CN102711101A - 一种实现智能卡发行的方法及系统 - Google Patents
一种实现智能卡发行的方法及系统 Download PDFInfo
- Publication number
- CN102711101A CN102711101A CN2012101326409A CN201210132640A CN102711101A CN 102711101 A CN102711101 A CN 102711101A CN 2012101326409 A CN2012101326409 A CN 2012101326409A CN 201210132640 A CN201210132640 A CN 201210132640A CN 102711101 A CN102711101 A CN 102711101A
- Authority
- CN
- China
- Prior art keywords
- publishing system
- smart card
- card
- instruction
- application
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本发明提供了一种实现智能卡发行的方法及系统,其中方法包括:智能卡通过主安全域安装应用;发行系统与智能卡通过相互认证建立安全信道,动态生成会话密钥。本发明使得发行系统和智能卡之间有一个相互认证的过程,且这个过程中会话密钥的生成采用随机数分散生成,不易获取,因而安全性好。通过对敏感数据进行加密等方法,保证敏感数据的保密性、完整性以及安全性。通过组合多样化的数据加密、保密等技术,使得密码难以破解,因而能够确保卡发行过程中对卡应用个人化数据的安全性。
Description
技术领域
本发明涉及智能卡技术,尤其涉及实现智能卡发行的方法及系统。
背景技术
随着电信技术的发展,移动通信网络不仅在公用网络上有着广泛的应用,并且在一些专用领域中,如在军事部门、商业机构以及城市应急等一些特殊的情况下起到重要的作用。在这些应用场景中,涉及到军用或商用机密数据,对安全性要求比公用网络更高。对于(U)SIM卡,在安全性保证的方面,不仅需要起到公用网络中的用户身份鉴定作用,还需要在敏感数据通信方面能够保证数据的保密性、完整性和来源合法性等。
按照IS010202-1规范,智能卡生命周期分为5个阶段:
第一阶段为芯片和智能卡的生产阶段,包括芯片设计、片上操作系统(COS)设计、生产晶体、模块制造等;
第二阶段为卡发行阶段,包括将COS写入芯片等;
第三阶段为应用准备阶段,包括初始化应用、并将应用进行个人化等;
第四阶段为使用卡阶段,包括启用应用程序或锁定应用程序等;
第五阶段为卡片结束阶段,包括终止使用应用程序等。
SIM卡是指第二代移动通信网络GSM中的用户身份识别卡,仅是一种单应用卡,它遵循GSM11.11规范,该规范中定义SIM卡上只能有一个应用,即GSM应用。因此,它不能直接添加额外的应用,而人们平时在使用的移动炒股、移动银行等应用都是通过STK(SIM卡应用工具包)来实现的。其余应用需要在手机当中再安装额外的应用卡片来实现其它应用的使用。
USIM卡是指第三代(3G)移动通信的用户身份识别卡。该卡则不存在上述问题,它实现了平台和应用的分离。为此,3GPP组织专门制定了通用集成电路卡(UICC,Universal Integrated Circuit Card)多应用平台规范。USIM应用只是UICC平台上的第一个应用,像以上提到的非电信应用或电信的增值应用以及专用网络中的专用应用,完全可以建立在这个UICC平台上,而且每个应用都可以遵循各自的行业规范,如EMV(是一种在金融IC卡支付系统中建立的卡片和终端接口的统一标准,由国际三大银行卡组织即欧陆卡Europay、万事达卡MasterCard和维萨Visa共同发起制定)、PBOC(是中国人民银行制定的基于IC卡的金融支付应用规范,包含了EMV标准中没有的一些额外特性和功能)、社保以及野战应用规范,无需再安装其它的智能卡。
为了实现USIM卡对多应用的支持,USIM卡的相关规范中除了定义卡内的UICC平台外,还定义了应用专用文件(ADF,Application Dedicated File,)的概念。智能卡所有应用的唯一标识,是从UICC平台的文件系统文件结构中获取到。这些应用标识用于卡用户选择相应的应用。
USIM卡作为用户身份识别卡,最重要的作用还是作为安全手段鉴别并授权用户进入网络。USIM作为鉴权手段,必须与有关技术委员会的最新规范兼容。USIM必须具有较强面向服务的特点,其存储支持鉴权密钥K(是整个UMTS安全体系的核心)。USIM接受的参数有:随机数(RAND),鉴权标志参数(AUTN,Authentication token),并计算生成消息鉴权码(XMAC)、响应参数(RES)、完整性保护密钥(IK)、鉴权密钥(CK)。
Javacard是目前针对多应用卡需求的一种常用解决方案。Javacard提供了一种多应用技术,可以在卡片发行后,提供应用的二次开发机制和后下载的平台,并支持后下载应用的安全运行。Javacard充分利用了Java技术在安全、平台兼容等方面的特性。在安全方面,各应用之间建立防火墙机制,限制未经授权的访问。在平台兼容方面,智能卡按照Javacard规范实现符合要求的虚拟机平台,使应用的二次开发不需要关心虚拟机内部实现细节,只需按照统一的应用程序接口(API)规范实现逻辑功能即可。
全球平台(GP,Global Platform)技术提供了一种多应用卡的管理方案。能够实现智能卡生命周期的管理、智能卡应用生命周期的管理。GP技术提供安全域(SD,Security Domain)的概念,通过安全域用来安全管理智能卡上关联的应用。作为智能卡的一个特殊的应用,分为主安全域(ISD,IssuerSecurity Domain)和辅助安全域(SSD,Supplement Security Domain)两种;其中,主安全域归属于卡发行商,它作为具有最高权限的应用,其生命周期跟卡生命周期一致,它管理智能卡内容的安全、辅助安全域的委托内容管理等。辅助安全域则归属于应用提供商或可信任第三方委托机构,它管理与之关联的应用与外界的安全通信。
传统的(U)SIM卡发行后,智能卡内的业务逻辑、应用参数一般无法修改。而利用Java Card技术和GP技术,能够实现应用的安全发行以及发行参数的发行后配置等需求,使得智能卡具备更安全的发行能力及更灵活的配置及升级能力。
(U)SIM卡的发行体系对卡的数据写入包括以下三方面:
(1)芯片操作系统(COS,Chip Operating System)的写入;
(2)预个人化数据,如(U)SIM卡上文件系统的创建、普通文件内容的写入等;
(3)个人化数据,如登网鉴权数据、密钥、PIN值等每一张卡个性化的数据写入等。
上述三方面的数据写入中,最敏感的数据为个人化数据。个人化数据一旦泄露,卡片可以被整张复制。因此,在发行过程中,需要高度保证个人化数据的安全性。
传统的使用在公用网络的公用(U)SIM卡采用的数据写入方法是对个人化文件写入数据,其采用的安全措施是对个人化数据进行传输上的加密。但是,在传输加密过程中仍有可能出现如下方面的漏洞:
1)加解密密钥在传输过程中可能会泄露;
2)一旦加解密密钥丢失,只要监听到传输数据即可读到敏感数据;
3)数据在传输过程中可能被篡改。
因此,传统的方法需对发行流程上进行安全管理鉴定,如运营商对卡片发行商签订保密协议等方法,但是也不能完全从技术上保证数据的安全性。因此,需要提供一种具有高安全性智能卡的发行方法,它基于Java Card和Global Platform技术,能够确保卡发行过程中对卡应用个人化数据的安全性,包括数据的机密性、真实性、完整性等。尤其对于专用网的专用(U)SIM卡就更需这种方法的保障。
发明内容
本发明所要解决的技术问题是提供一种实现智能卡发行的方法及系统,能够确保卡发行过程中对卡应用个人化数据的安全性。
为了解决上述技术问题,本发明提供了一种实现智能卡发行的方法,包括:
智能卡通过主安全域安装应用;
发行系统与智能卡通过相互认证建立安全信道,动态生成会话密钥。
进一步地,该方法还包括:
智能卡在被安装的应用与主安全域未关联时,将安装的应用与主安全域相关联。
进一步地,该方法具体包括:
智能卡与发行系统通过交互选择确定主安全域;
发行系统生成本系统随机数,向智能卡发送卡认证指令;
智能卡收到卡认证指令后,根据生成的卡随机数生成会话密钥,设定指令的安全级别,计算卡密文,将生成的卡随机数、会话密钥以及计算的卡密文发回给发行系统;
发行系统收到并校验所述卡密文,用生成的会话密钥生成发行系统密文,并将该发行系统密文与用会话密钥生成的消息验证码一起承载在发行系统认证指令中发送给智能卡;
智能卡收到发行系统认证指令后,用会话密钥中来校验消息验证码,根据计算出的发行系统密文和指令中承载的发行系统密文进行发行系统认证。
进一步地,
智能卡设定指令的安全级别包括指令需要计算消息验证码和指令需要计算消息验证码同时需要加密中的任意一种;
智能卡将计算出的发行系统密文与指令中承载的发行系统密文比较,比较的结果一致则发行系统认证通过。
进一步地,该方法还包括:
发行系统通过所述安全通道向智能卡确定需要个人化的应用,采用动态生成的会话密钥将需要个人化的数据进行封装及安全处理,然后透传给智能卡;
智能卡收到所述需要个人化的数据进行解封及解安全处理,然后写入处理后的个性化数据文件。
进一步地,该方法具体包括:
发行系统组合各个文件及各个文件的内容,并对文件的内容进行加密处理,调用专用接口透传指定需要个人化的应用的全球平台的安装指令;
智能卡记录收到全球平台的安装指令中承载的需要个人化的应用;
发行系统调用JavaCard平台提供的算法应用程序接口和全球平台提供的安全服务应用程序接口将个人化数据封装成数据包,安全处理包括对敏感数据通过计算消息验证码进行加密处理,通过密钥对数据包进行加密,并对加密的数据包进行加扰处理,发送写入数据指令将数据包通过主安全域透传给智能卡;
智能卡接收到数据包后,进行所述解安全处理,包括解扰、解密处理,然后将经解扰、解密处理的数据包解封装出个人化数据,写入相应的个人化数据文件,然后透传给相应的应用。
为了解决上述技术问题,本发明提供了一种实现智能卡发行的系统,包括智能卡和发行系统,其特征在于:
智能卡,用于通过主安全域安装应用;
发行系统,用于与智能卡通过相互认证建立安全信道,动态生成会话密钥。
进一步地,智能卡在被安装的应用与主安全域未关联时,将安装的应用与主安全域相关联。
进一步地,
智能卡与发行系统通过交互选择确定主安全域;收到发行系统发送的卡认证指令后,根据生成的卡随机数生成会话密钥,设定指令的安全级别,计算卡密文,将生成的卡随机数、会话密钥以及计算的卡密文发回给发行系统;收到行系统发送的发行系统认证指令后,用会话密钥中来校验消息验证码,用计算出的发行系统密文校验发行系统认证指令中承载的发行系统密文;
发行系统生成本系统随机数,向智能卡发送所述卡认证指令;收到并校验所述卡密文,用生成的会话密钥生成发行系统密文,并将该发行系统密文与用会话密钥生成的消息验证码一起承载在发行系统认证指令中发送给智能卡。
进一步地,智能卡设定指令的安全级别,包括指令需要计算消息验证码和指令需要计算消息验证码同时需要加密级别中的任一种;将计算出的发行系统密文与指令中承载的发行系统密文比较,比较的结果一致则完成发行系统的认证。
进一步地,
发行系统还通过安全通道向所述智能卡确定需要个人化的应用,采用动态生成的会话密钥将个人化数据进行封装及安全处理,然后透传给智能卡;
智能卡收到个人化数据进行解封及解安全处理,然后写入处理后的个性化数据文件,透传给相应的应用。
进一步地,
发行系统组合各个文件及各个文件的内容,并对文件的内容进行加密处理,调用专用接口透传指定需要个人化的应用的全球平台的安装指令;调用JavaCard平台提供的算法应用程序接口和全球平台提供的安全服务应用程序接口将个人化数据封装成数据包,进行安全处理,包括对敏感数据通过计算消息验证码进行加密处理,通过密钥对数据包进行加密,并对加密的数据包进行加扰处理,发送写入数据指令将加密的数据包通过主安全域透传给智能卡;
智能卡记录收到所述全球平台的安装指令中承载的需要个人化的应用;接收到发行系统发送的所述加密的数据包后,进行解安全处理,包括解扰、解密处理,然后将经解扰、解密处理的数据包解封装出个人化数据,写入相应的个人化数据文件,然后透传给相应的应用。
采用建立安全信道的方式,使得发行系统和智能卡之间有一个相互认证的过程,且这个过程中会话密钥的生成采用随机数分散生成,不易获取,因而安全性好。通过会话密钥对数据进行加密及计算消息鉴别码(MAC,Message Authentication Code),对敏感数据进行加密等方法,来保证敏感数据的保密性、完整性以及安全性。通过调用专用接口透传个人化指令,专用移动通信USIM应用可以组合各个文件及各个文件的内容,并对文件内容加密,因而即使从传输过程中截取到数据,也无法判断各个数据段的意义。专用移动通信USIM应用通过调用JavaCard中Javacard.crypto包中提供的算法API和GP提供的安全服务API,来对个人化数据进行加密、加扰。通过组合多样化的数据加密、保密等技术,使得密码难以破解,因而能够确保卡发行过程中对卡应用个人化数据的安全性。
附图说明
图1为本发明的实现智能卡发行的方法实施例的流程图;
图2为图1所示方法实施例中建立安全信道实例的流程图;
图3为图1所示方法实施例中通过指令发行智能卡实例的流程图。
具体实施方式
以下结合附图和优选实施例对本明的技术方案进行详细地阐述。应该理解,以下例举的实施例仅用于说明和解释本发明,而不构成对本发明技术方案的限制。
如图1所示,是本发明提供的实现智能卡发行的方法实施例的流程,包括如下步骤:
110:智能卡通过主安全域安装应用;
在被安装的应用与主安全域(ISD)未关联(譬如被安装应用的提供商具有多个)时,还需将安装的应用与ISD相关联。
例如,通过专用网络的(U)SIM的ISD安装卡的应用,将专用网络的(U)SIM应用与ISD关联上。
120:发行系统与智能卡通过相互认证建立安全信道,动态生成会话密钥;
上述步骤的流程可参见图2,包括如下具体步骤:
1)发行系统与智能卡通过交互选择确定ISD;
2)发行系统生成本系统随机数,向智能卡发送卡认证指令;
3)智能卡收到卡认证指令后,根据生成的卡随机数生成会话密钥,设定后续指令的安全级别(可设定为指令需要计算消息验证码MAC,或者指令需要计算MAC同时需要加密),计算卡密文,将生成的卡随机数、会话密钥以及计算的卡密文发回给发行系统;
4)发行系统收到并校验卡密文,用生成的会话密钥生成发行系统密文,并将该发行系统密文与用会话密钥生成的MAC值一起承载在发行系统认证指令中发送给智能卡;
5)智能卡收到发行系统认证指令后,用会话密钥中来校验MAC,将计算出的发行系统密文与指令中承载的发行系统密文比较,结果一致则发行系统认证完成;最后完成初始化向量。
用会话密钥中校验MAC,一方面是为了确保所接收指令中数据的完整性,另一方面是为校验会话密钥的正确性。
130:发行系统通过安全通道向智能卡确定需要个人化的应用,采用动态生成的会话密钥将需要个人化的数据进行封装及安全处理,然后透传给智能卡;
140:智能卡收到需要个人化的数据进行解封及解安全处理,然后写入处理后的个性化数据文件。
上述步骤的流程如图3所示,包括如下具体步骤:
1)发行系统通过GP的安装指令将需要个人化的应用指定为智能卡的应用;
例如,发行系统通过GP的Install[for Personalization]指令将需要个人化的应用指定为专用网络的(U)SIM应用。
发行系统可组合各个文件及各个文件的内容,并对内容进行加密处理,通过调用ProcessData()接口透传指定个人化的应用的指令。这样,即使传输过程中数据被截取,各个数据段的意义也无法判断。
2)智能卡记录收到指令中承载的需要个人化的应用;
3)发行系统发送写入数据指令将个人化数据通过ISD透传给智能卡;
为后续发行,发行系统可通过调用JavaCard中Javacard.crypto包中提供的算法应用程序接口(API)和GP提供的安全服务API的方式将个人化数据进行封装,通过密钥对封装的数据进行加密,其中的敏感数据通过计算MAC进行加密;和/或对加密的数据进行加扰处理。由此多样化组合难以破解,从而确保数据的保密性、完整性,以及敏感数据的安全性。
其中,算法API例如包括数据加密标准(DES,Data Encryption Standard)、高级加密标准(AES,Advanced Encryption Standard)、RSA(非对称密钥算法,由三位开发者Rivest、Shamir和L. Adleman的名字首字母组成)中一种或多种加密算法,以及GP提供的安全服务API,例如加密以及计算MAC中的一种或多种API。
例如,发行系统通过StoreData指令将进行封装、加密及加扰处理的个人化的数据通过ProcessData()接口透传给ISD,由ISD透传给专用网络的(U)SIM卡相应的应用。
4)智能卡收到个人化数据后透传给卡上相应的应用。
智能卡接收到数据,进行解扰、解密及解封处理后,写入相应的个人化数据文件,如鉴权密钥KEY、国际移动用户识别码(IMSI,International MobileSubscriber Identity)等文件中,然后透传给相应的应用。
本发明可使用Javacard平台但不限于该平台,譬如也可用于
Powered Smart Cards和MULTOS平台。
本发明针对上述方法实施例,相应地还提供了实现智能卡发行的系统实施例,包括智能卡和发行系统,其中:
智能卡,用于通过主安全域安装应用;
发行系统,用于与智能卡通过相互认证建立安全信道,动态生成会话密钥。
在上述系统实施例中,
智能卡在被安装的应用与主安全域(ISD)未关联时,将安装的应用与ISD相关联。
在上述系统实施例中,
智能卡与发行系统通过交互选择确定ISD;收到卡认证指令后,根据生成的卡随机数生成会话密钥,设定指令的安全级别,计算卡密文,将生成的卡随机数、会话密钥以及计算的卡密文发回给发行系统;收到发行系统认证指令后,用会话密钥中来校验MAC,用计算出的发行系统密文校验发行系统认证指令中承载的发行系统密文;
发行系统生成本系统随机数,向智能卡发送卡认证指令;在收到智能卡发送的校验卡密文后,用生成的会话密钥生成发行系统密文,并将该发行系统密文与用会话密钥生成的MAC值一起承载在发行系统认证指令中发送给智能卡。
在上述系统实施例中,
智能卡设定指令的安全级别,包括指令需要计算消息验证码MAC和指令需要计算MAC同时需要加密中的任一种,将计算出的发行系统密文与指令中承载的发行系统密文比较,比较的结果一致则发行系统认证通过。
在上述系统实施例中,
发行系统通过安全通道向智能卡确定需要个人化的应用,采用动态生成的会话密钥将需要个人化的数据进行封装及安全处理,然后透传给智能卡;
智能卡收到需要个人化的数据进行解封及解安全处理,然后写入处理后的个性化数据文件,透传给相应的应用。
在上述系统实施例中,
发行系统组合各个文件及各个文件的内容,并对文件的内容进行加密处理,调用专用接口透传指定需要个人化的应用的GP的安装指令;调用JavaCard平台提供的算法API和GP提供的安全服务API将个人化数据封装成数据包,安全处理包括对敏感数据通过计算MAC进行加密处理,通过密钥对数据包进行加密,并对加密的数据包进行加扰处理,发送写入数据指令将数据包通过ISD透传给智能卡;
智能卡记录收到GP的安装指令中承载的需要个人化的应用;接收到发行系统发送的数据包后,进行解安全处理,包括解扰、解密处理,然后将经解扰、解密处理的数据包解封装出个人化数据,写入相应的个人化数据文件,然后透传给相应的应用。
在上述系统实施例中,
发行系统组合各个文件及各个文件的内容,并对文件的内容进行加密处理,通过调用专用接口透传指定个人化的应用的指令;调用JavaCard提供的算法API和GP提供的安全服务API将个人化数据封装成数据包,对其中的敏感数据通过计算MAC进行加密,通过密钥对数据包进行加密,对加密的数据包进行加扰处理;
智能卡接收到加密的数据包后,进行解扰、解密及解封处理后,写入相应的个人化数据文件,如鉴权密钥KEY、国际移动用户识别码(IMSI,International Mobile Subscriber Identity)等文件中,然后透传给相应的应用。
在上述系统实施例中,
发行系统调用的算法API包括数据加密标准(DES)、高级加密标准(AES)以及RSA中一种或多种;调用的GP提供的安全服务API包括加密以及计算MAC中的一种或多种API。
Claims (12)
1.一种实现智能卡发行的方法,其特征在于,包括:
智能卡通过主安全域安装应用;
发行系统与智能卡通过相互认证建立安全信道,动态生成会话密钥。
2.按照权利要求1所述的方法,其特征在于,还包括:
所述智能卡在被安装的应用与所述主安全域未关联时,将安装的应用与所述主安全域相关联。
3.按照权利要求1或2所述的方法,其特征在于,该方法具体包括:
所述智能卡与所述发行系统通过交互选择确定所述主安全域;
所述发行系统生成本系统随机数,向所述智能卡发送卡认证指令;
所述智能卡收到所述卡认证指令后,根据生成的卡随机数生成会话密钥,设定指令的安全级别,计算卡密文,将生成的卡随机数、会话密钥以及计算的卡密文发回给所述发行系统;
所述发行系统收到并校验所述卡密文,用生成的会话密钥生成发行系统密文,并将该发行系统密文与用会话密钥生成的消息验证码一起承载在发行系统认证指令中发送给所述智能卡;
所述智能卡收到所述发行系统认证指令后,用会话密钥中来校验所述消息验证码,根据计算出的发行系统密文和所述指令中承载的所述发行系统密文进行发行系统认证。
4.按照权利要求3所述的方法,其特征在于,
所述智能卡设定指令的安全级别包括指令需要计算消息验证码和所述指令需要计算所述消息验证码同时需要加密中的任意一种;
所述智能卡将计算出的发行系统密文与指令中承载的发行系统密文比较,比较的结果一致则所述发行系统认证通过。
5.按照权利要求4所述的方法,其特征在于,还包括:
所述发行系统通过所述安全通道向所述智能卡确定需要个人化的应用,采用动态生成的所述会话密钥将需要个人化的数据进行封装及安全处理,然后透传给智能卡;
所述智能卡收到所述需要个人化的数据进行解封及解安全处理,然后写入处理后的个性化数据文件。
6.按照权利要求5所述的方法,其特征在于,该方法具体包括:
所述发行系统组合各个文件及各个文件的内容,并对文件的内容进行加密处理,调用专用接口透传指定需要个人化的应用的全球平台的安装指令;
所述智能卡记录收到所述全球平台的安装指令中承载的所述需要个人化的应用;
所述发行系统调用JavaCard平台提供的算法应用程序接口和所述全球平台提供的安全服务应用程序接口将个人化数据封装成数据包,所述安全处理包括对敏感数据通过计算所述消息验证码进行加密处理,通过密钥对所述数据包进行加密,并对加密的所述数据包进行加扰处理,发送写入数据指令将所述数据包通过所述主安全域透传给所述智能卡;
所述智能卡接收到所述数据包后,进行所述解安全处理,包括解扰、解密处理,然后将经解扰、解密处理的数据包解封装出所述个人化数据,写入相应的个人化数据文件,然后透传给相应的应用。
7.一种实现智能卡发行的系统,包括智能卡和发行系统,其特征在于:
智能卡,用于通过主安全域安装应用;
发行系统,用于与智能卡通过相互认证建立安全信道,动态生成会话密钥。
8.按照权利要求7所述的系统,其特征在于,
所述智能卡在被安装的应用与所述主安全域未关联时,将安装的应用与所述主安全域相关联。
9.按照权利要求7或8所述的系统,其特征在于,
所述智能卡与所述发行系统通过交互选择确定主安全域;收到所述发行系统发送的卡认证指令后,根据生成的卡随机数生成会话密钥,设定指令的安全级别,计算卡密文,将生成的卡随机数、会话密钥以及计算的所述卡密文发回给所述发行系统;收到所述行系统发送的发行系统认证指令后,用会话密钥中来校验消息验证码,用计算出的发行系统密文校验发行系统认证指令中承载的发行系统密文;
所述发行系统生成本系统随机数,向智能卡发送所述卡认证指令;收到并校验所述卡密文,用生成的会话密钥生成所述发行系统密文,并将该发行系统密文与用会话密钥生成的所述消息验证码一起承载在所述发行系统认证指令中发送给所述智能卡。
10.按照权利要求9所述的系统,其特征在于,
所述智能卡设定指令的安全级别,包括指令需要计算所述消息验证码和指令需要计算所述消息验证码同时需要加密级别中的任一种;将所述计算出的发行系统密文与所述指令中承载的发行系统密文比较,所述比较的结果一致则完成发行系统的认证。
11.按照权利要求10所述的系统,其特征在于,
所述发行系统还通过所述安全通道向所述智能卡确定需要个人化的应用,采用动态生成的所述会话密钥将个人化数据进行封装及安全处理,然后透传给所述智能卡;
所述智能卡收到所述个人化数据进行解封及解安全处理,然后写入处理后的个性化数据文件,透传给相应的应用。
12.按照权利要求11所述的系统,其特征在于,
所述发行系统组合各个文件及各个文件的内容,并对文件的内容进行加密处理,调用专用接口透传指定需要个人化的应用的全球平台的安装指令;调用JavaCard平台提供的算法应用程序接口和所述全球平台提供的安全服务应用程序接口将个人化数据封装成数据包,进行所述安全处理,包括对敏感数据通过计算消息验证码进行加密处理,通过密钥对所述数据包进行加密,并对加密的数据包进行加扰处理,发送写入数据指令将所述加密的数据包通过所述主安全域透传给所述智能卡;
所述智能卡记录收到所述全球平台的安装指令中承载的需要个人化的应用;接收到所述发行系统发送的所述加密的数据包后,进行所述解安全处理,包括解扰、解密处理,然后将经解扰、解密处理的数据包解封装所述出个人化数据,写入相应的个人化数据文件,然后透传给相应的应用。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210132640.9A CN102711101B (zh) | 2012-04-28 | 2012-04-28 | 一种实现智能卡发行的方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210132640.9A CN102711101B (zh) | 2012-04-28 | 2012-04-28 | 一种实现智能卡发行的方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102711101A true CN102711101A (zh) | 2012-10-03 |
| CN102711101B CN102711101B (zh) | 2015-01-14 |
Family
ID=46903622
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210132640.9A Active CN102711101B (zh) | 2012-04-28 | 2012-04-28 | 一种实现智能卡发行的方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102711101B (zh) |
Cited By (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103106090A (zh) * | 2013-01-31 | 2013-05-15 | 北京大唐智能卡技术有限公司 | 一种智能卡及其应用的安装方法 |
| CN103593683A (zh) * | 2013-11-11 | 2014-02-19 | 广东华大集成技术有限责任公司 | 一种分布式卡片发行系统 |
| CN103716328A (zh) * | 2014-01-03 | 2014-04-09 | 天地融科技股份有限公司 | 一种操作请求处理方法和系统 |
| CN103716327A (zh) * | 2014-01-03 | 2014-04-09 | 天地融科技股份有限公司 | 一种操作请求处理方法和系统 |
| CN105701427A (zh) * | 2016-02-18 | 2016-06-22 | 捷德(中国)信息科技有限公司 | 一种智能卡写入数据的方法及装置 |
| CN103716327B (zh) * | 2014-01-03 | 2016-11-30 | 天地融科技股份有限公司 | 一种操作请求处理方法和系统 |
| CN107093078A (zh) * | 2017-03-14 | 2017-08-25 | 南方城墙信息安全科技有限公司 | 芯片卡发卡系统及方法 |
| CN107229958A (zh) * | 2017-07-21 | 2017-10-03 | 金邦达有限公司 | 一种智能ic卡数据检测方法及装置 |
| CN107743614A (zh) * | 2015-04-17 | 2018-02-27 | 金雅拓股份有限公司 | 用于修改集成电路卡的独立于平台方法的执行的方法 |
| CN107862358A (zh) * | 2017-10-31 | 2018-03-30 | 深圳瑞柏科技有限公司 | 综合发行智能卡的方法及装置 |
| CN108256926A (zh) * | 2016-12-27 | 2018-07-06 | 航天信息股份有限公司 | 一种具有税控功能的sim卡及其制作方法 |
| US10405340B2 (en) | 2014-04-01 | 2019-09-03 | Huawei Technologies Co., Ltd. | Security message transmission method and apparatus |
| WO2020048351A1 (zh) * | 2018-09-07 | 2020-03-12 | 飞天诚信科技股份有限公司 | 一种具有动态验证码的金融ic卡的个人化方法和系统 |
| CN111190631A (zh) * | 2019-12-13 | 2020-05-22 | 东信和平科技股份有限公司 | 智能卡及其cos后更新安全的方法 |
| CN111801671A (zh) * | 2017-12-21 | 2020-10-20 | 恩图鲁斯特咨询卡有限公司 | 智能卡的安全的端到端个人化 |
| CN112152790A (zh) * | 2019-06-26 | 2020-12-29 | 联合汽车电子有限公司 | 一种数据加密方法、解密方法、加密装置和解密装置 |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106228090B (zh) * | 2016-07-28 | 2019-02-05 | 飞天诚信科技股份有限公司 | 一种多主安全域Java智能卡及其实现方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101164086A (zh) * | 2005-03-07 | 2008-04-16 | 诺基亚公司 | 能够使用无线网络实现信用卡个人化的方法、系统和移动设备 |
| CN101183938A (zh) * | 2007-10-22 | 2008-05-21 | 华中科技大学 | 一种无线网络安全传输方法、系统及设备 |
| CN101511051A (zh) * | 2008-12-31 | 2009-08-19 | 北京握奇数据系统有限公司 | 电信智能卡的应用业务下载方法、系统及设备 |
| CN101819696A (zh) * | 2009-02-27 | 2010-09-01 | 中兴通讯股份有限公司 | 一种应用下载的系统和方法 |
-
2012
- 2012-04-28 CN CN201210132640.9A patent/CN102711101B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101164086A (zh) * | 2005-03-07 | 2008-04-16 | 诺基亚公司 | 能够使用无线网络实现信用卡个人化的方法、系统和移动设备 |
| CN101183938A (zh) * | 2007-10-22 | 2008-05-21 | 华中科技大学 | 一种无线网络安全传输方法、系统及设备 |
| CN101511051A (zh) * | 2008-12-31 | 2009-08-19 | 北京握奇数据系统有限公司 | 电信智能卡的应用业务下载方法、系统及设备 |
| CN101819696A (zh) * | 2009-02-27 | 2010-09-01 | 中兴通讯股份有限公司 | 一种应用下载的系统和方法 |
Cited By (24)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103106090B (zh) * | 2013-01-31 | 2015-10-28 | 北京大唐智能卡技术有限公司 | 一种智能卡及其应用的安装方法 |
| CN103106090A (zh) * | 2013-01-31 | 2013-05-15 | 北京大唐智能卡技术有限公司 | 一种智能卡及其应用的安装方法 |
| CN103593683A (zh) * | 2013-11-11 | 2014-02-19 | 广东华大集成技术有限责任公司 | 一种分布式卡片发行系统 |
| CN103593683B (zh) * | 2013-11-11 | 2016-08-31 | 广东华大互联网股份有限公司 | 一种分布式卡片发行系统 |
| CN103716328A (zh) * | 2014-01-03 | 2014-04-09 | 天地融科技股份有限公司 | 一种操作请求处理方法和系统 |
| CN103716327A (zh) * | 2014-01-03 | 2014-04-09 | 天地融科技股份有限公司 | 一种操作请求处理方法和系统 |
| CN103716327B (zh) * | 2014-01-03 | 2016-11-30 | 天地融科技股份有限公司 | 一种操作请求处理方法和系统 |
| CN103716328B (zh) * | 2014-01-03 | 2017-01-25 | 天地融科技股份有限公司 | 一种操作请求处理方法和系统 |
| US10405340B2 (en) | 2014-04-01 | 2019-09-03 | Huawei Technologies Co., Ltd. | Security message transmission method and apparatus |
| CN107743614B (zh) * | 2015-04-17 | 2020-10-16 | 金雅拓股份有限公司 | 用于修改集成电路卡的独立于平台方法的执行的方法 |
| CN107743614A (zh) * | 2015-04-17 | 2018-02-27 | 金雅拓股份有限公司 | 用于修改集成电路卡的独立于平台方法的执行的方法 |
| CN105701427B (zh) * | 2016-02-18 | 2019-07-30 | 捷德(中国)信息科技有限公司 | 一种智能卡写入数据的方法及装置 |
| CN105701427A (zh) * | 2016-02-18 | 2016-06-22 | 捷德(中国)信息科技有限公司 | 一种智能卡写入数据的方法及装置 |
| CN108256926A (zh) * | 2016-12-27 | 2018-07-06 | 航天信息股份有限公司 | 一种具有税控功能的sim卡及其制作方法 |
| CN107093078A (zh) * | 2017-03-14 | 2017-08-25 | 南方城墙信息安全科技有限公司 | 芯片卡发卡系统及方法 |
| CN107093078B (zh) * | 2017-03-14 | 2021-01-19 | 南方城墙信息安全科技有限公司 | 芯片卡发卡系统及方法 |
| CN107229958A (zh) * | 2017-07-21 | 2017-10-03 | 金邦达有限公司 | 一种智能ic卡数据检测方法及装置 |
| CN107862358A (zh) * | 2017-10-31 | 2018-03-30 | 深圳瑞柏科技有限公司 | 综合发行智能卡的方法及装置 |
| CN107862358B (zh) * | 2017-10-31 | 2020-10-30 | 深圳瑞柏科技有限公司 | 综合发行智能卡的方法及装置 |
| CN111801671A (zh) * | 2017-12-21 | 2020-10-20 | 恩图鲁斯特咨询卡有限公司 | 智能卡的安全的端到端个人化 |
| WO2020048351A1 (zh) * | 2018-09-07 | 2020-03-12 | 飞天诚信科技股份有限公司 | 一种具有动态验证码的金融ic卡的个人化方法和系统 |
| CN112152790A (zh) * | 2019-06-26 | 2020-12-29 | 联合汽车电子有限公司 | 一种数据加密方法、解密方法、加密装置和解密装置 |
| CN111190631A (zh) * | 2019-12-13 | 2020-05-22 | 东信和平科技股份有限公司 | 智能卡及其cos后更新安全的方法 |
| CN111190631B (zh) * | 2019-12-13 | 2023-08-22 | 东信和平科技股份有限公司 | 智能卡及其cos后更新安全的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102711101B (zh) | 2015-01-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102711101B (zh) | 一种实现智能卡发行的方法及系统 | |
| KR100978053B1 (ko) | 무선 단말기에서 보안 요소를 초기화하기 위한 방법 및장치 | |
| AU2015334634B2 (en) | Transaction messaging | |
| JP5508428B2 (ja) | 鍵の配布方法及びシステム | |
| AU2013248936B2 (en) | Multi-issuer secure element partition architecture for NFC enabled devices | |
| FI125071B (fi) | Maksujärjestelmä | |
| CN109039652B (zh) | 一种数字通证的生成及应用方法 | |
| CN101329786B (zh) | 移动终端获取银行卡磁道信息或支付应用的方法及系统 | |
| CN103812649B (zh) | 机卡接口的安全访问控制方法与系统、手机终端 | |
| CN102630083B (zh) | 利用移动终端进行卡操作的系统及方法 | |
| CN102456193A (zh) | 移动存储设备、基于该设备的数据处理系统和方法 | |
| CN102779303A (zh) | 一种基于手机的无线支付系统及方法 | |
| CN109146468B (zh) | 一种数字通证的备份与恢复方法 | |
| CN104579687A (zh) | 一种基于usbkey的csp实现方法 | |
| Ahmad et al. | Enhancing the security of mobile applications by using TEE and (U) SIM | |
| CN101729246A (zh) | 密钥分发方法和系统 | |
| CN105321069A (zh) | 一种实现远程支付的方法及装置 | |
| CN101841806A (zh) | 业务卡信息处理方法、装置、系统及通信终端 | |
| CN106408302A (zh) | 面向移动用户的安全支付方法和系统 | |
| CN103514540A (zh) | 一种优盾业务实现方法及系统 | |
| CN105279647A (zh) | 一种实现远程支付的方法、装置及智能卡 | |
| CN104348952A (zh) | 一种卡片应用管理系统的控制方法 | |
| KR102076313B1 (ko) | 무선단말의 유심기반 전자서명 처리 방법 | |
| KR102149313B1 (ko) | 유심기반 전자서명 처리 방법 | |
| KR101625219B1 (ko) | 사용자 매체를 이용한 다중 코드 생성 방식의 네트워크 형 오티피 제공 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| EE01 | Entry into force of recordation of patent licensing contract |
Application publication date: 20121003 Assignee: BEIJING DATANG SMART CARD TECHNOLOGY CO.,LTD. Assignor: DATANG MICROELECTRONICS TECHNOLOGY Co.,Ltd. Contract record no.: 2016110000008 Denomination of invention: Method and system for realizing distribution of smart cards Granted publication date: 20150114 License type: Common License Record date: 20160422 |
|
| LICC | Enforcement, change and cancellation of record of contracts on the licence for exploitation of a patent or utility model | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20201120 Address after: 12 / F, North building, Zhongke resource building, Haidian District, Beijing 100190 Patentee after: Huiyi finance leasing (Tianjin) Co.,Ltd. Address before: 100094 No. 6 Yongjia North Road, Beijing, Haidian District Patentee before: DATANG MICROELECTRONICS TECHNOLOGY Co.,Ltd. |
|
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20220707 Address after: 100094 No. 6 Yongjia North Road, Beijing, Haidian District Patentee after: DATANG MICROELECTRONICS TECHNOLOGY Co.,Ltd. Address before: 100190 12 / F, North building, Zhongke resource building, Haidian District, Beijing Patentee before: Huiyi finance leasing (Tianjin) Co.,Ltd. |
|
| TR01 | Transfer of patent right |