專利名稱:基于雙密鑰及數(shù)字證書體制的ic卡簽驗方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及IC卡數(shù)字簽驗技術(shù)領(lǐng)域�,特別涉及一種基于雙密鑰及證書體制的IC 卡簽驗方法及系統(tǒng)。
背景技術(shù):
目前全國大多省份陸續(xù)啟動并開展社會保障卡建設(shè)項目���,但在安全保障方面���,只 采用對稱密碼體制,單一的密碼口令驗證方式只能對參保人員的身份驗證����,并不能防止交 易信息泄露、交易信息篡改等行為���。
發(fā)明內(nèi)容
(一)要解決的技術(shù)問題本發(fā)明要解決的技術(shù)問題是如何保證IC卡交易過程中的安全性��。( 二 )技術(shù)方案一種基于雙密鑰及數(shù)字證書體制的IC卡簽驗方法���,包括以下步驟Sl 利用IC卡中的私鑰對需要簽名的數(shù)據(jù)進(jìn)行數(shù)字簽名�����,并發(fā)送驗證請求���;S2 利用IC卡對應(yīng)的數(shù)字證書中的公鑰驗證數(shù)字簽名。其中����,所述步驟Sl具體包括步驟對需要簽名的數(shù)據(jù)進(jìn)行摘要提取��;利用IC卡中的私鑰對需要簽名的數(shù)據(jù)的摘要進(jìn)行數(shù)字簽名�����;讀出數(shù)字簽名后的簽名值以及數(shù)字證書或證書號�����;發(fā)送需要簽名的數(shù)據(jù)�����、簽名值以及數(shù)字證書或證書號的驗證請求����。其中,所述步驟S2具體包括驗證數(shù)字證書的真實性��,或通過證書號獲取數(shù)字證書再驗證數(shù)字證書的真實性��;利用數(shù)字證書中的公鑰對簽名值進(jìn)行脫簽�,并獲取脫簽結(jié)果;對需要簽名的數(shù)據(jù)進(jìn)行摘要提取�����,并對比提取摘要的結(jié)果和脫簽結(jié)果��,若摘要的 結(jié)果和脫簽結(jié)果一致�,則保存需要簽名的數(shù)據(jù)、簽名值以及證書或證書號�,并處理需要簽名 的數(shù)據(jù),否則記錄失敗信息���,包括記錄時間����、錯誤號,需要簽名的數(shù)據(jù)��、簽名值以及證書或證 書號���。一種基于雙密鑰及數(shù)字證書體制的IC卡簽驗系統(tǒng)�����,包括數(shù)字簽名模塊��,用于利用IC卡中的私鑰對需要簽名的數(shù)據(jù)進(jìn)行數(shù)字簽名�,并發(fā)送 驗證請求�����;數(shù)字簽名驗證模塊���,用于利用IC卡對應(yīng)的數(shù)字證書中的公鑰驗證數(shù)字簽名�����。其中�����,所述數(shù)字簽名模塊包括摘要提取模塊�����,用于對需要簽名的數(shù)據(jù)進(jìn)行摘要提??;簽名模塊,用于利用IC卡中的私鑰對需要簽名的數(shù)據(jù)的摘要進(jìn)行數(shù)字簽名���;簽名信息讀取模塊��,用于讀出數(shù)字簽名后的簽名值以及數(shù)字證書或證書號���;
請求驗證模塊,用于發(fā)送對需要簽名的數(shù)據(jù)����、簽名值以及數(shù)字證書或證書號的驗 證請求。其中�����,所述數(shù)字簽名驗證模塊包括數(shù)字證書驗證模塊,用于驗證數(shù)字證書的真實性���,或通過證書號獲取數(shù)字證書再 驗證數(shù)字證書的真實性�����;脫簽?zāi)K����,用于利用數(shù)字證書中的公鑰對簽名值進(jìn)行脫簽�����,并獲取脫簽結(jié)果�;比較驗證模塊,用于對需要簽名的數(shù)據(jù)進(jìn)行摘要提取���,并對比提取摘要的結(jié)果和 脫簽結(jié)果��,若摘要的結(jié)果和脫簽結(jié)果一致�����,則保存需要簽名的數(shù)據(jù)����、簽名值以及證書或證書 號�����,并處理需要簽名的數(shù)據(jù)����,否則記錄失敗信息,包括記錄時間�����、錯誤號��,需要簽名的數(shù)據(jù)�����、 簽名值以及證書或證書號��。(三)有益效果本發(fā)明通過雙密鑰和數(shù)字證書機(jī)制對IC卡交易時進(jìn)行數(shù)字簽名和驗證��,保證了 IC卡交易的安全性,交易數(shù)據(jù)真實����、完整且不可抵賴。
圖1是本發(fā)明實施例的基于雙密鑰及數(shù)字證書體制的IC卡簽驗方法流程圖����;圖2是圖1中步驟SlOl的具體流程圖;圖3是圖1中步驟S102的具體流程圖�����;圖4是本發(fā)明實施例的基于雙密鑰及數(shù)字證書體制的IC卡簽驗系統(tǒng)結(jié)構(gòu)示意圖����;圖5是本發(fā)明實施例中社保卡數(shù)字簽名流程���;圖6是本發(fā)明實施例中社?��?〝?shù)字簽名驗證流程圖。
具體實施例方式下面結(jié)合附圖和實施例���,對本發(fā)明的具體實施方式
作進(jìn)一步詳細(xì)描述���。以下實施 例用于說明本發(fā)明�,但不用來限制本發(fā)明的范圍�����。如圖1所示�����,為本發(fā)明基于雙密鑰及數(shù)字證書體制的IC卡簽驗方法流程圖�,包 括步驟SlOl���,利用IC卡中的私鑰對需要簽名的數(shù)據(jù)進(jìn)行數(shù)字簽名��,并發(fā)送驗證請 求�����。具體步驟如圖2所示步驟S201����,對需要簽名的數(shù)據(jù)進(jìn)行摘要提取�,使用SHA-I數(shù)據(jù)摘要算法作HASH運 算得到摘要H = SHA(DATA),其中DATA為需要簽名的數(shù)據(jù)。步驟S202�,利用IC卡中的私鑰對需要簽名的數(shù)據(jù)的摘要進(jìn)行數(shù)字簽名,使用IC卡 內(nèi)的私鑰(Pvk)對摘要H作RSA運算����,得到簽名值DS = RSApvk (H),按PKCS#7標(biāo)準(zhǔn)格式對 簽名進(jìn)行編碼����,得到的最終的簽名結(jié)果記為signedData。步驟S203��,讀出數(shù)字簽名后的簽名值以及數(shù)字證書或證書號�;步驟S204,發(fā)送包含需要簽名的數(shù)據(jù)����、簽名值以及數(shù)字證書或證書號的驗證請求。步驟S102 利用IC卡對應(yīng)的數(shù)字證書中的公鑰驗證數(shù)字簽名�。具體步驟如圖3所 示步驟S301,驗證數(shù)字證書的真實性�,或通過證書號獲取數(shù)字證書再驗證數(shù)字證書的真實性;即從SignedData中提取簽名值以及證書或證書號等信息��,按證書號獲取簽名者 的數(shù)字證書并檢驗數(shù)字證書的有效性���;步驟S302�����,利用數(shù)字證書中的公鑰(pbk)對所述簽名值進(jìn)行脫簽����,并獲取脫簽結(jié) 果 H' = RSApbk(DS);步驟S303����,與步驟S201中對需要簽名的數(shù)據(jù)進(jìn)行摘要提取方式一樣,并對比提取 摘要的結(jié)果H和脫簽結(jié)果H'����,若摘要的結(jié)果和脫簽結(jié)果一致�����,則保存需要簽名的數(shù)據(jù)���、簽 名值以及證書或證書號���,并處理需要簽名的數(shù)據(jù)���,否則記錄失敗信息,失敗信息包括記錄時 間�����、錯誤號���,需要簽名的數(shù)據(jù)�、簽名值以及證書或證書號��。本發(fā)明還公開了一種基于雙密鑰及數(shù)字證書體制的IC卡簽驗系統(tǒng)��,如圖4所示 包括數(shù)字簽名模塊����,用于利用IC卡中的私鑰對需要簽名的數(shù)據(jù)進(jìn)行數(shù)字簽名,并發(fā)送驗 證請求����;數(shù)字簽名驗證模塊,接收到數(shù)字簽名模塊發(fā)送的驗證請求后�����,用于利用IC卡對應(yīng) 的數(shù)字證書中的公鑰驗證數(shù)字簽名。其中�,所述數(shù)字簽名模塊包括摘要提取模塊,用于對需要簽名的數(shù)據(jù)進(jìn)行摘要提 ?�?�;簽名模塊���,用于利用IC卡中的私鑰對需要簽名的數(shù)據(jù)的摘要進(jìn)行數(shù)字簽名����;簽名信息 讀取模塊���,用于讀出數(shù)字簽名后的簽名值以及數(shù)字證書或證書號�;請求驗證模塊���,用于發(fā)送 對需要簽名的數(shù)據(jù)、簽名值以及數(shù)字證書或證書號的驗證請求���。其中����,所述數(shù)字簽名驗證模塊包括數(shù)字證書驗證模塊,用于驗證數(shù)字證書的真實 性��,或通過證書號獲取數(shù)字證書再驗證數(shù)字證書的真實性��;脫簽?zāi)K��,用于利用數(shù)字證書中 的公鑰對所述簽名值進(jìn)行脫簽����,并獲取脫簽結(jié)果;比較驗證模塊�����,用于對需要簽名的數(shù)據(jù)進(jìn) 行摘要提取�,并對比提取摘要的結(jié)果和脫簽結(jié)果,若摘要的結(jié)果和脫簽結(jié)果一致����,則保存需 要簽名的數(shù)據(jù)、簽名值以及證書或證書號���,并處理需要簽名的數(shù)據(jù)��,否則記錄失敗信息��,失 敗信息包括記錄時間����、錯誤號,需要簽名的數(shù)據(jù)��、簽名值以及證書或證書號�。下面以社會保險卡為例來說本發(fā)明。就診人在醫(yī)院終端使用社?��?ㄟM(jìn)行交易時���,由社保卡中的私鑰對交易數(shù)據(jù)進(jìn)行簽 名��,交易后數(shù)據(jù)成批自動上傳時�,每一筆交易的簽名后的數(shù)據(jù)隨交易數(shù)據(jù)一同上傳至后臺 服務(wù)系統(tǒng)。后臺服務(wù)系統(tǒng)審核交易數(shù)據(jù)時���,調(diào)用該社保卡的對應(yīng)的數(shù)字證書中的公鑰驗證 簽名��,驗證簽名失敗的交易將被拒付�����,并進(jìn)入異常數(shù)據(jù)處理流程進(jìn)行重新分析和處理。社會保險卡采用的數(shù)字證書符合GB/T 20518-2006和ITU X. 509V3標(biāo)準(zhǔn)����,證書撤 銷列表符合ITU X. 509V2標(biāo)準(zhǔn),證書編碼格式支持Base64和DER格式��。按照國家相關(guān)規(guī)定���, 北京社保證書簽發(fā)安全管理系統(tǒng)簽名證書對應(yīng)的私鑰由社?�?▋?nèi)生成�。社保證書的主要內(nèi)容為版本號�、證書序列號、簽名算法標(biāo)識�、簽發(fā)者標(biāo)識、有效期 (含生效期����、失效期)、申請者信息��、申請者公鑰、簽名值等�。證書格式如表1所示表1數(shù)字證書格式
權(quán)利要求
一種基于雙密鑰及數(shù)字證書體制的IC卡簽驗方法,其特征在于����,包括以下步驟S1利用IC卡中的私鑰對需要簽名的數(shù)據(jù)進(jìn)行數(shù)字簽名,并發(fā)送驗證請求��;S2利用IC卡對應(yīng)的數(shù)字證書中的公鑰驗證數(shù)字簽名����。
2.如權(quán)利要求1所述的基于雙密鑰體系的IC卡交易方法,其特征在于����,所述步驟Sl具 體包括步驟對需要簽名的數(shù)據(jù)進(jìn)行摘要提取����;利用IC卡中的私鑰對需要簽名的數(shù)據(jù)的摘要進(jìn)行數(shù)字簽名;讀出數(shù)字簽名后的簽名值以及數(shù)字證書或證書號�;發(fā)送需要簽名的數(shù)據(jù)、簽名值以及數(shù)字證書或證書號的驗證請求�。
3.如權(quán)利要求1所述的基于雙密鑰體系的IC卡交易方法,其特征在于��,所述步驟S2具 體包括驗證數(shù)字證書的真實性,或通過證書號獲取數(shù)字證書再驗證數(shù)字證書的真實性��; 利用數(shù)字證書中的公鑰對簽名值進(jìn)行脫簽��,并獲取脫簽結(jié)果�����; 對需要簽名的數(shù)據(jù)進(jìn)行摘要提取��,并對比提取摘要的結(jié)果和脫簽結(jié)果�����,若摘要的結(jié)果 和脫簽結(jié)果一致����,則保存需要簽名的數(shù)據(jù)���、簽名值以及證書或證書號�,并處理需要簽名的數(shù) 據(jù)����,否則記錄失敗信息����,包括記錄時間�����、錯誤號���,需要簽名的數(shù)據(jù)����、簽名值以及證書或證書 號��。
4.一種基于雙密鑰及數(shù)字證書體制的IC卡簽驗系統(tǒng)��,其特征在于���,包括數(shù)字簽名模塊�����,用于利用IC卡中的私鑰對需要簽名的數(shù)據(jù)進(jìn)行數(shù)字簽名���,并發(fā)送驗證 請求����;數(shù)字簽名驗證模塊��,用于利用IC卡對應(yīng)的數(shù)字證書中的公鑰驗證數(shù)字簽名����。
5.如權(quán)利要求4所述的基于雙密鑰及數(shù)字證書體制的IC卡簽驗系統(tǒng)�����,其特征在于����,所 述數(shù)字簽名模塊包括摘要提取模塊,用于對需要簽名的數(shù)據(jù)進(jìn)行摘要提?�?����;簽名模塊����,用于利用IC卡中的私鑰對需要簽名的數(shù)據(jù)的摘要進(jìn)行數(shù)字簽名����;簽名信息讀取模塊�����,用于讀出數(shù)字簽名后的簽名值以及數(shù)字證書或證書號�����;請求驗證模塊��,用于發(fā)送對需要簽名的數(shù)據(jù)��、簽名值以及數(shù)字證書或證書號的驗證請求��。
6.如權(quán)利要求4所述的基于雙密鑰及數(shù)字證書體制的IC卡簽驗系統(tǒng)�,其特征在于,所 述數(shù)字簽名驗證模塊包括數(shù)字證書驗證模塊����,用于驗證數(shù)字證書的真實性,或通過證書號獲取數(shù)字證書再驗證 數(shù)字證書的真實性���;脫簽?zāi)K����,用于利用數(shù)字證書中的公鑰對簽名值進(jìn)行脫簽,并獲取脫簽結(jié)果���; 比較驗證模塊���,用于對需要簽名的數(shù)據(jù)進(jìn)行摘要提取,并對比提取摘要的結(jié)果和脫簽 結(jié)果�����,若摘要的結(jié)果和脫簽結(jié)果一致�����,則保存需要簽名的數(shù)據(jù)�、簽名值以及證書或證書號���, 并處理需要簽名的數(shù)據(jù)���,否則記錄失敗信息,包括記錄時間���、錯誤號����,需要簽名的數(shù)據(jù)、簽名 值以及證書或證書號�����。
全文摘要
本發(fā)明公開了一種基于雙密鑰及數(shù)字證書體制的IC卡簽驗方法���,包括利用IC卡中的私鑰對需要簽名的數(shù)據(jù)進(jìn)行數(shù)字簽名����,并發(fā)送驗證請求��;利用IC卡對應(yīng)的數(shù)字證書中的公鑰驗證數(shù)字簽名���,還公開了一種基于雙密鑰及數(shù)字證書體制的IC卡簽驗系統(tǒng)�,包括數(shù)字簽名模塊����,用于利用IC卡中的私鑰對需要簽名的數(shù)據(jù)進(jìn)行數(shù)字簽名,并發(fā)送驗證請求;數(shù)字簽名驗證模塊��,用于利用IC卡對應(yīng)的數(shù)字證書中的公鑰驗證數(shù)字簽名�。本發(fā)明保證了IC卡交易的安全性,交易數(shù)據(jù)真實���、完整且不可抵賴��。
文檔編號H04L9/32GK101944997SQ201010263690
公開日2011年1月12日 申請日期2010年8月25日 優(yōu)先權(quán)日2010年8月25日
發(fā)明者朱東軒 申請人:北京市勞動信息中心