电子支付系统、更新智能卡对应的移动用户号码的方法 【技术领域】
本发明涉及一种电子支付系统、以及更新智能卡对应的移动用户号码的方法。
背景技术
IC(Integrate Circuit,集成电路)卡,特别是非接触式IC卡经过十多年的发展,已经被广泛应用于公交、门禁、小额电子支付等领域。与此同时,手机经历多年的迅速发展,已得到广泛普及,给人们的工作及生活带来了很大的便利。目前,手机的功能越来越强大,并存在集成更多功能的趋势,将手机和非接触式IC卡技术相结合,应用于电子支付领域,会进一步扩大手机的使用范围,给人们的生活带来便捷,存在着广阔的应用前景。
近场通信技术(Near Field Communication,简称NFC)是工作于13.56MHz的一种近距离无线通信技术,由RFID(Radio Frequency Identification,射频识别)技术及互连技术融合演变而来。手机等移动终端集成NFC技术后,可以模拟非接触式IC卡,用于电子支付的有关应用。在移动终端上实现该方案需要增加NFC模拟前端芯片和NFC天线,并使用支持电子支付的智能卡。
为实现基于NFC技术的移动电子支付,需要建立移动终端电子支付系统,通过该系统实现对移动终端电子支付的管理,包括:智能卡的发行、智能卡密钥的管理、电子支付应用的下载、安装和个人化(Personalization)、采用相关技术和管理策略实现电子支付的安全性等功能。
移动终端近距离电子支付系统的业务框架采用Global Platform(全球平台)规范的多应用框架,在支持Global Platform规范的智能卡上可以安装多个电子支付应用。智能卡被分隔为若干个独立的安全域(Security Domain),以保证多个电子支付应用之间的相互隔离和独立性,各个应用提供商管理各自的安全域以及应用、应用数据等。在Global Platform Card Specification(全球平台卡规范)V2.1.1/V2.2(简称GP2.1.1/GP2.2)中,对安全域的技术要求进行了规定。
由于移动终端实现电子支付功能时所采用的方案不同,这里提到的支持Global Platform规范的智能卡指的是符合GP2.1.1/GP2.2的IC芯片或智能卡,从物理形式上可以为SIM/USIM(Subscriber Identification Module/UniversalSubscriber Identity Module,用户识别模块/通用用户识别模块)卡、可插拔的智能存储卡或者集成在移动终端上的IC安全芯片。当移动终端采用NFC方案实现电子支付功能时,智能卡为集成在移动终端上的IC安全芯片;当移动终端采用eNFC(enhanced NFC,增强型NFC)方案时,移动用户卡(SIM/USIM)增加对电子支付的支持,电子支付应用保存在SIM/USIM卡中。
如果基于近场通信技术的移动终端电子支付系统支持GP2.1.1规范,安全通道协议需要支持基于对称密钥的Secure Channel Protocol(安全通道协议)‘02’;如果基于近场通信技术的移动终端电子支付系统支持GP2.2规范,安全通道协议需要支持基于非对称密钥的Secure Channel Protocol‘10’。在电子支付系统的实施过程中,卡发行商、应用提供商可以根据安全策略需求选择电子支付系统所采用的安全机制。
移动终端近距离支付系统从业务架构上可以包括卡发行商、应用提供商和用户。
卡发行商:负责卡的发行和管理,拥有卡管理系统、密钥管理系统和证书管理系统等;其中,仅在支持非对称密钥的情况下才需使用证书管理系统。卡发行商负责对卡的资源、生命周期、密钥和证书进行管理,对应用提供商的安全域进行创建。卡发行商也可以拥有应用管理系统,负责提供并管理卡发行商自己的电子支付应用或者卡发行商托管的电子支付应用。卡发行商可拥有业务终端管理系统和业务终端,通过业务终端向用户提供服务。为了支持对应用提供商的管理,卡发行商可以拥有应用提供商管理系统,通过该管理系统管理应用提供商的有关信息,规定应用提供商的业务权限等。
应用提供商:负责电子支付应用的提供和管理,可以拥有应用管理系统、密钥管理系统、证书管理系统;其中,仅在支持非对称密钥的情况下才需使用证书管理系统。应用提供商提供各种电子支付应用,并对智能卡上与应用提供商对应的安全域进行管理,对该安全域内的密钥、证书、数据等进行控制,提供电子支付应用的安全下载功能。应用提供商可以是运营商、银行、公交公司、零售商户等。另外,应用提供商可以拥有业务终端管理系统和业务终端,通过业务终端向用户提供服务。
用户:负责电子支付应用的下载、安装和使用。用户通过与卡发行商或应用提供商的交互,对移动终端和智能卡进行操作,在安全域内下载并安装新的电子支付应用,使用智能卡上提供的各种电子支付应用进行购物和电子交易。
在智能卡投入使用后,如果智能卡的密钥或者电子支付应用需要更新时,卡发行商管理平台和应用提供商管理平台(统称为智能卡管理平台)应该可以通过移动通信网络发送通知消息给移动终端,再由移动终端将通知信息传送给智能卡,然后由智能卡建立和智能卡管理平台的通信连接,进行密钥或者电子支付应用的更新等。在这种情况下,智能卡管理平台需要记录使用智能卡的移动终端所对应的移动用户号码。
当智能卡为可插拔的存储卡或集成在移动终端上的芯片时,智能卡与标识移动用户身份的移动用户卡(SIM/USIM)是可分离的。智能卡管理平台通过移动通信网络发送通知消息等信息给智能卡时,首先需要获得移动终端上使用的移动用户卡所对应的移动用户号码,这样才能将信息正确发送到智能卡。但当移动终端实际使用的移动用户卡的移动用户号码与智能卡管理平台的记录不一致时,会出现不能将密钥、电子支付应用等信息成功发送到智能卡的问题。
【发明内容】
本发明所要解决的技术问题是,克服现有技术的不足,提供一种可更新智能卡对应的移动用户号码的电子支付系统和更新方法,使卡发行商管理平台、应用提供商管理平台能够使用正确的移动用户号码向智能卡发送信息。
为了解决上述问题,本发明提供一种更新智能卡对应的移动用户号码的方法,该方法包括:
智能卡在启动时或启动后向移动终端发送用于获取移动用户卡的特征信息的请求消息;移动终端将移动用户卡的特征信息返回给智能卡;
如果智能卡中未存储移动用户卡的特征信息、或存储的特征信息与移动终端返回的特征信息不一致,智能卡采用空中下载OTA技术向智能卡管理平台上报移动终端返回的移动用户卡的特征信息;
智能卡管理平台根据接收到的移动用户卡的特征信息更新本地记录的智能卡对应的移动用户号码;
所述移动用户卡的特征信息为:国际移动用户识别码IMSI、或移动用户号码。
此外,如果所述移动用户卡的特征信息为IMSI,则智能卡管理平台接收到智能卡上报的IMSI后,从OTA服务器获取与所述IMSI对应的移动用户号码。
此外,如果所述移动用户卡的特征信息为IMSI,则智能卡管理平台接收到智能卡上报的IMSI后,将所述IMSI发送给移动网络运营商;移动网络运营商将查询到的所述IMSI对应的移动用户号码返回给智能卡管理平台。
此外,智能卡管理平台接收到的智能卡上报的移动用户卡的特征信息后,向智能卡发送响应消息;
接收到所述响应消息后,智能卡存储其上报的所述移动用户卡的特征信息。
此外,如果智能卡管理平台是卡发行商管理平台,则智能卡将所述移动用户卡的特征信息存储在主安全域。
此外,如果智能卡管理平台是应用提供商管理平台,则智能卡将所述移动用户卡的特征信息存储在与应用提供商对应的从安全域。
本发明还提供一种电子支付系统,包含:智能卡管理平台和移动终端;所述移动终端中包含用于电子支付的智能卡和移动用户卡;该系统还包含:OTA服务器和移动通信网络;其中:
所述智能卡用于在启动时或启动后从所述移动终端获取所述移动用户卡的特征信息,并当所述智能卡中未存储移动用户卡的特征信息、或存储的移动用户卡的特征信息与从移动终端获取的所述移动用户卡的特征信息不一致时,通过所述移动终端、移动通信网络和OTA服务器向智能卡管理平台上报从所述移动终端获取的所述移动用户卡的特征信息;
所述智能卡管理平台用于根据接收到的移动用户卡的特征信息更新本地记录的所述智能卡对应的移动用户号码;
所述移动用户卡的特征信息为:IMSI、或移动用户号码。
此外,所述移动通信网络中包含短信网关,所述移动终端通过短信网关与所述OTA服务器相连,将所述智能卡上报的移动用户卡的特征信息发送给所述智能卡管理平台。
此外,所述移动通信网络中包含通用无线分组业务网关或分组数据业务节点网关,所述移动终端通过通用无线分组业务网关或分组数据业务节点网关与所述OTA服务器相连,将所述智能卡上报的移动用户卡的特征信息发送给所述智能卡管理平台。
此外,所述智能卡管理平台还用于在接收到的所述智能卡上报的所述移动用户卡的特征信息后,向所述智能卡发送响应消息;
所述智能卡还用于在接收到所述响应消息后,存储其上报的所述移动用户卡的特征信息。
综上所述,采用本发明的系统和方法,可以使卡发行商管理平台、应用提供商管理平台及时获取移动终端当前使用的移动用户卡的移动用户号码,将智能卡和移动终端使用的移动用户卡进行绑定,实现将通知消息等信息正确发送给智能卡的目的。
【附图说明】
图1是本发明实施例移动终端电子支付系统架构示意图;
图2是本发明实施例更新智能卡对应的移动用户号码的方法流程图。
【具体实施方式】
本发明的基本思路是,当用于电子支付的智能卡(简称电子支付智能卡)启动时,从移动终端获取IMSI(International Mobile Subscriber IdentificationNumber,国际移动用户识别码),并将IMSI上报给智能卡管理平台,智能卡管理平台根据接收到的IMSI得到智能卡对应的移动用户号码。
下面将结合附图和实施例对本发明进行详细描述。
本发明基于图1所示的移动终端电子支付系统架构,该支付系统中包括:卡发行商管理平台、卡发行商CA系统、一个或多个应用提供商管理平台、应用提供商CA系统、OTA(Over The Air,空中下载)服务器、移动通信网络和移动终端。
卡发行商管理平台包括:卡管理系统、应用管理系统、密钥管理系统、证书管理系统、应用提供商管理系统;其中,证书管理系统在基于近场通信技术的移动终端电子支付系统支持非对称密钥的情况下使用;证书管理系统和卡发行商CA系统连接。
应用提供商管理平台包括:应用管理系统、密钥管理系统、证书管理系统;其中,证书管理系统在移动终端电子支付系统支持非对称密钥的情况下使用;证书管理系统和应用提供商CA系统连接。
移动终端中设置有移动用户卡和用于电子支付的智能卡。
为了实现智能卡的安全性管理和支付应用的下载,智能卡需要和卡发行商管理平台以及应用提供商管理平台建立通信。可以通过以下方式实现智能卡和管理平台的通信:
智能卡通过移动终端和移动通信网络与智能卡管理平台建立通信,一般采用OTA技术实现智能卡和智能卡管理平台的通信。移动终端可以通过移动通信网络中的短信网关或GPRS/PDSN(General Packet Radio Service/PacketData Serving Node,通用无线分组业务/分组数据业务节点)网关、和OTA服务器与智能卡管理平台建立通信连接;采用这种方式时,移动终端和智能卡需要支持OTA功能。
本实施例中,智能卡为可插拔的存储卡或集成在移动终端上的IC芯片;移动终端使用的移动用户卡可以为SIM/USIM卡,并使用IMSI作为识别移动用户卡的特征信息。
智能卡中可以设置一个存储区(可以称为移动用户卡特征信息存储区)用于记录当前移动终端使用的移动用户卡的IMSI。为了使智能卡可以获取到移动终端所使用的移动用户卡的IMSI,在智能卡启动时或启动后,智能卡可以主动向移动终端发送用于获取IMSI的移动用户卡特征信息请求消息,移动终端接收到该请求消息后,在对应的响应消息中将IMSI发送给智能卡。
智能卡在第一次启用或者在判定移动终端使用的移动用户卡发生改变时,需要将移动终端当前使用的移动用户卡的IMSI发送给智能卡管理平台。为了实现智能卡将IMSI发送给智能卡管理平台,移动终端需要支持分组数据业务或者短消息业务,智能卡采用OTA技术通过移动终端与智能卡管理平台建立通信连接。
图2是本发明实施例更新智能卡对应的移动用户号码的方法流程图,本实施例以智能卡将IMSI上报给卡发行商管理平台为例对本发明进行描述,具体包括如下步骤:
201:移动终端启动智能卡,智能卡进行初始化。
智能卡的启动可以分为两种情况,一种情况为:开机时移动终端中已插入或固定设置有智能卡,开机后移动终端使用移动用户卡的特征信息(例如,IMSI)注册到移动通信网络,然后移动终端启动智能卡,智能卡进行启动后的初始化操作;另一种情况为:智能卡为支持热插拔的存储卡,移动终端已经开机并正常注册到移动通信网络后,用户将智能卡插入到移动终端,移动终端检测到智能卡,然后启动智能卡。
202:智能卡向移动终端发送移动用户卡特征信息请求消息;移动终端接收到该请求消息后,通过移动用户卡特征信息响应消息将移动用户卡的IMSI返回给智能卡。
203:智能卡获取到移动终端当前使用的移动用户卡的IMSI后,读取智能卡内的移动用户卡特征信息存储区,判断该存储区是否已存储移动用户卡的IMSI:如果该存储区没有存储移动用户卡的IMSI,则跳转至步骤205;否则执行步骤204。
上述移动用户卡特征信息存储区位于智能卡的主安全域。
204:智能卡将移动用户卡特征信息存储区中保存的IMSI与移动终端返回的当前使用的IMSI进行比较:如果两个IMSI相同,说明移动终端使用的移动用户卡没有发生变化,则跳转至步骤212;如果两个IMSI不同,说明移动终端当前使用的移动用户卡发生了变化,则执行步骤205,启动移动用户卡IMSI的上报流程。
205:智能卡采用OTA技术通过移动终端与卡发行商管理平台建立通信连接。
智能卡可以通过分组数据业务或短信业务实现OTA。
206:由于卡发行商对应的安全域为主安全域,因此卡发行商管理平台向智能卡发送SELECT(选择)命令,选择智能卡的主安全域作为当前的安全域。
207:智能卡的主安全域与卡发行商管理平台建立安全通信连接,并完成双方的身份验证和对话密钥的协商。
当智能卡安全域密钥采用对称密钥体制时,智能卡主安全域和卡发行商管理平台之间可以按照Global Platform Card Specification V2.2附录F中的Secure Channel Protocol‘02’的要求建立安全通信连接;当智能卡安全域密钥采用非对称密钥体制时,智能卡主安全域和卡发行商管理平台之间可以按照Global Platform Card Specification V2.2附录F中的Secure Channel Protocol‘10’的要求建立安全通信连接。
208:智能卡将移动用户卡的IMSI通过上述安全通信连接发送给卡发行商管理平台。
209:卡发行商管理平台接收到智能卡发送的移动用户卡的IMSI后,获取移动用户卡对应的移动用户号码。
当然,本步骤中也可以不获取移动用户卡对应的移动用户号码,等到需要使用时再使用记录的IMSI获取对应的移动用户号码。
卡发行商管理平台可以采用下面两种方法之一获取移动用户卡对应的移动用户号码:
一、OTA服务器和移动终端建立通信连接后,可以获得移动用户卡对应的移动用户号码,卡发行商管理平台从OTA服务器获取IMSI对应的移动用户号码;
二、卡发行商管理平台将移动用户卡的IMSI发送给移动网络运营商,移动网络运营商根据IMSI查询到移动用户卡对应的移动用户号码后将移动用户号码返回给卡发行商管理平台。
210:卡发行商管理平台在数据库中记录与智能卡对应的移动用户卡的IMSI和移动用户号码。
211:卡发行商管理平台向智能卡发送响应消息,智能卡记录移动终端当前使用的移动用户卡的IMSI。
212:智能卡完成后续的启动操作。
需要注意的是,本发明除了应用于电子支付智能卡(也称为金融智能卡)外,还可以应用于其它类型的智能卡(例如门禁等)。
此外,可以将移动用户号码作为移动用户卡的特征信息;智能卡直接向移动终端请求获取移动用户号码,并将移动用户号码上报给管理平台;这样可以省去管理平台根据IMSI获取移动用户号码的操作。
此外,本发明的方法可以应用于应用提供商管理平台,如果智能卡向应用提供商管理平台上报IMSI,则移动用户卡特征信息存储区应当设置在应用提供商对应的从安全域。
当然,应用提供商管理平台也可以先从卡发行商管理平台获得移动用户号码,然后再向智能卡发送通知消息等信息。
此外,智能卡也可以在向卡发行商管理平台发送IMSI后,立即在移动用户卡特征信息存储区记录该IMSI,当然,如果IMSI发送失败可能造成卡发行商管理平台记录的IMSI不准确。