專利名稱：智能卡仿真系統(tǒng)的制作方法
技術(shù)領(lǐng)域：
本實用新型涉及一種由非智能卡設(shè)備構(gòu)成的信息安全設(shè)備，具體來說是一種智能卡仿真系統(tǒng)。
技術(shù)背景伴隨著金卡工程的啟動，帶有嵌入式微控制器的智能卡正在各個領(lǐng)域得到迅速的應(yīng)用。包括移動通信，金融，交通等等領(lǐng)域。全球?qū)τ谥悄芸ㄐ酒男枨蟊３謴?qiáng)勢，一些智能卡廠家報告芯片交付已經(jīng)出現(xiàn)了拖延現(xiàn)象，同時近幾年芯片價格也在迅速上漲。
PC/SC規(guī)范是由微軟公司與世界其它著名的智能卡廠商組成的PC/SC工作組提出的。PC/SC規(guī)范是一個基于WINDOWS平臺的標(biāo)準(zhǔn)用戶接口(API)，提供了一個從個人電腦(Personal Computer)到智能卡(SmartCard)的整合環(huán)境，雖然到目前為止，WINDOWS是唯一支持PC/SC標(biāo)準(zhǔn)的操作系統(tǒng)平臺，但由于WINDOWS的影響力，PC/SC規(guī)范也為智能卡業(yè)界所接受。
PC/SC規(guī)范建立在工業(yè)標(biāo)準(zhǔn)ISO7816和EMV標(biāo)準(zhǔn)的基礎(chǔ)上，但它對底層的設(shè)備接口和獨立于設(shè)備的應(yīng)用API接口(例如用來允許多個應(yīng)用共享使用系統(tǒng)同一張智能卡的資源管理器)做了更詳盡的補(bǔ)充。PC/SC體系由三個主要部件組成，分別規(guī)定了操作系統(tǒng)廠商、讀寫器(IFD)廠商、智能卡(ICC)廠商的職責(zé)。其中操作系統(tǒng)廠商提供資源管理器以及服務(wù)，而讀寫器廠商提供讀寫器驅(qū)動等。人們可以通過對讀寫器驅(qū)動的開發(fā)來滿足不同的使用要求。
智能卡在使用的過程中，需要通過讀卡器來讀寫和處理智能卡芯片內(nèi)的信息，因此對于多數(shù)智能卡的開發(fā)者來說，智能卡及讀卡器硬件和軟件開發(fā)技術(shù)都很專業(yè)，開發(fā)周期也比較長。因此，如何使得開發(fā)人員無需了解復(fù)雜的智能卡硬件和智能卡專用的技術(shù)，就可以進(jìn)行智能卡應(yīng)用的開發(fā)是很多人追逐的一個方向。
實用新型內(nèi)容本實用新型解決上述技術(shù)問題，提供一種結(jié)構(gòu)簡單、并能夠減少開發(fā)時間和降低開發(fā)難度的智能卡仿真系統(tǒng)。
本實用新型解決其技術(shù)問題所采取的技術(shù)方案是一種智能卡仿真系統(tǒng)，包括用于運行固件程序和用戶程序的微處理單元；用于實現(xiàn)通信協(xié)議解析的接口單元；用于存儲設(shè)備固件程序和數(shù)據(jù)、狀態(tài)信息的安全存儲單元；所述微處理單元分別與所述接口單元和安全存儲單元相連，構(gòu)成智能卡仿真設(shè)備；還包括用于實現(xiàn)智能卡仿真以及與主機(jī)的數(shù)據(jù)通信和數(shù)據(jù)轉(zhuǎn)換的智能卡模塊；所述微處理單元通過所述接口單元與所述智能卡模塊相連。
所述微處理單元可為包括CPU、MCU或單片機(jī)的微處理器。
所述微處理單元可與所述安全存儲單元集成在一個高性能微處理器中，所述高性能微處理器包括MCU或單片機(jī)。
所述微處理單元可與所述安全存儲單元、所述接口單元集成在一個高性能微處理器中，所述高性能微處理器包括MCU或單片機(jī)。
所述安全存儲單元可為包括RAM、ROM、EPROM、EEPROM或FLASH的存儲器。
所述智能卡模塊設(shè)置在與所述智能卡仿真設(shè)備相連的主機(jī)中。
本實用新型由微處理單元分別與接口單元和安全存儲單元相連，構(gòu)成智能卡仿真設(shè)備，并通過接口單元與智能卡模塊相連，所述智能卡模塊用于實現(xiàn)智能卡仿真設(shè)備與主機(jī)的數(shù)據(jù)通信和數(shù)據(jù)轉(zhuǎn)換，從而由所述智能卡模塊模擬一個智能卡設(shè)備的存在，并由智能卡模塊完成解析數(shù)據(jù)包組織數(shù)據(jù)包等功能，按照設(shè)備能夠識別的命令形式傳送命令給所述智能卡仿真設(shè)備，所述智能卡仿真設(shè)備接收數(shù)據(jù)，進(jìn)行數(shù)據(jù)處理，從而使開發(fā)人員不需要掌握智能卡開發(fā)的軟硬件的專業(yè)技術(shù)就可以開發(fā)相關(guān)的智能卡應(yīng)用，而且能夠節(jié)約成本，縮短開發(fā)周期。


圖1為本實用新型的工作流程圖圖2為本實用新型中實施例1的原理框圖圖3為本實用新型中實施例2的原理框圖圖4為本實用新型中實施例3的原理框圖具體實施方式
本實用新型中實施例1如圖2所示，由一個集成了接口單元、擴(kuò)展存儲單元和微處理單元的嵌入式控制器MCU芯片203構(gòu)成智能卡仿真設(shè)備202，所述MCU芯片203通過USB接口與主機(jī)201建立通信，所述主機(jī)201中設(shè)置有智能卡模塊204并與所述MCU芯片203建立通信。
實施例2如圖3中所示，由集成了存儲單元的嵌入式控制器MCU芯片304和USB接口芯片303連接構(gòu)成智能卡仿真設(shè)備302，并通過所述USB接口芯片303與所述主機(jī)301實現(xiàn)通信，所述主機(jī)301中設(shè)置有智能卡模塊305，并經(jīng)過所述USB接口芯片303與所述MCU芯片304建立通信。
實施例3如圖4中所示，由USB接口芯片403、中央微處理器CPU404和擴(kuò)展存儲器405順次連接構(gòu)成智能卡仿真設(shè)備402，并由所述USB接口芯片403與主機(jī)401相連實現(xiàn)通信，所述主機(jī)401中設(shè)置有智能卡模塊406，并經(jīng)過所述USB接口芯片403與所述CPU404建立通信。
所述智能卡仿真設(shè)備即為仿真了智能卡設(shè)備的信息安全設(shè)備，其中所述擴(kuò)展存儲器也可以選用任意的RAM、ROM、EPROM、EEPROM、FLASH等，用于存儲相應(yīng)的加密算法。所述存儲器應(yīng)該有足夠的存儲空間，用于存儲預(yù)置的加密算法，或者可以由用戶選擇或者下載算法，如果需要存儲部分用戶代碼的話需要有足夠大的存儲空間。
基于上述結(jié)構(gòu)，通過一個位于主機(jī)端的智能卡模塊輔助上述智能卡仿真設(shè)備共同實現(xiàn)智能卡的仿真。所述智能卡模塊為PC/SC體系中開發(fā)的設(shè)備驅(qū)動部分，實現(xiàn)將物理設(shè)備和PC/SC的其他部分連接，處理智能卡通信過程中的所有情況。該智能卡模塊模擬一個智能卡設(shè)備的存在，在設(shè)備連接的時候發(fā)送連接請求到物理設(shè)備(即所述智能卡仿真設(shè)備)，在IO通信的時候建立和物理設(shè)備的連接。所述智能卡仿真設(shè)備負(fù)責(zé)將設(shè)備的插拔狀態(tài)報告給所述智能卡模塊，智能卡模塊通過響應(yīng)主機(jī)應(yīng)用程序的請求向主機(jī)申明有智能卡設(shè)備插拔。智能卡服務(wù)請求連接智能卡仿真設(shè)備時，由智能卡模塊將來自物理硬件設(shè)備的“ATR”字符串返回，由這個字符串模擬普通智能卡的信息，代替本應(yīng)該是智能卡返回的ATR。主機(jī)端的應(yīng)用和智能卡仿真設(shè)備之間通過智能卡專用接口函數(shù)傳輸APDU命令。硬件設(shè)備內(nèi)部以文件和目錄的形式管理，提供加密服務(wù)，以及不同的安全訪問級別。
固件程序完成的通信過程包括，來自主機(jī)應(yīng)用的請求通過位于主機(jī)端的智能卡模塊發(fā)送給設(shè)備端，智能卡模塊完成解析數(shù)據(jù)包、組織數(shù)據(jù)包等功能，按照設(shè)備能夠識別的命令形式傳送命令給所述智能卡仿真設(shè)備，所述智能卡仿真設(shè)備接收數(shù)據(jù)，進(jìn)行數(shù)據(jù)處理，比如存儲、加解密，可能是文件管理，或者數(shù)據(jù)讀寫操作，處理完畢之后，將數(shù)據(jù)發(fā)送給智能卡模塊，智能卡模塊對數(shù)據(jù)進(jìn)行處理，將結(jié)果返回給主機(jī)端。當(dāng)用戶使用某項需要身份認(rèn)證的服務(wù)的時候，智能卡模塊將虛擬設(shè)備和真實的物理設(shè)備建立連接，讀出設(shè)備中的“ATR”信息，設(shè)備等待來自應(yīng)用的請求。整個設(shè)備端的身份認(rèn)證過程如下邊的描述。在認(rèn)證的過程中，智能卡模塊傳輸應(yīng)用的請求到設(shè)備，并且返回設(shè)備的應(yīng)答數(shù)據(jù)給PC/SC系統(tǒng)，由PC/SC系統(tǒng)做出對應(yīng)用的響應(yīng)。由于PC/SC和智能卡模塊部分緊密的配合，使得從應(yīng)用看來物理設(shè)備端就是一個智能卡設(shè)備。事實上，設(shè)備端只是一個能夠響應(yīng)智能卡模塊部分的各種請求的非智能卡設(shè)備。在設(shè)備完成通信需要移除的時候，智能卡模塊將設(shè)備發(fā)出的插拔報告反饋給應(yīng)用，完成智能卡移除的狀態(tài)報告。
所述智能卡仿真設(shè)備和主機(jī)的通信具體如圖1中所示。智能仿真設(shè)備實現(xiàn)身份認(rèn)證的功能。
圖1中步驟101為主機(jī)對身份識別設(shè)備完成了初始化，步驟102中由身份識別設(shè)備獲得用戶輸入的口令A(yù)，步驟103中身份識別設(shè)備從存儲區(qū)中讀出口令并經(jīng)過特定的處理得到B，步驟104中將A和B進(jìn)行比較，不同則身份認(rèn)證失敗，轉(zhuǎn)到步驟111，身份識別設(shè)備向主機(jī)端返回當(dāng)前狀態(tài)并且等待智能卡模塊的指示，相同則由身份識別設(shè)備分配一定的權(quán)限給用戶，所述該權(quán)限同用戶的密碼等級相關(guān)聯(lián)，用戶可以進(jìn)行授權(quán)身份允許范圍內(nèi)的應(yīng)用端操作，即身份識別設(shè)備接收來自應(yīng)用的命令如步驟105，對命令進(jìn)行解析處理如步驟106數(shù)據(jù)加密處理和步驟107用預(yù)置代碼運算數(shù)據(jù)，然后返回給應(yīng)用，然后執(zhí)行步驟108繼續(xù)等待來自應(yīng)用的命令。在應(yīng)用沒有合法響應(yīng)的情況下轉(zhuǎn)到步驟111，否則接收應(yīng)用層的命令，如果通過步驟109判斷指示通信結(jié)束，則到步驟110斷開連接正常結(jié)束本次通信過程，否則轉(zhuǎn)到步驟105繼續(xù)執(zhí)行。步驟102、步驟103、步驟104三個步驟也可以改為直接從身份識別設(shè)備中讀取密碼，由主機(jī)端判定密碼是否正確。上述過程能夠?qū)崿F(xiàn)如下功能1.控制訪問網(wǎng)絡(luò)通過身份識別設(shè)備中含有的ID信息和用戶驗證信息，用于登錄網(wǎng)絡(luò)。
2.用于驗證和鑒別文件的發(fā)送者身份的數(shù)字簽名或證明，并防止其被中途篡改。
3.存儲密碼信息，儲存用戶密碼信息，通過將所述智能卡仿真設(shè)備中包含的密碼信息發(fā)送給主機(jī)用來識別設(shè)備持有人身份，防止用戶手動輸入密碼時帶來的風(fēng)險。
4.遠(yuǎn)程登錄，銀行的網(wǎng)站可以利用簽名信息來識別用戶的合法性。
5.控制文件的訪問，可以在一些文件中加入訪問控制信息，可以防止在身份識別設(shè)備丟失的情況下非法訪問或運行。
6.控制登錄到特定的應(yīng)用系統(tǒng)，開發(fā)商可以將此功能用于自己的產(chǎn)品，該產(chǎn)品可以利用本實用新型裝置來進(jìn)行登錄。
所述步驟107的預(yù)置代碼中還包括身份識別設(shè)備應(yīng)用接口函數(shù)，身份識別設(shè)備應(yīng)用接口函數(shù)是身份識別設(shè)備和第3方應(yīng)用之間的接口級，這個應(yīng)用接口函數(shù)主要由開發(fā)商使用，所述應(yīng)用接口函數(shù)主要提供如下功能1.打開設(shè)備打開該設(shè)備的句柄，建立與該設(shè)備的通訊通道。
2.關(guān)閉設(shè)備在設(shè)備準(zhǔn)備不再使用的時候，將該設(shè)備的句柄和設(shè)備狀態(tài)信息清除。
3.發(fā)送命令這個是身份識別設(shè)備的核心部分，實現(xiàn)對本裝置的所有設(shè)置工作，即所有本身份識別設(shè)備的智能卡功能的實現(xiàn)。
用作數(shù)字身份識別的所述智能卡仿真設(shè)備的主要作用是保護(hù)重要的敏感數(shù)據(jù)永遠(yuǎn)都不會被讀出身份識別設(shè)備之外，如讀到主機(jī)的內(nèi)存中，這樣所帶來的好處是1.用戶可以不必記憶冗長的密碼，安全的密碼一定由字母和數(shù)字組成足夠復(fù)雜的字符串，而且是時常更新的，用身份識別設(shè)備來存儲密碼信息可以免去用戶的麻煩。
2.提供雙因子認(rèn)證的保險措施，即使用戶的密碼或數(shù)字身份識別設(shè)備的一方丟失，都不會給用戶帶來風(fēng)險。
3.密鑰不可導(dǎo)出，保證了用戶密鑰的安全。
4.加密算法內(nèi)置。
本實用新型中的所述智能卡仿真設(shè)備能夠支持三級文件管理并分別設(shè)有不同的管理權(quán)限，包含兩級目錄結(jié)構(gòu)。硬件部分實現(xiàn)HMAC-MD5算法以及隨機(jī)數(shù)生成，用來做認(rèn)證以及數(shù)據(jù)的加擾等。具體來說，所述微處理單元有一個內(nèi)置的文件系統(tǒng)，可以通過API庫進(jìn)行完整的控制。文件的大小在創(chuàng)建時可以設(shè)定，文件可以刪除，也可以通過創(chuàng)建同名文件的方式修改文件的大小?？梢酝ㄟ^目錄ID和文件ID來訪問文件系統(tǒng)，這一特點和真正的智能卡系統(tǒng)一致。
存儲和運行在本實用新型中的各個文件有不同的安全等級，可以通過屬性來控制對他們的訪問。安全狀態(tài)包括超級用戶、普通用戶和匿名用戶。各個不同屬性的文件授權(quán)給不同的安全等級的用戶使用，并且使用狀態(tài)受到屬性控制。硬件設(shè)備提供加密服務(wù)，包括隨機(jī)數(shù)產(chǎn)生器，MD5算法，HMAC-MD5等。
本實用新型通過采用非智能卡設(shè)備來仿真智能卡，帶來的好處是，開發(fā)人員不需要掌握智能卡開發(fā)的軟硬件的專業(yè)技術(shù)就可以開發(fā)相關(guān)的智能卡應(yīng)用，而且能夠節(jié)約成本，縮短開發(fā)周期。
以上對本實用新型所提供的智能卡仿真系統(tǒng)進(jìn)行了詳細(xì)介紹，本文中應(yīng)用了具體個例對本實用新型的原理及實施方式進(jìn)行了闡述，以上實施例的說明只是用于幫助理解本實用新型的方法及其核心思想；同時，對于本領(lǐng)域的一般技術(shù)人員，依據(jù)本實用新型的思想，在具體實施方式
及應(yīng)用范圍上均會有改變之處，綜上所述，本說明書內(nèi)容不應(yīng)理解為對本實用新型的限制。
權(quán)利要求1.一種智能卡仿真系統(tǒng)，其特征在于包括用于運行固件程序和用戶程序的微處理單元；用于實現(xiàn)通信協(xié)議解析的接口單元；用于存儲設(shè)備固件程序和數(shù)據(jù)、狀態(tài)信息的安全存儲單元；所述微處理單元分別與所述接口單元和安全存儲單元相連，構(gòu)成智能卡仿真設(shè)備；還包括用于實現(xiàn)智能卡仿真以及與主機(jī)的數(shù)據(jù)通信和數(shù)據(jù)轉(zhuǎn)換的智能卡模塊；所述微處理單元通過所述接口單元與所述智能卡模塊相連。
2.根據(jù)權(quán)利要求1所述的智能卡仿真系統(tǒng)，其特征在于所述微處理單元為包括CPU、MCU或單片機(jī)的微處理器。
3.根據(jù)權(quán)利要求1所述的智能卡仿真系統(tǒng)，其特征在于所述微處理單元與所述安全存儲單元集成在一個高性能微處理器中，所述高性能微處理器包括MCU或單片機(jī)。
4.根據(jù)權(quán)利要求1所述的智能卡仿真系統(tǒng)，其特征在于所述微處理單元與所述安全存儲單元、所述接口單元集成在一個高性能微處理器中，所述高性能微處理器包括MCU或單片機(jī)。
5.根據(jù)權(quán)利要求1～4中任一項所述的智能卡仿真系統(tǒng)，其特征在于所述安全存儲單元為包括RAM、ROM、EPROM、EEPROM或FLASH的存儲器。
6.根據(jù)權(quán)利要求1～4中任一項所述的智能卡仿真系統(tǒng)，其特征在于所述智能卡模塊設(shè)置在與所述智能卡仿真設(shè)備相連的主機(jī)中。
專利摘要本實用新型涉及一種由非智能卡設(shè)備構(gòu)成的信息安全設(shè)備，具體來說是一種智能卡仿真系統(tǒng)。本實用新型由微處理單元分別與接口單元和安全存儲單元相連，構(gòu)成智能卡仿真設(shè)備，并通過接口單元與智能卡模塊相連，所述智能卡模塊用于實現(xiàn)智能卡仿真設(shè)備與主機(jī)的數(shù)據(jù)通信和數(shù)據(jù)轉(zhuǎn)換，從而由所述智能卡模塊模擬一個智能卡設(shè)備的存在，并由智能卡模塊完成解析數(shù)據(jù)包、組織數(shù)據(jù)包等功能，按照設(shè)備能夠識別的命令形式傳送命令給所述智能卡仿真設(shè)備，所述智能卡仿真設(shè)備接收數(shù)據(jù)，進(jìn)行數(shù)據(jù)處理，從而使開發(fā)人員不需要掌握智能卡開發(fā)的軟硬件的專業(yè)技術(shù)就可以開發(fā)相關(guān)的智能卡應(yīng)用，而且能夠節(jié)約成本，縮短開發(fā)周期。
文檔編號G06F11/00GK2929828SQ200620119058
公開日2007年8月1日 申請日期2006年7月27日 優(yōu)先權(quán)日2006年7月27日
發(fā)明者陸舟, 于華章 申請人:北京飛天誠信科技有限公司