WO2011029266A1

WO2011029266A1 - 多应用智能卡及智能卡多应用管理系统和方法

Info

Publication number: WO2011029266A1
Application number: PCT/CN2010/001302
Authority: WO
Inventors: 庄晓; 鲁志军; 何朔; 孟宏文
Original assignee: 中国银联股份有限公司
Priority date: 2009-09-11
Filing date: 2010-08-27
Publication date: 2011-03-17
Also published as: EP2477165A4; US9009476B2; EP2477165B1; CN102025710A; US20120246476A1; CN102025710B; EP2477165A1

Description

多应用智能卡及智能卡多应用管理系统和方法技术领域

本发明涉及智能卡及智能卡应用管理系统和方法，更具体地，涉及多应用智能卡及智能卡多应用管理系统和方法。背景技术

目前，随着智能卡应用的不断增加和日益普及，用户需要拥有和携带的智能卡也越来越多，例如网上艮行支付卡、电子交易卡、电子交通卡等，然而，不断增多的智能卡数量和种类不仅提高了用户使用智能卡的成本，也不便于用户对智能卡进行管理。

因此，为了克服上述问题，全球平台（GlobalPlatform )规范提出了一种智能卡多应用管理模型。在该模型中，具有在卡中扮演集中式管理员角色的卡管理者（Card Manager ), 其包含发行者安全域该安全域的主要职责为在卡上执行卡发行者的职责，即具有对发行者或其应用提供者提供的应用进行装载、安装、删除的功能。所述多应用管理模型还包括应用提供者安全域（即合作方安全域），其主要职责是管理密钥和提供这些密钥相关的加密操作，这些密钥独立于发行者安全域，不受其控制，因而可以通过创建应用提供者安全域来保证密钥和卡发行者以及多应用提供者之间的完全分离。由上可知，在上述多应用管理模型中，特权安全域（即发行者安全域）行使智能卡的管理权，其他的安全域都是在该域的 4曼权下创建，并接受特权安全域的管理。然而，随着智能卡市场逐步成熟并形成规模，上述多应用管理模型不能满足智能卡在市场和业务层面上的共管共生关系，即不符合非集中式的多方共管的真实环境。同时，该多应用管理模型也不能满足卡片控制权适度向持卡人倾斜的需求。发明内容

为了解决上述现有技术方案所存在的缺陷，本发明提出了一种适应非集中式的多方共管的真实环境的多应用智能卡及智能卡多应用管理系统和方法。

本发明的目的是通过以下技术方案实现的：一种智能卡多应用管理系统，所述智能卡多应用管理系统包括终端、服务器、多应用智能卡和读卡器，并且所述终端包括浏览器、网络协议模块和网络适配器。其中，所述多应用智能卡通过所述网络适配器和所述读卡器与终端相连接，而所述服务器通过网络适配器与终端相连接，其中，所述多应用智能卡包括应用安全域管理装置，用于管理和维护所述多应用智能卡内的应用安全域，并且所述应用安全域包括多个发卡商应用安全域，所述多个发卡商应用安全域共享所述多应用智能卡的控制权。

在上面所公开的方案中，优选地，所述应用安全域还包括至少一个持卡人应用安全域，所述持卡人应用安全域隶属于创建所述持卡人应用安全域的发卡商应用安全域，用于管理和维护持卡人所创建的应用。

在上面所公开的方案中，优选地，所述多应用智能卡与所述终端之间使用

HTTP协议建立安全通道。

在上面所公开的方案中，可选地，所述多个发卡商应用安全域通过投票的方式决定是否添加新的发卡商应用安全域。

在上面所公开的方案中，可选地，所述终端是基于 Web方式的移动电话或 P0S机或 ATM机。

本发明的目的是通过以下技术方案实现的：

一种多应用智能卡，所述多应用智能卡包括应用模块、本地操作系统、应用安全域管理装置以及物理层硬件，所述应用安全域管理装置用于管理和维护所述多应用智能卡内的应用安全域，并且所述应用安全域包括多个发卡商应用安全域，所述多个发卡商应用安全域共享所述多应用智能卡的控制权。

在上面所公开的方案中，优选地，所述应用安全域还包括至少一个持卡人应用安全域 ,所述持卡人应用安全域隶属于创建所述持卡人应用安全域的发卡商应用安全域，用于管理和维护持卡人所创建的应用。

在上面所公开的方案中，优选地，所述多应用智能卡与外部终端之间使用 HTTP协议建立安全通道。

在上面所公开的方案中，优选地，所述本地操作系统包括基于 Web的服务器模块，所述基于 Web的服务器模块用于对所述应用模块与外部终端之间的交互信息进行编解码和解释。在上面所公开的方案中，可选地，所述多个发卡商应用安全域通过投票的方式决定是否添加新的发卡商应用安全域。

在上面所公开的方案中，可选地，所述外部终端是基于 Web方式的移动电话或 P0S机或 ATM机。

本发明的目的是通过以下技术方案实现的：

一种智能卡多应用管理方法，所述方法包括如下步骤：

( a )在多应用智能卡和终端中的浏览器之间建立安全通道；

( b )所述多应用智能卡通过读卡器向所述终端中的浏览器发出事件信息；

( c )所述浏览器接收到所述事件信息后，通过解析而获得事件参数，并将所述事件参数传递给事件处理者；

( d )所述事件处理者接收到所述事件参数后对所述事件参数进行处理而生成带有所述多应用智能卡的身份识别信息和回叫地址的请求消息，并将所述请求消息发送给服务器；

( e )所述服务器接收到所述请求消息后对所述请求消息进行处理并生成响应消息，并将所述响应消息通过所述浏览器发送到所述多应用智能卡中，其中，所述响应消息包含有需要操作的应用安全域的标识；

( f )所述多应用智能卡接收到所述响应消息后对相应的应用安全域进行指定的操作，并与所述服务器进行后续的通信；

并且，所述应用安全域包括多个发卡商应用安全域，所述多个发卡商应用安全域共享所述多应用智能卡的控制权。

在上面所公开的方案中，优选地，步骤（a )进一步包括如下步骤：

( al )所述终端中的浏览器向所述多应用智能卡发送安全通道建立请求消息，所述安全通道建立请求消息包含有需要操作的域的标识信息和附加信息以及所述浏览器的公钥证书，从而申明所述终端所支持的算法、公钥和所选择操作的应用安全域；

( a2 )所述多应用智能卡收到所述安全通道建立请求消息后检查收到的所述安全通道建立请求消息的内容，校验所述浏览器的公钥证书、并根据附加信息确定返回的安全通道建立响应消息的内容，从而申明所述多应用智能卡支持的算法、公钥以及建议的双方均支持的会话算法；

( a 3 )所述终端中的浏览器接收到所述安全通道建立响应消息后，判断是否接受所述多应用智能卡的建议或重新协商；

4 )所述多应用智能卡按照协商的算法产生过程密钥，用于保护后续通讯的数据加密和防止篡改。

在上面所公开的方案中，优选地，所述多应用智能卡与所述终端之间使用 HTTP协议建立安全通道。

本发明所公开的多应用智能卡及智能卡多应用管理系统和方法具有如下优点：多应用智能卡具有多个发卡商应用安全域并共享该智能卡控制权，从而适应真实世界多方共管的客观现实；多应用智能卡具有持卡人应用安全域满足了卡片控制权适度向持卡人倾斜的需求。附图说明

结合附图，本发明的技术特征以及优点将会被本领域技术人员更好地理解，其中：

图 1为根据本发明的实施例的智能卡多应用管理系统的结构图；

图 2为根据本发明的实施例的多应用智能卡的结构图；

图 3为根据本发明的实施例的应用安全域结构图；

图 4为根据本发明的实施例的基于 Web的服务器模块工作原理示意图；图 5为根据本发明的实施例的应用模块工作原理示意图；

图 6为根据本发明的实施例的智能卡多应用管理方法流程图。具体实施方式图 1 为才艮据本发明的实施例的智能卡多应用管理系统的结构图。如图 1 所示，本发明公开的智能卡多应用管理系统包括终端 1、服务器 2、多应用智能卡 3和读卡器 9 , 并且所述终端 1包括浏览器 4、 HTTP协议模块 5、静态域名解析器 7、 TCP/ IP协议模块 6和网络适配器 8。其中，所述多应用智能卡 3 通过网络适配器 8和读卡器 9与终端 1相连接，而服务器 2可通过网络适配器 8与终端相连接。多应用智能卡 3插入读卡器 9后，用户可通过终端 1中的浏览 4器与该多应用智能卡 3相交互。例如：多应用智能卡 3发出的经过通信协议封装的事件信息通过读卡器 9和网络适配器 8而被传送到终端 1 , 此后，信息将被 HTTP协议模块 5和 TCP/ IP协议模块 6解析从而获得事件参数，随后通过静态域名解析器 7的映射而将所获得的事件参数传递给事件处理者。同样，服务器 2可通过类似的方式与终端 1相交互。由上可知，通过终端 1作为媒介，多应用智能卡 3可以与服务器 2相交互。其中，当客户端（即多应用智能卡 3 ) 在请求服务器 2服务时必须将自己的身份识别信息通过 URL参数的方式带到服务器 2 , 同时告知浏览器 4服务器相应信息的回叫地址。根据本发明的实施例的终端 1可以是移动电话、基于 Web方式的 P0S机或 ATM机等。

图 2为才艮据本发明的实施例的多应用智能卡的结构图，如图 2所示，本发明公开的多应用智能卡 3包括应用模块 10、应用开发框架模块 11、 API接口 14、本地操作系统 13、应用安全域管理装置 12以及物理层硬件 15，并且所述本地操作系统 13包括加密模块 16、输入输出模块 17、文件系统模块 18和基于 Web的服务器模块 19。其中，所述基于 Web的服务器模块 19用于完成应用模块 10与服务器 2和浏览器 4之间的交互信息的编解码和翻译。图 4为根据本发明的实施例的基于 Web的服务器模块工作原理示意图。如图 4所示，基于 Web的服务器模块 19包括解码器 20、编码器 21和解释器 22。来自于浏览器 4 的消息经过解码器 20解码后以 WebReques t请求或 WebResponse响应的格式发送给解释器 22，此后，经过解释器的解析和处理，将产生的请求或响应消息发送给编码器 21 , 随后，基于 Web的服务器模块 19将编码后的请求或响应消息通过浏览器 4发送到服务器 2。同样，应用模块 10通过类似的方式与基于 Web的服务器模块 19相交互。

图 5为根据本发明的实施例的应用模块工作原理示意图。如图 5所示，应用模块 10使用适配器（WebAdapter )来进行资源的动态引用，适配过程如下：适配器才艮据接收到的信息选择对应的页面动作对象（ WebAct ion )，随后页面动作对象根据映射关系调用对应的动作处理函数，从而动态引用页面资源。

所述应用安全域管理装置 12用于集中管理和维护卡上的各个合作方的应用，并使之保持一定的独立性。通常，智能卡上存在多个应用，这些应用需要分成几个集合，每个集合中的应用属于同一个卡外实体，例如卡发行商或持卡人。卡外实体的卡上代理叫做应用安全域。在实际应用中，只有通过应用安全域，外卡实体才能实现对应用的管理。图 3为才艮据本发明的实施例的应用安全域结构图。如图 3所示，本发明所公开的多应用智能卡定义了下面几种应用安全域：发卡商应用安全域，所述发卡商应用安全域用于管理发卡商应用，可以安装生成其他应用安全域，例如一般应用安全域或持卡人应用安全域，并且可以锁定或删除自己创建的应用或应用安全域，所述多应用智能卡上可以存在多个发卡商应用安全域；共享应用安全域，所述共享应用安全域可以共享卡片控制权，可以在自己的域内创建一般应用安全域，并且可以锁定或删除自己创建的应用或应用安全域；一般应用安全域（即合作方应用安全域），发卡商允许第三方组织通过其发行的卡片向持卡人提供应用，第三方组织的卡上代理被称之为一般应用安全域，所述一般应用安全域可以创建应用，并且可以锁定或删除自己创建的应用；持卡人应用安全域，发卡商允许持卡人在自己的卡上安装和删除应用，持卡人的卡上代理被称之为持卡人应用安全域，所述持卡人应用安全域可以创建应用或片应用，并且可以锁定或删除自己的应用安全域。本发明所公开的应用安全域还包括服务应用和片应用，所述服务应用是智能卡上的特殊应用，该服务应用不与终端交互，并通过其私有接口向其他应用提供服务。所述片应用是一种为行业应用提供支撑的轻量级应用，可以提供灵活的、可伸缩的安全架构和数据存取机制。

本发明所公开的应用安全域具有如下作用：代理卡外实体进行应用的维护工作，在代理应用维护工作前，应用安全域首先与卡外实体建立安全通道，完成相互认证，安全通道建立完成后，应用安全域才可接受和执行卡外实体发来的应用维护命令；为直接隶属的应用或应用安全域提供服务，通常，应用安全域会存储一些私有的密钥, 为其直接隶属的应用提供加解密服务，服务接口由应用安全域自定义。

本发明所公开的发卡商应用安全域在卡发行时已经预置在卡中，其主要作用如下：存储发卡商证书或密钥，本发明所公开的智能卡允许存在多个发卡商应用安全域，其中，所述多个发卡商应用安全域表示该智能卡由多个发卡商联合发行，每个发卡商对应一个发卡商应用安全域，同时，发卡商证书或密钥参与安全通道的建立，并向卡外实体证明自己的合法身份；为发卡商应用提供密钥和算法服务，除了发卡商证书或密钥外，发卡商应用安全域可以存储一些私有密钥和私有密钥算法，这些密钥和算法可以通过自定义的服务接口向外提供密钥服务，只有直接隶属于发卡商应用安全域的应用才可以使用发卡商应用安全域的密钥服务；应用维护，发卡商应用安全域负责维护隶属于它的应用，维护操作包括应用的安装和注册，应用的生命周期的改变和应用的删除等，在发卡商应用安全域开启维护操作前，该发卡商应用安全域需要和卡外实体建立安全通道。

如图 3所示，本发明所公开的一般应用安全域和持卡人应用安全域是二级应用安全域，其隶属于卡上某个发卡商应用安全域。一般应用安全域和持卡人应用安全域可在卡发行时预置在卡中，也可以在卡发行后由发卡商应用安全域创建，因此，一般应用安全域和持卡人应用安全域可以看作隶属于发卡商应用安全域的应用，从而可以调用发卡商应用安全域提供的服务。一般应用安全域的主要作用如下：存储应用安全域的密钥，该应用安全域的密钥参与安全通道的建立，并向卡外实体证明自己的合法身份；为直接隶属的应用提供密钥和算法服务，这些密钥和算法是该一般应用安全域私有的，并且服务接口由该一般应用安全域自定义，负责维护隶属于它的应用，维护操作包括应用的安装和注册，应用的生命周期的改变和应用的删除等，并且在与卡外实体成功建立安全通道之后，一般应用安全域通过接收卡外实体的应用管理命令进行应用管理操作。持卡人应用安全域主要作用如下：存储持卡人应用安全域的个人身份码 ( PIN ),持卡人在进行持卡人应用安全域的应用维护前，需要先验证持卡人应用安全域的 PIN码，持卡人应用安全域需要自定义验证 PIN码的命令，脸证 PIN码后，持卡人应用安全域就可以确认外界持卡人身份，即与外界建立了安全通道；为直接隶属的应用提供密钥服务，这些密钥和算法是持卡人应用安全域私有的，并且服务接口由持卡人应用安全域自定义；负责维护隶属它的应用，维护操作包括应用的安装和注册，应用的生命周期的改变和应用的删除等，在成功验证了持卡人应用安全域的 PIN码后，持卡人应用安全域通过接收卡外实体的应用管理命令进行应用管理操作。

如图 3所示，在本发明所公开的应用安全域中，可选地，已存在的发卡商应用安全域可以通过投票的方式决定是否添加新的发卡商应用安全域。投票过程如下：进程初始化，主要用于确定认证算法；各个已存在的发卡商应用安全域接收到请求后进行投票；拆开每张票，比较每张票的内容，并根据比较结果决定是否添加新的发卡商应用安全域。其中，每张票中包含的信息决定了新的发卡商应用安全域的关键属性（例如，该新的发卡商应用安全域是否具有投票权）。

在根据本发明的实施例的智能卡多应用管理系统中，应用的安装步骤如下：采用 HTTP协议建立安全通道，其中密钥体系釆用非对称密钥体系结合对称密钥体系；如果是隶属于持卡人应用安全域的应用，则可以利用 PIN建立安全通道；创建应用句柄；下载并安装应用本身；激活应用。其中，安全通道的建立过程如下：终端 1向智能卡 3发送安全通道建立请求消息，该消息内含需要操作的域的标识和附加信息以及浏览器 4的公钥证书，从而申明终端 1所支持的算法、公钥和选择操作的应用安全域；智能卡 3收到安全通道建立请求消息后检查收到的消息内容，校验浏览器证书、并根据附加信息确定返回的安全通道建立响应消息的内容，从而申明智能卡 3支持的算法、公钥以及建议的双方均支持的会话算法；终端 1接收到该安全通道建立响应消息后，判断是否接受智能卡的建议或重新协商；按照协商的算法产生过程密钥，用于保护后续通讯的数据加密和防止篡改。

图 6为根据本发明的实施例的智能卡多应用管理方法流程图。如图 6所示，该智能卡多应用管理方法包括如下步骤：（a )在终端中的浏览器和多应用智能卡之间建立安全通道； ( b )多应用智能卡通过读卡器向终端中的浏览器发出事件信息；（c )该浏览器接收到所述事件信息后，通过解析而获得事件参数，并将该参数传递给事件处理者； ( d )该事件处理者接收到事件参数后对其进行处理而生成带有所述多应用智能卡的身份识别信息和回叫地址的请求消息，并将该请求消息发送给服务器； ( e )该服务器接收到所述请求消息后对其进行处理并生成响应消息，并将该响应消息通过浏览器发送到所述多应用智能卡，其中，所述响应消息包含有需要操作的应用安全域的标识；（ f )所述多应用智能卡接收到该响应消息后对相应的应用安全域进行指定的操作，并与服务器进行后续的通信。其中，所述应用安全域包括多于一个的发卡商应用安全域。并且可选地，所述应用安全域包括至少一个持卡人应用安全域。其中，可选地，已存在域。投票过程如下：进程初始化，主要用于确定认证算法；各个已存在的发卡商应用安全域接收到请求后进行投票；拆开每张票，比较每张票的内容，并根据比较结果决定是否添加新的发卡商应用安全域。其中，每张票中包含的信息决定了新的发卡商应用安全域的关键属性（例如，该新的发卡商应用安全域是否具有投票权）。

所述智能卡多应用管理方法中的步骤 )进一步包括如下步骤：（al )终端中的浏览器向所述多应用智能卡发送安全通道建立请求消息，该消息内含需要操作的域的标识和附加信息以及该浏览器的公钥证书，从而申明终端所支持的算法、公钥和选择操作的应用安全域；（a2 )所述多应用智能卡收到该安全通道建立请求消息后检查收到的消息内容，效验浏览器证书、并根据附加信息确定返回的安全通道建立响应消息的内容，从而申明多应用智能卡支持的算法、公钥以及建议的双方均支持的会话算法； 3 )终端中的浏览器接收到该安全通道建立响应消息后，判断是否接受所述多应用智能卡的建议或重新协商；（a4 )所述多应用智能卡按照协商的算法产生过程密钥，用于保护后续通讯的数据加密和防止篡改。

尽管本发明是通过上述的优选实施方式进行描述的，但是其实现形式并不局限于上述的实施方式。应该认识到：在不脱离本发明主旨和范围的情况下，本领域技术人员可以对本发明做出不同的变化和修改。

Claims

权利要求

1. 一种智能卡多应用管理系统，所述智能卡多应用管理系统包括终端、服务器、多应用智能卡和读卡器，并且所述终端包括浏览器、网络协议模块和网络适配器；其中，所述多应用智能卡通过所述网络适配器和所述读卡器与终端相连接，而所述服务器通过网络适配器与终端相连接，其中，所述多应用智能卡包括应用安全域管理装置，用于管理和维护所述多应用智能卡内的应用安全域，其特征在于，所述应用安全域包括多个发卡商应用安全域，所述多个发卡商应用安全域共享所述多应用智能卡的控制权。

2. 根据权利要求 1所述的智能卡多应用管理系统，其特征在于，所述应用安全域还包括至少一个持卡人应用安全域，所述持卡人应用安全域隶属于创建所述持卡人应用安全域的发卡商应用安全域，用于管理和维护持卡人所创建的应用。

3. 根据权利要求 1-2中任一个权利要求所述的智能卡多应用管理系统，其特征在于，所述多应用智能卡与所述终端之间使用 HTTP协议建立安全通道。

4. 根据权利要求 3所述的智能卡多应用管理系统，其特征在于，所述多个发卡商应用安全域通过投票的方式决定是否添加新的发卡商应用安全域。

5. 根据权利要求 4所述的智能卡多应用管理系统，其特征在于，所述终端是基于 Web方式的移动电话或 P0S机或 ATM机。

6. —种多应用智能卡，所述多应用智能卡包括应用模块、本地操作系统、应用安全域管理装置以及物理层硬件，所述应用安全域管理装置用于管理和维护所述多应用智能卡内的应用安全域，其特征在于，所述应用安全域包括多个发卡商应用安全域，所述多个发卡商应用安全域共享所述多应用智能卡的控制权。

7. 根据权利要求 6所述的多应用智能卡，其特征在于，所述应用安全域还包括至少一个持卡人应用安全域，所述持卡人应用安全域隶属于创建所述持卡人应用安全域的发卡商应用安全域，用于管理和维护持卡人所创建的应用。

' 8. 根据权利要求 6-7中任一个权利要求所述的多应用智能卡，其特征在于，所述多应用智能卡与外部终端之间使用 HTTP协议建立安全通道。

9. 根据权利要求 8所述的多应用智能卡，其特征在于，所述本地操作系统包括基于 Web的服务器模块，所述基于 Web的服务器模块用于对所述应用模块与外部终端之间的交互信息进行编解码和解释。

10. 根据权利要求 9 述的多应用智能卡，其特征在于，所述多个发卡商应用安全域通过投票的方式决定是否添加新的发卡商应用安全域。

11. 根据权利要求 10所述的多应用智能卡，其特征在于，所述外部终端是基于 Web方式的移动电话或 P0S机或 ATM机。

12. —种智能卡多应用管理方法，所述方法包括如下步骤：

( a )在多应用智能卡和终端中的浏览器之间建立安全通道；

( b )所述多应用智能卡通过读卡器向所述终端中的浏览器发出事件信息；（c ) 所述浏览器接收到所述事件信息后，通过解析而获得事件参数，并将所述事件参数传递给事件处理者；

其特征在于，所述应用安全域包括多个发卡商应用安全域，所述多个发卡商应用安全域共享所述多应用智能卡的控制权。

13. 根据权利要求 12所述的智能卡多应用管理方法，其特征在于，所述应用安全域还包括至少一个持卡人应用安全域，所述持卡人应用安全域隶属于创建所述持卡人应用安全域的发卡商应用安全域，用于管理和维护持卡人所创建的应用。

14. 根据权利要求 12-13 中任一个权利要求所述的智能卡多应用管理方法，其特征在于，步骤（a )进一步包括如下步骤：

( a l )所述终端中的浏览器向所述多应用智能卡发送安全通道建立请求消息，所述安全通道建立请求消息包含有需要操作的域的标识信息和附加信息以及所述浏览器的公钥证书，从而申明所述终端所支持的算法、公钥和所选择操作的应用安全 ί^;

3 ) 所述终端中的浏览器接收到所述安全通道建立响应消息后，判断是否接受所述多应用智能卡的建议或重新协商；

( a4 ) 所述多应用智能卡按照协商的算法产生过程密钥，用于保护后续通讯的数据加密和防止篡改。

15. 根据权利要求 14所述的智能卡多应用管理方法，其特征在于，所述多应用智能卡与所述终端之间使用 HTTP协议建立安全通道。

16. 根据权利要求 15所述的智能卡多应用管理方法，其特征在于，所述

17. 根据权利要求 16所述的智能卡多应用管理方法，其特征在于，所述终端是基于 Web方式的移动电话或 P0S机或 ATM机。