CN101729246B - 密钥分发方法和系统 - Google Patents
密钥分发方法和系统 Download PDFInfo
- Publication number
- CN101729246B CN101729246B CN2008101719172A CN200810171917A CN101729246B CN 101729246 B CN101729246 B CN 101729246B CN 2008101719172 A CN2008101719172 A CN 2008101719172A CN 200810171917 A CN200810171917 A CN 200810171917A CN 101729246 B CN101729246 B CN 101729246B
- Authority
- CN
- China
- Prior art keywords
- security domain
- management platform
- application provider
- key
- smart card
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0877—Generation of secret information including derivation or calculation of cryptographic keys or passwords using additional device, e.g. trusted platform module [TPM], smartcard, USB or hardware security module [HSM]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/083—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0431—Key distribution or pre-distribution; Key agreement
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0433—Key management protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种密钥分发方法和系统,其中,该方法包括:卡片发行商管理平台生成应用提供商对应的从安全域的初始密钥,将初始密钥、用于外部认证的信任根公钥通过OTA服务器导入到从安全域,并向应用提供商管理平台发送从安全域的信息以及初始密钥;应用提供商管理平台接收从安全域的信息以及初始密钥,并根据从安全域的信息以及初始密钥通过OTA服务器选择智能卡的从安全域;应用提供商管理平台生成从安全域的公密钥和私密钥以及从安全域证书,并通过OTA服务器将公密钥和私密钥以及从安全域证书加密后发送到从安全域。通过使用本发明,能够有效实现对卡发行商管理平台的隔离,保证了应用提供商从安全域密钥分发的安全性。
Description
技术领域
本发明涉及通信领域,并且特别地,涉及一种密钥分发方法和系统。
背景技术
在相关技术中,近场通信技术(Near Field Communication,简称为NFC)是工作于13.56MHz的一种近距离无线通信技术,该技术由射频识别(Radio Frequency Identification,简称为RFID)技术及互连技术融合演变而来。手机等移动通信终端在集成NFC技术后,可以模拟非接触式IC卡,用于电子支付的相关应用;此外,在移动通信终端上实现该方案需要在终端上增加NFC模拟前端芯片和NFC天线,并使用支持电子支付的智能卡。
IC卡特别是非接触式IC卡经过十多年的发展,已经被广泛应用于公交、门禁、小额电子支付等领域;与此同时,手机经历20多年的迅速发展后,其应用已经基本得到普及,并且给人们的工作及生活带来了很大的便利,随着手机的功能越来越强大,将手机和非接触式IC卡技术结合,将手机应用于电子支付领域,会进一步扩大手机的使用范围,给人们的生活带来便捷,存在着广阔的应用前景。
在相关技术中,为实现基于NFC技术的移动电子支付,需要建立移动终端电子支付系统,并通过该系统实现对移动终端电子支付 的管理,其中,移动终端电子支付系统包括:智能卡的发行、电子支付应用的下载、安装和个人化、以及采用相关技术和管理策略实现电子支付的安全等。
安全域是卡外实体包括卡发行商和应用提供商在卡上的代表,它们包含用于支持安全通道协议运作以及卡内容管理的加密密钥。安全域负责它们自己的密钥管理,这保证了来自不同应用提供者的应用和数据可以共存于同一个卡上。安全域的密钥采用非对称密钥体制时,安全域上的密钥和证书需要包括:安全域的公钥和私钥、安全域的证书、用于认证卡外实体证书的可信任根公钥。
应用提供商在智能卡上的安全域为从安全域,在将应用提供商的电子支付应用下载并安装到智能卡之前,需要在智能卡上先通过卡发行商拥有的智能卡主安全域创建应用提供商的从安全域,然后设置从安全域的密钥。
安全域密钥作为机密数据,需要采取可靠及安全的方法和技术将有关密钥和证书导入到从安全域,实现从安全域密钥的安全分发,其中,从安全域的创建需要由卡发行商管理平台指示智能卡上的主安全域创建,而且从安全域创建完成后,从安全域的初始密钥需要由卡发行商管理平台负责设置和分发。
从安全域创建完成后,卡发行商管理平台可以通知应用提供商管理平台生成从安全域的公私密钥对和证书;应用提供商管理平台生成从安全域的公私密钥对和证书后,再由卡发行商管理平台通过智能卡主安全域将从安全域公私密钥对和证书发送给从安全域,由此完成从安全域的密钥分发。
在上述情况下,卡发行商管理平台负责密钥数据的传送时可以获得发送的安全域密钥数据,可能使用获得的密钥对从安全域执行操作,这样会对应用提供商的电子支付应用安全造成威胁,因此,急需一种解决从安全域密钥的分发不安全的问题的技术方案。
发明内容
考虑到相关技术中从安全域密钥的分发不安全的问题而做出本发明,为此,本发明的主要目的在于提供一种密钥分发方法和系统,以避免从安全域密钥被卡片发行商管理平台获取导致的密钥不安全的问题。
根据本发明的一个方面,提供了一种密钥分发方法,该方法应用于包括应用提供商的应用提供商管理平台、卡片发行商管理平台、和OTA服务器的移动通信系统。
根据本发明的密钥分发方法包括:卡片发行商管理平台生成应用提供商对应的从安全域的初始密钥,将初始密钥、用于外部认证的信任根公钥通过OTA服务器导入到从安全域,并向应用提供商管理平台发送从安全域的信息以及初始密钥;
应用提供商管理平台接收从安全域的信息以及初始密钥,并根据从安全域的信息以及初始密钥通过OTA服务器选择智能卡的从安全域;
应用提供商管理平台生成从安全域的公密钥和私密钥以及从安全域证书,并通过OTA服务器将公密钥和私密钥以及从安全域证书加密后发送到从安全域。
其中,卡片发行商管理平台生成初始密钥的具体处理为:应用提供商管理平台判断智能卡中是否存在对应于应用提供商的从安全域;在判断为是的情况下,确定智能卡中已存在应用提供商的从安全域,并且不再进行从安全域的创建和密钥的分发过程;在判断为 否的情况下,应用提供商管理平台通过卡片发行商管理平台在智能卡上创建从安全域,并由卡片发行商管理平台生成初始密钥。
并且,应用提供商管理平台通过卡片发行商管理平台在智能卡上创建从安全域的具体处理为:卡片发行商管理平台通过应用提供商管理平台与智能卡进行通信,通过OTA服务器选择智能卡的主安全域并通过OTA服务器与主安全域建立安全通道;卡片发行商管理平台通过安全通道通知主安全域建立应用提供商对应的从安全域;主安全域在智能卡上建立从安全域。
此外,在应用提供商管理平台接收卡片发行商管理平台发送的从安全域的信息以及初始密钥之后,该方法可进一步包括:应用提供商管理平台在其数据库中记录从安全域的信息。
此外,在应用提供商管理平台根据从安全域的信息以及初始密钥通过OTA服务器选择智能卡的从安全域之后,该方法可进一步包括:应用提供商管理平台通过OTA服务器与从安全域建立安全信道。
此外,在应用提供商管理平台通过OTA服务器将公密钥和私密钥以及从安全域证书经过加密后发送到从安全域之后,该方法可进一步包括:从安全域将初始密钥更新为公私密钥,并将从安全域证书写入到从安全域。
根据本发明的另一方面,提供了一种密钥分发系统。
根据本发明的密钥分发系统包括:
卡片发行商管理平台,包括:第一生成模块,用于生成与应用提供商对应的从安全域的初始密钥;导入模块,用于将初始密钥、用于外部认证的信任根公钥通过OTA服务器导入到从安全域;第一 发送模块,用于向应用提供商管理平台发送从安全域的信息以及初始密钥;
应用提供商管理平台,包括:接收模块,用于接收卡片发行商管理平台的从安全域的信息以及初始密钥;选择模块,用于根据从安全域的信息以及初始密钥通过OTA服务器选择智能卡的从安全域;第二生成模块,用于生成从安全域的公密钥和私密钥以及从安全域证书;第二发送模块,用于通过OTA服务器将公密钥和私密钥以及从安全域证书加密后发送到从安全域,完成从安全域密钥的分发;
OTA服务器,连接至卡片发行商管理平台、应用提供商管理平台,用于实现卡片发行商管理平台与智能卡之间的通信、实现应用提供商管理平台与智能卡之间的通信;
智能卡,位于移动终端,包括从安全域,其中,从安全域用于根据应用提供商管理平台经由OTA服务器发送的初始密钥以及信任根公钥进行设置,并根据应用提供商管理平台经由OTA服务器发送的公密钥和私密钥以及从安全域证书进行设置,并安装从安全域证书。
其中,上述应用提供商管理平台可进一步包括:判断模块,用于判断智能卡中是否存在对应于应用提供商的从安全域;创建模块,用于在判断模块判断为否的情况下,通过卡片发行商管理平台在智能卡上创建从安全域。
此外,应用提供商管理平台还可进一步包括:数据库,用于在应用提供商管理平台接收到卡片发行商管理平台发送的从安全域的信息以及初始密钥之后,记录从安全域的信息。
优选地,应用提供商管理平台还可进一步包括:建立模块,用于在根据从安全域的信息以及初始密钥通过OTA服务器选择智能卡的从安全域之后,经由OTA服务器与从安全域建立安全信道。
通过本发明的上述技术方案,在卡发行商管理平台将从安全域的基本信息和初始密钥返回给应用提供商管理平台后,应用提供商管理平台和从安全域之间重新进行密钥分发,并且应用提供商管理平台和智能卡之间通过OTA服务器进行通信而不再经过卡发行商管理平台,从而有效实现了对卡发行商管理平台的隔离,避免了由于卡发行商管理平台能够获得应用提供商管理平台生成的从安全域公密钥、私密钥和证书而导致的密钥传输存在安全隐患的问题,有效地保证了应用提供商从安全域密钥分发的安全性。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是根据本发明系统实施例的移动终端电子支付系的结构框图;
图2是根据本发明系统实施例的密钥分发系统的结构框图;
图3是根据本发明分发实施例的密钥分发方法的流程图;
图4是根据本发明分发实施例的密钥分发方法的流程图。
具体实施方式
功能概述
目前,在相关技术中,卡发行商管理平台负责密钥数据的传送时可以获得发送的安全域密钥数据,可能使用获得的密钥对从安全 域执行操作,这样会对应用提供商的电子支付应用安全造成威胁,针对这种安全隐患,本发明提出了通过OTA服务器传输安全域密钥数据的技术方案,从而有效隔离卡发行商管理平台,保证了密钥传输的安全性。
下面将结合附图详细描述本发明。
如图1所示,根据本发明实施例的移动终端电子支付系统主要由卡片发行商管理平台1、应用提供商管理平台2和包含有智能卡的移动终端3组成,该系统中可以存在多个应用提供商管理平台。
其中,卡发行商管理平台1包括卡片管理子系统10、应用管理子系统11、密钥管理子系统12、证书管理子系统13、应用提供商管理子系统14,其中,证书管理子系统13在基于近场通信技术的移动终端电子支付系统支持非对称密钥的情况下使用,证书管理系统13和卡片发行商CA系统连接;应用管理子系统11负责卡发行商自己的应用或者其负责托管的应用的提供和管理功能;应用提供商管理子系统14可记录应用提供商的有关信息,规定应用提供商的业务权限等。
此外,卡发行商管理平台1所属的卡发行商仅在支持非对称密钥情况下使用证书管理系统13。卡片发行商对卡的资源和生命周期、密钥、证书进行管理,还对其他应用提供商的安全域进行创建,并与其他安全域交互应用数据。
应用提供商管理平台2包括应用管理子系统20、密钥管理子系统21、证书管理子系统22,其中,证书管理子系统22在移动支付系统支持非对称密钥的情况下使用,证书管理子系统22和应用提供 商CA系统连接,并且仅在支持非对称密钥情况下使用证书管理系统。并且,应用提供商可以通过应用提供商管理平台2提供各种业务应用,并对卡上与其对应的安全域进行管理,对其安全域的应用密钥、证书、数据等进行控制,提供应用的安全下载功能。应用提供商可以是运营商、银行、公交公司、零售商户等。另外,应用提供商可拥有业务终端管理系统和业务终端,并且可通过业务终端向用户提供服务。
移动终端3中具备支持电子支付的智能卡(未示出),并且,为了实现智能卡的安全性管理和支付应用的下载、安装等功能,智能卡需要和卡发行商管理平台以及应用提供商管理平台建立通信。
实现智能卡和管理平台(上述卡发行商管理平台1和应用提供商管理平台2)的通信可以通过两个途径:(1)智能卡通过移动终端使用移动通信网络和管理平台建立通信,一般采用OTA(Over TheAir)技术实现智能卡和管理平台的通信。(2)通过管理平台的业务终端实现智能卡和管理平台的连接。业务终端配置有非接触读卡器或者直接读取智能卡的读卡器,并且业务终端可以和管理平台建立通信,从而实现智能卡和管理平台的通信。
在上述的移动支付系统中,用户能够电子支付应用的下载、安装和使用,用户通过与卡片发行商或应用提供商交互,对移动终端和卡进行操作,在安全域内下载及安装新的应用,使用提供的各种业务应用。
基于近场通信技术的移动终端电子支付系统支持多电子支付应用,在智能卡上可以安装多个电子支付应用。为了实现支付应用的安全,智能卡采用Global Platform Card Specification V2.1/V2.2规范,智能卡被分隔为若干个独立的安全域,以保证多个应用相互之间的隔离以及独立性,各个应用提供商管理各自的安全域以及应用、应 用数据等。这里提到的支持Global Platform规范的智能卡指的是符合Global Platform Card Specification V2.1.1/V2.2规范的IC芯片或智能卡,从物理形式上可以为SIM/USIM卡、可插拔的智能存储卡或者集成在移动终端上的IC芯片。
安全域是卡外实体包括卡发行商和应用提供商在卡上的代表,它们包含用于支持安全通道协议运作以及卡内容管理的加密密钥,如果电子支付系统支持Global Platform Card Specification V2.1.1规范,安全通道协议支持Secure Channel Protocol‘02’(基于对称密钥);如果电子支付系统支持Global Platform Card Specification V2.2规范,安全通道协议支持Secure Channel Protocol‘10’(基于非对称密钥)。安全域负责它们自己的密钥管理,这保证了来自不同应用提供者的应用和数据可以共存于同一个卡上。安全域的密钥采用非对称密钥体制时,安全域上的密钥和证书需要包括:安全域的公钥(也可称为公密钥)和私钥(也可称为私密钥)、安全域的证书、用于认证卡外实体证书的可信任根公钥。
应用提供商在智能卡上的安全域为从安全域。在将应用提供商的电子支付应用下载并安装到智能卡之前,需要在智能卡上先通过卡发行商拥有的智能卡主安全域创建应用提供商的从安全域,然后设置从安全域的密钥。
安全域密钥作为机密数据,需要采取可靠及安全的方法和技术将有关密钥和证书导入到从安全域,实现从安全域密钥的安全分发。从安全域的创建需要由卡发行商管理平台指示智能卡上的主安全域创建,而且从安全域创建完成后,从安全域的初始密钥需要由卡发行商管理平台负责设置和分发。
通常,从安全域创建完成后,卡发行商管理平台可以通知应用提供商管理平台生成从安全域的公私密钥对和证书;应用提供商管 理平台生成从安全域的公私密钥对和证书后,再由卡发行商管理平台通过智能卡主安全域将从安全域公私密钥对和证书发送给从安全域,由此完成从安全域的密钥分发。在这种情况下,卡发行商管理平台负责密钥数据的传送时可以获得发送的安全域密钥数据,可能使用获得的密钥对从安全域执行操作,这样会对应用提供商的电子支付应用安全造成威胁,需要解决从安全域密钥的安全分发问题。
图1中所示的OTA服务器就能够解决上述的从安全域密钥的安全分发问题。
基于上述电子支付系统,本发明提出了一种密钥分发系统。
如图2所示,根据本实施例的密钥分发系统包括:
卡片发行商管理平台202,包括第一生成模块(未示出),用于生成与应用提供商对应的从安全域(未示出)的初始密钥(该初始密钥可以包括初始公密钥和初始私密钥);导入模块(未示出),用于将初始密钥、用于外部认证的信任根公钥通过OTA服务器206导入到从安全域;第一发送模块(未示出),用于向应用提供商管理平台204发送从安全域的信息以及初始密钥;卡发行商管理平台202与应用提供商管理平台204之间可通过专线或者Internet连接,卡发行商管理平台202可以通过应用提供商管理平台204及OTA服务器206和智能卡208建立通信。并且,结合图1所示的卡发行商管理平台,可以将第一生成模块、导入模块、和第一发送模块设置于上述密钥管理子系统12,并且可以根据实际应用需要将上述一个或多个模块设置于其它子系统中。
应用提供商管理平台204,包括:接收模块(未示出),用于接收卡片发行商管理平台202的从安全域的信息以及初始密钥;选择模块(未示出),用于根据从安全域的信息以及初始密钥通过OTA 服务器206选择智能卡208的从安全域;第二生成模块(未示出),用于生成从安全域的公密钥和私密钥以及从安全域证书;第二发送模块(未示出),用于通过OTA服务器206将公密钥和私密钥以及从安全域证书加密后发送到从安全域,完成从安全域密钥的分发;此外,应用提供商管理平台202可以通过OTA服务器206提供电子支付的有关服务:提供可以下载的电子支付应用列表,参与从安全域的创建和密钥分法、电子支付应用的下载、电子支付应用的个人化等。并且,结合图1所示的应用提供商管理平台,可以将接收模块、选择模块、第二生成模块、和第二发送模块设置于上述密钥管理子系统21,并且可以根据实际应用需要将上述一个或多个模块设置于其它子系统中。
在本发明中,在通过OTA方式在智能卡中下载应用提供商的电子支付应用以前,应用提供商管理平台需要先检查智能卡中是否存在自己的从安全域。如果没有对应的从安全域,应用提供商管理平台需要请求卡发行商管理平台在智能卡上创建属于自己的从安全域。
图2所示的密钥分发系统还包括:OTA服务器206,连接至卡片发行商管理平台202、应用提供商管理平台204,用于实现卡片发行商管理平台202与智能卡208之间的通信、实现应用提供商管理平台204与智能卡208之间的通信;也就是说,智能卡208可通过OTA服务器206和应用提供商管理平台202以及卡发行商管理平台204建立连接,OTA服务器206传输智能卡208和应用提供商管理平台204以及卡发行商管理平台202之间的通讯数据。
智能卡208,位于移动终端(未示出),包括从安全域(未示出),其中,从安全域用于根据应用提供商管理平台204经由OTA服务器206发送的初始密钥以及信任根公钥进行设置,并根据应用提供商管理平台204经由OTA服务器206发送的公密钥和私密钥以及从安 全域证书进行设置,并安装从安全域证书。为了实现上述功能,智能卡208和移动终端应当支持OTA功能,保证智能卡208可以通过移动终端和OTA服务器206进行通信;并且,可以在移动终端的屏幕上显示可以下载的电子支付应用、选择下载的电子支付应用并将电子支付应用下载到智能卡208等。
优选地,应用提供商管理平台204进一步包括:数据库(未示出),用于在应用提供商管理平台204接收到卡片发行商管理平台202发送的从安全域的信息以及初始密钥之后,记录从安全域的信息。
并且,应用提供商管理平台204可进一步包括:建立模块(未示出),用于在根据从安全域的信息以及初始密钥通过OTA服务器选择智能卡208的从安全域之后,经由OTA服务器206与从安全域建立安全信道。
优选地,应用提供商管理平台204可进一步包括:判断模块(未示出),用于判断智能卡208中是否存在对应于应用提供商的从安全域;以及创建模块(未示出),用于在判断模块判断为否的情况下,通过卡片发行商管理平台202在智能卡208上创建从安全域。
在创建安全域时,卡发行商管理平台202通过应用提供商管理平台204及OTA服务器206和智能卡208进行通信,卡发行商管理平台202选择智能卡208的主安全域,和主安全域建立安全通信信道,通知主安全域创建应用提供商从安全域。从安全域创建完成后,卡发行商管理平台生成从安全域的初始公密钥和私密钥,将初始密钥、信任根公钥通过OTA服务器导入到从安全域。
优选地,在实际应用当中,智能卡可以符合Global Platform CardSpecification V2.2规范,智能卡安全域采用非对称密钥体制,创建 的从安全域中需要导入的密钥包括:从安全域的公钥和私钥、从安全域证书和外部认证使用的信任根公钥(One Public Key for TrustPoint for External Authentication,PK.TP_EX.AUT)。从安全域的公钥和私钥由应用提供商管理平台生成,从安全域证书由应用提供商管理平台根据从安全域公钥生成,外部认证使用的信任根公钥(PK.TP_EX.AUT)是由签发应用提供商证书的CA提供的,可以从应用提供商管理平台获得,该公钥用于从安全域对应用提供商的证书进行认证,可以由卡发行商管理平台在创建从安全域时导入到从安全域。从安全域的公钥和私钥可以采用RSA算法生成,公钥和私钥的长度选择为1024bits。
此外,应用提供商管理平台和OTA服务器连接,OTA服务器和移动通信网络中的GPRS/PDSN网关或者短信网管建立通信连接。OTA服务器可以通过数据业务或者短信的方式和智能卡建立通信连接;从通信效率和安全性上考虑,在实施过程中,优选地,可以采用数据业务的方式。采用数据业务通道实现OTA时,智能卡和移动终端之间可以采用BIP通信协议,移动终端通过TCP/IP协议和OTA服务器建立通信。
可以看出,在本发明的密钥分发系统中,在卡发行商管理平台将从安全域的基本信息和初始密钥返回给应用提供商管理平台后,应用提供商管理平台和从安全域之间重新进行密钥分发,这时应用提供商管理平台和智能卡之间的通信不再经过卡发行商管理平台传输,而是经过OTA服务器进行,实现了对卡发行商管理平台的隔离,卡发行商管理平台无法获得应用提供商管理平台生成的从安全域公密钥、私密钥和证书,有效地保证了应用提供商从安全域密钥分发的安全性。
方法实施例
在本实施例中,提供了一种密钥分发方法,应用于包括应用提供商的应用提供商管理平台、卡片发行商管理平台、和OTA服务器的移动通信系统。
如图3所示,根据本实施例的密钥分发方法包括:
步骤S302,卡片发行商管理平台生成应用提供商对应的从安全域的初始密钥(该初始密钥可以包括初始公密钥和初始私密钥),将初始密钥、信任根公钥通过OTA服务器导入到从安全域,并向应用提供商管理平台发送从安全域的信息以及初始密钥;
步骤S304,应用提供商管理平台接收从安全域的信息以及初始密钥,并根据从安全域的信息以及初始密钥通过OTA服务器选择智能卡的从安全域;
步骤S306,应用提供商管理平台生成从安全域的公密钥和私密钥以及从安全域证书,并通过OTA服务器将公密钥和私密钥以及从安全域证书加密后发送到从安全域。
其中,卡片发行商管理平台生成初始密钥的具体处理为:应用提供商管理平台判断智能卡中是否存在对应于应用提供商的从安全域;在判断为是的情况下,则可以确定智能卡中已存在应用提供商的从安全域,并且不再进行安全域的创建和密钥的分发过程;在判断为否的情况下,应用提供商管理平台通过卡片发行商管理平台在智能卡上创建从安全域,并由卡片发行商管理平台生成初始密钥。
具体地,检查(判断)智能卡中是否存在属于该应用提供商的从安全域。检查的方法可以包括以下处理过程:
应用提供商管理平台通过OTA服务器向智能卡发送命令读取智能卡的特征信息ICCID,然后应用提供商管理平台根据ICCID在系统的已创建从安全域的智能卡数据库中检索该智能卡是否已经创建自己的从安全域。
当应用提供商在每个智能卡上的从安全域的ID相同时,应用提供商管理平台可以通过OTA服务器向智能卡发送SELECT报文,报文中的对象参数为从安全域ID。如果智能卡返回的SELECTRESPONSE中指示对应的从安全域不存在时,可以判断该智能卡上不存在应用提供商的从安全域。
此外,应用提供商管理平台通过卡片发行商管理平台在智能卡上创建从安全域的具体处理为:卡片发行商管理平台通过应用提供商管理平台与智能卡进行通信,通过OTA服务器选择智能卡的主安全域并通过OTA服务器与主安全域建立安全通道;卡片发行商管理平台通过安全通道通知主安全域建立应用提供商对应的从安全域;主安全域在智能卡上建立从安全域。
此外,在应用提供商管理平台接收卡片发行商管理平台发送的从安全域的信息以及初始密钥之后,该方法可进一步包括:应用提供商管理平台在其数据库中记录从安全域的信息。
优选地,在应用提供商管理平台根据从安全域的信息以及初始密钥通过OTA服务器选择智能卡的从安全域之后,该方法可进一步包括:应用提供商管理平台通过OTA服务器与从安全域建立安全信道。
最后,在应用提供商管理平台通过OTA服务器将公密钥和私密钥以及从安全域证书经过加密后发送到从安全域之后,该方法可进 一步包括:从安全域将初始密钥更新为公私密钥,并将从安全域证书写入到从安全域。
下面将结合具体应用实例描述根据本实施例的密钥分发处理。
图4示出了根据本实施例的密钥分发方法的处理实例的信令流程。如图4所示,根据本实施例的应用提供商从安全域的创建和密钥分发过程具体包括以下处理:
(41)应用提供商管理平台通过OTA服务器向智能卡发送命令读取智能卡的特征信息ICCID,然后将智能卡特征信息ICCID发送给应用提供商管理平台。
(42)应用提供商管理平台向卡发行商管理平台发送从安全域创建请求,在请求报文中包括应用提供商ID(ASP_ID)和智能卡标识信息ICCID等。
(43)卡发行商管理平台收到从安全域创建请求后,验证从安全域创建请求信息,并确定是否允许该请求。卡发行商可以根据应用提供商的业务权限等确定是否允许通过应用提供商管理平台创建从安全域。
(44)卡发行商管理平台确认可以通过应用提供商管理平台创建从安全域后,卡发行商管理平台根据智能卡ICCID在平台内的数据库中检索该智能卡的相关信息,包括智能卡主安全域ID(ISD_ID)等。
(45)卡发行商管理平台通过应用提供商管理平台向智能卡发送SELECT报文,选择智能卡的主安全域。
(46)卡发行商管理平台和智能卡主安全域按照GlobalPlatform Card Specification V2.2附录F Secure Channel Protocol‘10’的要求建立SCP10安全信道,完成双方的认证及对话密钥的协商。
(47)卡发行商管理平台向主安全域发送从安全域创建报文INSTALL[for Install]。主安全域按照报文创建从安全域,完成创建后,主安全域发送INSTALL Response给卡发行商管理平台。
(48)卡发行商管理平台接收到从安全域创建响应并确认从安全域已创建后,生成从安全域的初始公私密钥对。
(49)卡发行商管理平台通过PUT KEY报文将从安全域的公私钥和外部认证使用的信任根公钥(One Public Key for Trust Pointfor External Authentication,PK.TP_EX.AUT)发送给智能卡主安全域。
(50)智能卡主安全域将从安全域的初始公私钥和PK.TP_EX.AUT发送给从安全域,从安全域进行初始公私钥和PK.TP_EX.AUT的设置,然后发送PUT KEY RESPONSE给卡发行商管理平台。
(51)卡发行商管理平台将创建的从安全域的基本信息和智能卡的公私密钥对发送给应用提供商管理平台(步骤48、49、50、51对应于图3中的步骤S302)。
(52)应用提供商管理平台在数据库中添加从安全域的相关信息。
(53)应用提供商管理平台通过OTA服务器向智能卡发送SELECT报文,选择由卡发行商管理平台创建的从安全域(步骤53对应于图3中的步骤S304)。
(54)应用提供商管理平台和从安全域按照Global PlatformCard Specification V2.2附录F Secure Channel Protocol‘10’的要求建立SCP10安全信道,完成从安全域对应用提供商管理平台的认证和对话密钥的协商。
(55)应用提供商管理平台生成从安全域的公钥和私钥,应用提供商管理平台中的证书管理系统将从安全域的公钥和证书申请信息发给应用提供商CA,由CA签发从安全域证书。
(56)应用提供商管理平台通过PUT KEY报文,将从安全域公私钥、证书发送给从安全域。为了保证数据的安全,在PUT KEY报文中,需要使用对话密钥将从安全域公私钥和证书进行加密(步骤55和56对应于图3中的步骤S304)。
(57)从安全域使用对话密钥将报文进行解密,获得应用提供商管理平台发送的公私密钥对和从安全域证书;从安全域将由卡发行商管理平台生成的初始公私钥更新为由应用提供商管理平台生成的公私钥并安装从安全域的证书。
并且,在上述步骤完成后,应用提供商管理平台和从安全域之间可以继续进行支付应用的下载和安装等过程。
综上所述,借助于本发明的技术方案,在卡发行商管理平台将从安全域的基本信息和初始密钥返回给应用提供商管理平台后,应用提供商管理平台和从安全域之间重新进行密钥分发,并且应用提供商管理平台和智能卡之间通过OTA服务器进行通信而不再经过卡发行商管理平台,从而有效实现了对卡发行商管理平台的隔离, 避免了卡发行商管理平台能够获得应用提供商管理平台生成的从安全域公密钥、私密钥和证书而导致的密钥传输存在安全隐患的问题,有效地保证了应用提供商从安全域密钥分发的安全性。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种密钥分发方法,应用于包括应用提供商的应用提供商管理平台、卡片发行商管理平台、和OTA服务器的移动通信系统,其特征在于,所述方法包括:
卡片发行商管理平台生成应用提供商对应的从安全域的初始密钥,将所述初始密钥、用于外部认证的信任根公钥通过所述OTA服务器导入到所述从安全域,并向应用提供商管理平台发送所述从安全域的信息以及所述初始密钥;
所述应用提供商管理平台接收所述从安全域的信息以及所述初始密钥,并根据所述从安全域的信息以及所述初始密钥通过所述OTA服务器选择智能卡的从安全域;
所述应用提供商管理平台生成所述从安全域的公密钥和私密钥以及从安全域证书,并通过所述OTA服务器将所述公密钥和所述私密钥以及所述从安全域证书加密后发送到所述从安全域。
2.根据权利要求1所述的方法,其特征在于,所述卡片发行商管理平台生成所述初始密钥的具体处理为:
所述应用提供商管理平台判断智能卡中是否存在对应于所述应用提供商的从安全域;
在判断为是的情况下,确定智能卡中已存在所述应用提供商的从安全域,并且不再进行从安全域的创建和密钥的分发过程;
在判断为否的情况下,所述应用提供商管理平台通过所述卡片发行商管理平台在所述智能卡上创建所述从安全域,并由所述卡片发行商管理平台生成所述初始密钥。
3.根据权利要求2所述的方法,其特征在于,所述应用提供商管理平台通过所述卡片发行商管理平台在所述智能卡上创建所述从安全域的具体处理为:
所述卡片发行商管理平台通过所述应用提供商管理平台与所述智能卡进行通信,通过所述OTA服务器选择所述智能卡的主安全域并通过所述OTA服务器与所述主安全域建立安全通道;
所述卡片发行商管理平台通过所述安全通道通知所述主安全域建立所述应用提供商对应的从安全域;
所述主安全域在所述智能卡上建立所述从安全域。
4.根据权利要求1所述的方法,其特征在于,在所述应用提供商管理平台接收所述卡片发行商管理平台发送的所述从安全域的信息以及所述初始密钥之后,所述方法进一步包括:
所述应用提供商管理平台在其数据库中记录所述从安全域的信息。
5.根据权利要求1所述的方法,其特征在于,在所述应用提供商管理平台根据所述从安全域的信息以及所述初始密钥通过所述OTA服务器选择所述智能卡的从安全域之后,所述方法进一步包括:
所述应用提供商管理平台通过所述OTA服务器与所述从安全域建立安全信道。
6.根据权利要求1所述的方法,其特征在于,在所述应用提供商管理平台通过所述OTA服务器将所述公密钥和所述私密钥以及所述从安全域证书经过加密后发送到所述从安全域之后,所述方法进一步包括:
所述从安全域将所述初始密钥更新为所述公私密钥,并将所述从安全域证书写入到所述从安全域。
7.一种密钥分发系统,其特征在于包括:
卡片发行商管理平台,包括:
第一生成模块,用于生成与应用提供商对应的从安全域的初始密钥;
导入模块,用于将所述初始密钥、用于外部认证的信任根公钥通过OTA服务器导入到所述从安全域;
第一发送模块,用于向应用提供商管理平台发送所述从安全域的信息以及所述初始密钥;
所述应用提供商管理平台,包括:
接收模块,用于接收所述卡片发行商管理平台的所述从安全域的信息以及所述初始密钥;
选择模块,用于根据所述从安全域的信息以及所述初始密钥通过所述OTA服务器选择智能卡的从安全域;
第二生成模块,用于生成所述从安全域的公密钥和私密钥以及从安全域证书;
第二发送模块,用于通过所述OTA服务器将所述公密钥和所述私密钥以及所述从安全域证书加密后发送到所述从安全域,完成从安全域密钥的分发;
所述OTA服务器,连接至所述卡片发行商管理平台、所述应用提供商管理平台,用于实现所述卡片发行商管理平台与所述智能卡之间的通信、实现所述应用提供商管理平台与所述智能卡之间的通信;
所述智能卡,位于移动终端,包括所述从安全域,其中,所述从安全域用于根据所述应用提供商管理平台经由所述OTA服务器发送的所述初始密钥以及所述信任根公钥进行设置,并根据所述应用提供商管理平台经由所述OTA服务器发送的所述公密钥和所述私密钥以及所述从安全域证书进行设置,并安装所述从安全域证书。
8.根据权利要求7所述的系统,其特征在于,所述应用提供商管理平台进一步包括:
判断模块,用于判断所述智能卡中是否存在对应于所述应用提供商的从安全域;
创建模块,用于在所述判断模块判断为否的情况下,通过所述卡片发行商管理平台在所述智能卡上创建所述从安全域。
9.根据权利要求7所述的系统,其特征在于,所述应用提供商管理平台进一步包括:
数据库,用于在所述应用提供商管理平台接收到所述卡片发行商管理平台发送的所述从安全域的信息以及所述初始密钥之后,记录所述从安全域的信息。
10.根据权利要求7所述的系统,其特征在于,所述应用提供商管理平台进一步包括:
建立模块,用于在根据所述从安全域的信息以及所述初始密钥通过所述OTA服务器选择所述智能卡的从安全域之后,经由所述OTA服务器与所述从安全域建立安全信道。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2008101719172A CN101729246B (zh) | 2008-10-24 | 2008-10-24 | 密钥分发方法和系统 |
PCT/CN2009/073457 WO2010045824A1 (zh) | 2008-10-24 | 2009-08-24 | 密钥分发方法和系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2008101719172A CN101729246B (zh) | 2008-10-24 | 2008-10-24 | 密钥分发方法和系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101729246A CN101729246A (zh) | 2010-06-09 |
CN101729246B true CN101729246B (zh) | 2012-02-08 |
Family
ID=42118938
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2008101719172A Active CN101729246B (zh) | 2008-10-24 | 2008-10-24 | 密钥分发方法和系统 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN101729246B (zh) |
WO (1) | WO2010045824A1 (zh) |
Families Citing this family (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9363676B2 (en) | 2010-12-06 | 2016-06-07 | Interdigital Patent Holdings, Inc. | Smart card with domain-trust evaluation and domain policy management functions |
CN102123146A (zh) * | 2011-03-02 | 2011-07-13 | 成都四方信息技术有限公司 | 移动支付交易密钥远程下载工作方法 |
US9185089B2 (en) * | 2011-12-20 | 2015-11-10 | Apple Inc. | System and method for key management for issuer security domain using global platform specifications |
CN103188206A (zh) * | 2011-12-27 | 2013-07-03 | 中兴通讯股份有限公司 | 密钥的交互方法、装置及系统 |
CN106034020B (zh) * | 2015-03-09 | 2019-02-01 | 深圳华智融科技股份有限公司 | 一种密钥发散方法及装置 |
CN106911625B (zh) * | 2015-12-22 | 2020-04-24 | 国民技术股份有限公司 | 一种安全输入法的文本处理方法、装置和系统 |
CN114143777B (zh) * | 2021-12-03 | 2024-04-23 | 天翼物联科技有限公司 | 基于sim卡的物联网终端的证书密钥下载方法及系统 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1688176A (zh) * | 2005-05-16 | 2005-10-26 | 航天科工信息技术研究院 | 基于gsm网络实现无线身份认证和数据安全传输的方法 |
CN1881878A (zh) * | 2006-05-10 | 2006-12-20 | 上海市电信有限公司 | 在可控因特网网络环境下基于智能卡业务安全认证方法 |
CN101164086A (zh) * | 2005-03-07 | 2008-04-16 | 诺基亚公司 | 能够使用无线网络实现信用卡个人化的方法、系统和移动设备 |
CN101267307A (zh) * | 2008-02-29 | 2008-09-17 | 北京中电华大电子设计有限责任公司 | 利用ota系统实现手机数字证书远程管理的方法 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7881477B2 (en) * | 1999-02-05 | 2011-02-01 | Avaya Inc. | Method for key distribution in a hierarchical multicast traffic security system for an internetwork |
KR100806186B1 (ko) * | 2007-01-08 | 2008-02-22 | 에스케이 텔레콤주식회사 | 스마트 카드에서 시큐리티 도메인의 키를 초기화하는 방법및 이동통신 단말기 |
-
2008
- 2008-10-24 CN CN2008101719172A patent/CN101729246B/zh active Active
-
2009
- 2009-08-24 WO PCT/CN2009/073457 patent/WO2010045824A1/zh active Application Filing
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101164086A (zh) * | 2005-03-07 | 2008-04-16 | 诺基亚公司 | 能够使用无线网络实现信用卡个人化的方法、系统和移动设备 |
CN1688176A (zh) * | 2005-05-16 | 2005-10-26 | 航天科工信息技术研究院 | 基于gsm网络实现无线身份认证和数据安全传输的方法 |
CN1881878A (zh) * | 2006-05-10 | 2006-12-20 | 上海市电信有限公司 | 在可控因特网网络环境下基于智能卡业务安全认证方法 |
CN101267307A (zh) * | 2008-02-29 | 2008-09-17 | 北京中电华大电子设计有限责任公司 | 利用ota系统实现手机数字证书远程管理的方法 |
Also Published As
Publication number | Publication date |
---|---|
CN101729246A (zh) | 2010-06-09 |
WO2010045824A1 (zh) | 2010-04-29 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101729503B (zh) | 密钥分发方法和系统 | |
CN101729502B (zh) | 密钥分发方法和系统 | |
CN101729493B (zh) | 密钥分发方法和系统 | |
CN101729244B (zh) | 密钥分发方法和系统 | |
CN102204111B (zh) | 用于在无线智能设备之间提供安全的离线数据传输的系统、方法和装置 | |
CN101729246B (zh) | 密钥分发方法和系统 | |
CN104050565B (zh) | 基于pboc支付网络的智能支付系统及其移动终端 | |
CN101742480B (zh) | 智能卡从安全域初始密钥分发方法、系统及移动终端 | |
CN102630083B (zh) | 利用移动终端进行卡操作的系统及方法 | |
CN101819696B (zh) | 一种应用下载的系统和方法 | |
CN103366140A (zh) | 一种基于nfc的写卡方法和写卡装置 | |
CN101739756B (zh) | 一种智能卡密钥的生成方法 | |
CN102411742A (zh) | 移动终端 | |
CN202444629U (zh) | 利用移动终端进行卡操作的系统 | |
JP2015011498A (ja) | Simカード及び携帯端末装置用アプリケーションプログラムのアクセスシステム | |
CN101742481B (zh) | 智能卡的从安全域初始密钥分发方法和系统、移动终端 | |
CN101729243B (zh) | 密钥更新方法和系统 | |
CN101729245B (zh) | 密钥分发方法和系统 | |
CN106779672A (zh) | 移动终端安全支付的方法及装置 | |
CN103150650A (zh) | 一种远程支付处理方法及移动终端、系统 | |
CN105303377B (zh) | 一种智能卡从安全域密钥更新方法以及电子支付系统 | |
KR101288288B1 (ko) | 모듈형 공동 애플리케이션 제공 방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |