CN103268249A - 在移动装置中模拟多张卡的方法和装置 - Google Patents
在移动装置中模拟多张卡的方法和装置 Download PDFInfo
- Publication number
- CN103268249A CN103268249A CN2013100667082A CN201310066708A CN103268249A CN 103268249 A CN103268249 A CN 103268249A CN 2013100667082 A CN2013100667082 A CN 2013100667082A CN 201310066708 A CN201310066708 A CN 201310066708A CN 103268249 A CN103268249 A CN 103268249A
- Authority
- CN
- China
- Prior art keywords
- application
- safety element
- mobile device
- card
- simulator
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Telephonic Communication Services (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明公开了一种支持多个应用的移动装置和方法,该移动装置包括模拟器、NFC接口和用来存储多个应用的存储装置。所述NFC接口能够帮助在所述模拟器中执行的一个应用和阅读器之间进行数据交换,其中在所述模拟器中执行的应用是所述多个应用中的一个,在所述模拟器中执行的应用能够部分或全部的被所述多个应用中的另一个替换。在被选择性的激活后所述多个应用中的任何一个都能够装载入所述模拟器,并随后替换在所述模拟器中的应用,其中所述移动装置将先前在所述模拟器中的应用所提供的功能更改为在所述模拟器中新装载和执行的应用所提供的功能。每个应用与一个物理的非接触式卡有关,这样移动装置就能够替代多个物理非接触式卡。
Description
【技术领域】
本发明通常涉及电子商务领域,特别地,本发明涉及一种支持多张卡(比如非接触性智能卡Mifare)或类似类型的应用的移动装置。
【背景技术】
非接触性智能卡(contactless smart card)是嵌入有集成电路的超小型卡,所述集成电路能够处理和存储数据,并经由无线电波与一端通讯。非接触性智能卡不包含普通的只读RFID(radio frequency identification,射频识别),但是其包含能够通过无线电波改写或记录(transcribe)的可重写智能卡微芯片。非接触性智能卡能够用于身份认证、鉴定和数据存储。他们以灵活的、安全的和标准的方式提供一种有效的商业交易,使人为干涉最小化。
MIFARE是一种最流行的非接触式卡,其用于很多日常应用中,比如建筑门禁、停车场入口和交通电子钱包(transit e-purse)。MIFARE或Mifare是恩智浦半导体(NXP Semiconductors)拥有的商标,其是一种广泛使用的非接触式智能卡或感应卡。Mifare典型卡基本上只是一个存储装置,其存储区被划分为几个片段和块,并具有用于访问控制的简单的安全机制。很多人可能在他们的皮夹中放有多个Mifare卡,比如一个交通卡(transit card)、一个吃饭卡和一个会员卡。具有近场通信(near field communication,简称NFC)能力的移动装置(简称为N FC装置)正在逐步发展以替代所述皮夹,对于这些NFC装置来说能够支持多个Mifare卡是非常重要的。然而,只装载有一个模拟器的NFC装置一般只可以用作一种非接触式卡,比如交通Mifare卡。有必要提出一种方案使得具有一个模拟器的NFC装置能够支持或用作多个Mifare卡。
【发明内容】
本部分的目的在于概述本发明的实施例的一些方面以及简要介绍一些较佳实施例。在本部分以及本申请的说明书摘要和发明名称中可能会做些简化或省略以避免使本部分、说明书摘要和发明名称的目的模糊,而这种简化或省略不能用于限制本发明的范围。
本发明涉及与移动装置相关的技术,所述移动装置能够支持或用作多个非接触性卡,比如常用的Mifare非接触式卡。
根据本发明的另一个方面,一个移动装置具有一个模拟器,并装载有多个软件模块或应用,每个应用可以模拟一个卡或一种类型的非接触式卡。所述模拟器在安全元件中实现,所述安全元件由所述移动装置的用户进行个人化,所述应用分别通过所述个人化的安全元件由他们的提供者配置。当所述移动装置被用作非接触式卡以执行一组金融功能时,相应的应用被装载入所述模拟器并执行。当所述移动装置被用来执行另一组金融功能时,一个相应的应用被装载入所述模拟器中以部分或全部的替换先前在所述模拟器中的应用。这样,所述移动装置可以用作一个金融装置以替代多个非接触式卡。
根据本发明的另一个方面,所述移动装置是一个近场通信装置,其是移动支付生态系统中的一方,在所述移动支付生态系统中有多方互相配合工作以成功完成移动支付。通过提供可信服务管理的服务器,可以远程的个人化所述移动装置的安全元件,可以下载、更新、管理、替换和配置所述应用。
根据本发明的另一个方面,为了支持所述Mifare非接触式卡,提供可信Mifare服务管理的模块用来管理在所述移动装置中的已配置应用,以使得移动装置模拟多个非接触式卡。在所述移动装置中实现的卡管理代理可以帮助所述提供可信服务管理的服务器和提供可信Mifare服务管理的模块之间的通信。在所述移动装置中还实现有其他应用以执行从模拟一个非接触式卡的一个应用中读取指定数据的功能,或执行将交易活动写入所述应用的功能。
根据本发明的一个实施例,本发明实现为一种支持多个应用的移动装置,所述移动装置包括:一个模拟器;一个近场通信接口,其帮助在所述模拟器中装载和执行的一个应用和阅读器之间进行数据交换,其中在所述模拟器中装载和执行的应用是所述多个应用中的一个,在所述模拟器中装载和执行的应用能够部分或全部的被所述多个应用中的另一个替换;和,用来存储所述多个应用的存储装置,在被选择性的激活后所述多个应用中的任何一个都能够装载入所述模拟器,并随后替换在所述模拟器中的应用,其中所述移动装置将先前在所述模拟器中的应用所提供的功能更改为在所述模拟器中新装载和执行的应用所提供的功能,其中一个提供可信服务管理的服务器已经远程的配置了每个应用。
在一个实施例中,所述模拟器在所述安全元件中实现,所述安全元件封装于所述移动装置内或与所述移动装置分离的卡内。每个应用模拟一个非接触式卡的功能,每个非接触式卡执行与金融相关的一个功能,当在所述模拟器中装载和执行一个应用时,所述移动装置能够用作该应用模拟的非接触式卡。
在一个优选的实施例中,所述安全元件还包括一个模块,该模块提供可信Mifare服务管理,并存储多个服务对象和多个密钥索引,每个服务对象对应所述多个应用中的一个。所述移动装置进一步包括卡管理代理、只读用户界面应用和交易用户界面应用,所述卡管理代理帮助在所述安全元件中的提供可信Mifare服务管理的模块与所述提供可信服务管理的服务器之间的通讯,所述只读用户界面应用用来向一个或多个应用查询其内存储的信息但不能修改这些信息,所述交易用户界面应用执行将会修改一个或多个应用中的一个或多个区的操作。
在一个优选的实施例中,所述提供可信Mifare服务管理的模块用于:提供一组应用程序编程接口,在用户指示时所述多个应用中的一个替换所述模拟器中的一个应用;给所述多个应用中的一个提供一组应用程序编程接口以从其中读取一些数据;通过安装应用密钥和应用数据至所述提供可信Mifare服务管理的模块,随后将所述多个应用中的另一个交换至所述模拟器,使得所述提供可信服务管理的服务器能够远程的配置每个应用;通过锁定或解锁所述多个应用中的一个使得所述TSM服务器能够管理每个应用;提供可信环境以至于一个应用提供者能修改指定的应用和该应用提供者所拥有的元数据;和,提供一种机制使得基带存储作为扩展以存储从所述模拟器换出的一些或所有应用。
根据本发明的另一个实施例,本发明实现为一种用于支持多个应用的移动装置的方法,所述方法包括:在所述移动装置中分别安装多个应用,每个应用与一个物理的非接触式卡有关,以至于移动装置能够替代多个物理非接触式卡。其中所述移动装置包括:一个模拟器;一个近场通信接口,其帮助在所述模拟器中装载和执行的一个应用和阅读器之间进行数据交换,其中在所述模拟器中装载和执行的应用是所述多个应用中的一个,在所述模拟器中装载和执行的应用能够部分或全部的被所述多个应用中的另一个替换;和,用来存储所述多个应用的存储装置,在被选择性的激活后所述多个应用中的任何一个都能够装载入所述模拟器,并随后替换在所述模拟器中的应用,其中所述移动装置将先前在所述模拟器中的应用所提供的功能更改为在所述模拟器中新装载和执行的应用所提供的功能,其中一个提供可信服务管理的服务器已经远程的配置了每个应用。
与现有技术相比,本发明中的移动装置具有一个模拟器,多个应用中的一个可以被装载入所述模拟器内并执行,使得所述移动装置可以模拟该装载入所述模拟器的应用对应的非接触式卡的功能,这样所述移动装置能够支持或用作多个非接触性卡,比如常用的Mifare非接触式卡。
【附图说明】
接下来的具体实施方式、后面的权利要求以及附图将有助于了解本发明的具体特征,各实施例以及优点,其中:
图1A示出了根据本发明的一个实施例的一个简单系统,其中有两个示范的计算装置,他们分别可以支持多个非接触式智能卡;
图1B示出了安全通道支持(security channel support)的两种不同模型,其可以用于移动装置中的机载可信服务管理器;
图1C示出了具有安全元件的支持NFC的移动装置的简单结构架构;
图1D示出了根据本发明的一个实施例的个人化安全元件的流程或过程;
图1E示出了在离线和在线模式时安全元件制造者(SE manufacturer)、TSM(Trusted Service Management,可信服务管理)管理器和TSM系统之间的关系;
图1F示出了NFC装置(比如NFC移动电话)的用户、NFC装置、TSM服务器、相应的安全元件制造者和安全元件发行者之间的数据流程图;
图1G根据本发明的一个实施例,示出了基于平台的SAM(安全识别模块)或网络电子钱包服务器、作为门卫的电子钱包和单功能标签,这三个实体之间的个人化数据流程;
图2A示出了一个移动支付生态系统,其中移动支付生态系统中的相关方(parties)依次被列出;
图2B示出了根据本发明的一个实施例的配置一个或多个应用的流程或过程;
图2C示出了当配置一个应用时不同方之间交互的数据流程;
图2D示出了在配置一个应用过程中准备应用数据时不同方交互的数据流程;
图2E示出了锁定或非使能一个已安装应用的流程或过程;
图2F根据本发明的一个具体实施例,示出了便携装置作为电子钱包执行电子商务和移动商务时的架构示意图;
图3A示出了有关模块相互作用,以完成前述电子钱包由授权人进行个人化处理的结构图;
图3B示出了有关模块相互作用,以完成前述电子钱包由其用户进行个人化处理的结构图;
图3C根据本发明的一个具体实施例,示出了个人化电子钱包的流程或过程图;
图4A和图4B根据本发明的一个具体实施例,一同示出了给电子钱包筹资、注资、载入或充值时的流程或过程;
图4C示出了有关模块相互作用,以完成图4A和图4B中所示过程的结构示意图;
图5A根据本发明的一个具体实施例,示出了第一种便携设备的架构示意图,使之能够在蜂窝通信网络(比如,3G、LTE或GPRS网络)上执行电子商务和移动商务的各种功能;
图5B根据本发明的另一个具体实施例,示出了第二种便携设备的架构示意图,使之能够在有线和/或无线数据网络(例如国际互联网)上执行电子商务和移动商务的各种功能;
图5C是一幅流程图,根据本发明的一个具体实施例,说明了使图5A中的便携设备能够运行一个或多个服务提供商提供的服务应用的过程示意图;
图6A根据本发明的一个具体实施例,展示了一个架构示意图,其中的便携设备能够作为移动销售点执行电子商务和移动商务;
图6B根据本发明的一个具体实施例,展示了一个架构示意图,其中的便携设备能够作为移动销售点在网络上执行交易上传操作;
图6C是一幅流程图,根据本发明的一个具体实施例,说明了使用用作移动销售点的便携设备和支持电子代币的单功能卡装置,执行移动商务的过程示意图;
图6D是一幅流程图,说明了使用用作移动销售点的便携设备以及支持电子代币的多功能卡装置,执行移动商务的过程示意图;
图7描述了便携设备用于电子票务应用时的结构示意图;
图8A示出了由一个业务运作或安排的TSM所涉及的多方的示意图;
图8B示出了在一个实施例中的TSM的各方之间的有关操作过程;
图8C示出了一个示例的TSM中在各方之间建立互相同意协议的工作流程;
图8D示出了SE发行者和TSM之间ISD映射(mapping)的数据流程;
图8E示出了在TSM、SE发行者和服务提供者之间的相应数据流程;
图8F示出了由SE发行者批准一个应用的数据流程;
图8G示出了替换安全元件的流程;以及
图9示出了个人化的安全元件的一个账户的显示屏的快照示例。
【具体实施方式】
本发明的详细描述主要通过程序、步骤、逻辑块、过程或其他象征性的描述来直接或间接地模拟本发明技术方案的运作。为透彻的理解本发明,在接下来的描述中陈述了很多特定细节。而在没有这些特定细节时,本发明则可能仍可实现。所属领域内的技术人员使用此处的这些描述和陈述向所属领域内的其他技术人员有效的介绍他们的工作本质。换句话说,为避免混淆本发明的目的,由于熟知的方法和程序已经容易理解,因此它们并未被详细描述。
此处所称的“一个实施例”或“实施例”是指可包含于本发明至少一个实现方式中的特定特征、结构或特性。在本说明书中不同地方出现的“在一个实施例中”并非均指同一个实施例,也不是单独的或选择性的与其他实施例互相排斥的实施例。此外,表示一个或多个实施例的方法、流程图或功能框图中的模块顺序并非固定的指代任何特定顺序,也不构成对本发明的限制。本文中的密钥集是指一组密钥。本发明中“卡”也可以称之为卡片。
下面参考图1A-图9来介绍本发明的各个实施例。然而,所属领域内的普通技术人员容易理解的是这里根据这些附图列出的细节描述仅仅是解释性的,本发明并不仅限于这些实施例。
当具有近场通信(Near Field Communication,简称NFC)功能的移动电话用于诸如支付服务、交通票务、信用服务、物理访问控制和其他令人兴奋的新服务时,NFC显示出重大的商机。为了支持这种快速演变的商务环境,各种NFC功能的移动电话或装置正在发展以支持在多种应用中已经广泛使用的各种非接触性智能卡。
根据本发明的一个实施例,图1A示出了根据本发明的一个实施例的一个简单系统100,其中有两个示范的计算装置102和104,他们分别支持多个非接触式卡或用于替代多个非接触性卡。本发明的一个实施例允许用户只需携带一个移动装置,而不需要携带多个用途不同的卡,就可以进行所述多个卡的不同应用。除非特别说明,“计算装置”、“移动装置”、“手持装置”、“移动电话”或“手持电话”将在本文中可互相替代的使用,然而所属领域内的普通技术人员能够理解上述词汇也可以指其他装置,比如智能电话、平板电脑、笔记本电脑、具有NFC能力的其他便携式装置。
众所周知的,Mifare是应用于很多日常应用中的一种最流行的非接触式卡,其是一种广泛应用的非接触式智能卡或感应卡,其中Mifare是恩智浦半导体(NXP Semiconductors)拥有的商标。为了帮助理解本发明,下面的描述都是基于Mifare卡的,不过所属领域内的普通技术人员能够理解的是这里的描述并不局限于Mifare卡,还可以用于其他类型的卡。
在一个实施例中,为了支持多个卡,在一个安全元件(secure element,简称SE)108中提供有卡上可信Mifare服务管理器(Trusted Mifare ServiceManager,简称TMSM)106,其实现为一个模块或一个JAVA程序(applet)。如下文进一步描述的一样,在实现时,所述安全元件108可以嵌入NFC装置102或104内或一个与NFC装置可分离的卡(比如,安全数字存储卡(Secure DigitalMemory Card,简称SD卡)或微安全数字高容量卡(Micro Secure Digital High-Capacity Card,简称micro-SDHC卡))内。所述NFC装置102可以是嵌入有所述安全元件108的移动装置,而所述NFC装置104可以是一个智能卡或能够通过嵌入有所述安全元件108的可分离卡升级的装置。在一个实施例中,所述NFC装置104经由NFC阅读器110与所述安全元件108通讯。不论如何,假设所述NFC装置102和104都装配有安全元件(比如所述安全元件108),在所述NFC装置102或104能够执行一个需要安全的功能前,需要个人化所述安全元件。在认为必要时,将会描述个人化所述安全元件108的细节。
根据本发明的一个实施例,所述N FC装置102或104包括卡管理代理(card manager proxy)112、一组只读钱包用户界面(user interface,简称UI)应用116和交易钱包(transaction wallet)UI应用118。所述卡管理代理112能够帮助可信服务管理器(Trusted Service Manager,简称TSM,比如是提供可信服务管理的服务器)114和可信Mifare服务管理器(Trusted Mifare Service Manager,简称TMSM,也可以称为提供可信Mifare服务管理的模块)106之间的通讯。所述卡管理代理112是软件模块或模组,其被设置来代表所述TSM114针对所述安全元件中的JAVA程序(applet)执行嵌入网络消息中的命令(比如applicationprotocol data unit命令,简称APDU命令),并发送包括来自所述安全元件的JAVA程序的响应APDU的网络消息给所述TSM114。所述只读钱包UI应用116提供一个界面或接口以向一个或多个Mifare应用查询能够通过公知的读区密钥(read sector key)或默认密钥访问的信息,但是不能修改这些信息。比如,一个应用用来显示来自中国的不同城市的多个现有交通钱包的余额。所述交易钱包UI应用118用来执行将修改一个或多个Mifare区(sector)的操作。更改不同的区,需要不同的写密钥。
在一个实施例中,所述交易钱包交易UI应用118执行的操作包括:
1、在从一个链接账户(Iinking account)转账后对一个中转或过境钱包(transitpurse)充值;
2、为货物或服务而进行支付后从一个中转或过境钱包中扣除相应金额;
3、增加一个中转运营者(transit operator)的合作公司的积分(Ioyalty point);
这些操作需要更改支持的卡或模拟卡的应用中的某些区以跟踪在一个基础Mifare卡上的钱包余额、交易日志和/或积分。
在一个实施例中,每一对只读钱包UI应用116和交易钱包UI应用118由一个对应的应用/服务提供者120提供。如下文详细描述的那样,这些应用可以从门户下载或经由所述TSM114提供,随后为用户配置这些应用。
进一步的,所述TMSM106是一个组件或JAVA程序(applet),其被设置来负责安装和个人化所述应用,将一个或另一个应用交换入或交换出所述模拟器122。如这里使用的,一个模拟器是硬件装置或伪装成其他组件希望与其交互的另一个特定装置或程序的一段程序。在一个实施例中,所述模拟器122通过提供精确相同的硬件和/或软件功能模拟Mifare典型操作系统。一旦安装上所述模拟器122(在硬件或软件中实现),它就会如同一个真正的Mifare芯片一样准确的响应传输Mifare命令的接口(比如,阅读器)。在一个实施例中,所述TMSM106被配置来提供如下功能:
1、提供一组应用程序编程接口(Application Programming Interface,简称API),这样,在用户指示时,钱包应用(比如,模拟一个Mifare卡)能被促使以替换(比如在一个模拟器中激活)所述Mifare模拟器122中的一个应用,以至于所述NFC装置102或104能够支持多个Mifare卡或类似类型的应用。在实现时,所述应用程序编程接口用一个激活应用整体或部分的替换在所述Mifare模拟器122中的一个应用,以保留新激活应用所能使用的那些部分。需要知道的是,这里的应用并不意味着所述应用只有一个文件。通常,一个应用有很多数据组和文件。因此,在所述模拟器中的一个应用被一个激活的应用替换时,一些数据组和文件可以被保留以供新载入所述模拟器的激活应用使用。
2、提供一组应用程序编程接口以读出钱包应用的相关信息(比如读出余额或历史交易)。
3、使得所述TSM114远程的个人化/配置多个Mifare应用,其包括向所述TMSM106安装应用密钥和应用数据,随后将一个激活应用交换入所述模拟器122。
4、使得所述所述TSM114去管理已配置的Mifare应用。这包括Mifare应用的锁定或解锁,在Mifare应用锁定后它不能被交换入所述模拟器122。
5、提供可信环境,以至于应用提供者只能修改它的应用和该应用提供者所拥有的元数据(meta data)。
6、提供一种机制使得基带存储(baseband storage,或称基带存储器)作为扩展以存储从所述模拟器122中换出至所述TMSM106的基于软件的或逻辑智能卡(比如,替代多个物理Mifare卡),这样可以部分解决所述模拟器122中有限的存储空间的问题。
在一个实施例中,通过增强Mifare4Mobile技术来实现所述TMSM106。Mifare4Mobile最初由NXP(恩智浦)公司开发,其只能支持上文列出的一些功能,而不是全部。所述Mifare4Mobile技术的当前设计是基于所有服务提供者彼此信任并信任TSM(比如所述TSM114)这样的假设。Mifare4Mobile服务管理器(软件模组)没有办法去区别应用程序所有权(application ownership)。通过连接至Mifare4Mobile服务管理器的已建成的安全通道,服务提供者能够访问安装于所述Mifare4Mobile服务管理器上的所有Mifare服务对象(service object,简称SO,比如,Mifare应用)。这样,一个应用提供者能够轻易的改写不属于该应用提供者的另一个应用的内容。
在一个实施例中,图1A中的实现方案能够克服Mifare4Mobile技术的不足。除了与全球平台(GlobalPlatform,简称GP)卡管理器(未示出)交互外,所述卡管理代理112还被配置与所述TMSM106交互以安装Mifare应用的对应Mifare服务对象。图1B示出了安全通道支持(security channel support)的两种不同模型,其可以用于所述TMSM106。图1B中的模型1是使用全球平台支持的安全通道机制,其中全球平台是与标准化的基础设施相关的用于智能卡的开发和管理的独立的、非营利性组织。图1B中的模型2具有置于TMSM内部的安全通道支持的机制。
图1A的架构至少能够支持两种类型的应用/服务,分别为只读类型的应用/服务或基于交易类型的应用/服务。对于只读类型的应用,能够使用RETRIEVE DATA APDU(提取数据APDU)命令从所述TMSM106中提取应用数据(比如余额)。在提取所述数据前可能需要由所述应用进行个人识别码(PersonalIdentification Number,PIN)确认。对于基于交易类型的应用,所述UI应用能与专用应用程序(applet)交互以执行交易。一个交易可能会引入多个APDU。各个UI应用也可以作为一个应用提供者的后端服务器的代理。
如图1A所示,所述TMSM106包括一组服务对象和对应的密钥集索引(key set index)。在所述TMSM106中的每个逻辑Mifare卡被称为一个服务对象。每个应用与安装的补充安全域(Supplementary Secured Domain,简称SSD)密钥的一个密钥集索引(或称为密钥版本号或密钥索引)相关。当前,每个SSD能够支持最多127个不同的密钥集。这样,在所述SSD上安装多个密钥集是可能的。有很多种方式来分配这些密钥集。在一个极端的例子中,每个应用都有他自己的密钥集。另一种方式是每个应用提供者有他自己的密钥集,来自同一个应用提供者的所有应用共享同一个密钥集。在一个实施例中,增强Mifare4Mobile服务管理器以基于这个密钥集向所述请求APDU命令应用访问规则。这种增强不需要对Mifare4Mobile说明书v.1.0.1的APDU格式进行任何修改。具体的增强或扩展如下:
1、为了Mifare服务对象的私有元数据(private meta data)向专有内容定义一个新可选标签。这个标签用于存储密钥集索引,建立密钥集和应用之间的联系。
2、当请求的APDU命令是针对Mifare应用(比如,在TMSM106中的服务对象)时,为Mifare4Mobile服务管理器增加新逻辑以加强密钥集和应用之间的这种联系。
3、为了TSM运营给TSM保留从0x01到0x10的15个密钥集索引。对于没有相关密钥集索引的任何服务对象,任何安装的TSM密钥集索引都能够用来与所述服务对象一起工作。
为一个服务对象的私有元数据根据下文定义一个新专有标签0x8C:
如果分配一个专用密钥集索引给一个应用,这个标签一定被设置为那个密钥集索引。比如,如果分配一个密钥集索引5给一个应用,则对应的服务对象的私有元数据具有值为5的标签8C。
这种增强不需要对Mifare4Mobile说明书v.1.0.1的APDU格式进行任何修改。服务对象的指定密钥集索引不需要预安装入Mifare4Mobile服务管理器中。所述服务管理器不需要检测所述指定密钥集索引的存在。然而,在所述服务对象被激活前,所述密钥集索引需要被放入所述服务管理器(通过PUT KEY命令)内,否则不能对所述服务对象进行修改。
在一个服务对象上执行操作时,所述TSM114或服务提供者120不得不使用密钥集索引建立SSD安全通道。在发送到Mifare4Mobile服务管理器时,所述密钥集索引在INITIAL UPDATE(初始更新)命令中。在安全通道成功建立后,所述Mifare4Mobile服务管理器可以存储这个密钥集索引。在这个安全会话期间,所述Mifare4Mobile服务管理器对请求命令执行下面的访问规则:
每行定义了一个命令的访问规则。第一列是请求APDU命令。第二列指示允许什么密钥集索引执行所述命令。在上述表格中,TSM表示分配给所述TSM114的密钥集索引,SO表示与Mifare服务对象相关的密钥集索引。需要知晓的是在8C标签中指明的是Mifare服务对象的相关密钥集索引,而不是服务对象密钥集索引。
为了支持锁定或解锁一个Mifare应用,在所述Mifare4Mobile服务管理器中增加两个APDU命令。这两个APDU命令是基于API的可信服务管理。在针对Mifare应用发出命令前,需要通过所述卡管理代理112在所述TSM114和所述TMSM106之间建立TSM安全通道。在收到所述命令后,所述TMSM106将相应的Mifare服务对象设置为适当的状态。需要知道的是,所述Mifare4Mobile服务管理器增加有附加锁定状态。如果一个Mifare应用被锁定,那么钱包应用将不能交换(比如激活)该Mifare应用。在所述Mifare应用被换入所述模拟器122前,所述TSM114不得不解锁所述Mifare应用。
由于存储空间非常有限,尤其是在智能卡中,一种实现是允许服务对象从所述TMSM106中被交换到基带持久性存储(或称基带存储和基带存储器)中。基带持久存储(未图示)维护有一个映射表(mapping table)。所述映射表的每一行包括有关服务对象的信息。所述映射表中至少维持下述信息:服务对象的服务对象ID(SOID)和加密格式的服务对象。所述TMSM106在服务对象被从其中交换出之前加密所述服务对象。
在一个实施例中,所述TMSM106具有新的交换计数器(swappingcounter)。在成功交换后,所述计数器加1。所述TMSM106维护有一个变换表(swapping table)以跟踪当前被换出的服务对象。这个变换表包括两个列:服务对象ID和当所述服务对象已经被交换时的交换计数值器的值(简称交换计数值)。当一个服务对象被交换时,所述服务对象和交换计数值被加密并被返回至所述基带以进行存储。在一个实施例中,加密密钥可以是mifare4mobile DEK(DataEncryption Key,简称DEK)密钥或是为此目的而个人化入所述TMSM程序106的新密钥。所述加密方法推荐为初始向量使用全零的具有CBC模式的3DES。
此外,每个服务对象增加有新的属性,以指示所述服务对象是否允许被换入所述基带存储中。在安装所述服务对象时,设置该属性。在一个实施例中,为所述TMSM106设置的Mifare4Mobile APDU命令增强如下:
1、将一个服务对象交换至所述基带存储中的新APDU;
2、在收到Mifrae4Mobile的ACTIVATE或INSTALL命令时,修改所述程序行为。
根据一个实施例,所述修改的细节如下:
1、交换命令(Swap command):要求程序(applet)发现和标记能够交换至所述基带的服务对象。这个服务对象必须是能够交换的,具有老的访问时间戳。这需要APDU请求应当具有如下特征:
a.命令选项P1具有一个值,该值指示为了激活或安装一个服务对象是可交换的;
b.所述请求数据包含一或两类信息:
i.交换入所述程序(比如模拟器)内的服务对象ID;
ii.被交换的加密服务对象,如果为了激活一个服务对象是可交换的。基于给定的服务对象ID的映射表从所述基带中提取这个加密服务对象。
在收到所述请求后,所述TMSM106首先执行确认以确保所述APDU是适当的。此外,如果所述服务对象ID已经在所述程序(applet)中,则返回错误代码以指示所述服务对象ID已经在所述程序中。如果所述请求包括加密服务对象,所述TMSM106从所述加密的数据中恢复出所述服务对象和交换计数值。随后所述TMSM106用于根据所述交换表核实所述交换计数值。如果两个计数值是不匹配的,返回错误信息以指示所述加密数据已经被破坏了。这个解密服务对象被保持并使用于下一个ACTIVATE命令中。在另一个方面,在执行成功时,所述ADPU响应包含两类信息:将被换出所述程序的服务对象的ID、这个服务对象的加密信息和交换计数值。如果所述TMSM106接收到的下一个立即命令不是ACTIVATE,也不是INSTALL,将不标记所述服务对象。
2、安装命令的激活或安装:根据下面的行为修改这两个命令。在接收到这两个命令中的一个时,所述TMSM106检查看是否有标记的交换服务对象。如果不,随后行为应该与原始的命令相同。否则,检查以确保APDU匹配在先前交换命令中的交换目的。如果不匹配,则拒绝所述请求。如果所述APDU通过检测,将删除所述标记的交换服务对象。在ACTIVATE时,用先前加密数据更新所述服务对象表。之后,随后行为应该与原始的命令相同。
在一个实施例中,为所述基带提供软件开发包工具包(SoftwareDevelopment Kit,简称SDK)的一层,以至于在激活或安装一个服务对象时,进行如下操作:
1、对于激活命令,将检查在基带中的映射表以确定所述服务对象是否在基带中。如果没有,仅向所述程序(applet)发出所述原始激活命令。否则,跳至下面的步骤3;
2、对于安装命令,绕过上述检查并跳至步骤3;
3、所述交换步骤执行如下:
a、向所述TMSM程序发出一个交换命令。所述SDK从所述映射表中基于所述服务对象ID提取所述服务对象以准备所述交换APDU命令;
b、如果所述响应包括加密数据和它的服务对象ID,所述SDK响应更新所述映射表使用所述信息;
c、随后发出所述原始的ACTIVATE或INSTALL命令。
图1C示出了计算(移动)装置130的简单架构,其可以用于图1A中。所述计算装置130包括NFC控制器131,该NFC控制器131使得所述计算装置130能够与其它装置无线通信以交换数据。比如,用户可以将所述移动装置130用作电子钱包(e-purse)进行购买支付。在操作时,所述电子钱包由安全元件132来控制。所述安全元件132可以使得这样的一个移动装置130以一种安全的方式来执行金融交易、交通票务、信用服务、物理访问控制和其他令人兴奋的服务。为了提供这样的服务,所述安全元件132可以支持各种Java applet程序、应用或模块(图1C中仅示出了两个实例134和136)。在实现时,这些模块可以是嵌入或插入其内的硬件模块,也可以是通过数据网络从一个或多个服务器上下载的软件模块。
当最早购买移动装置或最早将移动装置交付给客户时,在所述移动装置的安全元件132上安装一组默认密钥(a set of default keys,或称为默认密钥集),比如由安全元件制造者(manufacter)设置的发行者安全域(Issuer SecurityDomain,简称ISD)密钥集(Keyset)。在一个实施例中,所述安全元件132是防篡改芯片,根据需求的安全级别,该芯片可以嵌入智能卡级应用(比如支付、传输)。如图1C所示,所述安全元件132嵌入或配合非接触式NFC相关的应用,并与所述NFC控制器131连接以作为非接触式前端。典型的,符合标准的安全元件与一个发行者安全域(issuer security domain,简称ISD)和一个或多个补充安全域(supplemental security domains,简称SSD)的选择一起供给。每个域中包括一组密钥(a set of key,或称密钥集)。在一个实施例中,所述安全元件132是嵌入所述移动装置130内的或通过卡接口139插入移动装置130的小型卡内的芯片。在另一个实施例中,所述安全元件132是或包括装载入所述移动装置内的安全存储空间137内的软件模组。可以通过所述移动装置130内的网络接口133(比如3G网络或LTE(Long Term Evolution)网络)从指定服务器下载更新组件以更新所述软件模组。
所述安全元件132在使用前需要经过个人化(Personalization或Personalizing)过程。在一个实施例中,所述个人化过程是根据选择的卡发行者(比如所谓的安全元件发行者)的派生个人化密钥集(derived personalized key set)为所述安全元件132装载或更新一密钥集。根据情况,安全元件发行者(SEissuer)和安全元件制造者(SE manufacturer)可以是两个分离的实体,也可以是一个单独的实体。为了方便本发明的描述,安全元件发行者和安全元件制造者在这里被描述为两个分离的实体。进一步的,个人化过程(personalizationprocess)也可以称为配置过程(provisioning process)。根据一个实施例,在安装应用或使能服务(比如应用安装和个人化)时以无线方式(Over the air)执行SE配置过程以个人化所述安全元件。当将所述安全元件关联到一个安全元件发行者时,才执行所述安全元件的个人化。当用户订购或安装应用时,需要为每个应用执行应用安装和配置。
在一个实施例中,在更新或升级所述安全元件132时,为避免从头开始个人化所述安全元件132,只用新的更新替换所述安全元件132中的一个或一些组件。在实现时,可以自动地或手动获取这些新的更新,并将它们装载至所述移动装置130。在一个实施例中,根据相应的安全元件发行者和TSM,具有NFC功能的移动装置可以从服务器或TSM入口或门户(TSM portal)下载应用。
TSM是指可信服务管理(Trusted Service Management),是一种服务集合。所述TSM的一个主要角色是帮助服务提供者(service provider)为他们的使用移动网络的客户安全的发布和管理非接触式服务。所述TSM或它的服务器不必需要参与使用NFC装置的实际非接触式交易(transaction)。这些交易通常由服务提供者和他们的商业合作伙伴提供的系统处理。所述TSM的另一个角色是通过作为商业中间人加速移动NFC应用的成功部署和提升,其有利于合同安排和不同各方之间的商业关系的其它方面,这样使得移动网络商务成为可能。
可以到服务中心执行所述个人化过程,也可以通过TSM服务器的网页入口(web portal)远程执行所述个人化过程。在第一种场景下,客户可以到服务中心,让服务代表个人化移动装置内的安全元件。在位于指定地方(比如服务中心)的连接有NFC读卡器的电脑中,配置管理器(provisioning manager)可以是安装的应用或连接至后端TSM的基于网页的应用。所述配置管理器用来与移动装置的安全元件进行通讯(比如通过读卡器)。这样的个人化过程也可以被称为基于网络(Over the Internet)的过程。
在第二种场景下,客户通过服务器(TSM网页门户)注册他/她的移动电话。所述TSM服务器可以将配置管理器的通用资源识别码(universal resourceidentifier,简称URI)发送至已注册的移动电话。基于所述移动装置的类型,发送方式可以是短信服务推送(Short Message Service Push)或谷歌安卓推送(Google Android Push)。所述客户可以将所述配置管理器下载至所述移动装置中,并开始所述个人化过程。这样的个人化过程被称为基于无线的过程。
在任一个场景下,所述配置管理器作为移动装置的安全元件和TSM服务器之间的代理。现参考图1D所示,其示出了根据本发明的一个实施例的个人化安全元件的流程或过程150。在实现时,所述过程150可以由软件或软件和硬件的结合来实现。当用户收到一个新的NFC装置(比如移动装置的一部分),需要个人化其内的所述安全元件。
在操作152中,确定所述新的NFC装置是否是真正的NFC装置。一个例子是检查与所述NFC装置相关的序列号(serial number)。所述序列号可以通过与TSM服务器相关的数据库进行认证。在NFC移动装置的例子中,所述移动装置的装置序列号可以用来进行认证。现在假设所述NFC装置是一个真正的NFC装置,即可由移动操作者识别的。所述过程150将进入操作154,使所述NFC装置与专用服务器进行通讯。在一个实施例中,所述专用服务器是TSM系统的一部分,并可通过无线网络、互联网或无线和有线的结合(这里称为数据网络或简称为网络)对其进行访问。
在操作156中,使所述NFC装置向所述服务器注册。一旦所述NFC装置成为所述TSM系统的一部分,各种服务和数据可以通过网络与所述NFC装置进行通讯。作为个人化过程的一部分,在操作158中,所述服务器请求所述安全元件的装置信息。在一个实施例中,所述服务器发送数据请求(比如服务信息,WAP PUSH)到所述NFC装置上。响应所述数据请求,所述NFC装置发回从所述安全元件中提取的卡产品寿命周期(Card Product Life Cycle,简称CPLC)信息。所述CPLC信息包括安全元件产品信息(比如智能卡ID、制造者信息和批次号等)。基于所述CPLC信息,所述服务器能够从其制造者、授权代理者(authorized distributor)或服务提供者处提取这个安全元件的对应默认发行者安全域(Issuer Security Domain,简称ISD)信息。在实现时,所述服务器与安全元件制造者有两种通讯方式,具体将在下文的合适部分给予详细描述。
在操作160中,由所述制造者确定是否更新所述装置信息。通常,当一个安全元件由其制造者发出时,所述安全元件嵌入有一些默认装置信息。如果确定所述默认装置信息(比如CPLC数据)需要与所述制造者进行更新,所述过程150进入操作162,所述制造者将相应的更新装置信息上传至所述服务器。在操作164中,将所述更新装置信息传输至所述NFC移动装置,并存储于所述安全元件中。如果确定所述安全元件的默认装置信息不需要与所述制造者进行更新,所述过程150进入操作164,将提取的默认装置信息存储入与TSM服务器相关的数据库中。在一个实施例中,所述服务器包括获取派生密钥集(derived key set)的接口。在一个实施例中,根据所述安全元件的装置信息(比如,ISD)产生所述派生密钥集。当所述安全元件中成功安装上派生ISD密钥集时,通知相应的安全元件发行者所述派生ISD密钥集已经使用。
根据本发明的一个实施例,在操作166中,所述装置信息(默认的或更新的)用来产生密钥集(或称一组密钥)。在一个实施例中,所述服务器用来使用默认ISD在他的硬件安全模块(hardware security module,简称HSM)和所述安全元件之间建立安全通道。所述服务器还用来为所述安全元件计算派生密钥集。基于业务协定,安全元件的发行者的主ISD密钥可以设置于与所述服务器相关的硬件安全模块或所述安全元件发行者的本地硬件安全模块中。所述硬件安全模块是一种安全加密处理器,其用于管理数字密钥,加速加密过程,以及对访问服务器应用的关键密钥提供有效的认证。如果设置于所述服务器中的硬件安全模块内,所述服务器用来指令所述硬件安全模块去计算所述派生密钥集。随后,所述服务器提供一种机制(比如PUT KEY APDU)并使用默认通道,用所述派生密钥集替代在所述安全元件中的默认密钥集。如果所述安全元件发行者(SE issurer)的主ISD密钥在所述安全元件发行者的本地硬件安全模块中,所述服务器还用来与远端的硬件安全模块交互以提取所述主ISD密钥。
在操作168中,将所述密钥集安全的传递至所述安全元件。就这样将密钥集个人化入所述安全元件中,所述密钥集用于利用NFC装置进行的各种安全操作或服务中。在操作170,所述服务器用来将所述安全元件与其发行者或提供者进行同步(比如,将有关安全元件状态的通知发送至所述发行者或提供者)。在个人化后,可以使用所述SE发行者的个人化ISD密钥来访问所述安全元件。基于每个服务提供商的安全需求,所述TSM可以为各个提供者提供额外的SSD以个人化他们的相应应用(比如,图1C中的模块134或136)。
如上文所述,有两种方式可以用来在与所述制造者的交互过程中从所述安全元件中提取相应的默认ISD信息。基于基础架构,制造者可以选择使用实时方式(real-time approach)或批量(或称批处理)方式(batch approach)。
在实时方式中,当所述TSM服务器个人化所述安全元件时,所述服务器被设置用来与制造者(比如它的服务器)进行通讯。这样,所述默认密钥集是经要求从制造者的服务器提取的。在一个实施例中,所述TSM服务器包括与每个制造者进行通讯的插件模组。
在批量方式中,可以以在线模式执行,也可以以离线模式执行。在离线模式下,所述安全元件制造者通过加密媒介为支持的所有安全元件传递默认ISD信息。所述TSM或计算装置的管理器可以被设置用来将所述物理媒介中的信息输入一个计算装置。随后,解密并提取所述默认ISD信息,并存储于一个数据库中。在在线模式下,所述SE制造商通过网络上传其支持的安全元件的默认ISD信息。随后,解密并提取所述默认ISD信息,并存储于一个数据库中。然后,所述TSM只需要在安全元件个人化过程中访问在其自己的硬件安全模块或数据库。图1E展示了在离线和在线模式时SE制造者、TSM管理器、TSM系统之间的关系。根据本发明的一个实施例,图1F示出了NFC装置(比如NFC移动电话)的用户、NFC装置、TSM服务器、相应的SE制造者和SE发行者之间的数据流程图。
一方面,可以认为图1C中的安全元件132是智能卡中的预载操作系统,其提供PIN管理和用于卡个人化(card personalization)的安全通道(或称安全域)的平台。所述安全元件132结合智能卡发行者、供应商、产业组、公共实体和科技公司的兴趣,为运行于智能卡上的多个应用定义需求和技术标准。作为一个例子,作为电子钱包安全的一个模块134定义一组协议,该组协议使得小额支付交易能够通过有线或无线环境执行。对于存储于智能卡的电子钱包,在所述电子钱包被发行后将一组密钥(对称的或非对称的)个人化入所述电子钱包。在交易过程中,为了使所述电子钱包与安全认证模组(Security Authentication Module,SAM)或后端服务器之间的信息通道安全,所述电子钱包使用一组各自的密钥进行加密和MAC计算。对于单功能卡片来说,所述电子钱包安全模块104用来作为保护在单功能卡上执行的实际操作的门。在个人化期间,通过电子钱包交易密钥将所述单功能卡片访问密钥(或他的转换)个人化入所述电子钱包。
作为一个例子,假设安装应用、电子钱包已经经由所述安全元件被配置。图1G根据本发明的一个实施例,示出了基于平台的SAM或网络电子钱包服务器192,作为门卫的电子钱包194和单功能标签196,这三个实体之间的个人化数据流程190。所述基于平台的SAM或网络电子钱包服务器192和电子钱包194之间的通信将按照一种类型的命令(比如APDU,应用协议数椐单元)进行,而电子钱包194和单功能标签196之间的通讯将按照另一种类型的命令进行,其中所述电子钱包起到门卫的作用,以保证只有安全可靠且经过授权的数据交互才会被准许进行。
在一个实施例中,电子钱包的物理安全在一个模拟器中实现。这里使用的模拟器是指其他模块期望与其交互的一个硬件装置或一段程序,或自称是另一个特别的装置或程序。所述电子钱包安全是在用于提供电子钱包功能和与支付服务器通讯的一个或多个Java程序applet之间实现的。支持电子钱包的安全元件负责更新安全密钥以在支付服务器和Java程序applet之间建立交互的合适通道,其中电子钱包程序作为门卫去调节或控制所述数据交换。
现在参考图2A所示,其示出了一个移动生态系统200,其中参与入所述移动生态系统中的相关方依次列出。在一个实施例中,允许一个NFC装置从相应指定服务器202(比如应用管理提供者)中下载或安装一个或多个应用,其中这些应用是由应用开发者204最初开发出来,并由服务提供者210、应用管理提供者202或其他相关方发布。假设有安全元件提供者208提供的安全元件206已经经由TSM或可信赖第三方(比如,金融机构212)个人化。
一旦在所述NFC装置上安装上一个应用,下一步将是通过所述安全元件配置所述应用。应用的配置过程可以以几种方式开始。其中的一种方式是一个安全元件拥有者在移动装置上从TSM入口中选择一个应用,并开始配置过程。另一种方式是所述安全元件拥有者在移动装置上接收来自代表应用提供者的TSM的应用配置通知。
所述TSM或应用提供者可以在TSM入口或门户上发布他们的应用,以供下载到具有安全元件和/或签订用户请求(比如SE拥有者)的移动装置上。在一个实施例中,所述TSM为多个SE发行者提供云服务。这样,来自各个服务提供者的许多应用可以从TSM入口处获取。然而,当登入所述TSM入口时,安全元件拥有者只可以看那些经过他的安全元件提供者认证的应用。基于安全元件和服务提供者之间的协议,使用安全元件的ISD密钥集或服务提供者的指定的SSD密钥集可以实现应用的下载/安装/个人化。如果在所述安全元件中并未安装有SSD密钥集,则可以在一个应用安装的过程中安装它。
所述TSM知晓安全元件针对各个SSD的存储状态。基于SSD的存储分配策略和所述安全元件的存储状态,对于在应用商店中的针对各种SSD的可用应用可以标记为不同的指示,比如“可以安装”或“安装存储不足”。这样可以防止用户不必要的失败。
一旦在一个NFC装置上安装一个应用,所述应用自己启动配置过程,或TSM服务器通过蜂窝网络或无线数据网络给所述NFC装置发送配置通知。根据所述NFC装置的类型,有很多种发送消息(PUSH message,或称为推广消息)的方式以使得所述NFC装置开始所述配置过程。发送方法的一个例子包括短信发送或安卓谷歌发送。一旦用户收到所述通知,所述配置过程开始。在认为合适的时候,将详细描述配置过程。
作为所述应用配置的一个部分,TSM服务器执行一些保护性机制。一个是防止安全元件意外锁定。另一个是如果在安全元件中没有足够存储空间时阻止应用的下载。在一些实例中,在安全通道建立期间如果有太多的相互认证失败,则安全元件可能永久性锁定自己。为了防止所述安全元件意外锁定,当在两方(entities)之间建立安全通道时,所述TSM持续跟踪安全元件和TSM之间的认证失败的数目。在一个实施例中,如果达到预定极限,所述TSM将拒绝任何进一步的请求。如果在服务中心手动的重启所述安全元件,所述TSM可以继续处理SE请求。
所述TSM也持续跟踪每个安全元件的存储使用。所述TSM基于由所述SE发行者分配给每个服务提供者的存储分配决定一个应用是否可以安装于一个安全元件上。根据一个实施例,有三种类型的策略:
●预分配一个固定存储空间,这是保证空间;
●预分配一个最小存储空间,这是保证最小空间(暗示所述容量在一些情况下可以被扩展);
●最大努力(比如,合同规定,需要安全元件发行者使用他最大的努力执行他的责任,以使得用户得到的利益最大化)。
在一个实施例中,所述安全元件发行者使用所述TSM网页入口完成这项工作。
1.对于一批安全元件,所述安全元件发行者可以为服务提供者预分配一个存储策略以通过TSM网页入口安装它的应用;
2.当移动装置请求安装一个应用时,TSM服务器认证相应的服务提供者的空间是否符合它的存储策略;如果不符合,则拒绝这个请求;否则,所述TSM服务器将处理所述配置请求;
3.如果配置成功,所述TSM将积累这个应用服务的存储大小。
当一个移动用户订阅一个移动应用(假如它已经安装),在所述应用使用之前该应用需要经由移动装置上的安全元件配置。在一个实施例中,所述配置过程包括四个主要阶段;
●如果需要,在所述安全元件上创建补充安全域(SSD);
●在所述安全元件上下载并安装一个应用;
●在所述安全元件个人化所述应用;
●下载UI(用户界面)组件至移动装置上。
图2B示出了根据本发明的一个实施例的配置一个或多个应用的流程或过程220。所述过程220可以实现为软件或软件和硬件的组合。在一个实施例中,所述应用配置过程220需要进入在移动装置上的配置管理器(比如代理)以与其内的安全元件交互。
如图2B所示,在操作222处,所述应用配置过程220可以是自动或手动开始。比如,假设它还未被配置,用户可以通过选择一个已安装应用去订购相关服务以启动所述配置过程,或在激活所述已安装应用时启动所述配置过程。在另一个实施例中,应用提供者发送一个信息(比如短信)至所述移动电话以开始所述配置过程。
在任何情况下,所述程序220进入操作224,从移动装置的安全元件中提取所述装置信息(比如,CPLC)后,与专用服务器(比如TSM服务器或由应用发行者运营的服务器)建立通信。在操作226处,所述装置信息与识别应用的标识符一起被传送至所述服务器。在操作228,所述服务器首先基于所述装置信息识别所述安全元件的发行者,以在230操作中确定是所述安全元件是否已经被个人化。如果所述安全元件还未被个人化,所述过程220进入操作232,以个人化所述安全元件,所述操作232的一个实施例可以根据图1B中的过程110来实现。
现假设移动装置中的安全元件已经被个人化。所述过程220进入操作234,在这里使用派生ISD与所述安全元件建立安全通道。根据谁为ISD提供硬件安全模块HSM(比如TSM或SE发行者),所述服务器将联系所述硬件安全模块去为所述安全元件计算派生ISD,并使用该派生ISD与所述安全元件建立安全通道。随后,在操作中236,所述服务器检查是否有与该应用相关的一个SSD。如果该应用没有一个对应的SSD,所述服务器将检查数据库看它是否已经安装于所述安全元件上。如果需要SSD安装,所述流程220进入240去安装所述SSD。在一个实施例中,提醒所述用户所述SSD(密钥)的安装。在操作238,假设用户拒绝安装所述SSD,所述过程220停止并进入操作222,重新开始所述配置过程220。
现假设在操作240中执行安装SSD过程。安装所述SSD与安装ISD类似。所述TSM服务器联系其内有主SSD密钥的硬件安全模块HSM,为所述安全元件计算派生SSD密钥集。所述主SSD密钥可以在TSM、服务提供者、或安全元件发行者中,这主要取决于各方是如何协定的。
为了在安全元件中下载/安装应用,在操作242,所述服务器用来使用派生SSD与所述安全元件建立安全通道。在一个实施例中,这类似于如何基于派生ISD建立安全通道。在操作244,准备所述应用的数据,它的细节将在下文详细描述。根据一个实施例,所述服务器联系所述服务提供者,以准备存储数据应用协议数据单元APDUs。根据安装于移动装置中一个应用,所述服务器可以重复发布存储数据以个人化所述应用。假如成功执行了所述配置程序,包括一个适当接口(比如,每个移动装置的应用的用户接口)的额外数据可以被下载。在操作246,所述服务器向一个应用提供者通知已经配置的应用的状态。根据一个实施例和上文所述,图2C示出了当配置一个应用时不同方之间交互的数据流程250。
如图2B中的操作244,配置应用的一个重要应用在于为目标安全元件准备定制应用数据。比如,对于电子钱包应用,该应用的个人化数据包括基于安全元件的装置信息(比如CPLC信息)产生的各种个人化交易密钥。为了搬运电子钱包,个人化数据的部分包括源自Mifare卡片的标识符的Mifare访问密钥,所述服务器既可以个人化Java卡片应用,也可以个人化Mifare4Mobile服务对象。通常,至少有两种不同的准备数据的方式,以方便随后的交易。
为了数据准备,本发明的一个实施例支持与所述服务提供者交互的两种模式以计算个人化应用数据。对于第一种模式,所述TSM服务器不直接访问与服务提供者关联的硬件安全模块。所述服务提供者可以使与它的硬件安全模块交互的服务器产生应用密钥(比如,传输、电子钱包或Mifare密钥)。所述TSM数据准备实现是使用应用程序接口(API)或服务器提供的协议去请求派生应用密钥(derived application key)。第二种模式是数据准备实现可以直接访问与服务提供者相关的硬件安全模块以产生应用密钥。
根据一个实施例,图2D示出了在配置一个应用过程中准备应用数据时不同方交互的数据流程255。图2D为第一模式,其中所述TSM服务器不直接访问与服务提供者关联的硬件安全模块。除了所述应用数据准备实现将直接与服务提供者的硬件安全模块交互外,第二种模式具有相似的流程。
除了支持配置过程,本发明的一个实施例还支持安全元件的寿命周期管理。所述寿命周期管理包括但不限于,安全元件锁定、安全元件解锁和应用删除(非使能)。可以通过TSM通知来开始这些活动。在移动装置的实际使用中,图2E示出了锁定已安装应用的流程或过程260。一个NFC装置可能已经安装了一定数量的运行于安全元件上的应用。因为一些原因(比如,长时间没有活动或期满),一个应用需要由其发行者或提供者非使能或锁定。
图2E示出了非使能一个已安装应用的过程260。非使能一个已安装应用的过程260开始于操作262。在一个实施例中,所述过程260由操作者通过TSM网页入口手动启动。在另一个实施例中,所述过程260由服务提供者内部工作流程(比如使用TSM网页服务API)自动启动。一旦所述过程260启动,发送一条信息至一个NFC装置(比如移动装置内),其内的一个应用需要被非使能。在实现时,这样的消息可以有不同格式。在一个实施例中,所述消息是一个PUSH命令。在另一个实施例中,所述消息是一个通过网络传递至所述NFC装置内的TCP/IP请求。在操作264中,服务器(比如TSM服务器)发送所述消息。在实现时,这样的一个消息包括标识将被锁定或非使能的应用的标识符。在接收到这样的消息时,在操作266,所述NFC装置上的卡管理器代理(card manager proxy)用来通过回复一条信息来认证这样的信息是否确实来自它的原始发行者或提供者。在一个实施例中,将所述消息发送至TSM服务器进行认证。如果认证失败,即对这样的查询没有回应,所述过程260将结束。
假设所述认证通过,即来自所述装置的针对所述应用的提供者的查询收到了回复确认,所述原始请求被证明是真实的。通常,在操作268,这样的回复确认包括将要锁定的应用的标识符。所述TSM服务器用来建立一个与安全元件的安全通道。随后,所述TSM服务器通过所述卡管理器代理为所述安全元件准备适当的APDUs(比如SET STATUS(设置状态),或/和DELETE(删除))。在操作270,所述装置向所述安全元件发出操作请求,以锁定特定应用。
不管怎样,响应所述命令,在步骤272,所述安全元件SE锁定或非使能所述应用。根据一个实施例,所述SE被致使与应用分离,这样使得该已安装的应用不再能使用所述安全元件。在操作274,所述安全元件用来发出确认以通知相关方,这个应用不再运行于所述装置中了。在一个实施例中,所述确认发送至TMS服务器,所述TMS服务器中有一个记录哪些应用安装于哪些装置中以及每个应用的相应状态的数据库。所述数据库根据来自所述安全元件的确认(acknowledgement)进行更新。
图2E示出了非使能或锁定已安装应用的流程或过程。对于本领域内的普通技术人员来说,其它操作,比如解锁或使能一个已安装应用,延长一个已安装应用的期限,是与图2E示出的过程相似的。
参照图2F,图2F根椐本发明的一个具体实施例,展示了便携设备作为电子钱包执行电子商务和移动商务时的架构示意图280。所述图280包括内嵌了智能卡模块的便携式电话282。此类便携式电话的一个实例是支持近距离通信(NFC,Near Field Communication),并且包含SmartMX(SMX)模块的便携式电话。需要注意的是安全元件和应用可以是集成的。除非特别说明,接下来的描述将不会指出哪个部分来执行安全元件的功能,哪个部分来作为应用。本领域内的普通技术人员应该可以理解的是根据下文给定的详细描述合适的部分或功能将被执行。
所述SMX模块预先装载有Mifare模拟器288(即单功能卡),以用来存储数值(values)。所述便携式电话装有非接触界面(例如ISO14443RFID),以允许所述便携式电话起到标签的作用。此外,所述SMX模块是能够运行Javaapplet程序的Java卡片(JavaCard)。所述电子钱应用包被设置为能够通过密码访问所述Mifare模拟器的数据结构,所述密码由所述访问密钥在所述安全元件被个人化时经过适当的转换后得到。
所述便携式电话282中提供了电子钱包管理器MIDlet程序284。为了实现移动商务,所述MIDlet程序284充当了电子钱包applet程序286及一个或多个支付网络和服务器290之间的通信代理,以使各方之间的交易顺利进行。此处所说的MIDlet程序是适合在便携设备上运行的软件组件。所述电子钱包管理器MIDlet程序284可以被实现为Java便携式电话上的“MIDlet程序”,或个人数字助理(PDA)设备上的“可执行应用程序”。所述电子钱包管理器MIDlet程序284的功能之一是接入无线网络,并与运行在相同的设备或外部智能卡上的电子钱包applet程序进行通信。此外,MIDlet程序284还被设置为可以提供管理功能,例如更改个人识别号码(PIN)、查看电子钱包余额和交易历史日志。在一例应用中卡片发行商提供了用于支持和认证在卡片和对应服务器(亦即支付服务器)之间进行的任意交易的安全识别模块(SAM)292。如图2F所示,应用协议数椐模块(APDU)命令由能够访问安全识别模块(SAM)292的服务器290所创建,其中所述APDU模块是读取器和卡片之间的通信模块。所述APDU模块的构造根据ISO7816标准制定。通常,APDU命令被嵌入网络消息中并被传送至所述服务器290或所述电子钱包applet程序286以接受处理。
为了进行电子商务,在计算机(未示出)上运行的web代理294负责与一个非接触读取器(例如一个ISO14443RFID读取器)以及所述网络服务器290交互。在实际操作中,所述代理294通过所述非接触读取器296向在便携式电话282上运行的所述电子钱包applet程序286发送APDU命令,或通过相同途径从所述电子钱包applet程序286处接收相应回复。另一方面,所述代理294可生成网络请求(例如HTTP)并从所述支付服务器290处接收相应回复。
当个人化便携式电话282时,图3A中的结构图300展示了相关模块互相作用,以完成电子钱包由授权人进行个人化的过程。图3B中的结构图320展示了相关模块互相作用,以完成如图2F所示的电子钱包由其用户进行个人化的过程。
图3C中的流程或过程图350展示了根据本发明的一个具体实施例,个人化电子钱包applet程序的过程。图3C建议与图3A和图3B结合起来一同理解。过程图350可以通过软件、硬件或软硬件结合的方式实现。
如前所述,电子钱包管理器建立于已经个人化的安全元件之上,以提供个人化电子钱包applet程序时所需的安全机制。在实际操作中,安全域被用来建立连接个人化应用服务器与所述电子钱包applet程序的安全通道。根据一个具体实施例,经过个人化并被存入所述电子钱包applet程序的关键数据包括一个或多个操作密钥(例如载入或充值密钥和购买密钥),预设的个人识别号码,管理密钥(例如阻塞解除PI N密钥和重新载入PIN密钥),以及密码〔例如来自Mifare的密码〕。
假定用户想要个人化内嵌在便携设备(例如一台便携式电话)中的电子钱包applet程序。在图3C的步骤352中,个人化过程被启动。根据具体实现的不同,个人化过程可能在便携设备内的模块中实现,并由手动或自动方式激活,也可能实现为由授权人(通常是与卡片发行商有联系的人员)启动的一个物理过程。如图3A所示,授权人启动个人化过程304,以个人化用户的电子钱包applet程序,所述个人化过程304在现有的(existing)新电子钱包安全识别模块306和现有的安全识别模块308上,通过作为界面的非接触读取器310来进行。卡片管理器311执行至少两项功能:(1)通过安全域建立安全通道,以在卡片个人化过程中,安装和个人化外部应用程序〔例如电子钱包applet程序〕;以及〔2〕创建安全措施(例如个人识别号码),以在后续的操作中保护所述应用程序。作为所述个人化过程使用个人化应用服务器304的结果,所述电子钱包applet程序312和模拟器314被个人化。
相似地,如图3B所示,电子钱包用户希望启动个人化过程,以通过无线方式(例如通过图2中的移动商务路径)个人化电子钱包applet程序。与图3A不同,图3B允许所述个人化过程由手动或自动方式激活。例如,便携式电话上装有一个装置,如果该装置被按下,则激活所述个人化过程。在另一种方案中,“未个人化”的状态提示可被提交给用户以启动所述个人化过程。如前所述,便携设备中的MIDlet程序322〔即一个服务管理器〕充当代理以协助支付服务器324与电子钱包applet程序312以及模拟器314之间的通信,其中支付服务器324拥有访问现有的新电子钱包安全识别模块306和现有的安全识别模块308的权限。经过所述个人化过程,电子钱包applet程序312和模拟器314被个人化。
现在转回参见图3C,在图3A中所示的个人化过程被启动以后,非接触读取器310被激活并在步骤354中从设备内的智能卡中读取标签标识符(ID)(即RFID标签ID)和关键数据。通过应用安全域(例如卡片发行商的默认安全设置),在步骤356中建立连接新电子钱包安全识别模块(例如图3A中的安全识别模块306)与便携设备中电子钱包applet程序(例如图3A中的电子钱包applet程序312)的安全通道。
全球平台的每个应用安全域都包括三个DES密钥。例如:
密钥1:255/1/DES-ECB/404142434445464748494a4b4c4d4e4f
密钥2:255/2/DES-ECB/404142434445464748494a4b4c4d4e4f
密钥3:255/3/DES-ECB/404142434445464748494a4b4c4d4e4f
安全域被用来为两个实体之间的安全会话生成会话密钥,所述两个实体可以是卡片管理器applet程序和主应用程序(host application),其中所述主应用程序可能是桌面机中的个人化应用程序,也可能是由后端服务器提供的网络化的个人化服务。
默认的应用域可由卡片发行商安装,并分配给不同的应用/服务提供商。各应用程序所有者可在个人化过程之前(或在所述过程的最初阶段)变更各自密钥组的数值。之后应用程序可以使用所述的新密钥组来创建用于执行个人化过程的安全通道。
通过由应用提供商的应用安全域建立的所述安全通道,第一组数据可被个人化并存入电子钱包applet程序。第二组数椐同样可以通过同一条通道进行个人化。但是,如果所述数据保存在不同的安全识别模块中,则一条使用相同密钥组(或不同密钥组)的新的安全通道可被用于个人化所述第二组数据。
在步骤358中,通过新电子钱包安全识别模块306生成一组电子钱包操作密钥和个人识别号码,以用于新电子钱包安全识别模块与电子钱包applet程序之间的数据交换,并在实质上个人化所述电子钱包applet程序。
在步骤360中第二条安全通道在现有安全识别模块(例如图3A中的安全识别模块308)与便携设备中的电子钱包applet程序(例如图3A中的电子钱包applet程序312〕之间被建立。步骤362中使用所述现有安全识别模块和标签ID生成一组转换后的密钥。所述转换后的密钥保存在所述模拟器中以用于之后的数据访问认证。步骤358中使用所述现有安全识别模块和标签ID生成一组MF密码,并将所述密码存入电子钱包applet程序以用于之后的数据访问认证。上述操作全部完成后,所述电子钱包,包括所述电子钱包applet程序和对应的模拟器,将被设置为“已个人化”状态。
基于本发明的一个具体实施例,图4A和图48B一起展示了为电子钱包筹资或注资的流程或过程图400。过程400通过图2中的移动商务路径实施。为了更好地理解过程400,图4C展示了一幅具有代表性的方块图450,图中相关方块相互作用以完成所述的过程400。根据本发明实际应用的不同情况,所述过程400可能通过软件、硬件、或软硬件结合的方式实现。
假设用户得到了一台安装了电子钱包的便携设备(例如一台便携式电话〕。所述用户希望从银行的账户中向所述电子钱包注入资金。在步骤402,所述用户输入一组个人识别号码(PIN)。假定所述个人识别号码有效,便携设备中的电子钱包管理器被激活,并在步骤404中发起请求(也被称为空中(OTA,Over-the-Air)充值请求)。在步骤406中便携设备内的MIDlet程序向电子钱包applet程序发送请求,图4C中描绘了所述步骤406中电子钱包管理器MIDlet程序434与电子钱包applet程序436之间通信的过程。
在步骤408中,电子钱包applet程序生成用于回应所述MIDlet程序请求的回复。收到所述回复后,所述MIDlet程序将所述回复通过蜂窝通信网络发送至支付网络和服务器。如图4C所示,电子钱包管理器MIDlet程序434与电子钱包applet程序436通信以获取回复,所述回复随即被发送至支付网络和服务器440。在步骤410,过程400需要核实所述回复的有效性。如果所述回复无法被核实,过程400将终止。如果所述回复被核实为有效,则过程400进入步骤412并查对银行中相对应的账户。如果所述账户的确存在,资金过户请求将被启动。在步骤414中,所述银行收到所述请求后会返回回复以回应所述请求。通常,所述支付网络和服务器与所述银行之间的信息交换需遵守网络协议〔例如国际互联网使用的HTTP协议〕。
在步骤416中,所述银行返回的回复被传送至支付网络和服务器。在步骤418中,MIDlet程序从所述回复中提取出处APDU命令并将所述命令转发给电子钱包applet程序。在步骤420中所述电子钱包applet程序核实所述命令,如果所述命令被核实为已被授权,则将该命令发送至步骤420中的模拟器,同时更新交易日志。步骤422中生成标签(ticket)以用来制定向所述支付服务器发送的回复(例如APDU格式的回复)。在步骤424中,所述支付服务器收到回复后更新并向所述MIDlet程序发送成功状态信息,同时保存所述APDU回复以便以后查对。
如图4C所示,支付网络和服务器440收到电子钱包管理器MIDlet程序434发出的回复,并与安全识别模块444核实所述回复最初是由经过授权的电子钱包applet程序436所发出。所述回复被核实之后,支付网络和服务器440向提供资金的银行442发出请求,假定用户432在所述银行中有帐户。所述银行会核实并授权所述请求,然后按照预定的消息格式返回授权号码。从银行442接收到所述回复之后,支付服务器440会向MIDlet程序434发送一个网络回复以拒绝或批准所述请求。
电子钱包管理器434核实所述网络回复的有效性(例如是否是APDU格式),然后向模拟器438发送命令并更新交易日志。至此,电子钱包applet程序436完成了所需的步骤并向而MIDlet程序434返回一个回复,所述MIDlet程序434再向支付服务器440转发一条内嵌(APDU)回复的网络请求。
尽管过程400被描述为向电子钱包中注入资金,本领域中的其他技术人员能够容易地得出使用电子钱包通过网络进行购买的过程与过程400本质上是一样的结论,因此所述进行购买的过程不再在此单独讨论。
根据本发明的一个具体实施例,图5A中展示了使便携设备530能够在蜂窝通信网络520(例如一个GPRS网络)上进行电子商务和移动商务的第一个示例架构500。所述便携设备530由基带524和安全元件529(例如智能卡)组成。所述便携设备的一个实例是支持近距离通信或近场通信(NFC,Near FieldCommunication)的便携设备(例如便携式电话或个人数字助理(PDA))。所述基带524提供了一个电子平台或环境(例如微型版Java(JME,Java MicroEdition),或移动信息设备框架(MIDP,Mobile Information Device Profile)),在其上可执行或运行应用MIDlet程序523和服务器管理器522。所述安全元件529包含有全球平台(GP)卡片管理器526,模拟器528以及其他组件比如个人识别号码管理器〔未示出〕。
为支持所述便携设备530执行电子商务和移动商务,需要在其上预先安装和设置一个或多个服务/应用。服务管理器522的一个实例(例如一个有图形用户界面的MIDlet程序)需要被激活。在一个具体实施例中,服务管理器522可以被下载并安装。在另一个具体实施例中,服务管理器522可以被预先载入。无论采用何种方式,一旦服务管理器522被激活,包含各种服务的目录列表将被显示。所述目录列表可能包含与用户的签约信息有关的服务项目,也可能包括独立于用户签约信息的推荐项目。所述目录列表可从目录服务器512上的目录库502中得到。目录服务器512为各种可能向注册者提供产品和/或服务的服务提供者(例如安装服务器,个人化服务器)起到了交流中心(central hub)的作用(如黄页功能)。所述目录服务器512的黄页功能可以包括服务规划信息(例如服务收费,开始日期,结束日期等〕、安装、个人化和/或MIDlet程序下载地点(如国际互联网地址)。所述安装和个人化过程可能是由两个不同的商业实体所提供,比如所述安装过程可能由安全元件529的发行商所提供,而所述个人化过程可能由持有特定应用程序的应用处理密钥的服务提供商所提供。
根据一个具体实施例,服务管理器522被配置为通过蜂窝通信网络520连接服务提供商的一个或多个服务器514。假定用户已经从呈现给他的服务目录中选择了一个应用。在所述一台或多台服务器514与全球平台管理器526之间将建立一条安全通道518,以安装/下载所述用户选择的应用applet程序527,然后再个人化此应用applet程序527及可选的模拟器528,并最终下载应用MIDlet程序523。Applet程序库504和MIDlet程序库506分别提供一般的应用applet程序和应用MIDlet程序。全球平台安全识别模块516和应用程序安全识别模块517被用来建立安全通道518以进行个人化操作。
根据本发明的另一个具体实施例,图5B展示了使便携设备530能够在公共网络521上执行电子商务和移动商务的第二个示例架构540。所述第二个架构540中的大多数组件本质上与图5A第一个架构500中的组件相类似。不同之处在于第一个架构500是基于蜂窝通信网络520上的操作,而第二个架构540则使用了公共网络521〔例如国际互联网)。所述公共网络521可能包括局域网(LAN,Local Area Network)、一个广域网(WAN,Wide Area Network)、WiFi(IEEE802.11)无线连接、一个Wi-Max(IEEE802.16)无线连接等。为了在所述公共网络521上进行服务操作,服务管理器532的一个实例(即与服务管理器MIDlet程序522功能相同或相似的实例)将被安装在接入公共网络521的计算机538上。所述计算机538可以是桌面个人电脑(PC)、笔记本电脑、或其他能运行服务管理器532的所述实例,并接入公共网络521的计算设备。所述计算机538和便携设备530之间的连接通过一个非接触读取器534来进行。服务管理器532充当了代理的角色,以协助服务提供商的一个或多个服务器514与全球平台卡片管理器526之间,通过安全通道519进行的安装和个人化过程。
图5C是一张流程图,根据本发明的一个具体实施例,描绘了使便携设备能够进行电子商务和移动商务功能的过程550。所述过程550根据具体实现的不同,可以通过软件、硬件、或软硬件结合的方式实现。为了更好地理解所述过程550,以下的描述中将引用若干较早的图示,尤其是图5A和图5B。
在过程550开始之前,服务管理器522或532的一个实例已被下载或预装在便携设备530或计算机538上。在步骤552,服务管理器被激活并向服务提供商处的服务器514发送服务请求。在用户被识别以及便携设备被核实为有效之后,在步骤554中,所述过程550依据便携设备530的用户的签约(subscription)信息提供服务/应用程序的目录列表。例如,所述列表可能包含移动销售点应用程序、电子钱包应用程序、电子票务应用程序、以及其他商业化的服务。然后一个服务/应用程序被从所述目录列表中选中。例如,电子钱包或移动销售点可被选中用来配置便携设备530。作为对用户选择的回应,过程550在步骤556下载并安装所述被选中的服务/应用程序。例如,电子钱包applet应用程序(即应用applet程序527)从applet程序库504中下载并安装在安全元件529中。所述下载或安装的路径可以是安全通道518或519。在步骤558中,如果需要,过程550将个人化所述已被下载的应用applet程序和所述模拟器528。一些被下载的应用applet程序不需要被个人化,另外一些则需要个人化。在一个具体实施例中,移动销售点应用applet程序(“销售点安全识别模块(POSSAM)”)需要被个人化,则以下信息或数据组是必须提供的:
(a)唯一基于底层安全元件独特标识符的安全识别模块ID;
(b)一组借记主密钥(debit master key);
(c)一个转换后的消息加密密钥;
(d)一个转换后的消息识别密钥;
(e)每笔线下交易的备注部分可以被允许的最大长度;
(f)一个转换后的批量交易密钥;以及
(g)一个全球平台个人识别号码(GP PIN)。
在另一个具体实施例中,为单功能卡片个人化电子钱包applet程序时,不仅需要将特定数据(即个人识别号码、转换后的密钥、开始日期、结束日期等)配置在电子钱包中,而且还要将模拟器设置为可以在开放的系统中工作。最后,在步骤560中,过程550下载并根据选择启动应用MIDlet程序523。所述应用applet程序中的某些个人化数据可被访问和显示,或由用户提供。所述过程550在所有服务/应用组件均被下载、安装和个人化后结束。
根据一个具体实施例,使便携设备530能够作为一个移动销售点来使用的一个代表性过程如下:
(a)接入安装服务器(即服务提供商的一台服务器514),并请求所述服务器建立第一条安全通道(例如安全通道518),以连接一个发行商域〔即applet程序库504〕与运行于安全元件529上的全球平台卡片管理器526;
(b)接收一条或多条网络消息,所述消息中包含封装销售点安全识别模块applet程序(例如来自applet程序库504的一个Java Cap文件)的若干APDU请求;
(c)从接收到的所述网络消息中提取所述APDU请求;
(d)向全球平台卡片管理器526按照正确的顺序发送提取出的APDU请求,以在安全元件529上安装销售点安全识别模块(即应用applet程序527);
(e)接入一个个人化服务器〔即一台服务提供商的服务器514〕,以开通第二条连接个人化服务器与新下载的applet程序(即销售点安全识别模块)之间的安全通道(根据服务器和/或路径的不同,所述安全通道可能是也可能不是安全通道518)。
(f)接收一条或多条网络消息以获得一个或多个单独的“数据存储APDU(STORE DATAAPTU)”;
(g)提取并发送所述“数据存储APDU(STORE DATAAPTU)”,以个人化销售点安全识别模块;以及
(h)下载并启动销售点管理器(即应用MIDlet过程序523)。
图6A展示了一个代表性的架构600,根椐本发明的一个具体实施例,其中便携设备630作为移动销售点,以执行电子商务和移动商务。所述便携设备630由基带624和安全元件629组成。销售点管理器623被下载并安装在所述基带624中,销售点安全识别模块628则被个人化并安装在安全元件629中,以使便携设备630能够充当移动销售点的角色。这样实时的交易639可以在支持移动销售点的便携设备630与支持电子代币的装置636(例如单功能卡片或支持电子钱包的移动设备)之间进行。所述电子代币可能代表设备中的电子货币(e-money)、电子购物券(e-coupon)、电子票(e-ticket)、电子凭单(e-voucher)或任何其他形式的支付代币。
实时交易639可以在线下进行(即不将便携设备接入后端销售点交易处理服务器613)。但是,在特定的实际情况中,例如交易量超过了预定的门限时,或支持电子代币的设备636需要充值或虚拟充值时,或(单一或批量)交易上传时,所述便携设备630可以通过蜂窝网络520接入所述后端销售点交易处理服务器613。
累积的线下交易记录需要被上传至后端销售点交易处理服务器613进行处理。所述上传操作由通过安全通道618接入销售点交易处理服务器613的便携设备630执行。与所述安装和个人化过程相似,上传操作可以经由两条不同的路线执行:蜂窝通信网络520;或公共网络521。图6A描绘了所述第一条路线。
所述第二条路线如图6B所示,根椐本发明的一个具体实施例,图6B展示了一个代表性的架构640,其中便携设备630作为移动销售点并在公共网络521上执行交易批量上传的操作。所述移动销售点中的线下交易记录一般被堆积保存在销售点安全识别模块628中的交易日志中。所述交易日志由非接触读取器634所读取并存入安装在计算机638中的销售点代理633。所述销售点代理633再在公共网络521上通过安全通道619接入销售点交易处理服务器613。每个包含一条或多条交易记录的上传操作都标记为一个单独的批量上传操作。销售点安全识别模块628、非接触读取器634以及销售点代理632三者之间的数据通信釆用格式并包含所述交易记录。封装APDU(例如HTTP)的网络消息则被用于销售点代理632和销售点交易处理服务器613之间的通信。
在一个具体实施例中,一个来自销售点管理器623或销售点代理633的具有代表性的批量上传过程包括:
(a)向销售点安全识别模块628发送请求以发起批量上传操作;
(b)在所述销售点安全识别模块628同意所述批量上传请求后,从所述销售点安全识别模块628中被标记的“一批”或“一组”中以APDU命令的形式取回累积的交易记录;
(c)创建一条或多条包含所述取回的APDU命令的网络消息;
(d)通过安全通道619将所述一条或多条网络消息发送至销售点交易处理服务器613;
(e)从所述销售点交易处理服务器613中接收确认签名消息;
(f)将所述确认签名消息以APDU的形式转送至所述销售点安全识别模块628以进行核实,然后删除经确认已被上传的交易记录;以及
(g)如果所述同一“批”或“组”中仍然有其他未被上传的交易记录,则重复步骤(b)至步骤(f)。
图6C展示了一幅流程图,根据本发明的一个具体实施例,描绘了使用充当移动销售点的便携设备630与作为单功能卡片使用并支持电子代币的装置636进行移动商务的过程650。为了更便于理解,最好将过程650与之前的图示,尤其是图6A和图6B关联起来一同考察。所述过程650可以用软件、硬件、或软硬结合的方式实现。
当支持电子代币装置(例如Mifare卡片或支持电子钱包并模拟单功能卡片的便携式电话)的持有者,希望通过移动销售点(即便携设备630)购买物品或订购服务时,过程650(例如图6A中的销售点管理器623所执行的过程〉便会被启动。在步骤652,便携设备630读取所述支持电子代币的装置并取回电子代币(例如Mifare卡片的标签ID)。然后,过程650在步骤654中核实所述取回的电子代币是否有效。如果图6A中支持电子代币的装置636是单功能卡片(例如Mifare),则由销售点管理器623执行的所述核实过程包括:(i)读取所述卡片的卡片标识(ID),所述卡片标识保存在不受保护或仅受公知密钥保护的区域上;(ii)向销售点安全识别模块628发送包含所述卡片标识的请求;(iii)接收一个或多个由销售点安全识别模块628生成的转换后密钥〔例如用于交易计数、发行商数据等的密钥〕。如果所述接收到的一个或多个转换后密钥为无效,即所述取回的电子代币为无效,则结束过程650。否则过程650将沿着“是”分支推进至步骤656,在步骤656中将判定在所述取回的电子代币中是否有足够的余额以支付当前交易所需的费用。如果步骤656判定的结果为“否”,过程650可以选择提议所述持有者在步骤657中为其电子代币充值(即载入、注入或筹集资金)。如果所述持有者选择“否定”所述提议,则过程650结束。否则如果所述持有者同意为所述支持电子代币的装置进行实时充值,则过程650在步骤658中执行充值或虛拟充值操作。之后过程650返回步骤656。如果在电子代币中有足够的币余额,过程650在步骤660中从支持电子代币装置636的电子代币中扣除或借记完成所述购买需要支付的数额。在所述单功能卡片的情况中,所述一个或多个转换后密钥被用来授权所述扣除操作。最后在步骤662,销售点安全识别模块628中积累的一个或多个线下交易记录被上传至销售点交易处理服务器613进行处理。所述上传操作可通过蜂窝通信网络520或公共域网络521对单个交易或批量交易进行。
图4A中的过程400描述了前述的充值操作。虚拟充值操作是所述充值操作的特殊类型,通常被赞助人或捐助者用来提高电子代币的信用额度。为了能够使用虚拟充值操作,所述赞助人需要设立一个账户,并将所述账户与支持电子代币的装置(例如单功能卡片、多功能卡片、支持电子代币的便携式电话等等)绑定。例如,由商业实体(例如企业、银行等等)提供的线上账户。一旦所述赞助人向所述线上账户中充入了电子代币,支持电子代币装置的持有者便能在接入移动销售点时从所述线上账户中收到电子代币。多种不同的安全措施将被贯彻执行以确保所述虚拟充值操作是安全而且可靠的。所述虚拟充值的一个具有代表性的应用情景是父(母)亲(即赞助人)可以向一个线上账户中充入电子代币,所述线上账户与一位儿童(即设备持有人)的便携式电话(即支持电子代币的装置)相连接,因此当所述儿童在移动销售点购买物品时,所述儿童就能收到所述被充入的电子代币。除了此处描述的各种电子商务和移动商务功能以外,销售点管理器623还被设置为可提供多种查询操作,例如,(a)检查销售点安全识别模块中累积的未形成批量(即未被上传)的收支记录,(b)列出销售点安全识别模块中的未形成批量的交易日志,(c)显示保存在销售点安全识别模块中的特定交易的细节,(d)检查支持电子代币的装置的当前余额,(e)列出支持电子代币的装置的交易日志,以及(f)显示支持电子代币的装置的特定交易的细节。
图6D中的流程图,根据本发明的一个具体实施例,描绘了使用可充当移动销售点的便携设备630与作为多功能卡片使用并支持电子代币的装置636,进行移动商务的具有代表性的过程670。为了更便于理解,最好将过程670与之前的图示,尤其是图6A和图6B联系起来一同考察。所述过程670可以用软件、硬件、或软硬结合的方式实现。
当支持电子代币装置636(例如多功能卡片或支持电子钱包并模拟多功能卡片的便携式电话)的持有者希望通过移动销售点(即便携设备630)购买物品或订购服务时,过程670(例如图6A中销售点管理器623所执行的过程)便会被启动。在步骤672,过程670向支持电子代币的装置636发送初始购买请求。购买费用与所述初始购买请求(例如命令)一同发送。然后过程670进行至判定步骤674。当支持电子代币的装置636中没有足够的余额时,销售点管理器623将收到拒绝所述初始购买请求的回应消息。结果是过程670由于所述购买请求被拒绝而结束。如果支持电子代节的装置636中有足够的余额,判定步骤674的结果为“是”,过程670将沿着“是”分支进行至步骤676。从支持电子代币的装置636那里收到的回复(例如APDU命令)将被转发至销售点安全识别模块628。所述回复中的信息包括电子代币密钥的版本,以及将被用于建立安全通道的随机数,所述安全通道将连接支持电子代币的装置636上的applet程序(例如电子钱包applet)与便携设备630上安装的销售点安全识别模块628。然后,在步骤678,过程670收到由销售点安全识别模块628为了回应所述转发回复(即步骤676中的回复)而生成的借记请求(例如APDU命令)。所述借记请求包含消息识别代码(MAC,Message Authentication Code)以便applet程序〔即电子钱包applet程序〕核实即将进行的借记操作,其中所述即将进行的借记操作是为了回应步骤680中发送的借记请求而进行的。过程670推进到步骤682,收到所述借记操作的确认消息。所述确认消息中包含被销售点安全识别模块628和销售点交易处理服务器613分别用来核实和处理的附加消息识别代码。接下来在步骤684,所述借记确认消息被转发至销售点安全识别模块628以进行核实。一旦所述消息识别代码被核实为有效,并且购买交易被记录在销售点安全识别模块628中,所述被记录的交易在步骤686中被显示,然后过程670结束。需要注意的是前述电子商务交易可在线下或线上通过销售点交易处理服务器613进行。并且当支持电子代币的装置中的余额不足时,可以按照图4A和图4B中描绘的过程400执行充值或注资操作。
图7展示了便携设备被用于电子票务应用时的具有代表性的设置。便携设备730被配置为包括电子钱包724。当所述便携设备730的拥有者或持有人希望购买参加一个特定活动的票据(例如音乐会票、球赛门票等)时,所述拥有者可使用电子钱包724通过一个电子票服务提供商720购票。所述电子票服务提供商720可联系传统的票房预定系统716或线上票务应用程序710来预定和购买所述票据。之后电子代币(例如电子货币)被从便携设备730的电子钱包724中扣除,以向信用/借记系统714(例如金融机构,银行)支付票据购买费用。安全识别模块718被接入所述电子票务服务提供商720,以确保便携设备730中的电子钱包724被正确识别。在收到付款确认后,电子票通过空中连接(例如蜂窝通信网络)被传送至便携设备730,并以电子化的方式被存储在安全元件726上,例如以电子票代码、密钥或密码的方式。之后,当所述便携设备730的拥有者,即所述电子票的持有者出席所述特定活动时,所述电子票持有者只需要让入口登记读取器734读取便携设备730中保存的电子票代码或密钥。在一个具体实施例中,所述入口登记读取器734是一个非接触读取器(例如遵守ISO14443的超短距离耦合装置)。所述便携设备730是支持近距离通信(NFC)的移动电话。
现在参考图8A所示,其示出了在一个实施例中的由一个业务运行或安排的TSM所涉及的多方(multiple parties)的示意图。TSM运营团队802包括负责为用户管理账户的管理者(administration,简称admin,或称之为管理器或管理),这些用户已经通过TSM或其他任务个人化了他们的安全元件。在一个实施例中,所述TSM运营团队802包括管理所述账户的一些人,管理系统资源(比如管理HSM,创建HSM索引(index)和GP密钥映射)的一些人。此外,所述团队还负责从一个或多个SE制造者离线输入默认ISD信息。所述团队还包括被称为鉴定工程师(certification engineer)的一些人,它们负责根据应用批准流程(application approval process)与服务提供者和SE发行者合作。所述TSM销售团队804,其也被称为业务账户管理者,其负责销售和TSM的供应商(vendor)的账户管理。所述团队804中的一些成员可以只为所述SE制造者工作,一些成员可以只为所述SE发行者工作,其他人可以为多个类型的供应商工作。所述TSM合作服务团队806,也可以被称为支持工程师,其负责为TSM的供应商(比如SE发行者和服务提供者)提供技术支持。所述TSM合作服务团队806,不直接与移动用户联系,但是却可以帮助合作伙伴分析审计日志(audit logs)。所述供应商808包括SE发行者、SE制造者和服务提供者中的一个或多个。SE发行者负责安全元件的发行,并拥有所述安全元件的ISD。SE发行者与所述TSM团队一起工作,如果需要其可以为服务提供者安装额外的SSD。SE制造者,顾名思义,用来负责制造所述安全元件,并在安全元件内安装默认ISD。它也可以与TSM团队一起工作,提供这些默认的ISD密钥集。所述服务提供者负责开发NFC移动应用。来自所述服务提供者的应用示例包括但不限于交通钱包、银行电子钱包和信用卡。小服务提供者可以是提供用作房间密钥的应用的那些人。
图8B示出了在一个实施例中的TSM涉及的各方之间的相关关操作过程。所述操作的描述没有在这里详细描述以避免模糊本发明的一个实施例的重点。图8C示出了一个示例的TSM中在各方之间建立互相同意协议的工作流程。SE发行者或服务提供者要求TSM保存其GP密钥集。在一个实施例中,对于SE发行者来说,这个GP密钥集最有可能被用作ISD。对于服务提供者来说,这个GP密钥集被用作SSD。如图8C所示,创建密钥集的过程涉及在HSM中创建密钥和在TSM系统中创建映射(mapping)。所述映射的有效范围将被设置到合约失效日期(contract expiring date)。总体来讲,HSM密钥索引(key index)不能在同一时间对于多个映射有效。
当所述密钥集将要期满时,可以进行更新。所述更新流程与图8C中所示的创建过程相似。根据一个实施例,在所述密钥集期满的几个月前,所述TSM将会定期的给所述密钥集的拥有者将发送通知。一旦所述密钥集的拥有者更新所述合约,则停止所述通知。所述密钥集的拥有者可以通过创建一个工作请求或项目来开始所述更新过程。一个可靠的TSM业务账户管理者批准或拒绝所述工作项目。在接收到所述已经被批准的工作项目时,所述TSM管理者根据所述更新的合约更新所述密钥集的期满日期。
相似的,所述密钥集可以较早的期满或结束。所述结束流程与图8C所示的创建流程类似。所述密钥集拥有者可以请求在一个未来日期停止所述密钥集。所述可靠的TSM业务账户管理者将会立即核实,并批准或拒绝所述请求。所述TSM管理者设置所述映射的期满日期为指定日期。所述TSM为其他供应商再生所述HSM密钥索引。保存审计日志以记录所述交易的痕迹。
图8D示出了SE发行者和TSM之间ISD映射的数据流程。总体来说,所述ISD映射由每个SE发行者直接管理。SE发行者能够创建一个映射去绑定一个外部或内部密钥集至一个ISD密钥索引(index)。外部密钥集是未存在于与TSM相关的HSM中的密钥集,内部密钥集是存在于所述HSM中的密钥集。通常,所述SE发行者应该不需要指定默认ISD,由于默认ISD是来自所述SE制造者的。然而,如果需要,SE发行者可以选择去重写这个默认ISD。
如图8D所示,所述SE发行者为卡操作系统(Card OS)创建了一个ISD映射去绑定密钥集和ISD密钥索引(比如从1-127的范围)。如果密钥集不是不外部的,所述TSM将确保与它的HSM的密钥集映射存在。在操作时,所述SE发行者可以直接修改或删除所述ISD映射。如上文所述,SE制造者具有所述安全元件的默认ISD信息。所述TSM为SE制造者提供批量和实时方式去共享这些信息。基于与TSM的协议,所述SE制造者可以使用批量或实时方式,其已经被描述过了。
为了安全原因,所述服务提供者(service provider,简称SP)为了个人化他的应用可能希望有他们自己的SSD。所述SSD映射由SE发行者创建以绑定分配给所述服务提供者的一个密钥索引至SP密钥集。图8E示出了在TSM、SE发行者、服务提供者之间的相应数据流程。类似于所述SSD的创建,服务提供者可以请求所述SE发行者去删除一个SSD映射。所述工作流程与所述SSD创建过程基本类似。
如上文所示,服务提供者为用户提供的应用。在移动用户订购和下载一个应用前,需要批准或发布所述应用。例如,服务提供者需要提交一个应用给SE发行者和TSM以待批准。图8F示出了由SE发行者批准一个应用的数据流程。如果需要专用SSD,所述服务提供者可以如上预先请求一个SSD,或在请求中指出。在批准的应用对于普通大众可用之前,所述服务提供者或所述SE发行者可以启动所述公开过程。在所述TSM中为用户公开所述应用前,两方都必须同意。随后,通知所述供应商所述应用的日期和有效性。
在一些实例中,安全元件需要被替换。在移动用户或他的SE发行者请求时,可以替换所述安全元件。通常,为了更多服务和更大的存储空间需要更新安全元件。应当注意以下三点:
●对于这些应用,需要从老的安全元件中迁移出他们的应用状况,所述老的安全元件需要仍能被应用访问(通过TSM);
●对于不需要状态迁移的这些应用,所述TSM仅仅需要重新设置和个人化所述应用;
●然而,如果一个应用,其状态在安全元件中,但是不支持状态迁移,所述TSM不能迁移他们的状态。对于这些应用,他们将被以第二种方式对待(即,所述应用必须被重新设置和个人化)。
图8G示出了替换安全元件的流程。安全元件发行者通知TSM关于:
●SE发行者通知TSM关于SE替换请求;
●TSM与服务提供者协作以准备APDU命令,以收集在老的SE上的应用的状态;
●对于每个应用,TSM执行命令所述APDU命令以提取应用状态,并锁定所述应用;
●TSM通知移动用户去物理的改变新的安全元件。移动用户可以改变他/她的主意去撤销或返回(rollback)所述替换请求。在这个步骤之后将没有撤销或返回;
●如果它还没有被处理,TSM将更新所述默认ISD;
●与服务提供者协作,TSM将安装和个人化或配置每个应用。如果需要,TSM将为服务提供者安装所述SSD。基于所述服务提供者的静态数据和动态应用状态准备所述个人化数据。
如图9所示,其示出了个人化的安全元件的一个账户的显示屏的快照示例。如所述菜单(menu),所述账户维持(mantains)有已经个人化的安全元件的详细信息。此外,所述账户包括一系列配置的应用和安全密钥。也可以维持其他信息,比如应用拥有者(开发所述应用的人)、TSM的可靠联系、SE日志和应用日志。
本发明更适合采用软件形式实现,但也可用硬件或软硬件结合的形式实现。本发明也可被实现为计算机可读媒体上的可被计算机读取的代码。所述计算机可读媒体是任何可以保存能够被计算机系统读取的数据的数椐存储装置。计算机可读媒体的实例包括只读存储器,随机存取存储器,CD光盘(CD-ROM),数字化视频光盘(DVD),磁带,光学数据存储装置,以及载波。所述计算机可读媒体也可分布在通过网络相连的多台计算机系统中,这样所述可被计算机读取的代码将以分布式的方式存储和运行。
上述说明已经充分揭露了本发明的具体实施方式。需要指出的是,熟悉该领域的技术人员对本发明的具体实施方式所做的任何改动均不脱离本发明的权利要求书的范围。相应地,本发明的权利要求的范围也并不仅仅局限于前述具体实施方式。
Claims (19)
1.一种支持多个应用的移动装置,所述移动装置包括:
一个模拟器;
一个近场通信接口,其帮助在所述模拟器中装载和执行的一个应用和阅读器之间进行数据交换,其中在所述模拟器中装载和执行的应用是所述多个应用中的一个,在所述模拟器中装载和执行的应用能够部分或全部的被所述多个应用中的另一个替换;和
用来存储所述多个应用的存储装置,在被选择性的激活后所述多个应用中的任何一个都能够装载入所述模拟器,并随后替换在所述模拟器中的应用,其中所述移动装置将先前在所述模拟器中的应用所提供的功能更改为在所述模拟器中新装载和执行的应用所提供的功能,其中一个提供可信服务管理的服务器已经远程的配置了每个应用。
2.根据权利要求1所述的移动装置,其特征在于:其还包括一个安全元件,该安全元件已经被个人化,所述个人化过程包括:
在所述移动装置和所述服务器之间开始数据通信;
在所述服务器确定所述安全元件已注册于其上后,响应所述服务器的请求接收来自所述移动装置的安全元件的装置信息,其中所述装置信息是唯一标识所述安全元件的字符串,所述请求是使得所述移动装置从所述安全元件中提取所述装置信息的命令;和
发送一组指令使得所述移动装置接收来自指定地方的至少一密钥集,并存储于所述安全元件内,其中所述密钥集是根据所述安全元件的装置信息产生的。
3.根据权利要求2所述的移动装置,其特征在于:所述模拟器在所述安全元件中实现,所述安全元件封装于所述移动装置内或与所述移动装置分离的卡内。
4.根据权利要求3所述的移动装置,其特征在于:每个应用模拟一个非接触式卡的功能,每个非接触式卡执行与金融相关的一个功能,当在所述模拟器中装载和执行一个应用时,所述移动装置能够用作该应用模拟的非接触式卡。
5.根据权利要求4所述的移动装置,其特征在于:每个非接触式卡是Mifare非接触式卡。
6.根据权利要求5所述的移动装置,其特征在于:所述安全元件还包括一个模块,该模块提供可信Mifare服务管理,并存储多个服务对象和多个密钥索引,每个服务对象对应所述多个应用中的一个。
7.根据权利要求6所述的移动装置,其特征在于:所述移动装置进一步包括卡管理代理、只读用户界面应用和交易用户界面应用,所述卡管理代理帮助在所述安全元件中的提供可信Mifare服务管理的模块与所述提供可信服务管理的服务器之间的通讯,所述只读用户界面应用用来向一个或多个应用查询其内存储的信息但不能修改这些信息,所述交易用户界面应用执行将会修改一个或多个应用中的一个或多个区的操作。
8.根据权利要求6所述的移动装置,其特征在于:所述提供可信Mifare服务管理的模块用于:
提供一组应用程序编程接口,在用户指示时所述多个应用中的一个替换所述模拟器中的一个应用;
给所述多个应用中的一个提供一组应用程序编程接口以从其中读取一些数据;
通过安装应用密钥和应用数据至所述提供可信Mifare服务管理的模块,随后将所述多个应用中的另一个交换至所述模拟器,使得所述提供可信服务管理的服务器能够远程的配置每个应用;
通过锁定或解锁所述多个应用中的一个使得所述TSM服务器能够管理每个应用;
提供可信环境以至于一个应用提供者能修改指定的应用和该应用提供者所拥有的元数据;和
提供一种机制使得基带存储作为扩展以存储从所述模拟器换出的一些或所有应用。
9.根据权利要求2所述的移动装置,其特征在于:所述安全元件预装载有默认发行者安全域信息,根据从产生所述安全元件的一方提取的相应默认发行者安全域信息确定全部或部分更新预装载于所述安全元件中的默认发行者安全域信息。
10.根据权利要求2所述的移动装置,其特征在于:所述移动装置是智能电话、便携式电脑或智能卡。
11.根据权利要求2所述的移动装置,其特征在于:所述提供可信服务的服务器远程配置每个应用的过程包括:
接收配置安装于所述移动装置内的应用的请求,其中经由所述安全元件配置的应用是由一个应用提供者发布的;
使用密钥集与所述安全元件建立安全通道;
为进行配置的应用准备的数据,其中所述数据包括与所述应用相关的补充安全域;和
向所述应用提供者通报所述移动装置的所述应用的状态。
12.一种用于支持多个应用的移动装置的方法,所述方法包括:
在所述移动装置中分别安装多个应用,每个应用与一个物理的非接触式卡有关,以至于移动装置能够替代多个物理非接触式卡,其中所述移动装置包括:
一个模拟器;
一个近场通信接口,其帮助在所述模拟器中装载和执行的一个应用和阅读器之间进行数据交换,其中在所述模拟器中装载和执行的应用是所述多个应用中的一个,在所述模拟器中装载和执行的应用能够部分或全部的被所述多个应用中的另一个替换;和
用来存储所述多个应用的存储装置,在被选择性的激活后所述多个应用中的任何一个都能够装载入所述模拟器,并随后替换在所述模拟器中的应用,其中所述移动装置将先前在所述模拟器中的应用所提供的功能更改为在所述模拟器中新装载和执行的应用所提供的功能,其中一个提供可信服务管理的服务器已经远程的配置了每个应用。
13.根据权利要求12所述的方法,其特征在于:所述移动装置与一个安全元件相关联,所述方法还包括:
在所述移动装置和所述服务器之间开始数据通信;
在所述服务器确定所述安全元件已注册于其上后,响应所述服务器的请求接收来自所述移动装置的安全元件的装置信息,其中所述装置信息是唯一标识所述安全元件的字符串,所述请求是使得所述移动装置从所述安全元件中提取所述装置信息的命令;和
发送一组指令使得所述移动装置接收来自指定地方的至少一密钥集,并存储于所述安全元件内,其中所述密钥集是根据所述安全元件的装置信息产生的。
14.根据权利要求13所述的方法,其特征在于:所述模拟器在所述安全元件中实现,所述安全元件封装于所述移动装置内或与所述移动装置分离的卡内。
15.根据权利要求14所述的方法,其特征在于:每个物理的非接触式卡装载有一个Mifare模拟器,所述安全元件进一步包括一个模块,该模块提供可信Mifare服务管理,并存储多个服务对象和多个密钥索引,每个服务对象对应所述多个应用中的一个。
16.根据权利要求15所述的方法,其特征在于:所述移动装置进一步包括卡管理代理、只读用户界面应用和交易用户界面应用,所述卡管理代理帮助在所述安全元件中的提供可信Mifare服务管理的模块与所述提供可信服务管理的服务器之间的通讯,所述只读用户界面应用用来向一个或多个应用查询其内存储的信息但不能修改这些信息,所述交易用户界面应用执行将会修改一个或多个应用中的一个或多个区的操作。
17.根据权利要求13所述的方法,其特征在于:所述安全元件预装载有默认发行者安全域信息,根据从产生所述安全元件的一方提取的相应默认发行者安全域信息确定全部或部分更新预装载于所述安全元件中的默认发行者安全域信息。
18.根据权利要求12所述的方法,其特征在于:所述移动装置是智能电话、便携式电脑或智能卡。
19.根据权利要求12所述的方法,其特征在于:所述提供可信服务管理的服务器远程配置每个应用的过程包括:
接收配置安装于所述移动装置内的应用的请求,其中经由所述安全元件配置的应用是由一个应用提供者发布的;
使用密钥集与所述安全元件建立安全通道;
为进行配置的应用准备的数据,其中所述数据包括与所述应用相关的补充安全域;和
向所述应用提供者通报所述移动装置的所述应用的状态。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201261606451P | 2012-03-04 | 2012-03-04 | |
| US61/606,451 | 2012-03-04 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103268249A true CN103268249A (zh) | 2013-08-28 |
| CN103268249B CN103268249B (zh) | 2016-11-16 |
Family
ID=49011882
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310066708.2A Active CN103268249B (zh) | 2012-03-04 | 2013-03-02 | 在移动装置中模拟多张卡的方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103268249B (zh) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103929310A (zh) * | 2014-04-25 | 2014-07-16 | 长沙市梦马软件有限公司 | 一种手机客户端口令统一认证方法及系统 |
| CN105185002A (zh) * | 2015-09-09 | 2015-12-23 | 建亿通(北京)数据处理信息有限公司 | 移动终端、业务平台及卡片业务系统 |
| CN105553950A (zh) * | 2015-12-08 | 2016-05-04 | 金邦达有限公司 | 信息安全设备及其管理方法、管理装置和管理系统 |
| CN105592403A (zh) * | 2014-12-29 | 2016-05-18 | 中国银联股份有限公司 | 一种基于nfc的通信装置和方法 |
| TWI642009B (zh) * | 2016-07-29 | 2018-11-21 | 臺灣行動支付股份有限公司 | System and method for updating digital wallet data |
| CN109147164A (zh) * | 2017-06-16 | 2019-01-04 | 北京橙鑫数据科技有限公司 | 多卡片的安全认证方法、装置以及移动终端 |
| CN109417481A (zh) * | 2016-05-30 | 2019-03-01 | 希维利普科技有限公司 | 通过移动电话中软件虚拟非接触卡的临时密钥提高安全性 |
| US20190392424A1 (en) * | 2016-12-19 | 2019-12-26 | Xard Group Pty Ltd. | Digital transaction apparatus, system, and method with a virtual companion card |
| CN113421084A (zh) * | 2021-05-26 | 2021-09-21 | 歌尔股份有限公司 | 公交卡处理方法、装置、设备及可读存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060161878A1 (en) * | 2005-01-04 | 2006-07-20 | Rfcyber Corporation | System for developing and deploying radio frequency identification enabled software applications |
| CN101295394A (zh) * | 2007-04-23 | 2008-10-29 | 美国通宝科技有限公司 | 提供电子商务和移动商务的方法及其装置 |
| CN102057386A (zh) * | 2008-06-06 | 2011-05-11 | 电子湾有限公司 | 可信服务管理器(tsm)体系架构和方法 |
-
2013
- 2013-03-02 CN CN201310066708.2A patent/CN103268249B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060161878A1 (en) * | 2005-01-04 | 2006-07-20 | Rfcyber Corporation | System for developing and deploying radio frequency identification enabled software applications |
| CN101295394A (zh) * | 2007-04-23 | 2008-10-29 | 美国通宝科技有限公司 | 提供电子商务和移动商务的方法及其装置 |
| CN102057386A (zh) * | 2008-06-06 | 2011-05-11 | 电子湾有限公司 | 可信服务管理器(tsm)体系架构和方法 |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103929310A (zh) * | 2014-04-25 | 2014-07-16 | 长沙市梦马软件有限公司 | 一种手机客户端口令统一认证方法及系统 |
| CN105592403A (zh) * | 2014-12-29 | 2016-05-18 | 中国银联股份有限公司 | 一种基于nfc的通信装置和方法 |
| CN105592403B (zh) * | 2014-12-29 | 2020-03-31 | 中国银联股份有限公司 | 一种基于nfc的通信装置和方法 |
| CN105185002A (zh) * | 2015-09-09 | 2015-12-23 | 建亿通(北京)数据处理信息有限公司 | 移动终端、业务平台及卡片业务系统 |
| CN105185002B (zh) * | 2015-09-09 | 2018-06-12 | 建亿通(北京)数据处理信息有限公司 | 移动终端、业务平台及卡片业务系统 |
| CN105553950A (zh) * | 2015-12-08 | 2016-05-04 | 金邦达有限公司 | 信息安全设备及其管理方法、管理装置和管理系统 |
| CN109417481A (zh) * | 2016-05-30 | 2019-03-01 | 希维利普科技有限公司 | 通过移动电话中软件虚拟非接触卡的临时密钥提高安全性 |
| TWI642009B (zh) * | 2016-07-29 | 2018-11-21 | 臺灣行動支付股份有限公司 | System and method for updating digital wallet data |
| US20190392424A1 (en) * | 2016-12-19 | 2019-12-26 | Xard Group Pty Ltd. | Digital transaction apparatus, system, and method with a virtual companion card |
| CN109147164A (zh) * | 2017-06-16 | 2019-01-04 | 北京橙鑫数据科技有限公司 | 多卡片的安全认证方法、装置以及移动终端 |
| CN113421084A (zh) * | 2021-05-26 | 2021-09-21 | 歌尔股份有限公司 | 公交卡处理方法、装置、设备及可读存储介质 |
| CN113421084B (zh) * | 2021-05-26 | 2023-03-24 | 歌尔股份有限公司 | 公交卡处理方法、装置、设备及可读存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103268249B (zh) | 2016-11-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11004061B2 (en) | Method and apparatus for payments between two mobile devices | |
| CN103117856B (zh) | 在移动装置中配置应用的方法和装置 | |
| CN103186858B (zh) | 可信服务管理方法 | |
| US11018724B2 (en) | Method and apparatus for emulating multiple cards in mobile devices | |
| CN103268249B (zh) | 在移动装置中模拟多张卡的方法和装置 | |
| CN103208065A (zh) | 在移动装置中个人化安全元件的方法和装置 | |
| CN103258266A (zh) | 使用移动装置结算支付的装置和方法 | |
| FI125071B (fi) | Maksujärjestelmä | |
| CN102656599B (zh) | 移动支付应用程序体系结构 | |
| CN104106276B (zh) | 多层安全移动交易使能平台 | |
| US20130139230A1 (en) | Trusted Service Management Process | |
| CN107004195A (zh) | 数据的安全处理 | |
| US20130268437A1 (en) | Secure ecosystem infrastructure enabling multiple types of electronic wallets in an ecosystem of issuers, service providers, and acquires of instruments | |
| US20140020068A1 (en) | Limiting widget access of wallet, device, client applications, and network resources while providing access to issuer-specific and/or widget-specific issuer security domains in a multi-domain ecosystem for secure personalized transactions | |
| US20120130838A1 (en) | Method and apparatus for personalizing secure elements in mobile devices | |
| CN105719391B (zh) | 支持多个支付卡的移动装置和方法 | |
| CN103530775A (zh) | 用于提供可控的可信服务管理平台的方法和系统 | |
| CN114175076A (zh) | 数字交易处理单元的应用选择 | |
| WO2011032263A1 (en) | Mobile payment system with two-point authentication | |
| CN104272332A (zh) | 用于便携式通信设备中动态临时支付授权的系统和方法 | |
| EP2815361A1 (en) | Disposable payments cards | |
| CN106462840A (zh) | 远程交易系统、方法和销售点终端 | |
| CN103325036B (zh) | 通过不安全网络进行安全交易的移动装置 | |
| CN104966196B (zh) | 提供电子商务和移动商务的方法及其装置 | |
| Pourghomi et al. | Ecosystem scenarios for cloud-based NFC payments |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| ASS | Succession or assignment of patent right |
Owner name: SHENZHEN KEBING ASSET MANAGEMENT PARTNERSHIP (LIMI Free format text: FORMER OWNER: SHENZHEN RICH HOUSE GLOBAL TECHNOLOGY CO., LTD. Effective date: 20150116 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| COR | Change of bibliographic data |
Free format text: CORRECT: ADDRESS; FROM: 518100 SHENZHEN, GUANGDONG PROVINCE TO: 518049 SHENZHEN, GUANGDONG PROVINCE |
|
| TA01 | Transfer of patent application right |
Effective date of registration: 20150116 Address after: 518049 Guangdong Province, Shenzhen city Futian District Mei Hua Lu Shenhua science and Technology Industrial Park 1 Building 5 West 5C2 Applicant after: SHENZHEN KEBING ASSET MANAGEMENT PARTNERSHIP (LIMITED PARTNERSHIP) Address before: 518100 Guangdong city of Shenzhen province Baoan District streets Minzhi Road on the eastern side of Xinyuan two phase 27 B01 Applicant before: Rich House Global Technology Co., Ltd. |
|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |