.1/V2.2規(guī)范建立��,也可以通過其它方法建立��;所述互認(rèn)證過程經(jīng)由卡發(fā)行商業(yè)務(wù)終端在所述卡發(fā)行商管理平臺(tái)和所述智能卡從安全域之間完成���。
[0064]步驟204:卡發(fā)行商管理平臺(tái)生成新的從安全域密鑰��;
[0065]步驟205:卡發(fā)行商管理平臺(tái)通過HJTKEY命令�����,經(jīng)由卡發(fā)行商業(yè)務(wù)終端向智能卡從安全域發(fā)送新的從安全域密鑰���;
[0066]步驟206:智能卡從安全域接收到新的從安全域密鑰后,完成對(duì)從安全域初始密鑰的更新操作���;
[0067]步驟207:智能卡從安全域經(jīng)由卡發(fā)行商業(yè)務(wù)終端向卡發(fā)行商管理平臺(tái)發(fā)送PUTKEY命令響應(yīng)�����,結(jié)束對(duì)從安全域初始密鑰的更新過程���。
[0068]上述步驟201之前,還包含卡發(fā)行商管理平臺(tái)根據(jù)用戶應(yīng)用下載申請(qǐng)建立智能卡從安全域�����,并下發(fā)智能卡從安全域初始密鑰給從智能卡從安全域的步驟����。
[0069]圖3是根據(jù)本發(fā)明的,針對(duì)應(yīng)用提供商管理的從安全域的基于應(yīng)用提供商業(yè)務(wù)終端的從安全域初始密鑰更新分發(fā)流程示意圖����。如圖3所示,針對(duì)應(yīng)用提供商管理的從安全域的基于應(yīng)用提供商業(yè)務(wù)終端的從安全域初始密鑰更新分發(fā)流程步驟包括:
[0070]步驟301:用戶通過應(yīng)用提供商業(yè)務(wù)終端客戶端程序或卡片程序觸發(fā)應(yīng)用下載申請(qǐng)���,并向應(yīng)用提供商管理平臺(tái)提交應(yīng)用下載申請(qǐng)�����,應(yīng)用下載申請(qǐng)包含智能卡標(biāo)識(shí)信息(ICCID)等����;
[0071]步驟302:應(yīng)用提供商管理平臺(tái)向卡發(fā)行商管理平臺(tái)提交從安全域創(chuàng)建請(qǐng)求信息����,在請(qǐng)求報(bào)文中包括應(yīng)用提供商身份信息(ASP-1D)和智能卡標(biāo)識(shí)信息(ICCID)等��;
[0072]步驟303:卡發(fā)行商管理平臺(tái)驗(yàn)證該從安全域創(chuàng)建請(qǐng)求信息���,并確定是否允許該請(qǐng)求?���?òl(fā)行商管理平臺(tái)判斷是否通過應(yīng)用提供商管理平臺(tái)創(chuàng)建從安全域。
[0073]如果卡發(fā)行商管理平臺(tái)根據(jù)該創(chuàng)建請(qǐng)求信息中的智能卡標(biāo)識(shí)信息和應(yīng)用提供商身份等判斷不需要?jiǎng)?chuàng)建從安全域�,則終止從安全域創(chuàng)建過程,否則��,繼續(xù)執(zhí)行后續(xù)步驟����;
[0074]步驟304:卡發(fā)行商管理平臺(tái)經(jīng)由應(yīng)用提供商管理平臺(tái)、應(yīng)用提供商業(yè)務(wù)終端向智能卡發(fā)送SELECT命令報(bào)文�����,選擇主安全域���;
[0075]步驟305:智能卡經(jīng)由應(yīng)用提供商業(yè)務(wù)終端和應(yīng)用提供商管理平臺(tái)向卡發(fā)行商管理平臺(tái)提交SELECT命令響應(yīng)報(bào)文��;
[0076]步驟306:卡發(fā)行商管理平臺(tái)與智能卡主安全域經(jīng)由應(yīng)用提供商管理平臺(tái)和應(yīng)用提供商業(yè)務(wù)終端建立安全通信信道�,如建立SCP02安全信道;
[0077]建立安全通信信道的方法為:卡發(fā)行商管理平臺(tái)與智能卡主安全域之間進(jìn)行互認(rèn)證�����,進(jìn)行互認(rèn)證后�,建立起臨時(shí)會(huì)話密鑰�,用于兩者之間的通信加密,該臨時(shí)會(huì)話密鑰可以遵循Global Platform Card Specificat1n V2.1.1/V2.2規(guī)范建立����,也可以通過其它方法建立;所述互認(rèn)證過程經(jīng)由應(yīng)用提供商管理平臺(tái)���、應(yīng)用提供商業(yè)務(wù)終端在所述卡發(fā)行商管理平臺(tái)和所述智能卡主安全域之間完成���。
[0078]步驟307:卡發(fā)行商管理平臺(tái)經(jīng)由應(yīng)用提供商管理平臺(tái)和應(yīng)用提供商業(yè)務(wù)終端向智能卡發(fā)送INSTALL命令;
[0079]步驟308:智能卡經(jīng)由應(yīng)用提供商業(yè)務(wù)終端和應(yīng)用提供商管理平臺(tái)向卡發(fā)行商管理平臺(tái)提交INSTALL命令響應(yīng)���;
[0080]步驟309:卡發(fā)行商管理平臺(tái)生成從安全域初始密鑰��;
[0081]步驟310:卡發(fā)行商管理平臺(tái)通過HJTKEY命令����,經(jīng)由應(yīng)用提供商管理平臺(tái)和應(yīng)用提供商業(yè)務(wù)終端向智能卡主安全域發(fā)送從安全域初始密鑰;
[0082]步驟311:智能卡主安全域接收到從安全域初始密鑰后��,用接收到的從安全域初始密鑰初始化從安全域�����;
[0083]步驟312:智能卡主安全域經(jīng)由應(yīng)用提供商業(yè)務(wù)終端和應(yīng)用提供商管理平臺(tái)向卡發(fā)行商管理平臺(tái)發(fā)送PUTKEY命令響應(yīng)����;
[0084]步驟313:卡發(fā)行商管理平臺(tái)向應(yīng)用提供商管理平臺(tái)返回從安全域基本信息及從安全域初始密鑰;
[0085]其中�,該從安全域基本信息中包括智能卡從安全域標(biāo)識(shí)信息。
[0086]步驟314:應(yīng)用提供商管理平臺(tái)在數(shù)據(jù)庫中添加從安全域相關(guān)信息����;
[0087]步驟315:應(yīng)用提供商管理平臺(tái)經(jīng)由應(yīng)用提供商業(yè)務(wù)終端向智能卡發(fā)送SELECT命令報(bào)文,選擇從安全域�����;
[0088]步驟316:智能卡經(jīng)由應(yīng)用提供商業(yè)務(wù)終端向應(yīng)用提供商密鑰管理系統(tǒng)提交SELECT命令響應(yīng)�;
[0089]步驟317:應(yīng)用提供商管理平臺(tái)經(jīng)由應(yīng)用提供商業(yè)務(wù)終端與智能卡從安全域建立安全通信信道��,如建立SCP02安全信道��;
[0090]建立安全通信信道的方法為:應(yīng)用提供商管理平臺(tái)與智能卡從安全域之間進(jìn)行互認(rèn)證�,進(jìn)行互認(rèn)證后����,建立起臨時(shí)會(huì)話密鑰,用于兩者之間的通信加密�����,該臨時(shí)會(huì)話密鑰可以遵循Global Platform Card Specificat1n V2.1.1/V2.2規(guī)范建立���,也可以通過其它方法建立;所述互認(rèn)證過程經(jīng)由應(yīng)用提供商業(yè)務(wù)終端在所述應(yīng)用提供商管理平臺(tái)和所述智能卡從安全域之間完成�。
[0091]步驟318:應(yīng)用提供商管理平臺(tái)生成新的從安全域密鑰;
[0092]步驟319:應(yīng)用提供商管理平臺(tái)通過PUTKEY命令���,經(jīng)由應(yīng)用提供商業(yè)務(wù)終端向智能卡從安全域發(fā)送新的從安全域密鑰���;
[0093]步驟320:智能卡從安全域接收到新的從安全域密鑰后,完成對(duì)從安全域初始密鑰的更新操作�����;
[0094]步驟321:智能卡從安全域經(jīng)由應(yīng)用提供商業(yè)務(wù)終端向應(yīng)用提供商管理平臺(tái)發(fā)送PUTKEY命令響應(yīng),結(jié)束從安全域密鑰分發(fā)過程�。
[0095]圖4是根據(jù)本發(fā)明的,針對(duì)卡發(fā)行商管理的從安全域��,由于密鑰到期或強(qiáng)制更新引起的基于卡發(fā)行商業(yè)務(wù)終端的從安全域密鑰更新分發(fā)流程示意圖�。如圖4所示,針對(duì)卡發(fā)行商管理的從安全域���,由于密鑰到期或強(qiáng)制更新引起的基于卡發(fā)行商業(yè)務(wù)終端的從安全域密鑰更新分發(fā)流程步驟包括:
[0096]步驟401�����、卡發(fā)行商管理平臺(tái)經(jīng)由卡發(fā)行商業(yè)務(wù)終端向智能卡發(fā)送SELECT命令報(bào)文�,選擇從安全域�;
[0097]步驟402、智能卡經(jīng)由卡發(fā)行商業(yè)務(wù)終端向卡發(fā)行商管理平臺(tái)提交SELECT命令響應(yīng)�����;
[0098]步驟403�����、卡發(fā)行商管理平臺(tái)經(jīng)由卡發(fā)行商業(yè)務(wù)終端與智能卡從安全域建立安全通信信道,如建立SCP02安全信道��;
[0099]建立安全通信信道的方法為:卡發(fā)行商管理平臺(tái)與智能卡從安全域之間進(jìn)行互認(rèn)證����,進(jìn)行互認(rèn)證后,建立起臨時(shí)會(huì)話密鑰��,用于兩者之間的通信加密����,該臨時(shí)會(huì)話密鑰可以遵循Global Platform Card Specificat1n V2.1.1/V2.2規(guī)范建立,也可以通過其它方法建立�����;所述互認(rèn)證過程經(jīng)由卡發(fā)行商業(yè)務(wù)終端在所述卡發(fā)行商管理平臺(tái)和所述智能卡從安全域之間完成��。
[0100]步驟404����、卡發(fā)行商管理平臺(tái)生成新的從安全域密鑰�;
[0101]步驟405、卡發(fā)行商管理平臺(tái)通過PUTKEY命令���,經(jīng)由卡發(fā)行商業(yè)務(wù)終端向智能卡從安全域發(fā)送新的從安全域密鑰����;
[0102]步驟406、智能卡從安全域接收到新從安全域密鑰后����,完成智能卡從安全域密鑰的更新操作;
[0103]步驟407�����、智能卡從安全域經(jīng)由卡發(fā)行商業(yè)務(wù)終端向卡發(fā)行商管理平臺(tái)發(fā)送PUTKEY命令響應(yīng)�,結(jié)束從安全域密鑰更新過程。
[0104]圖5是根據(jù)本發(fā)明的�����,針對(duì)應(yīng)用提供商管理的從安全域���,由于密鑰到期或強(qiáng)制更新引起的基于應(yīng)用提供商業(yè)務(wù)終端的從安全域密鑰更新分發(fā)流程示意圖����。如圖5所示��,針對(duì)應(yīng)用提供商管理的從安全域,由于密鑰到期或強(qiáng)制更新引起的基于應(yīng)用提供商業(yè)務(wù)終端的從安全域密鑰更新分發(fā)流程步驟包括:
[0105]步驟501�����、應(yīng)用提供商管理平臺(tái)經(jīng)由應(yīng)用提供商業(yè)務(wù)終端向智能卡發(fā)送SELECT命令報(bào)文�����,選擇從安全域�����;
[0106]步驟502��、智能卡經(jīng)由應(yīng)用提供商業(yè)務(wù)終端向應(yīng)用提供商管理平臺(tái)提交SELECT命令響應(yīng)�;
[0107]步驟503、應(yīng)用提供商管理平臺(tái)經(jīng)由應(yīng)用提供商業(yè)務(wù)終端與智能卡從安全域建立SCP02安全信道����;
[0108]建立安全通信信道的方法為:應(yīng)用提供商管理平臺(tái)與智能卡從安全域之間進(jìn)行互認(rèn)證�����,進(jìn)行互認(rèn)證后��,建立起臨時(shí)會(huì)話密鑰,用于兩者之間的通信加密����,該臨時(shí)會(huì)話密鑰可以遵循Global Platform Card Specificat1n V2.1.1/V2.2規(guī)范建立,也可以通過其它方法建立�;所述互認(rèn)證過程經(jīng)由應(yīng)用提供商業(yè)務(wù)終端在所述應(yīng)用提供商管理平臺(tái)和所述智能卡從安全域之間完成。
[0109]步驟504�、應(yīng)用提供商管理平臺(tái)生成新的從安全域密鑰;
[0110]步驟505�、應(yīng)用提供商管理平臺(tái)通過PUTKEY命令,命令中攜帶新的從安全域密鑰�����,經(jīng)由應(yīng)用提供商業(yè)務(wù)終端向智能卡從安全域發(fā)送新的從安全域密鑰�����;
[0111]步驟506�����、智能卡從安全域接收到新從安全域密鑰后�����,完成從安全域密鑰的更新操作;
[0112]步驟507�����、智能卡從安全域經(jīng)由應(yīng)用提供商業(yè)務(wù)終端向應(yīng)用提供商管理平臺(tái)發(fā)送PUTKEY命令響應(yīng)����,結(jié)束從安全域密鑰更新過程。
[0113]本發(fā)明智能卡從安全域密鑰更新方法��、系統(tǒng)及移動(dòng)終端�,可以解決針對(duì)對(duì)稱