技術領域

本發明涉及通信領域，具體而言，涉及一種智能卡的訪問方法、裝置及系統。

背景技術

隨著網絡的升級，移動終端應用和移動業務不斷增多，使得移動用戶的生活得到了極大的便利。這些移動業務的普及使得對用戶的安全認證和對信息的安全保護越來越重要，用戶也越來越關心安全問題。移動支付和企業信息化系統等尤其需要用戶身份的可靠驗證和信息的安全保護以確保交易和信息的安全。

公鑰基礎設施(Public?Key?Infrastructure，簡稱為PKI)是目前一種成熟的業務認證技術。PKI是指用公鑰概念和技術來實現并提供網絡信息安全服務的具有通用性的安全基礎設施。PKI的核心是數字證書認證中心(Certificate?Authority，簡稱為CA)，保證私鑰的安全是PKI體系的基礎。現在有很多人都把私鑰和數字證書存儲在終端(包括固定終端和移動終端)當中，但這種方式很不安全。黑客可能非法盜取合法用戶的私鑰，偽裝成為合法用戶的身份在網絡上進行詐騙和非法交易；終端病毒也可能刪除硬盤上的數據，造成無法使用PKI系統；而且，這種方式是將用戶與某臺特定的終端綁定了，用戶無法方便地在其它終端上使用自己的私鑰。

智能卡是抗破壞性高的安全設備，并且便于攜帶，并可基于密碼學達到很高的安全水平，因此將私鑰和數字證書存儲在智能卡上，并且利用智能卡完成鑒權認證是比較安全、可靠和方便的，同時也可以在智能卡上實現生成密鑰對、完成數字簽名等功能。但是由于終端沒有開放應用直接訪問智能卡的接口，因此導致了智能卡上的數據或功能不能被終端應用調用。

安全委托系統提供了一種終端訪問智能卡的方式。安全委托系統的主要特點是，卡發行商發布一個可以接入并訪問智能卡中間安全應用，提供移動應用訪問智能卡的接口。移動應用可以指示中間安全應用訪問智能卡，同時可以將自己的安全相關操作全部委托給中間安全應用和智能卡進行，包括密鑰對的生成、加解密、完整性保護和驗證等，但是中間安全應用讀取的智能卡上的數據不能夠被終端上其他移動應用訪問。

發明內容

針對相關技術中移動終端缺少直接訪問智能卡的接口，導致智能卡上的信息不能被移動終端所調用的問題，本發明提供了一種智能卡的訪問方法、裝置及系統，以至少解決上述問題。

根據本發明的一個方面，提供了一種智能卡的訪問方法。

根據本發明的智能卡的訪問方法應用于安全性操作執行系統，該安全性操作執行系統包括：移動終端和智能卡；移動終端包括：移動應用模塊以及與智能卡對應的中間安全應用模塊；該方法包括：移動應用模塊向中間安全應用模塊發送安全性操作指令；移動應用模塊接收來自于中間安全應用模塊的安全性操作信息，其中，該安全性操作信息為由中間安全應用模塊和智能卡聯合實現的與安全性操作指令對應的信息；移動應用模塊執行與安全性操作信息對應的操作。

在上述方法中，上述安全性操作指令包括以下至少之一：生成密鑰對指令、創建安全存儲域指令、讀取安全存儲域指令、刪除中間安全應用模塊創建的臨時安全存儲域指令。

在上述方法中，在移動應用模塊向中間安全應用模塊發送安全性操作指令之前，還包括：中間安全應用模塊接收來自于移動應用模塊的接入請求指令；中間安全應用模塊發送接入認證請求；中間安全應用模塊接收來自于智能卡的發行商系統的接入認證響應；中間安全應用模塊向移動應用模塊發送接入指令的應答。

在上述方法中，在安全性操作指令為生成密鑰對指令時，中間安全應用模塊和智能卡聯合實現的與安全性操作指令對應的信息包括：中間安全應用模塊接收來自于移動應用模塊的生成密鑰對指令；中間安全應用模塊將生成密鑰對指令進行封裝并轉發；中間安全應用模塊接收來自于智能卡的生成密鑰對指令響應，其中，生成密鑰對指令響應中攜帶有該生成密鑰對指令對應的公鑰；中間安全應用模塊將生成密鑰對指令響應轉發至移動應用模塊。

在上述方法中，上述移動應用模塊執行與安全性操作信息對應的操作包括：移動應用模塊向應用提供商應用服務器發送注冊請求，其中，注冊請求中攜帶有公鑰以及移動用戶的注冊信息；移動應用模塊接收來自于應用提供商應用服務器的注冊請求響應，其中，注冊請求響應中攜帶有數字證書的下載地址及移動用戶的注冊信息。