身份識(shí)別模塊中耦合設(shè)置有PKI認(rèn)證應(yīng)用單元�����。其中:
[0139]應(yīng)用客戶端����,用于根據(jù)應(yīng)用系統(tǒng)的加密/簽名指示���,通過USB接口將待加密/簽名數(shù)據(jù)信息發(fā)送給PKI認(rèn)證客戶端��;以及將PKI認(rèn)證客戶端通過USB接口返回的加密/簽名信息通過Internet發(fā)送到應(yīng)用系統(tǒng)��。其中的Internet可以包括但不限于有線以太網(wǎng)或者無線局域網(wǎng)WIFI
[0140]PKI認(rèn)證客戶端��,位于手機(jī)終端的應(yīng)用層�,可以調(diào)用機(jī)卡接口模塊訪問用戶身份識(shí)別模塊,用于通過機(jī)卡接口模塊將待加密/簽名數(shù)據(jù)信息發(fā)送給PKI認(rèn)證應(yīng)用單元���;以及通過USB接口將PKI認(rèn)證應(yīng)用單元通過機(jī)卡接口模塊返回的加密/簽名信息返回應(yīng)用客戶端���。
[0141]機(jī)卡接口模塊,位于手機(jī)終端的操作系統(tǒng)(0S)層���,用于實(shí)現(xiàn)PKI認(rèn)證客戶端與用戶身份識(shí)別模塊之間的信息交互接口���,將PKI認(rèn)證客戶端發(fā)送的待加密/簽名數(shù)據(jù)信息發(fā)送給PKI認(rèn)證應(yīng)用單元,以及將PKI認(rèn)證應(yīng)用單元返回的加密/簽名信息發(fā)送給PKI認(rèn)證客戶端�����。具體地�,該機(jī)卡接口模塊可以是位于0S層中的一個(gè)機(jī)卡接口軟件開發(fā)工具包(Software Development Kit, SDK),其中的操作系統(tǒng)包括但不限于安卓(Android)操作系統(tǒng)或iphone操作系統(tǒng)(10S)���。
[0142]PKI認(rèn)證應(yīng)用單元�����,用于采用預(yù)先設(shè)置的加密/簽名算法�,例如0CRA算法或者RSA算法,利用預(yù)先生成的公私密鑰對(duì)采用中的私鑰對(duì)待加密/簽名數(shù)據(jù)信息進(jìn)行加密/簽名����,得到加密/簽名信息;并通過機(jī)卡接口模塊將加密/簽名信息返回PKI認(rèn)證客戶端�。
[0143]應(yīng)用系統(tǒng),用于將應(yīng)用客戶端發(fā)送的加密/簽名信息發(fā)送給PKI認(rèn)證服務(wù)器���。
[0144]PKI認(rèn)證服務(wù)器�,用于采用加密/簽名算法����,利用公私密鑰對(duì)采用中的公鑰對(duì)加密/簽名信息進(jìn)行解密、驗(yàn)證����。
[0145]在本發(fā)明基于USBKey進(jìn)行應(yīng)用簽名的系統(tǒng)另一個(gè)實(shí)施例中,應(yīng)用客戶端�,還用于依次通過USB接口和機(jī)卡接口模塊獲取用戶身份識(shí)別模塊中的ICCID及公私密鑰對(duì)采用中的公鑰,并通過Internet將ICCID、公私密鑰對(duì)采用中的公鑰與應(yīng)用ID上傳給PKI認(rèn)證服務(wù)器�����。相應(yīng)地�����,PKI認(rèn)證服務(wù)器����,還用于在對(duì)應(yīng)關(guān)系表中建立ICCID、公私密鑰對(duì)采用中的公鑰與應(yīng)用ID之間的對(duì)應(yīng)關(guān)系�。
[0146]在上述另一個(gè)實(shí)施例的一個(gè)具體示例中,應(yīng)用客戶端具體通過USB接口通信協(xié)議向PKI認(rèn)證客戶端發(fā)送獲取ICCID及公鑰信息的獲取請(qǐng)求�����,該獲取請(qǐng)求中包括應(yīng)用ID��。相應(yīng)地�,PKI認(rèn)證客戶端具體在監(jiān)測(cè)到來自PC的獲取請(qǐng)求時(shí),將獲取請(qǐng)求轉(zhuǎn)換為應(yīng)用協(xié)議數(shù)據(jù)單元APDU格式請(qǐng)求指令���,通過機(jī)卡接口模塊轉(zhuǎn)發(fā)給PKI認(rèn)證應(yīng)用單元;以及將PKI認(rèn)證應(yīng)用單元返回的APDU格式響應(yīng)指令轉(zhuǎn)換成USB接口通信協(xié)議的響應(yīng)報(bào)文發(fā)送給應(yīng)用客戶端。PKI認(rèn)證應(yīng)用單元具體將用戶身份識(shí)別模塊中的手機(jī)號(hào)碼���、ICCID和獲取請(qǐng)求中應(yīng)用ID及其對(duì)應(yīng)的公私密鑰對(duì)中的公鑰封裝到APDU格式響應(yīng)指令中�,并通過機(jī)卡接口模塊將APDU格式響應(yīng)指令返回給PKI認(rèn)證客戶端��。應(yīng)用客戶端具體通過Internet��,將手機(jī)號(hào)碼�、ICCID、應(yīng)用ID及其對(duì)應(yīng)的公鑰發(fā)送給PKI認(rèn)證服務(wù)器��。PKI認(rèn)證服務(wù)器具體在對(duì)應(yīng)關(guān)系表中建立手機(jī)號(hào)碼����、ICCID、上述應(yīng)用ID及其對(duì)應(yīng)的公鑰之間的對(duì)應(yīng)關(guān)系��。
[0147]在本發(fā)明基于USBKey進(jìn)行應(yīng)用簽名的系統(tǒng)又一個(gè)實(shí)施例中���,PKI認(rèn)證應(yīng)用單元�����,還用于在接收到APDU格式請(qǐng)求指令時(shí)���,根據(jù)用戶身份識(shí)別模塊中的應(yīng)用白名單中是否包括APDU格式請(qǐng)求指令中的應(yīng)用ID���,判斷APDU格式請(qǐng)求指令是否為合法的應(yīng)用請(qǐng)求信息。若應(yīng)用白名單中包括應(yīng)用ID�����,判定APDU格式請(qǐng)求指令為合法的應(yīng)用請(qǐng)求信息�,執(zhí)行將用戶身份識(shí)別模塊中的手機(jī)號(hào)碼、ICCID和應(yīng)用ID及其對(duì)應(yīng)的公私密鑰對(duì)中的公鑰封裝到APDU格式響應(yīng)指令的操作���。否則��,若應(yīng)用白名單中不包括應(yīng)用ID����,判定APDU格式請(qǐng)求指令為非法的應(yīng)用請(qǐng)求信息�����,通過機(jī)卡接口模塊向PKI認(rèn)證客戶端返回APDU格式錯(cuò)誤響應(yīng)指令��,該APDU格式錯(cuò)誤響應(yīng)指令中包括上述應(yīng)用ID�����。PKI認(rèn)證客戶端�����,還用于通過USB接口通信協(xié)議向應(yīng)用客戶端返回錯(cuò)誤響應(yīng)消息��,該錯(cuò)誤響應(yīng)消息中包括應(yīng)用ID�����。
[0148]在本發(fā)明上述各系統(tǒng)實(shí)施例中的另一個(gè)具體示例中��,應(yīng)用客戶端具體通過USB接口通信協(xié)議將待加密/簽名數(shù)據(jù)信息發(fā)送給PKI認(rèn)證客戶端����。PKI認(rèn)證客戶端具體在監(jiān)測(cè)到來自PC的待加密/簽名數(shù)據(jù)信息時(shí),將待加密/簽名數(shù)據(jù)信息封裝為APDU格式業(yè)務(wù)指令�����,通過機(jī)卡接口模塊轉(zhuǎn)發(fā)給PKI認(rèn)證應(yīng)用單元��。
[0149]在本發(fā)明上述各系統(tǒng)實(shí)施例中的又一個(gè)具體示例中���,PKI認(rèn)證應(yīng)用單元具體將加密/簽名的信息封裝到APDU格式業(yè)務(wù)響應(yīng)指令中����,并通過機(jī)卡接口模塊將APDU格式業(yè)務(wù)響應(yīng)指令返回給PKI認(rèn)證客戶端。相應(yīng)地����,PKI認(rèn)證客戶端具體將APDU格式業(yè)務(wù)響應(yīng)指令轉(zhuǎn)換為USB接口通信協(xié)議格式的業(yè)務(wù)響應(yīng)報(bào)文發(fā)送給應(yīng)用客戶端。
[0150]在本發(fā)明基于USBKey進(jìn)行應(yīng)用簽名的系統(tǒng)再一個(gè)實(shí)施例中�,PKI認(rèn)證應(yīng)用單元,還用于根據(jù)用戶身份識(shí)別模塊中的應(yīng)用白名單中各應(yīng)用的應(yīng)用ID��,生成各應(yīng)用的公私密鑰對(duì)�����,并存儲(chǔ)各應(yīng)用的應(yīng)用ID對(duì)應(yīng)的公私密鑰對(duì)���。
[0151]本發(fā)明實(shí)施例中的用戶身份識(shí)別模塊為多功能通用JAVA卡���,其中可以置入多對(duì)公私密鑰對(duì),以用于不同的應(yīng)用系統(tǒng)����。
[0152]本說明書中各個(gè)實(shí)施例均采用遞進(jìn)的方式描述��,每個(gè)實(shí)施例重點(diǎn)說明的都是與其它實(shí)施例的不同之處����,各個(gè)實(shí)施例之間相同或相似的部分相互參見即可���。對(duì)于系統(tǒng)實(shí)施例而言,由于其與方法實(shí)施例基本對(duì)應(yīng)���,所以描述的比較簡(jiǎn)單��,相關(guān)之處參見方法實(shí)施例的部分說明即可��。
[0153]可能以許多方式來實(shí)現(xiàn)本發(fā)明的方法����、系統(tǒng)����。例如,可通過軟件��、硬件����、固件或者軟件���、硬件、固件的任何組合來實(shí)現(xiàn)本發(fā)明的方法和系統(tǒng)��。用于所述方法的步驟的上述順序僅是為了進(jìn)行說明��,本發(fā)明的方法的步驟不限于以上具體描述的順序�����,除非以其它方式特別說明����。此外,在一些實(shí)施例中�����,還可將本發(fā)明實(shí)施為記錄在記錄介質(zhì)中的程序�,這些程序包括用于實(shí)現(xiàn)根據(jù)本發(fā)明的方法的機(jī)器可讀指令。因而���,本發(fā)明還覆蓋存儲(chǔ)用于執(zhí)行根據(jù)本發(fā)明的方法的程序的記錄介質(zhì)�����。
[0154]本發(fā)明的描述是為了示例和描述起見而給出的�,而并不是無遺漏的或者將本發(fā)明限于所公開的形式。很多修改和變化對(duì)于本領(lǐng)域的普通技術(shù)人員而言是顯然的����。選擇和描述實(shí)施例是為了更好說明本發(fā)明的原理和實(shí)際應(yīng)用,并且使本領(lǐng)域的普通技術(shù)人員能夠理解本發(fā)明從而設(shè)計(jì)適于特定用途的帶有各種修改的各種實(shí)施例���。
【主權(quán)項(xiàng)】
1.一種基于電子鑰匙進(jìn)行應(yīng)用簽名的方法,其特征在于��,包括: 個(gè)人計(jì)算機(jī)PC上的應(yīng)用客戶端根據(jù)應(yīng)用系統(tǒng)的加密/簽名指示�,通過通用串行總線USB接口將待加密/簽名數(shù)據(jù)信息發(fā)送給手機(jī)終端上的公用密鑰基礎(chǔ)結(jié)構(gòu)PKI認(rèn)證客戶端; PKI認(rèn)證客戶端通過機(jī)卡接口模塊將所述待加密/簽名數(shù)據(jù)信息發(fā)送給手機(jī)終端上用戶身份識(shí)別模塊中的PKI認(rèn)證應(yīng)用單元; PKI認(rèn)證應(yīng)用單元采用預(yù)先設(shè)置的加密/簽名算法���,利用預(yù)先生成的公私密鑰對(duì)采用中的私鑰對(duì)待加密/簽名數(shù)據(jù)信息進(jìn)行加密/簽名���,得到加密/簽名信息; PKI認(rèn)證應(yīng)用單元通過機(jī)卡接口模塊將所述加密/簽名信息返回所述PKI認(rèn)證客戶端; PKI認(rèn)證客戶端通過USB接口將所述加密/簽名信息返回所述應(yīng)用客戶端����; 應(yīng)用客戶端將所述加密/簽名信息通過互聯(lián)網(wǎng)Internet發(fā)送到應(yīng)用系統(tǒng)��; 應(yīng)用系統(tǒng)將所述加密/簽名信息發(fā)送給PKI認(rèn)證服務(wù)器��; PKI認(rèn)證服務(wù)器采用所述加密/簽名算法�����,利用所述公私密鑰對(duì)采用中的公鑰對(duì)所述加密/簽名信息進(jìn)行解密�、驗(yàn)證��。2.根據(jù)權(quán)利要求1所述的方法����,其特征在于,還包括: 所述應(yīng)用客戶端依次通過USB接口和機(jī)卡接口模塊獲取用戶身份識(shí)別模塊中集成電路卡識(shí)別碼ICCID及所述公私密鑰對(duì)采用中的公鑰����,并通過Internet將所述ICCID、所述公私密鑰對(duì)采用中的公鑰與應(yīng)用標(biāo)識(shí)ID上傳給PKI認(rèn)證服務(wù)器����; PKI認(rèn)證服務(wù)器在對(duì)應(yīng)關(guān)系表中建立所述ICCID、所述公私密鑰對(duì)采用中的公鑰與所述應(yīng)用ID之間的對(duì)應(yīng)關(guān)系����。3.根據(jù)權(quán)利要求2所述的方法�����,其特征在于���,所述應(yīng)用客戶端依次通過USB接口和機(jī)卡接口模塊獲取用戶身份識(shí)別模塊中ICCID及所述公私密鑰對(duì)采用中的公鑰包括: 所述應(yīng)用客戶端通過USB接口通信協(xié)議向所述PKI認(rèn)證客戶端發(fā)送獲取ICCID及公鑰信息的獲取請(qǐng)求,該獲取請(qǐng)求中包括所述應(yīng)用ID �����; PKI認(rèn)證客戶端監(jiān)測(cè)到來自PC的獲取請(qǐng)求����,將所述獲取請(qǐng)求轉(zhuǎn)換為應(yīng)用協(xié)議數(shù)據(jù)單元APDU格式請(qǐng)求指令�����,通過機(jī)卡接口模塊轉(zhuǎn)發(fā)給所述PKI認(rèn)證應(yīng)用單元���; 所述PKI認(rèn)證應(yīng)用單元將所述用戶身份識(shí)別模塊中的手機(jī)號(hào)碼�����、ICCID和所述應(yīng)用ID及其對(duì)應(yīng)的公私密鑰對(duì)中的公鑰封裝到APDU格式響應(yīng)指令中���,并通過機(jī)卡接口模塊將APDU格式響應(yīng)指令返回給所述PKI認(rèn)證客戶端����; PKI認(rèn)證客戶端將所述APDU格式響應(yīng)指令轉(zhuǎn)換成USB接口通信協(xié)議的響應(yīng)報(bào)文發(fā)送給所述應(yīng)用客戶端���; 所述通過Internet將所述ICCID��、所述公私密鑰對(duì)采用中的公鑰與應(yīng)用ID上傳給PKI認(rèn)證服務(wù)器具體為:所述應(yīng)用客戶端通過Internet�����,將所述手機(jī)號(hào)碼��、ICCID���、所述應(yīng)用ID及其對(duì)應(yīng)的公鑰發(fā)送給PKI認(rèn)證服務(wù)器; 所述PKI認(rèn)證服務(wù)器在對(duì)應(yīng)關(guān)系表中建立所述ICCID��、所述公私密鑰對(duì)采用中的公鑰與所述應(yīng)用ID之間的對(duì)應(yīng)關(guān)系具體為:所述PKI認(rèn)證服務(wù)器在對(duì)應(yīng)關(guān)系表中建立所述手機(jī)號(hào)碼�����、ICCID、所述應(yīng)用ID及其對(duì)應(yīng)的公鑰之間