用于提供可控的可信服務(wù)管理平臺的方法和系統(tǒng)的制作方法
【專利摘要】本發(fā)明公開了用于實現(xiàn)和提供一種可控的可信服務(wù)管理的技術(shù)�����。這些技術(shù)涉及向服務(wù)提供者賦予應(yīng)用程序配置的能力以及applet程序和安全元件(SE)管理的能力��。向服務(wù)提供者提供一服務(wù)管理模塊(文中稱為可控TSM或CTSM)��,從而對通過該服務(wù)提供者發(fā)布的特定應(yīng)用程序進行配置�����。本發(fā)明中的系統(tǒng)或平臺允許服務(wù)提供者在補充安全域(SSD)下進行運作����,其中�����,補充安全域是通過SE發(fā)行者或者僅服務(wù)提供者知曉的更新后補充安全域密鑰集來進行安裝的����。這樣的平臺是設(shè)計來支持嵌入式安全元件(eSE)��,并且可以擴展來支持基于UICC的安全元件��。借助CTSM,服務(wù)提供者可以采用補充安全域來安全且獨立地對安裝于各安全元件上的applet程序進行個人化�。
【專利說明】用于提供可控的可信服務(wù)管理平臺的方法和系統(tǒng)
【【技術(shù)領(lǐng)域】】
[0001]本發(fā)明通常涉及電子商務(wù)領(lǐng)域,特別地�,本發(fā)明涉及一種可信服務(wù)管理(trustedservice management,簡稱TSM)方案,其可以被一個實體(比如服務(wù)提供者)控制,其中所述可信服務(wù)管理用來協(xié)助或促進通過或不通過網(wǎng)絡(luò)發(fā)生的電子商務(wù),尤其是移動商務(wù)�。更特別地,本發(fā)明中的可信服務(wù)管理方案的一個實施例建立操作來提供這樣的可信服務(wù)管理以支持各種由所述實體發(fā)布或提供的多個移動應(yīng)用��。
【【背景技術(shù)】】 [0002]能夠為移動支付的成功大量部署解決業(yè)務(wù)(business)和操作需求的一個模型是使用中介(intermediary),可信服務(wù)管理者(Trusted Service Manager,TSM)����。這個被GSMA(GSM Association, GSM協(xié)會)認可的方案的重要優(yōu)點在于快速的可擴展性。所述TSM的主要角色在于使用移動運營商的網(wǎng)絡(luò)幫助服務(wù)提供者(Service Provider)為他們的客戶安全的發(fā)布和管理無接觸性服務(wù)(contactless service) 0然而�����,所述TSM不能參與使用具有近場通信(near-field communication,簡稱NFC)功能的裝置進行的實際的無接觸性交易��。這些交易通常由所述服務(wù)提供者和他的商業(yè)伙伴提供的系統(tǒng)來處理��。能夠加速移動NFC應(yīng)用的成功部署和增長的TSM的另一個可能角色是作為商業(yè)中介以促進或有助于合同安排和在移動營運上和服務(wù)提供者之間的不斷發(fā)展的商業(yè)關(guān)系的其他方面��。
[0003]按照GSMA的設(shè)想���,TSM角色的一個關(guān)鍵要點就是:它是一個獨立的實體���,為移動網(wǎng)絡(luò)運營商(MNO)和任何賬戶發(fā)行實體提供服務(wù)���,比如銀行、卡組織�����、交通運輸管理部門��、商家和營銷公司(僅列舉一些潛在的服務(wù)提供者)��。因此����,要對具有NFC功能的手機配置進行應(yīng)用程序的配置,獨立的TSM是關(guān)鍵所在����,這樣,這些應(yīng)用程序才最有可能吸引消費者進行購買����。然而����,部署TSM時的情況卻似乎并不總是如此�。
[0004]比如����,可以想象的是,與其中一家重要卡組織進行合作的銀行可以通過主要移動網(wǎng)絡(luò)運營商來發(fā)行手機�,而這手機本質(zhì)上就是貼上了卡組織的標簽的一部手機??ńM織或銀行可能會為這樣的裝置提供TSM服務(wù)。對于將特定商家的預(yù)付賬戶添加至這些手機上的行為�,這樣的合作關(guān)系可能會對其予以抵制,原因在于這些賬戶就是消費者不通過卡組織的支付網(wǎng)絡(luò)來完成購買的途徑�����。盡管卡組織可能認為���,這種方式從自身的利益出發(fā)不失為一個很好的策略��,但是����,它卻將那些消費者通過其可以更容易地作出購買決定的賬戶排除了出去��,實際上就是限制了這些手機的商業(yè)潛力。這樣一來���,這類手機相對于整個移動電子商務(wù)生態(tài)系統(tǒng)來說��,價值就變低了�����。相比起其他情形�����,使用這類手機的交易將會變得更少�,這反過來也降低了它們作為向消費者傳遞個人化營銷信息的渠道的價值�����。
[0005]因此���,有必要提出另一種類型的TSM服務(wù)�,實現(xiàn)銀行���、商家以及其他服務(wù)提供者在移動裝置上即時地提供它們自己的信用卡�、借記卡�、預(yù)付卡、優(yōu)惠卡��、獎勵卡���、賒購卡���、儲值卡以及其他類型的卡。
【
【發(fā)明內(nèi)容】
】[0006]本部分的目的在于概述本發(fā)明的實施例的一些方面以及簡要介紹一些較佳實施例��。在本部分以及本申請的說明書摘要和發(fā)明名稱中可能會做些簡化或省略以避免使本部分����、說明書摘要和發(fā)明名稱的目的模糊,而這種簡化或省略不能用于限制本發(fā)明的范圍�。
[0007]本發(fā)明涉及用于實現(xiàn)或提供可控的可信服務(wù)管理的技術(shù)。根據(jù)本發(fā)明的一個方面�����,一個實施例涉及向服務(wù)提供者賦予應(yīng)用程序配置能力以及applet程序和安全元件(SE)管理能力���。向服務(wù)提供者提供一服務(wù)管理模塊(文中稱為可控TSM或CTSM)���,從而對通過該服務(wù)提供者發(fā)布的應(yīng)用程序進行配置�。本發(fā)明中的系統(tǒng)或平臺能使得服務(wù)提供者在補充安全域(SSD)下進行運作��,其中��,補充安全域是通過SE發(fā)行者或者僅服務(wù)提供者知曉的更新后補充安全域密鑰集來進行安裝的���。這樣的平臺是設(shè)計來支持嵌入式安全元件(eSE)����,并且可以擴展來支持基于nCC的安全元件��。借助CTSM���,服務(wù)提供者可以采用補充安全域來安全且獨立地對安裝于各安全元件上的applet程序進行個人化����。
[0008]根據(jù)本發(fā)明的另一個方面��,CTSM是配置來向服務(wù)提供者提供更換或更新補充安全域密鑰集的能力�、多應(yīng)用程序支持的能力、applet程序壽命周期管理的能力以及安全元件壽命周期管理的能力。
[0009]根據(jù)本發(fā)明的另一個方面���,為了便于集成和部署���,CTSM具有一種基于插件的架構(gòu)���,用于與已由服務(wù)提供者所部署的外部系統(tǒng)進行集成�����。因此��,服務(wù)提供者可以輕松地部署插件���,從而將CTSM集成到現(xiàn)有的流程中(比如,準備進入CTSM的數(shù)據(jù))��。
[0010]本發(fā)明的一個重要特點����、好處和優(yōu)點是使得服務(wù)提供者能夠控制某些應(yīng)用程序的個人化/配置。與可信服務(wù)管理平臺(其旨在幫助多個服務(wù)提供者為他們的客戶發(fā)布和管理無接觸性服務(wù)且不能參與實際的交易)不同的是���,實現(xiàn)CTSM的服務(wù)器是由服務(wù)提供者操作和控制的且涉及了實際的交易的多個服務(wù)器中的其中一個��。
[0011]本發(fā)明可以采用單一裝置��、服務(wù)器�����、系統(tǒng)或者系統(tǒng)的一部分的形式來實現(xiàn)����。可以相信���,各種實現(xiàn)方式都會帶來現(xiàn)有技術(shù)所不能得到的效果��。根據(jù)一個實施例���,本發(fā)明是一種用于管理多個移動裝置的系統(tǒng),所述系統(tǒng)包括:第一服務(wù)器���,其配置來在請求對安裝于移動裝置中的應(yīng)用程序進行配置時����,采用補充安全域(SSD)來建立與所述移動裝置的安全通道,其中���,所述移動裝置包括已經(jīng)通過具有補充安全域的可信服務(wù)管理平臺進行了個人化的安全元件�����,由服務(wù)提供者發(fā)布的所述應(yīng)用程序預(yù)先安裝或下載至所述移動裝置中�,所述第一服務(wù)器從所述移動裝置處獲得所述安全元件和所述應(yīng)用程序各自的標識符�,并且對補充安全域進行更新��;以及硬件安全模塊�����,其連接所述第一服務(wù)器��,并配置來基于補充安全域的密鑰集��,計算新的密鑰集���,其中�����,所述第一服務(wù)器配置來與所述硬件安全模塊進行交互��,提取所述新的密鑰集�����,進而為所述安全元件生成新的補充安全域�。
[0012]根據(jù)另一個實施例,本發(fā)明為一種用于管理多個移動裝置的方法���,所述方法包括以下步驟:在第一服務(wù)器中接收來自移動裝置的請求�����,進而對安裝于所述移動裝置中的應(yīng)用程序進行配置����,其中����,所述移動裝置包括已經(jīng)通過具有補充安全域(SSD)的可信服務(wù)管理平臺進行了個人化的安全元件,其中�����,由服務(wù)提供者發(fā)布的所述應(yīng)用程序預(yù)先安裝或下載至所述移動裝置中;響應(yīng)于所述請求�,采用補充安全域在所述第一服務(wù)器與所述移動裝置之間建立安全通道,其中�����,所述第一服務(wù)器從所述移動裝置處獲得所述安全元件和所述應(yīng)用程序各自的標識符����,并對補充安全域進行更新;從硬件安全模塊中提取新的密鑰集����,所述硬件安全模塊配置來根據(jù)補充安全域的密鑰集生成新的密鑰集����;以及基于所述新的密鑰集,確定更新后的補充安全域����,從而采用所述更新后的補充安全域來對所述安全元件進行更新。
[0013]根據(jù)本發(fā)明的接下來的一個實施例的描述并結(jié)合附圖����,本發(fā)明的其他優(yōu)點���,特點和好處將會是顯而易見的。
【【專利附圖】
【附圖說明】】
[0014]接下來的【具體實施方式】�����、后面的權(quán)利要求以及附圖將有助于了解本發(fā)明的具體特征���,各實施例以及優(yōu)點��,其中:
[0015]圖1A示出了具有安全元件的支持NFC的移動裝置的簡單結(jié)構(gòu)架構(gòu)�;
[0016]圖1B示出了根據(jù)本發(fā)明的一個實施例的個人化安全元件的流程或過程�;
[0017]圖1C示出了在離線和在線模式時安全元件制造者(SE manufacturer)、TSM(Trusted Service Management,可信服務(wù)管理)管理器和TSM系統(tǒng)之間的關(guān)系�;
[0018]圖1D示出了 NFC裝置(比如NFC移動電話)的用戶、NFC裝置����、TSM服務(wù)器、相應(yīng)的安全元件制造者和安全元件發(fā)行者之間的數(shù)據(jù)流程圖�;
[0019]圖1E根據(jù)本發(fā)明的一個實施例,示出了基于平臺的SAM(安全識別模塊)或網(wǎng)絡(luò)電子錢包服務(wù)器�、作為門衛(wèi)的電子錢包和單功能標簽,這三個實體之間的個人化數(shù)據(jù)流程;
[0020]圖2A示出了一種系統(tǒng)配置���,其中���,TSM的一部分是在文中被稱為可控TSM或CTSM中實現(xiàn)的����,而缺少了這一部分的TSM被稱為中心TSM或CTSM����。
[0021]圖2B示出了根據(jù)本發(fā)明的一個實施例,對補充安全域進行更新的流程圖或過程�����。
[0022]圖2C示出了根據(jù)本發(fā)明的一個實施例�����,對于已安裝于移動裝置中的應(yīng)用程序相關(guān)的applet程序進行個人化的流程圖或過程���。
[0023]圖2D示出了根據(jù)本發(fā)明的一個實施例,對applet程序和安全元件進行管理的流程圖或過程250��。
【【具體實施方式】】
[0024]本發(fā)明的詳細描述主要通過程序���、步驟��、邏輯塊����、過程或其他象征性的描述來直接或間接地模擬本發(fā)明技術(shù)方案的運作。為透徹的理解本發(fā)明�����,在接下來的描述中陳述了很多特定細節(jié)���。而在沒有這些特定細節(jié)時��,本發(fā)明則可能仍可實現(xiàn)����。所屬領(lǐng)域內(nèi)的技術(shù)人員使用此處的這些描述和陳述向所屬領(lǐng)域內(nèi)的其他技術(shù)人員有效的介紹他們的工作本質(zhì)��。換句話說��,為避免混淆本發(fā)明的目的�,由于熟知的方法和程序已經(jīng)容易理解,因此它們并未被詳細描述。
[0025]此處所稱的“一個實施例”或“實施例”是指可包含于本發(fā)明至少一個實現(xiàn)方式中的特定特征����、結(jié)構(gòu)或特性。在本說明書中不同地方出現(xiàn)的“在一個實施例中”并非均指同一個實施例�����,也不是單獨的或選擇性的與其他實施例互相排斥的實施例��。此外�,表示一個或多個實施例的方法、流程圖或功能框圖中的模塊順序并非固定的指代任何特定順序���,也不構(gòu)成對本發(fā)明的限制�。本文中的密鑰集是指一組密鑰�。
[0026]下面參考圖1A-圖2D來介紹本發(fā)明的各個實施例。然而��,所屬領(lǐng)域內(nèi)的普通技術(shù)人員容易理解的是這里根據(jù)這些附圖列出的細節(jié)描述僅僅是解釋性的����,本發(fā)明并不僅限于這些實施例���。
[0027]當(dāng)具有近場通信(Near Field Communication,簡稱NFC)功能的移動電話用于諸如支付服務(wù)�����、交通票務(wù)���、信用服務(wù)��、物理訪問控制和其他令人興奮的新服務(wù)時����,NFC顯示出重大的商機����。為了支持這種快速演變的商務(wù)環(huán)境,包括金融機構(gòu)�����、各種具有NFC功能的移動電話的制造商(manufacturer,或稱制造者)��、軟件開發(fā)商(developer,或稱開發(fā)者)以及移動網(wǎng)絡(luò)運營商(Mobile Network Operators,簡稱MN0)的多個實體參與進NFC移動生態(tài)系統(tǒng)�����。由于他們單獨角色的特性,這些參與者需要互相交流并以一種可靠的���、彼此協(xié)作的方式交換信息�����。
[0028]下載至并存儲于執(zhí)行無接觸性交易(contactless transactions)的具有NFC功能的手持電話的數(shù)據(jù)和敏感應(yīng)用的機密性和安全性的繼續(xù)提高對于上述各個實體都是同等重要的���。在移動電話中提供安全性和機密性以支持各種商業(yè)模型的組件可以被稱為安全元件(Secure Element,簡稱SE)?�?傮w來講�,安全元件是一個防篡改平臺(比如,單芯片安全微控制器)��,其能夠根據(jù)一組被廣為認同的可信專家(well-1dentified trustedauthorities)起草的規(guī)則和安全需求安全的主管各種應(yīng)用和他們的保密和加密數(shù)據(jù)(比如密鑰管理)��。安全元件的常見形式包括嵌入有安全元件的通用集成電路卡(UICC)和微SD卡(miciOSD)����。nCC和microSD都是可移除的。在本發(fā)明的一個實施例中��,軟件模組可以作為安全元件��,通過重寫該軟件模組的所有組件中的一部分的方式更新該軟件模組。不管什么形式���,每種形式都會導(dǎo)致不同的商業(yè)實現(xiàn),并滿足不同的市場需求���。
[0029]圖1A示出了計算裝置100的簡單架構(gòu)��。除非特別說明�,“計算裝置”����、“移動裝置”、“手持裝置”�����、“移動電話”或“手持電話”將在本文中可互相替代的使用�����,然而所屬領(lǐng)域內(nèi)的普通技術(shù)人員能夠理解上述詞匯也可以指代其他裝置�����,比如智能電話、筆記本電腦���、無接觸性智能卡和其他便攜式裝置�����。所述移動裝置100包括NFC控制器101����,該NFC控制器101使得所述移動裝置100能夠與其它裝置無線通信以交換數(shù)據(jù)����。比如,用戶可以將所述移動裝置100用作電子錢包(e-purse)進行購買支付�����。在操作時���,所述電子錢包由安全元件102來控制�����。所述安全元件102可以使得這樣的一個移動裝置100以一種安全的方式來執(zhí)行金融交易�、交通票務(wù)、信用服務(wù)�����、物理訪問控制和其他令人興奮的服務(wù)����。為了提供這樣的服務(wù)�,所述安全元件102可以支持各種Java applet程序、應(yīng)用或模塊(圖1A中僅示出了兩個實例104和106)��。在實現(xiàn)時�,這些模塊可以是嵌入或插入其內(nèi)的硬件模塊,也可以是通過數(shù)據(jù)網(wǎng)絡(luò)從一個或多個服務(wù)器上下載的軟件模塊�����。
[0030]當(dāng)最早購買移動裝置或最早將移動裝置交付給客戶時�����,在所述移動裝置的安全元件102上安裝一組默認密鑰(a set of default keys,或稱為默認密鑰集)�,比如由安全元件制造者(manufacter)設(shè)置的發(fā)行者安全域(Issuer Security Domain,簡稱ISD)密鑰集(Keyset)。在一個實施例中�����,所述安全元件102是防篡改芯片,根據(jù)需求的安全級別�,該芯片可以嵌入智能卡級應(yīng)用(比如支付、傳輸)�。如圖1A所示,所述安全元件102嵌入或配合無接觸性NFC相關(guān)的應(yīng)用���,并與所述NFC控制器101連接以作為無接觸性前端��。典型的����,符合標準的安全元件與一個發(fā)行者安全域(issuer security domain,簡稱ISD)和一個或多個補充安全域(supplemental security domains,簡稱SSD)的選擇一起供給�����。每個域中包括一組密鑰(a set of key,或稱密鑰集)���。在一個實施例中����,所述安全元件102是嵌入所述移動裝置100內(nèi)的或通過卡接口 109插入移動裝置100的小型卡內(nèi)的芯片���。在另一個實施例中��,所述安全元件102是或包括裝載入所述移動裝置內(nèi)的安全存儲空間107內(nèi)的軟件模組����。可以通過所述移動裝置100內(nèi)的網(wǎng)絡(luò)接口 103(比如3G網(wǎng)絡(luò)或LTE(Long TermEvolution)網(wǎng)絡(luò))從指定服務(wù)器下載更新組件以更新所述軟件模組�。
[0031]所述安全元件102在使用前需要經(jīng)過個人化(Personalization或Personalizing)過程。在一個實施例中���,所述個人化過程是根據(jù)選擇的卡發(fā)行者(比如所謂的安全元件發(fā)行者)的派生個人化密鑰集(derived personalized key set)為所述安全元件102裝載或更新一密鑰集。根據(jù)情況��,安全元件發(fā)行者(SE issuer)和安全元件制造者(SE manufacturer)可以是兩個分離的實體,也可以是一個單獨的實體����。為了方便本發(fā)明的描述,安全元件發(fā)行者和安全元件制造者在這里被描述為兩個分離的實體���。進一步的���,個人化過程(personalization process)也可以稱為配置過程(provisioning process)。根據(jù)一個實施例���,在安裝應(yīng)用或使能服務(wù)(比如應(yīng)用安裝和個人化)時以無線方式(Overthe air)執(zhí)行SE配置過程以個人化所述安全元件�。當(dāng)將所述安全元件關(guān)聯(lián)到一個安全元件發(fā)行者時,才執(zhí)行所述安全元件的個人化����。當(dāng)用戶訂購或安裝應(yīng)用時,需要為每個應(yīng)用執(zhí)行應(yīng)用安裝和配置�����。
[0032]在一個實施例中��,在更新或升級所述安全元件102時����,為避免從頭開始個人化所述安全元件102,只用新的更新替換所述安全元件102中的一個或一些組件�����。在實現(xiàn)時��,可以自動地或手動獲取這些新的更新�,并將它們裝載至所述移動裝置100。在一個實施例中,根據(jù)相應(yīng)的安全元件發(fā)行者和TSM�����,具有NFC功能的移動裝置可以從服務(wù)器或TSM入口或門戶(TSM portal)下載應(yīng)用�。
[0033]TSM是指可信服務(wù)管理(Trusted Service Management),是一種服務(wù)集合。所述TSM的一個主要角色是幫助服務(wù)提供者(service provider)為他們的使用移動網(wǎng)絡(luò)的客戶安全的發(fā)布和管理無接觸性服務(wù)�����。所述TSM或它的服務(wù)器不必需要參與使用NFC裝置的實際無接觸性交易(transaction)���。這些交易通常由服務(wù)提供者和他們的商業(yè)合作伙伴提供的系統(tǒng)處理��。所述TSM的另一個角色是通過作為商業(yè)中間人加速移動NFC應(yīng)用的成功部署和提升���,其有利于合同安排和不同各方之間的商業(yè)關(guān)系的其它方面���,這樣使得移動網(wǎng)絡(luò)商務(wù)成為可能���。
[0034]可以到服務(wù)中心執(zhí)行所述個人化過程,也可以通過TSM服務(wù)器的網(wǎng)頁入口(webportal)遠程執(zhí)行所述個人化過程��。在第一種場景下,客戶可以到服務(wù)中心�,讓服務(wù)代表個人化移動裝置內(nèi)的安全元件。在位于指定地方(比如服務(wù)中心)的連接有NFC讀卡器的電腦中��,配置管理器(provisioning manager)可以是安裝的應(yīng)用或連接至后端TSM的基于網(wǎng)頁的應(yīng)用����。所述配置管理器用來與移動裝置的安全元件進行通訊(比如通過讀卡器)。這樣的個人化過程也可以被稱為基于網(wǎng)絡(luò)(Over the Internet)的過程���。
[0035]在第二種場景下��,客戶通過服務(wù)器(TSM網(wǎng)頁門戶)注冊他/她的移動電話��。所述TSM服務(wù)器可以將配置管理器的通用資源識別碼(universal resource identifier,簡稱URI)發(fā)送至已注冊的移動電話�?�;谒鲆苿友b置的類型����,發(fā)送方式可以是短信服務(wù)推送(Short Message Service Push)或谷歌安卓推送(Google Android Push)。所述客戶可以將所述配置管理器下載至所述移動裝置中��,并開始所述個人化過程��。這樣的個人化過程被稱為基于無線的過程。
[0036]在任一個場景下�����,所述配置管理器作為移動裝置的安全元件和TSM服務(wù)器之間的代理?���,F(xiàn)參考圖1B所示,其示出了根據(jù)本發(fā)明的一個實施例的個人化安全元件的流程或過程110�。在實現(xiàn)時,所述過程110可以由軟件或軟件和硬件的結(jié)合來實現(xiàn)��。當(dāng)用戶收到一個新的NFC裝置(比如移動裝置的一部分)����,需要個人化其內(nèi)的所述安全元件���。
[0037]在操作112中�����,確定所述新的NFC裝置是否是真正的NFC裝置��。一個例子是檢查與所述NFC裝置相關(guān)的序列號(serial number)�。所述序列號可以通過與TSM服務(wù)器相關(guān)的數(shù)據(jù)庫進行認證。在NFC移動裝置的例子中��,所述移動裝置的裝置序列號可以用來進行認證?,F(xiàn)在假設(shè)所述NFC裝置是一個真正的NFC裝置,即可由移動操作者識別的�。所述過程110將進入操作114,使所述NFC裝置與專用服務(wù)器進行通訊��。在一個實施例中�,所述專用服務(wù)器是TSM系統(tǒng)的一部分,并可通過無線網(wǎng)絡(luò)����、互聯(lián)網(wǎng)或無線和有線的結(jié)合(這里稱為數(shù)據(jù)網(wǎng)絡(luò)或簡稱為網(wǎng)絡(luò))對其進行訪問。
[0038]在操作116中����,使所述NFC裝置向所述服務(wù)器注冊。一旦所述NFC裝置成為所述TSM系統(tǒng)的一部分����,各種服務(wù)和數(shù)據(jù)可以通過網(wǎng)絡(luò)與所述NFC裝置進行通訊。作為個人化過程的一部分���,在操作118中�,所述服務(wù)器請求所述安全元件的裝置信息。在一個實施例中�,所述服務(wù)器發(fā)送數(shù)據(jù)請求(比如服務(wù)信息,WAP PUSH)到所述NFC裝置上���。響應(yīng)所述數(shù)據(jù)請求�����,所述NFC裝置發(fā)回從所述安全元件中提取的卡產(chǎn)品壽命周期(Card ProductLife Cycle�����,簡稱CPLC)信息��。所述CPLC信息包括安全元件產(chǎn)品信息(比如智能卡ID�、制造者信息和批次號等)����。基于所述CPLC信息�,所述服務(wù)器能夠從其制造者、授權(quán)代理者(authorized distributor)或服務(wù)提供者處提取這個安全元件的對應(yīng)默認發(fā)行者安全域(Issuer Security Domain,簡稱ISD)信息���。在實現(xiàn)時,所述服務(wù)器與安全元件制造者有兩種通訊方式����,具體將在下文的合適部分給予詳細描述�����。
[0039]在操作120中����,由所述制造者確定是否更新所述裝置信息。通常�,當(dāng)一個安全元件由其制造者發(fā)出時,所述安全元件嵌入有一些默認裝置信息����。如果確定所述默認裝置信息(比如CPLC數(shù)據(jù))需要與所述制造者進行更新,所述過程110進入操作122����,所述制造者將相應(yīng)的更新裝置信息上傳至所述服務(wù)器。在操作124中��,將所述更新裝置信息傳輸至所述NFC移動裝置��,并存儲于所述安全元件中�。如果確定所述安全元件的默認裝置信息不需要與所述制造者進行更新���,所述過程110進入操作124,將提取的默認裝置信息存儲入與TSM服務(wù)器相關(guān)的數(shù)據(jù)庫中��。在一個實施例中����,所述服務(wù)器包括獲取派生密鑰集(derived keyset)的接口。在一個實施例中�,根據(jù)所述安全元件的裝置信息(比如,ISD)產(chǎn)生所述派生密鑰集�����。當(dāng)所述安全元件中成功安裝上派生ISD密鑰集時,通知相應(yīng)的安全元件發(fā)行者所述派生ISD密鑰集已經(jīng)使用�。
[0040]根據(jù)本發(fā)明的一個實施例,在操作126中���,所述裝置信息(默認的或更新的)用來產(chǎn)生密鑰集(或稱一組密鑰)�����。在一個實施例中�����,所述服務(wù)器用來使用默認ISD在他的硬件安全模塊(hardware security module,簡稱HSM)和所述安全兀件之間建立安全通道��。所述服務(wù)器還用來為所述安全元件計算派生密鑰集����?��;跇I(yè)務(wù)協(xié)定����,安全元件的發(fā)行者的主ISD密鑰可以設(shè)置于與所述服務(wù)器相關(guān)的硬件安全模塊或所述安全元件發(fā)行者的本地硬件安全模塊中�。所述硬件安全模塊是一種安全加密處理器,其用于管理數(shù)字密鑰�����,加速加密過程��,以及對訪問服務(wù)器應(yīng)用的關(guān)鍵密鑰提供有效的認證��。如果設(shè)置于所述服務(wù)器中的硬件安全模塊內(nèi)��,所述服務(wù)器用來指令所述硬件安全模塊去計算所述派生密鑰集���。隨后��,所述服務(wù)器提供一種機制(比如PUT KEY APDU)并使用默認通道��,用所述派生密鑰集替代在所述安全元件中的默認密鑰集��。如果所述安全元件發(fā)行者(SE issurer)的主ISD密鑰在所述安全元件發(fā)行者的本地硬件安全模塊中���,所述服務(wù)器還用來與遠端的硬件安全模塊交互以提取所述主ISD密鑰����。
[0041]在操作128中�����,將所述密鑰集安全的傳遞至所述安全元件��。就這樣將密鑰集個人化入所述安全元件中����,所述密鑰集用于利用NFC裝置進行的各種安全操作或服務(wù)中。在操作130�����,所述服務(wù)器用來將所述安全元件與其發(fā)行者或提供者進行同步(比如,將有關(guān)安全元件狀態(tài)的通知發(fā)送至所述發(fā)行者或提供者)�。在個人化后,可以使用所述SE發(fā)行者的個人化ISD密鑰來訪問所述安全元件����。基于每個服務(wù)提供商的安全需求����,所述TSM可以為各個提供者提供額外的SSD以個人化他們的相應(yīng)應(yīng)用(比如�����,圖1A中的模塊104或106)����。
[0042]如上文所述,有兩種方式可以用來在與所述制造者的交互過程中從所述安全元件中提取相應(yīng)的默認ISD信息�。基于基礎(chǔ)架構(gòu)����,制造者可以選擇使用實時方式(real-timeapproach)或批量(或稱批處理)方式(batch approach)。
[0043]在實時方式中,當(dāng)所述TSM服務(wù)器個人化所述安全元件時����,所述服務(wù)器被設(shè)置用來與制造者(比如它的服務(wù)器)進行通訊�。這樣,所述默認密鑰集是經(jīng)要求從制造者的服務(wù)器提取的。在一個實施例中��,所述TSM服務(wù)器包括與每個制造者進行通訊的插件模組����。
[0044]在批量方式中����,可以以在線模式執(zhí)行��,也可以以離線模式執(zhí)行���。在離線模式下�����,所述安全元件制造者通過加密媒介為支持的所有安全元件傳遞默認ISD信息���。所述TSM或計算裝置的管理器可以被設(shè)置用來將所述物理媒介中的信息輸入一個計算裝置�。隨后����,解密并提取所述默認ISD信息,并存儲于一個數(shù)據(jù)庫中�。在在線模式下,所述SE制造商通過網(wǎng)絡(luò)上傳其支持的安全元件的默認ISD信息���。隨后,解密并提取所述默認ISD信息���,并存儲于一個數(shù)據(jù)庫中�。然后,所述TSM只需要在安全元件個人化過程中訪問在其自己的硬件安全模塊或數(shù)據(jù)庫�����。圖1C展示了在離線和在線模式時SE制造者����、TSM管理器、TSM系統(tǒng)之間的關(guān)系���。根據(jù)本發(fā)明的一個實施例�,圖1D示出了 NFC裝置(比如NFC移動電話)的用戶、NFC裝置���、TSM服務(wù)器�����、相應(yīng)的SE制造者和SE發(fā)行者之間的數(shù)據(jù)流程圖�����。
[0045]一方面���,可以認為圖1A中的安全元件102是智能卡中的預(yù)載操作系統(tǒng),其提供PIN管理和用于卡個人化(card personalization)的安全通道(或稱安全域)的平臺�����。所述安全元件102結(jié)合智能卡發(fā)行者���、供應(yīng)商、產(chǎn)業(yè)組��、公共實體和科技公司的興趣,為運行于智能卡上的多個應(yīng)用定義需求和技術(shù)標準��。作為一個例子����,作為電子錢包安全的一個模塊104定義一組協(xié)議,該組協(xié)議使得小額支付交易能夠通過有線或無線環(huán)境執(zhí)行�。對于存儲于智能卡的電子錢包,在所述電子錢包被發(fā)行后將一組密鑰(對稱的或非對稱的)個人化入所述電子錢包���。在交易過程中����,為了使所述電子錢包與安全認證模組(SecurityAuthentication Module, SAM)或后端服務(wù)器之間的信息通道安全,所述電子錢包使用一組各自的密鑰進行加密和MAC計算���。對于單功能卡片來說��,所述電子錢包安全模塊104用來作為保護在單功能卡上執(zhí)行的實際操作的門�����。在個人化期間�����,通過電子錢包交易密鑰將所述單功能卡片訪問密鑰(或他的轉(zhuǎn)換)個人化入所述電子錢包�。
[0046]圖1C示出了在離線和在線模式時安全元件制造者(SE manufacturer)、TSM(Trusted Service Management,可信服務(wù)管理)管理器和TSM系統(tǒng)之間的關(guān)系��。圖1D示出了 NFC裝置(比如NFC移動電話)的用戶��、NFC裝置�����、TSM服務(wù)器����、相應(yīng)的安全元件制造者和安全元件發(fā)行者之間的數(shù)據(jù)流程圖。[0047]作為一個例子���,假設(shè)安裝應(yīng)用���、電子錢包已經(jīng)經(jīng)由所述安全元件被配置。圖1E根據(jù)本發(fā)明的一個實施例��,示出了基于平臺的SAM或網(wǎng)絡(luò)電子錢包服務(wù)器152��,作為門衛(wèi)的電子錢包154和單功能標簽156�����,這三個實體之間的個人化數(shù)據(jù)流程150��。所述基于平臺的SAM或網(wǎng)絡(luò)電子錢包服務(wù)器152和電子錢包154之間的通信將按照一種類型的命令(比如APDU�,應(yīng)用協(xié)議數(shù)椐單元)進行,而電子錢包154和單功能標簽156之間的通訊將按照另一種類型的命令進行�,其中所述電子錢包起到門衛(wèi)的作用,以保證只有安全可靠且經(jīng)過授權(quán)的數(shù)據(jù)交互才會被準許進行���。
[0048]在一個實施例中����,電子錢包的物理安全在一個模擬器中實現(xiàn)���。這里使用的模擬器是指其他模塊期望與其交互的一個硬件裝置或一段程序�,或自稱是另一個特別的裝置或程序����。所述電子錢包安全是在用于提供電子錢包功能和與支付服務(wù)器通訊的一個或多個Java程序applet之間實現(xiàn)的。支持電子錢包的安全元件負責(zé)更新安全密鑰以在支付服務(wù)器和Java程序applet之間建立交互的合適通道����,其中電子錢包程序作為門衛(wèi)去調(diào)節(jié)或控制所述數(shù)據(jù)交換�。
[0049]如上所述�,可以理解的是,要對具有NFC功能的手機配置應(yīng)用程序�����,獨立的TSM是關(guān)鍵所在�����,這樣�,這些應(yīng)用程序才最有可能吸引消費者進行購買。但是����,要使得TSM對于涉及的所有各方都保持中立卻比較困難。圖2A示出了一種系統(tǒng)配置200�����,其中��,TSM中起作用的一部分是在文中被稱為可控TSM或CTSM202中實現(xiàn)的�����,而缺少了這一部分的TSM仍被稱為TSM204���。應(yīng)當(dāng)注意的是����,TSM204的實現(xiàn)和架構(gòu)不應(yīng)簡單地視作上述TSM的一般性分離��。CTSM202是配置來向服務(wù)提供者提供豐富的��、但卻不會過多的TSM功能子集�����,從而對applet程序進行配置并對applet程序和安全元件的壽命周期進行管理��。正如下文將要進一步說明的那樣���,圖2A的操作與采用單一 TSM的操作是完全不同的�����。
[0050]顧名思義��,CTSM由服務(wù)提供者進行控制或操作�����,用于對applet程序進行配置并對服務(wù)提供者所發(fā)行或支持的applet程序和安全元件的壽命周期進行管理��,同時��,CTSM仍然執(zhí)行了許多TSM本應(yīng)執(zhí)行的功能�����。除非明確指明����,CTSM和TSM在下文中可以互換地使用。在一個CTSM下�,可能存在有許多與該CTSM合作的CTSM。因此����,該CTSM對于移動生態(tài)系統(tǒng)中所有的業(yè)務(wù)實體來說都是中立的。
[0051]根據(jù)一個實施例���,圖2A中的CTSM202是配置來與TSM204 —起至少執(zhí)行以下功能���。CTSM202是由服務(wù)提供者進行控制或操作����。根據(jù)一個實施例���,CTSM202是在服務(wù)提供者所操作的服務(wù)器中實現(xiàn)。出于說明的目的��,CTSM202與服務(wù)提供者的其他服務(wù)器是分開地進行示出��。作為一個實例�����,如圖2A所示��,CTSM202連接在移動裝置206與服務(wù)提供者的至少一個服務(wù)器208之間���,其中�,移動裝置206通過有線和/或無線網(wǎng)絡(luò)與CTSM202進行通信����。以下是CTSM202具體執(zhí)行的功能中的其中一些功能��。
[0052]1.更換補充安全域(SSD)
CTSM102的許多功能都是借助補充安全域(SSD)來實現(xiàn)的�。為了使服務(wù)提供者能夠獨立地對指定安全元件上的特定應(yīng)用程序進行配置�,SE發(fā)行者或者TSM將不得不為這些安全元件安裝至少一個補充安全域。安裝了補充安全域之后��,服務(wù)提供者可以采用其中安裝了補充安全域的CTSM102來對安全元件進行管理����。可操作地��,服務(wù)提供者依靠CTSM102來建立CTSM102與安全元件上的卡管理器之間的端對端安全通道��。為了進一步消除安全問題�,CTSM102配置來使得服務(wù)提供者能夠采用僅自己知曉的新的值集來更換現(xiàn)有的補充安全域密鑰集,其中��,初始密鑰集至少在相應(yīng)的服務(wù)提供者與SE發(fā)行者之間是已知的�����。在CTSM102更換了密鑰集之后����,僅服務(wù)提供者知曉新的密鑰集��。
[0053]2.Applet程序的個人化
服務(wù)提供者提供的applet程序可以在制造過程中預(yù)先安裝于安全元件上�。最終用戶還可以通過CTSM202或TSM204來將它們下載并安裝至安全元件上��。在安全元件207上已安裝了補充安全域的情形下�����,如圖2A所示�����,安全元件TSM202可以采用補充安全域來首先建立安全通道�����,然后����,在最終用戶請求對安裝好的applet程序進行個人化時����,利用該通道對其進行個人化。在一個實施例中����,對于各applet程序來說��,服務(wù)提供者需要實現(xiàn)數(shù)據(jù)準備插件�����,將CTSM202集成至現(xiàn)有的基礎(chǔ)架構(gòu)中����,進而為所請求的安全元件準備個人化數(shù)據(jù)���。安全元件TSM202將個人化數(shù)據(jù)構(gòu)成為一系列存儲數(shù)據(jù)指令���,并通過基于補充安全域的安全通道,發(fā)送至位于安全元件上的applet程序處��。
[0054]3.支持多個applet程序
如上所述���,CTSM202可配置為服務(wù)提供者���,發(fā)布多種應(yīng)用程序。對于各應(yīng)用程序來說�,服務(wù)提供者可以在平臺中維持其多個版本�����。對于各應(yīng)用程序來說�����,服務(wù)提供者能夠知曉哪個應(yīng)用程序已經(jīng)與安全元件相關(guān)聯(lián)以及已經(jīng)激活了該應(yīng)用程序的相關(guān)移動裝置(如SE UID和IMEI)�。也可以從多個移動裝置所形成的平臺處獲得各種統(tǒng)計數(shù)據(jù)����,其中包括定制的統(tǒng)計數(shù)據(jù)模型。根據(jù)一個實施例���,CTSM202與全球平臺(GP)相兼容。該平臺既支持嵌入式安全元件(eSE)���,也支持基于HCC的安全元件�����。
[0055]4.Applet程 序和安全元件管理
CTSM202能夠與TSM204合作�,進行applet程序和安全元件的壽命周期管理�。Applet程序的壽命周期管理包括applet程序的刪除和applet程序的鎖定���。安全元件的壽命周期管理包括安全元件的鎖定和安全元件的終止。CTSM202提供了用于集成至服務(wù)提供者的現(xiàn)有后端系統(tǒng)中的接口�。一旦服務(wù)提供者驗證了請求,它便可以調(diào)用CTSM202�����,通知TSM202執(zhí)行各種管理功能�����。
[0056]5.插件架構(gòu)
CTSM202所具有的插件架構(gòu)能輕松地實現(xiàn)與服務(wù)提供者的現(xiàn)有基礎(chǔ)架構(gòu)之間的集成���。為了將CTSM202與現(xiàn)有的數(shù)據(jù)準備相集成�,在一個實施例中�����,服務(wù)提供者需要實現(xiàn)數(shù)據(jù)準備插件接口�����。CTSM202配置來經(jīng)過插件,采集為個人化準備的數(shù)據(jù)���。
[0057]系統(tǒng)交互
CTSM202可單獨地由第三方(如軟件公司)提供��,但卻由服務(wù)提供者進行控制或操作�����。圖2A還示出了 CTSM202與TSM204進行交互的方式�����,其中����,服務(wù)器(統(tǒng)稱服務(wù)器)208通過服務(wù)進行操作并且移動應(yīng)用程序已經(jīng)安裝于移動裝置205上�。移動應(yīng)用程序通過一個或多個部件或接口 210(比如,在軟件開發(fā)工具包(SDK)中提供)���,與CTSM202和TSM204進行交互。比如�,當(dāng)平臺是基于安卓系統(tǒng)時,接口或SDK210將在后臺運行并與CTSM202和TSM204進行交互�。
[0058]根據(jù)實施例,CTSM202與TSM204或SDK210之間的交互包括:
?更新補充安全域:在TSM204通過SDK210將補充安全域安裝于移動裝置205中之后,CTSM202能夠請求SDK210開始更換補充安全域的操作����。
?Applet程序的個人化:TSM204負責(zé)下載applet程序并將其安裝于安全元件上。之后���,激活CTSM202�����,對該applet程序進行個人化���。
CTSM202與TSM204之間的交互包括:
?CTSM202向TSM204通知安全元件上applet程序的壽命周期事件變動(比如,TSM204向移動裝置205推送消息)�����。
?CTSM202從TSM204處收到關(guān)于安全元件的壽命周期事件變動的通知��。
?CTSM202和TSM204中的任何一方配置來提供關(guān)于安全元件的壽命周期狀態(tài)和安全元件上applet程序的壽命周期狀態(tài)的查詢���。
CTSM202與服務(wù)提供者HSM之間的交互包括:
?服務(wù)提供者采用安全元件TSM中的HSM接口來開發(fā)HSM插件����,完成與HSM212之間的集成,進而實現(xiàn)對派生的補充安全域密鑰集的計算和敏感個人化數(shù)據(jù)的數(shù)據(jù)加密���。
CTSM202與業(yè)務(wù)服務(wù)器208之間的交互包括:
?服務(wù)提供者開發(fā)出數(shù)據(jù)準備插件�,為applet程序的個人化準備數(shù)據(jù)組��。
[0059]以下將進一步對插件和接口進行詳細說明�。
對補充安全域進行更新是整個個人化過程的一部分。如果CTSM202檢測到補充安全域必須進行更新或更換����,那么便開始對補充安全域進行更新。圖2B示出了對補充安全域進行更新的流程圖或過程220��。過程220可以軟件或軟硬件結(jié)合的形式來實現(xiàn)����。原則上來說,在CTSM與安全元件(其采用派生自初始補充安全域主密鑰集的密鑰集來進行個人化)之間�����,必須建立安全通道���。然后,CTS`M202配置來采用新的補充安全域主密鑰集,為安全元件計算出新的派生密鑰集�。在一個實施例中,新密鑰集的值包括PUT KEY APDU并發(fā)送至安全元件進行更換�����。服務(wù)提供者采用HSM插件來將HSM集成至CTSM中�����。
[0060]不同的實體作出了不同的行為����,分別如圖2B中所標注。還可結(jié)合圖2A來對圖2B
進行進一步的理解�����。
1.在一個實施例中���,移動裝置已經(jīng)安裝了可以預(yù)先安裝或者可以從網(wǎng)絡(luò)上下載的應(yīng)用程序�。選擇訂購該應(yīng)用程序的用戶可激活該應(yīng)用程序的個人化�����,或者該應(yīng)用程序的提供者向移動裝置推送通知。
2.圖2A中的接口或SDK210配置來從移動裝置中的安全元件處提取其CPLC信息�����,并將CPLC信息和所請求的應(yīng)用程序信息發(fā)送至CTSM (比如��,CTSM202)��。
3.之后��,接口或SDK210向CTSM發(fā)送請求消息(比如�,AppletPersoRequest)。該請求包括移動裝置的頂EI和CPLC以及應(yīng)用程序ID�。
4.如果補充安全域不需要進行更換,那么過程220跳到步驟10���,繼續(xù)進行applet程序的個人化����。否則���,CTSM向服務(wù)提供者的HSM提出請求�,計算出安全元件的派生補充安全域�。
5.CTSM采用該派生補充安全域來建立與安全元件之間的安全通道�。本操作應(yīng)該包括在CTSM202與接口或SDK210之間進行的兩輪消息交換�,從而完成相互驗證(比如��,采用INITIAL UPDATE 和 EXTERNAL AUTHENTICATION)���。
6.CTSM202向服務(wù)提供者的HSM提出請求��,計算出安全元件的新密鑰集的派生補充安全域��。
7.CTSM202包括一指令(比如���,PUTKEY),并將其封裝在返回給SDK210的應(yīng)答消息中。
8.接收到應(yīng)答消息之后�����,SDK210提取出PUTKEYAPDU并針對安全元件運行��。安全元件將采用新的衍生密鑰集來更換補充安全域���。 9.隨后���,SDK210再次將applet程序個人化消息(比如�����,AppletPersoRequest)發(fā)送至CTSM202�����。由于已經(jīng)更換了補充安全域的密鑰集����,因此���,過程220跳到10���。
10.現(xiàn)在,CTSM202繼續(xù)對applet程序進行個人化��。
[0061]圖2C示出了對applet程序進行個人化的流程圖或過程230��。作為applet程序個人化的一部分���,CTSM202已經(jīng)采用最新的補充安全域密鑰集來建立了安全通道�����。如果已經(jīng)更換了密鑰集�,則必須使用新的密鑰集。這樣便保證了個人化數(shù)據(jù)與僅服務(wù)提供者知曉的新補充安全域密鑰集之間的封裝和安全�。不同的實體作出了不同的行為?�?山Y(jié)合圖2A來對圖2C進行進一步的理解��。
1.在一個實施例中����,移動裝置已經(jīng)安裝了可以預(yù)先安裝或者可以從網(wǎng)絡(luò)上下載的應(yīng)用程序����。選擇訂購該應(yīng)用程序的用戶可激活該應(yīng)用程序的個人化,或者該應(yīng)用程序的提供者向移動裝置推送通知���。
2.圖2A中的接口或SDK210配置來從移動裝置中的安全元件處提取其CPLC信息�,并將CPLC信息和所請求的應(yīng)用程序信息發(fā)送至CTSM (比如�,CTSM202)。
3.之后,接口或SDK210向CTSM發(fā)送請求消息(比如���,AppletPersoRequest)�。該請求包括移動裝置的頂EI和CPLC以及應(yīng)用程序ID。
4.如果還沒有完成applet程序的請求�����,那么將過程230中止并向用戶發(fā)送通知�����。否貝U�����,CTSM向服務(wù)提供者的HSM提出請求����,為安全元件計算出衍生的補充安全域。
5.CTSM采用該衍生的補充安全域來建立與安全元件之間的安全通道�����。本操作應(yīng)該包括在CTSM202與接口或SDK210之間進行的兩輪消息交換��,從而完成相互驗證(比如�����,采用INITIAL UPDATE 和 EXTERNAL AUTHENTICATION)。
6.CTSM202調(diào)用數(shù)據(jù)準備插件�����,以使用指定的服務(wù)器來為安全元件準備個人化數(shù)據(jù)���。如果需要對敏感數(shù)據(jù)進行加密���,那么所指定的個人化服務(wù)器可能還需要連接至HSM�����。
7.之后��,個人化數(shù)據(jù)用于構(gòu)成數(shù)據(jù)集(比如���,一系列STOREDATA APDU)�����。最終的數(shù)據(jù)準備腳本封裝在應(yīng)答消息中并返回至SDK210�。
8.在從應(yīng)答消息中提取出了STORE DATA APDU之后,SDK210針對安全元件連續(xù)地運行STORE DATA��,進而對applet程序進行個人化���。
9.SDK210 向 CTSM202 發(fā)送應(yīng)答消息(比如��,applet perso complete message)���。該消息將包括所有STORE DATA APDU的狀態(tài)、安全元件WD�、ME1、應(yīng)用程序ID以及交易ID����。
10.如果服務(wù)提供者啟用了CTSM202,那么它就采用通知(比如�����,AppletLifeCycleChange通知)的形式向RHG告知applet程序配置的狀態(tài)�����。本通知包括安全元件UID�����、IME1、應(yīng)用程序ID和各自的狀態(tài)���。
11.然后��,將結(jié)果顯示于移動裝置上���。
[0062]圖2D示出了對applet程序和安全元件進行管理的流程圖或過程250。除了支持配置過程之外��,本發(fā)明的一個實施例還支持對安全元件和安裝應(yīng)用程序的壽命周期管理�。壽命周期管理包括,但可能不限于�����,安全元件鎖定���、安全元件解鎖和應(yīng)用程序刪除(禁用)。通過來自由服務(wù)提供者所控制和操作的CTSM的推送通知�����,可以啟動這些活動。在移動裝置的實際使用中����,出于某種原因(比如,較長時間內(nèi)無活動或到期)�,應(yīng)用程序需要由其發(fā)行者或提供者來禁用或鎖定。
[0063]根據(jù)一個實施例�,CTSM202配置來向服務(wù)提供者提供applet程序和安全元件的壽命周期管理功能。不同的實體作出了不同的行為����,分別如圖2D中所標示。還可結(jié)合圖2A來對圖2D進行進一步的理解�。
1.服務(wù)提供者檢測是否存在有請求,并且當(dāng)請求存在時����,對其進行驗證。
2.服務(wù)提供者所指定的服務(wù)器調(diào)用CTSM202來獲得請求(比如��,通過AppletLifeCycleManagement接口)��,該請求通常包括安全元件UID�����、IME1、applet程序ID和行為的參數(shù)�����。
3.接收了該請求之后����,CTSM配置來向TSM204發(fā)送請求(比如,AppIetLifeCycIeManagement)。
4.TSM210對該請求進行注冊�,并推送通知消息,以請求SDK210啟動鎖定applet程序的過程�����。
5.接收了該通知之后�,SDK210發(fā)送消息,以請求TSM204鎖定applet程序���。
6.之后��,TSM204相對于通知注冊庫來對請求進行驗證。如果請求不是來自TSM204�����,則拒絕該請求。否則�,TSM204繼續(xù)執(zhí)行鎖定過程。
7.TSM204首先在自身與安全元件之間建立安全通道���。然后為SDK210形成針對安全元件運行的消息(比如���,APDU),以在其中鎖定applet程序。
8.TSM204 發(fā)送應(yīng)答(比如���,AppletLifeCycleManagement),將狀態(tài)告知 CTSM202���。反過來,CTSM202可以采用接口(比如�,Appletlnfo),向TSM204請求安全元件上applet程序的狀態(tài)�����。
[0064]根據(jù)一個實施例����,CTSM包括Java SDK,其提供了兩種途徑,使得服務(wù)提供者可實現(xiàn)CTSM自身與現(xiàn)有外部系統(tǒng)之間的集成����。第一種途徑為一個或多個接口����,而第二種途徑為一個或多個插件�。前者是用來使外部系統(tǒng)利用CTSM所提供的服務(wù),將CTSM的某些特點集成至現(xiàn)有的外部系統(tǒng)中���。而后者是用來使CTSM利用外部系統(tǒng)所提供的現(xiàn)有服務(wù)��,將外部系統(tǒng)的某些特點集成至CTSM中��。
[0065]在一個實施例中��,借助用于外部系統(tǒng)的網(wǎng)絡(luò)服務(wù)接口集�,CTSM實現(xiàn)了 applet程序的壽命周期管理和安全元件的管理����。CTSM為服務(wù)提供者提供了各種工作流的插件,以將現(xiàn)有的外部服務(wù)集成至CTSM提供的相應(yīng)工作流中��。服務(wù)提供者只需要執(zhí)行小型java程序就能實現(xiàn)插件接口����。
[0066]示例性的接口包括以下接口:
AppletLifeCycleChange 請求
該接口使得服務(wù)提供者能夠?qū)TSM集成至現(xiàn)有的客戶關(guān)系管理(CRM)流程中。一旦完成了針對安全元件的現(xiàn)有程序后�,CRM軟件就只需要調(diào)用本應(yīng)用程序接口(API),就能請求CTSM來執(zhí)行applet程序的壽命周期變動行為�。
AppletLifeCycleChange 通知
該接口是一種回調(diào),使得TSM把安全元件上應(yīng)用程序的任何壽命周期狀態(tài)變動都告知CTSM����。該接口可用于TSM在安全元件上安裝新的applet程序。
SELifeCycleChange 通知
該接口是一種回調(diào)機制����,使得TSM把其上安裝有其中一個applet程序的安全元件的任何壽命周期變動都告知CTSM。
[0067]CTSM有兩個主要的插件接口�。數(shù)據(jù)準備接口和HSM接口。
數(shù)據(jù)準備
數(shù)據(jù)準備插件有兩個Java接口����。其中一個用于Mifare應(yīng)用程序,而另一個用于JavaCard applet 程序�。
若要為Mifare應(yīng)用程序準備數(shù)據(jù),該數(shù)據(jù)準備接口可按照如下方式實現(xiàn)�。 public interface MifareDataPreparation {
【權(quán)利要求】
1.一種用于管理多個移動裝置的系統(tǒng),所述系統(tǒng)包括: 第一服務(wù)器��,其配置來在請求對安裝于移動裝置中的應(yīng)用程序進行配置時,采用補充安全域(SSD)來建立與所述移動裝置的安全通道����,其中,所述移動裝置包括已經(jīng)通過具有補充安全域的可信服務(wù)管理平臺進行了個人化的安全元件��,由服務(wù)提供者發(fā)布的所述應(yīng)用程序預(yù)先安裝或下載至所述移動裝置中����,所述第一服務(wù)器從所述移動裝置處獲得所述安全元件和所述應(yīng)用程序各自的標識符并更新所述補充安全域;以及 硬件安全模塊��,其連接所述第一服務(wù)器�,并配置來基于補充安全域的密鑰集,計算新的密鑰集���,其中�����,所述第一服務(wù)器配置來與所述硬件安全模塊進行交互�,提取所述新的密鑰集�����,進而為所述安全元件生成新的補充安全域。
2.根據(jù)權(quán)利要求1所述的系統(tǒng)�,其特征在于,所述可信服務(wù)管理平臺旨在幫助多個服務(wù)提供者為他們的客戶發(fā)布和管理無接觸性服務(wù)且不能參與實際的交易���,并且所述第一服務(wù)器是由服務(wù)提供者操作和控制的且涉及了實際的交易的多個服務(wù)器中的其中一個。
3.根據(jù)權(quán)利要求2所述的系統(tǒng)����,其特征在于,所述移動裝置為具有近場通信(NFC)功能的裝置��。
4.根據(jù)權(quán)利要求2所述的系統(tǒng)�,其特征在于,還包括第二服務(wù)器��,其連接所述第一服務(wù)器�����,并配置來準備數(shù)據(jù)組��,其中��,所述第一服務(wù)器接收所述數(shù)據(jù)組并使得所述移動裝置接收用于對所述應(yīng)用程序進行配置的數(shù)據(jù)組����。
5.根據(jù)權(quán)利要求4所述的系統(tǒng)���,其特征在于,根據(jù)所述新的補充安全域來準備所述數(shù)據(jù)組��。
6.根據(jù)權(quán)利要求4所述的系統(tǒng)���,其特征在于���,所述第一服務(wù)器配置來管理所述移動裝置中所述安全元件和一個或多個applet程序的壽命周期。`
7.根據(jù)權(quán)利要求6所述的系統(tǒng)���,其特征在于�����,所述第一服務(wù)器配置來刪除���、鎖定或重啟與所述移動裝置中的應(yīng)用程序相關(guān)的applet程序。
8.根據(jù)權(quán)利要求7所述的系統(tǒng)����,其特征在于�����,所述應(yīng)用程序與經(jīng)由所述第一服務(wù)器請求安全交易的貨幣功能有關(guān)���。
9.一種用于管理多個移動裝置的方法,所述方法包括: 在第一服務(wù)器中接收來自移動裝置的請求���,進而對所述移動裝置的應(yīng)用程序進行配置,其中����,所述移動裝置包括已經(jīng)通過具有補充安全域(SSD)的可信服務(wù)管理平臺進行了個人化的安全元件,其中���,由服務(wù)提供者發(fā)布的所述應(yīng)用程序預(yù)先安裝或下載至所述移動裝置中 響應(yīng)于所述請求���,采用補充安全域在所述第一服務(wù)器與所述移動裝置之間建立安全通道,其中����,所述第一服務(wù)器從所述移動裝置處獲得所述安全元件和所述應(yīng)用程序各自的標識符,并對補充安全域進行更新�; 從硬件安全模塊中提取新的密鑰集����,所述硬件安全模塊配置來根據(jù)補充安全域的密鑰集生成新的S鑰集��;以及 基于所述新的密鑰集�,確定更新后補充安全域,從而采用所述更新后補充安全域來對所述安全元件進行更新��。
10.根據(jù)權(quán)利要求9所述的方法����,其特征在于,所述可信服務(wù)管理平臺旨在幫助多個服務(wù)提供者為他們的客戶發(fā)布和管理無接觸性服務(wù)且不能參與實際的交易�,并且所述第一服務(wù)器是由服務(wù)提供者操作和控制的且涉及了實際的交易的多個服務(wù)器中的其中一個。
11.根據(jù)權(quán)利要求10所述的方法����,其特征在于,還包括在第二服務(wù)器中準備數(shù)據(jù)組�,其中,所述第一服務(wù)器接收來自所述第二服務(wù)器的數(shù)據(jù)組并使得所述移動裝置接收用于對所述應(yīng)用程序進行配置的數(shù)據(jù)組�。
12.根據(jù)權(quán)利要求11所述的方法,其特征在于�����,根據(jù)所述新的補充安全域來準備所述數(shù)據(jù)組。
13.根據(jù)權(quán)利要求9所述的方法�,其特征在于,還包括管理所述移動裝置中所述安全元件和一個或多個applet程序的壽命周期�。
14.根據(jù)權(quán)利要求10所述的方法,其特征在于�����,所述第一服務(wù)器配置來刪除��、鎖定或重啟與所述移動裝置中的應(yīng)用程序相關(guān)的applet程序��。
15.根據(jù)權(quán)利要求14所述的方法���,其特征在于,所述應(yīng)用程序與經(jīng)由所述第一服務(wù)器請求安全交易的貨幣功能有關(guān)�。
16 .根據(jù)權(quán)利要求9所述的方法,其特征在于�,僅服務(wù)提供者知曉所述新的密鑰集。
【文檔編號】G06Q30/00GK103530775SQ201310452755
【公開日】2014年1月22日 申請日期:2013年9月28日 優(yōu)先權(quán)日:2012年9月28日
【發(fā)明者】謝祥臻, 許良盛, 潘昕 申請人:深圳市家富通匯科技有限公司