專利名稱:一種通過(guò)密鑰進(jìn)行智能卡應(yīng)用的方法和裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信技術(shù)領(lǐng)域����,尤其涉及一種通過(guò)密鑰進(jìn)行智能卡應(yīng)用的方法和裝置。
背景技術(shù):
目前移動(dòng)通信領(lǐng)域的增值業(yè)務(wù)不斷發(fā)展��,出現(xiàn)了大量的增值業(yè)務(wù)(如飛信���、音樂(lè) 下載等)����,這些業(yè)務(wù)的交互主要是在終端客戶端和業(yè)務(wù)平臺(tái)間的交互���。隨著手機(jī)上用戶卡 的發(fā)展如�,SIM (Subscriber Identity Module����,用戶身份識(shí)別模塊)卡、USIM (Universal Subscriber Identity Module,全球用戶識(shí)別模塊)卡�����,SIM卡上也可以承載很多卡應(yīng)用�����, 這些卡應(yīng)用于業(yè)務(wù)平臺(tái)間交互��,提供增值服務(wù)�,例如手機(jī)票刷卡,用戶卡空中下載應(yīng)用���,移 動(dòng)簽名卡應(yīng)用等相關(guān)業(yè)務(wù)類型�����?�?☉?yīng)用與業(yè)務(wù)平臺(tái)的交互主要通過(guò)數(shù)據(jù)短信����、或者依賴于密鑰創(chuàng)建設(shè)備提供的 BIP通道與平臺(tái)建立PS(Packet Switching����,分組交換)域連接的方式進(jìn)行交互��,例如 GPRS (General Packet Radio Service��,通用分組無(wú)線服務(wù)技術(shù))�、EDGE (Enhanced Data Rate for Global System for Mobile Communications Evolution,il^M^SI^^^it 移動(dòng)通信系統(tǒng)演進(jìn)技術(shù))等����。為了保護(hù)卡應(yīng)用于業(yè)務(wù)平臺(tái)間的業(yè)務(wù)交互的安全��,主要采用以下三種安全機(jī)制一�����、卡應(yīng)用預(yù)共享密鑰的機(jī)制即分別在卡應(yīng)用和業(yè)務(wù)平臺(tái)上預(yù)置共享密鑰���,卡應(yīng)用與業(yè)務(wù)平臺(tái)交互時(shí)��,用該共 享密鑰實(shí)現(xiàn)與業(yè)務(wù)平臺(tái)的安全交互�。二����、卡應(yīng)用采用非對(duì)稱密鑰即給卡應(yīng)用頒發(fā)非對(duì)稱密鑰���,卡應(yīng)用于業(yè)務(wù)平臺(tái)的交互采用非對(duì)稱密碼機(jī)制實(shí) 現(xiàn)。三�、利用密鑰創(chuàng)建設(shè)備的處理能力相比卡,密鑰創(chuàng)建設(shè)備的處理能力要強(qiáng)的多��,密鑰創(chuàng)建設(shè)備接收業(yè)務(wù)平臺(tái)發(fā)送的 密文消息�,進(jìn)行處理后明文轉(zhuǎn)發(fā)給卡應(yīng)用,卡應(yīng)用的響應(yīng)由密鑰創(chuàng)建設(shè)備安全處理后再轉(zhuǎn) 發(fā)給業(yè)務(wù)平臺(tái)����。針對(duì)現(xiàn)有技術(shù)方案,在實(shí)現(xiàn)本發(fā)明的過(guò)程中���,發(fā)明人發(fā)現(xiàn)現(xiàn)有技術(shù)方案至少存在 以下問(wèn)題對(duì)于第一種安全機(jī)制�����,由于運(yùn)營(yíng)商的用戶基數(shù)較大����,因此業(yè)務(wù)平臺(tái)需要維護(hù)一個(gè) 非常龐大的卡應(yīng)用密鑰管理數(shù)據(jù)庫(kù)�����,對(duì)于業(yè)務(wù)平臺(tái)來(lái)說(shuō)負(fù)擔(dān)較重,而對(duì)于已發(fā)行的存量的 卡��,無(wú)法安全的預(yù)置該共享密鑰����,因此無(wú)法保證卡應(yīng)用的安全,并且若卡上有若干卡應(yīng)用�����, 為了對(duì)各卡應(yīng)用進(jìn)行安全隔離����,必然導(dǎo)致卡應(yīng)用分別采用不同的共享密鑰�����,那么網(wǎng)絡(luò)上會(huì) 存在多個(gè)密鑰管理系統(tǒng)�����,導(dǎo)致重復(fù)建設(shè)問(wèn)題��。對(duì)于第二種安全機(jī)制���,由于卡的處理能力有限�,執(zhí)行非對(duì)稱密碼算法的效率較低, 因此會(huì)影響用戶感受�����,采用非對(duì)稱算法的密鑰協(xié)商機(jī)制會(huì)導(dǎo)致交互數(shù)據(jù)較大��,一般來(lái)說(shuō)數(shù)據(jù)短信最長(zhǎng)只有140字節(jié)�����,如果發(fā)送的數(shù)據(jù)較多���,需要通過(guò)多個(gè)數(shù)據(jù)短信下發(fā)���,如果通過(guò)多 個(gè)數(shù)據(jù)短信下發(fā)可能會(huì)出現(xiàn)較為嚴(yán)重的延遲,影響用戶感受�����。對(duì)于第三種安全機(jī)制��,密鑰創(chuàng)建設(shè)備與卡的接口目前是沒(méi)有任何安全保護(hù)的�,因 此密鑰創(chuàng)建設(shè)備成為安全瓶頸��,并且該技術(shù)方案依賴于密鑰創(chuàng)建設(shè)備的支持�����,影響卡應(yīng)用 的開(kāi)展�。
發(fā)明內(nèi)容
本發(fā)明實(shí)施例提供了一種通過(guò)密鑰進(jìn)行智能卡應(yīng)用的方法和裝置���,引入密鑰管理 設(shè)備(Key Management Function, KMF)�,并重用卡中的鑒權(quán)密鑰Ki�,進(jìn)行安全交互后,使得 各卡應(yīng)用與業(yè)務(wù)平臺(tái)分別共享安全密鑰����。為達(dá)到上述目的����,本發(fā)明實(shí)施例一方面提供了一種通過(guò)密鑰進(jìn)行智能卡應(yīng)用的方 法,包括以下步驟密鑰管理設(shè)備接收業(yè)務(wù)平臺(tái)發(fā)送的智能卡應(yīng)用的密鑰生成請(qǐng)求��,所述密鑰生成請(qǐng) 求中包含所述智能卡應(yīng)用所對(duì)應(yīng)的用戶標(biāo)識(shí)信息和所述業(yè)務(wù)平臺(tái)的標(biāo)識(shí)信息���;所述密鑰管理設(shè)備根據(jù)所述密鑰生成請(qǐng)求中所包含的所述智能卡應(yīng)用所對(duì)應(yīng)的 用戶標(biāo)識(shí)信息����,向歸屬位置寄存器HLR獲取所述智能卡的鑒權(quán)信息;所述密鑰管理設(shè)備根據(jù)所述智能卡的鑒權(quán)信息���,以及所述密鑰生成請(qǐng)求中所包含 的所述智能卡應(yīng)用所對(duì)應(yīng)的用戶標(biāo)識(shí)信息和所述業(yè)務(wù)平臺(tái)的標(biāo)識(shí)信息�����,按照預(yù)設(shè)的密鑰生 成算法計(jì)算所述智能卡應(yīng)用所對(duì)應(yīng)的密鑰和相應(yīng)的密鑰更新參數(shù)����;所述密鑰管理設(shè)備將所述智能卡應(yīng)用所對(duì)應(yīng)的密鑰和相應(yīng)的密鑰更新參數(shù)發(fā)送 給所述業(yè)務(wù)平臺(tái)���,并由所述業(yè)務(wù)平臺(tái)將所述密鑰更新參數(shù)發(fā)送給所述智能卡應(yīng)用所對(duì)應(yīng)的 智能卡���,使所述智能卡根據(jù)所述密鑰更新參數(shù)按照預(yù)設(shè)的密鑰生成算法計(jì)算并驗(yàn)證所述智 能卡應(yīng)用所對(duì)應(yīng)的密鑰,在所述密鑰驗(yàn)證成功后����,所述智能卡與所述業(yè)務(wù)平臺(tái)根據(jù)所述密 鑰實(shí)現(xiàn)所述智能卡應(yīng)用。優(yōu)選的����,所述密鑰管理設(shè)備所接收到的業(yè)務(wù)平臺(tái)發(fā)送的智能卡應(yīng)用的密鑰生成請(qǐng) 求的觸發(fā)方式�,具體包括所述業(yè)務(wù)平臺(tái)接收到所述智能卡應(yīng)用所對(duì)應(yīng)的終端發(fā)送的包含用戶標(biāo)識(shí)信息的 密鑰生成請(qǐng)求����,并在判斷所述用戶標(biāo)識(shí)信息合法的情況下,向所述密鑰管理設(shè)備發(fā)送所述 智能卡應(yīng)用的密鑰生成請(qǐng)求�����;或��,當(dāng)所述業(yè)務(wù)平臺(tái)需要向智能卡應(yīng)用發(fā)送消息時(shí)���,所述業(yè)務(wù)平臺(tái)直接向所述密鑰管 理設(shè)備發(fā)送所述智能卡應(yīng)用的密鑰生成請(qǐng)求����。優(yōu)選的���,所述業(yè)務(wù)平臺(tái)向所述密鑰管理設(shè)備發(fā)送所述智能卡應(yīng)用的密鑰生成請(qǐng)求 之前,還包括所述業(yè)務(wù)平臺(tái)判斷當(dāng)前是否存在與所述智能卡應(yīng)用相對(duì)應(yīng)的可用密鑰�����;如果所述業(yè)務(wù)平臺(tái)判斷當(dāng)前存在與所述智能卡應(yīng)用相對(duì)應(yīng)的可用密鑰,則直接根 據(jù)所述密鑰實(shí)現(xiàn)所述智能卡業(yè)務(wù)�����;如果所述業(yè)務(wù)平臺(tái)判斷當(dāng)前不存在與所述智能卡應(yīng)用相對(duì)應(yīng)的可用密鑰���,則向所 述密鑰管理設(shè)備發(fā)送所述智能卡應(yīng)用的密鑰生成請(qǐng)求����。優(yōu)選的�,所述密鑰管理設(shè)備根據(jù)所述密鑰生成請(qǐng)求中所包含的所述智能卡應(yīng)用所對(duì)應(yīng)的用戶標(biāo)識(shí)信息,向HLR獲取的所述智能卡的鑒權(quán)信息���,具體為當(dāng)所述智能卡應(yīng)用所對(duì)應(yīng)的智能卡具體為用戶識(shí)別卡SIM時(shí)�,所述智能卡的鑒權(quán) 信息具體為包含隨機(jī)數(shù)RAND���、預(yù)期響應(yīng)RES和加密密鑰Kc的三元組信息��;當(dāng)所述智能卡應(yīng)用所對(duì)應(yīng)的智能卡具體為全球用戶識(shí)別卡USIM時(shí)����,所述智能卡 的鑒權(quán)信息具體為包含隨機(jī)數(shù)RAND���、鑒權(quán)標(biāo)記AUTN�、預(yù)期響應(yīng)RES、加密密鑰CK和完整性檢 測(cè)密鑰IK的五元組信息��。優(yōu)選的�,所述密鑰管理設(shè)備將所述智能卡應(yīng)用所對(duì)應(yīng)的密鑰和相應(yīng)的密鑰更新參 數(shù)發(fā)送給所述業(yè)務(wù)平臺(tái),并由所述業(yè)務(wù)平臺(tái)將所述密鑰更新參數(shù)發(fā)送給所述智能卡應(yīng)用所 對(duì)應(yīng)的智能卡�����,具體包括所述密鑰管理設(shè)備將所述智能卡應(yīng)用所對(duì)應(yīng)的密鑰和相應(yīng)的密鑰更新參數(shù)通過(guò) 安全通道發(fā)送給所述業(yè)務(wù)平臺(tái)���,所述業(yè)務(wù)平臺(tái)保存所述智能卡應(yīng)用所對(duì)應(yīng)的密鑰��;所述業(yè)務(wù)平臺(tái)通過(guò)數(shù)據(jù)短信或GPRS的方式將所述密鑰更新參數(shù)發(fā)送給所述智能 卡應(yīng)用所對(duì)應(yīng)的終端��,所述終端直接將所述密鑰更新參數(shù)發(fā)送給相應(yīng)的智能卡���。優(yōu)選的,所述智能卡根據(jù)所述密鑰更新參數(shù)按照預(yù)設(shè)的密鑰生成算法計(jì)算并驗(yàn)證 所述智能卡應(yīng)用所對(duì)應(yīng)的密鑰���,具體為所述智能卡根據(jù)已有的鑒權(quán)密鑰計(jì)算所述智能卡的鑒權(quán)信息�����;所述智能卡根據(jù)所述智能卡的鑒權(quán)信息��、自身的用戶標(biāo)識(shí)信息和所述智能卡應(yīng)用 所對(duì)應(yīng)的業(yè)務(wù)平臺(tái)標(biāo)識(shí)信息����,按照預(yù)設(shè)的密鑰生成算法計(jì)算所述智能卡應(yīng)用所對(duì)應(yīng)的密 鑰�;所述智能卡根據(jù)所述密鑰更新參數(shù)驗(yàn)證所述密鑰。優(yōu)選的����,在所述密鑰驗(yàn)證成功后,所述智能卡與所述業(yè)務(wù)平臺(tái)根據(jù)所述密鑰實(shí)現(xiàn) 所述智能卡應(yīng)用���,具體為所述智能卡與所述業(yè)務(wù)平臺(tái)通過(guò)包含所述密鑰的消息的交互�����,實(shí)現(xiàn)所述智能卡應(yīng)用�。另一方面���,本發(fā)明實(shí)施例還提供了一種密鑰管理設(shè)備�,包括接收模塊���,用于接收業(yè)務(wù)平臺(tái)發(fā)送的智能卡應(yīng)用的密鑰生成請(qǐng)求����,所述密鑰生成 請(qǐng)求中包含所述智能卡應(yīng)用所對(duì)應(yīng)的用戶標(biāo)識(shí)信息和所述業(yè)務(wù)平臺(tái)的標(biāo)識(shí)信息;獲取模塊��,用于根據(jù)所述接收模塊所接收到的密鑰生成請(qǐng)求中所包含的所述智能 卡應(yīng)用所對(duì)應(yīng)的用戶標(biāo)識(shí)信息�,向HLR獲取所述智能卡的鑒權(quán)信息;計(jì)算模塊���,用于根據(jù)所述獲取模塊所獲取的智能卡的鑒權(quán)信息�����,以及所述接收模 塊所接收到的密鑰生成請(qǐng)求中所包含的所述智能卡應(yīng)用所對(duì)應(yīng)的用戶標(biāo)識(shí)信息和所述業(yè) 務(wù)平臺(tái)的標(biāo)識(shí)信息���,按照預(yù)設(shè)的密鑰生成算法計(jì)算所述智能卡應(yīng)用所對(duì)應(yīng)的密鑰和相應(yīng)的 密鑰更新參數(shù);發(fā)送模塊���,用于將所述計(jì)算模塊所生成的智能卡應(yīng)用所對(duì)應(yīng)的密鑰和相應(yīng)的密鑰 更新參數(shù)發(fā)送給所述業(yè)務(wù)平臺(tái)�。優(yōu)選的�,所述接收模塊所接收到的業(yè)務(wù)平臺(tái)發(fā)送的智能卡應(yīng)用的密鑰生成請(qǐng)求的 觸發(fā)方式,具體包括所述業(yè)務(wù)平臺(tái)接收到所述智能卡應(yīng)用所對(duì)應(yīng)的終端發(fā)送的包含用戶標(biāo)識(shí)信息的 密鑰生成請(qǐng)求�,并在判斷所述用戶標(biāo)識(shí)信息合法的情況下����,向所述密鑰管理設(shè)備發(fā)送所述智能卡應(yīng)用的密鑰生成請(qǐng)求���;或,當(dāng)所述業(yè)務(wù)平臺(tái)需要向智能卡應(yīng)用發(fā)送消息時(shí)��,所述業(yè)務(wù)平臺(tái)直接向所述密鑰管 理設(shè)備發(fā)送所述智能卡應(yīng)用的密鑰生成請(qǐng)求���。優(yōu)選的���,所述獲取模塊根據(jù)所述密鑰生成請(qǐng)求中所包含的所述智能卡應(yīng)用所對(duì)應(yīng) 的用戶標(biāo)識(shí)信息,向HLR獲取的所述智能卡的鑒權(quán)信息���,具體為當(dāng)所述智能卡應(yīng)用所對(duì)應(yīng)的智能卡具體為用戶識(shí)別卡SIM時(shí)��,所述智能卡的鑒權(quán) 信息具體為包含隨機(jī)數(shù)RAND��、預(yù)期響應(yīng)RES和加密密鑰Kc的三元組信息����;當(dāng)所述智能卡應(yīng)用所對(duì)應(yīng)的智能卡具體為全球用戶識(shí)別卡USIM時(shí)����,所述智能卡 的鑒權(quán)信息具體為包含隨機(jī)數(shù)RAND��、鑒權(quán)標(biāo)記AUTN�、預(yù)期響應(yīng)RES����、加密密鑰CK和完整性檢 測(cè)密鑰IK的五元組信息。優(yōu)選的��,所述發(fā)送模塊將所述智能卡應(yīng)用所對(duì)應(yīng)的密鑰和相應(yīng)的密鑰更新參數(shù)發(fā) 送給所述業(yè)務(wù)平臺(tái)���,具體為所述發(fā)送模塊將所述智能卡應(yīng)用所對(duì)應(yīng)的密鑰和相應(yīng)的密鑰更新參數(shù)通過(guò)安全 通道發(fā)送給所述業(yè)務(wù)平臺(tái)���。另一方面,本發(fā)明實(shí)施例還提供了一種智能卡���,包括接收模塊�,用于接收業(yè)務(wù)平臺(tái)所發(fā)送的智能卡應(yīng)用所對(duì)應(yīng)的密鑰更新參數(shù)�����;計(jì)算模塊��,用于根據(jù)所述接收模塊所接收的密鑰更新參數(shù),按照預(yù)設(shè)的密鑰生成 算法計(jì)算并驗(yàn)證所述智能卡應(yīng)用所對(duì)應(yīng)的密鑰�����;通信模塊��,用于與所述業(yè)務(wù)平臺(tái)通過(guò)包含所述計(jì)算模塊所計(jì)算的密鑰的消息的交 互�,實(shí)現(xiàn)所述智能卡應(yīng)用����。優(yōu)選的,所述接收模塊接收業(yè)務(wù)平臺(tái)所發(fā)送的智能卡應(yīng)用所對(duì)應(yīng)的密鑰更新參 數(shù)����,具體為所述接收模塊通過(guò)數(shù)據(jù)短信或GPRS的方式接收業(yè)務(wù)平臺(tái)所發(fā)送的智能卡應(yīng)用所 對(duì)應(yīng)的密鑰更新參數(shù)。優(yōu)選的��,所述計(jì)算模塊根據(jù)所述密鑰更新參數(shù)按照預(yù)設(shè)的密鑰生成算法計(jì)算并驗(yàn) 證所述智能卡應(yīng)用所對(duì)應(yīng)的密鑰�,具體為所述計(jì)算模塊根據(jù)已有的鑒權(quán)密鑰計(jì)算所述智能卡的鑒權(quán)信息;所述計(jì)算模塊根據(jù)所述智能卡的鑒權(quán)信息��、自身的用戶標(biāo)識(shí)信息和所述智能卡應(yīng) 用所對(duì)應(yīng)的業(yè)務(wù)平臺(tái)標(biāo)識(shí)信息�����,按照預(yù)設(shè)的密鑰生成算法計(jì)算所述智能卡應(yīng)用所對(duì)應(yīng)的密 鑰;所述計(jì)算模塊根據(jù)所述密鑰更新參數(shù)驗(yàn)證所述密鑰�。與現(xiàn)有技術(shù)相比,本發(fā)明實(shí)施例具有以下優(yōu)點(diǎn)通過(guò)應(yīng)用本發(fā)明實(shí)施例所提出的技術(shù)方案��,引入密鑰管理設(shè)備��,并重用卡中的鑒 權(quán)密鑰��,進(jìn)行安全交互后��,使得各卡應(yīng)用與業(yè)務(wù)平臺(tái)分別共享安全密鑰��,從而保護(hù)卡應(yīng)用交 互的安全���。
為了更清楚地說(shuō)明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案,下面將對(duì)實(shí)施例或現(xiàn) 有技術(shù)描述中所需要使用的附圖作簡(jiǎn)單地介紹���,顯而易見(jiàn)地��,下面描述中的附圖僅僅是本發(fā)明的一些實(shí)施例��,對(duì)于本領(lǐng)域普通技術(shù)人員來(lái)講���,在不付出創(chuàng)造性勞動(dòng)性的前提下����,還可 以根據(jù)這些附圖獲得其他的附圖��。圖1為本發(fā)明實(shí)施例所提出的一種通過(guò)密鑰進(jìn)行智能卡應(yīng)用的方法的流程示意 圖���;圖2為本發(fā)明實(shí)施例所提出的一種具體應(yīng)用場(chǎng)景下的通過(guò)密鑰進(jìn)行智能卡應(yīng)用 的方法的流程示意圖��;圖3為本發(fā)明實(shí)施例所提出的一種具體應(yīng)用場(chǎng)景下的通過(guò)密鑰進(jìn)行智能卡應(yīng)用 的方法的流程示意圖��;圖4為本發(fā)明實(shí)施例所提供的一種密碼管理設(shè)備的結(jié)構(gòu)示意圖;圖5為本發(fā)明實(shí)施例所提供的一種智能卡的結(jié)構(gòu)示意圖���;圖6A至6C為本發(fā)明實(shí)施例所提供的三種智能卡的結(jié)構(gòu)示意具體實(shí)施例方式如背景技術(shù)所述����,由于運(yùn)營(yíng)商的用戶基數(shù)較大��,因此業(yè)務(wù)平臺(tái)需要維護(hù)一個(gè)非常 龐大的卡應(yīng)用密鑰管理數(shù)據(jù)庫(kù)��,對(duì)于業(yè)務(wù)平臺(tái)來(lái)說(shuō)負(fù)擔(dān)較重�,而對(duì)于已發(fā)行的存量的卡,無(wú) 法安全的預(yù)置該共享密鑰��,因此無(wú)法保證卡應(yīng)用的安全���,并且若卡上有若干卡應(yīng)用����,為了對(duì) 各卡應(yīng)用進(jìn)行安全隔離��,必然導(dǎo)致卡應(yīng)用分別采用不同的共享密鑰��,那么網(wǎng)絡(luò)上會(huì)存在多 個(gè)密鑰管理系統(tǒng)���,導(dǎo)致重復(fù)建設(shè)問(wèn)題。為了解決上述問(wèn)題��,本專利不需要卡應(yīng)用中預(yù)置密鑰��,引入密鑰管理設(shè)備����,是重用 卡中的鑒權(quán)密鑰Ki��,進(jìn)行安全交互后,使得各卡應(yīng)用與業(yè)務(wù)平臺(tái)分別共享安全密鑰���,從而保 護(hù)卡應(yīng)用交互的安全。如圖1所示����,為本發(fā)明實(shí)施例所提出的一種通過(guò)密鑰進(jìn)行智能卡應(yīng)用的方法的流 程示意圖,包括以下步驟步驟S101�����、密鑰管理設(shè)備接收業(yè)務(wù)平臺(tái)發(fā)送的智能卡應(yīng)用的密鑰生成請(qǐng)求�����,密鑰 生成請(qǐng)求中包含智能卡應(yīng)用所對(duì)應(yīng)的用戶標(biāo)識(shí)信息和業(yè)務(wù)平臺(tái)的標(biāo)識(shí)信息�。其中�����,密鑰管理設(shè)備所接收到的業(yè)務(wù)平臺(tái)發(fā)送的智能卡應(yīng)用的密鑰生成請(qǐng)求的觸 發(fā)方式�����,具體包括方式一��、業(yè)務(wù)平臺(tái)接收到智能卡應(yīng)用所對(duì)應(yīng)的終端發(fā)送的包含用戶標(biāo)識(shí)信息的密 鑰生成請(qǐng)求��,并在判斷用戶標(biāo)識(shí)信息合法的情況下����,向密鑰管理設(shè)備發(fā)送智能卡應(yīng)用的密 鑰生成請(qǐng)求�。方式二、當(dāng)業(yè)務(wù)平臺(tái)需要向智能卡應(yīng)用發(fā)送消息時(shí)��,業(yè)務(wù)平臺(tái)直接向密鑰管理設(shè) 備發(fā)送智能卡應(yīng)用的密鑰生成請(qǐng)求��。其中���,業(yè)務(wù)平臺(tái)向密鑰管理設(shè)備發(fā)送智能卡應(yīng)用的密鑰生成請(qǐng)求之前��,還包括業(yè)務(wù)平臺(tái)判斷當(dāng)前是否存在與智能卡應(yīng)用相對(duì)應(yīng)的可用密鑰;如果業(yè)務(wù)平臺(tái)判斷當(dāng)前存在與智能卡應(yīng)用相對(duì)應(yīng)的可用密鑰����,則直接根據(jù)密鑰實(shí) 現(xiàn)智能卡業(yè)務(wù);如果業(yè)務(wù)平臺(tái)判斷當(dāng)前不存在與智能卡應(yīng)用相對(duì)應(yīng)的可用密鑰����,則向密鑰管理設(shè) 備發(fā)送智能卡應(yīng)用的密鑰生成請(qǐng)求�����。步驟S102���、密鑰管理設(shè)備根據(jù)密鑰生成請(qǐng)求中所包含的智能卡應(yīng)用所對(duì)應(yīng)的用戶標(biāo)識(shí)信息,向歸屬位置寄存器(Home Location Register, HLR)獲取智能卡的鑒權(quán)信息��。當(dāng)智能卡應(yīng)用所對(duì)應(yīng)的智能卡具體為SIM時(shí)�����,智能卡的鑒權(quán)信息具體為包含隨機(jī) 數(shù)(RAND)�、預(yù)期響應(yīng)(RES)和加密密鑰(Kc)的三元組信息;當(dāng)智能卡應(yīng)用所對(duì)應(yīng)的智能卡具體為全球用戶識(shí)別卡USIM時(shí)�,智能卡的鑒權(quán)信 息具體為包含隨機(jī)數(shù)(RAND)、鑒權(quán)標(biāo)記(AUTN)���、預(yù)期響應(yīng)(REQ、加密密鑰(CK)和完整性檢 測(cè)密鑰(IK)的五元組信息�。上述的各鑒權(quán)信息元素所對(duì)應(yīng)的字符稱謂的具體內(nèi)容可以根據(jù)需要進(jìn)行調(diào)整,具 體形式的變化并不影響本發(fā)明的保護(hù)范圍��。步驟S103、密鑰管理設(shè)備根據(jù)智能卡的鑒權(quán)信息�,以及密鑰生成請(qǐng)求中所包含的 智能卡應(yīng)用所對(duì)應(yīng)的用戶標(biāo)識(shí)信息和業(yè)務(wù)平臺(tái)的標(biāo)識(shí)信息,按照預(yù)設(shè)的密鑰生成算法計(jì)算 智能卡應(yīng)用所對(duì)應(yīng)的密鑰和相應(yīng)的密鑰更新參數(shù)���。步驟S104����、密鑰管理設(shè)備將智能卡應(yīng)用所對(duì)應(yīng)的密鑰和相應(yīng)的密鑰更新參數(shù)發(fā)送 給業(yè)務(wù)平臺(tái)����,并由業(yè)務(wù)平臺(tái)將密鑰更新參數(shù)發(fā)送給智能卡應(yīng)用所對(duì)應(yīng)的智能卡,使智能卡 根據(jù)密鑰更新參數(shù)按照預(yù)設(shè)的密鑰生成算法計(jì)算并驗(yàn)證智能卡應(yīng)用所對(duì)應(yīng)的密鑰����,在密鑰 驗(yàn)證成功后,智能卡與業(yè)務(wù)平臺(tái)根據(jù)密鑰實(shí)現(xiàn)智能卡應(yīng)用�。在具體的應(yīng)用場(chǎng)景中,密鑰管理設(shè)備將智能卡應(yīng)用所對(duì)應(yīng)的密鑰和相應(yīng)的密鑰更 新參數(shù)發(fā)送給業(yè)務(wù)平臺(tái)����,并由業(yè)務(wù)平臺(tái)將密鑰更新參數(shù)發(fā)送給智能卡應(yīng)用所對(duì)應(yīng)的智能 卡,具體包括密鑰管理設(shè)備將智能卡應(yīng)用所對(duì)應(yīng)的密鑰和相應(yīng)的密鑰更新參數(shù)通過(guò)安全通道 發(fā)送給業(yè)務(wù)平臺(tái)�,業(yè)務(wù)平臺(tái)保存智能卡應(yīng)用所對(duì)應(yīng)的密鑰;業(yè)務(wù)平臺(tái)通過(guò)數(shù)據(jù)短信或GPRS的方式將密鑰更新參數(shù)發(fā)送給智能卡應(yīng)用所對(duì)應(yīng) 的終端���,終端直接將密鑰更新參數(shù)發(fā)送給相應(yīng)的智能卡�。進(jìn)一步的,智能卡根據(jù)密鑰更新參數(shù)按照預(yù)設(shè)的密鑰生成算法計(jì)算并驗(yàn)證智能卡 應(yīng)用所對(duì)應(yīng)的密鑰�,具體為智能卡根據(jù)已有的鑒權(quán)密鑰計(jì)算智能卡的鑒權(quán)信息;智能卡根據(jù)智能卡的鑒權(quán)信息����、自身的用戶標(biāo)識(shí)信息和智能卡應(yīng)用所對(duì)應(yīng)的業(yè)務(wù) 平臺(tái)標(biāo)識(shí)信息,按照預(yù)設(shè)的密鑰生成算法計(jì)算智能卡應(yīng)用所對(duì)應(yīng)的密鑰�;智能卡根據(jù)密鑰更新參數(shù)驗(yàn)證密鑰。需要進(jìn)一步說(shuō)明的是�����,在密鑰驗(yàn)證成功后��,智能卡與業(yè)務(wù)平臺(tái)根據(jù)密鑰實(shí)現(xiàn)智能 卡應(yīng)用�����,具體為智能卡與業(yè)務(wù)平臺(tái)通過(guò)包含密鑰的消息的交互���,實(shí)現(xiàn)智能卡應(yīng)用�����。通過(guò)應(yīng)用本發(fā)明實(shí)施例所提出的技術(shù)方案���,引入密鑰管理設(shè)備,并重用卡中的鑒 權(quán)密鑰����,進(jìn)行安全交互后,使得各卡應(yīng)用與業(yè)務(wù)平臺(tái)分別共享安全密鑰�,從而保護(hù)卡應(yīng)用交 互的安全。下面將結(jié)合具體應(yīng)用場(chǎng)景的實(shí)施例��,對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚��、完 整地描述�,顯然,所描述的實(shí)施例僅是本發(fā)明的一部分實(shí)施例�,而不是全部的實(shí)施例?�;?本發(fā)明中的實(shí)施例���,本領(lǐng)域普通技術(shù)人員在沒(méi)有做出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他 實(shí)施例�����,都屬于本發(fā)明實(shí)施例保護(hù)的范圍�����。如圖2所示�,為本發(fā)明實(shí)施例所提出的一種通過(guò)密鑰進(jìn)行智能卡應(yīng)用的方法的流程示意圖,在該應(yīng)用場(chǎng)景中����,終端側(cè)的卡應(yīng)用主動(dòng)發(fā)起密鑰生成流程,相應(yīng)的卡應(yīng)用密鑰的 初始化和更新流程如下步驟S201���、終端側(cè)發(fā)起密鑰生成請(qǐng)求�����。當(dāng)卡應(yīng)用需要初始化時(shí)可以主動(dòng)發(fā)起密鑰生成請(qǐng)求����;當(dāng)卡應(yīng)用根據(jù)安全策略需要更新密鑰時(shí)可以主動(dòng)發(fā)起密鑰更新請(qǐng)求�����。密鑰生成和 更新請(qǐng)求發(fā)送給業(yè)務(wù)平臺(tái)AS,其中包含IMSI��。步驟S202�����、業(yè)務(wù)平臺(tái)判斷終端側(cè)卡應(yīng)用是否合法���。AS首先查詢一下該IMSI對(duì)應(yīng)的用戶是否在合法的用戶列表中,如果不在返回錯(cuò) 誤消息��,流程終止����;若存在,則發(fā)送密鑰生成請(qǐng)求給KMF����,包括IMSI,APP_ID(即業(yè)務(wù)平臺(tái)的 ID)�����。步驟S203��、密鑰管理設(shè)備獲取鑒權(quán)信息。KMF從HLR獲取IMSI用戶對(duì)應(yīng)的鑒權(quán)數(shù)據(jù)����,其中SIM 卡用戶獲得 3 元組(RAND,Kc, RES)��;USIM 卡用戶獲得 5 元組(RAND, AUTN�����,CK, IK, RES)���。步驟S204�����、KMF計(jì)算密鑰更新參數(shù)KUP����。其中f是密鑰推演函數(shù)(如SHAl算法等)�����。情況一�、對(duì)于SIM卡計(jì)算卡應(yīng)用密鑰K_AS = f (Kc, RES, IMSI, APP_ID, “app-sim”)���;計(jì)算MAC 密鑰 K_MAC = f (Kc, RES, IMSI, APP_ID, “app-sim-mac”);計(jì)算密鑰更新參數(shù)KUP =以冊(cè)��,六 _10�,1(8_六5有效期,嫩0(1(_獻(xiàn)(����,1^冊(cè)�����,六 _10)��, 其中MAC是對(duì)RAND�����,APP_ID等參數(shù)做完整性保護(hù)�����。情況二�����、對(duì)于USIM卡計(jì)算卡應(yīng)用密鑰K_AS = f (CK, IK, RES, IMSI, APP_ID,“app-usim”)����;計(jì)算MAC 密鑰 K_MAC = f (CK, IK, RES, IMSI, APP_ID, “app-usim-mac”);計(jì)算密鑰更新參數(shù)KUP = RAND, AUTN, APP_ID, Ks_AS 有效期�,MAC (K_MAC, RAND, AUTN, APP_ID),其中MAC是對(duì)RAND�,APP_ID等參數(shù)做完整性保護(hù)。步驟S205���、將密鑰更新參數(shù)KUP和K_AS通過(guò)安全通道發(fā)送給AS����。步驟S206�����、AS 保存 K_AS��。步驟S207���、AS通過(guò)數(shù)據(jù)短信或GPRS的方式將KUP發(fā)送給終端��,終端直接將KUP轉(zhuǎn) 發(fā)給用戶卡�。步驟S208、用戶卡中的應(yīng)用密碼管理模塊(Application Key Management Function, AKM)做以下計(jì)算����,其中f是密鑰推演函數(shù),如SHAl算法等��。情況一����、SIM卡計(jì)算Kc I I RES = A3A8 (RAND, Ki);計(jì)算卡應(yīng)用密鑰K_AS = f (Kc, RES, IMSI, APP_ID, "app-sim")�����;計(jì)算完整性密鑰K_MAC = f (Kc, RES, IMSI��,APP_ID���,“app-sim-mac”),驗(yàn)證 KUP 完整性����。情況二�����、USIM卡計(jì)算CK IIK RES = milenage (RAND, AUTN, K)����;
卡應(yīng)用密鑰K_AS = f (CK, IK, RES, IMSI�����,APP_ID��,“app-usim”)�����;計(jì)算完整性密鑰K_MAC = f (CK, IK, RES, IMSI, APP_ID��,“app-usim-mac”)�,驗(yàn)證 KUP完整性。步驟S209�、AKM驗(yàn)證KUP成功后,根據(jù)KUP中的APP_ID判斷屬于哪個(gè)卡應(yīng)用����,將卡 應(yīng)用密鑰K_AS和Ks_AS有效期傳遞給對(duì)應(yīng)的卡應(yīng)用��。步驟S210����、卡應(yīng)用與業(yè)務(wù)平臺(tái)間共享了 K_AS�,后續(xù)業(yè)務(wù)交互可以直接采用該密鑰 進(jìn)行安全保護(hù)。如圖3所示��,為本發(fā)明實(shí)施例所提出的一種通過(guò)密鑰進(jìn)行智能卡應(yīng)用的方法的流 程示意圖���,在該應(yīng)用場(chǎng)景中��,業(yè)務(wù)平臺(tái)主動(dòng)發(fā)起密鑰生成流程����,相應(yīng)的卡應(yīng)用密鑰的初始化 和更新流程如下步驟S301��、業(yè)務(wù)平臺(tái)請(qǐng)求生成密鑰�����。當(dāng)業(yè)務(wù)平臺(tái)需要發(fā)送消息給卡應(yīng)用��,也可以主動(dòng)發(fā)起密鑰生成請(qǐng)求���;當(dāng)業(yè)務(wù)平臺(tái)根據(jù)安全策略需要更新密鑰時(shí)可以主動(dòng)發(fā)起密鑰更新請(qǐng)求�����;在此過(guò)程中���,業(yè)務(wù)平臺(tái)確定該卡應(yīng)用所對(duì)應(yīng)的IMSI信息。步驟S302�����、業(yè)務(wù)平臺(tái)判斷終端側(cè)卡應(yīng)用是否合法�。AS首先查詢一下該IMSI對(duì)應(yīng)的用戶是否在合法的用戶列表中,如果不在返回錯(cuò) 誤消息�,流程終止;若存在�,則發(fā)送密鑰生成請(qǐng)求給KMF,包括IMSI����,APP_ID(即業(yè)務(wù)平臺(tái)的 ID)。步驟S303����、密鑰管理設(shè)備獲取鑒權(quán)信息��。KMF從HLR獲取IMSI用戶對(duì)應(yīng)的鑒權(quán)數(shù)據(jù)��,其中SIM 卡用戶獲得 3 元組(RAND, Kc, RES)���;USIM 卡用戶獲得 5 元組(RAND, AUTN,CK, IK, RES)�����。步驟S304�����、KMF計(jì)算密鑰更新參數(shù)KUP���。其中f是密鑰推演函數(shù)(如SHAl算法等)��。情況一���、對(duì)于SIM卡計(jì)算卡應(yīng)用密鑰K_AS = f (Kc, RES, IMSI, APP_ID, “app-sim”)�����;計(jì)算MAC 密鑰 K_MAC = f (Kc, RES, IMSI, APP_ID, “app-sim-mac”);計(jì)算密鑰更新參數(shù)KUP= RAND,APP_ID,Ks_AS 有效期����,MAC(K_MAC, RAND,APP_ID), 其中MAC是對(duì)RAND�,APP_ID等參數(shù)做完整性保護(hù)。情況二�����、對(duì)于USIM卡計(jì)算卡應(yīng)用密鑰K_AS = f (CK, IK, RES, IMSI, APP_ID, "app-usim")�����;計(jì)算MAC 密鑰 K_MAC = f (CK, IK, RES, IMSI, APP_ID, "app-usim-mac")��;計(jì)算密鑰更新參數(shù)KUP = RAND, AUTN, APP_ID, Ks_AS 有效期�,MAC (K_MAC, RAND, AUTN, APP_ID),其中MAC是對(duì)RAND���,APP_ID等參數(shù)做完整性保護(hù)����。步驟S305、將密鑰更新參數(shù)KUP和K_AS通過(guò)安全通道發(fā)送給AS��。步驟S306���、AS 保存 K_AS����。步驟S307��、AS通過(guò)數(shù)據(jù)短信或GPRS的方式將KUP發(fā)送給終端��,終端直接將KUP轉(zhuǎn) 發(fā)給用戶卡�����。步驟S308�、用戶卡中的應(yīng)用密碼管理模塊做以下計(jì)算,其中f是密鑰推演函數(shù)(如SHAl算法等)���。情況一���、SIM卡計(jì)算Kc I I RES = A3A8 (RAND, Ki)計(jì)算卡應(yīng)用密鑰K_AS = f (Kc, RES, IMSI,APP_ID, “app-sim”)�����;計(jì)算完整性密鑰K_MAC = f (Kc, RES, IMSI��,APP_ID�,“app-sim-mac”),驗(yàn)證 KUP 完整性�����。情況二�、USIM卡計(jì)算CK IIK RES = milenage (RAND, AUTN,K)���;卡應(yīng)用密鑰K_AS = f (CK, IK, RES, IMSI, APP_ID�,“app-usim”)�;計(jì)算完整性密_K_MAC= f (CK, IK, RES, IMSI, APP_ID,“app-usim-mac”)��,驗(yàn)證 KUP完整性���。步驟S309�����、AKM驗(yàn)證KUP成功后�����,根據(jù)KUP中的APP_ID判斷屬于哪個(gè)卡應(yīng)用��,將卡 應(yīng)用密鑰K_AS和Ks_AS有效期傳遞給對(duì)應(yīng)的卡應(yīng)用��。步驟S310����、卡應(yīng)用與業(yè)務(wù)平臺(tái)間共享了 K_AS,后續(xù)業(yè)務(wù)交互可以直接采用該密鑰 進(jìn)行安全保護(hù)��。與現(xiàn)有技術(shù)相比����,本發(fā)明實(shí)施例具有以下優(yōu)點(diǎn)通過(guò)應(yīng)用本發(fā)明實(shí)施例所提出的技術(shù)方案,引入密鑰管理設(shè)備��,并重用卡中的鑒 權(quán)密鑰��,進(jìn)行安全交互后���,使得各卡應(yīng)用與業(yè)務(wù)平臺(tái)分別共享安全密鑰���,從而保護(hù)卡應(yīng)用交 互的安全�。為了實(shí)現(xiàn)上述的技術(shù)方案���,如圖4所示,本發(fā)明實(shí)施例還提供了一種密鑰管理設(shè) 備的結(jié)構(gòu)示意圖����,具體包括接收模塊41,用于接收業(yè)務(wù)平臺(tái)發(fā)送的智能卡應(yīng)用的密鑰生成請(qǐng)求�����,密鑰生成請(qǐng) 求中包含智能卡應(yīng)用所對(duì)應(yīng)的用戶標(biāo)識(shí)信息和業(yè)務(wù)平臺(tái)的標(biāo)識(shí)信息�;其中,接收模塊41所接收到的業(yè)務(wù)平臺(tái)發(fā)送的智能卡應(yīng)用的密鑰生成請(qǐng)求的觸 發(fā)方式�����,具體包括業(yè)務(wù)平臺(tái)接收到智能卡應(yīng)用所對(duì)應(yīng)的終端發(fā)送的包含用戶標(biāo)識(shí)信息的密鑰生成 請(qǐng)求��,并在判斷用戶標(biāo)識(shí)信息合法的情況下����,向密鑰管理設(shè)備發(fā)送智能卡應(yīng)用的密鑰生成 請(qǐng)求���;或,當(dāng)業(yè)務(wù)平臺(tái)需要向智能卡應(yīng)用發(fā)送消息時(shí)�����,業(yè)務(wù)平臺(tái)直接向密鑰管理設(shè)備發(fā)送智 能卡應(yīng)用的密鑰生成請(qǐng)求��。獲取模塊42�����,用于根據(jù)接收模塊41所接收到的密鑰生成請(qǐng)求中所包含的智能卡 應(yīng)用所對(duì)應(yīng)的用戶標(biāo)識(shí)信息����,向HLR獲取智能卡的鑒權(quán)信息;當(dāng)智能卡應(yīng)用所對(duì)應(yīng)的智能卡具體為用戶識(shí)別卡SIM時(shí)����,智能卡的鑒權(quán)信息具體 為包含隨機(jī)數(shù)RAND、預(yù)期響應(yīng)RES和加密密鑰Kc的三元組信息�;當(dāng)智能卡應(yīng)用所對(duì)應(yīng)的智能卡具體為全球用戶識(shí)別卡USIM時(shí),智能卡的鑒權(quán)信 息具體為包含隨機(jī)數(shù)RAND���、鑒權(quán)標(biāo)記AUTN�、預(yù)期響應(yīng)RES、加密密鑰CK和完整性檢測(cè)密鑰 IK的五元組信息�。計(jì)算模塊43,用于根據(jù)獲取模塊42所獲取的智能卡的鑒權(quán)信息���,以及接收模塊41 所接收到的密鑰生成請(qǐng)求中所包含的智能卡應(yīng)用所對(duì)應(yīng)的用戶標(biāo)識(shí)信息和業(yè)務(wù)平臺(tái)的標(biāo)識(shí)信息�����,按照預(yù)設(shè)的密鑰生成算法計(jì)算智能卡應(yīng)用所對(duì)應(yīng)的密鑰和相應(yīng)的密鑰更新參數(shù)�;發(fā)送模塊44�����,用于將計(jì)算模塊43所生成的智能卡應(yīng)用所對(duì)應(yīng)的密鑰和相應(yīng)的密 鑰更新參數(shù)發(fā)送給業(yè)務(wù)平臺(tái)����,具體為發(fā)送模塊44將智能卡應(yīng)用所對(duì)應(yīng)的密鑰和相應(yīng)的密鑰更新參數(shù)通過(guò)安全通道發(fā) 送給業(yè)務(wù)平臺(tái)�����。通過(guò)應(yīng)用本發(fā)明實(shí)施例所提出的技術(shù)方案�����,引入密鑰管理設(shè)備(KMF),并重用卡中 的鑒權(quán)密鑰Ki���,進(jìn)行安全交互后��,使得各卡應(yīng)用與業(yè)務(wù)平臺(tái)分別共享安全密鑰�����,從而保護(hù)卡 應(yīng)用交互的安全����。另一方面����,本發(fā)明實(shí)施例還提供了一種智能卡,其結(jié)構(gòu)示意圖如圖5所示�,具體包 括接收模塊51,用于接收業(yè)務(wù)平臺(tái)所發(fā)送的智能卡應(yīng)用所對(duì)應(yīng)的密鑰更新參數(shù)��。其中��,接收模塊51接收業(yè)務(wù)平臺(tái)所發(fā)送的智能卡應(yīng)用所對(duì)應(yīng)的密鑰更新參數(shù)����,具 體為接收模塊51通過(guò)數(shù)據(jù)短信或GPRS的方式接收業(yè)務(wù)平臺(tái)所發(fā)送的智能卡應(yīng)用所對(duì) 應(yīng)的密鑰更新參數(shù)�����。計(jì)算模塊52�,用于根據(jù)接收模塊51所接收的密鑰更新參數(shù)�����,按照預(yù)設(shè)的密鑰生成 算法計(jì)算并驗(yàn)證智能卡應(yīng)用所對(duì)應(yīng)的密鑰����,具體為計(jì)算模塊52根據(jù)已有的鑒權(quán)密鑰計(jì)算智能卡的鑒權(quán)信息;計(jì)算模塊52根據(jù)智能卡的鑒權(quán)信息�、自身的用戶標(biāo)識(shí)信息和智能卡應(yīng)用所對(duì)應(yīng) 的業(yè)務(wù)平臺(tái)標(biāo)識(shí)信息��,按照預(yù)設(shè)的密鑰生成算法計(jì)算智能卡應(yīng)用所對(duì)應(yīng)的密鑰���;計(jì)算模塊52根據(jù)密鑰更新參數(shù)驗(yàn)證密鑰��。通信模塊53�,用于與業(yè)務(wù)平臺(tái)通過(guò)包含計(jì)算模塊所計(jì)算的密鑰的消息的交互�����,實(shí) 現(xiàn)智能卡應(yīng)用。在具體的應(yīng)用場(chǎng)景中���,智能卡的具體構(gòu)成方式包括如圖6A至6C所示���。通過(guò)應(yīng)用本發(fā)明實(shí)施例所提出的技術(shù)方案,引入密鑰管理設(shè)備(KMF)����,并重用卡中 的鑒權(quán)密鑰Ki,進(jìn)行安全交互后�,使得各卡應(yīng)用與業(yè)務(wù)平臺(tái)分別共享安全密鑰,從而保護(hù)卡 應(yīng)用交互的安全�����。通過(guò)以上的實(shí)施方式的描述��,本領(lǐng)域的技術(shù)人員可以清楚地了解到本發(fā)明可以通 過(guò)硬件實(shí)現(xiàn)�����,也可以借助軟件加必要的通用硬件平臺(tái)的方式來(lái)實(shí)現(xiàn)����?;谶@樣的理解�����,本發(fā) 明的技術(shù)方案可以以軟件產(chǎn)品的形式體現(xiàn)出來(lái)�����,該軟件產(chǎn)品可以存儲(chǔ)在一個(gè)非易失性存儲(chǔ) 介質(zhì)(可以是CD-ROM���,U盤(pán)���,移動(dòng)硬盤(pán)等)中,包括若干指令用以使得一臺(tái)計(jì)算機(jī)裝置(可 以是個(gè)人計(jì)算機(jī)��,服務(wù)器��,或者網(wǎng)絡(luò)裝置等)執(zhí)行本發(fā)明各個(gè)實(shí)施例所述的方法�����。本領(lǐng)域技術(shù)人員可以理解附圖只是一個(gè)優(yōu)選實(shí)施例的示意圖�,附圖中的模塊或流 程并不一定是實(shí)施本發(fā)明所必須的。本領(lǐng)域技術(shù)人員可以理解實(shí)施例中的裝置中的模塊可以按照實(shí)施例描述進(jìn)行分 布于實(shí)施例的裝置中����,也可以進(jìn)行相應(yīng)變化位于不同于本實(shí)施例的一個(gè)或多個(gè)裝置中。上 述實(shí)施例的模塊可以合并為一個(gè)模塊��,也可以進(jìn)一步拆分成多個(gè)子模塊��。上述本發(fā)明序號(hào)僅僅為了描述�����,不代表實(shí)施例的優(yōu)劣����。以上公開(kāi)的僅為本發(fā)明的幾個(gè)具體實(shí)施例,但是�,本發(fā)明并非局限于此,任何本領(lǐng)域的技術(shù)人員能思之的變化都應(yīng)落入本發(fā)明的保護(hù)范圍��。
權(quán)利要求
1.一種通過(guò)密鑰進(jìn)行智能卡應(yīng)用的方法�,其特征在于,包括以下步驟密鑰管理設(shè)備接收業(yè)務(wù)平臺(tái)發(fā)送的智能卡應(yīng)用的密鑰生成請(qǐng)求��,所述密鑰生成請(qǐng)求中 包含所述智能卡應(yīng)用所對(duì)應(yīng)的用戶標(biāo)識(shí)信息和所述業(yè)務(wù)平臺(tái)的標(biāo)識(shí)信息���;所述密鑰管理設(shè)備根據(jù)所述密鑰生成請(qǐng)求中所包含的所述智能卡應(yīng)用所對(duì)應(yīng)的用戶 標(biāo)識(shí)信息�,向歸屬位置寄存器HLR獲取所述智能卡的鑒權(quán)信息;所述密鑰管理設(shè)備根據(jù)所述智能卡的鑒權(quán)信息����,以及所述密鑰生成請(qǐng)求中所包含的所 述智能卡應(yīng)用所對(duì)應(yīng)的用戶標(biāo)識(shí)信息和所述業(yè)務(wù)平臺(tái)的標(biāo)識(shí)信息,按照預(yù)設(shè)的密鑰生成算 法計(jì)算所述智能卡應(yīng)用所對(duì)應(yīng)的密鑰和相應(yīng)的密鑰更新參數(shù)���;所述密鑰管理設(shè)備將所述智能卡應(yīng)用所對(duì)應(yīng)的密鑰和相應(yīng)的密鑰更新參數(shù)發(fā)送給所 述業(yè)務(wù)平臺(tái)����,并由所述業(yè)務(wù)平臺(tái)將所述密鑰更新參數(shù)發(fā)送給所述智能卡應(yīng)用所對(duì)應(yīng)的智能 卡��,使所述智能卡根據(jù)所述密鑰更新參數(shù)按照預(yù)設(shè)的密鑰生成算法計(jì)算并驗(yàn)證所述智能卡 應(yīng)用所對(duì)應(yīng)的密鑰����,在所述密鑰驗(yàn)證成功后,所述智能卡與所述業(yè)務(wù)平臺(tái)根據(jù)所述密鑰實(shí) 現(xiàn)所述智能卡應(yīng)用�。
2.如權(quán)利要求1所述的方法,其特征在于����,所述密鑰管理設(shè)備所接收到的業(yè)務(wù)平臺(tái)發(fā) 送的智能卡應(yīng)用的密鑰生成請(qǐng)求的觸發(fā)方式,具體包括所述業(yè)務(wù)平臺(tái)接收到所述智能卡應(yīng)用所對(duì)應(yīng)的終端發(fā)送的包含用戶標(biāo)識(shí)信息的密鑰 生成請(qǐng)求���,并在判斷所述用戶標(biāo)識(shí)信息合法的情況下�,向所述密鑰管理設(shè)備發(fā)送所述智能 卡應(yīng)用的密鑰生成請(qǐng)求����;或,當(dāng)所述業(yè)務(wù)平臺(tái)需要向智能卡應(yīng)用發(fā)送消息時(shí)�����,所述業(yè)務(wù)平臺(tái)直接向所述密鑰管理設(shè) 備發(fā)送所述智能卡應(yīng)用的密鑰生成請(qǐng)求�����。
3.如權(quán)利要求2所述的方法�,其特征在于,所述業(yè)務(wù)平臺(tái)向所述密鑰管理設(shè)備發(fā)送所 述智能卡應(yīng)用的密鑰生成請(qǐng)求之前�����,還包括所述業(yè)務(wù)平臺(tái)判斷當(dāng)前是否存在與所述智能卡應(yīng)用相對(duì)應(yīng)的可用密鑰�; 如果所述業(yè)務(wù)平臺(tái)判斷當(dāng)前存在與所述智能卡應(yīng)用相對(duì)應(yīng)的可用密鑰,則直接根據(jù)所 述密鑰實(shí)現(xiàn)所述智能卡業(yè)務(wù)���;如果所述業(yè)務(wù)平臺(tái)判斷當(dāng)前不存在與所述智能卡應(yīng)用相對(duì)應(yīng)的可用密鑰����,則向所述密 鑰管理設(shè)備發(fā)送所述智能卡應(yīng)用的密鑰生成請(qǐng)求。
4.如權(quán)利要求1所述的方法�,其特征在于,所述密鑰管理設(shè)備根據(jù)所述密鑰生成請(qǐng)求 中所包含的所述智能卡應(yīng)用所對(duì)應(yīng)的用戶標(biāo)識(shí)信息����,向HLR獲取的所述智能卡的鑒權(quán)信 息,具體為當(dāng)所述智能卡應(yīng)用所對(duì)應(yīng)的智能卡具體為用戶識(shí)別卡SIM時(shí)����,所述智能卡的鑒權(quán)信息 具體為包含隨機(jī)數(shù)RAND、預(yù)期響應(yīng)RES和加密密鑰Kc的三元組信息�;當(dāng)所述智能卡應(yīng)用所對(duì)應(yīng)的智能卡具體為全球用戶識(shí)別卡USIM時(shí),所述智能卡的鑒 權(quán)信息具體為包含隨機(jī)數(shù)RAND�、鑒權(quán)標(biāo)記AUTN、預(yù)期響應(yīng)RES����、加密密鑰CK和完整性檢測(cè)密 鑰IK的五元組信息。
5.如權(quán)利要求1所述的方法�,其特征在于,所述密鑰管理設(shè)備將所述智能卡應(yīng)用所對(duì) 應(yīng)的密鑰和相應(yīng)的密鑰更新參數(shù)發(fā)送給所述業(yè)務(wù)平臺(tái)�����,并由所述業(yè)務(wù)平臺(tái)將所述密鑰更新 參數(shù)發(fā)送給所述智能卡應(yīng)用所對(duì)應(yīng)的智能卡,具體包括所述密鑰管理設(shè)備將所述智能卡應(yīng)用所對(duì)應(yīng)的密鑰和相應(yīng)的密鑰更新參數(shù)通過(guò)安全通道發(fā)送給所述業(yè)務(wù)平臺(tái)�,所述業(yè)務(wù)平臺(tái)保存所述智能卡應(yīng)用所對(duì)應(yīng)的密鑰���;所述業(yè)務(wù)平臺(tái)通過(guò)數(shù)據(jù)短信或GPRS的方式將所述密鑰更新參數(shù)發(fā)送給所述智能卡應(yīng) 用所對(duì)應(yīng)的終端�,所述終端直接將所述密鑰更新參數(shù)發(fā)送給相應(yīng)的智能卡�����。
6.如權(quán)利要求5所述的方法�����,其特征在于��,所述智能卡根據(jù)所述密鑰更新參數(shù)按照預(yù) 設(shè)的密鑰生成算法計(jì)算并驗(yàn)證所述智能卡應(yīng)用所對(duì)應(yīng)的密鑰�����,具體為所述智能卡根據(jù)已有的鑒權(quán)密鑰計(jì)算所述智能卡的鑒權(quán)信息����; 所述智能卡根據(jù)所述智能卡的鑒權(quán)信息、自身的用戶標(biāo)識(shí)信息和所述智能卡應(yīng)用所對(duì) 應(yīng)的業(yè)務(wù)平臺(tái)標(biāo)識(shí)信息����,按照預(yù)設(shè)的密鑰生成算法計(jì)算所述智能卡應(yīng)用所對(duì)應(yīng)的密鑰�����; 所述智能卡根據(jù)所述密鑰更新參數(shù)驗(yàn)證所述密鑰��。
7.如權(quán)利要求6所述的方法�����,其特征在于����,在所述密鑰驗(yàn)證成功后����,所述智能卡與所述 業(yè)務(wù)平臺(tái)根據(jù)所述密鑰實(shí)現(xiàn)所述智能卡應(yīng)用,具體為所述智能卡與所述業(yè)務(wù)平臺(tái)通過(guò)包含所述密鑰的消息的交互�,實(shí)現(xiàn)所述智能卡應(yīng)用。
8.—種密鑰管理設(shè)備�,其特征在于,包括接收模塊��,用于接收業(yè)務(wù)平臺(tái)發(fā)送的智能卡應(yīng)用的密鑰生成請(qǐng)求,所述密鑰生成請(qǐng)求 中包含所述智能卡應(yīng)用所對(duì)應(yīng)的用戶標(biāo)識(shí)信息和所述業(yè)務(wù)平臺(tái)的標(biāo)識(shí)信息��;獲取模塊�,用于根據(jù)所述接收模塊所接收到的密鑰生成請(qǐng)求中所包含的所述智能卡應(yīng) 用所對(duì)應(yīng)的用戶標(biāo)識(shí)信息,向HLR獲取所述智能卡的鑒權(quán)信息���;計(jì)算模塊�����,用于根據(jù)所述獲取模塊所獲取的智能卡的鑒權(quán)信息,以及所述接收模塊所 接收到的密鑰生成請(qǐng)求中所包含的所述智能卡應(yīng)用所對(duì)應(yīng)的用戶標(biāo)識(shí)信息和所述業(yè)務(wù)平 臺(tái)的標(biāo)識(shí)信息�,按照預(yù)設(shè)的密鑰生成算法計(jì)算所述智能卡應(yīng)用所對(duì)應(yīng)的密鑰和相應(yīng)的密鑰 更新參數(shù);發(fā)送模塊��,用于將所述計(jì)算模塊所生成的智能卡應(yīng)用所對(duì)應(yīng)的密鑰和相應(yīng)的密鑰更新 參數(shù)發(fā)送給所述業(yè)務(wù)平臺(tái)�。
9.如權(quán)利要求8所述的密鑰管理設(shè)備,其特征在于�����,所述接收模塊所接收到的業(yè)務(wù)平 臺(tái)發(fā)送的智能卡應(yīng)用的密鑰生成請(qǐng)求的觸發(fā)方式��,具體包括所述業(yè)務(wù)平臺(tái)接收到所述智能卡應(yīng)用所對(duì)應(yīng)的終端發(fā)送的包含用戶標(biāo)識(shí)信息的密鑰 生成請(qǐng)求���,并在判斷所述用戶標(biāo)識(shí)信息合法的情況下�,向所述密鑰管理設(shè)備發(fā)送所述智能 卡應(yīng)用的密鑰生成請(qǐng)求;或���,當(dāng)所述業(yè)務(wù)平臺(tái)需要向智能卡應(yīng)用發(fā)送消息時(shí)��,所述業(yè)務(wù)平臺(tái)直接向所述密鑰管理設(shè) 備發(fā)送所述智能卡應(yīng)用的密鑰生成請(qǐng)求�。
10.如權(quán)利要求8所述的密鑰管理設(shè)備�����,其特征在于����,所述獲取模塊根據(jù)所述密鑰生成 請(qǐng)求中所包含的所述智能卡應(yīng)用所對(duì)應(yīng)的用戶標(biāo)識(shí)信息,向HLR獲取的所述智能卡的鑒權(quán) 信息�,具體為當(dāng)所述智能卡應(yīng)用所對(duì)應(yīng)的智能卡具體為用戶識(shí)別卡SIM時(shí),所述智能卡的鑒權(quán)信息 具體為包含隨機(jī)數(shù)RAND��、預(yù)期響應(yīng)RES和加密密鑰Kc的三元組信息��;當(dāng)所述智能卡應(yīng)用所對(duì)應(yīng)的智能卡具體為全球用戶識(shí)別卡USIM時(shí)����,所述智能卡的鑒 權(quán)信息具體為包含隨機(jī)數(shù)RAND��、鑒權(quán)標(biāo)記AUTN��、預(yù)期響應(yīng)RES����、加密密鑰CK和完整性檢測(cè)密 鑰IK的五元組信息�����。
11.如權(quán)利要求8所述的密鑰管理設(shè)備�����,其特征在于�,所述發(fā)送模塊將所述智能卡應(yīng)用所對(duì)應(yīng)的密鑰和相應(yīng)的密鑰更新參數(shù)發(fā)送給所述業(yè)務(wù)平臺(tái)�����,具體為所述發(fā)送模塊將所述智能卡應(yīng)用所對(duì)應(yīng)的密鑰和相應(yīng)的密鑰更新參數(shù)通過(guò)安全通道 發(fā)送給所述業(yè)務(wù)平臺(tái)�����。
12.—種智能卡�����,其特征在于,包括接收模塊�,用于接收業(yè)務(wù)平臺(tái)所發(fā)送的智能卡應(yīng)用所對(duì)應(yīng)的密鑰更新參數(shù);計(jì)算模塊�����,用于根據(jù)所述接收模塊所接收的密鑰更新參數(shù)��,按照預(yù)設(shè)的密鑰生成算法 計(jì)算并驗(yàn)證所述智能卡應(yīng)用所對(duì)應(yīng)的密鑰����;通信模塊,用于與所述業(yè)務(wù)平臺(tái)通過(guò)包含所述計(jì)算模塊所計(jì)算的密鑰的消息的交互�, 實(shí)現(xiàn)所述智能卡應(yīng)用。
13.如權(quán)利要求12所述的智能卡�����,其特征在于��,所述接收模塊接收業(yè)務(wù)平臺(tái)所發(fā)送的 智能卡應(yīng)用所對(duì)應(yīng)的密鑰更新參數(shù)���,具體為所述接收模塊通過(guò)數(shù)據(jù)短信或GPRS的方式接收業(yè)務(wù)平臺(tái)所發(fā)送的智能卡應(yīng)用所對(duì)應(yīng) 的密鑰更新參數(shù)�。
14.如權(quán)利要求12所述的智能卡,其特征在于�,所述計(jì)算模塊根據(jù)所述密鑰更新參數(shù) 按照預(yù)設(shè)的密鑰生成算法計(jì)算并驗(yàn)證所述智能卡應(yīng)用所對(duì)應(yīng)的密鑰,具體為所述計(jì)算模塊根據(jù)已有的鑒權(quán)密鑰計(jì)算所述智能卡的鑒權(quán)信息�����;所述計(jì)算模塊根據(jù)所述智能卡的鑒權(quán)信息��、自身的用戶標(biāo)識(shí)信息和所述智能卡應(yīng)用所 對(duì)應(yīng)的業(yè)務(wù)平臺(tái)標(biāo)識(shí)信息��,按照預(yù)設(shè)的密鑰生成算法計(jì)算所述智能卡應(yīng)用所對(duì)應(yīng)的密鑰�;所述計(jì)算模塊根據(jù)所述密鑰更新參數(shù)驗(yàn)證所述密鑰。
全文摘要
本發(fā)明實(shí)施例公開(kāi)了一種通過(guò)密鑰進(jìn)行智能卡應(yīng)用的方法和裝置���,引入密鑰管理設(shè)備(KMF)����,根據(jù)相應(yīng)的鑒權(quán)信息及密鑰算法生成相應(yīng)的業(yè)務(wù)密鑰��,并發(fā)送給業(yè)務(wù)平臺(tái)�����,在終端側(cè)通過(guò)鑒權(quán)密鑰Ki進(jìn)行密鑰驗(yàn)證���,從而�����,在終端與業(yè)務(wù)平臺(tái)進(jìn)行安全交互后���,使得各卡應(yīng)用與業(yè)務(wù)平臺(tái)分別共享安全密鑰,達(dá)到保護(hù)卡應(yīng)用交互安全����,提高密鑰處理效率的效果。
文檔編號(hào)H04W4/00GK102056077SQ20091023694
公開(kāi)日2011年5月11日 申請(qǐng)日期2009年10月29日 優(yōu)先權(quán)日2009年10月29日
發(fā)明者彭華熹 申請(qǐng)人:中國(guó)移動(dòng)通信集團(tuán)公司