CN108154361B - 一种移动终端内嵌u盾的访问方法及移动终端 - Google Patents
一种移动终端内嵌u盾的访问方法及移动终端 Download PDFInfo
- Publication number
- CN108154361B CN108154361B CN201711402339.4A CN201711402339A CN108154361B CN 108154361 B CN108154361 B CN 108154361B CN 201711402339 A CN201711402339 A CN 201711402339A CN 108154361 B CN108154361 B CN 108154361B
- Authority
- CN
- China
- Prior art keywords
- shield
- chip
- ese
- request
- ese chip
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/30—Payment architectures, schemes or protocols characterised by the use of specific devices or networks
- G06Q20/32—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using wireless devices
- G06Q20/322—Aspects of commerce using mobile devices [M-devices]
- G06Q20/3227—Aspects of commerce using mobile devices [M-devices] using secure elements embedded in M-devices
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/382—Payment protocols; Details thereof insuring higher security of transaction
- G06Q20/3821—Electronic credentials
- G06Q20/38215—Use of certificates or encrypted proofs of transaction rights
Landscapes
- Business, Economics & Management (AREA)
- Engineering & Computer Science (AREA)
- Accounting & Taxation (AREA)
- Physics & Mathematics (AREA)
- Strategic Management (AREA)
- General Business, Economics & Management (AREA)
- General Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Finance (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Storage Device Security (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本申请涉及通信技术领域,尤其涉及一种移动终端内嵌U盾的访问方法及移动终端,将U盾(也就是U盾应用程序)安装在集成于移动终端硬件芯片上的eSE芯片内,并且访问eSE芯片中U盾时,也就是通过eSE芯片中U盾验证交易合法性时,首先需要安全应用处理对eSE芯片中U盾的访问请求,然后通过安全应用与硬件可信芯片之间的通信接口一和硬件可信芯片与eSE芯片之间的通信接口二,将对eSE芯片中U盾的访问请求发送至eSE芯片的U盾中,因此本申请实施例所提供的移动终端可以实现U盾与移动终端同时具有贴身特性效果,尤其是实现U盾与手机同时具有贴身特性的效果,所以也就是本申请实施例所提供的移动终端可以实现保证支付安全的同时,提高支付的方便快捷性。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种移动终端内嵌U盾的访问方法及移动终端。
背景技术
随着互联网技术的不断发展,手机银行已经深入到人们的生活当中,由于手机银行需要安装在手机上,并且手机具有贴身特性,手机银行也就可以在任何时间、任何地点对账户进行查询或者转账等金融操作,所以当前手机银行支付、转账已经广泛地被人们使用。
目前,使用手机银行支付、转账通常会根据转账金额的大小设置有不同的认证模式,例如:转账金额由小到大认证模式分别为手机验证码、手机验证码+动态口令、手机U盾,手机验证码、手机验证码+动态口令的安全性较低,手机U盾安全性较高,但是U盾是一个单独的硬件设备,通过插入手机端口或者其他方式跟手机通讯,不具备贴身特性,所以经常会忘记携带U盾,进而也就影响了电子银行转账的方便快捷性。
因此,如何保证手机支付安全的同时,提高手机支付的方便快捷性,是本领域技术人员目前需要解决的技术问题。
发明内容
本申请提供了一种移动终端内嵌U盾的访问方法及移动终端,以保证支付安全的同时,提高了支付的方便快捷性。
为解决上述技术问题,本申请提供如下技术方案:
一种移动终端内嵌U盾的访问方法,包括如下步骤:
移动终端通过预先建立的软件安全区和硬件可信区域与eSE芯片建立通信连接;
通过建立的通信连接访问eSE芯片中预置的U盾。
如上所述的移动终端内嵌U盾的访问方法,其中,优选的是,软件安全区和硬件可信区域与eSE芯片建立通信连接具体包括:
软件安全区与硬件可信区域之间以及硬件可信区域与eSE芯片之间均具有安全通信接口。
如上所述的移动终端内嵌U盾的访问方法,其中,优选的是,
软件安全区与预先建立的软件非安全区建立通信连接;
通过与软件非安全区建立的通信连接所述软件安全区和硬件可信区域与外部设备进行通信。
如上所述的移动终端内嵌U盾的访问方法,其中,优选的是,
软件安全区接收软件非安全区对eSE芯片中预置的U盾的访问请求;
通过硬件可信区域与eSE芯片之间的安全通信接口向eSE芯片中预置的U盾发送访问请求。
如上所述的移动终端内嵌U盾的访问方法,其中,优选的是,
对eSE芯片中预置的U盾的访问请求包括:对U盾的鉴权请求和对交易认证信息的签名请求。
一种移动终端,包括:
集成于硬件芯片上的硬件可信芯片和eSE芯片;
硬件可信芯片上运行有安全应用,eSE芯片上运行有U盾;
安全应用与硬件可信芯片之间具有通信接口一;硬件可信芯片与eSE芯片之间具有通信接口二。
如上所述的移动终端,其中,优选的是,安全应用与硬件可信芯片之间的通信接口一为安全通信接口一,硬件可信芯片与eSE芯片之间的通信接口二为安全通信接口二。
如上所述的移动终端,其中,优选的是,硬件芯片上还集成有硬件公共芯片,硬件公共芯片上运行有普通应用,普通应用与安全应用之间具有通信接口三;
普通应用和硬件公共芯片具有与外部设备进行通信的通信接口。
如上所述的移动终端,其中,优选的是,安全应用通过通信接口三接收普通应用对eSE芯片中预置的U盾的访问请求;
通过硬件可信芯片与eSE芯片之间的通信接口二向eSE芯片中预置的U盾发送访问请求。
如上所述的移动终端,其中,优选的是,对eSE芯片中预置的U盾的访问请求包括:对U盾的鉴权请求和对交易认证信息的签名请求。
相对上述背景技术,本发明所提供的移动终端内嵌U盾的访问方法及移动终端,将U盾(也就是U盾应用程序)安装在集成于移动终端硬件芯片上的eSE芯片内,并且访问eSE芯片中U盾时,也就是通过eSE芯片中U盾验证交易合法性时,首先需要安全应用处理对eSE芯片中U盾的访问请求,然后通过安全应用与硬件可信芯片之间的通信接口一和硬件可信芯片与eSE芯片之间的通信接口二,将对eSE芯片中U盾的访问请求发送至eSE芯片的U盾中,因此本申请实施例所提供的移动终端可以实现U盾与移动终端同时具有贴身特性效果,尤其是实现U盾与手机同时具有贴身特性的效果,所以也就是本申请实施例所提供的移动终端可以实现保证支付安全的同时,提高支付的方便快捷性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,还可以根据这些附图获得其他的附图。
图1是本申请实施例一所提供的一种移动终端的示意图;
图2是本申请实施例二所提供的一种移动终端内嵌U盾的访问方法的流程图一;
图3是本申请实施例二所提供的一种移动终端内嵌U盾的访问方法的流程图二;
图4是本申请实施例二所提供的一种移动终端内嵌U盾的访问方法的流程图三;
图5是本申请实施例三所提供的移动终端进行支付交易的流程图;
图6是本申请实施例四所提供的向移动终端的eSE芯片内安装U盾、写证书的流程图;
图7是本申请实施例四所提供的向eSE芯片中的U盾写证书的流程图。
具体实施方式
下面详细描述本发明的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,仅用于解释本发明,而不能解释为对本发明的限制。
实施例一
本申请实施例所提供的移动终端可以是手机、平板电脑、等,如图1所示,包括:硬件芯片,在硬件芯片上集成有硬件可信芯片和eSE芯片,eSE芯片是一种安全芯片,主要负责数据安全存储和数据加密等工作;在硬件可信芯片上运行有安全应用,安全应用是需要认证的应用程序,是一种安全的应用程序,需要经过认证后才能运行;eSE芯片上运行有U盾,这里所说的U盾指的是U盾应用程序;安全应用与硬件可信芯片之间具有通信接口一,为了保证通信的安全性,安全应用与硬件可信芯片之间的通信接口一优选为安全通信接口一;硬件可信芯片与eSE芯片之间具有通信接口二,为了保证通信的安全性,硬件可信芯片与eSE芯片之间的通信接口二也优选为安全通信接口二,可以选择串行通信接口或者是并行的通信接口,通过硬件可信芯片与eSE芯片之间的通信接口二可以向eSE芯片中预置的U盾发送访问请求。
由于本申请实施例提供的移动终端,将U盾(也就是U盾应用程序)安装在集成于移动终端硬件芯片上的eSE芯片内,并且访问eSE芯片中U盾时,也就是通过eSE芯片中U盾验证交易合法性时,首先需要安全应用处理对eSE芯片中U盾的访问请求,然后通过安全应用与硬件可信芯片之间的通信接口一和硬件可信芯片与eSE芯片之间的通信接口二,将对eSE芯片中U盾的访问请求发送至eSE芯片的U盾中,因此本申请实施例所提供的移动终端可以实现U盾与移动终端同时具有贴身特性效果,尤其是实现U盾与手机同时具有贴身特性的效果,所以也就是本申请实施例所提供的移动终端可以实现保证支付安全的同时,提高支付的方便快捷性。
在上述基础上,继续参阅图1,移动终端的硬件芯片上还集成有硬件公共芯片,硬件公共芯片和硬件可信芯片是相互隔离的芯片,硬件公共芯片上运行有普通应用,普通应用是不需要认证的应用,是安全性低的应用;普通应用与安全应用之间具有通信接口三,通过该通信接口三可以将普通应用中的信息传输至安全应用中进行处理,安全应用通过通信接口三接收普通应用对eSE芯片中预置的U盾的访问请求;普通应用和硬件公共芯片具有与外部设备进行通信的通信接口,具体可以是普通应用与硬件公共芯片之间具有通信接口四,硬件公共芯片与外部设备之间通过通信模组和天线等进行通信,对于硬件公共芯片与外部设备之间可以是有线的通信方式,也可以是无线的通信方式。
为了普通应用在硬件公共芯片上和安全应用在硬件可信芯片上能够有效的运行,在硬件公共芯片上安装运行有操作系统内核软件,在硬件可信芯片上安装运行有相应的操作系统内核软件;硬件公共芯片上的操作系统内核是开放的操作系统,如:Android系统,硬件可信芯片上的操作系统内核是安全的操作系统,是封闭的操作系统,在硬件公共芯片上的普通应用需要访问在硬件可信芯片上的安全应用时,需要安全的操作系统及安全应用对普通应用的访问请求进行鉴权验证,符合条件时才允许普通应用访问安全应用,这就提高了访问安全应用的安全性,从而就进一步地提高了访问eSE芯片的U盾的安全性。
通过U盾进行交易时,首先需要对U盾进行鉴权,验证U盾的合法性,其次要对交易信息进行认证,验证交易的合法性,因此对eSE芯片中预置的U盾的访问请求包括:对U盾的鉴权请求和对交易认证信息的签名请求。
实施例二
本申请还提供了一种移动终端内嵌U盾的访问方法,如图2所示,包括如下步骤:
步骤S21、移动终端通过预先建立的软件安全区和硬件可信区域与eSE芯片建立通信连接;
其中,软件安全区和硬件可信区域与外部的设备没有通信连接,也就是软件安全区和硬件可信区域与外部设备之间没有通信接口,为了保证移动终端与外部设备之间可以进行通信,所以如图3所示,还可以包括如下步骤:
步骤S31、软件安全区与预先建立的软件非安全区建立通信连接;
在移动终端内部预先建立软件非安全区和硬件公共区域,软件非安全区运行于硬件公共区域上,并且软件非安全区和硬件公共区域可以与外部设备进行通信,也就是软件非安全区和硬件公共区域具有与外部设备进行通信的通信接口;软件安全区与软件非安全区之间建立通信连接;硬件公共区域与硬件可信区域之间是相互隔离的,相互之间不能进行通信。
为了保证软件非安全区和软件安全区的有效运行,在硬件公共区域和硬件可信区域均安装操作系统内核软件,在硬件公共区域上运行的操作系统内核软件是开放的操作系统,如:Android系统,在硬件可信区域上运行的操作系统内核软件是安全的操作系统,是封闭的操作系统,软件非安全区访问软件安全区时,需要软件安全区及其操作系统内核对软件非安全区的访问请求进行鉴权验证,符合条件时才允许软件非安全区对软件安全区进行访问。
步骤S32、通过建立的通信连接软件安全区和硬件可信区域与外部设备进行通信。
由于软件非安全区和硬件公共区域与外部设备之间可以进行通信连接,因此软件非安全区和硬件公共区域可以接受外部设备发送的信息或请求,还由于软件非安全区和软件安全区建立有通信连接,所以也就实现了软件安全区和硬件可信区域与外部设备进行通信的作用。
请继续参阅图2,步骤S22、通过建立的通信连接访问eSE芯片中预置的U盾。
通过软件安全区和硬件可信区域与eSE芯片建立通信连接,可以实现软件安全区和硬件可信区域对eSE芯片中预置的U盾的访问,也就实现了软件非安全区和硬件公共区域对eSE芯片中预置的U盾的访问。
优选地,软件安全区和硬件可信区域与eSE芯片建立通信连接具体包括:软件安全区与硬件可信区域之间以及硬件可信区域与eSE芯片之间均具有安全通信接口,硬件可信区域与eSE芯片之间均具有安全通信接口可以是选择串行通信接口或者是并行的通信接口。
如图4所示,在建立通信连接的基础上,对移动终端内嵌U盾的访问方法具体包括:
步骤S41、软件安全区接收软件非安全区对eSE芯片中预置的U盾的访问请求;
首先是,硬件公共区域的通信模块,或者是通信模组接收外部设备对eSE芯片中预置的U盾的访问请求,软件非安全区和硬件公共区对上述访问请求进行处理,根据上述访问请求中所包含的信息,软件非安全区将访问请求传输至相应的软件安全区。
步骤S42、通过硬件可信区域与eSE芯片之间的安全通信接口向eSE芯片中预置的U盾发送访问请求。
软件安全区接收软件非安全区发送的访问请求,然后对接收到的访问请求进行处理,根据访问请求包含的信息,通过硬件可信区域与eSE芯片之间的通信接口,将上述访问请求传输至eSE芯片内预置的U盾中。
通过U盾进行交易时,首先需要对U盾进行鉴权,验证U盾的合法性,其次要对交易信息进行认证,验证交易的合法性,因此对eSE芯片中预置的U盾的访问请求包括:对U盾的鉴权请求和对交易认证信息的签名请求。
对于上述的步骤,本实施例中不限定其前后的顺序,通过步骤的形式进行描述只是为了描述方便。
实施例三
本申请所提供的移动终端进行支付交易时,如图5所示,包括如下步骤:
步骤S51、普通应用生成交易信息,并将交易信息发送至银行服务器;
当在移动终端的普通应用内输入相应的信息,完成相应的操作,例如:在普通应用中输入转账金额,完成转账操作,普通应用就会触发开放的操作系统内核建立与安全应用之间的通信连接,并且触发通电开关对eSE芯片进行上电操作,同时普通应用完成转账操作后,也就生成了交易信息,通过普通应用与硬件公共芯片之间的通信连接和硬件公共芯片及其通信模块将生成的交易信息发送至银行服务器。
步骤S52、接收银行服务器发送的对交易认证信息的签名请求;
银行服务器接收到普通应用发送的交易信息后,解析交易信息,得到交易信息内包含的账户信息,然后根据账户信息查找银行服务器内预存的该账户对应的U盾盾号、证书序列号等,并且生成包含U盾盾号、证书序列号、随机数、普通应用标识、安全应用的标识等信息的对交易认证信息的签名请求,并将该请求发送至普通应用。
步骤S53、解析对交易认证信息的签名请求,并且向安全应用发送U盾盾号及判断U盾盾号是否一致的请求;
解析对交易认证信息的签名请求,得到需要访问的安全应用的标识、U盾盾号等信息,可以根据包含的信息判断上述请求的合法性,然后生成判断U盾盾号是否一致的请求,该请求包含安全应用的标识以及U盾盾号等信息,接着将该请求发送至安全应用。
步骤S54、安全应用将判断U盾盾号是否一致的请求通过硬件可信芯片与eSE芯片之间的通信连接发送至U盾中;
安全应用解析接收到的判断U盾盾号是否一致的请求,根据该请求中包含的安全应用的标识查找对应的安全应用,然后根据安全应用的访问权限,判断该请求的合法性,若合法则将判断U盾盾号是否一致的请求通过硬件可信芯片与eSE芯片之间的通信连接发送至U盾中。
步骤S55、根据判断U盾盾号是否一致的请求,读取U盾盾号,并且与预存于银行服务器中的U盾盾号进行比较,返回比较结果;
U盾接收到判断U盾盾号是否一致的请求,解析该请求得到预存于银行服务器中的U盾盾号,根据该请求读取U盾盾号,然后对U盾盾号和预存于银行服务器中的U盾盾号进行对比,对比一致则返回一致的比较结果,对比不一致则返回不一致的比较结果。
至于返回比较结果的步骤与上述步骤正好相反,即通过eSE芯片与硬件可信芯片之间的通信连接和安全应用与普通应用之间的通信连接将比较结果返回值普通应用,这里就不在赘述。
步骤S56、普通应用向eSE芯片中的U盾发送判断证书序列号的请求;
上述对比结果一致,普通应用根据对交易认证信息的签名请求向安全应用发送判断证书序列号的请求,安全应用通过硬件可信芯片和eSE芯片之间建立的通信连接,向eSE芯片中的U盾发送判断证书序列号的请求;
判断证书序列号的请求包括:预存于银行服务器中的证书序列号、安全应用的标识等信息,并且向eSE芯片中的U盾发送判断证书序列号的请求的步骤与上述发送判断U盾盾号是否一致的请求的步骤是一致的,这里不再赘述。
步骤S57、判断序列号一致后,普通应用向eSE芯片中的U盾发送签名的请求;
在发送签名请求之前,还需要计算Hash值,即判断序列号一致后,对交易认证信息的签名请求中包含随机数等信息,普通应用根据对交易认证信息的签名请求向安全应用发送随机数等信息计算Hash值的请求,安全应用通过硬件可信芯片和eSE芯片之间建立的通信连接,向eSE芯片中的U盾发送计算Hash值的请求,U盾可以根据计算Hash值的请求,对随机数等信息计算Hash值,计算完毕后,U盾向普通应用返回Hash值计算成功的消息。
接收到Hash值计算成功的消息后,普通应用向U盾发送签名的请求,U盾根据签名的请求使用eSE芯片内存储的证书对Hash值进行签名计算,当然对于对交易认证信息的计算方法可以是其他的方法,本申请中不限于是Hash值计算和证书认证,然后通过普通应用和硬件公共芯片与银行服务器之间的通信连接将签名结果返回至银行服务器,然后银行服务器对签名结果进行进一步的认证。
实施例四
在本申请所提供的移动终端在使用前需要向eSE芯片安装U盾,并且向U盾中写证书,具体如下:
根据不同的需要,可以在eSE芯片中安装多个U盾,也就是可以安装不同银行的U盾应用程序,为了不同U盾的独立性,在安装U盾之前需要在eSE芯片中创建辅助安全域,通过运行于硬件公共芯片上的eSE芯片卡应用向eSE芯片卡服务器发送创建辅助安全域的创建请求,根据创建请求eSE芯片卡服务器向eSE芯片内创建辅助安全域,并且生成辅助安全域的通信密钥,并且将辅助安全域的通信密钥存储于eSE芯片内。
创建辅助安全域成功后,向eSE芯片下载安装U盾,如图6所示,具体如下:
步骤S61、普通应用向银行服务器发送下载U盾的下载请求;
运行于硬件公共芯片上的普通应用,这里可以是运行于硬件公共芯片上的银行客户端应用,生成下载U盾的下载请求,该下载请求中可以包括需要下载的U盾盾号等信息,并且通过普通应用和硬件公共芯片与银行服务器之间建立的通信连接将下载U盾的下载请求发送至银行服务器。
步骤S62、接收银行服务器发送认证eSE芯片的认证请求;
银行服务器接收到下载U盾的下载请求后,解析下载U盾的下载请求得到需要下载的U盾盾号等信息,银行服务器根据下载请求中的信息生成认证eSE芯片的认证请求,其中,由于U盾的安装需要符合条件的eSE芯片,因此生成认证eSE芯片的认证请求中包括符合U盾的eSE芯片版本号等信息,然后将认证eSE芯片的认证请求发送至移动终端的普通应用。
步骤S63、接收普通应用发送的认证eSE芯片的认证请求,并将认证eSE芯片的认证请求发送至eSE芯片;
普通应用将认证eSE芯片的认证请求发送至相对应的安全应用,安全应用通过安全应用与硬件可信芯片之间的通信连接和硬件可信芯片与eSE芯片之间的通信连接将认证eSE芯片的认证请求发送至eSE芯片。
在上述步骤中,普通应用要对认证eSE芯片的认证请求进行验证,安全应用也会对认证eSE芯片的认证请求进行认证,只有认证合法后才会进行下一步操作,至于认证的方式本申请中不作限定,只要能够达到本申请实施例所要达到的技术效果即可。
步骤S64、根据认证eSE芯片的认证请求认证,返回认证结果;
解析认证eSE芯片的认证请求,获得符合U盾的eSE芯片版本号等信息,并且根据认证eSE芯片的认证请求获取eSE芯片版本号,对比获取eSE芯片版本号和符合U盾的eSE芯片版本号是否一致,一致则返回对比一致的认证结果,不一致则返回不一致的认证结果。
至于返回认证结果的步骤与上述发送认证eSE芯片的认证请求的步骤相反,最终将认证结果返回至银行服务器,具体这里就不在赘述。
步骤S65、接收银行服务器发送的U盾程序;
移动终端接收银行服务器发送的U盾安装程序,然后通过普通应用与安全应用之间的通信连接、安全应用与硬件可信芯片之间的通信连接和硬件可信芯片与eSE芯片之间的通信连接将U盾程序发送至eSE芯片中,具体发送步骤与上述发送认证eSE芯片的认证请求的步骤相同,这里就不在赘述。
然后,eSE芯片向银行服务器返回下载U盾程序成功的信息,具体返回步骤与接收银行服务器发送的U盾程序的步骤相反,这里就不在赘述。
步骤S66、银行服务器与eSE芯片之间进行相互认证;
当银行服务器接收到eSE芯片返回的下载U盾程序成功的信息后,银行服务器与eSE芯片之间进行相互认证,可以是通过预先设置的通信密钥进行认证,也可以通过其他的认证方式进行认证,本申请实施例中不限于认证的形式,只是银行服务器与eSE芯片之间相互认证过程中信息的传输是通过移动终端的硬件公共芯片和普通应用与外部设备之间的通信连接、普通应用与安全应用之间的通信连接、安全应用与硬件可信芯片之间的通信连接、硬件可信芯片与eSE芯片之间的通信连接进行传输。
步骤S67、更新辅助安全域密钥;
在银行服务器与eSE芯片之间相互认证认证成功,需要更新辅助安全域密钥,具体可以是,银行服务器生成辅助安全域密钥,并且通过上述认证过程中获得的预先设置的通信密钥进行加密,然后将加密后的辅助安全域密钥通过移动终端的硬件公共芯片和普通应用与外部设备之间的通信连接、普通应用与安全应用之间的通信连接、安全应用与硬件可信芯片之间的通信连接、硬件可信芯片与eSE芯片之间的通信连接传输至eSE芯片内,eSE芯片利用预先设置的通信密钥解密得到辅助安全域密钥,接下来就可以通过辅助安全域密钥加密传输信息,更新辅助安全域密钥成功后,eSE芯片向银行服务器发送更新成功的消息。
步骤S68、接收银行服务器发送的安装U盾程序的指令;
银行服务器接收到更新成功的消息后,向移动终端发送安装U盾程序的指令,通过移动终端内部各个部件之间建立的通信连接,将安装U盾程序的指令传输至eSE芯片内,eSE芯片根据该指令将存储于其内的U盾程序安装在指定的位置,并且向银行服务器发送安装成功的消息。
步骤S69、银行服务器与U盾之间进行相互认证;
当银行服务器接收到安装成功的消息后,银行服务器与U盾之间进行相互认证,可以是银行服务器获取U盾的状态或者是与U盾之间进行通信以验证银行服务器与U盾之间的通信通道是否畅通,至于验证的方式本申请不作限定,验证后U盾向银行服务器返回验证结果。
步骤S610、向eSE芯片中的U盾写证书;
在银行服务器与U盾之间相互认证成功后,要向eSE芯片中的U盾写证书,如图7所示,具体步骤可以如下:
步骤S71、接收银行服务器发送的装载PIN码、创建文件、获取厂商版本号的请求;
银行服务器接收到验证成功的结果后,向移动终端发送装载PIN码、创建文件、获取厂商版本号的请求,移动终端通过移动终端的硬件公共芯片和普通应用与外部设备之间的通信连接、普通应用与安全应用之间的通信连接、安全应用与硬件可信芯片之间的通信连接、硬件可信芯片与eSE芯片之间的通信连接传输至eSE芯片中U盾,U盾根据请求创建文件、装置PIN码、获取U盾的厂商版本号,然后将获取的U盾厂商版本号及装载PIN码、创建文件、获取厂商版本号的结果返回银行服务器。
步骤S72、接收银行服务器发送的文件个人化、生成公私钥对等请求;
银行服务器接收到返回的获取的U盾厂商版本号及装载PIN码、创建文件、获取厂商版本号的结果,生成文件个人化、生成公私钥对等请求,然后将该请求发送至移动终端的eSE芯片中U盾,具体传输的步骤与上述传输的步骤均相同,这里就不再赘述。
eSE芯片中U盾根据上述请求,通过eSE芯片中生成公私钥对,具体可以利用PIN码生成公私钥对,按照规范建立文件结构,填写必要的数据内容,还可以对生成的公钥进行签名计算,将例如eSE芯片的版本号、U盾盾号等信息和公钥一起进行签名计算,然后eSE芯片中的U盾将签名信息发送至银行服务器。
步骤S73、接收银行服务器发送的证书,并且将证书存储于eSE芯片中。
银行服务器接收到上述签名信息,通过解密签名信息得到公钥,然后银行服务器利用其存储的授权私钥对公钥进行签名,生成U盾证书,将U盾证书发送移动终端的普通应用,通过上述传输方式将U盾证书发送至U盾中,然后将U盾证书和私钥存储于指定位置,利用eSE芯片自身的安全机制来保证数据、证书、密钥的安全。
为了进一步地保证U盾的安全性,还可以通过移动终端硬件公共芯片上的普通应用获取移动终端SEID码、IMEI码、MEID码等唯一识别该移动设备或者唯一识别该用户的标识码,然后在生成证书等的过程中使用,并且在支付过程中需要将移动终端或者用户等的标识码与证书中的进行对比,对比一致后完成支付,这样当U盾应用于其他移动设备时就阻止支付操作,也就进一步地提高了该移动终端安全性。
对于本领域技术人员而言,显然本发明不限于上述示范性实施例的细节,而且在不背离本发明的精神或基本特征的情况下,能够以其他的具体形式实现本发明。因此,无论从哪一点来看,均应将实施例看作是示范性的,而且是非限制性的,本发明的范围由所附权利要求而不是上述说明限定,因此旨在将落在权利要求的等同要件的含义和范围内的所有变化囊括在本发明内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。
此外,应当理解,虽然本说明书按照实施方式加以描述,但并非每个实施方式仅包含一个独立的技术方案,说明书的这种叙述方式仅仅是为清楚起见,本领域技术人员应当将说明书作为一个整体,各实施例中的技术方案也可以经适当组合,形成本领域技术人员可以理解的其他实施方式。
Claims (10)
1.一种移动终端内嵌U盾的访问方法,包括如下步骤:
移动终端通过预先建立的软件安全区和硬件可信区域与eSE芯片建立通信连接;
通过建立的通信连接访问eSE芯片中预置的U盾;
在向eSE芯片中安装U盾之前,通过运行于硬件公共芯片上的eSE芯片卡应用向eSE芯片卡服务器发送创建辅助安全域的创建请求,根据创建请求eSE芯片卡服务器向eSE芯片内创建辅助安全域,并且生产辅助安全域的通信密钥,并且将辅助安全域的通信密钥存储于eSE芯片内;
通过普通应用向银行服务器发送下载U盾的下载请求向eSE芯片下载安装U盾并更新辅助安全域的通信密钥;
普通应用向银行服务器发送下载U盾的下载请求;
接收银行服务器发送认证eSE芯片的认证请求;
接收普通应用发送的认证eSE芯片的认证请求,并将认证eSE芯片的认证请求发送至eSE芯片;
根据认证eSE芯片的认证请求认证,返回认证结果;
接收银行服务器发送的U盾程序;
银行服务器与eSE芯片之间进行相互认证;
更新辅助安全域密钥;
接收银行服务器发送的安装U盾程序的指令;
银行服务器与U盾之间进行相互认证;
向eSE芯片中的U盾写证书,具体步骤可以如下:
接收银行服务器发送的装载PIN码、创建文件、获取厂商版本号的请求;
接收银行服务器发送的文件个人化、生成公私钥对请求,eSE芯片中U盾对生成的公钥进行签名计算,将签名信息发送至银行服务器;
接收银行服务器发送的证书,并且将证书存储于eSE芯片中。
2.根据权利要求1所述的移动终端内嵌U盾的访问方法,其中,软件安全区和硬件可信区域与eSE芯片建立通信连接具体包括:
软件安全区与硬件可信区域之间以及硬件可信区域与eSE芯片之间均具有安全通信接口。
3.根据权利要求2所述的移动终端内嵌U盾的访问方法,其中,
软件安全区与预先建立的软件非安全区建立通信连接;
通过与软件非安全区建立的通信连接所述软件安全区和硬件可信区域与外部设备进行通信。
4.根据权利要求3所述的移动终端内嵌U盾的访问方法,其中,
软件安全区接收软件非安全区对eSE芯片中预置的U盾的访问请求;
通过硬件可信区域与eSE芯片之间的安全通信接口向eSE芯片中预置的U盾发送访问请求。
5.根据权利要求4所述的移动终端内嵌U盾的访问方法,其中,
对eSE芯片中预置的U盾的访问请求包括:对U盾的鉴权请求和对交易认证信息的签名请求。
6.一种移动终端,包括:
集成于硬件芯片上的硬件可信芯片和eSE芯片;
硬件可信芯片上运行有安全应用,eSE芯片上运行有U盾;
安全应用与硬件可信芯片之间具有通信接口一;硬件可信芯片与eSE芯片之间具有通信接口二;
在向eSE芯片中安装U盾之前,通过运行于硬件公共芯片上的eSE芯片卡应用向eSE芯片卡服务器发送创建辅助安全域的创建请求,根据创建请求eSE芯片卡服务器向eSE芯片内创建辅助安全域,并且生产辅助安全域的通信密钥,并且将辅助安全域的通信密钥存储于eSE芯片内;
通过普通应用向银行服务器发送下载U盾的下载请求向eSE芯片下载安装U盾并更新辅助安全域的通信密钥;
普通应用向银行服务器发送下载U盾的下载请求;
接收银行服务器发送认证eSE芯片的认证请求;
接收普通应用发送的认证eSE芯片的认证请求,并将认证eSE芯片的认证请求发送至eSE芯片;
根据认证eSE芯片的认证请求认证,返回认证结果;
接收银行服务器发送的U盾程序;
银行服务器与eSE芯片之间进行相互认证;
更新辅助安全域密钥;
接收银行服务器发送的安装U盾程序的指令;
银行服务器与U盾之间进行相互认证;
向eSE芯片中的U盾写证书,具体步骤可以如下:
接收银行服务器发送的装载PIN码、创建文件、获取厂商版本号的请求;
接收银行服务器发送的文件个人化、生成公私钥对请求,eSE芯片中U盾对生成的公钥进行签名计算,将签名信息发送至银行服务器;
接收银行服务器发送的证书,并且将证书存储于eSE芯片中。
7.根据权利要求6所述的移动终端,其中,安全应用与硬件可信芯片之间的通信接口一为安全通信接口一,硬件可信芯片与eSE芯片之间的通信接口二为安全通信接口二。
8.根据权利要求7所述的移动终端,其中,硬件芯片上还集成有硬件公共芯片,硬件公共芯片上运行有普通应用,普通应用与安全应用之间具有通信接口三;
普通应用和硬件公共芯片具有与外部设备进行通信的通信接口。
9.根据权利要求8所述的移动终端,其中,安全应用通过通信接口三接收普通应用对eSE芯片中预置的U盾的访问请求;
通过硬件可信芯片与eSE芯片之间的通信接口二向eSE芯片中预置的U盾发送访问请求。
10.根据权利要求9所述的移动终端,其中,对eSE芯片中预置的U盾的访问请求包括:对U盾的鉴权请求和对交易认证信息的签名请求。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711402339.4A CN108154361B (zh) | 2017-12-22 | 2017-12-22 | 一种移动终端内嵌u盾的访问方法及移动终端 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711402339.4A CN108154361B (zh) | 2017-12-22 | 2017-12-22 | 一种移动终端内嵌u盾的访问方法及移动终端 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN108154361A CN108154361A (zh) | 2018-06-12 |
CN108154361B true CN108154361B (zh) | 2020-08-14 |
Family
ID=62464179
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201711402339.4A Active CN108154361B (zh) | 2017-12-22 | 2017-12-22 | 一种移动终端内嵌u盾的访问方法及移动终端 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108154361B (zh) |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP5351953B2 (ja) * | 2011-12-28 | 2013-11-27 | 楽天株式会社 | 携帯端末、端末機能管理システム、端末機能管理方法、端末機能管理プログラム、及びそのプログラムを記録するコンピュータ読取可能な記録媒体 |
CN103942678A (zh) * | 2014-04-01 | 2014-07-23 | 武汉天喻信息产业股份有限公司 | 一种基于可信执行环境的移动支付系统及方法 |
CN105205370B (zh) * | 2015-08-24 | 2018-12-04 | 北京恒信安科技有限公司 | 移动终端安全防护方法及移动终端、安全系统和应用方法 |
CN106899551B (zh) * | 2015-12-21 | 2020-04-17 | 中国电信股份有限公司 | 认证方法、认证终端以及系统 |
CN106506472B (zh) * | 2016-11-01 | 2019-08-02 | 黄付营 | 一种安全的移动终端电子认证方法及系统 |
-
2017
- 2017-12-22 CN CN201711402339.4A patent/CN108154361B/zh active Active
Also Published As
Publication number | Publication date |
---|---|
CN108154361A (zh) | 2018-06-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8689290B2 (en) | System and method for securing a credential via user and server verification | |
CA2838763C (en) | Credential authentication methods and systems | |
US7775427B2 (en) | System and method for binding a smartcard and a smartcard reader | |
US20170055146A1 (en) | User authentication and/or online payment using near wireless communication with a host computer | |
CN108322416B (zh) | 一种安全认证实现方法、装置及系统 | |
KR101210260B1 (ko) | 통합센터를 이용한 유심칩기반 모바일 오티피 인증장치 및 인증방법 | |
WO2018021708A1 (ko) | 공개키 기반의 서비스 인증 방법 및 시스템 | |
CN109359977A (zh) | 网络通信方法、装置、计算机设备和存储介质 | |
KR20150059347A (ko) | 휴대 단말기, 단말기 및 보안쿠키를 이용한 인증 방법 | |
CN104426659A (zh) | 动态口令生成方法、认证方法及系统、相应设备 | |
US9674166B2 (en) | Method for securing a request for executing a first application, by a second application | |
KR101656458B1 (ko) | 본인 확인 및 본인 인증을 위한 인증 방법 및 시스템 | |
CN112765637A (zh) | 数据处理方法、密码服务装置和电子设备 | |
KR20090019576A (ko) | 모바일 단말기 인증 방법 및 모바일 단말기 인증 시스템 | |
CN109474431B (zh) | 客户端认证方法及计算机可读存储介质 | |
JP5277888B2 (ja) | アプリケーション発行システム、装置及び方法 | |
TW202207667A (zh) | 通訊系統中改善安全性之認證及驗證方法 | |
US20240113898A1 (en) | Secure Module and Method for App-to-App Mutual Trust Through App-Based Identity | |
CN108154361B (zh) | 一种移动终端内嵌u盾的访问方法及移动终端 | |
KR102160892B1 (ko) | 공개키 기반의 서비스 인증 방법 및 시스템 | |
US11849041B2 (en) | Secure exchange of session tokens for claims-based tokens in an extensible system | |
CN115277082B (zh) | 第三方应用的校验方法和装置 | |
WO2018017019A1 (en) | Personal security device and method | |
Joghal et al. | Improving the Security of SIM Applets by using TEE | |
Αγγελογιάννη | Analysis and implementation of the FIDO protocol in a trusted environment |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |