一种数据封装方法及装置的制造方法
【技术领域】
[0001 ]本发明涉及一种通信技术,特别是涉及一种数据封装方法及装置。
【背景技术】
[0002]随着集成电路(IC,Integrated Circuit)卡技术的发展,IC卡在电信,金融,政府,交通等领域应用越来越广泛,发卡量逐年快速增长,而且卡片容量不断增加,从几十KBytes到几个GBytes的容量。卡片内的数据内容属性也越来越丰富。为了对IC卡上的数据进行有效的管理,在智能卡的软件平台中引入一个数据管理平台,从而能够利用卡上有限的资源,灵活、高效地管理卡上的各类数据应用。
[0003]随着智能卡应用场景的增多,市场上对多应用智能卡需求迫切,java卡技术作为多应用智能卡的主流技术,其性能和安全都得到市场认可。java卡是可以运行java程序代码的智能卡。java卡不同于传统的智能卡(Native卡),分为平台和Applet应用两部分。
[0004]现有的java卡手机盾Applet实现都是将数据与逻辑应用处理放在一个数据封装Package包中,如图1所示,数据和逻辑处理都是在包内访问。应用逻辑内对数据的访问可见项过多,针对数据的攻击切入点很多,且若遇到应用更新升级时,不能保证数据的完整性。遇到攻击时,不能及时识别并销毁关键数据。
【发明内容】
[0005]为了解决上述问题,本申请提出一种数据封装方法及装置,将逻辑处理信息和数据信息分别封装于两个模块中,当收到入侵,数据模块被攻破时,逻辑处理模块可以将自身数据进行自毁清除,当逻辑处理模块被攻破时,数据模块也可以将自身数据进行自毁清除,降低被入侵的危害性。
[0006]本申请提出的数据封装方法,所述方法包括:
[0007]步骤SI:建立数据模块和逻辑处理模块;
[0008]步骤S2:对数据进行分类、存储;
[0009]步骤S3:将数据封装在模块中;
[0010]步骤S4:在模块间建立安全通道。
[0011]优选的,所述步骤S2、对数据进行分类、存储包括:
[0012]步骤S201:在数据存储区划定两个独立区域;
[0013]步骤S202:对数据类型进行分析分类;
[0014]步骤S203:将属于安全数据的存储于安全数据存储区,将属于逻辑处理数据的存储于逻辑处理数据存储区;
[0015]步骤S204:对存储的数据增加CRC校验码。
[0016]优选的,所述步骤S3、将数据封装在模块中包括:
[0017]步骤S301:收到数据封装指令请求;
[0018]步骤S302:调用存储区中等待封装的数据;
[0019]步骤S303:确认需要封装数据的完整性;
[0020]步骤S304:按封装算法分别对安全数据和逻辑处理数据进行封装;
[0021 ]步骤S305:验证数据封装是否执行成功,如果成功则执行步骤S4,不成功则执行步骤S302。
[0022]优选的,所述步骤S4、在模块间建立安全通道包括:
[0023]步骤S401:逻辑处理模块向底层发送请求,底层向安全数据模块转发该请求;
[0024]步骤S402:安全数据模块生成公钥并向底层发送公钥,底层向逻辑处理模块转发该公钥;
[0025]步骤S403:逻辑处理模块生成一个信息钥匙对,并用公钥加密信息钥匙对;
[0026]步骤S404:逻辑处理模块把加密的信息钥匙对发给底层,底层把加密的信息钥匙对转发给安全数据模块;
[0027]步骤S405:安全数据模块用公钥进行解密得到信息钥匙对;
[0028]步骤S406:安全数据模块用信息钥匙对与逻辑处理模块建立虚拟通信连接。
[0029]本申请还提出一种手机盾个人化参数方法,包括:
[0030]步骤Tl:对手机盾数据模块和逻辑处理模块进行实体构造;
[0031 ]步骤T2:手机盾逻辑处理模块调用数据模块进行初始化;
[0032]步骤T3:对手机盾执行个人化过程。
[0033]优选的,所述对手机盾执行个人化过程包括:
[0034]步骤T301:手机盾主程序调用逻辑处理模块;
[0035]步骤T302:手机盾主程序调用数据模块中的个人化数据;
[0036]步骤T303:手机盾进行逻辑处理个人化。
[0037]本申请还提出一种数据封装装置,包括:
[0038]建模模块,用于建立数据模块和逻辑处理模块;
[0039 ]数据处理模块,用于对数据进行分类、存储;
[0040]数据封装模块,用于将数据封装在模块中;
[0041]安全通信模块,用于在模块间建立安全通道。
[0042]优选的,所述数据处理模块包括:
[0043]控制单元,用于在数据存储区划定两个独立区域;
[0044]数据分析单元,用于对数据类型进行分析分类;
[0045]存储单元,将属于安全数据的存储于安全数据存储区,将属于逻辑处理数据的存储于逻辑处理数据存储区,并对存储的数据增加CRC校验码。
[0046]优选的,所述数据封装模块包括:
[0047]数据接收单元,用于接收数据封装指令请求;
[0048]数据调用单元,用于调用存储区中等待封装的数据;
[0049]数据分析单元,用于确认需要封装数据的完整性;
[0050]数据封装单元,用于按封装算法分别对安全数据和逻辑处理数据进行封装;
[0051 ]校验单元,用于验证数据封装是否执行成功。
[0052]优选的,所述安全通信模块包括:
[0053]通信单元,用于逻辑处理模块向底层发送请求,底层向安全数据模块转发该请求,安全数据模块生成公钥并向底层发送公钥,底层向逻辑处理模块转发该公钥,逻辑处理模块把加密的信息钥匙对发给底层,底层把加密的信息钥匙对转发给安全数据模块,安全数据模块用信息钥匙对与逻辑处理模块建立虚拟通信连接;
[0054]加密单元,用于逻辑处理模块生成一个信息钥匙对,并用公钥加密信息钥匙对;
[0055]解密单元,用于安全数据模块用公钥进行解密得到信息钥匙对。
[0056]本申请提出的数据封装方法及装置,将逻辑处理信息和数据信息分别封装于两个模块中,数据模块实现包括文件系统及秘钥的数据管理,逻辑处理模块实现算法处理及对外的指令响应,使得数据与逻辑处理严格分离,且在手机盾进行逻辑处理操作数据时,对数据的访问接口为唯一封装,且安全可控,当收到入侵时,当数据模块被攻破时,逻辑处理模块可以将自身数据进行自毁清除,当逻辑处理模块被攻破时,数据模块也可以将自身数据进行自毁清除,降低被入侵的危害性。
【附图说明】
[0057]图1是现有技术Applet数据封装示意图;
[0058]图2是本申请Applet数据封装示意图;
[0059]图3是本申请数据封装装置结构示意图;
[0060]图4是本申请数据封装装置数据处理模块结构示意图;
[0061 ]图5是本申请数据封装装置数据封装模块结构示意图;
[0062]图6是本申请数据封装装置安全通信模块结构示意图;
[0063]图7是本申请数据封装方法流程图;
[0064]图8是本申请对数据进行分类、存储的方法流程图;
[0065]图9是本申请将数据封装在模块中的方法流程图;
[0066]图10是本申请在模块间建立安全通道的方法流程图;
[0067]图11是本申请手机盾个人化参数方法流程图;
[0068]图12是本申请对手机盾执行个人化过程的方法流程图。
【具体实施方式】
[0069]下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述。
[0070]本申请Applet数据封装如图2所示,在一个基于安全芯片的手机盾应用套件中,建立两个区域,一个布置逻辑处理配置文件和应用程序,另一个布置数据配置文件和应用程序,二者通过底层的共享接口建立连接。
[0071]本申请提出一种数据封装装置,如图3所示,包括建模模块301、数据处理模块302、数据封装模块303和安全通信模块304,具体为:
[0072]建模模块301,用于建立数据模块和逻辑处理模块。
[0073]具体的,在Applet中分别建立数据模块和逻辑处理模块,是两个独立模块,使得在逻辑处理模块被攻破时,可以通过数据模块的本身自毁功能清除敏感数据,确保安全;若数据模块被攻破,则也可采取同样措施,通过逻辑处理模块对数据模块数据进行自毁。
[0074]更具体的,所述自毁功能为先将手机盾进行临时锁定,确认是否被入侵,如果入侵则将手机盾永久锁定,并将手机盾数据模块中的数据全部删除。
[0075]数据处理模块302,用于对数据进行分类、存储。
[0076]即在数据存储区划定两个独立区域,对数据类型进行分析分类,将属于安全数据的存储于安全数据存储区,将属于逻辑处理数据的存储于逻辑处理数据存储区,并对存储的数据增加CRC校验码。
[0077]更具体的,如图4所示,所述数据处理模块302包括:
[0078]控制单