WO2022165771A1

WO2022165771A1 - 虚拟电子卡管理方法、系统及安全芯片、终端和存储介质

Info

Publication number: WO2022165771A1
Application number: PCT/CN2021/075648
Authority: WO
Inventors: 张雁玲
Original assignee: 深圳市汇顶科技股份有限公司
Priority date: 2021-02-05
Filing date: 2021-02-05
Publication date: 2022-08-11
Also published as: US11907931B2; EP4060588A4; US20220253830A1; CN113508411A; EP4060588A1

Abstract

本申请提供了一种虚拟电子卡管理方法、系统及安全芯片、终端和存储介质，涉及近场通信技术领域。该虚拟电子卡管理方法应用于安全芯片，安全芯片安装在第一终端内，该方法包括：接收来自第一终端上的可信移动应用的管理请求，其中管理请求用于对安全芯片上的目标虚拟电子卡进行管理，虚拟电子卡的权限由安全芯片的片内操作系统配置；从安全芯片上确定与目标虚拟电子卡相对应的目标卡管理程序，其中不同的虚拟电子卡对应不同的卡管理程序；将管理请求发送给目标卡管理程序；通过目标卡管理程序，调用安全芯片上卡管理系统中与管理请求相对应的卡管理命令，对目标虚拟电子卡进行管理。本方案能够减少虚拟电子卡的卡管理程序对芯片存储空间的占用。

Description

虚拟电子卡管理方法、系统及安全芯片、终端和存储介质

技术领域

本申请涉及近场通信技术领域，特别涉及一种虚拟电子卡管理方法、系统及安全芯片、终端和存储介质。

背景技术

近场通信(Near Field Communication，NFC)技术，允许设备之间进行非接触式点对点数据传输。由于NFC具有较高的安全性，因此具备NFC功能的终端得到迅速发展。具备NFC功能的终端可以生成虚拟电子卡，进而通过终端与读卡器进行交互，便可以实现刷银行卡、刷公交卡或刷门禁卡等操作，由于无需携带实体卡片便能够实现刷卡操作，因此能够给用户带来较大的方便。

由于每个具备NFC功能的终端可以生成多个虚拟电子卡，在虚拟电子卡的生成、使用和删除过程中，需要通过卡管理程序对各虚拟电子卡进行管理。目前，对于每张虚拟电子卡，需要至少两个卡管理程序进行管理，其中至少一个卡管理程序用于管理虚拟电子卡的权限，至少一个卡管理程序用于管理虚拟电子卡内的程序。

对于相关技术中对虚拟电子卡进行管理的方法，由于每张虚拟电子卡均需要通过至少两个卡管理程序进行管理，因此用于对各虚拟电子卡进行管理的卡管理程序将占用芯片较大的存储空间，进而需要为终端配备具有较大存储空间的芯片，才能够满足用户在终端上使用和管理多个虚拟电子卡的需求，这将导致终端的成本上升。

发明内容

本申请实施例提供了一种虚拟电子卡管理方法、系统及安全芯片、终端和存储介质，能够减少虚拟电子卡的卡管理程序对芯片存储空间的占用。

第一方面，本申请实施例提供了一种虚拟电子卡管理方法，应用于安全芯片，所述安全芯片安装在第一终端内，所述方法包括：

接收来自所述第一终端上的可信移动应用的管理请求，其中，所述管理请求用于对所述安全芯片上的至少一个虚拟电子卡中的目标虚拟电子卡进行管理，所述虚拟电子卡的权限由所述安全芯片的片内操作系统配置；

从所述安全芯片上的至少一个卡管理程序中，确定与所述目标虚拟电子卡相对应的目标卡管理程序，其中，每个所述虚拟电子卡对应一个所述卡管理程序，不同的所述虚拟电子卡对应不同的所述卡管理程序；

将所述管理请求发送给所述目标卡管理程序；

通过所述目标卡管理程序，调用所述安全芯片上卡管理系统中与所述管理请求相对应的卡管理命令，对所述目标虚拟电子卡进行管理。

在第一种可能的实现方式中，结合上述第一方面，所述方法进一步包括创建所述目标虚拟电子卡，所述创建所述目标虚拟电子卡包括：

获取所述卡管理程序的安装包；

基于所述安装包，在所述安全芯片上安装所述目标卡管理程序；

通过所述目标卡管理程序，调用所述卡管理系统中的卡创建命令，在所述安全芯片上创建所述目标虚拟电子卡。

在第二种可能的实现方式中，结合上述第一种可能的实现方式，所述获取所述卡管理程序的安装包，包括：

通过所述可信移动应用从可信服务管理平台获取所述安装包。

在第三种可能的实现方式中，结合上述第一种可能的实现方式，所述获取所述卡管理程序的安装包，包括：

在所述安全芯片的生产阶段，从预置设备下载所述安装包。

在第四种可能的实现方式中，结合上述第一方面，在所述安全芯片上创建所述目标虚拟电子卡之后，所述方法还包括：

为所述目标卡管理程序分配目标程序标识，其中，不同的所述卡管理程序对应不同的程序标识；

为所述目标虚拟电子卡分配目标卡标识，其中，不同的所述虚拟电子卡对应不同的卡标识；

在所述片内操作系统的注册表中注册所述目标程序标识与所述目标卡标识之间的匹配关系。

在第五种可能的实现方式中，结合上述第四种可能的实现方式，所述从所述安全芯片上的至少一个卡管理程序中，确定与所述目标虚拟电子卡相对应的目标卡管理程序，包括：

获取所述管理请求所携带的所述目标卡标识；

根据所述注册表中注册的所述程序标识与所述卡标识之间的匹配关系，确定与所述目标卡标识相匹配的所述目标程序标识；

将与所述目标程序标识相对应的所述卡管理程序，确定为与所述目标虚拟电子卡相对应的所述目标卡管理程序。

在第六种可能的实现方式中，结合上述第五种可能的实现方式，所述卡管理命令包括个人化命令、删除命令、激活命令或读写命令；

所述个人化命令用于指示所述目标卡管理程序，将所述管理请求携带的个人化数据存储到所述目标虚拟电子卡中；

所述删除命令用于指示所述目标卡管理程序，将所述目标虚拟电子卡删除；

所述激活命令用于指示所述目标卡管理程序，将所述目标虚拟电子卡设置为非接触激活状态；

所述读写命令用于指示所述目标卡管理程序，对所述目标虚拟电子卡的内容进行读写。

在第七种可能的实现方式中，结合上述第六种可能的实现方式，所述个人化数据由近场通信控制器从实体卡中读取，所述个人化数据由所述卡管理系统发送给所述可信移动应用，所述个人化数据由所述可信移动应用发送给可信服务管理平台，由所述可信服务管理平台生成包括所述个人化数据的所述管理请求，并由所述可信服务管理平台将所述管理请求发送给所述可信移动应用。

在第八种可能的实现方式中，结合上述第六种可能的实现方式，所述个人化数据由第二终端发送给所述可信服务管理平台，由所述可信服务管理平台生成包括所述个人化数据的所述管理请求，并由所述可信服务管理平台将所述管理请求发送给所述可信移动应用，其中所述第一终端与所述第二终端为不同的终端。

在第九种可能的实现方式中，结合上述第一方面，所述虚拟电子卡管理方法还包括：

接收来自近场通信控制器的非接触操作命令，其中，所述非接触操作命令根据所述近场通信控制器与非接触读卡器之间的近场通信生成；

通过所述卡管理系统执行所述非接触操作命令，对所述目标虚拟电子卡进行读写操作；

获取所述卡管理系统对所述目标虚拟电子卡进行读写操作后的反馈信息；

将所述反馈信息发送给所述近场通信控制器。

在第十种可能的实现方式中，结合上述第九种可能的实现方式，在所述接收来自近场通信控制器的非接触操作命令之后，且在通过所述卡管理系统执行所述非接触操作命令之前，所述方法还包括：

通过串行外设接口SPI2对所述非接触操作命令进行解密处理；

通过直接存储器访问DMA控制器将经过解密处理的所述非接触操作命令传输到所述安全芯片的内存；

相应地，所述将所述反馈信息发送给所述近场通信控制器，包括：

通过所述直接存储器访问DMA控制器，将所述安全芯片的内存中的所述反馈信息传输到所述串行外设接口SPI2的寄存器中；

通过所述串行外设接口SPI2对所述反馈信息进行加密操作；

将经过加密操作的所述反馈信息发送给所述近场通信控制器。

在第十一种可能的实现方式中，结合上述第一方面或第一方面的任一可能的实现方式，所述卡管理系统通过C语言实现，所述卡管理程序通过Java实现。

第二方面，本申请实施例还提供了一种安全芯片，所述安全芯片位于终端内且与所述终端内的存储器连接，所述存储器存储有可被所述安全芯片执行的指令，所述指令被所述安全芯片执行，以使所述安全芯片能够执行上述第一方面及第一方面的任一可能的实现方式所提供的虚拟电子卡管理方法。

第三方面，本申请实施例还提供了一种终端，包括：上述第二方面所提供的安全芯片，以及与所述安全芯片连接的存储器。

第四方面，本申请实施例还提供了一种计算机可读存储介质，所述计算机可读存储介质中存储有计算机程序，所述计算机程序被处理器执行时实现上述第一方面及第一方面的任一可能的实现方式所提供的虚拟电子卡管理方法。

第五方面，本申请实施例还提供了一种虚拟电子卡管理系统，包括：上述第二方面所提供的安全芯片和可信移动应用；

所述可信移动应用安装在所述安全芯片所在的第一终端；

所述可信移动应用，用于向所述安全芯片发送管理请求，其中，所述管理请求用于指示所述安全芯片上的卡管理程序，对所述安全芯片上的虚拟电子卡进行管理，不同的所述卡管理程序用于管理不同的所述虚拟电子卡。

在第一种可能的实现方式中，结合上述第五方面，所述虚拟电子卡管理系统还包括：可信服务管理平台；

所述可信移动应用，还用于向所述可信服务管理平台发送获取指令，其中，所述获取指令用于请求获取所述卡管理程序的安装包；

所述可信服务管理平台，用于根据所述获取指令，将所述安装包发送给所述可信移动应用；

所述可信移动应用，还用于将接收到的所述安装包发送给所述安全芯片。

在第二种可能的实现方式中，结合上述第五方面，所述虚拟电子卡管理系统还包括：预置设备；

所述预置设备，用于在所述安全芯片的生产阶段，向所述安全芯片发送下载指令，其中，所述下载指令用于指示所述安全芯片从所述预置设备下载所述卡管理程序的安装包。

在第三种可能的实现方式中，结合上述第一种可能的实现方式，所述虚拟电子卡管理系统还包括：近场通信控制器；

所述近场通信控制器设置在所述第一终端；

所述近场通信控制器，用于根据所述近场通信控制器与非接触读卡器之间的近场通信生成非接触操作命令，并将所述非接触操作命令发送给所述安全芯片；

所述近场通信管理器，还用于接收所述安全芯片执行所述非接触操作命令后的反馈信息，并通过近场通信将所述反馈信息发送给所述非接触读卡器。

在第四种可能的实现方式中，结合上述第三种可能的实现方式，

所述近场通信控制器，还用于从实体卡中读取个人化数据，并将读取到的个人化数据发送给所述可信移动应用；

所述可信移动应用，还用于将所接收到的所述个人化数据发送给所述可信服务管理平台；

所述可信服务管理平台，还用于生成包括所接收到的所述个人化数据的所述管理请求。

在第五种可能的实现方式中，结合上述第三种可能的实现方式，所述可信服务管理平台还用于接收来自第二终端的个人化数据，并生成包括所接收到的所述个人化数据的所述管理请求。

通过本申请实施例提供的虚拟电子卡管理方案，安全芯片上创建有至少一个虚拟电子卡，每个虚拟电子卡对应安全芯片上的一个卡管理程序，不同的虚拟电子卡对应不同的卡管理程序。当需要对一个虚拟电子卡进行管理时，接收来自安全芯片所在终端上的可信移动应用的管理请求，将管理请求发送给相对应的卡管理程序后，由卡管理程序调用安全芯片上卡管理系统中的卡管理命令，对需要进行管理的虚拟电子卡进行管理。由于多个虚拟电子卡的权限由安全芯片的片内操作系统配置，而对各个虚拟电子卡进行的其他管理均可通过相对应的卡管理程序实现，因此每个虚拟电子卡仅需通过一个卡管理程序进行管理，从而能够减少虚拟电子卡的卡管理程序对芯片存储空间的占用。

附图说明

为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本申请实施例提供的一种虚拟电子卡管理方法的流程图；

图2是本申请实施例提供的另一种虚拟电子卡管理方法的流程图；

图3是本申请实施例提供的又一种虚拟电子卡管理方法的流程图；

图4是本申请实施例提供的一种终端的示意图；

图5是本申请实施例提供的一种虚拟电子卡管理系统的示意图；

图6是本申请实施例提供的另一种虚拟电子卡管理系统的示意图。

具体实施方式

为使本申请实施例的目的、技术方案和优点更加清楚，下面将结合附图对本申请的各实施方式进行详细的阐述。然而，本领域的普通技术人员可以理解，在本申请各实施方式中，为了使读者更好地理解本申请而提出了许多技术细节。但是，即使没有这些技术细节和基于以下各实施方式的种种变化和修改，也可以实现本申请所要求保护的技术方案。以下各个实施例的划分是为了描述方便，不应对本申请的具体实现方式构成任何限定，各个实施例在不矛盾的前提下可以相互结合相互引用。

本申请实施例提供一种虚拟电子卡管理方法，应用于安全芯片，该安全芯片可以是安全单元(Secure Element，SE)，更具体的可以是嵌入式安全单元(embedded Secure Element，eSE)。在具体实现中，安全芯片可以设置在终端内，终端可以为智能手机、智能手环、智能手表等电子设备。本申请实施例的应用场景可以为：用户对终端通过安全芯片所模拟出的虚拟电子卡进行管理，终端所模拟出的虚拟电子卡包括但不限于：银行卡、公交卡、门禁卡。下面对本申请实施例提供的虚拟电子卡管理方法的实现细节进行具体的说明，以下内容仅为方便理解提供的实现细节，并非实施本方案的必须。

在介绍本申请实施例之前，首先对手机终端模拟的虚拟电子卡进行简单介绍：

传统的各种智能卡，比如公交卡、银行卡、医保卡等，因为卡内含有芯片而能被各种读卡器读取数据进行刷卡，而常见的用于智能卡的芯片有两大类，一类是接触式刷卡，比如常见的插卡POS机，另一类是非接触式刷卡，其内含有类似NFC一类的非接触式数据传输控制芯片(含配套天线)，比如常见的靠近读卡机刷卡的公交卡。将这些常见的实体卡片功能，通过手机终端来模拟，就称为虚拟电子卡，这时并没有实实在在的卡片存在，只是通过手机终端内添加卡片的相关信息或程序以“模拟”一张智能卡，这样同一个手机终端可以通过NFC芯片和安全元件的配合实现多种卡、多张卡的模拟，相当于在手机上安装了多张智能卡，其中可以简单理解为安全元件内存储了用于模拟多张卡片的信息，通过与其连接的NFC芯片与外部的读卡器进行信息交互，实现刷卡功能。通过这些“模拟卡”(虚拟电子卡)可以在不同场合使用同一个手机终端实现不同卡的刷卡认证、刷卡消费等行为。

图1是本申请实施例提供的一种虚拟电子卡管理方法的流程图，该方法应用于安全芯片，安全芯片安装在第一终端内，参见图1，该方法包括如下步骤：

步骤101：接收来自第一终端上的可信移动应用的管理请求，其中，管理请求用于对安全芯片上的至少一个虚拟电子卡中的目标虚拟电子卡进行管理，虚拟电子卡的权限由安全芯片的片内操作系统配置。

包括安全芯片的第一终端上安装有可信移动应用，安全芯片上创建有一个或多个虚拟电子卡，可信移动应用响应于用户对所选中虚拟电子卡的卡管理操作，向安全芯片发送管理请求，以对用户选中的虚拟电子卡进行管理。安全芯片上虚拟电子卡的权限由安全芯片的片内操作系统配置，片内操作系统可以执行OPEN(全球平台国际标准组织的功能)之外的操作系统功能，实现内存监管、权限管理等，从而实现对虚拟电子卡的权限配置。

可信移动应用可以提供人机交互界面，以便于用户对第一终端上的虚拟电子卡进行管理。在一个实例中，可信移动应用是钱包类应用程序。用户通过可信移动应用提供的人机交互界面，在其界面上“选中”任意一张虚拟电子卡，并触发卡管理选项，则表示可信移动应用发起了管理请求，被“选中”的虚拟电子卡即为目标虚拟电子卡。比如，可信移动应用提供的人机交互界面上展示有交通卡A、交通卡B和门禁卡共计三张虚拟电子卡，用户在人机交互界面上选中交通卡B后，用户触发人机交互界面上的“充值”按钮，此时可信移动应用会发起针对交通卡B的管理请求。

可信移动应用通过安卓系统架构提供的软件接口，可实现与近场通信控制器(Near Field Communication Controller，NFCC)、安全芯片和可信服务管理平台(Trusted Service Manager，TSM)之间的通信。安卓系统架构提供了开放移动应用程序接口(Open Mobile API，OMAPI)框架，提供可信服务管理平台上报所读取到虚拟电子卡信息的接口、接收可信服务管理平台的消息流的接口以及将应用协议数据单元(Application Protocol Data Unit，APDU)指令传输到安全芯片中卡管理程序的接口。

在一种可能的实现方式中，可信移动应用响应于用户卡选择操作和卡管理操作，生成针对目标虚拟电子卡的管理请求，并将所生成的管理请求发送给安全芯片。在另一种可能的实现方式中，可信移动应用响应于用户的操作或安全芯片的反馈，向可信服务管理平台上传数据，可信服务管理平台基于可信移动应用上传的数据生成管理请求，并将所生成的管理请求下发给可信移动应用，进而可信移动应用将所接收到的管理请求发送给安全芯片。

步骤102：从安全芯片上的至少一个卡管理程序中，确定与目标虚拟电子卡相对应的目标卡管理程序，其中，每个虚拟电子卡对应一个卡管理程序，不同的虚拟电子卡对应不同的卡管理程序。

安全芯片上创建有至少一个虚拟电子卡，针对每个虚拟电子卡在安全芯片上安装有相对应的卡管理程序，不同的虚拟电子卡对应不同的卡管理程序，卡管理程序用于对相对应的虚拟电子卡进行管理。在接收到针对目标虚拟电子卡的管理请求后，首先确定与目标虚拟电子卡相对应的目标卡管理程序，以使目标卡管理程序响应于管理请求，对目标虚拟电子卡进行管理。

步骤103：将管理请求发送给目标卡管理程序。

在确定出用于对目标虚拟电子卡进行管理的目标卡管理请求后，将针对目标虚拟电子卡的管理请求发送给目标卡管理程序。在一种可能的实现方式中，安全芯片的片内操作系统接收来自可信移动应用的管理请求，并将接收到的管理请求转发给目标卡管理程序。

步骤104：通过目标卡管理程序，调用安全芯片上卡管理系统中与管理请求相对应的卡管理命令，对目标虚拟电子卡进行管理。

安全芯片中部署有卡管理系统，卡管理系统提供多种用于对虚拟电子卡进行管理的卡管理命令。卡管理系统接收卡管理程序对卡管理命令的调用，执行被调用卡管理命令，实现对虚拟电子卡进行管理。

目标卡管理程序接收到管理请求后，根据管理请求调用卡管理系统中相对应的卡管理命令，使卡管理系统执行卡管理命令，以对目标虚拟电子卡进行管理。对目标虚拟电子卡的管理包括对目标虚拟电子卡进行个人化、删除目标虚拟电子卡、将目标虚拟电子卡激活、对目标虚拟电子卡进行读写等。其中，个人化是指向虚拟电子卡中写入个人化数据，使得虚拟电子卡实现银行卡、公交卡、门禁卡等卡片的功能，并可以基于所写入的个人化数据区分不同的虚拟电子卡，比如，对于某地的交通卡而言，向新创建的虚拟电子卡中写入卡号、充值金额、有效期等信息，使得该虚拟电子卡实现交通卡的功能，进而可以通过该虚拟电子卡刷卡乘车、乘地铁等。

本申请实施例提供的方案，安全芯片上创建有至少一个虚拟电子卡，每个虚拟电子卡对应安全芯片上的一个卡管理程序，不同的虚拟电子卡对应不同的卡管理程序。当需要对一个虚拟电子卡进行管理时，接收来自安全芯片所在终端上的可信移动应用的管理请求，将管理请求发送给相对应的卡管理程序后，由卡管理程序调用安全芯片上卡管理系统中的卡管理命令，对需要进行管理的虚拟电子卡进行管理。由于多个虚拟电子卡的权限由安全芯片的片内操作系统配置，而对各个虚拟电子卡进行的其他管理均可通过相对应的卡管理程序实现，因此每个虚拟电子卡仅需通过一个卡管理程序进行管理，从而能够减少虚拟电子卡的卡管理程序对芯片存储空间的占用。

可选地，在图1所示虚拟电子卡管理方法的基础上，安全芯片上的卡管理程序不仅可以用于对虚拟电子卡进行管理，还可以用于创建虚拟电子卡，为此在安全芯片上创建虚拟电子卡之前，首先需要在安全芯片上安装卡管理程序，而用户安装卡管理程序的安装包可以由不同的来源。下面以从可信服务管理平台和预置设备获取卡管理程序的安装包为例，对本申请实施例提供的虚拟电子卡管理方法进行详细说明。

图2是本申请实施例提供的一种虚拟电子卡管理方法的流程图，该方法应用于安全芯片，参见图2，该方法通过可信服务管理平台安装卡管理程序并通过可信移动应用管理虚拟电子卡，具体包括如下步骤：

步骤201：安全芯片接收来自可信移动应用的安装包。

当用户需要在终端上创建目标虚拟电子卡时，终端上所安装的可信移动应用响应于用户的操作，向可信服务管理平台发送获取指令，以从可信服务管理平台获取卡管理程序的安装包，进而可信移动应用可将获取到的安装包发送给终端上的安全芯片。比如，可信移动应用可以通过全球平台国际标准组织(Global Platform，GP)的LOAD指令实现安装包的下载，安装包可以为CAP包。

可信移动应用通过可信服务管理平台的服务接口，访问可信服务管理平台的后台，获取可用的虚拟电子卡列表，并将所获取到的可用的虚拟电子卡列表展示在人机交互界面上，用户从可用的虚拟电子卡列表中选取所需创建的目标虚拟电子卡，之后可信移动应用从可信服务管理平台获取卡管理程序的安装包，并将所获取到的安装包发送给安全芯片。

需要说明的是，不同的虚拟电子卡对应不同的卡管理程序，每张虚拟电子卡通过相对应的卡管理程序进行创建和管理，由于卡管理程序对虚拟电子卡进行管理的方式基本相同，因此不同的卡管理程序可以通过相同或不同的安装包进行安装。在一种可能的实现方式中，不同的卡管理程序通过通用的安装包安装，通过对不同的卡管理程序进行差异性配置，比如在安全芯片的注册表中记录虚拟电子卡与卡管理程序的匹配关系，以实现不同的卡管理程序对不同的虚拟电子卡进行创建和管理。可信服务管理平台上存储的安装包可以由安全芯片的生产商上传。

另外需要说明的是，由于在同一个终端上可以创建多个虚拟电子卡，每个虚拟电子卡均需要通过相应的卡管理程序进行创建和管理，而不同的卡管理程序可以通过同一个安装包进行安装。因此，首次在终端上创建虚拟电子卡时，从可信服务管理平台获取卡管理程序的安装包，所获取到的安装包被存储在安全芯片中，后续再次在终端上创建虚拟电子卡时，可直接利用存储在安全芯片中的安装包安装卡管理程序。比如，A城市的交通卡A是在终端上创建的首张虚拟电子卡，在创建交通卡A时从可信服务管理平台获取卡管理程序的安装包，该安装包将被存储在终端内的安全芯片上，后续需要在该终端上创建B城市的交通卡B(虚拟电子卡)时，基于安全芯片上存储的安装包创建用于对交通卡B进行创建和管理的卡管理程序B，进而通过卡管理程序B在安全芯片上创建和管理交通卡B。

步骤202：安全芯片基于接收到的安装包，安装目标卡管理程序。

安全芯片的片内操作系统(Chip Operating System，COS)接收到卡管理程序的安装包后，片内操作系统调用安全芯片上卡管理系统的程序安装命令，以基于所获取到的安装包在安全芯片上安装目标卡管理程序。比如，片内操作系统在获取到卡管理程序的安装包后，终端首先通过安全算法(比如SCP02、SCP03)建立安全通道，之后终端执行Global Platform的INSTALL指令，片内操作系统收到INSTALL指令后，基于安装包在安全芯片中创建卡管理程序，将所创建的卡管理程序作为目标卡管理程序。

步骤203：目标卡管理程序在安全芯片上创建目标虚拟电子卡。

在安全芯片上安装目标卡管理程序之后，目标卡管理程序可调用安全芯片上卡管理系统的卡创建命令，卡管理系统执行卡创建命令，在安全芯片上的虚拟电子卡存储区创建目标虚拟电子卡。卡管理系统作为虚拟电子卡与卡管理程序之间的通信媒介，提供用于对虚拟电子卡进行创建和管理的命令，各个卡管理程序调用卡管理系统提供的命令，对各个虚拟电子卡进行管理。

步骤204：在片内操作系统的注册表中注册目标卡管理程序与目标虚拟电子卡之间的匹配关系。

在安全芯片上安装目标卡管理程序后，为目标卡管理程序分配目标程序标识，其中不同的卡管理程序对应不同程序标识。在安全芯片上创建目标虚拟电子卡后，为目标虚拟电子卡分配目标卡标识，其中不同的虚拟电子卡对应不同的卡标识。在获得目标程序标识和目标卡标识后，在安全芯片的片内操作系统的注册表中注册目标程序标识与目标卡标识职期间的匹配关系。

由于可以在安全芯片上创建多个虚拟电子卡，而不同的虚拟电子卡需要通过不同的卡管理程序进行管理，通过为每个虚拟电子卡分配卡标识，为每个卡管理程序分配程序标识，并在片内操作系统的注册表中注册卡标识与程序标识的匹配关系，当用户需要对其中一个虚拟电子卡进行管理时，片内操作系统可以根据注册表中卡标识与程序标识的匹配关系，确定出与待管理虚拟电子卡的卡标识相匹配的程序标识，进而根据所确定出的程序标识可以确定用于对待管理虚拟电子卡进行管理的卡管理程序，因此能够准确的对多个虚拟电子卡进行管理。

需要说明的是，片内操作系统通过INSTALL指令创建卡管理程序时，需要保证INSTALL指令配置的虚拟电子卡的参数不冲突，避免卡管理程序和虚拟电子卡安装失败，同时也避免后续进行非接触通信时出现失败的情况。INSTALL指令配置的虚拟电子卡的参数包括程序标识，以及非接触通信需要使用到的虚拟电子卡的统一标识号码(Unique Identifier，UID)、SAK(英文：Select Acknowledge，中文：选择确认)、ATQA(英文：Answer To request,Type A；中文：A类型答复请求)等。

步骤205：安全芯片接收来自可信移动应用的管理请求。

在需要对终端上所创建的目标虚拟电子卡进行管理时，终端上所安装的可信移动应用向安全芯片发送针对目标虚拟电子卡的管理请求，安全芯片的片内操作系统接收针对目标虚拟电子卡的管理请求。

可信移动应用可以响应于用户的触发，生成针对目标虚拟电子卡的管理请求，进而将所生成的管理请求传输给位于相同终端上的安全芯片。或者，可信移动应用可以接收来自可信服务管理平台针对目标虚拟电子卡的管理请求，进而将所接收到的管理请求转发给位于相同终端上的安全芯片。

步骤206：根据管理请求确定目标卡管理程序。

安全芯片的片内操作系统接收到管理请求后，首先确定所接收到管理请求针对的虚拟电子卡，即确定所接收到的管理请求要对哪一个虚拟电子卡进行管理。由于不同的卡管理程序用于管理不同的虚拟电子卡，在接收到针对目标虚拟电子卡的管理请求后，首先需要确定用于对目标虚拟电子卡进行管理的目标卡管理程序，进而将管理请求发送给目标卡管理程序，由目标卡管理程序对目标虚拟电子卡进行管理。在一种可能的实现方式中，可以通过如下方式确定用于对目标虚拟电子卡进行管理的目标卡管理程序：

S1：获取管理请求所携带的目标卡标识。

可信移动应用或可信服务管理平台生成管理请求时，会在管理请求中附加所要管理的目标虚拟电子卡的卡标识，因此管理请求不仅携带有具体的管理指令和相应的管理信息外，还携带有目标虚拟电子卡的卡标识。安全芯片的片内操作系统在接收到管理请求后，通过对管理请求进行解析，获得管理请求所携带的目标卡标识。

S2：根据注册表中注册的程序标识与卡标识之间的匹配关系，确定与目标卡标识相匹配的目标程序标识。

如上述步骤204所述，对于终端上所创建的每一个虚拟电子卡，为该虚拟电子卡分配有卡标识，同时还为用于对该虚拟电子卡进行管理的卡管理程序分配有程序标识，而且不同的虚拟电子卡对应有不同的卡标识，而且不同的卡管理程序对应有不同的程序标识。在片内操作系统的注册表中，记录有卡标识与程序标识的匹配关系，如果卡管理程序X用于对虚拟电子卡X进行管理，则卡管理程序X的程序标识与虚拟电子卡X的卡标识，在片内操作系统的注册表中被注册为匹配关系。

安全芯片的片内操作系统在获得管理请求所携带的目标卡标识后，根据在片内操作系统的注册表中注册的程序标识与卡标识之间的匹配关系，确定与目标卡标识相匹配的程序标识，进而将所确定出的程序标识确定为目标程序标识。

S3：根据目标程序标识，确定目标卡管理程序。

安全芯片的片内操作系统在确定出目标程序标识后，确定出与目标程序标识相对应的一个卡管理程序，作为目标管理程序，即所确定出的目标卡管理程序用于对管理请求所针对的目标虚拟电子卡进行管理。在确定出目标卡管理程序之后，目标卡管理程序便可以根据管理请求确定对目标虚拟电子卡进行管理的类型，进而调用卡管理系统中相应的卡管理命令，以对目标虚拟电子卡进行相应类型的管理。

步骤207：安全芯片通过目标卡管理程序，调用卡管理系统的卡管理命令，对目标虚拟电子卡进行管理。

在片内操作系统确定出用于对目标虚拟电子卡进行管理的目标卡管理程序后，片内操作系统将管理请求发送给目标卡管理程序。目标卡管理程序在接收到管理请求后，目标卡管理程序调用安全芯片中卡管理系统的卡管理命令，实现对目标虚拟电子卡进行管理。

在一种可能的实现方式中，对于接收到的管理请求，安全芯片的片内操作系统可以通过如下方式，确定用于对该管理请求所针对虚拟电子卡进行管理的卡管理程序：

在一种可能的实现方式中，卡管理系统的卡管理命令可以是个人化命令、删除命令、激活命令或读写命令。个人化命令用于指示相应的卡管理程序，将个人化数据存储到相应虚拟电子卡中。删除命令用于指示相应的卡管理程序，将相应的虚拟电子卡从安全芯片上删除。激活命令用于指示相应的卡管理程序，将相应的虚拟电子卡设置为非接触激活状态。读写命令用于指示相应的卡管理程序，对相应虚拟电子卡的内容进行读写。

对于个人化命令：终端通过Global Platform的PERSONALIZATION和STORE DATA标准指令可以更新用户的数据到虚拟电子卡中。当安全芯片的片内操作系统接收到STORE DATA指令(管理请求)时，片内操作系统会将STORE DATA指令传输给具有相对应程序标识的卡管理程序。卡管理程序接收到STORE DATA指令后，通过Process data方法调用安全芯片上卡管理系统里的个人化命令，将个人化数据存储到相应虚拟电子卡中。

对于删除命令：当安全芯片的片内操作系统接收到DELETE指令(管理请求)时，片内操作系统会将DELETE指令传输给具有相对应程序标识的卡管理程序。卡管理程序接收到DELETE指令后，通过uninstall方法调用安全芯片上卡管理系统里的删除命令，将对应相应卡标识的虚拟电子卡删除，以释放对应被删除虚拟电子卡的存储空间。由于片内操作系统分配给各虚拟电子卡的存储空间存在上限，通过管理请求删除安全芯片上已创建的虚拟电子卡，可以实现安全芯片上虚拟电子卡存储空间的重复利用。除了可以删除安全芯片上的虚拟电子卡，还可以删除安全芯片上存储的卡管理程序的安装包。

对于激活命令：终端通过Global Platform的CRS(英文：Contactless Registry Service，中文：非接触注册表服务)应用的SET STATUS指令来设置虚拟电子卡的非接触激活状态。在针对一个虚拟电子卡执行SET STATUS指令后，该虚拟电子卡被正常激活，此时该虚拟电子卡可以正常进行非接触通信。当安全芯片的片内操作系统接收到SET STATUS指令(管理请求)时，片内操作系统会将SET STATUS指令传输给具有相对应程序标识的卡管理程序。卡管理程序接收到SET STATUS指令后，调用安全芯片上卡管理系统里的激活命令，选择具有相应卡标识的虚拟电子卡进行后续的非接触通信。

安全芯片的片内操作系统会记录每个卡管理程序的注册信息，虚拟电子卡的非接触激活状态存储在片内操作系统的注册表中。安全芯片的片内操作系统允许同时激活多张虚拟电子卡，只需确保各虚拟电子卡的安装参数不冲突，但同一时刻只会跟可信移动应用或非接触读卡器选择的卡管理程序相对应的一个虚拟电子卡进行通信。虚拟电子卡的安装参数包括UID。虚拟电子卡的安装参数可以设置是否进行冲突判断，如果设置了需要进行冲突判断，当安全芯片的片内操作系统计算出冲突后，使具有相同UID的虚拟电子卡不能被同时激活。

对于读写命令：安全芯片上的卡管理系统提供接口，终端通过卡管理程序读写虚拟电子卡的内容，对虚拟电子卡的内容进行读写的指令均在卡管理程序的Process方法中实现。终端通过Global Platform的标准SELECT指令，选择卡管理程序，被选择的卡管理程序响应于读写的APDU指令(管理请求)，之后卡管理程序在Process方法中调用卡管理系统中的读写命令，读写具有相应卡标识的虚拟电子卡。

在本申请实施例中，目标卡管理程序调用卡管理系统的个人化命令，对目标虚拟电子卡进行个人化处理时，由可信服务管理平台生成的管理请求中包括有个人化数据，个人化数据可以包括卡号、余额、刷卡记录等信息。管理请求中的个人化数据可以由第一终端上传至可信服务管理平台，也可以由与第一终端不同的第二终端上传至可信服务管理平台。

在一种可能的实现方式中，终端上的近场通信控制器可以从实体卡中读取个人化数据，卡管理系统可以将近场通信控制器读取到的个人化数据发送给终端上的可信移动应用，终端上的可信移动应用可以将接收到的个人化数据发送给可信服务管理平台，进而可信服务管理平台可以生成包括有个人化数据的管理请求。

终端上的可信移动应用通过近场通信控制器读取实体卡中的个人化数据，然后可信移动应用通过终端将读取到的个人化数据上传至可信服务管理平台，管理可信服务管理平台通过可信移动应用将个人化数据下发至安全芯片，进而安全芯片中新安装的卡管理程序会将个人化数据存储到新创建的虚拟电子卡中，完成虚拟电子卡的个人化处理。通过从实体卡读取个人化数据，将个人化数据上传至可信服务管理平台，再由可信服务管理平台下发至安全芯片，可以实现复制实体卡的功能，将实体的门禁卡、积分卡等转换为终端上的虚拟电子卡，能够提高用户的使用体验。

在另一种可能的实现方式中，可信服务管理平台可以接收由第二终端上传的个人化数据，进而可信服务管理平台可以生成包括有个人化数据的管理请求，并将所生成的管理请求发送给第一终端，其中第一终端和第二终端为不同的终端。

在终端上的可信移动应用中，每个虚拟电子卡的管理页面都有一个可迁入的子界面，子界面中通过列表显示可信服务管理平台上可迁入的个人化数据。在迁入虚拟电子卡时，通过可信移动应用可以将可信服务管理平台上的个人化数据下载到终端。在迁出虚拟电子卡时，通过可信移动应用将安全芯片中的虚拟电子卡的个人化数据上传到可信服务管理平台，以供后续迁入时使用。

通过终端上的可信移动应用，可以将终端上所安装虚拟电子卡的个人化数据上传到可信服务管理平台，还可以将可信服务管理平台上存储的个人化数据下载可信移动应用，从而实现多张虚拟电子卡在不同手机之间的迁入迁出功能，使用户更换手机后可以将原手机上的虚拟电子卡迁移到新换的手机上，从而能够进一步提高用户的使用体验。

在本申请实施例中，卡管理程序除了可以基于管理请求对虚拟电子卡进行管理外，还可以参与虚拟电子卡的非接触操作。近场通信控制器与非接触读卡器进行近场通信生成非接触操作命令，近场通信控制器将非接触操作命令发送给安全芯片，安全芯片接收到来自近场通信控制器的非接触操作命令后，通过安全芯片上的卡管理系统执行非接触操作命令，以对目标虚拟电子卡进行读写操作，并将对目标虚拟电子卡进行读写操作的反馈信息发送给近场通信控制器。

当虚拟电子卡成功创建并激活后，非接触读卡器可以通过NFC方式对虚拟电子卡进行认证操作、读操作以及写操作。安全芯片中的卡管理系统可以接收来自近场通信控制器的非接触操作命令，之后卡管理系统可以执行所接收到的非接触操作命令，并将对相应虚拟电子卡进行读写操作后的反馈信息发送给近场通信控制器，保证终端上的各虚拟电子卡能够正常进行非接触操作，进而保证用户通过终端进行刷卡操作的方便性和体验。

在一种可能的实现方式中，安全芯片接收到来自近场通信控制器的非接触操作命令后，可以通过串行外设接口SPI2对非接触操作命令进行解密处理，之后通过直接存储器访问(Direct Memory Access，DMA)控制器，将经过解密处理的非接触操作命令传输到安全芯片的内存中，之后安全芯片上的卡管理系统可以对内存中的非接触操作命令进行执行。相应的，卡管理系统对虚拟电子卡进行读写操作后，将对虚拟电子卡进行读写操作的反馈信息存储到安全芯片的内存中，然后通过DMA控制器将安全芯片内存中的反馈信息传输到串行外设接口SPI2的寄存器中，然后通过串行外设接口SPI2对反馈信息进行加密操作，然后将经过加密操作的反馈信息发送给近场通信控制器。

需要说明的是，串行外设接口SPI2(Serial Peripheral Interface 2)是安全芯片中的硬件接口，相对于串行外设接口SPI(Serial Peripheral Interface)，串行外设接口SPI2不仅具有数据传输的功能，还具有对数据流进行加解密处理的功能。安全芯片通过串行外设接口SPI2与近场通信控制器进行通信，安全芯片通过串行外设接口SPI2还可以与第一终端中的其他部件进行通信，比如与第一终端的中央处理器(Central Processing Unit，CPU)进行通信。

DMA控制器将经串行外设接口SPI2解密处理的非接触操作命令输送到安全芯片的内存，还将安全芯片中的反馈信息输送到串行外设接口SPI2的寄存器，安全芯片的内存泛指安全芯片的内存空间，本申请实施例中的虚拟电子卡、卡管理程序、卡管理系统及片内操作系统均在安全芯片的内存中实现。

虚拟电子卡的非接触通信，在片内操作系统与近场通信控制器的操作系统之间基于SPI2协议进行，虚拟电子卡的认证、读、写指令被封装到SPI2的指令帧中。片内操作系统接收到近场通信控制器的操作系统的非接触操作命令后，首先由SPI2进行加解密操作后搬运到DMA中，DMA不经过CPU直接将数据搬运到安全芯片的内存，然后出发中断服务程序，卡管理系统执行处理虚拟电子卡的非接触操作命令，对虚拟电子卡进行读操作或写操作。对非接触操作命令处理完成后，返回的反馈信息从安全芯片的内存直接经由DMA传送到SPI2的寄存器中，通过SPI2加解密操作后发送给近场通信控制器的操作系统。

近场通信控制器与安全芯片之间通过DMA进行数据传输，DMA不经过CPU直接将数据搬运到安全芯片的内存中，从而可以提高安全芯片对非接触操作命令的处理速度，缩短用户刷虚拟电子卡时的等待时间，因此可以提高用户的使用体验。近场通信控制器与安全芯片之间进行数据传输时，通过SPI2对所传输的数据进行加解密处理，保证数据传输过程中处于加密状态，保证用户刷虚拟电子卡时的安全性。

在图2所示的实施例中，安全芯片从可信移动应用获取卡管理程序的安装包，而可信移动应用从可信服务管理平台获取卡管理程序的安装包，此时对应于用户购买终端后在终端创建虚拟电子卡的应用场景。在另一些实施例中，安全芯片出厂时预置有一个或多个虚拟电子卡，并预置用于对虚拟电子卡进行管理的卡管理程序，此时对应于用户购买后直接配置虚拟电子卡的应用场景。图3是本申请实施例提供的一种虚拟电子卡管理方法的流程图，该方法应用于安全芯片，参见图3，该方法包括如下步骤：

步骤301：安全芯片接收来自预置设备的下载指令。

在安全芯片的生产阶段，安全芯片可以接收预置设备发送的下载指令，其中下载指令用于指示安全芯片从预置设备下载卡管理程序的安装包。预置设备用于在安全芯片的生产阶段向安全芯片下发下载指令，预置设备可以为笔记本电脑、工业电脑、便携式设备或其他具有指令下发及数据通信的设备，预置设备除了用于下发下载指令，还可以在芯片生产阶段用作调试/测试类工具对安全芯片进行调试和性能检测。

安全芯片在工厂生产阶段，安全芯片的引导(Boot)程序会烧写片内操作系统(Chip Operating System，COS)，预置设备可以不经过可信服务管理平台，直接向片内操作系统发送下载指令。

步骤302：安全芯片根据下载指令，从预置设备下载卡管理程序的安装包。

安全芯片接收到来自预置设备的下载指令后，安全芯片从预置设备下载卡管理程序的安装包。

步骤303：安全芯片基于获取到的安装包，安装至少一个卡管理程序。

安全芯片从预置设备下载卡管理程序的安装包后，安全芯片的片内操作系统基于所下载的安装包，在安全芯片上安装一个或多个卡管理程序。在安全芯片上安装卡管理程序的数量，由需要在安全芯片上预置虚拟电子卡的数量决定，因为每个虚拟电子卡对应一个卡管理程序，且不同的虚拟电子卡对应不同的卡管理程序。

步骤304：卡管理程序在安全芯片上创建虚拟电子卡。

对于在安全芯片上所安装的每一个卡管理程序，该卡管理程序可调用安全芯片上卡管理系统的卡创建命令，卡管理系统执行卡创建命令，在安全芯片上虚拟电子卡存储区创建一个虚拟电子卡。

步骤305：在片内操作系统的注册表中注册卡管理程序与虚拟电子卡之间的匹配关系。

需要说明的是，上述步骤303-305参考前述实施例中的步骤202-204，只是上述步骤303-305通常是在安全芯片的生产阶段完成的。

步骤306：安全芯片将虚拟电子卡的信息发送给终端上的可信移动应用。

安全芯片被安装到终端上之后，终端上的可信移动应用响应于用户获取预置虚拟电子卡信息的触发，获取安全芯片上预置的每个虚拟电子卡的信息，以便于对安全芯片上的各虚拟电子卡和卡管理程序进行管理。

需要说明的是，安全芯片不仅提供可被可信移动应用调用的程序接口，还提供可被预置设备调用的预置接口。可信移动应用通过程序接口，可以向安全芯片发送数据，比如发送卡管理程序的安装包和管理请求。预置设备通过预置接口，可以向安全芯片发送下载指令，并响应于安全芯片的请求，将卡管理程序的安装包发送给安全芯片。

步骤307：安全芯片接收来自可信移动应用的管理请求。

步骤308：根据管理请求确定目标卡管理程序。

步骤309：安全芯片通过目标卡管理程序，调用卡管理系统的卡管理命令，对目标虚拟电子卡进行管理。

需要说明的是，上述步骤307-309参考前述实施例中的步骤205-207。

另外需要说明的是，在安全芯片上安装卡管理程序，并通过卡管理程序创建虚拟电子卡后，后续便可以通过卡管理程序对虚拟电子卡进行多次管理，并非每次对虚拟电子卡进行管理都需要执行安装包获取和卡管理程序安装的步骤。

在上述各实施例的基础上，安全芯片上的卡管理系统可以通过C语言实现，而安装在安全芯片上的卡管理程序可以通过Java实现。

由于C语言和Java之间支持相互调用，而C语言相对于Java具有更快的运行速度，因此通过C语音实现安全芯片上的卡管理系统，可以提高对虚拟电子卡进行管理的效率，并可以继续沿用此前通过Java开发的卡管理程序，提高该虚拟电子卡管理方法的适用性。

图4是本申请实施例提供的一种安全芯片的示意图，参见图4，安全芯片401位于终端内，且与终端内的存储器402连接，存储器402中存储有可被安全芯片401执行的指令，所述指令被安全芯片401执行，以使安全芯片401能够执行上述任一实施例所提供的虚拟电子卡管理方法。

不难发现，本实施方式为与前述虚拟电子卡管理方法实施例相对应的装置实施例，本实施方式可与前述虚拟电子卡管理方法实施例互相配合实施。前述虚拟电子卡管理方法实施例提到的相关技术细节在本实施方式中依然有效，为了减少重复，这里不再赘述。相应地，本实施方式中提到的相关技术细节也可应用在前述虚拟电子卡管理方法实施例中。

本申请的另一个实施例提供了一种终端，参见图4，包括：安全芯片401，以及与安全芯片401连接的存储器402。

其中，存储器和安全芯片采用总线方式连接，总线可以包括任意数量的互联的总线和桥，总线将一个或多个安全芯片和存储器的各种电路连接在一起。总线还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路连接在一起，这些都是本领域所公知的，因此，本文不再对其进行进一步描述。总线接口在总线和收发机之间提供接口。收发机可以是一个元件，也可以是多个元件，比如多个接收器和发送器，提供用于在传输介质上与各种其他装置通信的单元。经安全芯片处理的数据通过天线在无线介质上进行传输，进一步，天线还接收数据并将数据传送给安全芯片。

安全芯片负责管理总线和通常的处理，还可以提供各种功能，包括定时，外围接口，电压调节、电源管理以及其他控制功能。而存储器可以被用于存储安全芯片在执行操作时所使用的数据。

本申请实施例还提供了一种计算机可读介质，所述计算机可读存储介质中存储有计算机程序，所述计算机程序被处理器执行时，执行上述各实施例提供的虚拟电子卡管理方法。

即，本领域技术人员可以理解，实现上述实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成，该程序存储在一个存储介质中，包括若干指令用以使得一个设备(可以是单片机，芯片等)或处理器(processor)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。

图5是本申请实施例提供的一种虚拟电子卡管理系统的示意图，参见图5，该系统包括：上述任一实施例所提供的安全芯片501和可信移动应用502；

可信移动应用502安装在安全芯片501所在的第一终端；

可信移动应用502，用于向安全芯片501发送管理请求，其中，管理请求用于指示安全芯片501上的卡管理程序，对安全芯片501上的虚拟电子卡进行管理，不同的卡管理程序用于管理不同的虚拟电子卡。

在本申请实施例中，安全芯片501上创建有至少一个虚拟电子卡，每个虚拟电子卡对应安全芯片上的一个卡管理程序，不同的虚拟电子卡对应不同的卡管理程序。当需要对一个虚拟电子卡进行管理时，终端上的可信移动应用502会向安全芯片501发送管理请求，安全芯片501将管理请求发送给相对应的卡管理程序后，由卡管理程序调用安全芯片501上卡管理系统中的卡管理命令，对需要进行管理的虚拟电子卡进行管理。由于各虚拟电子卡的权限由安全芯片501的片内操作系统配置，而对各个虚拟电子卡进行的其他管理均可通过相对应的卡管理程序实现，因此每个虚拟电子卡仅需通过一个卡管理程序进行管理，从而能够减少虚拟电子卡的卡管理程序对芯片存储空间的占用。

可信移动应用502可以响应于用户的操作，生成针对安全芯片501上虚拟电子卡的管理请求，并将所生成的管理请求发送给安全芯片501。可信移动应用502还可以接收管理请求，并将接收到的管理请求发送给安全芯片501，比如可信移动应用502可以将来自云端服务的管理请求转发给安全芯片501。

在一种可能的实现方式中，可信移动应用502是钱包类应用程序。可信移动应用502可提供人机交互界面，以便于用户对第一终端上的虚拟电子卡进行管理，用户通过可信移动应用502提供的人机交互界面，在其界面上“选中”任意一张虚拟电子卡，并触发卡管理选项，则表示可信移动应用发起了管理请求，被“选中”的虚拟电子卡即为目标虚拟电子卡。

可选地，参见图5所示的虚拟电子卡管理系统，该虚拟电子卡管理系统除了包括安全芯片501和可信移动应用502之外，还可以包括可信服务管理平台503。可信移动应用502可以向可信服务管理平台503发送获取指令，可信服务管理平台503在接收到该获取指令后，将卡管理程序的安装包发送给可信移动应用502，可信移动应用502则可以将接收到的安装包发送给安全芯片501。

在一种可能的实现方式中，可信移动应用502通过Global Platform的LOAD指令从可信服务管理平台503下载卡管理程序的安装包，该安装包可以为CAP包。

在本申请实施例中，不同的虚拟电子卡通过不同的卡管理程序进行创建和管理，不同的卡管理程序可以基于同一个安装包进行安装，通过对卡管理程序进行差异化配置，使得不同的卡管理程序对不同的虚拟电子卡进行创建和管理，比如不同的虚拟电子卡对应有不同的卡标识，通过为不同的卡管理程序关联不同的卡标识，使得不同的卡管理程序创建和管理不同的虚拟电子卡。用于安装卡管理程序的安装包存储在可信服务管理平台503上，可信服务管理平台503响应于可信移动应用502的获取指令，将卡管理程序的安装包下发给可信移动应用502。将卡管理程序的安装包存储在可信服务管理平台503上，可以对卡管理程序的安装包进行集中管控，当需要对卡管理程序进行更新时，仅需更新可信服务管理平台503上的安装包，方便对卡管理程序进行管理。另外，用户在使用终端过程中，可以随时从可信服务管理平台503上下载卡管理程序的安装包，以实现在终端上创建虚拟电子卡，从而可以提高用户的使用体验。

需要说明的是，可信服务管理平台503提供应用发行管理和安全芯片管理等功能的系统，用于解决对安全数据的存储及应用的发行。它包含SP-TSM(服务提供商)与SEI-TSM(安全模块提供商)两个部分。SEI-TSM是安全芯片发行商的TSM，负责管理安全芯片，创建安全域和管理域密钥。SP-TSM是服务提供商TSM，负责管理服务和在分配的安全域内管理数据。TSM上的软件实现，主要分为下面二个部分：通过SEI-TSM下载安装包，并实例化一个或者多个卡管理程序；通过SP-TSM个人化对应的一张虚拟电子卡内容。

SEI-TSM是基于eSE进行管理，包括安全域创建，密钥更新，辅助安全域的创建，以及SE芯片的信息管理和应用管理。其中，从服务提供商处获得的卡管理程序的安装包，下载/安装/删除/实例化等就属于SEI-TSM的应用管理。SEI-TSM按照HTTP协议和终端进行通信。终端收到指令过后解析封装成NFCC或者eSE定义的帧格式转发到NFCC或者eSE进行处理。

SP-TSM提供应用发行管理，用于解决对虚拟电子卡的数据个人化管理。应用个人化操作，包括信息为虚拟电子卡的内容信息等数据。卡管理程序通过SEI-TSM安装成功过后，即可以通过TSM发送给应用个人化指令对eSE内部的虚拟电子卡进行个人化。个人化的步骤是，首先，建立安全通道，进行安全认证；然后个人化模块组织个人化数据：包括应用信息，密钥；最后，个人化模块将，个人化指令发送给eSE。

在本申请实施例中，可信移动应用502响应于用户的操作或安全芯片501的反馈，向可信服务管理平台503发送获取指令，可信服务管理平台503响应于所接收到的获取指令生成管理请求，并将所生成的管理请求下发给可信移动应用502，可信移动应用502则可以将所接收到的管理请求发送给安全芯片501，安全芯片501上相应的卡管理程序根据管理请求，对相对应的虚拟电子卡进行管理。

可选地，参见图6所示的虚拟电子卡管理系统，该虚拟电子卡管理系统除了包括安全芯片501和可信移动应用502之外，还可以包括预置设备504。预置设备504可以在安全芯片501的生产阶段，向安全芯片501发送下载指令，安全芯片501响应于该下载指令，从预置设备504下载卡管理程序的安装包。预置设备除了用于下发下载指令，还可以在芯片生产阶段用作调试/测试类工具对安全芯片进行调试和性能检测。

在本申请实施例中，安全芯片501在工厂生产阶段，预置设备504可以向安全芯片501发送下载指令，使得安全芯片501从预置设备504上下载卡管理程序的安装包。安全芯片501下载卡管理程序的安装包后，可以基于所下载的安装包安装卡管理程序，并通过卡管理程序创建虚拟电子卡，从而实现在安全芯片501中预置虚拟电子卡。当终端中的安全芯片中预置有虚拟电子卡时，用户对安全芯片中的虚拟电子卡进行配置后便可以使用，可以提升用户的使用体验，而且也可以满足不同终端生产厂商的个性化需求。

在本申请实施例中，安全芯片501在工厂生产阶段，安全芯片501的引导(Boot)程序会烧写片内操作系统(Chip Operating System，COS)，预置设备504可以不经过可信服务管理平台503，直接向片内操作系统发送下载指令，实现将卡管理程序的安装包下载到安全芯片501中。

可选地，参见图5所示的虚拟电子卡管理系统，该系统还可以包括近场通信控制器505。近场通信控制器505与安全芯片501和可信移动应用502均位于第一终端上，近场通信控制器505与非接触读卡器506进行近场通信生成非接触操作命令，近场通信控制器505将所生成的非接触操作命令发送给安全芯片501。安全芯片501基于接收到的非接触操作命令对虚拟电子卡进行读写操作，获得对虚拟电子卡进行读写操作的反馈信息，并将所获得的反馈信息发送给非接触读卡器505，非接触读卡器505根据接收到的反馈信息完成相应的刷卡后续处理。

在本申请实施例中，通过安全芯片501与近场通信控制器505之间的数据交互，实现了通过NFC方式对虚拟电子卡进行认证、读、写操作，从而实现用户通过非接触方式刷虚拟电子卡的操作。

在本申请实施例中，安全芯片501中虚拟电子卡的非接触通信，在安全芯片501的片内操作系统与近场通信控制器505的操作系统之间基于SPI2协议进行，虚拟电子卡的认证、读、写指令被封装到SPI2的指令帧中。片内操作系统接收到近场通信控制器505的操作系统的非接触操作命令后，首先由SPI2进行加解密操作后搬运到DMA中，DMA不经过CPU直接将数据搬运到安全芯片的内存，然后出发中断服务程序，卡管理系统执行处理虚拟电子卡的非接触操作命令，对虚拟电子卡进行读操作或写操作。对非接触操作命令处理完成后，返回的反馈信息从安全芯片的内存直接经由DMA传送到SPI2的寄存器中，通过SPI2加解密操作后发送给近场通信控制器505的操作系统。

可选地，参见图5所示的虚拟电子卡管理系统，近场通信控制器505可以从实体卡中读取个人化数据，并将读取到的个人化数据发送给安全芯片501中的卡管理系统，卡管理系统可以将来自近场通信控制器505的个人化数据转发给可信移动应用502。可信移动应用502可以将来自安全芯片501的个人化数据发送给可信服务管理平台503，可信服务管理平台503 生成包括有所接收到个人化数据的管理请求，并将所生成的管理请求发送给可信移动应用502。可信移动应用502将来自可信服务管理平台503的管理请求发送给安全芯片501后，安全芯片501通过管理请求中的个人化数据对虚拟电子卡进行个人化处理。

在本申请实施例中，近场通信控制器505读取实体卡中的个人化数据，个人化数据经由安全芯片501和可信移动应用502上传到可信服务管理平台503，

可信服务管理平台503通过可信移动应用502将包括有个人化数据的管理请求发给安全芯片501，安全芯片501将管理请求中的个人化数据存储到虚拟电子卡中，实现了复制实体卡的功能，将实体的门禁卡、积分卡等转换为终端上的虚拟电子卡，能够提高用户的使用体验。

可选地，在图5所述虚拟电子卡管理系统的基础上，可信服务管理平台503可以接收来自第二终端的个人化数据，生成包括所接收到个人化数据的管理请求，并将所生成的管理请求发送给可信移动应用502。可信移动应用502将来自可信服务管理平台503的管理请求发送给安全芯片501后，安全芯片501通过管理请求中的个人化数据对虚拟电子卡进行个人化处理。

在本申请实施例中，一个终端上的可信移动应用可将虚拟电子卡的个人化数据上传到可信服务管理平台，可信服务管理平台可将该个人化数据下发给另一个终端，从而实现虚拟电子卡在不同终端之间的迁入和迁出，使用户更换手机后可以将原手机上的虚拟电子卡迁移到新换的手机上，从而能够进一步提高用户的使用体验。

在本申请实施例中，可信移动应用502提供对虚拟电子卡进行管理的人机交互界面，可信移动应用502通过安卓系统架构提供的软件接口，可实现与近场通信控制器505、安全芯片501和可信服务管理平台503之间的通信。安卓系统架构提供了开放移动应用程序接口(Open Mobile API，OMAPI)框架，对可信服务管理平台503上报所读取到虚拟电子卡信息的接口，接收可信服务管理平台503的消息流的接口，将应用协议数据单元(Application Protocol Data Unit，APDU)指令传输到安全芯片501中卡管理程序的接口。可信移动应用502可实现的功能包括：

(1)获取已发布应用列表：可信移动应用502通过可信服务管理平台503的服务接口，访问可信服务管理平台503的后台，获取可用虚拟电子卡的列表，并将所获取到的虚拟电子卡的列表显示在可信移动应用502的界面上。

(2)下载安装卡管理程序到安全芯片501(即空中开卡OTA)，或者删除安全芯片501中的已安装的卡管理应用等。可信移动应用502通过可信服务管理平台503的服务接口，根据定义的指令格式进行交互，实现虚拟电子卡通过可信服务管理平台503安装到安全芯片501中。

(3)设置默认卡管理程序，实现离线刷卡等用户刷卡功能。用户通过可信移动应用502的界面，选择一张虚拟电子卡后，可信移动应用502会通过发送封装了Global Platform的APDU指令的帧，设置安全芯片501中该张虚拟电子卡的卡管理应用被选择。同时，如果该张虚拟电子卡没有非接激活，可信移动应用502还会通过CRS应用的GET STATUS指令设置卡管理程序为非接激活。最后，通过卡管理程序选择安全芯片501中的一个虚拟电子卡进行非接触通信。

(4)多虚拟电子卡在不同手机之间迁入迁出功能。可信移动应用502中每张虚拟电子卡的管理页面都有一个可迁入的子界面，里面列表显示可信服务管理平台503上可迁入的卡片数据。迁入虚拟电子卡时,首先通过可信移动应用502，将可信服务管理平台503上的某张卡的数据复制到新手机。迁出时，安全芯片501中的虚拟电子卡通过可信移动应用502复制到可信服务管理平台503，包含个人化数据，供后续迁入使用。

(5)复制实体卡的功能，复制现有的实体门禁卡，积分卡等，转换成虚拟电子卡。复制一张实体门禁卡到安全芯片501中，首先可信移动应用502通过近场通信控制器505读取卡片的个人化数据。然后，通过手机上传可信服务管理平台503的后台，再下发安全芯片 501生成新卡管理程序和虚拟电子卡。

在本申请实施例中，参见图5和图6，安全芯片的片内操作系统中的操作都被控制在系统限定的存储范围内，片内操作系统为每个虚拟电子卡提供基本卡应用功能接口和通信接口。片内操作系统满足Global Platform和Java card规范，并且兼容不同协议类型的接触和非接触智能卡应用。

安全芯片501上的片内操作系统用于实现如下处理：电源管理(上/掉电，低功耗管理等)、消息任务处理机制、系统活动与通信的同步、内存管理(分配，防撕裂，原子写，资源回收等)等。安全芯片501还可以实现最新Java card 2.3.1和Global Platform 2.3.1 OPEN的基本功能。卡管理程序是OPEN上面的一个或者多个Applets。片内操作系统会给卡管理程序分配YulaAppID(程序标识)，YulaAppID会对应到卡管理系统里面的一个虚拟电子卡的卡标识。

在本申请实施例中，安全芯片501中的卡管理系统，支持ISO/IEC 14443-3 A功能，卡管理系统实现了虚拟电子卡接触和非接触的数据交互功能，包括多虚拟电子卡的内存管理、UID分配、RF认证、读写通信等。卡管理系统通过C语言实现，而卡管理程序通过Java实现，两者之间支持互相调用。

片内操作系统的通信模块，通过SPI总线与NFCC或者移动通信设备进行通信，实现了移动通信设备传输APDU指令的接收和处理。通过SPI2和带有CRYPTO1流加密接口，实现虚拟电子卡与读卡器进行RF通信，进行CLT(中文：非接触通道，英文：Contactless Tunnel)帧明文和密文的数据交换。

下面对片内操作系统的启动和初始化，直至达到空闲状态为止的整个过程进行说明。首先，安全芯片上电后先初始化片内操作系统，包括内存、时钟、中断、外设以及操作系统任务消息响应机制的初始化，并检测片内操作系统的boot程序中配置是否使能卡管理系统，及使能过后占用的RAM、ROM、NVM的初始化，对比虚拟电子卡的状态进行初始化。操作系统任务消息响应机制是以任务为最小单位的多任务操作系统架构。片内操作系统里面包括1个系统任务、2个应用任务、2个输入输出外设任务和1个空闲任务，任务可以设置不同的优先级，支持高优先级的任务抢占优先执行，被抢占的任务会挂起。然后，卡管理程序通过Global Platform规范定义的应用通用命令INTSALL、PERSONLIZATION、DELETE等来间接管理虚拟电子卡。同时，卡管理程序支持私有的APDU指令，允许移动通信设备对虚拟电子卡进行读、写操作。除了上述功能外，片内操作系统还可以执行OPEN以外的操作系统的功能，如内存监管、权限管理等。最后，片内操作系统通过SPI和SPI2跟其它芯片进行数据交换，其中SPI和SPI2的主要区别在于，SPI2由于包含了CRYPTO1流加密功能。在SPI2的中断里面直接处理虚拟电子卡的非接触通信认证、读写指令的加解密。

在本申请实施例中，可信移动应用选择到eSE里的CRS应用，通过CRS应用的GET STATUS命令获取安全芯片中安装的所有虚拟电子卡的参数，包括ATQA、SAK、UID等非接参数。然后，可信移动应用经过智能路由的规则计算合并虚拟电子卡的参数。最后，可信移动应用下发计算后的卡的参数到NFCC。在智能路由的情况下，当虚拟电子卡的个数多于1张时，如果虚拟电子卡之间的非接参数是有冲突的(如UID相同)，可信移动应用会下发多套参数到NFCC的操作系统。在非智能路由的情况下，可信移动应用选择一张虚拟电子卡为默认卡，下发这张默认卡的参数到NFCC的操作系统。

当非接触读卡器进行读卡时，首先，读取NFCC的操作系统中的卡参数进行非接触的寻卡操作。当确定UID的卡被非接触读卡器识别后，如果不是智能路由，直接跟片内操作系统中默认选择的虚拟电子卡进行数据交互；如果是智能路由，则根据当前的识别的卡的UID和对应的卡管理程序的AID(程序标识)之间的映射关系，选择片内操作系统中对应的虚拟电子卡进行通信。

在NFCC的操作系统上对虚拟电子卡的操作，无论是否为智能路由，都要通过现有系统选择到虚拟电子卡，确保最终非接触读卡器在片内操作系统里能找到正确且唯一的一张虚拟电子卡进行数据交换。

需要说明的是，上述各实施例提供的虚拟电子卡管理方法和系统，可用于管理Yula卡，Yula卡应用(Yula虚拟卡和卡管理程序)是支持ISO14443-3协议，在13.56MHz频率范围中工作的具有读/写能力的智能卡应用协议。相对应的，通过上述实施例提供的方法或相同对Yula卡进行管理时，安全芯片的片内操作系统可以是Great Wall eSE芯片操作系统，NFCC的操作系统可以为Pyramid，操作系统任务消息响应机制可以是Event Driven Architecture(EDA)。

需要说明的是，上述虚拟电子卡管理系统实施例与前述虚拟电子卡管理方法实施例基于相同构思，系统实施例中各部分之间的交互可参见前述方法实施例中的描述，在此不再进行赘述。

最后需要说明的是，以上实施例仅用于说明本申请实施例的技术方案，而非对其限制。尽管参照前述实施例对本申请实施例进行了详细的说明，本领域的普通技术人员应当理解，其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换，而这些修改或者替换，并不是相应技术方案的本质脱离本申请各实施例技术方案的精神和范围。

Claims

一种虚拟电子卡管理方法，应用于安全芯片，所述安全芯片安装在第一终端内，所述方法包括：

接收来自所述第一终端上的可信移动应用的管理请求，其中，所述管理请求用于对所述安全芯片上的至少一个虚拟电子卡中的目标虚拟电子卡进行管理，所述虚拟电子卡的权限由所述安全芯片的片内操作系统配置；

从所述安全芯片上的至少一个卡管理程序中，确定与所述目标虚拟电子卡相对应的目标卡管理程序，其中，每个所述虚拟电子卡对应一个所述卡管理程序，不同的所述虚拟电子卡对应不同的所述卡管理程序；

将所述管理请求发送给所述目标卡管理程序；

通过所述目标卡管理程序，调用所述安全芯片上卡管理系统中与所述管理请求相对应的卡管理命令，对所述目标虚拟电子卡进行管理。
根据权利要求1所述的方法，其中，进一步包括创建所述目标虚拟电子卡，所述创建所述目标虚拟电子卡包括：

获取所述卡管理程序的安装包；

基于所述安装包，在所述安全芯片上安装所述目标卡管理程序；

通过所述目标卡管理程序，调用所述卡管理系统中的卡创建命令，在所述安全芯片上创建所述目标虚拟电子卡。
根据权利要求2所述的方法，其中，所述获取所述卡管理程序的安装包，包括：

通过所述可信移动应用从可信服务管理平台获取所述安装包。
根据权利要求2所述的方法，其中，所述获取所述卡管理程序的安装包，包括：

在所述安全芯片的生产阶段，从预置设备下载所述安装包。
根据权利要求1所述的方法，其中，所述方法还包括：

为所述目标卡管理程序分配目标程序标识，其中，不同的所述卡管理程序对应不同的程序标识；

为所述目标虚拟电子卡分配目标卡标识，其中，不同的所述虚拟电子卡对应不同的卡标识；

在所述片内操作系统的注册表中注册所述目标程序标识与所述目标卡标识之间的匹配关系。
根据权利要求5所述的方法，其中，所述从所述安全芯片上的至少一个卡管理程序中，确定与所述目标虚拟电子卡相对应的目标卡管理程序，包括：

获取所述管理请求携带的所述目标卡标识；

根据所述注册表中注册的所述程序标识与所述卡标识之间的匹配关系，确定与所述目标卡标识相匹配的所述目标程序标识；

将与所述目标程序标识相对应的所述卡管理程序，确定为与所述目标虚拟电子卡相对应的所述目标卡管理程序。
根据权利要求6所述的方法，其中，所述卡管理命令包括个人化命令、删除命令、激活命令或读写命令；

所述个人化命令用于指示所述目标卡管理程序，将所述管理请求携带的个人化数据存储到所述目标虚拟电子卡中；

所述删除命令用于指示所述目标卡管理程序，将所述目标虚拟电子卡删除；

所述激活命令用于指示所述目标卡管理程序，将所述目标虚拟电子卡设置为非接触激活状态；

所述读写命令用于指示所述目标卡管理程序，对所述目标虚拟电子卡的内容进行读写。
根据权利要求7所述的方法，其中，

所述个人化数据由近场通信控制器从实体卡中读取，所述个人化数据由所述卡管理系统发送给所述可信移动应用，所述个人化数据由所述可信移动应用发送给可信服务管理平台，由所述可信服务管理平台生成包括所述个人化数据的所述管理请求，并由所述可信服务管理平台将所述管理请求发送给所述可信移动应用；

或者，

所述个人化数据由第二终端发送给所述可信服务管理平台，由所述可信服务管理平台生成包括所述个人化数据的所述管理请求，并由所述可信服务管理平台将所述管理请求发送给所述可信移动应用，其中所述第一终端与所述第二终端为不同的终端。
根据权利要求1所述的方法，其中，所述方法还包括：

接收来自近场通信控制器的非接触操作命令，其中，所述非接触操作命令根据所述近场通信控制器与非接触读卡器之间的近场通信生成；

通过所述卡管理系统执行所述非接触操作命令，对所述目标虚拟电子卡进行读写操作；

获取所述卡管理系统对所述目标虚拟电子卡进行读写操作后的反馈信息；

将所述反馈信息发送给所述近场通信控制器。
根据权利要求9所述的方法，其中，所述方法还包括：

通过串行外设接口SPI2对所述非接触操作命令进行解密处理；

通过直接存储器访问DMA控制器将经过解密处理的所述非接触操作命令传输到所述安全芯片的内存；

所述将所述反馈信息发送给所述近场通信控制器，包括：

通过所述直接存储器访问DMA控制器，将所述安全芯片的内存中的所述反馈信息传输到所述串行外设接口SPI2的寄存器中；

通过所述串行外设接口SPI2对所述反馈信息进行加密操作；

将经过加密操作的所述反馈信息发送给所述近场通信控制器。
根据权利要求1至10中任一所述的方法，其中，所述卡管理系统通过C语言实现，所述卡管理程序通过Java实现。
一种安全芯片，所述安全芯片位于终端内且与所述终端内的存储器连接，所述存储器存储有可被所述安全芯片执行的指令，所述指令被所述安全芯片执行，以使所述安全芯片能够执行如权利要求1至11中任一所述的虚拟电子卡管理方法。
一种终端，包括：如权利要求12所述的安全芯片，以及与所述安全芯片连接的存储器。
一种计算机可读存储介质，存储有计算机程序，所述计算机程序被处理器执行时实现权利要求1至11中任一所述的虚拟电子卡管理方法。
一种虚拟电子卡管理系统，包括：如权利要求12所述的安全芯片和可信移动应用；

所述可信移动应用安装在所述安全芯片所在的第一终端；

所述可信移动应用，用于向所述安全芯片发送管理请求，其中，所述管理请求用于指示所述安全芯片上的卡管理程序，对所述安全芯片上的虚拟电子卡进行管理，不同的所述卡管理程序用于管理不同的所述虚拟电子卡。
根据权利要求15所述的系统，其中，所述系统还包括：可信服务管理平台；

所述可信移动应用，还用于向所述可信服务管理平台发送获取指令，其中，所述获取指令用于请求获取所述卡管理程序的安装包；

所述可信服务管理平台，用于根据所述获取指令，将所述安装包发送给所述可信移动应用；

所述可信移动应用，还用于将接收到的所述安装包发送给所述安全芯片。
根据权利要求15所述的系统，其中，所述系统还包括：预置设备；

所述预置设备，用于在所述安全芯片的生产阶段，向所述安全芯片发送下载指令，其中，所述下载指令用于指示所述安全芯片从所述预置设备下载所述卡管理程序的安装包。
根据权利要求16所述的系统，其中，所述系统还包括：近场通信控制器；

所述近场通信控制器设置在所述第一终端；

所述近场通信控制器，用于根据所述近场通信控制器与非接触读卡器之间的近场通信生成非接触操作命令，并将所述非接触操作命令发送给所述安全芯片；

所述近场通信管理器，还用于接收所述安全芯片执行所述非接触操作命令后的反馈信息，并通过近场通信将所述反馈信息发送给所述非接触读卡器。
根据权利要求18所述的系统，其中，

所述近场通信控制器，还用于从实体卡中读取个人化数据，并将读取到的个人化数据发送给所述可信移动应用；

所述可信移动应用，还用于将接收到的所述个人化数据发送给所述可信服务管理平台；

所述可信服务管理平台，还用于生成包括所接收到的所述个人化数据的所述管理请求。
根据权利要求18所述的系统，其中，

所述可信服务管理平台，还用于接收来自第二终端的个人化数据，并生成包括所接收到的所述个人化数据的所述管理请求。