密钥分发方法和系统转让专利
申请号 : CN200810172970.4
文献号 : CN101729503A
文献日 : 2010-06-09
发明人 : 马景旺
申请人 : 中兴通讯股份有限公司
摘要 :
本发明公开了一种密钥分发方法和系统,该方法包括:卡片发行商管理平台生成应用提供商对应的从安全域的初始密钥,将初始密钥、用于外部认证的可信任根公钥导入到从安全域,并向应用提供商管理平台发送从安全域的信息以及初始密钥;应用提供商管理平台接收从安全域的信息以及初始密钥,并根据从安全域的信息以及初始密钥通过业务终端选择智能卡的从安全域;应用提供商管理平台生成从安全域的公密钥和私密钥以及从安全域证书,并将公密钥和私密钥以及从安全域证书加密后发送到从安全域。通过上述处理,能够提高从安全域密钥分发的安全性。
权利要求 :
1.一种密钥分发方法,其特征在于,所述方法包括:
卡片发行商管理平台生成应用提供商对应的从安全域的初始密钥,将所述初始密钥、用于外部认证的可信任根公钥导入到所述从安全域,并向应用提供商管理平台发送所述从安全域的信息以及所述初始密钥;
所述应用提供商管理平台接收所述从安全域的信息以及所述初始密钥,并根据所述从安全域的信息以及所述初始密钥通过所述业务终端选择所述智能卡的从安全域;
所述应用提供商管理平台生成所述从安全域的公密钥和私密钥以及从安全域证书,并将所述公密钥和所述私密钥以及所述从安全域证书加密后发送到所述从安全域。
2.根据权利要求1所述的方法,其特征在于,所述卡片发行商管理平台生成所述初始密钥的具体处理为:所述应用提供商管理平台通过所述业务终端判断智能卡中是否存在对应于所述应用提供商的从安全域;
在判断为是的情况下,所述智能卡中已存在所述应用提供商的从安全域,不再进行安全域的创建和密钥的分发过程;
在判断为否的情况下,所述应用提供商管理平台通过所述卡片发行商管理平台在所述智能卡上创建所述从安全域,并由所述卡片发行商管理平台生成所述初始密钥。
3.根据权利要求2所述的方法,其特征在于,所述应用提供商管理平台通过所述卡片发行商管理平台在所述智能卡上创建所述从安全域的具体处理为:所述卡片发行商管理平台通过所述应用提供商管理平台与所述智能卡进行通信,选择所述智能卡的主安全域并与所述主安全域建立安全通道;
所述卡片发行商管理平台通过所述安全通道通知所述主安全域建立所述应用提供商对应的从安全域;
所述主安全域在所述智能卡上建立所述从安全域。
4.根据权利要求1所述的方法,其特征在于,在所述应用提供商管理平台接收所述卡片发行商管理平台发送的所述从安全域的信息以及所述初始密钥之后,所述方法进一步包括:所述应用提供商管理平台在其数据库中记录所述从安全域的信息。
5.根据权利要求1所述的方法,其特征在于,在所述应用提供商管理平台根据所述从安全域的信息以及所述初始密钥通过所述业务终端选择所述智能卡的从安全域之后,所述方法进一步包括:所述应用提供商管理平台与所述从安全域建立安全信道。
6.根据权利要求1所述的方法,其特征在于,在所述应用提供商管理平台将所述公密钥和所述私密钥以及所述从安全域证书经过加密后发送到所述从安全域之后,所述方法进一步包括:所述从安全域将所述初始密钥更新为所述公私密钥,并将所述从安全域证书写入到所述从安全域。
7.一种密钥分发系统,其特征在于包括:
卡片发行商管理平台,包括:
生成模块,用于生成与应用提供商对应的从安全域的初始密钥;
导入模块,用于将所述初始密钥、用于外部认证的可信任根公钥导入到所述从安全域;
第一发送模块,用于向应用提供商管理平台发送所述从安全域的信息以及所述初始密钥;
所述应用提供商管理平台,包括:
接收模块,用于接收所述卡片发行商管理平台的所述从安全域的信息以及所述初始密钥;
选择模块,用于根据所述从安全域的信息以及所述初始密钥通过所述业务终端选择所述智能卡的从安全域;
生成模块,用于生成所述从安全域的公密钥和私密钥以及从安全域证书;
第二发送模块,用于将所述公密钥和所述私密钥以及所述从安全域证书加密后发送到所述从安全域,完成从安全域密钥的分发;
所述业务终端,用于通过读写设备与智能卡建立通信,并建立所述智能卡与所述应用提供商管理平台之间的连接;
所述智能卡,位于移动终端,包括所述从安全域,其中所述从安全域用于根据所述应用提供商管理平台发送的所述初始密钥以及所述可信任根公钥进行设置,并根据所述应用提供商管理平台发送的所述公密钥和所述私密钥以及所述从安全域证书进行设置,并安装所述从安全域证书。
8.根据权利要求7所述的系统,其特征在于,所述应用提供商管理平台进一步包括:判断模块,用于通过所述业务终端判断所述智能卡中是否存在对应于所述应用提供商的从安全域;
创建模块,用于在判断为否的情况下,通过所述卡片发行商管理平台在所述智能卡上创建所述从安全域。
9.根据权利要求7所述的系统,其特征在于,所述应用提供商管理平台进一步包括:记录模块,用于在接收所述卡片发行商管理平台发送的所述从安全域的信息以及所述初始密钥之后,在其数据库中记录所述从安全域的信息。
10.根据权利要求7所述的系统,其特征在于,所述应用提供商管理平台进一步包括:建立安全信道模块,用于在根据所述从安全域的信息以及所述初始密钥通过所述业务终端选择所述智能卡的从安全域之后,与所述从安全域建立安全信道。
说明书 :
技术领域
本发明涉及通信领域,并且特别地,涉及一种密钥分发方法和系统。
背景技术
在相关技术中,近场通信技术(Near Field Communication,简称为NFC)是工作于13.56MHz的一种近距离无线通信技术,该技术由射频识别(Radio Frequency Identification,简称为RFID)技术及互连技术融合演变而来。手机等移动通信终端在集成NFC技术后,可以模拟非接触式IC卡,用于电子支付的相关应用;此外,在移动通信终端上实现该方案需要在终端上增加NFC模拟前端芯片和NFC天线,并使用支持电子支付的智能卡。
IC卡特别是非接触式IC卡经过十多年的发展,已经被广泛应用于公交、门禁、小额电子支付等领域;与此同时,手机经历20多年的迅速发展后,其应用已经基本得到普及,并且给人们的工作及生活带来了很大的便利,随着手机的功能越来越强大,将手机和非接触式IC卡技术结合,将手机应用于电子支付领域,会进一步扩大手机的使用范围,给人们的生活带来便捷,存在着广阔的应用前景。
在相关技术中,为实现基于NFC技术的移动电子支付,需要建立移动终端电子支付系统,并通过该系统实现对移动终端电子支付的管理,其中,移动终端电子支付系统包括:智能卡的发行、电子支付应用的下载、安装和个人化、以及采用相关技术和管理策略实现电子支付的安全等。
安全域是卡外实体包括卡片发行商和应用提供商在卡上的代表,它们包含用于支持安全通道协议运作以及卡内容管理的加密密钥。安全域负责它们自己的密钥管理,这保证了来自不同应用提供者的应用和数据可以共存于同一个卡上。安全域的密钥采用非对称密钥体制时,安全域上的密钥和证书需要包括:安全域的公钥和私钥、安全域的证书、用于认证卡外实体证书的可信任根公钥。
应用提供商在智能卡上的安全域为从安全域,在将应用提供商的电子支付应用下载并安装到智能卡之前,需要在智能卡上先通过卡片发行商拥有的智能卡主安全域创建应用提供商的从安全域,然后设置从安全域的密钥。
安全域密钥作为机密数据,需要采取可靠及安全的方法和技术将有关密钥和证书导入到从安全域,实现从安全域密钥的安全分发,其中,从安全域的创建需要由卡片发行商管理平台指示智能卡上的主安全域创建,而且从安全域创建完成后,从安全域的初始密钥需要由卡片发行商管理平台负责设置和分发。
从安全域创建完成后,卡发行商管理平台可以通知应用提供商管理平台生成从安全域的公私密钥对和证书;应用提供商管理平台生成从安全域的公私密钥对和证书后,再由卡发行商管理平台通过智能卡主安全域将从安全域公私密钥对和证书发送给从安全域,由此完成从安全域的密钥分发。
在上述情况下,卡片发行商管理平台负责密钥数据的传送时可以获得发送的安全域密钥数据,可能使用获得的密钥对从安全域执行操作,这样会对应用提供商的电子支付应用安全造成威胁,因此,急需一种解决从安全域密钥的分发不安全的问题的技术方案。
IC卡特别是非接触式IC卡经过十多年的发展,已经被广泛应用于公交、门禁、小额电子支付等领域;与此同时,手机经历20多年的迅速发展后,其应用已经基本得到普及,并且给人们的工作及生活带来了很大的便利,随着手机的功能越来越强大,将手机和非接触式IC卡技术结合,将手机应用于电子支付领域,会进一步扩大手机的使用范围,给人们的生活带来便捷,存在着广阔的应用前景。
在相关技术中,为实现基于NFC技术的移动电子支付,需要建立移动终端电子支付系统,并通过该系统实现对移动终端电子支付的管理,其中,移动终端电子支付系统包括:智能卡的发行、电子支付应用的下载、安装和个人化、以及采用相关技术和管理策略实现电子支付的安全等。
安全域是卡外实体包括卡片发行商和应用提供商在卡上的代表,它们包含用于支持安全通道协议运作以及卡内容管理的加密密钥。安全域负责它们自己的密钥管理,这保证了来自不同应用提供者的应用和数据可以共存于同一个卡上。安全域的密钥采用非对称密钥体制时,安全域上的密钥和证书需要包括:安全域的公钥和私钥、安全域的证书、用于认证卡外实体证书的可信任根公钥。
应用提供商在智能卡上的安全域为从安全域,在将应用提供商的电子支付应用下载并安装到智能卡之前,需要在智能卡上先通过卡片发行商拥有的智能卡主安全域创建应用提供商的从安全域,然后设置从安全域的密钥。
安全域密钥作为机密数据,需要采取可靠及安全的方法和技术将有关密钥和证书导入到从安全域,实现从安全域密钥的安全分发,其中,从安全域的创建需要由卡片发行商管理平台指示智能卡上的主安全域创建,而且从安全域创建完成后,从安全域的初始密钥需要由卡片发行商管理平台负责设置和分发。
从安全域创建完成后,卡发行商管理平台可以通知应用提供商管理平台生成从安全域的公私密钥对和证书;应用提供商管理平台生成从安全域的公私密钥对和证书后,再由卡发行商管理平台通过智能卡主安全域将从安全域公私密钥对和证书发送给从安全域,由此完成从安全域的密钥分发。
在上述情况下,卡片发行商管理平台负责密钥数据的传送时可以获得发送的安全域密钥数据,可能使用获得的密钥对从安全域执行操作,这样会对应用提供商的电子支付应用安全造成威胁,因此,急需一种解决从安全域密钥的分发不安全的问题的技术方案。
发明内容
考虑到相关技术中由于卡片发行商管理平台负责密钥数据的传送时可以获得发送的安全域密钥数据而导致的从安全域密钥的分发不安全的问题而提出本发明,为此,本发明的主要目的在于提供一种密钥分发方法和系统,以解决相关技术中存在的上述问题。
根据本发明的一个方面,提供了一种密钥分发方法。
根据本发明的密钥分发方法包括:卡片发行商管理平台生成应用提供商对应的从安全域的初始密钥,将初始密钥、用于外部认证的可信任根公钥导入到从安全域,并向应用提供商管理平台发送从安全域的信息以及初始密钥;应用提供商管理平台接收从安全域的信息以及初始密钥,并根据从安全域的信息以及初始密钥通过业务终端选择智能卡的从安全域;应用提供商管理平台生成从安全域的公密钥和私密钥以及从安全域证书,并将公密钥和私密钥以及从安全域证书加密后发送到从安全域。
其中,卡片发行商管理平台生成初始密钥的具体处理为:应用提供商管理平台通过业务终端判断智能卡中是否存在对应于应用提供商的从安全域;在判断为是的情况下,智能卡中已存在应用提供商的从安全域,不再进行安全域的创建和密钥的分发过程;在判断为否的情况下,应用提供商管理平台通过卡片发行商管理平台在智能卡上创建从安全域,并由卡片发行商管理平台生成初始密钥。
其中,应用提供商管理平台通过卡片发行商管理平台在智能卡上创建从安全域的具体处理为:卡片发行商管理平台通过应用提供商管理平台与智能卡进行通信,选择智能卡的主安全域并与主安全域建立安全通道;卡片发行商管理平台通过安全通道通知主安全域建立应用提供商对应的从安全域;主安全域在智能卡上建立从安全域。
此外,在应用提供商管理平台接收卡片发行商管理平台发送的从安全域的信息以及初始密钥之后,上述方法进一步包括:应用提供商管理平台在其数据库中记录从安全域的信息。
此外,在应用提供商管理平台根据从安全域的信息以及初始密钥通过业务终端选择智能卡的从安全域之后,上述方法进一步包括:应用提供商管理平台与从安全域建立安全信道。
此外,在应用提供商管理平台将公密钥和私密钥以及从安全域证书经过加密后发送到从安全域之后,上述方法进一步包括:从安全域将初始密钥更新为公私密钥,并将从安全域证书写入到从安全域。
根据本发明的另一方面,提供了一种密钥分发系统。
根据本发明的密钥分发系统包括:卡片发行商管理平台,包括,生成模块,用于生成与应用提供商对应的从安全域的初始密钥;导入模块,用于将初始密钥、用于外部认证的可信任根公钥导入到从安全域;第一发送模块,用于向应用提供商管理平台发送从安全域的信息以及初始密钥;应用提供商管理平台,包括:接收模块,用于接收卡片发行商管理平台的从安全域的信息以及初始密钥;选择模块,用于根据从安全域的信息以及初始密钥通过业务终端选择智能卡的从安全域;生成模块,用于生成从安全域的公密钥和私密钥以及从安全域证书;第二发送模块,用于将公密钥和私密钥以及从安全域证书加密后发送到从安全域,完成从安全域密钥的分发;业务终端,用于通过读写设备与智能卡建立通信,并建立智能卡与应用提供商管理平台之间的连接;智能卡,位于移动终端,包括从安全域,其中从安全域用于根据应用提供商管理平台发送的初始密钥以及可信任根公钥进行设置,并根据应用提供商管理平台发送的公密钥和私密钥以及从安全域证书进行设置,并安装从安全域证书。
此外,应用提供商管理平台进一步包括:判断模块,用于通过业务终端判断智能卡中是否存在对应于应用提供商的从安全域;创建模块,用于在判断为否的情况下,通过卡片发行商管理平台在智能卡上创建从安全域。
此外,应用提供商管理平台进一步包括:记录模块,用于在接收卡片发行商管理平台发送的从安全域的信息以及初始密钥之后,在其数据库中记录从安全域的信息。
此外,应用提供商管理平台进一步包括:建立安全信道模块,用于在根据从安全域的信息以及初始密钥通过业务终端选择智能卡的从安全域之后,与从安全域建立安全信道。
借助于本发明的技术方案,通过应用提供商的业务终端对从安全域密钥进行分发,解决了相关技术中由于卡片发行商管理平台负责密钥数据的传送时可以获得发送的安全域密钥数据而导致的从安全域密钥的分发不安全的问题,能够避免遭受其它潜在的安全威胁和攻击,提高了应用提供商从安全域密钥分发的安全性。
本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
根据本发明的一个方面,提供了一种密钥分发方法。
根据本发明的密钥分发方法包括:卡片发行商管理平台生成应用提供商对应的从安全域的初始密钥,将初始密钥、用于外部认证的可信任根公钥导入到从安全域,并向应用提供商管理平台发送从安全域的信息以及初始密钥;应用提供商管理平台接收从安全域的信息以及初始密钥,并根据从安全域的信息以及初始密钥通过业务终端选择智能卡的从安全域;应用提供商管理平台生成从安全域的公密钥和私密钥以及从安全域证书,并将公密钥和私密钥以及从安全域证书加密后发送到从安全域。
其中,卡片发行商管理平台生成初始密钥的具体处理为:应用提供商管理平台通过业务终端判断智能卡中是否存在对应于应用提供商的从安全域;在判断为是的情况下,智能卡中已存在应用提供商的从安全域,不再进行安全域的创建和密钥的分发过程;在判断为否的情况下,应用提供商管理平台通过卡片发行商管理平台在智能卡上创建从安全域,并由卡片发行商管理平台生成初始密钥。
其中,应用提供商管理平台通过卡片发行商管理平台在智能卡上创建从安全域的具体处理为:卡片发行商管理平台通过应用提供商管理平台与智能卡进行通信,选择智能卡的主安全域并与主安全域建立安全通道;卡片发行商管理平台通过安全通道通知主安全域建立应用提供商对应的从安全域;主安全域在智能卡上建立从安全域。
此外,在应用提供商管理平台接收卡片发行商管理平台发送的从安全域的信息以及初始密钥之后,上述方法进一步包括:应用提供商管理平台在其数据库中记录从安全域的信息。
此外,在应用提供商管理平台根据从安全域的信息以及初始密钥通过业务终端选择智能卡的从安全域之后,上述方法进一步包括:应用提供商管理平台与从安全域建立安全信道。
此外,在应用提供商管理平台将公密钥和私密钥以及从安全域证书经过加密后发送到从安全域之后,上述方法进一步包括:从安全域将初始密钥更新为公私密钥,并将从安全域证书写入到从安全域。
根据本发明的另一方面,提供了一种密钥分发系统。
根据本发明的密钥分发系统包括:卡片发行商管理平台,包括,生成模块,用于生成与应用提供商对应的从安全域的初始密钥;导入模块,用于将初始密钥、用于外部认证的可信任根公钥导入到从安全域;第一发送模块,用于向应用提供商管理平台发送从安全域的信息以及初始密钥;应用提供商管理平台,包括:接收模块,用于接收卡片发行商管理平台的从安全域的信息以及初始密钥;选择模块,用于根据从安全域的信息以及初始密钥通过业务终端选择智能卡的从安全域;生成模块,用于生成从安全域的公密钥和私密钥以及从安全域证书;第二发送模块,用于将公密钥和私密钥以及从安全域证书加密后发送到从安全域,完成从安全域密钥的分发;业务终端,用于通过读写设备与智能卡建立通信,并建立智能卡与应用提供商管理平台之间的连接;智能卡,位于移动终端,包括从安全域,其中从安全域用于根据应用提供商管理平台发送的初始密钥以及可信任根公钥进行设置,并根据应用提供商管理平台发送的公密钥和私密钥以及从安全域证书进行设置,并安装从安全域证书。
此外,应用提供商管理平台进一步包括:判断模块,用于通过业务终端判断智能卡中是否存在对应于应用提供商的从安全域;创建模块,用于在判断为否的情况下,通过卡片发行商管理平台在智能卡上创建从安全域。
此外,应用提供商管理平台进一步包括:记录模块,用于在接收卡片发行商管理平台发送的从安全域的信息以及初始密钥之后,在其数据库中记录从安全域的信息。
此外,应用提供商管理平台进一步包括:建立安全信道模块,用于在根据从安全域的信息以及初始密钥通过业务终端选择智能卡的从安全域之后,与从安全域建立安全信道。
借助于本发明的技术方案,通过应用提供商的业务终端对从安全域密钥进行分发,解决了相关技术中由于卡片发行商管理平台负责密钥数据的传送时可以获得发送的安全域密钥数据而导致的从安全域密钥的分发不安全的问题,能够避免遭受其它潜在的安全威胁和攻击,提高了应用提供商从安全域密钥分发的安全性。
本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
附图说明
附图用来提供对本发明的进一步理解,并且构成说明书的一部分,与本发明的实施例一起用于解释本发明,并不构成对本发明的限制。在附图中:
图1是根据本发明实施例的密钥分发系统的框图;
图2是根据本发明实施例的密钥分发方法的流程图;
图3是根据本发明实施例的密钥分发方法的详细处理过程的信令流程图。
图1是根据本发明实施例的密钥分发系统的框图;
图2是根据本发明实施例的密钥分发方法的流程图;
图3是根据本发明实施例的密钥分发方法的详细处理过程的信令流程图。
具体实施方式
功能概述
在相关技术中,由于卡片发行商管理平台负责密钥数据的传送时可以获得发送的安全域密钥数据,会导致应用提供商的从安全域密钥的分发不安全的问题,因此,本发明提供了一种密钥分发方法和系统,具体包括:卡片发行商管理平台生成应用提供商对应的从安全域的初始密钥,将初始密钥、用于外部认证的可信任根公钥导入到从安全域,并向应用提供商管理平台发送从安全域的信息以及初始密钥;应用提供商管理平台接收从安全域的信息以及初始密钥,并根据从安全域的信息以及初始密钥通过业务终端选择智能卡的从安全域;应用提供商管理平台生成从安全域的公密钥和私密钥以及从安全域证书,并将公密钥和私密钥以及从安全域证书加密后发送到从安全域。
以下结合附图对本发明的优选实施例进行说明,应当理解,此处所描述的优选实施例仅用于说明和解释本发明,并不用于限定本发明。
方法实施例
系统实施例
根据本发明的实施例,提供了一种密钥分发系统,图1是根据本发明实施例的密钥分发系统的框图,目前,移动终端近距离电子支付系统的业务框架采用Global Platform规范的多应用框架,在支持Global Platform规范的智能卡上可以安装多个应用,并被分隔为若干个独立的安全域,以保证多个应用相互之间的隔离以及独立性,各个应用提供商管理各自的安全域以及应用、应用数据等,上述提到的支持Global Platform规范的智能卡指的是符合环球平台(GlobalPlatform,简称为GP)组织制定的环球平台卡规范2.1.1或2.2版本(Global Platform Card Specification V2.1.1或V2.2)的IC芯片或智能卡,从物理形式上可以为SIM/USIM卡、可插拔的智能存储卡或者集成在移动终端上的IC芯片。
基于近场通信的移动终端电子支付系统的框架要求满足GlobalPlatform Card Specification V2.1.1/V2.2规范,如果该系统支持GP2.1.1规范,则安全通道协议就需要支持基于对称密钥(SecurityChannel Protocol 02,简称为SCP02);如果该系统支持GP2.2规范,安全通道协议需要支持SCP02和基于非对称密钥(Security ChannelProtocol 10,简称为SCP10),并且,卡片发行商、应用提供商可以根据安全策略的需求进行选择。
移动终端近距离支付系统从业务架构上可以包括卡片发行商、应用提供商和用户,其中:
卡片发行商:负责卡的发行和管理,拥有卡片管理系统、密钥管理系统和证书管理系统,其中,仅在支持非对称密钥情况下使用证书管理系统。此外,卡片发行商对卡的资源和生命周期、密钥、证书进行管理,对其他应用提供商的安全域进行创建,并与其他安全域交互应用数据。卡片发行商也可以拥有应用管理系统,负责卡片发行商自己的应用或者其负责托管的应用的提供和管理功能。卡片发行商可拥有业务终端管理系统和业务终端,通过业务终端向用户提供服务。为了支持对应用提供商的管理,卡片发行商可以拥有应用提供商管理系统,通过该系统记录应用提供商的有关信息,规定应用提供商的业务权限等。
应用提供商:负责电子支付应用的提供和管理功能,拥有应用管理系统、密钥管理系统、证书管理系统,其中,仅在支持非对称密钥情况下使用证书管理系统。此外,应用提供商提供各种业务应用,并对卡上与其对应的安全域进行管理,对其安全域的应用密钥、证书、数据等进行控制,提供应用的安全下载功能。应用提供商可以是运营商、银行、公交公司、零售商户等。另外,应用提供商可拥有业务终端管理系统和业务终端,通过业务终端向用户提供服务。
用户:负责电子支付应用的下载、安装和使用。用户通过与卡片发行商或应用提供商交互,对移动终端和卡进行操作,在安全域内下载及安装新的应用,使用提供的各种业务应用。
移动终端电子支付系统主要由卡片发行商管理平台、应用提供商管理平台和移动终端组成,系统中可以存在多个应用提供商管理平台。
移动终端中具备支持电子支付的智能卡,为了实现智能卡的安全性管理和支付应用的下载、安装等,智能卡需要和卡片发行商管理平台以及应用提供商管理平台建立通信,可以通过管理平台的业务终端实现智能卡和管理平台的连接,业务终端配置有非接触读卡器或者直接读取智能卡的读卡器,并且业务终端可以和管理平台建立通信,从而实现智能卡和管理平台的通信。
基于近场通信技术的移动终端电子支付系统支持多电子支付应用,即,在智能卡上可以安装多个电子支付应用。为了实现支付应用的安全,智能卡采用Global Platform Card Specification V2.1/V2.2规范,智能卡被分隔为若干个独立的安全域,以保证多个应用相互之间的隔离以及独立性,各个应用提供商管理各自的安全域以及应用、应用数据等。
下面,基于上述的系统构架,对通过业务终端对从安全域密钥进行分发的密钥分发系统进行详细的说明,需要说明的是,本发明的密钥分发系统为上述基于近场通信的移动终端电子支付系统的一部分。
根据本发明的实施例,提供了一种密钥分发系统,图1是根据本发明实施例的密钥分发系统的框图。如图1所示,上述密钥分发系统包括卡片发行商管理平台10、应用提供商管理平台12、应用提供商的业务终端14、智能卡16(智能卡16位于移动终端内,其中包括主安全域和从安全域)。其中,应用提供商需要具有业务终端管理系统和业务终端14,可以通过业务终端14提供电子支付的有关服务。应用提供商管理平台12和卡片发行商管理平台10之间通过专线或者Internet连接,卡片发行商管理平台10可以通过应用提供商管理平台12及应用提供商业务终端14和智能卡16建立通信。并且,智能卡16通过应用提供商的业务终端14和应用提供商管理平台12以及卡片发行商管理平台10建立连接。下面将对上述密钥分发系统进行详细的说明。
卡片发行商管理平台10,包括:生成模块,用于生成与应用提供商对应的从安全域的初始密钥;导入模块,用于将初始密钥、用于外部认证的可信任根公钥(可信任根公钥是由签发应用提供商证书的CA提供的,可以从应用提供商管理平台获得,该公钥用于从安全域对应用提供商的证书进行认证)导入到从安全域;第一发送模块,用于向应用提供商管理平台12发送从安全域的信息以及初始密钥;并且,结合图1所示的卡发行商管理平台10,可以将生成模块、导入模块、和第一发送模块根据实际应用需要,将上述一个或多个模块设置于卡片发行商管理平台10的子系统中。
应用提供商管理平台12,包括:接收模块,用于接收卡片发行商管理平台10的从安全域的信息以及初始密钥;选择模块,用于根据从安全域的信息以及初始密钥通过业务终端14选择智能卡16的从安全域;生成模块,用于生成从安全域的公密钥和私密钥以及从安全域证书;第二发送模块,用于将公密钥和私密钥以及从安全域证书加密后发送到从安全域,完成从安全域密钥的分发;并且,结合图1所示的应用提供商管理平台12,可以将接收模块、选择模块、生成模块、和第二发送模块根据实际应用需要,将上述一个或多个模块设置于应用提供商管理平台12的子系统中。
此外,应用提供商管理平台12进一步包括:判断模块,用于通过业务终端14判断智能卡16中是否存在对应于应用提供商的从安全域;创建模块,用于在判断为否的情况下,通过卡片发行商管理平台10在智能卡16上创建从安全域。
此外,应用提供商管理平台12进一步包括:记录模块,用于在接收卡片发行商管理平台10发送的从安全域的信息以及初始密钥之后,在其数据库中记录从安全域的信息。
此外,应用提供商管理平台12进一步包括:建立安全信道模块,用于在根据从安全域的信息以及初始密钥通过业务终端14选择智能卡16的从安全域之后,与从安全域建立安全信道。
业务终端14,用于通过读写设备与智能卡16建立通信,并建立智能卡16与应用提供商管理平台12之间的连接。
智能卡16,位于移动终端,包括从安全域,其中从安全域用于根据应用提供商管理平台12发送的初始密钥以及可信任根公钥进行设置,并根据应用提供商管理平台12发送的公密钥和私密钥以及从安全域证书进行设置,并安装从安全域证书。
通过上述的处理,在卡片发行商管理平台10将从安全域的基本信息和密钥返回给应用提供商管理平台后12,应用提供商管理平台12和从安全域之间重新进行密钥分发,这时应用提供商管理平台12和智能卡16之间的通信不再经过卡片发行商管理平台10传输,而是经过应用提供商的业务终端14进行,实现了对卡片发行商管理平台10的隔离,卡片发行商管理平台10无法获得应用提供商从安全域在智能卡16上生成的从安全域密钥。另外,应用提供商管理平台12和智能卡16的通信处于一个封闭的环境内,也可以避免遭受其它潜在的安全威胁和攻击。通过本发明可以实现应用提供商从安全域密钥分发的安全。
方法实施例
根据本发明的实施例,提供了一种密钥分发方法,用于对应用提供商的从安全域进行密钥分发。图2是根据本发明实施例的密钥分发方法的流程图,如图2所示,包括以下处理(步骤S202-步骤S206):
步骤S202,卡片发行商管理平台生成应用提供商对应的从安全域的初始密钥,将初始密钥、用于外部认证的可信任根公钥导入到从安全域,并向应用提供商管理平台发送从安全域的信息以及初始密钥。
其中,在步骤S202中,通过应用提供商业务终端在智能卡中下载应用提供商的电子支付应用以前,应用提供商管理平台通过业务终端判断智能卡中是否存在对应于应用提供商的从安全域;在判断为是的情况下,智能卡中已经存在应用提供商对应的安全域,而且该安全域已经进行了密钥的分发,在这种情况下,不需要创建从安全域及进行密钥的分发,应用提供商管理平台可以将电子支付应用下载到已存在的从安全域;在判断为否的情况下,应用提供商管理平台通过卡片发行商管理平台在智能卡上创建从安全域,并由卡片发行商管理平台生成初始密钥。
其中,应用提供商管理平台通过卡片发行商管理平台在智能卡上创建从安全域的具体处理为:卡片发行商管理平台通过应用提供商管理平台与智能卡进行通信,选择智能卡的主安全域并与主安全域建立安全通道;卡片发行商管理平台通过安全通道通知主安全域建立应用提供商对应的从安全域;主安全域在智能卡上建立从安全域。
步骤S204,应用提供商管理平台接收从安全域的信息以及初始密钥,并根据从安全域的信息以及初始密钥通过业务终端选择智能卡的从安全域。
在步骤S204中,在应用提供商管理平台接收卡片发行商管理平台发送的从安全域的信息以及初始密钥之后,应用提供商管理平台在其数据库中记录从安全域的信息。
此外,在步骤S204中,在应用提供商管理平台根据从安全域的信息以及初始密钥通过业务终端选择智能卡的从安全域之后,应用提供商管理平台与从安全域建立安全信道。
步骤S206,应用提供商管理平台生成从安全域的公密钥和私密钥以及从安全域证书,并将公密钥和私密钥以及从安全域证书加密后发送到从安全域。
在步骤S206中,在应用提供商管理平台将公密钥和私密钥以及从安全域证书经过加密后发送到从安全域之后,上述方法进一步包括:从安全域将初始密钥更新为公私密钥,并将从安全域证书写入到从安全域。
下面,结合实例,对本发明的上述技术方案进行详细的说明,如图3所示,图3是根据本发明实施例的密钥分发方法的详细处理过程的信令流程图,需要说明的是,尽管下面将以图1所示的移动终端电子支付系统架构为例进行描述,但本发明的应用场景不限于图1所示移动终端电子支付系统架构。
在本实例中,应用提供商业务终端可以是应用提供商营业场所的计算机设备,可以参与处理电子支付用户信息管理、从安全域创建、密钥更新、电子支付应用下载等业务终端。并且,终端可以通过应用提供商的业务终端管理系统连接到应用提供商管理平台,业务终端与应用提供商管理平台之间的连接可以采用专线或者Internet的形式进行连接。业务终端配置有非接触式读卡器或者直接读取智能卡的读写设备,业务终端可以通过读写设备与智能卡建立通信。
在实例中,应用提供商管理平台和卡片发行商管理之间通过专线或者Internet连接,卡片发行商管理平台可以通过应用提供商管理平台及应用提供商业务终端和智能卡建立通信。
并且,通过应用提供商业务终端可以完成电子支付应用的业务申请和下载。在进行电子支付应用下载前,需要检查智能卡中是否存在属于该应用提供商的从安全域。具体的检查方式如下:
1、通过业务终端读取智能卡的特征信息ICCID,然后应用提供商管理平台根据ICCID在系统的已创建从安全域的智能卡数据库中检索该智能卡是否已经创建自己的从安全域。
2、当应用提供商在每个智能卡上的从安全域的ID相同时,可以向智能卡发送SELECT报文,报文中的对象参数为从安全域ID,如果智能卡返回的SELECT RESPONSE中指示对应的从安全域不存在时,可以判断该智能卡上不存在应用提供商的从安全域。
并且,如果不存在该应用提供商的从安全域,需要先进行从安全域的创建和从安全域的密钥分发过程。
下面将结合图3,详细说明应用提供商的从安全域的创建和密钥分发过程,包括以下处理:
1、应用提供商业务终端读取智能卡的标识信息,如智能卡的ICCID,然后将智能卡标识信息发送给应用提供商管理平台。
2、应用提供商管理平台向卡片发行商管理平台发送从安全域创建请求,在请求报文中包括应用提供商ID(ASP_ID)和智能卡标识信息ICCID等。
3、卡片发行商管理平台收到从安全域创建请求后,验证从安全域创建请求信息,并确定是否允许该请求,卡片发行商可以根据应用提供商的业务权限等确定是否允许通过应用提供商管理平台创建从安全域。
4、卡片发行商管理平台确认可以通过应用提供商管理平台创建从安全域后,卡片发行商管理平台根据智能卡ICCID在平台内的数据库中检索该智能卡的相关信息,包括智能卡主安全域ID(ISD_ID)等。
5、卡片发行商管理平台通过应用提供商管理平台向智能卡发送SELECT报文,选择智能卡的主安全域。
6、卡片发行商管理平台和智能卡主安全域按照Global PlatformCard Specification V2.2附录F Secure Channel Protocol 10的要求建立SCP10安全信道,完成双方的认证及对话密钥的协商。
7、卡片发行商管理平台向主安全域发送从安全域创建报文INSTALL[for Install]。主安全域按照报文创建从安全域,完成创建后,主安全域发送INSTALL Response给卡片发行商管理平台。
8、卡片发行商管理平台接收到从安全域创建响应并确认从安全域已创建后,生成从安全域的初始公私密钥对(对应于图2中的步骤S202)。
9、卡片发行商管理平台通过PUT KEY报文将从安全域的公私钥和外部认证使用的可信任根公钥(One Public Key for Trust Pointfor External Authentication,PK.TP_EX.AUT)发送给智能卡主安全域(对应于图2中的步骤S202)。
10、智能卡主安全域将从安全域的初始公私钥和PK.TP_EX.AUT发送给从安全域,从安全域进行初始公私钥和PK.TP_EX.AUT的设置,然后发送PUT KEY RESPONSE给卡片发行商管理平台(对应于图2中的步骤S202)。
11、卡片发行商管理平台将创建的从安全域的基本信息和智能卡的公私密钥对发送给应用提供商管理平台(对应于图2中的步骤S202)。
12、应用提供商管理平台在数据库中添加从安全域的相关信息。
13、应用提供商管理平台通过应用提供商业务终端向智能卡发送SELECT报文,选择由卡片发行商管理平台创建的从安全域(对应于图2中的步骤S204)。
14、应用提供商管理平台和从安全域按照Global Platform CardSpecification V2.2附录F Secure Channel Protocol‘10’的要求建立SCP10安全信道,完成从安全域对应用提供商管理平台的认证和对话密钥的协商(对应于图2中的步骤S204)。
15、应用提供商管理平台生成从安全域的公钥和私钥,应用提供商管理平台中的证书管理系统将从安全域的公钥和证书申请信息发给应用提供商CA,由CA签发从安全域证书(对应于图2中的步骤S206)。
16、应用提供商管理平台通过PUT KEY报文,将从安全域公私钥、证书发送给从安全域。为了保证数据的安全,在PUT KEY报文中,需要使用对话密钥将从安全域公私钥和证书进行加密(对应于图2中的步骤S206)。
17、从安全域使用对话密钥将报文进行解密,获得应用提供商管理平台发送的公私密钥对和从安全域证书;从安全域将由卡片发行商管理平台生成的初始公私钥更新为由应用提供商管理平台生成的公私钥并安装从安全域的证书。
在进行上述的处理后,应用提供商管理平台和从安全域之间可以继续进行电子支付应用的下载和安装等过程。
综上所述,借助于本发明的技术方案,通过应用提供商的业务终端对从安全域密钥进行分发,解决了相关技术中由于卡片发行商管理平台负责密钥数据的传送时可以获得发送的安全域密钥数据而导致的从安全域密钥的分发不安全的问题,能够避免遭受其它潜在的安全威胁和攻击,提高了应用提供商从安全域密钥分发的安全性。以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
在相关技术中,由于卡片发行商管理平台负责密钥数据的传送时可以获得发送的安全域密钥数据,会导致应用提供商的从安全域密钥的分发不安全的问题,因此,本发明提供了一种密钥分发方法和系统,具体包括:卡片发行商管理平台生成应用提供商对应的从安全域的初始密钥,将初始密钥、用于外部认证的可信任根公钥导入到从安全域,并向应用提供商管理平台发送从安全域的信息以及初始密钥;应用提供商管理平台接收从安全域的信息以及初始密钥,并根据从安全域的信息以及初始密钥通过业务终端选择智能卡的从安全域;应用提供商管理平台生成从安全域的公密钥和私密钥以及从安全域证书,并将公密钥和私密钥以及从安全域证书加密后发送到从安全域。
以下结合附图对本发明的优选实施例进行说明,应当理解,此处所描述的优选实施例仅用于说明和解释本发明,并不用于限定本发明。
方法实施例
系统实施例
根据本发明的实施例,提供了一种密钥分发系统,图1是根据本发明实施例的密钥分发系统的框图,目前,移动终端近距离电子支付系统的业务框架采用Global Platform规范的多应用框架,在支持Global Platform规范的智能卡上可以安装多个应用,并被分隔为若干个独立的安全域,以保证多个应用相互之间的隔离以及独立性,各个应用提供商管理各自的安全域以及应用、应用数据等,上述提到的支持Global Platform规范的智能卡指的是符合环球平台(GlobalPlatform,简称为GP)组织制定的环球平台卡规范2.1.1或2.2版本(Global Platform Card Specification V2.1.1或V2.2)的IC芯片或智能卡,从物理形式上可以为SIM/USIM卡、可插拔的智能存储卡或者集成在移动终端上的IC芯片。
基于近场通信的移动终端电子支付系统的框架要求满足GlobalPlatform Card Specification V2.1.1/V2.2规范,如果该系统支持GP2.1.1规范,则安全通道协议就需要支持基于对称密钥(SecurityChannel Protocol 02,简称为SCP02);如果该系统支持GP2.2规范,安全通道协议需要支持SCP02和基于非对称密钥(Security ChannelProtocol 10,简称为SCP10),并且,卡片发行商、应用提供商可以根据安全策略的需求进行选择。
移动终端近距离支付系统从业务架构上可以包括卡片发行商、应用提供商和用户,其中:
卡片发行商:负责卡的发行和管理,拥有卡片管理系统、密钥管理系统和证书管理系统,其中,仅在支持非对称密钥情况下使用证书管理系统。此外,卡片发行商对卡的资源和生命周期、密钥、证书进行管理,对其他应用提供商的安全域进行创建,并与其他安全域交互应用数据。卡片发行商也可以拥有应用管理系统,负责卡片发行商自己的应用或者其负责托管的应用的提供和管理功能。卡片发行商可拥有业务终端管理系统和业务终端,通过业务终端向用户提供服务。为了支持对应用提供商的管理,卡片发行商可以拥有应用提供商管理系统,通过该系统记录应用提供商的有关信息,规定应用提供商的业务权限等。
应用提供商:负责电子支付应用的提供和管理功能,拥有应用管理系统、密钥管理系统、证书管理系统,其中,仅在支持非对称密钥情况下使用证书管理系统。此外,应用提供商提供各种业务应用,并对卡上与其对应的安全域进行管理,对其安全域的应用密钥、证书、数据等进行控制,提供应用的安全下载功能。应用提供商可以是运营商、银行、公交公司、零售商户等。另外,应用提供商可拥有业务终端管理系统和业务终端,通过业务终端向用户提供服务。
用户:负责电子支付应用的下载、安装和使用。用户通过与卡片发行商或应用提供商交互,对移动终端和卡进行操作,在安全域内下载及安装新的应用,使用提供的各种业务应用。
移动终端电子支付系统主要由卡片发行商管理平台、应用提供商管理平台和移动终端组成,系统中可以存在多个应用提供商管理平台。
移动终端中具备支持电子支付的智能卡,为了实现智能卡的安全性管理和支付应用的下载、安装等,智能卡需要和卡片发行商管理平台以及应用提供商管理平台建立通信,可以通过管理平台的业务终端实现智能卡和管理平台的连接,业务终端配置有非接触读卡器或者直接读取智能卡的读卡器,并且业务终端可以和管理平台建立通信,从而实现智能卡和管理平台的通信。
基于近场通信技术的移动终端电子支付系统支持多电子支付应用,即,在智能卡上可以安装多个电子支付应用。为了实现支付应用的安全,智能卡采用Global Platform Card Specification V2.1/V2.2规范,智能卡被分隔为若干个独立的安全域,以保证多个应用相互之间的隔离以及独立性,各个应用提供商管理各自的安全域以及应用、应用数据等。
下面,基于上述的系统构架,对通过业务终端对从安全域密钥进行分发的密钥分发系统进行详细的说明,需要说明的是,本发明的密钥分发系统为上述基于近场通信的移动终端电子支付系统的一部分。
根据本发明的实施例,提供了一种密钥分发系统,图1是根据本发明实施例的密钥分发系统的框图。如图1所示,上述密钥分发系统包括卡片发行商管理平台10、应用提供商管理平台12、应用提供商的业务终端14、智能卡16(智能卡16位于移动终端内,其中包括主安全域和从安全域)。其中,应用提供商需要具有业务终端管理系统和业务终端14,可以通过业务终端14提供电子支付的有关服务。应用提供商管理平台12和卡片发行商管理平台10之间通过专线或者Internet连接,卡片发行商管理平台10可以通过应用提供商管理平台12及应用提供商业务终端14和智能卡16建立通信。并且,智能卡16通过应用提供商的业务终端14和应用提供商管理平台12以及卡片发行商管理平台10建立连接。下面将对上述密钥分发系统进行详细的说明。
卡片发行商管理平台10,包括:生成模块,用于生成与应用提供商对应的从安全域的初始密钥;导入模块,用于将初始密钥、用于外部认证的可信任根公钥(可信任根公钥是由签发应用提供商证书的CA提供的,可以从应用提供商管理平台获得,该公钥用于从安全域对应用提供商的证书进行认证)导入到从安全域;第一发送模块,用于向应用提供商管理平台12发送从安全域的信息以及初始密钥;并且,结合图1所示的卡发行商管理平台10,可以将生成模块、导入模块、和第一发送模块根据实际应用需要,将上述一个或多个模块设置于卡片发行商管理平台10的子系统中。
应用提供商管理平台12,包括:接收模块,用于接收卡片发行商管理平台10的从安全域的信息以及初始密钥;选择模块,用于根据从安全域的信息以及初始密钥通过业务终端14选择智能卡16的从安全域;生成模块,用于生成从安全域的公密钥和私密钥以及从安全域证书;第二发送模块,用于将公密钥和私密钥以及从安全域证书加密后发送到从安全域,完成从安全域密钥的分发;并且,结合图1所示的应用提供商管理平台12,可以将接收模块、选择模块、生成模块、和第二发送模块根据实际应用需要,将上述一个或多个模块设置于应用提供商管理平台12的子系统中。
此外,应用提供商管理平台12进一步包括:判断模块,用于通过业务终端14判断智能卡16中是否存在对应于应用提供商的从安全域;创建模块,用于在判断为否的情况下,通过卡片发行商管理平台10在智能卡16上创建从安全域。
此外,应用提供商管理平台12进一步包括:记录模块,用于在接收卡片发行商管理平台10发送的从安全域的信息以及初始密钥之后,在其数据库中记录从安全域的信息。
此外,应用提供商管理平台12进一步包括:建立安全信道模块,用于在根据从安全域的信息以及初始密钥通过业务终端14选择智能卡16的从安全域之后,与从安全域建立安全信道。
业务终端14,用于通过读写设备与智能卡16建立通信,并建立智能卡16与应用提供商管理平台12之间的连接。
智能卡16,位于移动终端,包括从安全域,其中从安全域用于根据应用提供商管理平台12发送的初始密钥以及可信任根公钥进行设置,并根据应用提供商管理平台12发送的公密钥和私密钥以及从安全域证书进行设置,并安装从安全域证书。
通过上述的处理,在卡片发行商管理平台10将从安全域的基本信息和密钥返回给应用提供商管理平台后12,应用提供商管理平台12和从安全域之间重新进行密钥分发,这时应用提供商管理平台12和智能卡16之间的通信不再经过卡片发行商管理平台10传输,而是经过应用提供商的业务终端14进行,实现了对卡片发行商管理平台10的隔离,卡片发行商管理平台10无法获得应用提供商从安全域在智能卡16上生成的从安全域密钥。另外,应用提供商管理平台12和智能卡16的通信处于一个封闭的环境内,也可以避免遭受其它潜在的安全威胁和攻击。通过本发明可以实现应用提供商从安全域密钥分发的安全。
方法实施例
根据本发明的实施例,提供了一种密钥分发方法,用于对应用提供商的从安全域进行密钥分发。图2是根据本发明实施例的密钥分发方法的流程图,如图2所示,包括以下处理(步骤S202-步骤S206):
步骤S202,卡片发行商管理平台生成应用提供商对应的从安全域的初始密钥,将初始密钥、用于外部认证的可信任根公钥导入到从安全域,并向应用提供商管理平台发送从安全域的信息以及初始密钥。
其中,在步骤S202中,通过应用提供商业务终端在智能卡中下载应用提供商的电子支付应用以前,应用提供商管理平台通过业务终端判断智能卡中是否存在对应于应用提供商的从安全域;在判断为是的情况下,智能卡中已经存在应用提供商对应的安全域,而且该安全域已经进行了密钥的分发,在这种情况下,不需要创建从安全域及进行密钥的分发,应用提供商管理平台可以将电子支付应用下载到已存在的从安全域;在判断为否的情况下,应用提供商管理平台通过卡片发行商管理平台在智能卡上创建从安全域,并由卡片发行商管理平台生成初始密钥。
其中,应用提供商管理平台通过卡片发行商管理平台在智能卡上创建从安全域的具体处理为:卡片发行商管理平台通过应用提供商管理平台与智能卡进行通信,选择智能卡的主安全域并与主安全域建立安全通道;卡片发行商管理平台通过安全通道通知主安全域建立应用提供商对应的从安全域;主安全域在智能卡上建立从安全域。
步骤S204,应用提供商管理平台接收从安全域的信息以及初始密钥,并根据从安全域的信息以及初始密钥通过业务终端选择智能卡的从安全域。
在步骤S204中,在应用提供商管理平台接收卡片发行商管理平台发送的从安全域的信息以及初始密钥之后,应用提供商管理平台在其数据库中记录从安全域的信息。
此外,在步骤S204中,在应用提供商管理平台根据从安全域的信息以及初始密钥通过业务终端选择智能卡的从安全域之后,应用提供商管理平台与从安全域建立安全信道。
步骤S206,应用提供商管理平台生成从安全域的公密钥和私密钥以及从安全域证书,并将公密钥和私密钥以及从安全域证书加密后发送到从安全域。
在步骤S206中,在应用提供商管理平台将公密钥和私密钥以及从安全域证书经过加密后发送到从安全域之后,上述方法进一步包括:从安全域将初始密钥更新为公私密钥,并将从安全域证书写入到从安全域。
下面,结合实例,对本发明的上述技术方案进行详细的说明,如图3所示,图3是根据本发明实施例的密钥分发方法的详细处理过程的信令流程图,需要说明的是,尽管下面将以图1所示的移动终端电子支付系统架构为例进行描述,但本发明的应用场景不限于图1所示移动终端电子支付系统架构。
在本实例中,应用提供商业务终端可以是应用提供商营业场所的计算机设备,可以参与处理电子支付用户信息管理、从安全域创建、密钥更新、电子支付应用下载等业务终端。并且,终端可以通过应用提供商的业务终端管理系统连接到应用提供商管理平台,业务终端与应用提供商管理平台之间的连接可以采用专线或者Internet的形式进行连接。业务终端配置有非接触式读卡器或者直接读取智能卡的读写设备,业务终端可以通过读写设备与智能卡建立通信。
在实例中,应用提供商管理平台和卡片发行商管理之间通过专线或者Internet连接,卡片发行商管理平台可以通过应用提供商管理平台及应用提供商业务终端和智能卡建立通信。
并且,通过应用提供商业务终端可以完成电子支付应用的业务申请和下载。在进行电子支付应用下载前,需要检查智能卡中是否存在属于该应用提供商的从安全域。具体的检查方式如下:
1、通过业务终端读取智能卡的特征信息ICCID,然后应用提供商管理平台根据ICCID在系统的已创建从安全域的智能卡数据库中检索该智能卡是否已经创建自己的从安全域。
2、当应用提供商在每个智能卡上的从安全域的ID相同时,可以向智能卡发送SELECT报文,报文中的对象参数为从安全域ID,如果智能卡返回的SELECT RESPONSE中指示对应的从安全域不存在时,可以判断该智能卡上不存在应用提供商的从安全域。
并且,如果不存在该应用提供商的从安全域,需要先进行从安全域的创建和从安全域的密钥分发过程。
下面将结合图3,详细说明应用提供商的从安全域的创建和密钥分发过程,包括以下处理:
1、应用提供商业务终端读取智能卡的标识信息,如智能卡的ICCID,然后将智能卡标识信息发送给应用提供商管理平台。
2、应用提供商管理平台向卡片发行商管理平台发送从安全域创建请求,在请求报文中包括应用提供商ID(ASP_ID)和智能卡标识信息ICCID等。
3、卡片发行商管理平台收到从安全域创建请求后,验证从安全域创建请求信息,并确定是否允许该请求,卡片发行商可以根据应用提供商的业务权限等确定是否允许通过应用提供商管理平台创建从安全域。
4、卡片发行商管理平台确认可以通过应用提供商管理平台创建从安全域后,卡片发行商管理平台根据智能卡ICCID在平台内的数据库中检索该智能卡的相关信息,包括智能卡主安全域ID(ISD_ID)等。
5、卡片发行商管理平台通过应用提供商管理平台向智能卡发送SELECT报文,选择智能卡的主安全域。
6、卡片发行商管理平台和智能卡主安全域按照Global PlatformCard Specification V2.2附录F Secure Channel Protocol 10的要求建立SCP10安全信道,完成双方的认证及对话密钥的协商。
7、卡片发行商管理平台向主安全域发送从安全域创建报文INSTALL[for Install]。主安全域按照报文创建从安全域,完成创建后,主安全域发送INSTALL Response给卡片发行商管理平台。
8、卡片发行商管理平台接收到从安全域创建响应并确认从安全域已创建后,生成从安全域的初始公私密钥对(对应于图2中的步骤S202)。
9、卡片发行商管理平台通过PUT KEY报文将从安全域的公私钥和外部认证使用的可信任根公钥(One Public Key for Trust Pointfor External Authentication,PK.TP_EX.AUT)发送给智能卡主安全域(对应于图2中的步骤S202)。
10、智能卡主安全域将从安全域的初始公私钥和PK.TP_EX.AUT发送给从安全域,从安全域进行初始公私钥和PK.TP_EX.AUT的设置,然后发送PUT KEY RESPONSE给卡片发行商管理平台(对应于图2中的步骤S202)。
11、卡片发行商管理平台将创建的从安全域的基本信息和智能卡的公私密钥对发送给应用提供商管理平台(对应于图2中的步骤S202)。
12、应用提供商管理平台在数据库中添加从安全域的相关信息。
13、应用提供商管理平台通过应用提供商业务终端向智能卡发送SELECT报文,选择由卡片发行商管理平台创建的从安全域(对应于图2中的步骤S204)。
14、应用提供商管理平台和从安全域按照Global Platform CardSpecification V2.2附录F Secure Channel Protocol‘10’的要求建立SCP10安全信道,完成从安全域对应用提供商管理平台的认证和对话密钥的协商(对应于图2中的步骤S204)。
15、应用提供商管理平台生成从安全域的公钥和私钥,应用提供商管理平台中的证书管理系统将从安全域的公钥和证书申请信息发给应用提供商CA,由CA签发从安全域证书(对应于图2中的步骤S206)。
16、应用提供商管理平台通过PUT KEY报文,将从安全域公私钥、证书发送给从安全域。为了保证数据的安全,在PUT KEY报文中,需要使用对话密钥将从安全域公私钥和证书进行加密(对应于图2中的步骤S206)。
17、从安全域使用对话密钥将报文进行解密,获得应用提供商管理平台发送的公私密钥对和从安全域证书;从安全域将由卡片发行商管理平台生成的初始公私钥更新为由应用提供商管理平台生成的公私钥并安装从安全域的证书。
在进行上述的处理后,应用提供商管理平台和从安全域之间可以继续进行电子支付应用的下载和安装等过程。
综上所述,借助于本发明的技术方案,通过应用提供商的业务终端对从安全域密钥进行分发,解决了相关技术中由于卡片发行商管理平台负责密钥数据的传送时可以获得发送的安全域密钥数据而导致的从安全域密钥的分发不安全的问题,能够避免遭受其它潜在的安全威胁和攻击,提高了应用提供商从安全域密钥分发的安全性。以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。