[发明专利]多应用程序智能卡上的应用程序管理系统及方法

说明书

技术领域

本发明涉及一种管理系统及方法，用于管理至少一种安装权限以便在具体为多应用程序智能卡的智能卡上安装至少一个应用程序。

背景技术

在现有的技术文献WO 97/10562 A1中，公开了一种智能卡查询台(kiosk)的程序设计接口。更具体地，现有的技术文献WO 97/10562A1描述了一些查询台，应用程序提供商或供应商可以在该查询台处安装其软件，以便与拥有智能卡的用户进行业务办理。该查询台为这些应用程序提供了标准接口，这样可以不考虑用户所拥有的智能卡的类型，来办理业务以及更新智能卡上的数据结构。然而，这种程序设计接口并不涉及智能卡上的应用程序的委托管理。

在现有技术文献EP 0 798 673 A1中公开了一种在智能卡上安全地加载命令的方法，具体为一种用于确认智能卡上必须加载或执行的应用程序或命令的基本技术，其中两方都必须就智能卡上所允许运行的应用程序达成一致。具体地，现有技术文献EP 0 798 673 A1描述了如何通过首先让诸如智能卡发行商和信任的第三方这样的两独立方批准命令并产生鉴权码，来将该命令和/或应用程序安全地加载到智能卡上。这两方都具有在智能卡中为已知的密钥，这样智能卡在执行命令之前可检查，该命令或应用程序是否确实由这些方所批准。然而，现有技术文献EP 0 798 673 A1没有讨论使一方控制智能卡上的应用程序以及随后能够将此控制转移到第二方的功能性。

在现有技术文献WO 98/43212 A1中，公开了对智能卡上的应用程序的发行后下载。具体地，所描述的方法允许卡发行商在智能卡发行之后增加应用程序，具体是在有效期内。可通过被称为卡域的第二应用程序来安装应用程序。因此，描述了也在GP(全局平台)/OP(开放平台)标准中指定了的所谓SD(安全域)的基本功能。然而，现有技术文献WO 98/43212 A1没有讨论委托管理的可能性，即，让除了卡发行商的任意其他用户在发行之后安装应用程序。此外，现有技术文献WO 98/432 12 A1不涉及可安装在卡上的应用程序的管理转移。

在现有技术文献US 2002/0040936 A1中描述了如何在全局平台/开放平台标准内执行委托管理。委托管理表示应用程序提供商可在发行之后将其自身的应用程序安装在智能卡上，而不需要卡发行商在线；与之相反，在早期的智能卡系统中，应用程序的增加只能由发行商来完成。

然而，在委托管理中，来自第三方应用程序提供商的应用程序首先需要由卡发行商来批准。卡发行商产生用于新应用程序的所谓的数据鉴权模式，其中智能卡可在稍后检查。因此，在这种情况下，卡发行商仍控制可安装到智能卡上的应用程序。

GP(全局平台)规范(参见GlobalPlatform Consortium，Card Specification，Version 2.1.1.，March 2003，在http://www.globalplatform.org/可获得)定义了一种用于动态多应用程序智能卡的体系结构及标准。它们的目标是提供到应用程序以及卡外管理系统的独立于供应商以及硬件的接口。GP标准为当前唯一已知的(并且因此是最先进的)指定了这样的多应用程序卡管理系统的标准。

在GP中，卡发行商对关于智能卡上的应用程序管理具有最有力的控制。卡发行商具有用于智能卡上的卡管理器的主密钥(master key)，以此可以执行加载操作、安装操作以及删除操作。

GP允许其他应用程序提供商获得卡内SD(安全域)的密钥。安全域是一种特定类型的应用程序，可向其拥有者提供诸如密钥处理、加密、解密等的安全服务，并可由应用程序提供商用于将新的应用程序加载并安装到智能卡。应用程序与应用程序提供商的安全域相关联。拥有SD(安全域)密钥的应用程序提供商可为安全域设置安全通道，并且在其应用程序是由卡的发行商预先批准的情况下安装应用程序。这被称作GP(全局平台)内的委托管理。

在可安装应用程序之前，应用程序提供商必须从卡发行商处获得安装权标(token)。此权标，即预鉴权，使用其所允许的权力来唯一地识别从属的应用程序代码，并由卡发行商数字签名。安全域将此权标传递到卡管理器，该卡管理器检验此权标并执行对小应用程序(applet)或应用程序的实际安装。允许应用程序提供商删除与其安全域相关联的应用程序。

此外，GP标准还允许卡发行商之外的另一个实体来共同决定可安装到卡上的应用程序。此实体在GP内称为CA(控制机构)。CA的卡内表征为称为CASD(控制机构安全域)的特定安全域。