一种用户身份识别卡的制作方法
【专利摘要】本发明提供了一种用户身份识别卡,包括:通讯模块,用于进行信息接收和输出;安全认证模块,用于进行安全认证;权限控制模块,用于进行权限控制;安全防护模块,用于进行加扰操作;安全存储模块,用于至少存储进行认证的公钥、进行签名计算的私钥、用于进行认证的证书,用于加解密的对称密钥以及用于校验计算的对称密钥;公钥算法模块,用于进行签名计算,认证计算和/或验签计算;对称算法模块,用于进行加解密计算和/或校验计算;随机数模块,用于生成随机因子。通过本发明的用户身份识别卡,可以配合手机的安全部分共同使用以实现手机安全执行网上银行业务和/或机密信息传输。
【专利说明】—种用户身份识别卡
【技术领域】
[0001]本发明涉及电子【技术领域】,尤其涉及一种用户身份识别卡。
【背景技术】
[0002]随着网络的迅速发展给人们带来的极大便利,人们越来越依赖于网络进行各种活动,例如网络文件的传输、网上银行交易均已逐渐成为人们生活、工作中不可缺少的一部分。由于网络毕竟是一个虚拟的环境,存在着太多不安全的因素,而在网络环境中必然会进行数据交互的网络活动,尤其是像网上银行业务和机密信息的传输这样的网络活动,对网络的安全提出了很高的要求,因此人们开始大力发展网络信息安全技术。
[0003]然而,随着现今手机技术的飞速发展,手机终端越来越多的被用来替代计算机使用,但现今并没有一种手机终端能够安全执行网上银行业务和/或机密信息传输的解决方案。
【发明内容】
[0004]本发明旨在解决手机终端无法安全执行网上银行业务和/或机密信息传输的问题。
[0005]本发明的主要目的在于提供一种用户身份识别卡。
[0006]为达到上述目的,本发明的技术方案具体是这样实现的:
[0007]本发明一方面提供了一种用户身份识别卡,包括:通讯模块、安全认证模块、权限控制模块、安全防护模块、安全存储模块、公钥算法模块、对称算法模块以及随机数模块;所述通讯模块,用于进行信息接收和输出;所述安全认证模块,用于对所述通讯模块接收到的信息进行安全认证;所述权限控制模块,用于根据所述安全认证模块对所述通讯模块接收到的信息进行安全认证后的认证结果,对所述安全存储模块、所述公钥算法模块、所述对称算法模块和所述随机数模块的调用进行权限控制;所述安全防护模块,用于对所述公钥算法模块和/或所述对称算法模块的计算操作进行加扰操作;所述安全存储模块,用于至少存储进行认证的公钥、进行签名计算的私钥、用于进行认证的证书,用于加解密的对称密钥以及用于校验计算的对称密钥;所述公钥算法模块,用于进行签名计算,认证计算和/或验签计算;所述对称算法模块,用于进行加解密计算和/或校验计算;随机数模块,用于生成随机因子。
[0008]此外,所述通讯模块,用于输出第一认证信息、第二密文信息以及第一传输信息,接收第二认证信息以及第二传输信息,其中,所述第一认证信息至少包括:第一随机因子以及用户身份识别卡证书;所述第二认证信息至少包括:第一密文信息、第一签名信息以及待认证证书;所述第一密文信息至少包括所述第一随机因子以及第二随机因子,所述第二密文信息至少包括所述第二随机因子以及第三随机因子;所述第一传输信息至少包括第二签名信息;所述第二传输信息至少包括待签名信息;所述安全认证模块,用于对所述通讯模块接收到的所述待认证证书进行安全认证;所述权限控制模块,用于根据所述安全认证模块对所述待认证证书进行安全认证后的认证结果,对所述安全存储模块、所述公钥算法模块、所述对称算法模块和所述随机数模块的调用进行权限控制;所述安全防护模块,用于对待输出的所述第一认证信息、所述第二密文信息以及所述第一传输信息进行加扰操作;所述安全存储模块,用于存储用户身份识别卡的私钥、所述用户身份识别卡的证书、所述待认证证书的公钥、加解密的对称密钥、校验计算的对称密钥;所述公钥算法模块,用于通过所述用户身份识别卡的私钥实现所述第二签名信息的签名计算,通过所述待认证证书的公钥实现所述待认证证书的认证计算以及实现所述第一签名信息的验签计算;所述对称算法模块,用于对所述第一密文信息进行解密计算,以及至少对所述第二随机因子和所述第三随机因子进行加密计算获得第二密文信息;随机数模块,用于生成所述第一随机因子以及所述第三随机因子。
[0009]此外,所述第一传输信息还包括:通过所述对称算法模块对所述第二签名信息进行加密计算得到的加密信息;或者所述第一传输信息还包括:通过所述对称算法模块对所述第二签名信息进行校验计算得到的校验信息;或者所述第一传输信息还包括:通过所述对称算法模块对所述第二签名信息进行加密计算得到的加密信息和对所述第二签名信息进行校验计算得到的校验信息。
[0010]此外,所述对称算法模块,还用于对所述待签名信息进行解密计算和/或校验计
笪
[0011]此外,所述通讯模块包括:串口、USB接口、NFC接口、蓝牙接口、红外接口、按键或者音频接口。
[0012]此外,所述加扰操作包括:频率加扰、功耗加扰或者计算加扰。
[0013]此外,所述权限控制模块还用于对代码和/或应用程序的执行进行控制。
[0014]由上述本发明提供的技术方案可以看出,通过本发明的用户身份识别卡,可以配合手机的安全部分共同使用以实现手机安全执行网上银行业务和/或机密信息传输。
【专利附图】
【附图说明】
[0015]为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他附图。
[0016]图1为本发明实施例提供的用户身份识别卡的结构示意图。
【具体实施方式】
[0017]下面结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明的保护范围。
[0018]在本发明的描述中,需要理解的是,术语“中心”、“纵向”、“横向”、“上”、“下”、“前”、“后”、“左”、“右”、“竖直”、“水平”、“顶”、“底”、“内”、“外”等指示的方位或位置关系为基于
附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。此外,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或数量或位置。
[0019]在本发明的描述中,需要说明的是,除非另有明确的规定和限定,术语“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本发明中的具体含义。
[0020]下面将结合附图对本发明实施例作进一步地详细描述。
[0021]本发明的用户身份识别卡是可以为如下任一种卡片:SIM (Subscriber IdentityModule,客户识别模块)卡、UIM (User Identity Module)卡、USIM卡、PIM卡等,以上的卡片均在现有的功能的基础上,拓展了安全功能,从而可以配合手机实现手机安全执行网上银行业务和/或机密信息传输的功能。
[0022]此外,本发明的用户身份识别卡需要与具备安全功能的手机进行匹配使用,以保证具有安全功能的手机可以与本发明的用户身份识别卡共同完成网上银行业务和/或机密信息传输的功能。
[0023]实施例1
[0024]图1出示了本发明实施例1的用户身份识别卡的结构示意图,参见图1,本发明实施例I的用户身份识别卡,包括:通讯模块101、安全认证模块102、权限控制模块103、安全防护模块104、安全存储模块105、公钥算法模块106、对称算法模块107以及随机数模块108 ;其中,
[0025]通讯模块101,用于进行信息接收和输出;包括接收与用户身份识别卡相匹配完成手机安全功能的手机的安全部分发送的信息,以及将用户身份识别卡生成的安全信息输出至手机的安全部分。具体的,该通讯模块101可以为串口、USB接口、NFC接口、蓝牙接口、红外接口、按键或者音频接口。
[0026]安全认证模块102,用于对通讯模块101接收到的信息进行安全认证;包括对手机的安全部分进行身份认证等以保证与用户身份识别卡配合的手机为合法手机。
[0027]权限控制模块103,用于根据安全认证模块102对通讯模块101接收到的信息进行安全认证后的认证结果,对安全存储模块105、公钥算法模块106、对称算法模块107和随机数模块108的调用进行权限控制;当然,权限控制模块103还可以对代码和/或应用程序的执行权限进行控制,以保证信息、功能和应用的安全。
[0028]安全防护模块104,用于对公钥算法模块106和/或对称算法模块107的计算操作进行加扰操作;具体的,在公钥算法模块106进行签名计算,认证计算和/或验签计算时进行加扰,在对称算法模块107进行加解密计算和/或校验计算时进行加扰,防止重放攻击,提高安全性。其中,加扰操作可以包括:频率加扰、功耗加扰或者计算加扰等。
[0029]安全存储模块105,用于至少存储进行认证的公钥、进行签名计算的私钥、用于进行认证的证书,用于加解密的对称密钥以及用于校验计算的对称密钥;具体的,安全存储模块105进行安全密钥、安全证书等安全的信息进行存储,其不可被取出,提高安全计算的安全性。[0030]公钥算法模块106,用于进行签名计算,认证计算和/或验签计算;具体的,通过用户身份识别卡的私钥进行签名计算,通过证书的公钥进行证书的认证计算,通过公钥进行验签计算等,以实现用户身份识别卡的安全功能。
[0031]对称算法模块107,用于进行加解密计算和/或校验计算;具体的,对用户身份识别卡输出至手机的安全部分以及对手机的安全部分发送至用户身份识别卡的信息进行加解密计算和/或校验计算,保证信息传输不被篡改,提高安全性。
[0032]随机数模块108,用于生成随机因子,具体的,用户身份识别卡可以将随机因子发送至手机的安全部分同时接收手机的安全部分发送的随机因子,从而根据随机因子产生进行信息交互的协商密钥,提高信息交互的安全性;此外,在每次进行信息传输时还可以增加该随机因子,防止重放攻击。
[0033]由此可见,通过本发明的用户身份识别卡,可以配合手机的安全部分共同使用以实现手机安全执行网上银行业务和/或机密信息传输。
[0034]实施例2
[0035]本实施例2的用户身份识别卡的结构与实施例1相同,在此仅对本实施例2的用户身份识别卡各个结构的功能进行简单说明,本实施例中,用户身份识别卡需与手机的安全部分进行相互认证,并相互生成协商密钥,以及通过相互生成的协商密钥进行各类信息的交互,其中:
[0036]通讯模块101,用于输出第一认证信息、第二密文信息以及第一传输信息,接收第二认证信息以及第二传输信息,其中,第一认证信息至少包括:第一随机因子以及用户身份识别卡证书;第二认证信息至少包括:第一密文信息、第一签名信息以及待认证证书;第一密文信息至少包括第一随机因子以及第二随机因子,第二密文信息至少包括第二随机因子以及第三随机因子;第一传输信息至少包括第二签名信息;第二传输信息至少包括待签名信息;
[0037]具体的,第二认证信息即是手机的安全部分发送给用户身份识别卡的认证信息,用于认证手机的安全部分的合法性;第二传输信息即手机的安全部分发送给用户身份识别卡的信息,该信息可以为需要安全传输的机密信息,也可以为网银中待交易的交易信息。如果本发明应用于机密信息安全传输中,则该信息可以为手机需要输出的机密信息,例如:手机从手机的安全存储区域内获取的机密信息等;如果本发明应用于网上银行业务中,则该信息可以为待执行交易的交易信息,例如:手机通过网上银行客户端获取到的交易账号、交易金额等交易信息。
[0038]第一认证信息即用户身份识别卡发送至手机的安全部分的认证信息,用于认证用户身份识别卡的合法性;第二密文信息可以携带用于生成用户身份识别卡和手机的安全部分互相协商的协商密钥中的部分因子;第一传输信息即用户识别卡向手机的安全部分发送的响应第二传输信息的信息,如果本发明应用于机密信息安全传输中,贝Ij第一传输信息可以为签名后的机密信息等;如果本发明应用于网上银行业务中,则第一传输信息可以为签名后的交易彳目息等。
[0039]当然,该第一传输信息还可以包括:通过对称算法模块107对第二签名信息进行加密计算得到的加密信息;或者通过对称算法模块107对第二签名信息进行校验计算得到的校验信息;或者通过对称算法模块107对第二签名信息进行加密计算得到的加密信息和对第二签名信息进行校验计算得到的校验信息。
[0040]由此,可以保证第二签名信息传输的安全性,此时传输第二签名信息的过程中,可以基于手机的安全部分与用户身份识别卡之间协商出的协商密钥进行传输,以提高信息传输的安全性。
[0041]安全认证模块102,用于对通讯模块101接收到的待认证证书进行安全认证;
[0042]具体的,安全认证模块102可以对手机的安全部分的证书进行安全认证,只有认证通过该证书,才证明与用户身份识别卡匹配的手机为合法手机,才执行后续的信息传输等流程,从而提高后续流程执行的安全性。
[0043]权限控制模块103,用于根据安全认证模块102对待认证证书进行安全认证后的认证结果,对安全存储模块105、公钥算法模块106、对称算法模块107和随机数模块108的调用进行权限控制;
[0044]具体的,权限控制模块103除了对上述四个模块的调用进行权限控制外,还可以对代码和/或应用程序的执行权限进行控制,以保证信息、功能和应用的安全。
[0045]安全防护模块104,用于对待输出的第一认证信息、第二密文信息以及第一传输信息进行加扰操作;
[0046]具体的,安全防护模块104可以在公钥算法模块106和对称算法模块107分别进行认证信息、密文信息以及传输信息的计算过程中,进行加扰操作,从而可以防止重放攻击,提高安全性。其中,加扰操作可以包括:频率加扰、功耗加扰或者计算加扰等。
[0047]安全存储模块105,用于存储用户身份识别卡的私钥、用户身份识别卡的证书、待认证证书的公钥、加解密的对称密钥、校验计算的对称密钥;
[0048]公钥算法模块106,用于通过用户身份识别卡的私钥实现第二签名信息的签名计算,通过待认证证书的公钥实现待认证证书的认证计算以及实现第一签名信息的验签计算;
[0049]对称算法模块107,用于对第一密文信息进行解密计算,以及至少对第二随机因子和第三随机因子进行加密计算获得第二密文信息;
[0050]具体的,对称算法模块107还可以对待签名信息进行解密计算和/或校验计算,即手机的安全部分在传输待签名信息时,对待签名信息进行了加密计算和/或校验计算,从而在用户身份识别卡中,还对待签名信息进行解密计算和/或校验计算,从而保证手机的安全部分向用户身份识别卡发送的待签名信息传输不可篡改,保证该信息传输安全性。
[0051]随机数模块108,用于生成第一随机因子以及第三随机因子。
[0052]具体的,随机数模块108生成的随机因子,一方面可以作为生成协商密钥的相关因子,另一方面还可以在信息传输中防止重放攻击。
[0053]由此可见,通过本发明的用户身份识别卡,可以配合手机的安全部分共同使用以实现手机安全执行网上银行业务和/或机密信息传输。
[0054]流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为,表示包括一个或更多个用于实现特定逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分,并且本发明的优选实施方式的范围包括另外的实现,其中可以不按所示出或讨论的顺序,包括根据所涉及的功能按基本同时的方式或按相反的顺序,来执行功能,这应被本发明的实施例所属【技术领域】的技术人员所理解。[0055]应当理解,本发明的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中,多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。例如,如果用硬件来实现,和在另一实施方式中一样,可用本领域公知的下列技术中的任一项或他们的组合来实现:具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路,具有合适的组合逻辑门电路的专用集成电路,可编程门阵列(PGA),现场可编程门阵列(FPGA)等。
[0056]本【技术领域】的普通技术人员可以理解实现上述实施例方法携带的全部或部分步骤是可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,该程序在执行时,包括方法实施例的步骤之一或其组合。
[0057]此外,在本发明各个实施例中的各功能单元可以集成在一个处理模块中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。
[0058]上述提到的存储介质可以是只读存储器,磁盘或光盘等。
[0059]在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
[0060]尽管上面已经示出和描述了本发明的实施例,可以理解的是,上述实施例是示例性的,不能理解为对本发明的限制,本领域的普通技术人员在不脱离本发明的原理和宗旨的情况下在本发明的范围内可以对上述实施例进行变化、修改、替换和变型。本发明的范围由所附权利要求及其等同限定。
【权利要求】
1.一种用户身份识别卡,其特征在于,包括:通讯模块、安全认证模块、权限控制模块、安全防护模块、安全存储模块、公钥算法模块、对称算法模块以及随机数模块; 所述通讯模块,用于进行信息接收和输出; 所述安全认证模块,用于对所述通讯模块接收到的信息进行安全认证; 所述权限控制模块,用于根据所述安全认证模块对所述通讯模块接收到的信息进行安全认证后的认证结果,对所述安全存储模块、所述公钥算法模块、所述对称算法模块和所述随机数模块的调用进行权限控制; 所述安全防护模块,用于对所述公钥算法模块和/或所述对称算法模块的计算操作进行加扰操作; 所述安全存储模块,用于至少存储进行认证的公钥、进行签名计算的私钥、用于进行认证的证书,用于加解密的对称密钥以及用于校验计算的对称密钥; 所述公钥算法模块,用于进行签名计算,认证计算和/或验签计算; 所述对称算法模块,用于进行加解密计算和/或校验计算; 随机数模块,用于生成随机因子。
2.根据权利要求1所述的用户身份识别卡,其特征在于, 所述通讯模块,用于输出第一认证信息、第二密文信息以及第一传输信息,接收第二认证信息以及第二传输信息,其中,所述第一认证信息至少包括:第一随机因子以及用户身份识别卡证书;所述第二认证信息至少包括:第一密文信息、第一签名信息以及待认证证书;所述第一密文信息至少包括所述第一随机因子以及第二随机因子,所述第二密文信息至少包括所述第二随机因子以及第三随机因子`;所述第一传输信息至少包括第二签名信息;所述第二传输信息至少包括待签名信息; 所述安全认证模块,用于对所述通讯模块接收到的所述待认证证书进行安全认证;所述权限控制模块,用于根据所述安全认证模块对所述待认证证书进行安全认证后的认证结果,对所述安全存储模块、所述公钥算法模块、所述对称算法模块和所述随机数模块的调用进行权限控制; 所述安全防护模块,用于对待输出的所述第一认证信息、所述第二密文信息以及所述第一传输信息进行加扰操作; 所述安全存储模块,用于存储用户身份识别卡的私钥、所述用户身份识别卡的证书、所述待认证证书的公钥、加解密的对称密钥、校验计算的对称密钥; 所述公钥算法模块,用于通过所述用户身份识别卡的私钥实现所述第二签名信息的签名计算,通过所述待认证证书的公钥实现所述待认证证书的认证计算以及实现所述第一签名信息的验签计算; 所述对称算法模块,用于对所述第一密文信息进行解密计算,以及至少对所述第二随机因子和所述第三随机因子进行加密计算获得第二密文信息; 随机数模块,用于生成所述第一随机因子以及所述第三随机因子。
3.根据权利要求2所述的用户身份识别卡,其特征在于, 所述第一传输信息还包括:通过所述对称算法模块对所述第二签名信息进行加密计算得到的加密信息;或者 所述第一传输信息还包括:通过所述对称算法模块对所述第二签名信息进行校验计算得到的校验信息;或者 所述第一传输信息还包括:通过所述对称算法模块对所述第二签名信息进行加密计算得到的加密信息和对所述第二签名信息进行校验计算得到的校验信息。
4.根据权利要求2或3所述的用户身份识别卡,其特征在于,所述对称算法模块,还用于对所述待签名信息进行解密计算和/或校验计算。
5.根据权利要求1至4任一项所述的用户身份识别卡,其特征在于,所述通讯模块包括:串口、USB接口、NFC接口、蓝牙接口、红外接口、按键或者音频接口。
6.根据权利要求1至5任一项所述的用户身份识别卡,其特征在于,所述加扰操作包括:频率加扰、功耗加扰或者计算加扰。
7.根据权利要求1所述的用户身份识别卡,其特征在于,所述权限控制模块还用于对代码和/或应用程序的执 行进行控制。
【文档编号】G06F21/33GK103888259SQ201410088694
【公开日】2014年6月25日 申请日期:2014年3月12日 优先权日:2014年3月12日
【发明者】李东声 申请人:天地融科技股份有限公司