用于物理身份凭证联网阅读的安全通信系统及方法

用于物理身份凭证联网阅读的安全通信系统及方法
【专利摘要】本发明涉及一种用于二代身份证联网阅读的安全通信系统及方法，其中所述的系统包括二代证应用业务端、二代证应用认证服务端和SAM_V服务器端，二代证应用业务端包括通用安全控制单元和读卡单元，二代证应用认证服务端包括设备认证单元和会话密钥管理单元。采用该种结构的系统及方法，由于在二代证联网阅读系统中引入通信保密会话密钥对联网阅读过程中的通信数据进行加密传输，因此可以有效防止攻击者分析二代证阅读操作流程并用于仿冒和篡改二代证阅读通信数据；另外增加的二代证应用认证服务端可以向业务端提供设备认证和操作人身份认证及授权服务，可用于设备控制、操作记录和追踪，大大提高了业务系统的安全性。
【专利说明】
用于物理身份凭证联网阅读的安全通信系统及方法
技术领域
[0001]本发明涉及安全通信技术领域，尤其涉及物理身份凭证联网阅读时的安全通信系统技术领域，具体是指一种用于物理身份凭证联网阅读的安全通信系统及方法。
【背景技术】
[0002]我国自2004年开始启动换发第二代智能身份证，第二代智能身份证采用非接触式IC智能卡技术，实现了身份证的机读功能。传统的第二代身份证阅读器采用安全访问和控制单元(SAM_V)与射频单元安装在一起来完成身份证内信息控制、安全验证和输出功能。这种方式的问题在于每个二代证阅读器必须配备一个加密单元(SAM_V)，由于SMA不仅体积大而且价格昂贵，因此造成二代证阅读机具体积大、价格高，同时一体式的结构无法实现身份信息的异地验证。
[0003]在专利ZL 200510032961.1中提出了一种共享SAM_V实现二代身份证联网阅读的系统和方法。该方法实现多个二代证阅读机具通过网络共享使用一个或多个SAM_V，不仅节约了机具的体积和耗电量还使得阅读机具中一体式的射频阅读部分与SAM_V安全验证部分由紧密结合转为网络连接的两个相互独立部分，实现了阅读与安全验证、结果显示相分离。
[0004]但专利ZL 200510032961.1描述的联网阅读二代证的方式存在安全隐患，由于阅读部分与验证部分相分离，使得阅读二代证的所有操作指令和响应数据均通过网络明文传输，而且验证端无法确认连接业务终端的阅读机具的有效性以及操作人是否获得授权。数据明文传输就会给攻击者分析二代证操作流程带来极大便利即使从二代证中读取的部分数据本身是被加密的。机具无法认证以及操作人身份无法识别，也会给一些高安全要求的业务环境带来隐患。

【发明内容】

[0005]本发明的目的是克服了上述现有技术的缺点，提供了一种用于二代身份证联网阅读的安全通信系统及方法，对二代证应用业务端二代证阅读机具设备进行认证和基于操作人身份进行使用授权，并与二代证SAM_V服务器端进行通信保密会话密钥同步的二代证安全联网阅读系统，可以解决二代证联网阅读系统中的数据明文网络传输、阅读机具设备和操作人无法确认的安全问题。
[0006]为了实现上述目的，本发明具有如下构成:
[0007]该用于二代身份证联网阅读的安全通信系统及方法，其主要特点是，所述的系统包括二代证应用业务端、二代证应用认证服务端和3々1_￥服务器端，所述的二代证应用业务端包括通用安全控制单元和读卡单元，所述的二代证应用认证服务端包括设备认证单元和会话密钥管理单元，其中:
[0008]所述的读卡单元访问二代身份证并获取二代身份证的信息；
[0009]所述的通用安全控制单元存储有设备认证单元签发的证书、对应的设备公私钥和会话密钥管理单元生成的通信保护会话密钥；
[0010]所述的设备认证单元对二代证应用业务端签发证书，以及对通用安全控制单元中存储的证书进行认证；
[0011 ]所述的会话密钥管理单元生成通信保密会话密钥；
[0012]所述的SAM_V服务器端接收所述的会话密钥管理单元推送的通信保密会话密钥，并使用该通信保密会话密钥对二代身份证访问指令和响应数据进行加密。
[0013]较佳地，所述的通用安全控制单元还存储有操作人身份验证数据。
[0014]较佳地，所述的二代证应用认证服务端还包括操作人认证和授权单元，用以对操作人身份认证载体进行认证。
[0015]较佳地，所述的读卡单元通过射频接口与二代身份证通信，通过接触式智能卡接口、非接触式智能卡接口或蓝牙接口与操作人身份载体设备通信。
[0016]本发明还涉及一种基于所述的系统用于二代身份证联网阅读的安全通信系统，其主要特点是，所述的方法包括以下步骤:
[0017](I)所述的设备认证单元对通用安全控制单元中存储的证书进行认证；
[0018](2)所述的会话密钥管理单元生成通信保密会话密钥；
[0019](3)所述的SAM_V服务器端使用该通信保密会话密钥对二代身份证访问指令和响应数据进行加密；
[0020](4)所述的读卡单元访问二代身份证并获取二代身份证信息。
[0021]较佳地，所述的步骤(I)包括以下步骤:
[0022](1-A-1)所述的通用安全控制单元对存储的证书进行哈希计算获得证书的哈希值，并将证书和证书的哈希值发送至设备认证单元；
[0023](1-A-2)所述的设备认证单元通过查询设备证书撤销列表检查证书是否有效，如果是，则继续步骤(2)，否则继续步骤(1-A-3);
[0024](1-A-3)所述的设备认证单元提示认证失败，然后结束退出。
[0025]更佳地，所述的步骤(2)，具体为:
[0026]所述的会话密钥管理单元生成通信保密会话密钥，并使用证书对应的设备公钥加密成保密会话密钥密文。
[0027]更进一步地，所述的步骤(4)包括以下步骤:
[0028](4-A-1)所述的通用安全控制芯片使用通信保密会话密钥解密所述的SAM_V服务器端发送来的二代证访问指令密文，并通过读卡单元发送给二代身份证，获取二代身份证对访问指令的响应；
[0029](4-A-2)所述的通用安全控制单元使用通信保密会话密钥对二代身份证的响应进行加密并发送给所述的SAM_V服务器端。
[0030]较佳地，所述的步骤(I)，包括以下步骤:
[0031](1-B-1)操作人在所述的二代证应用业务端输入PIN码，并由操作人身份载体进行验证；
[0032](1-B-2)所述的通用安全控制单元对存储的证书进行哈希计算获得证书的哈希值，并将证书的哈希值发送操作人身份载体请求签名；
[0033](1-B-3)操作人身份载体采用操作人私钥对待签名数据进行签名生成签名值；
[0034](1-B-4)所述的二代证应用业务端将证书、证书的哈希值和签名值发送给所述的二代证应用认证服务端；
[0035](1-B-5)所述的设备认证单元通过查询设备证书撤销列表检查证书是否有效，如果是，则继续步骤(1-B-7)，否则继续步骤(1-B-6)；
[0036](1-B-6)所述的设备认证单元提示认证失败，然后结束退出；
[0037](1-B-7)所述的操作人认证和授权单元对签名值进行验证，验证通过则继续步骤
(2)，否则继续步骤(1-B-8);
[0038](1-B-8)所述的操作人认证和授权单元提示认证失败，然后结束退出。
[0039]采用了该发明中的用于二代身份证联网阅读的安全通信系统及方法，由于在二代证联网阅读系统中引入通信保密会话密钥对联网阅读过程中的通信数据进行加密传输，因此可以有效防止攻击者分析二代证阅读操作流程并用于仿冒和篡改二代证阅读通信数据。另外增加的二代证应用认证服务端可以向业务端提供设备认证和操作人身份认证及授权服务，可用于设备控制、操作记录和追踪，大大提高了业务系统的安全性，具有更广泛的应用范围。
【附图说明】
[0040]图1为本发明的用于二代身份证联网阅读的安全通信系统的结构示意图。
[0041]图2为本发明的用于二代身份证联网阅读的安全通信方法的第一实施例的流程图。
[0042]图3为本发明的用于二代身份证联网阅读的安全通信方法的第二实施例的流程图。
【具体实施方式】
[0043]为了能够更清楚地描述本发明的技术内容，下面结合具体实施例来进行进一步的描述。
[0044]为了解决二代证联网阅读系统中的安全问题，本发明采用的技术方案是采用CS((:116111:-361^61')架构搭建二代证应用认证系统并与二代证341_￥服务器端对接，二代证应用认证系统包括二代证应用认证业务端(Client端)和二代证应用认证服务端(Server端)，其中在二代证应用认证业务端使用的阅读机具设备包括读卡单元和通用安全控制单元用于设备控制，生成基于非对称密码算法的设备公私钥对，保存设备公钥对应的设备证书以及用于通信加解密的对称会话密钥。在二代证应用认证服务端(Server端)部署设备认证单元、操作人身份认证和授权单元以及会话密钥管理单元。会话密钥管理单元可与二代证SAM_V服务器端安全同步会话密钥。在二代证SAM_V服务器端增加一个密码运算单元用于使用会话密钥进行二代证验证指令和响应数据加解密。
[0045]具体来讲，二代证应用认证系统中业务端与认证服务端采用网络通信，认证服务端与务器端根据实际需要既可以通过网络通信，也可以结合为一体。
[0046]业务端使用的阅读机具设备在部署前应事先在安全单元中生成设备公私钥对并向认证服务端的设备认证单元申请下载设备证书。阅读机具设备可以通过读卡接口访问二代证和操作人身份载体。
[0047]操作人身份载体是颁发给业务端使用者的支持非对称密码算法的智能安全设备，可通过PIN校验或数字签名技术提供操作人身份证明。操作人身份载体可以是阅读机具设备中的安全单元，也可以是包括双界面标准智能卡、手机SIM卡等多种形式的其它含有安全芯片的设备。
[0048]二代证应用认证服务端中的设备认证单元可以向业务端的阅读机具设备签发设备证书并进行认证，只有通过认证的设备才能申请通信保密会话密钥。
[0049]二代证应用认证服务端中的操作人身份认证和授权单元可以对业务端提交的数字签名形式的操作人身份证明进行验证并根据验证结果判定该人是否有权操作业务端阅读机具设备。只有授权的操作人在使用业务端阅读机具设备时才能将获得的通信保密会话密钥导入设备中的安全单元。
[0050]二代证应用认证服务端中的会话密钥管理单元用于生成通信保密会话密钥，与业务端阅读机具设备和二代证3六1_￥服务器端同步会话密钥，以及在安全策略要求下失效会话密钥。
[0051]下面结合附图以及具体实施示例详细说明本发明所述二代身份证联网阅读安全通信系统。
[0052]如图1所示，本发明所述二代身份证联网阅读安全通信系统是对原二代身份证联网阅读系统进行改造。其中在二代证应用业务端采用安装了通用安全控制单元的阅读机具设备，该设备可以通过读卡单元的射频接口访问二代身份证或通过其它如接触/非接触智能卡接口、蓝牙接口等访问操作人身份载体。通用安全控制单元上装载了片上操作系统(COS)，提供非对称密码算法计算功能、证书管理功能、会话密钥管理和加解密以及读卡单元访问功能。具体来说包括公私钥对生成、数字签名/验签、证书导入和读取、会话密钥加密导入以及会话密钥加密/解密等指令。通用安全控制单元在阅读机具设备部署前应预先生成设备认证用公私钥对并申请下载了设备证书和证书签名机构公钥证书。
[0053]操作人身份载体是操作人身份证明设备，其上装载了片上操作系统(COS)，提供非对称密码算法计算功能，可进行数字签名计算。在载体发放前应预先生成操作人公私钥对并申请下载了公钥证书。操作人身份和载体的绑定关系保存在二代证应用认证服务端。操作人身份载体可以使用阅读机具设备中的安全控制单元。
[0054]二代证应用认证服务端包括阅读机具设备认证单元、操作人身份认证和授权单元和会话密钥管理单元。其中阅读机具设备认证单元完成对设备证书的签发和认证，认证方式包括证书撤销列表(CRL)查询和设备私钥签名验证等。只有通过设备认证的阅读机具设备才可以与二代证SAM_V服务器端通信。操作人身份认证和授权单元是对操作人身份载体中保存的操作人公钥证书进行CRL查询并对使用操作人私钥计算的数字签名进行验证，一般进行数字签名的待签名数据可以为设备证书的Hash值。如果使用阅读机具设备中的安全控制单元作为操作人身份载体，可以采用操作人脱机PIN校验的方式简化操作人身份认证和授权，此时操作人身份认证和授权单元可以省略。如果通过操作人身份认证，操作人身份认证和授权单元则根据授权策略决定该操作人是否可以使用该阅读机具设备进行二代证阅读。只有该操作人具有设备使用权，才会通知会话密钥管理单元生成会话密钥。会话密钥管理单元用于生成二代证联网阅读使用的通信保密会话密钥，并向二代证3六1_￥服务器端安全推送该密钥，同时使用阅读机具设备公钥加密该会话密钥后发送给指定的阅读机具设备。另外，还可以根据安全策略要求失效会话密钥。
[0055]二代证SAM_V服务器端增加了密码运算单元用于接收二代证应用认证服务端推送过来的通信保密会话密钥，并使用该密钥将原来是明文方式传输的二代证访问指令和响应数据进行加密。
[0056]本发明系统在需要使用二代证联网阅读的应用中，提供了一个即可独立部署又可以与原联网阅读系统融合的认证加密平台，确保了联网阅读过程的安全和可信。本发明系统的使用方式按照操作人身份认证方式的不同可以分为两种，图2所示的是采用脱机PIN校验操作人身份的联网阅读二代证流程。
[0057]1、业务端安装的认证应用读取阅读机具设备安全控制单元中的设备证书Cert，该设备证书是由服务端的设备认证单元签发并预制到安全控制单元中，与安全控制单元中的设备公私钥对对应；
[0058]2、认证应用对Cert进行Hash (哈希)计算获得CertHash，并将Cert和CertHash通过网络发送给二代证应用认证服务端申请通信保密会话密钥SK;
[0059]3、二代证应用认证服务端中的设备认证单元通过查询设备证书撤销列表CRL检查认证应用上传的Cert是否有效；
[0060]4、二代证应用认证服务端的会话密钥管理单元生成SK，并使用Cert对应的设备公钥对其加密生成SK密文；
[0061 ] 5、二代证应用认证服务端将SK明文和CertHash通过安全通道推送给二代证SAM_V服务器端，并在SAM_V服务器端以CertHash为索引建立会话密钥列表以对应不同的联网阅读进程；
[0062]6、二代证应用认证服务端将SK密文返回给业务端的认证应用；
[0063]7、在认证应用中校验保存在阅读机具设备的安全控制单元中的操作人PIN;
[0064]8、调用阅读机具设备中的安全控制单元导入会话密钥接口将SK密文导入到安全控制单元中；
[0065]9、认证应用向二代证SAM_V服务器端申请联网阅读二代证并上传CertHash;
[0066]10、SAM_V服务器端受理联网阅读申请，通过CertHash查找到对应的SK，并调用密码运算单元的加密接口使用SK将读证指令进行加密，务器端将读证指令密文发送给认证应用；
[0067]11、认证应用调用安全控制单元的读证接口将读证指令密文发送给安全控制单元；
[0068]12、安全控制单元在内部使用SK对读证指令进行解密并将读证指令明文通过读卡单元发送给二代证；
[0069]13、二代证返回读证响应给安全控制单元；
[0070]14、安全控制单元在内部使用SK对读证响应进行加密并将读证响应密文通过返回给认证应用；
[0071 ] 15、认证应用将CertHash和读证响应密文返回给二代证SAM_V服务器端；
[0072]16、重复11?16步骤，在SK的加密保护下联网完成二代证信息的读取；
[0073]17、二代证SAM_V服务器端将CertHash和使用SK加密的完整的二代证信息密文发送给认证应用；
[0074]18、认证应用调用安全控制单元的解密接口将二代证信息密文发送给安全控制单元；
[0075]19、安全控制单元在内部将二代证信息密文解密后将信息明文返回给认证应用。
[0076]图3所示的是采用数字签名校验操作人身份的联网阅读二代证流程。
[0077]1、业务端安装的认证应用读取阅读机具设备安全控制单元中的设备证书Cert;
[0078]2、认证应用通过阅读机具设备输入操作人PIN码，并由操作人身份载体进行验证，该PIN是脱机PIN，只能保存在身份载体中；
[0079]3、认证应用对Cert进行Hash计算获得CertHash，并将其作为待签名数据通过阅读机具设备发送给操作人身份载体请求签名，操作人身份载体使用内部保存的操作人私钥对待签名数据进行数字签名生成签名值Sig并返回给认证应用；
[0080]4、认证应用将Cert、操作人证书和Sig通过网络发送给二代证应用认证服务端申请通信保密会话密钥SK;
[0081 ] 5、二代证应用认证服务端中的设备认证单元通过查询设备证书撤销列表CRL检查认证应用上传的Cert是否有效；
[0082]6、二代证应用认证服务端中的操作人认证和授权单元对认证应用上传的Sig进行签名验证，确认操作人身份，再按照授权策略判断该操作人是否有权使用这个设备进行二代证联网阅读;检查通过才能调用会话密钥管理单元生成SK，并使用Cert对应的设备公钥对其加密生成SK密文；
[0083]7、二代证应用认证服务端将SK明文和CertHash通过安全通道推送给二代证SAM_V服务器端，并在SAM_V服务器端以CertHash为索引建立会话密钥列表以对应不同的联网阅读进程；
[0084]8、二代证应用认证服务端将SK密文返回给业务端的认证应用；
[0085]9、认证应用调用阅读机具设备中的安全控制单元导入会话密钥接口将SK密文导入到安全控制单元中；
[0086]10、认证应用向二代证SAM_V服务器端申请联网阅读二代证并上传CertHash;
[0087]11、SAM_V服务器端受理联网阅读申请，通过CertHash查找到对应的SK，并调用密码运算单元的加密接口使用SK将读证指令进行加密，务器端将读证指令密文发送给认证应用；
[0088]12、认证应用调用安全控制单元的读证接口将读证指令密文发送给安全控制单元；
[0089]13、安全控制单元在内部使用SK对读证指令进行解密并将读证指令明文通过读卡单元发送给二代证；
[0090]14、二代证返回读证响应给安全控制单元；
[0091]15、安全控制单元在内部使用SK对读证响应进行加密并将读证响应密文通过返回给认证应用；
[0092]16、认证应用将CertHash和读证响应密文返回给二代证SAM_V服务器端；
[0093]17、重复11?16步骤，在SK的加密保护下联网完成二代证信息的读取；
[0094]18、二代证SAM_V服务器端将CertHash和使用SK加密的完整的二代证信息密文发送给认证应用；
[0095]19、认证应用调用安全控制单元的解密接口将二代证信息密文发送给安全控制单元；
[0096]20、安全控制单元在内部将二代证信息密文解密后将信息明文返回给认证应用。
[0097]采用了该发明中的用于二代身份证联网阅读的安全通信系统及方法，由于在二代证联网阅读系统中引入通信保密会话密钥对联网阅读过程中的通信数据进行加密传输，因此可以有效防止攻击者分析二代证阅读操作流程并用于仿冒和篡改二代证阅读通信数据。另外增加的二代证应用认证服务端可以向业务端提供设备认证和操作人身份认证及授权服务，可用于设备控制、操作记录和追踪，大大提高了业务系统的安全性，具有更广泛的应用范围。
[0098]在此说明书中，本发明已参照其特定的实施例作了描述。但是，很显然仍可以作出各种修改和变换而不背离本发明的精神和范围。因此，说明书和附图应被认为是说明性的而非限制性的。
【主权项】
1.一种用于二代身份证联网阅读的安全通信系统，其特征在于，所述的系统包括二代证应用业务端、二代证应用认证服务端和SAM_V服务器端，所述的二代证应用业务端包括通用安全控制单元和读卡单元，所述的二代证应用认证服务端包括设备认证单元和会话密钥管理单元，其中: 所述的读卡单元访问二代身份证并获取二代身份证的信息； 所述的通用安全控制单元存储有设备认证单元签发的证书、对应的设备公私钥和会话密钥管理单元生成的通信保护会话密钥； 所述的设备认证单元对二代证应用业务端签发证书，以及对通用安全控制单元中存储的证书进行认证； 所述的会话密钥管理单元生成通信保密会话密钥； 所述的务器端接收所述的会话密钥管理单元推送的通信保密会话密钥，并使用该通信保密会话密钥对二代身份证访问指令和响应数据进行加密。2.根据权利要求1所述的用于二代身份证联网阅读的安全通信系统，其特征在于，所述的通用安全控制单元还存储有操作人身份验证数据。3.根据权利要求1所述的用于二代身份证联网阅读的安全通信系统，其特征在于，所述的二代证应用认证服务端还包括操作人认证和授权单元，用以对操作人身份认证载体进行认证。4.根据权利要求1所述的用于二代身份证联网阅读的安全通信系统，其特征在于，所述的读卡单元通过射频接口与二代身份证通信，通过接触式智能卡接口、非接触式智能卡接口或蓝牙接口与操作人身份载体设备通信。5.—种基于权利要求1至4中任一项所述的系统用于二代身份证联网阅读的安全通信系统，其特征在于，所述的方法包括以下步骤: (1)所述的设备认证单元对通用安全控制单元中存储的证书进行认证； (2)所述的会话密钥管理单元生成通信保密会话密钥； (3)所述的SAM_V服务器端使用该通信保密会话密钥对二代身份证访问指令和响应数据进行加密； (4)所述的读卡单元访问二代身份证并获取二代身份证信息。6.根据权利要求5所述的用于二代身份证联网阅读的安全通信系统，其特征在于，所述的步骤(I)包括以下步骤: (1-A -1)所述的通用安全控制单元对存储的证书进行哈希计算获得证书的哈希值，并将证书和证书的哈希值发送至设备认证单元； (1-A-2)所述的设备认证单元通过查询设备证书撤销列表检查证书是否有效，如果是，则继续步骤(2)，否则继续步骤(1-A-3)； (1-A-3)所述的设备认证单元提示认证失败，然后结束退出。7.根据权利要求6所述的用于二代身份证联网阅读的安全通信系统，其特征在于，所述的步骤(2)，具体为: 所述的会话密钥管理单元生成通信保密会话密钥，并使用证书对应的设备公钥加密成保密会话密钥密文。8.根据权利要求7所述的用于二代身份证联网阅读的安全通信系统，其特征在于，所述的步骤(4)包括以下步骤: (4-A-1)所述的通用安全控制芯片使用通信保密会话密钥解密所述的务器端发送来的二代证访问指令密文，并通过读卡单元发送给二代身份证，获取二代身份证对访问指令的响应； (4-A-2)所述的通用安全控制单元使用通信保密会话密钥对二代身份证的响应进行加密并发送给所述的务器端。9.根据权利要求5所述的用于二代身份证联网阅读的安全通信系统，其特征在于，所述的步骤(I)，包括以下步骤: (1-B-1)操作人在所述的二代证应用业务端输入PIN码，并由操作人身份载体进行验证； (1-B-2)所述的通用安全控制单元对存储的证书进行哈希计算获得证书的哈希值，并将证书的哈希值发送操作人身份载体请求签名； (1-B-3)操作人身份载体采用操作人私钥对待签名数据进行签名生成签名值； (1-B-4)所述的二代证应用业务端将证书、证书的哈希值和签名值发送给所述的二代证应用认证服务端； (1-B-5)所述的设备认证单元通过查询设备证书撤销列表检查证书是否有效，如果是，则继续步骤(1-B-7)，否则继续步骤(1-B-6)； (1-B-6)所述的设备认证单元提示认证失败，然后结束退出； (1-B-7)所述的操作人认证和授权单元对签名值进行验证，验证通过则继续步骤(2)，否则继续步骤(1-B-8); (1-B-8)所述的操作人认证和授权单元提示认证失败，然后结束退出。
【文档编号】G06K7/10GK105915549SQ201610442659
【公开日】2016年8月31日
【申请日】2016年6月20日
【发明人】胡永涛, 胥怡心, 赵宏伟
【申请人】公安部第三研究所