CN109600220A - 用于Java卡的可信服务管理方法和系统 - Google Patents
用于Java卡的可信服务管理方法和系统 Download PDFInfo
- Publication number
- CN109600220A CN109600220A CN201811492822.0A CN201811492822A CN109600220A CN 109600220 A CN109600220 A CN 109600220A CN 201811492822 A CN201811492822 A CN 201811492822A CN 109600220 A CN109600220 A CN 109600220A
- Authority
- CN
- China
- Prior art keywords
- application
- platform
- management
- provider
- tsm
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/083—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种用于Java卡的可信服务管理方法和系统,由公共服务平台、发行方TSM平台、应用提供方TSM平台和SE四个逻辑实体共同组成,每个逻辑实体都包括基本的配置、功能和交互接口。公共服务平台用于为跨机构的交互提供交互路由、应用共享、SE可信和SE开放共享等基础服务。本发明可以支持发行商、支付类应用提供商、移动网络提供商以及SE提供商的接入,实现了向服务平台提供应用发行、应用管理的能力,认证并授权各种平台使用相关的业务能力,为其提供安全和可靠的应用发行及应用管理的手段。
Description
技术领域
本发明涉及到信息安全领域,特别是涉及到一种用于Java卡的可信服务管理方法和系统。
背景技术
可信服务管理(Trusted Service Manager,TSM)是用来实现业务管理的第三方实体,业务功能覆盖终端管理、安全域管理、应用管理、用户管理、应用提供商管理、业务管理、密钥管理以及SE管理等诸多方面。TSM系统具备与手机终端、卡片等进行远程交互的能力,可对手机终端和卡上的数据(支付类应用、文件等)进行控制和管理,如卡片的锁定/解锁、应用的下载、应用个性化,以及安全域生成、密钥更新等管理操作。应用的下载、删除、管理可以通过多种承载方式,包括短信通道、手机客户端。
发明内容
本发明的目的是保护一种可管理的、为各行业提供基于用户终端和用户卡的各类应用发型及管理的公共开放服务平台,可以支持发行商、支付类应用提供商(例如银行)、移动网络提供商以及SE提供商(例如micro-SD发行方)的接入,实现了向服务平台提供应用发行、应用管理的能力,认证并授权各种平台使用相关的业务能力,为其提供安全和可靠的应用发行及应用管理的手段。
所采用的技术方案:一种用于Java卡的可信服务管理系统,包括公共服务平台、发行方TSM平台、应用提供方TSM平台和SE四个逻辑实体共同组成,每个逻辑实体都包括基本的配置、功能和交互接口。
其中,公共服务平台用于为跨机构的交互提供交互路由、 应用共享、 SE可信和SE开放共享等基础服务。
发行方TSM平台提供SE载体管理和多应用管理功能, 应用提供方TSM平台提供对自有应用的管理功能。
SE安全单元(Secure Element)作为可信服务管理系统的承载端,包括SE可信部件、SE开放共享部件和SE载体管理/多应用管理部件。
其中SE部件为安全芯片,内置32位的CPU,可以支持多种密码算法的运算,支持真随机数产生,支持安全存储等功能。
其中SE开放共享部件是采用芯片级内部集成存储单元,可实现密码资源的存储,同时可以实现外部应用数据的安全存储、隔离和共享等功能。
其中SE载体管理/多应用管理部件是采用自主研发的片上COS系统,可实现芯片内部的对象管理、防火墙管理、程序安装卸载、异常管理、事务管理、逻辑通道管理和应用管理等功能。
其中SE可信部件和SE开放共享部件配合公共公共服务平台实现安全可信和开放共享服务。
SE载体管理/多应用管理部件配合发行方TSM平台实现SE载体管理和多应用管理功能。
本发明中的公共服务平台是移动支付参与各方均认可的可信第三方实体,在跨机构的交互中,为发行方TSM平台、应用提供方TSM平台提供跨机构交互路由、 应用共享、 SE可信、 SE开放共享四大服务。
其中,跨机构交互路由服务包括 发行方TSM平台、应用提供方TSM平台接入、跨机构交互的路由发现、消息分发和数据资源地址传递。
应用共享服务包括应用注册、应用发现、全网应用注册表维护。
SE可信服务主要包括 SE 注册管理、 SE 及其持有人身份获取和实名身份信息传递。
SE开放共享服务主要包括金融类辅助安全域管理、初始密钥分发、应用授权管理。
发行方 TSM平台是承担 SE 载体管理与多应用管理的实体,提供 SE 载体管理与多应用管理两个服务。
其中,SE 载体管理包括 SE 的生命周期管理, 多应用管理包括应用提供方管理、辅助安全域的生命周期管理、应用存储与发布、应用管理授权、应用生命周期管理。
应用提供方 TSM平台是承担应用管理的实体,主要提供对自有应用的管理服务,包括应用提供方管理、应用存储与发布、应用生命周期管理。
本发明中的SE 是可信服务管理系统功能的承载端,存储基础配置并提供基础功能,例如程序、数据、密钥的存储功能,配合公共服务平台和 发行方TSM平台、应用提供方TSM平台实现相关服务,例如实现应用的远程下载、安装、更新、注销、卸载等服务。
在本发明中,SE至少包括 SE可信/开放共享部件和 SE 载体管理/多应用管理部件。
其中, SE可信/开放共享部件配置必要的安全域, 可存储密钥、证书等机密信息并提供密码计算等安全功能,具备相应的管理权限,配合公共服务平台, 为各参与方提供SE 及其持有人的实名身份信息,为应用提供方提供辅助安全域管理、应用下载授权等功能。
SE载体管理/多应用管理部件提供基础运行环境,提供基本公共服务,配置必要的安全域和管理权限,配合发行方TSM平台、应用提供方TSM平台实现SE载体管理和多应用管理功能。
一种用于Java卡的可信服务管理方法,参与实体包括发行方的 TSM 平台、 公共服务平台、应用提供方的 TSM 平台和SE。其中公共服务平台作为独立于发行方和应用提供方的可信第三方,作为授权管理者执行 SE 及其持有人的实名身份获取、实名身份传递,金融类辅助安全域的创建、密钥分发、删除、锁定/解锁操作;对金融类辅助安全域中的应用下载、安装等操作进行授权。
(1)应用下载中各实体关系操作步骤如下。
步骤1:管理客户端/SE 向其相连的发行方的 TSM 平台请求可用应用列表。
步骤2:如果所请求的应用列表范围超过了发行方的 TSM 平台,发行方的 TSM 平台转发该请求到公共服务平台,公共服务平台从全网注册表中返回应用列表。
步骤3:发行方的 TSM 平台返回应用列表给管理客户端/SE。其中“/”表示或者关系。
步骤4:用户根据返回的应用列表, 通过管理客户端/SE 选择应用下载,该请求发送到管理客户端连接的发行方 TSM 平台。 发行方 TSM 平台转发该请求到公共服务平台。
步骤5:公共服务平台协商应用提供方的 TSM 平台和发行方的 TSM 平台, 获得双方的下载授权, 这些操作均通过公共服务平台中转。
步骤6:授权完成后,公共服务平台向管理客户端/SE 返回应用的数据资源地址,该消息通过客户端/SE 相连的发行方 TSM 平台中转。
步骤7:管理客户端/SE 根据数据资源定位地址,和应用提供方的 TSM 平台建立直连通道,发出下载请求并下载所选应用。
(2)安全域操作中各实体操作步骤:
步骤1:SE 在用户发放前, 配置由公共服务平台持有的 SE 可信/开放共享部件,该部件体现为独立的授权管理者安全域及其权限和服务。
步骤2:发行方的 TSM 平台向用户发 SE,并持有主安全域(ISD)。
步骤3:应用提供方的 TSM 平台需要进行金融类辅助安全域操作前, 需要请求公共服务平台通过 SE 可信部件验证并获取 SE 及其持有人身份。
步骤4:公共服务平台通过 SE 可信部件验证并获取 SE 及其持有人身份信息,并传递给应用提供方的 TSM 平台。
步骤5:应用提供方的 TSM 平台对所获得的实名身份根据业务安全等级要求进行核实,如临柜核实或电话核实等。
步骤6:如果 SE 及其持有人身份合法,则向公共服务平台发出操作请求,操作类型包括金融类辅助安全域的创建、删除、 锁定/解锁、个人化、状态查询。
步骤7:如果需要和发行方的 TSM 平台进行操作的协商,公共服务平台和发行方的 TSM平台交互并获得许可。
步骤8:公共服务平台通过 SE 开放共享部件下发操作命令。
步骤9:SE 开放共享部件执行金融类辅助安全域的相关操作。
步骤10、步骤11:如果需要进行金融类辅助安全域的个人化操作, 公共服务平台分发初始化密钥给应用提供方的 TSM 平台。应用提供方的 TSM 平台更新密钥并持有安全域。
应用提供方的 TSM 平台持有金融类辅助安全域后,应用的操作由应用提供方的TSM 平台实施,但需要由公共服务平台提供授权。
(3)应用操作中实体关系操作步骤:
步骤1:应用提供方的 TSM 平台执行操作前,向公共服务平台请求应用操作的授权。
步骤2:如果需要, 公共服务平台和发行方的 TSM 平台协商,获得应用操作的许可。
步骤3:公共服务平台对应用进行授权并返回给应用提供方的 TSM 平台,该授权具体体现为一个令牌。
步骤4:应用提供方的 TSM 平台下发应用操作脚本到其持有的安全域。
步骤5:SE 中由 SE 开放共享部件对操作的授权进行验证,如果通过,那么该操作执行。否则该操作失败。
本发明的有益效果:本发明是一种可管理的、为各行业提供基于用户终端和用户卡的各类应用发型及管理的公共开放服务平台,可以支持发行商、支付类应用提供商(例如银行)、移动网络提供商以及SE提供商(例如micro-SD发行方)的接入,实现了向服务平台提供应用发行、应用管理的能力,认证并授权各种平台使用相关的业务能力,为其提供安全和可靠的应用发行及应用管理供必要的手段。
本发明还是一种安全模块提供商SEI(Secure Element Issures)TSM(TrustedService Manager),负责为SE提供商提供SE生命周期和安全域管理服务,支持多种业务平台的接入,为业务提供方提供安全的发卡渠道,实现应用和安全域的管理,主要功能包括应用发行管理和安全模块管理。相当于一个聚合器,支持同时接入多个SP以及SP TSM平台,仅负责对SE的访问控制,并为其它角色提供卡内容管理。
附图说明
图1是可信服务管理系统架构图。
图2 是公共服务平台基础服务关系框图。
图3 是跨机构应用共享——应用下载关系图。
图4 是公共服务平台作为可信第三方共享模型-安全域操作关系图。
图5是 公共服务平台作为可信第三方共享模型-应用操作关系图。
具体实施方式
实施例1:一种用于Java卡的可信服务管理系统,如图2所示,由公共服务平台、发行方TSM平台、应用提供方TSM平台和SE四个逻辑实体共同组成,每个逻辑实体都包括基本的配置、功能和交互接口。
如图1所示,公共服务平台用于为跨机构的交互提供交互路由、 应用共享、 SE可信和SE开放共享等基础服务。
发行方TSM平台提供SE载体管理和多应用管理功能, 应用提供方TSM平台提供对自有应用的管理功能。
SE作为可信服务管理系统的承载端,包括SE可信部件、SE开放共享部件和SE载体管理/多应用管理部件。其中SE可信部件和SE开放共享部件配合公共公共服务平台实现安全可信和开放共享服务。SE载体管理/多应用管理部件配合发行方TSM平台实现SE载体管理和多应用管理功能。
本发明中的公共服务平台是移动支付参与各方均认可的可信第三方实体,在跨机构的交互中,为发行方TSM平台、应用提供方TSM平台提供跨机构交互路由、 应用共享、 SE可信、 SE开放共享四大服务。
如图1中,跨机构交互路由服务包括 发行方TSM平台、应用提供方TSM平台接入、跨机构交互的路由发现、消息分发和数据资源地址传递。
应用共享服务包括应用注册、应用发现、全网应用注册表维护。
SE可信服务主要包括 SE 注册管理、 SE 及其持有人身份获取和实名身份信息传递。
SE开放共享服务主要包括金融类辅助安全域管理、初始密钥分发、应用授权管理。
发行方 TSM平台是承担 SE 载体管理与多应用管理的实体,提供 SE 载体管理与多应用管理两个服务。
其中, SE 载体管理包括 SE 的生命周期管理, 多应用管理包括应用提供方管理、辅助安全域的生命周期管理、应用存储与发布、应用管理授权、应用生命周期管理。
应用提供方 TSM平台是承担应用管理的实体,主要提供对自有应用的管理服务,包括应用提供方管理、应用存储与发布、应用生命周期管理。
本发明中的SE 是可信服务管理系统功能的承载端,存储基础配置并提供基础功能,配合公共服务平台和 发行方TSM平台、应用提供方TSM平台实现相关服务。
在本发明中,SE至少包括 SE可信/开放共享部件和 SE 载体管理/多应用管理部件。
其中, SE可信/开放共享部件配置必要的安全域, 可存储密钥、证书等机密信息并提供密码计算等安全功能,具备相应的管理权限,配合公共服务平台, 为各参与方提供SE 及其持有人的实名身份信息,为应用提供方提供辅助安全域管理、应用下载授权等功能。
SE载体管理/多应用管理部件提供基础运行环境,提供基本公共服务,配置必要的安全域和管理权限,配合发行方TSM平台、应用提供方TSM平台实现SE载体管理和多应用管理功能。
实施例2:一种用于Java卡的可信服务管理方法,如图3所示,跨机构应用共享——应用下载。实体关系描述如下。
步骤1:管理客户端/SE 向其相连的发行方的 TSM 平台请求可用应用列表。
步骤2:如果所请求的应用列表范围超过了发行方的 TSM 平台,发行方的 TSM 平台转发该请求到公共服务平台,公共服务平台从全网注册表中返回应用列表。
步骤3:发行方的 TSM 平台返回应用列表给管理客户端/SE。
步骤4:用户根据返回的应用列表, 通过管理客户端/SE 选择应用下载,该请求发送到管理客户端连接的发行方 TSM 平台。 发行方 TSM 平台转发该请求到公共服务平台。
步骤5:公共服务平台协商应用提供方的 TSM 平台和发行方的 TSM 平台, 获得双方的下载授权, 这些操作均通过公共服务平台中转。
步骤6:授权完成后,公共服务平台向管理客户端/SE 返回应用的数据资源地址,该消息通过客户端/SE 相连的发行方 TSM 平台中转。
步骤7:管理客户端/SE 根据数据资源定位地址,和应用提供方的 TSM 平台建立直连通道,发出下载请求并下载所选应用。
该模型参与实体包括发行方的 TSM 平台、 公共服务平台、应用提供方的 TSM 平台、SE。其中公共服务平台作为独立于发行方和应用提供方的可信第三方,作为授权管理者执行SE 及其持有人的实名身份获取、实名身份传递,金融类辅助安全域的创建、密钥分发、删除、锁定/解锁操作。对金融类辅助安全域中的应用下载、安装等操作进行授权。
图 4 描述了该开放共享模型下安全域的操作。安全域操作中,实体关系如下。
步骤1:SE 在用户发放前, 配置由公共服务平台持有的 SE 可信/开放共享部件,该部件体现为独立的授权管理者安全域及其权限和服务。
步骤2:发行方的 TSM 平台向用户发 SE,并持有主安全域(ISD)。
步骤3:应用提供方的 TSM 平台需要进行金融类辅助安全域操作前, 需要请求公共服务平台通过 SE 可信部件验证并获取 SE 及其持有人身份。
步骤4:公共服务平台通过 SE 可信部件验证并获取 SE 及其持有人身份信息,并传递给应用提供方的 TSM 平台。
步骤5:应用提供方的 TSM 平台对所获得的实名身份根据业务安全等级要求进行核实,如临柜核实或电话核实等。
步骤6:如果 SE 及其持有人身份合法,则向公共服务平台发出操作请求,操作类型包括金融类辅助安全域的创建、删除、锁定/解锁、个人化、状态查询。
步骤7:如果需要和发行方的 TSM 平台进行操作的协商,公共服务平台和发行方的 TSM平台交互并获得许可。
步骤8:公共服务平台通过 SE 开放共享部件下发操作命令。
步骤9:SE 开放共享部件执行金融类辅助安全域的相关操作。
步骤10、步骤11:如果需要进行金融类辅助安全域的个人化操作, 公共服务平台分发初始化密钥给应用提供方的 TSM 平台。应用提供方的 TSM 平台更新密钥并持有安全域。
应用提供方的 TSM 平台持有金融类辅助安全域后,应用的操作由应用提供方的TSM 平台实施,但需要由公共服务平台提供授权,图 5 描述了该开放共享模型下应用操作的实体关系。应用操作中实体关系如下。
步骤1:应用提供方的 TSM 平台执行操作前,向公共服务平台请求应用操作的授权。
步骤2:如果需要, 公共服务平台和发行方的 TSM 平台协商,获得应用操作的许可。
步骤3:公共服务平台对应用进行授权并返回给应用提供方的 TSM 平台,该授权具体体现为一个令牌。
步骤4:应用提供方的 TSM 平台下发应用操作脚本到其持有的安全域。
步骤5:SE 中由 SE 开放共享部件对操作的授权进行验证,如果通过,那么该操作执行。否则该操作失败。
Claims (10)
1.一种用于Java卡的可信服务管理系统,其特征在于,包括公共服务平台、发行方TSM平台、应用提供方TSM平台和SE四个逻辑实体组成,每个逻辑实体都包括基本的配置、功能和交互接口;
所述公共服务平台用于为跨机构的交互提供交互路由、应用共享、SE可信和SE开放共享基础服务;
所述发行方TSM平台提供SE载体管理和多应用管理功能,所述应用提供方TSM平台提供对自有应用的管理功能;
SE作为可信服务管理系统的承载端,包括SE可信部件、SE开放共享部件和SE载体管理/多应用管理部件;其中,SE可信部件和SE开放共享部件配合公共公共服务平台实现安全可信和开放共享服务,SE载体管理/多应用管理部件配合发行方TSM平台实现SE载体管理和多应用管理功能;
所述发行方 TSM平台是承担 SE 载体管理与多应用管理的实体,提供 SE 载体管理与多应用管理两个服务;所述 SE 载体管理包括 SE 的生命周期管理,多应用管理包括应用提供方管理、辅助安全域的生命周期管理、应用存储与发布、应用管理授权、应用生命周期管理;
所述应用提供方 TSM平台是承担应用管理的实体,主要提供对自有应用的管理服务,包括应用提供方管理、应用存储与发布和应用生命周期管理。
2.根据权利要求1所述的用于Java卡的可信服务管理系统,其特征在于,公共服务平台是移动支付参与各方均认可的可信第三方实体,在跨机构的交互中,为发行方TSM平台、应用提供方TSM平台提供跨机构交互路由、应用共享、 SE可信和SE开放共享四大服务。
3.根据权利要求2所述的用于Java卡的可信服务管理系统,其特征在于,跨机构交互路由服务包括发行方TSM平台、应用提供方TSM平台接入、跨机构交互的路由发现、消息分发和数据资源地址传递。
4.根据权利要求2所述的用于Java卡的可信服务管理系统,其特征在于,应用共享服务包括应用注册、应用发现和全网应用注册表维护。
5.根据权利要求2所述的用于Java卡的可信服务管理系统,其特征在于,SE可信服务主要包括 SE 注册管理、 SE 及其持有人身份获取和实名身份信息传递。
6.根据权利要求2所述的用于Java卡的可信服务管理系统,其特征在于,SE开放共享服务主要包括金融类辅助安全域管理、初始密钥分发和应用授权管理。
7.根据权利要求1所述的用于Java卡的可信服务管理系统,其特征在于,SE至少包括SE可信/开放共享部件和 SE 载体管理/多应用管理部件。
8.根据权利要求7所述的用于Java卡的可信服务管理系统,其特征在于, SE可信/开放共享部件配置必要的安全域,可存储密钥、证书机密信息并提供密码计算安全功能,具备相应的管理权限,配合公共服务平台,为各参与方提供SE 及其持有人的实名身份信息,为应用提供方提供辅助安全域管理、应用下载授权功能。
9.根据权利要求7所述的用于Java卡的可信服务管理系统,其特征在于,SE载体管理/多应用管理部件提供基础运行环境,提供基本公共服务,配置必要的安全域和管理权限,配合发行方TSM平台、应用提供方TSM平台实现SE载体管理和多应用管理功能。
10.一种用于Java卡的可信服务管理方法,其特征在于,参与实体包括发行方的 TSM平台、公共服务平台、应用提供方的 TSM 平台和SE;其中公共服务平台作为独立于发行方和应用提供方的可信第三方,作为授权管理者执行 SE 及其持有人的实名身份获取、实名身份传递,金融类辅助安全域的创建、密钥分发、删除、锁定/解锁操作;对金融类辅助安全域中的应用下载、安装操作进行授权;
(1)应用下载中各实体关系操作步骤:
步骤1:管理客户端/SE 向其相连的发行方的 TSM 平台请求可用应用列表;
步骤2:如果所请求的应用列表范围超过了发行方的 TSM 平台,发行方的 TSM 平台转发该请求到公共服务平台,公共服务平台从全网注册表中返回应用列表;
步骤3:发行方的 TSM 平台返回应用列表给管理客户端/SE;
步骤4:用户根据返回的应用列表,通过管理客户端/SE 选择应用下载,该请求发送到管理客户端连接的发行方 TSM 平台;发行方 TSM 平台转发该请求到公共服务平台;
步骤5:公共服务平台协商应用提供方的 TSM 平台和发行方的 TSM 平台,获得双方的下载授权,这些操作均通过公共服务平台中转;
步骤6:授权完成后,公共服务平台向管理客户端/SE 返回应用的数据资源地址,该消息通过客户端/SE 相连的发行方 TSM 平台中转;
步骤7:管理客户端/SE 根据数据资源定位地址,和应用提供方的 TSM 平台建立直连通道,发出下载请求并下载所选应用;
(2)安全域操作中各实体操作步骤:
步骤1: SE 在用户发放前,配置由公共服务平台持有的 SE 可信/开放共享部件,该部件体现为独立的授权管理者安全域及其权限和服务;
步骤2:发行方的 TSM 平台向用户发 SE,并持有主安全域(ISD);
步骤3:应用提供方的 TSM 平台需要进行金融类辅助安全域操作前,需要请求公共服务平台通过 SE 可信部件验证并获取 SE 及其持有人身份;
步骤4:公共服务平台通过 SE 可信部件验证并获取 SE 及其持有人身份信息,并传递给应用提供方的 TSM 平台;
步骤5:应用提供方的 TSM 平台对所获得的实名身份根据业务安全等级要求进行核实,如临柜核实或电话核实;
步骤6:如果 SE 及其持有人身份合法,则向公共服务平台发出操作请求,操作类型包括金融类辅助安全域的创建、删除、锁定/解锁、个人化、状态查询;
步骤7:如果需要和发行方的 TSM 平台进行操作的协商,公共服务平台和发行方的TSM平台交互并获得许可;
步骤 8:公共服务平台通过 SE 开放共享部件下发操作命令;
步骤 9: SE 开放共享部件执行金融类辅助安全域的相关操作;
步骤 10、步骤 11:如果需要进行金融类辅助安全域的个人化操作,公共服务平台分发初始化密钥给应用提供方的 TSM 平台;应用提供方的 TSM 平台更新密钥并持有安全域;
(3)应用操作中实体关系操作步骤:
步骤1:应用提供方的 TSM 平台执行操作前,向公共服务平台请求应用操作的授权;
步骤2:如果需要,公共服务平台和发行方的 TSM 平台协商,获得应用操作的许可;
步骤3:公共服务平台对应用进行授权并返回给应用提供方的 TSM 平台,该授权具体体现为一个令牌;
步骤4:应用提供方的 TSM 平台下发应用操作脚本到其持有的安全域;
步骤5:SE 中由 SE 开放共享部件对操作的授权进行验证,如果通过,那么该操作执行;否则该操作失败。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811492822.0A CN109600220B (zh) | 2018-12-07 | 2018-12-07 | 用于Java卡的可信服务管理方法和系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811492822.0A CN109600220B (zh) | 2018-12-07 | 2018-12-07 | 用于Java卡的可信服务管理方法和系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109600220A true CN109600220A (zh) | 2019-04-09 |
CN109600220B CN109600220B (zh) | 2021-08-10 |
Family
ID=65961293
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201811492822.0A Active CN109600220B (zh) | 2018-12-07 | 2018-12-07 | 用于Java卡的可信服务管理方法和系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109600220B (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110223060A (zh) * | 2019-05-21 | 2019-09-10 | 四川精创国芯科技有限公司 | 一种多芯片智能卡管理平台 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20090305673A1 (en) * | 2008-06-06 | 2009-12-10 | Ebay, Inc. | Secure short message service (sms) communications |
WO2013100636A1 (ko) * | 2011-12-30 | 2013-07-04 | 에스케이씨앤씨 주식회사 | 마스터 tsm |
CN103530775A (zh) * | 2012-09-28 | 2014-01-22 | 深圳市家富通汇科技有限公司 | 用于提供可控的可信服务管理平台的方法和系统 |
CN105635268A (zh) * | 2015-12-28 | 2016-06-01 | 红豆电信有限公司 | 可信服务管理云平台 |
CN108093001A (zh) * | 2010-03-31 | 2018-05-29 | 维萨国际服务协会 | 使用密钥管理中心的相互移动认证的系统、方法和服务器计算机 |
-
2018
- 2018-12-07 CN CN201811492822.0A patent/CN109600220B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20090305673A1 (en) * | 2008-06-06 | 2009-12-10 | Ebay, Inc. | Secure short message service (sms) communications |
CN108093001A (zh) * | 2010-03-31 | 2018-05-29 | 维萨国际服务协会 | 使用密钥管理中心的相互移动认证的系统、方法和服务器计算机 |
WO2013100636A1 (ko) * | 2011-12-30 | 2013-07-04 | 에스케이씨앤씨 주식회사 | 마스터 tsm |
CN103530775A (zh) * | 2012-09-28 | 2014-01-22 | 深圳市家富通汇科技有限公司 | 用于提供可控的可信服务管理平台的方法和系统 |
CN105635268A (zh) * | 2015-12-28 | 2016-06-01 | 红豆电信有限公司 | 可信服务管理云平台 |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110223060A (zh) * | 2019-05-21 | 2019-09-10 | 四川精创国芯科技有限公司 | 一种多芯片智能卡管理平台 |
Also Published As
Publication number | Publication date |
---|---|
CN109600220B (zh) | 2021-08-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7770212B2 (en) | System and method for privilege delegation and control | |
CA2650063C (en) | Security token and method for authentication of a user with the security token | |
CA2131510C (en) | Smartcard adapted for a plurality of service providers and for remote installation of same | |
US7539861B2 (en) | Creating and storing one or more digital certificates assigned to subscriber for efficient access using a chip card | |
CN112580102A (zh) | 基于区块链的多维度数字身份鉴别系统 | |
JP5595636B2 (ja) | 安全な情報記憶デバイスと少なくとも1つのサードパーティとの間の通信、対応するエンティティ、情報記憶デバイス、及びサードパーティのための方法及びシステム | |
JP3808297B2 (ja) | Icカードシステム及びicカード | |
CN106302510B (zh) | 虚拟钥匙的授权方法、系统、移动终端及服务器 | |
US20090327706A1 (en) | Account management system, root-account management apparatus, derived-account management apparatus, and program | |
KR102410006B1 (ko) | 사용자 권한 관리가 가능한 did 생성 방법 및 이를 이용한 사용자 권한 관리 시스템 | |
KR100939725B1 (ko) | 모바일 단말기 인증 방법 | |
CN109587100A (zh) | 一种云计算平台用户认证处理方法及系统 | |
JP2023527862A (ja) | ハードウェアベースの認証を用いた産業用制御システムへの安全なリモートアクセス | |
US20070204167A1 (en) | Method for serving a plurality of applications by a security token | |
Vossaert et al. | User-centric identity management using trusted modules | |
CN109600220A (zh) | 用于Java卡的可信服务管理方法和系统 | |
Vossaert et al. | User-centric identity management using trusted modules | |
JP4499575B2 (ja) | ネットワークセキュリティ方法およびネットワークセキュリティシステム | |
CN114679473A (zh) | 基于分布式数字身份的金融账户治理系统及方法 | |
Fugkeaw et al. | Multi-Application Authentication based on Multi-Agent System. | |
CN113486323A (zh) | 一种电动自行车电子标识个性化发行方法与系统 | |
Akram et al. | Firewall mechanism in a user centric smart card ownership model | |
JP4052158B2 (ja) | Icカードシステムおよびicカード発行方法 | |
CN110489947A (zh) | 一种安全办公管控系统 | |
CN109818903A (zh) | 数据传输方法、系统、装置和计算机可读存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |