技術領域

本發明涉及信息安全領域，尤其涉及一種安全認證和傳輸的方法和系統。

背景技術

隨著智能卡技術的快速發展，智能卡的應用領域十分廣泛。智能卡作為關系國計民生的物質載體，其安全關系到人民的財產安全。因此，為進一步保證信息安全，需要改進現有技術方式。

在現有技術中，對數據的加密主要用對稱密鑰技術加密方法。在對稱加密技術中，數據發信方將明文和加密密鑰一起經過特殊加密算法處理后，將其變成密文發送出去。收信方收到密文后，使用與加密過程相同的密鑰和算法對密文進行解密。在對稱密鑰技術中，使用的密鑰只有一個，發信和收信雙方都使用這個密鑰對數據進行加密和解密。

根據上述描述可以看出，一旦對稱密鑰被攻破，整套安全體系的根基將不復存在。為了保證密鑰的安全，為避免因網絡攻擊等可能引起的密鑰泄露，對稱密鑰技術中的密碼機一般與公網隔離，放置于內網或局域網中。

發明內容

本發明實施例提供了一種安全認證和傳輸的方法和系統，能夠解決密碼機放在公用網絡上的身份認證問題和密鑰安全問題。

一方面，本發明實施例提供了一種安全認證和傳輸的方法，所述方法包括：

對要發送的原始數據用對稱密鑰進行加密，生成對稱密鑰加密后的原始數據；

將所述對稱密鑰加密后的原始數據用非對稱密鑰中的私鑰進行數字簽名，將對稱密鑰加密后的原始數據、數字簽名和數字證書發送出去；

接收所述對稱密鑰加密后的原始數據、數字簽名和數字證書，用所述數字證書中的非對稱密鑰中的公鑰驗證數字簽名；

通過驗證后，將所述對稱密鑰加密后的原始數據用對稱密鑰進行解密，獲取原始數據。

進一步地，所述對需要發送的原始數據用對稱密鑰進行加密之前，進一步包括：

獲取CPU卡安全認證識別碼，并對CPU卡安全認證識別碼進行驗證；

所述CPU卡安全認證識別碼進行驗證之后，進一步包括：

如果CPU卡安全認證識別碼通過驗證，開啟指令透傳功能，獲取CPU卡的數據作為所述原始數據；

如果CPU卡安全認證識別碼沒有通過驗證，屏蔽CPU卡。

進一步地，所述獲取CPU卡的數據作為所述原始數據之前，進一步包括：

向CPU卡發送操作指令，CPU卡根據操作指令發送所述原始數據。

進一步地，所述獲取原始數據之后，還包括：

對原始數據進行處理生成響應數據，將響應數據用對稱密鑰進行加密，生成對稱密鑰加密后的響應數據；

將對稱密鑰加密后的響應數據用數字證書中的非對稱密鑰中的私鑰進行數字簽名，將對稱密鑰加密后的響應數據、響應數據的數字簽名和數字證書發送出去；

接收所述對稱密鑰加密后的響應數據、響應數據的數字簽名和數字證書，用所述數字證書中的非對稱密鑰中的公鑰驗證數字簽名；

通過驗證后，將對稱密鑰加密后的響應數據用對稱密鑰進行解密，獲取響應數據。

進一步地，所述將響應數據用對稱密鑰進行加密之前，還包括：

根據以下條件判斷是否需要對響應數據進行加密：

當需要將對稱密鑰導出或變相實現密鑰導出時，需要對所述響應數據進行加密；

當不需要將對稱密鑰導出或變相實現密鑰導出時，不需要對所述響應數據進行加密。

另一方面，本發明實施例提供了一種安全認證和傳輸的系統，其特征在于，所述系統包括：

第一對稱加密模塊，用于對要發送的原始數據用對稱密鑰進行加密，輸出對稱密鑰加密后的原始數據；

第一數字簽名模塊，用于將所述第一對稱加密模塊輸出的對稱密鑰加密后的原始數據用非對稱密鑰中的私鑰進行數字簽名；

第一發送模塊，用于將對稱密鑰加密后的原始數據、數字簽名和數字證書發送出去；

第一接收模塊，用于接收所述對稱密鑰加密后的原始數據、數字簽名和數字證書；

第一驗證模塊，用于用所述數字證書中的非對稱密鑰中的公鑰驗證數字簽名，驗證通過后，解析獲得對稱密鑰加密后的原始數據；

第一對稱解密模塊，用于將所述對稱密鑰加密后的原始數據用對稱密鑰進行解密，獲取原始數據。

進一步地，所述系統進一步包括：

識別碼獲取模塊，用于所述在所述第一對稱加密模塊對發送的原始數據用對稱密鑰進行加密之前，獲取CPU卡安全認證識別碼；

CPU卡驗證模塊，用于對所述獲取模塊獲取的CPU卡安全認證識別碼進行驗證，輸出驗證結果；