專利名稱:認(rèn)證處理設(shè)備和安全處理方法
技術(shù)領(lǐng)域:
本發(fā)明涉及有關(guān)PKI(公共密鑰基礎(chǔ)設(shè)施)的技術(shù),更具體地,涉及認(rèn)證設(shè)備和用于響應(yīng)正被認(rèn)證的輸入信息的認(rèn)證結(jié)果來(lái)基于PKI進(jìn)行安全處理的安全處理方法。
本申請(qǐng)要求2003年2月14日在日本提交的日本專利申請(qǐng)2003-037373的優(yōu)先權(quán),通過(guò)引用將其全部合并于此。
背景技術(shù):
迄今為止已經(jīng)提出用于基于PKI(公共密鑰基礎(chǔ)設(shè)施)識(shí)別用戶的易于攜帶的硬件標(biāo)志(token),如IC卡或USB標(biāo)志。PKI是有關(guān)網(wǎng)絡(luò)安全技術(shù)的基礎(chǔ)設(shè)施的一般名稱。特定PKI技術(shù)有用于與外部設(shè)備執(zhí)行數(shù)據(jù)傳送/接收的技術(shù),其中保密能力與采用公共密鑰和私密密鑰的非對(duì)稱加密系統(tǒng)的數(shù)據(jù)一致。
例如,假設(shè)根據(jù)非對(duì)稱加密系統(tǒng)傳送/接收數(shù)據(jù)。數(shù)據(jù)傳送方用公共密鑰對(duì)數(shù)據(jù)進(jìn)行加密以傳送數(shù)據(jù)。已經(jīng)接收了用公共密鑰加密的數(shù)據(jù)的數(shù)據(jù)接收方能夠用與公共密鑰匹配的密碼索引對(duì)加密的數(shù)據(jù)進(jìn)行解密。
公共密鑰差不多完全公開(kāi),使得任何人都可以獲取該公共密鑰。然而,需要安全地保存私密密鑰,使得其不會(huì)被第三方盜竊。
因此,前述的硬件標(biāo)記通常由掩膜ROM形成,使得從個(gè)人計(jì)算機(jī)PC訪問(wèn)時(shí)不能讀出私密密鑰。
由于需要安全地保存私密密鑰,所以期望為用于采用PKI系統(tǒng)的數(shù)據(jù)傳送/接收的設(shè)備提供基于密碼或有關(guān)活體的信息來(lái)確認(rèn)進(jìn)入該設(shè)備的用戶是否是被授權(quán)的用戶的認(rèn)證機(jī)制。
利用上述由掩膜ROM形成的硬件標(biāo)志,由于強(qiáng)加到程序結(jié)構(gòu)上的很多限制而很難添加認(rèn)證機(jī)制。
發(fā)明內(nèi)容
本發(fā)明的一個(gè)目的是提供一種新認(rèn)證設(shè)備和一種安全處理方法,憑此有可能解決在上述的傳統(tǒng)技術(shù)中固有的問(wèn)題。
本發(fā)明的另一個(gè)目標(biāo)是提供一種新認(rèn)證設(shè)備和一種安全處理方法,其中提供了PKI功能,并且難以提供私密密鑰的非法獲得。
根據(jù)本發(fā)明,提供了一種連接到外部設(shè)備的可移動(dòng)認(rèn)證設(shè)備,包括輸入裝置,用于輸入要認(rèn)證的信息;認(rèn)證裝置,用于認(rèn)證由輸入裝置錄入的要認(rèn)證的信息;PKI處理裝置,用于基于PKI(公共密鑰基礎(chǔ)設(shè)施)系統(tǒng)來(lái)產(chǎn)生私密密鑰和公共密鑰,以便用所產(chǎn)生的私密密鑰執(zhí)行預(yù)定安全處理;存儲(chǔ)裝置,具有只寫(xiě)區(qū)域,其中在該只寫(xiě)區(qū)域中寫(xiě)入由PKI處理裝置產(chǎn)生的私密密鑰,并且不能從外部讀出該只寫(xiě)區(qū)域;以及私密密鑰傳送裝置,用于響應(yīng)由認(rèn)證裝置對(duì)要認(rèn)證的信息的認(rèn)證而直接訪問(wèn)存儲(chǔ)裝置的只寫(xiě)區(qū)域,并用于將所寫(xiě)入的私密密鑰傳送到PKI處理裝置。
根據(jù)本發(fā)明,還提供了一種連接到外部設(shè)備的可移動(dòng)認(rèn)證設(shè)備的安全處理方法,其中該方法包括輸入要認(rèn)證的信息的步驟;認(rèn)證步驟,認(rèn)證輸入步驟錄入的要認(rèn)證的信息;密鑰產(chǎn)生步驟,由執(zhí)行預(yù)定安全處理的PKI處理裝置基于PKI(公共密鑰基礎(chǔ)設(shè)施)系統(tǒng)產(chǎn)生私密密鑰和公共密鑰;寫(xiě)步驟,將通過(guò)密鑰產(chǎn)生步驟產(chǎn)生的私密密鑰寫(xiě)入具有不可能從外部讀出的只寫(xiě)區(qū)域的存儲(chǔ)裝置;以及私密密鑰傳送步驟,響應(yīng)于通過(guò)認(rèn)證步驟對(duì)要認(rèn)證的信息的認(rèn)證,直接訪問(wèn)存儲(chǔ)裝置的只寫(xiě)區(qū)域,以將所寫(xiě)入的私密密鑰傳送到PKI處理裝置。
根據(jù)本發(fā)明,還提供了一種連接到外部設(shè)備的可移動(dòng)認(rèn)證設(shè)備,包括輸入裝置,用于輸入要認(rèn)證的信息;認(rèn)證裝置,用于認(rèn)證由輸入裝置錄入的要認(rèn)證的信息;PKI處理裝置,用于基于PKI(公共密鑰基礎(chǔ)設(shè)施)系統(tǒng)產(chǎn)生私密密鑰和公共密鑰,以便用所產(chǎn)生的私密密鑰執(zhí)行預(yù)定安全處理;以及存儲(chǔ)裝置,其通過(guò)專用總線連接到PKI處理裝置,并具有只寫(xiě)區(qū)域,私密密鑰被寫(xiě)入該只寫(xiě)區(qū)域,且不能從外面讀出該只寫(xiě)區(qū)域。PKI處理裝置響應(yīng)于認(rèn)證裝置對(duì)要認(rèn)證的信息的認(rèn)證,通過(guò)專用總線讀出已寫(xiě)入存儲(chǔ)裝置的只寫(xiě)區(qū)域中的私密密鑰。
根據(jù)本發(fā)明,提供了一種連接到外部設(shè)備的可移動(dòng)認(rèn)證設(shè)備的安全處理方法,其中該方法包括輸入要認(rèn)證的信息的步驟;認(rèn)證步驟,認(rèn)證通過(guò)輸入步驟錄入的要認(rèn)證的信息;密鑰產(chǎn)生步驟,由執(zhí)行預(yù)定安全處理的PKI處理裝置基于PKI(公共密鑰基礎(chǔ)設(shè)施)系統(tǒng)產(chǎn)生私密密鑰和公共密鑰;以及寫(xiě)步驟,將通過(guò)密鑰產(chǎn)生步驟產(chǎn)生的私密密鑰寫(xiě)入通過(guò)專用總線連接到PKI處理裝置的存儲(chǔ)裝置,存儲(chǔ)裝置具有不可能從外面讀出的只寫(xiě)區(qū)域;PKI處理裝置響應(yīng)認(rèn)證裝置對(duì)要認(rèn)證的信息的認(rèn)證,通過(guò)專用總線讀出已寫(xiě)入存儲(chǔ)裝置的只寫(xiě)區(qū)域的私密密鑰。
根據(jù)本發(fā)明,還提供了一種連接到外部設(shè)備的可移動(dòng)認(rèn)證設(shè)備,包括輸入裝置,用于輸入要認(rèn)證的信息;認(rèn)證裝置,用于認(rèn)證由輸入裝置錄入的要認(rèn)證的信息;PKI處理裝置,用于基于PKI(公共密鑰基礎(chǔ)設(shè)施)系統(tǒng)產(chǎn)生私密密鑰和公共密鑰,以便用所產(chǎn)生的私密密鑰執(zhí)行預(yù)定安全處理;DES密鑰產(chǎn)生裝置,用于基于DES(數(shù)據(jù)加密標(biāo)準(zhǔn))系統(tǒng)產(chǎn)生第一DES密鑰;以及存儲(chǔ)裝置,通過(guò)專用總線連接到PKI處理裝置。由DES密鑰產(chǎn)生裝置產(chǎn)生的第一DES密鑰被寫(xiě)入存儲(chǔ)裝置。在產(chǎn)生私密密鑰之后,PKI處理裝置通過(guò)專用總線讀出已寫(xiě)入存儲(chǔ)裝置的第一DES密鑰,并使用所讀出的第一DES密鑰對(duì)私密密鑰進(jìn)行加密,以產(chǎn)生加密的私密密鑰。PKI處理裝置響應(yīng)認(rèn)證裝置對(duì)要認(rèn)證的信息的認(rèn)證,通過(guò)專用總線讀出已寫(xiě)入存儲(chǔ)裝置的第一DES密鑰,并用所讀出的第一DES密鑰將加密的私密密鑰解密為私密密鑰。
根據(jù)本發(fā)明,還提供了一種連接到外部設(shè)備的可移動(dòng)認(rèn)證設(shè)備,包括輸入裝置,用于輸入要認(rèn)證的信息;認(rèn)證裝置,用于認(rèn)證由輸入裝置錄入的要認(rèn)證的信息;PKI處理裝置,用于基于PKI(公共密鑰基礎(chǔ)設(shè)施)系統(tǒng)產(chǎn)生私密密鑰和公共密鑰,以便用所產(chǎn)生的私密密鑰執(zhí)行預(yù)定安全處理;DES密鑰產(chǎn)生裝置,用于基于DES(數(shù)據(jù)加密標(biāo)準(zhǔn))系統(tǒng)產(chǎn)生第一DES密鑰;以及存儲(chǔ)裝置,通過(guò)專用總線連接到PKI處理裝置。由DES密鑰產(chǎn)生裝置產(chǎn)生的第一DES密鑰被寫(xiě)入存儲(chǔ)裝置。在產(chǎn)生私密密鑰之后,PKI處理裝置通過(guò)專用總線讀出已寫(xiě)入存儲(chǔ)裝置的第一DES密鑰,并使用所讀出的第一DES密鑰對(duì)私密密鑰進(jìn)行加密,以產(chǎn)生加密的私密密鑰。PKI處理裝置響應(yīng)認(rèn)證裝置對(duì)要認(rèn)證的信息的認(rèn)證,通過(guò)專用總線讀出已寫(xiě)入存儲(chǔ)裝置的第一DES密鑰,并用所讀出的第一DES密鑰將加密的私密密鑰解密為私密密鑰。
根據(jù)本發(fā)明,還提供了一種連接到外部設(shè)備的可移動(dòng)認(rèn)證設(shè)備的安全處理方法,其中該方法包括輸入要認(rèn)證的信息的步驟;認(rèn)證步驟,認(rèn)證由輸入步驟錄入的要認(rèn)證的信息;密鑰產(chǎn)生步驟,由執(zhí)行預(yù)定安全處理的PKI處理裝置基于PKI(公共密鑰基礎(chǔ)設(shè)施)系統(tǒng)產(chǎn)生私密密鑰和公共密鑰;DES密鑰產(chǎn)生步驟,基于DES(數(shù)據(jù)加密系統(tǒng))產(chǎn)生第一DES密鑰;以及寫(xiě)步驟,將通過(guò)DES密鑰產(chǎn)生步驟產(chǎn)生的第一DES密鑰寫(xiě)入通過(guò)專用總線連接到PKI處理裝置的存儲(chǔ)裝置。在產(chǎn)生私密密鑰之后,PKI處理單元通過(guò)專用總線讀出已寫(xiě)入存儲(chǔ)裝置的第一DES密鑰,并用所讀出的第一DES密鑰對(duì)私密密鑰進(jìn)行加密,以產(chǎn)生加密的私密密鑰。PKI處理單元響應(yīng)認(rèn)證步驟對(duì)要認(rèn)證的信息的認(rèn)證,通過(guò)專用總線讀出已寫(xiě)入存儲(chǔ)裝置的第一DES密鑰,并用所讀出的第一DES密鑰將加密的私密密鑰解密為私密密鑰。
根據(jù)本發(fā)明,還提供了一種連接到外部設(shè)備的可移動(dòng)認(rèn)證設(shè)備,包括輸入裝置,用于輸入要認(rèn)證的信息;認(rèn)證裝置,用于認(rèn)證由輸入步驟錄入的要認(rèn)證的信息;PKI(公共密鑰基礎(chǔ)設(shè)施)處理裝置,用于基于PKI系統(tǒng)而由PKI系統(tǒng)產(chǎn)生私密密鑰和公共密鑰,以執(zhí)行預(yù)定安全處理;DES(數(shù)據(jù)加密系統(tǒng))密鑰產(chǎn)生裝置,用于基于DES系統(tǒng)產(chǎn)生第一DES密鑰;存儲(chǔ)裝置,具有不可能從外面讀出的只寫(xiě)區(qū)域,由DES密鑰產(chǎn)生裝置產(chǎn)生的第一DES密鑰被寫(xiě)入只寫(xiě)區(qū)域;以及DES密鑰傳送裝置,用于直接訪問(wèn)存儲(chǔ)裝置的只寫(xiě)區(qū)域,以將寫(xiě)入其中的第一DES密鑰傳送到第一PKI處理裝置。當(dāng)產(chǎn)生私密密鑰時(shí),DES密鑰傳送裝置讀出已寫(xiě)入存儲(chǔ)裝置的只寫(xiě)區(qū)域的第一DES密鑰,以將如此讀出的第一DES密鑰傳送到PKI處理裝置。PKI處理裝置使用DES密鑰傳送裝置傳送的第一DES密鑰將加密的私密密鑰解密為私密密鑰。
根據(jù)本發(fā)明,還提供了一種連接到外部設(shè)備的可移動(dòng)認(rèn)證設(shè)備的安全處理方法,其中該方法包括輸入要認(rèn)證的信息的步驟;認(rèn)證步驟,認(rèn)證通過(guò)輸入步驟錄入的要認(rèn)證的信息;密鑰產(chǎn)生步驟,由執(zhí)行預(yù)定安全處理的PKI處理裝置基于PKI(公共密鑰基礎(chǔ)設(shè)施)系統(tǒng)產(chǎn)生私密密鑰和公共密鑰;DES密鑰產(chǎn)生步驟,基于DES(數(shù)據(jù)加密系統(tǒng))產(chǎn)生第一DES密鑰;寫(xiě)步驟,將通過(guò)DES密鑰產(chǎn)生步驟產(chǎn)生的第一DES密鑰寫(xiě)入具有不可能從外面讀出的只寫(xiě)區(qū)域的存儲(chǔ)裝置;以及DES密鑰傳送步驟,直接訪問(wèn)存儲(chǔ)裝置的只寫(xiě)區(qū)域,以將所寫(xiě)入的私密密鑰傳送到PKI處理裝置。當(dāng)產(chǎn)生私密密鑰時(shí),DES密鑰傳送步驟讀出已寫(xiě)入存儲(chǔ)裝置的只寫(xiě)區(qū)域的第一DES密鑰,以將如此讀出的第一DES密鑰傳送到PKI處理裝置。PKI處理步驟使用DES密鑰傳送裝置傳送的第一DES密鑰對(duì)第一DES密鑰進(jìn)行加密,以產(chǎn)生加密的私密密鑰。DES密鑰傳送步驟響應(yīng)認(rèn)證步驟對(duì)要認(rèn)證的信息的認(rèn)證,讀出已寫(xiě)入存儲(chǔ)裝置的第一DES密鑰。PKI處理裝置用DES密鑰傳送步驟傳送的第一DES密鑰將加密的私密密鑰解密為私密密鑰。
從下面對(duì)優(yōu)選實(shí)施例的說(shuō)明,特別是當(dāng)結(jié)合附圖的閱讀時(shí),本發(fā)明的其它目的和優(yōu)點(diǎn)將變得更加明顯。
圖1示意性地示出根據(jù)本發(fā)明的指紋核對(duì)設(shè)備的結(jié)構(gòu);圖2是示出指紋核對(duì)設(shè)備的結(jié)構(gòu)的方框圖;圖3是示出提供給指紋核對(duì)設(shè)備的ASIC的第一結(jié)構(gòu)的方框圖;圖4是示出在ASIC內(nèi)的PKI引擎(engine)的第一結(jié)構(gòu)的方框圖;圖5示出在ASIC內(nèi)的EEPROM的存儲(chǔ)區(qū)域;圖6是示出數(shù)據(jù)簽名操作的流程圖;圖7是示出提供給指紋核對(duì)設(shè)備的ASIC的第二結(jié)構(gòu)的方框圖;圖8是示出提供給指紋核對(duì)設(shè)備的ASIC的第三結(jié)構(gòu)的方框圖;圖9是示出在ASIC內(nèi)的PKI引擎的第二結(jié)構(gòu)的方框圖;圖10是示出提供給指紋核對(duì)設(shè)備的ASIC的第四結(jié)構(gòu)的方框圖具體實(shí)施方式
現(xiàn)在將參考附圖詳細(xì)說(shuō)明根據(jù)本發(fā)明的認(rèn)證設(shè)備和安全處理設(shè)備。
首先參考圖1到5,說(shuō)明形成根據(jù)本發(fā)明的認(rèn)證設(shè)備的指紋核對(duì)設(shè)備10。
如圖1所示配置根據(jù)本發(fā)明的指紋核對(duì)設(shè)備的指紋核對(duì)設(shè)備10。即,指紋核對(duì)設(shè)備10包括機(jī)盒11,機(jī)盒11上提供有用于讀出手指的指紋信息的指紋讀出傳感器12。指紋核對(duì)設(shè)備10還包括輸入/輸出接口13,該設(shè)備通過(guò)輸入/輸出接口13經(jīng)線纜5連接到諸如個(gè)人計(jì)算機(jī)50的外部設(shè)備,以實(shí)現(xiàn)數(shù)據(jù)傳送/接收。指紋核對(duì)設(shè)備10被配置為便攜的/可移動(dòng)的。
個(gè)人計(jì)算機(jī)50(PC)包括用于連接到網(wǎng)絡(luò)的功能,盡管沒(méi)有示出這樣的功能,且個(gè)人計(jì)算機(jī)50能夠與例如連接到PC的終端設(shè)備進(jìn)行自由地?cái)?shù)據(jù)傳送/接收。
參考圖2,現(xiàn)在將說(shuō)明指紋核對(duì)設(shè)備10的結(jié)構(gòu)。
指紋核對(duì)設(shè)備10包括指紋讀出傳感器12、輸入/輸出傳感器13、快閃存儲(chǔ)器14、SRAM(靜態(tài)隨機(jī)存取存儲(chǔ)器)15、以及ASIC(特定用途集成電路)20。
指紋讀出傳感器12、輸入/輸出傳感器13、快閃存儲(chǔ)器14、SRAM15、以及ASIC20通過(guò)總線16相互連接。
指紋讀出傳感器12是用于讀取放在其上的手指的指紋的脊和槽即指紋的圖案的半導(dǎo)體傳感器。
例如,指紋讀出傳感器12檢測(cè)根據(jù)靜電電容系統(tǒng)的指紋圖案以產(chǎn)生二維圖像。靜電電容系統(tǒng)的指紋讀出傳感器12以80μm的間距具有多個(gè)電極,其中80μm的間距足夠小于指紋的脊和槽的間距。指紋讀出傳感器檢測(cè)指紋圖案和跨電極存儲(chǔ)的電荷量(電容)。由于檢測(cè)的電容在指紋的脊和槽上分別變低和變高,所以可以從電容的這一差異產(chǎn)生表示指紋圖案的二維圖像。
輸入/輸出傳感器13是基于例如USB(通用串行總線)標(biāo)準(zhǔn)的接口。用于輸入/輸出傳感器13的標(biāo)準(zhǔn)也可以是與USB不同的任何適合的標(biāo)準(zhǔn),例如RS232C。
在快閃存儲(chǔ)器14和SRAM15中,存儲(chǔ)有由在ASIC20的CPU讀出的控制固件,這將在后面說(shuō)明,且其適配為全面控制指紋核對(duì)設(shè)備10。
在快閃存儲(chǔ)器14中,還存儲(chǔ)有作為用作指紋核對(duì)基準(zhǔn)的指紋信息的模板數(shù)據(jù)。在使用指紋核對(duì)設(shè)備10執(zhí)行指紋核對(duì)時(shí),用戶不得不從一開(kāi)始就將他/她的指紋信息注冊(cè)到快閃存儲(chǔ)器14中。存儲(chǔ)在快閃存儲(chǔ)器14中的指紋信息是模板數(shù)據(jù),其中該模板數(shù)據(jù)是指紋圖像特征的提取。
參考圖3,現(xiàn)在將說(shuō)明ASIC20的結(jié)構(gòu)。
ASIC20包括指紋核對(duì)引擎21、用于程序22的RAM(隨機(jī)存取存儲(chǔ)器)/掩膜ROM(只讀存儲(chǔ)器)、PKI(公共密鑰基礎(chǔ)設(shè)施)引擎23、EEPROM(電可擦除可編程只讀存儲(chǔ)器)24、DMA(直接存儲(chǔ)器訪問(wèn))控制器25、CPU(中央處理單元)26、接口控制器27、總線控制器28、以及隨機(jī)教引擎30。ASIC20是高度防偽造的IC,其中沒(méi)有由互相連接等操作引起的數(shù)據(jù)泄漏的風(fēng)險(xiǎn)。
指紋核對(duì)引擎21、用于程序的RAM/掩膜ROM22、PKI引擎23、EEPROM24、DMA控制器25、CPU26、接口控制器27、總線控制器28、以及隨機(jī)數(shù)引擎30通過(guò)內(nèi)部總線29相互連接。
在執(zhí)行指紋核對(duì)時(shí),指紋核對(duì)引擎21讀出模板數(shù)據(jù)(其中該模板數(shù)據(jù)是僅從一開(kāi)始就存儲(chǔ)在快閃存儲(chǔ)器14中的指紋圖像的特征的提取),并通過(guò)執(zhí)行核對(duì)來(lái)比較由指紋讀出傳感器12檢測(cè)的指紋圖像和讀出的模板數(shù)據(jù)。將由指紋核對(duì)引擎21獲得的核對(duì)比較結(jié)果通知給CPU26。
再次在指紋核對(duì)引擎21的幫助下,將作為指紋圖像的特征信息的提取的模板數(shù)據(jù)存儲(chǔ)到前述快閃存儲(chǔ)器14。
用于程序22的RAM/掩膜ROM是其中存儲(chǔ)有由執(zhí)行指紋核對(duì)的CPU26使用的固件的存儲(chǔ)器。
PKI引擎23采用基于PKI的私密密鑰執(zhí)行與安全相關(guān)的處理,如數(shù)據(jù)簽名、數(shù)據(jù)加密以及對(duì)已用公共密鑰加密的數(shù)據(jù)的解密。同時(shí),隨后將詳細(xì)說(shuō)明由指紋核對(duì)設(shè)備10執(zhí)行的數(shù)據(jù)簽名、數(shù)據(jù)加密和對(duì)已用公共密鑰加密的數(shù)據(jù)的解密。
參考圖4,現(xiàn)在說(shuō)明PKI引擎23的結(jié)構(gòu)。
PKI引擎23包括數(shù)據(jù)寄存器31、密鑰寄存器32、命令狀態(tài)寄存器33和PKI核心34。
數(shù)據(jù)寄存器31、用于加密/解密的密鑰寄存器32和命令狀態(tài)寄存器33通過(guò)內(nèi)部總線35相互連接。PKI核心34分別連接到數(shù)據(jù)寄存器31、密鑰寄存器32和連接到命令狀態(tài)寄存器33。
數(shù)據(jù)寄存器31用于暫時(shí)存儲(chǔ)PKI核心34在數(shù)據(jù)簽名、數(shù)據(jù)加密或?qū)用軘?shù)據(jù)的解密中處理的數(shù)據(jù)。
密鑰寄存器32用于暫時(shí)存儲(chǔ)由DMA控制器25讀出和傳送的諸如私密密鑰的密鑰。
命令狀態(tài)寄存器33用于暫時(shí)存儲(chǔ)在數(shù)據(jù)簽名、數(shù)據(jù)加密或?qū)用軘?shù)據(jù)的解密期間從CPU26輸出的用于PKI核心34的預(yù)設(shè)命令。
PKI核心34執(zhí)行數(shù)據(jù)簽名、數(shù)據(jù)加密或加密數(shù)據(jù)的解密。一旦經(jīng)由命令狀態(tài)寄存器33從CPU26接收到密鑰產(chǎn)生命令,PKI核心34就基于例如在PKI系統(tǒng)之中的RSA(Rivest Shamir Adleman)系統(tǒng)產(chǎn)生密鑰對(duì),即公共密鑰和私密密鑰。在DMA控制器25的控制下,將如此產(chǎn)生的私密密鑰傳送到EEPROM24的預(yù)設(shè)存儲(chǔ)區(qū)域,這將在后面說(shuō)明。將公共密鑰傳送給PC50。私密密鑰和公共密鑰的產(chǎn)生是由用戶采用指紋核對(duì)設(shè)備10執(zhí)行的初始設(shè)置。
同時(shí),由PKI核心34采用的PKI系統(tǒng)不限于上述的RSA系統(tǒng),因此也可以使用例如Diffie-Hellman(DH)系統(tǒng)或橢圓曲線密碼學(xué)(ECC)系統(tǒng)的任何其它合適的系統(tǒng)。
EEPROM24是可重寫(xiě)的ROM,其中可以電擦除預(yù)先記錄的信息。
圖5示意性地示出EEPROM24的數(shù)據(jù)存儲(chǔ)區(qū)域。EEPROM24包括用于從外部讀/寫(xiě)的R/W區(qū)域41、只用于寫(xiě)的W區(qū)域42和只用于讀的讀區(qū)域。
如上描述,W區(qū)域42是只用于寫(xiě)的區(qū)域。在這個(gè)W區(qū)域42中,在CPU26的控制下,經(jīng)由DMA控制器25寫(xiě)由PKI產(chǎn)生的私密密鑰。
對(duì)于CPU26,W區(qū)域42作為只寫(xiě)區(qū)域。因此,私密密鑰不可以由CPU26讀出。寫(xiě)入W區(qū)域42的私密密鑰只可以通過(guò)DMA控制器25的直接訪問(wèn)而讀出。
在R區(qū)域43,在指紋核對(duì)設(shè)備10的裝運(yùn)的時(shí)候,要么寫(xiě)入并保存序列號(hào),要么寫(xiě)入并保存指定指紋核對(duì)設(shè)備10的ID(識(shí)別)。R區(qū)域43通過(guò)將ASIC20的指定管腳設(shè)置到正側(cè)(plus side)來(lái)許可數(shù)據(jù)寫(xiě)。R區(qū)域43通過(guò)將上述的指定管腳設(shè)置到GND側(cè)而再次證實(shí)只讀區(qū)域。
參考圖3,說(shuō)明ASIC20的配置。
DMA控制器25通過(guò)內(nèi)部總線29執(zhí)行私密密鑰在EEPROM24的W區(qū)域42和PKI引擎23之間的傳輸。DMA控制器25的私密密鑰傳送獨(dú)立于CPU26的處理而執(zhí)行,而CPU26不能參與DMA控制器25的私密密鑰傳送。
CPU26通過(guò)控制指紋核對(duì)來(lái)執(zhí)行存儲(chǔ)在用于程序的RAM/掩膜ROM22中的固件,同時(shí)通過(guò)全面控制指紋核對(duì)設(shè)備10的操作來(lái)執(zhí)行存儲(chǔ)在快閃存儲(chǔ)器14和SRAM15中的固件。
接口控制器27控制與諸如PC50的外部設(shè)備50之間的數(shù)據(jù)傳送,接口控制器基于接口協(xié)議通過(guò)輸入/輸出接口13和線纜15連接。
總線控制器28控制錄入ASIC20或從其中輸出的數(shù)據(jù)。隨機(jī)數(shù)引擎30產(chǎn)生DES密鑰,其中該DES密鑰是基于DES(數(shù)據(jù)加密標(biāo)準(zhǔn))系統(tǒng)(即基于對(duì)稱加密系統(tǒng))的公用密鑰。隨機(jī)數(shù)引擎30響應(yīng)于CPU26的控制,產(chǎn)生用作DES密鑰的56位隨機(jī)數(shù)。
對(duì)稱加密系統(tǒng)使用對(duì)稱密鑰,即公用密鑰,對(duì)數(shù)據(jù)進(jìn)行加密或?qū)用艿臄?shù)據(jù)進(jìn)行解密。
以這種方式,指紋核對(duì)設(shè)備10響應(yīng)指紋核對(duì)的結(jié)果,只通過(guò)DMA控制器25將私密密鑰傳送給PKI引擎23。這樣,指紋核對(duì)設(shè)備10能夠響應(yīng)指紋核對(duì)的結(jié)果,而基于在ASIC20的PKI引擎23上運(yùn)行的PKI系統(tǒng)執(zhí)行安全處理。
現(xiàn)在說(shuō)明指紋核對(duì)設(shè)備10中的數(shù)據(jù)簽名處理。
這個(gè)數(shù)據(jù)簽名就是所謂的數(shù)字簽名,其中在通過(guò)網(wǎng)絡(luò)將特定數(shù)據(jù)從PC50傳送到外部設(shè)備的情況下執(zhí)行數(shù)字簽名來(lái)識(shí)別傳送實(shí)體。已接收用數(shù)據(jù)簽名處理的數(shù)據(jù)的接收實(shí)體能夠執(zhí)行用于識(shí)別傳送實(shí)體的數(shù)據(jù)驗(yàn)證。
參考圖6的流程圖,現(xiàn)在說(shuō)明將數(shù)據(jù)簽名作用到指紋核對(duì)設(shè)備10上的操作。
如圖1所示,這里假設(shè)PC50連接到該網(wǎng)絡(luò),且通過(guò)網(wǎng)絡(luò)將預(yù)設(shè)的數(shù)據(jù)傳送到外部設(shè)備。還假設(shè)已經(jīng)完成了用戶指紋的注冊(cè)和在EEPROM24的W區(qū)域42中的私密密鑰的寫(xiě)入。
首先,在步驟S1,通過(guò)線纜5和輸入/輸出接口13將要進(jìn)行數(shù)據(jù)簽名的原始數(shù)據(jù)從PC50傳送到指紋核對(duì)設(shè)備10。響應(yīng)來(lái)自PC50的原始數(shù)據(jù)的傳送,在PC50的監(jiān)視屏幕上顯示提示用戶在指紋讀出傳感器12上設(shè)置他的/她的手指的消息。
在步驟S2,指紋讀出傳感器12檢測(cè)其上設(shè)置的手指的指紋圖像。然后,使用指紋核對(duì)引擎21,將檢測(cè)出的指紋圖像與存儲(chǔ)在快閃存儲(chǔ)器14中的模板數(shù)據(jù)進(jìn)行比較和核對(duì)。如果已經(jīng)認(rèn)證在指紋讀出傳感器12上設(shè)置的手指的指紋圖像,處理轉(zhuǎn)移到步驟S3,如果相反,則確定過(guò)程為錯(cuò)誤的。
在步驟S3,將原始數(shù)據(jù)傳送到PKI引擎23的數(shù)據(jù)寄存器31。同時(shí),經(jīng)由命令狀態(tài)寄存器將散列(hash)命令從CPU26傳送到PKI引擎23的PKI核心34。
在步驟S4,PKI核心34響應(yīng)散列命令,讀出存儲(chǔ)在數(shù)據(jù)寄存器31中的原始數(shù)據(jù)。將如此讀出的原始數(shù)據(jù)錄入散列函數(shù),以產(chǎn)生散列數(shù)據(jù)。將如此產(chǎn)生的散列數(shù)據(jù)暫時(shí)返回到CPU26。該散列函數(shù)是單向函數(shù),如MD5(消息摘要#5)或SHA(安全散列算法)。然而,上述僅是示意性的,并可以使用任何其它適合的散列函數(shù)。
在步驟S5,CPU26將散列數(shù)據(jù)傳送到PKI引擎23的數(shù)據(jù)寄存器31。此時(shí)DMA控制器25讀出存儲(chǔ)在EEPROM24的W區(qū)域42中的私密密鑰,以將如此讀出的私密密鑰傳送到PKI引擎31的密鑰寄存器32。
當(dāng)在步驟S6已經(jīng)將簽名命令通過(guò)命令狀態(tài)寄存器33從CPU26傳送到PKI核心34時(shí),該P(yáng)KI核心34讀出存儲(chǔ)在數(shù)據(jù)寄存器31中的散列數(shù)據(jù)和存儲(chǔ)在密鑰寄存器32中的私密密鑰,以執(zhí)行加密處理來(lái)產(chǎn)生簽名數(shù)據(jù)。
在步驟S7,PKI核心34將產(chǎn)生的簽名數(shù)據(jù)傳送到CPU26。CPU26將簽名數(shù)據(jù)傳送到CPU50,使得PC50能夠獲取附加到原始數(shù)據(jù)上的簽名數(shù)據(jù),即數(shù)字簽名。PC50通過(guò)網(wǎng)絡(luò)將已經(jīng)附加了數(shù)字簽名的原始數(shù)據(jù)傳送到外部設(shè)備。
同時(shí),已經(jīng)接收到已附加了數(shù)字簽名的原始數(shù)據(jù)的外部設(shè)備執(zhí)行數(shù)據(jù)驗(yàn)證,以驗(yàn)證該數(shù)據(jù)是否是從已進(jìn)行了簽名的實(shí)體送出的數(shù)據(jù)。
現(xiàn)在將說(shuō)明在已經(jīng)接收到已附加了數(shù)字簽名的原始數(shù)據(jù)的指紋核對(duì)設(shè)備10中的數(shù)據(jù)驗(yàn)證。
首先,將原始數(shù)據(jù)傳送到PKI引擎23,且在PKI核心34中產(chǎn)生散列數(shù)據(jù)。然后,PKI核心34能夠用公共密鑰對(duì)簽名數(shù)據(jù)進(jìn)行解密,以基于由公共密鑰解密的簽名數(shù)據(jù)是否與散列數(shù)據(jù)相符來(lái)實(shí)現(xiàn)驗(yàn)證。
現(xiàn)在將說(shuō)明由指紋核對(duì)設(shè)備10進(jìn)行的數(shù)據(jù)加密的操作。
在加密數(shù)據(jù)時(shí),首先由隨機(jī)數(shù)引擎30產(chǎn)生DES密鑰。
然后,用所產(chǎn)生的DES密鑰對(duì)原始數(shù)據(jù)進(jìn)行加密,以產(chǎn)生加密數(shù)據(jù)。PKI引擎23用DMA控制器25從EEPROM24讀出的私密密鑰對(duì)根據(jù)其產(chǎn)生加密數(shù)據(jù)的DES密鑰進(jìn)行加密,以產(chǎn)生加密密鑰數(shù)據(jù)。
這樣,為了由DMA控制器25讀出私密密鑰,已經(jīng)由指紋核對(duì)引擎21進(jìn)行指紋核對(duì)是先決條件。
最后,將通過(guò)DES密鑰加密的數(shù)據(jù)和加密密鑰數(shù)據(jù)(對(duì)應(yīng)于使用私密密鑰加密的DES密鑰)傳送到對(duì)方實(shí)體。
數(shù)據(jù)接收實(shí)體使用與私密密鑰匹配的公共密鑰將加密密鑰數(shù)據(jù)解密為DES密鑰,并用加密的DES密鑰對(duì)加密的數(shù)據(jù)進(jìn)行解密,以獲取原始數(shù)據(jù)。
現(xiàn)在將說(shuō)明在指紋核對(duì)設(shè)備10中對(duì)用公共密鑰加密后傳送到其中的原始數(shù)據(jù)進(jìn)行解密的操作。
將用公共密鑰對(duì)原始數(shù)據(jù)加密而獲得的加密數(shù)據(jù)傳送到PKI引擎23。通過(guò)DMA控制器25從EEPROM24讀出的私密密鑰將傳送到PKI引擎23的加密數(shù)據(jù)解密為原始數(shù)據(jù)。類似地,當(dāng)要由DMA控制器25讀出私密密鑰時(shí),已經(jīng)結(jié)束指紋核對(duì)引擎21的指紋核對(duì)是先決條件。
以這種方式,如果指紋核對(duì)引擎21已經(jīng)認(rèn)證了用戶的指紋,則指紋核對(duì)設(shè)備10能夠通過(guò)DMA控制器25從EEPROM24的W區(qū)域42讀出的私密密鑰基于PKI系統(tǒng)而執(zhí)行各種安全處理操作。
指紋核對(duì)設(shè)備10的ASIC20可以配置為如圖7所示的ASIC60。
ASIC60對(duì)應(yīng)于去掉DMA控制器25、且EEPROM24通過(guò)專用總線61連接到PKI引擎23的ASIC20。如果指紋核對(duì)引擎21已經(jīng)認(rèn)證了用戶的指紋,則在通過(guò)專用總線61相互連接的PKI引擎23和EEPROM24的情況下,PKI引擎23能夠讀出來(lái)自EEPROM24的W區(qū)域42的私密密鑰,以基于PKI系統(tǒng)執(zhí)行安全處理。
另外,通過(guò)在指紋核對(duì)設(shè)備10中采用如圖8所示配置的ASIC70來(lái)代替ASIC20,可以實(shí)施用DES密鑰對(duì)私密密鑰進(jìn)行加密的技術(shù)。
ASIC70使用PKI-DES引擎71來(lái)代替圖7所示的ASIC60的PKI引擎23。PKI-DES引擎71使用PKI-DES核心72來(lái)代替圖3所示的PKI引擎23的PKI核心34。
除了采用根據(jù)PKI系統(tǒng)的私密密鑰的處理之外,PKI-DES引擎71的PKI-DES核心72能夠用DES密鑰執(zhí)行加密和解密的處理。
現(xiàn)在將說(shuō)明如圖8所示的ASIC70的操作。
當(dāng)接通ASIC70的電源時(shí),在CPU26的控制下,隨機(jī)數(shù)引擎30產(chǎn)生DES密鑰。例如,在此時(shí)基于三重DES系統(tǒng)產(chǎn)生兩個(gè)8字節(jié)的DES密鑰,其中三重DES系統(tǒng)通過(guò)由DES連續(xù)執(zhí)行三次加密處理來(lái)增強(qiáng)密鑰。
經(jīng)由PKI-DES引擎71和專用總線61將所產(chǎn)生的三重DES密鑰寫(xiě)到EEPROM24中。
當(dāng)已經(jīng)產(chǎn)生了PKI密鑰,即私密密鑰和公共密鑰時(shí),PKI-DES引擎71通過(guò)專用總線61從EEPROM24讀出三重DES密鑰,以對(duì)私密密鑰進(jìn)行加密而產(chǎn)生加密密鑰數(shù)據(jù)。將如此產(chǎn)生的加密密鑰數(shù)據(jù)和公共密鑰輸出到PKI-DES引擎71的外邊,從而存儲(chǔ)在快閃存儲(chǔ)器14內(nèi)。
如果在數(shù)據(jù)簽名、數(shù)據(jù)加密和對(duì)用公共密鑰加密的數(shù)據(jù)進(jìn)行解密時(shí)使用了私密密鑰,則在CPU26的控制下讀出存儲(chǔ)在快閃存儲(chǔ)器14中的加密密鑰數(shù)據(jù),并將其存儲(chǔ)到PKI-DES引擎71的密鑰寄存器32。
然后PKI-DES引擎71的PKI-DES核心72讀出存儲(chǔ)在EEPROM24中的三重DES密鑰,以將存儲(chǔ)在密鑰寄存器32中的加密數(shù)據(jù)解密為私密密鑰。
這樣,PKI-DES引擎71在將使用三重DES密鑰加密而獲得的加密密鑰數(shù)據(jù)解密為私密密鑰時(shí),指紋核對(duì)引擎21已經(jīng)進(jìn)行了指紋核對(duì)是先決條件。
以這種方式,通過(guò)使用DES密鑰對(duì)私密密鑰進(jìn)行加密,用更小容量的EEPROM24可以無(wú)限地產(chǎn)生PKI密鑰。EEPROM24可以是任何合適的存儲(chǔ)器,只要所使用的存儲(chǔ)器允許數(shù)據(jù)寫(xiě)入和數(shù)據(jù)讀出。結(jié)果,可以使用便宜的存儲(chǔ)器,從而導(dǎo)致成本降低。
盡管PKI-DES引擎71用三重DES系統(tǒng)對(duì)私密密鑰進(jìn)行加密,當(dāng)然有可能用單一的常用DES密鑰對(duì)私密密鑰進(jìn)行加密。
通過(guò)如圖10所示配置的ASIC80的使用,有可能實(shí)施用于使用DES密鑰對(duì)私密密鑰進(jìn)行加密的另一個(gè)技術(shù)。
在ASIC80中,使用圖9所示的PKI-DES引擎71來(lái)代替在圖3所示的ASIC20中的PKI引擎23。
現(xiàn)在將詳細(xì)說(shuō)明ASIC89的操作。
當(dāng)接通ASIC80的電源時(shí),在CPU26的控制下,隨機(jī)數(shù)引擎30產(chǎn)生DES密鑰。
由CPU26控制的DMA控制器25經(jīng)由PKI-DES引擎71將如此產(chǎn)生的DES密鑰寫(xiě)入EEPROM24的W區(qū)域42。
當(dāng)PKI-DES引擎71已經(jīng)產(chǎn)生PKI密鑰(即私密密鑰和公共密鑰)時(shí),DMA控制器25直接訪問(wèn)EEPROM24的W區(qū)域42,以讀出DES密鑰,將如此讀出的DES密鑰轉(zhuǎn)移到PKI-DES引擎71。
PKI-DES引擎71使用如此轉(zhuǎn)移來(lái)的DES密鑰對(duì)私密密鑰進(jìn)行加密,以產(chǎn)生加密數(shù)據(jù)。將如此產(chǎn)生的加密密鑰數(shù)據(jù)和公共密鑰輸出到PKI-DES引擎71的外面,以存儲(chǔ)到快閃存儲(chǔ)器14中。
如果在數(shù)據(jù)簽名、數(shù)據(jù)加密或?qū)τ霉裁荑€加密的數(shù)據(jù)的解密中使用了私密密鑰,則CPU26讀出存儲(chǔ)在快閃存儲(chǔ)器14中的加密密鑰數(shù)據(jù),并將其存儲(chǔ)到PKI-DES引擎71的密鑰寄存器32中。
然后,DMA控制器25讀出存儲(chǔ)在EEPROM24中的DERS密鑰,并將如此讀出的密鑰轉(zhuǎn)移到PKI-DES引擎71。
PKI-DES引擎71的PKI-DES核心72用如此轉(zhuǎn)移的密鑰寄存器32將存儲(chǔ)在密鑰寄存器32中的加密密鑰數(shù)據(jù)解密為私密密鑰。
當(dāng)PKI-DES引擎71使用DES密鑰將加密密鑰數(shù)據(jù)解密為私密密鑰時(shí),指紋核對(duì)引擎21已經(jīng)認(rèn)證了用戶的指紋是先決條件。
同時(shí),在采用本發(fā)明的指紋核對(duì)設(shè)備10中,在PKI系統(tǒng)的基礎(chǔ)上產(chǎn)生的私密密鑰是對(duì)用戶指紋的認(rèn)證的有效響應(yīng),然而,本發(fā)明不限于指紋認(rèn)證,從而可以結(jié)合有關(guān)活體的信息的認(rèn)證或結(jié)合輸入例如密碼的認(rèn)證服務(wù)員來(lái)使用私密密鑰。
本發(fā)明不限于上述實(shí)施例,在不脫離權(quán)利要求中限定的本發(fā)明的范圍的情況下,可以想到各種修改、替換或等價(jià)物。
工業(yè)實(shí)用性根據(jù)上述本發(fā)明,將基于PKI系統(tǒng)用于安全處理的私密密鑰寫(xiě)入存儲(chǔ)裝置的專用區(qū)域,其中僅由預(yù)定的傳送裝置讀取該存儲(chǔ)裝置,并且基于對(duì)要認(rèn)證的信息的認(rèn)證結(jié)果,將私密密鑰傳送到PKI處理裝置。由于這禁止外來(lái)的非法訪問(wèn)讀出私密密鑰,所以通過(guò)消除關(guān)鍵數(shù)據(jù)的非法流出、在網(wǎng)絡(luò)上的數(shù)據(jù)偽造或冒充來(lái)保持高安全級(jí)別變得可能。而且,根據(jù)本發(fā)明,通過(guò)專用總線將寫(xiě)入了私密密鑰的存儲(chǔ)裝置連接到PKI處理裝置,使得通過(guò)簡(jiǎn)化的結(jié)構(gòu)可以實(shí)現(xiàn)阻止私密密鑰被外來(lái)的非法訪問(wèn)讀出的機(jī)制。另外,根據(jù)本發(fā)明,通過(guò)DES密鑰對(duì)私密密鑰進(jìn)行加密,并且將如此加密的DES密鑰通過(guò)專用總線寫(xiě)入存儲(chǔ)裝置或者寫(xiě)入僅可以由預(yù)設(shè)的傳送裝置讀出的存儲(chǔ)裝置的專用區(qū)域。根據(jù)對(duì)要認(rèn)證的信息的認(rèn)證結(jié)果,將該私密密鑰傳送到PKI處理裝置。以這種方式,可以防止私密密鑰被外來(lái)的非法訪問(wèn)讀出,同時(shí)可以減小存儲(chǔ)裝置的容量,且可以無(wú)限地制造PKI密鑰,從而使成本能夠降低。
權(quán)利要求書(shū)(按照條約第19條的修改)1.一種連接到外部設(shè)備的可移動(dòng)的認(rèn)證設(shè)備,包括輸入裝置,用于輸入要認(rèn)證的信息;認(rèn)證裝置,用于認(rèn)證由所述輸入裝置錄入的所述要認(rèn)證的信息;在集成電路內(nèi)形成的CPU(中央處理單元),用于全面控制內(nèi)部總線和所述認(rèn)證裝置;PKI處理裝置,用于基于PKI(公共密鑰基礎(chǔ)設(shè)施)系統(tǒng)來(lái)產(chǎn)生私密密鑰和公共密鑰,以便用所產(chǎn)生的私密密鑰執(zhí)行預(yù)定安全處理;存儲(chǔ)裝置,具有只寫(xiě)區(qū)域,其中在該只寫(xiě)區(qū)域中寫(xiě)入由所述PKI處理裝置產(chǎn)生的私密密鑰,并且不能從外部讀出該只寫(xiě)區(qū)域,僅可能通過(guò)所述CPU的寫(xiě)操作來(lái)在所述只寫(xiě)區(qū)域中寫(xiě)入;以及私密密鑰傳送裝置,用于響應(yīng)由所述認(rèn)證裝置對(duì)所述要認(rèn)證的信息的認(rèn)證而直接訪問(wèn)所述存儲(chǔ)裝置的所述只寫(xiě)區(qū)域,并用于僅在所述PKI處理裝置和所述存儲(chǔ)裝置之間傳送已寫(xiě)入所述只寫(xiě)區(qū)域中的所述私密密鑰傳送到PKI處理裝置。
2.根據(jù)權(quán)利要求1的認(rèn)證設(shè)備,其中所述要認(rèn)證的信息是指紋信息。
3.根據(jù)權(quán)利要求1的認(rèn)證設(shè)備,其中所述PKI處理裝置通過(guò)執(zhí)行所述預(yù)定安全處理,使用由所述私密密鑰傳送裝置傳送的所述私密密鑰,來(lái)根據(jù)從所述外部設(shè)備提供的數(shù)據(jù)產(chǎn)生電子簽名。
4.根據(jù)權(quán)利要求1的認(rèn)證設(shè)備,還包括加密數(shù)據(jù)產(chǎn)生裝置,用于通過(guò)根據(jù)DES(數(shù)據(jù)加密標(biāo)準(zhǔn))系統(tǒng)產(chǎn)生的DES(數(shù)據(jù)加密標(biāo)準(zhǔn))系統(tǒng)密鑰,來(lái)對(duì)從所述外部設(shè)備提供的數(shù)據(jù)進(jìn)行加密,以產(chǎn)生加密數(shù)據(jù);所述PKI處理裝置通過(guò)執(zhí)行所述預(yù)定安全處理,使用由所述私密密鑰傳送裝置傳送的所述私密密鑰,對(duì)所述DES密鑰進(jìn)行加密,以產(chǎn)生加密密鑰數(shù)據(jù)。
5.根據(jù)權(quán)利要求1的可移動(dòng)認(rèn)證設(shè)備,其中所述PKI處理裝置通過(guò)執(zhí)行所述預(yù)定安全處理,使用由所述私密密鑰傳送裝置傳送的所述私密密鑰,來(lái)對(duì)用針對(duì)所述私密密鑰的公共密鑰加密而獲得的加密數(shù)據(jù)進(jìn)行解密。
6.根據(jù)權(quán)利要求1的可移動(dòng)認(rèn)證設(shè)備,其中所述輸入裝置輸入有關(guān)活體的信息作為要認(rèn)證的信息;并且其中所述認(rèn)證裝置對(duì)由所述輸入裝置錄入的有關(guān)活體的信息執(zhí)行認(rèn)證處理。
7.一種連接到外部設(shè)備的可移動(dòng)認(rèn)證設(shè)備的安全處理方法,所述方法包括輸入要認(rèn)證的信息的步驟;認(rèn)證步驟,認(rèn)證所述輸入步驟錄入的所述要認(rèn)證的信息;密鑰產(chǎn)生步驟,由執(zhí)行預(yù)定安全處理的PKI處理裝置基于PKI(公共密鑰基礎(chǔ)設(shè)施)系統(tǒng)產(chǎn)生私密密鑰和公共密鑰;寫(xiě)步驟,將通過(guò)所述密鑰產(chǎn)生步驟產(chǎn)生的私密密鑰寫(xiě)入具有不可能從外部讀出的只寫(xiě)區(qū)域的存儲(chǔ)裝置;以及私密密鑰傳送步驟,響應(yīng)于通過(guò)所述認(rèn)證步驟對(duì)所述要認(rèn)證的信息的認(rèn)證,直接訪問(wèn)所述存儲(chǔ)裝置的所述只寫(xiě)區(qū)域,以將所寫(xiě)入的私密密鑰傳送到所述PKI處理裝置。
8.根據(jù)權(quán)利要求7的安全處理方法,其中所述PKI處理裝置通過(guò)執(zhí)行所述預(yù)設(shè)的安全處理,使用通過(guò)所述私密密鑰傳送步驟傳送的所述私密密鑰,來(lái)根據(jù)從所述外部設(shè)備提供的數(shù)據(jù)產(chǎn)生電子簽名。
9.根據(jù)權(quán)利要求7的安全處理方法,還包括加密數(shù)據(jù)產(chǎn)生步驟,通過(guò)基于DES(數(shù)據(jù)加密標(biāo)準(zhǔn))系統(tǒng)產(chǎn)生的DES密鑰來(lái)對(duì)從所述外部設(shè)備提供的數(shù)據(jù)進(jìn)行加密,以產(chǎn)生加密數(shù)據(jù);所述PKI處理裝置通過(guò)執(zhí)行所述預(yù)設(shè)的安全處理,使用通過(guò)所述私密密鑰傳送步驟傳送的所述私密密鑰,對(duì)所述DES密鑰進(jìn)行加密,以產(chǎn)生加密密鑰數(shù)據(jù)。
10.根據(jù)權(quán)利要求7的安全處理方法,其中所述PKI處理步驟通過(guò)執(zhí)行所述預(yù)定安全處理,使用通過(guò)所述私密密鑰傳送步驟傳送的所述私密密鑰,來(lái)對(duì)用針對(duì)所述私密密鑰的公共密鑰加密的數(shù)據(jù)進(jìn)行解密。
11.根據(jù)權(quán)利要求7的安全處理方法,其中所述輸入步驟輸入有關(guān)活體的信息作為要認(rèn)證的信息,并且其中所述認(rèn)證步驟對(duì)所述輸入步驟中錄入的有關(guān)活體的信息執(zhí)行認(rèn)證處理。
12.一種連接到外部設(shè)備的可移動(dòng)認(rèn)證設(shè)備,包括
輸入裝置,用于輸入要認(rèn)證的信息;認(rèn)證裝置,用于認(rèn)證由所述輸入裝置錄入的所述要認(rèn)證的信息;在集成電路內(nèi)形成的CPU(中央處理單元),用于全面控制內(nèi)部總線和所述認(rèn)證裝置;PKI處理裝置,用于基于PKI(公共密鑰基礎(chǔ)設(shè)施)系統(tǒng)產(chǎn)生私密密鑰和公共密鑰,以便用所產(chǎn)生的私密密鑰執(zhí)行預(yù)定安全處理;以及存儲(chǔ)裝置,其通過(guò)專用總線連接到所述PKI處理裝置,并具有只寫(xiě)區(qū)域,所述私密密鑰被寫(xiě)入該只寫(xiě)區(qū)域,且不能從外面讀出該只寫(xiě)區(qū)域,僅可能通過(guò)所述CPU的寫(xiě)操作來(lái)在所述只寫(xiě)區(qū)域中寫(xiě)入;所述PKI處理裝置響應(yīng)于所述認(rèn)證裝置對(duì)所述要認(rèn)證的信息的認(rèn)證,僅通過(guò)僅使所述PKI處理裝置和所述存儲(chǔ)裝置互相連接的另一條專用總線,讀出已寫(xiě)入所述存儲(chǔ)裝置的所述只寫(xiě)區(qū)域中的所述私密密鑰。
13.根據(jù)權(quán)利要求12的認(rèn)證設(shè)備,其中所述要認(rèn)證的信息是指紋信息。
14.根據(jù)權(quán)利要求12的認(rèn)證設(shè)備,其中所述PKI處理裝置通過(guò)執(zhí)行所述預(yù)定安全處理,使用通過(guò)所述專用總線讀出的所述私密密鑰,來(lái)根據(jù)從所述外部設(shè)備提供的數(shù)據(jù)產(chǎn)生電子簽名。
15.根據(jù)權(quán)利要求12的認(rèn)證設(shè)備,還包括加密數(shù)據(jù)產(chǎn)生裝置,用于通過(guò)以DES(數(shù)據(jù)加密標(biāo)準(zhǔn))系統(tǒng)為基礎(chǔ)產(chǎn)生的DES密鑰來(lái)對(duì)從所述外部設(shè)備提供的數(shù)據(jù)進(jìn)行加密,以產(chǎn)生加密數(shù)據(jù);所述PKI處理裝置通過(guò)執(zhí)行所述預(yù)定安全處理,使用通過(guò)所述專用總線讀出的所述私密密鑰,對(duì)所述DES密鑰進(jìn)行加密,以產(chǎn)生加密密鑰數(shù)據(jù)。
16.根據(jù)權(quán)利要求12的認(rèn)證設(shè)備,其中所述PKI處理裝置通過(guò)執(zhí)行所述預(yù)定安全處理,使用通過(guò)所述專用總線讀出的所述私密密鑰,來(lái)對(duì)用針對(duì)所述私密密鑰的公共密鑰加密的數(shù)據(jù)進(jìn)行解密。
17.根據(jù)權(quán)利要求12的認(rèn)證設(shè)備,其中所述輸入裝置輸入有關(guān)活體的信息作為要認(rèn)證的信息;并且其中所述認(rèn)證步驟對(duì)所述輸入步驟中錄入的有關(guān)活體的信息執(zhí)行認(rèn)證處理。
18.一種連接到外部設(shè)備的可移動(dòng)認(rèn)證設(shè)備的安全處理方法,所述方法包括輸入要認(rèn)證的信息的步驟;認(rèn)證步驟,認(rèn)證通過(guò)所述輸入步驟錄入的所述要認(rèn)證的信息;
密鑰產(chǎn)生步驟,由執(zhí)行預(yù)定安全處理的PKI處理裝置基于PKI(公共密鑰基礎(chǔ)設(shè)施)系統(tǒng)產(chǎn)生私密密鑰和公共密鑰;以及寫(xiě)步驟,將通過(guò)所述密鑰產(chǎn)生步驟產(chǎn)生的私密密鑰寫(xiě)入通過(guò)專用總線連接到所述PKI處理裝置的存儲(chǔ)裝置,所述存儲(chǔ)裝置具有不可能從外面讀出的只寫(xiě)區(qū)域;所述PKI處理裝置響應(yīng)所述認(rèn)證裝置對(duì)所述要認(rèn)證的信息的認(rèn)證,通過(guò)所述專用總線讀出已寫(xiě)入所述存儲(chǔ)裝置的所述只寫(xiě)區(qū)域的所述私密密鑰。
19.根據(jù)權(quán)利要求18的安全處理方法,其中通過(guò)執(zhí)行所述預(yù)設(shè)的安全處理,使用所述外部設(shè)備提供的所述私密密鑰,來(lái)根據(jù)從所述外部設(shè)備提供的數(shù)據(jù)產(chǎn)生電子簽名。
20.根據(jù)權(quán)利要求18的安全處理方法,還包括加密數(shù)據(jù)產(chǎn)生步驟,通過(guò)基于DES(數(shù)據(jù)加密標(biāo)準(zhǔn))系統(tǒng)產(chǎn)生的DES密鑰來(lái)對(duì)從所述外部設(shè)備提供的數(shù)據(jù)進(jìn)行加密,以產(chǎn)生加密數(shù)據(jù);所述PKI處理裝置通過(guò)執(zhí)行所述預(yù)設(shè)的安全處理,使用通過(guò)所述專用總線讀出的所述私密密鑰,對(duì)所述DES密鑰進(jìn)行加密,以產(chǎn)生加密密鑰數(shù)據(jù)。
21.根據(jù)權(quán)利要求18的安全處理方法,其中所述PKI處理裝置通過(guò)執(zhí)行所述預(yù)設(shè)的安全處理,使用通過(guò)所述專用總線讀出的所述私密密鑰,來(lái)對(duì)用針對(duì)所述私密密鑰的公共密鑰加密的數(shù)據(jù)進(jìn)行解密。
22.根據(jù)權(quán)利要求18的安全處理方法,其中所述輸入步驟輸入有關(guān)活體的信息作為要認(rèn)證的信息,并且其中所述認(rèn)證步驟對(duì)所述輸入步驟中錄入的活體的信息執(zhí)行認(rèn)證。
23.一種連接到外部設(shè)備的可移動(dòng)認(rèn)證設(shè)備,包括輸入裝置,用于輸入要認(rèn)證的信息;認(rèn)證裝置,用于認(rèn)證由所述輸入裝置錄入的所述要認(rèn)證的信息;在集成電路內(nèi)形成的CPU(中央處理單元),用于全面控制內(nèi)部總線和所述認(rèn)證裝置;PKI-DES處理裝置,包括PKI部分,用于基于PKI(公共密鑰基礎(chǔ)設(shè)施)系統(tǒng)產(chǎn)生私密密鑰和公共密鑰,以便用所產(chǎn)生的私密密鑰執(zhí)行預(yù)定安全處理;和DES密鑰產(chǎn)生部分,用于基于DES(數(shù)據(jù)加密標(biāo)準(zhǔn))系統(tǒng)產(chǎn)生第一DES密鑰;以及存儲(chǔ)裝置,通過(guò)專用總線連接到所述PKI處理部分;由DES密鑰產(chǎn)生部分產(chǎn)生的所述第一DES密鑰被寫(xiě)入所述存儲(chǔ)裝置;在產(chǎn)生所述私密密鑰之后,所述PKI處理裝置通過(guò)專用總線讀出已寫(xiě)入所述存儲(chǔ)裝置的所述第一DES密鑰,并使用所讀出的第一DES密鑰對(duì)所述私密密鑰進(jìn)行加密,以產(chǎn)生加密的私密密鑰;所述PKI處理裝置響應(yīng)所述認(rèn)證裝置對(duì)所述要認(rèn)證的信息的認(rèn)證,僅通過(guò)僅使所述PKI處理裝置和所述存儲(chǔ)裝置互相連接的另一條專用總線,讀出已寫(xiě)入所述存儲(chǔ)裝置的所述第一DES密鑰。
24.根據(jù)權(quán)利要求23的認(rèn)證設(shè)備,其中所述要認(rèn)證的信息是指紋信息。
25.根據(jù)權(quán)利要求23的認(rèn)證設(shè)備,其中所產(chǎn)生的加密私密密鑰被存儲(chǔ)在所述集成電路外面的非易失性存儲(chǔ)器中。
26.根據(jù)權(quán)利要求23的認(rèn)證設(shè)備,其中所述PKI處理裝置通過(guò)執(zhí)行所述預(yù)定安全處理,使用通過(guò)所述專用總線讀出的所述私密密鑰,來(lái)根據(jù)從所述外部設(shè)備提供的數(shù)據(jù)產(chǎn)生電子簽名。
27.根據(jù)權(quán)利要求23的認(rèn)證設(shè)備,還包括加密數(shù)據(jù)產(chǎn)生裝置,用于通過(guò)根據(jù)DES系統(tǒng)產(chǎn)生的第二DES密鑰來(lái)對(duì)從所述外部設(shè)備提供的數(shù)據(jù)進(jìn)行加密,以產(chǎn)生加密數(shù)據(jù);所述PKI處理裝置通過(guò)執(zhí)行所述預(yù)定安全處理,使用通過(guò)所述專用總線讀出的所述第一DES密鑰,對(duì)所述第二DES密鑰進(jìn)行加密,以產(chǎn)生加密密鑰數(shù)據(jù)。
28.根據(jù)權(quán)利要求23的可移動(dòng)認(rèn)證設(shè)備,其中所述PKI處理裝置通過(guò)執(zhí)行所述預(yù)定安全處理,使用用通過(guò)所述專用總線讀出的所述第一DES密鑰從所述加密的私密密鑰解密的所述私密密鑰,來(lái)對(duì)用針對(duì)所述私密密鑰的公共密鑰加密而獲得的加密數(shù)據(jù)進(jìn)行解密。
29.根據(jù)權(quán)利要求23的可移動(dòng)認(rèn)證設(shè)備,其中所述輸入裝置輸入有關(guān)活體的信息作為要認(rèn)證的信息;并且其中所述認(rèn)證裝置對(duì)由所述輸入裝置錄入的有關(guān)活體的信息執(zhí)行認(rèn)證。
30.根據(jù)權(quán)利要求23的可移動(dòng)認(rèn)證設(shè)備,其中所述DES密鑰產(chǎn)生裝置基于三重DES系統(tǒng)產(chǎn)生所述第一DES密鑰;并且其中所述PKI處理裝置根據(jù)所述三重DES系統(tǒng)對(duì)所述私密密鑰進(jìn)行加密,以產(chǎn)生加密的私密密鑰。
31.一種連接到外部設(shè)備的可移動(dòng)認(rèn)證設(shè)備的安全處理方法,所述方法包括輸入要認(rèn)證的信息的步驟;認(rèn)證步驟,認(rèn)證由所述輸入步驟錄入的所述要認(rèn)證的信息;控制步驟,由在集成電路內(nèi)形成的CPU(中央處理單元)控制內(nèi)部總線和所述認(rèn)證裝置;密鑰-DES密鑰產(chǎn)生步驟,由執(zhí)行預(yù)定安全處理的PKI部分基于PKI(公共密鑰基礎(chǔ)設(shè)施)系統(tǒng)產(chǎn)生私密密鑰和公共密鑰,和基于DES(數(shù)據(jù)加密系統(tǒng))產(chǎn)生第一DES密鑰;以及寫(xiě)步驟,將通過(guò)所述密鑰-DES密鑰產(chǎn)生步驟產(chǎn)生的第一DES密鑰寫(xiě)入通過(guò)專用總線連接到所述PKI處理裝置的存儲(chǔ)裝置;在產(chǎn)生所述私密密鑰之后,所述PKI處理單元通過(guò)所述專用總線讀出已寫(xiě)入所述存儲(chǔ)裝置的所述第一DES密鑰,并用所讀出的第一DES密鑰對(duì)所述私密密鑰進(jìn)行加密,以產(chǎn)生加密的私密密鑰;所述PKI處理單元響應(yīng)所述認(rèn)證步驟對(duì)要認(rèn)證的信息的認(rèn)證,僅通過(guò)僅使所述PKI-DES處理裝置和所述存儲(chǔ)裝置互相連接的另一條專用總線,讀出已寫(xiě)入所述存儲(chǔ)裝置的所述第一DES密鑰,并用所讀出的第一DES密鑰將所述加密的私密密鑰解密為所述私密密鑰。
32.根據(jù)權(quán)利要求31的安全處理方法,其中所述要認(rèn)證的信息是指紋信息。
33.根據(jù)權(quán)利要求31的安全處理方法,其中所產(chǎn)生的加密的私密密鑰被存儲(chǔ)在所述集成電路外面的非易失性存儲(chǔ)器中。
34.根據(jù)權(quán)利要求31的安全處理方法,其中所述PKI-DES處理裝置通過(guò)執(zhí)行所述預(yù)定安全處理,使用用通過(guò)所述專用總線讀出的所述第一DES密鑰從加密的私密密鑰解密的所述私密密鑰,來(lái)根據(jù)從所述外部設(shè)備提供的數(shù)據(jù)產(chǎn)生電子簽名。
35.根據(jù)權(quán)利要求31的安全處理方法,還包括加密數(shù)據(jù)產(chǎn)生步驟,通過(guò)以DES系統(tǒng)為基礎(chǔ)產(chǎn)生的第二DES密鑰來(lái)對(duì)從所述外部設(shè)備提供的數(shù)據(jù)進(jìn)行加密,以產(chǎn)生加密數(shù)據(jù);所述PKI-DES處理步驟通過(guò)執(zhí)行所述預(yù)定安全處理,使用用通過(guò)所述專用總線讀出的所述第一DES密鑰從加密的私密密鑰解密的所述私密密鑰,來(lái)對(duì)所述第二DES密鑰進(jìn)行加密以產(chǎn)生加密密鑰數(shù)據(jù)。
36.根據(jù)權(quán)利要求31的安全處理方法,其中所述PKI-DES處理裝置通過(guò)執(zhí)行所述預(yù)定安全處理,使用用通過(guò)所述專用總線讀出的所述第一DES密鑰從所述加密私密密鑰解密的所述私密密鑰,來(lái)對(duì)用針對(duì)所述私密密鑰的公共密鑰加密而獲得的加密數(shù)據(jù)進(jìn)行解密。
37.根據(jù)權(quán)利要求31的安全處理方法,其中所述輸入步驟輸入有關(guān)活體的信息作為要認(rèn)證的信息,且其中所述認(rèn)證步驟對(duì)通過(guò)所述輸入步驟錄入的有關(guān)活體的信息執(zhí)行認(rèn)證。
38.根據(jù)權(quán)利要求31的安全處理方法,其中所述DES密鑰產(chǎn)生步驟基于三重DES系統(tǒng)產(chǎn)生所述第一DES密鑰;并且其中所述PKI-DES處理裝置根據(jù)所述三重DES系統(tǒng)對(duì)所述私密密鑰進(jìn)行加密,以產(chǎn)生加密的私密密鑰。
39.一種連接到外部設(shè)備的可移動(dòng)認(rèn)證設(shè)備,包括輸入裝置,用于輸入要認(rèn)證的信息;認(rèn)證裝置,用于認(rèn)證由輸入步驟錄入的所述要認(rèn)證的信息;CPU(中央處理單元),形成于集成電路內(nèi),用于全面控制內(nèi)部總線和所述認(rèn)證裝置;PKI(公共密鑰基礎(chǔ)設(shè)施)-DES處理裝置,其具有PKI部分,用于由PKI系統(tǒng)產(chǎn)生私密密鑰和公共密鑰,以使用所產(chǎn)生的私密密鑰來(lái)執(zhí)行預(yù)定安全處理;和DES(數(shù)據(jù)加密系統(tǒng))密鑰產(chǎn)生部分,用于基于DES系統(tǒng)產(chǎn)生第一DES密鑰;存儲(chǔ)裝置,具有不可能從外面讀出的只寫(xiě)區(qū)域,由所述DES密鑰產(chǎn)生裝置產(chǎn)生的所述第一DES密鑰被寫(xiě)入所述只寫(xiě)區(qū)域;以及DES密鑰傳送裝置,用于通過(guò)內(nèi)部總線直接訪問(wèn)所述存儲(chǔ)裝置的所述只寫(xiě)區(qū)域而無(wú)需CPU參與傳送,以便僅在所述PKI-DES處理裝置和所述存儲(chǔ)裝置之間傳送DES密鑰;當(dāng)產(chǎn)生私密密鑰時(shí),所述DES密鑰傳送裝置讀出已寫(xiě)入所述存儲(chǔ)裝置的所述只寫(xiě)區(qū)域的所述第一DES密鑰,以將如此讀出的第一DES密鑰傳送到所述PKI-DES處理裝置;
所述PKI-DES處理裝置使用DES密鑰傳送裝置傳送的所述第一DES密鑰來(lái)對(duì)所述私密密鑰進(jìn)行加密;所述DES密鑰傳送裝置響應(yīng)認(rèn)證裝置對(duì)所述要認(rèn)證的信息的認(rèn)證,讀出已寫(xiě)入所述存儲(chǔ)裝置的所述第一DES密鑰;所述PKI-DES處理裝置使用所述DES密鑰傳送裝置傳送的所述第一DES密鑰將所述加密的私密密鑰解密為所述私密密鑰。
40.根據(jù)權(quán)利要求39的認(rèn)證設(shè)備,其中所述要認(rèn)證的信息是指紋信息。
41.根據(jù)權(quán)利要求39的認(rèn)證設(shè)備,其中所述PKI處理裝置通過(guò)執(zhí)行所述預(yù)定安全處理,使用用所述DES密鑰傳送裝置傳送的所述第一DES密鑰從加密的私密密鑰解密的所述私密密鑰,來(lái)根據(jù)從所述外部設(shè)備提供的數(shù)據(jù)中產(chǎn)生電子簽名。
42.根據(jù)權(quán)利要求39的認(rèn)證設(shè)備,還包括加密數(shù)據(jù)產(chǎn)生裝置,用于通過(guò)以DES系統(tǒng)為基礎(chǔ)產(chǎn)生的第二DES密鑰來(lái)對(duì)從所述外部設(shè)備提供的數(shù)據(jù)進(jìn)行加密,以產(chǎn)生加密數(shù)據(jù);所述PKI處理裝置通過(guò)執(zhí)行所述預(yù)定安全處理,使用用所述DES密鑰傳送裝置傳送的所述第一DES密鑰從加密的私密密鑰解密的所述私密密鑰,對(duì)所述第二DES密鑰進(jìn)行加密,以產(chǎn)生加密密鑰數(shù)據(jù)。
43.根據(jù)權(quán)利要求39的認(rèn)證設(shè)備,其中所述PKI處理裝置通過(guò)執(zhí)行所述預(yù)定安全處理,使用用所述DES密鑰傳送裝置傳送的所述第一DES密鑰從所述加密的私密密鑰解密的所述私密密鑰,來(lái)對(duì)用針對(duì)所述私密密鑰的公共密鑰加密而獲得的加密數(shù)據(jù)進(jìn)行解密。
44.根據(jù)權(quán)利要求39的認(rèn)證設(shè)備,其中所述輸入裝置輸入有關(guān)活體的信息作為要認(rèn)證的信息,并且其中所述認(rèn)證裝置對(duì)由所述輸入裝置錄入的有關(guān)活體的信息執(zhí)行認(rèn)證。
45.根據(jù)權(quán)利要求39的可移動(dòng)認(rèn)證設(shè)備,其中所述DES密鑰產(chǎn)生裝置基于三重DES系統(tǒng)產(chǎn)生所述第一DES密鑰;并且其中所述PKI處理單元根據(jù)所述三重DES系統(tǒng)對(duì)所述私密密鑰進(jìn)行加密,以產(chǎn)生加密的私密密鑰。
46.一種連接到外部設(shè)備的可移動(dòng)認(rèn)證設(shè)備的安全處理方法,所述方法包括
輸入要認(rèn)證的信息的步驟;認(rèn)證步驟,認(rèn)證通過(guò)所述輸入步驟錄入的所述要認(rèn)證的信息;控制步驟,由在集成電路內(nèi)形成的CPU(中央處理單元)控制內(nèi)部總線和所述認(rèn)證裝置;PKI-DES處理步驟,由執(zhí)行預(yù)定安全處理的PKI處理部分基于PKI(公共密鑰基礎(chǔ)設(shè)施)系統(tǒng)產(chǎn)生私密密鑰和公共密鑰,和基于DES(數(shù)據(jù)加密標(biāo)準(zhǔn))系統(tǒng)產(chǎn)生第一DES密鑰;寫(xiě)步驟,將通過(guò)所述PKI-DES密鑰處理步驟產(chǎn)生的所述第一DES密鑰寫(xiě)入具有不可能從外面讀出的只寫(xiě)區(qū)域的存儲(chǔ)裝置;以及DES密鑰傳送步驟,通過(guò)內(nèi)部總線直接訪問(wèn)所述存儲(chǔ)裝置的所述只寫(xiě)區(qū)域而無(wú)需所述CPU參與傳送,以便僅在負(fù)責(zé)所述PKI-DES處理的所述PKI-DES處理裝置和所述存儲(chǔ)裝置之間傳送DES密鑰;當(dāng)產(chǎn)生所述私密密鑰時(shí),所述DES密鑰傳送步驟讀出已寫(xiě)入所述存儲(chǔ)裝置的所述只寫(xiě)區(qū)域的所述第一DES密鑰,以將如此讀出的第一DES密鑰傳送到所述PKI-DES處理裝置;所述PKI-DES處理步驟使用所述DES密鑰傳送裝置傳送的所述第一DES密鑰對(duì)所述第一DES密鑰進(jìn)行加密,以產(chǎn)生加密的私密密鑰;所述DES密鑰傳送步驟響應(yīng)所述認(rèn)證步驟對(duì)所述要認(rèn)證的信息的認(rèn)證,讀出已寫(xiě)入所述存儲(chǔ)裝置的所述第一DES密鑰;所述PKI處理裝置用所述DES密鑰傳送步驟傳送的所述第一DES密鑰將所述加密的私密密鑰解密為所述私密密鑰。
47.根據(jù)權(quán)利要求46的安全處理方法,其中所述PKI-DES處理裝置通過(guò)執(zhí)行所述預(yù)定安全處理,使用用所述DES密鑰傳送裝置傳送的所述第一DES密鑰從加密的私密密鑰中解密的所述私密密鑰,來(lái)根據(jù)從所述外部設(shè)備提供的數(shù)據(jù)產(chǎn)生電子簽名。
48.根據(jù)權(quán)利要求46的安全處理方法,還包括加密數(shù)據(jù)產(chǎn)生步驟,通過(guò)以DES系統(tǒng)為基礎(chǔ)產(chǎn)生的第二DES密鑰來(lái)對(duì)從所述外部設(shè)備提供的數(shù)據(jù)進(jìn)行加密,以產(chǎn)生加密數(shù)據(jù);所述PKI-DES處理裝置通過(guò)執(zhí)行所述預(yù)定安全處理,使用用所述DES密鑰傳送裝置傳送的所述第一DES密鑰從加密的私密密鑰解密的所述私密密鑰,對(duì)所述第二DES密鑰進(jìn)行加密,以產(chǎn)生加密密鑰數(shù)據(jù)。
49.根據(jù)權(quán)利要求46的安全處理方法,其中所述PKI處理裝置通過(guò)執(zhí)行所述預(yù)定安全處理,使用用通過(guò)所述DES密鑰傳送步驟傳送的所述第一DES密鑰從所述加密的私密密鑰解密的所述私密密鑰,來(lái)對(duì)用針對(duì)所述私密密鑰的公共密鑰加密而獲得的加密數(shù)據(jù)進(jìn)行解密。
50.根據(jù)權(quán)利要求46的安全處理方法,其中所述輸入步驟輸入有關(guān)活體的信息作為要認(rèn)證的信息,并且其中所述認(rèn)證步驟對(duì)由所述輸入裝置錄入的有關(guān)活體的信息執(zhí)行認(rèn)證。
51.根據(jù)權(quán)利要求46的安全處理方法,其中所述DES密鑰產(chǎn)生步驟基于三重DES系統(tǒng)產(chǎn)生所述第一DES密鑰;并且其中所述PKI-DES處理單元根據(jù)所述三重DES系統(tǒng)對(duì)所述私密密鑰進(jìn)行加密,以產(chǎn)生加密的私密密鑰。
權(quán)利要求
1.一種連接到外部設(shè)備的可移動(dòng)的認(rèn)證設(shè)備,包括輸入裝置,用于輸入要認(rèn)證的信息;認(rèn)證裝置,用于認(rèn)證由所述輸入裝置錄入的所述要認(rèn)證的信息;PKI處理裝置,用于基于PKI(公共密鑰基礎(chǔ)設(shè)施)系統(tǒng)來(lái)產(chǎn)生私密密鑰和公共密鑰,以便用所產(chǎn)生的私密密鑰執(zhí)行預(yù)定安全處理;存儲(chǔ)裝置,具有只寫(xiě)區(qū)域,其中在該只寫(xiě)區(qū)域中寫(xiě)入由所述PKI處理裝置產(chǎn)生的私密密鑰,并且不能從外部讀出該只寫(xiě)區(qū)域;以及私密密鑰傳送裝置,用于響應(yīng)由所述認(rèn)證裝置對(duì)所述要認(rèn)證的信息的認(rèn)證而直接訪問(wèn)所述存儲(chǔ)裝置的所述只寫(xiě)區(qū)域,并用于將所寫(xiě)入的私密密鑰傳送到PKI處理裝置。
2.根據(jù)權(quán)利要求1的可移動(dòng)認(rèn)證設(shè)備,其中所述PKI處理裝置通過(guò)執(zhí)行所述預(yù)定安全處理,使用由所述私密密鑰傳送裝置傳送的所述私密密鑰,來(lái)根據(jù)從所述外部設(shè)備提供的數(shù)據(jù)產(chǎn)生電子簽名。
3.根據(jù)權(quán)利要求1的可移動(dòng)認(rèn)證設(shè)備,還包括加密數(shù)據(jù)產(chǎn)生裝置,用于通過(guò)以DES(數(shù)據(jù)加密標(biāo)準(zhǔn))系統(tǒng)為基礎(chǔ)產(chǎn)生的DES密鑰來(lái)對(duì)從所述外部設(shè)備提供的數(shù)據(jù)進(jìn)行加密,以產(chǎn)生加密數(shù)據(jù);所述PKI處理裝置通過(guò)執(zhí)行所述預(yù)定安全處理,使用由所述私密密鑰傳送裝置傳送的所述私密密鑰,對(duì)所述DES密鑰進(jìn)行加密,以產(chǎn)生加密密鑰數(shù)據(jù)。
4.根據(jù)權(quán)利要求1的可移動(dòng)認(rèn)證設(shè)備,其中所述PKI處理裝置通過(guò)執(zhí)行所述預(yù)定安全處理,使用由所述私密密鑰傳送裝置傳送的所述私密密鑰,來(lái)對(duì)用針對(duì)所述私密密鑰的公共密鑰加密而獲得的加密數(shù)據(jù)進(jìn)行解密。
5.根據(jù)權(quán)利要求1的可移動(dòng)認(rèn)證設(shè)備,其中所述輸入裝置輸入有關(guān)活體的信息作為要認(rèn)證的信息;并且其中所述認(rèn)證裝置對(duì)由所述輸入裝置錄入的有關(guān)活體的信息執(zhí)行認(rèn)證處理。
6.一種連接到外部設(shè)備的可移動(dòng)認(rèn)證設(shè)備的安全處理方法,所述方法包括輸入要認(rèn)證的信息的步驟;認(rèn)證步驟,認(rèn)證所述輸入步驟錄入的所述要認(rèn)證的信息;密鑰產(chǎn)生步驟,由執(zhí)行預(yù)定安全處理的PKI處理裝置基于PKI(公共密鑰基礎(chǔ)設(shè)施)系統(tǒng)產(chǎn)生私密密鑰和公共密鑰;寫(xiě)步驟,將通過(guò)所述密鑰產(chǎn)生步驟產(chǎn)生的私密密鑰寫(xiě)入具有不可能從外部讀出的只寫(xiě)區(qū)域的存儲(chǔ)裝置;以及私密密鑰傳送步驟,響應(yīng)于通過(guò)所述認(rèn)證步驟對(duì)所述要認(rèn)證的信息的認(rèn)證,直接訪問(wèn)所述存儲(chǔ)裝置的所述只寫(xiě)區(qū)域,以將所寫(xiě)入的私密密鑰傳送到所述PKI處理裝置。
7.根據(jù)權(quán)利要求6的安全處理方法,其中通過(guò)執(zhí)行所述預(yù)設(shè)的安全處理,使用通過(guò)所述私密密鑰傳送步驟傳送的所述私密密鑰,來(lái)根據(jù)從所述外部設(shè)備提供的數(shù)據(jù)產(chǎn)生電子簽名。
8.根據(jù)權(quán)利要求6的安全處理方法,還包括加密數(shù)據(jù)產(chǎn)生步驟,通過(guò)基于DES(數(shù)據(jù)加密標(biāo)準(zhǔn))系統(tǒng)產(chǎn)生的DES密鑰來(lái)對(duì)從所述外部設(shè)備提供的數(shù)據(jù)進(jìn)行加密,以產(chǎn)生加密數(shù)據(jù);所述PKI處理裝置通過(guò)執(zhí)行所述預(yù)設(shè)的安全處理,使用通過(guò)所述私密密鑰傳送步驟傳送的所述私密密鑰,對(duì)所述DES密鑰進(jìn)行加密,以產(chǎn)生加密密鑰數(shù)據(jù)。
9.根據(jù)權(quán)利要求6的安全處理方法,其中所述PKI處理步驟通過(guò)執(zhí)行所述預(yù)定安全處理,使用通過(guò)所述私密密鑰傳送步驟傳送的所述私密密鑰,來(lái)對(duì)用針對(duì)所述私密密鑰的公共密鑰加密的數(shù)據(jù)進(jìn)行解密。
10.根據(jù)權(quán)利要求6的安全處理方法,其中所述輸入步驟中被提供有關(guān)活體的信息作為要認(rèn)證的信息,并且其中所述認(rèn)證步驟對(duì)所述輸入步驟中錄入的有關(guān)活體的信息執(zhí)行認(rèn)證處理。
11.一種連接到外部設(shè)備的可移動(dòng)認(rèn)證設(shè)備,包括輸入裝置,用于輸入要認(rèn)證的信息;認(rèn)證裝置,用于認(rèn)證由所述輸入裝置錄入的所述要認(rèn)證的信息;PKI處理裝置,用于基于PKI(公共密鑰基礎(chǔ)設(shè)施)系統(tǒng)產(chǎn)生私密密鑰和公共密鑰,以便用所產(chǎn)生的私密密鑰執(zhí)行預(yù)定安全處理;以及存儲(chǔ)裝置,其通過(guò)專用總線連接到所述PKI處理裝置,并具有只寫(xiě)區(qū)域,所述私密密鑰被寫(xiě)入該只寫(xiě)區(qū)域,且不能從外面讀出該只寫(xiě)區(qū)域;所述PKI處理裝置響應(yīng)于所述認(rèn)證裝置對(duì)所述要認(rèn)證的信息的認(rèn)證,通過(guò)所述專用總線讀出已寫(xiě)入所述存儲(chǔ)裝置的所述只寫(xiě)區(qū)域中的所述私密密鑰。
12.根據(jù)權(quán)利要求11的可移動(dòng)認(rèn)證設(shè)備,其中所述PKI處理裝置通過(guò)執(zhí)行所述預(yù)定安全處理,使用通過(guò)所述專用總線讀出的所述私密密鑰,來(lái)根據(jù)從所述外部設(shè)備提供的數(shù)據(jù)產(chǎn)生電子簽名。
13.根據(jù)權(quán)利要求11的可移動(dòng)認(rèn)證設(shè)備,還包括加密數(shù)據(jù)產(chǎn)生裝置,用于通過(guò)以DES(數(shù)據(jù)加密標(biāo)準(zhǔn))系統(tǒng)為基礎(chǔ)產(chǎn)生的DES密鑰來(lái)對(duì)從所述外部設(shè)備提供的數(shù)據(jù)進(jìn)行加密,以產(chǎn)生加密數(shù)據(jù);所述PKI處理裝置通過(guò)執(zhí)行所述預(yù)定安全處理,使用通過(guò)所述專用總線讀出的所述私密密鑰,對(duì)所述DES密鑰進(jìn)行加密,以產(chǎn)生加密密鑰數(shù)據(jù)。
14.根據(jù)權(quán)利要求11的可移動(dòng)認(rèn)證設(shè)備,其中所述PKI處理裝置通過(guò)執(zhí)行所述預(yù)定安全處理,使用通過(guò)所述專用總線讀出的所述私密密鑰,來(lái)對(duì)用針對(duì)所述私密密鑰的公共密鑰加密而獲得的加密數(shù)據(jù)進(jìn)行解密。
15.根據(jù)權(quán)利要求11的可移動(dòng)認(rèn)證設(shè)備,其中所述輸入裝置輸入有關(guān)活體的信息作為要認(rèn)證的信息;并且其中所述認(rèn)證裝置對(duì)由所述輸入裝置錄入的有關(guān)活體的信息執(zhí)行認(rèn)證。
16.一種連接到外部設(shè)備的可移動(dòng)認(rèn)證設(shè)備的安全處理方法,所述方法包括輸入要認(rèn)證的信息的步驟;認(rèn)證步驟,認(rèn)證通過(guò)所述輸入步驟錄入的所述要認(rèn)證的信息;密鑰產(chǎn)生步驟,由執(zhí)行預(yù)定安全處理的PKI處理裝置基于PKI(公共密鑰基礎(chǔ)設(shè)施)系統(tǒng)產(chǎn)生私密密鑰和公共密鑰;以及寫(xiě)步驟,將通過(guò)所述密鑰產(chǎn)生步驟產(chǎn)生的私密密鑰寫(xiě)入通過(guò)專用總線連接到所述PKI處理裝置的存儲(chǔ)裝置,所述存儲(chǔ)裝置具有不可能從外面讀出的只寫(xiě)區(qū)域;所述PKI處理裝置響應(yīng)所述認(rèn)證裝置對(duì)所述要認(rèn)證的信息的認(rèn)證,通過(guò)所述專用總線讀出已寫(xiě)入所述存儲(chǔ)裝置的所述只寫(xiě)區(qū)域的所述私密密鑰。
17.根據(jù)權(quán)利要求16的安全處理方法,其中通過(guò)執(zhí)行所述預(yù)設(shè)的安全處理,使用所述外部設(shè)備提供的所述私密密鑰,來(lái)根據(jù)從所述外部設(shè)備提供的數(shù)據(jù)產(chǎn)生電子簽名。
18.根據(jù)權(quán)利要求16的安全處理方法,還包括加密數(shù)據(jù)產(chǎn)生步驟,通過(guò)基于DES(數(shù)據(jù)加密標(biāo)準(zhǔn))系統(tǒng)產(chǎn)生的DES密鑰來(lái)對(duì)從所述外部設(shè)備提供的數(shù)據(jù)進(jìn)行加密,以產(chǎn)生加密數(shù)據(jù);所述PKI處理裝置通過(guò)執(zhí)行所述預(yù)設(shè)的安全處理,使用通過(guò)所述專用總線讀出的所述私密密鑰,對(duì)所述DES密鑰進(jìn)行加密,以產(chǎn)生加密密鑰數(shù)據(jù)。
19.根據(jù)權(quán)利要求16的安全處理方法,其中所述PKI處理裝置通過(guò)執(zhí)行所述預(yù)設(shè)的安全處理,使用通過(guò)所述專用總線讀出的所述私密密鑰,來(lái)對(duì)用針對(duì)所述私密密鑰的公共密鑰加密的數(shù)據(jù)進(jìn)行解密。
20.根據(jù)權(quán)利要求16的安全處理方法,其中所述輸入步驟輸入有關(guān)活體的信息作為要認(rèn)證的信息,并且其中所述認(rèn)證步驟對(duì)所述輸入步驟中錄入的要認(rèn)證的信息執(zhí)行認(rèn)證。
21.一種連接到外部設(shè)備的可移動(dòng)認(rèn)證設(shè)備,包括輸入裝置,用于輸入要認(rèn)證的信息;認(rèn)證裝置,用于認(rèn)證由所述輸入裝置錄入的所述要認(rèn)證的信息;PKI處理裝置,用于基于PKI(公共密鑰基礎(chǔ)設(shè)施)系統(tǒng)產(chǎn)生私密密鑰和公共密鑰,以便用所產(chǎn)生的私密密鑰執(zhí)行預(yù)定安全處理;DES密鑰產(chǎn)生裝置,用于基于DES(數(shù)據(jù)加密標(biāo)準(zhǔn))系統(tǒng)產(chǎn)生第一DES密鑰;以及存儲(chǔ)裝置,通過(guò)專用總線連接到所述PKI處理裝置;由DES密鑰產(chǎn)生裝置產(chǎn)生的所述第一DES密鑰被寫(xiě)入所述存儲(chǔ)裝置;在產(chǎn)生所述私密密鑰之后,所述PKI處理裝置通過(guò)專用總線讀出已寫(xiě)入所述存儲(chǔ)裝置的所述第一DES密鑰,并使用所讀出的第一DES密鑰對(duì)所述私密密鑰進(jìn)行加密,以產(chǎn)生加密的私密密鑰;所述PKI處理裝置響應(yīng)所述認(rèn)證裝置對(duì)所述要認(rèn)證的信息的認(rèn)證,通過(guò)專用總線讀出已寫(xiě)入所述存儲(chǔ)裝置的所述第一DES密鑰,并用所讀出的第一DES密鑰將所述加密的私密密鑰解密為所述私密密鑰。
22.根據(jù)權(quán)利要求21的可移動(dòng)認(rèn)證設(shè)備,其中所述PKI處理裝置通過(guò)執(zhí)行所述預(yù)定安全處理,使用用通過(guò)所述專用總線讀出的所述第一DES密鑰從所述加密的私密密鑰解密的所述私密密鑰,來(lái)根據(jù)從所述外部設(shè)備提供的數(shù)據(jù)產(chǎn)生電子簽名。
23.根據(jù)權(quán)利要求21的可移動(dòng)認(rèn)證設(shè)備,還包括加密數(shù)據(jù)產(chǎn)生裝置,用于通過(guò)以DES系統(tǒng)為基礎(chǔ)產(chǎn)生的第二DES密鑰來(lái)對(duì)從所述外部設(shè)備提供的數(shù)據(jù)進(jìn)行加密,以產(chǎn)生加密數(shù)據(jù);所述PKI處理裝置通過(guò)執(zhí)行所述預(yù)定安全處理,使用通過(guò)所述專用總線讀出的所述第一DES密鑰,對(duì)所述第二DES密鑰進(jìn)行加密,以產(chǎn)生加密密鑰數(shù)據(jù)。
24.根據(jù)權(quán)利要求21的可移動(dòng)認(rèn)證設(shè)備,其中所述PKI處理裝置通過(guò)執(zhí)行所述預(yù)定安全處理,使用用通過(guò)所述專用總線讀出的所述第一DES密鑰從所述加密的私密密鑰解密的所述私密密鑰,來(lái)對(duì)用針對(duì)所述私密密鑰的公共密鑰加密而獲得的加密數(shù)據(jù)進(jìn)行解密。
25.根據(jù)權(quán)利要求21的可移動(dòng)認(rèn)證設(shè)備,其中所述輸入裝置輸入有關(guān)活體的信息作為要認(rèn)證的信息;并且其中所述認(rèn)證裝置對(duì)由所述輸入裝置錄入的有關(guān)活體的信息執(zhí)行認(rèn)證。
26.根據(jù)權(quán)利要求21的可移動(dòng)認(rèn)證設(shè)備,其中所述DES密鑰產(chǎn)生裝置基于三重DES系統(tǒng)產(chǎn)生所述第一DES密鑰;并且其中所述PKI處理裝置根據(jù)所述三重DES系統(tǒng)對(duì)所述私密密鑰進(jìn)行加密,以產(chǎn)生加密的私密密鑰。
27.一種連接到外部設(shè)備的可移動(dòng)認(rèn)證設(shè)備的安全處理方法,所述方法包括輸入要認(rèn)證的信息的步驟;認(rèn)證步驟,認(rèn)證由所述輸入步驟錄入的所述要認(rèn)證的信息;密鑰產(chǎn)生步驟,由執(zhí)行預(yù)定安全處理的PKI處理裝置基于PKI(公共密鑰基礎(chǔ)設(shè)施)系統(tǒng)產(chǎn)生私密密鑰和公共密鑰;DES密鑰產(chǎn)生步驟,基于DES(數(shù)據(jù)加密系統(tǒng))產(chǎn)生第一DES密鑰;以及寫(xiě)步驟,將通過(guò)所述DES密鑰產(chǎn)生步驟產(chǎn)生的第一DES密鑰寫(xiě)入通過(guò)專用總線連接到所述PKI處理裝置的存儲(chǔ)裝置;在產(chǎn)生所述私密密鑰之后,所述PKI處理單元通過(guò)所述專用總線讀出已寫(xiě)入所述存儲(chǔ)裝置的所述第一DES密鑰,并用所讀出的第一DES密鑰對(duì)所述私密密鑰進(jìn)行加密,以產(chǎn)生加密的私密密鑰;所述PKI處理單元響應(yīng)所述認(rèn)證步驟對(duì)要認(rèn)證的信息的認(rèn)證,通過(guò)專用總線讀出已寫(xiě)入所述存儲(chǔ)裝置的所述第一DES密鑰,并用所讀出的第一DES密鑰將所述加密的私密密鑰解密為所述私密密鑰。
28.根據(jù)權(quán)利要求27的安全處理方法,其中所述PKI處理裝置通過(guò)執(zhí)行所述預(yù)定安全處理,使用用通過(guò)所述專用總線讀出的所述第一DES密鑰從加密的私密密鑰解密的所述私密密鑰,來(lái)根據(jù)從所述外部設(shè)備提供的數(shù)據(jù)產(chǎn)生電子簽名。
29.根據(jù)權(quán)利要求27的安全處理方法,還包括加密數(shù)據(jù)產(chǎn)生步驟,通過(guò)以DES系統(tǒng)為基礎(chǔ)產(chǎn)生的第二DES密鑰來(lái)對(duì)從所述外部設(shè)備提供的數(shù)據(jù)進(jìn)行加密,以產(chǎn)生加密數(shù)據(jù);所述PKI處理步驟通過(guò)執(zhí)行所述預(yù)定安全處理,使用用通過(guò)所述專用總線讀出的所述第一DES密鑰從加密的私密密鑰解密的所述私密密鑰,來(lái)對(duì)所述第二DES密鑰進(jìn)行加密以產(chǎn)生加密密鑰數(shù)據(jù)。
30.根據(jù)權(quán)利要求27的安全處理方法,其中所述PKI處理裝置通過(guò)執(zhí)行所述預(yù)定安全處理,使用用通過(guò)所述專用總線讀出的所述第一DES密鑰從所述加密私密密鑰解密的所述私密密鑰,來(lái)對(duì)用針對(duì)所述私密密鑰的公共密鑰加密而獲得的加密數(shù)據(jù)進(jìn)行解密。
31.根據(jù)權(quán)利要求27的安全處理方法,其中所述輸入步驟輸入有關(guān)活體的信息作為要認(rèn)證的信息,且其中所述認(rèn)證步驟對(duì)通過(guò)所述輸入步驟錄入的有關(guān)活體的信息執(zhí)行認(rèn)證。
32.根據(jù)權(quán)利要求27的安全處理方法,其中所述DES密鑰產(chǎn)生步驟基于三重DES系統(tǒng)產(chǎn)生所述第一DES密鑰;并且其中所述PKI處理裝置根據(jù)所述三重DES系統(tǒng)對(duì)所述私密密鑰進(jìn)行加密,以產(chǎn)生加密的私密密鑰。
33.一種連接到外部設(shè)備的可移動(dòng)認(rèn)證設(shè)備,包括輸入裝置,用于輸入要認(rèn)證的信息;認(rèn)證裝置,用于認(rèn)證由輸入步驟錄入的所述要認(rèn)證的信息;PKI(公共密鑰基礎(chǔ)設(shè)施)處理裝置,用于基于PKI系統(tǒng)而由PKI系統(tǒng)產(chǎn)生私密密鑰和公共密鑰,以執(zhí)行預(yù)定安全處理;DES(數(shù)據(jù)加密系統(tǒng))密鑰產(chǎn)生裝置,用于基于DES系統(tǒng)產(chǎn)生第一DES密鑰;存儲(chǔ)裝置,具有不可能從外面讀出的只寫(xiě)區(qū)域,由所述DES密鑰產(chǎn)生裝置產(chǎn)生的所述第一DES密鑰被寫(xiě)入所述只寫(xiě)區(qū)域;以及DES密鑰傳送裝置,用于直接訪問(wèn)所述存儲(chǔ)裝置的所述只寫(xiě)區(qū)域,以將寫(xiě)入其中的所述第一DES密鑰傳送到所述第一PKI處理裝置;當(dāng)產(chǎn)生私密密鑰時(shí),所述DES密鑰傳送裝置讀出已寫(xiě)入所述存儲(chǔ)裝置的所述只寫(xiě)區(qū)域的所述第一DES密鑰,以將如此讀出的第一DES密鑰傳送到所述PKI處理裝置;所述PKI處理裝置使用DES密鑰傳送裝置傳送的所述第一DES密鑰來(lái)對(duì)所述私密密鑰進(jìn)行加密;所述DES密鑰傳送裝置響應(yīng)認(rèn)證裝置對(duì)所述要認(rèn)證的信息的認(rèn)證,讀出已寫(xiě)入所述存儲(chǔ)裝置的所述第一DES密鑰;所述PKI處理裝置使用所述DES密鑰傳送裝置傳送的所述第一DES密鑰將所述加密的私密密鑰解密為所述私密密鑰。
34.根據(jù)權(quán)利要求33的可移動(dòng)認(rèn)證設(shè)備,其中所述PKI處理裝置通過(guò)執(zhí)行所述預(yù)定安全處理,使用用所述DES密鑰傳送裝置傳送的所述第一DES密鑰從加密的私密密鑰解密的所述私密密鑰,來(lái)根據(jù)從所述外部設(shè)備提供的數(shù)據(jù)中產(chǎn)生電子簽名。
35.根據(jù)權(quán)利要求33的可移動(dòng)認(rèn)證設(shè)備,還包括加密數(shù)據(jù)產(chǎn)生裝置,用于通過(guò)以DES系統(tǒng)為基礎(chǔ)產(chǎn)生的第二DES密鑰來(lái)對(duì)從所述外部設(shè)備提供的數(shù)據(jù)進(jìn)行加密,以產(chǎn)生加密數(shù)據(jù);所述PKI處理裝置通過(guò)執(zhí)行所述預(yù)定安全處理,使用用所述DES密鑰傳送裝置傳送的所述第一DES密鑰從加密的私密密鑰解密的所述私密密鑰,對(duì)所述第二DES密鑰進(jìn)行加密,以產(chǎn)生加密密鑰數(shù)據(jù)。
36.根據(jù)權(quán)利要求33的可移動(dòng)認(rèn)證設(shè)備,其中所述PKI處理裝置通過(guò)執(zhí)行所述預(yù)定安全處理,使用用所述DES密鑰傳送裝置傳送的所述第一DES密鑰從所述加密的私密密鑰解密的所述私密密鑰,來(lái)對(duì)用針對(duì)所述私密密鑰的公共密鑰加密而獲得的加密數(shù)據(jù)進(jìn)行解密。
37.根據(jù)權(quán)利要求33的可移動(dòng)認(rèn)證設(shè)備,其中所述輸入裝置輸入有關(guān)活體的信息作為要認(rèn)證的信息,并且其中所述認(rèn)證裝置對(duì)由所述輸入裝置錄入的有關(guān)活體的信息執(zhí)行認(rèn)證。
38.根據(jù)權(quán)利要求33的可移動(dòng)認(rèn)證設(shè)備,其中所述DES密鑰產(chǎn)生裝置基于三重DES系統(tǒng)產(chǎn)生所述第一DES密鑰;并且其中所述PKI處理單元根據(jù)所述三重DES系統(tǒng)對(duì)所述私密密鑰進(jìn)行加密,以產(chǎn)生加密的私密密鑰。
39.一種連接到外部設(shè)備的可移動(dòng)認(rèn)證設(shè)備的安全處理方法,所述方法包括輸入要認(rèn)證的信息的步驟;認(rèn)證步驟,認(rèn)證通過(guò)所述輸入步驟錄入的所述要認(rèn)證的信息;密鑰產(chǎn)生步驟,由執(zhí)行預(yù)定安全處理的PKI處理裝置基于PKI(公共密鑰基礎(chǔ)設(shè)施)系統(tǒng)產(chǎn)生私密密鑰和公共密鑰;DES密鑰產(chǎn)生步驟,基于DES(數(shù)據(jù)加密系統(tǒng))產(chǎn)生第一DES密鑰;寫(xiě)步驟,將通過(guò)所述DES密鑰產(chǎn)生步驟產(chǎn)生的所述第一DES密鑰寫(xiě)入具有不可能從外面讀出的只寫(xiě)區(qū)域的存儲(chǔ)裝置;以及DES密鑰傳送步驟,直接訪問(wèn)所述存儲(chǔ)裝置的所述只寫(xiě)區(qū)域,以將所寫(xiě)入的私密密鑰傳送到所述PKI處理裝置;當(dāng)產(chǎn)生所述私密密鑰時(shí),所述DES密鑰傳送步驟讀出已寫(xiě)入所述存儲(chǔ)裝置的所述只寫(xiě)區(qū)域的所述第一DES密鑰,以將如此讀出的第一DES密鑰傳送到所述PKI處理裝置;所述PKI處理步驟使用所述DES密鑰傳送裝置傳送的所述第一DES密鑰對(duì)所述第一DES密鑰進(jìn)行加密,以產(chǎn)生加密的私密密鑰;所述DES密鑰傳送步驟響應(yīng)所述認(rèn)證步驟對(duì)所述要認(rèn)證的信息的認(rèn)證,讀出已寫(xiě)入所述存儲(chǔ)裝置的所述第一DES密鑰;所述PKI處理裝置用所述DES密鑰傳送步驟傳送的所述第一DES密鑰將所述加密的私密密鑰解密為所述私密密鑰。
40.根據(jù)權(quán)利要求39的安全處理方法,其中所述PKI處理裝置通過(guò)執(zhí)行所述預(yù)定安全處理,使用用所述DES密鑰傳送裝置傳送的所述第一DES密鑰從加密的私密密鑰中解密的所述私密密鑰,來(lái)根據(jù)從所述外部設(shè)備提供的數(shù)據(jù)產(chǎn)生電子簽名。
41.根據(jù)權(quán)利要求39的安全處理方法,還包括加密數(shù)據(jù)產(chǎn)生步驟,通過(guò)以DES系統(tǒng)為基礎(chǔ)產(chǎn)生的第二DES密鑰來(lái)對(duì)從所述外部設(shè)備提供的數(shù)據(jù)進(jìn)行加密,以產(chǎn)生加密數(shù)據(jù);所述PKI處理裝置通過(guò)執(zhí)行所述預(yù)定安全處理,使用用所述DES密鑰傳送裝置傳送的所述第一DES密鑰從加密的私密密鑰解密的所述私密密鑰,對(duì)所述第二DES密鑰進(jìn)行加密,以產(chǎn)生加密密鑰數(shù)據(jù)。
42.根據(jù)權(quán)利要求39的安全處理方法,其中所述PKI處理裝置通過(guò)執(zhí)行所述預(yù)定安全處理,使用用通過(guò)所述DES密鑰傳送步驟傳送的所述第一DES密鑰從所述加密的私密密鑰解密的所述私密密鑰,來(lái)對(duì)用針對(duì)所述私密密鑰的公共密鑰加密而獲得的加密數(shù)據(jù)進(jìn)行解密。
43.根據(jù)權(quán)利要求39的安全處理方法,其中所述輸入步驟輸入有關(guān)活體的信息作為要認(rèn)證的信息,并且其中所述認(rèn)證步驟對(duì)由所述輸入裝置錄入的有關(guān)活體的信息執(zhí)行認(rèn)證。
44.根據(jù)權(quán)利要求39的安全處理方法,其中所述DES密鑰產(chǎn)生步驟基于三重DES系統(tǒng)產(chǎn)生所述第一DES密鑰;并且其中所述PKI處理單元根據(jù)所述三重DES系統(tǒng)對(duì)所述私密密鑰進(jìn)行加密,以產(chǎn)生加密的私密密鑰。
全文摘要
認(rèn)證處理設(shè)備根據(jù)對(duì)輸入的要認(rèn)證的信息的認(rèn)證結(jié)果基于PKI執(zhí)行安全處理。該設(shè)備包括輸入部分(12),用于輸入要認(rèn)證的信息;認(rèn)證處理部分(21),用于對(duì)從輸入部分輸入的要認(rèn)證的信息執(zhí)行認(rèn)證處理;PKI處理部分(23),用于根據(jù)PKI(公共密鑰基礎(chǔ)設(shè)施)方法產(chǎn)生私密密鑰和公共密鑰,并通過(guò)使用所產(chǎn)生的私密密鑰執(zhí)行預(yù)定的安全處理;存儲(chǔ)部分(24),具有只寫(xiě)區(qū)域,在該只寫(xiě)區(qū)域中寫(xiě)入由PKI處理部分(23)產(chǎn)生的私密密鑰,并且不能從外部讀該只寫(xiě)區(qū)域;以及私密密鑰傳送部分(25),用于在要認(rèn)證的信息被認(rèn)證處理部分(21)成功認(rèn)證時(shí),直接訪問(wèn)存儲(chǔ)部分(24)的只寫(xiě)區(qū)域,并將所寫(xiě)入的私密密鑰傳送到PKI處理部分(23)。
文檔編號(hào)H04L9/32GK1751471SQ20048000424
公開(kāi)日2006年3月22日 申請(qǐng)日期2004年1月29日 優(yōu)先權(quán)日2003年2月14日
發(fā)明者船橋武, 二見(jiàn)振一郎 申請(qǐng)人:索尼株式會(huì)社