CN106203132B - 使用户能使用中央可信服务管理器选择安全服务提供商 - Google Patents

Abstract

本发明涉及使用户能使用中央可信服务管理器选择安全服务提供商的系统和方法，其使用户能选择可用的安全服务提供商(每个具有可信服务管理器(“TSM”))来在安装在用户的设备上的安全元件上提供应用程序和服务。该设备包括提供用户界面以供选择安全服务提供商的服务提供商选择器(“SPS”)模块。在一个实现中，SPS与密钥托管服务通信，密钥托管服务维持安全元件的加密密钥并将密钥分配给用户选定的安全服务提供商。密钥托管服务也从取消选定的安全服务提供商撤销密钥。在另一实现中，SPS与中央TSM通信，中央TSM代表用户选定的安全服务提供商提供应用程序和服务。中央TSM充当安全服务提供商与安全元件间的代理服务器。

Description

使用户能使用中央可信服务管理器选择安全服务提供商

分案说明

本申请属于申请日为2012年4月6日的中国发明专利申请201280003150.7的分案申请。

相关申请案

本申请要求2011年9月15日提交并且标题为“Enabling Users To SelectBetween Secure Service Providers Using A Central Trusted Service Manager”的美国临时专利申请号61/535,331的优先权。上述指出的优先权申请的完整的公开据此以引用方式全部并入本文。

技术领域

本公开涉及用于使移动设备用户能够从可用的可信服务管理器(“TSM”)中选择来完成安全交易、通信和其他任务的系统和方法。

发明背景

当前的近场通信(“NFC”)生态系统依赖于通常被称为“安全元件”的一个硬件，这个硬件被安装在通信设备上，用来为金融交易、交通票务、识别和认证、物理安全访问和其他功能提供安全操作环境。安全元件一般包括其自己的具有防篡改微处理器、存储器和操作系统的操作环境。此外，可信服务管理器(TSM)安装、提供和个性化安全元件。安全元件具有通常在制造时安装的一个或多个密钥。在具有安全元件的设备为最终用户所有时，对应的密钥由TSM共享以使得TSM可以建立至安全元件的加密的安全信道来安装、提供和个性化安全元件。以这种方式，即使设备中的主机CPU已被损害，安全元件也可以保持安全。

当前的NFC系统的问题是在安全元件与TSM之间存在紧密耦合。对于当前的部署，只有一个TSM有权访问特定安全元件的密钥。因此，最终用户可以选择提供只由一个TSM供应的安全元件功能。这个TSM通常由设备的制造商选择。例如，在购买智能电话的移动网络运营商(“MNO”)(例如，SPRINT或VERIZON)而不是最终用户的指导下，智能电话制造商可以为智能电话选择TSM。因此，可用于最终用户的TSM功能可能不符合最终用户的利益。作为一个实例，MNO可能只与一个付款服务提供商(例如，万事达卡或美洲银行)有业务关系。该TSM可能只允许安全元件从那一个付款服务提供商获得付款指令。因此，最终用户将无法从其他付款服务提供商(例如，VISA)获得服务。

发明概要

在某些示例性实施方案中，一种用于将安全服务提供给具有安全元件的网络设备的方法包括计算机维持用于安全元件的至少一个加密密钥。该至少一个加密密钥可操作以提供通过安全通信信道对安全元件的安全访问。计算机从网络设备接收对安全服务提供商的选择。计算机响应于接收到选择而将至少一个加密密钥传输到选定的安全服务提供商。

在考虑说明的示例性实施方案(包括目前被认为是执行本发明的最佳模式)的以下详细描述后，本领域普通技术人员将显而易见示例性实施方案的这些和其他方面、目标、特征和优点。

附图简述

图1描绘根据某些示例性实施方案的近场通信(“NFC”)系统。

图2为描绘根据某些示例性实施方案的用于在图1的NFC系统中改变安全服务提供商的方法的方框流程图。

图3描绘根据某些示例性实施方案的另一NFC系统。

图4为描绘根据某些示例性实施方案的用于在图3的NFC系统中改变安全服务提供商的方法的方框流程图。

具体实施方式

概述

本文所述的方法和系统使通信设备(例如，移动电话)的最终用户能够选择安全服务提供商来与存储在通信设备上的安全元件一起使用。在一个实施方案中，系统包括为一个或多个用户和一个或多个安全服务提供商管理加密密钥的密钥托管服务。通常，在制造通信设备时将安全元件和用于安全元件的一个或多个加密密钥安装在每个用户通信设备上。这些密钥或对应的密钥被提供给密钥托管服务。每个用户设备也包括使用户能够从可用的安全服务提供商中选择的服务提供商选择器(“SPS”)模块或软件应用程序。响应于用户选择，SPS通过安全信道将识别选定的服务提供商的信息传输到密钥托管服务。密钥托管服务将用于用户的安全元件的密钥提供给选定的安全服务提供商的可信服务管理器(“TSM”)。密钥托管服务也从用户的先前的安全服务提供商的TSM撤销用于用户的安全元件的密钥。另外，SPS可以阻止未经授权的安全服务提供商(例如，先前的安全服务提供商)访问安全元件。

在另一实施方案中，中央TSM代表其他安全服务提供商执行业务逻辑和应用程序提供。中央TSM充当选定的安全服务提供商与安装在通信设备上的安全元件之间的代理服务器，而不是将加密密钥分配给选定的安全服务提供商。

本文所述的示例性系统和方法克服了只允许用户访问一个安全服务提供商的服务的常规NFC系统的缺陷。用户可以从多个安全服务提供商中选择，而不是局限于由一个安全服务提供商提供的功能性和服务。例如，如果安全服务提供商不提供用户需要的服务，例如，通过特定品牌的信用卡付款，那么用户可以选择提供这些服务的安全服务提供商。

示例性实施方案的一个或多个方面可以包括实施本文描述和说明的功能的计算机程序，其中在包含存储在机器可读介质中的指令和执行指令的处理器的计算机系统中实施计算机程序。然而，显而易见，可以有在计算机程序设计中实施示例性实施方案的许多不同的方式，并且示例性实施方案不应被解释为局限于任何一组计算机程序指令。此外，熟练的程序员将能够基于申请文本中的附加的流程图和相关的描述编写这样的计算机程序以实施一个实施方案。因此，一组特定的程序代码指令的公开并不被认为对于充分理解如何制造和使用示例性实施方案是必要的。此外，对由计算机执行的动作的任何提及不应被解释为由单一计算机执行，因为动作可以由超过一个的计算机执行。在结合说明程序流程的图被阅读的以下描述中将更详细地解释示例性实施方案的功能性。

现在转向附图，其中贯穿这些图中相似的数字指示相似的(但未必完全相同的)元件，详细地描述示例性实施方案。

系统体系结构

图1描绘根据某些示例性实施方案的近场通信(“NFC”)系统100。如图1中所示，系统100包括一个或多个最终用户网络设备110、一个或多个应用程序提供商180、密钥托管服务150、移动网络运营商(“MNO”)130和多个安全服务提供商160。应用程序提供商180、密钥托管服务150和安全服务提供商160中的每个包括被配置成通过互联网140通信的网络设备。例如，应用程序提供商180、密钥托管服务150和安全服务提供商160中的每个可以包括服务器、台式计算机、膝上型计算机、平板计算机、智能电话、手持计算机、个人数字助理(“PDA”)或任何其他有线或无线处理器驱动设备。在一个实施方案中，密钥托管服务150包括(或可通信地耦合到)第一网络通信模块和第二网络通信模块，其中第一网络通信模块用于接收用来从可用的安全服务提供商160改变(或选择)的请求，第二网络通信模块用于将加密密钥120传输到安全服务提供商160。第一网络通信模块和第二网络通信模块可以是相同或不同的网络通信模块。

最终用户网络设备110可以是移动电话、智能电话、PDA上网本计算机、膝上型计算机、平板计算机或任何其他有线或无线处理器驱动设备。如图1中所示，最终用户网络设备110通过MNO 130访问互联网140。示例性MNO包括VERIZON、SPRINT和AT&T。MNO通过(未示出的)移动网络(例如，3G或4G移动通信网络)向最终用户网络设备110提供互联网访问。当然，最终用户网络设备110可以通过其他机制(例如，与互联网提供商相关的Wi-Fi)访问互联网140。

最终用户网络设备110各自包括具有一个或多个加密密钥120的安全元件111、NFC控制器112、NFC天线113、主机CPU 114和SPS115。NFC控制器112和NFC天线113使最终用户网络设备110能够与其他NFC已启用的设备(未示出)通信。例如，最终用户网络设备110可以与NFC已启用的商户的销售点(“POS”)设备、售票设备、安全设备和其他最终用户网络设备110通信。

主机CPU 114执行存储在最终用户网络设备110上的应用程序。例如，主机CPU 114可以执行与NFC控制器112交互的应用程序，例如，使操作最终用户网络设备110的用户能够通过NFC已启用的POS完成购买的NFC付款应用程序，或使用户能够通过NFC已启用的票务POS进入交通设施或参加活动的交通或活动票务应用程序。其他应用程序，包括识别、认证、安全以及优惠券剪报和赎回应用程序，也可以存储在最终用户网络设备110上，供由主机CPU 114连同NFC控制器112和NFC天线113执行。

每个应用程序可以由各自的应用程序提供商180提供。例如，信用卡公司可以提供信用卡付款应用程序；运输或其他票务公司可以提供购票和换票应用程序；销售产品或服务的制造商、零售商或其他实体可以提供优惠券应用程序；而认证公司可以提供用户认证应用程序。

为了安全目的，通常将NFC应用程序存储在最终用户网络设备110的安全元件111中。安全元件111为NFC(或其他)应用程序提供安全操作环境。安全元件111通常包括其自己的具有防篡改微处理器、操作系统和用于存储信息(例如，付款凭证)的存储器的操作环境。安全元件111可以存在于最终用户网络设备110的固定芯片、用户识别模块(“SIM”)卡、通用集成电路卡(“UICC”)、移动智能芯片内，或存在于存储卡(例如，microSD卡)中。安全元件111也可以包括用于管理在其中安装安全元件111的卡或芯片的只读存储器(“ROM”)、准备访问存储器(“RAM”)和EEPROM闪存的存储控制器。

一般来说，安全服务提供商160充当帮助应用程序提供商180和其他服务提供商安全地分配和管理应用程序和服务(例如，NFC的非接触式应用程序服务)的中介机构。安全服务提供商160的TSM 170通常托管应用程序并且将应用程序安装和提供到安全元件111上。如图1中所示，每个TSM 170可以接收、存储和利用用于用户的安全元件111的密钥120。通过具有密钥120，TSM 170可以通过安全的加密通信信道访问安全元件111以在安全元件111内安装、提供和定制应用程序。示例性安全服务提供商160包括GEMALTO和FIRST DATA。

在某些示例性实施方案中，安全服务提供商160在与安全元件111通信时绕过主机CPU 114和NFC控制器112。例如，在某些UICC/SIM安全元件中，安全服务提供商160通过安装在最终用户网络设备110上的无线CPU(未示出)与安全元件111通信。因此，在某些示例性实施方案中，在在安全元件111上提供应用程序期间，NFC控制器112和主机CPU 114的参与可以是可选择的。在某些示例性实施方案中，主机CPU 114和无线CPU彼此交互以协调对安全元件111的访问控制。

密钥托管服务150维持用于安全元件111的密钥120。例如，密钥托管服务150也响应于用户选择而将密钥分配给TSM 170。例如，如果用户选择从第一安全服务提供商160A切换到第二安全服务提供商160B，那么密钥托管服务150从第一TSM 170A撤销密钥120并且将密钥120提供给第二TSM 170B。然后，第二TSM 170可以访问用户的网络设备110的安全元件111。

以软件和/或硬件实施SPS 115并且SPS 115使最终用户网络设备110的用户能够通过密钥托管服务150选择或改变安全服务提供商160。SPS 115提供允许用户选择安全服务提供商160的用户界面。响应于用户选择，SPS 115将关于选定的安全服务提供商160的信息传输到密钥托管服务150。密钥托管服务150也可以通过一个或多个反常路径机制确认选择。下文参照图2中所示的方法更详细地描述示例性系统100的SPS 115、密钥托管服务150和其他部件。

图3描绘根据某些替代示例性实施方案的另一NFC系统300。示例性系统300包括与系统100相同的许多部件，包括一个或多个最终用户网络设备110、一个或多个应用程序提供商180、MNO 130和多个安全服务提供商160。然而，系统300包括中央管理的TSM 350，而不是密钥托管服务150。管理的TSM 350包括被配置成与互联网140通信的网络设备，例如，服务器、台式计算机、膝上型计算机、平板计算机、智能电话、手持计算机、PDA或其他有线或无线处理器驱动设备。类似于密钥托管服务150，管理的TSM 350维持用于安全元件111的密钥120并且使操作最终用户网络设备110的用户能够从多个安全服务提供商160中选择。管理的TSM 350可以代表选定的安全服务提供商160与安全元件111交互，而不是将密钥120分配给选定的TSM170。即，管理的TSM 350可以在安全元件111上安装、提供应用程序以及与安装在安全元件111上的应用程序交互。或者，管理的TSM 170可以建立(和结束)选定的TSM 170与安全元件111之间的安全通信信道使得选定的TSM 170可以与安全元件111交互。可以用不与安全元件111相关联的不同的密钥加密这个安全通信信道，并且这个安全通信信道可以特定于每个安全服务提供商160。管理的TSM 350也可以代表安全服务提供商160执行业务逻辑。下文参照图4中所示的方法更详细地描述图3的管理的TSM 350和其他部件。

系统进程

图2为描绘用于在图1的NFC系统100中改变安全服务提供商的方法200的方框流程图。参照图1中所示的部件描述方法200。

在方框205中，为安全元件111提供一个或多个安全加密密钥120。在某些示例性实施方案中，在制造时将安全元件111和其密钥120安装在最终用户网络设备110上。在某些示例性实施方案中，将安全元件111和其密钥120安装在可移动的卡或芯片(例如，SIM卡或microSD卡)上，稍后再将可移动的卡或芯片安装在最终用户网络设备110上。

在方框210中，将用于安全元件111的密钥120或对应的密钥提供给密钥托管服务150。这些密钥120使密钥托管服务150(或接收密钥120的另一实体)能够建立与安全元件111的安全通信信道并且可以访问安全元件111。可选择地，可将密钥120提供给安全服务提供商160的TSM 170。常规地，通常在购买最终用户网络设备110的MNO 130的指导下，最终用户网络设备110的制造商选择针对安全元件111的安全服务提供商160和TSM 170。在这种情况下，可以将密钥120提供给那个TSM 170。或者，只将密钥120提供给密钥托管服务150。在这种情况下，操作最终用户网络设备110的用户(或另一实体，例如MNO130)可以使用SPS115对安全服务提供商160进行初始选择。

在方框215中，用户使用SPS 115选择安全服务提供商160，并且因此选择TSM 170。例如，用户可以使用最终用户网络设备110访问SPS 115。SPS 115可以提供用户界面，其列出可用的安全服务提供商160和可选择地由安全服务提供商160支持的服务。例如，SPS 115可以显示对于哪些金融机构非接触式交易由每个安全服务提供商160支持。在另一实例中，SPS 115可以显示由每个可用的安全服务提供商160提供和支持的应用程序。在另一实例中，SPS 115可以提供使用户能够基于其特征和服务搜索安全服务提供商160的搜索功能。当用户找到适当的安全服务提供商160时，用户可以使用SPS 115选择那个安全服务提供商160。

在方框220中，响应于用户选择，SPS 115将使用选定的服务提供商160的请求传输到密钥托管服务150。该请求通常包括识别选定的安全服务提供商160的信息。响应于接收到该请求，密钥托管服务150处理该请求。

在方框225中，密钥托管服务150执行反常路径确认程序以确认用户发起了使用选定的安全服务提供商160的请求。这个方框225为可选择的并且为SPS 115/密钥托管服务150的系统提供额外的安全级别，例如以在最终用户网络设备110丢失或被盗的情形下防止另一个人访问这个功能。

在一个实施方案中，反常路径确认程序包括密钥托管服务150通过不同的通信信道而不是通过最终用户网络设备110向用户传达进行了请求。例如，密钥托管服务150可以将指示进行了请求的SMS文本消息传输到用户的移动电话。或者，密钥托管服务150可以打电话给用户告知进行了请求的消息。如果用户未进行该请求，那么文本消息或语音消息可以指示用户拨打特定的电话号码。密钥托管服务150也可以要求用户确认请求。例如，文本消息可以指示用户对文本消息进行响应、访问密钥托管服务150的网站，或打电话给密钥托管服务150以确认请求。此外，可以在给用户的消息中提供代码，并且可能需要用户通过电话或通过网站输入该代码以确认请求。

在方框230中，如果另一TSM 170处理用于安全元件115的密钥120，那么密钥托管服务150从该先前的TSM 170撤销密钥120。在一个实施方案中，密钥托管服务150将请求TSM丢弃密钥120的消息(例如，SMS文本消息)发送到先前的TSM 170。响应于这样的请求，安全服务提供商160可以根据合同有义务丢弃密钥120。

在另一实施方案中，密钥托管服务150通过指示安全元件111阻止先前的TSM 170而从先前的TSM 170撤销密钥120。安全元件111可以包括识别试图访问安全元件111的TSM170的程序代码和被允许和/或阻止的TSM 170的列表。当TSM 170试图访问安全元件111时，安全元件111可以比较识别该TSM 170的信息与列表以确定是否授权访问。密钥托管服务150也可以将请求先前的TSM丢弃密钥120的请求发送到先前的TSM 170。当然，在用户为该TSM 160重新选择安全服务提供商160的情形下，可以取消阻止被阻止的TSM 170。例如，密钥托管服务150可以将请求安全元件110取消阻止TSM 170的消息发送到安全元件111。

在另一实施方案中，密钥托管服务150通过使用主密钥和TSM特定密钥从先前的TSM 170撤销密钥120。对于每个可用的TSM或对于选定的TSM 170，可以将TSM特定密钥提供给安全元件111。也将TSM特定密钥分配给各自的TSM 170。TSM特定密钥可以在制造时被预载至安全元件111上、在晚些时候由密钥托管服务150安装，或响应于用户选择TSM 170而由密钥托管服务150安装。安全元件111可以控制哪些TSM特定密钥是活动的并且哪些TSM特定密钥是不活动的。例如，如果用户请求从安全服务提供商160A切换到安全服务提供商160B，那么SPS 115将这个请求(和识别选定的TSM 170B的信息)传达给安全元件111的密钥管理小程序或模块(未示出)。响应于请求，密钥管理小程序激活用于TSM 170B的TSM特定密钥并且取消激活用于TSM 170A的TSM特定密钥。这时候，安全元件111对TSM 170B允许访问而阻止来自TSM 170A的访问。

在方框235中，从安全元件111移除存储在安全元件111上的与先前的TSM 170和/或先前的安全服务提供商160相关的信息。例如，在先前的TSM 170与安全元件111一起使用时，与该TSM 170相关联的付款卡凭证可能存储在安全元件111上。在使另一TSM 170能够访问安全元件111之前，从安全元件111移除这些凭证。另外，卸载为先前的TSM 170安装在安全元件111上的任何应用程序。在某些示例性实施方案中，密钥托管服务150将移除与先前的TSM 170相关的信息的命令发送到安全元件111的小程序或模块，例如，卡管理小程序。

在方框240中，密钥托管服务150将密钥120传输到选定的安全服务提供商160的TSM 170。通常通过安全通信信道进行这个传输。例如，密钥托管服务150可以通过加密的通信信道将密钥120发送到选定的TSM 170。在方框245中，选定的TSM 170接收密钥120。

在某些示例性实施方案中，密钥托管服务150延迟将密钥120传输到选定的安全服务提供商160的TSM 170，直到接收到从安全元件111移除了与先前的TSM 170相关的信息和应用程序的确认为止。在一些实施方案中，在没有从用户接收到用户请求使用选定的安全服务提供商160的反常路径确认的情况下，密钥托管服务150可以不将密钥120传输到选定的安全服务提供商160的TSM 170。

在方框250中，选定的安全服务提供商160的TSM 170试图使用接收到的密钥120建立与安全元件111的安全通信信道。在一个实施方案中，TSM 170将请求访问安全元件111的加密的消息发送到安全元件111。TSM 170通过使用接收到的密钥120对消息执行加密算法来加密消息。

在方框255中，安全元件111确定是否授权访问TSM 170。在一个实施方案中，安全元件111的处理器使用存储在安全元件111上的密钥120对接收到的消息执行加密算法，以确定是否授权访问TSM 170。

在某些示例性实施方案中，SPS 115在安全元件111验证TSM 170之前进行关于是否授权访问TSM 170的初始确定。例如，当最终用户网络设备110接收到访问安全元件111的请求时，SPS 115可以评估该请求以确定发出该请求的TSM 170是否为用户选择的TSM 170，然后再将该请求传递到安全元件111。如果SPS 115确定发出请求的TSM170是选定的TSM170，那么安全元件111可以根据方框255的动作验证请求。

如果安全元件111授权访问TSM 170，那么方法200循着“是”分支到达方框265。否则，如果安全元件111确定应阻止TSM 170，那么方法200循着“否”分支到达方框260。

在方框260中，安全元件111阻止TSM 170访问安全元件111。安全元件111也可以将消息发送到TSM 170以通知TSM 170不授权TSM 170访问。

在方框265中，TSM 170在安全元件111处提供服务。TSM 170可以将一个或多个应用程序和用于与那些应用程序一起使用的凭证传输到安全元件111。用户可以选择应用程序。例如，用户可以从应用程序提供商180请求应用程序。作为响应，应用程序提供商180请求TSM170将应用程序安装到用户的安全元件111上。应用程序提供商180也可以将关于用户或用户的帐户信息的信息提供给TSM 170以存储在安全元件111处。例如，信用卡公司可以将付款应用程序和关于用户的付款帐户的信息提供给TSM 170以安装/存储在安全元件111上。在某些示例性实施方案中，用户可以从密钥托管服务150或安全服务提供商160请求应用程序。

在方框270中，用户访问由选定的安全服务提供商160连同一个或多个应用程序提供商180提供的服务。例如，如果应用程序提供商180为信用卡公司，那么用户可以使用最终用户网络设备110在NFC已启用的POS处完成购买。NFC控制器112可以与安全元件111安全地交互以从安全元件111获得付款凭证并通过NFC天线113将那些凭证提供给NFC已启用的POS。

在方框270后，方法200结束。当然，用户可以继续访问由选定的安全服务提供商160提供的服务或切换到另一安全服务提供商160。

图4为描绘根据某些示例性实施方案的用于在图3的NFC系统300中改变安全服务提供商的方法400的方框流程图。参照图3中所示的部件描述方法400。

在方框405中，为安全元件111提供一个或多个安全加密密钥120。在某些示例性实施方案中，在制造时将安全元件111和其密钥120安装在最终用户网络设备110上。在某些示例性实施方案中，将安全元件111和其密钥120安装在可移动的卡或芯片(例如，SIM卡或microSD卡)上，稍后再将可移动的卡或芯片安装在最终用户网络设备110上。

在方框410中，将用于安全元件111的密钥120或对应的密钥提供给管理的TSM350。这些密钥120使管理的TSM 350(或接收密钥120的另一实体)能够建立与安全元件111的安全通信信道并且可以访问安全元件111。

在方框415中，用户使用SPS 115选择安全服务提供商160。这个方框415可以与图2中所示且上文所述的方框215相同或相似。在方框420中，响应于用户选择，SPS 115将使用选定的服务提供商160的请求传输到管理的TSM 350。该请求通常包括识别选定的安全服务提供商160的信息。响应于接收到请求，管理的TSM 350处理请求。

在方框425中，管理的TSM 350执行反常路径确认程序以确认用户发起了使用选定的安全服务提供商160的请求。这个方框为可选择的并且大体上类似于上文所述的图2的方框225。然而，管理的TSM 350而不是密钥托管服务150在方框425中执行反常路径确认。

在方框430中，从安全元件111移除存储在安全元件111上的与先前的TSM 170和/或先前的安全服务提供商160相关的信息。例如，在先前的TSM 170与安全元件111一起使用时，与该TSM 170相关联的付款卡凭证可能存储在安全元件111上。在使另一TSM 170能够访问安全元件111之前，从安全元件111移除这些凭证。另外，卸载为先前的TSM 170安装在安全元件111上的任何应用程序。在某些示例性实施方案中，管理的TSM 350将移除与先前的TSM 170相关的信息的命令发送到安全元件111的小程序或模块，例如，卡管理小程序。

在方框435中，管理的TSM 350建立与用户选择的安全服务提供商160的安全通信信道。可以例如使用不同于密钥120的一个或多个加密密钥来加密这个安全通信信道。如得益于本公开的本领域普通技术人员将了解的那样，可以使用其他加密技术。

在方框440中，管理的TSM 350通知选定的安全服务提供商160用户已请求访问安全服务提供商160的服务。管理的TSM 350也可以代表用户从安全服务提供商160请求一个或多个应用程序。或者，用户可以从应用程序提供商180请求一个或多个应用程序，并且应用程序提供商180又把将这一个或多个应用程序提供给用户的安全元件111的请求传输到安全服务提供商160。在方框445中，选定的安全服务提供商160将请求的应用程序和任何其他适当的信息传输到管理的TSM350。例如，此其他适当的信息可以包括用于访问安全服务的凭证，例如，付款卡凭证。

在方框450中，管理的TSM 350使用一个或多个密钥120建立与安全元件111的安全通信信道。在方框455中，管理的TSM 350在安全元件111处提供服务。管理的TSM 350可以将一个或多个应用程序和用于与那些应用程序一起使用的凭证传输到安全元件111。管理的TSM 350也可以将关于用户或用户的帐户的信息提供给安全元件111。例如，信用卡公司可以将付款应用程序和关于用户的付款帐户的信息提供给管理的TSM 350以安装/存储在安全元件111上。

在可选择的方框460中，管理的TSM 350执行选定的安全服务提供商160的业务逻辑并且充当选定的安全服务提供商160之间的代理服务器或中介机构。由管理的TSM 350执行的业务逻辑的实例包括验证用户是否具有合作金融机构的付款卡、验证用户提供的信用卡凭证使得可以将信用卡提供到安全元件111、验证选定的安全服务提供商160是否通过与最终用户网络设备150通信的MNO 130为给定的最终用户网络设备150提供请求的服务，以及从用户接收提供请求并为安全元件111解释提供指令。

在方框465中，用户访问由选定的安全服务提供商160连同一个或多个应用程序提供商180提供的服务。例如，如果应用程序提供商180为信用卡公司，那么用户可以使用最终用户网络设备110在NFC已启用的POS处赎回交通票。NFC控制器112可以与安全元件111安全地交互以从安全元件111获得交通票凭证并通过NFC天线113将那些凭证提供给NFC已启用的POS。

在方框465后，方法400结束。当然，用户可以继续访问由选定的安全服务提供商160提供的服务或切换到另一安全服务提供商160。

一般原则

在先前提供的实施方案中所述的示例性方法和方框是说明性的，并且在替代实施方案中，某些方框可以用不同的顺序执行、彼此并行地执行、完全省略和/或在不同的示例性方法之间组合，并且/或者可以在不脱离本发明的范围和精神的情况下执行某些额外的方框。因此，在本文所述的本发明中包括此类替代实施方案。

本发明可以与执行上文所述的方法和处理功能的计算机硬件和软件一起使用。如本领域普通技术人员将了解的那样，可以以可编程计算机、计算机可执行软件或数字电路实施本文所述的系统、方法和程序。软件可以存储在计算机可读介质上。例如，计算机可读介质可以包括软盘、RAM、ROM、硬盘、可移动介质、闪存、存储棒、光学介质、磁光介质、CD-ROM等。数字电路可以包括集成电路、门阵列、构建块逻辑、现场可编程门阵列(“FPGA”)等。

Claims (10)

1.一种用于将安全服务提供给包含安全元件的网络设备的计算机实施的方法，所述方法包含：

计算机维持所述安全元件的至少一个加密密钥，所述至少一个加密密钥可操作以提供通过安全通信信道对所述安全元件的安全访问；

所述计算机接收对多个可用的可信服务管理器中的一个可信服务管理器的选择以促进所述安全服务；

所述计算机从所述选定的可信服务管理器获得关于所述安全服务的信息和用于所述安全服务的应用程序；

所述计算机使用所述获得的信息、所述获得的应用程序和所述至少一个加密密钥在所述安全元件处提供所述安全服务；以及

响应于接收到对所述选定的可信服务管理器的所述选择，所述计算机从先前的可信服务管理器撤销所述至少一个加密密钥，所述计算机将所述至少一个加密密钥传输到所述选定的可信服务管理器，并且所述计算机从所述安全元件移除与先前的可信服务管理器相关的信息。

2.如权利要求1所述的计算机实施的方法，进一步包含在所述计算机与所述选定的可信服务管理器之间建立安全通信信道来获得关于所述安全服务的所述信息和用于所述安全服务的所述应用程序。

3.如权利要求1所述的计算机实施的方法，进一步包含代表所述选定的可信服务管理器为所述安全元件执行业务逻辑。

4.如权利要求1所述的计算机实施的方法，其中所述计算机从所述安全元件移除与先前的可信服务管理器相关的信息包含由所述计算机将消息传输到所述安全元件，所述消息命令所述安全元件从所述安全元件移除与先前的可信服务管理器相关的信息和应用程序。

5.如权利要求1所述的计算机实施的方法，进一步包含在所述安全元件处提供所述安全服务之前，从除了所述网络设备以外的另一设备接收对对所述选定的可信服务管理器的所述选择的确认。

6.一种用于将安全服务提供给包含安全元件的网络设备的系统，所述系统包含：

用于计算机维持所述安全元件的至少一个加密密钥的装置，所述至少一个加密密钥可操作以提供通过安全通信信道对所述安全元件的安全访问；

用于所述计算机接收对多个可用的可信服务管理器中的一个可信服务管理器的选择以促进所述安全服务的装置；

用于所述计算机从所述选定的可信服务管理器获得关于所述安全服务的信息和用于所述安全服务的应用程序的装置；

用于所述计算机使用所述获得的信息、所述获得的应用程序和所述至少一个加密密钥在所述安全元件处提供所述安全服务的装置；以及

用于响应于接收到对所述选定的可信服务管理器的所述选择，所述计算机从先前的可信服务管理器撤销所述至少一个加密密钥，所述计算机将所述至少一个加密密钥传输到所述选定的可信服务管理器，并且所述计算机从所述安全元件移除与先前的可信服务管理器相关的信息的装置。

7.如权利要求6所述的系统，进一步包含用于在所述计算机与所述选定的可信服务管理器之间建立安全通信信道来获得关于所述安全服务的所述信息和用于所述安全服务的所述应用程序的装置。

8.如权利要求6所述的系统，进一步包含用于代表所述选定的可信服务管理器为所述安全元件执行业务逻辑的装置。

9.如权利要求6所述的系统，其中所述用于移除的装置包含用于由所述计算机将消息传输到所述安全元件的装置，所述消息命令所述安全元件从所述安全元件移除与先前的可信服务管理器相关的信息和应用程序。

10.如权利要求6所述的系统，进一步包含用于在所述安全元件处提供所述安全服务之前，从除了所述网络设备以外的另一设备接收对对所述选定的可信服务管理器的所述选择的确认。