专利名称:智能密钥设备及其与外部设备进行信息交换的方法
技术领域:
本发明涉及一种数据安全存储设备,尤其是应用智能卡实现的智 能密钥设备以及应用这种智能卡与外部设备进行信息交换的方法。
背景技术:
随着电子技术的发展,人们开始使用电子钱包、网上银行等电子 支付业务,为人们的生活带来极大的便利。人们使用电子支付业务 时,第三方,如银行向使用者提供一智能密钥设备,该智能密钥设备 中存储有支持电子支付业务的相关程序,如电子支付业务使用银行卡 的账号、密码验证程序等。由于使用者与第三方对这些信息的安全要 求较高,因此,对存储这些信息的智能密钥设备的安全性能要求也越 来越高。现有的智能密钥设备大多是便携式的设备,主要是一具有USB接 口的安全芯片,安全芯片通过USB接口与计算机连接。但由于安全芯 片没有统一的标准与严格的安全评定,给智能密钥设备的信息安全性 带来一定的隐患。因此,现有的一种智能密钥设备使用智能卡存储相关的信息。该 智能卡包括有中央处理器以及可由中央处理器访问的存储器,存储器 中存储有密钥产生与管理程序,用于对使用者的银行卡账号、密码进 行验证。当使用者需要进行电子支付业务时,将智能密钥设备连接到 计算机上,智能卡便通过USB接口与计算机连接,并与计算机进行数 据交换。使用者将银行卡的账号、密码等需要验证的数据输入计算 机,计算机即将相关数据传送至智能密钥设备,智能密钥设备的智能 卡接收这些数据后,应用密钥产生与管理程序验证银行卡的账号、密 码是否正确,并向计算机返回正确或不正确的返回信息。但是这种智能密钥设备的智能卡与USB接口是合二为一的,生产 智能卡时需要同时生产USB接口。但由于只有智能卡生产商才有资质 生产智能卡,因此,智能卡生产商需要添加生产USB接口的生产线才能完成智能密钥设备的生产,使智能卡生产商的投入较大。若智能卡生产商将生产好的智能卡交给外部的USB接口生产商完成智能密钥设 备的生产,又给智能密钥设备带来不安全的因素,从而给智能密钥设 备的信息安全性带来隐患。同时,由于智能卡中往往只存储有一个或多个针对特定智能卡 (如银行卡)的密钥产生与管理程序,即一个智能密钥设备只能应用 于特定的智能卡的账号与密码的校验,如使用者使用的智能卡类型等 更改,则无法再使用该智能密钥设备,智能密钥设备的通用性能较 差,也给使用者带来不便。发明内容本发明的主要目的是提供一种生产方便且生产安全性好的智能密钥设备;本发明的另一 目的是提供一种通用性能较好的智能密钥设备;本发明的再一目的是提供一种应用上述智能密钥设备与外部设备 进行信息交换的方法。为实现上述的主要目的,本发明提供的智能密钥设备包括与外部 设备连接的USB接口 ,该USB接口与一读卡器连接并进行数据交换, 一可拆卸地安装在读卡器中的智能卡,该智能卡包括中央处理器及可 由中央处理器访问的存储器,该存储器中存储有密钥产生与管理程 序,以及加密解密程序。由上述方案可见,本发明的智能密钥设备中包括有读卡器以及可 拆卸地安装到读卡器中的智能卡,因此智能密钥i殳备可分别由USB接 口生产商与智能卡生产商生产各自的部分,即USB^^口生产商生产智 能密钥设备中除智能卡以外的所有硬件设备,包括USB接口、读卡器 等,智能卡生产商仅生产智能卡。当USB接口生产商将生产好的半成 品交给智能卡生产商,智能卡生产商即可将存储有密钥产生与管理程 序、加密解密程序的智能卡安装到读卡器中,便完成智能密钥设备的 生产,使智能密钥设备的生产灵活方便。并且,智能卡生产商并不需要在生产USB接口、读卡器时将智能 卡交给USB接口生产商,智能卡的生产完全在智能卡生产商的监控之 下完成,不会对智能卡的安全性能带来隐患,也确保了智能密钥设备 的生产安全性。同时,若使用者需要更换使用的智能卡类型,只需要将智能密钥 设备中的智能卡从读卡器中取下,并更换新的智能卡即可,不需要将 智能密钥设备整体更换,使智能密钥设备具有较好的通用性,并为使 用者的使用带来便利。为了实现上述的再一目的,本发明提供的智能密钥设备与外部设 备进行信息交换方法中,外部设备为一计算机,该计算机中存储有应 用程序以及加密服务接口程序,该方法包括应用程序运行时调用加密服务接口程序并发出验证数据,加密服 务接口程序发出对验证数据进行加密服务的请求信息,并通过USB接 口及读卡器将该信息传送至智能卡;智能卡的加密解密程序对验证数据进行加密或解密处理后传送至 密钥产生与管理程序,密钥产生与管理程序对验证数据进行验证后返 回验证结果;智能密钥设备通过读卡器及USB接口将所述验证结果传送至计算 机中。由于智能卡中设有密钥产生与管理程序,因此智能卡可以对计算 机发出的验证数据进行验证,并返回验证结果,完成对银行卡的账 号、密码的验证。同时,智能卡还通过加密解密程序对计算机发出的 验证数据进行加密或解密处理后再进行验证,从而有效确保智能密钥 设备与计算机交换的信息安全性。
图1是本发明智能密钥设备的硬件结构示意框图,图中智能密钥 设备与计算机连接;图2是本发明智能密钥设备中各功能程序连接的示意框图,图中 智能密钥设备与计算机连接;图3是本发明智能密钥设备与外部设备进行信息交换方法实施例 的流程图。以下结合附图及实施例对本发明作进一步说明。
具体实施方式
参见图1,图1是本发明智能密钥设备的硬件结构示意框图,其 中智能密钥设备1与计算机2连接。本实施例的智能密钥设备1包括 有USB接口 11,其用于与外部设备连接。本实施例中的外部设备为 计算机2, USB接口 11使得智能密钥设备1可与计算机2进行数据交 换。USB接口 11还与设置在智能密钥设备1中的读卡器12连接。本 实施例中,读卡器12采用PC/SC标准的读卡器,其具有一存储器 17,存储器17中存储有数据格式转换单元,用于将计算机2发送过 来的验证数据、加密服务请求信息等转换成智能卡13能够识别的 APDU (Application Protocol Data Unit,应用协议数据单元)命令。读卡器12将计算机2发送过来的数据进行格式转换后,将其传 送至智能卡13中。智能卡13包括中央处理器14以及可由中央处理 器14访问的存储器15。智能卡13接收到验证数据后,由中央处理 器14对验证数据进行验证处理,并在验证完毕后向计算机2返回验 证结果。参见图2,图2是本发明智能密钥设备1各功能程序连接的示意 框图,计算机2中存储有应用程序21与加密服务接口程序22,其 中,应用程序21是由第三方(如银行等)开发的应用程序,主要用 于发送需要验证的数据,如银行卡的账号、密码等,并接收智能卡 13返回的-验证结果。加密服务接口程序22可以采用微软公司定义的通用接口程序, 如CSP (Chiper Service Provider)程序等,其可被应用程序21调 用执行,并接收应用程序21发出的验证数据,同时向智能密钥设备 1发出对验证数据进行加密服务的请求信息。由于计算机2向智能密钥设备1发送的数据不一定是智能卡13 能够识别的APDU命令,因此,在智能密钥设备2的读卡器12中设有 数据格式转换单元31,数据格式转换单元31将计算机2发出的数 据,包括验证数据以及加密服务请求信息转换成智能卡13能够识别 的APDU命令,然后将转换后的数据传送至智能卡13中。这样,智能 卡13即可识别计算4几发出的数据,并进行相应的纟乘作。经过数据格式转换单元31转换后的数据被传送到智能卡13后, 智能卡13的加密解密程序32根据加密服务接口程序22发出的加密 请求对验证数据进行加密或解密处理,并将加密或解密后的数据传送 至密钥产生与管理程序33中,由密钥产生与管理程序33对验证数据 的正确性进行验证,并在验证后将验证结果通过读卡器12以及USB 接口返回至计算机2中。计算机2的应用程序接收验证结果后根据验 证结果判断使用者输入的银行卡账号、密码是否正确,并执行相应的操作。由此可见,在本发明的智能密钥设备使用过程中,智能卡是可拆 卸地安装到读卡器中的,因此,智能卡生产商在智能密钥设备的制造 过程中仅生产智能卡,而智能密钥设备中的其它部分,如USB接口、 读卡器等均可由USB接口生产商生产,且在USB接口生产商生产USB 接口时,智能卡生产厂商时无需将智能卡交给USB接口生产商,在便 于智能密钥设备制造的同时,可有效保证智能密钥设备的安全性。同时,由于智能卡是可拆卸地安装到读卡器中的,使得智能卡的 安装、拆卸均十分方便,使用者也可以自己进行拆卸与安装,在使用 者有更换智能卡(如银行卡)类型的需求时,可自己更换,这使智能 密钥设备具有较好的通用性,也大大方便了使用者使用。下面结合图3说明本发明的智能密钥设备是如何与计算机进行信 息交换的。当使用者需要使用电子支付业务时,首先将智能密钥设备 连接到计算机上。本实施例中,智能密钥设备是通过USB接口与计算 机连接的。智能密钥设备与计算机连接后,计算机中的应用程序按使 用者的操作要求而运行,将调用加密服务接口程序,并发出需要验证 的数据(步骤S1)。加密服务接口程序接收到应用程序的调用信息后,发出加密服务请求信息,该请求信息通过USB接口传送到读卡器中(步骤S2)。 读卡器接收到请求信息后,应用数据格式转换单元将请求信息转换成 智能卡能够识别的APDU命令(步骤S3),然后将该APDU命令传送 至智能卡,由智能卡执行相应的操作。智能卡接收APDU命令后,根据加密请求信息的要求由加密解密 程序对验证数据进行加密或解密处理(步骤S4),将加密或解密后 的验证数据传送至密钥产生与管理程序,并由密钥产生与管理程序对 验证数据进行验证处理。密钥产生与管理程序将验证数据进行验证处 理后将验证结果返回至计算机(步骤S5)。最后,计算机的应用程序接收验证结果(步骤S6),并根据验 证结果判断使用者输入的信息是否正确。至此,智能密钥设备与计算 机的信息交换完毕。由于计算机发出的验证数据在智能卡中并不能直接操作,而是经 过加密或解密处理后才能进行验证,这样即使验证数据被第三方截 耳又,第三方也不能直接对验证数据进行验证并返回验证结果,保证-验 证数据的安全性。当然,上述实施例中,数据格式转换单元设置在读卡器中,而本 发明实际应用中,也可以将数据格式转换单元设置在USB接口或计算 机中,只要数据格式转换单元能够接收加密服务接口程序发出的加密 请求信息并将该信息转换成APDU格式即可,不管设置在读卡器、USB 接口或计算机上均不影响本发明的实现。最后,需要强调的是,本发明不限于上述实施方式,诸如加密解 密程序算法的改变、应用程序实现功能的改变等樣史小变化也应该包括 在本发明的保护范围内。
权利要求
1、智能密钥设备,包括与外部设备连接的USB接口;智能卡,所述智能卡包括中央处理器及可由中央处理器访问的存储器(15),所述存储器(15)中存储有密钥产生与管理程序;其特征在于所述智能密钥设备还包括一读卡器,所述读卡器与所述USB接口连接并进行数据交换;所述智能卡可拆卸地安装在所述读卡器中,并与读卡器进行数据交换;所述智能卡的存储器(15)中还存储有加密解密程序。
2、 根据权利要求1所述的智能密钥设备,其特征在于 所述读卡器包括有一存储器(17),所述存储器(17)中设有数据格式转换单元。
3、 才艮据权利要求1或2所述的智能密钥设备,其特征在于 所述读卡器为采用PC/SC标准的读卡器。
4、 应用如权利要求1所述智能密钥设备与外部设备进4亍信息交 换的方法,该外部设备存储有应用程序以及加密^l良务接口程序,该方 法包括应用程序运行时调用加密服务接口程序并发出验证数据,加密服 务接口程序发出对验证数据进行加密服务的请求信息,并通过USB接口及读卡器将该信息传送至智能卡;智能卡的加密解密程序对所述验证数据进行加密或解密处理后传 送至密钥产生与管理程序,密钥产生与管理程序对验证数据进行验证 后返回-验i正结果;智能密钥设备通过读卡器及USB接口将所述验证结果传送至外部 设备。
5、 根据权利要求4所述的信息交换方法,其特征在于 所述读卡器中设有数据格式转换单元,所述数据格式转换单元将加密服务接口程序发出的信息转换成智能卡能够识别的APDU命令。
6、 根据权利要求4所述的信息交换方法,其特征在于 所述外部设备中设有数据格式转换单元,所述数据格式转换单元将加密服务接口程序发出的信息转换成智能卡能够识别的APDU命 令。
7、 根据权利要求4所述的信息交换方法,其特征在于所述USB接口中设有数据格式转换单元,所述数据格式转换单元 将加密服务接口程序发出的信息转换成智能卡能够识别的APDU命 令。
全文摘要
本发明提供一种智能密钥设备及其与外部设备进行信息交换的方法,该智能密钥设备包括USB接口,与USB接口连接的读卡器,可拆卸地安装到读卡器中的智能卡,该智能卡的存储器中存储有密钥产生与管理程序及加密解密程序。本发明提供的方法中,外部设备设有应用程序及加密服务接口程序,应用程序运行时调用加密服务接口程序并发出验证数据,加密服务接口程序发出对验证数据进行加密服务的请求信息,并传送至智能卡;加密解密程序对验证数据进行加密或解密处理后传送至密钥产生与管理程序,密钥产生与管理程序对验证数据进行验证后返回验证结果。本发明可方便智能密钥设备的生产且保证智能密钥设备生产的安全性,也使智能密钥设备的通用性较好。
文档编号G06K17/00GK101236674SQ20081002630
公开日2008年8月6日 申请日期2008年2月2日 优先权日2008年2月2日
发明者施伟周, 辉 汪, 健 鞠 申请人:东信和平智能卡股份有限公司