[发明专利]密钥分发方法和系统

权利要求书

1.一种密钥分发方法，其特征在于，包括：

应用提供商管理平台通知所述应用提供商管理平台对应 的设置于智能卡上的应用提供商从安全域生成包括公密钥和 私密钥的公私密钥对；

所述应用提供商管理平台通过卡发行商管理平台接收来 自所述应用提供商从安全域的经过预先获得的应用提供商的 公钥加密、以及经过设置于智能卡上的可信任第三方从安全域 即CASD签名处理的所述公密钥；

所述应用提供商管理平台验证签名并使用所述应用提供 商的私钥进行解密得到所述公密钥；

所述应用提供商管理平台将所述应用提供商从安全域的 证书和用于外部认证的可信任根公钥，在经过所述应用提供商 从安全域的公密钥加密、以及经过所述应用提供商的私钥对加 密后的数据签名处理后通过所述卡发行商管理平台发送至所 述应用提供商从安全域，完成对所述从安全域密钥的分发。

2.根据权利要求1所述的方法，其特征在于，在所述应用提供商 管理平台通知所述应用提供商从安全域生成所述公私密钥对 的处理之前，所述方法还包括：

所述应用提供商管理平台将所述应用提供商的证书发送 至所述应用提供商从安全域，以使所述应用提供商从安全域验 证所述应用提供商的证书；

在所述应用提供商的证书被验证通过的情况下，执行所述 应用提供商管理平台通知所述应用提供商从安全域生成所述 公私密钥对的处理。

3.根据权利要求2所述的方法，其特征在于，所述应用提供商管 理平台将所述应用提供商的证书发送至所述应用提供商从安 全域的处理具体包括：

所述应用提供商管理平台获得所述CASD的公钥；

所述应用提供商管理平台将所述应用提供商的证书利用 述CASD的公钥加密，并将加密的所述应用提供商的证书 通过卡发行商管理平台发送至所述应用提供商从安全域。

4.根据权利要求3所述的方法，其特征在于，所述应用提供商管 理平台获得所述CASD的公钥的处理具体包括：

所述应用提供商管理平台通过所述智能卡获得所述 CASD的证书；

所述应用提供商管理平台验证所述CASD的证书，并获 得所述CASD的公钥。

5.根据权利要求2至4中任一项所述的方法，其特征在于，在所 述应用提供商的证书被所述应用提供商从安全域验证通过后， 所述方法还包括：

所述应用提供商从安全域通过所述应用提供商的证书获 得所述应用提供商的公钥。

6.根据权利要求5所述的方法，其特征在于，所述应用提供商管 理平台将所述应用提供商从安全域的证书和用于外部认证的 所述可信任根公钥发送至所述应用提供商从安全域之后，所述 方法进一步包括：

所述应用提供商从安全域接收经过加密以及签名处理的 所述应用提供商从安全域的证书和用于外部认证的可信任根 公钥；

所述应用提供商从安全域利用所述应用提供商的公钥验 证签名，在验证通过的情况下，利用所述应用提供商从安全域 的私钥进行解密，获得所述应用提供商从安全域的证书和用于 外部认证的所述可信任根公钥。

7.根据权利要求6所述的方法，其特征在于，所述应用提供商管 理平台向应用提供商证书中心申请所述应用提供商从安全域 的证书。

8.根据权利要求3所述的方法，其特征在于，在应用提供商管理 平台获得所述CASD的公钥之前，所述方法进一步包括：

卡发行商管理平台在所述智能卡上创建所述应用提供商 从安全域，并将所述应用提供商从安全域的基本信息发送至所 述应用提供商管理平台，其中，所述基本信息包括所述应用提 供商从安全域的标识信息、所述应用提供商从安全域的配置信 息。