安全激活第三方应用的方法、第三方服务器、终端及系统

摘要

本发明涉及一种安全激活第三方应用的方法、第三方服务器、终端及系统，该方法包括：终端及第三方服务器获得第三方应用的初始安全域密钥；终端触发安全域密钥修改请求，与第三方服务器通过相同的加密算法协商产生一新的安全域密钥对初始安全域密钥进行更新；终端将激活第三方应用的关联用户信息发送给第三方服务器；第三方服务器根据关联用户信息设置终端与第三方应用对应的应用密钥；第三方服务器用更新后的安全域密钥对第三方应用的应用密钥进加密并发送给终端；终端解密获得所述第三方应用的应用密钥。本发明各实施例解决了现有预置多次写卡的低效率和高成本问题及现有的空中下载方式无法解决第三方安全域密钥私有化的问题。

说明书

技术领域

本发明涉及一种安全激活第三方应用的方法，特别是一种通过网络安全的将第三方的应用激活的方法；本发明还涉及一种第三方服务器，特别是一种与终端进行密钥协商，安全激活第三方应用的服务器；本发明又涉及一种终端，特别是与第三方服务器进行通信，安全激活第三方应用的终端；本发明还涉及一种安全激活第三方应用的系统，特别是一种第三方服务器与终端进行密钥协商，安全激活第三方应用的系统，属于通信技术领域。

背景技术

移动运营商在发行的电信卡设备或在手机上可插拔的存储卡等上划分出多个安全域空间，并在每个安全域上设置不同的安全域密钥，以存放移动运营商不同的应用。

目前电信卡或存储卡等设备主要通过三种方式获取应用编号、安全域空间安排和初始安全域密钥:

1)预置发卡方式:移动终端非易失性存储设备在销售前，预先写入该存储设备内；

2)用户主动下载方式:用户需要开通某项应用时，主动发送指令到网络(有线或无线)侧服务器，并将该应用的编号、安全域空间安排及初始安全域密钥下载到用户终端的非易失性存储设备(可插拔的存储卡或终端的存储模块)上；

3)网络侧服务器主动下发方式:移动运营商将某项应用的安全域分配空间安排及安全域密钥通过控制密钥加密指令，经空中渠道(如:短信或GPRS)发送到所有已发售的存储卡设备上，终端解密控制密钥加密指令后获得该应用的安全域分配空间及初始安全域密钥。

图1为现有技术中下载某项应用的解析示意图，如图1所示，用户空中下载并开通某项应用的过程包括:

1.终端向存放应用程序的管理服务器发送应用下载请求指令；

2.管理服务器收到下载请求后，将对应的应用代码下发到移动终端上；

3.移动终端下载程序完毕，开始激活应用，将激活该应用所需的关联用户信息用初始安全域密钥加密后上传给应用服务器；

4.应用服务器收到上述信息后，用初始安全域密钥进行解密，获得并建立用户终端与该应用的关联关系；

5.应用服务器将该应用的应用密钥采用初始安全域密钥加密后，发给终端；

6.终端收到该密钥信息，用初始安全域密钥进行解密，获得应用密钥将其装载入应用，整个应用激活过程结束。

上述空中下载过程中的应用服务器属于移动运营商内部的设备，应用服务器存储有应用密钥、初始安全域密钥及用户的关联信息等信息，并对用户各项应用的开通、注销等进行管理。从上述空中下载应用的过程可看出，运营商获知初始安全域密钥、应用代码明文、应用密钥以及用户的关联信息等所有信息。

随着移动运营商与第三方合作的进一步加强，如将银行、公交中的银行卡或公交卡等应用通过移动空中渠道下载到移动终端上，可使移动终端具备电信、公交、银行等多种应用功能。移动运营商与第三方的合作不仅可以减少用户随身携带多张不同的电信、公交及银行卡的不方便性，而且可以使用户随时查询相关交易明细或者进行空中充值，满足用户多方面的需求。与移动运营商合作的第三方希望自己的应用密钥、安全域密钥等信息在应用下载过程中对外是保密的，即只有下载应用的用户和第三方自己知道，不希望自己的业务明文暴露在移动运营商视线范围内，但现有的应用下载流程却不能满足第三方的要求。

为满足第三方的要求，目前使用预置多次写卡方式，即在存储卡设备(如手机SIM卡、USD卡、USCC卡等)发售前，先由移动运营商存储卡设备完成安全域密钥初始化，初始化完成之后交给第三方进行第三方的(安全域密钥更新以及应用代码安装)初始化，在一个或多个第三方初始化完毕后，再由移动运营商发售给用户。现有预置多次写卡方式虽然可以满足第三方对安全域密钥私有化的要求，但仍存在以下缺陷:

1)移动运营商无法确知潜在第三方及其应用的数量，预置方式只能对确知的第三方及其应用采用。一旦在存储卡设备上预置了第三方应用后会对业务的扩充带来极大不便:例如，只集成银行A应用的存储卡或电信卡发售给用户后，公交C期望在存储卡上也集成公交C应用，如果用户需要另外开通公交C的应用，移动运营商就必须回收用户的存储卡或电信卡，再到公交C完成初始化；或者移动运营商直接给用户更换一张预置有公交C行业卡的存储卡或电信卡；

2)当合作的第三方较多时，需要在卡中分别预置多个第三方的应用，流程复杂，时间长，效率低；

3)如果将多个第三方的应用提前预置在存储卡中，并发售给用户，用户没有这么多需求，可能只使用有限的几个应用，甚至不使用任何应用，造成资源的浪费。

发明内容

本发明的第一目的是提供一种安全激活第三方应用的方法，用以解决现有预置多次写卡的低效率和高成本问题及现有的空中下载方式无法解决第三方安全域密钥私有化的问题，实现第三方与终端之间的密钥协商，安全的将第三方的应用下载到终端上。

本发明的第二目的是提供一种第三方服务器，用于解决现有的服务器无法完成第三方应用的安全域密钥私有化，实现安全激活第三方应用。

本发明的第三个目的是提供一种终端，以解决现有的终端无法实现与第三方服务器的安全域密钥不被其它第三方知道，实现与第三方服务器之间的密钥协商，安全的激活第三方应用的安全域密钥，不被其它第三方知道。

本发明第四个目的是提供一种安全激活第三方应用的系统，用以解决现有预置多次写卡的低效率和高成本问题及现有的空中下载方式无法解决第三方安全域密钥私有化的问题，实现第三方与终端之间的密钥协商，将第三方的应用通过网络下载到终端上。

为了实现本发明第一目的，本发明一些实施方式的安全激活第三方应用的方法提供了如下的技术方案:

终端及第三方服务器获得第三方应用的初始安全域密钥；

所述终端触发安全域密钥修改请求，并与所述第三方服务器通过相同的包含至少两个随机数的加密算法协商产生一新的安全域密钥，对所述初始安全域密钥进行更新；

终端将激活第三方应用的关联用户信息用更新后的安全域密钥进行加密并发送给第三方服务器；

第三方服务器用更新后的安全域密钥对所述关联用户信息进行解密，根据所述关联用户信息设置终端与所述第三方应用的关联关系及对应的应用密钥；

第三方服务器用更新后的安全域密钥对所述第三方应用的应用密钥进行加密并发送给终端；

终端用更新后的安全域密钥对所述应用密钥进行解密获得所述第三方应用的应用密钥。

上述的技术方案中，可以实现用户终端与第三方(行业企业、个人等非移动运营商的第三方)之间安全域密钥的安全协商，用户终端和第三方采用相同的加密算法，协商出一个只有用户和第三方自己知道的密钥，从而对初始的安全域密钥进行更新。经用户终端和第三方服务器协商出的密钥不会被任何其他第三方获知，包括网络服务的移动运营商，即第三方可以完全控制管理自己的应用、应用密钥及安全域密钥等信息，不需担心自己的应用信息被监控或窃取，解决了现有技术中预置多次写卡的低效率和高成本问题，并且上述技术方案中解决了第三方安全域密钥私有化的问题。同时，上述技术方案对应用的升级和维护也可以完全由第三方进行，便于对第三方应用及相应用户终端的管理。

为了实现本发明第二目的，本发明一些实施方式的第三方服务器技术方案如下:包括接口模块、处理模块及存储模块，其中:

存储模块，用于存储第三方应用的初始安全域密钥及包含至少两个随机数的加密算法；

处理模块，与所述存储模块连接，用于接收终端发送的安全域密钥修改请求后，产生服务器侧的相关随机数信息；接收终端或终端及第三方服务器之外的独立设备发送的随机数信息，根据存储模块中加密算法、处理模块产生及接收的随机数信息，产生一与终端相同的新的安全域密钥，并对存储模块的初始安全域密钥进行更新；用更新后的安全域密钥解密终端发送的激活第三方应用的关联用户信息，并根据所述关联用户信息设置终端与所述第三方应用的关联关系及对应的应用密钥；用更新后的安全域密钥加密应用密钥并发送到接口模块；

接口模块，与处理模块连接，用于将终端发送的安全域密钥修改请求、终端产生的随机数信息、所述独立设备产生的随机数信息或激活第三方应用的关联用户信息，发送到处理模块；输出处理模块产生的随机数信息或应用密钥信息。

上述第三方服务器与现有的移动运营商内部的应用服务器或管理服务器不同，第三方服务器需要对原有的不是第三方设置的初始安全域密钥进行更新，与终端通信，进行密钥的协商，通过安全激活第三方应用的方式将第三方的应用下载到移动终端，并且保证第三方密钥的私有化，保证第三方的信息安全，既满足了第三方的要求，又避免了现有预置式多次发卡效率低、成本高的缺陷。

为了实现本发明第三目的，本发明一些实施方式的终端如下:

非易失性存储模块，存储有第三方应用的初始安全域密钥及包含至少两个随机数的加密算法；

处理模块，与非易失性存储模块连接，用于触发安全域密钥修改请求；产生随机数信息；接收第三方服务器或终端及第三方服务器之外的独立设备产生的随机数信息，根据非易失性存储模块中的加密算法、处理模块产生和接收的随机数信息，产生一新的安全域密钥，并对初始安全域密钥进行更新；使用更新后的安全域密钥加密激活第三方应用的关联用户信息；用更新后的安全域密钥加密与第三方服务器传递的相关信息；

接口模块，与处理模块连接，用于接收第三方服务器或终端及第三方服务器之外的独立设备产生的随机数信息并转发到处理模块；输出处理模块产生的安全域密钥修改请求、终端产生的随机数信息、激活第三方应用的关联用户信息及与第三方服务器传递的相关信息。

上述终端需要存储加密算法，并根据与第三方服务器协商的新安全域密钥对初始安全域密钥更新，从而移动运营商或者发初始安全域密钥的一方对新的安全域密钥并不知晓，以确保终端和第三方应用的新的安全域密钥一致性和保密性。

为实现本发明第四目的，本发明的安全激活第三方应用的系统包括:终端，与第三方服务器连接，终端内包含非易失性存储模块，非易失性存储模块内存储有第三方应用的初始安全域密钥及加密算法，用于与第三方服务器协商产生新的安全域密钥，对初始安全域密钥进行更新；

第三方服务器，用于在终端安全域密钥修改请求时，与终端通过相同的加密算法协商产生一新的安全域密钥，对所述初始安全域密钥进行更新；并利用更新后的安全域密钥对第三方应用的开通、注销进行管理控制，及对应应用密钥的管理。

上述系统与现有的下载第三方应用的系统不同，需要对终端及第三方服务器做相应的改进，以满足安全激活的目的。本系统对原有的不是第三方设置的初始安全域密钥进行密钥协商和更新，保证第三方安全域密钥及后续应用密钥的私有化，保证第三方的信息安全，既满足了第三方的要求，又避免了现有预置式多次发卡效率低、成本高的缺陷。

下面通过附图和实施例，对本发明的技术方案做进一步的详细描述。

附图说明

图1为现有技术中空中下载某项应用的解析示意图；

图2为本发明安全激活第三方应用的方法实施例一流程图；

图3为图2中产生新的安全密钥的实施例流程图；

图4为本发明安全激活第三方应用的方法实施例二解析示意图；

图5为本发明安全激活第三方应用的方法实施例三解析示意图；

图6为现有的预置式开通应用的流程；

图7为本发明安全激活第三方应用的方法应用解析示意图；

图8为本发明第三方服务器实施例一示意图；

图9为本发明第三方服务器实施例二示意图；

图10为本发明终端实施例一示意图；

图11为本发明终端实施例二示意图；

图12为本发明安全激活第三方应用的系统实施例示意图。

具体实施方式

参见图2，为本发明安全激活第三方应用的方法实施例一流程图。如图2所示，本实施例包括:

步骤1:终端及第三方服务器获得第三方应用的初始安全域密钥；

步骤2:终端触发安全域密钥修改请求，并与第三方服务器通过相同的包含至少两个随机数的加密算法协商产生一新的安全域密钥，对所述初始安全域密钥进行更新；

步骤3:终端将激活第三方应用的关联用户信息用更新后的安全域密钥进行加密并发送给第三方服务器；

步骤4:第三方服务器用更新后的安全域密钥对所述关联用户信息进行解密，根据所述关联用户信息设置终端与所述第三方应用的关联关系及对应的应用密钥；

步骤5:第三方服务器用更新后的安全域密钥对所述第三方应用的应用密钥进行加密并发送给终端；

步骤6:终端用更新后的安全域密钥对所述应用密钥进行解密获得所述第三方应用的应用密钥。

上述技术方案可以实现终端与第三方(行业企业、个人等非移动运营商的第三方)之间安全域密钥的安全协商，终端和第三方服务器采用相同的加密算法，协商出一个只有用户终端和第三方自己知道的密钥，从而对初始的安全域密钥进行更新。经用户终端和第三方服务器协商出的密钥不会被任何其他第三方获知，包括网络服务的移动运营商，即第三方可以完全控制管理自己的应用、应用密钥及安全域密钥等信息，不需担心自己的应用信息被监控或窃取。上述关联用户信息为激活第三方应用所需的个人用户信息，如用户标识、激活的是哪一个应用、用户密钥等。本实施例解决了现有技术中预置多次写卡的低效率和高成本问题，并且上述技术方案中解决了第三方安全域密钥私有化的问题。同时，上述技术方案对应用的升级和维护也可以完全由第三方进行，便于对第三方应用及相应用户终端的管理。

图3为图2中产生新的安全密钥的实施例流程图。如图3所示，通过相同的加密算法产生一新的安全域密钥具体包括:

终端、第三方服务器分别产生加密算法中的至少一个随机数，加密算法中的其它随机数由终端、第三方服务器或由终端及第三方服务器之外的一独立设备产生；

产生随机数的终端或第三方服务器将产生的随机数发送给未产生该随机数的第三方服务器或终端；

如果独立设备产生随机数，则所述独立设备将产生的随机数发送给未产生该随机数的终端和第三方服务器；

终端及第三方服务器根据相同的加密算法及产生和接收的随机数信息，产生一新的安全域密钥。

本发明所述加密算法包括至少两个随机数，本发明可采用多种不同形式的加密算法，当加密算法包含两个随机数时，由终端和第三方服务器分别产生加密算法所需要的一个随机数信息，并将产生的随机数信息分别发送给对方；当加密算法包含两个以上随机数时，可以由终端和第三方服务器产生加密算法中的至少一个随机数，其它的随机数由终端、第三方服务器或终端及第三方服务器的另一独立设备产生。为说明方便，若所述相同的加密算法需要N(N为整数且N≧2)个随机数，设终端产生的随机数为A个，第三方服务器产生的随机数为B个，所述独立设备产生的随机数为C个(A，B，C为整数且C≧0)，则只要A+B+C＝N满足条件即可，其中N>A≧1，N>B≧1。由上面的公式A+B+C＝N看出，当终端产生的随机数A和第三方服务器产生的随机数B之和为N时，独立设备产生的随机数C＝0个，即所述独立设备可以不参与产生随机数，此时由终端和第三方服务器共同产生所有的随机数，并互相通知对方。当终端产生的随机数A和第三方服务器产生的随机数B之和小于N时，独立设备产生的随机数C＝(N-A-B)≧1个，即所述独立设备参与产生随机数，此时由终端、第三方服务器及独立设备共同产生所有的随机数，由独立设备将产生的随机数发送给终端和第三方服务器。总之，最终使终端和第三方服务器获得相同随机数信息，并根据产生和接收的随机数计算新的安全域密钥。

下面以终端与第三方服务器分别产生一个随机数为例，如终端与第三方服务器存储的包含两个随机数x和y的相同的加密算法计算公式为f(x，y)，由终端与第三方服务器分别产生其中的一个随机数x或y，并通知对方，则终端与第三方服务器最终获得相同的x和y的值，通过存储的加密算法f(x，y)可将计算的相同的值作为新的安全域密钥。由于终端或第三方服务器分别发送产生的随机数x或y，即使其中一条信息被截获，由于不知道另一随机数及加密算法，截获方仍无法获得或计算新的安全域密钥，保证密钥的安全性。

为进一步保证安全性，终端和第三方服务器还可以采用初始安全域密钥对发送的随机数信息进行加密，然后再发送给对方，防止伪冒的终端或第三方服务器做密钥协商。

移动运营控制终端的主密钥，主密钥用于在终端上开辟或删除任一安全域空间，不同的安全域用来存放不同的第三方的应用。运营商在终端内可以不提前预置任何应用程序，而只需依据与之合作的第三方提供具体应用的需求，在终端划出部分空间作为该第三方的安全域，并为不同第三方应用的安全域生成不同的初始安全域密钥。终端通过前述的方式，如预置方式、通过用户主动下载方式或通过网络侧服务器下发方式等获得第三方应用的安全域空间及初始安全域密钥。运营商将为第三方应用分配的初始安全域密钥通过安全的方式(如:采用加密信封由专人人工派送或者通过网络建立加密链路传递)通知第三方。如果还要终端及第三方服务器之外的独立设备产生随机数信息，则还可以将初始安全域密钥通过安全的方式通知所述独立设备，并在发送随机数时采用初始安全域密钥加密，提高安全性和可靠性。如果不需要终端及第三方服务器之外的独立设备产生随机数信息，则不需要向独立设备发送初始安全域密钥。

终端获得初始安全域密钥及安全域分配后，便可开通第三方的应用，并与第三方服务器采用相同的加密算法产生新的安全域密钥。终端与第三方服务器产生新的安全域密钥可以使用多种加密算法，在此不可能一一例举，上述以包含两个随机数x和y的加密算法f(x，y)为例，简单介绍了加密算法包含两个随机数时的密钥协商过程，下面以包含两个以上随机数的加密算法Differ-Hoffman算法为例，结合附图4和图5介绍三个或三个以上随机数时终端及第三方服务器通过密钥协商产生新的安全域密钥的过程，但这并不意味着本发明所应用的具体实例只能局限在Differ-Hoffman算法中，本领域的普通技术人员应当了解，下文所提供的具体实施方案只是多种优选用法中的一些示例，终端与第三方服务器采用任何包含至少两个随机数的相同的加密算法产生新的安全域密钥从而对初始安全域密钥进行更新，并利用更新后的安全域密钥对后续应用或应用密钥等进行加密的技术方案均应在本发明技术方案所要求保护的范围之内。

参见图4，为本发明安全激活第三方应用的方法实施例二解析示意图。如图4所示，本实施例包括:

1)终端向应用代码存储设备发送应用下载请求指令，指令信息包括用户需要下载的应用编号以及用户身份标识信息；

2)应用代码存储设备收到下载请求后，将对应的应用代码下发给终端，终端安装该应用程序；

3)应用程序安装完毕，用户激活应用，终端在下载第三方应用时会触发向第三方服务器发安全域密钥修改请求(为使用户终端有更好的用户体验，应该使用户终端体会不到密钥修改，只要用户需要下载应用，用户下载应用请求的指令可以自动触发安全域密钥修改请求以对初始安全域密钥进行更新)，第三方服务器收到安全域密钥修改请求后，与终端一块协商两个素数n和g，g是模n的本原元，本原元为数学算法中的一个专有名词，为本领域普通技术人员的公知常识。终端及第三方服务器分别产生Differ-Hoffman算法的随机素数n或g，并发送给另一方；或者由终端或第三方服务器产生Differ-Hoffman算法的随机素数n和g，并发送给另一方；最终使终端与第三方服务器获得相同的素数n和g；

4)终端产生一个小随机数x，并计算X＝g^x mod n，用初始安全域密钥对X进行加密后，发送给第三方服务器；用初始安全域密钥对产生的随机数X进行加密可避免伪第三方服务器截获信息后进行密钥协商；

5)第三方服务器使用初始安全域密钥解密获得X信息，同时产生一个小随机数y，并计算Y＝g^y mod n，用初始安全域密钥对Y进行加密后，发送给移动终端非易失性存储设备，同样可防止伪终端截获明文信息进行密钥协商；

6)终端使用初始安全域密钥解密获得Y信息后，计算k＝Y^x mod n＝g^xymod n作为新的安全域密钥，第三方服务器通过计算k＝X^y mod n＝g^xy mod n同样获得新的安全域密钥；并且终端与第三方服务器计算的安全域密钥值一致，不被包括移动运营在内的其它第三方商获知，从而可以保证密钥的安全性；

7)终端更新安全域密钥后，将激活所需的个人信息采用更新后的安全域密钥加密后上传给第三方服务器，由第三方服务器建立用户与应用的关联关系；

8)第三方服务器将应用对应的应用密钥采用更新后的安全域密钥k加密后，传给终端；

9)终端使用更新后的安全域密钥解密收到的信息，获得应用密钥将其装载入应用，整个应用激活过程结束。

终端与第三方协商一个只有它与该第三方服务器知道的安全域密钥来替代初始的安全域密钥。本实施例依据Differ-Hoffman算法产生，Differ-Hoffman算法共需要四个随机数:n、g、x和y，分别由终端或第三方服务器产生。本实施例并不是简单的将DH算法应用于空中下载第三方应用的流程中，现有的DH算法产生的信息容易被人攻击，本发明在进行密钥协商的过程中，n和g通过初始安全域密钥加密进行传输；X和Y通过初始安全域密钥加密进行传输；X和Y是DH算法中x和y加密后的密文信息，移动运营商即使通过初始安全域密钥解密获得上述n、g、X、Y，但由于X和Y为随机数x和y加密后的值，仍无法获得x和y，这是因为，通过x和y计算X和Y的算法为不可逆算法，因为同一个X值可以有多个x产生；同一个Y值可以有多个y产生；但是终端和第三方服务器可以利用自身产生的x或y与接收到的X或Y计算k＝Y^x mod n或k＝X^y mod n作为新的安全域密钥，而且二者的值一致k＝Y^x mod n＝X^y mod n＝g^xy mod n，但其它第三方由于无法获得x或y，即使有X和Y也无法计算k的值，从而无法计算新的安全域密钥；非移动运营商的其它第三方由于没有初始安全域密钥，更无法对上述信息进行解密并参与密钥的计算，提高了密钥协商的安全可靠性，所以第三方服务器可以安全的用更新后的安全域密钥将第三方的应用密钥发给移动终端。

应用密钥与具体的第三方应用相关，一些应用可能不需要应用密钥，如银行卡应用；但也有一些应用需要应用密钥，如公交卡应用，存在扣费密钥和充值密钥等应用密钥。

参见图5，为本发明安全激活第三方应用的方法实施例三解析示意图。本实施例与图4类似，不同之处在于应用下载的位置不同，本实施例在终端与第三方服务器协商后获得新的安全域密钥之后才下载具体的应用，并且本实施例中增加了一个随机素数发生器作为终端及第三方服务器之外的一独立设备，用于产生Differ-Hoffman算法中需要的素数n和/或g，并通知终端和第三方服务器。下面介绍本实施例的具体流程:

1.终端在下载第三方应用时触发安全域密钥修改请求并发送给第三方服务器；

2、第三方服务器收到请求后，通知随机素数发生器；

3、随机素数发生器产生两个素数n和g，g是模n的本原元，将产生的两个素数n和g通知第三方服务器；

4、第三方服务器将n、g告知终端；

其中步骤3和步骤4主要是为使终端和第三方服务器获得随机素数n和g，其中步骤3和步骤4也可以合为一步:随机素数发生器产生两个素数n和g，并将产生的两个素数n和g通知第三方服务器和终端；

5、终端产生一个随机数x，计算X＝g^x mod n，采用初始安全域密钥对X进行加密后，发送给第三方服务器；

6、第三方服务器使用初始安全域密钥解密获得X，同时产生一个随机数y，计算Y＝g^y mod n，采用初始安全域密钥对Y加密并发送给终端；

第三方服务器及终端计算产生新的安全域密钥k＝X^y mod n＝g^xy mod n，对初始安全域密钥进行更新；

6、更新完成后，第三方服务器可以向终端发起密钥更新，使用新产生的安全域密钥k对第三方自己产生的一密钥进行加密，发送到终端，由终端侧解密后再次替换安全域密钥，该过程可选，取决于第三方是否想统一不同终端上自己的安全域密钥，简化管理；

7、终端对安全域密钥更新后，向第三方服务器发送应用下载指令；

8、第三方服务器通知应用代码存储设备；

9、应用代码存储设备将应用代码传送给终端，终端下载安装应用；

10、终端激活应用，将第三方应用激活所需的个人信息采用更新后的安全域密钥加密后上传给第三方服务器；

11、第三方服务器将应用所需的应用密钥采用更新后的安全域密钥加密后，传给终端。

上述终端、第三方服务器或随机素数发生器在发送产生的随机数或随机素数时，可以采用初始安全域密钥进行加密，以提高系统的安全性。由于第三方服务器与不同终端产生的安全域密钥是不同的，用户终端的数量又非常庞大，所以第三方服务器需要存储大量的密钥，但本实施例在终端与第三方服务器对初始安全域密钥更新后，再次对密钥更新，使用第三方自己产生的密钥再次替换协商的安全域密钥，这样可以为不同终端设置统一的密钥，方便第三方进行管理，并且为第三方后续管理过程中定期替换统一的安全域密钥提供方便。

下面通过图6-图7对本发明空中下载第三方应用的方法与现有方法对比进行举例说明。图6-图7具体应用场景为:将多个第三方应用安装在终端的内置或可插拔的电信卡上。移动运营商已与第三方11、第三方12进行合作，在电信卡上集成第三方11和第三方12的应用。但在把卡发给终端用户后，又确立了与第三方13的合作关系，需要在集成第三方13的应用。

图6为现有的预置式开通应用的流程。如图6所示，具体流程包括:

1′供应商将电信卡等存储设备送交移动运营商，运营商设立第三方11和第三方12两个安全域，分别在卡内预设两个安全域初始密钥；

2′运营商将电信卡和预设有第三方11初始安全域密钥的卡一并送到第三方11，由第三方11系统设备更新安全域密钥，并在安全域安装第三方11的应用程序；

3′运营商将第三方11初始化完的卡和预设的第三方12的安全域初始密钥送交第三方12，由第三方12系统设备更新安全域密钥，并在安全域安装第三方12的应用程序；

4′运营商取回由第三方11和第三方12初始化完的卡，完成其它初始化工作；

5′运营商将完成初始化的卡售给用户终端；

6′用户终端拿到卡后，获得第三方11和12的初始安全域密钥，开通第三方11的应用；

7′运营商与第三方13合作，希望将第三方13的应用也移植到卡内；

8′用户终端有开通第三方13的需求，但是原电信卡无法实现，需要终端更换一张集成第三方13应用的新卡，由此将带来为用户终端换卡的成本。

图7为本发明安全激活第三方应用的方法应用解析示意图。采用本发明所述方法的流程为:

A.设备供应商将电信卡送交移动运营商，运营商设立两个安全域:第三方11和第三方12安全域，分别在卡内预设两个安全域初始密钥；

B.运营商将所设的第三方11、第三方12初始安全域密钥分别通知给第三方11和第三方12，同时通过主动下发方式通知已发放电信卡的终端，省去了多家第三方初始化卡的过程，流程简化，成本降低；

C.终端通过与第三方服务器进行密钥协商对初始安全域密钥进行更新，安全激活某一第三方的应用，具体详见图2-图5实施例的说明，如果需要终端和第三方服务器之外的独立设备产生随机数信息，还可以将初始安全域密钥发送给所述独立设备，并将产生的随机数用初始安全域密钥加密后发送给终端及第三方服务器；

D.移动运营商与第三方13建立合作；

E.终端通过主动方式获取第三方13的应用编号、空间安排以及第三方13应用的初始安全域密钥，再按图2-图5实施例中的安全激活第三方应用的方法开通第三方13的应用，无需换卡，节约成本。

本文中的第三方可以为具体的行业企业，也可以为个人，第三方应用可以是公交卡、银行卡等行业卡的应用，也可以是具体第三方的某个应用，如:游戏、下载歌曲等。本发明的上述实施方式可以实现利用空中渠道开通某个行业卡应用，实现空中发卡，也可以将第三方开展的其它应用通过移动网络或有线网络等下载到终端，实现移动非接应用，即非移动运营商开发的应用通过网络的承载使终端下载或使用，方便用户，节约成本。

参见图8为本发明第三方服务器实施例一示意图。本实施例服务器包括接口模块、处理模块及存储模块，其中:

存储模块，用于存储第三方应用的初始安全域密钥及包含至少两个随机数的加密算法，如加密算法为Differ-Hoffman算法；

处理模块，与存储模块连接，用于接收终端发送的安全域密钥修改请求后，产生服务器侧的相关随机数信息；接收终端或终端及第三方服务器之外的独立设备发送的随机数信息，根据存储模块中加密算法、处理模块产生及接收的相关随机数信息，产生一与终端相同的新的安全域密钥，并对存储模块的初始安全域密钥进行更新；用更新后的安全域密钥解密终端发送的激活第三方应用的关联用户信息，并根据所述关联用户信息设置终端与所述第三方应用的关联关系及对应的应用密钥；用更新后的安全域密钥加密应用密钥并发送到接口模块；

接口模块，与处理模块连接，用于将终端发送的安全域密钥修改请求、终端产生的随机数信息、所述独立设备产生的随机数信息或激活第三方应用的关联用户信息，发送到处理模块；输出处理模块产生的相关随机数信息或应用密钥信息。

本实施例中服务器还可以包括应用代码存储模块，与处理模块连接，用于存储第三方应用程序，将所述第三方应用程序发送到终端。所述应用代码存储模块可以集成于第三方服务器内部，也可以设置于第三方服务器外部。

本实施例中第三方服务器可以包括现有技术中服务器中通用的功能模块，如:通信模块等，与现有技术服务器中相同的通用功能模块不再举例说明，本实施例中第三方服务器与现有服务器的区别之处在于存储模块中存储有包含至少两个随机数的加密算法，所述加密算法用于与第三方服务器协商新的安全域密钥，并且还包括用于处理并计算更新的安全域密钥信息的处理模块。

图9为本发明第三方服务器实施例二示意图。本实施例第三方服务器与图8类似，对处理模块进一步细化，如图9所示，处理模块包括:

随机数接收子模块，用于接收终端或终端及第三方服务器之外的独立设备产生的相关随机数信息；

随机数产生子模块，用于产生第三方服务器侧的相关随机数信息；

计算子模块，与随机数接收子模块、随机数产生子模块及存储模块连接，用于根据产生和接收的相关随机数信息及存储模块中加密算法计算新的安全域密钥；

应用管理子模块，与计算子模块连接，用于根据所述关联用户信息设置终端与所述第三方应用的关联关系及对应的应用密钥，对应用密钥信息进行维护管理。

本实施例中计算子模块根据存储模块中存储的加密算法，及自身产生和终端发送的随机数信息，计算产生新的安全域密钥，具体可参见图2-图5中安全激活第三方应用的方法实施例的描述。

在存储模块中存储的为Differ-Hoffman算法时，图9实施例中处理模块还可以包括:

随机素数产生子模块，与计算子模块及接口模块连接，用于产生Differ-Hofffman算法中的素数n和/或g，并通过接口模块发送给终端。

由方法实施例的描述可知，可以由终端或第三方服务器产生随机素数，并将产生的素数告知未产生该素数的终端或第三方服务器；或者由终端和第三方服务器之外的一独立设备产生随机素数，并发送给终端和第三方服务器，使终端和第三方服务器最终可获得相同的素数信息。

图8和图9实施例中，还可以包括:密钥管理模块，与处理模块及存储模块连接，用于在处理模块产生与终端相同的新的安全域密钥，并对存储模块的初始安全域密钥进行更新后，向终端发起密钥更新请求，将第三方产生的密钥使用新的安全域密钥进行加密并发送到接口模块；用第三方产生的密钥作为更新后的安全域密钥。

密钥管理模块在终端与第三方服务器对初始安全域密钥更新后，再次对密钥更新，使用第三方自己产生的密钥再次替换协商的安全域密钥，该模块为可选模块，取决第三方是否想统一不同终端上自己的安全域密钥。第三方服务器与终端协商产生的新的安全域密钥只有第三方和终端知晓，由于第三方服务器与不同终端产生的安全域密钥是不同的，用户终端的数量又非常庞大，所以第三方服务器需要具备较强的密钥管理功能以简化管理，如果用第三方自己产生的密钥再次对协商的安全域密钥进行替换，这样不同终端设置统一的密钥，方便第三方进行管理，并且还可以为后续定期更新统一的密钥提供方便。

图8-图9的第三方服务器与现有的服务器不同，需要对原有的初始安全域密钥进行更新，与终端通信，进行密钥的协商，协商后利用更新的安全域密钥将第三方的应用下载到终端，保证第三方密钥的私有化及第三方的信息安全，既满足了第三方的要求，又避免了现有预置式多次发卡效率低、成本高的缺陷。

图10为本发明终端实施例一示意图。本实施例包括:

非易失性存储模块，存储有第三方应用的初始安全域密钥及包含至少两个随机数的加密算法；

处理模块，与非易失性存储模块连接，用于触发安全域密钥修改请求；产生随机数信息；接收第三方服务器或终端及第三方服务器之外的独立设备产生的相关随机数信息，根据非易失性存储模块中的加密算法、处理模块产生和接收的相关随机数信息，产生一新的安全域密钥，并对初始安全域密钥进行更新；使用更新后的安全域密钥加密激活第三方应用的关联用户信息；用更新后的安全域密钥加密与第三方服务器传递的相关信息；

接口模块，与处理模块连接，用于接收第三方服务器或终端及第三方服务器之外的独立设备产生的相关随机数信息并转发到处理模块；输出处理模块产生的安全域密钥修改请求、终端产生的相关随机数信息、激活第三方应用的关联用户信息及与第三方服务器传递的相关信息。

由图10可看出，对应本发明安全激活第三方应用的方法时，终端与第三方服务器内部结构类似，但是本实施例中，非易失性存储模块具体可以为:电信卡设备、在手机上可插拔的存储卡、SIM卡、USD卡或USCC卡，或其任意组合。所述非易失性存储模块也可以是终端内置的一存储模块，以配合完成安全激活第三方应用的功能。不论非易失性存储模块为终端的一内置模块或者是通过插入终端，作为终端的一部份，只要是终端中设置有非易失性存储模块，存储有安全激活需要与第三方服务器进行密钥协商的加密算法，并完成对初始安全域密钥的更新均在本发明技术方案所要求保护的范围之内。上文中所提到的终端为可以与第三方服务器通信的任何设备，如:手机、手持设备(如，PDA)等。

图11为本发明终端的实施例二示意图，与图9中第三方服务器处理模块内部结构类似，但是具体为终端内部对终端处理模块的细化，如图11所示，本实施例中终端的处理模块内部包括:

随机数接收子模块，用于接收第三方服务器或终端及第三方服务器之外的独立设备产生的随机数信息；

随机数产生子模块，用于产生终端侧的相关随机数信息；

计算子模块，与随机数接收子模块、随机数产生子模块连接及非易失性存储模块连接，用于根据随机数产生子模块产生和随机数接收子模块接收的相关随机数信息及非易失性存储模块中加密算法计算新的安全域密钥。

本实施例中计算子模块根据非易失性存储模块中存储的加密算法，及自身产生和接收的随机数信息，计算产生新的安全域密钥，具体可参见图2-图5中安全激活第三方应用的方法实施例的描述。

本实施例中非易失性存储模块可以存储Differ-Hoffman算法，并且处理模块还可以包括:

随机素数产生子模块，与计算子模块及接口模块连接，用于产生Differ-Hoffman算法中的素数n和/或g，并通过接口模块发送给第三方服务器。

由方法实施例的描述可知，随机素数可以由终端产生，也可以由第三方服务器产生，或者由终端和第三方服务器之外的一独立设备产生，最终使终端和第三方服务器获得相同的随机素数信息。

图10和图11实施例中，还可以包括:密钥管理模块，与处理模块及非易失性存储模块连接，用于在接收第三方服务器发送的密钥更新请求后，用所述新的安全域密钥解密获得第三方产生的密钥；用第三方产生的密钥作为更新后的安全域密钥，并存入非易失性存储模块。

参见上述图8-图9实施例中对第三方服务器的说明，图10-图11终端实施例中增加的密钥管理模块在接收到第三方服务器发送的密钥更新请求后，再次对安全域密钥进行更新，使用第三方自己产生的密钥再次替换协商的安全域密钥，该模块为可选模块，取决第三方是否想统一不同终端上自己的安全域密钥。

图12为本发明安全激活第三方应用的系统实施例示意图，本实施例空中下载第三方应用的系统包括:

终端包含非易失性存储模块，内存储有第三方应用的初始安全域密钥及加密算法，用于与第三方服务器协商产生新的的安全域密钥，对初始安全域密钥进行更新；

第三方服务器，通过网络(有线或无线网络)与终端连接，用于与终端交互，通过与终端相同的加密算法与终端协商产生新的安全域密钥对初始安全域密钥进行更新；具有对所述第三方应用的开通、注销等进行管理控制以及应用密钥的维护等功能。

本实施例中终端可参见图10-图11实施例及相应说明，第三方服务器可参见图8-图9实施例及相应说明，本实施例还可以包括:

存储设备，用于存放第三方应用程序的设备。根据第三方情况，该设备可以集成于第三方服务器，也可以归属移动运营商统一管理；

随机数发生器，用于产生加密算法除终端和第三方服务器产生的随机数之外的其它随机数。该设备可以是独立设备，归属运营商或归属第三方；也可以是其它设备的功能模块，如终端和/或第三方服务器的一内置功能模块，具体参加图8-图11实施例及相应说明。

本实施例中的第三方服务器可以如图8-图9实施例所示的结构，将随机素数发生器或存储设备的功能内置于所述第三方服务器中，在此不再对第三方服务器的内部结构举例说明。由于第三方服务器与不同终端产生的安全域密钥是不同的，用户终端的数量又非常庞大，所以第三方服务器需要具备较强的密钥管理功能。如果第三方服务器进一步用第三方自己产生的密钥再次对协商的安全域密钥进行替换，可以对不同终端设置统一的密钥，方便第三方服务器进行管理，并且为后续如果第三方需要定期替换安全域密钥提供方便，具体可参见终端和/或第三方服务器中对于再次更新安全域密钥的说明，不再赘述。

上述空中下载第三方应用的系统，需要在第三方设置对应用、应用密钥及安全域密钥进行管理的第三方服务器，与现有的移动运营商内部的应用服务器或管理服务器不同，第三方服务器需要对原有的不是第三方设置的初始安全域密钥进行更新，通过网络与终端通信，进行密钥的协商，通过空中下载的方式将第三方的应用下载到终端，并且保证第三方密钥的私有化，保证第三方的信息安全，既满足了第三方的要求，又避免了现有预置式多次发卡效率低、成本高的缺陷。

本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成，前述的程序可以存储于一计算机可读取存储介质中，该程序在执行时，执行包括上述方法实施例的步骤；而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。

最后应说明的是:以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。