[发明专利]智能卡的从安全域初始密钥分发方法和系统、移动终端

权利要求书

1.智能卡的从安全域初始密钥分发方法，其特征在于，该方法基于移 动终端电子支付系统实现，该系统包括具有电子支付应用功能的智能卡、卡 发行商管理平台及业务终端，所述智能卡为一独立设备或安装在移动终端 上；所述智能卡通过所述业务终端与所述卡发行商管理平台进行通信，所述 卡发行商管理平台通过所述业务终端将从安全域初始密钥分发给所述智能 卡；该方法包括：

(a)用户通过智能卡程序或业务终端客户端程序触发应用下载请求， 并向所述卡发行商管理平台提交应用下载请求，所述应用下载请求中包括智 能卡标识信息、应用标识及应用提供商身份信息；

(b)所述卡发行商管理平台收到应用下载请求信息后，所述卡发行商 管理平台和所述智能卡主安全域之间建立安全信道；

(c)所述卡发行商管理平台创建从安全域及生成从安全域初始密钥， 通过建立的安全信道经由所述业务终端将安全域初始密钥导入到所述智能 卡从安全域。

2.如权利要求1所述的方法，其特征在于，

步骤(b)之后，步骤(c)之前，还包括：所述卡发行商管理平台根据 所述智能卡标识信息，应用标识及应用提供商身份信息，或者根据智能卡状 态信息，判断是否创建从安全域。

3.如权利要求1所述的方法，其特征在于，

步骤(b)建立安全信道的过程包括：(b1)所述卡发行商管理平台与 智能卡主安全域经由所述业务终端进行互认证，所述互认证过程经由所述业 务终端在所述卡发行商管理平台和所述智能卡主安全域之间完成；(b2)所 述卡发行商管理平台与所述智能卡主安全域之间建立临时会话密钥，从而建 立安全信道。

4.如权利要求1至3中任一项所述的方法，其特征在于，

所述业务终端为卡发行商业务终端，所述卡发行商管理平台与所述智能 卡间的交互信息通过卡发行商业务终端转发；或者，所述业务终端为应用提 供商业务终端，从所述卡发行商管理平台到所述智能卡的消息依次通过应用 提供商管理平台和应用提供商业务终端转发，从所述智能卡到所述卡发行商 管理平台的消息依次通过应用提供商业务终端和应用提供商管理平台转发。

5.智能卡的从安全域初始密钥分发系统，其特征在于，该系统包括具 有电子支付应用功能的智能卡、卡发行商管理平台及业务终端；

所述智能卡通过所述业务终端与所述卡发行商管理平台进行通信；还用 于提供向所述卡发行商管理平台提交应用下载请求的支持，与卡发行商管理 平台进行互认证及建立临时会话密钥，还用于解密获得的从安全域初始密 钥，以及对从安全域进行初始化；

所述卡发行商管理平台，用于通过所述业务终端将从安全域初始密钥分 发给所述智能卡；还用于与所述智能卡主安全域进行互认证及建立临时会话 密钥，还用于根据应用下载请求或智能卡状态信息判断是否建立从安全域， 以及建立从安全域，生成并向智能卡分发从安全域初始密钥。

6.如权利要求5所述的系统，其特征在于，

所述业务终端为卡发行商业务终端，用于对所述卡发行商管理平台与所 述智能卡间的交互信息进行转发；或者；

所述业务终端为应用提供商业务终端，所述系统还包括应用提供商管理 平台；

所述应用提供商业务终端，用于接收所述应用提供商管理平台发送的消 息并转发给所述智能卡；还用于接收所述智能卡发送的消息并转发给所述应 用提供商管理平台；

所述应用提供商管理平台，用于接收所述卡发行商管理平台发送的消息 并转发给所述应用提供商业务终端；还用于接收所述应用提供商业务终端发 送的消息并转发给所述卡发行商管理平台。

7.如权利要求5或6所述的系统，其特征在于，

所述智能卡为一独立设备或安装在移动终端上。

8.一种采用如权利要求1所述智能卡的从安全域初始密钥分发方法的 移动终端，所述移动终端包括具有电子支付应用功能的智能卡，其特征在于， 所述智能卡从安全域的初始密钥由卡发行商管理平台通过卡发行商业务终 端分发，或者通过应用提供商管理平台和应用提供商业务终端分发。