贴膜卡的云端SDK系统及其运行方法与流程

本发明涉及通信技术领域，尤其涉及贴膜卡的云端sdk(softwaredevelopmentkit,软件开发工具包)系统及其运行方法。

背景技术：

贴膜卡作为一种硬件载体，与终端应用程序搭配使用从而为应用程序提供类似盾的功能，此功能已经在手机银行以及simeid(公安部公民网络电子身份标识(eid)的一种)等应用系统中得到广泛使用。用户在使用贴膜卡的过程中，需要通过终端应用程序与贴膜卡进行通信。贴膜卡是贴合在sim(用户身份识别模块)卡上后放入手机卡槽，通过手机卡槽上的触点与贴膜卡上的触点链接，进而进行接触式数据传输。

站在手机os的角度，sim卡类似于se的角色。手机上的操作系统(os)对于第三方应用程序与se(贴膜卡/sim卡)通信会有一些限制，手机os不同，限制也会有差别。目前苹果手机的ios系统是不允许第三方应用程序直接与se通信的；安卓手机系统中，少部分手机也有这个限制。

技术实现要素：

本发明的目的在于提供一种贴膜卡的云端sdk系统及其运行方法，解决目前有限制的终端上的应用访问贴膜卡的问题。

实现上述目的的技术方案是：

一种贴膜卡的云端sdk系统，包括终端设备和贴膜卡，还包括sdk后台系统，其中，

所述sdk后台系统包括：

用于管理用户的手机号和贴膜卡的卡号的用户数据库管理模块；

用于管理会话密钥的密钥管理模块；以及

连接所述用户数据库管理模块和所述密钥管理模块的贴膜卡云端sdk后台服务器；

所述终端设备包括：

利用bip(bearerindependentprotocol，端独立(数据传输)协议)协议与所述贴膜卡云端sdk后台服务器之间进行通道管理指令收发的bip通道管理模块；

利用bip协议与所述贴膜卡云端sdk后台服务器之间进行交易指令透传的bip数据收发模块；以及

由终端应用调用，并与所述贴膜卡云端sdk后台服务器交互信息的贴膜卡云端sdk；

所述贴膜卡包括：

与所述bip通道管理模块连接，用于处理通道管理指令的事件管理模块；以及

与所述bip数据收发模块进行交易指令透传，与贴膜卡应用交互信息的贴膜卡数据收发模块。

优选的，所述终端设备为手机。

优选的，所述贴膜卡出厂内置所述sdk后台系统的ip(网际互连协议)地址和端口，同时内置相应的后台系统主密钥。

优选的，当所述终端设备的终端应用后台已经接入了公安三所的eid体系后，所述终端设备的终端应用后台通过idsp(eid网络身份服务机构)和idso(网络身份运营机构，是连接eid签发中心与eid网络身份机构)的网络接入公安三所的eid后台和所述贴膜卡云端sdk后台服务器，所述终端设备还包括simeidsdk；

当所述终端设备的终端应用后台未接入公安三所的eid体系时，终端应用后台采取贴膜卡云端sdk直接与贴膜卡云端sdk后台服务器通信的方式，或者，采取终端应用后台与贴膜卡云端sdk后台服务器通讯的方式。

本发明的基于上述云端sdk系统的运行方法，包括：

当终端应用后台已接入公安三所的eid体系时，终端应用调用simeidsdk，通过idsp和idso的网络与eid后台进行交互完成相应的eid功能；过程中，终端应用判断需要和贴膜卡进行交互时，终端应用调用贴膜卡云端sdk，通过idsp和idso的网络与贴膜卡云端sdk后台服务器交互；

当终端应用后台并未接入公安三所的eid体系时，当终端应用判断需要和贴膜卡进行交互时，终端应用调用贴膜卡云端sdk，直接与贴膜卡云端sdk后台服务器交互，或者终端应用调用贴膜卡云端sdk，通过终端应用后台间接与贴膜卡云端sdk后台服务器交互。

优选的，终端应用调用贴膜卡云端sdk与贴膜卡云端sdk后台服务器的交互过程，包括：bip通道绑定、会话密钥协商和数据透传。

优选的，所述bip通道绑定，包括：

终端应用向贴膜卡云端sdk后台服务器发起绑定操作，传入用户的手机号或贴膜卡的卡号；

贴膜卡云端sdk后台服务器判断当前终端应用后台是否已接入公安三所的eid体系，如已接入，则根据手机号或贴膜卡的卡号检查用户数据库管理模块，确认用户是否有开通eid功能，如未开通则返回错误信息到终端应用，处理结束；反之进行下一步；当贴膜卡云端sdk后台服务器判断当前终端应用后台并未接入公安三所的eid体系时，不需要确认用户是否已开通eid功能，直接转下一步；

贴膜卡云端sdk后台服务器判断终端应用上送的是手机号还是贴膜卡的卡号，如是手机号，通过用户数据库管理模块查询到对应的贴膜卡的卡号；

贴膜卡云端sdk后台服务器通过查到的贴膜卡的卡号检查贴膜卡的bip链接是否存在，如未存在则返回错误信息到终端应用，处理结束；反之，进行会话密钥协商步骤；

所述会话密钥协商，包括：贴膜卡云端sdk后台服务器与贴膜卡协商生成会话密钥，并把会话密钥同步到终端应用，终端应用与sdk后台系统以及贴膜卡的bip通道绑定成功；

所述数据透传，包括：

终端应用使用会话密钥对即将传输到贴膜卡的数据报文进行加密和mac(messageauthenticationcodes，消息认证码)计算；

终端应用调用贴膜卡云端sdk，把加密的带mac的数据报文通过idsp和idso的网络，或者通过直连或者后台间接连接的方式透传到贴膜卡云端sdk后台服务器；

贴膜卡云端sdk后台服务器利用bip链接把数据报文透传到贴膜卡；

贴膜卡数据收发模块校验数据报文是否正确，如校验失败则反馈错误信息到贴膜卡云端sdk后台服务器，处理结束；反之继续下一步；

贴膜卡数据收发模块把数据报文分发到相应的贴膜卡应用进行报文的进一步解析处理；

贴膜卡应用处理结束，返回信息到贴膜卡数据收发模块；

贴膜卡数据收发模块对贴膜卡应用返回的数据进行封包处理，并加密和计算mac，再调用bip链接把数据发送到贴膜卡云端sdk后台服务器；

贴膜卡云端sdk后台服务器把贴膜卡响应报文返回到终端应用；

终端应用对响应报文进行校验和解密，并进行处理。

本发明的有益效果是：本发明通过有效的结构、逻辑设计，使得目前有限制的终端上的应用能够访问贴膜卡，方便有效。

附图说明

图1是本发明的贴膜卡的云端sdk系统的结构图；

图2是本发明的云端sdk系统接入eid的示意图；

图3是本发明的云端sdk系统没有接入eid，但是应用端要求通过应用后台间接与sdk后台连接的示意图；

图4是本发明的云端sdk系统没有接入eid，通过贴膜卡云端sdk直连sdk后台的示意图；

图5是本发明中bip的原理示意图。

具体实施方式

下面将结合附图对本发明作进一步说明。

bip规范定义的初衷是为了方便运营商的远程应用服务器能够方便的为sim卡上的stk应用进行功能的下载、更新升级等需求而制定的，大致原理如下图5。

请参阅图1-4，本发明的贴膜卡的云端sdk系统，包括终端设备、贴膜卡和sdk后台系统。sdk后台系统包括：用户数据库管理模块11、密钥管理模块12、贴膜卡云端sdk后台服务器13。终端设备包括：bip通道管理模块21、bip数据收发模块22、贴膜卡云端sdk23。贴膜卡包括：事件管理模块31和贴膜卡数据收发模块32。本实施例中，终端设备为手机。

用户数据库管理模块11用于管理用户的手机号和贴膜卡的卡号。密钥管理模块12用于管理会话密钥。贴膜卡云端sdk后台服务器13连接用户数据库管理模块11和密钥管理模块12。

bip通道管理模块21利用bip协议与贴膜卡云端sdk后台服务器13之间进行通道管理指令收发。bip数据收发模块22利用bip协议与贴膜卡云端sdk后台服务器13之间进行交易指令透传。贴膜卡云端sdk23由终端应用调用，并与贴膜卡云端sdk后台服务器13交互信息。

事件管理模块31与bip通道管理模块21连接，用于处理通道管理指令。贴膜卡数据收发模块32与bip数据收发模块22进行交易指令透传，与贴膜卡应用交互信息。

当所述终端设备的终端应用后台已经接入了公安三所的eid体系后，终端设备的终端应用后台通过idsp和idso的网络接入公安三所的eid后台和贴膜卡云端sdk后台服务器；终端设备还包括simeidsdk。

当所述终端设备的终端应用后台并未接入公安三所的eid认证体系时，所述终端应用后台不需要通过idsp和idso与所述贴膜卡云端sdk后台服务器通信，而是采取所述贴膜卡云端sdk直接与所述贴膜卡云端sdk后台服务器通信的方式，或者，采取所述贴膜卡云端sdk与所述终端应用后台连接，通过终端应用后台与所述贴膜卡云端sdk后台服务器进行通讯的方式。

贴膜卡出厂内置云端sdk后台的ip地址和端口，同时内置相应的后台系统主密钥，用于验证卡片是否是仿冒。用户到柜面开通simeid功能，开通成功后用户的手机号和贴膜卡的卡号数据会同步到sdk后台系统的用户数据库管理模块11。用户领取贴膜卡，并贴到手机开机。贴膜卡检测到手机开机完成后，调用bip规范定义的apdu(应用协议数据单元)指令打开bip通道。bip通道打开成功，贴膜卡上送卡号到sdk后台系统；sdk后台系统通过系统主密钥校验贴膜卡上送的指令正确，如正确则bip链接建立成功，反之则失败。

终端应用提供商向公安三所申请接入simeid系统；公安三所分配appid给应用提供商；应用提供商开发终端应用，接入idsp提供的simeidsdk和贴膜卡云端sdk。

本发明的基于上述云端sdk系统的运行方法，包括：当终端应用后台已接入公安三所的eid体系时，终端应用调用simeidsdk，通过idsp和idso的网络与eid后台进行交互完成相应的eid功能；过程中，终端应用判断需要和贴膜卡进行交互时(比如需要使用贴膜卡上的eid证书进行eid签名时)，终端应用调用贴膜卡云端sdk，通过idsp和idso的网络与贴膜卡云端sdk后台服务器交互，交互过程包括：bip通道绑定、会话密钥协商和数据透传。

当终端应用后台并未接入公安三所的eid体系时，当终端应用判断需要和贴膜卡进行交互时，终端应用调用贴膜卡云端sdk，直接与贴膜卡云端sdk后台服务器交互，或者终端应用调用贴膜卡云端sdk，通过终端应用后台间接与贴膜卡云端sdk后台服务器交互。

其中，bip通道绑定，包括：

1)终端应用向贴膜卡云端sdk后台服务器发起绑定操作，传入用户的手机号或贴膜卡的卡号；

2)贴膜卡云端sdk后台服务器判断当前终端应用后台是否已接入公安三所的eid体系，如已接入，则根据手机号或贴膜卡的卡号检查用户数据库管理模块，确认用户是否有开通eid功能，如未开通则返回错误信息到终端应用，提示用户先进行eid功能开卡，处理结束；反之进行下一步；当贴膜卡云端sdk后台服务器判断当前终端应用后台并未接入公安三所的eid体系时，不需要确认用户是否已开通eid功能，直接转下一步；

3)贴膜卡云端sdk后台服务器判断终端应用上送的是手机号还是贴膜卡的卡号，如是手机号，通过用户数据库管理模块查询到对应的贴膜卡的卡号；

4)贴膜卡云端sdk后台服务器通过查到的贴膜卡的卡号检查贴膜卡的bip链接是否存在，如未存在则返回错误信息到终端应用，提示用户到手机的stk应用菜单中打开bip功能，处理结束；反之，进行会话密钥协商步骤。

会话密钥协商，包括：贴膜卡云端sdk后台服务器与贴膜卡协商生成会话密钥，并把会话密钥同步到终端应用，终端应用与sdk后台系统以及贴膜卡的bip通道绑定成功。

数据透传，包括：

1)终端应用使用会话密钥对即将传输到贴膜卡的数据报文进行加密和mac计算；

2)终端应用调用贴膜卡云端sdk，把加密的带mac的数据报文通过idsp和idso的网络，或者通过直连或者后台间接连接的方式透传到贴膜卡云端sdk后台服务器；

3)贴膜卡云端sdk后台服务器利用bip链接把数据报文透传到贴膜卡；

4)贴膜卡数据收发模块校验数据报文是否正确，如校验失败则反馈错误信息到贴膜卡云端sdk后台服务器，处理结束；反之继续下一步；

5)贴膜卡数据收发模块把数据报文分发到相应的贴膜卡应用进行报文的进一步解析处理；

6)贴膜卡应用处理结束，返回信息到贴膜卡数据收发模块；

7)贴膜卡数据收发模块对贴膜卡应用返回的数据进行封包处理，并加密和计算mac，再调用bip链接把数据发送到贴膜卡云端sdk后台服务器；

8)贴膜卡云端sdk后台服务器把贴膜卡响应报文返回到终端应用；

9)终端应用对响应报文进行校验和解密，并进而进行后续的其它功能逻辑处理。

以上实施例仅供说明本发明之用，而非对本发明的限制，有关技术领域的技术人员，在不脱离本发明的精神和范围的情况下，还可以作出各种变换或变型，因此所有等同的技术方案也应该属于本发明的范畴，应由各权利要求所限定。