所述名稱空間進(jìn)行存取的整組A密鑰 和B密鑰的復(fù)本。對(duì)于所有扇區(qū)擁有A密鑰和B密鑰使得卡發(fā)行商能夠靈活地對(duì)名稱空間 進(jìn)行動(dòng)態(tài)管理����。動(dòng)態(tài)管理可以經(jīng)由駐存在遠(yuǎn)程計(jì)算機(jī)上的遠(yuǎn)程軟件應(yīng)用程序(如在遠(yuǎn)程服 務(wù)器中的可信服務(wù)管理器(TSM)、由卡發(fā)行商擁有或控制的TSM)來(lái)應(yīng)用��。錢(qián)包軟件應(yīng)用程 序還可以用于基于各種參數(shù)(如用戶動(dòng)作和/或位置)使用控制小程序所提供的存取密鑰 來(lái)動(dòng)態(tài)地將軟件應(yīng)用程序和應(yīng)用數(shù)據(jù)換入和換出名稱空間區(qū)域���。例如��,在交通系統(tǒng)中�,如果 非接觸式智能卡設(shè)備最終用戶從一個(gè)位置行進(jìn)到另一位置�����,那么適用于第一位置交通系統(tǒng) 的智能卡憑據(jù)被換為第二位置交通憑據(jù)��,并且所述卡可供用于第二位置��。
[0049] 在一個(gè)示例性實(shí)施方案中���,為了利用應(yīng)用目錄(AD)�����,卡發(fā)行商使用占據(jù)卡塊特定 部分的修改版本的應(yīng)用目錄�,并且使用安全元件中的由卡發(fā)行商定義的名稱空間�。此外,卡 發(fā)行商應(yīng)用目錄實(shí)施方式可以支持從錢(qián)包軟件應(yīng)用程序(用戶接口軟件應(yīng)用程序)直接配 備的能力��,從而在沒(méi)有額外外部準(zhǔn)許的情況下�,以動(dòng)態(tài)方式交換安全元件名稱空間的內(nèi)容。
[0050] 在某些示例性實(shí)施方案中���,錢(qián)包軟件應(yīng)用程序可以由卡發(fā)行商或所提供的軟件應(yīng) 用程序進(jìn)行部署����,其中安全元件內(nèi)的軟件應(yīng)用程序和控制小程序可以彼此配合或交互����,以 便在不使用用于外部驗(yàn)證的中間可信安全管理器(TSM)的情況下對(duì)名稱空間進(jìn)行存取。為 了以安全方式支持敏感數(shù)據(jù)配備�,控制小程序支持不對(duì)稱的公共/私有密鑰加密�?����?刂菩?程序?qū)蓚€(gè)密鑰包括在安全元件內(nèi)或外的安全存儲(chǔ)器中����,并且將使公共密鑰僅在所述安全 元件外可用。
[0051] 控制小程序充當(dāng)安全元件上的錢(qián)包軟件應(yīng)用程序的擴(kuò)展����,并且支持安全元件中的 如EMVCo順應(yīng)性等特征??刂菩〕绦蚩梢灾苯咏邮軄?lái)自錢(qián)包軟件應(yīng)用程序的命令,從而實(shí) 現(xiàn)以下操作:支持兩種類型的存儲(chǔ)(SSL0T和RSL0T);管理用于RSL0T和SSL0T的存取密鑰���; 向第二方合作伙伴或軟件應(yīng)用程序提供商導(dǎo)出/旋轉(zhuǎn)用于SSL0T的存取密鑰�;支持公共/ 私有密鑰對(duì)�,以使得可以從第二方設(shè)備接收加密指令;將數(shù)據(jù)配備到槽上��,其中這種配備是 在沒(méi)有TSM或可信服務(wù)代理(TSA)軟件的情況下來(lái)配備應(yīng)用數(shù)據(jù)�、軟件應(yīng)用程序或安全元 件的存取密鑰;動(dòng)態(tài)地交換用于SSL0T和RSL0T兩者的存取密鑰和數(shù)據(jù)以便支持名稱空間 的超額訂制�����;以及實(shí)施將根AD塊置于卡發(fā)行商指定位置中的專有版本AD�。在某些示例性 實(shí)施方案中,這可以被定義為位于緊接在智能卡的第一千字節(jié)存儲(chǔ)器(扇區(qū)16)之后的位 置處���。
[0052] 名稱空間中的卡發(fā)行商應(yīng)用目錄可以完全由所述卡發(fā)行商管理�����?���?刂栖浖?yīng)用程 序還可以初始化用于塊的密鑰�����,同時(shí)始終保留用于名稱空間中的所有槽(或扇區(qū))的A密 鑰和B密鑰的復(fù)本�����。在SSL0T的情況下�,與以技術(shù)方式強(qiáng)制執(zhí)行相反,擁有有效B密鑰能夠 以合同方式強(qiáng)制執(zhí)行�����。在一個(gè)實(shí)例中,可以實(shí)施來(lái)自非TSM服務(wù)器或代理的經(jīng)由SLA和業(yè)務(wù) 政策的自動(dòng)實(shí)施方式����。錢(qián)包軟件應(yīng)用程序啟動(dòng)對(duì)非接觸式智能卡設(shè)備的所有儀器的配備, 這是"拉送配備"的一個(gè)實(shí)例����。此外,錢(qián)包軟件應(yīng)用程序啟動(dòng)所有非接觸式事務(wù)并且可以允 許用于已經(jīng)配備的軟件應(yīng)用程序的推送通知����,在此情況下,所述錢(qián)包軟件應(yīng)用程序可以隨 后啟動(dòng)所請(qǐng)求的事務(wù)���。
[0053] 在將控制軟件應(yīng)用程序安裝在安全元件上后�����,所述控制軟件應(yīng)用程序可以典型地 將一組導(dǎo)出密鑰旋轉(zhuǎn)到塊中并且保存所述密鑰����,從而定義安全元件名稱空間內(nèi)的安全存儲(chǔ) 器��。存取密鑰可以使用各自由卡發(fā)行商或制造商提供的主控密鑰、唯一標(biāo)識(shí)符(UID)以及 安全元件CPLC(卡生產(chǎn)生命周期數(shù)據(jù))的組合來(lái)導(dǎo)出���。隨后�����,根據(jù)指派給每個(gè)扇區(qū)的存取 密鑰和存取位的設(shè)置來(lái)對(duì)扇區(qū)進(jìn)行劃分。所述塊的第一1千字節(jié)可以被保留用于交通���,并 且這些扇區(qū)可以作為SSLOT分發(fā)或作為RSLOT出租�。無(wú)論如何����,塊的保留部分將被保留用 于交通。4KB卡上的塊的接下來(lái)3千字節(jié)可以被保留用于卡發(fā)行商應(yīng)用目錄表�。AD根塊將 駐存在塊的被保留用于應(yīng)用目錄的第一扇區(qū)中。
[0054] 在某些示例性實(shí)施方案中���,密鑰旋轉(zhuǎn)可以由控制軟件應(yīng)用程序來(lái)實(shí)施�����。在并入非 接觸式智能卡設(shè)備內(nèi)之前����,控制軟件應(yīng)用程序最初可以經(jīng)由TSM或在卡發(fā)行商的制造設(shè)施 處安裝在安全元件中。然而��,在第一次使用設(shè)備時(shí)����,密鑰旋轉(zhuǎn)可以在控制軟件應(yīng)用程序的實(shí) 例化時(shí)間處發(fā)生。存取密鑰旋轉(zhuǎn)可以作為在非接觸式智能卡設(shè)備接通時(shí)觸發(fā)的控制軟件小 程序的實(shí)例化代碼的一部分來(lái)啟動(dòng)��。在一些示例性實(shí)施方案中��,控制小程序可以經(jīng)由卡制 造商的生產(chǎn)過(guò)程進(jìn)行預(yù)先安裝���,借此當(dāng)半導(dǎo)體裸片離開(kāi)制造商的晶片處理(在測(cè)試之后) 時(shí)����,所述控制小程序被安裝在ROM或EEPROM存儲(chǔ)區(qū)段中��。作為這個(gè)過(guò)程的一部分���,此后將 不執(zhí)行用于控制小程序的實(shí)例化代碼���。出于這個(gè)原因����,一旦已經(jīng)選擇控制小程序來(lái)實(shí)例化����, 就可以包括針對(duì)"尚未旋轉(zhuǎn)"的檢查,以便確?���?刂菩〕绦蛟诖嫒∶荑€并未旋轉(zhuǎn)的情況下無(wú) 法被使用(或選擇)�。需要停用的特殊命令是不需要的,因?yàn)樵谌魏螘r(shí)間進(jìn)行檢查將只執(zhí)行 一次存取密鑰旋轉(zhuǎn)����。在此情況下,控制小程序需要確保其對(duì)存取密鑰旋轉(zhuǎn)的可能中止進(jìn)行 保護(hù)��,以便確保所有密鑰在針對(duì)設(shè)備停用存取密鑰旋轉(zhuǎn)特征之前已經(jīng)被旋轉(zhuǎn)至少一次�。
[0055] 在某些示例性實(shí)施方案中,存取密鑰旋轉(zhuǎn)可以在早至非接觸式卡的生產(chǎn)過(guò)程時(shí)并 且晚至用于每個(gè)部件的各種驅(qū)動(dòng)軟件的并入和啟動(dòng)時(shí)執(zhí)行���,所述每個(gè)部件包括非接觸式智 能卡設(shè)備(例如�,移動(dòng)手機(jī))中的非接觸式智能卡。并入和啟動(dòng)智能卡將確保此后不需要 保護(hù)(或停用)嵌入式安全元件(eSE)的過(guò)程���。此外����,對(duì)于檢驗(yàn)包含NFC控制器����、PN544以 及JC0P的NFC模塊是否在正確工作,在原始設(shè)備制造商(OEM)處在卡生產(chǎn)或測(cè)試時(shí)執(zhí)行密 鑰旋轉(zhuǎn)的過(guò)程非常有用��。這個(gè)過(guò)程確保任何焊接和模壓工作未使得芯片斷裂或損毀�。OEM 可以將這個(gè)檢查過(guò)程作為半導(dǎo)體裸片的功能測(cè)試來(lái)執(zhí)行。因此���,OEM可以在交付之前實(shí)施 質(zhì)量檢查來(lái)改進(jìn)設(shè)備質(zhì)量�����,并且卡發(fā)行商將具有以下優(yōu)勢(shì):密鑰旋轉(zhuǎn)在實(shí)施卡發(fā)行商的嵌 入式軟件之前完成�。
[0056] 控制軟件應(yīng)用程序或控制小程序以及錢(qián)包軟件應(yīng)用程序(用戶接口軟件應(yīng)用程 序)執(zhí)行安全元件名稱空間的服務(wù)和配備����,并且提供方便的接口來(lái)確保軟件應(yīng)用程序提供 商或卡發(fā)行商使用正確的應(yīng)用ID(AID)來(lái)配備存儲(chǔ)器����。這個(gè)動(dòng)作確保新的軟件應(yīng)用程序不 會(huì)蓋寫(xiě)安全元件名稱空間中的其它軟件應(yīng)用程序的應(yīng)用軟件或應(yīng)用數(shù)據(jù)�。為了使軟件應(yīng)用 程序提供商與控制軟件應(yīng)用程序進(jìn)行交互,卡發(fā)行商發(fā)布一項(xiàng)協(xié)議���,所述協(xié)議可以采用消 息格式并且采用相關(guān)聯(lián)的事務(wù)模型�����。用戶可以從錢(qián)包軟件應(yīng)用程序驅(qū)動(dòng)配備啟動(dòng)��。一旦已 經(jīng)針對(duì)合作伙伴(多個(gè)軟件應(yīng)用程序提供商之一)配備了憑據(jù)�,解決方案就提供回叫標(biāo)識(shí) 符��,軟件應(yīng)用程序提供商可以使用所述回叫標(biāo)識(shí)符來(lái)將推送通知遞送至設(shè)備����。
[0057] 在某些示例性實(shí)施方案中����,所有控制小程序事務(wù)可以由錢(qián)包軟件應(yīng)用程序來(lái)啟 動(dòng),即使事務(wù)因推送的事件通知而發(fā)生����。錢(qián)包軟件應(yīng)用程序可以是事務(wù)的啟動(dòng)者���。在此方 法中,控制軟件應(yīng)用程序解決方案可以與傳統(tǒng)EMVCo配備不同����,不同之處在于,在控制軟件 應(yīng)用程序中��,錢(qián)包軟件應(yīng)用程序是主導(dǎo)����,而軟件應(yīng)用程序是事務(wù)的從屬。相反�����,對(duì)于EMVCo配備�,軟件應(yīng)用程序提供商(例如,金融機(jī)構(gòu)或交通系統(tǒng))是事務(wù)的主導(dǎo)�����,而錢(qián)包軟件應(yīng)用 程序是從屬����,甚至不知道軟件應(yīng)用程序提供商正在經(jīng)由TSM對(duì)其執(zhí)行什么動(dòng)作���。由于控制 小程序與錢(qián)包軟件應(yīng)用程序相結(jié)合,這種設(shè)計(jì)可以減輕TSM的必要性�����,并且不對(duì)稱密鑰對(duì) 密碼算法充當(dāng)中立且安全的可信軟件應(yīng)用程序提供商��?��?刂栖浖?yīng)用程序可以額外地定義 將在安全信道上驅(qū)動(dòng)(由至少一個(gè)安全套接層或SSL強(qiáng)制執(zhí)行)的所有交互���。
[0058] 在某些示例性實(shí)施方案中,TSM軟件應(yīng)用程序(或JavaCard VM環(huán)境中的TSM小 程序)可以獨(dú)立地或作為控制軟件應(yīng)用程序的一部分來(lái)經(jīng)由公共-私有密鑰不對(duì)稱密碼算 法來(lái)在安全元件中提供TSM實(shí)施方式�����,這允許非TSM計(jì)算機(jī)提供公共密鑰加密的軟件應(yīng)用 程序和應(yīng)用數(shù)據(jù)�,并且提供對(duì)安全元件中的TSM軟件應(yīng)用程序的生命周期控制�����。TSM軟件 應(yīng)用程序向控制軟件應(yīng)用程序或已安裝的軟件應(yīng)用程序提供所需權(quán)限來(lái)執(zhí)行某些軟件應(yīng) 用程序生命周期功能,包括安裝��、實(shí)例化�、開(kāi)始、停止����、銷毀、更新���、激活�����、解除激活�����、交換扇區(qū) 和存儲(chǔ)塊��、改變存取密鑰以及針對(duì)存取條件改變存取位�,每個(gè)功能通過(guò)來(lái)自外部TSM計(jì)算 機(jī)設(shè)備的干預(yù)來(lái)執(zhí)行�。多個(gè)非TSM計(jì)算機(jī)(包括軟件應(yīng)用程序或應(yīng)用數(shù)據(jù))中的每一個(gè)經(jīng) 由TSM軟件應(yīng)用程序或控制軟件應(yīng)用程序向卡發(fā)行商注冊(cè),其中注冊(cè)過(guò)程向非TSM計(jì)算機(jī) 提供公共密鑰以用于將應(yīng)用數(shù)據(jù)提供給非接觸式智能卡的安全元件�����。此外,TSM軟件應(yīng)用 程序隨后可以使用作為注冊(cè)過(guò)程的一部分授予TSM軟件應(yīng)用程序的權(quán)限來(lái)控制安全元件 內(nèi)的應(yīng)用數(shù)據(jù)的生命周期����。
[0059] 在某些示例性實(shí)施方案中,控制軟件應(yīng)用程序?qū)嵤┦墙?jīng)由代表性狀態(tài)轉(zhuǎn)換 (RESTful)接口通過(guò)使用采用所定義的JavaScript對(duì)象通知或JS0N格式的消息來(lái)執(zhí)行的��, 所述接口是無(wú)狀態(tài)客戶端-服務(wù)器體系結(jié)構(gòu)����。控制軟件應(yīng)用程序涉及事件序列方面的事 務(wù)��,所述事件序列以錢(qián)包軟件應(yīng)用程序?qū)㈤_(kāi)始配備消息發(fā)送到合作伙伴設(shè)備開(kāi)始�,其中所 述合作伙伴設(shè)備可以是作為用于多個(gè)軟件應(yīng)用程序的遠(yuǎn)程服務(wù)器主機(jī)運(yùn)行的非TSM計(jì)算 機(jī)或TSM計(jì)算機(jī)。開(kāi)始消息包括非TSM計(jì)算機(jī)對(duì)安全地返回到錢(qián)包軟件應(yīng)用程序的"管理 事務(wù)"響應(yīng)進(jìn)行編碼所必需的信息�����。合作伙伴使用開(kāi)始事務(wù)消息中的信息來(lái)對(duì)響應(yīng)消息中 的數(shù)據(jù)進(jìn)行編碼�����。例如��,開(kāi)始消息可以包括用于控制小程序的公共密鑰�����,以便匹配存儲(chǔ)在非 接觸式智能卡設(shè)備中的私有密鑰����。
[0060] 在某些示例性實(shí)施方案中,非TSM計(jì)算機(jī)又使用公共密鑰來(lái)對(duì)非TSM計(jì)算機(jī)想要 配備到名稱空間中的應(yīng)用數(shù)據(jù)或軟件應(yīng)用程序進(jìn)行編碼�。合作伙伴設(shè)備還可以是包括來(lái)自 多個(gè)軟件應(yīng)用程序提供商的軟件應(yīng)用程序的常見(jiàn)非TSM計(jì)算機(jī)。盡管控制小程序事務(wù)的概 念可能較窄并且由開(kāi)始配備消息的設(shè)計(jì)來(lái)控制��,但其也可以是錢(qián)包軟件應(yīng)用程序與安全元 件中的其它軟件應(yīng)用程序之間的許多潛在共享API之一���。在一個(gè)示例性實(shí)施方案中���,交通 系統(tǒng)軟件應(yīng)用程序的指定余額檢查接口和其它功能可以被包括作為軟件應(yīng)用程序功能的 一部分?��?刂栖浖?yīng)用程序的消息事務(wù)可以是軟件應(yīng)用程序提供商可以將數(shù)據(jù)從非TSM計(jì) 算機(jī)提交給安全元件所用的一種機(jī)制���。來(lái)自非TSM服務(wù)器的軟件應(yīng)用程序或應(yīng)用數(shù)據(jù)可以 存儲(chǔ)在被指派用來(lái)暫時(shí)存儲(chǔ)的安全元件的一部分中,或存儲(chǔ)在與安全元件中的控制軟件應(yīng) 用程序進(jìn)行安全信道通信的外部安全存儲(chǔ)區(qū)域中�。
[0061] 在某些示例性實(shí)施方案中�����,能夠?qū)Ψ墙佑|式智能卡設(shè)備內(nèi)的SSL0T進(jìn)行存取的外 部讀卡器設(shè)備可以配備成充當(dāng)在適當(dāng)位置處具有公共-私有密鑰對(duì)加密的TSM計(jì)算機(jī)或非 TSM計(jì)算機(jī)�����。TSM或非TSM類型讀卡器可以控制所駐存的軟件應(yīng)用程序��,所述軟件應(yīng)用程序 被識(shí)別為在讀卡器的控制內(nèi)或由控制讀卡器和安全元件內(nèi)的某些軟件應(yīng)用程序兩者的軟 件應(yīng)用程序提供商所發(fā)布�。當(dāng)軟件應(yīng)用程序提供商想要經(jīng)由讀卡器設(shè)備啟動(dòng)軟件應(yīng)用程序 相關(guān)事務(wù)時(shí)����,相關(guān)非TSM計(jì)算機(jī)可以將推送通知發(fā)送給錢(qián)包軟件應(yīng)用程序。隨之�����,錢(qián)包軟 件應(yīng)用程序使用安全通信信道來(lái)啟動(dòng)控制軟件應(yīng)用程序事務(wù)����,以便檢驗(yàn)請(qǐng)求是否被視為有 效。
[0062] 在某些示例性實(shí)施方案中����,錢(qián)包軟件應(yīng)用程序可能并不提供關(guān)于在任何特定時(shí)間 幀內(nèi)對(duì)通知進(jìn)行接收或響應(yīng)的強(qiáng)力保證�����。在控制小程序(或TSM小程序)與合作伙伴設(shè)備 之間的開(kāi)始配備消息結(jié)構(gòu)可以包括用于加密目的的TSM軟件應(yīng)用程序或控制軟件應(yīng)用程 序公共密鑰、用于安全元件的唯一ID����、協(xié)議版本號(hào)、事務(wù)標(biāo)識(shí)符以及用以啟用合作伙伴讀取 器對(duì)AD進(jìn)行存取的ADA密鑰��、在合作伙伴經(jīng)由推送通知來(lái)請(qǐng)求事務(wù)的情況下所述合作伙 伴可以參照的事件通知以及錢(qián)包軟件應(yīng)用程序回叫標(biāo)識(shí)符���,以使得合作伙伴可以在未來(lái)日 期將通知推送到錢(qián)包�。配備響應(yīng)消息可以包括:響應(yīng)狀態(tài)(換句話說(shuō)����,成功、錯(cuò)誤�、重試等 等);響應(yīng)細(xì)節(jié)(換句話說(shuō)�,如果響應(yīng)狀態(tài)是重試,那么細(xì)節(jié)字符串可以陳述服務(wù)器停機(jī)�,稍 后再試);RSLOT/SSLOT布爾量,其中如果這是RSLOT�,那么需要AID,并且AID必須是指派給 軟件應(yīng)用程序服務(wù)提供商的卡發(fā)行商應(yīng)用目錄ID���。
[0063] 此外�,在某些示例性實(shí)施方案中���,當(dāng)響應(yīng)于開(kāi)始配備消息而指派給軟件應(yīng)用程序 的SLOT是SSLOT時(shí)�����,ADID是指派給合作伙伴軟件應(yīng)用程序的有效SSLOT應(yīng)用ID��。經(jīng)由讀 卡器或