[发明专利]一种智能卡个人化的方法及系统

说明书

技术领域

本发明涉及智能卡、信息安全领域，尤其涉及的是一种以公钥密码技术为保护手段的智能卡个人化的方法及系统。

背景术技

现代密码技术根据密钥的特点分为两类：对称密码技术和非对称密码技术。其中、对称密码技术即解密密钥和加密密钥相同，在这种系统中，密钥的分发是应用中的一个难点。

非对称密码技术又叫公钥密码技术，在公钥密码系统中，用户有两把钥匙，一把公开（公钥），另一把用户私有（私钥），从一个难以推出另一个，通信双方无需事先交换密钥就可建立保密通信。公钥系统中的一个问题是如何将用户的公钥和用户的身份有效的对应起来，传统的公钥系统一般都采用证书机制实现用户的身份和用户的钥匙的安全对应。证书机制一般都采用公钥基础设施（ Public Key Infrastructure: PKI）技术。它综合使用了数字摘要、数字签名等多项安全技术以及一套完整的证书管理机制来提供安全服务。系统需建设有公信力的认证中心（Certification Authority：CA）鉴定用户身份，然后为用户签发数字证书。数字证书安全地将用户身份和用户密钥绑定在一起。用户在业务系统中先交换证书，然后使用公私钥完成用户的身份认证、访问控制、信息安全传递等操作。 

基于证书的公钥体制在应用中面临诸多问题，特别是证书使用过程的复杂性使得不具备相关知识的普通用户难以驾驭。为了降低公钥系统中密钥管理和使用的复杂性，Shamir在1984[S84]年提出了基于标识的密码技术(Identity-Based Cryptography：IBC)：即用户的标识就可以用做用户的公钥（更加准确地说是用户的公钥可以从用户的标识和系统指定的一个方法计算得出）。在这种情况下，用户不需要申请和交换证书，从而极大地简化了密码系统管理的复杂性。用户的私钥由系统中的一个受信任的第三方（密钥生成中心）使用标识私钥生成算法计算生成。这样的系统具有天然的密码委托功能，适合于有监管的应用环境。

目前，智能卡卡片外形与普通的信用卡基本相同，信息则是靠卡中的专用集成电路（ASIC）进行存储和处理。ASIC内部包含微处理器单元（CPU）、存储单元（RAM、ROM和EEPROM）、和输入/输出接口单元、密码运算模块，犹如一台完整的计算机。其中，RAM用于存放运算过程中的中间数据，ROM中固化有片内操作系统COS（Chip Operating System），而EEPROM用于存放持卡人的个人信息以及发行单位的有关信息、密钥，不同密码运算模块可支持多种对称/非对称密码算法。

运行在CPU中的COS是管理芯片资源和实现安全保密的操作系统，其功能包括：传输管理、文件管理、安全体系、命令解释。

对智能卡个人化时，在卡片表面印刷上发行单位及使用者相关的图像、图案、文字，在EEPROM中创建主文件MF(Master File)、专用文件DF(Dedicated File)和基本文件EF(Elementary File)，将个人及发行单位信息、密钥等数据通常按相关性以文件方式组织写入文件。因密钥关系整个系统的安全运行，几乎所有智能卡个人化工作都在安全的生产环境中进行，防止密钥的泄漏。

为防止密钥的泄漏，智能卡个人化工作必须在有安全措施的生产环境中进行。现有技术的智能卡个人化时数据写入的流程为：在个人化服务器上生成智能卡个人化指令，在有安全措施的生产环境发送到智能卡，智能卡接收指令，执行指令时依据文件数据结构定义在内部EEPROM中创建主文件、专用文件、基本文件及数据写入。

基于上述现有技术的智能卡个人化流程，使用现有技术的智能卡个人化受各种环境限定，现有技术的智能卡片一旦发行到用户手上，几乎无法再进行个人化操作，从而将卡片的应用限制在第一次个人化所赋予的范围内。

因此，现有技术还有待于改进和发展。

发明内容

本发明要解决的技术问题在于，针对现有技术的上述缺陷，提供一种智能卡个人化的方法及系统，可实现对智能卡进行第二次或更多次的非安全生产环境中的个人化操作，不同的运营商的应用数据可以动态加载到卡上，实现一卡多领域、多地域、多行业应用的一卡通，扩大卡片用途和价值。

本发明解决技术问题所采用的技术方案如下：

一种智能卡个人化的方法，其中，包括：

A、在安全的服务器上依据卡内应用的文件数据结构定义，创建相应的卡内应用数据EEPROM区域映像；

B、将该映像以公钥密码技术进行加密，并将加密后的映像发送到智能卡内解密，得到应用数据EEPROM区域映像，写入相应的EEPROM区域。