CN101729493B - 密钥分发方法和系统 - Google Patents
密钥分发方法和系统 Download PDFInfo
- Publication number
- CN101729493B CN101729493B CN200810168359A CN200810168359A CN101729493B CN 101729493 B CN101729493 B CN 101729493B CN 200810168359 A CN200810168359 A CN 200810168359A CN 200810168359 A CN200810168359 A CN 200810168359A CN 101729493 B CN101729493 B CN 101729493B
- Authority
- CN
- China
- Prior art keywords
- application provider
- security domain
- management platform
- certificate
- key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0877—Generation of secret information including derivation or calculation of cryptographic keys or passwords using additional device, e.g. trusted platform module [TPM], smartcard, USB or hardware security module [HSM]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0822—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0825—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明公开了一种密钥分发方法和系统,该方法包括:应用提供商管理平台通知应用提供商管理平台对应的设置于智能卡上的应用提供商从安全域生成包括公密钥和私密钥的公私密钥对;应用提供商管理平台通过卡发行商管理平台接收来自应用提供商从安全域的经过预先获得的应用提供商的公钥加密、以及经过设置于智能卡上的CASD签名处理的公密钥;应用提供商管理平台验证签名并使用应用提供商的私钥进行解密得到公密钥;应用提供商管理平台将应用提供商从安全域的证书和用于外部认证的可信任根的公钥,在经过应用提供商从安全域的公密钥加密、以及经过应用提供商的私钥对加密后的数据签名处理后通过卡发行商管理平台发送至应用提供商从安全域。
Description
技术领域
本发明涉及通信领域,并且特别地,涉及一种密钥分发方法和系统。
背景技术
在相关技术中,近场通信技术(Near Field Communication,简称为NFC)是工作于13.56MHz的一种近距离无线通信技术,该技术由射频识别(Radio Frequency Identification,简称为RFID)技术及互连技术融合演变而来。手机等移动通信终端在集成NFC技术后,可以模拟非接触式IC卡,用于电子支付的相关应用;此外,在移动通信终端上实现该方案需要在终端上增加NFC模拟前端芯片和NFC天线,并使用支持电子支付的智能卡。
IC卡特别是非接触式IC卡经过十多年的发展,已经被广泛应用于公交、门禁、小额电子支付等领域;与此同时,手机经历20多年的迅速发展后,其应用已经基本得到普及,并且给人们的工作及生活带来了很大的便利,随着手机的功能越来越强大,将手机和非接触式IC卡技术结合,将手机应用于电子支付领域,会进一步扩大手机的使用范围,给人们的生活带来便捷,存在着广阔的应用前景。
在相关技术中,为实现基于NFC技术的移动电子支付,需要建立移动终端电子支付系统,并通过该系统实现对移动终端电子支付的管理,其中,移动终端电子支付系统包括:智能卡的发行、电子支付应用的下载、安装和个人化、以及采用相关技术和管理策略实现电子支付的安全等。
安全域是卡外实体包括卡发行商和应用提供商在智能卡上的代表,它们包含用于支持安全通道协议运作以及卡内容管理的加密密钥,如果电子支付系统支持Global platform Card Specification V2.1.1规范,安全通道协议支持Secure Channel Protocol‘02’(基于对称密钥);如果电子支付系统支持Global platform Card Specification V2.2规范,安全通道协议支持Secure Channel Protocol‘10’(基于非对称密钥)。安全域负责它们自己的密钥管理,这保证了来自不同应用提供者的应用和数据可以共存于同一个卡上。安全域的密钥采用非对称密钥体制时,安全域上的密钥和证书需要包括:安全域的公钥(也可称为公密钥)和私钥(也可称为私密钥)、安全域的证书、用于认证卡外实体证书的可信任根公钥。
应用提供商在智能卡上的安全域为从安全域,在将应用提供商的电子支付应用下载并安装到智能卡之前,需要在智能卡上先通过卡发行商拥有的智能卡主安全域创建应用提供商的从安全域,然后设置从安全域的密钥。
安全域密钥作为机密数据,需要采取可靠及安全的方法和技术将有关密钥和证书导入到从安全域,实现从安全域密钥的安全分发,其中,从安全域的创建需要由卡发行商管理平台指示智能卡上的主安全域创建,而且从安全域创建完成后,从安全域的初始密钥需要由卡发行商管理平台负责设置和分发。
从安全域创建和密钥分发时,采用的一种方法是:智能卡和卡发行商管理平台建立通信,应用提供商管理平台与卡发行商管理平台建立通信;卡发行商管理平台指示智能卡主安全域建立从安全域,从安全域的公、私密钥对由从安全域在卡上生成并发送给卡发行商管理平台,然后卡发行商管理平台将从安全域生成的密钥发送给应用提供商管理平台,应用提供商管理平台根据从安全域的公钥签发从安全域的证书,再通过卡发行商管理平台将从安全域证书和可信任根公钥导入到从安全域,从而完成从安全域密钥的分发。
但在这种情况下,卡发行商管理平台负责数据的传送时有可能获得发送的安全域密钥数据,可能使用获得的密钥对从安全域执行操作,这样会对应用提供商的电子支付应用安全造成威胁。
因此,急需一种解决从安全域密钥的分发不安全的问题的技术方案。
发明内容
考虑到相关技术中从安全域密钥的分发不安全的问题而做出本发明,为此,本发明的主要目的在于提供一种密钥分发方法和系统,以避免从安全域密钥被卡发行商管理平台获取导致的密钥不安全的问题。
根据本发明的有一个方面,提供了一种密钥分发方法。
根据本发明的密钥分发方法包括:应用提供商管理平台通知应用提供商管理平台对应的设置于智能卡上的应用提供商从安全域生成包括公密钥和私密钥的公私密钥对;应用提供商管理平台通过卡发行商管理平台接收来自应用提供商从安全域的经过预先获得的应用提供商的公钥加密、以及经过设置于智能卡上的CASD签名处理的公密钥;应用提供商管理平台验证签名并使用应用提供商的私钥进行解密得到公密钥;应用提供商管理平台将应用提供商从安全域的证书和用于外部认证的可信任根的公钥,在经过应用提供商从安全域的公密钥加密、以及经过应用提供商的私钥对加密后的数据签名处理后通过卡发行商管理平台发送至应用提供商从安全域,完成对从安全域密钥的分发。
根据本发明的另一方面,还提供了一种密钥分发系统。
根据本发明的密钥分发系统包括:
卡发行商管理平台,其包括:
创建模块,用于在智能卡上创建应用提供商从安全域;信息发送模块,用于将应用提供商从安全域的基本信息发送至应用提供商管理平台,其中,基本信息包括应用提供商从安全域的标识信息、应用提供商从安全域的配置信息;
应用提供商管理平台,其包括:通知模块,用于通知应用提供商管理平台对应的设置于智能卡上的应用提供商从安全域生成包括公密钥和私密钥的公私密钥对;第一接收模块,用于接收来自应用提供商从安全域的公密钥,其中,公密钥经过预先获得的应用提供商的公钥加密、以及经过设置于智能卡上的CASD签名处理;第一获取模块,用于验证签名并使用应用提供商的私钥进行解密得到公密钥;第一发送模块,用于将经过应用提供商从安全域的公密钥加密、以及经过应用提供商的私钥对加密后的数据签名的应用提供商从安全域的证书和用于外部认证的可信任根的公钥,发送至应用提供商从安全域;
智能卡,位于移动终端,包括应用提供商从安全域,其中,应用提供商从安全域进一步包括:第二获取模块,用于获取应用提供商的公钥;第二发送模块,用于将经过应用提供商的公钥加密、以及经过CASD签名处理的公密钥发送至应用提供商管理平台;第二接收模块,用于接收经过加密以及签名处理的应用提供商从安全域的证书和用于外部认证的可信任根的公钥;解密模块,用于将接收模块接收的数据利用应用提供商的公钥验证签名,并验证通过的情况下利用应用提供商从安全域的私钥进行解密,以获得应用提供商从安全域的证书和用于外部认证的可信任根公钥。
通过本发明的上述技术方案,应用提供商从安全域利用预先获得的应用提供商的公钥对卡上生成的从安全域密钥进行加密并发送给应用提供商管理平台,应用提供商管理平台利用预先获得的应用提供商从安全域的公钥对应用提供商从安全域的证书和可信任根的公钥加密并发送至所述从安全域;卡发行商管理平台虽然负责应用提供商管理平台和应用提供商从安全域之间的数据传输,但卡发行商管理平台无法获得应用提供商和应用提供商从安全域的私钥,因此不能对数据解密以获得从安全域的密钥,实现了对卡发行商管理平台的隔离,有效地保证了应用提供商从安全域密钥分发的安全性。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是根据本发明系统实施例的移动终端电子支付系统的结构框图;
图2是根据本发明系统实施例的密钥分发系统的框图;
图3是根据本发明方法实施例的密钥分发方法的流程图;
图4是根据本发明方法实施例的密钥分发方法的优选处理方案的流程图。
具体实施方式
功能概述
本发明的主要思想是:应用提供商从安全域使用预先获得的应用提供商的公钥对卡上生成的从安全域密钥进行加密并发送给应用提供商管理平台;应用提供商管理平台预先获得应用提供商从安全域的公钥,并利用该公钥对应用提供商从安全域的证书和用于外部认证的可信任根的公钥加密并发送至所述从安全域,使得卡发行商管理平台由于无法获得应用提供商和应用提供商从安全域的私钥,而不能对数据进行解密,因此不能获得从安全域的密钥;而智能卡上的CASD只负责证书的验证和数据的签名,其不掌握应用提供商和应用提供商从安全域的私钥,无法对数据进行解密,从而也不能获得从安全域的密钥。因此在应用提供商从安全域的密钥分发过程中实现了对卡发行商管理平台的隔离,有效地保证了应用提供商从安全域密钥分发的安全性。
以下结合附图对本发明的优选实施例进行说明,应当理解,此处所描述的优选实施例仅用于说明和解释本发明,并不用于限定本发明。
系统实施例
如图1所示,根据本发明实施例的移动终端电子支付系统主要由卡发行商管理平台1、应用提供商管理平台2和包含有智能卡的移动终端3组成,该系统中可以存在多个应用提供商管理平台。
其中,卡发行商管理平台1包括卡管理系统10、应用管理系统11、密钥管理系统12、证书管理系统13、应用提供商管理系统14,其中,证书管理系统13在基于近场通信技术的移动终端电子支付系统支持非对称密钥的情况下使用,证书管理系统13和卡发行商CA(证书中心)系统连接;应用管理系统11负责卡发行商本身的电子支付应用或者其负责托管的应用的提供和管理功能;应用提供商管理系统14可管理应用提供商的有关信息,规定应用提供商的业务权限等。
此外,卡发行商拥有的卡发行商管理平台1仅在支持非对称密钥情况下使用证书管理系统13。卡发行商管理平台1负责对卡的资源和生命周期、密钥、证书进行管理,并负责创建应用提供商的从安全域。
应用提供商管理平台2包括应用管理系统20、密钥管理系统21、证书管理系统22,其中,证书管理系统22在移动支付系统支持非对称密钥的情况下使用,证书管理系统22和应用提供商CA系统连接,并且仅在支持非对称密钥情况下使用证书管理系统22。并且,应用提供商可以通过应用提供商管理平台2提供各种业务应用,并对卡上与其对应的安全域进行管理,对其安全域的应用密钥、证书、数据等进行控制,提供应用的安全下载功能。应用提供商可以是运营商、银行、公交公司、零售商户等。另外,应用提供商可拥有业务终端管理系统和业务终端,并且可通过业务终端向用户提供服务。
移动终端3中具备支持电子支付的智能卡(未示出),并且,为了实现智能卡的安全性管理和支付应用的下载、安装等功能,智能卡需要和卡发行商管理平台1以及应用提供商管理平台2建立通信。
实现智能卡和管理平台(上述卡发行商管理平台1和应用提供商管理平台2)的通信可以通过两个途径:(1)智能卡通过移动终端使用移动通信网络和管理平台建立通信,一般采用空中下载(OverThe Air,简称为OTA)技术实现智能卡和管理平台的通信。(2)通过管理平台的业务终端实现智能卡和管理平台的连接。业务终端配置有非接触读卡器或者直接读取智能卡的读卡器,并且业务终端可以和管理平台建立通信,从而实现智能卡和管理平台的通信。
在上述的移动支付系统中,用户能够进行电子支付应用的下载、安装和使用,用户通过与卡发行商管理平台或应用提供商管理平台交互,对移动终端和智能卡进行操作,在安全域内下载及安装新的应用,使用提供的各种业务应用。
基于近场通信技术的移动终端电子支付系统支持多电子支付应用,在智能卡上可以安装多个电子支付应用。为了实现支付应用的安全,智能卡采用Global Platform Card Specification V2.1.1/V2.2规范,智能卡被分隔为若干个独立的安全域,以保证多个应用相互之间的隔离以及独立性,各个应用提供商管理各自的安全域以及应用、应用数据等。这里提到的支持Global Platform规范的智能卡指的是符合Global Platform Card Specification V2.1.1/V2.2规范的IC芯片或智能卡,从物理形式上可以为SIM/USIM卡、可插拔的智能存储卡或者集成在移动终端上的IC芯片。
安全域是卡外实体包括卡发行商和应用提供商在卡上的代表,它们包含用于支持安全通道协议运作以及卡内容管理的加密密钥。安全域负责它们自己的密钥管理,这保证了来自不同应用提供者的应用和数据可以共存于同一个卡上。安全域的密钥采用非对称密钥体制时,安全域上的密钥和证书需要包括:安全域的公钥(也可称为公密钥)和私钥(也可称为私密钥)、安全域的证书、用于认证卡外实体证书的可信任根的公钥。
应用提供商在智能卡上的安全域为从安全域。在将应用提供商的电子支付应用下载并安装到智能卡之前,需要在智能卡上先通过卡发行商拥有的智能卡主安全域创建应用提供商的从安全域,然后设置从安全域的密钥。
安全域密钥作为机密数据,需要采取可靠及安全的方法和技术将有关密钥和证书导入到从安全域,实现从安全域密钥的安全分发。从安全域的创建需要由卡发行商管理平台指示智能卡上的主安全域创建,而且从安全域创建完成后,从安全域的初始密钥需要由卡发行商管理平台负责设置和分发。
基于上述电子支付系统,本发明提出了一种密钥分发系统。
图2是根据本发明系统实施例的密钥分发系统的结构框图,如图2所示,根据本实施例的密钥分发系统包括:卡发行商管理平台200,应用提供商管理平台210和智能卡220。
卡发行商管理平台200,其进一步包括:
创建模块,用于在智能卡上创建应用提供商从安全域;
信息发送模块,用于将应用提供商从安全域的基本信息发送至应用提供商管理平台,其中,基本信息包括应用提供商从安全域的标识信息、应用提供商从安全域的配置信息;
在本发明中,在智能卡中下载应用提供商的电子支付应用以前,应用提供商管理平台需要先检查智能卡中是否存在应用提供商的从安全域。如果不存在对应的从安全域,应用提供商管理平台需要请求卡发行商管理平台在智能卡上创建属于自己的从安全域。
应用提供商管理平台210,连接至卡发行商管理平台200,其进一步包括:
通知模块,用于通知应用提供商管理平台对应的设置于智能卡上的应用提供商从安全域生成包括公密钥和私密钥的公私密钥对;
第一接收模块,用于接收来自应用提供商从安全域的公密钥,其中,公密钥经过预先获得的应用提供商的公钥加密、以及经过设置于智能卡上的CASD签名处理;
第一获取模块,用于验证签名并使用应用提供商的私钥进行解密得到公密钥;
第一发送模块,用于将经过应用提供商从安全域的公密钥加密、以及经过应用提供商的私钥对加密后的数据签名的应用提供商从安全域的证书和用于外部认证的可信任根的公钥,发送至应用提供商从安全域;
智能卡220,连接至卡发行商管理平台200,该智能卡220位于移动终端,包括应用提供商从安全域,其中,应用提供商从安全域进一步包括:
第二获取模块,用于获取应用提供商的公钥;
第二发送模块,用于将经过应用提供商的公钥加密、以及经过CASD签名处理的公密钥发送至应用提供商管理平台;
第二接收模块,用于接收经过加密以及签名处理的应用提供商从安全域的证书和用于外部认证的可信任根的公钥;
解密模块,用于将接收模块接收的数据利用应用提供商的公钥验证签名,并验证通过的情况下利用应用提供商从安全域的私钥进行解密。
并且,智能卡220还包括:CASD,其用于验证应用提供商的证书以及签名公密钥。
优选地,在实际应用当中,智能卡可以符合Global Platform CardSpecification2.2规范,智能卡安全域采用非对称密钥体制,创建的从安全域中需要导入的密钥包括:从安全域的公钥和私钥、从安全域证书和外部认证使用的信任根公钥(One Public Key for Trust Pointfor External Authentication,PK.TP_EX.AUT)。从安全域的公钥和私钥由应用提供商从安全域在卡上生成,从安全域证书由应用提供商管理平台根据从安全域公钥生成,外部认证使用的信任根公钥是由签发应用提供商证书的CA提供的,可以从应用提供商管理平台获得,该公钥用于从安全域对应用提供商的证书进行认证。从安全域的公钥和私钥可以采用RSA算法生成,公钥和私钥的长度选择为1024bits。
通过以上描述可以看出,在本发明的密钥分发系统中,应用提供商从安全域利用预先获得的应用提供商的公钥对卡上生成的从安全域密钥进行加密并发送给应用提供商管理平台,应用提供商管理平台利用预先获得的应用提供商从安全域的公钥对应用提供商从安全域的证书和可信任根的公钥加密并发送至所述从安全域;卡发行商管理平台虽然负责应用提供商管理平台和应用提供商从安全域之间的数据传输,但卡发行商管理平台无法获得应用提供商和应用提供商从安全域的私钥,因此不能对数据解密以获得从安全域的密钥,实现了对卡发行商管理平台的隔离,有效地保证了应用提供商从安全域密钥分发的安全性。
方法实施例
在本实施例中,提供了一种密钥分发方法,应用于包括应用提供商的应用提供商管理平台、卡发行商管理平台和移动终端的通信系统。
图3是根据本发明实施例的密钥分发方法的流程图,如图3所示,该方法包括以下处理:
步骤S302,应用提供商管理平台通知应用提供商管理平台对应的设置于智能卡上的应用提供商从安全域生成包括公密钥和私密钥的公私密钥对;
步骤S304,应用提供商管理平台通过卡发行商管理平台接收来自应用提供商从安全域的经过预先获得的应用提供商的公钥加密、以及经过设置于智能卡上的可信任第三方从安全域即CASD签名处理的公密钥;
步骤S306,应用提供商管理平台验证签名并使用应用提供商的私钥进行解密得到公密钥;
步骤S308,应用提供商管理平台将应用提供商从安全域的证书和用于外部认证的可信任根的公钥,在经过应用提供商从安全域的公密钥加密、以及经过应用提供商的私钥对加密后的数据签名处理后通过卡发行商管理平台发送至应用提供商从安全域,完成对从安全域密钥的分发。
根据上述实施例,卡发行商管理平台和CASD因为无法获得应用提供商和应用提供商从安全域的私钥,卡发行商管理平台和CASD无法对密钥数据进行解密,从而无法获得从安全域的密钥数据,实现了对卡发行商管理平台的隔离,有效地保证了从安全域密钥的安全分发。
下面进一步描述上述各处理的细节。
(一)步骤S302
根据本发明,为了实现机密性的需要,智能卡上需要引入可信任的第三方,第三方在智能卡上拥有Controlling Authority从安全域(CASD),可信任的第三方通过CASD向应用提供商从安全域提供服务。Controlling Authority从安全域符合Global Platform CardSpecification V2.2中的要求。CASD可以为应用提供商从安全域提供独立的服务接口,提供的服务接口包括证书验证、签名、数据解密等。
优选地,可信任的第三方为给各应用提供商签发证书的证书中心(CA),CA在智能卡上拥有一个独立的CASD。CASD中的密钥和证书包括:CASD的公钥和私钥、CASD的证书、用于验证应用提供商证书的CA可信任根的公钥,CA在智能卡上的CASD的公、私钥由CA生成,CASD的证书由CA根据CASD的公钥签发生成,CA可信任根的公钥由CA提供。CASD可以在智能卡发行时采用安全的方式进行创建和初始化,由CA在CASD安全域中写入CASD安全域的公私钥、证书和CA可信任根的公钥,其中,CASD的私钥在在智能卡上只能更新,不能被读取,卡发行商管理平台和应用提供商管理平台无法获得CASD的私钥。
根据本发明,首先需要卡发行商管理平台通知智能卡主安全域创建从安全域。在从安全域创建后,卡发行商管理平台将安全域的基本信息发送给应用提供商管理平台。
然后,应用提供商管理平台获得CASD的证书,验证CASD的证书的真实性并从证书中获得CASD的公钥。应用提供商管理平台可以使用该公钥将发送给应用提供商从安全域的数据进行加密,应用提供商从安全域接收到加密数据后通过调用CASD提供的服务接口对数据进行解密,CASD使用CASD的私钥对数据进行解密,并将解密后的数据返回给应用提供商从安全域。
并且,应用提供商管理平台将自己的证书通过卡发行商管理平台发送给应用提供商从安全域。应用提供商从安全域调用CASD提供的证书验证接口验证应用提供商的证书。CASD使用CA可信任根的公钥验证应用提供商的证书,如果验证通过,则将应用提供商的标识信息(ID)和应用提供商的公钥返回给应用提供商从安全域。
应用提供商管理平台通知应用提供商从安全域在智能卡上生成包括公密钥(公钥)和私密钥(私钥)的公私密钥对。应用提供商从安全域通过调用智能卡上生成密钥的接口产生公钥和私钥,将生成的密钥采用应用提供商的公钥加密,再通过CASD安全域对加密后的数据进行签名,然后发送给应用提供商管理平台。
(二)步骤S304和步骤S306
应用提供商管理平台接收到来自应用提供商从安全域的密钥数据后,验证签名并使用应用提供商的私钥对数据进行解密,从而获得应用提供商从安全域的公钥。
(三)步骤S308
基于上述处理,应用提供商管理平台根据得到的应用提供商从安全域的公钥签发应用提供商从安全域的证书,并使用应用提供商从安全域的公钥对应用提供商从安全域的证书和可信任根的公钥进行加密、使用应用提供商的私钥对加密后的数据进行签名,然后通过报文发送给应用提供商从安全域。
应用提供商从安全域接收到数据后,使用应用提供商的公钥验证签名并使用应用提供商从安全的私钥对数据进行解密,从而获得安全域证书和可信任根公钥,应用提供商从安全域按照报文指示进行安全域证书和可信任根公钥的设置,从而完成应用提供商从安全域密钥的分发。
通过上述描述可以得出,卡发行商管理平台在传输应用提供商管理平台和从安全域的通信数据时,因为不掌握应用提供商和从安全域的私钥,因此不能对数据解密,无法获得从安全域的密钥;而对于智能卡上的CASD,CASD只负责证书的验证和数据的签名,它也不掌握应用提供商和从安全域的私钥,无法对数据进行解密,因此也不能获得从安全域的密钥。通过上述实施例,实现了对卡发行商管理平台的隔离,有效地保证了应用提供商从安全域密钥的安全分发。
在上述过程中,应用提供商从安全域的创建、密钥的分发过程可以通过OTA的方式实现,应用提供商管理平台、卡发行商管理平台通过OTA方式和智能卡建立连接,通过OTA传输相关命令和数据。
并且,应用提供商从安全域的创建、密钥的分发过程也可以通过卡发行商的业务终端完成。智能卡通过卡发行商的业务终端和卡发行商管理平台及应用提供商管理平台建立连接,业务终端传输智能卡和管理平台之间的命令、响应等数据。应用提供商发送给智能卡的命令由卡发行商管理平台发送给智能卡,并从卡发行商管理平台获得智能卡发送的响应。
下面将结合具体应用实例描述根据本实施例的密钥分发处理。
图4是根据本发明实施例的密钥分发方法的优选处理方案的流程图,如图4所示,该处理过程具体包括以下步骤:
步骤S402,卡发行商管理平台创建应用提供商从安全域。创建应用提供商从安全域的过程可以包括:
(1)卡发行商管理平台向智能卡发送SELECT(选择)报文,选择智能卡的主安全域。
(2)卡发行商管理平台和智能卡主安全域按照Global PlatformCard Specification V2.2附录F Secure Channel Protocol‘10’的要求建立SCP10安全信道,完成双方的认证及对话密钥的协商。
(3)卡发行商管理系统向主安全域发送应用提供商从安全域创建报文INSTALL[for Install]。主安全域按照报文指示创建应用提供商从安全域,应用提供商管理平台从安全域的ID(APSD_ID)可以和应用提供商管理平台的ID相同。
(4)应用提供商从安全域创建完成后,卡发行商管理平台将创建的应用提供商从安全域的基本信息发送给应用提供商管理平台,该基本信息包括应用提供商从安全域的ID(APSD_ID)和应用提供商从安全域的配置信息。应用提供商管理平台收到应用提供商从安全域的基本信息后,需要在应用提供商管理平台的数据库中保存应用提供商从安全域的信息。
步骤S404,应用提供商管理平台从智能卡获得智能卡CASD的证书。应用提供商可以向智能卡发送GET DATA(数据获取)报文获得CASD的证书。
步骤S406,应用提供商管理平台验证CASD的证书并获得CASD的公钥。应用提供商管理平台可以使用CA的可信任根公钥验证CASD证书的真实性,并从CASD的证书中获得CASD的公钥。
步骤S408,应用提供商管理平台将自己的证书使用STOREDATA(数据存储)报文并通过卡发行商管理平台发送给应用提供商从安全域。为了实现发送证书时的安全,应用提供商管理平台可以使用CASD的公钥对应用提供商的证书进行加密。
步骤S410,应用提供商从安全域请求CASD验证应用提供商的证书。
步骤S412,CASD向应用提供商从安全域返回验证结果、应用提供商的ID和应用提供商的公钥。
步骤S414,确定应用提供商证书的真实性后,从安全域发送STORE DATA响应给应用提供商管理平台。
步骤S416,应用提供商管理平台通知应用提供商从安全域生成公、私钥。
步骤S418,应用提供商从安全域通过调用卡上生成密钥的接口产生公钥和私钥,将生成的公钥采用应用提供商的公钥加密,然后再通过CASD对加密后的数据进行签名。
步骤S420,应用提供商从安全域将加密后的应用提供商从安全域的公钥发送给应用提供商管理平台。
步骤S422,应用提供商管理平台验证签名并使用应用提供商的私钥解密数据,获得应用提供商从安全域的公钥。
步骤S424,应用提供商管理平台中的证书管理系统将公钥和应用提供商从安全域的证书申请信息发送给应用提供商CA,CA签发从安全域证书后,将证书返回给证书管理系统。
步骤S426,应用提供商管理平台通过PUT KEY(密钥设置)命令将应用提供商从安全域的证书和用于外部认证的可信任根的公钥发送给从安全域。在PUT KEY报文中,可以使用应用提供商从安全域的公钥对应用提供商从安全域的证书和可信任根的公钥进行加密,然后使用应用提供商的私钥对加密后的数据进行签名。
步骤S428,应用提供商从安全域收到PUT KEY命令后,验证数据签名并使用自己的私钥对数据进行解密,获得应用提供商从安全域的证书和可信任根的公钥,然后应用提供商从安全域进行证书和公钥的设置。设置完成后,应用提供商从安全域发送PUT KEY响应消息给应用提供商管理平台。
并且,在上述的步骤完成后,从安全域和应用提供商管理平台之间可以继续进行电子支付应用的下载和安装等过程。
综上所述,借助于本发明的技术方案,在本发明的密钥分发系统中,应用提供商从安全域利用预先获得的应用提供商的公钥对卡上生成的从安全域密钥进行加密并发送给应用提供商管理平台,应用提供商管理平台利用预先获得的应用提供商从安全域的公钥对应用提供商从安全域的证书和可信任根的公钥加密并发送至所述从安全域;卡发行商管理平台虽然负责应用提供商管理平台和应用提供商从安全域之间的数据传输,但卡发行商管理平台无法获得应用提供商和应用提供商从安全域的私钥,因此不能对数据解密以获得从安全域的密钥,实现了对卡发行商管理平台的隔离,有效地保证了应用提供商从安全域密钥分发的安全性。
显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种密钥分发方法,其特征在于,包括:
应用提供商管理平台通知所述应用提供商管理平台对应的设置于智能卡上的应用提供商从安全域生成包括公密钥和私密钥的公私密钥对;
所述应用提供商管理平台通过卡发行商管理平台接收来自所述应用提供商从安全域的经过预先获得的应用提供商的公钥加密、以及经过设置于智能卡上的可信任第三方从安全域即CASD签名处理的所述公密钥;
所述应用提供商管理平台验证签名并使用所述应用提供商的私钥进行解密得到所述公密钥;
所述应用提供商管理平台将所述应用提供商从安全域的证书和用于外部认证的可信任根公钥,在经过所述应用提供商从安全域的公密钥加密、以及经过所述应用提供商的私钥对加密后的数据签名处理后通过所述卡发行商管理平台发送至所述应用提供商从安全域,完成对所述从安全域密钥的分发。
2.根据权利要求1所述的方法,其特征在于,在所述应用提供商管理平台通知所述应用提供商从安全域生成所述公私密钥对的处理之前,所述方法还包括:
所述应用提供商管理平台将所述应用提供商的证书发送至所述应用提供商从安全域,以使所述应用提供商从安全域验证所述应用提供商的证书;
在所述应用提供商的证书被验证通过的情况下,执行所述应用提供商管理平台通知所述应用提供商从安全域生成所述公私密钥对的处理。
3.根据权利要求2所述的方法,其特征在于,所述应用提供商管理平台将所述应用提供商的证书发送至所述应用提供商从安全域的处理具体包括:
所述应用提供商管理平台获得所述CASD的公钥;
所述应用提供商管理平台将所述应用提供商的证书利用述CASD的公钥加密,并将加密的所述应用提供商的证书通过卡发行商管理平台发送至所述应用提供商从安全域。
4.根据权利要求3所述的方法,其特征在于,所述应用提供商管理平台获得所述CASD的公钥的处理具体包括:
所述应用提供商管理平台通过所述智能卡获得所述CASD的证书;
所述应用提供商管理平台验证所述CASD的证书,并获得所述CASD的公钥。
5.根据权利要求2至4中任一项所述的方法,其特征在于,在所述应用提供商的证书被所述应用提供商从安全域验证通过后,所述方法还包括:
所述应用提供商从安全域通过所述应用提供商的证书获得所述应用提供商的公钥。
6.根据权利要求5所述的方法,其特征在于,所述应用提供商管理平台将所述应用提供商从安全域的证书和用于外部认证的所述可信任根公钥发送至所述应用提供商从安全域之后,所述方法进一步包括:
所述应用提供商从安全域接收经过加密以及签名处理的所述应用提供商从安全域的证书和用于外部认证的可信任根公钥;
所述应用提供商从安全域利用所述应用提供商的公钥验证签名,在验证通过的情况下,利用所述应用提供商从安全域的私钥进行解密,获得所述应用提供商从安全域的证书和用于外部认证的所述可信任根公钥。
7.根据权利要求6所述的方法,其特征在于,所述应用提供商管理平台向应用提供商证书中心申请所述应用提供商从安全域的证书。
8.根据权利要求3所述的方法,其特征在于,在应用提供商管理平台获得所述CASD的公钥之前,所述方法进一步包括:
卡发行商管理平台在所述智能卡上创建所述应用提供商从安全域,并将所述应用提供商从安全域的基本信息发送至所述应用提供商管理平台,其中,所述基本信息包括所述应用提供商从安全域的标识信息、所述应用提供商从安全域的配置信息。
9.一种密钥分发系统,其特征在于,包括:
卡发行商管理平台,其进一步包括:
创建模块,用于在智能卡上创建应用提供商从安全域;
信息发送模块,用于将所述应用提供商从安全域的基本信息发送至应用提供商管理平台,其中,所述基本信息包括所述应用提供商从安全域的标识信息以及配置信息;
应用提供商管理平台,其进一步包括:
通知模块,用于通知所述应用提供商从安全域生成包括公密钥和私密钥的公私密钥对;
第一接收模块,用于接收来自所述应用提供商从安全域的所述公密钥,其中,所述公密钥经过预先获得的应用提供商的公钥加密、以及经过设置于智能卡上的CASD签名处理;
第一获取模块,用于验证签名并使用所述应用提供商的私钥进行解密得到所述公密钥;
第一发送模块,用于将经过所述公密钥加密、以及经过所述应用提供商的私钥对加密后的数据签名的所述应用提供商从安全域的证书和用于外部认证的可信任根公钥,发送至所述应用提供商从安全域;
所述智能卡,位于移动终端,包括所述应用提供商从安全域,其中,所述应用提供商从安全域进一步包括:
第二获取模块,用于获取所述应用提供商的公钥;
第二发送模块,用于将经过所述应用提供商的公钥加密、以及经过CASD签名处理的所述公密钥发送至所述应用提供商管理平台;
第二接收模块,用于接收经过加密以及签名处理的所述应用提供商从安全域的证书和用于外部认证的可信任根公钥;
解密模块,用于将所述接收模块接收的数据利用所述应用提供商的公钥验证签名,并验证通过的情况下利用所述应用提供商从安全域的私钥进行解密,以获得所述应用提供商从安全域的证书和用于外部认证的所述可信任根公钥。
10.根据权利要求9所述的系统,其特征在于,所述智能卡还包括:
CASD,用于验证所述应用提供商的证书以及签名所述公密钥。
Priority Applications (6)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200810168359A CN101729493B (zh) | 2008-10-28 | 2008-10-28 | 密钥分发方法和系统 |
| US13/126,174 US8532301B2 (en) | 2008-10-28 | 2009-08-12 | Key distribution method and system |
| JP2011533518A JP5508428B2 (ja) | 2008-10-28 | 2009-08-12 | 鍵の配布方法及びシステム |
| KR1020117010518A KR101188529B1 (ko) | 2008-10-28 | 2009-08-12 | 키 분배 방법 및 시스템 |
| PCT/CN2009/073222 WO2010048829A1 (zh) | 2008-10-28 | 2009-08-12 | 密钥分发方法和系统 |
| EP09823021.2A EP2341659B1 (en) | 2008-10-28 | 2009-08-12 | Key distribution method and system |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200810168359A CN101729493B (zh) | 2008-10-28 | 2008-10-28 | 密钥分发方法和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101729493A CN101729493A (zh) | 2010-06-09 |
| CN101729493B true CN101729493B (zh) | 2012-09-05 |
Family
ID=42128227
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200810168359A Expired - Fee Related CN101729493B (zh) | 2008-10-28 | 2008-10-28 | 密钥分发方法和系统 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US8532301B2 (zh) |
| EP (1) | EP2341659B1 (zh) |
| JP (1) | JP5508428B2 (zh) |
| KR (1) | KR101188529B1 (zh) |
| CN (1) | CN101729493B (zh) |
| WO (1) | WO2010048829A1 (zh) |
Families Citing this family (39)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8117453B2 (en) * | 2005-11-23 | 2012-02-14 | Proton World International N.V. | Customization of an electronic circuit |
| DE102010030590A1 (de) * | 2010-06-28 | 2011-12-29 | Bundesdruckerei Gmbh | Verfahren zur Erzeugung eines Zertifikats |
| EP2453377A1 (en) * | 2010-11-15 | 2012-05-16 | Gemalto SA | Method of loading data into a portable secure token |
| CN102123028A (zh) * | 2011-02-28 | 2011-07-13 | 成都四方信息技术有限公司 | 一种随机密钥生成工作方法 |
| FR2981531A1 (fr) * | 2011-10-14 | 2013-04-19 | France Telecom | Procede de transfert du controle d'un module de securite d'une premiere entite a une deuxieme entite |
| CN103368735B (zh) * | 2012-04-06 | 2018-05-04 | 中兴通讯股份有限公司 | 应用接入智能卡的认证方法、装置和系统 |
| US9141783B2 (en) | 2012-06-26 | 2015-09-22 | Ologn Technologies Ag | Systems, methods and apparatuses for the application-specific identification of devices |
| WO2014047069A1 (en) * | 2012-09-18 | 2014-03-27 | Jvl Ventures, Llc | Systems, methods, and computer program products for interfacing multiple service provider trusted service managers and secure elements |
| DE102012021105A1 (de) * | 2012-10-26 | 2014-04-30 | Giesecke & Devrient Gmbh | Verfahren zum Einrichten eines Containers in einem mobilen Endgerät |
| US8898769B2 (en) | 2012-11-16 | 2014-11-25 | At&T Intellectual Property I, Lp | Methods for provisioning universal integrated circuit cards |
| US8959331B2 (en) | 2012-11-19 | 2015-02-17 | At&T Intellectual Property I, Lp | Systems for provisioning universal integrated circuit cards |
| US9124582B2 (en) * | 2013-02-20 | 2015-09-01 | Fmr Llc | Mobile security fob |
| CN103490894B (zh) * | 2013-09-09 | 2016-08-10 | 飞天诚信科技股份有限公司 | 一种确定智能密钥设备生命周期的实现方法及装置 |
| US9036820B2 (en) | 2013-09-11 | 2015-05-19 | At&T Intellectual Property I, Lp | System and methods for UICC-based secure communication |
| US9124573B2 (en) | 2013-10-04 | 2015-09-01 | At&T Intellectual Property I, Lp | Apparatus and method for managing use of secure tokens |
| US9208300B2 (en) | 2013-10-23 | 2015-12-08 | At&T Intellectual Property I, Lp | Apparatus and method for secure authentication of a communication device |
| US9240994B2 (en) | 2013-10-28 | 2016-01-19 | At&T Intellectual Property I, Lp | Apparatus and method for securely managing the accessibility to content and applications |
| US9313660B2 (en) | 2013-11-01 | 2016-04-12 | At&T Intellectual Property I, Lp | Apparatus and method for secure provisioning of a communication device |
| US9240989B2 (en) | 2013-11-01 | 2016-01-19 | At&T Intellectual Property I, Lp | Apparatus and method for secure over the air programming of a communication device |
| US9413759B2 (en) | 2013-11-27 | 2016-08-09 | At&T Intellectual Property I, Lp | Apparatus and method for secure delivery of data from a communication device |
| US9602500B2 (en) | 2013-12-20 | 2017-03-21 | Intel Corporation | Secure import and export of keying material |
| US9713006B2 (en) * | 2014-05-01 | 2017-07-18 | At&T Intellectual Property I, Lp | Apparatus and method for managing security domains for a universal integrated circuit card |
| US10929843B2 (en) * | 2014-05-06 | 2021-02-23 | Apple Inc. | Storage of credential service provider data in a security domain of a secure element |
| GB2531848B (en) * | 2014-10-31 | 2017-12-13 | Hewlett Packard Entpr Dev Lp | Management of cryptographic keys |
| CN105991532A (zh) * | 2014-11-07 | 2016-10-05 | 天地融科技股份有限公司 | 数据交互方法 |
| CN105991531A (zh) * | 2014-11-07 | 2016-10-05 | 天地融科技股份有限公司 | 数据交互系统 |
| US10205598B2 (en) | 2015-05-03 | 2019-02-12 | Ronald Francis Sulpizio, JR. | Temporal key generation and PKI gateway |
| CN106899552B (zh) * | 2015-12-21 | 2020-03-20 | 中国电信股份有限公司 | 认证方法,认证终端以及系统 |
| CN105790938B (zh) * | 2016-05-23 | 2019-02-19 | 中国银联股份有限公司 | 基于可信执行环境的安全单元密钥生成系统及方法 |
| GB2550905A (en) | 2016-05-27 | 2017-12-06 | Airbus Operations Ltd | Secure communications |
| CN108011715B (zh) * | 2016-10-31 | 2021-03-23 | 华为技术有限公司 | 一种密钥的分发方法、相关设备和系统 |
| CN106789074B (zh) * | 2016-12-27 | 2020-08-25 | 广州智慧城市发展研究院 | 一种Java卡的应用身份验证方法及验证系统 |
| CN107070667B (zh) * | 2017-06-07 | 2020-08-04 | 国民认证科技(北京)有限公司 | 身份认证方法 |
| CN111008094B (zh) * | 2018-10-08 | 2023-05-05 | 阿里巴巴集团控股有限公司 | 一种数据恢复方法、设备和系统 |
| CN109347630A (zh) * | 2018-10-16 | 2019-02-15 | 航天信息股份有限公司 | 一种税控设备密钥分发方法及系统 |
| EP4312448A3 (en) * | 2019-12-06 | 2024-04-10 | Samsung Electronics Co., Ltd. | Method and electronic device for managing digital keys |
| CN111815816B (zh) * | 2020-06-22 | 2022-07-05 | 合肥智辉空间科技有限责任公司 | 一种电子锁安全系统及其密钥分发方法 |
| JP7136237B2 (ja) * | 2021-01-06 | 2022-09-13 | 大日本印刷株式会社 | 情報処理装置及びプログラム |
| CN113098933B (zh) * | 2021-03-23 | 2022-12-20 | 中国联合网络通信集团有限公司 | 一种远程安装认证应用的方法、eUICC及SM-SR |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1004992A2 (en) * | 1997-03-24 | 2000-05-31 | Visa International Service Association | A system and method for a multi-application smart card which can facilitate a post-issuance download of an application onto the smart card |
| KR100471007B1 (ko) * | 2004-08-27 | 2005-03-14 | 케이비 테크놀러지 (주) | 시큐리티 도메인의 독립성을 보장하기 위한 스마트 카드와그 방법 |
| CN1819513A (zh) * | 2006-03-23 | 2006-08-16 | 北京易恒信认证科技有限公司 | Cpk id证书及其生成方法 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6611913B1 (en) | 1999-03-29 | 2003-08-26 | Verizon Laboratories Inc. | Escrowed key distribution for over-the-air service provisioning in wireless communication networks |
| JP4536330B2 (ja) * | 2003-03-06 | 2010-09-01 | ソニー株式会社 | データ処理装置、および、その方法 |
| US7827409B2 (en) * | 2003-10-07 | 2010-11-02 | Koolspan, Inc. | Remote secure authorization |
| KR100689504B1 (ko) | 2005-03-29 | 2007-03-02 | 삼성전자주식회사 | 컨텐츠 전송 보호 장치 |
| WO2007087432A2 (en) * | 2006-01-24 | 2007-08-02 | Stepnexus, Inc. | Method and system for personalizing smart cards using asymmetric key cryptography |
| CN1996832A (zh) | 2006-12-01 | 2007-07-11 | 上海复旦微电子股份有限公司 | 用于近场通讯手机的对称密钥初始化方法 |
-
2008
- 2008-10-28 CN CN200810168359A patent/CN101729493B/zh not_active Expired - Fee Related
-
2009
- 2009-08-12 US US13/126,174 patent/US8532301B2/en not_active Expired - Fee Related
- 2009-08-12 KR KR1020117010518A patent/KR101188529B1/ko active IP Right Grant
- 2009-08-12 EP EP09823021.2A patent/EP2341659B1/en not_active Not-in-force
- 2009-08-12 JP JP2011533518A patent/JP5508428B2/ja active Active
- 2009-08-12 WO PCT/CN2009/073222 patent/WO2010048829A1/zh active Application Filing
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1004992A2 (en) * | 1997-03-24 | 2000-05-31 | Visa International Service Association | A system and method for a multi-application smart card which can facilitate a post-issuance download of an application onto the smart card |
| KR100471007B1 (ko) * | 2004-08-27 | 2005-03-14 | 케이비 테크놀러지 (주) | 시큐리티 도메인의 독립성을 보장하기 위한 스마트 카드와그 방법 |
| CN1819513A (zh) * | 2006-03-23 | 2006-08-16 | 北京易恒信认证科技有限公司 | Cpk id证书及其生成方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP2341659B1 (en) | 2014-12-24 |
| KR101188529B1 (ko) | 2012-10-08 |
| JP2012507220A (ja) | 2012-03-22 |
| US20110211699A1 (en) | 2011-09-01 |
| US8532301B2 (en) | 2013-09-10 |
| EP2341659A1 (en) | 2011-07-06 |
| KR20110083658A (ko) | 2011-07-20 |
| JP5508428B2 (ja) | 2014-05-28 |
| EP2341659A4 (en) | 2013-04-24 |
| WO2010048829A1 (zh) | 2010-05-06 |
| CN101729493A (zh) | 2010-06-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101729493B (zh) | 密钥分发方法和系统 | |
| CN101729244B (zh) | 密钥分发方法和系统 | |
| CN101131756B (zh) | 移动支付设备电子现金充值安全认证系统、装置及方法 | |
| CN101729503B (zh) | 密钥分发方法和系统 | |
| CN101729502B (zh) | 密钥分发方法和系统 | |
| CN101261675B (zh) | 用于访问nfc芯片组中服务的数据安全加载方法 | |
| CN103067914B (zh) | 存在于wtru上的移动置信平台(mtp) | |
| CN102315942B (zh) | 一种带蓝牙的安全终端及其与客户端的通信方法 | |
| CN107358441B (zh) | 支付验证的方法、系统及移动设备和安全认证设备 | |
| CN102711101B (zh) | 一种实现智能卡发行的方法及系统 | |
| CN102314576A (zh) | 在nfc设备中执行安全应用的方法 | |
| CN101729246B (zh) | 密钥分发方法和系统 | |
| CN104424446A (zh) | 一种安全认证和传输的方法和系统 | |
| CN104574653A (zh) | 基于车载单元实现电子钱包ic卡在线充值的方法及系统 | |
| CN104754568A (zh) | 基于nfc的身份识别方法及装置 | |
| KR20170091069A (ko) | 프로그램 식별을 통한 카드 결제 시스템 | |
| CN101729245B (zh) | 密钥分发方法和系统 | |
| KR20070075179A (ko) | Pki 기반 스마트 카드용 명령어 전송 서버 인증 방법 및시스템 | |
| KR102149313B1 (ko) | 유심기반 전자서명 처리 방법 | |
| KR101395315B1 (ko) | 근거리 무선통신 기반의 결제 보안 인증 시스템 및 그 보안인증 방법 | |
| CN103532714A (zh) | 一种从数据提供方传输数据到智能卡的方法和系统 | |
| KR102076313B1 (ko) | 무선단말의 유심기반 전자서명 처리 방법 | |
| KR102149315B1 (ko) | 금융사의 유심기반 전자서명 처리 방법 | |
| KR20150014595A (ko) | 시간 검증을 이용한 엔에프씨카드 인증 방법 | |
| KR101445001B1 (ko) | Nfc를 이용한 종단간 보안 결제 제공 방법 및 시스템 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20120905 Termination date: 20201028 |