技術領域

本發明涉及通信領域，并且特別地，涉及一種密鑰分發方法和 系統。

背景技術

在相關技術中，近場通信技術(Near?Field?Communication，簡 稱為NFC)是工作于13.56MHz的一種近距離無線通信技術，該技 術由射頻識別(Radio?Frequency?Identification，簡稱為RFID)技術 及互連技術融合演變而來。手機等移動通信終端在集成NFC技術 后，可以模擬非接觸式IC卡，用于電子支付的相關應用；此外，在 移動通信終端上實現該方案需要在終端上增加NFC模擬前端芯片 和NFC天線，并使用支持電子支付的智能卡。

IC卡特別是非接觸式IC卡經過十多年的發展，已經被廣泛應 用于公交、門禁、小額電子支付等領域；與此同時，手機經歷20 多年的迅速發展后，其應用已經基本得到普及，并且給人們的工作 及生活帶來了很大的便利，隨著手機的功能越來越強大，將手機和 非接觸式IC卡技術結合，將手機應用于電子支付領域，會進一步擴 大手機的使用范圍，給人們的生活帶來便捷，存在著廣闊的應用前 景。

在相關技術中，為實現基于NFC技術的移動電子支付，需要建 立移動終端電子支付系統，并通過該系統實現對移動終端電子支付 的管理，其中，移動終端電子支付系統包括：智能卡的發行、電子 支付應用的下載、安裝和個人化、以及采用相關技術和管理策略實 現電子支付的安全等。

安全域是卡外實體包括卡發行商和應用提供商在智能卡上的代 表，它們包含用于支持安全通道協議運作以及卡內容管理的加密密 鑰，如果電子支付系統支持Global?platform?Card?Specification?V2.1.1 規范，安全通道協議支持Secure?Channel?Protocol‘02’(基于對稱 密鑰)；如果電子支付系統支持Global?platform?Card?Specification?V2. 2規范，安全通道協議支持Secure?Channel?Protocol‘10’(基于非對 稱密鑰)。安全域負責它們自己的密鑰管理，這保證了來自不同應用 提供者的應用和數據可以共存于同一個卡上。安全域的密鑰采用非 對稱密鑰體制時，安全域上的密鑰和證書需要包括：安全域的公鑰 (也可稱為公密鑰)和私鑰(也可稱為私密鑰)、安全域的證書、用 于認證卡外實體證書的可信任根公鑰。

應用提供商在智能卡上的安全域為從安全域，在將應用提供商 的電子支付應用下載并安裝到智能卡之前，需要在智能卡上先通過 卡發行商擁有的智能卡主安全域創建應用提供商的從安全域，然后 設置從安全域的密鑰。

安全域密鑰作為機密數據，需要采取可靠及安全的方法和技術 將有關密鑰和證書導入到從安全域，實現從安全域密鑰的安全分發， 其中，從安全域的創建需要由卡發行商管理平臺指示智能卡上的主 安全域創建，而且從安全域創建完成后，從安全域的初始密鑰需要 由卡發行商管理平臺負責設置和分發。

從安全域創建和密鑰分發時，采用的一種方法是：智能卡和卡 發行商管理平臺建立通信，應用提供商管理平臺與卡發行商管理平 臺建立通信；卡發行商管理平臺指示智能卡主安全域建立從安全域， 從安全域的公、私密鑰對由從安全域在卡上生成并發送給卡發行商 管理平臺，然后卡發行商管理平臺將從安全域生成的密鑰發送給應 用提供商管理平臺，應用提供商管理平臺根據從安全域的公鑰簽發 從安全域的證書，再通過卡發行商管理平臺將從安全域證書和可信 任根公鑰導入到從安全域，從而完成從安全域密鑰的分發。

但在這種情況下，卡發行商管理平臺負責數據的傳送時有可能 獲得發送的安全域密鑰數據，可能使用獲得的密鑰對從安全域執行 操作，這樣會對應用提供商的電子支付應用安全造成威脅。

因此，急需一種解決從安全域密鑰的分發不安全的問題的技術 方案。

發明內容

考慮到相關技術中從安全域密鑰的分發不安全的問題而做出本 發明，為此，本發明的主要目的在于提供一種密鑰分發方法和系統， 以避免從安全域密鑰被卡發行商管理平臺獲取導致的密鑰不安全的 問題。

根據本發明的有一個方面，提供了一種密鑰分發方法。