CN101742478B - 智能卡从安全域密钥更新分发方法、系统及移动终端 - Google Patents

智能卡从安全域密钥更新分发方法、系统及移动终端 Download PDF

Info

Publication number
CN101742478B
CN101742478B CN200810172459.4A CN200810172459A CN101742478B CN 101742478 B CN101742478 B CN 101742478B CN 200810172459 A CN200810172459 A CN 200810172459A CN 101742478 B CN101742478 B CN 101742478B
Authority
CN
China
Prior art keywords
card
security domain
management platform
key
mobile terminal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN200810172459.4A
Other languages
English (en)
Other versions
CN101742478A (zh
Inventor
余万涛
马景旺
贾倩
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Yancheng hi tech Pioneer Park Co.,Ltd.
Original Assignee
ZTE Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ZTE Corp filed Critical ZTE Corp
Priority to CN200810172459.4A priority Critical patent/CN101742478B/zh
Priority to PCT/CN2009/073487 priority patent/WO2010051714A1/zh
Publication of CN101742478A publication Critical patent/CN101742478A/zh
Application granted granted Critical
Publication of CN101742478B publication Critical patent/CN101742478B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明提供了一种智能卡从安全域密钥更新分发方法、系统及移动终端,其中移动终端电子支付系统包括具有电子支付应用功能的智能卡、移动终端、空中下载OTA服务器及卡外实体管理平台,其中,所述智能卡安装在移动终端上,用于通过移动终端及OTA服务器与所述卡外实体管理平台进行通信;所述卡外实体管理平台,用于通过所述OTA服务器和所述移动终端向所述智能卡分发智能卡从安全域密钥。本发明提供的智能卡从安全域密钥更新分发方法、系统及移动终端,可以对智能卡从安全域进行安全的密钥更新和分发。

Description

智能卡从安全域密钥更新分发方法、系统及移动终端
技术领域
本发明涉及基于NFC的移动终端电子支付技术,特别地,涉及一种智能卡从安全域密钥更新分发方法、系统及移动终端。
背景技术
近场通信技术(Near Field Communication,NFC)是工作于13.56MHz的一种近距离无线通信技术,由RFID技术及互连技术融合演变而来。手机等移动通信终端集成NFC技术后,可以模拟非接触式IC卡,用于电子支付的有关应用。移动通信终端上实现该方案需要在终端上增加NFC模拟前端芯片和NFC天线,并使用支持电子支付的智能卡。
IC卡特别是非接触式IC卡经过十多年的发展,已经被广泛应用于公交、门禁、小额电子支付等领域。与此同时,手机经历20多年的迅速发展,在居民中基本得到普及,给人们的工作及生活带来很大的便利。手机的功能越来越强大,并存在集成更多功能的趋势。将手机和非接触式IC卡技术结合,手机应用于电子支付领域,会进一步扩大手机的使用范围,给人们的生活带来便捷,存在着广阔的应用前景。
为实现基于NFC技术的移动电子支付,需要建立移动终端电子支付系统,通过该系统实现对基于NFC的移动终端电子支付的管理,包括:智能卡的发行,电子支付应用的下载、安装和个人化,采用相关技术和管理策略实现电子支付应用的安全等。
基于NFC技术的移动终端电子支付系统的业务框架通常采用GlobalPlatforn规范的多应用框架,在该框架下,支持Global Platform规范的智能卡指的是符合Global Platform Card Specification V2.1.1/V2.2规范的IC芯片或智能卡,从物理形式上可以为SIM/USIM卡、可插拔的智能存储卡或者集成在移动终端上的IC芯片。
如果基于近场通信(NFC)技术的移动终端电子支付系统支持GP2.1.1规范,安全通道协议需要支持SCP02(基于对称密钥);如果基于近场通信技术的移动终端电子支付系统支持GP2.2规范,安全通道协议需要支持SCP02(基于对称密钥)和SCP10(基于非对称密钥),卡片发行商、应用提供商可以根据安全策略需求进行选择。
一般情况下,基于NFC的移动终端近距离电子支付系统主要由卡片发行商管理平台、应用提供商管理平台和支持具有电子支付应用功能智能卡的移动终端组成,该系统中可以存在多个应用提供商管理平台。
在支持Global Platform规范的智能卡上可以安装多个应用,为了实现电子支付应用的安全,智能卡被分隔为若干个独立的安全域,以保证多个应用相互之间的隔离以及独立性,各个应用提供商管理各自的安全域以及应用、应用数据等。
安全域是卡外实体包括卡发行商和应用提供商在卡上的代表,它们包含用于支持安全通道协议运作以及智能卡内容管理的密钥。安全域包括主安全域和从安全域等。主安全域是卡发行商在智能卡上的强制的卡上代表。从安全域是卡发行商或应用提供商在智能卡上的附加的可选卡上代表。
安全域的密钥生成、分发与更新由管理该安全域的卡发行商或应用提供商负责,这保证了来自不同应用提供者的应用和数据可以共存于同一个卡上。安全域的密钥包括主安全域密钥、从安全域初始密钥和从安全域密钥。主安全域密钥和从安全域初始密钥由卡发行商管理平台生成,从安全域密钥由管理从安全域的卡发行商管理平台或应用提供商管理平台生成。
在将电子支付应用下载并安装到智能卡之前,需要在智能卡上为该应用先创建从安全域。智能卡从安全域的创建是由卡发行商管理平台完成的。在智能卡发行后,创建智能卡从安全域时,从安全域初始密钥必须由卡发行商管理平台通过安全途径导入到智能卡上的从安全域。
从安全域创建完成后,在下载电子支付应用时,需要将从安全域初始密钥更新为电子支付应用使用的密钥,即更新为电子支付应用使用的从安全域密钥。电子支付应用所使用的从安全域密钥具有一定的生命周期时,必须在从安全域密钥生命周期结束之前完成从安全域密钥的更新。另外,也可能由于安全原因需要强制更新电子支付应用使用的从安全域密钥。从安全域密钥作为机密数据,在密钥更新过程中需要采取可靠及安全的方法将有关密钥导入到智能卡从安全域,以实现从安全域密钥的安全更新分发。
电子支付应用所使用的从安全域密钥的更新分发过程与系统网络架构的具体实现方式有关。为了实现智能卡的安全性管理和电子支付应用的下载、安装等,智能卡需要和卡发行商管理平台以及应用提供商管理平台建立通信。智能卡通过移动终端使用移动通信网络和管理平台建立通信,可以采用OTA(Over The Air)技术实现智能卡与卡发行商管理平台和应用提供商管理平台的通信。在采用OTA技术的情况下,针对对称密钥的情况,如何实现智能卡从安全域密钥的安全更新分发,是移动终端电子支付需要解决的一个问题。
发明内容
本发明要解决的技术问题是提供一种智能卡从安全域密钥更新分发方法、系统及移动终端,以对智能卡从安全域进行安全的密钥更新和分发。
为了解决上述问题,本发明提供了一种移动终端电子支付系统,该系统包括具有电子支付应用功能的智能卡、移动终端、空中下载OTA服务器及卡外实体管理平台,其中,
所述智能卡安装在移动终端上,用于通过移动终端及OTA服务器与所述卡外实体管理平台进行通信;
所述卡外实体管理平台,用于通过所述OTA服务器和所述移动终端向所述智能卡分发智能卡从安全域密钥。
进一步地,所述卡外实体管理平台,还用于与所述智能卡进行互认证及建立临时会话密钥,以及生成新的从安全域密钥;所述OTA服务器,用于通过安全连接与所述卡外实体管理平台进行通信,通过OTA连接传输智能卡与卡发行商管理平台和应用提供商管理平台之间的通讯数据;所述智能卡,还用于通过所述移动终端与所述OTA服务器建立OTA连接,以及与所述卡外管理实体平台进行互认证,以及接收所述卡外实体管理平台分发的从安全域密钥,更新从安全域密钥,所述互认证过程及从安全域密钥分发均通过OTA服务器和所述移动终端实现。
进一步地,在智能卡从安全域密钥到期或需要强制更新时,所述卡外实体管理平台进行智能卡从安全域密钥分发,所述卡外实体管理平台指卡发行商管理平台或应用提供商管理平台。
为解决上述技术问题,本发明还提供了一种智能卡从安全域密钥更新分发方法,该方法基于移动终端电子支付系统实现,该系统包括具有电子支付应用功能的智能卡、移动终端、空中下载OTA服务器及卡外实体管理平台,所述智能卡通过移动终端及OTA服务器与所述卡外实体管理平台进行通信,所述卡外实体管理平台通过所述OTA服务器和所述移动终端将从安全域密钥分发给所述智能卡。
进一步地,该方法包括:
(a)所述卡外实体管理平台与所述智能卡之间建立安全信道,所述安全信道是通过所述OTA服务器及所述移动终端建立的;
(b)所述卡外实体管理平台生成新的从安全域密钥;
(c)所述卡外实体管理平台将新的从安全域密钥通过所述安全信道分发给所述智能卡;
(d)所述智能卡完成从安全域密钥更新。
进一步地,步骤(a)中建立安全信道的过程包括:
(a1)所述卡外实体管理平台与智能卡从安全域进行互认证,所述互认证过程是由卡外实体管理平台经所述OTA服务器和所述移动终端完成;
(a2)所述卡外实体管理平台与所述智能卡从安全域之间建立临时会话密钥,从而建立安全信道。
进一步地,当智能卡从安全域密钥到期或需要强制更新时,由所述卡外实体管理平台发起智能卡从安全域密钥更新分发流程。
进一步地,所述卡外实体管理平台指卡发行商管理平台或应用提供商管理平台。
进一步地,所述卡外实体管理平台指应用提供商管理平台,所述步骤(a)之前还包括:卡发行商管理平台在智能卡上创建从安全域及生成从安全域初始密钥;所述卡发行商管理平台将创建的从安全域的基本信息和初始密钥信息发送给应用提供商管理平台。
为解决上述技术问题,本发明还提供了一种移动终端,所述移动终端包括具有电子支付应用功能的智能卡,所述智能卡从安全域的密钥由卡外实体管理平台通过空中下载OTA服务器和移动终端分发。
本发明智能卡从安全域密钥更新分发方法、系统及移动终端,基于OTA技术,可以解决在发卡后,针对对称密钥的情况,对智能卡从安全域进行安全的密钥更新和分发。
附图说明
图1是本发明基于近场通信技术的移动终端电子支付系统架构示意图。
图2是针对卡发行商管理的从安全域,本发明从安全域初始密钥更新分发流程示意图。
图3是针对应用提供商管理的从安全域,本发明从安全域初始密钥更新分发流程示意图。
图4是针对卡发行商管理的从安全域,密钥到期或强制更新时,本发明从安全域密钥更新分发流程示意图。
图5是针对应用提供商管理的从安全域,密钥到期或强制更新时,本发明从安全域密钥更新分发流程示意图。
具体实施方式
如图1所示,本发明移动终端电子支付系统包括应用提供商管理平台、卡发行商管理平台、OTA服务器和移动终端和智能卡。
所述智能卡具有电子支付应用功能,安装在移动终端上,和所述移动终端支持OTA功能,所述智能卡还支持Global Platform Card SpecificationV2.1.1/V2.2规范;当用户下载应用时,所述智能卡通过所述移动终端与OTA服务器之间建立OTA连接,OTA连接支持短信和BIP等传输方式承载。
智能卡通过移动终端及OTA服务器与应用提供商管理平台、卡发行商管理平台通信,用于与管理智能卡从安全域的管理平台进行互认证,以及接收所述管理平台分发的从安全域密钥,更新从安全域密钥,所述互认证过程及从安全域密钥分发均通过OTA服务器和所述移动终端实现。
移动终端可以通过移动网络与卡发行商管理平台及应用提供商管理平台连接,也可以通过卡发行商业务终端或应用提供商业务终端分别与卡发行商管理平台或应用提供商管理平台连接。卡发行商业务终端,由卡发行商管理平台管理;应用提供商业务终端,由应用提供商管理平台管理。
OTA服务器通过安全连接与应用提供商管理平台、卡发行商管理平台通讯,通过OTA连接传输智能卡与卡发行商管理平台和应用提供商管理平台之间的通讯数据;
应用提供商管理平台和卡发行商管理平台之间可以通过安全连接进行通信。卡发行商管理平台和应用提供商管理平台可以通过OTA服务器提供电子支付有关服务:提供可以下载的电子支付应用列表,参与从安全域的创建和密钥分发、电子支付应用的下载、以及电子支付应用的个人化等;具体地,
卡发行商管理平台,负责卡的发行和管理,对卡的资源和生命周期、密钥、证书进行管理,负责从安全域的创建,并与其他安全域交互应用数据,其中包括创建从安全域,与所述智能卡进行互认证及建立临时会话密钥,以及生成从安全域初始密钥和新的从安全域密钥。
就具体实现而言,卡发行商管理平台可以包括卡片管理系统、应用管理系统、密钥管理系统、证书管理系统、应用提供商管理系统等,其中证书管理系统在支持非对称密钥的情况下使用,证书管理系统和卡片发行商认证机构(CA)系统连接;
应用提供商管理平台,负责电子支付应用的提供和管理功能,提供各种业务应用,并对卡上与其对应的从安全域进行安全管理,对所述从安全域的应用密钥、证书、数据等进行控制,提供应用的安全下载、安装等功能,其中包括与所述智能卡进行互认证及建立临时会话密钥,以及生成新的从安全域密钥。
就具体实现而言,应用提供商管理平台可以包括应用管理系统、密钥管理系统、证书管理系统,其中证书管理系统在支持非对称密钥的情况下使用,证书管理系统和应用提供商认证机构(CA)系统连接。
以下结合图1所示的移动终端电子支付系统架构为例进行描述,但不限于图1所示移动终端电子支付系统架构,对本发明智能卡从安全域密钥更新分发方法进行说明:
针对卡发行商管理的从安全域,基于OTA的从安全域初始密钥更新分发流程示意图,如图2所示。这种情况下,本发明基于OTA的从安全域初始密钥更新分发流程步骤包括:
步骤201:卡发行商管理平台根据从安全域初始密钥,经由OTA服务器和移动终端向智能卡发送SELECT命令报文,选择从安全域;
步骤202:智能卡经由移动终端和OTA服务器向卡发行商管理平台提交SELECT命令响应;
步骤203:卡发行商管理平台经由OTA服务器及移动终端与智能卡建立SCP02安全信道;
管理该从安全域的卡发行商管理平台根据从安全域初始密钥等信息,启动卡发行商管理平台与智能卡从安全域的互认证,并在完成互认证后,所述卡发行商管理平台与所述智能卡从安全域之间建立临时会话密钥,从而建立安全信道。
临时会话密钥可以遵循Global Plafform Card Specification V2.1.1/V2.2规范建立,也可以通过其它方法建立。
所述互认证过程经由所述OTA服务器和所述移动终端在所述卡发行商管理平台和所述智能卡从安全域之间完成。
步骤204:卡发行商管理平台生成新的从安全域密钥;
步骤205:卡发行商管理平台通过PUTKEY命令,经由OTA服务器和移动终端向智能卡从安全域发送新的从安全域密钥;
步骤206:智能卡从安全域接收到新从安全域密钥后,完成对从安全域初始密钥的更新操作;
步骤207:智能卡从安全域经由移动终端和OTA服务器向卡发行商管理平台发送PUTKEY命令响应,结束从安全域密钥更新过程。
卡发行商管理平台可以根据与应用下载有关的申请信息在智能卡上创建从安全域,与应用下载有关的申请信息可以包含智能卡ICCID信息、应用标识及应用提供商身份信息等。从安全域创建完成后,针对应用提供商管理的从安全域,卡发行商管理平台将从安全域的基本信息和初始密钥信息发送给应用提供商管理平台,从而将从安全域的控制权转交给管理从安全域的应用提供商管理平台,然后应用提供商管理平台更新从安全域的初始密钥。如果从安全域由卡发行商管理,由卡发行商针对具体下载的应用更新从安全域初始密钥。
针对应用提供商管理的从安全域,基于OTA的从安全域初始密钥更新分发流程示意图,如图3所示。这种情况下,本发明基于OTA的从安全域初始密钥更新分发流程步骤包括:
步骤301:用户通过移动终端客户端程序或卡片程序触发应用下载申请,并经由OTA服务器向应用提供商管理平台提交应用下载申请,应用下载申请包含智能卡标识信息ICCID信息等;
步骤302:应用提供商管理平台向卡发行商管理平台提交从安全域创建请求信息,在请求报文中包括应用提供商身份信息(ASP-ID)和智能卡标识信息ICCID等;
步骤303:卡发行商管理平台验证从安全域创建请求信息,判断是否通过应用提供商管理平台创建从安全域;
步骤304:卡发行商管理平台经由应用提供商管理平台、OTA服务器和移动终端向智能卡发送SELECT命令报文,选择主安全域;
步骤305:智能卡经由移动终端、OTA服务器和应用提供商管理平台向卡发行商管理平台提交SELECT命令响应;
步骤306:卡发行商管理平台与智能卡主安全域经由应用提供商管理平台、OTA服务器和移动终端建立SCP02安全信道;
步骤307:卡发行商管理平台经由应用提供商管理平台、OTA服务器和移动终端向智能卡发送INSTALL命令;
步骤308:智能卡经由移动终端、OTA服务器和应用提供商管理平台向卡发行商管理平台提交INSTALL命令响应;
步骤309:卡发行商管理平台生成从安全域初始密钥;
步骤310:卡发行商管理平台通过PUTKEY命令,经由应用提供商管理平台、OTA服务器和移动终端向卡主安全域发送从安全域初始密钥;
步骤311:卡主安全域接收到从安全域初始密钥后,用接收到的从安全域初始密钥初始化从安全域;
步骤312:卡主安全域经由移动终端、OTA服务器和应用提供商管理平台向卡发行商管理平台发送PUTKEY命令响应;
步骤313:卡发行商管理平台向应用提供商管理平台返回从安全域基本信息及从安全域初始密钥;
步骤314:应用提供商管理平台在数据库中添加从安全域相关信息;
步骤315:应用提供商管理平台经由OTA服务器和移动终端向智能卡发送SELECT命令报文,选择从安全域;
步骤316:智能卡经由移动终端和OTA服务器向应用提供商管理平台提交SELECT命令响应;
步骤317:应用提供商管理平台经由OTA服务器及移动终端与智能卡从安全域建立SCP02安全信道;
管理该从安全域的应用提供商管理平台根据从安全域初始密钥等信息,启动应用提供商管理平台与智能卡从安全域的互认证,完成互认证后,所述应用提供商管理平台与所述智能卡从安全域之间建立临时会话密钥,从而建立安全信道。
该临时会话密钥可以遵循Global Platform Card Specification V2.1.1/V2.2规范建立,也可以通过其它方法建立。
针对应用提供商管理的从安全域,所述互认证过程可以经由所述OTA服务器和所述移动终端在所述应用提供商管理平台和所述智能卡之间完成;
步骤318:应用提供商管理平台生成从安全域密钥;
步骤319:应用提供商管理平台通过PUTKEY命令,经由OTA服务器和移动终端向智能卡从安全域发送从安全域密钥;
步骤320:智能卡从安全域接收到从安全域密钥后,完成对从安全域初始密钥的更新操作;
步骤321:智能卡从安全域经由移动终端和OTA服务器向应用提供商管理平台发送PUTKEY命令响应,结束从安全域密钥分发过程;
当与从安全域关联的电子支付应用所使用的从安全域密钥具有一定生命周期时,必须由管理该从安全域的卡发行商管理平台或应用提供商管理平台在从安全域密钥生命周期结束之前完成从安全域密钥的更新;当由于安全原因需要更新电子支付应用所使用的从安全域密钥时,管理该从安全域的卡发行商管理平台或应用提供商管理平台需要对从安全域密钥进行强制更新。
以下结合附图,对密钥到期或强制更新时的从安全域密钥更新分发过程进行说明:
针对卡发行商管理的从安全域,当密钥到期或强制更新时,从安全域密钥更新分发流程示意图如图4所示。这种情况下,本发明基于OTA的从安全域密钥更新分发流程步骤包括:
步骤401:卡发行商管理平台经由OTA服务器和移动终端向智能卡发送SELECT命令报文,选择从安全域;
步骤402:智能卡经由移动终端和OTA服务器向卡发行商管理平台提交SELECT命令响应;
步骤403:卡发行商管理平台经由OTA服务器及移动终端与智能卡从安全域建立SCP02安全信道;
当从安全域密钥到期或由于安全原因强制更新从安全域密钥时,根据当前正在使用的从安全域密钥,启动卡发行商管理平台与智能卡从安全域的互认证,完成互认证后,所述卡发行商管理平台与所述智能卡从安全域之间建立临时会话密钥,从而建立安全信道。
该临时会话密钥可以遵循Global Platform Card Specification V2.1.1/V2.2规范建立,也可以通过其它方法建立。
针对卡发行商管理的从安全域,所述互认证过程经由所述OTA服务器和所述移动终端在所述卡发行商管理平台和所述智能卡之间完成。
步骤404:卡发行商管理平台生成新的从安全域密钥;
步骤405:卡发行商管理平台通过PUTKEY命令,经由OTA服务器和移动终端向智能卡从安全域发送新的从安全域密钥;
步骤406:智能卡从安全域接收到新从安全域密钥后,完成从安全域密钥的更新操作;
步骤407:智能卡从安全域经由移动终端和OTA服务器向卡发行商管理平台发送PUTKEY命令响应,结束从安全域密钥更新过程;
针对应用提供商管理的从安全域,当密钥到期或强制更新时,基于OTA的从安全域密钥更新分发流程示意图,如图5所示。这种情况下,本发明基于OTA的从安全域密钥更新分发流程步骤包括:
步骤501:应用提供商管理平台经由OTA服务器和移动终端向智能卡发送SELECT命令报文,选择从安全域;
步骤502:智能卡经由移动终端和OTA服务器向应用提供商管理平台提交SELECT命令响应;
步骤503:应用提供商管理平台经由OTA服务器和移动终端与智能卡从安全域建立SCP02安全信道;
当从安全域密钥到期或由于安全原因强制更新从安全域密钥时,根据当前正在使用的从安全域密钥,启动应用提供商管理平台与智能卡从安全域的互认证,完成互认证后,所述应用提供商管理平台与所述智能卡从安全域之间建立临时会话密钥,从而建立安全信道。
该临时会话密钥可以遵循Global Platform Card Specification V2.1.1/V2.2规范建立,也可以通过其它方法建立。
针对应用提供商管理的从安全域,所述互认证过程可以经由所述OTA服务器和所述移动终端在所述应用提供商管理平台和所述智能卡从安全域之间完成;
步骤504:应用提供商管理平台生成新的从安全域密钥;
步骤505:应用提供商管理平台通过PUTKEY命令,经由OTA服务器和移动终端向智能卡从安全域发送新的从安全域密钥;
步骤506:智能卡从安全域接收到新从安全域密钥后,完成从安全域密钥的更新操作;
步骤507:智能卡从安全域经由移动终端和OTA服务器向应用提供商管理平台发送PUTKEY命令响应,结束从安全域密钥更新过程。
本发明智能卡从安全域密钥更新分发方法及实现该方法的移动终端电子支付系统的主要思想是,基于OTA技术,卡外实体管理平台通过OTA服务器和移动终端向智能卡分发从安全域密钥。
相应地,本发明移动终端中的智能卡,都是基于OTA技术,智能卡从安全域的密钥都是由卡外实体管理平台通过OTA服务器和移动终端分发的。
本发明所说的卡外实体管理平台具有对智能卡从安全域进行管理的权限,可以是卡发行商管理平台或应用提供商管理平台。
本发明智能卡从安全域密钥更新分发方法、系统及移动终端,基于OTA技术,可以解决在发卡后,针对对称密钥的情况,对智能卡从安全域进行安全的密钥更新和分发。

Claims (6)

1.一种移动终端电子支付系统,包括具有电子支付应用功能的智能卡、移动终端、空中下载OTA服务器及卡外实体管理平台,所述智能卡包括多个独立的安全域,所述安全域包括主安全域和从安全域,所述安全域包含密钥,所述密钥包括主安全域密钥、从安全域初始密钥和从安全域密钥;所述主安全域密钥和从安全域初始密钥由卡发行商管理平台生成,所述从安全域密钥由管理从安全域的卡外实体管理平台生成;其中,
所述智能卡安装在移动终端上,用于通过移动终端及OTA服务器与所述卡外实体管理平台进行通信;
所述卡外实体管理平台,用于通过所述OTA服务器和所述移动终端向所述智能卡分发智能卡从安全域密钥;
所述卡外实体管理平台,还用于与所述智能卡从安全域进行互认证及建立临时会话密钥,从而建立安全信道,以及生成新的从安全域密钥;所述互认证过程及从安全域密钥分发均通过OTA服务器和所述移动终端实现;所述卡外实体管理平台指卡发行商管理平台或应用提供商管理平台。
2.如权利要求1所述的系统,其特征在于:所述OTA服务器,用于通过安全连接与所述卡外实体管理平台进行通信,通过OTA连接传输智能卡与卡发行商管理平台和应用提供商管理平台之间的通讯数据;所述智能卡,还用于通过所述移动终端与所述OTA服务器建立OTA连接,以及与所述卡外实体管理平台进行互认证,以及接收所述卡外实体管理平台分发的从安全域密钥,更新从安全域密钥。
3.如权利要求1或2所述的系统,其特征在于,在智能卡从安全域密钥到期或需要强制更新时,所述卡外实体管理平台进行智能卡从安全域密钥分发。
4.一种智能卡从安全域密钥更新分发方法,基于移动终端电子支付系统实现,该系统包括具有电子支付应用功能的智能卡、移动终端、空中下载OTA服务器及卡外实体管理平台,所述智能卡包括多个独立的安全域,所述安全域包括主安全域和从安全域,所述安全域包含密钥,所述密钥包括主安全域密钥、从安全域初始密钥和从安全域密钥;所述主安全域密钥和从安全域初始密钥由卡发行商管理平台生成,所述从安全域密钥由管理从安全域的卡外实体管理平台生成;其中,所述智能卡通过移动终端及OTA服务器与所述卡外实体管理平台进行通信,所述卡外实体管理平台通过所述OTA服务器和所述移动终端将从安全域密钥分发给所述智能卡;还包括(a)所述卡外实体管理平台与所述智能卡从安全域之间建立安全信道,所述安全信道是通过所述OTA服务器及所述移动终端建立的;
(b)所述卡外实体管理平台生成新的从安全域密钥;
(c)所述卡外实体管理平台将新的从安全域密钥通过所述安全信道分发给所述智能卡;
(d)所述智能卡完成从安全域密钥更新;
其中,步骤(a)中建立安全信道的过程包括:
(a1)所述卡外实体管理平台与智能卡从安全域进行互认证,所述互认证过程是由卡外实体管理平台经所述OTA服务器和所述移动终端完成;
(a2)所述卡外实体管理平台与所述智能卡从安全域之间建立临时会话密钥,从而建立安全信道;
所述卡外实体管理平台指卡发行商管理平台或应用提供商管理平台。
5.如权利要求4所述的方法,其特征在于:当智能卡从安全域密钥到期或需要强制更新时,由所述卡外实体管理平台发起智能卡从安全域密钥更新分发流程。
6.如权利要求4或5所述的方法,其特征在于:所述卡外实体管理平台指应用提供商管理平台,且所述从安全域不存在时,所述步骤(a)之前还包括:卡发行商管理平台在智能卡上创建从安全域及生成从安全域初始密钥;所述卡发行商管理平台将创建的从安全域的基本信息和初始密钥发送给应用提供商管理平台。
CN200810172459.4A 2008-11-10 2008-11-10 智能卡从安全域密钥更新分发方法、系统及移动终端 Active CN101742478B (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CN200810172459.4A CN101742478B (zh) 2008-11-10 2008-11-10 智能卡从安全域密钥更新分发方法、系统及移动终端
PCT/CN2009/073487 WO2010051714A1 (zh) 2008-11-10 2009-08-25 智能卡从安全域密钥更新分发方法、系统及移动终端

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN200810172459.4A CN101742478B (zh) 2008-11-10 2008-11-10 智能卡从安全域密钥更新分发方法、系统及移动终端

Publications (2)

Publication Number Publication Date
CN101742478A CN101742478A (zh) 2010-06-16
CN101742478B true CN101742478B (zh) 2013-06-05

Family

ID=42152477

Family Applications (1)

Application Number Title Priority Date Filing Date
CN200810172459.4A Active CN101742478B (zh) 2008-11-10 2008-11-10 智能卡从安全域密钥更新分发方法、系统及移动终端

Country Status (2)

Country Link
CN (1) CN101742478B (zh)
WO (1) WO2010051714A1 (zh)

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102123146A (zh) * 2011-03-02 2011-07-13 成都四方信息技术有限公司 移动支付交易密钥远程下载工作方法
CN103138932B (zh) * 2011-12-05 2016-01-20 中兴通讯股份有限公司 一种Mifare卡扇区密钥的配置方法及系统
CN103188206A (zh) * 2011-12-27 2013-07-03 中兴通讯股份有限公司 密钥的交互方法、装置及系统
CN102831468A (zh) * 2012-08-06 2012-12-19 中国移动通信集团江苏有限公司 一种移动终端的智能卡芯片及其初始化和使用方法
CN106685931B (zh) * 2016-12-07 2020-01-14 深圳市久和久科技有限公司 智能卡应用管理方法和系统、终端和智能卡
CN108664820B (zh) * 2017-03-29 2021-06-18 中移(杭州)信息技术有限公司 一种非接触式ic卡的电子化方法、相关设备及系统
CN107395365B (zh) * 2017-08-04 2020-07-31 中国信息安全测评中心 一种卡片片上系统及安全认证方法
CN109257332B (zh) * 2018-08-15 2020-06-02 飞天诚信科技股份有限公司 数字货币硬件钱包应用更新的安全通道的创建方法及装置
CN113766498B (zh) * 2020-06-01 2023-03-21 中国电信股份有限公司 密钥分发方法、装置、计算机可读存储介质及基站

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4522098B2 (ja) * 2004-01-13 2010-08-11 株式会社エヌ・ティ・ティ・データ アプリケーションパーソナライズシステム
US7628322B2 (en) * 2005-03-07 2009-12-08 Nokia Corporation Methods, system and mobile device capable of enabling credit card personalization using a wireless network
CN101282524B (zh) * 2007-04-03 2013-04-24 华为技术有限公司 对智能卡进行管理的方法、系统及相关装置
CN101083792A (zh) * 2007-06-27 2007-12-05 浙江省电信有限公司 应用于公交系统的小灵通非接触式卡小额支付系统

Also Published As

Publication number Publication date
WO2010051714A1 (zh) 2010-05-14
CN101742478A (zh) 2010-06-16

Similar Documents

Publication Publication Date Title
CN101742478B (zh) 智能卡从安全域密钥更新分发方法、系统及移动终端
CN101742480B (zh) 智能卡从安全域初始密钥分发方法、系统及移动终端
CN101819696B (zh) 一种应用下载的系统和方法
CN101729502B (zh) 密钥分发方法和系统
CN101739756B (zh) 一种智能卡密钥的生成方法
CN101820613B (zh) 一种应用下载的系统和方法
CN103530775B (zh) 用于提供可控的可信服务管理平台的方法和系统
CN101729503B (zh) 密钥分发方法和系统
CN105379314B (zh) 用于访问服务的方法、相应的设备和系统
CN101742481B (zh) 智能卡的从安全域初始密钥分发方法和系统、移动终端
CN101729244B (zh) 密钥分发方法和系统
CN103460186A (zh) 用于更新数据载体的方法
CN103366140A (zh) 一种基于nfc的写卡方法和写卡装置
CN105719391A (zh) 支持多个支付卡的移动装置和方法
KR20160022431A (ko) 스마트폰을 이용한 hce 기반의 교통카드 결제 시스템 및 방법
CN101729246B (zh) 密钥分发方法和系统
CN101729243B (zh) 密钥更新方法和系统
CN101866514A (zh) 一种安装非接触支付应用的方法、智能卡及移动终端
CN101742479A (zh) 一种智能卡从安全域密钥更新分发方法、系统及移动终端
CN101727706B (zh) 电子支付系统、更新智能卡对应的移动用户号码的方法
CN101729245B (zh) 密钥分发方法和系统
KR101288288B1 (ko) 모듈형 공동 애플리케이션 제공 방법
CN103268552A (zh) 一种数据处理方法和系统
JP6394068B2 (ja) サービスアプリケーション配信システム、サービスアプリケーション配信方法及びサービス情報管理サーバー
Benyó et al. A novel virtual machine based approach for hosting NFC services on mobile devices

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
TR01 Transfer of patent right

Effective date of registration: 20201215

Address after: No.105 Wengang South Road, Xinhe street, Chengnan New District, Yancheng City, Jiangsu Province (CNx)

Patentee after: Yancheng hi tech Pioneer Park Co.,Ltd.

Address before: 518057 Department of law, Zhongxing building, South hi tech Industrial Park, Nanshan District hi tech Industrial Park, Guangdong, Shenzhen

Patentee before: ZTE Corp.

TR01 Transfer of patent right