技术领域本发明涉及数据通讯领域,更具体地说,涉及一种芯片安全域的卡应用使用方法、装置和应用终端。
背景技术:
NFC(NearFieldCommunication)作为一种近距离的无线通信技术,提供了一种更直接、更安全的现场交互解决方案。它能够允许电子设备之间进行非接触式点对点数据传输,实现数据交换、访问内容与服务。有了这种技术,具有NFC功能的手机不再只是打电话、发短信以及上网的工具,还可以装载各种电子卡片应用(如银行卡、公交卡、会员卡、校园/企业一卡通等),实现各种基于支付类及非支付类的业务应用。对于NFC手机客户端,其使用芯片安全域(SE)的卡应用,主要基于以下的步骤:1、卡应用提供商(如银行卡、其他实体卡的服务提供商)完成卡应用开发后,向TSM(TrustedServiceManager,可信服务管理)平台申请应用发布;2、卡应用经审核后,分配应用程序标识(AID),将应用加载到TSM平台;3、通过手机客户端下载卡应用提供商所提供的卡应用及手机客户端;4、对于需要芯片安全域(SE)的卡应用的手机客户端,需要将手机客户端在TSM平台建立与卡应用的关联,进行卡应用使用的开发后,方可使用相应的卡应用能力。现有的这种手机客户端使用卡应用能力存在如下不足:1、每个卡应用都有不同的接口,对于每个卡应用均需按照卡应用提供商提供的标准进行开发;2、客户端访问卡应用,需要在TSM平台进行登记,缺少一种将多个应用集成在一起的能力;3、使用卡应用进行后续的业务处理,每次使用时候,均需要进行联机认证鉴权处理。综上所述,外部手机客户端使用芯片安全域(SE)的卡应用,从技术上,缺少统一的调用卡片的标准规范指令;从管理上,使用新的的卡应用均需进行申请;从业务上,每次启用需通过联机认证鉴权,不能在业务使用中再进行,以减少联机认证鉴权的交互频率。
技术实现要素:
本发明要解决的技术问题在于,针对现有技术的上述缺陷,提供一种芯片安全域的卡应用使用方法和装置、以及一种应用终端和其使用芯片安全域的卡应用的方法。本发明解决其技术问题所采用的技术方案是:提出一种芯片安全域的卡应用使用方法,包括如下步骤:S1、根据应用终端的卡应用访问能力请求,向可信服务管理平台获取可用卡应用列表;S2、依据所述可用卡应用列表,向安全认证中心申请授权使用的数字证书;S3、将所述数字证书与所述可用卡应用列表建立绑定关系;S4、将所述数字证书以及封装有各卡应用的APDU指令的SDK包下发至所述应用终端;S5、根据所述应用终端在需要使用卡应用时调用所述SDK包发送的数字证书进行认证鉴权,返回可用卡应用列表。根据本发明所述的方法中,所述步骤S1进一步包括:S11、接收应用终端通过应用提供商平台发送的卡应用访问能力请求,所述请求中至少包括有客户端程序名称、开发商信息;S12、对所述卡应用访问能力请求进行审核;S13、针对审核通过的卡应用访问能力请求,向可信服务管理平台获取可用卡应用列表。根据本发明所述的方法中,所述步骤S13中以接口交互的方式向可信服务管理平台获取可用卡应用列表。本发明为解决其技术问题还提出一种芯片安全域的卡应用使用装置,包括:卡应用获取模块,用于根据应用终端的卡应用访问能力请求,向可信服务管理平台获取可用卡应用列表;证书申请模块,用于依据所述可用卡应用列表,向安全认证中心申请授权使用的数字证书;绑定模块,用于将所述数字证书与所述可用卡应用列表建立绑定关系;发送模块,用于将所述数字证书以及封装有各卡应用的APDU指令的SDK包下发至所述应用终端;认证鉴权模块,用于根据所述应用终端在需要使用卡应用时调用所述SDK包发送的数字证书进行认证鉴权,返回可用卡应用列表。根据本发明所述的装置中,所述卡应用获取模块进一步包括:接收单元,用于接收应用终端通过应用提供商平台发送的卡应用访问能力请求,所述请求中至少包括有客户端程序名称、开发商信息;审核单元,用于对所述卡应用访问能力请求进行审核;获取单元,用于针对审核通过的卡应用访问能力请求,向可信服务管理平台获取可用卡应用列表。根据本发明所述的装置中,所述获取单元以接口交互的方式向可信服务管理平台获取可用卡应用列表。本发明为解决其技术问题还提出一种应用终端使用芯片安全域的卡应用的方法,包括如下步骤:S1、发送卡应用访问能力请求,并安装基于该卡应用访问能力请求下发的数字证书以及封装有各卡应用的APDU指令的SDK包;S2、在需要使用卡应用时调用所述SDK包发送所述数字证书进行认证鉴权,获得可用卡应用列表;S3、通过所述SDK包发送APDU指令,调用相应的卡应用进行交互处理。一个实施例中,根据本发明所述的方法还包括:S4、根据所述卡应用返回的处理结果与业务平台进行业务交互处理。本发明为解决其技术问题还提出一种应用终端,包括:卡应用访问能力请求模块,用于发送卡应用访问能力请求,并安装基于该卡应用访问能力请求下发的数字证书以及封装有各卡应用的APDU指令的SDK包;可用卡应用获取模块,用于在需要使用卡应用时调用所述SDK包发送所述数字证书进行认证鉴权,获得可用卡应用列表;卡应用交互模块,用于通过所述SDK包发送APDU指令,调用相应的卡应用进行交互处理。一个实施例中,根据本发明所述的应用终端还包括:业务交互模块,用于根据所述卡应用返回的处理结果与业务平台进行业务交互处理。实施本发明,具有以下有益效果:本发明将各个卡应用的APDU指令进行封装,提供一套简易的命令接口,通过SDK方式供应用终端使用,减轻应用终端使用芯片安全域的卡应用的门槛,增加应用终端的卡应用推广能力。本发明通过安全中间件完成手机客户端与卡应用的交互,经过授权后可使用SDK的应用终端,在初始化时候,通过安全中间件平台申请应用授权使用的数字证书,建立应用终端可使用卡应用的绑定关系,在以后应用终端使用卡应用的时候,通过数字证书进行应用授权验证,验证后即可得到可用卡应用的列表,从而保证了卡应用使用的安全性、一致性、完整性、不可抵赖性。附图说明下面将结合附图及实施例对本发明作进一步说明,附图中:图1是本发明芯片安全域的卡应用使用方案中应用终端获取安全中间件的过程示意图;图2是本发明芯片安全域的卡应用使用方案中应用终端使用安全中间件的过程示意图;图3是根据本发明一个实施例的芯片安全域的卡应用使用方法的流程图;图4是根据本发明一个实施例的芯片安全域的卡应用使用装置的逻辑结构图;图5是根据本发明一个实施例的应用终端使用芯片安全域的卡应用的方法的流程图;图6是根据本发明一个实施例的应用终端的逻辑结构图。具体实施方式为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。为了降低NFC手机使用芯片安全域(SE)的卡应用的门槛,增加NFC手机的卡应用推广能力,本发明设计了一套芯片安全域的卡应用使用方案,将各个卡应用的APDU(ApplicationProtocolDataUnit,应用协议数据单元)指令进行封装形成SDK包形式的安全中间件,使得应用终端通过安全中间件完成与卡应用的交互。针对经过授权后可使用SDK包的应用终端,通过安全中间件平台申请应用授权使用的数字证书,连同SDK包一起下发给应用终端,并将该数字证书与应用终端的可用卡应用建立绑定关系。在以后应用终端使用卡应用时候,通过数字证书进行应用授权验证,验证后即可得到可用卡应用的列表。图1示出了本发明芯片安全域的卡应用使用方案中应用终端获取安全中间件的过程示意图。如图1所示,应用终端10通过其客户端的应用提供商平台20向安全中间件平台40申请安全中间件,申请信息中包括客户端程序名称、开发商等信息。安全中间件平台40对该申请进行审核,包括审核开发商信息、应用功能等,还包括恶意代码检测、敏感词检测、系统访问权限检测等等。对于通过审核的安全中间件申请,安全中间件平台40向TSM平台30获取可用卡应用列表。然后安全中间件平台40根据应用平台提供商平台20的授权使用,向安全认证中心50申请应用的数字证书,并将该数字证书与可用卡应用列表建立绑定关系。接着,安全中间件平台40将数字证书以及封装有各个卡应用的APDU指令的SDK包下发给应用终端10进行安装。图2示出了本发明芯片安全域的卡应用使用方案中应用终端在获取到安全中间件之后使用安全中间件的过程示意图。如图2所示,应用终端10的客户端启动后,调用安全中间件SDK包通过应用授权的数字证书向安全中间件平台40进行授权认证及可用卡应用的鉴权。通过认证鉴权后,安全中间件平台40将该数字证书绑定的可用卡应用列表返回给应用终端10。然后,应用终端10通过SDK包发送APDU指令调用芯片安全域60内的卡应用进行交互处理,例如调用卡应用进行获取随机数、签名、数据加密等。接着,应用终端10根据卡应用返回的处理结果,与业务平台70进行业务交互,完成通过卡应用所提供的业务处理。基于本申请以上所介绍的芯片安全域的卡应用使用方案,本发明提出一种应用于安全中间件平台40侧的芯片安全域的卡应用使用方法和装置。图3示出了根据本发明一个实施例的芯片安全域的卡应用使用方法100的流程图。如图1所示,该方法100包括如下步骤:步骤S101中,根据应用终端的卡应用访问能力请求,向TSM平台获取可用卡应用列表。具体示例中,该步骤S101可进一步包括:接收应用终端通过应用提供商平台发送的卡应用访问能力请求,所述请求中包括有客户端程序名称、开发商信息等;然后对所述卡应用访问能力请求进行审核,所述审核包括审核开发商信息、应用功能等,还包括恶意代码检测、敏感词检测、系统访问权限检测等等;然后针对审核通过的卡应用访问能力请求,以例如接口交互的方式向TSM平台获取可用卡应用列表。随后步骤S102中,依据所述可用卡应用列表,向安全认证中心申请授权使用的数字证书。随后步骤S103中,将所述数字证书与所述可用卡应用列表建立绑定关系。随后步骤S104中,将所述数字证书以及封装有各卡应用的APDU指令的SDK包下发至应用终端。随后步骤S105中,根据应用终端在需要使用卡应用时调用所述SDK包发送的数字证书进行认证鉴权,返回可用卡应用列表。图4示出了根据本发明一个实施例的芯片安全域的卡应用使用装置200的逻辑结构图。如图2所示,该装置200包括卡应用获取模块210、证书申请模块220、绑定模块230、发送模块240和认证鉴权模块250。其中,卡应用获取模块210用于根据应用终端的卡应用访问能力请求,向TSM平台获取可用卡应用列表。证书申请模块220用于依据所述可用卡应用列表,向安全认证中心申请授权使用的数字证书。绑定模块230用于将所述数字证书与所述可用卡应用列表建立绑定关系。发送模块240用于将所述数字证书以及封装有各卡应用的APDU指令的SDK包下发至应用终端。认证鉴权模块250用于根据应用终端在需要使用卡应用时调用所述SDK包发送的数字证书进行认证鉴权,返回可用卡应用列表。具体示例中,卡应用获取模块210进一步包括接收单元211、审核单元212和获取单元213。其中,接收单元211用于接收应用终端通过应用提供商平台发送的卡应用访问能力请求,所述请求中至少包括有客户端程序名称、开发商信息。审核单元212用于对所述卡应用访问能力请求进行审核。获取单元213用于针对审核通过的卡应用访问能力请求,向TSM平台获取可用卡应用列表。例如,获取单元213可可以接口交互的方式向TSM平台获取可用卡应用列表。基于本申请以上所介绍的芯片安全域的卡应用使用方案,本发明还提出一种应用于应用终端10侧的应用终端使用芯片安全域的卡应用的方法。图5示出了根据本发明一个实施例的应用终端使用芯片安全域的卡应用的方法300的流程图。如图5所示,该方法300包括如下步骤:步骤S301中,发送卡应用访问能力请求,并安装基于该卡应用访问能力请求下发的数字证书以及封装有各卡应用的APDU指令的SDK包。随后步骤S302中,在需要使用卡应用时调用所述SDK包发送所述数字证书进行认证鉴权,获得可用卡应用列表。随后步骤S303中,通过所述SDK包发送APDU指令,调用相应的卡应用进行交互处理。随后步骤S304中,根据所述卡应用返回的处理结果与业务平台进行业务交互处理。基于本申请以上所介绍的芯片安全域的卡应用使用方案,本发明还提出一种应用终端。图6示出了根据本发明一个实施例的应用终端400的逻辑结构图。如图6所述,应用终端400包括卡应用访问能力请求模块410、可用卡应用获取模块420、卡应用交互模块430和业务交互模块440。其中,卡应用访问能力请求模块410用于向安全中间件平台40发送卡应用访问能力请求,并安装安全中间件平台40基于该卡应用访问能力请求下发的数字证书以及封装有各卡应用的APDU指令的SDK包。可用卡应用获取模块420用于在需要使用卡应用时调用所述SDK包发送所述数字证书至安全中间件平台40进行认证鉴权,获得可用卡应用列表。卡应用交互模块430用于通过所述SDK包发送APDU指令,调用芯片安全域60内的相应的卡应用进行交互处理。业务交互模块440用于根据所述卡应用返回的处理结果与业务平台70进行业务交互处理。根据本发明的一个具体实施例中,应用授权的数字证书算法标识和数据结构如下:根据本发明的一个具体实施例中,安全中间件SDK包封装的指令包括:序号命令功能描述1GenerateRSAKEY生成RSA密钥对2SelectFile选择文件3ReadData读数据4WriteData写数据5DataCompress数据压缩6DigitalSignatures数字签名7SignaturesVerify签名验证8DataEncrypt数据加密9DataDecrypt数据解密10CreateRandomNum产生随机数11OperationVerify操作认证以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。