技術領域

本發明涉及通信領域，具體而言，涉及一種應用接入智能卡的認證方法、裝置和系統。

背景技術

隨著網絡的升級，移動終端應用和移動業務也不斷增多，使得移動用戶的生活得到了極大的便利。這些移動業務的普及使得對用戶的安全認證和對信息的安全保護越來越重要，用戶也越來越關心自身信息的安全問題。移動支付和企業信息化系統等尤其需要用戶身份的可靠驗證和信息的安全保護以確保交易和信息的安全。

智能卡是抗破壞性高的安全設備，并且便于攜帶，同時還可基于密碼學達到很高的安全水平。因此，將移動應用認證相關的數據存儲在智能卡上，并利用智能卡完成鑒權認證是比較安全、可靠和方便的一種安全措施，同時也可以在智能卡上實現生成密鑰對、完成數字簽名等功能。但是由于終端沒有開放應用直接訪問智能卡的接口，因此導致了智能卡上的數據或功能不能被終端應用調用。

由于目前還沒有一種可以通過智能卡完成應用接入的鑒權認證的方式，使得智能卡上的數據或功能不能被終端的應用調用，而導致智能卡資源浪費。

針對上述的問題，目前尚未提出有效的解決方案。

發明內容

本發明實施例提供了一種應用接入智能卡的認證方法、裝置和系統，以至少解決現有技術中沒有一種可以通過智能卡完成應用接入的鑒權認證的方式，使得智能卡上的數據或功能不能被終端的應用調用，業務的安全性得不到保證的技術問題。

根據本發明實施例的一個方面，提供了一種應用接入智能卡的認證方法，包括：智能卡接收應用發送的接入請求，將接入請求的認證信息發送給應用；智能卡接收認證信息的認證響應，其中，應用從智能卡的卡發行商服務器獲取認證響應并發送至智能卡；當智能卡對認證響應驗證通過時，允許應用接入到智能卡。

優選地，應用從智能卡的卡發行商服務器獲取認證響應，包括：應用利用應用提供商服務器從卡發行商服務器獲取認證響應。

優選地，應用利用應用提供商服務器從卡發行商服務器獲取認證響應，包括：應用和應用提供商服務器之間進行相互認證并建立第一安全連接，應用通過第一安全連接將認證信息發送給應用提供商服務器；應用提供商服務器和卡發行商服務器之間進行相互認證并建立第二安全連接，應用提供商服務器通過第二安全連接將認證信息轉發給卡發行商服務器；卡發行商服務器接收應用提供商服務器轉發的認證信息；當卡發行商服務器對認證信息驗證通過后，卡發行商服務器根據認證信息生成認證響應；卡發行商服務器通過第二安全連接將認證響應發送給應用提供商服務器，由應用提供商服務器通過第一安全連接將認證響應轉發至應用。

優選地，卡發行商服務器根據認證信息生成認證響應，包括：卡發行商服務器根據智能卡標識查找與智能卡對應的根密鑰，其中，根密鑰是卡發行商服務器為每一張智能卡分配的密鑰信息，智能卡與根密鑰一一對應，認證信息攜帶有所述智能卡的智能卡標識和智能卡為所述應用本次接入所生成的隨機數；卡發行商服務器根據根密鑰和隨機數生成認證響應。

優選地，認證響應攜帶有第一認證內容和第一臨時會話密鑰，其中，卡發行商服務器利用第一臨時會話密鑰對認證響應進行加密傳輸。

優選地，智能卡接收認證信息的認證響應之后，還包括：智能卡根據認證信息中的隨機數和自身的根密鑰按照和卡發行商服務器對應的方式生成第二認證內容和第二臨時會話密鑰；智能卡根據第二會話密鑰對認證響應進行解密，如果解密成功，則對解密得到的第一認證內容和第二認證內容進行比較，如果相同，則表明驗證成功。

優選地，智能卡接入應用，包括：智能卡使用第一臨時會話密鑰和第二臨時會話密鑰在自身和應用之間建立安全信道；智能卡通過安全信道與應用進行信息交互。

優選地，智能卡將應用接入智能卡之后，還包括：當應用關閉時，智能卡釋放安全信道；智能卡刪除第二臨時會話密鑰。

優選地，認證信息攜帶有應用本次接入時智能卡的第一序列號。

優選地，第一序列號按如下步驟生成：智能卡在自身存儲的第二序列號上增加預定值，得到第三序列號；智能卡判斷第三序列號是否大于預定閾值；若是，則將預設初始值賦值給第一序列號和第二序列號；若否，則將第三序列號賦值給第一序列號和第二序列號。

優選地，卡發行商服務器根據認證信息生成認證響應，包括：卡發行商服務器從認證信息中獲取第一序列號和智能卡標識；卡發行商服務器根據智能卡標識查找自身存儲的對應于該智能卡的第四序列號；卡發行商服務器根據第一序列號和第四序列號進行驗證，在驗證通過后，卡發行商服務器生成認證響應。