用于CPU卡加密认证的云平台、用户设备和系统的制作方法

本实用新型涉及通信安全领域，尤其涉及一种用于CPU卡加密认证的云平台、用户设备和系统。

背景技术：

CPU卡因其安全性相对于普通IC卡提高很多，已经被广泛应用于金融、保险、交通、政府行业等多个领域，具有用户空间大、读取速度快、支持一卡多用等特点，并已经通过中国人民银行和国家商秘委的认证；CPU卡内含有随机数发生器，硬件DES(Data Encryption Standard，数据加密标准)，3DES(Triple DES，三重数据加密算法)等，配合片上OS(Operating System，操作系统)，可以达到金融级别的安全等级。CPU卡尤其是在金融交易和身份识别上的应用已经逐步代替了传统方法，成为了主流的应用技术。

传统的CPU卡完成身份认证的方式主要是通过对加密信息的目录进行外部认证来完成的加密信息的读取或修改，从而实现身份认证和识别。传统的CPU卡加密认证方式如图1所示，CPU卡认证必须需要用到PSAM卡，PSAM卡是一种具有特殊性能的CPU卡，主要用于存放密钥和加密算法，可完成交易中的密码验证和加密、相互认证、解密运算，主要用作身份标志。PSAM可用于各种端末设备上，负责安全控管。

CPU卡加密算法和随机数发生器与安装在读写设备中的密钥认证卡(PSAM卡)相互发送认证的随机数，可以实现以下功能：

(1)通过终端设备上PSAM卡实现对卡的认证。

(2)非接触CPU卡与终端设备上的PSAM卡的相互认证，实现对卡终端的认证。

(3)通过PSAM卡对非接触CPU卡进行数据读取操作，实现数据读取的安全性。

(4)在终端设备与非接触CPU卡中传输的数据是加密传输。

(5)通过对非接触CPU卡发送给SAM卡的随机数MAC1，PSAM卡发送给非接触CPU的随机数MAC2和由非接触CPU卡返回的随机数TAC，可以实现数据传输验证的计算。而MAC1、MAC2和TAC就是同一张非接触CPU卡每次传输的过程中都是不同的，因此无法使用空中接收的办法来破解非接触CPU卡的密钥。

但现有技术有很多弊端，例如依赖于硬件介质PSAM卡，需要对PSAM卡进行妥善保管，PSAM卡及读卡器可能会出现丢失或被盗用的情况，且硬件介质存在损坏的可能等，这无疑增加了安全认证中的风险。

技术实现要素：

本实用新型要解决的一个技术问题是提供一种用于CPU卡加密认证的云平台、用户设备和系统能够提高CPU卡加密认证的安全性。

根据本实用新型一方面，提供一种用于CPU卡加密认证的云平台，包括依次电连接的第一信息加密单元、第一加密信息发送单元、MAC读取命令生成单元、MAC读取命令发送单元和加密数据信息解密单元，其中：第一信息加密单元将接收到的CPU卡的第一信息生成第一加密信息，通过第一加密信息发送单元将第一加密信息发送至用户设备，以便用户设备对CPU卡的相关目录进行外部认证，MAC读取命令生成单元将接收到的CPU卡的第二信息生成安全报文鉴别码MAC读取命令，通过MAC读取命令发送单元将MAC读取命令发送至用户设备，以便用户设备根据MAC读取命令读取CPU卡相关目录下的加密数据信息，加密数据信息解密单元接收到用户设备发送的加密数据信息后根据MAC认证密钥对加密数据信息进行解密。

进一步地，还包括与第一加密单元电连接的第一信息接收单元，其中：第一信息接收单元接收用户设备发送的CPU卡的相关目录外部认证随机数和用户标识，第一信息加密单元根据用户标识生成外部认证密钥，并通过外部认证密钥加密外部认证随机数，第一加密信息发送单元将加密后的外部认证随机数发送至用户设备。

进一步地，还包括与MAC读取命令生成单元电连接的第二信息接收单元，其中：第二信息接收单元接收用户设备发送的CPU卡的MAC数据随机数，MAC读取命令生成单元根据MAC数据随机数生成MAC认证密钥和MAC读取命令。

进一步地，还包括与第一信息接收单元电连接的用户设备认证单元，其中：用户设备认证单元接收用户设备的MAC地址和授权数据后对用户设备进行认证。

根据本实用新型的另一方面，还提出一种用于CPU卡加密认证的用户设备，包括第一模块和第二模块，第一模块与第二模块电连接；其中：第一模块将CPU卡的第一信息通过第二模块发送至云平台，以便云平台根据第一信息生成第一加密信息；还接收云平台通过第二模块发送的第一加密信息，根据第一加密信息对CPU卡的相关目录进行外部认证；还将CPU卡的第二信息通过第二模块发送至云平台，以便云平台根据第二信息生成MAC读取命令；还接收云平台通过第二模块发送的MAC读取命令，根据MAC读取命令读取CPU卡相关目录下的加密数据信息；还将加密数据信息通过第二模块发送至云平台，以便云平台根据MAC认证密钥对加密数据信息进行解密。

进一步地，第一模块还将CPU卡的相关目录外部认证随机数和用户标识通过第二模块发送至云平台，以便云平台根据用户标识生成外部认证密钥，并通过外部认证密钥加密外部认证随机数；第一模块还接收云平台通过第二模块发送的加密后的外部认证随机数，以便对CPU卡的相关目录进行外部认证。

进一步地，第一模块还将CPU卡的MAC数据随机数通过第二模块发送至云平台，以便云平台根据MAC数据随机数生成MAC认证密钥和MAC读取命令；第一模块还接收云平台通过第二模块发送的MAC读取命令，根据MAC读取命令读取CPU卡相关目录下的加密数据信息。

进一步地，第一模块还将自身的MAC地址和授权数据通过第二模块发送至云平台，以便云平台对第一模块进行认证。

进一步地，第一模块为读卡装置，第二模块为移动终端。

根据本实用新型的另一方面，还提出一种用于CPU卡加密认证的系统，其特征在于，包括上述的云平台和上述的用户设备。

与现有技术相比，本实用新型云平台将接收到的CPU卡的第一信息生成第一加密信息，并将第一加密信息发送至用户设备，以便用户设备对CPU卡的相关目录进行外部认证；将接收到的CPU卡的第二信息生成安全报文鉴别码MAC读取命令，并将MAC读取命令发送至用户设备，以便用户设备根据MAC读取命令读取CPU卡相关目录下的加密数据信息；接收到用户设备发送的加密数据信息后根据MAC认证密钥对加密数据信息进行解密，能够提高CPU卡加密认证的安全性，另外，该实施例省去了PSAM卡用来做母卡的加密认证方式，直接采用云平台来完成加密认证，用户无需携带PSAM卡，省去了PSAM卡损坏丢失等风险。

通过以下参照附图对本实用新型的示例性实施例的详细描述，本实用新型的其它特征及其优点将会变得清楚。

附图说明

构成说明书的一部分的附图描述了本实用新型的实施例，并且连同说明书一起用于解释本实用新型的原理。

参照附图，根据下面的详细描述，可以更加清楚地理解本实用新型，其中：

图1为现有技术中CPU卡加密认证的流程示意图。

图2为本实用新型用于CPU卡加密认证的云平台的一个实施例的结构示意图。

图3为本实用新型用于CPU卡加密认证的云平台的再一个实施例的结构示意图。

图4为本实用新型用于CPU卡加密认证的用户设备的一个实施例的结构示意图。

图5为本实用新型用于CPU卡加密认证的系统的一个实施例的结构示意图。

图6为本实用新型用于CPU卡加密认证的系统的一个实施例的结构示意图。

具体实施方式

现在将参照附图来详细描述本实用新型的各种示例性实施例。应注意到：除非另外具体说明，否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本实用新型的范围。

同时，应当明白，为了便于描述，附图中所示出的各个部分的尺寸并不是按照实际的比例关系绘制的。

以下对至少一个示例性实施例的描述实际上仅仅是说明性的，决不作为对本实用新型及其应用或使用的任何限制。

对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论，但在适当情况下，所述技术、方法和设备应当被视为授权说明书的一部分。

在这里示出和讨论的所有示例中，任何具体值应被解释为仅仅是示例性的，而不是作为限制。因此，示例性实施例的其它示例可以具有不同的值。

应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步讨论。

为使本实用新型的目的、技术方案和优点更加清楚明白，以下结合具体实施例，并参照附图，对本实用新型进一步详细说明。

图2为本实用新型用于CPU卡加密认证的云平台的一个实施例的结构示意图。该云平台包括第一信息加密单元210、第一加密信息发送单元220、MAC读取命令生成单元230、MAC读取命令发送单元240和加密数据信息解密单元250，第一信息加密单元210、第一加密信息发送单元220、MAC读取命令生成单元230、MAC读取命令发送单元240和加密数据信息解密单元250可以通过电路及组合以及其它硬件设备实现，可以是PLC、集成电路、相关部件等组成的具体的硬件装置。其中：

第一信息加密单元210与第一加密信息发送单元220电连接，第一加密信息发送单元220与MAC读取命令生成单元230电连接，MAC读取命令生成单元230与MAC读取命令发送单元240电连接，MAC读取命令发送单元240与加密数据信息解密单元250电连接。

第一信息加密单元210将接收到的CPU卡的第一信息生成第一加密信息。例如，云平台接收到用户设备发送的CPU卡的相关目录外部认证随机数和UID(User Identification，用户标识)后，第一信息加密单元210根据用户标识生成外部认证密钥，并通过外部认证密钥加密外部认证随机数，其中该用户设备可以为具有NFC(Near Field Communication，近距离无线通信技术)功能的移动终端，也可以为读卡装置和移动终端。

第一加密信息发送单元220将第一加密信息发送至用户设备，以便用户设备对CPU卡的相关目录进行外部认证。例如，将加密后的外部认证随机数发送至用户设备，由用户设备使用该加密后的外部认证随机数完成CPU卡的相关目录外部认证。

MAC读取命令生成单元230将接收到的CPU卡的第二信息生成MAC(Message Authentication Code，安全报文鉴别码)读取命令。例如接收到用户设备发送的CPU卡的MAC数据随机数后，MAC读取命令生成单元230根据MAC数据随机数生成MAC认证密钥和MAC读取命令。

MAC读取命令发送单元240将MAC读取命令发送至用户设备，以便用户设备根据MAC读取命令读取CPU卡相关目录下的加密数据信息。

加密数据信息解密单元250接收到用户设备发送的加密数据信息后根据MAC认证密钥对加密数据信息进行解密。用户设备将CPU卡相关目录下的加密数据信息发送至云平台，云平台根据MAC认证密钥对加密数据信息解密后，才对数据的实际内容通过RSA非对称解密，云平台可以将解密后的数据发送至用户设备进行显示。

在该实施例中，云平台将接收到的CPU卡的第一信息生成第一加密信息，并将第一加密信息发送至用户设备，以便用户设备对CPU卡的相关目录进行外部认证；将接收到的CPU卡的第二信息生成安全报文鉴别码MAC读取命令，并将MAC读取命令发送至用户设备，以便用户设备根据MAC读取命令读取CPU卡相关目录下的加密数据信息；接收到用户设备发送的加密数据信息后根据MAC认证密钥对加密数据信息进行解密，能够提高CPU卡加密认证的安全性，另外，该实施例省去了PSAM卡用来做母卡的加密认证方式，直接采用云平台来完成加密认证，用户无需携带PSAM卡，省去了PSAM卡损坏丢失等风险。

图3为本实用新型用于CPU卡加密认证的云平台的再一个实施例的结构示意图。该云平台包括用户设备认证单元310、第一信息接收单元320、第一信息加密单元330、第一加密信息发送单元340、第二信息接收单元350、MAC读取命令生成单元360、MAC读取命令发送单元370和加密数据信息解密单元380，用户设备认证单元310、第一信息接收单元320、第一信息加密单元330、第一加密信息发送单元340、第二信息接收单元350、MAC读取命令生成单元360、MAC读取命令发送单元370和加密数据信息解密单元380可以通过电路及组合以及其它硬件设备实现，可以是PLC、集成电路、相关部件等组成的具体的硬件装置。其中：

用户设备认证单元310与第一信息接收单元320电连接，第一信息接收单元320与第一信息加密单元330电连接，第一信息加密单元330与第一加密信息发送单元340电连接，第一加密信息发送单元340与第二信息接收单元350电连接，第二信息接收单元350与MAC读取命令生成单元360电连接，MAC读取命令生成单元360与MAC读取命令发送单元370电连接，MAC读取命令发送单元370与加密数据信息解密单元380电连接。

用户设备认证单元310接收用户设备的MAC地址和授权数据后对用户设备进行认证。该用户设备可以包括读卡装置和移动终端，当用户在移动终端登陆账号和密码后，云平台可以对移动终端认证；移动终端与读卡装置配对后，移动终端可以读取读卡装置的MAC地址和授权数据，并将该MAC地址和授权数据发送至云平台，云平台可以认证读卡装置的合法性。如果该用户设备为具有NFC功能的移动终端，则可以仅对移动终端进行认证。

第一信息接收单元320接收用户设备发送的CPU卡的相关目录外部认证随机数和用户标识。第一信息加密单元330根据用户标识生成外部认证密钥，并通过外部认证密钥加密外部认证随机数。第一加密信息发送单元340将将加密后的外部认证随机数发送至用户设备，以便用户设备对CPU卡的相关目录进行外部认证。第二信息接收单元350接收用户设备发送的CPU卡的MAC数据随机数。MAC读取命令生成单元360根据MAC数据随机数生成MAC认证密钥和MAC读取命令。MAC读取命令发送单元370将MAC读取命令发送至用户设备，以便用户设备根据MAC读取命令读取CPU卡相关目录下的加密数据信息。加密数据信息解密单元380接收用户设备发送的加密数据信息后根据MAC认证密钥对加密数据信息进行解密。云平台根据MAC认证密钥对加密数据信息解密后，才通过RSA非对称解密出实际数据内容，云平台可以将解密后的数据发送至用户设备进行显示。

在该实施例中，省去了PSAM卡用来做母卡的加密认证方式，直接采用云平台来完成加密认证，用户无需携带PSAM卡，省去了PSAM卡损坏丢失等风险；另外，由于采用云平台来认证CPU卡，云平台数据存储空间大，可以在发卡的时候对卡片目录的实际内容采用RSA非对称加密，认证时可以从平台数据库获取密钥采用RSA非对称解密对数据内容进行解密，非对称加解密，数据的安全性更高；再者，密钥直接由云平台来管理，可以随时更新和作废已发行的CPU卡片，维护更方便安全。

图4为本实用新型用于CPU卡加密认证的用户设备的一个实施例的结构示意图。该用户设备包括第一模块410和第二模块420，第一模块410和第二模块420电连接，第一模块410和第二模块420可以集成在具有NFC功能的移动终端，也可为分别为读卡装置和移动终端。

第一模块410将CPU卡的第一信息通过第二模块420发送至云平台，以便云平台根据第一信息生成第一加密信息，例如，将CPU卡的相关目录外部认证随机数和用户标识通过第二模块420发送至云平台，云平台根据用户标识生成外部认证密钥，并通过外部认证密钥加密外部认证随机数。

第一模块410还接收云平台通过第二模块420发送的第一加密信息，根据第一加密信息对CPU卡的相关目录进行外部认证；例如，通过第二模块420接收云平台发送的加密后的外部认证随机数，对CPU卡的相关目录进行外部认证。

第一模块410还将CPU卡的第二信息通过第二模块420发送至云平台，以便云平台根据第二信息生成MAC读取命令；例如，将CPU卡的MAC数据随机数通过第二模块420发送至云平台，云平台根据MAC数据随机数生成MAC认证密钥和MAC读取命令。

第一模块410还接收云平台通过第二模块420发送的MAC读取命令，根据MAC读取命令读取CPU卡相关目录下的加密数据信息。

第一模块410还将加密数据信息通过第二模块420发送至云平台，以便云平台根据MAC认证密钥对加密数据信息进行解密；云平台根据MAC认证密钥对加密数据信息解密后，才通过RSA非对称解密出实际数据内容，云平台可以将解密后的数据发送至用户设备进行显示。

第二模块420转发第一模块410发送的信息以及显示加密数据信息内容。

在该实施例中，用户设备将CPU卡的第一信息发送至云平台，以便云平台根据第一信息生成第一加密信息；接收云平台发送的第一加密信息，根据第一加密信息对CPU卡的相关目录进行外部认证；将CPU卡的第二信息发送至云平台，以便云平台根据第二信息生成MAC读取命令；接收云平台发送的MAC读取命令，根据MAC读取命令读取CPU卡相关目录下的加密数据信息；将加密数据信息发送至云平台，以便云平台根据MAC认证密钥对加密数据信息进行解密，能够提升CPU卡加密认证的安全性；另外，直接采用云平台来完成加密认证，无需携带PSAM卡，省去了PSAM卡损坏丢失等风险；结合智能终端来使用，无需额外增加PC等显示终端，还能够减少设备体积，应用更加方便快捷。

在本实用新型的另一个实施例中，第一模块410还用于将自身的MAC地址和授权数据通过第二模块420发送至云平台，以便在云平台进行认证。该用户设备可以包括读卡装置和移动终端，当用户在移动终端登陆账号和密码后，云平台可以对移动终端认证；移动终端与读卡装置配对后，移动终端可以读取读卡装置的MAC地址和授权数据，并将该MAC地址和授权数据发送至云平台，云平台可以认定读卡装置的合法性。如果该用户设备为具有NFC功能的移动终端，则可以仅对移动终端进行认证。

在该实施例中，在当前移动互联网的快速发展和智能手机的广泛应用的背景下，采用智能手机等用户设备作为介质，将密钥管理由传统的PSAM卡配合硬件的方式转移到云平台虚拟介质来完成密钥管理和认证，可有效的消除传统方式带来的不足之处。

在上述实施例中，已经介绍用户设备可以包括读卡装置和移动终端，也可以将读卡装置集成到移动终端中，其中用于CPU卡加密认证的系统包括上述用户设备510和上述云平台520，图5以用户设备510包括读卡装置511和移动终端512为例对本实用新型的CPU卡加密认证的系统进行介绍装置511可以包括13.56MHA的读卡芯片，并具有蓝牙模式。

用户打开移动终端管理软件和3G、4G、WIFI上网功能，输入管理帐号和密码，系统会自动提示打开蓝牙BLE功能，打开读卡装置511电源开关，管理软件会自动查找读卡装置511，选择系统找到的读卡装置511进行配对，完成配对后，可以直接用读卡装置511读卡，即可自动完成CPU卡、读卡装置511、移动终端512和云平台520之间的交互过程。

用户在移动终端512登陆账号、密码，由云平台520进行认证。移动终端512与读卡装置511配对，读取读卡装置511的MAC地址和授权数据，并将读卡装置511的MAC地址和授权数据发送至云平台520，由云平台520认证读卡装置511的合法性。读卡装置511读取CPU卡的相关目录外部认证随机数R1和用户标识UID，并通过BLE(Bluetooth Low Energy，低功耗蓝牙)发送至移动终端512，移动终端512将信息发送至云平台520。云平台520根据用户标识UID，从密钥库生成外部认证密钥k1，并通过外部认证密钥k1加密外部认证随机数R1生成加密的外部认证随机数k1(R1)。读卡装置511通过移动终端512接收云平台520发送的加密后的外部认证随机数k1(R1)。读卡装置511使用此k1(R1)对CPU卡的相关目录进行外部认证。读卡装置511获取CPU卡的MAC数据随机数R2，并通过移动终端512发送至云平台520。云平台520根据MAC数据随机数R2生成MAC认证密钥k2和MAC读取命令C。云平台520通过移动终端512向读卡装置511发送MAC读取命令C。读卡装置511通过MAC读取命令C读取CPU卡相关目录下的加密数据信息E(data)。读卡装置511通过移动终端512将加密数据信息E(data)发送至云平台520。云平台520根据MAC认证密钥k2对加密数据信息E(data)进行解密。云平台520根据MAC认证密钥对加密数据信息解密后，才对数据的实际内容通过RSA非对称解密出实际数据内容data。云平台520将CPU卡解密后的信息data发送至移动终端512进行显示。

在上述实施例中，读卡装置511与CPU卡之间通过WIFI等移动网络交换，主要采用DES和3DES进行认证，即标准的CPU卡支持的加密方式；读卡装置511与移动终端512交互主要用到AES加密和蓝牙BLE链路层加密；移动终端512与云平台520之间通过3G、4G、WIFI广域网等网络交互，数据交互采用AES加密算法加密；云平台520对CPU卡目录内容采用RSA非对称加解密的方式来加解密实际数据内容。

针对支持NFC功能的移动终端，该实施例还可以直接省去读卡装置部分，如图6所示，改为移动终端610直接与CPU卡操作，然后与云平台620完成加密认证，此种方式与上述描述的区别为省去了读卡装置的认证过程，直接由移动终端610的NFC功能代替，实现卡--手机--平台之间直接的交互。交换流程减少了读卡装置认证的步骤，其他的步骤如将移动终端的数据传输和读卡装置的读卡操作合并到智能终端上来完成，流程更加简便。

在上述实施例中，CPU卡的加密认证模式由传统的PASM卡修改为直接通过云平台来完成认证，省去了PSAM卡损坏丢失等风险。将传统的读卡装置读卡认证修改为结合智能移动终端的方式更方便快捷；利用云平台数据存储量大的特点可以支持RSA非对称加密对卡片目录的实际内容进行RSA非对称加密，保证数据认证较高的安全性，并且密钥直接由云平台来管理，可以随时更新和作废已发行的CPU卡片，维护更方便安全。

至此，已经详细描述了本实用新型。为了避免遮蔽本实用新型的构思，没有描述本领域所公知的一些细节。本领域技术人员根据上面的描述，完全可以明白如何实施这里公开的技术方案。

虽然已经通过示例对本实用新型的一些特定实施例进行了详细说明，但是本领域的技术人员应该理解，以上示例仅是为了进行说明，而不是为了限制本实用新型的范围。本领域的技术人员应该理解，可在不脱离本实用新型的范围和精神的情况下，对以上实施例进行修改。本实用新型的范围由所附权利要求来限定。