專利名稱:密鑰分發(fā)方法和系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信領(lǐng)域,并且特別地,涉及一種密鑰分發(fā)方法和系統(tǒng)。
背景技術(shù):
在相關(guān)技術(shù)中,近場通信技術(shù)(Near Field Communication,簡稱為NFC)是 工作于13. 56腿z的一種近距離無線通信技術(shù),該技術(shù)由射頻識別(Radio Frequency Identification,簡稱為RFID)技術(shù)及互連技術(shù)融合演變而來。手機等移動通信終端在集 成NFC技術(shù)后,可以模擬非接觸式IC卡,用于電子支付的相關(guān)應(yīng)用;此外,在移動通信終端 上實現(xiàn)該方案需要在終端上增加NFC模擬前端芯片和NFC天線,并使用支持電子支付的智 能卡。 IC卡特別是非接觸式IC卡經(jīng)過十多年的發(fā)展,已經(jīng)被廣泛應(yīng)用于公交、門禁、小 額電子支付等領(lǐng)域;與此同時,手機經(jīng)歷20多年的迅速發(fā)展后,其應(yīng)用已經(jīng)基本得到普及, 并且給人們的工作及生活帶來了很大的便利,隨著手機的功能越來越強大,將手機和非接 觸式IC卡技術(shù)結(jié)合,將手機應(yīng)用于電子支付領(lǐng)域,會進一步擴大手機的使用范圍,給人們 的生活帶來便捷,存在著廣闊的應(yīng)用前景。 在相關(guān)技術(shù)中,為實現(xiàn)基于NFC技術(shù)的移動電子支付,需要建立移動終端電子支 付系統(tǒng),并通過該系統(tǒng)實現(xiàn)對移動終端電子支付的管理,其中,移動終端電子支付系統(tǒng)包 括智能卡的發(fā)行、電子支付應(yīng)用的下載、安裝和個人化、以及采用相關(guān)技術(shù)和管理策略實 現(xiàn)電子支付的安全等。 安全域是卡外實體包括卡發(fā)行商和應(yīng)用提供商在卡上的代表,它們包含用于支持 安全通道協(xié)議運作以及卡內(nèi)容管理的加密密鑰。安全域負(fù)責(zé)它們自己的密鑰管理,這保證 了來自不同應(yīng)用提供者的應(yīng)用和數(shù)據(jù)可以共存于同一個卡上。安全域的密鑰采用非對稱密 鑰體制時,安全域上的密鑰和證書需要包括安全域的公鑰和私鑰、安全域的證書、用于認(rèn) 證卡外實體證書的可信任根公鑰。 應(yīng)用提供商在智能卡上的安全域為從安全域,在將應(yīng)用提供商的電子支付應(yīng)用下 載并安裝到智能卡之前,需要在智能卡上先通過卡發(fā)行商擁有的智能卡主安全域創(chuàng)建應(yīng)用 提供商的從安全域,然后設(shè)置從安全域的密鑰。 安全域密鑰作為機密數(shù)據(jù),需要采取可靠及安全的方法和技術(shù)將有關(guān)密鑰和證書 導(dǎo)入到從安全域,實現(xiàn)從安全域密鑰的安全分發(fā),其中,從安全域的創(chuàng)建需要由卡發(fā)行商管 理平臺指示智能卡上的主安全域創(chuàng)建,而且從安全域創(chuàng)建完成后,從安全域的初始密鑰需 要由卡發(fā)行商管理平臺負(fù)責(zé)設(shè)置和分發(fā)。 從安全域創(chuàng)建完成后,卡發(fā)行商管理平臺可以通知應(yīng)用提供商管理平臺生成從安 全域的公私密鑰對和證書;應(yīng)用提供商管理平臺生成從安全域的公私密鑰對和證書后,再 由卡發(fā)行商管理平臺通過智能卡主安全域?qū)陌踩蚬矫荑€對和證書發(fā)送給從安全域, 由此完成從安全域的密鑰分發(fā)。 在上述情況下,卡發(fā)行商管理平臺負(fù)責(zé)密鑰數(shù)據(jù)的傳送時可以獲得發(fā)送的安全域密鑰數(shù)據(jù),可能使用獲得的密鑰對從安全域執(zhí)行操作,這樣會對應(yīng)用提供商的電子支付應(yīng) 用安全造成威脅,因此,急需一種解決從安全域密鑰的分發(fā)不安全的問題的技術(shù)方案。
發(fā)明內(nèi)容
考慮到相關(guān)技術(shù)中從安全域密鑰的分發(fā)不安全的問題而做出本發(fā)明,為此,本發(fā)
明的主要目的在于提供一種密鑰分發(fā)方法和系統(tǒng),以避免從安全域密鑰被卡片發(fā)行商管理 平臺獲取導(dǎo)致的密鑰不安全的問題。 根據(jù)本發(fā)明的一個方面,提供了一種密鑰分發(fā)方法,該方法應(yīng)用于包括應(yīng)用提供 商的應(yīng)用提供商管理平臺、卡片發(fā)行商管理平臺、和OTA服務(wù)器的移動通信系統(tǒng)。
根據(jù)本發(fā)明的密鑰分發(fā)方法包括卡片發(fā)行商管理平臺生成應(yīng)用提供商對應(yīng)的從 安全域的初始密鑰,將初始密鑰、用于外部認(rèn)證的信任根公鑰通過OTA服務(wù)器導(dǎo)入到從安 全域,并向應(yīng)用提供商管理平臺發(fā)送從安全域的信息以及初始密鑰; 應(yīng)用提供商管理平臺接收從安全域的信息以及初始密鑰,并根據(jù)從安全域的信息 以及初始密鑰通過OTA服務(wù)器選擇智能卡的從安全域; 應(yīng)用提供商管理平臺生成從安全域的公密鑰和私密鑰以及從安全域證書,并通過
OTA服務(wù)器將公密鑰和私密鑰以及從安全域證書加密后發(fā)送到從安全域。 其中,卡片發(fā)行商管理平臺生成初始密鑰的具體處理為應(yīng)用提供商管理平臺判
斷智能卡中是否存在對應(yīng)于應(yīng)用提供商的從安全域;在判斷為是的情況下,確定智能卡中
已存在應(yīng)用提供商的從安全域,并且不再進行安全域的創(chuàng)建和密鑰的分發(fā)過程;在判斷為
否的情況下,應(yīng)用提供商管理平臺通過卡片發(fā)行商管理平臺在智能卡上創(chuàng)建從安全域,并
由卡片發(fā)行商管理平臺生成初始密鑰。 并且,應(yīng)用提供商管理平臺通過卡片發(fā)行商管理平臺在智能卡上創(chuàng)建從安全域的 具體處理為卡片發(fā)行商管理平臺通過應(yīng)用提供商管理平臺與智能卡進行通信,通過OTA 服務(wù)器選擇智能卡的主安全域并通過OTA服務(wù)器與主安全域建立安全通道;卡片發(fā)行商管 理平臺通過安全通道通知主安全域建立應(yīng)用提供商對應(yīng)的從安全域;主安全域在智能卡上 建立從安全域。 此外,在應(yīng)用提供商管理平臺接收卡片發(fā)行商管理平臺發(fā)送的從安全域的信息以 及初始密鑰之后,該方法可進一步包括應(yīng)用提供商管理平臺在其數(shù)據(jù)庫中記錄從安全域 的信息。 此外,在應(yīng)用提供商管理平臺根據(jù)從安全域的信息以及初始密鑰通過OTA服務(wù)器 選擇智能卡的從安全域之后,該方法可進一步包括應(yīng)用提供商管理平臺通過OTA服務(wù)器 與從安全域建立安全信道。 此外,在應(yīng)用提供商管理平臺通過OTA服務(wù)器將公密鑰和私密鑰以及從安全域證
書經(jīng)過加密后發(fā)送到從安全域之后,該方法可進一步包括從安全域?qū)⒊跏济荑€更新為公
私密鑰,并將從安全域證書寫入到從安全域。 根據(jù)本發(fā)明的另一方面,提供了一種密鑰分發(fā)系統(tǒng)。
根據(jù)本發(fā)明的密鑰分發(fā)系統(tǒng)包括 卡片發(fā)行商管理平臺,包括第一生成模塊,用于生成與應(yīng)用提供商對應(yīng)的從安全 域的初始密鑰;導(dǎo)入模塊,用于將初始密鑰、用于外部認(rèn)證的信任根公鑰通過OTA服務(wù)器導(dǎo)入到從安全域;第一發(fā)送模塊,用于向應(yīng)用提供商管理平臺發(fā)送從安全域的信息以及初始 密鑰; 應(yīng)用提供商管理平臺,包括接收模塊,用于接收卡片發(fā)行商管理平臺的從安全域 的信息以及初始密鑰;選擇模塊,用于根據(jù)從安全域的信息以及初始密鑰通過OTA服務(wù)器 選擇智能卡的從安全域;第二生成模塊,用于生成從安全域的公密鑰和私密鑰以及從安全 域證書;第二發(fā)送模塊,用于通過OTA服務(wù)器將公密鑰和私密鑰以及從安全域證書加密后 發(fā)送到從安全域,完成從安全域密鑰的分發(fā); OTA服務(wù)器,連接至卡片發(fā)行商管理平臺、應(yīng)用提供商管理平臺,用于實現(xiàn)卡片發(fā) 行商管理平臺與智能卡之間的通信、實現(xiàn)應(yīng)用提供商管理平臺與智能卡之間的通信;
智能卡,位于移動終端,包括從安全域,其中,從安全域用于根據(jù)應(yīng)用提供商管理 平臺經(jīng)由OTA服務(wù)器發(fā)送的初始密鑰以及信任根公鑰進行設(shè)置,并根據(jù)應(yīng)用提供商管理平 臺經(jīng)由OTA服務(wù)器發(fā)送的公密鑰和私密鑰以及從安全域證書進行設(shè)置,并安裝從安全域證 書。 其中,上述應(yīng)用提供商管理平臺可進一步包括判斷模塊,用于判斷智能卡中是否 存在對應(yīng)于應(yīng)用提供商的從安全域;創(chuàng)建模塊,用于在判斷模塊判斷為否的情況下,通過卡 片發(fā)行商管理平臺在智能卡上創(chuàng)建從安全域。 此外,應(yīng)用提供商管理平臺還可進一步包括數(shù)據(jù)庫,用于在應(yīng)用提供商管理平臺 接收到卡片發(fā)行商管理平臺發(fā)送的從安全域的信息以及初始密鑰之后,記錄從安全域的信 息。 優(yōu)選地,應(yīng)用提供商管理平臺還可進一步包括建立模塊,用于在根據(jù)從安全域的 信息以及初始密鑰通過OTA服務(wù)器選擇智能卡的從安全域之后,經(jīng)由OTA服務(wù)器與從安全 域建立安全信道。 通過本發(fā)明的上述技術(shù)方案,在卡發(fā)行商管理平臺將從安全域的基本信息和初始 密鑰返回給應(yīng)用提供商管理平臺后,應(yīng)用提供商管理平臺和從安全域之間重新進行密鑰分 發(fā),并且應(yīng)用提供商管理平臺和智能卡之間通過OTA服務(wù)器進行通信而不再經(jīng)過卡發(fā)行商 管理平臺,從而有效實現(xiàn)了對卡發(fā)行商管理平臺的隔離,避免了由于卡發(fā)行商管理平臺能 夠獲得應(yīng)用提供商管理平臺生成的從安全域公密鑰、私密鑰和證書而導(dǎo)致的密鑰傳輸存在 安全隱患的問題,有效地保證了應(yīng)用提供商從安全域密鑰分發(fā)的安全性。
此處所說明的附圖用來提供對本發(fā)明的進一步理解,構(gòu)成本申請的一部分,本發(fā) 明的示意性實施例及其說明用于解釋本發(fā)明,并不構(gòu)成對本發(fā)明的不當(dāng)限定。在附圖中
圖1是根據(jù)本發(fā)明系統(tǒng)實施例的移動終端電子支付系的結(jié)構(gòu)框圖;
圖2是根據(jù)本發(fā)明系統(tǒng)實施例的密鑰分發(fā)系統(tǒng)的結(jié)構(gòu)框圖;
圖3是根據(jù)本發(fā)明分發(fā)實施例的密鑰分發(fā)方法的流程圖;
圖4是根據(jù)本發(fā)明分發(fā)實施例的密鑰分發(fā)方法的流程圖。
具體實施方式
功能概述
目前,在相關(guān)技術(shù)中,卡發(fā)行商管理平臺負(fù)責(zé)密鑰數(shù)據(jù)的傳送時可以獲得發(fā)送的 安全域密鑰數(shù)據(jù),可能使用獲得的密鑰對從安全域執(zhí)行操作,這樣會對應(yīng)用提供商的電子 支付應(yīng)用安全造成威脅,針對這種安全隱患,本發(fā)明提出了通過OTA服務(wù)器傳輸安全域密 鑰數(shù)據(jù)的技術(shù)方案,從而有效隔離卡發(fā)行商管理平臺,保證了密鑰傳輸?shù)陌踩浴?
下面將結(jié)合附圖詳細(xì)描述本發(fā)明。 如圖1所示,根據(jù)本發(fā)明實施例的移動終端電子支付系統(tǒng)主要由卡片發(fā)行商管理 平臺1、應(yīng)用提供商管理平臺2和包含有智能卡的移動終端3組成,該系統(tǒng)中可以存在多個 應(yīng)用提供商管理平臺。 其中,卡發(fā)行商管理平臺1包括卡片管理子系統(tǒng)10、應(yīng)用管理子系統(tǒng)11、密鑰管理 子系統(tǒng)12、證書管理子系統(tǒng)13、應(yīng)用提供商管理子系統(tǒng)14,其中,證書管理子系統(tǒng)13在基 于近場通信技術(shù)的移動終端電子支付系統(tǒng)支持非對稱密鑰的情況下使用,證書管理系統(tǒng)13 和卡片發(fā)行商CA系統(tǒng)連接;應(yīng)用管理子系統(tǒng)11負(fù)責(zé)卡發(fā)行商自己的應(yīng)用或者其負(fù)責(zé)托管 的應(yīng)用的提供和管理功能;應(yīng)用提供商管理子系統(tǒng)14可記錄應(yīng)用提供商的有關(guān)信息,規(guī)定 應(yīng)用提供商的業(yè)務(wù)權(quán)限等。 此外,卡發(fā)行商管理平臺1所屬的卡發(fā)行商僅在支持非對稱密鑰情況下使用證書 管理系統(tǒng)13??ㄆl(fā)行商對卡的資源和生命周期、密鑰、證書進行管理,還對其他應(yīng)用提供 商的安全域進行創(chuàng)建,并與其他安全域交互應(yīng)用數(shù)據(jù)。 應(yīng)用提供商管理平臺2包括應(yīng)用管理子系統(tǒng)20、密鑰管理子系統(tǒng)21、證書管理子
系統(tǒng)22,其中,證書管理子系統(tǒng)22在移動支付系統(tǒng)支持非對稱密鑰的情況下使用,證書管
理子系統(tǒng)22和應(yīng)用提供商CA系統(tǒng)連接,并且僅在支持非對稱密鑰情況下使用證書管理系
統(tǒng)。并且,應(yīng)用提供商可以通過應(yīng)用提供商管理平臺2提供各種業(yè)務(wù)應(yīng)用,并對卡上與其對
應(yīng)的安全域進行管理,對其安全域的應(yīng)用密鑰、證書、數(shù)據(jù)等進行控制,提供應(yīng)用的安全下
載功能。應(yīng)用提供商可以是運營商、銀行、公交公司、零售商戶等。另外,應(yīng)用提供商可擁有
業(yè)務(wù)終端管理系統(tǒng)和業(yè)務(wù)終端,并且可通過業(yè)務(wù)終端向用戶提供服務(wù)。 移動終端3中具備支持電子支付的智能卡(未示出),并且,為了實現(xiàn)智能卡的安
全性管理和支付應(yīng)用的下載、安裝等功能,智能卡需要和卡發(fā)行商管理平臺以及應(yīng)用提供
商管理平臺建立通信。 實現(xiàn)智能卡和管理平臺(上述卡發(fā)行商管理平臺1和應(yīng)用提供商管理平臺2)的 通信可以通過兩個途徑(l)智能卡通過移動終端使用移動通信網(wǎng)絡(luò)和管理平臺建立通 信,一般采用OTA(Over TheAir)技術(shù)實現(xiàn)智能卡和管理平臺的通信。(2)通過管理平臺的 業(yè)務(wù)終端實現(xiàn)智能卡和管理平臺的連接。業(yè)務(wù)終端配置有非接觸讀卡器或者直接讀取智能 卡的讀卡器,并且業(yè)務(wù)終端可以和管理平臺建立通信,從而實現(xiàn)智能卡和管理平臺的通信。
在上述的移動支付系統(tǒng)中,用戶能夠電子支付應(yīng)用的下載、安裝和使用,用戶通過 與卡片發(fā)行商或應(yīng)用提供商交互,對移動終端和卡進行操作,在安全域內(nèi)下載及安裝新的 應(yīng)用,使用提供的各種業(yè)務(wù)應(yīng)用。 基于近場通信技術(shù)的移動終端電子支付系統(tǒng)支持多電子支付應(yīng)用,在智能卡上 可以安裝多個電子支付應(yīng)用。為了實現(xiàn)支付應(yīng)用的安全,智能卡采用Global Platform Card Specification V2. 1/V2. 2規(guī)范,智能卡被分隔為若干個獨立的安全域,以保證多個 應(yīng)用相互之間的隔離以及獨立性,各個應(yīng)用提供商管理各自的安全域以及應(yīng)用、應(yīng)用數(shù)據(jù)等。這里提到的支持Global Platform規(guī)范的智能卡指的是符合Global Platform Card Specification V2. 1. 1/V2. 2規(guī)范的IC芯片或智能卡,從物理形式上可以為SM/USIM卡、 可插拔的智能存儲卡或者集成在移動終端上的IC芯片。 安全域是卡外實體包括卡發(fā)行商和應(yīng)用提供商在卡上的代表,它們包含用于支持 安全通道協(xié)議運作以及卡內(nèi)容管理的加密密鑰,如果電子支付系統(tǒng)支持Global Platform Card Specification V2. 1. 1規(guī)范,安全通道協(xié)議支持Secure Channel Protocol'02'(基 于對稱密鑰);如果電子支付系統(tǒng)支持Global Platform Card Specification V2. 2規(guī)范, 安全通道協(xié)議支持Secure Channel Protocol ' 10'(基于非對稱密鑰)。安全域負(fù)責(zé)它們 自己的密鑰管理,這保證了來自不同應(yīng)用提供者的應(yīng)用和數(shù)據(jù)可以共存于同一個卡上。安 全域的密鑰采用非對稱密鑰體制時,安全域上的密鑰和證書需要包括安全域的公鑰(也 可稱為公密鑰)和私鑰(也可稱為私密鑰)、安全域的證書、用于認(rèn)證卡外實體證書的可信 任根公鑰。 應(yīng)用提供商在智能卡上的安全域為從安全域。在將應(yīng)用提供商的電子支付應(yīng)用下 載并安裝到智能卡之前,需要在智能卡上先通過卡發(fā)行商擁有的智能卡主安全域創(chuàng)建應(yīng)用 提供商的從安全域,然后設(shè)置從安全域的密鑰。 安全域密鑰作為機密數(shù)據(jù),需要采取可靠及安全的方法和技術(shù)將有關(guān)密鑰和證書 導(dǎo)入到從安全域,實現(xiàn)從安全域密鑰的安全分發(fā)。從安全域的創(chuàng)建需要由卡發(fā)行商管理平 臺指示智能卡上的主安全域創(chuàng)建,而且從安全域創(chuàng)建完成后,從安全域的初始密鑰需要由 卡發(fā)行商管理平臺負(fù)責(zé)設(shè)置和分發(fā)。 通常,從安全域創(chuàng)建完成后,卡發(fā)行商管理平臺可以通知應(yīng)用提供商管理平臺生 成從安全域的公私密鑰對和證書;應(yīng)用提供商管理平臺生成從安全域的公私密鑰對和證書 后,再由卡發(fā)行商管理平臺通過智能卡主安全域?qū)陌踩蚬矫荑€對和證書發(fā)送給從安 全域,由此完成從安全域的密鑰分發(fā)。在這種情況下,卡發(fā)行商管理平臺負(fù)責(zé)密鑰數(shù)據(jù)的傳 送時可以獲得發(fā)送的安全域密鑰數(shù)據(jù),可能使用獲得的密鑰對從安全域執(zhí)行操作,這樣會 對應(yīng)用提供商的電子支付應(yīng)用安全造成威脅,需要解決從安全域密鑰的安全分發(fā)問題。
圖1中所示的OTA服務(wù)器就能夠解決上述的從安全域密鑰的安全分發(fā)問題。
基于上述電子支付系統(tǒng),本發(fā)明提出了一種密鑰分發(fā)系統(tǒng)。
如圖2所示,根據(jù)本實施例的密鑰分發(fā)系統(tǒng)包括 卡片發(fā)行商管理平臺202,包括第一生成模塊(未示出),用于生成與應(yīng)用提供商 對應(yīng)的從安全域(未示出)的初始密鑰(該初始密鑰可以包括初始公密鑰和初始私密鑰); 導(dǎo)入模塊(未示出),用于將初始密鑰、用于外部認(rèn)證的信任根公鑰通過OTA服務(wù)器206導(dǎo) 入到從安全域;第一發(fā)送模塊(未示出),用于向應(yīng)用提供商管理平臺204發(fā)送從安全域的 信息以及初始密鑰;卡發(fā)行商管理平臺202與應(yīng)用提供商管理平臺204之間可通過專線或 者Internet連接,卡發(fā)行商管理平臺202可以通過應(yīng)用提供商管理平臺204及OTA服務(wù)器 206和智能卡208建立通信。并且,結(jié)合圖l所示的卡發(fā)行商管理平臺,可以將第一生成模 塊、導(dǎo)入模塊、和第一發(fā)送模塊設(shè)置于上述密鑰管理子系統(tǒng)12,并且可以根據(jù)實際應(yīng)用需要 將上述一個或多個模塊設(shè)置于其它子系統(tǒng)中。 應(yīng)用提供商管理平臺204,包括接收模塊(未示出),用于接收卡片發(fā)行商管理平 臺202的從安全域的信息以及初始密鑰;選擇模塊(未示出),用于根據(jù)從安全域的信息以及初始密鑰通過OTA服務(wù)器206選擇智能卡208的從安全域;第二生成模塊(未示出),用 于生成從安全域的公密鑰和私密鑰以及從安全域證書;第二發(fā)送模塊(未示出),用于通過 OTA服務(wù)器206將公密鑰和私密鑰以及從安全域證書加密后發(fā)送到從安全域,完成從安全 域密鑰的分發(fā);此外,應(yīng)用提供商管理平臺202可以通過0TA服務(wù)器206提供電子支付的有 關(guān)服務(wù)提供可以下載的電子支付應(yīng)用列表,參與從安全域的創(chuàng)建和密鑰分法、電子支付應(yīng) 用的下載、電子支付應(yīng)用的個人化等。并且,結(jié)合圖l所示的應(yīng)用提供商管理平臺,可以將 接收模塊、選擇模塊、第二生成模塊、和第二發(fā)送模塊設(shè)置于上述密鑰管理子系統(tǒng)21,并且 可以根據(jù)實際應(yīng)用需要將上述一個或多個模塊設(shè)置于其它子系統(tǒng)中。 在本發(fā)明中,在通過OTA方式在智能卡中下載應(yīng)用提供商的電子支付應(yīng)用以前, 應(yīng)用提供商管理平臺需要先檢查智能卡中是否存在自己的從安全域。如果沒有對應(yīng)的從安 全域,應(yīng)用提供商管理平臺需要請求卡發(fā)行商管理平臺在智能卡上創(chuàng)建屬于自己的從安全 域。 圖2所示的密鑰分發(fā)系統(tǒng)還包括OTA服務(wù)器206,連接至卡片發(fā)行商管理平臺 202、應(yīng)用提供商管理平臺204,用于實現(xiàn)卡片發(fā)行商管理平臺202與智能卡208之間的通 信、實現(xiàn)應(yīng)用提供商管理平臺204與智能卡208之間的通信;也就是說,智能卡208可通過 OTA服務(wù)器206和應(yīng)用提供商管理平臺202以及卡發(fā)行商管理平臺204建立連接,OTA服務(wù) 器206傳輸智能卡208和應(yīng)用提供商管理平臺204以及卡發(fā)行商管理平臺202之間的通訊 數(shù)據(jù)。 智能卡208,位于移動終端(未示出),包括從安全域(未示出),其中,從安全域用 于根據(jù)應(yīng)用提供商管理平臺204經(jīng)由OTA服務(wù)器206發(fā)送的初始密鑰以及信任根公鑰進行 設(shè)置,并根據(jù)應(yīng)用提供商管理平臺204經(jīng)由OTA服務(wù)器206發(fā)送的公密鑰和私密鑰以及從 安全域證書進行設(shè)置,并安裝從安全域證書。為了實現(xiàn)上述功能,智能卡208和移動終端應(yīng) 當(dāng)支持OTA功能,保證智能卡208可以通過移動終端和OTA服務(wù)器206進行通信;并且,可 以在移動終端的屏幕上顯示可以下載的電子支付應(yīng)用、選擇下載的電子支付應(yīng)用并將電子 支付應(yīng)用下載到智能卡208等。 優(yōu)選地,應(yīng)用提供商管理平臺204進一步包括數(shù)據(jù)庫(未示出),用于在應(yīng)用提 供商管理平臺204接收到卡片發(fā)行商管理平臺202發(fā)送的從安全域的信息以及初始密鑰之 后,記錄從安全域的信息。 并且,應(yīng)用提供商管理平臺204可進一步包括建立模塊(未示出),用于在根據(jù) 從安全域的信息以及初始密鑰通過OTA服務(wù)器選擇智能卡208的從安全域之后,經(jīng)由OTA 服務(wù)器206與從安全域建立安全信道。 優(yōu)選地,應(yīng)用提供商管理平臺204可進一步包括判斷模塊(未示出),用于判斷 智能卡208中是否存在對應(yīng)于應(yīng)用提供商的從安全域;以及創(chuàng)建模塊(未示出),用于在判 斷模塊判斷為否的情況下,通過卡片發(fā)行商管理平臺202在智能卡208上創(chuàng)建從安全域。
在創(chuàng)建安全域時,卡發(fā)行商管理平臺202通過應(yīng)用提供商管理平臺204及OTA服 務(wù)器206和智能卡208進行通信,卡發(fā)行商管理平臺202選擇智能卡208的主安全域,和主 安全域建立安全通信信道,通知主安全域創(chuàng)建應(yīng)用提供商從安全域。從安全域創(chuàng)建完成后, 卡發(fā)行商管理平臺生成從安全域的初始公密鑰和私密鑰,將初始密鑰、信任根公鑰通過OTA 服務(wù)器導(dǎo)入到從安全域。
優(yōu)選地,在實際應(yīng)用當(dāng)中,智能卡可以符合Global Platform CardSpecif icationV2. 2規(guī)范,智能卡安全域采用非對稱密鑰體制,創(chuàng)建的從安全域中需要導(dǎo)入的密鑰包括從安全域的公鑰和私鑰、從安全域證書和外部認(rèn)證使用的信任根公鑰(One Public Key forTrustPoint for External Authentication, PK. TP_EX. AUT)。從安全域的公鑰和私鑰由應(yīng)用提供商管理平臺生成,從安全域證書由應(yīng)用提供商管理平臺根據(jù)從安全域公鑰生成,外部認(rèn)證使用的信任根公鑰(PK. TP_EX. AUT)是由簽發(fā)應(yīng)用提供商證書的CA提供的,可以從應(yīng)用提供商管理平臺獲得,該公鑰用于從安全域?qū)?yīng)用提供商的證書進行認(rèn)證,可以由卡發(fā)行商管理平臺在創(chuàng)建從安全域時導(dǎo)入到從安全域。從安全域的公鑰和私鑰可以采用RSA算法生成,公鑰和私鑰的長度選擇為1024bits。 此外,應(yīng)用提供商管理平臺和OTA服務(wù)器連接,OTA服務(wù)器和移動通信網(wǎng)絡(luò)中的GPRS/PDSN網(wǎng)關(guān)或者短信網(wǎng)管建立通信連接。OTA服務(wù)器可以通過數(shù)據(jù)業(yè)務(wù)或者短信的方式和智能卡建立通信連接;從通信效率和安全性上考慮,在實施過程中,優(yōu)選地,可以采用數(shù)據(jù)業(yè)務(wù)的方式。采用數(shù)據(jù)業(yè)務(wù)通道實現(xiàn)OTA時,智能卡和移動終端之間可以采用BIP通信協(xié)議,移動終端通過TCP/IP協(xié)議和OTA服務(wù)器建立通信。 可以看出,在本發(fā)明的密鑰分發(fā)系統(tǒng)中,在卡發(fā)行商管理平臺將從安全域的基本
信息和初始密鑰返回給應(yīng)用提供商管理平臺后,應(yīng)用提供商管理平臺和從安全域之間重新
進行密鑰分發(fā),這時應(yīng)用提供商管理平臺和智能卡之間的通信不再經(jīng)過卡發(fā)行商管理平臺
傳輸,而是經(jīng)過OTA服務(wù)器進行,實現(xiàn)了對卡發(fā)行商管理平臺的隔離,卡發(fā)行商管理平臺無
法獲得應(yīng)用提供商管理平臺生成的從安全域公密鑰、私密鑰和證書,有效地保證了應(yīng)用提
供商從安全域密鑰分發(fā)的安全性。 方法實施例 在本實施例中,提供了一種密鑰分發(fā)方法,應(yīng)用于包括應(yīng)用提供商的應(yīng)用提供商管理平臺、卡片發(fā)行商管理平臺、和OTA服務(wù)器的移動通信系統(tǒng)。
如圖3所示,根據(jù)本實施例的密鑰分發(fā)方法包括 步驟S302,卡片發(fā)行商管理平臺生成應(yīng)用提供商對應(yīng)的從安全域的初始密鑰(該初始密鑰可以包括初始公密鑰和初始私密鑰),將初始密鑰、信任根公鑰通過OTA服務(wù)器導(dǎo)入到從安全域,并向應(yīng)用提供商管理平臺發(fā)送從安全域的信息以及初始密鑰;
步驟S304,應(yīng)用提供商管理平臺接收從安全域的信息以及初始密鑰,并根據(jù)從安全域的信息以及初始密鑰通過OTA服務(wù)器選擇智能卡的從安全域; 步驟S306,應(yīng)用提供商管理平臺生成從安全域的公密鑰和私密鑰以及從安全域證書,并通過OTA服務(wù)器將公密鑰和私密鑰以及從安全域證書加密后發(fā)送到從安全域。
其中,卡片發(fā)行商管理平臺生成初始密鑰的具體處理為應(yīng)用提供商管理平臺判斷智能卡中是否存在對應(yīng)于應(yīng)用提供商的從安全域;在判斷為是的情況下,則可以確定智能卡中已存在應(yīng)用提供商的從安全域,并且不再進行安全域的創(chuàng)建和密鑰的分發(fā)過程;在判斷為否的情況下,應(yīng)用提供商管理平臺通過卡片發(fā)行商管理平臺在智能卡上創(chuàng)建從安全域,并由卡片發(fā)行商管理平臺生成初始密鑰。 具體地,檢查(判斷)智能卡中是否存在屬于該應(yīng)用提供商的從安全域。檢查的方法可以包括以下處理過程 應(yīng)用提供商管理平臺通過OTA服務(wù)器向智能卡發(fā)送命令讀取智能卡的特征信息ICCID,然后應(yīng)用提供商管理平臺根據(jù)ICCID在系統(tǒng)的已創(chuàng)建從安全域的智能卡數(shù)據(jù)庫中檢索該智能卡是否已經(jīng)創(chuàng)建自己的從安全域。 當(dāng)應(yīng)用提供商在每個智能卡上的從安全域的ID相同時,應(yīng)用提供商管理平臺可以通過OTA服務(wù)器向智能卡發(fā)送SELECT報文,報文中的對象參數(shù)為從安全域ID。如果智能卡返回的SELECTRESPONSE中指示對應(yīng)的從安全域不存在時,可以判斷該智能卡上不存在應(yīng)用提供商的從安全域。 此外,應(yīng)用提供商管理平臺通過卡片發(fā)行商管理平臺在智能卡上創(chuàng)建從安全域的具體處理為卡片發(fā)行商管理平臺通過應(yīng)用提供商管理平臺與智能卡進行通信,通過OTA服務(wù)器選擇智能卡的主安全域并通過OTA服務(wù)器與主安全域建立安全通道;卡片發(fā)行商管理平臺通過安全通道通知主安全域建立應(yīng)用提供商對應(yīng)的從安全域;主安全域在智能卡上建立從安全域。 此外,在應(yīng)用提供商管理平臺接收卡片發(fā)行商管理平臺發(fā)送的從安全域的信息以及初始密鑰之后,該方法可進一步包括應(yīng)用提供商管理平臺在其數(shù)據(jù)庫中記錄從安全域的信息。 優(yōu)選地,在應(yīng)用提供商管理平臺根據(jù)從安全域的信息以及初始密鑰通過OTA服務(wù)器選擇智能卡的從安全域之后,該方法可進一步包括應(yīng)用提供商管理平臺通過OTA服務(wù)器與從安全域建立安全信道。 最后,在應(yīng)用提供商管理平臺通過OTA服務(wù)器將公密鑰和私密鑰以及從安全域證書經(jīng)過加密后發(fā)送到從安全域之后,該方法可進一步包括從安全域?qū)⒊跏济荑€更新為公私密鑰,并將從安全域證書寫入到從安全域。 下面將結(jié)合具體應(yīng)用實例描述根據(jù)本實施例的密鑰分發(fā)處理。 圖4示出了根據(jù)本實施例的密鑰分發(fā)方法的處理實例的信令流程。如圖4所示,
根據(jù)本實施例的應(yīng)用提供商從安全域的創(chuàng)建和密鑰分發(fā)過程具體包括以下處理 (41)應(yīng)用提供商管理平臺通過OTA服務(wù)器向智能卡發(fā)送命令讀取智能卡的特征
信息ICCID,然后將智能卡特征信息ICCID發(fā)送給應(yīng)用提供商管理平臺。 (42)應(yīng)用提供商管理平臺向卡發(fā)行商管理平臺發(fā)送從安全域創(chuàng)建請求,在請求報
文中包括應(yīng)用提供商ID(ASP_ID)和智能卡標(biāo)識信息ICCID等。 (43)卡發(fā)行商管理平臺收到從安全域創(chuàng)建請求后,驗證從安全域創(chuàng)建請求信息,并確定是否允許該請求。卡發(fā)行商可以根據(jù)應(yīng)用提供商的業(yè)務(wù)權(quán)限等確定是否允許通過應(yīng)用提供商管理平臺創(chuàng)建從安全域。 (44)卡發(fā)行商管理平臺確認(rèn)可以通過應(yīng)用提供商管理平臺創(chuàng)建從安全域后,卡發(fā)行商管理平臺根據(jù)智能卡ICCID在平臺內(nèi)的數(shù)據(jù)庫中檢索該智能卡的相關(guān)信息,包括智能卡主安全域ID(ISD_ID)等。 (45)卡發(fā)行商管理平臺通過應(yīng)用提供商管理平臺向智能卡發(fā)送SELECT報文,選擇智能卡的主安全域。 (46)卡發(fā)行商管理平臺和智能卡主安全域按照GlobalPlatform CardSpecification V2. 2附錄F Secure Channel Protocol ' 10'的要求建立SCP10安全信道,完成雙方的認(rèn)證及對話密鑰的協(xié)商。 (47)卡發(fā)行商管理平臺向主安全域發(fā)送從安全域創(chuàng)建報文INSTALL[forInstall]。主安全域按照報文創(chuàng)建從安全域,完成創(chuàng)建后,主安全域發(fā)送INSTALL Response 給卡發(fā)行商管理平臺。 (48)卡發(fā)行商管理平臺接收到從安全域創(chuàng)建響應(yīng)并確認(rèn)從安全域已創(chuàng)建后,生成 從安全域的初始公私密鑰對。 (49)卡發(fā)行商管理平臺通過PUT KEY報文將從安全域的公私鑰和外部認(rèn)證使用 的信任根公鑰(One Public Key for Trust Pointfor External Authentication,PK. TP_ EX.AUT)發(fā)送給智能卡主安全域。 (50)智能卡主安全域?qū)陌踩虻某跏脊借€和PK. TP_EX. AUT發(fā)送給從安全 域,從安全域進行初始公私鑰和PK. TP_EX. AUT的設(shè)置,然后發(fā)送PUT KEY RESPONSE給卡發(fā) 行商管理平臺。 (51)卡發(fā)行商管理平臺將創(chuàng)建的從安全域的基本信息和智能卡的公私密鑰對發(fā)
送給應(yīng)用提供商管理平臺(步驟48、49、50、51對應(yīng)于圖3中的步驟S302)。 (52)應(yīng)用提供商管理平臺在數(shù)據(jù)庫中添加從安全域的相關(guān)信息。 (53)應(yīng)用提供商管理平臺通過0TA服務(wù)器向智能卡發(fā)送SELECT報文,選擇由卡發(fā)
行商管理平臺創(chuàng)建的從安全域(步驟53對應(yīng)于圖3中的步驟S304)。 (54)應(yīng)用提供商管理平臺和從安全域按照Global PlatformCard Specification
V2. 2附錄F Secure Channel Protocol ' 10'的要求建立SCPIO安全信道,完成從安全域?qū)?br>
應(yīng)用提供商管理平臺的認(rèn)證和對話密鑰的協(xié)商。 (55)應(yīng)用提供商管理平臺生成從安全域的公鑰和私鑰,應(yīng)用提供商管理平臺中的 證書管理系統(tǒng)將從安全域的公鑰和證書申請信息發(fā)給應(yīng)用提供商CA,由CA簽發(fā)從安全域 證書。 (56)應(yīng)用提供商管理平臺通過PUT KEY報文,將從安全域公私鑰、證書發(fā)送給從 安全域。為了保證數(shù)據(jù)的安全,在PUT KEY報文中,需要使用對話密鑰將從安全域公私鑰和 證書進行加密(步驟55和56對應(yīng)于圖3中的步驟S304)。 (57)從安全域使用對話密鑰將報文進行解密,獲得應(yīng)用提供商管理平臺發(fā)送的公 私密鑰對和從安全域證書;從安全域?qū)⒂煽òl(fā)行商管理平臺生成的初始公私鑰更新為由應(yīng) 用提供商管理平臺生成的公私鑰并安裝從安全域的證書。 并且,在上述步驟完成后,應(yīng)用提供商管理平臺和從安全域之間可以繼續(xù)進行支 付應(yīng)用的下載和安裝等過程。 綜上所述,借助于本發(fā)明的技術(shù)方案,在卡發(fā)行商管理平臺將從安全域的基本信
息和初始密鑰返回給應(yīng)用提供商管理平臺后,應(yīng)用提供商管理平臺和從安全域之間重新進
行密鑰分發(fā),并且應(yīng)用提供商管理平臺和智能卡之間通過OTA服務(wù)器進行通信而不再經(jīng)過
卡發(fā)行商管理平臺,從而有效實現(xiàn)了對卡發(fā)行商管理平臺的隔離,避免了卡發(fā)行商管理平
臺能夠獲得應(yīng)用提供商管理平臺生成的從安全域公密鑰、私密鑰和證書而導(dǎo)致的密鑰傳輸
存在安全隱患的問題,有效地保證了應(yīng)用提供商從安全域密鑰分發(fā)的安全性。 以上所述僅為本發(fā)明的優(yōu)選實施例而已,并不用于限制本發(fā)明,對于本領(lǐng)域的技
術(shù)人員來說,本發(fā)明可以有各種更改和變化。凡在本發(fā)明的精神和原則之內(nèi),所作的任何修
改、等同替換、改進等,均應(yīng)包含在本發(fā)明的保護范圍之內(nèi)。
1權(quán)利要求
一種密鑰分發(fā)方法,應(yīng)用于包括應(yīng)用提供商的應(yīng)用提供商管理平臺、卡片發(fā)行商管理平臺、和OTA服務(wù)器的移動通信系統(tǒng),其特征在于,所述方法包括卡片發(fā)行商管理平臺生成應(yīng)用提供商對應(yīng)的從安全域的初始密鑰,將所述初始密鑰、用于外部認(rèn)證的信任根公鑰通過所述OTA服務(wù)器導(dǎo)入到所述從安全域,并向應(yīng)用提供商管理平臺發(fā)送所述從安全域的信息以及所述初始密鑰;所述應(yīng)用提供商管理平臺接收所述從安全域的信息以及所述初始密鑰,并根據(jù)所述從安全域的信息以及所述初始密鑰通過所述OTA服務(wù)器選擇所述智能卡的從安全域;所述應(yīng)用提供商管理平臺生成所述從安全域的公密鑰和私密鑰以及從安全域證書,并通過所述OTA服務(wù)器將所述公密鑰和所述私密鑰以及所述從安全域證書加密后發(fā)送到所述從安全域。
2. 根據(jù)權(quán)利要求1所述的方法,其特征在于,所述卡片發(fā)行商管理平臺生成所述初始 密鑰的具體處理為所述應(yīng)用提供商管理平臺所述判斷智能卡中是否存在對應(yīng)于所述應(yīng)用提供商的從安 全域;在判斷為是的情況下,確定智能卡中已存在所述應(yīng)用提供商的從安全域,并且不再進 行安全域的創(chuàng)建和密鑰的分發(fā)過程;在判斷為否的情況下,所述應(yīng)用提供商管理平臺通過所述卡片發(fā)行商管理平臺在所述 智能卡上創(chuàng)建所述從安全域,并由所述卡片發(fā)行商管理平臺生成所述初始密鑰。
3. 根據(jù)權(quán)利要求2所述的方法,其特征在于,所述應(yīng)用提供商管理平臺通過所述卡片 發(fā)行商管理平臺在所述智能卡上創(chuàng)建所述從安全域的具體處理為所述卡片發(fā)行商管理平臺通過所述應(yīng)用提供商管理平臺與所述智能卡進行通信,通過 所述OTA服務(wù)器選擇所述智能卡的主安全域并通過所述OTA服務(wù)器與所述主安全域建立安 全通道;所述卡片發(fā)行商管理平臺通過所述安全通道通知所述主安全域建立所述應(yīng)用提供商 對應(yīng)的從安全域;所述主安全域在所述智能卡上建立所述從安全域。
4. 根據(jù)權(quán)利要求1所述的方法,其特征在于,在所述應(yīng)用提供商管理平臺接收所述卡 片發(fā)行商管理平臺發(fā)送的所述從安全域的信息以及所述初始密鑰之后,所述方法進一步包 括所述應(yīng)用提供商管理平臺在其數(shù)據(jù)庫中記錄所述從安全域的信息。
5. 根據(jù)權(quán)利要求1所述的方法,其特征在于,在所述應(yīng)用提供商管理平臺根據(jù)所述從 安全域的信息以及所述初始密鑰通過所述OTA服務(wù)器選擇所述智能卡的從安全域之后,所 述方法進一步包括所述應(yīng)用提供商管理平臺通過所述OTA服務(wù)器與所述從安全域建立安全信道。
6. 根據(jù)權(quán)利要求1所述的方法,其特征在于,在所述應(yīng)用提供商管理平臺通過所述OTA 服務(wù)器將所述公密鑰和所述私密鑰以及所述從安全域證書經(jīng)過加密后發(fā)送到所述從安全 域之后,所述方法進一步包括所述從安全域?qū)⑺龀跏济荑€更新為所述公私密鑰,并將所述從安全域證書寫入到所 述從安全域。
7. —種密鑰分發(fā)系統(tǒng),其特征在于包括 卡片發(fā)行商管理平臺,包括第一生成模塊,用于生成與應(yīng)用提供商對應(yīng)的從安全域的初始密鑰; 導(dǎo)入模塊,用于將所述初始密鑰、用于外部認(rèn)證的信任根公鑰通過OTA服務(wù)器導(dǎo)入到 所述從安全域;第一發(fā)送模塊,用于向應(yīng)用提供商管理平臺發(fā)送所述從安全域的信息以及所述初始密鑰;所述應(yīng)用提供商管理平臺,包括接收模塊,用于接收所述卡片發(fā)行商管理平臺的所述從安全域的信息以及所述初始密鑰;選擇模塊,用于根據(jù)所述從安全域的信息以及所述初始密鑰通過所述OTA服務(wù)器選擇 所述智能卡的從安全域;第二生成模塊,用于生成所述從安全域的公密鑰和私密鑰以及從安全域證書;第二發(fā)送模塊,用于通過所述OTA服務(wù)器將所述公密鑰和所述私密鑰以及所述從安全 域證書加密后發(fā)送到所述從安全域,完成從安全域密鑰的分發(fā);所述OTA服務(wù)器,連接至所述卡片發(fā)行商管理平臺、所述應(yīng)用提供商管理平臺,用于實 現(xiàn)所述卡片發(fā)行商管理平臺與所述智能卡之間的通信、實現(xiàn)所述應(yīng)用提供商管理平臺與所 述智能卡之間的通信;所述智能卡,位于移動終端,包括所述從安全域,其中,所述從安全域用于根據(jù)所述應(yīng) 用提供商管理平臺經(jīng)由所述0TA服務(wù)器發(fā)送的所述初始密鑰以及所述信任根公鑰進行設(shè) 置,并根據(jù)所述應(yīng)用提供商管理平臺經(jīng)由所述0TA服務(wù)器發(fā)送的所述公密鑰和所述私密鑰 以及所述從安全域證書進行設(shè)置,并安裝所述從安全域證書。
8. 根據(jù)權(quán)利要求7所述的系統(tǒng),其特征在于,所述應(yīng)用提供商管理平臺進一步包括 判斷模塊,用于判斷所述智能卡中是否存在對應(yīng)于所述應(yīng)用提供商的從安全域; 創(chuàng)建模塊,用于在所述判斷模塊判斷為否的情況下,通過所述卡片發(fā)行商管理平臺在所述智能卡上創(chuàng)建所述從安全域。
9. 根據(jù)權(quán)利要求7所述的系統(tǒng),其特征在于,所述應(yīng)用提供商管理平臺進一步包括 數(shù)據(jù)庫,用于在所述應(yīng)用提供商管理平臺接收到所述卡片發(fā)行商管理平臺發(fā)送的所述從安全域的信息以及所述初始密鑰之后,記錄所述從安全域的信息。
10. 根據(jù)權(quán)利要求7所述的系統(tǒng),其特征在于,所述應(yīng)用提供商管理平臺進一步包括 建立模塊,用于在根據(jù)所述從安全域的信息以及所述初始密鑰通過所述OTA服務(wù)器選擇所述智能卡的從安全域之后,經(jīng)由所述0TA服務(wù)器與所述從安全域建立安全信道。
全文摘要
本發(fā)明公開了一種密鑰分發(fā)方法和系統(tǒng),其中,該方法包括卡片發(fā)行商管理平臺生成應(yīng)用提供商對應(yīng)的從安全域的初始密鑰,將初始密鑰、用于外部認(rèn)證的信任根公鑰通過OTA服務(wù)器導(dǎo)入到從安全域,并向應(yīng)用提供商管理平臺發(fā)送從安全域的信息以及初始密鑰;應(yīng)用提供商管理平臺接收從安全域的信息以及初始密鑰,并根據(jù)從安全域的信息以及初始密鑰通過OTA服務(wù)器選擇智能卡的從安全域;應(yīng)用提供商管理平臺生成從安全域的公密鑰和私密鑰以及從安全域證書,并通過OTA服務(wù)器將公密鑰和私密鑰以及從安全域證書加密后發(fā)送到從安全域。通過使用本發(fā)明,能夠有效實現(xiàn)對卡發(fā)行商管理平臺的隔離,保證了應(yīng)用提供商從安全域密鑰分發(fā)的安全性。
文檔編號G07F7/10GK101729246SQ20081017191
公開日2010年6月9日 申請日期2008年10月24日 優(yōu)先權(quán)日2008年10月24日
發(fā)明者余萬濤, 賈倩, 馬景旺 申請人:中興通訊股份有限公司