专利名称:生产信息安全设备的方法和系统的制作方法
技术领域:
本发明涉及信息安全技术领域,特别涉及一种生产信息安全设备的方法和系统。
背景技术:
信息安全设备已经广泛应用于数据安全领域。信息安全设备是一种带有处理器和存储器的小型硬件装置,它可以通过计算机的数据通讯接口与计算机连接。信息安全设备具有密钥生成、安全存储密钥、预置加密算法等功能,信息安全设备与密钥相关的运算完全在设备内部进行,可用于电子邮件加密、数字签名、网络安全登录等应用,同时还具有物理上防攻击的特性,安全性很高,目前很多应用都采用这种与硬件相结合的方式进行数据保护。一般信息安全设备中内置的微处理器具有对其内的存储器进行管理的一套软件,在信息安全设备内部运行,这套软件通常被称为信息安全设备目标代码,微控制器及其内嵌的目标代码控制着信息的存取过程,同时也管理着存储器的分配与使用。信息安全设备一般通过USB接口与计算机相连,通常被称为USB Key或USB Token。信息安全设备生产商、软件系统开发商或者最终用户可以将一些重要信息存储到信息安全设备中,用来保证安全性或者防止遗忘。目前,较高端的信息安全设备是可编程的,即可以实现在信息安全设备中运行预先存入的代码。
随着人们安全意识的不断提高,各种加密算法也应运而生,常用的加密算法主要有对称加密算法和非对称加密算法。对称加密算法(又称单密钥加密算法)只使用一个密钥用来加密和解密信息,尽管单密钥加密是一个简单的过程,但是双方都必须完全的相信对方,并都持有这个密钥的备份。通过对称加密算法对数据加密后,可以利用该密钥对加密结果进行解密。目前比较常用的对称加密算法有DES算法、3DES算法、RC4算法和RC5算法等。非对称加密算法(又称公钥加密算法)在加密和解密的过程中使用一对密钥,而不像对称加密算法只使用一个单独的密钥,即一对密钥中一个用于加密,一个用于解密,例如,用A加密,用B解密;或者用B加密,用A解密。目前比较常用的非对称加密算法有RSA算法、DSA算法和椭圆曲线算法等。
智能卡(Smart Card)由一个或多个集成电路芯片组成,并封装成便于人们携带的卡片或硬件装置形式。智能卡内的集成电路包括CPU、存储器件,如PROM(Programmable Read-OnlyMemory,可编程只读存储器)、RAM(Random Access Memory,随机存储器)等,和固化在ROM(Read-Only Memory,只读存储器)中的COS(Card/Chip Operating System,卡内/片上操作系统)。智能卡的接口形式符合ISO7816-3接口规范,及智能卡USB接口规范ISO7816-12等。智能卡具有暂时或永久的数据存储能力,卡中数据分为外部读取和内部处理部分,智能卡还具有逻辑处理功能,用于识别和响应外部提供的信息以及芯片本身判定路线和指令执行。智能卡里拥有一整套性能极强的安全保密控制机制,安全控制程序被固化在其内只读存储器之中,因而具有无法复制等可靠的安全保证,有效地避免了卡内的数据被盗,保证了数据的安全性。
现有技术中信息安全设备的生产一般都是利用生产设备直接烧写信息安全设备来实现的,生产设备为预存有控制信息安全设备生产的控制程序和敏感信息的设备,通常为一台计算机或一个带控制芯片的生产平台等。利用生产设备生产信息安全设备的具体过程如下将信息安全设备与生产设备连接,在生产设备中启动要生产的信息安全设备所对应的生产控制程序,将敏感信息烧写到信息安全设备中,完成整个生产过程。
上述信息安全设备的生产过程存在以下缺点1.生产设备中存储着大量敏感信息,很容易被截获,无论是信息安全设备生产商还是其用户都有可能遭受极大的损失,很不安全;2.由于信息安全设备的硬件设施很容易被复制盗版,目前生产设备中的敏感信息可以不受次数限制的进行读取和烧写,所以生产设备中的敏感信息很容易被盗用下载到非法盗版的信息安全设备中进行非法生产,因此非法生产者可以剽窃正规生产商的劳动成果,从而牟取暴利。
发明内容
为了使生产信息安全设备的过程更安全,本发明提供了一种生产信息安全设备的方法和系统。
所述方法包括步骤A预先将敏感信息存储到智能卡中;步骤B在生产信息安全设备时,读取所述智能卡中的敏感信息,将所述敏感信息烧写到所述信息安全设备中。
所述步骤A还包括预先为所述智能卡中的敏感信息的读取次数设置一个限制值,将所述限制值存储在所述智能卡中;相应地,所述步骤B还包括读取所述智能卡中的敏感信息时,判断当前读取次数是否达到所述限制值,如果是,则结束生产;否则将读取到的所述敏感信息烧写到所述信息安全设备中。
所述步骤A还包括预先将加密算法存储到所述智能卡中,并将与所述加密算法对应的解密算法存储到所述信息安全设备中;在所述智能卡中利用所述加密算法对所述敏感信息进行加密;相应地,所述步骤B还包括读取所述智能卡中加密的敏感信息后,在所述信息安全设备中利用所述解密算法对所述加密的敏感信息进行解密。
所述加密算法包括DES算法、3DES算法、RC4算法、RC5算法、RSA算法、DSA算法和椭圆曲线算法中的至少一种。
所述解密算法包括DES算法、3DES算法、RC4算法、RC5算法、RSA算法、DSA算法和椭圆曲线算法中的至少一种。
所述敏感信息包括所述信息安全设备的目标代码和用户私密数据,所述用户私密数据为用户密码、用户名、密钥、证书、用户标识和用户权限中的至少一种。
本发明还提供了一种生产信息安全设备的系统,所述系统包括智能卡,生产设备和信息安全设备所述智能卡包括存储模块,用于存储敏感信息;所述生产设备包括生产控制模块,用于在生产信息安全设备时,读取所述智能卡中的敏感信息,并将所述敏感信息传输给所述信息安全设备;所述信息安全设备包括存储模块,用于存储所述生产控制模块传输来的敏感信息。
所述智能卡还包括限次模块,用于预先为所述智能卡中的敏感信息的读取次数设置一个限制值,并存储所述限制值;所述生产控制模块还包括生产限次控制单元,用于当所述生产控制模块读取所述智能卡中的敏感信息时,判断当前读取次数是否达到所述限次模块设置的限制值,如果是,则结束生产;否则将读取到的所述敏感信息传输给所述信息安全设备。
所述智能卡还包括加密算法存储模块,用于存储加密算法;加密模块,用于利用所述加密算法存储模块存储的加密算法对所述敏感信息进行加密;相应地,所述信息安全设备还包括解密算法存储模块,用于存储与所述加密算法存储模块存储的加密算法对应的解密算法;解密模块,用于当所述生产控制模块读取所述智能卡中加密的敏感信息后,利用所述解密算法存储模块存储的解密算法对所述加密的敏感信息进行解密。
本发明提供的技术方案带来的有益效果是1、将敏感信息和其他核心资料保存在智能卡中,由于智能卡可防止被物理方法破解,具有无法复制的特性,因此有效地避免了敏感信息和其他核心资料被盗,保证了数据的安全性;2、通过利用智能卡限制敏感信息的读取次数来实现信息安全设备更安全的生产,即当读取次数达到预设的限制值后,智能卡中的敏感信息便不能再被读取并烧写到信息安全设备中,从而有效地避免了不法分子盗用敏感信息并下载到非法盗版的信息安全设备中进行非法生产;3、在将敏感信息传输给信息安全设备前先进行加密,敏感信息以密文形式传输给信息安全设备,并在信息安全设备里解密,因此在智能卡与信息安全设备之间传输的是加密后的敏感信息,从而避免了在传输过程中数据被截获的危险。
图1是本发明实施例一提供的生产信息安全设备的方法的流程图;图2是本发明实施例二提供的生产信息安全设备的系统的结构图。
具体实施例方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明实施方式作进一步地详细描述。
本发明实施例利用智能卡来控制信息安全设备的生产,将敏感信息预先存储在智能卡中,并限制其读取次数,利用加密算法对敏感信息进行加密处理,传输给信息安全设备后进行解密处理,然后再烧写到信息安全设备中,从而解决了信息安全设备生产过程中存在的不安全问题。
实施例一参见图1,本发明实施例提供了一种生产信息安全设备的方法,具体包括以下步骤步骤101预先将敏感信息存储到智能卡中;敏感信息包括信息安全设备目标代码和用户私密数据,用户私密数据包括用户密码、用户名、密钥、证书、用户标识和用户权限,以及用户积分、电子游戏中的用户装备、网银中涉及的用户电子货币数值等等,本实施例中的用户私密数据为其中的一种或几种。
步骤102将生产设备分别与智能卡和信息安全设备建立连接;生产设备为预存有控制信息安全设备生产的控制程序的设备,通常为一台计算机或一个带控制芯片的生产平台等。智能卡一般通过读卡器或自带的USB接口与生产设备建立连接,信息安全设备可以通过USB接口或其它形式的接口与生产设备建立连接。
步骤103在生产信息安全设备时,生产设备读取智能卡中的敏感信息,并将读取到的敏感信息烧写到信息安全设备中,完成生产。
进一步地,上述方法还可以包括对读取敏感信息的次数进行限制的步骤首先为读取智能卡中的敏感信息的次数设置一个限制值,并将该限制值预存在智能卡中;当生产设备读取智能卡中的敏感信息时,记录读取次数,并判断当前读取次数是否达到所述限制值,如果是,则结束信息安全设备的生产过程;否则将当前读取到的敏感信息烧写到信息安全设备中。
在记录读取次数时,可以采用递增的方式,也可以采用递减的方式;例如,当需要生产200个信息安全设备时,此时预先设置读取次数的限制值为200次,则递增方式为设置读取次数初始值为0,每读取一次加1,累计达到200次时,就不能再读取智能卡中的敏感信息;递减方式为设置读取次数初始值为200,每读取一次减1,当读取次数减为0时,就不能再读取智能卡中的敏感信息。
在生产过程中,由于生产要求需要更改敏感信息或更改读取敏感信息的限制次数时,只需研发人员把要改写的内容固化在智能卡里寄给生产厂家,而不用亲临现场,生产厂家就可以使用新的智能卡进行信息安全设备的生产,方便了生产管理,提高了生产效率。
为了提高数据传输的安全性,进一步地,上述方法还可以包括预先将加密算法存储到智能卡中,将与该加密算法对应的解密算法存储在信息安全设备中,并在智能卡中利用该加密算法对敏感信息进行加密处理;加密算法可以为DES算法、3DES算法、RC4算法、RC5算法、RSA算法、DSA算法和椭圆曲线算法等算法中的一种或几种;
相应地,在生产信息安全设备的过程中,当生产设备读取智能卡中加密的敏感信息后,并传输给信息安全设备,在信息安全设备中利用上述解密算法对加密的敏感信息进行解密,解密后将敏感信息烧写到信息安全设备中;解密算法可以为DES算法、3DES算法、RC4算法、RC5算法、RSA算法、DSA算法和椭圆曲线算法等算法中的一种或几种。
实施例二参见图2,本发明实施例还提供了一种生产信息安全设备的系统,具体包括智能卡,生产设备和信息安全设备智能卡包括(1)存储模块,用于存储敏感信息;生产设备包括(1)生产控制模块,用于在生产信息安全设备时,读取智能卡中的敏感信息,并将敏感信息传输给信息安全设备;信息安全设备包括(1)存储模块,用于存储生产控制模块传输来的敏感信息。
智能卡还可以包括限次模块,用于预先为智能卡中的敏感信息的读取次数设置一个限制值,并存储该限制值;生产控制模块还可以包括生产限次控制单元,用于当生产控制模块读取智能卡中的敏感信息时,判断当前读取次数是否达到限次模块设置的限制值,如果是,则结束生产;否则将读取到的敏感信息传输给信息安全设备。
智能卡还可以包括(1)加密算法存储模块,用于存储加密算法;(2)加密模块,用于利用加密算法存储模块存储的加密算法对敏感信息进行加密;相应地,信息安全设备还可以包括(1)解密算法存储模块,用于存储与加密算法存储模块存储的加密算法对应的解密算法;(2)解密模块,用于当生产控制模块读取智能卡中加密的敏感信息后,利用解密算法存储模块存储的解密算法对加密的敏感信息进行解密。
本发明实施例利用智能卡存储敏感信息,保证了数据的安全性;通过限制读取敏感信息的次数,避免了非法分子进行非法生产的情况发生;通过加密和解密的处理,增强的敏感信息的传输过程的安全性,有效地避免了敏感信息被盗取或截获,保护了生产厂商和用户的合法利益。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
权利要求
1.一种生产信息安全设备的方法,其特征在于,所述方法包括步骤A预先将敏感信息存储到智能卡中;步骤B在生产信息安全设备时,读取所述智能卡中的敏感信息,将所述敏感信息烧写到所述信息安全设备中。
2.根据权利要求1所述的生产信息安全设备的方法,其特征在于,所述步骤A还包括预先为所述智能卡中的敏感信息的读取次数设置一个限制值,将所述限制值存储在所述智能卡中;相应地,所述步骤B还包括读取所述智能卡中的敏感信息时,判断当前读取次数是否达到所述限制值,如果是,则结束生产;否则将读取到的所述敏感信息烧写到所述信息安全设备中。
3.根据权利要求1或2所述的生产信息安全设备的方法,其特征在于,所述步骤A还包括预先将加密算法存储到所述智能卡中,并将与所述加密算法对应的解密算法存储到所述信息安全设备中;在所述智能卡中利用所述加密算法对所述敏感信息进行加密;相应地,所述步骤B还包括读取所述智能卡中加密的敏感信息后,在所述信息安全设备中利用所述解密算法对所述加密的敏感信息进行解密。
4.根据权利要求3所述的生产信息安全设备的方法,其特征在于,所述加密算法包括DES算法、3DES算法、RC4算法、RC5算法、RSA算法、DSA算法和椭圆曲线算法中的至少一种。
5.根据权利要求3所述的生产信息安全设备的方法,其特征在于,所述解密算法包括DES算法、3DES算法、RC4算法、RC5算法、RSA算法、DSA算法和椭圆曲线算法中的至少一种。
6.根据权利要求1所述的生产信息安全设备的方法,其特征在于,所述敏感信息包括所述信息安全设备的目标代码和用户私密数据,所述用户私密数据为用户密码、用户名、密钥、证书、用户标识和用户权限中的至少一种。
7.一种生产信息安全设备的系统,其特征在于,所述系统包括智能卡,生产设备和信息安全设备所述智能卡包括存储模块,用于存储敏感信息;所述生产设备包括生产控制模块,用于在生产信息安全设备时,读取所述智能卡中的敏感信息,并将所述敏感信息传输给所述信息安全设备;所述信息安全设备包括存储模块,用于存储所述生产控制模块传输来的敏感信息。
8.根据权利要求7所述的生产信息安全设备的系统,其特征在于,所述智能卡还包括限次模块,用于预先为所述智能卡中的敏感信息的读取次数设置一个限制值,并存储所述限制值;所述生产控制模块还包括生产限次控制单元,用于当所述生产控制模块读取所述智能卡中的敏感信息时,判断当前读取次数是否达到所述限次模块设置的限制值,如果是,则结束生产;否则将读取到的所述敏感信息传输给所述信息安全设备。
9.根据权利要求7或8所述的生产信息安全设备的系统,其特征在于,所述智能卡还包括加密算法存储模块,用于存储加密算法;加密模块,用于利用所述加密算法存储模块存储的加密算法对所述敏感信息进行加密;相应地,所述信息安全设备还包括解密算法存储模块,用于存储与所述加密算法存储模块存储的加密算法对应的解密算法;解密模块,用于当所述生产控制模块读取所述智能卡中加密的敏感信息后,利用所述解密算法存储模块存储的解密算法对所述加密的敏感信息进行解密。
全文摘要
本发明提供了一种生产信息安全设备的方法和系统,属于信息安全技术领域。为了解决现有技术中信息安全设备生产过程中存在不安全的问题,本发明提供了所述生产信息安全设备的方法和系统。所述方法包括预先将敏感信息存储到智能卡中,在生产信息安全设备时,从智能卡中读取敏感信息,将其烧写到信息安全设备中。所述系统包括智能卡、生产设备和信息安全设备。本发明利用智能卡存储敏感信息,并通过限制敏感信息的读取次数以及加密和解密处理,有效地避免了敏感信息被盗,增强了数据的安全性,从而提高了信息安全设备生产过程的安全性,保护了生产厂商和用户的合法利益。
文档编号G06F12/14GK101051338SQ200710098960
公开日2007年10月10日 申请日期2007年4月30日 优先权日2007年4月30日
发明者陆舟, 于华章 申请人:北京飞天诚信科技有限公司