书各自携带的用户归属信息判断用于验签的数字证书和用于加密的数字证书是否属于同一用户，如果是，则确定用于验签的数字证书和用于加密的数字证书属于同一用户。
[ΟΙ96]用户归属信息是指可以标识用户身份的信息，比如UID(User Identif icat1n，用户唯一标识)等，如果两个数字证书携带的用户归属信息相同，则说明二者属于同一用户。
[0197]此外，授权服务器收到的签名数据为认证安全控制模块利用与用于验签的数字证书对应的私钥对待签名数据签名得到的签名数据，由此，授权服务器可以利用该用于验签的数字证书的公钥对签名数据进行验签。
[0198]由此，只有通过授权服务器对数字证书的有效性和合法性的双重认证，认证安全控制模块才能获得认证数据库的保护密钥，保证了认证安全控制模块获取认证数据库的保护密钥的安全性。
[0199]作为本实施例一种可选的实施方式，授权服务器可以利用用于加密的数字证书的公钥对认证数据库的保护密钥加密生成认证数据库的保护密钥密文，当然，作为本实施例另一种可选的实施方式，授权服务器50也可以生成随机密钥，利用随机密钥对认证数据库的保护密钥加密，并利用用于加密的数字证书的公钥对随机密钥加密，将加密后的随机密钥和认证数据库的保护密钥密文一起发送至授权服务器。
[0200]S604:认证安全控制模块对认证数据库的保护密钥密文解密得到认证数据库的保护密钥，并将认证数据库的保护密钥保存在认证安全控制模块的随机存取存储器中。
[0201]与步骤S603中授权服务器生成认证数据库的保护密钥密文的方式相应的，认证安全控制模块对认证数据库的保护密钥密文解密得到认证数据库的保护密钥示例性地给出以下实现方式:利用本地存储的与用于加密的数字证书对应的私钥对认证数据库的保护密钥密文解密得到认证数据库的保护密钥，或者，利用本地存储的与用于加密的数字证书对应的私钥对加密后的随机密钥解密得到随机密钥，并利用随机密钥对认证数据库的保护密钥密文解密得到认证数据库的保护密钥。
[0202]而且，认证安全控制模块解密获得认证数据库的保护密钥后保存在随机存取存储器RAM中，而非保存在FLASH中，这样一旦掉电该认证数据库的保护密钥就被删除了，当认证安全控制模块再次上电时，就需要重新执行获取认证数据库的保护密钥的步骤，由此，从硬件上保证了认证数据库的保护密钥不会被一个认证安全控制模块持续占用，更加不易被截获。
[0203]实施例6
[0204]本实施例提供一种内管服务器的工作流程图，如图7所示，主要包括以下步骤:
[0205]步骤S701:检测用户请求，在检测到用户请求为用户登录请求时，执行步骤S702。
[0206]具体的，内管系统通过定时或者不定时地刷新或者检测是否接收到用户请求，当接收到用户请求时，判断该用户请求的类型，根据请求的特征来判断其是否是用户登录请求，例如，内管系统可以设有web页面，web页面设置有登录按钮，一旦检测到登录按钮被按下，则判定为检测到用户登录请求;或者内管系统的web页面直接显示登录信息输入框，当在登录信息输入框中检测到光标时，则判定为检测到用户登录请求。
[0207]当然，内管系统的用户登录请求可以根据不同的用户设有不同的登录请求，例如，可以区分管理员用户登录、普通用户登录、操作用户登录、运行用户登录等，针对不同的用户登录请求设置不同的登录接口，从而分别进行管控。
[0208]步骤S702:获取与用户登录请求对应的提示信息，并显示提示信息，提示信息用于提示用户进行登录；
[0209]具体的，在检测到用户登录请求时，内管系统还获取用户登录请求的类型，当采取类似触发登录按钮来进行登录时，针对上述的不同用户的登录请求获取到与不同用户对应的登录提示信息，例如，当用户为管理员用户、操作用户或运行用户时，在提示信息可以弹出用户名和密码的输入框的同时，还提示“插入安全设备或电子签名令牌”等；当用户为普通用户时，提示信息可以仅为弹出用户名和密码的输入框。通过设置不同的用户登录时对应的提示信息，使得不同级别的用户可以执行不同的登录流程，从而兼顾不同用户的安全性和便捷性的需求。当然，本发明不限于上述提示信息的种类，任何可以提示用户进行登录的提示信息，均是本发明的保护范围。
[0210]步骤S703:接收与提示信息对应的身份验证信息，身份验证信息至少包括用户身份信息以及待验证信息。
[0211]具体的，用户可以通过输入接口、键盘、触屏等设备输入设备输入与提示信息对应的身份验证信息，该身份验证信息中至少包括了能够代表用户身份的信息，该用户身份信息可以是用户序列号、用户类别、用户名、用户标识等信息，该身份验证信息中还包括了待验证信息(如用户证书、数字签名、用户识别信息等)，该待验证信息可以是能够验证用户合法性的信息，用于内管系统对用户登录的合法性进行验证。
[0212]步骤S704:获取验证信息，利用验证信息对待验证信息进行验证，如果验证通过，则执行步骤S705，否则，提示登录失败，并执行步骤S702。具体来说，验证信息是内管系统预存的信息或者通过安全设备或电子签名令牌等身份设备获取的信息，而待验证信息是用户输入的信息。
[0213]在本实施例中接收身份验证信息并进行验证的方式可以是以下一种或者几种方式，当然本发明并不局限于以下几种方式:
[0214]方式一、接收连接的安全设备中存储并发送的的用户证书，获取预存的根证书，利用预存的根证书对用户证书的合法性进行验证;具体的实施方式中，用户利用安全设备来验证身份时，该安全设备中存储有代表用户身份的数字证书，而内管系统中存储有签发该数字证书的根证书(验证信息)，当内管系统接收到连接的安全设备发送来的用户证书(待验证信息)后，利用预存的根证书对该数字证书进行合法性校验，如果验证合法性通过，则认为验证通过。当然，在进行验证的过程中，当内管系统需要进行验证时，可以先发送指令给安全设备，安全设备在接收到相应的指令后才将用户证书发送给内管系统，保证验证正确和及时执行。关于证书校验的过程属于现有流程，此处不再赘叙。通过本方式的验证方式，利用安全设备的用户证书来验证登录，实现物理隔离，保证了登录的安全性。
[0215]方式二、接收连接的电子签名令牌生成并发送的签名信息，签名信息包括:预设信息以及电子签名令牌根据预设信息进行签名得到的签名值，获取电子签名令牌的公钥，利用电子签名令牌的公钥对签名信息进行验证;具体的实施方式中，用户利用电子签名令牌来验证身份时，该电子签名令牌存储有代表用户唯一身份的数字证书和私钥，并可以生成预设信息，该预设信息可以为随机生成的随机数或者用户的个人标识信息，电子签名令牌可以利用私钥对预设信息进行签名获得签名值，内管系统在接收到连接的电子签名令牌发送来的预设信息和签名值(待验证信息)后，内管系统可以获取电子签名令牌的公钥(验证信息)对签名信息进行验证，如果验证签名正确则认为验证通过。该电子签名令牌的公钥(验证信息)可以是内管系统预存的，或内管系统向其他服务器获取的，或者是接收电子签名令牌发送的数字证书获取的(即电子签名令牌在发送签名信息的同时还发送电子签名令牌的数字证书，该数字证书中包括有电子签名令牌的公钥)。当然，在进行验证的过程中，当内管系统需要进行验证时，可以先发送指令给电子签名令牌，电子签名令牌在接收到相应的指令后才将签名信息发送给内管系统，保证验证正确和及时执行。通过本方式的验证方式，利用电子签名令牌来验证登录，电子签名令牌存放代表用户唯一身份的数字证书和用户私钥，通过验证签名验证了用户的身份，阻止了其他非法登录，保证了登录的安全性。
[0216]方式三、接收用户输入的用户识别信息，获取预存的验证识别信息，利用预存的验证识别信息对输入的用户识别信息进行验证;具体的实施方式中，识别信息可以是用户名和密码、生物特征信息(指纹、虹膜等)等，内管系统预存有用户的验证识别信息(验证信息)，利用预存的验证识别信息对输入的用户识别信息(待验证信息)进行比对，比对一致则认为验证通过。通过用户的识别信息进行验证，验证了用户的身份，保证登录的安全性。
[0217]在具体的实现中，可以采取上述方式中的多种来同时保证登录，例如可以采用方式一和方式三的组合，也可以采用方式二和方式三的组合，利用多种方式来保证登录，可以进一步保证登录的安全性。
[0218]步骤S705:根据用户身份信息确定用户的操作权限，操作权限包括第一权限和第二权限；具体来说，第一权限和第二权限可以是能够处理不同指令的权限，在本实施例中，第一权限可以是能够进行系统管理指令的处理的权限，第二权限可以是是能够进行参数配置指令的处理的权限;一个用户身份可以仅具备第一权限，也可以仅具备第二权限，也可以同时具备第一权限和第二权限。在具体实施中，可以通过用户身份信息(如用户序列号、用户类别、用户名、用户标识)来确定用户的类别，通过用户的类别来确定用户的操作权限，例如，根据用户的身份信息确定该用户为管理员用户，则该管理员用户同时具备第一权限和第二权限，即该管理员可以处理系统管理指令和参数配置指令;或者根据用户的身份信息确定该用户为操作员用户，则该操作员用户具备第一权限，即该操作员可以处理系统管理指令;或者根据用户的身份信息确定该用户为运行员用户，则该运行员具备第二权限，即该运行员可以处理参数配置指令。当然，在实际的系统中，可以仅仅有一种用户，即仅有同时具备第一权限和第二权限的管理员用户。通过在用户登录系统后，根据其用户身份的不同赋予了不同的操作权限，在内管统内部构筑了一道道墙壁，使用户只能访问其被授权访问的系统资源。
[0219]步骤S706:接收用户的操作请求，操作请求包括系统管理指令和参数配置指令，并执行步骤S707、步骤S708或步骤S709:具体来说，用户可以通过键盘输入或者在内管系统的web页面选择的方式输入操作请求，操作请求中至少包括操作指令，该操作指令可以是系统管理指令或参数配置指令，对应调用不同的模块完成不同的功能，即执行如下步骤S707、步骤S708或步骤S709的操作。
[0220]步骤S707:如果操作请求包括系统管理指令，且确定的用户对应的操作权限为第一权限，获取系统管理指令对应的系统管理条目，根据系统管理指令对系统管理条目执行对应的操作;具体来说，此时操作请求包括了系统管理指令，该系统管理指令用于实现对内管系统信息的管理，该系统管理指令可以是包括查询指令、修改指令、增加指令或删除指令等指令，实现对内管系统中各个管理条目的查询、修改、增加、删除等功能，当需要进行系统管理时，则需要确定用户具备相应的权限才允许其进行管理，例如，具备管理员或者操作员权限的用户可以对系统进行管理。系统管理条目是内管系统中可供用户进行修改的条目，可以包括但不限于用户、角色、客户、产品、报表、黑名单等，系统管理条目可以是包含在操作请求中，也可以是用户通过键盘输入或内管系统web页面选择来输入系统管理指令所对应的系统管理条目，必要时，还需要输入一些管理参数来实现管理功能。
[0221]步骤S708:如果操作请求包括参数配置指令，且确定用户对应的操作权限为第二权限，获取参数配置指令对应的待配置条目和更新参数，根据更新参数对待配置条目的参数进行配置;具体来说，此时操作请求包括了参数配置指令，该参数配置指令用于实现对内管系统参数的配置，当需要进行参数配置时，则需要确定用户具备相应的权限才允许其进行管理，例如，具备管理员或者运行员权限的用户才可以对参数进行配置。参数配置指令对应的待配置条目可以包括:内管子系统参数、认证安全控制模块参数、读卡终端APP参数、黑名单策略、频度管控策略等，内管系统通过更新参数对上述待配置条目进行配置，更新参数可以包含在操作请求中，也可以是用户通过键盘输入或内管系统web页面选择来输入更新参数。
[0222]步骤S709，如果操作请求包括系统管理指令或参数配置指令，且确定用户对应的操作权限为第一权限和第二权限，则在操作请求为系统管理指令时，获取系统管理指令对应的系统管理条目，根据系统管理指令对系统管理条目执行对应的操作；或在操作请求为参数配置指令时，获取参数配置指令对应的待配置条目和更新参数，根据更新参数对待配置条目的参数进行配置。具体来说，当确定用户对应的权限对应的操作权限为第一权限和第二权限，即用户为管理员权限时，该用户可以对系统管理指令和参数配置指令进行处理，具体的处理参照前述。
[0223]通过本实施例的操作请求控制方法，可以实现通过一个内管系统对云认证平台内各个子系统部件进行有效管理，给用户提供可视化管理界面，提升用户的体验，也便于在运维工作中对系统参数进行配置。此外，通过内管系统对整个云认证平台进行调度管理，对部分资源进行限制性访问，通过对不同用户设置不同的访问权限，保证访问的安全性。
[0224]在本发明的一个实施方式，系统管理条目包括:用户、角色、客户、产品、报表和/或黑名单。
[0225]根据查询指令对系统管理条目执行查询操作包括:系统管理条目为用户，根据查询指令对用户进行查询，按照预设的查询输出规则输出用户信息;或系统管理条目为角色，根据查询指令对角色进行查询，按照预设的查询输出规则输出角色信息；或系统管理条目为客户，根据查询指令对客户进行查询，按照预设的查询输出规则输出客户信息;或系统管理条目为产品，根据查询指令对产品进行查询，按照预设的查询输出规则输出产品信息;或系统管理条目为报表，根据查询指令对报表进行查询，按照预设的查询输出规则输出报表信息;或系统管理条目为黑名单，根据查询指令对黑名单进行查询，按照预设的查询输出规则输出黑名单信息。
[0226]根据修改指令对系统管理条目执行修改操作包括:系统管理条目为用户，根据修改指令对用户信息进行修改，存储用户信息修改结果;或系统管理条目为角色，根据修改指令对角色信息进行修改，存储角色信息修改结果;或系统管理条目为客户，根据修改指令对客户信息进行修改，存储客户信息修改结果;或系统管理条目为产品，根据修改指令对产品信息进行修改，存储产品信息修改结果;或系统管理条目为报表，根据修改指令对报表信息进行修改，存储报表信息修改结果;或系统管理条目为黑名单，根据修改指令对黑名单信息进行修改，存储黑名单信息修改结果。
[0227]根据增加指令对系统管理条目执行增加操作包括:系统管理条目为用户，根据增加指令增加用户，存储增加的用户信息；或系统管理条目为角色，根据增加指令增加角色，存储增加的角色信息;或系统管理条目为客户，根据增加指令增加客户，存储增加的客户信息;或系统管理条目为产品，根据增加指令增加产品，存储增加的产品信息；或系统管理条目为报表，根据增加指令增加报表，存储增加的报表信息；或系统管理条目为黑名单，根据增加指令增加黑名单，存储增加的黑名单信息。
[0228]根据删除指令对系统管理条目执行删除操作包括:系统管理条目为用户，根据删除指令删除用户；或系统管理条目为角色，根据删除指令删除角色；或系统管理条目为客户，根据删除指令删除客户；或系统管理条目为产品，根据删除指令删除产品；或系统管理条目为报表，根据删除指令删除报表;或系统管理条目为黑名单，根据删除指令删除黑名单。
[0229]以下对各个系统管理条目的操作分别进行详细说明:
[0230]当系统管理条目为用户时，登录内管系统的管理员或操作员可以对用户的信息进行查询、修改、增加、删除等操作。例如，当管理员或操作员需要对用户信息进行查询时，可以输入用户的唯一标识信息(如ID、姓名等)对用户进行查询，也可以进行默认查询，则可以查询到能够登录该内管系统的所有用户信息，并将查询结果显示出来;同样的，当管理员或操作员需要进行修改、增加、删除操作时，可以根据用户的唯一标识信息(如ID、姓名等)确定用户，对用户的信息进行修改、增加、删除，并存储修改、增加、删除的结果。
[0231]当系统管理条目为角色时，登录内管系统的管理员或操作员可以对角色的信息进行查询、修改、增加、删除等操作。内管系统中为不同的用户设定了不同的角色，每种角色的权限不同，例如管理员、操作员、运行员等。当管理员或操作员需要对角色的信息进行查询时，可以通过角色的名称或者编号信息等对角色下的权限等信息查询，也可以进行默认查询，则可以查询到内管系统的所有角色信息，并将查询结果显示出来；同样，当管理员或操作员需要对角色进行修改时，可以用过角色名称或者编号信息等对角色信息进行修改，例如可以修改某个角色的权限等；当管理员或操作员对角色需要进行增加和删除操作时，则根据角色名称或者编号信息对角色进行增加或者删除操作，并存储修改、增加、删除的结果O
[0232]当系统管理条目为客户时，登录内管系统的管理员或操作员可以对客户的信息进行查询、修改、增加、删除等操作。内管系统中的客户可以是云认证系统中不同行业的客户，例如银行、商户、电信等。互联网身份证云认证系统会为不同行业的客户提供身份证认证服务，不同的客户所用的读卡终端产品编号和产品类型可能会不同，获取身份证信息也有所不同，这就需要通过内管系统对不同的客户进行管理。对于客户的管理也可以基于客户的唯一标识信息(如ID、名称等)，根据客户的唯一信息标识确定客户，对客户的信息进行增加、修改、删除、查询操作，并显示查询结果，存储修改、增加、删除的结果。例如，通过查询指令查询客户时，在检测到输入的客户唯一信息标识后，在内管系统的服务器中查找出与该客户相关的信息，输出并显示出来。
[0233]当系统管理条目为产品时，登录内管系统的管理员或操作员可以对产品的信息进行查询、修改、增加、删除等操作。内管系统中的产品对应于读卡终端，产品条目下记录读卡终端类型和读卡终端编号，读卡终端序列号是产品的唯一标识信息，同时，每个产品条目还绑定了客户信息。当管理员或操作员查询该产品条目时，可以对产品条目的读卡终端类型、读卡终端序列号、所属客户等信息进行查询，当然，可以进行默认查询或者根据唯一标识信息进行查询，并显示查询结果；同样的，当管理员或操作员需要进行修改、增加、删除操作时，可以根据产品的唯一标识信息确定产品，对产品的信息进行修改、增加、删除，并存储修改、增加、删除的结果。此外，当需要增加产品信息时，还可以通过产品信息管理进行批量增加操作。
[0234]当系统管理条目为报表时，登录内管系统的管理员或操作员可以对报表进行查询、修改、增加、删除等操作。管理员或者操作员可以对内管系统管理的各项条目状态生成报表，也可以查询、修改、增加、删除报表，此外还可以系统管理的数据项进行分类，为客户提供定制的数据项报表。报表的内容可以覆盖内管系统的所有管理条目的信息以及所有可配置的参数信息，以及其他与交易相关的信息。
[0235]当系统管理条目为黑名单时，登录内管系统的管理员或操作员可以对黑名单进行查询、修改、增加、删除等操作。内管系统可以维持一系列黑名单，例如，可以对产品(读卡终端)采取黑名单机制，将异常状态的读卡终端加入到黑名单中，也可以将系统误判的读卡终端从黑名单中删除，从而对黑名单信息进行维护。当然，当管理员或操作员需要对黑名单进行查询时，可以输入查询要素对黑名单进行查询，也可以进行默认查询，则可以查询到所有黑名单信息，并将查询结果显示出来；同样的，当管理员或操作员需要进行修改、增加、删除操作时，可以根据要素来确定，对黑名单信息进行修改、增加、删除，并存储修改、增加、删除的结果。
[0236]在本发明的一个实施例中，待配置条目包括:内管子系统参数、认证安全控制模块参数、读卡终端APP参数、黑名单策略和/或频度管控策略;获取参数配置指令对应的待配置条目和更新参数，根据更新参数对待配置条目的参数进行配置包括:获取参数配置指令对应的待配置条目和更新参数，并判断待配置条目的类型；如果待配置条目为内管子系统参数，则根据更新参数，对内管子系统的参数进行配置;如果待配置条目为认证安全控制模块参数，则根据更新参数，对认证安全控制模块的参数进行配置;如果待配置条目为读卡终端APP参数，则根据更新参数，对读卡终端APP参数进行配置;如果待配置条目为黑名单策略，则根据更新参数，对黑名单策略进行配置;如果待配置条目为频度管控策略，则根据更新参数，对频度管控策略进行配置。
[0237]当登录到内管系统的用户需要执行参数配置指令时，则该用户需要具备管理员或者运行员权限，在验证该登录用户的权限匹配通过时，才能允许该登录用户对参数配置指令进行处理。以下对各个待配置条目的操作分别进行详细说明:
[0238]当待配置条目为内管子系统参数时，主要实现的是对内管子系统的运行参数进行配置，如设置鉴权码生成规则、设置认证安全控制模块检测时间间隔等。具体来说，内管系统接收参数配置指令，根据参数配置指令确定待配置条目，判断待配置条目的类型为内管子系统参数时，跳转到内管子系统参数配置的流程，通过键盘或其他输入设备获取确定的内管子系统参数配置对应的更新参数，例如，管理员或者运行员为认证安全控制模块检测时间间隔进行配置时，则通过键盘输入要设定的时间间隔作为更新参数。配置好的内管子系统参数可以为云认证平台提供统一的参数设置，方便其他系统通过内管系统方便地获取到内管子系统的参数信息。
[0239]当待配置条目为认证安全控制模块参数时，主要实现对认证安全控制模块的各项参数配置，并将更新的参数信息发送至认证安全控制模块，以便认证安全控制模块可以执行。具体来说，内管系统接收参数配置指令，根据参数配置指令确定待配置条目，判断待配置条目的类型为认证安全控制模块参数时，跳转到认证安全控制模块参数配置的流程，通过键盘或其他输入设备获取确定的认证安全控制模块参数配置对应的更新参数，利用该更新参数对认证安全控制模块进行配置，即将更新后的认证安全控制模块参数信息发送至认证安全控制模块以便其执行。
[0240]当待配置条目为读卡终端APP参数时，主要实现维护客户端软件的版本更新以及发布读卡终端APP软件。当读卡终端APP需要更新时，管理员或者运行员可以通过内管系统配置读卡终端APP参数，例如，将读卡终端APP的版本号进行更新，以便客户端检测到新版本后进行软件的自动更新。此外，当需要进行版本更新时，内管系统还存储有更新的读卡终端APP软件，以方便客户进行下载更新。
[0241]当待配置条目为黑名单策略时，主要实现的是对黑名单策略进行配置，为系统判断读卡终端是否异常行为提供依据。黑名单策略可以是为读卡终端的异常行为设定门槛，超过预设门槛的读卡终端被判断为发生了异常行为，可以将其纳入黑名单中；同时还可以设定从黑名单中释放的策略，例如设置异常行为消除的判断基准，当判断出异常行为消除时，则可以将其从黑名单中释放出来。当然，可以根据实际需求从其他方面设置不同的黑名单策略。具体来说，内管系统接收参数配置指令，根据参数配置指令确定待配置条目，判断待配置条目的类型为内名单策略时，跳转到黑名单策略配置的流程，通过键盘或其他输入设备获取确定的黑名单策略对应的更新参数，利用该更新参数对黑名单策略进行配置。
[0242]当待配置条目为频度管控策略时，主要实现的是设置读卡终端的访问时间间隔，为调度系统进行频度管控提供依据。由于读卡终端频繁的访问会造成后台系统的崩溃，因此需要对读卡终端的访问时间间隔进行合理的设置，一旦读卡终端的访问时间间隔小于预设的合法访问时间间隔时，可以将该读卡终端的行为判断为异常行为。具体来说，内管系统接收参数配置指令，根据参数配置指令确定待配置条目，判断待配置条目的类型为频度管控策略时，跳转到频度管控策略配置的流程，通过键盘或其他输入设备获取确定的频度管控策略配置对应的更新参数，利用该更新参数对频度管控策略进行配置。例如，当确定
0.1S70为最低的访问频率时，低于0.1S70间隔的访问将被视为异常行为，则可以通过键盘或者其他输入设备输入参数0.1S70，以配置频度管控策略，当然，还可以从频度管控的开启时间、级别等其他方面对频度管控策略进行设置。
[0243]尽管上面已经示出和描述了本发明的实施例，可以理解的是，上述实施例是示例性的，不能理解为对本发明的限制，本领域的普通技术人员在不脱离本发明的原理和宗旨的情况下在本发明的范围内可以对上述实施例进行变化、修改、替换和变型。本发明的范围由所附权利要求及其等同限定。
【主权项】
1.一种身份证读取响应方法，其特征在于，包括: 调度服务器，获取读卡终端的标识信息，根据所述标识信息判断是否允许所述读卡终端读取身份证； 在确定允许所述读卡终端读取身份证的情况下，所述调度服务器在接收到所述读卡终端发送的加密寻卡请求后，从认证数据库获取所述调度服务器的管辖范围内的各个认证安全控制模块的工作状态，根据各个认证安全控制模块的工作状态，选择一个认证安全控制丰旲块; 所述调度服务器将选择的所述认证安全控制模块的标识信息发送给所述读卡终端； 所述选择的认证安全控制模块获取所述读卡终端发送的寻卡请求，将所述寻卡请求发送给与所述选择的认证安全控制模块对应的验证安全控制模块； 所述对应的验证安全控制模块对接收所述寻卡请求，对所述寻卡请求进行确认，将确认结果信息发送给所述选择的认证安全控制模块； 所述选择的认证安全控制模块获取会话密钥，使用所述会话密钥对所述确认结果信息进行加密，将加密的所述确认结果信息发送给所述读卡终端； 所述选择的认证安全控制模块接收所述读卡终端发送第一数据包，其中，所述第一数据包包括:所述读卡终端对读取到的身份证原始密文信息进行加密得到的身份证密文；所述选择的认证安全控制模块使用所述会话密钥对所述身份证密文进行解密，得到所述身份证原始密文信息，将所述身份证原始密文信息发送给所述对应的验证安全模块；所述对应的验证安全模块对所述身份证原始密文信息进行解密，得到身份证明文信息，将所述身份证明文信息返回给所述选择的认证安全控制模块； 所述选择的认证安全控制模块使用所述会话密钥对所述身份证明文信息进行加密，将第二数据包发送给所述读卡终端，其中，所述第二数据包包括:加密的所述身份证明文信息。2.根据权利要求1所述的方法，所述调度服务器获取读卡终端的标识信息包括: 所述调度服务器接收所述读卡终端发送的接入请求，从所述接入请求中获取所述读卡终端的标识信息;或者， 所述调度服务器接收所述读卡终端发送的身份证请求，从所述身份证请求中获取所述读卡终端的标识信息，其中，所述身份证请求中携带有所述寻卡请求、所述读卡终端的标识?目息O3.根据权利要求1所述的方法，其特征在于，所述读卡终端的标识信息包括:所述读卡终端的数字证书;所述调度服务器判断是否允许所述读卡终端读取身份证包括: 判断所述读卡终端的数字证书是否异常，如果是，则确定不允许所述读卡终端读取身份证，否则判断所述读卡终端的数字证书是否在黑名单或管控名单中，其中，所述黑名单中记录了不允许接入的读卡终端的数字证书，所述管控名单中记录了需要按照预设的管控策略对其接入进行控制的读卡终端的数字证书； 在判断所述读卡终端的数字证书在所述黑名单中的情况下，不允许所述读卡终端读取身份证，拒绝所述读卡终端的请求； 在判断所述读卡终端的数字证书在所述管控名单中的情况下，按照所述预设的管控策略判断是否允许所述读卡终端读取身份证。4.根据权利要求1所述的方法，其特征在于，所述读卡终端的标识信息包括:所述读卡终端的序列号以及所述读卡终端的数字证书;所述调度服务器判断是否允许所述读卡终端读取身份证，包括: 判断所述读卡终端的数字证书是否异常，如果是，则确定不允许所述读卡终端读取身份证，否则，判断所述读卡终端的数字证书或所述读卡终端的序列号是否在黑名单或管控名单中，其中，所述黑名单中记录了不允许读取身份证的读卡终端的标识信息，所述管控名单中记录了需要按照预设的管控策略对读取身份证操作进行控制的读卡终端的标识信息；在判断所述读卡终端的数字证书或所述读卡终端的序列号在所述黑名单中的情况下，不允许所述读卡终端读取身份证，拒绝所述读卡终端的请求； 在判断所述读卡终端的数字证书或所述读卡终端的序列号在所述管控名单中的情况下，按照所述预设的管控策略判断是否允许所述读卡终端读取身份证。5.根据权利要求3或4所述的方法，其特征在于，在判断所述读卡终端的标识信息在所述管控名单中的情况下，判断是否允许所述读卡终端读取身份证至少包括以下之一: 根据所述预设的管控策略，判断所述读卡终端当前是否处于允许的接入位置范围，如果是，则允许所述读卡终端读取身份证，否则，不允许所述读卡终端读取身份证，拒绝所述读卡终端的请求，其中，所述预设的管控策略中记录了所述读卡终端允许的接入位置范围；根据所述预设的管控策略，判断当前时间是否在允许所述读卡终端接入的时间范围内，如果是，则允许所述读卡终端读取身份证，否则，不允许所述读卡终端读取身份证，拒绝所述读卡终端的请求，其中，所述预设的管控策略中记录了允许所述读卡终端接入的时间范围； 根据所述预设的管控策略，判断在预设时间段内，所述读卡终端的历史接入次数是否超过预设次数阈值，如果是，则不允许所述读卡终端读取身份证，拒绝所述读卡终端的请求，否则，允许所述读卡终端读取身份证，其中，所述预设的管控策略中记录了预设时间段的时长以及所述预设次数阈值； 根据所述预设的管控策略，判断在预设时间段内，所述读卡终端连续两次接入的接入位置之间的距离是否超过预设距离，如果是，则不允许所述读卡终端读取身份证，拒绝所述读卡终端的请求，否则，允许所述读卡终端读取身份证，其中，所述预设的管控策略中记录了预设时间段的时长以及所述预设距离； 根据所述预设的管控策略，判断所述读卡终端连续两次接入的时间间隔是否超过预设值，如果是，则不允许所述读卡终端读取身份证，拒绝所述读卡终端的请求，否则，允许所述读卡终端读取身份证，其中，所述预设的管控策略中记录了预设时间段的时长以及所述预设距离。6.根据权利要求3或4所述的方法，其特征在于，将加密的所述确认结果信息发送给所述读卡终端之后，所述方法还包括: 所述选择的认证安全控制模块接收所述加密身份证标识信息，对所述加密身份证标识信息进行解密，将解密得到的身份证标识信息返回给所述调度服务器； 所述调度服务器接收所述身份证标识信息，至少根据所述身份证标识信息、所述读卡终端的标识信息、以及预先设定的策略，判断是否将所述读卡终端的标识信息加入所述黑名单或所述管控名单。7.根据权利要求6所述的方法，其特征在于，所述调度服务器接收所述身份证标识信息之后，所述方法还包括:所述调度服务器判断所述身份证标识信息是否在身份证黑名单中，如果是，则向所述选择的认证安全控制模块发送指示信息，指示所述读卡终端当前读取的身份证非法。8.根据权利要求1至7任一项所述的方法，其特征在于，在所述调度服务器选择一个认证安全控制模块之后，所述方法还包括: 所述调度服务器从所述认证数据库中获取所述发送请求的读卡终端的加密密钥的密文，向选择的所述认证安全控制模块发送数据信息，其中，所述读卡终端的加密密钥的密文为使用所述认证数据库的保护密钥分别对各个读卡终端的加密密钥进行加密得到的，所述数据信息包括:所述读卡终端的加密密钥的密文； 所述选择的认证安全控制模块使用所述认证数据库的保护密钥对所述读卡终端的加密密钥的密文进行解密，得到所述读卡终端的加密密钥。9.根据权利要求8所述的方法，其特征在于， 所述选择的认证安全控制模块获取的所述寻卡请求为使用所述读卡终端的加密密钥进行加密的密文； 将所述寻卡请求发送给与所述选择的认证安全控制模块对应的验证安全控制模块，包括:所述选择的认证安全控制模块使用所述读卡终端的加密密钥对所述寻卡请求进行解密，将解密得到的寻卡请求发送给与所述对应的验证安全控制模块处理。10.根据权利要求1至9任一项所述的方法，其特征在于，所述选择的认证安全控制模块获取所述读卡终端发送的寻卡请求包括: 接收所述调度服务器转发的所述寻卡请求;或 接收所述读卡终端在接收到所述选择的认证安全控制模块的标识信息之后，发送的所述寻卡请求。11.根据权利要求1至10任一项所述的方法，其特征在于， 在将加密的所述确认结果信息发送给所述读卡终端之后，在接收所述读卡终端发送的所述身份证密文之前，所述方法还包括: 所述选择的认证安全控制模块接收所述读卡器发送的加密读卡请求，使用所述会话密钥对所述加密读卡请求进行解密，得到所述读卡请求，将所述读卡请求发送给所述对应的验证安全控制模块； 所述对应的验证安全控制模块收所述读卡请求，生成第一认证因子，将所述第一认证因子发送给所述选择的认证安全控制模块； 所述选择的认证安全控制模块使用所述会话密钥对所述第一认证因子进行加密，将加密后的所述第一认证因子发送给所述读卡终端；以及接收所述读卡终端返回的第一密文和第一签名值，利用所述读卡终端的签名证书对所述第一签名值进行验签，在对所述第一签名值进行签名验证通过后，利用所述会话密钥对所述第一密文进行解密，得到第一认证数据和第二认证因子，将所述第一认证数据和所述第二认证因子发送给所述对应的验证安全控制模块，其中，所述第一认证数据为所述读卡终端读取的身份证对所述第一认证因子进行加密得到的，所述第二认证因子为所述身份证生成的，所述第一密文为所述读卡终端使用所述会话密钥对所述第一认证数据和所述第二认证因子进行加密得的，所述第一签名值为所述读卡终端使用所述读卡终端的签名私钥对所述第一密文进行签名得到的； 所述对应的验证安全模块对所述第一认证数据进行验证，在对所述第一认证数据进行验证通过后，对所述第二认证因子进行加密，得到第二认证数据，将所述第二认证数据发送给所述选择的认证安全控制模块； 所述选择的认证安全控制模块利用所述会话密钥对所述第二认证数据进行加密，得到第二密文，以及利用所述选择的认证安全控制模块的签名私钥对所述第二密文进行签名，得到第二签名值，向所述读卡终端发送所述第二密文和所述第二签名值。12.根据权利要求1至10任一项所述的方法，其特征在于， 所述第一数据包还包括:所述读卡终端对所述身份证密文进行签名得到的签名值；在将所述身份证原始密文信息发送给所述对应的验证安全模块之前，所述方法还包括:所述选择的认证安全控制模块对所述签名值进行验签，验签通过的情况下，才执行在将所述身份证原始密文信息发送给所述对应的验证安全模块的操作； 所述第二数据包还包括:所述选择的认证安全控制模块对所述加密的身份证明文信息进行签名得到的签名值。13.根据权利要求1至10任一项所述的方法，其特征在于， 在从所述工作状态表中选择一个认证安全控制模块之后，所述方法还包括:所述调度服务器生成鉴权码，将所述鉴权码分别发送给所述读卡终端和所述选择的认证数据库；所述认证数据库存储所述鉴权码，并在所述鉴权码的有效期到达时，删除所述鉴权码；所述第一数据包还包括:所述鉴权码的密文;在接收到所述第一数据包之后，在将所述身份证原始密文信息发送给所述对应的验证安全模块之前，所述方法还包括:所述选择的认证安全控制模块对所述鉴权码的密文进行解密，得到所述鉴权码，查询所述认证数据库中是否存储有所述鉴权码，如果是，则继续后续操作，否则，不执行后续操作。14.根据权利要求1至10任一项所述的方法，其特征在于，在所述调度服务器选择一个认证安全控制模块之前，所述方法还包括: 所述调度服务器在选择的所述认证安全控制模块上电时，向所述选择的认证安全控制模块发送待签名数据； 所述选择的认证安全控制模块使用签名私钥对所述待签名数据进行签名得到的签名数据，将包括所述签名数据、所述签名私钥对应的签名公钥证书、以及所述选择的认证安全控制模块的加密公钥证书的认证数据返回给所述调度服务器； 所述调度服务器接收所述选择的认证安全控制模块返回的所述认证数据，判断所述签名公钥证书以及所述加密公钥证书是否处理异常状态； 在判断所述签名公钥证书以及所述加密公钥证书不是处理异常状态的情况下，将所述待签名数据以及所述认证数据发送给所述授权服务器； 所述授权服务器通过连接的授权电子签名设备校验所述签名公钥证书以及所述加密公钥证书是否分配给同一读卡终端的，如果是，则验证所述签名数据是否正确，如果是，则所述选择的认证安全控制模块的身份认证通过，否则，所述选择的认证安全模块的身份认证不通过； 所述授权服务器在所述选择的认证安全控制模块的身份认证通过的情况下，通过所述授权电子签名设备对所述认证数据库的保护密钥进行加密后发送给所述调度服务器；以及在所述选择的认证安全控制模块的身份认证不通过的情况下发出警告信息； 所述调度服务器将加密的所述认证数据库的保护密钥发送给所述选择的认证安全控制丰旲块; 所述选择的认证安全控制模块对加密的所述认证数据库的保护密钥进行解密，得到所述认证数据库的保护密钥。15.根据权利要求14所述的方法，其特征在于，所述选择的认证安全控制模块得到所述认证数据库的保护密钥之后，所述方法还包括:所述认证安全控制模块将得到的所述认证数据库的保护密钥存储在RAM中，且禁止将所述认证数据库的保护密钥保存在flash中。16.根据权利要求1至10任一项所述的方法，其特征在于，在所述调度服务器选择一个认证服务器之后，所述方法还包括:所述调度服务器更新所述认证数据库存储的所述选择的认证安全控制模块的工作状态。
【文档编号】H04L29/06GK106027477SQ201610041715
【公开日】2016年10月12日
【申请日】2016年1月21日
【发明人】李明
【申请人】李明