密鑰的情況，由卡發(fā)行商管理平臺(tái)經(jīng)卡發(fā)行商業(yè)務(wù)終端，或應(yīng)用提供商管理平臺(tái)經(jīng)應(yīng)用提供商業(yè)務(wù)終端將從安全域密鑰安全導(dǎo)入智能卡從安全域，實(shí)現(xiàn)智能卡從安全域密鑰的安全更新分發(fā)。
[0114]本發(fā)明還可有其他多種實(shí)施例，在不背離本發(fā)明精神及其實(shí)質(zhì)的情況下，熟悉本領(lǐng)域的技術(shù)人員當(dāng)可根據(jù)本發(fā)明做出各種相應(yīng)的改變和變形，這些相應(yīng)的改變和變形都應(yīng)屬于本發(fā)明所附的權(quán)利要求的保護(hù)范圍。
【主權(quán)項(xiàng)】
1.一種智能卡從安全域密鑰更新方法，其特征在于，基于移動(dòng)終端電子支付系統(tǒng)實(shí)現(xiàn)，所述移動(dòng)終端電子支付系統(tǒng)包括具有電子支付應(yīng)用功能的智能卡、應(yīng)用提供商業(yè)務(wù)終端、應(yīng)用提供商管理平臺(tái)和卡發(fā)行商管理平臺(tái)，所述智能卡直接通過所述應(yīng)用提供商業(yè)務(wù)終端與所述應(yīng)用提供商管理平臺(tái)連接，所述應(yīng)用提供商管理平臺(tái)與所述卡發(fā)行商管理平臺(tái)通過專線連接，所述應(yīng)用提供商管理平臺(tái)管理智能卡的從安全域；所述方法包括: 用戶觸發(fā)應(yīng)用下載申請(qǐng)，向所述應(yīng)用提供商管理平臺(tái)提交應(yīng)用下載申請(qǐng)； 所述應(yīng)用提供商管理平臺(tái)向所述卡發(fā)行商管理平臺(tái)提交從安全域創(chuàng)建請(qǐng)求信息；所述卡發(fā)行商管理平臺(tái)經(jīng)由應(yīng)用提供商管理平臺(tái)和應(yīng)用提供商業(yè)務(wù)終端向智能卡主安全域發(fā)送從安全域初始密鑰，所述智能卡主安全域用所述從安全域初始密鑰初始化從安全域； 所述卡發(fā)行商管理平臺(tái)將從安全域的控制權(quán)轉(zhuǎn)交給所述應(yīng)用提供商管理平臺(tái)，所述應(yīng)用提供商管理平臺(tái)更新智能卡從安全域的初始密鑰。2.如權(quán)利要求1所述的方法，其特征在于，其中，所述經(jīng)由應(yīng)用提供商管理平臺(tái)和應(yīng)用提供商業(yè)務(wù)終端向智能卡主安全域發(fā)送從安全域初始密鑰，所述智能卡主安全域用所述從安全域初始密鑰初始化從安全域，具體包括: 所述卡發(fā)行商管理平臺(tái)與智能卡主安全域經(jīng)由所述應(yīng)用提供商管理平臺(tái)和應(yīng)用提供商業(yè)務(wù)終端建立安全通信信道； 所述卡發(fā)行商管理平臺(tái)通過所述安全通信信道向智能卡發(fā)送INSTALL命令； 所述智能卡通過所述安全通信信道向卡發(fā)行商管理平臺(tái)提交INSTALL命令響應(yīng)； 所述卡發(fā)行商管理平臺(tái)生成從安全域初始密鑰； 所述卡發(fā)行商管理平臺(tái)利用PUTKEY命令，通過所述安全通信信道向智能卡主安全域發(fā)送所述從安全域初始密鑰； 所述智能卡主安全域用接收到的所述從安全域初始密鑰初始化從安全域； 所述智能卡主安全域通過所述安全通信信道向卡發(fā)行商管理平臺(tái)發(fā)送PUTKEY命令響應(yīng)。3.如權(quán)利要求2所述的方法，其特征在于，其中，所述卡發(fā)行商管理平臺(tái)與智能卡主安全域經(jīng)由所述應(yīng)用提供商管理平臺(tái)和應(yīng)用提供商業(yè)務(wù)終端建立安全通信信道，具體包括: 所述卡發(fā)行商管理平臺(tái)經(jīng)由所述應(yīng)用提供商管理平臺(tái)和應(yīng)用提供商業(yè)務(wù)終端向智能卡發(fā)送SELECT命令報(bào)文，選擇主安全域； 所述智能卡經(jīng)由所述應(yīng)用提供商業(yè)務(wù)終端和應(yīng)用提供商管理平臺(tái)向卡發(fā)行商管理平臺(tái)提交SELECT命令響應(yīng)報(bào)文； 所述卡發(fā)行商管理平臺(tái)與智能卡主安全域經(jīng)由所述應(yīng)用提供商管理平臺(tái)和應(yīng)用提供商業(yè)務(wù)終端建立安全通信信道；所述建立安全通信信道具體為:所述卡發(fā)行商管理平臺(tái)與智能卡主安全域之間進(jìn)行互認(rèn)證，進(jìn)行互認(rèn)證后，建立起用于兩者之間通信加密的臨時(shí)會(huì)話密鑰。4.如權(quán)利要求1所述的方法，其特征在于，其中，所述卡發(fā)行商管理平臺(tái)將從安全域的控制權(quán)轉(zhuǎn)交給所述應(yīng)用提供商管理平臺(tái)，所述應(yīng)用提供商管理平臺(tái)更新從安全域的初始密鑰，具體包括: 所述卡發(fā)行商管理平臺(tái)向應(yīng)用提供商管理平臺(tái)發(fā)送從安全域基本信息和從安全域初始密鑰； 所述應(yīng)用提供商管理平臺(tái)在數(shù)據(jù)庫(kù)中添加所述從安全域相關(guān)信息； 所述應(yīng)用提供商管理平臺(tái)經(jīng)由所述應(yīng)用提供商業(yè)務(wù)終端向智能卡發(fā)送SELECT命令報(bào)文，選擇從安全域； 所述智能卡經(jīng)由所述應(yīng)用提供商業(yè)務(wù)終端向應(yīng)用提供商提交SELECT命令響應(yīng)； 所述應(yīng)用提供商管理平臺(tái)與智能卡從安全域建立安全通信信道，將生成的新的從安全域密鑰通過所述安全通信信道發(fā)送給智能卡從安全域，所述智能卡從安全域完成對(duì)從安全域初始密鑰的更新操作。5.如權(quán)利要求4所述的方法，其特征在于，其中，所述應(yīng)用提供商管理平臺(tái)與智能卡從安全域建立安全通信信道，將生成的新的從安全域密鑰通過所述安全通信信道發(fā)送給智能卡從安全域，所述智能卡從安全域完成對(duì)從安全域初始密鑰的更新操作，具體包括: 所述應(yīng)用提供商管理平臺(tái)經(jīng)由所述應(yīng)用提供商業(yè)務(wù)終端與智能卡從安全域建立安全通信信道；所述建立安全通信信道具體為:所述應(yīng)用提供商管理平臺(tái)與智能卡從安全域之間進(jìn)行互認(rèn)證，進(jìn)行互認(rèn)證后，建立起用于兩者之間通信加密的臨時(shí)會(huì)話密鑰； 所述應(yīng)用提供商管理平臺(tái)生成新的從安全域密鑰； 所述應(yīng)用提供商管理平臺(tái)利用PUTKEY命令，通過所述安全通信信道向智能卡從安全域發(fā)送新的從安全域密鑰； 所述智能卡從安全域接收到新的從安全域密鑰后，完成對(duì)從安全域初始密鑰的更新操作； 所述智能卡從安全域通過所述安全通信信道向應(yīng)用提供商管理平臺(tái)發(fā)送PUTKEY命令響應(yīng)。6.一種電子支付系統(tǒng)，其特征在于，包括具有電子支付應(yīng)用功能的智能卡、應(yīng)用提供商業(yè)務(wù)終端、應(yīng)用提供商管理平臺(tái)和卡發(fā)行商管理平臺(tái)，所述智能卡直接通過所述應(yīng)用提供商業(yè)務(wù)終端與所述應(yīng)用提供商管理平臺(tái)連接，所述應(yīng)用提供商管理平臺(tái)與所述卡發(fā)行商管理平臺(tái)通過專線連接，所述應(yīng)用提供商管理平臺(tái)管理智能卡的從安全域；其中， 所述應(yīng)用提供商管理平臺(tái)，用于接收用戶提交的應(yīng)用下載申請(qǐng)，向所述卡發(fā)行商管理平臺(tái)提交從安全域創(chuàng)建請(qǐng)求信息；還用于更新智能卡從安全域的初始密鑰； 所述卡發(fā)行商管理平臺(tái)，用于經(jīng)由應(yīng)用提供商管理平臺(tái)和應(yīng)用提供商業(yè)務(wù)終端向智能卡主安全域發(fā)送從安全域初始密鑰；還用于將從安全域的控制權(quán)轉(zhuǎn)交給所述應(yīng)用提供商管理平臺(tái)； 所述智能卡，用于接收所述卡發(fā)行商管理平臺(tái)發(fā)送的從安全域初始密鑰，初始化從安全域。7.如權(quán)利要求6所述的系統(tǒng)，其特征在于: 所述卡發(fā)行商管理平臺(tái)，用于與智能卡主安全域經(jīng)由所述應(yīng)用提供商管理平臺(tái)和應(yīng)用提供商業(yè)務(wù)終端建立安全通信信道，通過所述安全通信信道向智能卡發(fā)送INSTALL命令；還用于生成從安全域初始密鑰，利用PUTKEY命令，通過所述安全通信信道向智能卡主安全域發(fā)送所述從安全域初始密鑰； 所述智能卡，用于通過所述安全通信信道向卡發(fā)行商管理平臺(tái)提交INSTALL命令響應(yīng)；還用于用接收到的所述從安全域初始密鑰初始化從安全域；還用于通過所述安全通信信道向卡發(fā)行商管理平臺(tái)發(fā)送PUTKEY命令響應(yīng)。8.如權(quán)利要求7所述的系統(tǒng)，其特征在于: 所述卡發(fā)行商管理平臺(tái)，用于經(jīng)由所述應(yīng)用提供商管理平臺(tái)和應(yīng)用提供商業(yè)務(wù)終端向智能卡發(fā)送SELECT命令報(bào)文，選擇主安全域；還用于與智能卡主安全域經(jīng)由所述應(yīng)用提供商管理平臺(tái)和應(yīng)用提供商業(yè)務(wù)終端建立安全通信信道；所述建立安全通信信道具體為:所述卡發(fā)行商管理平臺(tái)與智能卡主安全域之間進(jìn)行互認(rèn)證，進(jìn)行互認(rèn)證后，建立起用于兩者之間通信加密的臨時(shí)會(huì)話密鑰； 所述智能卡，用于經(jīng)由所述應(yīng)用提供商業(yè)務(wù)終端和應(yīng)用提供商管理平臺(tái)向卡發(fā)行商管理平臺(tái)提交SELECT命令響應(yīng)報(bào)文。9.如權(quán)利要求6所述的系統(tǒng)，其特征在于: 所述卡發(fā)行商管理平臺(tái)，用于向應(yīng)用提供商管理平臺(tái)發(fā)送從安全域基本信息和從安全域初始密鑰； 所述應(yīng)用提供商管理平臺(tái)，用于在數(shù)據(jù)庫(kù)中添加所述從安全域相關(guān)信息；還用于經(jīng)由所述應(yīng)用提供商業(yè)務(wù)終端向智能卡發(fā)送SELECT命令報(bào)文，選擇從安全域；還用于與智能卡從安全域建立安全通信信道，將生成的新的從安全域密鑰通過所述安全通信信道發(fā)送給智能卡從安全域； 所述智能卡，用于經(jīng)由所述應(yīng)用提供商業(yè)務(wù)終端向應(yīng)用提供商提交SELECT命令響應(yīng)；還用于完成對(duì)智能卡從安全域初始密鑰的更新操作。10.如權(quán)利要求7所述的系統(tǒng)，其特征在于: 所述應(yīng)用提供商管理平臺(tái)，用于經(jīng)由所述應(yīng)用提供商業(yè)務(wù)終端與智能卡從安全域建立安全通信信道；所述建立安全通信信道具體為:所述應(yīng)用提供商管理平臺(tái)與智能卡從安全域之間進(jìn)行互認(rèn)證，進(jìn)行互認(rèn)證后，建立起用于兩者之間通信加密的臨時(shí)會(huì)話密鑰；還用于生成新的從安全域密鑰，利用PUTKEY命令，通過所述安全通信信道向智能卡從安全域發(fā)送新的從安全域密鑰； 所述智能卡，用于接收到新的從安全域密鑰后，完成對(duì)從安全域初始密鑰的更新操作；還用于通過所述安全通信信道向應(yīng)用提供商管理平臺(tái)發(fā)送PUTKEY命令響應(yīng)。
【專利摘要】本發(fā)明提供了一種智能卡從安全域密鑰更新方法以及電子支付系統(tǒng)。智能卡從安全域密鑰更新方法包括：用戶觸發(fā)應(yīng)用下載申請(qǐng)，向應(yīng)用提供商管理平臺(tái)提交應(yīng)用下載申請(qǐng)；應(yīng)用提供商管理平臺(tái)向卡發(fā)行商管理平臺(tái)提交從安全域創(chuàng)建請(qǐng)求信息；卡發(fā)行商管理平臺(tái)經(jīng)由應(yīng)用提供商管理平臺(tái)和應(yīng)用提供商業(yè)務(wù)終端向智能卡主安全域發(fā)送從安全域初始密鑰，智能卡主安全域用從安全域初始密鑰初始化從安全域；卡發(fā)行商管理平臺(tái)將從安全域的控制權(quán)轉(zhuǎn)交給應(yīng)用提供商管理平臺(tái)，應(yīng)用提供商管理平臺(tái)更新智能卡從安全域的初始密鑰。本發(fā)明實(shí)現(xiàn)了通過安全通信通道將新的從安全域密鑰發(fā)送給智能卡從安全域，以更新從安全域密鑰。
【IPC分類】G06Q20/40, H04L29/06, G06Q20/38, H04W12/04, G06F21/34
【公開號(hào)】CN105303377
【申請(qǐng)?zhí)枴緾N201510655668
【發(fā)明人】余萬濤, 馬景旺, 賈倩
【申請(qǐng)人】中興通訊股份有限公司
【公開日】2016年2月3日
【申請(qǐng)日】2008年11月10日
【公告號(hào)】CN101742479A, WO2010051716A1