文件阅读器、数据对象阅读程序及计算机程序产品

摘要

本发明公开了一种用于文件(101)的阅读器，该文件(101)具有存储至少一个数据对象(104)的数据存储器(103)，其中，通过执行密码协议来实现从外部阅读和访问对数据对象；该阅读器包括：一第一接口(142′)，其用于从可移动的数据存储设备(180)中读取识别码(184)，并实现从外部阅读和访问数据对象(104)；以及一第二接口(154)，其用于对执行密码算法的密码组件(160；174)进行访问，其中，执行密码算法的一个结果(172)将用于密码协议中，而密码组件的访问受所述识别码的保护。

说明书

技术领域

本发明涉及文件阅读器(特别是有价文件和安全文件)和阅读储存在这种文件存储器内的数据对象的程序及计算机程序产品。

背景技术

现有技术已经公开了多种不同形式的具有集成电路的文件(或证书)。例如，这样的文件多数为纸基形式，如用作电子护照或芯片卡，特别是所谓的智能卡，其在设计上可以具有接触式或非接触式或具有双接口(界面)。

现有技术也公开了用于各种这样文件的无线识别系统，也可以称为射频识别(RFID)系统。已知的RFID系统大致至少包括一个转发器(或称应答器，Transponder)和一个无线收发单元(Sende-Empfangseinheit)。转发器还称为RFID标记器(Etikett)、RFID芯片、RFID标签(Tag)、RFID标帖(Label)或无线标帖；无线收发单元还称为阅读装置或读取器。除此之外，通常可通过所谓的中间设备，实现与伺服器、服务器和其它类似系统的结合，如收银系统或商品管理系统。

储存在RFID转发器上的数据可通过电磁波得到。对于低频率，可通过附近电磁场的感应实现；对于较高的频率，可通过电磁远场实现。RFID转发器(或称RFID应答器)可以被寻址和读取的距离随着设计方式(主动/被动)、使用的频带、场强度和其它环境影响而改变，从几厘米到超过一公里。

RFID转发器通常包括芯片和天线，其位于壳体中的载体上或者印刷在基片上。另外，主动RFID转发器包括能源，如电池。

RFID转发器可以用于不同的文件，特别是芯片卡，例如，为了实现电子钱夹或者电子票，或整合到纸张内，例如，整合到价值文件或安全文件内，特别是纸币和识别文件。

例如，DE20100158U1中公开了一种识别和安全卡片，其由分层的和/或注塑的塑料物质做成，其包括带有天线的、整合的半导体，以用于实现RFID过程。另外，从专利DE102004008841A1，可知一种书-型价值文件，例如护照，其包括转发器单元。

在现有技术中，这种安全文件或者有价文件部分是以芯片卡的形式出现。卡内可以安装一个带触点接口或者无触点接口，比如无线射频识别(RFID)接口。通过这个接口可以与芯片卡终端进行接触式或者非接触式通讯。最近，也研发出双重接口芯片卡。无触点芯片卡通讯协议和程序可以参照标准ISO14443的要求。

这种带无线射频识别(RFID)功能的文件的缺点是：如果文件放在持有人的皮夹里，不需要得到文件持有人的同意，无线射频识别(RFID)接口就能识别。防止非法读取储存在这类文件中的数据的保护机制称为基础访问控制(BasicAccessControl)，参照国际民用航空组织(ICAO)2004年01月10日出版的机器可读旅行文件只读公钥基础设施技术报告“机器可读旅行文件(MRTDs)”第1.1版

(http://www.icao.int/mrtd/download/documents/TR-PKI％20mrtds％20ICC％2Oread-only％20access％20v1 1.pdf)。

在现有技术中，另外还可以在密码保护的前提下通过程序储存数据。在过去的20年中，广泛推广的一种受保护存储器形式是电子芯片卡，ISO7816第1至第15部分对此给出了标准。芯片卡技术的使用范围主要是机器可读旅行文件，以期望提高特别是国际空运中乘客检查的的安全性和效率。

将私人数据安全存储到机器可读旅行文件中的目的是通过大量国家和非国家机构来简化安全检查，防止非法读取私人数据。这两个要求的适度平衡既造成数据保护类型的区别，也对单个数据对象的保护级别不同。

US2005/0097320A1公开了一种可以实现用户与机构(比如银行)之间通讯的系统。这种通讯可以通过网络实现，当用户登录到机构系统中后，进行“交易风险评估”，计算出实际交易的风险。

US2002/0087894A1公开了一种类似的系统，但是用户可以自己选择数据传输的安全等级。

发明内容

本发明的目的是提供一种新型的可以阅读带有数据存储器的文件的文件阅读器，以及从这种文件的数据存储器中读取数据对象的程序和相应的计算机程序。

上述本发明的目的可分别由独立权利中记载的技术方案来实现；而从属权利要求中则给出了本发明的优选实施方式。

本发明提供了一种用于阅读文件的阅读器，该文件具有一个至少储存了一个数据对象的数据存储器。为了防止非授权读取数据对象，从外部阅读和访问数据对象的前提条件是执行密码协议。

根据本发明设计的阅读器，其具有第一接口，该接口用于读取可移动的数据存储器中的识别码，并随后从外部阅读和访问数据对象。根据本发明，“从外部阅读和访问(extemen Lesezugriff)”是将数据对象从文件转移到阅读器上。

上述的阅读器还具有第二接口，该接口用于访问执行密码算法的密码组件(kryptographische Komponente)，密码算法的结果将用于密码协议中。密码组件的访问受识别码的保护。

这种阅读器的特别优势在于：第一接口既可用于读取可移动数据存储器的识别码，也可用于从外部阅读和访问文件数据存储器上所储存的数据对象。因此，第一接口具有双重作用，并且不需要通过键盘来输入识别码。另外，它还具有远程控制优势，允许指导全面的安全计划。

通过第一接口从可移动数据存储器中读取识别码，可以起到保护密码组件而防止非授权使用的目的。比如，在处理芯片卡(如签名卡)的密码组件时，识别码通过第二接口传到芯片卡，自动接通通讯。

另一种方式是，或者另外可以通过服务器计算机来处理密码组件，阅读器可以通过第二接口与其建立通讯。第二接口与服务器计算机之间可以通过网络建立通讯，比如虚拟专用网(VPN)。要与密码组件建立网络连接，需要通过第二接口输入识别码。

根据本发明的一种具体实施方式，阅读器拥有执行密码协议的工具。在这种情况下，第二接口用于请求执行密码组件的密码算法，并接收密码算法的结果。而用于执行密码协议的工具则如此设计，其生成该请求并应用该结果，以用于执行密码协议。优选的方式是通过外部单元来处理密码组件，比如可与第二接口相分离的芯片卡或者服务器计算机。另一种方式是，密码组件也可以是阅读器的一个不可缺少的组成部分，其与第二接口相连，不可分开。

从原则上讲，根据本发明所设计的密码协议可以是以插件(Einsatz)形式出现的，尤其是可以根据文件中所储存的数据对象的机密程度或者保护等级来选择不同安全等级的密码协议。例如，下列密码协议可以作为插件：查问应答鉴别(Challenge-Response)、基于椭圆曲线的Diffie-Hellmann(EC-DH)或者基于有限域的Diffie-Hellmann(klassischer DH)、Fiat-Shamir协议、零知识程序(Zero-Knowledge Verfahren)、肓签章(Blind-Signatures)等。

这些密码协议都是在使用一个或者多个密码算法或者机制的前提下才能运行。根据本发明，原则上密码算法是作为插件形式出现，尤其是根据数据对象的保护等级来选择密码算法。可以作为插件的密码算法比如有：对称密码算法如数据加密标准算法(DES)或国际数据加密算法(IDEA)，或者非对称密码算法，如RSA加密算法、椭圆曲线数据签名算法(ECDSA)或者数据签名算法(DSA)。

这些密码算法都是以密码钥匙为基础，必须妥善保存，以保证相应密码验证的可信度。例如，在对称密码算法中，要妥善保存密码钥匙(多级程序中可能需要多个密码钥匙)；而在非对称密码算法中，由于它是以密码钥匙组为基础，就必须妥善保存密码钥匙组中的私人密码钥匙(＂PrivateKey＂)。

优选地，密码算法不是由阅读器本身执行的，而是由单独的密码组件通过第二接口与阅读器建立通讯。阅读器本身可与文件一起执行密码协议，而密码算法则要求阅读器或者有权使用者给出秘密的密码钥匙后，才能通过密码组件执行。

这种阅读器的优势在于：密码钥匙不必要保存在阅读器中，因为阅读器不需要密码钥匙，而密码组件在执行密码算法时需要密码钥匙。由此提高了密码验证的可信度，因为不需要在大量阅读器中储存秘密的密码钥匙，相反其只存在于密码组件中，可以防止秘密的密码钥匙被非法访问。

根据本发明的一种具体实施方式，阅读器从有价文件或者安全文件中至少读取一个数据对象，特别是支付手段、证件，比如旅游护照、身份证、签证、驾驶执照或者同类型证件。

本发明中，文件可以是纸基的文件，如电子旅游护照、签证和/或者芯片卡，特别是所谓的智能卡。

根据本发明的一种具体实施方式，阅读器的第一接口可以以接触式地或者非接触式地从外部阅读和访问数据对象。另外，这个接口可以实现接触式或非接触式通讯，也就是说，它可以是双重接口。特别地，其可以是无线射频识别(RFID)接口。

根据本发明的一种具体实施方式，阅读器具有密码应用程序，用于执行至少一个密码协议。比如，应用程序可以通过阅读器的第二接口读取密码组件，通过阅读器的第一接口成功执行密码协议后执行文件数据对象的从外部阅读和访问。根据应用范围，应用程序接下来也可以发送、显示和/或者继续修改数据对象。

阅读器针对密码组件的第二接口可以是带触点芯片卡接口、无触点芯片卡接口或者是双重芯片卡接口。在这种情况下，密码组件可以是带受保护储存区的芯片卡，其中至少储存一个密码钥匙和一个微处理器来执行密码算法。通过芯片卡接口和与之相连的芯片卡阅读器，阅读器可以读取密码组件，以要求执行密码算法并接收密码组件的相应结果。芯片卡阅读器可以是根据本发明设计的阅读器的一个不可缺少的部分，也可以是与阅读器相连的一个外置设备。

根据本发明的一种具体实施方式，阅读器与密码组件之间通过应用协议数据单元(APDUs)来实现数据交换。在这种情况下，阅读器可以根据密码组件的要求以“APDU命令”形式执行密码算法。密码组件也以“APDU响应”的形式进行回答，它包含了执行密码算法的结果。

根据本发明的一种具体实施方式，阅读器的第二接口可以是网络接口，外置服务器计算机可以作为密码组件，比如它应该于特别受保护的环境中，特别是安全信任中心(Trust-Center)。尤其是通过网络读取密码组件时至少要由识别码来保护。

根据本发明的另一种具体实施方式，阅读器实现使用芯片卡或者服务器计算机作为秘码组件。比如，阅读器的第二接口用于与芯片卡通讯或通过网络进行通讯。

根据本发明的一种具体实施方式，阅读器是可移动的。这实现了阅读器的一种移动插件。这种具体实施方式的优势在于：当阅读器的第二接口作为密码组件与芯片卡进行通讯时，如果没有网络连接，阅读器同样可以使用。

根据本发明的一种具体实施方式，文件包含光学可读数据，比如印在文件中数据。例如，光学可读数据可以是ICAO行。阅读器可以安装一个光学感应器，以捕捉光学可读数据。

根据本发明的一种具体实施方式，由阅读器捕捉的光学数据用于执行密码协议。例如，捕捉的光学数据可以用于执行数据库访问，以计算储存有分配了密码协议的数据对象的相关文件。另外，从捕捉的光学数据可以引导出密码钥匙，用于执行密码协议。因此，文件的数据必须光学可读，此外还要保证基础访问控制(Basic Access Control)。

根据本发明的一种具体实施方式，阅读器执行至少两个不同的密码协议。这就实现了从文件中读取分配了不同密码协议的不同的数据对象。比如，数据对象是头像，另外的数据对象可以是电子旅行护照持有人的指纹。因为数据对象的保护等级不同，相应地，根据安全等级给数据对象所分配的密码协议也不同。通过阅读器从外部阅读和访问数据对象的前提条件是：成功执行给相关数据对象分配的密码协议。

根据本发明的一种具体实施方式，文件是一种证件。如，证件可以是信用卡大小的芯片卡，或者其它尺寸的文件，如旅行护照或Visa。根据国际民航组织(ICAO)电子护照标准化的要求，证件可以是机器可读旅行文件。国际民航组织(ICAO)对LDS数据结构的机械可读旅行文件的定义是：一种满足芯片卡标准ISO7816-4的数据系统，及在数据系统中所储存数据的互操作性结构。

根据本发明的一种具体实施方式，阅读器与文件之间的通讯是无接触的，标准ISO/IEC14443第1至第4部分特别要求通过无触点接口进行通讯，这与国际民航组织(ICAO)要求的机器可读旅行文件是一样的。

为了避免第三方非授权进行无触点通讯，尤其在分配表中给不同的数据对象进一步分配了不同安全等级的密码协议，阅读器与文件根据密码协议进行密码通讯。阅读器与文件以安全的方式交换一个或者多个会议密码，或者执行双方认证，作为一个或者多个会议密码的结果。

根据本发明的一种具体实施方式，第一接口无触点设计。例如，第一接口接收移动数据存储器的识别码，通过电磁连接接收文件的数据对象。在本发明的这种实施方式中，第一接口作为无线射频识别(RFID)接口通过近场与移动数据存储器和文件建立通讯，第一接口的无触点结构简化了对移动数据存储器和文件的控制。与此相反，如果作为芯片卡接口来读取签名卡的数据，第二接口的结构就是带触点接口。这样就可以实现密码组件与阅读器之间特别安全的通讯形式。

根据本发明的一种具体实施方式，储存了识别码的可移动数据载体是带一个无触点接口(特别是无线射频识别(RFID)接口)的芯片卡。这种芯片卡另外也称为“印章卡”。例如，一个部门拥有一个或者多个根据本发明设计的阅读器，至少有一个印章卡。每天早上打开阅读器时，在印章卡的辅助下自动读取密码组件。密码组件接通后，可以把印章卡从阅读器中取出，放到安全的地方保管，比如保险箱。

根据本发明的一种具体实施方式，限制密码组件接通的持续时间。当规定的持续时间结束时，必须重新读取印章卡的识别码，重新接通密码组件。因此，这是对非法使用阅读器的特殊防护。当密码组件接通的情况下盗走阅读器，规定的持续时间结束后就不能使用阅读器。

根据本发明的一种具体实施方式，如果与第二接口断开，或者重新与第二接口连接，都必须重新启动密码组件。这也是对非法使用阅读器或者密码组件的特殊防护，当密码组件和阅读器被盗走时，没有印章卡就不能接通密码组件。

根据本发明的一种具体实施方式，阅读器具有与电网电源相连的电源件(整流器)。优选地，阅读器不是电池驱动，这也是对非法使用阅读器的一种防护。当阅读器被盗走时，因为强行与电网电源分离，为了继续使用密码组件需要印章卡重新激活密码组件，没有印章卡就不能激活密码组件。

根据本发明的一种具体实施方式，阅读器具有第三个接口来捕捉文件的光学可读数据。在执行密码协议时需要使用光学可读数据。例如，第三个接口可以是CCD感应器或者是扫描器。光学读取的数据可以形成密码钥匙，用于执行密码协议。

根据本发明的一种具体实施方式，阅读器通过显示设备来显示至少一个从文件数据存储器中读取的数据对象。显示设备安装在阅读器的基底，可移动。

证件的所有者可以通过这种方式来证明储存在证件数据存储器中的数据的正确性。为此，证件的所有者将证件交给政府工作人员，比如发行这种证件的权威机关。工作人员在印章卡的辅助下读取密码组件。然后读取文件数据存储器中的内容，所读取的内容(如证件所有者的个人数据、一张存储在数据存储器中的头像、指纹和/或者其它数据)都显示在显示设备上，这样证件的所有者就可以证明其正确性。

这样，其特别的优点在于：如果显示设备安装在阅读器的基底上并可以转动，政府工作人员可以转动显示设备，证件所有者就可以清楚地校对资料。阅读器的第一个和第二接口安装在基底上，方便政府工作人员在座位上使用。

另一方面，本发明提供了一种从文件数据存储器中读取至少一个数据对象的程序方法，其包括如下步骤：通过阅读器的第一接口从移动数据存储器中读取识别码；在识别码的辅助下，通过阅读器的第二接口接通进行访问的一个密码组件，该密码组件设计成可执行密码算法；在使用密码算法结果的前提下执行密码协议，允许对文件从外部阅读和访问；在允许访问后，从数据存储器中读取数据对象。

再一方面，本发明提供了一种执行上述程序方法的计算机程序产品。

借助附图，下文详细描述本发明的优选实施例，其中：

附图说明

图1是根据本发明设计的阅读器的第一具体实施方式的方框图，

图2是根据本发明设计的阅读器的第二具体实施方式的方框图，

图3是根据本发明方法的一种具体实施方式的流程图，

图4是根据本发明设计的阅读器的一种具体实施方式的透视图。

具体实施方式

在下面针对附图的说明中，相应的元件使用相同的附图标记。

图1显示的是文件101的阅读器100，文件101可以是一本电子旅行护照。

电子设备102整合在文件101中。电子设备102可以是整合的电子开关电路。电子设备102具有用于至少一个数据对象104的电子存储器103。数据对象104含有需保护的数据，比如文件102所有者的个人和/或者生物数据。例如，数据对象104包含头像、指纹和/或者文件101所有者的Irisscan数据。

另外，电子设备102具有一个处理器105，用来执行程序指令124，它内置了由电子设备102执行的密码协议步骤。

电子设备102具有接口142，用来与阅读器100的相应接口142′和芯片卡180的相应接口142＂建立通讯联系。芯片卡180可以是“印章卡”，它具有存储器182，其中储存了识别码184。通过在接口142′和142＂之间建立通讯联系，阅读器100可以从芯片卡180中读取识别码184。

接口142，142′，142”的结构有三种：带触点的、不带触点的或者双重接口。尤其是接口142，142′或者142”可以形成无线射频识别(RFID)系统。无触点结构接口142，142′和142”的优点在于：简化了对芯片卡180和文件101的控制。

数据对象104储存在存储器103中，并受到保护。只有在成功执行密码协议后，才能通过接口142从外部阅读和访问数据对象104。

阅读器100具有存储器150，用于储存接口142′通过通讯联系148接收到的数据对象104。

阅读器100的处理器152与接口142′及阅读器100的另一个接口154相连。处理器152执行包含程序指令124′的密码应用程序156，用于执行由阅读器100执行的密码协议步骤。另外，密码应用程序156含有程序指令188，它用于限制芯片卡160的接通时间。接通时间限制也可以由阅读器100和/或者芯片卡160中的其它软件或者硬件来实现。比如，程序指令188的结构是：芯片卡160接通后，规定的持续时间结束后要求在芯片卡180的辅助下重新接通芯片卡160，以便继续读取芯片卡160中的数据。

密码应用程序156可以是用于执行进出关检查，特别是护照检查或者类似检查的应用程序。

在这种具体实施方式中，接口154作为芯片卡接口。阅读器100包含一个芯片卡阅读器158，其中可以插入芯片卡160。通过接口154和芯片卡阅读器158，密码应用程序156与芯片卡160建立通讯。它可以通过应用协议数据单元(APDUs)或者通过其它的请求-响应协议进行通讯。

芯片卡160具有存储器162，其中至少储存了一个对称或者非对称密码钥匙164。密码钥匙164位于受保护的储存区，这样不能从芯片卡160中读取密码钥匙164。

芯片卡160具有处理器166，用来执行内置了密码算法的程序指令168。例如，在储存在存储器162中的密码钥匙164的辅助下，对称或者非对称密码可以读取处理器166。

为了检查文件101，比如护照检查，必须从阅读器100中读取数据对象104。对此，首先要在阅读器100(也就是接口142’)和芯片卡180之间建立通讯联系186，这样阅读器100才可以接收储存在芯片卡180的存储器182中的识别码184。密码应用程序186通过接口154把识别码184传送给芯片卡160，以接通芯片卡。

其优点在于：可以取消人工输入个人识别码(PIN)来接通芯片卡160。另一个优点在于：可以取消通过键盘输入这种识别码。

接通芯片卡160后，开始执行程序指令188，来实现限时功能。另外通过密码应用程序156来执行读取文件101中数据对象104所要求的密码协议。

对此，密码应用程序156开始程序指令124′，并将信号通过接口142′和通讯联系148传送给文件101的接口142，这样用于执行密码协议的相应程序指令124就开始工作了。

所应用的密码协议可以是基于对称密码钥匙的查问应答程序，这个对称式密码钥匙是作为密码钥匙164储存在芯片卡160中。但是如果把这个密码钥匙储存在储存器103的受保护储存区内，文件101也可以使用这个密码钥匙。

程序指令124生成验证码。处理器105读取存储器103，从中读取对称式密码钥匙。在对称式密码钥匙的辅助下，由程序指令124将验证码译成密码。译成密码的验证码由接口142通过通讯联系148传给接口142′，再被密码应用程序156接收。

然后，程序指令124′生成命令170，比如APDU命令，它包含被文件101接收的代码，也就是译成密码的验证码，以及通过储存在芯片卡160中的密码钥匙164解开代码的要求。芯片卡阅读器158将命令170传送给芯片卡160。

处理器166在根据命令170开始执行程序指令168，这样在密码钥匙164的帮助下解开带命令170的验证代码。程序指令168生成回复172，也就是回复APDU，它包含解码结果。

回复172由芯片卡160通过芯片卡阅读器158和接口154传送给密码应用程序156。通过执行程序指令124′从回复172中读取解码结果，并通过接口142′、通过联系148和接口142传送给文件101。通过执行程序指令124，文件101检验解码结果是否与原始生成的验证码一致。如果一致，密码钥匙164必须与储存在存储器103的保护储存区内的文件101的对称式密码钥匙一致。成功执行密码协议后，阅读器100才能允许从外部阅读和访问数据对象104。

然后，数据对象104被接口142通过通讯联系148传送给接口142′，由密码应用程序156将其储存在存储器150中。这样，数据对象104就可以显示在显示器(比如阅读器100的LCD显示器或者与阅读器100连接的外置显示器)上或者可以通过数据修改步骤进一步修改。

如果密码协议是基于非对称式密码钥匙组的查问应答程序，比如：

储存在芯片卡160中的密码钥匙组由密码钥匙164和所属的公共密码钥匙组成。公共密码钥匙储存在芯片卡160的非保护储存区，它可以由芯片卡阅读器158读取。

为了执行密码协议，程序指令124′首先生成APDU命令，从芯片卡160中读取公共密码钥匙。通过执行程序指令124′，阅读器100将公共密码钥匙通过通讯联系148传送给文件101。

程序指令124再生成验证码，并在公共密码钥匙的辅助下译成密码。由此所得出的代码由文件101通过通讯联系148传送给阅读器100。这样，程序指令124′生成命令170，用来解开由文件101接收的代码。通过执行程序指令168，在密码钥匙164的帮助下，芯片卡160解开代码。

程序指令168生成回复172，它包含解码结果。通过执行程序指令124′，将解码结果通过通讯联系148传送给文件101，再通过执行程序指令124，将解码结果与原始生成的验证码对比。如果一致，则成功执行密码协议，文件101就允许从外部阅读和访问数据对象104。

从文件101中读取数据对象104后，在阅读器100的辅助下来可以读取与文件101类似或者结构一样的其它文件，但是前提条件是芯片卡160处于接通状态，也就是说由限时功能规定的接通芯片卡160后的持续时间还没有结束。当最大持续时间结束后，接口154受到程序指令188的控制，芯片卡160暂时与阅读器100断开。这时要求通过芯片卡180重新接通芯片卡160，也就是说重新建立通讯联系186，以读取识别码184，并在识别码184的辅助下接通芯片卡160。

图2显示的是阅读器100的另一种具体实施方式，在这种具体实施方式中，接口154作为网络接口。在这种具体实施方式中，服务器计算机作为密码组件，它可以通过网络176与阅读器100通讯。比如，服务器计算机174可以位于安全信任中心(Trust-Center)。用来在服务器计算机174的处理器166上执行密码算法的程序指令168可以指示应用程序设计接口178，它可以被程序指令124′识别。

这样，阅读器100与服务器计算机174可以通过带查问应答协议(比如超文本传输协议(HTTP)的网络176建立通讯。另外，安全超文本传输协议(HTTPS)也可以通过其它受保护的网络读取来建立虚拟专用网(VPN)联系或者通讯。

在这个具体实施方式中，命令170要求执行密码算法，程序指令124′生成相应的请求，而服务器计算机174则给出答复172，也就是“应答”，其中包含了执行密码算法的结果。

阅读器100为读取服务器计算机184，要求首先从芯片卡180中读取识别码184。与图1中所介绍的具体实施方式一样，在接口142′和142＂之间建立通讯联系186，这样阅读器100就可接收识别码184。

在一种具体实施方式中，密码应用程序156接收识别码184，并通过接口154和网络176传递给服务器计算机174，以执行阅读器100密码算法168。在另外一个具体实施方式中，在服务器计算机174和网络176之间建立通讯联系，并受到识别码184的保护。在这种情况下，网络176可以是所谓的虚拟专用网(VPN)。但是只有识别码184正确，阅读器100才能与虚拟专用网(VPN)176相连。

在一种具体实施方式中，芯片卡180的识别码184是稳定的，并且不能改变。在这种情况下，芯片卡180只能作为纯存储卡。而在另一种形式下，识别码184是可以改变的。比如，识别码184在规定的时间段内根据预置的算法变化。在这种情况下，芯片卡180则作为处理器卡，芯片卡180的处理器就可以执行生成识别码184的预置算法。

根据本发明所推荐的具体实施方式，阅读器100具有其它光学接口，它可以由光学感应器179形成。光学感应器179用于捕捉印刷字样118或者文件101的相应显示。在这种具体实施方式中，为了执行密码协议，首先要在光学感应器180的辅助下读取文件101的印刷字样116，然后再捕捉包含在印刷字样116中的数据。在数据的辅助下，处理器152和/或者服务器计算机174生成密码钥匙，它用于执行密码协议。在密码钥匙164的辅助下，从印刷字样116中引导出另一个密码钥匙。

图3显示的是根据本发明设计的程序的一种具体实施方式的流程图：

首先，印章卡(比如存储芯片卡或者处理器芯片卡)与阅读器的无触点接口建立联系。如果接口是无线射频识别(RFID)接口，将印章卡放置在阅读器预置的放置区上，就可以与阅读器的无触点接口建立联系。在阅读器和印章卡之间建立电磁连接，在第202步中就可以从印章卡中读取识别码。

第204步，阅读器用识别码接通密码组件(如签名卡或者外置服务器计算机)并选择网络(例如虚拟专用网(VPN))，通过受保护的网络读取外置密码组件。接通后，第206步将印章卡从阅读器中取出，再将印章卡保存到一个安全的地方，以防止偷盗或者非授权使用。

第208步，将印章卡放置到阅读器预置的放置区内，文件与阅读器的无触点接口建立联系。

第210步，阅读器与文件之间建立通讯联系。阅读器通过通讯联系发送信号，由此开始密码协议。根据所使用的密码协议，阅读器从文件那接收到用于执行密码协议的数据，比如用于查问应答程序中的译成密码的验证码。

第212步，阅读器生成执行密码算法的要求，比如在密码钥匙的帮助下，文件获得解码的数据。阅读器将这个要求传送给外置密码组件，比如芯片卡(参照图1的具体实施方式)或者服务器计算机(参照图2的具体实施方式)。

接收到要求后，密码组件执行密码算法。比如，密码组件将由阅读器根据要求接收到的数据进行解码，这个过程需要应用储存在密码组件中的密码钥匙。密码组件针对要求生成回复，它包含执行密码算法的结果。第214步，阅读器从密码组件接收带结果的回复。

第216步，阅读器和/或者文件应用在第214步接收到的用于执行密码算法的结果，继续执行密码协议。

在应用查问应答程序的验证码时，阅读器将解码结果传送给文件，再将解码结果与原始生成的验证码进行对比。

成功执行了密码协议后，第218步读取储存在文件保护储存区的数据对象，再通过通讯联系将其传送至阅读器。阅读器或者文件可以直接读取。

第220步，阅读器接收数据对象。根据使用情况，可以在阅读器的显示器(比如LCD显示器或者屏幕)上显示数据对象。

如果数据对象比如是头像，则在屏幕上显示头像，这样就可以检查所显示的头像是否与文件中打印的护照照片一致。另外，相应地，可以将数据对象与储存在数据库中的参考物相对比。

如果数据对象是指纹数据、Irisscan数据或者其它生物数据，就可以检查文件所有者相应的生物特性。对此，要将相应的设备连接到阅读器，以捕捉相关的生物数据，比如指纹或者Iriss扫描仪。

阅读器将文件所有者扫描的数据与在数据对象中包含的生物数据相对比，以保证文件的真实性。

之后可以将文件与阅读器断开(第224步)。为了读取其它文件，返回到第208步，第210步到212步重新读取其它文件。如果密码组件处于接通状态，只要重复操作，这个程序可以读取很多不同的文件。

密码组件的最长接通时间是预置的时间参数。每一次接通阅读器和/或者每一次将密码组件与阅读器的第二接口断开，都需要接通密码组件。

图4用透视图的方式说明根据本发明设计的阅读器100的一种具体实施方式。阅读器100具有基底190，它包含芯片卡阅读器158。从基底190的正面192，可以将芯片卡(参照图1的芯片卡160)插入芯片卡阅读器158。

基底190的上部194是放置区196。放置区196属于阅读器的接口，用于与印章卡和文件之间的通讯(对照图1和图2的接口142′)。这种具体实施方式的接口是无触点接口，比如无线射频识别(RFID)接口。

另外，在上部194安装了显示设备198，如TFT纯平显示器、LCD显示器或者同类型的显示器，它们可以围绕轴199转动。显示设备198用于显示从文件(参照图1和图2的文件101)中读取的数据对象。显示设备198可以围绕轴199转动，这样从阅读器100的背面197也可以看得清楚。

为了简化对阅读器100的控制，轴199从正面192出来安装在放置区196的后面，这样如果工作人员对着阅读器的正面192，更加便于证明机关的工作人员在座位上使用放置区和芯片卡阅读器158。同时也便于面对工作人员坐在阅读器另一面的人，也就是证件的所有者，观察显示设备，使其了解显示的数据。

阅读器100具有电源部分，它与线195相连，阅读器通过插座193获得电源。

阅读器100与插座193接通后，或者在打开阅读器100后，如下：证明机关的工作人员从正面192将签字卡(参照图1的芯片卡160)推入芯片卡阅读器158。证明机关的工作人员然后将芯片卡180，也就是印章卡，放到放置区196。阅读器100读取储存在芯片卡180中的识别码，并应用它接通签字卡。

然后将芯片卡180与放置区196断开，证明机关的工作人员将其取回并放到安全的保管位置。

接通签字卡后，阅读器100准备读取文件，特别是证件(参照图1和图2的文件)。将这种文件放在放置区196，就可以与阅读器100建立通讯联系148(参照图1和图2)。

如果被盗取的阅读卡100不带签字卡，未授权的第三方则不能读取文件，因为第三方缺少要求的签字卡和印章卡。只有同时盗取阅读器100和签字卡，第三方才不是非法使用阅读器。盗取阅读器后，阅读器被迫与电网电源断开，重新接通阅读器100时需要印章卡，也就是芯片卡180，以接通签字卡。

附图标记清单：

100 阅读器

101 文件

102 电子设备

103 电子存储器

104 数据对象

105 处理器

106 排序表

108 密码协议

109 带钥匙协议

110 应用软件

112 运行系统

116 印刷字样

118 印刷字样

120 私钥

122 数字签字

124，124’ 密码协议

125，125’ 密码协议

128，128’ 接收器

130，130’ 发送器

140 功能管理器

142，142’，142” 接口

146，146’ 公钥

148 通讯联系

150 存储器

152 处理器

154 接口

156 密码应用程序

158 芯片卡阅读器

160 芯片卡

162 存储器

164 密码钥匙

166 处理器

168 密码算法

170 请求

172 应答

174 服务器计算机

176 网络

178 应用程序接口

179 光学感应器

180 芯片卡

182 存储器

184 识别码

186 通讯联系

188 程序指令

190 基底

192 正面

193 插座

194 上部

195 线

196 放置区

197 背面

198 显示设备

199 围绕轴