[发明专利]智能卡的从安全域初始密钥分发方法和系统、移动终端

说明书

技术领域

本发明涉及移动终端电子支付技术，尤其涉及智能卡的从安全域初始密 钥分发方法和系统、移动终端。

背景技术

IC卡特别是非接触式IC卡经过十多年的发展，已经被广泛应用于公交、 门禁、小额电子支付等领域。与此同时，手机经历20多年的迅速发展，在居 民中基本得到普及，给人们的工作及生活带来很大的便利。手机的功能越来 越强大，并存在集成更多功能的趋势。将手机和非接触式IC卡技术结合，手 机应用于电子支付领域，会进一步扩大手机的使用范围，给人们的生活带来 便捷，存在着广阔的应用前景。

近场通信技术(Near Field Communication，NFC)是工作于13.56MHz的 一种近距离无线通信技术，由射频识别RFID(Radio Frequency Identification) 技术及互连技术融合演变而来。手机等移动通信终端集成NFC技术后，可以 模拟非接触式IC卡，用于电子支付的有关应用。移动通信终端上实现该方案 需要在终端上增加NFC模拟前端芯片和NFC天线，并使用支持电子支付的 智能卡。

为实现基于NFC技术的移动电子支付，需要建立移动终端电子支付系统， 通过该系统实现对基于NFC的移动终端电子支付的管理，包括：智能卡的发 行，电子支付应用的下载、安装和个人化，采用相关技术和管理策略实现电 子支付应用的安全等。

基于NFC技术的移动终端电子支付系统的业务框架通常采用全球平台 GP(Global Platform)规范的多应用框架，在该框架下，支持Global Platform 规范的智能卡指的是符合全球平台卡规范(Global Platform Card Specification) V2.1.1/V2.2的IC芯片或智能卡，从物理形式上可以为SIM/USIM卡即客户 识别模块(Subscriber Identity Model)/通用移动通信系统客户识别模块(UMTS Subscriber Identity Module UMTS)、可插拔的智能存储卡或者集成在移动终端 上的IC芯片。

如果基于近场通信(NFC)技术的移动终端电子支付系统支持GP2.1.1 规范，安全信道协议需要支持SCP02(基于对称密钥)，如果基于近场通信 技术的移动终端电子支付系统支持GP2.2规范，安全信道协议需要支持 SCP02(基于对称密钥)和SCP10(基于非对称密钥)，卡发行商、应用提 供商可以根据安全策略需求进行选择。

一般情况下，基于NFC的移动终端近距离电子支付系统主要由卡发行商 管理平台、一个或多个应用提供商管理平台和支持具有电子支付应用功能智 能卡的移动终端组成。

在支持Global Platform规范的智能卡上可以安装多个应用，为了实现电 子支付应用的安全，智能卡被分隔为若干个独立的安全域，以保证多个应用 相互之间的隔离以及独立性，各个应用提供商管理各自的安全域以及应用、 应用数据等。

安全域是卡外实体包括卡发行商和应用提供商在卡上的代表，它们包含 用于支持安全信道协议运作以及智能卡内容管理的密钥。安全域包括主安全 域和从安全域等。主安全域是卡发行商在智能卡上的强制的卡上代表，一个 智能卡只包含一个主安全域。从安全域是卡发行商或应用提供商在智能卡上 的附加的可选卡上代表。

安全域的密钥生成与分发由管理该安全域的卡发行商或应用提供商负 责，这保证了来自不同应用提供者的应用和数据可以共存于同一个卡上。安 全域的密钥包括主安全域密钥、从安全域初始密钥和从安全域密钥。主安全 域密钥和从安全域初始密钥由卡发行商管理平台生成，从安全域密钥由管理 从安全域的卡发行商管理平台或应用提供商管理平台生成。

在将电子支付应用下载并安装到智能卡之前，需要在智能卡上为该应用 先创建从安全域，智能卡从安全域的创建是由卡发行商管理平台完成的。在 智能卡发行后，创建智能卡从安全域时，从安全域初始密钥必须由卡发行商 管理平台通过安全途径导入到智能卡上的从安全域。