本實用新型涉及通信安全領(lǐng)域，尤其涉及一種用于CPU卡加密認(rèn)證的云平臺、用戶設(shè)備和系統(tǒng)。

背景技術(shù)：

CPU卡因其安全性相對于普通IC卡提高很多，已經(jīng)被廣泛應(yīng)用于金融、保險、交通、政府行業(yè)等多個領(lǐng)域，具有用戶空間大、讀取速度快、支持一卡多用等特點，并已經(jīng)通過中國人民銀行和國家商秘委的認(rèn)證；CPU卡內(nèi)含有隨機(jī)數(shù)發(fā)生器，硬件DES(Data Encryption Standard，數(shù)據(jù)加密標(biāo)準(zhǔn))，3DES(Triple DES，三重數(shù)據(jù)加密算法)等，配合片上OS(Operating System，操作系統(tǒng))，可以達(dá)到金融級別的安全等級。CPU卡尤其是在金融交易和身份識別上的應(yīng)用已經(jīng)逐步代替了傳統(tǒng)方法，成為了主流的應(yīng)用技術(shù)。

傳統(tǒng)的CPU卡完成身份認(rèn)證的方式主要是通過對加密信息的目錄進(jìn)行外部認(rèn)證來完成的加密信息的讀取或修改，從而實現(xiàn)身份認(rèn)證和識別。傳統(tǒng)的CPU卡加密認(rèn)證方式如圖1所示，CPU卡認(rèn)證必須需要用到PSAM卡，PSAM卡是一種具有特殊性能的CPU卡，主要用于存放密鑰和加密算法，可完成交易中的密碼驗證和加密、相互認(rèn)證、解密運(yùn)算，主要用作身份標(biāo)志。PSAM可用于各種端末設(shè)備上，負(fù)責(zé)安全控管。

CPU卡加密算法和隨機(jī)數(shù)發(fā)生器與安裝在讀寫設(shè)備中的密鑰認(rèn)證卡(PSAM卡)相互發(fā)送認(rèn)證的隨機(jī)數(shù)，可以實現(xiàn)以下功能：

(1)通過終端設(shè)備上PSAM卡實現(xiàn)對卡的認(rèn)證。

(2)非接觸CPU卡與終端設(shè)備上的PSAM卡的相互認(rèn)證，實現(xiàn)對卡終端的認(rèn)證。

(3)通過PSAM卡對非接觸CPU卡進(jìn)行數(shù)據(jù)讀取操作，實現(xiàn)數(shù)據(jù)讀取的安全性。

(4)在終端設(shè)備與非接觸CPU卡中傳輸?shù)臄?shù)據(jù)是加密傳輸。

(5)通過對非接觸CPU卡發(fā)送給SAM卡的隨機(jī)數(shù)MAC1，PSAM卡發(fā)送給非接觸CPU的隨機(jī)數(shù)MAC2和由非接觸CPU卡返回的隨機(jī)數(shù)TAC，可以實現(xiàn)數(shù)據(jù)傳輸驗證的計算。而MAC1、MAC2和TAC就是同一張非接觸CPU卡每次傳輸?shù)倪^程中都是不同的，因此無法使用空中接收的辦法來破解非接觸CPU卡的密鑰。

但現(xiàn)有技術(shù)有很多弊端，例如依賴于硬件介質(zhì)PSAM卡，需要對PSAM卡進(jìn)行妥善保管，PSAM卡及讀卡器可能會出現(xiàn)丟失或被盜用的情況，且硬件介質(zhì)存在損壞的可能等，這無疑增加了安全認(rèn)證中的風(fēng)險。

技術(shù)實現(xiàn)要素：

本實用新型要解決的一個技術(shù)問題是提供一種用于CPU卡加密認(rèn)證的云平臺、用戶設(shè)備和系統(tǒng)能夠提高CPU卡加密認(rèn)證的安全性。

根據(jù)本實用新型一方面，提供一種用于CPU卡加密認(rèn)證的云平臺，包括依次電連接的第一信息加密單元、第一加密信息發(fā)送單元、MAC讀取命令生成單元、MAC讀取命令發(fā)送單元和加密數(shù)據(jù)信息解密單元，其中：第一信息加密單元將接收到的CPU卡的第一信息生成第一加密信息，通過第一加密信息發(fā)送單元將第一加密信息發(fā)送至用戶設(shè)備，以便用戶設(shè)備對CPU卡的相關(guān)目錄進(jìn)行外部認(rèn)證，MAC讀取命令生成單元將接收到的CPU卡的第二信息生成安全報文鑒別碼MAC讀取命令，通過MAC讀取命令發(fā)送單元將MAC讀取命令發(fā)送至用戶設(shè)備，以便用戶設(shè)備根據(jù)MAC讀取命令讀取CPU卡相關(guān)目錄下的加密數(shù)據(jù)信息，加密數(shù)據(jù)信息解密單元接收到用戶設(shè)備發(fā)送的加密數(shù)據(jù)信息后根據(jù)MAC認(rèn)證密鑰對加密數(shù)據(jù)信息進(jìn)行解密。

進(jìn)一步地，還包括與第一加密單元電連接的第一信息接收單元，其中：第一信息接收單元接收用戶設(shè)備發(fā)送的CPU卡的相關(guān)目錄外部認(rèn)證隨機(jī)數(shù)和用戶標(biāo)識，第一信息加密單元根據(jù)用戶標(biāo)識生成外部認(rèn)證密鑰，并通過外部認(rèn)證密鑰加密外部認(rèn)證隨機(jī)數(shù)，第一加密信息發(fā)送單元將加密后的外部認(rèn)證隨機(jī)數(shù)發(fā)送至用戶設(shè)備。

進(jìn)一步地，還包括與MAC讀取命令生成單元電連接的第二信息接收單元，其中：第二信息接收單元接收用戶設(shè)備發(fā)送的CPU卡的MAC數(shù)據(jù)隨機(jī)數(shù)，MAC讀取命令生成單元根據(jù)MAC數(shù)據(jù)隨機(jī)數(shù)生成MAC認(rèn)證密鑰和MAC讀取命令。

進(jìn)一步地，還包括與第一信息接收單元電連接的用戶設(shè)備認(rèn)證單元，其中：用戶設(shè)備認(rèn)證單元接收用戶設(shè)備的MAC地址和授權(quán)數(shù)據(jù)后對用戶設(shè)備進(jìn)行認(rèn)證。

根據(jù)本實用新型的另一方面，還提出一種用于CPU卡加密認(rèn)證的用戶設(shè)備，包括第一模塊和第二模塊，第一模塊與第二模塊電連接；其中：第一模塊將CPU卡的第一信息通過第二模塊發(fā)送至云平臺，以便云平臺根據(jù)第一信息生成第一加密信息；還接收云平臺通過第二模塊發(fā)送的第一加密信息，根據(jù)第一加密信息對CPU卡的相關(guān)目錄進(jìn)行外部認(rèn)證；還將CPU卡的第二信息通過第二模塊發(fā)送至云平臺，以便云平臺根據(jù)第二信息生成MAC讀取命令；還接收云平臺通過第二模塊發(fā)送的MAC讀取命令，根據(jù)MAC讀取命令讀取CPU卡相關(guān)目錄下的加密數(shù)據(jù)信息；還將加密數(shù)據(jù)信息通過第二模塊發(fā)送至云平臺，以便云平臺根據(jù)MAC認(rèn)證密鑰對加密數(shù)據(jù)信息進(jìn)行解密。

進(jìn)一步地，第一模塊還將CPU卡的相關(guān)目錄外部認(rèn)證隨機(jī)數(shù)和用戶標(biāo)識通過第二模塊發(fā)送至云平臺，以便云平臺根據(jù)用戶標(biāo)識生成外部認(rèn)證密鑰，并通過外部認(rèn)證密鑰加密外部認(rèn)證隨機(jī)數(shù)；第一模塊還接收云平臺通過第二模塊發(fā)送的加密后的外部認(rèn)證隨機(jī)數(shù)，以便對CPU卡的相關(guān)目錄進(jìn)行外部認(rèn)證。

進(jìn)一步地，第一模塊還將CPU卡的MAC數(shù)據(jù)隨機(jī)數(shù)通過第二模塊發(fā)送至云平臺，以便云平臺根據(jù)MAC數(shù)據(jù)隨機(jī)數(shù)生成MAC認(rèn)證密鑰和MAC讀取命令；第一模塊還接收云平臺通過第二模塊發(fā)送的MAC讀取命令，根據(jù)MAC讀取命令讀取CPU卡相關(guān)目錄下的加密數(shù)據(jù)信息。

進(jìn)一步地，第一模塊還將自身的MAC地址和授權(quán)數(shù)據(jù)通過第二模塊發(fā)送至云平臺，以便云平臺對第一模塊進(jìn)行認(rèn)證。

進(jìn)一步地，第一模塊為讀卡裝置，第二模塊為移動終端。

根據(jù)本實用新型的另一方面，還提出一種用于CPU卡加密認(rèn)證的系統(tǒng)，其特征在于，包括上述的云平臺和上述的用戶設(shè)備。

與現(xiàn)有技術(shù)相比，本實用新型云平臺將接收到的CPU卡的第一信息生成第一加密信息，并將第一加密信息發(fā)送至用戶設(shè)備，以便用戶設(shè)備對CPU卡的相關(guān)目錄進(jìn)行外部認(rèn)證；將接收到的CPU卡的第二信息生成安全報文鑒別碼MAC讀取命令，并將MAC讀取命令發(fā)送至用戶設(shè)備，以便用戶設(shè)備根據(jù)MAC讀取命令讀取CPU卡相關(guān)目錄下的加密數(shù)據(jù)信息；接收到用戶設(shè)備發(fā)送的加密數(shù)據(jù)信息后根據(jù)MAC認(rèn)證密鑰對加密數(shù)據(jù)信息進(jìn)行解密，能夠提高CPU卡加密認(rèn)證的安全性，另外，該實施例省去了PSAM卡用來做母卡的加密認(rèn)證方式，直接采用云平臺來完成加密認(rèn)證，用戶無需攜帶PSAM卡，省去了PSAM卡損壞丟失等風(fēng)險。

通過以下參照附圖對本實用新型的示例性實施例的詳細(xì)描述，本實用新型的其它特征及其優(yōu)點將會變得清楚。

附圖說明

構(gòu)成說明書的一部分的附圖描述了本實用新型的實施例，并且連同說明書一起用于解釋本實用新型的原理。

參照附圖，根據(jù)下面的詳細(xì)描述，可以更加清楚地理解本實用新型，其中：

圖1為現(xiàn)有技術(shù)中CPU卡加密認(rèn)證的流程示意圖。

圖2為本實用新型用于CPU卡加密認(rèn)證的云平臺的一個實施例的結(jié)構(gòu)示意圖。

圖3為本實用新型用于CPU卡加密認(rèn)證的云平臺的再一個實施例的結(jié)構(gòu)示意圖。

圖4為本實用新型用于CPU卡加密認(rèn)證的用戶設(shè)備的一個實施例的結(jié)構(gòu)示意圖。

圖5為本實用新型用于CPU卡加密認(rèn)證的系統(tǒng)的一個實施例的結(jié)構(gòu)示意圖。

圖6為本實用新型用于CPU卡加密認(rèn)證的系統(tǒng)的一個實施例的結(jié)構(gòu)示意圖。

具體實施方式

現(xiàn)在將參照附圖來詳細(xì)描述本實用新型的各種示例性實施例。應(yīng)注意到：除非另外具體說明，否則在這些實施例中闡述的部件和步驟的相對布置、數(shù)字表達(dá)式和數(shù)值不限制本實用新型的范圍。

同時，應(yīng)當(dāng)明白，為了便于描述，附圖中所示出的各個部分的尺寸并不是按照實際的比例關(guān)系繪制的。

以下對至少一個示例性實施例的描述實際上僅僅是說明性的，決不作為對本實用新型及其應(yīng)用或使用的任何限制。

對于相關(guān)領(lǐng)域普通技術(shù)人員已知的技術(shù)、方法和設(shè)備可能不作詳細(xì)討論，但在適當(dāng)情況下，所述技術(shù)、方法和設(shè)備應(yīng)當(dāng)被視為授權(quán)說明書的一部分。

在這里示出和討論的所有示例中，任何具體值應(yīng)被解釋為僅僅是示例性的，而不是作為限制。因此，示例性實施例的其它示例可以具有不同的值。

應(yīng)注意到：相似的標(biāo)號和字母在下面的附圖中表示類似項，因此，一旦某一項在一個附圖中被定義，則在隨后的附圖中不需要對其進(jìn)行進(jìn)一步討論。

為使本實用新型的目的、技術(shù)方案和優(yōu)點更加清楚明白，以下結(jié)合具體實施例，并參照附圖，對本實用新型進(jìn)一步詳細(xì)說明。

圖2為本實用新型用于CPU卡加密認(rèn)證的云平臺的一個實施例的結(jié)構(gòu)示意圖。該云平臺包括第一信息加密單元210、第一加密信息發(fā)送單元220、MAC讀取命令生成單元230、MAC讀取命令發(fā)送單元240和加密數(shù)據(jù)信息解密單元250，第一信息加密單元210、第一加密信息發(fā)送單元220、MAC讀取命令生成單元230、MAC讀取命令發(fā)送單元240和加密數(shù)據(jù)信息解密單元250可以通過電路及組合以及其它硬件設(shè)備實現(xiàn)，可以是PLC、集成電路、相關(guān)部件等組成的具體的硬件裝置。其中：

第一信息加密單元210與第一加密信息發(fā)送單元220電連接，第一加密信息發(fā)送單元220與MAC讀取命令生成單元230電連接，MAC讀取命令生成單元230與MAC讀取命令發(fā)送單元240電連接，MAC讀取命令發(fā)送單元240與加密數(shù)據(jù)信息解密單元250電連接。

第一信息加密單元210將接收到的CPU卡的第一信息生成第一加密信息。例如，云平臺接收到用戶設(shè)備發(fā)送的CPU卡的相關(guān)目錄外部認(rèn)證隨機(jī)數(shù)和UID(User Identification，用戶標(biāo)識)后，第一信息加密單元210根據(jù)用戶標(biāo)識生成外部認(rèn)證密鑰，并通過外部認(rèn)證密鑰加密外部認(rèn)證隨機(jī)數(shù)，其中該用戶設(shè)備可以為具有NFC(Near Field Communication，近距離無線通信技術(shù))功能的移動終端，也可以為讀卡裝置和移動終端。

第一加密信息發(fā)送單元220將第一加密信息發(fā)送至用戶設(shè)備，以便用戶設(shè)備對CPU卡的相關(guān)目錄進(jìn)行外部認(rèn)證。例如，將加密后的外部認(rèn)證隨機(jī)數(shù)發(fā)送至用戶設(shè)備，由用戶設(shè)備使用該加密后的外部認(rèn)證隨機(jī)數(shù)完成CPU卡的相關(guān)目錄外部認(rèn)證。

MAC讀取命令生成單元230將接收到的CPU卡的第二信息生成MAC(Message Authentication Code，安全報文鑒別碼)讀取命令。例如接收到用戶設(shè)備發(fā)送的CPU卡的MAC數(shù)據(jù)隨機(jī)數(shù)后，MAC讀取命令生成單元230根據(jù)MAC數(shù)據(jù)隨機(jī)數(shù)生成MAC認(rèn)證密鑰和MAC讀取命令。

MAC讀取命令發(fā)送單元240將MAC讀取命令發(fā)送至用戶設(shè)備，以便用戶設(shè)備根據(jù)MAC讀取命令讀取CPU卡相關(guān)目錄下的加密數(shù)據(jù)信息。

加密數(shù)據(jù)信息解密單元250接收到用戶設(shè)備發(fā)送的加密數(shù)據(jù)信息后根據(jù)MAC認(rèn)證密鑰對加密數(shù)據(jù)信息進(jìn)行解密。用戶設(shè)備將CPU卡相關(guān)目錄下的加密數(shù)據(jù)信息發(fā)送至云平臺，云平臺根據(jù)MAC認(rèn)證密鑰對加密數(shù)據(jù)信息解密后，才對數(shù)據(jù)的實際內(nèi)容通過RSA非對稱解密，云平臺可以將解密后的數(shù)據(jù)發(fā)送至用戶設(shè)備進(jìn)行顯示。

在該實施例中，云平臺將接收到的CPU卡的第一信息生成第一加密信息，并將第一加密信息發(fā)送至用戶設(shè)備，以便用戶設(shè)備對CPU卡的相關(guān)目錄進(jìn)行外部認(rèn)證；將接收到的CPU卡的第二信息生成安全報文鑒別碼MAC讀取命令，并將MAC讀取命令發(fā)送至用戶設(shè)備，以便用戶設(shè)備根據(jù)MAC讀取命令讀取CPU卡相關(guān)目錄下的加密數(shù)據(jù)信息；接收到用戶設(shè)備發(fā)送的加密數(shù)據(jù)信息后根據(jù)MAC認(rèn)證密鑰對加密數(shù)據(jù)信息進(jìn)行解密，能夠提高CPU卡加密認(rèn)證的安全性，另外，該實施例省去了PSAM卡用來做母卡的加密認(rèn)證方式，直接采用云平臺來完成加密認(rèn)證，用戶無需攜帶PSAM卡，省去了PSAM卡損壞丟失等風(fēng)險。

圖3為本實用新型用于CPU卡加密認(rèn)證的云平臺的再一個實施例的結(jié)構(gòu)示意圖。該云平臺包括用戶設(shè)備認(rèn)證單元310、第一信息接收單元320、第一信息加密單元330、第一加密信息發(fā)送單元340、第二信息接收單元350、MAC讀取命令生成單元360、MAC讀取命令發(fā)送單元370和加密數(shù)據(jù)信息解密單元380，用戶設(shè)備認(rèn)證單元310、第一信息接收單元320、第一信息加密單元330、第一加密信息發(fā)送單元340、第二信息接收單元350、MAC讀取命令生成單元360、MAC讀取命令發(fā)送單元370和加密數(shù)據(jù)信息解密單元380可以通過電路及組合以及其它硬件設(shè)備實現(xiàn)，可以是PLC、集成電路、相關(guān)部件等組成的具體的硬件裝置。其中：

用戶設(shè)備認(rèn)證單元310與第一信息接收單元320電連接，第一信息接收單元320與第一信息加密單元330電連接，第一信息加密單元330與第一加密信息發(fā)送單元340電連接，第一加密信息發(fā)送單元340與第二信息接收單元350電連接，第二信息接收單元350與MAC讀取命令生成單元360電連接，MAC讀取命令生成單元360與MAC讀取命令發(fā)送單元370電連接，MAC讀取命令發(fā)送單元370與加密數(shù)據(jù)信息解密單元380電連接。

用戶設(shè)備認(rèn)證單元310接收用戶設(shè)備的MAC地址和授權(quán)數(shù)據(jù)后對用戶設(shè)備進(jìn)行認(rèn)證。該用戶設(shè)備可以包括讀卡裝置和移動終端，當(dāng)用戶在移動終端登陸賬號和密碼后，云平臺可以對移動終端認(rèn)證；移動終端與讀卡裝置配對后，移動終端可以讀取讀卡裝置的MAC地址和授權(quán)數(shù)據(jù)，并將該MAC地址和授權(quán)數(shù)據(jù)發(fā)送至云平臺，云平臺可以認(rèn)證讀卡裝置的合法性。如果該用戶設(shè)備為具有NFC功能的移動終端，則可以僅對移動終端進(jìn)行認(rèn)證。

第一信息接收單元320接收用戶設(shè)備發(fā)送的CPU卡的相關(guān)目錄外部認(rèn)證隨機(jī)數(shù)和用戶標(biāo)識。第一信息加密單元330根據(jù)用戶標(biāo)識生成外部認(rèn)證密鑰，并通過外部認(rèn)證密鑰加密外部認(rèn)證隨機(jī)數(shù)。第一加密信息發(fā)送單元340將將加密后的外部認(rèn)證隨機(jī)數(shù)發(fā)送至用戶設(shè)備，以便用戶設(shè)備對CPU卡的相關(guān)目錄進(jìn)行外部認(rèn)證。第二信息接收單元350接收用戶設(shè)備發(fā)送的CPU卡的MAC數(shù)據(jù)隨機(jī)數(shù)。MAC讀取命令生成單元360根據(jù)MAC數(shù)據(jù)隨機(jī)數(shù)生成MAC認(rèn)證密鑰和MAC讀取命令。MAC讀取命令發(fā)送單元370將MAC讀取命令發(fā)送至用戶設(shè)備，以便用戶設(shè)備根據(jù)MAC讀取命令讀取CPU卡相關(guān)目錄下的加密數(shù)據(jù)信息。加密數(shù)據(jù)信息解密單元380接收用戶設(shè)備發(fā)送的加密數(shù)據(jù)信息后根據(jù)MAC認(rèn)證密鑰對加密數(shù)據(jù)信息進(jìn)行解密。云平臺根據(jù)MAC認(rèn)證密鑰對加密數(shù)據(jù)信息解密后，才通過RSA非對稱解密出實際數(shù)據(jù)內(nèi)容，云平臺可以將解密后的數(shù)據(jù)發(fā)送至用戶設(shè)備進(jìn)行顯示。

在該實施例中，省去了PSAM卡用來做母卡的加密認(rèn)證方式，直接采用云平臺來完成加密認(rèn)證，用戶無需攜帶PSAM卡，省去了PSAM卡損壞丟失等風(fēng)險；另外，由于采用云平臺來認(rèn)證CPU卡，云平臺數(shù)據(jù)存儲空間大，可以在發(fā)卡的時候?qū)ㄆ夸浀膶嶋H內(nèi)容采用RSA非對稱加密，認(rèn)證時可以從平臺數(shù)據(jù)庫獲取密鑰采用RSA非對稱解密對數(shù)據(jù)內(nèi)容進(jìn)行解密，非對稱加解密，數(shù)據(jù)的安全性更高；再者，密鑰直接由云平臺來管理，可以隨時更新和作廢已發(fā)行的CPU卡片，維護(hù)更方便安全。

圖4為本實用新型用于CPU卡加密認(rèn)證的用戶設(shè)備的一個實施例的結(jié)構(gòu)示意圖。該用戶設(shè)備包括第一模塊410和第二模塊420，第一模塊410和第二模塊420電連接，第一模塊410和第二模塊420可以集成在具有NFC功能的移動終端，也可為分別為讀卡裝置和移動終端。

第一模塊410將CPU卡的第一信息通過第二模塊420發(fā)送至云平臺，以便云平臺根據(jù)第一信息生成第一加密信息，例如，將CPU卡的相關(guān)目錄外部認(rèn)證隨機(jī)數(shù)和用戶標(biāo)識通過第二模塊420發(fā)送至云平臺，云平臺根據(jù)用戶標(biāo)識生成外部認(rèn)證密鑰，并通過外部認(rèn)證密鑰加密外部認(rèn)證隨機(jī)數(shù)。

第一模塊410還接收云平臺通過第二模塊420發(fā)送的第一加密信息，根據(jù)第一加密信息對CPU卡的相關(guān)目錄進(jìn)行外部認(rèn)證；例如，通過第二模塊420接收云平臺發(fā)送的加密后的外部認(rèn)證隨機(jī)數(shù)，對CPU卡的相關(guān)目錄進(jìn)行外部認(rèn)證。

第一模塊410還將CPU卡的第二信息通過第二模塊420發(fā)送至云平臺，以便云平臺根據(jù)第二信息生成MAC讀取命令；例如，將CPU卡的MAC數(shù)據(jù)隨機(jī)數(shù)通過第二模塊420發(fā)送至云平臺，云平臺根據(jù)MAC數(shù)據(jù)隨機(jī)數(shù)生成MAC認(rèn)證密鑰和MAC讀取命令。

第一模塊410還接收云平臺通過第二模塊420發(fā)送的MAC讀取命令，根據(jù)MAC讀取命令讀取CPU卡相關(guān)目錄下的加密數(shù)據(jù)信息。

第一模塊410還將加密數(shù)據(jù)信息通過第二模塊420發(fā)送至云平臺，以便云平臺根據(jù)MAC認(rèn)證密鑰對加密數(shù)據(jù)信息進(jìn)行解密；云平臺根據(jù)MAC認(rèn)證密鑰對加密數(shù)據(jù)信息解密后，才通過RSA非對稱解密出實際數(shù)據(jù)內(nèi)容，云平臺可以將解密后的數(shù)據(jù)發(fā)送至用戶設(shè)備進(jìn)行顯示。

第二模塊420轉(zhuǎn)發(fā)第一模塊410發(fā)送的信息以及顯示加密數(shù)據(jù)信息內(nèi)容。

在該實施例中，用戶設(shè)備將CPU卡的第一信息發(fā)送至云平臺，以便云平臺根據(jù)第一信息生成第一加密信息；接收云平臺發(fā)送的第一加密信息，根據(jù)第一加密信息對CPU卡的相關(guān)目錄進(jìn)行外部認(rèn)證；將CPU卡的第二信息發(fā)送至云平臺，以便云平臺根據(jù)第二信息生成MAC讀取命令；接收云平臺發(fā)送的MAC讀取命令，根據(jù)MAC讀取命令讀取CPU卡相關(guān)目錄下的加密數(shù)據(jù)信息；將加密數(shù)據(jù)信息發(fā)送至云平臺，以便云平臺根據(jù)MAC認(rèn)證密鑰對加密數(shù)據(jù)信息進(jìn)行解密，能夠提升CPU卡加密認(rèn)證的安全性；另外，直接采用云平臺來完成加密認(rèn)證，無需攜帶PSAM卡，省去了PSAM卡損壞丟失等風(fēng)險；結(jié)合智能終端來使用，無需額外增加PC等顯示終端，還能夠減少設(shè)備體積，應(yīng)用更加方便快捷。

在本實用新型的另一個實施例中，第一模塊410還用于將自身的MAC地址和授權(quán)數(shù)據(jù)通過第二模塊420發(fā)送至云平臺，以便在云平臺進(jìn)行認(rèn)證。該用戶設(shè)備可以包括讀卡裝置和移動終端，當(dāng)用戶在移動終端登陸賬號和密碼后，云平臺可以對移動終端認(rèn)證；移動終端與讀卡裝置配對后，移動終端可以讀取讀卡裝置的MAC地址和授權(quán)數(shù)據(jù)，并將該MAC地址和授權(quán)數(shù)據(jù)發(fā)送至云平臺，云平臺可以認(rèn)定讀卡裝置的合法性。如果該用戶設(shè)備為具有NFC功能的移動終端，則可以僅對移動終端進(jìn)行認(rèn)證。

在該實施例中，在當(dāng)前移動互聯(lián)網(wǎng)的快速發(fā)展和智能手機(jī)的廣泛應(yīng)用的背景下，采用智能手機(jī)等用戶設(shè)備作為介質(zhì)，將密鑰管理由傳統(tǒng)的PSAM卡配合硬件的方式轉(zhuǎn)移到云平臺虛擬介質(zhì)來完成密鑰管理和認(rèn)證，可有效的消除傳統(tǒng)方式帶來的不足之處。

在上述實施例中，已經(jīng)介紹用戶設(shè)備可以包括讀卡裝置和移動終端，也可以將讀卡裝置集成到移動終端中，其中用于CPU卡加密認(rèn)證的系統(tǒng)包括上述用戶設(shè)備510和上述云平臺520，圖5以用戶設(shè)備510包括讀卡裝置511和移動終端512為例對本實用新型的CPU卡加密認(rèn)證的系統(tǒng)進(jìn)行介紹裝置511可以包括13.56MHA的讀卡芯片，并具有藍(lán)牙模式。

用戶打開移動終端管理軟件和3G、4G、WIFI上網(wǎng)功能，輸入管理帳號和密碼，系統(tǒng)會自動提示打開藍(lán)牙BLE功能，打開讀卡裝置511電源開關(guān)，管理軟件會自動查找讀卡裝置511，選擇系統(tǒng)找到的讀卡裝置511進(jìn)行配對，完成配對后，可以直接用讀卡裝置511讀卡，即可自動完成CPU卡、讀卡裝置511、移動終端512和云平臺520之間的交互過程。

用戶在移動終端512登陸賬號、密碼，由云平臺520進(jìn)行認(rèn)證。移動終端512與讀卡裝置511配對，讀取讀卡裝置511的MAC地址和授權(quán)數(shù)據(jù)，并將讀卡裝置511的MAC地址和授權(quán)數(shù)據(jù)發(fā)送至云平臺520，由云平臺520認(rèn)證讀卡裝置511的合法性。讀卡裝置511讀取CPU卡的相關(guān)目錄外部認(rèn)證隨機(jī)數(shù)R1和用戶標(biāo)識UID，并通過BLE(Bluetooth Low Energy，低功耗藍(lán)牙)發(fā)送至移動終端512，移動終端512將信息發(fā)送至云平臺520。云平臺520根據(jù)用戶標(biāo)識UID，從密鑰庫生成外部認(rèn)證密鑰k1，并通過外部認(rèn)證密鑰k1加密外部認(rèn)證隨機(jī)數(shù)R1生成加密的外部認(rèn)證隨機(jī)數(shù)k1(R1)。讀卡裝置511通過移動終端512接收云平臺520發(fā)送的加密后的外部認(rèn)證隨機(jī)數(shù)k1(R1)。讀卡裝置511使用此k1(R1)對CPU卡的相關(guān)目錄進(jìn)行外部認(rèn)證。讀卡裝置511獲取CPU卡的MAC數(shù)據(jù)隨機(jī)數(shù)R2，并通過移動終端512發(fā)送至云平臺520。云平臺520根據(jù)MAC數(shù)據(jù)隨機(jī)數(shù)R2生成MAC認(rèn)證密鑰k2和MAC讀取命令C。云平臺520通過移動終端512向讀卡裝置511發(fā)送MAC讀取命令C。讀卡裝置511通過MAC讀取命令C讀取CPU卡相關(guān)目錄下的加密數(shù)據(jù)信息E(data)。讀卡裝置511通過移動終端512將加密數(shù)據(jù)信息E(data)發(fā)送至云平臺520。云平臺520根據(jù)MAC認(rèn)證密鑰k2對加密數(shù)據(jù)信息E(data)進(jìn)行解密。云平臺520根據(jù)MAC認(rèn)證密鑰對加密數(shù)據(jù)信息解密后，才對數(shù)據(jù)的實際內(nèi)容通過RSA非對稱解密出實際數(shù)據(jù)內(nèi)容data。云平臺520將CPU卡解密后的信息data發(fā)送至移動終端512進(jìn)行顯示。

在上述實施例中，讀卡裝置511與CPU卡之間通過WIFI等移動網(wǎng)絡(luò)交換，主要采用DES和3DES進(jìn)行認(rèn)證，即標(biāo)準(zhǔn)的CPU卡支持的加密方式；讀卡裝置511與移動終端512交互主要用到AES加密和藍(lán)牙BLE鏈路層加密；移動終端512與云平臺520之間通過3G、4G、WIFI廣域網(wǎng)等網(wǎng)絡(luò)交互，數(shù)據(jù)交互采用AES加密算法加密；云平臺520對CPU卡目錄內(nèi)容采用RSA非對稱加解密的方式來加解密實際數(shù)據(jù)內(nèi)容。

針對支持NFC功能的移動終端，該實施例還可以直接省去讀卡裝置部分，如圖6所示，改為移動終端610直接與CPU卡操作，然后與云平臺620完成加密認(rèn)證，此種方式與上述描述的區(qū)別為省去了讀卡裝置的認(rèn)證過程，直接由移動終端610的NFC功能代替，實現(xiàn)卡--手機(jī)--平臺之間直接的交互。交換流程減少了讀卡裝置認(rèn)證的步驟，其他的步驟如將移動終端的數(shù)據(jù)傳輸和讀卡裝置的讀卡操作合并到智能終端上來完成，流程更加簡便。

在上述實施例中，CPU卡的加密認(rèn)證模式由傳統(tǒng)的PASM卡修改為直接通過云平臺來完成認(rèn)證，省去了PSAM卡損壞丟失等風(fēng)險。將傳統(tǒng)的讀卡裝置讀卡認(rèn)證修改為結(jié)合智能移動終端的方式更方便快捷；利用云平臺數(shù)據(jù)存儲量大的特點可以支持RSA非對稱加密對卡片目錄的實際內(nèi)容進(jìn)行RSA非對稱加密，保證數(shù)據(jù)認(rèn)證較高的安全性，并且密鑰直接由云平臺來管理，可以隨時更新和作廢已發(fā)行的CPU卡片，維護(hù)更方便安全。

至此，已經(jīng)詳細(xì)描述了本實用新型。為了避免遮蔽本實用新型的構(gòu)思，沒有描述本領(lǐng)域所公知的一些細(xì)節(jié)。本領(lǐng)域技術(shù)人員根據(jù)上面的描述，完全可以明白如何實施這里公開的技術(shù)方案。

雖然已經(jīng)通過示例對本實用新型的一些特定實施例進(jìn)行了詳細(xì)說明，但是本領(lǐng)域的技術(shù)人員應(yīng)該理解，以上示例僅是為了進(jìn)行說明，而不是為了限制本實用新型的范圍。本領(lǐng)域的技術(shù)人員應(yīng)該理解，可在不脫離本實用新型的范圍和精神的情況下，對以上實施例進(jìn)行修改。本實用新型的范圍由所附權(quán)利要求來限定。