process)。根據(jù)一個實施例���,在安裝應用或使能服務(比如應用安裝和個人化)時以無線方式(Over the air)執(zhí)行SE配置過程以個人化所述安全元件���。當將所述安全元件關聯(lián)到一個安全元件發(fā)行者時,才執(zhí)行所述安全元件的個人化��。當用戶訂購或安裝應用時����,需要為每個應用執(zhí)行應用安裝和配置�����。
[0037]在一個實施例中���,在更新或升級所述安全元件132時����,為避免從頭開始個人化所述安全元件132,只用新的更新替換所述安全元件132中的一個或一些組件�。在實現(xiàn)時,可以自動地或手動獲取這些新的更新���,并將它們裝載至所述移動裝置130�。在一個實施例中�,根據(jù)相應的安全元件發(fā)行者和TSM,具有NFC功能的移動裝置可以從服務器或TSM入口或門戶(TSM portal)下載應用����。
[0038]TSM是指可信服務管理(Trusted Service Management),是一種服務集合��。所述TSM的一個主要角色是幫助服務提供者(service provider)為他們的使用移動網(wǎng)絡的客戶安全的發(fā)布和管理非接觸式服務�����。所述TSM或它的服務器不必需要參與使用NFC裝置的實際非接觸式交易(transact1n)��。這些交易通常由服務提供者和他們的商業(yè)合作伙伴提供的系統(tǒng)處理�。所述TSM的另一個角色是通過作為商業(yè)中間人加速移動NFC應用的成功部署和提升���,其有利于合同安排和不同各方之間的商業(yè)關系的其它方面,這樣使得移動網(wǎng)絡商務成為可能�。
[0039]可以到服務中心執(zhí)行所述個人化過程,也可以通過TSM服務器的網(wǎng)頁入口(webportal)遠程執(zhí)行所述個人化過程�。在第一種場景下,客戶可以到服務中心���,讓服務代表個人化移動裝置內(nèi)的安全元件���。在位于指定地方(比如服務中心)的連接有NFC讀卡器的電腦中,配置管理器(provis1ning manager)可以是安裝的應用或連接至后端TSM的基于網(wǎng)頁的應用���。所述配置管理器用來與移動裝置的安全元件進行通訊(比如通過讀卡器)���。這樣的個人化過程也可以被稱為基于網(wǎng)絡(Over the Internet)的過程。
[0040]在第二種場景下�����,客戶通過服務器(TSM網(wǎng)頁門戶)注冊他/她的移動電話����。所述TSM服務器可以將配置管理器的通用資源識別碼(universal resource identifier,簡稱URI)發(fā)送至已注冊的移動電話�。基于所述移動裝置的類型�����,發(fā)送方式可以是短信服務推送(Short Message Service Push)或谷歌安卓推送(Google Android Push)���。所述客戶可以將所述配置管理器下載至所述移動裝置中�����,并開始所述個人化過程�。這樣的個人化過程被稱為基于無線的過程����。
[0041]在任一個場景下,所述配置管理器作為移動裝置的安全元件和TSM服務器之間的代理?�,F(xiàn)參考圖1B所示���,其示出了根據(jù)本發(fā)明的一個實施例的個人化安全元件的流程或過程150�。在實現(xiàn)時�����,所述過程150可以由軟件或軟件和硬件的結(jié)合來實現(xiàn)。當用戶收到一個新的NFC裝置(比如移動裝置的一部分)�,需要個人化其內(nèi)的所述安全元件。
[0042]在操作152中���,確定所述新的NFC裝置是否是真正的NFC裝置��。一個例子是檢查與所述NFC裝置相關的序列號(serial number)�����。所述序列號可以通過與TSM服務器相關的數(shù)據(jù)庫進行認證�����。在NFC移動裝置的例子中�,所述移動裝置的裝置序列號可以用來進行認證?���,F(xiàn)在假設所述NFC裝置是一個真正的NFC裝置,即可由移動操作者識別的�����。所述過程150將進入操作154����,使所述NFC裝置與專用服務器進行通訊。在一個實施例中�����,所述專用服務器是TSM系統(tǒng)的一部分���,并可通過無線網(wǎng)絡��、互聯(lián)網(wǎng)或無線和有線的結(jié)合(這里稱為數(shù)據(jù)網(wǎng)絡或簡稱為網(wǎng)絡)對其進行訪問���。
[0043 ] 在操作156中,使所述NFC裝置向所述服務器注冊����。一旦所述NFC裝置成為所述TSM系統(tǒng)的一部分,各種服務和數(shù)據(jù)可以通過網(wǎng)絡與所述NFC裝置進行通訊����。作為個人化過程的一部分,在操作158中,所述服務器請求所述安全元件的裝置信息�����。在一個實施例中�,所述服務器發(fā)送數(shù)據(jù)請求(比如服務信息,WAP PUSH)到所述NFC裝置上���。響應所述數(shù)據(jù)請求��,所述NFC裝置發(fā)回從所述安全元件中提取的卡產(chǎn)品壽命周期(Card Product Life Cycle��,簡稱CPLC)信息��。所述CPLC信息包括安全元件產(chǎn)品信息(比如智能卡ID���、制造者信息和批次號等)?;谒鯟PLC信息,所述服務器能夠從其制造者�、授權代理者(authorizeddistributor)或服務提供者處提取這個安全元件的對應默認發(fā)行者安全域(IssuerSecurity Domain,簡稱ISD)信息�。在實現(xiàn)時,所述服務器與安全元件制造者有兩種通訊方式�,具體將在下文的合適部分給予詳細描述�。
[0044]在操作160中���,由所述制造者確定是否更新所述裝置信息。通常���,當一個安全元件由其制造者發(fā)出時�,所述安全元件嵌入有一些默認裝置信息���。如果確定所述默認裝置信息(比如CPLC數(shù)據(jù))需要與所述制造者進行更新����,所述過程150進入操作162��,所述制造者將相應的更新裝置信息上傳至所述服務器��。在操作164中��,將所述更新裝置信息傳輸至所述NFC移動裝置����,并存儲于所述安全元件中。如果確定所述安全元件的默認裝置信息不需要與所述制造者進行更新�,所述過程150進入操作164����,將提取的默認裝置信息存儲入與TSM服務器相關的數(shù)據(jù)庫中���。在一個實施例中���,所述服務器包括獲取派生密鑰集(derived key set)的接口。在一個實施例中�,根據(jù)所述安全元件的裝置信息(比如,ISD)產(chǎn)生所述派生密鑰集�����。當所述安全元件中成功安裝上派生ISD密鑰集時�,通知相應的安全元件發(fā)行者所述派生ISD密鑰集已經(jīng)使用。
[0045]根據(jù)本發(fā)明的一個實施例����,在操作166中,所述裝置信息(默認的或更新的)用來產(chǎn)生密鑰集(或稱一組密鑰)����。在一個實施例中,所述服務器用來使用默認ISD在他的硬件安全模塊(hardware security module�,簡稱HSM)和所述安全元件之間建立安全通道�����。所述服務器還用來為所述安全元件計算派生密鑰集�?����;跇I(yè)務協(xié)定��,安全元件的發(fā)行者的主ISD密鑰可以設置于與所述服務器相關的硬件安全模塊或所述安全元件發(fā)行者的本地硬件安全模塊中��。所述硬件安全模塊是一種安全加密處理器���,其用于管理數(shù)字密鑰,加速加密過程����,以及對訪問服務器應用的關鍵密鑰提供有效的認證。如果設置于所述服務器中的硬件安全模塊內(nèi)����,所述服務器用來指令所述硬件安全模塊去計算所述派生密鑰集。隨后���,所述服務器提供一種機制(比如put key Arou)并使用默認通道��,用所述派生密鑰集替代在所述安全元件中的默認密鑰集����。如果所述安全元件發(fā)行者(SE issurer)的主ISD密鑰在所述安全元件發(fā)行者的本地硬件安全模塊中,所述服務器還用來與遠端的硬件安全模塊交互以提取所述主ISD密鑰����。
[0046]在操作168中,將所述密鑰集安全的傳遞至所述安全元件�。就這樣將密鑰集個人化入所述安全元件中,所述密鑰集用于利用NFC裝置進行的各種安全操作或服務中����。在操作170,所述服務器用來將所述安全元件與其發(fā)行者或提供者進行同步(比如�,將有關安全元件狀態(tài)的通知發(fā)送至所述發(fā)行者或提供者)。在個人化后�����,可以使用所述SE發(fā)行者的個人化ISD密鑰來訪問所述安全元件��?���;诿總€服務提供商的安全需求���,所述TSM可以為各個提供者提供額外的SSD以個人化他們的相應應用(比如,圖1A中的模塊134或136)��。
[0047]如上文所述���,有兩種方式可以用來在與所述制造者的交互過程中從所述安全元件中提取相應的默認ISD信息��?����;诨A架構(gòu),制造者可以選擇使用實時方式(real-timeapproach)或批量(或稱批處理)方式(batch approach)�����。
[0048]在實時方式中����,當所述TSM服務器個人化所述安全元件時,所述服務器被設置用來與制造者(比如它的服務器)進行通訊���。這樣���,所述默認密鑰集是經(jīng)要求從制造者的服務器提取的��。在一個實施例中����,所述TSM服務器包括與每個制造者進行通訊的插件模組��。
[0049]現(xiàn)在參考圖2A所示�,其示出了一個移動生態(tài)系統(tǒng)200,其中參與入所述移動生態(tài)系統(tǒng)中的相關方依次列出����。在一個實施例中,允許一個NFC裝置從相應指定服務器202 (比如應用管理提供者)中下載或安裝一個或多個應用�����,其中這些應用是由應用開發(fā)者204最初開發(fā)出來���,并由服務提供者210����、應用管理提供者202或其他相關方發(fā)布。假設有安全元件提供者208提供的安全元件206已經(jīng)經(jīng)由TSM或可信賴第三方(比如���,金融機構(gòu)212)個人化�����。
[0050]一旦在所述NFC裝置上安裝上一個應用����,下一步將是通過所述安全元件配置所述應用�。應用的配置過程可以以幾種方式開始。其中的一種方式是一個安全元件擁有者在移動裝置上從TSM入口中選擇一個應用���,并開始配置過程����。另一種方式是所述安全元件擁有者在移動裝置上接收來自代表應用提供者的TSM的應用配置通知�。
[0051]所述TSM或應用提供者可以在TSM入口或門戶上發(fā)布他們的應用�,以供下載到具有安全元件和/或簽訂用戶請求(比如SE擁有者)的移動裝置上。在一個實施例中����,所述TSM為多個SE發(fā)行者提供云服務��。這樣�����,來自各個服務提供者的許多應用可以從TSM入口處獲取��。然而�����,當?shù)侨胨鯰SM入口時��,安全元件擁有者只可以看那些經(jīng)過他的安全元件提供者認證的應用�?�;诎踩头仗峁┱咧g的協(xié)議���,使用安全元件的ISD密鑰集或服務提供者的指定的SSD密鑰集可以實現(xiàn)應用的下載/安裝/個人化���。如果在所述安全元件中并未安裝有SSD密鑰集,則可以在一個應用安裝的過程中安裝它����。
[0052]所述TSM知曉安全元件針對各個SSD的存儲狀態(tài)����?;赟SD的存儲分配策略和所述安全元件的存儲狀態(tài),對于在應用商店中的針對各種SSD的可用應用可以標記為不同的指示����,比如“可以安裝”或“安裝存儲不足”。這樣可以防止用戶不必要的失敗�����。
[0053]一旦在一個NFC裝置上安裝一個應用�����,所述應用自己啟動配置過程����,或TSM服務器通過蜂窩網(wǎng)絡或無線數(shù)據(jù)網(wǎng)絡給所述NFC裝置發(fā)送配置通知。根據(jù)所述NFC裝置的類型�,有很多種發(fā)送消息(PUSH message���,或稱為推廣消息)的方式以使得所述NFC裝置開始所述配置過程��。發(fā)送方法的一個例子包括短信發(fā)送或安卓谷歌發(fā)送�����。一旦用戶收到所述通知����,所述配置過程開始。在認為合適的時候���,將詳細描述配置過程�����。
[0054]作為所述應用配置的一個部分���,TSM服務器執(zhí)行一些保護性機制。一個是防止安全元件意外鎖定�。另一個是如果在安全元件中沒有足夠存儲空間時阻止應用的下載。在一些實例中���,在安全通道建立期間如果有太多的相互認證失敗�,則安全元件可能永久性鎖定自己。為了防止所述安全元件意外鎖定�����,當在兩方(entities)之間建立安全通道時����,所述TSM持續(xù)跟蹤安全元件和TSM之間的認證失敗的數(shù)目。在一個實施例中���,如果達到預定極限����,所述TSM將拒絕任何進一步的請求�����。如果在服務中心手動的重啟所述安全元件�,所述TSM可以繼續(xù)處理SE請求。
[0055]所述TSM也持續(xù)跟蹤每個安全元件的存儲使用��。所述TSM基于由所述SE發(fā)行者分配給每個服務提供者的存儲分配決定一個應用是否可以安裝于一個安全元件上����。根據(jù)一個實施例���,有三種類型的策略:
[0056]?預分配一個固定存儲空間�,這是保證空間;
[0057]?預分配一個最小存儲空間�,這是保證最小空間(暗示所述容量在一些情況下可以被擴展);
[0058]?最大努力(比如���,合同規(guī)定�,需要安全元件發(fā)行者使用他最大的努力執(zhí)行他的責任