WO2018214649A1

WO2018214649A1 - 一种生成ic卡安全数据的方法及装置

Info

Publication number: WO2018214649A1
Application number: PCT/CN2018/081751
Authority: WO
Inventors: 许先文; 冀乃庚; 傅宜生; 田丰
Original assignee: 中国银联股份有限公司
Priority date: 2017-05-24
Filing date: 2018-04-03
Publication date: 2018-11-29
Also published as: CN107169761A; CN107169761B

Abstract

本发明涉及互联网技术领域，公开了一种生成IC卡安全数据的方法及装置，包括：第一设备接收IC卡安全数据生成请求，该IC卡安全数据生成请求用于请求第一设备生成N种数据类型的安全数据；针对于N种数据类型中的任一种数据类型，第一设备可采用与生成该数据类型所需的性能消耗相匹配的生成路径，生成该数据类型的安全数据。由于第一设备可根据生成任一数据类型的安全数据所需的性能消耗，为该任一数据类型的生成选择匹配的生成路径，因而，可有效地提高IC卡安全数据的生成效率。

Description

一种生成IC卡安全数据的方法及装置

本申请要求在2017年5月24日提交中华人民共和国知识产权局、申请号为201710374072.6，发明名称为“一种生成IC卡安全数据的方法及装置”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本发明涉及互联网技术领域，尤其涉及一种生成IC卡安全数据的方法及装置。

背景技术

随着信息技术的不断发展，IC卡在人们生活中的应用也越来越广泛。使用IC卡代替现金可以快速便捷地进行各种交易，从而方便人们的生活。但在使用IC卡进行交易时，需要在IC卡中预先存储有如个人化安全信息等安全数据。

现有的IC卡安全数据的生成主要应用在银行发行实体银行IC卡的场景中。银行接收用户申请IC卡的申请后，根据用户的个人信息数据，按照IC卡设计规范生成安全数据，并在卡片制作和个人化的过程中，存储到IC卡存储区域中。可见，在这种卡片发行方式下，IC卡安全数据的生成存在着一个准备卡数据的过程，生成效率较低。

然而，由于互联网消费场景的不断普及，传统的IC卡发行方式已经不能满足人们的需要。在互联网时代，各种卡片发行方可接入TSM平台，通过互联网发行虚拟IC卡。用户网上提交卡片申请后，卡片发行方将安全数据传输到用户的手机等智能终端中，即可实现虚拟IC卡的下发，即空中发卡。

在空中发卡的业务场景下，用户的申请需求往往是密集型和高并发式的，并且希望能够实现实时、快速地实现卡片申请的申请和下发，因而，传统的IC卡安全数据的生成方法，由于存在着一个准备卡数据的生成过程，使得安全数据的生成效率较低，无法应对互联网环境下密集型的申卡需求，为用户实现实时发卡，因而，用户体验较差。

综上，目前亟需一种生成IC卡安全数据的方法，用于解决现有技术中IC卡安全数据的生成效率较低的技术问题。

发明内容

本发明提供一种生成IC卡安全数据的方法及装置，用于解决现有技术中IC卡安全数据的生成效率较低的技术问题。

第一方面，本发明实施例一提供的一种生成IC卡安全数据的方法，其包括：第一设备接收IC卡安全数据生成请求；所述IC卡安全数据生成请求包括待生成的安全数据的N种数据类型；其中，N为大于等于1的整数；针对于所述N种数据类型中的任一数据类型，所述第一设备根据生成所述任一数据类型的安全数据所需的性能消耗，采用与生成所述任一数据类型的安全数据所需的性能消耗相匹配的生成路径，生成所述任一数据类型的安全数据。

可选地，所述第一设备生成所述任一数据类型的安全数据，包括：所述第一设备若确定生成所述任一数据类型的安全数据所需的性能消耗大于等于性能消耗阈值，则从第二设备中预先生成并存储的安全数据中获取所述任一数据类型的安全数据。

可选地，所述第一设备生成所述任一数据类型的安全数据，还包括：所述第一设备若确定生成所述任一数据类型的安全数据所需的性能消耗小于性能消耗阈值，则通过本地计算或者调用加密机生成所述任一数据类型的安全数据。

可选地，所述第一设备通过本地计算生成所述任一数据类型的安全数据，包括：所述第一设备若确定所述任一数据类型的安全数据的安全级别小于安全级别阈值，则通过低安全级别计算模块生成所述任一数据类型的安全数据，并通过高安全级别计算模块进行加密；所述第一设备若确定所述第一安全数据的安全级别大于等于安全级别阈值，则通过所述高安全级别计算模块生成并加密所述任一数据类型的安全数据。

可选地，所述第一设备生成所述任一数据类型的安全数据后，还包括：所述第一设备若确定所述任一数据类型的安全数据的安全级别大于等于安全级别阈值，则通过安全保护加密模块存储所述任一数据类型的安全数据；若确定所述任一数据类型的安全数据的安全级别小于安全级别阈值，则通过非安全保护加密模块存储所述任一数据类型的安全数据。

第二方面，本发明实施例二提供了一种生成IC卡安全数据的装置，其包括：接收模块，用于接收IC卡安全数据生成请求；所述IC卡安全数据生成请求包括待生成的安全数据的N种数据类型；其中，N为大于等于1的整数；生成模块，用于针对于所述N种数据类型中的任一数据类型，根据生成所述任一数据类型的安全数据所需的性能消耗，采用与生成所述任一数据类型的安全数据所需的性能消耗相匹配的生成路径，生成所述任一数据类型的安全数据。

可选地，所述生成模块具体用于：若确定生成所述任一数据类型的安全数据所需的性能消耗大于等于性能消耗阈值，则从第二设备中预先生成并存储的安全数据中获取所述任一数据类型的安全数据。

可选地，所述生成模块还具体用于：若确定生成所述任一数据类型的安全数据所需的性能消耗小于性能消耗阈值，则通过本地计算或者调用加密机生成所述任一数据类型的安全数据。

可选地，所述生成模块还具体用于：若确定所述任一数据类型的安全数据的安全级别小于安全级别阈值，则通过低安全级别计算模块生成所述任一数据类型的安全数据，并通过高安全级别计算模块进行加密；若确定所述第一安全数据的安全级别大于等于安全级别阈值，则通过所述高安全级别计算模块生成并加密所述任一数据类型的安全数据。

可选地，所述生成模块还用于：若确定所述任一数据类型的安全数据的安全级别大于等于安全级别阈值，则通过安全保护加密模块存储所述任一数据类型的安全数据；若确定所述任一数据类型的安全数据的安全级别小于安全级别阈值，则通过非安全保护加密模块存储所述任一数据类型的安全数据。

第三方面，本发明实施例三提供了一种计算设备，包括收发器、存储器和处理器；其中：

收发器，用于接收IC卡安全数据生成请求；所述IC卡安全数据生成请求包括待生成的安全数据的N种数据类型；其中，N为大于等于1的整数；

存储器，用于存储程序指令；

处理器，用于调用所述存储器中存储的程序指令，按照获得的程序执行以下方法：针对于所述N种数据类型中的任一数据类型，根据生成所述任一数据类型的安全数据所需的性能消耗，采用与生成所述任一数据类型的安全数据所需的性能消耗相匹配的生成路径，生成所述任一数据类型的安全数据。

可选地，所述处理器，具体用于：若确定生成所述任一数据类型的安全数据所需的性能消耗大于等于性能消耗阈值，则从第二设备中预先生成并存储的安全数据中获取所述任一数据类型的安全数据。

可选地，所述处理器，具体用于：若确定生成所述任一数据类型的安全数据所需的性能消耗小于性能消耗阈值，则通过本地计算或者调用加密机生成所述任一数据类型的安全数据。

可选地，所述处理器，具体用于：若确定所述任一数据类型的安全数据的安全级别小于安全级别阈值，则通过低安全级别计算模块生成所述任一数据类型的安全数据，并通过高安全级别计算模块进行加密；若确定所述第一安全数据的安全级别大于等于安全级别阈值，则通过所述高安全级别计算模块生成并加密所述任一数据类型的安全数据。

可选地，所述处理器，具体用于：若确定所述任一数据类型的安全数据的安全级别大于等于安全级别阈值，则通过安全保护加密模块存储所述任一数据类型的安全数据；若确定所述任一数据类型的安全数据的安全级别小于安全级别阈值，则通过非安全保护加密模块存储所述任一数据类型的安全数据。

第四方面，本发明实施例四提供了一种计算机可读存储介质，所述计算机可读存储介质用于储存为上述计算设备所用的计算机程序指令，其包含用于执行上述生成IC卡安全数据的方法的程序。

第五方面，本申请实施例提供一种计算机程序产品，所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算程序，所述计算机程序包括程序指令，当所述程序指令被计算机执行时，使所述计算机执行第一方面或第一方面的任意可能的实现方式中的方法。

本发明实施例中，第一设备接收IC卡安全数据生成请求，该IC卡安全数据生成请求用于请求第一设备生成N种数据类型的安全数据；针对于N种数据类型中的任一种数据类型，第一设备可采用与生成该数据类型所需的性能消耗相匹配的生成路径，生成该数据类型的安全数据。由于第一设备可根据生成任一数据类型的安全数据所需的性能消耗，为该任一数据类型的生成选择匹配的生成路径，因而，可有效地提高IC卡安全数据的生成效率。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简要介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域的普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例一中的一种生成IC卡安全数据的方法所对应的流程示意图；

图2为本发明实施例一中统一接口模块的结构示意图；

图3为本发明实施例一中第二设备的结构示意图；

图4为本发明实施例二中的一种生成IC卡安全数据的装置的结构示意图；

图5为本发明实施例三中提供的一种计算设备的结构示意图；

图6为本发明实施例四中提供的一种计算设备的结构示意图。

具体实施方式

为了使本发明的目的、技术方案和优点更加清楚，下面将结合附图对本发明作进一步地详细描述，显然，所描述的实施例，仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。

本发明实施例中，所述第一设备具体用于在空中发卡的实时联机发卡系统中，为各卡片发行方或卡片应用提供方发行的虚拟IC卡生成安全数据。其可为各种类型的计算设备，比如说，可以是高性能计算机，也可以是各种类型的加密机等等，此处不做限制。

下面结合说明书附图对本发明实施例做进一步详细描述。

图1为本发明实施例一提供的一种生成IC卡安全数据的方法所对应的流程示意图，如图1所示，包括以下步骤S101至步骤S102：

步骤S101：第一设备接收IC卡安全数据生成请求；所述IC卡安全数据生成请求包括待生成的安全数据的N种数据类型；其中，N为大于等于1的整数；

步骤S102：针对于所述N种数据类型中的任一数据类型，所述第一设备根据生成所述任一数据类型的安全数据所需的性能消耗，采用与生成所述任一数据类型的安全数据所需的性能消耗相匹配的生成路径，生成所述任一数据类型的安全数据。

具体来说，在步骤S101中，第一设备接收IC卡安全数据生成请求；所述IC卡安全数据生成请求用于向第一设备生成满足一定业务需求的安全数据。其中，所述满足一定业务需求的安全数据可以包括N种数据类型的安全数据，N为大于等于1的整数。

举例来说，所述N种数据类型的安全数据具体可以包括个人信息、卡片信息、金融交易数据、签名证书、数据保护安全密钥、通信加密密钥、消耗密钥等等，或者，也可以包括其他类型的IC卡安全数据，此处不做具体限制。

本发明实施例中，第一设备可从多个业务需求方处接收IC卡安全数据生成请求。对于不同的业务需求方来说，由于其发行的虚拟IC卡的应用场景不同，或者，由于其对初始数据做的预处理不同，不同的业务需求方发送来的IC卡生成请求中所请求生成的安全数据也不同，即不同的业务需求方请求生成的N种数据类型的安全数据是不同的。

因此，第一设备可通过一个统一接口模块来接收各个业务需求方发送来的IC卡安全数据生成请求，用于为各个业务需求方提供生成安全数据的完整服务。

图2为本发明实施例中统一接口模块的结构示意图，由图2可知，所述统一接口模块200又可具体包括一个基础服务接口201和多个个性化服务接口(如图中所示的2021、2022、2023、2024)。

其中，基础服务接口用于统一接收各个业务需求方发送来的IC卡安全数据生成请求，继承自基础服务接口的多个个性化服务接口分别用于在安全数据生成请求通过基础服务接口后，接收来自不同业务需求方的安全数据生成请求，即当来自某一业务需求方的安全数据生成请求到达个性化服务接口时，可以根据其对应的业务需求，对其所请求的N种数据类型的安全数据进行个性化的初步处理，包括数据检查和响应等等。

基于此，可以看出统一接口模块的通过基础服务接口和多个个性化服务接口相结合的设计，既保证了对外发布接口的简单性，同时又简化各个业务需求方的调用实现，使得不同的业务需求方彼此之间业务接口的隔离，可以实现对不同安全数据生成请求的高效及时的数据检查、响应。

进而，在步骤S102中，所述第一设备可将各个业务需求方发送来的IC卡安全数据生成请求，根据所需生成的安全数据的数据类型，重新做进一步地拆分。如图2中所示，所述第一设备通过拆分模块203来执行安全数据生成请求的拆分。第一设备可在接收到IC卡安全数据生成请求后，可将该IC卡安全数据生成请求根据安全级别和性能消耗两个维度，进一步拆分为N个子请求，每一个子请求分别对应一种数据类型的安全数据。

由于不同类型的安全数据的计算、加密方式不同，因此，将IC卡安全数据生成请求划分为N个子请求，可使第一设备有针对性地对每一个安全数据生成子请求中所请求安全数据选择合适的生成路径。

若某一IC卡安全数据生成请求中请求了N种数据类型的安全数据，则针对于所述N种数据类型中的任一数据类型，所述第一设备可通过解析该安全数据生成子请求，根据生成所述任一数据类型的安全数据所需的性能消耗，采用与生成所述任一数据类型的安全数据所需的性能消耗相匹配的生成路径，生成所述任一数据类型的安全数据。

具体的，第一设备若确定生成所述任一数据类型的安全数据所需的性能消耗小于性能消耗阈值，则通过本地计算生成所述任一数据类型的安全数据，或者调用加密机进行实时地响应计算。

若确定通过本地计算生成所述任一数据类型的安全数据，则第一设备可对所述任一数据类型的安全数据的安全级别进行判断，若确定所述任一数据类型的安全数据的安全级别小于安全级别阈值，则可通过本地的低安全级别计算模块生成所述任一数据类型的安全数据，并通过高安全级别计算模块进行加密和保护。

反之，若确定所述任一数据类型的安全数据的安全级别大于等于安全级别阈值，则可通过本地的高安全级别计算模块生成所述任一数据类型的安全数据。本发明实施例中，安全级别较高的安全数据通常可包括IC卡的应用数据和密钥的保护密钥，如各类安全证书、通信密钥或其他应用数据的保护密钥，以及交易的一次性消耗密钥和其对应的保护密钥。

需要说明的是，本发明实施例中，所述性能消耗阈值和所述安全级别阈值可由本领域技术人员可根据实际情况进行设置，本发明对此不做具体限制。

在IC卡安全数据中，常包括一些数据类型的安全数据需要大量的计算才能生成，比如说，个人化安全证书。因此，若通过本地计算这些数据类型的安全数据，则会消耗大量的计算资源，使得安全数据的生成效率降低。

在这种情况下，第一设备若确定生成所述任一数据类型的安全数据所需的性能消耗大于等于性能消耗阈值，则可通过调用第二设备以生成所述任一数据类型的安全数据。

其中，所述第二设备具体是专门为生成性能消耗较高或高密集计算型的安全数据而部署的专用计算资源，其可以为高性能计算机、HSM加密机，或者其他类型的计算设备，本发明对此不做具体限制。

图3为本发明实施例一中所述第二设备的结构示意图。如图3所示，所述第二设备中包括数据服务接口、数据生成模块和数据缓存模块。其中，数据服务接口用于接收第一设备发送来的某种数据类型的安全数据的生成子请求，即高密集计算型的安全数据的生成子请求。

由于需要通过调用第二设备生成的安全数据，通常是对各用户都通用的安全数据，因此，第二设备中的数据生成模块可根据所述第二设备的系统状况和生成各种数据类型的安全数据所需的预设时间，持续地调用HSM加密设备来生成如个人化证书数据等高密集计算型的安全数据，然后通过数据保护和加密模块将生成的安全数据加密后存储到持久化设备中。

所述数据缓存模块可通过批量加载的方式，从持久化设备中获取所述数据生成模块预先生成的安全数据，并为提供数据服务。也就是说，当第一设备调用第二设备生成某一数据类型的安全数据时，安全数据生成子请求通过数据服务接口优先进入数据缓存服务，从数据缓存服务中获取已预先生成的安全数据。

同时，数据缓存模块还具有监控缓存数据的功能，当数据缓存模块中缓存的安全数据的数据量小于某一安全值时，数据缓存模块可自动地从持久化设备中加载安全数据。

在某些特殊情况下，如果数据缓存模块和持久化设备中的已预先生成的安全数据的数量都不能满足高并发的安全数据生成请求的需要，或在，其他异常情况下，则所述第二设备可通过数据生成模块实时地计算生成安全数据。

可见，为应对高密集计算型安全数据生成过程中存在的性能消耗要求较高、耗费时间可能较长的问题，第二设备通过数据生成模块不间断地预生成安全数据并存储，与数据缓存模块从持久化设备中动态获取安全数据相结合的机制，可以有效利用加密设备的空闲时间，将高并发性的数据生成转化为持久的、均匀的安全数据的生成过程，因此，可突破传统发卡模式中安全数据生成的性能瓶颈，使得实时联机发卡系统可以应对互联网环境下集中式、高并发性的发卡需求。

需要说明的是，本发明实施例中，所述第一设备中还可包括一个安全保护加密模块。所述第一设备在通过本地计算或调用第二设备计算生成安全数据之后，通过一个独立的安全保护加密模块来实现对生成的不同安全级别的安全数据的加密、保护和存储。

具体来说，包括所述第一设备若确定所述任一数据类型的安全数据的安全级别大于等于安全级别阈值，则通过安全保护加密模块存储所述任一数据类型的安全数据。

若确定所述任一数据类型的安全数据的安全级别小于安全级别阈值，则通过非安全保护加密模块存储所述任一数据类型的安全数据。

举例来说，安全认证中心根密钥、行业二级证书和用户私钥证书等安全级别较高的安全数据可以存储于安全保护加密模块中，而通讯加密密钥、消耗密钥和处于安全保护模块内的密钥保护下的密钥可以存储于非安全保护加密模块中。

此外，由于生成的安全数据要通过互联网环境传输到到用户的手机等智能终端中，所述安全保护加密模块还可为生成的安全数据的存储和传输提供安全保护。

可见，存储于不同安全设备的密钥存储机制，可以从物理层面上隔绝密钥安全渗透和安全边界蔓延的问题，并有效支持所述第一设备对不同数据类型的安全数据的请求的拆分和生成路径的选取，保证了生成、存储和传输等各阶段的安全性。

基于同样的发明构思，本发明实施例二提供了一种生成IC卡安全数据的装置，图4为本发明实施例二中提供的一种生成IC卡安全数据的装置的结构示意图，如图4所示，所述装置包括：

接收模块401，用于接收IC卡安全数据生成请求；所述IC卡安全数据生成请求包括待生成的安全数据的N种数据类型；

生成模块402，用于针对于所述N种数据类型中的任一数据类型，根据生成所述任一数据类型的安全数据所需的性能消耗，采用与生成所述任一数据类型的安全数据所需的性能消耗相匹配的生成路径，生成所述任一数据类型的安全数据。

可选地，所述生成模块402具体用于：

若确定生成所述任一数据类型的安全数据所需的性能消耗大于等于性能消耗阈值，则从第二设备中预先生成并存储的安全数据中获取所述任一数据类型的安全数据。

可选地，所述生成模块402还具体用于：

若确定生成所述任一数据类型的安全数据所需的性能消耗小于性能消耗阈值，则通过本地计算或者调用加密机生成所述任一数据类型的安全数据。

可选地，所述生成模块402还具体用于：

若确定所述任一数据类型的安全数据的安全级别小于安全级别阈值，则通过低安全级别计算模块生成所述任一数据类型的安全数据，并通过高安全级别计算模块进行加密；

若确定所述第一安全数据的安全级别大于等于安全级别阈值，则通过所述高安全级别计算模块生成并加密所述任一数据类型的安全数据。

可选地，所述生成模块402还用于：

若确定所述任一数据类型的安全数据的安全级别大于等于安全级别阈值，则通过安全保护加密模块存储所述任一数据类型的安全数据；

基于同样的发明构思，本发明实施例三提供了一种计算设备500，该计算设备500具体可以为桌面计算机、便携式计算机、智能手机、平板电脑、个人数字助理(Personal Digital Assistant，PDA)等。如图5所示，该计算设备可以包括中央处理器(Center Prosessing Unit，CPU)、存储器、输入/输出设备等，输入设备可以包括键盘、鼠标、触摸屏等，输出设备可以包括显示设备，如液晶显示器(Liquid Crystal Display，LCD)、阴极射线管(Cathode Ray Tube，CRT)等。

存储器可以包括只读存储器(ROM)和随机存取存储器(RAM)，并向处理器提供存储器中存储的程序指令和数据。在本发明实施例中，存储器可以用于存储用于基于生成IC卡安全数据的方法的程序。

处理器通过调用存储器存储的程序指令，处理器用于按照获得的程序指令执行：接收IC卡安全数据生成请求；所述IC卡安全数据生成请求包括待生成的安全数据的N种数据类型；其中，N为大于等于1的整数；针对于所述N种数据类型中的任一数据类型，根据生成所述任一数据类型的安全数据所需的性能消耗，采用与生成所述任一数据类型的安全数据所需的性能消耗相匹配的生成路径，生成所述任一数据类型的安全数据。

基于相同构思，本发明实施例四提供了一种计算设备，可用于执行上述生成IC卡安全数据的方法流程。图6为本申请提供的一种计算设备的结构示意图。该计算设备包括收发器601、处理器602、存储器603和通信接口604；其中，收发器601、处理器602、存储器603和通信接口604通过总线605相互连接。

其中，存储器603用于存储程序。具体地，程序可以包括程序代码，程序代码包括计算机操作指令。存储器603可以为易失性存储器(volatile memory)，例如随机存取存储器(random-access memory，简称RAM)；也可以为非易失性存储器(non-volatile memory)，例如快闪存储器(flash memory)，硬盘(hard disk drive，简称HDD)或固态硬盘(solid-state drive，简称SSD)；还可以为上述任一种或任多种易失性存储器和非易失性存储器的组合。

存储器603存储了如下的元素，可执行模块或者数据结构，或者它们的子集，或者它们的扩展集：

操作指令：包括各种操作指令，用于实现各种操作。

操作系统：包括各种系统程序，用于实现各种基础业务以及处理基于硬件的任务。

总线605可以是外设部件互连标准(peripheral component interconnect，简称PCI)总线或扩展工业标准结构(extended industry standard architecture，简称EISA)总线等。总线可以分为地址总线、数据总线、控制总线等。为便于表示，图6中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

通信接口604可以为有线通信接入口，无线通信接口或其组合，其中，有线通信接口例如可以为以太网接口。以太网接口可以是光接口，电接口或其组合。无线通信接口可以为WLAN接口。

处理器602可以是中央处理器(central processing unit，简称CPU)，网络处理器(network processor，简称NP)或者CPU和NP的组合。还可以是硬件芯片。上述硬件芯片可以是专用集成电路(application-specific integrated circuit，简称ASIC)，可编程逻辑器件(programmable logic device，简称PLD)或其组合。上述PLD可以是复杂可编程逻辑器件(complex programmable logic device，简称CPLD)，现场可编程逻辑门阵列(field-programmable gate array，简称FPGA)，通用阵列逻辑(generic array logic，简称GAL)或其任意组合。

收发器601，用于接收IC卡安全数据生成请求；所述IC卡安全数据生成请求包括待生成的安全数据的N种数据类型；其中，N为大于等于1的整数；

存储器603，用于存储程序指令；

处理器602，用于调用所述存储器603中存储的程序指令，按照获得的程序执行以下方法：针对于所述N种数据类型中的任一数据类型，根据生成所述任一数据类型的安全数据所需的性能消耗，采用与生成所述任一数据类型的安全数据所需的性能消耗相匹配的生成路径，生成所述任一数据类型的安全数据。

可选地，所述处理器602，具体用于：若确定生成所述任一数据类型的安全数据所需的性能消耗大于等于性能消耗阈值，则从第二设备中预先生成并存储的安全数据中获取所述任一数据类型的安全数据。

可选地，所述处理器602，具体用于：若确定生成所述任一数据类型的安全数据所需的性能消耗小于性能消耗阈值，则通过本地计算或者调用加密机生成所述任一数据类型的安全数据。

可选地，所述处理器602，具体用于：若确定所述任一数据类型的安全数据的安全级别小于安全级别阈值，则通过低安全级别计算模块生成所述任一数据类型的安全数据，并通过高安全级别计算模块进行加密；若确定所述第一安全数据的安全级别大于等于安全级别阈值，则通过所述高安全级别计算模块生成并加密所述任一数据类型的安全数据。

可选地，所述处理器602，具体用于：若确定所述任一数据类型的安全数据的安全级别大于等于安全级别阈值，则通过安全保护加密模块存储所述任一数据类型的安全数据；若确定所述任一数据类型的安全数据的安全级别小于安全级别阈值，则通过非安全保护加密模块存储所述任一数据类型的安全数据。

本发明实施例四提供了一种计算机存储介质，用于储存为上述计算设备所用的计算机程序指令，其包含用于执行上述生成IC卡安全数据的方法的程序。

所述计算机存储介质可以是计算机能够存取的任何可用介质或数据存储设备，包括但不限于磁性存储器(例如，软盘、硬盘、磁带、磁光盘(MO)等)、光学存储器(例如CD、DVD、BD、HVD等)、以及半导体存储器(例如ROM、EPROM、EEPROM、非易失性存储器(NAND FLASH)、固态硬盘(SSD))等。

由上述内容可以看出：本发明实施例中，第一设备接收IC卡安全数据生成请求，该IC卡安全数据生成请求用于请求第一设备生成N种数据类型的安全数据；针对于N种数据类型中的任一种数据类型，第一设备可采用与生成该数据类型所需的性能消耗相匹配的生成路径，生成该数据类型的安全数据。由于第一设备可根据生成任一数据类型的安全数据所需的性能消耗，为该任一数据类型的生成选择匹配的生成路径，因而，可有效地提高IC卡安全数据的生成效率。

本领域内的技术人员应明白，本申请实施例可提供为方法、系统、或计算机程序产品。因此，本申请实施例可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本申请实施例是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

显然，本领域的技术人员可以对本申请实施例进行各种改动和变型而不脱离本申请的精神和范围。这样，倘若本申请实施例的这些修改和变型属于本申请权利要求及其等同技术的范围之内，则本申请也意图包含这些改动和变型在内。

Claims

一种生成IC卡安全数据的方法，其特征在于，所述方法包括：

第一设备接收IC卡安全数据生成请求；所述IC卡安全数据生成请求包括待生成的安全数据的N种数据类型；其中，N为大于等于1的整数；

针对于所述N种数据类型中的任一数据类型，所述第一设备根据生成所述任一数据类型的安全数据所需的性能消耗，采用与生成所述任一数据类型的安全数据所需的性能消耗相匹配的生成路径，生成所述任一数据类型的安全数据。
根据权利要求1所述的方法，其特征在于，所述第一设备生成所述任一数据类型的安全数据，包括：

所述第一设备若确定生成所述任一数据类型的安全数据所需的性能消耗大于等于性能消耗阈值，则从第二设备中预先生成并存储的安全数据中获取所述任一数据类型的安全数据。
根据权利要求1所述的方法，其特征在于，所述第一设备生成所述任一数据类型的安全数据，还包括：

所述第一设备若确定生成所述任一数据类型的安全数据所需的性能消耗小于性能消耗阈值，则通过本地计算或者调用加密机生成所述任一数据类型的安全数据。
根据权利要求3所述的方法，其特征在于，所述第一设备通过本地计算生成所述任一数据类型的安全数据，包括：

所述第一设备若确定所述任一数据类型的安全数据的安全级别小于安全级别阈值，则通过低安全级别计算模块生成所述任一数据类型的安全数据，并通过高安全级别计算模块进行加密；

所述第一设备若确定所述第一安全数据的安全级别大于等于安全级别阈值，则通过所述高安全级别计算模块生成并加密所述任一数据类型的安全数据。
根据权利要求1至4中任一项所述的方法，其特征在于，所述第一设备生成所述任一数据类型的安全数据后，还包括：

所述第一设备若确定所述任一数据类型的安全数据的安全级别大于等于安全级别阈值，则通过安全保护加密模块存储所述任一数据类型的安全数据；

若确定所述任一数据类型的安全数据的安全级别小于安全级别阈值，则通过非安全保护加密模块存储所述任一数据类型的安全数据。
一种生成IC卡安全数据的装置，其特征在于，包括：

接收模块，用于接收IC卡安全数据生成请求；所述IC卡安全数据生成请求包括待生成的安全数据的N种数据类型；其中，N为大于等于1的整数；

生成模块，用于针对于所述N种数据类型中的任一数据类型，根据生成所述任一数据类型的安全数据所需的性能消耗，采用与生成所述任一数据类型的安全数据所需的性能消耗相匹配的生成路径，生成所述任一数据类型的安全数据。
根据权利要求6所述的装置，其特征在于，所述生成模块具体用于：

若确定生成所述任一数据类型的安全数据所需的性能消耗大于等于性能消耗阈值，则从第二设备中预先生成并存储的安全数据中获取所述任一数据类型的安全数据。
根据权利要求6所述的装置，其特征在于，所述生成模块还具体用于：

若确定生成所述任一数据类型的安全数据所需的性能消耗小于性能消耗阈值，则通过本地计算或者调用加密机生成所述任一数据类型的安全数据。
根据权利要求8所述的装置，其特征在于，所述生成模块还具体用于：

若确定所述任一数据类型的安全数据的安全级别小于安全级别阈值，则通过低安全级别计算模块生成所述任一数据类型的安全数据，并通过高安全级别计算模块进行加密；

若确定所述第一安全数据的安全级别大于等于安全级别阈值，则通过所述高安全级别计算模块生成并加密所述任一数据类型的安全数据。
根据权利要求6至9中任一项所述的装置，其特征在于，所述生成模块还用于：

若确定所述任一数据类型的安全数据的安全级别大于等于安全级别阈值，则通过安全保护加密模块存储所述任一数据类型的安全数据；

若确定所述任一数据类型的安全数据的安全级别小于安全级别阈值，则通过非安全保护加密模块存储所述任一数据类型的安全数据。
一种计算设备，其特征在于，所述计算设备包括：

收发器，用于接收IC卡安全数据生成请求；所述IC卡安全数据生成请求包括待生成的安全数据的N种数据类型；其中，N为大于等于1的整数；

存储器，用于存储程序指令；

处理器，用于调用所述存储器中存储的程序指令，按照获得的程序执行以下方法：针对于所述N种数据类型中的任一数据类型，根据生成所述任一数据类型的安全数据所需的性能消耗，采用与生成所述任一数据类型的安全数据所需的性能消耗相匹配的生成路径，生成所述任一数据类型的安全数据。
根据权利要求11所述的计算设备，其特征在于，所述处理器，具体用于：

若确定生成所述任一数据类型的安全数据所需的性能消耗大于等于性能消耗阈值，则从第二设备中预先生成并存储的安全数据中获取所述任一数据类型的安全数据。
根据权利要求11所述的计算设备，其特征在于，所述处理器，具体用于：

若确定生成所述任一数据类型的安全数据所需的性能消耗小于性能消耗阈值，则通过本地计算或者调用加密机生成所述任一数据类型的安全数据。
根据权利要求13所述的计算设备，其特征在于，所述处理器，具体用于：

若确定所述任一数据类型的安全数据的安全级别小于安全级别阈值，则通过低安全级别计算模块生成所述任一数据类型的安全数据，并通过高安全级别计算模块进行加密；

若确定所述第一安全数据的安全级别大于等于安全级别阈值，则通过所述高安全级别计算模块生成并加密所述任一数据类型的安全数据。
根据权利要求11至14中任一项所述的计算设备，其特征在于，所述处理器，具体用于：

若确定所述任一数据类型的安全数据的安全级别大于等于安全级别阈值，则通过安全保护加密模块存储所述任一数据类型的安全数据；

若确定所述任一数据类型的安全数据的安全级别小于安全级别阈值，则通过非安全保护加密模块存储所述任一数据类型的安全数据。
一种计算机存储介质，其特征在于，所述计算机可读存储介质存储有计算机可执行指令，所述计算机可执行指令用于使所述计算机执行权利要求1至5中任一项所述的方法。
一种计算机程序产品，其特征在于，所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算程序，所述计算机程序包括程序指令，当所述程序指令被计算机执行时，使所述计算机执行权利要求1～5任一项所述方法。