WO2019071650A1

WO2019071650A1 - 一种安全元件中的应用的升级方法及相关设备

Info

Publication number: WO2019071650A1
Application number: PCT/CN2017/107016
Authority: WO
Inventors: 李卓斐; 李辉; 邓太生
Original assignee: 华为技术有限公司
Priority date: 2017-10-09
Filing date: 2017-10-20
Publication date: 2019-04-18
Also published as: CN109863475A

Abstract

一种安全元件中的应用的升级方法及相关设备，用于提高安全元件中的应用的安全性，并保障安全元件中的应用升级过程中用户数据不丢失。该方法包括：接收对应待升级应用的升级命令；响应于所述升级命令，向可信服务管理服务器发送对应所述待升级应用的升级请求；向所述可信服务管理服务器发送所述待升级应用的重要数据；删除所述安全元件SE中的所述待升级应用的当前版本，所述待升级应用的当前版本包括所述重要数据；接收并安装所述可信服务管理服务器根据所述升级请求发送的所述待升级应用的更新版本；接收所述可信服务管理服务器发送的所述重要数据，并将接收的所述重要数据加载到所述待升级应用的更新版本中。

Description

一种安全元件中的应用的升级方法及相关设备

本申请要求于2017年10月9日提交中国专利局、申请号为201710931301.X、发明名称为“一种安全元件应用的升级方法及相关设备”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请涉及通信技术领域，尤其涉及一种安全元件中的应用的升级方法及相关设备。

背景技术

随着移动终端的快速发展，移动终端的功能越来越多，对移动终端的安全性的要求也越来越高。主流的移动终端有三种应用环境，按安全性由低到高依次为：富执行环境(rich execution environment，REE)、可信执行环境(trusted execution environment，TEE)和安全元件(secure element，SE)，其中运行的应用依次叫做：客户应用(client application，CA)、可信应用(TEE application，TA)和SE中的应用(Applet)。TEE是运行在主处理器中的一种安全运行环境，TEE的安全启动过程是需要通过验证的，并且它的安全启动过程是与REE分离的。运行在TEE下的各个应用程序之间是相互独立的，而且各个应用程序之间不能在未授权的情况下互相访问，保证TEE下的应用程序的资源和数据的处理过程是在一个可信环境下执行的，从而为REE操作系统提供安全服务。安装在手机安全元件(SE)中的很多应用(Applet)都比较重要，与个人资金或身份绑定，例如银行电子现金支付、一卡通支付、电子身份标识(electronic identity，eID)等。一些SE应用本身会存储用户身份、金额等重要信息。

由于版本缺陷，业务场景变化等原因，SE中的Applet也有升级的需要。现有方案提供了两种解决方式：第一种方式是：不升级直接更换，例如金融IC卡，一旦发现应用Applet有问题，则金融集成电路(integrated circuit，IC)卡的业务提供方回收销毁旧卡片并分发新卡片；第二种方式是：安装有Applet的手机删除旧版本及相关数据，然后安装新版本Applet。

现有的解决方案中，若不升级，则会降低Applet的安全性，带来安全隐患；若升级，对SE中的Applet进行升级的过程中，重要数据被删除，在升级结束后不能恢复，导致相应的损失。对于不同的Applet，可以根据业务需要定义重要数据，例如，公交卡Applet可以将金额定义为重要数据，电子身份标识eID将身份信息定义为重要数据。

发明内容

本申请实施例提供了一种安全元件中的应用的升级方法及相关设备，用于提高安全元件中的应用的安全性，并保障安全元件中的应用升级过程中用户数据不丢失。

本申请第一方面提供了一种安全元件中的应用的升级方法，包括：移动终端接收对应待升级应用的升级命令，该升级命令可以由可信服务管理服务器或用户触发；移动终端响应于所述升级命令，向可信服务管理服务器发送对应所述待升级应用的升级请求，该升级请求中可以携带所述待升级应用的版本信息；移动终端向所述可信服务管理服务器发送所述待升级应用的重要数据；移动终端删除所述安全元件SE中的所述待升级应用的当前版本，所述待升级应用的当前版本包括所述重要数据；移动终端接收并安装所述可信服务管理服务器根据所述升级请求发送的所述待升级应用的更新版本；移动终端接收所述可信服务管理服务器发送的所述重要数据，并将接收的所述重要数据加载到所述待升级应用的更新版本中。本申请实施例，移动终端对安全元件中的应用进行升级，提高安全元件应用的安全性，并保障安全元件应用升级过程中用户数据不丢失。

在一种可能的设计中，在本申请实施例第一方面的第一种实现方式中，所述向可信服务管理服务器发送所述待升级应用的重要数据之前，所述升级方法还包括：通过所述SE将所述待升级应用的当前版本设置为只读模式。本申请实施例中，增加了将所述待升级应用设置为只读模式的过程，使本申请实施例在步骤上更完善。

在一种可能的设计中，在本申请实施例第一方面的第二种实现方式中，所述移动终端包括可信执行环境TEE和富执行环境REE，所述TEE中运行有安全应用TA，所述REE中运行有客户端应用CA；向可信服务管理服务器发送对应所述待升级应用的升级请求之前，所述方法还包括：通过所述TA生成所述待升级应用的升级请求，所述待升级应用的升级请求包括所述待升级应用的标识，或者，包括所述待升级应用的标识和所述待升级应用的当前版本的信息。本申请实施例，增加了生成所述待升级应用的升级请求的过程，使本申请实施例更具有逻辑性。

在一种可能的设计中，在本申请实施例第一方面的第三种实现方式中，对应待升级应用的升级命令由用户输入；向可信服务管理服务器发送对应所述待升级应用的升级请求和发送所述待升级应用的重要数据之前，所述方法还包括：通过所述TA或所述CA接收所述用户的用于验证身份的输入；通过所述TA对所述用户的用于验证身份的输入进行鉴权，并且鉴权通过。本申请实施例，增加了对用户的用于验证身份的输入进行鉴权的过程，增加了本申请实施例的实现方式。

在一种可能的设计中，在本申请实施例第一方面的第四种实现方式中，在向可信服务管理服务器发送对应所述待升级应用的升级请求之后，向所述可信服务管理服务器发送所述待升级应用的重要数据之前，所述升级方法还包括：通过所述SE接收所述可服务管理服务器发送的上传数据命令；向所述可信服务管理服务器发送所述待升级应用的重要数据包括，响应于所述上传数据命令，向所述可信服务管理服务器发送所述待升级应用的重要数据。本申请实施例中，增加了移动终端接收上传数据命令的过程，使本申请实施例在步骤上更完善。

本申请第二方面提供了一种安全元件中的应用的升级方法，由可信服务管理服务器执行，所述升级方法包括：可信服务管理服务器接收移动终端发送的对应待升级应用的升级请求；可信服务管理服务器接收所述移动终端发送的所述待升级应用的重要数据；可信服务管理服务器保存所述待升级应用的重要数据；可信服务管理服务器根据所述升级请求向所述移动终端发送所述待升级应用的更新版本；可信服务管理服务器向所述移动终端发送所述待升级应用的重要数据。本申请实施例，可信服务管理服务器对安全元件中的应用进行升级，提高安全元件应用的安全性，并保障安全元件应用升级过程中用户数据不丢失。

在一种可能的设计中，在本申请实施例第二方面的第一种实现方式中，在接收所述移动终端发送的所述待升级应用的重要数据之后，保存所述待升级应用的重要数据之前，所述升级方法还包括：将所述重要数据的全部数据与所述可信服务管理服务器中存储的对应的数据进行比对，并且比对成功。本申请实施例，增加了对重要数据的全部数据进行验证的过程，增加了本申请实施例的可实现性和可操作性。

在一种可能的设计中，在本申请实施例第二方面的第二种实现方式中，在接收所述移动终端发送的所述待升级应用的重要数据之后，保存所述待升级应用的重要数据之前，所述升级方法还包括：将所述重要数据的部分与所述可信服务管理服务器中存储的对应的数据进行比对，并且比对成功。本申请实施例，增加了对重要数据的部分数据的进行验证的过程，增加了本申请实施例的可实现性和可操作性。

在一种可能的设计中，在本申请实施例第二方面的第三种实现方式中，在接收移动终端发送的对应待升级应用的升级请求之后，接收所述移动终端发送的所述待升级应用的重要数据之前，所述升级方法还包括：向所述移动终端发送上传数据命令，所述上传数据命令用于指示所述移动终端上传所述重要数据。本申请实施例，增加了发送上传数据命令的过程，使本申请实施例更具有逻辑性。

在一种可能的设计中，在本申请实施例第二方面的第四种实现方式中，所述待升级应用的升级请求包括版本信息，在发送所述待升级应用的更新版本之前，所述升级方法还包括：根据所述待升级应用的版本信息判断所述待升级应用是否需要进行更新版本，并且判断结果为更新版本。本申请实施例，增加了判断待升级应用是否需要进行更新版本的过程，增加了本申请实施例的实现方式。

在一种可能的设计中，在本申请实施例第二方面的第五种实现方式中，在接收移动终端发送的对应待升级应用的升级请求之前，所述升级方法还包括：向所述移动终端发送应用升级命令，所述应用升级命令用于指示所述移动终端对安全元件中的待升级应用进行升级。本申请实施例，增加了可信服务管理服务器向所述移动终端发送应用升级命令的过程，增加了本申请实施例的实现方式。

本申请第三方面提供了一种移动终端，所述移动终端具有安全元件，所述安全元件安装有至少一个应用，所述移动终端包括：第一接收单元，用于接收对应待升级应用的升级命令；第一发送单元，用于响应于所述升级命令，向可信服务管理服务器发送对应所述待升级应用的升级请求；第二发送单元，用于向所述可信服务管理服务器发送所述待升级应用的重要数据；删除单元，用于删除所述安全元件SE中的所述待升级应用的当前版本，所述待升级应用的当前版本包括所述重要数据；第一处理单元，用于接收并安装所述可信服务管理服务器根据所述升级请求发送的所述待升级应用的更新版本；第二处理单元，用于接收所述可信服务管理服务器发送的所述重要数据，并将接收的所述重要数据加载到所述待升级应用的更新版本中。本申请实施例，移动终端对安全元件中的应用进行升级，提高安全元件应用的安全性，并保障安全元件应用升级过程中用户数据不丢失。

在一种可能的设计中，在本申请实施例第三方面的第一种实现方式中，所述移动终端还包括：设置单元，用于向可信服务管理服务器发送所述待升级应用的重要数据之前，通过所述SE将所述待升级应用的当前版本设置为只读模式。本申请实施例中，增加了将所述待升级应用设置为只读模式的过程，使本申请实施例在步骤上更完善。

在一种可能的设计中，在本申请实施例第三方面的第二种实现方式中，所述移动终端包括可信执行环境TEE和富执行环境REE，所述TEE中运行有安全应用TA，所述REE中运行有客户端应用CA；所述移动终端还包括：生成单元，用于向可信服务管理服务器发送对应所述待升级应用的升级请求之前，通过所述TA生成所述待升级应用的升级请求，所述待升级应用的升级请求包括所述待升级应用的标识，或者，包括所述待升级应用的标识和所述待升级应用的当前版本的信息。本申请实施例，增加了生成所述待升级应用的升级请求的过程，使本申请实施例更具有逻辑性。

在一种可能的设计中，在本申请实施例第三方面的第三种实现方式中，对应待升级应用的升级命令由用户输入；所述移动终端还包括：第二接收单元，用于向可信服务管理服务器发送对应所述待升级应用的升级请求和发送所述待升级应用的重要数据之前，通过所述TA或所述CA接收所述用户的用于验证身份的输入；鉴权单元，用于通过所述TA对所述用户的用于验证身份的输入进行鉴权，并且鉴权通过。本申请实施例，增加了对用户的用于验证身份的输入进行鉴权的过程，增加了本申请实施例的实现方式。

在一种可能的设计中，在本申请实施例第三方面的第四种实现方式中，所述移动终端还包括：第三接收单元，用于在向可信服务管理服务器发送对应所述待升级应用的升级请求之后，向所述可信服务管理服务器发送所述待升级应用的重要数据之前，通过所述SE接收所述可服务管理服务器发送的上传数据命令；所述第二发送单元具体用于，响应于所述上传数据命令，向所述可信服务管理服务器发送所述待升级应用的重要数据。本申请实施例中，增加了移动终端接收上传数据命令的过程，使本申请实施例在步骤上更完善。

本申请第四方面提供了一种可信服务管理服务器，所述可信服务管理服务器包括：第一接收单元，用于接收移动终端发送的对应待升级应用的升级请求；第二接收单元，用于接收所述移动终端发送的所述待升级应用的重要数据；保存单元，用于保存所述待升级应用的重要数据；第一发送单元，用于根据所述升级请求向所述移动终端发送所述待升级应用的更新版本；第二发送单元，用于向所述移动终端发送所述待升级应用的重要数据。本申请实施例，可信服务管理服务器对安全元件中的应用进行升级，提高安全元件应用的安全性，并保障安全元件应用升级过程中用户数据不丢失。

在一种可能的设计中，在本申请实施例第四方面的第一种实现方式中，所述可信服务管理服务器还包括：第一比对单元，用于在接收所述移动终端发送的所述待升级应用的重要数据之后，保存所述待升级应用的重要数据之前，将所述重要数据的全部数据与所述可信服务管理服务器中存储的对应的数据进行比对，并且比对成功。本申请实施例，增加了对重要数据的全部数据进行验证的过程，增加了本申请实施例的可实现性和可操作性。

在一种可能的设计中，在本申请实施例第四方面的第二种实现方式中，所述可信服务管理服务器还包括：第二比对单元，用于在接收所述移动终端发送的所述待升级应用的重要数据之后，保存所述待升级应用的重要数据之前，将所述重要数据的部分数据与所述可信服务管理服务器中存储的对应的数据进行比对，并且比对成功。本申请实施例，增加了对重要数据的部分数据的进行验证的过程，增加了本申请实施例的可实现性和可操作性。

在一种可能的设计中，在本申请实施例第四方面的第三种实现方式中，所述可信服务管理服务器还包括：第三发送单元，用于在接收移动终端发送的对应待升级应用的升级请求之后，接收所述移动终端发送的所述待升级应用的重要数据之前，向所述移动终端发送上传数据命令，所述上传数据命令用于指示所述移动终端上传所述重要数据。本申请实施例，增加了发送上传数据命令的过程，使本申请实施例更具有逻辑性。

在一种可能的设计中，在本申请实施例第四方面的第四种实现方式中，所述待升级应用的升级请求包括版本信息，所述可信服务管理服务器还包括：判断单元，用于在发送所述待升级应用的更新版本之前，根据所述待升级应用的版本信息判断所述待升级应用是否需要进行更新版本，并且判断结果为更新版本。本申请实施例，增加了判断待升级应用是否需要进行更新版本的过程，增加了本申请实施例的实现方式。

在一种可能的设计中，在本申请实施例第四方面的第五种实现方式中，所述可信服务管理服务器还包括：第四发送单元，用于在接收移动终端发送的对应待升级应用的升级请求之前，向所述移动终端发送应用升级命令，所述应用升级命令用于指示所述移动终端对安全元件中的待升级应用进行升级。本申请实施例，增加了可信服务管理服务器向所述移动终端发送应用升级命令的过程，增加了本申请实施例的实现方式。

本申请的第五方面提供了一种移动终端，包括，存储器、收发器和至少一个处理器，所述存储器中存储有程序代码，所述存储器、所述收发器和所述至少一个处理器通过线路互联，所述处理器运行所述代码以指令所述移动终端执行上述第一方面中任一项所述的方法。

本申请的第六方面提供了一种可信服务管理服务器，包括：存储器、收发器和至少一个处理器，所述存储器中存储有程序代码，所述存储器、所述收发器和所述至少一个处理器通过线路互联，所述处理器运行所述代码以指令所述可信服务管理服务器执行上述第二方面中任一项所述的方法。

本申请的第七方面提供了一种计算机可读存储介质，所述计算机可读存储介质中存储有程序代码，当其在计算机上运行时，使得计算机执行上述第一方面所述的方法。

本申请的第八方面提供了一种计算机可读存储介质，所述计算机可读存储介质中存储有程序代码，当其在计算机上运行时，使得计算机执行上述第二方面所述的方法。

本申请的第九方面提供了一种包含指令的计算机程序产品，当其在计算机上运行时，使得计算机执行上述第一方面所述的方法。

本申请的第十方面提供了一种包含指令的计算机程序产品，当其在计算机上运行时，使得计算机执行上述第二方面所述的方法。

附图说明

图1为本申请实施例应用的网络架构示意图；

图2A为本申请实施例中移动终端的一个结构示意图；

图2B为本申请实施例中可信服务管理服务器的一个结构示意图；

图3为本申请实施例中安全元件中的应用的升级方法一个实施例示意图；

图4为本申请实施例中安全元件中的应用的升级方法另一个实施例示意图；

图5为本申请实施例中移动终端的一个实施例示意图；

图6为本申请实施例中移动终端的另一个实施例示意图；

图7为本申请实施例中可信服务管理服务器的一个实施例示意图；

图8为本申请实施例中可信服务管理服务器的另一个实施例示意图。

具体实施方式

为了使本技术领域的人员更好地理解本申请方案，下面将结合本申请实施例中的附图，对本申请实施例进行描述。

本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”、“第四”等(如果存在)是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的实施例能够以除了在这里图示或描述的内容以外的顺序实施。此外，术语“包括”或“具有”及其任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。

本申请实施例可应用于如图1所示的网络架构，在该网络架构中，包括移动终端和可信服务管理(trusted service management，TSM)服务器，其中，根据全球平台组织(Global Platform，GP)在相关标准中的定义，TSM服务器分为两类：安全元件提供商的可信服务器管理(secure element issuer trusted service management，SEI-TSM)服务器和服务供应商可信服务管理(service provider trusted service management，SP-TSM)。SEI-TSM负责为SE提供商提供SE生命周期和安全域管理服务，而SP-TSM负责为服务提供商提供应用生命周期服务。移动终端有三种应用环境，分别为：富执行环境(rich execution environment，REE)、可信执行环境(trusted execution environment，TEE)和安全元件(secure element，SE)。

移动终端与服务器之间通过安全通道实现交互，实现对移动终端中的安全元件SE中的应用(Applet)的升级，其中，安全通道是用于传输交互数据的安全可信的传输环境。移动终端将待升级的Applet的业务提供方所定义重要数据封装成重要数据包并发送至TSM服务器，移动终端再将该待升级的Applet的当前版本删除，并从服务器下载该待升级的Applet的最新版本或特定版本，可以理解的是，特定版本比当前版本的版本更新(即特定版本更新)。当Applet的最新版本安装完成后，移动终端从服务器下载之前上传的重要数据包，将重要数据包中的重要数据导入已经下载安装的最新版本Applet中或特定版本的Applet中，从而完成对待升级的Applet的版本更新。

需要说明的是，TA为运行在TEE中的应用，可以访问移动终端的处理器和内存，Applet 为SE中的应用，安全元件SE可以有多种形态，包括SIM卡(通常被移动运营商用作安全模块)、手机中嵌入的芯片以及直接与近距离无线通信(near field communication，NFC)芯片连接的microSD卡等。SE为移动终端中的一块独立的芯片，TEE与SE之间也可以建立安全通道，TA与Applet之间的数据交互可以通过安全通道进行传输。TEE具有其自身的执行空间，比REE操作系统的安全级别更高，并且TEE并不是独立的物理安全芯片，而是与目前使用的应用处理器的硬件架构重叠在一起的安全架构。TEE所能访问的软硬件资源是与REE操作系统分离的，提供硬件支持的隔离。SE中的应用可以为手机盾、eID、银行卡、公交卡等应用，该TEE Client API和TEE Internal API可以分别采用TEE Client API V1.0标准和TEE Internal API V1.0标准，如图2A所示为本申请实施例的一种移动终端的组成示意图。其中的硬件部分可以包括：存储器，处理器和通信单元。该存储器用于存储移动终端的程序代码和数据，例如该存储器中的受保护区域可以存储可信执行环境操作系统(trusted execution environment operating system，TEE OS)和TEE中的应用(TEE application，TA)，该存储器的非受保护区域可以存储富执行环境操作系统(rich execution environment operating system，REE OS)和TEE中的应用(REE application，CA)，SE中的存储器可以存储卡操作系统(card operating system，COS)和各种应用等。处理器(或控制器)，例如可以是中央处理器(central processing unit，CPU)，通用处理器，数字信号处理器(digital signal processor，DSP)，专用集成电路(application-specific integrated circuit，ASIC)，现场可编程门阵列(field programmable gate array，FPGA)或者其他可编程逻辑器件、晶体管逻辑器件、硬件部件或者其任意组合，例如，该处理器可以包括应用处理器芯片中的处理器，和SE中的处理器，分别用于运行前述的各种程序代码以指令移动终端完成本发明实施例描述的各种操作。该通信单元可以为射频电路等，用于与可信服务管理服务器之间进行交互。

可选的，本申请实施例还提供一种移动终端，不包括SE，该移动终端具有存储器，处理器和通信单元，该存储器程序代码和数据，例如该存储器中受保护区域可以存储TEE OS和TA，该存储器的非受保护区域可以REE OS和CA，该处理器执行该存储器中的程序代码以指令该移动终端完成下述方法实施例中的操作，以实现与SE和可信服务管理服务器的交互。

图2B是本申请实施例提供的一种可信服务管理服务器的结构示意图，该可信服务管理服务器200可因配置或性能不同而产生比较大的差异，可以包括一个或一个以上处理器(central processing units，CPU)201(例如，一个或一个以上处理器)和存储介质208，一个或一个以上存储应用程序207或数据206的存储介质208(例如一个或一个以上海量存储设备)。其中，存储介质208可以是短暂存储或持久存储。存储在存储介质208的程序可以包括一个或一个以上模块(图示没标出)，每个模块可以包括对可信服务管理服务器中的一系列代码。更进一步地，处理器201可以设置为与存储介质208通信，处理器201是可信服务管理服务器的控制中心，可利用各种接口和线路连接整个可信服务管理服务器的各个部分，通过运行或执行存储在存储介质208内的软件程序和/或模块，以及调用存储在存储介质208内的数据，执行可信服务管理服务器的各种功能和处理数据，从而实现安全元件中的应用的升级。

存储介质208可用于存储软件程序以及模块，处理器201通过运行存储在存储介质208的软件程序以及模块，从而执行可信服务管理服务器200的各种功能应用以及数据处理。存储介质208可主要包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、至少一个功能所需的应用程序(比如判断Applet是否需要进行更新版本等)等；存储数据区可存储根据可信服务管理服务器的使用所创建的数据(比如上传数据命令等)等。此外，存储介质208可以包括高速随机存取存储器，还可以包括非易失性存储器，例如至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。在本申请实施例中提供的安全元件应用的升级方法的程序和接收到的数据流存储在存储器中，当需要使用时，处理器201从存储介质208中调用。

可信服务管理服务器200还可以包括一个或一个以上电源202，一个或一个以上有线或无线网络接口203，一个或一个以上输入输出接口204，和/或，一个或一个以上操作系统205，例如Windows Serve，Mac OS X，Unix，Linux，FreeBSD等等。本领域技术人员可以理解，图2B中示出的可信服务管理服务器结构并不构成对可信服务管理服务器的限定，可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置。

为了便于描述，对本申请实施例中涉及的术语进行说明。本申请中描述的移动终端可以为手机、平板电脑等同时具备REE、TEE和SE三种安全环境的移动终端；本申请中描述的服务器为可信服务管理服务器，可信服务管理服务器具体可以包括安全元件发行商的可信服务管理(secure element issuer trusted service management，SEI-TSM)系统和服务供应商可信服务管理(Service Provider trusted service management，SP-TSM)系统；本申请实施例中的应用升级命令(Applet升级命令)可以由用户进行操作触发或者是由可信服务管理服务器生成并发送至移动终端；本申请实施例中的第一待升级应用升级请求(Applet升级请求)由CA根据应用升级命令生成，第二待升级应用升级请求由TA根据第一待升级应用升级请求生成，并且该第二待升级应用升级请求可以携带待升级应用的版本信息，待升级应用的版本信息也可以单独作为一个消息发送至可信服务管理服务器；移动终端从可信服务管理服务器下载的待升级应用的版本可以是最新版本，也可以是更新的特定版本，该特定版本可以满足待升级应用的业务提供方的特殊安全要求，本申请实施例以最新版本为例进行说明。本申请实施例中的重要数据由待升级应用的业务提供方来定义，对于不同的应用Applet，定义的重要数据可以相同也可以不同，例如，公交卡Applet的业务提供方可以将金额定义为重要数据，电子身份标识eID的业务提供方可以将身份信息定义为重要数据。本申请实施例中，Applet升级请求可以由用户进行触发，还可以是由服务器进行触发。

为便于理解，下面对本申请实施例的具体流程进行描述，请参阅图3，本申请实施例中安全元件中的应用的升级方法的一个实施例包括：

301、CA接收用户的应用升级命令。

用户根据自身的需要，在使用移动终端的过程中，发现安全元件中的至少一个应用Applet需要升级(即待升级Applet需要进行升级)，则用户在CA中触发目标Applet升级命令。举例说明，用户在使用移动终端的公交卡功能过程中，通过公交公司发送的通知信息，发现公交卡的版本可能需要进行更新版本，则用户在移动终端的设置界面中找到公交卡应用，并选择升级公交卡。需要说明的是，Applet升级命令可以由CA进行接收和解析，并将解析结果转发给TA；还可以是由CA将该Applet升级命令进行转发给TA，CA只起转发作用，TA接收在接收到该Applet升级命令后对该Applet升级命令进行解析。

可以理解的是，用户在移动终端上触发升级命令后，在移动终端完成待升级应用的更新版本和重要数据之前，移动终端保持网络连接功能处于开启状态并可以进行网络下载，例如，移动终端可以不执行用户关闭网络连接功能的操作，以确保移动终端能够对待升级Applet的升级过程顺利进行。

302、CA将第一待升级应用升级请求发送给TA。

移动终端的REE中CA根据用户的应用升级命令，向TEE中TA发送第一待升级应用升级请求，该第一待升级应用请求中携带有待升级应用的标识，用于TA确定需要升级的Applet。例如，在REE中公交卡CA根据用户的升级命令，通过REE与TEE之间的传输通道向TA发送公交卡应用升级请求，该公交卡应用升级请求中至少携带有用于区别其他Applet的标识信息。

303、TA对第一待升级应用升级请求进行鉴权。

移动终端的TA对用户进行身份认证，利用的手段包括但不限于个人识别码(personal identification number，PIN)、指纹、虹膜、人脸识别等验证，以核实该Applet升级操作为移动终端的机主本人触发，例如，当使用PIN码进行验证，当移动终端中预先存储的PIN码与用户输入的PIN码相同，则确定该第一待升级应用升级请求操作为移动终端的机主本人触发，TA确定生成的该第一待升级应用升级请求是合法的，TA根据该第一待升级应用升级请求获取对应Applet的版本信息。TA可以利用TEE所具有的安全能力，包括但不限于可信用户接口(trusted user interface，TUI)、安全存储、安全生物识别能力、可信时钟等。

以指纹认证为例，具体的，在用户通过CA输入升级命令之后，TA在获取到CA生成的相应升级请求后，TA向用户提供验证界面，例如，TA提醒用户验证指纹信息，用户根据提示进行指纹录入操作，TA调用移动终端对用户录入的指纹进行识别，例如，可以通过移动终端上的指纹采集装置直接采集或者是通过触摸屏进行采集；TA将采集到的指纹信息与移动终端内已存储的指纹信息进行匹配，若匹配，则确定Applet升级操作为移动终端的机主本人触发，TA确定生成的该Applet升级请求是合法的，TA根据该Applet升级请求获取对应Applet的版本信息。可以理解的是，用作匹配模板的PIN和指纹信息等信息在进行匹配之前，已存储在移动终端的存储器内，当需要使用时，TA从存储器中调用。其中，移动终端具有用于进行指纹采集的功能模块。

以PIN码认证为例，具体的，在用户通过CA输入升级命令之后，TA在获取到CA生成的相应的第一待升级应用升级请求后，TA向用户提供一个可信输入框用以采集用户输入的PIN码，TA判断用户输入的PIN码是否正确；若正确，则可以确认该升级操作为移动终端的机主本人主动进行的Applet升级操作，TA确定CA生成的该第一待升级应用升级请求是合法的，TA根据该第一待升级应用升级请求获取对应待升级应用的版本信息；若不正确，则执行其他操作，例如，再验证一次，或者终止本次Applet升级操作，具体此处不做限定。

可以理解的是，PIN码由TA进行存储并验证。该PIN码可以根据用户的需要进行修改。

304、TA向Applet获取待升级应用的版本信息。

TA向Applet发送获取Applet版本(GET APPLET VERSION)命令，Applet用约定的密钥对升级数据进行加密和签名，并返回给TA。升级数据包括SE ID、待升级应用的当前版本信息等。具体的，约定的密钥可以是安全存储密钥(secure storage key，SSK)，例如，不同的移动终端设备中的SSK的值不一样，在TEE启动的时候会使用chip ID和HUK经过哈希运算消息认证码(hash-based message authentication code，HMAC)计算获取SSK的值，其中，HUK和chip ID都预置在移动终端的芯片中。还可以是可信应用存储密钥(trusted applicant storage key，TASK)等其他密钥，具体此处不做限定。

可以理解的是，一般情况下，通过不对称加密算法得到两把完全不同但又是完全匹配的一对钥匙：公钥和私钥。在使用不对称加密算法加密文件时，需要使用匹配的两对公钥和私钥，完成对明文的加密和解密过程。对数据进行加密时采用目标公钥加密，对数据进行解密时需要使用与目标公钥匹配的私钥，从而完成加密解密过程。当移动终端对数据进行签名时，采用目标私钥进行签名，可信服务管理服务器在接收到数据后，采用与目标私钥匹配的公钥识别该签名。在发送加密和签名后的数据之前，移动终端必须将与目标公钥相匹配的私钥、与目标私钥相匹配的公钥发送给可信服务管理服务器，而自己保留目标私钥和目标公钥。

305、TA将第二待升级应用升级请求和待升级应用的版本信息发送至可信服务管理服务器。

TA将第二待升级应用升级请求和待升级应用的版本信息发送至可信服务管理(trusted service management，TSM)服务器，其中，待升级应用的版本信息可以携带于第二待升级应用升级请求中，还可以单独作为一个消息发送至TSM服务器，带升级应用的版本信息已经被TA进行过加密和签名。

306、TSM服务器判断待升级应用是否需要进行更新版本。

TSM服务器对第二待升级应用升级请求进行分析，获取到待升级应用的标识信息，TSM服务器根据Applet的标识信息和待升级应用的版本信息判断待升级应用是否需要进行更新版本；若当前Applet版本已是最新，则不需要更新，通知移动终端不需要进行更新，例如，通知用户当前Applet版本已是最新，不需要进行升级，或者是，通知移动终端该待升级应用没有可更新的新版本；若当前Applet版本不是最新的，则需要对Applet进行更新版本，执行步骤307。可以理解的是，不同的Applet对应的业务提供方还可以对自己的TSM服务器采用其他的商业策略，商业策略是业务提供方根据自身业务需要制定的执行标准，例如，公交卡的业务提供方的商业策略可以为：若公交卡应用的版本不为最新的，则在移动终端使用公交卡功能时提示进行升级；公交卡的业务提供方的商业策略还可以为：若公交卡应用的版本不为最新的，则在移动终端连接到无线网络的情况下，提示用户对公交卡应用进行升级。

具体的，当Applet不需要进行更新时，TSM服务器经由TA通知CA，终止升级，具体的，TSM可以下发终止升级的命令，以使得移动终端停止Applet升级过程。当Applet需要进行更新时，TSM服务器同Applet建立安全通道，下发上传数据命令，用于指示移动终端上传重要数据。

307、Applet将自身锁定BLOCK。

Applet将自身锁定BLOCK，具体的形式可以是，将Applet的属性修改为只读模式，Applet的数据不能进行修改，以使重要数据不能再被更新。Applet按约定格式对各个重要数据进行打包汇总，形成重要数据包，其中，重要数据包可以包括重要数据及待升级应用的安装信息等，约定格式可以采用多种形式，例如，可以是常用的IP数据包格式，还可以是其他格式，具体此处不做限定。

例如，公交卡Applet可以根据公交卡的业务提供方定义的金额作为重要数据，公交卡Applet在被BLOCK后，其中的金额不能再发生改变，移动终端也不能使用公交卡业务功能，例如，不能再使用公交卡功能进行刷卡付费业务。

需要说明的是，业务提供方需要为自己的Applet定义重要数据及其格式，并使其TSM服务器可以识别处理同样的重要数据及其格式。

可以理解的是，重要数据包在SE内部进行数据的收集、汇总和打包，具体处理过程此处不做限定。

308、Applet向TSM服务器发送重要数据。

Applet通过安全通道向TSM服务器发送上传数据(UPLOAD DATA)命令的响应，该上传数据命令的响应包含该重要数据。

需要说明的是，安全通道为TSM服务器与SE之间建立的成熟可用的传输通道，安全通道为重要数据提供了必要的安全保障，安全通道的具体建立过程与现有技术相同，例如，可以利用安全套接层(Secure Sockets Layer，SSL)协议和/或传输层安全(Transport Layer Security，TLS)协议建立安全通道，此处不再赘述。除了安全通道传输重要数据包，Applet可以选择再用特定的密钥对重要数据包进行加密签名，以进一步增加安全性。在这种情况下，TSM服务器也需按相应的逻辑进行解密和签名验证。

309、TSM服务器对重要数据进行验证。

TSM服务器对重要数据进行验证。当TSM服务器接收Applet发送的上传数据命令响应，并获取到该上传数据命令响应中携带的重要数据包时，对该重要数据包中的部分或全部数据与预先存储在TSM服务器上的数据进行比对以确认重要数据的正确性，例如，在进行部分数据比对时，在重要数据包中数据中按照预置规则选择部分数据，并将该部分数据与TSM服务器中存储的数据进行验证，例如，采用IP校验算法，从数据中选择出20字节长度的数据与可信服务管理上存储的对应数据进行比对的数据。当TSM服务器在预置时长内未接收到上传数据命令响应，例如，在3分钟之内没有接收到上传数据命令响应，或根据策略终止升级(例如，重要数据包比对不成功，认为有严重安全问题，确定重要数据包不正确)，则TSM服务器可以向Applet下发解封UNBLOCK命令，并通知CA更新版本失败，移动在接收到UNBLOCK命令之后，解除对Applet的锁定，具体的，将Applet的属性从只读模式设置为读写模式；或TSM服务器不发UNBLOCK命令，保持该Applet的BLOCK状态，Applet的属性一直为只读模式，其他设备只能对Applet的数据进行读取，并不能对数据进行修改。

需要说明的是，当可信服务管理服务器上的数据与移动终端内的数据不同步时，移动终端执行上述步骤308和309；当可信服务管理服务器上的数据与移动终端内的数据同步时，移动终端不需要上传重要数据，只需上传重要数据清单(即，将步骤308和309替换为上报重要数据清单的步骤)，在移动终端下载待升级应用的更新版本后，可信服务管理服务器将重要数据清单对应的重要数据下发至移动终端。

310、TSM服务器向移动终端发送待升级应用的更新版本。

TSM服务器向移动终端发送该待升级应用的更新版本。具体的，TSM服务器向SE下发DELETE命令，SE删除该Applet的当前版本。在完成Applet的当前版本的删除后，TSM服务器向SE下发LOAD、INSTALL命令，LOAD、INSTALL命令由SE进行执行，SE从服务器下载待升级应用的更新版本并安装。

需要说明的是，SE中的Applet在进行升级更新时，区别于REE中的CA，SE必须将旧版本的Applet删除之后，才可以下载新版本的Applet。

311、TSM服务器对更新版本的Applet进行数据同步。

TSM服务器向新版本的Applet下发STORE DATA命令，并将重要数据和其他相关信息(例如，用于对待升级应用进行解封的相关信息)同步到新版本的Applet。TSM服务器可以向Applet下发其他命令，比如下载命令，使Applet的下载功能完全开通，例如，向移动终端的U盾Applet发送下载证书命令，以使得U盾Applet完成安全证书的下载，还可以是其他命令，具体此处不做限定。

需要说明的是，将重要数据包中的重要数据下载移动终端的过程中，同样需要利用SE和TSM服务器之间的安全通道，充分保障数据迁移的安全。

312、TSM服务器通知更新Applet成功。

TSM服务器在将重要数据包中重要数据的加载到待升级应用的更新版本中后，会接收到更新版本的Applet反馈的消息，以确认更新Applet成功。TSM服务器经由CA向用户显示结果，提示用户更新Applet成功。

本申请实施例中，用户选择触发Applet升级后，移动终端将重要数据打包上传至TSM服务器，在Applet新版本安装成功后将之前上传的重要数据同步至更新版本的Applet，提高了安全元件应用Applet的数据安全性，并保障安全元件应用Applet升级过程中用户数据不丢失。

请参阅图4，本申请实施例中安全元件中的应用的升级方法的另一个实施例包括：

401、CA接收TSM服务器发送的应用升级命令。

TSM服务器根据业务提供方的特定策略，确定安全元件中的至少一个应用Applet需要升级后，TSM服务器向CA发送应用升级命令，移动终端通过CA接收TSM服务器发送的Applet升级命令。举例说明，对于移动终端的公交卡功能，该公交卡功能的业务提供方(公交卡公司)根据特定策略，例如，确定对服务平台进行升级或发现原版本Applet存在重大安全漏洞，相应的公交卡Applet也需要进行升级以满足升级后的服务平台的使用要求。公交卡公司通过TSM服务器向移动终端的CA发送应用升级命令，并在特定的时机(例如，手机处于空闲状态时)在CA中触发公交卡应用升级。需要说明的是，不同的Applet对应的业务提供方还可以对自己的TSM服务器采用其他的策略。

可以理解的是，TSM服务器在移动终端上触发升级命令后，在移动终端完成待升级应用的更新版本和重要数据之前，移动终端保持网络连接功能处于开启状态并可以进行网络下载，例如，移动终端可以不执行用户关闭网络连接功能的操作，以确保移动终端能够对待升级Applet的升级过程顺利进行。

402、CA将第一待升级应用升级请求发送给TA。

步骤402与步骤302类似，具体此处不再赘述。

403、TA根据预置的业务提供方策略决定是否进行验证。

TA根据预置的业务提供方策略决定是否进行验证。若业务提供方策略需要进行验证，则进行验证，若业务提供方策略不需要进行验证，则执行步骤404。

404、TA向Applet获取待升级应用的版本信息。

405、TA将第二待升级应用升级请求和待升级应用的版本信息发送至可信服务管理服务器。

步骤404至步骤405与步骤304至步骤305类似，具体此处不再赘述。

406、Applet将自身锁定BLOCK。

407、Applet向TSM服务器发送重要数据。

408、TSM服务器对重要数据进行验证。

409、TSM服务器向移动终端发送待升级应用的更新版本。

410、TSM服务器对更新版本的Applet进行数据同步。

411、TSM服务器通知更新Applet成功。

步骤406至步骤411与步骤307至步骤312类似，具体此处不再赘述。

本申请实施例中，TSM服务器下发Applet升级命令至移动终端后，移动终端Applet在升级过程中将重要数据打包上传至TSM服务器，在Applet新版本安装成功后，将之前上传的重要数据同步至更新版本的Applet中，提高了安全元件应用Applet的数据安全性，并保障安全元件应用Applet升级过程中用户数据不丢失。

上面对本申请实施例中安全元件中的应用的升级方法进行了描述，下面对本申请实施例中的移动终端和可信服务管理服务器进行描述，请参阅图5，本申请实施例中移动终端的一个实施例包括：

第一接收单元501，用于接收对应待升级应用的升级命令；

第一发送单元502，用于响应于所述升级命令，向可信服务管理服务器发送对应所述待升级应用的升级请求；

第二发送单元503，用于向所述可信服务管理服务器发送所述待升级应用的重要数据；

删除单元504，用于删除所述安全元件SE中的所述待升级应用的当前版本，所述待升级应用的当前版本包括所述重要数据；

第一处理单元505，用于接收并安装所述可信服务管理服务器根据所述升级请求发送的所述待升级应用的更新版本；

第二处理单元506，用于接收所述可信服务管理服务器发送的所述重要数据，并将接收的所述重要数据加载到所述待升级应用的更新版本中。

本申请实施例，移动终端对安全元件中的应用进行升级，提高安全元件应用的安全性，并保障安全元件应用升级过程中用户数据不丢失。

请参阅图6，本申请实施例中移动终端的另一个实施例包括：

第一接收单元601，用于接收对应待升级应用的升级命令；

第一发送单元602，用于响应于所述升级命令，向可信服务管理服务器发送对应所述待升级应用的升级请求；

第二发送单元603，用于向所述可信服务管理服务器发送所述待升级应用的重要数据；

删除单元604，用于删除所述安全元件SE中的所述待升级应用的当前版本，所述待升级应用的当前版本包括所述重要数据；

第一处理单元605，用于接收并安装所述可信服务管理服务器根据所述升级请求发送的所述待升级应用的更新版本；

第二处理单元606，用于接收所述可信服务管理服务器发送的所述重要数据，并将接收的所述重要数据加载到所述待升级应用的更新版本中。

在一个示例中，移动终端还可以进一步包括：

设置单元607，用于向可信服务管理服务器发送所述待升级应用的重要数据之前，通过所述SE将所述待升级应用的当前版本设置为只读模式。

在一个示例中，移动终端还可以进一步包括：

生成单元608，用于向可信服务管理服务器发送对应所述待升级应用的升级请求之前，通过所述TA生成所述待升级应用的升级请求，所述待升级应用的升级请求包括所述待升级应用的标识，或者，包括所述待升级应用的标识和所述待升级应用的当前版本的信息。

在一个示例中，移动终端还可以进一步包括：

第二接收单元609，用于向可信服务管理服务器发送对应所述待升级应用的升级请求之前，通过所述TA或所述CA接收所述用户的用于验证身份的输入；

鉴权单元610，用于通过所述TA对所述用户的用于验证身份的输入进行鉴权，并且鉴权通过。

在一个示例中，移动终端还可以进一步包括：

第三接收单元611，用于在向可信服务管理服务器发送对应所述待升级应用的升级请求之后，向所述可信服务管理服务器发送所述待升级应用的重要数据之前，通过所述SE接收所述可服务管理服务器发送的上传数据命令；

所述第二发送单元609具体用于，响应于所述上传数据命令，向所述可信服务管理服务器发送所述待升级应用的重要数据。

本申请实施例中，移动终端在接收到Applet升级命令后，移动终端在Applet的升级过程中将重要数据打包上传至TSM服务器，在Applet的更新版本安装成功后将之前上传的重要数据同步至更新版本的Applet，提高了安全元件中的应用Applet的安全性，并保障安全元件中的应用Applet升级过程中用户数据不丢失。

请参阅图7，本申请实施例中可信服务管理服务器的一个实施例包括：

第一接收单元701，用于接收移动终端发送的对应待升级应用的升级请求；

第二接收单元702，用于接收所述移动终端发送的所述待升级应用的重要数据；

保存单元703，用于保存所述待升级应用的重要数据；

第一发送单元704，用于根据所述升级请求向所述移动终端发送所述待升级应用的更新版本；

第二发送单元705，用于向所述移动终端发送所述待升级应用的重要数据。

本申请实施例，可信服务管理服务器对安全元件中的应用进行升级，提高安全元件应用的安全性，并保障安全元件中的应用升级过程中用户数据不丢失。

请参阅图8，本申请实施例中可信服务管理服务器的另一个实施例包括：

第一接收单元801，用于接收移动终端发送的对应待升级应用的升级请求；

第二接收单元802，用于接收所述移动终端发送的所述待升级应用的重要数据；

保存单元803，用于保存所述待升级应用的重要数据；

第一发送单元804，用于根据所述升级请求向所述移动终端发送所述待升级应用的更新版本；

第二发送单元805，用于向所述移动终端发送所述待升级应用的重要数据。

在一个示例中，可信服务管理服务器还可以进一步包括：

第一比对单元806，用于在接收所述移动终端发送的所述待升级应用的重要数据之后，保存所述待升级应用的重要数据之前，将所述重要数据的全部数据与可信服务管理服务器中存储的数据进行比对，并且比对成功。

在一个示例中，验证单元805具体用于：

第二比对单元807，用于在接收所述移动终端发送的所述待升级应用的重要数据之后，保存所述待升级应用的重要数据之前，将所述重要数据的部分数据与可信服务管理服务器中存储的数据进行比对，并且比对成功。

在一个示例中，可信服务管理服务器还可以进一步包括：

第三发送单元808，用于在接收移动终端发送的对应待升级应用的升级请求之后，接收所述移动终端发送的所述待升级应用的重要数据之前，向所述移动终端发送上传数据命令，所述上传数据命令用于指示所述移动终端上传所述重要数据。

在一个示例中，可信服务管理服务器还可以进一步包括：

判断单元809，用于在发送所述待升级应用的更新版本之前，根据所述待升级应用的版本信息判断所述待升级应用是否需要进行更新版本。

在一个示例中，可信服务管理服务器还可以进一步包括：

第四发送单元810，用于在接收移动终端发送的对应待升级应用的升级请求之前，向所述移动终端发送应用升级命令，所述应用升级命令用于指示所述移动终端对安全元件中的待升级应用进行升级。

本申请实施例中，可信服务管理服务器在Applet的升级过程中接收移动终端发送的重要数据，在Applet完成升级后，将接收到的重要数据同步至更新版本的Applet，提高了安全元件中的应用Applet的安全性，并保障安全元件中的应用Applet升级过程中用户数据不丢失。

所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时，全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一计算机可读存储介质传输，例如，所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(digital subscriber line，DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存储的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质，(例如，软盘、硬盘、磁带)、光介质(例如，DVD)、或者半导体介质(例如固态硬盘(solid state disk，SSD))等。

所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(read-only memory，ROM)、随机存取存储器(random access memory，RAM)、磁碟或者光盘等各种可以存储程序代码的介质。

Claims

一种安全元件中的应用的升级方法，所述安全元件安装有至少一个应用，所述方法由具有所述安全元件的移动终端执行，其特征在于，所述方法包括：

接收对应待升级应用的升级命令；

响应于所述升级命令，向可信服务管理服务器发送对应所述待升级应用的升级请求；

向所述可信服务管理服务器发送所述待升级应用的重要数据；

删除所述安全元件SE中的所述待升级应用的当前版本，所述待升级应用的当前版本包括所述重要数据；

接收并安装所述可信服务管理服务器根据所述升级请求发送的所述待升级应用的更新版本；

接收所述可信服务管理服务器发送的所述重要数据，并将接收的所述重要数据加载到所述待升级应用的更新版本中。
根据权利要求1所述的升级方法，其特征在于，所述向可信服务管理服务器发送所述待升级应用的重要数据之前，所述升级方法还包括：

通过所述SE将所述待升级应用的当前版本设置为只读模式。
根据权利要求1或2所述的升级方法，其特征在于，所述移动终端包括可信执行环境TEE和富执行环境REE，所述TEE中运行有安全应用TA，所述REE中运行有客户端应用CA；

向可信服务管理服务器发送对应所述待升级应用的升级请求之前，所述方法还包括：

通过所述TA生成所述待升级应用的升级请求，所述待升级应用的升级请求包括所述待升级应用的标识，或者，包括所述待升级应用的标识和所述待升级应用的当前版本的信息。
根据权利要求3所述的升级方法，其特征在于，对应待升级应用的升级命令由用户输入；

向可信服务管理服务器发送对应所述待升级应用的升级请求和发送所述待升级应用的重要数据之前，所述方法还包括：

通过所述TA或所述CA接收所述用户的用于验证身份的输入；

通过所述TA对所述用户的用于验证身份的输入进行鉴权，并且鉴权通过。
根据权利要求1至4中任一项所述的升级方法，其特征在于，在向可信服务管理服务器发送对应所述待升级应用的升级请求之后，向所述可信服务管理服务器发送所述待升级应用的重要数据之前，所述升级方法还包括：

通过所述SE接收所述可服务管理服务器发送的上传数据命令；

向所述可信服务管理服务器发送所述待升级应用的重要数据包括，响应于所述上传数据命令，向所述可信服务管理服务器发送所述待升级应用的重要数据。
一种安全元件应用的升级方法，由可信服务管理服务器执行，其特征在于，所述升级方法包括：

接收移动终端发送的对应待升级应用的升级请求；

接收所述移动终端发送的所述待升级应用的重要数据；

保存所述待升级应用的重要数据；

根据所述升级请求向所述移动终端发送所述待升级应用的更新版本；

向所述移动终端发送所述待升级应用的重要数据。
根据权利要求6所述的升级方法，其特征在于，在接收所述移动终端发送的所述待升级应用的重要数据之后，保存所述待升级应用的重要数据之前，所述升级方法还包括：

将所述重要数据的全部数据与所述可信服务管理服务器中存储的对应的数据进行比对，并且比对成功。
根据权利要求6所述的升级方法，其特征在于，在接收所述移动终端发送的所述待升级应用的重要数据之后，保存所述待升级应用的重要数据之前，所述升级方法还包括：

将所述重要数据的部分数据与所述可信服务管理服务器中存储的对应的数据进行比对，并且比对成功。
根据权利要求6至8中任一项所述的升级方法，其特征在于，在接收移动终端发送的对应待升级应用的升级请求之后，接收所述移动终端发送的所述待升级应用的重要数据之前，所述升级方法还包括：

向所述移动终端发送上传数据命令，所述上传数据命令用于指示所述移动终端上传所述重要数据。
根据权利要求6至9中任一项所述的升级方法，其特征在于，所述待升级应用的升级请求包括版本信息，在发送所述待升级应用的更新版本之前，所述升级方法还包括：

根据所述待升级应用的版本信息判断所述待升级应用是否需要进行更新版本，并且判断结果为更新版本。
根据权利要求6至9中任一项所述的升级方法，其特征在于，在接收移动终端发送的对应待升级应用的升级请求之前，所述升级方法还包括：

向所述移动终端发送应用升级命令，所述应用升级命令用于指示所述移动终端对安全元件中的待升级应用进行升级。
一种移动终端，所述移动终端具有安全元件，所述安全元件安装有至少一个应用，其特征在于，所述移动终端包括：

第一接收单元，用于接收对应待升级应用的升级命令；

第一发送单元，用于响应于所述升级命令，向可信服务管理服务器发送对应所述待升级应用的升级请求；

第二发送单元，用于向所述可信服务管理服务器发送所述待升级应用的重要数据；

删除单元，用于删除所述安全元件SE中的所述待升级应用的当前版本，所述待升级应用的当前版本包括所述重要数据；

第一处理单元，用于接收并安装所述可信服务管理服务器根据所述升级请求发送的所述待升级应用的更新版本；

第二处理单元，用于接收所述可信服务管理服务器发送的所述重要数据，并将接收的所述重要数据加载到所述待升级应用的更新版本中。
根据权利要求12所述的移动终端，其特征在于，所述移动终端还包括：

设置单元，用于向可信服务管理服务器发送所述待升级应用的重要数据之前，通过所述SE将所述待升级应用的当前版本设置为只读模式。
根据权利要求12或13所述的移动终端，其特征在于，所述移动终端包括可信执行环境TEE和富执行环境REE，所述TEE中运行有安全应用TA，所述REE中运行有客户端应用CA；

所述移动终端还包括：

生成单元，用于向可信服务管理服务器发送对应所述待升级应用的升级请求之前，通过所述TA生成所述待升级应用的升级请求，所述待升级应用的升级请求包括所述待升级应用的标识，或者，包括所述待升级应用的标识和所述待升级应用的当前版本的信息。
根据权利要求14所述的移动终端，其特征在于，对应待升级应用的升级命令由用户输入；

所述移动终端还包括：

第二接收单元，用于向可信服务管理服务器发送对应所述待升级应用的升级请求和发送所述待升级应用的重要数据之前，通过所述TA或所述CA接收所述用户的用于验证身份的输入；

鉴权单元，用于通过所述TA对所述用户的用于验证身份的输入进行鉴权，并且鉴权通过。
根据权利要求12至15中任一项所述的移动终端，其特征在于，所述移动终端还包括：

第三接收单元，用于在向可信服务管理服务器发送对应所述待升级应用的升级请求之后，向所述可信服务管理服务器发送所述待升级应用的重要数据之前，通过所述SE接收所述可服务管理服务器发送的上传数据命令；

所述第二发送单元具体用于，响应于所述上传数据命令，向所述可信服务管理服务器发送所述待升级应用的重要数据。
一种可信服务管理服务器，其特征在于，所述可信服务管理服务器包括：

第一接收单元，用于接收移动终端发送的对应待升级应用的升级请求；

第二接收单元，用于接收所述移动终端发送的所述待升级应用的重要数据；

保存单元，用于保存所述待升级应用的重要数据；

第一发送单元，用于根据所述升级请求向所述移动终端发送所述待升级应用的更新版本；

第二发送单元，用于向所述移动终端发送所述待升级应用的重要数据。
根据权利要求17所述的可信服务管理服务器，其特征在于，所述可信服务管理服务器还包括：

第一比对单元，用于在接收所述移动终端发送的所述待升级应用的重要数据之后，保存所述待升级应用的重要数据之前，将所述重要数据的全部数据与所述可信服务管理服务器中存储的对应的数据进行比对，并且比对成功。
根据权利要求17所述的可信服务管理服务器，其特征在于，所述可信服务管理服务器还包括：

第二比对单元，用于在接收所述移动终端发送的所述待升级应用的重要数据之后，保存所述待升级应用的重要数据之前，将所述重要数据的部分数据与所述可信服务管理服务器中存储的对应的数据进行比对，并且比对成功。
根据权利要求17至19中任一项所述的可信服务管理服务器，其特征在于，所述可信服务管理服务器还包括：

第三发送单元，用于在接收移动终端发送的对应待升级应用的升级请求之后，接收所述移动终端发送的所述待升级应用的重要数据之前，向所述移动终端发送上传数据命令，所述上传数据命令用于指示所述移动终端上传所述重要数据。
根据权利要求17至20中任一项所述的可信服务管理服务器，其特征在于，所述待升级应用的升级请求包括版本信息，所述可信服务管理服务器还包括：

判断单元，用于在发送所述待升级应用的更新版本之前，根据所述待升级应用的版本信息判断所述待升级应用是否需要进行更新版本，并且判断结果为更新版本。
根据权利要求17至20中任一项所述的可信服务管理服务器，其特征在于，所述可信服务管理服务器还包括：

第四发送单元，用于在接收移动终端发送的对应待升级应用的升级请求之前，向所述移动终端发送应用升级命令，所述应用升级命令用于指示所述移动终端对安全元件中的待升级应用进行升级。
一种移动终端，其特征在于，包括：存储器、收发器和至少一个处理器，所述存储器中存储有程序代码，所述存储器、所述收发器和所述至少一个处理器通过线路通信，所述处理器运行所述代码以指令所述移动终端执行如权利要求1-5任一项所述的方法。
一种可信服务管理服务器，其特征在于，包括：存储器、收发器和至少一个处理器，所述存储器中存储有程序代码，所述存储器、所述收发器和所述至少一个处理器通过线路通信，所述处理器运行所述代码以指令所述可信服务管理服务器执行如权利要求6-11任一项所述的方法。
一种计算机可读存储介质，包括指令，当其在计算机上运行时，使得计算机执行如权利要求1-5任意一项所述的方法。
一种包含指令的计算机程序产品，当其在计算机上运行时，使得计算机执行如权利要求1-5任意一项所述的方法。