应用接入智能卡的认证方法、装置和系统制造方法及图纸

本发明专利技术公开了一种应用接入智能卡的认证方法、装置和系统，其中，该方法包括：智能卡接收应用发送的接入请求，将接入请求的认证信息发送给应用；智能卡接收认证信息的认证响应，其中，应用从智能卡的卡发行商服务器获取认证响应并发送至智能卡；当智能卡对认证响应验证通过时，允许应用接入智能卡。本发明专利技术解决了现有技术中没有一种可以通过智能卡完成应用接入的鉴权认证的方式，使得智能卡上的数据或功能不能被终端的应用调用，业务的安全性得不到保证的技术问题，实现了智能卡对请求接入智能卡的应用进行接入控制，使得终端应用可以将业务认证相关数据部署到智能卡上，提高了业务的安全性。

【技术实现步骤摘要】
应用接入智能卡的认证方法、装置和系统
本专利技术涉及通信领域，具体而言，涉及一种应用接入智能卡的认证方法、装置和系统。
技术介绍
随着网络的升级，移动终端应用和移动业务也不断增多，使得移动用户的生活得到了极大的便利。这些移动业务的普及使得对用户的安全认证和对信息的安全保护越来越重要，用户也越来越关心自身信息的安全问题。移动支付和企业信息化系统等尤其需要用户身份的可靠验证和信息的安全保护以确保交易和信息的安全。智能卡是抗破坏性高的安全设备，并且便于携带，同时还可基于密码学达到很高的安全水平。因此，将移动应用认证相关的数据存储在智能卡上，并利用智能卡完成鉴权认证是比较安全、可靠和方便的一种安全措施，同时也可以在智能卡上实现生成密钥对、完成数字签名等功能。但是由于终端没有开放应用直接访问智能卡的接口，因此导致了智能卡上的数据或功能不能被终端应用调用。由于目前还没有一种可以通过智能卡完成应用接入的鉴权认证的方式，使得智能卡上的数据或功能不能被终端的应用调用，而导致智能卡资源浪费。针对上述的问题，目前尚未提出有效的解决方案。
技术实现思路
本专利技术实施例提供了一种应用接入智能卡的认证方法、装置和系统，以至少解决现有技术中没有一种可以通过智能卡完成应用接入的鉴权认证的方式，使得智能卡上的数据或功能不能被终端的应用调用，业务的安全性得不到保证的技术问题。根据本专利技术实施例的一个方面，提供了一种应用接入智能卡的认证方法，包括：智能卡接收应用发送的接入请求，将接入请求的认证信息发送给应用；智能卡接收认证信息的认证响应，其中，应用从智能卡的卡发行商服务器获取认证响应并发送至智能卡；当智能卡对认证响应验证通过时，允许应用接入到智能卡。优选地，应用从智能卡的卡发行商服务器获取认证响应，包括：应用利用应用提供商服务器从卡发行商服务器获取认证响应。优选地，应用利用应用提供商服务器从卡发行商服务器获取认证响应，包括：应用和应用提供商服务器之间进行相互认证并建立第一安全连接，应用通过第一安全连接将认证信息发送给应用提供商服务器；应用提供商服务器和卡发行商服务器之间进行相互认证并建立第二安全连接，应用提供商服务器通过第二安全连接将认证信息转发给卡发行商服务器；卡发行商服务器接收应用提供商服务器转发的认证信息；当卡发行商服务器对认证信息验证通过后，卡发行商服务器根据认证信息生成认证响应；卡发行商服务器通过第二安全连接将认证响应发送给应用提供商服务器，由应用提供商服务器通过第一安全连接将认证响应转发至应用。优选地，卡发行商服务器根据认证信息生成认证响应，包括：卡发行商服务器根据智能卡标识查找与智能卡对应的根密钥，其中，根密钥是卡发行商服务器为每一张智能卡分配的密钥信息，智能卡与根密钥一一对应，认证信息携带有所述智能卡的智能卡标识和智能卡为所述应用本次接入所生成的随机数；卡发行商服务器根据根密钥和随机数生成认证响应。优选地，认证响应携带有第一认证内容和第一临时会话密钥，其中，卡发行商服务器利用第一临时会话密钥对认证响应进行加密传输。优选地，智能卡接收认证信息的认证响应之后，还包括：智能卡根据认证信息中的随机数和自身的根密钥按照和卡发行商服务器对应的方式生成第二认证内容和第二临时会话密钥；智能卡根据第二会话密钥对认证响应进行解密，如果解密成功，则对解密得到的第一认证内容和第二认证内容进行比较，如果相同，则表明验证成功。优选地，智能卡接入应用，包括：智能卡使用第一临时会话密钥和第二临时会话密钥在自身和应用之间建立安全信道；智能卡通过安全信道与应用进行信息交互。优选地，智能卡将应用接入智能卡之后，还包括：当应用关闭时，智能卡释放安全信道；智能卡删除第二临时会话密钥。优选地，认证信息携带有应用本次接入时智能卡的第一序列号。优选地，第一序列号按如下步骤生成：智能卡在自身存储的第二序列号上增加预定值，得到第三序列号；智能卡判断第三序列号是否大于预定阈值；若是，则将预设初始值赋值给第一序列号和第二序列号；若否，则将第三序列号赋值给第一序列号和第二序列号。优选地，卡发行商服务器根据认证信息生成认证响应，包括：卡发行商服务器从认证信息中获取第一序列号和智能卡标识；卡发行商服务器根据智能卡标识查找自身存储的对应于该智能卡的第四序列号；卡发行商服务器根据第一序列号和第四序列号进行验证，在验证通过后，卡发行商服务器生成认证响应。优选地，卡发行商服务器根据第一序列号和第四序列号进行验证，包括：卡发行商服务器判断第一序列号是否大于或等于第四序列号，如果大于或等于，则验证成功，卡发行商服务器将第一序列号赋值给第四序列号。优选地，卡发行商服务器将第一序列号赋值给第四序列号之后，还包括：卡发行商服务器判断第一序列号加上预定值后是否大于预定阈值，如果大于，则卡发行商服务器将预设初始值赋值给第四序列号。根据本专利技术实施例的另一方面，提供了一种应用接入智能卡的认证装置，位于智能卡中，包括：第一接收单元，用于接收应用发送的接入请求，将接入请求的认证信息发送给应用；第二接收单元，用于接收认证信息的认证响应，其中，应用从智能卡的卡发行商服务器获取认证响应并发送至智能卡；接入单元，用于当智能卡对认证响应验证通过时，允许应用接入到智能卡。优选地，该装置还包括：第一生成单元，用于当认证响应携带有第一认证内容和第一临时会话密钥时，在接收认证信息的认证响应之后，根据认证信息中的随机数和自身的根密钥按照和卡发行商服务器对应的方式生成第二认证内容和第二临时会话密钥；解密单元，用于根据第二会话密钥对认证响应进行解密，如果解密成功，则对解密得到的第一认证内容和第二认证内容进行比较，如果相同，则表明验证成功。优选地，接入单元包括：接入模块，用于使用第一临时会话密钥和第二临时会话密钥在自身和应用之间建立安全信道；交互模块，用于通过安全信道与应用进行信息交互。优选地，该装置还包括：第二生成单元，用于生成携带有应用本次接入时智能卡的第一序列号的认证信息。优选地，第二生成单元包括：增加模块，用于在自身存储的第二序列号上增加预定值，得到第三序列号；判断模块，用于判断第三序列号是否大于预定阈值；第一赋值模块，用于在判断出第三序列号大于预定阈值时，将预设初始值赋值给第一序列号和第二序列号；第二赋值模块，用于在判断出第三序列号不大于预定阈值时，将第三序列号赋值给第一序列号和第二序列号。根据本专利技术实施例的又一方面，提供了另一种应用接入智能卡的认证装置，位于卡发行商服务器中，包括：第三接收单元，用于应用发送的认证信息，其中，认证信息携带有智能卡的智能卡标识和/或智能卡为应用本次接入所生成的随机数；第三生成单元，用于根据认证信息生成认证响应，并将认证响应发送给应用。优选地，第三生成单元包括：获取模块，用于从认证信息中获取第一序列号和智能卡标识；第二查找模块，用于根据智能卡标识查找自身存储的对应于该智能卡的第四序列号；验证模块，用于根据第一序列号和第四序列号进行验证，在验证通过后，生成认证响应。优选地，第三生成单元包括：第一查找模块，用于器根据智能卡标识查找与智能卡对应的根密钥，其中，根密钥是卡发行商服务器为每一张智能卡分配的密钥信息，智能卡与根密钥一一对应；第一生成模块，用于根据根密钥和随机数生成认证响应。优选地，第三生成单元本文档来自技高网...

【技术保护点】
一种应用接入智能卡的认证方法，其特征在于，包括：智能卡接收应用发送的接入请求，将所述接入请求的认证信息发送给所述应用；所述智能卡接收所述认证信息的认证响应，其中，所述应用从所述智能卡的卡发行商服务器获取所述认证响应并发送至所述智能卡；当所述智能卡对所述认证响应验证通过时，允许所述应用接入到所述智能卡。

【技术特征摘要】
1.一种应用接入智能卡的认证方法，其特征在于，包括：智能卡接收应用发送的接入请求，将所述接入请求的认证信息发送给所述应用，其中，所述认证信息携带有智能卡的智能卡标识；所述智能卡接收所述认证信息的认证响应，其中，所述应用从所述智能卡的卡发行商服务器获取所述认证响应并发送至所述智能卡；当所述智能卡对所述认证响应验证通过时，允许所述应用接入到所述智能卡。2.根据权利要求1所述的方法，其特征在于，所述应用从所述智能卡的卡发行商服务器获取所述认证响应，包括：所述应用利用应用提供商服务器从所述卡发行商服务器获取所述认证响应。3.根据权利要求2所述的方法，其特征在于，所述应用利用应用提供商服务器从所述卡发行商服务器获取所述认证响应，包括：所述应用和所述应用提供商服务器之间进行相互认证并建立第一安全连接，所述应用通过所述第一安全连接将所述认证信息发送给所述应用提供商服务器；所述应用提供商服务器和所述卡发行商服务器之间进行相互认证并建立第二安全连接，所述应用提供商服务器通过所述第二安全连接将所述认证信息转发给所述卡发行商服务器；所述卡发行商服务器接收所述应用提供商服务器转发的所述认证信息；当所述卡发行商服务器对所述认证信息验证通过后，所述卡发行商服务器根据所述认证信息生成所述认证响应；所述卡发行商服务器通过所述第二安全连接将所述认证响应发送给所述应用提供商服务器，由所述应用提供商服务器通过所述第一安全连接将所述认证响应转发至所述应用。4.根据权利要求3所述的方法，其特征在于，所述卡发行商服务器根据所述认证信息生成所述认证响应，包括：所述卡发行商服务器根据智能卡标识查找与所述智能卡对应的根密钥，其中，所述根密钥是所述卡发行商服务器为每一张智能卡分配的密钥信息，所述智能卡与所述根密钥一一对应，所述认证信息携带有所述智能卡的智能卡标识和所述智能卡为所述应用本次接入所生成的随机数；所述卡发行商服务器根据所述根密钥和所述随机数生成所述认证响应。5.根据权利要求4所述的方法，其特征在于，所述认证响应携带有第一认证内容和第一临时会话密钥，其中，所述卡发行商服务器利用所述第一临时会话密钥对所述认证响应进行加密传输。6.根据权利要求5所述的方法，其特征在于，所述智能卡接收所述认证信息的认证响应之后，还包括：所述智能卡根据所述认证信息中的随机数和自身的根密钥按照和所述卡发行商服务器对应的方式生成第二认证内容和第二临时会话密钥；所述智能卡根据所述第二临时会话密钥对所述认证响应进行解密，如果解密成功，则对解密得到的所述第一认证内容和所述第二认证内容进行比较，如果相同，则表明验证成功。7.根据权利要求6所述的方法，其特征在于，所述智能卡接入所述应用，包括：所述智能卡使用所述第一临时会话密钥和所述第二临时会话密钥在自身和所述应用之间建立安全信道；所述智能卡通过所述安全信道与所述应用进行信息交互。8.根据权利要求7所述的方法，其特征在于，所述智能卡将所述应用接入所述智能卡之后，还包括：当所述应用关闭时，所述智能卡释放所述安全信道；所述智能卡删除所述第二临时会话密钥。9.根据权利要求1所述的方法，其特征在于，所述认证信息携带有所述应用本次接入时所述智能卡的第一序列号。10.根据权利要求9所述的方法，其特征在于，所述第一序列号按如下步骤生成：所述智能卡在自身存储的第二序列号上增加预定值，得到第三序列号；所述智能卡判断所述第三序列号是否大于预定阈值；若是，则将预设初始值赋值给所述第一序列号和所述第二序列号；若否，则将所述第三序列号赋值给所述第一序列号和所述第二序列号。11.根据权利要求10所述的方法，其特征在于，所述卡发行商服务器根据所述认证信息生成认证响应，包括：所述卡发行商服务器从所述认证信息中获取所述第一序列号和所述智能卡标识；所述卡发行商服务器根据所述智能卡标识查找自身存储的对应于该智能卡的第四序列号；所述卡发行商服务器根据所述第一序列号和所述第四序列号进行验证，在验证通过后，所述卡发行商服务器生成所述认证响应。12.根据权利要求11所述的方法，其特征在于，所述...

【专利技术属性】
技术研发人员：曹岚健，余万涛，
申请(专利权)人：中兴通讯股份有限公司，
类型：发明
国别省市：