CN101517958A - 证件的个性化方法、密码系统、个性化系统和证件 - Google Patents
证件的个性化方法、密码系统、个性化系统和证件 Download PDFInfo
- Publication number
- CN101517958A CN101517958A CNA2007800345221A CN200780034522A CN101517958A CN 101517958 A CN101517958 A CN 101517958A CN A2007800345221 A CNA2007800345221 A CN A2007800345221A CN 200780034522 A CN200780034522 A CN 200780034522A CN 101517958 A CN101517958 A CN 101517958A
- Authority
- CN
- China
- Prior art keywords
- certificate
- private key
- data structure
- data
- key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07F—COIN-FREED OR LIKE APPARATUS
- G07F7/00—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
- G07F7/08—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
- G07F7/10—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
- G07F7/1008—Active credit-cards provided with means to personalise their use, e.g. with PIN-introduction/comparison system
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/30—Payment architectures, schemes or protocols characterised by the use of specific devices or networks
- G06Q20/34—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
- G06Q20/341—Active cards, i.e. cards including their own processing means, e.g. including an IC or chip
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/30—Payment architectures, schemes or protocols characterised by the use of specific devices or networks
- G06Q20/34—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
- G06Q20/355—Personalisation of cards for use
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/389—Keeping log of transactions for guaranteeing non-repudiation of a transaction
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/40—Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
- G06Q20/409—Device specific authentication in transaction processing
- G06Q20/4097—Device specific authentication in transaction processing using mutual authentication between devices and transaction partners
- G06Q20/40975—Device specific authentication in transaction processing using mutual authentication between devices and transaction partners using encryption therefor
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07F—COIN-FREED OR LIKE APPARATUS
- G07F7/00—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
- G07F7/08—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07F—COIN-FREED OR LIKE APPARATUS
- G07F7/00—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
- G07F7/08—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
- G07F7/12—Card verification
- G07F7/122—Online card verification
Landscapes
- Business, Economics & Management (AREA)
- Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Accounting & Taxation (AREA)
- Strategic Management (AREA)
- General Business, Economics & Management (AREA)
- Theoretical Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Microelectronics & Electronic Packaging (AREA)
- Finance (AREA)
- Computer Security & Cryptography (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种证件(132)个性化的方法,其中,每个证件具有集成电路(130);本发明的方法包含如下步骤:通过高安全环境(100)下的电脑系统(102)对证件个性化所需的输入数据(110)进行接收;为每个证件生成由一公钥和一私钥(142)组成的密钥对;利用输入数据和相应的公钥为每个证件生成一数据结构(140);通过数据结构和与该数据结构相应的私钥生成实施证件个性化的控制数据(112);从电脑系统向生产环境(101)中的个性化设备(114)传送所述的控制数据;根据控制数据,从个性化设备向所述证件传输数据结构以及各自相应的私钥;将数据结构存储到集成电路中各自相应的存储区域(138)中,其中,存储是在存取条件下进行的;将各数据结构相应的私钥存储至集成电路的存储区域(138),其中,该存储是如此完成的,其不可能从外部存取所述私钥。
Description
技术领域
本发明涉及证件的个性化方法特别是价值证件或安全证件的个性化方法、密码系统、个性化系统以及带有集成电路的证件特别是价值证件或安全证件。
背景技术
现有技术已经公开了多种不同形式的具有集成电路的文件(或证书)。例如,这样的文件多数为纸基形式,如用作电子护照或芯片卡,特别是所谓的芯片卡,其在设计上可以具有接触式或非接触式或具有双接口(界面)。
现有技术也公开了用于各种这样文件的无线识别系统,也可以称为射频识别(RFID)系统。已知的RFID系统大致至少包括一个转发器(或称应答器,Transponder)和一个无线收发单元(Sende-Empfangseinheit)。转发器还称为RFID标记器(Etikett)、RFID芯片、RFID标签(Tag)、RFID标帖(Label)或无线标帖;无线收发单元还称为阅读装置或读取器。除此之外,通常可通过所谓的中间设备,实现与伺服器、服务器和其它类似系统的结合,如收银系统或商品管理系统。
储存在RFID转发器上的数据可通过电磁波得到。对于低频率,可通过附近电磁场的感应实现;对于较高的频率,可通过电磁远场实现。RFID转发器(或称RFID应答器)可以被寻址和读取的距离随着设计方式(主动/被动)、使用的频带、场强度和其它环境影响而改变,从几厘米到超过一公里。
RFID转发器通常包括芯片和天线,其位于壳体中的载体上或者印刷在基片上。另外,主动RFID转发器包括能源,如电池。
RFID转发器可以用于不同的文件,特别是芯片卡,例如,为了实现电子钱夹或者电子票,或整合到纸张内,例如,整合到价值文件或安全文件内,特别是纸币和识别文件。
例如,DE20100158U1中公开了一种识别和安全卡片,其由分层的和/或注塑的塑料物质做成,其包括带有天线的、整合的半导体,以用于实现RFID过程。另外,从专利DE102004008841A1,可知一种书-型价值文件,例如护照,其包括转发器单元。
在现有技术中,这种安全文件或者有价文件部分是以芯片卡的形式出现。卡内可以安装一个带触点接口或者无触点接口,比如无线射频识别(RFID)接口。通过这个接口可以与芯片卡终端进行接触式或者非接触式通讯。最近,也研发出双重接口芯片卡。无触点芯片卡通讯协议和程序可以参照标准ISO14443的要求。
这种带有无线射频识别(RFID)功能的文件的缺点是:如果文件放在持有人的皮夹里,不需要得到文件持有人的同意,无线射频识别接口就能识别。防止非法读取储存在这类文件中的数据的保护机制称为基础访问控制(Basic Access Control),该保护机制已被国际民航组织(ICAO)标准化了。
除此以外,国际民航与欧盟还制定了所谓的扩展访问控制(EAC)和主动认证(AA)的方法。通过这些方法对存储在证件的RFID芯片中的感应数据进行读取,通过EAC可对数据进行保护,通过AA则能验证护照内芯片的可靠性。例如,指纹数据等的生物特征信息就应受到防止非法存取的保护。
现有技术公开了多种不同的方法,其利用密码保护对数据进行电子存储。一种在前二十年被大面积推广的受保护的存储器所采用的的形式就是电子芯片卡,这在标准ISO 7816的第1到第4部分中通过了认证。对可机读旅行证件(Machine Readable Travel Documents-MRTD)的运用同样也属于芯片卡技术的应用领域。
对可机读旅行证件中个人数据进行安全存储的目的在于,通过政府机构和非政府机构尽可能多地参与,从而简化安全控制环节,同时,还要保护个人数据不受未授权读取的侵扰。要实现这两种要求的平衡,就必须考虑到各种数据保护类型之间的区别和单个数据对象的多样性。
US 2005/0097320A1公开了一种系统,这种系统能够实现用户和机构之间的通讯,比如用户同银行的通讯。这种通讯可通过网络进行。用户每次在机构的系统上进行存取的时候,会进行“操作风险评估”,在此过程中用户会被告知当前操作的风险性。
US 2002/0087894 A1公开了一种类似的系统,在这种系统中,用户可以自行选择数据传送的安全等级。
由同一申请人申请的、但在申请时间尚未公开的DE 10 2005 025 806和DE 10 2006 027 253中公开了可机读的证件,其所公开的内容全部吸纳本申请中,在这些可机读证件中,存储在证件集成电路中的任务表(Zuordnungstabelle)详细列示出该集成电路中所存有的不同数据对象,在此过程中必须完成密码协议以满足外部存取相关数据对象的存取条件。这种情况中也可使用非对称密码协议,该协议要求具备由一把公钥和一个私钥组成的密钥对(Schlüsselpaar)。
现有技术中,在证件批量生产方面,尤其在MRTD的批量生产方面,至今都存在着一个尚未解决的问题,即怎样用私钥的介入让证件刻录盘(证件毛坯,Dokument-Rohlinge)的个性化变得既高效又安全。
发明内容
作为DE 10 2005 025 806和DE 10 2006 027 253的后续技术,本发明的目的是借助私钥实现一种既高效又安全的证件个性化方法以及一种密码系统、个性化系统和相应的证件。
上述本发明的目的可分别由独立权利中记载的技术方案来实现;而从属权利要求中则给出了本发明的优选实施方式。
根据本发明,本发明提供了一种证件个性化方法,其中,每个证件都具有集成电路。本发明的方法包含如下步骤:通过高安全环境下的电脑系统对证件个性化所需输入数据进行接收;为每个证件生成一对由一把公钥和一把私钥组成的密钥对;为每个证件从输入的数据和对应的公钥中生成一数据结构;通过数据结构和与该数据结构相关的私钥生成实施证件个性化的控制数据;从电脑系统向生产环境中的个性化设备传送这些控制数据;通过操控这些控制数据,从个性化设备向证件传输数据结构以及各自附带的私钥;将这些数据结构存储到集成电路中各自相应的存储区域中,其中,该存储工作是在一定存取条件下进行的;将附属于各数据结构的私钥存储至集成电路的存储区域,其中,该存储如此完成,其不可能从外部存取私钥。
本发明的方法极具优点,因为它可使在高安全环境内运作的方法步骤和在生产环境内运作的方法步骤彼此远离、相互独立。特别地,本发明能够让控制数据在高安全环境中生成,使证件毛坯(证件刻录盘)实际的个性化过程无须与生产环境内的过程同步。
根据本发明一实施方式,电脑系统的输入数据包含了一项或多项来自官方当局要求的、制造证明文件的预约资料库。其中,一个资料库就可能包含多至上千个申请。
在预定证件的输入数据记录中,一般包含有证件所需的个人数据,比如姓名、地址以及此人身高,同时也包含了生物特征数据,比如面部头像和/或其它生物特征数据,特别是指纹数据和/或虹膜数据和/或其它一些需要加以保护的敏感数据。优选地,这些生物特征数据具有不同的保护级别。
例如,面部头像这种数据就不或者不太需要保护,与之相反,指纹数据则应受到高度保护,因为这类数据在未经当事人允许的情况下,通常无法或者十分难得获取。
从官方服务器到向本发明的电脑系统传输输入数据,优选通过一种安全的传输渠道进行,尤其通过在线服务计算机接口(OSCI)。
在输入数据进入高安全环境后,会对每个待制作证件实施规定的数据结构。该数据结构拥有一系列为个性化数据预定的数据区域。优选采用标准的数据结构,如由国际民航组织规定的逻辑数据结构(LDS),例如在LDS说明书1.7-2004-05-18中所公开的内容,就此可参见第16页上的图例V-1。
针对每个待制作证件,会在高安全环境里生成由一把公钥和一把私钥组成的密钥对。其中,公钥将与其它个性化数据一起被登记到数据结构中。优选地,附属的私钥则一般不会登入数据结构,而是需要单独处理。从数据结构和附属的私钥中会生成对证件毛坯进行个性化的控制数据,通过这些控制数据可对个性化设备的运行操控。此类控制数据是为所有待制作证件生成的。此处的“证件毛坯”可理解为每个待制作证件的初级产品(半成品),它们中的集成电路都尚未进行个性化。集成电路可在个性化过程中就完成集成,或者也能够在个性化完成后再被植入证件。
然后,这些控制数据会单个逐一或者以数据包的形式被一起传输到生产环境内的个性化设备中。该个性化设备优选是指一种用于对证件毛坯进行批量处理的个性化装置。例如,该设备可以大量传送证件毛坯,让它们依次并尽可能高流量地通过设备,并在那里得以个性化。
根据本发明一实施方式,控制数据记录仅能够传递个性化信息,也就是说各个独立的数据结构和与它们相关的私钥。该个性化设备具备一个控制程序,让个性化处理在控制数据记录的基础上完成相应的过程。
根据本发明一实施方式,控制数据是指在个性化设备上实施的操作指令,特别是以所谓的个性化版本的形式。
个性化设备对每个经过的证件毛坯进行控制数据记录,让它们得到相应的个性化。其中,对批量生产而言,其特别的优点是,在个性化过程中能够迅速地将个性化数据归类到证件毛坯上。这将极大地简化生产过程,因为如果某个证件毛坯需要排队等候个性化的话,那么与此同时,个性化设备也必须进行与此单个毛坯相应的控制数据记录。
通过实施控制数据记录,数据结构和附属于其中的私钥都将被输送到等候个性化证件毛坯的集成电路中。然后,集成电路又将通过数据结构获得的个性化数据存储至相关区域,这些区域隶属于数据结构的存储区。
个性化数据的存储能够在各种不同的存取条件下进行,只有满足这些存取条件才能从外部存取个性化数据。对于象持件人姓名和地址的存取工作不需要更多的存取条件也可以完成,因为这些信息本来就印存于证件当中。与之相反,对于其它各种需要保护的个性化数据,尤其是对于带有生物特征的数据对象,就可能需要定义其它的存取条件。比如让指纹数据同一项存取条件被存储下来,据此,来自外部的读存取就只能在借助证件私钥达成了非对称密码协议的条件下进行。
在进行了控制数据记录的基础之上,附属于数据结构的私钥也将由个性化设备传输到证件的集成电路中。私钥在集成电路的存储区以“从不”的存取条件被存储,也就是说,基本上无法从外部对私钥进行存取。
根据本发明一实施方式,高安全环境可满足对所谓信用中心的法定要求。与之相反,生产环境则只能满足严格程度较低的安全要求,尤其是对于生产人员的要求,因为也需要他们在大规模自动化中去处理存取工作。
根据本发明一实施方式,电脑系统和密码单元紧密相连。该密码单元涉及一种所谓的密钥生成器,该密钥生成器产生由一把公钥和一把私钥组成的密钥对。
根据本发明一实施方式,将采用端-端(端到端)加密的方法,去保护私钥从密码单元到证件毛坯集成电路上的传输。此外,私钥须如此加密,使得只能用证件毛坯的集成电路才能对私钥进行解密。与之相反,无论是电脑系统还是个性化设备,都无法对这把从密码单元输出的加密私钥进行解密。
根据本发明一实施方式,借助存储在密码单元中的对称密钥,可以实现密码单元中的端-端加密。同一对称密钥也存在于证件毛坯的集成电路中。该密钥可集成到比如集成电路的操作系统中,也就是说,无法将它从集成电路中调出后读取。
在密钥对生成以后,密码单元利用对称密钥对私钥进行加密。产生的私钥译文连同公钥一起被传输到电脑系统里。电脑系统将公钥打包进数据结构当中,然后从数据结构和私钥译文中生成一套针对个性化设备的控制数据记录。在个性化过程期间,此项带有私钥译文的数据结构被证件毛坯中的集成电路接收。借助对称密钥,集成电路对译文进行解密以获取私钥,该私钥稍后就会以”从不”的存取条件存储下来。
根据本发明一实施方式,个性化数据传输的进行,也就是数据结构和私钥从个性化设备上传输到刚好等待个性化的证件毛坯的集成电路当中,是借助了安全通讯的方法。此处须考虑到,个性化数据的传输是在生产环境内进行的;相对于高安全环境来说,这一稍欠严密的环境安全性能要偏低一些。
以随机化或非随机化的对称密钥为基础或者以动态对称密钥为基础的方法,可作为安全通讯法投入使用。动态对称密钥可从硬件的专有属性中导出,比如从相应集成电路的序列号中。
此外,还可使用以在带有对称或非对称密钥协议的动态对称密钥为基础的安全通讯法。在静态安全通讯范围之内,可附加使用对称式运算法(信息认证代码-MAC)认证传输过程中的应用协议数据单元,以对传输中的数据进行加密。
在此过程中,MAC运算一方面可以静态的方式运行,或者另一方面也可进行随机化处理,比如通过应用变量初始链值(ICV),该初始链值符合个性化设备中由等待个性化的证件毛坯集成电路所设定的要求。随机化方式将导致,攻击代码即使受应用协议数据单元序列的指引,利用私钥从个性化设备传输到集成电路上,也无法发生二次攻击,因为攻击代码无法复制符合要求的随机值,即初始链值。
根据本发明一实施方式,集成电路涉及射频识别系统。但本发明绝非仅仅局限于射频识别系统,而也可应用于其它接触式接口、非接触式接口或者双接口模式。
另一方面,本发明涉及一种密码系统,这种系统可用于接收证件个性化的输入数据,可用于针对单个证件生成由公钥和私钥组成的密钥对,可用于从输入数据和单个证件的公钥中为每个政见生成数据结构,以及用于从数据结构和附属于该数据结构的私钥当中生成控制数据。
再一方面,本发明涉及一种个性化系统,尤其是一种可对证件毛坯进行批量个性化的高自动化设备。该个性化系统能够接收控制数据,其中这些控制数据包含带有独立公钥和附属于该公钥之私钥的数据结构;该系统还能通过对控制数据的操作将数据结构连同附属于其的私钥传输到证件上,确保数据结构在存取条件下成功存储到等待个性化证件的集成电路的存储区域中;并且能将私钥存储到集成电路的存储区,使得无法从外部对私钥进行存取。
又一方面,本发明涉及一种证件,特别是价值证件或安全证件,例如可机读旅行证件,特别是旅行护照、身份证、签证、公司证件、信用卡、驾驶执照或权利证明等等。
本发明的证件具有一个用于从个性化设备接收数据结构的接口,其中,该数据结构包括一把公钥和一把附属于该公钥的私钥;该证件还具有将数据结构存储到存储区的手段,其中,该存储工作是在存取条件下进行;该证件还具有将私钥存储到存储区的手段,其中,该存储工作如此实现,使得无法从外部存取私钥。
这样,需要保护的数据被存储在本发明证件的集成电路当中,如生物特征数据,这种生物特征数据在证件所存储的私钥完成密码协议之后,能通过阅读器从外部存取。
借助附图,下文详细描述本发明的优选实施例,其中:
附图说明
图1为本发明之密码系统第一实施方式的方块图;
图2为本发明方法第一实施方式的流程图;
图3为本发明之密码系统的另一实施方式的方块图;
图4为本发明方法另一实施方式的流程图。
具体实施方式
在下面针对附图的说明中,相应的元件使用相同的附图标记。
图1显示的为证件毛坯的生产系统。该生产系统由以下两个部分组成:可设计成信用中心的高安全环境100以及相对于前者而言可能无法满足严格安全要求的生产环境101。至少带有一个处理器104的电脑系统102位于高安全生产环境100当中,其中,处理器104将用于处理程序指令106和108。
程序指令108用于借助输入数据110对某项指定数据结构进行审核。此处的数据结构可能与标准化数据结构相关,例如由ICAO详列出的逻辑数据结构。
程序指令108用于对个性化终端114生成控制数据112。控制数据112含有针对人化终端114的具体指令以及原有的个性化数据。控制数据112可由程序指令108以例如稿件的形式生成。
输入数据110从官方服务器上通过网络连接116,最好是通过受保护的网络连接,被接收并输送到电脑系统102中。
输入数据110包含N个输入数据记录用于预定与之相应的N个证件。
在高安全环境110中还有一个密码单元118。密码单元118包含一个所谓的密钥生成器120,用于产生非对称密钥对,这些密钥对各自都由一把公钥和一把附属于该公钥的私钥组成。此外,密码单元118还包含一个组件122,用于借助高安全环境110中驱动器中的私钥去生成数字签名。个性化终端114带有一个缓冲存储器124,该缓存用于存储控制数据112至轮到处理器127开始工作为止。缓存124可依照先进先出法(FIFO)的原则进行工作。
个性化终端114还包含一个接口126,该接口用于建立与证件毛坯132中集成电路130上的相应接口128之间的通讯连接。此处的集成电路130涉及RFID芯片,故接口126和128分别形成了RFID信号的发送机和接收器。集成电路130带有一个操作系统134,用于操作应用程序136。集成电路130中的电子存储器138则用于存储数据结构中包含的个性化数据140以及附属于此的私钥142。
根据本发明一实施方式,操作系统134需要设计成一种模式,使得不可能发生未经授权的改动或对应用程序136进行清除,而且对个性化数据140的存取也只能通过应用程序136这一唯一途径实现。由此可以保证,通过应用程序136实行的针对个性化数据140的保护不会受到非法方的操控或破坏。
应用程序136可设计成所谓的小程序,尤其是Java程序。操作系统134可支配Java虚拟机器。证件132尤其可按照与DE 10 2005 025 806和/或DE 10 2006 027 253的发明原则去构建。
为处理向个性化终端114供送证件毛坯132的问题,生产环境101包含了一个传送装置144,用该装置可将证件毛坯132单个或是相继送往个性化终端114。当前正靠近或已处于个性化终端114的证件毛坯132是通过建立接口126和128之间的通讯连接以及通过传输个性化数据140和私钥142而受到个性化的。
个性化数据140在被接收的基础上被应用程序136写入电子存储器138中。其中会针对个性化数据140确定存取条件。与之相应的私钥142和存取条件将被定义为”从不”,以保证基本上无法从外部存取私钥。
在输入数据110接收输入数据记录的基础上,电脑系统102针对密钥对生成请求146,其中请求146是针对密码单元118设定的。密码单元118紧接着利用密钥生成器120生成密钥对148并将此密钥对送往电脑系统102。
利用在输入数据记录中给出的个性化数据和密钥对148中的公钥,程序指令106对预定义数据结构进行审核。接下来电脑系统102对负责被审核数据结构的数字签名的密码单元118设定请求150。
数字签名152由密码单元118中的组件122生成,然后被送往电脑系统102。实施程序指令108后,从被审核和签名的数据结构以及密钥对148的私钥里会生成一组针对证件毛坯132个性化的控制数据记录。
这些单个的控制数据记录然后能以控制数据112的形式通过通讯连接或数据载体从电脑系统102被传送到个性化终端114上。另外一种方式也可行,即首先从电脑系统102生成一组大量的控制数据记录,数据记录的总和可假定为N,这些记录的生成发生在控制数据记录以数据112的形式传送到个性化终端114之前。
一旦需要,包含了一项或多项数据记录的控制数据112可首先存至缓存124中。这些数据记录将依次被处理器127进行处理。为实施某项特定的控制数据记录,可在当前靠近或处于证件毛坯132个性化终端114的接口126和128之间建立一个通讯连接。
控制数据记录里面包含的个性化数据140和密钥对148中包含的私钥142可在此传送。应用程序136将个性化数据140通过分次确定存取条件后再存储到电子存储器138中,同时也用”从不”的存储存取条件存储私钥142。
存取条件可根据个性化信息140所需的不同保护程度,分为“不受保护”、“受对称认证法保护”或者“受非对称认证法保护”。在最后一种保护条件下,对个性化数据140相关数据对象的存取,比如针对指纹数据的存取,须先从外部阅读器执行一项预定义密码协议。该协议涉及私钥142,而存取该私钥则是通过应用程序136在密码协议处理的过程中进行的。
附属于各种个性化信息的存取条件可在应用的存取表格中得以确定。然后应用将单个的个性化信息连同它们各自的存取条件存储下来。
图2显示的是与之相关的流程图。
在步骤200中,针对N个新证件生产的数量同为N的输入数据记录被提供到高安全环境。高安全环境电脑系统在同一步骤202中对工作指标i进行初始化。在步骤204中,电脑系统针对证件i个性化所需的密钥对生成一项请求。基于这项请求,在步骤206中密码组件会生成密钥对i,并将其在步骤208中传送至电脑系统当中,而电脑系统在步骤210里会对密钥对进行接收。
在步骤212中,电脑系统借助输入数据记录i和密钥对i中的公钥对预设数据结构进行初始化。到步骤214时,电脑系统对该数据结构的签名提出请求,保证密码组件在步骤216中就可以生成这样的签名,并在步骤218中将其传送至电脑系统当中。在步骤220里,为对证件毛坯进行个性化,电脑系统须通过初始化数据结构i里所包含的个性化数据以及密钥对i中的私钥至少生成一项控制数据记录i。然后在接下来的步骤222中,对指标i进行增量,而流程控制又重新返回到步骤204上。该存储条将一直运行到针对N张新证件所需的控制数据记录已经生成为止。
然后,控制数据记录在步骤224中被从高安全环境中传送到生成环境,并输入进个性化终端。那里的指标i将在步骤226中被初始化,然后在接下来的步骤228中,来自第一项控制数据记录的操控会对第一个证件毛坯进行个性化。据此,证件毛坯在步骤230中接收被初始化和签名过的数据结构及私钥。
在检验完数据结构的签名以后,该数据结构中所包含的个性化数据和私钥在存取条件的定义下被存储(步骤232)。在步骤234中,个性化终端对指数i进行增量,好让紧接着的下一个证件毛坯被下一个对应的控制数据记录个性化。
从电脑系统向个性化终端传递控制数据记录主要以这样的比率进行,以保证个性化终端上的缓存没有完全闲置的机会,避免生产过程的速度降低。
图3显示了本发明生产系统另一实施方式的方块图。与图1中的实施方式不同,按照图3的实施方式密码单元118包含一个对称密钥154,该密钥同样被存储于集成电路当中,比如作为操作系统134的固有组成部分。密码单元118还拥有一个加密组件156,该组件利用对称密钥154去对从密钥生成器120生成的密钥对中的私钥进行加密。在这一实施方式中,根据请求146会首先从密钥生成器120中产生一组密钥对。然后与图1实施方式不同的是,对该密钥对中的私钥的加密是由加密组件156借助对称密钥154进行的。
从此处得出的私钥译文与该私钥所属的公钥一道作为密钥对148被传送到电脑系统102上。在此基础上,从电脑系统102中会生成控制数据,这与图1中实施方式情况相同;但不同的是,电脑系统102不是以明文的形式接收私钥,同样也不能对其进行解密,因为电脑系统不具备此处所需的对称密钥154。
同样的道理也适用于不具备对称密钥154的个性化终端114。对私钥142中译文158的解密必须在集成电路130接收完个性化数据140以及译文158之后进行。译文158将由操作系统134利用对称密钥154进行解密,好让获得的私钥能以译文的形式被存储到电子存储器138中。
私钥142在密码单元118和集成电路130这种受保护的传输过程,即所谓的端到端加密,因为在此期间处于通讯链中的元件,此处特指电脑系统102和个性化终端114,都不能够对译文158进行破译。这在数据保护方面颇具优势,因为无论是电脑系统102还是个性化终端114都无法保存私钥的副本。
对人化终端114和集成电路130之间的进一步通讯保护,可采用安全通讯法。对此,人化终端114的处理器127可指定相应指令160。此外,操作系统134和/或应用程序136会在借助MAC使用传输数据认证保存的情况下实行相应的安全通讯步骤。
图4显示的是本发明方法的另一实施方式流程图。与图2实施方式不同的是,在生成密钥对步骤206之后的步骤207中,该密钥对中的私钥会被加密。对此,可使用静态对称密钥。
在步骤208中被传送到电脑系统中的合成密钥所包含的公钥为明文形式,所含的私钥则为加密形式。后续步骤201至230均按照图2中的实施方式实施,唯一的区别在于,处理过程是由经过加密的私钥代替明文形式的私钥进行的。
由集成电路对步骤231中被加密的私钥进行解密,让初始化数据结构中的个性化数据和私钥在接下来的步骤232中被存储。通过安全通讯法,尤其可通过MAC的运行,实现证件毛坯和个性化终端之间的通讯,以对数据传输作进一步的保护。
附图标记清单:
------------------------
100高安全环境
101生产环境
102电脑系统
104处理器
106程序指令
108程序指令
110输入数据
112控制数据
114个性化设备
116网络连接
118密码单元
120密钥生成器
122组件
124缓冲存储器
126接口
127处理器
128接口
130集成电路
132证件
134操作系统
136应用程序
138存储区域
140个性化数据
142私钥
144传送装置
146请求
148密钥对
150请求
152数字签名
154对称密钥
156加密组件
158译文
160指令
Claims (21)
1、一种证件(132)个性化的方法,其中,每个所述的证件具有集成电路(130);所述的方法包含如下步骤:
-通过高安全环境(100)下的电脑系统(102)对证件个性化所需的输入数据(110)进行接收;
-为每个证件生成由一公钥和一私钥(142)组成的密钥对;
-利用输入数据和相应的公钥为每个证件生成一数据结构(140);
-通过数据结构和与该数据结构相应的私钥生成实施证件个性化的控制数据(112);
-从所述电脑系统向生产环境(101)中的个性化设备(114)传送所述的控制数据;
-根据所述的控制数据,从所述个性化设备向所述证件传输所述数据结构以及各自相应的私钥;
-将所述数据结构存储到集成电路中各自相应的存储区域(138)中,其中,所述的存储是在存取条件下进行的;
-将各数据结构相应的私钥存储至集成电路的存储区域(138),其中,该存储是如此完成的,其不可能从外部存取所述私钥。
2、如权利要求1所述的方法,其中,所述控制数据的生成与所述数据结构及其相应私钥的传送是不同步进行的。
3、如权利要求1或2所述的方法,其中,所述密钥对的生成是通过高安全环境下的密码单元(118)实现的。
4、如权利要求1-3之一所述的方法,其中,在密码单元和所述证件的集成电路之间采用端-端加密方法,以保护每一私钥的传送。
5、如权利要求4所述的方法,其中,在所述的密码单元中存储有对称密钥(154);所述的私钥借助所述的对称密钥通过所述密码单元进行加密,使得只有加密的私钥才能在计算机系统上传送;所述的对称密钥存储在集成电路中,使得每一私钥能从其存储中解密。
6、如权利要求5所述的方法,其中,所述的对称密钥总是作为操作系统(134)的固有组成部分而存储在集成电路中的。
7、如前述权利要求之一所述的方法,其中,所述的数据结构和其相应的私钥从个性化设备向所述证件的传送,是通过使用安全通讯方法(160)、特别是通过加密和MAC数据对象而实现保护的。
8、如前述权利要求之一所述的方法,其中,所述的数据结构包含有生物特征数据。
9、如前述权利要求之一所述的方法,其中,所述的数据结构是指标准的逻辑数据结构(LDS)。
10、一种为个性化证件(132)的个性化设备(114)生成控制数据(112)的密码系统,其中,每一证件都具有集成电路(130);该密码系统包括:
-接收用于个性化证件的输入数据(110)的装置(102);
-为每个证件生成由一公钥和一私钥(142)组成的密钥对的装置(120);
-利用输入数据和相应的公钥为每个证件生成数据结构(140)的装置(106);
-通过数据结构和与该数据结构相应的私钥生成控制数据的装置(108)。
11、如权利要求10所述的密码系统,其进一步包括生成密钥对的密码部件(118,120)。
12、如权利要求11所述的密码系统,其中,所述的密码部件具有加密所述私钥的装置(156)。
13、如权利要求12所述的密码系统,其中,所述的密码部件存储有用于加密所述私钥的对称密钥(154)。
14、一种个性化证件(132)的个性化系统,每个所述的证件具有集成电路(130),该个性化系统包括:
-接收控制数据(112)的装置(124),其中,所述的控制数据包括数据结构,该数据结构总带有一公钥和一与该公钥相应的私钥;
-通过控制数据,向证件传送数据结构和与其相应的私钥的装置(126,127;160),使得所述数据结构在存取条件下,存储在需要进行个性化的证件的集成电路的存储区域;而且所述私钥如此存储在集成电路的存储区域,使得不可能从外部存取所述私钥。
15、如权利要求14所述的个性化系统,其中,传送所述数据结构和其相应的私钥、以实现安全通讯方法(160)的装置是如此设置的,所述数据结构和其相应的私钥由个性化设备向证件的传送是在保护下实现的。
16、一种证件,特别是价值证件或安全证件,其具有集成电路(130)并包括:
-从个性化设备(114)接收数据结构(140)的界面(128),其中,所述的数据结构含有一公钥以及为接收该公钥而附属的私钥(142);
-在存储区域(138)中存储包含在数据结构中的个性化数据的装置(134,136),其中,该存储是在存取条件下实现的;
-在存储区域(138)中存储私钥的装置(134,136;154),其中,所述的存储如此实现,使得不可能从外部存取所述的私钥。
17、如权利要求16所述的证件,其进一步包括解密私钥的装置(134,154)。
18、如权利要求17的证件,其中,在集成电路的操作系统(134)中提供有对称密码(154),以便实现私钥(142)的解密。
19、如权利要求16-18之一所述的证件,其进一步具有装置(134,136),以便为在保护状态下接收数据结构和私钥而实现安全通讯方法。
20、如权利要求16-19之一所述的证件,其进一步具有装置(134,136),以便在应用私钥时实现密码协议;其中,实现密码协议的前提是能从外部存取个性化数据的至少一部分。
21、如权利要求16-20之一所述的证件,其中,所述的证件是价值证件或安全证件,例如可机读旅行证件,特别是旅行护照、身份证、签证、公司证件、信用卡、驾驶执照或权利证明等。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE102006044322A DE102006044322A1 (de) | 2006-09-18 | 2006-09-18 | Verfahren zur Personalisierung von Dokumenten, kryptographisches System, Personalisierungssystem und Dokument |
| DE102006044322.5 | 2006-09-18 | ||
| PCT/EP2007/059250 WO2008034719A1 (de) | 2006-09-18 | 2007-09-04 | Verfahren zur personalisierung von dokumenten, kryptographisches system, personalisierungssystem und dokument |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101517958A true CN101517958A (zh) | 2009-08-26 |
| CN101517958B CN101517958B (zh) | 2014-05-07 |
Family
ID=38973645
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200780034522.1A Active CN101517958B (zh) | 2006-09-18 | 2007-09-04 | 证件的个性化方法、密码系统、个性化系统和证件 |
Country Status (5)
| Country | Link |
|---|---|
| EP (1) | EP2070250B1 (zh) |
| CN (1) | CN101517958B (zh) |
| DE (1) | DE102006044322A1 (zh) |
| RU (1) | RU2417533C2 (zh) |
| WO (1) | WO2008034719A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107077629A (zh) * | 2014-08-19 | 2017-08-18 | 因特鲁斯特公司 | 生成带有个性化数据和唯一机器数据的身份证件 |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE102010004425B3 (de) | 2010-01-13 | 2011-07-07 | Arbeiter, Peter, 33161 | Vorrichtung zum Befördern flacher Gegenstände |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6367011B1 (en) * | 1997-10-14 | 2002-04-02 | Visa International Service Association | Personalization of smart cards |
| US6588673B1 (en) * | 2000-02-08 | 2003-07-08 | Mist Inc. | Method and system providing in-line pre-production data preparation and personalization solutions for smart cards |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| SE514105C2 (sv) * | 1999-05-07 | 2001-01-08 | Ericsson Telefon Ab L M | Säker distribution och skydd av krypteringsnyckelinformation |
| PT1348279E (pt) | 2000-11-28 | 2005-06-30 | Nagravision Sa | Certificacao das transaccoes |
| DE20100158U1 (de) * | 2001-01-05 | 2002-05-08 | Bundesdruckerei Gmbh | Identifikations- und Sicherheitskarte aus laminierten und/oder gespritzten Kunststoffen |
| DE102004008841A1 (de) * | 2003-03-12 | 2004-09-23 | Bundesdruckerei Gmbh | Verfahren zur Herstellung einer Buchdeckeneinlage und eines buchartigen Wertdokuments sowie eine Buchdeckeneinlage und ein buchartiges Wertdokument |
| DE102005025806B4 (de) | 2005-06-02 | 2008-04-17 | Bundesdruckerei Gmbh | Verfahren zum Zugriff von einer Datenstation auf ein elektronisches Gerät |
| DE102006027253A1 (de) | 2006-06-09 | 2007-12-20 | Bundesdruckerei Gmbh | Lesegerät für ein Dokument, Verfahren zum Lesen eines Datenobjekts und Computerprogrammprodukt |
-
2006
- 2006-09-18 DE DE102006044322A patent/DE102006044322A1/de not_active Withdrawn
-
2007
- 2007-09-04 CN CN200780034522.1A patent/CN101517958B/zh active Active
- 2007-09-04 WO PCT/EP2007/059250 patent/WO2008034719A1/de active Application Filing
- 2007-09-04 EP EP07803214.1A patent/EP2070250B1/de active Active
- 2007-09-04 RU RU2009114721/09A patent/RU2417533C2/ru active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6367011B1 (en) * | 1997-10-14 | 2002-04-02 | Visa International Service Association | Personalization of smart cards |
| US6588673B1 (en) * | 2000-02-08 | 2003-07-08 | Mist Inc. | Method and system providing in-line pre-production data preparation and personalization solutions for smart cards |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107077629A (zh) * | 2014-08-19 | 2017-08-18 | 因特鲁斯特公司 | 生成带有个性化数据和唯一机器数据的身份证件 |
Also Published As
| Publication number | Publication date |
|---|---|
| RU2009114721A (ru) | 2010-10-27 |
| DE102006044322A1 (de) | 2008-03-27 |
| EP2070250A1 (de) | 2009-06-17 |
| WO2008034719A1 (de) | 2008-03-27 |
| EP2070250B1 (de) | 2017-08-30 |
| RU2417533C2 (ru) | 2011-04-27 |
| CN101517958B (zh) | 2014-05-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101847199B (zh) | 用于射频识别系统的安全认证方法 | |
| CN101539980B (zh) | 电子设备、数据站、电子设备数据站存取方法以及使用该电子设备的证件 | |
| Juels et al. | Squealing euros: Privacy protection in RFID-enabled banknotes | |
| EP2038807B1 (en) | Method, rfid reader, rfid tag and rfid system for secure communication | |
| CN105306194B (zh) | 供加密档案和/或通讯协定的多重加密方法与系统 | |
| CN101488854A (zh) | 一种无线射频识别系统认证方法和设备 | |
| CN101223798B (zh) | 安全模块中的订户身份模块能力的追溯实现 | |
| CN103955733A (zh) | 电子身份证芯片卡、读卡器、电子身份证验证系统和方法 | |
| CN101859426A (zh) | 电子票服务系统及其实现方法 | |
| CN101501736B (zh) | 文件阅读器、数据对象阅读方法 | |
| US10511946B2 (en) | Dynamic secure messaging | |
| Ranasinghe et al. | RFID/NFC device with embedded fingerprint authentication system | |
| Kc et al. | Security and privacy issues in machine readable travel documents (MRTDs) | |
| CN101517958B (zh) | 证件的个性化方法、密码系统、个性化系统和证件 | |
| CN103186805A (zh) | 智能卡及基于智能卡的签名认证方法 | |
| US10050788B2 (en) | Method for reading an identification document in a contactless manner | |
| Younis et al. | ITPMAP: An improved three-pass mutual authentication protocol for secure RFID systems | |
| Atanasiu et al. | Biometric passports (ePassports) | |
| CN110492992A (zh) | 一种基于无线射频识别技术的数据加密传输方法 | |
| Jain et al. | Analysis of vulnerabilities in radio frequency identification (RFID) systems | |
| Karger | Privacy and security threat analysis of the federal employee personal identity verification (PIV) program | |
| Szadeczky | Enhanced functionality brings new privacy and security issues–an analysis of eID | |
| KR101053636B1 (ko) | 다중 암호방식을 이용한 태그와 rfid리더간 인증 방법 및 시스템 | |
| CN103490888B (zh) | 绑定阅读器和终端安全控制模块的实现方法及系统 | |
| CN108768627B (zh) | 印章防伪安全芯片密钥管理控制系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |