[发明专利]一种在终端和服务器之间建立安全通道的方法及装置

说明书

本发明公开一种在终端和服务器之间建立安全通道的方法及装置，涉及信息安全领域。方法包括：终端接收服务器通过客户端发来的建立安全通道指令，生成产生第二应用密文数据指令，并向IC卡发送产生第二应用密文数据指令；终端接收IC卡返回的第二应用密文数据，从第二应用密文数据中获取第一应用密文，将第二预置数据组中的四组预置数据分别和建立安全通道指令中的配置数据进行拼接，对拼接后的四组数据使用第一应用密文进行加密，得到四组密钥；终端使用四组密钥中的上行MAC密钥对第三预置数据进行加密，产生第一校验值；采用本发明的技术方案，终端利用IC卡产生的应用密文和服务器进行协商，建立安全通道，使得后续数据传输过程更安全。

技术领域

本发明涉及信息安全领域，尤其涉及一种在终端和服务器之间建立安全通道的方法及装置。

背景技术

在现有技术中，不同的IC卡插入终端中，终端只能利用预先存储的根密钥对同一组随机数加密得到传输密钥，使得终端对发送至服务器的数据和接收服务器发来的数据进行加解密时采用相同的传输密钥，造成传输密钥是固定且单一的，而且一旦发生根密钥泄漏的情况，数据传输就变得不安全。

发明内容

本发明的目的是为了解决现有技术中存在的问题，提供了一种在终端和服务器之间建立安全通道的方法及装置。

本发明采用的技术方案是：

本发明提供了一种在终端和服务器之间建立安全通道的方法，包括：

步骤S1、终端接收服务器通过客户端发来的建立安全通道指令，生成产生第二应用密文数据指令，并向IC卡发送产生第二应用密文数据指令；

步骤S2、终端接收IC卡返回的第二应用密文数据，从第二应用密文数据中获取第一应用密文，将第二预置数据组中的四组预置数据分别和建立安全通道指令中的配置数据进行拼接，对拼接后的四组数据使用第一应用密文进行加密，得到上行工作密钥、下行工作密钥、上行MAC密钥和下行MAC密钥；

步骤S3、终端使用上行MAC密钥对第三预置数据进行加密，产生第一校验值；

步骤S3之前还包括：

步骤X：终端生成产生第一应用密文数据指令，并向IC卡发送产生第一应用密文数据指令；

步骤Y：终端接收IC卡返回的第一应用密文数据后，根据第一应用密文数据生成第一令牌；

步骤S3中还包括：将第一令牌和第一校验值通过客户端发送至服务器。

本发明提供了一种在终端和服务器之间建立安全通道的装置，包括：

接收模块，用于接收服务器通过客户端发来的建立安全通道指令；

生成模块，用于接收模块接收到建立安全通道指令后，生成产生第二应用密文数据指令；

发送模块，用于向IC卡发送生成模块生成的产生第二应用密文数据指令；

接收模块，还用于接收IC卡返回的第二应用密文数据；

拼接模块，用于从接收模块接收到的第二应用密文数据中获取第一应用密文，将第二预置数据组中的四组预置数据分别和建立安全通道指令中的配置数据进行拼接；

加密模块，用于对拼接模块拼接后的四组数据使用第一应用密文进行加密，得到上行工作密钥、下行工作密钥、上行MAC密钥和下行MAC密钥；

加密模块，还用于对第三预置数据进行加密，产生第一校验值；

装置还包括：

生成模块，还用于生成产生第一应用密文数据指令；

发送模块，还用于将生成模块生成的产生第一应用密文数据指令发送至IC卡；