專利名稱:遠程實現(xiàn)ic卡業(yè)務控制的方法及系統(tǒng)和ic卡讀寫器的制作方法
技術領域:
本發(fā)明涉及電子應用領域,尤其涉及一種遠程實現(xiàn)IC卡業(yè)務控制的方法及 系統(tǒng)和IC卡讀寫器���。
背景技術:
集成電路(IC)卡具有存儲容量大�����、安全性高�、才喿作速度快����、使用壽命長等 基本特點,在各種行業(yè)得到廣泛應用���。IC卡讀寫器作為對IC卡操作的必^^i殳備�, 按照一定的協(xié)議,與IC卡建立通信關系��,對IC卡進行讀寫才喿作��。目前IC卡讀 寫器主要采用兩種方式實現(xiàn)IC卡的讀寫操作第一種是通過IC卡讀寫器提供 IC卡操作指令���,安裝在本地計算機或控制器上的本地應用軟件通過IC卡讀寫器 的通訊接口與IC卡讀寫器進行連接通訊并通過編程接口(API)調(diào)用IC卡操作指 令來完成各種操作功能����。在這種應用模式下��,應用軟件負責實現(xiàn)所有業(yè)務邏輯����。 如果業(yè)務邏輯發(fā)生變化���,必須升級應用軟件��,重新完成應用軟件的開發(fā)和部署 工作���。采用這種模式的設備主要包括各種與計算機或控制器連接的IC卡讀寫器。 第二種是,該IC卡讀寫器除了完成IC卡操作外,還負責實現(xiàn)所有業(yè)務邏輯��。在 這種應用模式下��,IC卡讀寫器可獨立完成各種業(yè)務功能���。如果業(yè)務邏輯發(fā)生變 化����,必須升級IC卡讀寫器的固件����,重新完成固件的開發(fā)和下載工作。采用這種 模式的設備主要包括公共交通車載收費機�����、停車咪表等��,操作過程中不需要計 算機或控制器進行控制���。
但現(xiàn)有的業(yè)務邏輯處理流程由本地應用軟件或IC卡讀寫器內(nèi)部固件實現(xiàn)���, 當業(yè)務邏輯處理流程做出調(diào)整時,需要對IC卡讀寫器上的應用軟件或讀寫器固 件重新進行開發(fā)設計,也不是很方便IC卡讀寫器上進行升級工作����,這些重新設 計開發(fā)和升級工作都會對ic卡制作商和設計商帶來大量的工作,不方便IC卡
其他相關業(yè)務的展開���,缺乏業(yè)務靈活性�。 發(fā)明內(nèi)容鑒于上述現(xiàn)有技術所存在的問題���,本發(fā)明供了 一種遠程實現(xiàn)IC卡業(yè)務控制 的方法及系統(tǒng)和IC卡讀寫器��,遠程計算機系統(tǒng)和IC卡讀卡器通過對稱密鑰對 業(yè)務數(shù)據(jù)加密進行通過���,從而解決了在面對業(yè)務邏輯改作時,不用對IC卡讀卡
器進行相應的軟件升級或硬件改造等���。
為了解決上述問題�����,本發(fā)明提出了一種遠程實現(xiàn)IC卡業(yè)務控制的方法,包 括如下步驟
摔收遠程計算機系統(tǒng)發(fā)送的遠程IC卡業(yè)務指令���,所述IC卡業(yè)務指令已通 iW"稱密鑰進行了加密����;
對所述遠程IC卡業(yè)務指令進行解密,獲取IC卡操作指令���;
根據(jù)獲取的IC卡操作指令對IC卡進行控制才喿作�����。
相應的�����,本發(fā)明實施例還提出了一種IC卡讀寫器�����,其特征在于�,包括
第一接收單元�,用于接收遠程計算機系統(tǒng)發(fā)送的遠程IC卡業(yè)務指令,所述 IC卡業(yè)務指令已通過對稱密鑰進行了加密�;
解密單元,用于對所述第一接收單元接收的IC卡業(yè)務指令進行解密�,獲取 IC卡操作指令���;
控制單元,用于根據(jù)所述解密單元獲取的IC卡操作指令對IC卡進行控制 操作���。
相應的�,本發(fā)明實施例還提出了一種遠程實現(xiàn)IC卡業(yè)務控制的系統(tǒng)�,所述 系統(tǒng)包括遠程計算機系統(tǒng)和IC卡讀寫器,其中
所述遠程計算機系統(tǒng)與IC卡讀卡器進行遠程IC卡業(yè)務指令的信息交互�����, 且通iW稱密鑰對所述交互的IC卡業(yè)務指令信息進行加密或者解密���;
所述IC卡讀寫器用于與遠程計算機系統(tǒng)進行遠程IC卡業(yè)務指令的信息交 互����,且通過對稱密鑰對所述交互的IC卡業(yè)務指令信息進行加密或者解密���,并在 對所述IC卡業(yè)務指令信息進行解密后獲取IC卡操作指令��;根據(jù)獲取的IC卡操 作指令對IC卡進行控制操作�����。
實施本發(fā)明實施例��,具有如下有益效果通過遠程讀寫器系統(tǒng)提供IC卡操 作指令的遠程執(zhí)行功能��,采用對稱密鑰對交互的數(shù)據(jù)進行加密�,從而保證遠程 通訊的安全性�。這種實現(xiàn)方式由遠程讀寫器系統(tǒng)來實現(xiàn)所有業(yè)務邏輯處理流程, IC卡讀寫器負責執(zhí)行由遠程計算機系統(tǒng)下發(fā)的具體IC卡操作指令�。因此,業(yè)務 邏輯處理流程的調(diào)整或升級只需要在遠程計算機系統(tǒng)中完成����,IC卡讀寫器可自動適應新的業(yè)務邏輯處理流程,可降低開發(fā)�、部署和升級的工作量和復雜度; 而且IC卡讀寫器與具體的業(yè)務類型無關���,不同的遠程計算機系統(tǒng)可實現(xiàn)不同的 業(yè)務功能����,IC卡讀寫器可以通過與不同的遠程計算機系統(tǒng)連接而實現(xiàn)各種不同 的業(yè)務功能,.進一步增強了業(yè)務的靈活性����。
圖L為本發(fā)明實施例中遠程實現(xiàn)IC卡業(yè)務控帝J的系統(tǒng)的結構示意圖�����; 圖2為本發(fā)明實施例中遠程實現(xiàn)IC卡業(yè)務控制的方法流程圖��; 圖3為本發(fā)明實施例中IC讀卡器操作流程圖�����; 圖4為本發(fā)明實施例中IC讀卡器的結構示意圖����。
具體實施例方式
下面將結合本發(fā)明實施例中的附圖��,對本發(fā)明實施例中的技術方案進行清 楚����、完整地描述,顯然����,所描述的實施例僅僅是本發(fā)明一部分實施例,而不是 全部的實施例��?����;诒景l(fā)明中的實施例,本領域普通技術人員在沒有作出創(chuàng)造 性勞動前提下所獲得的所有其他實施例�����,都屬于本發(fā)明保護的范圍���。
圖1示出了本發(fā)明實施例中的遠程實現(xiàn)IC卡業(yè)務控制的系統(tǒng),該系統(tǒng)包括 遠程計算機系統(tǒng)和IC卡讀寫器�,其中IC卡讀寫器和遠程計算機系統(tǒng)之間采取 數(shù)據(jù)加密(對稱密鑰)方式進行通訊,保證遠程通訊的安全性���。具體的�����,該遠 程計算機系統(tǒng)與IC卡讀卡器進行遠程IC卡業(yè)務指令的信息交互����,且通過對稱 密鑰對交互的IC卡業(yè)務指4^f言息進行加密或者解密����;該IC卡讀寫器用于與遠 程計算機系統(tǒng)進行遠程IC卡業(yè)務指令的信息交互�,且通過對稱密鑰對所述交互 的IC卡業(yè)務指4H言息進行加密或者解密���,并在對所述IC卡業(yè)務指令信息進行 解密后獲取IC卡操作指令�;根據(jù)獲取的IC卡操作指令對IC卡進行控制操作����。
在首次通訊交互時,或者滿足某些條件下時��,IC卡讀寫器和遠程計算^L系 統(tǒng)采用基于PKI的認證協(xié)議在兩者間交換對稱密鑰����,IC卡讀寫器和遠程計算機 系統(tǒng)端之間的數(shù)據(jù)通訊釆用對稱密鑰進行加密。對稱密鑰由遠程計算機系統(tǒng)產(chǎn) 生�,通過認證協(xié)議下發(fā)到IC卡讀寫器。IC卡讀寫器將對稱密鑰保存在讀寫器內(nèi) 部可讀寫的存儲區(qū)域����,遠程計算機系統(tǒng)將對稱密鑰保存在內(nèi)存/磁盤文件或者數(shù) 據(jù)庫系統(tǒng)中;對稱密鑰具有一定的生存時限�����,超出時限后必須重新進行基于PKI認證來交換新的對稱密鑰。IC卡讀寫器和遠程計算機系統(tǒng)在數(shù)據(jù)通訊中包含通
訊計數(shù)器�����。通訊計數(shù)器的初始值也由遠程計算機系統(tǒng)產(chǎn)生��,在交換對稱密鑰的
過程中進行同步交換���,保存方式與對稱密鑰一致��。IC卡讀寫器每次和遠程計算 機系統(tǒng)建立新的通i禮連接時,對通訊計數(shù)器進行累加�����,將通訊計數(shù)器包含在通 訊數(shù)據(jù)中上傳����;遠程計算機系統(tǒng)按照與IC卡讀寫器同樣的規(guī)則對通訊計數(shù)器進
行同步變更,遠程計算機泉統(tǒng)在與ic:卡讀寫器進行連接時檢查兩者的通訊計數(shù) 器是否相等���,來決定是否繼續(xù)通訊�,從而可有效防止重放報文攻擊��。
這里的PKI認證過程如下,IC卡讀卡器向遠程計算機系統(tǒng)發(fā)送包括有IC卡
讀寫器編號的認證數(shù)據(jù)�;在遠程計算機系統(tǒng)根據(jù)IC卡讀寫器編號找到IC卡讀
寫器的公鑰后,接收遠程計算機系統(tǒng)發(fā)送過來的使用IC卡讀寫器公鑰加密的包 括有隨機生成的對稱密鑰�、通訊計數(shù)器和認證隨機數(shù)的認證數(shù)據(jù);使用保存的 私鑰對所述使用公鑰加密的認證數(shù)據(jù)進行解密獲得對稱密鑰����;使用對稱密鑰將 包括有所述的認證隨機數(shù)的認證數(shù)據(jù)加密后反饋至遠程計算機系統(tǒng);以使遠程 計算機系統(tǒng)使用前述的對稱密鑰對接收到的認證數(shù)據(jù)進行解密���,并根據(jù)收到的
IC卡讀寫器定義由多個單一 IC卡l喿作指令和數(shù)據(jù)組成的復合操作指令�����,提 高遠程執(zhí)行效率�����。IC卡讀寫器除了定義對IC卡進行各種標準操作的指令外�����,將 多個比較常用的�����、具有特定操作順序的IC卡操作指令和數(shù)據(jù)定義成一個或多個 復合操作指令�。通過定義復合操作指令,在需要讀寫較大量IC卡數(shù)據(jù)或者經(jīng)常 執(zhí)行特定指令序列的情況下����,可減少IC卡讀寫器和遠程計算機系統(tǒng)之間的數(shù)據(jù) 交換次數(shù),提高遠程執(zhí)行效率����。
IC卡讀寫器負責IC卡操作指令的遠程執(zhí)行,本g戶端負責IC卡讀寫器 和遠程計算機系統(tǒng)之間數(shù)據(jù)的轉發(fā)和必要的數(shù)據(jù)顯示和輸入輸出處理��,所有業(yè) 務邏輯處瑝流程由遠程計算機系統(tǒng)實現(xiàn)�,降低開發(fā)和部署工作量,增強業(yè)務靈 活性���。
IC卡讀寫器負責執(zhí)行由遠程計算機系統(tǒng)下發(fā)的具體IC卡操作指令,不包含 具體的業(yè)務邏輯處理流程�;所有業(yè)務邏輯處理流程由遠程計算機系統(tǒng)根據(jù)IC卡 讀寫器上送的IC卡操作數(shù)據(jù)和操作狀態(tài)完成。所有業(yè)務邏輯處理流程由遠程計 算機系統(tǒng)實現(xiàn)�����,因此業(yè)務邏輯處理流程的調(diào)整或升級只需要在遠程計算才幾系統(tǒng) 中完成��,IC卡讀寫器可自動適應新的業(yè)務邏輯處理流程,可降低開發(fā)�����、部署和升級的工作量和復雜度����;而且IC卡讀寫器與具體的業(yè)務類型無關,不同的遠程 計算機系統(tǒng)可實現(xiàn)不同的業(yè)務功能�����,IC卡讀寫器可以通過與不同的遠程計算才幾 系統(tǒng)連接而實現(xiàn)各種不同的業(yè)務功能����,包括IC卡的查詢、增值����、減值及iU正、 讀寫等���,進一步增強了業(yè)務的靈活性����。
本發(fā)—明實施例中遠程實現(xiàn)IC卡業(yè)務控制的方法,主要是由IC卡讀寫器接 收遠程計算機系統(tǒng)發(fā)送的遠程IC卡業(yè)務指令����,該IC卡業(yè)務指令已通過對稱密 鑰進行了加密;以及對遠程IC卡業(yè)務指令進行解密���,獲取IC卡捧作指令���;并 根據(jù)獲取的IC卡操作指令對IC卡進行控制操作。
在進行該方法時���,如果IC卡讀寫器首次與遠程計算機系統(tǒng)建立通訊時��,需 要與遠程計算機系統(tǒng)進行基于公開密鑰體系PKI的認證�����,在PKI認證通過之后, 與控制系統(tǒng)端進行遠程IC卡業(yè)務指令的信息交互����。該與遠程計算機系統(tǒng)進行基 于公開密鑰體系PKI的認證實現(xiàn)包括向遠程計算機系統(tǒng)發(fā)送包括有IC卡讀寫 器編號的認證數(shù)據(jù);接收遠程計算機系統(tǒng)發(fā)送過來的使用IC卡讀寫器公鑰加密 的包括有隨機生成的對稱密鑰���、通訊計數(shù)器和認證隨機數(shù)的認證數(shù)據(jù)���;使用保 存的私鑰對所述的使用公鑰加密的認證數(shù)據(jù)進行解密獲得對稱密鑰�;使用對稱 密鑰將包括有前述的認證隨機數(shù)的認證數(shù)據(jù)加密后反饋至遠程計算機系統(tǒng)�;以 使遠程計算機系統(tǒng)使用前述的對稱密鑰對接收到的認證數(shù)據(jù)進行解密后判斷收 到的認證隨機數(shù)與先前生成的認證隨機^tA否相等來確定所述IC卡讀寫器的合 法性。在PKI認證通過后���,將所述對稱密鑰和通訊計數(shù)器存儲在本地存儲介質 中���。
在IC卡讀寫器與遠程計算機系統(tǒng)建立通訊后,還需要接收遠程計算機系統(tǒng) 對對稱密鑰的時效驗證����,如果該對稱密鑰的時效過期,需要重新與遠程計算才幾 系統(tǒng)進行基于PKI的認證����。
在與控制系統(tǒng)端進行遠程IC卡業(yè)務指令的信息交互過程中,還需要在每次 與遠程計算機系統(tǒng)進行通信的過程中累加通訊計數(shù)器�,并判斷通訊計數(shù)器與遠 程控制端上的通訊計數(shù)器是否保持一致。
需要說明的是��,這里的IC卡操作指令為IC卡的密鑰管理指令���、或者IC 卡的文件管理指令����、或者IC卡的認證指令、或者IC卡的加解密指令�、或者IC 卡的安全控制指令、或者IC卡的初始化指令�����、或者IC卡的數(shù)據(jù)傳輸指令��、或 者IC卡的讀寫指令�����、或者IC卡的查詢指令����、或者IC卡的增值指令、或者IC卡的減值指令及IC卡的其他操作指令等等����。
需要說明的是����,這里的IC卡讀寫器如果不具有與遠程計算機進行通訊的網(wǎng)
絡接口時��,需要借助于一個客戶端進行交互數(shù)據(jù)���,該客戶端相當于一個數(shù)據(jù)傳
輸中介,負責在遠程計算機系統(tǒng)與IC卡讀寫器之間轉發(fā)數(shù)振��。遠程計算機系統(tǒng) 負責處理所有業(yè)務邏輯��,IC卡讀寫器負責具體操作�,由于IC卡讀寫器不一定具
有網(wǎng)絡接口,所以與遠程計算機系統(tǒng)之間的數(shù)據(jù)需要由客戶端進行轉發(fā)��。在此 過程中客戶端還可以負責執(zhí)行輸入和輸出操作����。在完成具體業(yè)爭的過程中,需 要用戶提供一定的輸入數(shù)據(jù)�����,以及需要將操作的結果顯示或打印輸出等方式提
示給用戶���,由于IC卡讀寫器不一定具有輸入鍵盤和顯示屏等輸入和輸出界面�����,
而且這部分工作與具體的業(yè)務沒有什么邏輯關系�,對不同的業(yè)務而言實現(xiàn)方式
是通用的,所以可以由客戶端負責實現(xiàn)�����。IC卡讀寫器也可以直接實現(xiàn)或包括客
戶端的功能��。
具體的�,圖2示出了本發(fā)明實施例中的遠程實現(xiàn)IC卡業(yè)務控制的方法流程 圖,該IC卡與遠程計算機系統(tǒng)進行通訊�,包括如下步驟
S201: Id卡逸寫器與遠程計算機系統(tǒng)開始建立通訊連接;^ .
S202: IC卡讀寫器檢查存儲區(qū)域是否存在通過認證獲得的對稱密鑰和通訊 計數(shù)器,如果不存在�,則進行S203,否則進行S207;
S203: IC卡讀寫器使用基于PKI的認證協(xié)議與遠程計算機系統(tǒng)進行認證��, 主要通過向遠程計算機系統(tǒng)發(fā)送包括有IC卡讀寫器編號的認證數(shù)據(jù)��;接收遠程 計算機系統(tǒng)發(fā)送過來的使用IC卡讀寫器公鑰加密的包括有隨機生成的對稱密 鑰�、通訊計數(shù)器和認證隨機數(shù)的認證數(shù)據(jù);使用保存的私鑰對所述的使用公鑰 加密的認證數(shù)據(jù)進行解密獲得對稱密鑰����;使用對稱密鑰將包括有前述的認證隨 機數(shù)的認證數(shù)據(jù)加密后反饋至遠程計算機系統(tǒng)���;以使遠程計算機系統(tǒng)使用前述 的對稱密鎮(zhèn)對接收到的認證數(shù)據(jù)進行解密后判斷收到的認證隨機數(shù)與先前生成 的認證隨機數(shù)是否相等來確定所述IC卡讀寫器的合法性并完成認證工作�����。
S204:判斷該iU正是否成功����,如果該認證成功,則進行S204�,否則轉S206;
S205: IC卡讀寫器保存認證過程中從遠程計算機系統(tǒng)獲得的對稱密鑰和通 訊計數(shù)器;
S206:顯示錯誤代碼����,通訊連接失敗,本次通訊連接異常結束�����;
S207: IC卡讀寫器累加通訊計數(shù)器�,用對稱密鑰加密初始通訊數(shù)據(jù)后,并
ii初始通訊數(shù)據(jù)發(fā)送遠程計算機系統(tǒng)�;
S208:遠程計算機系統(tǒng)累加該IC卡讀寫器對應的通訊計數(shù)器,判斷對應的 對稱密鑰是否過期,如果已過期��,轉到S212;否則進行S209;
S209:遠程計算機系統(tǒng)使用對應的對稱密鑰解密收到的數(shù)據(jù)���,判斷數(shù)據(jù)中 包含的通訊計數(shù)器與遠程計算機系"i克保存的對應通訊計數(shù)器是否同步(即相等)��, 如果通訊計凄t器不同步��,轉到S212�,否則進行S210;
S210:遠程計算機系統(tǒng)對解密的數(shù)據(jù)進行^理并生成返回數(shù)據(jù)�����,使用對稱 密鑰加密后發(fā)送至IC卡讀寫器�;
S211: IC卡讀寫器使用對稱密鑰解密數(shù)據(jù),并判斷通訊計數(shù)器是否同步��;
S212:向IC卡讀寫器返回錯"i吳代碼�,要求重新認證,進行S203;
S213: IC卡讀寫器對解密的數(shù)據(jù)進行處理��,并判斷通訊流程是否結束��,如 果需要結束通訊流程�����,則進行S215;否則轉到步驟214;
5214、 IC卡讀寫器將需要返回給遠程計算機系統(tǒng)的數(shù)據(jù)使用對稱密鑰加密 后發(fā)送給遠程計算機系統(tǒng)���,繼續(xù)進行S209;
5215�、 本次通訊連接流程正常結束����。
相應地����,圖3示出了本發(fā)明實施例中IC讀卡器操作流程圖,該流程圖包括 S301: IC卡讀寫器與遠程計算機系統(tǒng)建立通訊連接�,連接成功后將初始狀
態(tài)數(shù)據(jù)(使用對稱密鑰加密)上送遠程計算機系統(tǒng);
S302���、遠程計算機系統(tǒng)收到通訊數(shù)據(jù)(使用對稱密鑰解密)后�����,根據(jù)業(yè)務功能
對應的業(yè)務邏輯處理流程對接收的操作狀態(tài)和結果數(shù)據(jù)進行計算和處理��,依次
向IC卡讀寫器下發(fā)需要執(zhí)行的輸入輸出指令或者IC卡操作指令(使用對稱密鑰
加密)����;
S303: IC卡讀寫器收到通訊數(shù)據(jù)后發(fā)送給IC卡讀寫器使用對稱密鑰解密, IC卡讀寫器判斷指令類型��,如果屬于輸入輸出指令�����,轉到S304;否則轉到S307;
S304:本g戶端執(zhí)行輸入輸出指令��,完成對應的輸入輸出操作��;
S305:本地客戶端判斷輸入輸出指令是否屬于流程結束指令����,即指令是否 用于流程結束前對成功或失敗信息進行輸出操作,如果屬于流程結束指令���,轉 到S309�����,否則轉到步驟S306;
S306: IC卡讀寫器將操作結果使用對稱密鑰加密后上送遠程計算機系統(tǒng)�, 轉到S302;5307���、 IC卡讀寫器執(zhí)行IC卡操作指令�;
5308、 IC卡讀寫器將操作結果使用對稱密鑰加密后上送遠程計算機系統(tǒng)��; S309:本次操作處理流程結束����。
相應地,圖4示出了本發(fā)明實施例中的IC卡讀寫器的結構示意圖����,該IC 卡讀卡篇包括
第一接收單元���,用于接收遠程計算機系統(tǒng)發(fā)送的遠程IC卡業(yè)務指令�����,—所述 IC卡業(yè)務指令已通過對稱密鑰進行了加密����;
解密單元�����,用于對所述第一接收單元接收的IC卡業(yè)務指令進行解密,獲取 IC卡纟喿作指令�����;
控制單元�����,用于根據(jù)所述解密單元獲取的IC卡才喿作指令對IC卡進行控制 操朱
相應地���,該IC卡讀卡器還包括認證單元���,用于與遠程計算機系統(tǒng)進行基于 公開密鑰體系PKI的認證,所述認證單元通過向遠程計算機系統(tǒng)發(fā)送包括有IC 卡讀寫器編號的認證數(shù)據(jù)��;接收遠程計算機系統(tǒng)發(fā)送過來的使用IC卡讀寫器公 鑰加密的包括有隨機生成的對稱密鑰�、通訊計數(shù)器和認證隨機數(shù)的認證數(shù)據(jù); 使用保存的私鑰對所述的使用公鑰加密的認證數(shù)據(jù)進行解密獲得對稱密鑰�����;使 用對稱密鑰將包括有前述的認證隨機數(shù)的認證數(shù)據(jù)加密后反饋至遠程計算機系 統(tǒng)�����;以使遠程計算機系統(tǒng)使用前述的對稱密鑰對接收到的認證數(shù)據(jù)進行解密后 判斷收到的認證隨機數(shù)與先前生成的認證隨才幾數(shù)是否相等來確定所述IC卡讀寫 器的合法性。
獲得單元�����,用于在認證單元通過所述PKI認證過程中���,從遠程計算才幾系統(tǒng)
獲得對稱密鑰和通訊計凄t器����;
存儲單元�,用于存儲所述獲得單元獲得的對稱密鑰和通訊計數(shù)器。 時效驗證單元���,用于接收遠程計算機系統(tǒng)4艮據(jù)通訊計數(shù)器對所述對稱密鑰
的時效l^i正;
計數(shù)器判斷單元��,用于在每次與遠程計算機系統(tǒng)進行通信的過程中累加通 訊計數(shù)器�,并判斷通訊計數(shù)器與遠程控制端上的通訊計數(shù)器是否保持一致。
加密單元��,用于根據(jù)獲得的對稱密鑰對凄t據(jù)進行加密���,并將加密后的凄i:據(jù) 返回至遠程計算才幾系統(tǒng)�。
需要說明的是,這里的IC卡操作指令為IC卡的密鑰管理指令���、或者I卡的文件管理指令�����、或者IC卡的認證指令����、或者IC卡的加解密指令�、或者IC 卡的安全控制指令、或者IC卡的初始化指令�、或者IC卡的數(shù)據(jù)傳輸指令、或 者IC卡的讀寫指令���、或者IC卡的查詢指令���、或者IC卡的增值指令、或者IC 卡的減值指令及IC卡的其他操作指令等等��。綜上所述�,實施本發(fā)明實施例,通過遠程讀寫器系統(tǒng)提供IC卡 喿作指令的遠程執(zhí)行功能,采用對稱密鑰對交互的數(shù)據(jù)進行加密����,叢而保證遠程通訊的安全性。這種實現(xiàn)方式由遠程讀寫器—系統(tǒng)來實現(xiàn)所有業(yè)務邏輯處理流程�,IC卡讀 寫器負責執(zhí)行由遠程計算機系統(tǒng)下發(fā)的具體IC卡操作指令。因此����,業(yè)務邏輯處 理流程的調(diào)整或升級只需要在遠程計算機系統(tǒng)中完成,IC卡讀寫器可自動適應 新的業(yè)務邏輯處理流程���,可降低開發(fā)����、部署和升級的工作量和復雜度�;而且IC 卡讀寫器與具體的業(yè)務類型無關,不同的遠程計算;f幾系統(tǒng)可實現(xiàn)不同的業(yè)務功能�,IC卡讀寫器可以通過與不同的遠程計算機系統(tǒng)連接而實現(xiàn)各種不同的業(yè)務 功能,進一步增強了業(yè)務的靈活性���。以上所揭露的僅為本發(fā)明一種較佳實施例而已,當然不能以此來限定本發(fā) 明^^又利范圍�,因此依本發(fā)明權利要求所作的等同變化,仍屬本發(fā)明所JS蓋韻 范圍。
權利要求
1����、一種遠程實現(xiàn)IC卡業(yè)務控制的方法,其特征在于�,包括如下步驟接收遠程計算機系統(tǒng)發(fā)送的遠程IC卡業(yè)務指令,所述IC卡業(yè)務指令已通過對稱密鑰進行了加密�;對所述遠程IC卡業(yè)務指令進行解密,獲取IC卡操作指令���;根據(jù)獲取的IC卡操作指令對IC卡進行對應操作���。
2、如權利要求l所述的方法��,其特征在于���,所述方法之前還包括 與遠程計算機系統(tǒng)進行基于公開密鑰體系PKI的認證���,在所述PKI認證通 過之后,與控制系統(tǒng)端進行遠程IC卡業(yè)務指令的信息交互�����。
3、如權利要求2所述的方法�,其特征在于,所述與遠程計算機系統(tǒng)進^亍基 于公開密鑰體系PKI的認證步驟具體為向遠程計算機泉統(tǒng)發(fā)送包括有IC卡讀寫器編號的認證數(shù)據(jù);— .遠程計算機系統(tǒng)接收到所述認證數(shù)據(jù)后�,根據(jù)IC卡讀寫器編號找到IC卡 讀寫器的公鑰,并使用所述的公鑰將包括有隨機生成的對稱密鑰�����、通訊計數(shù)器 和認證隨機數(shù)的認證數(shù)據(jù)加密后發(fā)送給IC卡讀寫器��;IC卡讀寫器接收到后使用保存的私鑰進行解密獲得對稱密鑰�,并使用對稱 密鑰將包括有所述的認證隨機數(shù)的認證數(shù)據(jù)加密后反饋至遠程計算機系統(tǒng);遠程計算機系統(tǒng)接收到使用前述的對稱密鑰進行解密��,判斷收到的認證隨
4���、如杈利要求2所述的方法�����,其特征在于���,在所述PKI認證過程中還包括 IC卡讀寫器從遠程計算機系統(tǒng)獲得對稱密鑰和通訊計數(shù)器后,將所i^t稱 密鑰和通訊計數(shù)器存儲在本地存儲介質中�。括:
5、如權利要求4所述的方法��,其特征在于����,在所述PKI認證通過之后還包接收遠程計算機系統(tǒng)對所述對稱密鑰的時效-驗證,如果所述對稱密鑰的時效過期�����,重新與遠程計算機系統(tǒng)進行基于PKI的認證�。
6、 如權利要求5所述的方法����,其特征在于,所述與遠程計算機系統(tǒng)進行遠 程IC卡業(yè)務指令的信息交互還包括在每次與遠程計算機系統(tǒng)進行通信的過程中泉加通訊計數(shù)器�,并判斷通訊 計數(shù)器與遠程控制端上的通訊計數(shù)器是否保持一致。
7��、 如權利要求l所述的方法�,其特征在于,所述IC卡操作指令為IC卡 的密鑰管理指令����、或者IC卡的文件管理指令���、或者IC卡的認證指令、或者IC 卡的加解密指令��、或者IC卡的安全控制指令���、或者IC卡的初始化指令���、或者 IC卡的數(shù)據(jù)傳輸指令、或者IC卡的讀寫指令����、或者IC卡的查詢指令、或者IC 卡的增值指令����、或者IC卡的減值指令。
8���、 如權利要求4所述的方法�����,其特征在于�,所述方法還包括利用獲得的 對稱密鑰對數(shù)據(jù)il行加靡,并將加密后的數(shù)據(jù)返回至遠程計算4幾系統(tǒng)�。
9、 一種IC卡讀寫器�,其特征在于��,包括第一接收單元����,用于接收遠程計算機系統(tǒng)發(fā)送的遠程IC卡業(yè)務指令,所述 IC卡業(yè)務指令已通過對稱密鑰進行了加密�;解密單元,用于對所述第一接收單元接收的IC卡業(yè)務指令進行解密���,獲取 IC卡操作指令�����;控制單元�����,用于根據(jù)所述解密單元獲取的IC卡操作指令對IC卡進行控制 操作�����。
10��、 如權利要求9所述的IC卡讀寫器����,其特征在于,所述IC卡讀寫器還 包括認證單元���,用于與遠程計算機系統(tǒng)進行基于公開密鑰體系PKI的認證����,所 述認證單元向遠程計算機系統(tǒng)發(fā)送包括有IC卡讀寫器編號的認證數(shù)據(jù)����;在遠程 計算機系統(tǒng)根據(jù)IC卡讀寫器編號找到IC卡讀寫器的公鑰后,接收遠程計算機 系統(tǒng)發(fā)送過來的使用IC卡讀寫器公鑰加密的包括有隨機生成的對稱密鑰�����、通訊計數(shù)器和認證隨機數(shù)的認證數(shù)據(jù)�����;使用保存的私鑰對所述使用公鑰加密的認證 數(shù)據(jù)進行解密獲得對稱密鑰���;使用對稱密鑰將包括有所述的認證隨機數(shù)的認證 數(shù)據(jù)加密后反饋至遠程計算機系統(tǒng)���;以使遠程計算機系統(tǒng)使用前述的對稱密鑰 對接收到的認證數(shù)據(jù)進行解密�,并根據(jù)收到的認證隨機數(shù)與生成的認證隨機數(shù) 是否相等來確定所tIC卡讀寫器的合法性��。
11��、如權利要求IO所述的-IC卡讀寫器��,其特征在于��,所述IC卡讀寫器還 包括獲得單元�,用于在認證單元通過所述PKI認證過程中��,從遠程計算機系統(tǒng) 獲得對稱密鑰和通訊計數(shù)器���;存儲單元�,用于存儲所述獲得單元獲得的對稱密鑰和通訊計數(shù)器���。
12���、如權利要求11所述的IC卡讀寫器���,其特征在于,所述IC卡讀寫器還 包括時效驗證單元��,用于接收遠程計算機系統(tǒng)對所述對稱密鑰的時效驗證���; 計數(shù)器操作單元��,用于在每次與遠程計算機系統(tǒng)進行通信的過程中累加通 訊計數(shù)器���,并判斷通訊計數(shù)器與遠程控制端上的通訊計數(shù)器是否保持一致。
13�����、 如權利要求9所述的IC卡讀寫器�����,其特征在于���,所述IC卡操作指令 為IC卡的密鑰管理指令�、或者IC卡的文件管理指令、或者IC卡的認證指令��、 或者IC卡的加解密指令����、或者IC卡的安全控制指令、或者IC卡的初始化指令��、 或者IC卡的數(shù)據(jù)傳輸指令����、或者IC卡的讀寫指令、或者IC卡的查詢指令����、或 者IC卡的增值指令���、或者IC卡的減值指令�。
14���、 如權利要求11所述的IC卡讀寫器����,其特征在于,所述IC卡讀寫器還 包括加密單元�����,用于根據(jù)獲得的對稱密鑰對數(shù)據(jù)進行加密��,并將加密后的數(shù)據(jù) 返回至遠程計算機系統(tǒng)�。
15、 一種遠程實現(xiàn)IC卡業(yè)務控制的系統(tǒng)��,其特征在于����,所述系統(tǒng)包括遠程計算機系統(tǒng)和IC卡讀寫器,其中所述遠程計算機系統(tǒng)與IC卡讀卡器進行遠程IC卡業(yè)務指令的信息交互�����, 且通過對稱密鑰對所述交互的IC卡業(yè)務指令信息進行加密或者解密�����;所述IC卡讀寫器用于與逸程計算機系統(tǒng)進行遠程IC卡業(yè)務指令的信息交 互��,且通iW"稱密鑰對所迷交互的IC卡業(yè)務指令信息進行加密或者解密��,并在 對所述IC卡業(yè)務指令信息進行解密后獲取IC卡操作指令;根據(jù)獲取的IC卡操 作指令對IC卡進行控制4喿作。
16����、 如權利要求15所述的系統(tǒng),其特征在于��,所述遠程計算機系統(tǒng)對所述 IC卡讀看器進行基于公開密鑰體系PKI的認證�,在所述PKI認證過程中,隨機 生成對稱密鑰和通訊計數(shù)器后存儲在存儲.介質或數(shù)據(jù)庫系統(tǒng)中�����,并下發(fā)對稱密 鑰和通訊計數(shù)器至IC卡讀寫.器���。
17��、 如權利要求16所述的系統(tǒng)��,其特征在于,所述遠程計算機系統(tǒng)還對所 述IC卡讀寫器上的對稱密鑰的時效進行驗證��,如果所述對稱密鑰的時效過期���、 則重新對所述IC卡讀卡器進4亍PKI認證����。
18、 如權利要求16所述的系統(tǒng)���,其特征在于�,所述遠程計算機系統(tǒng)還根據(jù) 通訊計數(shù)器的累加情況判斷所述IC卡讀寫器上通訊計數(shù)器與遠程計算機系統(tǒng)上 的通訊計數(shù)器是否保持一致�����,如果判斷所述通訊計數(shù)器不保持一致時����,則重新 對所述IC卡讀卡器進行PKI認證。
全文摘要
本發(fā)明公開了一種遠程實現(xiàn)IC卡業(yè)務控制的方法�����,包括如下步驟接收遠程計算機系統(tǒng)發(fā)送的遠程IC卡業(yè)務指令����,所述IC卡業(yè)務指令已通過對稱密鑰進行了加密;對所述遠程IC卡業(yè)務指令進行解密��,獲取IC卡操作指令�;根據(jù)獲取的IC卡操作指令對IC卡進行對應操作����。相應地�����,本發(fā)明還公開了一種遠程實現(xiàn)IC卡業(yè)務控制系統(tǒng)和IC卡讀寫器�����,通過實施本發(fā)明�����,通過遠程讀寫器系統(tǒng)提供IC卡操作指令的遠程執(zhí)行功能�����,采用對稱密鑰對交互的數(shù)據(jù)進行加密�,從而保證遠程通訊的安全性,實現(xiàn)各種不同的業(yè)務功能��,進一步增強了業(yè)務的靈活性���。
文檔編號G06K17/00GK101630371SQ200910041968
公開日2010年1月20日 申請日期2009年8月19日 優(yōu)先權日2009年8月19日
發(fā)明者娟 金 申請人:廣州鈞易信息技術有限公司