CN108012268A - 一种手机终端SIM卡及安全使用App的方法、介质 - Google Patents
一种手机终端SIM卡及安全使用App的方法、介质 Download PDFInfo
- Publication number
- CN108012268A CN108012268A CN201711293104.6A CN201711293104A CN108012268A CN 108012268 A CN108012268 A CN 108012268A CN 201711293104 A CN201711293104 A CN 201711293104A CN 108012268 A CN108012268 A CN 108012268A
- Authority
- CN
- China
- Prior art keywords
- cpk
- mobile phone
- application software
- user
- key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 29
- 230000005764 inhibitory process Effects 0.000 claims description 26
- 238000004891 communication Methods 0.000 claims description 23
- 230000006870 function Effects 0.000 claims description 22
- 238000010295 mobile communication Methods 0.000 claims description 11
- 238000012795 verification Methods 0.000 claims description 10
- 239000011159 matrix material Substances 0.000 claims description 7
- 238000003860 storage Methods 0.000 claims description 7
- 238000001629 sign test Methods 0.000 claims description 6
- 241001269238 Data Species 0.000 claims description 4
- 230000009191 jumping Effects 0.000 claims description 4
- 238000004590 computer program Methods 0.000 claims description 3
- 238000013500 data storage Methods 0.000 claims description 3
- 238000009826 distribution Methods 0.000 description 9
- 230000005540 biological transmission Effects 0.000 description 6
- 238000005516 engineering process Methods 0.000 description 6
- RYGMFSIKBFXOCR-UHFFFAOYSA-N Copper Chemical compound [Cu] RYGMFSIKBFXOCR-UHFFFAOYSA-N 0.000 description 5
- 229910052802 copper Inorganic materials 0.000 description 5
- 239000010949 copper Substances 0.000 description 5
- 238000007726 management method Methods 0.000 description 5
- 230000008901 benefit Effects 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 238000004519 manufacturing process Methods 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 208000012860 Horse disease Diseases 0.000 description 1
- BQCADISMDOOEFD-UHFFFAOYSA-N Silver Chemical compound [Ag] BQCADISMDOOEFD-UHFFFAOYSA-N 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 230000033228 biological regulation Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 239000003814 drug Substances 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 239000002574 poison Substances 0.000 description 1
- 231100000614 poison Toxicity 0.000 description 1
- 238000002360 preparation method Methods 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 230000001681 protective effect Effects 0.000 description 1
- 230000010076 replication Effects 0.000 description 1
- 229910052709 silver Inorganic materials 0.000 description 1
- 239000004332 silver Substances 0.000 description 1
- 238000005728 strengthening Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06K—GRAPHICAL DATA READING; PRESENTATION OF DATA; RECORD CARRIERS; HANDLING RECORD CARRIERS
- G06K19/00—Record carriers for use with machines and with at least a part designed to carry digital markings
- G06K19/06—Record carriers for use with machines and with at least a part designed to carry digital markings characterised by the kind of the digital marking, e.g. shape, nature, code
- G06K19/067—Record carriers with conductive marks, printed circuits or semiconductor circuit elements, e.g. credit or identity cards also with resonating or responding marks without active components
- G06K19/07—Record carriers with conductive marks, printed circuits or semiconductor circuit elements, e.g. credit or identity cards also with resonating or responding marks without active components with integrated circuit chips
- G06K19/077—Constructional details, e.g. mounting of circuits in the carrier
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/22—Processing or transfer of terminal data, e.g. status or physical capabilities
- H04W8/24—Transfer of terminal data
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Microelectronics & Electronic Packaging (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Databases & Information Systems (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephone Function (AREA)
Abstract
本发明公开了一种保证应用软件在手机终端上安全使用的SIM卡以及相应的方法,该SIM卡包括:射频天线、射频驱动单元、MCU安全芯片和SIM卡标准连接触点,并顺次连接;所述MCU安全芯片通过SIM卡标准连接触点连接至手机终端;在所述MCU安全芯片通过SIM卡标准连接触点将IMSI发送给手机终端,由手机终端与电信运营商之间进行用户身份鉴权;所述MCU安全芯片通过射频驱动单元和射频天线与外部的读卡设备相配合,保证所述应用软件的安全使用;所述MCU安全芯片存储有一个或多个用户应用标识CPK私钥和一个IMSI CPK标识私钥。通过本发明的技术方案,解决了手机终端应用软件的安全应用问题。
Description
技术领域
本发明涉及移动通信技术及信息安全领域,尤其涉及一种支持CPK的手机终端SIM卡及安全使用App的方法、介质。
背景技术
如今手机已经成为人们出行所必需带的物品之一,甚至可说是首要必需携带的。随着其重要性的日益增加,越来越多的厂家都将目光投向手机的相关应用产品与技术。目前NFC、RFID-SIM等手机卡技术已日渐成熟,出现了很多相关的手机应用,如手机门禁、手机支付、手机消费等。近年来移动互联网的高速发展,金融服务向互联网化、移动化的方向发展已是大势所趋,金融机构纷纷通过布局手机银行进行变革与创新。据统计,2016年我国TOP20的手机银行月均活跃用户规模达12494万,预计全部银行的月均活跃用户约1.5亿,2016年全年手机银行市场超过百万亿规模。
不过值得注意的是,伴随着金融服务向移动端发展,移动端的安全问题也随之而来,包括支付密码的盗取、键盘录制、非法钓鱼网站、远程控制等,不安全性是手机银行显著存在的问题。因此如何将传统服务当中的安全方案同样放在移动端,为移动端的金融服务业务提供安全保障成为当下金融机构迫切需要解决的问题,也是移动金融落地发展和迈向成熟的关键所在。
从央行政策监管方面,《关于进一步加强银行卡风险管理的通知》(银发〔2016〕170号)也要求严格手机客户端软件安全管理,打造可信手机支付执行环境。针对手机木马病毒、虚假短信、伪基站等欺诈手段,央行鼓励手机厂商综合运用新技术提供硬件级安全保护,提升支付敏感信息防护能力和支付交易安全强度。目前,在非接触式用户身份认证应用领域中M1(Mifare one)卡使用比较广泛,但其采用的专用不公开硬件逻辑算法已被非法破解,用户信息存在安全隐患,而具备智能刷卡功能的RFID-SIM手机卡已有逐步取代M1卡的趋势。本发明的核心是支持CPK的RFID-SIM卡,直接在传统的SIM上实现了芯片级的公钥体制安全,同时集成了RFID射频卡功能,集通信、安全、RFID技术于一体,真正了实现了手机卡,解决了现阶段的手机应用安全性问题。
发明内容
为解决上述技术问题,本发明公开了一种保证应用软件在手机终端上安全使用的SIM卡,该SIM卡包括:射频天线、射频驱动单元、MCU安全芯片和SIM卡标准连接触点,并顺次连接;
所述MCU安全芯片通过SIM卡标准连接触点连接至手机终端;
在所述MCU安全芯片中存储有IMSI用户身份鉴权信息,通过SIM卡标准连接触点将IMSI发送给手机终端,由手机终端与电信运营商之间进行用户身份鉴权;
所述MCU安全芯片通过射频驱动单元和射频天线与外部的读卡设备相配合,保证所述应用软件的安全使用;
所述MCU安全芯片存储有一个或多个用户应用CPK标识私钥和一个IMSI CPK标识私钥;
所述用户应用CPK标识私钥,是CPK密钥管理中心根据所述IMSI CPK标识私钥签名用户应用标识得到的密钥申请信息产生并分发给MCU安全芯片的。
根据本发明的实施例,优选的,所述MCU安全芯片中包含:移动通信模块、CPK安全模块和EFlash芯片存储区;
所述移动通信模块负责手机终端与基站间的通信和定位功能;
所述CPK安全模块负责CPK公钥密码体制的密码学算法与协议实现;
所述EFlash数据存储区是MCU安全芯片的安全存储区,用于存储移动通信模块的相关参数、数据以及CPK安全模块的相关数据。
根据本发明的实施例,优选的,所述应用软件通过标准的7816接口、射频天线或手机终端的蓝牙模块实现对CPK安全模块的调用。
根据本发明的实施例,优选的,所述CPK安全模块对IMSI CPK标识私钥和应用软件的用户应用CPK标识私钥加密后存储于EFlash安全数据区。
根据本发明的实施例,优选的,所述应用软件通过上述方法运行。
为解决上述技术问题,本发明公开了一种在手机终端上安全使用应用软件的方法,该方法包括以下步骤:
(1)启动手机终端的应用软件,判断是否存在该应用软件对应的用户应用CPK标识密钥,如果是,则跳转至步骤(6),否则跳转至步骤(2);
(2)调用手机终端SIM卡中的IMSI CPK标识私钥对应用软件的用户应用标识进行签名;
(3)应用软件将此签名信息作为密钥申请信息发给密钥管理中心;
(4)密钥管理中心对所述签名信息进行验证,如果验证通过,生成该应用软件的用户应用CPK标识私钥返回所述应用软件,否则跳转至步骤(7);
(5)将所述应用软件的用户应用CPK标识私钥写入所述手机终端SIM卡;
(6)该应用软件正常运行;
(7)结束。
所述用户应用CPK标识密钥包括用户应用CPK标识私钥和用户应用CPK标识公钥。
根据本发明的实施例,优选的,所述步骤(4)中,密钥管理中心验证签名的真实性和唯一性,以确保所述用户应用标识的真实性,并且是首次申请密钥。
根据本发明的实施例,优选的,所述步骤(4)中,密钥管理中心将私钥矩阵与用户应用标识通过CPK算法计算对应的用户应用CPK标识私钥。
根据本发明的实施例,优选的,所述应用软件的用户应用标识包括:手机号、用户姓名、身份证号、社保卡和银行卡号等。
根据本发明的实施例,优选的,在所述步骤(1)之前,由运营商预制IMSI CPK标识私钥,并加密存储于SIM存储区中。
为解决上述技术问题,本发明公开了一种位于手机终端上的可读计算机存储介质,该计算机存储介质存储有计算机程序,通过执行所述计算机程序实现下述方法:
(1)启动手机的应用软件时,判断是否存在该应用软件对应的用户应用CPK标识密钥,如果是,则跳转至步骤(5),否则跳转至步骤(2);
(2)调用手机SIM卡中的IMSI CPK标识私钥对应用软件的用户应用标识进行签名;
(3)应用软件将此签名作为密钥申请信息发给密钥管理中心;
(4)应用软件接收到密钥管理中心返回的用户应用CPK标识私钥后,将所述用户应用CPK标识私钥写入所述手机SIM卡;
(5)该应用软件正常运行;
(6)结束。
所述用户应用CPK标识密钥包括用户应用CPK标识私钥和用户应用CPK标识公钥。
为解决上述技术问题,本发明公开了一种通过上述方法获得的用户应用CPK标识私钥开启门禁的方法,该方法包括:
(1)手机终端与门禁终端建立通信连接,开门应用软件向门禁终端发起一个开门申请;
(2)门禁终端将该开门申请发送给门禁服务器;
(3)门禁服务器通过门禁终端返回给开门应用软件一个随机数;
(4)开门应用软件采用用户应用CPK标识私钥对所述随机数和时间戳进行数字签名后,通过门禁终端发送给门禁服务器;
(5)门禁服务器对签名进行验签,如果验签通过,则转入步骤(6),否则向门禁终端发送拒绝开锁指令;
(6)门禁终端接到开锁指令,执行开锁;
(7)结束。
根据本发明的实施例,优选的,所述步骤(5)中,在验签通过后,门禁服务器还需要检查用户应用标识是否在门禁白名单中,若在白名单中则为合法授权用户,转入步骤(6),否则向门禁终端发送拒绝开锁指令。
根据本发明的实施例,优选的,所述步骤(1)中手机终端通过近场通信NFC、无线通信网络或者蓝牙通信的方式与门禁终端建立无线通信连接。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1本发明的逻辑结构图
图2本发明的IMSI预置密钥分发流程
图3本发明的用户密钥分发流程
图4本发明的安全门禁实施例
具体实施方式
本发明的目的在于解决现阶段的手机应用安全性问题,提供一种可支持CPK(Combined Public Key)的RFID-SIM手机用户识别卡,在传统手机用户识别卡中嵌入了CPK公钥体制的安全模块,同时集成了RFID(Radio Frequency Identification)射频卡功能,实现了通信、安全和近场通信应用功能于一体。
本发明所涉及的手机卡具有三个显著优势:
一、完全兼容传统手机卡的移动通信功能;
二、集成的RFID功能,拓展了手机的非接触式应用范围,如门禁、公交卡、手机钱包等;
三、CPK安全模块可以支持多个标识私钥,为移动应用提供基于标识公钥体制的安全服务,实现了应用中的身份鉴权,数据完整性、真实性与防抵赖的功能及数据保密性。采用本发明的手机卡可以广泛的应用于移动电子政务、移动办公、智慧城市和移动支付领域,打造用户数字身份和为用户提供安全交易保护的机制,为用户提供安全、便捷的应用体验,满足智慧城市建设和管理对安全实名制的需求。
本发明解决其技术问题所采用的技术方案是:一种支持CPK的RFID-SIM手机卡,包括卡本体以及集成在该卡空间内的卡内电路;该卡内电路包括MCU(MicrocontrollerUnit)安全芯片、射频驱动单元、射频天线和SIM卡标准铜制连接触点;射频天线、射频驱动单元、MCU安全芯片和SIM卡标准铜制连接触点顺次相连接;在MCU安全芯片中存储有用户身份鉴权信息(IMSI,International Mobile Subscriber Identification Number),MCU安全芯片通过SIM卡标准铜制连接触点连接至手机终端,以将IMSI发送给手机终端,由手机终端与电信运营商之间进行用户身份鉴权;MCU安全芯片通过射频驱动单元和射频天线与外部的读卡设备相配合,实现了安全芯片的非接触式通信,使电子钱包、门禁、公交卡等应用成为可能。
所述MCU安全芯片中还存储有一个或多个用户的CPK标识私钥;所述标识私钥,是CPK密钥管理中心根据手机用户的标识与CPK私钥矩阵通过计算所产生的,通过安全密钥分发协议写入安全芯片的用户数字密钥。用户应用标识私钥是通过逻辑加密存储于MCU安全芯片,私钥的使用需要通过严格的权限验证,并仅限于在MCU芯片内使用,上位机无法获得私钥。MCU安全芯片的COS程序中除传统的移动通信模块外,还包括了CPK相关的密码学安全模块,包括了数字签名协议、密钥传递协议、对称加密算法、数字摘要算法、访问控制、安全状态机和安全报文等子模块功能。
所述MCU安全芯片通过数据链路连接手机终端,并通过手机终端的网络资源以在线的方式连接密钥管理中心,进行在线的用户应用标识密钥申请。手机卡在交付用户之前,由运营商预置IMSI标识密钥,IMSI标识密钥为预置密钥,这个密钥只与手机卡有关,与使用手机卡的人是无关的,通常这个密钥可以由运营商预置,即用户所购买的卡中已经由运营商预置了IMSI所对应的标识密钥。IMSI所对应的密钥可以作为后续实名密钥的安全分发基础。
用户购买卡后,所申请的实名制标识密钥借助于手机终端网络进行在线申请。此处的在线申请的标识密钥是与使用的人和应用软件关联,如用户的姓名、手机号、银行卡号、身份证号、邮件地址等,这些标识只有在应用时才能确定,所以只能在使用时在线申请。申请流程为:
(1)手机终端调用IMSI标识私钥对所申请的用户应用标识(如:手机号、用户姓名、身份证号、社保卡和银行卡号等)进行数字签名;
(2)将用户应用标识和签名通过手机终端网络发送给密钥管理中心;
(3)密钥管理中心对用户应用标识的签名进行验证,并检查用户应用标识的唯一性;
(4)密钥管理中心以用户应用标识与私钥矩阵计算对应的标识私钥;
(5)将计算产生的标识私钥通过安全密钥分发协议写入SIM卡的安全芯片。
所述的数据链路采用MCU安全芯片与手机终端的ISO7816接口为连接通道,并通过扩展APDU指令集,实现手机终端与手机卡在ISO7816接口下对CPK密码学运算与处理的数据流通信。
所述的数据链路采用在MCU安全芯片与手机终端之间新增设的以硬件方式体现的数据传输通道,实现手机终端与MCU安全芯片的CPK安全模块之间的数据传输。
所述以硬件方式体现的数据传输通道为有线传输通道或无线传输通道。
所述的数据链路采用在手机用户识别卡上增设与手机终端的已有数据传输设备相匹配的部件,以实现和手机现有资源的匹配对接,从而实现手机终端与安全芯片的数据传输。
本发明公开了一种支持CPK的RFID-SIM手机卡,所述的CPK标识私钥是以手机卡(SIM)为载体,以SIM卡内的存储单元和MCU安全芯片的硬件协处理为支撑,建立的支持CPK相关密码学算法与协议的安全模块。这个标识私钥,是手机客户使用者的应用用户应用标识与CPK私钥矩阵在CPK密钥管理中心通过组合公钥算法所计算产生的,是只有该用户才拥有的密钥数据,通过数字签名技术,对客户的网上交易实施身份认证,并且可以签署各种业务服务协议,确保了交易和协议的唯一、完整和不可否认。这个以手机卡(SIM)为载体,集成了射频卡功能,存储了CPK标识私钥,并支持CPK相关的密码学算法与协议的卡即本发明的支持CPK的RFID-SIM手机卡。标识私钥是通过用户的PIN码进行逻辑加密存储的,使用时需要先通过验证用户PIN以确定使用者的身份,用户对标识私钥具有完全的自主权,运营商或应用管理员均无权调用其中的标识私钥,应用此类手机卡的安全应用符合国家的电子签名法。
本发明公开了一种支持CPK的RFID-SIM手机卡,是以具备非接触、支持近距离无线通信功能、支持移动支付的手机卡为平台,可以采用2.4G通信频率,也可以采用13.56M通信频率,且手机卡内包括CPK安全模块,可以存储标识私钥和支持密码学相关的算法与协议。手机卡是基于安全芯片的,通过传输链路,与智能手机端终进行数据通信,智能手机终端在操作系统OS的管理下,运行应用程序APP完成相关的安全应用(如移动支付)。
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施案例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员所获得的所有其他实施例,都属于本发明保护的范围。
本发明公开了一种支持CPK的RFID-SIM手机卡,其逻辑结构(如图1)包括MCU安全芯片、射频驱动单元、射频天线和SIM卡7816标准铜制连接触点;射频天线、射频驱动单元、MCU安全芯片和SIM卡7816标准铜制连接触点顺次相连接。其中安全芯片中包含了移动通信模块、CPK安全模块和EFlash芯片存储区;移动通信模块是负责手机与基站间的通信和定位功能,这与当前普通SIM手机卡功能相同;CPK安全模块是负责公钥密码体制的密码学算法与协议实现,其功能与银行U盾相当;EFlash数据存储区是安全芯片的安全存储区,移动通信模块的相关参数和数据存储在此,CPK安全模块中的用户私钥、密码学参数、内部文件系统等也存储于此,对于敏感数据采用逻辑加密后存放。采用本发明的移动应用程序可通过标准的7816接口、射频天线或移动设备的蓝牙模块实现对安全模块的调用。
本发明公开了一种支持CPK的RFID-SIM手机卡,要求移动运营商对外发行卡前预置IMSI标识密钥,其预置密钥的分发流程如图2所示。移动运营商在向手机SIM卡中设置IMSI标识之后,将对应的IMSI标识发送到CPK密钥管理中心;密钥管理中心根据IMSI标识与密钥中心所保存的私钥矩阵通过组合公钥算法协议计算出IMSI标识所对应的标识私钥;密钥管理中心通过安全密钥分发协议将所生产的IMSI标识私钥回送到SIM手机卡;RFID-SIM卡接口调用其中的CPK安全模块对IMSI标识私钥加密并存储于EFlash安全数据区。
本发明公开了一种支持CPK的RFID-SIM手机卡,通过移动运营商将卡分发给用户后,用户根据其安全应用的需要,在线申请用户应用标识密钥(注:用户应用标识是根据具体应用需求,定义的通俗易记、具有唯一性的实名标识,如手机通话相关的业务,其标识以手机号码作为标识;银行业务,则以银行卡号作为标识;以手机实名制相关业务,则以居民身份证号为标识;安全邮件系统,则以邮件地址为标识),由于是在线密钥申请与分发,所以其流程有别于预置密钥的分发流程,具体的密钥申请分发流程如图3所示:(1)手机应用首次启动时,发现RFID-SIM卡中无此应用所对应标识的密钥时,则调用CPK安全模块的IMSI标识私钥对用户应用标识进行签名;(2)应用App将此签名作为密钥申请信息发给密钥管理中心;(3)密钥管理中心验证签名以确定标识的真实性(防止密钥的冒领),再检查此标识是否已申请密钥;(4)若签名验证与唯一性检查通过,则将私钥矩阵与标识通过组合公钥算法计算对应的私钥,否则拒绝密钥生产请求;(5)密钥管理中心通过安全分发协议将所生产的标识私钥返回应用App,而App调用密钥更新接口将标识私钥写入安全芯片。本发明的手机卡中可以同时支持多个用户应用标识密钥,不同的密钥适用于不同的领域。
本发明的RFID-SIM完成了预置密钥的生产和用户应用标识密钥的在线申请后,就可以开始安全性应用了。在此就以安全门禁的案例介绍本发明的安全性应用的具体实施方式。本发明的手机卡具有射频功能,用手机可以实现非接触式门禁卡的功能,同时通过射频通信功能可以调用CPK安全模块,以实现基于数字签名技术的安全门禁功能。其流程如图4所示,流程描述如下:
(1)用户持本发明的新型手机卡的手机在门禁终端上刷一下手机,系统自动产生一个请求开门的申请;
(2)门禁终端将此申请发送给门禁服务器;
(3)门禁服务器产生一个随机数作为挑战信息返回门禁终端;
(4)门禁终端将此随机数通过射频天线传到手机App软件;
(5)手机App软件调用安全芯片中的CPK安全模块中的用户应用标识私钥对随机数和时间戳进行数字签名;
(6)再通过射频天线将数字签名信息传给门禁终端;
(7)门禁终端将签名信息发到门禁服务器;
(8)门禁服务器从签名信息中获得签名标识(即用户应用标识),并与公钥矩阵计算所对应的标识公钥,再用标识公钥验证签名,验证通过后再检查签名时间戳是否在有效时间内(可设定为1分钟,超时无效,可防止复制攻击),满足则转入(9),否则服务器向门禁终端发送拒绝开锁指令;
(9)门禁服务器检查用户应用标识是否在门禁白名单中,若在白名单中则为合法授权用户,转入(10),否则向门禁终端发送拒绝开锁指令;
(10)签名验证与白名单检查均通过后,服务器向门禁终端发送开锁指令;
(11)门禁终端接到指令,执行开锁。
上述安全门禁是以近场通信为例的安全应用,还可借助于手机的移动数据网络实现远程门禁开锁功能,此方案也适用于共享单车的开锁。用户还可以参考本应用案例实现移动支付、手机银行、电子钱包、加密语音电话等等安全性应用。
通过本发明的技术方案,取得了以下技术效果:
(1)以安全芯片为SIM卡硬件基础,实现了安全与通信两大功能的集成,解决了安全TF卡的高成本问题和手机硬件的支持问题;
(2)以硬件安全芯片的手机卡安全模块,与互联网的银行U盾采用了相同的安全机制,其安全性和便捷性远高于最近兴起的手机安全盾方案,尤其在手机银行、移动支付领域可解决突出的安全性问题;
(3)卡内集成了射频功能,用户只需更换SIM卡就可支持电子钱包、门禁卡和公交一卡通的功能,不仅实现了手机一卡通,还与安全模块联动解决了近场通信应用的安全问题,相比用户更换支持NFC功能的手机,本发明更容易被用户所接受,易于推广;
(4)CPK标识公钥体制是基于标识的,对于实名制具有天然的优势,正好符合工信部关于手机卡实名制管理的规定,并随着本发明手机卡的普及,基于标识的手机卡将成为公安部居民身份证后的数字身份证,并可能成为数字世界的用户一卡通,能很好的与智慧城市、智能家居、远程医疗等物联网有机整合,彻底解决网络世界中的数字身份认证问题。
以上所述仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内,所作的任何修改、等同替换以及改进等,均应保护在本发明的保护范围之内。
Claims (14)
1.一种保证应用软件在手机终端上安全使用的SIM卡,该SIM卡包括:射频天线、射频驱动单元、MCU安全芯片和SIM卡标准连接触点,并顺次连接;
所述MCU安全芯片通过SIM卡标准连接触点连接至手机终端;
在所述MCU安全芯片中存储有IMSI用户身份鉴权信息,通过SIM卡标准连接触点将IMSI发送给手机终端,由手机终端与电信运营商之间进行用户身份鉴权;
所述MCU安全芯片通过射频驱动单元和射频天线与外部的读卡设备相配合,保证所述应用软件的安全使用;
所述MCU安全芯片存储有一个或多个用户应用CPK标识私钥和一个IMSI CPK标识私钥;所述用户应用CPK标识私钥,是CPK密钥管理中心根据所述IMSI CPK标识私钥签名用户应用标识得到的密钥申请信息产生并分发给MCU安全芯片的。
2.根据权利要求1所述的系统,所述MCU安全芯片中包含:移动通信模块、CPK安全模块和EFlash芯片存储区;
所述移动通信模块负责手机终端与基站间的通信和定位功能;
所述CPK安全模块负责CPK公钥密码体制的密码学算法与协议实现;
所述EFlash数据存储区是MCU安全芯片的安全存储区,用于存储移动通信模块的相关参数、数据以及CPK安全模块的相关数据。
3.根据权利要求1所述的系统,所述应用软件通过标准的7816接口、射频天线或手机终端的蓝牙模块实现对CPK安全模块的调用。
4.根据权利要求1所述的系统,所述CPK安全模块对IMSI CPK标识私钥和应用软件的用户应用CPK标识私钥加密后存储于EFlash安全数据区。
5.根据权利要求4所述的系统,所述应用软件通过权利要求6-10之一的方法运行。
6.一种在手机终端上安全使用应用软件的方法,该方法包括以下步骤:
(1)启动手机终端的应用软件,判断是否存在该应用软件对应的用户应用CPK标识密钥,如果是,则跳转至步骤(6),否则跳转至步骤(2);
(2)调用手机终端SIM卡中的IMSI CPK标识私钥对应用软件的用户应用标识进行签名;
(3)应用软件将此签名信息作为密钥申请信息发给密钥管理中心;
(4)密钥管理中心对所述签名信息进行验证,如果验证通过,生成该应用软件的用户应用CPK标识私钥返回所述应用软件,否则跳转至步骤(7);
(5)将所述应用软件的用户应用CPK标识私钥写入所述手机终端SIM卡;
(6)该应用软件正常运行;
(7)结束。
7.根据权利要求6所述的方法,所述步骤(4)中,密钥管理中心验证签名的真实性和唯一性,以确保所述用户应用标识的真实性,并且是首次申请密钥。
8.根据权利要求6所述的方法,所述步骤(4)中,密钥管理中心将私钥矩阵与用户应用标识通过CPK算法计算对应的用户应用CPK标识私钥。
9.根据权利要求6-8之一所述的方法,所述应用软件的用户应用标识包括:手机号、用户姓名、身份证号、社保卡和银行卡号。
10.根据权利要求6-8之一所述的方法,在所述步骤(1)之前,由运营商预制IMSI CPK标识私钥,并加密存储于SIM存储区中。
11.一种位于手机终端上的可读计算机存储介质,该计算机存储介质存储有计算机程序,通过执行所述计算机程序实现下述方法:
(1)启动手机的应用软件时,判断是否存在该应用软件对应的用户应用CPK标识密钥,如果是,则跳转至步骤(5),否则跳转至步骤(2);
(2)调用手机SIM卡中的IMSI CPK标识私钥对应用软件的用户应用标识进行签名;
(3)应用软件将此签名作为密钥申请信息发给密钥管理中心;
(4)应用软件接收到密钥管理中心返回的用户应用CPK标识私钥后,将所述用户应用CPK标识私钥写入所述手机SIM卡;
(5)该应用软件正常运行;
(6)结束。
12.一种通过权利要求6-10所述的方法获得的用户应用CPK标识私钥开启门禁的方法,该方法包括:
(1)手机终端与门禁终端建立通信连接,开门应用软件向门禁终端发起一个开门申请;
(2)门禁终端将该开门申请发送给门禁服务器;
(3)门禁服务器通过门禁终端返回给开门应用软件一个随机数;
(4)开门应用软件采用用户应用CPK标识私钥对所述随机数和时间戳进行数字签名后,通过门禁终端发送给门禁服务器;
(5)门禁服务器对签名进行验签,如果验签通过,则转入步骤(6),否则向门禁终端发送拒绝开锁指令;
(6)门禁终端接到开锁指令,执行开锁;
(7)结束。
13.根据权利要求12所述的方法,所述步骤(5)中,在验签通过后,门禁服务器还需要检查用户应用标识是否在门禁白名单中,若在白名单中则为合法授权用户,转入步骤(6),否则向门禁终端发送拒绝开锁指令。
14.根据权利要求12所述的方法,所述步骤(1)中手机终端通过近场通信NFC、无线通信网络或者蓝牙通信的方式与门禁终端建立无线通信连接。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711293104.6A CN108012268B (zh) | 2017-12-08 | 2017-12-08 | 一种保证应用软件在手机终端上安全使用的sim卡 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711293104.6A CN108012268B (zh) | 2017-12-08 | 2017-12-08 | 一种保证应用软件在手机终端上安全使用的sim卡 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108012268A true CN108012268A (zh) | 2018-05-08 |
| CN108012268B CN108012268B (zh) | 2021-07-09 |
Family
ID=62057590
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201711293104.6A Active CN108012268B (zh) | 2017-12-08 | 2017-12-08 | 一种保证应用软件在手机终端上安全使用的sim卡 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108012268B (zh) |
Cited By (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108921561A (zh) * | 2018-08-27 | 2018-11-30 | 河南芯盾网安科技发展有限公司 | 一种基于硬件加密的数字热钱包 |
| CN109191127A (zh) * | 2018-10-12 | 2019-01-11 | 中移电子商务有限公司 | 一种数字资产安全存储的方法及工具 |
| CN109408127A (zh) * | 2018-11-09 | 2019-03-01 | 四川科道芯国智能技术股份有限公司 | 芯片系统加载方法及芯片卡 |
| CN109921902A (zh) * | 2019-03-22 | 2019-06-21 | 阿里巴巴集团控股有限公司 | 一种密钥管理方法、安全芯片、业务服务器及信息系统 |
| WO2020093812A1 (zh) * | 2018-11-09 | 2020-05-14 | 阿里巴巴集团控股有限公司 | 移动支付方法及装置和电子设备 |
| CN111160508A (zh) * | 2019-12-31 | 2020-05-15 | 上海辰锐信息科技公司 | 一种双芯片安全sim卡 |
| CN111182521A (zh) * | 2018-11-12 | 2020-05-19 | 中移(杭州)信息技术有限公司 | 物联网终端机卡绑定、入网认证和业务认证方法及装置 |
| CN111400737A (zh) * | 2020-03-17 | 2020-07-10 | 中孚信息股份有限公司 | 一种多应用物理隔离的加密sim卡实现装置,方法及终端 |
| CN111756531A (zh) * | 2020-05-11 | 2020-10-09 | 北京仁信证科技有限公司 | 一种基于CPK的LoRa终端的通信系统及方法 |
| CN111787530A (zh) * | 2020-08-06 | 2020-10-16 | 联通雄安产业互联网有限公司 | 一种基于sim卡的区块链数字身份管理方法 |
| CN112423276A (zh) * | 2020-12-02 | 2021-02-26 | 中国电信股份有限公司 | 用于物联网的加密通信系统以及方法 |
| CN112887409A (zh) * | 2021-01-27 | 2021-06-01 | 珠海格力电器股份有限公司 | 一种数据处理系统、方法、装置、设备和存储介质 |
| CN112996140A (zh) * | 2021-02-02 | 2021-06-18 | 亚信科技(成都)有限公司 | 一种连接方法、装置、设备及存储介质 |
| CN113159759A (zh) * | 2021-04-06 | 2021-07-23 | 支付宝(杭州)信息技术有限公司 | 基于电子社保凭证的身份鉴权方法及装置 |
| CN113365268A (zh) * | 2021-04-21 | 2021-09-07 | 厦门盛华电子科技有限公司 | 带加解密功能的智能卡、智能终端、数据通信系统及方法 |
| CN113596841A (zh) * | 2021-09-13 | 2021-11-02 | 中国联合网络通信集团有限公司 | 用户身份识别卡的鉴权控制方法和系统 |
| CN113687400A (zh) * | 2021-08-24 | 2021-11-23 | 泰斗微电子科技有限公司 | 基于用户识别卡的卫星信号获取方法、装置、设备及存储介质 |
| CN115460604A (zh) * | 2022-09-09 | 2022-12-09 | 深圳市建和智能卡技术有限公司 | 一种多应用sim卡生产方法 |
| CN115497199A (zh) * | 2022-08-23 | 2022-12-20 | 海南电网有限责任公司三亚供电局 | 一种变电站nfc无源锁具安全管控方法 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1832403A (zh) * | 2006-04-24 | 2006-09-13 | 北京易恒信认证科技有限公司 | Cpk可信认证系统 |
| CN101340282A (zh) * | 2008-05-28 | 2009-01-07 | 北京易恒信认证科技有限公司 | 复合公钥的生成方法 |
| CN102056077A (zh) * | 2009-10-29 | 2011-05-11 | 中国移动通信集团公司 | 一种通过密钥进行智能卡应用的方法和装置 |
| CN102694818A (zh) * | 2012-06-08 | 2012-09-26 | 南相浩 | 网上私钥的在线分发方法及系统 |
| CN102722921A (zh) * | 2012-05-25 | 2012-10-10 | 北京时代凌宇科技有限公司 | 一种门禁管理系统 |
| CN104753671A (zh) * | 2013-12-27 | 2015-07-01 | 东方斯泰克信息技术研究院(北京)有限公司 | 网络实体间互联方法与装置和网际网的构建方法与装置 |
| CN105025007A (zh) * | 2015-06-09 | 2015-11-04 | 王一磊 | 基于cpk的手机应用间及与服务器间的安全通信方式 |
-
2017
- 2017-12-08 CN CN201711293104.6A patent/CN108012268B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1832403A (zh) * | 2006-04-24 | 2006-09-13 | 北京易恒信认证科技有限公司 | Cpk可信认证系统 |
| CN101340282A (zh) * | 2008-05-28 | 2009-01-07 | 北京易恒信认证科技有限公司 | 复合公钥的生成方法 |
| CN102056077A (zh) * | 2009-10-29 | 2011-05-11 | 中国移动通信集团公司 | 一种通过密钥进行智能卡应用的方法和装置 |
| CN102722921A (zh) * | 2012-05-25 | 2012-10-10 | 北京时代凌宇科技有限公司 | 一种门禁管理系统 |
| CN102694818A (zh) * | 2012-06-08 | 2012-09-26 | 南相浩 | 网上私钥的在线分发方法及系统 |
| CN104753671A (zh) * | 2013-12-27 | 2015-07-01 | 东方斯泰克信息技术研究院(北京)有限公司 | 网络实体间互联方法与装置和网际网的构建方法与装置 |
| CN105025007A (zh) * | 2015-06-09 | 2015-11-04 | 王一磊 | 基于cpk的手机应用间及与服务器间的安全通信方式 |
Cited By (29)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108921561A (zh) * | 2018-08-27 | 2018-11-30 | 河南芯盾网安科技发展有限公司 | 一种基于硬件加密的数字热钱包 |
| CN108921561B (zh) * | 2018-08-27 | 2023-11-21 | 河南芯盾网安科技发展有限公司 | 一种基于硬件加密的数字热钱包 |
| CN109191127A (zh) * | 2018-10-12 | 2019-01-11 | 中移电子商务有限公司 | 一种数字资产安全存储的方法及工具 |
| CN109408127A (zh) * | 2018-11-09 | 2019-03-01 | 四川科道芯国智能技术股份有限公司 | 芯片系统加载方法及芯片卡 |
| WO2020093812A1 (zh) * | 2018-11-09 | 2020-05-14 | 阿里巴巴集团控股有限公司 | 移动支付方法及装置和电子设备 |
| CN109408127B (zh) * | 2018-11-09 | 2022-05-24 | 四川科道芯国智能技术股份有限公司 | 芯片系统加载方法及芯片卡 |
| CN111182521B (zh) * | 2018-11-12 | 2022-07-01 | 中移(杭州)信息技术有限公司 | 物联网终端机卡绑定、入网认证和业务认证方法及装置 |
| CN111182521A (zh) * | 2018-11-12 | 2020-05-19 | 中移(杭州)信息技术有限公司 | 物联网终端机卡绑定、入网认证和业务认证方法及装置 |
| CN109921902A (zh) * | 2019-03-22 | 2019-06-21 | 阿里巴巴集团控股有限公司 | 一种密钥管理方法、安全芯片、业务服务器及信息系统 |
| CN111160508A (zh) * | 2019-12-31 | 2020-05-15 | 上海辰锐信息科技公司 | 一种双芯片安全sim卡 |
| CN111160508B (zh) * | 2019-12-31 | 2023-11-10 | 上海辰锐信息科技有限公司 | 一种双芯片安全sim卡 |
| CN111400737A (zh) * | 2020-03-17 | 2020-07-10 | 中孚信息股份有限公司 | 一种多应用物理隔离的加密sim卡实现装置,方法及终端 |
| CN111756531A (zh) * | 2020-05-11 | 2020-10-09 | 北京仁信证科技有限公司 | 一种基于CPK的LoRa终端的通信系统及方法 |
| CN111756531B (zh) * | 2020-05-11 | 2023-12-26 | 北京信长城科技发展有限公司 | 一种基于CPK的LoRa终端的通信系统及方法 |
| CN111787530A (zh) * | 2020-08-06 | 2020-10-16 | 联通雄安产业互联网有限公司 | 一种基于sim卡的区块链数字身份管理方法 |
| CN111787530B (zh) * | 2020-08-06 | 2024-01-09 | 联通雄安产业互联网有限公司 | 一种基于sim卡的区块链数字身份管理方法 |
| CN112423276A (zh) * | 2020-12-02 | 2021-02-26 | 中国电信股份有限公司 | 用于物联网的加密通信系统以及方法 |
| CN112887409A (zh) * | 2021-01-27 | 2021-06-01 | 珠海格力电器股份有限公司 | 一种数据处理系统、方法、装置、设备和存储介质 |
| CN112996140A (zh) * | 2021-02-02 | 2021-06-18 | 亚信科技(成都)有限公司 | 一种连接方法、装置、设备及存储介质 |
| CN112996140B (zh) * | 2021-02-02 | 2023-04-14 | 亚信科技(成都)有限公司 | 一种连接方法、装置、设备及存储介质 |
| CN113159759B (zh) * | 2021-04-06 | 2024-02-20 | 支付宝(中国)网络技术有限公司 | 基于电子社保凭证的身份鉴权方法及装置 |
| CN113159759A (zh) * | 2021-04-06 | 2021-07-23 | 支付宝(杭州)信息技术有限公司 | 基于电子社保凭证的身份鉴权方法及装置 |
| CN113365268A (zh) * | 2021-04-21 | 2021-09-07 | 厦门盛华电子科技有限公司 | 带加解密功能的智能卡、智能终端、数据通信系统及方法 |
| CN113365268B (zh) * | 2021-04-21 | 2024-10-25 | 厦门盛华电子科技有限公司 | 带加解密功能的智能卡、智能终端、数据通信系统及方法 |
| CN113687400A (zh) * | 2021-08-24 | 2021-11-23 | 泰斗微电子科技有限公司 | 基于用户识别卡的卫星信号获取方法、装置、设备及存储介质 |
| CN113596841B (zh) * | 2021-09-13 | 2023-04-07 | 中国联合网络通信集团有限公司 | 用户身份识别卡的鉴权控制方法和系统 |
| CN113596841A (zh) * | 2021-09-13 | 2021-11-02 | 中国联合网络通信集团有限公司 | 用户身份识别卡的鉴权控制方法和系统 |
| CN115497199A (zh) * | 2022-08-23 | 2022-12-20 | 海南电网有限责任公司三亚供电局 | 一种变电站nfc无源锁具安全管控方法 |
| CN115460604A (zh) * | 2022-09-09 | 2022-12-09 | 深圳市建和智能卡技术有限公司 | 一种多应用sim卡生产方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108012268B (zh) | 2021-07-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108012268A (zh) | 一种手机终端SIM卡及安全使用App的方法、介质 | |
| RU2537795C2 (ru) | Доверенный дистанционный удостоверяющий агент (traa) | |
| RU2523304C2 (ru) | Доверенный администратор достоверности (tim) | |
| CN105262779B (zh) | 身份认证方法、装置及系统 | |
| US9530165B2 (en) | Financial transaction system | |
| CN107278307A (zh) | 软件层的相互认证 | |
| US20110103586A1 (en) | System, Method and Device To Authenticate Relationships By Electronic Means | |
| CN106850209A (zh) | 一种身份认证方法及装置 | |
| CN210691384U (zh) | 基于安全单元和可信执行环境的人脸识别支付终端平台 | |
| CN105830107A (zh) | 基于云的交易方法和系统 | |
| US11403633B2 (en) | Method for sending digital information | |
| CN1514635A (zh) | 采用指纹智能终端实现移动电子商务的方法及智能手机 | |
| CN102246181A (zh) | 金融交易的安全方法和设备 | |
| RU2411670C2 (ru) | Способ создания и проверки подлинности электронной подписи | |
| CN105635168A (zh) | 一种脱机交易装置及其安全密钥的使用方法 | |
| CN109801069A (zh) | 一种基于贴膜卡保护数字加密货币钱包数据的方法 | |
| CN109120412A (zh) | 一种基于智能卡的区块链密钥保存和交换系统 | |
| CN103401686B (zh) | 一种用户互联网身份认证系统及其应用方法 | |
| CN110326011A (zh) | 确定计算设备处的合法条件 | |
| CN104301288B (zh) | 在线身份认证、在线交易验证、在线验证保护的方法与系统 | |
| CN104320261B (zh) | 金融智能卡上实现身份认证的方法、金融智能卡和终端 | |
| CN108122108A (zh) | 移动设备认证系统和移动设备认证方法 | |
| CN106408302A (zh) | 面向移动用户的安全支付方法和系统 | |
| CN106779672A (zh) | 移动终端安全支付的方法及装置 | |
| CN106779711A (zh) | 基于eID的安全支付方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |