在移動裝置中模擬多張卡的方法和裝置【
技術領域:
:】本發(fā)明通常涉及電子商務領域,特別地���,本發(fā)明涉及一種支持多張卡(比如非接觸性智能卡Mifare)或類似類型的應用的移動裝置�。
背景技術:
::非接觸性智能卡(contactlesssmartcard)是嵌入有集成電路的超小型卡�����,所述集成電路能夠處理和存儲數(shù)據(jù)����,并經(jīng)由無線電波與一端通訊。非接觸性智能卡不包含普通的只讀RFID(radiofrequencyidentification��,射頻識別)�����,但是其包含能夠通過無線電波改寫或記錄(transcribe)的可重寫智能卡微芯片���。非接觸性智能卡能夠用于身份認證�����、鑒定和數(shù)據(jù)存儲�。他們以靈活的����、安全的和標準的方式提供一種有效的商業(yè)交易,使人為干涉最小化���。MIFARE是一種最流行的非接觸式卡�����,其用于很多日常應用中����,比如建筑門禁�、停車場入口和交通電子錢包(transite-purse)。MIFARE或Mifare是恩智浦半導體(NXPSemiconductors)擁有的商標����,其是一種廣泛使用的非接觸式智能卡或感應卡�。Mifare典型卡基本上只是一個存儲裝置���,其存儲區(qū)被劃分為幾個片段和塊�����,并具有用于訪問控制的簡單的安全機制�。很多人可能在他們的皮夾中放有多個Mifare卡�����,比如一個交通卡(transitcard)�����、一個吃飯卡和一個會員卡���。具有近場通信(nearfieldcommunication,簡稱NFC)能力的移動裝置(簡稱為NFC裝置)正在逐步發(fā)展以替代所述皮夾�,對于這些NFC裝置來說能夠支持多個Mifare卡是非常重要的�。然而,只裝載有一個模擬器的NFC裝置一般只可以用作一種非接觸式卡����,比如交通Mifare卡��。有必要提出一種方案使得具有一個模擬器的NFC裝置能夠支持或用作多個Mifare卡�����。技術實現(xiàn)要素:本部分的目的在于概述本發(fā)明的實施例的一些方面以及簡要介紹一些較佳實施例。在本部分以及本申請的說明書摘要和發(fā)明名稱中可能會做些簡化或省略以避免使本部分���、說明書摘要和發(fā)明名稱的目的模糊�����,而這種簡化或省略不能用于限制本發(fā)明的范圍�����。本發(fā)明涉及與移動裝置相關的技術�����,所述移動裝置能夠支持或用作多個非接觸性卡��,比如常用的Mifare非接觸式卡�。根據(jù)本發(fā)明的另一個方面�����,一個移動裝置具有一個模擬器,并裝載有多個軟件模塊或應用����,每個應用可以模擬一個卡或一種類型的非接觸式卡。所述模擬器在安全元件中實現(xiàn)���,所述安全元件由所述移動裝置的用戶進行個人化���,所述應用分別通過所述個人化的安全元件由他們的提供者配置。當所述移動裝置被用作非接觸式卡以執(zhí)行一組金融功能時��,相應的應用被裝載入所述模擬器并執(zhí)行�。當所述移動裝置被用來執(zhí)行另一組金融功能時,一個相應的應用被裝載入所述模擬器中以部分或全部的替換先前在所述模擬器中的應用��。這樣�����,所述移動裝置可以用作一個金融裝置以替代多個非接觸式卡��。根據(jù)本發(fā)明的另一個方面,所述移動裝置是一個近場通信裝置��,其是移動支付生態(tài)系統(tǒng)中的一方�,在所述移動支付生態(tài)系統(tǒng)中有多方互相配合工作以成功完成移動支付。通過提供可信服務管理的服務器��,可以遠程的個人化所述移動裝置的安全元件����,可以下載�、更新、管理����、替換和配置所述應用。根據(jù)本發(fā)明的另一個方面����,為了支持所述Mifare非接觸式卡,提供可信Mifare服務管理的模塊用來管理在所述移動裝置中的已配置應用�,以使得移動裝置模擬多個非接觸式卡。在所述移動裝置中實現(xiàn)的卡管理代理可以幫助所述提供可信服務管理的服務器和提供可信Mifare服務管理的模塊之間的通信���。在所述移動裝置中還實現(xiàn)有其他應用以執(zhí)行從模擬一個非接觸式卡的一個應用中讀取指定數(shù)據(jù)的功能�����,或執(zhí)行將交易活動寫入所述應用的功能�����。根據(jù)本發(fā)明的一個實施例��,本發(fā)明實現(xiàn)為一種支持多個應用的移動裝置�����,所述移動裝置包括:一個模擬器���;一個近場通信接口�����,其幫助在所述模擬器中裝載和執(zhí)行的一個應用和閱讀器之間進行數(shù)據(jù)交換�,其中在所述模擬器中裝載和執(zhí)行的應用是所述多個應用中的一個���,在所述模擬器中裝載和執(zhí)行的應用能夠部分或全部的被所述多個應用中的另一個替換����;和,用來存儲所述多個應用的存儲裝置��,在被選擇性的激活后所述多個應用中的任何一個都能夠裝載入所述模擬器����,并隨后替換在所述模擬器中的應用,其中所述移動裝置將先前在所述模擬器中的應用所提供的功能更改為在所述模擬器中新裝載和執(zhí)行的應用所提供的功能�,其中一個提供可信服務管理的服務器已經(jīng)遠程的配置了每個應用。在一個實施例中��,所述模擬器在所述安全元件中實現(xiàn)��,所述安全元件封裝于所述移動裝置內(nèi)或與所述移動裝置分離的卡內(nèi)����。每個應用模擬一個非接觸式卡的功能�,每個非接觸式卡執(zhí)行與金融相關的一個功能,當在所述模擬器中裝 載和執(zhí)行一個應用時��,所述移動裝置能夠用作該應用模擬的非接觸式卡�。在一個優(yōu)選的實施例中,所述安全元件還包括一個模塊��,該模塊提供可信Mifare服務管理���,并存儲多個服務對象和多個密鑰索引�����,每個服務對象對應所述多個應用中的一個�����。所述移動裝置進一步包括卡管理代理�、只讀用戶界面應用和交易用戶界面應用,所述卡管理代理幫助在所述安全元件中的提供可信Mifare服務管理的模塊與所述提供可信服務管理的服務器之間的通訊�����,所述只讀用戶界面應用用來向一個或多個應用查詢其內(nèi)存儲的信息但不能修改這些信息����,所述交易用戶界面應用執(zhí)行將會修改一個或多個應用中的一個或多個區(qū)的操作。在一個優(yōu)選的實施例中����,所述提供可信Mifare服務管理的模塊用于:提供一組應用程序編程接口,在用戶指示時所述多個應用中的一個替換所述模擬器中的一個應用���;給所述多個應用中的一個提供一組應用程序編程接口以從其中讀取一些數(shù)據(jù)�;通過安裝應用密鑰和應用數(shù)據(jù)至所述提供可信Mifare服務管理的模塊,隨后將所述多個應用中的另一個交換至所述模擬器�����,使得所述提供可信服務管理的服務器能夠遠程的配置每個應用���;通過鎖定或解鎖所述多個應用中的一個使得所述TSM服務器能夠管理每個應用����;提供可信環(huán)境以至于一個應用提供者能修改指定的應用和該應用提供者所擁有的元數(shù)據(jù)�����;和����,提供一種機制使得基帶存儲作為擴展以存儲從所述模擬器換出的一些或所有應用��。根據(jù)本發(fā)明的另一個實施例���,本發(fā)明實現(xiàn)為一種用于支持多個應用的移動裝置的方法�,所述方法包括:在所述移動裝置中分別安裝多個應用�����,每個應用與一個物理的非接觸式卡有關,以至于移動裝置能夠替代多個物理非接觸式卡�����。其中所述移動裝置包括:一個模擬器��;一個近場通信接口�����,其幫助在所述模擬器中裝載和執(zhí)行的一個應用和閱讀器之間進行數(shù)據(jù)交換�����,其中在所述模擬器中裝載和執(zhí)行的應用是所述多個應用中的一個�,在所述模擬器中裝載和執(zhí)行的應用能夠部分或全部的被所述多個應用中的另一個替換;和��,用來存儲所述多個應用的存儲裝置���,在被選擇性的激活后所述多個應用中的任何一個都能夠裝載入所述模擬器���,并隨后替換在所述模擬器中的應用��,其中所述移動裝置將先前在所述模擬器中的應用所提供的功能更改為在所述模擬器中新裝載和執(zhí)行的應用所提供的功能�,其中一個提供可信服務管理的服務器已經(jīng)遠程的配置了每個應用�����。與現(xiàn)有技術相比���,本發(fā)明中的移動裝置具有一個模擬器�����,多個應用中的一個可以被裝載入所述模擬器內(nèi)并執(zhí)行�,使得所述移動裝置可以模擬該裝載入 所述模擬器的應用對應的非接觸式卡的功能��,這樣所述移動裝置能夠支持或用作多個非接觸性卡����,比如常用的Mifare非接觸式卡?���!靖綀D說明】接下來的具體實施方式��、后面的權利要求以及附圖將有助于了解本發(fā)明的具體特征,各實施例以及優(yōu)點����,其中:圖1A示出了根據(jù)本發(fā)明的一個實施例的一個簡單系統(tǒng),其中有兩個示范的計算裝置�,他們分別可以支持多個非接觸式智能卡;圖1B示出了安全通道支持(securitychannelsupport)的兩種不同模型���,其可以用于移動裝置中的機載可信服務管理器�;圖1C示出了具有安全元件的支持NFC的移動裝置的簡單結構架構�;圖1D示出了根據(jù)本發(fā)明的一個實施例的個人化安全元件的流程或過程;圖1E示出了在離線和在線模式時安全元件制造者(SEmanufacturer)���、TSM(TrustedServiceManagement����,可信服務管理)管理器和TSM系統(tǒng)之間的關系����;圖1F示出了NFC裝置(比如NFC移動電話)的用戶、NFC裝置�����、TSM服務器、相應的安全元件制造者和安全元件發(fā)行者之間的數(shù)據(jù)流程圖��;圖1G根據(jù)本發(fā)明的一個實施例�����,示出了基于平臺的SAM(安全識別模塊)或網(wǎng)絡電子錢包服務器��、作為門衛(wèi)的電子錢包和單功能標簽���,這三個實體之間的個人化數(shù)據(jù)流程�����;圖2A示出了一個移動支付生態(tài)系統(tǒng)�����,其中移動支付生態(tài)系統(tǒng)中的相關方(parties)依次被列出��;圖2B示出了根據(jù)本發(fā)明的一個實施例的配置一個或多個應用的流程或過程�����;圖2C示出了當配置一個應用時不同方之間交互的數(shù)據(jù)流程����;圖2D示出了在配置一個應用過程中準備應用數(shù)據(jù)時不同方交互的數(shù)據(jù)流程�;圖2E示出了鎖定或非使能一個已安裝應用的流程或過程;圖2F根據(jù)本發(fā)明的一個具體實施例����,示出了便攜裝置作為電子錢包執(zhí)行電子商務和移動商務時的架構示意圖;圖3A示出了有關模塊相互作用�,以完成前述電子錢包由授權人進行個人化處理的結構圖;圖3B示出了有關模塊相互作用����,以完成前述電子錢包由其用戶進行個人化處理的結構圖;圖3C根據(jù)本發(fā)明的一個具體實施例��,示出了個人化電子錢包的流程或過程圖��;圖4A和圖4B根據(jù)本發(fā)明的一個具體實施例���,一同示出了給電子錢包籌資��、注資�����、載入或充值時的流程或過程��;圖4C示出了有關模塊相互作用�����,以完成圖4A和圖4B中所示過程的結構示意圖����;圖5A根據(jù)本發(fā)明的一個具體實施例,示出了第一種便攜設備的架構示意圖��,使之能夠在蜂窩通信網(wǎng)絡(比如��,3G�、LTE或GPRS網(wǎng)絡)上執(zhí)行電子商務和移動商務的各種功能;圖5B根據(jù)本發(fā)明的另一個具體實施例�,示出了第二種便攜設備的架構示意圖,使之能夠在有線和/或無線數(shù)據(jù)網(wǎng)絡(例如國際互聯(lián)網(wǎng))上執(zhí)行電子商務和移動商務的各種功能�����;圖5C是一幅流程圖���,根據(jù)本發(fā)明的一個具體實施例��,說明了使圖5A中的便攜設備能夠運行一個或多個服務提供商提供的服務應用的過程示意圖���;圖6A根據(jù)本發(fā)明的一個具體實施例����,展示了一個架構示意圖���,其中的便攜設備能夠作為移動銷售點執(zhí)行電子商務和移動商務;圖6B根據(jù)本發(fā)明的一個具體實施例�,展示了一個架構示意圖,其中的便攜設備能夠作為移動銷售點在網(wǎng)絡上執(zhí)行交易上傳操作��;圖6C是一幅流程圖���,根據(jù)本發(fā)明的一個具體實施例����,說明了使用用作移動銷售點的便攜設備和支持電子代幣的單功能卡裝置����,執(zhí)行移動商務的過程示意圖;圖6D是一幅流程圖,說明了使用用作移動銷售點的便攜設備以及支持電子代幣的多功能卡裝置���,執(zhí)行移動商務的過程示意圖�;圖7描述了便攜設備用于電子票務應用時的結構示意圖�����;圖8A示出了由一個業(yè)務運作或安排的TSM所涉及的多方的示意圖�;圖8B示出了在一個實施例中的TSM的各方之間的有關操作過程;圖8C示出了一個示例的TSM中在各方之間建立互相同意協(xié)議的工作流程�;圖8D示出了SE發(fā)行者和TSM之間ISD映射(mapping)的數(shù)據(jù)流程;圖8E示出了在TSM�、SE發(fā)行者和服務提供者之間的相應數(shù)據(jù)流程;圖8F示出了由SE發(fā)行者批準一個應用的數(shù)據(jù)流程����;圖8G示出了替換安全元件的流程;以及圖9示出了個人化的安全元件的一個賬戶的顯示屏的快照示例�����?����!揪唧w實施方式】本發(fā)明的詳細描述主要通過程序、步驟�、邏輯塊、過程或其他象征性的描述來直接或間接地模擬本發(fā)明技術方案的運作����。為透徹的理解本發(fā)明,在接下來的描述中陳述了很多特定細節(jié)�����。而在沒有這些特定細節(jié)時�����,本發(fā)明則可能仍可實現(xiàn)����。所屬領域內(nèi)的技術人員使用此處的這些描述和陳述向所屬領域內(nèi)的其他技術人員有效的介紹他們的工作本質(zhì)�。換句話說,為避免混淆本發(fā)明的目的��,由于熟知的方法和程序已經(jīng)容易理解��,因此它們并未被詳細描述�。此處所稱的“一個實施例”或“實施例”是指可包含于本發(fā)明至少一個實現(xiàn)方式中的特定特征、結構或特性。在本說明書中不同地方出現(xiàn)的“在一個實施例中”并非均指同一個實施例�����,也不是單獨的或選擇性的與其他實施例互相排斥的實施例����。此外,表示一個或多個實施例的方法����、流程圖或功能框圖中的模塊順序并非固定的指代任何特定順序,也不構成對本發(fā)明的限制���。本文中的密鑰集是指一組密鑰�。本發(fā)明中“卡”也可以稱之為卡片��。下面參考圖1A-圖9來介紹本發(fā)明的各個實施例����。然而,所屬領域內(nèi)的普通技術人員容易理解的是這里根據(jù)這些附圖列出的細節(jié)描述僅僅是解釋性的�,本發(fā)明并不僅限于這些實施例。當具有近場通信(NearFieldCommunication��,簡稱NFC)功能的移動電話用于諸如支付服務、交通票務�、信用服務、物理訪問控制和其他令人興奮的新服務時�,NFC顯示出重大的商機。為了支持這種快速演變的商務環(huán)境�,各種NFC功能的移動電話或裝置正在發(fā)展以支持在多種應用中已經(jīng)廣泛使用的各種非接觸性智能卡。根據(jù)本發(fā)明的一個實施例�,圖1A示出了根據(jù)本發(fā)明的一個實施例的一 個簡單系統(tǒng)100,其中有兩個示范的計算裝置102和104��,他們分別支持多個非接觸式卡或用于替代多個非接觸性卡����。本發(fā)明的一個實施例允許用戶只需攜帶一個移動裝置,而不需要攜帶多個用途不同的卡�,就可以進行所述多個卡的不同應用����。除非特別說明,“計算裝置”��、“移動裝置”��、“手持裝置”���、“移動電話”或“手持電話”將在本文中可互相替代的使用�,然而所屬領域內(nèi)的普通技術人員能夠理解上述詞匯也可以指其他裝置,比如智能電話�����、平板電腦�����、筆記本電腦����、具有NFC能力的其他便攜式裝置。眾所周知的����,Mifare是應用于很多日常應用中的一種最流行的非接觸式卡,其是一種廣泛應用的非接觸式智能卡或感應卡���,其中Mifare是恩智浦半導體(NXPSemiconductors)擁有的商標���。為了幫助理解本發(fā)明,下面的描述都是基于Mifare卡的����,不過所屬領域內(nèi)的普通技術人員能夠理解的是這里的描述并不局限于Mifare卡����,還可以用于其他類型的卡���。在一個實施例中�,為了支持多個卡���,在一個安全元件(secureelement��,簡稱SE)108中提供有卡上可信Mifare服務管理器(TrustedMifareServiceManager�����,簡稱TMSM)106�����,其實現(xiàn)為一個模塊或一個JAVA程序(applet)。如下文進一步描述的一樣�����,在實現(xiàn)時,所述安全元件108可以嵌入NFC裝置102或104內(nèi)或一個與NFC裝置可分離的卡(比如�,安全數(shù)字存儲卡(SecureDigitalMemoryCard,簡稱SD卡)或微安全數(shù)字高容量卡(MicroSecureDigitalHigh–CapacityCard��,簡稱micro-SDHC卡))內(nèi)�。所述NFC裝置102可以是嵌入有所述安全元件108的移動裝置,而所述NFC裝置104可以是一個智能卡或能夠通過嵌入有所述安全元件108的可分離卡升級的裝置�。在一個實施例中,所述NFC裝置104經(jīng)由NFC閱讀器110與所述安全元件108通訊�。不論如何,假設所述NFC裝置102和104都裝配有安全元件(比如所述安全元件108)���,在所述NFC裝置102或104能夠執(zhí)行一個需要安全的功能前�����,需要個人化所述安全元件����。在認為必要時����,將會描述個人化所述安全元件108的細節(jié)。根據(jù)本發(fā)明的一個實施例����,所述NFC裝置102或104包括卡管理代理(cardmanagerproxy)112����、一組只讀錢包用戶界面(userinterface���,簡稱UI)應用116和交易錢包(transactionwallet)UI應用118���。所述卡管理代理112能夠幫助可信服務管理器(TrustedServiceManager,簡稱TSM��,比如是提供可信服務管理的服務器)114和可信Mifare服務管理器(TrustedMifareServiceManager��, 簡稱TMSM�����,也可以稱為提供可信Mifare服務管理的模塊)106之間的通訊�����。所述卡管理代理112是軟件模塊或模組�����,其被設置來代表所述TSM114針對所述安全元件中的JAVA程序(applet)執(zhí)行嵌入網(wǎng)絡消息中的命令(比如applicationprotocoldataunit命令���,簡稱APDU命令)���,并發(fā)送包括來自所述安全元件的JAVA程序的響應APDU的網(wǎng)絡消息給所述TSM114。所述只讀錢包UI應用116提供一個界面或接口以向一個或多個Mifare應用查詢能夠通過公知的讀區(qū)密鑰(readsectorkey)或默認密鑰訪問的信息����,但是不能修改這些信息。比如�����,一個應用用來顯示來自中國的不同城市的多個現(xiàn)有交通錢包的余額�����。所述交易錢包UI應用118用來執(zhí)行將修改一個或多個Mifare區(qū)(sector)的操作�����。更改不同的區(qū)���,需要不同的寫密鑰���。在一個實施例中��,所述交易錢包交易UI應用118執(zhí)行的操作包括:1���、在從一個鏈接賬戶(linkingaccount)轉賬后對一個中轉或過境錢包(transitpurse)充值;2��、為貨物或服務而進行支付后從一個中轉或過境錢包中扣除相應金額�����;3��、增加一個中轉運營者(transitoperator)的合作公司的積分(loyaltypoint)��;這些操作需要更改支持的卡或模擬卡的應用中的某些區(qū)以跟蹤在一個基礎Mifare卡上的錢包余額��、交易日志和/或積分����。在一個實施例中,每一對只讀錢包UI應用116和交易錢包UI應用118由一個對應的應用/服務提供者120提供���。如下文詳細描述的那樣����,這些應用可以從門戶下載或經(jīng)由所述TSM114提供���,隨后為用戶配置這些應用�����。進一步的�����,所述TMSM106是一個組件或JAVA程序(applet)����,其被設置來負責安裝和個人化所述應用��,將一個或另一個應用交換入或交換出所述模擬器122���。如這里使用的�,一個模擬器是硬件裝置或偽裝成其他組件希望與其交互的另一個特定裝置或程序的一段程序����。在一個實施例中����,所述模擬器122通過提供精確相同的硬件和/或軟件功能模擬Mifare典型操作系統(tǒng)���。一旦安裝上所述模擬器122(在硬件或軟件中實現(xiàn))����,它就會如同一個真正的Mifare芯片一樣準確的響應傳輸Mifare命令的接口(比如���,閱讀器)��。在一個實施例中����,所述TMSM106被配置來提供如下功能:1�����、提供一組應用程序編程接口(ApplicationProgrammingInterface����,簡稱API)�����,這樣��,在用戶指示時�����,錢包應用(比如,模擬一個Mifare卡)能被促使 以替換(比如在一個模擬器中激活)所述Mifare模擬器122中的一個應用���,以至于所述NFC裝置102或104能夠支持多個Mifare卡或類似類型的應用�。在實現(xiàn)時����,所述應用程序編程接口用一個激活應用整體或部分的替換在所述Mifare模擬器122中的一個應用,以保留新激活應用所能使用的那些部分���。需要知道的是����,這里的應用并不意味著所述應用只有一個文件��。通常,一個應用有很多數(shù)據(jù)組和文件��。因此�,在所述模擬器中的一個應用被一個激活的應用替換時,一些數(shù)據(jù)組和文件可以被保留以供新載入所述模擬器的激活應用使用�����。2�、提供一組應用程序編程接口以讀出錢包應用的相關信息(比如讀出余額或歷史交易)。3����、使得所述TSM114遠程的個人化/配置多個Mifare應用,其包括向所述TMSM106安裝應用密鑰和應用數(shù)據(jù)����,隨后將一個激活應用交換入所述模擬器122。4�、使得所述所述TSM114去管理已配置的Mifare應用。這包括Mifare應用的鎖定或解鎖���,在Mifare應用鎖定后它不能被交換入所述模擬器122���。5�����、提供可信環(huán)境����,以至于應用提供者只能修改它的應用和該應用提供者所擁有的元數(shù)據(jù)(metadata)�。6、提供一種機制使得基帶存儲(basebandstorage�,或稱基帶存儲器)作為擴展以存儲從所述模擬器122中換出至所述TMSM106的基于軟件的或邏輯智能卡(比如,替代多個物理Mifare卡)����,這樣可以部分解決所述模擬器122中有限的存儲空間的問題���。在一個實施例中����,通過增強Mifare4Mobile技術來實現(xiàn)所述TMSM106�����。Mifare4Mobile最初由NXP(恩智浦)公司開發(fā)��,其只能支持上文列出的一些功能,而不是全部���。所述Mifare4Mobile技術的當前設計是基于所有服務提供者彼此信任并信任TSM(比如所述TSM114)這樣的假設��。Mifare4Mobile服務管理器(軟件模組)沒有辦法去區(qū)別應用程序所有權(applicationownership)�����。通過連接至Mifare4Mobile服務管理器的已建成的安全通道���,服務提供者能夠訪問安裝于所述Mifare4Mobile服務管理器上的所有Mifare服務對象(serviceobject,簡稱SO,比如�,Mifare應用)。這樣��,一個應用提供者能夠輕易的改寫不屬于該應用提供者的另一個應用的內(nèi)容��。在一個實施例中�,圖1A中的實現(xiàn)方案能夠克服Mifare4Mobile技術的 不足。除了與全球平臺(GlobalPlatform�����,簡稱GP)卡管理器(未示出)交互外����,所述卡管理代理112還被配置與所述TMSM106交互以安裝Mifare應用的對應Mifare服務對象��。圖1B示出了安全通道支持(securitychannelsupport)的兩種不同模型���,其可以用于所述TMSM106。圖1B中的模型1是使用全球平臺支持的安全通道機制��,其中全球平臺是與標準化的基礎設施相關的用于智能卡的開發(fā)和管理的獨立的��、非營利性組織�����。圖1B中的模型2具有置于TMSM內(nèi)部的安全通道支持的機制��。圖1A的架構至少能夠支持兩種類型的應用/服務���,分別為只讀類型的應用/服務或基于交易類型的應用/服務。對于只讀類型的應用�����,能夠使用RETRIEVEDATAAPDU(提取數(shù)據(jù)APDU)命令從所述TMSM106中提取應用數(shù)據(jù)(比如余額)����。在提取所述數(shù)據(jù)前可能需要由所述應用進行個人識別碼(PersonalIdentificationNumber,PIN)確認�。對于基于交易類型的應用�,所述UI應用能與專用應用程序(applet)交互以執(zhí)行交易。一個交易可能會引入多個APDU�����。各個UI應用也可以作為一個應用提供者的后端服務器的代理����。如圖1A所示,所述TMSM106包括一組服務對象和對應的密鑰集索引(keysetindex)�����。在所述TMSM106中的每個邏輯Mifare卡被稱為一個服務對象�。每個應用與安裝的補充安全域(SupplementarySecuredDomain,簡稱SSD)密鑰的一個密鑰集索引(或稱為密鑰版本號或密鑰索引)相關�����。當前����,每個SSD能夠支持最多127個不同的密鑰集�����。這樣���,在所述SSD上安裝多個密鑰集是可能的。有很多種方式來分配這些密鑰集�。在一個極端的例子中,每個應用都有他自己的密鑰集����。另一種方式是每個應用提供者有他自己的密鑰集,來自同一個應用提供者的所有應用共享同一個密鑰集��。在一個實施例中�,增強Mifare4Mobile服務管理器以基于這個密鑰集向所述請求APDU命令應用訪問規(guī)則。這種增強不需要對Mifare4Mobile說明書v.1.0.1的APDU格式進行任何修改����。具體的增強或擴展如下:1�、為了Mifare服務對象的私有元數(shù)據(jù)(privatemetadata)向?qū)S袃?nèi)容定義一個新可選標簽。這個標簽用于存儲密鑰集索引����,建立密鑰集和應用之間的聯(lián)系�����。2�����、當請求的APDU命令是針對Mifare應用(比如�,在TMSM106中的服務對象)時�,為Mifare4Mobile服務管理器增加新邏輯以加強密鑰集和應用之間的這種聯(lián)系。3�、為了TSM運營給TSM保留從0x01到0x10的15個密鑰集索引。對于沒有相關密鑰集索引的任何服務對象�,任何安裝的TSM密鑰集索引都能夠用來與所述服務對象一起工作。為一個服務對象的私有元數(shù)據(jù)根據(jù)下文定義一個新專有標簽0x8C:如果分配一個專用密鑰集索引給一個應用�,這個標簽一定被設置為那個密鑰集索引。比如�,如果分配一個密鑰集索引5給一個應用,則對應的服務對象的私有元數(shù)據(jù)具有值為5的標簽8C����。這種增強不需要對Mifare4Mobile說明書v.1.0.1的APDU格式進行任何修改。服務對象的指定密鑰集索引不需要預安裝入Mifare4Mobile服務管理器中�����。所述服務管理器不需要檢測所述指定密鑰集索引的存在。然而��,在所述服務對象被激活前��,所述密鑰集索引需要被放入所述服務管理器(通過PUTKEY命令)內(nèi)��,否則不能對所述服務對象進行修改����。在一個服務對象上執(zhí)行操作時,所述TSM114或服務提供者120不得不使用密鑰集索引建立SSD安全通道��。在發(fā)送到Mifare4Mobile服務管理器時�,所述密鑰集索引在INITIALUPDATE(初始更新)命令中。在安全通道成功建立后�����,所述Mifare4Mobile服務管理器可以存儲這個密鑰集索引�。在這個安全會話期間,所述Mifare4Mobile服務管理器對請求命令執(zhí)行下面的訪問規(guī)則:每行定義了一個命令的訪問規(guī)則�����。第一列是請求APDU命令���。第二列指示允許什么密鑰集索引執(zhí)行所述命令���。在上述表格中,TSM表示分配給所述TSM114的密鑰集索引�����,SO表示與Mifare服務對象相關的密鑰集索引�����。需要知曉的是在8C標簽中指明的是Mifare服務對象的相關密鑰集索引�����,而不是服務對象密鑰集索引���。為了支持鎖定或解鎖一個Mifare應用�����,在所述Mifare4Mobile服務管理器中增加兩個APDU命令�。這兩個APDU命令是基于API的可信服務管理。在針對Mifare應用發(fā)出命令前�,需要通過所述卡管理代理112在所述TSM114和所述TMSM106之間建立TSM安全通道。在收到所述命令后�,所述TMSM106將相應的Mifare服務對象設置為適當?shù)臓顟B(tài)。需要知道的是���,所述Mifare4Mobile服務管理器增加有附加鎖定狀態(tài)���。如果一個Mifare應用被鎖定,那么錢包應用將不能交換(比如激活)該Mifare應用��。在所述Mifare應用被換入所述模擬器122前��,所述TSM114不得不解鎖所述Mifare應用��。由于存儲空間非常有限���,尤其是在智能卡中���,一種實現(xiàn)是允許服務對象從所述TMSM106中被交換到基帶持久性存儲(或稱基帶存儲和基帶存儲器)中?���;鶐С志么鎯?未圖示)維護有一個映射表(mappingtable)�����。所述映射表的每一行包括有關服務對象的信息。所述映射表中至少維持下述信息:服務對象的服務對象ID(SOID)和加密格式的服務對象���。所述TMSM106在服務對象被從其中交換出之前加密所述服務對象���。在一個實施例中,所述TMSM106具有新的交換計數(shù)器(swappingcounter)�����。在成功交換后����,所述計數(shù)器加1。所述TMSM106維護有一個變換表(swappingtable)以跟蹤當前被換出的服務對象��。這個變換表包括兩個列:服務對象ID和當所述服務對象已經(jīng)被交換時的交換計數(shù)值器的值(簡稱交換計數(shù)值)���。當一個服務對象被交換時���,所述服務對象和交換計數(shù)值被加密并被返回至所述基帶以進行存儲��。在一個實施例中���,加密密鑰可以是mifare4mobileDEK(DataEncryptionKey,簡稱DEK)密鑰或是為此目的而個人化入所述TMSM程序106的新密鑰��。所述加密方法推薦為初始向量使用全零的具有CBC模式的3DES���。此外��,每個服務對象增加有新的屬性�����,以指示所述服務對象是否允許被換入所述基帶存儲中���。在安裝所述服務對象時,設置該屬性���。在一個實施例中��, 為所述TMSM106設置的Mifare4MobileAPDU命令增強如下:1��、將一個服務對象交換至所述基帶存儲中的新APDU����;2、在收到Mifrae4Mobile的ACTIVATE或INSTALL命令時��,修改所述程序行為��。根據(jù)一個實施例��,所述修改的細節(jié)如下:1�、交換命令(Swapcommand):要求程序(applet)發(fā)現(xiàn)和標記能夠交換至所述基帶的服務對象��。這個服務對象必須是能夠交換的����,具有老的訪問時間戳。這需要APDU請求應當具有如下特征:a.命令選項P1具有一個值���,該值指示為了激活或安裝一個服務對象是可交換的���;b.所述請求數(shù)據(jù)包含一或兩類信息:i.交換入所述程序(比如模擬器)內(nèi)的服務對象ID;ii.被交換的加密服務對象�,如果為了激活一個服務對象是可交換的。基于給定的服務對象ID的映射表從所述基帶中提取這個加密服務對象��。在收到所述請求后����,所述TMSM106首先執(zhí)行確認以確保所述APDU是適當?shù)摹4送?����,如果所述服務對象ID已經(jīng)在所述程序(applet)中�,則返回錯誤代碼以指示所述服務對象ID已經(jīng)在所述程序中。如果所述請求包括加密服務對象��,所述TMSM106從所述加密的數(shù)據(jù)中恢復出所述服務對象和交換計數(shù)值���。隨后所述TMSM106用于根據(jù)所述交換表核實所述交換計數(shù)值��。如果兩個計數(shù)值是不匹配的��,返回錯誤信息以指示所述加密數(shù)據(jù)已經(jīng)被破壞了���。這個解密服務對象被保持并使用于下一個ACTIVATE命令中。在另一個方面��,在執(zhí)行成功時,所述ADPU響應包含兩類信息:將被換出所述程序的服務對象的ID����、這個服務對象的加密信息和交換計數(shù)值。如果所述TMSM106接收到的下一個立即命令不是ACTIVATE��,也不是INSTALL��,將不標記所述服務對象��。2�����、安裝命令的激活或安裝:根據(jù)下面的行為修改這兩個命令�。在接收到這兩個命令中的一個時����,所述TMSM106檢查看是否有標記的交換服務對象。如果不����,隨后行為應該與原始的命令相同。否則�,檢查以確保APDU匹配在先前交換命令中的交換目的。如果不匹配,則拒絕所述請求���。如果所述APDU通過檢測����,將刪除所述標記的交換服務對象��。在ACTIVATE時�,用先前加密數(shù)據(jù)更新所述服務對象表。之后�����,隨后行為應該與原始的命令相同����。在一個實施例中,為所述基帶提供軟件開發(fā)包工具包(SoftwareDevelopmentKit���,簡稱SDK)的一層���,以至于在激活或安裝一個服務對象時,進行如下操作:1����、對于激活命令����,將檢查在基帶中的映射表以確定所述服務對象是否在基帶中����。如果沒有,僅向所述程序(applet)發(fā)出所述原始激活命令��。否則���,跳至下面的步驟3�;2���、對于安裝命令���,繞過上述檢查并跳至步驟3����;3、所述交換步驟執(zhí)行如下:a��、向所述TMSM程序發(fā)出一個交換命令。所述SDK從所述映射表中基于所述服務對象ID提取所述服務對象以準備所述交換APDU命令��;b�、如果所述響應包括加密數(shù)據(jù)和它的服務對象ID,所述SDK響應更新所述映射表使用所述信息�;c、隨后發(fā)出所述原始的ACTIVATE或INSTALL命令����。圖1C示出了計算(移動)裝置130的簡單架構,其可以用于圖1A中���。所述計算裝置130包括NFC控制器131���,該NFC控制器131使得所述計算裝置130能夠與其它裝置無線通信以交換數(shù)據(jù)。比如����,用戶可以將所述移動裝置130用作電子錢包(e-purse)進行購買支付。在操作時��,所述電子錢包由安全元件132來控制�����。所述安全元件132可以使得這樣的一個移動裝置130以一種安全的方式來執(zhí)行金融交易、交通票務��、信用服務����、物理訪問控制和其他令人興奮的服務。為了提供這樣的服務����,所述安全元件132可以支持各種Javaapplet程序、應用或模塊(圖1C中僅示出了兩個實例134和136)����。在實現(xiàn)時,這些模塊可以是嵌入或插入其內(nèi)的硬件模塊�,也可以是通過數(shù)據(jù)網(wǎng)絡從一個或多個服務器上下載的軟件模塊。當最早購買移動裝置或最早將移動裝置交付給客戶時��,在所述移動裝置的安全元件132上安裝一組默認密鑰(asetofdefaultkeys����,或稱為默認密鑰集)��,比如由安全元件制造者(manufacter)設置的發(fā)行者安全域(IssuerSecurityDomain�����,簡稱ISD)密鑰集(Keyset)。在一個實施例中���,所述安全元件132是防篡改芯片�,根據(jù)需求的安全級別����,該芯片可以嵌入智能卡級應用(比如支付、傳輸)��。如圖1C所示��,所述安全元件132嵌入或配合非接觸式NFC相關的應用����,并與所述NFC控制器131連接以作為非接觸式前端。典型的�����,符合標準的安全 元件與一個發(fā)行者安全域(issuersecuritydomain�,簡稱ISD)和一個或多個補充安全域(supplementalsecuritydomains,簡稱SSD)的選擇一起供給��。每個域中包括一組密鑰(asetofkey,或稱密鑰集)��。在一個實施例中��,所述安全元件132是嵌入所述移動裝置130內(nèi)的或通過卡接口139插入移動裝置130的小型卡內(nèi)的芯片��。在另一個實施例中����,所述安全元件132是或包括裝載入所述移動裝置內(nèi)的安全存儲空間137內(nèi)的軟件模組?��?梢酝ㄟ^所述移動裝置130內(nèi)的網(wǎng)絡接口133(比如3G網(wǎng)絡或LTE(LongTermEvolution)網(wǎng)絡)從指定服務器下載更新組件以更新所述軟件模組���。所述安全元件132在使用前需要經(jīng)過個人化(Personalization或Personalizing)過程。在一個實施例中��,所述個人化過程是根據(jù)選擇的卡發(fā)行者(比如所謂的安全元件發(fā)行者)的派生個人化密鑰集(derivedpersonalizedkeyset)為所述安全元件132裝載或更新一密鑰集�����。根據(jù)情況��,安全元件發(fā)行者(SEissuer)和安全元件制造者(SEmanufacturer)可以是兩個分離的實體,也可以是一個單獨的實體����。為了方便本發(fā)明的描述�,安全元件發(fā)行者和安全元件制造者在這里被描述為兩個分離的實體。進一步的�,個人化過程(personalizationprocess)也可以稱為配置過程(provisioningprocess)。根據(jù)一個實施例�,在安裝應用或使能服務(比如應用安裝和個人化)時以無線方式(Overtheair)執(zhí)行SE配置過程以個人化所述安全元件。當將所述安全元件關聯(lián)到一個安全元件發(fā)行者時��,才執(zhí)行所述安全元件的個人化�����。當用戶訂購或安裝應用時���,需要為每個應用執(zhí)行應用安裝和配置���。在一個實施例中,在更新或升級所述安全元件132時����,為避免從頭開始個人化所述安全元件132,只用新的更新替換所述安全元件132中的一個或一些組件。在實現(xiàn)時�����,可以自動地或手動獲取這些新的更新����,并將它們裝載至所述移動裝置130。在一個實施例中����,根據(jù)相應的安全元件發(fā)行者和TSM,具有NFC功能的移動裝置可以從服務器或TSM入口或門戶(TSMportal)下載應用�����。TSM是指可信服務管理(TrustedServiceManagement)�,是一種服務集合。所述TSM的一個主要角色是幫助服務提供者(serviceprovider)為他們的使用移動網(wǎng)絡的客戶安全的發(fā)布和管理非接觸式服務�����。所述TSM或它的服務器不必需要參與使用NFC裝置的實際非接觸式交易(transaction)�����。這些交易通常由服務提供者和他們的商業(yè)合作伙伴提供的系統(tǒng)處理。所述TSM的另一個角色是 通過作為商業(yè)中間人加速移動NFC應用的成功部署和提升�����,其有利于合同安排和不同各方之間的商業(yè)關系的其它方面�����,這樣使得移動網(wǎng)絡商務成為可能�?��?梢缘椒罩行膱?zhí)行所述個人化過程���,也可以通過TSM服務器的網(wǎng)頁入口(webportal)遠程執(zhí)行所述個人化過程。在第一種場景下����,客戶可以到服務中心,讓服務代表個人化移動裝置內(nèi)的安全元件���。在位于指定地方(比如服務中心)的連接有NFC讀卡器的電腦中����,配置管理器(provisioningmanager)可以是安裝的應用或連接至后端TSM的基于網(wǎng)頁的應用。所述配置管理器用來與移動裝置的安全元件進行通訊(比如通過讀卡器)����。這樣的個人化過程也可以被稱為基于網(wǎng)絡(OvertheInternet)的過程。在第二種場景下��,客戶通過服務器(TSM網(wǎng)頁門戶)注冊他/她的移動電話�。所述TSM服務器可以將配置管理器的通用資源識別碼(universalresourceidentifier,簡稱URI)發(fā)送至已注冊的移動電話����。基于所述移動裝置的類型��,發(fā)送方式可以是短信服務推送(ShortMessageServicePush)或谷歌安卓推送(GoogleAndroidPush)��。所述客戶可以將所述配置管理器下載至所述移動裝置中���,并開始所述個人化過程�。這樣的個人化過程被稱為基于無線的過程�����。在任一個場景下�,所述配置管理器作為移動裝置的安全元件和TSM服務器之間的代理?����,F(xiàn)參考圖1D所示�,其示出了根據(jù)本發(fā)明的一個實施例的個人化安全元件的流程或過程150��。在實現(xiàn)時�����,所述過程150可以由軟件或軟件和硬件的結合來實現(xiàn)�。當用戶收到一個新的NFC裝置(比如移動裝置的一部分)�,需要個人化其內(nèi)的所述安全元件。在操作152中����,確定所述新的NFC裝置是否是真正的NFC裝置。一個例子是檢查與所述NFC裝置相關的序列號(serialnumber)���。所述序列號可以通過與TSM服務器相關的數(shù)據(jù)庫進行認證���。在NFC移動裝置的例子中,所述移動裝置的裝置序列號可以用來進行認證?�,F(xiàn)在假設所述NFC裝置是一個真正的NFC裝置,即可由移動操作者識別的����。所述過程150將進入操作154,使所述NFC裝置與專用服務器進行通訊�。在一個實施例中,所述專用服務器是TSM系統(tǒng)的一部分����,并可通過無線網(wǎng)絡、互聯(lián)網(wǎng)或無線和有線的結合(這里稱為數(shù)據(jù)網(wǎng)絡或簡稱為網(wǎng)絡)對其進行訪問����。在操作156中,使所述NFC裝置向所述服務器注冊���。一旦所述NFC裝置成為所述TSM系統(tǒng)的一部分�����,各種服務和數(shù)據(jù)可以通過網(wǎng)絡與所述NFC 裝置進行通訊��。作為個人化過程的一部分��,在操作158中���,所述服務器請求所述安全元件的裝置信息���。在一個實施例中,所述服務器發(fā)送數(shù)據(jù)請求(比如服務信息�,WAPPUSH)到所述NFC裝置上。響應所述數(shù)據(jù)請求����,所述NFC裝置發(fā)回從所述安全元件中提取的卡產(chǎn)品壽命周期(CardProductLifeCycle,簡稱CPLC)信息���。所述CPLC信息包括安全元件產(chǎn)品信息(比如智能卡ID�����、制造者信息和批次號等)?;谒鯟PLC信息,所述服務器能夠從其制造者�����、授權代理者(authorizeddistributor)或服務提供者處提取這個安全元件的對應默認發(fā)行者安全域(IssuerSecurityDomain���,簡稱ISD)信息���。在實現(xiàn)時�,所述服務器與安全元件制造者有兩種通訊方式�����,具體將在下文的合適部分給予詳細描述��。在操作160中�,由所述制造者確定是否更新所述裝置信息。通常��,當一個安全元件由其制造者發(fā)出時�����,所述安全元件嵌入有一些默認裝置信息�。如果確定所述默認裝置信息(比如CPLC數(shù)據(jù))需要與所述制造者進行更新,所述過程150進入操作162�����,所述制造者將相應的更新裝置信息上傳至所述服務器���。在操作164中�,將所述更新裝置信息傳輸至所述NFC移動裝置,并存儲于所述安全元件中��。如果確定所述安全元件的默認裝置信息不需要與所述制造者進行更新�����,所述過程150進入操作164���,將提取的默認裝置信息存儲入與TSM服務器相關的數(shù)據(jù)庫中���。在一個實施例中,所述服務器包括獲取派生密鑰集(derivedkeyset)的接口�。在一個實施例中,根據(jù)所述安全元件的裝置信息(比如���,ISD)產(chǎn)生所述派生密鑰集。當所述安全元件中成功安裝上派生ISD密鑰集時�,通知相應的安全元件發(fā)行者所述派生ISD密鑰集已經(jīng)使用。根據(jù)本發(fā)明的一個實施例�,在操作166中,所述裝置信息(默認的或更新的)用來產(chǎn)生密鑰集(或稱一組密鑰)����。在一個實施例中��,所述服務器用來使用默認ISD在他的硬件安全模塊(hardwaresecuritymodule,簡稱HSM)和所述安全元件之間建立安全通道��。所述服務器還用來為所述安全元件計算派生密鑰集��?����;跇I(yè)務協(xié)定����,安全元件的發(fā)行者的主ISD密鑰可以設置于與所述服務器相關的硬件安全模塊或所述安全元件發(fā)行者的本地硬件安全模塊中。所述硬件安全模塊是一種安全加密處理器,其用于管理數(shù)字密鑰�,加速加密過程,以及對訪問服務器應用的關鍵密鑰提供有效的認證�����。如果設置于所述服務器中的硬件安全模塊內(nèi)���,所述服務器用來指令所述硬件安全模塊去計算所述派生密鑰集。隨后,所述服務器提供一種機制(比如PUTKEYAPDU)并使用默認通道��,用所述派生密鑰 集替代在所述安全元件中的默認密鑰集����。如果所述安全元件發(fā)行者(SEissurer)的主ISD密鑰在所述安全元件發(fā)行者的本地硬件安全模塊中,所述服務器還用來與遠端的硬件安全模塊交互以提取所述主ISD密鑰����。在操作168中,將所述密鑰集安全的傳遞至所述安全元件����。就這樣將密鑰集個人化入所述安全元件中,所述密鑰集用于利用NFC裝置進行的各種安全操作或服務中�����。在操作170���,所述服務器用來將所述安全元件與其發(fā)行者或提供者進行同步(比如�,將有關安全元件狀態(tài)的通知發(fā)送至所述發(fā)行者或提供者)�。在個人化后,可以使用所述SE發(fā)行者的個人化ISD密鑰來訪問所述安全元件�。基于每個服務提供商的安全需求���,所述TSM可以為各個提供者提供額外的SSD以個人化他們的相應應用(比如��,圖1C中的模塊134或136)���。如上文所述,有兩種方式可以用來在與所述制造者的交互過程中從所述安全元件中提取相應的默認ISD信息�����?�;诨A架構�����,制造者可以選擇使用實時方式(real-timeapproach)或批量(或稱批處理)方式(batchapproach)��。在實時方式中��,當所述TSM服務器個人化所述安全元件時����,所述服務器被設置用來與制造者(比如它的服務器)進行通訊�。這樣�,所述默認密鑰集是經(jīng)要求從制造者的服務器提取的。在一個實施例中��,所述TSM服務器包括與每個制造者進行通訊的插件模組��。在批量方式中����,可以以在線模式執(zhí)行,也可以以離線模式執(zhí)行�。在離線模式下,所述安全元件制造者通過加密媒介為支持的所有安全元件傳遞默認ISD信息��。所述TSM或計算裝置的管理器可以被設置用來將所述物理媒介中的信息輸入一個計算裝置�。隨后,解密并提取所述默認ISD信息�����,并存儲于一個數(shù)據(jù)庫中���。在在線模式下�����,所述SE制造商通過網(wǎng)絡上傳其支持的安全元件的默認ISD信息���。隨后,解密并提取所述默認ISD信息��,并存儲于一個數(shù)據(jù)庫中����。然后,所述TSM只需要在安全元件個人化過程中訪問在其自己的硬件安全模塊或數(shù)據(jù)庫�����。圖1E展示了在離線和在線模式時SE制造者�����、TSM管理器��、TSM系統(tǒng)之間的關系�。根據(jù)本發(fā)明的一個實施例,圖1F示出了NFC裝置(比如NFC移動電話)的用戶���、NFC裝置����、TSM服務器、相應的SE制造者和SE發(fā)行者之間的數(shù)據(jù)流程圖���。一方面���,可以認為圖1C中的安全元件132是智能卡中的預載操作系統(tǒng),其提供PIN管理和用于卡個人化(cardpersonalization)的安全通道(或稱安全 域)的平臺����。所述安全元件132結合智能卡發(fā)行者、供應商��、產(chǎn)業(yè)組��、公共實體和科技公司的興趣���,為運行于智能卡上的多個應用定義需求和技術標準�����。作為一個例子��,作為電子錢包安全的一個模塊134定義一組協(xié)議�����,該組協(xié)議使得小額支付交易能夠通過有線或無線環(huán)境執(zhí)行�����。對于存儲于智能卡的電子錢包�����,在所述電子錢包被發(fā)行后將一組密鑰(對稱的或非對稱的)個人化入所述電子錢包�����。在交易過程中����,為了使所述電子錢包與安全認證模組(SecurityAuthenticationModule,SAM)或后端服務器之間的信息通道安全���,所述電子錢包使用一組各自的密鑰進行加密和MAC計算���。對于單功能卡片來說,所述電子錢包安全模塊104用來作為保護在單功能卡上執(zhí)行的實際操作的門�����。在個人化期間,通過電子錢包交易密鑰將所述單功能卡片訪問密鑰(或他的轉換)個人化入所述電子錢包���。作為一個例子����,假設安裝應用���、電子錢包已經(jīng)經(jīng)由所述安全元件被配置�����。圖1G根據(jù)本發(fā)明的一個實施例���,示出了基于平臺的SAM或網(wǎng)絡電子錢包服務器192,作為門衛(wèi)的電子錢包194和單功能標簽196��,這三個實體之間的個人化數(shù)據(jù)流程190����。所述基于平臺的SAM或網(wǎng)絡電子錢包服務器192和電子錢包194之間的通信將按照一種類型的命令(比如APDU,應用協(xié)議數(shù)椐單元)進行,而電子錢包194和單功能標簽196之間的通訊將按照另一種類型的命令進行�,其中所述電子錢包起到門衛(wèi)的作用,以保證只有安全可靠且經(jīng)過授權的數(shù)據(jù)交互才會被準許進行�。在一個實施例中,電子錢包的物理安全在一個模擬器中實現(xiàn)���。這里使用的模擬器是指其他模塊期望與其交互的一個硬件裝置或一段程序�����,或自稱是另一個特別的裝置或程序�����。所述電子錢包安全是在用于提供電子錢包功能和與支付服務器通訊的一個或多個Java程序applet之間實現(xiàn)的。支持電子錢包的安全元件負責更新安全密鑰以在支付服務器和Java程序applet之間建立交互的合適通道��,其中電子錢包程序作為門衛(wèi)去調(diào)節(jié)或控制所述數(shù)據(jù)交換?��,F(xiàn)在參考圖2A所示�����,其示出了一個移動生態(tài)系統(tǒng)200�,其中參與入所述移動生態(tài)系統(tǒng)中的相關方依次列出�����。在一個實施例中,允許一個NFC裝置從相應指定服務器202(比如應用管理提供者)中下載或安裝一個或多個應用�,其中這些應用是由應用開發(fā)者204最初開發(fā)出來,并由服務提供者210���、應用管理提供者202或其他相關方發(fā)布��。假設有安全元件提供者208提供的安全元件206已經(jīng)經(jīng)由TSM或可信賴第三方(比如��,金融機構212)個人化�。一旦在所述NFC裝置上安裝上一個應用����,下一步將是通過所述安全元件配置所述應用。應用的配置過程可以以幾種方式開始��。其中的一種方式是一個安全元件擁有者在移動裝置上從TSM入口中選擇一個應用����,并開始配置過程。另一種方式是所述安全元件擁有者在移動裝置上接收來自代表應用提供者的TSM的應用配置通知��。所述TSM或應用提供者可以在TSM入口或門戶上發(fā)布他們的應用,以供下載到具有安全元件和/或簽訂用戶請求(比如SE擁有者)的移動裝置上�����。在一個實施例中�,所述TSM為多個SE發(fā)行者提供云服務。這樣����,來自各個服務提供者的許多應用可以從TSM入口處獲取。然而����,當?shù)侨胨鯰SM入口時,安全元件擁有者只可以看那些經(jīng)過他的安全元件提供者認證的應用�。基于安全元件和服務提供者之間的協(xié)議����,使用安全元件的ISD密鑰集或服務提供者的指定的SSD密鑰集可以實現(xiàn)應用的下載/安裝/個人化����。如果在所述安全元件中并未安裝有SSD密鑰集,則可以在一個應用安裝的過程中安裝它�����。所述TSM知曉安全元件針對各個SSD的存儲狀態(tài)?����;赟SD的存儲分配策略和所述安全元件的存儲狀態(tài)��,對于在應用商店中的針對各種SSD的可用應用可以標記為不同的指示���,比如“可以安裝”或“安裝存儲不足”���。這樣可以防止用戶不必要的失敗。一旦在一個NFC裝置上安裝一個應用����,所述應用自己啟動配置過程,或TSM服務器通過蜂窩網(wǎng)絡或無線數(shù)據(jù)網(wǎng)絡給所述NFC裝置發(fā)送配置通知�。根據(jù)所述NFC裝置的類型,有很多種發(fā)送消息(PUSHmessage�,或稱為推廣消息)的方式以使得所述NFC裝置開始所述配置過程。發(fā)送方法的一個例子包括短信發(fā)送或安卓谷歌發(fā)送����。一旦用戶收到所述通知����,所述配置過程開始���。在認為合適的時候�,將詳細描述配置過程�����。作為所述應用配置的一個部分�,TSM服務器執(zhí)行一些保護性機制。一個是防止安全元件意外鎖定�。另一個是如果在安全元件中沒有足夠存儲空間時阻止應用的下載。在一些實例中�����,在安全通道建立期間如果有太多的相互認證失敗��,則安全元件可能永久性鎖定自己���。為了防止所述安全元件意外鎖定,當在兩方(entities)之間建立安全通道時�,所述TSM持續(xù)跟蹤安全元件和TSM之間的認證失敗的數(shù)目��。在一個實施例中�����,如果達到預定極限����,所述TSM將拒絕任何進一步的請求�����。如果在服務中心手動的重啟所述安全元件����,所述TSM可以繼續(xù)處理 SE請求。所述TSM也持續(xù)跟蹤每個安全元件的存儲使用���。所述TSM基于由所述SE發(fā)行者分配給每個服務提供者的存儲分配決定一個應用是否可以安裝于一個安全元件上�。根據(jù)一個實施例�����,有三種類型的策略:●預分配一個固定存儲空間���,這是保證空間���;●預分配一個最小存儲空間�,這是保證最小空間(暗示所述容量在一些情況下可以被擴展)����;●最大努力(比如,合同規(guī)定��,需要安全元件發(fā)行者使用他最大的努力執(zhí)行他的責任�,以使得用戶得到的利益最大化)。在一個實施例中��,所述安全元件發(fā)行者使用所述TSM網(wǎng)頁入口完成這項工作����。1.對于一批安全元件,所述安全元件發(fā)行者可以為服務提供者預分配一個存儲策略以通過TSM網(wǎng)頁入口安裝它的應用���;2.當移動裝置請求安裝一個應用時����,TSM服務器認證相應的服務提供者的空間是否符合它的存儲策略��;如果不符合�,則拒絕這個請求;否則��,所述TSM服務器將處理所述配置請求�;3.如果配置成功,所述TSM將積累這個應用服務的存儲大小���。當一個移動用戶訂閱一個移動應用(假如它已經(jīng)安裝)�����,在所述應用使用之前該應用需要經(jīng)由移動裝置上的安全元件配置���。在一個實施例中,所述配置過程包括四個主要階段�;●如果需要,在所述安全元件上創(chuàng)建補充安全域(SSD)��;●在所述安全元件上下載并安裝一個應用��;●在所述安全元件個人化所述應用����;●下載UI(用戶界面)組件至移動裝置上�。圖2B示出了根據(jù)本發(fā)明的一個實施例的配置一個或多個應用的流程或過程220�����。所述過程220可以實現(xiàn)為軟件或軟件和硬件的組合�����。在一個實施例中����,所述應用配置過程220需要進入在移動裝置上的配置管理器(比如代理)以與其內(nèi)的安全元件交互。如圖2B所示���,在操作222處����,所述應用配置過程220可以是自動或手動開始���。比如���,假設它還未被配置,用戶可以通過選擇一個已安裝應用去訂購 相關服務以啟動所述配置過程,或在激活所述已安裝應用時啟動所述配置過程�����。在另一個實施例中����,應用提供者發(fā)送一個信息(比如短信)至所述移動電話以開始所述配置過程�����。在任何情況下��,所述程序220進入操作224���,從移動裝置的安全元件中提取所述裝置信息(比如�,CPLC)后����,與專用服務器(比如TSM服務器或由應用發(fā)行者運營的服務器)建立通信。在操作226處�,所述裝置信息與識別應用的標識符一起被傳送至所述服務器。在操作228�,所述服務器首先基于所述裝置信息識別所述安全元件的發(fā)行者,以在230操作中確定是所述安全元件是否已經(jīng)被個人化。如果所述安全元件還未被個人化����,所述過程220進入操作232,以個人化所述安全元件�,所述操作232的一個實施例可以根據(jù)圖1B中的過程110來實現(xiàn)。現(xiàn)假設移動裝置中的安全元件已經(jīng)被個人化�。所述過程220進入操作234,在這里使用派生ISD與所述安全元件建立安全通道��。根據(jù)誰為ISD提供硬件安全模塊HSM(比如TSM或SE發(fā)行者)����,所述服務器將聯(lián)系所述硬件安全模塊去為所述安全元件計算派生ISD,并使用該派生ISD與所述安全元件建立安全通道����。隨后,在操作中236����,所述服務器檢查是否有與該應用相關的一個SSD。如果該應用沒有一個對應的SSD�,所述服務器將檢查數(shù)據(jù)庫看它是否已經(jīng)安裝于所述安全元件上。如果需要SSD安裝��,所述流程220進入240去安裝所述SSD。在一個實施例中�,提醒所述用戶所述SSD(密鑰)的安裝。在操作238���,假設用戶拒絕安裝所述SSD���,所述過程220停止并進入操作222,重新開始所述配置過程220?����,F(xiàn)假設在操作240中執(zhí)行安裝SSD過程�����。安裝所述SSD與安裝ISD類似����。所述TSM服務器聯(lián)系其內(nèi)有主SSD密鑰的硬件安全模塊HSM��,為所述安全元件計算派生SSD密鑰集��。所述主SSD密鑰可以在TSM����、服務提供者���、或安全元件發(fā)行者中,這主要取決于各方是如何協(xié)定的����。為了在安全元件中下載/安裝應用,在操作242�����,所述服務器用來使用派生SSD與所述安全元件建立安全通道�。在一個實施例中,這類似于如何基于派生ISD建立安全通道���。在操作244�,準備所述應用的數(shù)據(jù)��,它的細節(jié)將在下文詳細描述�����。根據(jù)一個實施例���,所述服務器聯(lián)系所述服務提供者�����,以準備存儲數(shù)據(jù)應用協(xié)議數(shù)據(jù)單元APDUs����。根據(jù)安裝于移動裝置中一個應用,所述服務器可以 重復發(fā)布存儲數(shù)據(jù)以個人化所述應用���。假如成功執(zhí)行了所述配置程序���,包括一個適當接口(比如��,每個移動裝置的應用的用戶接口)的額外數(shù)據(jù)可以被下載���。在操作246���,所述服務器向一個應用提供者通知已經(jīng)配置的應用的狀態(tài)。根據(jù)一個實施例和上文所述���,圖2C示出了當配置一個應用時不同方之間交互的數(shù)據(jù)流程250����。如圖2B中的操作244,配置應用的一個重要應用在于為目標安全元件準備定制應用數(shù)據(jù)����。比如,對于電子錢包應用��,該應用的個人化數(shù)據(jù)包括基于安全元件的裝置信息(比如CPLC信息)產(chǎn)生的各種個人化交易密鑰�����。為了搬運電子錢包���,個人化數(shù)據(jù)的部分包括源自Mifare卡片的標識符的Mifare訪問密鑰��,所述服務器既可以個人化Java卡片應用���,也可以個人化Mifare4Mobile服務對象。通常��,至少有兩種不同的準備數(shù)據(jù)的方式�����,以方便隨后的交易。為了數(shù)據(jù)準備����,本發(fā)明的一個實施例支持與所述服務提供者交互的兩種模式以計算個人化應用數(shù)據(jù)。對于第一種模式�����,所述TSM服務器不直接訪問與服務提供者關聯(lián)的硬件安全模塊�����。所述服務提供者可以使與它的硬件安全模塊交互的服務器產(chǎn)生應用密鑰(比如��,傳輸�����、電子錢包或Mifare密鑰)�。所述TSM數(shù)據(jù)準備實現(xiàn)是使用應用程序接口(API)或服務器提供的協(xié)議去請求派生應用密鑰(derivedapplicationkey)��。第二種模式是數(shù)據(jù)準備實現(xiàn)可以直接訪問與服務提供者相關的硬件安全模塊以產(chǎn)生應用密鑰�����。根據(jù)一個實施例,圖2D示出了在配置一個應用過程中準備應用數(shù)據(jù)時不同方交互的數(shù)據(jù)流程255�����。圖2D為第一模式�,其中所述TSM服務器不直接訪問與服務提供者關聯(lián)的硬件安全模塊。除了所述應用數(shù)據(jù)準備實現(xiàn)將直接與服務提供者的硬件安全模塊交互外�����,第二種模式具有相似的流程���。除了支持配置過程���,本發(fā)明的一個實施例還支持安全元件的壽命周期管理。所述壽命周期管理包括但不限于�,安全元件鎖定、安全元件解鎖和應用刪除(非使能)���?��?梢酝ㄟ^TSM通知來開始這些活動。在移動裝置的實際使用中��,圖2E示出了鎖定已安裝應用的流程或過程260。一個NFC裝置可能已經(jīng)安裝了一定數(shù)量的運行于安全元件上的應用��。因為一些原因(比如����,長時間沒有活動或期滿),一個應用需要由其發(fā)行者或提供者非使能或鎖定��。圖2E示出了非使能一個已安裝應用的過程260��。非使能一個已安裝應用的過程260開始于操作262���。在一個實施例中����,所述過程260由操作者通過 TSM網(wǎng)頁入口手動啟動���。在另一個實施例中�����,所述過程260由服務提供者內(nèi)部工作流程(比如使用TSM網(wǎng)頁服務API)自動啟動。一旦所述過程260啟動�,發(fā)送一條信息至一個NFC裝置(比如移動裝置內(nèi))����,其內(nèi)的一個應用需要被非使能�����。在實現(xiàn)時���,這樣的消息可以有不同格式��。在一個實施例中����,所述消息是一個PUSH命令�。在另一個實施例中,所述消息是一個通過網(wǎng)絡傳遞至所述NFC裝置內(nèi)的TCP/IP請求��。在操作264中�,服務器(比如TSM服務器)發(fā)送所述消息。在實現(xiàn)時�,這樣的一個消息包括標識將被鎖定或非使能的應用的標識符。在接收到這樣的消息時��,在操作266,所述NFC裝置上的卡管理器代理(cardmanagerproxy)用來通過回復一條信息來認證這樣的信息是否確實來自它的原始發(fā)行者或提供者���。在一個實施例中�,將所述消息發(fā)送至TSM服務器進行認證�����。如果認證失敗��,即對這樣的查詢沒有回應��,所述過程260將結束��。假設所述認證通過�,即來自所述裝置的針對所述應用的提供者的查詢收到了回復確認,所述原始請求被證明是真實的����。通常,在操作268��,這樣的回復確認包括將要鎖定的應用的標識符���。所述TSM服務器用來建立一個與安全元件的安全通道��。隨后��,所述TSM服務器通過所述卡管理器代理為所述安全元件準備適當?shù)腁PDUs(比如SETSTATUS(設置狀態(tài))���,或/和DELETE(刪除))。在操作270��,所述裝置向所述安全元件發(fā)出操作請求�����,以鎖定特定應用��。不管怎樣��,響應所述命令���,在步驟272���,所述安全元件SE鎖定或非使能所述應用。根據(jù)一個實施例���,所述SE被致使與應用分離�,這樣使得該已安裝的應用不再能使用所述安全元件。在操作274�,所述安全元件用來發(fā)出確認以通知相關方,這個應用不再運行于所述裝置中了��。在一個實施例中�����,所述確認發(fā)送至TMS服務器���,所述TMS服務器中有一個記錄哪些應用安裝于哪些裝置中以及每個應用的相應狀態(tài)的數(shù)據(jù)庫�。所述數(shù)據(jù)庫根據(jù)來自所述安全元件的確認(acknowledgement)進行更新���。圖2E示出了非使能或鎖定已安裝應用的流程或過程��。對于本領域內(nèi)的普通技術人員來說����,其它操作�����,比如解鎖或使能一個已安裝應用�,延長一個已安裝應用的期限���,是與圖2E示出的過程相似的。參照圖2F�,圖2F根椐本發(fā)明的一個具體實施例,展示了便攜設備作為電子錢包執(zhí)行電子商務和移動商務時的架構示意圖280�����。所述圖280包括內(nèi)嵌了智能卡模塊的便攜式電話282��。此類便攜式電話的一個實例是支持近距離通信 (NFC��,NearFieldCommunication)���,并且包含SmartMX(SMX)模塊的便攜式電話。需要注意的是安全元件和應用可以是集成的����。除非特別說明,接下來的描述將不會指出哪個部分來執(zhí)行安全元件的功能��,哪個部分來作為應用���。本領域內(nèi)的普通技術人員應該可以理解的是根據(jù)下文給定的詳細描述合適的部分或功能將被執(zhí)行���。所述SMX模塊預先裝載有Mifare模擬器288(即單功能卡)�,以用來存儲數(shù)值(values)�。所述便攜式電話裝有非接觸界面(例如ISO14443RFID),以允許所述便攜式電話起到標簽的作用���。此外���,所述SMX模塊是能夠運行Javaapplet程序的Java卡片(JavaCard)。所述電子錢應用包被設置為能夠通過密碼訪問所述Mifare模擬器的數(shù)據(jù)結構��,所述密碼由所述訪問密鑰在所述安全元件被個人化時經(jīng)過適當?shù)霓D換后得到����。所述便攜式電話282中提供了電子錢包管理器MIDlet程序284。為了實現(xiàn)移動商務����,所述MIDlet程序284充當了電子錢包applet程序286及一個或多個支付網(wǎng)絡和服務器290之間的通信代理,以使各方之間的交易順利進行�����。此處所說的MIDlet程序是適合在便攜設備上運行的軟件組件����。所述電子錢包管理器MIDlet程序284可以被實現(xiàn)為Java便攜式電話上的“MIDlet程序”�,或個人數(shù)字助理(PDA)設備上的“可執(zhí)行應用程序”��。所述電子錢包管理器MIDlet程序284的功能之一是接入無線網(wǎng)絡���,并與運行在相同的設備或外部智能卡上的電子錢包applet程序進行通信���。此外�,MIDlet程序284還被設置為可以提供管理功能,例如更改個人識別號碼(PIN)���、查看電子錢包余額和交易歷史日志�。在一例應用中卡片發(fā)行商提供了用于支持和認證在卡片和對應服務器(亦即支付服務器)之間進行的任意交易的安全識別模塊(SAM)292��。如圖2F所示����,應用協(xié)議數(shù)椐模塊(APDU)命令由能夠訪問安全識別模塊(SAM)292的服務器290所創(chuàng)建,其中所述APDU模塊是讀取器和卡片之間的通信模塊���。所述APDU模塊的構造根據(jù)ISO7816標準制定��。通常���,APDU命令被嵌入網(wǎng)絡消息中并被傳送至所述服務器290或所述電子錢包applet程序286以接受處理�����。為了進行電子商務�����,在計算機(未示出)上運行的web代理294負責與一個非接觸讀取器(例如一個ISO14443RFID讀取器)以及所述網(wǎng)絡服務器290交互�。在實際操作中�,所述代理294通過所述非接觸讀取器296向在便攜式電話282上運行的所述電子錢包applet程序286發(fā)送APDU命令,或通過相同途 徑從所述電子錢包applet程序286處接收相應回復�。另一方面,所述代理294可生成網(wǎng)絡請求(例如HTTP)并從所述支付服務器290處接收相應回復�。當個人化便攜式電話282時,圖3A中的結構圖300展示了相關模塊互相作用�,以完成電子錢包由授權人進行個人化的過程。圖3B中的結構圖320展示了相關模塊互相作用��,以完成如圖2F所示的電子錢包由其用戶進行個人化的過程���。圖3C中的流程或過程圖350展示了根據(jù)本發(fā)明的一個具體實施例�,個人化電子錢包applet程序的過程。圖3C建議與圖3A和圖3B結合起來一同理解�。過程圖350可以通過軟件、硬件或軟硬件結合的方式實現(xiàn)����。如前所述,電子錢包管理器建立于已經(jīng)個人化的安全元件之上�,以提供個人化電子錢包applet程序時所需的安全機制。在實際操作中����,安全域被用來建立連接個人化應用服務器與所述電子錢包applet程序的安全通道。根據(jù)一個具體實施例�,經(jīng)過個人化并被存入所述電子錢包applet程序的關鍵數(shù)據(jù)包括一個或多個操作密鑰(例如載入或充值密鑰和購買密鑰)����,預設的個人識別號碼,管理密鑰(例如阻塞解除PIN密鑰和重新載入PIN密鑰)�,以及密碼〔例如來自Mifare的密碼〕。假定用戶想要個人化內(nèi)嵌在便攜設備(例如一臺便攜式電話)中的電子錢包applet程序�。在圖3C的步驟352中,個人化過程被啟動��。根據(jù)具體實現(xiàn)的不同�����,個人化過程可能在便攜設備內(nèi)的模塊中實現(xiàn),并由手動或自動方式激活����,也可能實現(xiàn)為由授權人(通常是與卡片發(fā)行商有聯(lián)系的人員)啟動的一個物理過程。如圖3A所示�����,授權人啟動個人化過程304�,以個人化用戶的電子錢包applet程序,所述個人化過程304在現(xiàn)有的(existing)新電子錢包安全識別模塊306和現(xiàn)有的安全識別模塊308上����,通過作為界面的非接觸讀取器310來進行?��?ㄆ芾砥?11執(zhí)行至少兩項功能:(1)通過安全域建立安全通道����,以在卡片個人化過程中�����,安裝和個人化外部應用程序〔例如電子錢包applet程序〕;以及〔2〕創(chuàng)建安全措施(例如個人識別號碼)����,以在后續(xù)的操作中保護所述應用程序。作為所述個人化過程使用個人化應用服務器304的結果�����,所述電子錢包applet程序312和模擬器314被個人化���。相似地��,如圖3B所示��,電子錢包用戶希望啟動個人化過程�,以通過無線方式(例如通過圖2中的移動商務路徑)個人化電子錢包applet程序����。與圖 3A不同����,圖3B允許所述個人化過程由手動或自動方式激活。例如,便攜式電話上裝有一個裝置�����,如果該裝置被按下��,則激活所述個人化過程�����。在另一種方案中���,“未個人化”的狀態(tài)提示可被提交給用戶以啟動所述個人化過程�。如前所述����,便攜設備中的MIDlet程序322〔即一個服務管理器〕充當代理以協(xié)助支付服務器324與電子錢包applet程序312以及模擬器314之間的通信,其中支付服務器324擁有訪問現(xiàn)有的新電子錢包安全識別模塊306和現(xiàn)有的安全識別模塊308的權限�����。經(jīng)過所述個人化過程���,電子錢包applet程序312和模擬器314被個人化?����,F(xiàn)在轉回參見圖3C����,在圖3A中所示的個人化過程被啟動以后,非接觸讀取器310被激活并在步驟354中從設備內(nèi)的智能卡中讀取標簽標識符(ID)(即RFID標簽ID)和關鍵數(shù)據(jù)�����。通過應用安全域(例如卡片發(fā)行商的默認安全設置)�,在步驟356中建立連接新電子錢包安全識別模塊(例如圖3A中的安全識別模塊306)與便攜設備中電子錢包applet程序(例如圖3A中的電子錢包applet程序312)的安全通道。全球平臺的每個應用安全域都包括三個DES密鑰����。例如:密鑰1:255/1/DES-ECB/404142434445464748494a4b4c4d4e4f密鑰2:255/2/DES-ECB/404142434445464748494a4b4c4d4e4f密鑰3:255/3/DES-ECB/404142434445464748494a4b4c4d4e4f安全域被用來為兩個實體之間的安全會話生成會話密鑰,所述兩個實體可以是卡片管理器applet程序和主應用程序(hostapplication)��,其中所述主應用程序可能是桌面機中的個人化應用程序���,也可能是由后端服務器提供的網(wǎng)絡化的個人化服務�。默認的應用域可由卡片發(fā)行商安裝�,并分配給不同的應用/服務提供商。各應用程序所有者可在個人化過程之前(或在所述過程的最初階段)變更各自密鑰組的數(shù)值�。之后應用程序可以使用所述的新密鑰組來創(chuàng)建用于執(zhí)行個人化過程的安全通道。通過由應用提供商的應用安全域建立的所述安全通道�,第一組數(shù)據(jù)可被個人化并存入電子錢包applet程序。第二組數(shù)椐同樣可以通過同一條通道進行個人化�����。但是�,如果所述數(shù)據(jù)保存在不同的安全識別模塊中,則一條使用相同密鑰組(或不同密鑰組)的新的安全通道可被用于個人化所述第二組數(shù)據(jù)��。在步驟358中��,通過新電子錢包安全識別模塊306生成一組電子錢包操作密鑰和個人識別號碼����,以用于新電子錢包安全識別模塊與電子錢包applet程序之間的數(shù)據(jù)交換,并在實質(zhì)上個人化所述電子錢包applet程序���。在步驟360中第二條安全通道在現(xiàn)有安全識別模塊(例如圖3A中的安全識別模塊308)與便攜設備中的電子錢包applet程序(例如圖3A中的電子錢包applet程序312〕之間被建立���。步驟362中使用所述現(xiàn)有安全識別模塊和標簽ID生成一組轉換后的密鑰。所述轉換后的密鑰保存在所述模擬器中以用于之后的數(shù)據(jù)訪問認證��。步驟358中使用所述現(xiàn)有安全識別模塊和標簽ID生成一組MF密碼���,并將所述密碼存入電子錢包applet程序以用于之后的數(shù)據(jù)訪問認證����。上述操作全部完成后,所述電子錢包����,包括所述電子錢包applet程序和對應的模擬器,將被設置為“已個人化”狀態(tài)�。基于本發(fā)明的一個具體實施例�����,圖4A和圖4B一起展示了為電子錢包籌資或注資的流程或過程圖400��。過程400通過圖2中的移動商務路徑實施��。為了更好地理解過程400����,圖4C展示了一幅具有代表性的方塊圖450,圖中相關方塊相互作用以完成所述的過程400�����。根據(jù)本發(fā)明實際應用的不同情況,所述過程400可能通過軟件����、硬件���、或軟硬件結合的方式實現(xiàn)���。假設用戶得到了一臺安裝了電子錢包的便攜設備(例如一臺便攜式電話〕。所述用戶希望從銀行的賬戶中向所述電子錢包注入資金���。在步驟402���,所述用戶輸入一組個人識別號碼(PIN)。假定所述個人識別號碼有效���,便攜設備中的電子錢包管理器被激活��,并在步驟404中發(fā)起請求(也被稱為空中(OTA����,Over-the-Air)充值請求)���。在步驟406中便攜設備內(nèi)的MIDlet程序向電子錢包applet程序發(fā)送請求�,圖4C中描繪了所述步驟406中電子錢包管理器MIDlet程序434與電子錢包applet程序436之間通信的過程。在步驟408中�,電子錢包applet程序生成用于回應所述MIDlet程序請求的回復。收到所述回復后���,所述MIDlet程序?qū)⑺龌貜屯ㄟ^蜂窩通信網(wǎng)絡發(fā)送至支付網(wǎng)絡和服務器��。如圖4C所示�,電子錢包管理器MIDlet程序434與電子錢包applet程序436通信以獲取回復����,所述回復隨即被發(fā)送至支付網(wǎng)絡和服務器440。在步驟410���,過程400需要核實所述回復的有效性���。如果所述回復無法被核實,過程400將終止�。如果所述回復被核實為有效,則過程400進入步驟412并查對銀行中相對應的賬戶����。如果所述賬戶的確存在���,資金過戶請求將 被啟動。在步驟414中����,所述銀行收到所述請求后會返回回復以回應所述請求�。通常,所述支付網(wǎng)絡和服務器與所述銀行之間的信息交換需遵守網(wǎng)絡協(xié)議〔例如國際互聯(lián)網(wǎng)使用的HTTP協(xié)議〕���。在步驟416中�,所述銀行返回的回復被傳送至支付網(wǎng)絡和服務器����。在步驟418中,MIDlet程序從所述回復中提取出處APDU命令并將所述命令轉發(fā)給電子錢包applet程序�����。在步驟420中所述電子錢包applet程序核實所述命令����,如果所述命令被核實為已被授權,則將該命令發(fā)送至步驟420中的模擬器,同時更新交易日志��。步驟422中生成標簽(ticket)以用來制定向所述支付服務器發(fā)送的回復(例如APDU格式的回復)��。在步驟424中����,所述支付服務器收到回復后更新并向所述MIDlet程序發(fā)送成功狀態(tài)信息,同時保存所述APDU回復以便以后查對�����。如圖4C所示���,支付網(wǎng)絡和服務器440收到電子錢包管理器MIDlet程序434發(fā)出的回復�����,并與安全識別模塊444核實所述回復最初是由經(jīng)過授權的電子錢包applet程序436所發(fā)出��。所述回復被核實之后�����,支付網(wǎng)絡和服務器440向提供資金的銀行442發(fā)出請求�,假定用戶432在所述銀行中有帳戶。所述銀行會核實并授權所述請求����,然后按照預定的消息格式返回授權號碼。從銀行442接收到所述回復之后�,支付服務器440會向MIDlet程序434發(fā)送一個網(wǎng)絡回復以拒絕或批準所述請求。電子錢包管理器434核實所述網(wǎng)絡回復的有效性(例如是否是APDU格式)���,然后向模擬器438發(fā)送命令并更新交易日志�����。至此,電子錢包applet程序436完成了所需的步驟并向而MIDlet程序434返回一個回復��,所述MIDlet程序434再向支付服務器440轉發(fā)一條內(nèi)嵌(APDU)回復的網(wǎng)絡請求���。盡管過程400被描述為向電子錢包中注入資金����,本領域中的其他技術人員能夠容易地得出使用電子錢包通過網(wǎng)絡進行購買的過程與過程400本質(zhì)上是一樣的結論�����,因此所述進行購買的過程不再在此單獨討論。根據(jù)本發(fā)明的一個具體實施例�,圖5A中展示了使便攜設備530能夠在蜂窩通信網(wǎng)絡520(例如一個GPRS網(wǎng)絡)上進行電子商務和移動商務的第一個示例架構500。所述便攜設備530由基帶524和安全元件529(例如智能卡)組成��。所述便攜設備的一個實例是支持近距離通信或近場通信(NFC����,NearFieldCommunication)的便攜設備(例如便攜式電話或個人數(shù)字助理(PDA))。所述 基帶524提供了一個電子平臺或環(huán)境(例如微型版Java(JME��,JavaMicroEdition)��,或移動信息設備框架(MIDP���,MobileInformationDeviceProfile))����,在其上可執(zhí)行或運行應用MIDlet程序523和服務器管理器522���。所述安全元件529包含有全球平臺(GP)卡片管理器526�����,模擬器528以及其他組件比如個人識別號碼管理器〔未示出〕����。為支持所述便攜設備530執(zhí)行電子商務和移動商務,需要在其上預先安裝和設置一個或多個服務/應用�����。服務管理器522的一個實例(例如一個有圖形用戶界面的MIDlet程序)需要被激活���。在一個具體實施例中�,服務管理器522可以被下載并安裝�。在另一個具體實施例中,服務管理器522可以被預先載入���。無論采用何種方式����,一旦服務管理器522被激活��,包含各種服務的目錄列表將被顯示���。所述目錄列表可能包含與用戶的簽約信息有關的服務項目,也可能包括獨立于用戶簽約信息的推薦項目�����。所述目錄列表可從目錄服務器512上的目錄庫502中得到。目錄服務器512為各種可能向注冊者提供產(chǎn)品和/或服務的服務提供者(例如安裝服務器��,個人化服務器)起到了交流中心(centralhub)的作用(如黃頁功能)�����。所述目錄服務器512的黃頁功能可以包括服務規(guī)劃信息(例如服務收費��,開始日期����,結束日期等〕、安裝����、個人化和/或MIDlet程序下載地點(如國際互聯(lián)網(wǎng)地址)。所述安裝和個人化過程可能是由兩個不同的商業(yè)實體所提供�,比如所述安裝過程可能由安全元件529的發(fā)行商所提供,而所述個人化過程可能由持有特定應用程序的應用處理密鑰的服務提供商所提供�。根據(jù)一個具體實施例,服務管理器522被配置為通過蜂窩通信網(wǎng)絡520連接服務提供商的一個或多個服務器514�����。假定用戶已經(jīng)從呈現(xiàn)給他的服務目錄中選擇了一個應用。在所述一臺或多臺服務器514與全球平臺管理器526之間將建立一條安全通道518����,以安裝/下載所述用戶選擇的應用applet程序527,然后再個人化此應用applet程序527及可選的模擬器528�,并最終下載應用MIDlet程序523。Applet程序庫504和MIDlet程序庫506分別提供一般的應用applet程序和應用MIDlet程序�。全球平臺安全識別模塊516和應用程序安全識別模塊517被用來建立安全通道518以進行個人化操作。根據(jù)本發(fā)明的另一個具體實施例�,圖5B展示了使便攜設備530能夠在公共網(wǎng)絡521上執(zhí)行電子商務和移動商務的第二個示例架構540。所述第二個架構540中的大多數(shù)組件本質(zhì)上與圖5A第一個架構500中的組件相類似����。不同之 處在于第一個架構500是基于蜂窩通信網(wǎng)絡520上的操作,而第二個架構540則使用了公共網(wǎng)絡521〔例如國際互聯(lián)網(wǎng))��。所述公共網(wǎng)絡521可能包括局域網(wǎng)(LAN����,LocalAreaNetwork)、一個廣域網(wǎng)(WAN�,WideAreaNetwork)����、WiFi(IEEE802.11)無線連接���、一個Wi-Max(IEEE802.16)無線連接等。為了在所述公共網(wǎng)絡521上進行服務操作�,服務管理器532的一個實例(即與服務管理器MIDlet程序522功能相同或相似的實例)將被安裝在接入公共網(wǎng)絡521的計算機538上。所述計算機538可以是桌面?zhèn)€人電腦(PC)�、筆記本電腦、或其他能運行服務管理器532的所述實例�����,并接入公共網(wǎng)絡521的計算設備�。所述計算機538和便攜設備530之間的連接通過一個非接觸讀取器534來進行。服務管理器532充當了代理的角色���,以協(xié)助服務提供商的一個或多個服務器514與全球平臺卡片管理器526之間����,通過安全通道519進行的安裝和個人化過程�����。圖5C是一張流程圖���,根據(jù)本發(fā)明的一個具體實施例����,描繪了使便攜設備能夠進行電子商務和移動商務功能的過程550。所述過程550根據(jù)具體實現(xiàn)的不同�,可以通過軟件、硬件���、或軟硬件結合的方式實現(xiàn)��。為了更好地理解所述過程550��,以下的描述中將引用若干較早的圖示�,尤其是圖5A和圖5B�。在過程550開始之前,服務管理器522或532的一個實例已被下載或預裝在便攜設備530或計算機538上��。在步驟552�,服務管理器被激活并向服務提供商處的服務器514發(fā)送服務請求。在用戶被識別以及便攜設備被核實為有效之后�,在步驟554中,所述過程550依據(jù)便攜設備530的用戶的簽約(subscription)信息提供服務/應用程序的目錄列表��。例如��,所述列表可能包含移動銷售點應用程序、電子錢包應用程序��、電子票務應用程序����、以及其他商業(yè)化的服務����。然后一個服務/應用程序被從所述目錄列表中選中。例如�,電子錢包或移動銷售點可被選中用來配置便攜設備530。作為對用戶選擇的回應����,過程550在步驟556下載并安裝所述被選中的服務/應用程序。例如��,電子錢包applet應用程序(即應用applet程序527)從applet程序庫504中下載并安裝在安全元件529中��。所述下載或安裝的路徑可以是安全通道518或519�����。在步驟558中���,如果需要����,過程550將個人化所述已被下載的應用applet程序和所述模擬器528。一些被下載的應用applet程序不需要被個人化����,另外一些則需要個人化。在一個具體實施例中���,移動銷售點應用applet程序(“銷售點安全識別模塊(POSSAM)”)需要被個人化��,則以下信息或數(shù)據(jù)組是必須提供的:(a)唯一基于底層安全元件獨特標識符的安全識別模塊ID�;(b)一組借記主密鑰(debitmasterkey)��;(c)一個轉換后的消息加密密鑰���;(d)一個轉換后的消息識別密鑰����;(e)每筆線下交易的備注部分可以被允許的最大長度�;(f)一個轉換后的批量交易密鑰;以及(g)一個全球平臺個人識別號碼(GPPIN)�����。在另一個具體實施例中,為單功能卡片個人化電子錢包applet程序時���,不僅需要將特定數(shù)據(jù)(即個人識別號碼、轉換后的密鑰��、開始日期��、結束日期等)配置在電子錢包中�,而且還要將模擬器設置為可以在開放的系統(tǒng)中工作。最后��,在步驟560中��,過程550下載并根據(jù)選擇啟動應用MIDlet程序523�����。所述應用applet程序中的某些個人化數(shù)據(jù)可被訪問和顯示���,或由用戶提供�。所述過程550在所有服務/應用組件均被下載����、安裝和個人化后結束�����。根據(jù)一個具體實施例����,使便攜設備530能夠作為一個移動銷售點來使用的一個代表性過程如下:(a)接入安裝服務器(即服務提供商的一臺服務器514)��,并請求所述服務器建立第一條安全通道(例如安全通道518)��,以連接一個發(fā)行商域〔即applet程序庫504〕與運行于安全元件529上的全球平臺卡片管理器526���;(b)接收一條或多條網(wǎng)絡消息�����,所述消息中包含封裝銷售點安全識別模塊applet程序(例如來自applet程序庫504的一個JavaCap文件)的若干APDU請求�����;(c)從接收到的所述網(wǎng)絡消息中提取所述APDU請求�;(d)向全球平臺卡片管理器526按照正確的順序發(fā)送提取出的APDU請求����,以在安全元件529上安裝銷售點安全識別模塊(即應用applet程序527)�;(e)接入一個個人化服務器〔即一臺服務提供商的服務器514〕���,以開通第二條連接個人化服務器與新下載的applet程序(即銷售點安全識別模塊)之間的安全通道(根據(jù)服務器和/或路徑的不同�����,所述安全通道可能是也可能不是安全通道518)。(f)接收一條或多條網(wǎng)絡消息以獲得一個或多個單獨的“數(shù)據(jù)存儲APDU(STOREDATAAPTU)”�����;(g)提取并發(fā)送所述“數(shù)據(jù)存儲APDU(STOREDATAAPTU)”���,以個人化銷售點安全識別模塊�;以及(h)下載并啟動銷售點管理器(即應用MIDlet過程序523)�。圖6A展示了一個代表性的架構600,根椐本發(fā)明的一個具體實施例���,其中便攜設備630作為移動銷售點���,以執(zhí)行電子商務和移動商務�。所述便攜設備630由基帶624和安全元件629組成��。銷售點管理器623被下載并安裝在所述基帶624中����,銷售點安全識別模塊628則被個人化并安裝在安全元件629中,以使便攜設備630能夠充當移動銷售點的角色�。這樣實時的交易639可以在支持移動銷售點的便攜設備630與支持電子代幣的裝置636(例如單功能卡片或支持電子錢包的移動設備)之間進行。所述電子代幣可能代表設備中的電子貨幣(e-money)�����、電子購物券(e-coupon)����、電子票(e-ticket)、電子憑單(e-voucher)或任何其他形式的支付代幣�。實時交易639可以在線下進行(即不將便攜設備接入后端銷售點交易處理服務器613)。但是����,在特定的實際情況中,例如交易量超過了預定的門限時�,或支持電子代幣的設備636需要充值或虛擬充值時,或(單一或批量)交易上傳時���,所述便攜設備630可以通過蜂窩網(wǎng)絡520接入所述后端銷售點交易處理服務器613���。累積的線下交易記錄需要被上傳至后端銷售點交易處理服務器613進行處理�。所述上傳操作由通過安全通道618接入銷售點交易處理服務器613的便攜設備630執(zhí)行��。與所述安裝和個人化過程相似�����,上傳操作可以經(jīng)由兩條不同的路線執(zhí)行:蜂窩通信網(wǎng)絡520��;或公共網(wǎng)絡521��。圖6A描繪了所述第一條路線�����。所述第二條路線如圖6B所示���,根椐本發(fā)明的一個具體實施例,圖6B展示了一個代表性的架構640��,其中便攜設備630作為移動銷售點并在公共網(wǎng)絡521上執(zhí)行交易批量上傳的操作��。所述移動銷售點中的線下交易記錄一般被堆積保存在銷售點安全識別模塊628中的交易日志中。所述交易日志由非接觸讀取器634所讀取并存入安裝在計算機638中的銷售點代理633���。所述銷售點代理633再在公共網(wǎng)絡521上通過安全通道619接入銷售點交易處理服務器613��。每個包含一條或多條交易記錄的上傳操作都標記為一個單獨的批量上傳操作�。銷售點安全識別模塊628���、非接觸讀取器634以及銷售點代理632三者之間的數(shù) 據(jù)通信釆用格式并包含所述交易記錄�。封裝APDU(例如HTTP)的網(wǎng)絡消息則被用于銷售點代理632和銷售點交易處理服務器613之間的通信��。在一個具體實施例中���,一個來自銷售點管理器623或銷售點代理633的具有代表性的批量上傳過程包括:(a)向銷售點安全識別模塊628發(fā)送請求以發(fā)起批量上傳操作����;(b)在所述銷售點安全識別模塊628同意所述批量上傳請求后�����,從所述銷售點安全識別模塊628中被標記的“一批”或“一組”中以APDU命令的形式取回累積的交易記錄�;(c)創(chuàng)建一條或多條包含所述取回的APDU命令的網(wǎng)絡消息;(d)通過安全通道619將所述一條或多條網(wǎng)絡消息發(fā)送至銷售點交易處理服務器613����;(e)從所述銷售點交易處理服務器613中接收確認簽名消息�����;(f)將所述確認簽名消息以APDU的形式轉送至所述銷售點安全識別模塊628以進行核實�,然后刪除經(jīng)確認已被上傳的交易記錄�;以及(g)如果所述同一“批”或“組”中仍然有其他未被上傳的交易記錄,則重復步驟(b)至步驟(f)�����。圖6C展示了一幅流程圖�����,根據(jù)本發(fā)明的一個具體實施例�,描繪了使用充當移動銷售點的便攜設備630與作為單功能卡片使用并支持電子代幣的裝置636進行移動商務的過程650��。為了更便于理解�����,最好將過程650與之前的圖示�,尤其是圖6A和圖6B關聯(lián)起來一同考察�����。所述過程650可以用軟件��、硬件���、或軟硬結合的方式實現(xiàn)。當支持電子代幣裝置(例如Mifare卡片或支持電子錢包并模擬單功能卡片的便攜式電話)的持有者��,希望通過移動銷售點(即便攜設備630)購買物品或訂購服務時���,過程650(例如圖6A中的銷售點管理器623所執(zhí)行的過程〉便會被啟動����。在步驟652���,便攜設備630讀取所述支持電子代幣的裝置并取回電子代幣(例如Mifare卡片的標簽ID)�����。然后��,過程650在步驟654中核實所述取回的電子代幣是否有效����。如果圖6A中支持電子代幣的裝置636是單功能卡片(例如Mifare),則由銷售點管理器623執(zhí)行的所述核實過程包括:(i)讀取所述卡片的卡片標識(ID)��,所述卡片標識保存在不受保護或僅受公知密鑰保護的區(qū)域上���;(ii)向銷售點安全識別模塊628發(fā)送包含所述卡片標識的請求���;(iii)接收一個或多 個由銷售點安全識別模塊628生成的轉換后密鑰〔例如用于交易計數(shù)、發(fā)行商數(shù)據(jù)等的密鑰〕����。如果所述接收到的一個或多個轉換后密鑰為無效,即所述取回的電子代幣為無效��,則結束過程650����。否則過程650將沿著“是”分支推進至步驟656,在步驟656中將判定在所述取回的電子代幣中是否有足夠的余額以支付當前交易所需的費用���。如果步驟656判定的結果為“否”,過程650可以選擇提議所述持有者在步驟657中為其電子代幣充值(即載入、注入或籌集資金)����。如果所述持有者選擇“否定”所述提議,則過程650結束��。否則如果所述持有者同意為所述支持電子代幣的裝置進行實時充值��,則過程650在步驟658中執(zhí)行充值或虛擬充值操作��。之后過程650返回步驟656����。如果在電子代幣中有足夠的幣余額,過程650在步驟660中從支持電子代幣裝置636的電子代幣中扣除或借記完成所述購買需要支付的數(shù)額�����。在所述單功能卡片的情況中��,所述一個或多個轉換后密鑰被用來授權所述扣除操作�����。最后在步驟662�,銷售點安全識別模塊628中積累的一個或多個線下交易記錄被上傳至銷售點交易處理服務器613進行處理�����。所述上傳操作可通過蜂窩通信網(wǎng)絡520或公共域網(wǎng)絡521對單個交易或批量交易進行�����。圖4A中的過程400描述了前述的充值操作�����。虛擬充值操作是所述充值操作的特殊類型���,通常被贊助人或捐助者用來提高電子代幣的信用額度。為了能夠使用虛擬充值操作��,所述贊助人需要設立一個賬戶��,并將所述賬戶與支持電子代幣的裝置(例如單功能卡片�����、多功能卡片����、支持電子代幣的便攜式電話等等)綁定�。例如����,由商業(yè)實體(例如企業(yè)�、銀行等等)提供的線上賬戶。一旦所述贊助人向所述線上賬戶中充入了電子代幣����,支持電子代幣裝置的持有者便能在接入移動銷售點時從所述線上賬戶中收到電子代幣。多種不同的安全措施將被貫徹執(zhí)行以確保所述虛擬充值操作是安全而且可靠的�����。所述虛擬充值的一個具有代表性的應用情景是父(母)親(即贊助人)可以向一個線上賬戶中充入電子代幣�����,所述線上賬戶與一位兒童(即設備持有人)的便攜式電話(即支持電子代幣的裝置)相連接�,因此當所述兒童在移動銷售點購買物品時,所述兒童就能收到所述被充入的電子代幣�。除了此處描述的各種電子商務和移動商務功能以外,銷售點管理器623還被設置為可提供多種查詢操作�����,例如,(a)檢查銷售點安全識別模塊中累積的未形成批量(即未被上傳)的收支記錄����,(b)列出銷售點安全識別模塊中的未形成批量的交易日志,(c)顯示保存在銷售點安全識別模塊中的特定交易 的細節(jié)���,(d)檢查支持電子代幣的裝置的當前余額��,(e)列出支持電子代幣的裝置的交易日志����,以及(f)顯示支持電子代幣的裝置的特定交易的細節(jié)���。圖6D中的流程圖�����,根據(jù)本發(fā)明的一個具體實施例�,描繪了使用可充當移動銷售點的便攜設備630與作為多功能卡片使用并支持電子代幣的裝置636��,進行移動商務的具有代表性的過程670�。為了更便于理解,最好將過程670與之前的圖示�����,尤其是圖6A和圖6B聯(lián)系起來一同考察。所述過程670可以用軟件�����、硬件�、或軟硬結合的方式實現(xiàn)�����。當支持電子代幣裝置636(例如多功能卡片或支持電子錢包并模擬多功能卡片的便攜式電話)的持有者希望通過移動銷售點(即便攜設備630)購買物品或訂購服務時�����,過程670(例如圖6A中銷售點管理器623所執(zhí)行的過程)便會被啟動���。在步驟672��,過程670向支持電子代幣的裝置636發(fā)送初始購買請求���。購買費用與所述初始購買請求(例如命令)一同發(fā)送。然后過程670進行至判定步驟674�����。當支持電子代幣的裝置636中沒有足夠的余額時,銷售點管理器623將收到拒絕所述初始購買請求的回應消息�����。結果是過程670由于所述購買請求被拒絕而結束���。如果支持電子代節(jié)的裝置636中有足夠的余額���,判定步驟674的結果為“是”,過程670將沿著“是”分支進行至步驟676���。從支持電子代幣的裝置636那里收到的回復(例如APDU命令)將被轉發(fā)至銷售點安全識別模塊628���。所述回復中的信息包括電子代幣密鑰的版本,以及將被用于建立安全通道的隨機數(shù)����,所述安全通道將連接支持電子代幣的裝置636上的applet程序(例如電子錢包applet)與便攜設備630上安裝的銷售點安全識別模塊628。然后���,在步驟678��,過程670收到由銷售點安全識別模塊628為了回應所述轉發(fā)回復(即步驟676中的回復)而生成的借記請求(例如APDU命令)�。所述借記請求包含消息識別代碼(MAC,MessageAuthenticationCode)以便applet程序〔即電子錢包applet程序〕核實即將進行的借記操作�,其中所述即將進行的借記操作是為了回應步驟680中發(fā)送的借記請求而進行的。過程670推進到步驟682����,收到所述借記操作的確認消息。所述確認消息中包含被銷售點安全識別模塊628和銷售點交易處理服務器613分別用來核實和處理的附加消息識別代碼����。接下來在步驟684���,所述借記確認消息被轉發(fā)至銷售點安全識別模塊628以進行核實�����。一旦所述消息識別代碼被核實為有效�����,并且購買交易被記錄在銷售點安全識別模塊628中���,所述被記錄的交易在步驟686中被顯示�����,然后過程670結束�。 需要注意的是前述電子商務交易可在線下或線上通過銷售點交易處理服務器613進行���。并且當支持電子代幣的裝置中的余額不足時����,可以按照圖4A和圖4B中描繪的過程400執(zhí)行充值或注資操作�����。圖7展示了便攜設備被用于電子票務應用時的具有代表性的設置��。便攜設備730被配置為包括電子錢包724�����。當所述便攜設備730的擁有者或持有人希望購買參加一個特定活動的票據(jù)(例如音樂會票���、球賽門票等)時����,所述擁有者可使用電子錢包724通過一個電子票服務提供商720購票。所述電子票服務提供商720可聯(lián)系傳統(tǒng)的票房預定系統(tǒng)716或線上票務應用程序710來預定和購買所述票據(jù)����。之后電子代幣(例如電子貨幣)被從便攜設備730的電子錢包724中扣除,以向信用/借記系統(tǒng)714(例如金融機構���,銀行)支付票據(jù)購買費用���。安全識別模塊718被接入所述電子票務服務提供商720,以確保便攜設備730中的電子錢包724被正確識別���。在收到付款確認后���,電子票通過空中連接(例如蜂窩通信網(wǎng)絡)被傳送至便攜設備730����,并以電子化的方式被存儲在安全元件726上,例如以電子票代碼����、密鑰或密碼的方式。之后,當所述便攜設備730的擁有者�,即所述電子票的持有者出席所述特定活動時,所述電子票持有者只需要讓入口登記讀取器734讀取便攜設備730中保存的電子票代碼或密鑰��。在一個具體實施例中�����,所述入口登記讀取器734是一個非接觸讀取器(例如遵守ISO14443的超短距離耦合裝置)�����。所述便攜設備730是支持近距離通信(NFC)的移動電話?����,F(xiàn)在參考圖8A所示��,其示出了在一個實施例中的由一個業(yè)務運行或安排的TSM所涉及的多方(multipleparties)的示意圖����。TSM運營團隊802包括負責為用戶管理賬戶的管理者(administration,簡稱admin�,或稱之為管理器或管理),這些用戶已經(jīng)通過TSM或其他任務個人化了他們的安全元件��。在一個實施例中,所述TSM運營團隊802包括管理所述賬戶的一些人�����,管理系統(tǒng)資源(比如管理HSM���,創(chuàng)建HSM索引(index)和GP密鑰映射)的一些人����。此外�,所述團隊還負責從一個或多個SE制造者離線輸入默認ISD信息。所述團隊還包括被稱為鑒定工程師(certificationengineer)的一些人�,它們負責根據(jù)應用批準流程(applicationapprovalprocess)與服務提供者和SE發(fā)行者合作。所述TSM銷售團隊804�,其也被稱為業(yè)務賬戶管理者,其負責銷售和TSM的供應商(vendor)的賬戶管理��。所述團隊804中的一些成員可以只為所述SE制造者工作�,一些成 員可以只為所述SE發(fā)行者工作�,其他人可以為多個類型的供應商工作。所述TSM合作服務團隊806��,也可以被稱為支持工程師���,其負責為TSM的供應商(比如SE發(fā)行者和服務提供者)提供技術支持�����。所述TSM合作服務團隊806�,不直接與移動用戶聯(lián)系,但是卻可以幫助合作伙伴分析審計日志(auditlogs)����。所述供應商808包括SE發(fā)行者、SE制造者和服務提供者中的一個或多個����。SE發(fā)行者負責安全元件的發(fā)行,并擁有所述安全元件的ISD����。SE發(fā)行者與所述TSM團隊一起工作,如果需要其可以為服務提供者安裝額外的SSD�����。SE制造者���,顧名思義���,用來負責制造所述安全元件����,并在安全元件內(nèi)安裝默認ISD��。它也可以與TSM團隊一起工作����,提供這些默認的ISD密鑰集。所述服務提供者負責開發(fā)NFC移動應用��。來自所述服務提供者的應用示例包括但不限于交通錢包��、銀行電子錢包和信用卡���。小服務提供者可以是提供用作房間密鑰的應用的那些人�����。圖8B示出了在一個實施例中的TSM涉及的各方之間的相關關操作過程����。所述操作的描述沒有在這里詳細描述以避免模糊本發(fā)明的一個實施例的重點���。圖8C示出了一個示例的TSM中在各方之間建立互相同意協(xié)議的工作流程�。SE發(fā)行者或服務提供者要求TSM保存其GP密鑰集����。在一個實施例中,對于SE發(fā)行者來說��,這個GP密鑰集最有可能被用作ISD�。對于服務提供者來說,這個GP密鑰集被用作SSD�。如圖8C所示,創(chuàng)建密鑰集的過程涉及在HSM中創(chuàng)建密鑰和在TSM系統(tǒng)中創(chuàng)建映射(mapping)���。所述映射的有效范圍將被設置到合約失效日期(contractexpiringdate)�����?��?傮w來講,HSM密鑰索引(keyindex)不能在同一時間對于多個映射有效���。當所述密鑰集將要期滿時����,可以進行更新。所述更新流程與圖8C中所示的創(chuàng)建過程相似�。根據(jù)一個實施例,在所述密鑰集期滿的幾個月前�,所述TSM將會定期的給所述密鑰集的擁有者將發(fā)送通知。一旦所述密鑰集的擁有者更新所述合約�����,則停止所述通知�。所述密鑰集的擁有者可以通過創(chuàng)建一個工作請求或項目來開始所述更新過程。一個可靠的TSM業(yè)務賬戶管理者批準或拒絕所述工作項目��。在接收到所述已經(jīng)被批準的工作項目時��,所述TSM管理者根據(jù)所述更新的合約更新所述密鑰集的期滿日期��。相似的�����,所述密鑰集可以較早的期滿或結束����。所述結束流程與圖8C所示的創(chuàng)建流程類似��。所述密鑰集擁有者可以請求在一個未來日期停止所述密鑰集��。所述可靠的TSM業(yè)務賬戶管理者將會立即核實,并批準或拒絕所述請求�����。 所述TSM管理者設置所述映射的期滿日期為指定日期�。所述TSM為其他供應商再生所述HSM密鑰索引。保存審計日志以記錄所述交易的痕跡����。圖8D示出了SE發(fā)行者和TSM之間ISD映射的數(shù)據(jù)流程?����?傮w來說����,所述ISD映射由每個SE發(fā)行者直接管理。SE發(fā)行者能夠創(chuàng)建一個映射去綁定一個外部或內(nèi)部密鑰集至一個ISD密鑰索引(index)���。外部密鑰集是未存在于與TSM相關的HSM中的密鑰集��,內(nèi)部密鑰集是存在于所述HSM中的密鑰集��。通常��,所述SE發(fā)行者應該不需要指定默認ISD��,由于默認ISD是來自所述SE制造者的���。然而����,如果需要�,SE發(fā)行者可以選擇去重寫這個默認ISD。如圖8D所示��,所述SE發(fā)行者為卡操作系統(tǒng)(CardOS)創(chuàng)建了一個ISD映射去綁定密鑰集和ISD密鑰索引(比如從1-127的范圍)����。如果密鑰集不是不外部的,所述TSM將確保與它的HSM的密鑰集映射存在�����。在操作時,所述SE發(fā)行者可以直接修改或刪除所述ISD映射�����。如上文所述�����,SE制造者具有所述安全元件的默認ISD信息����。所述TSM為SE制造者提供批量和實時方式去共享這些信息�。基于與TSM的協(xié)議��,所述SE制造者可以使用批量或?qū)崟r方式��,其已經(jīng)被描述過了�。為了安全原因,所述服務提供者(serviceprovider,簡稱SP)為了個人化他的應用可能希望有他們自己的SSD�����。所述SSD映射由SE發(fā)行者創(chuàng)建以綁定分配給所述服務提供者的一個密鑰索引至SP密鑰集�����。圖8E示出了在TSM、SE發(fā)行者���、服務提供者之間的相應數(shù)據(jù)流程�����。類似于所述SSD的創(chuàng)建����,服務提供者可以請求所述SE發(fā)行者去刪除一個SSD映射���。所述工作流程與所述SSD創(chuàng)建過程基本類似���。如上文所示,服務提供者為用戶提供的應用��。在移動用戶訂購和下載一個應用前���,需要批準或發(fā)布所述應用��。例如�,服務提供者需要提交一個應用給SE發(fā)行者和TSM以待批準。圖8F示出了由SE發(fā)行者批準一個應用的數(shù)據(jù)流程����。如果需要專用SSD,所述服務提供者可以如上預先請求一個SSD����,或在請求中指出。在批準的應用對于普通大眾可用之前�,所述服務提供者或所述SE發(fā)行者可以啟動所述公開過程。在所述TSM中為用戶公開所述應用前��,兩方都必須同意����。隨后����,通知所述供應商所述應用的日期和有效性。在一些實例中��,安全元件需要被替換���。在移動用戶或他的SE發(fā)行者請求時���,可以替換所述安全元件��。通常��,為了更多服務和更大的存儲空間需要更新 安全元件��。應當注意以下三點:●對于這些應用��,需要從老的安全元件中遷移出他們的應用狀況����,所述老的安全元件需要仍能被應用訪問(通過TSM)�;●對于不需要狀態(tài)遷移的這些應用,所述TSM僅僅需要重新設置和個人化所述應用�����;●然而���,如果一個應用��,其狀態(tài)在安全元件中�,但是不支持狀態(tài)遷移���,所述TSM不能遷移他們的狀態(tài)���。對于這些應用����,他們將被以第二種方式對待(即�����,所述應用必須被重新設置和個人化)���。圖8G示出了替換安全元件的流程�����。安全元件發(fā)行者通知TSM關于:●SE發(fā)行者通知TSM關于SE替換請求;●TSM與服務提供者協(xié)作以準備APDU命令���,以收集在老的SE上的應用的狀態(tài)�����;●對于每個應用��,TSM執(zhí)行命令所述APDU命令以提取應用狀態(tài)�����,并鎖定所述應用��;●TSM通知移動用戶去物理的改變新的安全元件���。移動用戶可以改變他/她的主意去撤銷或返回(rollback)所述替換請求�����。在這個步驟之后將沒有撤銷或返回���;●如果它還沒有被處理,TSM將更新所述默認ISD�����;●與服務提供者協(xié)作�,TSM將安裝和個人化或配置每個應用。如果需要��,TSM將為服務提供者安裝所述SSD����?�;谒龇仗峁┱叩撵o態(tài)數(shù)據(jù)和動態(tài)應用狀態(tài)準備所述個人化數(shù)據(jù)�����。如圖9所示��,其示出了個人化的安全元件的一個賬戶的顯示屏的快照示例���。如所述菜單(menu),所述賬戶維持(mantains)有已經(jīng)個人化的安全元件的詳細信息�。此外,所述賬戶包括一系列配置的應用和安全密鑰���。也可以維持其他信息����,比如應用擁有者(開發(fā)所述應用的人)�����、TSM的可靠聯(lián)系�、SE日志和應用日志。本發(fā)明更適合采用軟件形式實現(xiàn)�����,但也可用硬件或軟硬件結合的形式實現(xiàn)�。本發(fā)明也可被實現(xiàn)為計算機可讀媒體上的可被計算機讀取的代碼。所述計算機可讀媒體是任何可以保存能夠被計算機系統(tǒng)讀取的數(shù)據(jù)的數(shù)椐存儲裝置�。計算機可讀媒體的實例包括只讀存儲器,隨機存取存儲器����,CD光盤(CD-ROM), 數(shù)字化視頻光盤(DVD)�,磁帶,光學數(shù)據(jù)存儲裝置����,以及載波。所述計算機可讀媒體也可分布在通過網(wǎng)絡相連的多臺計算機系統(tǒng)中����,這樣所述可被計算機讀取的代碼將以分布式的方式存儲和運行。上述說明已經(jīng)充分揭露了本發(fā)明的具體實施方式�。需要指出的是,熟悉該領域的技術人員對本發(fā)明的具體實施方式所做的任何改動均不脫離本發(fā)明的權利要求書的范圍。相應地��,本發(fā)明的權利要求的范圍也并不僅僅局限于前述具體實施方式���。當前第1頁1 2 3 當前第1頁1 2 3