一种读写智能卡的方法及装置的制造方法
一种读写智能卡的方法及装置的制造方法
【技术领域】
[0001] 本发明设及计算机技术领域,尤其设及一种读写智能卡的方法及装置。
【背景技术】
[0002] 智能卡也叫CPU卡,卡内的集成电路中带有微处理器CPU、存储单元W及忍片操作 系统cos。装有cos的CPU卡相当于一台微型计算机,不仅具有数据存储功能,同时具有命令 处理和数据安全保护等功能。
[0003] NFC(化ar Field Communication)即近距离无线通讯技术。是由免接触式射频识 另IJ(RFID)演变而来,并向下兼容RFID,即NFC本身也是一种非接触式识别和互联技术,可W 在移动设备、消费类电子产品、PC和智能控件工具间进行近距离无线通信。NFC提供了一种 简单、触控式的解决方案,可W让消费者简单直观地交换信息、访问内容与服务。
[0004] 现有的NFC技术可用于移动终端对智能卡的读写,但对于通过NFC对智能卡的读写 方式上,并没有采用较好的加密手段,因此导致在使用NFC技术对智能卡进行读写时,例如 支付的场景中,安全性较低。
【发明内容】
[0005] 基于此,为解决上述提到的传统技术中的在使用NFC技术对智能卡进行读写时存 在的安全性较低的技术问题,特提供了一种读写智能卡的方法。
[0006] -种读写智能卡的方法,包括:
[0007] 通过近场通信NFC忍片感应智能卡,与感应到的智能卡建立NFC连接;
[000引通过所述NFC连接向所述智能卡发送公钥基础设施PKI选择请求,获取所述智能卡 返回的PKI应用标识;
[0009] 在所述返回的PKI应用标识与预设值匹配时,获取所述PKI应用标识对应的PKI应 用,通过所述PKI应用的数字签名接口函数向所述智能卡发送数字签名指令,所述数字签名 指令包含待签名数据;
[0010] 接收所述智能卡通过所述NFC连接返回的与所述待签名数据对应的已签名数据。
[0011] 可选的,在所述返回的PKI应用标识与预设值不匹配时,返回错误提示信息。
[0012] 可选的,所述获取所述PKI应用标识对应的PKI应用的步骤之后还包括:
[0013] 通过所述PKI应用的验证数字签名接口函数向所述智能卡发送验证数字签名指 令,所述验证数字签名指令包含待验证签名数据;
[0014] 接收所述智能卡通过所述NFC连接返回的与所述待验证签名数据对应的验证结 果。
[0015] 可选的,所述获取所述PKI应用标识对应的PKI应用的步骤之后还包括:
[0016] 通过所述PKI应用的非对称加/解密接口函数向所述智能卡发送非对称算法加/解 密指令,所述数字签名指令包含待加/解密数据;
[0017] 接收所述智能卡通过所述NFC连接返回的与所述待加/解密数据对应的已经过非 对称算法加/解密的数据。
[0018] 可选的,所述获取所述PKI应用标识对应的PKI应用的步骤之后还包括:
[0019] 通过所述PKI应用的对称加/解密接口函数向所述智能卡发送对称算法加/解密指 令,所述数字签名指令包含待加/解密数据;
[0020] 接收所述智能卡通过所述NFC连接返回的与所述待加/解密数据对应的已经过对 称算法加/解密的数据。
[0021] 此外,为解决上述提到的传统技术中的在使用NFC技术对智能卡进行读写时存在 的安全性较低的技术问题,特提供了一种读写智能卡的装置。
[0022] -种读写智能卡的装置,包括:
[0023] NFC连接建立模块,用于通过近场通信NFC忍片感应智能卡,与感应到的智能卡建 立NFC连接;
[0024] PKI应用标识获取模块,用于通过所述NFC连接向所述智能卡发送公钥基础设施 PKI选择请求,获取所述智能卡返回的PKI应用标识;
[0025] 数字签名发送模块,用于在所述返回的PKI应用标识与预设值匹配时,获取所述 PKI应用标识对应的PKI应用,通过所述PKI应用的数字签名接口函数向所述智能卡发送数 字签名指令,所述数字签名指令包含待签名数据;
[0026] 数字签名接收模块,用于接收所述智能卡通过所述NFC连接返回的与所述待签名 数据对应的已签名数据。
[0027] 可选的,所述装置还包括错误提示信息返回模块,用于在所述返回的PKI应用标识 与预设值不匹配时,返回错误提示信息。
[0028] 可选的,所述装置还包括数字签名验证模块,用于:
[0029] 通过所述PKI应用的验证数字签名接口函数向所述智能卡发送验证数字签名指 令,所述验证数字签名指令包含待验证签名数据;
[0030] 接收所述智能卡通过所述NFC连接返回的与所述待验证签名数据对应的验证结 果。
[0031] 可选的,所述装置还包括非对称加解密模块,用于:
[0032] 通过所述PKI应用的非对称加/解密接口函数向所述智能卡发送非对称算法加/解 密指令,所述数字签名指令包含待加/解密数据;
[0033] 接收所述智能卡通过所述NFC连接返回的与所述待加/解密数据对应的已经过非 对称算法加/解密的数据。
[0034] 可选的,所述装置还包括对称加解密模块,用于:
[0035] 通过所述PKI应用的对称加/解密接口函数向所述智能卡发送对称算法加/解密指 令,所述数字签名指令包含待加/解密数据;
[0036] 接收所述智能卡通过所述NFC连接返回的与所述待加/解密数据对应的已经过对 称算法加/解密的数据。
[0037] 实施本发明实施例,将具有如下有益效果:
[0038] 采用了上述读写智能卡的方法及装置之后,在带有NFC忍片的移动终端对智能卡 进行读写的过程中,可W通过移动终端与智能卡之间的NFC连接实现基于PKI机制的数据交 互,也就是说,在用户使用移动终端对智能卡进行读写的时候,还要经过加密处理,提高了 移动终端对智能卡的读写的过程中的安全性,提升了用户体验。
【附图说明】
[0039] 为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现 有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本 发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可 W根据运些附图获得其他的附图。
[0040] 其中;
[0041 ]图1为一个实施例中一种读写智能卡的方法的流程示意图;
[0042] 图2为一个实施例中一种读写智能卡的装置的结构示意图。
【具体实施方式】
[0043] 下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完 整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于 本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他 实施例,都属于本发明保护的范围。
[0044] 为解决上述提到的传统技术中的在使用NFC技术对智能卡进行读写时存在的安全 性较低的技术问题,在本实施例中,特提供了一种读写智能卡的方法。上述读写智能卡的方 法依赖于计算机程序实现,可运行于基于冯诺依曼体系的计算机系统上。该计算机程序可 W是适配智能卡的应用程序。该计算机系统可W是基于冯诺依曼体系的并带有近场通信功 能的计算机设备,例如智能手机、平板电脑、智能手表、智能手环或 带有NFC感应器的个人计 算机等设备。
[0045] 具体的,该读写智能卡的方法如图1所示,包括如下步骤:
[0046] 步骤S102:通过近场通信NFC忍片感应智能卡,与感应到的智能卡建立NFC连接。
[0047] 如前所述,智能卡(CPU卡)为标准的具有智能卡忍片的集成电路设备,终端中设置 有智能卡读写忍片,终端中包含有智能卡读写忍片的驱动程序。当智能卡接触或靠近终端 时,智能卡读写忍片驱动程序即可感应到智能卡,也就是说,终端可W通过近场通信NFC忍 片感应智能卡。
[004引在本实施例中,智能卡中可安装有近场通信(英文:Near Field Communication, 简称:NFC)忍片,终端中的智能卡读写忍片可W是近场通信忍片,终端可通过感应近场通信 信号,根据近场通信信号感应到相关的智能卡,并与感应到的智能卡建立NFC连接。
[0049] 智能卡在贴近终端并通过NFC信号与终端建立连接之后,就可W与终端之间进行 数据交互,则可将智能卡中存储的与该智能卡对应的相关数据通过NFC信号发送给终端,由 终端通过NFC忍片接收。
[0050] 例如,用户将公交卡贴合在基于本实施例的手机终端上时,手机终端则可通过NFC 检测到公交卡的接触事件,并可通过手机终端中的NFC忍片建立与该智能卡的连接关系。
[0051] 步骤S104:通过所述NFC连接向所述智能卡发送公钥基础设施PKI选择请求,获取 所述智能卡返回的PKI应用标识。
[0052] 在步骤S102中,终端通过安装在终端和智能卡中的NFC忍片建立了与智能卡之间 的NFC连接,也就是所,终端与智能卡之间能通过该NFC连接进行通信和/或数据交互,即智 能卡能接收到终端发送的数据,终端也能接收智能卡返回的数据。
[0化3] PKI(Public Ifey In打as化ucture)即。公钥基础设施",是一种遵循既定标准的密 钥管理平台,它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证 书管理体系,简单来说,PKI就是利用公钥理论和技术建立的提供安全服务的基础设施。PKI 技术是信息安全技术的核屯、,也是电子商务的关键和基础技术。
[0054] 公钥基础设施PKI选择请求是终端在与智能卡建立NFC连接之后,根据该NFC连接 生成的。该请求是为了获知该已连接的智能卡的具体类型,例如,公交卡、食堂饭卡或购物 卡。智能卡在接收到该请求之后,根据请求的相关内容,将其本身对应的PKI应用标识返回 给终端。
[0055] 在本实施例中,在终端向智能卡发送公钥基础设施PKI选择请求之后,智能卡将智 能卡中存储的与该智能卡对应的用于表示该智能卡对应的应用类型的PKI应用标识通过 NFC信号发送给终端,由终端通过NFC忍片接收。该应用标识为已预先存储在智能卡的存储 器中,智能卡通过读取其自身的存储器读取该应用标识。
[0056] 步骤S106:在所述返回的PKI应用标识与预设值匹配时,获取所述PKI应用标识对 应的PKI应用,通过所述PKI应用的数字签名接口函数向所述智能卡发送数字签名指令,所 述数字签名指令包含待签名数据。
[0057] 终端在接收到智能卡返回的PKI应用标识之后,判断该PKI应用标识是否与预设 值匹配。需要说明的是,在本实施例中,预设值可W只有一个,也就是说,在该终端上,只支 持某一种应用类型的智能卡,而不支持其他种类的智能卡;另外,预设值还可W包含多个, 终端在预设值列表中查找与上述PKI应用标识匹配的预设值,若查找到,则判定所述返回的 PKI应用标识与预设值匹配;在此种情况下,终端同时支持多种类型的智能卡,即用户既可 W在终端上使用A类智能卡,也可W在终端上使用B类智能卡。
[0058] 在本实施例中,不同的PKI应用标识对应于不同的PKI应用,在接收到的PKI应用标 识与预设值匹配时,则可W在终端中查找与该PKI应用标识对应的PKI应用,并选择该PKI应 用。也就是说,终端通过上述操作成功选择了终端中的一个PKI应用,并且该PKI应用是与该 智能卡对应的PKI应用。
[0059] 需要说明的是,若所述返回的PKI应用标识与预设值不匹配,即说明在该终端中不 存在与该智能卡对应的PKI应用,不能利用该终端实现与终端之间的PKI数据交互,则返回 相应的错误提示信息,该错误提示信息用于告知用户智能卡读写失败。
[0060] 在选择了 PKI应用之后,终端就可W通过该PKI应用与智能卡进行数据交互,并且 可W进行数据交换W实现数据的安全交互。例如,在用户需要进行支付、刷卡或端到端传输 等业务时,利用上述PKI应用进行数字签名验证、验证数字签名、对数据进行加密或解密,可 W使得上述业务的办理的安全性能提高。
[0061] 具体的,通过PKI应用的数字签名接口函数向智能卡发送需要签名数据W供智能 卡进行数字签名,即向智能卡发送数字签名指令,在该数字签名指令中包含了待签名的数 据。
[0062] 步骤S108:接收所述智能卡通过所述NFC连接返回的与所述待签名数据对应的已 签名数据。
[0063] 智能卡在接收到步骤S106中终端发送的包含了待签名数据的数字签名指令之后, 获取其中的数据并进行数字签名,然后将已签名数据返回给终端,终端在接收到之后保存 该签名数据。
[0064] 需要说明的是,在本实施例中,智能卡在对待签名数据进行数字签名的时候是使 用的公钥进行加密的,并且在已签名数据返回给终端的时候,一并将智能卡自身的公钥证 书也返回给终端,W供终端根据该公钥证书在后续的过程中进行解密或验证。终端在接收 到智能卡回传的数据之后,通过公钥证书获取智能卡的公钥,通过该公钥对智能卡返回的 已签名数据中的数字签名进行验证签名,验证通过则保存该数字签名,否则输出错误。
[0065] 进一步地,在本实施例中,数字签名指令中包含了CLA(指令类别)、INS(指令码)、 私钥、数据发送状态、需要数字签名数据、Le(希望响应时回答的数据字节数)。在智能卡返 回的数据格式中包含了数字签名状态、签名后数据、CLA状态字、INS状态字、数字签名命令 中数据正确与否状态字、LC状态字、数据超长状态字、KEY初始化状态字。
[0066] 例如,在上述的数字签名的过程中,终端发送APDU(Application Protocol Data 化it,应用协议数据单元)数字签名指令给智能卡,具体的格式如表1所示。
[0067] 表 1 [006引
[0069] 具体的,P1 为私钥,且P1 = 0x03(私钥一)、P1 = 0x04(私钥二);
[0070] P2为数据发送状态,且P2 = 0x00(Data已发完)、P2 = 0x01(Data未发完,会接着发 下一条);
[0071] Le为希望响应时回答的数据字节数。
[0072] 而智能卡收到数字签名指令之后,对数据进行签名,然后回复手机已签名的数据 (即APDU数字签名响应指令)如表2所示。
[0073] 表 2
[0074]
[0075]
[0076] 在另一实施例中,终端与智能卡之间可W通过NFC连接的数据交互实现验证数字 签名的过程,具体的,所述获取所述PKI应用标识对应的PKI应用的步骤之后还包括:通过所 述PKI应用的验证数字签名接口函数向所述智能卡发送验证数字签名指令,所述验证数字 签名指令包含待验证签名数据;接收所述智能卡通过所述NFC连接返回的 与所述待验证签 名数据对应的验证结果。
[0077] 终端在需要使用智能卡对数字签名进行验证时,获取该待验证的签名数据,并根 据该待验证的签名数据生成验证数字签名指令,在该验证数字签名指令中包含了上述待验 证签名数据。然后通过所述PKI应用的验证数字签名接口函数向所述智能卡发送验证数字 签名指令,智能卡在接收到上述验证数字签名指令之后,获取其中的数据,并对待验证签名 数据进行验证,然后通过终端与智能卡之间的NFC连接将验证的结果返回给终端,从而使得 终端可W通过NFC连接接收到该验证结果。
[007引可选的,在本实施例中,验证数字签名指令中包含了化A(指令类别)、INS(指令 码)、私钥、数据发送状态、Lc、需要验证数字签名数据、Le(希望响应时回答的数据字节数)。 智能卡返回给终端的验证结果的格式包含了验证结果、CLA状态字、INS状态字、验证数字签 名命令中数据正确与否状态字、LC状态字、数据规范状态字、KEY初始化状态字、数据超长状 态字。
[0079] 例如,在上述的数字签名验证的过程中,终端发送APDU数字签名指令给智能卡,具 体的格式如表3所示。
[0080] 表 3
[0081]
[0082] 其中,P1 为公钥,且 Pl=0x01(公钥一)、Pl=0x02(公钥二);
[0083] P2为数据发送状态,且P2 = 0x00(Data已发完)、P2 = 0x01(Data未发完,会接着发 下一条);
[0084] Le为希望响应时回答的数据字节数;
[0085] 在需要验证数字签名数据中包括签名数据数据格式REF-VER-Sig(具体参见表4) 和原数据数据格式REF-V邸-Data(具体参见表5).
[00化]表4 Γ00871 L0088」 表5
「00891
'[0090]智能卡验证数字签名令之后,对待验证签名数据进行验证,然后返回给终端如 表6所示的APDU数据签名验证响应指令(即验证结果)。
[0091] 表6
[0092]
[0093] 在另一实施例中,可选的,所述获取所述ΡΚΙ应用标识对应的ΡΚΙ应用的步骤之后 还包括:通过所述ΡΚΙ应用的非对称加/解密接口函数向所述智能卡发送非对称算法加/解 密指令,所述数字签名指令包含待加/解密数据;接收所述智能卡通过所述NFC连接返回的 与所述待加/解密数据对应的已经过非对称算法加/解密的数据。
[0094] 终端在需要使用非对称算法对数据进行加密或者解密时,获取待加密或者解密数 据,并根据该待加密或者解密数据生成非对称算法加/解密指令,在该非对称算法加/解密 指令中包含了上述待加密或者解密数据。然后通过所述ΡΚΙ应用的非对称加/解密接口函数 向所述智能卡发送非对称算法加/解密指令,智能卡在接收到上述非对称算法加/解密指令 之后,获取其中的数据,并根据接收到的非对称算法加/解密指令对获取到的待加密或者解 密数据进行加密或者解密,然后通过终端与智能卡之间的NFC连接将已经过非对称算法加/ 解密的数据返回给终端,从而使得终端可W通过NFC连接接收到该已经过非对称算法加/解 密的数据。
[00Μ]可选的,在本实施例中,非对称算法加/解密指令中包含了CLA(指令类别)、INS(指 令码)、公私钥、LC数据发送状态、Lc、需要加密/解密数据、Le(希望响应时回答的数据字节 数)。智能卡返回给终端的加密或者解密结果中包含了加密/解密结果、密文/明文数据、CLA 状态字、INS状态字、非对称算法加密/解密命令中数据正确与否状态字、LC状态字、KEY初始 化状态字、数据超长状态字。
[0096] 例如,在上述的加密或者解密的过程中,终端发送APDU非对称算法加/解密指令给 智能卡,具体的格式如表7所示。
[0097] 表 7 [009引
[0099] 其中,P1为公钥或私钥,且Pl = 0x01(公钥一)、Pl = 0x02(公钥二),Pl = 0x03(私钥 一)、Pl=0x04(私钥二);
[0100] P2为数据发送状态,且P2 = 0x00(Data已发完)、P2 = 0x01(Data未发完,会接着发 下一条);
[0101] Le为希望响应时回答的数据字节数。
[0102] 智能卡接收到非对称算法加/解密指令之后,获取指令中的数据并进行加密或者 解密,然后将加密或者解密后的数据返回给终端,具体如表8所示。
[010;3]表 8
[0104]
[0105] 在另一实施例中,可选的,所述获取所述PKI应用标识对应的PKI应用的步骤之后 还包括:通过所述PKI应用的对称加/解密接口函数向所述智能卡发送对称算法加/解密指 令,所述数字签名指令包含待加/解密数据;接收所述智能卡通过所述NFC连接返回的与所 述待加/解密数据对应的已经过对称算法加/解密的数据。
[0106] 具体的,终端在需要使用对称算法对数据进行加密或者解密时,获取待加密或者 解密数据,并根据该待加密或者解密数据生成对称算法加/解密指令,在该对称算法加/解 密指令中包含了上述待加密或者解密数据。然后通过所述PKI应用的对称加/解密接口函数 向所述智能卡发送对称算法加/解密指令,智能卡在接收到上述对称算法加/解密指令之 后,获取其中的数据,并根据接收到的对称算法加/解密指令对获取到的待加密或者解密数 据进行加密或者解密,然后通过终端与智能卡之间的NFC连接将已经过对称算法加/解密 的数据返回给终端,从而使得终端可W通过NFC连接接收到该已经过对称算法加/解密的数 据。
[0107] 可选的,在本实施例中,对称算法加/解密指令中包含了CLA(指令类别)、INS(指令 码)、密钥、数据发送状态、Lc、需要加密/解密数据、Le(希望响应时回答的数据字节数)。智 能卡返回给终端的加密或者解密结果中包含了加密/解密结果、密文/明文数据、CLA状态 字、INS状态字、对称算法加密/解密命令中数据正确与否状态字、LC状态字、KEY初始化状态 字、数据超长状态字。
[0108] 例如,在上述的加/解密的过程中,终端发送APDU非对称算法加/解密指令给智能 卡,具体的格式如表9所示。
[0109] 表9
[0110] _
[0111] 其中,P1 为密钥,且 Pl=0x01(密钥一)、Pl=0x02(密钥二),Pl=0x03(密钥 S);
[0112] P2为数据发送状态,且P2 = 0x00(Data已发完)、P2 = 0x01(Data未发完,会接着发 下一条);
[0113] Le为希望响应时回答的数据字节数。
[0114] 智能卡接收到对称算法加/解密指令之后,获取指令中的数据并进行加密或者解 密,然后将加密或者解密后的数据返回给终端,具体如表10所示。
[0115] 表10
[0116]
[0117]
[0118] 此外,为解决上述提到的传统技术中的在使用NFC技术对智能卡进行读写时存在 的安全性较低的技术问题,在本实施例中,还提供了一种读写智能卡的装置。
[0119] 具体的,如图2所示,该读写智能卡的装置包括NFC连接建立模块102、ΡΚΙ应用标识 获取模块104、数字签名发送模块106W及数字签名接收模块108,其中:
[0120] NFC连接建立模块102,用于通过近场通信NFC忍片感应智能卡,与感应到的智能卡 建立NFC连接;< br>[0121] ΡΚΙ应用标识获取模块104,用于通过所述NFC连接向所述智能卡发送公钥基础设 施ΡΚΙ选择请求,获取所述智能卡返回的ΡΚΙ应用标识;
[0122] 数字签名发送模块106,用于在所述返回的ΡΚΙ应用标识与预设值匹配时,获取所 述ΡΚΙ应用标识对应的ΡΚΙ应用,通过所述ΡΚΙ应用的数字签名接口函数向所述智能卡发送 数字签名指令,所述数字签名指令包含待签名数据;
[0123] 数字签名接收模块108,用于接收所述智能卡通过所述NFC连接返回的与所述待签 名数据对应的已签名数据。
[0124] 可选的,如图2所示,在本实施例中,所述装置还包括错误提示信息返回模块110, 用于在所述返回的ΡΚΙ应用标识与预设值不匹配时,返回错误提示信息。
[0125] 可选的,如图2所示,在本实施例中,所述装置还包括数字签名验证模块112,用于: 通过所述ΡΚΙ应用的验证数字签名接口函数向所述智能卡发送验证数字签名指令,所述验 证数字签名指令包含待验证签名数据;接收所述智能卡通过所述NFC连接返回的与所述待 验证签名数据对应的验证结果。
[0126] 可选的,如图2所示,在本实施例中,所述装置还包括非对称加解密模块114,用于: 通过所述ΡΚΙ应用的非对称加/解密接口函数向所述智能卡发送非对称算法加/解密指令, 所述数字签名指令包含待加/解密数据;接收所述智能卡通过所述NFC连接返回的与所述 待加/解密数据对应的已经过非对称算法加/解密的数据。
[0127] 可选的,如图2所示,在本实施例中,所述装置还包括对称加解密模块116,用于:通 过所述ΡΚΙ应用的对称加/解密接口函数向所述智能卡发送对称算法加/解密指令,所述数 字签名指令包含待加/解密数据;接收所述智能卡通过所述NFC连接返回的与所述待加/解 密数据对应的已经过对称算法加/解密的数据。
[0128] 实施本发明实施例,将具有如下有益效果:
[0129] 采用了上述读写智能卡的方法及装置之后,在带有NFC忍片的移动终端对智能卡 进行读写的过程中,可W通过移动终端与智能卡之间的NFC连接实现基于ΡΚΙ机制的数据交 互,也就是说,在用户使用移动终端对智能卡进行读写的时候,还要经过加密处理,提高了 移动终端对智能卡的读写的过程中的安全性,提升了用户体验。
[0130] W上所掲露的仅为本发明较佳实施例而已,当然不能W此来限定本发明之权利范 围,因此依本发明权利要求所作的等同变化,仍属本发明所涵盖的范围。
【主权项】
1. 一种读写智能卡的方法,其特征在于,包括: 通过近场通信NFC芯片感应智能卡,与感应到的智能卡建立NFC连接; 通过所述NFC连接向所述智能卡发送公钥基础设施PKI选择请求,获取所述智能卡返回 的PKI应用标识; 在所述返回的PKI应用标识与预设值匹配时,获取所述PKI应用标识对应的PKI应用,通 过所述PKI应用的数字签名接口函数向所述智能卡发送数字签名指令,所述数字签名指令 包含待签名数据; 接收所述智能卡通过所述NFC连接返回的与所述待签名数据对应的已签名数据。2. 根据权利要求1所述的读写智能卡的方法,其特征在于,在所述返回的PKI应用标识 与预设值不匹配时,返回错误提示信息。3. 根据权利要求1所述的读写智能卡的方法,其特征在于,所述获取所述PKI应用标识 对应的PKI应用的步骤之后还包括: 通过所述PKI应用的验证数字签名接口函数向所述智能卡发送验证数字签名指令,所 述验证数字签名指令包含待验证签名数据; 接收所述智能卡通过所述NFC连接返回的与所述待验证签名数据对应的验证结果。4. 根据权利要求1所述的读写智能卡的方法,其特征在于,所述获取所述PKI应用标识 对应的PKI应用的步骤之后还包括: 通过所述PKI应用的非对称加/解密接口函数向所述智能卡发送非对称算法加/解密指 令,所述数字签名指令包含待加/解密数据; 接收所述智能卡通过所述NFC连接返回的与所述待加/解密数据对应的已经过非对称 算法加/解密的数据。5. 根据权利要求1所述的读写智能卡的方法,其特征在于,所述获取所述PKI应用标识 对应的PKI应用的步骤之后还包括: 通过所述PKI应用的对称加/解密接口函数向所述智能卡发送对称算法加/解密指令, 所述数字签名指令包含待加/解密数据; 接收所述智能卡通过所述NFC连接返回的与所述待加/解密数据对应的已经过对称算 法加/解密的数据。6. -种读写智能卡的装置,其特征在于,包括: NFC连接建立模块,用于通过近场通信NFC芯片感应智能卡,与感应到的智能卡建立NFC连接; PKI应用标识获取模块,用于通过所述NFC连接向所述智能卡发送公钥基础设施PKI选 择请求,获取所述智能卡返回的PKI应用标识; 数字签名发送模块,用于在所述返回的PKI应用标识与预设值匹配时,获取所述PKI应 用标识对应的PKI应用,通过所述PKI应用的数字签名接口函数向所述智能卡发送数字签名 指令,所述数字签名指令包含待签名数据; 数字签名接收模块,用于接收所述智能卡通过所述NFC连接返回的与所述待签名数据 对应的已签名数据。7. 根据权利要求6所述的读写智能卡的装置,其特征在于,所述装置还包括错误提示信 息返回模块,用于在所述返回的PKI应用标识与预设值不匹配时,返回错误提示信息。8. 根据权利要求6所述的读写智能卡的装置,其特征在于,所述装置还包括数字签名验 证模块,用于: 通过所述PKI应用的验证数字签名接口函数向所述智能卡发送验证数字签名指令,所 述验证数字签名指令包含待验证签名数据; 接收所述智能卡通过所述NFC连接返回的与所述待验证签名数据对应的验证结果。9. 根据权利要求6所述的读写智能卡的装置,其特征在于,所述装置还包括非对称加解 密丰旲块,用于: 通过所述PKI应用的非对称加/解密接口函数向所述智能卡发送非对称算法加/解密指 令,所述数字签名指令包含待加/解密数据; 接收所述智能卡通过所述NFC连接返回的与所述待加/解密数据对应的已经过非对称 算法加/解密的数据。10. 根据权利要求6所述的读写智能卡的装置,其特征在于,所述装置还包括对称加解 密丰旲块,用于: 通过所述PKI应用的对称加/解密接口函数向所述智能卡发送对称算法加/解密指令, 所述数字签名指令包含待加/解密数据; 接收所述智能卡通过所述NFC连接返回的与所述待加/解密数据对应的已经过对称算 法加/解密的数据。
【专利摘要】本发明实施例公开了一种读写智能卡的方法,包括:通过近场通信NFC芯片感应智能卡,与感应到的智能卡建立NFC连接;通过所述NFC连接向所述智能卡发送公钥基础设施PKI选择请求,获取所述智能卡返回的PKI应用标识;在所述返回的PKI应用标识与预设值匹配时,获取所述PKI应用标识对应的PKI应用,通过所述PKI应用的数字签名接口函数向所述智能卡发送数字签名指令,所述数字签名指令包含待签名数据;接收所述智能卡通过所述NFC连接返回的与所述待签名数据对应的已签名数据。本发明实施例还相应地公开了一种读写智能卡的装置。本发明中的读写智能卡的方法及装置可以提高智能卡读写时的安全性,提升用户体验。
【IPC分类】H04L29/06, H04B5/00, H04W12/02, H04L9/32
【公开号】CN105490708
【申请号】CN201510909083
【发明人】焦易飞
【申请人】广东欧珀移动通信有限公司
【公开日】2016年4月13日
【申请日】2015年12月9日
【技术领域】
[0001] 本发明设及计算机技术领域,尤其设及一种读写智能卡的方法及装置。
【背景技术】
[0002] 智能卡也叫CPU卡,卡内的集成电路中带有微处理器CPU、存储单元W及忍片操作 系统cos。装有cos的CPU卡相当于一台微型计算机,不仅具有数据存储功能,同时具有命令 处理和数据安全保护等功能。
[0003] NFC(化ar Field Communication)即近距离无线通讯技术。是由免接触式射频识 另IJ(RFID)演变而来,并向下兼容RFID,即NFC本身也是一种非接触式识别和互联技术,可W 在移动设备、消费类电子产品、PC和智能控件工具间进行近距离无线通信。NFC提供了一种 简单、触控式的解决方案,可W让消费者简单直观地交换信息、访问内容与服务。
[0004] 现有的NFC技术可用于移动终端对智能卡的读写,但对于通过NFC对智能卡的读写 方式上,并没有采用较好的加密手段,因此导致在使用NFC技术对智能卡进行读写时,例如 支付的场景中,安全性较低。
【发明内容】
[0005] 基于此,为解决上述提到的传统技术中的在使用NFC技术对智能卡进行读写时存 在的安全性较低的技术问题,特提供了一种读写智能卡的方法。
[0006] -种读写智能卡的方法,包括:
[0007] 通过近场通信NFC忍片感应智能卡,与感应到的智能卡建立NFC连接;
[000引通过所述NFC连接向所述智能卡发送公钥基础设施PKI选择请求,获取所述智能卡 返回的PKI应用标识;
[0009] 在所述返回的PKI应用标识与预设值匹配时,获取所述PKI应用标识对应的PKI应 用,通过所述PKI应用的数字签名接口函数向所述智能卡发送数字签名指令,所述数字签名 指令包含待签名数据;
[0010] 接收所述智能卡通过所述NFC连接返回的与所述待签名数据对应的已签名数据。
[0011] 可选的,在所述返回的PKI应用标识与预设值不匹配时,返回错误提示信息。
[0012] 可选的,所述获取所述PKI应用标识对应的PKI应用的步骤之后还包括:
[0013] 通过所述PKI应用的验证数字签名接口函数向所述智能卡发送验证数字签名指 令,所述验证数字签名指令包含待验证签名数据;
[0014] 接收所述智能卡通过所述NFC连接返回的与所述待验证签名数据对应的验证结 果。
[0015] 可选的,所述获取所述PKI应用标识对应的PKI应用的步骤之后还包括:
[0016] 通过所述PKI应用的非对称加/解密接口函数向所述智能卡发送非对称算法加/解 密指令,所述数字签名指令包含待加/解密数据;
[0017] 接收所述智能卡通过所述NFC连接返回的与所述待加/解密数据对应的已经过非 对称算法加/解密的数据。
[0018] 可选的,所述获取所述PKI应用标识对应的PKI应用的步骤之后还包括:
[0019] 通过所述PKI应用的对称加/解密接口函数向所述智能卡发送对称算法加/解密指 令,所述数字签名指令包含待加/解密数据;
[0020] 接收所述智能卡通过所述NFC连接返回的与所述待加/解密数据对应的已经过对 称算法加/解密的数据。
[0021] 此外,为解决上述提到的传统技术中的在使用NFC技术对智能卡进行读写时存在 的安全性较低的技术问题,特提供了一种读写智能卡的装置。
[0022] -种读写智能卡的装置,包括:
[0023] NFC连接建立模块,用于通过近场通信NFC忍片感应智能卡,与感应到的智能卡建 立NFC连接;
[0024] PKI应用标识获取模块,用于通过所述NFC连接向所述智能卡发送公钥基础设施 PKI选择请求,获取所述智能卡返回的PKI应用标识;
[0025] 数字签名发送模块,用于在所述返回的PKI应用标识与预设值匹配时,获取所述 PKI应用标识对应的PKI应用,通过所述PKI应用的数字签名接口函数向所述智能卡发送数 字签名指令,所述数字签名指令包含待签名数据;
[0026] 数字签名接收模块,用于接收所述智能卡通过所述NFC连接返回的与所述待签名 数据对应的已签名数据。
[0027] 可选的,所述装置还包括错误提示信息返回模块,用于在所述返回的PKI应用标识 与预设值不匹配时,返回错误提示信息。
[0028] 可选的,所述装置还包括数字签名验证模块,用于:
[0029] 通过所述PKI应用的验证数字签名接口函数向所述智能卡发送验证数字签名指 令,所述验证数字签名指令包含待验证签名数据;
[0030] 接收所述智能卡通过所述NFC连接返回的与所述待验证签名数据对应的验证结 果。
[0031] 可选的,所述装置还包括非对称加解密模块,用于:
[0032] 通过所述PKI应用的非对称加/解密接口函数向所述智能卡发送非对称算法加/解 密指令,所述数字签名指令包含待加/解密数据;
[0033] 接收所述智能卡通过所述NFC连接返回的与所述待加/解密数据对应的已经过非 对称算法加/解密的数据。
[0034] 可选的,所述装置还包括对称加解密模块,用于:
[0035] 通过所述PKI应用的对称加/解密接口函数向所述智能卡发送对称算法加/解密指 令,所述数字签名指令包含待加/解密数据;
[0036] 接收所述智能卡通过所述NFC连接返回的与所述待加/解密数据对应的已经过对 称算法加/解密的数据。
[0037] 实施本发明实施例,将具有如下有益效果:
[0038] 采用了上述读写智能卡的方法及装置之后,在带有NFC忍片的移动终端对智能卡 进行读写的过程中,可W通过移动终端与智能卡之间的NFC连接实现基于PKI机制的数据交 互,也就是说,在用户使用移动终端对智能卡进行读写的时候,还要经过加密处理,提高了 移动终端对智能卡的读写的过程中的安全性,提升了用户体验。
【附图说明】
[0039] 为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现 有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本 发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可 W根据运些附图获得其他的附图。
[0040] 其中;
[0041 ]图1为一个实施例中一种读写智能卡的方法的流程示意图;
[0042] 图2为一个实施例中一种读写智能卡的装置的结构示意图。
【具体实施方式】
[0043] 下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完 整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于 本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他 实施例,都属于本发明保护的范围。
[0044] 为解决上述提到的传统技术中的在使用NFC技术对智能卡进行读写时存在的安全 性较低的技术问题,在本实施例中,特提供了一种读写智能卡的方法。上述读写智能卡的方 法依赖于计算机程序实现,可运行于基于冯诺依曼体系的计算机系统上。该计算机程序可 W是适配智能卡的应用程序。该计算机系统可W是基于冯诺依曼体系的并带有近场通信功 能的计算机设备,例如智能手机、平板电脑、智能手表、智能手环或 带有NFC感应器的个人计 算机等设备。
[0045] 具体的,该读写智能卡的方法如图1所示,包括如下步骤:
[0046] 步骤S102:通过近场通信NFC忍片感应智能卡,与感应到的智能卡建立NFC连接。
[0047] 如前所述,智能卡(CPU卡)为标准的具有智能卡忍片的集成电路设备,终端中设置 有智能卡读写忍片,终端中包含有智能卡读写忍片的驱动程序。当智能卡接触或靠近终端 时,智能卡读写忍片驱动程序即可感应到智能卡,也就是说,终端可W通过近场通信NFC忍 片感应智能卡。
[004引在本实施例中,智能卡中可安装有近场通信(英文:Near Field Communication, 简称:NFC)忍片,终端中的智能卡读写忍片可W是近场通信忍片,终端可通过感应近场通信 信号,根据近场通信信号感应到相关的智能卡,并与感应到的智能卡建立NFC连接。
[0049] 智能卡在贴近终端并通过NFC信号与终端建立连接之后,就可W与终端之间进行 数据交互,则可将智能卡中存储的与该智能卡对应的相关数据通过NFC信号发送给终端,由 终端通过NFC忍片接收。
[0050] 例如,用户将公交卡贴合在基于本实施例的手机终端上时,手机终端则可通过NFC 检测到公交卡的接触事件,并可通过手机终端中的NFC忍片建立与该智能卡的连接关系。
[0051] 步骤S104:通过所述NFC连接向所述智能卡发送公钥基础设施PKI选择请求,获取 所述智能卡返回的PKI应用标识。
[0052] 在步骤S102中,终端通过安装在终端和智能卡中的NFC忍片建立了与智能卡之间 的NFC连接,也就是所,终端与智能卡之间能通过该NFC连接进行通信和/或数据交互,即智 能卡能接收到终端发送的数据,终端也能接收智能卡返回的数据。
[0化3] PKI(Public Ifey In打as化ucture)即。公钥基础设施",是一种遵循既定标准的密 钥管理平台,它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证 书管理体系,简单来说,PKI就是利用公钥理论和技术建立的提供安全服务的基础设施。PKI 技术是信息安全技术的核屯、,也是电子商务的关键和基础技术。
[0054] 公钥基础设施PKI选择请求是终端在与智能卡建立NFC连接之后,根据该NFC连接 生成的。该请求是为了获知该已连接的智能卡的具体类型,例如,公交卡、食堂饭卡或购物 卡。智能卡在接收到该请求之后,根据请求的相关内容,将其本身对应的PKI应用标识返回 给终端。
[0055] 在本实施例中,在终端向智能卡发送公钥基础设施PKI选择请求之后,智能卡将智 能卡中存储的与该智能卡对应的用于表示该智能卡对应的应用类型的PKI应用标识通过 NFC信号发送给终端,由终端通过NFC忍片接收。该应用标识为已预先存储在智能卡的存储 器中,智能卡通过读取其自身的存储器读取该应用标识。
[0056] 步骤S106:在所述返回的PKI应用标识与预设值匹配时,获取所述PKI应用标识对 应的PKI应用,通过所述PKI应用的数字签名接口函数向所述智能卡发送数字签名指令,所 述数字签名指令包含待签名数据。
[0057] 终端在接收到智能卡返回的PKI应用标识之后,判断该PKI应用标识是否与预设 值匹配。需要说明的是,在本实施例中,预设值可W只有一个,也就是说,在该终端上,只支 持某一种应用类型的智能卡,而不支持其他种类的智能卡;另外,预设值还可W包含多个, 终端在预设值列表中查找与上述PKI应用标识匹配的预设值,若查找到,则判定所述返回的 PKI应用标识与预设值匹配;在此种情况下,终端同时支持多种类型的智能卡,即用户既可 W在终端上使用A类智能卡,也可W在终端上使用B类智能卡。
[0058] 在本实施例中,不同的PKI应用标识对应于不同的PKI应用,在接收到的PKI应用标 识与预设值匹配时,则可W在终端中查找与该PKI应用标识对应的PKI应用,并选择该PKI应 用。也就是说,终端通过上述操作成功选择了终端中的一个PKI应用,并且该PKI应用是与该 智能卡对应的PKI应用。
[0059] 需要说明的是,若所述返回的PKI应用标识与预设值不匹配,即说明在该终端中不 存在与该智能卡对应的PKI应用,不能利用该终端实现与终端之间的PKI数据交互,则返回 相应的错误提示信息,该错误提示信息用于告知用户智能卡读写失败。
[0060] 在选择了 PKI应用之后,终端就可W通过该PKI应用与智能卡进行数据交互,并且 可W进行数据交换W实现数据的安全交互。例如,在用户需要进行支付、刷卡或端到端传输 等业务时,利用上述PKI应用进行数字签名验证、验证数字签名、对数据进行加密或解密,可 W使得上述业务的办理的安全性能提高。
[0061] 具体的,通过PKI应用的数字签名接口函数向智能卡发送需要签名数据W供智能 卡进行数字签名,即向智能卡发送数字签名指令,在该数字签名指令中包含了待签名的数 据。
[0062] 步骤S108:接收所述智能卡通过所述NFC连接返回的与所述待签名数据对应的已 签名数据。
[0063] 智能卡在接收到步骤S106中终端发送的包含了待签名数据的数字签名指令之后, 获取其中的数据并进行数字签名,然后将已签名数据返回给终端,终端在接收到之后保存 该签名数据。
[0064] 需要说明的是,在本实施例中,智能卡在对待签名数据进行数字签名的时候是使 用的公钥进行加密的,并且在已签名数据返回给终端的时候,一并将智能卡自身的公钥证 书也返回给终端,W供终端根据该公钥证书在后续的过程中进行解密或验证。终端在接收 到智能卡回传的数据之后,通过公钥证书获取智能卡的公钥,通过该公钥对智能卡返回的 已签名数据中的数字签名进行验证签名,验证通过则保存该数字签名,否则输出错误。
[0065] 进一步地,在本实施例中,数字签名指令中包含了CLA(指令类别)、INS(指令码)、 私钥、数据发送状态、需要数字签名数据、Le(希望响应时回答的数据字节数)。在智能卡返 回的数据格式中包含了数字签名状态、签名后数据、CLA状态字、INS状态字、数字签名命令 中数据正确与否状态字、LC状态字、数据超长状态字、KEY初始化状态字。
[0066] 例如,在上述的数字签名的过程中,终端发送APDU(Application Protocol Data 化it,应用协议数据单元)数字签名指令给智能卡,具体的格式如表1所示。
[0067] 表 1 [006引
[0069] 具体的,P1 为私钥,且P1 = 0x03(私钥一)、P1 = 0x04(私钥二);
[0070] P2为数据发送状态,且P2 = 0x00(Data已发完)、P2 = 0x01(Data未发完,会接着发 下一条);
[0071] Le为希望响应时回答的数据字节数。
[0072] 而智能卡收到数字签名指令之后,对数据进行签名,然后回复手机已签名的数据 (即APDU数字签名响应指令)如表2所示。
[0073] 表 2
[0074]
[0075]
[0076] 在另一实施例中,终端与智能卡之间可W通过NFC连接的数据交互实现验证数字 签名的过程,具体的,所述获取所述PKI应用标识对应的PKI应用的步骤之后还包括:通过所 述PKI应用的验证数字签名接口函数向所述智能卡发送验证数字签名指令,所述验证数字 签名指令包含待验证签名数据;接收所述智能卡通过所述NFC连接返回的 与所述待验证签 名数据对应的验证结果。
[0077] 终端在需要使用智能卡对数字签名进行验证时,获取该待验证的签名数据,并根 据该待验证的签名数据生成验证数字签名指令,在该验证数字签名指令中包含了上述待验 证签名数据。然后通过所述PKI应用的验证数字签名接口函数向所述智能卡发送验证数字 签名指令,智能卡在接收到上述验证数字签名指令之后,获取其中的数据,并对待验证签名 数据进行验证,然后通过终端与智能卡之间的NFC连接将验证的结果返回给终端,从而使得 终端可W通过NFC连接接收到该验证结果。
[007引可选的,在本实施例中,验证数字签名指令中包含了化A(指令类别)、INS(指令 码)、私钥、数据发送状态、Lc、需要验证数字签名数据、Le(希望响应时回答的数据字节数)。 智能卡返回给终端的验证结果的格式包含了验证结果、CLA状态字、INS状态字、验证数字签 名命令中数据正确与否状态字、LC状态字、数据规范状态字、KEY初始化状态字、数据超长状 态字。
[0079] 例如,在上述的数字签名验证的过程中,终端发送APDU数字签名指令给智能卡,具 体的格式如表3所示。
[0080] 表 3
[0081]
[0082] 其中,P1 为公钥,且 Pl=0x01(公钥一)、Pl=0x02(公钥二);
[0083] P2为数据发送状态,且P2 = 0x00(Data已发完)、P2 = 0x01(Data未发完,会接着发 下一条);
[0084] Le为希望响应时回答的数据字节数;
[0085] 在需要验证数字签名数据中包括签名数据数据格式REF-VER-Sig(具体参见表4) 和原数据数据格式REF-V邸-Data(具体参见表5).
[00化]表4 Γ00871 L0088」 表5
「00891
'[0090]智能卡验证数字签名令之后,对待验证签名数据进行验证,然后返回给终端如 表6所示的APDU数据签名验证响应指令(即验证结果)。
[0091] 表6
[0092]
[0093] 在另一实施例中,可选的,所述获取所述ΡΚΙ应用标识对应的ΡΚΙ应用的步骤之后 还包括:通过所述ΡΚΙ应用的非对称加/解密接口函数向所述智能卡发送非对称算法加/解 密指令,所述数字签名指令包含待加/解密数据;接收所述智能卡通过所述NFC连接返回的 与所述待加/解密数据对应的已经过非对称算法加/解密的数据。
[0094] 终端在需要使用非对称算法对数据进行加密或者解密时,获取待加密或者解密数 据,并根据该待加密或者解密数据生成非对称算法加/解密指令,在该非对称算法加/解密 指令中包含了上述待加密或者解密数据。然后通过所述ΡΚΙ应用的非对称加/解密接口函数 向所述智能卡发送非对称算法加/解密指令,智能卡在接收到上述非对称算法加/解密指令 之后,获取其中的数据,并根据接收到的非对称算法加/解密指令对获取到的待加密或者解 密数据进行加密或者解密,然后通过终端与智能卡之间的NFC连接将已经过非对称算法加/ 解密的数据返回给终端,从而使得终端可W通过NFC连接接收到该已经过非对称算法加/解 密的数据。
[00Μ]可选的,在本实施例中,非对称算法加/解密指令中包含了CLA(指令类别)、INS(指 令码)、公私钥、LC数据发送状态、Lc、需要加密/解密数据、Le(希望响应时回答的数据字节 数)。智能卡返回给终端的加密或者解密结果中包含了加密/解密结果、密文/明文数据、CLA 状态字、INS状态字、非对称算法加密/解密命令中数据正确与否状态字、LC状态字、KEY初始 化状态字、数据超长状态字。
[0096] 例如,在上述的加密或者解密的过程中,终端发送APDU非对称算法加/解密指令给 智能卡,具体的格式如表7所示。
[0097] 表 7 [009引
[0099] 其中,P1为公钥或私钥,且Pl = 0x01(公钥一)、Pl = 0x02(公钥二),Pl = 0x03(私钥 一)、Pl=0x04(私钥二);
[0100] P2为数据发送状态,且P2 = 0x00(Data已发完)、P2 = 0x01(Data未发完,会接着发 下一条);
[0101] Le为希望响应时回答的数据字节数。
[0102] 智能卡接收到非对称算法加/解密指令之后,获取指令中的数据并进行加密或者 解密,然后将加密或者解密后的数据返回给终端,具体如表8所示。
[010;3]表 8
[0104]
[0105] 在另一实施例中,可选的,所述获取所述PKI应用标识对应的PKI应用的步骤之后 还包括:通过所述PKI应用的对称加/解密接口函数向所述智能卡发送对称算法加/解密指 令,所述数字签名指令包含待加/解密数据;接收所述智能卡通过所述NFC连接返回的与所 述待加/解密数据对应的已经过对称算法加/解密的数据。
[0106] 具体的,终端在需要使用对称算法对数据进行加密或者解密时,获取待加密或者 解密数据,并根据该待加密或者解密数据生成对称算法加/解密指令,在该对称算法加/解 密指令中包含了上述待加密或者解密数据。然后通过所述PKI应用的对称加/解密接口函数 向所述智能卡发送对称算法加/解密指令,智能卡在接收到上述对称算法加/解密指令之 后,获取其中的数据,并根据接收到的对称算法加/解密指令对获取到的待加密或者解密数 据进行加密或者解密,然后通过终端与智能卡之间的NFC连接将已经过对称算法加/解密 的数据返回给终端,从而使得终端可W通过NFC连接接收到该已经过对称算法加/解密的数 据。
[0107] 可选的,在本实施例中,对称算法加/解密指令中包含了CLA(指令类别)、INS(指令 码)、密钥、数据发送状态、Lc、需要加密/解密数据、Le(希望响应时回答的数据字节数)。智 能卡返回给终端的加密或者解密结果中包含了加密/解密结果、密文/明文数据、CLA状态 字、INS状态字、对称算法加密/解密命令中数据正确与否状态字、LC状态字、KEY初始化状态 字、数据超长状态字。
[0108] 例如,在上述的加/解密的过程中,终端发送APDU非对称算法加/解密指令给智能 卡,具体的格式如表9所示。
[0109] 表9
[0110] _
[0111] 其中,P1 为密钥,且 Pl=0x01(密钥一)、Pl=0x02(密钥二),Pl=0x03(密钥 S);
[0112] P2为数据发送状态,且P2 = 0x00(Data已发完)、P2 = 0x01(Data未发完,会接着发 下一条);
[0113] Le为希望响应时回答的数据字节数。
[0114] 智能卡接收到对称算法加/解密指令之后,获取指令中的数据并进行加密或者解 密,然后将加密或者解密后的数据返回给终端,具体如表10所示。
[0115] 表10
[0116]
[0117]
[0118] 此外,为解决上述提到的传统技术中的在使用NFC技术对智能卡进行读写时存在 的安全性较低的技术问题,在本实施例中,还提供了一种读写智能卡的装置。
[0119] 具体的,如图2所示,该读写智能卡的装置包括NFC连接建立模块102、ΡΚΙ应用标识 获取模块104、数字签名发送模块106W及数字签名接收模块108,其中:
[0120] NFC连接建立模块102,用于通过近场通信NFC忍片感应智能卡,与感应到的智能卡 建立NFC连接;< br>[0121] ΡΚΙ应用标识获取模块104,用于通过所述NFC连接向所述智能卡发送公钥基础设 施ΡΚΙ选择请求,获取所述智能卡返回的ΡΚΙ应用标识;
[0122] 数字签名发送模块106,用于在所述返回的ΡΚΙ应用标识与预设值匹配时,获取所 述ΡΚΙ应用标识对应的ΡΚΙ应用,通过所述ΡΚΙ应用的数字签名接口函数向所述智能卡发送 数字签名指令,所述数字签名指令包含待签名数据;
[0123] 数字签名接收模块108,用于接收所述智能卡通过所述NFC连接返回的与所述待签 名数据对应的已签名数据。
[0124] 可选的,如图2所示,在本实施例中,所述装置还包括错误提示信息返回模块110, 用于在所述返回的ΡΚΙ应用标识与预设值不匹配时,返回错误提示信息。
[0125] 可选的,如图2所示,在本实施例中,所述装置还包括数字签名验证模块112,用于: 通过所述ΡΚΙ应用的验证数字签名接口函数向所述智能卡发送验证数字签名指令,所述验 证数字签名指令包含待验证签名数据;接收所述智能卡通过所述NFC连接返回的与所述待 验证签名数据对应的验证结果。
[0126] 可选的,如图2所示,在本实施例中,所述装置还包括非对称加解密模块114,用于: 通过所述ΡΚΙ应用的非对称加/解密接口函数向所述智能卡发送非对称算法加/解密指令, 所述数字签名指令包含待加/解密数据;接收所述智能卡通过所述NFC连接返回的与所述 待加/解密数据对应的已经过非对称算法加/解密的数据。
[0127] 可选的,如图2所示,在本实施例中,所述装置还包括对称加解密模块116,用于:通 过所述ΡΚΙ应用的对称加/解密接口函数向所述智能卡发送对称算法加/解密指令,所述数 字签名指令包含待加/解密数据;接收所述智能卡通过所述NFC连接返回的与所述待加/解 密数据对应的已经过对称算法加/解密的数据。
[0128] 实施本发明实施例,将具有如下有益效果:
[0129] 采用了上述读写智能卡的方法及装置之后,在带有NFC忍片的移动终端对智能卡 进行读写的过程中,可W通过移动终端与智能卡之间的NFC连接实现基于ΡΚΙ机制的数据交 互,也就是说,在用户使用移动终端对智能卡进行读写的时候,还要经过加密处理,提高了 移动终端对智能卡的读写的过程中的安全性,提升了用户体验。
[0130] W上所掲露的仅为本发明较佳实施例而已,当然不能W此来限定本发明之权利范 围,因此依本发明权利要求所作的等同变化,仍属本发明所涵盖的范围。
【主权项】
1. 一种读写智能卡的方法,其特征在于,包括: 通过近场通信NFC芯片感应智能卡,与感应到的智能卡建立NFC连接; 通过所述NFC连接向所述智能卡发送公钥基础设施PKI选择请求,获取所述智能卡返回 的PKI应用标识; 在所述返回的PKI应用标识与预设值匹配时,获取所述PKI应用标识对应的PKI应用,通 过所述PKI应用的数字签名接口函数向所述智能卡发送数字签名指令,所述数字签名指令 包含待签名数据; 接收所述智能卡通过所述NFC连接返回的与所述待签名数据对应的已签名数据。2. 根据权利要求1所述的读写智能卡的方法,其特征在于,在所述返回的PKI应用标识 与预设值不匹配时,返回错误提示信息。3. 根据权利要求1所述的读写智能卡的方法,其特征在于,所述获取所述PKI应用标识 对应的PKI应用的步骤之后还包括: 通过所述PKI应用的验证数字签名接口函数向所述智能卡发送验证数字签名指令,所 述验证数字签名指令包含待验证签名数据; 接收所述智能卡通过所述NFC连接返回的与所述待验证签名数据对应的验证结果。4. 根据权利要求1所述的读写智能卡的方法,其特征在于,所述获取所述PKI应用标识 对应的PKI应用的步骤之后还包括: 通过所述PKI应用的非对称加/解密接口函数向所述智能卡发送非对称算法加/解密指 令,所述数字签名指令包含待加/解密数据; 接收所述智能卡通过所述NFC连接返回的与所述待加/解密数据对应的已经过非对称 算法加/解密的数据。5. 根据权利要求1所述的读写智能卡的方法,其特征在于,所述获取所述PKI应用标识 对应的PKI应用的步骤之后还包括: 通过所述PKI应用的对称加/解密接口函数向所述智能卡发送对称算法加/解密指令, 所述数字签名指令包含待加/解密数据; 接收所述智能卡通过所述NFC连接返回的与所述待加/解密数据对应的已经过对称算 法加/解密的数据。6. -种读写智能卡的装置,其特征在于,包括: NFC连接建立模块,用于通过近场通信NFC芯片感应智能卡,与感应到的智能卡建立NFC连接; PKI应用标识获取模块,用于通过所述NFC连接向所述智能卡发送公钥基础设施PKI选 择请求,获取所述智能卡返回的PKI应用标识; 数字签名发送模块,用于在所述返回的PKI应用标识与预设值匹配时,获取所述PKI应 用标识对应的PKI应用,通过所述PKI应用的数字签名接口函数向所述智能卡发送数字签名 指令,所述数字签名指令包含待签名数据; 数字签名接收模块,用于接收所述智能卡通过所述NFC连接返回的与所述待签名数据 对应的已签名数据。7. 根据权利要求6所述的读写智能卡的装置,其特征在于,所述装置还包括错误提示信 息返回模块,用于在所述返回的PKI应用标识与预设值不匹配时,返回错误提示信息。8. 根据权利要求6所述的读写智能卡的装置,其特征在于,所述装置还包括数字签名验 证模块,用于: 通过所述PKI应用的验证数字签名接口函数向所述智能卡发送验证数字签名指令,所 述验证数字签名指令包含待验证签名数据; 接收所述智能卡通过所述NFC连接返回的与所述待验证签名数据对应的验证结果。9. 根据权利要求6所述的读写智能卡的装置,其特征在于,所述装置还包括非对称加解 密丰旲块,用于: 通过所述PKI应用的非对称加/解密接口函数向所述智能卡发送非对称算法加/解密指 令,所述数字签名指令包含待加/解密数据; 接收所述智能卡通过所述NFC连接返回的与所述待加/解密数据对应的已经过非对称 算法加/解密的数据。10. 根据权利要求6所述的读写智能卡的装置,其特征在于,所述装置还包括对称加解 密丰旲块,用于: 通过所述PKI应用的对称加/解密接口函数向所述智能卡发送对称算法加/解密指令, 所述数字签名指令包含待加/解密数据; 接收所述智能卡通过所述NFC连接返回的与所述待加/解密数据对应的已经过对称算 法加/解密的数据。
【专利摘要】本发明实施例公开了一种读写智能卡的方法,包括:通过近场通信NFC芯片感应智能卡,与感应到的智能卡建立NFC连接;通过所述NFC连接向所述智能卡发送公钥基础设施PKI选择请求,获取所述智能卡返回的PKI应用标识;在所述返回的PKI应用标识与预设值匹配时,获取所述PKI应用标识对应的PKI应用,通过所述PKI应用的数字签名接口函数向所述智能卡发送数字签名指令,所述数字签名指令包含待签名数据;接收所述智能卡通过所述NFC连接返回的与所述待签名数据对应的已签名数据。本发明实施例还相应地公开了一种读写智能卡的装置。本发明中的读写智能卡的方法及装置可以提高智能卡读写时的安全性,提升用户体验。
【IPC分类】H04L29/06, H04B5/00, H04W12/02, H04L9/32
【公开号】CN105490708
【申请号】CN201510909083
【发明人】焦易飞
【申请人】广东欧珀移动通信有限公司
【公开日】2016年4月13日
【申请日】2015年12月9日
最新回复(0)