【技术实现步骤摘要】
一种在终端和服务器之间建立安全通道的方法及装置
本专利技术涉及信息安全领域,尤其涉及一种在终端和服务器之间建立安全通道的方法及装置。
技术介绍
在现有技术中,不同的IC卡插入终端中,终端只能利用预先存储的根密钥对同一组随机数加密得到传输密钥,使得终端对发送至服务器的数据和接收服务器发来的数据进行加解密时采用相同的传输密钥,造成传输密钥是固定且单一的,而且一旦发生根密钥泄漏的情况,数据传输就变得不安全。
技术实现思路
本专利技术的目的是为了解决现有技术中存在的问题,提供了一种在终端和服务器之间建立安全通道的方法及装置。本专利技术采用的技术方案是:本专利技术提供了一种在终端和服务器之间建立安全通道的方法,包括:步骤S1、终端接收服务器通过客户端发来的建立安全通道指令,生成产生第二应用密文数据指令,并向IC卡发送产生第二应用密文数据指令;步骤S2、终端接收IC卡返回的第二应用密文数据,从第二应用密文数据中获取第一应用密文,将第二预置数据组中的四组预置数据分别和建立安全通道指令中的配置数据进行拼接,对拼接后的四组数据使用第一应用密文进行加密,得到上行工作密钥、下行工作密钥、上行MAC密钥和下行MAC密钥;步骤S3、终端使用上行MAC密钥对第三预置数据进行加密,产生第一校验值;步骤S3之前还包括:步骤X:终端生成产生第一应用密文数据指令,并向IC卡发送产生第一应用密文数据指令;步骤Y:终端接收IC卡返回的第一应用密文数据后,根据第一应用密文数据生成第一令牌;步骤S3中还包括:将第一令牌和第一校验值通过客户端发送至服务器。本专利技术提供了一种在终端和服务器之间建立安全通道 ...
【技术保护点】
1.一种在终端和服务器之间建立安全通道的方法,其特征在于,包括:步骤S1、终端接收服务器通过客户端发来的建立安全通道指令,生成产生第二应用密文数据指令,并向所述IC卡发送所述产生第二应用密文数据指令;步骤S2、所述终端接收所述IC卡返回的第二应用密文数据,从所述第二应用密文数据中获取第一应用密文,将第二预置数据组中的四组预置数据分别和所述建立安全通道指令中的配置数据进行拼接,对拼接后的四组数据使用所述第一应用密文进行加密,得到上行工作密钥、下行工作密钥、上行MAC密钥和下行MAC密钥;步骤S3、所述终端使用所述上行MAC密钥对第三预置数据进行加密,产生第一校验值;所述步骤S3之前还包括:步骤X:所述终端生成产生第一应用密文数据指令,并向IC卡发送所述产生第一应用密文数据指令;步骤Y:所述终端接收所述IC卡返回的第一应用密文数据后,根据所述第一应用密文数据生成第一令牌;所述步骤S3中还包括:将所述第一令牌和所述第一校验值通过客户端发送至所述服务器。
【技术特征摘要】
1.一种在终端和服务器之间建立安全通道的方法,其特征在于,包括:步骤S1、终端接收服务器通过客户端发来的建立安全通道指令,生成产生第二应用密文数据指令,并向所述IC卡发送所述产生第二应用密文数据指令;步骤S2、所述终端接收所述IC卡返回的第二应用密文数据,从所述第二应用密文数据中获取第一应用密文,将第二预置数据组中的四组预置数据分别和所述建立安全通道指令中的配置数据进行拼接,对拼接后的四组数据使用所述第一应用密文进行加密,得到上行工作密钥、下行工作密钥、上行MAC密钥和下行MAC密钥;步骤S3、所述终端使用所述上行MAC密钥对第三预置数据进行加密,产生第一校验值;所述步骤S3之前还包括:步骤X:所述终端生成产生第一应用密文数据指令,并向IC卡发送所述产生第一应用密文数据指令;步骤Y:所述终端接收所述IC卡返回的第一应用密文数据后,根据所述第一应用密文数据生成第一令牌;所述步骤S3中还包括:将所述第一令牌和所述第一校验值通过客户端发送至所述服务器。2.根据权利要求1所述的方法,其特征在于,所述步骤X中所述终端生成产生第一应用密文数据指令,具体为:根据第一预置数据和所述建立安全通道指令中的不可预知数生成产生第一应用密文数据指令;所述步骤S1中所述终端生成产生第二应用密文数据指令,具体为:根据第一预置数据和所述建立安全通道指令中的不可预知数生成产生第二应用密文数据指令。3.根据权利要求1所述的方法,其特征在于,所述步骤S1中所述终端接收服务器通过客户端发来的建立安全通道指令后,还包括:步骤A1、所述终端从所述建立安全通道指令中获取应用文件列表,从所述应用文件列表中获取应用标识符,根据所述应用标识符生成选择应用指令,并向IC卡发送所述选择应用指令;步骤A2、所述终端接收所述IC卡发来的选择应用响应,根据所述选择应用响应生成获取处理选项指令,并向所述IC卡发送所述获取处理选项指令;步骤A3、所述终端接收所述IC卡发来的获取处理选项指令响应,根据所述获取处理选项指令响应确定要读取的IC卡记录,生成读记录指令,并向所述IC卡发送所述读记录指令;步骤A4、所述终端接收IC卡发来的读记录响应,从所述读记录响应中获取主账号序列号。4.根据权利要求3所述的方法,其特征在于,所述步骤Y中,所述根据所述第一应用密文数据生成第一令牌,具体为:所述终端将所述主账号序列号和所述第一应用密文数据进行拼接,对拼接后的数据进行计算,生成第一令牌。5.根据权利要求1所述的方法,其特征在于,所述步骤S3之前,还包括:步骤B1、所述终端从所述建立安全通道指令中获取应用文件列表,从所述应用文件列表中获取应用标识符,根据所述应用标识符生成选择应用指令,并向IC卡发送所述选择应用指令;步骤B2、所述终端接收所述IC卡发来的选择应用响应,根据所述选择应用响应生成获取处理选项指令,并向所述IC卡发送所述获取处理选项指令;步骤B3、所述终端接收所述IC卡发来的获取处理选项指令响应。6.根据权利要求1所述的方法,其特征在于,所述步骤S3之后还包括:步骤C1、所述终端接收服务器发来的查询卡片交易记录指令密文和第三校验值;步骤C2、所述终端判断所述第三校验值是否正确,是则所述终端使用所述下行工作密钥解密查询卡片交易记录指令密文,得到查询卡片交易记录指令,并向所述IC卡发送所述查询卡片交易记录指令;否则报错结束;步骤C3、所述终端接收到IC卡返回的查询卡片交易记录响应后,使用上行工作密钥对所述查询卡片交易记录响应加密,得到查询卡片交易记录响应密文;步骤C4、所述终端使用上行MAC密钥对第三预置数据进行计算,产生第四校验值,并将所述查询卡片交易记录响应密文和所述第四校验值发送至服务器。7.根据权利要求1所述的方法,其特征在于,方法还包括:步骤S4、服务器获取IC卡卡号,根据预置的配置数据和自身产生的不可预知数生成建立安全通道指令,并将所述生成建立安全通道指令通过客户端发送至终端;步骤S5、服务器接收到所述终端通过客户端发来的所述第一令牌和所述第一校验值后,根据所述不可预知数生成获取到的卡号对应的第三应用密文数据,根据所述第三应用密文数据生成第二令牌,判断所述第一令牌和所述第二令牌是否相同,是则执行步骤S6,否则报错结束;步骤S6、所述服务器从所述第三应用密文数据中获取第二应用密文,将第四预置数据组中的四组预置数据分别和所述建立安全通道指令中的配置数据进行拼接,对拼接后的四组数据分别使用所述第二应用密文进行加密,得到上行工作密钥、下行工作密钥、上行MAC密钥和下行MAC密钥;步骤S7、所述服务器使用所述上行MAC密钥对第五预置数据进行加密,产生第二校验值,判断所述第一校验值和所述第二校验值是否相同,是则安全通道建立;否则报错结束。8.根据权利要求7所述的方法,其特征在于,所述方法还包括:所述服务器生成查询卡片交易记录指令,并使用所述下行工作密钥对所述查询卡片交易记录指令进行加密,得到查询卡片交易记录指令密文;使用所述下行MAC密钥算出第三校验值。9.根据权利要求7所述的方法,其特征在于,所述方法还包括:步骤D1、所...
【专利技术属性】
技术研发人员:陆舟,于华章,
申请(专利权)人:飞天诚信科技股份有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。