專利名稱:可信服務管理方法
可信服務管理方法
技術領域:
本發明通常涉及電子商務領域,特別地,本發明涉及一種可信服務管理(trustedservice management,簡稱TSM)方法或過程,其中所述可信服務管理用來協助或促進通過或不通過網絡發生的電子商務,尤其是移動商務。更特別地,本發明中的可信服務管理方法的一個實施例提供這樣的可信服務管理來支持隨時隨地的各種移動交易。
背景技術:
能夠為移動支付的成功大量部署解決業務(business)和操作需求的一個模型是使用中介(intermediary),可信服務管理者(Trusted Service Manager,TSM)。這個被GSMA(GSM Association, GSM協會)認可的方案的重要優點在于快速的可擴展性。所述TSM的主要角色在于使用移動運營商的網絡幫助服務提供者(Service Provider)為他們的客戶安全的發布和管理無接觸性服務(contactless service) 0然而,所述TSM不能參與使用具有近場通信(near-field communication,簡稱NFC)功能的裝置進行的實際的無接觸性交易。這些交易通常由所述服務提供者和他的商業伙伴提供的系統來處理。能夠加速移動NFC應用的成功部署和增長的TSM的另一個可能角色是作為商業中介以促進或有助于合同安排和在移動營運上和服務提供者之間的不斷發展的商業關系的其他方面。為了支持這種快速演變的商務環境,包括金融機構、各種具有NFC功能的移動電話的制造商、軟件開發商以及移動網絡運營商的多個實體(entities)參與進NFC移動生態系統。由于他們單獨角色的特性,這些參與者需要互相交流并以一種可靠的、彼此協作的方式交換信息。所述TSM作為中立的中間人在移動網絡運營商、電話制造商或控制在移動電話上的安全元件(secure element,簡稱SE)的其他實體之間建立商業協議和技術連接。通過允許訪問具有NFC功能的手持 裝置內的安全元件,所述TSM使得服務提供者可以遠程的發布和管理他們的無接觸性應用。在NFC移動生態系統中所關注的問題之一是它在開放網絡中的安全性。因此有必要提供一種在非接觸性智能卡或具有NFC功能的移動裝置中個人化(personalize)安全元件的技術,以使得在這樣的裝置用于金融應用或安全交易時,該裝置是安全的和個人化的。由于在移動裝置(比如支持NFC的移動裝置)中具有個人化的安全元件,諸如電子錢包或支付的各種應用(applications)或服務都將能夠實現。相應地,還有必要提供一種與個人化的安全元件有關的應用或服務的配置或管理技術。
發明內容本部分的目的在于概述本發明的實施例的一些方面以及簡要介紹一些較佳實施例。在本部分以及本申請的說明書摘要和發明名稱中可能會做些簡化或省略以避免使本部分、說明書摘要和發明名稱的目的模糊,而這種簡化或省略不能用于限制本發明的范圍。本發明涉及實現或提供一種可信服務管理(trusted service management,簡稱TSM)的技術,以使得各方可以安全的、互相信任的進行通訊。根據本發明的一個方面,本發明還涉及個人化(personalize)安全元件(secure element,簡稱SE)的技術。在一個實施例中,提供一個方法去通過運行于可信服務管理服務(也可以稱為可信服務管理者)的業務或一方(party)引入或安排的多方(multiple parties)個人化一個安全元件。所述多方包括但不限于所述SE的制造者(manufacturer)、網絡運營商、蜂窩/移動服務運營商和SE的發行者(issuer)。從實現的角度來看,可以設置一個服務器作為TSM,以促進所述安全元件的個人化。從一個角度來說,所述TSM促使所述多方一起來識別個人化后的安全元件,以至于隨后的交易可以經由嵌入有SE的裝置被認證和執行。從另一個角度來說,所述多方中的每一個可以載入一段數據到所述安全元件內,所述數據包括注冊信息、各種服務或應用數據和各種密鑰,以至于隨后的交易能夠通過授權方以一種安全的方式被執行。根據本發明的另一個方面,安全元件的個人化可以通過網絡或無線的方式執行。在個人化所述安全元件過程中與所述安全元件的發行者或制造者交互時,有兩種方式可以被用來從所述安全元件提取相應的默認發行者安全域(Issuer Security Domain,簡稱ISD)信息。根據基礎設施,所述安全元件的制造者或發行者可以選擇實時方式或批量(batch)方式(都可以采用離線或在線)。根據本發明的另一個方面,本發明提供了一種通過個人化的安全元件配置應用(application)的技術。對于被審定可以與所述安全元件一起運行的應用,需要首先配置或個人化該應用以確保其通過TSM被所述SE發行者批準。根據本發明的另一個方面,嵌入有安全元件的NFC裝置可以被用作電子錢包(electronic purse)通過公開網絡與支付服務器和/或銷售點(Point of sale)交易服務器進行交易(transaction)。所述NFC裝置可以是安裝有電子錢包應用或管理器的便攜式裝置(比如蜂窩電話、個人數字助理等)。所述電子錢包應用在被配置后用來管理各種交易,并被作為一種機制去訪問所述便攜式裝置中的模擬器。所述交易可以通過數據網絡(比如公共域網絡或蜂窩通信網絡)來進行。根據本發明的另一個方面,當配置一個應用(比如電子錢包)時,可以在三層安全模型(three-tier security model)內個人化安全密鑰(對稱或非對稱),以使得可以與支付服務器進行安全交易。三層安全模型的一個示例包括物理安全層、電子錢包安全層和安全元件安全層,所述三個安全層彼此分別同心封裝(concentrically encapsulating)。在一個實施例中,個人化入電子錢包的基本數據包括一個或多個操作密鑰(例如載入或充值(top-up)密鑰和購買密鑰)、默認的個人識別號碼(PINs, Personal IdentificationNumbers)、管理密鑰(例如解除攔截PIN密鑰和重新載入PIN密鑰)以及密碼(例如來自服務提供者)。在交易過程中,安全密鑰被用來在配置的電子錢包和安全識別模塊(SecurityAuthentication Module, SAM)或金融機構(例如銀行、信用聯盟、信用澄清處等)中的后端服務器之間連接安全通道。 根據本發明的再一方面,便攜式裝置被配置為電子移動銷售器(例如移動銷售點)以進行電子商務和/或移動商務。電子商務和移動商務操作(包括線下支付,線上支付,實時充值,虛擬充值,批量交易上傳,及各種收支余額和交易查詢)可以使用安裝了銷售點應用(比如管理器)和銷售點安全識別模塊SAM的便攜式裝置執行。本發明中的一個重要的特點、好處和優點在于通過網絡(無線或有線網絡)在嵌入安全元件的移動裝置上實現各種安全的交易。通過個人化的安全元件,通過所述移動裝置可以實現各種應用或服務。可以有效的管理在不同各方之間的交互以使得所述移動裝置的用戶可以開始享受通過數據網絡進行交易的便利。
本發明可以實現為單個裝置、服務器、系統或系統的一部分。可以相信各種實現方式都會帶來現有技術所不能得到的效果。根據一個實施例,本發明是一種可信服務管理方法,所述方法包括:在具有安全元件的便攜式裝置和提供可信服務管理的服務器之間開始數據通信;在所述服務器確定所述安全元件注冊于其上后,響應所述服務器的請求接收來自所述便攜式裝置的安全元件的裝置信息,其中所述裝置信息是唯一標識所述安全元件的字符串,所述請求是使得所述便攜式裝置從所述安全元件中提取所述裝置信息的命令;發送一組指令使得所述便攜式裝置接收來自指定地方的至少一密鑰集,并存儲于所述安全元件內,其中所述密鑰集是根據所述安全元件的裝置信息產生的。
根據本發明的另一個實施例,本發明是一種用于由可信服務管理服務的便攜式裝置的方法,所述方法包括:在具有安全元件的便攜式裝置和提供可信服務管理的服務器之間開始數據通信;在所述服務器確定所述安全元件注冊于其上后,從所述便攜式裝置發送所述安全元件的裝置信息,其中所述裝置信息是唯一標識所述安全元件的字符串;根據來自所述服務器的一組指令接收接收來自指定地方的至少一密鑰集,其中所述密鑰集是根據所述安全元件的裝置信息產生的;在所述安全元件中存儲所述密鑰集。總體來講,所述便攜式裝置(比如智能手機)包括必要的硬件模組(比如收發器和天線)以方便所述便攜式裝置與所述服務器通訊 ,并從另一個裝置接收數據。這樣的便攜式裝置的一個例子是近場通信裝置。與現有技術相比,本發明中的安全元件經由所述服務器被個性化,由此嵌入有該個性化的安全元件的便攜式裝置可以以一種可靠的、安全的方式與其他設備或裝置進行通訊。
接下來的具體實施方式
、后面的權利要求以及附圖將有助于了解本發明的具體特征,各實施例以及優點,其中:
圖1A示出了具有安全元件的支持NFC的移動裝置的簡單結構架構;
圖1B示出了根據本發明的一個實施例的個人化安全元件的流程或過程;
圖1C示出了在離線和在線模式時安全元件制造者(SE manufacturer)、TSM(Trusted Service Management,可信服務管理)管理器和TSM系統之間的關系;
圖1D示出了 NFC裝置(比如NFC移動電話)的用戶、NFC裝置、TSM服務器、相應的安全元件制造者和安全元件發行者之間的數據流程圖1E根據本發明的一個實施例,示出了基于平臺的SAM(安全識別模塊)或網絡電子錢包服務器、作為門衛的電子錢包和單功能標簽,這三個實體之間的個人化數據流程;
圖2Ατ^出了一個移動支付生態系統,其中移動支付生態系統中的相關方(parties)依次被列出;
圖2B示出了根據本發明的一個實施例的配置一個或多個應用的流程或過程;
圖2C示出了當配置一個應用時不同方之間交互的數據流程;
圖2D示出了在配置一個應用過程中準備應用數據時不同方交互的數據流程;
圖2E示出了鎖定或非使能一個已安裝應用的流程或過程;
圖2F根據本發明的一個具體實施例,示出了便攜裝置作為電子錢包執行電子商務和移動商務時的架構示意圖;圖3A示出了有關模塊相互作用,以完成前述電子錢包由授權人進行個人化處理的結構圖;圖3B示出了有關模塊相互作用,以完成前述電子錢包由其用戶進行個人化處理的結構圖;圖3C根據本發明的一個具體實施例,示出了個人化電子錢包的流程或過程圖;圖4A和圖4B根據本發明的一個具體實施例,一同示出了給電子錢包籌資、注資、載入或充值時的流程或過程;圖4C示出了有關模塊相 互作用,以完成圖4A和圖4B中所示過程的結構示意圖;圖5A根據本發明的一個具體實施例,示出了第一種便攜設備的架構示意圖,使之能夠在蜂窩通信網絡(比如,3G、LTE或GPRS網絡)上執行電子商務和移動商務的各種功倉泛;圖5B根據本發明的另一個具體實施例,示出了第二種便攜設備的架構示意圖,使之能夠在有線和/或無線數據網絡(例如國際互聯網)上執行電子商務和移動商務的各種功能;圖5C是一幅流程圖,根據本發明的一個具體實施例,說明了使圖5A中的便攜設備能夠運行一個或多個服務提供商提供的服務應用的過程示意圖;圖6A根據本發明的一個具體實施例,展示了一個架構示意圖,其中的便攜設備能夠作為移動銷售點執行電子商務和移動商務;圖6B根據本發明的一個具體實施例,展示了一個架構示意圖,其中的便攜設備能夠作為移動銷售點在網絡上執行交易上傳操作;圖6C是一幅流程圖,根據本發明的一個具體實施例,說明了使用用作移動銷售點的便攜設備和支持電子代幣的單功能卡裝置,執行移動商務的過程示意圖;圖6D是一幅流程圖,說明了使用用作移動銷售點的便攜設備以及支持電子代幣的多功能卡裝置,執行移動商務的過程示意圖;圖7描述了便攜設備用于電子票務應用時的結構示意圖;圖8A示出了由一個業務運作或安排的TSM所涉及的多方的示意圖;圖8B示出了在一個實施例中的TSM的各方之間的有關操作過程;圖8C示出了一個示例的TSM中在各方之間建立互相同意協議的工作流程;圖8D示出了 SE發行者和TSM之間ISD映射(mapping)的數據流程;圖SE示出了在TSM、SE發行者和服務提供者之間的相應數據流程;圖8F示出了由SE發行者批準一個應用的數據流程;圖SG示出了替換安全元件的流程;以及圖9示出了個人化的安全元件的一個賬戶的顯示屏的快照示例。
具體實施方式本發明的詳細描述主要通過程序、步驟、邏輯塊、過程或其他象征性的描述來直接或間接地模擬本發明技術方案的運作。為透徹的理解本發明,在接下來的描述中陳述了很多特定細節。而在沒有這些特定細節時,本發明則可能仍可實現。所屬領域內的技術人員使用此處的這些描述和陳述向所屬領域內的其他技術人員有效的介紹他們的工作本質。換句話說,為避免混淆本發明的目的,由于熟知的方法和程序已經容易理解,因此它們并未被詳細描述。
此處所稱的“一個實施例”或“實施例”是指可包含于本發明至少一個實現方式中的特定特征、結構或特性。在本說明書中不同地方出現的“在一個實施例中”并非均指同一個實施例,也不是單獨的或選擇性的與其他實施例互相排斥的實施例。此外,表示一個或多個實施例的方法、流程圖或功能框圖中的模塊順序并非固定的指代任何特定順序,也不構成對本發明的限制。本文中的密鑰集是指一組密鑰。
下面參考圖1A-圖9來介紹本發明的各個實施例。然而,所屬領域內的普通技術人員容易理解的是這里根據這些附圖列出的細節描述僅僅是解釋性的,本發明并不僅限于這些實施例。
當具有近場通信(Near Field Communication,簡稱NFC)功能的移動電話用于諸如支付服務、交通票務、信用服務、物理訪問控制和其他令人興奮的新服務時,NFC顯示出重大的商機。為了支持這種快速演變的商務環境,包括金融機構、各種具有NFC功能的移動電話的制造商(manufacturer,或稱制造者)、軟件開發商(developer,或稱開發者)以及移動網絡運營商(Mobile Network Operators,簡稱MN0)的多個實體參與進NFC移動生態系統。由于他們單獨角色的特性,這些參與者需要互相交流并以一種可靠的、彼此協作的方式交換信息。
下載至并存儲于執行無接觸性交易(contactless transactions)的具有NFC功能的手持電話的數據和敏感應用的機密性和安全性的繼續提高對于上述各個實體都是同等重要的。在移動電話中提供安全性和機密性以支持各種商業模型的組件可以被稱為安全元件(Secure Element,簡稱SE)。總體來講,安全元件是一個防篡改平臺(比如,單芯片安全微控制器),其能夠根據一組被廣為認同的可信專家(well-1dentified trustedauthorities)起草的規則和安全需求安全的主管各種應用和他們的保密和加密數據(比如密鑰管理)。安全元件的常見形式包括嵌入有安全元件的通用集成電路卡(UICC)和微SD卡(miciOSD)。nCC和microSD都是可移除的。在本發明的一個實施例中,軟件模組可以作為安全元件,通過重寫該軟件模組的所有組件中的一部分的方式更新該軟件模組。不管什么形式,每種形式都會導致不同的商業實現,并滿足不同的市場需求。
圖1A示出了計算裝置100的簡單架構。除非特別說明,“計算裝置”、“移動裝置”、“手持裝置”、“移動電話”或“手持電話”將在本文中可互相替代的使用,然而所屬領域內的普通技術人員能夠理解上述詞匯也可以指代其他裝置,比如智能電話、筆記本電腦、無接觸性智能卡和其他便攜式裝置。所述移動裝置100包括NFC控制器101,該NFC控制器101使得所述移動裝置100能夠與其它裝置無線通信以交換數據。比如,用戶可以將所述移動裝置100用作電子錢包(e-purse)進行購買支付。在操作時,所述電子錢包由安全元件102來控制。所述安全元件102可以使得這樣的一個移動裝置100以一種安全的方式來執行金融交易、交通票務、信用服務、物理訪問控制和其他令人興奮的服務。為了提供這樣的服務,所述安全元件102可以支持各種Java applet程序、應用或模塊(圖1A中僅示出了兩個實例104和106)。在實現時,這些模塊可以是嵌入或插入其內的硬件模塊,也可以是通過數據網絡從一個或多個服務器上下載的軟件模塊。當最早購買移動裝置或最早將移動裝置交付給客戶時,在所述移動裝置的安全元件102上安裝一組默認密鑰(a set of default keys,或稱為默認密鑰集),比如由安全元件制造者(manufacter)設置的發行者安全域(Issuer Security Domain,簡稱ISD)密鑰集(Keyset)。在一個實施例中,所述安全元件102是防篡改芯片,根據需求的安全級別,該芯片可以嵌入智能卡級應用(比如支付、傳輸)。如圖1A所示,所述安全元件102嵌入或配合無接觸性NFC相關的應用,并與所述NFC控制器101連接以作為無接觸性前端。典型的,符合標準的安全元件與一個發行者安全域(issuer security domain,簡稱ISD)和一個或多個補充安全域(supplemental security domains,簡稱SSD)的選擇一起供給。每個域中包括一組密鑰(a set of key,或稱密鑰集)。在一個實施例中,所述安全元件102是嵌入所述移動裝置100內的或通過卡接口 109插入移動裝置100的小型卡內的芯片。在另一個實施例中,所述安全元件102是或包括裝載入所述移動裝置內的安全存儲空間107內的軟件模組。可以通過所述移動裝置100內的網絡接口 103(比如3G網絡或LTE(Long TermEvolution)網絡)從指定服務器下載更新組件以更新所述軟件模組。所述安全元件102在使用前需要經過個人化(Personalization或Personalizing)過程。在一個實施例中,所述個人化過程是根據選擇的卡發行者(比如所謂的安全元件發行者)的派生個人化密鑰集(derived personalized key set)為所述安全元件102裝載或更新一密鑰集。根據情況,安全元件發行者(SE issuer)和安全元件制造者(SE manufacturer)可以是兩個分離的實體,也可以是一個單獨的實體。為了方便本發明的描述,安全元件發行者和安全元件制造者在這里被描述為兩個分離的實體。進一步的,個人化過程(personalization process)也可以稱為配置過程(provisioning process)。根據一個實施例,在安裝應用或使能服務(比如應用安裝和個人化)時以無線方式(Overthe air)執行SE配置過程以個人化所述安全元件。當將所述安全元件關聯到一個安全元件發行者時,才執行所述安全元件的個人化。當用戶訂購或安裝應用時,需要為每個應用執行應用安裝和配置。在一個實施例中,在更新或升級所述安全元件102時,為避免從頭開始個人化所述安全元件102,只用新的更新替換所述安全元件102中的一個或一些組件。在實現時,可以自動地或手動獲取這些新的更新,并將它們裝載至所述移動裝置100。在一個實施例中,根據相應的安全元件發行者和TSM,具有NFC功能的移動裝置可以從服務器或TSM入口或門戶(TSM portal)下載應用。TSM是指可信服務管理(Trusted Service Management),是一種服務集合。所述TSM的一個主要角色是幫助服務提供者(service provider)為他們的使用移動網絡的客戶安全的發布和管理無接觸性服務。所述TSM或它的服務器不必需要參與使用NFC裝置的實際無接觸性交易(transaction)。這些交易通常由服務提供者和他們的商業合作伙伴提供的系統處理。所述TSM的另一個角色是通過作為商業中間人加速移動NFC應用的成功部署和提升,其有利于合同安排和不同各方之間的商業關系的其它方面,這樣使得移動網絡商務成為可能。可以到服務中心執行所述個人化過程,也可以通過TSM服務器的網頁入口(webportal)遠程執行所述個人化過程。在第一種場景下,客戶可以到服務中心,讓服務代表個人化移動裝置內的安全元件。在位于指定地方(比如服務中心)的連接有NFC讀卡器的電腦中,配置管理器(provisioning manager)可以是安裝的應用或連接至后端TSM的基于網頁的應用。所述配置管理器用來與移動裝置的安全元件進行通訊(比如通過讀卡器)。這樣的個人化過程也可以被稱為基于網絡(Over the Internet)的過程。在第二種場景下,客戶通過服務器(TSM網頁門戶)注冊他/她的移動電話。所述TSM服務器可以將配置管理器的通用資源識別碼(universal resource identifier,簡稱URI)發送至已注冊的移動電話。基于所述移動裝置的類型,發送方式可以是短信服務推送(Short Message Service Push)或谷歌安卓推送(Google Android Push)。所述客戶可以將所述配置管理器下載至所述移動裝置中,并開始所述個人化過程。這樣的個人化過程被稱為基于無線的過程。在任一個場景下,所述配置管理器作為移動裝置的安全元件和TSM服務器之間的代理。現參考圖1B所示,其示出了根據本發明的一個實施例的個人化安全元件的流程或過程110。在實現時,所述過程110可以由軟件或軟件和硬件的結合來實現。當用戶收到一個新的NFC裝置(比如移動裝置的一部分),需要個人化其內的所述安全元件。在操作112中,確定所述新的NFC裝置是否是真正的NFC裝置。一個例子是檢查與所述NFC裝置相關的序列號(serial number)。所述序列號可以通過與TSM服務器相關的數據庫進行認證。在NFC移動裝置的例子中,所述移動裝置的裝置序列號可以用來進行認證。現在假設所述NFC裝置是一個真正的NFC裝置,即可由移動操作者識別的。所述過程110將進入操作114,使所述NFC裝置與專用服務器進行通訊。在一個實施例中,所述專用服務器是TSM系統的一部分,并可通過無線網絡、互聯網或無線和有線的結合(這里稱為數據網絡或簡稱為網絡)對其進行訪問。在操作116中,使所述NFC裝置向所述服務器注冊。一旦所述NFC裝置成為所述TSM系統的一部分,各種服務和數據可以通過網絡與所述NFC裝置進行通訊。作為個人化過程的一部分,在操作118中,所述服務器請求所述安全元件的裝置信息。在一個實施例中,所述服務器發送數據請求(比如服務信息,WAP PUSH)到所述NFC裝置上。響應所述數據請求,所述NFC裝置發回從所述安全元件中提取的卡產品壽命周期(Card ProductLife Cycle,簡稱CPLC)信息。所述CPLC信息包括安全元件產品信息(比如智能卡ID、制造者信息和批次號等)。基于所述CPLC信息,所述服務器能夠從其制造者、授權代理者(authorized distributor)或服務提供者處提取這個安全元件的對應默認發行者安全域(Issuer Security Domain,簡稱ISD)信息。在實現時,所述服務器與安全元件制造者有兩種通訊方式,具體將在下文的合適部分給予詳細描述。在操作120中,由所述制造者確定是否更新所述裝置信息。通常,當一個安全元件由其制造者發出時,所述安全元件嵌入有一些默認裝置信息。如果確定所述默認裝置信息(比如CPLC數據)需要與所述制造者進行更新,所述過程110進入操作122,所述制造者將相應的更新裝置信息上傳至所述服務器。在操作124中,將所述更新裝置信息傳輸至所述NFC移動裝置,并存儲于所述安全元件中。如果確定所述安全元件的默認裝置信息不需要與所述制造者進行更新,所述過程110進入操作124,將提取的默認裝置信息存儲入與TSM服務器相關的數據庫中。在一個實施例中,所述服務器包括獲取派生密鑰集(derived keyset)的接口。在一個實施例中,根據所述安全元件的裝置信息(比如,ISD)產生所述派生密鑰集。當所述安全元件中成功安裝上派生ISD密鑰集時,通知相應的安全元件發行者所述派生ISD密鑰集已經使用。
根據本發明的一個實施例,在操作126中,所述裝置信息(默認的或更新的)用來產生密鑰集(或稱一組密鑰)。在一個實施例中,所述服務器用來使用默認ISD在他的硬件安全模塊(hardware security module,簡稱HSM)和所述安全兀件之間建立安全通道。所述服務器還用來為所述安全元件計算派生密鑰集。基于業務協定,安全元件的發行者的主ISD密鑰可以設置于與所述服務器相關的硬件安全模塊或所述安全元件發行者的本地硬件安全模塊中。所述硬件安全模塊是一種安全加密處理器,其用于管理數字密鑰,加速加密過程,以及對訪問服務器應用的關鍵密鑰提供有效的認證。如果設置于所述服務器中的硬件安全模塊內,所述服務器用來指令所述硬件安全模塊去計算所述派生密鑰集。隨后,所述服務器提供一種機制(比如PUT KEY APDU)并使用默認通道,用所述派生密鑰集替代在所述安全元件中的默認密鑰集。如果所述安全元件發行者(SE issurer)的主ISD密鑰在所述安全元件發行者的本地硬件安全模塊中,所述服務器還用來與遠端的硬件安全模塊交互以提取所述主ISD密鑰。
在操作128中,將所述密鑰集安全的傳遞至所述安全元件。就這樣將密鑰集個人化入所述安全元件中,所述密鑰集用于利用NFC裝置進行的各種安全操作或服務中。在操作130,所述服務器用來將所述安全元件與其發行者或提供者進行同步(比如,將有關安全元件狀態的通知發送至所述發行者或提供者)。在個人化后,可以使用所述SE發行者的個人化ISD密鑰來訪問所述安全元件。基于每個服務提供商的安全需求,所述TSM可以為各個提供者提供額外的SSD以個人化他們的相應應用(比如,圖1A中的模塊104或106)。
如上文所述,有兩種方式可以用來在與所述制造者的交互過程中從所述安全元件中提取相應的默認ISD信息。基于基礎架構,制造者可以選擇使用實時方式(real-timeapproach)或批量(或稱批處理)方式(batch approach)。
在實時方式中,當所述TSM服務器個人化所述安全元件時,所述服務器被設置用來與制造者(比如它的服務器)進行通訊。這樣,所述默認密鑰集是經要求從制造者的服務器提取的。在一個實施例中,所述TSM服務器包括與每個制造者進行通訊的插件模組。
在批量方式中,可以以在線模式執行,也可以以離線模式執行。在離線模式下,所述安全元件制造者通過加密媒介為支持的所有安全元件傳遞默認ISD信息。所述TSM或計算裝置的管理器可以被設置用來將所述物理媒介中的信息輸入一個計算裝置。隨后,解密并提取所述默認ISD信息,并存儲于一個數據庫中。在在線模式下,所述SE制造商通過網絡上傳其支持的安全元件的默認ISD信息。隨后,解密并提取所述默認ISD信息,并存儲于一個數據庫中。然后,所述TSM只需要在安全元件個人化過程中訪問在其自己的硬件安全模塊或數據庫。圖1C展示了在離線和在線模式時SE制造者、TSM管理器、TSM系統之間的關系。根據本發明的一個實施例,圖1D示出了 NFC裝置(比如NFC移動電話)的用戶、NFC裝置、TSM服務器、相應的SE制造者和SE發行者之間的數據流程圖。
一方面,可以認為圖1A中的安全元件102是智能卡中的預載操作系統,其提供PIN管理和用于卡個人化(card personalization)的安全通道(或稱安全域)的平臺。所述安全元件102結合智能卡發行者、供應商、產業組、公共實體和科技公司的興趣,為運行于智能卡上的多個應用定義需求和技術標準。作為一個例子,作為電子錢包安全的一個模塊104定義一組協議,該組協議使得小額支付交易能夠通過有線或無線環境執行。對于存儲于智能卡的電子錢包,在所述電子錢包被發行后將一組密鑰(對稱的或非對稱的)個人化入所述電子錢包。在交易過程中,為了使所述電子錢包與安全認證模組(SecurityAuthentication Module, SAM)或后端服務器之間的信息通道安全,所述電子錢包使用一組各自的密鑰進行加密和MAC計算。對于單功能卡片來說,所述電子錢包安全模塊104用來作為保護在單功能卡上執行的實際操作的門。在個人化期間,通過電子錢包交易密鑰將所述單功能卡片訪問密鑰(或他的轉換)個人化入所述電子錢包。
作為一個例子,假設安裝應用、電子錢包已經經由所述安全元件被配置。圖1E根據本發明的一個實施例,示出了基于平臺的SAM或網絡電子錢包服務器152,作為門衛的電子錢包154和單功能標簽156,這三個實體之間的個人化數據流程150。所述基于平臺的SAM或網絡電子錢包服務器152和電子錢包154之間的通信將按照一種類型的命令(比如APDU,應用協議數椐單元)進行,而電子錢包154和單功能標簽156之間的通訊將按照另一種類型的命令進行,其中所述電子錢包起到門衛的作用,以保證只有安全可靠且經過授權的數據交互才會被準許進行。
在一個實施例中,電子錢包的物理安全在一個模擬器中實現。這里使用的模擬器是指其他模塊期望與其交互的一個硬件裝置或一段程序,或自稱是另一個特別的裝置或程序。所述電子錢包安全是在用于提供電子錢包功能和與支付服務器通訊的一個或多個Java程序applet之間實現的。支持電子錢包的安全元件負責更新安全密鑰以在支付服務器和Java程序applet之間建立交互的合適通道,其中電子錢包程序作為門衛去調節或控制所述數據交換。
現在參考圖2A所示,其示出了一個移動生態系統200,其中參與入所述移動生態系統中的相關方依次列出。在一個實施例中,允許一個NFC裝置從相應指定服務器202 (比如應用管理提供者)中下載或安裝一個或多個應用,其中這些應用是由應用開發者204最初開發出來,并由服務提供者210、應用管理提供者202或其他相關方發布。假設有安全元件提供者208提供的安全元件206已經經由TSM或可信賴第三方(比如,金融機構212)個人化。
一旦在所述NFC裝置上安裝上一個應用,下一步將是通過所述安全元件配置所述應用。應用的配置過程可以以幾種方式開始。其中的一種方式是一個安全元件擁有者在移動裝置上從TSM入口中選擇一個應用,并開始配置過程。另一種方式是所述安全元件擁有者在移動裝置上接收來自代表應用提供者的TSM的應用配置通知。
所述TSM或應用提供者可以在TSM入口或門戶上發布他們的應用,以供下載到具有安全元件和/或簽訂用戶請求(比如SE擁有者)的移動裝置上。在一個實施例中,所述TSM為多個SE發行者提供云服務。這樣,來自各個服務提供者的許多應用可以從TSM入口處獲取。然而,當登入所述TSM入口時,安全元件擁有者只可以看那些經過他的安全元件提供者認證的應用。基于安全元件和服務提供者之間的協議,使用安全元件的ISD密鑰集或服務提供者的指定的SSD密鑰集可以實現應用的下載/安裝/個人化。如果在所述安全元件中并未安裝有SSD密鑰集,則可以在一個應用安裝的過程中安裝它。
所述TSM知曉安全元件針對各個SSD的存儲狀態。基于SSD的存儲分配策略和所述安全元件的存儲狀態,對于在應用商店中的針對各種SSD的可用應用可以標記為不同的指示,比如“可以安裝”或“安裝存儲不足”。這樣可以防止用戶不必要的失敗。一旦在一個NFC裝置上安裝一個應用,所述應用自己啟動配置過程,或TSM服務器通過蜂窩網絡或無線數據網絡給所述NFC裝置發送配置通知。根據所述NFC裝置的類型,有很多種發送消息(PUSH message,或稱為推廣消息)的方式以使得所述NFC裝置開始所述配置過程。發送方法的一個例子包括短信發送或安卓谷歌發送。一旦用戶收到所述通知,所述配置過程開始。在認為合適的時候,將詳細描述配置過程。作為所述應用配置的一個部分,TSM服務器執行一些保護性機制。一個是防止安全元件意外鎖定。另一個是如果在安全元件中沒有足夠存儲空間時阻止應用的下載。在一些實例中,在安全通道建立期間如果有太多的相互認證失敗,則安全元件可能永久性鎖定自己。為了防止所述安全元件意外鎖定,當在兩方(entities)之間建立安全通道時,所述TSM持續跟蹤安全元件和TSM之間的認證失敗的數目。在一個實施例中,如果達到預定極限,所述TSM將拒絕任何進一步的請求。如果在服務中心手動的重啟所述安全元件,所述TSM可以繼續處理SE請求。所述TSM也持續跟蹤每個安全元件的存儲使用。所述TSM基于由所述SE發行者分配給每個服務提供者的存儲分配決定一個應用是否可以安裝于一個安全元件上。根據一個實施例,有三種類型的策略:
預分配一個固定存儲空間,這是保證空間;
預分配一個最小存儲空間,這是保證最小空間(暗示所述容量在一些情況下可以被擴展);
籲最大努力(比如,合同規定,需要安全元件發行者使用他最大的努力執行他的責任,以使得用戶得到的利益最大化)。在一個實施例中,所述安全元件發行者使用所述TSM網頁入口完成這項工作。
1.對于一批安全元件,所述安全元件發行者可以為服務提供者預分配一個存儲策略以通過TSM網頁入口安裝它的應用;
2.當移動裝置請求安裝一個應用時,TSM服務器認證相應的服務提供者的空間是否符合它的存儲策略;如果不符合,則拒絕這個請求;否則,所述TSM服務器將處理所述配置請求;
3.如果配置成功,所述TSM將積累這個應用服務的存儲大小。當一個移動用戶訂閱一個移動應用(假如它已經安裝),在所述應用使用之前該應用需要經由移動裝置上的安全元件配置。在一個實施例中,所述配置過程包括四個主要階段;
如果需要,在所述安全元件上創建補充安全域(SSD);
在所述安全元件上下載并安裝一個應用;
在所述安全元件個人化所述應用;
下載Π (用戶界面)組件至移動裝置上。圖2B示出了根據本發明的一個實施例的配置一個或多個應用的流程或過程220。所述過程220可以實現為軟件或軟件和硬件的組合。在一個實施例中,所述應用配置過程220需要進入在移動裝置上的配置管理器(比如代理)以與其內的安全元件交互。如圖2B所示,在操作222處,所述應用配置過程220可以是自動或手動開始。比如,假設它還未被配置,用戶可以通過選擇一個已安裝應用去訂購相關服務以啟動所述配置過程,或在激活所述已安裝應用時啟動所述配置過程。在另一個實施例中,應用提供者發送一個信息(比如短信)至所述移動電話以開始所述配置過程。
在任何情況下,所述程序220進入操作224,從移動裝置的安全元件中提取所述裝置信息(比如,CPLC)后,與專用服務器(比如TSM服務器或由應用發行者運營的服務器)建立通信。在操作226處,所述裝置信息與識別應用的標識符一起被傳送至所述服務器。在操作228,所述服務器首先基于所述裝置信息識別所述安全元件的發行者,以在230操作中確定是所述安全元件是否已經被個人化。如果所述安全元件還未被個人化,所述過程220進入操作232,以個人化所述安全元件,所述操作232的一個實施例可以根據圖1B中的過程110來實現。
現假設移動裝置中的安全元件已經被個人化。所述過程220進入操作234,在這里使用派生ISD與所述安全元件建立安全通道。根據誰為ISD提供硬件安全模塊HSM(比如TSM或SE發行者),所述服務器將聯系所述硬件安全模塊去為所述安全元件計算派生ISD,并使用該派生ISD與所述安全元件建立安全通道。隨后,在操作中236,所述服務器檢查是否有與該應用相關的一個SSD。如果該應用沒有一個對應的SSD,所述服務器將檢查數據庫看它是否已經安裝于所述安全元件上。如果需要SSD安裝,所述流程220進入240去安裝所述SSD。在一個實施例中,提醒所述用戶所述SSD(密鑰)的安裝。在操作238,假設用戶拒絕安裝所述SSD,所述過程220停止并進入操作222,重新開始所述配置過程220。
現假設在操作240中執行安裝SSD過程。安裝所述SSD與安裝ISD類似。所述TSM服務器聯系其內有主SSD密鑰的硬件安全模塊HSM,為所述安全元件計算派生SSD密鑰集。所述主SSD密鑰可以在TSM、服務提供者、或安全元件發行者中,這主要取決于各方是如何協定的。
為了在安全元件中下載/安裝應用,在操作242,所述服務器用來使用派生SSD與所述安全元件建立安全通道。在一個實施例中,這類似于如何基于派生ISD建立安全通道。在操作244,準備所述應用的數據,它的細節將在下文詳細描述。根據一個實施例,所述服務器聯系所述服務提供者,以準備存儲數據應用協議數據單元APDUs。根據安裝于移動裝置中一個應用,所述服務器可以重復發布存儲數據以個人化所述應用。假如成功執行了所述配置程序,包括一個適當接口(比如,每個移動裝置的應用的用戶接口)的額外數據可以被下載。在操作246,所述服務器向一個應用提供者通知已經配置的應用的狀態。根據一個實施例和上文所述,圖2C示出了當配置一個應用時不同方之間交互的數據流程250。
如圖2B中的操作244,配置應用的一個重要應用在于為目標安全元件準備定制應用數據。比如,對于電子錢包應用,該應用的個人化數據包括基于安全元件的裝置信息(比如CPLC信息)產生的各種個人化交易密鑰。為了搬運電子錢包,個人化數據的部分包括源自Mifare卡片的標識符的Mifare訪問密鑰,所述服務器既可以個人化Java卡片應用,也可以個人化Mifare4M0bile服務目標。通常,至少有兩種不同的準備數據的方式,以方便隨后的交易。
為了數據準備,本發明的一個實施例支持與所述服務提供者交互的兩種模式以計算個人化應用數據。對于第一種模式,所述TSM服務器不直接訪問與服務提供者關聯的硬件安全模塊。所述服務提供者可以使與它的硬件安全模塊交互的服務器產生應用密鑰(比如,傳輸、電子錢包或Mifare密鑰)。所述TSM數據準備實現是使用應用程序接口(API)或服務器提供的協議去請求派生應用密鑰(derived application key)。第二種模式是數據準備實現可以直接訪問與服務提供者相關的硬件安全模塊以產生應用密鑰。根據一個實施例,圖2D示出了在配置一個應用過程中準備應用數據時不同方交互的數據流程255。圖2D為第一模式,其中所述TSM服務器不直接訪問與服務提供者關聯的硬件安全模塊。除了所述應用數據準備實現將直接與服務提供者的硬件安全模塊交互夕卜,第二種模式具有相似的流程。除了支持配置過程,本發明的一個實施例還支持安全元件的壽命周期管理。所述壽命周期管理包括但不限于,安全元件鎖定、安全元件解鎖和應用刪除(非使能)。可以通過TSM通知來開始這些活動。在移動裝置的實際使用中,圖2E示出了鎖定已安裝應用的流程或過程260。一個NFC裝置可能已經安裝了一定數量的運行于安全元件上的應用。因為一些原因(比如,長時間沒有活動或期滿),一個應用需要由其發行者或提供者非使能或鎖定。圖2E示出了非使能一個已安裝應用的過程260。非使能一個已安裝應用的過程260開始于操作262。在一個實施例中,所述過程260由操作者通過TSM網頁入口手動啟動。在另一個實施例中,所述過程260由服務提供者內部工作流程(比如使用TSM網頁服務API)自動啟動。一旦所述過程260啟動,發送一條信息至一個NFC裝置(比如移動裝置內),其內的一個應用需要被非使能。在實現時,這樣的消息可以有不同格式。在一個實施例中,所述消息是一個PUSH命令。在另一個實施例中,所述消息是一個通過網絡傳遞至所述NFC裝置內的TCP/IP請求。在操作264中,服務器(比如TSM服務器)發送所述消息。在實現時,這樣的一個消息包括標識將被鎖定或非使能的應用的標識符。在接收到這樣的消息時,在操作266,所述NFC裝置上的卡管理器代理(card manager proxy)用來通過回復一條信息來認證這樣的信息是否確實來自它的原始發行者或提供者。在一個實施例中,將所述消息發送至TSM服務器進行認證。如果認證失敗,即對這樣的查詢沒有回應,所述過程260將結束。假設所述認證通過,即來自所述裝置的針對所述應用的提供者的查詢收到了回復確認,所述原始請求被證明是真實的。通常,在操作268,這樣的回復確認包括將要鎖定的應用的標識符。所述TSM服務器用來建立一個與安全元件的安全通道。隨后,所述TSM服務器通過所述卡管理器代理為所述安全元件準備適當的APDUs(比如SET STATUS(設置狀態),或/和DELETE (刪除))。在操作270,所述裝置向所述安全元件發出操作請求,以鎖定特定應用。不管怎樣,響應所述命令,在步驟272,所述安全元件SE鎖定或非使能所述應用。根據一個實施例,所述SE被致使與應用分離,這樣使得該已安裝的應用不再能使用所述安全元件。在操作274,所述安全元件用來發出確認以通知相關方,這個應用不再運行于所述裝置中了。在一個實施例中,所述確認發送至TMS服務器,所述TMS服務器中有一個記錄哪些應用安裝于哪些裝置中以及每個應用的相應狀態的數據庫。所述數據庫根據來自所述安全元件的確認(acknowledgement)進行更新。圖2E示出了非使能或鎖定已安裝應用的流程或過程。對于本領域內的普通技術人員來說,其它操作,比如解鎖或使能一個已安裝應用,延長一個已安裝應用的期限,是與圖2E示出的過程相似的。
參照圖2F,圖2F根椐本發明的一個具體實施例,展示了便攜設備作為電子錢包執行電子商務和移動商務時的架構示意圖280。所述圖280包括內嵌了智能卡模塊的便攜式電話282。此類便攜式電話的一個實例是支持近距離通信(NFC,Near FieldCommunication),并且包含SmartMX(SMX)模塊的便攜式電話。需要注意的是安全元件和應用可以是集成的。除非特別說明,接下來的描述將不會指出哪個部分來執行安全元件的功能,哪個部分來作為應用。本領域內的普通技術人員應該可以理解的是根據下文給定的詳細描述合適的部分或功能將被執行。
所述SMX模塊預先裝載有Mifare模擬器288 (即單功能卡),以用來存儲數值(values)。所述便攜式電話裝有非接觸界面(例如IS014443RFID),以允許所述便攜式電話起到標簽的作用。此外,所述SMX模塊是能夠運行Java applet程序的Java卡片(JavaCard)。所述電子錢應用包被設置為能夠通過密碼訪問所述Mifare模擬器的數據結構,所述密碼由所述訪問密鑰在所述安全元件被個人化時經過適當的轉換后得到。
所述便攜式電話282中提供了電子錢包管理器MIDIet程序284。為了實現移動商務,所述MIDIet程序284充當了電子錢包applet程序286及一個或多個支付網絡和服務器290之間的通信代理,以使各方之間的交易順利進行。此處所說的MIDIet程序是適合在便攜設備上運行的軟件組件。所述電子錢包管理器MIDIet程序284可以被實現為Java便攜式電話上的“MIDIet程序”,或個人數字助理(PDA)設備上的“可執行應用程序”。所述電子錢包管理器MIDIet程序284的功能之一是接入無線網絡,并與運行在相同的設備或外部智能卡上的電子錢包applet程序進行通信。此外,MIDIet程序284還被設置為可以提供管理功能,例如更改個人識別號碼(PIN)、查看電子錢包余額和交易歷史日志。在一例應用中卡片發行商提供了用于支持和認證在卡片和對應服務器(亦即支付服務器)之間進行的任意交易的安全識別模塊(SAM) 292。如圖2F所示,應用協議數椐模塊(APDU)命令由能夠訪問安全識別模塊(SAM) 292的服務器290所創建,其中所述APDU模塊是讀取器和卡片之間的通信模塊。所述APDU模塊的構造根據IS07816標準制定。通常,APDU命令被嵌入網絡消息中并被傳送至所述服務器290或所述電子錢包applet程序286以接受處理。
為了進行電子商務,在計算機(未示出)上運行的web代理294負責與一個非接觸讀取器(例如一個IS014443RFID讀取器)以及所述網絡服務器290交互。在實際操作中,所述代理294通過所述非接觸讀取器296向在便攜式電話282上運行的所述電子錢包applet程序286發送APDU命令,或通過相同途徑從所述電子錢包applet程序286處接收相應回復。另一方面,所述代理294可生成網絡請求(例如HTTP)并從所述支付服務器290處接收相應回復。
當個人化便攜式電話282時,圖3A中的結構圖300展示了相關模塊互相作用,以完成電子錢包由授權人進行個人化的過程。圖3B中的結構圖320展示了相關模塊互相作用,以完成如圖2F所示的電子錢包由其用戶進行個人化的過程。
圖3C中的流程或過程圖350展示了根據本發明的一個具體實施例,個人化電子錢包applet程序的過程。圖3C建議與圖3A和圖3B結合起來一同理解。過程圖350可以通過軟件、硬件或軟硬件結合的方式實現。
如前所述,電子錢包管理器建立于已經個人化的安全元件之上,以提供個人化電子錢包applet程序時所需的安全機制。在實際操作中,安全域被用來建立連接個人化應用服務器與所述電子錢包applet程序的安全通道。根據一個具體實施例,經過個人化并被存入所述電子錢包applet程序的關鍵數據包括一個或多個操作密鑰(例如載入或充值密鑰和購買密鑰),預設的個人識別號碼,管理密鑰(例如阻塞解除PIN密鑰和重新載入PIN密鑰),以及密碼〔例如來自Mifare的密碼〕。假定用戶想要個人化內嵌在便攜設備(例如一臺便攜式電話)中的電子錢包applet程序。在圖3C的步驟352中,個人化過程被啟動。根據具體實現的不同,個人化過程可能在便攜設備內的模塊中實現,并由手動或自動方式激活,也可能實現為由授權人(通常是與卡片發行商有聯系的人員)啟動的一個物理過程。如圖3A所示,授權人啟動個人化過程304,以個人化用戶的電子錢包applet程序,所述個人化過程304在現有的(existing)新電子錢包安全識別模塊306和現有的安全識別模塊308上,通過作為界面的非接觸讀取器310來進行。卡片管理器311執行至少兩項功能:(I)通過安全域建立安全通道,以在卡片個人化過程中,安裝和個人化外部應用程序〔例如電子錢包applet程序〕;以及〔2〕創建安全措施(例如個人識別號碼),以在后續的操作中保護所述應用程序。作為所述個人化過程使用個人化應用服務器304的結果,所述電子錢包applet程序312和模擬器314被個人化。相似地,如圖3B所示,電子錢包用戶希望啟動個人化過程,以通過無線方式(例如通過圖2中的移動商務路徑)個人化電子錢包applet程序。與圖3A不同,圖3B允許所述個人化過程由手動或自動方式激活。例如,便攜式電話上裝有一個裝置,如果該裝置被按下,則激活所述個人化過程。在另一種方案中,“未個人化”的狀態提示可被提交給用戶以啟動所述個人化過程。如前所述,便攜設備中的MIDlet程序322〔即一個服務管理器〕充當代理以協助支付服務器324與電子錢包applet程序312以及模擬器314之間的通信,其中支付服務器324擁有訪問現有的新電子錢包安全識別模塊306和現有的安全識別模塊308的權限。經過所述個人化過程,電子錢包applet程序312和模擬器314被個人化。現在轉回參見圖3C,在圖3A中所示的個人化過程被啟動以后,非接觸讀取器310被激活并在步驟354中從設備內的智能卡中讀取標簽標識符(ID)(即RFID標簽ID)和關鍵數據。通過應用安全域(例如卡片發行商的默認安全設置),在步驟356中建立連接新電子錢包安全識別模塊(例如圖3A中的安全識別模塊306)與便攜設備中電子錢包applet程序(例如圖3A中的電子錢包applet程序312)的安全通道。全球平臺的每個應用安全域都包括三個DES密鑰。例如:
密鑰 1:255/l/DES-ECB/404142434445464748494a4b4c4d4e4f密鑰 2:255/2/DES-ECB/404142434445464748494a4b4c4d4e4f密鑰 3:255/3/DES-ECB/40414243444546`4748494a4b4c4d4e4f
安全域被用來為兩個實體之間的安全會話生成會話密鑰,所述兩個實體可以是卡片管理器applet程序和主應用程序(host application),其中所述主應用程序可能是桌面機中的個人化應用程序,也可能是由后端服務器提供的網絡化的個人化服務。默認的應用域可由卡片發行商安裝,并分配給不同的應用/服務提供商。各應用程序所有者可在個人化過程之前(或在所述過程的最初階段)變更各自密鑰組的數值。之后應用程序可以使用所述的新密鑰組來創建用于執行個人化過程的安全通道。
通過由應用提供商的應用安全域建立的所述安全通道,第一組數據可被個人化并存入電子錢包applet程序。第二組數椐同樣可以通過同一條通道進行個人化。但是,如果所述數據保存在不同的安全識別模塊中,則一條使用相同密鑰組(或不同密鑰組)的新的安全通道可被用于個人化所述第二組數據。
在步驟358中,通過新電子錢包安全識別模塊306生成一組電子錢包操作密鑰和個人識別號碼,以用于新電子錢包安全識別模塊與電子錢包applet程序之間的數據交換,并在實質上個人化所述電子錢包applet程序。
在步驟360中第二條安全通道在現有安全識別模塊(例如圖3A中的安全識別模塊308)與便攜設備中的電子錢包applet程序(例如圖3A中的電子錢包applet程序312〕之間被建立。步驟362中使用所述現有安全識別模塊和標簽ID生成一組轉換后的密鑰。所述轉換后的密鑰保存在所述模擬器中以用于之后的數據訪問認證。步驟358中使用所述現有安全識別模塊和標簽ID生成一組MF密碼,并將所述密碼存入電子錢包applet程序以用于之后的數據訪問認證。上述操作全部完成后,所述電子錢包,包括所述電子錢包applet程序和對應的模擬器,將被設置為“已個人化”狀態。
基于本發明的一個具體實施例,圖4A和圖4B —起展示了為電子錢包籌資或注資的流程或過程圖400。過程400通過圖2中的移動商務路徑實施。為了更好地理解過程400,圖4C展示了一幅具有代表性的方塊圖,圖中相關方塊相互作用以完成所述的過程400。根據本發明實際應用的不同情況,所述過程400可能通過軟件、硬件、或軟硬件結合的方式實現。
假設用戶得到了一臺安裝了電子錢包的便攜設備(例如一臺便攜式電話〕。所述用戶希望從銀行的賬戶中向所述電子錢包注入資金。在步驟402,所述用戶輸入一組個人識別號碼(PIN)。假定所述個人識別號碼有效,便攜設備中的電子錢包管理器被激活,并在步驟404中發起請求(也被稱為空中(0TA,0ver-the-Air)充值請求)。在步驟406中便攜設備內的MIDIet程序向電子錢包applet程序發送請求,圖4C中描繪了所述步驟406中電子錢包管理器MIDIet程序434與電子錢包applet程序436之間通信的過程。
在步驟408中,電子錢包applet程序生成用于回應所述MIDlet程序請求的回復。收到所述回復后,所述MIDIet程序將所述回復通過蜂窩通信網絡發送至支付網絡和服務器。如圖4C所示,電子錢包管理器MIDIet程序434與電子錢包applet程序436通信以獲取回復,所述回復隨即被發送至支付網絡和服務器440。在步驟410,過程400需要核實所述回復的有效性。如果所述回復無法被核實,過程400將終止。如果所述回復被核實為有效,則過程400進入步驟412并查對銀行中相對應的賬戶。如果所述賬戶的確存在,資金過戶請求將被啟動。在步驟414中,所述銀行收到所述請求后會返回回復以回應所述請求。通常,所述支付網絡和服務器與所述銀行之間的信息交換需遵守網絡協議〔例如國際互聯網使用的HTTP協議〕。
在步驟416中,所述銀行返回的回復被傳送至支付網絡和服務器。在步驟418中,MIDIet程序從所述回復中提取出處APDU命令并將所述命令轉發給電子錢包applet程序。在步驟420中所述電子錢包applet程序核實所述命令,如果所述命令被核實為已被授權,則將該命令發送至步驟420中的模擬器,同時更新交易日志。步驟422中生成標簽(ticket)以用來制定向所述支付服務器發送的回復(例如APDU格式的回復)。在步驟424中,所述支付服務器收到回復后更新并向所述MIDIet程序發送成功狀態信息,同時保存所述APDU回復以便以后查對。如圖4C所示,支付網絡和服務器440收到電子錢包管理器MIDIet程序434發出的回復,并與安全識別模塊444核實所述回復最初是由經過授權的電子錢包applet程序436所發出。所述回復被核實之后,支付網絡和服務器440向提供資金的銀行442發出請求,假定用戶432在所述銀行中有帳戶。所述銀行會核實并授權所述請求,然后按照預定的消息格式返回授權號碼。從銀行442接收到所述回復之后,支付服務器440會向MIDIet程序434發送一個網絡回復以拒絕或批準所述請求。電子錢包管理器434核實所述網絡回復的有效性(例如是否是APDU格式),然后向模擬器438發送命令并更新交易日志。至此,電子錢包applet程序436完成了所需的步驟并向而MIDlet程序434返回一個回復,所述MIDlet程序434再向支付服務器440轉發一條內嵌(APDU)回復的網絡請求。盡管過程400被描述為向電子錢包中注入資金,本領域中的其他技術人員能夠容易地得出使用電子錢包通過網絡進行購買的過程與過程400本質上是一樣的結論,因此所述進行購買的過程不再在此單獨討論。根據本發明的一個具體實施例,圖5A中展示了使便攜設備530能夠在蜂窩通信網絡520 (例如一個GPRS網絡)上進行電子商務和移動商務的第一個不例架構500。所述便攜設備530由基帶524和安全元件529 (例如智能卡)組成。所述便攜設備的一個實例是支持近距離通信或近場通信(NFC, Near Field Communication)的便攜設備(例如便攜式電話或個人數字助理(PDA))。所述基帶524提供了一個電子平臺或環境(例如微型版Java(JME, Java Micro Edition),或移動信息設備框架(MIDP, Mobile Information DeviceProfile)),在其上可執行或運行應用MIDIet程序523和服務器管理器522。所述安全元件529包含有全球平臺(GP)卡片管理器526,模擬器528以及其他組件比如個人識別號碼管理器〔未示出〕。為支持所述便攜設備530執行電子商務和移動商務,需要在其上預先安裝和設置一個或多個服務/應用。服務管理器522的一個實例(例如一個有圖形用戶界面的MIDlet程序)需要被激活。在一個具體實施例中,服務管理器522可以被下載并安裝。在另一個具體實施例中,服務管理器522可以被預先載入。無論采用何種方式,一旦服務管理器522被激活,包含各種服務的目錄列表將被顯示。所述目錄列表可能包含與用戶的簽約信息有關的服務項目,也可能包括獨立于用戶簽約信息的推薦項目。所述目錄列表可從目錄服務器512上的目錄庫502中得到。目錄服務器512為各種可能向注冊者提供產品和/或服務的服務提供者(例如安裝服務器,個人化服務器)起到了交流中心(central hub)的作用(如黃頁功能)。所述目錄服務器512的黃頁功能可以包括服務規劃信息(例如服務收費,開始日期,結束日期等〕、安裝、個人化和/或MIDIet程序下載地點(如國際互聯網地址)。所述安裝和個人化過程可能是由兩個不同的商業實體所提供,比如所述安裝過程可能由安全元件529的發行商所提供,而所述個人化過程可能由持有特定應用程序的應用處理密鑰的服務提供商所提供。根據一個具體實施例,服務管理器522被配置為通過蜂窩通信網絡520連接服務提供商的一個或多個服務器514。假定用戶已經從呈現給他的服務目錄中選擇了一個應用。在所述一臺或多臺服務器514與全球平臺管理器526之間將建立一條安全通道518,以安裝/下載所述用戶選擇的應用applet程序527,然后再個人化此應用applet程序527及可選的模擬器528,并最終下載應用MIDIet程序523。Applet程序庫504和MIDlet程序庫506分別提供一般的應用applet程序和應用MIDIet程序。全球平臺安全識別模塊516和應用程序安全識別模塊517被用來建立安全通道518以進行個人化操作。
根據本發明的另一個具體實施例,圖5B展示了使便攜設備530能夠在公共網絡521上執行電子商務和移動商務的第二個示例架構540。所述第二個架構540中的大多數組件本質上與圖5A第一個架構500中的組件相類似。不同之處在于第一個架構500是基于蜂窩通信網絡520上的操作,而第二個架構540則使用了公共網絡521〔例如國際互聯網)。所述公共網絡521可能包括局域網(LAN, Local Area Network)、一個廣域網(WAN,Wide Area Network),WiFi (IEEE802.11)無線連接、一個 W1-Max (IEEE802.16)無線連接等。為了在所述公共網絡521上進行服務操作,服務管理器532的一個實例(即與服務管理器MIDIet程序522功能相同或相似的實例)將被安裝在接入公共網絡521的計算機538上。所述計算機538可以是桌面個人電腦(PC)、筆記本電腦、或其他能運行服務管理器532的所述實例,并接入公 共網絡521的計算設備。所述計算機538和便攜設備530之間的連接通過一個非接觸讀取器534來進行。服務管理器532充當了代理的角色,以協助服務提供商的一個或多個服務器514與全球平臺卡片管理器526之間,通過安全通道519進行的安裝和個人化過程。0121圖5C是一張流程圖,根據本發明的一個具體實施例,描繪了使便攜設備能夠進行電子商務和移動商務功能的過程550。所述過程550根據具體實現的不同,可以通過軟件、硬件、或軟硬件結合的方式實現。為了更好地理解所述過程550,以下的描述中將引用若干較早的圖示,尤其是圖5A和圖5B。
在過程550開始之前,服務管理器522或532的一個實例已被下載或預裝在便攜設備530或計算機538上。在步驟552,服務管理器被激活并向服務提供商處的服務器514發送服務請求。在用戶被識別以及便攜設備被核實為有效之后,在步驟554中,所述過程550依據便攜設備530的用戶的簽約(subscription)信息提供服務/應用程序的目錄列表。例如,所述列表可能包含移動銷售點應用程序、電子錢包應用程序、電子票務應用程序、以及其他商業化的服務。然后一個服務/應用程序被從所述目錄列表中選中。例如,電子錢包或移動銷售點可被選中用來配置便攜設備530。作為對用戶選擇的回應,過程550在步驟556下載并安裝所述被選中的服務/應用程序。例如,電子錢包applet應用程序(即應用applet程序527)從applet程序庫504中下載并安裝在安全元件529中。所述下載或安裝的路徑可以是安全通道518或519。在步驟558中,如果需要,過程550將個人化所述已被下載的應用applet程序和所述模擬器528。一些被下載的應用applet程序不需要被個人化,另外一些則需要個人化。在一個具體實施例中,移動銷售點應用applet程序(“銷售點安全識別模塊(POSSAM) ”)需要被個人化,則以下信息或數據組是必須提供的: (a)唯一基于底層安全元件獨特標識符的安全識別模塊ID; (b)一組借記主密鑰(debit master key); (c)一個轉換后的消息加密密鑰; (d)一個轉換后的消息識別密鑰; (e)每筆線下交易的備注部分可以被允許的最大長度; (f)一個轉換后的批量交易密鑰;以及
(g)一個全球平臺個人識別號碼(GP PIN)。在另一個具體實施例中,為單功能卡片個人化電子錢包applet程序時,不僅需要將特定數據(即個人識別號碼、轉換后的密鑰、開始日期、結束日期等)配置在電子錢包中,而且還要將模擬器設置為可以在開放的系統中工作。最后,在步驟560中,過程550下載并根據選擇啟動應用MIDlet程序523。所述應用applet程序中的某些個人化數據可被訪問和顯示,或由用戶提供。所述過程550在所有服務/應用組件均被下載、安裝和個人化后結束。根據一個具體實施例,使便攜設備530能夠作為一個移動銷售點來使用的一個代表性過程如下:
(a)接入安裝服務器(即服務提供商的一臺服務器514),并請求所述服務器建立第一條安全通道(例如安全通道518),以連接一個發行商域〔即applet程序庫504〕與運行于安全元件529上的全球平臺卡片管理器526 ;
(b)接收一條或多條網絡消息,所述消息中包含封裝銷售點安全識別模塊applet程序(例如來自applet程序庫504的一個Java Cap文件)的若干APDU請求;
(c)從接收到的所述網絡消息中提取所述APDU請求;
(d)向全球平臺卡片管理器526按照正確的順序發送提取出的APDU請求,以在安全元件529上安裝銷售點安全識別模塊(即應用applet程序527);
(e)接入一個個人化服務器〔即一臺服務提供商的服務器514〕,以開通第二條連接個人化服務器與新下載的applet程序(即銷售點安全識別模塊)之間的安全通道(根據服務器和/或路徑的不同,所述安全通道可能是也可能不是安全通道518)。
(f)接收一條或多條網絡消息以獲得一個或多個單獨的“數據存儲APDU(STOREDATAAPTU) ”;
(g)提取并發送所述“數據存儲APDU(STORE DATAAPTU) ”,以個人化銷售點安全識別模塊;以及
(h)下載并啟動銷售點管理器(即應用MIDIet過程序523)。圖6A展示了一個代表性的架構600,根椐本發明的一個具體實施例,其中便攜設備630作為移動銷售點,以執行電子商務和移動商務。所述便攜設備630由基帶624和安全元件629組成。銷售點管理器623被下載并安裝在所述基帶624中,銷售點安全識別模塊628則被個人化并安裝在安全元件629中,以使便攜設備630能夠充當移動銷售點的角色。這樣實時的交易639可以在支持移動銷售點的便攜設備630與支持電子代幣的裝置636(例如單功能卡片或支持電子錢包的移動設備)之間進行。所述電子代幣可能代表設備中的電子貨幣(e-money)、電子購物券(e-coupon)、電子票(e-ticket)、電子憑單(e-voucher)或任何其他形式的支付代幣。實時交易639可以在線下進行(即不將便攜設備接入后端銷售點交易處理服務器613)。但是,在特定的實際情況中,例如交易量超過了預定的門限時,或支持電子代幣的設備636需要充值或虛擬充值時,或(單一或批量)交易上傳時,所述便攜設備630可以通過蜂窩網絡520接入所述后端銷售點交易處理服務器613。累積的線下交易記錄需要被上傳至后端銷售點交易處理服務器613進行處理。所述上傳操作由通過安全通道618接入銷售點交易處理服務器613的便攜設備630執行。與所述安裝和個人化過程相似,上傳操作可以經由兩條不同的路線執行:蜂窩通信網絡520 ;或公共網絡521。圖6A描繪了所述第一條路線。
所述第二條路線如圖6B所示,根椐本發明的一個具體實施例,圖6B展示了 一個代表性的架構640,其中便攜設備630作為移動銷售點并在公共網絡521上執行交易批量上傳的操作。所述移動銷售點中的線下交易記錄一般被堆積保存在銷售點安全識別模塊628中的交易日志中。所述交易日志由非接觸讀取器634所讀取并存入安裝在計算機638中的銷售點代理633。所述銷售點代理633再在公共網絡521上通過安全通道619接入銷售點交易處理服務器613。每個包含一條或多條交易記錄的上傳操作都標記為一個單獨的批量上傳操作。銷售點安全識別模塊628、非接觸讀取器634以及銷售點代理632三者之間的數據通信釆用格式并包含所述交易記錄。封裝APDU (例如HTTP)的網絡消息則被用于銷售點代理632和銷售點交易處理服務器613之間的通信。
在一個具體實施例中,一個來自銷售點管理器623或銷售點代理633的具有代表性的批量上傳過程包括: (a)向銷售點安全識別模塊628發送請求以發起批量上傳操作; (b)在所述銷售點安全識別模塊628同意所述批量上傳請求后,從所述銷售點安全識別模塊628中被標記的“一批”或“一組”中以APDU命令的形式取回累積的交易記錄; (c)創建一條或多條包含所述取回的APDU命令的網絡消息; (d)通過安全通道619將所述一條或多條網絡消息發送至銷售點交易處理服務器613 ; (e)從所述銷售點交易處理服務器613中接收確認簽名消息; (f)將所述確認簽名消息以APDU的形式轉送至所述銷售點安全識別模塊628以進行核實,然后刪除經確認已被上傳的交易記錄;以及 (g)如果所述同一“批”或“組”中仍然有其他未被上傳的交易記錄,則重復步驟(b)至步驟⑴。
圖6C展示了一幅流程圖,根據本發明的一個具體實施例,描繪了使用充當移動銷售點的便攜設備630與作為單功能卡片使用并支持電子代幣的裝置636進行移動商務的過程650。為了更便于理解,最好將過程650與之前的圖示,尤其是圖6A和圖6B關聯起來一同考察。所述過程650可以用軟件、硬件、或軟硬結合的方式實現。
當支持電子代幣裝置(例如Mifare卡片或支持電子錢包并模擬單功能卡片的便攜式電話)的持有者,希望通過移動銷售點(即便攜設備630)購買物品或訂購服務時,過程650(例如圖6A中的銷售點管理器623所執行的過程〉便會被啟動。在步驟652,便攜設備630讀取所述支持電子代幣的裝置并取回電子代幣(例如Mifare卡片的標簽ID)。然后,過程650在步驟654中核實所述取回的電子代幣是否有效。如果圖6A中支持電子代幣的裝置636是單功能卡片(例如Mifare),則由銷售點管理器623執行的所述核實過程包括:(i)讀取所述卡片的卡片標識(ID),所述卡片標識保存在不受保護或僅受公知密鑰保護的區域上;(ii)向銷售點安全識別模塊628發送包含所述卡片標識的請求;(iii)接收一個或多個由銷售點安全識別模塊628生成的轉換后密鑰〔例如用于交易計數、發行商數據等的密鑰〕。如果所述接收到的一個或多個轉換后密鑰為無效,即所述取回的電子代幣為無效,則結束過程650。否則過程650將沿著“是”分支推進至步驟656,在步驟656中將判定在所述取回的電子代幣中是否有足夠的余額以支付當前交易所需的費用。如果步驟656判定的結果為“否”,過程650可以選擇提議所述持有者在步驟657中為其電子代幣充值(即載入、注入或籌集資金)。如果所述持有者選擇“否定”所述提議,則過程650結束。否則如果所述持有者同意為所述支持電子代幣的裝置進行實時充值,則過程650在步驟658中執行充值或虛擬充值操作。之后過程650返回步驟656。如果在電子代幣中有足夠的幣余額,過程650在步驟660中從支持電子代幣裝置636的電子代幣中扣除或借記完成所述購買需要支付的數額。在所述單功能卡片的情況中,所述一個或多個轉換后密鑰被用來授權所述扣除操作。最后在步驟662,銷售點安全識別模塊628中積累的一個或多個線下交易記錄被上傳至銷售點交易處理服務器613進行處理。所述上傳操作可通過蜂窩通信網絡520或公共域網絡521對單個交易或批量交易進行。圖4A中的過程400描述了前述的充值操作。虛擬充值操作是所述充值操作的特殊類型,通常被贊助人或捐助者用來提高電子代幣的信用額度。為了能夠使用虛擬充值操作,所述贊助人需要設立一個賬戶,并將所述賬戶與支持電子代幣的裝置(例如單功能卡片、多功能卡片、支持電子代幣的便攜式電話等等)綁定。例如,由商業實體(例如企業、銀行等等)提供的線上賬戶。一旦所述贊助人向所述線上賬戶中充入了電子代幣,支持電子代幣裝置的持有者便能在接入移動銷售點時從所述線上賬戶中收到電子代幣。多種不同的安全措施將被貫徹執行以確保所述虛擬充值操作是安全而且可靠的。所述虛擬充值的一個具有代表性的應用情景是父(母)親(即贊助人)可以向一個線上賬戶中充入電子代幣,所述線上賬戶與一位兒童(即設備持有人)的便攜式電話(即支持電子代幣的裝置)相連接,因此當所述兒童在移動銷售點購買物品時,所述兒童就能收到所述被充入的電子代幣。除了此處描述的各種電子商務和移動商務功能以外,銷售點管理器623還被設置為可提供多種查詢操作,例如,(a)檢查銷售點安全識別模塊中累積的未形成批量(即未被上傳)的收支記錄,(b)列出銷售點安全識別模塊中的未形成批量的交易日志,(C)顯示保存在銷售點安全識別模塊中的特定交易的細節,⑷檢查支持電子代幣的裝置的當前余額,(e)列出支持電子代幣的裝置的交易日志,以及(f)顯示支持電子代幣的裝置的特定交易的細節。圖6D中的流程圖,根據本發明的一個具體實施例,描繪了使用可充當移動銷售點的便攜設備630與作為多功能卡片使用并支持電子代幣的裝置636,進行移動商務的具有代表性的過程670。為了更便于理解,最好將過程670與之前的圖示,尤其是圖6A和圖6B聯系起來一同考察。所述過程670可以用軟件、硬件、或軟硬結合的方式實現。當支持電子代幣裝置636 (例如多功能卡片或支持電子錢包并模擬多功能卡片的便攜式電話)的持有者希望通過移動銷售點(即便攜設備630)購買物品或訂購服務時,過程670 (例如圖6A中銷售點管理器623所執行的過程)便會被啟動。在步驟672,過程670向支持電子代幣的裝置636發送初始購買請求。購買費用與所述初始購買請求(例如命令)一同發送。然后過程670進行至判定步驟674。當支持電子代幣的裝置636中沒有足夠的余額時,銷售點管理器623將收到拒絕所述初始購買請求的回應消息。結果是過程670由于所述購買請求被拒絕而結束。如果支持電子代節的裝置636中有足夠的余額,判定步驟674的結果為“是”,過程670將沿著“是”分支進行至步驟676。從支持電子代幣的裝置636那里收到的回復(例如APDU命令)將被轉發至銷售點安全識別模塊628。所述回復中的信息包括電子代幣密鑰的版本,以及將被用于建立安全通道的隨機數,所述安全通道將連接支持電子代幣的裝置636上的applet程序(例如電子錢包applet)與便攜設備630上安裝的銷售點安全識別模塊628。然后,在步驟678,過程670收到由銷售點安全識別模塊628為了回應所述轉發回復(即步驟676中的回復)而生成的借記請求(例如APDU命令)。所述借記請求包含消息識別代碼(MAC,Message Authentication Code)以便applet程序〔即電子錢包applet程序〕核實即將進行的借記操作,其中所述即將進行的借記操作是為了回應步驟680中發送的借記請求而進行的。過程670推進到步驟682,收到所述借記操作的確認消息。所述確認消息中包含被銷售點安全識別模塊628和銷售點交易處理服務器613分別用來核實和處理的附加消息識別代碼。接下來在步驟684,所述借記確認消息被轉發至銷售點安全識別模塊628以進行核實。一旦所述消息識別代碼被核實為有效,并且購買交易被記錄在銷售點安全識別模塊628中,所述被記錄的交易在步驟686中被顯示,然后過程670結束。需要注意的是前述電子商務交易可在線下或線上通過銷售點交易處理服務器613進行。并且當支持電子代幣的裝置中的余額不足時,可以按照圖4A和圖4B中描繪的過程400執行充值或注資操作。
圖7展示了便攜設備被用于電子票務應用時的具有代表性的設置。便攜設備730被配置為包括電子錢包724。當所述便攜設備730的擁有者或持有人希望購買參加一個特定活動的票據(例如音樂會票、球賽門票等)時,所述擁有者可使用電子錢包724通過一個電子票服務提供商720購票。所述電子票服務提供商720可聯系傳統的票房預定系統716或線上票務應用程序710來預定和購買所述票據。之后電子代幣(例如電子貨幣)被從便攜設備730的電子錢包724中扣除,以向信用/借記系統714 (例如金融機構,銀行)支付票據購買費用。安全識別模塊718被接入所述電子票務服務提供商720,以確保便攜設備730中的電子錢包724被正確識別。在收到付款確認后,電子票通過空中連接(例如蜂窩通信網絡)被傳送至便攜設備730,并以電子化的方式被存儲在安全元件726上,例如以電子票代碼、密鑰或密碼的方式。之后,當所述便攜設備730的擁有者,即所述電子票的持有者出席所述特定活動時,所述電子票持有者只需要讓入口登記讀取器734讀取便攜設備730中保存的電子票代碼或密鑰。在一個具體實施例中,所述入口登記讀取器734是一個非接觸讀取器(例如遵守IS014443的超短距離耦合裝置)。所述便攜設備730是支持近距離通信(NFC)的移動電話。
現在參考圖8A所示,其示出了在一個實施例中的由一個業務運行或安排的TSM所涉及的多方(multiple parties)的示意圖。TSM運營團隊802包括負責為用戶管理賬戶的管理者(administration,簡稱admin,或稱之為管理器或管理),這些用戶已經通過TSM或其他任務個人化了他們的安全元件。在一個實施例中,所述TSM運營團隊802包括管理所述賬戶的一些人,管理系統資源(比如管理HSM,創建HSM索引(index)和GP密鑰映射)的一些人。此外,所述團隊還負責從一個或多個SE制造者離線輸入默認ISD信息。所述團隊還包括被稱為鑒定工程師(certification engineer)的一些人,它們負責根據應用批準流程(application approval process)與服務提供者和SE發行者合作。所述TSM銷售團隊804,其也被稱為業務賬戶管理者,其負責銷售和TSM的供應商(vendor)的賬戶管理。所述團隊804中的一些成員可以只為所述SE制造者工作,一些成員可以只為所述SE發行者工作,其他人可以為多個類型的供應商工作。所述TSM合作服務團隊806,也可以被稱為支持工程師,其負責為TSM的供應商(比如SE發行者和服務提供者)提供技術支持。所述TSM合作服務團隊806,不直接與移動用戶聯系,但是卻可以幫助合作伙伴分析審計日志(auditlogs)。所述供應商808包括SE發行者、SE制造者和服務提供者中的一個或多個。SE發行者負責安全元件的發行,并擁有所述安全元件的ISD。SE發行者與所述TSM團隊一起工作,如果需要其可以為服務提供者安裝額外的SSD。SE制造者,顧名思義,用來負責制造所述安全元件,并在安全元件內安裝默認ISD。它也可以與TSM團隊一起工作,提供這些默認的ISD密鑰集。所述服務提供者負責開發NFC移動應用。來自所述服務提供者的應用示例包括但不限于交通錢包、銀行電子錢包和信用卡。小服務提供者可以是提供用作房間密鑰的應用的那些人。圖SB示出了在一個實施例中的TSM涉及的各方之間的相關關操作過程。所述操作的描述沒有在這里詳細描述以避免模糊本發明的一個實施例的重點。圖SC示出了一個示例的TSM中在各方之間建立互相同意協議的工作流程。SE發行者或服務提供者要求TSM保存其GP密鑰集。在一個實施例中,對于SE發行者來說,這個GP密鑰集最有可能被用作ISD0對于服務提供者來說,這個GP密鑰集被用作SSD。如圖SC所示,創建密鑰集的過程涉及在HSM中創建密鑰和在TSM系統中創建映射(mapping)。所述映射的有效范圍將被設置到合約失效日期(contract expiring date)。總體來講,HSM密鑰索引(key index)不能在同一時間對于多個映射有效。當所述密鑰集將要期滿時,可以進行更新。所述更新流程與圖SC中所示的創建過程相似。根據一個實施例,在所述密鑰集期滿的幾個月前,所述TSM將會定期的給所述密鑰集的擁有者將發送通知。一旦所述密鑰集的擁有者更新所述合約,則停止所述通知。所述密鑰集的擁有者可以通過創建一個工作請求或項目來開始所述更新過程。一個可靠的TSM業務賬戶管理者批準或拒絕所述工作項目。在接收到所述已經被批準的工作項目時,所述TSM管理者根據所述更新的合約更新所述密鑰集的期滿日期。相似的,所述密鑰集可以較早的期滿或結束。所述結束流程與圖SC所示的創建流程類似。所述密鑰集擁有者可以請求在一個未來日期停止所述密鑰集。所述可靠的TSM業務賬戶管理者將會立即核實,并批準或拒絕所述請求。所述TSM管理者設置所述映射的期滿日期為指定日期。所述TSM為其他供應商再生所述HSM密鑰索引。保存審計日志以記錄所述交易的痕跡。圖8D示出了 SE發行者和TSM之間ISD映射的數據流程。總體來說,所述ISD映射由每個SE發行者直接管理。SE發行者能夠創建一個映射去綁定一個外部或內部密鑰集至一個ISD密鑰索引(index)。外部密鑰集是未存在于與TSM相關的HSM中的密鑰集,內部密鑰集是存在于所述HSM中的密鑰集。通常,所述SE發行者應該不需要指定默認ISD,由于默認ISD是來自所述SE制造者的。然而,如果需要,SE發行者可以選擇去重寫這個默認ISD。如圖8D所示,所述SE發行者為卡操作系統(Card OS)創建了一個ISD映射去綁定密鑰集和ISD密鑰索引(比如從1-127的范圍)。如果密鑰集不是不外部的,所述TSM將確保與它的HSM的密鑰集映射存在。在操作時,所述SE發行者可以直接修改或刪除所述ISD映射。如上文所述,SE制造者具有所述安全元件的默認ISD信息。所述TSM為SE制造者提供批量和實時方式去共享這些信息。基于與TSM的協議,所述SE制造者可以使用批量或實時方式,其已經被描述過了。
為了安全原因,所述服務提供者(service provider,簡稱SP)為了個人化他的應用可能希望有他們自己的SSD。所述SSD映射由SE發行者創建以綁定分配給所述服務提供者的一個密鑰索引至SP密鑰集。圖SE示出了在TSM、SE發行者、服務提供者之間的相應數據流程。類似于所述SSD的創建,服務提供者可以請求所述SE發行者去刪除一個SSD映射。所述工作流程與所述SSD創建過程基本類似。
如上文所示,服務提供者為用戶提供的應用。在移動用戶訂購和下載一個應用前,需要批準或發布所述應用。例如,服務提供者需要提交一個應用給SE發行者和TSM以待批準。圖8F示出了由SE發行者批準一個應用的數據流程。如果需要專用SSD,所述服務提供者可以如上預先請求一個SSD,或在請求中指出。在批準的應用對于普通大眾可用之前,所述服務提供者或所述SE發行者可以啟動所述公開過程。在所述TSM中為用戶公開所述應用前,兩方都必須同意。隨后,通知所述供應商所述應用的日期和有效性。
在一些實例中,安全元件需要被替換。在移動用戶或他的SE發行者請求時,可以替換所述安全元件。通常,為了更多服務和更大的存儲空間需要更新安全元件。應當注意以下三點: 對于這些應用,需要從老的安全元件中遷移出他們的應用狀況,所述老的安全元件需要仍能被應用訪問(通過TSM); 對于不需要狀態遷移的這些應用,所述TSM僅僅需要重新設置和個人化所述應用; 然而,如果一個應用,其狀態在安全元件中,但是不支持狀態遷移,所述TSM不能遷移他們的狀態。對于這些應用,他們將被以第二種方式對待(即,所述應用必須被重新設置和個人化)。
圖SG示出了替換安全元件的流程。安全元件發行者通知TSM關于: SE發行者通知TSM關于SE替換請求; TSM與服務提供者協作以準備APDU命令,以收集在老的SE上的應用的狀態; 對于每個應用,TSM執行命令所述APDU命令以提取應用狀態,并鎖定所述應用; TSM通知移動用戶去物理的改變新的安全元件。移動用戶可以改變他/她的主意去撤銷或返回(rollback)所述替換請求。在這個步驟之后將沒有撤銷或返回; 如果它還沒有被處理,TSM將更新所述默認ISD ; 與服務提供者協作,T SM將安裝和個人化或配置每個應用。如果需要,TSM將為服務提供者安裝所述SSD。基于所述服務提供者的靜態數據和動態應用狀態準備所述個人化數據。
如圖9所示,其示出了個人化的安全元件的一個賬戶的顯示屏的快照示例。如所述菜單(menu),所述賬戶維持(mantains)有已經個人化的安全元件的詳細信息。此外,所述賬戶包括一系列配置的應用和安全密鑰。也可以維持其他信息,比如應用擁有者(開發所述應用的人)、TSM的可靠聯系、SE日志和應用日志。
本發明更適合采用軟件形式實現,但也可用硬件或軟硬件結合的形式實現。本發明也可被實現為計算機可讀媒體上的可被計算機讀取的代碼。所述計算機可讀媒體是任何可以保存能夠被計算機系統讀取的數據的數椐存儲裝置。計算機可讀媒體的實例包括只讀存儲器,隨機存取存儲器,CD光盤(CD-ROM),數字化視頻光盤(DVD),磁帶,光學數據存儲裝置,以及載波。所述計算機可讀媒體也可分布在通過網絡相連的多臺計算機系統中,這樣所述可被計算機讀取的代碼將以分布式的方式存儲和運行。 上述說明已經充分揭露了本發明的具體實施方式
。需要指出的是,熟悉該領域的技術人員對本發明的具體實施方式
所做的任何改動均不脫離本發明的權利要求書的范圍。相應地,本發明的權利要求的范圍也并不僅僅局限于前述具體實施方式
。
權利要求
1.一種可信服務管理方法,所述方法包括: 在具有安全元件的便攜式裝置和提供可信服務管理的服務器之間開始數據通信;在所述服務器確定所述安全元件已注冊于其上后,響應所述服務器的請求接收來自所述便攜式裝置的安全元件的裝置信息,其中所述裝置信息是唯一標識所述安全元件的字符串,所述請求是使得所述便攜式裝置從所述安全元件中提取所述裝置信息的命令; 發送一組指令使得所述便攜式裝置接收來自指定地方的至少一密鑰集,并存儲于所述安全元件內,其中所述密鑰集是根據所述安全元件的裝置信息產生的。
2.根據權利要求1所述的方法,其特征在于:其還包括: 根據所述裝置信息識別產生所述安全元件的一方; 與所述一方核實所述安全元件是否確實源于所述一方,其中所述一方為所述安全元件的發行者或制造者。
3.根據權利要求2所述的方法,其特征在于:所述安全元件是預安裝的,并具有默認發行者安全域信息,所述方法還包括: 以實時或批量的方式從所述一方提取相應的默認發行者安全域信息,所述默認發行者安全域信息包括確定所述默認發行者安全域信息中的一些信息是否需要更新的命令。
4.根據權利要求3所述的方法,其特征在于:所述方法還包括: 基于收到的所述安全元件的裝置信息產生一密鑰集; 將所述密鑰集傳送至所述便攜式裝置,并存儲于所述安全元件內; 通知所述一方所述密鑰集已存儲于所述安全元件中。
5.根據權利要求4所述的方法,其特征在于:設置所述密鑰集期滿于預定日期,所述方法還包括: 當所述密鑰集即將期滿時更新所述密鑰集; 當需要終止所述密鑰集時,在所述預定日期之前終止所述密鑰集。
6.根據權利要求5所述的方法,其特征在于:所述安全元件是集成電路或軟件模組,在所述安全元件被個人化后通過重寫該軟件模組的所有組件中的一部分的方式更新該軟件模組。
7.根據權利要求1所述的方法,其特征在于:如果有需要,所述服務器控制著所述安全元件的鎖定或解鎖。
8.根據權利要求1所述的方法,其特征在于:所述服務器包括一種機制以允許管理者查找與所述便攜式裝置相關的用戶的賬戶,所述賬戶包括所述安全元件的詳細資料、密鑰集、安裝的應用、所述安全元件和所述應用的日志,在每次一個新的應用安裝至所述便攜式裝置并經由其內的安全元件進行配置時更新所述賬戶。
9.根據權利要求3所述的方法,其特征在于:其還包括: 接收配置安裝于所述便攜式裝置內的應用的請求,其中經由所述安全元件配置的應用是由應用提供者發布的; 使用所述密鑰集與所述安全元件建立安全通道; 為進行配置的應用準備的數據,其中所述數據包括與所述應用相關的補充安全域;和 向所述應用提供者通報所述便攜式裝置的所述應用的狀態。
10.根據權利要求9所述的方法,其特征在于:所述接收配置安裝于所述便攜式裝置內的應用的請求包括: 在所述賬戶中查找所述安全元件的狀態以確定所述應用是否能夠經由所述安全元件進行配置; 當不能配置所述應用或所述安全元件不支持所述應用時通知所述用戶。
11.根據權利要求9所述的方法,其特征在于:所述應用公布于門戶上,并可被下載至所述便攜式裝置中,其能根據來自所述門戶的命令被使能或非使能,能根據通過所述門戶發來的終止指令而被終止。
12.一種用于由可信服務管理服務的便攜式裝置的方法,所述方法包括: 在具有安全元件的便攜式裝置和提供可信服務管理的服務器之間開始數據通信; 在所述服務器確定所述安全元件注冊于其上后,從所述便攜式裝置發送所述安全元件的裝置信息,其中所述裝置信 息是唯一標識所述安全元件的字符串; 根據來自所述服務器的一組指令接收接收來自指定地方的至少一密鑰集,其中所述密鑰集是根據所述安全元件的裝置信息產生的; 在所述安全元件中存儲所述密鑰集。
13.根據權利要求12所述的方法,其特征在于:所述便攜式裝置包括硬件模組,該硬件模組使得所述便攜式裝置與所述服務器通信,從另一個裝置接收數據,所述便攜式裝置是具有近場通信功能的裝置。
14.根據權利要求12所述的方法,其特征在于:所述裝置信息允許所述服務器識別產生所述便攜式裝置中的安全元件的一方,所述服務器用來與所述一方核實所述安全元件是否確實是源于所述一方,所述一方為所述安全元件的發行者或制造者, 所述方法其還包括:當將所述密鑰集存儲于所述安全元件內時通知所述一方。
15.根據權利要求12所述的方法,其特征在于:所述安全元件是預安裝的,并具有默認發行者安全域信息,所述默認發行者安全域信息包括確定所述默認發行者安全域信息中的一些信息是否需要更新的命令。
16.根據權利要求12所述的方法,其特征在于:所述安全元件是集成電路或軟件模組,在被個人化后通過重寫該軟件模組的所有組件中的一部分的方式更新該軟件模組。
17.根據權利要求12所述的方法,其特征在于:如果有需要,所述服務器控制著所述安全元件的鎖定或解鎖。
18.根據權利要求12所述的方法,其特征在于:所述方法還包括: 發送配置安裝于所述便攜式裝置內的應用的請求,其中經由所述安全元件配置的應用是由應用提供者發布的; 使用所述密鑰集在所述安全元件和所述服務器之間建立安全通道; 接收為進行配置的應用準備的數據,其中所述數據包括與所述應用相關的補充安全域; 在向所述應用提供者通報所述便攜式裝置的所述應用的狀態時通過所述安全元件存儲所述數據。
19.根據權利要求18所述的方法,其特征在于:所述應用公布于門戶上,并可被下載至所述便攜式裝置中,其能根據來自所述門戶的命令被使能或非使能,能根據通過所述門戶發來的終止指令而被終止。
全文摘要
本發明公開了一種可信服務管理方法。根據本發明的一個方面,所述方法包括在具有安全元件的便攜式裝置和提供可信服務管理的服務器之間開始數據通信;在所述服務器確定所述安全元件注冊于其上后,接收來自所述便攜式裝置的安全元件的裝置信息,其中所述裝置信息是唯一標識所述安全元件的字符串;發送一組指令使得所述便攜式裝置接收來自指定地方的至少一密鑰集,并存儲于所述安全元件內,其中所述密鑰集是根據所述安全元件的裝置信息產生的。在所述安全元件中的密鑰集使得服務提供者和所述便攜式裝置之間的隨后通訊以一種安全的方式進行。
文檔編號G06Q20/36GK103186858SQ201310042478
公開日2013年7月3日 申請日期2013年2月4日 優先權日2012年2月5日
發明者許良盛, 潘昕, 謝祥臻 申請人:深圳市家富通匯科技有限公司