业务应用的下载方法及业务应用管理平台系统

摘要

一种业务应用的下载方法及业务应用管理平台系统；方法包括：网络侧接收到用户识别模块以唯一标识注册订购的业务应用的消息后，将该唯一标识对应的应用索引设置为所注册的订购的业务应用；所述网络侧接收到用户识别模块携带所述唯一标识的业务应用下载请求时，根据所述唯一标识对应的应用索引查找业务应用及其密钥权限；所述网络侧发送所查找到的业务应用及其对应的密钥权限，其中，至少将所述密钥权限发送给所述用户识别模块。本发明能够提供同步的个性化应用下载与密钥权限下载，提高安全程度。

说明书

技术领域

本发明涉及通信领域，尤其涉及一种业务应用的下载方法及业务应用管理平台系统。

背景技术

现有的应用下载系统是将应用数据通过无线方式下载到SIM卡中，在SIM卡中存储应用数据并生成应用菜单。

比如现有的OTA(Over-the-Air Technology，空中下载技术)业务应用下载系统，该系统与无线、有线网络相连，将OTA业务应用数据下载到SIM卡(或其它用户识别模块)上，由SIM卡存储并生成菜单供用户使用。但该方案只支持卡端业务应用下载及使用。

一种基于SP(服务提供商)的业务应用交互式空中下载方案，应用在答题类、调查类等业务应用中，由OTA系统将业务应用的根菜单下载到SIM卡上，用户在使用应用中会与提供该业务的第三方SP业务平台交互，由SP业务平台根据用户的回复内容，将下一个要交互的信息通过接口给OTA系统，由OTA系统组织数据下发给SIM卡。

对于绝大多数其他类的应用，则需要应用数据一次性下载到SIM卡上，而物联网应用众多，但SIM卡空间有限，这对于需要较大空间的物联网应用，则受限于SIM卡空间不足的问题。

另外，现有OTA应用下载技术是以群集性、批量性用户下载管理为目标管理单元，只能实现针对品牌级别划分的用户的下载与管理，不能实现物联网等领域需要的以个人为目标管理单元的一对一的下载与管理，而且现有的应用安全密钥都是按组、按批次存储的，无法实现物联网应用中针对个人的个性化定制及应用私有化要求，也不支持以个人为目标管理单元的分层级应用下载管理。

发明内容

本发明要解决的技术问题是提供一种业务应用的下载方法及业务应用管理平台系统，能够提供同步的个性化应用下载与密钥权限下载，提高安全程度。

为了解决上述问题，本发明提供了一种业务应用的下载方法，包括：

网络侧接收到用户识别模块以唯一标识注册订购的业务应用的消息后，将该唯一标识对应的应用索引设置为所注册的订购的业务应用；

所述网络侧接收到用户识别模块携带所述唯一标识的业务应用下载请求时，根据所述唯一标识对应的应用索引查找业务应用及其密钥权限；

所述网络侧发送所查找到的业务应用及其对应的密钥权限，其中，至少将所述密钥权限发送给所述用户识别模块。

进一步地，所述发送业务应用及其对应的密钥权限的步骤包括：

当所查找到的业务应用存在相应的终端客户端业务应用，且发送所述业务应用下载请求的用户识别模块所在终端支持终端客户端应用时，发送终端客户端业务应用给所述终端，发送该业务应用的密钥权限给所述用户识别模块；否则发送用户识别模块业务应用及其密钥权限给所述用户识别模块。

进一步地，所述的下载方法还包括：

所述网络侧将用户识别模块业务应用按照功能分成多个分块，并记录其下载顺序；

所述发送用户识别模块业务应用给所述用户识别模块的步骤包括：

判断要发送的用户识别模块业务应用是否已分为多个分块；如果是，则先发送下载顺序为第一的分块，等收到进一步的请求后，再发送后继分块，直到要发送的用户识别模块业务应用的分块全部发完。

进一步地，所述发送业务应用及其对应的密钥权限的步骤包括：

先发送密钥权限给所述用户识别模块；当收到所述用户识别模块返回的下载密钥权限成功的通知后，发送所述业务应用。

进一步地，所述的下载方法还包括：

所述网络侧接收所述用户识别模块的业务应用下载请求时，从该请求中提取唯一对应该用户识别模块的主控密钥；

所述网络侧发送密钥权限的步骤包括：

利用业务应用唯一标识符、所述主控密钥计算会话密钥；利用所述会话密钥加密所查找到的密钥权限；发送加密后的密钥权限。

进一步地，所述的下载方法还包括：

所述网络侧接收作为主卡的用户识别模块向网络侧以作为副卡的用户识别模块的唯一标识注册订购的业务应用；

当所述网络侧收到所述作为副卡的用户识别模块的同意确认消息后，主动根据所述唯一标识查找所述用户识别模块订购的业务应用及其密钥权限，并发送给所述作为副卡的用户识别模块。

本发明还提供了一种业务应用管理平台系统，包括：

注册模块，用于接收到用户识别模块以唯一标识注册订购的业务应用的消息后，将该唯一标识对应的应用索引设置为所注册的订购的业务应用；

查找模块，用于当接收到用户识别模块携带所述唯一标识的业务应用下载请求时，根据所述唯一标识对应的应用索引查找到业务应用及其密钥权限；

发送模块，用于发送所查找到的业务应用及其对应的密钥权限，其中，至少将所述密钥权限发送给所述用户识别模块。

进一步地，所述发送模块当所查找到的业务应用存在相应的终端客户端业务应用，且发送所述业务应用下载请求的用户识别模块所在终端支持终端客户端应用时，发送终端客户端业务应用给所述终端，发送该业务应用的密钥权限给所述用户识别模块；否则发送用户识别模块业务应用及其密钥权限给所述用户识别模块。

进一步地，所述的业务应用管理平台系统还包括：

切割模块，用于将所述存储模块保存的用户识别模块业务应用按照功能分成多个分块，并记录其下载顺序；

所述发送模块发送用户识别模块业务应用给所述用户识别模块时，判断要发送的用户识别模块业务应用是否已分为多个分块；如果是，则先发送下载顺序为第一的分块，等收到进一步的请求后，再发送后继分块，直到要发送的用户识别模块业务应用的分块全部发完。

进一步地，所述发送模块发送业务应用及其对应的密钥权限时，先发送密钥权限给所述用户识别模块；当收到所述用户识别模块返回的下载密钥权限成功的通知后，发送所述业务应用。

进一步地，所述的业务应用管理平台系统还包括：

提取模块，用于在所接收的所述用户识别模块的业务应用下载请求中提取唯一对应该用户识别模块的主控密钥；

加密模块，用于利用业务应用唯一标识符、所述主控密钥计算会话密钥；利用所述会话密钥加密所查找到的密钥权限；

所述发送模块发送密钥权限时发送加密后的密钥权限。

进一步地，所述注册模块还用于接收作为主卡的用户识别模块向网络侧以作为副卡的用户识别模块的唯一标识注册订购的业务应用；

所述查找模块还用于当收到所述作为副卡的用户识别模块的同意确认消息后，主动根据所述唯一标识查找所述用户识别模块订购的业务应用及其密钥权限；

所述发送模块将查找到的业务应用及其密钥权限发送给副卡的用户识别模块。

本发明的技术方案通过业务订购关系，对用户进行应用下载和管理，可以实现一对一的应用下载与管理，为每个用户提供应用个人化数据(比如密钥等)，可提供以个人为目标管理单元的应用下载管理机制和应用关联密钥权限的下载机制，同时支持应用下载与密钥权限下载的同步，在应用下载完成后进行更新，不再根据卡批次对一批卡进行密钥存储及管理，对于有安全需求的个性化应用定制起到弥补技术空白的作用。本发明的优化方案可基于终端下载及机卡交互技术，或分块下载技术实现物联网的业务应用下载和应用使用，避免了应用下载的无限性与现有用户识别模块空间有限性之间的矛盾，极大的推动了物联网应用的发展。

附图说明

图1是实施例一的业务应用的下载方法的流程示意图；

图2是实施例一中发送所查找到的业务应用及其对应的密钥权限的流程示意图；

图3是实施例二的应用下载系统的结构示意图；

图4是实施例三的业务应用管理平台系统的示意框图。

具体实施方式

下面将结合附图及实施例对本发明的技术方案进行更详细的说明。

需要说明的是，如果不冲突，本发明实施例以及实施例中的各个特征可以相互结合，均在本发明的保护范围之内。另外，在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行，并且，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。

实施例一、一种业务应用的下载方法，如图1所示，包括：

网络侧接收到用户识别模块以唯一标识注册订购的业务应用的消息后，将该唯一标识对应的应用索引设置为所注册的订购的业务应用；

所述网络侧接收到用户识别模块携带所述唯一标识的业务应用下载请求时，根据所述唯一标识对应的应用索引查找业务应用及其密钥权限；

所述网络侧发送所查找到的业务应用及其对应的密钥权限，其中，至少将所述密钥权限发送给所述用户识别模块。

本实施例中，所述唯一标识可以是唯一指明一个用户识别模块的标识，国际移动用户识别码IMSI，也可以是唯一指明一个终端的标识，比如国际移动设备身份码IMEI；实际应用时也可以是其它信息。

本实施例中，网络侧查找和发送的可以是适用于用户识别模块的业务应用(即用户识别模块业务应用)，也可以是适用于终端的业务应用(即终端客户端业务应用)。用户订购的业务应用是采用用户识别模块业务应用还是终端客户端业务应用，依赖于网络侧对于该应用的配置或终端支持情况，如果网络侧对于一个业务应用的两种类型的应用都有且都有效，且终端支持终端客户端业务应用下载，则网络侧优先发送终端客户端业务应用，是否需要继续发送用户识别模块业务应用，由业务应用管理平台系统配置可选；如果用户终端不支持终端客户端业务应用下载，则直接发送用户识别模块业务应用而无需发送终端客户端业务应用。

本实施例中，如图2所示，所述发送业务应用及其对应的密钥权限的步骤具体可以包括：

当所查找到的业务应用存在相应的终端客户端业务应用，且发送所述业务应用下载请求的用户识别模块所在终端支持终端客户端应用时，发送终端客户端业务应用给所述终端，发送该业务应用的密钥权限给所述用户识别模块；否则发送用户识别模块业务应用及其密钥权限给所述用户识别模块。

本实施例中，所述方法还可以包括：所述网络侧将用户识别模块业务应用按照功能分成多个分块，并记录其下载顺序；可以用序列号记录，也可以通过记录各分块的前后分块，记录其下载顺序；采用其它方式也可。

此时，所述发送用户识别模块业务应用给所述用户识别模块的步骤具体可以包括：

判断要发送的用户识别模块业务应用是否已分为多个分块；如果是，则先发送下载顺序为第一的分块，等收到进一步的请求后，再发送后继分块，直到要发送的用户识别模块业务应用的分块全部发完。

实际应用中，也可以优先发送用户识别模块业务应用，或直接在请求下载时指定要下载的业务应用的类型，如果指定的类型不存在，可返回下载失败的消息或询问是否下载另一个类型的业务应用。

实际应用中，如果有的业务应用不需要密钥权限，则网络侧根据订购关系可以只返回业务应用；接收和使用该业务应用的过程可同现有技术，这里不再赘述。

本实施例中，所述发送业务应用及其对应的密钥权限的步骤具体还可以包括：

先发送密钥权限给所述用户识别模块；当收到所述用户识别模块返回的下载密钥权限成功的通知后，发送所述业务应用。

本实施例中，所述网络侧发送时，将要发送的内容组织成下发报文，采用wap协议通过GGSN和SGSN下发给终端或用户识别模块。

本实施例中，为了保证业务应用密钥权限的下载过程是安全的，防止密钥下载过程中被监听破解等漏洞发生，采用业务应用密钥权限下载安全控制机制；所述方法还可以包括：

所述网络侧接收所述用户识别模块的业务应用下载请求时，从该请求中提取唯一对应该用户识别模块的主控密钥；

所述网络侧发送密钥权限的步骤具体可以包括：

利用业务应用唯一标识符、所述主控密钥计算会话密钥；利用所述会话密钥加密所查找到的密钥权限；发送加密后的密钥权限。

本实施例中，所述方法还可以包括：

所述网络侧接收作为主卡的用户识别模块向网络侧以作为副卡的用户识别模块的唯一标识注册订购的业务应用；

当所述网络侧收到所述作为副卡的用户识别模块的同意确认消息后，主动根据所述唯一标识查找所述用户识别模块订购的业务应用及其密钥权限，并发送给所述作为副卡的用户识别模块。

这样可以实现业务应用的分层级下载。

实施例二，一种应用下载系统，如图3所示，具体可以包括：

GGSN和SGSN；

业务应用管理平台，用于保存业务应用及其密钥权限；接收到用户识别模块以唯一标识注册订购的业务应用的消息后，将该唯一标识对应的应用索引设置为所注册的订购的业务应用；接收到用户识别模块携带所述唯一标识的业务应用下载请求时，根据所述唯一标识对应的应用索引查找到业务应用及其密钥权限；发送所查找到的业务应用及其对应的密钥权限，其中，至少将所述密钥权限发送给所述用户识别模块。

本实施例中，所述业务安全应用平台将要发送的内容组织成下发报文，采用wap协议通过GGSN和SGSN下发给终端或用户识别模块。

本实施例中，所述业务应用管理平台可以当所查找到的业务应用存在相应的终端客户端业务应用，且发送所述业务应用下载请求的用户识别模块所在终端支持终端客户端应用时，发送终端客户端业务应用给所述终端，发送该业务应用的密钥权限给所述用户识别模块；否则发送用户识别模块业务应用及其密钥权限给所述用户识别模块。

本实施例中，所述业务应用管理平台还可以用于将用户识别模块业务应用按照功能分成多个分块，并记录其下载顺序；

所述业务应用管理平台发送用户识别模块业务应用给所述用户识别模块时，可以判断要发送的用户识别模块业务应用是否已分为多个分块；如果是，则先发送下载顺序为第一的分块，等收到进一步的请求后，再发送后继分块，直到要发送的用户识别模块业务应用的分块全部发完。

本实施例中，所述业务应用管理平台发送业务应用及其对应的密钥权限时，可以先发送密钥权限给所述用户识别模块；当收到所述用户识别模块返回的下载密钥权限成功的通知后，发送所述业务应用。

本实施例中，所述业务应用管理平台还可以用于在接收所述用户识别模块的业务应用下载请求时，从该请求中提取唯一对应该用户识别模块的主控密钥；发送密钥权限时，利用业务应用唯一标识符、所述主控密钥计算会话密钥；利用所述会话密钥加密所查找到的密钥权限；发送加密后的密钥权限。

本实施例中，所述业务应用管理平台还可以用于接收作为主卡的用户识别模块向网络侧以作为副卡的用户识别模块的唯一标识注册订购的业务应用；当收到所述作为副卡的用户识别模块的同意确认消息后，主动根据所述唯一标识查找所述用户识别模块订购的业务应用及其密钥权限，并发送给所述作为副卡的用户识别模块。

其它实现细节可以同实施例一。

实施例三，一种业务应用管理平台系统，如图4所示，具体可以包括：

注册模块，用于接收到用户识别模块以唯一标识注册订购的业务应用的消息后，将该唯一标识对应的应用索引设置为所注册的订购的业务应用；

查找模块，用于当接收到用户识别模块携带所述唯一标识的业务应用下载请求时，根据所述唯一标识对应的应用索引在查找到业务应用及其密钥权限；

发送模块，用于发送所查找到的业务应用及其对应的密钥权限，其中，至少将所述密钥权限发送给所述用户识别模块。

还可以包括一存储模块，用于保存业务应用及其密钥权限；所述查找模块是在所述存储模块中查找业务应用及其密钥权限。

本实施例中，所述发送模块可以当所查找到的业务应用存在相应的终端客户端业务应用，且发送所述业务应用下载请求的用户识别模块所在终端支持终端客户端应用时，发送终端客户端业务应用给所述终端，发送该业务应用的密钥权限给所述用户识别模块；否则发送用户识别模块业务应用及其密钥权限给所述用户识别模块。

本实施例中，所述业务应用管理平台系统还可以包括一切割模块，用于将所述存储模块保存的用户识别模块业务应用按照功能分成多个分块，并记录其下载顺序；

所述发送模块发送用户识别模块业务应用给所述用户识别模块时，可以判断要发送的用户识别模块业务应用是否已分为多个分块；如果是，则先发送下载顺序为第一的分块，等收到进一步的请求后，再发送后继分块，直到要发送的用户识别模块业务应用的分块全部发完。

本实施例中，所述发送模块发送业务应用及其对应的密钥权限时，可以先发送密钥权限给所述用户识别模块；当收到所述用户识别模块返回的下载密钥权限成功的通知后，发送所述业务应用。

本实施例中，所述的业务应用管理平台系统还可以包括：

提取模块，用于在所接收的所述用户识别模块的业务应用下载请求中提取唯一对应该用户识别模块的主控密钥；

加密模块，用于利用业务应用唯一标识符、所述主控密钥计算会话密钥；利用所述会话密钥加密所查找到的密钥权限；

所述发送模块发送密钥权限时发送加密后的密钥权限。

本实施例中，所述注册模块还可以用于接收作为主卡的用户识别模块向网络侧以作为副卡的用户识别模块的唯一标识注册订购的业务应用；

所述查找模块还可以用于当收到所述作为副卡的用户识别模块的同意确认消息后，主动根据所述唯一标识查找所述用户识别模块订购的业务应用及其密钥权限；

所述发送模块将查找到的业务应用及其密钥权限发送给副卡的用户识别模块。

其它实现细节可以同实施例一。

显然，本领域的技术人员应该明白，上述的本发明的各模块或各步骤可以用通用的计算装置来实现，它们可以集中在单个的计算装置上，或者分布在多个计算装置所组成的网络上，可选地，它们可以用计算装置可执行的程序代码来实现，从而，可以将它们存储在存储装置中由计算装置来执行，或者将它们分别制作成各个集成电路模块，或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样，本发明不限制于任何特定的硬件和软件结合。

当然，本发明还可有其他多种实施例，在不背离本发明精神及其实质的情况下，熟悉本领域的技术人员当可根据本发明作出各种相应的改变和变形，但这些相应的改变和变形都应属于本发明的权利要求的保护范围。