CN101742481B - 智能卡的从安全域初始密钥分发方法和***、移动终端 - Google Patents

智能卡的从安全域初始密钥分发方法和***、移动终端 Download PDF

Info

Publication number
CN101742481B
CN101742481B CN2008101770164A CN200810177016A CN101742481B CN 101742481 B CN101742481 B CN 101742481B CN 2008101770164 A CN2008101770164 A CN 2008101770164A CN 200810177016 A CN200810177016 A CN 200810177016A CN 101742481 B CN101742481 B CN 101742481B
Authority
CN
China
Prior art keywords
card
management platform
security domain
service terminal
smart card
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN2008101770164A
Other languages
English (en)
Other versions
CN101742481A (zh
Inventor
余万涛
马景旺
贾倩
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
ZTE Corp
Original Assignee
ZTE Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ZTE Corp filed Critical ZTE Corp
Priority to CN2008101770164A priority Critical patent/CN101742481B/zh
Priority to PCT/CN2009/073485 priority patent/WO2010051713A1/zh
Publication of CN101742481A publication Critical patent/CN101742481A/zh
Application granted granted Critical
Publication of CN101742481B publication Critical patent/CN101742481B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/34User authentication involving the use of external additional devices, e.g. dongles or smart cards
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0431Key distribution or pre-distribution; Key agreement
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0433Key management protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

本发明提供了一种智能卡的从安全域初始密钥分发方法和***,该***包括具有电子支付应用功能的智能卡、卡发行商管理平台及业务终端;所述智能卡通过所述业务终端与所述卡发行商管理平台进行通信;所述卡发行商管理平台,用于通过所述业务终端将从安全域初始密钥分发给所述智能卡。本发明解决在发卡后,针对对称密钥的情况,在创建从安全域时,将卡发行商管理平台生成的从安全域初始密钥安全的导入到从安全域,从而实现从安全域初始密钥的安全分发。

Description

智能卡的从安全域初始密钥分发方法和***、移动终端
技术领域
本发明涉及移动终端电子支付技术,尤其涉及智能卡的从安全域初始密钥分发方法和***、移动终端。
背景技术
IC卡特别是非接触式IC卡经过十多年的发展,已经被广泛应用于公交、门禁、小额电子支付等领域。与此同时,手机经历20多年的迅速发展,在居民中基本得到普及,给人们的工作及生活带来很大的便利。手机的功能越来越强大,并存在集成更多功能的趋势。将手机和非接触式IC卡技术结合,手机应用于电子支付领域,会进一步扩大手机的使用范围,给人们的生活带来便捷,存在着广阔的应用前景。
近场通信技术(Near Field Communication,NFC)是工作于13.56MHz的一种近距离无线通信技术,由射频识别RFID(Radio Frequency Identification)技术及互连技术融合演变而来。手机等移动通信终端集成NFC技术后,可以模拟非接触式IC卡,用于电子支付的有关应用。移动通信终端上实现该方案需要在终端上增加NFC模拟前端芯片和NFC天线,并使用支持电子支付的智能卡。
为实现基于NFC技术的移动电子支付,需要建立移动终端电子支付***,通过该***实现对基于NFC的移动终端电子支付的管理,包括:智能卡的发行,电子支付应用的下载、安装和个人化,采用相关技术和管理策略实现电子支付应用的安全等。
基于NFC技术的移动终端电子支付***的业务框架通常采用全球平台GP(Global Platform)规范的多应用框架,在该框架下,支持Global Platform规范的智能卡指的是符合全球平台卡规范(Global Platform Card Specification)V2.1.1/V2.2的IC芯片或智能卡,从物理形式上可以为SIM/USIM卡即客户识别模块(Subscriber Identity Model)/通用移动通信***客户识别模块(UMTSSubscriber Identity Module UMTS)、可插拔的智能存储卡或者集成在移动终端上的IC芯片。
如果基于近场通信(NFC)技术的移动终端电子支付***支持GP2.1.1规范,安全信道协议需要支持SCP02(基于对称密钥),如果基于近场通信技术的移动终端电子支付***支持GP2.2规范,安全信道协议需要支持SCP02(基于对称密钥)和SCP10(基于非对称密钥),卡发行商、应用提供商可以根据安全策略需求进行选择。
一般情况下,基于NFC的移动终端近距离电子支付***主要由卡发行商管理平台、一个或多个应用提供商管理平台和支持具有电子支付应用功能智能卡的移动终端组成。
在支持Global Platform规范的智能卡上可以安装多个应用,为了实现电子支付应用的安全,智能卡被分隔为若干个独立的安全域,以保证多个应用相互之间的隔离以及独立性,各个应用提供商管理各自的安全域以及应用、应用数据等。
安全域是卡外实体包括卡发行商和应用提供商在卡上的代表,它们包含用于支持安全信道协议运作以及智能卡内容管理的密钥。安全域包括主安全域和从安全域等。主安全域是卡发行商在智能卡上的强制的卡上代表,一个智能卡只包含一个主安全域。从安全域是卡发行商或应用提供商在智能卡上的附加的可选卡上代表。
安全域的密钥生成与分发由管理该安全域的卡发行商或应用提供商负责,这保证了来自不同应用提供者的应用和数据可以共存于同一个卡上。安全域的密钥包括主安全域密钥、从安全域初始密钥和从安全域密钥。主安全域密钥和从安全域初始密钥由卡发行商管理平台生成,从安全域密钥由管理从安全域的卡发行商管理平台或应用提供商管理平台生成。
在将电子支付应用下载并安装到智能卡之前,需要在智能卡上为该应用先创建从安全域,智能卡从安全域的创建是由卡发行商管理平台完成的。在智能卡发行后,创建智能卡从安全域时,从安全域初始密钥必须由卡发行商管理平台通过安全途径导入到智能卡上的从安全域。
从安全域初始密钥的分发过程与***网络架构的具体实现方式有关。为了实现智能卡的安全性管理和支付应用的下载、安装等,智能卡需要和卡发行商管理平台以及应用提供商管理平台建立通信。智能卡可以通过业务终端和管理平台建立通信。业务终端是可以对智能卡进行读写的设备,如与计算机相连的POS机等。在使用业务终端时,针对对称密钥的情况,如何将卡发行商管理平台生成的从安全域初始密钥安全的导入到智能卡上的从安全域,是移动终端电子支付需要解决的一个问题。
发明内容
本发明要解决的技术问题是提供一种智能卡的从安全域初始密钥分发方法和***、移动终端,以将卡发行商管理平台生成的从安全域初始密钥安全的导入到从安全域,从而实现从安全域初始密钥的安全分发。
为了解决上述技术问题,智能卡的从安全域初始密钥分发方法,该方法基于移动终端电子支付***实现,该***包括具有电子支付应用功能的智能卡、卡发行商管理平台及业务终端,所述智能卡为一独立设备或安装在移动终端上;所述智能卡通过所述业务终端与所述卡发行商管理平台进行通信,所述卡发行商管理平台通过所述业务终端将从安全域初始密钥分发给所述智能卡。
进一步地,该方法包括:(a)用户向所述卡发行商管理平台提交应用下载请求;(b)所述卡发行商管理平台收到应用下载请求信息后,所述卡发行商管理平台和所述智能卡主安全域之间建立安全信道;(c)所述卡发行商管理平台创建从安全域及生成从安全域初始密钥,通过建立的安全信道经由所述业务终端将安全域初始密钥导入到所述智能卡从安全域。
进一步地,步骤(a)中用户通过所述智能卡程序或所述业务终端客户端程序触发应用下载请求,所述应用下载请求中包括智能卡标识信息、应用标识及应用提供商身份信息,步骤(b)之后,步骤(c)之前,还包括:所述卡发行商管理平台根据所述智能卡标识信息,应用标识及应用提供商身份信息,或者根据智能卡状态信息,判断是否创建从安全域。
进一步地,步骤(b)建立安全信道的过程包括:(b1)所述卡发行商管理平台与智能卡主安全域经由所述业务终端进行互认证,所述互认证过程经由所述业务终端在所述卡发行商管理平台和所述智能卡主安全域之间完成;(b2)所述卡发行商管理平台与所述智能卡主安全域之间建立临时会话密钥,从而建立安全信道。
进一步地,所述业务终端为卡发行商业务终端,所述卡发行商管理平台与所述智能卡间的交互信息通过卡发行商业务终端转发;或者,所述业务终端为应用提供商业务终端,从所述卡发行商管理平台到所述智能卡的消息依次通过应用提供商管理平台和应用提供商业务终端转发,从所述智能卡到所述卡发行商管理平台的消息依次通过应用提供商业务终端和应用提供商管理平台转发。
为了解决上述技术问题,本发明还提供了一种智能卡的从安全域初始密钥分发***,该***包括具有电子支付应用功能的智能卡、卡发行商管理平台及业务终端;所述智能卡通过所述业务终端与所述卡发行商管理平台进行通信;所述卡发行商管理平台,用于通过所述业务终端将从安全域初始密钥分发给所述智能卡。
进一步地,所述智能卡,还用于提供向所述卡发行商管理平台提交应用下载请求的支持,与卡发行商管理平台进行互认证及建立临时会话密钥,还用于解密获得的从安全域初始密钥,以及对从安全域进行初始化;所述卡发行商管理平台,还用于与所述智能卡主安全域进行互认证及建立临时会话密钥,还用于根据应用下载请求或智能卡状态信息判断是否建立从安全域,以及建立从安全域,生成并向智能卡分发从安全域初始密钥。
进一步地,所述业务终端为卡发行商业务终端,用于对所述卡发行商管理平台与所述智能卡间的交互信息进行转发;或者;
所述业务终端为应用提供商业务终端,所述***还包括应用提供商管理平台;所述应用提供商业务终端,用于接收所述应用提供商管理平台发送的消息并转发给所述智能卡;还用于接收所述智能卡发送的消息并转发给所述应用提供商管理平台;所述应用提供商管理平台,用于接收所述卡发行商管理平台发送的消息并转发给所述应用提供商业务终端;还用于接收所述应用提供商业务终端发送的消息并转发给所述卡发行商管理平台。
进一步地,所述智能卡为一独立设备或安装在移动终端上。
本发明还提供了一种移动终端,所述移动终端包括具有电子支付应用功能的智能卡,所述智能卡从安全域的初始密钥由卡发行商管理平台通过卡发行商业务终端分发,或者通过应用提供商管理平台和应用提供商业务终端分发。
本发明可以解决在发卡后,针对对称密钥的情况,在创建从安全域时,将卡发行商管理平台生成的从安全域初始密钥安全的导入到从安全域,从而实现从安全域初始密钥的安全分发。
附图说明
图1是本发明中基于近场通信技术的移动终端电子支付***架构示意图;
图2是本发明中实施例一中通过卡发行商业务终端进行从安全域初始密钥分发的流程示意图;
图3是本发明中实施例二中通过应用提供商业务终端进行从安全域初始密钥分发的流程示意图。
具体实施方式
如图1所示,本发明中移动终端电子支付***包括:应用提供商管理平台、卡发行商管理平台、应用提供商管理平台、业务终端(包括卡发行商业务终端和应用提供商业务终端)、移动终端和具有电子支付应用功能的智能卡,本***中的智能卡可以安装在一移动终端上。在其它实施例中,此***也可以不包括移动终端,此时该智能卡是一独立设备。
所述智能卡支持Global Platform Card Specification V2.1.1/V2.2规范;具有电子支付应用功能的智能卡可以直接通过卡发行商业务终端和应用提供商业务终端分别与卡发行商管理平台或应用提供商管理平台连接,当具有电子支付应用功能的智能卡安装在移动终端上时,移动终端可以通过卡发行商业务终端或应用提供商业务终端分别与卡发行商管理平台和应用提供商管理平台连接。
所述智能卡可以安装在移动终端上,所述智能卡和所述移动终端可以支持OTA功能,移动终端可以通过移动通信网络与OTA服务器相连,OTA服务器分别与卡发行商管理平台和应用提供商管理平台连接。
卡发行商管理平台,负责智能卡的发行和管理,对智能卡的资源和生命周期、密钥、证书进行管理,负责从安全域的创建,并与其他安全域交互应用数据,其中包括创建从安全域,与所述智能卡进行互认证及建立临时会话密钥,以及生成从安全域初始密钥和新的从安全域密钥。就具体实现而言,卡发行商管理平台可以包括卡片管理***、应用管理***、密钥管理***、证书管理***、应用提供商管理***等,其中证书管理***在支持非对称密钥的情况下使用,证书管理***和卡片发行商认证机构(CA)***连接;
应用提供商管理平台,负责电子支付应用的提供和管理功能,提供各种业务应用,并对智能卡上与其对应的从安全域进行安全管理,对所述从安全域的应用密钥、证书、数据等进行控制,提供应用的安全下载、安装等功能。其中包括与所述智能卡进行互认证及建立临时会话密钥,以及生成新的从安全域密钥。就具体实现而言,应用提供商管理平台可以包括应用管理***、密钥管理***、证书管理***,其中证书管理***在支持非对称密钥的情况下使用,证书管理***和应用提供商认证机构(CA)***连接。
卡发行商管理平台和应用提供商管理平台可以通过各自的业务终端提供电子支付有关服务:参与处理电子支付用户信息管理,参与从安全域的创建和密钥分发、电子支付应用的下载、以及电子支付应用的个人化等。应用提供商管理平台和卡发行商管理平台之间可以通过安全连接(如专线连接)进行通信。
所述智能卡,可以安装在所述移动终端上,用于通过移动终端及业务终端与所述卡发行商管理平台进行通信,也可以直接通过业务终端与所述卡发行商管理平台进行通信;还用于提供向所述卡发行商管理平台提交应用下载请求的支持,与卡发行商管理平台进行互认证及建立临时会话密钥,还用于解密获得的从安全域初始密钥,以及对从安全域进行初始化;
卡发行商业务终端,由卡发行商管理平台管理;用于对所述卡发行商管理平台与所述智能卡间的交互信息进行转发。
应用提供商业务终端,由应用提供商管理平台管理;用于接收所述应用提供商管理平台发送的消息并转发给所述智能卡;还用于接收所述智能卡发送的消息并转发给所述应用提供商管理平台。
本发明基于图1所示的移动终端电子支付***架构为例进行描述,但不限于图1所示移动终端电子支付***架构。
如图2所示,实施例一中,卡发行商管理平台通过卡发行商业务终端向智能卡分发安全域初始密钥,具体包括以下步骤:
步骤201,用户通过卡发行商业务终端客户端程序或智能卡程序触发应用下载申请,并向卡发行商管理平台提交应用下载申请,应用下载申请可以包含智能卡用户识别信息、应用标识及应用提供商身份等信息;
步骤202,卡发行商管理平台经由卡发行商业务终端向智能卡发送SELECT命令报文,选择主安全域;
步骤203,智能卡经由卡发行商业务终端向卡发行商管理平台提交SELECT命令响应;
步骤204,卡发行商管理平台与智能卡主安全域经由卡发行商业务终端建立SCP02安全信道;
所述卡发行商管理平台启动所述卡发行商管理平台和所述智能卡主安全域的互认证,完成互认证后,卡发行商管理平台与智能卡主安全域之间建立起临时会话密钥,从而建立安全信道。该临时会话密钥可以遵循GlobalPlatform Card Specification V2.1.1/V2.2规范建立,也可以通过其它方法建立;
所述互认证过程经由卡发行商业务终端在所述卡发行商管理平台和所述智能卡主安全域之间完成。
步骤205,卡发行商管理平台判断是否需要创建从安全域,如果不需要创建从安全域,则终止从安全域创建过程;如果需要创建从安全域,则继续执行后续步骤;
所述卡发行商管理平台根据所述智能卡ICCID信息、应用标识及应用提供商身份等信息,或者通过智能卡状态信息等方式,判断是否创建从安全域。
智能卡状态信息由卡发行商管理平台从智能卡主安全域获取。
步骤206,卡发行商管理平台经由卡发行商业务终端向智能卡发送INSTALL命令;
步骤207,智能卡经由卡发行商业务终端向卡发行商管理平台提交INSTALL命令响应;
步骤208,卡发行商管理平台生成初始密钥,通过PUTKEY命令,经由卡发行商业务终端向智能卡主安全域发送从安全域初始密钥;
步骤209,智能卡主安全域接收到从安全域初始密钥后,用接收到的从安全域初始密钥初始化从安全域;
步骤210,智能卡主安全域经由卡发行商业务终端向卡发行商管理平台发送PUTKEY命令响应,结束从安全域初始密钥分发过程。
实施例一中卡发行商管理平台与智能卡间的交互信息通过卡发行商业务终端转发;在实施例二中,从卡发行商管理平台到智能卡的消息依次通过应用提供商管理平台和应用提供商业务终端转发,从智能卡到卡发行商管理平台的消息依次通过应用提供商业务终端和应用提供商管理平台转发。如图3所示,实施例二中,分发从安全域初始密钥的方法具体包括以下步骤:
步骤301,用户通过应用提供商业务终端客户端程序或智能卡程序触发应用下载申请,并经由应用提供商管理平台向卡发行商管理平台提交应用下载申请,应用下载申请可以包含智能卡用户识别信息、应用标识及应用提供商身份等信息;
步骤302,卡发行商管理平台经由应用提供商管理平台和应用提供商业务终端向智能卡发送SELECT命令报文,选择主安全域;
步骤303,智能卡经由应用提供商业务终端和应用提供商管理平台向卡发行商管理平台提交SELECT命令响应;
步骤304,卡发行商管理平台与智能卡主安全域经由应用提供商管理平台和应用提供商业务终端建立SCP02安全信道;
所述卡发行商管理平台启动所述卡发行商管理平台和所述智能卡主安全域的互认证,完成互认证后,卡发行商管理平台与智能卡主安全域之间建立起临时会话密钥,从而建立安全信道。该临时会话密钥可以遵循GlobalPlatform Card Specification V2.1.1/V2.2规范建立,也可以通过其它方法建立;
所述互认证过程经由应用提供商管理平台和应用提供商业务终端在所述卡发行商管理平台和所述智能卡主安全域之间完成。
步骤305,卡发行商管理平台判断是否需要创建从安全域,如果不需要创建从安全域,则终止从安全域创建过程;如果需要创建从安全域,则继续执行后续步骤;
所述卡发行商管理平台根据所述智能卡ICCID信息、应用标识及应用提供商身份等信息,或者通过智能卡状态信息等方式,判断是否创建从安全域。
智能卡状态信息由卡发行商管理平台从智能卡主安全域获取。
步骤306,卡发行商管理平台经由应用提供商管理平台和应用提供商业务终端向智能卡发送INSTALL命令;
步骤307,智能卡经由应用提供商业务终端和应用提供商管理平台向卡发行商管理平台提交INSTALL命令响应;
步骤308,卡发行商管理平台通过PUTKEY命令,经由应用提供商管理平台和应用提供商业务终端向智能卡主安全域发送从安全域初始密钥;
步骤309,智能卡主安全域接收到从安全域初始密钥后,用接收到的从安全域初始密钥初始化从安全域;
步骤310,智能卡主安全域经由应用提供商业务终端和应用提供商管理平台向卡发行商管理平台发送PUTKEY命令响应,结束从安全域初始密钥分发过程。
本发明智能卡从安全域初始密钥分发方法和***,可以解决在发卡后,针对对称密钥的情况,在创建从安全域时,将卡发行商管理平台生成的从安全域初始密钥安全的导入到从安全域,从而实现从安全域初始密钥的安全分发。
本发明还可有其他多种实施例,在不背离本发明精神及其实质的情况下,熟悉本领域的技术人员当可根据本发明做出各种相应的改变和变形,这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。

Claims (8)

1.智能卡的从安全域初始密钥分发方法,其特征在于,该方法基于移动终端电子支付***实现,该***包括具有电子支付应用功能的智能卡、卡发行商管理平台及业务终端,所述智能卡为一独立设备或安装在移动终端上;所述智能卡通过所述业务终端与所述卡发行商管理平台进行通信,所述卡发行商管理平台通过所述业务终端将从安全域初始密钥分发给所述智能卡;该方法包括:
(a)用户通过智能卡程序或业务终端客户端程序触发应用下载请求,并向所述卡发行商管理平台提交应用下载请求,所述应用下载请求中包括智能卡标识信息、应用标识及应用提供商身份信息;
(b)所述卡发行商管理平台收到应用下载请求信息后,所述卡发行商管理平台和所述智能卡主安全域之间建立安全信道;
(c)所述卡发行商管理平台创建从安全域及生成从安全域初始密钥,通过建立的安全信道经由所述业务终端将安全域初始密钥导入到所述智能卡从安全域。
2.如权利要求1所述的方法,其特征在于,
步骤(b)之后,步骤(c)之前,还包括:所述卡发行商管理平台根据所述智能卡标识信息,应用标识及应用提供商身份信息,或者根据智能卡状态信息,判断是否创建从安全域。
3.如权利要求1所述的方法,其特征在于,
步骤(b)建立安全信道的过程包括:(b1)所述卡发行商管理平台与智能卡主安全域经由所述业务终端进行互认证,所述互认证过程经由所述业务终端在所述卡发行商管理平台和所述智能卡主安全域之间完成;(b2)所述卡发行商管理平台与所述智能卡主安全域之间建立临时会话密钥,从而建立安全信道。
4.如权利要求1至3中任一项所述的方法,其特征在于,
所述业务终端为卡发行商业务终端,所述卡发行商管理平台与所述智能卡间的交互信息通过卡发行商业务终端转发;或者,所述业务终端为应用提供商业务终端,从所述卡发行商管理平台到所述智能卡的消息依次通过应用提供商管理平台和应用提供商业务终端转发,从所述智能卡到所述卡发行商管理平台的消息依次通过应用提供商业务终端和应用提供商管理平台转发。
5.智能卡的从安全域初始密钥分发***,其特征在于,该***包括具有电子支付应用功能的智能卡、卡发行商管理平台及业务终端;
所述智能卡通过所述业务终端与所述卡发行商管理平台进行通信;还用于提供向所述卡发行商管理平台提交应用下载请求的支持,与卡发行商管理平台进行互认证及建立临时会话密钥,还用于解密获得的从安全域初始密钥,以及对从安全域进行初始化;
所述卡发行商管理平台,用于通过所述业务终端将从安全域初始密钥分发给所述智能卡;还用于与所述智能卡主安全域进行互认证及建立临时会话密钥,还用于根据应用下载请求或智能卡状态信息判断是否建立从安全域,以及建立从安全域,生成并向智能卡分发从安全域初始密钥。
6.如权利要求5所述的***,其特征在于,
所述业务终端为卡发行商业务终端,用于对所述卡发行商管理平台与所述智能卡间的交互信息进行转发;或者;
所述业务终端为应用提供商业务终端,所述***还包括应用提供商管理平台;
所述应用提供商业务终端,用于接收所述应用提供商管理平台发送的消息并转发给所述智能卡;还用于接收所述智能卡发送的消息并转发给所述应用提供商管理平台;
所述应用提供商管理平台,用于接收所述卡发行商管理平台发送的消息并转发给所述应用提供商业务终端;还用于接收所述应用提供商业务终端发送的消息并转发给所述卡发行商管理平台。
7.如权利要求5或6所述的***,其特征在于,
所述智能卡为一独立设备或安装在移动终端上。
8.一种采用如权利要求1所述智能卡的从安全域初始密钥分发方法的移动终端,所述移动终端包括具有电子支付应用功能的智能卡,其特征在于,所述智能卡从安全域的初始密钥由卡发行商管理平台通过卡发行商业务终端分发,或者通过应用提供商管理平台和应用提供商业务终端分发。
CN2008101770164A 2008-11-10 2008-11-10 智能卡的从安全域初始密钥分发方法和***、移动终端 Active CN101742481B (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CN2008101770164A CN101742481B (zh) 2008-11-10 2008-11-10 智能卡的从安全域初始密钥分发方法和***、移动终端
PCT/CN2009/073485 WO2010051713A1 (zh) 2008-11-10 2009-08-25 智能卡的从安全域初始密钥分发方法和***、移动终端

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN2008101770164A CN101742481B (zh) 2008-11-10 2008-11-10 智能卡的从安全域初始密钥分发方法和***、移动终端

Publications (2)

Publication Number Publication Date
CN101742481A CN101742481A (zh) 2010-06-16
CN101742481B true CN101742481B (zh) 2013-03-20

Family

ID=42152476

Family Applications (1)

Application Number Title Priority Date Filing Date
CN2008101770164A Active CN101742481B (zh) 2008-11-10 2008-11-10 智能卡的从安全域初始密钥分发方法和***、移动终端

Country Status (2)

Country Link
CN (1) CN101742481B (zh)
WO (1) WO2010051713A1 (zh)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101916388B (zh) * 2010-07-27 2013-06-05 武汉天喻信息产业股份有限公司 智能sd卡及利用该智能sd进行移动支付的方法
CN105991530A (zh) * 2014-11-07 2016-10-05 天地融科技股份有限公司 数据交互***
CN105991529A (zh) * 2014-11-07 2016-10-05 天地融科技股份有限公司 数据交互方法及***
CN105790938B (zh) * 2016-05-23 2019-02-19 ***股份有限公司 基于可信执行环境的安全单元密钥生成***及方法
CN107493167B (zh) * 2016-06-13 2021-01-29 广州江南科友科技股份有限公司 终端密钥分发***及其终端密钥分发方法
CN113490210B (zh) * 2021-06-17 2023-03-24 中国联合网络通信集团有限公司 一种辅助安全域的创建方法及***
CN113490211B (zh) * 2021-06-17 2023-03-24 中国联合网络通信集团有限公司 一种辅助安全域的创建方法、sm-sr及***

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7194438B2 (en) * 2004-02-25 2007-03-20 Nokia Corporation Electronic payment schemes in a mobile environment for short-range transactions
US7628322B2 (en) * 2005-03-07 2009-12-08 Nokia Corporation Methods, system and mobile device capable of enabling credit card personalization using a wireless network
US7469151B2 (en) * 2006-09-01 2008-12-23 Vivotech, Inc. Methods, systems and computer program products for over the air (OTA) provisioning of soft cards on devices with wireless communications capabilities
CN101140649A (zh) * 2007-10-22 2008-03-12 中兴通讯股份有限公司 利用集成了rfid芯片的手机实现电子商务的方法及***

Also Published As

Publication number Publication date
CN101742481A (zh) 2010-06-16
WO2010051713A1 (zh) 2010-05-14

Similar Documents

Publication Publication Date Title
CN101742480B (zh) 智能卡从安全域初始密钥分发方法、***及移动终端
CN101729502B (zh) 密钥分发方法和***
CN101729503B (zh) 密钥分发方法和***
CN101742481B (zh) 智能卡的从安全域初始密钥分发方法和***、移动终端
CN101742478B (zh) 智能卡从安全域密钥更新分发方法、***及移动终端
CN102469081B (zh) 智能卡片操作的方法、设备及***
CN101739756B (zh) 一种智能卡密钥的生成方法
CN101729244B (zh) 密钥分发方法和***
CN101866463A (zh) 一种eNFC终端、eNFC智能卡及其通信方法
CN101917216A (zh) 一种采用蓝牙智能卡实现安全移动应用的***和方法
CN103366140A (zh) 一种基于nfc的写卡方法和写卡装置
CN104915829A (zh) 基于nfc技术的应用交互方法及装置
WO2010096991A1 (zh) 一种应用下载的***和方法
CN202444629U (zh) 利用移动终端进行卡操作的***
CN102932788A (zh) 一种手机的身份识别和近场支付的方法
CN104392190A (zh) 通过移动终端设备进行虚拟卡实体化的方法及装置
CN108665269A (zh) 一种使用移动设备进行交易的方法及装置
CN101729246B (zh) 密钥分发方法和***
CN101729243B (zh) 密钥更新方法和***
CN102892096B (zh) 实现账户充值的***、方法、业务运营支撑***和设备
CN101742479A (zh) 一种智能卡从安全域密钥更新分发方法、***及移动终端
CN101729245B (zh) 密钥分发方法和***
CN103150650A (zh) 一种远程支付处理方法及移动终端、***
TWI643148B (zh) Mobile device, method, computer program product, and distribution system thereof for configuring ticket co-branded credit card based on coding technology
KR101771546B1 (ko) 모바일 핀테크 기술을 이용한 간편결제 방법

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant