专利名称:一种数据安全发送与接收的方法、设备及系统的利记博彩app
技术领域:
本发明涉及网络安全技术领域,尤其涉及一种数据安全发送与接收的方法、设备 及系统。
背景技术:
网络安全传输技术是将待传输的原始信息进行加密和协议封装处理后嵌套装入 另一种协议的数据包,将所述数据包送入网络中像普通数据包一样进行传输的技术。所述 原始信息经过加密和协议封装处理后,只有源端和目的端的用户对传输通道中的嵌套信息 能够进行解释和处理,而对于其他用户而言是不可解密的。现有网络安全传输技术包括基于因特网密钥交换(IKE,Internet Key Exchange) 协议的技术和数字信封技术。所述基于因特网密钥交换协议的技术是通讯的源端和目的端 通过交换数据采用Diffie-Hellman算法来计算和生成共享密钥,并且采用公钥密码体制 对所述共享密钥进行身份认证。所述数字信封技术包括通讯的源端利用随机产生的对称 密钥加密数据,再利用目的端的公钥加密所述对称密钥,被公钥加密后的对称密钥被称之 为数字信封。在传递数据时,目的端若要解密数据,必须先用目的端的私钥解密数字信封, 得到所述对称密钥,利用所述对称密钥解密数据。但是本发明人发现现有技术中存在如下问题所述基于因特网密钥交换协议的技 术和所述数字信封技术均需要第三方权威认证机构进行身份认证和公钥分发,建立与第三 方权威认证机构的协议体系增加了数据安全传输系统的复杂度。
发明内容
本发明的实施例提供一种数据安全发送与接收的方法、设备及系统,能够使数据 安全传输的复杂性降低。为达到上述目的,本发明的实施例采用如下技术方案—种数据安全发送的方法,包括生成会话密钥,采用所述会话密钥对数据进行加密,形成加密数据;获取发送端的第一智能卡中的企业级密钥,采用所述企业级密钥对所述会话密钥 进行加密,形成加密会话密钥;将所述加密数据和所述加密会话密钥写入所述发送端的第二智能卡,经所述第二 智能卡向接收端发送包含所述加密数据和所述加密会话密钥的数据信息,其中,所述第二 智能卡为具有数据传输功能的智能卡。与所述数据发送方法相对应的,本发明实施例还提供一种数据安全接收的方法, 包括从第二智能卡获取从发送端获得的数据信息,其中,所述第二智能卡为具有数据 传输功能的智能卡,所述数据信息包括经发送端会话密钥加密的数据和经企业级密钥加密 的会话密钥;
获取接收端第一智能卡中的企业级密钥,采用所述企业级密钥解密所述数据信 息,得到经解密的会话密钥;采用所述经解密的会话密钥解密所述经发送端会话密钥加密的数据,得到数据。为实现上述数据安全发送的方法,本发明实施例提供一种数据安全发送的设备, 包括第一智能卡,用于生成会话密钥和存储企业级密钥,采用所述会话密钥对数据进 行加密,形成加密数据,并且采用所述企业级密钥对所述会话密钥进行加密,形成加密会话 密钥,将所述加密数据和所述加密会话密钥写入第二智能卡,经所述第二智能卡向接收端 发送包含所述加密数据和所述加密会话密钥的数据信息;其中,所述第二智能卡为具有数据传输功能的智能卡。为实现上述数据安全接收的方法,本发明实施例还提供一种数据安全接收的设 备,包括第二智能卡,用于获取发送端发送的数据信息,其中,所述第二智能卡为具有数据 传输功能的智能卡,所述数据信息包括经发送端会话密钥加密的数据和经企业级密钥加密 的会话密钥;第一智能卡,用于存储企业级密钥,获取所述第二智能卡获得的所述数据信息,采 用所述企业级密钥解密所述数据信息,得到经解密的会话密钥,采用所述经解密的会话密 钥解密所述经发送端会话密钥加密的数据,得到数据。本发明实施例还提供一种数据安全传输的系统,包括由发送端和接收端构成的 传输通道;其中,所述发送端包括发送端的第一智能卡,用于生成会话密钥和存储发送端的企业 级密钥,采用所述会话密钥对数据进行加密,形成加密数据,并且采用所述发送端的企业级 密钥对所述会话密钥进行加密,形成加密会话密钥,将所述加密数据和所述加密会话密钥 写入发送端的第二智能卡,经所述第二智能卡向接收端发送包含所述加密数据和所述加密 会话密钥的数据信息;其中,所述发送端的第二智能卡为具有数据传输功能的智能卡;所述接收端包括接收端的第二智能卡,用于获取发送端发送的所述数据信息,其 中,所述接收端的第二智能卡为具有数据传输功能的智能卡;接收端的第一智能卡,用于存储接收端的企业级密钥,获取接收端的所述第二智 能卡从发送端获得的所述数据信息,采用所述接收端的企业级密钥解密所述数据信息,得 到经解密的会话密钥,采用所述经解密的会话密钥解密所述经发送端会话密钥加密的数 据,得到数据。本发明实施例在数据安全发送时,采用会话密钥对数据进行加密,进一步地,由企 业级密钥对会话密钥进行加密,而将企业级密钥存储于第一智能卡设备中,由第一智能卡 保障企业级密钥的安全,将经过加密的会话密钥和数据经具有数据传输功能的第二智能卡 向接收端发送,发送过程中由第二智能卡保障数据的安全。与数据安全发送相对应的,在数 据接收时,同样由智能卡保障数据的安全。本发明实施例提供的数据安全发送与接收的方 法、设备及系统,由智能卡实现数据传输的通道,智能卡保障数据安全,避免第三方权威认 证机构对数据安全传输过程中的参与,降低了实现数据安全传输的复杂度。
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例中所需要使用的 附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领 域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附 图。图1为本发明实施例一数据安全发送的方法流程图;图2为本发明实施例一数据安全接收的方法流程图;图3为本发明实施例一中对设备进行合法性认证方法流程图;图4为本发明实施例一中第一智能卡对第二智能卡进行认证的方法流程图;图5为本发明实施例一中第二智能卡对第一智能卡进行认证的方法流程图;图6为本发明实施例二中数据安全发送的设备示意图;图7为本发明实施例二中数据安全接收的设备示意图;图8为本发明实施例三中数据安全传输的系统示意图。
具体实施例方式下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完 整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于 本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他 实施例,都属于本发明保护的范围。实施例一本发明实施例旨在提供一种数据安全发送的方法,能够使数据安全传输的复杂性 降低。参见图1,本实施例包括如下步骤101、生成会话密钥,采用所述会话密钥对数据进行加密,形成加密数据。会话密钥是发送端与接收端之间的对称密钥,用于发送端与接收端之间的验证, 会话密钥可由发送端的第一智能卡在每次有数据发送时生成,每次生成的会话密钥可以均 不相同,由会话密钥对待发送的数据进行加密,以保障数据安全。102、获取发送端的第一智能卡中的企业级密钥,采用所述企业级密钥对所述会话 密钥进行加密,形成加密会话密钥。发送端的第一智能卡可以为带有存储功能的智能卡,由所述第一智能卡保存企业 级密钥,所述企业级密钥是用于对会话密钥进行加密的密钥,在设备发放时写入所述第一 智能卡,在同一个数据安全传输系统里,所有企业级密钥均是一致的。本实施例由企业级密钥对会话密钥进行加密,保障会话密钥的安全,进而保证数 据安全。103、将所述加密数据和所述加密会话密钥写入所述发送端的第二智能卡。其中,所述第二智能卡为具有数据传输功能的智能卡,将加密后的数据和加密后 的会话密钥向发送端的第二智能卡写入,经所述第二智能卡向接收端发送。更进一步地,所述第二智能卡可以是集接触式工作模式和非接触式工作模式于一 体的智能卡,例如,所述第二智能卡可以为置于移动终端内的双界面用户识别卡,即具有接触式工作模式和非接触式工作模式的用户识别卡SIM(用户识别,Subscriber Identity Module)。当双界面智能卡接收来自第一智能卡的数据时,所述第二智能卡工作于非接触式 工作模式,当双界面智能卡向接收端发送数据时,所述第二智能卡工作于接触式工作模式, 进而通过所述第二智能卡电性接触的终端向接收端发送数据。将所述加密数据和所述加密会话密钥写入所述发送端的第二智能卡,经所述第二 智能卡向接收端发送包含所述加密数据和所述加密会话密钥的数据信息,故本实施例还包 括如下步骤104、经所述第二智能卡向接收端发送包含所述加密数据和所述加密会话密钥的
数据信息。所述第二智能卡可以设于移动终端,从而本发明实施例可以实现移动终端之间数 据的安全传输。本实施例中生成会话密钥、对数据加密和对会话密钥加密可以在所述第一智能卡 内进行,但是并不限于在第一智能卡内进行,也可以在所述第一智能卡电性连接的终端内 进行。与所述数据安全发送的方法相对应的,本发明实施例还提供一种数据安全接收的 方法,参见图2,本实施例包括如下步骤201、从第二智能卡获取从发送端获得的数据信息。故对应地,接收端的第二智能卡获取发送端发送的数据信息。其中,所述第二智能卡为具有数据传输功能的智能卡,所述数据信息包括经发送 端会话密钥加密的数据和经企业级密钥加密的会话密钥。202、获取接收端第一智能卡中的企业级密钥,采用所述企业级密钥解密所述数据 信息,得到经解密的会话密钥。接收端的所述第一智能卡中的企业级密钥与发送端的企业级密钥是一致的,在设 备发放时写入。203、采用所述经解密的会话密钥解密所述经发送端会话密钥加密的数据,得到数 据。与发送方法相对应的,解密会话密钥、解密数据可以在接收端的所述第一智能卡 内进行,但是并不限于在第一智能卡内进行,也可以在所述第一智能卡电性连接的终端内 进行。本实施例中发送端与接收端仅以数据传输的源端和目的端进行区分,针对不同的 传输方向发送端和接收端角色可以互换。本发明实施例提供的数据安全发送与接收的方法,采用会话密钥对数据进行加 密,进一步地,由企业级密钥对会话密钥进行加密,而将企业级密钥存储于第一智能卡设备 中,由第一智能卡保障企业级密钥的安全,将经过加密的会话密钥和数据经具有数据传输 功能的第二智能卡向接收端发送,发送过程中由第二智能卡保障数据的安全。与数据安全 发送相对应的,在数据接收时,同样由智能卡保障数据的安全。由智能卡实现数据传输的通 道,智能卡保障数据安全,避免第三方权威认证机构对数据安全传输过程中的参与,降低了 实现数据安全传输的复杂度。进一步地,本实施例在所述生成会话密钥,采用所述会话密钥对数据进行加密,形
8成加密数据之前,该方法包括采用动态口令对智能卡进行合法性认证的过程,参见图3,具 体包括如下步骤111、所述第一智能卡生成动态口令,将所述动态口令写入所述第二智能卡。112、获取所述第二智能卡的动态口令。所述第二智能卡接收由第一智能卡发送的动态口令,可将动态口令进行显示。113、确定所述第一智能卡生成的动态口令与从所述第二智能卡获取的动态口令 相匹配。将第二智能卡显示的动态口令输入至第一智能卡或者与所述第一智能卡电性相 连的终端,比对所述第一智能卡生成的动态口令与从所述第二智能卡获取的动态口令是否 匹配,若相匹配,则数据可以通过所述第一智能卡与所述第二智能卡组成的传输通道进行 发送与接收数据,若不相匹配,则所述第一智能卡与所述第二智能卡间不可传输数据。其 中,所述动态口令可以为一次一密。在每次传输数据之前,采用动态口令验证第一智能卡和第二智能卡之间的匹配 性,更进一步加强了数据传输的安全性。上述步骤111至113所述的方法同样适用于接收数据之前,对第一智能卡与第二 智能卡进行合法性认证,具体步骤同上,此处不再赘述。进一步地,本实施例在接收与发送数据之前,还包括如下步骤所述第二智能卡获取用户密码,对所述第二智能卡进行初始认证。所述用户密码为设备发放时对所述第二智能卡进行身份标识的号码,采用所述用 户密码登录第二智能卡,以防止非法用户利用所述第二智能卡接收或发送数据。进一步地,本实施例在所述生成会话密钥,采用所述会话密钥对数据进行加密,形 成加密数据之前,参见图4,还可以包括如下第一智能卡对第二智能卡的认证步骤121、所述第一智能卡生成随机数。122、所述第一智能卡向所述第二智能卡发送所述随机数。将所述随机数发送至第二智能卡,从而使所述第二智能卡采用存储于所述第二智 能卡中的内部认证密钥对所述随机数进行加密,形成加密随机数,故进一步地,本实施例还 包括步骤123。123、所述第二智能卡获取所述随机数,根据所述第二智能卡中的内部认证密钥对 所述随机数进行加密,形成第一加密随机数。所述第二智能卡将所述第一加密随机数返回至所述第一智能卡。124、所述第一智能卡接收第二智能卡发送的所述第一加密随机数,根据所述第一 智能卡中的内部认证密钥对所述加密随机数进行认证。本实施例中由所述第一智能卡发起认证,第二智能卡根据预设的内部认证密钥对 来自第一智能卡的随机数进行加密。更进一步地,可以通过所述内部认证密钥的分散密钥 对所述随机数进行加密。将加密后的随机数返回至第一智能卡,第一智能卡采用与第二智 能卡中内部认证密钥对称的内部认证密钥对返回的加密随机数进行解密,完成认证。进一步地,本实施例还可将第一智能卡对第二智能卡的认证结果返回至与所述第 一智能卡电性相连的终端,具体方法如下125、第二智能卡将所述第一加密随机数通过所述第一智能卡传送至与所述第一智能卡电性相连的终端。126、所述第一智能卡对生成的所述随机数根据内部认证密钥进行加密,将该加密 的随机数也发送至与所述第一智能卡电性相连的终端。127、与所述第一智能卡电性相连的终端确认所述第一加密随机数和所述第一智 能卡对生成的所述随机数进行加密得到的数据是一致的,从而完成第一智能卡对第二智能 卡进行认证的结果反馈。该反馈结果与根据步骤121至124得到的认证结果是一致的。当然,对认证结果 的反馈不局限于所述步骤125至127所述的方法,第一智能卡还可将认证结果直接输出至 与所述第一智能卡电性相连的终端。进一步地,本实施例在所述生成会话密钥,采用所述会话密钥对数据进行加密,形 成加密数据之前,该方法还可包括如下第二智能卡对第一智能卡的认证步骤131、所述第二智能卡生成另一随机数;132、所述第一智能卡获取所述第二智能卡生成的所述另一随机数,根据所述第一 智能卡中的外部认证密钥对所述另一随机数进行加密,形成第二加密随机数;133、所述第一智能卡将所述加密随机数向所述第二智能卡发送。以使所述第二智能卡采用存储于所述第二智能卡中的外部认证密钥对所述加密 随机数进行认证。134、所述第二智能卡获取所述第二加密随机数,根据所述第二智能卡中的外部认 证密钥对所述第二加密随机数进行认证。本实施例中由所述第二智能卡发起认证,第一智能卡根据预设的外部认证密钥对 来自第二智能卡的随机数进行加密。更进一步地,可以通过所述外部认证密钥的分散密钥 对所述随机数进行加密。将加密后的随机数返回至第二智能卡,第二智能卡采用与第一智 能卡中外部认证密钥对称的外部认证密钥对返回的加密随机数进行解密,完成认证。进一步地,本实施例还可以对发送或接收数据的第二智能卡进行锁定,具体为所 述第二智能卡接收锁定信息,根据所述锁定信息锁定所述第二智能卡,使所述第二智能卡 不可操作。更为具体的,数据传输系统对第二智能卡进行锁定的步骤包括如下141、数据传输系统的授权设备获取锁定所述第二智能卡的授权。142、所述授权设备根据锁定指令生成锁定信息。143、将所述锁定信息向所述第二智能卡进行发送。144、所述第二智能卡接收所述锁定信息,执行锁定指令。当所述第二智能卡丢失或被窃取,存在所述第二智能卡被非法利用的可能性,故 通过数据传输系统的授权设备发送锁定指令,根据锁定指令对所述第二智能卡进行锁定, 使所述第二智能卡不可操作。本发明实施例提供了数据安全发送与接收的方法,同时为进一步保证数据传输通 道的安全性,本实施例对第二智能卡的合法性采用用户密码进行验证,对第一智能卡和第 二智能卡进行相互验证,以及在发送前对第一智能卡和第二智能卡进行一次一密的动态验 证等操作。本发明实施例通过多重保障,保证了数据在传输过程中的安全性。实施例二
本发明实施例二提供了实现本发明实施例一数据安全发送与接收的设备。参见图6,本实施例中数据安全发送的设备1,包括第一智能卡2,用于生成会话 密钥和存储企业级密钥,采用所述会话密钥对数据进行加密,形成加密数据,并且采用所述 企业级密钥对所述会话密钥进行加密,形成加密会话密钥,将所述加密数据和所述加密会 话密钥写入第二智能卡3,经所述第二智能卡3向接收端发送包含所述加密数据和所述加 密会话密钥的数据信息;其中,所述第二智能卡3为具有数据传输功能的智能卡。其中,第一智能卡2与第二智能卡3可以不在一个设备中,第一智能卡2可以连接 PC使用,第二智能卡3可以安装在移动终端中,第一智能卡2具有发送与接收功能,其向第 二智能卡3发送数据(例如通过天线),第二智能卡3也具有发送与接收功能来接收第一智 能卡2的数据(例如通过天线),第二智能卡3接收到数据,进而安装有第二智能卡3的移 动终端接收到数据,通过移动通信网络发送至接收端。会话密钥是发送端与接收端之间的对称密钥,用于发送端与接收端之间的验证, 会话密钥可由发送端的第一智能卡在每次有数据发送时生成,每次生成的会话密钥均不相 同。所述第一智能卡还包括能够连接于终端的读卡器,所述终端经读卡器模块与所述 第一智能卡电性相连,所述终端装有软件模块能够通过该软件模块触发数据发送。所述第 一智能卡的存储模块保存企业级密钥,所述企业级密钥是用于对会话密钥进行加密的密 钥,在设备发放时写入所述第一智能卡,在同一个数据安全传输系统里,所有企业级密钥均 是一致的。更进一步地,所述第二智能卡可以是集接触式工作模式和非接触式工作模式于一 体的智能卡,例如,所述第二智能卡可以为置于移动终端内的双界面用户识别卡,即具有接 触式工作模式和非接触式工作模式的用户识别卡SIM(用户识别,Subscriber Identity Module)。当双界面智能卡接收来自第一智能卡的数据时,所述第二智能卡工作于非接触式 工作模式,当双界面智能卡向接收端发送数据时,所述第二智能卡工作于接触式工作模式, 进而通过所述第二智能卡电性接触的终端向接收端发送数据。与所述数据安全发送的设备相对应的,参见图7本实施例中数据安全接收的设备 4,包括第二智能卡6,用于获取发送端发送的数据信息,其中,所述第二智能卡6为具有数 据传输功能的智能卡,所述数据信息包括经发送端会话密钥加密的数据和经企业级密钥加 密的会话密钥;第一智能卡5,用于存储企业级密钥,获取所述第二智能卡6获得的所述数 据信息,采用所述企业级密钥解密所述数据信息,得到经解密的会话密钥,采用所述经解密 的会话密钥解密所述经发送端会话密钥加密的数据,得到数据。需要说明的是,本实施例数据安全发送设备和数据安全接收设备仅以数据传输的 源端和目的端进行区分,它们具有对称的硬件结构,其针对不同的传输方向划分为发送设 备和接收设备。同一个第一智能卡或是第二智能卡既能作为发送端的设备模块也能够作为 接收端的设备模块。本实施例发送设备和接收设备的所述第一智能卡和第二智能卡分别具有微处理 模块、存储模块和通信模块;其中,所述微处理模块执行数据加密、解密等操作,所述存储模 块存储会话密钥和企业级密钥相关数据,以及其他数据,所述通信模块用于与发送与接收 数据。所述第一智能卡和所述第二智能卡均具有芯片操作系统用以配合硬件模块完成动作
11操作。本发明实施例可以应用于文件传输,文件传输源和传输目的地分别为第一智能 卡,第一智能卡为大容量智能卡,把将要传输的文件通过第一智能卡加密后,通过装有第二 智能卡的终端传输至接收端的终端,所述接收端的终端同样装有第二智能卡。大容量智能 卡提供了文件安全存储和加密的环境,并通过第二智能卡建立起文件传输的通道。本发明实施例提供的数据安全发送与接收的设备,采用会话密钥对数据进行加 密,进一步地,由企业级密钥对会话密钥进行加密,而将企业级密钥存储于第一智能卡设备 中,由第一智能卡保障企业级密钥的安全,将经过加密的会话密钥和数据经具有数据传输 功能的第二智能卡向接收端发送,发送过程中由第二智能卡保障数据的安全。与数据安全 发送相对应的,在数据接收时,同样由智能卡保障数据的安全。由智能卡实现数据传输的通 道,智能卡保障数据安全,避免第三方权威认证机构对数据安全传输过程中的参与,降低了 实现数据安全传输的复杂度。进一步地,当安全发送或接收数据时,本实施例所述第一智能卡,还用于生成动态 口令,将所述动态口令写入所述第二智能卡,获取所述第二智能卡的动态口令,并确定所述 第一智能卡生成的动态口令与从所述第二智能卡获取的动态口令相匹配;其中,所述第二 智能卡,还用于接收所述第一智能卡发送的所述动态口令。所述第二智能卡读取来自第一智能卡的动态口令,可将动态口令进行显示,将第 二智能卡显示的动态口令输入至第一智能卡或者与所述第一智能卡电性相连的终端,比 对所述第一智能卡生成的动态口令与从所述第二智能卡获取的动态口令是否匹配,若相匹 配,则数据可以通过所述第一智能卡与所述第二智能卡组成的传输通道进行发送与接收数 据,若不相匹配,则所述第一智能卡与所述第二智能卡间不可传输数据。其中,所述动态口 令为一次一密。进一步地,所述第二智能卡,还用于获取用户密码,对所述第二智能卡进行初始认 证。所述用户密码为设备发放时对所述第二智能卡进行身份标识的号码,采用所述用 户密码登录第二智能卡,以防止非法用户利用所述第二智能卡接收或发送数据。进一步地,本实施例所述第一智能卡,还用于存储内部认证密钥和生成随机数,向 所述第二智能卡发送所述随机数并接收经所述第二智能卡对所述随机数加密形成的第一 加密随机数,根据所述内部认证密钥对所述第一加密随机数进行认证;其中,所述第二智能 卡,还用于存储内部认证密钥,获取所述第一智能卡生成的所述随机数,根据所述内部认证 密钥对所述随机数进行加密,形成所述第一加密随机数。所述第一智能卡发起认证,第二智能卡根据预设的内部认证密钥对来自第一智能 卡的随机数进行加密。更进一步地,可以通过所述内部认证密钥的分散密钥对所述随机数 进行加密。将加密后的随机数返回至第一智能卡,第一智能卡采用与第二智能卡中内部认 证密钥对称的内部认证密钥对返回的加密随机数进行解密,完成认证。进一步地,与所述第 一智能卡电性相连的终端,能够通过其软件模块对认证结果进行反馈。进一步地,本实施例所述第一智能卡,还用于存储外部认证密钥,获取所述第二智 能卡生成的另一随机数,根据所述外部认证密钥对所述另一随机数进行加密,形成所述第 二加密随机数;所数第二智能卡,还用于存储外部认证密钥和生成所述另一随机数,向所述
12第一智能卡发送所述另一随机数并接收经所述第一智能卡对所述另一随机数加密形成的 第二加密随机数,根据所述外部认证密钥对所述第二加密随机数进行认证。所述第二智能卡发起认证,第一智能卡根据预设的外部认证密钥对来自第二智能 卡的随机数进行加密。更进一步地,可以通过所述外部认证密钥的分散密钥对所述随机数 进行加密。将加密后的随机数返回至第二智能卡,第二智能卡采用与第一智能卡中外部认 证密钥对称的外部认证密钥对返回的加密随机数进行解密,完成认证。进一步地,本实施例所述第二智能卡,还用于接收锁定信息,根据所述锁定信息锁 定所述第二智能卡,使所述第二智能卡不可操作。当所述第二智能卡丢失或被窃取,存在所述第二智能卡被非法利用的可能性,故 通过数据传输系统的授权设备发送锁定指令,根据锁定指令对所述第二智能卡进行锁定, 使所述第二智能卡不可操作。本发明实施例提供了数据安全发送与接收的设备,同时为进一步保证数据传输通 道的安全性,本实施例对第二智能卡的合法性采用用户密码进行验证,对第一智能卡和第 二智能卡进行相互验证,以及在发送前对第一智能卡和第二智能卡进行一次一密的动态验 证等操作。本发明实施例通过多重保障,保证了数据在传输过程中的安全性。实施例三参见图8本发明实施例基于实施例二,提供一种数据安全传输的系统7,包括由 发送端1和接收端4构成的传输通道;其中,所述发送端1包括发送端的第一智能卡2,用于生成会话密钥和存储发送端的企 业级密钥,采用所述会话密钥对数据进行加密,形成加密数据,并且采用所述发送端的企业 级密钥对所述会话密钥进行加密,形成加密会话密钥,将所述加密数据和所述加密会话密 钥写入发送端的第二智能卡3,经所述第二智能卡3向接收端发送包含所述加密数据和所 述加密会话密钥的数据信息;其中,所述发送端的第二智能卡3为具有数据传输功能的智 能卡;;所述接收端4包括接收端的第二智能卡6,用于获取发送端发送的所述数据信 息,其中,所述接收端的第二智能卡6为具有数据传输功能的智能卡;接收端的第一智能卡5,用于存储接收端的企业级密钥,获取接收端的所述第二智 能卡6从发送端获得的数据信息,采用所述接收端的企业级密钥解密所述数据信息,得到 经解密的会话密钥,采用所述经解密的会话密钥解密所述经发送端会话密钥加密的数据, 得到数据。本实施例是基于实施例二的,包括所述实施例二所述的安全发送数据的设备和数 据安全接收的设备,本实施例具有所述实施例二智能卡的功能和结构特征,具体详述见实 施例二,此处不再赘述。本发明实施例数据安全传输的系统,发送端与接收端的第一智能卡和第二智能卡 提供了密钥安全存储和数据安全加密的环境,构成数据安全传输通道。由智能卡实现数据 传输的通道,智能卡保障数据安全,避免第三方权威认证机构对数据安全传输过程中的参 与,降低了实现数据安全传输的复杂度通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可以通 过硬件实现,也可以借助软件加必要的通用硬件平台的方式来实现。基于这样的理解,本发明的技术方案可以以软件产品的形式体现出来,包括若干指令用以使得一台计算机设备执 行本发明各个实施例上述的方法。本领域技术人员可以理解附图只是一个优选实施例的示意图,附图中的模块或流 程并不一定是实施本发明所必须的。上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。以上公开的仅为本发明的几个具体实施例,但是,本发明并非局限于此,任何本领 域的技术人员能思之的变化都应落入本发明的保护范围。
权利要求
一种数据安全发送的方法,其特征在于,包括生成会话密钥,采用所述会话密钥对数据进行加密,形成加密数据;获取发送端的第一智能卡中的企业级密钥,采用所述企业级密钥对所述会话密钥进行加密,形成加密会话密钥;将所述加密数据和所述加密会话密钥写入所述发送端的第二智能卡,经所述第二智能卡向接收端发送包含所述加密数据和所述加密会话密钥的数据信息,其中,所述第二智能卡为具有数据传输功能的智能卡。
2.按照权利要求1所述的数据安全发送的方法,其特征在于,在所述生成会话密钥,采 用所述会话密钥对数据进行加密,形成加密数据之前,该方法包括生成动态口令,将所述动态口令写入所述第二智能卡;获取所述第二智能卡的动态口令;确定所述第一智能卡生成的动态口令与从所述第二智能卡获取的动态口令相匹配。
3.按照权利要求1所述的数据安全发送的方法,其特征在于,在所述生成会话密钥,采 用所述会话密钥对数据进行加密,形成加密数据之前,该方法还包括生成随机数;向所述第二智能卡发送所述随机数,从而使所述第二智能卡采用存储于所述第二智能 卡中的内部认证密钥对所述随机数进行加密,形成加密随机数;接收第二智能卡发送的所述加密随机数,根据所述第一智能卡中的内部认证密钥对所 述加密随机数进行认证。
4.按照权利要求1所述的数据安全发送的方法,其特征在于,在所述生成会话密钥,采 用所述会话密钥对数据进行加密,形成加密数据之前,该方法还包括获取所述第二智能卡生成的随机数,根据所述第一智能卡中的外部认证密钥对所述随 机数进行加密,形成加密随机数;将所述加密随机数向所述第二智能卡发送,以使所述第二智能卡采用存储于所述第二 智能卡中的外部认证密钥对所述加密随机数进行认证。
5.按照权利要求1至4中任一项所述的数据安全发送的方法,其特征在于,在所述生成 会话密钥,采用所述会话密钥对数据进行加密,形成加密数据之前,该方法包括所述第二智能卡获取用户密码,对所述第二智能卡进行初始认证。
6.按照权利要求1所述的数据安全发送的方法,其特征在于,该方法还包括所述第二智能卡接收锁定信息,根据所述锁定信息锁定所述第二智能卡,使所述第二 智能卡不可操作。
7.按照权利要求1所述的数据安全发送的方法,其特征在于,所述第二智能卡具体为 具有接触式工作模式和非接触式工作模式的用户识别卡。
8.一种数据安全接收的方法,其特征在于,包括从第二智能卡获取从发送端获得的数据信息,其中,所述第二智能卡为具有数据传输 功能的智能卡,所述数据信息包括经发送端会话密钥加密的数据和经企业级密钥加密的会 话密钥;获取接收端第一智能卡中的企业级密钥,采用所述企业级密钥解密所述数据信息,得 到经解密的会话密钥;采用所述经解密的会话密钥解密所述经发送端会话密钥加密的数据,得到数据。
9.一种数据安全发送的设备,其特征在于,包括第一智能卡,用于生成会话密钥和存储企业级密钥,采用所述会话密钥对数据进行加 密,形成加密数据,并且采用所述企业级密钥对所述会话密钥进行加密,形成加密会话密 钥,将所述加密数据和所述加密会话密钥写入第二智能卡,经所述第二智能卡向接收端发 送包含所述加密数据和所述加密会话密钥的数据信息;其中,所述第二智能卡为具有数据传输功能的智能卡。
10.按照权利要求9所述的数据安全发送的设备,其特征在于所述第一智能卡,还用于生成动态口令,将所述动态口令写入所述第二智能卡,获取所 述第二智能卡的动态口令,并确定所述第一智能卡生成的动态口令与从所述第二智能卡获 取的动态口令相匹配;其中,所述第二智能卡,还用于接收所述第一智能卡发送的所述动态口令。
11.按照权利要求9的数据安全发送的设备,其特征在于所述第一智能卡,还用于存储内部认证密钥和生成随机数,向所述第二智能卡发送所 述随机数并接收经所述第二智能卡对所述随机数加密形成的加密随机数,根据所述内部认 证密钥对所述加密随机数进行认证;其中,所述第二智能卡,还用于存储内部认证密钥,获取所述第一智能卡生成的所述随机数, 根据所述内部认证密钥对所述随机数进行加密,形成所述加密随机数。
12.按照权利要求9的数据安全发送的设备,其特征在于所述第一智能卡,还用于存储外部认证密钥,获取所述第二智能卡生成的随机数,根据 所述外部认证密钥对所述随机数进行加密,形成加密随机数;所述第二智能卡,还用于存储外部认证密钥和生成所述随机数,向所述第一智能卡发 送所述随机数并接收经所述第一智能卡对所述随机数加密形成的所述加密随机数,根据所 述外部认证密钥对所述加密随机数进行认证。
13.按照权利要求9至12中任一项所述的数据安全发送的设备,其特征在于所述第 二智能卡,还用于获取用户密码,对所述第二智能卡进行初始认证。
14.按照权利要求9所述的数据安全发送的设备,其特征在于所述第二智能卡,还用于接收锁定信息,根据所述锁定信息锁定所述第二智能卡,使所 述第二智能卡不可操作。
15.按照权利要求9所述的数据安全发送的设备,其特征在于所述第二智能卡具体为 具有接触式工作模式和非接触式工作模式的用户识别卡。
16.一种数据安全接收的设备,其特征在于,包括第二智能卡,用于获取发送端发送的数据信息,其中,所述第二智能卡为具有数据传输 功能的智能卡,所述数据信息包括经发送端会话密钥加密的数据和经企业级密钥加密的会 话密钥;第一智能卡,用于存储企业级密钥,获取所述第二智能卡获得的所述数据信息,采用所 述企业级密钥解密所述数据信息,得到经解密的会话密钥,采用所述经解密的会话密钥解 密所述经发送端会话密钥加密的数据,得到数据。
17.一种数据安全传输的系统,其特征在于,包括由发送端和接收端构成的传输通道;其中,所述发送端包括发送端的第一智能卡,用于生成会话密钥和存储发送端的企业级密 钥,采用所述会话密钥对数据进行加密,形成加密数据,并且采用所述发送端的企业级密钥 对所述会话密钥进行加密,形成加密会话密钥,将所述加密数据和所述加密会话密钥写入 发送端的第二智能卡,经所述第二智能卡向接收端发送包含所述加密数据和所述加密会话 密钥的数据信息;其中,所述发送端的第二智能卡为具有数据传输功能的智能卡;所述接收端包括接收端的第二智能卡,用于获取发送端发送的所述数据信息,其中, 所述接收端的第二智能卡为具有数据传输功能的智能卡;接收端的第一智能卡,用于存储接收端的企业级密钥,获取接收端的所述第二智能卡 从发送端获得的所述数据信息,采用所述接收端的企业级密钥解密所述数据信息,得到经 解密的会话密钥,采用所述经解密的会话密钥解密所述经发送端会话密钥加密的数据,得 到数据。
全文摘要
本发明实施例公开一种数据安全发送与接收的方法、设备及系统,涉及网络安全技术领域,为降低数据安全传输的复杂性而设计。所述数据安全发送的方法包括生成会话密钥,采用所述会话密钥对数据进行加密,形成加密数据;获取发送端的第一智能卡中的企业级密钥,采用所述企业级密钥对所述会话密钥进行加密,形成加密会话密钥;将所述加密数据和所述加密会话密钥写入所述发送端的第二智能卡,经所述第二智能卡向接收端发送包含所述加密数据和所述加密会话密钥的数据信息,其中,所述第二智能卡为具有数据传输功能的智能卡。本发明实施例用于数据安全传输。
文档编号H04L9/32GK101964805SQ20101052405
公开日2011年2月2日 申请日期2010年10月28日 优先权日2010年10月28日
发明者江先 申请人:北京握奇数据系统有限公司