CN103107881B - 智能卡的访问方法、装置及系统 - Google Patents
智能卡的访问方法、装置及系统 Download PDFInfo
- Publication number
- CN103107881B CN103107881B CN201110357698.9A CN201110357698A CN103107881B CN 103107881 B CN103107881 B CN 103107881B CN 201110357698 A CN201110357698 A CN 201110357698A CN 103107881 B CN103107881 B CN 103107881B
- Authority
- CN
- China
- Prior art keywords
- instruction
- safety
- module
- domain
- mobile solution
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3234—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/02—Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
- Storage Device Security (AREA)
- Telephonic Communication Services (AREA)
Abstract
本发明公开了一种智能卡的访问方法、装置及系统,在上述方法中,在中间安全应用模块接收到来自于移动应用模块的安全性操作指令之后,通过该中间安全应用模块与智能卡联合实现与安全性操作指令对应的安全性操作信息,移动应用模块执行与安全性操作信息对应的操作。根据本发明提供的技术方案,从而加强了用户身份的可靠性验证和用户个人信息的安全保护以确保交易安全。
Description
技术领域
本发明涉及通信领域,具体而言,涉及一种智能卡的访问方法、装置及系统。
背景技术
随着网络的升级,移动终端应用和移动业务不断增多,使得移动用户的生活得到了极大的便利。这些移动业务的普及使得对用户的安全认证和对信息的安全保护越来越重要,用户也越来越关心安全问题。移动支付和企业信息化系统等尤其需要用户身份的可靠验证和信息的安全保护以确保交易和信息的安全。
公钥基础设施(Public Key Infrastructure,简称为PKI)是目前一种成熟的业务认证技术。PKI是指用公钥概念和技术来实现并提供网络信息安全服务的具有通用性的安全基础设施。PKI的核心是数字证书认证中心(Certificate Authority,简称为CA),保证私钥的安全是PKI体系的基础。现在有很多人都把私钥和数字证书存储在终端(包括固定终端和移动终端)当中,但这种方式很不安全。黑客可能非法盗取合法用户的私钥,伪装成为合法用户的身份在网络上进行诈骗和非法交易;终端病毒也可能删除硬盘上的数据,造成无法使用PKI系统;而且,这种方式是将用户与某台特定的终端绑定了,用户无法方便地在其它终端上使用自己的私钥。
智能卡是抗破坏性高的安全设备,并且便于携带,并可基于密码学达到很高的安全水平,因此将私钥和数字证书存储在智能卡上,并且利用智能卡完成鉴权认证是比较安全、可靠和方便的,同时也可以在智能卡上实现生成密钥对、完成数字签名等功能。但是由于终端没有开放应用直接访问智能卡的接口,因此导致了智能卡上的数据或功能不能被终端应用调用。
安全委托系统提供了一种终端访问智能卡的方式。安全委托系统的主要特点是,卡发行商发布一个可以接入并访问智能卡中间安全应用,提供移动应用访问智能卡的接口。移动应用可以指示中间安全应用访问智能卡,同时可以将自己的安全相关操作全部委托给中间安全应用和智能卡进行,包括密钥对的生成、加解密、完整性保护和验证等,但是中间安全应用读取的智能卡上的数据不能够被终端上其他移动应用访问。
发明内容
针对相关技术中移动终端缺少直接访问智能卡的接口,导致智能卡上的信息不能被移动终端所调用的问题,本发明提供了一种智能卡的访问方法、装置及系统,以至少解决上述问题。
根据本发明的一个方面,提供了一种智能卡的访问方法。
根据本发明的智能卡的访问方法应用于安全性操作执行系统,该安全性操作执行系统包括:移动终端和智能卡;移动终端包括:移动应用模块以及与智能卡对应的中间安全应用模块;该方法包括:移动应用模块向中间安全应用模块发送安全性操作指令;移动应用模块接收来自于中间安全应用模块的安全性操作信息,其中,该安全性操作信息为由中间安全应用模块和智能卡联合实现的与安全性操作指令对应的信息;移动应用模块执行与安全性操作信息对应的操作。
在上述方法中,上述安全性操作指令包括以下至少之一:生成密钥对指令、创建安全存储域指令、读取安全存储域指令、删除中间安全应用模块创建的临时安全存储域指令。
在上述方法中,在移动应用模块向中间安全应用模块发送安全性操作指令之前,还包括:中间安全应用模块接收来自于移动应用模块的接入请求指令;中间安全应用模块发送接入认证请求;中间安全应用模块接收来自于智能卡的发行商系统的接入认证响应;中间安全应用模块向移动应用模块发送接入指令的应答。
在上述方法中,在安全性操作指令为生成密钥对指令时,中间安全应用模块和智能卡联合实现的与安全性操作指令对应的信息包括:中间安全应用模块接收来自于移动应用模块的生成密钥对指令;中间安全应用模块将生成密钥对指令进行封装并转发;中间安全应用模块接收来自于智能卡的生成密钥对指令响应,其中,生成密钥对指令响应中携带有该生成密钥对指令对应的公钥;中间安全应用模块将生成密钥对指令响应转发至移动应用模块。
在上述方法中,上述移动应用模块执行与安全性操作信息对应的操作包括:移动应用模块向应用提供商应用服务器发送注册请求,其中,注册请求中携带有公钥以及移动用户的注册信息;移动应用模块接收来自于应用提供商应用服务器的注册请求响应,其中,注册请求响应中携带有数字证书的下载地址及移动用户的注册信息。
在上述方法中,在移动应用模块向应用提供商应用服务器发送注册请求之后,移动应用模块接收来自于应用提供商应用服务器的注册请求响应之前,还包括:应用提供商应用服务器发起生成数字证书请求,其中,生成数字证书请求携带有公钥及移动用户的注册信息;应用提供商应用服务器接收来自于证书机构设备的生成数字证书响应,其中,生成数字证书响应中携带有数字证书的下载地址及移动用户的注册信息。
在上述方法中,在应用提供商应用服务器向移动应用模块发送注册请求响应之后,还包括:中间安全应用模块接收来自于移动应用模块的注册成功消息,其中,注册成功消息中携带有数字证书请求对应的数字证书的下载地址及移动用户的注册信息;中间安全应用模块根据数字证书请求对应的数字证书的下载地址及移动用户的注册信息从证书机构下载数字证书;中间安全应用模块向智能卡发送创建安全存储域请求,其中,安全存储域保存有生成密钥对指令对应的私钥以及数字证书;中间安全应用模块接收来自于智能卡的创建安全存储域请求响应;中间安全应用模块将创建安全存储域请求响应转发至移动应用模块。
在上述方法中,在安全性操作指令为读取安全存储域指令时,中间安全应用模块和智能卡联合实现的与安全性操作指令对应的信息包括:中间安全应用模块接收来自于移动应用模块的读取安全存储域指令;中间安全应用模块将读取安全存储域指令转发至智能卡;中间安全应用模块接收来自于智能卡的读取安全存储域指令响应并根据该读取安全存储域指令响应判断在智能卡中是否存在读取安全存储域指令对应的安全存储域;在智能卡中存在读取安全存储域指令对应的安全存储域时,中间安全应用模块在移动终端内创建临时安全存储域并向移动应用模块发送读取安全存储域指令响应。
在上述方法中,在智能卡中不存在读取安全存储域指令对应的安全存储域时,还包括:中间安全应用模块接收来自于移动应用模块的创建安全存储域指令,其中,创建安全存储域指令中携带有数字证书的下载地址及移动用户的注册信息;中间安全应用模块根据数字证书的下载地址及移动用户的注册信息从证书机构设备下载数字证书;中间安全应用模块向智能卡发送创建安全存储域请求,其中,安全存储域保存有生成密钥对指令对应的私钥以及数字证书;中间安全应用模块接收来自于智能卡的创建安全存储域请求响应;中间安全应用模块在移动终端内创建临时安全存储域并向移动应用模块发送创建安全存储域指令响应。
在上述方法中,在移动应用模块接收来自于中间安全应用模块的创建安全存储域指令响应或者中间安全应用模块向移动应用模块发送读取安全存储域指令响应之后,还包括:移动应用模块发起登录认证请求;移动应用模块接收来自于应用提供商应用服务器的登录认证响应。
在上述方法中,在安全性操作指令为删除临时安全存储域指令时,在移动应用模块执行与安全性操作信息对应的操作之后,还包括:中间安全应用模块接收来自于移动应用模块的删除临时安全存储域指令;中间安全应用模块向移动应用模块发送删除临时安全存储域指令应答。
根据本发明的另一方面,提供了一种智能卡的访问装置。
根据本发明的智能卡的访问装置包括:移动应用模块和中间安全应用模块;移动应用模块包括:第一发送单元,用于向中间安全应用模块发送安全性操作指令;第一接收单元,用于接收来自于中间安全应用模块的安全性操作信息;第一执行单元,用于执行与安全性操作信息对应的安全性操作;中间安全应用模块包括:第二接收单元,用于接收来自于移动应用模块的安全性操作指令;第二执行单元,用于和智能卡联合实现的与安全性操作指令对应的安全性操作信息;第二发送单元,用于向移动应用模块发送安全性操作信息。
在上述装置中,上述安全性操作指令包括以下至少之一:生成密钥对指令、创建安全存储域指令、读取安全存储域指令、删除中间安全应用模块创建的临时安全存储域指令。
在上述装置中,上述中间安全应用模块,还包括:第三接收单元,用于接收来自于移动应用模块的接入请求指令;第三发送单元,用于发送接入认证请求;第四接收单元,用于接收来自于智能卡的发行商系统的接入认证响应;第四发送单元,用于向移动应用模块发送接入指令的应答。
在上述装置中,第二接收单元,用于接收来自于移动应用模块的生成密钥对指令;第二执行单元包括:第一转发子单元,用于将生成密钥对指令进行封装并转发;第一接收子单元,用于接收来自于智能卡的生成密钥对指令响应,其中,生成密钥对指令响应中携带有该生成密钥对指令对应的公钥;第二发送单元,用于将生成密钥对指令响应转发至移动应用模块。
在上述装置中,第二接收单元,用于接收来自于移动应用模块的读取安全存储域指令;第二执行单元包括:第二转发子单元,用于将读取安全存储域指令转发至智能卡;判断子单元,用于接收来自于智能卡的读取安全存储域指令响应并根据该读取安全存储域指令响应判断在智能卡中是否存在读取安全存储域指令对应的安全存储域;第一创建子单元,用于在判断单元输出为是时,在移动终端内创建临时安全存储域;第二发送单元,用于向移动应用模块发送读取安全存储域指令响应。
在上述装置中,第二执行单元,还包括:第二接收子单元,用于在判断单元输出为否时,接收来自于移动应用模块的创建安全存储域指令,其中,创建安全存储域指令中携带有数字证书的下载地址及移动用户的注册信息;下载子单元,用于根据数字证书的下载地址及移动用户的注册信息从证书机构设备下载数字证书;请求子单元,用于向智能卡发送创建安全存储域请求,其中,安全存储域保存有生成密钥对指令对应的私钥以及数字证书;第三接收子单元,用于接收来自于智能卡的创建安全存储域请求响应;第二创建子单元,用于在移动终端内创建临时安全存储域;第二发送单元,用于向移动应用模块发送创建安全存储域指令响应。
在上述装置中,上述中间安全应用模块,包括:第二接收单元,用于接收来自于移动应用模块的删除临时安全存储域指令;第二发送单元,用于向移动应用模块发送删除临时安全存储域指令应答。
根据本发明的又一方面,提供了一种智能卡的访问系统。
根据本发明的智能卡的访问系统包括:上述智能卡的访问装置和智能卡;智能卡,用于与所述中间安全应用模块联合实现与所述安全性操作指令对应的所述安全性操作信息。
在上述系统还包括:应用提供商应用服务器;该应用提供商服务器,用于接收来自于移动应用模块的安全性操作对应的请求消息,并执行与请求消息对应的处理。
通过本发明,在移动终端上增加了中间安全应用模块,移动应用模块通过中间安全应用模块间接访问智能卡中保存的信息,解决了相关技术中因移动终端缺少直接访问智能卡的接口而导致智能卡上的信息不能被移动终端所调用的问题,进而加强了用户身份的可靠验证和用户个人信息的安全保护以确保交易安全的效果。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是根据本发明实施例的智能卡的访问方法流程图;
图2是根据本发明实例的移动应用模块启动过程的流程图;
图3是根据本发明实例的移动用户模块注册到应用提供商应用服务器过程的流程图;
图4是根据本发明实例的移动应用模块登录过程的流程图;
图5是根据本发明实例的移动应用模块关闭过程的流程图;
图6是根据本发明实施例的智能卡的访问装置的结构框图;
图7是根据本发明优选实施例一的智能卡的访问装置的结构框图;
图8是根据本发明优选实施例二的智能卡的访问装置的结构框图;
图9是根据本发明优选实施例三的智能卡的访问装置的结构框图;
图10是根据本发明实施例的智能卡的访问系统的结构框图;
图11是根据本发明优选实施例的智能卡的访问系统的结构框图。
具体实施方式
下文中将参考附图并结合实施例来详细说明本发明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
图1是根据本发明实施例的智能卡的访问方法流程图。如图1所示,该方法主要包括以下处理:
步骤S102:移动应用模块向中间安全应用模块发送安全性操作指令;
步骤S104:移动应用模块接收来自于中间安全应用模块的安全性操作信息,其中,该安全性操作信息为由中间安全应用模块和智能卡联合实现的与安全性操作指令对应的信息;
步骤S106:移动应用模块执行与安全性操作信息对应的操作。
在相关技术中,移动终端缺少直接访问智能卡的接口,导致智能卡上的信息不能被移动终端所调用。采用了图1所示的方法,在中间安全应用模块接收到来自于移动应用模块的安全性操作指令之后,通过该中间安全应用模块与智能卡联合实现与安全性操作指令对应的安全性操作信息,移动应用模块执行与安全性操作信息对应的操作。从而解决了相关技术中因移动终端缺少直接访问智能卡的接口而导致智能卡上的信息不能被移动终端所调用的问题,从而加强了用户身份的可靠性验证和用户个人信息的安全保护以确保交易安全。
在优选实施过程中,上述安全性操作指令可以包括但不限于以下至少之一:生成密钥对指令、创建安全存储域指令、读取安全存储域指令、删除中间安全应用模块创建的临时安全存储域指令。
优选地,在执行步骤S102之前,还可以包括以下处理:
(1)中间安全应用模块接收来自于移动应用模块的接入请求指令;
(2)中间安全应用模块发送接入认证请求;
(3)中间安全应用模块接收来自于智能卡的发行商系统的接入认证响应;
(4)中间安全应用模块向移动应用模块发送接入指令的应答。
下面结合图2对上述移动应用模块的启动过程做进一步的描述。
图2是根据本发明实例的移动应用模块启动过程的流程图。如图2所示,如果移动应用模块使用安全委托系统,将自己的安全操作交予中间安全应用模块和智能卡负责,则移动应用模块启动后应该存在一个移动应用模块接入到中间安全应用模块的过程,即中间安全应用模块对移动应用模块的认证过程。移动应用模块的应用提供商应该和卡发行商之间有安全委托协议。卡发行商为应用提供商分配一个授权令牌,应用提供商将此令牌提供给移动应用。移动应用在安装时将会同时安装该令牌。该方法主要包括以下处理步骤:
步骤S202:移动应用模块启动后,向中间安全应用模块发送一个接入请求,请求接入到中间安全应用模块,并将自己的安全相关操作委托给中间安全应用模块和智能卡处理。接入请求应该包括卡发行商提供给移动应用模块所属的应用提供商的令牌。令牌是移动应用模块安装时同时安装在移动终端内;
步骤S204:中间安全应用模块在接收到来自于移动应用模块的接入请求后,向卡发行商发送一个接入请求认证请求。接入请求认证请求中携带来自于移动应用模块的令牌;
步骤S206:卡发行商在接收到来自于中间安全应用模块的接入请求认证请求后,将验证此请求中所携带的令牌是否是卡发行商所授权的令牌。如果是,则回应中间安全应用模块一个接入请求认证响应,允许移动应用模块接入到中间安全应用模块;如果不是,则回应中间安全应用模块一个接入请求认证响应,拒绝移动应用模块接入到中间安全应用模块;
步骤S208:中间安全应用模块在接收到来自于卡发行商的接入请求认证响应后,依据卡发行商的指示,给移动应用模块回应一个接入请求应答,指示允许或拒绝移动应用模块接入到中间安全应用模块。
优选地,当上述安全性操作指令为生成密钥对指令时,上述步骤S104可以包括以下处理:
(1)中间安全应用模块接收来自于移动应用模块的生成密钥对指令;
(2)中间安全应用模块将生成密钥对指令进行封装并转发;
(3)中间安全应用模块接收来自于智能卡的生成密钥对指令响应,其中,生成密钥对指令响应中携带有该生成密钥对指令对应的公钥;
(4)中间安全应用模块将生成密钥对指令响应转发至移动应用模块。
优选地,在安全性操作指令为生成密钥对指令时,上述步骤S106可以包括以下处理:
(1)移动应用模块向应用提供商应用服务器发送注册请求,其中,该注册请求中携带有公钥以及移动用户的注册信息;
(2)移动应用模块接收来自于应用提供商应用服务器的注册请求响应,其中,该注册请求响应中携带有数字证书的下载地址及移动用户的注册信息。
优选地,在移动应用模块向应用提供商应用服务器发送注册请求之后,移动应用模块接收来自于应用提供商应用服务器的注册请求响应之前,还可以包括以下处理:
(1)应用提供商应用服务器发起生成数字证书请求,其中,生成数字证书请求携带有公钥及移动用户的注册信息;
(2)应用提供商应用服务器接收来自于证书机构设备的生成数字证书响应,其中,生成数字证书响应中携带有数字证书的下载地址及移动用户的注册信息。
优选地,在应用提供商应用服务器向移动应用模块发送注册请求响应之后,还可以包括以下处理:
(1)中间安全应用模块接收来自于移动应用模块的注册成功消息,其中,该注册成功消息中携带有数字证书请求对应的数字证书的下载地址及移动用户的注册信息;
(2)中间安全应用模块根据数字证书请求对应的数字证书的下载地址及移动用户的注册信息从证书机构下载数字证书;
(3)中间安全应用模块向智能卡发送创建安全存储域请求,其中,该安全存储域保存有生成密钥对指令对应的私钥以及数字证书;
(4)中间安全应用模块接收来自于智能卡的创建安全存储域请求响应;
(5)中间安全应用模块将创建安全存储域请求响应转发至移动应用模块。
下面结合图3对上述移动用户模块注册到应用提供商应用服务器做进一步的描述。
图3是根据本发明实例的移动用户模块注册到应用提供商应用服务器过程的流程图。如图3所示,移动应用模块指示智能卡生成密钥对,中间安全应用模块根据移动应用模块的指示下载数字证书,并且在智能卡内创建安全存储域,储存用户私钥和数字证书,该流程可以包括以下步骤:
步骤S302:在移动应用模块成功启动后,用户在移动终端的移动应用模块上发起注册过程,填写用户注册信息,并提交注册信息;
步骤S304:用户确定提交注册信息后,首先向中间安全应用模块发送生成密钥对指令,委托智能卡生成密钥对。移动应用模块已经通过了中间安全应用模块的认证,并且成功接入到中间安全应用模块;
步骤S306:中间安全应用模块在收到来自于移动应用模块的生成密钥对指令后,将该指令封装后转发给智能卡,指示智能卡使用其生成密钥对的能力,帮助移动应用模块生成与外部网络通信所需的密钥对,其中,该密钥对包括一个私钥和一个公钥;
步骤S308:智能卡在收到来自于中间安全应用模块的生成密钥对指示后,将产生一个密钥对,包括一个私钥和一个公钥。智能卡向中间安全应用模块发送一个转发生成密钥对响应信号,其中,附带所生成的密钥对的公钥;
步骤S310:中间安全应用模块在接收到来自于智能卡的转发生成密钥对响应后,向移动应用模块发送生成密钥对响应信号,其中,附带生成的公钥;
步骤S312:移动应用模块接收到智能卡产生的公钥后,向应用服务器发起注册请求。公钥是智能卡产生的密钥对中的公钥。注册请求信息中包括用户的注册信息,并且应将公钥通知给应用服务器;
步骤S314:应用提供商应用服务器在收到用户的注册请求后,将对用户的注册信息进行认证,然后向证书机构设备发起生成数字证书请求,其中,附带用户的公钥。公钥是智能卡生成的密钥对的公钥;
步骤S316:证书机构设备在收到来自于应用提供商应用服务器的生成数字证书请求后,为发起注册请求的用户生成一个数字证书,并且保存用户公钥和所生成的数字证书,然后给应用提供商应用服务器发送一个生成数字证书响应,附带下载数字证书的地址。证书机构设备保存的信息应该是和用户信息相关联的,证书机构设备为每个不同的用户保存不同的信息,所保存的信息包括公钥和数字证书;数字证书应包括证书机构设备所生成的公钥和数字签名,并且包括应用提供商应用服务器和移动应用模块之间进行数据通信所需的加解密算法和完整性算法等;
步骤S318:应用提供商应用服务器在收到来自于证书机构设备的生成数字证书响应后,向移动应用模块发送一个注册请求响应信号,附带来自于证书机构设备所通知的数字证书下载地址。应用提供商应用服务器不能将数字证书直接发送给移动应用模块;
步骤S320:移动应用模块向中间安全应用模块发送一个注册成功消息。移动应用模块要告知中间安全应用模块下载数字证书的地址,并且指示中间安全应用模块下载数字证书。移动应用模块还要通过中间安全应用模块指示智能卡为该用户创建安全存储域,存储该移动应用模块用户的安全相关信息。注册成功消息还应包括移动应用模块的应用标识、移动应用模块用户的用户标识,用于将智能卡中创建的安全存储域和移动应用模块和移动应用模块用户相关联,标识智能卡中和中间安全应用模块中特定的安全存储域。注册成功消息还应包括用户注册信息,用于中间安全应用模块下载数字证书时注册机构对中间安全应用模块的认证;
步骤S322:中间安全应用模块在接收到来自于移动应用模块的注册成功消息后,根据消息内的数字证书下载地址和用户的注册信息,从证书机构设备下载数字证书。下载数字证书过程还包括注册机构对中间安全应用模块所提供的用户注册信息进行验证,只有提供了合法的用户注册信息才能够下载和用户相关的数字证书;
步骤S324:中间安全应用模块在下载到用户相关的数字证书后,向智能卡发送创建安全域请求,指示智能卡为该移动应用模块用户创建一个安全存储域。创建安全存储域指令应包括中间安全应用模块在步骤S322下载到的数字证书、步骤S320的应用标识与用户标识。智能卡内创建的安全存储域所保存的内容包括用户私钥、数字证书、应用标识与用户标识。应用标识与用户标识用来和移动应用模块用户相关联,移动应用模块通过中间安全应用模块访问智能卡时需提供应用标识与用户标识,用来指示访问智能卡中特定的安全存储域;
步骤S326:智能卡在收到来自于中间安全应用模块的创建安全域请求指令后,在智能卡内为该移动应用模块用户创建一个安全存储域,储存该用户的私钥、数字证书、应用标识与用户标识。然后智能卡向中间安全应用模块发送创建安全域响应信号,指示安全存储域创建成功;
步骤S328:中间安全应用模块在收到来自于智能卡的创建安全域响应信号后,转发该创建安全域响应信号,通知移动应用模块智能卡已成功创建了该移动应用的安全存储域。
优选地,当安全性操作指令为读取安全存储域指令时,上述步骤S104可以包括以下处理:
(1)中间安全应用模块接收来自于移动应用模块的读取安全存储域指令;
(2)中间安全应用模块将读取安全存储域指令转发至智能卡;
(3)中间安全应用模块接收来自于智能卡的读取安全存储域指令响应并根据该读取安全存储域指令响应判断在智能卡中是否存在读取安全存储域指令对应的安全存储域;
(4)在智能卡中存在读取安全存储域指令对应的安全存储域时,中间安全应用模块在移动终端内创建临时安全存储域并向移动应用模块发送读取安全存储域指令响应。
优选地,在上述智能卡中不存在读取安全存储域指令对应的安全存储域时,还可以包括以下处理:
(1)中间安全应用模块接收来自于移动应用模块的创建安全存储域指令,其中,创建安全存储域指令中携带有数字证书的下载地址及移动用户的注册信息;
(2)中间安全应用模块根据数字证书的下载地址及移动用户的注册信息从证书机构设备下载数字证书;
(3)中间安全应用模块向智能卡发送创建安全存储域请求,其中,安全存储域保存有生成密钥对指令对应的私钥以及数字证书;
(4)中间安全应用模块接收来自于智能卡的创建安全存储域请求响应;
(5)中间安全应用模块在移动终端内创建临时安全存储域并向移动应用模块发送创建安全存储域指令响应。
优选地,在移动应用模块接收来自于中间安全应用模块的创建安全存储域指令响应或者中间安全应用模块向移动应用模块发送读取安全存储域指令响应之后,还可以包括以下处理:
(1)移动应用模块发起登录认证请求;
(2)移动应用模块接收来自于应用提供商应用服务器的登录认证响应。
下面结合图4对上述移动用户登录应用提供商应用服务器的过程做进一步的描述。
图4是根据本发明实例的移动应用模块登录过程的流程图。如图4所示,移动应用模块每次登录的时候都会通知中间安全应用模块,中间安全应用模块会查询智能卡中是否存在该移动应用模块用户所对应的安全存储域。如果存在,中间安全应用模块会读取该安全存储域,并在移动终端内创建一个只能够被中间安全应用模块访问的临时安全存储域,存储移动应用模块安全相关信息,包括数字证书中的相关信息,但不包括私钥,私钥不能离开智能卡;如果不存在,中间安全应用模块会命令智能卡重新创建安全存储域,并且同样在移动终端内创建一个只能够被中间安全应用模块访问的临时安全存储域,存储移动应用模块安全相关信息。该流程可以包括以下步骤:
步骤S402:在移动应用模块成功启动后,用户在移动终端的移动应用模块上发起登录过程,填写用户登录信息,并提交登录信息;
步骤S404:用户确定提交登录信息后,首先向中间安全应用模块发送读取安全存储域命令,要求中间安全应用模块读取移动应用模块用户储存在智能卡中的安全相关信息。安全相关信息包括数字证书中的相关信息,但不包括私钥,私钥不能离开智能卡。移动应用模块发送给中间安全应用模块的读取安全存储域命令应包含移动应用模块的应用标识和移动应用模块用户的用户标识,用于从智能卡读出被应用标识和用户标识所标记的特定安全存储域的安全相关数据;
步骤S406:中间安全应用模块在收到来自于移动应用模块的读取安全存储域命令后,向智能卡发送一个读取安全存储域指令,其中,包括移动应用模块发过来的应用标识和用户标识,用于读取智能卡中被应用标识和用户标识所标记的特定安全存储域的安全相关数据;
步骤S408:智能卡在收到来自于中间安全应用模块的读取安全存储域指令后,将依据指令中的应用标识和用户标识寻找到特定的安全存储域。如果由应用标识和用户标识标记的特定安全存储域存在,智能卡会读取安全存储域中的安全相关信息并响应给中间安全应用模块,包括数字证书中的相关信息,但不包括私钥,私钥不能离开智能卡;如果由应用标识和用户标识标记的特定安全存储域不存在,智能卡会通知中间安全应用模块所需的安全存储域不存在。智能卡随后给中间安全应用模块发送一个读取安全存储域响应信息,其中,包括读取安全存储域的结果;
步骤S410:中间安全应用模块接收到来自于智能卡的读取安全存储域响应信息后,将判断所需的安全存储域是否存在。如果所需的安全存储域存在,中间安全应用模块将在终端内创建一个临时安全存储域,存储智能卡发送过来的数字证书中的相关信息。移动终端内由中间安全应用模块创建的安全存储域是一个临时安全存储区域,当移动应用模块关闭时,该临时安全存储区域将被删除。临时安全存储区域只能被中间安全应用模块访问与操作,终端内其他移动应用均无法访问该临时安全存储区域。如果所需的安全存储域不存在,中间安全应用模块将不会在移动终端内创建临时安全存储域。中间安全应用模块随后给移动应用模块发送一个读取安全存储域应答信号,通知移动应用模块读取安全存储域的结果,指示中间安全应用模块是否成功地在移动终端内创建了所需临时安全存储域;
步骤S412:如果移动应用模块收到的读取安全存储域应答中指示的是中间安全应用模块成功地在移动终端内创建了所需安全存储域,那么此步骤将不会被执行;如果移动应用模块收到的读取安全存储域应答中指示的是中间安全应用模块没有成功地在移动终端内创建了所需临时安全存储域,那么移动应用模块会给中间安全应用模块发送一个创建安全存储域命令;
需要说明的是,在创建安全存储域命令时,移动应用模块要告知中间安全应用模块下载数字证书的地址,并且指示中间安全应用模块下载数字证书。而且,移动应用模块要通过中间安全应用模块指示智能卡为该用户创建安全存储域,存储该移动应用模块用户的安全相关信息。创建安全存储域命令还应包括移动应用模块的应用标识、移动应用模块用户的用户标识,用于将智能卡中创建的安全存储域和移动应用模块、移动应用模块用户相关联,标识智能卡中和中间安全应用模块中特定的安全存储域。创建安全存储域命令还应包括用户注册信息,用于中间安全应用模块下载数字证书时证书机构设备对中间安全应用模块的认证。
步骤S414:如果步骤S412被执行,那么此步将被执行。中间安全应用模块在接收到来自于移动应用模块的创建安全存储域命令后,根据命令内的数字证书下载地址和用户的注册信息,从注册机构下载数字证书。下载数字证书过程还包括证书机构对中间安全应用模块所提供的用户注册信息进行验证,只有提供了合法的用户注册信息才能够下载和用户相关的数字证书;
步骤S416:如果步骤S412被执行了,那么此步将被执行。中间安全应用模块在下载到用户相关的数字证书后,向智能卡发送创建安全存储域指令,指示智能卡为该移动应用模块用户创建一个安全存储域;
需要说明的是,创建安全存储域指令应指示智能卡使用其生成密钥对的能力,帮助移动应用模块生成与外部网络通信所需的密钥对。密钥对包括一个私钥和一个公钥。创建安全存储域指令应包括中间安全应用模块在步骤S414下载到的数字证书、步骤S412的应用标识与用户标识。智能卡内创建的安全存储域所保存的内容包括用户私钥、数字证书、应用标识与用户标识。应用标识与用户标识用来和移动应用模块用户相关联,移动应用模块通过中间安全应用模块访问智能卡时需提供应用标识与用户标识,用来指示访问智能卡中特定的安全存储域。
步骤S418:如果步骤S412被执行了,那么此步将被执行。智能卡在创建了安全存储域后,向中间安全应用模块发送一个创建安全存储域响应。创建安全存储域响应应该将智能卡产生的公钥通知给中间安全应用模块。中间安全应用模块将在移动终端内创建一个临时安全存储域,存储下载到的数字证书中的相关内容,包括加密公钥等,并将该安全存储域与应用标识、用户标识关联起来。移动终端内由中间安全应用模块创建的安全存储域是一个临时安全存储区域,当移动应用模块关闭时,该临时安全存储区域将被删除。临时安全存储区域只能被中间安全应用模块访问与操作,移动终端内其他移动应用模块均无法访问该临时安全存储区域;
步骤S420:如果步骤S412被执行了,那么此步将被执行。中间安全应用模块在移动终端内成功创建临时安全存储域后,将向移动应用模块发送一个创建安全存储域应答。创建安全存储域应答应该将步骤S418中的用户公钥转发给移动应用模块,并且通知移动应用模块创建安全存储域的结果,告知中间安全应用模块成功地在终端内创建了所需临时安全存储域;
步骤S422:如果移动应用模块得到来自于中间安全应用模块的创建临时安全存储域成功的消息,移动应用模块将使用用户登录信息向应用提供商应用服务器发起登录认证过程,并且将应用提供商应用服务器加密所需的用户公钥告知给应用提供商应用服务器;
步骤S424:移动应用模块成功与应用提供商应用服务器建立连接后,双方即可进行安全的数据交互。移动应用模块使用安全委托系统,将通信数据的安全相关操作交予中间安全应用模块和智能卡进行,包括数据的加解密、完整性保护与完整性验证等。
优选地,当上述安全性操作指令为删除临时安全存储域指令时,在执行步骤S106之后,还可以包括以下处理:
(1)中间安全应用模块接收来自于移动应用模块的删除临时安全存储域指令;
(2)中间安全应用模块向移动应用模块发送删除临时安全存储域指令应答。
下面结合图5对移动应用模块的关闭过程做进一步的描述。
图5是根据本发明实例的移动应用模块关闭过程的流程图。如图5所示,移动应用模块关闭时要通知中间安全应用模块将其在移动终端内创建的临时安全存储域删除。该流程可以包括以下步骤:
步骤S502:移动应用模块关闭时将向中间安全应用模块发送一个删除临时安全存储域命令,指示中间安全应用模块将其在移动终端内创建的特定的临时安全存储域删除。删除临时安全存储域命令应包括移动应用模块的应用标识和移动应用模块用户的用户标识,用于指示删除与应用标识和用户标识相关联的临时安全存储域。特定的临时安全存储域,指的是被应用标识和用户标识标记的临时安全存储域;
步骤S504:中间安全应用模块在收到来自于移动应用模块的删除临时安全存储域命令后,将删除被命令中应用标识和用户标识标记的临时安全存储域,并向移动应用模块发送一个删除临时安全存储域应答信号,告知已经删除成功。
图6是根据本发明实施例的智能卡的访问装置的结构框图。如图6所示,该智能卡的访问装置包括:移动应用模块10和中间安全应用模块20;移动应用模块10包括:第一发送单元100,用于向中间安全应用模块20发送安全性操作指令;第一接收单元102,用于接收来自于中间安全应用模块20的安全性操作信息;第一执行单元104,用于执行与安全性操作信息对应的安全性操作;中间安全应用模块20包括:第二接收单元200,用于接收来自于移动应用模块10的安全性操作指令;第二执行单元202,用于和智能卡联合实现的与安全性操作指令对应的安全性操作信息;第二发送单元204,用于向移动应用模块10发送安全性操作信息。
在相关技术中,移动终端缺少直接访问智能卡的接口,导致智能卡上的信息不能被移动终端所调用。采用了图6所示的装置,解决了相关技术中因移动终端缺少直接访问智能卡的接口而导致智能卡上的信息不能被移动终端所调用的问题,从而加强了用户身份的可靠性验证和用户个人信息的安全保护以确保交易安全。
优选地,上述安全性操作指令可以包括但不限于以下至少之一:生成密钥对指令、创建安全存储域指令、读取安全存储域指令、删除中间安全应用模块创建的临时安全存储域指令。
优选地,如图7所示,上述中间安全应用模块20还可以包括:第三接收单元206,用于接收来自于移动应用模块的接入请求指令;第三发送单元208,用于发送接入认证请求;第四接收单元210,用于接收来自于智能卡的发行商系统的接入认证响应;第四发送单元212,用于向移动应用模块发送接入指令的应答。
优选地,如图8所示,上述第二接收单元200,可以进一步用于接收来自于移动应用模块的生成密钥对指令;上述第二执行单元202可以进一步包括:第一转发子单元2020,用于将生成密钥对指令进行封装并转发;第一接收子单元2022,用于接收来自于智能卡的生成密钥对指令响应,其中,该生成密钥对指令响应中携带有该生成密钥对指令对应的公钥;则上述第二发送单元204,可以进一步用于将生成密钥对指令响应转发至移动应用模块。
优选地,如图9所示,上述第二接收单元200,可以进一步用于接收来自于移动应用模块的读取安全存储域指令;第二执行单元202可以进一步包括:第二转发子单元2024,用于将读取安全存储域指令转发至智能卡;判断子单元2026,用于接收来自于智能卡的读取安全存储域指令响应并根据该读取安全存储域指令响应判断在智能卡中是否存在读取安全存储域指令对应的安全存储域;第一创建子单元2028,用于在判断单元输出为是时,在移动终端内创建临时安全存储域;则上述第二发送单元204,可以进一步用于向移动应用模块发送读取安全存储域指令响应。
优选地,如图9所示,上述第二执行单元202还可以包括:第二接收子单元2030,用于在判断单元输出为否时,接收来自于移动应用模块的创建安全存储域指令,其中,该创建安全存储域指令中携带有数字证书的下载地址及移动用户的注册信息;下载子单元2032,用于根据数字证书的下载地址及移动用户的注册信息从证书机构设备下载数字证书;请求子单元2034,用于向智能卡发送创建安全存储域请求,其中,该安全存储域保存有生成密钥对指令对应的私钥以及数字证书;第三接收子单元2036,用于接收来自于智能卡的创建安全存储域请求响应;第二创建子单元2038,用于在移动终端内创建临时安全存储域;则上述第二发送单元204,可以进一步用于向移动应用模块发送创建安全存储域指令响应。
优选地,上述第二接收单元200,可以进一步用于接收来自于移动应用模块的删除临时安全存储域指令;上述第二发送单元204,可以进一步用于向移动应用模块发送删除临时安全存储域指令应答。
图10是根据本发明实施例的智能卡的访问系统的结构框图。如图10所示,该智能卡的访问系统可以包括:上述访问装置和智能卡30,其中,智能卡30,用于与中间安全应用模块联合实现与安全性操作指令对应的安全性操作信息。
在相关技术中,移动终端缺少直接访问智能卡的接口,导致智能卡上的信息不能被移动终端所调用。采用了图10所示的系统,解决了相关技术中因移动终端缺少直接访问智能卡的接口而导致智能卡上的信息不能被移动终端所调用的问题,从而加强了用户身份的可靠性验证和用户个人信息的安全保护以确保交易安全。
优选地,如图11所示,上述智能卡的访问系统还可以包括:应用提供商应用服务器40,用于接收来自于移动应用模块的安全性操作对应的请求消息,并执行与请求消息对应的处理。
从以上的描述中,可以看出,本发明实现了如下技术效果:解决了相关技术中因移动终端缺少直接访问智能卡的接口而导致智能卡上的信息不能被移动终端所调用的问题,从而加强了用户身份的可靠性验证和用户个人信息的安全保护以确保交易安全。
显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,并且在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (18)
1.一种智能卡的访问方法,应用于安全性操作执行系统,其特征在于,所述安全性操作执行系统包括:移动终端和智能卡;所述移动终端包括:移动应用模块以及与所述智能卡对应的中间安全应用模块;所述方法包括:
所述移动应用模块向所述中间安全应用模块发送安全性操作指令;
所述移动应用模块接收来自于所述中间安全应用模块的安全性操作信息,其中,所述安全性操作信息为由所述中间安全应用模块和所述智能卡联合实现的与所述安全性操作指令对应的信息;
所述移动应用模块执行与所述安全性操作信息对应的操作,其中,在所述移动应用模块向所述中间安全应用模块发送安全性操作指令之前,还包括:
所述中间安全应用模块接收来自于所述移动应用模块的接入请求指令;
所述中间安全应用模块发送接入认证请求;
所述中间安全应用模块接收来自于所述智能卡的发行商系统的接入认证响应;
所述中间安全应用模块向所述移动应用模块发送所述接入指令的应答。
2.根据权利要求1所述的方法,其特征在于,所述安全性操作指令包括以下至少之一:
生成密钥对指令、创建安全存储域指令、读取安全存储域指令、删除所述中间安全应用模块创建的临时安全存储域指令。
3.根据权利要求2所述的方法,其特征在于,在所述安全性操作指令为所述生成密钥对指令时,所述中间安全应用模块和所述智能卡联合实现的与所述安全性操作指令对应的信息包括:
所述中间安全应用模块接收来自于所述移动应用模块的生成密钥对指令;
所述中间安全应用模块将所述生成密钥对指令进行封装并转发;
所述中间安全应用模块接收来自于所述智能卡的生成密钥对指令响应,其中,所述生成密钥对指令响应中携带有该生成密钥对指令对应的公钥;
所述中间安全应用模块将所述生成密钥对指令响应转发至所述移动应用模块。
4.根据权利要求3所述的方法,其特征在于,所述移动应用模块执行与所述安全性操作信息对应的操作包括:
所述移动应用模块向所述应用提供商应用服务器发送注册请求,其中,所述注册请求中携带有所述公钥以及移动用户的注册信息;
所述移动应用模块接收来自于所述应用提供商应用服务器的注册请求响应,其中,所述注册请求响应中携带有数字证书的下载地址及移动用户的注册信息。
5.根据权利要求4所述的方法,其特征在于,在所述移动应用模块向所述应用提供商应用服务器发送注册请求之后,所述移动应用模块接收来自于所述应用提供商应用服务器的注册请求响应之前,还包括:
所述应用提供商应用服务器发起生成数字证书请求,其中,所述生成数字证书请求携带有所述公钥及所述移动用户的注册信息;
所述应用提供商应用服务器接收来自于证书机构设备的生成数字证书响应,其中,所述生成数字证书响应中携带有所述数字证书的下载地址及所述移动用户的注册信息。
6.根据权利要求4所述的方法,其特征在于,在所述应用提供商应用服务器向所述移动应用模块发送所述注册请求响应之后,还包括:
所述中间安全应用模块接收来自于所述移动应用模块的注册成功消息,其中,所述注册成功消息中携带有所述数字证书请求对应的数字证书的下载地址及移动用户的注册信息;
所述中间安全应用模块根据所述数字证书请求对应的数字证书的下载地址及移动用户的注册信息从所述证书机构下载数字证书;
所述中间安全应用模块向所述智能卡发送创建安全存储域请求,其中,所述安全存储域保存有所述生成密钥对指令对应的私钥以及所述数字证书;
所述中间安全应用模块接收来自于所述智能卡的创建安全存储域请求响应;
所述中间安全应用模块将所述创建安全存储域请求响应转发至所述移动应用模块。
7.根据权利要求2所述的方法,其特征在于,在所述安全性操作指令为所述读取安全存储域指令时,所述中间安全应用模块和所述智能卡联合实现的与所述安全性操作指令对应的信息包括:
所述中间安全应用模块接收来自于所述移动应用模块的所述读取安全存储域指令;
所述中间安全应用模块将所述读取安全存储域指令转发至所述智能卡;
所述中间安全应用模块接收来自于所述智能卡的读取安全存储域指令响应并根据该读取安全存储域指令响应判断在所述智能卡中是否存在所述读取安全存储域指令对应的安全存储域;
在所述智能卡中存在所述读取安全存储域指令对应的安全存储域时,所述中间安全应用模块在所述移动终端内创建所述临时安全存储域并向所述移动应用模块发送读取安全存储域指令响应。
8.根据权利要求7所述的方法,其特征在于,在所述智能卡中不存在所述读取安全存储域指令对应的安全存储域时,还包括:
所述中间安全应用模块接收来自于所述移动应用模块的创建安全存储域指令,其中,所述创建安全存储域指令中携带有数字证书的下载地址及所述移动用户的注册信息;
所述中间安全应用模块根据所述数字证书的下载地址及所述移动用户的注册信息从证书机构设备下载所述数字证书;
所述中间安全应用模块向所述智能卡发送创建安全存储域请求,其中,所述安全存储域保存有所述生成密钥对指令对应的私钥以及所述数字证书;
所述中间安全应用模块接收来自于所述智能卡的创建安全存储域请求响应;
所述中间安全应用模块在所述移动终端内创建临时安全存储域并向所述移动应用模块发送创建安全存储域指令响应。
9.根据权利要求7或8所述的方法,其特征在于,在所述移动应用模块接收来自于所述中间安全应用模块的所述创建安全存储域指令响应或者所述中间安全应用模块向所述移动应用模块发送读取安全存储域指令响应之后,还包括:
所述移动应用模块发起登录认证请求;
所述移动应用模块接收来自于所述应用提供商应用服务器的登录认证响应。
10.根据权利要求2所述的方法,其特征在于,在所述安全性操作指令为删除所述临时安全存储域指令时,在所述移动应用模块执行与所述安全性操作信息对应的操作之后,还包括:
所述中间安全应用模块接收来自于所述移动应用模块的所述删除所述临时安全存储域指令;
所述中间安全应用模块向所述移动应用模块发送删除所述临时安全存储域指令应答。
11.一种智能卡的访问装置,其特征在于,包括:移动应用模块和中间安全应用模块;
所述移动应用模块,包括:
第一发送单元,用于向所述中间安全应用模块发送安全性操作指令;
第一接收单元,用于接收来自于所述中间安全应用模块的安全性操作信息;
第一执行单元,用于执行与所述安全性操作信息对应的操作;
所述中间安全应用模块,包括:
第二接收单元,用于接收来自于所述移动应用模块的安全性操作指令;
第二执行单元,用于和智能卡联合实现的与所述安全性操作指令对应的安全性操作信息;
第二发送单元,用于向所述移动应用模块发送所述安全性操作信息,其中,所述中间安全应用模块,还包括:
第三接收单元,用于接收来自于所述移动应用模块的接入请求指令;
第三发送单元,用于发送接入认证请求;
第四接收单元,用于接收来自于所述智能卡的发行商系统的接入认证响应;
第四发送单元,用于向所述移动应用模块发送所述接入指令的应答。
12.根据权利要求11所述的装置,其特征在于,所述安全性操作指令包括以下至少之一:
生成密钥对指令、创建安全存储域指令、读取安全存储域指令、删除所述中间安全应用模块创建的临时安全存储域指令。
13.根据权利要求12所述的装置,其特征在于,
所述第二接收单元,用于接收来自于所述移动应用模块的生成密钥对指令;
所述第二执行单元包括:
第一转发子单元,用于将所述生成密钥对指令进行封装并转发;
第一接收子单元,用于接收来自于所述智能卡的生成密钥对指令响应,其中,所述生成密钥对指令响应中携带有该生成密钥对指令对应的公钥;
所述第二发送单元,用于将所述生成密钥对指令响应转发至所述移动应用模块。
14.根据权利要求12所述的装置,其特征在于,
所述第二接收单元,用于接收来自于所述移动应用模块的所述读取安全存储域指令;
所述第二执行单元包括:
第二转发子单元,用于将所述读取安全存储域指令转发至所述智能卡;
判断子单元,用于接收来自于所述智能卡的读取安全存储域指令响应并根据该读取安全存储域指令响应判断在所述智能卡中是否存在所述读取安全存储域指令对应的安全存储域;
第一创建子单元,用于在所述判断单元输出为是时,在所述移动终端内创建所述临时安全存储域;
所述第二发送单元,用于向所述移动应用模块发送读取安全存储域指令响应。
15.根据权利要求14所述的装置,其特征在于,
所述第二执行单元,还包括:
第二接收子单元,用于在所述判断单元输出为否时,接收来自于所述移动应用模块的创建安全存储域指令,其中,所述创建安全存储域指令中携带有数字证书的下载地址及所述移动用户的注册信息;
下载子单元,用于根据所述数字证书的下载地址及所述移动用户的注册信息从证书机构设备下载所述数字证书;
请求子单元,用于向所述智能卡发送创建安全存储域请求,其中,所述安全存储域保存有所述生成密钥对指令对应的私钥以及所述数字证书;
第三接收子单元,用于接收来自于所述智能卡的创建安全存储域请求响应;
第二创建子单元,用于在所述移动终端内创建临时安全存储域;
所述第二发送单元,用于向所述移动应用模块发送创建安全存储域指令响应。
16.根据权利要求12所述的装置,其特征在于,所述中间安全应用模块,包括:
所述第二接收单元,用于接收来自于所述移动应用模块的所述删除所述临时安全存储域指令;
所述第二发送单元,用于向所述移动应用模块发送删除所述临时安全存储域指令应答。
17.一种智能卡的访问系统,其特征在于,所述访问系统包括权利要求11至16中任一项所述的访问装置和智能卡;
所述智能卡,用于与所述中间安全应用模块联合实现与所述安全性操作指令对应的所述安全性操作信息,其中,所述中间安全应用模块,还包括:
第三接收单元,用于接收来自于所述移动应用模块的接入请求指令;
第三发送单元,用于发送接入认证请求;
第四接收单元,用于接收来自于所述智能卡的发行商系统的接入认证响应;
第四发送单元,用于向所述移动应用模块发送所述接入指令的应答。
18.根据权利要求17所述的系统,其特征在于,所述系统还包括:应用提供商应用服务器;
所述应用提供商服务器,用于接收来自于所述移动应用模块的所述安全性操作对应的请求消息,并执行与所述请求消息对应的处理。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110357698.9A CN103107881B (zh) | 2011-11-11 | 2011-11-11 | 智能卡的访问方法、装置及系统 |
| PCT/CN2012/072308 WO2013067792A1 (zh) | 2011-11-11 | 2012-03-14 | 智能卡的访问方法、装置及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110357698.9A CN103107881B (zh) | 2011-11-11 | 2011-11-11 | 智能卡的访问方法、装置及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103107881A CN103107881A (zh) | 2013-05-15 |
| CN103107881B true CN103107881B (zh) | 2017-02-08 |
Family
ID=48288493
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201110357698.9A Active CN103107881B (zh) | 2011-11-11 | 2011-11-11 | 智能卡的访问方法、装置及系统 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN103107881B (zh) |
| WO (1) | WO2013067792A1 (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20160220692A1 (en) * | 2013-09-09 | 2016-08-04 | The Johns Hopkins University | Targeting the m2-tumor associated macrophage for cancer therapy |
| US10164953B2 (en) | 2014-10-06 | 2018-12-25 | Stmicroelectronics, Inc. | Client accessible secure area in a mobile device security module |
| CN107688473B (zh) * | 2016-08-03 | 2020-09-08 | 北京数码视讯科技股份有限公司 | 一种智能卡内自定义安全域的实现方法及智能卡 |
| CN107257328A (zh) * | 2017-05-26 | 2017-10-17 | 深圳市金立通信设备有限公司 | 一种支付安全部署方法、系统、终端以及身份校验方法 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101394615A (zh) * | 2007-09-20 | 2009-03-25 | 中国银联股份有限公司 | 一种基于pki技术的移动支付终端及支付方法 |
| CN101719250A (zh) * | 2009-12-10 | 2010-06-02 | 中国联合网络通信集团有限公司 | 支付认证方法、平台和系统 |
| CN101729245A (zh) * | 2008-10-24 | 2010-06-09 | 中兴通讯股份有限公司 | 密钥分发方法和系统 |
| CN101765105A (zh) * | 2009-12-17 | 2010-06-30 | 北京握奇数据系统有限公司 | 实现通信加密的方法和系统、移动终端 |
| CN101951361A (zh) * | 2010-07-30 | 2011-01-19 | 北京握奇数据系统有限公司 | 访问智能卡的方法及服务器 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| SE520489C2 (sv) * | 2001-03-16 | 2003-07-15 | Smarttrust Systems Oy | Förfarande och arrangemang i en databas |
-
2011
- 2011-11-11 CN CN201110357698.9A patent/CN103107881B/zh active Active
-
2012
- 2012-03-14 WO PCT/CN2012/072308 patent/WO2013067792A1/zh active Application Filing
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101394615A (zh) * | 2007-09-20 | 2009-03-25 | 中国银联股份有限公司 | 一种基于pki技术的移动支付终端及支付方法 |
| CN101729245A (zh) * | 2008-10-24 | 2010-06-09 | 中兴通讯股份有限公司 | 密钥分发方法和系统 |
| CN101719250A (zh) * | 2009-12-10 | 2010-06-02 | 中国联合网络通信集团有限公司 | 支付认证方法、平台和系统 |
| CN101765105A (zh) * | 2009-12-17 | 2010-06-30 | 北京握奇数据系统有限公司 | 实现通信加密的方法和系统、移动终端 |
| CN101951361A (zh) * | 2010-07-30 | 2011-01-19 | 北京握奇数据系统有限公司 | 访问智能卡的方法及服务器 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2013067792A1 (zh) | 2013-05-16 |
| CN103107881A (zh) | 2013-05-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106850699B (zh) | 一种移动终端登录认证方法及系统 | |
| CN106304074B (zh) | 面向移动用户的身份验证方法和系统 | |
| CN111404696B (zh) | 协同签名方法、安全服务中间件、相关平台及系统 | |
| CN103108323B (zh) | 安全性操作执行系统及执行方法 | |
| CN109618341A (zh) | 一种数字签名认证方法、系统、装置以及存储介质 | |
| CN104205891A (zh) | 虚拟sim卡云平台 | |
| FR2854303A1 (fr) | Procede de securisation d'un terminal mobile et applications de procede, l'execution d'applications necessitant un niveau de securite eleve | |
| JP2005196776A (ja) | 通信端末と通信機器との間の安全なデータ通信方法及びそのシステム | |
| CN107113613B (zh) | 服务器、移动终端、网络实名认证系统及方法 | |
| US20200235921A1 (en) | Method and system for recovering cryptographic keys of a blockchain network | |
| CN104063650B (zh) | 一种密钥存储设备及其使用方法 | |
| EP1878161A1 (en) | Method and system for electronic reauthentication of a communication party | |
| CN107145769A (zh) | 一种数字版权管理drm方法、设备及系统 | |
| CN108335105A (zh) | 数据处理方法及相关设备 | |
| CN110336788A (zh) | 一种物联网设备与移动终端的数据安全交互方法 | |
| CN104463584B (zh) | 实现移动端App安全支付的方法 | |
| CN114266033A (zh) | 验证码生成方法、装置、验证码登录系统及电子设备 | |
| CN103107881B (zh) | 智能卡的访问方法、装置及系统 | |
| CN116980163A (zh) | 基于可信执行环境的数据处理方法、装置、设备及介质 | |
| CN103036852A (zh) | 一种实现网络登录的方法以及装置 | |
| CN108768650B (zh) | 一种基于生物特征的短信验证系统 | |
| CN109474431A (zh) | 客户端认证方法及计算机可读存储介质 | |
| CN110268693A (zh) | Vnf包签名系统和vnf包签名方法 | |
| CN105743859B (zh) | 一种轻应用认证的方法、装置及系统 | |
| CN103559430A (zh) | 基于安卓系统的应用账号管理方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20201221 Address after: 224300 No.2, Renmin East Road, Sheyanggang Economic Development Zone, Sheyang County, Yancheng City, Jiangsu Province Patentee after: Sheyang kouda Food Co.,Ltd. Address before: 518057 No. 55 South Science and technology road, Shenzhen, Guangdong, Nanshan District Patentee before: ZTE Corp. |
|
| TR01 | Transfer of patent right |