CN102088349B - 一种智能卡个人化的方法及系统 - Google Patents
一种智能卡个人化的方法及系统 Download PDFInfo
- Publication number
- CN102088349B CN102088349B CN 201010607250 CN201010607250A CN102088349B CN 102088349 B CN102088349 B CN 102088349B CN 201010607250 CN201010607250 CN 201010607250 CN 201010607250 A CN201010607250 A CN 201010607250A CN 102088349 B CN102088349 B CN 102088349B
- Authority
- CN
- China
- Prior art keywords
- smart card
- reflection
- certificate
- service device
- card
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 59
- 230000008569 process Effects 0.000 claims description 20
- 230000000903 blocking effect Effects 0.000 claims description 10
- 238000003860 storage Methods 0.000 claims description 10
- 238000005516 engineering process Methods 0.000 claims description 8
- 241001269238 Data Species 0.000 claims description 3
- 238000004519 manufacturing process Methods 0.000 abstract description 10
- 230000006870 function Effects 0.000 abstract description 7
- 238000004891 communication Methods 0.000 abstract description 6
- 238000013507 mapping Methods 0.000 abstract 4
- 230000000875 corresponding effect Effects 0.000 description 15
- 238000009826 distribution Methods 0.000 description 3
- 230000007246 mechanism Effects 0.000 description 3
- 230000008901 benefit Effects 0.000 description 2
- 238000006243 chemical reaction Methods 0.000 description 2
- 239000000470 constituent Substances 0.000 description 2
- 238000000151 deposition Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 1
- 230000002596 correlated effect Effects 0.000 description 1
- 230000002950 deficient Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000007639 printing Methods 0.000 description 1
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本发明涉及智能卡、信息安全领域,本发明公开了一种智能卡个人化的方法及系统。本发明由于采用了在安全的服务器上依据卡内应用的文件数据结构定义,创建相应的卡内应用数据EEPROM区域映像,将该映像以目前已经非常成熟且已被广泛应用的公钥密码技术进行加密,然后再发送到卡内解密,得到应用数据EEPROM区域映像,写入相应的EEPROM区域。能实现智能卡发给用户后也可实现个人化,可省去智能卡内COS执行创建文件命令的部分功能,节省COS这部分功能占用的ROM空间等;方便进行第二次或更多次的非安全生产环境中的个人化操作,不同的运营商的应用数据可以动态加载到卡上,实现一卡多用,扩大卡片用途和价值。
Description
技术领域
本发明涉及智能卡、信息安全领域,尤其涉及的是一种以公钥密码技术为保护手段的智能卡个人化的方法及系统。
背景术技
现代密码技术根据密钥的特点分为两类:对称密码技术和非对称密码技术。其中、对称密码技术即解密密钥和加密密钥相同,在这种系统中,密钥的分发是应用中的一个难点。
非对称密码技术又叫公钥密码技术,在公钥密码系统中,用户有两把钥匙,一把公开(公钥),另一把用户私有(私钥),从一个难以推出另一个,通信双方无需事先交换密钥就可建立保密通信。公钥系统中的一个问题是如何将用户的公钥和用户的身份有效的对应起来,传统的公钥系统一般都采用证书机制实现用户的身份和用户的钥匙的安全对应。证书机制一般都采用公钥基础设施( Public Key Infrastructure: PKI)技术。它综合使用了数字摘要、数字签名等多项安全技术以及一套完整的证书管理机制来提供安全服务。系统需建设有公信力的认证中心(Certification Authority:CA)鉴定用户身份,然后为用户签发数字证书。数字证书安全地将用户身份和用户密钥绑定在一起。用户在业务系统中先交换证书,然后使用公私钥完成用户的身份认证、访问控制、信息安全传递等操作。
基于证书的公钥体制在应用中面临诸多问题,特别是证书使用过程的复杂性使得不具备相关知识的普通用户难以驾驭。为了降低公钥系统中密钥管理和使用的复杂性,Shamir在1984[S84]年提出了基于标识的密码技术(Identity-Based Cryptography:IBC):即用户的标识就可以用做用户的公钥(更加准确地说是用户的公钥可以从用户的标识和系统指定的一个方法计算得出)。在这种情况下,用户不需要申请和交换证书,从而极大地简化了密码系统管理的复杂性。用户的私钥由系统中的一个受信任的第三方(密钥生成中心)使用标识私钥生成算法计算生成。这样的系统具有天然的密码委托功能,适合于有监管的应用环境。
目前,智能卡卡片外形与普通的信用卡基本相同,信息则是靠卡中的专用集成电路(ASIC)进行存储和处理。ASIC内部包含微处理器单元(CPU)、存储单元(RAM、ROM和EEPROM)、和输入/输出接口单元、密码运算模块,犹如一台完整的计算机。其中,RAM用于存放运算过程中的中间数据,ROM中固化有片内操作系统COS(Chip Operating System),而EEPROM用于存放持卡人的个人信息以及发行单位的有关信息、密钥,不同密码运算模块可支持多种对称/非对称密码算法。
运行在CPU中的COS是管理芯片资源和实现安全保密的操作系统,其功能包括:传输管理、文件管理、安全体系、命令解释。
对智能卡个人化时,在卡片表面印刷上发行单位及使用者相关的图像、图案、文字,在EEPROM中创建主文件MF(Master File)、专用文件DF(Dedicated File)和基本文件EF(Elementary File),将个人及发行单位信息、密钥等数据通常按相关性以文件方式组织写入文件。因密钥关系整个系统的安全运行,几乎所有智能卡个人化工作都在安全的生产环境中进行,防止密钥的泄漏。
为防止密钥的泄漏,智能卡个人化工作必须在有安全措施的生产环境中进行。现有技术的智能卡个人化时数据写入的流程为:在个人化服务器上生成智能卡个人化指令,在有安全措施的生产环境发送到智能卡,智能卡接收指令,执行指令时依据文件数据结构定义在内部EEPROM中创建主文件、专用文件、基本文件及数据写入。
基于上述现有技术的智能卡个人化流程,使用现有技术的智能卡个人化受各种环境限定,现有技术的智能卡片一旦发行到用户手上,几乎无法再进行个人化操作,从而将卡片的应用限制在第一次个人化所赋予的范围内。
因此,现有技术还有待于改进和发展。
发明内容
本发明要解决的技术问题在于,针对现有技术的上述缺陷,提供一种智能卡个人化的方法及系统,可实现对智能卡进行第二次或更多次的非安全生产环境中的个人化操作,不同的运营商的应用数据可以动态加载到卡上,实现一卡多领域、多地域、多行业应用的一卡通,扩大卡片用途和价值。
本发明解决技术问题所采用的技术方案如下:
一种智能卡个人化的方法,其中,包括:
A、在安全的服务器上依据卡内应用的文件数据结构定义,创建相应的卡内应用数据EEPROM区域映像;
B、将该映像以公钥密码技术进行加密,并将加密后的映像发送到智能卡内解密,得到应用数据EEPROM区域映像,写入相应的EEPROM区域。
所述智能卡个人化的方法,其中,所述步骤A具体包括:
A11、证书服务器向智能卡发送生成非对称密钥对指令;
A12、智能卡接收生成非对称密钥对指令处理后生成非对称密钥对并保存,并向证书服务器返回公钥;
A13、证书服务器生成该公钥的证书并发送回智能卡,智能卡保存该证书;
A14、将智能卡连接到个人化服务器上,个人化服务器读取智能卡证书,以CA根证书验证智能卡证书,并分配给该智能卡一个应用序列号;
A15、个人化服务器将应用序列号发送给加密机,加密机生成该序列号的相关密钥回送给个人化服务器的映像实例生成模块;
A16、个人化服务器的映像实例生成模块利用智能卡内应用数据EEPROM区域映像模板,生成该卡的卡内应用数据EEPROM区域映像实例;并将应用序列号、用户信息、密钥及个人化服务器公钥填入映像实例。
所述智能卡个人化的方法,其中,所述步骤B具体包括:
B11、映像实例完成后,个人化服务器以智能卡证书中的公钥加密该映像实例得到加密映像,并将该加密映像回送智能卡;
B12、智能卡以卡内私钥解密所述加密映像后得到明文映像,并将该明文映像写入相应EEPROM区域,则完成智能卡中该应用的个人化流程。
所述智能卡个人化的方法,其中,所述步骤A具体还包括:
A21、将智能卡连接到终端,通过终端中的个人化客户端程序接收用户申请,读取智能卡证书,并将用户申请及智能卡证书发送给个人化服务器;
A22、个人化服务器以CA根证书验证智能卡证书,批准用户申请后分配给该智能卡一个应用序列号;
A23、个人化服务器将应用序列号发送给加密机,加密机生成该序列号的相关密钥回送给个人化服务器;
A24、个人化服务器利用智能卡内应用数据EEPROM区域映像模板,生成该卡的卡内应用数据EEPROM区域映像实例;并将该应用序列号、用户信息、密钥及个人化服务器公钥填入映像实例。
所述智能卡个人化的方法,其中,所述步骤B具体还包括:
B21、映像实例完成后,个人化服务器以智能卡证书中的公钥加密该映像实例得到加密映像,并将该加密映像回送到终端上的个人化客户端程序;
B22、终端上的个人化客户端程序将加密映像发送给智能卡;
B23、智能卡以卡内私钥解密所述加密映像后得到明文映像,并将该明文映像写入相应EEPROM区域,则完成了智能卡中该应用的个人化流程。
所述智能卡个人化的方法,其中,所述步骤B22之后还包括:将已完成个人化流程的应用区域再次或多次写入新的映像,以实现多次个人化。
一种智能卡个人化系统,包括:智能卡、CA服务器、个人化服务器、加密机;其中CA服务器、个人化服务器、加密机处于信息安全的环境中,其中,
所述智能卡包括:非对称密钥生成模块、非对称加/解密模块、映像写入模块、非对称密钥对及证书存储单元、一个或多个应用数据EEPROM区域;
所述非对称密钥生成模块用于接收生成非对称密钥对指令,并根据该指令处理后生成非对称密钥对,并向证书服务器返回公钥;
所述非对称加/解密模块用于以卡内私钥解密所创建的加密映像后得到明文映像;
所述映像写入模块用于该明文映像写入相应EEPROM区域,以完成智能卡中某应用的个人化;
所述非对称密钥对及证书存储单元用于保存根据生成非对称密钥对指令生成的非对称密钥对,及用于保存智能卡证书;
所述一个或多个应用数据EEPROM区域用于存储一个或多个应用数据;
所述CA服务器包括:第一发送模块、CA根证书、智能卡证书生成模块;所述CA根证书预先内置在所述CA服务器中;
所述第一发送模块,用于向智能卡发送生成非对称密钥对指令;
所述智能卡证书生成模块、用于接收智能卡返回的公钥,并生成该公钥的证书;
所述个人化服务器包括:证书验证模块、应用序列号发送模块、智能卡应用数据EEPROM区域映像模板、映像实例生成模块、加密模块、加密映像发送模块;所述个人化服务器内置有CA根证书;
证书验证模块用于读取智能卡证书,以CA根证书验证智能卡证书,并分配给该智能卡一个应用序列号;
应用序列号发送模块用于将应用序列号发送给加密机;
智能卡应用数据EEPROM区域映像模板用于提供各种EEPROM区域映像模板;
映像实例生成模块用于利用智能卡内应用数据EEPROM区域映像模板,生成该卡的卡内应用数据EEPROM区域映像实例;并将应用序列号、用户信息、密钥及个人化服务器公钥填入映像实例;
加密模块用于当映像实例完成后,以智能卡证书中的公钥加密该映像实例得到加密映像;
加密映像发送模块用于将加密映像回送智能卡或终端;
所述加密机内有智能卡相关密钥生成模块,用于接收所述应用序列号,并生成该序列号的相关密钥回送给个人化服务器的映像实例生成模块。
所述智能卡个人化系统,其中,其还包括:与智能卡连接的终端,终端内有个人化客户端程序;
所述终端一方面用于通过个人化客户端程序接收用户申请,读取智能卡证书,并将用户申请及智能卡证书发送给个人化服务器;另一方面用于将加密映像发送给智能卡。
所述智能卡个人化系统,其中,所述终端为移动终端。
本发明所提供的智能卡个人化的方法及系统,由于采用了在安全的服务器上依据卡内应用的文件数据结构定义,创建相应的卡内应用数据EEPROM区域映像,将该映像以目前已经非常成熟且已被广泛应用的公钥密码技术进行加密,然后再发送到卡内解密,得到应用数据EEPROM区域映像,写入相应的EEPROM区域。能够实现在智能卡个人化时可不与个人化服务器直接联机;加密的应用数据EEPROM区域映像发送到智能卡的通信无安全措施要求;可省去智能卡内COS执行创建文件命令的部分功能,节省COS占用的ROM空间等;方便进行第二次或更多次的非安全生产环境中的个人化操作,不同的运营商的应用数据可以动态加载到卡上,实现一卡多领域、多地域、多行业应用的一卡通,扩大卡片用途和价值。
附图说明
图1是本发明实施例的智能卡个人化的系统结构示意图。
图2是第一实施例的智能卡个人化的方法在智能卡发行到用户手里之前的个人化方法流程图。
图3是第二实施例的智能卡个人化的方法在智能卡发行到用户手里之后的个人化方法流程图。
图4是本发明具体应用实施例电子钱包应用数据EEPROM映像模板包含数据文件结构示意图。
具体实施方式
本发明所提供的一种智能卡个人化的方法及系统,为使本发明的目的、技术方案及优点更加清楚、明确,以下参照附图并举实施例对本发明进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本发明实施例提供的一种智能卡个人化系统,如图1所示,包括:智能卡、终端(也可以是移动终端)、CA服务器(也叫认证服务器)、个人化服务器、加密机;其中CA服务器、个人化服务器、加密机处于信息安全的环境中,即CA服务器、个人化服务器、加密机仍然放置在信息安全的生产环境中。
所述智能卡包括:非对称密钥生成模块、非对称加/解密模块、映像写入模块、非对称密钥对及证书存储单元、一个或多个应用数据EEPROM区域。
其中,所述非对称密钥生成模块用于接收生成非对称密钥对指令,并根据该指令处理后生成非对称密钥对,并向证书服务器返回公钥。
所述非对称加/解密模块用于以卡内私钥解密所创建的加密映像后得到明文映像。
所述映像写入模块用于该明文映像写入相应EEPROM区域,以完成智能卡中某应用的个人化。
所述非对称密钥对及证书存储单元用于保存根据生成非对称密钥对指令生成的非对称密钥对,及用于保存智能卡证书。
所述一个或多个应用数据EEPROM区域用于存储一个或多个应用数据。
与智能卡通讯连接的(移动)终端,终端内有个人化客户端程序;
所述终端一方面用于通过个人化客户端程序接收用户申请,读取智能卡证书,并将用户申请及智能卡证书发送给个人化服务器;另一方面用于将加密映像发送给智能卡。
所述CA服务器(也叫证书服务器)包括:第一发送模块、CA根证书、智能卡证书生成模块;所述CA根证书预先内置在所述CA服务器中。
所述第一发送模块,用于向智能卡发送生成非对称密钥对指令。
所述智能卡证书生成模块、用于接收智能卡返回的公钥,并生成该公钥的证书。
如图1所示,所述个人化服务器包括:证书验证模块、应用序列号发送模块、智能卡应用数据EEPROM区域映像模板、映像实例生成模块、加密模块;所述个人化服务器内置有CA根证书。
证书验证模块、用于读取智能卡证书,以CA根证书验证智能卡证书,并分配给该智能卡一个应用序列号。
应用序列号发送模块、用于将应用序列号发送给加密机。
智能卡应用数据EEPROM区域映像模板、用于提供各种EEPROM区域映像模板。
映像实例生成模块、用于利用智能卡内应用数据EEPROM区域映像模板,生成该卡的卡内应用数据EEPROM区域映像实例;并将应用序列号、用户信息、密钥及个人化服务器公钥填入映像实例。
加密模块、用于当映像实例完成后,以智能卡证书中的公钥加密该映像实例得到加密映像;
加密映像发送模块用于将该加密映像回送智能卡或终端;
如图1所示,所述加密机内有智能卡相关密钥生成模块,用于接收所述应用序列号,并生成该序列号的相关密钥回送给个人化服务器的映像实例生成模块。
本发明实施例的智能卡个人化的方法主要采用:首先在安全的服务器上依据卡内应用的文件数据结构定义,创建相应的卡内应用数据EEPROM区域映像,将该映像以目前已经非常成熟且已被广泛应用的公钥密码技术进行加密,然后再发送到卡内解密,得到EEPROM区域映像,写入相应的EEPROM区域。
本发明实施例的智能卡个人化的方法,包括:在智能卡发行到用户手里之前的个人化方法和在智能卡发行到用户手里之后的个人化方法。
其中,第一实施例的智能卡个人化的方法为在智能卡发行到用户手里之前的个人化方法,如图2所示,包括以下步骤:
101、在CA认证中心,证书服务器向智能卡发送生成非对称密钥对指令。
102、智能卡接收生成非对称密钥对指令处理后生成非对称密钥对并保存,并向证书服务器返回公钥。
103、证书服务器生成该公钥的证书并发送回智能卡,智能卡保存该证书。
104、将智能卡连接到个人化服务器上,个人化服务器读取智能卡证书,以CA根证书验证智能卡证书,并分配给该智能卡一个应用序列号。
105、个人化服务器将应用序列号发送给加密机,加密机生成该序列号的相关密钥回送给个人化服务器的映像实例生成模块。
106、个人化服务器的映像实例生成模块利用智能卡内应用数据EEPROM区域映像模板,生成该卡的卡内应用数据EEPROM区域映像实例;并将应用序列号、用户信息、密钥及个人化服务器公钥填入映像实例。
107、映像实例完成后,个人化服务器以智能卡证书中的公钥加密该映像实例得到加密映像;通过加密映像发送模块将该加密映像回送智能卡或终端。
108、智能卡以卡内私钥解密所述加密映像后得到明文映像,并将该明文映像写入相应EEPROM区域,则完成智能卡中该应用的个人化流程。
其中,第二实施例的智能卡个人化的方法为在智能卡发行到用户手里之后的个人化方法,如图3所示,包括以下步骤:
201、将智能卡连接到终端,通过终端中的个人化客户端程序接收用户申请,读取智能卡证书,并将用户申请及智能卡证书发送给个人化服务器。
202、个人化服务器以CA根证书验证智能卡证书,批准用户申请后分配给该智能卡一个应用序列号。
203、个人化服务器将应用序列号发送给加密机,加密机生成该序列号的相关密钥回送给个人化服务器。
204、个人化服务器利用智能卡内应用数据EEPROM区域映像模板,生成该卡的卡内应用数据EEPROM区域映像实例;并将该应用序列号、用户信息、密钥及个人化服务器公钥填入映像实例。
205、映像实例完成后,个人化服务器以智能卡证书中的公钥加密该映像实例得到加密映像,并将该加密映像回送到终端上的个人化客户端程序。
206、终端上的个人化客户端程序将加密映像发送给智能卡;
207、智能卡以卡内私钥解密所述加密映像后得到明文映像,并将该明文映像写入相应EEPROM区域,则完成了智能卡中该应用的个人化流程,该应用即可投入使用。
其中,本实施例中,已完成个人化流程的应用区域可用再次或多次写入新的映像,实现多次个人化。
本实施例的优点为:1)、智能卡个人化时可在非安全生产环境,不与个人化服务器直接联机;
2)、加密的应用数据EEPROM区域映像发送到智能卡的通信无安全措施要求;
2)、可省去智能卡内COS执行创建文件命令的部分功能,节省COS占用的ROM空间等;
3)方便进行第二次或更多次在非安全生产环境中的个人化操作,不同的运营商的应用数据可以动态加载到卡上,实现一卡多领域、多地域、多行业应用,扩大卡使用范围和价值。
以下将通过具体的应用实施例对本发明做进一步详细说明:
譬如,当卡商完成COS置入卡片工作后,将卡片交至CA认证中心(Certification Authority:CA)鉴定用户身份。CA服务器内有CA根证书、智能卡证书生成模块。智能卡连接到证书服务器的智能卡读写器上之后,智能卡证书生成模块通过智能卡读写器向智能卡发送指令以创建非对称密钥存储文件0002和0003、生成RSA非对称密钥对KEY1和KEY2。
智能卡接收指令处理后在非对称密钥、证书存储区域中创建文件0002和0003、生成非对称密钥对;并把公钥KEY1保存在文件0002中,把私钥KEY2保存在文件0003中,向智能卡证书生成模块返回公钥KEY1。
智能卡证书生成模块生成该智能卡公钥KEY1的证书Certificate1,证书格式符合X.509标准,并向智能卡发送指令以创建证书文件0004和向证书文件004中写入智能卡公钥证书Certificate1。
再将智能卡连接到个人化服务器上的智能卡读写器上,证书验证模块通过读写器发送指令读取智能卡0004文件中的证书Certificate1,以CA根证书验证Certificate1。
验证成功后映像实例生成模块利用智能卡内电子钱包应用数据EEPROM区域映像模板,生成该卡的卡内应用数据EEPROM区域映像实例,并给该智能卡一个应用序列号00 00 00 00 00 00 00 01,并将该应用序列号00 00 00 00 00 00 00 01发送给加密机。
其中,电子钱包应用数据EEPROM映像模板包含的数据文件结构如图4所示,包括KEY文件TF01、应用数据文件0015、持卡个人数据文件0016、交易日志文件0018、电子钱包文件0001、电子存折文件0002、个人化服务器证书文件0003。
智能卡相关密钥生成模块生成该序列号的电子钱包相关密钥(包括消费取现密钥、圈存密钥、TAC密钥、圈提密钥、修改透支限额密钥、应用维护密钥、PIN解锁密钥、PIN重装密钥、外部认证密钥、内部认证密钥)回送给映像实例生成模块;映像实例生成模块将该应用序列号填入映像实例的文件0015中,电子钱包相关密钥填入映像实例的文件EF01中,个人化服务器公钥填入映像实例的文件0003中。
实例完成后个人模块以智能卡证书中的公钥加密该映像实例得到加密映像,将该加密映像以指令回送智能卡,智能卡非对称加/解密模块以卡内私钥解密后得到明文映像,将该映像写入相应应用数据EEPROM区域,就完成了智能卡中该应用的个人化流程。
综上所述,本发明所提供的智能卡个人化的方法及系统,由于采用了在安全的服务器上依据卡内应用的文件数据结构定义,创建相应的卡内应用数据EEPROM区域映像,将该映像以目前已经非常成熟且已被广泛应用的公钥密码技术进行加密,然后再发送到卡内解密,得到应用数据EEPROM区域映像,写入相应的EEPROM区域。能够实现在智能卡个人化时可不与个人化服务器直接联机;加密的应用数据EEPROM区域映像发送到智能卡的通信无安全措施要求;可省去智能卡内COS执行创建文件命令的部分功能,节省COS占用的ROM空间等;方便进行第二次或更多次的非安全生产环境中的个人化操作,不同的运营商的应用数据可以动态加载到卡上,实现一卡多领域、多地域、多行业应用的一卡通,扩大卡片用途和价值。
应当理解的是,本发明的应用不限于上述的举例,对本领域普通技术人员来说,可以根据上述说明加以改进或变换,例如,将本发明方法用于卡片COS程序模块的更新等,所有这些改进和变换都应属于本发明所附权利要求的保护范围。
Claims (8)
1.一种智能卡个人化的方法,其特征在于,包括:
A、在安全的个人化服务器上依据智能卡内应用的文件数据结构定义,创建相应的智能卡内应用数据EEPROM区域映像;
B、将该映像以公钥密码技术进行加密,并将加密后的映像发送到智能卡内解密,得到应用数据EEPROM区域映像,写入相应的EEPROM区域;
其中,所述步骤A具体包括:
A11、证书服务器向智能卡发送生成非对称密钥对指令;
A12、智能卡接收生成非对称密钥对指令处理后生成非对称密钥对并保存,并向证书服务器返回公钥;
A13、证书服务器生成该公钥的证书并发送回智能卡,智能卡保存该证书;
A14、将智能卡连接到个人化服务器上,个人化服务器读取智能卡证书,以CA根证书验证智能卡证书,并分配给该智能卡一个应用序列号;
A15、个人化服务器将应用序列号发送给加密机,加密机生成该序列号的相关密钥回送给个人化服务器的映像实例生成模块;
A16、个人化服务器的映像实例生成模块利用智能卡内应用数据EEPROM区域映像模板,生成该卡的卡内应用数据EEPROM区域映像实例。
2.根据权利要求1所述智能卡个人化的方法,其特征在于,所述步骤B具体包括:
B11、映像实例完成后,个人化服务器以智能卡证书中的公钥加密该映像实例得到加密映像,并将该加密映像回送智能卡;
B12、智能卡以卡内私钥解密所述加密映像后得到明文映像,并将该明文映像写入相应EEPROM区域,则完成智能卡中该应用的个人化流程。
3.根据权利要求1所述智能卡个人化的方法,其特征在于,所述步骤A具体还包括:
A21、将智能卡连接到终端,通过终端中的个人化客户端程序接收用户申请,读取智能卡证书,并将用户申请及智能卡证书发送给个人化服务器;
A22、个人化服务器以CA根证书验证智能卡证书,批准用户申请后分配给该智能卡一个应用序列号;
A23、个人化服务器将应用序列号发送给加密机,加密机生成该序列号的相关密钥回送给个人化服务器;
A24、个人化服务器利用智能卡内应用数据EEPROM区域映像模板,生成该卡的卡内应用数据EEPROM区域映像实例。
4.根据权利要求3所述智能卡个人化的方法,其特征在于,所述步骤B具体还包括:
B21、映像实例完成后,个人化服务器以智能卡证书中的公钥加密该映像实例得到加密映像,并将该加密映像回送到终端上的个人化客户端程序;
B22、终端上的个人化客户端程序将加密映像发送给智能卡;
B23、智能卡以卡内私钥解密所述加密映像后得到明文映像,并将该明文映像写入相应EEPROM区域,则完成了智能卡中该应用的个人化流程。
5.根据权利要求4所述智能卡个人化的方法,其特征在于,所述步骤B22之后还包括:将已完成个人化流程的应用区域再次或多次写入新的映像,以实现多次个人化。
6.一种智能卡个人化系统,包括:智能卡、证书服务器、个人化服务器、加密机;其中,证书服务器、个人化服务器、加密机处于信息安全的环境中,其特征在于,
所述智能卡包括:非对称密钥生成模块、非对称加/解密模块、映像写入模块、非对称密钥对及证书存储单元、一个或多个应用数据EEPROM区域;
所述非对称密钥生成模块用于接收生成非对称密钥对指令,并根据该指令处理后生成非对称密钥对,并向证书服务器返回公钥;
所述非对称加/解密模块用于以卡内私钥解密所创建的加密映像后得到明文映像;
所述映像写入模块将用于该明文映像写入相应EEPROM区域,以完成智能卡中某应用的个人化;
所述非对称密钥对及证书存储单元用于保存根据生成非对称密钥对指令生成的非对称密钥对,及用于保存智能卡证书;
所述一个或多个应用数据EEPROM区域用于存储一个或多个应用数据;
所述证书服务器包括:第一发送模块、CA根证书、智能卡证书生成模块;所述CA根证书预先内置在所述证书服务器中;
所述第一发送模块,用于向智能卡发送生成非对称密钥对指令;
所述智能卡证书生成模块、用于接收智能卡返回的公钥,并生成该公钥的证书;
所述个人化服务器包括:证书验证模块、应用序列号发送模块、智能卡应用数据EEPROM区域映像模板、映像实例生成模块、加密模块、加密映像发送模块;所述个人化服务器内置有CA根证书;
证书验证模块用于读取智能卡证书,以CA根证书验证智能卡证书,并分配给该智能卡一个应用序列号;
应用序列号发送模块用于将应用序列号发送给加密机;
智能卡应用数据EEPROM区域映像模板用于提供各种EEPROM区域映像模板;
映像实例生成模块用于利用智能卡内应用数据EEPROM区域映像模板,生成该卡的卡内应用数据EEPROM区域映像实例;
加密模块用于当映像实例完成后,以智能卡证书中的公钥加密该映像实例得到加密映像;
加密映像发送模块用于将加密映像回送智能卡或终端;
所述加密机内有智能卡相关密钥生成模块,用于接收所述应用序列号,并生成该序列号的相关密钥回送给个人化服务器的映像实例生成模块。
7.根据权利要求6所述智能卡个人化系统,其特征在于,其还包括:与智能卡连接的终端,终端内有个人化客户端程序;
所述终端一方面用于通过个人化客户端程序接收用户申请,读取智能卡证书,并将用户申请及智能卡证书发送给个人化服务器;另一方面用于将加密映像发送给智能卡。
8.根据权利要求6所述智能卡个人化系统,其特征在于,所述终端为移动终端。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 201010607250 CN102088349B (zh) | 2010-12-27 | 2010-12-27 | 一种智能卡个人化的方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 201010607250 CN102088349B (zh) | 2010-12-27 | 2010-12-27 | 一种智能卡个人化的方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102088349A CN102088349A (zh) | 2011-06-08 |
| CN102088349B true CN102088349B (zh) | 2013-07-10 |
Family
ID=44099972
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 201010607250 Active CN102088349B (zh) | 2010-12-27 | 2010-12-27 | 一种智能卡个人化的方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102088349B (zh) |
Families Citing this family (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102394743B (zh) * | 2011-08-10 | 2014-04-09 | 武汉天喻信息产业股份有限公司 | 实现Java卡个人化的方法及装置 |
| CN102790833A (zh) * | 2012-08-29 | 2012-11-21 | 上海酷宇通讯技术有限公司 | 一种功能手机的rom空间节省方法 |
| CN103903022B (zh) * | 2012-12-28 | 2017-06-20 | 北京握奇数据系统有限公司 | 一种支持多套个人化数据的智能卡应用实现方法及系统 |
| CN104410602B (zh) * | 2014-10-11 | 2018-04-10 | 深圳市可秉资产管理合伙企业(有限合伙) | 基于安全模块的随机密码键盘实现方法 |
| CN105681263B (zh) * | 2014-11-20 | 2019-02-12 | 广东华大互联网股份有限公司 | 一种智能卡密钥远程应用方法及应用系统 |
| CN106411504B (zh) * | 2015-07-31 | 2020-10-09 | 腾讯科技(深圳)有限公司 | 数据加密系统、方法及装置 |
| CN105808302B (zh) * | 2016-03-10 | 2019-06-11 | 北京芯杰科技有限公司 | 一种智能卡多应用处理方法、装置及系统 |
| US20190197525A1 (en) * | 2017-12-21 | 2019-06-27 | Entrust Datacard Corporation | Secure end-to-end personalization of smart cards |
| CN108388152B (zh) * | 2018-01-05 | 2019-07-16 | 郑州信大捷安信息技术股份有限公司 | 一种实现芯片灌装的自动化生产设备控制系统及控制方法 |
| CN110309638B (zh) * | 2019-03-18 | 2022-07-01 | 上海飓金嵘通网络科技有限公司 | 一种基于手机钱包电子证照的授权注册方法及系统 |
| CN111565107B (zh) * | 2020-07-14 | 2020-11-27 | 腾讯科技(深圳)有限公司 | 基于云服务平台的密钥处理方法、装置和计算机设备 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1222988A (zh) * | 1996-04-15 | 1999-07-14 | 尤比克公司 | 用于智能卡个人化的系统和装置 |
| CN101180612A (zh) * | 2005-03-31 | 2008-05-14 | 日本电气株式会社 | 计算机系统、存储器管理方法及其程序 |
| CN101521670A (zh) * | 2009-03-30 | 2009-09-02 | 北京握奇数据系统有限公司 | 一种应用数据获取的方法及系统 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6199762B1 (en) * | 1998-05-06 | 2001-03-13 | American Express Travel Related Services Co., Inc. | Methods and apparatus for dynamic smartcard synchronization and personalization |
| CN101183938B (zh) * | 2007-10-22 | 2011-11-23 | 华中科技大学 | 一种无线网络安全传输方法、系统及设备 |
| CN101557585B (zh) * | 2009-05-27 | 2010-12-01 | 大唐微电子技术有限公司 | 一种智能卡 |
-
2010
- 2010-12-27 CN CN 201010607250 patent/CN102088349B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1222988A (zh) * | 1996-04-15 | 1999-07-14 | 尤比克公司 | 用于智能卡个人化的系统和装置 |
| CN101180612A (zh) * | 2005-03-31 | 2008-05-14 | 日本电气株式会社 | 计算机系统、存储器管理方法及其程序 |
| CN101521670A (zh) * | 2009-03-30 | 2009-09-02 | 北京握奇数据系统有限公司 | 一种应用数据获取的方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102088349A (zh) | 2011-06-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102088349B (zh) | 一种智能卡个人化的方法及系统 | |
| CN100576792C (zh) | 文件加密共享的方法 | |
| CN106063182B (zh) | 电子签名方法、系统及设备 | |
| CN105160316B (zh) | 一种移动终端的指纹特征模板加密存储方法及系统 | |
| US20050154896A1 (en) | Data communication security arrangement and method | |
| CN102456193A (zh) | 移动存储设备、基于该设备的数据处理系统和方法 | |
| CN102170357A (zh) | 组合密钥动态安全管理系统 | |
| CN103150655A (zh) | 基于pki的rfid防伪系统 | |
| CN105516180A (zh) | 基于公钥算法的云密钥认证系统 | |
| CN109816383A (zh) | 一种区块链签名方法、区块链钱包和区块链 | |
| CN103580868A (zh) | 一种电子公文安全传输系统的安全传输方法 | |
| CN109547208A (zh) | 金融电子设备主密钥在线分发方法及系统 | |
| CN109815747A (zh) | 基于区块链的离线审计方法、电子装置及可读存储介质 | |
| CN102081575A (zh) | 虚拟磁盘存储空间的动态分配方法和装置 | |
| CN114070614A (zh) | 身份认证方法、装置、设备、存储介质和计算机程序产品 | |
| CN109120399A (zh) | 一种基于非对称加密的数据加密方法、解密方法及系统 | |
| CN101587458A (zh) | 智能存储卡的操作方法及装置 | |
| TW201426395A (zh) | 資料安全保密系統與方法 | |
| CN103138925B (zh) | 发卡操作方法、ic卡片和发卡设备 | |
| GB2407948A (en) | Encryption where there exists a computable bilinear map for two elements, using a smartcard | |
| CN110100411A (zh) | 密码系统管理 | |
| CN101777980B (zh) | 一种数字证书扩展项信息保护方法 | |
| CN106656472A (zh) | 交易数据的加密方法及系统 | |
| CN105025007A (zh) | 基于cpk的手机应用间及与服务器间的安全通信方式 | |
| CN101867894A (zh) | 一种短信消费方法及服务器 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C53 | Correction of patent of invention or patent application | ||
| CB02 | Change of applicant information |
Address after: 518057 Guangdong city of Shenzhen province Nanshan District Gao Xin Road No. 009 Chinese Technology Development Institute Technology Park Building No. 3 tower 9 building A room Applicant after: SHENZHEN NATIONZ ELECTRONIC COMMERCE Co.,Ltd. Address before: 518057 Guangdong city of Shenzhen province Nanshan District Gao Xin Road No. 009 Chinese Technology Development Institute Technology Park Building No. three tower 19B1 Applicant before: SHENZHEN ANGELSHINE Co.,Ltd. |
|
| COR | Change of bibliographic data |
Free format text: CORRECT: APPLICANT; FROM: SHENZHEN ANGELSHINE CO., LTD. TO: SHENZHEN NATIONZ ELECTRONIC COMMERCE CO., LTD. |
|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder |
Address after: 518057 Guangdong city of Shenzhen province Nanshan District Gao Xin Road No. 009 Chinese Technology Development Institute Technology Park Building No. 3 tower 9 building A room Patentee after: National Technology (Shenzhen) Co.,Ltd. Address before: 518057 Guangdong city of Shenzhen province Nanshan District Gao Xin Road No. 009 Chinese Technology Development Institute Technology Park Building No. 3 tower 9 building A room Patentee before: SHENZHEN NATIONZ ELECTRONIC COMMERCE Co.,Ltd. |
|
| CP01 | Change in the name or title of a patent holder | ||
| PE01 | Entry into force of the registration of the contract for pledge of patent right |
Denomination of invention: A Method and System of Smart Card Personalization Effective date of registration: 20221018 Granted publication date: 20130710 Pledgee: Shenzhen hi tech investment small loan Co.,Ltd. Pledgor: National Technology (Shenzhen) Co.,Ltd. Registration number: Y2022980018709 |
|
| PE01 | Entry into force of the registration of the contract for pledge of patent right | ||
| PC01 | Cancellation of the registration of the contract for pledge of patent right |
Date of cancellation: 20231027 Granted publication date: 20130710 Pledgee: Shenzhen hi tech investment small loan Co.,Ltd. Pledgor: National Technology (Shenzhen) Co.,Ltd. Registration number: Y2022980018709 |
|
| PC01 | Cancellation of the registration of the contract for pledge of patent right |