基于可配置的强制数据认证模式的认证方法及装置、系统的制作方法

基于可配置的强制数据认证模式的认证方法及装置、系统的制作方法
【技术领域】
[0001] 本发明涉及强制数据认证技术，尤其涉及一种基于可配置的强制数据认证模式的 认证方法及装置、系统。
【背景技术】
[0002] 标准组织（GP，Global Platform)定义了数据认证模式（DAP，Data Authenticate Pattern)，用于验证应用程序的文件数据真实性，即保证应用程序未被篡改。
[0003] GP定义了 一套生态系统，发卡方的可信服务管理方（TSM，Trust Service Manager)/第三方的TSM在为如银行、公交等服务提供商（SP，Service Provider)提供行业 应用发行机制，通过TSM将银行、公交等应用下载到运营商或其他发卡方的安全芯片（SE， Security Element)。SE有多种形态，类如具有CPU的银行卡、公交卡、SWP-S頂卡。这种机 制脱离了原有银行、公交发行银行卡、公交卡的封闭模式，需要将原有银行卡、公交卡内的 应用跨行业部署到其他行业、部门发行的SE中，因此，需要提供一种机制保证银行、公交等 行业SP的应用的安全，保证应用不被发卡方或第三方（第三方为独立于发卡方和服务提供 方的具有公信力的第三方机构）所篡改。图1为由第三方对卡片进行数据认证的示意图，如 图1所示，首先SP需要将应用及应用的DAP签名提供给发卡方TSM或第三方TSM。SE上的 应用遵循Java Card标准。DAP签名用DAP密钥对应用程序的Hash进行签名，签名算法可 以是对称的3DES、AES或非对称的RAS。DAP密钥由SP提供，可采用一卡一密的分散算法， 通过安全的方式写入SE上SP所属安全域中。
[0004] TSM进行应用下载，负责将应用程序及DAP签名数据下载到SE中。SE接受到应用 及DAP签名后，SP的安全域使用SE上DAP密钥对应用程序进行DAP签名数据验证检查签 名数据是否一致，保证应用程序未被篡改；如果应用程序或DAP签名数据在发卡方或第三 方有任何改变，DAP签名验证不通过，应用安装将会失败。
[0005] 同时GP提出了强制DAP验证方法（M-DAP，Mandatory DAP)，强制DAP用于具有公 信力的控制机构（CA，Control Authority)或行业的监管机构验证发行到卡上的所有应用 的DAP签名，而不是用于某个应用提供商验证其自身的应用。图2为强制DAP验证的示意 图，如图2所示，SE上安全域A的DAP密钥由SP生成、分发以及写入；安全域N的强制DAP 密钥由控制机构或行业的监管机构生成、分发以及写入。SP以及控制机构或行业的监管机 构需要将应用程序、DAP签名以及强制DAP签名数据提供给发卡方TSM或第三方TSM。
[0006] TSM进行应用的下载，负责将应用程序、DAP签名、强制DAP签名写入SE上的安全 域A中。安全域A验证DAP签名数据，安全域N验证强制DAP签名数据。
[0007] DAP签名相比较于强制DAP签名，SP的应用下载可由SP自行选择是否使用DAP签 名，但若SE上存在强制DAP权限安全域，SP的应用下载必须向控制机构或行业监管机构申 请强制DAP签名数据。
[0008] 中国人民银行发布了移动支付系列规范，对强制DAP提出要求，其试点验证的实 现方案如图3所示，相比较于GP的强制DAP方案，央行的强制DAP仅针对行业兼顾的金融 应用进行强制DAP验证。GP提出的强制DAP方案提出了通过具有公信力的控制机构强制要 求发卡方TSM或第三方TSM进行应用程序的DAP验证，达到防篡改的目的，提升应用的安全 性。通过集中的强制DAP验证代替可选的分散DAP验证，即保证安全性，又简化了应用发行 的流程。但存在以下问题：由于SE是开放的，可安装各个行业的应用；但在实际的业务开展 过程中，金融、公交、社保等行业难以达成一个控制机构。
[0009] 若各行业都需要在SE上监管其行业内的应用，导致在实际的运营中，SE上存在多 个强制DAP权限的安全域分属不同行业。这样遵循GP标准，一个SP需要向SE上所有强制 DAP权限的安全域对应的机构申请强制DAP签名，这在实际业务运营中是行不通的。
[0010] 央行的强制DAP方案仅要求对其监管的金融应用进行强制DAP验证，避免了实 际业务运营过程中对其他行业进行监管的尴尬局面，但其方案存在以下问题：央行的强制 DAP方案仅支持金融应用，与SE开放承载多行业存在冲突。因此从SE上角度应支持多行业 的强制DAP认证。
[0011] 在方案实现上，央行强制DAP需要SE的操作系统（0S，Operation System) 进行修改，在应用下载过程判断应用的AID是否匹配金融应用（金融应用AID为 A000000333……）。由于应用判断标准在0S层硬编码，不利于后续扩展变更，不利于对多行 业强制DAP认证的支持。

【发明内容】

[0012] 本发明实施例为解决上述技术问题，提供一种基于可配置的强制数据认证模式的 认证方法及装置、系统，适用于多行业管理机构监管SE的场景。
[0013] 本发明实施例的技术方案是这样实现的：
[0014] 一种基于可配置的强制数据认证模式的认证方法，包括：
[0015] TSM平台生成强制DAP安全域安装或更新指令；
[0016] 将所述强制DAP安全域安装或更新指令向终端发送。
[0017] 优选地，所述方法还包括：
[0018] 所述TSM平台设置强制DAP的配置参数；
[0019] 将所述强制DAP的配置参数承载于所述强制DAP安全域的安装或更新指令中。
[0020] 优选地，所述将所述DAP的配置参数承载于所述强制DAP安全域的安装或更新指 令中，包括：
[0021] 对所述强制DAP安全域的安装指令进行扩展，将所述强制DAP的配置参数承载于 所述强制DAP安全域的安装指令的扩展部分；
[0022] 或者，对所述强制DAP安全域的更新指令进行扩展，将所述强制DAP的配置参数承 载于所述强制DAP安全域的更新指令的扩展部分。
[0023] 优选地，所述强制DAP的配置参数包括以下参数：
[0024] 待添加的安全域或应用列表；
[0025] 强制DAP的配置参数长度；
[0026] -个以上的安全域或应用；
[0027] 安全域安全属性长度；
[0028] 应用或安全域标识。
[0029] -种基于可配置的强制数据认证模式的认证方法，包括：
[0030] 终端接收到TSM平台发送的强制DAP安全域的安装或更新指令后，对所述强制DAP 安全域安装或更新指令进行解析，获取解析结果；
[0031] 判断所述解析结果中存在强制DAP的配置参数的标识时，获取所述强制DAP的配 置参数，并将所述配置参数写入注册表中。
[0032] 优选地，所述方法还包括：
[0033] 所述终端接收到应用的安装指令后，确定所述应用与当前存储的强制DAP安全域 是否关联；
[0034] 在确定所述应用与当前存储的强制DAP安全域关联时，查找所述安装指令中是否 包含强制DAP签名数据；
[0035] 在所述安装指令中包含强制DAP签名数据时，在所述注册表中查找出与所述应用 关联的强制DAP的配置参数，并验证所述强制DAP签名数据与所述强制DAP的配置参数是 否一致；
[0036] 在所述强制DAP签名数据与所述强制DAP的配置参数一致时安装所述应用。
[0037] 优选地，所述方法还包括：
[0038] TSM平台生成强制数据认证模式DAP安全域安装或更新指令；
[0039] 所述TSM平台将所述强制DAP安全域安装或更新指令向终端发送。
[0040] 优选地，所述方法还包括：
[0041] 所述TSM平台设置强制DAP的配置参数；
[0042] 所述TSM平台将所述强制DAP的配置参数承载于所述强制DAP安全域的安装或更 新指令中。
[0043] 优选地，所述将所述DAP的配置参数承载于所述强制DAP安全域的安装或更新指 令中，包括：
[0044] 对所述强制DAP安全域的安装指令进行扩展，将所述强制DAP的配置参数承载于 所述强制DAP安全域的安装指令的扩展部分；
[0045] 或者，对所述强制DAP安全域的更新指令进行扩展，将所述强制DAP的配置参数承 载于所述强制DAP安全域的更新指令的扩展部分。
[0046] 优选地，所述强制DAP的配置参数包括以下参数：
[0047] 待添加的安全域或应用列表；
[0048] 强制DAP的配置参数长度；
[0049] 一个以上的安全域或应用；
[0050] 安全域安全属性长度；
[0051] 应用或安全域标识。
[0052] -种基于可配置的强制数据认证模式的认证装置，包括：生成单元和发送单元，其 中：
[0053] 生成单元，用于生成强制数据认证模式DAP安全域安装或更新指令；
[0054] 发送单元，用于将所述强制DAP安全域安装或更新指令向终端发送。
[0055] 优选地，所述装置还包括：设置单元和承载单元，其中：
[0056] 设置单元，用于设置强制DAP的配置参数；
[0057] 承载单元，用于将所述强制DAP的配置参数承载于所述强制DAP安全域的安装或 更新指令中。
[0058] 优选地，所述承载单元，还用于：
[0059] 对所述强制DAP安全域的安装指令进行扩展，将所述强制DAP的配置参数承载于 所述强制DAP安全域的安装指令的扩展部分；
[0060] 或者，对所述强制DAP安全域的更新指令进行扩展，将所述强制DAP的配置参数承 载于所述强制DAP安全域的更新指令的扩展部分。
[0061] 一种基于可配置的强制数据认证模式的认证装置，包括：第一接收单元、解析单 元、判断单元、获取单元和写入单元，其中：
[0062] 第一接收单元，用于接收强制数据认证模式DAP安全域的安装或更新相关的指 令；
[0063] 解析单元