智能安全芯片的制作方法

本发明涉及计算机技术领域，尤其涉及一种智能安全芯片，具体的讲是一种实现电子签章、秘钥存储和身份认证的智能安全芯片。

背景技术

目前，随着互联网技术的快速发展和电子政务、电子商务的兴起，电子印章技术已经应运而生且得到广泛应用。并且，目前的电子印章在使用时，无法做到很好的管控，例如使用前的安全性验证和使用后的查询追踪等。目前电子印章的使用模式是所有的企业的电子印章全都存储在几家特定的服务机构的服务器中，用户需要使用自己的电子印章时，必须访问服务机构的服务服务器调取电子签章。这种集中存储电子印章的方式存在以下缺点：安全性差，一旦服务机构的服务器存在安全漏洞，会导致大量的企业的电子印章信息泄露，引发大量安全问题；另一方面，用户的电子印章掌握在服务机构手中，用户无法对自己的电子印章的使用情况实时的掌握，如果服务机构内部非法调用用户的电子印章，用户也无法发现。

此外现有的集中存储方式，在需要调用电子签章时，只需通过电子印章服务机构的安全验证即可调用电子签章，一旦电子印章服务机构的安全系统被攻破，或者用户的密码被破解，依然存在电子签章被盗用、泄露的隐患。

应该注意，上面对技术背景的介绍只是为了方便对本发明的技术方案进行清楚、完整的说明，并方便本领域技术人员的理解而阐述的。不能仅仅因为这些方案在本发明的背景技术部分进行了阐述而认为上述技术方案为本领域技术人员所公知。

技术实现要素：

本发明实施例提供一种智能安全芯片，以克服现有技术中的电子签名中心化、电子公章无法很好管控、安全性差的问题。

根据本发明实施例的一个方面，提供一种智能安全芯片，包括：包括：中央控制模块，以及与所述中央控制模块相连接的通讯模块、身份认证模块、秘钥模块、电子印章模块；所述通讯模块，用于实现与用户和外部服务器的通讯；所述身份认证模块，用于存储身份信息，并利用存储的身份信息对用户输入的身份信息进行认证，认证通过后，对用户进行授权；所述电子印章模块，用于存储电子印章信息，并在接收到批准用户使用电子印章的指令后，调取电子印章提供给用户使用；所述秘钥模块，用于存储银行系统和/或政府系统授权的证书和密钥；所述中央处理模块，用于接收输入并控制其他模块的操作，所述操作包括当所述电子印章模块调取电子印章时，调用所述秘钥进行安全验证。

根据本发明实施例的另一个方面，提供一种智能安全芯片，获取用户输入的身份信息；利用存储的身份信息对用户输入的身份信息进行认证，认证通过后，对用户进行授权；在用户授权通过且接收到批准用户使用印章的指令后，调取存储的电子印章提供给用户使用；并且当调取电子印章时，调用存储的秘钥进行安全验证。

本发明的有益效果在于：本发明实施例所公开的智能安全芯片，电子印章保存在企业自己的智能安全芯片中，实现了去中心化，保证了用章安全；并且，芯片中包括的秘钥模块存储了各种银行系统和政府系统的授权证书，当需要使用电子印章时，可以调用多个秘钥进行安全验证，增强了电子印章的使用的安全性。

参照后文的说明和附图，详细公开了本发明的特定实施方式，指明了本发明的原理可以被采用的方式。应该理解，本发明的实施方式在范围上并不因而受到限制。在所附权利要求的精神和条款的范围内，本发明的实施方式包括许多改变、修改和等同。

针对一种实施方式描述和/或示出的特征可以以相同或类似的方式在一个或更多个其它实施方式中使用，与其它实施方式中的特征相组合，或替代其它实施方式中的特征。

应该强调，术语“包括/包含”在本文使用时指特征、整件、步骤或组件的存在，但并不排除一个或更多个其它特征、整件、步骤或组件的存在或附加。

附图说明

所包括的附图用来提供对本发明实施例的进一步的理解，其构成了说明书的一部分，用于例示本发明的实施方式，并与文字描述一起来阐释本发明的原理。显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。在附图中：

图1为本发明实施例的智能安全芯片的结构示意图；

图2为本发明另一实施例的智能安全芯片的结构示意图

图3为本发明实施例的身份认证模块的结构示意图；

图4为本发明实施例的秘钥模块中存储的证书的示意图；

图5为本发明另一实施例的智能安全芯片的结构示意图；

图6为本发明实施例的存储模块中存储的信息的示意图；

图7为本发明实施例提出的智能安全芯片的另一种结构示意图。

具体实施方式

参照附图，通过下面的说明书，本发明的前述以及其它特征将变得明显。在说明书和附图中，具体公开了本发明的特定实施方式，其表明了其中可以采用本发明的原则的部分实施方式，应了解的是，本发明不限于所描述的实施方式，相反，本发明包括落入所附权利要求的范围内的全部修改、变型以及等同物。

本领域技术技术人员知道，本发明的实施方式可以实现为一种系统、装置、设备、方法或计算机程序产品。因此，本公开可以具体实现为以下形式，即：完全的硬件、完全的软件(包括固件、驻留软件、微代码等)，或者硬件和软件结合的形式。

下面参考本发明的若干代表性实施方式，详细阐释本发明的原理和精神。

图1为本发明实施例的智能安全芯片的结构示意图。如图1所示，其包括：中央控制模块1，以及与所述中央控制模块1相连接的通讯模块2、身份认证模块3、秘钥模块4、电子印章模块5。

所述通讯模块2，用于实现与用户和外部服务器的通讯；

所述身份认证模块3，用于存储身份信息，并利用存储的身份信息对用户输入的身份信息进行认证，认证通过后，对用户进行授权；

所述电子印章模块5，用于存储电子印章信息，并在接收到批准用户使用电子印章的指令后，调取电子印章提供给用户使用；

所述秘钥模块4，用于存储银行系统和/或政府系统授权的证书和密钥；

所述中央处理模块1，用于接收输入并控制其他模块的操作，所述接收输入并控制其他模块的操作包括当所述电子印章模块5调取电子印章时，调用所述秘钥进行安全验证。

本发明实施例的智能安全芯片，电子印章保存在企业自己的智能安全芯片中，实现了去中心化，保证了用章安全；并且，芯片中包括的秘钥模块存储了各种银行系统和政府系统的证书和秘钥，当需要使用电子印章时，可以调用多个秘钥进行安全验证，安全验证通过后才允许调用电子印章，这样除了调取电子印章本身的身份验证，还要通过其他银行系统、政府系统等的安全认证，增强了电子印章的使用的安全性。

在本实施例中，智能安全芯片中存储的秘钥为至少一个，调用所述秘钥进行安全验证包括：所述中央处理模块接收选择信号，根据所述选择信号选择所述秘钥中的部分或者全部进行安全验证。具体地，在调用电子印章时，用户可以选择智能安全芯片中所储存的秘钥中的部分或者全部进行安全验证。

在本实施例中，不同的秘钥的安全验证方式可以相同，也可以不同，例如可采用密码验证的方式，也可采用生物特征信息的验证方式等，或者其结合的方式。例如，可将全部的秘钥的验证方式都设置为生物特征验证方式，例如指纹验证，刷一次指纹即可完成多个秘钥的安全验证，在保证安全的同时，提高了操作的便捷性。

所述秘钥包括中国或者其他国家、地区的政府、企业、组织、机构的秘钥；例如，可以包括中国、美国、欧洲、日本、韩国等政府、企业、组织、机构出具的秘钥。此外，所述秘钥采用相同或者不同的语言，例如，英语、汉语、日语等，可以通过语言转换模块将不同语言的秘钥转换成统一的语言，以便于操作。

在本实施例中，中央处理模块1可以包括微处理器或其他处理器装置和/或逻辑装置，并且，中央处理模块1接收用户的输入指令(例如为通讯模块2接收的用户输入的各项指令)并控制其他各个模块的操作。

在本实施例中，通讯模块2用于接收用户输入的身份信息和请求指令。当用户为个人用户时，用户输入的身份信息包括用户输入的生物特征信息、网络身份信息或者两者的组合，所述生物特征包括用户输入的指纹信息、虹膜信息以及面部识别信息等，这些信息的输入可通过外部的指纹识别仪、摄像头和面部识别仪器来实现。用户输入的网络身份信息包括个人用户的身份证号、手机号或者用户id等。用户输入的请求指令，例如可以是用户的用章请求或者用户的查询请求等。

另外，通讯模块2还用于实现与外部服务器的通讯。具体实施时，外部服务器包括银行服务器、工商服务器、公安服务器、税务服务器以及其他云服务器(例如用户档案编码服务器)等。通讯模块2可以直接与这些服务器通讯，也可以通过云平台服务器实现与外部服务器的通讯。具体实施时，通讯模块2可以包括3g通讯模块、4g通讯模块、5g通讯模块、wifi模块、nblot模块、量子通信模块、蓝牙、nfc等，利用cdma、tdscdma、cdma2000、fdd-lte、tdd-lte等通讯模式实现与外部的信息交互。本实施例的通讯模块2支持互联网协议第四版(internetprotocolversion4，简称ipv4)和互联网协议第六版(internetprotocolversion6，简称ipv6)。

在本发明实施例中，身份认证模块4用于对用户输入的身份信息进行认证，如图3所示，其包括个人身份认证单元41和企业身份认证单元42。

所述个人身份认证单元41，用于存储个人用户的身份信息，所述个人用户的身份信息包括个人用户的生物特征信息、身份证信息、电话号码信息、私章信息、银行卡信息、社保信息、公积金信息以及个人照片信息，并且，将用户输入的个人信息和存储的个人用户的身份信息进行比对，实现对个人用户的身份的认证；

所述企业身份认证单元42，用于存储企业用户的身份信息，所述企业用户的身份信息包括工商营业执照信息、公章信息、法人信息、银行账户信息、纳税信息、财务信息和社保信息，并且，将用户输入的企业信息和存储的企业用户的身份信息进行比对，实现对企业用户的身份的认证。

在本实施例中，通过用户输入的生物特征或/和个人身份信息对个人用户的身份进行验证，所述生物特征包括指纹、虹膜以及面部识别等，所述网络身份信息包括个人用户的身份证信息、电话号码信息、私章信息、银行卡信息、社保信息、公积金信息以及个人照片信息等。

在本实施例中，通过用户输入的企业身份信息对企业用户的身份进行验证，用户输入的企业身份信息包括工商营业执照信息、公章信息、法人信息、银行账户信息、纳税信息、财务信息和社保信息等。

图2示出了本发明另一实施例的智能安全芯片，还包括物理印章模块6和用户档案编码模块7，所述物理印章模块6，用于存储物理印章信息，并在接收到批准用户使用物理印章的指令后，控制物理印章动作，提供物理印章给用户使用；所述用户档案编码模块7，用于接收用户输入的用户档案编码信息，并根据所述用户档案编码信息从外部云端服务器中调取对应的用户信息。

需要说明的是，在本发明实施例中，用户档案编码模块7用于接收用户输入的用户档案编码信息，并根据所述用户档案编码信息从外部云端服务器中调取对应的用户信息。其中，用户档案编码包括个人用户档案编码和企业用户档案编码。对于企业用户编码来讲，企业编码可以是存储了公司名称、营业执照信息和统一社会信用代码等信息的n位代码，其作为企业的唯一编码，通过编码可以调取企业基本信息。其中，n可以为8或者任意位数，组合方式为数字、字母等多种方式组合。用户档案编码对于个人用户，其编码规则可以与企业编码规则相同或者不同。

用户如果输入的是用户档案编码信息，而通过用户档案编码模块7直接调取的用户信息(包括个人用户信息和企业用户信息)均可认为是已经获取认证授权的用户，无需在进行身份认证。如此一来，可节省计算机资源，提高了处理效率，并且由于企业编码模块可以从外部的云端服务器中直接获取详细的企业用户信息，节省了人为输入较为复杂的企业用户信息的时间。

本领域技术人员可以理解的是，个人用户的身份信息(包括指纹数据库、虹膜数据库、面部特征数据库、个人信息数据库等)可以存储在个人身份认证单元41中，企业用户的身份信息可以存储在企业身份认证单元42中，当然，这些数据库也可以存储在智能安全芯片包含的单独的存储模块中，或是存储在外部的云端服务器中。存储在本地数据库的有益效果是，无需与外部服务器交互，节省了计算机资源，并提高了处理效率。智能芯片中存储的个人用户信息的数量可以为一个，也可以为多个个人用户信息。

在本实施例中，如图4所示，秘钥模块3中存储银行系统和/或政府系统授权的证书和密钥(例如银行秘钥、工商秘钥、税务秘钥、公安秘钥、社保秘钥、公积金秘钥等)以及电子印章的证书等。电子印章包括章模(印章图片)以及证书，证书可以存储在秘钥模块3里面，使用的时候从秘钥模块3里调用，或者也可以直接将电子印章的证书储存在电子印章模块5内。将电子印章的证书存储在秘钥模块3中，可以增加电子印章使用的安全性。

在本发明实施例中，所述秘钥模块3可以为1个，其内存储多个秘钥，包括银行秘钥、工商秘钥、税务秘钥、公安秘钥、社保秘钥、公积金秘钥等；或者，所述秘钥模块可以为多个，分别存储银行秘钥、工商秘钥、税务秘钥、公安秘钥、社保秘钥、公积金秘钥等。例如，可以将银行秘钥存储在一秘钥模块中，将剩余的属于政府秘钥的工商秘钥、税务秘钥、公安秘钥、社保秘钥、公积金秘钥存储在另一秘钥模块中。

并且，当进行业务办理需要认证时，将所办业务对应秘钥与其他一个或多个秘钥进行交叉验证。交叉认证就是例如办理公安业务时，不需要都在公安的服务器对所有的资料进行重新的验证，在需要认证时，可通过查看以前的工商、税务、社保等其他服务器的审批过程，只要材料之前经过其他服务器的审批并核实为真，则在公安服务器处可不再重复进行认证的过程。另外，交叉认证的方式还可以包括在办理一项业务时，调用两个以上的秘钥进行身份认证，例如：当办理银行业务时，不但调用对应的银行秘钥进行验证，还调用工商秘钥进行同时验证，增强了业务办理的安全性。同理，去工商办事，可以增加身份识别和银行信息的比对，以增强安全性。同时，可以设定不同密钥的调用顺序，以保证更高的安全等级。

在本发明实施例中，在收到用户的用章请求后，为了增强用章的安全性，所述电子印章模块5与所述物理印章模块6还可以进行相互验证，即将电子印章的章模图像与所述物理印章的章模图像进行比对，如果一致，则验证通过。其中，物理章的章模和电子章的章模都是通过公安部网上的社会信用代码的章模编写软件生成的。

另一实施例中，所述电子印章模块5中存储的电子印章信息包括电子印章的章模、印章编号、使用单位编号、使用单位名称、法人姓名、法人编号；所述物理印章模块6中存储的物理印章信息包括物理印章的章模、印章编号、使用单位编号、使用单位名称、法人姓名、法人编号、印章名称、制作单位编码、制作单位名称、印章类型、材料、制作时间。

在接收到批准用户使用印章的指令后，根据所述电子印章模块5和所述物理印章模块6中分别包含的章模、印章编号、使用单位编号、使用单位名称、法人姓名、法人编号，通过哈希算法，分别生成所述电子印章的编码和物理印章的编码，将得到的编码进行比对，如果相同，则验证通过，授权用户可以用章。

通过上述电子印章模块5与所述物理印章模块6的相互验证，一方面增强了用章的安全性，一方面也防止了可能发生的小概率的用章失误。

在另一实施例中，如图5所示，智能安全芯片还包括有存储模块8，用于存储电子印章、物理印章和秘钥的使用信息；所述使用信息包括请求使用人信息、使用时间、使用地点等。如图6所示，该存储模块8中除了存储电子印章和物理印章的使用信息外，还可以存储已认证的个人用户信息和企业用户信息等。如此一来，一方面提高了数据传输处理的速度，另一方面也保证了去中心化，提高了用章安全性。

在本发明另一实施例中，智能安全芯片还可以包括定位模块，用于在使用电子印章或物理印章时，生成实时定位信息并进行存储。也就是说，在用章的同时进行实时定位，在生成的用章使用信息中包含了用章地点这一要素，便于后续的追踪查询。当然，定位模块并不是必须的，实时定位信息也可以通过通讯模块2从外部服务器或者外部定位模块中直接获取。

请参阅图7，本申请还提供一种智能安全芯片，包括：存储器a和处理器b，所述存储器a中存储计算机程序，所述计算机程序被所述处理器b执行时，实现以下功能：

获取用户输入的身份信息；

利用存储的身份信息对用户输入的身份信息进行认证，认证通过后，对用户进行授权；

在用户授权通过且接收到批准用户使用印章的指令后，调取存储的电子印章提供给用户使用，并且当调取电子印章时，调用存储的秘钥进行安全验证。

在本实施例中，调用存储的秘钥进行安全验证包括：所述中央处理模块接收选择信号，根据所述选择信号选择存储的秘钥中的部分或者全部进行安全验证。具体地，在调用电子印章时，用户可以选择智能安全芯片中所储存的秘钥中的部分或者全部进行安全验证。

在本实施例中，不同的秘钥的安全验证方式可以相同，也可以不同，例如可采用密码验证的方式，也可采用生物特征信息的验证方式等，或者其结合的方式。例如，可将全部的秘钥的验证方式都设置为生物特征验证方式，例如指纹验证，刷一次指纹即可完成多个秘钥的安全验证，在保证安全的同时，提高了操作的便捷性。

在本实施例中，利用存储的身份信息对用户输入的身份信息进行认证，认证通过后，对用户进行授权，所述计算机程序被所述处理器执行时，实现以下功能：

存储的个人用户的身份信息包括个人用户的生物特征信息、身份证信息、电话号码信息、私章信息、银行卡信息、社保信息、公积金信息以及个人照片信息，将用户输入的个人信息和存储的个人用户的身份信息进行比对，实现对个人用户的身份的认证；

存储的企业用户的身份信息包括工商营业执照信息、公章信息、法人信息、银行账户信息、纳税信息、财务信息和社保信息，将用户输入的企业信息和存储的企业用户的身份信息进行比对，实现对企业用户的身份的认证。

在本实施例中，智能安全芯片还包括电子印章模块和物理印章模块，电子印章模块中存储有电子印章的章模图像，物理印章模块中存储有物理印章的章模图像，电子印章模块和物理印章模块可以是单独的模块，也可以是存储器的一部分；所述计算机程序被所述处理器执行时，还实现以下功能：

在接收到批准用户用章的指令后，将所述电子印章模块中的电子印章的章模图像与所述物理印章模块中的物理印章的章模图像进行比对，如果一致，则验证通过，授权用户可以用章。

在本实施例中，所述计算机程序被所述处理器执行时，还实现以下功能：

所述电子印章模块存储有电子印章的章模、印章编号、使用单位编号、使用单位名称、法人姓名、法人编号；

所述物理印章模块存储有物理印章的章模、印章编号、使用单位编号、使用单位名称、法人姓名、法人编号、印章名称、制作单位编码、制作单位名称、印章类型、材料、制作时间；

在接收到批准用户使用印章的指令后，根据所述电子印章模块和所述物理印章模块中分别包含的章模、印章编号、使用单位编号、使用单位名称、法人姓名、法人编号，通过哈希算法，分别生成所述电子印章的编码和物理印章的编码，将得到的编码进行比对，如果相同，则验证通过，授权用户可以用章。

在本实施例中，所述计算机程序被所述处理器执行时，还实现以下功能：

将电子印章、物理印章和秘钥的使用信息存储到所述存储器中；

所述电子印章和物理印章的使用信息包括请求使用人信息、使用时间和使用地点。

在本实施例中，所述计算机程序被所述处理器执行时，还实现以下功能：

存储多个秘钥，包括银行秘钥、工商秘钥、税务秘钥、公安秘钥、社保秘钥、公积金秘钥；

当进行业务办理需要认证时，将所办业务对应秘钥与其他一个或多个秘钥进行交叉验证。

在本实施例中，只允许通过加密的读写卡工具修改所述芯片中的存储器中的程序，以防止被恶意篡改，确保芯片具有最高的安全等级。

本发明实施例所公开的智能安全芯片，电子印章保存在企业自己手中，实现了去中心化，保证了用章安全；并且，芯片中包括的秘钥模块存储了各种银行系统和政府系统的授权证书，当进行认证时，可以调用多个秘钥进行交叉验证；当需要使用电子印章时，可以调用多个秘钥进行安全验证，增强了电子印章的使用的安全性。

本发明实施例所公开的智能安全芯片，可应用于智能印章领域，与物理印章相结合，实现物理电子一体化的智能印章，同时还可以存储一个或多个秘钥，用于处理工商、公安、银行、税务、公积金、社保等业务。此外，本发明实施例所公开的智能安全芯片，还可应用于用户终端，如手机，便携式电脑等，通过智能安全芯片，用户终端可以实现电子签章，以及办理工商、公安、银行、税务、公积金、社保等业务，还能实现安全的移动支付等功能。

本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。

本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

本发明中应用了具体实施例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本发明的限制。