[发明专利]密钥分发方法和系统

权利要求书

1.一种密钥分发方法，其特征在于，包括：

应用提供商管理平台获得设置于智能卡上的可信任第三 方从安全域即CASD的公钥；

所述应用提供商管理平台生成临时对话密钥，并将经过所 述CASD的公钥加密以及所述应用提供商的私钥签名的所述 临时对话密钥通过卡发行商管理平台发送至所述应用提供商 管理平台对应的设置于所述智能卡上的应用提供商从安全域；

所述应用提供商管理平台生成所述应用提供商从安全域 的包括公密钥和私密钥的公私密钥对、以及所述应用提供商从 安全域的证书，并将经过所述临时对话密钥加密的所述应用提 供商从安全域的所述公密钥、所述私密钥、所述应用提供商从 安全域的证书和用于外部认证的可信任根公钥通过所述卡发 行商管理平台发送至所述应用提供商从安全域，完成对所述应 用提供商从安全域密钥的分发。

2.根据权利要求1所述的方法，其特征在于，所述应用提供商管 理平台获得所述CASD的公钥的处理具体包括：

所述应用提供商管理平台通过所述智能卡获得所述 CASD的证书；

所述应用提供商管理平台验证所述CASD的证书，并获 得所述CASD的公钥。

3.根据权利要求1所述的方法，其特征在于，在所述应用提供商 管理平台生成临时对话密钥之前，所述方法还包括：

所述应用提供商管理平台将应用提供商的证书发送至所 述应用提供商从安全域，以使所述应用提供商从安全域验证所 述应用提供商的证书；

在所述应用提供商的证书被验证通过的情况下，执行所述 应用提供商管理平台生成临时对话密钥的处理。

4.根据权利要求3所述的方法，其特征在于，所述应用提供商管 理平台将所述应用提供商的证书发送至所述应用提供商从安 全域的处理具体包括：

所述应用提供商管理平台利用所述可信任第三方从安全 域的公钥对所述应用提供商的证书进行加密；

所述应用提供商管理平台将加密的所述应用提供商的证 书发送至所述应用提供商从安全域。

5.根据权利要求4所述的方法，其特征在于，在所述应用提供商 的证书被所述应用提供商从安全域验证通过后，所述方法还包 括：

所述应用提供商从安全域通过所述应用提供商的证书获 得所述应用提供商的公钥。

6.根据权利要求5所述的方法，其特征在于，在所述应用提供商 管理平台将所述临时对话密钥发送至所述应用提供商从安全 域的处理之后，所述方法还包括：

所述应用提供商从安全域利用所述应用提供商的公钥验 证所述临时对话密钥的签名；

在所述临时对话密钥的签名被验证通过后，所述应用提供 商从安全域通过调用所述CASD提供的服务接口对所述临时 对话密钥进行解密，并获得所述临时对话密钥。

7.根据权利要求6所述的方法，其特征在于，在所述应用提供商 管理平台将加密的所述应用提供商从安全域的所述公密钥、所 述私密钥、所述应用提供商从安全域的证书和用于外部认证的 可信任根公钥发送至所述应用提供商从安全域之后，所述方法 还包括：

所述应用提供商从安全域接收并利用所述临时对话密钥 解密所述应用提供商从安全域的所述公密钥、所述私密钥、所 述应用提供商从安全域的证书和用于外部认证的可信任根公 钥。

8.根据权利要求1所述的方法，其特征在于，在应用提供商管理 平台获得所述CASD的公钥之前，所述方法进一步包括：

卡发行商管理平台在所述智能卡上创建所述应用提供商 从安全域，并将所述应用提供商从安全域的基本信息发送至所 述应用提供商管理平台，其中，所述基本信息包括所述应用提 供商从安全域的标识信息和所述应用提供商从安全域的配置 信息。