[发明专利]智能卡的安全的端到端个人化

权利要求书

1.一种对智能卡进行个人化的方法，所述方法包括：

在个人化系统处生成包括用于安装到智能卡上的个人化数据的定制数据集，所述定制数据集是基于所述智能卡的操作系统通过使用根据所述操作系统格式化的虚拟智能卡执行个人化过程而生成的；

在所述个人化系统处，使用和与所述个人化系统分开的卡发行设备相关联的加密密钥，对所述定制数据集的至少一部分进行加密，所述加密密钥不同于在所述定制数据集被存储在所述智能卡上时用于对所述定制数据集进行保护的任何加密密钥；以及

将所述定制数据集发送给所述卡发行设备。

2.根据权利要求1所述的方法，其中，所述加密密钥包括公钥-私钥对中的公钥，其中，所述公钥-私钥对中的私钥被维护在所述卡发行设备或密钥存储库处。

3.根据权利要求1所述的方法，其中，所述加密密钥是所述卡发行设备所独有的。

4.根据权利要求1所述的方法，其中，所述定制数据集包括经个人化的虚拟智能卡。

5.根据权利要求1所述的方法，其中，所述卡发行设备包括与物理智能卡相关联的卡打印机或安装有电子智能卡的移动设备中的至少一个。

6.根据权利要求2所述的方法，其中，所述定制数据集包括多个应用协议数据单元(APDU)，并且其中，对所述定制数据集的至少一部分进行加密包括：至少对在生成所述定制数据集时使用的一个或多个安全信道密钥进行加密。

7.根据权利要求1所述的方法，其中，在将所述定制数据集的任意部分发送给所述卡发行设备之前所述定制数据集被完全生成。

8.根据权利要求1所述的方法，还包括：

在所述卡发行设备处：

使用特定于所述卡发行设备的密钥对在所述卡发行设备处接收到的所述定制数据集的已加密的至少一部分进行解密；

基于所述定制数据集，使用通过使用所述智能卡的一个或多个加密密钥建立的安全通信会话对所述智能卡进行个人化。

9.根据权利要求1所述的方法，其中，所述个人化系统经由互联网通信地连接到所述卡发行设备。

10.根据权利要求1所述的方法，其中，所述定制数据集的已加密的至少一部分被包括在使用虚拟智能卡的加密密钥创建的一个或多个虚拟应用编程数据单元(APDU)中，并且其中，生成所述定制数据集包括与所述虚拟智能卡执行相互认证。

11.一种安全的端到端智能卡个人化系统，包括：

个人化系统，包括通信地连接到存储计算机可执行指令的存储器的可编程电路，所述计算机可执行指令在被执行时使所述个人化系统：

生成包括用于安装到智能卡上的个人化数据的定制数据集，所述定制数据集是基于所述智能卡的操作系统通过使用根据所述操作系统格式化的虚拟智能卡执行个人化过程而生成的；

在个人化系统处，使用和与所述个人化系统分开的卡发行设备相关联的加密密钥，对所述定制数据集的至少一部分进行加密，所述加密密钥不同于在所述定制数据集被存储在所述智能卡上时用于对所述定制数据集进行保护的任何加密密钥；以及

将所述定制数据集发送给所述卡发行设备。

12.根据权利要求11所述的安全的端到端智能卡个人化系统，其中，所述定制数据集包括应用加载单元。

13.根据权利要求11所述的安全的端到端智能卡个人化系统，其中，所述定制数据集包括多个应用编程数据单元(APDU)。

14.根据权利要求13所述的安全的端到端智能卡个人化系统，其中，所述定制数据集还包括一个或多个会话密钥，并且其中，所述定制数据集的所述至少一部分包括所述一个或多个会话密钥。