電子簽名認證擴展設備及信息處理方法

電子簽名認證擴展設備及信息處理方法
【專利摘要】本發明涉及一種電子簽名認證擴展設備及信息處理方法，所述設備包括：第一接口，用于與具有運行電子簽名客戶端功能的第一設備連接；第二接口，用于與具有電子簽名認證功能的第二設備連接；中央控制單元，用于提取通過所述第一接口接收的數字信息，并發送給輸出單元，以及在物理控制單元接收到用戶確認操作后，通過第二接口向第二設備發送數字信息，還用于從第二接口接收簽名后的數字信息并通過所述第一接口發送；輸出單元，用于顯示中央控制單元提取的數字信息；物理控制單元，用于接收用戶的確認操作。本發明電子簽名認證擴展設備和方法可提高現有一代網銀認證USBKey的安全性。
【專利說明】電子簽名認證擴展設備及信息處理方法

【技術領域】
[0001] 本發明涉及電子技術應用領域，尤其涉及一種電子簽名認證擴展設備及信息處理 方法。

【背景技術】
[0002] 電子簽名應用領域廣泛，應用比較廣泛的是網上銀行的電子簽名認證。
[0003] 目前，隨著網上銀行的普及，越來越多的人開始使用這種方便快捷的金融服務。 在我國現在公認的解決網上銀行業務客戶端的安全的解決方案是使用電子簽名設備，如 USBKey。常用USBKey作為數字證書的載體進行網絡安全認證已經非常普遍了。在金融領 域的網銀應用上，傳統USBKey已經大規模應用于全國各銀行的網銀系統，業內習慣稱之為 一代USBKey。但隨著網銀的發展和普及，針對一代USBKey的攻擊與愈來愈多，主要體現在 兩個方面，一是在交易過程中針對交易數據的攻擊，將交易數據中的收款人賬號和金額等 關鍵元素修改；另一個方面是針對交易本身進行攻擊，在用戶不知情的情況下偽造一個交 易。針對這些攻擊，銀行的網銀應用安全認證產品逐漸由一代USBKey過渡到帶有液晶顯示 屏和按鍵的二代USBKey。
[0004] 雖然目前，國有銀行和眾多地方銀行都已經在發行二代USBKey，但是全國各個銀 行已經有大量的一代USBKey存量客戶，這些存量客戶依然面臨著黑客的攻擊。


【發明內容】

[0005] 本發明所要解決的技術問題是提供一種電子簽名認證擴展設備及信息處理方法， 以解決現有一代網銀認證USBKey的安全隱患。
[0006] 為了解決上述技術問題，本發明提供了一種電子簽名認證擴展設備，所述設備包 括：
[0007] 第一接口，用于與具有運行電子簽名客戶端功能的第一設備連接；
[0008] 第二接口，用于與具有電子簽名認證功能的第二設備連接；
[0009] 中央控制單元，與所述第一接口、第二接口、輸出單元和物理控制單元連接，用于 提取通過所述第一接口接收的數字信息，并發送給輸出單元，以及在物理控制單元接收到 用戶確認操作后，通過所述第二接口向第二設備發送數字信息，還用于從第二接口接收簽 名后的數字信息并通過所述第一接口發送；
[0010] 輸出單元，用于顯示所述中央控制單元提取的數字信息；
[0011] 物理控制單元，用于接收用戶的確認操作。
[0012] 進一步地，所述中央控制單元還包括由主控芯片實現的接口狀態控制模塊，用于 檢測所述第一接口連接的設備接口狀態，若為接口主設備狀態，則設置所述第一接口為接 口從設備，若為接口從設備狀態，則設置所述第一接口為接口主設備，還用于設置所述第二 接口為接口主設備狀態。
[0013] 進一步地，所述中央控制單元還包括設備識別模塊，當設置第一接口為接口主設 備狀態時，用于識別第一接口連接的設備是否為用于具有運行電子簽名客戶端功能的第一 設備，當設置第二接口為接口主設備狀態時，用于識別第二接口連接的設備是否為具有電 子簽名認證功能的第二設備，僅當第一接口連接的設備為第一設備時，所述信息處理模塊 進行與第一設備之間的處理，以及當第二接口連接的設備為第二設備時，所述信息處理模 塊進行與第二設備之間的處理。
[0014] 進一步地，所述設備還包括導通開關，用于基于所述中央控制單元的控制或用戶 操作實現所述中央控制單元與所述第二接口的連接和斷開，所述中央控制單元接收所述數 字信息后，控制所述導通開關導通與所述第二接口之間的連接；接收所述簽名后的數字信 息預定時間后，控制所述導通開關斷開與所述第二接口之間的連接。
[0015] 進一步地，所述中央控制單元還包括采用智能安全芯片或一體化芯片實現的電子 簽名認證模塊，用于實現電子簽名認證功能，所述中央控制單元的電子簽名認證模塊與所 述第二設備實現相同或不同業務或應用的電子簽名認證。
[0016] 進一步地，所述第一接口與所述第一設備以及所述第二接口與所述第二設備直接 連接或通過轉接器連接。
[0017] 進一步地，所述輸出單元以文字顯示或語音播放的方式輸出所述數字信息。
[0018] 進一步地，所述第二接口與所述第二設備采用電路搭橋或接口對接的方式連接。
[0019] 進一步地，所述物理控制單元采用光感按鍵、薄膜按鍵或鍋仔片實現。
[0020] 進一步地，所述設備包括電池，所述物理控制單元包括用于控制設備開啟、關閉的 開關鍵，所述開關鍵處于開通狀態，則所述電池提供電源。
[0021] 進一步地，所述中央控制單元還包括電源控制模塊，用于實現電源管理，包括：在 第一設備為個人計算機（PC)時，采用外部電源為所述設備供電、充電。
[0022] 進一步地，所述中央控制單元采用智能安全芯片和主控芯片實現，或采用通用CPU 芯片和主控芯片實現，或采用一體化芯片實現。
[0023] 為解決上述技術問題，本發明還提供了一種信息處理方法，應用于具有電子簽名 認證功能擴展設備，所述設備包括第一接口、第二接口、中央控制單元、輸出單元和物理控 制單元，該方法包括：
[0024] 中央控制單元通過第一接口接收并提取第一設備發送的用于電子簽名認證的數 字信息；
[0025] 輸出單元輸出所述數字信息，物理控制單元接收用戶輸入的確認操作信息；
[0026] 中央控制單元通過第二接口將所述數字信息發送給與第二接口連接的第二設 備；
[0027] 中央控制單元接收所述第二設備通過第二接口發送的簽名后的數字信息并發送 給第一設備。
[0028] 進一步地，通過所述第一接口接收、提取所述數字信息前，該方法還包括：
[0029] 中央控制單元檢測第一接口連接的設備接口狀態；
[0030] 中央控制單元根據檢測結果設置第一接口的接口狀態，若為接口主設備狀態，則 設置所述第一接口為接口從設備，若為接口從設備狀態，則設置所述第一接口為接口主設 備。
[0031] 進一步地，當設置第一接口為接口主設備狀態時，通過所述第一接口接收、提取所 述數字信息前，該方法還包括：
[0032] 中央控制單元識別所述第一接口連接的設備為具有運行電子簽名客戶端功能的 第一設備；
[0033] 或，通過所述第二接口將所述數字信息發送給與所述第二設備前，該方法還包括 中央控制單元識別所述第二接口連接的設備為具有電子簽名認證功能的第二設備。
[0034] 進一步地，所述設備還包括導通開關，接收用戶輸入的確認操作信息后，該方法還 包括：所述中央控制單元控制所述導通開關導通中央控制單元與第二接口之間的連接；接 收所述簽名后的數字信息預定時間后，控制所述導通開關斷開中央控制單元與第二接口之 間的連接。
[0035] 與現有技術相比，利用本發明擴展設備及方法可以增加不具有輸出設備和物理控 制功能的電子簽名認證設備的電子簽名認證的安全性，使其兼容于現有電子簽名認證系 統，且本發明擴展設備可通過具體的高智能安全芯片具備電子簽名認證功能，增加了擴展 設備的實用性。
[0036] 本發明的其它特征和優點將在隨后的說明書中闡述，并且，部分地從說明書中變 得顯而易見，或者通過實施本發明而了解。本發明的目的和其他優點可通過在說明書、權利 要求書以及附圖中所特別指出的結構來實現和獲得。

【專利附圖】

【附圖說明】
[0037] 圖1是本發明電子簽名認證擴展設備實施例1的模塊結果示意圖；
[0038] 圖2是本發明電子簽名認證擴展設備實施例2的模塊結構示意圖；
[0039] 圖3是本發明電子簽名認證擴展設備實施例3的模塊結構示意圖；
[0040] 圖4是本發明電子簽名認證擴展設備實施例4的模塊結構示意圖；
[0041] 圖5是本發明信息處理方法實施例1的示意圖；
[0042] 圖6是本發明信息處理方法實施例2的示意圖；
[0043] 圖7是本發明設備以第一 USB接口與PC相連接的工作流程圖；
[0044] 圖8是本發明設備與PC連接后導通開關處于打開時的狀態圖；
[0045] 圖9是本發明設備與PC連接后導通開關處于閉合時的狀態圖；
[0046] 圖10是本發明設備以第一 USB接口與智能移動終端相連接的工作流程圖；
[0047] 圖11是本發明設備與智能移動終端連接后導通開關處于打開時的狀態圖；
[0048] 圖12是本發明設備與智能移動終端連接后導通開關處于閉合時的狀態圖；
[0049] 圖13是本發明設備對待進行電子簽名的數字信息進行處理的流程圖；
[0050] 圖14是本發明設備通過第二USB接口連接第二設備的流程圖。
[0051] 附圖用來提供對本發明技術方案的進一步理解，并且構成說明書的一部分，與本 申請的實施例一起用于解釋本發明的技術方案，并不構成對本發明技術方案的限制。

【具體實施方式】
[0052] 為使本發明的目的、技術方案和優點更加清楚明白，下面結合附圖和具體實施例 對本發明所述技術方案作進一步的詳細描述，以使本領域的技術人員可以更好的理解本發 明并能予以實施，但所舉實施例不作為對本發明的限定。需要說明的是，在不沖突的情況 下，本申請中的實施例及實施例中的特征可以相互組合。
[0053] 實施例1
[0054] 如圖1所示，本發明電子簽名認證擴展設備實施例1包括第一接口、中央控制單 元、第二接口、輸出單元和物理控制單元，其中：
[0055] 第一接口，用于與具有運行電子簽名客戶端功能的第一設備連接；
[0056] 中央控制單元，與所述第一接口、第二接口、輸出單元和物理控制單元連接，包括 信息處理模塊，用于提取通過第一接口接收所述第一設備發送的數字信息，并發送給輸出 單元，以及基于用戶輸入的確認操作信息，通過所述第二接口向第二設備發送數字信息，還 用于從第二接口接收簽名后的數字信息并通過所述第一接口發送；
[0057] 中央控制單元是整個設備的中央處理器，其即是本發明設備的核心也是其他各個 模塊的橋梁。具體地，所述中央控制單元采用智能安全芯片和主控芯片實現，或采用通用 CPU芯片和主控芯片實現，或采用一體化芯片實現。
[0058] 第二接口，用于與具有電子簽名認證功能的第二設備連接；
[0059] 可選地，所述第二接口與所述第二設備采用電路搭橋或接口對接的方式連接。
[0060] 所述第一接口和所述第二接口是A型或MiniB型USB接口，所述第一接口與所述 第一設備以及所述第二接口與所述第二設備直接連接或通過轉接器連接。另，在具體實現 時，第一接口、第二接口還可以是音頻接口。
[0061] 輸出單元，與所述中央控制單元連接，用于輸出所述中央控制單元提取的數字信 息，可選地，所述輸出單元以文字顯示或語音播放的方式輸出所述數字信息；
[0062] 物理控制單元，與所述中央控制單元連接，用于接收用戶輸入的操作信息并發送 給所述中央控制單元，所述操作信息包括確認操作信息，所述物理控制單元的實現方式包 括但不限于采用光感按鍵、薄膜按鍵或鍋仔片實現。
[0063] 本發明電子簽名認證擴展設備由于本身主芯片選用的是可以提供電子簽名功能 的芯片，所以其本身也是一個獨立的電子簽名設備。可選地，基于智能安全芯片本身的特 性，所述中央控制單元還包括采用智能安全芯片實現的電子簽名認證模塊，用于實現電子 簽名認證功能，所述中央控制單元的電子簽名認證模塊與所述第二設備實現相同或不同銀 行的電子簽名認證。
[0064] 實施例2
[0065] 如圖2所示，本發明電子簽名認證擴展設備實施例2包括第一接口、中央控制單 元、第二接口、輸出單元、物理控制單元，其中：
[0066] 第一接口，用于與具有運行電子簽名客戶端功能的第一設備連接；
[0067] 中央控制單元，與所述第一接口、第二接口、輸出單元和物理控制單元連接，包括 信息處理模塊，用于提取通過第一接口接收所述第一設備發送的數字信息，并發送給輸出 單元，以及基于用戶輸入的確認操作信息，通過所述第二接口向第二設備發送數字信息，還 用于從第二接口接收簽名后的數字信息并通過所述第一接口發送；
[0068] 中央控制單元是整個設備的中央處理器，其即是本發明設備的核心也是其他各個 模塊的橋梁。具體地，所述中央控制單元采用智能安全芯片和主控芯片實現，或采用通用 CPU芯片和主控芯片實現，或采用一體化芯片實現。
[0069] 所述中央控制單元還包括由主控芯片實現的接口狀態控制模塊，用于檢測所述第 一接口連接的設備接口狀態，若為接口主設備狀態，則設置所述第一接口為接口從設備，若 為接口從設備狀態，則設置所述第一接口為接口主設備，還用于設置所述第二接口為接口 主設備狀態。
[0070] 可選地，所述中央控制單元還包括設備識別模塊，當設置第一接口為接口主設備 狀態時，用于識別第一接口連接的設備是否為用于具有運行電子簽名客戶端功能的第一設 備，當設置第二接口為接口主設備狀態時，用于識別第二接口連接的設備是否為具有電子 簽名認證功能的第二設備，僅當第一接口連接的設備為第一設備時，所述信息處理模塊進 行與第一設備之間的處理，以及當第二接口連接的設備為第二設備時，所述信息處理模塊 進行與第二設備之間的處理。
[0071] 具體地，如本發明設備與第一設備PC連接時，由于PC本身是USB主設備，所以本 發明設備的第一 USB接口會由中央控制單元的控制將其設置為USB從設備與PC相連接，并 一直在第一 USB接口中保持USB從設備這一特點。但當第一設備是智能移動終端時，本發明 設備與智能移動終端相連接時，由于智能移動終端本身都是USB從設備，所以本發明設備 的第一 USB接口會由中央控制單元的控制將其設置為USB主設備與智能移動終端相連接， 并一直在第一 USB接口中保持USB主設備這一特點。
[0072] 第二接口，用于與具有電子簽名認證功能的第二設備連接；
[0073] 可選地，所述第二接口與所述第二設備采用電路搭橋或接口對接的方式連接。
[0074] 所述第一接口和所述第二接口是A型或MiniB型USB接口，所述第一接口與所述 第一設備以及所述第二接口與所述第二設備直接連接或通過轉接器連接。
[0075] 輸出單元，與所述中央控制單元連接，用于輸出所述中央控制單元提取的數字信 息，可選地，所述輸出單元以文字顯示或語音播放的方式輸出所述數字信息；
[0076] 使用者可以通過設備的輸出單元來瀏覽或收聽交易信息，如姓名，賬戶和金額，或 圖像信息等，但不局限與此。可采用目前LCD，0LED屏幕技術實現輸出單元，簡單方便，其主 要功能是將用戶進行電子簽名交易中的敏感信息進行顯示，諸如：姓名，賬戶，金額等。輸出 單元由內部電池或外部電源提供能量，并受中央控制單元的控制，只可顯示或語音播放中 央控制單元發給的顯示信息。
[0077] 物理控制單元，與所述中央控制單元連接，用于接收用戶輸入的操作信息并發送 給所述中央控制單元，所述操作信息包括確認操作信息，所述物理控制單元的實現方式包 括但不限于采用光感按鍵、薄膜按鍵或鍋仔片實現。
[0078] 可選地，物理控制單元可由信息翻頁鍵，交易取消鍵，USB接口導通開關鍵（交易 確認鍵）等基本功能鍵組成，還可以增加數字鍵、功能切換鍵等其他多個按鍵以滿足未來 發展的需要，但不僅局限于此。其是設備的外圍輸入設備，使用者通過此模塊可以進行密碼 輸入，功能切換，電子簽名的控制等。實現時可采用諸如光感按鍵，薄膜按鍵，鍋仔片等方式 完成。物理控制單元由內部電池或外部電源提供能量，并受中央控制單元的控制。物理控 制單元上用戶所有操作信息信號會通過設備內的電路傳輸給中央控制單元進行處理。
[0079] 可選地，基于智能安全芯片本身的特性，所述中央控制單元還包括采用智能安全 芯片實現的電子簽名認證模塊，用于實現電子簽名認證功能，所述中央控制單元的電子簽 名認證模塊與所述第二設備實現相同或不同銀行的電子簽名認證。
[0080] 上述實施例1和實施例2中，可選地，如圖3所示，所述電子簽名認證擴展設備還 包括導通開關，用于基于所述中央控制單元的控制實現所述中央控制單元與所述第二接口 的連接和斷開；具體地，所述中央控制單元還包括連接控制模塊，用于接收所述數字信息 后，控制所述導通開關導通與所述第二接口之間的連接；接收所述簽名后的數字信息預定 時間后，控制所述導通開關斷開與所述第二接口之間的連接。
[0081] 具體地，當用戶確認本發明設備輸出單元輸出的數字信息無誤時，通過人工操作 導通開關或中央控制單元控制使導通開關處于閉合狀態，并保持預定時間（比如5分鐘）， 隨后導通開關在中央控制單元的控制下切換，或自動恢復至斷開狀態。當導通開關處于閉 合狀態時，本發明設備的中央控制單元會自動將第二接口調整為接口主設備狀態，并對第 二接口接入的設備進行識別和操作，由第二設備USBkey完成電子簽名。
[0082] 以下以第一、第二接口是USB接口為例，對實施例1和實施例2中的第一 USB接口、 第二USB接口、中央控制單元進行詳細說明：
[0083] 第一 USB接口：負責設備與第一設備（如PC或智能移動終端）連接及通訊，實現 時采用中央控制單元內所提供USB通訊引腳與USB接口電路連接通訊即可。USB是接口有 許多種，最常見的就是個人電腦上用的那種扁平的，這叫做A型USB 口，里面有4根連線，根 據誰插接誰分為公母接口，一般U盤、電子簽名工具或連接線上帶的是公口，也稱USB插頭； 機器上帶的是母口，也稱USB插口。同時，還有一種適用于數碼產品上最常見的小型接口， 由于數碼產品體積所限，所以通常用的是Mini B型USB接口，且一般是設置為母口，就是 Mini B型USB插口；但是Mini B型接口也有許多種類，有Mini B型5Pin接口、Mini B型 4Pin的接口、Mini B型8Pin的接口等等；具有電子簽名（也稱電子簽名認證）功能的第 二設備（比如網銀認證工具，也稱為USBKey或U盾）一般采用這種Mini B型USB插口；通 常采用Mini B型5Pin接口。本發明中的第一 USB接口作為與PC或智能移動終端連接的 USB器件，同時考慮到發明的兼容中，實現時第一 USB接口需要兼容A型USB公口、Mini B 型USB接口。
[0084] 第二USB接口 ：負責設備與具有電子簽名（也稱電子簽名認證）功能的第二設備 (如USBKey或電子簽名設備）連接及通訊，實現時采用中央控制單元內所提供USB通訊引 腳與USB接口電路連接通訊即可。實現時第二USB接口需要兼容A型USB母口、Mini B型 USB接口。特別需要說明的是，由于考慮到成本問題，在發明實現時可直接采用電路搭接方 式提供與USBKey或電子簽名設備，即利用電路或引腳直接與接入的USBKey或電子簽名設 備的USB接口連接和通訊，而無需在本發明設備中增加 A型USB母口或Mini B型USB接口， 以此達到解決成本的目的。
[0085] 中央控制單元是整個設備的中央處理器，其即是本發明設備的核心也是其他各個 模塊的橋梁。具體地，所述中央控制單元采用智能安全芯片和主控芯片實現，或采用通用 CPU芯片和主控芯片實現，或采用一體化芯片實現。
[0086] 以下對各種實現方式進行說明：
[0087] 方式一、中央控制單元采用智能安全芯片和主控芯片實現；
[0088] 本發明的中央控制單元采用的主芯片是可提供電子簽名功能的智能安全芯片，其 一個基于8位或以上的RISC處理器的高安全S0C芯片，具備高處理能力、高安全性、低功 耗、低成本等特點。如ST的STM32芯片或國民技術的Z8D168U芯片或同類型的芯片等。尤 其提出的是，采用以上描述的主芯片中其芯片內部均擁有USB從設備接口特性。如果第一 設備是PC，由于PC本身就擁有USB主設備特性，如果兩個設備同是USB主設備，那么無法進 行相連。本方法中由于選用的芯片內提供USB從設備接口，所以在與PC相連接時，其第一 USB接口作為USB從設備與PC進行連接。
[0089] 由于上述芯片沒有USB主設備的特性，所以在實現中需要與一個USB主設備進行 連接，以此保證第二USB接口作為USB主設備與第二設備即一代USBKey進行連接。在此，可 選擇外擴USB總線通用接口芯片（即上文所說的主控芯片）的方法來解決，如ISP1761USB 控制器方案或低成本的CH375方案。
[0090] 方式二、中央控制單元采用通用CPU芯片和主控芯片實現；
[0091] 中央控制單元采用的主芯片是性能高，成本低，通用性強的AT91RM9200,其是 Atmel公司一款基于ARM920T內核的微型處理器。它有豐富的系統與應用外設及標準接口， 時鐘頻率可達180MHz，并且具有低功耗、低成本、高性能，在嵌入式系統中應用廣泛。另外， 在對于USB接口的控制實現上，采用外擴ISP1761的方法。ISP1761是Philips公司開發的 一款高速USB ON The Go(OTG)控制器，芯片內集成了 64KB的高速緩沖，大大地提升了系統 的處理性能，并且功耗很低，價格實惠此外，ISP761還有可配置的32b/16b異步CPU接口，該 設計ISP1761外部數據總線設置為16b模式。由于ISP1761提供0TG技術，所以可以解決 本發明中的設備即需要擁有USB從設備，又具備USB主設備的這一特性。同時，目前的嵌入 式系統設計中，USB接口的外擴主要采用微處理器芯片自帶的USB控制器，一般只支持低速 和全速協議，無法實現高速數據傳輸。該設計采用AT91RM9200處理器外擴ISP1761USB控 制器方案，解決了嵌入式系統下USB設備的傳輸速度問題。
[0092] 尤其需要說明的是，采用以上描述的主芯片中其芯片內部均擁有USB從設備接口 特性。如果第一設備是PC，由于PC本身就擁有USB主設備特性，如果兩個設備同是USB主 設備，那么無法進行相連。本發明中由于選用的芯片內提供USB從設備接口，所以在與PC 相連接時，其第一 USB接口作為USB從設備與PC進行連接。
[0093] 由于上述芯片沒有USB主設備的特性，所以在實現中需要與一個USB主設備進行 連接，以此保證第二USB接口作為USB主設備與第二設備即一代USBKey進行連接。在此， 可選擇外擴USB總線通用接口芯片（即上文所說的主控芯片）來解決，如ISP1761USB控制 器方案或低成本的CH375方案。
[0094] 上述方式二與方式一相比，有更強的的功能和易用性，但是由于主芯片缺少智能 安全芯片的特性，所以方式二的中央控制單元不能實現電子簽名認證功能，無法獨立成為 一款具有電子簽名功能的設備。但是，其強的的USB通訊能力較好，可以支持USB2. 0高速 的傳輸特點。
[0095] 方式三、中央控制單元采用一體化芯片實現。
[0096] 中央控制單元采用的一體化芯片（即單一芯片）的解決方案完成，具有安全，功耗 低，開發簡單的特點，尤其是針對電子簽名系統中的電子簽名設備而言，更加的專業化。單 芯片是將目前現有的用于電子簽名設備中的智能安全芯片，與高性能的USB主控芯片相集 合，并具備如下特點：
[0097] 32位高安全性CPU,實現支持主機流通協議（Host NegotiationProtocol，HNP)和 兩個Device數據的傳輸的USB主控制功能，此處理器可以支持帶有USB Host*2特點，支持 高速USB ON The Go(OTG)功能，其內部帶一定容量的flash和RAM，也可擴展外部flash和 SDRAM。在flash存儲區域可存儲嵌入式操作系統程序，USB各驅動程序，電子簽名客戶端 程序，字庫字模文件等。其擁有可支持顯示屏器件和按鍵的一定量的GPIO接口，以保證設 備功能的使用。
[0098] 可理解地，除了以上硬件芯片外，本發明設備的中央控制單元還需要開發一些軟 件程序來驅動本發明設備，包括：嵌入式操作系統（芯片上通過對其嵌入式操作系統的開 發實現對這個設備的控制），USB客戶驅動程序、USB驅動程序和USB主機控制器驅動程序。 應用程序的事務處理是由USB客戶驅動程序在啟動時把USB設備當作系統軟件包括USB驅 動程序和USB主控制器驅動程序，USB驅動程序負責配置管理、用戶管理、總線管理、和數據 傳輸管理、以及數據的位編碼、封包、循環校驗、發送、錯誤處理等。特別需要提出的是，USB 協議棧需要在主芯片內實現，以保證USB主設備的正常運行，如果所采用的外擴USB總線通 用接口芯片可以提供USB協議棧，那么可簡化此步驟。
[0099] 在中央控制單元中還應擁有內置的存儲區域，此區域中存儲著嵌入式操作系統程 序，USB各驅動程序，電子簽名客戶端程序，字庫字模文件等。
[0100] 在另一優選的實施例中，如圖4所示，所述設備除包括上文所說的第一接口、中央 控制單元、第二接口、導通開關、輸出單元、物理控制單元外，還包括電池，所述物理控制單 元包括用于控制設備開啟、關閉的開關鍵，所述開關鍵處于開通狀態，所述電池提供電源， 從而實現節約電能的功能。
[0101] 所述中央控制單元還包括電源控制模塊，用于實現電源管理，包括：在第一接口連 接的第一設備為個人計算機（PC)時，采用外部電源為所述設備供電和/或為電池充電。
[0102] 即，無論開關鍵處于開通或關閉狀態，本發明設備的第一接口接入外部電源時，本 發明設備都會對內部電池進行充電操作，此功能由電源控制模塊完成。
[0103] 具體地，電源控制模塊負責本發明設備的電源管理功能，電源控制模塊與各模塊 連接在以下情況提供能量及完成充電：
[0104] 當本發明設備的第一接口與PC相連接時，本發明設備采用外部電源為中央控制 單元、輸出單元、物理控制單元供電。
[0105] 當導通開關閉合后，電源控制模塊利用內部電池為所接入的第二設備設備供電， 完成隨后的識別與電子簽名的工作。
[0106] 當本發明設備的第一接口與智能移動終端相連接時，本發明設備采用內部電源為 中央控制單元、輸出單元、物理控制單元供電。
[0107] 當本發明設備通過第一接口與PC或外部電源向連接時，該電源控制模塊采用由 PC上的USB接口或外部電源提供的電力對設備內部電池進行充電。
[0108] 電池負責設備提供電能，受電源控制模塊并與各模塊進行連接，采用紐扣式充電 電池實現。
[0109] 本發明還提供了一種信息處理方法實施例1，應用于具有電子簽名認證功能擴展 設備，所述設備包括第一接口、第二接口、中央控制單元、輸出單元和物理控制單元，如圖5 所示，該方法包括：
[0110] 步驟501 :中央控制單元通過第一接口接收并提取第一設備發送的用于電子簽名 認證的數字信息；
[0111] 該方法實施例1中，第一設備可以是PC也可以是智能手機，可通過默認設置的方 式設置第一接口的狀態，比如，設置第一接口為接口從設備狀態，從而只能連接PC這種具 有接口主設備狀態的第一設備，或者設置第一接口為接口主設備狀態，從而只能連接智能 手機這種具有接口從設備狀態的第一設備。
[0112] 當本發明設備第一接口與PC連接時，由于PC的USB 口是USB主控設備，所以本發 明設備采用從設備的模式與其相連；當本發明設備第一接口與智能移動終端連接時，由于 智能移動終端的USB 口是USB從設備，所以本發明設備采用USB主設備的模式與其相連。
[0113] 步驟502 :輸出單元輸出所述數字信息，物理控制單元接收用戶輸入的確認操作 信息；
[0114] 步驟503 :中央控制單元通過第二接口將所述數字信息發送給與第二接口連接的 第二設備；
[0115] 步驟504 :中央控制單元接收所述第二設備通過第二接口發送的簽名后的數字信 息并發送給第一設備。
[0116] 本發明還提供了一種信息處理方法實施例2,應用于具有電子簽名認證功能擴展 設備（下文也簡稱為擴展設備或設備），所述設備包括第一接口、第二接口、中央控制單元、 輸出單元和物理控制單元，如圖6所示，該方法包括：
[0117] 步驟601 :中央控制單元檢測第一接口連接的設備接口狀態；
[0118] 步驟602 :中央控制單元根據檢測結果設置第一接口的接口狀態，若為接口主設 備狀態，則設置所述第一接口為接口從設備，若為接口從設備狀態，則設置所述第一接口為 接口主設備。
[0119] 該方法實施例2中，第一接口的狀態可根據其連接的設備的設備接口狀態的不同 而切換為不同的設備接口狀態，具體地，中央控制單元可通過以下四種方式識別第一接口 連接的設備接口狀態，從而切換第一接口的設備接口狀態：操作人員的選擇；5針USB插座 的ID信號；雙USB插座主從判斷電路；單USB插座主從判斷電路。
[0120] 以上四種方式適用于中央控制單元的三種實現方法，以下以中央控制單元的第 一種實現方法為例進行說明，比如中央控制單元采用智能安全芯片（比如Z8D128芯片或 Z8D256,以下也稱為單片機）和外掛CH375實現。
[0121] 如果使用一個CH375同時實現主從（USB-H0ST和USB-DEVICE)兩種USB通訊，那 么單片機系統應該自行決定主從模式，主模式通常用于控制其它USB設備（例如讀寫U盤 或USBKey，與手機相連），從模式通常用于連接到計算機。
[0122] 方式1 :操作人員的選擇
[0123] 該方式1比較容易實現，
[0124] 例如，單片機使CH375芯片的第一接口默認工作于主模式（也即接口主設備狀 態），當設備接入第一接口時，CH375芯片會自動通知單片機，操作人員發現接入第一接口 的設備是接口主設備，比如計算機，則發出切換到接口從設備的控制指令，當單片機接收到 操作人員的控制指令時，使CH375芯片切換到從模式（即接口從設備狀態），以便作為USB 從設備與計算機通訊。
[0125] 需要說明的是，單片機中的嵌入式操作應該有去抖動功能，以保證USB接口的插 入與連接的穩定性。
[0126] 方式2 :5針USB插座的ID信號；
[0127] 用5針USB插座的ID信號是指使用0TG協議中的5針USB插座，向單片機提供一 個額外的主從識別信號，由單片機判斷后控制CH375切換工作模式。
[0128] 采用該方式2時，USB部分需支持0TG協議。）
[0129] 方式3 :雙USB插座主從判斷電路；
[0130] 雙USB插座主從判斷電路，雙USB插座即雙端口，如分別為端口 P4和端口 P42,端 口 P4僅用于連接USB設備，另外一個端口 P42僅用于連接計算機，兩者不能同時使用。
[0131] 空閑情況下，狀態（STATUS)為低電平，單片機使CH375工作于主模式，當有USB設 備插入P4時CH375會自動通知單片機然后處理。當端口 P42連接到計算機的USB端口時， 計算機的USB提供5V電源使STATUS為高電平，所以單片機使CH375切換到從模式。具體的 電路結構可采用現有技術。可理解地，采用該方式3時，本發明擴展設備有兩個第一接口。
[0132] 方式4 :單USB插座主從判斷電路，此方法通過接入的電壓不同而判斷主從模式的 切換，具體的電路結構可采用現有技術。
[0133] 在實施過程中只需要使用到上面的一個或任意2個組合就可以實現第一接口連 接設備的接口設備狀態，右旋地采用1方案和另外的方案配合使用。
[0134] 步驟603 :中央控制單元通過第一接口接收并提取第一設備發送的用于電子簽名 認證的數字信息；
[0135] 步驟604:輸出單元輸出所述數字信息，物理控制單元接收用戶輸入的確認操作 信息；
[0136] 步驟605 :中央控制單元通過第二接口將所述數字信息發送給與第二接口連接的 第二設備；
[0137] 步驟606 :中央控制單元接收所述第二設備通過第二接口發送的簽名后的數字信 息并發送給第一設備。
[0138] 可選地，為了保證信息的安全性，在通過第一接口或第二接口收發數據時，需要對 第一接口或第二接口連接的設備進行識別，具體地，當設置第一接口為接口主設備狀態時， 通過所述第一接口接收、提取所述數字信息前，該方法還包括：中央控制單元識別所述第一 接口連接的設備為具有運行電子簽名客戶端功能的第一設備；
[0139] 或，通過所述第二接口將所述數字信息發送給與所述第二設備前，該方法還包括： 中央控制單元識別所述第二接口連接的設備為具有電子簽名認證功能的第二設備。
[0140] 可理解地，當設置所述第一接口為接口從設備狀態時，則應由具有接口主設備狀 態的第一設備識別所述擴展設備，即遵從主設備識別從設備的一般原則。
[0141] 所述設備還包括導通開關，接收用戶輸入的確認操作信息后，可選地，該方法實施 例還包括：所述中央控制單元控制所述導通開關導通中央控制單元與第二接口之間的連 接；接收所述簽名后的數字信息預定時間后，控制所述導通開關斷開中央控制單元與第二 接口之間的連接。
[0142] 以下以電子簽名認證為網銀認證為例，以接口類型為USB為例，對本發明方案進 行具體說明：
[0143] 應用實例1
[0144] 如圖7所示是本發明設備以第一 USB接口與PC相連接的工作流程圖，其步驟如 下：
[0145] 步驟701、設備采用第一 USB接口與PC相連接；
[0146] 步驟702、設備檢測后，將第一 USB接口設置為USB從設備模式；
[0147] 在此，設備第一 USB接口接入PC，由于PC是一個USB主設備，本發明設備將調整 自身為USB從設備與PC相連接，以保證隨后的正常通訊。在連接的整個過程中，直到第一 USB接口與PC斷開時，對于第一 USB接口均是USB從設備特性，一直不變。
[0148] 步驟703、PC識別設備，并將待進行電子簽名的數字信息發送至設備；
[0149] 在此，由于擴展設備是USB從設備，PC可以正常識別。用戶可以訪問網銀系統或 對應的金融服務，此階段中可能網銀系統需要與實現網銀認證的設備進行數字證書認證， 可通過本發明設備的輸出單元提示用戶按動導通開關連接USBKey進行驗證。由于部分銀 行采用只有轉賬時才使用USBKey，所以上述內容可以忽略。PC在正常識別設備，將待進行 電子簽名的數字信息發送至擴展設備。
[0150] 需要說明的是，上文中已給出三種中央控制單元的實現方法，其中方法一和方法 三中，中央控制單元都具有能獨立實現電子簽名認證功能的模塊，具體地，在該應用實例 中，為獨立實現網銀認證功能的模塊，用戶在使用方法一和方法三實現的擴展設備時，需要 選擇使用擴展設備的電子簽名認證功能還是選擇使用通過第二接口連接的第二設備（比 如USBkey)的電子簽名認證功能。可理解地，如果采用方法三實現上述中央控制單元，則不 存在以上選擇使用的問題。
[0151] 在沒有特別說明的情況下，本發明由與第二接口連接的第二設備實現電子簽名認 證功能。
[0152] 步驟704、設備對待進行電子簽名的數字信息進行處理；
[0153] 具體地，包括擴展設備輸出所述數字信息，接收用戶輸入的確認操作信息，通過第 二接口將所述數字信息發送給第二設備，詳見下文及圖13的描述。
[0154] 步驟705、第二USB接口接收USBkey完成電子簽名后傳輸的簽名后的數字信息，并 通過第一 USB接口將電子簽名后的數字信息發送至PC。
[0155] 在此，完成整個電子簽名的過程。
[0156] 如圖8所示是本發明設備與PC連接后導通開關處于打開時的狀態圖。
[0157] 在此，當本發明設備第一 USB接口與PC相連接時，導通開關處于打開狀態。此時， 無論本發明設備的第二USB接口連接任何USB設備時，本發明設備也不會提供電能啟動所 接入的USB設備工作，以此保證電子簽名的安全進行。
[0158] 如圖9所示是本發明設備與PC連接后導通開關處于閉合時的狀態圖。
[0159] 在此，本發明設備第一 USB接口與PC相連接并表現為USB從設備特性，當用戶確 認本交易，導通開關處于閉合狀態后，本發明設備向第二USB接口及其所連接任何USB設備 供電，并開始進行USB設備識別和隨后的電子簽名工作。詳細內容可見圖14。
[0160] 應用實例2
[0161] 如圖10所示是本發明設備以第一 USB接口與智能移動終端相連接的工作流程圖， 其步驟如下：
[0162] 步驟1001、設備采用第一 USB接口與智能移動終端相連接；
[0163] 步驟1002、設備檢測后，將第一 USB接口設置為USB主設備模式；
[0164] 在此，設備第一 USB接口接入智能移動終端，由于智能移動終端是一個USB從設 備，本發明設備將調整自身為USB主設備與智能移動終端相連接，以保證隨后的正常通訊。 在連接的整個過程中，直到第一 USB接口與智能移動終端斷開時，對于第一 USB接口均是 USB主設備特性，一直不變。
[0165] 步驟1003、擴展設備識別智能移動終端，并通過第一 USB接口接收智能移動終端 發過來的待進行電子簽名的數字信息；
[0166] 在此，由于設備是USB主設備，其首先識別智能移動終端。隨后，用戶可以訪問網 銀系統或對應的金融服務，此階段中可能網銀系統需要與用戶的USBKey進行數字證書認 證，可通過本發明設備的顯示模塊提示用戶按動USB接口導通開關連接USBKey進行驗證。 由于部分銀行采用只有轉賬時才使用USBKey，所以上述內容可以忽略。設備正常識別智能 移動終端后，將接受智能移動終端發過來的待進行電子簽名的數字信息。
[0167] 步驟1004、設備對待進行電子簽名的數字信息進行處理；
[0168] 具體地，包括擴展設備輸出所述數字信息，接收用戶輸入的確認操作信息，通過第 二接口將所述數字信息發送給第二設備，詳見下文及圖13的描述。
[0169] 步驟1005、第二USB接口接收USBkey完成電子簽名后傳輸的簽名后的數字信息， 并通過第一 USB接口將電子簽名后的數字信息發送至智能移動終端。
[0170] 在此，完成整個電子簽名的過程。
[0171] 如圖11所示是本發明設備與智能移動終端連接后導通開關處于打開時的狀態 圖。
[0172] 在此，當本發明設備第一 USB接口與智能移動終端相連接時，導通開關處于打開 狀態。此時，無論本發明設備的第二USB接口連接任何USB設備時，本發明設備也不會提供 電能啟動所接入的USB設備工作，以此保證電子簽名的安全進行。
[0173] 如圖12所示是本發明設備與智能移動終端連接后導通開關處于閉合時的狀態 圖。
[0174] 在此，本發明設備第一 USB接口與智能移動終端相連接并表現為USB從設備特性， 當用戶確認本交易，導通開關處于閉合狀態后，本發明設備向第二USB接口及其所連接任 何USB設備供電，并開始進行USB設備識別和隨后的電子簽名工作。詳細內容可見圖14。
[0175] 如圖13所示是本發明設備對待進行電子簽名的數字信息進行處理的流程圖，其 步驟見下：
[0176] 步驟1301、接收第一 USB接口傳入的數字信息；
[0177] 步驟1302、對數字信息進行解密；
[0178] 在此，由于電子簽名系統與第二設備（如USBKey)的通訊一般會采用加密保護，所 以在此需要將由第一 USB接口接收到的數字信息進行解密處理，此時解密的密鑰可以預置 在本發明設備的中央控制單元內，并利用此密鑰進行解密處理。
[0179] 步驟1303、在解密后的數字信息中提取需要交易的數字信息；
[0180] 在此，將數字信息中關于此次交易的敏感信息進行提取，如姓名，賬號，金額等，但 不局限于此。
[0181] 步驟1304、在設備的輸出單元（如顯示屏）上顯示交易信息；
[0182] 步驟1305、用戶比對交易信息后，通過物理控制單元進行確認；
[0183] 在此，用戶通過本發明設備的輸出單元顯示屏所顯示的信息和上位機（即通過第 一USB接口連接的第一設備），如PC或智能移動終端屏幕上所顯示的交易信息比對，如果彼 此相互一致，則通過物理控制單元進行確認，否則用戶使用本發明設備的取消按鍵取消本 次交易。
[0184] 步驟1306、設備控制導通開關連接，并保持5分鐘；
[0185] 在此，用戶通過物理控制單元成功確認本次交易信息后，本發明設備導通開關閉 合，并啟動第二USB接口及其所連接的設備開始工作。
[0186] 步驟1307、設備通過第二USB接口將數字信息發送給USBkey，由USBkey完成針對 第一 USB接口傳入數據信息的電子簽名；
[0187] 在此，第二USB接口會識別其所連接的USB設備，并在正確識別成USBKey后，將待 電子簽名的數字信息發送給USBKey完成簽名工作，此部分的詳細說明見圖14。
[0188] 如圖14所示是本發明設備通過第二USB接口連接第二設備（以下以USBKey為例 進行說明）的流程圖，其步驟見下：
[0189] 步驟1401、導通開關已閉合，設備開啟USB主設備模式，并進行初始化；
[0190] 在此，上電或初始化時，先復位USB控制器、初始化硬件配置、設置終端、設置 Buffer (緩沖區）大小等。使USB主控制器處于正確的工作狀態。真正用于發送到總線的 數據被放置與內部的緩沖區內。
[0191] 步驟1402、判斷上拉電平是否為高，如果是高，進入步驟1413,如果不是，重復判 斷；
[0192] 在此，首先，捕捉設備的插入。USB設備是即插即用設備，系統在設備插入的瞬間 要捕捉這一信息，USB接口的D+和D-的每一根都有一個15k歐的下拉電阻。而設備在D+ 或D-上有一個1. 5K的上卡電阻。當設備插入到主端口時，設備首先判斷上拉電阻的電平 來判斷設備是否插入。
[0193] 步驟1403、確認USB從設備插入；
[0194] 在此，如果設備的上拉電阻信號為高。此信號報告給本發明設備USB主控制器，然 后在處理器的接口上產生中斷信號，此時處理器確認USB從設備插入。
[0195] 步驟1404、讀取從設備寄存器；
[0196] 在此，本發明設備收到中斷后，通過讀取有關寄存器來了解諸如從設備速度等有 關的彳目息。
[0197] 步驟1405、判斷是否為新設備，如果是則進入步驟1406,如果不是則轉入步驟 1413 ；
[0198] 在此，本發明設備通過讀取從設備相關寄存器判斷是否為新設備。如果是新設備， 執行步驟1406主設備USB重啟。如果是已注冊過的設備，直接執行步驟1413設備進入可 操作狀態。
[0199] 步驟1406、主設備USB重啟；
[0200] 在此，本發明設備設置相關寄存器，使設備的USB線處在重啟狀態（D+、D_均為邏 輯低）。
[0201] 步驟 1407、延時 10ms ;
[0202] 步驟1408、完成枚舉；
[0203] 在此，本發明設備釋放重啟狀態，設備就處在默認狀態了。此時設備已準備發送 EndpointO默認流程來響應控制流程。本發明設備通過控制傳輸通道完成設備的枚舉。
[0204] 步驟1409、主設備給新USB從設備分配地址；
[0205] 在此，本發明設備中央控制單元先送一個Get_Descriptor (獲取描述符）請求來 知道默認流程最大包的大小，隨后發送請求給分配設備地址〇,端點0。然后通過發送一個 Set_Address (設定地址）請求來分配一個單獨的地址給設備。
[0206] 步驟1410、新USB從設備返回確認并保存地址；
[0207] 在此，新USB從設備讀取這個請求，返回一個確認并保存新的地址。
[0208] 步驟1411、主設備獲取新從設備完整描述符；
[0209] 在此，主設備在知道設備的能力后，給新地址發送一個Get_Descriptor請求來讀 取這個設備完整的描述符，包括EndpointO最大包的大小，設備支持的配置號，以及該設備 的其他信息。主機將這些信息用于往后的通訊中。
[0210] 步驟1412、主設備對新從設備進行配置；
[0211] 在此，主設備發出（Set_configuration)設定配置請求，以該配置號配置設備。
[0212] 步驟1413、從設備進入可操作狀態；
[0213] 到此設備就完全處于可操作狀態了。
[0214] 步驟1414、主設備確認是否是USBKey ;
[0215] 在此，主設備會讀取從設備的內部信息或產品唯一序列號，判斷是否是USBKey以 及本網銀系統所支持的USBKey，如果正確則進入步驟1415,否則進入步驟1418。
[0216] 步驟1415、主設備向USBKey傳輸數據；
[0217] 在此，主設備會將由第一 USB接口接到的待電子簽名的數字信息發送給USBKey， 同時也會要求用戶輸入此USBKey的PIN 口令，以驗證用戶使用權限。
[0218] 步驟1416、USBKey完成電子簽名并上傳結果；
[0219] 步驟1417、結束USB主設備模式；
[0220] 在此，當USBKey完成了一次完整的電子簽名操作時，返回信息要求上位機結束本 次連接，關閉USB主設備模式。
[0221] 步驟1418、向上位機（即第一接口連接的PC或智能手機）返回錯誤信息。
[0222] 在此，由于主設備發現所接入的USB從設備不是USBKey或不是本網銀系統所支持 的電子簽名設備，則向上位機報錯，并進入步驟1417。
[0223] 可理解地，本發明方案的應用范圍除網銀應用外，還包括：網上購買彩票，網上證 卷，網上報稅以及網上簽約等各種需要電子簽名認證應用中。
[0224] 網上購買彩票應用中，用戶可在網絡上選擇其需要購買的彩票號碼，用戶所購買 的彩票號碼會在本發明的設備的顯示屏上顯示，用戶需要通過物理按鍵進行確認后，使用 本發明設備自帶的簽名功能，或由插入其第二接口的電子簽名設備完成簽名。若利用插入 第二接口的電子簽名設備完成電子簽名的同時，可以完成電子支付，此過程可以由對應的 系統提供軟件功能完成。本發明設備只提供電子支付中所需要的電子簽名能力。
[0225] 網上證卷，網上報稅中的應用與以上類似，需要將用戶購買的證卷代碼或報稅中 的關鍵信息在本發明的顯示屏上顯示，并需要用戶物理按鍵確認，利用自身或第二USB接 口插入的設備完成電子簽名。
[0226] 網上簽約應用中，將合同金額，合同對象等信息提示用戶進行確認。
[0227] 利用本發明擴展設備及方法可以增加不具有輸出設備和物理控制功能的電子簽 名認證設備的電子簽名認證的安全性，使其兼容于現有電子簽名認證系統，且本發明擴展 設備可通過具體的高智能安全芯片具備電子簽名認證功能，增加了擴展設備的實用性。
[0228] 本領域的技術人員應該明白，上述的本申請實施例所提供的裝置和/或系統的各 組成部分，以及方法中的全部或部分步驟可通過程序來指令相關硬件完成，所述程序可以 存儲于計算機可讀存儲介質中，如只讀存儲器、磁盤或光盤等。它們可以集中在單個的計算 裝置上，或者分布在多個計算裝置所組成的網絡上。可選地，它們可以用計算裝置可執行的 程序代碼來實現。從而，可以將它們存儲在存儲裝置中由計算裝置來執行，或者將它們分別 制作成各個集成電路模塊，或者將它們中的多個模塊或步驟制作成單個集成電路模塊來實 現。這樣，本發明不限制于任何特定的硬件和軟件結合。
[0229] 本發明實施例中所描述的各種單元、模塊僅是根據其功能進行劃分的一種示例， 可理解地，在系統/裝置/設備實現相同功能的情況下，本領域技術人員可給出一種或多種 其他功能劃分方式，在具體應用時可將其中任意一個或多個功能模塊采用一個功能實體裝 置或單元實現，不可否認地，以上變換方式均在本申請保護范圍之內。
[0230] 雖然本發明所揭露的實施方式如上，但所述的內容僅為便于理解本發明而采用的 實施方式，并非用以限定本發明。任何本發明所屬領域內的技術人員，在不脫離本發明所揭 露的精神和范圍的前提下，可以在實施的形式及細節上進行任何的修改與變化，但本發明 的專利保護范圍，仍須以所附的權利要求書所界定的范圍為準。
【權利要求】
1. 一種電子簽名認證擴展設備，其特征在于，所述設備包括： 第一接口，用于與具有運行電子簽名客戶端功能的第一設備連接； 第二接口，用于與具有電子簽名認證功能的第二設備連接； 中央控制單元，與所述第一接口、第二接口、輸出單元和物理控制單元連接，用于提取 通過所述第一接口接收的數字信息，并發送給輸出單元，以及在物理控制單元接收到用戶 確認操作后，通過所述第二接口向第二設備發送數字信息，還用于從第二接口接收簽名后 的數字信息并通過所述第一接口發送； 輸出單元，用于顯示所述中央控制單元提取的數字信息； 物理控制單元，用于接收用戶的確認操作。
2. 如權利要求1所述的設備，其特征在于：所述中央控制單元還包括由主控芯片實現 的接口狀態控制模塊，用于檢測所述第一接口連接的設備接口狀態，若為接口主設備狀態， 則設置所述第一接口為接口從設備，若為接口從設備狀態，則設置所述第一接口為接口主 設備，還用于設置所述第二接口為接口主設備狀態。
3. 如權利要求2所述的設備，其特征在于：所述中央控制單元還包括設備識別模塊，當 設置第一接口為接口主設備狀態時，用于識別第一接口連接的設備是否為用于具有運行電 子簽名客戶端功能的第一設備，當設置第二接口為接口主設備狀態時，用于識別第二接口 連接的設備是否為具有電子簽名認證功能的第二設備，僅當第一接口連接的設備為第一設 備時，所述信息處理模塊進行與第一設備之間的處理，以及當第二接口連接的設備為第二 設備時，所述信息處理模塊進行與第二設備之間的處理。
4. 如權利要求1至3中任一項項所述的設備，其特征在于：所述設備還包括導通開關， 用于基于所述中央控制單元的控制或用戶操作實現所述中央控制單元與所述第二接口的 連接和斷開，所述中央控制單元接收所述數字信息后，控制所述導通開關導通與所述第二 接口之間的連接；接收所述簽名后的數字信息預定時間后，控制所述導通開關斷開與所述 第二接口之間的連接。
5. 如權利要求1至3中任一項項所述的設備，其特征在于：所述中央控制單元還包括 采用智能安全芯片或一體化芯片實現的電子簽名認證模塊，用于實現電子簽名認證功能， 所述中央控制單元的電子簽名認證模塊與所述第二設備實現相同或不同業務或應用的電 子簽名認證。
6. 如權利要求1至3中任一項項所述的設備，其特征在于：所述第一接口與所述第一 設備以及所述第二接口與所述第二設備直接連接或通過轉接器連接。
7. 如權利要求1至3中任一項項所述的設備，其特征在于：所述輸出單元以文字顯示 或語音播放的方式輸出所述數字信息。
8. 如權利要求1至3中任一項項所述的設備，其特征在于：所述第二接口與所述第二 設備采用電路搭橋或接口對接的方式連接。
9. 如權利要求1至3中任一項項所述的設備，其特征在于：所述物理控制單元采用光 感按鍵、薄膜按鍵或鍋仔片實現。
10. 如權利要求1至3中任一項項所述的設備，其特征在于：所述設備包括電池，所述 物理控制單元包括用于控制設備開啟、關閉的開關鍵，所述開關鍵處于開通狀態，則所述電 池提供電源。
11. 如權利要求1至3中任一項項所述的設備，其特征在于：所述中央控制單元還包括 電源控制模塊，用于實現電源管理，包括：在第一設備為個人計算機（PC)時，采用外部電源 為所述設備供電、充電。
12. 如權利要求1至3中任一項項所述的設備，其特征在于：所述中央控制單元采用智 能安全芯片和主控芯片實現，或采用通用CPU芯片和主控芯片實現，或采用一體化芯片實 現。
13. -種信息處理方法，應用于具有電子簽名認證功能擴展設備，其特征在于，所述設 備包括第一接口、第二接口、中央控制單元、輸出單元和物理控制單元，該方法包括： 中央控制單元通過第一接口接收并提取第一設備發送的用于電子簽名認證的數字信 息； 輸出單元輸出所述數字信息，物理控制單元接收用戶輸入的確認操作信息； 中央控制單元通過第二接口將所述數字信息發送給與第二接口連接的第二設備； 中央控制單元接收所述第二設備通過第二接口發送的簽名后的數字信息并發送給第 一設備。
14. 如權利要求13所述的方法，其特征在于：通過所述第一接口接收、提取所述數字信 息前，該方法還包括： 中央控制單元檢測第一接口連接的設備接口狀態； 中央控制單元根據檢測結果設置第一接口的接口狀態，若為接口主設備狀態，則設置 所述第一接口為接口從設備，若為接口從設備狀態，則設置所述第一接口為接口主設備。
15. 如權利要求13所述的方法，其特征在于：當設置第一接口為接口主設備狀態時，通 過所述第一接口接收、提取所述數字信息前，該方法還包括： 中央控制單元識別所述第一接口連接的設備為具有運行電子簽名客戶端功能的第一 設備； 或，通過所述第二接口將所述數字信息發送給與所述第二設備前，該方法還包括中央 控制單元識別所述第二接口連接的設備為具有電子簽名認證功能的第二設備。
16. 如權利要求13所述的方法，其特征在于，所述設備還包括導通開關，接收用戶輸入 的確認操作信息后，該方法還包括：所述中央控制單元控制所述導通開關導通中央控制單 元與第二接口之間的連接；接收所述簽名后的數字信息預定時間后，控制所述導通開關斷 開中央控制單元與第二接口之間的連接。
【文檔編號】G06F21/34GK104102869SQ201310127794
【公開日】2014年10月15日 申請日期:2013年4月12日 優先權日:2013年4月12日
【發明者】胡鵬, 吳勻, 陳杰, 靳松 申請人:北京旋極信息技術股份有限公司