CN106796519B - 用于在移动应用更新期间部分个性化的方法和系统 - Google Patents

Abstract

本发明的实施例涉及用于提供部分个性化过程的方法和系统，其允许在更新移动应用之后在通信装置上移动应用的更高效和有效的个性化。例如，与移动应用的多个版本关联的个性化资料可以存储在应用更新储备系统处，应用更新储备系统可以确定对于每个迁移通知更新移动应用的适当的部分储备信息。因此，可以生成并安装定制的部分个性化脚本，其只包括针对移动应用的更新版本要被更新的个性化信息，以实现新功能和/或更新在更新的移动应用内包含的信息，不需要将所有个性化信息重新个性化到更新的移动应用中。

Description

用于在移动应用更新期间部分个性化的方法和系统

相关申请交叉引用

本申请是2014年10月10日提交的美国临时申请号62/062,437和2014年11月6日提交的美国临时申请号62/076,440的正式申请，并要求其优先权，出于所有目的其全部内容通过引用被并入本文中。

背景技术

移动支付环境通常使用移动支付应用，个性化的金融和个人信息安装在通信装置上以使用通信装置执行交易。个性化信息可以包含关于与通信装置关联的账户持有人的敏感账户和个人信息。个性化信息可以用来使通信装置向商家、访问装置或任何其他实体传送支付信息(例如账户凭证)以便发起并处理交易。通常，个性化信息通过账户储备过程被储备到装置，账户储备过程涉及用户认证和对于在通信装置上储备个性化信息的同意。用户认证可能要求用户提供具体的口令、一次性口令或任何其它认证凭证以向发行方和/或储备系统保证消费者被授权获得请求装置上的账户信息。相应地，在储备期间可能要求消费者与装置交互，以便在账户可以被储备到通信装置之前，向储备系统内的实体认证消费者。

然而，当移动应用的新版本对通信装置可用时，在更新移动支付应用或移动应用之后对通信装置重新个性化敏感账户信息可能是不方便、不高效的。重新个性化可能导致在大量的应用更新同时出现时繁重的网络通信量、延迟和较低的吞吐量。例如，移动装置制造商和应用提供者可能同时向其所有用户发放新更新，这可能导致短时间内数百万的更新。因此，存在对不需要移动应用的全部重新个性化，提供应用更新和迁移过程(migrationprocess)的需要。

本发明的实施例分开地并且共同地解决了这些和其它问题。

发明内容

实施例涉及部分个性化过程，其可以允许在移动应用的迁移或更新版本之后，通信装置上的移动应用和/或其它应用的更加高效和有效的个性化。例如，与移动应用的多个版本关联的个性化资料可以存储在储备系统处，储备系统可以确定针对每个特定的储备请求更新移动应用上的功能的适当的部分储备信息。因此，可以为每个储备请求生成定制的部分个性化脚本，其只包括为了允许移动应用可以使用新功能、安全更新和/或更新的信息而要更新的那些信息。

因此，对于移动应用的每次更新，个性化过程并不需要同样多的信息和/或处理。因此，部分个性化过程允许在高通信量周期的应用更新中有较高吞吐量的个性化更新。而且，欺诈风险在更新期间要小很多，原因是装置之前已经被储备(作为储备过程的一部分，用户已经被认证)，所以更新移动应用不需要包括消费者认证的完全个性化过程。因此，因为欺诈风险更小，一些实施例可以不通知用户和/或从用户获得更新的移动应用的部分个性化的认证凭证，发起部分个性化过程。

本发明的一个实施例涉及一种在通信装置上更新与更新的移动应用关联的个性化信息的方法。所述方法包括从应用提供者计算机接收迁移通知。所述迁移通知包括装置标识信息、小应用程序标识信息和由所述应用提供者计算机安装在所述通信装置上的移动应用的应用版本信息。所述方法还可以包括使用所述装置标识信息和所述小应用程序标识信息识别与所述迁移通知关联的账户；使用接收的应用版本信息识别与所述移动应用关联的当前个性化资料；识别与更新的移动应用关联的更新的个性化资料；以及确定与所述当前个性化资料和更新的个性化资料之间的差异关联的部分个性化信息。所述方法还可以包括生成部分个性化脚本，所述部分个性化脚本包括用于更新存储在所述通信装置的移动应用中的个性化信息的部分个性化信息；以及将所述部分个性化脚本提供至所述应用提供者计算机以安装在所述通信装置上。

本发明的另一实施例涉及一种服务器计算机，其包括处理器以及耦连至所述处理器的计算机可读介质。所述计算机可读介质包括可由所述处理器执行的代码，以执行用于更新与通信装置上更新的移动应用关联的个性化信息的方法。所述方法包括服务器计算机从应用提供者计算机接收迁移通知。所述迁移通知可以包括装置标识信息、小应用程序标识信息和由所述应用提供者计算机安装在所述通信装置上的移动应用的应用版本信息。所述方法还可以包括使用所述装置标识信息和所述小应用程序标识信息识别与所述迁移通知关联的账户；使用接收的应用版本信息识别与所述移动应用关联的当前的个性化资料；识别与更新的移动应用关联的更新的个性化资料；以及确定与所述当前个性化资料和更新的个性化资料之间的差异关联的部分个性化信息。所述方法还可以包括生成部分个性化脚本，所述部分个性化脚本包括用于更新存储在所述通信装置的移动应用中的个性化信息的部分个性化信息；以及将所述部分个性化脚本提供至所述应用提供者计算机以安装在所述通信装置上。

在下文更加详细地描述本发明的这些和其它实施例。

附图说明

图1示出根据本发明的实施例的部分个性化储备系统的示例性框图。

图2示出根据本发明的另一实施例用于部分个性化储备过程的示例性流程图。

图3示出在包括应用更新之前、应用更新之后和移动应用的部分个性化之后的多个时间应用更新和部分储备过程的示例性框图。

图4示出根据本发明的实施例在移动应用的更新之后使用存储在储备系统中的储备密钥的部分个性化储备过程的另一示例性流程图。

图5示出根据本发明的实施例使用存储在通信装置和小应用程序发行方计算机上的加密密钥的部分个性化储备过程的示例性流程图。

具体实施方式

实施例涉及部分个性化过程，其允许在通信装置上迁移或更新移动应用之后在通信装置上更高效和有效的移动应用个性化。例如，当在通信装置上迁移到移动应用的新版本时(例如包括支付凭证的移动支付应用)，主应用(例如移动钱夹应用，其被配置成与移动支付应用对接)和对应的主应用提供者(例如移动钱夹应用提供者)可以采集关于移动应用的之前版本和正被迁移或更新的移动应用的版本的信息以及识别装置和装置上的具体的应用或小应用程序(applet)的信息。移动应用版本信息、装置信息和小应用程序标识信息可以传送至移动应用更新储备系统，以用于安装于通信装置的移动应用中的个性化信息的更新。应用更新储备系统可以识别账户，验证应用更新并生成包括与移动应用的之前版本和更新版本之间的差异关联的新个性化信息的脚本。储备脚本可以包括安装在通信装置上的不同应用版本的个性化信息之间的差异或增量(delta)。

在一些实施例中，移动应用可以被挂起，或者移动应用的部分功能可以被挂起(基于部分储备信息的重要性)，直到部分储备脚本安装在通信装置上为止。因此，移动应用可以在部分个性化脚本安装在通信装置上之前处于不活动状态。替代性地，在一些实施例中，只有与更新的移动应用关联的更新的功能可以被禁止，直到部分个性化脚本安装在通信装置上，并且之前的移动应用功能可以继续操作为止。

通常，移动应用可以无需任何个人或账户信息被储备到通信装置中，用户可以在之后“个性化”或将其个人信息加载到移动应用中。例如，对于移动支付系统中使用的移动支付应用，移动支付应用可以被储备到通信装置的可信执行环境(例如安全元件)中，无需装置用户的任何账户或其它用户特定的信息。因此，为了使移动支付应用具有安装到移动支付应用中的用户的账户信息或其它个人信息，并因此允许移动支付应用用在交易中，移动支付应用可以储备有账户信息(例如账户凭证、到期日期等)和/或其它用户特定的信息(例如应用特定的加密密钥等)。

然而，当在通信装置的可信执行环境(例如安全元件)上更新移动应用的新版本时，移动应用的新版本要操作或者更新的移动应用的新功能要操作可能需要新个性化信息。例如，可以使用新密钥访问移动应用之前并没有被配置支持的运输网络(例如地铁系统)，新数据格式可以用于应用的之前版本内的现有的个性化信息，可以在应用中识别安全问题，对于安全更新可能需要新个性化数据，和/或应用现在可能需要之前移动应用不曾使用的PIN。

因此，在本发明的一些实施例中，在移动应用的更新期间，储备到移动装置中的个性化信息可以被保存，并使用迁移特征施加，以从之前安装的个性化的小应用程序中获取现有的个性化数据，并将其用于移动应用的新版本。因此，数据可以被输出到可信执行环境内的暂时存储区域，现有的移动应用可以被删除，新版本的移动应用可以被安装，个性化数据可以被重新安装到更新的移动应用中。可以在不执行重新个性化过程的情况下完成所有这些功能。

然而，在移动应用的新功能、安全更新或任何其它原因需要新个性化数据时，可以在移动应用内创建可以由移动应用的更新版本使用的新数据存储区域。默认数据(或没有任何数据)可以在移动应用尚未具有针对新个性化信息的访问时被安装到移动应用的更新版本中。移动应用内的新数据存储区域然后可以只用允许新功能工作所需的新数据部分地个性化。因此，移动应用可以为新个性化数据生成个性化数据存储容器(不管其是否填充默认值)，所以移动应用的更新版本能够接受通过部分个性化过程提供的用于新存储区域的个性化数据元素。在已经个性化新数据元素区域之前，可以认为小应用程序处于“局部个性化”或“部分个性化”的状态。

例如，移动应用可以被更新以包括新运输应用支付功能，其可以包括可能需要在移动应用中被更新的一些运输特定的信息(例如用于在与运输入口或进入点的NFC交易期间通信的运输特定的加密密钥)。可以用新安装的版本(用户知道或者不知道)更新移动应用，一旦安装新移动应用版本，新密钥数据部分可以保持为空。因此，如果用户希望获得移动应用的必要功能，则可以提示用户通过应用启动部分个性化过程。

更新可以作为操作系统更新、服务补丁更新的一部分进行，或者可以被包括作为移动应用之外的其它软件的更广泛的安装的一部分。替代性地，移动应用可以独立于移动装置上的其它软件被更新。

在一些实施例中，在更新移动应用之后，可以通知用户此更新，并提示用户发起部分个性化过程或者更新存储在移动装置上的个性化信息。用户可以通过选择更新按钮接受更新，事件通知或其它通知消息可以被传送至主应用，以通知储备系统此更新。在一些实施例中，可以不进行任何用户提示，而是主应用提供者或者通信装置操作系统提供者可以将更新的通知提供至储备系统显式用户协议。不管哪种方式，可以将包括标识账户、装置、安装在装置上的移动应用的之前版本以及装置上的移动应用的更新版本的信息的迁移通知发送至储备系统，以便发起部分个性化过程。

取决于移动应用更新的严重性和重要性，可以在更新期间实现对移动应用的不同影响。例如，在包括要求移动应用上的新数据的重要和必要改变(例如安全问题)时，移动应用可以被解除委托或挂起，直到新数据元素被储备到移动应用上。替代性地或者另外，在改变对操作不必需并且可能只影响移动应用的具体特征时，新功能或特征可以被禁止，但可以允许现有的移动支付信息功能继续操作。如果用户希望访问新特征，则用户可以选择更新按钮，或者提供对于发起部分个性化过程的同意。

在此示例中，在部分个性化过程完成之前，运输功能可以被解除委托、挂起或不可用。不过，在其它示例中，当信息比较重要(例如安全修复)时，移动应用可以一直被挂起，直到消费者发起储备过程。因此，消费者可以显式地请求重新个性化，或者装置可以自动地获得信息，移动应用可以采集并将迁移通知(或其它部分个性化请求消息)传送至主应用、主应用提供者和应用更新个性化系统，如本文中进一步详细描述的。

这种更新的另一示例包括离线数据认证，其可以用于运输部门或可能期望在离线时或者不与中央数据库、支付处理网络或用于授权和/或认证交易的其它后台架构通信时与装置执行交易的其它实体。例如，可以更新移动应用的功能，以对于一些系统允许此离线数据认证过程。不过，在更新应用之后，可以使用移动应用的个性化安装特殊的账户特定的和/或机构特定的加密密钥和使用具体的运输部门处理离线授权交易所需的附加记录。可以使用本发明的实施例执行期望在不完全重新个性化情况下来更新移动应用上的信息的任何其它示例性用法和/或情况。

因此，为了提供部分个性化，应用更新储备系统可以识别当前安装(在更新移动应用之后)的移动应用的版本以及曾经安装(在更新移动应用之前)的移动应用的之前的版本。储备系统然后可以确定两个版本之间的个性化信息的增量(delta)或差异，以确保用于个性化的重复信息不传送至移动装置。因此，储备系统可以确定在版本x到版本y之间要更新哪些个性化信息，并且可以确定为完成该功能应当更新数据元素z。因此，如果用户错过版本更新，则部分个性化信息可以包括移动应用的多个不同版本间的更新。

在迁移到更新的移动应用之后，移动应用可以与主应用通信，以允许主应用得到发起部分个性化过程所需的信息。移动应用可以提供状态信息以通知主应用移动应用要正确操作需要附加的个性化信息。主应用可以提供按钮或其它针对消费者的接口，允许用户从主应用请求个性化信息的储备。

主应用然后可以从移动应用采集装置标识符、应用标识符和应用版本信息，并将部分个性化请求传送至应用更新储备系统。因此，主应用可以确定小应用程序的之前版本，小应用程序的更新版本，获得用于确定与移动应用关联的账户的任何附加数据，并将部分个性化请求(也称作迁移通知)发送至应用更新储备系统，以生成与部分个性化关联的脚本，以及启动重新个性化所需的数据。因此，在一些实施例中，账户持有人或通信装置的用户可以不必为了完成更新的个性化过程而提供任何个人信息、卡信息等。

实施例提供许多优点。例如，因为在应用的更新之后，重复信息不重新储备到通信装置上，所以实施例提供更高效地使用系统资源。另外，实施例提供无需与装置上的移动应用直接通信识别和储备支付信息的多种方法，使得第三方个性化系统可以用于受控的装置生态系统。

而且，用户可以在不同时间更新其应用，并且可以错过多个更新周期，不在其装置上安装新软件。因此，更新的个性化信息可以不广播到所有的通信装置，原因是在不同移动装置上可能安装不同版本的应用，在更新之间在不同版本的移动应用中可能需要不同的个性化信息。因此，实施例允许用户自行决定更新移动应用的功能，同时根据需要提供将信息个性化至移动应用中的高效方法。

在讨论特定的实施例和示例之前，在下面提供本文中使用的术语的一些描述。

“应用”可以包括被配置成在由计算机的处理器执行时执行特定功能的任一软件模块或若干模块。例如，“移动应用”可以包括安装于移动装置或通信装置上的任何软件。在一些实施例中，移动应用可以包括移动支付应用，其被配置成存储并提供在由处理器执行时的用于交易的支付信息。例如，支付应用可以在安全存储器或可信执行环境(例如安全元件)上存储敏感支付信息(例如账户标识符、到期日期、卡验证值(CVV)等)。通过使用用于访问移动支付应用的正确小应用程序的应用标识符或其它地址信息从支付应用请求支付信息，可以访问敏感支付信息。可以使用任何数目的通信协议来访问来自支付应用的包括支付信息的小应用程序，并在支付交易中使用接收的支付信息。

“个性化信息”(也称作“伪数据”或“伪信息”)包括针对账户、实体和/或用户的个人化信息。应用可以被“个性化”以包括与用户关联的账户特定的信息—个性化信息。在用个性化数据个性化应用之前需要个性化信息的应用不会操作。例如，个性化信息可以包括上文描述的支付信息以及任何其它密钥、凭证(例如令牌和/或账户标识符)、与挂卡人验证方法有关的信息(例如PIN、口令、共享秘密等)、个人信息(例如姓名、地址等)、账户信息(例如到期日期、卡验证值(CVV)等)或与账户和/或账户持有人关联的在交易期间可能有用的任何其它相关信息。例如，个性化信息可以包括共同驻存的小应用程序的应用标识符、私钥标识符、私钥、电子商务指示符(ECI)、令牌请求者标识符、令牌到期日期、包括钱夹提供者标识符和卡验证结果(CVR)的发行方应用数据、卡附加处理(CAP)和非接触注册服务(CRS)数据。

“个性化资料”可以包括用来个性化应用的一组数据。个性化资料可以通知系统获得的信息的类型，以便个性化用于具体用户、账户或实体的应用。“当前的个性化资料”可以包括当前和/或之前被个性化到应用中的信息。“更新的个性化资料”可以包括要被个性化到更新的应用中的信息，以便允许应用正常工作。在一些实施例中，个性化资料包括针对每个资料个性化的信息的类型，可以使用个性化资料识别从用户的账户或系统获得的信息的类型，以便个性化应用。系统然后可以获得用于具体账户的对应个性化信息，并生成包括个性化数据的个性化脚本，以安装在通信装置上。

“脚本”是由另一程序而不是由计算机处理器(编译的程序是)解释或执行的程序或指令序列。因此，个性化脚本包括用于装置上的移动应用、其它程序或存储器的个性化的指令序列。

I.用于在移动应用更新期间的部分个性化的示例性系统

图1示出根据本发明的实施例的部分个性化储备系统的框图。部分个性化储备系统100可以包括通信装置110、主应用113提供者计算机120、移动应用更新储备系统130和小应用程序信息发行方计算机140。所述的每个实体可以被配置成使用一个或多个通信网络和任何适当的通信协议相互通信。

通信装置110可以包括处理器111、包括主应用113(例如移动钱夹应用)的计算机可读存储器112、非接触接口116和包括移动应用115的可信执行环境114，移动应用115被安全地存储在可信执行环境114中。移动应用115可以包括多个小应用程序(例如小应用程序#1-#3 115A-115C)，其存储可由移动应用访问的针对各种各样的不同账户、访问权限凭证和/或任何其它应用数据的数据。通信装置(例如移动装置)110可以包括被配置成接收并存储安全数据的任何电子装置。例如，通信装置可以是移动电话、平板电脑、手表、眼镜、手链、挂绳或其它可穿戴装置和/或具有存储器、通信部件和处理器的任何其它便携式装置。

可信执行环境114可以包括具有与通信装置分开的处理器的分开的硬件安全元件，或者可以包括通信装置的基于软件加密的安全存储区域。另外，在一些实施例中，可信执行环境可以是基于云的，或者另外驻存在远程服务器计算机上，安全信息被传递至通信装置(例如移动装置)。可信执行环境可以具有特定的安全标准和处理，以用于把访问限制于存储在可信执行环境上的信息。例如，可信执行环境内的每个应用可能需要特定的加密密钥，以便更改和/或更新可信执行环境上的信息。例如，可以使用安全元件密钥访问可信执行环境内的安全域，和/或可以使用特定的访问密钥在允许脚本安装在可信执行环境上之前认证安装用的访问权限。在一些实施例中，储备密钥可以存储在可信服务管理者(即储备系统)处，并用来生成用于在安全域上安装的脚本。在其它实施例中，可以使用存储于移动装置上和/或发行方处的密钥访问、修改可信执行环境上的移动应用内的信息。实施例可以使用任何安全交易架构来生成个性化脚本，并访问可信执行环境以个性化在可信执行环境上的移动应用。

主应用113可以包括为移动应用的接口并控制移动应用的操作和访问权限的应用。例如，在移动支付生态系统中，主应用113可以包括钱夹应用，其被配置成与由不同的支付应用提供者提供的一个或多个不同的支付应用对接。而且，主应用113可以与关联不同发行方和/或应用提供者的多个不同类型的移动应用对接。例如，一些移动应用可以被配置用于移动支付，而其它移动应用可以被配置成提供用户认证或访问权限(例如，提供票务信息的飞机应用，提供用于访问安全区域的凭证的安全区域访问应用等)。

主应用113可以被配置成控制移动应用在通信装置上的更新和储备，并且可以充当希望控制通信装置上的一个或多个不同的移动应用的一个或多个实体的接口。主应用113可以被配置成与一个或多个移动应用直接通信，并从存储于移动应用内的小应用程序获得数据。另外，主应用113可以被配置成获得针对可信执行环境的访问并修改可信执行环境内的信息以及安装储备脚本和/或用于改变存在于可信执行环境上的一个或多个应用的权限。而且，在一些实施例中，主应用113可以存在于可信执行环境中，并且可以使用用来保障可信执行环境的安全加密密钥和过程来访问。

移动应用可以包括被配置成传送用于交易的信息的任何应用。交易可以是用于支付、安全访问、用户凭证的认证和/或装置上的安全数据的任何其它适当使用。例如，移动应用可以是存储用于交易的用户凭证的移动支付应用。移动应用可以被配置成包括与不同类型或不同实例的信息关联的多个小应用程序(例如小应用程序#1-小应用程序#3)。每个小应用程序可以有不同的应用标识符(AID)，其可以用来标识移动应用中存在的具体实例，并允许装置选择在交易中使用的一个或多个实例。

小应用程序可以包括移动应用的特定实例，其包括与单个或多个账户关联的数据。可以使用单独的应用标识符(例如AID)识别每个小应用程序，以识别被请求的和/或访问的用于交易的特定信息。小应用程序可以包括不同类型的数据(例如支付数据、访问权限信息、认证信息等)或相同类型的但与不同账户关联的数据(例如，小应用程序#1可以与第一发行方关联，而小应用程序#2与第二发行方关联)。

非接触接口116可以包括硬件和/或软件部件，其允许移动装置通过非接触通信协议与外部装置通信。例如，移动应用可以被配置成将来自存储于移动应用内的识别的小应用程序的小应用程序信息提供至非接触接口，非接触接口在交易期间将小应用程序信息传送至销售装置的非接触点和/或远程服务器计算机。非接触接口可以被配置成使用近场通信(NFC)协议、Wi-Fi协议、Bluetooth^TM和/或任何其它无线通信协议与装置通信，以在通信装置和访问装置之间接收、处理和传送用于交易的信息。访问装置(未示出)可以包括销售点终端，移动装置，建筑物访问装置和/或被配置成接收来自移动应用的认证凭证和/或信息以处理交易(例如支付、访问权限或在实体之间任何其它的信息通信)的任何其它终端或装置。

主应用提供者计算机120可以包括任何服务器计算机，其可以管理、促进和另外与移动装置、移动钱夹和储备计算机交互，以便管理与通信装置上的移动应用对接的主应用113的使用和维护。例如，在一些实施例中，主应用113可以包括钱夹应用，其被配置成管理移动应用和移动应用更新计算机、小应用程序信息发行方计算机和移动支付生态系统中的任何其它相关实体之间的交互。在一些实施例中，主应用提供者计算机120可以包括用于与钱夹提供者和钱夹提供者管理功能关联的装置的安全元件可信服务管理者(SE TSM)。

主应用提供者计算机120可以包括应用更新模块121，其被配置成将应用更新提供至通信装置上的主应用113和移动应用。例如，主应用提供者计算机可以传送由移动应用更新储备计算机130和/或第三方应用提供者提供的移动应用更新，以用于通信装置上的更新。而且，主应用提供者的应用更新模块121可以被配置成作为通信装置和移动应用更新储备计算机130和/或支付处理网络储备系统(未示出但可以与储备计算机130是一个整体)之间的部分个性化通信的中央接口点操作。因此，在一些实施例中，图4-5中示出的消息通过主应用提供者计算机传送，主应用提供者计算机管理在移动应用更新储备计算机130和通信装置110的移动应用115之间的交互。

移动应用更新储备计算机130可以包括具有针对用户的账户信息的访问及用于访问通信装置上的可信执行环境的加密密钥的访问的任何系统。例如，移动应用储备计算机可以包括服务提供者可信服务管理者(TSM)系统130，其可以被配置成生成用于访问通信装置上的移动应用和相应的小应用程序的安装脚本。因为移动应用更新储备计算机130负责生成用于更新的移动应用的个性化数据，所以其也可以称作移动应用更新个性化计算机。

移动应用更新储备计算机130可以包括应用标识模块131、更新请求验证模块132、部分储备脚本生成模块133和储备模块134。这些模块可以相互传送与应用更新通知和部分个性化脚本生成过程有关的信息，并且可以访问装置信息、账户信息和用于完成如本文中描述的部分个性化过程的应用个性化资料。在下面参照图2-6的流程图更详细地描述每个模块的功能。

另外，移动应用更新储备计算机130可以具有针对装置信息数据库135、账户信息数据库136和应用个性化资料数据库137的访问。装置信息数据库135可以包括能够被用来识别注册的和/或之前储备的通信装置的任何装置标识符(例如移动订阅者标识符(MSID)，制造商的序号，安全元件标识符或任何其它永久性或半永久性装置标识符)。装置信息数据库135还可以与账户信息数据库136中的账户信息关联，使得一旦识别移动装置和/或安全元件的请求，与识别的通信装置关联的账户就被识别。例如，装置信息数据库135可以包括小应用程序的应用标识符，其已经通过移动应用储备和/或安装在通信装置上。

账户信息数据库136可以包括与用户和/或小应用程序信息发行方关联的被配置成由移动应用更新储备计算机个性化的任何账户信息。例如，账户信息数据库136可以包括与具体用户和/或发行方账户关联的任何信息。例如，账户信息数据库136可以包括与移动应用的每个小应用程序关联的历史储备信息和/或个性化信息(例如应用版本、日期、时间等)。而且，账户信息数据库136可以包括可以用来个性化移动应用的任何账户特定的信息。例如，在一些实施例中，账户信息数据库136可以包括可以在储备期间使用的账户特定的加密密钥，可以用于与移动应用安全通信的账户特定的加密密钥(例如安全信道生成)，要安装在移动应用上以便在交易期间使用的账户特定的小应用程序和/或移动应用加密密钥，要被个性化到移动应用的小应用程序中的用户和/或账户信息，可以在交易期间使用的认证凭证和/或共享秘密(例如PIN等)等。

应用更新储备系统130的应用个性化资料数据库137可以管理针对移动应用的版本特定的个性化资料，其可以用来确定在每个后续的移动应用更新过程中的脚本中包括的特定的部分个性化信息。例如，可以针对每个部分个性化请求获得移动应用的版本号，原因是移动应用可能是过期的。例如，应用可以跳跃两个或三个版本，取决于由此被更新的移动应用的版本，对于每个版本请求，部分个性化信息的差异可能变化。因此，储备系统的部分个性化脚本生成模块可以确定与移动应用的之前版本关联的当前个性化信息以及与移动应用的更新版本关联的更新的个性化信息，并确定两个版本之间的差异，以确定要在一个或多个个性化脚本中包括的部分个性化信息。这些各种各样的的差异可以称作与个性化更新的每个潜在组合关联的特定个性化资料。应用更新储备系统可以根据版本资料知道对于特定装置生成哪个个性化脚本，要激活哪个特征，并定制个性化脚本以便只影响在部分个性化期间需要被改变的移动应用的那些区域。

因此，移动更新储备系统可以包括对于移动应用的任何版本的多个不同类型的部分个性化脚本，使得储备系统后向兼容任何数目的移动应用的之前版本。因此，对于每个应用从之前版本的更新以及对于由于在移动应用上没有完成之前的个性化造成的需要全部个性化的更新，可能需要不同的部分储备脚本。所以，例如，如果有3个版本的移动应用，包括版本1、1.1和2，则应用个性化资料数据库137可以存储每个版本的不同的完全个性化资料(例如之前没有完成个性化)以及来自之前的个性化资料的可用的每个潜在更新的部分个性化脚本。例如，应用个性化资料数据库137可以包括用于从版本1到1.1，版本1.1到2和版本1到2的升级个性化信息的不同的部分个性化资料。应用更新储备系统可以存储针对存储在账户信息中的每个账户的最新个性化版本的版本引用，所以系统知道对于任何升级或迁移从哪里更新个性化版本。

另外，在一些实施例中，移动应用更新储备计算机130可以由支付处理网络(例如，Visa^TM、MasterCard^TM等)操作和/或与其是一个整体，以向商家、消费者、发行方、移动装置等提供与支付凭证关联的储备服务，支付凭证被配置成通过支付处理网络处理。关于可信服务管理者和支付处理网络储备计算机的更多细节可以在于2012年12月13日提交的美国专利申请号13/713,938中找到，其出于所有目的全部内容通过引用被并入本文中。

支付处理网络可以包括用来支持和传送授权服务、异常文件服务和结算和清算服务的数据处理子系统、网络和操作。示例性支付处理网络可以包括VisaNet^TM。诸如VisaNet^TM的支付处理网络能够处理信用卡交易、借记卡交易和其它类型的商业交易。VisaNet^TM具体包括处理授权请求的Visa集成支付(VIP)系统和执行清算和结算服务的BaseII系统。而且，支付处理网络可以包括服务器计算机，并且可以使用任何适当的有线或无线远程通信网络，包括互联网。

而且，在一些实施例中，支付处理网络可以包括令牌库，或者可以被配置成与发行和支付账户关联的并被配置成由支付处理网络处理的令牌(例如账户替代物)的令牌库系统(未示出)通信。令牌库可以发行令牌，存储令牌和与令牌关联的底层消费者账户之间的相互关系，并且可以被配置成传送和处理来自交易处理生态系统中的各种各样的实体的令牌相关的请求。

小应用程序信息发行方计算机140可以是发行可以安全地存储在移动应用中的信息的任何实体。例如，对于移动支付应用，小应用程序信息发行方计算机可以包括发行并维护用户的金融账户的金融机构/银行。金融账户发行方然后可以授权使用存储在移动支付应用的小应用程序中的凭证和/或其它支付信息发起的交易。为了安全访问移动应用，应用信息发行方可以包括安全局或其它凭证发行方，其可以在安全访问交易期间认证访问权限。举另一示例，小应用程序信息发行方可以发行用于访问票务事件、安全建筑物等的凭证。另外，小应用程序信息发行方计算机可以发行任何其它适当的应用的信息，其可以存储并使用在交易期间可以被验证或认证的通信装置上的安全数据。

关于储备系统(通常包括关于可信服务管理者、集成可信服务管理者、安全元件等的另外的解释)和任何部件、子系统、能力或其它系统的另外的细节可以在于2012年12月13日提交的美国专利申请号13/713,938和于2014年8月8日提交的美国专利申请号14/455,600中找到，这两个申请出于所有目的其全部内容通过引用被并入本文中。另外，关于认证部件、子系统、能力或其它增强认证系统的细节可以在于2009年11月5日提交的美国专利申请号12/613,395中找到，出于所有目的其全部内容通过引用被并入本文中。

II.用于在移动应用更新期间的部分个性化的示例性方法

图2示出根据本发明的另一实施例用于部分个性化储备过程的示例性流程图。在启动图2中示出的过程之前，通信装置上的移动应用可以被更新以包括新功能、数据存储和/或可以具有应用的安全更新。一旦应用被更新，可以由移动应用、主应用113和/或主应用提供者生成迁移通知。迁移通知可以发送至移动应用更新储备计算机130，其响应于应用更新识别需要更新哪些个性化数据，生成用于部分个性化更新的储备脚本，并传送用于安装在装置上的部分个性化脚本。

在步骤210，应用更新储备计算机的应用标识模块131响应于更新事件从应用提供者计算机接收迁移通知。迁移通知可以包括装置标识信息(例如安全元件标识符、移动订阅者标识符(MSID)等)、小应用程序标识信息(例如与具体的小应用程序关联的注册的应用标识符(AID))和安装在通信装置上的移动应用的移动版本信息。应用版本信息可以包括任何字母数字代码或可以指示安装在通信装置上的移动应用的之前版本和/或更新的移动应用的新的更新版本的其它信息。

小应用程序标识信息(也称作“应用标识信息”)可以包括标识小应用程序和/或与小应用程序关联的为部分个性化过程的主体的移动应用的任何标识符。例如，小应用程序标识信息可以包括移动应用(即移动应用标识符)和与移动应用关联的小应用程序(例如移动支付应用标识符(AID))两者的标识符。在一些实施例中，小应用程序标识信息可以包括标识移动应用的单个标识符和小应用程序标识符。在其它实施例中，小应用程序标识信息可以包括用于移动应用和小应用程序的分开的标识符。任何注册和/或可识别的应用标识符都可以包括在小应用程序标识信息中，以识别移动应用和/或小应用程序。移动应用标识符可以由储备系统、支付处理网络、主应用提供者(例如钱夹应用提供者)、小应用程序发行者和/或移动支付生态系统内的任何其它实体发行。

在步骤220，移动应用更新储备计算机130的应用标识模块131识别与装置标识信息和小应用程序标识信息关联的账户。例如，应用标识模块131可以查询装置信息数据库135和/或账户信息数据库136以找到与接收的AID关联的账户和来自迁移通知的安全元件标识符。任何其它类型的装置标识符和应用标识符可以用来识别账户。在一些实施例中，通信装置可以具有安装在移动应用上的与移动应用更新储备系统处的多个账户关联的多个小应用程序。而且，在一些实施例中，应用标识符可以在多个不同的通信装置上被标准化(例如具有储备了具体类型的卡或卡发行方的账户的每个移动应用可以具有相同的应用标识符)。因此，装置标识信息和小应用程序标识信息两者可以用来识别与迁移通知关联的适当的账户。

在步骤230，移动应用更新储备计算机130的部分个性化脚本生成模块使用装置标识信息和小应用程序标识信息识别与通信装置关联的当前的个性化资料。例如，储备系统确定与移动应用版本信息关联的当前的个性化资料，移动应用版本信息指示之前在通信装置上安装的移动应用的之前的版本。因此，使用上面提供的示例，储备系统可以确定在通信装置上个性化的之前的移动应用是版本1.0。因此，储备系统可以确定与版本1.0关联的个性化资料。

在步骤240，移动应用更新储备计算机130的更新请求验证模块132通过把移动应用的个性化资料的存储的应用版本与接收的应用版本信息比较，验证迁移通知的真实性。如果版本不匹配，或者如果版本信息中包括的其它信息(例如更新日期，更新时间，之前更新的版本等)与账户和/或与装置关联的装置记录和/或迁移通知的账户信息不匹配，则可以停止部分个性化过程。这些不一致可能指示中间人攻击或对于个性化信息的其它未授权请求。由于个性化信息的敏感性，迁移通知的验证可以提高移动应用个性化系统的安全性。

在步骤250，移动应用更新储备计算机130的部分个性化脚本生成模块识别与通信装置上的更新的移动应用关联的更新的个性化资料。在一些实施例中，储备系统可以使用移动应用版本信息确定更新的个性化资料，移动应用版本信息指示通信装置已经安装的更新的移动应用的版本。因此，使用上面提供的示例，储备系统可以从移动版本信息确定迁移到通信装置的更新的移动应用是版本2.0。因此，储备系统可以确定与版本2.0关联的个性化资料。不过，在一些实施例中，只有最近更新的应用版本可用于部分个性化，更新的应用版本信息可以不包括在迁移通知中，原因是更新的版本可能已经由系统知晓。

在步骤260，移动应用更新储备计算机130的部分个性化脚本生成模块确定与当前的个性化资料和更新的个性化资料之间的差异关联的部分个性化信息。因此，使用上文提供的示例，储备系统可以确定与移动应用的版本1.0和2.0的个性化资料之间的差异关联的部分个性化信息。

另外和/或替代性地，在一些实施例中，可以为每个个性化更新生成部分个性化资料，其包括每个移动应用版本之间的个性化差异和可能需要在版本1.0和2.0之间更新的个性化数据。因此，可以不比较不同的资料，反而可以通过找到在移动应用的之前安装的版本和更新的版本中的差异关联的部分个性化资料来识别这种差异。

在步骤270，移动应用更新储备计算机130的部分个性化脚本生成模块生成部分个性化脚本，部分个性化脚本包括用于更新存储在通信装置的移动应用中的个性化信息的部分个性化信息。因此，储备系统生成包括与消费者的账户关联的任何账户或个人信息的脚本，并且在一些实施例中，储备系统可以与发行方对接，以获得在此点的这个信息。替代性地或者另外，储备系统可以从消费者账户数据库或者代表发行方获得此信息。而且，注意，可以使用通过与通信装置的安全信道连接确定的密码信息和其它相关信息，使用在此点的正确密钥生成正确的脚本。

在步骤280，移动应用更新储备计算机130的储备模块134将部分个性化脚本提供至主应用提供者以用于安装在通信装置上。储备系统可以通过多种方式提供部分个性化脚本。例如，在一些实施例中，部分个性化脚本可以传送至主应用提供者计算机，主应用提供者计算机将此脚本传送至主应用113以安装在移动应用上。在一些实施例中，移动网关(未示出)可以使用通过如本文中描述的相似过程配置的安全信道直接与装置对接，以在特定的数据字段上安装脚本。

之后，主应用提供者计算机将部分个性化脚本传送至通信装置。通信装置的移动应用然后更新与更新的移动应用的小应用程序关联的个性化信息。

图3示出在包括应用更新之前310，应用更新之后320和在移动应用的部分个性化之后330的多个时间的应用更新和部分储备过程的示例性框图。

在第一时间340A，移动应用(未示出)的储备的和个性化的小应用程序310的示例示于图3中。小应用程序310已经被储备到移动应用(未示出)中，并用与账户关联的账户信息311和第一加密密钥312个性化。

不过，当小应用程序作为小应用程序更新或移动应用更新的一部分被更新时，可能需要某种新的个性化信息以实现移动应用的新功能。例如，如由图3中的更新的小应用程序320在时间2 340B示出的，小应用程序320已经被更新包括新功能，并包括在应用更新期间已经被创建的新数据元素323。数据元素323是空的，但小应用程序被配置成在新创建的数据元素323中存储新数据。不过，已经保存了小应用程序的之前储备的和个性化的版本的现有信息(从移动应用和/或主应用的暂时数据存储元素输入)。因此，现有信息还没有随移动应用更新变化，移动应用操作不需要现有信息的重新个性化。

在稍后时间3 340C，示出在被更新和部分储备的(根据本文中描述的实施例)之后的小应用程序330，以在之前创建的空数据元素中包括第二加密密钥333。因此，与更新的移动应用关联的功能现在可以被激活以用于移动应用(未示出)。例如，运输密钥可以被个性化到小应用程序中，现在可以为小应用程序330激活移动应用的运输网络功能(未示出)。因此，通过定制针对与应用更新有关的每个个性化过程需要被更新的数据的量，已经节约了移动应用的数据处理、传输以及安装资源。

取决于移动应用、主应用113、主应用提供者和应用更新储备系统的配置细节，主应用113可以获得不同类型的信息，以发起部分储备过程。例如，图4-5示出用于获得执行部分个性化过程的必要信息的两个不同的过程。在第一实施例(示于图4)中，使用存储在储备计算机处的储备密钥在通信装置上生成个性化脚本。替代性地和/或另外，在第二实施例(示于图5)中，储备计算机可以使用位于移动应用中的密钥来获得生成部分个性化脚本的密钥。在此实施例中，储备系统可能需要来自移动应用的会话密钥信息，以生成安全信道，以便从移动应用安全地获得密钥，用来生成个性化脚本。这些实施例的每一个将在下面更加详细地描述。

A.在更新储备计算机处使用存储的储备密钥的方法

如在上文解释的，获得在通信装置上储备部分储备脚本的必要信息有多种不同的方法。在第一实施例(示于图4)中，可以获得的信息包括被更新的小应用程序的应用标识符(例如AID)、可以用来识别生成适当的脚本和/或识别装置的密码信息的装置信息(例如安全元件标识符、可信执行环境标识符等)和移动应用版本标识符(例如版本号)。

因此，主应用113可以被配置成与主应用提供者计算机或应用更新储备系统直接通信，以提供必要信息，并允许更新的移动应用的部分个性化。迁移通知消息API或部分个性化请求可以发送至主应用提供者，并随后发送至移动应用更新储备系统130。迁移通知消息可以通知储备系统130移动应用115已经被更新，应当针对识别的小应用程序和/或小应用程序执行部分个性化。

在此实施例中，可以使用储备密钥生成部分个性化脚本，使得可以通过接收可信执行环境的安全域信息，获得账户和装置信息。安全域信息可以包括例如安全元件标识符和标识小应用程序的应用标识符(AID)，对应的账户信息和在储备系统处用于更新个性化信息的储备密钥。应用更新储备计算机可以存储与安全域关联的储备密钥，并且能够使用存储的储备密钥生成储备脚本。

图4示出根据本发明的另一实施例使用安全元件信息执行部分个性化的部分个性化储备过程的另一示例性流程图。注意，对于图4-5中提供的示例，移动应用还可以称作移动支付应用，其中，移动支付应用的每个小应用程序包括用于一个或多个账户的支付凭证以及使用通信装置执行支付交易的其它交易信息，主应用113可以称作钱夹应用，其控制对移动支付应用的访问，小应用程序信息发行方计算机可以称作金融账户发行方计算机(例如信用卡发行方)。不过，这仅仅是可以用于本发明的实施例的应用类型的一个示例。例如，在其它实施例中，移动应用可以是安全访问应用，其中，小应用程序包括对于建筑物访问系统或其它安全区域进入认证用户的安全凭证。而且，主应用113可以包括凭证认证提供者，其管理几个不同的访问权限凭证应用，并管理针对装置上的安全应用的访问。

在步骤401，可以由主应用提供者将对于移动应用的更新传送至移动装置上的主应用113。主应用提供者可以从移动应用提供者、小应用程序信息发行方计算机、支付处理网络和/或对于移动支付生态系统的任何其它感兴趣方获得移动应用更新代码。

在步骤402，主应用113和/或移动应用可以接收应用更新，移动应用可以被更新。在更新移动应用的一个或多个小应用程序之前，移动应用可以在暂时存储器中存储之前个性化的信息，使得在更新的移动应用的安装期间个性化信息不被删除。不过，更新可能改变移动应用，使得新功能存在于移动应用上和/或使得新个性化信息对新功能是必需的，或者可以使用移动应用的现有功能。

在步骤403，从更新的移动应用将迁移通知消息发送至主应用。如之前讨论的，迁移通知消息可以包括安全域信息，其包括用于识别装置、账户并由储备系统生成部分个性化脚本的信息。

例如，迁移通知消息可以包括(1)标识在通信装置上被更新的小应用程序的移动应用的应用标识符(例如AID)，(2)允许储备系统识别用来生成储备脚本的储备密钥，以及(3)移动应用版本信息。可以在单个通知中提供信息，或者可以通过在通信装置和应用更新储备系统之间发送的多个通知消息，获得信息。另外，在移动应用中更新多个小应用程序时，或者多个迁移通知或者包括与各个小应用程序关联的多个应用标识符的单个通知可以提供至主应用113。

在步骤404，主应用将包括装置标识符、应用标识符和版本信息的迁移通知消息转发至主应用提供者计算机。

在步骤405，主应用提供者计算机确定并将包括装置标识符、应用标识符和版本信息的迁移通知消息转发至移动应用更新储备系统130。主应用提供者计算机120与迁移通知一起还可以包括其它信息，以有助于完成部分个性化过程。例如，主应用标识符(例如主应用标识符)和请求参考标识符可以包括在主应用提供者和移动应用更新储备计算机130之间的消息中，以识别并跟踪通过交易流的请求。请求标识符可以允许每个系统跟踪进展，并通过部分个性化处理操作识别各方和相应请求。

在步骤406，储备系统从通信装置接收迁移通知消息(也称作迁移通知)。迁移或迁移通知可以包括移动应用版本信息和安装在通信装置上的移动应用的小应用程序标识信息。如上文描述的，迁移通知可以包括(1)用于移动应用的识别具体小应用程序的AID，(2)用于确定安全元件和/或与装置关联的其它储备密钥的装置标识符，以及(3)移动应用版本号，使得储备系统可以生成用于在通信装置上储备的部分个性化脚本。

在步骤406-412，储备系统的移动标识模块131可以确定与迁移通知关联的账户和装置，并且可以如参照图2的步骤210-280在上文描述的进行部分个性化过程。因为储备系统具有用于生成部分个性化脚本的存储的储备密钥以在通信装置的可信执行环境上的移动应用中安装，所以储备系统已经确定或者能够确定用于生成与迁移事件关联的部分个性化脚本的所有必要信息。

而且，在一些实施例中，可以联系小应用程序信息发行方计算机以便在识别部分个性化过程的不同类型的部分个性化信息之后，获得用于更新移动应用的个性化信息。在这些实施例中，小应用程序信息发行方计算机可以存储相关的个性化信息，这些信息可能不可用于移动应用更新储备计算机130，并且可以从小应用程序信息发行方获得个性化信息，使得可以生成部分个性化脚本。而且，在一些实施例中，移动应用更新储备计算机130的功能可以合并到发行方系统中，使得发行方可以执行部分个性化资料确定和脚本生成。

在步骤413-414，通过主应用计算机将部分个性化脚本传送至主应用113。可以传送具有任务参考标识符、装置标识信息、应用标识符(例如AID)、可信执行环境的安全域信息(例如补充安全域标识符)和允许主应用提供者计算机识别与个性化脚本关联的通信装置的任何其它信息的部分个性化脚本。

在步骤415，主应用113接收部分个性化脚本，并命令移动应用在部分个性化脚本内的移动应用的识别的小应用程序上安装部分个性化脚本。因此，部分个性化脚本命令可以包括与正被个性化的一个小应用程序(和/或若干小应用程序)关联的应用标识符。

在步骤416，移动应用把部分个性化脚本安装到由部分个性化脚本命令识别的小应用程序中。

在步骤417-419，在移动装置上安装部分个性化脚本，并接收确认，并将其通过主应用113和主应用提供者计算机传送至储备系统。在一些实施例中，也可以由任何实体通知发行方。

B.使用移动装置上存在的加密密钥的方法

另外，一些实施例可以使用位于移动应用中的密钥，来使移动应用准备好更新，并安装个性化脚本更新。在此实施例中，储备系统可能需要移动应用的版本号、应用标识符和移动应用标识符(MAID)，移动应用标识符允许应用更新储备系统识别并安全地与移动应用通信，以在生成改变移动应用上的数据的脚本之前获得用于验证的密钥信息。验证实体然后可以生成部分个性化脚本，以用于更新在小应用程序中的个性化信息。

在这样的实施例中，储备系统可以使用移动应用标识符(MAID)和在迁移通知(或在接收通知消息之后请求的)中从移动应用接收的其它信息，以生成与移动应用通信的会话密钥。储备系统可以使用会话密钥来准备针对移动应用的安全信道。可以使用安全信道，以便与移动应用安全地通信，并从移动应用获得安全信息以便使用与移动应用关联的安全域密钥验证并个性化移动应用的小应用程序。储备系统然后可以使用加密密钥来根据需要更新更新的移动应用中的目前的个性化信息。在一些实施例中，还可以在迁移通知中提供动态数据(例如交易序列计数器)，以便导出用于与移动应用通信的会话密钥。

在此实施例中，可以使用从移动应用接收的密钥，通过改变移动应用中的每个数据元素的零碎过程更新存储在移动应用中的数据。所以，移动应用可以在应用更新期间创建每个新个性化元素的默认值，然后可以使用数据更新脚本代替储备脚本更新每个默认值。

图5示出根据本发明的实施例使用由移动应用存储的密钥的部分个性化储备过程的一个示例性流程图。

在步骤501-504，更新移动应用，把以前的个性化数据输入到更新的移动应用中，生成迁移通知，并将其发送至主应用113以传送至储备系统。迁移通知可以包括允许储备系统识别与迁移关联的账户和装置的任何信息。例如，迁移通知可以包括与更新关联的移动应用的小应用程序的应用标识符(AID)和装置标识符(例如安全元件标识符、装置序号等)以确定与迁移通知关联的通信装置。通知还可以包括指示被报告的更新或事件的类型的任何事件信息或代码。而且，迁移通知可以包括已经被更新的移动应用的版本(即移动应用版本信息)，以及在一些实施例中，包括正被更新的移动应用的之前版本。

在步骤505，储备系统130可以确定与通知事件关联的装置，并且可以生成获得必要的密钥标识数据的安全信道密钥标识请求以确定用于安全地与移动应用通信的会话密钥。储备系统可以通过主应用提供者计算机将请求发送至移动装置的主应用。注意，尽管一些通信线似乎通过主应用提供者计算机，但主应用提供者计算机可以接收请求，并将请求酌情转发至适当的计算机或通信装置。在一些实施例中，装置也可以直接通信。

在步骤505，储备系统接收应用信息(例如MAID和MSC)，并准备和建立针对与移动应用通信的安全信道。可以使用响应于获得数据请求通过主应用提供者从主应用接收的移动应用信息，建立安全信道。

在步骤506，储备系统130生成对于移动状态更新(MSU)数据的请求，以便从移动应用获得密码数据，从而在个性化之前验证小应用程序。对于移动状态更新数据的请求可以包括储备系统可能期望有关于其的信息的小应用程序的应用标识符(AID)。MSU数据还可以称作“验证信息”，原因是可以使用来自移动应用的响应验证移动应用准备好移动更新(包括部分个性化脚本的安装)，以及移动应用是真实、有效的。

在步骤507，主应用113接收请求(通过移动应用提供者计算机)，并命令移动应用准备对个性化信息的更新。另外，主应用113命令移动应用可以使用与小应用程序关联的应用标识符(AID)更新哪些安全域(SSD)和个性化的应用。可以完成许多认证过程和数据准备步骤，以使移动应用准备好数据更新。在一些实施例中，移动应用的小应用程序对于更新的准备可以包括应用标识符的选择，更新消息的初始化，外部认证过程和被发送至移动应用的存储的数据消息。而且，该过程可以包括获得国家代码信息的获得数据请求，移动应用然后可以访问识别的小应用程序，并给发行方返回小应用程序信息的国家代码。

在步骤508，主应用113请求与移动应用的识别的小应用程序关联的移动状态更新(MSU)数据。移动状态更新(MSU)数据可以包括验证移动应用是真实的，并允许生成部分个性化脚本并将其安装在移动应用上的必要数据。从MSU数据请求获得的密码信息可以包括密码信息、计数器、密码和在脚本生成期间可以确保小应用程序更新的安全性而使用的任何其它信息。此信息可以被称作移动应用信息，并且可能对允许由储备系统生成必要的部分个性化脚本是足够的。移动状态更新数据可以包括例如应用交易计数器、发行方应用数据、交易信息、应用PAN序列号、密码和应用互换资料。

在步骤509，移动应用用加密的MSU数据进行响应，并将MSU数据提供至主应用。MSU响应数据可以包括移动序列计数器、加密的MSU数据的长度、加密的MSU数据和用于验证消息不被拦截或改变的MAC。加密的MSU数据可以包括应用交易计数器、金额、交易日期、交易类型、交易货币代码、发行方应用数据、磁道2等同数据、应用PAN序列号和应用密码。另外，加密的MSU数据还可以包括指示移动应用的版本的移动应用版本信息。在一些实施例中，版本信息可以作为加密的MSU数据之外的单独的数据元素提供。

在步骤510，主应用113将包括加密的MSU数据的MSU响应发送至储备系统。主应用113和/或主应用提供者可以增加请求标识符、主应用标识符和用于执行部分个性化的任何其它相关信息。

在步骤511，储备计算机接收加密的MSU数据响应，并验证MAC以确保消息不被改变。储备计算机可以使用安全信道的会话密钥来解密MSU数据。在一些实施例中，储备计算机可以使用与通信装置和/或移动应用关联的单独的密钥来解密MSU数据。

在步骤512，应用更新储备系统确定与部分个性化请求关联的相关账户和装置信息，并将MSU数据呈送于发行方以验证MSU数据。在一些实施例中，储备系统还可以具有对于账户信息的访问，以代表发行方验证账户信息。

在步骤513，小应用程序信息发行方计算机可以验证MSU数据，并且可以验证与MSU数据关联的账户信息。在发送用于账户验证的请求之前、之中和之后，储备系统可以确定部分个性化信息以个性化到移动应用中。

在步骤514-516，执行与上文参照图2的步骤230、250和260描述的相似步骤。不过，一旦储备系统已经识别部分个性化信息包括于部分个性化脚本中，储备系统可以将部分个性化信息的指示转发至小应用程序信息发行方，以用于部分个性化脚本的准备。注意，在一些实施例中，可以在发送用于验证的账户信息之前执行这些步骤，部分个性化信息可以作为对于部分个性化请求的一部分包括在内。

在步骤517，小应用程序信息发行方计算机生成包括确定的部分个性化信息的部分个性化脚本，以更新存储在通信装置上的个性化信息。替代性地或者另外，储备系统可以从消费者账户数据库或代表发行方获得此信息。然后将部分个性化脚本返回至储备计算机以通过主应用提供者传送至通信装置。

在步骤518，储备系统传送部分个性化脚本以用于安装在通信装置上。可以通过移动应用提供者计算机传送脚本，脚本被公式化，以影响移动应用内的具体字段。

在步骤519-521，在移动装置上安装部分个性化脚本更新，接收确认并将其传送至储备系统。在一些实施例中，也可以由任何实体通知小应用程序信息发行方。

另外，在一些实施例中，在通信装置上应用更新和部分个性化过程的发起可以与图4和5中示出的那些方法不同。例如，在一些实施例中，可以在事件触发通知，以将其发送至主应用和/或储备系统之后，发起更新。例如，此过程可以由移动应用发起，移动应用通知主应用在移动应用上已经出现事件(例如安全通知)，并请求了应用更新。应用更新请求可以传送至主应用提供者计算机，主应用提供者计算机可以发起移动应用的软件更新，一旦移动应用的更新完成，可以由移动应用发起迁移通知。

另外，在一些实施例中，应用信息发行方可以请求移动应用更新，其可以启动如本文中描述的更新过程和部分个性化过程。例如，发行方可能期望将应用更新提供至移动应用以用于移动应用中的小应用程序。因此，发行方请求可以包括用于存储在移动应用上的小应用程序的账户标识信息，移动应用更新可以被推送至主应用提供者以由发行方和/或由储备计算机安装在通信装置上。该过程然后可以如本文中描述的继续。

而且，在一些实施例中，可以响应于移动应用更新，提供包括MSU数据的单个消息。因此，步骤503-510可以组合成提供部分个性化过程所需的全部信息的单个消息。在这些实施例中，在请求个性化更新或者更新移动应用之前，主应用113可以将加密密钥传送至储备系统，储备系统可以存储该密钥以用于以后用在部分个性化和应用更新过程中。因此，主应用113可以从移动应用115获得数据，并将其包括在迁移通知中，这会允许系统确定正确的安全元件数据和/或密码信息以用于更新移动应用115，而不必生成安全信道，并获得移动应用的每个部分个性化的密钥。

注意，通过在迁移通知中包括多个版本的信息，一次可以个性化超过一个小应用程序，该过程与生成并传送至通信装置的多个个性化脚本是相同的。

服务器计算机可以是功能强大的计算机或计算机集群。例如，服务器计算机可以是大型主机、微型计算机集群或象一个单元一样工作的一组服务器。在一个示例中，服务器计算机可以是耦连至网络服务器的数据库服务器。

消费者或用户可以是在与商家的交易期间使用移动装置或使用移动装置以将装置储备用于商家、访问装置或任何其它类型的交易的任何人。

本文中描述的各个参与方和元件可以操作一个或多个计算机设备以促进本文中描述的功能。在上文描述的图1-5中的任何元件，包括任何服务器或数据库，可以使用任何适当数目的子系统以促进本文中描述的功能。

这些子系统或部件的示例可以包括中央处理器、输入/输出控制器、系统存储器、打印机、显示适配器和监视器、串行端口、键盘、固定磁盘、通过系统总线互连的外部接口。子系统诸如打印机、键盘、固定磁盘(或包括计算机可读介质的其它存储器)和耦连至显示适配器的监视器。耦连至I/O控制器(其可以是处理器或其它适当的控制器)的外围设备和输入/输出(I/O)装置可以通过本领域已知的任何数量的手段(诸如串行端口)连接至计算机系统。例如，可以使用串行端口或外部接口将计算机设备连接至广域网(诸如互联网)、鼠标输入装置或扫描仪。通过系统总线的互连使中央处理器与每个子系统通信，并控制来自系统存储器或固定磁盘的指令的执行以及信息在子系统之间的交换。系统存储器和/或固定磁盘可以体现计算机可读介质。

本申请中描述的任何软件部件或功能可以使用任何适当的计算机语言(比方说例如Java、C++或Perl)使用例如传统的或面向对象的技术实现为由处理器执行的软件代码。软件代码可以存储为计算机可读介质(诸如随机存取存储器(RAM)、只读存储器(ROM)、磁介质(诸如硬盘或软盘)或光介质(诸如CD-ROM))上的一系列指令或命令。任何这些计算机可读介质可以驻存在单个运算设备上或内部，并且可以存在于系统或网络内的不同运算设备上或内部。

上文的描述是示意性的不是限制性的。在查看本公开后，本发明的许多变形对本领域技术人员是显然的。因此，本发明的范围应当不参考上文的描述确定，而是应当参考所附权利要求连同其全部范围或等同物确定。

在不偏离本发明的范围下，来自任一实施例的一个或多个特征可以与其余任何实施例的一个或多个特征组合。

对“一(a)”、“一(an)”或“所述(the)”的叙述旨在表示“一个或多个”，除非明确指示为相反。

上面提到的所有专利、专利申请、公开和描述出于所有目的通过引用被全部并入本文中。不承认他们为现有技术。

Claims (20)

1.一种在由应用提供者计算机管理的通信装置上更新与更新的移动应用关联的个性化信息的方法，所述方法包括：

由服务器计算机从所述应用提供者计算机接收迁移通知，所述迁移通知包括装置标识信息、小应用程序标识信息和由所述应用提供者计算机安装在所述通信装置上的移动应用的应用版本信息；

由所述服务器计算机使用所述装置标识信息和所述小应用程序标识信息识别与所述迁移通知关联的账户；

由所述服务器计算机使用接收的应用版本信息识别与所述移动应用关联的当前个性化资料；

由所述服务器计算机识别与更新的移动应用关联的更新的个性化资料；

由所述服务器计算机确定与所述当前个性化资料和更新的个性化资料之间的差异关联的部分个性化信息；

生成部分个性化脚本，所述部分个性化脚本包括用于更新存储在所述通信装置的移动应用中的个性化信息的部分个性化信息；以及

由所述服务器计算机将所述部分个性化脚本提供至所述应用提供者计算机以安装在所述通信装置上，

其中，基于被更新的所述部分个性化信息的重要性，挂起所述移动应用，或者在更新所述个性化信息期间允许所述移动应用的现有功能继续操作。

2.根据权利要求1所述的方法，其中，所述部分个性化信息包括加密密钥、凭证、共享秘密和用户信息中的至少一个。

3.根据权利要求1所述的方法，其中，所述应用版本信息指示安装于所述通信装置上的移动应用的之前的版本。

4.根据权利要求1所述的方法，其中，当所述更新解决安全问题时，所述移动应用在所述部分个性化脚本安装于所述通信装置之前被挂起。

5.根据权利要求1所述的方法，其中，与更新的移动应用关联的更新的功能在所述部分个性化脚本安装于所述通信装置之前被禁止。

6.根据权利要求1所述的方法，其中，从所述通信装置接收所述迁移通知还包括：

由所述服务器计算机使用所述小应用程序标识信息和所述装置标识信息建立针对所述通信装置的安全信道；

由所述服务器计算机发送使所述移动应用准备好更新的移动状态更新命令；

由所述服务器计算机通过所述安全信道从所述通信装置的移动应用接收验证信息；以及

由所述服务器计算机验证所述验证信息以认证所述移动应用。

7.根据权利要求1所述的方法，其中，所述迁移通知由所述移动应用响应于与所述移动应用关联的事件生成。

8.根据权利要求1所述的方法，其中，所述部分个性化脚本的生成由发行方计算机执行。

9.根据权利要求1所述的方法，其中，在所述迁移通知被接收之前，发行方可以请求在所述通信装置上更新所述移动应用。

10.根据权利要求1所述的方法，还包括：

由所述服务器计算机通过将所述移动应用的个性化资料的存储的应用版本与接收的应用版本信息比较，验证所述迁移通知的真实性。

11.一种服务器计算机，包括：

处理器；以及

耦连至所述处理器的计算机可读介质，所述计算机可读介质包括能够由所述处理器执行的代码，以执行用于在通信装置上更新与更新的移动应用关联的个性化信息的方法，所述方法包括：

从应用提供者计算机接收迁移通知，所述迁移通知包括装置标识信息、小应用程序标识信息和由所述应用提供者计算机安装在所述通信装置上的移动应用的应用版本信息；

使用所述装置标识信息和所述小应用程序标识信息识别与所述迁移通知关联的账户；

使用接收的应用版本信息识别与所述移动应用关联的当前个性化资料；

识别与更新的移动应用关联的更新的个性化资料；

确定与所述当前个性化资料和更新的个性化资料之间的差异关联的部分个性化信息；

生成部分个性化脚本，所述部分个性化脚本包括用于更新存储在所述通信装置的移动应用中的个性化信息的部分个性化信息；以及

将所述部分个性化脚本提供至所述应用提供者计算机以安装在所述通信装置上，

其中，基于被更新的所述部分个性化信息的重要性，挂起所述移动应用，或者在更新所述个性化信息期间允许所述移动应用的现有功能继续操作。

12.根据权利要求11所述的服务器计算机，其中，所述部分个性化信息包括加密密钥、凭证、共享秘密和用户信息中的至少一个。

13.根据权利要求11所述的服务器计算机，其中，所述应用版本信息指示安装于所述通信装置上的移动应用的之前的版本。

14.根据权利要求11所述的服务器计算机，其中，当所述更新解决安全问题时，所述移动应用在所述部分个性化脚本安装于所述通信装置之前被挂起。

15.根据权利要求11所述的服务器计算机，其中，与更新的移动应用关联的更新的功能在所述部分个性化脚本安装于所述通信装置之前被禁止。

16.根据权利要求11所述的服务器计算机，其中，从所述通信装置接收所述迁移通知还包括：

使用所述小应用程序标识信息和所述装置标识信息建立针对所述通信装置的安全信道；

发送使所述移动应用准备好更新的移动状态更新命令；

通过所述安全信道从所述通信装置的移动应用接收验证信息；以及

验证所述验证信息以认证所述移动应用。

17.根据权利要求11所述的服务器计算机，其中，所述迁移通知由移动应用响应于与所述移动应用关联的事件生成。

18.根据权利要求11所述的服务器计算机，其中，所述部分个性化脚本的生成由发行方计算机执行。

19.根据权利要求11所述的服务器计算机，其中，所述方法还包括：

通过将所述移动应用的个性化资料的存储的应用版本与接收的应用版本信息比较，验证所述迁移通知的真实性。

20.一种用于在移动应用更新期间部分个性化的系统，包括：

通信装置，所述通信装置包括更新的移动应用，其被配置成：

响应于更新事件，向应用提供者计算机发送迁移通知，所述迁移通知包括装置标识信息、小应用程序标识信息和应用版本信息；

所述应用提供者计算机被配置成：

接收所述迁移通知；

确定与所述移动应用关联的供应计算机；

将所述迁移通知传送至所述供应计算机；

从所述供应计算机接收部分个性化脚本；以及

在所述通信装置上安装所述部分个性化脚本；以及

所述供应计算机被配置成：

从所述应用提供者计算机接收所述迁移通知；

使用所述装置标识信息和所述小应用程序标识信息识别与所述通信装置关联的当前个性化资料；

使用所述装置标识信息和所述小应用程序标识信息识别与所述迁移通知关联的账户；

使用接收的应用版本信息识别与所述移动应用关联的当前个性化资料；

识别与在所述通信装置上的更新的移动应用关联的更新的个性化资料；

确定与所述当前个性化资料和更新的个性化资料之间的差异关联的部分个性化信息；

生成所述部分个性化脚本，所述部分个性化脚本包括用于更新存储在所述通信装置的移动应用中的个性化信息的部分个性化信息；以及

将所述部分个性化脚本提供至所述应用提供者以用于安装，

其中，基于被更新的所述部分个性化信息的重要性，挂起所述移动应用，或者在更新所述个性化信息期间允许所述移动应用的现有功能继续操作。

Images