專利名稱：：多用途計(jì)算電子支付密碼的安全裝置及密碼生成方法
技術(shù)領(lǐng)域：
：本發(fā)明涉及電子支付領(lǐng)域，特別是一種多用途計(jì)算電子支付密碼的安全裝置及密碼生成方法。
背景技術(shù)：
：銀行電子支付密碼，是在銀行的銀行票據(jù)、網(wǎng)上銀行系統(tǒng)和銀行卡等業(yè)務(wù)中，由用戶端生成或設(shè)定并在資金支付前提供，用于銀行確認(rèn)用戶身份和支付交易內(nèi)容的密碼，即電子支付密碼。其中，用于銀行票據(jù)的電子支付密碼主要依據(jù)國(guó)家商用密碼管理辦公室(國(guó)家密碼管理局)及中國(guó)人民銀行支付結(jié)算司頒布的《電子支付密碼器系統(tǒng)技術(shù)規(guī)范》及《業(yè)務(wù)規(guī)范》等標(biāo)準(zhǔn)而生成。其根據(jù)票據(jù)上的帳號(hào)、金額等基本信息，通過密碼算法計(jì)算生成數(shù)字簽名(即電子支付密碼)，密碼長(zhǎng)度為固定的16位數(shù)字?，F(xiàn)有技術(shù)中，用于銀行票據(jù)的電子支付密碼主要通過手持式電子支付密碼器生成。首先，用戶在銀行申請(qǐng)一臺(tái)手持式電子支付密碼器設(shè)備，然后，在每次簽發(fā)銀行票據(jù)時(shí)使用該設(shè)備計(jì)算本張票據(jù)的電子支付密碼，再把由密碼器計(jì)算并顯示出來的電子支付密碼抄寫在票據(jù)的指定位置上，可用于替代票據(jù)傳統(tǒng)的圖形印章；票據(jù)通過流轉(zhuǎn)過程回到銀行后，由銀行將票據(jù)上的要素以及支付密碼錄入銀行會(huì)計(jì)核算系統(tǒng)，再由銀行后臺(tái)支付密碼核驗(yàn)系統(tǒng)對(duì)支付密碼進(jìn)行驗(yàn)證，支付密碼驗(yàn)證通過后銀行系統(tǒng)自動(dòng)完成支付記帳等交易操作。用于網(wǎng)上銀行的電子支付密碼主要依據(jù)《電子簽名法》及相關(guān)國(guó)家標(biāo)準(zhǔn)，采用數(shù)字證書技術(shù)對(duì)網(wǎng)上支付交易進(jìn)行數(shù)字簽名及驗(yàn)證，其通過Internet互聯(lián)網(wǎng)傳遞交易信息，使用數(shù)字證書指定的密碼算法和存儲(chǔ)的密鑰對(duì)交易信息進(jìn)行數(shù)字簽名，即生成電子支付密碼，密碼長(zhǎng)度一般為1024比特或更長(zhǎng)?，F(xiàn)有技術(shù)中，用于網(wǎng)上銀行的電子支付密碼，主要通過一種USBToken密碼鑰匙設(shè)備執(zhí)行數(shù)字證書功能計(jì)算而獲得，或者使用文件形式的數(shù)字證書，由PC機(jī)執(zhí)行相關(guān)運(yùn)算，生成網(wǎng)上資金支付交易的數(shù)字簽名或稱電子支付密碼。以使用USBToken為例，首先，企業(yè)用戶在銀行申請(qǐng)一個(gè)USBToken密碼鑰匙并申請(qǐng)和下載用戶的數(shù)字證書；然后，當(dāng)用戶登錄網(wǎng)上銀行系統(tǒng)進(jìn)行交易時(shí)，將USBToken插入PC機(jī)，并調(diào)用USBToken計(jì)算生成本次交易的數(shù)字簽名或稱電子支付密碼；而后，通過互聯(lián)網(wǎng)將交易數(shù)據(jù)和交易簽名傳送到網(wǎng)上銀行后臺(tái)系統(tǒng)，由后臺(tái)系統(tǒng)進(jìn)行支付密碼驗(yàn)證后執(zhí)行支付記帳交易操作。用于銀行卡支付的密碼一般由銀行卡用戶設(shè)定或使用動(dòng)態(tài)密碼卡生成，密碼長(zhǎng)度一般為6位或8位固定或動(dòng)態(tài)變化的數(shù)字?，F(xiàn)有技術(shù)中，用于銀行卡的電子支付密碼一般由用戶在開卡時(shí)自行設(shè)定一個(gè)固定的交易密碼，用戶也可使用一種稱為"動(dòng)態(tài)密碼卡"或"動(dòng)態(tài)口令卡/牌"的設(shè)備而生成，該設(shè)備可以定時(shí)或在每次使用時(shí)生成不同的動(dòng)態(tài)變化的電子支付密碼。以動(dòng)態(tài)密碼卡為例，首先，用戶在銀行申請(qǐng)一個(gè)動(dòng)態(tài)密碼卡設(shè)備，當(dāng)用戶使用銀行卡支付時(shí)，如在POS上刷卡或使用網(wǎng)上銀行系統(tǒng)進(jìn)行支付時(shí)，用戶需要將使用動(dòng)態(tài)密碼卡生成的當(dāng)前密碼數(shù)值作為電子支付密碼，輸入POS終端或網(wǎng)上銀行的支付界面，交易信息通過電話線或互聯(lián)網(wǎng)傳送到銀行卡中心及發(fā)卡銀行進(jìn)行支付密碼驗(yàn)證，通過驗(yàn)證后執(zhí)行支付及記帳交易操作。
發(fā)明內(nèi)容本發(fā)明的目的在于，提供一種多用途電子支付密碼的安全裝置及密碼生成方法，以解決現(xiàn)有技術(shù)中，電子支付密碼安全裝置在用戶進(jìn)行銀行票據(jù)支付、網(wǎng)上銀行系統(tǒng)支付和銀行卡支付業(yè)務(wù)操作時(shí)，相互之間并不能通用，用戶需要分別持有多種不同的設(shè)備才能進(jìn)行上述支付業(yè)務(wù)，從而既給用戶造成很多的不便，增加了銀行和用戶的成本，且還可能由于用戶管理不當(dāng)而導(dǎo)致使用電子支付密碼進(jìn)行的業(yè)務(wù)操作出現(xiàn)安全隱患等問題。本發(fā)明的實(shí)現(xiàn)可以有效的減少最終用戶在電子支付密碼計(jì)算設(shè)備上的重復(fù)投資，降低設(shè)備的成本，，方便用戶對(duì)設(shè)備的管理以及簡(jiǎn)化用戶的操作使用過程。為了實(shí)現(xiàn)上述目的，本發(fā)明公開了一種多用途計(jì)算電子支付密碼的安全裝置，該安全裝置包括中央處理器綜合控制運(yùn)算單元，密碼算法協(xié)處理器單元，存儲(chǔ)器，硬件隨機(jī)數(shù)發(fā)生器單元和接口控制單元；其中，所述密碼算法協(xié)處理器單元包括多種銀行業(yè)務(wù)電子支付密碼的算法模塊；所述中央處理器綜合控制運(yùn)算單元或所述存儲(chǔ)器中，包括判斷子單元，用于根據(jù)請(qǐng)求數(shù)據(jù)包中包含的標(biāo)識(shí)信息，判斷當(dāng)前請(qǐng)求的類型，以控制密碼算法協(xié)處理器單元選擇執(zhí)行所述多種電子支付業(yè)務(wù)中的一種。較佳的，所述多用途計(jì)算電子支付密碼的安全裝置的所述銀行業(yè)務(wù)電子支付密碼的算法模塊為以下算法模塊中的至少兩種計(jì)算銀行票據(jù)電子支付密碼的密碼算法模塊；計(jì)算網(wǎng)上銀行交易電子支付密碼的密碼算法模塊；計(jì)算銀行卡電子支付密碼的密碼算法模塊。較佳的，所述多用途計(jì)算電子支付密碼的安全裝置還包括驗(yàn)證單元，與所述判斷子單元同時(shí)位于所述中央處理器綜合控制運(yùn)算單元或同時(shí)位于所述存儲(chǔ)器中，用于驗(yàn)證用戶身份的合法性。較佳的，所述多用途計(jì)算電子支付密碼的安全裝置的所述接口控制單元為USB通訊接口控制單元，串行通訊接口控制單元，1394接口控制單元中的一種或者一種以上的組合。較佳的，所述多用途計(jì)算電子支付密碼的安全裝置的所述存儲(chǔ)器為非易失性存儲(chǔ)器，該非易失性存儲(chǔ)器用于保存用戶操作記錄信息以及安全裝置的邏輯控制程序。較佳的，當(dāng)所述多用途計(jì)算電子支付密碼的安全裝置的所述密碼算法協(xié)處理器單元中包括該計(jì)算銀行卡電子支付密碼的密碼算法模塊時(shí)，該安全裝置中還包括一單調(diào)計(jì)數(shù)器單元，用于提供單調(diào)遞增或遞減的計(jì)數(shù)器數(shù)值，以支持該計(jì)算銀行卡電子支付密碼的密碼算法模塊依據(jù)此計(jì)數(shù)器數(shù)值生成動(dòng)態(tài)密碼。較佳的，所述多用途計(jì)算電子支付密碼的安全裝置的各功能模塊單元，集成在一塊片上系統(tǒng)集成電路安全芯片內(nèi)。較佳的，該安全芯片還包括一物理防護(hù)電路層，用于防止對(duì)該安全裝置內(nèi)部進(jìn)行解剖和探測(cè)。較佳的，該安全芯片封裝在一個(gè)形狀如USBKey密碼鑰匙的殼體中，該殼體上設(shè)置有一標(biāo)準(zhǔn)USB端口接插器件，該接插器件與裝置中的安全芯片的輸入輸出管腳連接。為了實(shí)現(xiàn)上述目的，本發(fā)明還公開了一種通用的銀行電子支付密碼生成方法，包括以下步驟步驟A，接收到從外部發(fā)送而來的包含標(biāo)識(shí)信息的請(qǐng)求數(shù)據(jù)包；步驟B，判斷該請(qǐng)求數(shù)據(jù)包中所需執(zhí)行的業(yè)務(wù)類型為多種電子支付業(yè)務(wù)中的哪一種，選擇相應(yīng)的銀行業(yè)務(wù)電子支付密碼的算法模塊；步驟C，當(dāng)完成對(duì)業(yè)務(wù)類型的確定后，繼續(xù)通過分析請(qǐng)求數(shù)據(jù)包判斷該請(qǐng)求數(shù)據(jù)包所需執(zhí)行的請(qǐng)求操作類型；步驟D，依照所確定的業(yè)務(wù)類型、請(qǐng)求操作類型以及請(qǐng)求數(shù)據(jù)包中所包含的數(shù)據(jù)內(nèi)容進(jìn)行密碼生成工作。較佳的，所述通用的銀行電子支付密碼生成方法的所述銀行業(yè)務(wù)電子支付密碼的算法模塊為以下算法模塊中的至少兩種計(jì)算銀行票據(jù)電子支付密碼的密碼算法模塊；計(jì)算網(wǎng)上銀行交易電子支付密碼的密碼算法模塊；計(jì)算銀行卡電子支付密碼的密碼算法模塊。較佳的，在所述通用的銀行電子支付密碼生成方法的步驟A與步驟B之間還包括下列步驟解析該請(qǐng)求數(shù)據(jù)包，提取該請(qǐng)求數(shù)據(jù)包中的校驗(yàn)碼并通過該校驗(yàn)碼對(duì)該請(qǐng)求數(shù)據(jù)包進(jìn)行完整性驗(yàn)證，若該校驗(yàn)碼錯(cuò)誤，則返回錯(cuò)誤輸出，本次操作結(jié)束；若校驗(yàn)碼正確，則通過該請(qǐng)求數(shù)據(jù)包判斷該請(qǐng)求數(shù)據(jù)包所需執(zhí)行的業(yè)務(wù)類型。較佳的，所述的通用的銀行電子支付密碼生成方法實(shí)現(xiàn)計(jì)算銀行票據(jù)電子支付密碼，或者網(wǎng)上銀行電子支付密碼，或者銀行卡電子支付密碼時(shí)，包括下列步驟步驟a):安全裝置在開戶銀行進(jìn)行設(shè)備初始化、加載帳號(hào)及產(chǎn)生帳號(hào)對(duì)應(yīng)的密鑰對(duì)，密鑰對(duì)由安全裝置內(nèi)部隨機(jī)產(chǎn)生，其中，私鑰存儲(chǔ)在安全裝置內(nèi)，公鑰上送給銀行后臺(tái)支付密碼核驗(yàn)系統(tǒng)保存，步驟b):用戶將安全裝置插入PC機(jī)或?qū)Ｓ檬殖衷O(shè)備的USB端口或串行通訊端口或1394通訊端口，然后輸入口令、指紋等身份識(shí)別信息并通過與安全裝置連接的通訊接口，發(fā)送開啟安全裝置的請(qǐng)求；步驟C):安全裝置接到開啟指令請(qǐng)求數(shù)據(jù)包后，判斷用戶身份及權(quán)限是否合法，若用戶身份或權(quán)限非法，則返回錯(cuò)誤信息并終止本次操作，若用戶身份及權(quán)限均合法，則繼續(xù)進(jìn)行下一步操作；步驟d):當(dāng)用戶身份及權(quán)限被判斷為合法后，用戶向該安全裝置發(fā)送請(qǐng)求信息，該安全裝置依照用戶發(fā)送來的該請(qǐng)求信息執(zhí)行計(jì)算電子支付密碼的操作，并將計(jì)算出的電子支付密碼返回調(diào)用者。較佳的，所述的通用的銀行電子支付密碼生成方法實(shí)現(xiàn)計(jì)算銀行票據(jù)電子支付密碼時(shí)，在步驟d)中，用戶向該安全裝置發(fā)送的請(qǐng)求信息包括票據(jù)的基本要素信息。較佳的，所述的通用的銀行電子支付密碼生成方法實(shí)現(xiàn)計(jì)算網(wǎng)上銀行電子支付密碼時(shí)，在步驟d)中，用戶向該安全裝置發(fā)送的請(qǐng)求信息包括網(wǎng)上交易信息。較佳的，所述的通用的銀行電子支付密碼生成方法實(shí)現(xiàn)計(jì)算銀行卡電子支付密碼時(shí)，包括下列步驟在步驟a)中，還包括一為安全裝置分配一個(gè)隨機(jī)的計(jì)數(shù)器初值，然后將密鑰和計(jì)數(shù)器初值加密上傳給銀行后臺(tái)密碼核驗(yàn)系統(tǒng)并保存，確保安全裝置與銀行后臺(tái)密碼核驗(yàn)系統(tǒng)數(shù)據(jù)同步的步驟；在步驟a)中，不包括產(chǎn)生及保存密鑰對(duì)的歩驟，而是有一由安全裝置隨機(jī)產(chǎn)生一個(gè)用于動(dòng)態(tài)密碼產(chǎn)生和驗(yàn)證的對(duì)稱密碼算法密鑰，并保存在裝置內(nèi)部的安全芯片中的步驟；在步驟d)中，用戶向該安全裝置發(fā)送的請(qǐng)求信息包括銀行卡終端或網(wǎng)上支付交易界面上提示的本次交易的"挑戰(zhàn)碼"，即一組隨機(jī)數(shù)字；在步驟d)中，該安全裝置計(jì)算本次交易的電子支付密碼，是根據(jù)安全裝置中當(dāng)前計(jì)數(shù)器值和"挑戰(zhàn)碼"計(jì)算得到，且在計(jì)算完成后還包括一對(duì)該安全裝置中的計(jì)數(shù)器值自動(dòng)更新的步驟。較佳的，在所述的通用的銀行電子支付密碼一生成方^^實(shí)現(xiàn)計(jì)算銀行票據(jù)電子支付密碼，或者網(wǎng)上銀行電子支付密碼，或者銀行卡電子支付密碼時(shí)，在步驟b)至步驟d)中的至少一項(xiàng)中，包含一記錄用戶操作日志的步驟，以將用戶所進(jìn)行過的操作信息記錄在安全裝置中。較佳的，在所述的通用的銀行電子支付密碼生成方法實(shí)現(xiàn)計(jì)算銀行票據(jù)電子支付密碼，或者網(wǎng)上銀行電子支付密碼，或者銀行卡電子支付密碼時(shí)，在步驟b)至步驟d)中的至少一項(xiàng)中，包含一需要用戶按下一設(shè)置在該安全裝置上的交易確認(rèn)按鈕，以確認(rèn)進(jìn)行操作的步驟。本發(fā)明的一種多用途的用于計(jì)算銀行電子支付密碼的安全裝置及其密碼生成方法，具有以下有益效果本發(fā)明的多用途電子支付密碼的安全裝置及密碼生成方法，可以通過USB接口或串行通訊接口或者1394接口，與PC計(jì)算機(jī)或?qū)Ｓ檬殖衷O(shè)備相連，同時(shí)支持票據(jù)支付、網(wǎng)上銀行支付和銀行卡支付等多種銀行支付業(yè)務(wù)，從而可以減少最終用戶在電子支付密碼計(jì)算設(shè)備上的重復(fù)投資，降低設(shè)備的成本，方便用戶對(duì)設(shè)備的管理，簡(jiǎn)化用戶的操作使用過程。由于該安全裝置在單一安全芯片中實(shí)現(xiàn)其主要功能，因而使得該設(shè)備管理方便、安全性高且成本低廉；同時(shí)，該安全裝置可同時(shí)支持USB通訊接口和串行通訊接口，既可以連接PC計(jì)算機(jī)使用，也可以與專用手持設(shè)備連接實(shí)現(xiàn)脫機(jī)使用，還可以與銀行電腦終端連接完成各種功能初始化操作。而且，針對(duì)現(xiàn)有銀行支付交易手段的應(yīng)用對(duì)象和使用場(chǎng)景不同，在銀行開戶的企業(yè)用戶都有可能使用電子支付密碼的情況，本發(fā)明的安全裝置在保證支付交易的安全性的同時(shí)，還可以極大提高用戶使用的方便性，避免用戶在電子支付密碼計(jì)算設(shè)備上的重復(fù)投資，并且可以照顧到用戶對(duì)原有電子支付密碼計(jì)算設(shè)備的操作和使用習(xí)慣。以下結(jié)合附圖和具體實(shí)施例對(duì)本發(fā)明進(jìn)行詳細(xì)描述，但不作為對(duì)本發(fā)明的限定。圖1為應(yīng)用本發(fā)明的一種多用途計(jì)算電子支付密碼的安全裝置的示意圖；圖2為本發(fā)明的安全裝置與PC、銀行終端及專用手持設(shè)備連接的示意圖；圖3為本發(fā)明的通用的銀行電子支付密碼生成方法的流程圖；圖4為本發(fā)明的安全裝置實(shí)現(xiàn)計(jì)算銀行票據(jù)電子支付密碼的過程示意圖；圖5為本發(fā)明的安全裝置實(shí)現(xiàn)計(jì)算網(wǎng)上銀行電子支付密碼的過程示意圖；圖6為本發(fā)明的安全裝置實(shí)現(xiàn)計(jì)算銀行卡電子支付密碼的過程示意圖。具體實(shí)施例方式為了使本發(fā)明的目的、技術(shù)方案及優(yōu)點(diǎn)更加清楚明白，以下結(jié)合附圖及實(shí)施例，對(duì)本發(fā)明的一種多用途計(jì)算電子支付密碼的安全裝置及密碼生成方法進(jìn)行進(jìn)一步詳細(xì)說明。應(yīng)當(dāng)理解，此處所描述的具體實(shí)施例僅僅用以解釋本發(fā)明，并不用于限定本發(fā)明。本發(fā)明的安全裝置，是一電子支付密碼的生成設(shè)備，在USBKey設(shè)備中設(shè)置一安全芯片，即組合成一電子支付密碼安全裝置，該安全裝置集成了數(shù)據(jù)通訊、電子支付密碼計(jì)算和密碼算法的密鑰產(chǎn)生及存儲(chǔ)等基本功能，可同時(shí)滿足銀行票據(jù)支付、網(wǎng)上銀行支付及銀行卡支付等多種銀行支付業(yè)務(wù)，實(shí)現(xiàn)電子支付密碼計(jì)算功能。圖1所示為本發(fā)明的一種多用途計(jì)算電子支付密碼的安全裝置的示意圖，本發(fā)明的一種多用途計(jì)算電子支付密碼的安全裝置10，包括一中央處理器綜合控制運(yùn)算單元ll，一密碼算法協(xié)處理器單元12，一非易失性存儲(chǔ)器13，一硬件隨機(jī)數(shù)發(fā)生器單元14、一接口控制單元16以及將上述各單元相互連接的內(nèi)部總線21。該中央處理器綜合控制運(yùn)算單元11，是本安全裝置10的核心控制部件，用于進(jìn)行微代碼指令執(zhí)行、信息交互傳遞以及硬件資源管理、控制等操作。該中央處理器綜合控制運(yùn)算單元11至少包括采用專用集成電路(ASIC)設(shè)計(jì)的CPU及其外圍電路，存儲(chǔ)安全裝置啟動(dòng)、初始化及硬件自檢程序固化代碼的ROM(包括一主控邏輯單元ROM)，以及安全裝置運(yùn)行過程中存儲(chǔ)臨時(shí)數(shù)據(jù)及程序執(zhí)行代碼的易失性存儲(chǔ)器RAM。本發(fā)明的安全裝置的中央處理器綜合控制運(yùn)算單元11中的主控邏輯單元ROM中，包括一判斷子單元，用于根據(jù)請(qǐng)求數(shù)據(jù)包中包含的標(biāo)識(shí)信息，判斷當(dāng)前請(qǐng)求的類型，控制密碼算法協(xié)處理器單元12選擇執(zhí)行多種電子支付業(yè)務(wù)中的一種。該密碼算法協(xié)處理器單元12,是本安全裝置IO計(jì)算電子支付密碼的密碼算法運(yùn)算部件，其包含用于實(shí)現(xiàn)電子支付密碼計(jì)算所需的各種加密算法硬件電路或運(yùn)算加速器。該密碼算法協(xié)處理器單元12按其對(duì)外提供的功能分類，包括以下算法模塊中的至少兩種a)計(jì)算銀行票據(jù)電子支付密碼的密碼算法模塊，其所包含的算法如國(guó)密SSX10-B算法芯片實(shí)現(xiàn)的加密算法；b)計(jì)算網(wǎng)上銀行交易電子支付密碼的密碼算法模塊，其所包含的算法如RSA1024/2048算法、ECC算法、SSF33算法、SHA-1及MD5算法等；c)計(jì)算銀行卡電子支付密碼的密碼算法模塊，其所包含的算法如DES、3-DES及AES算法等。該非易失性存儲(chǔ)器13，是本安全裝置10的主要數(shù)據(jù)存儲(chǔ)部件，主要負(fù)責(zé)保存安全裝置功能初始化時(shí)下載或產(chǎn)生的帳戶信息、用戶密鑰及數(shù)字證書等敏感數(shù)據(jù)，也可以保存部分用戶操作記錄信息和安全裝置的其他邏輯控制程序或由用戶下載的密碼算法執(zhí)行程序等。該非易失性存儲(chǔ)器13，采用帶物理防護(hù)技術(shù)的存儲(chǔ)器部件，例如閃存(Flash)存儲(chǔ)器、電可擦寫可編程只讀存儲(chǔ)器EEPROM、可擦寫可編程只讀存儲(chǔ)器EPROM、可編程只讀存儲(chǔ)器PROM、或其他在斷電情況下能繼續(xù)保留數(shù)據(jù)的采用了物理防護(hù)技術(shù)的磁、電存儲(chǔ)介質(zhì)。該硬件隨機(jī)數(shù)發(fā)生器單元14，是本安全裝置10產(chǎn)生物理隨機(jī)數(shù)的部件，主要用于在安全裝置IO初始化時(shí)，為密碼算法協(xié)處理器單元12中產(chǎn)生計(jì)算電子支付密碼的算法密鑰提供隨機(jī)數(shù)源。該硬件隨機(jī)數(shù)發(fā)生器單元14由中央處理器綜合控制單元11控制，并通過使用物理噪聲源電路產(chǎn)生高質(zhì)量的隨機(jī)數(shù)，該硬件隨機(jī)數(shù)發(fā)生器單元14可每次產(chǎn)生lbit或lbyte字節(jié)長(zhǎng)的隨機(jī)數(shù)值。該接口控制單元16，是本安全裝置10與外界交互的通訊接口部件，用戶可通過在外部設(shè)備中進(jìn)行信息輸入而對(duì)該安全裝置10進(jìn)行操作，同時(shí)，該接口控制單元能夠從外部設(shè)備獲得電能而為該安全裝置10供電并能與外部設(shè)備的驅(qū)動(dòng)程序?qū)崿F(xiàn)數(shù)據(jù)交互操作。該接口控制單元16，可以是USB通訊接口控制單元17以及串行通訊接口控制單元18，或者是1394接口控制單元中的至少一種。本發(fā)明的實(shí)施例中，以包括USB通訊接口控制單元17以及串行通訊接口控制單元18的接口控制單元16為例進(jìn)行說明，其中，該USB通訊接口控制單元17，用于通過USB接口與外部支持標(biāo)準(zhǔn)USB接口的設(shè)備實(shí)現(xiàn)通訊和數(shù)據(jù)交互傳遞。該USB通訊接口控制單元17，支持USB1.1或2.0電氣及協(xié)議標(biāo)準(zhǔn)，能夠從外部設(shè)備的USB端口獲得電能而為該安全裝置10供電。該USB通訊接口控制單元17，能夠與PC計(jì)算機(jī)的USB端口通訊，并且能與PC操作系統(tǒng)上的USB設(shè)備驅(qū)動(dòng)程序?qū)崿F(xiàn)數(shù)據(jù)交互操作。該串行通訊接口控制單元18，用于通過SerialCom串行接口與外部支持串行通訊接口的設(shè)備實(shí)現(xiàn)通訊和數(shù)據(jù)交互傳遞。該串行通訊接口控制單元18，支持RS-232接口標(biāo)準(zhǔn)及串行通訊協(xié)議，能夠從外部設(shè)備的串行設(shè)備端口獲得電能而為該安全裝置io供電。該串行通訊接口控制單元18，能夠與銀行電腦終端設(shè)備或?qū)Ｓ檬殖纸K端設(shè)備的串行端口通訊，并且能夠與上述外部設(shè)備的串行端口驅(qū)動(dòng)程序?qū)崿F(xiàn)數(shù)據(jù)交互操作。當(dāng)該接口控制單元16同時(shí)包括該USB通訊接口控制單元17以及該串行通訊接口控制單元18時(shí)，該安全裝置10可以自動(dòng)適應(yīng)的選擇工作在USB通訊狀態(tài)或是工作在串行通訊狀態(tài)。以上所述各個(gè)單元，通過一內(nèi)部總線21進(jìn)行相互連接以實(shí)現(xiàn)其相應(yīng)功能。本發(fā)明的安全裝置10，通過中央處理器綜合控制運(yùn)算單元11中的判斷子單元，根據(jù)外部發(fā)送來的請(qǐng)求數(shù)據(jù)包中所包含的標(biāo)識(shí)信息，判斷當(dāng)前請(qǐng)求的類型，以控制該密碼算法協(xié)處理器單元12選擇執(zhí)行多種電子支付業(yè)務(wù)中的一種，該外部請(qǐng)求數(shù)據(jù)包的格式示意如下<table>tableseeoriginaldocumentpage14</column></row><table>其中FLG標(biāo)識(shí)業(yè)務(wù)類型(l字節(jié))，即指明該外部請(qǐng)求屬于票據(jù)支付、網(wǎng)上銀行支付或銀行卡支付等業(yè)務(wù)中的哪一種，作為一種可實(shí)施的方式，該業(yè)務(wù)類型數(shù)值可為1或2或3，其中，1代表該外部請(qǐng)求為票據(jù)支付業(yè)務(wù)，2'代表該外部請(qǐng)求為網(wǎng)上銀行業(yè)務(wù)，3代表該外部請(qǐng)求為銀行卡支付業(yè)務(wù)；TAG標(biāo)識(shí)請(qǐng)求類型(l字節(jié))，即指明該外部請(qǐng)求具體屬于哪一種請(qǐng)求操作，以計(jì)算電子支付密碼為例，該請(qǐng)求類型值可為l或2或3等，其中l(wèi)代表執(zhí)行ECC算法簽名操作，2代表執(zhí)行RSA-1024算法簽名操作，3代表執(zhí)行RSA-2048算法簽名操作等；LEN中記載DATA中數(shù)據(jù)的長(zhǎng)度(2字節(jié))；DATA中記載請(qǐng)求包所傳輸?shù)臄?shù)據(jù)內(nèi)容，即指需要執(zhí)行請(qǐng)求操作的數(shù)據(jù)；LRC表示校驗(yàn)碼(2字節(jié))。較佳地，本發(fā)明的安全裝置10的該中央處理器綜合控制運(yùn)算單元11中的ROM還包括一驗(yàn)證單元ROM，其中包含一固化的驗(yàn)證程序，用于驗(yàn)證用戶身份的合法性。用戶在操作使用本裝置前提供如口令、指紋等用戶身份識(shí)別信息，驗(yàn)證單元驗(yàn)證通過后用戶才可以使用本裝置，否則本裝置將處于鎖定狀態(tài)。在另一實(shí)施例中，該判斷子單元和該驗(yàn)證單元不包括在該中央處理器綜合控制運(yùn)算單元11中，而是包括在該非易失性存儲(chǔ)器13中，此時(shí)，該非易失性存儲(chǔ)器13中的PROG包括一主控邏輯單元PROG和一驗(yàn)證單元PROG，該判斷子單元包括在該主控邏輯單元PROG中，該驗(yàn)證單元包括在該驗(yàn)證單元PROG中，其所實(shí)現(xiàn)的功能與前一實(shí)施例中的固化ROM單元一致。較佳地，該安全裝置10中還包括一單調(diào)計(jì)數(shù)器單元15，用于當(dāng)該密碼算法協(xié)處理器單元12中包括該計(jì)算銀行卡電子支付密碼的密碼算法模塊時(shí)，支持該計(jì)算銀行卡電子支付密碼的密碼算法模塊中的生成動(dòng)態(tài)密碼功能，該單調(diào)計(jì)數(shù)單元15負(fù)責(zé)提供單調(diào)遞增或遞減的計(jì)數(shù)器數(shù)值。該單調(diào)計(jì)數(shù)器單元15的數(shù)值長(zhǎng)不低于32bit，計(jì)數(shù)器更新頻率可以是固定時(shí)間周期，例如每秒鐘或每分鐘遞增或遞減一位數(shù)，也可以由事件觸發(fā)計(jì)數(shù)器更新，例如每次計(jì)算動(dòng)態(tài)密碼后發(fā)出計(jì)數(shù)器遞增或遞減指令，該單調(diào)計(jì)數(shù)器單元15根據(jù)指令執(zhí)行計(jì)數(shù)器值的更新操作。該安全裝置10中的該單調(diào)計(jì)數(shù)器單元15能夠與服務(wù)器端實(shí)現(xiàn)計(jì)數(shù)器校準(zhǔn)，以消除與動(dòng)態(tài)驗(yàn)證服務(wù)端計(jì)數(shù)器間存在的同歩誤差，在本實(shí)施例中，服務(wù)器端通過設(shè)計(jì)計(jì)數(shù)器的糾偏機(jī)制自動(dòng)完成此項(xiàng)功能。如果該單調(diào)計(jì)數(shù)器單元15采用固定時(shí)間周期的更新方式，則該安全裝置IO中還包括一個(gè)時(shí)鐘晶體振蕩器以及為該晶體振蕩器提供電源輸入的器件。較佳地，作為一種可實(shí)施方式，該安全裝置10的各功能模塊單元，集成在一塊片上系統(tǒng)(SOC)集成電路安全芯片內(nèi)，該安全芯片還包括一物理防護(hù)電路層22，用于對(duì)該安全裝置10內(nèi)部進(jìn)行物理防護(hù)，其可以有效防止通過物理解剖、探測(cè)技術(shù)手段對(duì)芯片內(nèi)部數(shù)據(jù)的非法探測(cè)或存取。更佳地，作為一種可實(shí)施方式，該安全裝置IO被以安全芯片的形式封裝在一個(gè)形狀如USBKey密碼鑰匙的殼體中，如一薄形塑料殼；該殼體上設(shè)置有一標(biāo)準(zhǔn)USB端口接插器件，該接插器件與裝置中的安全芯片的輸入輸出管腳連接。在本發(fā)明的另一實(shí)施例中，該安全裝置10上還設(shè)置有一個(gè)指示燈，用于標(biāo)識(shí)該安全裝置10是否處于工作狀態(tài)。在本發(fā)明的又一實(shí)施例中，該安全裝置10上還設(shè)置有一個(gè)按鍵，作為交易確認(rèn)按鈕，用戶可設(shè)定當(dāng)該安全裝置10需要計(jì)算電子支付密碼或進(jìn)行其他操作時(shí)，按下該按鍵，該安全裝置10才可以進(jìn)行工作。圖2所示為本發(fā)明的安全裝置10與PC、銀行終端及專用手持設(shè)備連接的示意圖，本發(fā)明的安全裝置IO支持的USB通訊接口和串行通訊接口共用標(biāo)準(zhǔn)USB端口接插器件，可滿足與PC計(jì)算機(jī)上的標(biāo)準(zhǔn)USB端口連接并實(shí)現(xiàn)USB通訊；同時(shí)，也可通過USBo串口轉(zhuǎn)換器與銀行電腦終端設(shè)備或?qū)Ｓ檬殖衷O(shè)備的串行通訊端口連接并實(shí)現(xiàn)串行數(shù)據(jù)通訊。下面結(jié)合本發(fā)明的一種多用途計(jì)算電子支付密碼的安全裝置，進(jìn)一步詳細(xì)說明本發(fā)明的一種通用的銀行電子支付密碼生成方法。所述的多用途計(jì)算電子支付密碼的安全裝置10，包括中央處理器綜合控制運(yùn)算單元ll;執(zhí)行密碼算法的協(xié)處理器單元12;保存程序代碼及算法密鑰等敏感數(shù)據(jù)的非易失性存儲(chǔ)器單元13;硬件隨機(jī)數(shù)發(fā)生器單元14;單調(diào)計(jì)數(shù)器單元15;USB通訊接口控制單元17和串行通訊接口控制單元18。所述安全裝置10的各單元通過內(nèi)部總線21相互連接，以實(shí)現(xiàn)數(shù)據(jù)交換、密碼運(yùn)算等基本功能；該安全裝置10通過USB通訊接口控制單元17和/或串行通訊接口控制單元18與外部設(shè)備連接。所述的安全裝置10可通過由外部發(fā)送來的請(qǐng)求數(shù)據(jù)包中包含的標(biāo)識(shí)信息，判斷當(dāng)前請(qǐng)求的業(yè)務(wù)類型，并自動(dòng)選擇執(zhí)行多種電子支付業(yè)務(wù)中的一種，該外部請(qǐng)求數(shù)據(jù)包的格式示意如下<table>tableseeoriginaldocumentpage16</column></row><table>其中FLG標(biāo)識(shí)業(yè)務(wù)類型(l字節(jié))，即指明該外部請(qǐng)求屬于票據(jù)支付、網(wǎng)上銀行支付或銀行卡支付等業(yè)務(wù)中的哪一種，作為一種可實(shí)施的方式，該業(yè)務(wù)類型數(shù)值可為1或2或3，其中，1代表該外部請(qǐng)求為票據(jù)支付業(yè)務(wù)，2代表該外部請(qǐng)求為網(wǎng)上銀行業(yè)務(wù)，3代表該外部請(qǐng)求為銀行卡支付業(yè)務(wù)；TAG標(biāo)識(shí)請(qǐng)求類型(l字節(jié))，即指明該外部請(qǐng)求屬于哪一種請(qǐng)求操作，如計(jì)算支付密碼、設(shè)備初始化等；LEN中記載DATA中數(shù)據(jù)的長(zhǎng)度(2字節(jié))；DATA中記載請(qǐng)求包所傳輸?shù)臄?shù)據(jù)內(nèi)容；LRC表示校驗(yàn)碼(2字節(jié))。請(qǐng)參照?qǐng)D3，此為本發(fā)明的安全裝置在接收到外部發(fā)送來的請(qǐng)求數(shù)據(jù)包后，其數(shù)據(jù)包解析工作的流程圖步驟S100，接收到從外部發(fā)送而來的一包含標(biāo)識(shí)信息的請(qǐng)求數(shù)據(jù)包；步驟S200，解析該請(qǐng)求數(shù)據(jù)包，提取該請(qǐng)求數(shù)據(jù)包LRC部分中的校驗(yàn)碼并通過判斷該校驗(yàn)碼對(duì)該請(qǐng)求數(shù)據(jù)包進(jìn)行完整性驗(yàn)證，若該校驗(yàn)碼錯(cuò)誤，則返回錯(cuò)誤輸出，本次操作結(jié)束；若校驗(yàn)碼正確，則通過該請(qǐng)求數(shù)據(jù)包的FLG部分判斷該請(qǐng)求數(shù)據(jù)包所需執(zhí)行的業(yè)務(wù)類型；步驟S300,判斷該請(qǐng)求數(shù)據(jù)包中所需執(zhí)行的業(yè)務(wù)類型為票據(jù)支付業(yè)務(wù)、網(wǎng)上銀行支付業(yè)務(wù)或銀行卡支付業(yè)務(wù)中的哪一種，并自動(dòng)選擇相應(yīng)的銀行業(yè)務(wù)電子支付密碼的算法模塊；步驟S410，當(dāng)通過FLG部分中的數(shù)據(jù)完成了對(duì)業(yè)務(wù)類型的確定后，該安全裝置繼續(xù)通過請(qǐng)求數(shù)據(jù)包的TAG部分判斷該請(qǐng)求數(shù)據(jù)包所需執(zhí)行的請(qǐng)求操作類型；步驟S420,該請(qǐng)求數(shù)據(jù)包中所需執(zhí)行的請(qǐng)求操作類型可以是計(jì)算支付密碼以及設(shè)備初始化等，當(dāng)該安全裝置完成了對(duì)于請(qǐng)求類型的判斷之后，此次請(qǐng)求數(shù)據(jù)包的解析工作完成，該安全裝置可依照所確定的業(yè)務(wù)類型、請(qǐng)求操作類型以及請(qǐng)求數(shù)據(jù)包中所包含的數(shù)據(jù)內(nèi)容進(jìn)行后續(xù)的運(yùn)算操作，如密碼生成。步驟S500，安全裝置執(zhí)行完成外部請(qǐng)求操作后，將操作結(jié)果或者生成的電子支付密碼返回給請(qǐng)求者，完成本次操作。作為一種可實(shí)施的方式，如圖4所示，為本發(fā)明中，該安全裝置實(shí)現(xiàn)計(jì)算銀行票據(jù)電子支付密碼生成方法，包括以下步驟步驟A100:安全裝置在開戶銀行進(jìn)行設(shè)備初始化、加載帳號(hào)及產(chǎn)生帳號(hào)對(duì)應(yīng)的密鑰對(duì)，密鑰對(duì)由安全裝置內(nèi)部隨機(jī)產(chǎn)生，其中，私鑰存儲(chǔ)在安全裝置內(nèi)，公鑰上送給銀行后臺(tái)支付密碼核驗(yàn)系統(tǒng)保存；步驟A200:當(dāng)計(jì)算某票據(jù)電子支付密碼時(shí)，用戶將安全裝置插入PC機(jī)或手持終端設(shè)備，然后輸入口令、指紋等身份識(shí)別信息并通過與安全裝置連接的通訊接口，發(fā)送開啟安全裝置的請(qǐng)求；步驟A300:安全裝置接到開啟請(qǐng)求后，判斷用戶身份及權(quán)限是否合法，若用戶身份或權(quán)限非法，則返回錯(cuò)誤信息并終止本次操作，若用戶身份及權(quán)限均合法，則繼續(xù)進(jìn)行下一步操作；步驟A400:當(dāng)用戶身份及權(quán)限被判斷為合法后，用戶通過PC機(jī)或手持終端的操作界面輸入票據(jù)的基本要素信息，即帳號(hào)、票據(jù)號(hào)、金額、日期及票據(jù)種類等，并通過與安全裝置連接的通訊接口，發(fā)送計(jì)算電子支付密碼的請(qǐng)求；步驟A500:安全裝置接到請(qǐng)求數(shù)據(jù)包后，對(duì)用戶的請(qǐng)求業(yè)務(wù)類型進(jìn)行判斷，當(dāng)確認(rèn)用戶的請(qǐng)求類型是計(jì)算票據(jù)電子支付密碼時(shí)，選擇并讀取該票據(jù)帳號(hào)所對(duì)應(yīng)的私鑰，完成計(jì)算本張票據(jù)的電子支付密碼生成操作，并將支付密碼返回調(diào)用者。而后，該安全裝置生成的電子支付密碼，可以打印或顯示并由用戶抄寫在銀行票據(jù)指定位置上，作為票據(jù)支付的授權(quán)依據(jù)。當(dāng)帶有支付密碼的銀行票據(jù)流轉(zhuǎn)回到銀行時(shí)，由銀行柜員錄入票據(jù)上各項(xiàng)要素信息包括電子支付密碼，交易信息通過銀行網(wǎng)絡(luò)送到銀行后臺(tái)進(jìn)行電子支付密碼核驗(yàn)，核驗(yàn)通過后完成支付及記帳操作。在本發(fā)明的安全裝置實(shí)現(xiàn)計(jì)算銀行票據(jù)電子支付密碼生成方法的另一實(shí)施例中，在上述步驟A200至步驟A500中的至少一項(xiàng)中，還包含一記錄用戶操作日志的步驟，以將用戶所進(jìn)行過的操作記錄在安全裝置中。在本發(fā)明的安全裝置實(shí)現(xiàn)計(jì)算銀行票據(jù)電子支付密碼生成方法的另一實(shí)施例中，在上述步驟A200至步驟A500中的至少一項(xiàng)中，還包含一需要用戶按下一設(shè)置在該安全裝置上的交易確認(rèn)按鈕，以確認(rèn)進(jìn)行操作的步驟。作為另一種可實(shí)施的方式，如圖5所示，此為本發(fā)明中，該安全裝置實(shí)現(xiàn)計(jì)算網(wǎng)匕銀行電子支付密碼生成方法，包括以下步驟步驟B100:本安全裝置在銀行進(jìn)行設(shè)備初始化，并申請(qǐng)和下載網(wǎng)上銀行使用的數(shù)字證書，用于生成數(shù)字證書的密鑰對(duì)由安全裝置內(nèi)部隨機(jī)產(chǎn)生，其中私鑰部分存儲(chǔ)在安全裝置內(nèi)部，公鑰上送銀行數(shù)字證書管理系統(tǒng)，數(shù)字證書由銀行證書管理系統(tǒng)生成后下載保存在安全裝置中；步驟B200:當(dāng)需要計(jì)算網(wǎng)上銀行電子支付密碼時(shí)，用戶將安全裝置插入PC機(jī)的USB端口，然后輸入口令、指紋等身份識(shí)別信息并通過與安全裝置連接的通訊接口，發(fā)送開啟安全裝置的請(qǐng)求；步驟B300:安全裝置接到開啟請(qǐng)求后，判斷用戶身份及權(quán)限是否合法，若用戶身份或權(quán)限非法，則返回錯(cuò)誤信息并終止本次操作，若用戶身份及權(quán)限均合法，則繼續(xù)進(jìn)行下一步操作；步驟B400:當(dāng)用戶身份及權(quán)限被判斷為合法后，用戶通過PC機(jī)網(wǎng)上銀行軟件界面輸入網(wǎng)上交易信息，如支付帳號(hào)、收方帳號(hào)、金額等，并通過USB端口向安全裝置發(fā)送計(jì)算網(wǎng)上銀行交易電子支付密碼請(qǐng)求；步驟B500:安全裝置接到請(qǐng)求數(shù)據(jù)包后，對(duì)用戶的請(qǐng)求業(yè)務(wù)類型進(jìn)行判斷，當(dāng)確認(rèn)用戶的請(qǐng)求類型為計(jì)算網(wǎng)上銀行交易支付密碼時(shí)，讀取用戶數(shù)字證書對(duì)應(yīng)的私鑰并計(jì)算網(wǎng)上交易的數(shù)字簽名，該數(shù)字簽名作為本次網(wǎng)上交易的電子支付密碼返回調(diào)用者。而后，該電子支付密碼及交易信息通過Internet互聯(lián)網(wǎng)上送給銀行后臺(tái)的網(wǎng)上銀行交易系統(tǒng)，系統(tǒng)檢索并使用用戶數(shù)字證書中的公鑰對(duì)本次交易的電子支付密碼進(jìn)行驗(yàn)證，驗(yàn)證通過后完成支付及記帳操作。在本發(fā)明的安全裝置實(shí)現(xiàn)計(jì)算網(wǎng)上銀行電子支付密碼生成方法的另一實(shí)施例中，在上述步驟B200至步驟B500中的至少一項(xiàng)中，還包含一記錄用戶操作日志的歩驟，以將用戶所進(jìn)行過的操作信息記錄在安全裝置中。在本發(fā)明的安全裝置實(shí)現(xiàn)計(jì)算網(wǎng)上銀行電子支付密碼生成方法的再一實(shí)施例中，在上述步驟B200至步驟B500中的至少一項(xiàng)中，還包含一需要用戶按下一設(shè)置在該安全裝置上的交易確認(rèn)按鈕，以確認(rèn)進(jìn)行操作的步驟。作為再一種可實(shí)施的方式，如圖6所示，此為本發(fā)明中，該安全裝置實(shí)現(xiàn)計(jì)算銀行卡電子支付密碼生成方法，包括以下步驟步驟C100:本安全裝置在銀行進(jìn)行設(shè)備初始化，由安全裝置隨機(jī)產(chǎn)生一個(gè)用于動(dòng)態(tài)密碼產(chǎn)生和驗(yàn)證的對(duì)稱密碼算法密鑰，并保存在裝置內(nèi)部的安全芯片中，同時(shí)，還要為安全裝置分配一個(gè)隨機(jī)的計(jì)數(shù)器初值，然后將密鑰和計(jì)數(shù)器初值加密上傳給銀行后臺(tái)密碼核驗(yàn)系統(tǒng)并保存，確保安全裝置與銀行后臺(tái)密碼核驗(yàn)系統(tǒng)數(shù)據(jù)同步；步驟C200:當(dāng)需要計(jì)算銀行卡電子支付密碼時(shí)，用戶可將安全裝置插入專用手持設(shè)備中(POS刷卡場(chǎng)景)，或者可以插入PC機(jī)的USB端口(銀行卡網(wǎng)上支付場(chǎng)景)，然后輸入口令、指紋等用戶身份識(shí)別信息并通過與安全裝置連接的通訊接口，發(fā)送開啟安全裝置的請(qǐng)求；步驟C300:安全裝置接到開啟請(qǐng)求后，判斷用戶身份及權(quán)限是否合法，若用戶身份或權(quán)限非法，則返回錯(cuò)誤信息并終止本次操作，若用戶身份及權(quán)限均合法，則繼續(xù)進(jìn)行下一步操作；步驟C400:當(dāng)用戶身份及權(quán)限被判斷為合法后，用戶通過PC機(jī)或手持終端輸入銀行卡終端或網(wǎng)上支付交易界面上提示的本次交易的"挑戰(zhàn)碼"，即服務(wù)端提供的一組隨機(jī)數(shù)字，并將挑戰(zhàn)碼通過與安全裝置連接的通訊接口，與計(jì)算銀行卡電子支付密碼請(qǐng)求一并發(fā)送給安全裝置；步驟C500:安全裝置收到請(qǐng)求數(shù)據(jù)包后，對(duì)用戶的請(qǐng)求業(yè)務(wù)類型進(jìn)行判斷，當(dāng)確認(rèn)用戶的請(qǐng)求類型為計(jì)算銀行卡電子支付密碼時(shí)，讀取本安全裝置存儲(chǔ)的動(dòng)態(tài)密碼算法密鑰，并根據(jù)當(dāng)前計(jì)數(shù)器值和"挑戰(zhàn)碼"計(jì)算得到本次交易的電子支付密碼并返回設(shè)備調(diào)用者；步驟C600:安全裝置中的計(jì)數(shù)器值自動(dòng)更新。而后，電子支付密碼通過銀行卡終端或互聯(lián)網(wǎng)上送給銀行后臺(tái)的銀行卡處理系統(tǒng)，系統(tǒng)根據(jù)銀行卡號(hào)索引用戶對(duì)應(yīng)的動(dòng)態(tài)密碼算法密鑰和用戶的單調(diào)計(jì)數(shù)器值，通過密碼計(jì)算驗(yàn)證用戶本次交易的電子支付密碼的正確性，驗(yàn)證通過后系統(tǒng)完成支付記帳操作，并通知前端交易執(zhí)行結(jié)果。在本發(fā)明的安全裝置實(shí)現(xiàn)計(jì)算銀行卡電子支付密碼生成方法的另一實(shí)施例中，在上述步驟C200至步驟C600中的至少一項(xiàng)中，還包含一記錄用戶操作日志的步驟，以將用戶所進(jìn)行過的操作記錄在安全裝置中。在本發(fā)明的安全裝置實(shí)現(xiàn)計(jì)算銀行卡電子支付密碼生成方法的另一實(shí)施例中，在上述步驟C200至步驟C600中的至少一項(xiàng)中，還包含一需要用戶按下一設(shè)置在該安全裝置上的交易確認(rèn)按鈕，以確認(rèn)進(jìn)行操作的步驟。本發(fā)明的安全裝置同時(shí)支持銀行票據(jù)支付、網(wǎng)上銀行支付和銀行卡支付等三種主要銀行支付手段中的電子支付密碼計(jì)算功能，以及支持安全裝置初始化、密鑰等敏感數(shù)據(jù)存儲(chǔ)等功能。本安全裝置可通過USB接口或串行通訊接口與PC計(jì)算機(jī)、銀行電腦終端或?qū)Ｓ檬殖衷O(shè)備相連。該安全裝置支持至少兩種通訊接口共用安全裝置上的標(biāo)準(zhǔn)USB端口接插器件，而且該安全裝置可自動(dòng)適應(yīng)當(dāng)前工作于USB通訊狀態(tài)，或是處于串行通訊狀態(tài)。請(qǐng)參照下面的表1，其為使用及不使用本發(fā)明的計(jì)算電子支付密碼安全裝置效果對(duì)照表表1使用及不使用本發(fā)明的計(jì)算電子支付密碼安全裝置效果對(duì)照表<table>tableseeoriginaldocumentpage20</column></row><table>銀行卡的動(dòng)態(tài)密碼卡設(shè)備，一般只能脫機(jī)使用接專用手持設(shè)備脫機(jī)使用用戶需要投資購(gòu)買三種不同的電子支付密碼計(jì)算設(shè)備，造成重復(fù)投資用戶只需要購(gòu)置一臺(tái)本發(fā)明所述安全裝置，即可實(shí)現(xiàn)"一機(jī)多用"，而且可節(jié)省用戶投資當(dāng)然，本發(fā)明還可有其他多種實(shí)施例，在不背離本發(fā)明精神及其實(shí)質(zhì)的情況下，熟悉本領(lǐng)域的技術(shù)人員當(dāng)可根據(jù)本發(fā)明作出各種相應(yīng)的改變和變形，但這些相應(yīng)的改變和變形都應(yīng)屬于本發(fā)明所附的權(quán)利要求的保護(hù)范圍。權(quán)利要求1、一種多用途計(jì)算電子支付密碼的安全裝置，包括中央處理器綜合控制運(yùn)算單元，密碼算法協(xié)處理器單元，存儲(chǔ)器，硬件隨機(jī)數(shù)發(fā)生器單元，接口控制單元，其特征在于所述密碼算法協(xié)處理器單元包括多種銀行業(yè)務(wù)電子支付密碼的算法模塊；所述中央處理器綜合控制運(yùn)算單元或所述存儲(chǔ)器中，包括判斷子單元，用于根據(jù)請(qǐng)求數(shù)據(jù)包中包含的標(biāo)識(shí)信息，判斷當(dāng)前請(qǐng)求的類型，控制密碼算法協(xié)處理器單元選擇執(zhí)行所述多種電子支付業(yè)務(wù)中的一種。2、根據(jù)權(quán)利要求1所述的多用途計(jì)算電子支付密碼的安全裝置，其特征在于，所述銀行業(yè)務(wù)電子支付密碼的算法模塊為以下算法模塊中的至少兩種計(jì)算銀行票據(jù)電子支付密碼的密碼算法模塊；計(jì)算網(wǎng)上銀行交易電子支付密碼的密碼算法模塊；計(jì)算銀行卡電子支付密碼的密碼算法模塊。3、根據(jù)權(quán)利要求1或2所述的多用途計(jì)算電子支付密碼的安全裝置，其特征在于，還包括驗(yàn)證單元，與所述判斷子單元同時(shí)位于所述中央處理器綜合控制運(yùn)算單元或同時(shí)位于所述存儲(chǔ)器中，用于驗(yàn)證用戶身份的合法性。4、根據(jù)權(quán)利要求1或2所述的多用途計(jì)算電子支付密碼的安全裝置，其特征在于，所述接口控制單元為USB通訊接口控制單元，串行通訊接口控制單元，1394接口控制單元中的一種或者一種以上的組合。5、根據(jù)權(quán)利要求1或2所述的一種多用途計(jì)算電子支付密碼的安全裝置，其特征在于，所述存儲(chǔ)器為非易失性存儲(chǔ)器，該非易失性存儲(chǔ)器用于保存用戶操作記錄信息。6、根據(jù)權(quán)利要求2所述的多用途計(jì)算電子支付密碼的安全裝置，其特征在于，當(dāng)該密碼算法協(xié)處理器單元中包括該計(jì)算銀行卡電子支付密碼的密碼算法模塊時(shí)，該安全裝置中還包括一單調(diào)計(jì)數(shù)器單元，用于提供單調(diào)遞增或遞減的計(jì)數(shù)器數(shù)值，以支持該計(jì)算銀行卡電子支付密碼的密碼算法模塊中的生成動(dòng)態(tài)密碼功能。7、根據(jù)權(quán)利要求1或2所述的多用途計(jì)算電子支付密碼的安全裝置，其特征在于，該安全裝置的各功能模塊單元，集成在一塊片上系統(tǒng)集成電路安全芯片內(nèi)。8、根據(jù)權(quán)利要求7所述的多用途計(jì)算電子支付密碼的安全裝置，其特征在于，該安全芯片還包括一物理防護(hù)電路層，用于防止對(duì)該安全裝置內(nèi)部進(jìn)行解剖和探測(cè)。9、根據(jù)權(quán)利要求8所述的多用途計(jì)算電子支付密碼的安全裝置，其特征在于，該安全芯片封裝在一個(gè)形狀如USBKey密碼鑰匙的殼體中，該殼體上設(shè)置有一標(biāo)準(zhǔn)USB端口接插器件，該接插器件與裝置中的安全芯片的輸入輸出管腳連接。10、一種通用的銀行電子支付密碼生成方法，其特征在于，包括以下步驟步驟A，接收到從外部發(fā)送而來的一包含標(biāo)識(shí)信息的請(qǐng)求數(shù)據(jù)包；步驟B，判斷該請(qǐng)求數(shù)據(jù)包中所需執(zhí)行的業(yè)務(wù)類型為多種電子支付業(yè)務(wù)中的哪一種，選擇相應(yīng)的銀行業(yè)務(wù)電子支付密碼的算法模塊；步驟C，當(dāng)完成對(duì)業(yè)務(wù)類型的確定后，繼續(xù)通過分析請(qǐng)求數(shù)據(jù)包判斷該請(qǐng)求數(shù)據(jù)包所需執(zhí)行的請(qǐng)求操作類型；歩驟D，依照所確定的業(yè)務(wù)類型、請(qǐng)求操作類型以及請(qǐng)求數(shù)據(jù)包中所包含的數(shù)據(jù)內(nèi)容進(jìn)行密碼生成工作。11、根據(jù)權(quán)利要求IO所述的通用的銀行電子支付密碼生成方法，其特征在于，所述銀行業(yè)務(wù)電子支付密碼的算法模塊為以下算法模塊中的至少兩種計(jì)算銀行票據(jù)電子支付密碼的密碼算法模塊；計(jì)算網(wǎng)上銀行交易電子支付密碼的密碼算法模塊；計(jì)算銀行卡電子支付密碼的密碼算法模塊。12、根據(jù)權(quán)利要求10或11所述的通用的銀行電子支付密碼生成方法，其特征在于，所述步驟A與步驟B之間還包括下列步驟解析該請(qǐng)求數(shù)據(jù)包，提取該請(qǐng)求數(shù)據(jù)包中的校驗(yàn)碼，并通過判斷該校驗(yàn)碼對(duì)該請(qǐng)求數(shù)據(jù)包進(jìn)行完整性驗(yàn)證，若該校驗(yàn)碼錯(cuò)誤，則返回錯(cuò)誤輸出，本次操作結(jié)束；若校驗(yàn)碼正確，則通過該請(qǐng)求數(shù)據(jù)包判斷該請(qǐng)求數(shù)據(jù)包所需執(zhí)行的業(yè)務(wù)類型。13、根據(jù)權(quán)利要求12所述的通用的銀行電子支付密碼生成方法，其特征在于，所述的通用的銀行電子支付密碼生成方法實(shí)現(xiàn)計(jì)算銀行票據(jù)電子支付密碼，或者網(wǎng)上銀行電子支付密碼，或者銀行卡電子支付密碼時(shí)，包括下列步驟步驟a):安全裝置在開戶銀行進(jìn)行設(shè)備初始化、加載帳號(hào)及產(chǎn)生帳號(hào)對(duì)應(yīng)的密鑰對(duì)，密鑰對(duì)由安全裝置內(nèi)部隨機(jī)產(chǎn)生，其中，私鑰存儲(chǔ)在安全裝置內(nèi)，公鑰上送給銀行后臺(tái)支付密碼核驗(yàn)系統(tǒng)保存；步驟b):用戶將安全裝置插入PC機(jī)或?qū)Ｓ檬殖衷O(shè)備的USB端口或串行通訊端口或1394通訊端口，然后輸入口令、指紋等身份識(shí)別信息并通過與安全裝置連接的通訊接口，發(fā)送開啟安全裝置的請(qǐng)求；步驟c):安全裝置接到開啟指令請(qǐng)求數(shù)據(jù)包后，判斷用戶身份及權(quán)限是否合法，若用戶身份或權(quán)限非法，則返回錯(cuò)誤信息并終止本次操作，若用戶身份及權(quán)限均合法，則繼續(xù)進(jìn)行下一步操作；步驟d):當(dāng)用戶身份及權(quán)限被判斷為合法后，用戶向該安全裝置發(fā)送請(qǐng)求信息，該安全裝置依照用戶發(fā)送來的該請(qǐng)求信息執(zhí)行計(jì)算電子支付密碼的操作，并將計(jì)算出的電子支付密碼返回調(diào)用者。14、根據(jù)權(quán)利要求13所述的一種通用的銀行電子支付密碼生成方法，其特征在于，所述的通用的銀行電子支付密碼生成方法實(shí)現(xiàn)計(jì)算銀行票據(jù)電子支付密碼時(shí)，在步驟d)中，用戶向該安全裝置發(fā)送的請(qǐng)求信息包括票據(jù)的基本要素信息。15、根據(jù)權(quán)利要求13所述的一種通用的銀行電子支付密碼生成方法，其特征在于，所述的通用的銀行電子支付密碼生成方法實(shí)現(xiàn)計(jì)算網(wǎng)上銀行電子支付密碼時(shí)，在步驟d)中，用戶向該安全裝置發(fā)送的請(qǐng)求信息包括網(wǎng)上交易信息。16、根據(jù)權(quán)利要求13所述的一種通用的銀行電子支付密碼生成方法，其特征在于，所述的通用的銀行電子支付密碼生成方法實(shí)現(xiàn)計(jì)算銀行卡電子支付密碼時(shí)，包括下列步驟在步驟a)中，還包括一為安全裝置分配一個(gè)隨機(jī)的計(jì)數(shù)器初值，然后將密鑰和計(jì)數(shù)器初值加密上傳給銀行后臺(tái)密碼核驗(yàn)系統(tǒng)并保存，確保安全裝置與銀行后臺(tái)密碼核驗(yàn)系統(tǒng)數(shù)據(jù)同步的步驟；在步驟a)中，不包括產(chǎn)生及保存密鑰對(duì)的步驟，而是有一由該安全裝置隨機(jī)產(chǎn)生一個(gè)用于動(dòng)態(tài)密碼產(chǎn)生和驗(yàn)證的對(duì)稱密碼算法密鑰，并保存在安全裝置內(nèi)部的步驟；在步驟d)中，用戶向該安全裝置發(fā)送的請(qǐng)求信息包括銀行卡終端或網(wǎng)上支付交易界面上提示的本次交易的"挑戰(zhàn)碼"，即一組隨機(jī)數(shù)字；在步驟d)中，該安全裝置計(jì)算本次交易的電子支付密碼，是根據(jù)安全裝置中當(dāng)前計(jì)數(shù)器值和"挑戰(zhàn)碼"計(jì)算得到，且在計(jì)算完成后還包括一對(duì)該安全裝置中的計(jì)數(shù)器值自動(dòng)更新的步驟。17、根據(jù)權(quán)利要求13所述的一種通用的銀行電子支付密碼生成方法，其特征在于，在步驟b)至步驟d)中的至少一項(xiàng)中，包含一記錄用戶操作日志的步驟，以將用戶所進(jìn)行過的操作信息記錄在安全裝置中。18、根據(jù)權(quán)利要求13所述的一種通用的銀行電子支付密碼生成方法，其特征在于，在步驟b)至步驟d)中的至少一項(xiàng)中，包含一需要用戶按下一設(shè)置在該安全裝置上的交易確認(rèn)按鈕，以確認(rèn)進(jìn)行操作的步驟。全文摘要本發(fā)明涉及一種多用途計(jì)算電子支付密碼的安全裝置及密碼生成方法，該安全裝置包括中央處理器綜合控制運(yùn)算單元，密碼算法協(xié)處理器單元，存儲(chǔ)器，硬件隨機(jī)數(shù)發(fā)生器單元和接口控制單元；其中，密碼算法協(xié)處理器單元包括多種銀行業(yè)務(wù)電子支付密碼的算法運(yùn)算模塊；中央處理器綜合控制運(yùn)算單元包括判斷子單元，用于判斷當(dāng)前請(qǐng)求的類型；控制密碼算法協(xié)處理器單元自動(dòng)選擇執(zhí)行所述多種電子支付業(yè)務(wù)中的一種。該密碼生成方法包括以下步驟接收到從外部發(fā)送而來的一請(qǐng)求數(shù)據(jù)包；判斷該請(qǐng)求數(shù)據(jù)包中所需執(zhí)行的業(yè)務(wù)類型，選擇相應(yīng)的算法模塊；當(dāng)完成對(duì)業(yè)務(wù)類型的確定后，判斷該請(qǐng)求數(shù)據(jù)包所需執(zhí)行的請(qǐng)求操作類型；進(jìn)行密碼生成工作。文檔編號(hào)G06Q20/00GK101110113SQ20071012018公開日2008年1月23日申請(qǐng)日期2007年8月10日優(yōu)先權(quán)日2007年8月10日發(fā)明者晶楊申請(qǐng)人:魏愷言