应用下载方法、安全元件及终端技术

本发明专利技术公开了一种应用下载方法，包括：安全元件(SE)接收来自SP TSM的应用下载指令；采用第一安全域密钥对所述应用下载指令进行验证；所述第一安全域密钥为所述SE自身生成的主安全域密钥；验证通过后，执行所述应用下载指令，进行对应应用的下载。本发明专利技术同时还公开了一种SE及终端。

Application downloading method, security element and terminal

The invention discloses an application download method, including: security element (SE) receives from the SP TSM application download instructions; the first security domain key to the application download instructions for verification; the main security domain of the generated first security domain key for the SE key; after verification by. The execution of the application download instructions, the corresponding application download. The invention also discloses a SE and a terminal.

【技术实现步骤摘要】
应用下载方法、安全元件及终端
本专利技术涉及通信领域的安全技术，尤其涉及一种应用下载方法、安全元件(SE，SecureElement)及终端。
技术介绍
随着移动互联网业务和支付技术的不断发展，各种带有SE功能的智能终端不断涌现，比如近场通信(NFC，NearFieldCommunication)全终端、嵌入式SE(eSE，embeddedSE)手机(以Apple手机为代表)、NFC单线协议(NFC-SWP，NFC-SingleWireProtocol)手机、Google基于主机的卡模拟(HCE，Host-basedCardEmulation)设备、NFC-安全数字卡(NFC-SD，NFC-SecureDigital)设备、NFC全卡设备、安全运行环境(TEE，TrustExecuteEnvironment)终端、带有SE的平板(Pad)、智能手环、其它各种可穿戴设备等等。业务提供方(SP)比如银行、公交公司等可通过SE发行方(SEI，SEIssue)的可信服务管理(TSM，TrustServiceManager)(SEITSM)动态下载银行卡、公交卡等应用。由于不同SE有不同的发行方，举个例子来说，ApplePay由苹果公司发行，荣耀全终端的SE由华为发行，SIM卡由各运营商发行，NFC-SD由银联、拉卡拉等众多厂商发布。SE发行方在SE中预置主安全域，并掌控SE上主安全域的密钥，业务提供方需要接入发行方的TSM，在主安全域的控制下，进行辅助安全域创建以及应用下载、删除等管理操作。应用发行包括两个流程，一是业务提供方的应用上线流程，一个是用户应用发现及下载流程。然而，在上述流程中，由于SE是由SE发行方控制的，且SE发行方的数量众多，因此，容易造成用户和业务提供方产生隔离，从而造成用户碎片化及业务提供方应用发行的重复工作，降低了处理效率。
技术实现思路
为解决现有存在的技术问题，本专利技术实施例提供一种应用下载方法、SE及终端。为达到上述目的，本专利技术实施例的技术方案是这样实现的：本专利技术实施例提供了一种应用下载方法，应用于SE，所述方法包括：接收来自业务提供商(SP，ServiceProvider)TSM的应用下载指令；采用第一安全域密钥对所述应用下载指令进行验证；所述第一安全域密钥为所述SE自身生成的主安全域密钥；验证通过后，执行所述应用下载指令，进行对应应用的下载。上述方案中，所述接收SPTSM的应用下载指令时，所述方法还包括：接收终端发送的下载请求；解析所述下载请求，得到第一信息；所述第一信息包含第二信息及第三信息；所述第二信息表征来自所述SPTSM的应用下载指令；所述第三信息表征所述第二信息对应的令牌(TOKEN)签名数据；相应地，所述采用第一安全域密钥对所述应用下载指令进行验证之前，所述方法还包括：验证所述第三信息，验证通过后采用第一安全域密钥对所述应用下载指令进行验证。上述方案中，所述接收终端发送的下载请求之前，所述方法还包括：接收所述终端发送的签名请求；解析所述签名请求，得到第四信息；所述第四信息包含第二信息及第五信息；所述第五信息表征用户输入的PIN码；对所述第五信息进行验证，验证通过后针对所述第二信息生成对应的TOKEN签名数据，并向所述终端返回响应；所述TOKEN签名数据为响应数据。上述方案中，所述方法还包括：进行初始化时，自身生成所述第一安全域密钥。上述方案中，所述生成所述第一安全域密钥之前，所述方法还包括：接收终端发送的初始化请求；对所述初始化请求进行解析，得到第五信息；所述第五信息表征用户输入的PIN码；对所述PIN码进行验证，验证通过后，自身生成所述第一安全域密钥；向所述终端返回初始化响应。本专利技术实施例还提供了一种应用下载方法，应用于终端，所述方法包括：接收第一操作；所述第一操作用于触发应用下载；依据所述第一操作，向SPTSM获取相应的应用下载指令；向SE发送下载请求；所述下载请求携带有第一信息；所述第一信息包含第二信息及第三信息；所述第二信息表征来自所述SPTSM的应用下载指令；所述第二信息用于指示所述SE进行对应应用下载；所述第三信息表征所述第二信息对应的TOKEN签名数据；所述第三信息用于所述SE对所述第二信息进行验证。上述方案中，获取相应的应用下载指令后，且所述向SE发送下载请求之前，所述方法还包括：依据所述应用下载指令，发出提示信息，所述提示信息用于提示用户输入PIN码；接收第二操作；所述第二操作是对所述提示信息的响应操作；依据第二操作，向所述SE发送签名请求；所述签名请求携带第四信息；所述第四信息包含第二信息及第五信息；所述第五信息表征用户输入的PIN码；接收所述SE返回的响应；所述TOKEN签名数据为响应数据。上述方案中，所述方法还包括：接收第三操作；所述第三操作用于触发对所述SE进行初始化；依据所述第三操作，发出提示信息，所述提示信息用于提示用户输入PIN码；接收第四操作；所述第四操作是对所述提示信息的响应操作；依据第四操作，向所述SE发送生成初始化请求；所述初始化请求用于指示所述SE生成第一安全域密钥；所述初始化请求携带有第五信息；所述第五信息表征用户输入的PIN码；所述第一安全域密钥用于对来自述SPTSM的应用下载指令进行验证；接收所述SE返回的初始化响应。本专利技术实施例又提供了一种SE，包括：第一接收单元、第一验证单元以及下载单元；其中，所述第一接收单元，用于接收来自SPTSM的应用下载指令；所述第一验证单元，用于采用第一安全域密钥对所述应用下载指令进行验证；所述第一安全域密钥为所述SE自身生成的主安全域密钥；所述下载单元，用于验证通过后，执行所述应用下载指令，进行对应应用的下载。上述方案中，所述SE还包括：解析单元及第二验证单元；其中，所述第一接收单元，用于接收终端发送的下载请求；所述解析单元，用于解析所述下载请求，得到第一信息；所述第一信息包含第二信息及第三信息；所述第二信息表征来自所述SPTSM的应用下载指令；所述第三信息表征所述第二信息对应的TOKEN签名数据；所述第二验证单元，用于验证所述第三信息，验证通过后触发所述第一验证单元；所述第一验证单元，用于收到所述第二验证单元的触发后，采用第一安全域密钥对所述应用下载指令进行验证。上述方案中，所述SE还包括签名单元；其中，所述第一接收单元，还用于接收所述终端发送的签名请求；所述解析单元，还用于解析所述签名请求，得到第四信息；所述第四信息包含第二信息及第五信息；所述第五信息表征用户输入的PIN码；所述签名单元，用于对所述第五信息进行验证，验证通过后针对所述第二信息生成对应的TOKEN签名数据，并向所述终端返回响应；所述TOKEN签名数据为响应数据。上述方案中，所述SE还包括：生成单元，用于进行初始化时，自身生成所述第一安全域密钥。上述方案中，所述第一接收单元，还用于接收终端发送的初始化请求；所述生成单元，用于对所述初始化请求进行解析，得到第五信息；所述第五信息表征用户输入的PIN码；对所述PIN码进行验证，验证通过后，自身生成所述第一安全域密钥；并向所述终端返回初始化响应。本专利技术实施例还提供了一种终端，包括：第二接收单元、获取单元以及发送单元；其中，所述第二接收单元，用于接收第一操作本文档来自技高网...

【技术保护点】
一种应用下载方法，其特征在于，应用于安全元件SE，所述方法包括：接收来自业务提供商可信服务管理SP TSM的应用下载指令；采用第一安全域密钥对所述应用下载指令进行验证；所述第一安全域密钥为所述SE自身生成的主安全域密钥；验证通过后，执行所述应用下载指令，进行对应应用的下载。

【技术特征摘要】
1.一种应用下载方法，其特征在于，应用于安全元件SE，所述方法包括：接收来自业务提供商可信服务管理SPTSM的应用下载指令；采用第一安全域密钥对所述应用下载指令进行验证；所述第一安全域密钥为所述SE自身生成的主安全域密钥；验证通过后，执行所述应用下载指令，进行对应应用的下载。2.根据权利要求1所述的方法，其特征在于，所述接收SPTSM的应用下载指令时，所述方法还包括：接收终端发送的下载请求；解析所述下载请求，得到第一信息；所述第一信息包含第二信息及第三信息；所述第二信息表征来自所述SPTSM的应用下载指令；所述第三信息表征所述第二信息对应的令牌TOKEN签名数据；相应地，所述采用第一安全域密钥对所述应用下载指令进行验证之前，所述方法还包括：验证所述第三信息，验证通过后采用第一安全域密钥对所述应用下载指令进行验证。3.根据权利要求2所述的方法，其特征在于，所述接收终端发送的下载请求之前，所述方法还包括：接收所述终端发送的签名请求；解析所述签名请求，得到第四信息；所述第四信息包含第二信息及第五信息；所述第五信息表征用户输入的PIN码；对所述第五信息进行验证，验证通过后针对所述第二信息生成对应的TOKEN签名数据，并向所述终端返回响应；所述TOKEN签名数据为响应数据。4.根据权利要求1至3任一项所述的方法，其特征在于，所述方法还包括：进行初始化时，自身生成所述第一安全域密钥。5.根据权利要求4所述的方法，其特征在于，所述生成所述第一安全域密钥之前，所述方法还包括：接收终端发送的初始化请求；对所述初始化请求进行解析，得到第五信息；所述第五信息表征用户输入的PIN码；对所述PIN码进行验证，验证通过后，自身生成所述第一安全域密钥；向所述终端返回初始化响应。6.一种应用下载方法，其特征在于，应用于终端，所述方法包括：接收第一操作；所述第一操作用于触发应用下载；依据所述第一操作，向SPTSM获取相应的应用下载指令；向SE发送下载请求；所述下载请求携带有第一信息；所述第一信息包含第二信息及第三信息；所述第二信息表征来自所述SPTSM的应用下载指令；所述第二信息用于指示所述SE进行对应应用下载；所述第三信息表征所述第二信息对应的TOKEN签名数据；所述第三信息用于所述SE对所述第二信息进行验证。7.根据权利要求6所述的方法，其特征在于，获取相应的应用下载指令后，且所述向SE发送下载请求之前，所述方法还包括：依据所述应用下载指令，发出提示信息，所述提示信息用于提示用户输入PIN码；接收第二操作；所述第二操作是对所述提示信息的响应操作；依据第二操作，向所述SE发送签名请求；所述签名请求携带第四信息；所述第四信息包含第二信息及第五信息；所述第五信息表征用户输入的PIN码；接收所述SE返回的响应；所述TOKEN签名数据为响应数据。8.根据权利要求6或7所述的方法，其特征在于，所述方法还包括：接收第三操作；所述第三操作用于触发对所述SE进行初始化；依据所述第三操作，发出提示信息，所述提示信息用于提示用户输入PIN码；接收第四操作；所述第四操作是对所述提示信息的响应操作；依据第四操作，向所述SE发送生成初始化请求；所述初始化请求用于指示所述SE生成第一安全域密钥；所述初始化请求携带有第五信息；所述第五信息表征用户输入的PIN码；所述第一安全域密钥用于对来自述SPTSM的应用下载指令进行验证；接收所述SE返回的初始化响应。9.一种SE，其特征在于，所述SE包括：第一接收单元、第一验证单元以及下载单元；其中，所述第一接收单元，用于接收来自SPTSM的应用下载指令；所述第一验证单元，用于采用第一安全域密钥对所述应用下...

【专利技术属性】
技术研发人员：陆鸣，王萍，
申请(专利权)人：中国移动通信集团公司，
类型：发明
国别省市：北京,11