专利名称:智能卡及基于智能卡的签名认证方法
技术领域:
本发明涉及智能卡领域,尤其涉及一种智能卡及基于智能卡的签名认证方法。
背景技术:
随着电子技术的发展,原来纸质的文档越来越多的使用电子形式,电子邮件逐渐替代纸质信件,电子书逐渐替代纸质书。为确保数据在传输过程中不被修改,电子签名认证技术中使用了加密技术。加密是以一种特殊算法改变原来的数据内容,使得未授权的用户即使获得了已加密数据,因为不知解密方法,仍然无法了解数据内容。加密算法分为对称算法和非对称算法,对称算法大多数只有一个密钥,加密和解密算法都使用此密钥。非对称算法应用较为普遍,其需要一对密钥:公开密钥(公钥)和私有密钥(私钥),这一对密钥中,一个用于加密,一个用于解密,私钥是用户专用的密钥。电子签名是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。通俗点说,电子签名就是用户通过私钥对电子文档的电子形式的进行加密形成的电子签名数据。认证就是签名的反过程,用户将自己的电子数据签名之后,将签名数据和原始数据发送出来,若接收方收到电子签名数据,使用公钥对签名数据进行解密,比较解密结果和原始数据,如果一致,就认为数据在传递过程没有被修改,接收到的原始数据正确且有效。目前用户进行签名认证需要随身携带专用的设备,比如,银行卡的USBKEY(U盾),这给用户的使用带来不便。
发明内容
本发明提供一种更加完善的智能卡及智能卡的签名认证方法。该智能卡包括辅助模块以及与该辅助模块通信的卡本体,辅助模块内存储有加密、解密、数字签名和签名验证所需的密钥,用于接收外部操作指令,判断将该操作指令交由自身处理还是交由卡本体处理,若是交由卡本体处理,则将该操作指令传输给卡本体,接收卡本体反馈的处理结果并将其传输至外部,若是交由自身处理,则对信息加密、解密、数字签名和签名验证,并将处理结果传输至外部。在本发明一实施例中,该辅助模块与卡本体设置在同一芯片。在本发明另一实施例中,该辅助模块与卡本体设置在不同芯片。在本发明另一实施例中,该辅助模块采用贴膜的形式贴在卡本体上。在本发明一实施例中,该辅助模块包括智能卡设备接口模块、无线通信模块和控制模块,智能卡设备接口模块、无线通信模块均与控制模块相连,智能卡设备接口模块用于接收智能卡所嵌入设备传输的操作指令,并传输至控制模块,接收控制模块传输的处理结果,并将处理结果传输至智能卡所嵌入设备;无线通信模块用于接收外部设备传输的操作指令,并传输至控制模块,接收控制模块传输的处理结果,并将处理结果传输至外部设备;控制模块用于判断将该操作指令交由自身处理还是交由卡本体处理,如果是交由卡本体处理,则将该操作指令发送给卡本体;如果是交由自身处理,则对该操作指令进行处理;在自身或卡本体处理完成后,通过智能卡设备接口模块、无线通信模块向外发送处理结果。在本发明一实施例中,该无线通信模块为射频模块。在本发明一实施例中,该射频模块工作在2.4GHz或13.56MHz频段。在本发明一实施例中,该辅助模块内还存储了移动支付应用数据,上述操作指令为加解密操作指令、签名认证操作指令、电信操作指令、移动支付操作指令、STK菜单操作指令中的一种;控制模块用于处理加解密操作指令和/或签名认证操作指令,将电信操作指令交由卡本体处理;还用于判断STK菜单操作指令、移动支付操作指令是否与自身存储的移动支付应用数据相匹配,如果匹配,则交由自身处理,否则,交由卡本体处理。本发明提供的基于智能卡的签名认证方法,该签名认证方法包括:将需使用的密钥导入辅助模块;辅助模块接收操作指令,并判断将该操作指令交由自身处理还是交由卡本体处理;如果是交由卡本体处理,则将该操作指令发送给卡本体,接收卡本体反馈的处理结果并向外传输该处理结果;如果是交由自身处理,则对信息加密、解密、数字签名和签名验证,并向外传输该处理结果。在本发明一实施例中,该辅助模块通过智能卡设备接口模块接收所述智能卡所嵌入设备传输的操作指令;通过无线通信模块接收外部设备传输的操作指令。在本发明一实施例中,该还包括:在辅助模块中存储移动支付应用数据,上述操作指令为加解密操作指令、签名认证操作指令、电信操作指令、移动支付操作指令、STK菜单操作指令中的一种;如果是电信操作指令,则交由卡本体处理;如果是STK菜单操作指令或是移动支付操作指令,则判断所述STK菜单操作指令、移动支付操作指令是否与辅助模块自身存储的移动支付应用数据相匹配,如果匹配,则交由自身处理,否则,交由卡本体处理。本发明提供的智能卡包括能对信息进行加密、解密、数字签名和签名验证的辅助模块,避免了用户进行签名认证时需要使用专用设备,给用户的使用带来便利,同时不影响智能卡本体及所嵌入设备的正常工作,也无需运营商的参与。
图1为本发明实施例提供的智能卡的示意图。图2为本发明实施例一种智能卡工作方法的流程图。
具体实施例方式下面通过具体实施方式
结合附图对本发明作进一步详细说明。请参考图1,本发明一实施例提供的智能卡包括卡本体1,以及与卡本体I通信的辅助模块2。卡本体I可以是常见的SIM卡、安全数码卡SD或TF卡等。以卡本体I为常见SM (Subscriber Identity Module客户识别模块)卡为例,常见SM卡具有电信功能、STK菜单功能和移动支付功能,存储了数字移动电话客户的信息、加密的密钥、用户的电话簿、STK菜单及移动支付应用数据等内容,可供GSM网络客户身份鉴别,并对客户通话时的语音信息进行加密,基于其电信功能,可以接收所嵌入设备或外部设备发送的电信操作指令,用以实现电话、短信等功能,基于其STK菜单功能,可以接收所嵌入设备或外部设备发送的STK菜单操作指令,用以实现STK菜单的定制和更新,基于其移动支付功能,可以接收所嵌入设备或外部设备发送的移动支付操作指令,用以实现移动支付应用。优选的,电信操作指令包括普通的电话、短信等非主动式电信指令,STK菜单操作指令可以通过空中下载技术(OTA),下载移动支付应用对应的STK菜单数据。所嵌入设备指嵌入该智能卡的设备,如嵌入SM卡的手机,嵌入SD卡或TF卡的数码相机、音频播放器等设备。外部设备指所嵌入设备之外的,需要通过有线或无线通信方式与所嵌入设备进行通信的设备,如射频读卡器、或者设置有读卡器的POS机、自动取款机
坐寸O辅助模块2和卡本体I可以采用多种方式连接,如:辅助模块2和卡本体I设置在用一芯片中,或者设置在两个不同的芯片中;还可以将辅助模块2做成贴膜,采用贴膜的形式贴在卡本体I上。辅助模块2、卡本体I上可以各设置一内部数据交换接口模块,通过内部数据交换接口模块进行数据交互。辅助模块2内存储有加密、解密、数字签名和签名验证所需使用的密钥,还可以存储移动支付应用数据及该移动支付应用对应的STK菜单数据。卡本体I可以通过辅助模块2与智能卡所嵌入设备和外部设备进行通信。具体的,辅助模块2用于接收外部操作指令,并判断将该操作指令交由自身处理还是交由卡本体I处理;如果是交由卡本体I处理,则将该操作指令发送给卡本体1,并接收由卡本体I反馈的处理结果;如果是交由自身处理,则对该操作指令进行处理;在自身或该卡本体I处理完成后,向外发送处理结果。该操作指令可以为加解密操作指令、签名认证操作指令、电信操作指令、移动支付操作指令或STK菜单操作指令。辅助模块2接收外部操作指令之后,如果是加解密操作指令和/或签名认证操作指令,则交由辅助模块2自身处理;如果是电信操作指令,则交由卡本体I处理;如果是STK菜单操作指令或是移动支付操作指令,则判断该STK菜单操作指令、移动支付操作指令是否与辅助模块2自身存储的移动支付应用数据相匹配,如果匹配,则交由自身处理,否贝1J,交由卡本体I处理。辅助模块2可以包括智能卡设备接口模块21、无线通信模块22和控制模块23。智能卡设备接口模块21、无线通信模块22均与控制模块23相连。其中,智能卡设备接口模块21用于接收智能卡所嵌入设备传输的操作指令,并将该操作指令传输至控制模块23。智能卡设备接口模块21还用于接收控制模块23传输的处理结果,并将处理结果传输至智能卡所嵌入设备。无线通信模块22用于接收外部设备传输的操作指令,并传输至控制模块23 ;还用于接收控制模块23传输的处理结果,并将该处理结果传输至外部设备;控制模块23用于判断将操作指令交由自身处理还是交由卡本体I处理。如果是加解密操作指令和/或签名认证操作指令,则交由自身处理;如果接收的是电信操作指令,则交由卡本体I处理,将该操作指令发送给卡本体I ;如果接收的是STK菜单操作指令或者是移动支付操作指令,则判断该STK菜单操作指令、移动支付操作指令是否与该辅助模块2自身存储的移动支付应用数据相匹配,如果匹配,则交由自身处理,否则,交由卡本体I处理,将该操作指令发送给卡本体I ;在自身或卡本体I处理完成后,通过智能卡设备接口模块21、无线通信模块22向外部设备发送处理结果。为扩展智能卡的存储空间,本发明的智能卡在辅助模块2和卡本体I之外,还可以包括一存储模块,如辅助模块和卡本体自身的存储空间不够时,可以将数据存储在该存储模块中,如将加密、解密、数字签名和签名验证所需使用的密钥存储在该存储模块中。辅助模块2和卡本体I可以各增加一个存储接口来实现与该存储模块的数据交互。辅助模块2和卡本体I可以将数据存入自身的存储空间中,也可以通过该存储接口存储到存储模块中。请参考图2,本发明的智能卡的工作方法包括下述步骤:S11、辅助模块通过无线通信模块接收外部操作指令。S12、辅助模块判断将该操作指令交由自身处理还是交由卡本体处理,如果是交由卡本体处理,则进入步骤S13,如果是交由自身处理,则进入步骤S15。S13、辅助模块将操作指令发送给卡本体,进入步骤S14。S14、卡本体对该操作指令进行处理,将处理结果发送给辅助模块,进入步骤S16。S15、辅助模块对该操作指令进行处理,进入步骤S16。S16、辅助模块通过无线通信模块向外发送处理结果。本发明的智能卡可以应用于门禁系统、保险箱、电脑开关等,不需要随身携带多种应用的多种专用签名认证的设备。以应用于门禁系统为例:第一步、在门禁系统的后台服务器导入每个员工对应的公钥,往每个员工手持移动设备内置智能卡中导入各员工的私钥,可以导入在智能卡本体I上、辅助模块2上或为扩展智能卡的存储空间而另设的一存储模块上。一个智能卡对应一个私钥,或者说,一个员工对应一个私钥。私钥不允许复制,智能卡丢失或者毁坏时,将原来的公钥私钥对置为无效,重新申请新的公钥私钥对使用。第二步、员工出入门禁时,将移动设备靠近门禁系统的射频读卡器,智能卡中的辅助模块通过射频模块接收签名认证操作指令,辅助模块判断将该操作指令交由自身处理,辅助模块将员工标识信息(比如:员工工号)用对应私钥加密,得到签名数据,将员工标识信息以及该签名数据通过辅助模块上的射频模块发送给门禁系统的射频读卡器。第三步、射频读卡器接收数据并将数据转发给门禁系统的后台服务器,后台服务器根据接收到的员工标识信息,找出对应的公钥,用此公钥解密接收到的签名数据,将解密后的结果和员工标识信息比较,如果信息一致,则认为此员工有出入的权限,后台服务器控制电子门锁打开大门;如果信息不一致,后台服务器或射频读卡器发出警告提示信息。本发明的移动支付应用可以是电子票、优惠券、团购业务、股票交易、企业一卡通、校园一卡通、公交一卡通等,也可以是商场里的近场刷POS机支付。还可以是远场通过网络进行支付、转账等。外部设备可以为设置有射频读卡器的POS机、自动取款机(ATM)等,如在传统ATM等设备上设置射频读卡器,本发明的智能卡可以通过射频模块在ATM上进行转账、提现、股票支付等应用。现以SIM卡与外部收银设备进行数据交互为例,说明该智能卡的工作方法。该方法包括:第一步、用户将装有该SIM卡的手机靠近POS机、ATM设备的射频读卡器;第二步、POS机、ATM设备检查SM卡为合法SM卡之后,通过射频读卡器、辅助模块上的射频模块之间的通信,发送移动支付应用的操作指令给辅助模块;第三步、辅助模块判断将该操作指令交由自身处理还是交由卡本体处理,若该项移动支付操作指令与辅助模块自身存储的移动支付应用数据相匹配,则由辅助模块处理该操作指令,否则,交由卡本体处理该操作指令;卡本体或辅助模块的处理方法可以是从余额数据中扣减消费金额,并保存此次的消费行为的相关数据,如消费时间、消费的交易序号等数据;第四步、卡本体或辅助模块处理完成后,通过辅助模块的射频模块向射频读卡器返回处理结果,射频读卡器将该处理结果返回给POS机、ATM设备,POS机、ATM设备验证正确后,扣减保存的帐号上的相关金额,保存此次交易的相关数据。上述的SM卡与POS机、ATM设备的联机支付过程,如果是小额的移动支付应用,如电子钱包,可以采用脱机支付。射频模块可以实现非接触式通信,还可以实现大数据量的传递,可以配合实现更多的应用。可以将STK菜单做成多级菜单,如:第一级菜单为各项移动支付应用的名称,电子票、优惠券、团购业务、股票交易、企业一卡通、校园一卡通、公交一卡通等;第二级菜单为各项移动支付应用的详细说明等。可以通过以下方式在SM卡的现有STK菜单中设置移动支付应用的STK菜单数据:在移动终端上电初始化的时候,移动终端向SIM卡发送“SetupMenu”操作指令,辅助模块通过智能卡设备接口模块接收待该操作指令,辅助模块判断该STK菜单操作指令是否与辅助模块自身存储的移动支付应用数据相匹配,如果匹配,则交由自身处理,否则,交由所述卡本体处理,本实施例中,如果STK菜单操作指令相对应的移动支付应用数据存放在辅助模块上,则该STK菜单操作指令交由辅助模块自身处理,如果STK菜单操作指令相对应的移动支付应用数据存放在卡本体上,则该STK菜单操作指令交由卡本体处理。辅助模块或SIM卡本体根据该STK菜单操作指令修改原有的STK菜单,在原有的STK菜单中增加移动支付应用的菜单数据,辅助模块将指令结果返回给手机,手机根据最新数据显示更新后的STK菜单;或者用户在手机上对STK菜单进行操作切换时,手机向SIM卡发送“Menu Selection”操作指令,辅助模块判断将该操作指令交由SIM卡本体处理,则将该操作指令发送给SIM卡本体,SIM卡本体接收该操作指令,将新的STK菜单数据传输至该辅助模块,辅助模块将新的STK菜单数据返回给手机,手机根据最新数据显示更新后的STK菜单;在SIM卡发放之后,可便捷的在SIM卡中增加移动支付应用。STK菜单操作指令包括但不局限于是一种基于STK菜单操作的主动式电信操作指令。移动支付应用可以和STK菜单配合,利用STK菜单即可进行支付交易,方便用户的操作;除了 STK菜单,还可以通过手机软件或者WAP浏览器方式实现移动支付应用在移动终端的人机界面。以上内容是结合具体的实施方式对本发明所作的进一步详细说明,不能认定本发明的具体实施只局限于这些说明。对于本发明所属技术领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干简单推演或替换,都应当视为属于本发明的保护范围。
权利要求
1.一种智能卡,包括辅助模块以及与所述辅助模块通信的卡本体,所述辅助模块内存储有加密、解密、数字签名和签名验证所需的密钥,用于接收外部操作指令,判断将该操作指令交由自身处理还是交由卡本体处理,若是交由卡本体处理,则将该操作指令传输给卡本体,接收卡本体反馈的处理结果并将其传输至外部,若是交由自身处理,则对信息加密、解密、数字签名和签名验证,并将处理结果传输至外部。
2.如权利要求1所述的智能卡,其特征在于,所述辅助模块与所述卡本体设置在同一芯片;或者所述辅助模块与所述卡本体设置在不同芯片;或者所述辅助模块采用贴膜的形式贴在所述卡本体上。
3.如权利要求1所述的智能卡,其特征在于,所述辅助模块包括智能卡设备接口模块、无线通信模块和控制模块,所述智能卡设备接口模块、无线通信模块均与所述控制模块相连, 所述智能卡设备接口模块用于接收所述智能卡所嵌入设备传输的操作指令,并传输至所述控制模块,接收所述控制模块传输的处理结果,并将所述处理结果传输至所述智能卡所嵌入设备; 所述无线通信模块用于接收外部设备传输的操作指令,并传输至所述控制模块,接收所述控制模块传输的处理结果,并将所述处理结果传输至所述外部设备; 所述控制模块用于判断将所述操作指令交由自身处理还是交由所述卡本体处理,如果是交由所述卡本体处理,则将所述操作指令发送给所述卡本体;如果是交由自身处理,则对所述操作指令进行处理;在自身或所述卡本体处理完成后,通过所述智能卡设备接口模块、无线通信模块向外发送处理结果。
4.如权利要求3所述的智能卡,其特征在于,所述无线通信模块为射频模块。
5.如权利要求4所述的智能卡,其特征在于,所述射频模块工作在2.4GHz或13.56MHz频段。
6.如权利要求1至5任一项所述的智能卡,其特征在于,所述辅助模块内还存储了移动支付应用数据,所述操作指令为加解密操作指令、签名认证操作指令、电信操作指令、移动支付操作指令、STK菜单操作指令中的一种;所述控制模块用于处理加解密操作指令和/或签名认证操作指令,将电信操作指令交由所述卡本体处理;还用于判断STK菜单操作指令、移动支付操作指令是否与自身存储的移动支付应用数据相匹配,如果匹配,则交由自身处理,否则,交由所述卡本体处理。
7.一种基于智能卡的签名认证方法,所述智能卡包括卡本体,以及与卡本体通信的辅助模块,其特征在于,该签名认证方法包括: 将需使用的密钥导入所述辅助模块; 所述辅助模块接收操作指令,判断将所述操作指令交由自身处理还是交由所述卡本体处理;如果是交由所述卡本体处理,则将所述操作指令发送给所述卡本体,接收卡本体反馈的处理结果并向外传输所述处理结果;如果是交由自身处理,则对信息加密、解密、数字签名和签名验证,并向外传输所述处理结果。
8.如权利要求7所述的基于智能卡的签名认证方法,其特征在于,所述辅助模块通过智能卡设备接口模块接收所述智能卡所嵌入设备传输的操作指令;通过无线通信模块接收外部设备传输的操作指令。
9.如权利要求8所述的基于智能卡的签名认证方法,其特征在于,所述无线通信模块为射频模块。
10.如权利要求7至9任一项所述的基于智能卡的签名认证方法,其特征在于,所述辅助模块中存储有移动支付应用数据,所述操作指令为加解密操作指令、签名认证操作指令、电信操作指令、移动支付操作指令、STK菜单操作指令中的一种,所述辅助模块判断将所述操作指令交由自身处理还是交由所述卡本体处理包括:如果是电信操作指令,则交由所述卡本体处理;如果是STK菜单操作指令或是移动支付操作指令,则判断所述STK菜单操作指令、移动支付操作指令是否与所述辅助模块自身存储的移动支付应用数据相匹配,如果匹配,则交由自身处理, 则,交由所述卡本体处理。
全文摘要
本发明公开一种智能卡及基于智能卡的签名认证方法,智能卡包括辅助模块,以及与所述辅助模块通信的卡本体,辅助模块用于对信息的加密、解密、数字签名和签名验证。该签名认证方法包括将需使用的密钥导入所述智能卡;辅助模块使用相应密钥对信息进行加密、解密、数字签名和签名验证。本发明通过以上技术方案,避免用户进行签名认证时需要使用专用设备,同时不影响智能卡本体及所嵌入设备的正常工作,也无需运营商的参与。
文档编号G06K19/07GK103186805SQ20111044375
公开日2013年7月3日 申请日期2011年12月27日 优先权日2011年12月27日
发明者李小利, 钟月婷 申请人:国民技术股份有限公司