應(yīng)用下載方法、安全元件及終端技術(shù)

本發(fā)明專利技術(shù)公開了一種應(yīng)用下載方法，包括：安全元件(SE)接收來自SP?TSM的應(yīng)用下載指令；采用第一安全域密鑰對所述應(yīng)用下載指令進(jìn)行驗證；所述第一安全域密鑰為所述SE自身生成的主安全域密鑰；驗證通過后，執(zhí)行所述應(yīng)用下載指令，進(jìn)行對應(yīng)應(yīng)用的下載。本發(fā)明專利技術(shù)同時還公開了一種SE及終端。

Application downloading method, security element and terminal

The invention discloses an application download method, including: security element (SE) receives from the SP TSM application download instructions; the first security domain key to the application download instructions for verification; the main security domain of the generated first security domain key for the SE key; after verification by. The execution of the application download instructions, the corresponding application download. The invention also discloses a SE and a terminal.

【技術(shù)實現(xiàn)步驟摘要】
應(yīng)用下載方法、安全元件及終端
本專利技術(shù)涉及通信領(lǐng)域的安全技術(shù)，尤其涉及一種應(yīng)用下載方法、安全元件(SE，SecureElement)及終端。
技術(shù)介紹
隨著移動互聯(lián)網(wǎng)業(yè)務(wù)和支付技術(shù)的不斷發(fā)展，各種帶有SE功能的智能終端不斷涌現(xiàn)，比如近場通信(NFC，NearFieldCommunication)全終端、嵌入式SE(eSE，embeddedSE)手機(jī)(以Apple手機(jī)為代表)、NFC單線協(xié)議(NFC-SWP，NFC-SingleWireProtocol)手機(jī)、Google基于主機(jī)的卡模擬(HCE，Host-basedCardEmulation)設(shè)備、NFC-安全數(shù)字卡(NFC-SD，NFC-SecureDigital)設(shè)備、NFC全卡設(shè)備、安全運(yùn)行環(huán)境(TEE，TrustExecuteEnvironment)終端、帶有SE的平板(Pad)、智能手環(huán)、其它各種可穿戴設(shè)備等等。業(yè)務(wù)提供方(SP)比如銀行、公交公司等可通過SE發(fā)行方(SEI，SEIssue)的可信服務(wù)管理(TSM，TrustServiceManager)(SEITSM)動態(tài)下載銀行卡、公交卡等應(yīng)用。由于不同SE有不同的發(fā)行方，舉個例子來說，ApplePay由蘋果公司發(fā)行，榮耀全終端的SE由華為發(fā)行，SIM卡由各運(yùn)營商發(fā)行，NFC-SD由銀聯(lián)、拉卡拉等眾多廠商發(fā)布。SE發(fā)行方在SE中預(yù)置主安全域，并掌控SE上主安全域的密鑰，業(yè)務(wù)提供方需要接入發(fā)行方的TSM，在主安全域的控制下，進(jìn)行輔助安全域創(chuàng)建以及應(yīng)用下載、刪除等管理操作。應(yīng)用發(fā)行包括兩個流程，一是業(yè)務(wù)提供方的應(yīng)用上線流程，一個是用戶應(yīng)用發(fā)現(xiàn)及下載流程。然而，在上述流程中，由于SE是由SE發(fā)行方控制的，且SE發(fā)行方的數(shù)量眾多，因此，容易造成用戶和業(yè)務(wù)提供方產(chǎn)生隔離，從而造成用戶碎片化及業(yè)務(wù)提供方應(yīng)用發(fā)行的重復(fù)工作，降低了處理效率。
技術(shù)實現(xiàn)思路
為解決現(xiàn)有存在的技術(shù)問題，本專利技術(shù)實施例提供一種應(yīng)用下載方法、SE及終端。為達(dá)到上述目的，本專利技術(shù)實施例的技術(shù)方案是這樣實現(xiàn)的：本專利技術(shù)實施例提供了一種應(yīng)用下載方法，應(yīng)用于SE，所述方法包括：接收來自業(yè)務(wù)提供商(SP，ServiceProvider)TSM的應(yīng)用下載指令；采用第一安全域密鑰對所述應(yīng)用下載指令進(jìn)行驗證；所述第一安全域密鑰為所述SE自身生成的主安全域密鑰；驗證通過后，執(zhí)行所述應(yīng)用下載指令，進(jìn)行對應(yīng)應(yīng)用的下載。上述方案中，所述接收SPTSM的應(yīng)用下載指令時，所述方法還包括：接收終端發(fā)送的下載請求；解析所述下載請求，得到第一信息；所述第一信息包含第二信息及第三信息；所述第二信息表征來自所述SPTSM的應(yīng)用下載指令；所述第三信息表征所述第二信息對應(yīng)的令牌(TOKEN)簽名數(shù)據(jù)；相應(yīng)地，所述采用第一安全域密鑰對所述應(yīng)用下載指令進(jìn)行驗證之前，所述方法還包括：驗證所述第三信息，驗證通過后采用第一安全域密鑰對所述應(yīng)用下載指令進(jìn)行驗證。上述方案中，所述接收終端發(fā)送的下載請求之前，所述方法還包括：接收所述終端發(fā)送的簽名請求；解析所述簽名請求，得到第四信息；所述第四信息包含第二信息及第五信息；所述第五信息表征用戶輸入的PIN碼；對所述第五信息進(jìn)行驗證，驗證通過后針對所述第二信息生成對應(yīng)的TOKEN簽名數(shù)據(jù)，并向所述終端返回響應(yīng)；所述TOKEN簽名數(shù)據(jù)為響應(yīng)數(shù)據(jù)。上述方案中，所述方法還包括：進(jìn)行初始化時，自身生成所述第一安全域密鑰。上述方案中，所述生成所述第一安全域密鑰之前，所述方法還包括：接收終端發(fā)送的初始化請求；對所述初始化請求進(jìn)行解析，得到第五信息；所述第五信息表征用戶輸入的PIN碼；對所述PIN碼進(jìn)行驗證，驗證通過后，自身生成所述第一安全域密鑰；向所述終端返回初始化響應(yīng)。本專利技術(shù)實施例還提供了一種應(yīng)用下載方法，應(yīng)用于終端，所述方法包括：接收第一操作；所述第一操作用于觸發(fā)應(yīng)用下載；依據(jù)所述第一操作，向SPTSM獲取相應(yīng)的應(yīng)用下載指令；向SE發(fā)送下載請求；所述下載請求攜帶有第一信息；所述第一信息包含第二信息及第三信息；所述第二信息表征來自所述SPTSM的應(yīng)用下載指令；所述第二信息用于指示所述SE進(jìn)行對應(yīng)應(yīng)用下載；所述第三信息表征所述第二信息對應(yīng)的TOKEN簽名數(shù)據(jù)；所述第三信息用于所述SE對所述第二信息進(jìn)行驗證。上述方案中，獲取相應(yīng)的應(yīng)用下載指令后，且所述向SE發(fā)送下載請求之前，所述方法還包括：依據(jù)所述應(yīng)用下載指令，發(fā)出提示信息，所述提示信息用于提示用戶輸入PIN碼；接收第二操作；所述第二操作是對所述提示信息的響應(yīng)操作；依據(jù)第二操作，向所述SE發(fā)送簽名請求；所述簽名請求攜帶第四信息；所述第四信息包含第二信息及第五信息；所述第五信息表征用戶輸入的PIN碼；接收所述SE返回的響應(yīng)；所述TOKEN簽名數(shù)據(jù)為響應(yīng)數(shù)據(jù)。上述方案中，所述方法還包括：接收第三操作；所述第三操作用于觸發(fā)對所述SE進(jìn)行初始化；依據(jù)所述第三操作，發(fā)出提示信息，所述提示信息用于提示用戶輸入PIN碼；接收第四操作；所述第四操作是對所述提示信息的響應(yīng)操作；依據(jù)第四操作，向所述SE發(fā)送生成初始化請求；所述初始化請求用于指示所述SE生成第一安全域密鑰；所述初始化請求攜帶有第五信息；所述第五信息表征用戶輸入的PIN碼；所述第一安全域密鑰用于對來自述SPTSM的應(yīng)用下載指令進(jìn)行驗證；接收所述SE返回的初始化響應(yīng)。本專利技術(shù)實施例又提供了一種SE，包括：第一接收單元、第一驗證單元以及下載單元；其中，所述第一接收單元，用于接收來自SPTSM的應(yīng)用下載指令；所述第一驗證單元，用于采用第一安全域密鑰對所述應(yīng)用下載指令進(jìn)行驗證；所述第一安全域密鑰為所述SE自身生成的主安全域密鑰；所述下載單元，用于驗證通過后，執(zhí)行所述應(yīng)用下載指令，進(jìn)行對應(yīng)應(yīng)用的下載。上述方案中，所述SE還包括：解析單元及第二驗證單元；其中，所述第一接收單元，用于接收終端發(fā)送的下載請求；所述解析單元，用于解析所述下載請求，得到第一信息；所述第一信息包含第二信息及第三信息；所述第二信息表征來自所述SPTSM的應(yīng)用下載指令；所述第三信息表征所述第二信息對應(yīng)的TOKEN簽名數(shù)據(jù)；所述第二驗證單元，用于驗證所述第三信息，驗證通過后觸發(fā)所述第一驗證單元；所述第一驗證單元，用于收到所述第二驗證單元的觸發(fā)后，采用第一安全域密鑰對所述應(yīng)用下載指令進(jìn)行驗證。上述方案中，所述SE還包括簽名單元；其中，所述第一接收單元，還用于接收所述終端發(fā)送的簽名請求；所述解析單元，還用于解析所述簽名請求，得到第四信息；所述第四信息包含第二信息及第五信息；所述第五信息表征用戶輸入的PIN碼；所述簽名單元，用于對所述第五信息進(jìn)行驗證，驗證通過后針對所述第二信息生成對應(yīng)的TOKEN簽名數(shù)據(jù)，并向所述終端返回響應(yīng)；所述TOKEN簽名數(shù)據(jù)為響應(yīng)數(shù)據(jù)。上述方案中，所述SE還包括：生成單元，用于進(jìn)行初始化時，自身生成所述第一安全域密鑰。上述方案中，所述第一接收單元，還用于接收終端發(fā)送的初始化請求；所述生成單元，用于對所述初始化請求進(jìn)行解析，得到第五信息；所述第五信息表征用戶輸入的PIN碼；對所述PIN碼進(jìn)行驗證，驗證通過后，自身生成所述第一安全域密鑰；并向所述終端返回初始化響應(yīng)。本專利技術(shù)實施例還提供了一種終端，包括：第二接收單元、獲取單元以及發(fā)送單元；其中，所述第二接收單元，用于接收第一操作本文檔來自技高網(wǎng)...

【技術(shù)保護(hù)點(diǎn)】
一種應(yīng)用下載方法，其特征在于，應(yīng)用于安全元件SE，所述方法包括：接收來自業(yè)務(wù)提供商可信服務(wù)管理SP?TSM的應(yīng)用下載指令；采用第一安全域密鑰對所述應(yīng)用下載指令進(jìn)行驗證；所述第一安全域密鑰為所述SE自身生成的主安全域密鑰；驗證通過后，執(zhí)行所述應(yīng)用下載指令，進(jìn)行對應(yīng)應(yīng)用的下載。

【技術(shù)特征摘要】
1.一種應(yīng)用下載方法，其特征在于，應(yīng)用于安全元件SE，所述方法包括：接收來自業(yè)務(wù)提供商可信服務(wù)管理SPTSM的應(yīng)用下載指令；采用第一安全域密鑰對所述應(yīng)用下載指令進(jìn)行驗證；所述第一安全域密鑰為所述SE自身生成的主安全域密鑰；驗證通過后，執(zhí)行所述應(yīng)用下載指令，進(jìn)行對應(yīng)應(yīng)用的下載。2.根據(jù)權(quán)利要求1所述的方法，其特征在于，所述接收SPTSM的應(yīng)用下載指令時，所述方法還包括：接收終端發(fā)送的下載請求；解析所述下載請求，得到第一信息；所述第一信息包含第二信息及第三信息；所述第二信息表征來自所述SPTSM的應(yīng)用下載指令；所述第三信息表征所述第二信息對應(yīng)的令牌TOKEN簽名數(shù)據(jù)；相應(yīng)地，所述采用第一安全域密鑰對所述應(yīng)用下載指令進(jìn)行驗證之前，所述方法還包括：驗證所述第三信息，驗證通過后采用第一安全域密鑰對所述應(yīng)用下載指令進(jìn)行驗證。3.根據(jù)權(quán)利要求2所述的方法，其特征在于，所述接收終端發(fā)送的下載請求之前，所述方法還包括：接收所述終端發(fā)送的簽名請求；解析所述簽名請求，得到第四信息；所述第四信息包含第二信息及第五信息；所述第五信息表征用戶輸入的PIN碼；對所述第五信息進(jìn)行驗證，驗證通過后針對所述第二信息生成對應(yīng)的TOKEN簽名數(shù)據(jù)，并向所述終端返回響應(yīng)；所述TOKEN簽名數(shù)據(jù)為響應(yīng)數(shù)據(jù)。4.根據(jù)權(quán)利要求1至3任一項所述的方法，其特征在于，所述方法還包括：進(jìn)行初始化時，自身生成所述第一安全域密鑰。5.根據(jù)權(quán)利要求4所述的方法，其特征在于，所述生成所述第一安全域密鑰之前，所述方法還包括：接收終端發(fā)送的初始化請求；對所述初始化請求進(jìn)行解析，得到第五信息；所述第五信息表征用戶輸入的PIN碼；對所述PIN碼進(jìn)行驗證，驗證通過后，自身生成所述第一安全域密鑰；向所述終端返回初始化響應(yīng)。6.一種應(yīng)用下載方法，其特征在于，應(yīng)用于終端，所述方法包括：接收第一操作；所述第一操作用于觸發(fā)應(yīng)用下載；依據(jù)所述第一操作，向SPTSM獲取相應(yīng)的應(yīng)用下載指令；向SE發(fā)送下載請求；所述下載請求攜帶有第一信息；所述第一信息包含第二信息及第三信息；所述第二信息表征來自所述SPTSM的應(yīng)用下載指令；所述第二信息用于指示所述SE進(jìn)行對應(yīng)應(yīng)用下載；所述第三信息表征所述第二信息對應(yīng)的TOKEN簽名數(shù)據(jù)；所述第三信息用于所述SE對所述第二信息進(jìn)行驗證。7.根據(jù)權(quán)利要求6所述的方法，其特征在于，獲取相應(yīng)的應(yīng)用下載指令后，且所述向SE發(fā)送下載請求之前，所述方法還包括：依據(jù)所述應(yīng)用下載指令，發(fā)出提示信息，所述提示信息用于提示用戶輸入PIN碼；接收第二操作；所述第二操作是對所述提示信息的響應(yīng)操作；依據(jù)第二操作，向所述SE發(fā)送簽名請求；所述簽名請求攜帶第四信息；所述第四信息包含第二信息及第五信息；所述第五信息表征用戶輸入的PIN碼；接收所述SE返回的響應(yīng)；所述TOKEN簽名數(shù)據(jù)為響應(yīng)數(shù)據(jù)。8.根據(jù)權(quán)利要求6或7所述的方法，其特征在于，所述方法還包括：接收第三操作；所述第三操作用于觸發(fā)對所述SE進(jìn)行初始化；依據(jù)所述第三操作，發(fā)出提示信息，所述提示信息用于提示用戶輸入PIN碼；接收第四操作；所述第四操作是對所述提示信息的響應(yīng)操作；依據(jù)第四操作，向所述SE發(fā)送生成初始化請求；所述初始化請求用于指示所述SE生成第一安全域密鑰；所述初始化請求攜帶有第五信息；所述第五信息表征用戶輸入的PIN碼；所述第一安全域密鑰用于對來自述SPTSM的應(yīng)用下載指令進(jìn)行驗證；接收所述SE返回的初始化響應(yīng)。9.一種SE，其特征在于，所述SE包括：第一接收單元、第一驗證單元以及下載單元；其中，所述第一接收單元，用于接收來自SPTSM的應(yīng)用下載指令；所述第一驗證單元，用于采用第一安全域密鑰對所述應(yīng)用下...

【專利技術(shù)屬性】
技術(shù)研發(fā)人員：陸鳴，王萍，
申請(專利權(quán))人：中國移動通信集團(tuán)公司，
類型：發(fā)明
國別省市：北京,11