專利名稱:智能密鑰設備及其與外部設備進行信息交換的方法
技術領域:
本發(fā)明涉及一種數(shù)據(jù)安全存儲設備����,尤其是應用智能卡實現(xiàn)的智 能密鑰設備以及應用這種智能卡與外部設備進行信息交換的方法。
背景技術:
隨著電子技術的發(fā)展�����,人們開始使用電子錢包�����、網(wǎng)上銀行等電子 支付業(yè)務�����,為人們的生活帶來極大的便利�。人們使用電子支付業(yè)務 時,第三方����,如銀行向使用者提供一智能密鑰設備,該智能密鑰設備 中存儲有支持電子支付業(yè)務的相關程序,如電子支付業(yè)務使用銀行卡 的賬號���、密碼驗證程序等�。由于使用者與第三方對這些信息的安全要 求較高�����,因此��,對存儲這些信息的智能密鑰設備的安全性能要求也越 來越高?���,F(xiàn)有的智能密鑰設備大多是便攜式的設備,主要是一具有USB接 口的安全芯片��,安全芯片通過USB接口與計算機連接�。但由于安全芯 片沒有統(tǒng)一的標準與嚴格的安全評定,給智能密鑰設備的信息安全性 帶來一定的隱患�����。因此��,現(xiàn)有的一種智能密鑰設備使用智能卡存儲相關的信息�。該 智能卡包括有中央處理器以及可由中央處理器訪問的存儲器,存儲器 中存儲有密鑰產(chǎn)生與管理程序��,用于對使用者的銀行卡賬號����、密碼進 行驗證。當使用者需要進行電子支付業(yè)務時���,將智能密鑰設備連接到 計算機上���,智能卡便通過USB接口與計算機連接,并與計算機進行數(shù) 據(jù)交換�����。使用者將銀行卡的賬號�、密碼等需要驗證的數(shù)據(jù)輸入計算 機,計算機即將相關數(shù)據(jù)傳送至智能密鑰設備����,智能密鑰設備的智能 卡接收這些數(shù)據(jù)后,應用密鑰產(chǎn)生與管理程序驗證銀行卡的賬號����、密 碼是否正確,并向計算機返回正確或不正確的返回信息。但是這種智能密鑰設備的智能卡與USB接口是合二為一的�����,生產(chǎn) 智能卡時需要同時生產(chǎn)USB接口���。但由于只有智能卡生產(chǎn)商才有資質 生產(chǎn)智能卡����,因此��,智能卡生產(chǎn)商需要添加生產(chǎn)USB接口的生產(chǎn)線才能完成智能密鑰設備的生產(chǎn)���,使智能卡生產(chǎn)商的投入較大���。若智能卡生產(chǎn)商將生產(chǎn)好的智能卡交給外部的USB接口生產(chǎn)商完成智能密鑰設 備的生產(chǎn),又給智能密鑰設備帶來不安全的因素�,從而給智能密鑰設 備的信息安全性帶來隱患。同時��,由于智能卡中往往只存儲有一個或多個針對特定智能卡 (如銀行卡)的密鑰產(chǎn)生與管理程序����,即一個智能密鑰設備只能應用 于特定的智能卡的賬號與密碼的校驗,如使用者使用的智能卡類型等 更改���,則無法再使用該智能密鑰設備���,智能密鑰設備的通用性能較 差,也給使用者帶來不便����。發(fā)明內容本發(fā)明的主要目的是提供一種生產(chǎn)方便且生產(chǎn)安全性好的智能密鑰設備;本發(fā)明的另一 目的是提供一種通用性能較好的智能密鑰設備�����;本發(fā)明的再一目的是提供一種應用上述智能密鑰設備與外部設備 進行信息交換的方法���。為實現(xiàn)上述的主要目的�,本發(fā)明提供的智能密鑰設備包括與外部 設備連接的USB接口 �,該USB接口與一讀卡器連接并進行數(shù)據(jù)交換, 一可拆卸地安裝在讀卡器中的智能卡���,該智能卡包括中央處理器及可 由中央處理器訪問的存儲器����,該存儲器中存儲有密鑰產(chǎn)生與管理程 序,以及加密解密程序�����。由上述方案可見���,本發(fā)明的智能密鑰設備中包括有讀卡器以及可 拆卸地安裝到讀卡器中的智能卡����,因此智能密鑰i殳備可分別由USB接 口生產(chǎn)商與智能卡生產(chǎn)商生產(chǎn)各自的部分����,即USB^^口生產(chǎn)商生產(chǎn)智 能密鑰設備中除智能卡以外的所有硬件設備,包括USB接口��、讀卡器 等�����,智能卡生產(chǎn)商僅生產(chǎn)智能卡�����。當USB接口生產(chǎn)商將生產(chǎn)好的半成 品交給智能卡生產(chǎn)商����,智能卡生產(chǎn)商即可將存儲有密鑰產(chǎn)生與管理程 序、加密解密程序的智能卡安裝到讀卡器中��,便完成智能密鑰設備的 生產(chǎn)�,使智能密鑰設備的生產(chǎn)靈活方便。并且�,智能卡生產(chǎn)商并不需要在生產(chǎn)USB接口、讀卡器時將智能 卡交給USB接口生產(chǎn)商��,智能卡的生產(chǎn)完全在智能卡生產(chǎn)商的監(jiān)控之 下完成��,不會對智能卡的安全性能帶來隱患��,也確保了智能密鑰設備 的生產(chǎn)安全性����。同時,若使用者需要更換使用的智能卡類型�,只需要將智能密鑰 設備中的智能卡從讀卡器中取下,并更換新的智能卡即可���,不需要將 智能密鑰設備整體更換�,使智能密鑰設備具有較好的通用性���,并為使 用者的使用帶來便利��。為了實現(xiàn)上述的再一目的�,本發(fā)明提供的智能密鑰設備與外部設 備進行信息交換方法中,外部設備為一計算機�,該計算機中存儲有應 用程序以及加密服務接口程序,該方法包括應用程序運行時調用加密服務接口程序并發(fā)出驗證數(shù)據(jù)��,加密服 務接口程序發(fā)出對驗證數(shù)據(jù)進行加密服務的請求信息��,并通過USB接 口及讀卡器將該信息傳送至智能卡�;智能卡的加密解密程序對驗證數(shù)據(jù)進行加密或解密處理后傳送至 密鑰產(chǎn)生與管理程序,密鑰產(chǎn)生與管理程序對驗證數(shù)據(jù)進行驗證后返 回驗證結果��;智能密鑰設備通過讀卡器及USB接口將所述驗證結果傳送至計算 機中�。由于智能卡中設有密鑰產(chǎn)生與管理程序,因此智能卡可以對計算 機發(fā)出的驗證數(shù)據(jù)進行驗證�����,并返回驗證結果����,完成對銀行卡的賬 號、密碼的驗證���。同時����,智能卡還通過加密解密程序對計算機發(fā)出的 驗證數(shù)據(jù)進行加密或解密處理后再進行驗證,從而有效確保智能密鑰 設備與計算機交換的信息安全性�。
圖1是本發(fā)明智能密鑰設備的硬件結構示意框圖����,圖中智能密鑰 設備與計算機連接;圖2是本發(fā)明智能密鑰設備中各功能程序連接的示意框圖��,圖中 智能密鑰設備與計算機連接�����;圖3是本發(fā)明智能密鑰設備與外部設備進行信息交換方法實施例 的流程圖��。以下結合附圖及實施例對本發(fā)明作進一步說明�。
具體實施方式
參見圖1,圖1是本發(fā)明智能密鑰設備的硬件結構示意框圖,其 中智能密鑰設備1與計算機2連接���。本實施例的智能密鑰設備1包括 有USB接口 11,其用于與外部設備連接��。本實施例中的外部設備為 計算機2, USB接口 11使得智能密鑰設備1可與計算機2進行數(shù)據(jù)交 換�����。USB接口 11還與設置在智能密鑰設備1中的讀卡器12連接�����。本 實施例中����,讀卡器12采用PC/SC標準的讀卡器,其具有一存儲器 17,存儲器17中存儲有數(shù)據(jù)格式轉換單元����,用于將計算機2發(fā)送過 來的驗證數(shù)據(jù)、加密服務請求信息等轉換成智能卡13能夠識別的 APDU (Application Protocol Data Unit,應用協(xié)議數(shù)據(jù)單元)命令�。讀卡器12將計算機2發(fā)送過來的數(shù)據(jù)進行格式轉換后,將其傳 送至智能卡13中��。智能卡13包括中央處理器14以及可由中央處理 器14訪問的存儲器15���。智能卡13接收到驗證數(shù)據(jù)后�,由中央處理 器14對驗證數(shù)據(jù)進行驗證處理����,并在驗證完畢后向計算機2返回驗 證結果����。參見圖2����,圖2是本發(fā)明智能密鑰設備1各功能程序連接的示意 框圖,計算機2中存儲有應用程序21與加密服務接口程序22,其 中���,應用程序21是由第三方(如銀行等)開發(fā)的應用程序,主要用 于發(fā)送需要驗證的數(shù)據(jù)��,如銀行卡的賬號����、密碼等,并接收智能卡 13返回的-驗證結果����。加密服務接口程序22可以采用微軟公司定義的通用接口程序, 如CSP (Chiper Service Provider)程序等���,其可被應用程序21調 用執(zhí)行��,并接收應用程序21發(fā)出的驗證數(shù)據(jù)��,同時向智能密鑰設備 1發(fā)出對驗證數(shù)據(jù)進行加密服務的請求信息����。由于計算機2向智能密鑰設備1發(fā)送的數(shù)據(jù)不一定是智能卡13 能夠識別的APDU命令,因此���,在智能密鑰設備2的讀卡器12中設有 數(shù)據(jù)格式轉換單元31,數(shù)據(jù)格式轉換單元31將計算機2發(fā)出的數(shù) 據(jù)����,包括驗證數(shù)據(jù)以及加密服務請求信息轉換成智能卡13能夠識別 的APDU命令�,然后將轉換后的數(shù)據(jù)傳送至智能卡13中。這樣���,智能 卡13即可識別計算4幾發(fā)出的數(shù)據(jù)����,并進行相應的纟乘作��。經(jīng)過數(shù)據(jù)格式轉換單元31轉換后的數(shù)據(jù)被傳送到智能卡13后��, 智能卡13的加密解密程序32根據(jù)加密服務接口程序22發(fā)出的加密 請求對驗證數(shù)據(jù)進行加密或解密處理�����,并將加密或解密后的數(shù)據(jù)傳送 至密鑰產(chǎn)生與管理程序33中,由密鑰產(chǎn)生與管理程序33對驗證數(shù)據(jù) 的正確性進行驗證����,并在驗證后將驗證結果通過讀卡器12以及USB 接口返回至計算機2中。計算機2的應用程序接收驗證結果后根據(jù)驗 證結果判斷使用者輸入的銀行卡賬號���、密碼是否正確�,并執(zhí)行相應的操作��。由此可見���,在本發(fā)明的智能密鑰設備使用過程中,智能卡是可拆 卸地安裝到讀卡器中的�����,因此����,智能卡生產(chǎn)商在智能密鑰設備的制造 過程中僅生產(chǎn)智能卡,而智能密鑰設備中的其它部分�,如USB接口、 讀卡器等均可由USB接口生產(chǎn)商生產(chǎn),且在USB接口生產(chǎn)商生產(chǎn)USB 接口時����,智能卡生產(chǎn)廠商時無需將智能卡交給USB接口生產(chǎn)商,在便 于智能密鑰設備制造的同時���,可有效保證智能密鑰設備的安全性�。同時��,由于智能卡是可拆卸地安裝到讀卡器中的�,使得智能卡的 安裝、拆卸均十分方便����,使用者也可以自己進行拆卸與安裝,在使用 者有更換智能卡(如銀行卡)類型的需求時����,可自己更換,這使智能 密鑰設備具有較好的通用性����,也大大方便了使用者使用。下面結合圖3說明本發(fā)明的智能密鑰設備是如何與計算機進行信 息交換的���。當使用者需要使用電子支付業(yè)務時����,首先將智能密鑰設備 連接到計算機上。本實施例中��,智能密鑰設備是通過USB接口與計算 機連接的�����。智能密鑰設備與計算機連接后����,計算機中的應用程序按使 用者的操作要求而運行,將調用加密服務接口程序�����,并發(fā)出需要驗證 的數(shù)據(jù)(步驟S1)���。加密服務接口程序接收到應用程序的調用信息后,發(fā)出加密服務請求信息��,該請求信息通過USB接口傳送到讀卡器中(步驟S2)�。 讀卡器接收到請求信息后���,應用數(shù)據(jù)格式轉換單元將請求信息轉換成 智能卡能夠識別的APDU命令(步驟S3),然后將該APDU命令傳送 至智能卡��,由智能卡執(zhí)行相應的操作��。智能卡接收APDU命令后���,根據(jù)加密請求信息的要求由加密解密 程序對驗證數(shù)據(jù)進行加密或解密處理(步驟S4)��,將加密或解密后 的驗證數(shù)據(jù)傳送至密鑰產(chǎn)生與管理程序�,并由密鑰產(chǎn)生與管理程序對 驗證數(shù)據(jù)進行驗證處理�。密鑰產(chǎn)生與管理程序將驗證數(shù)據(jù)進行驗證處 理后將驗證結果返回至計算機(步驟S5)。最后��,計算機的應用程序接收驗證結果(步驟S6),并根據(jù)驗 證結果判斷使用者輸入的信息是否正確��。至此�����,智能密鑰設備與計算 機的信息交換完畢�。由于計算機發(fā)出的驗證數(shù)據(jù)在智能卡中并不能直接操作,而是經(jīng) 過加密或解密處理后才能進行驗證�����,這樣即使驗證數(shù)據(jù)被第三方截 耳又,第三方也不能直接對驗證數(shù)據(jù)進行驗證并返回驗證結果���,保證-驗 證數(shù)據(jù)的安全性�。當然�,上述實施例中,數(shù)據(jù)格式轉換單元設置在讀卡器中�,而本 發(fā)明實際應用中,也可以將數(shù)據(jù)格式轉換單元設置在USB接口或計算 機中�,只要數(shù)據(jù)格式轉換單元能夠接收加密服務接口程序發(fā)出的加密 請求信息并將該信息轉換成APDU格式即可,不管設置在讀卡器�、USB 接口或計算機上均不影響本發(fā)明的實現(xiàn)。最后��,需要強調的是���,本發(fā)明不限于上述實施方式����,諸如加密解 密程序算法的改變����、應用程序實現(xiàn)功能的改變等樣史小變化也應該包括 在本發(fā)明的保護范圍內。
權利要求
1����、智能密鑰設備,包括與外部設備連接的USB接口���;智能卡��,所述智能卡包括中央處理器及可由中央處理器訪問的存儲器(15)�����,所述存儲器(15)中存儲有密鑰產(chǎn)生與管理程序���;其特征在于所述智能密鑰設備還包括一讀卡器,所述讀卡器與所述USB接口連接并進行數(shù)據(jù)交換���;所述智能卡可拆卸地安裝在所述讀卡器中�,并與讀卡器進行數(shù)據(jù)交換����;所述智能卡的存儲器(15)中還存儲有加密解密程序。
2���、 根據(jù)權利要求1所述的智能密鑰設備����,其特征在于 所述讀卡器包括有一存儲器(17),所述存儲器(17)中設有數(shù)據(jù)格式轉換單元���。
3��、 才艮據(jù)權利要求1或2所述的智能密鑰設備����,其特征在于 所述讀卡器為采用PC/SC標準的讀卡器�����。
4����、 應用如權利要求1所述智能密鑰設備與外部設備進4亍信息交 換的方法,該外部設備存儲有應用程序以及加密^l良務接口程序��,該方 法包括應用程序運行時調用加密服務接口程序并發(fā)出驗證數(shù)據(jù)���,加密服 務接口程序發(fā)出對驗證數(shù)據(jù)進行加密服務的請求信息�,并通過USB接口及讀卡器將該信息傳送至智能卡;智能卡的加密解密程序對所述驗證數(shù)據(jù)進行加密或解密處理后傳 送至密鑰產(chǎn)生與管理程序��,密鑰產(chǎn)生與管理程序對驗證數(shù)據(jù)進行驗證 后返回-驗i正結果�;智能密鑰設備通過讀卡器及USB接口將所述驗證結果傳送至外部 設備����。
5、 根據(jù)權利要求4所述的信息交換方法���,其特征在于 所述讀卡器中設有數(shù)據(jù)格式轉換單元���,所述數(shù)據(jù)格式轉換單元將加密服務接口程序發(fā)出的信息轉換成智能卡能夠識別的APDU命令。
6���、 根據(jù)權利要求4所述的信息交換方法����,其特征在于 所述外部設備中設有數(shù)據(jù)格式轉換單元����,所述數(shù)據(jù)格式轉換單元將加密服務接口程序發(fā)出的信息轉換成智能卡能夠識別的APDU命 令。
7、 根據(jù)權利要求4所述的信息交換方法����,其特征在于所述USB接口中設有數(shù)據(jù)格式轉換單元,所述數(shù)據(jù)格式轉換單元 將加密服務接口程序發(fā)出的信息轉換成智能卡能夠識別的APDU命 令����。
全文摘要
本發(fā)明提供一種智能密鑰設備及其與外部設備進行信息交換的方法,該智能密鑰設備包括USB接口�,與USB接口連接的讀卡器,可拆卸地安裝到讀卡器中的智能卡�,該智能卡的存儲器中存儲有密鑰產(chǎn)生與管理程序及加密解密程序。本發(fā)明提供的方法中�����,外部設備設有應用程序及加密服務接口程序��,應用程序運行時調用加密服務接口程序并發(fā)出驗證數(shù)據(jù)�,加密服務接口程序發(fā)出對驗證數(shù)據(jù)進行加密服務的請求信息,并傳送至智能卡��;加密解密程序對驗證數(shù)據(jù)進行加密或解密處理后傳送至密鑰產(chǎn)生與管理程序���,密鑰產(chǎn)生與管理程序對驗證數(shù)據(jù)進行驗證后返回驗證結果�。本發(fā)明可方便智能密鑰設備的生產(chǎn)且保證智能密鑰設備生產(chǎn)的安全性,也使智能密鑰設備的通用性較好�����。
文檔編號G06K17/00GK101236674SQ20081002630
公開日2008年8月6日 申請日期2008年2月2日 優(yōu)先權日2008年2月2日
發(fā)明者施偉周, 輝 汪, 健 鞠 申請人:東信和平智能卡股份有限公司