CN101729244B - 密钥分发方法和系统 - Google Patents
密钥分发方法和系统 Download PDFInfo
- Publication number
- CN101729244B CN101729244B CN2008101707620A CN200810170762A CN101729244B CN 101729244 B CN101729244 B CN 101729244B CN 2008101707620 A CN2008101707620 A CN 2008101707620A CN 200810170762 A CN200810170762 A CN 200810170762A CN 101729244 B CN101729244 B CN 101729244B
- Authority
- CN
- China
- Prior art keywords
- application provider
- security domain
- key
- described application
- management platform
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本发明公开了一种密钥分发方法和系统,该方法包括:应用提供商管理平台获得设置于智能卡上的CASD的公钥;应用提供商管理平台生成临时对话密钥,并将经过CASD的公钥加密以及应用提供商的私钥签名的临时对话密钥发送至应用提供商管理平台对应的设置于智能卡上的应用提供商从安全域;应用提供商管理平台生成应用提供商从安全域的包括公密钥和私密钥的公私密钥对、以及应用提供商从安全域的证书,并将经过临时对话密钥加密的应用提供商从安全域的公密钥、私密钥、应用提供商从安全域的证书和用于外部认证的可信任根公钥发送至应用提供商从安全域,完成对应用提供商从安全域密钥的分发。本发明能够保证应用提供商从安全域密钥安全分发。
Description
技术领域
本发明涉及通信领域,并且特别地,涉及一种密钥分发方法和系统。
背景技术
在相关技术中,近场通信技术(Near Field Communication,简称为NFC)是工作于13.56MHz的一种近距离无线通信技术,该技术由射频识别(Radio Frequency Identification,简称为RFID)技术及互连技术融合演变而来。手机等移动通信终端在集成NFC技术后,可以模拟非接触式IC卡,用于电子支付的相关应用;此外,在移动通信终端上实现该方案需要在终端上增加NFC模拟前端芯片和NFC天线,并使用支持电子支付的智能卡。
IC卡特别是非接触式IC卡经过十多年的发展,已经被广泛应用于公交、门禁、小额电子支付等领域;与此同时,手机经历20多年的迅速发展后,其应用已经基本得到普及,并且给人们的工作及生活带来了很大的便利,随着手机的功能越来越强大,将手机和非接触式IC卡技术结合,将手机应用于电子支付领域,会进一步扩大手机的使用范围,给人们的生活带来便捷,存在着广阔的应用前景。
在相关技术中,为实现基于NFC技术的移动电子支付,需要建立移动终端电子支付系统,并通过该系统实现对移动终端电子支付的管理,其中,移动终端电子支付系统包括:智能卡的发行、电子支付应用的下载、安装和个人化、以及采用相关技术和管理策略实现电子支付的安全等。
安全域是卡外实体包括卡发行商和应用提供商在卡上的代表,它们包含用于支持安全通道协议运作以及卡内容管理的加密密钥,如果电子支付系统支持Global platform Card Specification V2.1.1规范,安全通道协议支持Secure Channel Protocol‘02’(基于对称密钥);如果电子支付系统支持Global platform Card Specification V2.2规范,安全通道协议支持Secure Channel Protocol‘10’(基于非对称密钥)。安全域负责它们自己的密钥管理,这保证了来自不同应用提供者的应用和数据可以共存于同一个卡上。安全域的密钥采用非对称密钥体制时,安全域上的密钥和证书需要包括:安全域的公钥(也可称为公密钥)和私钥(也可称为私密钥)、安全域的证书、用于认证卡外实体证书的可信任根公钥。
应用提供商在智能卡上的安全域为从安全域,在将应用提供商的电子支付应用下载并安装到智能卡之前,需要在智能卡上先通过卡发行商拥有的智能卡主安全域创建应用提供商的从安全域,然后设置从安全域的密钥。
安全域密钥作为机密数据,需要采取可靠及安全的方法和技术将有关密钥和证书导入到从安全域,实现从安全域密钥的安全分发,其中,从安全域的创建需要由卡发行商管理平台指示智能卡上的主安全域创建,而且从安全域创建完成后,从安全域的初始密钥需要由卡发行商管理平台负责设置和分发。
通常采用的一种从安全域创建和密钥分发方法是:智能卡和卡发行商管理平台建立通信,由卡发行商管理平台指示智能卡主安全域建立从安全域,应用提供商管理平台生成从安全域的密钥和证书,然后把从安全域的密钥和证书经过卡发行商管理平台发送到从安全域,从安全域进行密钥和证书的设置,从而完成从安全域密钥的分发。
但在这种情况下,卡发行商管理平台负责数据的传送时有可能获得发送的安全域密钥数据,由此可能使用获得的密钥对从安全域执行操作,这样会对应用提供商的电子支付应用安全造成威胁。
因此,急需一种解决从安全域密钥的分发不安全的问题的技术方案。
发明内容
考虑到相关技术中从安全域密钥的分发不安全的问题而做出本发明,为此,本发明的主要目的在于提供一种密钥分发方法和系统,以避免从安全域密钥被卡发行商管理平台获取导致的密钥不安全的问题。
根据本发明的有一个方面,提供了一种密钥分发方法。
根据本发明的密钥分发方法包括:应用提供商管理平台获得设置于智能卡上的可信任第三方从安全域即CASD的公钥;应用提供商管理平台生成临时对话密钥,并将经过CASD的公钥加密以及应用提供商的私钥签名的临时对话密钥通过卡发行商管理平台发送至应用提供商管理平台对应的设置于智能卡上的应用提供商从安全域;应用提供商管理平台生成应用提供商从安全域的包括公密钥和私密钥的公私密钥对、以及应用提供商从安全域的证书,并将经过临时对话密钥加密的应用提供商从安全域的公密钥、私密钥、应用提供商从安全域的证书和用于外部认证的可信任根公钥通过卡发行商管理平台发送至应用提供商从安全域,完成对应用提供商从安全域密钥的分发。
根据本发明的另一方面,还提供了一种密钥分发系统。
根据本发明的密钥分发系统包括:
卡发行商管理平台,其包括:创建模块,用于在智能卡上创建应用提供商从安全域;信息发送模块,用于将应用提供商从安全域的基本信息发送至应用提供商管理平台,其中,基本信息包括应用提供商从安全域的标识信息、包括应用提供商从安全域的配置信息;
应用提供商管理平台,其包括:获取模块,用于获得设置于智能卡上的CASD的公钥;第一生成及发送模块,用于生成临时对话密钥,并将经过CASD的公钥加密以及应用提供商的私钥签名的临时对话密钥发送至对应的设置于智能卡上的应用提供商从安全域;第二生成及发送模块,用于生成应用提供商从安全域的包括公密钥和私密钥的公私密钥对、以及应用提供商从安全域的证书,并将经过临时对话密钥加密的应用提供商从安全域的公密钥、私密钥、证书和用于外部认证的可信任根公钥发送至应用提供商从安全域,完成对应用提供商从安全域密钥的分发;
智能卡,位于移动终端,包括应用提供商从安全域,其中,应用提供商从安全域具体包括:接收模块,用于接收临时对话密钥以及加密的应用提供商从安全域的公密钥、私密钥、应用提供商从安全域的证书和用于外部认证的可信任根公钥;解密模块,用于通过临时对话密钥对公密钥、私密钥、应用提供商从安全域的证书和用于外部认证的可信任根公钥进行解密。
通过本发明的上述技术方案,应用提供商管理平台将应用提供商从安全域的公密钥、私密钥、以及签发的证书和用于外部认证的可信任根的公钥利用临时对话密钥进行加密并发送至从安全域,因卡发行商管理平台无法获得临时对话密钥,卡发行商在传输应用提供商管理平台发送到从安全域的从安全域密钥数据时不能对密钥数据进行解密,从而有效实现了对卡发行商管理平台的隔离,避免了卡发行商管理平台能够获得应用提供商管理平台生成的从安全域密钥导致密钥传输存在安全隐患的问题,有效地保证了应用提供商从安全域密钥分发的安全性。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是根据本发明系统实施例的移动终端电子支付系统的结构框图;
图2是根据本发明系统实施例的密钥分发系统的结构框图;
图3是根据本发明方法实施例的密钥分发方法的流程图;
图4是根据本发明方法实施例的密钥分发方法的优选处理方案的流程图。
具体实施方式
功能概述
本发明的主要思想是:应用提供商管理平台预先生成临时对话密钥,利用临时对话密钥将应用提供商从安全域的密钥进行加密并发送至从安全域。由于卡发行商管理平台无法获得该临时对话密钥,即无法得到从安全域的密钥;而对于智能卡上的CASD,其虽然能够获得临时对话密钥,但是其不能够获得应用提供商从安全域密钥的数据,从而也不能够获得从安全域的密钥。因此实现了对卡发行商管理平台的隔离,有效地保证了应用提供商从安全域密钥分发的安全性。
以下结合附图对本发明的优选实施例进行说明,应当理解,此处所描述的优选实施例仅用于说明和解释本发明,并不用于限定本发明。
系统实施例
如图1所示,根据本发明实施例的移动终端电子支付系统主要由卡发行商管理平台1、应用提供商管理平台2和包含有智能卡的移动终端3组成,该系统中可以存在多个应用提供商管理平台。
其中,卡发行商管理平台1包括卡片管理系统10、应用管理系统11、密钥管理系统12、证书管理系统13、应用提供商管理系统14,其中,证书管理系统13在基于近场通信技术的移动终端电子支付系统支持非对称密钥的情况下使用,证书管理系统13和卡发行商CA系统连接;应用管理系统11负责卡发行商本身的电子支付应用或者其负责托管的应用的提供和管理功能;应用提供商管理系统14可管理应用提供商的有关信息,规定应用提供商的业务权限等。
此外,卡发行商拥有的卡发行商管理平台1仅在支持非对称密钥情况下使用证书管理系统13。卡发行商管理平台负责对卡的资源和生命周期、密钥、证书进行管理,并负责对应用提供商的安全域进行创建。
应用提供商管理平台2包括应用管理系统20、密钥管理系统21、证书管理系统22,其中,证书管理系统22在移动支付系统支持非对称密钥的情况下使用,证书管理系统22和应用提供商CA系统连接,并且仅在支持非对称密钥情况下使用证书管理系统22。并且,应用提供商可以通过应用提供商管理平台2提供各种业务应用,并对卡上与其对应的安全域进行管理,对其安全域的应用密钥、证书、数据等进行控制,提供应用的安全下载功能。应用提供商可以是运营商、银行、公交公司、零售商户等。另外,应用提供商可拥有业务终端管理系统和业务终端,并且可通过业务终端向用户提供服务。
移动终端3中具备支持电子支付的智能卡(未示出),并且,为了实现智能卡的安全性管理和支付应用的下载、安装等功能,智能卡需要和卡发行商管理平台1以及应用提供商管理平台2建立通信。
实现智能卡和管理平台(上述卡发行商管理平台1和应用提供商管理平台2)的通信可以通过两个途径:(1)智能卡通过移动终端使用移动通信网络和管理平台建立通信,一般采用OTA(Over TheAir)技术实现智能卡和管理平台的通信。(2)通过管理平台的业务终端实现智能卡和管理平台的连接。业务终端配置有非接触读卡器或者直接读取智能卡的读卡器,并且业务终端可以和管理平台建立通信,从而实现智能卡和管理平台的通信。
在上述的移动支付系统中,用户能够进行电子支付应用的下载、安装和使用,用户通过与卡发行商管理平台或应用提供商管理平台交互,对移动终端和智能卡卡进行操作,在安全域内下载及安装新的应用,使用提供的各种业务应用。
基于近场通信技术的移动终端电子支付系统支持多电子支付应用,在智能卡上可以安装多个电子支付应用。为了实现支付应用的安全,智能卡采用Global Platform Card Specification V2.1.1/V2.2规范,智能卡被分隔为若干个独立的安全域,以保证多个应用相互之间的隔离以及独立性,各个应用提供商管理各自的安全域以及应用、应用数据等。这里提到的支持Global Platform规范的智能卡指的是符合Global Platform Card Specification V2.1.1/V2.2规范的IC芯片或智能卡,从物理形式上可以为SIM/USIM卡、可插拔的智能存储卡或者集成在移动终端上的IC芯片。
安全域是卡外实体包括卡发行商和应用提供商在卡上的代表,它们包含用于支持安全通道协议运作以及卡内容管理的加密密钥。安全域负责它们自己的密钥管理,这保证了来自不同应用提供者的应用和数据可以共存于同一个卡上。安全域的密钥采用非对称密钥体制时,安全域上的密钥和证书需要包括:安全域的公钥(也可称为公密钥)和私钥(也可称为私密钥)、安全域的证书、用于认证卡外实体证书的可信任根的公钥。
应用提供商在智能卡上的安全域为从安全域。在将应用提供商的电子支付应用下载并安装到智能卡之前,需要在智能卡上先通过卡发行商拥有的智能卡主安全域创建应用提供商的从安全域,然后设置从安全域的密钥。
安全域密钥作为机密数据,需要采取可靠及安全的方法和技术将有关密钥和证书导入到从安全域,实现从安全域密钥的安全分发。从安全域的创建需要由卡发行商管理平台指示智能卡上的主安全域创建,而且从安全域创建完成后,从安全域的初始密钥需要由卡发行商管理平台负责设置和分发。
基于上述电子支付系统,本发明提出了一种密钥分发系统。
图2是根据本发明系统实施例的密钥分发系统的结构框图,如图2所示,根据本实施例的密钥分发系统包括:卡发行商管理平台200,应用提供商管理平台210和智能卡220。
其中,卡发行商管理平台200,其进一步包括:创建模块,用于在智能卡上创建应用提供商从安全域;信息发送模块,用于将应用提供商从安全域的基本信息发送至应用提供商管理平台,其中,基本信息包括应用提供商从安全域的标识信息、包括应用提供商从安全域的配置信息;
应用提供商管理平台210,连接至卡发行商管理平台200,其进一步包括:获取模块,用于获得设置于智能卡上的CASD的公钥;第一生成及发送模块,用于生成临时对话密钥,并将经过CASD的公钥加密以及应用提供商的私钥签名的临时对话密钥发送至对应的设置于智能卡上的应用提供商从安全域;第二生成及发送模块,用于生成应用提供商从安全域的包括公密钥和私密钥的公私密钥对、以及应用提供商从安全域的证书,并将经过临时对话密钥加密的应用提供商从安全域的公密钥、私密钥、证书和用于外部认证的可信任根公钥发送至应用提供商从安全域,完成对应用提供商从安全域密钥的分发;
智能卡220,位于移动终端,智能卡220连接至卡发行商管理平台200,智能卡220包括应用提供商从安全域,其中,应用提供商从安全域进一步包括:接收模块,用于接收临时对话密钥以及加密的应用提供商从安全域的公密钥、私密钥、应用提供商从安全域的证书和用于外部认证的可信任根公钥;解密模块,用于通过临时对话密钥对公密钥、私密钥、应用提供商从安全域的证书和用于外部认证的可信任根公钥进行解密。
此外,智能卡220还包括:CASD,用于验证应用提供商的证书,并对临时对话密钥进行解密,并将解密后的临时对话密钥提供给应用提供商从安全域。
优选地,在实际应用当中,智能卡可以符合Global Platform CardSpecification V2.2规范,智能卡安全域采用非对称密钥体制,创建的从安全域中需要导入的密钥包括:从安全域的公钥和私钥、从安全域证书和外部认证使用的信任根公钥(One Public Key for TrustPoint for External Authentication,PK.TP_EX.AUT)。从安全域的公钥和私钥由应用提供商管理平台生成,从安全域证书由应用提供商管理平台根据从安全域公钥生成,外部认证使用的信任根公钥(PK.TP_EX.AUT)是由签发应用提供商证书的CA提供的,可以从应用提供商管理平台获得,该公钥用于从安全域对应用提供商的证书进行认证。从安全域的公钥和私钥可以采用RSA算法生成,公钥和私钥的长度选择为1024bits。
其中,可信任的第三方可以为给各应用提供商签发证书的证书中心(CA),CA在智能卡上拥有一个独立的CASD。CASD安全域中的密钥和证书包括:CASD的公钥和私钥、CASD的证书、用于验证应用提供商证书的CA可信根的公钥,CA在智能卡上的CASD的公私钥由CA生成,CASD的证书由CA根据CASD的公钥签发生成,CA可信根的公钥由CA提供。CASD可以在智能卡发行时采用安全的方式进行创建和初始化,由CA在CASD安全域中写入CASD安全域的公私钥、证书和CA可信根的公钥,CASD安全域的私钥在在智能卡上只能更新,不能被读取,卡发行商管理平台和应用提供商管理平台无法获得CASD的私钥。
通过以上描述可以看出,在本发明的密钥分发系统中,将应用提供商从安全域的密钥利用预先生成的临时对话密钥进行加密并发送至从安全域,而卡发行商管理平台无法获得该临时对话密钥,进而无法对密钥数据解密,即无法得到从安全域的密钥;而对于智能卡上的CASD,其虽然能够获得临时对话密钥,但是其不能够获得应用提供商从安全域密钥的数据,从而也不能够获得从安全域的密钥。因此,实现了对卡发行商管理平台的隔离,有效地保证了应用提供商从安全域密钥分发的安全性。
方法实施例
根据本发明实施例,还提供了一种密钥分发方法,应用于包括应用提供商的应用提供商管理平台、卡发行商管理平台和移动终端的通信系统。
图3是根据本发明实施例的密钥分发方法的流程图,如图3所示,该方法包括以下处理:
步骤S302,应用提供商管理平台获得设置于智能卡上的CASD的公钥;
步骤S304,应用提供商管理平台生成临时对话密钥,并将经过CASD的公钥加密以及应用提供商的私钥签名的临时对话密钥通过卡发行商管理平台发送至应用提供商管理平台对应的设置于智能卡上的应用提供商从安全域;
步骤S306,应用提供商管理平台生成应用提供商从安全域的包括公密钥和私密钥的公私密钥对、以及应用提供商从安全域的证书,并将经过临时对话密钥加密的应用提供商从安全域的公密钥、私密钥、应用提供商从安全域的证书和用于外部认证的可信任根公钥通过卡发行商管理平台发送至应用提供商从安全域,完成对应用提供商从安全域密钥的分发。
根据上述实施例,应用提供商管理平台将发送至应用提供商从安全域的密钥采用临时对话密钥进行加密,有效保证了应用提供商从安全域密钥分发的安全性。
下面进一步描述上述各处理的细节。
(一)步骤S302
根据本发明,为了实现机密性的需要,智能卡上需要引入可信任的第三方,第三方在智能卡上拥有Controlling Authority从安全域(CASD),可信任的第三方通过CASD向应用提供商从安全域提供服务。Controlling Authority从安全域符合Global Platform CardSpecification V2.2中的要求。Controlling Authority从安全域可以为应用提供商从安全域提供独立的服务接口,提供的服务接口包括证书验证、签名、数据解密等。
优选地,可信任的第三方为给各应用提供商签发证书的证书中心(CA),CA在智能卡上拥有一个独立的CASD。CASD中的密钥和证书包括:CASD的公钥和私钥、CASD的证书、用于验证应用提供商证书的CA可信任根的公钥,CA在智能卡上的CASD的公、私钥由CA生成,CASD的证书由CA根据CASD的公钥签发生成,CA可信任根的公钥由CA提供。CASD可以在智能卡发行时采用安全的方式进行创建和初始化,由CA在CASD中写入CASD的公、私钥、证书和CA可信任根的公钥,其中,CASD的私钥在智能卡上只能更新,不能被读取,卡发行商管理平台和应用提供商管理平台无法获得CASD的私钥。
根据本发明,首先需要卡发行商管理平台通知智能卡主安全域创建从安全域。在从安全域创建后,卡发行商管理平台将安全域的基本信息发送给应用提供商管理平台。
然后,应用提供商管理平台获得CASD的证书,验证CASD的证书的真实性并从证书中获得CASD的公钥。应用提供商管理平台可以使用该公钥将发送给应用提供商从安全域的数据进行加密,应用提供商从安全域接收到加密数据后通过调用CASD提供的服务接口对数据进行解密,CASD使用自己的私钥对数据进行解密,并将解密后的数据返回给应用提供商从安全域。
并且,应用提供商管理平台将自己的证书通过卡发行商管理平台发送给应用提供商从安全域。应用提供商从安全域调用CASD提供的证书验证接口验证应用提供商的证书。CASD使用CA可信任根的公钥验证应用提供商的证书,如果验证通过,则将应用提供商的标识信息(ID)和应用提供商的公钥返回给应用提供商从安全域。
(二)步骤S304
在应用提供商的证书验证通过后,应用提供商管理平台需要生成和应用提供商从安全域进行数据传输时使用的临时对话密钥,并将临时对话密钥采用CASD的公钥进行加密,加密后的数据使用应用提供商的私钥进行签名。然后,将加密后的数据和签名发送给应用提供商从安全域。应用提供商从安全域使用应用提供商的公钥验证签名,验证数据来源的真实性和数据的完整性,然后通过CASD解密数据,获得临时对话密钥。
(三)步骤S306
应用提供商管理平台生成应用提供商从安全域的公钥和私钥,并通过自己的证书管理系统生成从安全域的证书,然后采用临时对话密钥将从安全域的公钥和私钥、从安全域证书和从安全域外部认证使用的可信任根公钥进行加密,然后将加密后的数据通过卡发行商管理平台发送给应用提供商从安全域。从安全域收到数据后使用临时对话密钥进行解密,然后将从安全域的公钥和私钥、从安全域证书和从安全域外部认证使用的可信任根公钥写入到应用提供商从安全域,应用提供商从安全域进行密钥和证书的设置,从而完成应用提供商从安全域密钥的分发。
通过上述描述可以得出,卡发行商管理平台在传输应用提供商管理平台和应用提供商从安全域的通信数据时,无法获得临时对话密钥,从而无法对密钥数据解密,即无法得到从安全域的密钥;而对于智能卡上的CASD,其虽然能够获得临时对话密钥,但是其不能够获得应用提供商从安全域密钥的数据,从而也不能够获得从安全域的密钥,实现了应用提供商从安全域密钥分发的安全。
在上述过程中,从安全域的创建、密钥的分发过程可以通过OTA的方式实现,应用提供商管理平台、卡发行商管理平台通过OTA方式和智能卡建立连接,通过OTA传输相关命令和数据。
并且,从安全域的创建、密钥的分发过程也可以通过卡发行商的业务终端完成。智能卡通过卡发行商的业务终端和卡发行商管理平台及应用提供商管理平台建立连接,业务终端传输智能卡和管理平台之间的命令、响应等数据。应用提供商发送给智能卡的命令由卡发行商管理平台发送给智能卡,并从卡发行商管理平台获得智能卡发送的响应。
下面将结合具体应用实例描述根据本实施例的密钥分发处理。
图4是根据本发明实施例的密钥分发方法的优选处理方案的流程图,如图4所示,该处理过程具体包括以下步骤:
步骤1,卡发行商管理平台创建从安全域。创建应用提供商从安全域的过程可以包括:
(1)卡发行商管理平台向智能卡发送SELECT(选择)报文,选择智能卡的主安全域。
(2)卡发行商管理平台和智能卡主安全域按照Global PlatformCard Specification V2.2附录F Secure Channel Protocol‘10’的要求建立SCP10安全信道,完成双方的认证及对话密钥的协商。
(3)卡发行商管理系统向主安全域发送从安全域创建报文INSTALL[for Install]。主安全域按照报文指示创建从安全域,应用提供商从安全域的ID(APSD_ID)可以和应用提供商ID相同。
(4)从安全域创建完成后,卡发行商管理平台将创建的从安全域的基本信息发送给应用提供商管理平台,基本信息包括应用提供商从安全域ID(APSD_ID)和从安全域的配置信息。应用提供商管理平台收到从安全域的信息后,需要在管理平台的数据库中保存从安全域的信息。
步骤2,应用提供商管理平台从智能卡获得智能卡CASD从安全域的证书。应用提供商可以向智能卡发送GET DATA(数据获取)报文获得CASD从安全域的证书。
步骤3,应用提供商管理平台验证CASD从安全域的证书并获得CASD从安全域的公钥。应用提供商管理平台可以使用CA的可信任根公钥验证CASD从安全域证书的真实性,并从CASD从安全域证书中获得CASD从安全域的公钥。
步骤4,应用提供商管理平台将自己的证书使用STORE DATA(存储数据)报文并通过卡发行商管理平台发送给应用提供商从安全域。为了实现发送证书时的安全,应用提供商管理平台可以使用CASD从安全域的公钥对应用提供商的证书进行加密。
步骤5,应用提供商从安全域请求CASD安全域验证应用提供商的证书。
步骤6,Controlling Authority安全域返回验证结果、应用提供商ID和应用提供商的公钥。
步骤7,确定应用提供商证书的真实性后,从安全域发送STOREDATA响应给应用提供商管理平台。
步骤8,应用提供商证书验证通过后,应用提供商管理平台生成临时对话密钥,临时对话密钥用于应用提供商管理平台和应用提供商从安全域之间的数据加、解密。临时对话密钥可以包括:ENC、MAC和DEK。这些密钥采用DES算法,密钥长度选择16bytes,其中,ENC用于数据加解密,DEK用于机密数据的加解密,MAC为消息验证码密钥,用于消息验证码的生成和校验。
步骤9,应用提供商管理平台将生成的临时对话密钥使用CASD安全域的公钥将生成的对话密钥进行加密,并对加密后的数据使用应用提供商的私钥进行签名。然后通过STORE DATA命令将加密后的数据和签名数据发送给从安全域。
步骤10,从安全域收到命令后,先使用应用提供商的公钥对签名进行验证,证实数据的完整性和数据来源的正确性,然后调用CASD安全域提供的命令接口对数据进行解密,获得临时对话密钥。
步骤11,应用提供商从安全域获得临时对话密钥后,发送STORE DATA响应消息给应用提供商管理平台。
步骤12,应用提供商管理平台生成从安全域的公私钥对,然后将公钥交给应用提供商管理平台中的的证书管理系统生成从安全域的证书。证书管理系统可以将公钥和证书申请信息发送给应用提供商CA,应用提供商CA签发从安全域的证书并将证书返回给证书管理系统。
步骤13,应用提供商通过PUT KEY(密钥设置)命令将智能卡的公钥、私钥、从安全域的证书及用于外部验证的的可信任根(Trust Point for External Authentication)的公钥写入从安全域。其中从安全域的私钥作为机密数据,需要使用DEK和MAC密钥进行加密后再封装到PUT KEY命令中;智能卡的公钥、证书及信任根公钥也可以通过ENC密钥进行加密。
步骤14,从安全域收到PUT KEY命令后按照指示进行密钥和证书的设置。完成设置后,从安全域发送PUT KEY响应消息。
并且,在上述的步骤完成后,从安全域和应用提供商管理平台之间可以继续进行电子支付应用的下载和安装等过程。
综上,借助于本发明上述技术方案,通过将应用提供商从安全域的密钥利用临时对话密钥进行加密并发送至从安全域,而卡发行商管理平台无法获得该临时对话密钥,进而无法对密钥数据解密,即无法得到从安全域的密钥;而对于智能卡上的CASD,其虽然能够获得临时对话密钥,但是其不能够获得应用提供商从安全域密钥的数据,进而也不能够获得从安全域的密钥。因此,实现了对卡发行商管理平台的隔离,有效地保证了应用提供商从安全域密钥分发的安全性。
显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种密钥分发方法,其特征在于,包括:
应用提供商管理平台获得设置于智能卡上的可信任第三方从安全域即CASD的公钥;
所述应用提供商管理平台生成临时对话密钥,并将经过所述CASD的公钥加密以及所述应用提供商的私钥签名的所述临时对话密钥通过卡发行商管理平台发送至所述应用提供商管理平台对应的设置于所述智能卡上的应用提供商从安全域;
所述应用提供商管理平台生成所述应用提供商从安全域的包括公密钥和私密钥的公私密钥对、以及所述应用提供商从安全域的证书,并将经过所述临时对话密钥加密的所述应用提供商从安全域的所述公密钥、所述私密钥、所述应用提供商从安全域的证书和用于外部认证的可信任根公钥通过所述卡发行商管理平台发送至所述应用提供商从安全域,完成对所述应用提供商从安全域密钥的分发。
2.根据权利要求1所述的方法,其特征在于,所述应用提供商管理平台获得所述CASD的公钥的处理具体包括:
所述应用提供商管理平台通过所述智能卡获得所述CASD的证书;
所述应用提供商管理平台验证所述CASD的证书,并获得所述CASD的公钥。
3.根据权利要求1所述的方法,其特征在于,在所述应用提供商管理平台生成临时对话密钥之前,所述方法还包括:
所述应用提供商管理平台将应用提供商的证书发送至所述应用提供商从安全域,以使所述应用提供商从安全域验证所述应用提供商的证书;
在所述应用提供商的证书被验证通过的情况下,执行所述应用提供商管理平台生成临时对话密钥的处理。
4.根据权利要求3所述的方法,其特征在于,所述应用提供商管理平台将所述应用提供商的证书发送至所述应用提供商从安全域的处理具体包括:
所述应用提供商管理平台利用所述可信任第三方从安全域的公钥对所述应用提供商的证书进行加密;
所述应用提供商管理平台将加密的所述应用提供商的证书发送至所述应用提供商从安全域。
5.根据权利要求4所述的方法,其特征在于,在所述应用提供商的证书被所述应用提供商从安全域验证通过后,所述方法还包括:
所述应用提供商从安全域通过所述应用提供商的证书获得所述应用提供商的公钥。
6.根据权利要求5所述的方法,其特征在于,在所述应用提供商管理平台将所述临时对话密钥发送至所述应用提供商从安全域的处理之后,所述方法还包括:
所述应用提供商从安全域利用所述应用提供商的公钥验证所述临时对话密钥的签名;
在所述临时对话密钥的签名被验证通过后,所述应用提供商从安全域通过调用所述CASD提供的服务接口对所述临时对话密钥进行解密,并获得所述临时对话密钥。
7.根据权利要求6所述的方法,其特征在于,在所述应用提供商管理平台将加密的所述应用提供商从安全域的所述公密钥、所述私密钥、所述应用提供商从安全域的证书和用于外部认证的可信任根公钥发送至所述应用提供商从安全域之后,所述方法还包括:
所述应用提供商从安全域接收并利用所述临时对话密钥解密所述应用提供商从安全域的所述公密钥、所述私密钥、所述应用提供商从安全域的证书和用于外部认证的可信任根公钥。
8.根据权利要求1所述的方法,其特征在于,在应用提供商管理平台获得所述CASD的公钥之前,所述方法进一步包括:
卡发行商管理平台在所述智能卡上创建所述应用提供商从安全域,并将所述应用提供商从安全域的基本信息发送至所述应用提供商管理平台,其中,所述基本信息包括所述应用提供商从安全域的标识信息和所述应用提供商从安全域的配置信息。
9.一种密钥分发系统,其特征在于,包括:
卡发行商管理平台,其包括:
创建模块,用于在智能卡上创建应用提供商从安全域;
信息发送模块,用于将所述应用提供商从安全域的基本信息发送至应用提供商管理平台,其中,所述基本信息包括所述应用提供商从安全域的标识信息和所述应用提供商从安全域的配置信息;
应用提供商管理平台,其包括:
获取模块,用于获得设置于智能卡上的可信任第三方从安全域CASD的公钥;
第一生成及发送模块,用于生成临时对话密钥,并将经过所述CASD的公钥加密以及所述应用提供商的私钥签名的所述临时对话密钥发送至对应的设置于所述智能卡上的应用提供商从安全域;
第二生成及发送模块,用于生成所述应用提供商从安全域的包括公密钥和私密钥的公私密钥对、以及所述应用提供商从安全域的证书,并将经过所述临时对话密钥加密的所述应用提供商从安全域的所述公密钥、所述私密钥、所述证书和用于外部认证的可信任根公钥发送至所述应用提供商从安全域,完成对所述应用提供商从安全域密钥的分发;
所述智能卡,位于移动终端,包括所述应用提供商从安全域,其中,所述应用提供商从安全域具体包括:
接收模块,用于接收所述临时对话密钥以及加密的所述应用提供商从安全域的所述公密钥、所述私密钥、所述应用提供商从安全域的证书和用于外部认证的可信任根公钥;
解密模块,用于通过所述临时对话密钥对所述公密钥、所述私密钥、所述应用提供商从安全域的证书和用于外部认证的可信任根公钥进行解密。
10.根据权利要求9所述的系统,其特征在于,所述智能卡还包括:
CASD,用于验证应用提供商的证书,对所述临时对话密钥进行解密,并将解密后的所述临时对话密钥提供给所述应用提供商从安全域。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008101707620A CN101729244B (zh) | 2008-10-24 | 2008-10-24 | 密钥分发方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008101707620A CN101729244B (zh) | 2008-10-24 | 2008-10-24 | 密钥分发方法和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101729244A CN101729244A (zh) | 2010-06-09 |
| CN101729244B true CN101729244B (zh) | 2011-12-07 |
Family
ID=42449528
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2008101707620A Expired - Fee Related CN101729244B (zh) | 2008-10-24 | 2008-10-24 | 密钥分发方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101729244B (zh) |
Families Citing this family (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101945099B (zh) * | 2010-07-27 | 2013-11-06 | 公安部第三研究所 | 一种智能卡外部认证方法 |
| WO2012078570A2 (en) | 2010-12-06 | 2012-06-14 | Interdigital Patent Holdings, Inc. | Smart card with domain-trust evaluation and domain policy management functions |
| CN103138925B (zh) * | 2011-11-25 | 2016-03-02 | 中国移动通信集团公司 | 发卡操作方法、ic卡片和发卡设备 |
| CN102377573A (zh) * | 2011-12-08 | 2012-03-14 | 华东师范大学 | 一种口令可安全更新的双因子身份认证方法 |
| CN103067173B (zh) * | 2012-12-26 | 2015-02-25 | 武汉天喻信息产业股份有限公司 | 基于脚本的动态密钥网络签发和界面控制方法及系统 |
| CN103490894B (zh) * | 2013-09-09 | 2016-08-10 | 飞天诚信科技股份有限公司 | 一种确定智能密钥设备生命周期的实现方法及装置 |
| CN103747443B (zh) * | 2013-11-29 | 2017-03-15 | 厦门盛华电子科技有限公司 | 一种基于手机用户识别卡多安全域装置及其鉴权方法 |
| CN104253692B (zh) * | 2014-01-21 | 2018-03-23 | 北京印天网真科技有限公司 | 基于se的密钥管理方法和装置 |
| CN106060069B (zh) * | 2016-06-30 | 2019-09-13 | 飞天诚信科技股份有限公司 | 一种密钥下发、动态口令生成及认证的方法和装置 |
| SG11202104170PA (en) | 2018-10-29 | 2021-05-28 | Visa Int Service Ass | Efficient authentic communication system and method |
| CN109981284B (zh) * | 2019-03-11 | 2022-04-29 | 三未信安科技股份有限公司 | 一种椭圆曲线数字签名的实现方法及装置 |
| CN109922076B (zh) * | 2019-03-27 | 2020-12-18 | 北京深思数盾科技股份有限公司 | 一种软锁许可过程中的安全通信方法和授权平台 |
| CN113676330B (zh) * | 2021-08-10 | 2023-08-01 | 上海瓶钵信息科技有限公司 | 一种基于二级密钥的数字证书申请系统及方法 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1819513A (zh) * | 2006-03-23 | 2006-08-16 | 北京易恒信认证科技有限公司 | Cpk id证书及其生成方法 |
| US20070204166A1 (en) * | 2006-01-04 | 2007-08-30 | Tome Agustin J | Trusted host platform |
-
2008
- 2008-10-24 CN CN2008101707620A patent/CN101729244B/zh not_active Expired - Fee Related
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070204166A1 (en) * | 2006-01-04 | 2007-08-30 | Tome Agustin J | Trusted host platform |
| CN1819513A (zh) * | 2006-03-23 | 2006-08-16 | 北京易恒信认证科技有限公司 | Cpk id证书及其生成方法 |
Non-Patent Citations (1)
| Title |
|---|
| 张喜蕊 等.基于OTA模式的SIM卡安全技术.《电子技术应用》.2007,(第5期), * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101729244A (zh) | 2010-06-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101729493B (zh) | 密钥分发方法和系统 | |
| CN101729244B (zh) | 密钥分发方法和系统 | |
| US10595201B2 (en) | Secure short message service (SMS) communications | |
| CN101131756B (zh) | 移动支付设备电子现金充值安全认证系统、装置及方法 | |
| CN101729503B (zh) | 密钥分发方法和系统 | |
| CN101729502B (zh) | 密钥分发方法和系统 | |
| CN101261675B (zh) | 用于访问nfc芯片组中服务的数据安全加载方法 | |
| CN107358441B (zh) | 支付验证的方法、系统及移动设备和安全认证设备 | |
| CN102711101B (zh) | 一种实现智能卡发行的方法及系统 | |
| CN103259667A (zh) | 移动终端上eID身份认证的方法及系统 | |
| CN102118385A (zh) | 安全域的管理方法和装置 | |
| CN101729246B (zh) | 密钥分发方法和系统 | |
| KR101414196B1 (ko) | 근거리 무선 통신을 이용한 안전한 인증 서비스 시스템 및 방법 | |
| CN104754568A (zh) | 基于nfc的身份识别方法及装置 | |
| CN106779672A (zh) | 移动终端安全支付的方法及装置 | |
| KR20150101016A (ko) | 엔에프씨 기반 종단 간 상호 인증을 이용한 거래수단 제어 방법 | |
| CN101729245B (zh) | 密钥分发方法和系统 | |
| KR102149313B1 (ko) | 유심기반 전자서명 처리 방법 | |
| KR102076313B1 (ko) | 무선단말의 유심기반 전자서명 처리 방법 | |
| KR102078319B1 (ko) | 통신사의 유심기반 전자서명 처리 방법 | |
| KR20170087073A (ko) | 씨드 조합 방식의 네트워크 형 오티피 제공 방법 | |
| KR102149315B1 (ko) | 금융사의 유심기반 전자서명 처리 방법 | |
| KR101445001B1 (ko) | Nfc를 이용한 종단간 보안 결제 제공 방법 및 시스템 | |
| KR20150014595A (ko) | 시간 검증을 이용한 엔에프씨카드 인증 방법 | |
| KR20150023144A (ko) | 유심을 이용한 전자서명 처리 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20111207 Termination date: 20201024 |