[发明专利]密钥分发方法和系统

说明书

技术领域

本发明涉及通信领域，并且特别地，涉及一种密钥分发方法和 系统。

背景技术

在相关技术中，近场通信技术(Near Field Communication，简 称为NFC)是工作于13.56MHz的一种近距离无线通信技术，该技 术由射频识别(Radio Frequency Identification，简称为RFID)技术 及互连技术融合演变而来。手机等移动通信终端在集成NFC技术 后，可以模拟非接触式IC卡，用于电子支付的相关应用；此外，在 移动通信终端上实现该方案需要在终端上增加NFC模拟前端芯片 和NFC天线，并使用支持电子支付的智能卡。

IC卡特别是非接触式IC卡经过十多年的发展，已经被广泛应 用于公交、门禁、小额电子支付等领域；与此同时，手机经历20 多年的迅速发展后，其应用已经基本得到普及，并且给人们的工作 及生活带来了很大的便利，随着手机的功能越来越强大，将手机和 非接触式IC卡技术结合，将手机应用于电子支付领域，会进一步扩 大手机的使用范围，给人们的生活带来便捷，存在着广阔的应用前 景。

在相关技术中，为实现基于NFC技术的移动电子支付，需要建 立移动终端电子支付系统，并通过该系统实现对移动终端电子支付 的管理，其中，移动终端电子支付系统包括：智能卡的发行、电子 支付应用的下载、安装和个人化、以及采用相关技术和管理策略实 现电子支付的安全等。

安全域是卡外实体包括卡片发行商和应用提供商在卡上的代 表，它们包含用于支持安全通道协议运作以及卡内容管理的加密密 钥。安全域负责它们自己的密钥管理，这保证了来自不同应用提供 者的应用和数据可以共存于同一个卡上。安全域的密钥采用非对称 密钥体制时，安全域上的密钥和证书需要包括：安全域的公钥和私 钥、安全域的证书、用于认证卡外实体证书的可信任根公钥。

应用提供商在智能卡上的安全域为从安全域，在将应用提供商 的电子支付应用下载并安装到智能卡之前，需要在智能卡上先通过 卡片发行商拥有的智能卡主安全域创建应用提供商的从安全域，然 后设置从安全域的密钥。

安全域密钥作为机密数据，需要采取可靠及安全的方法和技术 将有关密钥和证书导入到从安全域，实现从安全域密钥的安全分发， 其中，从安全域的创建需要由卡片发行商管理平台指示智能卡上的 主安全域创建，而且从安全域创建完成后，从安全域的初始密钥需 要由卡片发行商管理平台负责设置和分发。

从安全域创建完成后，卡发行商管理平台可以通知应用提供商 管理平台生成从安全域的公私密钥对和证书；应用提供商管理平台 生成从安全域的公私密钥对和证书后，再由卡发行商管理平台通过 智能卡主安全域将从安全域公私密钥对和证书发送给从安全域，由 此完成从安全域的密钥分发。

在上述情况下，卡片发行商管理平台负责密钥数据的传送时可 以获得发送的安全域密钥数据，可能使用获得的密钥对从安全域执 行操作，这样会对应用提供商的电子支付应用安全造成威胁，因此， 急需一种解决从安全域密钥的分发不安全的问题的技术方案。

发明内容

考虑到相关技术中由于卡片发行商管理平台负责密钥数据的传 送时可以获得发送的安全域密钥数据而导致的从安全域密钥的分发 不安全的问题而提出本发明，为此，本发明的主要目的在于提供一 种密钥分发方法和系统，以解决相关技术中存在的上述问题。

根据本发明的一个方面，提供了一种密钥分发方法。

根据本发明的密钥分发方法包括：卡片发行商管理平台生成应 用提供商对应的从安全域的初始密钥，将初始密钥、用于外部认证 的可信任根公钥导入到从安全域，并向应用提供商管理平台发送从 安全域的信息以及初始密钥；应用提供商管理平台接收从安全域的 信息以及初始密钥，并根据从安全域的信息以及初始密钥通过业务 终端选择智能卡的从安全域；应用提供商管理平台生成从安全域的 公密钥和私密钥以及从安全域证书，并将公密钥和私密钥以及从安 全域证书加密后发送到从安全域。