CN101729502B - 密钥分发方法和系统 - Google Patents
密钥分发方法和系统 Download PDFInfo
- Publication number
- CN101729502B CN101729502B CN200810172967A CN200810172967A CN101729502B CN 101729502 B CN101729502 B CN 101729502B CN 200810172967 A CN200810172967 A CN 200810172967A CN 200810172967 A CN200810172967 A CN 200810172967A CN 101729502 B CN101729502 B CN 101729502B
- Authority
- CN
- China
- Prior art keywords
- security domain
- management platform
- application provider
- key
- public key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 title claims abstract description 49
- 230000005540 biological transmission Effects 0.000 claims description 9
- 230000008676 import Effects 0.000 claims description 8
- 238000012545 processing Methods 0.000 claims description 6
- 230000001172 regenerating effect Effects 0.000 abstract 1
- 238000005516 engineering process Methods 0.000 description 9
- 238000004891 communication Methods 0.000 description 8
- 230000008569 process Effects 0.000 description 7
- 238000009434 installation Methods 0.000 description 4
- 238000010586 diagram Methods 0.000 description 3
- 238000002955 isolation Methods 0.000 description 3
- 230000004044 response Effects 0.000 description 3
- 238000010295 mobile communication Methods 0.000 description 2
- 230000011664 signaling Effects 0.000 description 2
- 230000000903 blocking effect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000004069 differentiation Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000005764 inhibitory process Effects 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 238000012797 qualification Methods 0.000 description 1
- 238000007789 sealing Methods 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
Images
Classifications
-
- H04B5/48—
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/083—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0877—Generation of secret information including derivation or calculation of cryptographic keys or passwords using additional device, e.g. trusted platform module [TPM], smartcard, USB or hardware security module [HSM]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/56—Financial cryptography, e.g. electronic payment or e-cash
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
- H04L2209/805—Lightweight hardware, e.g. radio-frequency identification [RFID] or sensor
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种密钥分发方法和系统,该方法包括:卡片发行商管理平台通知应用提供商对应的从安全域在智能卡中生成包括公密钥和私密钥的公私密钥对,接收从安全域返回的公密钥,并将用于外部验证的的可信任根公钥导入到从安全域,并向应用提供商管理平台发送从安全域的信息以及公密钥;应用提供商管理平台接收来自卡片发行商管理平台的从安全域的信息以及公密钥,并根据从安全域的信息以及公密钥通过业务终端选择智能卡的从安全域;应用提供商管理平台通知从安全域重新生成公密钥和私密钥,根据从安全域返回的重新生成的公密钥生成从安全域证书,并通过将从安全域证书发送到从安全域,完成对从安全域密钥的分发。
Description
技术领域
本发明涉及通信领域,并且特别地,涉及一种密钥分发方法和系统。
背景技术
在相关技术中,近场通信技术(Near Field Communication,简称为NFC)是工作于13.56MHz的一种近距离无线通信技术,该技术由射频识别(Radio Frequency Identification,简称为RFID)技术及互连技术融合演变而来。手机等移动通信终端在集成NFC技术后,可以模拟非接触式IC卡,用于电子支付的相关应用;此外,在移动通信终端上实现该方案需要在终端上增加NFC模拟前端芯片和NFC天线,并使用支持电子支付的智能卡。
IC卡特别是非接触式IC卡经过十多年的发展,已经被广泛应用于公交、门禁、小额电子支付等领域;与此同时,手机经历20多年的迅速发展后,其应用已经基本得到普及,并且给人们的工作及生活带来了很大的便利,随着手机的功能越来越强大,将手机和非接触式IC卡技术结合,将手机应用于电子支付领域,会进一步扩大手机的使用范围,给人们的生活带来便捷,存在着广阔的应用前景。
在相关技术中,为实现基于NFC技术的移动电子支付,需要建立移动终端电子支付系统,并通过该系统实现对移动终端电子支付的管理,其中,移动终端电子支付系统包括:智能卡的发行、电子支付应用的下载、安装和个人化、以及采用相关技术和管理策略实现电子支付的安全等。
安全域是卡外实体包括卡片发行商和应用提供商在卡上的代表,它们包含用于支持安全通道协议运作以及卡内容管理的加密密钥。安全域负责它们自己的密钥管理,这保证了来自不同应用提供者的应用和数据可以共存于同一个卡上。安全域的密钥采用非对称密钥体制时,安全域上的密钥和证书需要包括:安全域的公钥和私钥、安全域的证书、用于认证卡外实体证书的可信根公钥。
应用提供商在智能卡上的安全域为从安全域,在将应用提供商的电子支付应用下载并安装到智能卡之前,需要在智能卡上先通过卡片发行商拥有的智能卡主安全域创建应用提供商的从安全域,然后设置从安全域的密钥。
安全域密钥作为机密数据,需要采取可靠及安全的方法和技术将有关密钥和证书导入到从安全域,实现从安全域密钥的安全分发,其中,从安全域的创建需要由卡片发行商管理平台指示智能卡上的主安全域创建,而且从安全域创建完成后,从安全域的初始密钥需要由卡片发行商管理平台负责设置和分发。
在从安全域创建完成后,卡片发行商管理平台可以通知从安全域卡上生成公私密钥对,然后从安全域将生成的密钥返回给卡片发行商管理平台,卡片发行商管理平台将从安全域生成的密钥发送给应用提供商管理平台,由应用提供商管理平台根据从安全域的公钥生成从安全域证书,然后由卡片发行商管理平台通过主安全域将从安全域证书发送给从安全域,由此完成从安全域的密钥分发。
在上述情况下,卡片发行商管理平台负责密钥数据的传送时可以获得发送的安全域密钥数据,可能使用获得的密钥对从安全域执行操作,这样会对应用提供商的电子支付应用安全造成威胁,因此,急需一种解决从安全域密钥的分发不安全的问题的技术方案。
发明内容
考虑到相关技术中由于卡片发行商管理平台负责密钥数据的传送时可以获得发送的安全域密钥数据而导致的从安全域密钥的分发不安全的问题而提出本发明,为此,本发明的主要目的在于提供一种密钥分发方法和系统,以解决相关技术中存在的上述问题。
根据本发明的一个方面,提供了一种密钥分发方法。
根据本发明的密钥分发方法包括:卡片发行商管理平台通知应用提供商对应的从安全域在智能卡中生成包括公密钥和私密钥的公私密钥对,接收从安全域返回的公密钥,并将用于外部认证的可信任根公钥导入到从安全域,并向应用提供商管理平台发送从安全域的信息以及公密钥;应用提供商管理平台接收来自卡片发行商管理平台的从安全域的信息以及公密钥,并根据从安全域的信息以及公密钥通过业务终端选择智能卡的从安全域;应用提供商管理平台通知从安全域重新生成公密钥和私密钥,根据从安全域返回的重新生成的公密钥生成从安全域证书,并通过将从安全域证书发送到从安全域,完成对从安全域密钥的分发。
其中,卡片发行商管理平台通知从安全域生成公私密钥对的处理具体为:应用提供商管理平台通过应用提供商的业务终端判断智能卡中是否存在对应于应用提供商的从安全域;在判断为是的情况下,智能卡中已存在应用提供商的从安全域,不再进行安全域的创建和密钥的分发过程;在判断为否的情况下,应用提供商管理平台通过卡片发行商管理平台在智能卡上创建从安全域,并通知创建的从安全域生成公私密钥对。
其中,应用提供商管理平台通过卡片发行商管理平台在智能卡上创建从安全域的具体处理为:卡片发行商管理平台通过应用提供商管理平台与智能卡进行通信,选择智能卡的主安全域并与主安全域建立安全通道;卡片发行商管理平台通过安全通道通知主安全域建立应用提供商对应的从安全域;主安全域在智能卡上建立从安全域。
此外,在应用提供商管理平台接收卡片发行商管理平台发送的从安全域的信息以及公密钥之后,方法进一步包括:应用提供商管理平台在其数据库中记录从安全域的信息。
此外,在应用提供商管理平台根据从安全域的信息以及公密钥进行从安全域选择之后,上述方法进一步包括:应用提供商管理平台与从安全域建立安全信道。
此外,在应用提供商管理平台将从安全域证书发送到从安全域之后,上述方法进一步包括:从安全域将从安全域证书写入到从安全域。
根据本发明的另一方面,提供了一种密钥分发系统。
根据本发明的密钥分发系统包括:卡片发行商管理平台,包括:创建模块,用于创建智能卡中对应于应用提供商的从安全域;第一通知模块,用于通知从安全域在智能卡中生成包括公密钥和私密钥的公私密钥对;第一接收模块,用于接收从安全域返回的公密钥;导入模块,用于将用于外部认证的可信任根公钥导入到从安全域;第一发送模块,用于在进行导入之后将从安全域的信息和公密钥发送给应用提供商管理平台;应用提供商管理平台,包括:第二接收模块,用于接收来自卡片发行商管理平台的从安全域的信息以及公密钥;选择模块,用于根据从安全域的信息以及公密钥通过业务终端选择智能卡的从安全域;第二通知模块,用于通知从安全域重新生成公密钥和私密钥;生成模块,用于根据从安全域返回的重新生成的公密钥生成从安全域证书;第二发送模块,用于通过业务终端将从安全域证书发送到从安全域,完成对从安全域密钥的分发;业务终端,用于通过读写设备与智能卡建立通信,并建立智能卡与应用提供商管理平台之间的连接;智能卡,位于移动终端,包括从安全域,其中,从安全域用于生成公私密钥对,并通过业务终端向卡片发行商管理平台返回公密钥,在应用提供商管理平台通知从安全域重新生成公密钥和私密钥的情况下,重新生成公密钥和私密钥,并向应用提供商管理平台返回重新生成的公密钥,以及接收应用提供商管理平台发送的从安全域证书。
此外,应用提供商管理平台进一步包括:判断模块,用于通过应用提供商的业务终端判断智能卡中是否存在对应于应用提供商的从安全域;调用模块,用于在判断为否的情况下,调用创建模块通过卡片发行商管理平台在智能卡上创建从安全域。
此外,应用提供商管理平台进一步包括:记录模块,用于在接收卡片发行商管理平台发送的从安全域的信息以及公密钥之后,在其数据库中记录从安全域的信息。
此外,应用提供商管理平台进一步包括:建立安全信道模块,用于在根据从安全域的信息以及公密钥通过业务终端选择智能卡的从安全域之后,与从安全域建立安全信道。
借助于本发明的技术方案,通过应用提供商的业务终端对从安全域密钥进行分发,解决了相关技术中由于卡片发行商管理平台负责密钥数据的传送时可以获得发送的安全域密钥数据而导致的从安全域密钥的分发不安全的问题,能够避免遭受其它潜在的安全威胁和攻击,提高了应用提供商从安全域密钥分发的安全性。
本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
附图说明
附图用来提供对本发明的进一步理解,并且构成说明书的一部分,与本发明的实施例一起用于解释本发明,并不构成对本发明的限制。在附图中:
图1是根据本发明实施例的密钥分发系统的框图;
图2是根据本发明实施例的密钥分发方法的流程图;
图3是根据本发明实施例的密钥分发方法的详细处理过程的信令流程图。
具体实施方式
功能概述
在相关技术中,由于卡片发行商管理平台负责密钥数据的传送时可以获得发送的安全域密钥数据,会导致应用提供商的从安全域密钥的分发不安全的问题,因此,本发明提供了一种密钥分发方法和系统,具体包括:卡片发行商管理平台通知应用提供商对应的从安全域在智能卡中生成包括公密钥和私密钥的公私密钥对,接收从安全域返回的公密钥,并将用于外部认证的可信任根公钥导入到从安全域,并向应用提供商管理平台发送从安全域的信息以及公密钥;应用提供商管理平台接收来自卡片发行商管理平台的从安全域的信息以及公密钥,并根据从安全域的信息以及公密钥通过业务终端选择智能卡的从安全域;应用提供商管理平台通知从安全域重新生成公密钥和私密钥,根据从安全域返回的重新生成的公密钥生成从安全域证书,并通过将从安全域证书发送到从安全域,完成对从安全域密钥的分发。
以下结合附图对本发明的优选实施例进行说明,应当理解,此处所描述的优选实施例仅用于说明和解释本发明,并不用于限定本发明。
系统实施例
根据本发明的实施例,提供了一种密钥分发系统,图1是根据本发明实施例的密钥分发系统的框图,目前,移动终端近距离电子支付系统的业务框架采用Global Platform规范的多应用框架,在支持Global Platform规范的智能卡上可以安装多个应用,并被分隔为若干个独立的安全域,以保证多个应用相互之间的隔离以及独立性,各个应用提供商管理各自的安全域以及应用、应用数据等,上述提到的支持Global Platform规范的智能卡指的是符合环球平台(GlobalPlatform,简称为GP)组织制定的环球平台卡规范2.1.1或2.2版本(Global Platform Card Specification V2.1.1或V2.2)的IC芯片或智能卡,从物理形式上可以为SIM/USIM卡、可插拔的智能存储卡或者集成在移动终端上的IC芯片。
基于近场通信的移动终端电子支付系统的框架要求满足GlobalPlatform Card Specification V2.1.1/V2.2规范,如果该系统支持GP2.1.1规范,则安全通道协议就需要支持基于对称密钥(SecurityChannel Protocol02,简称为SCP02);如果该系统支持GP2.2规范,安全通道协议需要支持SCP02和基于非对称密钥(Security ChannelProtocol10,简称为SCP10),并且,卡片发行商、应用提供商可以根据安全策略的需求进行选择。
移动终端近距离支付系统从业务架构上可以包括卡片发行商、应用提供商和用户,其中:
卡片发行商:负责卡的发行和管理,拥有卡片管理系统、密钥管理系统和证书管理系统,其中,仅在支持非对称密钥情况下使用证书管理系统。此外,卡片发行商对卡的资源和生命周期、密钥、证书进行管理,对其他应用提供商的安全域进行创建,并与其他安全域交互应用数据。卡片发行商也可以拥有应用管理系统,负责卡片发行商自己的应用或者其负责托管的应用的提供和管理功能。卡片发行商可拥有业务终端管理系统和业务终端,通过业务终端向用户提供服务。为了支持对应用提供商的管理,卡片发行商可以拥有应用提供商管理系统,通过该系统记录应用提供商的有关信息,规定应用提供商的业务权限等。
应用提供商:负责电子支付应用的提供和管理功能,拥有应用管理系统、密钥管理系统、证书管理系统,其中,仅在支持非对称密钥情况下使用证书管理系统。此外,应用提供商提供各种业务应用,并对卡上与其对应的安全域进行管理,对其安全域的应用密钥、证书、数据等进行控制,提供应用的安全下载功能。应用提供商可以是运营商、银行、公交公司、零售商户等。另外,应用提供商可拥有业务终端管理系统和业务终端,通过业务终端向用户提供服务。
用户:负责电子支付应用的下载、安装和使用。用户通过与卡片发行商或应用提供商交互,对移动终端和卡进行操作,在安全域内下载及安装新的应用,使用提供的各种业务应用。
移动终端电子支付系统主要由卡片发行商管理平台、应用提供商管理平台和移动终端组成,系统中可以存在多个应用提供商管理平台。
移动终端中具备支持电子支付的智能卡,为了实现智能卡的安全性管理和支付应用的下载、安装等,智能卡需要和卡片发行商管理平台以及应用提供商管理平台建立通信,可以通过管理平台的业务终端实现智能卡和管理平台的连接,业务终端配置有非接触读卡器或者直接读取智能卡的读卡器,并且业务终端可以和管理平台建立通信,从而实现智能卡和管理平台的通信。
基于近场通信技术的移动终端电子支付系统支持多电子支付应用,即,在智能卡上可以安装多个电子支付应用。为了实现支付应用的安全,智能卡采用Global Platform Card Specification V2.1/V2.2规范,智能卡被分隔为若干个独立的安全域,以保证多个应用相互之间的隔离以及独立性,各个应用提供商管理各自的安全域以及应用、应用数据等。
下面,基于上述的系统构架,对通过业务终端对从安全域密钥进行分发的密钥分发系统进行详细的说明,需要说明的是,本发明的密钥分发系统为上述基于近场通信的移动终端电子支付系统的一部分。
根据本发明的实施例,提供了一种密钥分发系统,图1是根据本发明实施例的密钥分发系统的框图。如图1所示,上述密钥分发系统包括卡片发行商管理平台10、应用提供商管理平台12、应用提供商的业务终端14、智能卡16(智能卡16位于移动终端内,其中包括主安全域和从安全域)。其中,应用提供商需要具有业务终端管理系统和业务终端14,可以通过业务终端14提供电子支付的有关服务。应用提供商管理平台12和卡片发行商管理平台10之间通过专线或者Internet连接,卡片发行商管理平台10可以通过应用提供商管理平台12及应用提供商业务终端14和智能卡16建立通信。并且,智能卡16通过应用提供商的业务终端14和应用提供商管理平台12以及卡片发行商管理平台10建立连接。下面将对上述密钥分发系统进行详细的说明。
卡片发行商管理平台10,包括:
创建模块,用于创建智能卡16中对应于应用提供商的从安全域;第一通知模块,用于通知从安全域在智能卡16中生成包括公密钥和私密钥的公私密钥对;第一接收模块,用于接收从安全域返回的公密钥;导入模块,用于将用于外部认证的可信任根公钥(可信任根公钥是由签发应用提供商证书的CA提供的,可以从应用提供商管理平台获得,该公钥用于从安全域对应用提供商的证书进行认证)导入到从安全域;第一发送模块,用于在进行导入之后将从安全域的信息和公密钥发送给应用提供商管理平台12;并且,结合图1所示的卡发行商管理平台,可以将第一通知模块、第一接收模块、导入模块、和第一发送模块根据实际应用需要将上述一个或多个模块设置于卡片发行商管理平台10的子系统中。
应用提供商管理平台12,包括:第二接收模块,用于接收来自卡片发行商管理平台10的从安全域的信息以及公密钥;选择模块,用于根据从安全域的信息以及公密钥通过业务终端14选择智能卡16的从安全域;第二通知模块,用于通知从安全域重新生成公密钥和私密钥;生成模块,用于根据从安全域返回的重新生成的公密钥生成从安全域证书;第二发送模块,用于并通过业务终端将从安全域证书发送到从安全域,完成对从安全域密钥的分发。
此外,应用提供商管理平台12进一步包括:
判断模块,用于通过应用提供商的业务终端14判断智能卡16中是否存在对应于应用提供商的从安全域;调用模块,用于在判断为否的情况下,调用创建模块通过卡片发行商管理平台10在智能卡16上创建从安全域。记录模块,用于在接收卡片发行商管理平台10发送的从安全域的信息以及公密钥之后,在其数据库中记录从安全域的信息。建立安全信道模块,用于在根据从安全域的信息以及公密钥通过业务终端14选择智能卡16的从安全域之后,与从安全域建立安全信道。并且,结合图1所示的应用提供商管理平台,可以将第二接收模块、选择模块、第二通知模块、生成模块、和第二发送模块根据实际应用需要,将上述一个或多个模块设置于应用提供商管理平台12的子系统中。
业务终端14,用于通过读写设备与智能卡16建立通信,并建立智能卡16与应用提供商管理平台12之间的连接;在实际的应用中,应用提供商的业务终端14可以是应用提供商营业场所的计算机设备,也可以参与处理电子支付用户信息管理、从安全域创建、密钥更新、电子支付应用下载等业务的终端。此外,业务终端14可以通过应用提供商的业务终端管理系统连接到应用提供商管理平台12,业务终端14与应用提供商管理平台12之间的连接可以采用专线或者Internet进行连接。此外,业务终端14配置有非接触式读卡器或者直接读取智能卡的读写设备,业务终端可以通过读写设备与智能卡建立通信。
智能卡16,位于移动终端,包括从安全域,其中,从安全域用于生成公私密钥对,并通过业务终端14向卡片发行商管理平台10返回公密钥,在应用提供商管理平台12通知从安全域重新生成公密钥和私密钥的情况下,重新生成公密钥和私密钥,并向应用提供商管理平台12返回重新生成的公密钥,以及接收应用提供商管理平台12发送的从安全域证书。
通过上述的处理,在卡片发行商管理平台10将从安全域的基本信息和密钥返回给应用提供商管理平台后12,应用提供商管理平台12和从安全域之间重新进行密钥分发,这时应用提供商管理平台12和智能卡16之间的通信不再经过卡片发行商管理平台10传输,而是经过应用提供商的业务终端14进行,实现了对卡片发行商管理平台10的隔离,卡片发行商管理平台10无法获得应用提供商从安全域在智能卡16上生成的从安全域密钥。另外,应用提供商管理平台12和智能卡16的通信处于一个封闭的环境内,也可以避免遭受其它潜在的安全威胁和攻击。通过本发明可以实现应用提供商从安全域密钥分发的安全。
方法实施例
根据本发明的实施例,提供了一种密钥分发方法,用于对应用提供商的从安全域进行密钥分发。图2是根据本发明实施例的密钥分发方法的流程图,如图2所示,包括以下处理(步骤S202-步骤S206):
步骤S202,卡片发行商管理平台通知应用提供商对应的从安全域在智能卡中生成包括公密钥和私密钥的公私密钥对,接收从安全域返回的公密钥,并将用于外部认证使用的可信任根公钥导入到从安全域,并向应用提供商管理平台发送从安全域的信息以及公密钥;
其中,在步骤S202中,通过应用提供商业务终端在智能卡中下载应用提供商的电子支付应用以前,应用提供商管理平台通过应用提供商的业务终端判断智能卡中是否存在对应于应用提供商的从安全域;在判断为是的情况下,智能卡中已经存在应用提供商对应的安全域,而且该安全域已经进行了密钥的分发,在这种情况下,不需要在进行安全域的创建及密钥的分发,应用提供商管理平台可以将电子支付应用下载到已存在的从安全域;在判断为否的情况下,应用提供商管理平台通过卡片发行商管理平台在智能卡上创建从安全域,并通知创建的从安全域生成公私密钥对。
其中,应用提供商管理平台通过卡片发行商管理平台在智能卡上创建从安全域的具体处理为:卡片发行商管理平台通过应用提供商管理平台与智能卡进行通信,选择智能卡的主安全域并与主安全域建立安全通道;卡片发行商管理平台通过安全通道通知主安全域建立应用提供商对应的从安全域;主安全域在智能卡上建立从安全域。
步骤S204,应用提供商管理平台接收来自卡片发行商管理平台的从安全域的信息以及公密钥,应用提供商管理平台通过应用提供商业务终端和智能卡建立连接,并根据从安全域的信息以及公密钥通过业务终端选择智能卡的从安全域;
在步骤S204中,在应用提供商管理平台接收卡片发行商管理平台发送的从安全域的信息以及公密钥之后,应用提供商管理平台在其数据库中记录从安全域的信息。
此外,在步骤S204中,在应用提供商管理平台根据从安全域的信息以及公密钥进行从安全域选择之后,上述方法进一步包括:应用提供商管理平台与从安全域建立安全信道。
步骤S206,应用提供商管理平台通知从安全域重新生成公密钥和私密钥,根据从安全域返回的重新生成的公密钥生成从安全域证书,并通过将从安全域证书发送到从安全域,完成对从安全域密钥的分发。
在步骤S206中,在应用提供商管理平台将从安全域证书发送到从安全域之后,从安全域需要将从安全域证书写入到从安全域。
下面,结合实例,对本发明的上述技术方案进行详细的说明,如图3所示,图3是根据本发明实施例的密钥分发方法的详细处理过程的信令流程图,需要说明的是,尽管下面将以图1所示的移动终端电子支付系统架构为例进行描述,但本发明的应用场景不限于图1所示移动终端电子支付系统架构。
在本实例中,应用提供商业务终端可以是应用提供商营业场所的计算机设备,可以参与处理电子支付用户信息管理、从安全域创建、密钥更新、电子支付应用下载等业务终端。并且,终端可以通过应用提供商的业务终端管理系统连接到应用提供商管理平台,业务终端与应用提供商管理平台之间的连接可以采用专线或者Internet的形式进行连接。业务终端配置有非接触式读卡器或者直接读取智能卡的读写设备,业务终端可以通过读写设备与智能卡建立通信。
在实例中,应用提供商管理平台和卡片发行商管理之间通过专线或者Internet连接,卡片发行商管理平台可以通过应用提供商管理平台及应用提供商业务终端和智能卡建立通信。
并且,通过应用提供商业务终端可以完成电子支付应用的业务申请和下载。在进行电子支付应用下载前,需要检查智能卡中是否存在属于该应用提供商的从安全域。具体的检查方式如下:
1、通过业务终端读取智能卡的特征信息ICCID,然后应用提供商管理平台根据ICCID在系统的已创建从安全域的智能卡数据库中检索该智能卡是否已经创建自己的从安全域。
2、当该应用提供商在每个智能卡上的从安全域的ID相同时,可以向智能卡发送SELECT报文,报文中的对象参数为从安全域ID,如果智能卡返回的SELECT RESPONSE中指示对应的从安全域不存在时,可以判断该智能卡上不存在该应用提供商的从安全域。
并且,如果不存在该应用提供商的从安全域,需要先进行从安全域的创建和从安全域的密钥分发过程。
下面将结合图3,详细说明应用提供商的从安全域的创建和密钥分发过程,包括以下处理:
1、应用提供商业务终端读取智能卡的标识信息,例如,智能卡的ICCID,然后将智能卡标识信息发送给应用提供商管理平台。
2、应用提供商管理平台向卡片发行商管理平台发送从安全域创建请求,在请求报文中包括应用提供商ID(ASP_ID)和智能卡特征信息ICCID等。
3、卡片发行商管理平台接收到从安全域创建请求后,验证从安全域创建请求信息,并确定是否允许该请求,具体地,卡片发行商可以根据应用提供商的业务权限等确定是否允许通过应用提供商管理平台创建从安全域。
4、卡片发行商管理平台确认可以通过应用提供商管理平台创建从安全域后,根据智能卡ICCID在管理平台内部的数据库中检索到该智能卡的相关信息,包括智能卡主安全域ID(ISD_ID)等。
5、卡片发行商管理平台通过应用提供商管理平台向智能卡发送SELECT报文,选择智能卡的主安全域。
6、卡片发行商管理平台和智能卡主安全域按照Global PlatformCard Specification V2.2附录F Secure Channel Protocol10的要求建立SCP10安全信道,完成双方的认证及对话密钥的协商。
7、卡片发行商管理平台通向主安全域发送从安全域创建报文INSTALL[for Install],主安全域按照报文创建从安全域,完成创建后,主安全域发送INSTALL Response到卡片发行商管理平台。
8、卡片发行商管理平台确认从安全域已创建后,通知从安全域生成公私密钥对(对应于图2中的步骤S202)。
9、从安全域通过调用卡上生成密钥的接口产生公钥和私钥,然后将公钥返回给卡片发行商管理平台(对应于图2中的步骤S202)。
10、卡片发行商管理平台通过PUT KEY报文将外部认证使用的信任根公钥(One Public Key for Trust Point for ExternalAuthentication,PK.TP_EX.AUT)发送到智能卡主安全域(对应于图2中的步骤S202)。
11、智能卡主安全域将从安全域的PK.TP_EX.AUT发送给从安全域,从安全域进行PK.TP_EX.AUT的设置,然后发送PUT KEYRESPONSE给卡片发行商管理平台(对应于图2中的步骤S202)。
12、卡片发行商管理平台将创建的从安全域的基本信息和从安全域的公钥发送给应用提供商管理平台(对应于图2中的步骤S202)。
13、应用提供商管理平台在数据库中添加从安全域的相关信息。
14、应用提供商管理平台通过其业务终端向智能卡发送SELECT报文,选择创建的从安全域(对应于图2中的步骤S204)。
15、应用提供商管理平台和从安全域按照Global Platform CardSpecification V2.2附录F Secure Channel Protocol10的要求建立SCP10安全信道,完成从安全域对应用提供商管理平台的认证和对话密钥的协商(对应于图2中的步骤S204)。
16、应用提供商管理平台通知从安全域生成新的公钥和私钥(对应于图2中的步骤S206)。
17、从安全域通过调用卡上生成密钥的接口重新产生从安全域的公钥和私钥,然后将公钥返回到应用提供商管理平台(对应于图2中的步骤S206)。
18、应用提供商管理平台将从安全域的公钥和证书申请信息发给应用提供商CA,由CA签发从安全域的证书(对应于图2中的步骤S206)。
19、应用提供商管理平台通过PUT KEY报文,将从安全域证书发送给从安全域(对应于图2中的步骤S206)。
20、从安全域使用对话密钥对报文进行解密,获得从安全域证书后,安装从安全域的证书;从安全域发送PUT KEY Response给应用提供商管理平台。
在进行上述的处理后,应用提供商管理平台和从安全域之间可以继续进行电子支付应用的下载和安装等过程。
综上所述,借助于本发明的技术方案,通过应用提供商的业务终端对从安全域密钥进行分发,解决了相关技术中由于卡片发行商管理平台负责密钥数据的传送时可以获得发送的安全域密钥数据而导致的从安全域密钥的分发不安全的问题,能够避免遭受其它潜在的安全威胁和攻击,提高了应用提供商从安全域密钥分发的安全性。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种密钥分发方法,其特征在于,包括:
卡片发行商管理平台通知应用提供商对应的从安全域在智能卡中生成包括公密钥和私密钥的公私密钥对,接收所述从安全域返回的所述公密钥,并将用于外部认证的可信任根公钥导入到所述从安全域,并向应用提供商管理平台发送所述从安全域的信息以及所述公密钥;
所述应用提供商管理平台接收来自所述卡片发行商管理平台的所述从安全域的信息以及所述公密钥,并根据所述从安全域的信息以及所述公密钥通过应用提供商的业务终端选择所述智能卡的从安全域;
所述应用提供商管理平台通知所述从安全域重新生成公密钥和私密钥,根据所述从安全域返回的重新生成的公密钥生成从安全域证书,并通过将所述从安全域证书发送到所述从安全域,完成对所述从安全域密钥的分发。
2.根据权利要求1所述的方法,其特征在于,所述卡片发行商管理平台通知所述从安全域生成所述公私密钥对的处理具体为:
应用提供商管理平台通过所述应用提供商的业务终端判断智能卡中是否存在对应于所述应用提供商的从安全域;
在判断为是的情况下,所述智能卡中已存在所述应用提供商的从安全域,不再进行从安全域的创建和密钥的分发过程;
在判断为否的情况下,所述应用提供商管理平台通过所述卡片发行商管理平台在所述智能卡上创建所述从安全域,并通知创建的所述从安全域生成所述公私密钥对。
3.根据权利要求2所述的方法,其特征在于,所述应用提供商管理平台通过所述卡片发行商管理平台在所述智能卡上创建所述从安全域的具体处理为:
所述卡片发行商管理平台通过所述应用提供商管理平台与所述智能卡进行通信,选择所述智能卡的主安全域并与所述主安全域建立安全通道;
所述卡片发行商管理平台通过所述安全通道通知所述主安全域建立所述应用提供商对应的从安全域;
所述主安全域在所述智能卡上建立所述从安全域。
4.根据权利要求1所述的方法,其特征在于,在所述应用提供商管理平台接收所述卡片发行商管理平台发送的所述从安全域的信息以及所述公密钥之后,所述方法进一步包括:
所述应用提供商管理平台在其数据库中记录所述从安全域的信息。
5.根据权利要求1所述的方法,其特征在于,在所述应用提供商管理平台根据所述从安全域的信息以及所述公密钥进行所述从安全域选择之后,所述方法进一步包括:
所述应用提供商管理平台与所述从安全域建立安全信道。
6.根据权利要求1所述的方法,其特征在于,在所述应用提供商管理平台将所述从安全域证书发送到所述从安全域之后,所述方法进一步包括:
所述从安全域将所述从安全域证书写入到所述从安全域。
7.一种密钥分发系统,其特征在于,包括:
卡片发行商管理平台,包括:
创建模块,用于创建智能卡中对应于应用提供商的从安全域;
第一通知模块,用于通知所述从安全域在所述智能卡中生成包括公密钥和私密钥的公私密钥对;
第一接收模块,用于接收所述从安全域返回的所述公密钥;
导入模块,用于将用于外部认证的可信任根公钥导入到所述从安全域;
第一发送模块,用于在进行导入之后将所述从安全域的信息和所述公密钥发送给应用提供商管理平台;
所述应用提供商管理平台,包括:
第二接收模块,用于接收来自所述卡片发行商管理平台的所述从安全域的信息以及所述公密钥;
选择模块,用于根据所述从安全域的信息以及所述公密钥通过应用提供商的业务终端选择所述智能卡的从安全域;
第二通知模块,用于通知所述从安全域重新生成公密钥和私密钥;
生成模块,用于根据所述从安全域返回的重新生成的公密钥生成从安全域证书;
第二发送模块,用于通过所述业务终端将所述从安全域证书发送到所述从安全域,完成对所述从安全域密钥的分发;
所述业务终端,用于通过读写设备与智能卡建立通信,并建立所述智能卡与所述应用提供商管理平台之间的连接;
所述智能卡,位于移动终端,包括所述从安全域,其中,所述从安全域用于生成所述公私密钥对,并通过所述业务终端向所述卡片发行商管理平台返回所述公密钥,在所述应用提供商管理平台通知所述从安全域重新生成公密钥和私密钥的情况下,重新生成公密钥和私密钥,并向所述应用提供商管理平台返回重新生成的所述公密钥,以及接收所述应用提供商管理平台发送的所述从安全域证书。
8.根据权利要求7所述的系统,其特征在于,所述应用提供商管理平台进一步包括:
判断模块,用于通过所述应用提供商的业务终端判断所述智能卡中是否存在对应于所述应用提供商的从安全域;
调用模块,用于在判断为否的情况下,调用所述创建模块通过所述卡片发行商管理平台在所述智能卡上创建所述从安全域。
9.根据权利要求7所述的系统,其特征在于,所述应用提供商管理平台进一步包括:
记录模块,用于在接收所述卡片发行商管理平台发送的所述从安全域的信息以及所述公密钥之后,在其数据库中记录所述从安全域的信息。
10.根据权利要求7所述的系统,其特征在于,所述应用提供商管理平台进一步包括:
建立安全信道模块,用于在根据所述从安全域的信息以及所述公密钥通过所述业务终端选择所述智能卡的从安全域之后,与所述从安全域建立安全信道。
Priority Applications (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200810172967A CN101729502B (zh) | 2008-10-23 | 2008-10-23 | 密钥分发方法和系统 |
| EP09821528.8A EP2352252B1 (en) | 2008-10-23 | 2009-07-24 | Key distribution method and system |
| PCT/CN2009/072902 WO2010045807A1 (zh) | 2008-10-23 | 2009-07-24 | 密钥分发方法和系统 |
| US13/125,542 US20110280406A1 (en) | 2008-10-23 | 2009-07-24 | Key distribution method and system |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200810172967A CN101729502B (zh) | 2008-10-23 | 2008-10-23 | 密钥分发方法和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101729502A CN101729502A (zh) | 2010-06-09 |
| CN101729502B true CN101729502B (zh) | 2012-09-05 |
Family
ID=42118925
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200810172967A Expired - Fee Related CN101729502B (zh) | 2008-10-23 | 2008-10-23 | 密钥分发方法和系统 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20110280406A1 (zh) |
| EP (1) | EP2352252B1 (zh) |
| CN (1) | CN101729502B (zh) |
| WO (1) | WO2010045807A1 (zh) |
Families Citing this family (119)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102025710B (zh) * | 2009-09-11 | 2015-11-25 | 中国银联股份有限公司 | 多应用智能卡及智能卡多应用管理系统和方法 |
| JP2011118837A (ja) * | 2009-12-07 | 2011-06-16 | Sony Corp | 情報処理装置、情報処理方法およびプログラム |
| WO2012078570A2 (en) * | 2010-12-06 | 2012-06-14 | Interdigital Patent Holdings, Inc. | Smart card with domain-trust evaluation and domain policy management functions |
| CN102592220A (zh) * | 2012-02-14 | 2012-07-18 | 张龙其 | 一种支持多家银行智能卡脱机交易的方法 |
| CN103003831B (zh) * | 2012-02-14 | 2015-07-08 | 张龙其 | 一种智能卡支付系统 |
| US10929843B2 (en) * | 2014-05-06 | 2021-02-23 | Apple Inc. | Storage of credential service provider data in a security domain of a secure element |
| US9258117B1 (en) | 2014-06-26 | 2016-02-09 | Amazon Technologies, Inc. | Mutual authentication with symmetric secrets and signatures |
| US10567434B1 (en) * | 2014-09-10 | 2020-02-18 | Amazon Technologies, Inc. | Communication channel security enhancements |
| US10374800B1 (en) | 2014-09-10 | 2019-08-06 | Amazon Technologies, Inc. | Cryptography algorithm hopping |
| US9923923B1 (en) | 2014-09-10 | 2018-03-20 | Amazon Technologies, Inc. | Secure transport channel using multiple cipher suites |
| US10164953B2 (en) * | 2014-10-06 | 2018-12-25 | Stmicroelectronics, Inc. | Client accessible secure area in a mobile device security module |
| US10205598B2 (en) * | 2015-05-03 | 2019-02-12 | Ronald Francis Sulpizio, JR. | Temporal key generation and PKI gateway |
| US9832025B2 (en) * | 2015-05-19 | 2017-11-28 | Verizon Patent And Licensing Inc. | Remote secure element policy management |
| US10122689B2 (en) | 2015-06-16 | 2018-11-06 | Amazon Technologies, Inc. | Load balancing with handshake offload |
| US10122692B2 (en) | 2015-06-16 | 2018-11-06 | Amazon Technologies, Inc. | Handshake offload |
| EP3384423B1 (en) * | 2015-12-02 | 2022-08-10 | Cryptography Research, Inc. | Device with multiple roots of trust |
| CN107257328A (zh) * | 2017-05-26 | 2017-10-17 | 深圳市金立通信设备有限公司 | 一种支付安全部署方法、系统、终端以及身份校验方法 |
| US10546444B2 (en) | 2018-06-21 | 2020-01-28 | Capital One Services, Llc | Systems and methods for secure read-only authentication |
| US10771253B2 (en) | 2018-10-02 | 2020-09-08 | Capital One Services, Llc | Systems and methods for cryptographic authentication of contactless cards |
| SG11202102798TA (en) | 2018-10-02 | 2021-04-29 | Capital One Services Llc | Systems and methods for cryptographic authentication of contactless cards |
| JP2022508010A (ja) | 2018-10-02 | 2022-01-19 | キャピタル・ワン・サービシーズ・リミテッド・ライアビリティ・カンパニー | 非接触カードの暗号化認証のためのシステムおよび方法 |
| US10592710B1 (en) | 2018-10-02 | 2020-03-17 | Capital One Services, Llc | Systems and methods for cryptographic authentication of contactless cards |
| US10607216B1 (en) | 2018-10-02 | 2020-03-31 | Capital One Services, Llc | Systems and methods for cryptographic authentication of contactless cards |
| US10579998B1 (en) | 2018-10-02 | 2020-03-03 | Capital One Services, Llc | Systems and methods for cryptographic authentication of contactless cards |
| US10607214B1 (en) | 2018-10-02 | 2020-03-31 | Capital One Services, Llc | Systems and methods for cryptographic authentication of contactless cards |
| CA3115142A1 (en) | 2018-10-02 | 2020-04-09 | Capital One Services, Llc | Systems and methods for cryptographic authentication of contactless cards |
| US10909527B2 (en) | 2018-10-02 | 2021-02-02 | Capital One Services, Llc | Systems and methods for performing a reissue of a contactless card |
| AU2019355110A1 (en) | 2018-10-02 | 2021-04-08 | Capital One Services, Llc | Systems and methods for cryptographic authentication of contactless cards |
| CA3115107A1 (en) | 2018-10-02 | 2020-04-09 | Capital One Services, Llc | Systems and methods for cryptographic authentication of contactless cards |
| AU2019351906A1 (en) | 2018-10-02 | 2021-03-18 | Capital One Services, Llc | Systems and methods for cryptographic authentication of contactless cards |
| US10505738B1 (en) | 2018-10-02 | 2019-12-10 | Capital One Services, Llc | Systems and methods for cryptographic authentication of contactless cards |
| US10582386B1 (en) | 2018-10-02 | 2020-03-03 | Capital One Services, Llc | Systems and methods for cryptographic authentication of contactless cards |
| US10542036B1 (en) | 2018-10-02 | 2020-01-21 | Capital One Services, Llc | Systems and methods for signaling an attack on contactless cards |
| US11210664B2 (en) | 2018-10-02 | 2021-12-28 | Capital One Services, Llc | Systems and methods for amplifying the strength of cryptographic algorithms |
| US10565587B1 (en) | 2018-10-02 | 2020-02-18 | Capital One Services, Llc | Systems and methods for cryptographic authentication of contactless cards |
| US10771254B2 (en) | 2018-10-02 | 2020-09-08 | Capital One Services, Llc | Systems and methods for email-based card activation |
| US10511443B1 (en) | 2018-10-02 | 2019-12-17 | Capital One Services, Llc | Systems and methods for cryptographic authentication of contactless cards |
| WO2020072552A1 (en) | 2018-10-02 | 2020-04-09 | Capital One Services, Llc | Systems and methods for cryptographic authentication of contactless cards |
| US10783519B2 (en) | 2018-10-02 | 2020-09-22 | Capital One Services, Llc | Systems and methods for cryptographic authentication of contactless cards |
| US10581611B1 (en) | 2018-10-02 | 2020-03-03 | Capital One Services, Llc | Systems and methods for cryptographic authentication of contactless cards |
| US10554411B1 (en) | 2018-10-02 | 2020-02-04 | Capital One Services, Llc | Systems and methods for cryptographic authentication of contactless cards |
| US10949520B2 (en) | 2018-10-02 | 2021-03-16 | Capital One Services, Llc | Systems and methods for cross coupling risk analytics and one-time-passcodes |
| WO2020072694A1 (en) | 2018-10-02 | 2020-04-09 | Capital One Services, Llc | Systems and methods for cryptographic authentication of contactless cards |
| US10489781B1 (en) | 2018-10-02 | 2019-11-26 | Capital One Services, Llc | Systems and methods for cryptographic authentication of contactless cards |
| US10733645B2 (en) | 2018-10-02 | 2020-08-04 | Capital One Services, Llc | Systems and methods for establishing identity for order pick up |
| US10992477B2 (en) | 2018-10-02 | 2021-04-27 | Capital One Services, Llc | Systems and methods for cryptographic authentication of contactless cards |
| SG11202103249VA (en) | 2018-10-02 | 2021-04-29 | Capital One Services Llc | Systems and methods for cryptographic authentication of contactless cards |
| JP2022503755A (ja) | 2018-10-02 | 2022-01-12 | キャピタル・ワン・サービシーズ・リミテッド・ライアビリティ・カンパニー | 非接触カードの暗号化認証のためのシステムおよび方法 |
| US11361302B2 (en) | 2019-01-11 | 2022-06-14 | Capital One Services, Llc | Systems and methods for touch screen interface interaction using a card overlay |
| US11037136B2 (en) | 2019-01-24 | 2021-06-15 | Capital One Services, Llc | Tap to autofill card data |
| US10467622B1 (en) | 2019-02-01 | 2019-11-05 | Capital One Services, Llc | Using on-demand applications to generate virtual numbers for a contactless card to securely autofill forms |
| US11120453B2 (en) | 2019-02-01 | 2021-09-14 | Capital One Services, Llc | Tap card to securely generate card data to copy to clipboard |
| US10510074B1 (en) | 2019-02-01 | 2019-12-17 | Capital One Services, Llc | One-tap payment using a contactless card |
| US10425129B1 (en) | 2019-02-27 | 2019-09-24 | Capital One Services, Llc | Techniques to reduce power consumption in near field communication systems |
| US10523708B1 (en) | 2019-03-18 | 2019-12-31 | Capital One Services, Llc | System and method for second factor authentication of customer support calls |
| US10438437B1 (en) | 2019-03-20 | 2019-10-08 | Capital One Services, Llc | Tap to copy data to clipboard via NFC |
| US10535062B1 (en) | 2019-03-20 | 2020-01-14 | Capital One Services, Llc | Using a contactless card to securely share personal data stored in a blockchain |
| US10643420B1 (en) | 2019-03-20 | 2020-05-05 | Capital One Services, Llc | Contextual tapping engine |
| US10984416B2 (en) | 2019-03-20 | 2021-04-20 | Capital One Services, Llc | NFC mobile currency transfer |
| US10970712B2 (en) | 2019-03-21 | 2021-04-06 | Capital One Services, Llc | Delegated administration of permissions using a contactless card |
| US10467445B1 (en) | 2019-03-28 | 2019-11-05 | Capital One Services, Llc | Devices and methods for contactless card alignment with a foldable mobile device |
| CN110048857B (zh) * | 2019-04-25 | 2022-03-11 | 北京华大智宝电子系统有限公司 | 一种公钥基础设施管理系统、智能卡和设备系统 |
| US11521262B2 (en) | 2019-05-28 | 2022-12-06 | Capital One Services, Llc | NFC enhanced augmented reality information overlays |
| US10516447B1 (en) | 2019-06-17 | 2019-12-24 | Capital One Services, Llc | Dynamic power levels in NFC card communications |
| US10871958B1 (en) | 2019-07-03 | 2020-12-22 | Capital One Services, Llc | Techniques to perform applet programming |
| US11694187B2 (en) | 2019-07-03 | 2023-07-04 | Capital One Services, Llc | Constraining transactional capabilities for contactless cards |
| US11392933B2 (en) | 2019-07-03 | 2022-07-19 | Capital One Services, Llc | Systems and methods for providing online and hybridcard interactions |
| US10713649B1 (en) | 2019-07-09 | 2020-07-14 | Capital One Services, Llc | System and method enabling mobile near-field communication to update display on a payment card |
| US10498401B1 (en) | 2019-07-15 | 2019-12-03 | Capital One Services, Llc | System and method for guiding card positioning using phone sensors |
| US10885514B1 (en) | 2019-07-15 | 2021-01-05 | Capital One Services, Llc | System and method for using image data to trigger contactless card transactions |
| US11182771B2 (en) | 2019-07-17 | 2021-11-23 | Capital One Services, Llc | System for value loading onto in-vehicle device |
| US10832271B1 (en) | 2019-07-17 | 2020-11-10 | Capital One Services, Llc | Verified reviews using a contactless card |
| US10733601B1 (en) | 2019-07-17 | 2020-08-04 | Capital One Services, Llc | Body area network facilitated authentication or payment authorization |
| US11521213B2 (en) | 2019-07-18 | 2022-12-06 | Capital One Services, Llc | Continuous authentication for digital services based on contactless card positioning |
| US10506426B1 (en) | 2019-07-19 | 2019-12-10 | Capital One Services, Llc | Techniques for call authentication |
| US10541995B1 (en) | 2019-07-23 | 2020-01-21 | Capital One Services, Llc | First factor contactless card authentication system and method |
| CA3153291A1 (en) | 2019-10-02 | 2021-04-08 | Evan Lerner | Client device authentication using contactless legacy magnetic stripe data |
| US11113685B2 (en) | 2019-12-23 | 2021-09-07 | Capital One Services, Llc | Card issuing with restricted virtual numbers |
| US10862540B1 (en) | 2019-12-23 | 2020-12-08 | Capital One Services, Llc | Method for mapping NFC field strength and location on mobile devices |
| US11615395B2 (en) | 2019-12-23 | 2023-03-28 | Capital One Services, Llc | Authentication for third party digital wallet provisioning |
| US11651361B2 (en) | 2019-12-23 | 2023-05-16 | Capital One Services, Llc | Secure authentication based on passport data stored in a contactless card |
| US10733283B1 (en) | 2019-12-23 | 2020-08-04 | Capital One Services, Llc | Secure password generation and management using NFC and contactless smart cards |
| US10885410B1 (en) | 2019-12-23 | 2021-01-05 | Capital One Services, Llc | Generating barcodes utilizing cryptographic techniques |
| US10657754B1 (en) | 2019-12-23 | 2020-05-19 | Capital One Services, Llc | Contactless card and personal identification system |
| US10664941B1 (en) | 2019-12-24 | 2020-05-26 | Capital One Services, Llc | Steganographic image encoding of biometric template information on a card |
| US10853795B1 (en) | 2019-12-24 | 2020-12-01 | Capital One Services, Llc | Secure authentication based on identity data stored in a contactless card |
| US11200563B2 (en) | 2019-12-24 | 2021-12-14 | Capital One Services, Llc | Account registration using a contactless card |
| US10909544B1 (en) | 2019-12-26 | 2021-02-02 | Capital One Services, Llc | Accessing and utilizing multiple loyalty point accounts |
| US10757574B1 (en) | 2019-12-26 | 2020-08-25 | Capital One Services, Llc | Multi-factor authentication providing a credential via a contactless card for secure messaging |
| US11038688B1 (en) | 2019-12-30 | 2021-06-15 | Capital One Services, Llc | Techniques to control applets for contactless cards |
| US11455620B2 (en) | 2019-12-31 | 2022-09-27 | Capital One Services, Llc | Tapping a contactless card to a computing device to provision a virtual number |
| US10860914B1 (en) | 2019-12-31 | 2020-12-08 | Capital One Services, Llc | Contactless card and method of assembly |
| US11210656B2 (en) | 2020-04-13 | 2021-12-28 | Capital One Services, Llc | Determining specific terms for contactless card activation |
| US10861006B1 (en) | 2020-04-30 | 2020-12-08 | Capital One Services, Llc | Systems and methods for data access control using a short-range transceiver |
| US11222342B2 (en) | 2020-04-30 | 2022-01-11 | Capital One Services, Llc | Accurate images in graphical user interfaces to enable data transfer |
| US10915888B1 (en) | 2020-04-30 | 2021-02-09 | Capital One Services, Llc | Contactless card with multiple rotating security keys |
| US11030339B1 (en) | 2020-04-30 | 2021-06-08 | Capital One Services, Llc | Systems and methods for data access control of personal user data using a short-range transceiver |
| US11823175B2 (en) | 2020-04-30 | 2023-11-21 | Capital One Services, Llc | Intelligent card unlock |
| US10963865B1 (en) | 2020-05-12 | 2021-03-30 | Capital One Services, Llc | Augmented reality card activation experience |
| US11063979B1 (en) | 2020-05-18 | 2021-07-13 | Capital One Services, Llc | Enabling communications between applications in a mobile operating system |
| US11100511B1 (en) | 2020-05-18 | 2021-08-24 | Capital One Services, Llc | Application-based point of sale system in mobile operating systems |
| US11062098B1 (en) | 2020-08-11 | 2021-07-13 | Capital One Services, Llc | Augmented reality information display and interaction via NFC based authentication |
| US11165586B1 (en) | 2020-10-30 | 2021-11-02 | Capital One Services, Llc | Call center web-based authentication using a contactless card |
| US11482312B2 (en) | 2020-10-30 | 2022-10-25 | Capital One Services, Llc | Secure verification of medical status using a contactless card |
| US11373169B2 (en) | 2020-11-03 | 2022-06-28 | Capital One Services, Llc | Web-based activation of contactless cards |
| CN112702733B (zh) * | 2020-12-30 | 2022-10-04 | 飞天诚信科技股份有限公司 | 一种读卡终端及其工作方法 |
| US11216799B1 (en) | 2021-01-04 | 2022-01-04 | Capital One Services, Llc | Secure generation of one-time passcodes using a contactless card |
| US11682012B2 (en) | 2021-01-27 | 2023-06-20 | Capital One Services, Llc | Contactless delivery systems and methods |
| US11792001B2 (en) | 2021-01-28 | 2023-10-17 | Capital One Services, Llc | Systems and methods for secure reprovisioning |
| US11687930B2 (en) | 2021-01-28 | 2023-06-27 | Capital One Services, Llc | Systems and methods for authentication of access tokens |
| US11562358B2 (en) | 2021-01-28 | 2023-01-24 | Capital One Services, Llc | Systems and methods for near field contactless card communication and cryptographic authentication |
| US11438329B2 (en) | 2021-01-29 | 2022-09-06 | Capital One Services, Llc | Systems and methods for authenticated peer-to-peer data transfer using resource locators |
| US11777933B2 (en) | 2021-02-03 | 2023-10-03 | Capital One Services, Llc | URL-based authentication for payment cards |
| US11637826B2 (en) | 2021-02-24 | 2023-04-25 | Capital One Services, Llc | Establishing authentication persistence |
| US11245438B1 (en) | 2021-03-26 | 2022-02-08 | Capital One Services, Llc | Network-enabled smart apparatus and systems and methods for activating and provisioning same |
| US11935035B2 (en) | 2021-04-20 | 2024-03-19 | Capital One Services, Llc | Techniques to utilize resource locators by a contactless card to perform a sequence of operations |
| US11961089B2 (en) | 2021-04-20 | 2024-04-16 | Capital One Services, Llc | On-demand applications to extend web services |
| US11902442B2 (en) | 2021-04-22 | 2024-02-13 | Capital One Services, Llc | Secure management of accounts on display devices using a contactless card |
| US11354555B1 (en) | 2021-05-04 | 2022-06-07 | Capital One Services, Llc | Methods, mediums, and systems for applying a display to a transaction card |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1832403A (zh) * | 2006-04-24 | 2006-09-13 | 北京易恒信认证科技有限公司 | Cpk可信认证系统 |
| CN101164086A (zh) * | 2005-03-07 | 2008-04-16 | 诺基亚公司 | 能够使用无线网络实现信用卡个人化的方法、系统和移动设备 |
| CN101179377A (zh) * | 2006-11-09 | 2008-05-14 | 中兴通讯股份有限公司 | 一种多媒体广播业务中的密钥下发和更新系统 |
| CN101257358A (zh) * | 2008-04-17 | 2008-09-03 | 中兴通讯股份有限公司 | 一种用户密钥的更新方法及系统 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6402028B1 (en) * | 1999-04-06 | 2002-06-11 | Visa International Service Association | Integrated production of smart cards |
| CN1977537A (zh) * | 2005-02-01 | 2007-06-06 | 松下电器产业株式会社 | 数字有线电视广播接收机 |
| EP1977552B1 (en) * | 2006-01-24 | 2012-08-01 | Stepnexus, Inc. | Method and system for personalizing smart cards using asymmetric key cryptography |
-
2008
- 2008-10-23 CN CN200810172967A patent/CN101729502B/zh not_active Expired - Fee Related
-
2009
- 2009-07-24 EP EP09821528.8A patent/EP2352252B1/en not_active Not-in-force
- 2009-07-24 WO PCT/CN2009/072902 patent/WO2010045807A1/zh active Application Filing
- 2009-07-24 US US13/125,542 patent/US20110280406A1/en not_active Abandoned
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101164086A (zh) * | 2005-03-07 | 2008-04-16 | 诺基亚公司 | 能够使用无线网络实现信用卡个人化的方法、系统和移动设备 |
| CN1832403A (zh) * | 2006-04-24 | 2006-09-13 | 北京易恒信认证科技有限公司 | Cpk可信认证系统 |
| CN101179377A (zh) * | 2006-11-09 | 2008-05-14 | 中兴通讯股份有限公司 | 一种多媒体广播业务中的密钥下发和更新系统 |
| CN101257358A (zh) * | 2008-04-17 | 2008-09-03 | 中兴通讯股份有限公司 | 一种用户密钥的更新方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20110280406A1 (en) | 2011-11-17 |
| CN101729502A (zh) | 2010-06-09 |
| EP2352252A1 (en) | 2011-08-03 |
| WO2010045807A1 (zh) | 2010-04-29 |
| EP2352252A4 (en) | 2014-06-18 |
| EP2352252B1 (en) | 2017-03-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101729502B (zh) | 密钥分发方法和系统 | |
| CN101729503B (zh) | 密钥分发方法和系统 | |
| JP5508428B2 (ja) | 鍵の配布方法及びシステム | |
| CN101729244B (zh) | 密钥分发方法和系统 | |
| CN101742480B (zh) | 智能卡从安全域初始密钥分发方法、系统及移动终端 | |
| CN102202306B (zh) | 移动安全认证终端及方法 | |
| CN102737308A (zh) | 一种移动终端及其查询智能卡信息的方法和系统 | |
| CN102204111A (zh) | 用于在无线智能设备之间提供安全的离线数据传输的系统、方法和计算机可读介质 | |
| CN101729246B (zh) | 密钥分发方法和系统 | |
| CN101588573B (zh) | 安全验证方法、系统及移动终端、服务器 | |
| CN103500400A (zh) | 一种多应用移动支付系统及安全方法 | |
| CN105184556A (zh) | 一种基于蓝牙的移动支付系统和支付方法 | |
| CN101742481B (zh) | 智能卡的从安全域初始密钥分发方法和系统、移动终端 | |
| CN202444629U (zh) | 利用移动终端进行卡操作的系统 | |
| CN103839340A (zh) | 电子钱包信息同步的方法和系统、空中圈存业务平台 | |
| CN102496112A (zh) | 基于智能sd卡的三屏支付系统及实现方法 | |
| CN101729243B (zh) | 密钥更新方法和系统 | |
| CN105704092A (zh) | 用户身份认证方法、装置和系统 | |
| CN103544114A (zh) | 基于单cpu卡的多m1卡控制系统及其控制方法 | |
| CN104240080A (zh) | 移动支付的实现方法及装置 | |
| CN106779672A (zh) | 移动终端安全支付的方法及装置 | |
| CN101841806A (zh) | 业务卡信息处理方法、装置、系统及通信终端 | |
| CN101729245B (zh) | 密钥分发方法和系统 | |
| KR20110103822A (ko) | 모바일 카드 관리 방법 및 시스템 | |
| CN106327183A (zh) | 一种用于现场事务处理的数据交换系统及数据交换方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20120905 Termination date: 20201023 |