CN104680374A - 基于pki安全体系的uim卡智能终端支付方法 - Google Patents
基于pki安全体系的uim卡智能终端支付方法 Download PDFInfo
- Publication number
- CN104680374A CN104680374A CN201410822253.7A CN201410822253A CN104680374A CN 104680374 A CN104680374 A CN 104680374A CN 201410822253 A CN201410822253 A CN 201410822253A CN 104680374 A CN104680374 A CN 104680374A
- Authority
- CN
- China
- Prior art keywords
- intelligent terminal
- uim
- uim card
- card intelligent
- payment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
Abstract
本发明公开了一种基于PKI安全体系的UIM卡智能终端支付方法,涉及保密或安全通信装置或方法技术领域。所述方法包括以下步骤:得到支付服务提供方SP数字证书和UIM卡智能终端个人数字证书;保存对方的数字证书;UIM卡智能终端下载支付服务提供方SP签名的应用程序,并安装程序,如果不是支付服务提供方SP或者签名不合法,则UIM卡智能终端不能安装该应用程序;对信息进行加密处理;加密后的信息通过UIM卡智能终端内的操作***打包发送给支付服务提供方SP后台处理,进行验证;完成交易流程。所述方法能极大提高智能终端应用的安全性,有效防范了个人信息泄露而造成财产损失的风险。
Description
技术领域
本发明涉及保密或安全通信装置或方法技术领域,尤其涉及一种基于PKI安全体系的UIM卡智能终端支付方法。
背景技术
现有智能终端终端采用Android开放式平台,可以进行应用下载、购物等功能,尤其是金融支付被广泛使用,给人们生活带了极大的便利。但是由于终端操作***开放性程度非常高,加之其硬件平台追求低成本高性能格局,现有智能终端面临很大的信息泄露的安全威胁。人们在智能终端上进行金融支付或其他操作时,有可能会泄露如账号、密码、联系人等重要信息,从而带来财产损失。单靠操作***和应用软件已不能满足手机支付这类业务的安全需要。
发明内容
本发明所要解决的技术问题是提供一种基于PKI安全体系的UIM卡智能终端支付方法,所述方法能极大提高智能终端应用的安全性,有效防范了个人信息泄露而造成财产损失的风险。
为解决上述技术问题,本发明所采取的技术方案是:一种基于PKI安全体系的UIM卡智能终端支付方法,其特征在于所述方法包括以下步骤:
(1)UIM卡智能终端和支付服务提供方SP向UIM智能卡管理平台请求认证,得到支付服务提供方SP数字证书和UIM卡智能终端个人数字证书;
(2)通过对数字证书进行签名与验证签名的方式完成支付服务提供方SP与UIM卡智能终端的身份认证,并保存对方的数字证书;
(3)UIM卡智能终端下载支付服务提供方SP签名的应用程序,并安装程序,如果不是支付服务提供方SP或者签名不合法,则UIM卡智能终端不能安装该应用程序;
(4)UIM卡智能终端发起交易前,与支付服务提供方SP建立安全通道,将账户信息、密码、个人信息送入到UIM卡中加密,同时引入时间戳防止重放攻击;
(5)加密后的信息通过UIM卡智能终端内的操作***打包发送给支付服务提供方SP后台处理,进行验证;
(6)完成交易流程。
进一步的技术方案在于:UIM智能完成PKI安全体系的相关APDU命令操作,APDU命令操作包括数据加解密、数字签名及验证和密钥生成,UIM智能卡通过DES、RSA、SHA加密算法完成加解密功能。
进一步的技术方案在于:PKI相关APDU命令操作分解为多个步骤完成,采用如下的处理方式:
第一步,设定操作的执行环境;
第二步,进行实际的操作。
进一步的技术方案在于:APDU命令操作具体如下:首先通过MSE命令设定后面操作需要的算法、操作类型、编码方式环境参数,然后再进行密钥产生、数据加密、数据解密、数字签名、数字签名的验证实际操作。
进一步的技术方案在于:命令数据传递过程中采用如下处理方式:
(1)所有数据元都通过TLV格式传递;
(2)数据元过大的情况下将采用分段传递的方式,在命令头中指定数据段的情况。
采用上述技术方案所产生的有益效果在于:所述方法引入基于PKI安全体系的UIM卡这一硬件模块来实现智能终端的安全机制,使得只有通过用户认证的合法的应用才能装载到手机终端中,合法的交易才能被后台处理,交易过程的数据都是加密传输。
附图说明
下面结合附图和具体实施方式对本发明作进一步详细的说明。
图1是本发明所述方法使用的整体***结构图;
图2是本发明UIM智能卡与PKI/CA***关系图。
具体实施方式
下面结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明的一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在下面的描述中阐述了很多具体细节以便于充分理解本发明,但是本发明还可以采用其他不同于在此描述的其它方式来实施,本领域技术人员可以在不违背本发明内涵的情况下做类似推广,因此本发明不受下面公开的具体实施例的限制。
本发明公开了一种基于PKI安全体系的UIM卡智能终端支付方法,图1和图2是与所述方法相对应使用到的***图和UIM智能卡与PKI/CA关系图,所述方法包括以下步骤:
(1)UIM卡智能终端和支付服务提供方SP向UIM智能卡管理平台请求认证,得到支付服务提供方SP数字证书和UIM卡智能终端个人数字证书;
(2)通过对数字证书进行签名与验证签名的方式完成支付服务提供方SP与UIM卡智能终端的身份认证,并保存对方的数字证书;
(3)UIM卡智能终端下载支付服务提供方SP签名的应用程序,并安装程序,如果不是支付服务提供方SP或者签名不合法,则UIM卡智能终端不能安装该应用程序;
(4)UIM卡智能终端发起交易前,与支付服务提供方SP建立安全通道,将账户信息、密码、个人信息送入到UIM卡中加密,同时引入时间戳防止重放攻击;
(5)加密后的信息通过UIM卡智能终端内的操作***打包发送给支付服务提供方SP后台处理,进行验证;
(6)完成交易流程。
具体的:采用内置于智能终端的UIM卡,作为数字证书的存储介质,UIM智能卡支持多个数字证书组,并通过运营商提供的平台统一管理,为多个SP(银行、企业等)共享使用,为SP的Web/WAP应用开展基于PKI体系的身份认证、数字签名等服务提供基础设施支持。
UIM卡需要完成消息验证、证书加载、证书生成、数字签名、数据加解密等功能,需要实现DES、RSA、SHA等算法。确保UIM能有效解析、存储和管理个人证书和服务提供商证书,确保能使用个人私钥对传递给UIM卡数据进行签名,确保能使用运营商或服务提供商证书验证消息签名来判断消息来源的合法性,确保个人私钥安全存储而不被导出,确保能使用公私钥加密传递给UIM的数据。
UIM还需要完成PKI相关APDU命令操作,包括了数据加解密、数字签名及验证和密钥生成等,这些操作都可以被分解为多个步骤完成。在本项目中采用如下的处理方式:
(1)第一步,设定操作的执行环境
(2)第二步,进行实际的操作
首先通过MSE命令设定后面操作需要的算法、操作类型、编码方式等环境参数,然后再进行密钥产生、数据加密、数据解密、数字签名、数字签名的验证等实际操作。
另外对于命令数据的传递,一组操作可能涉及多个数据元的传递过程,其中某些数据元还可能较长,超过卡片命令一次报文数据域能够容纳的最大长度256字节。所以在命令数据传递过程中采用如下处理方式:
(1)所有数据元都通过TLV格式传递
(2)数据元过大的情况下将采用分段传递的方式,在命令头中指定数据段的情况。
安全应用流程:
在应用下载阶段,智能终端与服务提供商建立信任通道后(通过UIM卡),只能下载合法的提供商提供的签名应用。若发现服务提供商非法,或者应用签名非法,则拒绝应用下载。确保终端只能装载和运行合法的应用。
在交易流程阶段,智能终端中UIM卡负责消息验证,与后台建立安全通道,对个人账户、密码等敏感信息加密后再送入到开发性环境中,与后台交互完成交易流程。
所述方法引入基于PKI安全体系的UIM卡这一硬件模块来实现智能终端的安全机制,使得只有通过用户认证的合法的应用才能装载到手机终端中,合法的交易才能被后台处理,交易过程的数据都是加密传输。
Claims (5)
1.一种基于PKI安全体系的UIM卡智能终端支付方法,其特征在于所述方法包括以下步骤:
(1)UIM卡智能终端和支付服务提供方SP向UIM智能卡管理平台请求认证,得到支付服务提供方SP数字证书和UIM卡智能终端个人数字证书;
(2)通过对数字证书进行签名与验证签名的方式完成支付服务提供方SP与UIM卡智能终端的身份认证,并保存对方的数字证书;
(3)UIM卡智能终端下载支付服务提供方SP签名的应用程序,并安装程序,如果不是支付服务提供方SP或者签名不合法,则UIM卡智能终端不能安装该应用程序;
(4)UIM卡智能终端发起交易前,与支付服务提供方SP建立安全通道,将账户信息、密码、个人信息送入到UIM卡中加密,同时引入时间戳防止重放攻击;
(5)加密后的信息通过UIM卡智能终端内的操作***打包发送给支付服务提供方SP后台处理,进行验证;
(6)完成交易流程。
2.根据权利要求1所述的基于PKI安全体系的UIM卡智能终端支付方法,其特征在于:UIM智能完成PKI安全体系的相关APDU命令操作,APDU命令操作包括数据加解密、数字签名及验证和密钥生成,UIM智能卡通过DES、RSA、SHA加密算法完成加解密功能。
3.根据权利要求2所述的基于PKI安全体系的UIM卡智能终端支付方法,其特征在于PKI相关APDU命令操作分解为多个步骤完成,采用如下的处理方式:
第一步,设定操作的执行环境;
第二步,进行实际的操作。
4.根据权利要求3所述的基于PKI安全体系的UIM卡智能终端支付方法,其特征在于APDU命令操作具体如下:首先通过MSE命令设定后面操作需要的算法、操作类型、编码方式环境参数,然后再进行密钥产生、数据加密、数据解密、数字签名、数字签名的验证实际操作。
5.根据权利要求3所述的基于PKI安全体系的UIM卡智能终端支付方法,其特征在于命令数据传递过程中采用如下处理方式:
(1)所有数据元都通过TLV格式传递;
(2)数据元过大的情况下将采用分段传递的方式,在命令头中指定数据段的情况。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410822253.7A CN104680374A (zh) | 2014-12-23 | 2014-12-23 | 基于pki安全体系的uim卡智能终端支付方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410822253.7A CN104680374A (zh) | 2014-12-23 | 2014-12-23 | 基于pki安全体系的uim卡智能终端支付方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN104680374A true CN104680374A (zh) | 2015-06-03 |
Family
ID=53315378
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410822253.7A Pending CN104680374A (zh) | 2014-12-23 | 2014-12-23 | 基于pki安全体系的uim卡智能终端支付方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104680374A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110942313A (zh) * | 2019-12-02 | 2020-03-31 | 北京市燃气集团有限责任公司 | 燃气卡交互方法、燃气卡支付方法和燃气卡读卡器 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004078718A (ja) * | 2002-08-21 | 2004-03-11 | Nippon Telegr & Teleph Corp <Ntt> | Icカード相互運用方法及びシステム |
| CN101394615A (zh) * | 2007-09-20 | 2009-03-25 | ***股份有限公司 | 一种基于pki技术的移动支付终端及支付方法 |
| CN101808092A (zh) * | 2010-03-12 | 2010-08-18 | 中国电信股份有限公司 | 多证书共享方法、***和智能卡 |
| CN102202306A (zh) * | 2011-06-13 | 2011-09-28 | 中国电信股份有限公司 | 移动安全认证终端及方法 |
| CN104143142A (zh) * | 2014-07-17 | 2014-11-12 | 马洁韵 | 一种移动支付单元支付***和安全支付方法 |
-
2014
- 2014-12-23 CN CN201410822253.7A patent/CN104680374A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004078718A (ja) * | 2002-08-21 | 2004-03-11 | Nippon Telegr & Teleph Corp <Ntt> | Icカード相互運用方法及びシステム |
| CN101394615A (zh) * | 2007-09-20 | 2009-03-25 | ***股份有限公司 | 一种基于pki技术的移动支付终端及支付方法 |
| CN101808092A (zh) * | 2010-03-12 | 2010-08-18 | 中国电信股份有限公司 | 多证书共享方法、***和智能卡 |
| CN102202306A (zh) * | 2011-06-13 | 2011-09-28 | 中国电信股份有限公司 | 移动安全认证终端及方法 |
| CN104143142A (zh) * | 2014-07-17 | 2014-11-12 | 马洁韵 | 一种移动支付单元支付***和安全支付方法 |
Non-Patent Citations (2)
| Title |
|---|
| 张泽连 等: "PKI安全体系在手机智能卡中的应用", 《微型机与应用》 * |
| 张泽连: "基于智能卡的PKI安全体系研究与应用", 《中国优秀硕士学位论文全文数据库 信息科技辑》 * |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110942313A (zh) * | 2019-12-02 | 2020-03-31 | 北京市燃气集团有限责任公司 | 燃气卡交互方法、燃气卡支付方法和燃气卡读卡器 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10595201B2 (en) | Secure short message service (SMS) communications | |
| CN101828357B (zh) | 用于证书提供的方法和装置 | |
| CN107358441B (zh) | 支付验证的方法、***及移动设备和安全认证设备 | |
| CN108566381A (zh) | 一种安全升级方法、装置、服务器、设备和介质 | |
| CN105207774A (zh) | 验证信息的密钥协商方法及装置 | |
| CN103078742B (zh) | 数字证书的生成方法和*** | |
| CN105553951A (zh) | 数据传输方法和装置 | |
| CN101771699A (zh) | 一种提高SaaS应用安全性的方法及*** | |
| CN105790938A (zh) | 基于可信执行环境的安全单元密钥生成***及方法 | |
| CN104967612A (zh) | 一种数据加密存储方法、服务器及*** | |
| CN108718233B (zh) | 一种加密方法、计算机设备及存储介质 | |
| CN104424446A (zh) | 一种安全认证和传输的方法和*** | |
| CN103036880A (zh) | 网络信息传输方法、设备及*** | |
| KR20140098872A (ko) | 모바일 nfc단말기 웹 서비스를 위한 바이오인식과 tsm 기반의 보안 시스템 및 방법 | |
| CN108809936B (zh) | 一种基于混合加密算法的智能移动终端身份验证方法及其实现*** | |
| CN1980121A (zh) | 电子签名移动终端、***及方法 | |
| CN101296083A (zh) | 一种加密数据传输方法和*** | |
| CN102118385A (zh) | 安全域的管理方法和装置 | |
| CN105653986A (zh) | 一种基于microSD卡的数据保护方法及装置 | |
| CN105812334A (zh) | 一种网络认证方法 | |
| EP3292654B1 (en) | A security approach for storing credentials for offline use and copy-protected vault content in devices | |
| CN112507296A (zh) | 一种基于区块链的用户登录验证方法及*** | |
| CN100583174C (zh) | 使用网上银行***安全终端实现数据安全的处理方法 | |
| CN101895885A (zh) | 一种密钥文件的保护方法及*** | |
| KR100986758B1 (ko) | 통신기기 보안기능 처리용 보안전용 장치 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20150603 |
|
| RJ01 | Rejection of invention patent application after publication |