WO2018129726A1 - 一种授权凭据迁移的方法、终端设备及业务服务器 - Google Patents

Abstract

一种授权凭据迁移的方法、终端设备及业务服务器，该方法包括第一终端设备向业务服务器发送可信应用的授权凭据迁入请求，接收输入的可信应用的第二授权凭证码，第一终端设备向所述业务服务器发送第二授权凭证码，用于指示业务服务器进行授权验证，第一终端设备接收业务服务器发送的可信应用的授权凭据。第一终端设备通过在TEE中向业务服务器发送可信应用的授权凭据迁入请求，并进行发送用户输入的第二授权凭证码，使得业务服务器在通过对第一终端设备验证之后建立该第一终端设备的设备标识与可信应用的授权凭据的映射关系，完成可信应用的授权，从而为用户提供自助的应用授权凭据迁移，并提高了应用授权凭据过程中的安全性。

Description

一种授权凭据迁移的方法、终端设备及业务服务器 技术领域

本申请涉及通信技术领域，尤其涉及一种授权凭据迁移的方法、终端设备及业务服务器。

背景技术

安全元件(Secure Element，SE)为终端设备中一种安全芯片，可以防止外部恶意攻击，目前终端设备中比较重要的应用都安装在SE中，比如银行支付、银行电子U盾(USB-KEY)等，这些安装在安全元件中的应用被成为可信应用。在将可信应用进行安装并启用时，还需要获取银行的授权数据，这些授权数据需要用户去银行柜台进行办理。

用户在更换终端设备时，需要将可信应用的授权数据从旧的终端设备中迁移到新的终端设备中。但是，目前用户需要到银行柜台进行面签，以申请可信应用的授权凭据的迁移。银行业务人员在核实用户的身份后，对旧的终端设备的授权数据进行吊销，之后让用户将业务人员提供的纸质的迁移凭证在新的终端设备上输入并上传，经过对迁移凭证的核实后，对新的终端设备下发该可信应用的授权凭据。不得不到柜台面签，使得用户和银行都费时费力。并且用户在输入迁移凭证码时是在终端的富运行环境(Rich Executive Environment，REE)中输入的，该终端设备的REE中易被植入的木马监听，使得外部攻击者将该可信应用的授权数据迁移到恶意终端设备上，造成用户的重大损失。

发明内容

本申请提供一种授权凭据迁移的方法、终端设备及业务服务器，为用户提供自助的应用授权凭据的迁移，并提高应用授权凭据迁移的安全性。

第一方面，提供一种授权凭据迁移的方法。

第一终端设备向业务服务器发送可信应用的授权凭据迁入请求，所述授权凭据迁入请求是所述第一终端设备在可信执行环境中使用安全通道发送的；所述授权凭据迁入请求包括所述第一终端设备的设备标识、所述第一终端设备的安全元件标识、所述可信应用的应用标识和用户的个人信息；所述第一终端设备为待迁入授权凭据的设备；所述第一终端设备接收所述用户在可信用户界面中输入的所述可信应用的第二授权凭证码，所述第二授权凭证码为所述用户在查看第二终端设备显示的第一授权凭证码后输入的；所述第一终端设备向所述业务服务器发送所述用户输入的第二授权凭证码，用于指示所述业务服务器进行第一授权验证；所述第一终端设备接收所述业务服务器发送的所述可信应用的授权凭据，所述可信应用的授权凭据为所述业务服务器建立所述第一终端设备的设备标识与所述可信应用的授权凭据的映射关系之后发送的。

第一终端设备向业务服务器发送可信应用的授权凭据迁入请求，接收用户在可信用户界面中输入的可信应用的第二授权凭证码，第一终端设备向所述业务服务器发送用户输入的第二授权凭证码，用于指示业务服务器进行第一授权验证，第一终端设备接收业务服务器对可信应用的授权，可信应用的授权凭据为业务服务器建立第一终端设备的设备标识与可信应用的授权凭据的映射关系之后授权的。第一终端设备通过在TEE中向业务服务器发送可信应用的授权凭据迁入请求，并进行发送用户输入的第二授权凭证码，使得业务服务 器在通过对第一终端设备验证之后建立该第一终端设备的设备标识与可信应用的授权凭据的映射关系，完成可信应用的授权，从而为用户提供自助的应用授权凭据迁移，并提高了授权凭据过程中的安全性。

结合第一方面，在第一方面的第一种可能的实现方式中，在所述第一终端设备接收所述业务服务器发送的所述可信应用的授权凭据之前，还包括：所述第一终端设备接收所述业务服务器发送的第一验证码并在可信用户界面中进行显示；所述第一终端设备接收所述用户在可信用户界面中输入的第二验证码，所述第一终端设备向所述业务服务器发送所述用户输入的第二验证码，用于指示所述业务服务器进行第二授权验证。

通过第二验证码可以进一步的实现对用户身份的确认，提高了授权凭据过程中的安全性。

第二方面，提供一种授权凭据迁移的方法。

第二终端设备将可信应用的第一数据进行签名；所述可信应用的第一数据包括第二终端设备的设备标识、第二终端设备的安全元件标识、可信应用的应用标识和用户的个人信息；所述第二终端设备为待解除授权凭据的设备；所述第二终端设备向业务服务器发送可信应用的授权凭据解除请求，所述授权凭据解除请求是所述第二终端设备在可信执行环境中使用安全通道发送的；所述授权凭据解除中包括所述签名后的可信应用的第一数据；所述第二终端设备接收所述业务服务器发送的所述可信应用的第一授权凭证码并在可信用户界面中进行显示；所述第二终端设备接收所述业务服务器发送的所述可信应用的删除请求，并将所述可信应用删除；所述第二终端设备向所述业务服务器发送所述可信应用的删除响应消息。

第三方面，提供一种授权凭据迁移的方法。

业务服务器接收第二终端设备发送的可信应用的授权凭据解除请求；所述授权凭据解除请求包括第二终端设备的设备标识、第二终端设备的安全元件标识、可信应用的应用标识和用户的个人信息；所述业务服务器确认身份验证通过，生成第一授权凭证码，并向所述第二终端设备发送所述第一授权凭证码；所述业务服务器接收第一终端设备发送的第二授权凭证码，并在确认第一授权验证通过后删除所述第二终端设备的设备标识与所述可信应用的授权凭据的映射关系，向第二终端设备发送所述可信应用的删除请求；所述业务服务器接收所述第二终端设备发送的所述可信应用的删除响应消息，并建立所述第一终端设备的设备标识与所述可信应用的授权凭据的映射关系，并向所述第一终端设备发送所述可信应用的授权凭据。

结合第三方面，在第三方面的第一种可能的实现方式中，所述业务服务器确认身份验证通过，包括：所述业务服务器确定所述第二终端设备发送的可信应用的第一数据的签名以及所述可信应用的第一数据中的第二终端设备的设备标识和第二终端设备的安全元件标识是否与已存储的一致，若是，则所述业务服务器确认所述身份验证通过。

结合第三方面，在第三方面的第二种可能的实现方式中，所述业务服务器生成第一授权凭证码，包括：所述业务服务器根据所述授权凭据解除请求中的所述用户的个人信息确定所述用户的个人信息所对应的第一终端设备的授权凭据迁入请求；所述业务服务器根据所述授权凭据迁入请求中的所述第一终端设备的设备标识和随机数，生成所述第一授权凭证码。

结合第三方面，在第三方面的第三种可能的实现方式中，所述业务服务器确认第一授 权验证通过，包括：所述业务服务器确认所述第二授权凭证码和所述第一授权凭证码是否一致，若是，则所述业务服务器确认所述第一授权验证通过。

结合第三方面，在第三方面的第四种可能的实现方式中，在所述业务服务器删除所述第二终端设备的设备标识与所述可信应用的授权凭据的映射关系之前，还包括：所述业务服务器向所述第一终端设备发送第一验证码；所述业务服务器接收所述第一终端设备发送的第二验证码；所述业务服务器根据所述第一验证码和所述第二验证码，确认第二授权验证通过。

结合第三方面或第三方面的第四种可能的实现方式，在第三方面的第五种可能的实现方式中，所述业务服务器确认所述第二授权验证通过，包括：所述业务服务器确认所述第一验证码和所述第二验证码是否一致，若是，则所述业务服务器确认所述第二授权验证通过。

第四方面，提供一种终端设备。

包括：射频(英文：Radio Frequency，RF)电路、处理器和触摸面板；所述处理器，用于控制所述RF电路向业务服务器发送可信应用的授权凭据迁入请求，所述授权凭据迁入请求是所述终端设备在可信执行环境中使用安全通道发送的；所述授权凭据迁入请求包括所述终端设备的设备标识、所述终端设备的安全元件标识、所述可信应用的应用标识和用户的个人信息；所述终端设备为待迁入授权凭据的设备；所述处理器，还用于控制所述触摸面板接收所述用户在可信用户界面中输入的所述可信应用的第二授权凭证码，所述第二授权凭证码为所述用户在查看第二终端设备显示的第一授权凭证码后输入的；所述处理器，还用于控制所述RF电路向所述业务服务器发送所述用户输入的第二授权凭证码，用于指示所述业务服务器进行第一授权验证；以及控制所述RF电路接收所述业务服务器发送的所述可信应用的授权凭据，所述可信应用的授权凭据为所述业务服务器建立所述终端设备的设备标识与所述可信应用的授权凭据的映射关系之后发送的。

结合第四方面，在第四方面的第一种可能的实现方式中，所述终端设备还包括显示面板；所述处理器还用于：在控制所述RF电路接收所述业务服务器发送的所述可信应用的授权凭据之前，控制所述RF电路接收所述业务服务器发送的第一验证码并控制所述显示面板在可信用户界面中进行显示；控制所述触摸面板接收所述用户在可信用户界面中输入的第二验证码，控制所述RF电路向所述业务服务器发送所述用户输入的第二验证码，用于指示所述业务服务器进行第二授权验证。

第五方面，提供一种终端设备。

包括：RF电路、处理器和显示面板；所述处理器，用于将可信应用的第一数据进行签名；所述可信应用的第一数据包括终端设备的设备标识、终端设备的安全元件标识、可信应用的应用标识和用户的个人信息；所述终端设备为待解除授权凭据的设备；所述处理器，还用于控制所述RF电路向业务服务器发送可信应用的授权凭据解除请求，所述授权凭据解除请求是所述终端设备在可信执行环境中使用安全通道发送的；所述授权凭据解除中包括所述签名后的可信应用的第一数据；控制所述RF电路接收所述业务服务器发送的所述可信应用的第一授权凭证码并控制所述显示面板在可信用户界面中进行显示；控制所述RF电路接收所述业务服务器发送的所述可信应用的删除请求，并将所述可信应用删除；控制所述RF电路向所述业务服务器发送所述可信应用的删除响应消息。

第六方面，提供一种业务服务器。

包括：处理器和通信模块；所述处理器，用于控制所述通信模块接收第二终端设备发送的可信应用的授权凭据解除请求；所述授权凭据解除请求包括第二终端设备的设备标识、第二终端设备的安全元件标识、可信应用的应用标识和用户的个人信息；所述处理器，还用于确认身份验证通过，生成第一授权凭证码，并控制所述通信模块向所述第二终端设备发送所述第一授权凭证码；控制所述通信模块接收第一终端设备发送的第二授权凭证码，并在确认第一授权验证通过后删除所述第二终端设备的设备标识与所述可信应用的授权凭据的映射关系，控制所述通信模块向第二终端设备发送所述可信应用的删除请求；控制所述通信模块接收所述第二终端设备发送的所述可信应用的删除响应消息，并建立所述第一终端设备的设备标识与所述可信应用的授权凭据的映射关系，并控制所述通信模块向所述第一终端设备发送所述可信应用的授权凭据。

结合第六方面，在第六方面的第一种可能的实现方式中，所述处理器具体用于：确定所述第二终端设备发送的可信应用的第一数据的签名以及所述可信应用的第一数据中的第二终端设备的设备标识和第二终端设备的安全元件标识是否与已存储的一致，若是，则确认所述身份验证通过。

结合第六方面，在第六方面的第二种可能的实现方式中，所述处理器具体用于：根据所述授权凭据解除请求中的所述用户的个人信息确定所述用户的个人信息所对应的第一终端设备的授权凭据迁入请求；根据所述授权凭据迁入请求中的所述第一终端设备的设备标识和随机数，生成所述第一授权凭证码。

结合第六方面，在第六方面的第三种可能的实现方式中，所述处理器具体用于：确认所述第二授权凭证码和所述第一授权凭证码是否一致，若是，则确认所述第一授权验证通过。

结合第六方面，在第六方面的第四种可能的实现方式中，所述处理器还用于：在删除所述第二终端设备的设备标识与所述可信应用的授权凭据的映射关系之前，控制所述通信模块向所述第一终端设备发送第一验证码；控制所述通信模块接收所述第一终端设备发送的第二验证码；根据所述第一验证码和所述第二验证码，确认第二授权验证通过。

结合第六方面或第六方面的第四种可能的实现方式中，在第六方面的第五种可能的实现方式中，所述处理器具体用于：确认所述第一验证码和所述第二验证码是否一致，若是，则确认所述第二授权验证通过。

第七方面，本发明实施例提供一种终端设备，所述终端设备包括用于实现第一方面所述的方法的功能模块。

第八方面，本发明实施例还提供一种终端设备，所述终端设备包括用于实现第二方面所述的方法的功能模块。

第九方面，本发明实施例还提供一种业务服务器，所述业务服务器包括用于实现第三方面所述的方法的功能模块。

第十方面，本发明实施例还提供一种计算机存储介质，所述计算机存储介质上存储有程序代码，所述程序代码包括用于实现所述第一方面、第二方面或第三方面的方法的任意可能的实现方式的指令。

附图说明

图1为本申请提供的一种系统架构的示意图；

图2为本申请提供的一种业务服务器的结构示意图；

图3为本申请提供的一种终端设备的结构示意图；

图4为本申请提供的一种授权凭据迁移的方法的流程示意图；

图5为本申请提供的一种终端设备的显示面板的示意图；

图6为本申请提供的一种显示界面的示意图；

图7为本申请提供的一种终端设备的结构示意图；

图8为本申请提供的一种终端设备的结构示意图；

图9为本申请提供的一种业务服务器的结构示意图。

具体实施方式

下面将结合本申请中的附图，对本申请中的技术方案进行清楚、完整地描述。

图1示出了本申请所适用的一种系统架构，基于该系统架构可实现数据迁移的流程，本申请提供的控制授权凭据迁移的系统架构中包括业务服务器101和两个终端设备102。两个终端设备102分别通过网络与业务服务器101连接，实现了业务服务器101在将应用的授权凭据从其中一个终端设备102吊销之后，生成新的授权凭据，然后下发到另一个终端设备102中。

图1中的业务服务器101可以包括处理器1011、通信模块1012和存储器1013，具体结构如图2所示。

通信模块1012用于连接网络，通过网络与终端设备102进行通信，接收终端设备102发送的下行数据或向终端设备102发送上行数据，实现通信。

处理器1011是业务服务器101的控制中心，利用各种接口和线路连接整个业务服务器101的各个部分，通过运行或执行存储在存储器1013内的软件程序/或模块，以及调用存储在存储器1013内的数据，执行业务服务器101的各种功能和处理数据。可选地，处理器1011可以包括一个或多个处理单元。

存储器1013可用于存储软件程序以及模块，处理器1011通过运行存储在存储器1013的软件程序以及模块，从而执行手机的各种功能应用以及数据处理。存储器1013可主要包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、至少一个功能所需的应用程序(如声音播放功能、图像播放功能等)等；存储数据区可存储根据手机的使用所创建的数据(如音频数据、电话本等)等。此外，存储器1013可以包括高速随机存取存储器，还可以包括非易失性存储器，例如至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。

图1中的终端设备102可以为具有可信运行环境(Trusted Executive Environment，TEE)的设备，例如，具有TEE的手机、手环、平板电脑、笔记本电脑、超级移动个人计算机(英文：Ultra-Mobile Personal Computer，UMPC)、个人数字助理(英文：Personal Digital Assistant，PDA)设备、车载设备、可穿戴设备等，而不仅限于通信终端。

如图3所示，终端设备102可以包括射频(英文：Radio Frequency，RF)电路1021、WiFi模块1022、处理器1023、传感器1024、存储器1025、输入单元1026、显示单元1027、安全元件(Secure Element，SE)1028、音频电路1029。

其中，本领域技术人员可以理解，图3中示出的终端设备102的结构仅为示例而非限定，终端设备102还可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置。

安全元件1028为一种独立的物理芯片，可以防止硬件攻击，用于存储重要数据，进行安全计算。在本申请中，安全元件1028中安装有重要的可信应用，比如，各家银行支付客户端、各家银行的电子U盾(USB-KEY)等。

RF电路1021可用于在收发数据信息或通话过程中，信号的接收和发送，特别地，将业务服务器101发送的下行信息接收后，给处理器1023处理；另外，将终端的上行信息经过网络发送给该业务服务器101，从而实现了与该网络服务器101的通信。通常，RF电路包括但不限于天线、至少一个放大器、收发信机、耦合器、低噪声放大器(英文：Low Noise Amplifier，LNA)、双工器等。此外，RF电路1021还可以通过无线通信与网络和其他设备通信。上述无线通信可以使用任一通信标准或协议，包括但不限于全球移动通讯系统(英文：Global System for Mobile communication，GSM)、通用分组无线服务(英文：General Packet Radio Service，GPRS)、码分多址(英文：Code Division Multiple Access，CDMA)、宽带码分多址(英文：Wideband Code Division Multiple Access，WCDMA)、长期演进(英文：Long Term Evolution，LTE)、电子邮件、短消息服务(英文：Short Messaging Service，SMS)等。

其中，存储器1025可用于存储软件程序以及模块，处理器1023通过运行存储在存储器1025的软件程序以及模块，从而执行手机的各种功能应用以及数据处理。存储器1025可主要包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、至少一个功能所需的应用程序(如声音播放功能、图像播放功能等)等；存储数据区可存储根据手机的使用所创建的数据(如音频数据、电话本等)等。此外，存储器1025可以包括高速随机存取存储器，还可以包括非易失性存储器，例如至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。该存储器1025位于富运行环境(Rich Executive Environment，REE)与上述安全元件1028相互独立，用于存储一下非重要数据。

输入单元1026可用于接收输入的数字或字符信息，以及产生与终端设备102的用户设置以及功能控制有关的键信号。具体地，输入单元1026可包括触控面板10261、以及其他输入设备10262。触控面板10261，也称为触摸屏，可收集用户在其上或附近的触摸操作(比如用户使用手指、触笔等任何适合的物体或附件在触控面板10261上或在触控面板10261附近的操作)，并根据预先设定的程式驱动相应的连接装置。可选的，触控面板10261可包括触摸检测装置和触摸控制器两个部分。其中，触摸检测装置检测用户的触摸方位，并检测触摸操作带来的信号，将信号传送给触摸控制器；触摸控制器从触摸检测装置上接收触摸信息，并将它转换成触点坐标，再送给处理器1023，并能接收处理器1023发来的命令并加以执行。此外，可以采用电阻式、电容式、红外线以及表面声波等多种类型实现触控面板10261。在本申请中，除了触控面板10261，输入单元130还可以包括其他输入设备10262。具体地，其他输入设备10262可以包括但不限于物理键盘、功能键(比如音量控制按键、开关按键等)、轨迹球、鼠标、操作杆等中的一种或多种。

其中，显示单元1027可用于显示由用户输入的信息或提供给用户的信息以及手机的各种菜单。显示单元1027可包括显示面板10271，可选的，可以采用液晶显示单元(LCD，Liquid Crystal Display)、有机发光二极管(OLED，Organic Light-Emitting Diode)等形式 来配置显示面板10271。进一步的，触控面板10261可覆盖显示面板10271，当触控面板10261检测到在其上或附近的触摸操作后，传送给处理器1023以确定触摸事件的类型，随后处理器1023根据触摸事件的类型在显示面板10271上提供相应的视觉输出。

其中，该人眼能够识别的该视觉输出外显示面板10271可以作为本申请中的显示设备，用来显示文本信息或图像信息。虽然在图3中，触控面板10261与显示面板10271是作为两个独立的部件来实现终端设备102的输入和输出功能，但是在某些实施例中，可以将触控面板10261覆盖在显示面板10271上，形成触摸显示屏，触摸显示屏提供给用户预设的显示区域，从而实现终端设备102的输入和输出功能。在本申请中，该触摸显示屏包括不同的显示区域，每一个显示区域可以包含至少一个应用程序的图标和/或widget桌面控件等界面元素。

另外，终端设备102还可包括至少一种传感器1024，比如重力传感器、距离传感器、以及其他传感器。虽然图3示出了传感器1024，但是可以理解的是，其并不属于终端设备102的必须构成，完全可以根据需要在不改变发明的本质的范围内而省略。

WiFi属于短距离无线传输技术，终端设备102通过WiFi模块1022可以帮助用户收发电子邮件、浏览网页和访问流式媒体等，它为用户提供了无线的宽带互联网访问。

处理器1023是终端设备102的控制中心，利用各种接口和线路连接整个终端10的各个部分，通过运行或执行存储在存储器1025内的软件程序和/或模块，以及调用存储在存储器1025内的数据，执行终端10的各种功能和处理数据，从而对终端设备102进行整体监控。可选的，处理器1023可包括一个或多个处理单元；优选的，处理器1023可集成应用处理器和调制解调处理器，其中，应用处理器主要处理操作系统、用户界面和应用程序等，调制解调处理器主要处理无线通信。

可以理解的是，上述调制解调处理器也可以不集成到处理器1023中。

音频电路1029可以用于为用户提供声音输入输出，比如在进行声纹识别时，需要通过音频电路1029来实现声纹的输入。

终端设备102还包括给各个部件供电的电源(图中未画出)。

可选地，电源可以通过电源管理系统与处理器1023逻辑相连，从而通过电源管理系统实现管理充电、放电、以及功耗管理等功能。尽管未示出，终端设备102还可以包括蓝牙模块、耳机接口等，在此不再赘述。

在本申请中，授权凭据迁移的过程需要运行在TEE中，且需要迁移授权凭据的应用位于SE中，可以防止在授权凭据迁移的过程中被攻击者恶意攻击。

需要说明的是，图2中所示的业务服务器101和图3中所示的终端设备102所包含的结构仅是一种示例，本申请对此不做限定。

以下，为了便于理解和记忆，结合图1、图2和图3中业务服务器101和终端设备102的具体结构，本申请以迁移银行电子U盾的授权凭据为例，通过业务服务器101和终端设备102交互的方式来描述授权凭据迁移的流程。在本申请中，所有的信息交互的流程都是通过安全通道实现的，所有的输入或输出都是通过可信用户界面(Trusted User Interface，TUI)实现的。第一终端设备为待迁入授权凭据的设备，即为新的终端设备，比如手机。第二终端设备为待解除授权凭据的设备，即为旧的终端设备，比如手机或连接有银行U盾的电脑等。

图4示出了本申请提供的一种授权凭据迁移的方法的流程，结合图1至4所示，该流 程具体包括：

步骤401，第一终端设备向业务服务器发送可信应用的授权凭据迁入请求。

用户在第一终端设备的SE1028中安装银行电子U盾时，第一终端设备与业务服务器建立安全通道，第一终端设备的处理器1023可以控制RF电路1021或WiFi模块1022通过该安全通道向业务服务器发送可信应用的授权凭据迁入请求。用户在申请银行电子U盾的授权凭据被授权时，第一终端自动启动TEE的TUI，为用户提供可靠的输入环境。

上述可信应用的授权凭据迁入请求中携带有该第一终端设备的设备标识、第一终端设备的SE标识、可信应用的应用标识和用户的个人信息。设备标识可以为用于区别其它终端设备的一组数据，比如可以为终端设备的序列号、名称等信息。SE标识为区别于其它终端设备中的SE的一组数据，比如可以为SE的序列号等信息。可信应用的应用标识是为了区别不同应用所对应的授权凭据，以供业务服务器知道将哪个可信应用的授权凭据授权到哪个终端设备中，本申请中为银行电子U盾的应用标识。该用户的个人信息可以为用户的身份证号码、银行账户等信息，该个人信息可以用户输入的，也可是第一终端设备通过其它可信应用获知的。上述可信应用的授权凭据迁入请求可以设置在一定时期内有效，比如，可以设置30分钟内有效，超过30分钟授权迁移过程没有完成，则业务服务器判定本次授权迁移失败，用户只能重新发起请求。

步骤402，第二终端设备将可信应用的第一数据进行签名，通过安全通道向业务服务器发送可信应用的授权凭据解除请求。

用户在需要将旧的终端设备中银行电子U盾的授权凭据解除时，在第二终端设备上发起授权凭据解除申请，此时第二终端设备的处理器1023控制SE1028中的银行电子U盾对银行电子U盾的第一数据进行签名。该第一数据可以包括第二终端设备的设备标识、第二终端设备的SE标识、银行电子U盾的应用标识和用户的个人信息。第二终端设备与业务服务器之间也建立有安全通道，处理器1023可以控制RF电路1021或WiFi模块1022通过该安全通道向业务服务器发送银行电子U盾的授权凭据解除请求，以请求业务服务器吊销第二终端设备中银行电子U盾的授权凭据，换而言之，业务服务器不再授权第二终端设备的银行电子U盾使用该授权凭据。通过安全通道可以避免第二终端设备发送授权凭据解除请求的过程中被恶意攻击。

可选地，第二终端设备在发送授权凭据解除请求时，还需要对用户进行身份验证，比如，通过TUI界面提示用户进行指纹验证或者输入PIN码验证，还可以是提示用户进行声纹验证等，从而确认用户身份的合法性。本申请对身份验证的技术方案不做限定，仅是示例作用。

步骤403，业务服务器接收第二终端设备发送的可信应用的授权凭据解除请求，确认身份验证通过，生成第一授权凭证码，并通过安全通道向第二终端设备发送第一授权凭证码。

在业务服务器的处理器1011可以控制通信模块1012接收第二终端设备发送的银行电子U盾的授权凭据解除请求之前，业务服务器的处理器1011还需控制通信模块1012接收第一终端设备发送的银行电子U盾的授权凭据迁入请求，并控制存储器1013将该第一终端设备发送的银行电子U盾的授权凭据迁入请求进行存储。

业务服务器的处理器1011需要对第二终端设备进行身份验证，具体为确定银行电子U盾的授权凭据解除请求中的第一数据的签名以及该第一数据中的第二终端设备的设备标 识和第二终端设备的SE标识是否与已存储的一致，若一致，确认身份验证通过。表明该第二终端设备为业务服务器信任的设备，而不是攻击者恶意攻击产生的授权凭据解除请求，提高了应用授权凭据迁移的安全性。

在身份验证通过之后，处理器1011根据第二终端设备发送的授权凭据解除请求中的用户的个人信息确定该用户的个人信息所对应的第一终端设备的授权凭据解迁入请求，也就是说，处理器1011查询存储器1013中存储的用户的个人信息所对应的第一终端设备发送的授权凭据迁入请求。若没有匹配的授权凭据迁入请求，则业务服务器拒绝此授权凭据迁出请求。处理器1011根据所查询到的第一终端设备发送的授权凭据迁入请求中的该第一终端设备的设备标识和自身生成的随机数，生成第一授权凭证码。该第一授权凭证码可以为一组数字，由第一终端设备的设备标识和随机数通过一定的算法计算后生成的。比如使用哈希运算消息认证码(Hash-based Message Authentication Code，HMAC)对这两个数进行计算，生成一组数字，以供第二终端设备显示。本申请对生成第一授权凭证码的算法不做限定，仅是示例作用。

在得到第一授权凭证码之后，处理器1011控制通信模块1012向第二终端设备发送该第一授权凭证码，以使第二终端设备在可信用户界面显示该第一授权凭证码，从而使得用户可以查看到该用户的第一授权凭证码。

步骤404，第二终端设备接收业务服务器发送的第一授权凭证码并在可信用户界面中进行显示。

第二终端设备的处理器1023在控制RF电路1021或WiFi模块1022接收业务服务器发送的第一授权凭证码之后，启动TEE的TUI，控制显示面板10271显示该第一授权凭证码，比如图5所示的第二终端设备的显示面板10271，TUI界面上显示了授权凭证码12345678，用户通过第二终端设备的显示面板10271可以获知该第一授权凭证码，该第二终端设备显示该第一授权凭证码，用于提示用户在第一终端设备上输入该第一授权凭证码，以使业务服务器进行第一授权验证，提高应用授权凭据迁移的安全性。

步骤405，第一终端设备接收用户在可信用户界面中输入的可信应用的第二授权凭证码，通过安全通道向业务服务器发送用户输入的第二授权凭证码。

用户在第二终端设备的显示面板10271上查看到的第一授权凭证码之后，需要在第一终端设备上进行输入，此时，第一终端设备启动TEE的TUI，如图6所示的显示界面。用户在图6所示的显示界面中输入查看到的第一授权凭证码。第一终端设备的处理器1023可以控制触摸面板10261接收在TUI中输入的第二授权凭证码，该第二授权凭证码可能与业务服务器向第二终端设备发送的第一授权凭证码一致，表明进行迁入授权凭据和解除授权凭据的用户为同一用户。该第二授权凭证码也可能与业务服务器向第二终端设备发送的第一授权凭证码不一致，此时有可能是用户输入错误，也有可能是攻击者伪造第一终端设备后产生的恶意授权凭证码。因此，第一终端设备的处理器1023控制RF电路1021或WiFi模块1022向业务服务器发送该第二授权凭证码，以使业务服务器进行第一授权验证。

步骤406，业务服务器接收第一终端设备发送的第二授权凭证码，并在确认第一授权验证通过后删除第二终端设备的设备标识与可信应用的授权凭据的映射关系，向第二终端设备发送可信应用的删除请求。

业务服务器的处理器1011控制通信模块1012接收第一终端设备发送的第二授权凭证码，然后处理器1011确定第二授权凭证码与之前发送给第二终端设备的第一授权凭证码是 否一致，若一致，则确认第一授权验证通过，表明请求迁入授权凭据和解除授权凭据的用户为同一用户，进一步的提高了应用授权凭据迁移过程中的安全性。

处理器1011在确认第一验证通过之后，控制存储器1013删除已存储的第二终端设备的设备标识与银行电子U盾的授权凭据的映射关系，并控制通信模块1012向第二终端设备发送银行电子U盾的删除请求，用于请求第二终端设备在该第二终端设备的SE中删除该银行电子U盾以及该银行电子U盾的授权凭据。该授权凭据是用户在进行银行电子U盾开户时生成的存储在业务服务器的存储器1013中，银行电子U盾在使用该授权凭据时，需要业务服务器对该银行电子U盾进行授权，并下发该授权凭据。处理器1011在删除第二终端设备的设备标识与银行电子U盾的授权凭据的映射关系，表明在解除第二终端设备中银行电子U盾使用该授权凭据的权利，并通知第二终端设备删除该银行电子U盾，防止被攻击者获取。

步骤407，第二终端设备接收业务服务器发送的可信应用的删除请求，并将可信应用删除。

第二终端设备的处理器1023控制RF电路1021或WiFi模块1022接收业务服务器发送的银行电子U盾的删除请求，并确认该银行电子U盾以及授权凭据可以被删除，换言之，第二终端设备同意业务服务器解除该银行电子U盾的授权凭据。只有解除了对第二终端设备的银行电子U盾的授权凭据，才能使得业务服务器可以建立第一终端设备的设备标识与银行电子U盾的授权凭据的映射关系，完成用户自助的应用授权凭据的迁移，而不必到银行的柜台进行应用授权凭据的迁移，节省了用户的时间。

步骤408，第二终端设备向业务服务器发送可信应用的删除响应消息。

第二终端设备处理器1023控制RF电路1021或WiFi模块1022向业务服务器发送银行电子U盾的删除响应消息，表明第二终端设备已经将其SE中安装的银行电子U盾以及授权凭据删除，以使得的业务服务器可以建立第一终端设备的设备标识与银行电子U盾的授权凭据的映射关系。

步骤409，业务服务器接收第二终端设备发送的可信应用的删除响应消息，并建立第一终端设备的设备标识与可信应用的授权凭据的映射关系，并向第一终端设备发送可信应用授权凭据。

业务服务器的处理器1011在接收到第二终端设备发送的银行电子U盾的删除响应消息之后，该处理器1011建立第一终端设备的设备标识与银行电子U盾的授权凭据的映射关系，并将授权凭据授权该第一终端设备的银行电子U盾使用，该处理器1011向第一终端设备下发该银行电子U盾的授权凭据，该向第一终端设备下发的授权凭据为业务服务器的处理器1011根据存储器1013中存储给该银行电子U盾对应的授权凭据，生成的新的授权凭据，而不是第二终端设备中的授权凭据。

步骤410，第一终端设备接收业务服务器发送的可信应用的授权凭据。

第一终端设备的处理器1023控制RF电路1021或WiFi模块1022接收业务服务器下发的银行电子U盾的授权凭据，完成业务服务器对第一终端设备的可信应用的授权，从而使得用户自助完成了应用授权凭据的迁移。

为了进一步的加强应用授权凭据迁移过程中的安全性，在业务服务器的处理器1011向删除第二终端设备的设备标识与可信应用的授权凭据的映射关系之前，处理器1011控制通信模块1012向第一终端设备发送第一验证码，该第一验证码可以为第二渠道验证码， 比如短信验证码。该第一验证码在设定时期内有效。用于验证迁入授权凭据和解除授权凭据的用户是否一致。

在第一终端设备接收到业务服务器对可信应用的授权之前，该第一终端设备的处理器1023还可以控制RF电路1021接收业务服务器发送第一验证码，用于提示用户在TEE的TUI中输入其看到的第一验证码，并启动TEE的TUI，使得用户可以输入验证码。处理器1023控制触摸面板10261获取用户输入的第二验证码，并控制RF电路1021将该第二验证码发送给业务服务器，以使业务服务器进行第二授权验证。

业务服务器的处理器1011控制通信模块1012接收上述第二验证码，然后确认该第一二验证码与之前发送的第一验证码是否一致，若一致，则处理器1011确认第二授权验证通过。

可选地，上述第二终端设备为连接有U盾的设备时，需要用户在第二终端设备上登录该U盾所对应的银行的网上银行与该U盾建立连接之后，再进行上述步骤，具体的应用授权凭据迁移的流程已在上述实施例中具体描述，不再赘述。

可选地，上述实施例中的可信应用在迁移授权凭据的过程中，还可能会迁移一些其它非授权数据，此时，第一终端设备的授权凭据迁入请求中还包括该可信应用的数据迁移列表，用来表示需要迁移的数据。业务服务器在收到该迁移列表后，可以按照预设的规则，决定哪些迁移数据需要从第二终端设备中迁移到第一终端设备中，在授权凭据的迁移过程中，一起下发到第一终端设备中。在授权凭据迁移的过程中，其它步骤可见上述实施例，不再赘述。

上述实施例表明，第一终端设备向业务服务器发送可信应用的授权凭据迁入请求，接收用户在可信用户界面中输入的可信应用的第二授权凭证码，第一终端设备向所述业务服务器发送用户输入的第二授权凭证码，用于指示业务服务器进行第一授权验证，第一终端设备接收业务服务器对可信应用的授权，可信应用的授权凭据为业务服务器建立第一终端设备的设备标识与可信应用的授权凭据的映射关系之后授权的。第一终端设备通过在TEE中向业务服务器发送可信应用的授权凭据迁入请求，并进行发送用户输入的第二授权凭证码，使得业务服务器在通过对第一终端设备验证之后建立该第一终端设备的设备标识与可信应用的授权凭据的映射关系，完成可信应用的授权，从而为用户提供自助的应用授权凭据迁移，并提高了应用授权凭据过程中的安全性。

以上是结合图1至图6详细描述了本申请提供的授权凭据迁移的方法的流程，下面结合图7至图9描述本发明实施例提供的终端和管理服务器，上述方法实施例所描述的技术同样适用于以下装置实施例。

图7示出了本申请提供的一种终端设备700，该终端设备700可以执行上述方法实施例中第一终端设备所执行的步骤。

如图7所示，包括：RF单元702、处理单元701和触摸单元703；所述处理单元701，用于控制所述RF单元702向业务服务器发送可信应用的授权凭据迁入请求，所述授权凭据迁入请求是所述终端设备在可信执行环境中使用安全通道发送的；所述授权凭据迁入请求包括所述终端设备的设备标识、所述终端设备的安全元件标识、所述可信应用的应用标识和用户的个人信息；所述终端设备为待迁入授权凭据的设备；所述处理单元701，还用于控制所述触摸单元703接收所述用户在可信用户界面中输入的所述可信应用的第二授权凭证码，所述第二授权凭证码为所述用户在查看第二终端设备显示的第一授权凭证码后输 入的；所述处理单元701，还用于控制所述RF单元702向所述业务服务器发送所述用户输入的第二授权凭证码，用于指示所述业务服务器进行第一授权验证；以及控制所述RF单元702接收所述业务服务器发送的所述可信应用的授权凭据，所述可信应用的授权凭据为所述业务服务器建立所述终端设备的设备标识与所述可信应用的授权凭据的映射关系之后发送的。

可选地，所述终端单元700还包括显示单元704；所述处理单元701还用于：在控制所述RF单元702接收所述业务服务器发送的所述可信应用的授权凭据之前，控制所述RF单元702接收所述业务服务器发送的第一验证码并控制所述显示面板在可信用户界面中进行显示；控制所述触摸单元703接收所述用户在可信用户界面中输入的第二验证码，控制所述RF单元702向所述业务服务器发送所述用户输入的第二验证码，用于指示所述业务服务器进行第二授权验证。

图8示出了本申请提供的一种终端设备800，该终端设备800可以执行上述方法实施例中第二终端设备所执行的步骤。

如图8所示，包括：RF单元802、处理单元801和显示单元803；所述处理单元801，用于将可信应用的第一数据进行签名；所述可信应用的第一数据包括终端设备的设备标识、终端设备的安全元件标识、可信应用的应用标识和用户的个人信息；所述终端设备为待解除授权凭据的设备；所述处理单元801，还用于控制所述RF单元802向业务服务器发送可信应用的授权凭据解除请求，所述授权凭据解除请求是所述终端设备在可信执行环境中使用安全通道发送的；所述授权凭据解除中包括所述签名后的可信应用的第一数据；控制所述RF单元802接收所述业务服务器发送的所述可信应用的第一授权凭证码并控制所述显示单元803在可信用户界面中进行显示；控制所述RF单元802接收所述业务服务器发送的所述可信应用的删除请求，并将所述可信应用删除；控制所述RF单元802向所述业务服务器发送所述可信应用的删除响应消息。

图9示出了本申请提供的一种业务服务器900，该业务服务器900可以执行上述方法实施例中的业务服务器所执行的步骤。

如图9所示，该业务服务器包括：处理单元901和通信单元902；所述处理单元901，用于控制所述通信单元902接收第二终端设备发送的可信应用的授权凭据解除请求；所述授权凭据解除请求包括第二终端设备的设备标识、第二终端设备的安全元件标识、可信应用的应用标识和用户的个人信息；所述处理单元901，还用于确认身份验证通过，生成第一授权凭证码，并控制所述通信单元902向所述第二终端设备发送所述第一授权凭证码；控制所述通信单元902接收第一终端设备发送的第二授权凭证码，并在确认第一授权验证通过后删除所述第二终端设备的设备标识与所述可信应用的授权凭据的映射关系，控制所述通信单元902向第二终端设备发送所述可信应用的删除请求；控制所述通信单元902接收所述第二终端设备发送的所述可信应用的删除响应消息，并建立所述第一终端设备的设备标识与所述可信应用的授权凭据的映射关系，并控制所述通信单元902向所述第一终端设备发送所述可信应用的授权凭据。

可选地，所述处理单元901具体用于：确定所述第二终端设备发送的可信应用的第一数据的签名以及所述可信应用的第一数据中的第二终端设备的设备标识和第二终端设备的安全元件标识是否与已存储的一致，若是，则确认所述身份验证通过。

可选地，所述处理单元901具体用于：根据所述授权凭据解除请求中的所述用户的个 人信息确定所述用户的个人信息所对应的第一终端设备的授权凭据迁入请求；根据所述授权凭据迁入请求中的所述第一终端设备的设备标识和随机数，生成所述第一授权凭证码。

可选地，所述处理单元901具体用于：确认所述第二授权凭证码和所述第一授权凭证码是否一致，若是，则确认所述第一授权验证通过。

可选地，所述处理单元901还用于：在删除所述第二终端设备的设备标识与所述可信应用的授权凭据的映射关系之前，控制所述通信单元902向所述第一终端设备发送第一验证码；控制所述通信单元902接收所述第一终端设备发送的第二验证码；根据所述第一验证码和所述第二验证码，确认第二授权验证通过。

可选地，所述处理单元901具体用于：确认所述第一验证码和所述第二验证码是否一致，若是，则确认所述第二授权验证通过。

本领域内的技术人员应明白，本申请可提供为方法、系统、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本申请是参照根据本申请的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

显然，本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样，倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内，则本申请也意图包含这些改动和变型在内。

Claims (45)

1. 一种授权凭据迁移的方法，其特征在于，包括：

   第一终端设备向业务服务器发送可信应用的授权凭据迁入请求，所述授权凭据迁入请求是所述第一终端设备在可信执行环境中使用安全通道发送的；所述授权凭据迁入请求包括所述第一终端设备的设备标识、所述第一终端设备的安全元件标识、所述可信应用的应用标识和用户的个人信息；所述第一终端设备为待迁入授权凭据的设备；

   所述第一终端设备接收所述用户在可信用户界面中输入的所述可信应用的第二授权凭证码，所述第二授权凭证码为所述用户在查看第二终端设备显示的第一授权凭证码后输入的；

   所述第一终端设备向所述业务服务器发送所述用户输入的第二授权凭证码，用于指示所述业务服务器进行第一授权验证；

   所述第一终端设备接收所述业务服务器发送的所述可信应用的授权凭据，所述可信应用的授权凭据为所述业务服务器建立所述第一终端设备的设备标识与所述可信应用的授权凭据的映射关系之后发送的。
2. 如权利要求1所述的方法，其特征在于，在所述第一终端设备接收所述业务服务器发送的所述可信应用的授权凭据之前，还包括：

   所述第一终端设备接收所述业务服务器发送的第一验证码并在可信用户界面中进行显示；

   所述第一终端设备接收所述用户在可信用户界面中输入的第二验证码；

   所述第一终端设备向所述业务服务器发送所述用户输入的第二验证码，用于指示所述业务服务器进行第二授权验证。
3. 一种授权凭据迁移的方法，其特征在于，包括：

   第二终端设备将可信应用的第一数据进行签名；所述可信应用的第一数据包括第二终端设备的设备标识、第二终端设备的安全元件标识、可信应用的应用标识和用户的个人信息；所述第二终端设备为待解除授权凭据的设备；

   所述第二终端设备向业务服务器发送可信应用的授权凭据解除请求，所述授权凭据解除请求是所述第二终端设备在可信执行环境中使用安全通道发送的；所述授权凭据解除中包括所述签名后的可信应用的第一数据；

   所述第二终端设备接收所述业务服务器发送的所述可信应用的第一授权凭证码并在可信用户界面中进行显示；

   所述第二终端设备接收所述业务服务器发送的所述可信应用的删除请求，并将所述可信应用删除；

   所述第二终端设备向所述业务服务器发送所述可信应用的删除响应消息。
4. 一种授权凭据迁移的方法，其特征在于，包括：

   业务服务器接收第二终端设备发送的可信应用的授权凭据解除请求；所述授权凭据解除请求包括第二终端设备的设备标识、第二终端设备的安全元件标识、可信应用的应用标识和用户的个人信息；

   所述业务服务器确认身份验证通过，生成第一授权凭证码，并向所述第二终端设备发送所述第一授权凭证码；

   所述业务服务器接收第一终端设备发送的第二授权凭证码，并在确认第一授权验证通过后删除所述第二终端设备的设备标识与所述可信应用的授权凭据的映射关系，向第二终端设备发送所述可信应用的删除请求；

   所述业务服务器接收所述第二终端设备发送的所述可信应用的删除响应消息，并建立所述第一终端设备的设备标识与所述可信应用的授权凭据的映射关系，并向所述第一终端设备发送所述可信应用的授权凭据。
5. 如权利要求4所述的方法，其特征在于，所述业务服务器确认身份验证通过，包括：

   所述业务服务器确定所述第二终端设备发送的可信应用的第一数据的签名以及所述可信应用的第一数据中的第二终端设备的设备标识和第二终端设备的安全元件标识是否与已存储的一致，若是，则所述业务服务器确认所述身份验证通过。
6. 如权利要求4所述的方法，其特征在于，所述业务服务器生成第一授权凭证码，包括：

   所述业务服务器根据所述授权凭据解除请求中的所述用户的个人信息确定所述用户的个人信息所对应的第一终端设备的授权凭据迁入请求；

   所述业务服务器根据所述授权凭据迁入请求中的所述第一终端设备的设备标识和随机数，生成所述第一授权凭证码。
7. 如权利要求4所述的方法，其特征在于，所述业务服务器确认第一授权验证通过，包括：

   所述业务服务器确认所述第二授权凭证码和所述第一授权凭证码是否一致，若是，则所述业务服务器确认所述第一授权验证通过。
8. 如权利要求4所述的方法，其特征在于，在所述业务服务器删除所述第二终端设备的设备标识与所述可信应用的授权凭据的映射关系之前，还包括：

   所述业务服务器向所述第一终端设备发送第一验证码；

   所述业务服务器接收所述第一终端设备发送的第二验证码；

   所述业务服务器根据所述第一验证码和所述第二验证码，确认第二授权验证通过。
9. 如权利要求8所述的方法，其特征在于，所述业务服务器确认所述第二授权验证通过，包括：

   所述业务服务器确认所述第一验证码和所述第二验证码是否一致，若是，则所述业务服务器确认所述第二授权验证通过。
10. 一种终端设备，其特征在于，包括：射频RF电路、处理器和触摸面板；

    所述处理器，用于控制所述RF电路向业务服务器发送可信应用的授权凭据迁入请求，所述授权凭据迁入请求是所述终端设备在可信执行环境中使用安全通道发送的；所述授权凭据迁入请求包括所述终端设备的设备标识、所述终端设备的安全元件标识、所述可信应用的应用标识和用户的个人信息；所述终端设备为待迁入授权凭据的设备；

    所述处理器，还用于控制所述触摸面板接收所述用户在可信用户界面中输入的所述可信应用的第二授权凭证码，所述第二授权凭证码为所述用户在查看第二终端设备显示的第一授权凭证码后输入的；

    所述处理器，还用于控制所述RF电路向所述业务服务器发送所述用户输入的第二授权凭证码，用于指示所述业务服务器进行第一授权验证；以及控制所述RF电路接收所述 业务服务器发送的所述可信应用的授权凭据，所述可信应用的授权凭据为所述业务服务器建立所述终端设备的设备标识与所述可信应用的授权凭据的映射关系之后发送的。
11. 如权利要求10所述的终端设备，其特征在于，所述终端设备还包括显示面板；

    所述处理器还用于：

    在控制所述RF电路接收所述业务服务器发送的所述可信应用的授权凭据之前，控制所述RF电路接收所述业务服务器发送的第一验证码并控制所述显示面板在可信用户界面中进行显示；

    控制所述触摸面板接收所述用户在可信用户界面中输入的第二验证码；

    控制所述RF电路向所述业务服务器发送所述用户输入的第二验证码，用于指示所述业务服务器进行第二授权验证。
12. 一种终端设备，其特征在于，包括：射频RF电路、处理器和显示面板；

    所述处理器，用于将可信应用的第一数据进行签名；所述可信应用的第一数据包括终端设备的设备标识、终端设备的安全元件标识、可信应用的应用标识和用户的个人信息；所述终端设备为待解除授权凭据的设备；

    所述处理器，还用于控制所述RF电路向业务服务器发送可信应用的授权凭据解除请求，所述授权凭据解除请求是所述终端设备在可信执行环境中使用安全通道发送的；所述授权凭据解除中包括所述签名后的可信应用的第一数据；控制所述RF电路接收所述业务服务器发送的所述可信应用的第一授权凭证码并控制所述显示面板在可信用户界面中进行显示；控制所述RF电路接收所述业务服务器发送的所述可信应用的删除请求，并将所述可信应用删除；控制所述RF电路向所述业务服务器发送所述可信应用的删除响应消息。
13. 一种业务服务器，其特征在于，包括：处理器和通信模块；

    所述处理器，用于控制所述通信模块接收第二终端设备发送的可信应用的授权凭据解除请求；所述授权凭据解除请求包括第二终端设备的设备标识、第二终端设备的安全元件标识、可信应用的应用标识和用户的个人信息；

    所述处理器，还用于确认身份验证通过，生成第一授权凭证码，并控制所述通信模块向所述第二终端设备发送所述第一授权凭证码；控制所述通信模块接收第一终端设备发送的第二授权凭证码，并在确认第一授权验证通过后删除所述第二终端设备的设备标识与所述可信应用的授权凭据的映射关系，控制所述通信模块向第二终端设备发送所述可信应用的删除请求；控制所述通信模块接收所述第二终端设备发送的所述可信应用的删除响应消息，并建立所述第一终端设备的设备标识与所述可信应用的授权凭据的映射关系，并控制所述通信模块向所述第一终端设备发送所述可信应用的授权凭据。
14. 如权利要求13所述的业务服务器，其特征在于，所述处理器具体用于：

    确定所述第二终端设备发送的可信应用的第一数据的签名以及所述可信应用的第一数据中的第二终端设备的设备标识和第二终端设备的安全元件标识是否与已存储的一致，若是，则确认所述身份验证通过。
15. 如权利要求13所述的业务服务器，其特征在于，所述处理器具体用于：

    根据所述授权凭据解除请求中的所述用户的个人信息确定所述用户的个人信息所对应的第一终端设备的授权凭据迁入请求；

    根据所述授权凭据迁入请求中的所述第一终端设备的设备标识和随机数，生成所述第一授权凭证码。
16. 如权利要求13所述的业务服务器，其特征在于，所述处理器具体用于：

    确认所述第二授权凭证码和所述第一授权凭证码是否一致，若是，则确认所述第一授权验证通过。
17. 如权利要求13所述的业务服务器，其特征在于，所述处理器还用于：

    在删除所述第二终端设备的设备标识与所述可信应用的授权凭据的映射关系之前，控制所述通信模块向所述第一终端设备发送第一验证码；

    控制所述通信模块接收所述第一终端设备发送的第二验证码；

    根据所述第一验证码和所述第二验证码，确认第二授权验证通过。
18. 如权利要求17所述的方法，其特征在于，所述处理器具体用于：

    确认所述第一验证码和所述第二验证码是否一致，若是，则确认所述第二授权验证通过。
19. 一种终端设备，其特征在于，包括：射频RF单元、处理单元和触摸单元；

    所述处理单元，用于控制所述RF单元向业务服务器发送可信应用的授权凭据迁入请求，所述授权凭据迁入请求是所述终端设备在可信执行环境中使用安全通道发送的；所述授权凭据迁入请求包括所述终端设备的设备标识、所述终端设备的安全元件标识、所述可信应用的应用标识和用户的个人信息；所述终端设备为待迁入授权凭据的设备；

    所述处理单元，还用于控制所述触摸单元接收所述用户在可信用户界面中输入的所述可信应用的第二授权凭证码，所述第二授权凭证码为所述用户在查看第二终端设备显示的第一授权凭证码后输入的；

    所述处理单元，还用于控制所述RF单元向所述业务服务器发送所述用户输入的第二授权凭证码，用于指示所述业务服务器进行第一授权验证；以及控制所述RF电路接收所述业务服务器发送的所述可信应用的授权凭据，所述可信应用的授权凭据为所述业务服务器建立所述终端设备的设备标识与所述可信应用的授权凭据的映射关系之后发送的。
20. 如权利要求19所述的终端设备，其特征在于，所述终端设备还包括显示单元；

    所述处理单元还用于：

    在控制所述RF单元接收所述业务服务器发送的所述可信应用的授权凭据之前，控制所述RF单元接收所述业务服务器发送的第一验证码并控制所述显示面板在可信用户界面中进行显示；

    控制所述触摸单元接收所述用户在可信用户界面中输入的第二验证码；

    控制所述RF单元向所述业务服务器发送所述用户输入的第二验证码，用于指示所述业务服务器进行第二授权验证。
21. 一种终端设备，其特征在于，包括：射频RF单元、处理单元和显示单元；

    所述处理单元，用于将可信应用的第一数据进行签名；所述可信应用的第一数据包括终端设备的设备标识、终端设备的安全元件标识、可信应用的应用标识和用户的个人信息；所述终端设备为待解除授权凭据的设备；

    所述处理单元，还用于控制所述RF单元向业务服务器发送可信应用的授权凭据解除请求，所述授权凭据解除请求是所述终端设备在可信执行环境中使用安全通道发送的；所述授权凭据解除中包括所述签名后的可信应用的第一数据；控制所述RF单元接收所述业务服务器发送的所述可信应用的第一授权凭证码并控制所述显示面板在可信用户界面中进行显示；控制所述RF单元接收所述业务服务器发送的所述可信应用的删除请求，并将 所述可信应用删除；控制所述RF单元向所述业务服务器发送所述可信应用的删除响应消息。
22. 一种业务服务器，其特征在于，包括：处理单元和通信单元；

    所述处理单元，用于控制所述通信单元接收第二终端设备发送的可信应用的授权凭据解除请求；所述授权凭据解除请求包括第二终端设备的设备标识、第二终端设备的安全元件标识、可信应用的应用标识和用户的个人信息；

    所述处理单元，还用于确认身份验证通过，生成第一授权凭证码，并控制所述通信单元向所述第二终端设备发送所述第一授权凭证码；控制所述通信单元接收第一终端设备发送的第二授权凭证码，并在确认第一授权验证通过后删除所述第二终端设备的设备标识与所述可信应用的授权凭据的映射关系，控制所述通信单元向第二终端设备发送所述可信应用的删除请求；控制所述通信单元接收所述第二终端设备发送的所述可信应用的删除响应消息，并建立所述第一终端设备的设备标识与所述可信应用的授权凭据的映射关系，并控制所述通信单元向所述第一终端设备发送所述可信应用的授权凭据。
23. 如权利要求22所述的业务服务器，其特征在于，所述处理单元具体用于：

    确定所述第二终端设备发送的可信应用的第一数据的签名以及所述可信应用的第一数据中的第二终端设备的设备标识和第二终端设备的安全元件标识是否与已存储的一致，若是，则确认所述身份验证通过。
24. 如权利要求22所述的业务服务器，其特征在于，所述处理单元具体用于：

    根据所述授权凭据解除请求中的所述用户的个人信息确定所述用户的个人信息所对应的第一终端设备的授权凭据迁入请求；

    根据所述授权凭据迁入请求中的所述第一终端设备的设备标识和随机数，生成所述第一授权凭证码。
25. 如权利要求22所述的业务服务器，其特征在于，所述处理单元具体用于：

    确认所述第二授权凭证码和所述第一授权凭证码是否一致，若是，则确认所述第一授权验证通过。
26. 如权利要求22所述的业务服务器，其特征在于，所述处理单元还用于：

    在删除所述第二终端设备的设备标识与所述可信应用的授权凭据的映射关系之前，控制所述通信模块向所述第一终端设备发送第一验证码；

    控制所述通信单元接收所述第一终端设备发送的第二验证码；

    根据所述第一验证码和所述第二验证码，确认第二授权验证通过。
27. 如权利要求26所述的业务服务器，其特征在于，所述处理单元具体用于：

    确认所述第一验证码和所述第二验证码是否一致，若是，则确认所述第二授权验证通过。
28. 一种授权凭据迁移的方法，其特征在于，包括：

    第一终端设备向业务服务器发送可信应用的授权凭据迁入请求；

    所述第一终端设备接收输入的所述可信应用的第二授权凭证码，所述第二授权凭证码与第二终端设备显示的第一授权凭证码一致；

    所述第一终端设备向所述业务服务器发送所述第二授权凭证码，用于指示所述业务服务器进行授权验证；

    所述第一终端设备接收所述业务服务器发送的所述可信应用的授权凭据。
29. 如权利要求28所述的方法，其特征在于，在所述第一终端设备接收所述业务服务器发送的所述可信应用的授权凭据之前，还包括：

    所述第一终端设备接收所述业务服务器发送的第一验证码并在可信用户界面中进行显示；

    所述第一终端设备接收所述用户在可信用户界面中输入的第二验证码；

    所述第一终端设备向所述业务服务器发送所述用户输入的第二验证码，用于指示所述业务服务器进行第二授权验证。
30. 一种授权凭据迁移的方法，其特征在于，包括：

    第二终端设备将可信应用的第一数据进行签名；所述第二终端设备为待解除授权凭据的设备；

    所述第二终端设备向业务服务器发送可信应用的授权凭据解除请求，所述授权凭据解除中包括所述签名后的可信应用的第一数据；

    所述第二终端设备接收所述业务服务器发送的所述可信应用的第一授权凭证码并在可信用户界面中进行显示。
31. 一种授权凭据迁移的方法，其特征在于，包括：

    业务服务器接收第二终端设备发送的可信应用的授权凭据解除请求；

    所述业务服务器确认身份验证通过，生成第一授权凭证码，并向所述第二终端设备发送所述第一授权凭证码；

    所述业务服务器接收第一终端设备发送的第二授权凭证码，并在对所述第二授权凭证码验证通过后删除所述第二终端设备的设备标识与所述可信应用的授权凭据的映射关系；

    所述业务服务器建立所述第一终端设备的设备标识与所述可信应用的授权凭据的映射关系，并向所述第一终端设备发送所述可信应用的授权凭据。
32. 如权利要求31所述的方法，其特征在于，所述授权凭据解除请求包括所述第二终端的设备标识、第二终端设备的安全元件标识；

    所述业务服务器确认身份验证通过，包括：

    所述业务服务器确定所述第二终端设备发送的可信应用的第一数据的签名以及所述可信应用的第一数据中的第二终端设备的设备标识和第二终端设备的安全元件标识是否与已存储的一致，若是，则所述业务服务器确认所述身份验证通过。
33. 如权利要求31所述的方法，其特征在于，所述授权凭据解除请求包括用户的个人信息；

    所述业务服务器生成第一授权凭证码，包括：

    所述业务服务器根据所述用户的个人信息确定所述用户的个人信息所对应的第一终端设备的授权凭据迁入请求；

    所述业务服务器根据所述授权凭据迁入请求中的所述第一终端设备的设备标识和随机数，生成所述第一授权凭证码。
34. 如权利要求31所述的方法，其特征在于，所述业务服务器对所述第二授权凭证码验证通过，包括：

    所述业务服务器确认所述第二授权凭证码和所述第一授权凭证码是否一致，若是，则所述业务服务器对所述第二授权凭证码验证通过。
35. 如权利要求31所述的方法，其特征在于，在所述业务服务器删除所述第二终端 设备的设备标识与所述可信应用的授权凭据的映射关系之前，还包括：

    所述业务服务器向所述第一终端设备发送第一验证码；

    所述业务服务器接收所述第一终端设备发送的第二验证码；

    所述业务服务器对所述第二验证码验证通过。
36. 如权利要求35所述的方法，其特征在于，所述业务服务器对所述第二验证码验证通过，包括：

    所述业务服务器确认所述第一验证码和所述第二验证码是否一致，若是，则所述业务服务器对所述第二验证码验证通过。
37. 一种终端设备，其特征在于，包括：射频RF单元、处理单元和触摸单元；

    所述处理单元，用于控制所述RF单元向业务服务器发送可信应用的授权凭据迁入请求；

    所述处理单元，还用于控制所述触摸单元接收输入的所述可信应用的第二授权凭证码，所述第二授权凭证码与第二终端设备显示的第一授权凭证码一致；

    所述处理单元，还用于控制所述RF单元向所述业务服务器发送所述第二授权凭证码，用于指示所述业务服务器进行授权验证；以及控制所述RF电路接收所述业务服务器发送的所述可信应用的授权凭据。
38. 如权利要求37所述的终端设备，其特征在于，所述终端设备还包括显示单元；

    所述处理单元还用于：

    在控制所述RF单元接收所述业务服务器发送的所述可信应用的授权凭据之前，控制所述RF单元接收所述业务服务器发送的第一验证码并控制所述显示面板在可信用户界面中进行显示；

    控制所述触摸单元接收所述用户在可信用户界面中输入的第二验证码；

    控制所述RF单元向所述业务服务器发送所述用户输入的第二验证码，用于指示所述业务服务器进行第二授权验证。
39. 一种终端设备，其特征在于，包括：射频RF单元、处理单元和显示单元；

    所述处理单元，用于将可信应用的第一数据进行签名；所述终端设备为待解除授权凭据的设备；

    所述处理单元，还用于控制所述RF单元向业务服务器发送可信应用的授权凭据解除请求，所述授权凭据解除中包括所述签名后的可信应用的第一数据；控制所述RF单元接收所述业务服务器发送的所述可信应用的第一授权凭证码并控制所述显示面板在可信用户界面中进行显示。
40. 一种业务服务器，其特征在于，包括：处理单元和通信单元；

    所述处理单元，用于控制所述通信单元接收第二终端设备发送的可信应用的授权凭据解除请求；

    所述处理单元，还用于确认身份验证通过，生成第一授权凭证码，并控制所述通信单元向所述第二终端设备发送所述第一授权凭证码；控制所述通信单元接收第一终端设备发送的第二授权凭证码，并在对所述第二授权凭证码验证通过后删除所述第二终端设备的设备标识与所述可信应用的授权凭据的映射关系；建立所述第一终端设备的设备标识与所述可信应用的授权凭据的映射关系，并控制所述通信单元向所述第一终端设备发送所述可信应用的授权凭据。
41. 如权利要求40所述的业务服务器，其特征在于，所述授权凭据解除请求包括所述第二终端的设备标识、第二终端设备的安全元件标识；

    所述处理单元具体用于：

    确定所述第二终端设备发送的可信应用的第一数据的签名以及所述可信应用的第一数据中的第二终端设备的设备标识和第二终端设备的安全元件标识是否与已存储的一致，若是，则确认所述身份验证通过。
42. 如权利要求40所述的业务服务器，其特征在于，所述授权凭据解除请求包括用户的个人信息；

    所述处理单元具体用于：

    根据所述用户的个人信息确定所述用户的个人信息所对应的第一终端设备的授权凭据迁入请求；

    根据所述授权凭据迁入请求中的所述第一终端设备的设备标识和随机数，生成所述第一授权凭证码。
43. 如权利要求40所述的业务服务器，其特征在于，所述处理单元具体用于：

    确认所述第二授权凭证码和所述第一授权凭证码是否一致，若是，则对所述第二授权凭证码验证通过。
44. 如权利要求40所述的业务服务器，其特征在于，所述处理单元还用于：

    在删除所述第二终端设备的设备标识与所述可信应用的授权凭据的映射关系之前，控制所述通信模块向所述第一终端设备发送第一验证码；

    控制所述通信单元接收所述第一终端设备发送的第二验证码；

    对所述第二验证码验证通过。
45. 如权利要求41所述的业务服务器，其特征在于，所述处理单元具体用于：

    确认所述第一验证码和所述第二验证码是否一致，若是，则对所述第二验证码验证通过。

Images