CN101729245B - 密钥分发方法和系统 - Google Patents
密钥分发方法和系统 Download PDFInfo
- Publication number
- CN101729245B CN101729245B CN2008101719168A CN200810171916A CN101729245B CN 101729245 B CN101729245 B CN 101729245B CN 2008101719168 A CN2008101719168 A CN 2008101719168A CN 200810171916 A CN200810171916 A CN 200810171916A CN 101729245 B CN101729245 B CN 101729245B
- Authority
- CN
- China
- Prior art keywords
- security domain
- management platform
- application provider
- key
- public key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0877—Generation of secret information including derivation or calculation of cryptographic keys or passwords using additional device, e.g. trusted platform module [TPM], smartcard, USB or hardware security module [HSM]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/083—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
- H04W12/086—Access security using security domains
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
Abstract
本发明公开了一种密钥分发方法和系统,该方法包括:卡片发行商管理平台通知应用提供商对应的从安全域在智能卡中生成包括公密钥和私密钥的公私密钥对,接收从安全域经由OTA服务器返回的公密钥,将用于外部认证的可信任根公钥导入到从安全域,并向应用提供商管理平台发送从安全域的信息以及公密钥;应用提供商管理平台接收从安全域的信息以及公密钥,并根据从安全域的信息以及公密钥通过OTA服务器选择智能卡的从安全域;应用提供商管理平台通过OTA服务器通知从安全域重新生成公密钥和私密钥,根据从安全域返回的重新生成的公密钥生成从安全域证书,并通过OTA服务器将从安全域证书发送到从安全域,完成对从安全域密钥的分发。
Description
技术领域
本发明涉及通信领域,并且特别地,涉及一种密钥分发方法和系统。
背景技术
在相关技术中,近场通信技术(Near Field Communication,简称为NFC)是工作于13.56MHz的一种近距离无线通信技术,该技术由射频识别(Radio Frequency Identification,简称为RFID)技术及互连技术融合演变而来。手机等移动通信终端在集成NFC技术后,可以模拟非接触式IC卡,用于电子支付的相关应用;此外,在移动通信终端上实现该方案需要在终端上增加NFC模拟前端芯片和NFC天线,并使用支持电子支付的智能卡。
IC卡特别是非接触式IC卡经过十多年的发展,已经被广泛应用于公交、门禁、小额电子支付等领域;与此同时,手机经历20多年的迅速发展后,其应用已经基本得到普及,并且给人们的工作及生活带来了很大的便利,随着手机的功能越来越强大,将手机和非接触式IC卡技术结合,将手机应用于电子支付领域,会进一步扩大手机的使用范围,给人们的生活带来便捷,存在着广阔的应用前景。
在相关技术中,为实现基于NFC技术的移动电子支付,需要建立移动终端电子支付系统,并通过该系统实现对移动终端电子支付 的管理,其中,移动终端电子支付系统包括:智能卡的发行、电子支付应用的下载、安装和个人化、以及采用相关技术和管理策略实现电子支付的安全等。
安全域是卡外实体包括卡发行商和应用提供商在卡上的代表,它们包含用于支持安全通道协议运作以及卡内容管理的加密密钥,如果电子支付系统支持Global Platform Card Specification V2.1.1规范,安全通道协议支持Secure Channel Protocol‘02’(基于对称密钥);如果电子支付系统支持Global Platform Card Specification V2.2规范,安全通道协议支持Secure Channel Protocol‘10’(基于非对称密钥)。安全域负责它们自己的密钥管理,这保证了来自不同应用提供者的应用和数据可以共存于同一个卡上。安全域的密钥采用非对称密钥体制时,安全域上的密钥和证书需要包括:安全域的公钥(也可称为公密钥)和私钥(也可称为私密钥)、安全域的证书、用于认证卡外实体证书的可信任根公钥。
应用提供商在智能卡上的安全域为从安全域,在将应用提供商的电子支付应用下载并安装到智能卡之前,需要在智能卡上先通过卡发行商拥有的智能卡主安全域创建应用提供商的从安全域,然后设置从安全域的密钥。
安全域密钥作为机密数据,需要采取可靠及安全的方法和技术将有关密钥和证书导入到从安全域,实现从安全域密钥的安全分发,其中,从安全域的创建需要由卡发行商管理平台指示智能卡上的主安全域创建,而且从安全域创建完成后,从安全域的初始密钥需要由卡发行商管理平台负责设置和分发。
在从安全域创建完成后,卡发行商管理平台可以通知从安全域卡上生成公私密钥对,然后从安全域将生成的密钥返回给卡发行商管理平台,卡发行商管理平台将从安全域生成的密钥发送给应用提 供商管理平台,由应用提供商管理平台根据从安全域的公钥生成从安全域证书,然后由卡发行商管理平台通过主安全域将从安全域证书发送给从安全域,由此完成从安全域的密钥分发。
在上述情况下,卡发行商管理平台负责密钥数据的传送时可以获得发送的安全域密钥数据,可能使用获得的密钥对从安全域执行操作,这样会对应用提供商的电子支付应用安全造成威胁,因此,急需一种解决从安全域密钥的分发不安全的问题的技术方案。
发明内容
考虑到相关技术中从安全域密钥的分发不安全的问题而做出本发明,为此,本发明的主要目的在于提供一种密钥分发方法和系统,以避免从安全域密钥被卡片发行商管理平台获取导致的密钥不安全的问题。
根据本发明的一个方面,提供了一种密钥分发方法,该方法应用于包括应用提供商的应用提供商管理平台、卡片发行商管理平台、和OTA服务器的移动通信系统。
根据本发明的密钥分发方法包括:卡片发行商管理平台通知应用提供商对应的从安全域在智能卡中生成包括公密钥和私密钥的公私密钥对,接收从安全域经由OTA服务器返回的公密钥,将用于外部认证的可信任根公钥导入到从安全域,并向应用提供商管理平台发送从安全域的信息以及公密钥;
应用提供商管理平台接收来自卡片发行商管理平台的从安全域的信息以及公密钥,并根据从安全域的信息以及公密钥通过OTA服务器选择智能卡的从安全域;
应用提供商管理平台通过OTA服务器通知从安全域重新生成公密钥和私密钥,根据从安全域返回的重新生成的公密钥生成从安全域证书,并通过OTA服务器将从安全域证书发送到从安全域,完成对从安全域密钥的分发。
其中,卡片发行商管理平台通知从安全域生成公私密钥对的处理具体为:应用提供商管理平台判断智能卡中是否存在对应于应用提供商的从安全域;在判断为是的情况下,确定智能卡中已存在应用提供商的从安全域,并且不再进行从安全域的创建和密钥的分发过程;在判断为否的情况下,应用提供商管理平台通过卡片发行商管理平台在智能卡上创建从安全域,并通知创建的从安全域生成公私密钥对。
并且,应用提供商管理平台通过卡片发行商管理平台在智能卡上创建从安全域的具体处理为:卡片发行商管理平台通过应用提供商管理平台与智能卡进行通信,通过OTA服务器选择智能卡的主安全域并通过OTA服务器与主安全域建立安全通道;卡片发行商管理平台通过安全通道通知主安全域建立应用提供商对应的从安全域;主安全域在智能卡上建立从安全域。
此外,在应用提供商管理平台接收卡片发行商管理平台发送的从安全域的信息以及公密钥之后,该方法可进一步包括:应用提供商管理平台在其数据库中记录从安全域的信息。
此外,在应用提供商管理平台根据从安全域的信息以及公密钥进行从安全域选择之后,该方法可进一步包括:应用提供商管理平台通过OTA服务器与从安全域建立安全信道。
此外,在应用提供商管理平台通过OTA服务器将从安全域证书发送到从安全域之后,该方法可进一步包括:从安全域将从安全域证书写入到从安全域。
根据本发明的另一方面,提供了一种密钥分发系统。
根据本发明的密钥分发系统包括:
卡片发行商管理平台,包括:第一通知模块,用于在智能卡中对应于应用提供商的从安全域被创建后,通过OTA服务器通知从安全域在智能卡中生成包括公密钥和私密钥的公私密钥对;第一接收模块,用于通过OTA服务器接收从安全域返回的公密钥;导入模块,用于通过OTA服务器将用于外部认证的可信任根公钥导入到从安全域;第一发送模块,用于在导入模块将可信任根公钥导入之后将从安全域的信息和公密钥发送给应用提供商管理平台;
应用提供商管理平台,包括:第二接收模块,用于接收来自卡片发行商管理平台的从安全域的信息以及公密钥;选择模块,用于根据从安全域的信息以及公密钥通过OTA服务器选择智能卡的从安全域;第二通知模块,用于通过OTA服务器通知从安全域重新生成公密钥和私密钥;生成模块,用于根据从安全域经由OTA服务器返回的重新生成的公密钥生成从安全域证书;第二发送模块,用于通过将从安全域证书经由OTA服务器发送到从安全域,完成对从安全域密钥的分发;
OTA服务器,连接至卡片发行商管理平台、应用提供商管理平台,用于实现卡片发行商管理平台与智能卡之间的通信、实现应用提供商管理平台与智能卡之间的通信;
智能卡,位于移动终端,包括从安全域,其中,从安全域用于生成公私密钥对,并通过OTA服务器向卡片发行商管理平台返回公 密钥,在应用提供商管理平台通知从安全域重新生成公密钥和私密钥的情况下,重新生成公密钥和私密钥,并通过OTA服务器向应用提供商管理平台返回重新生成的公密钥,以及通过OTA服务器接收应用提供商管理平台发送的从安全域证书。
其中,应用提供商管理平台可进一步包括:判断模块,用于判断智能卡中是否存在对应于应用提供商的从安全域;创建模块,用于在判断模块判断为否的情况下,通过卡片发行商管理平台在智能卡上创建从安全域。
并且,应用提供商管理平台还可以进一步包括:数据库,用于在应用提供商管理平台接收到卡片发行商管理平台发送的从安全域的信息以及公密钥之后,记录从安全域的信息。
此外,应用提供商管理平台还可以进一步包括:建立模块,用于在根据从安全域的信息以及公密钥通过OTA服务器选择智能卡的从安全域之后,经由OTA服务器与从安全域建立安全信道。
通过本发明的上述技术方案,在卡发行商管理平台将从安全域的基本信息和密钥返回给应用提供商管理平台后,应用提供商管理平台和从安全域之间重新进行密钥分发,并且应用提供商管理平台和智能卡之间通过OTA服务器进行通信而不再经过卡发行商管理平台,从而有效实现了对卡发行商管理平台的隔离,避免了卡发行商管理平台能够获得应用提供商从安全域在卡上生成的从安全域密钥导致密钥传输存在安全隐患的问题,有效地保证了应用提供商从安全域密钥分发的安全性。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是根据本发明系统实施例的移动终端电子支付系的结构框图;
图2是根据本发明系统实施例的密钥分发系统的结构框图;
图3是根据本发明分发实施例的密钥分发方法的流程图;
图4是根据本发明分发实施例的密钥分发方法的流程图。
具体实施方式
功能概述
目前,在相关技术中,卡发行商管理平台负责密钥数据的传送时可以获得发送的安全域密钥数据,可能使用获得的密钥对从安全域执行操作,这样会对应用提供商的电子支付应用安全造成威胁,针对这种安全隐患,本发明提出了通过OTA服务器传输安全域密钥数据的技术方案,从而有效隔离卡发行商管理平台,保证了密钥传输的安全性。
下面将结合附图详细描述本发明。
如图1所示,根据本发明实施例的移动终端电子支付系统主要由卡片发行商管理平台1、应用提供商管理平台2和包含有智能卡的移动终端3组成,该系统中可以存在多个应用提供商管理平台。
其中,卡发行商管理平台1包括卡片管理子系统10、应用管理子系统11、密钥管理子系统12、证书管理子系统13、应用提供商管理子系统14,其中,证书管理子系统13在基于近场通信技术的移动终端电子支付系统支持非对称密钥的情况下使用,证书管理系统13和卡片发行商CA系统连接;应用管理子系统11负责卡发行商自己的应用或者其负责托管的应用的提供和管理功能;应用提供商管理子系统14可记录应用提供商的有关信息,规定应用提供商的业务权限等。
此外,卡发行商管理平台1所属的卡发行商仅在支持非对称密钥情况下使用证书管理系统13。卡片发行商对卡的资源和生命周期、密钥、证书进行管理,对其他应用提供商的安全域进行创建,并与其他安全域交互应用数据。
应用提供商管理平台2包括应用管理子系统20、密钥管理子系统21、证书管理子系统22,其中,证书管理子系统22在移动支付系统支持非对称密钥的情况下使用,证书管理子系统22和应用提供商CA系统连接,并且仅在支持非对称密钥情况下使用证书管理系统。并且,应用提供商可以通过应用提供商管理平台2提供各种业务应用,并对卡上与其对应的安全域进行管理,对其安全域的应用密钥、证书、数据等进行控制,提供应用的安全下载功能。应用提供商可以是运营商、银行、公交公司、零售商户等。另外,应用提供商可拥有业务终端管理系统和业务终端,并且可通过业务终端向用户提供服务。
移动终端3中具备支持电子支付的智能卡(未示出),并且,为了实现智能卡的安全性管理和支付应用的下载、安装等功能,智能卡需要和卡发行商管理平台以及应用提供商管理平台建立通信。
实现智能卡和管理平台(上述卡发行商管理平台1和应用提供商管理平台2)的通信可以通过两个途径:(1)智能卡通过移动终端使用移动通信网络和管理平台建立通信,一般采用OTA(Over TheAir)技术实现智能卡和管理平台的通信。(2)通过管理平台的业务终端实现智能卡和管理平台的连接。业务终端配置有非接触读卡器或者直接读取智能卡的读卡器,并且业务终端可以和管理平台建立通信,从而实现智能卡和管理平台的通信。
在上述的移动支付系统中,用户能够电子支付应用的下载、安装和使用,用户通过与卡片发行商或应用提供商交互,对移动终端和卡进行操作,在安全域内下载及安装新的应用,使用提供的各种业务应用。
基于近场通信技术的移动终端电子支付系统支持多电子支付应用,在智能卡上可以安装多个电子支付应用。为了实现支付应用的安全,智能卡采用Global Platform Card Specification V2.1/V2.2规范,智能卡被分隔为若干个独立的安全域,以保证多个应用相互之间的隔离以及独立性,各个应用提供商管理各自的安全域以及应用、应用数据等。这里提到的支持Global Platform规范的智能卡指的是符合Global Platform Card Specification V2.1.1/V2.2规范的IC芯片或智能卡,从物理形式上可以为SIM/USIM卡、可插拔的智能存储卡或者集成在移动终端上的IC芯片。
安全域是卡外实体包括卡发行商和应用提供商在卡上的代表,它们包含用于支持安全通道协议运作以及卡内容管理的加密密钥。安全域负责它们自己的密钥管理,这保证了来自不同应用提供者的应用和数据可以共存于同一个卡上。安全域的密钥采用非对称密钥体制时,安全域上的密钥和证书需要包括:安全域的公钥(也可称为公密钥)和私钥(也可称为私密钥)、安全域的证书、用于认证卡外实体证书的公钥。
应用提供商在智能卡上的安全域为从安全域。在将应用提供商的电子支付应用下载并安装到智能卡之前,需要在智能卡上先通过卡发行商拥有的智能卡主安全域创建应用提供商的从安全域,然后设置从安全域的密钥。
安全域密钥作为机密数据,需要采取可靠及安全的方法和技术将有关密钥和证书导入到从安全域,实现从安全域密钥的安全分发。从安全域的创建需要由卡发行商管理平台指示智能卡上的主安全域创建,而且从安全域创建完成后,从安全域的初始密钥(可以包括初始私密钥和初始公密钥)需要由卡发行商管理平台负责设置和分发。
通常,在从安全域创建完成后,卡发行商管理平台可以通知从安全域卡上生成公私密钥对,然后从安全域将生成的密钥返回给卡发行商管理平台,卡发行商管理平台将从安全域生成的密钥发送给应用提供商管理平台,由应用提供商管理平台根据从安全域的公钥生成从安全域证书,然后由卡发行商管理平台通过主安全域将从安全域证书发送给从安全域,由此完成从安全域的密钥分发。在这种情况下,卡发行商管理平台负责密钥数据的传送时可以获得发送的安全域密钥数据,可能使用获得的密钥对从安全域执行操作,这样会对应用提供商的电子支付应用安全造成威胁,需要解决从安全域密钥的安全分发问题。
图1中所示的OTA服务器就能够解决上述的从安全域密钥的安全分发问题。
基于上述电子支付系统,本发明提出了一种密钥分发系统。
如图2所示,根据本实施例的密钥分发系统包括:
卡片发行商管理平台202,包括:第一通知模块(未示出),用于在智能卡208中对应于应用提供商的从安全域(未示出)被创建后,通过OTA服务器206通知从安全域在智能卡208中生成包括公密钥和私密钥的公私密钥对;第一接收模块(未示出),用于通过OTA服务器206接收从安全域返回的公密钥;导入模块(未示出),用于通过OTA服务器206将用于外部认证的可信任根公钥导入到从安全域;第一发送模块(未示出),用于在导入模块将可信任根公钥导入之后将从安全域的信息和公密钥发送给应用提供商管理平台204;优选地,卡发行商管理平台202与应用提供商管理平台204之间可通过专线或者Internet连接,卡发行商管理平台202可以通过应用提供商管理平台204及OTA服务器206和智能卡208建立通信。并且,结合图1所示的卡发行商管理平台,可以将第一通知模块、第一接收模块、导入模块、和第一发送模块设置于上述密钥管理子系统12,并且可以根据实际应用需要将上述一个或多个模块设置于其它子系统中。
优选地,应用提供商管理平台204可以连接到OTA服务器206且可以通过OTA服务器206和智能卡208建立通信,并且应用提供商管理平台204可进一步包括:第二接收模块(未示出),用于接收来自卡片发行商管理平台202的从安全域的信息以及公密钥;选择模块(未示出),用于根据从安全域的信息以及公密钥通过OTA服务器206选择智能卡208的从安全域;第二通知模块(未示出),用于通过OTA服务器206通知从安全域重新生成公密钥和私密钥;生成模块(未示出),用于根据从安全域经由OTA服务器返回的重新生成的公密钥生成从安全域证书;第二发送模块(未示出),用于通过将从安全域证书经由OTA服务器发送到从安全域,完成对从安全域密钥的分发;此外,应用提供商管理平台202可以通过OTA服务器206提供电子支付的有关服务:提供可以下载的电子支付应用列 表,参与从安全域的创建和密钥分发、电子支付应用的下载、电子支付应用的个人化等。并且,结合图1所示的应用提供商管理平台,可以将第二接收模块、选择模块、第二通知模块、生成模块、和第二发送模块设置于上述密钥管理子系统21,并且可以根据实际应用需要将上述一个或多个模块设置于其它子系统中。
在本发明中,在通过OTA方式在智能卡中下载应用提供商的电子支付应用以前,应用提供商管理平台需要先检查智能卡中是否存在自己的从安全域。如果没有对应的从安全域,应用提供商管理平台需要请求卡发行商管理平台在智能卡上创建属于自己的从安全域。
图2所示的密钥分发系统进一步包括:OTA服务器206,连接至卡片发行商管理平台202、应用提供商管理平台204,用于实现卡片发行商管理平台202与智能卡208之间的通信、实现应用提供商管理平台204与智能卡208之间的通信;也就是说,智能卡208可通过OTA服务器206和应用提供商管理平台202以及卡发行商管理平台204建立连接,OTA服务器206传输智能卡208和应用提供商管理平台204以及卡发行商管理平台202之间的通讯数据。
智能卡208,位于移动终端(未示出),包括从安全域(未示出),其中,从安全域用于生成公私密钥对,并通过OTA服务器206向卡片发行商管理平台202返回公密钥,在应用提供商管理平台204通知从安全域重新生成公密钥和私密钥的情况下,重新生成公密钥和私密钥,并通过OTA服务器206向应用提供商管理平台204返回重新生成的公密钥,以及通过OTA服务器206接收应用提供商管理平台204发送的从安全域证书,并且智能卡208和移动终端应当支持OTA功能,保证智能卡208可以通过移动终端和OTA服务器206进行通信;并且,可以在移动终端的屏幕上显示可以下载的电子支 付应用、选择下载的电子支付应用并将电子支付应用下载到智能卡208等。
在该系统中,应用提供商管理平台204可进一步包括:判断模块(未示出),用于判断智能卡中是否存在对应于应用提供商的从安全域;以及创建模块(未示出),用于在判断模块,用于在判断为否的情况下,通过卡片发行商管理平台202在智能卡208上创建从安全域。也就是说,如果不存在该应用提供商的从安全域,需要先进行从安全域的创建过程。
优选地,应用提供商管理平台204可进一步包括:数据库(未示出),用于在应用提供商管理平台204接收到卡片发行商管理平台202发送的从安全域的信息以及公密钥之后,记录从安全域的信息。
此外,应用提供商管理平台204可进一步包括:建立模块(未示出),用于在根据从安全域的信息以及公密钥通过OTA服务器206选择智能卡208的从安全域之后,经由OTA服务器206与从安全域建立安全信道。
此外,在智能卡208不存在对应于应用提供商的从安全域(未示出)的情况下,就需要进行从安全域的创建。在创建安全域时,卡发行商管理平台202通过应用提供商管理平台204及OTA服务器206和智能卡208进行通信,卡发行商管理平台202选择智能卡208的主安全域,和主安全域建立安全通信信道,通知主安全域创建应用提供商从安全域。从安全域创建完成后,卡发行商管理平台通知应用提供商从安全域在卡上生成从安全域的公钥和私钥。
优选地,在实际应用当中,智能卡可以符合Global Platform CardSpecification V2.2规范,智能卡安全域采用非对称密钥体制,创建的从安全域中需要导入的密钥包括:从安全域的公钥和私钥、从安 全域证书和外部认证使用的信任根公钥(One Public Key for TrustPoint for External Authentication,PK.TP_EX.AUT)。从安全域的公钥和私钥由从安全域在卡上生成,从安全域证书由应用提供商管理平台根据从安全域公钥生成,外部认证使用的信任根公钥(PK.TP_EX.AUT)是由签发应用提供商证书的CA提供的,可以从应用提供商管理平台获得,该公钥用于从安全域对应用提供商的证书进行认证,可以由卡发行商管理平台在创建从安全域时导入到从安全域。从安全域的公钥和私钥可以采用RSA算法生成,公钥和私钥的长度选择为1024bits。
此外,应用提供商管理平台和OTA服务器连接,OTA服务器和移动通信网络中的GPRS/PDSN网关或者短信网管建立通信连接。OTA服务器可以通过数据业务或者短信的方式和智能卡建立通信连接;从通信效率和安全性上考虑,在实施过程中,优选地,可以采用数据业务的方式。采用数据业务通道实现OTA时,智能卡和移动终端之间可以采用BIP通信协议,移动终端通过TCP/IP协议和OTA服务器建立通信。
可以看出,在本发明的密钥分发系统中,在卡发行商管理平台将从安全域的基本信息和密钥返回给应用提供商管理平台后,应用提供商管理平台和从安全域之间重新进行密钥分发,这时应用提供商管理平台和智能卡之间的通信不再经过卡发行商管理平台传输,而是经过OTA服务器进行,实现了对卡发行商管理平台的隔离,卡发行商管理平台无法获得应用提供商从安全域在卡上生成的从安全域密钥,有效地保证了应用提供商从安全域密钥分发的安全性。
方法实施例
在本实施例中,提供了一种密钥分发方法,应用于包括应用提供商的应用提供商管理平台、卡片发行商管理平台、和OTA服务器的移动通信系统。
如图3所示,根据本实施例的密钥分发方法包括:
步骤S302,卡片发行商管理平台通知应用提供商对应的从安全域在智能卡中生成包括公密钥和私密钥的公私密钥对,接收从安全域经由OTA服务器返回的公密钥,将用于外部认证的可信任根公钥导入到从安全域,并向应用提供商管理平台发送从安全域的信息以及公密钥;
步骤S304,应用提供商管理平台接收来自卡片发行商管理平台的从安全域的信息以及公密钥,并根据从安全域的信息以及公密钥通过OTA服务器选择智能卡的从安全域;
步骤S306,应用提供商管理平台通过OTA服务器通知从安全域重新生成公密钥和私密钥,根据从安全域返回的重新生成的公密钥生成从安全域证书,并通过OTA服务器将从安全域证书发送到从安全域,完成对从安全域密钥的分发。
其中,卡片发行商管理平台通知从安全域生成公私密钥对的处理具体为:应用提供商管理平台判断智能卡中是否存在对应于应用提供商的从安全域;在判断为是的情况下,确定智能卡中已存在应用提供商的从安全域,并且不再进行安全域的创建和密钥的分发过程;在判断为否的情况下,应用提供商管理平台通过卡片发行商管理平台在智能卡上创建从安全域,并通知创建的从安全域生成公私密钥对。
具体地,检查(判断)智能卡中是否存在属于该应用提供商的从安全域。检查的方法可以包括以下处理过程:
应用提供商管理平台通过OTA服务器向智能卡发送命令读取智能卡的特征信息ICCID,然后应用提供商管理平台根据ICCID在 系统的已创建从安全域的智能卡数据库中检索该智能卡是否已经创建自己的从安全域。
当应用提供商在每个智能卡上的从安全域的ID相同时,应用提供商管理平台可以通过OTA服务器向智能卡发送SELECT报文,报文中的对象参数为从安全域ID。如果智能卡返回的SELECTRESPONSE中指示对应的从安全域不存在时,可以判断该智能卡上不存在应用提供商的从安全域。
此外,应用提供商管理平台通过卡片发行商管理平台在智能卡上创建从安全域的具体处理可以为:卡片发行商管理平台通过应用提供商管理平台与智能卡进行通信,通过OTA服务器选择智能卡的主安全域并通过OTA服务器与主安全域建立安全通道;卡片发行商管理平台通过安全通道通知主安全域建立应用提供商对应的从安全域;主安全域在智能卡上建立从安全域。
优选地,在应用提供商管理平台接收卡片发行商管理平台发送的从安全域的信息以及公密钥之后,该方法可进一步包括:应用提供商管理平台在其数据库中记录从安全域的信息。
此外,在应用提供商管理平台根据从安全域的信息以及公密钥进行从安全域选择之后,该方法可进一步包括:应用提供商管理平台通过OTA服务器与从安全域建立安全信道。
最后,在应用提供商管理平台通过OTA服务器将从安全域证书发送到从安全域之后,该方法可进一步包括:从安全域将从安全域证书写入到从安全域。
下面将结合具体应用实例描述根据本实施例的密钥分发处理。
图4示出了根据本实施例的密钥分发方法的处理实例的信令流程。如图4所示,根据本实施例的应用提供商从安全域的创建和密钥分发过程具体包括以下处理:
(41)应用提供商管理平台通过OTA服务器向智能卡发送命令读取智能卡的特征信息ICCID,然后将智能卡特征信息ICCID发送给应用提供商管理平台。
(42)应用提供商管理平台向卡发行商管理平台发送从安全域创建请求,在请求报文中包括应用提供商ID(ASP_ID)和智能卡特征信息ICCID等。
(43)卡发行商管理平台收到从安全域创建请求后,验证从安全域创建请求信息,并确定是否允许该请求。卡发行商可以根据应用提供商的业务权限等确定是否允许通过应用提供商管理平台创建从安全域。
(44)卡发行商管理平台确认可以通过应用提供商管理平台创建从安全域后,根据智能卡ICCID在管理平台内部的数据库中检索到该智能卡的相关信息,包括智能卡主安全域ID(ISD_ID)等。
(45)卡发行商管理平台通过应用提供商管理平台及OTA服务器向智能卡发送SELECT报文,选择智能卡的主安全域。
(46)卡发行商管理平台和智能卡主安全域按照GlobalPlatform Card Specification V2.2附录F Secure Channel Protocol‘10’的要求建立SCP10安全信道,完成双方的认证及对话密钥的协商。
(47)卡发行商管理平台通向主安全域发送从安全域创建报文INSTALL[for Install]。主安全域按照报文创建从安全域;完成创建后,主安全域发送INSTALL Response给卡发行商管理平台。
(48)卡发行商管理平台确认从安全域已创建后,通知从安全域生成公私密钥对。
(49)从安全域通过调用卡上生成密钥的接口产生公钥和私钥,然后将公钥返回给卡发行商管理平台。
(50)卡发行商管理平台通过PUT KEY报文将外部认证使用的信任根公钥(One Public Key for Trust Point for ExternalAuthentication,PK.TP_EX.AUT)发送给智能卡主安全域。
(51)智能卡主安全域将从安全域的PK.TP_EX.AUT发送给从安全域,从安全域进行PK.TP_EX.AUT的设置,然后发送PUT KEYRESPONSE给卡发行商管理平台。
(52)卡发行商管理平台将创建的从安全域的基本信息和从安全域的公钥发送给应用提供商管理平台(步骤48至52对应于图3中的步骤S304)。
(53)应用提供商管理平台在数据库中添加从安全域的相关信息。
(54)应用提供商管理平台通过OTA服务器向智能卡发送SELECT报文,选择由卡发行商管理平台创建的从安全域(步骤54对应于图3中的步骤S304)。
(55)应用提供商管理平台和从安全域按照Global PlatformCard Specification V2.2附录F Secure Channel Protocol‘10’的要求建立SCP10安全信道,完成从安全域对应用提供商管理平台的认证和对话密钥的协商。
(56)应用提供商管理平台通知从安全域生成新的公钥和私钥。
(57)从安全域通过调用卡上生成密钥的接口重新产生从安全域的公钥和私钥,然后将公钥返回给应用提供商管理平台。
(58)应用提供商管理平台将从安全域的公钥和其他证书申请信息发给应用提供商CA,由CA签发从安全域的证书。
(59)应用提供商管理平台通过PUT KEY报文,将从安全域证书发送给从安全域(步骤56、57、58、59对应于图3中的步骤S306)。
(60)从安全域使用对话密钥对报文进行解密,获得从安全域证书后,安装从安全域的证书;从安全域发送PUT KEY Response给应用提供商管理平台。
并且,在上述步骤完成后,应用提供商管理平台和从安全域之间可以继续进行电子支付应用的下载和安装等过程。
综上所述,借助于本发明的技术方案,在卡发行商管理平台将从安全域的基本信息和密钥返回给应用提供商管理平台后,应用提供商管理平台和从安全域之间重新进行密钥分发,并且应用提供商管理平台和智能卡之间通过OTA服务器进行通信而不再经过卡发行商管理平台,从而有效实现了对卡发行商管理平台的隔离,避免了卡发行商管理平台能够获得应用提供商从安全域在卡上生成的从安全域密钥导致密钥传输存在安全隐患的问题,有效地保证了应用提供商从安全域密钥分发的安全性。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种密钥分发方法,应用于包括应用提供商的应用提供商管理平台、卡片发行商管理平台、和OTA服务器的移动通信系统,其特征在于,所述方法包括:
所述卡片发行商管理平台通知所述应用提供商对应的从安全域在智能卡中生成包括公密钥和私密钥的公私密钥对,接收所述从安全域经由所述OTA服务器返回的所述公密钥,将用于外部认证的可信任根公钥导入到所述从安全域,并向应用提供商管理平台发送所述从安全域的信息以及所述公密钥;
应用提供商管理平台接收来自所述卡片发行商管理平台的所述从安全域的信息以及所述公密钥,并根据所述从安全域的信息以及所述公密钥通过所述OTA服务器选择所述智能卡的从安全域;
所述应用提供商管理平台通过所述OTA服务器通知所述从安全域重新生成公密钥和私密钥,根据所述从安全域返回的重新生成的所述公密钥生成从安全域证书,并通过所述OTA服务器将所述从安全域证书发送到所述从安全域,完成对所述从安全域密钥的分发。
2.根据权利要求1所述的方法,其特征在于,所述卡片发行商管理平台通知所述从安全域生成所述公私密钥对的处理具体为:
所述应用提供商管理平台判断所述智能卡中是否存在对应于所述应用提供商的从安全域;
在判断为是的情况下,确定智能卡中已存在所述应用提供商的从安全域,并且不再进行从安全域的创建和密钥的分发过程;
在判断为否的情况下,所述应用提供商管理平台通过所述卡片发行商管理平台在所述智能卡上创建所述从安全域,并通知创建的所述从安全域生成所述公私密钥对。
3.根据权利要求2所述的方法,其特征在于,所述应用提供商管理平台通过所述卡片发行商管理平台在所述智能卡上创建所述从安全域的具体处理为:
所述卡片发行商管理平台通过所述应用提供商管理平台与所述智能卡进行通信,通过所述OTA服务器选择所述智能卡的主安全域并通过所述OTA服务器与所述主安全域建立安全通道;
所述卡片发行商管理平台通过所述安全通道通知所述主安全域建立所述应用提供商对应的从安全域;
所述主安全域在所述智能卡上建立所述从安全域。
4.根据权利要求1所述的方法,其特征在于,在所述应用提供商管理平台接收所述卡片发行商管理平台发送的所述从安全域的信息以及所述公密钥之后,所述方法进一步包括:
所述应用提供商管理平台在其数据库中记录所述从安全域的信息。
5.根据权利要求1所述的方法,其特征在于,在所述应用提供商管理平台根据所述从安全域的信息以及所述公密钥进行所述从安全域选择之后,所述方法进一步包括:
所述应用提供商管理平台通过所述OTA服务器与所述从安全域建立安全信道。
6.根据权利要求1所述的方法,其特征在于,在所述应用提供商管理平台通过所述OTA服务器将所述从安全域证书发送到所述从安全域之后,所述方法进一步包括:
所述从安全域将所述从安全域证书写入到所述从安全域。
7.一种密钥分发系统,其特征在于,包括:
卡片发行商管理平台,包括:
第一通知模块,用于在智能卡中对应于应用提供商的从安全域被创建后,通过OTA服务器通知所述从安全域在所述智能卡中生成包括公密钥和私密钥的公私密钥对;
第一接收模块,用于通过所述OTA服务器接收所述从安全域返回的所述公密钥;
导入模块,用于通过所述OTA服务器将用于外部认证的可信任根公钥导入到所述从安全域;
第一发送模块,用于在所述导入模块将所述可信任根公钥导入之后将所述从安全域的信息和所述公密钥发送给应用提供商管理平台;
所述应用提供商管理平台,包括:
第二接收模块,用于接收来自所述卡片发行商管理平台的所述从安全域的信息以及所述公密钥;
选择模块,用于根据所述从安全域的信息以及所述公密钥通过所述OTA服务器选择所述智能卡的从安全域;
第二通知模块,用于通过所述OTA服务器通知所述从安全域重新生成公密钥和私密钥;
生成模块,用于根据所述从安全域经由所述OTA服务器返回的重新生成的公密钥生成从安全域证书;
第二发送模块,用于通过将所述从安全域证书经由所述OTA服务器发送到所述从安全域,完成对所述从安全域密钥的分发;
所述OTA服务器,连接至所述卡片发行商管理平台、所述应用提供商管理平台,用于实现所述卡片发行商管理平台与所述智能卡之间的通信、实现所述应用提供商管理平台与所述智能卡之间的通信;
所述智能卡,位于移动终端,包括所述从安全域,其中,所述从安全域用于生成所述公私密钥对,并通过所述OTA服务器向所述卡片发行商管理平台返回所述公密钥,在所述应用提供商管理平台通知所述从安全域重新生成公密钥和私密钥的情况下,重新生成公密钥和私密钥,并通过所述OTA服务器向所述应用提供商管理平台返回重新生成的所述公密钥,以及通过所述OTA服务器接收所述应用提供商管理平台发送的所述从安全域证书。
8.根据权利要求7所述的系统,其特征在于,所述应用提供商管理平台进一步包括:
判断模块,用于判断所述智能卡中是否存在对应于所述应用提供商的从安全域;
创建模块,用于在所述判断模块判断为否的情况下,通过所述卡片发行商管理平台在所述智能卡上创建所述从安全域。
9.根据权利要求7所述的系统,其特征在于,所述应用提供商管理平台进一步包括:
数据库,用于在所述应用提供商管理平台接收到所述卡片发行商管理平台发送的所述从安全域的信息以及所述公密钥之后,记录所述从安全域的信息。
10.根据权利要求7所述的系统,其特征在于,所述应用提供商管理平台进一步包括:
建立模块,用于在根据所述从安全域的信息以及所述公密钥通过所述OTA服务器选择所述智能卡的从安全域之后,经由所述OTA服务器与所述从安全域建立安全信道。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008101719168A CN101729245B (zh) | 2008-10-24 | 2008-10-24 | 密钥分发方法和系统 |
| PCT/CN2009/073461 WO2010045825A1 (zh) | 2008-10-24 | 2009-08-24 | 密钥分发方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008101719168A CN101729245B (zh) | 2008-10-24 | 2008-10-24 | 密钥分发方法和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101729245A CN101729245A (zh) | 2010-06-09 |
| CN101729245B true CN101729245B (zh) | 2011-12-07 |
Family
ID=42118940
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2008101719168A Active CN101729245B (zh) | 2008-10-24 | 2008-10-24 | 密钥分发方法和系统 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN101729245B (zh) |
| WO (1) | WO2010045825A1 (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103107881B (zh) * | 2011-11-11 | 2017-02-08 | 中兴通讯股份有限公司 | 智能卡的访问方法、装置及系统 |
| CN103108323B (zh) * | 2011-11-11 | 2017-08-11 | 中兴通讯股份有限公司 | 安全性操作执行系统及执行方法 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1819513A (zh) * | 2006-03-23 | 2006-08-16 | 北京易恒信认证科技有限公司 | Cpk id证书及其生成方法 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100562255B1 (ko) * | 2004-09-21 | 2006-03-22 | 에스케이 텔레콤주식회사 | 시큐리티 도메인의 키 초기화 방법 |
| KR101143193B1 (ko) * | 2005-11-25 | 2012-05-18 | 주식회사 엘지유플러스 | Ic 칩을 발급하는 방법 및 그 시스템 |
| US20070204166A1 (en) * | 2006-01-04 | 2007-08-30 | Tome Agustin J | Trusted host platform |
-
2008
- 2008-10-24 CN CN2008101719168A patent/CN101729245B/zh active Active
-
2009
- 2009-08-24 WO PCT/CN2009/073461 patent/WO2010045825A1/zh active Application Filing
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1819513A (zh) * | 2006-03-23 | 2006-08-16 | 北京易恒信认证科技有限公司 | Cpk id证书及其生成方法 |
Non-Patent Citations (1)
| Title |
|---|
| 张喜蕊等.基于OTA模式的SIM卡安全技术.《电子技术应用》.2007,(第5期),第148-150页. * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101729245A (zh) | 2010-06-09 |
| WO2010045825A1 (zh) | 2010-04-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101729502B (zh) | 密钥分发方法和系统 | |
| CN101729493B (zh) | 密钥分发方法和系统 | |
| CN101729503B (zh) | 密钥分发方法和系统 | |
| CN101729244B (zh) | 密钥分发方法和系统 | |
| CN104050565B (zh) | 基于pboc支付网络的智能支付系统及其移动终端 | |
| CN101819696B (zh) | 一种应用下载的系统和方法 | |
| CN101742480B (zh) | 智能卡从安全域初始密钥分发方法、系统及移动终端 | |
| GB2464632A (en) | Secure Memory Storage | |
| CN101322424A (zh) | 用于初始化无线终端中的安全元件的方法和装置 | |
| CN101739756B (zh) | 一种智能卡密钥的生成方法 | |
| CN103366140A (zh) | 一种基于nfc的写卡方法和写卡装置 | |
| CN104240073A (zh) | 一种基于预付卡的脱机支付方法和系统 | |
| CN101729246B (zh) | 密钥分发方法和系统 | |
| CN101742481B (zh) | 智能卡的从安全域初始密钥分发方法和系统、移动终端 | |
| CN101729243B (zh) | 密钥更新方法和系统 | |
| CN105704092A (zh) | 用户身份认证方法、装置和系统 | |
| CN106779672A (zh) | 移动终端安全支付的方法及装置 | |
| CN101729245B (zh) | 密钥分发方法和系统 | |
| CN102892096B (zh) | 实现账户充值的系统、方法、业务运营支撑系统和设备 | |
| CN104361304A (zh) | 一种智能卡应用程序的下载方法及装置 | |
| KR101288288B1 (ko) | 모듈형 공동 애플리케이션 제공 방법 | |
| EP3937454A1 (en) | Secure end-to-end pairing of secure element to mobile device | |
| CN103455916A (zh) | 远程无线认证方法和系统 | |
| CN105306988A (zh) | 基于机顶盒的近场安全支付方法及系统 | |
| KR20120089884A (ko) | 인증 값 합의를 통해 카드 거래를 제공하는 스마트폰과 그 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |