CN115827001A - 一种智能卡扇区管理方法和系统 - Google Patents
一种智能卡扇区管理方法和系统 Download PDFInfo
- Publication number
- CN115827001A CN115827001A CN202211434347.8A CN202211434347A CN115827001A CN 115827001 A CN115827001 A CN 115827001A CN 202211434347 A CN202211434347 A CN 202211434347A CN 115827001 A CN115827001 A CN 115827001A
- Authority
- CN
- China
- Prior art keywords
- application
- smart card
- management platform
- area
- key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Stored Programmes (AREA)
Abstract
本发明公开一种智能卡扇区管理方法和系统,方法包括:应用系统通过二级管理平台向一级管理平台发送非接应用的应用安装请求;一级管理平台根据应用安装请求获取所述智能卡的信息,并判断非接应用是否为智能卡的M1区域中未安装的新应用;若非接应用为智能卡的M1区域中已安装的应用,则一级管理平台生成授权信息并发送给应用系统,并建立专属应用下载安装通道,以使应用系统通过专属应用下载安装通道完成非接应用的版本更新或密钥变更;以及若非接应用为智能卡的M1区域中未安装的新应用,则一级管理平台生成授权信息,通知智能卡为非接应用创建卡内安全域并分配M1扇区。利用本发明的方法,能够实现多应用并发场景下的应用精准选择和访问控制。
Description
技术领域
本发明涉及一种智能卡扇区管理方法和系统。
背景技术
随着移动互联网的智能化和泛在普及,智能卡尤其是SIM卡,凭借其独特的硬件安全和连接优势,在终端安全方面发挥着越来越关键的中枢作用,其上承载的应用种类和数量也显著增加,并且由早期的STK等传统菜单方式,向智能化、多样化、平台化演变,智能SIM卡已经成为终端内部不可或缺的硬件加密机,其安全、存储、计算等能力对于增强移动应用安全有着重要的作用。
然而,智能SIM卡中对于卡应用,尤其是关键配置数据的承载和管理方式,并未随之升级,尤其针对具有NFC等非接功能的M1智能卡,多采用缺省密钥,无多级迭代机制,且各使用方对M1扇区占用缺乏统筹规划,导致密钥安全管控缺失,尤其当多非接应用并存时,UID等非接参数将发生冲突或紊乱,造成承载多家业务时冲突,严重影响刷卡等非接功能使用体验。
发明内容
现有技术不能够对多应用场景下的M1扇区配置进行统筹规划,不能实现多应用并发场景下的应用精准选择和访问控制。
为了解决上述问题,本发明提供一种智能卡扇区管理方法和系统。
一种智能卡扇区管理方法,所述方法包括:
应用系统通过二级管理平台向一级管理平台发送非接应用的应用安装请求;
所述一级管理平台根据所述应用安装请求获取所述智能卡的信息,并判断所述非接应用是否为智能卡的M1区域中未安装的新应用;
若所述非接应用为所述智能卡的M1区域中已安装的应用,则所述一级管理平台生成授权信息并发送给所述应用系统,并建立专属应用下载安装通道,以使应用系统通过所述专属应用下载安装通道完成所述非接应用的版本更新或密钥变更;以及
若所述非接应用为所述智能卡的M1区域中未安装的新应用,则所述一级管理平台生成授权信息,通知所述智能卡为所述非接应用创建卡内安全域并分配M1扇区。
在所述方法中,所述一级管理平台可以根据所述应用安装请求中的UID查询所述智能卡的配置数据,获取所述智能卡的信息,并向所述智能卡所在终端发送应用识别请求,所述终端收到所述应用识别请求后,通过卡片读取SDK向所述智能卡转发所述应用识别请求,所述智能卡收到所述应用识别请求后,查询所述智能卡的M1区域的扇区使用情况,获取已安装非接应用列表,并与请求安装的所述非接应用的AID进行比对,从而判断所述非接应用是否为未安装的新应用。
在所述方法中,当所述非接应用为所述智能卡的M1区域中已安装的应用并且仅为版本更新时,所述应用系统可以通过所述专属应用下载安装通道向所述智能卡发送新版应用安装包,所述智能卡从所述专属应用下载安装通道收到所述新版应用安装包后,查询所述智能卡的M1区域中所述应用所在扇区,根据应用安装指令进行拆包并更新相应扇区数据块,在更新完成后,向所述一级管理平台发送安装完成通知,所述一级管理平台关闭所述专属应用下载安装通道。
在所述方法中,当所述非接应用为所述智能卡的M1区域中已安装的应用并且仅涉及密钥变更时,所述应用系统可以通过所述专属应用下载安装通道向所述智能卡发送新密钥,所述智能卡根据所述新密钥对所述智能卡的M1区域中所述应用所在扇区控制块中的数据进行变更,在对所述控制块的变更完成后,根据所述新密钥和所述非接应用的AID为其生成新的访问控制密钥,并将所述新的访问控制密钥同步至所述应用系统,用于后续非接功能调用认证,同时通知所述一级管理平台关闭所述专属应用下载安装通道。
在所述方法中,当所述非接应用为所述智能卡的M1区域中已安装的应用并且同时涉及版本更新和密钥变更时,所述应用系统可以通过所述专属应用下载安装通道向所述智能卡同时发送新版应用安装包和新密钥,所述智能卡收到数据后,首先对应用进行版本更新,然后进行密钥变更,完成后更新本地应用及密钥数据库,将安装完成信息同步至所述一级管理平台,将密钥更新信息同步至所述应用系统,所述一级管理平台收到所述安装完成信息和所述密钥更新信息后关闭所述专属应用下载安装通道。
在所述方法中,当所述非接应用为所述智能卡的M1区域中未安装的新应用时,所述智能卡在收到新非接应用安装请求后,可以首先查询所述智能卡的M1区域中的使用情况,如各扇区未进行二次划分,则按照先后顺序,获取当前空闲的扇区列表,选择序号排前的扇区X为当前应用分配使用,将密钥安装在扇区X的控制块中,将所述应用系统与所述一级管理平台约定的专用M1访问控制规则配置在所述控制块中的相应字节区域。
所述方法还可以包括:
所述智能卡、所述一级管理平台和所述应用系统共同约定生成应用访问控制,应用密钥由业务方或所述一级管理平台进行管理,其中,对于低敏非接应用使用密钥,结合所述非接应用的AID按约定采用一级分散算法生成非接访问应用密钥,对于高敏非接应用,结合所述非接应用的AID、所述智能卡的信息、认证信息,并采用多级分散算法按约定生成动态非接访问应用密钥。
所述方法还可以包括:
所述一级管理平台和所述智能卡共同完成所述智能卡的M1区域的扇区配置管理,当所述智能卡的M1区域无二次区域划分时,按各应用安装先后顺序依次为其分配M1扇区,当所述智能卡的M1区域有二次区域划分时,根据不同扇区的等级为应用分配M1扇区。
一种智能卡扇区管理系统,所述系统包括:
应用系统,其通过二级管理平台向一级管理平台发送非接应用的应用安装请求;以及
所述一级管理平台,其根据所述应用安装请求获取所述智能卡的信息,并判断所述非接应用是否为智能卡的M1区域中未安装的新应用,若所述非接应用为所述智能卡的M1区域中已安装的应用,则所述一级管理平台生成授权信息并发送给所述应用系统,并建立专属应用下载安装通道,以使所述应用系统通过所述专属应用下载安装通道完成所述非接应用的版本更新或密钥变更,若所述非接应用为所述智能卡的M1区域中未安装的新应用,则所述一级管理平台生成授权信息,通知所述智能卡为所述非接应用创建卡内安全域并分配M1扇区。
在所述系统中,所述一级管理平台可以根据所述应用安装请求中的UID查询所述智能卡的配置数据,获取所述智能卡的信息,并向所述智能卡所在终端发送应用识别请求,所述终端收到所述应用识别请求后,通过卡片读取SDK向所述智能卡转发所述应用识别请求,所述智能卡收到所述应用识别请求后,查询所述智能卡的M1区域的扇区使用情况,获取已安装非接应用列表,并与请求安装的所述非接应用的AID进行比对,从而判断所述非接应用是否为未安装的新应用。
在所述系统中,当所述非接应用为所述智能卡的M1区域中已安装的应用并且仅为版本更新时,所述应用系统可以通过所述专属应用下载安装通道向所述智能卡发送新版应用安装包,所述智能卡从所述专属应用下载安装通道收到所述新版应用安装包后,查询所述智能卡的M1区域中所述应用所在扇区,根据应用安装指令进行拆包并更新相应扇区数据块,在更新完成后,向所述一级管理平台发送安装完成通知,所述一级管理平台关闭所述专属应用下载安装通道。
在所述系统中,当所述非接应用为所述智能卡的M1区域中已安装的应用并且仅涉及密钥变更时,所述应用系统可以通过所述专属应用下载安装通道向所述智能卡发送新密钥,所述智能卡根据所述新密钥对所述智能卡的M1区域中所述应用所在扇区控制块中的数据进行变更,在对所述控制块的变更完成后,根据所述新密钥和所述非接应用的AID为其生成新的访问控制密钥,并将所述新的访问控制密钥同步至所述应用系统,用于后续非接功能调用认证,同时通知所述一级管理平台关闭所述专属应用下载安装通道。
在所述系统中,当所述非接应用为所述智能卡的M1区域中已安装的应用并且同时涉及版本更新和密钥变更时,所述应用系统可以通过所述专属应用下载安装通道向所述智能卡同时发送新版应用安装包和新密钥,所述智能卡收到数据后,首先对应用进行版本更新,然后进行密钥变更,完成后更新本地应用及密钥数据库,将安装完成信息同步至所述一级管理平台,将密钥更新信息同步至所述应用系统,所述一级管理平台收到所述安装完成信息和所述密钥更新信息后关闭所述专属应用下载安装通道。
在所述系统中,当所述非接应用为所述智能卡的M1区域中未安装的新应用时,所述智能卡在收到新非接应用安装请求后,可以首先查询所述智能卡的M1区域中的使用情况,如各扇区未进行二次划分,则按照先后顺序,获取当前空闲的扇区列表,选择序号排前的扇区X为当前应用分配使用,将密钥安装在扇区X的控制块中,将所述应用系统与所述一级管理平台约定的专用M1访问控制规则配置在所述控制块中的相应字节区域。
在所述系统中,所述智能卡、所述一级管理平台和所述应用系统可以共同约定生成应用访问控制,应用密钥由业务方或所述一级管理平台进行管理,其中,对于低敏非接应用使用密钥,结合所述非接应用的AID按约定采用一级分散算法生成非接访问应用密钥,对于高敏非接应用,结合所述非接应用的AID、所述智能卡的信息、认证信息,并采用多级分散算法按约定生成动态非接访问应用密钥。
在所述系统中,所述一级管理平台和所述智能卡可以共同完成所述智能卡的M1区域的扇区配置管理,当所述智能卡的M1区域无二次区域划分时,按各应用安装先后顺序依次为其分配M1扇区,当所述智能卡的M1区域有二次区域划分时,根据不同扇区的等级为应用分配M1扇区。
本发明的智能卡扇区配置管理方法和系统,能够对多应用场景下的M1扇区配置进行统筹规划,实现有序配置管理,并将智能卡扇区控制块与UID、AID深度结合演算,针对不同非接应用生成专用访问控制规则,实现多应用并发场景下的应用精准选择和访问控制。该方法全程卡内自动判断识别配置管理,无需用户前端手动操作或设置,使得M1扇区管理更为灵活、有效,卡片非接使用体验更为便捷、准确。
附图说明
下面将参考附图描述本发明的具体实施方式,这些实施方式是示例性的,而非限制性的。
图1是根据本发明实施例构造的功能模块图;
图2是根据本发明实施例构造的系统构架图;和
图3是根据本发明实施例构造的方法的流程图。
具体实施方式
为了清楚地理解本发明的技术方案,下面介绍本发明的配置参数及策略。
系统配置参数或节点主要有用户、智能卡、应用、应用系统、AID(应用标识码)、扇区、数据块、控制块、UID(独特标识码)、密钥(密钥A、密钥B)等。
用户是指智能卡终端用户,用户可通过终端与卡管理后台交互,在其个人智能卡上安装其个人化应用。
智能卡是内嵌于用户终端的智能卡5,常见如手机内嵌智能SIM卡,具备NFC等非接通信功能,配合其内部加载的非接应用进行使用。
应用是指支持非接功能的卡应用,常见如公交一卡通应用、校园一卡通应用、园区门禁应用、金融支付应用(如手机钱包、支持NFC支付功能)等。
应用系统是指用于应用实施和管理的应用系统,包括不限于前端设备、管理后台等。
AID是基于应用设置的应用ID,用于标识某一具体应用。
扇区和数据块是所述智能卡内M1区域规定配置,该区域包含0、1、2……多个扇区,每个扇区对应一个卡应用,其中扇区0数据块0固化为卡商UID,可作为所述卡片唯一识别号。每个扇区包含4个数据块,其中数据块0、1、2用于应用数据存储,数据块4也称为控制块,用于应用控制数据存储,其中用于存储应用密钥A、密钥B以及相应的访问控制规则,包括写入、读出、新增、变更等。
UID位于扇区0数据块0,用于标识所述卡片归属厂商及卡片唯一标志等信息,每张卡片UID是固定且唯一的,可作为其唯一识别号。
密钥包括密钥A、密钥B,用于各应用数据访问控制。初始密钥由卡一级管理平台写入,或出厂前灌入(对于预装应用),后期可经由一级管理平台授权后由卡应用系统进行便捷并自行管理使用。
下面介绍本发明的工作机制及流程。图1是根据本发明实施例构造的功能模块图。图2是根据本发明实施例构造的系统构架图。
1)已有应用变更
应用系统4(卡应用管理后台)通过二级管理平台3(面向业务和一级管理平台2)向一级管理平台2发送应用安装请求,请求中携带是否非接应用标识(应用是否需要调用卡片非接功能)。一级管理平台2收到请求后,首先判断是否非接应用,如不是,按常规应用安装流程进行安装。
对于非接应用,进一步获取目标卡片信息(UID),并判断该应用是否该卡片(用户)首次安装的新应用(SIM卡应用安装和变更复用同一指令,需根据卡内安装情况进行区分)。目标卡片信息可以是智能卡的UID,也可以是智能卡的其它信息。一级管理平台2根据请求中的UID查询本地卡片配置数据,获取目标卡片信息,并向目标卡片所在终端1发送应用识别请求,所述终端1收到请求后,通过卡片读取SDK(内置于终端1,由卡片管理方,如运营商提供货授权使用)向所述卡片转发应用识别信息。
所述卡片收到识别请求后,查询本地M1区域扇区使用情况,获取已安装非接应用列表,并与请求安装的目标应用AID进行比对,如果所述卡片M1已安装该应用,由卡片向一级管理平台2反馈分析结果,一级管理平台2为该请求生成授权信息,发送给应用系统4,并为其建立专属应用下载安装通道,进入应用系统下载安装流程。
当本次应用安装仅为版本更新时,应用系统4通过专属通道向卡片发送新版应用安装包。卡片收到安装包后,查询本地M1区域内该应用所在扇区,根据应用安装指令进行拆包并更新相应扇区数据块。更新完成后,向一级管理平台2发送安装完成通知,一级管理平台2关闭专属通道。
当本次应用安装不涉及版本变更,仅涉及密钥(或算法,以下简称密钥)变更,应用系统4通过专属通道向卡片发送应用新密钥,卡片根据新密钥对M1区域内该应用所在扇区控制块中的数据进行变更。控制块变更完成后,将根据应用M1专用访问控制规则约定,根据新的密钥和应用AID(不变)为其生成新的访问控制密钥,并将新的访问控制密钥同步至应用系统4,用于后续非接功能调用认证。同时,通知一级管理平台2关闭专属通道。
当本地应用安装同时涉及应用版本和密钥变更,应用系统4通过专属通道向卡片同时发送新版应用安装包和新密钥。卡片收到数据后,首先对应用进行版本更新,然后按照上述流程进行密钥变更,完成后更新本地应用及密钥数据库。全部操作完成后,将应用安装完成信息同步至一级管理平台2,将密钥更新信息同步至应用系统4。一级管理平台2收到安装完成信息后,关闭专属通道。
2)新应用首次安装
应用系统4(卡应用管理后台)通过二级管理平台3(面向业务和一级管理平台2)向一级管理平台2发送应用安装请求,一级管理平台2通过卡片读取SDK(内置于终端1,由卡片管理方,如运营商提供货授权使用)向所述卡片转发应用识别信息。
所述卡片收到识别请求后,查询本地M1区域扇区使用情况,获取已安装非接应用列表,并与请求安装的目标应用AID进行比对,如果所述卡片M1未安装该应用,由卡片向一级管理平台2反馈分析结果,一级管理平台2为该请求生成授权信息,通知卡片为该应用创建卡内安全域,并分配合适的M1扇区。
卡片收到新非接应用安装请求后,首先查询本地M1区域使用情况,如各扇区未进行二次划分(各卡应用按先后顺序占用M1扇区),按照先后顺序,获取当前空闲的扇区列表,选择序号排前的扇区X为当前应用分配使用,将密钥安装在扇区X控制块中,将应用系统4与一级管理平台2约定的专用M1访问控制规则配置在控制块中的相应字节区域。
3)应用访问控制
各非接应用专有访问控制规则基于M1内各非接应用自行设置,仅对指定卡片指定区域内指定应用生效,主要用于对M1内某具体应用的访问控制。该规则由卡片、一级管理平台2和应用系统4共同约定生成,一级管理平台2和卡片主要负责M1区域划分及配置使用,应用系统4主要负责应用密钥及非接访问和控制需求管理,三者共同负责所述应用在指定卡片M1扇区内的访问控制。应用密钥可由业务方自行管理,或一级管理平台2代为管理。
注意,这里的专用M1规则主要用于约定面向非接刷卡场景时所述应用整体M1扇区的选择和调取(应用数据本身的读写规则,遵循既有机制)。
静态密钥一级分散:对于低敏、常规或小额支付等非接卡应用,如公交一卡通、校园一卡通、普通会员等,可直接采用密钥A、密钥B,结合应用AID按约定采用一级分散算法生成非接访问密钥,存储在所述应用控制区内,并同步至应用系统4。刷卡时应用系统4在刷卡请求中携带目标应用AID及该密钥,卡片将该密钥按约定解密后,与目标应用存储在本地M1区域内的根密钥进行比对,一致则调取目标应用非接界面,并执行刷卡操作。
动态密钥多级分散:对于大额支付、安全区域准入门禁等高敏非接应用,如有实人或实卡访问认证需求,可同时结合应用AID、卡片UID(实现实卡认证)、用户身份、账户、指纹(实现实人认证)等认证信息,并采用多级分散算法,按约定生成动态非接访问密钥。该密钥可根据需求实时生成或定期更新。当定期更新密钥时,按照上述方法将更新后的密钥存储在卡内M1该应用所属区域,刷卡时由应用系统4一并将该密钥发送给卡片,卡片按照上述方法解析后与本地密钥进行比对,一致则调取该应用非接界面并允许后续操作。当实时生成密钥时,由应用系统4根据约定的生成规则实时生成动态密钥,刷卡时一并将该动态密匙发送给卡片,卡片收到后按约定解析并与本地根密钥进行比对,一致则调取该应用非接界面并允许刷卡操作。
4)M1配置管理
卡片M1区域配置管理基于指定卡片生效,由一级管理平台2和卡片共同完成,主要用于约束对卡片M1区域的扇区配置管理。
当M1无二次区域划分时,其内所有应用公平共享该区域,按各应用安装先后顺序,依次为其分配M1扇区。当M1有二次区域划分时,即M1内将不同扇区进行等级划分,如扇区1-4为高敏应用专用区域,扇区5-16为非高敏应用共用区域。当高敏应用请求首次安装时,首先为其分配M1内高敏区域空闲扇区,如高敏区域无空闲扇区,则为其分配共用区域内扇区,并将该扇区标为“高敏扇区”,使用高敏应用访问机制进行配置管理。当常规应用请求首次安装时,首先为其分配M1内共用区域中排前的空闲扇区,按照普通访问控制规则进行管理。当某高敏应用降级为常规应用时,并不变更已分配扇区,但会变更对应扇区属性及其内部应用管理方法。
图3是根据本发明实施例构造的方法的流程图。在本发明的该实施例中,一种智能卡扇区管理方法包括如下步骤:
S1:应用系统通过二级管理平台向一级管理平台发送非接应用的应用安装请求;
S2:一级管理平台根据应用安装请求获取智能卡的信息,并判断非接应用是否为智能卡的M1区域中未安装的新应用;
S3:若非接应用为智能卡的M1区域中已安装的应用,则一级管理平台生成授权信息并发送给应用系统,并建立专属应用下载安装通道,以使应用系统通过专属应用下载安装通道完成非接应用的版本更新或密钥变更;以及
S4:若非接应用为智能卡的M1区域中未安装的新应用,则一级管理平台生成授权信息,通知智能卡为非接应用创建卡内安全域并分配M1扇区。
本领域普通技术人员可以理解,上文中所公开方法中的全部或某些步骤、系统、装置中的功能模块/单元可以被实施为软件、固件、硬件及其适当的组合。在硬件实施方式中,在以上描述中提及的功能模块/单元之间的划分不一定对应于物理组件的划分;例如,一个物理组件可以具有多个功能,或者一个功能或步骤可以由若干物理组件合作执行。某些物理组件或所有物理组件可以被实施为由处理器,如中央处理器、数字信号处理器或微处理器执行的软件,或者被实施为硬件,或者被实施为集成电路,如专用集成电路。这样的软件可以分布在计算机可读介质上,计算机可读介质可以包括计算机存储介质(或非暂时性介质)和通信介质(或暂时性介质)。如本领域普通技术人员公知的,术语计算机存储介质包括在用于存储信息(诸如计算机可读指令、数据结构、程序模块或其他数据)的任何方法或技术中实施的易失性和非易失性、可移除和不可移除介质。计算机存储介质包括但不限于RAM、ROM、EEPROM、闪存或其他存储器技术、CD-ROM、数字多功能盘(DVD)或其他光盘存储、磁盒、磁带、磁盘存储或其他磁存储装置、或者可以用于存储期望的信息并且可以被计算机访问的任何其他的介质。此外,本领域普通技术人员公知的是,通信介质通常包含计算机可读指令、数据结构、程序模块或者诸如载波或其他传输机制之类的调制数据信号中的其他数据,并且可包括任何信息递送介质。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。
Claims (16)
1.一种智能卡扇区管理方法,所述方法包括:
应用系统通过二级管理平台向一级管理平台发送非接应用的应用安装请求;
所述一级管理平台根据所述应用安装请求获取所述智能卡的信息,并判断所述非接应用是否为所述智能卡的M1区域中未安装的新应用;
若所述非接应用为所述智能卡的M1区域中已安装的应用,则所述一级管理平台生成授权信息并发送给所述应用系统,并建立专属应用下载安装通道,以使应用系统通过所述专属应用下载安装通道完成所述非接应用的版本更新或密钥变更;以及
若所述非接应用为所述智能卡的M1区域中未安装的新应用,则所述一级管理平台生成授权信息,通知所述智能卡为所述非接应用创建卡内安全域并分配M1扇区。
2.根据权利要求1所述的方法,其中,
所述一级管理平台根据所述应用安装请求中的UID查询所述智能卡的配置数据,获取所述智能卡的信息,并向所述智能卡所在终端发送应用识别请求,所述终端收到所述应用识别请求后,通过卡片读取SDK向所述智能卡转发所述应用识别请求,所述智能卡收到所述应用识别请求后,查询所述智能卡的M1区域的扇区使用情况,获取已安装非接应用列表,并与请求安装的所述非接应用的AID进行比对,从而判断所述非接应用是否为未安装的新应用。
3.根据权利要求1或2所述的方法,其中,
当所述非接应用为所述智能卡的M1区域中已安装的应用并且仅为版本更新时,所述应用系统通过所述专属应用下载安装通道向所述智能卡发送新版应用安装包,所述智能卡从所述专属应用下载安装通道收到所述新版应用安装包后,查询所述智能卡的M1区域中所述应用所在扇区,根据应用安装指令进行拆包并更新相应扇区数据块,在更新完成后,向所述一级管理平台发送安装完成通知,所述一级管理平台关闭所述专属应用下载安装通道。
4.根据权利要求1或2所述的方法,其中,
当所述非接应用为所述智能卡的M1区域中已安装的应用并且仅涉及密钥变更时,所述应用系统通过所述专属应用下载安装通道向所述智能卡发送新密钥,所述智能卡根据所述新密钥对所述智能卡的M1区域中所述应用所在扇区控制块中的数据进行变更,在对所述控制块的变更完成后,根据所述新密钥和所述非接应用的AID为其生成新的访问控制密钥,并将所述新的访问控制密钥同步至所述应用系统,用于后续非接功能调用认证,同时通知所述一级管理平台关闭所述专属应用下载安装通道。
5.根据权利要求1或2所述的方法,其中,
当所述非接应用为所述智能卡的M1区域中已安装的应用并且同时涉及版本更新和密钥变更时,所述应用系统通过所述专属应用下载安装通道向所述智能卡同时发送新版应用安装包和新密钥,所述智能卡收到数据后,首先对应用进行版本更新,然后进行密钥变更,完成后更新本地应用及密钥数据库,将安装完成信息同步至所述一级管理平台,将密钥更新信息同步至所述应用系统,所述一级管理平台收到所述安装完成信息和所述密钥更新信息后关闭所述专属应用下载安装通道。
6.根据权利要求1或2所述的方法,其中,
当所述非接应用为所述智能卡的M1区域中未安装的新应用时,所述智能卡在收到新非接应用安装请求后,首先查询所述智能卡的M1区域中的使用情况,如各扇区未进行二次划分,则按照先后顺序,获取当前空闲的扇区列表,选择序号排前的扇区X为当前应用分配使用,将密钥安装在扇区X的控制块中,将所述应用系统与所述一级管理平台约定的专用M1访问控制规则配置在所述控制块中的相应字节区域。
7.根据权利要求1或2所述的方法,还包括:
所述智能卡、所述一级管理平台和所述应用系统共同约定生成应用访问控制,应用密钥由业务方或所述一级管理平台进行管理,其中,对于低敏非接应用使用密钥,结合所述非接应用的AID按约定采用一级分散算法生成非接访问应用密钥,对于高敏非接应用,结合所述非接应用的AID、所述智能卡的信息、认证信息,并采用多级分散算法按约定生成动态非接访问应用密钥。
8.根据权利要求1或2所述的方法,还包括:
所述一级管理平台和所述智能卡共同完成所述智能卡的M1区域的扇区配置管理,当所述智能卡的M1区域无二次区域划分时,按各应用安装先后顺序依次为其分配M1扇区,当所述智能卡的M1区域有二次区域划分时,根据不同扇区的等级为应用分配M1扇区。
9.一种智能卡扇区管理系统,所述系统包括:
应用系统,其通过二级管理平台向一级管理平台发送非接应用的应用安装请求;以及
所述一级管理平台,其根据所述应用安装请求获取所述智能卡的信息,并判断所述非接应用是否为所述智能卡的M1区域中未安装的新应用,若所述非接应用为所述智能卡的M1区域中已安装的应用,则所述一级管理平台生成授权信息并发送给所述应用系统,并建立专属应用下载安装通道,以使所述应用系统通过所述专属应用下载安装通道完成所述非接应用的版本更新或密钥变更,若所述非接应用为所述智能卡的M1区域中未安装的新应用,则所述一级管理平台生成授权信息,通知所述智能卡为所述非接应用创建卡内安全域并分配M1扇区。
10.根据权利要求9所述的系统,其中,
所述一级管理平台根据所述应用安装请求中的UID查询所述智能卡的配置数据,获取所述智能卡的信息,并向所述智能卡所在终端发送应用识别请求,所述终端收到所述应用识别请求后,通过卡片读取SDK向所述智能卡转发所述应用识别请求,所述智能卡收到所述应用识别请求后,查询所述智能卡的M1区域的扇区使用情况,获取已安装非接应用列表,并与请求安装的所述非接应用的AID进行比对,从而判断所述非接应用是否为未安装的新应用。
11.根据权利要求9或10所述的系统,其中,
当所述非接应用为所述智能卡的M1区域中已安装的应用并且仅为版本更新时,所述应用系统通过所述专属应用下载安装通道向所述智能卡发送新版应用安装包,所述智能卡从所述专属应用下载安装通道收到所述新版应用安装包后,查询所述智能卡的M1区域中所述应用所在扇区,根据应用安装指令进行拆包并更新相应扇区数据块,在更新完成后,向所述一级管理平台发送安装完成通知,所述一级管理平台关闭所述专属应用下载安装通道。
12.根据权利要求9或10所述的系统,其中,
当所述非接应用为所述智能卡的M1区域中已安装的应用并且仅涉及密钥变更时,所述应用系统通过所述专属应用下载安装通道向所述智能卡发送新密钥,所述智能卡根据所述新密钥对所述智能卡的M1区域中所述应用所在扇区控制块中的数据进行变更,在对所述控制块的变更完成后,根据所述新密钥和所述非接应用的AID为其生成新的访问控制密钥,并将所述新的访问控制密钥同步至所述应用系统,用于后续非接功能调用认证,同时通知所述一级管理平台关闭所述专属应用下载安装通道。
13.根据权利要求9或10所述的系统,其中,
当所述非接应用为所述智能卡的M1区域中已安装的应用并且同时涉及版本更新和密钥变更时,所述应用系统通过所述专属应用下载安装通道向所述智能卡同时发送新版应用安装包和新密钥,所述智能卡收到数据后,首先对应用进行版本更新,然后进行密钥变更,完成后更新本地应用及密钥数据库,将安装完成信息同步至所述一级管理平台,将密钥更新信息同步至所述应用系统,所述一级管理平台收到所述安装完成信息和所述密钥更新信息后关闭所述专属应用下载安装通道。
14.根据权利要求9或10所述的系统,其中,
当所述非接应用为所述智能卡的M1区域中未安装的新应用时,所述智能卡在收到新非接应用安装请求后,首先查询所述智能卡的M1区域中的使用情况,如各扇区未进行二次划分,则按照先后顺序,获取当前空闲的扇区列表,选择序号排前的扇区X为当前应用分配使用,将密钥安装在扇区X的控制块中,将所述应用系统与所述一级管理平台约定的专用M1访问控制规则配置在所述控制块中的相应字节区域。
15.根据权利要求9或10所述的系统,其中,
所述智能卡、所述一级管理平台和所述应用系统共同约定生成应用访问控制,应用密钥由业务方或所述一级管理平台进行管理,其中,对于低敏非接应用使用密钥,结合所述非接应用的AID按约定采用一级分散算法生成非接访问应用密钥,对于高敏非接应用,结合所述非接应用的AID、所述智能卡的信息、认证信息,并采用多级分散算法按约定生成动态非接访问应用密钥。
16.根据权利要求9或10所述的系统,其中,
所述一级管理平台和所述智能卡共同完成所述智能卡的M1区域的扇区配置管理,当所述智能卡的M1区域无二次区域划分时,按各应用安装先后顺序依次为其分配M1扇区,当所述智能卡的M1区域有二次区域划分时,根据不同扇区的等级为应用分配M1扇区。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211434347.8A CN115827001A (zh) | 2022-11-16 | 2022-11-16 | 一种智能卡扇区管理方法和系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211434347.8A CN115827001A (zh) | 2022-11-16 | 2022-11-16 | 一种智能卡扇区管理方法和系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN115827001A true CN115827001A (zh) | 2023-03-21 |
Family
ID=85528469
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211434347.8A Pending CN115827001A (zh) | 2022-11-16 | 2022-11-16 | 一种智能卡扇区管理方法和系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115827001A (zh) |
-
2022
- 2022-11-16 CN CN202211434347.8A patent/CN115827001A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10412575B2 (en) | System and method for virtual SIM card | |
US11126423B2 (en) | Enterprise firmware management | |
US10334443B2 (en) | Method for configuring profile of subscriber authenticating module embedded and installed in terminal device, and apparatus using same | |
US9628981B2 (en) | Method for changing MNO in embedded SIM on basis of special privilege, and embedded SIM and recording medium therefore | |
US6961587B1 (en) | Storage media | |
US8725211B2 (en) | Trusted service manager managing reports of lost or stolen mobile communication devices | |
EP3525389A1 (en) | Embedded sim management system, node device, embedded sim management method, program, and information registrant device | |
KR101463586B1 (ko) | 비접촉 스마트 카드용 로컬 신뢰 서비스 매니저 | |
KR101979162B1 (ko) | 내장 sim에서의 키 관리방법, 및 그를 위한 내장 sim과 기록매체 | |
KR20130006258A (ko) | 동적 키 생성 기반의 내장 sim의 mno 변경방법 및 그를 위한 내장 sim과 기록매체 | |
US10687205B1 (en) | Remote operational management of E-SIM | |
CN114245366B (zh) | 一种统一云卡发卡方法、混合云卡服务系统以及系统设备 | |
US11140554B2 (en) | Management of a multi-SIM offer with multiple activation codes | |
CN115827001A (zh) | 一种智能卡扇区管理方法和系统 | |
CN105245526B (zh) | 调用sim卡应用的方法与装置 | |
JP2019110452A (ja) | 端末システム、端末及びモジュール | |
CN106462845B (zh) | 一种非接触前端的配置方法及终端 | |
CN116097636A (zh) | 用于设备之间的链接或配置文件传输的装置和方法 | |
KR101965033B1 (ko) | 수신 메시지로부터, 보안 요소에서 애플리케이션을 암시적 선택하는 개선된 방법 및 시스템 | |
CN109302289B (zh) | 一种se空间管理方法及装置 | |
US20220278985A1 (en) | Method and device for transferring bundle between devices | |
KR20190065083A (ko) | Sim 카드 관리 시스템, 통신 단말 및 방법 | |
CN113516787B (zh) | 自动检票方法、装置、计算机设备和存储介质 | |
US20240211577A1 (en) | Determination of devices that are available for unlock | |
CN107330685B (zh) | 基于nfc的通信方法以及tsm系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |