專利名稱:密鑰分發(fā)方法和系統(tǒng)的制作方法
技術領域:
本發(fā)明涉及通信領域�����,并且特別地���,涉及一種密鑰分發(fā)方法和系統(tǒng)��。
背景技術:
在相關技術中�,近場通信技術(Near Field Communication,簡稱為NFC)是 工作于13. 56腿z的一種近距離無線通信技術�,該技術由射頻識別(Radio Frequency Identification,簡稱為RFID)技術及互連技術融合演變而來。手機等移動通信終端在集 成NFC技術后��,可以模擬非接觸式IC卡���,用于電子支付的相關應用�;此外�,在移動通信終端 上實現該方案需要在終端上增加NFC模擬前端芯片和NFC天線,并使用支持電子支付的智 能卡��。 IC卡特別是非接觸式IC卡經過十多年的發(fā)展,已經被廣泛應用于公交����、門禁、小 額電子支付等領域��;與此同時����,手機經歷20多年的迅速發(fā)展后,其應用已經基本得到普及��, 并且給人們的工作及生活帶來了很大的便利�����,隨著手機的功能越來越強大���,將手機和非接 觸式IC卡技術結合���,將手機應用于電子支付領域,會進一步擴大手機的使用范圍�,給人們 的生活帶來便捷����,存在著廣闊的應用前景�。 在相關技術中�,為實現基于NFC技術的移動電子支付,需要建立移動終端電子支 付系統(tǒng)�����,并通過該系統(tǒng)實現對移動終端電子支付的管理����,其中,移動終端電子支付系統(tǒng)包 括智能卡的發(fā)行�、電子支付應用的下載、安裝和個人化��、以及采用相關技術和管理策略實 現電子支付的安全等�。 安全域是卡外實體包括卡發(fā)行商和應用提供商在卡上的代表,它們包含用于支持 安全通道協(xié)議運作以及卡內容管理的加密密鑰�,如果電子支付系統(tǒng)支持Global Platform Card Specification V2. 1. 1規(guī)范,安全通道協(xié)議支持Secure Channel Protocol'02'(基 于對稱密鑰)����;如果電子支付系統(tǒng)支持Global Platform Card Specification V2. 2規(guī)范, 安全通道協(xié)議支持Secure Channel Protocol ' 10'(基于非對稱密鑰)���。安全域負責它們 自己的密鑰管理���,這保證了來自不同應用提供者的應用和數據可以共存于同一個卡上���。安 全域的密鑰采用非對稱密鑰體制時,安全域上的密鑰和證書需要包括安全域的公鑰(也 可稱為公密鑰)和私鑰(也可稱為私密鑰)���、安全域的證書�、用于認證卡外實體證書的可信 任根公鑰��。 應用提供商在智能卡上的安全域為從安全域���,在將應用提供商的電子支付應用下 載并安裝到智能卡之前����,需要在智能卡上先通過卡發(fā)行商擁有的智能卡主安全域創(chuàng)建應用 提供商的從安全域���,然后設置從安全域的密鑰�。 安全域密鑰作為機密數據����,需要采取可靠及安全的方法和技術將有關密鑰和證書 導入到從安全域��,實現從安全域密鑰的安全分發(fā),其中�,從安全域的創(chuàng)建需要由卡發(fā)行商管 理平臺指示智能卡上的主安全域創(chuàng)建,而且從安全域創(chuàng)建完成后����,從安全域的初始密鑰需 要由卡發(fā)行商管理平臺負責設置和分發(fā)。 在從安全域創(chuàng)建完成后���,卡發(fā)行商管理平臺可以通知從安全域卡上生成公私密鑰對�����,然后從安全域將生成的密鑰返回給卡發(fā)行商管理平臺���,卡發(fā)行商管理平臺將從安全域 生成的密鑰發(fā)送給應用提供商管理平臺,由應用提供商管理平臺根據從安全域的公鑰生成 從安全域證書��,然后由卡發(fā)行商管理平臺通過主安全域將從安全域證書發(fā)送給從安全域��, 由此完成從安全域的密鑰分發(fā)�。 在上述情況下,卡發(fā)行商管理平臺負責密鑰數據的傳送時可以獲得發(fā)送的安全域 密鑰數據,可能使用獲得的密鑰對從安全域執(zhí)行操作�,這樣會對應用提供商的電子支付應 用安全造成威脅,因此�,急需一種解決從安全域密鑰的分發(fā)不安全的問題的技術方案。
發(fā)明內容
考慮到相關技術中從安全域密鑰的分發(fā)不安全的問題而做出本發(fā)明����,為此,本發(fā)
明的主要目的在于提供一種密鑰分發(fā)方法和系統(tǒng)�,以避免從安全域密鑰被卡片發(fā)行商管理 平臺獲取導致的密鑰不安全的問題。 根據本發(fā)明的一個方面�,提供了一種密鑰分發(fā)方法,該方法應用于包括應用提供
商的應用提供商管理平臺�����、卡片發(fā)行商管理平臺��、和OTA服務器的移動通信系統(tǒng)�����。 根據本發(fā)明的密鑰分發(fā)方法包括卡片發(fā)行商管理平臺通知應用提供商對應的從
安全域在智能卡中生成包括公密鑰和私密鑰的公私密鑰對�����,接收從安全域經由OTA服務器
返回的公密鑰,將用于外部認證的可信任根公鑰導入到從安全域���,并向應用提供商管理平
臺發(fā)送從安全域的信息以及公密鑰�; 應用提供商管理平臺接收來自卡片發(fā)行商管理平臺的從安全域的信息以及公密 鑰���,并根據從安全域的信息以及公密鑰通過OTA服務器選擇智能卡的從安全域;
應用提供商管理平臺通過OTA服務器通知從安全域重新生成公密鑰和私密鑰����,根 據從安全域返回的重新生成的公密鑰生成從安全域證書,并通過OTA服務器將從安全域證 書發(fā)送到從安全域�,完成對從安全域密鑰的分發(fā)。 其中�,卡片發(fā)行商管理平臺通知從安全域生成公私密鑰對的處理具體為應用提 供商管理平臺判斷智能卡中是否存在對應于應用提供商的從安全域;在判斷為是的情況 下�����,確定智能卡中已存在應用提供商的從安全域�����,并且不再進行安全域的創(chuàng)建和密鑰的分 發(fā)過程�;在判斷為否的情況下,應用提供商管理平臺通過卡片發(fā)行商管理平臺在智能卡上 創(chuàng)建從安全域,并通知創(chuàng)建的從安全域生成公私密鑰對�����。 并且��,應用提供商管理平臺通過卡片發(fā)行商管理平臺在智能卡上創(chuàng)建從安全域的 具體處理為卡片發(fā)行商管理平臺通過應用提供商管理平臺與智能卡進行通信�,通過OTA 服務器選擇智能卡的主安全域并通過OTA服務器與主安全域建立安全通道;卡片發(fā)行商管 理平臺通過安全通道通知主安全域建立應用提供商對應的從安全域��;主安全域在智能卡上 建立從安全域��。 此外�����,在應用提供商管理平臺接收卡片發(fā)行商管理平臺發(fā)送的從安全域的信息以 及公密鑰之后�,該方法可進一步包括應用提供商管理平臺在其數據庫中記錄從安全域的 信息。 此外����,在應用提供商管理平臺根據從安全域的信息以及公密鑰進行從安全域選擇 之后,該方法可進一步包括應用提供商管理平臺通過OTA服務器與從安全域建立安全信 道��。
此外�,在應用提供商管理平臺通過OTA服務器將從安全域證書發(fā)送到從安全域之 后�,該方法可進一步包括從安全域將從安全域證書寫入到從安全域��。
根據本發(fā)明的另一方面�,提供了一種密鑰分發(fā)系統(tǒng)。
根據本發(fā)明的密鑰分發(fā)系統(tǒng)包括 卡片發(fā)行商管理平臺��,包括第一通知模塊�����,用于在智能卡中對應于應用提供商的 從安全域被創(chuàng)建后��,通過OTA服務器通知從安全域在智能卡中生成包括公密鑰和私密鑰的 公私密鑰對����;第一接收模塊���,用于通過OTA服務器接收從安全域返回的公密鑰����;導入模塊�, 用于通過OTA服務器將用于外部認證的可信任根公鑰導入到從安全域;第一發(fā)送模塊���,用 于在導入模塊將可信任根公鑰導入之后將從安全域的信息和公密鑰發(fā)送給應用提供商管 理平臺����; 應用提供商管理平臺,包括第二接收模塊����,用于接收來自卡片發(fā)行商管理平臺的 從安全域的信息以及公密鑰;選擇模塊�����,用于根據從安全域的信息以及公密鑰通過OTA服 務器選擇智能卡的從安全域���;第二通知模塊���,用于通過OTA服務器通知從安全域重新生成 公密鑰和私密鑰;生成模塊�����,用于根據從安全域經由OTA服務器返回的重新生成的公密鑰 生成從安全域證書�;第二發(fā)送模塊,用于通過將從安全域證書經由OTA服務器發(fā)送到從安 全域����,完成對從安全域密鑰的分發(fā)���; OTA服務器,連接至卡片發(fā)行商管理平臺�����、應用提供商管理平臺���,用于實現卡片發(fā) 行商管理平臺與智能卡之間的通信��、實現應用提供商管理平臺與智能卡之間的通信��;
智能卡���,位于移動終端�����,包括從安全域����,其中����,從安全域用于生成公私密鑰對��,并通 過OTA服務器向卡片發(fā)行商管理平臺返回公密鑰�,在應用提供商管理平臺通知從安全域重 新生成公密鑰和私密鑰的情況下,重新生成公密鑰和私密鑰���,并通過OTA服務器向應用提 供商管理平臺返回重新生成的公密鑰��,以及通過OTA服務器接收應用提供商管理平臺發(fā)送 的從安全域證書�。 其中����,應用提供商管理平臺可進一步包括判斷模塊,用于判斷智能卡中是否存在 對應于應用提供商的從安全域�����;創(chuàng)建模塊�,用于在判斷模塊判斷為否的情況下,通過卡片發(fā) 行商管理平臺在智能卡上創(chuàng)建從安全域�����。 并且,應用提供商管理平臺還可以進一步包括數據庫���,用于在應用提供商管理平 臺接收到卡片發(fā)行商管理平臺發(fā)送的從安全域的信息以及公密鑰之后���,記錄從安全域的信 息。 此外���,應用提供商管理平臺還可以進一步包括建立模塊��,用于在根據從安全域的 信息以及公密鑰通過OTA服務器選擇智能卡的從安全域之后�,經由OTA服務器與從安全域 建立安全信道�。 通過本發(fā)明的上述技術方案,在卡發(fā)行商管理平臺將從安全域的基本信息和密鑰 返回給應用提供商管理平臺后,應用提供商管理平臺和從安全域之間重新進行密鑰分發(fā), 并且應用提供商管理平臺和智能卡之間通過OTA服務器進行通信而不再經過卡發(fā)行商管 理平臺�,從而有效實現了對卡發(fā)行商管理平臺的隔離���,避免了卡發(fā)行商管理平臺能夠獲得 應用提供商從安全域在卡上生成的從安全域密鑰導致密鑰傳輸存在安全隱患的問題�����,有效 地保證了應用提供商從安全域密鑰分發(fā)的安全性。
此處所說明的附圖用來提供對本發(fā)明的進一步理解�,構成本申請的一部分��,本發(fā) 明的示意性實施例及其說明用于解釋本發(fā)明���,并不構成對本發(fā)明的不當限定。在附圖中
圖1是根據本發(fā)明系統(tǒng)實施例的移動終端電子支付系的結構框圖����;
圖2是根據本發(fā)明系統(tǒng)實施例的密鑰分發(fā)系統(tǒng)的結構框圖;
圖3是根據本發(fā)明分發(fā)實施例的密鑰分發(fā)方法的流程圖�;
圖4是根據本發(fā)明分發(fā)實施例的密鑰分發(fā)方法的流程圖。
具體實施方式
功能概述 目前���,在相關技術中�����,卡發(fā)行商管理平臺負責密鑰數據的傳送時可以獲得發(fā)送的 安全域密鑰數據����,可能使用獲得的密鑰對從安全域執(zhí)行操作���,這樣會對應用提供商的電子 支付應用安全造成威脅�,針對這種安全隱患,本發(fā)明提出了通過OTA服務器傳輸安全域密 鑰數據的技術方案��,從而有效隔離卡發(fā)行商管理平臺�����,保證了密鑰傳輸的安全性���。
下面將結合附圖詳細描述本發(fā)明��。 如圖1所示����,根據本發(fā)明實施例的移動終端電子支付系統(tǒng)主要由卡片發(fā)行商管理 平臺1�����、應用提供商管理平臺2和包含有智能卡的移動終端3組成�����,該系統(tǒng)中可以存在多個 應用提供商管理平臺����。 其中�,卡發(fā)行商管理平臺1包括卡片管理子系統(tǒng)10��、應用管理子系統(tǒng)11��、密鑰管理 子系統(tǒng)12��、證書管理子系統(tǒng)13����、應用提供商管理子系統(tǒng)14�����,其中��,證書管理子系統(tǒng)13在基 于近場通信技術的移動終端電子支付系統(tǒng)支持非對稱密鑰的情況下使用�����,證書管理系統(tǒng)13 和卡片發(fā)行商CA系統(tǒng)連接��;應用管理子系統(tǒng)11負責卡發(fā)行商自己的應用或者其負責托管 的應用的提供和管理功能���;應用提供商管理子系統(tǒng)14可記錄應用提供商的有關信息��,規(guī)定 應用提供商的業(yè)務權限等�����。 此外�����,卡發(fā)行商管理平臺1所屬的卡發(fā)行商僅在支持非對稱密鑰情況下使用證書 管理系統(tǒng)13����。卡片發(fā)行商對卡的資源和生命周期�、密鑰、證書進行管理��,對其他應用提供商 的安全域進行創(chuàng)建�����,并與其他安全域交互應用數據��。 應用提供商管理平臺2包括應用管理子系統(tǒng)20�、密鑰管理子系統(tǒng)21、證書管理子
系統(tǒng)22���,其中����,證書管理子系統(tǒng)22在移動支付系統(tǒng)支持非對稱密鑰的情況下使用���,證書管
理子系統(tǒng)22和應用提供商CA系統(tǒng)連接��,并且僅在支持非對稱密鑰情況下使用證書管理系
統(tǒng)����。并且���,應用提供商可以通過應用提供商管理平臺2提供各種業(yè)務應用���,并對卡上與其對
應的安全域進行管理,對其安全域的應用密鑰�、證書、數據等進行控制�,提供應用的安全下
載功能。應用提供商可以是運營商����、銀行��、公交公司����、零售商戶等��。另外�����,應用提供商可擁有
業(yè)務終端管理系統(tǒng)和業(yè)務終端��,并且可通過業(yè)務終端向用戶提供服務�����。 移動終端3中具備支持電子支付的智能卡(未示出)�,并且,為了實現智能卡的安
全性管理和支付應用的下載�����、安裝等功能��,智能卡需要和卡發(fā)行商管理平臺以及應用提供
商管理平臺建立通信���。 實現智能卡和管理平臺(上述卡發(fā)行商管理平臺1和應用提供商管理平臺2)的 通信可以通過兩個途徑(l)智能卡通過移動終端使用移動通信網絡和管理平臺建立通信�,一般采用OTA (Over TheAir)技術實現智能卡和管理平臺的通信。(2)通過管理平臺的 業(yè)務終端實現智能卡和管理平臺的連接�。業(yè)務終端配置有非接觸讀卡器或者直接讀取智能 卡的讀卡器,并且業(yè)務終端可以和管理平臺建立通信�����,從而實現智能卡和管理平臺的通信�����。
在上述的移動支付系統(tǒng)中�����,用戶能夠電子支付應用的下載�����、安裝和使用��,用戶通過 與卡片發(fā)行商或應用提供商交互��,對移動終端和卡進行操作�����,在安全域內下載及安裝新的 應用�,使用提供的各種業(yè)務應用。 基于近場通信技術的移動終端電子支付系統(tǒng)支持多電子支付應用���,在智能卡上 可以安裝多個電子支付應用�。為了實現支付應用的安全��,智能卡采用Global Platform Card Specification V2. 1/V2. 2規(guī)范���,智能卡被分隔為若干個獨立的安全域���,以保證多個 應用相互之間的隔離以及獨立性,各個應用提供商管理各自的安全域以及應用����、應用數據 等。這里提到的支持Global Platform規(guī)范的智能卡指的是符合Global Platform Card Specification V2. 1. 1/V2. 2規(guī)范的IC芯片或智能卡����,從物理形式上可以為SM/USIM卡、 可插拔的智能存儲卡或者集成在移動終端上的IC芯片����。 安全域是卡外實體包括卡發(fā)行商和應用提供商在卡上的代表�,它們包含用于支持 安全通道協(xié)議運作以及卡內容管理的加密密鑰�����。安全域負責它們自己的密鑰管理����,這保證 了來自不同應用提供者的應用和數據可以共存于同一個卡上。安全域的密鑰采用非對稱密 鑰體制時����,安全域上的密鑰和證書需要包括安全域的公鑰(也可稱為公密鑰)和私鑰(也 可稱為私密鑰)�����、安全域的證書�、用于認證卡外實體證書的公鑰。 應用提供商在智能卡上的安全域為從安全域���。在將應用提供商的電子支付應用下 載并安裝到智能卡之前����,需要在智能卡上先通過卡發(fā)行商擁有的智能卡主安全域創(chuàng)建應用 提供商的從安全域,然后設置從安全域的密鑰�����。 安全域密鑰作為機密數據���,需要采取可靠及安全的方法和技術將有關密鑰和證書
導入到從安全域���,實現從安全域密鑰的安全分發(fā)。從安全域的創(chuàng)建需要由卡發(fā)行商管理平
臺指示智能卡上的主安全域創(chuàng)建��,而且從安全域創(chuàng)建完成后�,從安全域的初始密鑰(可以
包括初始私密鑰和初始公密鑰)需要由卡發(fā)行商管理平臺負責設置和分發(fā)。 通常����,在從安全域創(chuàng)建完成后,卡發(fā)行商管理平臺可以通知從安全域卡上生成公
私密鑰對��,然后從安全域將生成的密鑰返回給卡發(fā)行商管理平臺����,卡發(fā)行商管理平臺將從
安全域生成的密鑰發(fā)送給應用提供商管理平臺,由應用提供商管理平臺根據從安全域的公
鑰生成從安全域證書,然后由卡發(fā)行商管理平臺通過主安全域將從安全域證書發(fā)送給從安
全域�����,由此完成從安全域的密鑰分發(fā)����。在這種情況下,卡發(fā)行商管理平臺負責密鑰數據的傳
送時可以獲得發(fā)送的安全域密鑰數據���,可能使用獲得的密鑰對從安全域執(zhí)行操作�,這樣會
對應用提供商的電子支付應用安全造成威脅�,需要解決從安全域密鑰的安全分發(fā)問題。 圖1中所示的OTA服務器就能夠解決上述的從安全域密鑰的安全分發(fā)問題�。 基于上述電子支付系統(tǒng),本發(fā)明提出了一種密鑰分發(fā)系統(tǒng)�。 如圖2所示,根據本實施例的密鑰分發(fā)系統(tǒng)包括 卡片發(fā)行商管理平臺202�,包括第一通知模塊(未示出)�,用于在智能卡208中對 應于應用提供商的從安全域(未示出)被創(chuàng)建后,通過0TA服務器206通知從安全域在智能 卡208中生成包括公密鑰和私密鑰的公私密鑰對����;第一接收模塊(未示出),用于通過OTA 服務器206接收從安全域返回的公密鑰;導入模塊(未示出)��,用于通過0TA服務器206將用于外部認證的可信任根公鑰導入到從安全域�;第一發(fā)送模塊(未示出),用于在導入模塊 將可信任根公鑰導入之后將從安全域的信息和公密鑰發(fā)送給應用提供商管理平臺204 ;優(yōu) 選地����,卡發(fā)行商管理平臺202與應用提供商管理平臺204之間可通過專線或者Internet連 接,卡發(fā)行商管理平臺202可以通過應用提供商管理平臺204及OTA服務器206和智能卡 208建立通信����。并且,結合圖l所示的卡發(fā)行商管理平臺����,可以將第一通知模塊、第一接收模 塊�、導入模塊、和第一發(fā)送模塊設置于上述密鑰管理子系統(tǒng)12��,并且可以根據實際應用需要 將上述一個或多個模塊設置于其它子系統(tǒng)中��。 優(yōu)選地��,應用提供商管理平臺204可以連接到OTA服務器206且可以通過OTA服 務器206和智能卡208建立通信�,并且應用提供商管理平臺204可進一步包括第二接收模 塊(未示出)�,用于接收來自卡片發(fā)行商管理平臺202的從安全域的信息以及公密鑰�;選擇 模塊(未示出),用于根據從安全域的信息以及公密鑰通過OTA服務器206選擇智能卡208 的從安全域��;第二通知模塊(未示出)�,用于通過0TA服務器206通知從安全域重新生成公 密鑰和私密鑰;生成模塊(未示出)���,用于根據從安全域經由OTA服務器返回的重新生成的 公密鑰生成從安全域證書�����;第二發(fā)送模塊(未示出)��,用于通過將從安全域證書經由OTA服 務器發(fā)送到從安全域����,完成對從安全域密鑰的分發(fā)�;此外,應用提供商管理平臺202可以通 過0TA服務器206提供電子支付的有關服務提供可以下載的電子支付應用列表�,參與從安 全域的創(chuàng)建和密鑰分發(fā)、電子支付應用的下載����、電子支付應用的個人化等。并且�,結合圖1 所示的應用提供商管理平臺,可以將第二接收模塊�、選擇模塊、第二通知模塊�、生成模塊、和 第二發(fā)送模塊設置于上述密鑰管理子系統(tǒng)21���,并且可以根據實際應用需要將上述一個或多 個模塊設置于其它子系統(tǒng)中���。 在本發(fā)明中,在通過OTA方式在智能卡中下載應用提供商的電子支付應用以前��, 應用提供商管理平臺需要先檢查智能卡中是否存在自己的從安全域�����。如果沒有對應的從安 全域��,應用提供商管理平臺需要請求卡發(fā)行商管理平臺在智能卡上創(chuàng)建屬于自己的從安全 域�。 圖2所示的密鑰分發(fā)系統(tǒng)進一步包括0TA服務器206,連接至卡片發(fā)行商管理平 臺202�、應用提供商管理平臺204,用于實現卡片發(fā)行商管理平臺202與智能卡208之間的 通信���、實現應用提供商管理平臺204與智能卡208之間的通信����;也就是說,智能卡208可通 過0TA服務器206和應用提供商管理平臺202以及卡發(fā)行商管理平臺204建立連接����,0TA服 務器206傳輸智能卡208和應用提供商管理平臺204以及卡發(fā)行商管理平臺202之間的通 訊數據。 智能卡208�,位于移動終端(未示出),包括從安全域(未示出)��,其中��,從安全域用 于生成公私密鑰對����,并通過OTA服務器206向卡片發(fā)行商管理平臺202返回公密鑰,在應用 提供商管理平臺204通知從安全域重新生成公密鑰和私密鑰的情況下��,重新生成公密鑰和 私密鑰�,并通過OTA服務器206向應用提供商管理平臺204返回重新生成的公密鑰,以及通 過OTA服務器206接收應用提供商管理平臺204發(fā)送的從安全域證書�����,并且智能卡208和 移動終端應當支持OTA功能,保證智能卡208可以通過移動終端和OTA服務器206進行通 信��;并且�����,可以在移動終端的屏幕上顯示可以下載的電子支付應用����、選擇下載的電子支付應 用并將電子支付應用下載到智能卡208等��。 在該系統(tǒng)中����,應用提供商管理平臺204可進一步包括判斷模塊(未示出),用于判斷智能卡中是否存在對應于應用提供商的從安全域���;以及創(chuàng)建模塊(未示出)�����,用于在判 斷模塊�����,用于在判斷為否的情況下�,通過卡片發(fā)行商管理平臺202在智能卡208上創(chuàng)建從安 全域。也就是說����,如果不存在該應用提供商的從安全域,需要先進行從安全域的創(chuàng)建過程�。
優(yōu)選地,應用提供商管理平臺204可進一步包括數據庫(未示出)��,用于在應用 提供商管理平臺204接收到卡片發(fā)行商管理平臺202發(fā)送的從安全域的信息以及公密鑰之 后���,記錄從安全域的信息��。 此外�,應用提供商管理平臺204可進一步包括建立模塊(未示出)��,用于在根據 從安全域的信息以及公密鑰通過OTA服務器206選擇智能卡208的從安全域之后����,經由OTA 服務器206與從安全域建立安全信道。 此外�����,在智能卡208不存在對應于應用提供商的從安全域(未示出)的情況下,就 需要進行從安全域的創(chuàng)建����。在創(chuàng)建安全域時,卡發(fā)行商管理平臺202通過應用提供商管理 平臺204及OTA服務器206和智能卡208進行通信�����,卡發(fā)行商管理平臺202選擇智能卡208 的主安全域�,和主安全域建立安全通信信道���,通知主安全域創(chuàng)建應用提供商從安全域���。從安 全域創(chuàng)建完成后,卡發(fā)行商管理平臺通知應用提供商從安全域在卡上生成從安全域的公鑰 和私鑰�����。 優(yōu)選地��,在實際應用當中���,智能卡可以符合Global Platform CardSpecif ication V2. 2規(guī)范���,智能卡安全域采用非對稱密鑰體制���,創(chuàng)建的從安全域中需要導入的密鑰包括 從安全域的公鑰和私鑰、從安全域證書和外部認證使用的信任根公鑰(One Public Key for TrustPoint for External Authentication, PK. TP_EX. AUT)�。從安全域的公鑰和私鑰由從 安全域在卡上生成,從安全域證書由應用提供商管理平臺根據從安全域公鑰生成�,外部認 證使用的信任根公鑰(PK. TP_EX. AUT)是由簽發(fā)應用提供商證書的CA提供的,可以從應用 提供商管理平臺獲得���,該公鑰用于從安全域對應用提供商的證書進行認證�,可以由卡發(fā)行 商管理平臺在創(chuàng)建從安全域時導入到從安全域�。從安全域的公鑰和私鑰可以采用RSA算法 生成,公鑰和私鑰的長度選擇為1024bits�。 此外,應用提供商管理平臺和OTA服務器連接����,OTA服務器和移動通信網絡中的 GPRS/PDSN網關或者短信網管建立通信連接。OTA服務器可以通過數據業(yè)務或者短信的方 式和智能卡建立通信連接�����;從通信效率和安全性上考慮,在實施過程中���,優(yōu)選地��,可以采用 數據業(yè)務的方式�。采用數據業(yè)務通道實現OTA時����,智能卡和移動終端之間可以采用BIP通 信協(xié)議,移動終端通過TCP/IP協(xié)議和OTA服務器建立通信�。 可以看出�����,在本發(fā)明的密鑰分發(fā)系統(tǒng)中�����,在卡發(fā)行商管理平臺將從安全域的基本
信息和密鑰返回給應用提供商管理平臺后���,應用提供商管理平臺和從安全域之間重新進
行密鑰分發(fā)����,這時應用提供商管理平臺和智能卡之間的通信不再經過卡發(fā)行商管理平臺傳
輸,而是經過OTA服務器進行��,實現了對卡發(fā)行商管理平臺的隔離��,卡發(fā)行商管理平臺無法
獲得應用提供商從安全域在卡上生成的從安全域密鑰���,有效地保證了應用提供商從安全域
密鑰分發(fā)的安全性�����。 方法實施例 在本實施例中���,提供了一種密鑰分發(fā)方法,應用于包括應用提供商的應用提供商 管理平臺���、卡片發(fā)行商管理平臺����、和OTA服務器的移動通信系統(tǒng)���。
如圖3所示�����,根據本實施例的密鑰分發(fā)方法包括
步驟S302��,卡片發(fā)行商管理平臺通知應用提供商對應的從安全域在智能卡中生成 包括公密鑰和私密鑰的公私密鑰對�,接收從安全域經由OTA服務器返回的公密鑰,將用于 外部認證的可信任根公鑰導入到從安全域����,并向應用提供商管理平臺發(fā)送從安全域的信息 以及公密鑰; 步驟S304����,應用提供商管理平臺接收來自卡片發(fā)行商管理平臺的從安全域的信息 以及公密鑰,并根據從安全域的信息以及公密鑰通過OTA服務器選擇智能卡的從安全域���;
步驟S306,應用提供商管理平臺通過0TA服務器通知從安全域重新生成公密鑰和 私密鑰�����,根據從安全域返回的重新生成的公密鑰生成從安全域證書��,并通過OTA服務器將 從安全域證書發(fā)送到從安全域�,完成對從安全域密鑰的分發(fā)。 其中���,卡片發(fā)行商管理平臺通知從安全域生成公私密鑰對的處理具體為應用提 供商管理平臺判斷智能卡中是否存在對應于應用提供商的從安全域����;在判斷為是的情況 下,確定智能卡中已存在應用提供商的從安全域�����,并且不再進行安全域的創(chuàng)建和密鑰的分 發(fā)過程����;在判斷為否的情況下,應用提供商管理平臺通過卡片發(fā)行商管理平臺在智能卡上 創(chuàng)建從安全域�����,并通知創(chuàng)建的從安全域生成公私密鑰對�����。 具體地��,檢查(判斷)智能卡中是否存在屬于該應用提供商的從安全域��。檢查的 方法可以包括以下處理過程 應用提供商管理平臺通過OTA服務器向智能卡發(fā)送命令讀取智能卡的特征信息 ICCID���,然后應用提供商管理平臺根據ICCID在系統(tǒng)的已創(chuàng)建從安全域的智能卡數據庫中 檢索該智能卡是否已經創(chuàng)建自己的從安全域�����。 當應用提供商在每個智能卡上的從安全域的ID相同時��,應用提供商管理平臺可 以通過OTA服務器向智能卡發(fā)送SELECT報文���,報文中的對象參數為從安全域ID�����。如果智能 卡返回的SELECTRESPONSE中指示對應的從安全域不存在時�,可以判斷該智能卡上不存在 應用提供商的從安全域�����。 此外���,應用提供商管理平臺通過卡片發(fā)行商管理平臺在智能卡上創(chuàng)建從安全域的 具體處理可以為卡片發(fā)行商管理平臺通過應用提供商管理平臺與智能卡進行通信,通過 OTA服務器選擇智能卡的主安全域并通過OTA服務器與主安全域建立安全通道���;卡片發(fā)行 商管理平臺通過安全通道通知主安全域建立應用提供商對應的從安全域��;主安全域在智能 卡上建立從安全域��。 優(yōu)選地�,在應用提供商管理平臺接收卡片發(fā)行商管理平臺發(fā)送的從安全域的信息 以及公密鑰之后,該方法可進一步包括應用提供商管理平臺在其數據庫中記錄從安全域 的信息�。 此外����,在應用提供商管理平臺根據從安全域的信息以及公密鑰進行從安全域選擇 之后,該方法可進一步包括應用提供商管理平臺通過OTA服務器與從安全域建立安全信 道����。 最后,在應用提供商管理平臺通過OTA服務器將從安全域證書發(fā)送到從安全域之
后�,該方法可進一步包括從安全域將從安全域證書寫入到從安全域。 下面將結合具體應用實例描述根據本實施例的密鑰分發(fā)處理����。 圖4示出了根據本實施例的密鑰分發(fā)方法的處理實例的信令流程。如圖4所示���,
根據本實施例的應用提供商從安全域的創(chuàng)建和密鑰 發(fā)過程具體包括以下處理
(41)應用提供商管理平臺通過OTA服務器向智能卡發(fā)送命令讀取智能卡的特征 信息ICCID��,然后將智能卡特征信息ICCID發(fā)送給應用提供商管理平臺��。
(42)應用提供商管理平臺向卡發(fā)行商管理平臺發(fā)送從安全域創(chuàng)建請求����,在請求報 文中包括應用提供商ID(ASP_ID)和智能卡特征信息ICCID等。 (43)卡發(fā)行商管理平臺收到從安全域創(chuàng)建請求后�,驗證從安全域創(chuàng)建請求信息, 并確定是否允許該請求���??òl(fā)行商可以根據應用提供商的業(yè)務權限等確定是否允許通過應 用提供商管理平臺創(chuàng)建從安全域�����。 (44)卡發(fā)行商管理平臺確認可以通過應用提供商管理平臺創(chuàng)建從安全域后�����,根據 智能卡ICCID在管理平臺內部的數據庫中檢索到該智能卡的相關信息�����,包括智能卡主安全 域ID(ISD_ID)等���。 (45)卡發(fā)行商管理平臺通過應用提供商管理平臺及OTA服務器向智能卡發(fā)送 SELECT報文�����,選擇智能卡的主安全域�����。 (46)卡發(fā)行商管理平臺和智能卡主安全域按照GlobalPlatform Card Specification V2. 2附錄F Secure Channel Protocol ' 10'的要求建立SCP10安全信道�, 完成雙方的認證及對話密鑰的協(xié)商�。 (47)卡發(fā)行商管理平臺通向主安全域發(fā)送從安全域創(chuàng)建報文INSTALL[for Install]。主安全域按照報文創(chuàng)建從安全域��;完成創(chuàng)建后���,主安全域發(fā)送INSTALL Response 給卡發(fā)行商管理平臺�����。 (48)卡發(fā)行商管理平臺確認從安全域已創(chuàng)建后�,通知從安全域生成公私密鑰對���。
(49)從安全域通過調用卡上生成密鑰的接口產生公鑰和私鑰��,然后將公鑰返回給 卡發(fā)行商管理平臺��。 (50)卡發(fā)行商管理平臺通過PUT KEY報文將外部認證使用的信任根公鑰(One Public Key for Trust Point for ExternalAuthentication,PK. TP_EX. AUT)發(fā)送給智會g 卡主安全域�����。 (51)智能卡主安全域將從安全域的PK. TP_EX. AUT發(fā)送給從安全域��,從安全域進
行PK. TP_EX. AUT的設置�����,然后發(fā)送PUT KEYRESPONSE給卡發(fā)行商管理平臺��。 (52)卡發(fā)行商管理平臺將創(chuàng)建的從安全域的基本信息和從安全域的公鑰發(fā)送給
應用提供商管理平臺(步驟48至52對應于圖3中的步驟S304)��。 (53)應用提供商管理平臺在數據庫中添加從安全域的相關信息����。 (54)應用提供商管理平臺通過0TA服務器向智能卡發(fā)送SELECT報文,選擇由卡發(fā)
行商管理平臺創(chuàng)建的從安全域(步驟54對應于圖3中的步驟S304)���。 (55)應用提供商管理平臺和從安全域按照Global PlatformCard Specification
V2. 2附錄F Secure Channel Protocol ' 10'的要求建立SCPIO安全信道�����,完成從安全域對
應用提供商管理平臺的認證和對話密鑰的協(xié)商��。 (56)應用提供商管理平臺通知從安全域生成新的公鑰和私鑰���。 (57)從安全域通過調用卡上生成密鑰的接口重新產生從安全域的公鑰和私鑰,然
后將公鑰返回給應用提供商管理平臺��。 (58)應用提供商管理平臺將從安全域的公鑰和其他證書申請信息發(fā)給應用提供 商CA���,由CA簽發(fā)從安全域的證書�。
(59)應用提供商管理平臺通過PUT KEY報文���,將從安全域證書發(fā)送給從安全域 (步驟56�����、57�����、58�、59對應于圖3中的步驟S306)��。 (60)從安全域使用對話密鑰對報文進行解密,獲得從安全域證書后�����,安裝從安全 域的證書����;從安全域發(fā)送PUT KEY Response給應用提供商管理平臺。 并且��,在上述步驟完成后���,應用提供商管理平臺和從安全域之間可以繼續(xù)進行電 子支付應用的下載和安裝等過程����。 綜上所述��,借助于本發(fā)明的技術方案�����,在卡發(fā)行商管理平臺將從安全域的基本信 息和密鑰返回給應用提供商管理平臺后�����,應用提供商管理平臺和從安全域之間重新進行密 鑰分發(fā),并且應用提供商管理平臺和智能卡之間通過OTA服務器進行通信而不再經過卡發(fā) 行商管理平臺�����,從而有效實現了對卡發(fā)行商管理平臺的隔離����,避免了卡發(fā)行商管理平臺能 夠獲得應用提供商從安全域在卡上生成的從安全域密鑰導致密鑰傳輸存在安全隱患的問 題��,有效地保證了應用提供商從安全域密鑰分發(fā)的安全性���。 以上所述僅為本發(fā)明的優(yōu)選實施例而已�����,并不用于限制本發(fā)明��,對于本領域的技 術人員來說�����,本發(fā)明可以有各種更改和變化���。凡在本發(fā)明的精神和原則之內�����,所作的任何修 改���、等同替換、改進等��,均應包含在本發(fā)明的保護范圍之內�����。
權利要求
一種密鑰分發(fā)方法���,應用于包括應用提供商的應用提供商管理平臺�����、卡片發(fā)行商管理平臺�����、和OTA服務器的移動通信系統(tǒng)���,其特征在于�����,所述方法包括所述卡片發(fā)行商管理平臺通知所述應用提供商對應的從安全域在所述智能卡中生成包括公密鑰和私密鑰的公私密鑰對���,接收所述從安全域經由所述OTA服務器返回的所述公密鑰,將用于外部認證的可信任根公鑰導入到所述從安全域���,并向應用提供商管理平臺發(fā)送所述從安全域的信息以及所述公密鑰����;應用提供商管理平臺接收來自所述卡片發(fā)行商管理平臺的所述從安全域的信息以及所述公密鑰��,并根據所述從安全域的信息以及所述公密鑰通過所述OTA服務器選擇所述智能卡的從安全域����;所述應用提供商管理平臺通過所述OTA服務器通知所述從安全域重新生成公密鑰和私密鑰�,根據所述從安全域返回的重新生成的所述公密鑰生成從安全域證書,并通過所述OTA服務器將所述從安全域證書發(fā)送到所述從安全域��,完成對所述從安全域密鑰的分發(fā)��。
2. 根據權利要求1所述的方法�����,其特征在于,所述卡片發(fā)行商管理平臺通知所述從安 全域生成所述公私密鑰對的處理具體為所述應用提供商管理平臺判斷所述智能卡中是否存在對應于所述應用提供商的從安 全域�����;在判斷為是的情況下��,確定智能卡中已存在所述應用提供商的從安全域�����,并且不再進 行安全域的創(chuàng)建和密鑰的分發(fā)過程�����;在判斷為否的情況下��,所述應用提供商管理平臺通過所述卡片發(fā)行商管理平臺在所述 智能卡上創(chuàng)建所述從安全域���,并通知創(chuàng)建的所述從安全域生成所述公私密鑰對����。
3. 根據權利要求2所述的方法�����,其特征在于,所述應用提供商管理平臺通過所述卡片 發(fā)行商管理平臺在所述智能卡上創(chuàng)建所述從安全域的具體處理為所述卡片發(fā)行商管理平臺通過所述應用提供商管理平臺與所述智能卡進行通信����,通過 所述OTA服務器選擇所述智能卡的主安全域并通過所述OTA服務器與所述主安全域建立安 全通道;所述卡片發(fā)行商管理平臺通過所述安全通道通知所述主安全域建立所述應用提供商 對應的從安全域�����;所述主安全域在所述智能卡上建立所述從安全域��。
4. 根據權利要求1所述的方法�,其特征在于,在所述應用提供商管理平臺接收所述卡 片發(fā)行商管理平臺發(fā)送的所述從安全域的信息以及所述公密鑰之后��,所述方法進一步包 括所述應用提供商管理平臺在其數據庫中記錄所述從安全域的信息�。
5. 根據權利要求1所述的方法���,其特征在于�����,在所述應用提供商管理平臺根據所述從 安全域的信息以及所述公密鑰進行所述從安全域選擇之后��,所述方法進一步包括所述應用提供商管理平臺通過所述OTA服務器與所述從安全域建立安全信道��。
6. 根據權利要求1所述的方法�����,其特征在于�,在所述應用提供商管理平臺通過所述OTA 服務器將所述從安全域證書發(fā)送到所述從安全域之后,所述方法進一步包括所述從安全域將所述從安全域證書寫入到所述從安全域�。
7. —種密鑰分發(fā)系統(tǒng),其特征在于���,包括卡片發(fā)行商管理平臺�,包括第一通知模塊����,用于在智能卡中對應于應用提供商的從安全域被創(chuàng)建后,通過OTA服 務器通知所述從安全域在所述智能卡中生成包括公密鑰和私密鑰的公私密鑰對�����; 第一接收模塊��,用于通過所述OTA服務器接收所述從安全域返回的所述公密鑰; 導入模塊�,用于通過所述OTA服務器將用于外部認證的可信任根公鑰導入到所述從安 全域;第一發(fā)送模塊���,用于在所述導入模塊將所述可信任根公鑰導入之后將所述從安全域的 信息和所述公密鑰發(fā)送給應用提供商管理平臺����; 所述應用提供商管理平臺��,包括第二接收模塊����,用于接收來自所述卡片發(fā)行商管理平臺的所述從安全域的信息以及所 述公密鑰;選擇模塊���,用于根據所述從安全域的信息以及所述公密鑰通過所述OTA服務器選擇所 述智能卡的從安全域��;第二通知模塊�����,用于通過所述OTA服務器通知所述從安全域重新生成公密鑰和私密鑰;生成模塊���,用于根據所述從安全域經由所述OTA服務器返回的重新生成的公密鑰生成 從安全域證書����;第二發(fā)送模塊,用于通過將所述從安全域證書經由所述OTA服務器發(fā)送到所述從安全 域��,完成對所述從安全域密鑰的分發(fā)����;所述OTA服務器,連接至所述卡片發(fā)行商管理平臺�����、所述應用提供商管理平臺��,用于實 現所述卡片發(fā)行商管理平臺與所述智能卡之間的通信�、實現所述應用提供商管理平臺與所 述智能卡之間的通信;所述智能卡����,位于移動終端,包括所述從安全域���,其中���,所述從安全域用于生成所述公 私密鑰對���,并通過所述OTA服務器向所述卡片發(fā)行商管理平臺返回所述公密鑰,在所述應 用提供商管理平臺通知所述從安全域重新生成公密鑰和私密鑰的情況下�����,重新生成公密鑰 和私密鑰��,并通過所述OTA服務器向所述應用提供商管理平臺返回重新生成的所述公密 鑰�����,以及通過所述OTA服務器接收所述應用提供商管理平臺發(fā)送的所述從安全域證書����。
8. 根據權利要求7所述的系統(tǒng),其特征在于���,所述應用提供商管理平臺進一步包括 判斷模塊�����,用于判斷所述智能卡中是否存在對應于所述應用提供商的從安全域�; 創(chuàng)建模塊��,用于在所述判斷模塊判斷為否的情況下�,通過所述卡片發(fā)行商管理平臺在所述智能卡上創(chuàng)建所述從安全域。
9. 根據權利要求7所述的系統(tǒng)�,其特征在于,所述應用提供商管理平臺進一步包括 數據庫���,用于在所述應用提供商管理平臺接收到所述卡片發(fā)行商管理平臺發(fā)送的所述從安全域的信息以及所述公密鑰之后�����,記錄所述從安全域的信息�。
10. 根據權利要求7所述的系統(tǒng)����,其特征在于,所述應用提供商管理平臺進一步包括 建立模塊��,用于在根據所述從安全域的信息以及所述公密鑰通過所述OTA服務器選擇所述智能卡的從安全域之后��,經由所述OTA服務器與所述從安全域建立安全信道��。
全文摘要
本發(fā)明公開了一種密鑰分發(fā)方法和系統(tǒng)����,該方法包括卡片發(fā)行商管理平臺通知應用提供商對應的從安全域在智能卡中生成包括公密鑰和私密鑰的公私密鑰對�,接收從安全域經由OTA服務器返回的公密鑰����,將用于外部認證的可信任根公鑰導入到從安全域,并向應用提供商管理平臺發(fā)送從安全域的信息以及公密鑰���;應用提供商管理平臺接收從安全域的信息以及公密鑰�����,并根據從安全域的信息以及公密鑰通過OTA服務器選擇智能卡的從安全域�����;應用提供商管理平臺通過OTA服務器通知從安全域重新生成公密鑰和私密鑰���,根據從安全域返回的重新生成的公密鑰生成從安全域證書,并通過OTA服務器將從安全域證書發(fā)送到從安全域�����,完成對從安全域密鑰的分發(fā)�。
文檔編號H04L29/08GK101729245SQ20081017191
公開日2010年6月9日 申請日期2008年10月24日 優(yōu)先權日2008年10月24日
發(fā)明者余萬濤, 賈倩, 馬景旺 申請人:中興通訊股份有限公司