CN106685931B - 智能卡应用管理方法和系统、终端和智能卡 - Google Patents
智能卡应用管理方法和系统、终端和智能卡 Download PDFInfo
- Publication number
- CN106685931B CN106685931B CN201611117182.6A CN201611117182A CN106685931B CN 106685931 B CN106685931 B CN 106685931B CN 201611117182 A CN201611117182 A CN 201611117182A CN 106685931 B CN106685931 B CN 106685931B
- Authority
- CN
- China
- Prior art keywords
- authentication data
- channel authentication
- smart card
- response message
- security domain
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/18—Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3215—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a plurality of channels
Abstract
本发明涉及一种智能卡应用管理方法,包括在对智能卡进行应用管理操作之前构建智能卡与后台服务器之间的安全通道的步骤;具体包括:终端接收智能卡的卡识别标识和主安全域标识并生成安全通道建立请求后输出给后台服务器;后台服务器根据安全通道建立请求确定对主安全域进行通道认证所需的主通道认证数据形成第一响应消息后输出给终端;终端将第一响应消息发送至智能卡;终端根据第一响应消息中的主通道认证数据对智能卡的主安全域进行通道认证;终端仅在完成通道认证并认证成功后对智能卡进行应用管理操作。上述智能卡应用管理方法提高了管理过程的安全性。本发明还涉及一种智能卡管理系统,还涉及一种终端和一种智能卡。
Description
技术领域
本发明涉及智能卡技术领域,特别是涉及一种智能卡应用管理方法和系统,还涉及一种终端和一种智能卡。
背景技术
随着智能卡技术的发展,越来越多的智能卡上集成了两种或者两种以上的应用。智能卡内的应用的增加不便于用户对智能卡的应用进行管理,且会给卡内的应用带来安全隐患。传统的智能卡应用管理过程,通常由终端通过读卡器与智能卡建立安全通道,由于终端存在安全隐患,导致由终端建立的安全通道存在安全隐患。
发明内容
基于此,有必要提供一种安全性较高的智能卡应用管理方法和系统,还提供一种终端和一种智能卡。
一种智能卡应用管理方法,包括在对智能卡进行应用管理操作之前构建所述智能卡与后台服务器之间的安全通道的步骤;所述构建所述智能卡与后台服务器之间的安全通道的步骤包括:终端接收所述智能卡的卡识别标识和主安全域标识并生成安全通道建立请求后输出给后台服务器;后台服务器根据所述安全通道建立请求确定对主安全域进行通道认证所需的主通道认证数据形成第一响应消息后输出给终端;终端接收所述第一响应消息并将所述第一响应消息发送至智能卡;终端根据所述第一响应消息中的主通道认证数据对所述智能卡的主安全域进行通道认证;终端仅在完成通道认证并认证成功后对智能卡进行应用管理操作。
上述智能卡应用管理方法,在对智能卡进行应用管理操作之前,通过终端根据智能卡的卡识别标识和主安全域标识生成安全通道建立请求,也即由终端发起安全通道建立请求,并通过后台服务器对该请求做出响应,输出安全通道建立所需的主通道认证数据,从而利用该主通道认证数据对智能卡的主安全域进行通道认证,并仅在认证成功后对该智能卡进行应用管理操作。上述智能卡应用管理方法,通道认证所需的数据由后台服务器生成,也即整个控制是由后台服务器来实现,而终端仅仅起到数据转发的作用,从而可以有效避免由终端主控进行安全通道认证可能存在的安全问题,提高了管理过程的安全性。
在其中一个实施例中,所述构建智能卡与后台服务器之间的安全通道的步骤之后、所述对智能卡进行应用管理操作之前,还包括在智能卡内通过主安全域为所述应用创建辅安全域的步骤;所述应用管理操作在所述辅安全域内执行。
在其中一个实施例中,所述在智能卡内通过主安全域为所述应用创建辅安全域的步骤包括:终端根据预设辅通道认证数据通过智能卡的主安全域创建辅安全域;终端在创建所述辅安全域后向后台服务器发出辅通道认证数据修改请求;所述辅通道认证数据修改请求携带有智能卡的卡识别标识信息;后台服务器根据所述辅通道认证数据中的卡识别标识信息对智能卡进行识别并获取对应的预设辅通道认证数据;后台服务器根据所述卡识别标识和所述预设辅通道认证数据生成请求消息发送至辅安全域的业务方服务器;终端接收业务方服务器返回的第二响应消息并发送至智能卡;所述第二响应消息包括新的辅通道认证数据和所述预设辅通道认证数据;终端仅在智能卡判断出所述第二响应消息中的预设辅通道认证数据与智能卡内的预设辅通道认证数据一致时,利用所述预设辅通道认证数据对对应的辅安全域进行通道认证;终端在辅安全域的通道认证成功后将所述预设辅通道认证数据修改为所述新的辅通道认证数据。
在其中一个实施例中,所述终端在辅安全域的通道认证成功后将所述预设辅通道认证数据修改为所述新的辅通道认证数据的步骤之后,还包括:终端向业务方服务器返回辅通道认证数据修改成功消息,以使得业务方服务器利用所述新的辅通道安全认证数据对智能卡的辅安全域进行认证,并执行应用管理操作。
在其中一个实施例中,所述后台服务器根据所述安全通道建立请求确定对主安全域进行通道认证所需的主通道认证数据形成第一响应消息后输出给终端的步骤中,后台服务器会利用预置密钥对所述主通道认证数据进行加密形成密文后,将所述密文和所述预置密钥的密钥序号进行组包处理后形成第一响应消息并输出给终端;所述终端接收所述第一响应消息并将所述第一响应消息送至智能卡的步骤中,终端对所述第一响应消息进行解包处理后将所述密文和所述密钥序号发送给智能卡,以供智能卡根据所述密钥序号获取密钥并对所述密文进行解密以得到所述主通道认证数据。
一种智能卡应用管理系统,用于对智能卡进行应用管理操作,所述智能卡应用管理系统还用于构建所述智能卡与所述后台服务器之间的安全通道;所述智能卡应用管理系统包括:终端,用于接收所述智能卡的卡识别标识和主安全域标识并生成安全通道建立请求后输出给后台服务器;后台服务器,用于根据所述安全通道建立请求确定对主安全域进行通道认证所需的主通道认证数据形成第一响应消息后输出给所述终端;所述终端还用于接收所述第一响应消息并将所述第一响应消息发送至智能卡;所述终端还用于根据所述第一响应消息中的主通道认证数据对所述智能卡的主安全域进行通道认证,并仅在完成通道认证并认证成功后对智能卡进行应用管理操作。
在其中一个实施例中,所述智能卡应用管理系统还用于在智能卡内通过主安全域为所述应用创建辅安全域;所述应用管理操作在所述辅安全域内执行;其中:所述终端用于根据预设辅通道认证数据通过智能卡的主安全域创建辅安全域;所述终端还用于在创建所述辅安全域后向后台服务器发出辅通道认证数据修改请求;所述辅通道认证数据修改请求携带有智能卡的卡识别标识信息;所述后台服务器还用于根据所述辅通道认证数据中的卡识别标识信息对智能卡进行识别并获取对应的预设辅通道认证数据,并根据所述卡识别标识和所述预设辅通道认证数据生成请求消息发送至辅安全域的业务方服务器;所述终端还用于接收业务方服务器返回的第二响应消息并发送至智能卡;所述第二响应消息包括新的辅通道认证数据和所述预设辅通道认证数据;所述终端仅在智能卡判断出所述第二响应消息中的预设辅通道认证数据与智能卡内的预设辅通道认证数据一致时,利用所述预设辅通道认证数据对对应的辅安全域进行通道认证;所述终端还用于在辅安全域的通道认证成功后将所述预设辅通道认证数据修改为所述新的辅通道认证数据。
在其中一个实施例中,所述终端还用于在将所述预设辅通道认证数据修改为所述新的辅通道认证数据之后,向业务方服务器返回辅通道认证数据修改成功消息,以使得业务方服务器利用所述新的辅通道安全认证数据对智能卡的辅安全域进行认证,并执行应用管理操作。
一种终端,用于对智能卡进行应用管理,包括:接收模块,用于接收所述智能卡的卡识别标识和主安全域标识;生成模块,用于根据所述卡识别标识和所述主安全域标识生成安全通道建立请求;输出模块,用于将所述安全通道建立请求输出给后台服务器;所述接收模块还用于接收后台服务器返回的第一响应消息;所述第一响应消息携带有主通道认证数据消息;所述输出模块还用于将所述第一响应消息发送至智能卡;认证模块,用于根据所述第一响应消息中的主通道认证数据对所述智能卡的主安全通道进行认证。
一种智能卡,包括主控制器,所述主控制器包括安全域管理模块,用于对主安全域进行管理,所述主控制器还包括:输出模块,用于向终端输出智能卡的卡识别标识和主安全域标识;接收模块,用于接收终端发送来的第一响应消息;所述第一响应消息由后台服务器生成,且所述第一响应消息携带有主通道认证数据消息;认证模块,用于根据所述第一响应消息中的主通道认证数据与终端进行主安全通道认证。
附图说明
图1为一实施例中的智能卡应用管理方法的流程图;
图2为一实施例中的智能卡的安全域结构图;
图3为图1中的S110的具体流程图;
图4为另一实施例中的智能卡应用管理方法的流程图;
图5为图4中S320的具体流程图;
图6为图4中S330的具体流程图;
图7为一实施例中的智能卡应用管理系统的结构框图;
图8为一实施例中的终端的结构框图;
图9为一实施例中的智能卡的主控制器的结构框图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
图1为一实施例中的智能卡应用管理方法的流程图。该智能卡应用管理方法用于对智能卡内的应用进行管理。在本实施例中,智能卡为基于多安全域的智能卡。具体地,智能卡包括主控制器。主控制器内设置有安全域管理模块。安全域管理模块用于对主安全域和辅安全域进行管理。其中,主安全域也称为持卡人应用安全域。该安全域具有在智能卡中扮演集中式管理员角色,该安全域的主要职责为在卡上执行卡发行者的职责,并具有管理其他辅安全域的职责,包括但不限于创建、删除其他应用安全域(也即辅安全域)等功能,即其具有对发行者或者其他应用提供者提供的应用进行安全域创建、安全域删除、应用装载、应用的安装和应用删除等功能,如图2所示。各辅安全域则用于管理密钥和提供这些密钥相关的加密操作等功能。辅安全域需要在主安全域的授权下创建,并接受主安全域的管理,用于管理和维护持卡人所创建的应用。
参见图1,该智能卡应用管理方法包括以下步骤:
S110,构建智能卡与后台服务器之间的安全通道。
后台服务器可以为TSM平台。在本实施例中,在对智能卡执行应用管理操作之前需要向构建智能卡和后台服务器之间的安全通道。构建安全智能卡与后台服务器之间的安全通道的步骤包括以下步骤,如图3所示。
S210,终端接收智能卡的卡识别标识和主安全域标识并生成安全通道建立请求后输出给后台服务器。
终端可以为手机、平板、掌上电脑等智能移动终端。终端向智能卡获取智能卡的卡识别标识和主安全域标识。终端可以通过蓝牙通道或者接触式通道(7816通道)与智能卡进行通信连接。智能卡的卡识别标识可以为智能卡的标识ID,主安全域标识同样可以为主安全域的标识ID。终端在获取到卡识别标识和主安全域标识后,根据卡识别标识和主安全域标识生成安全通道建立请求后输出给后台服务器。
S220,后台服务器根据安全通道建立请求确定对主安全域进行通道认证所需的主通道认证数据形成第一响应消息后输出给终端。
具体地,后台服务器在接收到该安全通道建立请求之后,会配置用于对主安全域通道认证所需的认证密钥。该认证密钥作为主通道认证数据。后台服务器用预置的一组密钥对该认证密钥进行加密处理形成密文后,将密文以及该预置密钥的密钥序号进行组包处理后形成第一响应消息给终端。通过加密操作,可以提高数据传输过程的安全性。
S230,终端接收第一响应消息并将第一响应消息发送至智能卡。
在本实施例中,由于后台服务器对主通道认证数据也即认证密钥进行了加密以及组包处理,因此终端需要先对该第一响应消息进行解包处理后得到密文和预置密钥的密钥序号。终端将解包得到的密文和该预置密钥的密钥序号发送给智能卡。智能卡根据该预置密钥的密钥序号索引到解密所需的密钥后对密文进行解密,从而得到最终所需的主通道认证数据,也即认证密钥。智能卡在得到该认证密钥后将其设定为通道认证密钥。同时,终端内部也会执行同样的解密操作。
S240,终端根据第一响应消息中的主通道认证数据对所述智能卡的主安全域进行通道认证。
终端根据解密后的通道认证密钥对智能卡的主安全域进行通道认证。当终端通道认证完成且认证成功后,即完成了后台服务器与智能卡之间的安全通道的建立,则执行S120,否则执行250。
S250,结束本次操作。
S120,对智能卡进行应用管理操作。
对智能卡进行应用管理操作可以为对应用进行安全域创建、安全域删除、应用装载、应用的安装和应用删除等操作。
上述智能卡应用管理方法,在对智能卡进行应用管理操作之前,通过终端根据智能卡的卡识别标识和主安全域标识生成安全通道建立请求,也即由终端发起安全通道建立请求,并通过后台服务器对该请求做出响应,输出安全通道建立所需的主通道认证数据,从而利用该主通道认证数据对智能卡的主安全域进行通道认证,并仅在认证成功后对该智能卡进行应用管理操作。上述智能卡应用管理方法,通道认证所需的数据由后台服务器生成,也即整个控制是由后台服务器来实现,而终端仅仅起到数据转发的作用,从而可以有效避免由终端主控进行安全通道认证可能存在的安全问题,提高了管理过程的安全性。
图4为另一实施例中的智能卡应用管理方法的流程图,该方法包括以下步骤:
S310,构建智能卡与后台服务器之间的安全通道。
S320,在智能卡内通过主安全域为该应用创建辅安全域。
在本实施例中,在对目标应用进行管理之前,需要为其创建一个辅安全域,来实现对该应用的管理。创建辅安全域的过程包括以下子步骤,如图5所示。
S410,终端根据预设辅通道认证数据通过智能卡的主安全域创建辅安全域。
终端根据与智能卡之间约定的预设辅通道认证数据(或者默认的辅通道认证数据)也即预设辅通道认证密钥在智能卡的主安全域的授权下创建辅安全域。预设辅通道认证密钥即为当前该辅安全域的认证密钥。
S420,终端在创建辅安全域后向后台服务器发出辅通道认证数据修改请求。
终端生成的辅通道认证数据修改请求携带有智能卡的卡识别标识信息,以便于后台服务器根据该卡识别标识识别智能卡。
S430,后台服务器根据辅通道认证数据中的卡识别标识信息对智能卡进行识别并获取对应的预设辅通道认证数据。
预设辅安全认证数据可以预先存储在后台服务器以及终端内。
S440,后台服务器根据卡识别标识和预设辅通道认证数据生成请求消息发送至辅安全域的业务方服务器
后台服务器与该辅安全域的业务方服务器通过网络信号进行连接,并将智能卡识别标识和预设辅通道认证数据也即预设辅通道认证密钥生成请求消息给该业务方服务器。业务方服务器在接收到该请求消息后,生成新的由业务方控制的辅通道认证密钥作为辅通道认证数据。在本实施例中,业务方服务器会根据预置密钥对该新的辅通道认证密钥以及接收到的预设辅通道认证数据进行加密形成密文后,将该密文以及预置密钥的密钥序号进行组包处理后作为第二响应消息输出给终端。
S450,终端接收业务方服务器返回的第二响应消息并发送至智能卡。
在本实施例中,终端会对第二响应消息进行解包处理,然后得到密文以及预置密钥的密钥序号。终端将解包得到的密文和该预置密钥的密钥序号发送给智能卡。智能卡根据该预置密钥的密钥序号索引到解密所需的密钥后对密文进行解密,从而得到新的辅通道认证数据,也即新的辅通道认证密钥。智能卡在得到该认证密钥后将其设定为通道认证密钥。同时,终端内部也会执行同样的解密操作。
S460,智能卡判断第二响应消息中的预设辅通道认证数据与智能卡内的预设辅通道认证数据是否一致。
当二者一致,则执行S470,否则执行S490。通过判断第二响应消息中的预设辅通道认证数据与智能卡内的预设辅通道认证数据是否一致,可以避免第二响应消息错误发送至非目标应用的辅安全域的问题发生,从而提高了多应用管理过程的可靠性,减少了应用管理之间的相互干扰。
S470,终端利用预设辅通道认证数据对对应的辅安全域进行通道认证。
终端在认证成功后执行S480,否则执行S490,从而确保终端与智能卡之间的辅安全通道同样安全。
S480,终端将预设辅通道认证数据修改为接收到的新的辅通道认证数据。
终端将辅安全域的预设辅通道认证数据修改为接收到的新的辅通道认证数据,从而将该新的辅通道认证数据作为后续管理过程的认证数据来进行认证。
在一实施例中,终端在完成辅通道认证数据的修改后,还会将修改成功消息反馈给业务方服务器。业务方服务器则使用新的辅通道认证密钥对辅安全域进行认证并执行相应的应用管理操作,比如将应用下载、安装到对应的辅安全域中等。
S490,结束本次操作。
在一实施例中,终端在结束操作后,还会将操作失败反馈给业务方服务器,由业务方服务器通过后台服务器终止所有操作。
S330,对智能卡进行应用管理操作。
对智能卡的该应用进行应用管理操作的过程,采用新的辅通道认证数据进行通道认证。应用管理操作的具体流程如图6所示,包括以下步骤:
S510,终端向智能卡的该应用对应的辅安全域发出事件消息。
终端可以通过其内部的应用程序通过蓝牙通道向智能卡的该应用对应的辅安全域发出事件消息。事件消息为对该应用进行某一具体操作的消息。
S520,终端根据事件消息获取智能卡的相关参数并将相关参数输出给业务方服务器。
相关参数至少包括辅安全域识别标识,如标识ID号,从而根据该辅安全域识别标识即可知道事件消息需要操作的辅安全域。业务方服务器也即为事件处理者。
S530,业务方服务器接收相关参数后对相关参数进行处理并生成带有智能卡的卡识别标识的请求消息后将请求消息发送给后台服务器。
业务方服务器会根据终端和后台服务器交互的协议格式将数据进行打包处理,让双方均能够识别,并在处理后生成请求消息。
S540,后台服务器接收请求消息并对请求消息进行处理后生成响应消息,并通过终端输出给智能卡。
响应消息包含需要操作的辅安全域的识别标识以及该辅安全域下的应用标识号。
S550,智能卡接收该响应消息后对相应的辅安全域进行指定的操作。
指定的操作可以是应用的下载、安装、删除等。
上述智能卡应用管理过程中,通过业务方服务器给创建的辅安全域提供新的辅通道认证数据作为智能卡上该辅安全域的认证数据,从而可以使得各应用均采用不同的认证数据进行认证,避免相互之间的干扰。
图7为一实施例中的智能卡应用管理系统的结构框图,该智能卡应用管理系统用于对智能卡进行应用管理操作。智能卡应用管理系统还用于构件智能卡与后台服务器之间的安全通道。
该智能卡应用管理系统包括终端610和后台服务器620。终端610通过蓝牙通道与智能卡60进行连接,并通过通信网络与后台服务器620连接。智能卡60内的安全域管理模块用于对主安全域和辅安全域进行管理,如图2所示。终端610可以为手机、平板、掌上电脑等智能移动终端。后台服务器620可以为TSM平台。
终端610用于接收智能卡60的卡识别标识和主安全域标识并生成安全通道建立请求后输出给后台服务器620。后台服务器620用于根据安全通道建立请求确定对主安全域进行通道认证所需的主通道认证数据形成第一响应消息后输出给终端610。终端610还用于接收第一响应消息并将第一响应消息发送至智能卡60。终端610还用于根据第一响应消息中的主通道认证数据对智能卡的主安全域进行通道认证,并仅在完成通道认证并认证成功后对智能卡60进行应用管理操作。
在一实施例中,智能卡应用管理系统还用于在对智能卡进行应用管理操作之前通过主安全域为该应用创建辅安全域。应用管理操作在辅安全域内执行。具体地,终端610用于根据预设辅通道认证数据通过智能卡60的主安全域创建辅安全域。终端610还用于在创建辅安全域后向后台服务器620发出辅通道认证数据修改请求。辅通道认证数据修改请求携带有智能卡60的卡识别标识信息。后台服务器620还用于根据辅通道认证数据中的卡识别标识信息对智能卡60进行识别后获取对应的预设辅通道认证数据,并根据卡识别标识和预设辅通道认证数据生成请求消息发送至辅安全域的业务方服务器62。业务方服务器62在接收到该请求消息后,生成新的由业务方控制的辅通道认证密钥作为辅通道认证数据。终端610还用于接收业务方服务器62返回的第二响应消息并发送至智能卡60。第二响应消息包括新的辅通道认证数据和预设辅通道认证数据。终端610仅在智能卡60判断出第二响应消息中的预设辅通道认证数据与智能卡60内的预设辅通道认证数据一致时,利用预设辅通道认证数据对对应的辅安全域进行通道认证。终端610还用于在辅安全域的通道认证成功后将预设辅通道认证数据修改为所述新的辅通道认证数据。在一实施例中,终端610还用于在将预设辅通道认证数据修改为所述新的辅通道认证数据之后,向业务方服务器62返回辅通道认证数据修改成功消息,以使得业务方服务器62利用所述新的辅通道安全认证数据对智能卡60的辅安全域进行认证,并执行应用管理操作。
上述智能卡应用管理系统,在对智能卡进行应用管理操作之前,通过终端根据智能卡的卡识别标识和主安全域标识生成安全通道建立请求,也即由终端发起安全通道建立请求,并通过后台服务器对该请求做出响应,输出安全通道建立所需的主通道认证数据,从而利用该主通道认证数据对智能卡的主安全域进行通道认证,并仅在认证成功后对该智能卡进行应用管理操作。上述智能卡应用管理系统,通道认证所需的数据由后台服务器生成,也即整个控制是由后台服务器来实现,而终端仅仅起到数据转发的作用,从而可以有效避免通过终端进行安全通道认证可能存在的安全问题,提高了管理过程的安全性。
本发明还提供一种终端,用于对智能卡进行应用管理。图8为该终端的结构框图,该终端包括接收模块710、生成模块720、输出模块730以及认证模块740。接收模块710用于接收智能卡的卡识别标识和主安全域标识。生成模块720用于根据卡识别标识和主安全域标识生成安全通道建立请求。输出模块730用于将安全通道建立请求输出给后台服务器。接收模块710还用于接收后台服务器返回的第一响应消息。第一响应消息携带有主通道认证数据消息。输出模块730还用于将第一响应消息发送至智能卡。认证模块740用于根据第一响应消息中的主通道认证数据对智能卡的主安全通道进行认证。
本发明还提供一种智能卡。该智能卡包括主控制器,所述主控制器包括安全域管理模块810,还包括输出模块820、接收模块830和认证模块840,如图9所示。安全域管理模块810用于对主安全域和辅安全域进行管理。输出模块820用于向终端输出智能卡的卡识别标识和主安全域标识。接收模块830用于接收终端发送来的第一响应消息。第一响应消息由后台服务器生成,且第一响应消息携带有主通道认证数据消息。认证模块840用于根据第一响应消息中的主通道认证数据与终端进行主安全通道认证。
以上所述实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本发明的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。
Claims (6)
1.一种智能卡应用管理方法,其特征在于,包括在对智能卡进行应用管理操作之前构建所述智能卡与后台服务器之间的安全通道的步骤;所述构建所述智能卡与后台服务器之间的安全通道的步骤包括:
终端接收所述智能卡的卡识别标识和主安全域标识并生成安全通道建立请求后输出给后台服务器;
后台服务器根据所述安全通道建立请求确定对主安全域进行通道认证所需的主通道认证数据形成第一响应消息后输出给终端;
终端接收所述第一响应消息并将所述第一响应消息发送至所述智能卡;
终端根据所述第一响应消息中的主通道认证数据对所述智能卡的主安全域进行通道认证;
终端仅在完成通道认证并认证成功后对智能卡进行应用管理操作;
其中,所述构建智能卡与后台服务器之间的安全通道的步骤之后、所述对智能卡进行应用管理操作之前,还包括在智能卡内通过主安全域为所述应用创建辅安全域的步骤;所述应用管理操作在所述辅安全域内执行;所述在智能卡内通过主安全域为所述应用创建辅安全域的步骤包括:
终端根据预设辅通道认证数据通过智能卡的主安全域创建辅安全域;
终端在创建所述辅安全域后向后台服务器发出辅通道认证数据修改请求;所述辅通道认证数据修改请求携带有智能卡的卡识别标识信息;
后台服务器根据所述辅通道认证数据中的卡识别标识信息对智能卡进行识别并获取对应的预设辅通道认证数据;
后台服务器根据所述卡识别标识和所述预设辅通道认证数据生成请求消息发送至辅安全域的业务方服务器;
终端接收业务方服务器返回的第二响应消息并发送至智能卡;所述第二响应消息包括新的辅通道认证数据和所述预设辅通道认证数据;
终端仅在智能卡判断出所述第二响应消息中的预设辅通道认证数据与智能卡内的预设辅通道认证数据一致时,利用所述预设辅通道认证数据对对应的辅安全域进行通道认证;
终端在辅安全域的通道认证成功后将所述预设辅通道认证数据修改为所述新的辅通道认证数据;
所述后台服务器根据所述安全通道建立请求确定对主安全域进行通道认证所需的主通道认证数据形成第一响应消息后输出给终端的步骤中,后台服务器会利用预置密钥对所述主通道认证数据进行加密形成密文后,将所述密文和所述预置密钥的密钥序号进行组包处理后形成第一响应消息并输出给终端;
所述终端接收所述第一响应消息并将所述第一响应消息送至智能卡的步骤中,终端对所述第一响应消息进行解包处理后将所述密文和所述密钥序号发送给智能卡,以供智能卡根据所述密钥序号获取密钥并对所述密文进行解密以得到所述主通道认证数据。
2.根据权利要求1所述的方法,其特征在于,所述终端在辅安全域的通道认证成功后将所述预设辅通道认证数据修改为所述新的辅通道认证数据的步骤之后,还包括:
终端向业务方服务器返回辅通道认证数据修改成功消息,以使得业务方服务器利用所述新的辅通道安全认证数据对智能卡的辅安全域进行认证,并执行应用管理操作。
3.一种智能卡应用管理系统,用于对智能卡进行应用管理操作,其特征在于,所述智能卡应用管理系统还用于构建所述智能卡与后台服务器之间的安全通道;所述智能卡应用管理系统包括:
终端,用于接收所述智能卡的卡识别标识和主安全域标识并生成安全通道建立请求后输出给后台服务器;
后台服务器,用于根据所述安全通道建立请求确定对主安全域进行通道认证所需的主通道认证数据形成第一响应消息后输出给所述终端;
所述终端还用于接收所述第一响应消息并将所述第一响应消息发送至智能卡;所述终端还用于根据所述第一响应消息中的主通道认证数据对所述智能卡的主安全域进行通道认证,并仅在完成通道认证并认证成功后对智能卡进行应用管理操作;
所述智能卡应用管理系统还用于在智能卡内通过主安全域为所述应用创建辅安全域;所述应用管理操作在所述辅安全域内执行;其中:
所述终端用于根据预设辅通道认证数据通过智能卡的主安全域创建辅安全域;
所述终端还用于在创建所述辅安全域后向后台服务器发出辅通道认证数据修改请求;所述辅通道认证数据修改请求携带有智能卡的卡识别标识信息;
所述后台服务器还用于根据所述辅通道认证数据中的卡识别标识信息对智能卡进行识别并获取对应的预设辅通道认证数据,并根据所述卡识别标识和所述预设辅通道认证数据生成请求消息发送至辅安全域的业务方服务器;
所述终端还用于接收业务方服务器返回的第二响应消息并发送至智能卡;所述第二响应消息包括新的辅通道认证数据和所述预设辅通道认证数据;所述终端仅在智能卡判断出所述第二响应消息中的预设辅通道认证数据与智能卡内的预设辅通道认证数据一致时,利用所述预设辅通道认证数据对对应的辅安全域进行通道认证;
所述终端还用于在辅安全域的通道认证成功后将所述预设辅通道认证数据修改为所述新的辅通道认证数据;
所述后台服务器还用于在利用预置密钥对所述主通道认证数据进行加密形成密文后,将所述密文和所述预置密钥的密钥序号进行组包处理后形成第一响应消息并输出给终端;
所述终端还用于对所述第一响应消息进行解包处理后将所述密文和所述密钥序号发送给智能卡,以供智能卡根据所述密钥序号获取密钥并对所述密文进行解密以得到所述主通道认证数据。
4.根据权利要求3所述的智能卡应用管理系统,其特征在于,所述终端还用于在将所述预设辅通道认证数据修改为所述新的辅通道认证数据之后,向业务方服务器返回辅通道认证数据修改成功消息,以使得业务方服务器利用所述新的辅通道安全认证数据对智能卡的辅安全域进行认证,并执行应用管理操作。
5.一种终端,用于对智能卡进行应用管理,其特征在于,包括:
接收模块,用于接收所述智能卡的卡识别标识和主安全域标识;
生成模块,用于根据所述卡识别标识和所述主安全域标识生成安全通道建立请求;
输出模块,用于将所述安全通道建立请求输出给后台服务器;
所述接收模块还用于接收后台服务器根据所述安全通道建立请求确定对主安全域进行通道认证所需的主通道认证数据返回的第一响应消息;所述第一响应消息携带有主通道认证数据消息;
所述输出模块还用于将所述第一响应消息发送至智能卡;
认证模块,用于根据所述第一响应消息中的主通道认证数据对所述智能卡的主安全通道进行认证;
所述生成模块还用于根据预设辅通道认证数据通过智能卡的主安全域创建辅安全域;
所述输出模块还用于在创建所述辅安全域后向后台服务器发出辅通道认证数据修改请求;所述辅通道认证数据修改请求携带有智能卡的卡识别标识信息;
所述接收模块还用于接收业务方服务器返回的第二响应消息;所述第二响应消息为所述后台服务器根据所述辅通道认证数据中的卡识别标识信息对智能卡进行识别并获取对应的预设辅通道认证数据、根据所述卡识别标识和所述预设辅通道认证数据生成请求消息发送至辅安全域的业务方服务器后所述业务方服务器返回的消息;所述输出模块还用于将所述第二响应消息发送至智能卡,所述第二响应消息包括新的辅通道认证数据和所述预设辅通道认证数据;
所述认证模块还用于在智能卡判断出所述第二响应消息中的预设辅通道认证数据与智能卡内的预设辅通道认证数据一致时,利用所述预设辅通道认证数据对对应的辅安全域进行通道认证,在辅安全域的通道认证成功后将所述预设辅通道认证数据修改为所述新的辅通道认证数据;
所述接收模块还用于接收所述后台服务器利用预置密钥对所述主通道认证数据进行加密形成密文后,将所述密文和所述预置密钥的密钥序号进行组包处理后形成的第一响应消息;
所述输出模块还用于对所述第一响应消息进行解包处理后将所述密文和所述密钥序号发送给智能卡,以供智能卡根据所述密钥序号获取密钥并对所述密文进行解密以得到所述主通道认证数据。
6.一种智能卡,包括主控制器,所述主控制器包括安全域管理模块,用于对主安全域进行管理,其特征在于,所述主控制器还包括:
输出模块,用于向终端输出智能卡的卡识别标识和主安全域标识;
接收模块,用于接收终端发送来的第一响应消息;所述第一响应消息为所述终端接收所述智能卡的卡识别标识和主安全域标识并生成安全通道建立请求后输出给后台服务器后由后台服务器根据所述安全通道建立请求确定对主安全域进行通道认证所需的主通道认证数据形成的消息,且所述第一响应消息携带有主通道认证数据消息;
认证模块,用于根据所述第一响应消息中的主通道认证数据与终端进行主安全通道认证;
所述接收模块还用于接收所述终端发送来的第二响应消息;所述第二响应消息为所述终端根据预设辅通道认证数据通过所述智能卡的主安全域创建辅安全域、在创建所述辅安全域后向所述后台服务器发出辅通道认证数据修改请求,所述辅通道认证数据修改请求携带有智能卡的卡识别标识信息,所述后台服务器根据所述辅通道认证数据中的卡识别标识信息对所述智能卡进行识别并获取对应的预设辅通道认证数据、根据所述卡识别标识和所述预设辅通道认证数据生成请求消息发送至辅安全域的业务方服务器,终端接收的业务方服务器返回的消息;所述第二响应消息包括新的辅通道认证数据和预设辅通道认证数据;
所述认证模块还用于判断出所述第二响应消息中的预设辅通道认证数据与智能卡内的预设辅通道认证数据一致时,利用所述预设辅通道认证数据对对应的辅安全域进行通道认证;
所述接收模块还用于接收终端对所述第一响应消息进行解包处理后得到的密文和密钥序号,以供智能卡根据所述密钥序号获取密钥并对所述密文进行解密以得到所述主通道认证数据;所述第一响应消息为终端在辅安全域的通道认证成功后将所述预设辅通道认证数据修改为所述新的辅通道认证数据,所述后台服务器利用预置密钥对所述主通道认证数据进行加密形成密文后,将所述密文和所述预置密钥的密钥序号进行组包处理后形成的消息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611117182.6A CN106685931B (zh) | 2016-12-07 | 2016-12-07 | 智能卡应用管理方法和系统、终端和智能卡 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611117182.6A CN106685931B (zh) | 2016-12-07 | 2016-12-07 | 智能卡应用管理方法和系统、终端和智能卡 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106685931A CN106685931A (zh) | 2017-05-17 |
| CN106685931B true CN106685931B (zh) | 2020-01-14 |
Family
ID=58868500
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201611117182.6A Active CN106685931B (zh) | 2016-12-07 | 2016-12-07 | 智能卡应用管理方法和系统、终端和智能卡 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106685931B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113490210B (zh) * | 2021-06-17 | 2023-03-24 | 中国联合网络通信集团有限公司 | 一种辅助安全域的创建方法及系统 |
| CN115017498B (zh) * | 2021-11-19 | 2023-02-28 | 荣耀终端有限公司 | 小应用程序的操作方法和电子设备 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101729243A (zh) * | 2008-10-21 | 2010-06-09 | 中兴通讯股份有限公司 | 密钥更新方法和系统 |
| CN101742478A (zh) * | 2008-11-10 | 2010-06-16 | 中兴通讯股份有限公司 | 智能卡从安全域密钥更新分发方法、系统及移动终端 |
| CN103530775A (zh) * | 2012-09-28 | 2014-01-22 | 深圳市家富通汇科技有限公司 | 用于提供可控的可信服务管理平台的方法和系统 |
-
2016
- 2016-12-07 CN CN201611117182.6A patent/CN106685931B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101729243A (zh) * | 2008-10-21 | 2010-06-09 | 中兴通讯股份有限公司 | 密钥更新方法和系统 |
| CN101742478A (zh) * | 2008-11-10 | 2010-06-16 | 中兴通讯股份有限公司 | 智能卡从安全域密钥更新分发方法、系统及移动终端 |
| CN103530775A (zh) * | 2012-09-28 | 2014-01-22 | 深圳市家富通汇科技有限公司 | 用于提供可控的可信服务管理平台的方法和系统 |
Non-Patent Citations (1)
| Title |
|---|
| 面向安全单元的多应用管理系统设计与实现;杨坤;《万方数据》;20161103;第2.1,2.3.1,2.4.6,4.4.1.2小节,图2-3,图4-12,图4-21,图4-24 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106685931A (zh) | 2017-05-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108551443B (zh) | 一种应用登录方法、装置、终端设备及存储介质 | |
| US11329965B2 (en) | Method for dynamic encryption and signing, terminal, and server | |
| EP4081921B1 (en) | Contactless card personal identification system | |
| CN107801165B (zh) | 业务短信推送方法、装置、计算机设备和存储介质 | |
| US11882509B2 (en) | Virtual key binding method and system | |
| CN104618116B (zh) | 一种协同数字签名系统及其方法 | |
| CN110621014B (zh) | 一种车载设备及其程序升级方法、服务器 | |
| CN103974250A (zh) | 配置方法和设备 | |
| CN108199847B (zh) | 数字安全处理方法、计算机设备及存储介质 | |
| CN108200078B (zh) | 签名认证工具的下载安装方法及终端设备 | |
| CN103701977A (zh) | 便捷式电子设备、通信系统以及信息认证方法 | |
| CN111586671B (zh) | 嵌入式用户识别卡配置方法、装置、通信设备和存储介质 | |
| EP4068834A1 (en) | Initial security configuration method, security module, and terminal | |
| CN109583154A (zh) | 一种基于Web中间件访问智能密码钥匙的系统及方法 | |
| CN110278083A (zh) | 身份认证请求处理方法和装置、设备重置方法和装置 | |
| CN107872315B (zh) | 数据处理方法和智能终端 | |
| CN106685931B (zh) | 智能卡应用管理方法和系统、终端和智能卡 | |
| JP6192495B2 (ja) | 半導体素子、情報端末および半導体素子の制御方法、情報端末の制御方法 | |
| CN113132977A (zh) | 配网方法、配网系统及计算机可读存储介质 | |
| CN108574658B (zh) | 一种应用登录方法及其设备 | |
| CN106453335B (zh) | 一种数据传输方法及装置 | |
| CN114244505A (zh) | 一种基于安全芯片的安全通信方法 | |
| CN110443325B (zh) | 图形码生成方法、图形码处理方法、装置和存储介质 | |
| CN102426635B (zh) | 文件信息显示装置、显示方法及系统 | |
| CN115734221B (zh) | 物联网设备管理方法、设备、移动终端、装置及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20220802 Address after: 510000 Room 501, 5 / F, No.15 software Road, Tianhe District, Guangzhou City, Guangdong Province Patentee after: GUANGDONG CREATE TECHNOLOGY CO.,LTD. Address before: 518000 1306, building 3, COFCO Jinyun, Liutang, Xixiang, Bao'an District, Shenzhen City, Guangdong Province Patentee before: SHENZHEN CITY JIUHEJIU TECHNOLOGY CO.,LTD. |
|
| TR01 | Transfer of patent right |