[发明专利]一种基于安全元件SE的身份认证方法和装置

说明书

本说明书实施例提供一种基于安全元件SE的身份认证方法和装置，其中，在该方法中，服务端接收客户端发送的SE初始化请求，并根据所述初始化请求，向SEI TSM请求为业务分配所述SE中的辅助安全域SSD作为安全环境；服务端还接收SEI TSM返回的初始化指令，并将所述初始化指令返回至客户端，以使得客户端根据指令进行SE中的SSD划分；在划分SSD成功后，服务端可以接收对于划分成功的SSD的秘钥更新请求，并向SEI TSM请求秘钥；服务端还使用SEI TSM分配的秘钥加密业务的安全应用，并将安全应用下发至客户端，以使得客户端将安全应用安装在SSD。

技术领域

本公开涉及计算机技术领域，特别涉及一种基于安全元件(Secure Element，SE)的身份认证方法和装置。

背景技术

在互联网业务中，很多业务对安全性要求较高，例如互联网金融业务。为了保证数据安全，传统方式中在PC端可以使用U盾，U盾中存储数字证书，来保证数据传输的安全性。随着移动互联网的发展，用户也开始在移动终端(例如，智能手机)上进行安全业务，如何保证移动端的数据传输安全也非常重要。

现有技术中，很多终端设备都内置了安全元件SE，可以将数字证书存储在SE中。数字证书向SE下发时，通常可以先对SE进行辅助安全域(Supplementary Security Domain，SSD)的划分，安装安全应用applet，并申请和安装数字证书。

发明内容

有鉴于此，本说明书一个或多个实施例提供一种基于安全元件SE的身份认证方法和装置，目的是降低身份认证对业务的影响。

具体地，本说明书一个或多个实施例是通过如下技术方案实现的：

第一方面，提供一种基于安全元件SE的身份认证方法，所述方法包括：

接收客户端发送的SE初始化请求，所述初始化请求用于请求为所述客户端侧的业务分配SE中的安全环境；

根据所述初始化请求，向SE提供商可信服务管理平台SEI TSM请求为所述业务分配所述SE中的辅助安全域SSD作为所述安全环境；

接收所述SEI TSM返回的初始化指令，并将所述初始化指令返回至所述客户端，以使得所述客户端根据所述初始化指令进行SE中的SSD划分；

接收对于划分成功的所述SSD的秘钥更新请求，并向SEI TSM请求秘钥；

使用所述SEI TSM分配的秘钥加密业务的安全应用，并将所述安全应用下发至客户端，以使得所述客户端将安全应用安装在所述SSD。

第二方面，提供一种基于安全元件SE的身份认证方法，所述方法由客户端执行，所述客户端包括：调用接口模块、认证客户端模块和安全元件SE，所述认证客户端模块和SE位于所述客户端的可信执行环境TEE中，所述方法包括：

所述调用接口模块在检测到业务请求分配SE中的安全环境时，向服务端发送SE初始化请求，所述初始化请求用于触发所述服务端向SEI TSM请求为所述业务分配SE中的辅助安全域SSD；

所述调用接口模块接收所述服务端返回的初始化指令，所述初始化指令由所述SEI TSM返回至所述服务端，并将所述初始化指令通过非可信环境访问SE的OMA通道发送至所述SE，以使得所述SE根据所述初始化指令为所述业务划分SSD；

所述调用接口模块向所述服务端发送对于划分成功的所述SSD的秘钥更新请求，以使得所述服务端向所述SEI TSM请求秘钥；

所述调用接口模块接收所述服务端发送的使用所述SEI TSM分配的秘钥加密的业务的安全应用，并将安全应用通过OMA通道下发至SSD中安装。

第三方面，提供一种基于安全元件SE的身份认证装置，所述装置包括：