CN105099694B - 凭证服务提供商数据在安全元件的安全域中的存储方法和系统 - Google Patents

凭证服务提供商数据在安全元件的安全域中的存储方法和系统 Download PDF

Info

Publication number
CN105099694B
CN105099694B CN201510224739.5A CN201510224739A CN105099694B CN 105099694 B CN105099694 B CN 105099694B CN 201510224739 A CN201510224739 A CN 201510224739A CN 105099694 B CN105099694 B CN 105099694B
Authority
CN
China
Prior art keywords
subsystem
voucher
data
service provider
safety element
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201510224739.5A
Other languages
English (en)
Other versions
CN105099694A (zh
Inventor
A·A·柯恩
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Apple Inc
Original Assignee
Apple Computer Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Apple Computer Inc filed Critical Apple Computer Inc
Publication of CN105099694A publication Critical patent/CN105099694A/zh
Application granted granted Critical
Publication of CN105099694B publication Critical patent/CN105099694B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • G06Q20/3821Electronic credentials
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • G06F21/335User authentication using certificates for accessing specific resources, e.g. using Kerberos tickets
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/42User authentication using separate channels for security data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/08Payment architectures
    • G06Q20/20Point-of-sale [POS] network systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/32Payment architectures, schemes or protocols characterised by the use of specific devices or networks using wireless devices
    • G06Q20/321Payment architectures, schemes or protocols characterised by the use of specific devices or networks using wireless devices using wearable devices
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/32Payment architectures, schemes or protocols characterised by the use of specific devices or networks using wireless devices
    • G06Q20/327Short range or proximity payments by means of M-devices
    • G06Q20/3278RFID or NFC payments by means of M-devices
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/36Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • G06Q20/3829Payment protocols; Details thereof insuring higher security of transaction involving key management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • H04L9/0897Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage involving additional devices, e.g. trusted platform module [TPM], smartcard or USB
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/068Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • H04W12/086Access security using security domains
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/18Processing of user or subscriber data, e.g. subscribed services, user preferences or user profiles; Transfer of user or subscriber data
    • H04W8/20Transfer of user or subscriber data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2107File encryption
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2153Using hardware token as a secondary aspect
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/34Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
    • G06Q20/355Personalisation of cards for use
    • G06Q20/3552Downloading or loading of personalisation data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/80Services using short range communication, e.g. near-field communication [NFC], radio-frequency identification [RFID] or low energy communication

Landscapes

  • Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Computer Security & Cryptography (AREA)
  • Accounting & Taxation (AREA)
  • Theoretical Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • General Business, Economics & Management (AREA)
  • Strategic Management (AREA)
  • Signal Processing (AREA)
  • Finance (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Databases & Information Systems (AREA)
  • Computing Systems (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
  • Storage Device Security (AREA)

Abstract

本公开涉及凭证服务提供商数据在安全元件的安全域中的存储方法和系统,具体而言,提供了用于在电子设备的安全元件的安全域中高效存储凭证服务提供商数据的系统、方法和计算机可读介质。在一种示例实施例中,电子设备可以包括安全元件,除其它的之外,安全元件从安全元件供应商子系统接收凭证服务提供商数据,并且利用所接收的凭证服务提供商数据加密安全元件的密钥。电子设备还可以包括向凭证服务提供商发送加密密钥的通信部件。还提供了附加的实施例。

Description

凭证服务提供商数据在安全元件的安全域中的存储方法和 系统
对相关申请的交叉引用
本申请要求于2014年5月6日提交的在先提交美国临时专利申请No.61/989,209的权益,其全部内容通过引用被结合于此。
技术领域
本公开内容涉及凭证服务提供商数据在安全元件的安全域中的存储并且,更具体而言,涉及凭证服务提供商数据在电子设备的安全元件的安全域中的高效存储。
背景技术
便携式电子设备(例如,蜂窝电话)可以具有近场通信(“NFC”)部件,用于启用与另一实体非接触的基于接近性的通信。这些通信常常与要求电子设备访问并共享之前在该设备上储备(provision)的商务凭证,诸如信用卡凭证或公交车票凭证,的财务交易或其它安全数据交易相关联。但是,这种商务凭证在电子设备上的储备常常是不安全或低效的。
发明内容
本文档描述了用于在能够进行近场通信和/或其它无线通信的电子设备的安全元件的安全域中高效存储凭证服务提供商数据的系统、方法和计算机可读介质。
例如,方法可以包括,在事件之前,在电子设备的安全域中存储凭证服务提供商数据。该方法还可以包括,在该事件之后,利用所存储的凭证服务提供商数据在安全域与凭证服务提供商之间建立安全通信信道。事件可以包括终端用户实现对电子设备的访问和生成对在安全域上储备凭证服务提供商的凭证的请求当中至少一个。
作为另一个例子,电子设备可以与安全元件供应商子系统和凭证服务提供商通信。电子设备可以包括安全元件,该安全元件从安全元件供应商子系统接收凭证服务提供商数据并且利用所接收到的凭证服务提供商数据加密安全元件的密钥。电子设备还可以包括向凭证服务提供商发送加密的密钥的通信部件。
作为还有另一个例子,方法可以包括在电子设备的安全元件的第一安全域中储备凭证服务提供商的凭证并且,响应于所述储备,创建该安全元件的第二安全域。
作为还有另一个例子,安全元件供应商系统可以与电子设备通信。安全元件供应商系统可以包括至少一个处理器部件、至少一个存储器部件以及至少一个通信部件。安全元件供应商系统访问来自凭证服务提供商的凭证服务提供商数据、基于被访问的凭证服务提供商数据向安全元件发送信息,并且把安全元件提供给在电子设备上结合该安全元件的商业实体子系统。
作为还有另一个例子,非临时性计算机可读介质可以包括记录在其上的计算机可读指令,所述指令用于,在事件之前,在电子设备的安全域中存储凭证服务提供商数据并且,在该事件之后,发送利用来自电子设备的凭证服务提供商数据加密的信息。事件可以包括终端用户实现对电子设备的访问和生成对在安全域上储备凭证的请求当中至少一个。
本发明内容的提供仅仅是为了概述一些示例实施例,从而提供对本文档中所述主题的一些方面的基本理解。因而,应当认识到,本发明内容中所描述的特征仅仅是例子并且不应当以任何方式被认为是缩小本文所描述的主题的范围或精神。本文所描述的主题的其它特征、方面和优点将从以下具体实施方式、附图说明和权利要求变得明显。
附图说明
以下讨论参考以下附图,其中相同的标号贯穿全文可以指相同的部分,并且其中:
图1是用于在电子设备的安全元件的安全域中存储凭证服务提供商数据的说明性系统的示意图;
图2是图1系统的电子设备的更详细示意图;
图3是图1和2的电子设备的正面视图;
图4是图1-3的电子设备的另一更详细示意图;及
图5-7是用于在电子设备的安全元件的安全域中存储凭证服务提供商数据的说明性过程的流程图。
具体实施方式
在包括安全元件的电子设备被终端用户现场使用之前(例如,当安全元件处于被终端用户拥有并使用的电子设备中时,在将来自特定凭证服务提供商的凭证储备在特定安全域中之前),与那个特定凭证服务提供商(例如,支付网络,诸如MasterCard或Visa)关联的凭证服务提供商数据(例如,公钥)可以存储在该安全元件的那个特定安全域(例如,辅助安全域(“SSD”))中。例如,这种凭证服务提供商数据可以由安全元件供应商子系统在安全元件初始化期间和/或由可以制造具有该安全元件的电子设备的商业实体子系统提供给安全元件的特定安全域。在一些实施例中,在包括安全元件的电子设备被终端用户现场使用之前,一定量的数据,在本文中可以被称为“数据BLOB”或仅仅称为“BLOB”,可以被生成和/或存储在该安全元件的特定安全域中。例如,这种BLOB可以包括至少一个可以利用凭证服务提供商数据(例如,与特定凭证服务提供商关联的公钥)加密或以别的方式由其变换的SSD密钥(例如,板载或者以其它方式专门为特定的安全域生成的密钥)。通过在安全元件被电子设备的终端用户现场使用之前把这种BLOB存储在那个安全元件的特定安全域中,在那个安全域中储备新凭证所需的时间量可以减少和/或为了在那个安全域中储备新凭证而需要由安全元件传送的信息量可以减少。在一些实施例中,一旦凭证在安全元件的预先存在的安全域中储备,新的安全域就可以在该安全元件中自动生成,其中这种新的安全域可以被生成为包括BLOB,并且其中这种BLOB可以包括可以利用凭证服务提供商数据加密或以别的方式由其变换的SSD密钥数据,其中凭证服务提供商数据还与最近利用所储备的凭证个性化的预先存在的安全域关联。
图1示出了系统1,其中凭证服务提供商数据可以由安全元件供应商子系统450(例如,与商业实体子系统400协同)存储在电子设备100的安全元件的安全域中,以便使得金融机构子系统350能够在电子设备100上安全储备一个或多个凭证(例如,与商业实体子系统400协同),并且其中这种凭证可以被电子设备100用来与商家子系统200和关联的收单银行子系统300进行商业交易。图2-4示出了关于系统1的电子设备100的特定实施例的更多细节,而图5-7是用于在系统1的语境下在电子设备100的安全元件的安全域中存储凭证服务提供商数据的说明性过程的流程图。
图1、图2、图3和图4的描述
图1是说明性系统1的示意图,该说明性系统1可以允许凭证服务提供商数据存储在电子设备的安全元件的安全域中。例如,如图1中所示,系统1可以包括终端用户电子设备100以及商业实体子系统400和用于在电子设备100的安全元件的安全域中存储凭证服务提供商数据的安全元件供应商子系统450。而且,如图1中所示,系统1还可以包括用于在电子设备100上安全地储备凭证(例如,经商业实体子系统400)的金融机构子系统350。而且,如图1中所示,系统1还可以包括用于基于这种储备的凭证从电子设备100接收非接触的基于接近性的通信15(例如,近场通信)的商家子系统200,以及可以利用这种非接触的基于接近性的通信15来完成与金融机构子系统350的交易的收单银行子系统300。
如图2中所示,并且如以下更详细描述的,电子设备100可以包括处理器102、存储器104、通信部件106、电源108、输入部件110、输出部件112、天线116以及近场通信(“NFC”)部件120,其中输入部件110和输出部件112有时候可以是单个I/O部件或I/O接口114,诸如触摸屏,它可以通过用户对显示屏的触摸接收输入信息并且还可以经那个相同的显示屏向用户提供可视信息。电子设备100还可以包括可以提供一条或多条有线或无线通信链路或路径的总线118,用于向设备100的各种其它部件、从这些部件或者在这些部件之间传送数据和/或功率。电子设备100还可以具有可以至少部分地封住设备100的部件中一个或多个的外壳101,来保护这些部件不受设备100外部的碎屑和其它退化力影响。处理器102可以用来运行一个或多个应用,诸如应用103和/或应用113。应用103和113当中每一个可以包括,但不限于,一个或多个操作系统应用、固件应用、媒体重放应用、媒体编辑应用、通信应用、NFC应用、生物统计特征处理应用或者任何其它合适的应用。例如,处理器102可以加载应用103/113,作为用户接口程序,以确定经输入部件110或设备100的其它部件接收的指令或数据如何可以操纵信息可以被存储和/或经输出部件112提供给用户的方式。作为一个例子,应用103可以是操作系统应用,而应用113可以是第三方应用(例如,与商家子系统200的商家关联的应用和/或与金融机构子系统350的金融机构关联的应用和/或由商业实体子系统400生成和/或维护的应用)。
NFC部件120可以是任何合适的基于接近性的通信机制,该机制可以在电子设备100与商家子系统200(例如,商家子系统200的商家支付终端220)之间启用任何合适的非接触的基于接近性的交易或通信15。NFC部件120可以包括用于在电子设备100与子系统200之间启用非接触的基于接近性的通信15的任何合适模块。如图2中所示,例如,NFC部件120可以包括NFC设备模块130、NFC控制器模块140以及NFC存储器模块150。NFC设备模块130可以包括NFC数据模块132、NFC天线134以及NFC放大器136。NFC控制器模块140可以包括至少一个可以被用来运行一个或多个应用的NFC处理器模块142,其中的应用诸如NFC低功率模式应用或钱包应用或帮助规定NFC部件120的功能的密码应用143。NFC存储器模块150可以协同NFC设备模块130和/或NFC控制器模块140一起操作,以允许电子设备100与商家子系统200之间的NFC通信15。NFC存储器模块150可以是防篡改的并且可以提供安全元件145的至少一部分(见例如图4)。例如,这种安全元件145可以配置为根据规则和/或安全需求提供能够安全托管应用以及它们的秘密和密码数据(例如,applet 153和密钥155)的防篡改平台(例如,作为单或多芯片安全微控制器),其中规则和/或安全需求可以由一组良好识别的可信任的权威机构(例如,金融机构子系统350的权威机构和/或行业标准,诸如GlobalPlatform)阐述。
如图2和4中所示,NFC存储器模块150可以包括发行商安全域(“ISD”)152、至少一个辅助安全域(“SSD”)154(例如,服务提供商安全域(“SPSD”)、可信任的服务管理者安全域(“TSMSD”)等)和控制权威机构安全域(“CASD”)158当中一个或多个,其中这些安全域当中一个或多个可以由NFC规范标准(例如,GlobalPlatform)定义和管理。例如,ISD 152可以是NFC存储器模块150的一部分,其中可信任的服务管理器(“TSM”)或者发行金融机构(例如,商业实体子系统400和/或金融机构子系统350)可以存储用于在电子设备100上(例如,经通信部件106)创建或以别的方式储备一个或多个凭证(例如,与各种信用卡、银行卡、礼品卡、门禁卡、交通卡等关联的商务凭证)的密钥和/或其它合适信息,用于凭证内容管理和/或用于安全域管理。例如,如图4中所示,并且如以下关于图5更详细描述的,ISD 152可以包括一个或多个也可以被称为与那个安全域(例如,商业实体子系统400,如图1中所示)关联的可信任服务管理器的ISD密钥(例如,至少一个ISD密钥156)。
具体的辅助安全域(“SSD”)154可以与特定的TSM(例如,特定的金融机构子系统350)和至少一个具体的商务凭证(例如,具体的信用卡凭证或具体的公交卡凭证)关联,其中商务凭证可以向电子设备100提供具体的特权或支付权限。每个SSD 154可以具有其自己的SSD密钥模块155以及至少一个其自己的与特定商务凭证关联的凭证应用或凭证applet或applet模块153(例如,Java卡applet实例)。例如,如图4中所示,并且如以下关于图5更详细描述的,安全元件145可以包括至少三个SSD 154(例如,第一SSD 154-1、第二SSD 154-2、第三SSD 154-3),每个SSD可以包括SSD密钥模块155(例如,第一SSD 154-1的SSD密钥模块155-1、第二SSD 154-2的SSD密钥模块155-2和第三SSD 154-3的SSD密钥模块155-3)和applet模块153(例如,第一SSD 154-1的applet模块153-1、第二SSD 154-2的applet模块153-2和第三SSD 154-3的applet模块153-3)。每个SSD密钥模块155可以配置为包括和/或可以配置为生成和/或可以配置为访问至少一个SSD密钥155a(例如,第一SSD 154-1的SSD密钥模块155-1的SSD密钥155a-1、第二SSD 154-2的SSD密钥模块155-2的SSD密钥155a-2和第三SSD 154-3的SSD密钥模块155-3的SSD密钥155a-3)和/或至少一个服务提供商公钥(“SP-PK”)355b(例如,第一SSD 154-1的SSD密钥模块155-1的SP-PK 355b-1、第二SSD 154-2的SSD密钥模块155-2的SP-PK 355b-2和第三SSD 154-3的SSD密钥模块155-3的SP-PK355b-3)。此外或者作为替代,而且,例如,如图4中所示,并且如以下关于图5更详细描述的,每个SSD密钥模块155可以配置为包括和/或可以配置为生成和/或可以配置为访问至少一个BLOB 155b(例如,第一SSD 154-1的SSD密钥模块155-1的BLOB 155b-1、第二SSD 154-2的SSD密钥模块155-2的BLOB 155b-2和第三SSD 154-3的SSD密钥模块155-3的BLOB 155b-3)。而且,例如,如图4中所示,并且如以下关于图5更详细描述的,每个凭证applet模块153可以用其自己的applet数据153d(例如,第一SSD 154-1的applet模块153-1的applet数据153d-1、第二SSD 154-2的applet模块153-2的applet数据153d-2和第三SSD 154-3的applet模块153-3的applet数据153d-3)填充,其中凭证applet模块153可能需要被激活,以便使其关联的商务凭证被NFC设备模块130用作电子设备100和商家子系统200之间的NFC通信15。
CASD 158可以是专用安全域,它可以配置为充当值得信任的第三方元件上根(on-element root)。关联的应用可以配置为提供元件上秘密密钥的生成,作为针对其它应用和针对具体管理层(例如,GlobalPlatform管理层)的全局服务。可以在CASD 158中使用的秘密密钥素材可以配置为使得其不能被任何实体——包括安全元件145的发行商——检查或修改。例如,如图4中所示,并且如以下关于图5更详细描述的,CASD 158可以配置为包括和/或可以配置为生成CASD私钥(“CASD-SK”)158a、CASD公钥(“CASD-PK”)158b和/或CASD证书(“CASD-Cert.”)158c。
如图3中所示,并且如以下更详细描述的,电子设备100的具体例子可以是手持式电子设备,诸如iPhoneTM,其中外壳101可以允许对各种输入部件110a-110i、各种输出部件112a-112c以及各种I/O部件114a-114d的访问,通过这些部件,设备100和用户和/或外界环境可以彼此接口。例如,触摸屏I/O部件114a可以包括显示输出部件112a和关联的触摸输入部件110f,其中显示输出部件112a可以被用来显示可视或图形用户接口(“GUI”)180,该GUI可以允许用户与电子设备100交互。GUI 180可以包括可在显示输出部件112a的全部或一些区域中显示的各种层、窗口、屏幕、模板、元素、菜单和/或当前运行的应用(例如,应用103和/或应用113和/或应用143)的其它部件。例如,如图3中所示,GUI 180可以配置为显示具有GUI 180的一个或多个图形元素或图标182的第一屏幕190。当具体的图标182被选择时,设备100可以配置为打开与那个图标182关联的新应用并且显示与那个应用关联的GUI 180的对应屏幕。例如,当利用“设置助手”文本指示符181标记的具体图标182(即,具体的图标183)被选择时,设备100可以启动或以别的方式访问具体的设置应用并且可以显示可以包括一个或多个工具或特征的具体用户接口的屏幕,其中的工具或特征用于根据那个应用以具体的方式与设备100交互。作为另一个例子,当利用“Passbook(银行存折)”文本指示符181标记的具体图标182(即,具体的图标184)被选择时,设备100可以启动或以别的方式访问具体的“Passbook”或“钱包”应用并且可以显示可以包括一个或多个工具或特征的具体用户接口的屏幕,其中的工具或特征用于根据那个应用以具体的方式与设备100交互。
回过头来参考图1的系统1,商家子系统200可以包括用于检测、读取或者以别的方式从电子设备100接收NFC通信15的阅读器或终端220(例如,当电子设备100在终端220的某个距离或接近性D时)。因而,应当指出,商家终端220与电子设备100之间的NFC通信15可以无线地发生并且,因此,可能不需要相应设备之间的明确“视线”。NFC设备模块130可以是被动的或者主动的。当是被动的时候,NFC设备模块130可以只在处于商家子系统200的合适终端220的响应范围D之内时才被激活。例如,商家子系统200的终端220可以发射相对低功率的无线电波场,该波场可以被用来给由NFC设备模块130使用的天线(例如,共享的天线116或特定于NFC的天线134)供电并且,由此,使得天线能够经NFC数据模块132、经天线116或天线134向商家子系统200的终端220发送合适的NFC通信信息(例如,信用卡凭证信息,诸如可以由被激活/启用的applet 153的applet数据153d提供的),作为NFC通信15。当是主动的时候,NFC设备模块130可以结合或以别的方式访问在电子设备100本地的电源(例如,电源108),这可以使共享的天线116或特定于NFC的天线134能够经NFC数据模块132、经天线116或天线134向商家子系统200的终端220主动发送合适的NFC通信信息(例如,信用卡凭证信息,诸如可以由被激活/启用的applet 153的applet数据153d提供的),作为NFC通信15,而不是像在被动NFC设备模块130的情况下那样反射射频信号。而且如图1中所示,并且如以下更详细描述的,商家子系统200还可以包括可以与电子设备100的处理器部件102相同或相似的商家处理器部件202、可以与电子设备100的应用103/113相同或相似的商家应用203、可以与电子设备100的通信部件106相同或相似的商家通信部件206、可以与电子设备100的I/O接口114相同或相似的商家I/O接口214、可以与电子设备100的总线118相同或相似的商家总线218、可以与电子设备100的存储器部件104相同或相似的商家存储器部件(未示出),和/或可以与电子设备100的电源部件108相同或相似的商家电源部件(未示出)。
当NFC部件120被适当启用和激活以便向商家子系统200传送具有与设备100的被启用凭证关联的商务凭证数据(例如,商务凭证数据,诸如可以由NFC部件120的SSD 154的被激活/启用applet 153的applet数据153d提供的)的NFC通信15时,收单银行子系统300可以利用NFC通信15的这种商务凭证数据完成与金融机构子系统350的商业或金融交易。金融机构子系统350可以包括至少一个支付网络子系统360(例如,支付卡关联或信用卡关联)和/或至少一个发行银行子系统370。例如,发行银行子系统370可以是对消费者偿还他们利用具体凭证招致的债务的能力承担主要义务的金融机构。每个具体的凭证可以与电子链接到特定用户的一个或多个账户的具体支付卡关联。各种类型的支付卡可以是合适的,包括信用卡、借记卡、支票卡、储值卡、车队卡、礼品卡,等等。具体支付卡的商务凭证可以由发行银行子系统370储备在电子设备100上,供在与商家子系统200的NFC通信15中使用。每个凭证可以是可由支付网络子系统360打上印记的具体品牌的支付卡。支付网络子系统360可以是可以处理具体品牌支付卡(例如,商务凭证)的使用的各个发行银行370和/或各个收单银行的网络。作为替代或者附加地,可以在设备100上储备供商业或金融交易使用的某些凭证可以电子链接到或以别的方式与特定用户的一个或多个账户关联,但是不与任何支付卡关联。例如,用户的银行账户或其它金融账户可以与在设备100上储备的凭证关联,但是可以不与任何支付卡关联。
支付网络子系统360和发行银行子系统370可以是单个实体或者单独的实体。例如,美国运通卡(American Express)可以既是支付网络子系统360又是发行银行子系统370。相反,Visa和MasterCard可以是支付网络子系统360,并且可以与发行银行子系统370,诸如大通(Chase)、富国银行(Wells Fargo)、美国银行(Bank of America)等,合作。金融机构子系统350可以包括至少两个支付网络子系统360(为了清晰,可以在图1中只示出一个支付网络子系统360),其中每个支付网络子系统360可以与两个或更多个发行银行子系统370合作。作为替代,系统1可以包括两个或更多个不同的金融机构子系统350(为了清晰,可以在图1中只示出一个金融机构子系统350),其中每个金融机构子系统350可以包括特定的支付网络子系统360并且还可以包括至少一个与那个特定的支付网络子系统360合作的发行银行子系统370。作为替代或者附加地,金融机构子系统350还可以包括一个或多个收单银行,诸如收单银行子系统300。例如,收单银行子系统300可以是与发行银行子系统370相同的实体。收单银行子系统300的一个、一些或全部部件可以利用一个或多个可以与设备100的处理器部件102相同或相似的处理器部件、一个或多个可以与设备100的存储器部件104相同或相似的存储器部件和/或一个或多个可以与设备100的通信部件106相同或相似的通信部件实现。支付网络子系统360的一个、一些或全部部件可以利用一个或多个可以与设备100的处理器部件102相同或相似的处理器部件、一个或多个可以与设备100的存储器部件104相同或相似的存储器部件和/或一个或多个可以与设备100的通信部件106相同或相似的通信部件实现。发行银行子系统370的一个、一些或全部部件可以利用一个或多个可以与设备100的处理器部件102相同或相似的处理器部件、一个或多个可以与设备100的存储器部件104相同或相似的存储器部件和/或一个或多个可以与设备100的通信部件106相同或相似的通信部件实现。
为了方便系统1中的交易,一个或多个商务凭证可以在电子设备100上储备。如图1中所示,商业实体子系统400可以在系统1中提供,其中商业实体子系统400可以配置为,当确定是否在设备100上储备来自金融机构子系统350的凭证时,提供新的安全层和/或提供更无缝的用户体验。商业实体子系统400可以由可为设备100的用户提供各种服务的具体的商业实体提供。仅仅作为一个例子,商业实体子系统400可以由位于加州Cupertino的Apple公司提供,其中Apple公司也可以是给设备100的用户的各种服务的提供商(例如,用于销售/租赁要由设备100播放的媒体的iTunesTM Store、用于销售/租赁要在设备100上使用的应用的Apple App StoreTM、用于存储来自设备100的数据的Apple iCloudTM Service、用于在线购买各种Apple产品的Apple Online Store等),并且Apple公司还可以是设备100本身的提供商、制造商和/或开发商(例如,当设备100是iPodTM、iPadTM、iPhoneTM等时)。此外或者作为替代,商业实体子系统400可以由网络运营商(例如,移动网络运营商,诸如Verizon或AT&T,它们可以与设备100的用户有关系(例如,作为用于经某个通信路径和/或利用某个通信协议启用与设备100的数据通信的数据计划的提供商))提供。
可以提供、管理或至少部分地控制商业实体子系统400的商业实体还可以为不同用户提供他们自己的个性化账户,以便使用那个商业实体提供的服务。关于商业实体的每个用户帐户可以与具体个性化的用户ID和口令关联,用户可以使用该用户ID和口令登录他们关于该商业实体的账户。关于商业实体的每个用户帐户可以与至少一个商务凭证关联或者可以访问其,然后该凭证可以被用户用于购买由该商业实体提供的服务或产品。例如,每个Apple ID用户帐户可以与和那个Apple ID关联的用户的至少一个信用卡关联,使得该信用卡随后可以被那个Apple ID账户的用户用于从Apple的iTunesTM Store、Apple AppStoreTM、Apple iCloudTM Service等获取服务。可以提供、管理或至少部分地控制商业实体子系统400的商业实体(例如,Apple公司)可以与金融机构子系统350的任何金融机构不同且独立。例如,可以提供、管理或至少部分地控制商业实体子系统400的商业实体可以与任何支付网络子系统360和/或与任何发行银行子系统370不同且独立,其中支付网络子系统360和/或发行银行子系统370可以供给(furnish)和/或管理与商业实体的用户帐户关联的任何信用卡或其它商务凭证。类似地,可以提供、管理或至少部分地控制商业实体子系统400的商业实体可以与任何支付网络子系统360和/或与任何发行银行子系统370不同且独立,其中支付网络子系统360和/或发行银行子系统370可以供给和/或管理要在用户设备100上储备的任何商务凭证。这种商业实体可以充分利用已知的与其每个用户帐户关联的商务凭证信息和/或商业实体子系统400可以关于设备100确定的任何合适信息,以便利用商业实体子系统400更安全地确定由金融机构子系统350提供的具体凭证是应该在用户设备100上储备还是应该从其除去。此外或者作为替代,这种商业实体可以充分利用其配置或控制设备100的各种部件(例如,当商业实体至少部分地生产或管理设备100时,设备100的软件和/或硬件部件)的能力,以便在设备100的用户想在设备100上储备由金融机构子系统350提供的凭证或者从其除去凭证时为他或她提供更无缝的用户体验。
商业实体子系统400可以是安全平台系统并且,虽然在图1中没有示出,但是商业实体子系统400可以包括安全移动平台(“SMP”)代理(broker)部件、SMP可信任的服务管理器(“TSM”)部件、SMP密码服务部件、身份管理系统(“IDMS”)部件、欺诈系统部件、硬件安全模块(“HSM”)部件和/或存储部件,如以下更详细描述的。商业实体子系统400的一个、一些或全部部件可以利用一个或多个可以与设备100的处理器部件102相同或相似的处理器部件、一个或多个可以与设备100的存储器部件104相同或相似的存储器部件和/或一个或多个可以与设备100的通信部件106相同或相似的通信部件实现。商业实体子系统400的一个、一些或全部部件可以由与金融机构子系统350不同且独立的单个商业实体(例如,Apple公司)管理、所有、至少部分地控制和/或以别的方式提供。商业实体子系统400的部件可以彼此交互并且总起来与金融机构子系统350和电子设备100交互,用于在设备100上储备凭证时提供新的安全层和/或用于提供更无缝的用户体验。
第三方供应商可以生成可以在设备100上储备的安全元件的至少一部分。如图1中所示,安全元件供应商子系统450可以在系统1中提供,其中安全元件供应商子系统450可以配置为(例如,由设备100的大部分,诸如商业实体子系统400,的制造商(例如,Apple公司))制造安全元件145的至少一部分,其随后可以作为电子设备100的一部分被嵌入或以别的方式被包括。安全元件供应商子系统450可以由可以向设备100的制造商提供各种服务和/或产品的具体供应商实体提供。仅仅作为一个例子,安全元件供应商子系统450可以由位于荷兰Eindhoven的NXP Semiconductor提供。安全元件供应商子系统450可以是安全平台系统并且,虽然没有在图1中示出,但是安全元件供应商子系统450可以包括安全移动平台(“SMP”)代理部件、SMP可信任服务管理器(“TSM”)部件、SMP密码服务部件、身份管理系统(“IDMS”)部件、欺诈系统部件、硬件安全模块(“HSM”)部件和/或存储部件,如以下更详细描述的。安全元件供应商子系统450的一个、一些或全部部件可以利用一个或多个可以与设备100的处理器部件102相同或相似的处理器部件、一个或多个可以与设备100的存储器部件104相同或相似的存储器部件和/或一个或多个可以与设备100的通信部件106相同或相似的通信部件实现。安全元件供应商子系统450的一个、一些或全部部件可以由可以与管理、所有、至少部分地控制和/或以别的方式提供商业实体子系统400的实体(例如,Apple公司)不同且独立的单个供应商实体(例如,NXP Semiconductor)管理、所有、至少部分地控制和/或以别的方式提供。在其它实施例中,安全元件供应商子系统450的一个、一些或全部部件可以由商业实体子系统400的至少一部分管理、所有、至少部分地控制和/或以别的方式提供。此外或者作为替代,安全元件供应商子系统450的一个、一些或全部部件可以由可以与管理、所有、至少部分地控制和/或以别的方式提供金融机构子系统350的实体不同且独立的单个供应商实体管理、所有、至少部分地控制和/或以别的方式提供。安全元件供应商子系统450的部件可以彼此交互并且总起来与商业实体子系统400、金融机构子系统350和/或电子设备100交互,用于准备安全元件145的至少一部分以在电子设备100上使用。
图5的描述
图5是用于在电子设备的安全元件的安全域中存储凭证服务提供商数据的说明性过程500的流程图。过程500示为由图1-4的系统1的各种元件(例如,电子设备100、金融机构子系统350、商业实体子系统400和安全元件供应商子系统450)实现。但是,应当理解,过程500可以利用任何其它合适的部件或子系统实现。
过程500可以在步骤502开始,其中发行商-供应商数据552可以在电子设备上提供。例如,如图4中所示,具有至少一个ISD密钥156的ISD 152可以在电子设备100的NFC部件120的安全元件145上通过发行商-供应商数据552的至少一部分(例如,来自安全元件供应商子系统450和/或来自商业实体子系统400的数据)提供,其中这种发行商-供应商数据552可以被NFC部件120用于最初配置安全元件145来管理由远程子系统的储备在安全元件145上的一个或多个商务凭证。ISD密钥156还可以保持让商业实体子系统400可访问(例如,ISD密钥156的拷贝可以存储在商业实体子系统400上或者以别的方式被其访问,如图1中所示)。ISD密钥156可以是私有的并且对ISD 152和商业实体子系统400是已知的,但是不是其它部件或实体可公开访问的。在这种实施例中,要在安全元件145和商业实体子系统400之间传送的更多数据(例如,以下描述的数据566、数据568、数据572、数据576和/或数据578)可以首先利用ISD密钥156加密,使得加密的数据不能让私下不知道(not privy to)ISD密钥156的任何实体(例如,除1SD 152和商业实体子系统400之外的任何实体)访问。商业实体子系统400可以被认为是安全元件发行商信任的服务管理者(“SEI-TSM”),并且这种发行商-供应商数据552的至少一部分可以由商业实体子系统400经图1的通信路径65提供给电子设备100。例如,如图1和4中所示,电子设备100的通信部件106可以配置为经任何合适的通信路径65利用任何合适的通信协议与商业实体子系统400传送这种发行商-供应商数据552。作为替代或者附加地,这种发行商-供应商数据552的至少一部分可以由安全元件供应商子系统450经图1的通信路径85提供给电子设备100的安全元件145。例如,如图1和4中所示,电子设备100可以配置为经任何合适的通信路径85利用任何合适的通信协议与安全元件供应商子系统450传送这种发行商-供应商数据552,其中这种发行商-供应商数据552的至少一部分可以利用任何合适的通信协议经图1的任何合适的通信路径75从商业实体子系统400提供给安全元件供应商子系统450。
过程500还可以包括步骤504,其中控制权威机构安全域(“CASD”)数据554可以在电子设备上提供。例如,CASD 158可以由CASD数据554的至少一部分在电子设备100的NFC部件120的安全元件145上提供,其中CASD 158可以配置为包括和/或可以配置为生成CASD私钥(“CASD-SK”)158a、CASD公钥(“CASD-PK”)158b和/或CASD证书(“CASD-Cert.”)158c。CASD158可以被NFC部件120用作专用安全域,它可以配置为充当值得信任的第三方元件上根,并且关联的应用(例如,CASD证书158c)可以配置为向其它应用和向具体的管理层(例如,GlobalPlatform管理层)提供元件上秘密密钥生成,作为全局服务。可以在CASD 158中使用的秘密密钥素材可以配置为使得CASD 158不能由某些实体检查或修改,包括安全元件145的发行商(例如,商业实体子系统400和/或安全元件供应商子系统450)。例如,CASD数据554可以被可信任的第三方(未示出),诸如任何合适的控制权威机构(“CA”),引入安全元件145,其中由CASD数据554提供的CASD 158可以配置为符合任何合适标准的规范(例如,其全部内容通过引用被结合于此的“GlobalPlatform′s Card Specification Version 2.2”)。在一些实施例中,CASD数据554的至少一部分或全部(例如,CASD私钥(“CASD-SK”)158a、CASD公钥(“CASD-PK”)158b和/或CASD证书(“CASD-Cert.”)158c当中至少一个或多个)可以由安全元件供应商子系统450在安全元件145上提供,这可以在安全元件145与其它部件(例如,处理器102)组合以便(例如,由作为设备制造商的商业实体子系统400)构成电子设备100之前进行。CASD 158可以配置为在具有独立服务接口的安全元件145上提供服务提供商安全域(“SPSD”),这可以包括证书认证、签名、数据解密等等。例如,如下所述,SSD 154可以是可以由作为那个SSD 154的服务提供商的金融机构子系统350控制或以别的方式管理的SPSD,使得金融机构子系统350可以被认为是用于那个SSD 154的服务提供商信任的服务管理者(“SP-TSM”)。
在安全元件145可在设备100上储备之前或之后,CASD数据554可以在步骤504在安全元件145上储备。此外或者作为替代,在发行商-供应商数据552在步骤502可在安全元件145上储备之前、至少与其部分并发地或者之后,CASD数据554可以在步骤504在安全元件145上储备。例如,在任何BLOB数据在安全元件145上提供或以别的方式生成之前,CASD-SK158a可以在安全元件145上储备。在一些实施例中,CASD数据554可以经商业实体子系统400在设备100的安全元件145上储备,其中CASD数据554可以首先由商业实体子系统400利用ISD密钥156加密,使得加密的CASD数据554不能被私下不知道这种ISD密钥的任何实体(例如,除ISD 152和商业实体子系统400之外的任何实体)访问。在这种实施例中,CASD数据554可以经图1的通信路径65由商业实体子系统400提供给电子设备100。例如,如图1和4中所示,电子设备100的通信部件106可以配置为经任何合适的通信路径65利用任何合适的通信协议经商业实体子系统400接收这种CASD数据554,其中加密的CASD数据554可以提供给ISD152、利用ISD密钥156解密,然后作为CASD 158存储在安全元件145上。作为替代,CASD数据158可以至少部分地被安全元件供应商子系统450注入安全元件145(例如,在步骤502作为发行商-供应商数据的一部分,诸如作为在步骤504的替代)。
类似地,过程500还可以包括步骤505,其中CASD数据554和/或任何其它合适的CA数据的至少一部分可以提供给金融机构子系统350,作为控制权威机构服务提供商(“CASP”)数据555。例如,就像CASD数据554,CASP数据555可以配置为包括和/或可以配置为在金融机构子系统350(图1中未示出)生成CASP私钥(“CASP-SK”)、CASP公钥(“CASP-PK”)和/或CASP证书(“CASP-Cert.”)。CASP数据555可以在步骤505被可信任的第三方(未示出),诸如任何合适的控制权威机构(“CA”),引入金融机构子系统350,其中第三方可以与在步骤504把CASD数据554引入安全元件145的一方相同。在安全元件145可在设备100上储备之前或之后,CASP数据555可以在步骤505被引入金融机构子系统350。附加地或者作为替代,在CASD数据554可在步骤504在安全元件145上储备之前、至少与其部分并发地或者之后,CASP数据555可以在步骤505被引入金融机构子系统350。CASP数据555可以配置为符合任何合适标准的规范(例如,其全部内容通过引用被结合于此的“GlobalPlatform′s CardSpecification Version 2.2”)。CASP数据555可以被金融机构子系统350使用来使金融机构子系统350能够认证、签名、去除签名、编码、解码、加密、解密和/或以别的方式安全地变换要在金融机构子系统350与电子设备100的安全元件145之间传送的任何数据,而CASD数据554可以类似地被电子设备100的安全元件145使用来使电子设备100能够认证、签名、去除签名、加密、解密和/或以别的方式安全地变换要在金融机构子系统350与电子设备100的安全元件145之间传送的任何数据,使得安全元件145与金融机构子系统350之间所传送的数据可以受到保护,从而不被商业实体子系统400或任何其它可能作为这种传送数据的管道而被依赖的实体滥用。
附加地或者作为替代,过程500还可以包括步骤506,其中CASD数据554和/或任何其它合适的CA数据的至少一部分可以提供给商业实体子系统400,作为控制权威机构服务提供商(“CASP”)数据556。例如,就像CASD数据554,CASP数据556可以配置为包括和/或可以配置为在商业实体子系统400生成CASP私钥(“CASP-SK”)、CASP公钥(“CASP-PK”)和/或CASP证书(“CASP-Cert.”)。CASP数据556可以在步骤506被可信任的第三方(未示出),诸如任何合适的控制权威机构(“CA”),引入商业实体子系统400,其中第三方可以与在步骤504把CASD数据554引入安全元件145的一方相同。CASP数据556可以在安全元件145可在设备100上储备之前或之后在步骤506被引入商业实体子系统400。附加地或者作为替代,在CASD数据554可在步骤504在安全元件145上储备之前、至少与其部分并发地或者之后,CASP数据556可以在步骤506被引入商业实体子系统400。CASP数据556可以配置为符合任何合适标准的规范(例如,其全部内容通过引用被结合于此的“GlobalPlatform′s CardSpecification Version 2.2”)。CASP数据556可以被商业实体子系统400使用来使商业实体子系统400能够认证、签名、去除签名、编码、解码、加密、解密和/或以别的方式安全地变换要在商业实体子系统400与电子设备100的安全元件145之间传送的任何数据,而CASD数据554可以类似地被电子设备100的安全元件145使用来使电子设备100能够认证、签名、去除签名、加密、解密和/或以别的方式安全地变换要在商业实体子系统400与电子设备100的安全元件145之间传送的任何数据,使得安全元件145与商业实体子系统400之间所传送的数据可以受到保护,而不被安全元件供应商子系统450或任何其它以别的方式私下知道ISD密钥156的实体滥用。
在步骤508,商业实体子系统400或任何其它合适的实体可以生成并向安全元件供应商子系统450(例如,向安全元件供应商子系统450的HSM部件)发送创建BLOB请求558,以便启动至少一个BLOB 155b在安全元件145的至少一个SSD 154中的创建。步骤508可以在电子设备100上提供安全元件145之前和/或在把具有安全元件145的电子设备100提供给终端用户之前发生(例如,其中终端用户可以在安全元件145上储备凭证和/或在金融交易中使用这样储备的凭证)。例如,创建BLOB请求558可以包括可由商业实体子系统400和/或由任何其它合适的实体生成然后被安全元件供应商子系统450和/或被任何其它合适实体使用的任何合适数据,以便在第一SSD 154-1的SSD密钥模块155-1中启动BLOB 155b-1的生成和/或存储和/或在第二SSD 154-2的SSD密钥模块155-2中启动BLOB 155b-2的生成和/或存储。例如,创建BLOB请求558可以包括指示金融机构子系统350中与要创建的BLOB关联的特定支付网络子系统360(例如,Visa或MasterCard)(例如,可以在接收要创建的BLOB 155b的SSD 154中储备商务凭证(例如,applet数据153d)的特定支付网络子系统360)的任何合适数据。
在一些实施例中,响应于接收这种创建BLOB请求558,安全元件供应商子系统450可以在步骤509从金融机构子系统350访问任何合适的密钥或密钥集合,作为金融公钥数据559,其中这种金融公钥数据559可以被用来至少部分地创建在步骤508请求的BLOB 155b。如图1中所示,例如,服务提供商金融机构子系统350可以配置为生成、包括或者以别的方式访问可以包括服务提供商私钥(“SP-SK”)355a和服务提供商公钥(“SP-PK”)355b的至少一个金融密钥或金融密钥集合(例如,SP-SK 355a-1和SP-PK 355b-1的第一金融密钥集合以及SP-SK 355a-2和SP-PK 355b-2的第二金融密钥集合)。每个金融密钥集合可以由服务提供商金融机构子系统350从金融机构子系统350的特定支付网络子系统360生成或访问(例如,SP-SK 355a-1和SP-PK 355b-1的第一金融密钥集合可以与可由MasterCard操作的第一支付网络子系统360关联,而SP-SK 355a-2和SP-PK 355b-2的第二金融密钥集合可以与可由Visa操作的第二支付网络子系统360关联)。任何合适的算法都可以被用来生成每个SP-SK 355a/SP-PK 355b金融密钥集合,诸如任何合适的椭圆曲线密钥生成(“ECKG”)算法或方案和/或任何合适的椭圆曲线密钥协定(“ECKA”)算法或方案,诸如在其全部内容通过引用被结合于此的“BSI Technical Guideline TR-03111:Elliptic Curve Cryptography”第4部分中所描述的那些,和/或任何合适的Rivest-Shamir-Adleman(“RAS”)方案。
如所提到的,在步骤508被接收的创建BLOB请求558可以包括任何合适的数据,该数据可以指示基于创建BLOB请求558在要接收要创建的BLOB的SSD 154中储备商务凭证(例如,applet数据153d)的金融机构子系统350的特定支付网络子系统360(例如,Visa或MasterCard)。因此,响应于接收到请求为要在其上储备MasterCard凭证的SSD创建BLOB的创建BLOB请求558,安全元件供应商子系统450可以在步骤509访问与MasterCard关联的第一金融密钥集合的公钥SP-PK 355b-1,作为金融公钥数据559的至少一部分。在一些实施例中,安全元件供应商子系统450可以以任何合适的方式直接从金融机构子系统350访问这种金融公钥数据559。作为替代或者附加地,安全元件供应商子系统450可以利用任何合适的通信协议经图1的任何合适的通信路径75经商业实体子系统400从金融机构子系统350访问这种金融公钥数据559。在一些实施例中,这种金融公钥数据559可以被包括作为从商业实体子系统400提供给安全元件供应商子系统450的创建BLOB请求558的至少一部分。此外或者作为替代,服务提供商金融机构子系统350可以配置为利用可在步骤505由服务提供商金融机构子系统350接收的CASP数据555的至少一部分签名SP公钥355b,使得签名后的SP公钥355b可以被安全元件供应商子系统450访问,作为金融公钥数据559的至少一部分。在任何情况下,响应于在步骤508接收到创建BLOB请求558,与至少一个适当的支付网络子系统360或者其它合适实体关联的至少一个适当的公钥SP-PK 355b可以被安全元件供应商子系统450访问,其中创建BLOB请求558可以指示为在其上储备了可与那个特定支付网络子系统360关联的凭证的SSD创建BLOB。此外,商业实体子系统400可以接收公钥SP-PK 355b并且可以基于那个公钥SP-PK 355b创建证书(例如,创建可以变成证书的签名的公钥),并且随后这种证书可以发送到金融机构子系统350,用于与安全元件供应商子系统450共享,和/或这种证书可以由商业实体子系统400直接与安全元件供应商子系统450共享。这可以使得任何金融公钥数据559能够被要由商业实体子系统400证明的安全元件供应商子系统450使用。
一旦与特定支付网络子系统360关联的公钥SP-PK 355b已经响应于在步骤508接收到创建BLOB请求558而在步骤509被安全元件供应商子系统450访问,作为金融公钥数据559的至少一部分,其中创建BLOB请求558可以指示为在其上储备了可与那个特定支付网络子系统360关联的凭证的SSD创建BLOB,安全元件供应商子系统450就可以配置为至少启动这种BLOB的创建。例如,在步骤510,安全元件供应商子系统450可以生成和/或向安全元件145发送BLOB创建数据560并且,在步骤512,安全元件145可以接收和/或利用这种BLOB创建数据560,用于生成BLOB数据和/或将其存储,在安全元件145上SSD 154的SSD密钥模块155中作为BLOB 155b。在一些实施例中,BLOB创建数据560可以包括可以作为BLOB 155b存储在安全元件145上的所有数据。作为替代或者附加地,BLOB创建数据560可以包括可以被安全元件145用于生成安全元件145上BLOB 155b的至少一部分的数据。
例如,BLOB创建数据560可以包括金融公钥数据559(例如,SP-PK 355b)以及让安全元件145创建(例如,在步骤512)至少一个SSD密钥(例如,SSD密钥155a)然后利用BLOB创建数据560的金融公钥数据559加密(例如,在步骤512)这种SSD密钥从而在SSD 154的SSD密钥模块155中创建BLOB数据155b的指令,其中这种金融公钥数据559(例如,SP-PK 355b)和/或这种至少一个SSD密钥(例如,SSD密钥155a)可以或者可以不连同BLOB数据155b一起被安全元件145存储或以别的方式保存(例如,在SSD密钥模块155中,也在步骤512)。在一些实施例中,BLOB创建数据560可以包括利用来自金融机构子系统350的公共证书创建的数据(例如,如可以由商业实体子系统400签名的金融公钥数据559)以及一个或多个随机生成的密钥(例如,在商业实体子系统400和/或在安全元件供应商子系统450生成的)。此外或者作为替代,BLOB创建数据560可以包括来自金融机构子系统350的公共证书的拷贝(例如,如可以由商业实体子系统400签名的金融公钥数据559)和/或金融公钥(例如,公钥SP-PK 355b),以供独立存储在安全元件145上(例如,用于随后BLOB在安全元件145上的生成)。
作为另一个例子,BLOB创建数据560可以包括金融公钥数据559(例如,SP-PK355b)和至少一个SSD密钥(例如,SSD密钥155a),以及让安全元件145利用BLOB创建数据560的金融公钥数据559加密(例如,在步骤512)BLOB创建数据560的这种SSD密钥从而在SSD154的SSD密钥模块155中创建BLOB数据155b的指令,其中这种金融公钥数据559(例如,SP-PK 355b)和至少一个SSD密钥(例如,SSD密钥155a)可以或者可以不连同BLOB数据155b一起被安全元件145存储或以别的方式保存(例如,在SSD密钥模块155中,也在步骤512)。
作为还有另一个例子,BLOB创建数据560可以包括至少一个利用金融公钥数据559(例如,SP-PK 355b)加密的SSD密钥(例如,SSD密钥155a),以及让安全元件145在SSD 154的SSD密钥模块155中把BLOB创建数据560的这种加密的SSD密钥数据存储为BLOB数据155b的指令,其中这种金融公钥数据559(例如,SP-PK 355b)和至少一个SSD密钥(例如,SSD密钥155a)可以或者可以不独立地包括在BLOB创建数据560中,并且其中BLOB创建数据560的这种独立的金融公钥数据和/或者这种独立的SSD密钥数据可以或者可以不连同BLOB数据155b一起被安全元件145存储或以别的方式保存(例如,在SSD密钥模块155中,也在步骤512)。
如图4中所示,每个SSD密钥模块155可以包括不仅BLOB 155b,还可以包括与那个BLOB 155b关联的至少一个SSD密钥155a以及至少一个金融公钥355b(例如,BLOB 155b、SSD密钥155a和金融公钥355b当中的一个、一些或全部可以存储在SSD 154的SSD密钥模块155的相同数据结构中),但是,在某些实施例中,SSD密钥模块155可以只包括BLOB 155b。
仅仅作为一个例子,第一创建BLOB请求558可以请求生成第一BLOB并将其存储在第一SSD 154-1中的安全元件145上,其中这种第一BLOB可以与第一服务提供商(例如,第一支付网络子系统360,诸如MasterCard)关联。响应于或者与在步骤508接收这种第一创建BLOB请求558并发地,安全元件供应商子系统450可以在步骤509从金融机构子系统350访问第一SP-PK 355b-1,作为第一金融公钥数据559的至少一部分,其中这种第一SP-PK 355b-1可以与第一服务提供商(例如,第一支付网络子系统360,诸如MasterCard)关联。然后,在步骤510,安全元件供应商子系统450可以生成并向安全元件145发送任何合适的第一BLOB创建数据560,其中这种第一BLOB创建数据560可以在步骤512启用或以别的方式指示安全元件145生成和/或在第一SSD 154-1的SSD密钥模块155-1中存储第一BLOB 155b-1。这种第一BLOB 155b-1可以包括至少一个可以利用第一SP-PK 355b-1加密的第一SSD密钥155a-1,其中第一SSD密钥155a-1和第一SP-PK 355b-1当中一个、二者可以独立于第一BLOB 155b-1在安全元件145上(例如,在第一SSD 154-1的SSD密钥模块155-1中,也在步骤512)存储或者都不这样存储。第一SSD 154-1的第一applet模块153-1也可以在步骤512被生成和存储,但是还没有第一applet数据153d-1可以存储在那个第一applet模块153-1中。
此外或者作为替代,第二创建BLOB请求558可以请求生成第二BLOB并将其存储在第二SSD 154-2中的安全元件145上,其中这种第二BLOB可以与第二服务提供商(例如,第二支付网络子系统360,诸如Visa)关联。响应于或者与在步骤508接收这种第二创建BLOB请求558并发地,安全元件供应商子系统450可以在步骤509从金融机构子系统350访问第二SP-PK 355b-2,作为第二金融公钥数据559的至少一部分,其中这种第二SP-PK 355b-2可以与第二服务提供商(例如,第二支付网络子系统360,诸如Visa)关联。然后,在步骤510,安全元件供应商子系统450可以生成并向安全元件145发送任何合适的第二BLOB创建数据560,其中这种第二BLOB创建数据560可以在步骤512启用或以别的方式指示安全元件145生成和/或在第二SSD 154-2的SSD密钥模块155-2中存储第二BLOB 155b-2。这种第二BLOB 155b-2可以包括至少一个可以利用第二SP-PK 355b-2加密的第二SSD密钥155a-2,其中第二SSD密钥155a-2和第二SP-PK 355b-2当中一个、二者可以独立于第二BLOB 155b-2在安全元件145上(例如,在第二SSD 154-2的SSD密钥模块155-2中,也在步骤512)存储或者都不这样存储。第二SSD 154-2的第二applet模块153-2也可以在步骤512被生成和存储,但是还没有第二applet数据153d-2可以存储在那个第二applet模块153-2中。在这种实施例中,在这种第一创建BLOB请求558之后或者与其并发地,这种第二创建BLOB请求558可以由安全元件供应商子系统450接收,和/或在这种第一BLOB创建数据560之后或者与其并发地,安全元件供应商子系统450可以生成并向安全元件145发送这种第二BLOB创建数据560,和/或在第一SSD154-1的第一SSD密钥模块155-1中的这种第一BLOB 155b-1之后或者与其并发地,安全元件145可以生成和/或在第二SSD 154-2的第二SSD密钥模块155-2中存储这种第二BLOB 155b-2。
任何合适类型的SSD密钥155a和/或SP金融密钥集合(例如,SP-PK 355a和SP-PK355b)都可以以任何合适的方式生成。在一些实施例中,以与其全部内容通过引用被结合于此的“GlobalPlatformCard,Confidential Card Content Management,CardSpecification,Version 2.2,Amendment A,Version 1.0.1,January 2011”中关于对补充安全域的密钥生成所述的方式基本相似的方式,Rivest-Shamir-Adleman(“RAS”)拉模型可以被金融机构子系统350充分利用来生成SP金融密钥集合,和/或被安全元件145充分利用来板载密钥生成SSD密钥155a,和/或被安全元件供应商子系统450充分利用来生成SSD密钥155a。
作为替代,以与其全部内容通过引用被结合于此的于2014年1月28日提交且标题为“SECURE PROVISIONING OFCREDENTIALS ON AN ELECTRONIC DEVICE USING ELLIPTICCURVE CRYPTOGRAPHY”的共同未决美国临时专利申请No.61/932,526中关于对补充安全域的密钥生成所述的方式基本相似的方式,椭圆曲线密码(“ECC”)拉模型(Pull Model)可以被安全元件145和/或被安全元件供应商子系统450和/或被金融机构子系统350充分用于SSD密钥155a和/或SP金融密钥集合的生成。
一旦BLOB 155b已经存储在安全元件145上,安全元件145就可以在电子设备100上被储备并提供给终端用户(例如,用于在安全元件145上储备凭证)。例如,在步骤514,过程500可以包括系统1接收在电子设备100的安全元件145上储备商务凭证的请求,其中步骤514可以包括商业实体子系统400或任何其它合适的实体接收让特定商务凭证在设备100上储备的任何合适的请求(例如,由设备100的用户经与设备100的应用交互而启动的请求(例如,通过与设备100的I/O接口114a上GUI 180的用户交互,诸如在使用与图3的“设置助手”图标183关联的设置助手应用的过程中和/或在使用与“Passbook”图标184关联的“Passbook”或“钱包”应用的过程中),由商业实体子系统400自己启动的请求和/或由金融机构子系统350生成的请求)。这种凭证储备请求可以包括与选定的凭证关联的任何合适的识别信息,该选定的凭证可以被商业实体子系统400和/或金融机构子系统350使用来在设备100上储备那个凭证(例如,用于选定的凭证的主要帐号(“PAN”)的至少一部分的散列或真正列表、用于选定的凭证的卡验证值(“CVV”)、用于选定的凭证的到期日、用于选定的凭证的账单地址、服务提供商(例如,对该凭证负责的银行或支付网络),等等)。而且,这种请求可以包括任何其它合适信息(例如,与目标设备100关联的信息,诸如SSD标识符,这可以指示可能能够接收这种所储备凭证的设备100的NFC部件120的可用SSD 154),其可以对使选定凭证能够在设备100上储备是有用的。
为了响应于步骤514的储备卡请求而在安全元件145的特定SSD 154中正确储备商务凭证,例如,过程500可以与那个商务凭证的服务供应商(例如,金融机构子系统350)共享电子设备100的安全元件145的那个特定SSD 154的某些BLOB数据155b。在一些实施例中,当步骤514的储备卡请求可以被商业实体子系统400自己和/或被金融机构子系统350和/或除电子设备100之外的任何其它合适的实体启动时,BLOB数据请求566可以在步骤516被生成和/或发送到电子设备100(例如,从意识到步骤514的储备卡请求的商业实体子系统400或者任何其它合适的实体,诸如金融机构子系统350)。这种BLOB数据请求566可以包括可以指示步骤514的储备卡请求的任何合适信息。例如,BLOB数据请求566可以包括指示负责要储备的凭证的服务提供商(例如,特定的支付网络360或者金融机构子系统350的任何其它合适实体)的任何合适信息。响应于接收到这种BLOB数据请求566,电子设备100可以识别安全元件145上由该BLOB数据请求566指示的适当BLOB 155b并且在步骤518把那个识别出的BLOB 155b发送到商业实体子系统400,作为BLOB数据响应568。例如,如果步骤514的储备卡请求指示储备由第一服务提供商(例如,第一支付网络子系统360,诸如MasterCard)管理的凭证的请求,则BLOB数据请求566可以包括指示那个第一服务提供商的任何合适数据,并且电子设备100可以接收并分析那个BLOB数据请求566,以识别安全元件145上可以与那个第一服务提供商关联的特定SSD 154的特定BLOB 155b(例如,可以包括利用那个第一服务提供商(例如,第一支付网络子系统360,诸如MasterCard)的第一金融公钥SP-PK 355b-1加密的第一SSD密钥155a-1的第一SSD 154-1的第一BLOB 155b-1)。响应于对BLOB数据请求566的响应而识别出第一SSD 154-1的特定第一BLOB 155b-1,电子设备100可以在步骤518发送或以别的方式与商业实体子系统400共享第一BLOB 155b-1,作为BLOB数据响应568,其中这种BLOB数据响应568可以首先由设备100的安全元件145的ISD 152利用ISD密钥156加密,使得加密后的BLOB数据响应568不能由私下不知道ISD密钥156的任何实体(例如,除ISD 152和商业实体子系统400之外的任何实体)访问。在这种实施例中,BLOB数据响应568可以经图1的通信路径65由电子设备100提供给商业实体子系统400。例如,如图1和4中所示,电子设备100的通信部件106可以配置为经任何合适的通信路径65利用任何合适的通信协议把这种加密的BLOB数据响应568发送到商业实体子系统400,其中加密的BLOB数据响应568可以提供给商业实体子系统400,然后被商业实体子系统400利用商业实体子系统400的ISD密钥156解密。作为另一个例子,如果步骤514的储备卡请求指示储备由第二服务提供商(例如,第二支付网络子系统360,诸如Visa)管理的凭证的请求,则BLOB数据请求566可以包括指示那个第二服务提供商的任何合适数据,并且电子设备100可以接收并分析那个BLOB数据请求566,以识别安全元件145上可以与那个第二服务提供商关联的特定SSD 154的特定BLOB155b(例如,可以包括利用那个第二服务提供商(例如,第二支付网络子系统360,诸如Visa)的第二金融公钥SP-PK 355b-2加密的第二SSD密钥155a-2的第二SSD 154-2的第二BLOB155b-2)。响应于对BLOB数据请求566的响应而识别出第二SSD 154-2的特定第二BLOB155b-2,电子设备100可以在步骤518发送或以别的方式与商业实体子系统400共享第二BLOB 155b-2,作为BLOB数据响应568,其中这种BLOB数据响应568可以首先由设备100的安全元件145的ISD 152利用ISD密钥156加密,使得加密后的BLOB数据响应568不能由私下不知道ISD密钥156的任何实体(例如,除ISD 152和商业实体子系统400之外的任何实体)访问,然后可以被商业实体子系统400利用商业实体子系统400的ISD密钥156解密。
在其它实施例中,当步骤514的储备卡请求可以被电子设备100启动时,BLOB数据请求566可能是不必要的并且电子设备100自己可以配置为识别与要储备的凭证关联的安全元件145上适当的BLOB 155b。例如,如果由电子设备100进行的步骤514的储备卡请求指示储备由第一服务提供商(例如,第一支付网络子系统360,诸如MasterCard)管理的凭证的请求,则电子设备100可以识别安全元件145上可以与那个第一服务提供商关联的特定SSD154的特定BLOB 155b(例如,可以包括利用那个第一服务提供商(例如,第一支付网络子系统360,诸如MasterCard)的第一金融公钥SP-PK 355b-1加密的第一SSD密钥155a-1的第一SSD 154-1的第一BLOB 155b-1),并且电子设备100可以在步骤518发送或以别的方式与商业实体子系统400共享识别出的第一BLOB 155b-1,作为BLOB数据响应568,其中这种BLOB数据响应568可以首先由设备100的安全元件145的ISD 152利用ISD密钥156加密,使得加密后的BLOB 数据响应568不能由私下不知道ISD密钥156的任何实体(例如,除ISD 152和商业实体子系统400之外的任何实体)访问。在这种实施例中,BLOB数据响应568可以经图1的通信路径65由电子设备100提供给商业实体子系统400。例如,如图1和4中所示,电子设备100的通信部件106可以配置为经任何合适的通信路径65利用任何合适的通信协议把这种加密的BLOB数据响应568发送到商业实体子系统400,其中加密的BLOB数据响应568可以提供给商业实体子系统400,然后被商业实体子系统400利用商业实体子系统400的ISD密钥156解密。作为另一个例子,如果由电子设备100进行的步骤514的储备卡请求指示储备由第二服务提供商(例如,第二支付网络子系统360,诸如Visa)管理的凭证的请求,则电子设备100可以识别安全元件145上可以与那个第二服务提供商关联的特定SSD 154的特定BLOB 155b(例如,可以包括利用那个第二服务提供商(例如,第二支付网络子系统360,诸如Visa)的第二金融公钥SP-PK 355b-2加密的第二SSD密钥155a-2的第二SSD 154-2的第二BLOB 155b-2),并且电子设备100可以在步骤518发送或以别的方式与商业实体子系统400共享识别出的第二BLOB 155b-2,作为BLOB数据响应568,其中这种BLOB数据响应568可以首先由设备100的安全元件145的ISD 152利用ISD密钥156加密,使得加密后的BLOB数据响应568不能由私下不知道ISD密钥156的任何实体(例如,除ISD 152和商业实体子系统400之外的任何实体)访问,然后可以被商业实体子系统400利用商业实体子系统400的ISD密钥156解密。在这种实施例中,当步骤514的储备卡请求可以被电子设备100启动并且BLOB数据响应568可以在步骤518被电子设备100发送到商业实体子系统400而无需首先在步骤516接收BLOB数据请求566时,步骤518的这种BLOB数据响应568可以作为步骤514的储备卡请求的至少一部分被包括(例如,使得只有步骤514可以发生并且使得步骤516和518不必要)。例如,这种储备卡请求可以包括来自要在其上储备所请求的卡的安全元件145的特定SSD 154的特定BLOB155b。
接下来,一旦电子设备100的安全元件145的可用SSD 154的适当BLOB 155b已经为了步骤514的特定储备卡请求(例如,或者在步骤514或者在步骤518作为BLOB数据响应568的至少一部分)而被电子设备100提供给商业实体子系统400,商业实体子系统400(例如,商业实体子系统400的SMP代理部件)就可以配置为向金融机构子系统350发送在设备100上储备步骤514所请求的凭证的请求(例如,经任何合适的通信路径55利用任何合适的通信协议(例如,经路径55的TSM))。例如,在图5的过程500的步骤520,商业实体子系统400可以配置为生成并向可以在步骤514被识别为要储备的商务凭证的服务提供商或管理者的适当金融机构子系统350(例如,向金融机构子系统350的适当支付网络子系统360)发送凭证储备数据570。这种凭证储备数据570可以包括可以被服务提供商金融机构子系统350用来启动所请求商务凭证在安全元件145上储备的任何合适的数据或数据组合,诸如指示可以由步骤514的请求识别的选定凭证的数据和/或指示可用于接收所储备凭证的设备100的SSD 154的数据,诸如由电子设备100提供给商业实体子系统400的具体BLOB 155b(例如,在步骤518),其中这种BLOB 155b数据可以首先由商业实体子系统400利用ISD密钥156解密。作为替代或者附加地,凭证储备数据570可以包括指示在安全元件145上储备的CASD 158的任何合适数据。例如,凭证储备数据570可以包括可能已经在步骤504可被商业实体子系统400访间的CASD数据554的任何合适的CASD数据(例如,CASD-Cert.158c)。通过与服务提供商金融机构子系统350共享某些CASD数据,商业实体子系统400可以使得服务提供商金融机构子系统350能够适当地签名要与安全元件145共享的某些数据,这些数据随后可以由安全元件145的CASD 158去除签名。可以包括适当BLOB 155b的凭证储备数据570可以经图1的通信路径55由商业实体子系统400提供给金融机构子系统350。例如,如图1和4中所示,商业实体子系统400可以配置为经任何合适的通信路径55利用任何合适的通信协议把这种凭证储备数据570发送到金融机构子系统350。
如图1中所示,例如,服务提供商金融机构子系统350可以配置为生成、包括或以别的方式访问至少一个服务提供商私钥(“SP-SK”)355a-1和/或SP-SK 355a-2以及至少一个服务提供商公钥(“SP-PK”)355b-1和/或SP-PK 355b-2,其中这种密钥可以由服务提供商金融机构子系统350生成或访问。因此,当来自安全元件145的特定BLOB 155b作为凭证储备数据570的至少一部分在金融机构子系统350被接收时,其中这种BLOB 155b利用特定SP-PK355b被加密,金融机构子系统350可以配置为在步骤521利用那个SP-PK 355b的关联的SP-SK 355a解密BLOB 155b,以便访问BLOB 155b的加密的SSD密钥155a。例如,如果凭证储备数据570包括安全元件145的第一SSD 154-1的第一BLOB 155b-1,其中第一BLOB 155b-1可以包括利用第一SP-PK 355b-1加密的第一SSD密钥155a-1,则金融机构子系统350可以配置为在步骤521利用关联的第一SP-SK 355a-1解密第一BLOB 155b-1,以便访问这种凭证储备数据570的第一BLOB 155b-1的加密的第一SSD密钥155a-1。作为另一个例子,如果凭证储备数据570包括安全元件145的第二SSD 154-2的第二BLOB 155b-2,其中第二BLOB 155b-2可以包括利用第二SP-PK 355b-2加密的第二SSD密钥155a-2,则金融机构子系统350可以配置为在步骤521利用关联的第二SP-SK 355a-2解密第二BLOB 155b-2,以便访问这种凭证储备数据570的第二BLOB 155b-2的加密的第二SSD密钥155a-2。一旦金融机构子系统350已经解密所接收到的凭证储备数据570的BLOB 155b,用于访问那个BLOB 155b的至少一个SSD密钥155a,金融机构子系统350就可以在步骤521充分利用那个SSD密钥155a,以便在步骤522在服务提供商金融机构子系统350与SSD 154之间创建用于商务凭证数据的安全信道(例如,如在步骤514/520所请求的)(例如,以便传送所储备的商务凭证的至少一部分)。例如,服务提供商金融机构子系统350可以充分利用在步骤521从凭证储备数据570访问的SSD密钥155a来编码、加密、包裹、签名或以别的方式变换要在与那个SSD密钥155a关联的SSD 154上储备的一些或全部商务凭证数据,作为凭证存储数据572,并且在步骤522把这种数据572安全地发送到电子设备100。而且,服务提供商金融机构子系统350可以利用ECDSA或任何其它合适的技术利用CA信息签名这种安全数据572。
凭证存储数据572的这种安全储备可以包括任何合适的数据,诸如要储备的选定凭证的描述符,以及一旦储备就可以在设备100上提供用于帮助用户与凭证交互的可视插图(artwork)和其它元数据(例如,可以使设备100能够使凭证可视地出现以便让设备100获得的一些或全部合适数据,诸如与可以提供给用户的凭证关联的可视徽标/图标和其它用户可辨别的数据(例如,当图3利用“Passbook”文本指示符181标记的具体图标182(即,具体的图标184)被选择时,设备100可以启动或以别的方式访问具体的Passbook或钱包应用并且可以显示可以包括凭证的一个或多个可视描述符的具体用户接口的屏幕)),其中由服务提供商金融机构子系统350生成并加密的这种数据572可以由金融机构子系统350(例如,由适当的支付网络子系统360)通过图1的通信路径55利用任何合适的通信协议经任何合适的通信路径类型(例如,经通信路径55的TSM)发送到商业实体子系统400(例如,发送到商业实体子系统400的SMP代理)并且那个数据572可以由商业实体子系统400转发到设备100。作为替代,加密的数据572可以经图1的任何合适的通信路径95利用任何合适的通信协议经任何合适的通信路径类型直接从服务提供商金融机构子系统350转发到设备100。
如所提到的,这种凭证存储数据572可以经商业实体子系统400传送到设备100,其中这种凭证存储数据命令572可以由商业实体子系统400利用发行商ISD密钥156加密,使得ISD加密的凭证存储数据572不能被私下不知道ISD密钥156的任何实体(例如,除ISD152和商业实体子系统400之外的任何实体)访问。在这种实施例中,凭证存储数据572可以由商业实体子系统400经图1的通信路径65提供给电子设备100。例如,如图1和4中所示,电子设备100的通信部件106可以配置为利用任何合适的通信协议经任何合适的通信路径65从商业实体子系统400接收这种ISD加密的凭证存储数据572,其中ISD加密的凭证存储数据572可以提供给设备100,然后在传递到安全元件145的其它部分,诸如用于利用SSD密钥155a对凭证存储数据572进行附加解密的适当SSD 154,之前利用ISD 152的ISD密钥156解密(例如,与可能已经在步骤521为了加密凭证存储数据572而被金融机构子系统350访问的SSD密钥155a相同或关联的SSD密钥155a)。
在一些实施例中,系统1和/或过程500可以配置为在设备100上储备虚拟凭证而不是可以在步骤514识别的实际凭证。例如,一旦确定凭证要在设备100上储备,就可以(例如,由金融机构子系统350、由商业实体子系统400和/或由设备100的用户)请求生成虚拟凭证、链接到实际凭证,并且代替实际凭证在设备100上储备。即,商业实体子系统400可以在步骤520生成并向金融机构子系统350发送凭证储备数据570,该数据还可以包括让金融机构子系统350创建新虚拟凭证(例如,设备主要帐号(“D-PAN”))、把那个虚拟凭证与选定的实际凭证(即,最初由发行银行发布的资金主要帐号(“F-PAN”))链接,然后把那个虚拟凭证储备到设备100上的具体指令。因而,在这种实施例中,金融机构子系统350可以在步骤522生成并发送凭证存储数据572,该数据可以包括要储备的虚拟凭证(例如,D-PAN)的描述符和应该在设备100上提供的、用于帮助用户与要储备的虚拟凭证进行交互的任何合适的元数据。虚拟凭证与实际凭证的这种链接或其它合适关联可以由金融机构子系统350的任何合适部件执行。例如,金融机构子系统350(例如,可以与在步骤514识别出的实际凭证的品牌关联的特定支付网络子系统360)可以定义并在虚拟链接表或数据结构352中存储条目(例如,如图1中所示),其中这种条目可以创建实际凭证与虚拟凭证之间的关联或链接。因而,当虚拟凭证被设备100用于与商家子系统200进行金融交易时(例如,在虚拟凭证已经在设备100上储备之后),金融机构子系统350可以接收指示那个虚拟凭证的授权请求并且可以按照,如由虚拟-链接表352确定的,与所识别出的虚拟凭证关联或以别的方式链接的实际凭证对那个授权请求进行分析。通过在设备100上储备虚拟凭证而不是实际凭证,金融机构子系统350可以配置为限制如果虚拟凭证被未授权用户(例如,被位于设备100和/或商家终端220附近的NFC通信15信号偷窃者)截获则可能导致的欺诈行为,这是因为金融机构子系统350(例如,支付网络子系统360)可以只配置为在某些交易中(例如,在由商家终端220接收的NFC交易过程中而不在在线交易或其它可以允许凭证信息由用户手动输入的交易过程中)利用虚拟-链接表352把虚拟凭证链接到实际凭证。因此,在利用虚拟凭证的这种实施例中,由金融机构子系统350生成并加密的凭证存储数据572可以包含来自表352中的条目的新D-PAN(例如,新虚拟凭证信息),其中表352可以定义选定的凭证的F-PAN(例如,实际凭证银行编号)与这个新D-PAN之间的链接。凭证存储数据572还可以包括所链接的F-PAN的最后四位数字或任何其它合适的数据,用于产生F-PAN的散列版本。当利用虚拟凭证用于金融交易时,在设备100上既提供虚拟D-PAN又提供实际F-PAN的散列版本可以防止两者之间的用户混淆并且可以使这两者的用户关联更容易。因此,在一些实施例中,F-PAN的完全版本(例如,实际凭证银行编号)可以从不存储在设备100上,而是只有关联的D-PAN(例如,链接的虚拟凭证)可以按非散列形式存储在设备100上。凭证存储数据572还可以包括独特的D-PAN散列(例如,D-PAN的最后四位数字和/或任何其它合适的数据,该数据用于在维持D-PAN的安全性)同时,创建可在所有后续对引用这个D-PAN的调用中使用的D-PAN的散列版本。
凭证存储数据572还可以包括“AuthToken”或任何其它合适的令牌,其中令牌可以是用于启用凭证储备的一次性使用令牌。此外或者作为替代,凭证存储数据572可以包括放置挂起命令数据,该挂起命令数据可以包括所储备的凭证的主要帐号(例如,D-PAN或F-PAN,散列的或者未散列的)、一个或多个persoScripts或GlobalPlatform应用协议数据单元(“APDU”)脚本(例如,任何脚本、任何旋转密钥(例如,如果必要的话),以及任何其它合适的可以用来在设备100上储备可用PAN的管理元素)、SSD标识符,和/或SSD计数器。
然后,响应于接收到在步骤522发送的这种安全加密的和/或签名的凭证存储数据572(例如,由金融实体子系统350利用SSD密钥155a加密的和/或由商业实体子系统400利用发行商ISD密钥156加密的),设备100(例如,ISD 152和/或CASD 158和/或SSD 154)可以适当地利用ISD 152的ISD密钥156和/或利用适当SSD 154的SSD密钥155a解密数据572,并且可以在步骤524把凭证数据572安全地加载到适当的SSD 154中(例如,加载到适当SSD 154的applet模块153中,作为applet数据153d)。如果数据572由服务提供商金融实体子系统350签名,则CASD 158可以确认数据572被正确签名,然后在把它提供给SSD 154之前去掉这种数据572的签名。然后,也是在步骤524,适当的SSD 154(例如,那个SSD 154的SSD密钥模块155)可以充分利用其在安全元件145本地的SSD密钥155a来解码、解密、解包或以别的方式去变换(untransform)数据572的已经被服务提供商金融实体子系统350编码、加密、打包或以别的方式变换(例如,利用在步骤521从所接收的凭证储备数据570访问的SSD密钥155a)的凭证数据。然后,也是在步骤524,安全元件145(例如,SSD密钥模块155)可以把解码、解密、解包或以别的方式去变换的数据572的凭证数据加载到SSD 154的适当部分中(例如,加载到applet模块153中,作为applet数据153d)。当数据572在步骤524被加载到SSD154中时,设备100可以配置为完成从数据572接收的任何脚本和/或采取任何其它合适的动作用于启用凭证(例如,用于把凭证从禁用/挂起激活状态变到启用/激活以供使用状态)。然后,任何合适的确认数据576可以在步骤526由设备100生成并发送,用于提醒商业实体子系统400和/或服务提供商金融实体子系统350商务凭证已经成功地在安全元件145上储备和/或启用(例如,使得所储备的商务凭证可以在商业交易中使用,如本文关于图1的子系统200和300所描述的)。
例如,响应于接收到已经由金融机构子系统350利用第一SSD密钥155a-1安全加密/变换的凭证存储数据572,第一SSD 154-1可以在步骤524配置为或以别的方式被启用,以解密或以别的方式利用那个第一SSD 154-1的第一SSD密钥模块155-1可用的第一SSD密钥155a-1把这种凭证存储数据572去变换。然后,在步骤524,第一SSD密钥155a-1可以把那个解码、解密、解包或以别的方式区变换的数据572的凭证数据加载到那个第一SSD 154-1的第一applet模块153-1中,作为第一applet数据153d-1。作为替代或者附加地,响应于接收到已经由金融机构子系统350利用第二SSD密钥155a-2安全加密/变换的凭证存储数据572,第二SSD 154-2可以在步骤524配置为或以别的方式被启用,以解密或以别的方式利用那个第二SSD 154-2的第二SSD密钥模块155-2可用的第二SSD密钥155a-2去变换这种凭证存储数据572。然后,在步骤524,第二SSD密钥154-2可以把那个解码、解密、解包或以别的方式去变换的数据572的凭证数据加载到那个第二SSD 154-2的第二applet模块153-2中,作为第二applet数据153d-2。在一些实施例中,SSD 154的SSD密钥155a可以包括公共SSD密钥和私有SSD密钥,其中那个SSD 154的关联的BLOB 155b可以是SSD密钥155a的公共SSD密钥部分,如利用那个SSD 154的关联的SP-PK 355b-1加密的,并且其中那个SSD 154的SSD密钥155a的私有SSD密钥部分可以被用来在步骤524解密或以别的方式把凭证存储数据572去变换。因此,SSD 154的SSD密钥155a的公共和私有密钥部分可以被充分利用,类似于金融密钥集合的公共和私有密钥部分SP-SK 355a/SP-PK 355b。
因此,过程500可以提供凭证服务提供商数据(例如,SP-PK 355b)在电子设备100的安全元件145的安全域(例如SSD 154)中的高效存储。凭证服务提供商数据(例如,在步骤508-512的BLOB 155b数据)的这种高效存储可以通过在安全元件145初始化过程中使用安全元件供应商子系统450和/或通过在包括安全元件145的电子设备100可以提供给终端用户之前使用商业实体子系统400来实现。这可以减少通信或所传送的信息量,该信息量是在别的情况下,在凭证由终端用户在安全元件145上储备时(例如,在步骤514-524),会需要电子设备100与一个或多个远程实体(例如,商业实体子系统400和/或金融机构子系统350)传送的信息量。例如,如果在安全元件145被电子设备100的终端用户现场使用来在安全元件145上储备凭证之前(例如,在步骤514之前),BLOB 155b数据没有预先存储在安全元件145上或者不能在安全元件145上独立生成,则可能需要安全元件145与商业实体子系统400和/或金融机构子系统350之间图5过程500未示出的附加通信来使得上述安全通信信道可以用于在过程500的步骤518/520把SSD密钥155a从安全元件145发送到金融机构子系统350和/或使得上述安全通信信道可以用于在过程500的步骤522把凭证存储数据572从金融机构子系统350发送到安全元件145。此外或者作为替代,当凭证由终端用户在安全元件145上储备时(例如,在步骤514-524),这可以减少在别的情况下电子设备100生成要与一个或多个远程实体(例如,商业实体子系统400和/或金融机构子系统350)共享的必要信息所需的时间量。例如,如果在安全元件145被电子设备100的终端用户现场用于在安全元件145上储备凭证之前(例如步骤514之前)BLOB 155b数据没有预先存储在安全元件145上或者可以别的方式让其访问,则凭证储备过程需要比图5过程500所需更多的时间,因为在储备卡请求之后需要延迟,以便允许生成BLOB 155b数据或类似的数据供凭证储备过程使用。因而,不是每次在安全元件154“在现场”处于终端用户控制之下时要在安全元件145上储备新凭证时(例如,在步骤514之后)都在安全元件145上创建新SSD 154,而是凭证服务提供商数据(例如,SP-PK 355b和/或BLOB 155b)“在工厂”(例如,在把具有安全元件145的电子设备100提供给终端用户之前由安全元件供应商子系统450和/或商业实体子系统400)在新SSD 154中的创建和存储可以减少电子设备100与远程实体(例如,商业实体子系统400和/或金融机构子系统350)之间在安全元件145上储备新凭证所需的通信的时间和/或次数。
当安全元件145的SSD 154的applet模块153利用applet实例个性化时(例如,当凭证储备期间applet数据153d存储在那个applet模块153中时,诸如在步骤524),新的SSD154可以自动生成(例如,新SSD 154可以创建为具有新BLOB 155b和空applet模块153),使得这个新SSD 154可以同样提高系统1的使用效率。例如,当第二SSD 154-2的第二applet模块153-2在步骤524从与第二SP-PK 355b-2关联的第二凭证服务提供商(例如,如以上提到的,Visa支付网络360)加载凭证数据572时,新的第三SSD 154-3可以在安全元件145上自动创建,该新的第三SSD 154-3可以包括可以与和最近个性化的SSD 154-2相同的凭证服务提供商(例如,与第二SP-PK 355b-2关联的第二凭证服务提供商(例如,如以上提到的,Visa支付网络360))关联的第三BLOB 155b-3数据。在一些实施例中,响应于在步骤526从电子设备100接收到指示凭证数据572在第二SSD 154-2中储备的确认数据576和/或在步骤522发送用于第二SSD 154-2的凭证存储数据572之后/并发地,第三SSD 154-3的这种自动生成可以由商业实体子系统400和/或金融机构子系统350(例如,自动地)启动。例如,如图5中所示,响应于在步骤526接收到用于第二SSD 154-2个性化的这种确认数据576或者在步骤522发送用于第二SSD 154-2的凭证存储数据572同时/之后,商业实体子系统400和/或金融机构子系统350(例如,直接地或者经商业实体子系统400)可以在过程500的步骤528生成并向安全元件145发送新的BLOB请求578。这种新的BLOB请求578可以包括可以被安全元件145接收并且可以使安全元件145生成和/或在新的第三SSD 154-3的SSD密钥模块155-3中存储BLOB155b-3的任何合适数据。在一些这种实施例中,商业实体子系统400和/或金融机构子系统350可以简单地在步骤528的BLOB请求578中包括可以指示安全元件145利用基于与安全元件145的最近个性化SSD 154关联的SP-PK(例如,第二SSD 154-2的SP-PK 355b-2)的新BLOB155b生成新SSD 154的指令。在一些其它这种实施例中,商业实体子系统400和/或金融机构子系统350可以充分利用在安全元件145上储备最新凭证的凭证服务提供商(例如,与第二SP-PK 355b-2关联的第二凭证服务提供商(例如,如以上提到的,Visa支付网络360))的已知身份,并且可以包括第二SP-PK 355b-2,作为步骤528的新BLOB请求578的至少一部分。这种新BLOB请求578还可以包括用于在步骤530使安全元件145利用新BLOB 155b-3生成新第三SSD 154-3的指令,其可以包括可以由那个第二SP-PK 355b-2加密或以别的方式变换的第三SSD密钥155a-3。这种第三SSD密钥155a-3和/或那个第二SP-PK 355b-2还可以连同新BLOB 155b-3一起存储在第三SSD 154中,如以上关于SSD 154-1的SP-PK 355b-1和SSD密钥155a-1类似地描述的。在一些实施例中,系统1可以配置为使得金融机构子系统350可以只启动新SSD的生成,作为个性化请求的一部分(例如,给我SSD供使用),而创建SSD的实际动作可以由商业实体子系统400进行。当获得一个SSD使用时,新的SSD可以自动生成或者新的SSD可以在对新SSD的请求被金融机构子系统350或设备100收到之后生成。而且,在一些实施例中,如果商业实体子系统400接收到与不再当前的金融公钥(例如,曾经被使用但已经被金融机构子系统350删除或禁用的金融公钥(例如,由于那个密钥的密钥集合在生成BLOB之后被危及))关联的BLOB,则商业实体子系统400可以识别出该公钥现在已过时(例如,由于从金融机构子系统350接收到关于何时公钥过时的更新信息),并且商业实体子系统400可以配置为删除关联的SSD并且自动生成新BLOB。
不是在步骤528从远程实体(例如,从商业实体子系统400和/或金融机构子系统350)接收新BLOB请求578,以便在新SSD 154-3中生成和/或存储新BLOB 155b-3,而是电子设备100可以配置为在步骤530中自动在新SSD 154-3中生成和/或存储新BLOB 155b-3,而无需从远程实体接收这么做的请求。例如,响应于在步骤522接收用于第二SSD 154-2的凭证存储数据572和/或响应于在步骤524个性化第二SSD 154-2和/或响应于在步骤526发送确认数据576,电子设备100可以配置为在步骤530自动启动可以包括新BLOB 155b-3的新SSD 154-3的创建,其中这种新BLOB 155b-3可以关于可以与安全元件145的最近个性化的SSD 154关联的SP-PK(例如,第二SSD 154-2的SP-PK 355b-2)。在任何情况下,不管新BLOB数据155b-3是否响应于从远程实体或者由电子设备100自动自己接收的新BLOB请求578而在步骤530在安全元件145的新SSD 154-3中生成和/或存储,这种新SSD 154-3及其BLOB数据155b-3都可以如上关于SSD 154-1和/或SSD 154-2所描述的那样使用,用于在安全元件145上更高效地储备新凭证。
应当理解,图5过程500中所示的步骤仅仅是说明性的并且现有的步骤可以被修改或略去,附加的步骤可以添加,并且某些步骤的次序可以更改。还应当理解,过程500的某些步骤(例如,步骤508-512)可以在安全元件145的至少一部分在安全元件供应商子系统450本地或以别的方式受其控制和/或在商业实体子系统400本地或以别的方式受其控制的时候(例如,当安全元件145在设备100制造期间储备到电子设备100中时)发生,和/或当过程500的其它步骤(例如,步骤514-530)可以在安全元件145在电子设备100的终端用户本地或以别的方式受其控制的时候(例如,当具有安全元件145的设备100被终端用户用来在安全元件145上储备凭证和/或在商业交易期间使用这种储备的凭证时)发生。
安全元件145可以是芯片中高度安全、防篡改的硬件部件,它可以被用于在电子设备100上存储敏感数据或应用。安全元件145的至少一部分可以在与全球移动通信系统(“GSM”)网络、通用移动电信系统(“UMTS”)和/或长期演进(“LTE”)标准网络兼容的电子设备100中可使用的可移动电路卡中提供,该电路卡诸如通用集成电路卡(“UICC”)或者订户身份模块(“SIM”)卡。作为替代或者附加地,安全元件145的至少一部分可以在可在设备100制造期间嵌入电子设备100中的集成电路中提供。作为替代或者附加地,安全元件145的至少一部分可以在可插进、插入或以别的方式耦合到电子设备100的外围设备,诸如微型安全数字(“SD”)存储卡,中提供。
图6的描述
图6是说明性过程600的流程图。在步骤602,在事件之前,过程600可以在电子设备的安全域中存储凭证服务提供商数据。例如,如以上关于图1-5所描述的,SP-PK 355b-1和/或BLOB 155b-1可以存储在电子设备100的第一SSD 154-1中(例如,在过程500的步骤512)。接下来,在步骤604,在该事件之后,过程600可以利用所存储的凭证服务提供商数据在安全域与凭证服务提供商之间建立安全通信信道。例如,如以上关于图1-5所描述的,设备100可以配置为利用BLOB 155b-1在SSD 154-1与金融机构子系统350之间建立安全通信信道(例如,在过程500的步骤518/520)。而且,过程600的事件可以包括终端用户实现对电子设备的访问和生成在安全域上储备凭证服务提供商的凭证的请求当中至少一个。例如,如以上关于图1-5所描述的,在设备100的终端用户实现对设备100的访问之前和/或在储备卡请求在过程500的步骤514生成之前,SP-PK 355b-1和/或BLOB 155b-1可以存储在电子设备100的第一SSD 154-1中(例如,在过程500的步骤512)。而且,如以上关于图1-5所描述的,在设备100的终端用户实现对设备100的访问之后和/或在储备卡请求在过程500的步骤514生成之后,设备100可以配置为利用BLOB 155b-1在SSD 154-1与金融机构子系统350之间建立安全通信信道(例如,在过程500的步骤518/520)。
应当理解,图6过程600中所示的步骤仅仅是说明性的并且现有的步骤可以被修改或略去,附加的步骤可以添加,并且某些步骤的次序可以更改。
图7的描述
图7是说明性过程700的流程图。在步骤702,过程700可以在电子设备的安全元件的第一安全域中储备凭证服务提供商的凭证。例如,如以上关于图1-5所描述的,金融机构子系统350的凭证存储数据572可以在电子设备100的安全元件145的SSD 154-2中储备(例如,在过程500的步骤522/524)。接下来,在步骤704,响应于步骤702的储备,过程700可以创建安全元件的第二安全域。例如,如以上关于图1-5所描述的,响应于凭证在SSD 154-2中的储备,新SSD 154-3可以在安全元件145上创建(例如,在过程500的步骤578/530)。
应当理解,图7过程700中所示的步骤仅仅是说明性的并且现有的步骤可以被修改或略去,附加的步骤可以添加,并且某些步骤的次序可以更改。
图1的进一步描述
如所提到的,商家终端220可以由商家子系统200的任何合适的商家提供,其中商家子系统200可以响应于设备100经NFC通信15(例如,指示SSD 154的所储备的applet数据153d的凭证)向终端220提供支付凭证而向设备100的用户提供产品或服务。基于这种接收到的NFC通信15,商家子系统200可以配置为生成并向收单银行子系统300发送数据295(例如,经商家子系统200与收单银行子系统300之间的通信路径25),其中数据295可以包括支付信息和可以指示用户的商务凭证和商家对产品或服务的购买价格的授权请求。也被称为支付处理器或收单器,收单银行子系统300可以是与商家子系统200关联的商家的银行合作伙伴,并且收单银行子系统300可以配置为与金融机构子系统350一起工作,以批准和结算(settle)由电子设备100经NFC通信15与商家子系统200所尝试的凭证交易。然后,收单银行子系统300可以把来自数据295的授权请求作为数据395转发到金融机构子系统350(例如,经收单银行子系统300与金融机构子系统350之间的通信路径35)。收单银行子系统300的一个、一些或全部部件可以利用一个或多个可以与设备100的处理器部件102相同或相似的处理器部件、一个或多个可以与设备100的存储器部件104相同或相似的存储器部件和/或一个或多个可以与设备100的通信部件106相同或相似的通信部件实现。
如所提到的,支付网络子系统360和发行银行子系统370可以是单个实体或单独的各个实体。例如,美国运通卡(American Express)可以既是支付网络子系统360又是发行银行子系统370。相反,Visa和MasterCard可以是支付网络子系统360,并且可以与发行银行子系统370,诸如大通(Chase)、富国银行(Wells Fargo)、美国银行(Bank of America)等,合作。在支付网络子系统360和发行银行子系统370是单独实体的情况下,支付网络子系统360可以从收单银行子系统300接收对数据395的授权请求,然后可以把该请求作为数据495转发到发行银行子系统370(例如,经支付网络子系统360与发行银行子系统370之间的通信路径45)。在支付网络子系统360和发行银行子系统370是相同实体的情况下,收单银行子系统300可以直接把对数据395的授权请求提交给发行银行子系统370。此外,支付网络子系统360可以代表发行银行子系统370对收单银行子系统300作出响应(例如,根据支付网络子系统360与发行银行子系统370之间商定的条件)。通过收单银行子系统300与发行银行子系统370之间的接口,支付网络子系统360可以减少每个收单银行子系统300和每个发行银行子系统370必须直接与之交互的实体个数。即,为了最小化金融机构子系统350的直接集成点,支付网络子系统360可以充当用于各个发行银行370和/或各个收单银行300的聚合体。如所提到的,金融机构子系统350可以包括至少两个支付网络子系统360(为了清晰,可以在图1中只示出一个支付网络子系统360),其中每个支付网络子系统360可以与两个或更多个发行银行子系统370合作。作为替代,系统1可以包括两个或更多个不同的金融机构子系统350(为了清晰,可以在图1中只示出一个金融机构子系统350),其中每个金融机构子系统350可以包括特定的支付网络子系统360并且还可以包括至少一个与那个特定支付网络子系统360合作的发行银行子系统370。作为替代或者附加地,金融机构子系统350还可以包括一个或多个收单银行,诸如收单银行子系统300。例如,收单银行子系统300可以是与发行银行子系统370相同的实体。支付网络子系统360的一个、一些或全部部件可以利用一个或多个可以与设备100的处理器部件102相同或相似的处理器部件、一个或多个可以与设备100的存储器部件104相同或相似的存储器部件和/或一个或多个可以与设备100的通信部件106相同或相似的通信部件实现。发行银行子系统370的一个、一些或全部部件可以利用一个或多个可以与设备100的处理器部件102相同或相似的处理器部件、一个或多个可以与设备100的存储器部件104相同或相似的存储器部件和/或一个或多个可以与设备100的通信部件106相同或相似的通信部件实现。
当发行银行子系统370接收授权请求(例如,作为数据395直接从收单银行子系统300或者作为数据495经支付网络子系统360间接地接收)时,包括在授权请求中的支付信息(例如,设备100的商务凭证信息)和购买量可以被分析,以确定与商务凭证关联的账户具有足以覆盖购买量的信用。如果不存在足够的资金,则通过向收单银行子系统300发送否定的授权响应499(即,经支付网络子系统360作为响应399发送),发行银行子系统370可以拒绝所请求的交易。但是,如果存在足够的资金,则通过向收单银行子系统300发送肯定的授权响应499/399,发行银行子系统370可以批准所请求的交易,并且金融交易可以完成,而授权响应的通知可以作为数据299从收单银行子系统300转发到商家子系统200。或者授权响应的类型可以作为授权响应数据399由用户金融子系统350提供给收单银行子系统300(例如,授权响应数据399可以经通信路径35直接从发行银行子系统370提供给收单银行子系统300,或者授权响应数据399可以基于经通信路径45从发行银行子系统370提供给支付网络子系统360的授权响应数据499而从支付网络子系统360提供给收单银行子系统300)。
如所提到的,虽然没有示出,但是图1的商业实体子系统400可以是安全平台系统并且可以包括安全移动平台(“SMP”)代理部件、SMP可信任服务管理器(“TSM”)部件、SMP密码服务部件、身份管理系统(“IDMS”)部件、欺诈系统部件、硬件安全模块(“HSM”)部件和/或存储部件。商业实体子系统400的一个、一些或全部部件可以利用一个或多个可以与设备100的处理器部件102相同或相似的处理器部件、一个或多个可以与设备100的存储器部件104相同或相似的存储器部件和/或一个或多个可以与设备100的通信部件106相同或相似的通信部件实现。商业实体子系统400的一个、一些或全部部件可以由与金融机构子系统350不同且独立的单个商业实体(例如,Apple公司)管理、所有、至少部分地控制和/或以别的方式提供。商业实体子系统400的部件可以彼此交互并且总起来与金融机构子系统350和电子设备100交互,用于在确定是否在设备100上储备来自金融机构子系统350的凭证时提供新的安全层和/或用于提供更无缝的用户体验。
商业实体子系统400的SMP代理部件可以配置为管理关于商业实体用户帐户的用户认证。这种SMP代理部件还可以配置为管理设备100上凭证的生命周期和储备。SMP代理部件可以是可以控制设备100上用户接口元件(例如,GUI 180的元件)的主要端点。设备100的操作系统或其它应用(例如,应用103、应用113和/或应用143)可以配置为调用具体的应用编程接口(“API”)并且SMP代理部件可以配置为处理那些API的请求并且利用可以得出设备100的用户接口的数据进行响应和/或利用可以与NFC部件120的安全元件145(例如,经商业实体子系统400与电子设备100之间的通信路径65)通信的应用协议数据单元(“APDU”)进行响应。这种APDU可以由商业实体子系统400经系统1的可信任的服务管理器(“TSM”)(例如,商业实体子系统400与金融机构子系统350之间的通信路径55的TSM)从金融机构子系统350接收。商业实体子系统400的SMP TSM部件可以配置为提供基于GlobalPlatform的服务,该服务可以被用来从金融机构子系统350执行设备100上的凭证储备操作。GlobalPlatform,或者任何其它合适的安全信道协议,可以使这种SMP TSM部件在设备100的安全元件145与用于商业实体子系统400与金融机构子系统350之间安全数据通信的TSM之间准确地通信和/或储备敏感账户数据。
商业实体子系统400的SMP TSM部件可以配置为使用商业实体子系统400的HSM部件来保护其密钥并生成新密钥。商业实体子系统400的SMP密码服务部件可以配置为提供在系统1的各种部件之间进行用户认证和/或秘密数据传输所需的密钥管理和密码操作。这种SMP密码服务部件可以利用商业实体子系统400的HSM部件用于安全密钥存储和/或不透明的密码操作。商业实体子系统400的SMP密码服务部件的支付密码服务可以配置为与商业实体子系统400的IDMS部件交互,以检索文件上(on-file)信用卡或者与商业实体的用户帐户关联的其它类型的商务凭证。这种支付密码服务可以配置为是商业实体子系统400中可以在存储器中具有描述其用户帐户的商务凭证(例如,信用卡号)的明文(及,未散列)信息的唯一部件。商业实体子系统400的商业实体欺诈系统部件可以配置为基于商业实体已知的关于商务凭证和/或用户的数据(例如,基于与具有商务实体的用户帐户关联的数据(例如,商务凭证信息)和/或可以在商业实体控制下的任何其它合适数据和/或可以不在金融机构子系统350控制下的任何其它合适数据)对商务凭证运行商业实体欺诈检查。商业实体子系统400的这种商业实体欺诈系统部件可以配置为基于各种因素或阈值为凭证确定商业实体欺诈得分。此外或者作为替代,商业实体子系统400可以包括商店部件,这可以是各种服务向设备100的用户的提供商(例如,例如,用于销售/租赁要由设备100播放的媒体的iTunesTMStore、用于销售/租赁要在设备100上使用的应用的Apple App StoreTM、用于存储来自设备100的数据的Apple iCloudTM Service、用于在线购买各种Apple产品的Apple OnlineStore,等等)。仅仅作为一个例子,商业实体子系统400的这种商店部件可以配置为管理应用113和向设备100提供应用113(例如,经通信路径65),其中应用113可以是任何合适的应用,诸如银行应用、电子邮件应用、文本消息传输应用、互联网应用,或者任何其它合适的应用。任何合适的通信协议或者通信协议组合可以被商业实体子系统400用来在商业实体子系统400的各种部件之间传送数据和/或在商业实体子系统400与系统1的其它部件(例如,经图1的通信路径55与金融机构子系统350和/或经图1的通信路径65与电子设备100)之间传送数据。
图2、图3和图4的进一步描述
如所提到的,并且如图2中所示,电子设备100可以包括,但不限于,音乐播放器(例如,通过位于加州Cupertino的Apple公司可获得的iPodTM)、视频播放器、静止图像播放器、游戏机、其它媒体播放器、音乐记录器、电影或视频摄像机或录像机、相机、其它媒体记录器、无线电、医疗设备、家用电器、运输车辆仪表、乐器、计算器、蜂窝电话(例如,通过Apple公司可获得的iPhoneTM)、其它无线通信设备、个人数字助理、遥控器、传呼机、计算机(例如,台式机、笔记本电脑、平板电脑(例如,通过Apple公司可获得的iPadTM)、服务器等)、监视器、电视、音响设备、机上盒(setup box)、机顶盒、内置扬声器(boom box)、调制解调器、路由器、打印机,或者其任意组合。在一些实施例中,电子设备100可以执行单一功能(例如,专用于进行金融交易的设备)并且,在其它实施例中,电子设备100可以执行多个功能(例如,进行金融交易、播放音乐并且接收和发送电话呼叫的设备)。电子设备100可以是可以配置为在用户行进当中的任何地方进行金融交易的任何便携式、移动的、手持式的或者微型的电子设备。一些微型电子设备可以具有小于手持式电子设备,诸如iPodTM,的形式因子。说明性微型电子设备可以集成到各种对象中,这各种对象可以包括,但不限于,手表、戒指、项链、皮带、皮带配饰、耳机、鞋的配件、虚拟现实设备、眼镜、其它可穿戴电子产品、运动器材的配件、健身器材的配件、钥匙链,或其任何组合。作为替代,电子设备100可以完全不是便携式的,而是可以是大致静止的。
如图2中所示,例如,电子设备100可以包括处理器102、存储器104、通信部件106、电源108、输入部件110、输出部件112、天线116和近场通信(“NFC”)组件120。电子设备100还可以包括可以提供一条或多条有线或无线通信链路或路径的总线118,用于向设备100的各种其它部件、从这些部件或者在它们之间传输数据和/或功率。在一些实施例中,电子设备100的一个或多个部件可以被组合或略去。而且,电子设备100可以包括图2中未结合或包括的其它部件。例如,电子设备100可以包括任何其它合适的部件或者图2中所示部件的几个实例。为了简化,每种部件在图2中只示出一个。
存储器104可以包括一个或多个存储介质,包括例如,硬驱、闪存存储器、诸如只读存储器(“ROM”)的永久存储器、诸如随机存取存储器(“RAM”)的半永久性存储器、任何其它合适类型的存储部件,或者其任意组合。存储器104可以包括高速缓冲存储器,它可以是用于临时存储用于电子设备应用的数据的一种或多种不同类型的存储器。存储器104可被固定地嵌入到电子设备100中或者可以结合在一种或多种可重复插入和从电子设备100除去的合适类型的卡(例如,订户身份模块(“SIM”)卡或安全数字(“SD”)存储卡)上。存储器104可以存储媒体数据(例如,音乐和图像文件)、软件(例如,用于在设备100上实现功能)、固件、偏好信息(例如,媒体重放偏好)、生活方式信息(例如,饮食偏好)、锻炼信息(例如,通过锻炼监测设备获得的信息)、交易信息(例如,诸如信用卡信息的信息)、无线连接信息(例如,可以使设备100建立无线连接的信息)、订阅信息(例如,对用户订阅的播客或电视节目或其它媒体保持跟踪的信息)、联系信息(例如,电话号码和电子邮件地址)、日历信息、任何其它合适的数据,或者其任意组合。
可以提供通信部件106,以允许设备100利用任何合适的通信协议与一个或多个其它电子设备或服务器或子系统(例如,图1的一个或多个子系统或其它部件)通信。例如,通信部件106可以支持Wi-Fi(例如,802.11协议)、ZigBee(例如,802.15.4协议)、WiDiTM、以太网、BluetoothTM、BluetoothTM低能量(“BLE”)、高频系统(例如,900MHz,2.4GHz和5.6GHz的通信系统)、红外线、传输控制协议/互联网协议(“TCP/IP”)(例如,在TCP/IP层每一层当中使用的任何协议)、流控制传输协议(“SCTP”)、动态主机配置协议(“DHCP”)、超文本传输协议(“HTTP”)、BitTorrentTM、文件传输协议(“FTP”)、实时传输协议(“RTP”)、实时流协议(“RTSP”)、实时控制协议(“RTCP”)、远程音频输出协议(“RAOP”)、实际数据传输协议TM(“RDTP”)、用户数据报协议(“UDP”)、安全外壳协议(“SSH”)、无线分布系统(“WDS”)桥接、可以被无线和蜂窝电话和个人电子邮件设备使用的任何通信协议(例如,全球移动通信系统(“GSM”)、GSM加增强数据速率GSM演进(“EDGE”)、码分多址(“CDMA”)、正交频分多址(“OFDMA”)、高速分组接入(“HSPA”),多频带等)、可以被低功率无线个人区域网(“6LoWPAN”)模块使用的任何通信协议、任何其它通信协议,或者其任意组合。通信部件106还可以包括或电耦合到可以使电子设备100能够通信耦合到另一设备(例如,主计算机或者辅助设备)并与那另一设备无线地或者经有线连接(例如,利用连接器端口)通信的任何合适的收发器电路系统(例如,经总线118耦合到收发器电路系统或天线116)。通信部件106可以配置为确定电子设备100的地理位置。例如,通信部件106可以利用全球定位系统(“GPS”)或者可以使用小区塔定位技术或Wi-Fi技术的区域性或站点范围的定位系统。
电源108可以包括用于接收和/或生成电力并且用于把这种电力提供给电子设备100的一个或多个其它部件的任何合适的电路系统。例如,电源108可以耦合到电网(例如,当设备100不充当便携式设备或者当设备的电池利用由发电厂生成的电力在电源插座充电时)。作为另一个例子,电源108可以配置为从自然来源生成电力(例如,利用太阳能电池的太阳能电力)。作为另一个例子,电源108可以包括用于提供电力的一个或多个电池(例如,当设备100充当便携式设备时)。例如,电源108可以包括一个或多个电池(例如,凝胶、镍金属氢化物、镍镉、镍氢、铅酸或锂离子电池)、不间断的或持续的电源(“UPS”或“CPS”)以及用于处理从发电源接收到的电力(例如,由发电厂生成并且经电源插座或别的方式输送到用户的电力)的电路系统。电力可以由电源108作为交流电流或直流电流提供,并且可以被处理,以便变换电力或者把接收到的电力限定到特定的特性。例如,电力可以变换到直流电流或者从其变换,并且局限于平均功率、有效功率、峰值功率、每个脉冲的能量、电压、电流(例如,以安培测量)或者所接收功率的任何其它特性中的一个或多个值。电源108可以操作成在不同的时间请求或提供特定数量的电力,例如,基于电子设备100或可以耦合到电子设备100的外围设备的要求或需求(例如,在给电池充电时比在电池已经充满电时要求更多的电力)。
可以提供一个或多个输入部件110,以允许用户与设备100交互或接口。例如,输入部件110可以采取各种形式,包括但不限于,触摸板、拨号盘、点击轮、滚轮、触摸屏、一个或多个按钮(例如,键盘)、鼠标、操纵杆、跟踪球、麦克风、相机、扫描仪(例如,条形码扫描仪或者可以从代码,诸如条形码、QR码等,获得产品识别信息的任何其它合适的扫描仪)、接近传感器、光检测器、运动传感器、生物统计特征传感器(例如,指纹读取器或其它特征识别传感器,这种传感器可以结合为了认证用户而可以让电子设备100访问的特征处理应用协同操作),及其组合。每个输入部件110可以配置为提供一个或多个专用的控制功能,用于进行选择或发布与操作设备100关联的命令。
电子设备100还可以包括可以向设备100的用户给出信息(例如,图形的、可听的和/或触觉信息)的一个或多个输出部件112。例如,电子设备100的输出部件112可以采取各种形式,包括但不限于,音频扬声器、耳机、音频线路输出、可视显示器、天线、红外端口、触觉输出部件(例如,振动滚筒,振动器等),或者其组合。
作为具体的例子,电子设备100可以包括显示输出部件,作为输出部件112。这种显示输出部件可以包括用于向用户呈现可视数据的任何合适类型的显示器或接口。显示输出部件可以包括嵌入在设备100中或耦合到设备100的显示器(例如,可移动显示器)。显示输出部件可以包括,例如,液晶显示器(“LCD”)、发光二极管(“LED”)显示器、有机发光二极管(“OLED”)显示器、表面传导电子发射显示器(“SED”)、碳纳米管显示器、纳米晶体显示器、任何其它合适类型的显示器,或者其组合。作为替代,显示输出部件可以包括可移动显示器或者用于在远离电子设备100的表面上提供内容显示的投影系统,诸如像视频投影仪、平视显示器,或三维(例如,全息)显示器。作为另一个例子,显示输出部件可以包括数字或机械取景器,诸如在紧凑型数码相机中所见类型的取景器,反射式照相机,或者任何其它合适的静态或视频相机。显示输出部件可以包括显示驱动电路系统,用于驱动显示驱动器的电路系统,或者这两者,并且这种显示输出部件可以操作为根据处理器102指示显示内容(例如,媒体重放信息、用于在电子设备100上实现的应用的应用屏幕、关于正在进行的通信操作的信息、关于进入的通信请求的信息、设备操作屏幕,等等)。
应当指出,一个或多个输入部件和一个或多个输出部件有时候可以在本文中被统称为输入/输出(“I/O”)部件或I/O接口(例如,输入部件110和输出部件112被统称为I/O部件或I/O接口114)。例如,输入部件110和输出部件112有时候可以是可通过用户触摸显示屏幕来接收输入信息并且还可以经由相同的显示屏幕向用户提供可视信息的单个I/O部件114,诸如触摸屏。
电子设备100的处理器102可以包括可操作为控制电子设备100的一个或多个部件的操作和执行的任何处理电路系统。例如,处理器102可以从输入部件110接收输入信号和/或通过输出部件112驱动输出信号。如图2中所示,处理器102可以被用来运行一个或多个应用,诸如应用103、应用113和/或应用143。每个应用103/113/143可以包括,但不限于,一个或多个操作系统应用、固件应用、媒体重放应用、媒体编辑应用、NFC低功率模式应用、生物统计特征处理应用、密码应用,或者任何其它合适的应用。例如,处理器102可以加载应用103/113/143,作为用户接口程序,以确定经由输入部件110或设备100的其它部件接收的指令或数据如何可以操纵信息可被存储和/或经输出部件112提供给用户的方式。应用103/113/143可以由处理器102从任何合适的来源访问,诸如从存储器104(例如,经由总线118)或者从另一个设备或服务器(例如,经由通信部件106)访问。处理器102可以包括单个处理器或多个处理器。例如,处理器102可以包括至少一个“通用”微处理器、通用和专用微处理器的组合、指令集处理器、图形处理器、视频处理器和/或相关的芯片集,和/或专用微处理器。处理器102还可以包括用于高速缓存目的的板载存储器。
电子设备100还可以包括近场通信(“NFC”)部件120。NFC部件120可以是任何合适的基于接近性的通信机制,这种机制可以启用电子设备100与商家子系统200(例如,商家支付终端)之间非接触的基于接近性的交易或通信15。NFC部件120可以允许在相对低数据率(例如,424kbps)的近距离通信,并且可以遵循任何合适的标准,诸如1SO/IEC 7816、ISO/IEC 18092、ECMA-340、ISO/IEC 21481、ECMA-352、ISO 14443和/或ISO 15593。作为替代或者附加地,NFC部件120可以允许在相对高数据率(例如,370Mbps)的近距离通信,并且可以遵循任何合适的标准,诸如可以遵循任何合适的标准,诸如TransferJetTM协议。NFC部件120与商家子系统200之间的通信可以在设备与商家子系统200之间任何合适的近距离发生(见例如图1的距离D),诸如大约2至4厘米的距离,并且可以在任何合适的频率操作(例如,13.56MHz)。例如,NFC部件120的这种近距离通信可以经磁场感应发生,这可以允许NFC部件120与其它NFC设备通信和/或从具有射频识别(“RFID”)电路系统的标签检索信息。NFC部件120可以提供获取商品信息、传送支付信息以及以别的方式与外部设备(例如,商家子系统200的终端220)通信的方式。
NFC部件120可以包括用于在电子设备100与商家子系统200之间启用非接触的基于接近性的通信15的任何合适的模块。如图2中所示,例如,NFC部件120可以包括NFC设备模块130、NFC控制器模块140和NFC存储器模块150。
NFC设备模块130可以包括NFC数据模块132、NFC天线134和NFC放大器136。NFC数据模块132可以配置为包含、路由或以别的方式提供可以作为非接触的基于接近性的通信或NFC通信15的一部分由NFC部件120发送到商家子系统200的任何合适数据。此外或者作为替代,NFC数据模块132可以配置为包含、路由或以别的方式接收可以作为非接触的基于接近性的通信15的一部分由NFC部件120从到商家子系统200接收的任何合适的数据。
NFC收发器或NFC天线134可以是一般可以启用通信15从NFC数据模块132到商家子系统200和/或从子系统200到NFC数据模块132的传送的任何合适的天线或其它合适收发器电路系统。因此,NFC天线(例如,环路天线)可以具体地为启用NFC部件120的非接触的基于接近性的通信能力而提供。
作为替代或者附加地,NFC部件120可以使用与电子设备100的另一通信部件(例如,通信部件106)可以使用的相同的收发器电路系统或天线(例如,天线116)。例如,通信部件106可以充分利用天线116来启用电子设备100与另一远程实体之间的Wi-Fi,BluetoothTM、蜂窝或GPS通信,同时NFC部件120可以充分利用天线116来启用NFC设备模块130的NFC数据模块132与另一实体(例如,商家子系统200)之间非接触的基于接近性的通信或NFC通信15。在这种实施例中,NFC设备模块130可以包括NFC放大器136,它可以配置为对NFC部件120的数据(例如,NFC数据模块132中的数据)提供适当的信号放大,使得这种数据可以适当地由共享的天线116作为通信15发送到子系统200。例如,在天线116(例如,非环路天线)可以被正确启用来在电子设备100与商家子系统200之间传送非接触的基于接近性的通信或NFC通信15之前,共享的天线116可能需要来自放大器136的放大(例如,可能需要比利用天线116发送其它类型数据所需更多的功率来利用天线116发送NFC数据)。
NFC控制器模块140可以包括至少一个NFC处理器模块142。NFC处理器模块142可以与NFC设备模块130协同操作,以启用、激活、允许和/或以别的方式控制NFC部件120用于在电子设备100与商家子系统200之间传送NFC信息15。NFC处理器模块142可以作为单独的部件存在、可以集成在另一芯片集中,或者可以与处理器102集成,例如,作为片上系统(“SoC”)的一部分。如图2中所示,NFC控制器模块140的NFC处理器模块142可以被用来运行一个或多个应用,诸如可以帮助指示NFC部件120的功能的NFC低功率模式或钱包应用143。应用143可以包括,但不限于,一个或多个操作系统应用、固件应用、NFC低功率应用、钱包应用、密码应用,或任何其它可以让NFC组件120访问的合适应用(例如,应用103/113)。NFC控制器模块140可以包括一个或多个协议,诸如近场通信接口和协议(“NFCIP-1”),用于与另一NFC设备(例如,商家子系统200)进行通信。该协议可以被用来修改通信速度并指定所连接的设备之一作为控制近场通信的启动器设备。
NFC控制器模块140可以控制NFC部件120的近场通信模式。例如,NFC处理器模块142可以配置为在用于从NFC标签(例如,从商家子系统200)读取信息(例如,通信15)到NFC数据模块132的读取器/写入器模式、用于与另一启用NFC的设备(例如,商家子系统200)交换数据(例如,通信15)的对等模式和用于允许另一启用NFC的设备(例如,商家子系统200)从NFC数据模块132读取信息(例如,通信15)的卡仿真模式之间切换NFC设备模块130。NFC控制器模块140还可以配置为在主动和被动模式之间切换NFC部件120。例如,NFC处理器模块142可以配置为在其中NFC设备模块130可以生成其自己的RF场的主动模式和其中NFC设备模块130可以使用负载调制把数据传送到生成RF场的另一设备(例如,商家子系统200)的被动模式之间切换NFC设备模块130(例如,协同NFC天线134或共享的天线116)。与这种主动模式下的操作相比,这种被动模式下的操作可以延长电子设备100的电池寿命。NFC设备模块130的模式可以基于设备100的用户的偏好和/或基于其制造商的偏好来控制,这可以由在设备100上运行的应用(例如,应用103和/或应用113和/或应用143)定义或以别的方式指示。
NFC存储器模块150可以协同NFC设备模块130和/或NFC控制器模块140协同操作,以允许电子设备100与商家子系统200之间的NFC通信15。NFC存储器模块150可以嵌入NFC设备硬件中或NFC集成电路(“IC”)中。NFC存储器模块150可以是防篡改的并且可以提供安全元件145的至少一部分。例如,NFC存储器模块150可以存储与可以被NFC控制器模块140访问的关于NFC通信的一个或多个应用(例如,应用143)。例如,这种应用可以包括金融支付应用、安全访问系统应用、忠诚卡应用及其它应用,这些应用可以被加密。在一些实施例中,NFC控制器模块140和NFC存储器模块150可以独立地或组合地提供专用的微处理器系统,该系统可以包含要被用来在电子设备100上存储和执行敏感应用的操作系统、存储器、应用环境和安全协议。NFC控制器模块140和NFC存储器模块150可以独立地或组合地提供安全元件145的至少一部分,该安全元件可以是防篡改的。例如,这种安全元件145可以配置为提供防篡改的平台(例如,作为单或多芯片的安全微控制器),该平台可以能够根据可以由一组良好识别的可信任权威机构(例如,金融机构子系统和/或诸如GlobalPlatform的工业标准的权威机构)阐述的规则和安全要求安全地托管应用及其秘密和密码数据。安全元件145可以是芯片中高度安全,防篡改的硬件部件,它可被用于在电子设备100上存储敏感数据或应用。安全元件145的至少一部分可以在可移动电路卡中提供,诸如通用集成电路卡(“UICC”)或订户身份模块(“SIM”)卡,其中可移动电路卡可与全球移动通信系统(“GSM”)网络、通用移动电信系统(“UMTS”)和/或长期演进(“LTE”)标准的网络兼容的电子设备100中使用。作为替代地或者附加地,安全元件145的至少一部分可以在制造设备100的过程中可嵌入电子设备100中的集成电路中提供。作为替代或者附加地,安全元件145的至少一部分可以在可插进、插入或以别的方式耦合到电子设备100的外围设备,诸如微安全数字(“SD”)存储卡,中提供。NFC存储器模块150可以是存储器104的一部分或者特定于NFC部件120的至少一个专用芯片。NFC存储器模块150可以驻留在SIM、电子设备100的母板上的专用芯片,或者作为存储卡中的外部插件。NFC存储器模块150可以完全独立于NFC控制器模块140,并且可以由设备100的不同部件提供和/或由不同的可移动子系统提供给电子设备100。
如图2和4中所示,NFC存储器模块150可以包括发行商安全域(“ISD”)152和至少一个补充安全域(“SSD”)154(例如,服务提供商安全域(“SPSD”),可信任的服务管理器安全域(“TSMSD”)等)以及CASD 158中的一个或多个,其中的一个或多个可以由NFC规范标准(例如,GlobalPlatform)定义和管理。例如,1SD 152可以是NFC存储器模块150的一部分,其中,可信任的服务管理器(“TSM”)或发行金融机构(例如,商业实体子系统400和/或金融机构子系统350)可以存储密钥和/或其它合适的信息,用于创建或以别的方式在电子设备100上储备一个或多个凭证(例如,与各种信用卡、银行卡、礼品卡、门禁卡、交通卡、数字货币(例如,比特币和相关联的支付网络)等相关联的商务凭证)(例如,经由通信部件106),用于凭证内容管理和/或用于安全域管理。具体的补充安全域(“SSD”)154可以与特定的TSM和至少一个具体的商务凭证(例如,具体的信用卡凭证或具体的公共交通卡凭证)相关联,这些凭证可以向电子设备100提供具体的特权或支付权限。例如,第一支付网络子系统360(例如,MasterCard)可以是用于第一SSD 154-1的TSM或凭证服务提供商并且那个第一SSD 154-1的至少一个applet 153可以与那个第一支付网络子系统360管理的商务凭证关联,而第二支付网络子系统360(例如,Visa)可以是用于第二SSD 154-2的TSM或凭证服务提供商并且那个第二SSD 154-2的至少一个applet 153可以与那个第二支付网络子系统360管理的商务凭证关联。
可以提供安全特征,用于启用NFC部件120的使用(例如,用于启用在设备100上储备的商务凭证的激活),这在从电子设备100向商家子系统200发送作为NFC通信15的秘密支付信息,诸如凭证信用卡信息或银行账户信息,时可以是特别有用的。这种安全特征还可以包括可以具有受限访问的安全存储区域。例如,可以需要提供经个人识别号码(“PIN”)输入或者经与生物统计传感器的用户交互的用户认证来访问安全存储区域(例如,让用户更改安全元件145的安全域元件的生命周期状态)。在某些实施例中,安全特征的一些或全部可以存储在NFC存储器模块150中。另外,用于与子系统200通信的安全信息,诸如认证密钥,可以存储在NFC存储器模块150中。在某些实施例中,NFC存储器模块150可以包括嵌入在电子设备100中的微控制器。
虽然NFC部件120已经关于近场通信进行了描述,但是应当理解,部件120可以配置为在电子设备100与商家子系统200之间提供任何合适的非接触的基于接近性的移动支付或者任何其它合适类型的非接触的基于接近性的通信15。例如,NFC部件120可以配置为提供任何合适的短距离通信,诸如涉及电磁/静电耦合技术的那些通信。
电子设备100还可以具有外壳101,其中外壳101可以至少部分地封住设备100的一个或多个部件,用于保护其不受设备100外部的碎屑和其它退化力影响。在一些实施例中,一个或多个部件可以在其自己的外壳中提供(例如,输入部件110可以是在其自己的外壳中的独立的键盘或鼠标,该输入部件可以无线地或者通过引线与处理器102通信,其中处理器102可以在其自己的外壳中提供)。
如所提到的,并且如图3中所示,电子设备100的一个具体例子可以是手持式电子设备,诸如iPhoneTM,其中外壳101可以允许对各种输入部件110a-110i、各种输出部件112a-112c和各种I/O部件114a-114d的访问,通过这些部件,设备100和用户和/或外界环境可以彼此接口。输入部件110a可以包括按钮,当按钮被压下时,可以使当前运行的应用的“主(home)”屏幕或菜单由设备100显示。输入部件110b可以是用于在睡眠模式与唤醒模式之间或者在任何其它合适的模式之间切换电子设备100的按钮。输入部件110c可以包括两个位置的滑块,该滑块可以在电子设备100的某些模式下禁用一个或多个输出部件112。输入部件110d和110e可以包括用于增加和减小音量输出或者电子设备100的输出部件112的任何其它特性输出的按钮。输入部件110a-110e当中每一个都可以是机械输入部件,诸如由圆顶开关、滑动开关、控制垫、按键、旋钮、滚轮或者任何其它合适形式支持的按钮。
输出部件112a可以是可被用来显示可视或图形用户接口(“GUI”)180的显示器,它可以允许用户与电子设备100交互。GUI 180可以包括可在显示输出部件112a的全部或一些区域中显示的各种层、窗口、屏幕、模板、元素、菜单和/或当前运行的应用(例如,应用103和/或应用113和/或应用143)的其它部件。例如,如图3中所示,GUI 180可以配置为显示第一屏幕190。用户输入部件110a-110i当中一个或多个可以被用来导航通过GUI 180。例如,一个用户输入部件110可以包括滚轮,它可以允许用户选择GUI 180的一个或多个图形元素或图标182。图标182还可以经可包括显示输出部件112a和关联的触摸输入部件110f的触摸屏I/O部件114a选择。这种触摸屏I/O部件114a可以采用任何合适类型的触摸屏输入技术,诸如但不限于,电阻式、电容式、红外线、表面声波、电磁或近场成像。此外,触摸屏I/O部件114a可以采用单点或多点(例如,多触摸)输入感测。
图标182可以代表当被用户选择时可在显示输出部件112a的全部或一些区域中显示的各种层、窗口、屏幕、模板、元素和/或其它部件。此外,具体图标182的选择可以导致层次性的导航过程。例如,具体图标182的选择可以导致GUI 180的新屏幕,该新屏幕可以包括相同应用的或者与那个图标182关联的新应用的一个或多个附加图标或其它GUI元素。文本指示符181可以在每个图标182上或附近显示,以方便用户解释每个图形元素图标182。应当认识到,GUI180可以包括在层次和/或非层次结构中布置的各种部件。当选择具体的图标182时,设备100可以配置为打开与那个图标182关联的新应用并且显示与那个应用关联的GUI 180的对应屏幕。例如,当利用“设置助手”文本指示符181标记的具体图标182(即,具体图标183)被选择时,设备100可以启动或以别的方式访问具体的设置应用并且可以显示可包括用于以具体方式与设备100交互的一个或多个工具或特征的具体用户接口的屏幕。对于每个应用,屏幕可以在显示输出部件112a上显示并且可以包括各种用户接口元素。此外或者作为替代,对于每个应用,各种其它类型的非可视信息可以经设备100的各种其它输出部件112提供给用户。关于各种GUI 180所描述的操作可以利用广泛各种图形元素和可视方案实现。因此,所描述的实施例不是要局限于本文所采用的精确用户接口惯例。更确切地说,实施例可以包括广泛各种用户接口风格。
电子设备100还可以包括各种其它I/O部件114,这些部件可以允许设备100与其它设备之间的通信。I/O部件114b可以是连接端口,该端口可以配置为用于从远程数据源发送和接收数据文件,诸如媒体文件或消费者订单文件,和/或从外部电源发送和接收电力。例如,I/O部件114b可以是专用端口,诸如来自位于加州Cupertino的Apple公司的LightningTM连接器或30针基座连接器。I/O部件114c可以是用于接纳SIM卡或任何其它类型可移动部件的连接槽。I/O部件114d可以是用于连接可以包括或可以不包括麦克风部件的音频耳机的耳机插孔。电子设备100还可以包括至少一个音频输入部件110g,诸如麦克风,以及至少一个音频输出部件112b,诸如音频扬声器。
电子设备100还可以包括至少一个触觉或触感输出部件112c(例如,振动滚筒)、相机和/或扫描仪输入部件110h(例如,视频或静态相机,和/或条形码扫描仪或者任何其它合适的扫描仪,这些部件可以从代码,诸如条形码、QR码等,获得产品识别信息),以及生物统计输入部件110i(例如,指纹读取器或其它特征识别传感器,它可以协同为了认证用户而可以让电子设备100访问的特征处理应用协同操作)。如图3中所示,生物统计输入部件110i的至少一部分可以结合到或者以别的方式与输入部件110a或设备100的任何其它合适的输入部件110组合。例如,生物统计输入部件110i可以是指纹读取器,它可以配置为在用户通过利用手指按下输入部件110a来与机械输入部件110a交互时扫描用户那根手指的指纹。作为另一个例子,生物统计输入部件110i可以是指纹读取器,它可以与触摸屏I/O部件114a的触摸输入部件110f组合,使得生物统计输入部件110i可以配置为在用户通过利用手指按下触摸屏输入部件110f或者沿着其滑动手指来与触摸屏输入部件110f交互时扫描用户那根手指的指纹。而且,如所提到的,电子设备100还可以包括NFC部件120,它可以经天线116和/或天线134(图3中未示出)让子系统200可通信地访问。NFC部件120可以至少部分地位于外壳101中,并且可以识别与NFC部件120关联的一个或多个天线的一般位置(例如,天线116和/或天线134的一般位置)的标志或符号121可以在外壳101的外部提供。
而且,关于图1-7所描述的一个、一些或全部过程每个都可以通过软件来实现,但也可以用硬件、固件,或者软件、硬件和固件的任意组合来实现。用于执行这些过程的指令也可以体现为记录在机器或计算机可读介质上的机器或计算机可读代码。在一些实施例中,计算机可读介质可以是非临时性计算机可读介质。这种非临时性计算机可读介质的例子包括但不限于只读存储器、随机存取存储器、闪速存储器、CD-ROM、DVD、磁带、可移动存储卡和数据存储设备(例如,图2的存储器104和/或存储器模块150)。在其它实施例中,计算机可读介质可以是临时性计算机可读介质。在这种实施例中,临时性计算机可读介质可以在网络耦合的计算机系统上分布,使得计算机可读代码以分布的方式被存储和执行。例如,这种临时性计算机可读介质可以利用任何合适的通信协议从一个电子设备传送到另一电子设备(例如,计算机可读介质可以经由通信组件106传送到电子设备100(例如,作为应用103的至少一部分和/或作为应用113的至少一部分和/或作为应用143的至少一部分))。这种临时性计算机可读介质可以体现计算机可读代码、指令、数据结构、程序模块,或者调制的数据信号中的其它数据,诸如载波或其它传输机制,并且可以包括任何信息交付介质。调制的数据信号可以是具有其一个或多个特性集合或者以在信号中编码信息这样一种方式改变的信号。
应当理解,系统1的任何一个、每个或者至少一个模块或部件或子系统可以作为软件构造、固件构造、一个或多个硬件部件或者其组合来提供。例如,系统1的任何一个、每个或者至少一个模块或部件或子系统可以在可由一个或多个计算机或其它设备执行的计算机可执行指令,诸如程序模块,的一般语境下描述。一般而言,程序模块可以包括可执行一个或多个特定任务或者可实现一个或多个特定抽象数据类型的一个或多个例程、程序、对象、部件和/或数据结构。还应当理解,系统1的模块和部件和子系统的数量、配置、功能和互连仅仅是说明性的,并且现有模块和部件和/或子系统的数量、配置、功能和互连可以被修改或略去,附加的模块、部件和/或子系统可以添加,并且某些模块、部件和/或子系统的互连可以更改。
系统1的一个或多个模块或部件或子系统的至少一部分可以以任何合适的方式存储在系统1的实体中或以别的方式可以让其访问(例如,在设备100的存储器中(例如,作为应用103的至少一部分和/或作为应用113的至少一部分和/或作为应用143的至少一部分))。例如,NFC部件120的任何一个或每个模块可以利用任何合适的技术实现(例如,作为一个或多个集成电路设备),并且不同的模块在结构、能力和操作上可以相同或可以不完全相同。系统1的任何一个或全部模块或其它部件可以安装在扩展卡上、直接安装在系统母板上,或者集成到系统芯片集部件中(例如,集成到“北桥”芯片中)。
系统1的任何一个或每个模块或部件(例如,NFC部件120的任何一个或每个模块)可以是利用适于各种总线标准的一个或多个扩展卡实现的专用系统。例如,所有模块可以安装在不同的互连的扩展卡上或者所有模块可以安装在一个扩展卡上。关于NFC部件120,仅仅作为例子,NFC部件120的模块可以通过扩展槽(例如,外围部件互连(“PCI”)槽或PCIexpress槽)与设备100的母板或处理器102接口。作为替代,NFC部件120不需要是可移动的,而是可以包括可包括专用于模块使用的存储器(例如,RAM)的一个或多个专用模块。在其它实施例中,NFC部件120可以集成到设备100中。例如,NFC部件120的模块可以利用设备100的设备存储器104的一部分。系统1的任何一个或每个模块或部件(例如,NFC部件120的任何一个或每个模块)可以包括其自己的处理电路系统和/或存储器。作为替代,系统1的任何一个或每个模块或部件(例如,NFC部件120的任何一个或每个模块)可以与NFC部件120的任何其它模块和/或设备100的处理器102和/或存储器104共享处理电路系统和/或存储器。
如所提到的,电子设备100可以利用图形数据驱动显示器(例如,显示输出部件112a),以显示图形用户接口(“GUI”)180。GUI 180可以配置为经触摸输入部件110f接收触摸输入。通过体现为触摸屏(例如,利用显示输出部件112a作为I/O部件114a),触摸I/O部件110f可以显示GUI 180。作为替代,GUI 180可以在与触摸输入部件110f分离的显示器(例如,显示输出部件112a)上显示。GUI 180可以包括在接口中特定位置显示的图形元素。图形元素可以包括,但不限于,各种显示的虚拟输入设备,包括虚拟滚轮、虚拟键盘、虚拟旋钮、虚拟按钮、任何虚拟用户界面(“UI”),等等。用户可以在触摸输入部件110f上一个或多个特定位置执行手势,该手势可以与GUI 180的图形元素关联。在其它实施例中,用户可以在与GUI 180的图形元素的位置独立的一个或多个位置执行手势。在触摸输入部件110上执行的手势可以直接或间接地操纵、控制、修改、移动、致动、启动或一般而言影响GUI中的图形元素,诸如光标、图标、媒体文件、列表、文本、图像的全部或部分,等等。例如,在触摸屏的情况下,用户可以通过在触摸屏上的图形元素之上执行手势来直接与图形元素交互。作为替代,触摸板可以一般地提供间接交互。手势还可以影响未显示的GUI元素(例如,使用户接口显示)或者可以影响设备100的其它动作(例如,影响GUI、应用或操作系统的状态或模式)。手势可以与或可以不与所显示的光标协同地在触摸输入部件110上执行。例如,在其中手势在触摸板上执行的情况下,光标或指针可以在显示屏或触摸屏上显示并且光标或指针可以经触摸板上的触摸输入来控制,以便与显示屏上的图形对象交互。在其中手势在触摸屏上直接执行的其它实施例中,用户可以与触摸屏上的对象直接交互,有或没有光标或指针在触摸屏上显示都可以。响应于或者基于触摸输入部件110上的触摸或靠近触摸,反馈可以经总线118提供给用户。反馈可以以光学、机械、电、嗅觉、声学等等方式或者其任何组合并且以可变或不变的方式发送。
所述概念的进一步应用
虽然已经描述了用于在电子设备的安全元件的安全域中高效存储凭证服务提供商数据的系统、方法和计算机可读介质,但是应当理解,在不以任何方式背离本文所述主题的精神和范围的情况下,可以对其进行许多改变。不管是现在已知的还是以后设计的,如本领域普通技术人员可以看到的对所要求保护的主题的非实质性变化都被明确地预期等效地处于权利要求的范围内。因此,现在或以后对本领域普通技术人员已知的明显替代被定义为在所定义元素的范围内。
所述概念的一些实施例
根据本发明公开的一种实施例,提供了一种方法,包括:
在事件之前,在电子设备的安全域中存储凭证服务提供商数据;以及
在所述事件之后,利用所存储的凭证服务提供商数据在所述安全域与凭证服务提供商之间建立安全通信信道,其中所述事件包括以下中的至少一个:
终端用户实现对所述电子设备的访问;及
生成对在所述安全域上储备所述凭证服务提供商的凭证的请求。
根据所述实施例的一个方面,所述事件包括以下二者:
所述终端用户实现对所述电子设备的访问;及
生成对在所述安全域上储备所述凭证服务提供商的凭证的请求。
根据所述实施例的一个方面,所述事件包括所述终端用户实现对所述电子设备的访问。
根据所述实施例的一个方面,所述事件包括生成对在所述安全域上储备所述凭证服务提供商的凭证的请求。
根据所述实施例的一个方面,所述存储凭证服务提供商数据包括:从安全元件供应商子系统向所述电子设备发送所述凭证服务提供商数据。
根据所述实施例的一个方面,所述凭证服务提供商数据包括与所述凭证服务提供商关联的公钥。
根据所述实施例的一个方面,所述凭证服务提供商数据包括利用与所述凭证服务提供商关联的公钥加密的安全域密钥。
根据所述实施例的一个方面,所述方法还包括:利用所建立的安全通信信道在所述安全域上储备所述凭证服务提供商的凭证。
根据所述实施例的一个方面,所述方法还包括:响应于所述储备,创建所述电子设备的另一安全域。
根据所述实施例的一个方面,所述创建不是响应于生成了对在所述安全元件中储备另一凭证的请求而进行的。
根据所述实施例的一个方面,
所述创建另一安全域包括:在所述另一安全域中存储其它凭证服务提供商数据;及
所述其它凭证服务提供商数据与所述凭证服务提供商关联。
根据所述实施例的一个方面,
所述创建另一安全域包括:在所述另一安全域中存储所述凭证服务提供商数据;及
所述凭证服务提供商数据与所述凭证服务提供商关联。
根据所述实施例的一个方面,所述在所述安全域与凭证服务提供商之间建立安全通信信道包括:从所述安全域向所述凭证服务提供商发送由所存储的凭证服务提供商数据加密的所述安全域的密钥。
根据所述实施例的一个方面,所述安全域的密钥是在所述事件之前生成的。
根据所述实施例的一个方面,所述安全域的密钥是在所述事件之前由所存储的凭证服务提供商数据加密的。
根据本发明公开的另一种实施例,提供了一种与安全元件供应商子系统和凭证服务提供商通信的电子设备,所述电子设备包括:
安全元件,所述安全元件从所述安全元件供应商子系统接收凭证服务提供商数据,及利用所接收的凭证服务提供商数据加密所述安全元件的密钥;及
通信部件,所述通信部件向所述凭证服务提供商发送加密密钥。
根据所述实施例的一个方面,所述安全元件在所述安全元件的安全域中存储所述加密密钥。
根据所述实施例的一个方面,所述凭证服务提供商数据包括与所述凭证服务提供商关联的公钥。
根据所述实施例的一个方面,
所述通信部件从所述凭证服务提供商接收凭证数据;及
所述安全元件在所述安全元件的安全域中存储所接收的凭证数据。
根据所述实施例的一个方面,所述安全元件响应于在所述安全元件的安全域中存储了所接收的凭证数据而在所述安全元件中创建另一安全域。
根据所述实施例的一个方面,
所述通信部件从所述凭证服务提供商接收凭证数据;
所述安全元件利用所述安全元件的密钥解密所接收的凭证数据;及
所述安全元件在所述安全元件的安全域中存储所解密的凭证数据。
根据所述实施例的一个方面,所述安全元件在所述安全元件的安全域中存储所述密钥、所述加密密钥和所述解密的凭证数据。
根据所述实施例的一个方面,所述安全元件在以下中的至少一个之前从所述安全元件供应商子系统接收所述凭证服务提供商数据:
终端用户实现对所述电子设备的访问;及
生成对在所述安全元件上储备所述凭证服务提供商的凭证的请求。
根据本发明公开的另一种实施例,提供了一种方法,包括:
在电子设备的安全元件的第一安全域中储备凭证服务提供商的凭证;及
响应于所述储备,创建所述安全元件的第二安全域。
根据所述实施例的一个方面,所述创建不是响应于生成了对在所述安全元件上储备另一凭证的请求而进行的。
根据所述实施例的一个方面,所述创建是响应于所述储备而自动启动的。
根据所述实施例的一个方面,所述创建是响应于所述储备而由所述电子设备自动启动的。
根据所述实施例的一个方面,所述方法还包括:
响应于所述储备,所述凭证服务提供商向所述电子设备自动发送请求;及
响应于所述电子设备接收到所发送的请求,由所述电子设备启动所述第二安全域的创建。
根据所述实施例的一个方面,所述方法还包括:
响应于所述储备,商业实体子系统向所述电子设备自动发送请求;及
响应于所述电子设备接收到所发送的请求,由所述电子设备启动所述第二安全域的创建。
根据所述实施例的一个方面,
所述自动创建所述第二安全域包括:在所述第二安全域中存储凭证服务提供商数据;及
所述凭证服务提供商数据与所述凭证服务提供商关联。
根据所述实施例的一个方面,所述凭证服务提供商数据包括与所述凭证服务提供商关联的公钥。
根据所述实施例的一个方面,所述凭证服务提供商数据包括利用与所述凭证服务提供商关联的公钥加密的安全域密钥。
根据本发明公开的另一种实施例,提供了一种与电子设备通信的安全元件供应商系统,所述安全元件供应商系统包括:
至少一个处理器部件;
至少一个存储器部件;及
至少一个通信部件,其中所述安全元件供应商系统:
从凭证服务提供商访问凭证服务提供商数据;及
基于被访问的凭证服务提供商数据向安全元件发送信息;
把所述安全元件提供给商业实体子系统,所述商业实体子系统将所述安全元件结合在电子设备上。
根据所述实施例的一个方面,所述凭证服务提供商数据包括所述凭证服务提供商的公钥。
根据本发明公开的另一种实施例,提供了一种非临时性计算机可读介质,包括记录在其上的计算机可读指令,所述计算机可读指令用于:
在事件之前,在电子设备的安全域中存储凭证服务提供商数据;以及
在所述事件之后,利用所存储的凭证服务提供商数据在所述安全域与凭证服务提供商之间建立安全通信信道,其中所述事件包括以下中的至少一个:
终端用户实现对所述电子设备的访问;及
生成对在所述安全域上储备所述凭证服务提供商的凭证的请求。
因此,本领域技术人员将认识到,本发明可以与所述实施例不同地实践,所述实施例的给出是为了说明而不是限制。

Claims (18)

1.一种方法,包括:
在事件之前,在安全元件的补充安全域中存储来自凭证服务提供商的凭证服务提供商数据,其中所述凭证服务提供商数据包括凭证服务提供商公钥-私钥集合中的凭证服务提供商公钥;
在电子设备上储备所述安全元件;以及
在所述事件之后,利用所存储的凭证服务提供商数据在所述补充安全域与所述凭证服务提供商之间建立安全通信信道,以用于在所述补充安全域上储备所述凭证服务提供商的凭证,其中所述事件包括以下中的至少一个:
终端用户实现对所述电子设备的访问;或
生成对在所述补充安全域上储备所述凭证服务提供商的所述凭证的请求。
2.如权利要求1所述的方法,其中所述事件包括以下二者:
所述终端用户实现对所述电子设备的访问;及
生成对在所述补充安全域上储备所述凭证服务提供商的凭证的请求。
3.如权利要求1所述的方法,其中所述事件包括所述终端用户实现对所述电子设备的访问。
4.如权利要求1所述的方法,其中所述事件包括生成对在所述补充安全域上储备所述凭证服务提供商的凭证的请求。
5.如权利要求1所述的方法,其中所述存储凭证服务提供商数据包括:从安全元件供应商子系统向所述安全元件发送所述凭证服务提供商数据。
6.如权利要求1所述的方法,其中所述凭证服务提供商公钥-私钥集合由所述凭证服务提供商生成。
7.如权利要求1所述的方法,其中所述凭证服务提供商数据包括利用所述凭证服务提供商公钥加密的安全域密钥。
8.如权利要求1所述的方法,还包括:利用所建立的安全通信信道在所述补充安全域上储备所述凭证服务提供商的凭证。
9.如权利要求8所述的方法,还包括:响应于所述储备,在所述电子设备上创建所述安全元件的其他补充安全域。
10.如权利要求1所述的方法,其中所述在所述补充安全域与凭证服务提供商之间建立安全通信信道包括:从所述补充安全域向所述凭证服务提供商发送由所存储的凭证服务提供商数据中的所述凭证服务提供商公钥加密的所述补充安全域的安全域密钥。
11.如权利要求10所述的方法,还包括在所述事件之前生成所述补充安全域的所述安全域密钥。
12.一种方法,包括:
在电子设备的安全元件的第一补充安全域中储备凭证服务提供商的凭证;及
在所述储备之后并且在生成在所述安全元件中储备所述凭证服务提供商的另一凭证的任何请求之前,自动创建所述安全元件的第二补充安全域。
13.如权利要求12所述的方法,其中所述创建是响应于所述储备而由所述电子设备自动启动的。
14.如权利要求12所述的方法,其中所述自动创建包括:
响应于所述储备并且在生成在所述安全元件中储备所述凭证服务提供商的另一凭证的任何请求之前,由所述凭证服务提供商向所述电子设备自动发送凭证服务提供商请求;及
响应于所述电子设备接收到所发送的凭证服务提供商请求,利用所述电子设备自动启动所述第二补充安全域的创建。
15.如权利要求12所述的方法,其中所述自动创建包括:
响应于所述储备并且在生成在所述安全元件中储备所述凭证服务提供商的另一凭证的任何请求之前,商业实体子系统向所述电子设备自动发送商业实体子系统请求;及
响应于所述电子设备接收到所发送的商业实体子系统请求,利用所述电子设备自动启动所述第二补充安全域的创建。
16.如权利要求12所述的方法,其中:
所述自动创建所述第二补充安全域包括在所述第二补充安全域中存储凭证服务提供商数据;及
所述凭证服务提供商数据与所述凭证服务提供商关联。
17.如权利要求16所述的方法,其中所述凭证服务提供商数据包括与所述凭证服务提供商关联的公钥。
18.如权利要求16所述的方法,其中所述凭证服务提供商数据包括利用与所述凭证服务提供商关联的公钥加密的补充安全域密钥。
CN201510224739.5A 2014-05-06 2015-05-05 凭证服务提供商数据在安全元件的安全域中的存储方法和系统 Active CN105099694B (zh)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
US201461989209P 2014-05-06 2014-05-06
US61/989,209 2014-05-06
US14/475,251 US10929843B2 (en) 2014-05-06 2014-09-02 Storage of credential service provider data in a security domain of a secure element
US14/475,251 2014-09-02

Publications (2)

Publication Number Publication Date
CN105099694A CN105099694A (zh) 2015-11-25
CN105099694B true CN105099694B (zh) 2019-05-14

Family

ID=53040363

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201510224739.5A Active CN105099694B (zh) 2014-05-06 2015-05-05 凭证服务提供商数据在安全元件的安全域中的存储方法和系统

Country Status (3)

Country Link
US (1) US10929843B2 (zh)
EP (1) EP2942995B1 (zh)
CN (1) CN105099694B (zh)

Families Citing this family (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9218468B1 (en) 2013-12-16 2015-12-22 Matthew B. Rappaport Systems and methods for verifying attributes of users of online systems
CN105592403B (zh) * 2014-12-29 2020-03-31 中国银联股份有限公司 一种基于nfc的通信装置和方法
US11144106B2 (en) 2015-04-13 2021-10-12 Semiconductor Components Industries, Llc Battery management system for gauging with low power
US9948467B2 (en) * 2015-12-21 2018-04-17 Mastercard International Incorporated Method and system for blockchain variant using digital signatures
CN105591753A (zh) * 2016-01-13 2016-05-18 杭州复杂美科技有限公司 一种ca证书在区块链上的应用方法
BR112018014982A8 (pt) * 2016-01-25 2023-04-11 Apple Inc Conduzir transações usando dispositivos eletrônicos com credenciais não nativas
KR20180135940A (ko) * 2016-08-09 2018-12-21 후아웨이 테크놀러지 컴퍼니 리미티드 시스템 온 칩 및 처리 장치
US10650621B1 (en) 2016-09-13 2020-05-12 Iocurrents, Inc. Interfacing with a vehicular controller area network
WO2018212794A1 (en) * 2017-05-18 2018-11-22 Google Llc Encrypted search cloud service with cryptographic sharing
GB2565282B (en) * 2017-08-02 2021-12-22 Vnc Automotive Ltd Remote control of a computing device
US10667157B2 (en) * 2018-06-03 2020-05-26 Apple Inc. Individualized adaptive wireless parameter tuning for streaming content
WO2019245514A1 (en) * 2018-06-22 2019-12-26 Lisin Mykyta Mykolaiovych A method for protecting access to a cryptocurrency wallet
US11997205B2 (en) * 2019-02-25 2024-05-28 Tbcasoft, Inc. Credential verification and issuance through credential service providers
US11026051B2 (en) * 2019-07-29 2021-06-01 Apple Inc. Wireless communication modes based on mobile device orientation
CN118265029A (zh) * 2019-12-06 2024-06-28 三星电子株式会社 对数字密钥进行管理的方法和电子装置
EP3983980A2 (en) * 2020-01-27 2022-04-20 Apple Inc. Mobile key enrollment and use
US11057381B1 (en) * 2020-04-29 2021-07-06 Snowflake Inc. Using remotely stored credentials to access external resources
US12073386B1 (en) 2021-07-08 2024-08-27 Wells Fargo Bank, N.A. Digital asset vault

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2013150333A1 (es) * 2012-04-03 2013-10-10 Orand S.A. Sistema y metodo para firmar y autentificar transacciones seguras a traves de una red de comunicaciones
CN103493079A (zh) * 2012-04-06 2014-01-01 谷歌公司 移动设备上个人和服务提供商的信息的安全重置

Family Cites Families (35)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CA2288824A1 (en) * 1997-03-24 1998-10-01 Marc B. Kekicheff A system and method for a multi-application smart card which can facilitate a post-issuance download of an application onto the smart card
US20060136717A1 (en) 2004-12-20 2006-06-22 Mark Buer System and method for authentication via a proximate device
US8977844B2 (en) * 2006-08-31 2015-03-10 Red Hat, Inc. Smartcard formation with authentication keys
US9240009B2 (en) * 2006-09-24 2016-01-19 Rich House Global Technology Ltd. Mobile devices for commerce over unsecured networks
US9047601B2 (en) * 2006-09-24 2015-06-02 RFCyber Corpration Method and apparatus for settling payments using mobile devices
US10210516B2 (en) * 2006-09-24 2019-02-19 Rfcyber Corp. Mobile devices for commerce over unsecured networks
US11018724B2 (en) * 2006-09-24 2021-05-25 Rfcyber Corp. Method and apparatus for emulating multiple cards in mobile devices
US20120130838A1 (en) * 2006-09-24 2012-05-24 Rfcyber Corp. Method and apparatus for personalizing secure elements in mobile devices
US20120129452A1 (en) * 2006-09-24 2012-05-24 Rfcyber Corp. Method and apparatus for provisioning applications in mobile devices
US20130139230A1 (en) * 2006-09-24 2013-05-30 Rfcyber Corporation Trusted Service Management Process
HU230695B1 (hu) * 2007-10-20 2017-09-28 Andrá Vilmos Eljárás egyedi hozzáférésű információtartalom kommunikációs eszköz biztonságos tároló részegységében történő elhelyezésének előkészítésére, valamint elhelyezésére
CN101729503B (zh) * 2008-10-23 2012-11-28 中兴通讯股份有限公司 密钥分发方法和系统
CN101729502B (zh) * 2008-10-23 2012-09-05 中兴通讯股份有限公司 密钥分发方法和系统
CN101729493B (zh) * 2008-10-28 2012-09-05 中兴通讯股份有限公司 密钥分发方法和系统
CN101820613B (zh) * 2009-02-27 2014-03-19 中兴通讯股份有限公司 一种应用下载的系统和方法
US8447699B2 (en) 2009-10-13 2013-05-21 Qualcomm Incorporated Global secure service provider directory
CN102782732B (zh) * 2009-12-18 2017-06-27 Nxp股份有限公司 全球平台兼容智能卡的保护模式
US9558481B2 (en) * 2010-09-28 2017-01-31 Barclays Bank Plc Secure account provisioning
US20120143769A1 (en) 2010-12-02 2012-06-07 Microsoft Corporation Commerce card
KR20130012243A (ko) * 2011-07-08 2013-02-01 주식회사 케이티 특수 권한 기반의 내장 sim의 mno 변경방법 및 그를 위한 내장 sim과 기록매체
KR20130006258A (ko) * 2011-07-08 2013-01-16 주식회사 케이티 동적 키 생성 기반의 내장 sim의 mno 변경방법 및 그를 위한 내장 sim과 기록매체
KR101515768B1 (ko) * 2011-11-01 2015-04-28 제이브이엘 벤쳐스, 엘엘씨 보안 요소를 관리하기 위한 시스템, 방법 및 컴퓨터 프로그램 제품
CA2852713A1 (en) 2011-11-05 2013-05-10 Sequent Software Inc. System and method for increasing security in internet transactions
US9185089B2 (en) * 2011-12-20 2015-11-10 Apple Inc. System and method for key management for issuer security domain using global platform specifications
CN103208065A (zh) 2012-01-16 2013-07-17 深圳市家富通汇科技有限公司 在移动装置中个人化安全元件的方法和装置
US20140031024A1 (en) * 2012-02-05 2014-01-30 Rfcyber Corporation Method and system for providing controllable trusted service manager
MX340523B (es) 2012-02-13 2016-07-12 Xceedid Corp Sistema de manejo de credencial.
EP3965042A1 (en) * 2012-02-29 2022-03-09 Apple Inc. Method, device and secure element for conducting a secured financial transaction on a device
WO2015038551A1 (en) * 2013-09-10 2015-03-19 Visa International Service Association Mobile payment application provisioning and personalization on a mobile device
US9384485B1 (en) * 2013-11-26 2016-07-05 American Express Travel Related Services Company, Inc. Systems and methods for rapidly provisioning functionality to one or more mobile communication devices
EP2930641B1 (en) * 2014-04-07 2019-04-03 Nxp B.V. Method of Programming a Smart Card, Computer Program Product and Programmable Smart Card
US9713006B2 (en) * 2014-05-01 2017-07-18 At&T Intellectual Property I, Lp Apparatus and method for managing security domains for a universal integrated circuit card
US10164953B2 (en) * 2014-10-06 2018-12-25 Stmicroelectronics, Inc. Client accessible secure area in a mobile device security module
KR102297334B1 (ko) * 2015-01-14 2021-09-02 삼성전자주식회사 무선 통신 시스템에서 가입자 프로파일 관리 장치 및 방법
US10805287B2 (en) * 2017-01-20 2020-10-13 Samsung Electronics Co., Ltd Apparatus and method for providing and managing security information in communication system

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2013150333A1 (es) * 2012-04-03 2013-10-10 Orand S.A. Sistema y metodo para firmar y autentificar transacciones seguras a traves de una red de comunicaciones
CN103493079A (zh) * 2012-04-06 2014-01-01 谷歌公司 移动设备上个人和服务提供商的信息的安全重置

Also Published As

Publication number Publication date
EP2942995B1 (en) 2020-01-15
US20150324791A1 (en) 2015-11-12
CN105099694A (zh) 2015-11-25
EP2942995A1 (en) 2015-11-11
US10929843B2 (en) 2021-02-23

Similar Documents

Publication Publication Date Title
CN105099694B (zh) 凭证服务提供商数据在安全元件的安全域中的存储方法和系统
US11488136B2 (en) Management of credentials on an electronic device using an online resource
TWI703521B (zh) 基於商家資訊之待使用的付款憑證的推薦
KR102051931B1 (ko) 전자 디바이스의 보안 요소를 사용한 온라인 결제
US10346848B2 (en) Provisioning multiple secure credentials on an electronic device
KR101971329B1 (ko) 전자 디바이스 상의 크리덴셜의 프로비저닝 및 인증
US11120442B2 (en) Management of reloadable credentials on an electronic device using an online resource
CN105706131B (zh) 使用通过已验证的信道传送的密码在电子设备上提供凭据
US11178124B2 (en) Secure pairing of a processor and a secure element of an electronic device
US20170103388A1 (en) Multi-path communication of electronic device secure element data for online payments
US10552830B2 (en) Deletion of credentials from an electronic device
KR20180100369A (ko) 비-네이티브 크리덴셜들과 함께 전자 디바이스들을 사용하는 거래들의 수행
US20150326545A1 (en) Secure key rotation for an issuer security domain of an electronic device

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant