CN102722813A - 一种阶层式多种电子货币的装置和管理方法 - Google Patents
一种阶层式多种电子货币的装置和管理方法 Download PDFInfo
- Publication number
- CN102722813A CN102722813A CN201210119698XA CN201210119698A CN102722813A CN 102722813 A CN102722813 A CN 102722813A CN 201210119698X A CN201210119698X A CN 201210119698XA CN 201210119698 A CN201210119698 A CN 201210119698A CN 102722813 A CN102722813 A CN 102722813A
- Authority
- CN
- China
- Prior art keywords
- program
- electronic money
- field
- electronic currency
- authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
实现在一台智能装置中,集成多种电子货币的方法。本发明采用NFC芯片和安全元素(SE)为硬件主体,在SE中设定可分割的记忆领域称之加密领域(EA)。和传统的智能卡处理手段不同,不采用在SE中部署全部程序,而仅部署需要读取EA数据的管理单元,其他程序部署在SE外的多功能OS(rich OS)中。通过阶层式的管理方式来管理电子货币程序,将电子货币程序中一般技术者难以掌握的处理,如APDU、AWP控制、SE中部署程序方法以及加密/解密/认证处理集约在电子货币管理程序中。本发明以此作为一个开放的构架提供电子货币程序运营商,方便中小型公司参入电子货币市场。
Description
技术领域
本发明涉及计算机领域,尤其涉及电子货币和电子支付之安全领域。
背景技术
1市场背景
电子货币以及在电子货币概念上衍生出来的电子商品券、优惠卡、点数等服务已经普及,并广范围地被商家、金融机构、交通机关等企业采用(在本说明文中,电子货币以及需要同等安全处理的衍生物,统称为电子货币)。
作为电子货币的载体,载有微型处理器(一种小型CPU)的接触型和非接触型的智能卡(Smart Card)被广泛采用,其中NFC方式的非接触智能卡被视为下一代智能携带电话的标准。
2目前问题
由于智能卡处理能力和安全控制等原因,目前每张智能卡出只能对应一种特定服务商的电子货币。
实际运用中,使用者需要携带数张电子货币卡,这样对最终用户产生了新的不便,同时全球每年生产数十亿张塑料卡片也给地球环境带来了压力。
用户需要的是方便安全的支付手段,而不是塑料卡片,更不是那种必须携带不断增加的各种塑料卡片。
如何消除不断增加的塑料卡片是本发明希望解决的问题。
3实现可能性
载有RFID或者NFC芯片(以下统称为NFC)的智能装置(如具有存储计算功能的智能卡、PDA、手机)等开始普及,这些智能装置的硬件存储能力,和基本的安全控制使得记录多张电子货币卡成为可能。
NFC(http://www.nfc-forum.org/)、GlobalPlatform(http://globalplatform.org)等国际标准组织,陆续地充实标准定义,这为电子货币支付手段提供了统一标准,扫除了统合/集成的难度。
然而在NFC的标准中,出于防止NFC的装置同时启动通信的目的,而制定了RFCA(RFCollisionAvoidance)的标准,但这个标准功能使得单纯地装载数张IC标签的方法无法实现。
4现有的实现方法
在GlobalPlatform的标准白书中提示并建议,同时安装多片符合GP标准的SE(SecureElement)来解决这样的问题的方法,http://www.globalplatform.org/documents/GlobalPlatform NFC MobileWhitePaper.pdf),智能卡公司Gemalto推出了存SE领域中,支持多程序的智能卡。
4现有方法的问题
41标准实现困难
GlobalPlatform的标准,以及制造智能卡公司,受到传统智能卡的影响,并没有充分考虑在一个装置中集成数种电子货币,所以在使用SE解决方法时,按照习惯思路将整个程序存储在SE的记忆领域,这种做法,1对于程序的启动速度带来了不利因素,2在多程序的情况下,由不特定的企业开发的多种电子货币程序在运行时会带来新的安全问题。
例如原来的程序和智能卡和读卡器俱为一体,全部都是运营商自己负责,所以程序可以自由的读取SE领域的机密数据而没有任何制约,然而当程序由不同企业自己开发导入,就必须重新考虑新的安全控制机制。
按照目前的控制方法,如果在不特定的程序中植入恶意代码,从远程使用APDU操作,将会产生巨大的安全事故,另外由于没有能够监视电子货币程序的部件,这种方式将不留下可以追踪的证据,这种情况下整个安全机制将崩溃。
其中APDU属于ISO/IEC的标准,http://www.cardwerk.com/smartcards/smartcard_standard_ISO7816-4.aspx
为了弥补上述问题,GP又追加了TSM,通过权威方来实行认证,然而这些为了安全性增加的机制,不仅让本来复杂的构造变得更加复杂,同时也增加了技术资本上的参入成本,这样的参入成本基本上将中小企业、小金额支付服务商排除在电子货币市场之外。由于GP标准实现的困难,因此目前还没有企业按照GP标准,推出这样的服务。
42脱离标准的方法
日本移动运营商NTTDoCoMo在2008年即推出了OsaifuKeitai(Mobile Wallet)的服务,实现了在NTTDoCoMo的管理下,多种电子货币在其运营的网络下共存于一台手机。
然而其采用的SONYFelica SAM(SecureAccessModule)是一种非国际化、非标准化、非公开的安全控制方式,这种方式的数据安全控制完全建立在SONY的Felica chipset中,由于其独自方案不公开,通过商业秘密保证了其安全性,从而大幅度地降低了技术难度。
在NTTDoCoMo为自己垄断市场而制定的封闭式设计中,其中具体的设计不公开也不让其他厂商参与,所有中小电子货币运营商必须服从NTTDoCoMo制定的规则,并向其支付相当的费用,而所谓的各种电子货币也仅仅是在NTTDoCoMo管理下,以不同名字命名的同一种电子货币。
由于NTTDoCoMO的封闭的商业模式,NFC、GP、CC等标准组织也无法采用Felica SAM为安全控制的标准。因此上述方式已经脱离了主流,今后也不可能和中国以及其他国家兼容。
4.3独占式服务
Google、PayPass(visa)、payWave(Master)等公司推出了电子钱包(eWallet)的服务,这些服务一部分参照了GP标准,一部分依靠自己实力为信用,取消了TSM认证机制。然而这些企业将影响自己盈利的企业排除在服务对象之外,他们不可能也不愿意将自己的资源提供给其他电子货币提供商。
因此用户必须或者选择利用这些公司的方便的服务,或者选择继续携带大量其他的塑料卡片。
4.4封闭/独占模式的企业社会道德问题
对于NTTDoCoMo这样大型电信企业来说,完全采用脱离标准的独自方案并非难题,然而对于其他电子货币运营商来说,在现实的技术和非技术(如企业之间利益协调)环境中具有无法逾越的困难。
而Google、PayPass(visa)、payWave(Master)等大企业的独占式盈利模式,利用他们在金融业的实力,或者技术上的实力避开国际标准,排除消灭中小型竞争对手形成市场垄断。
由此可见,目前构筑整个系统的成本,和保证万全的安全性要求,基本上将中小运营商完全排除在电子支付市场之外,因此真正的多种电子货币并存在一台携带装置的问题迟迟不能实现;而这种技术、资本的差别产生了市场的不公正竞争,对于电子货币市场、以至于整个社会的成长带来了不健康因素。
5发明目标
综上所述,市场需要一种
1.将各种形态的电子货币,和电子货币媒体于一体,方便用户携带使用;
2.为了今后RMB国际化和市场活性化,上述方式的实现方法,需要是一种公开方法,并符合国际标准(具体为NFC标准,GlobalPlatForm标准);
3.在标准的前提下,不分界线平等地协助中小企业参入市场,帮助其与独占企业竞争;
本发明以上述背景的市场需求为目标,提出了满足市场需求的最佳实现方案。
由于业界国际化和世界标准化的进行,许多业界专门术语习惯用英语表述,为方便说明将本说明书的常用略语列举如下:
MNO: Mobile Network Operators 移动网络运营商
MNP: Mobile Network Provisioning 移动网络初始化处理
TSM: Trusted Service Manager 被信赖的服务管理者,通常指被信任的服务器
MTP: Mobile Transaction Platform 移动交易平台
HSM: Hardware Security Module 基于硬件的安全模块
SP: Service Provider 服务提供商
SIM: Subscriber Identity Module Card 手机中的用户身份识别卡
UICC: Universal Integrated Circuit Card SIM卡的一种扩展,指一种可移动智能卡,它用于存储用户
信息、鉴权密钥、电话簿、短消息等信息,
RFID Radio Frequency Identification 通过电磁波来提供电源的非接触卡的识别方法
RFCA: Radio Frequency CollisionAvoidance NFC所定义的防止非接触卡同时通信冲突的功能
OTA Over TheAir 非intemet的电子货币交易
SE: Secure Element 安全要素,通常指基于硬件的芯片
M app MoneyApplication 本发明所定义的,由SP提供的电子货币程序
W app WalletApplication 本发明所定义的,由本发明服务提供商所提供的钱包管理程
序
GP GlobalPlatform 国际智能卡的非营利标准化组织
OCT OpenCardT Framework 智能卡系统的Framework
CC Common Criteria 国际安全性评估组织
NFC NearFieldCommunitcation 近场通信协议
ISO/IEC7816 ISO/IEC7816 关于智能卡的标准
APDU: Application Protocol Data Unit ISO/IEC 7816-4所定义的NFC读卡器的要求命令
发明内容
本发明同时涉及服务器端和客户端,但主要内容在客户端上实现。
所有和支付相关的敏感信息(Critical Data),记录在安全芯片SE中的数据加密领域(EncryptedArea)中(SE可以被集成在SIM,或者NFC芯片中)EA中的存储信息必须通过认证,并经过加密/解密才能够读写。
在EA的记忆领域进行分区(partitioning),提供各不同的服务提供商(SP)的电子货币应用程序领域。
在客户端上(具体为智能装置,如手机等)上安装电子货币程序(M程序),电子货币管理程序(W程序)。
对于EA的读写(具体为认证/加密/解密)全部由W程序实现。
由W程序实现对POS以及服务器之间的数据交信的统一管理。
程序和数据分离,程序被部署在EA领域之外,除去必须读写EA领域的W程序中的部分单元之外,其他部分和M程序被部署在SE以外的普通程序领域。
当用户遗失或者遭到盗窃,可以要求本发明的服务提供商锁住EA所有数据不能被读写,本发明的服务提供商可以根据情况选择恢复/销毁EA中的数据。
本发明的进步性在于,
1.以更加低的运营成本,实现在一台装置上集成多张电子货币卡(或者其他需要安全认证的电子服务)。
2.本发明的W程序,集约了电子货币的安全管理和NFC通信管理,通过本发明,降低了其他电子货币服务提供商在技术上参入成本,电子货币运营商的系统开发人员不需要掌握APDU、JSR、认证/加密等知识,不需要管理运行服务器就可以在本方面提供的基础上,开发出应用程序,短时间低成本地参入电子货币市场,建立不依赖大企业的独自有特色的服务。
3.在W程序中,植入锁定SE的处理,当顾客丢失或遭盗窃的时候,可以锁住SE中所管辖的EA中所有信息,或者删除所有信息,保证敏感信息(Critical Data)不被盗取。
4.采用本发明的EA保存方法,敏感信息(CriticalData)保存于各自独立的EA领域,增加了恶意程序入侵的难度。消除了同在SE领域的电子货币程序(M程序)任意读取SE中敏感信息(Critical Data)的安全隐患。
5.采用本发明的EA保存方法,电子货币程序(M程序)可以优选地被部署于SE领域之外,在不降低安全程度的前提下,提高电子货币程序(M程序)的启动速度。
附图说明
图1系统概要图
图2载有NFC芯片装置的结构图
图2-1SE芯片构成图
图2-1-1加密数字逻辑电路AES的实现概要图
图2-1-2EA内存概念构成图
图2-1-3EA内存堆栈构成图
图2-1-4服务提供商所使用安全领域的结构图
图2-1-5非敏感信息领域的记录方法
图2-1-6敏感信息领域的记录方法
图3系统阶层构成图
图3-1应用层程序的构成图
图4支付处理流程图
图4-1M程序/W程序构成图
图4-2M程序对W程序的认证处理流程图
图4-2-1M程序生成认证信息流程图
图4-2-2W程序计算认证信息’流程图
图5W程序功能单元构成图
图5-1安装电子货币程序(M程序)流程图
图5-2对EA领域读取要求处理流程图
图5-2-1为读取权限的认证处理流程
图5-3对EA领域写入要求处理流程图
图5-3-1读取权限的认证处理流程图
具体实施方式
图1为系统概要图,本发明的整体系统由下列主要单元构成
1.载有NFC芯片的装置(1),该装置可以是智能手机或者其他具有安全元件芯片的装置,本部分为本发明的主要内容,在该装置中实现多种电子货币的集成;
2.移动网络(2),利用智能手机的3G或者其他智能装置的通信手段(如WIFI等)连接WMS(3)的网络;
3.一种管理各种电子货币的管理服务器WMS(3),通过WMS(3)实现发行、备份、管理等功能,该部分由于功能独立,所以在本发明说明中不加以涉及;
4.电子货币提供商系统(4),通过网络和WMS(3)连接,处理各种独自的业务;
5.传统的POS终端(5);
由于在系统中各部分各自独立,所以在本说明书中仅涉及1载有NFC的装置(1)。
图2为载有NFC芯片装置的结构图,装置至少由下列主要单元构成:
1.NFC芯片(10),为NFC标准组织所定义的近距离无线通信芯片,具体标准定义可参考(http://www.nfc-forum.org/)在本
发明中,遵守NFC协议,为避免RFCA(RF CollisionAvoidance),在装置内只安装一片NFC芯片,进行近场通信;
2.安全要素(11),为一记载需要加密解密之安全信息的记忆领域,该领域的具体实施方案目前NFC标准组织没有具体定义,但标准化组织GlobalPlatform,在标准白书中给出了标准劝告,http://www.dobalplatform.org/documents/GlobalPlatform NFC Mobile White Paper.pdf其关键特征存于具有GP定义的加密方法,以及和TSM通信的标准接口
4.机密领域EA(115),在本领域,记录如ID、信用卡号、预付款值等具体机密;
5.可优选的,UICC(13),集成包括SIM卡所有功能的集成电路卡,用于存储用户信息、密码等信息;
6.应用程序处理器(12),智能装置中的CPU,用于处理所有应用程序;
如果该装置是智能手机的话,可以根据设计需要,将安全元件SE芯片集成到NFC芯片,或者UICC(SIM)中去,也可以集成到可以外接的SD卡中去,这些方案都为手机制造商和半导体制造商所掌握,故无需赘述。单纯的芯片封装方法的改变,而不改变装置内部的结构,可以视为本发明的同等置换。同样作为NFC前身的RFID也可以作为NFC芯片的同等置换。
图2-1为SE芯片构成图,虽然标准化组织GlobalPlatform在功能上给出了标准劝告,但是具体实现可以在其标准上扩展,用于本发明的SE芯片由以下主要单元构成
1.处理器(110),对底层要求进行运算处理,可优选地具有寄存器(可优选项)
2.加密数字逻辑电路AES,DES,高级加密标准AdvancedEncyptionStandad,数据加密标准DataEncyptionStandad的数字电路(可优选项)
3.乱数生成电路:用于生产一次性密码等,安全认证步骤(可优选项)
4.数据交换单元电路:用于和NFC和UICC/SIM相连接的电路,电路遵从SWP(Single Wire Protocol)、HCI(Host ControlInterface)等标准(可优选项)
5.ROM,RAM,EEPROM等记忆体(必须项)
6.内存管理单元Memory Management Unit,用于内存的读写管理,包括权限管理,认证管理(可优选项)
7.EA领域(必须项)
在GlobalPlatform的劝告中,所有的电子货币程序,以及其数据都需要被部署在SE领域里,才能够保证安全性,然而SE芯片的处理能力,限制了电子货币程序的运行速度和其逻辑复杂程度。在本发明中,通过自行定义的EA领域来保存必要的安全数据,其他的处理单元部署在处理能力更强的装置中(如android,iOS平台的装置),在增加了安全性的同时,加快了处理速度。
图2-1-1为加密数字逻辑电路AES的实现概要图,GP没有定义实现方法,在中国市场流通的智能卡,通常采用DES进行加密,但伴随今年计算机运算能力的提高,DES已经很难满足高安全性需要,因此在本发明中采用AES作为解决方案,虽然也可以用软件实现AES,但考虑到消费电力和处理器的成本,故采用硬件的数字逻辑电路实现AES算法,软件AES、DES和T-DES可以被考虑为同等替换。
在本电路中,由Round函数的数据转换部A1和Round钥匙生成部分A2构成。其中round函数采用A11所示的SubBytes方式实现。同时为了解密时需要采用的SubBytes的逆函数InvSubBytes,SubBytes和InvSubBytes使用变化表的形式实现,其中GF为伽罗瓦体Galois,伽罗瓦体的逆元计算和SubBytes一样,为8位的输入输出写像,可以成为伦理合成。
AES中使用的GF(28)为多项式x8+x4+x3+x+1的基底。
AES的数学理论的论证,不属于本发明的范畴,故不赘述。具体内容可以参考
图2-1-2为EA内存概念构成图,EA的内存由下列领域构成
1.初始化内存领域(M1),主要由ROM和EEPROM构成,用于记录各种ID等信息,同时可以记录将来NFC等标准化组织所定义的内存地址。
2.服务提供商使用领域(M2),由RAM构成,记录各服务提供商提供的程序所使用的机密信息。
在本实施例中,采用并列式数据结构,而在实装中也可以采用传统的树形目录文件(Directory-file)的数据结构,树形的数据结构可以由SE的简易OS(Thin OS)提供,如果在树形目录文件结构下初始化内存领域(M1)被作为文件,存放Master文件,服务提供商使用领域(M2)为一子目录,作为文件夹存放各种加密文件,文件可以是固定长的记录构成,也可以是可变长的记录构成,采用以上简易方式实施例可以作为本图所示实施例的同等替换。
图2-1-3为EA内存堆栈构成图,为保证实际运用的安全,实际所用的物理地址会和图中所示物理地址不同。使用javaCard提供的API,以及OCF框架的程序员不需要理解堆栈概念。
SP的电子货币程序(M程序),可优选的保存于一般程序的内存领域。在本发明中和传统SmartCard程序不同,在EA领域中,不保存数据以外的信息。
电子货币管理程序(W程序),可优选的保存在SE领域内。
在设计的时候,通过MMU(115)严格规定堆栈的地址,防止内存操作中的堆栈溢出(stackbuffer over),为了保证避免堆栈溢出,在MMU(115)中设计格式化指令,并在初始化时格式化SE芯片中的EA内存堆栈。即通过MMU(115)保证程序无法访问到寻址空间外的地址。使用本方法,比上述树形结构的数据更加增添安全性,为使程序员更加能够控制SE,MMU也选择的将native代码编译成JVM,提供javaCardAPI给程序员,具体编码可以在发明人的指导下利用javaCardDevelopmentKit等工具来编写APDU命令,代码属于中等以上技术员所能胜任的工作,故不详细阐述。JavaCard的技术可以参照http://www.oracle.com/technetwork/java/javacard/overview/index.html
格式化分为两种,一种是完全格式化(Provision),该格式化的处理在芯片出厂时进行,格式化的处理步骤是:
1.初始化ROM领域,写入记录手机识别号、秘密钥匙、非公开代码等不可修改的内容,例如Mifare ID/ICCID/IMSI等ID,具体内容根据Felica、ISO/IEC144443等标准。
2.初始化EEPROM领域,写入MMU(115),处理器(110)所需指令程序,记录手机的MasterKEY,识别号、秘密钥匙、非公开代码等一般不修改的内容,
3.初始化,RAM领域,写入需要修改的秘密钥匙,识别号,关于Application的钥匙,写入Key:Data,并将预备领域全部写成低位『00』
另一种格式化为部分格式化(format),由W程序完成,该程序对电子货币服务提供商(SP)使用领域M2,为各堆栈编号,分割出各个SP领域(partitioning),并全部写成低位『00』。
MMU(115)根据格式化时,写入的SP领域和内存物理地址,对内存进行操作,对没有编号的内存地址不能进行操作。
MMU(115)提供malloc,new,free,delete等接口API给OS和应用程序层,内部程序员可以使用C语言等Native语言直接调用这些API。
MMU(115)根据认证权限制定寻址空间领域,为保证实际运用的安全性。
内存堆栈中包含初始化的内存领域(M1),该领域在为SE芯片中EA内存堆栈的构成,在设计的时候,严格规定堆栈的地址,防止内存操作中的堆栈溢出(stack buffer over),为了保证避免堆栈溢出,完全格式化在芯片或者手机出厂时进行。用户在输入pin或者密码以后执行W程序,通过W程序中的功能来实现部分格式化。
图2-1-4服务提供商所使用安全领域的结构图。该领域由机密数据领域(M21),和非机密领域(M22)构成。
在机密数据领域(M21)中,保存电子货币的金额(O1)。该领域为机密领域,没有加密/解密认证,包括用户本身和熟悉构造的程序员都无权/不能对此进行改写。
非机密数据领域(M22),记录非敏感信息,比如可以记录商品券、点数、和交易记录等无关实际货币的信息。该领域也为加密领域,有加密/解密认证,包括用户本身和程序员都无权/不能对此进行改写。但是其中部分内容因为容量过大,因此仅仅记录记录号+数量作为地址,而真实的内容则记录在安全领域之外,诸如服务器端。
图2-1-5非机密数据的记录方法,其中P11为非敏感信息记录如coupon(例如团购之商品券),以Coupon为例,CouponID由发行公司之公司ID(CorpID),商品/服务ID(ServiceID)和发行日期构成,记录的第二个字段为数量,使用完、过期、失效等商品/服务其数量为0。
图2-1-6为机密数据的记录方法,其中记录以key:value形式构成P21为key,P22为value,所有内容经过AES回路自动加密/解密,AES的共通钥匙由安装程序时任意生成,并保存于SE中。
后述应用程序,根据ID找到相应的ID的详细信息。
图3为系统阶层构成图,如图所示,本发明之系统由以下阶层和单元构成:
1.智能卡例如UICC/SIM芯片(13)、SE芯片(11),NFC芯片所构成的物理层;
2.智能卡OS(15)的OS层;
3.提供NFC数据格式(161),和NFC卡的安全读写接口(162)的数据层(16);
4.电子货币管理程序(17)本程序在本发明中命名为E-Wallet程序,简称W程序
5.SP提供的电子货币程序(18):本程序在本发明中命名为E-Money程序,简称M程序;本程序为SP提供的电子货币程序,其中也包括电子货币的衍生物,例如电子商品券、点数、CRM数据等程序
其中应用层以下的各阶层的单元和本发明有关,但不属于本发明权利范围,除必要说明以外,详细内容不在本发明说明书中记述。
图3-1为应用层程序的构成图,应用层程序由2层或者2层以上程序构成。
1.第一层为电子货币管理(e-Wallet)程序,以下称W程序,由本发明服务提供商提供,W程序提供M程序读写EA领域的接口,管理EA领域,管理和POS端的NFC通信;
2.第二层为电子货币(e-Money)程序,以下称M程序,由各电子货币运营商提供,这些程序可以是基于Andriod、iOS、blackBary等智能手机上的普通应用程序,由于不需要考虑智能卡处理方式,NFC通信方式,所以开发者只需要专注自己业务逻辑,而无需了解底层结构,在M程序以上,SP还可以自行扩展,M程序本省以及其扩展不属于本发明范畴。
上述W程序中对EA领域读写的程序按照GP标准直接部署在SE芯片,其他单元部署可选择地部署于rich OS管理领域中,W程序中各单元的通信手段采用SWP,作为等价置换今后可以采用基于JavaCaxd3.0所支持的通信协议。
图4为支付处理流程图,本发明在于POS端处理支付流程如图所示:
P1 POS端(5)通过NFC通信协议,向载有NFC芯片的端末(1)发送要求,其中连接方式为P2P、Read/Write、Card模拟中的任何一种,通信的启动者initiator由POS端(5)和NFC端末(1)的任何一种承担;
P2 W程序的POS连接管理单元(174),收到POS端(5)的请求,建立起NFC通信channel;W程序(174)根据请求内容,启动相关M程序(18),并发送处理请求;
P3 M程序(18)处理请求,如需要查询EA领域(M2)数据,则对W程序的EA领域(M2)读写管理单元发送请求;
P4 W程序(172)对M程序(18)实行真伪认证和权限认证,认证通过后对EA领域(M2)进行读写;
P5 EA处理加密/解密,并返回W程序(172);
P6 W程序(172)将处理结果返回M程序(18);
P7 M程序(18)将处理结果返回W程序的POS连接管理单元(174);
P8 W程序(174)通过NFC通信协议,将结果返回给POS;
具体处理细节,在以后章节叙述。
为保证SE领域的敏感信息被非法篡改,被非法读取,W程序和M程序,需要进行认证处理,
为避免恶意程序截取W和M程序之间直接因传输参数而残留在内存堆栈的信息,认证口令必须进行加密。
图4-1为M程序/W程序构成图,通过以下构成,实现上述目标。
1.M程序(18),M程序用以管理电子货币,处理业务逻辑、提供顾客之间的界面等功能,这些功能由SP实现;而以下部分为M程序和W程序之间的标准。
1.1程序ID(181),该ID是W程序,赋予M程序;
1.2秘密钥匙(182),M程序所用钥匙,对包括W程序在内的所有第三方保密。
1.3安装时定义的认证口令(183),该口令仅为本装置的M程序和W程序所知,不对包括服务提供商在内的第三方公开;
1.4动态认证口令生成器(184),采用W程序和M程序共同知道的动态信息,作为输入参数,使用相同的变化函数,动态生成动态口令,以保证M程序和W程序不需要通信,能够独立计算出相同值的动态结果。
例如采用传送日期作为输入参数,serialNum作为动态函数,这样动态认证口令生成器可以表述如下:
DPass=SerialNum(currentData());
1.5哈希函数(185),采用MD5,SHA系列等哈希函数
2.W程序(17),其他功能模块在图5,以及图5相关的说明文中说明;而以下部分为M程序和W程序之间的标准。
2.1程序ID对应的公开钥匙(172),该钥匙是上述12所述的秘密钥匙(181)的pair;
2.2动态认证口令生成器(184)
2.3哈希函数(185)
3.EA加密领域
3.1程序ID对应的,安装时定义的认证口令2(11A1)
3.安装时所定义的认证码(183),
图4-2为M程序对W程序的认证处理流程图,通过以下步骤,实现上述目标:
AU1.M程序向W程序传送经过哈希变化后的认证信息
AU2.W程序从EA中取得静态口令(11A1),该口令经AES加密
AU21.W程序得到解密后的静态口令(11A1)
AU3.根据M程序同样的方法,计算并得到哈希变化后的认证信息’
AU4.返回认证结果
图4-2-1为M程序生成认证信息流程图,本图详细叙述上述AU1的步骤:
AU11.动态认证口令生成器,生成动态口令;
AU12.动态口令+静态口令
AU13.使用哈希函数,得到哈希值
AU14.使用秘密钥匙(182)对上述哈希值加密
1.使用动态口令是防止每次生成同样的认证信息,从而被恶意程序截取;
2.使用哈希函数的目的是防止秘密钥匙泄漏,
3.使用秘密钥匙加密的目的是,通过pair的公开钥匙解密,而对加密者的认证,同时保证传送的参数,不被恶意程序截取。通过以上三层安全措施,保证处理的安全性。
图4-2-2为W程序生成认证信息流程图,本图详细叙述上述AU3的步骤:
AU31.动态认证口令生成器,生成动态口令,由于采用相同的动态口令生成器,所以得到步骤AU11相同的结果
AU32.动态口令+静态口令,其中静态口令是从SE领域中取得
AU33.使用哈希函数,得到哈希值’;如果不是恶意程序的试探,本哈希值’等于步骤13取得的哈希值
AU34.使用公开钥匙(182)对步骤AU14所述哈希值解密,比较哈希值是否相同
由于非对称加密的(公开钥匙和秘密钥匙),满足以下条件
(1)D是E的逆,即D[E(X)]=X;
(2)E和D都容易计算。
(3)由E出发去求解D十分困难。
因此当哈希值=哈希值’的时候,就保证M程序不可能是其他恶意程序。
采用上述步骤,即使恶意程序猜测到了安装时定义的认证口令183,由于没有秘密钥匙182,也无法生成正确的认证码184;同样,即使恶意程序截取到了认证信息,由于认证信息每次都是不同字符,所以也无法假冒M程序。
图5为W程序功能单元构成图,本应用程序至少包含以下功能单元
1.安装管理(171)
2.电子货币程序(M程序)的读写管理(172)
3.卸载管理(173)
图5-1为安装电子货币程序(M程序)流程图,如图所示,步骤如下
IN1.本应用程序检查SE领域,检查是否具有能够分配SP区间(partition)(M2)
IN2.可优选地,初始化该区间(M2)
IN3.从服务器下载SP的应用程序,并保存在内存中
IN4.计算下载后的应用程序的哈希值,可以使用MD5,SHA-1等哈希函数,并和服务器端的哈希值相比较
IN5.一致的情况下,进行安装,否则则破弃该电子货币程序(M程序)
IN6.分配认证钥匙给该电子货币程序(M程序),并将认证钥匙保存于SE的初始化领域(M2)
IN7.安装程序
IN8.设定个人信息(personalize)处理,例如在SE领域中写入个人、ID、信用卡号等信息,并对该内容设置权限
IN9.根据服务商要求进行激活处理
IN10.删除内存中中间文件
图5-2对EA领域读取要求处理流程图,如图所示,步骤如下
Re1 M程序对M程序发出读取请求,请求方式为Read(key)
Re2 进行读取权限的认证处理;
Re3 使用安装时生成的共通钥匙,读取SE领域key对应的value
Re4 返回Value值
Re5 经过一定时间,
Re6 如果没有相同读取要求情况下,消除RA4发行的Token令牌
图5-2-1为读取权限的认证处理流程图,如图所示,步骤如下
RA1 判断是否取得了令牌Token,若已经取得执行RA5
RA2 对电子货币程序(M程序)进行认证处理,步骤如图4-1所示
RA3 判断认证结果,若否,执行RA6
RA4 若认证通过,发行可读令牌Token
RA5 返回认证可
RA6 返回认证不可
M程序(18)和POS(5)直接通过NFC方式交信,POS(5)提出读取要求,M程序收到读取请求后执行,图5-2的EA领域读取要求处理,当M程序(18)收到结果后,返回POS(5)。
M程序(18)和POS(5)在通信之前具有同样的认证处理,该认证处理由SP提供商和商家(Retailer)之间协议实装。其处理方法可以参考上述M程序和W程序的处理,其中不同的是POS的公开钥匙保存在SP和商家之间同时信任的服务器上。W服务提供商可以公开这部分的程序,但其具体处理和权利不属于本发明范畴。
对EA领域的写入处理的认证,和上述读取要求处理基本相同。其中比较重要的处理是POS(5)和M程序之间的相互认证,在OTA支付处理技术中,M程序的认证要比,POS的认证重要,该认证处理原理和上述M程序和W程序的处理相同,也可以由M程序提供商协议,采用共同钥匙认证,但其具体处理和权利不属于本发明范畴。
图5-3为对EA领域写入要求处理流程图。
W0 M程序对M程序发出写入请求,请求方式为Write(key,value,reqID)
W1 进行读取权限的认证处理;如图5-2-1读取权限的认证处理流程图所示
W2 进行写入权限的认证处理;
W3 使用安装时生成的共通钥匙,读取SE领域key对应的value
W4 返回Value值
W5 经过一定时间,
W6 如果没有相同读取要求情况下,消除RA4发行的Token令牌
W5-W6,保证在连续读写的时,处理速度能够更快。
图5-3-1为写入权限的认证处理流程图
Wa1 判断是否取得了令牌Token,若已经取得执行Wa5;
Wa2 对电子货币程序(M程序)进行写入权限检查处理,由于读取权限认证已经完成了对M程序的真伪认证处理,所以在本步骤中仅查询权限管理表,根据ReqID来查询是否具有写入权限;
Wa3 判断认证结果,若否,执行Wa6;
Wa4 若认证通过,发行可写令牌Token;
Wa5 返回认证可;
Wa6 返回认证不可;
在支付处理中,POS(5)在接受M程序(18)要求之前,必须另外对M程序(18)对进行认证处理,该认证处理的实现方案由,SP提供商和商家(Retailer)之间协议实装。其处理方法可以采用共同钥匙,也可以采用公开钥匙,为保证安全性建议使用公开钥匙方式认证。W服务提供商可以提供并公开这部分的程序,但其具体处理和权利不属于本发明范畴。
在服务运营中,就像一般钱包一样,顾客不免会遇到遗失或者遭到盗窃情况,而目前的电子货币卡,很难通过提供停止服务而避免顾客的损失;即使有报失的处理,也需要分开向各运营商提出报失请求。
本发明利用EA领域中的初始化领域,对所管理的所有电子货币进行加锁,或者直接删除所有信息,当顾客向本发明的服务提供商报失,电子服务提供商可以通过以下方法,停止管辖中所有M程序,从而避免顾客受到损失。该功能不在本发明的权利申请范围。
具体实施例
实施例1-安装
1.用户下载安装W程序
2.W程序的安装程序,分别安装基于SE部分TEE(Trusted Execute Environment)程序,和基于richOSAEE(ApplicationExecute Evironment)程序
3.用户通过W程序,选择自己希望安装的M程序
4.在安装最后过程中设定密码,并和服务器通信,获得钥匙
实施例2-使用电子货币
系统内部处理按照图4所述的支付处理流程图处理
用户的操作处理如下
1.用户选择,或者POS端选择电子货币的种类
2.用户将所携带装置接近POS端,10cm以内,有POS端启动NFC或者RDIF通信
3.POS端和W程序建立起NFC连接,并完成相互认证
4.POS端对W程序提示消费金额
5.W程序通知M程序消费金额
6.M程序显示金额表示画面,根据需要请求用户承认
7.M程序获得用户的同意以后,根据本说明书的认证,读写方法,通知M程序
8.M程序和POS通信,POS发出减去金额命令,M程序分析命令,并检查上述M程序给出的参数,在POS金额和M程序要求金额一致的情况下,执行APDU命令,减去EA领域中相应金额
9.M程序记录消费金额,并保存于非安全领域(消费履历在用户装置中不属于机密信息,该步骤属于M程序范畴)上述实施例,可以根据商业需要进行微调整。
通过以上实施方法,本发明在遵守标准劝告的前提下,实现了阶层式的电子货币管理方法,并保证了电子货币在运用中的安全性和可靠性,该管理方法提供的管理程序使电子货币运营商的应用程序的开发变得更加容易且安全。
以上使用了具体个例对本发明的具体实施例进行了描述,该实施例的说明只是用于帮助理解本发明的方法及核心思想;同时对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有变改之处,比如
1.将芯片中的逻辑电路单纯的集成或者分离,这样的改变仅是封装的不同;
2.实施步骤顺序的微调整,如将没有先后顺序的处理调换;
3.取消认证或者必要的安全处理,单纯地提供劣质服务
因此,本说明书内容不应理解为对本发明的限制,凡在本发明的精神和原则之内所作的任何修改、同等替换、删减附加步骤的改进,均包含在本发明的包含范围内。
Claims (7)
1.一种集成多张电子货币卡于一体的系统,其特征在于至少包括一台载有NFC芯片的装置。
2.如权利要求1所述系统其特征在于,所述载有NFC芯片的装置,其特征在于,包含以下单元
(1)RFID或者NFC芯片
(2)安全要素(Secure Element)
(3)应用程序处理器。
3.如权利要求2所述安全要素,其特征在于
(1)包含ROM、RAM、EEPROM等记忆体
(2)包含加密领域Encrypted Area
(3)其数量最少为1。
4.如权利要求3所述加密领域Encrypted Area,其特征在于
(1)所有数据经过安全要素的加密/解密处理后读写
(2)其中的记忆领域被分区或者分成数个目录,用于不同的电子货币程序保存数据,其数量和需要的管理的电子货币程序(M程序)的数量相等
(3)不同的M程序无法访问不属于自己的EA领域的数据
(4)没有任何手段跳过W程序的管理,而直接访问EA领域的数据。
5.一种实现多种电子货币于一台装置的方法,其特征在于包括一电子货币管理程序(W程序)和数个电子货币程序(M程序)。
6.如权利要求5所述电子货币管理程序(W程序),其特征在于包含以下单元:
(1)安装管理单元,用于管理安装M程序(可优选项)
(2)M程序读写管理单元 用于管理控制M程序的读写请求
(3)POS连接管理 用于管理和POS之间的NFC通信(可优选项)
(4)激活/LOCK/卸载单元 用于在用户请求下,中止电子货币服务(可优选项)。
7.如权利要求6所述M程序读写管理单元,其特征在于对M程序进行真伪认证和权限检查。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201210119698XA CN102722813A (zh) | 2012-04-21 | 2012-04-21 | 一种阶层式多种电子货币的装置和管理方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201210119698XA CN102722813A (zh) | 2012-04-21 | 2012-04-21 | 一种阶层式多种电子货币的装置和管理方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN102722813A true CN102722813A (zh) | 2012-10-10 |
Family
ID=46948561
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201210119698XA Pending CN102722813A (zh) | 2012-04-21 | 2012-04-21 | 一种阶层式多种电子货币的装置和管理方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN102722813A (zh) |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102999839A (zh) * | 2012-10-27 | 2013-03-27 | 郁晓东 | 一种基于云平台、虚拟se的电子货币安全支付系统和方法 |
CN103236011A (zh) * | 2013-02-20 | 2013-08-07 | 郁晓东 | 一种电子货币交易监视的方法 |
CN105185002A (zh) * | 2015-09-09 | 2015-12-23 | 建亿通(北京)数据处理信息有限公司 | 移动终端、业务平台及卡片业务系统 |
CN105516104A (zh) * | 2015-12-01 | 2016-04-20 | 神州融安科技(北京)有限公司 | 一种基于tee的动态口令的身份验证方法及系统 |
CN105827666A (zh) * | 2013-05-09 | 2016-08-03 | 英特尔公司 | 无线电通信装置和用于控制无线电通信装置的方法 |
CN108921561A (zh) * | 2018-08-27 | 2018-11-30 | 河南芯盾网安科技发展有限公司 | 一种基于硬件加密的数字热钱包 |
CN113672984A (zh) * | 2021-08-25 | 2021-11-19 | 武汉天喻信息产业股份有限公司 | 基于文件结构设计的链接方法及可读存储介质 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2004068819A1 (en) * | 2003-01-31 | 2004-08-12 | Axalto Sa | Communication between a smart card and a server |
WO2006056802A1 (en) * | 2004-11-29 | 2006-06-01 | Monitise Limited | Electronic system for provision of banking services |
CN101809579A (zh) * | 2007-09-27 | 2010-08-18 | Nxp股份有限公司 | 用于管理受信应用的访问权的方法、系统、受信服务管理器、服务提供商以及存储器元件 |
CN101819702A (zh) * | 2009-02-27 | 2010-09-01 | 中华电信股份有限公司 | 一种以行动电话做为行动式卡片阅读机的交易系统及方法 |
CN102064856A (zh) * | 2010-10-27 | 2011-05-18 | 上海复旦微电子股份有限公司 | 数据传输方法及装置 |
CN102325210A (zh) * | 2011-05-19 | 2012-01-18 | 武汉天喻信息产业股份有限公司 | 兼容多个运营商的通用移动支付终端及其实现方法 |
-
2012
- 2012-04-21 CN CN201210119698XA patent/CN102722813A/zh active Pending
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2004068819A1 (en) * | 2003-01-31 | 2004-08-12 | Axalto Sa | Communication between a smart card and a server |
WO2006056802A1 (en) * | 2004-11-29 | 2006-06-01 | Monitise Limited | Electronic system for provision of banking services |
CN101809579A (zh) * | 2007-09-27 | 2010-08-18 | Nxp股份有限公司 | 用于管理受信应用的访问权的方法、系统、受信服务管理器、服务提供商以及存储器元件 |
CN101819702A (zh) * | 2009-02-27 | 2010-09-01 | 中华电信股份有限公司 | 一种以行动电话做为行动式卡片阅读机的交易系统及方法 |
CN102064856A (zh) * | 2010-10-27 | 2011-05-18 | 上海复旦微电子股份有限公司 | 数据传输方法及装置 |
CN102325210A (zh) * | 2011-05-19 | 2012-01-18 | 武汉天喻信息产业股份有限公司 | 兼容多个运营商的通用移动支付终端及其实现方法 |
Cited By (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102999839A (zh) * | 2012-10-27 | 2013-03-27 | 郁晓东 | 一种基于云平台、虚拟se的电子货币安全支付系统和方法 |
CN103236011A (zh) * | 2013-02-20 | 2013-08-07 | 郁晓东 | 一种电子货币交易监视的方法 |
CN105827666A (zh) * | 2013-05-09 | 2016-08-03 | 英特尔公司 | 无线电通信装置和用于控制无线电通信装置的方法 |
US10075215B2 (en) | 2013-05-09 | 2018-09-11 | Intel Corporation | Radio communication devices and methods for controlling a radio communication device |
CN105827666B (zh) * | 2013-05-09 | 2020-03-20 | 英特尔公司 | 无线电通信装置和用于控制无线电通信装置的方法 |
CN105185002A (zh) * | 2015-09-09 | 2015-12-23 | 建亿通(北京)数据处理信息有限公司 | 移动终端、业务平台及卡片业务系统 |
CN105185002B (zh) * | 2015-09-09 | 2018-06-12 | 建亿通(北京)数据处理信息有限公司 | 移动终端、业务平台及卡片业务系统 |
CN105516104A (zh) * | 2015-12-01 | 2016-04-20 | 神州融安科技(北京)有限公司 | 一种基于tee的动态口令的身份验证方法及系统 |
CN108921561A (zh) * | 2018-08-27 | 2018-11-30 | 河南芯盾网安科技发展有限公司 | 一种基于硬件加密的数字热钱包 |
CN108921561B (zh) * | 2018-08-27 | 2023-11-21 | 河南芯盾网安科技发展有限公司 | 一种基于硬件加密的数字热钱包 |
CN113672984A (zh) * | 2021-08-25 | 2021-11-19 | 武汉天喻信息产业股份有限公司 | 基于文件结构设计的链接方法及可读存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
RU2602788C2 (ru) | Мультиэмитентная архитектура раздела элемента безопасности для устройств с поддержкой nfc | |
JP5005811B2 (ja) | アプリケーションを携帯電話にセキュアに伝送するための方法、システム及びトラステッド・サービス・マネージャ | |
US20220012718A1 (en) | Provisioning to a digital payment device (dpd) | |
CN102656599B (zh) | 移动支付应用程序体系结构 | |
EP2641162B1 (en) | System and method for providing secure data communication permissions to trusted applications on a portable communication device | |
EP1943849B1 (en) | Method and apparatus for initializing a secure element in a wireless terminal | |
CN102722813A (zh) | 一种阶层式多种电子货币的装置和管理方法 | |
CN107278307A (zh) | 软件层的相互认证 | |
US20160292667A9 (en) | Nfc transaction processing systems and methods | |
EP3017580B1 (en) | Signatures for near field communications | |
AU2013248935A1 (en) | NFC card lock | |
CN104969245A (zh) | 用于安全元件交易和资产管理的装置和方法 | |
EP2048594A1 (en) | Method for communication, communication device and secure processor | |
US20150248668A1 (en) | Secure mobile device transactions | |
KR101389468B1 (ko) | 신용카드를 이용한 휴대정보 단말기에서의 모바일 카드 발급방법 및 이를 위한 신용카드 | |
CN202444629U (zh) | 利用移动终端进行卡操作的系统 | |
CN102630083A (zh) | 利用移动终端进行卡操作的系统及方法 | |
EP2048591A1 (en) | Method for communication, communication device and secure processor | |
CN101330675A (zh) | 一种移动支付终端设备 | |
CN110100410A (zh) | 密码系统管理 | |
CN103544114A (zh) | 基于单cpu卡的多m1卡控制系统及其控制方法 | |
CN103236011A (zh) | 一种电子货币交易监视的方法 | |
CN102999839A (zh) | 一种基于云平台、虚拟se的电子货币安全支付系统和方法 | |
CN103186805A (zh) | 智能卡及基于智能卡的签名认证方法 | |
JP2015525383A (ja) | 取引を行うためのシステム及び方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20121010 |