專利名稱:一種智能卡多數(shù)字證書制作輔助裝置的制作方法
技術(shù)領(lǐng)域:
本實用新型涉及一種計算機(jī)信息安全領(lǐng)域的制作輔助裝置���,特別涉及一種適用于 電子政務(wù)�、電子商務(wù)身份信息保護(hù)的智能卡多數(shù)字證書制作輔助裝置���。
技術(shù)背景 隨著電子政務(wù)���、電子商務(wù)的業(yè)務(wù)發(fā)展,電子政務(wù)和電子商務(wù)的應(yīng)用變得越來越復(fù) 雜�����,越來越龐大,不同的電子商務(wù)和電子政務(wù)應(yīng)用系統(tǒng)可能屬于不同的信任域�,而同一個用 戶可能會有多個不同信任域頒發(fā)的數(shù)字證書;然而��,對用戶而言����,用戶希望是透明使用不同 信任域的應(yīng)用系統(tǒng)。為了方便�,不同應(yīng)用系統(tǒng)簽發(fā)的數(shù)字證書可能會放在同一張智能卡上。一張代表 用戶身份的智能卡中�����,會有不同的數(shù)字證書��,用戶在訪問不同信任域的應(yīng)用系統(tǒng)時候�,將使 用對應(yīng)的數(shù)字證書;這時����,需要對不使用的其他數(shù)字證書進(jìn)行保護(hù),以防止在使用過程中, 智能卡中的其他的數(shù)字證書信息遭到竊取和破壞�。因此,特別需要一種智能卡多數(shù)字證書制作輔助裝置�,提取智能卡中不同的數(shù)字 證書,分離相關(guān)信息�,對對應(yīng)的數(shù)字證書進(jìn)行加密,然后將加密后數(shù)字證書重新寫入智能 卡����,在智能卡中的某個數(shù)字證書使用時候才解密使用��,不使用時候數(shù)字證書是處于加密狀 態(tài)�����,同時���,在某個數(shù)字證書使用的時候�����,而其他不使用的數(shù)字證書依然處于加密狀態(tài)���。
實用新型內(nèi)容本實用新型的目的在于提供一種智能卡多數(shù)字證書制作輔助裝置,提取智能卡中 不同的數(shù)字證書��,分離相關(guān)信息,對對應(yīng)的數(shù)字證書進(jìn)行加密�,然后將加密后數(shù)字證書重新 寫入智能卡,保證了用戶在訪問不同信任域的應(yīng)用系統(tǒng)時候以及在不訪問應(yīng)用系統(tǒng)時候智 能卡中的數(shù)字證書的安全性���。本實用新型所解決的技術(shù)問題可以采用以下技術(shù)方案來實現(xiàn)—種智能卡多數(shù)字證書制作輔助裝置�,它包括一裝置本體��,其特征在于��,在所述裝 置本體中設(shè)置有一對讀取的智能卡中的數(shù)字證書信息進(jìn)行分析并提取出數(shù)字證書簽發(fā)者信息�、密 鑰信息以備后續(xù)使用的數(shù)據(jù)分離組件;一用于存儲讀寫數(shù)字證書�、分離數(shù)字證書、加密等過程中產(chǎn)生數(shù)據(jù)的數(shù)據(jù)存儲組 件����;一用于將數(shù)據(jù)分離組件分離提取出來的密鑰信息中的密鑰與自身生成的密鑰對 數(shù)據(jù)分離組件分離提取出的數(shù)字證書進(jìn)行加密的加解密組件;及一將加密后的數(shù)字證書寫入智能卡中的數(shù)據(jù)寫入組件�;智能卡通過一數(shù)據(jù)讀入接口與所述數(shù)據(jù)分離組件的輸入端連接,所述數(shù)據(jù)分離組 件的輸出端分別與所述數(shù)據(jù)存儲組件和所述加解密組件連接�,所述加解密組件的輸出端連 接所述數(shù)據(jù)存儲組件的輸入端,所述數(shù)據(jù)存儲組件的輸出端與所述數(shù)據(jù)寫入組件的輸出端連接��,所述數(shù)據(jù)寫入組件的輸出端通過一數(shù)據(jù)寫入接口與智能卡連接。在本實用新型的一個實施例中����,所述數(shù)據(jù)讀入接口為同時滿足IS07816標(biāo)準(zhǔn)及 EMV和GSMll-Il標(biāo)準(zhǔn)并用于讀取智能卡中數(shù)據(jù)的數(shù)據(jù)讀入接口。在本實用新型的一個實施例中�,所述數(shù)據(jù)寫入接口為同時滿足IS07816標(biāo)準(zhǔn)及 EMV和GSMll-Il標(biāo)準(zhǔn)并用于寫入智能卡中數(shù)據(jù)的數(shù)據(jù)寫入接口。在本實用新型的一個實施例中���,所述數(shù)據(jù)分離組件由證書分析器����、證書數(shù)據(jù)提取 器���、證書數(shù)據(jù)傳輸器組成。本實用新型的一種智能卡多數(shù)字證書制作輔助裝置�����,由數(shù)據(jù)分離組件提取智能卡中不同的數(shù)字證書�����,分離相關(guān)信息���,通過加解密組件對對應(yīng)的數(shù)字證書進(jìn)行加密���,然后通過 數(shù)據(jù)寫入組件將加密后數(shù)字證書重新寫入智能卡����,這樣��,智能卡中存放數(shù)字證書是被完全 加密過的����,只在智能卡中的某個數(shù)字證書使用時候才解密使用,不使用時候數(shù)字證書是處 于加密狀態(tài)����,同時,在某個數(shù)字證書使用的時候�,而其他不使用的數(shù)字證書依然處于加密狀 態(tài),保證了用戶在訪問不同信任域的應(yīng)用系統(tǒng)時候以及在不訪問應(yīng)用系統(tǒng)時候智能卡中的 數(shù)字證書的安全性�����,實現(xiàn)本實用新型的目的�。本實用新型的特點可參閱本案圖式及以下較好實施方式的詳細(xì)說明而獲得清楚 地了解。
圖1為本實用新型的智能卡多數(shù)字證書制作輔助裝置的結(jié)構(gòu)示意圖�。
具體實施方式
為了使本實用新型實現(xiàn)的技術(shù)手段�����、創(chuàng)作特征�����、達(dá)成目的與功效易于明白了解����,下 面結(jié)合具體圖示��,進(jìn)一步闡述本實用新型�����。實施例如圖1所示�����,本實用新型的智能卡多數(shù)字證書制作輔助裝置��,它包括一裝置本體 10�����,在裝置本體10中設(shè)置有一數(shù)據(jù)分離組件11���、一數(shù)據(jù)存儲組件12��、一加解密組件13及 一數(shù)據(jù)寫入組件14 ��;智能卡通過一數(shù)據(jù)讀入接口 15與數(shù)據(jù)分離組件11的輸入端連接�,數(shù) 據(jù)分離組件11通過數(shù)據(jù)讀入接口 15讀取的智能卡中的數(shù)字證書信息進(jìn)行分析并提取出數(shù) 字證書簽發(fā)者信息��、密鑰信息以備后續(xù)使用���;數(shù)據(jù)分離組件11的輸出端分別與數(shù)據(jù)存儲組 件12和加解密組件13連接����,數(shù)據(jù)存儲組件12存儲數(shù)據(jù)分離組件11讀取的智能卡中的數(shù) 字證書信息�����、數(shù)字證書簽發(fā)者信息和密鑰信息��,加解密組件13將數(shù)據(jù)分離組件11分離提取 出來的密鑰信息中的密鑰與自身生成的密鑰對數(shù)據(jù)分離組件11分離提取出的數(shù)字證書進(jìn) 行加密����;加解密組件13的輸出端連接數(shù)據(jù)存儲組件12的輸入端�,加密后的數(shù)字證書存儲到 數(shù)據(jù)存儲組件12中��,數(shù)據(jù)存儲組件12的輸出端與數(shù)據(jù)寫入組件14的輸出端連接����,數(shù)據(jù)寫 入組件14的輸出端通過一數(shù)據(jù)寫入接口 16與智能卡連接,將加密后的數(shù)字證書寫入智能 卡中����。在本實用新型中,數(shù)據(jù)讀入接口 15為同時滿足IS07816標(biāo)準(zhǔn)及EMV和GSMl 1-11 標(biāo)準(zhǔn)并用于讀取智能卡中數(shù)據(jù)的數(shù)據(jù)讀入接口��。在本實用新型中�����,數(shù)據(jù)寫入接口 16為同時滿足IS07816標(biāo)準(zhǔn)及EMV和GSMll-Il標(biāo)準(zhǔn)并用于寫入智能卡中數(shù)據(jù)的數(shù)據(jù)寫入接口����。本實用新型的智能卡多數(shù)字證書制作輔助裝置核心目標(biāo)是在設(shè)備硬件體系的基 礎(chǔ)上,開發(fā)并提供一個使用戶能夠?qū)τ布M(jìn)行直接操作的軟件層��,這個軟件層部分包括的 主要是一系列的應(yīng)用協(xié)議和與其相配合的控制程序��。在使用本實用新型的智能卡多數(shù)字證 書制作輔助裝置的過程中���,PC機(jī)或其他外部用戶系統(tǒng)必須遵循或借助于這些協(xié)議���,才能夠 與本裝置內(nèi)部的控制程序正確互動和協(xié)調(diào)一致,以實現(xiàn)對設(shè)備有效的使用����,依據(jù)實際的應(yīng) 用要求。數(shù)據(jù)分離組件11主要是一系列分析軟件組成�����,將數(shù)據(jù)讀入接口 15讀出來的數(shù)字 證書進(jìn)行分析��,提取數(shù)字證書簽發(fā)者����、密鑰等信息以備后續(xù)的使用。數(shù)據(jù)分離組件11由證 書分析器�����、證書數(shù)據(jù)提取器�、證書數(shù)據(jù)傳輸器等組成。 數(shù)據(jù)存儲組件12用于將讀寫數(shù)字身份證書�、分離數(shù)字證書��、加密等過程的數(shù)據(jù)暫 時存儲起來��,而整個存儲過程中�,前面的某一步驟的數(shù)據(jù)�,可能在后一個步驟將會使用到, 而本實用新型的智能卡多數(shù)字證書制作輔助裝置的存儲空間又不能非常大�����。加解密組件13是本實用新型的智能卡多數(shù)字證書制作輔助裝置的核心部分�����,需 要加密傳輸?shù)臄?shù)字證書稱為明文���,用某種加密算法偽裝數(shù)據(jù)以隱藏它的內(nèi)容的過程稱為 加密��,加了密的數(shù)字證書數(shù)據(jù)稱為密文�,而把密文轉(zhuǎn)變?yōu)槊魑牡倪^程稱為解密�����,在這個過程 中,使用到密碼算法����,密碼算法也叫密碼是用于加密和解密的數(shù)學(xué)函數(shù)�����,通常情況下有兩個 相關(guān)的函數(shù)一個用作加密另一個用作解密��,為了加強(qiáng)算法的保密性又在加密和解密過程中 引入了密鑰�,本加解密組件13主要采用對稱加解密算法,主要使用數(shù)據(jù)分離組件11分離出 來的公鑰(數(shù)據(jù)分離組件11從數(shù)字證書中提取出來的密鑰信息中的密鑰)加上加解密組 件13統(tǒng)一配發(fā)的對稱密鑰一起對數(shù)字證書加密�,因為加解密組件13的功能相當(dāng)于一個寫 卡器,它與對應(yīng)的讀卡器配合使用�����,在實際的應(yīng)用過程中����,寫卡器和讀卡器應(yīng)用的范圍很廣 泛,而且數(shù)量龐大����,使用統(tǒng)一的對稱的加密密鑰和用戶證書的公鑰一起來對用戶數(shù)字證書 加密,會大大減少后續(xù)維護(hù)的工作量,同時保證加密的強(qiáng)度����。本實用新型的智能卡多數(shù)字證書制作輔助裝置在讀取智能卡中的數(shù)字證書信息 時,智能卡本身都具備一個COS系統(tǒng)���,由他協(xié)調(diào)并控制卡上的所有指令和數(shù)據(jù)處理過程�����,本 實用新型的智能卡多數(shù)字證書制作輔助裝置必須借助于COS系統(tǒng)才能夠?qū)崿F(xiàn)相應(yīng)的功能�����。 COS命令接口做為本實用新型的智能卡多數(shù)字證書制作輔助裝置端的COS數(shù)據(jù)通道直接影 響到智能卡的操作���。在這一部分協(xié)議中規(guī)定本實用新型的智能卡多數(shù)字證書制作輔助裝置 向智能卡發(fā)送一組定制的指令數(shù)據(jù)(如讀取數(shù)字證書的信息),智能卡接收到這組協(xié)議數(shù) 據(jù)后�,通過解釋這組指令數(shù)據(jù)的具體含義、形成操作指示��,再進(jìn)一步轉(zhuǎn)換為讀���、寫等控制操 作����,然后將操作結(jié)果返回給接口設(shè)備,從而完成一次對智能卡的讀寫操作過程�。本實用新型 的智能卡多數(shù)字證書制作輔助裝置向智能卡發(fā)送的具有特定操作含義的數(shù)據(jù)塊就是對智 能卡的操作命令;而從智能卡返回本實用新型的智能卡多數(shù)字證書制作輔助裝置的狀態(tài)及 數(shù)字證書等數(shù)據(jù)信息即為執(zhí)行結(jié)果�。數(shù)據(jù)寫入組件14是將加密后的數(shù)字證書信息經(jīng)過變換,符合智能卡的寫入要求�����, 通過智能卡的數(shù)據(jù)寫入接口 16寫回智能卡�。工作時���,首先��,進(jìn)行初始化���;插入智能卡開始工作,也就是要求與本實用新型的智能卡多數(shù)字證書制作輔助裝置進(jìn)行數(shù)據(jù)通信前�����,首先需對本實用新型的智能卡多數(shù)字證書制作輔助裝置進(jìn)行復(fù)位���,使 其加電啟動系統(tǒng)并進(jìn)入待機(jī)狀態(tài)���。具體實施過程為PC機(jī)端首先通過已選擇好的串口���,根據(jù)標(biāo)準(zhǔn)串口通信協(xié)議發(fā)送 一個正脈沖至本裝置端的RTS引腳。同時在本實用新型的智能卡多數(shù)字證書制作輔助裝 置中�,為了使用戶(如PC機(jī))能夠驗證設(shè)備的當(dāng)前復(fù)位狀態(tài),在本實用新型的智能卡多數(shù) 字證書制作輔助裝置被正確復(fù)位后����,其上的控制系統(tǒng)會發(fā)送一個第一響應(yīng)碼至智能卡,在 用戶正確接收到后��,需返回一個第二響應(yīng)碼至本實用新型的智能卡多數(shù)字證書制作輔助裝 置���,使本實用新型的智能卡多數(shù)字證書制作輔助裝置與智能卡能夠相互確認(rèn)并建立起正確 有效的通信體系�。否則在智能卡需要繼續(xù)等待���,本實用新型的智能卡多數(shù)字證書制作輔助 裝置在一定限時內(nèi)會重發(fā)第一響應(yīng)碼����。但如果智能卡長時間未能收到正確數(shù)據(jù)��,此時重新 進(jìn)行復(fù)位操作。第二����,進(jìn)行通信“握手”; 為保證數(shù)據(jù)通信過程的正確有效�����,使本實用新型的智能卡多數(shù)字證書制作輔助裝 置保持較好的通信質(zhì)量�����,在協(xié)議中規(guī)定對用戶設(shè)備與本實用新型的智能卡多數(shù)字證書制作 輔助裝置間建立的通信信道的可靠性進(jìn)行實時的校驗�。即在對本實用新型的智能卡多數(shù)字 證書制作輔助裝置進(jìn)行復(fù)位啟動后���,還需要在智能卡與本實用新型的智能卡多數(shù)字證書制 作輔助裝置間進(jìn)行一個稱為通信“握手”的校驗程序����,目的在于檢驗當(dāng)前通信信道的工作狀 態(tài)是否正常��。其具體內(nèi)容主要是對一組預(yù)定義的數(shù)據(jù)�����,在智能卡與本實用新型的智能卡多 數(shù)字證書制作輔助裝置之間進(jìn)行通信傳輸,通過驗證通信結(jié)果是否符合預(yù)設(shè)的數(shù)據(jù)內(nèi)容����, 校驗當(dāng)前通信信道是否正確可靠。通常為用戶發(fā)送第一響應(yīng)碼至本實用新型的智能卡多數(shù) 字證書制作輔助裝置�,本實用新型的智能卡多數(shù)字證書制作輔助裝置正確接收到則返回第 二響應(yīng)碼至智能卡,而智能卡若正確接收到第二響應(yīng)碼則繼續(xù)下一步工作��,否則等待本實 用新型的智能卡多數(shù)字證書制作輔助裝置重發(fā)數(shù)據(jù)�。但如果在限時內(nèi)未收到正確的第二響 應(yīng)碼數(shù)據(jù)則確認(rèn)為當(dāng)前通信出現(xiàn)異常,并提示系統(tǒng)報告當(dāng)前錯誤情況��。第三����,特殊的指令格式智能卡在與本實用新型的智能卡多數(shù)字證書制作輔助裝置進(jìn)行數(shù)據(jù)通信時,根據(jù) 智能卡應(yīng)用規(guī)范��,智能卡都應(yīng)當(dāng)遵循一定的格式組織和創(chuàng)建指令及提供所需的相關(guān)數(shù)據(jù)����, 目前在本實用新型的智能卡多數(shù)字證書制作輔助裝置的控制與使用協(xié)議中定義并使用了 一種專門的指令格式。本實用新型的智能卡多數(shù)字證書制作輔助裝置初始化�,通信握手后,本裝置開始 實施�����,實施的工作流程如下所示1、讀入程序通過數(shù)據(jù)讀入接口 15將智能卡的數(shù)字證書讀出���,送到數(shù)據(jù)存儲組件 12中等待處理��;2�、數(shù)據(jù)分離組件11分離數(shù)字證書中的簽發(fā)者信息�、密鑰信息;3�、加解密組件13將對稱密鑰和提取的密鑰信息進(jìn)行合成,同時選擇合適的加解 密算法�;4、加解密組件13對提取的數(shù)字證書進(jìn)行加密��;5�����、將加密的數(shù)字證書寫入數(shù)據(jù)存儲組件12 ����;6���、數(shù)據(jù)寫入組件14讀取加密后的數(shù)字證書和對應(yīng)的簽發(fā)者及密鑰信息��,經(jīng)過組合轉(zhuǎn)換成能夠?qū)懭胫悄芸ǖ臄?shù)據(jù)信息����;7、數(shù)據(jù)寫入接口 16獲得處理好的數(shù)據(jù)����;8、數(shù)據(jù)寫入接口 16將加密后的數(shù)字證書���、簽名者�����、密鑰信息寫入智能卡����。以上顯示和描述了本實用新型的基本原理和主要特征和本實用新型的優(yōu)點��。本行 業(yè)的技術(shù)人員應(yīng)該了解�����,本實用新型不受上述實施例的限制,上述實施例和說明書中描述 的只是說明本實用新型的原理�,在不脫離本實用新型精神和范圍的前提下,本實用新型還 會有各種變化和改進(jìn)�����,這些變化和改進(jìn)都落入要求保護(hù)的本實用新型范圍內(nèi)����,本實用新型 要求保護(hù)范圍由所附的權(quán)利要求書及其等效物界定。
權(quán)利要求一種智能卡多數(shù)字證書制作輔助裝置�,它包括一裝置本體,其特征在于��,在所述裝置本體中設(shè)置有一對讀取的智能卡中的數(shù)字證書信息進(jìn)行分析并提取出數(shù)字證書簽發(fā)者信息�、密鑰信息以備后續(xù)使用的數(shù)據(jù)分離組件;一用于存儲讀寫數(shù)字證書���、分離數(shù)字證書、加密等過程中產(chǎn)生數(shù)據(jù)的數(shù)據(jù)存儲組件��;一用于將數(shù)據(jù)分離組件分離提取出來的密鑰信息中的密鑰與自身生成的密鑰對數(shù)據(jù)分離組件分離提取出的數(shù)字證書進(jìn)行加密的加解密組件�����;及一將加密后的數(shù)字證書寫入智能卡中的數(shù)據(jù)寫入組件;智能卡通過一數(shù)據(jù)讀入接口與所述數(shù)據(jù)分離組件的輸入端連接�����,所述數(shù)據(jù)分離組件的輸出端分別與所述數(shù)據(jù)存儲組件和所述加解密組件連接��,所述加解密組件的輸出端連接所述數(shù)據(jù)存儲組件的輸入端�����,所述數(shù)據(jù)存儲組件的輸出端與所述數(shù)據(jù)寫入組件的輸出端連接�,所述數(shù)據(jù)寫入組件的輸出端通過一數(shù)據(jù)寫入接口與智能卡連接。
2.如權(quán)利要求1所述的智能卡多數(shù)字證書制作輔助裝置�,其特征在于,所述數(shù)據(jù)讀入 接口為同時滿足IS07816標(biāo)準(zhǔn)及EMV和GSM11-11標(biāo)準(zhǔn)并用于讀取智能卡中數(shù)據(jù)的數(shù)據(jù)讀 入接口�。
3.如權(quán)利要求1所述的智能卡多數(shù)字證書制作輔助裝置,其特征在于���,所述數(shù)據(jù)寫入 接口為同時滿足IS07816標(biāo)準(zhǔn)及EMV和GSM11-11標(biāo)準(zhǔn)并用于寫入智能卡中數(shù)據(jù)的數(shù)據(jù)寫 入接口���。
4.如權(quán)利要求1所述的智能卡多數(shù)字證書制作輔助裝置,其特征在于����,所述數(shù)據(jù)分離 組件由證書分析器�����、證書數(shù)據(jù)提取器�����、證書數(shù)據(jù)傳輸器組成���。
專利摘要本實用新型的目的在于公開一種智能卡多數(shù)字證書制作輔助裝置,由數(shù)據(jù)分離組件提取智能卡中不同的數(shù)字證書��,分離相關(guān)信息���,通過加解密組件對對應(yīng)的數(shù)字證書進(jìn)行加密����,然后通過數(shù)據(jù)寫入組件將加密后數(shù)字證書重新寫入智能卡��,這樣���,智能卡中存放數(shù)字證書是被完全加密過的,只在智能卡中的某個數(shù)字證書使用時候才解密使用,不使用時候數(shù)字證書是處于加密狀態(tài)�,同時,在某個數(shù)字證書使用的時候����,而其他不使用的數(shù)字證書依然處于加密狀態(tài),保證了用戶在訪問不同信任域的應(yīng)用系統(tǒng)時候以及在不訪問應(yīng)用系統(tǒng)時候智能卡中的數(shù)字證書的安全性���,實現(xiàn)本實用新型的目的�。
文檔編號G06K17/00GK201611490SQ20092028715
公開日2010年10月20日 申請日期2009年12月31日 優(yōu)先權(quán)日2009年12月31日
發(fā)明者劉欣, 吳淼, 尹晚成, 王福, 胡永濤, 鄒翔, 金波, 黃 俊 申請人:公安部第三研究所