專利名稱:一種數(shù)據(jù)短信的傳輸方法�、系統(tǒng)及設備的制作方法
技術領域:
本發(fā)明涉及通信領域�����,尤其涉及一種數(shù)據(jù)短信的傳輸方法�����、系統(tǒng)及設備�����。
背景技術:
設置在終端內(nèi)的用戶識別模塊(Subscriber Identity Module, SIM)是一種存儲 用戶數(shù)據(jù)、鑒權數(shù)據(jù)和密鑰的設備���,能夠接受移動通信網(wǎng)絡側對所在終端的身份進行鑒別���, 同時,用戶可以通過操作終端內(nèi)的SIM卡完成與移動通信系統(tǒng)的連接和信息的交互�。SIM卡可以通過空中接口與網(wǎng)絡側的設備進行數(shù)據(jù)短信的交互,這里的數(shù)據(jù)短信 是指由二進制串組成�����,具有一定編碼格式的短信��。SIM卡中還可以安裝多種應用客戶端��,每 一種應用客戶端對應一種應用業(yè)務���,SIM卡中的一個應用客戶端可以與該應用客戶端對應 在網(wǎng)絡側的業(yè)務平臺進行數(shù)據(jù)短信的交互�����,進而執(zhí)行相應的應用業(yè)務�。下面以電子錢包應用業(yè)務為例��,說明包含SIM卡的終端與電子錢包業(yè)務平臺進行 數(shù)據(jù)短信交互,以執(zhí)行對電子錢包進行充值的業(yè)務的過程��,如圖1所示���,包括如下步驟步驟101 用戶觸發(fā)終端中的電子錢包應用客戶端�����,請求執(zhí)行對該終端中的電子 錢包進行充值的業(yè)務���。步驟102 終端內(nèi)的電子錢包應用客戶端生成業(yè)務請求報文,其中業(yè)務請求報文 的安全數(shù)據(jù)體中的數(shù)據(jù)是應用數(shù)據(jù)����,包括表示請求業(yè)務是充值業(yè)務的信息以及充值的數(shù)量
fn息等�。步驟103 終端中的電子錢包應用客戶端對業(yè)務請求報文中的安全數(shù)據(jù)體進行加 密以及生成消息鑒別碼(Message Authentication Code,MAC)��,其中�,采用的密鑰為電子錢 包應用客戶端與電子錢包業(yè)務平臺之間協(xié)商的密鑰。MAC的原理是利用公開函數(shù)和密鑰產(chǎn)生一個固定長度的值作為認證標識�����,用這個 認證標識鑒別消息的完整性。具體做法是使用一個密鑰生成一個固定大小的小數(shù)據(jù)塊��,即 MAC����,將其加入到消息中并傳輸,接收方利用與發(fā)送方共享的密鑰進行鑒別認證��。如圖2所示����,為背景技術中SIM卡內(nèi)保存的子密鑰與空中下載(Over-the-Air, OTA)平臺和各業(yè)務平臺保存的根密鑰的關系示意圖�。SIM卡中的SIM C0S(SIM卡中的智能 操作部件)中保存了與OTA平臺協(xié)商的卡片層傳輸子密鑰,OTA平臺保存對應的根密鑰���;如 果SIM卡中安裝的應用客戶端與對應的業(yè)務平臺之間協(xié)商了應用層傳輸密鑰����,則SIM卡中 還保存該應用客戶端與對應的業(yè)務平臺之間協(xié)商的應用層傳輸子密鑰����,對應的業(yè)務平臺保 存相應的根密鑰。步驟104 終端將加密后的業(yè)務請求報文通過數(shù)據(jù)短信的形式發(fā)送給電子錢包業(yè) 務平臺�。步驟105 電子錢包業(yè)務平臺利用與電子錢包應用客戶端協(xié)商的密鑰��,對數(shù)據(jù)短 信中的安全數(shù)據(jù)體進行解密和MAC校驗���,在校驗通過時,處理用戶請求的充值業(yè)務��,并生成 確認報文�����。步驟106 電子錢包業(yè)務平臺對確認報文中安全數(shù)據(jù)體進行加密以及生成MAC����,其中,采用的密鑰為電子錢包應用客戶端與電子錢包業(yè)務平臺之間協(xié)商的密鑰���。步驟107 電子錢包業(yè)務平臺將加密后的確認報文通過數(shù)據(jù)短信的形式發(fā)送給終端。步驟108 終端將接收到的確認報文轉發(fā)給電子錢包應用客戶端���,由電子錢包應 用客戶端進行MAC校驗和解密后��,相應地更改終端內(nèi)電子錢包賬戶內(nèi)的余額����。通過以上步驟的描述,表明了包含SIM卡的終端與網(wǎng)絡側的各種業(yè)務平臺進行數(shù) 據(jù)短信交互的過程�。在上述方案中,為了保證傳輸數(shù)據(jù)短信的安全性����,電子錢包應用客戶端 和電子錢包業(yè)務平臺預先協(xié)商應用層的安全密鑰,根據(jù)該應用層的安全密鑰對數(shù)據(jù)短信的 安全數(shù)據(jù)體中的內(nèi)容進行加密�����,也就是說�,是由應用層來提供傳輸?shù)臄?shù)據(jù)短信的安全機制。但是����,如圖3所示,安裝在SIM卡中的應用程序客戶端與對應的業(yè)務平臺之間不一 定都協(xié)商了應用層的安全密鑰����,如果圖3中的應用客戶端3與對應的業(yè)務平臺之間沒有預 設的密鑰,則應用客戶端上行傳輸?shù)臄?shù)據(jù)短信和下行接收到來自對應業(yè)務平臺的數(shù)據(jù)短信 只能以明文形式出現(xiàn)����,將會導致數(shù)據(jù)短信傳輸?shù)陌踩缘貌坏奖WC。另外���,即使SIM卡中的 應用程序客戶端能夠利用應用層密鑰對安全數(shù)據(jù)體進行加密��,但是由于數(shù)據(jù)短信中除安全 數(shù)據(jù)體外的其他部分(如報文頭和報文體中的安全數(shù)據(jù)頭)不加密且不校驗MAC�����,因此�����,其 他部分的數(shù)據(jù)的安全性將無法保障��,可能導致操作系統(tǒng)中的文件遭到惡意破壞�。
發(fā)明內(nèi)容
本發(fā)明實施例提供一種數(shù)據(jù)短信的傳輸方法、系統(tǒng)及設備�����,以解決SIM卡內(nèi)的應 用客戶端與對應的業(yè)務平臺之間傳輸數(shù)據(jù)短信的安全性問題���。一種數(shù)據(jù)短信的傳輸方法,所述方法包括空中下載OTA平臺接收應用業(yè)務客戶端發(fā)送的利用OTA子密鑰加密的業(yè)務數(shù)據(jù)短 信����,所述OTA子密鑰是所述應用業(yè)務客戶端所在的用戶識別模塊SIM與OTA平臺之間協(xié)商 的密鑰�;所述OTA平臺利用OTA子密鑰對接收到的業(yè)務數(shù)據(jù)短信進行解密�,并根據(jù)業(yè)務數(shù) 據(jù)短信中攜帶的應用業(yè)務標識,將解密后的業(yè)務數(shù)據(jù)短信發(fā)送給所述應用業(yè)務標識對應的 應用業(yè)務平臺�����,指示所述應用業(yè)務平臺執(zhí)行所述業(yè)務數(shù)據(jù)短信請求的應用業(yè)務�����。一種數(shù)據(jù)短信的傳輸方法�,所述方法包括應用業(yè)務平臺接收應用業(yè)務客戶端發(fā)送的利用OTA子密鑰加密的業(yè)務數(shù)據(jù)短信, 所述OTA子密鑰是所述應用業(yè)務客戶端所在的SIM與OTA平臺之間協(xié)商的密鑰�;所述應用業(yè)務平臺從所述OTA平臺獲取所述OTA子密鑰,并利用獲取的OTA子密 鑰對接收到的業(yè)務數(shù)據(jù)短信進行解密����;所述業(yè)務數(shù)據(jù)短信用于指示所述應用業(yè)務平臺執(zhí)行請求的應用業(yè)務。一種數(shù)據(jù)短信的傳輸系統(tǒng)�����,所述系統(tǒng)包括位于用戶識別模塊SIM內(nèi)的應用業(yè)務客戶端�����,用于利用OTA子密鑰對業(yè)務數(shù)據(jù)短 信進行加密,并發(fā)送加密后的業(yè)務數(shù)據(jù)短信��,所述OTA子密鑰是所述用戶識別模塊與OTA服 務器之間協(xié)商的密鑰�;OTA服務器,用于接收應用業(yè)務客戶端發(fā)送的業(yè)務數(shù)據(jù)短信����,并利用協(xié)商的OTA子 密鑰對所述業(yè)務數(shù)據(jù)短信進行解密,以及根據(jù)業(yè)務數(shù)據(jù)短信中攜帶的應用業(yè)務標識�����,將解密后的業(yè)務數(shù)據(jù)短信發(fā)送給所述應用業(yè)務標識對應的應用業(yè)務服務器�;應用業(yè)務服務器,用于接收OTA服務器發(fā)送的所述業(yè)務數(shù)據(jù)短信��,并執(zhí)行所述業(yè) 務數(shù)據(jù)短信請求的應用業(yè)務�����。一種數(shù)據(jù)短信的傳輸系統(tǒng)�,所述系統(tǒng)包括位于用戶識別模塊SIM內(nèi)的應用業(yè)務客戶端,用于利用OTA子密鑰對業(yè)務數(shù)據(jù)短 信進行加密����,并發(fā)送加密后的業(yè)務數(shù)據(jù)短信,所述OTA子密鑰是所述用戶識別模塊與OTA服 務器之間協(xié)商的密鑰�;應用業(yè)務服務器,用于接收應用業(yè)務客戶端發(fā)送的業(yè)務數(shù)據(jù)短信����,并從所述OTA 服務器獲取所述OTA子密鑰,以及利用獲取的OTA子密鑰對接收到的業(yè)務數(shù)據(jù)短信進行解 密后��,執(zhí)行所述業(yè)務數(shù)據(jù)短信請求的應用業(yè)務���;OTA服務器�,用于存儲與用戶識別模塊協(xié)商的密鑰����。一種空中下載服務器,包括數(shù)據(jù)短信接收模塊�,用于接收應用業(yè)務客戶端發(fā)送的利用OTA子密鑰加密后的業(yè) 務數(shù)據(jù)短信,所述OTA子密鑰是所述用戶識別模塊與自身協(xié)商的密鑰�����;解密模塊�,用于利用所述OTA子密鑰對所述業(yè)務數(shù)據(jù)短信進行解密;數(shù)據(jù)短信發(fā)送模塊,用于根據(jù)業(yè)務數(shù)據(jù)短信中攜帶的應用業(yè)務標識���,將解密后的 業(yè)務數(shù)據(jù)短信發(fā)送給所述應用業(yè)務標識對應的應用業(yè)務服務器���。一種應用業(yè)務服務器,包括數(shù)據(jù)短信接收模塊��,用于接收應用業(yè)務客戶端發(fā)送的利用OTA子密鑰加密后的業(yè) 務數(shù)據(jù)短信��,所述OTA子密鑰是所述用戶識別模塊與OTA服務器協(xié)商的密鑰���;子密鑰獲取模塊�����,用于從所述OTA服務器獲取所述OTA子密鑰��;解密模塊���,用于利用獲取的OTA子密鑰對接收到的業(yè)務數(shù)據(jù)短信進行解密;業(yè)務執(zhí)行模塊�����,用于執(zhí)行所述業(yè)務數(shù)據(jù)短信請求的應用業(yè)務。在本發(fā)明方案中�,由于應用業(yè)務客戶端利用OTA子密鑰對業(yè)務數(shù)據(jù)短信進行加密 后,再通過OTA平臺對其進行解密后發(fā)送給應用業(yè)務平臺�����,或由應用業(yè)務平臺主動從OTA平 臺處獲得用于解密的OTA子密鑰��,使得在保證數(shù)據(jù)段短信空口傳輸安全性的同時���,業(yè)務平 臺也能夠正確識別接收到的數(shù)據(jù)短信,解決了 SIM卡內(nèi)的應用客戶端與對應的業(yè)務平臺之 間傳輸數(shù)據(jù)短信的安全性問題��。
圖1為背景技術中包含SIM卡的終端與電子錢包業(yè)務平臺進行數(shù)據(jù)短信交互的示 意圖����;圖2為背景技術中SIM卡內(nèi)保存的子密鑰與OTA平臺和各業(yè)務平臺保存的根密鑰 的關系示意圖;圖3為背景技術中SIM卡內(nèi)應用業(yè)務客戶端未進行卡片層密鑰加密的情況傳輸數(shù) 據(jù)短信的示意圖��;圖4為本發(fā)明實施例一中數(shù)據(jù)短信的傳輸方法步驟示意圖�;圖5為本發(fā)明實施例一中業(yè)務數(shù)據(jù)短信的報文結構示意圖;圖6為本發(fā)明實施例三中數(shù)據(jù)短信的傳輸方法步驟示意圖7為本發(fā)明實施例五中數(shù)據(jù)短信的傳輸系統(tǒng)結構示意圖��;圖8為本發(fā)明實施例六中數(shù)據(jù)短信的傳輸系統(tǒng)結構示意圖�����;圖9為本發(fā)明實施例七中空中下載服務器結構示意圖;圖10為本發(fā)明實施例八中應用業(yè)務服務器結構示意圖��。
具體實施例方式為實現(xiàn)本發(fā)明目的���,本發(fā)明實施例考慮到SIM卡中的應用客戶端可以通過調(diào)用 OTA平臺與SIM卡之間協(xié)商的卡片層的OTA密鑰對數(shù)據(jù)短信進行加密�����,以解決應用業(yè)務客 戶端與對應的業(yè)務平臺之間交互數(shù)據(jù)短信的安全性問題�,但是���,由于業(yè)務平臺無法直接獲 知SIM卡中應用客戶端加密時采用的卡片層OTA密鑰�,導致業(yè)務平臺無法對接收到的數(shù)據(jù) 短信進行正確解密和MAC校驗����。為此,本發(fā)明實施例提出一種新的傳輸數(shù)據(jù)短信的方法�,使 SIM卡中的應用客戶端通過調(diào)用卡片層的OTA密鑰對數(shù)據(jù)短信進行加密,達到數(shù)據(jù)短息傳 輸安全性的目的��,同時�,通過數(shù)據(jù)短信在傳輸過程中的一系列操作���,使業(yè)務平臺能夠正確識 別并獲得接收到的數(shù)據(jù)短信中的內(nèi)容,進而執(zhí)行相應的應用業(yè)務��。下面結合說明書附圖對本發(fā)明實施例進行詳細描述�。實施例一如圖4所示,為本發(fā)明實施例一中數(shù)據(jù)短信的傳輸方法步驟示意圖�,所述方法包 括以下步驟步驟401 應用業(yè)務客戶端利用OTA子密鑰對業(yè)務數(shù)據(jù)短信進行加密,所述OTA子 密鑰是所述應用業(yè)務客戶端所在的用戶識別模塊SIM與OTA平臺之間協(xié)商的密鑰�。在本發(fā)明實施例的方案中����,SIM卡可以與OTA平臺預先協(xié)商設置一組或多組OTA密 鑰,其中��,OTA子密鑰可以由OTA平臺通過空中接口發(fā)送給SIM卡����,對應的OTA根密鑰保存 在OTA平臺中,并且OTA平臺可以對協(xié)商的OTA密鑰進行動態(tài)修改�,并將修改后的OTA子密 鑰發(fā)送給SIM卡。在本步驟中�,發(fā)起業(yè)務數(shù)據(jù)短信的應用業(yè)務客戶端是SIM卡中的一個軟件客戶 端,當用戶需要執(zhí)行某種應用業(yè)務時�,可以通過終端設備調(diào)用對應的應用業(yè)務客戶端生成 業(yè)務數(shù)據(jù)短信����,用于指示相應的應用業(yè)務平臺執(zhí)行業(yè)務數(shù)據(jù)短信中請求的應用業(yè)務�。如圖5所示,為業(yè)務數(shù)據(jù)短信的報文結構示意圖�����,假設SIM卡與OTA平臺之間的接 口協(xié)議為3GPP 03. 48協(xié)議�,則應用業(yè)務客戶端通過SIM COS (SIM卡中OS模塊)提供的接 口,調(diào)用SIM卡中的OTA子密鑰對安全數(shù)據(jù)體和安全數(shù)據(jù)頭中的數(shù)據(jù)進行加密和生成MAC�, 其中安全數(shù)據(jù)體中的應用數(shù)據(jù)的內(nèi)容可以由業(yè)務平臺和應用業(yè)務客戶端自行定義;安全 數(shù)據(jù)頭中包含應用數(shù)據(jù)的相關參數(shù)以及本次應用業(yè)務客戶端對應的應用業(yè)務標識�,具體地 可以由安全數(shù)據(jù)頭中的TAR字段攜帶應用業(yè)務標識。本實施例中的應用業(yè)務標識是一種特 殊標識�,它可以同時對應一個應用業(yè)務客戶端和為該應用客戶端提供業(yè)務的業(yè)務平臺,例 如對應電子錢包應用客戶端的業(yè)務標識可以同時對應電子錢包業(yè)務平臺����。本發(fā)明實施例也可以進一步地利用應用業(yè)務客戶端與對應的業(yè)務平臺之間協(xié)商 的應用層密鑰對安全數(shù)據(jù)體中的應用數(shù)據(jù)進行加密和生成MAC。步驟402 應用業(yè)務客戶端將加密后的業(yè)務數(shù)據(jù)短信通過空中接口發(fā)送給OTA平臺��。
業(yè)務數(shù)據(jù)短信還可以包含SIM卡標識���。步驟403 所述OTA平臺利用OTA子密鑰對接收到的業(yè)務數(shù)據(jù)短信進行解密�。在OTA平臺中保存的是與步驟401中加密時采用的OTA子密鑰對應的OTA根密鑰, 由于解密時需要用到OTA子密鑰�����,因此�����,OTA平臺利用利用分散因子算法將對應的OTA根密 鑰轉換為OTA子密鑰����,并利用轉換后的OTA子密鑰對所述業(yè)務數(shù)據(jù)短信進行解密。這里使用的分散因子可以是SIM卡的國際移動用戶識別碼(International Mobile Subscriber Identity, IMSI)或IMSI和預設的數(shù)據(jù)(如密鑰版本號等)組合等�����。特殊地����,如果SIM卡與OTA平臺之間協(xié)商了多組密鑰���,并且每組密鑰中的根密鑰和 子密鑰同時唯一對應一個密鑰索引��,則在應用客戶端生成業(yè)務數(shù)據(jù)短信時���,SIM卡將會為應 用客戶端分配一個密鑰索引��,應用客戶端利用為自身分配的密鑰索引對應的OTA子密鑰對 業(yè)務數(shù)據(jù)短信進行加密���,并將分配的密鑰索引攜帶在業(yè)務數(shù)據(jù)短信中,其中一個密鑰索引 同時只能分配給一個應用業(yè)務客戶端���。OTA平臺接收到業(yè)務數(shù)據(jù)短信后�����,由于一個密鑰索引 同時與一組密鑰中的子密鑰和根密鑰具有一一對應關系���,因此OTA平臺可以根據(jù)業(yè)務數(shù)據(jù) 短信中的密鑰索引查找出對應的OTA根密鑰,進而根據(jù)分散因子算法將查找出的所述OTA 根密鑰轉換為OTA子密鑰���,用于對業(yè)務數(shù)據(jù)短信進行解密��。如果在步驟401中應用業(yè)務客戶端利用OTA子密鑰生成MAC并攜帶在業(yè)務數(shù)據(jù)短 信中��,則本步驟中����,OTA平臺還要利用OTA子密鑰對業(yè)務數(shù)據(jù)短信中的MAC進行校驗,在校 驗通過后執(zhí)行后續(xù)步驟�����。步驟404:所述OTA平臺根據(jù)業(yè)務數(shù)據(jù)短信中攜帶的應用業(yè)務標識��,將解密后的業(yè) 務數(shù)據(jù)短信發(fā)送給所述應用業(yè)務標識對應的應用業(yè)務平臺�����。步驟405 所述應用業(yè)務平臺執(zhí)行所述業(yè)務數(shù)據(jù)短信請求的應用業(yè)務����。通過以上步驟401至步驟405的方案描述,本發(fā)明實施例一的方案中由應用業(yè)務 客戶端利用OTA子密鑰對業(yè)務數(shù)據(jù)短信進行安全性較高的加密�,確保數(shù)據(jù)短信的安全性, 即使應用業(yè)務客戶端與應用業(yè)務平臺之間沒有協(xié)商應用層的密鑰�,傳輸?shù)臄?shù)據(jù)短信內(nèi)的信 息也不易遭到外界惡意攻擊�����。步驟406 所述應用業(yè)務平臺將生成的確認數(shù)據(jù)短信發(fā)送給OTA平臺��。應用業(yè)務平臺執(zhí)行完成應用業(yè)務后,能夠生成關于業(yè)務執(zhí)行結果的確認數(shù)據(jù)短 信��,如果應用業(yè)務平臺與對應的應用業(yè)務客戶端之間協(xié)商了應用層密鑰����,則應用業(yè)務平臺 在發(fā)送確認數(shù)據(jù)短信之前,可以利用該應用層密鑰對確認數(shù)據(jù)短信中的安全數(shù)據(jù)體進行加 密和生成MAC��。步驟407 所述OTA平臺利用所述OTA子密鑰對確認數(shù)據(jù)短信進行加密�����,并在所述 確認數(shù)據(jù)短信中設置所述應用業(yè)務平臺對應的應用業(yè)務標識��。在本步驟中OTA平臺可以根據(jù)步驟403中涉及的密鑰索引查找出對應的OTA根密 鑰���,并進一步轉換為OTA子密鑰�,利用轉換后的OTA子密鑰對確認數(shù)據(jù)短信進行加密和生成 MAC����。確認數(shù)據(jù)短信的結構與業(yè)務數(shù)據(jù)短信的結構大致相同,OTA平臺調(diào)用OTA子密鑰 對安全數(shù)據(jù)體和安全數(shù)據(jù)頭中的數(shù)據(jù)進行加密���。步驟408 所述OTA平臺根據(jù)業(yè)務數(shù)據(jù)短信中的SIM卡標識確認接收確認數(shù)據(jù)短 信的SIM卡����,并將加密后的確認數(shù)據(jù)短信發(fā)送給包含該SIM卡的終端設備。
步驟409 所述SIM卡將收到的所述確認數(shù)據(jù)短信發(fā)送給攜帶的應用業(yè)務標識對 應的應用業(yè)務客戶端���。步驟410 應用業(yè)務客戶端利用OTA子密鑰對接收到的確認數(shù)據(jù)短信進行解密�����,得 到解密后的確認數(shù)據(jù)短信��。通過本發(fā)明實施例一的方案��,提高了數(shù)據(jù)報文上下行傳輸?shù)陌踩?,并且本實?例一實現(xiàn)簡單�,對OTA平臺和業(yè)務平臺的改造較小。并且SIM卡的執(zhí)行步驟符合現(xiàn)有的規(guī)范 和標準����,因此,本發(fā)明實施例一的方案可以看作是實現(xiàn)數(shù)據(jù)短信安全傳輸?shù)耐ㄓ媒鉀Q方案����。實施例二下面以電子錢包應用業(yè)務為例����,對實施例一的方案作進一步說明����。假設實施例二中用戶希望進行電子錢包充值業(yè)務��,則具體的執(zhí)行方式為第一步用戶通過操作終端設備����,觸發(fā)電子錢包業(yè)務客戶端,請求對電子錢包進行 充值�。第二步電子錢包業(yè)務客戶端生成電子錢包充值數(shù)據(jù)短信,其中安全數(shù)據(jù)體中 的應用數(shù)據(jù)為電子錢包業(yè)務標識和充值數(shù)量信息�����。假設終端設備中的SIM卡與OTA平臺之間只協(xié)商了一組OTA密鑰�����,則SIM卡中只 保存一組OTA子密鑰�����,OTA平臺中保存該SIM卡對應的OTA根密鑰�。第三步電子錢包業(yè)務客戶端利用SIM卡中保存的OTA子密鑰對電子錢包充值數(shù) 據(jù)短信進行加密��。第四步電子錢包業(yè)務客戶端通過空中接口將電子錢包充值數(shù)據(jù)短信發(fā)送給OTA平臺����。第五步0ΤΑ平臺根據(jù)電子錢包充值數(shù)據(jù)短信發(fā)送方的SIM卡標識�,查找出對應的 OTA根密鑰,并通過分散因子算法將查找出的所述OTA根密鑰轉換為對應的OTA子密鑰�����。第六步0ΤΑ平臺利用所述OTA子密鑰對電子錢包充值數(shù)據(jù)短信進行解密�����,并根據(jù) 電子錢包業(yè)務標識將解密后的電子錢包充值數(shù)據(jù)短信發(fā)送給電子錢包業(yè)務平臺���。第七步電子錢包業(yè)務平臺根據(jù)所述充值數(shù)量信息�����,修改所述電子錢包業(yè)務客戶 端的余額���,并將修改確認數(shù)據(jù)短信返回給OTA平臺。第八步0ΤΑ平臺為保證空中接口傳輸?shù)陌踩?�,利用解密時采用的OTA子密鑰對 修改確認數(shù)據(jù)短信進行加密,并在修改確認數(shù)據(jù)短信中攜帶電子錢包業(yè)務標識���。第九步0ΤΑ平臺將加密后的修改確認數(shù)據(jù)短信發(fā)生給對應的SIM卡,由該SIM卡 根據(jù)其中的電子錢包業(yè)務標識將其發(fā)送給對應的電子錢包業(yè)務客戶端����。第十步電子錢包業(yè)務客戶端對修改確認數(shù)據(jù)短信進行解密,并同時修改電子錢 包內(nèi)的余額�����,完成電子錢包充值業(yè)務����。實施例三在本發(fā)明實施例一和實施例二的方案中,由OTA平臺預先將業(yè)務數(shù)據(jù)短信進行 OTA解密����,隨后應用業(yè)務平臺可以直接執(zhí)行解密后的業(yè)務數(shù)據(jù)短信請求的應用業(yè)務。本發(fā)明 實施例三也不限于其他傳輸數(shù)據(jù)短信的方法�����,如圖6所示�,包括以下步驟步驟601 應用業(yè)務客戶端利用OTA子密鑰對業(yè)務數(shù)據(jù)短信進行加密���,所述OTA子 密鑰是所述應用業(yè)務客戶端所在的用戶識別模塊SIM與OTA平臺之間協(xié)商的密鑰。按照GSM03. 48規(guī)范�,SIM卡與OTA平臺協(xié)商的OTA密鑰可以有16組,分別為這16組OTA密鑰設置的密鑰索引為0 15����。假設密鑰索引0對應的OTA密鑰為主控密鑰,只有 OTA平臺與SIM COS進行數(shù)據(jù)短信傳輸時使用�,其他密鑰索引對應的OTA密鑰可以分配給與 應用平臺進行數(shù)據(jù)傳輸?shù)膽脴I(yè)務客戶端,為了保證數(shù)據(jù)短信傳輸?shù)目煽啃?����,一個OTA密 鑰同時僅分配給一個應用業(yè)務客戶端使用�。另外,除了主控密鑰不可由OTA平臺進行動態(tài) 更新之外�����,其他密鑰可以由OTA平臺進行動態(tài)更新��,并將更新后的OTA子密鑰通過空中接口 發(fā)送給SIM卡����。本發(fā)明實施例中SIM卡內(nèi)設置的OTA密鑰數(shù)量可以為多個但不限于16個��。SIM卡為應用業(yè)務客戶端分配一個密鑰索引��,則所述應用業(yè)務客戶端利用分配的 密鑰索引對應的OTA子密鑰對業(yè)務數(shù)據(jù)進行加密�����,并將分配的密鑰索引攜帶在所述業(yè)務數(shù) 據(jù)短信中。特殊地��,應用業(yè)務客戶端還可以進一步利用與應用業(yè)務平臺協(xié)商的應用層密鑰對 業(yè)務數(shù)據(jù)短信的安全數(shù)據(jù)體進行加密���。本實施例中的業(yè)務數(shù)據(jù)短信與實施例一中類似����,也是用于指示應用業(yè)務平臺執(zhí)行 業(yè)務數(shù)據(jù)短信請求的應用業(yè)務���。步驟602 應用業(yè)務客戶端將加密后的業(yè)務數(shù)據(jù)短信發(fā)送給對應的應用業(yè)務平臺��。在本步驟���,應用業(yè)務客戶端能夠直接確定對應的應用業(yè)務平臺的路由地址,因此 可以不在業(yè)務數(shù)據(jù)短信中攜帶應用業(yè)務標識�����。步驟603 應用業(yè)務平臺從OTA平臺獲取所述OTA子密鑰。本步驟的具體執(zhí)行方式包括但不限于以下兩種第一種首先�����,應用業(yè)務平臺向所述OTA平臺發(fā)送密鑰傳輸請求�����,所述密鑰傳輸請求中攜 帶所述業(yè)務數(shù)據(jù)短信中的密鑰索引和SIM卡的標識(例如移動站點綜合服務數(shù)字編碼����, MSISDN),由于密鑰索引可以攜帶在業(yè)務數(shù)據(jù)短信額外指定的字段中且該字段未采用OTA 子密鑰加密���,因此��,應用業(yè)務平臺可以直接獲知該密鑰索引�����;然后�,OTA平臺對所述應用業(yè)務平臺鑒權通過后,根據(jù)接收到的密鑰索引查找出對 應的OTA根密鑰�����,并利用分散因子算法將查找出的所述OTA根密鑰轉換為OTA子密鑰�;OTA平臺與SIM卡協(xié)商的每組OTA密鑰都與一個密鑰索引一一對應,即一個密鑰索 引同時對應一個OTA子密鑰和該子密鑰的根密鑰�,因此,OTA平臺根據(jù)密鑰傳輸請求中的密 鑰索引確定出的OTA根密鑰就是與加密過程中采用的OTA子密鑰相對應的OTA根密鑰��,則 根據(jù)分散因子算法可將該OTA根密鑰轉換為對應的子密鑰�����。最后��,OTA平臺將該OTA子密鑰返回給所述應用業(yè)務平臺��。第二種首先�,應用業(yè)務平臺登陸所述OTA平臺��,讀取OTA平臺中存儲的多個根密鑰���,查找 出所述密鑰索引對應的OTA根密鑰�����;然后����,應用業(yè)務平臺利用分散因子算法將所述OTA根密鑰轉換為OTA子密鑰,或 者��,應用業(yè)務平臺請求OTA平臺利用分散因子算法將所述OTA根密鑰轉換為OTA子密鑰��。步驟604 應用業(yè)務平臺利用獲取的OTA子密鑰對接收到的業(yè)務數(shù)據(jù)短信進行解 密�,以及執(zhí)行所述業(yè)務數(shù)據(jù)短信請求的應用業(yè)務。
通過步驟601至步驟604的方案��,使得上行傳輸?shù)臄?shù)據(jù)短信進行了 OTA加密����,保證 了數(shù)據(jù)短信的安全。步驟605 應用業(yè)務平臺執(zhí)行完應用業(yè)務后�,生成確認數(shù)據(jù)短信,并利用獲得的所 述OTA子密鑰對確認數(shù)據(jù)短信進行加密并發(fā)送給對應的SIM卡����,并在確認數(shù)據(jù)短信中設置 自身對應的應用業(yè)務標識。由于在步驟602中���,應用業(yè)務平臺接收到的業(yè)務數(shù)據(jù)短信包含SIM卡的標識��,因 此�,本步驟中,應用業(yè)務平臺可以根據(jù)該SIM卡的標識將確認數(shù)據(jù)短信發(fā)送給包含對應SIM 卡的終端設備�。步驟606 =SIM卡將收到的所述確認數(shù)據(jù)短信發(fā)送給所述應用業(yè)務標識對應的應 用業(yè)務客戶端。由于SIM卡中包含多種應用業(yè)務客戶端����,因此,必須根據(jù)應用業(yè)務標識確定接收 該確認數(shù)據(jù)短信得應用業(yè)務客戶端�。步驟607 應用業(yè)務客戶端利用OTA子密鑰對接收到的確認數(shù)據(jù)短信進行解密,得 到解密后的確認數(shù)據(jù)短信���。在本發(fā)明實施例中����,上下行傳輸?shù)臄?shù)據(jù)短信采用相同的OTA子密鑰進行加密�;同 時����,由于SIM卡中保存的OTA子密鑰有限,也就是說同時傳輸數(shù)據(jù)短信的應用業(yè)務客戶端也 有限�,因此�,能夠與OTA平臺進行交互獲取OTA子密鑰的業(yè)務平臺數(shù)量也是可預見的�����,所以�����, OTA平臺不需要經(jīng)常升級改造��;另外��,根據(jù)SIM卡中應用業(yè)務客戶端的使用情況動態(tài)分配未 使用的密鑰索引���,提高了 OTA子密鑰的使用率����。實施例四仍以電子錢包應用業(yè)務為例�����,對實施例三的方案作進一步說明���。假設實施例四中用戶希望進行電子錢包充值業(yè)務��,則具體的執(zhí)行方式為第一步用戶通過操作終端設備�,觸發(fā)電子錢包業(yè)務客戶端,請求對電子錢包進行 充值���。第二步電子錢包業(yè)務客戶端生成電子錢包充值數(shù)據(jù)短信�����,其中安全數(shù)據(jù)體中 的應用數(shù)據(jù)為電子錢包業(yè)務標識和充值數(shù)量信息��,電子錢包充值數(shù)據(jù)短信中額外攜帶進行 OTA加密時采用的OTA子密鑰對應的密鑰索引����。第三步電子錢包業(yè)務客戶端通過空中接口將電子錢包充值數(shù)據(jù)短信發(fā)送給電子 錢包業(yè)務平臺���。第四步電子錢包業(yè)務平臺根據(jù)SIM卡的標識確定該SIM卡對應的OTA平臺�����,并向 該OTA平臺發(fā)送攜帶密鑰索引和SIM卡的標識的密鑰傳輸請求,從而獲得OTA子密鑰����。第五步電子錢包業(yè)務平臺利用獲得的OTA子密鑰對電子錢包充值數(shù)據(jù)短信進行 解密�,獲得電子錢包充值數(shù)據(jù)短信中的充值數(shù)量信息�����,并修改所述電子錢包業(yè)務客戶端的 余額��,以及生成修改確認數(shù)據(jù)短信�����。第六步電子錢包業(yè)務平臺利用獲得的OTA子密鑰對修改確認數(shù)據(jù)短信進行加密 后發(fā)送給SIM卡�。第七步SIM卡根據(jù)修改確認數(shù)據(jù)短信中的應用業(yè)務標識確定接收該修改確認數(shù) 據(jù)短信的軟件客戶端為電子錢包業(yè)務客戶端。第八步電子錢包業(yè)務客戶端利用OTA子密鑰對修改確認數(shù)據(jù)短信進行解密��,然后根據(jù)修改確認數(shù)據(jù)短信中安全數(shù)據(jù)體內(nèi)的應用數(shù)據(jù)確認充值是否成功����,若充值成功,則 進一步修改電子錢包內(nèi)的余額�,完成電子錢包充值業(yè)務。實施例五本發(fā)明實施例五還提供一種數(shù)據(jù)短信的傳輸系統(tǒng)�����,如圖7所示�,所述系統(tǒng)包括用 戶識別模塊11�����、位于用戶識別模塊內(nèi)的應用業(yè)務客戶端12���、0TA服務器13和與應用業(yè)務客 戶端對應的應用業(yè)務服務器14,系統(tǒng)中各部件的連接關系可以從圖7中看出應用業(yè)務客 戶端12與OTA服務器13之間進行數(shù)據(jù)短信傳輸?shù)慕涌诜Q之為Al接口���,遵循的接口協(xié)議可 以是3GPP 03. 48協(xié)議��;OTA服務器13與應用業(yè)務服務器14傳輸數(shù)據(jù)短信的接口稱之為A2 接口��,采用的接口協(xié)議為TCP/IP協(xié)議�����。下面分別描述各部件之間的數(shù)據(jù)短信傳輸過程在數(shù)據(jù)短信的上行傳輸過程中�,應用業(yè)務客戶端12用于利用OTA子密鑰對業(yè)務數(shù) 據(jù)短信進行加密���,并發(fā)送加密后的業(yè)務數(shù)據(jù)短信給OTA服務器13����,所述OTA子密鑰是所述用 戶識別模塊與OTA服務器之間協(xié)商的密鑰����;OTA服務器13用于利用協(xié)商的OTA子密鑰對所 述業(yè)務數(shù)據(jù)短信進行解密,以及根據(jù)業(yè)務數(shù)據(jù)短信中攜帶的應用業(yè)務標識���,將解密后的業(yè) 務數(shù)據(jù)短信發(fā)送給所述應用業(yè)務標識對應的應用業(yè)務服務器14 ���;應用業(yè)務服務器14用于 接收OTA服務器13發(fā)送的所述業(yè)務數(shù)據(jù)短信,并執(zhí)行所述業(yè)務數(shù)據(jù)短信請求的應用業(yè)務��。在數(shù)據(jù)短信的下行傳輸過程中����,所述應用業(yè)務服務器14還用于在執(zhí)行所述業(yè)務 數(shù)據(jù)短信請求的應用業(yè)務后,生成確認數(shù)據(jù)短信��,并發(fā)送給OTA服務器13 ���;所述OTA服務 器13還用于利用所述OTA子密鑰對確認數(shù)據(jù)短信進行加密�����,并在所述確認數(shù)據(jù)短信中設置 所述應用業(yè)務服務器對應的應用業(yè)務標識后����,發(fā)送給所述用戶識別模塊11 ;所述用戶識別 模塊11用于將收到的所述確認數(shù)據(jù)短信發(fā)送給所述應用業(yè)務標識對應的應用業(yè)務客戶端 12 ����;所述應用業(yè)務客戶端12還用于利用所述OTA子密鑰對接收到的確認數(shù)據(jù)短信進行解 密,得到解密后的確認數(shù)據(jù)短信�。另外,所述用戶識別模塊11可以從保存的多個密鑰索引中為所述應用業(yè)務客戶 端12分配一個密鑰索引�,其中,密鑰索引與OTA子密鑰存在一一對應關系�����;則所述應用業(yè)務 客戶端12還用于利用分配的密鑰索引對應的OTA子密鑰對業(yè)務數(shù)據(jù)短信進行加密��,并將分 配的密鑰索引攜帶在所述業(yè)務數(shù)據(jù)短信中���。所述OTA服務器13還用于根據(jù)密鑰索引與OTA根密鑰的對應關系���,確定接收到的 密鑰索引對應的OTA根密鑰,利用分散因子算法將確定的所述OTA根密鑰轉換為對應的OTA 子密鑰�����,以及利用轉換后的OTA子密鑰對所述業(yè)務數(shù)據(jù)短信進行解密。本發(fā)明實施例五描述的系統(tǒng)可以是與實施例一和實施例二屬于同一發(fā)明構思下 的系統(tǒng)�,因此,本發(fā)明實施例一和實施例二中涉及的功能可以由本發(fā)明實施例五中的部件 執(zhí)行����。實施例六本發(fā)明實施例六還提供另外一種數(shù)據(jù)短信的傳輸系統(tǒng)��,如圖8所示�����,所述系統(tǒng)包 括用戶識別模塊21�、位于用戶識別模塊內(nèi)的應用業(yè)務客戶端22、OTA服務器23和應用業(yè) 務服務器24�����。系統(tǒng)中各部件的連接關系為應用業(yè)務客戶端22與應用業(yè)務服務器24之間進行 數(shù)據(jù)短信傳輸?shù)慕涌诜Q之為Bl接口�����,遵循的接口協(xié)議可以是3GPP03. 48協(xié)議��;OTA服務器23與應用業(yè)務服務器24傳輸數(shù)據(jù)短信的接口稱之為B2接口����,采用的接口協(xié)議為TCP/IP協(xié) 議����;OTA服務器23與用戶識別模塊21之間的接口稱之為B3接口����,遵循的接口協(xié)議可以是 3GPP 03. 48 協(xié)議。OTA服務器23與用戶識別模塊21可以通過B3接口協(xié)商OTA子密鑰����,并且用戶識 別模塊21可以通過B3接口接收OTA服務器23更新的OTA子密鑰。下面分別描述各部件之間的數(shù)據(jù)短信傳輸過程在數(shù)據(jù)短信的上行傳輸過程中�,應用業(yè)務客戶端22用于利用OTA子密鑰對業(yè)務數(shù) 據(jù)短信進行加密,并向應用業(yè)務服務器24發(fā)送加密后的業(yè)務數(shù)據(jù)短信����,所述OTA子密鑰是 所述用戶識別模塊與OTA服務器之間協(xié)商的密鑰;應用業(yè)務服務器24用于從所述OTA服務 器23獲取所述OTA子密鑰�,以及利用獲取的OTA子密鑰對接收到的業(yè)務數(shù)據(jù)短信進行解密 后,執(zhí)行所述業(yè)務數(shù)據(jù)短信請求的應用業(yè)務�;OTA服務器23用于存儲與用戶識別模塊協(xié)商 的密鑰。在數(shù)據(jù)短信的下行傳輸過程中����,應用業(yè)務服務器24還用于在執(zhí)行所述業(yè)務數(shù)據(jù) 短信請求的應用業(yè)務后���,利用所述OTA子密鑰對生成的確認數(shù)據(jù)短信進行加密并發(fā)送給用 戶識別模塊21,所述確認數(shù)據(jù)短信中設置有所述應用業(yè)務服務器對應的應用業(yè)務標識�;用 戶識別模塊21用于將所述確認數(shù)據(jù)短信發(fā)送給所述應用業(yè)務標識對應的應用業(yè)務客戶端 22 ;所述應用業(yè)務客戶端22還用于利用OTA子密鑰對接收到的確認數(shù)據(jù)短信進行解密����,得 到解密后的確認數(shù)據(jù)短信。用戶識別模塊21用于從保存的多個密鑰索引中為所述應用業(yè)務客戶端22分配一 個密鑰索引�����,其中�,密鑰索引與OTA子密鑰存在一一對應關系�����;所述應用業(yè)務客戶端22還用 于利用分配的密鑰索引對應的OTA子密鑰對業(yè)務數(shù)據(jù)短信進行加密����,并將分配的密鑰索引 攜帶在所述業(yè)務數(shù)據(jù)短信中。所述應用業(yè)務服務器24還用于向所述OTA服務器23發(fā)送密鑰傳輸請求�����,所述密 鑰傳輸請求中攜帶所述業(yè)務數(shù)據(jù)短信中的密鑰索引;則所述OTA服務器23根據(jù)密鑰索引與 OTA根密鑰的對應關系�,確定接收到的密鑰索引對應的OTA根密鑰,并利用分散因子算法將 確定的所述OTA根密鑰轉換為OTA子密鑰���,以及將該OTA子密鑰返回給所述應用業(yè)務服務 器24 ��;或者����,所述應用業(yè)務服務器24還用于據(jù)密鑰索引與OTA根密鑰的對應關系�����,從所述 OTA服務器23中讀取接收到的所述密鑰索引對應的OTA根密鑰�����,并利用分散因子算法將所 述OTA根密鑰轉換為對應的OTA子密鑰�。本發(fā)明實施例六描述的系統(tǒng)可以是與實施例三和實施例四屬于同一發(fā)明構思下 的系統(tǒng),因此����,本發(fā)明實施例三和實施例四中涉及的功能可以由本發(fā)明實施例六中的部件 執(zhí)行。實施例七本發(fā)明實施例七還提供一種空中下載服務器�,如圖9所示���,包括數(shù)據(jù)短信接收模 塊31、解密模塊32和數(shù)據(jù)短信發(fā)送模塊33�,其中數(shù)據(jù)短信接收模塊31用于接收應用業(yè)務 客戶端發(fā)送的利用OTA子密鑰加密后的業(yè)務數(shù)據(jù)短信,所述OTA子密鑰是所述用戶識別模 塊與自身協(xié)商的密鑰�����;解密模塊22用于利用所述OTA子密鑰對所述業(yè)務數(shù)據(jù)短信進行解 密��;數(shù)據(jù)短信發(fā)送模塊23用于根據(jù)業(yè)務數(shù)據(jù)短信中攜帶的應用業(yè)務標識�����,將解密后的業(yè)務 數(shù)據(jù)短信發(fā)送給所述應用業(yè)務標識對應的應用業(yè)務服務器��。
所述數(shù)據(jù)短信接收模塊31還用于接收應用業(yè)務服務器發(fā)送的確認數(shù)據(jù)短信��。所述空中下載服務器還包括加密模塊34�,用于利用所述OTA子密鑰對所述確認數(shù) 據(jù)短信進行加密��;則所述數(shù)據(jù)短信發(fā)送模塊33還用于在所述確認數(shù)據(jù)短信中設置所述應 用業(yè)務服務器對應的應用業(yè)務標識后發(fā)送��。所述解密模塊32包括索引查找子模塊41����、轉換子模塊42和執(zhí)行子模塊43�,其中 索引查找子模塊41用于在接收到的業(yè)務數(shù)據(jù)短信中攜帶密鑰索引時�,根據(jù)所述密鑰索引 查找出對應的OTA根密鑰;轉換子模塊42用于利用分散因子算法將查找出的所述OTA根密 鑰轉換為對應的OTA子密鑰�����;執(zhí)行子模塊43用于利用轉換后的OTA子密鑰對所述業(yè)務數(shù)據(jù) 短信進行解密�。本發(fā)明實施例七中涉及的空中下載服務器可以是前述任一實施例中的OTA平臺 或OTA服務器,在本實施例中未詳盡描述的功能而記載的前述實施例中的OTA平臺或OTA 服務器的功能���,都可以由本實施例中的空中下載服務器的邏輯部件實現(xiàn)���。實施例八本發(fā)明實施例八提供一種應用業(yè)務服務器,如圖10所示�,所述應用業(yè)務服務器包 括數(shù)據(jù)短信接收模塊51、子密鑰獲取模塊52����、解密模塊53和業(yè)務執(zhí)行模塊54,其中數(shù)據(jù) 短信接收模塊51用于接收應用業(yè)務客戶端發(fā)送的利用OTA子密鑰加密后的業(yè)務數(shù)據(jù)短信�, 所述OTA子密鑰是所述用戶識別模塊與OTA服務器協(xié)商的密鑰;子密鑰獲取模塊52用于從 所述OTA服務器獲取所述OTA子密鑰���;解密模塊53用于利用獲取的OTA子密鑰對接收到的 業(yè)務數(shù)據(jù)短信進行解密�;業(yè)務執(zhí)行模塊54用于執(zhí)行所述業(yè)務數(shù)據(jù)短信請求的應用業(yè)務。所述應用業(yè)務服務器還包括加密模塊55和數(shù)據(jù)短信發(fā)送模塊56�����,其中加密模塊 55用于在執(zhí)行所述業(yè)務數(shù)據(jù)短信請求的應用業(yè)務后��,利用所述OTA子密鑰對生成的確認數(shù) 據(jù)短信進行加密�;數(shù)據(jù)短信發(fā)送模塊56用于發(fā)送加密后的確認數(shù)據(jù)短信。所述子密鑰獲取模塊52包括請求子模塊61和密鑰接收子模塊62�����,其中請求子 模塊61用于向所述OTA服務器發(fā)送密鑰傳輸請求�,所述密鑰傳輸請求中攜帶所述業(yè)務數(shù)據(jù) 短信中攜帶的密鑰索引;密鑰接收子模塊62用于接收所述OTA服務器返回的OTA子密鑰��。本發(fā)明實施例八中涉及的應用業(yè)務服務器可以是前述任一實施例中的應用業(yè)務 平臺或應用業(yè)務服務器�,在本實施例中未詳盡描述的功能而記載的前述實施例中的應用 業(yè)務平臺或應用業(yè)務服務器的功能���,都可以由本實施例中的應用業(yè)務服務器的邏輯部件實 現(xiàn)��。通過本發(fā)明實施例提供的方法���、系統(tǒng)及設備�����,提高了數(shù)據(jù)報文上下行傳輸?shù)陌踩?性����,降低了現(xiàn)有數(shù)據(jù)短信傳輸過程由于僅采用應用層的安全機制導致的安全風險�;并且,利 用同一的OTA子密鑰進行加密的方案解決了 SIM卡中應用業(yè)務客戶端各自定義應用層傳輸 密鑰的問題��,有利于SIM卡對應用業(yè)務客戶端的統(tǒng)一管理���。在本發(fā)明各實施例分別提供的兩種實現(xiàn)方式中��,本實施例一和實施例二的實現(xiàn) 方案簡單�����,對OTA平臺和業(yè)務平臺的改造較小�,SIM卡的執(zhí)行步驟符合現(xiàn)有的規(guī)范和標準�, 是實現(xiàn)數(shù)據(jù)短信安全傳輸?shù)耐ㄓ媒鉀Q方案;而實施例三和實施例四的方案中,由于能夠與 OTA平臺進行交互獲取OTA子密鑰的業(yè)務平臺數(shù)量的可預見性����,因此,OTA平臺不需要經(jīng)常 升級改造�����;另外�����,根據(jù)SIM卡中應用業(yè)務客戶端的使用情況動態(tài)分配未使用的密鑰索引����,提 高了 OTA子密鑰的使用率。
顯然�,本領域的技術人員可以對本發(fā)明進行各種改動和變型而不脫離本發(fā)明的精 神和范圍。這樣��,倘若本發(fā)明的這些修改和變型屬于本發(fā)明權利要求及其等同技術的范圍 之內(nèi)�,則本發(fā)明也意圖包含這些改動和變型在內(nèi)。
權利要求
1.一種數(shù)據(jù)短信的傳輸方法��,其特征在于�����,所述方法包括空中下載OTA平臺接收應用業(yè)務客戶端發(fā)送的利用OTA子密鑰加密的業(yè)務數(shù)據(jù)短信��, 所述OTA子密鑰是所述應用業(yè)務客戶端所在的用戶識別模塊SIM與OTA平臺之間協(xié)商的密 鑰�;所述OTA平臺利用OTA子密鑰對接收到的業(yè)務數(shù)據(jù)短信進行解密,并根據(jù)業(yè)務數(shù)據(jù)短 信中攜帶的應用業(yè)務標識��,將解密后的業(yè)務數(shù)據(jù)短信發(fā)送給所述應用業(yè)務標識對應的應用 業(yè)務平臺����,指示所述應用業(yè)務平臺執(zhí)行所述業(yè)務數(shù)據(jù)短信請求的應用業(yè)務。
2.如權利要求1所述的方法����,其特征在于,所述應用業(yè)務平臺執(zhí)行應用業(yè)務之后���,所述 方法還包括所述應用業(yè)務平臺將生成的確認數(shù)據(jù)短信發(fā)送給OTA平臺���;所述OTA平臺利用所述OTA子密鑰對確認數(shù)據(jù)短信進行加密,并在所述確認數(shù)據(jù)短信 中設置所述應用業(yè)務平臺對應的應用業(yè)務標識�;所述OTA平臺發(fā)送加密后的確認數(shù)據(jù)短信;所述用戶識別模塊SIM將收到的所述確認數(shù)據(jù)短信發(fā)送給所述應用業(yè)務標識對應的 應用業(yè)務客戶端���;所述應用業(yè)務客戶端利用OTA子密鑰對接收到的確認數(shù)據(jù)短信進行解密����,得到解密后 的確認數(shù)據(jù)短信。
3.如權利要求1所述的方法���,其特征在于����,OTA平臺接收應用業(yè)務客戶端發(fā)送的業(yè)務數(shù) 據(jù)短信之前�,所述方法還包括所述應用業(yè)務客戶端所在的SIM從保存的多個密鑰索引中為所述應用業(yè)務客戶端分 配一個密鑰索引,其中����,密鑰索引與OTA子密鑰存在一一對應關系;所述應用業(yè)務客戶端利用分配的密鑰索引對應的OTA子密鑰對業(yè)務數(shù)據(jù)短信進行加 密����,并將分配的密鑰索引攜帶在所述業(yè)務數(shù)據(jù)短信中。
4.如權利要求3所述的方法��,其特征在于���,所述密鑰索引與OTA根密鑰存在一一對應關系����;所述OTA平臺利用OTA子密鑰對接收到的業(yè)務數(shù)據(jù)短信進行解密�����,包括所述OTA平臺根據(jù)密鑰索引與OTA根密鑰的對應關系�����,確定接收到的密鑰索引對應的 OTA根密鑰���;所述OTA平臺利用分散因子算法將確定的所述OTA根密鑰轉換為對應的OTA子密鑰���, 并利用轉換后的OTA子密鑰對所述業(yè)務數(shù)據(jù)短信進行解密。
5.一種數(shù)據(jù)短信的傳輸方法��,其特征在于�,所述方法包括應用業(yè)務平臺接收應用業(yè)務客戶端發(fā)送的利用OTA子密鑰加密的業(yè)務數(shù)據(jù)短信,所述 OTA子密鑰是所述應用業(yè)務客戶端所在的SIM與OTA平臺之間協(xié)商的密鑰���;所述應用業(yè)務平臺從所述OTA平臺獲取所述OTA子密鑰�,并利用獲取的OTA子密鑰對 接收到的業(yè)務數(shù)據(jù)短信進行解密�����;所述業(yè)務數(shù)據(jù)短信用于指示所述應用業(yè)務平臺執(zhí)行請求的應用業(yè)務。
6.如權利要求5所述的方法�,其特征在于,所述應用業(yè)務平臺對接收到的業(yè)務數(shù)據(jù)短 信進行解密并執(zhí)行應用業(yè)務之后���,所述方法還包括所述應用業(yè)務平臺利用所述OTA子密鑰對生成的確認數(shù)據(jù)短信進行加密并發(fā)送���,所述確認數(shù)據(jù)短信中設置有所述應用業(yè)務平臺對應的應用業(yè)務標識;所述用戶識別模塊SIM將收到的所述確認數(shù)據(jù)短信發(fā)送給所述應用業(yè)務標識對應的 應用業(yè)務客戶端���;所述應用業(yè)務客戶端利用OTA子密鑰對接收到的確認數(shù)據(jù)短信進行解密���,得到解密后 的確認數(shù)據(jù)短信。
7.如權利要求5所述的方法�,其特征在于,應用業(yè)務平臺接收應用業(yè)務客戶端發(fā)送的 業(yè)務數(shù)據(jù)短信之前����,所述方法還包括所述應用業(yè)務客戶端所在的SIM從保存的多個密鑰索引中為所述應用業(yè)務客戶端分 配一個密鑰索引,其中�,密鑰索引與OTA子密鑰存在一一對應關系;所述應用業(yè)務客戶端利用分配的密鑰索引對應OTA子密鑰對業(yè)務數(shù)據(jù)短信信息加密�, 并將所述分配的密鑰索引攜帶在所述業(yè)務數(shù)據(jù)短信中����。
8.如權利要求7所述的方法���,其特征在于,密鑰索引與OTA根密鑰存在一一對應關系����; 所述應用業(yè)務平臺從所述OTA平臺獲取所述OTA子密鑰,包括所述應用業(yè)務平臺向所述OTA平臺發(fā)送密鑰傳輸請求����,所述密鑰傳輸請求中攜帶所述 業(yè)務數(shù)據(jù)短信中的密鑰索引;所述OTA平臺根據(jù)密鑰索引與OTA根密鑰的對應關系�����,確定接收到的密鑰索引對應的 OTA根密鑰����,并利用分散因子算法將確定的所述OTA根密鑰轉換為OTA子密鑰,以及將該 OTA子密鑰返回給所述應用業(yè)務平臺����; 或者所述應用業(yè)務平臺根據(jù)密鑰索引與OTA根密鑰的對應關系����,從所述OTA平臺中讀取接 收到的所述密鑰索引對應的OTA根密鑰����,并利用分散因子算法將所述OTA根密鑰轉換為對 應的OTA子密鑰。
9.一種數(shù)據(jù)短信的傳輸系統(tǒng)��,其特征在于���,所述系統(tǒng)包括位于用戶識別模塊SIM內(nèi)的應用業(yè)務客戶端��,用于利用OTA子密鑰對業(yè)務數(shù)據(jù)短信進 行加密�,并發(fā)送加密后的業(yè)務數(shù)據(jù)短信�,所述OTA子密鑰是所述用戶識別模塊與OTA服務器 之間協(xié)商的密鑰;OTA服務器����,用于接收應用業(yè)務客戶端發(fā)送的業(yè)務數(shù)據(jù)短信,并利用協(xié)商的OTA子密鑰 對所述業(yè)務數(shù)據(jù)短信進行解密�,以及根據(jù)業(yè)務數(shù)據(jù)短信中攜帶的應用業(yè)務標識,將解密后 的業(yè)務數(shù)據(jù)短信發(fā)送給所述應用業(yè)務標識對應的應用業(yè)務服務器���;應用業(yè)務服務器���,用于接收OTA服務器發(fā)送的所述業(yè)務數(shù)據(jù)短信��,并執(zhí)行所述業(yè)務數(shù) 據(jù)短信請求的應用業(yè)務���。
10.如權利要求9所述的系統(tǒng),其特征在于����,所述應用業(yè)務服務器�,還用于在執(zhí)行所述業(yè)務數(shù)據(jù)短信請求的應用業(yè)務后,生成并發(fā) 送確認數(shù)據(jù)短信�;所述OTA服務器,還用于利用所述OTA子密鑰對應用業(yè)務服務器發(fā)送的確認數(shù)據(jù)短信 進行加密���,并在所述確認數(shù)據(jù)短信中設置所述應用業(yè)務服務器對應的應用業(yè)務標識后��,發(fā) 送給所述用戶識別模塊SIM �;所述用戶識別模塊SIM�����,用于將收到的所述確認數(shù)據(jù)短信發(fā)送給所述應用業(yè)務標識對 應的應用業(yè)務客戶端�;所述應用業(yè)務客戶端���,還用于利用所述OTA子密鑰對接收到的確認數(shù)據(jù)短信進行解 密,得到解密后的確認數(shù)據(jù)短信���。
11.如權利要求9所述的系統(tǒng)���,其特征在于,所述用戶識別模塊SIM�����,用于從保存的多個密鑰索引中為所述應用業(yè)務客戶端分配一 個密鑰索引����,其中,密鑰索引與OTA子密鑰存在一一對應關系�;所述應用業(yè)務客戶端,還用于利用分配的密鑰索引對應的OTA子密鑰對業(yè)務數(shù)據(jù)短信 進行加密�����,并將分配的密鑰索引攜帶在所述業(yè)務數(shù)據(jù)短信中�����。
12.如權利要求11所述的系統(tǒng),其特征在于�,所述OTA服務器,還用于根據(jù)密鑰索引與OTA根密鑰的對應關系���,確定接收到的密鑰索 引對應的OTA根密鑰�,利用分散因子算法將確定的所述OTA根密鑰轉換為對應的OTA子密 鑰��,以及利用轉換后的OTA子密鑰對所述業(yè)務數(shù)據(jù)短信進行解密�����。
13.一種數(shù)據(jù)短信的傳輸系統(tǒng)����,其特征在于�,所述系統(tǒng)包括位于用戶識別模塊SIM內(nèi)的應用業(yè)務客戶端,用于利用OTA子密鑰對業(yè)務數(shù)據(jù)短信進 行加密�����,并發(fā)送加密后的業(yè)務數(shù)據(jù)短信�����,所述OTA子密鑰是所述用戶識別模塊與OTA服務器 之間協(xié)商的密鑰;應用業(yè)務服務器���,用于接收應用業(yè)務客戶端發(fā)送的業(yè)務數(shù)據(jù)短信���,并從所述OTA服務 器獲取所述OTA子密鑰,以及利用獲取的OTA子密鑰對接收到的業(yè)務數(shù)據(jù)短信進行解密后�, 執(zhí)行所述業(yè)務數(shù)據(jù)短信請求的應用業(yè)務;OTA服務器�,用于存儲與用戶識別模塊協(xié)商的密鑰。
14.如權利要求13所述的系統(tǒng)���,其特征在于��,應用業(yè)務服務器���,還用于在執(zhí)行所述業(yè)務數(shù)據(jù)短信請求的應用業(yè)務后,利用所述OTA 子密鑰對生成的確認數(shù)據(jù)短信進行加密并發(fā)送���,所述確認數(shù)據(jù)短信中設置有所述應用業(yè)務 服務器對應的應用業(yè)務標識���;所述用戶識別模塊SIM�����,用于接收應用業(yè)務服務器發(fā)送的所述確認數(shù)據(jù)短信���,并將所述 確認數(shù)據(jù)短信發(fā)送給所述應用業(yè)務標識對應的應用業(yè)務客戶端;所述應用業(yè)務客戶端����,還用于利用OTA子密鑰對接收到的確認數(shù)據(jù)短信進行解密,得 到解密后的確認數(shù)據(jù)短信����。
15.如權利要求13所述的系統(tǒng),其特征在于��,所述用戶識別模塊SIM�����,用于從保存的多個密鑰索引中為所述應用業(yè)務客戶端分配一 個密鑰索引�����,其中��,密鑰索引與OTA子密鑰存在一一對應關系����;所述應用業(yè)務客戶端,還用于利用分配的密鑰索引對應的OTA子密鑰對業(yè)務數(shù)據(jù)短信 進行加密���,并將分配的密鑰索引攜帶在所述業(yè)務數(shù)據(jù)短信中����。
16.如權利要求15所述的系統(tǒng)�����,其特征在于����,所述應用業(yè)務服務器,還用于向所述OTA服務器發(fā)送密鑰傳輸請求����,所述密鑰傳輸請 求中攜帶所述業(yè)務數(shù)據(jù)短信中的密鑰索引;所述OTA服務器�,還用于根據(jù)密鑰索引與OTA根密鑰的對應關系,確定接收到的密鑰索 引對應的OTA根密鑰���,并利用分散因子算法將確定的所述OTA根密鑰轉換為OTA子密鑰���,以 及將該OTA子密鑰返回給所述應用業(yè)務服務器���;或者所述應用業(yè)務服務器,還用于根據(jù)密鑰索引與OTA根密鑰的對應關系�����,從所述OTA服務器中讀取接收到的所述密鑰索引對應的OTA根密鑰����,并利用分散因子算法將所述OTA根密 鑰轉換為對應的OTA子密鑰。
17.—種空中下載服務器�����,其特征在于��,包括數(shù)據(jù)短信接收模塊���,用于接收應用業(yè)務客戶端發(fā)送的利用OTA子密鑰加密后的業(yè)務數(shù) 據(jù)短信����,所述OTA子密鑰是所述用戶識別模塊與自身協(xié)商的密鑰�����;解密模塊�����,用于利用所述OTA子密鑰對所述業(yè)務數(shù)據(jù)短信進行解密��; 數(shù)據(jù)短信發(fā)送模塊�����,用于根據(jù)業(yè)務數(shù)據(jù)短信中攜帶的應用業(yè)務標識��,將解密后的業(yè)務 數(shù)據(jù)短信發(fā)送給所述應用業(yè)務標識對應的應用業(yè)務服務器�。
18.如權利要求17所述的空中下載服務器,其特征在于���,所述數(shù)據(jù)短信接收模塊�,還用于接收應用業(yè)務服務器發(fā)送的確認數(shù)據(jù)短信��; 所述空中下載服務器還包括加密模塊����,用于利用所述OTA子密鑰對所述確認數(shù)據(jù)短信進行加密�; 所述數(shù)據(jù)短信發(fā)送模塊�����,還用于在所述確認數(shù)據(jù)短信中設置所述應用業(yè)務服務器對應 的應用業(yè)務標識后發(fā)送�。
19.如權利要求17所述的空中下載服務器,其特征在于�����,所述解密模塊包括索引查找子模塊���,用于在接收到的業(yè)務數(shù)據(jù)短信中攜帶密鑰索引時��,根據(jù)所述密鑰索 引查找出對應的OTA根密鑰��;轉換子模塊�,用于利用分散因子算法將查找出的所述OTA根密鑰轉換為對應的OTA子 密鑰���;執(zhí)行子模塊�,用于利用轉換后的OTA子密鑰對所述業(yè)務數(shù)據(jù)短信進行解密。
20.一種應用業(yè)務服務器�,其特征在于,所述應用業(yè)務服務器包括數(shù)據(jù)短信接收模塊��,用于接收應用業(yè)務客戶端發(fā)送的利用OTA子密鑰加密后的業(yè)務數(shù) 據(jù)短信�,所述OTA子密鑰是所述用戶識別模塊與OTA服務器協(xié)商的密鑰�����; 子密鑰獲取模塊����,用于從所述OTA服務器獲取所述OTA子密鑰; 解密模塊�,用于利用獲取的OTA子密鑰對接收到的業(yè)務數(shù)據(jù)短信進行解密; 業(yè)務執(zhí)行模塊����,用于執(zhí)行所述業(yè)務數(shù)據(jù)短信請求的應用業(yè)務。
21.如權利要求20所述的應用業(yè)務服務器�,其特征在于,所述應用業(yè)務服務器還包括 加密模塊�����,用于在執(zhí)行所述業(yè)務數(shù)據(jù)短信請求的應用業(yè)務后,利用所述OTA子密鑰對生成的確認數(shù)據(jù)短信進行加密�;數(shù)據(jù)短信發(fā)送模塊,用于發(fā)送加密后的確認數(shù)據(jù)短信�����。
22.如權利要求20所述的應用業(yè)務服務器��,其特征在于�,所述子密鑰獲取模塊包括 請求子模塊,用于向所述OTA服務器發(fā)送密鑰傳輸請求�,所述密鑰傳輸請求中攜帶所述業(yè)務數(shù)據(jù)短信中攜帶的密鑰索引;密鑰接收子模塊�,用于接收所述OTA服務器返回的OTA子密鑰。
全文摘要
本發(fā)明公開了一種數(shù)據(jù)短信的傳輸方法����、系統(tǒng)及設備,由于應用業(yè)務客戶端利用OTA子密鑰對業(yè)務數(shù)據(jù)短信進行加密后��,再通過OTA平臺對其進行解密后發(fā)送給應用業(yè)務平臺�����,或由應用業(yè)務平臺主動從OTA平臺處獲得用于解密的OTA子密鑰�����,使得在保證數(shù)據(jù)段短信空口傳輸安全性的同時,業(yè)務平臺也能夠正確識別接收到的數(shù)據(jù)短信����,解決了SIM卡內(nèi)的應用客戶端與對應的業(yè)務平臺之間傳輸數(shù)據(jù)短信的安全性問題。
文檔編號H04W4/14GK101998309SQ20091009086
公開日2011年3月30日 申請日期2009年8月11日 優(yōu)先權日2009年8月11日
發(fā)明者柏洪濤, 羅紅, 陸鳴 申請人:中國移動通信集團公司