專利名稱:一種智能卡個人化的方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及智能卡、信息安全領(lǐng)域��,尤其涉及的是一種以公鑰密碼技術(shù)為保護手 段的智能卡個人化的方法及系統(tǒng)�。背景術(shù)技
現(xiàn)代密碼技術(shù)根據(jù)密鑰的特點分為兩類對稱密碼技術(shù)和非對稱密碼技術(shù)。其中�����、對稱 密碼技術(shù)即解密密鑰和加密密鑰相同�����,在這種系統(tǒng)中��,密鑰的分發(fā)是應(yīng)用中的一個難點�。非對稱密碼技術(shù)又叫公鑰密碼技術(shù)�,在公鑰密碼系統(tǒng)中,用戶有兩把鑰匙���,一把公 開(公鑰)�����,另一把用戶私有(私鑰)���,從一個難以推出另一個���,通信雙方無需事先交換密鑰就 可建立保密通信。公鑰系統(tǒng)中的一個問題是如何將用戶的公鑰和用戶的身份有效的對應(yīng)起 來��,傳統(tǒng)的公鑰系統(tǒng)一般都采用證書機制實現(xiàn)用戶的身份和用戶的鑰匙的安全對應(yīng)��。證書 機制一般都采用公鑰基礎(chǔ)設(shè)施(Public Key Infrastructure: H(I)技術(shù)���。它綜合使用了 數(shù)字摘要�����、數(shù)字簽名等多項安全技術(shù)以及一套完整的證書管理機制來提供安全服務(wù)�����。系統(tǒng) 需建設(shè)有公信力的認證中心(Certification Authority :CA)鑒定用戶身份����,然后為用戶簽 發(fā)數(shù)字證書���。數(shù)字證書安全地將用戶身份和用戶密鑰綁定在一起��。用戶在業(yè)務(wù)系統(tǒng)中先交 換證書�����,然后使用公私鑰完成用戶的身份認證��、訪問控制����、信息安全傳遞等操作?��;谧C書的公鑰體制在應(yīng)用中面臨諸多問題��,特別是證書使用過程的復雜性使 得不具備相關(guān)知識的普通用戶難以駕馭��。為了降低公鑰系統(tǒng)中密鑰管理和使用的復雜 性,Shamir 在 1984[S84]年提出了基于標識的密碼技術(shù)(Identity-Based Cryptography IBC)即用戶的標識就可以用做用戶的公鑰(更加準確地說是用戶的公鑰可以從用戶的標 識和系統(tǒng)指定的一個方法計算得出)�����。在這種情況下�����,用戶不需要申請和交換證書,從而極 大地簡化了密碼系統(tǒng)管理的復雜性�����。用戶的私鑰由系統(tǒng)中的一個受信任的第三方(密鑰生 成中心)使用標識私鑰生成算法計算生成����。這樣的系統(tǒng)具有天然的密碼委托功能,適合于有 監(jiān)管的應(yīng)用環(huán)境����。目前,智能卡卡片外形與普通的信用卡基本相同����,信息則是靠卡中的專用集成電 路(ASIC)進行存儲和處理。ASIC內(nèi)部包含微處理器單元(CPU)���、存儲單元(RAM��、ROM和 EEPR0M)�、和輸入/輸出接口單元��、密碼運算模塊���,猶如一臺完整的計算機����。其中,RAM用于 存放運算過程中的中間數(shù)據(jù)����,ROM中固化有片內(nèi)操作系統(tǒng)COS (Chip Operating System), 而EEPROM用于存放持卡人的個人信息以及發(fā)行單位的有關(guān)信息、密鑰�����,不同密碼運算模塊 可支持多種對稱/非對稱密碼算法�����。運行在CPU中的COS是管理芯片資源和實現(xiàn)安全保密的操作系統(tǒng)��,其功能包括傳 輸管理��、文件管理��、安全體系�、命令解釋����。對智能卡個人化時�,在卡片表面印刷上發(fā)行單位及使用者相關(guān)的圖像��、圖案�����、文 字���,在EEPROM中創(chuàng)建主文件MF (Master File)����、專用文件DF (Dedicated File)和基本文件 EF(Elementary File)�����,將個人及發(fā)行單位信息���、密鑰等數(shù)據(jù)通常按相關(guān)性以文件方式組織 寫入文件�����。因密鑰關(guān)系整個系統(tǒng)的安全運行���,幾乎所有智能卡個人化工作都在安全的生產(chǎn) 環(huán)境中進行�����,防止密鑰的泄漏�����。
為防止密鑰的泄漏�,智能卡個人化工作必須在有安全措施的生產(chǎn)環(huán)境中進行?����,F(xiàn) 有技術(shù)的智能卡個人化時數(shù)據(jù)寫入的流程為在個人化服務(wù)器上生成智能卡個人化指令��, 在有安全措施的生產(chǎn)環(huán)境發(fā)送到智能卡���,智能卡接收指令���,執(zhí)行指令時依據(jù)文件數(shù)據(jù)結(jié)構(gòu) 定義在內(nèi)部EEPROM中創(chuàng)建主文件、專用文件���、基本文件及數(shù)據(jù)寫入�?;谏鲜霈F(xiàn)有技術(shù)的智能卡個人化流程,使用現(xiàn)有技術(shù)的智能卡個人化受各種環(huán) 境限定�����,現(xiàn)有技術(shù)的智能卡片一旦發(fā)行到用戶手上�����,幾乎無法再進行個人化操作����,從而將卡 片的應(yīng)用限制在第一次個人化所賦予的范圍內(nèi)。因此��,現(xiàn)有技術(shù)還有待于改進和發(fā)展����。
發(fā)明內(nèi)容
本發(fā)明要解決的技術(shù)問題在于,針對現(xiàn)有技術(shù)的上述缺陷��,提供一種智能卡個人 化的方法及系統(tǒng)��,可實現(xiàn)對智能卡進行第二次或更多次的非安全生產(chǎn)環(huán)境中的個人化操 作���,不同的運營商的應(yīng)用數(shù)據(jù)可以動態(tài)加載到卡上����,實現(xiàn)一卡多領(lǐng)域、多地域��、多行業(yè)應(yīng)用 的一卡通����,擴大卡片用途和價值。本發(fā)明解決技術(shù)問題所采用的技術(shù)方案如下 一種智能卡個人化的方法����,其中,包括
A���、在安全的服務(wù)器上依據(jù)卡內(nèi)應(yīng)用的文件數(shù)據(jù)結(jié)構(gòu)定義����,創(chuàng)建相應(yīng)的卡內(nèi)應(yīng)用數(shù)據(jù) EEPROM區(qū)域映像����;
B、將該映像以公鑰密碼技術(shù)進行加密,并將加密后的映像發(fā)送到智能卡內(nèi)解密��,得到 應(yīng)用數(shù)據(jù)EEPROM區(qū)域映像����,寫入相應(yīng)的EEPROM區(qū)域��。所述智能卡個人化的方法�����,其中�,所述步驟A具體包括 All、證書服務(wù)器向智能卡發(fā)送生成非對稱密鑰對指令�;
A12、智能卡接收生成非對稱密鑰對指令處理后生成非對稱密鑰對并保存��,并向證書服 務(wù)器返回公鑰�����;
A13�����、證書服務(wù)器生成該公鑰的證書并發(fā)送回智能卡,智能卡保存該證書�; A14、將智能卡連接到個人化服務(wù)器上����,個人化服務(wù)器讀取智能卡證書,以CA根證書驗 證智能卡證書��,并分配給該智能卡一個應(yīng)用序列號���;
A15�����、個人化服務(wù)器將應(yīng)用序列號發(fā)送給加密機����,加密機生成該序列號的相關(guān)密鑰回送 給個人化服務(wù)器的映像實例生成模塊����;
A16��、個人化服務(wù)器的映像實例生成模塊利用智能卡內(nèi)應(yīng)用數(shù)據(jù)EEPROM區(qū)域映像模 板�����,生成該卡的卡內(nèi)應(yīng)用數(shù)據(jù)EEPROM區(qū)域映像實例;并將應(yīng)用序列號、用戶信息���、密鑰及個 人化服務(wù)器公鑰填入映像實例�����。所述智能卡個人化的方法,其中�,所述步驟B具體包括
B11�����、映像實例完成后���,個人化服務(wù)器以智能卡證書中的公鑰加密該映像實例得到加密 映像,并將該加密映像回送智能卡�;
B12、智能卡以卡內(nèi)私鑰解密所述加密映像后得到明文映像�,并將該明文映像寫入相應(yīng) EEPROM區(qū)域,則完成智能卡中該應(yīng)用的個人化流程�。所述智能卡個人化的方法,其中,所述步驟A具體還包括
A21�����、將智能卡連接到終端�����,通過終端中的個人化客戶端程序接收用戶申請���,讀取智能卡證書�����,并將用戶申請及智能卡證書發(fā)送給個人化服務(wù)器���;
A22����、個人化服務(wù)器以CA根證書驗證智能卡證書����,批準用戶申請后分配給該智能卡一 個應(yīng)用序列號;
A23����、個人化服務(wù)器將應(yīng)用序列號發(fā)送給加密機,加密機生成該序列號的相關(guān)密鑰回送 給個人化服務(wù)器���;
A24�、個人化服務(wù)器利用智能卡內(nèi)應(yīng)用數(shù)據(jù)EEPROM區(qū)域映像模板,生成該卡的卡內(nèi)應(yīng) 用數(shù)據(jù)EEPROM區(qū)域映像實例;并將該應(yīng)用序列號、用戶信息、密鑰及個人化服務(wù)器公鑰填 入映像實例�����。所述智能卡個人化的方法,其中�,所述步驟B具體還包括
B21、映像實例完成后�����,個人化服務(wù)器以智能卡證書中的公鑰加密該映像實例得到加密 映像�,并將該加密映像回送到終端上的個人化客戶端程序���;
B22、終端上的個人化客戶端程序?qū)⒓用苡诚癜l(fā)送給智能卡�;
B23�、智能卡以卡內(nèi)私鑰解密所述加密映像后得到明文映像�����,并將該明文映像寫入相應(yīng) EEPROM區(qū)域�,則完成了智能卡中該應(yīng)用的個人化流程����。所述智能卡個人化的方法,其中,所述步驟B22之后還包括將已完成個人化流程 的應(yīng)用區(qū)域再次或多次寫入新的映像,以實現(xiàn)多次個人化��。一種智能卡個人化系統(tǒng),包括智能卡、CA服務(wù)器、個人化服務(wù)器、加密機���;其中CA 服務(wù)器��、個人化服務(wù)器�、加密機處于信息安全的環(huán)境中�,其中��,
所述智能卡包括非對稱密鑰生成模塊�、非對稱加/解密模塊、映像寫入模塊、非對稱 密鑰對及證書存儲單元����、一個或多個應(yīng)用數(shù)據(jù)EEPROM區(qū)域�;
所述非對稱密鑰生成模塊用于接收生成非對稱密鑰對指令,并根據(jù)該指令處理后生成 非對稱密鑰對,并向證書服務(wù)器返回公鑰���;
所述非對稱加/解密模塊用于以卡內(nèi)私鑰解密所創(chuàng)建的加密映像后得到明文映像�����; 所述映像寫入模塊用于該明文映像寫入相應(yīng)EEPROM區(qū)域,以完成智能卡中某應(yīng)用的 個人化���;
所述非對稱密鑰對及證書存儲單元用于保存根據(jù)生成非對稱密鑰對指令生成的非對 稱密鑰對,及用于保存智能卡證書��;
所述一個或多個應(yīng)用數(shù)據(jù)EEPROM區(qū)域用于存儲一個或多個應(yīng)用數(shù)據(jù)�; 所述CA服務(wù)器包括第一發(fā)送模塊�����、CA根證書、智能卡證書生成模塊;所述CA根證書 預先內(nèi)置在所述CA服務(wù)器中;
所述第一發(fā)送模塊�,用于向智能卡發(fā)送生成非對稱密鑰對指令����; 所述智能卡證書生成模塊����、用于接收智能卡返回的公鑰����,并生成該公鑰的證書���; 所述個人化服務(wù)器包括證書驗證模塊�����、應(yīng)用序列號發(fā)送模塊、智能卡應(yīng)用數(shù)據(jù) EEPROM區(qū)域映像模板�����、映像實例生成模塊����、加密模塊、加密映像發(fā)送模塊���;所述個人化服務(wù) 器內(nèi)置有CA根證書����;
證書驗證模塊用于讀取智能卡證書�,以CA根證書驗證智能卡證書�,并分配給該智能卡 一個應(yīng)用序列號;
應(yīng)用序列號發(fā)送模塊用于將應(yīng)用序列號發(fā)送給加密機��; 智能卡應(yīng)用數(shù)據(jù)EEPROM區(qū)域映像模板用于提供各種EEPROM區(qū)域映像模板�����;映像實例生成模塊用于利用智能卡內(nèi)應(yīng)用數(shù)據(jù)EEPROM區(qū)域映像模板�,生成該卡的卡 內(nèi)應(yīng)用數(shù)據(jù)EEPROM區(qū)域映像實例;并將應(yīng)用序列號��、用戶信息、密鑰及個人化服務(wù)器公鑰 填入映像實例;
加密模塊用于當映像實例完成后��,以智能卡證書中的公鑰加密該映像實例得到加密映
像�;
加密映像發(fā)送模塊用于將加密映像回送智能卡或終端��;
所述加密機內(nèi)有智能卡相關(guān)密鑰生成模塊,用于接收所述應(yīng)用序列號���,并生成該序列 號的相關(guān)密鑰回送給個人化服務(wù)器的映像實例生成模塊。所述智能卡個人化系統(tǒng),其中,其還包括與智能卡連接的終端,終端內(nèi)有個人化 客戶端程序;
所述終端一方面用于通過個人化客戶端程序接收用戶申請����,讀取智能卡證書,并將用 戶申請及智能卡證書發(fā)送給個人化服務(wù)器�;另一方面用于將加密映像發(fā)送給智能卡�����。所述智能卡個人化系統(tǒng),其中,所述終端為移動終端。本發(fā)明所提供的智能卡個人化的方法及系統(tǒng),由于采用了在安全的服務(wù)器上依據(jù) 卡內(nèi)應(yīng)用的文件數(shù)據(jù)結(jié)構(gòu)定義�,創(chuàng)建相應(yīng)的卡內(nèi)應(yīng)用數(shù)據(jù)EEPROM區(qū)域映像��,將該映像以目 前已經(jīng)非常成熟且已被廣泛應(yīng)用的公鑰密碼技術(shù)進行加密����,然后再發(fā)送到卡內(nèi)解密����,得到 應(yīng)用數(shù)據(jù)EEPROM區(qū)域映像,寫入相應(yīng)的EEPROM區(qū)域����。能夠?qū)崿F(xiàn)在智能卡個人化時可不與 個人化服務(wù)器直接聯(lián)機��;加密的應(yīng)用數(shù)據(jù)EEPROM區(qū)域映像發(fā)送到智能卡的通信無安全措 施要求;可省去智能卡內(nèi)COS執(zhí)行創(chuàng)建文件命令的部分功能�����,節(jié)省COS占用的ROM空間等�; 方便進行第二次或更多次的非安全生產(chǎn)環(huán)境中的個人化操作,不同的運營商的應(yīng)用數(shù)據(jù)可 以動態(tài)加載到卡上�,實現(xiàn)一卡多領(lǐng)域���、多地域、多行業(yè)應(yīng)用的一卡通��,擴大卡片用途和價值����。
圖1是本發(fā)明實施例的智能卡個人化的系統(tǒng)結(jié)構(gòu)示意圖��。圖2是第一實施例的智能卡個人化的方法在智能卡發(fā)行到用戶手里之前的個人 化方法流程圖��。圖3是第二實施例的智能卡個人化的方法在智能卡發(fā)行到用戶手里之后的個人 化方法流程圖�����。圖4是本發(fā)明具體應(yīng)用實施例電子錢包應(yīng)用數(shù)據(jù)EEPROM映像模板包含數(shù)據(jù)文件 結(jié)構(gòu)示意圖。
具體實施例方式本發(fā)明所提供的一種智能卡個人化的方法及系統(tǒng)����,為使本發(fā)明的目的����、技術(shù)方案 及優(yōu)點更加清楚、明確,以下參照附圖并舉實施例對本發(fā)明進一步詳細說明。應(yīng)當理解�����,此 處所描述的具體實施例僅僅用以解釋本發(fā)明,并不用于限定本發(fā)明�。本發(fā)明實施例提供的一種智能卡個人化系統(tǒng)���,如圖1所示,包括智能卡���、終端(也 可以是移動終端)�、CA服務(wù)器(也叫認證服務(wù)器)、個人化服務(wù)器���、加密機;其中CA服務(wù)器、個 人化服務(wù)器�、加密機處于信息安全的環(huán)境中,即CA服務(wù)器���、個人化服務(wù)器�����、加密機仍然放置 在信息安全的生產(chǎn)環(huán)境中��。
所述智能卡包括非對稱密鑰生成模塊����、非對稱加/解密模塊��、映像寫入模塊�����、非 對稱密鑰對及證書存儲單元���、一個或多個應(yīng)用數(shù)據(jù)EEPROM區(qū)域����。其中���,所述非對稱密鑰生成模塊用于接收生成非對稱密鑰對指令�,并根據(jù)該指令 處理后生成非對稱密鑰對��,并向證書服務(wù)器返回公鑰�。所述非對稱加/解密模塊用于以卡內(nèi)私鑰解密所創(chuàng)建的加密映像后得到明文映像�。所述映像寫入模塊用于該明文映像寫入相應(yīng)EEPROM區(qū)域,以完成智能卡中某應(yīng) 用的個人化��。所述非對稱密鑰對及證書存儲單元用于保存根據(jù)生成非對稱密鑰對指令生成的 非對稱密鑰對����,及用于保存智能卡證書�����。所述一個或多個應(yīng)用數(shù)據(jù)EEPROM區(qū)域用于存儲一個或多個應(yīng)用數(shù)據(jù)���。與智能卡通訊連接的(移動)終端,終端內(nèi)有個人化客戶端程序���;
所述終端一方面用于通過個人化客戶端程序接收用戶申請����,讀取智能卡證書���,并將用 戶申請及智能卡證書發(fā)送給個人化服務(wù)器��;另一方面用于將加密映像發(fā)送給智能卡。所述CA服務(wù)器(也叫證書服務(wù)器)包括第一發(fā)送模塊�、CA根證書、智能卡證書生 成模塊����;所述CA根證書預先內(nèi)置在所述CA服務(wù)器中。所述第一發(fā)送模塊�,用于向智能卡發(fā)送生成非對稱密鑰對指令。所述智能卡證書生成模塊�����、用于接收智能卡返回的公鑰�,并生成該公鑰的證書。如圖1所示���,所述個人化服務(wù)器包括證書驗證模塊���、應(yīng)用序列號發(fā)送模塊、智能 卡應(yīng)用數(shù)據(jù)EEPROM區(qū)域映像模板、映像實例生成模塊�����、加密模塊��;所述個人化服務(wù)器內(nèi)置 有CA根證書�。證書驗證模塊、用于讀取智能卡證書�����,以CA根證書驗證智能卡證書����,并分配給該 智能卡一個應(yīng)用序列號。應(yīng)用序列號發(fā)送模塊���、用于將應(yīng)用序列號發(fā)送給加密機�����。智能卡應(yīng)用數(shù)據(jù)EEPROM區(qū)域映像模板��、用于提供各種EEPROM區(qū)域映像模板�����。映像實例生成模塊�、用于利用智能卡內(nèi)應(yīng)用數(shù)據(jù)EEPROM區(qū)域映像模板,生成該卡 的卡內(nèi)應(yīng)用數(shù)據(jù)EEPROM區(qū)域映像實例����;并將應(yīng)用序列號、用戶信息��、密鑰及個人化服務(wù)器 公鑰填入映像實例����。加密模塊、用于當映像實例完成后���,以智能卡證書中的公鑰加密該映像實例得到 加密映像�����;
加密映像發(fā)送模塊用于將該加密映像回送智能卡或終端�;
如圖1所示,所述加密機內(nèi)有智能卡相關(guān)密鑰生成模塊���,用于接收所述應(yīng)用序列號,并 生成該序列號的相關(guān)密鑰回送給個人化服務(wù)器的映像實例生成模塊�。本發(fā)明實施例的智能卡個人化的方法主要采用首先在安全的服務(wù)器上依據(jù)卡 內(nèi)應(yīng)用的文件數(shù)據(jù)結(jié)構(gòu)定義,創(chuàng)建相應(yīng)的卡內(nèi)應(yīng)用數(shù)據(jù)EEPROM區(qū)域映像�,將該映像以目 前已經(jīng)非常成熟且已被廣泛應(yīng)用的公鑰密碼技術(shù)進行加密,然后再發(fā)送到卡內(nèi)解密����,得到 EEPROM區(qū)域映像,寫入相應(yīng)的EEPROM區(qū)域����。本發(fā)明實施例的智能卡個人化的方法,包括在智能卡發(fā)行到用戶手里之前的個 人化方法和在智能卡發(fā)行到用戶手里之后的個人化方法�。
其中,第一實施例的智能卡個人化的方法為在智能卡發(fā)行到用戶手里之前的個人 化方法���,如圖2所示�����,包括以下步驟
101���、在CA認證中心����,證書服務(wù)器向智能卡發(fā)送生成非對稱密鑰對指令�。102、智能卡接收生成非對稱密鑰對指令處理后生成非對稱密鑰對并保存�����,并向證 書服務(wù)器返回公鑰�。103、證書服務(wù)器生成該公鑰的證書并發(fā)送回智能卡����,智能卡保存該證書。104��、將智能卡連接到個人化服務(wù)器上�����,個人化服務(wù)器讀取智能卡證書,以CA根證 書驗證智能卡證書�,并分配給該智能卡一個應(yīng)用序列號。105����、個人化服務(wù)器將應(yīng)用序列號發(fā)送給加密機,加密機生成該序列號的相關(guān)密鑰 回送給個人化服務(wù)器的映像實例生成模塊�����。106����、個人化服務(wù)器的映像實例生成模塊利用智能卡內(nèi)應(yīng)用數(shù)據(jù)EEPROM區(qū)域映像 模板����,生成該卡的卡內(nèi)應(yīng)用數(shù)據(jù)EEPROM區(qū)域映像實例;并將應(yīng)用序列號���、用戶信息���、密鑰及 個人化服務(wù)器公鑰填入映像實例。107�、映像實例完成后�����,個人化服務(wù)器以智能卡證書中的公鑰加密該映像實例得到 加密映像�;通過加密映像發(fā)送模塊將該加密映像回送智能卡或終端�����。108��、智能卡以卡內(nèi)私鑰解密所述加密映像后得到明文映像�����,并將該明文映像寫入 相應(yīng)EEPROM區(qū)域�����,則完成智能卡中該應(yīng)用的個人化流程�。其中,第二實施例的智能卡個人化的方法為在智能卡發(fā)行到用戶手里之后的個人 化方法����,如圖3所示,包括以下步驟
201����、將智能卡連接到終端���,通過終端中的個人化客戶端程序接收用戶申請,讀取智能 卡證書�����,并將用戶申請及智能卡證書發(fā)送給個人化服務(wù)器����。202、個人化服務(wù)器以CA根證書驗證智能卡證書����,批準用戶申請后分配給該智能 卡一個應(yīng)用序列號�����。203�、個人化服務(wù)器將應(yīng)用序列號發(fā)送給加密機,加密機生成該序列號的相關(guān)密鑰 回送給個人化服務(wù)器�。204、個人化服務(wù)器利用智能卡內(nèi)應(yīng)用數(shù)據(jù)EEPROM區(qū)域映像模板�,生成該卡的卡 內(nèi)應(yīng)用數(shù)據(jù)EEPROM區(qū)域映像實例�����;并將該應(yīng)用序列號���、用戶信息、密鑰及個人化服務(wù)器公 鑰填入映像實例��。205��、映像實例完成后�,個人化服務(wù)器以智能卡證書中的公鑰加密該映像實例得到 加密映像,并將該加密映像回送到終端上的個人化客戶端程序�����。206�����、終端上的個人化客戶端程序?qū)⒓用苡诚癜l(fā)送給智能卡�;
207、智能卡以卡內(nèi)私鑰解密所述加密映像后得到明文映像�,并將該明文映像寫入相應(yīng) EEPROM區(qū)域,則完成了智能卡中該應(yīng)用的個人化流程�,該應(yīng)用即可投入使用����。其中��,本實施例中���,已完成個人化流程的應(yīng)用區(qū)域可用再次或多次寫入新的映像�, 實現(xiàn)多次個人化����。本實施例的優(yōu)點為1)、智能卡個人化時可在非安全生產(chǎn)環(huán)境�,不與個人化服務(wù)器 直接聯(lián)機;
2)����、加密的應(yīng)用數(shù)據(jù)EEPROM區(qū)域映像發(fā)送到智能卡的通信無安全措施要求���;
2)�、可省去智能卡內(nèi)COS執(zhí)行創(chuàng)建文件命令的部分功能�,節(jié)省COS占用的ROM空間等;3)方便進行第二次或更多次在非安全生產(chǎn)環(huán)境中的個人化操作�,不同的運營商的應(yīng)用 數(shù)據(jù)可以動態(tài)加載到卡上��,實現(xiàn)一卡多領(lǐng)域����、多地域��、多行業(yè)應(yīng)用����,擴大卡使用范圍和價值。以下將通過具體的應(yīng)用實施例對本發(fā)明做進一步詳細說明
譬如���,當卡商完成COS置入卡片工作后���,將卡片交至CA認證中心(Certification Authority :CA)鑒定用戶身份。CA服務(wù)器內(nèi)有CA根證書����、智能卡證書生成模塊。智能卡連 接到證書服務(wù)器的智能卡讀寫器上之后�,智能卡證書生成模塊通過智能卡讀寫器向智能卡 發(fā)送指令以創(chuàng)建非對稱密鑰存儲文件0002和0003、生成RSA非對稱密鑰對KEYl和KEY2�����。智能卡接收指令處理后在非對稱密鑰、證書存儲區(qū)域中創(chuàng)建文件0002和0003����、生 成非對稱密鑰對;并把公鑰KEYl保存在文件0002中���,把私鑰KEY2保存在文件0003中�����,向 智能卡證書生成模塊返回公鑰KEYl����。智能卡證書生成模塊生成該智能卡公鑰KEYl的證書Certificatel���,證書格式符 合X. 509標準�,并向智能卡發(fā)送指令以創(chuàng)建證書文件0004和向證書文件004中寫入智能卡 公鑰證書 Certificatel��。再將智能卡連接到個人化服務(wù)器上的智能卡讀寫器上���,證書驗證模塊通過讀寫器 發(fā)送指令讀取智能卡0004文件中的證書Certificated以CA根證書驗證Certificatel。驗證成功后映像實例生成模塊利用智能卡內(nèi)電子錢包應(yīng)用數(shù)據(jù)EEPROM區(qū)域映像 模板,生成該卡的卡內(nèi)應(yīng)用數(shù)據(jù)EEPROM區(qū)域映像實例�,并給該智能卡一個應(yīng)用序列號00 00 00 00 00 00 00 01,并將該應(yīng)用序列號00 00 00 00 00 00 00 01發(fā)送給加密機��。其中���,電子錢包應(yīng)用數(shù)據(jù)EEPROM映像模板包含的數(shù)據(jù)文件結(jié)構(gòu)如圖4所示����,包括 KEY文件TF01�、應(yīng)用數(shù)據(jù)文件0015、持卡個人數(shù)據(jù)文件0016����、交易日志文件0018、電子錢包 文件0001�����、電子存折文件0002�、個人化服務(wù)器證書文件0003。智能卡相關(guān)密鑰生成模塊生成該序列號的電子錢包相關(guān)密鑰(包括消費取現(xiàn)密 鑰��、圈存密鑰�、TAC密鑰��、圈提密鑰��、修改透支限額密鑰�、應(yīng)用維護密鑰�����、PIN解鎖密鑰�、PIN重 裝密鑰、外部認證密鑰�、內(nèi)部認證密鑰)回送給映像實例生成模塊;映像實例生成模塊將該 應(yīng)用序列號填入映像實例的文件0015中����,電子錢包相關(guān)密鑰填入映像實例的文件EFOl中, 個人化服務(wù)器公鑰填入映像實例的文件0003中���。實例完成后個人模塊以智能卡證書中的公鑰加密該映像實例得到加密映像���,將該 加密映像以指令回送智能卡,智能卡非對稱加/解密模塊以卡內(nèi)私鑰解密后得到明文映 像�,將該映像寫入相應(yīng)應(yīng)用數(shù)據(jù)EEPROM區(qū)域,就完成了智能卡中該應(yīng)用的個人化流程�����。綜上所述��,本發(fā)明所提供的智能卡個人化的方法及系統(tǒng)�,由于采用了在安全的服 務(wù)器上依據(jù)卡內(nèi)應(yīng)用的文件數(shù)據(jù)結(jié)構(gòu)定義,創(chuàng)建相應(yīng)的卡內(nèi)應(yīng)用數(shù)據(jù)EEPROM區(qū)域映像�,將 該映像以目前已經(jīng)非常成熟且已被廣泛應(yīng)用的公鑰密碼技術(shù)進行加密,然后再發(fā)送到卡內(nèi) 解密��,得到應(yīng)用數(shù)據(jù)EEPROM區(qū)域映像����,寫入相應(yīng)的EEPROM區(qū)域。能夠?qū)崿F(xiàn)在智能卡個人化 時可不與個人化服務(wù)器直接聯(lián)機���;加密的應(yīng)用數(shù)據(jù)EEPROM區(qū)域映像發(fā)送到智能卡的通信 無安全措施要求���;可省去智能卡內(nèi)COS執(zhí)行創(chuàng)建文件命令的部分功能,節(jié)省COS占用的ROM 空間等����;方便進行第二次或更多次的非安全生產(chǎn)環(huán)境中的個人化操作,不同的運營商的應(yīng) 用數(shù)據(jù)可以動態(tài)加載到卡上�,實現(xiàn)一卡多領(lǐng)域�����、多地域�、多行業(yè)應(yīng)用的一卡通�,擴大卡片用 途和價值。應(yīng)當理解的是�����,本發(fā)明的應(yīng)用不限于上述的舉例�����,對本領(lǐng)域普通技術(shù)人員來說���,可以根據(jù)上述說明加以改進或變換��,例如�����,將本發(fā)明方法用于卡片cos程序模塊的更新等����,所 有這些改進和變換都應(yīng)屬于本發(fā)明所附權(quán)利要求的保護范圍。
權(quán)利要求
1.一種智能卡個人化的方法���,其特征在于���,包括A�����、在安全的服務(wù)器上依據(jù)卡內(nèi)應(yīng)用的文件數(shù)據(jù)結(jié)構(gòu)定義���,創(chuàng)建相應(yīng)的卡內(nèi)應(yīng)用數(shù)據(jù) EEPROM區(qū)域映像��;B�、將該映像以公鑰密碼技術(shù)進行加密�����,并將加密后的映像發(fā)送到智能卡內(nèi)解密�����,得到 應(yīng)用數(shù)據(jù)EEPROM區(qū)域映像����,寫入相應(yīng)的EEPROM區(qū)域�。
2.根據(jù)權(quán)利要求1所述智能卡個人化的方法���,其特征在于����,所述步驟A具體包括 All����、證書服務(wù)器向智能卡發(fā)送生成非對稱密鑰對指令;A12�����、智能卡接收生成非對稱密鑰對指令處理后生成非對稱密鑰對并保存�,并向證書服 務(wù)器返回公鑰;A13�、證書服務(wù)器生成該公鑰的證書并發(fā)送回智能卡,智能卡保存該證書�; A14、將智能卡連接到個人化服務(wù)器上�����,個人化服務(wù)器讀取智能卡證書,以CA根證書驗 證智能卡證書���,并分配給該智能卡一個應(yīng)用序列號����;A15���、個人化服務(wù)器將應(yīng)用序列號發(fā)送給加密機,加密機生成該序列號的相關(guān)密鑰回送 給個人化服務(wù)器的映像實例生成模塊���;A16����、個人化服務(wù)器的映像實例生成模塊利用智能卡內(nèi)應(yīng)用數(shù)據(jù)EEPROM區(qū)域映像模 板���,生成該卡的卡內(nèi)應(yīng)用數(shù)據(jù)EEPROM區(qū)域映像實例��;并將應(yīng)用序列號�、用戶信息�、密鑰及個 人化服務(wù)器公鑰填入映像實例。
3.根據(jù)權(quán)利要求2所述智能卡個人化的方法���,其特征在于���,所述步驟B具體包括 B11�、映像實例完成后�����,個人化服務(wù)器以智能卡證書中的公鑰加密該映像實例得到加密映像����,并將該加密映像回送智能卡;B12����、智能卡以卡內(nèi)私鑰解密所述加密映像后得到明文映像,并將該明文映像寫入相應(yīng) EEPROM區(qū)域��,則完成智能卡中該應(yīng)用的個人化流程����。
4.根據(jù)權(quán)利要求1所述智能卡個人化的方法,其特征在于��,所述步驟A具體還包括 A21、將智能卡連接到終端���,通過終端中的個人化客戶端程序接收用戶申請���,讀取智能卡證書,并將用戶申請及智能卡證書發(fā)送給個人化服務(wù)器��;A22���、個人化服務(wù)器以CA根證書驗證智能卡證書���,批準用戶申請后分配給該智能卡一 個應(yīng)用序列號;A23���、個人化服務(wù)器將應(yīng)用序列號發(fā)送給加密機,加密機生成該序列號的相關(guān)密鑰回送 給個人化服務(wù)器���;A24�����、個人化服務(wù)器利用智能卡內(nèi)應(yīng)用數(shù)據(jù)EEPROM區(qū)域映像模板��,生成該卡的卡內(nèi)應(yīng) 用數(shù)據(jù)EEPROM區(qū)域映像實例���;并將該應(yīng)用序列號�、用戶信息�����、密鑰及個人化服務(wù)器公鑰填 入映像實例��。
5.根據(jù)權(quán)利要求4所述智能卡個人化的方法�,其特征在于,所述步驟B具體還包括 B21����、映像實例完成后,個人化服務(wù)器以智能卡證書中的公鑰加密該映像實例得到加密映像����,并將該加密映像回送到終端上的個人化客戶端程序;B22�����、終端上的個人化客戶端程序?qū)⒓用苡诚癜l(fā)送給智能卡����;B23�、智能卡以卡內(nèi)私鑰解密所述加密映像后得到明文映像�����,并將該明文映像寫入相應(yīng) EEPROM區(qū)域�����,則完成了智能卡中該應(yīng)用的個人化流程�。
6.根據(jù)權(quán)利要求5所述智能卡個人化的方法,其特征在于����,所述步驟B22之后還包括將已完成個人化流程的應(yīng)用區(qū)域再次或多次寫入新的映像,以實現(xiàn)多次個人化�����。
7.一種智能卡個人化系統(tǒng)�����,包括智能卡�、CA服務(wù)器、個人化服務(wù)器�、加密機;其中CA 服務(wù)器����、個人化服務(wù)器、加密機處于信息安全的環(huán)境中���,其特征在于����,所述智能卡包括非對稱密鑰生成模塊���、非對稱加/解密模塊�����、映像寫入模塊�����、非對稱 密鑰對及證書存儲單元�����、一個或多個應(yīng)用數(shù)據(jù)EEPROM區(qū)域�;所述非對稱密鑰生成模塊用于接收生成非對稱密鑰對指令,并根據(jù)該指令處理后生成 非對稱密鑰對��,并向證書服務(wù)器返回公鑰�;所述非對稱加/解密模塊用于以卡內(nèi)私鑰解密所創(chuàng)建的加密映像后得到明文映像; 所述映像寫入模塊用于該明文映像寫入相應(yīng)EEPROM區(qū)域��,以完成智能卡中某應(yīng)用的 個人化���;所述非對稱密鑰對及證書存儲單元用于保存根據(jù)生成非對稱密鑰對指令生成的非對 稱密鑰對����,及用于保存智能卡證書���;所述一個或多個應(yīng)用數(shù)據(jù)EEPROM區(qū)域用于存儲一個或多個應(yīng)用數(shù)據(jù)����; 所述CA服務(wù)器包括第一發(fā)送模塊����、CA根證書���、智能卡證書生成模塊�;所述CA根證書 預先內(nèi)置在所述CA服務(wù)器中;所述第一發(fā)送模塊�,用于向智能卡發(fā)送生成非對稱密鑰對指令; 所述智能卡證書生成模塊���、用于接收智能卡返回的公鑰����,并生成該公鑰的證書���; 所述個人化服務(wù)器包括證書驗證模塊����、應(yīng)用序列號發(fā)送模塊�、智能卡應(yīng)用數(shù)據(jù) EEPROM區(qū)域映像模板、映像實例生成模塊����、加密模塊、加密映像發(fā)送模塊���;所述個人化服務(wù) 器內(nèi)置有CA根證書����;證書驗證模塊用于讀取智能卡證書,以CA根證書驗證智能卡證書�,并分配給該智能卡 一個應(yīng)用序列號;應(yīng)用序列號發(fā)送模塊用于將應(yīng)用序列號發(fā)送給加密機�����; 智能卡應(yīng)用數(shù)據(jù)EEPROM區(qū)域映像模板用于提供各種EEPROM區(qū)域映像模板����; 映像實例生成模塊用于利用智能卡內(nèi)應(yīng)用數(shù)據(jù)EEPROM區(qū)域映像模板,生成該卡的卡 內(nèi)應(yīng)用數(shù)據(jù)EEPROM區(qū)域映像實例��;并將應(yīng)用序列號�、用戶信息、密鑰及個人化服務(wù)器公鑰 填入映像實例�����;加密模塊用于當映像實例完成后���,以智能卡證書中的公鑰加密該映像實例得到加密映像���;加密映像發(fā)送模塊用于將加密映像回送智能卡或終端�����;所述加密機內(nèi)有智能卡相關(guān)密鑰生成模塊,用于接收所述應(yīng)用序列號����,并生成該序列 號的相關(guān)密鑰回送給個人化服務(wù)器的映像實例生成模塊。
8.根據(jù)權(quán)利要求7所述智能卡個人化系統(tǒng)�����,其特征在于���,其還包括與智能卡連接的終 端�����,終端內(nèi)有個人化客戶端程序����;所述終端一方面用于通過個人化客戶端程序接收用戶申請�,讀取智能卡證書,并將用 戶申請及智能卡證書發(fā)送給個人化服務(wù)器;另一方面用于將加密映像發(fā)送給智能卡��。
9.根據(jù)權(quán)利要求7所述智能卡個人化系統(tǒng)���,其特征在于�,所述終端為移動終端��。
全文摘要
本發(fā)明涉及智能卡���、信息安全領(lǐng)域�����,本發(fā)明公開了一種智能卡個人化的方法及系統(tǒng)����。本發(fā)明由于采用了在安全的服務(wù)器上依據(jù)卡內(nèi)應(yīng)用的文件數(shù)據(jù)結(jié)構(gòu)定義,創(chuàng)建相應(yīng)的卡內(nèi)應(yīng)用數(shù)據(jù)EEPROM區(qū)域映像��,將該映像以目前已經(jīng)非常成熟且已被廣泛應(yīng)用的公鑰密碼技術(shù)進行加密�,然后再發(fā)送到卡內(nèi)解密,得到應(yīng)用數(shù)據(jù)EEPROM區(qū)域映像�����,寫入相應(yīng)的EEPROM區(qū)域。能實現(xiàn)智能卡發(fā)給用戶后也可實現(xiàn)個人化���,可省去智能卡內(nèi)COS執(zhí)行創(chuàng)建文件命令的部分功能���,節(jié)省COS這部分功能占用的ROM空間等;方便進行第二次或更多次的非安全生產(chǎn)環(huán)境中的個人化操作��,不同的運營商的應(yīng)用數(shù)據(jù)可以動態(tài)加載到卡上���,實現(xiàn)一卡多用,擴大卡片用途和價值��。
文檔編號H04L9/30GK102088349SQ201010607250
公開日2011年6月8日 申請日期2010年12月27日 優(yōu)先權(quán)日2010年12月27日
發(fā)明者劉丁, 姚志文, 郝昌富 申請人:深圳市安捷信聯(lián)科技有限公司