對連接到通信設(shè)備的安全元件遠(yuǎn)程執(zhí)行操作的方法和因特網(wǎng)終端的制作方法
【專利摘要】本發(fā)明涉及一種對連接到具有能夠進(jìn)行基于IP的通信的用戶應(yīng)用的通信設(shè)備的安全元件遠(yuǎn)程執(zhí)行由服務(wù)提供商確定的操作的方法��,其特征在于向用戶應(yīng)用提供用于建立與安全元件的連接的非服務(wù)提供商特定因特網(wǎng)終端客戶端模塊���;獲得用于經(jīng)由用戶應(yīng)用連接到托管在遠(yuǎn)程服務(wù)器上的因特網(wǎng)終端提供商模塊的上下文參數(shù)�����,由用戶應(yīng)用啟動因特網(wǎng)終端客戶端模塊����,使用上下文參數(shù)以建立因特網(wǎng)終端提供商模塊和因特網(wǎng)終端客戶端模塊之間的遠(yuǎn)程連接,經(jīng)由因特網(wǎng)終端客戶端模塊檢測連接到通信設(shè)備的安全元件��,通過因特網(wǎng)終端客戶端模塊和因特網(wǎng)終端提供商模塊之間的連接�,打開因特網(wǎng)終端提供商模塊和安全元件之間的虛擬通信信道����,通過虛擬通信信道向安全元件傳送由服務(wù)提供商確定的安全元件命令,并且對安全元件執(zhí)行與安全元件命令對應(yīng)的操作�。本發(fā)明還涉及一種因特網(wǎng)終端,該因特網(wǎng)終端包括對連接到具有能夠進(jìn)行基于IP的通信的用戶應(yīng)用的通信設(shè)備的安全元件遠(yuǎn)程執(zhí)行由服務(wù)提供商確定的操作的因特網(wǎng)終端提供商模塊���,其特征在于該因特網(wǎng)終端包括非服務(wù)提供商特定因特網(wǎng)終端客戶端模塊����,其可以由用戶應(yīng)用啟動�����,該因特網(wǎng)終端客戶端模塊配置為建立與安全元件的連接�,并且連接到因特網(wǎng)終端提供商模塊并且打開因特網(wǎng)終端提供商模塊和安全元件之間的虛擬通信信道,該虛擬通信信道適配為向安全元件傳送安全元件命令����,以執(zhí)行由服務(wù)提供商確定的操作。
【專利說明】對連接到通信設(shè)備的安全元件遠(yuǎn)程執(zhí)行操作的方法和因特網(wǎng)終端
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及一種用于對連接到具有能夠進(jìn)行基于IP的通信的用戶應(yīng)用的通信設(shè)備的安全元件遠(yuǎn)程執(zhí)行由服務(wù)提供商確定的操作的方法。本發(fā)明還涉及一種包括因特網(wǎng)終端提供商模塊的因特網(wǎng)終端����,該因特網(wǎng)終端提供商模塊用于對連接到具有能夠進(jìn)行基于IP的通信的用戶應(yīng)用的通信設(shè)備的安全元件遠(yuǎn)程執(zhí)行由服務(wù)提供商確定的操作。
【背景技術(shù)】
[0002]例如塑料芯片卡(所謂的智能卡)的安全元件在例如計算機(jī)安全�、公共交通、高安全標(biāo)識���、支付�、訪問控制���、移動通信(SIM)等的不同領(lǐng)域中具有快速增長的應(yīng)用�����。在金融應(yīng)用中�����,智能卡可以用作銀行卡���、加油卡、用于收費電視的授權(quán)卡����、預(yù)加載支付卡(preloadedpayment card)����、公共交通和公共電話支付卡��。智能卡也可以用作電子錢包�。智能卡芯片可以“加載”資金以支付停車計時器和自動售貨機(jī)或者在不同商人處支付���。單個智能卡可以具有許多獨立專用應(yīng)用�����,例如提供給中小學(xué)校和大學(xué)的學(xué)生的智能卡可以用作用于跟蹤學(xué)生出勤的ID ;用作電子錢包���,用以在小賣部、自動售貨機(jī)等支付產(chǎn)品����,以跟蹤并且監(jiān)控在小賣部的食物選擇,從而幫助學(xué)生維持健康飲食�����,并且以跟蹤從學(xué)校圖書館的租用;以及用作提供學(xué)生折扣的交通卡�。
[0003]在本發(fā)明的上下文中,安全元件具有比智能卡更寬的含義����,因為很多上面的實現(xiàn)方式也可以在與智能卡不同的軟件環(huán)境(我們可以將其稱為受信執(zhí)行環(huán)境)中實現(xiàn),其可以確保類似級別的安全和保護(hù)���。術(shù)語安全元件通常被理解為包含確保對存儲信息的授權(quán)訪問的解決方案����,如在已知受信執(zhí)行環(huán)境的情形下��。也可以存在可用硬件解決方案-硬件安全模塊-其也確保所需的安全操作環(huán)境�。
[0004]為了將一個或多個所需應(yīng)用或者資金、信用或者將提供對特定服務(wù)(例如���,ATM卡或者加油卡上可用的貨幣量��、公共交通卡上可用的票的數(shù)量�����、入場卡(entry card)上的安全標(biāo)識符等)的特定權(quán)利或訪問的任何憑證加載并且安裝到智能卡(安全元件)的芯片上��,現(xiàn)有技術(shù)智能卡不得不放置到專用終端中或者相鄰于專用終端����,該專用終端由此可以對智能卡的芯片執(zhí)行預(yù)編程操作。
[0005]與現(xiàn)有技術(shù)編寫/編程智能卡的處理相關(guān)聯(lián)的缺點之一是現(xiàn)有技術(shù)專用終端不能加載對于終端的運營商未知的新服務(wù)提供商的新應(yīng)用�。此外,現(xiàn)有技術(shù)終端被預(yù)配置用于特定用途并且具有內(nèi)置安全應(yīng)用��。此外�����,現(xiàn)有技術(shù)終端被特別設(shè)計并且構(gòu)建用于與給定應(yīng)用有關(guān)地對智能卡執(zhí)行特定操作�。
【發(fā)明內(nèi)容】
[0006]本發(fā)明的目的是克服與現(xiàn)有技術(shù)相關(guān)聯(lián)的問題�����。具體地�����,本發(fā)明的目的是提供一種能夠?qū)⑷我鈶?yīng)用加載并且管理到安全元件(智能卡)上的終端����。另一目的是提供一種能夠被實時動態(tài)配置用于任何給定目的以便處理任何安全元件應(yīng)用的終端�����。另一目的是允許所需的任何種類的安全協(xié)議的應(yīng)用對安全元件執(zhí)行給定操作(例如加載或者管理產(chǎn)品/服務(wù))��。另一目的是允許具有常規(guī)安全元件接口(例如�����,智能卡讀取器)的常規(guī)通信設(shè)備(例如�,個人計算機(jī)��、智能電話等)在不需要任何硬件修改的情況下對安全元件執(zhí)行操作�。
[0007]通過提供如下方法達(dá)到上面的目的,該方法用于對連接到具有能夠進(jìn)行基于IP的通信的用戶應(yīng)用的通信設(shè)備的安全元件遠(yuǎn)程執(zhí)行由服務(wù)提供商確定的操作�����,其特征在于
[0008]-向用戶應(yīng)用提供用于建立與安全元件的連接的非服務(wù)提供商特定因特網(wǎng)終端客戶端模塊�;
[0009]-獲得用于經(jīng)由用戶應(yīng)用連接到托管在遠(yuǎn)程服務(wù)器上的因特網(wǎng)終端提供商模塊的上下文參數(shù),
[0010]-由用戶應(yīng)用啟動因特網(wǎng)終端客戶端模塊��,-使用上下文參數(shù)以建立因特網(wǎng)終端提供商模塊和因特網(wǎng)終端客戶端模塊之間的遠(yuǎn)程連接����,
[0011]-經(jīng)由因特網(wǎng)終端客戶端模塊檢測連接到通信設(shè)備的安全元件�,
[0012]-通過因特網(wǎng)終端客戶端模塊和因特網(wǎng)終端提供商模塊之間的連接��,打開因特網(wǎng)終端提供商模塊和安全元件之間的虛擬通信信道�,
[0013]-通過虛擬通信信道向安全元件傳送由服務(wù)提供商確定的安全元件命令,并且對安全元件執(zhí)行與安全元件命令對應(yīng)的操作����。
[0014]在第二方面,通過提供如下因特網(wǎng)終端達(dá)到上面的目的��,該因特網(wǎng)終端包括用于對連接到具有能夠進(jìn)行基于IP的通信的用戶應(yīng)用的通信設(shè)備的安全元件遠(yuǎn)程執(zhí)行由服務(wù)提供商確定的操作的因特網(wǎng)終端提供商模塊���,其特征在于該因特網(wǎng)終端包括非服務(wù)提供商特定因特網(wǎng)終端客戶端模塊,其可以由用戶應(yīng)用啟動����,該因特網(wǎng)終端客戶端模塊配置為建立與安全元件的連接,并且連接到因特網(wǎng)終端提供商模塊并且打開因特網(wǎng)終端提供商模塊和安全元件之間的虛擬通信信道�����,該虛擬通信信道適配為向安全元件傳送安全元件命令����,以執(zhí)行由服務(wù)提供商確定的操作����。
[0015]在所附從屬權(quán)利要求中限定本發(fā)明的具體優(yōu)選實施例����。
[0016]根據(jù)附圖和示例性實施例,本發(fā)明的進(jìn)一步細(xì)節(jié)將是顯而易見的���。
【專利附圖】
【附圖說明】
[0017]圖1是圖示根據(jù)本發(fā)明的第一實施例的因特網(wǎng)終端的應(yīng)用的示意圖�����。
[0018]圖2是圖示根據(jù)本發(fā)明的第二實施例的因特網(wǎng)終端的應(yīng)用的示意圖��。
[0019]圖3是圖示根據(jù)本發(fā)明的第三實施例的因特網(wǎng)終端的應(yīng)用的示意圖�����。
[0020]圖4是圖示根據(jù)本發(fā)明的第四實施例的因特網(wǎng)終端的應(yīng)用的示意圖����。
【具體實施方式】
[0021]圖1示意性圖示根據(jù)本發(fā)明的非服務(wù)提供商特定因特網(wǎng)終端10的第一優(yōu)選實施例���。因特網(wǎng)終端10包括托管在遠(yuǎn)程web服務(wù)器14上的因特網(wǎng)終端提供商模塊12 (ITP模塊)�����,遠(yuǎn)程web服務(wù)器14是本實施例中的因特網(wǎng)終端提供商的web服務(wù)器14��。提供ITP模塊12用于對經(jīng)由作為本實施例中的智能卡讀取器21a的安全元件接口 21連接到用戶的通信設(shè)備22的例如智能卡20a的安全元件20遠(yuǎn)程執(zhí)行操作��。在本發(fā)明的上下文中�,智能卡被理解為包括塑料芯片卡、SM卡����、智能微型SD卡或者集成到具有像ISO 14443標(biāo)準(zhǔn)和/或ISO 7816標(biāo)準(zhǔn)或者其他類似規(guī)范的接觸或者非接觸式通信接口的設(shè)備(例如,移動電話)中的卡以及不同標(biāo)準(zhǔn)的存儲器卡(例如����,MiFare)。通信設(shè)備22的智能卡讀取器21a可以是通信設(shè)備22的內(nèi)置集成部分或者經(jīng)由USB或者其他類型的接口連接到該通信設(shè)備的外部讀取器�����。智能卡20a和通信設(shè)備22之間的連接可能涉及將智能卡20a放置到智能卡讀取器21a中����,或者該連接可能是智能卡讀取器21和智能卡20a之間例如使用NFC (近場通信)��、藍(lán)牙、紅外或者任何其他標(biāo)準(zhǔn)數(shù)據(jù)傳輸方法的無線連接����。
[0022]通信設(shè)備22可以是運行能夠進(jìn)行基于IP的通信的用戶應(yīng)用26的任何類型的計算機(jī)、平板計算機(jī)�、移動電話等,用戶應(yīng)用26可以是常規(guī)因特網(wǎng)瀏覽器26a�。可選地�,能夠進(jìn)行基于IP的通信的用戶應(yīng)用26可以是獨立于任何因特網(wǎng)瀏覽器的應(yīng)用。在圖1中圖示的實施例中�,通信設(shè)備22是計算機(jī)22a,并且用戶應(yīng)用26是因特網(wǎng)瀏覽器26a����。
[0023]因特網(wǎng)終端10還包括從ITP web服務(wù)器14下載到計算機(jī)22a的非服務(wù)提供商特定因特網(wǎng)終端客戶端模塊28 (IT客戶端模塊)。
[0024]在圖1中描繪的本實施例中�,IT客戶端模塊28包括用于因特網(wǎng)瀏覽器26a的因特網(wǎng)終端插件30 (IT插件)。提供IT插件30用于與經(jīng)由智能卡讀取器21a連接到計算機(jī)22a的智能卡20a通信���,以便對智能卡20a執(zhí)行操作���。
[0025]由具有web服務(wù)器18的服務(wù)提供商(SP)確定要執(zhí)行的智能卡操作。在本實施例中,SP web服務(wù)器18不同于ITP web服務(wù)器14,然而,如稍后將討論的,兩者可能一致����。ITP web服務(wù)器14和SP web服務(wù)器18 二者運行計算機(jī)22a的因特網(wǎng)瀏覽器26a可以與其建立連接的標(biāo)準(zhǔn)的基于HTML的web應(yīng)用。
[0026]IT客戶端模塊28還包括專門(ad-hoc)從ITP web服務(wù)器14下載的或者安裝在計算機(jī)22a上的因特網(wǎng)終端web應(yīng)用32 (IT web應(yīng)用)����。在任一情形下,IT web應(yīng)用32可以由因特網(wǎng)瀏覽器26a啟動(launch)��。
[0027]如下應(yīng)用圖1中圖示的因特網(wǎng)終端10��。
[0028]用戶啟動計算機(jī)22a上的因特網(wǎng)瀏覽器26a����,以從SP web服務(wù)器18下載服務(wù)提供商web應(yīng)用34 (或者啟動先前下載和安裝的服務(wù)提供商web應(yīng)用34)并且對其執(zhí)行。用戶優(yōu)選地經(jīng)由SP web應(yīng)用34識別自身����,此后由SP web應(yīng)用34允許他請求對智能卡20a執(zhí)行操作。這種操作可以包括上載和安裝新應(yīng)用�;已安裝應(yīng)用的個性化、已安裝應(yīng)用的生命周期管理���、已經(jīng)安裝應(yīng)用數(shù)據(jù)和狀態(tài)的管理等。
[0029]在步驟100中,該請求從SP web應(yīng)用34經(jīng)由因特網(wǎng)瀏覽器26a傳送到SP web服務(wù)器18��。此后,SP web服務(wù)器18優(yōu)選地通過構(gòu)建(build up)允許高速安全通信的固定通信信道(例如�����,VPN)來建立與ITP web服務(wù)器14的ITP模塊12的連接��。在步驟S102中��,通過固定通信信道從SP web服務(wù)器18向運行在ITP web服務(wù)器14上的ITP模塊12發(fā)送對上下文的請求��。對上下文的請求優(yōu)選地包括命令從ITP模塊12執(zhí)行所請求操作的處理�����。如果可以由ITP模塊12執(zhí)行操作��,則SP web服務(wù)器18傳送必要的數(shù)據(jù)或數(shù)據(jù)文件����。例如,SP web服務(wù)器18傳送由用戶命令的用于新應(yīng)用的安裝文件�,該安裝文件將被ITP模塊12上載和安裝到智能卡20a上?��?商鎿Q地�����,SP web服務(wù)器18可以發(fā)送將允許ITP模塊12從第三web服務(wù)器下載安裝文件的標(biāo)識數(shù)據(jù)�����。
[0030]可以通過向智能卡20a發(fā)送標(biāo)準(zhǔn)APDU命令來對智能卡20a執(zhí)行操作��。如果ITP模塊12負(fù)責(zé)執(zhí)行所請求的操作�����,則由ITP模塊生成APDU命令���,否則由服務(wù)提供商(通常在SP web服務(wù)器18上)生成APDU命令����,并且ITP模塊12充當(dāng)傳送APDU命令的代理�。
[0031]出于安全的原因,ITP模塊12優(yōu)選地僅使用從SP web服務(wù)器18或者從由服務(wù)提供商指示的另一 web服務(wù)器接收到的安裝文件對智能卡20a執(zhí)行新應(yīng)用的上載和安裝���。例如個性化現(xiàn)有智能卡應(yīng)用或者上載或者修改產(chǎn)品或者服務(wù)的其他操作優(yōu)選地由服務(wù)提供商(SP web月艮務(wù)器18)執(zhí)行ο
[0032]上下文參數(shù)可以包括用于IT客戶端模塊28的配置參數(shù)和例如由ITP模塊12生成的一次性密碼(OTP)的認(rèn)證參數(shù)����。在步驟104中���,將上下文參數(shù)發(fā)送回SP web服務(wù)器18��,在步驟106中����,將上下文參數(shù)從SP web服務(wù)器18傳送到SP web應(yīng)用34�����。
[0033]在步驟108中��,SP web應(yīng)用34使用上下文參數(shù)以將因特網(wǎng)瀏覽器26a重定向到ITP模塊12的URL�,IT web應(yīng)用32由因特網(wǎng)瀏覽器26a從該URL下載并且啟動,并且上下文參數(shù)用于確定IT web應(yīng)用32的參數(shù)�����,以建立ITP模塊12和形成客戶端模塊28的一部分的IT web應(yīng)用32之間的連接�。可替換地��,上下文參數(shù)可以用于啟動預(yù)安裝IT web應(yīng)用32并且確定其參數(shù)。因特網(wǎng)瀏覽器26a或者IT web應(yīng)用32驗證IT插件30 (作為IT客戶端模塊28的組件)是否已經(jīng)被下載和安裝���,并且如果否���,則以通常方式下載并且安裝IT插件30。
[0034]在步驟110中�����,實現(xiàn)所請求的操作的執(zhí)行的認(rèn)證:IT web應(yīng)用32使用在步驟S106中獲得的上下文參數(shù)建立與托管在ITP web服務(wù)器14上的ITP模塊12的連接(例如�,http請求、xhtml請求�����、websocket),并且發(fā)送使用所獲得的認(rèn)證參數(shù)(優(yōu)選地0ΤΡ)通信的請求�����。
[0035]ITP模塊12驗證該請求并且如果認(rèn)證成功���,則在步驟112中��,其發(fā)送回認(rèn)證響應(yīng)��,
并且建立安全通信信道�。
[0036]作為前面步驟的結(jié)果,在ITP模塊12和形成IT客戶端模塊28的一部分的IT web應(yīng)用32之間建立遠(yuǎn)程連接�����。
[0037]IT web應(yīng)用32使用IT插件30����,以檢測連接到計算機(jī)22a的任何智能卡20a��。優(yōu)選地���,IT插件30定位連接到計算機(jī)22a的所有智能卡讀取器21a并且不斷監(jiān)控智能卡20a是否被智能卡讀取器21a中的任一個檢測到���。如果智能卡20a被插入到智能卡讀取器21a中或者鄰近智能卡讀取器21a放置(取決于讀取器21a和智能卡20a的類型),則在步驟S114中����,IT插件30經(jīng)由智能卡讀取器21a檢測到智能卡20a并且從智能卡20a獲得基本信息。
[0038]在檢測到智能卡20a之后�,在步驟116中,IT web應(yīng)用32通過IT web應(yīng)用32和ITP模塊12之間已經(jīng)建立的連接����,打開ITP模塊12和智能卡20a之間的虛擬通信信道��,其中IT插件30用于通過智能卡讀取器21a與智能卡20a通信�。
[0039]在步驟SI 18中���,虛擬通信信道用于向智能卡20a傳送智能卡命令(APDU命令)�����。如早先說明的����,該命令由服務(wù)提供商確定并且要么該命令由服務(wù)提供商(SP web服務(wù)器18)生成并且經(jīng)由用作代理的ITP模塊12傳送����,要么該命令根據(jù)從SP web服務(wù)器18接收到的先前的命令由ITP模塊12生成。
[0040]在步驟120中����,APDU命令在IT插件30的幫助下被傳送到智能卡20a,并且該命令被執(zhí)行�,由此對智能卡20a執(zhí)行由用戶請求的操作。
[0041]為了在計算機(jī)22a和SP web服務(wù)器18之間以及計算機(jī)22a和ITP web服務(wù)器14之間通信的目的,可以使用安全http (https)協(xié)議���,其中在http頭部和主體字段中編碼數(shù)據(jù)��?��?商鎿Q地,可以使用對于由http或websocket或者任何其他更高級協(xié)議傳送的每個交互定義單獨的XML消息文件的XML消息結(jié)構(gòu)����。
[0042]http協(xié)議不提供完全保護(hù)��,然而��,這是不必要�,因為安全通信信道在ITPweb服務(wù)器14和智能卡20a上的應(yīng)用之間或者在SP web服務(wù)器18和智能卡20a上的應(yīng)用(在ITPweb服務(wù)器14充當(dāng)代理的情況下)之間建立。該安全通信信道可以例如基于全球平臺安全信道協(xié)議(Global Platform Secure Channel protocOl)�。該協(xié)議有效地防止各種攻擊(中間人(man-1n-the-middle)、重放等)�����。
[0043]圖2描繪本發(fā)明的替代實施例��,其中因特網(wǎng)終端10的ITP模塊12安裝在SP web服務(wù)器18上����。在該情形下����,我們可以區(qū)分運行在SP web服務(wù)器18上的服務(wù)提供商特定SP模塊19和也運行在SP web服務(wù)器18上的非服務(wù)提供商特定ITP模塊12�。另外,計算機(jī)22a和因特網(wǎng)終端10與圖1中描繪的第一實施例相同��。用于對智能卡20a執(zhí)行所請求的操作的步驟也相同���,區(qū)別僅在于在步驟100和106中����,SP web應(yīng)用34與SP web服務(wù)器18的SP模塊19通信����,并且在步驟102中,由SP模塊19從ITP模塊12請求上下文參數(shù)��,響應(yīng)于此�,在步驟S104中,該上下文參數(shù)從ITP模塊12發(fā)送回到SP模塊19��。
[0044]圖3描繪其中通信設(shè)備22是智能電話22b,并且安全元件20是經(jīng)由作為SM卡讀取器21b的安全元件接口 21連接到智能電話22b的SIM卡20b的實施例�����。在圖示的實施例中�����,用戶應(yīng)用26不是因特網(wǎng)瀏覽器26a���,而是能夠進(jìn)行基于IP的通信的服務(wù)提供商的專用應(yīng)用26b��。專用SP應(yīng)用26b也適配為啟動安裝在智能電話22b上的非服務(wù)提供商特定IT客戶端模塊28�。對SM卡20b執(zhí)行操作的處理與結(jié)合圖1和2中圖示的實施例描述的處理很類似�����,其差別如下����。當(dāng)希望對SM卡20b執(zhí)行操作時���,用戶啟動SP應(yīng)用26b并且選擇所期望的操作�。在步驟100中,該請求優(yōu)選地使用基于IP的通信信道(http���、web服務(wù)呼口q�����、websocket)從SP應(yīng)用26b傳送到SP web服務(wù)器18的SP模塊19�����。此后���,在步驟102中,對上下文的請求從SP模塊19發(fā)送到ITP模塊12���,該請求包括命令從ITP模塊12執(zhí)行所請求的操作的處理�����。在步驟104中����,該上下文參數(shù)被發(fā)送回SP模塊19���,在步驟106中����,該上下文參數(shù)從SP模塊19被傳送到專用SP應(yīng)用26b。
[0045]SP應(yīng)用26b驗證IT客戶端模塊28是否安裝在智能電話22b上��,并且如果否�,則從SP web服務(wù)器18或者由SP模塊19指示的web服務(wù)器下載非服務(wù)提供商特定IT客戶端模塊28并且對其進(jìn)行安裝。
[0046]由SP應(yīng)用26b使用上下文參數(shù)���,以啟動連接到在本情形下運行在SP web服務(wù)器18上的ITP模塊12的IT客戶端模塊28���。當(dāng)連接到ITP模塊12時,在步驟SllO中����,IT客戶端模塊28優(yōu)選地通過發(fā)送上下文參數(shù)中包含的數(shù)據(jù)(優(yōu)選地0ΤΡ)來認(rèn)證自身。
[0047]ITP模塊12驗證該請求并且如果認(rèn)證成功�����,則在步驟112中�����,ITP模塊12發(fā)送回認(rèn)證響應(yīng)�。
[0048]作為前面步驟的結(jié)果,在ITP模塊12和也用于通過SM卡讀取器21b與SM卡20b通信的IT客戶端模塊28之間建立遠(yuǎn)程連接�����。在步驟S114中����,IT客戶端模塊28經(jīng)由SIM卡讀取器21b檢測到SM卡20b并且從SM卡20b獲得基本信息。
[0049]在步驟116中�,IT客戶端模塊28通過已經(jīng)在IT客戶端模塊28和ITP模塊12之間建立的連接打開ITP模塊12和SM卡20b之間的虛擬通信信道。在步驟118中��,虛擬通信信道用于向SM卡20b傳送SM卡命令(APDU命令)����。該命令由服務(wù)提供商確定并且要么該命令由SP模塊19生成并且經(jīng)由用作代理的ITP模塊12傳送,要么該命令根據(jù)從SP模塊19接收到的先前的指令由ITP模塊12自身生成��。
[0050]在步驟120中�����,APDU命令由IT客戶端模塊28傳送到SIM卡20b�����,其中命令被執(zhí)行,由此對SIM卡20b執(zhí)行由用戶請求的操作���。
[0051]圖4圖示其中將多個專用SP應(yīng)用安裝在智能電話22b上的另一實施例�����。非服務(wù)提供商特定IT客戶端模塊28也被安裝在智能電話22b上�,該IT客戶端模塊28共用于所有專用SP應(yīng)用26b (即��,不同服務(wù)提供商的專用用戶應(yīng)用26)���。每個SP應(yīng)用26b配置為連接到其自己的服務(wù)提供商的web服務(wù)器18�����。SP web服務(wù)器18每個可以具有運行在其上的它們自己的非服務(wù)提供商特定ITP模塊���,或者SP web服務(wù)器18可以與被安裝并且運行在獨立ITPweb服務(wù)器12上的共用ITP模塊12通信,如圖4中所示���。對SM卡20b執(zhí)行用戶選擇的操作的處理與結(jié)合其他實施例描述的處理類似�,主要區(qū)別在于用戶必須首先選擇并且啟動屬于從其請求執(zhí)行期望的操作的服務(wù)提供商的SP應(yīng)用26b�。此后,所選擇的SP應(yīng)用26b起連接到SP web服務(wù)器18并且啟動IT客戶端模塊28的用戶應(yīng)用26的作用�。其后的處理步驟與結(jié)合圖3中圖示的實施例討論的處理步驟相同。ITP模塊12和IT客戶端模塊28之間的通信可以通過能夠進(jìn)行基于IP的通信的用戶應(yīng)用26( S卩��,所選擇的SP應(yīng)用26b)發(fā)生�����,然而����,在多個服務(wù)提供商和專用SP應(yīng)用26b的情形下,更優(yōu)選地建立和使用獨立于SP應(yīng)用的ITP模塊12和IT客戶端模塊28之間的獨立通信信道��,如圖4中所示����。
[0052]上面描述的實施例僅意圖作為圖示示例,并且不被認(rèn)為限制本發(fā)明�。在不脫離由所附權(quán)利要求確定的保護(hù)范圍的情況下,各種修改對本領(lǐng)域技術(shù)人員來說將是顯而易見的����。
【權(quán)利要求】
1.一種對連接到具有能夠進(jìn)行基于IP的通信的用戶應(yīng)用的通信設(shè)備的安全元件遠(yuǎn)程執(zhí)行由服務(wù)提供商確定的操作的方法���,其特征在于 -向所述用戶應(yīng)用提供用于建立與所述安全元件的連接的非服務(wù)提供商特定因特網(wǎng)終端客戶端模塊; -獲得用于經(jīng)由所述用戶應(yīng)用連接到托管在遠(yuǎn)程服務(wù)器上的因特網(wǎng)終端提供商模塊的上下文參數(shù)�����, -由所述用戶應(yīng)用啟動所述因特網(wǎng)終端客戶端模塊�, -使用所述上下文參數(shù)以建立所述因特網(wǎng)終端提供商模塊和所述因特網(wǎng)終端客戶端模塊之間的遠(yuǎn)程連接, -經(jīng)由所述因特網(wǎng)終端客戶端模塊檢測連接到所述通信設(shè)備的安全元件����, -通過所述因特網(wǎng)終端客戶端模塊和所述因特網(wǎng)終端提供商模塊之間的連接,打開所述因特網(wǎng)終端提供商模塊和所述安全元件之間的虛擬通信信道��, -通過所述虛擬通信信道向所述安全元件傳送由所述服務(wù)提供商確定的安全元件命令�����,并且對所述安全元件執(zhí)行與所述安全元件命令對應(yīng)的操作����。
2.如權(quán)利要求1所述的方法,其中�,所述用戶應(yīng)用運行在因特網(wǎng)瀏覽器中,并且所述因特網(wǎng)終端客戶端模塊包括因特網(wǎng)終端插件,其用于建立與所述安全元件的連接�,以及可以由所述用戶應(yīng)用啟動的因特網(wǎng)終端web應(yīng)用,其用于連接到所述因特網(wǎng)終端提供商模塊�����,并且用于通過所述因特網(wǎng)終端插件打開所述因特網(wǎng)終端提供商模塊和所述安全元件之間的虛擬通信信道��。
3.如權(quán)利要求2所述的方法����,其中���,在獲得上下文參數(shù)的步驟之前是經(jīng)由所述因特網(wǎng)瀏覽器從所述服務(wù)提供商的web服務(wù)器下載并且執(zhí)行服務(wù)提供商web應(yīng)用����,并且允許用戶經(jīng)由服務(wù)提供商web應(yīng)用請求操作的執(zhí)行的步驟�����。
4.如權(quán)利要求3所述的方法��,其中�,所述上下文參數(shù)由所述因特網(wǎng)終端提供商模塊提供給所述服務(wù)提供商的web服務(wù)器并且被發(fā)送到在所述瀏覽器中運行的服務(wù)提供商web應(yīng)用,并且所述上下文參數(shù)被用于將所述因特網(wǎng)瀏覽器重定向到從其利用所獲得的上下文參數(shù)啟動因特網(wǎng)終端web應(yīng)用的因特網(wǎng)終端提供商模塊的URL。
5.如權(quán)利要求3或4中任一項所述的方法�����,其中�,獲得上下文參數(shù)之前是由所述服務(wù)提供商命令從所述因特網(wǎng)終端提供商模塊進(jìn)行所請求的操作的執(zhí)行,并且根據(jù)所述命令由所述因特網(wǎng)終端提供商模塊生成所述安全元件命令的步驟����。
6.如權(quán)利要求2至4中任一項所述的方法,其中����,在所述服務(wù)提供商的web服務(wù)器上生成所述安全元件命令,并且所述因特網(wǎng)終端提供商模塊配置為充當(dāng)所述web服務(wù)器的代理并且通過所述虛擬信道向所述安全元件傳送所述安全元件命令����。
7.如權(quán)利要求2至4中任一項所述的方法,其中���,所述因特網(wǎng)終端提供商模塊位于所述服務(wù)提供商的web服務(wù)器上�����。
8.如權(quán)利要求1所述的方法�����,其中����,所述用戶應(yīng)用是適配為啟動所述非服務(wù)提供商特定因特網(wǎng)終端客戶端模塊的所述服務(wù)提供商的專用應(yīng)用。
9.如權(quán)利要求8所述的方法��,其中��,所述因特網(wǎng)終端客戶端模塊共用于不同服務(wù)提供商的許多專用用戶應(yīng)用�。
10.如權(quán)利要求1至9中任一項所述的方法���,其中����,通過經(jīng)由所述用戶應(yīng)用驗證是否安裝所述因特網(wǎng)終端客戶端模塊的所有組件��,并且如果否�,則下載并且安裝所述因特網(wǎng)終端客戶端模塊中的缺少的組件,來實施提供所述非服務(wù)提供商特定因特網(wǎng)終端客戶端模塊的步驟�。
11.如權(quán)利要求1至10中任一項所述的方法,其中�����,使用所述上下文參數(shù)的步驟包括基于所述上下文參數(shù)認(rèn)證所請求的操作的執(zhí)行。
12.如權(quán)利要求11所述的方法���,其中�,所述上下文參數(shù)包括由所述因特網(wǎng)終端提供商模塊提供的一次性密碼���。
13.如權(quán)利要求1至12中任一項所述的方法����,其中����,從由上載并且安裝新應(yīng)用;已安裝應(yīng)用的個性化��、已安裝應(yīng)用的生命周期管理��;已經(jīng)安裝應(yīng)用數(shù)據(jù)和狀態(tài)的生活管理組成的組中選擇遠(yuǎn)程執(zhí)行的操作����。
14.一種因特網(wǎng)終端,其包括用于對連接到具有能夠進(jìn)行基于IP的通信的用戶應(yīng)用的通信設(shè)備的安全元件遠(yuǎn)程執(zhí)行由服務(wù)提供商確定的操作的因特網(wǎng)終端提供商模塊�,其特征在于所述因特網(wǎng)終端包括: -非服務(wù)提供商特定因特網(wǎng)終端客戶端模塊�����,其可以由所述用戶應(yīng)用啟動��,所述因特網(wǎng)終端客戶端模塊配置為建立與所述安全元件的連接�����,并且 連接到所述因特網(wǎng)終端提供商模塊并且打開所述因特網(wǎng)終端提供商模塊和所述安全元件之間的虛擬通信信道�,所述虛擬通信信道適配為向所述安全元件傳送安全元件命令�����,以執(zhí)行由所述服務(wù)提供商確定的操作���。
15.如權(quán)利要求14所述的因特網(wǎng)終端,其中��,所述用戶應(yīng)用運行在因特網(wǎng)瀏覽器中�����,并且所述因特網(wǎng)終端客戶端模塊包括因特網(wǎng)終端插件�,其用于建立與所述安全元件的連接����,以及可以由所述用戶應(yīng)用啟動的因特網(wǎng)終端web應(yīng)用�����,其用于連接到所述因特網(wǎng)終端提供商模塊�,并且用于通過所述因特網(wǎng)終端插件打開所述因特網(wǎng)終端提供商模塊和所述安全元件之間的虛擬通信信道。
16.如權(quán)利要求14所述的因特網(wǎng)終端��,其中����,所述用戶應(yīng)用是適配為啟動所述非服務(wù)提供商特定因特網(wǎng)終端客戶端模塊的所述服務(wù)提供商的專用應(yīng)用。
17.如權(quán)利要求16所述的因特網(wǎng)終端�����,其中�,所述因特網(wǎng)終端客戶端模塊共用于不同服務(wù)提供商的許多專用用戶應(yīng)用。
18.如權(quán)利要求14至17中任一項所述的因特網(wǎng)終端�,其中,所述因特網(wǎng)終端提供商模塊配置為充當(dāng)所述服務(wù)提供商的后臺服務(wù)器的代理����。
19.如權(quán)利要求14至17中任一項所述的因特網(wǎng)終端���,其中,所述因特網(wǎng)終端提供商模塊被安裝在所述服務(wù)提供商的web服務(wù)器上����。
【文檔編號】H04L29/06GK104185977SQ201180076379
【公開日】2014年12月3日 申請日期:2011年12月14日 優(yōu)先權(quán)日:2011年12月14日
【發(fā)明者】B.I.本優(yōu), A.威爾莫斯, G.福多斯 申請人:布達(dá)佩斯技術(shù)與經(jīng)濟(jì)大學(xué)