本發明實施例提供一種數據處理的方法，包括：可信應用TA實體向目標安全域SD發送所述TA實體的證書以及所述TA實體的私鑰簽名，所述目標SD為安全單元SE中的SD，所述目標SD與目標卡應用對應，所述TA實體的證書以及所述TA實體的私鑰簽名用于所述目標SD向服務器進行信任驗證，當所述TA實體的信任驗證成功時，所述TA實體獲取所述目標SD的第一密鑰。這樣，經過目標SD協同服務器對TA實體進行信任驗證之后，TA實體獲取到目標SD的第一密鑰，從而TA實體與目標SD建立了信任關系，實現了為轉移SD部分流程至TA實體提供了信任基礎。

技術領域

本發明實施例涉及通信領域，尤其涉及一種數據處理的方法及裝置。

背景技術

全球平臺(global platform，GP)國際標準組織制定了安全單元(secureelement，SE)中卡應用管理流程的相關規范。SE的卡應用管理包括對SE中卡應用(cardapplication/applet)的安裝、刪除、更新和配置用戶數據(也稱為個人化，personalization)等操作。

針對SE的卡應用管理，目前主要采用在線(online)管理的方法，即建立服務器和終端中的SE之間的安全通道(secure channel)，由服務器通過終端管理SE中的卡應用。代理管理(delegated management，DM)是對SE進行在線管理的一種模式。在代理管理模式中，終端協同服務器在SE中創建安全域(security domain，SD)，并對SD進行配置，所配置的內容包括SD的密鑰和SD的權限。例如，配置后的SD具有DM權限，則該SD將依賴于SE提供的授權碼(token)校驗功能。廣義上，SD是一種特殊的卡應用管理實體，是為其所管理的卡應用提供服務的。服務器在對目標SD中的卡應用進行管理時，服務器通過服務器與SE之間的安全通道向該目標SD發送卡內容管理指示信息。其中，卡內容管理指示信息可以包括卡內容管理指令以及與該卡內容管理指令所對應的授權碼。目標SD在接收到卡內容管理指示信息后，調用SE提供的授權碼校驗功能，通過密鑰對該卡內容管理指示信息中的卡內容管理指令進行驗證，并將驗證結果與該卡內容管理指令對應的授權碼進行匹配，匹配成功后目標SD才執行該卡內容管理指令。

現有技術中，與卡應用管理相關的操作都在SE(包括SD)中執行，如卡內容管理指令的驗證等。但SE是一種計算資源受限的運行環境，DM模式所涉及的卡內容管理指令的驗證等運算流程，導致了SD對卡內容管理指示信息的執行效率較低。但若將SD中的部分運算流程直接轉移至其它運行環境中的實體中執行，則有可能導致安全性大幅度降低。

發明內容

本發明實施例提供了一種數據處理的方法及裝置，用于為轉移SD的部分運算流程至其它實體提供信任基礎。

第一方面，本發明實施例提供一種數據處理的方法，包括：

可信應用TA實體檢測是否綁定了與目標卡應用對應的目標安全域SD，若已綁定，TA實體將TA實體的證書以及私鑰簽名發送至目標SD，其中，目標SD為安全單元SE中的SD。目標SD接收到該證書以及私鑰簽名后，轉發至服務器，服務器對該證書以及私鑰簽名對TA實體進行信任驗證。當TA實體的信任驗證成功時，目標SD或者服務器將目標SD的第一密鑰發送給TA實體。

這樣，經過目標SD協同服務器對TA實體進行信任驗證之后，TA實體獲取到目標SD的第一密鑰，從而TA實體與目標SD建立了信任關系。實現了為轉移SD部分流程至TA實體提供了信任基礎。

一種可能的實現方式中，該方法還包括：

TA實體從服務器中獲取包含第一卡內容管理指令和授權碼的卡內容管理指示信息，其中，第一卡內容管理指令與授權碼存在對應關系。TA實體根據所述第一密鑰解密該授權碼，TA實體調用的驗簽算法對第一卡內容管理指令進行計算驗證得到驗證憑據。TA實體再將驗證憑據與解密后的授權碼進行匹配，匹配成功時，TA實體向目標SD發送該第一卡內容管理指令。