[发明专利]一种IC卡应用数据传输的方法及系统

说明书

技术领域

本发明属于数据通信技术领域，特别涉及一种IC卡应用数据传输的方法及系统。

背景技术

目前，我国大部分城市应用了不同规模的公共事业IC卡系统，发卡量不断增多，绝大多数的IC卡应用系统都选择非接触式逻辑加密卡，其应用范围已覆盖公交、地铁、出租、轮渡、自来水、燃气、风景园林及小额消费等领域。但是，很多IC卡应用的安全性都很差，如使用逻辑加密卡的一卡通应用。虽然逻辑加密卡具有防止对卡中信息随意改写功能，当对逻辑加密卡进行操作时必须首先核对卡中密码，只有核对正确，卡中送出正确的状态码应答时，才能对卡进行的操作，由于只进行一次认证，且无其它的安全保护措施，其安全性能很低。更为糟糕的是，在逻辑加密卡的圈存过程中，密钥会以明文形式传输，这样就很容易导致敏感数据的泄露，被第三方非法窃取，给IC卡应用系统带来安全隐患，导致密码的泄露和伪卡的产生。可见在现有的很多IC卡应用中，向IC卡中写入敏感数据或关键数据时，安全性得不到保证，安全性较弱。

发明内容

为了解决现有技术中IC卡应用数据传输安全性较弱的问题，本发明实施例提供了一种IC卡应用数据传输的方法，包括：

第一装置接收第二装置生成并发送的第一随机数；

第一装置使用根据IC卡的卡片信息生成的传输安全密钥和第一随机数获得第一过程密钥；

第二装置使用根据IC卡的卡片信息生成的传输安全密钥和第一随机数获得第二过程密钥；

第二装置使用第二过程密钥对第一公共数据进行加密生成第一认证码并向第一装置发送；

第一装置使用第一过程密钥和第一公共数据对第一认证码进行认证；

第二装置根据第一认证码认证通过，向第一装置发送通过第二过程密钥加密的应用数据。

同时本发明实施例还提供一种IC卡应用数据传输的系统，包括：

第一装置，用于接收第二装置生成并发送的第一随机数，根据IC卡的卡片信息生成的传输安全密钥和第一随机数获得第一过程密钥，使用第一过程密钥和第一公共数据对第一认证码进行认证；

第二装置，根据IC卡的卡片信息生成的传输安全密钥和第一随机数获得第二过程密钥，使用第二过程密钥对第一公共数据进行加密生成第一认证码并向第一装置发送，根据第一认证码认证通过，向第一装置发送通过第二过程密钥加密的应用数据。

由本发明提供的具体实施方案可以看出，正是通过生成的过程密钥加密应用数据，安全性得到提高。

附图说明

图1为本发明提供的第一实施例系统结构图；

图2为本发明提供的第一实施例方法流程图；

图3为本发明提供的第二实施例方法流程图；

图4为本发明提供的第三实施例方法流程图；

图5为本发明提供的第四实施例系统结构图。

具体实施方式

为了解决现有技术中IC卡应用数据传输安全性较弱的问题的问题，本发明第一实施例是一种IC卡应用数据传输的方法，该方法应用的系统，如图1所示，包含IC卡10和服务器20两个部分，服务器向IC卡发送的应用APDU指令要经过了加密和认证码MAC校验，这样保证数据的传输安全性，APDU指令到达IC卡后，首先解密并校验MAC，然后在IC卡中的APDU指令的安全性由卡片COS保证，以同样的方式保证卡片返回状态字及响应数据的安全性。在服务器向IC卡应用下发APDU指令前，首先由服务器和IC卡交互产生过程密钥，之后的数据传输都在过程密钥的加密下进行。

发卡前要对卡片做个人化操作，向IC卡写入卡片传输安全密钥，传输安全密钥是通过主密钥对卡片信息(如卡片应用序列号)进行密钥分散而得出的。该方法流程图如图2所示，包括以下步骤：

步骤101：服务器端生成一个随机数A。

步骤102：服务器端把随机数A放入一条APDU指令中，下发到IC卡。这条APDU同时指示建立安全连接的过程开始。即这条APDU为协商密钥APDU。

步骤103：IC卡生成一个随机数B。

步骤104：IC卡使用随机数A+随机数B+传输安全密钥计算过程密钥。密钥计算过程为使用传输安全密钥对随机数A和随机数B加密。

步骤105：IC卡把随机数B作为密钥协商APDU响应传给服务器端。

步骤106：服务器端获取卡片信息，使用主密钥对卡片信息进行分散得到传输安全密钥。这个分散算法同卡片个人化时使用的分散算法一致。具体实施时，服务器可以在之前向IC卡发送一条APDU指令以获取卡片信息。