在移動裝置中配置應用的方法和裝置的制作方法

專利名稱：在移動裝置中配置應用的方法和裝置的制作方法
技術領域：
本發明通常涉及網絡商務,特別地,本發明涉及一種個人化(personalizing或personalization)安全元件及配置諸如電子錢包的應用的技術，該電子錢包可以有效地應用于為電子商務(Electronic Commerce,或稱E-Commerce)和移動商務(MobileMommerce,或稱M-Commerce)而制定的便攜裝置中。
背景技木單功能卡片(single functional card)已被成功地應用于諸如運輸系統這樣的封閉式環境中。這種單功能卡片的一個例子是非接觸性智能卡(MIFARE)，MIFARE是世界上安裝范圍最廣的非接觸性智能卡技術。MIFARE為諸如積分(loyalty)和儲值(vending)卡片、道路收費、城市卡片、訪問控制以及游戲等的應用提供了完美的解決方案。然而，單功能卡片的應用被部署在封閉式系統中，難以擴展應用到諸如電子商務和移動商務等的其他領域中，這是因為儲存的金額(stored values)和交易的信息被保存在每個標簽(each tag)的數據存儲空間中并由ー組密鑰保護，標簽的屬性是密鑰必須被發送至卡片進行驗證后數據才能在交易中被訪問。這個限制使得使用這類技術的系統難以擴展到開放式環境，例如用于電子商務的國際互聯網和/或用于移動商務的無線通信網路，因為在公共 域網絡傳送密鑰會引起安全性方面的問題。—般地,智能卡(Smart card)、芯片卡或集成電路卡(IC卡)都是內嵌有集成電路的袖珍卡。智能卡或微處理器卡包含非易失性存儲器和微處理器組件。在大型機構中，智能卡還可以為單點登錄(Single sign on)提供有效的安全認證。智能卡的優點與信息的容量以及卡上編寫的應用直接相關。單觸點或非接觸性智能卡可以應用于銀行憑證、醫療福利、駕駛執照或公共交通資格、信用項目服務和俱樂部會員資格等服務中。多因素和臨近認證能被并且已經被嵌入智能卡內以增加該智能卡的所有服務的安全性。不要求卡和讀卡器物理接觸的非接觸性(contactless)智能卡在諸如公共運輸和高速公路收費的付款和票務應用中變得越來越受歡迎。當具有近場通信(Near FieldCommunication,簡稱NFC)功能的移動電話用于諸如支付服務、交通票務、信用服務、物理訪問控制和其他令人興奮的新服務時，在非接觸性智能卡與讀卡器之間的這種NFC顯示出重大的商機。為了支持這種快速演變的商務環境，包括金融機構、各種具有NFC功能的移動電話的制造商、軟件開發商以及移動網絡運營商的多個實體(entities)參與進NFC移動生態系統。由于他們単獨角色的特性，這些參與者需要互相交流并以ー種可靠的、彼此協作的方式交換信息。在NFC移動生態系統中所關注的問題之一是它在開放網絡中的安全性。因此有必要提供ー種在非接觸性智能卡或具有NFC功能的移動裝置中個人化安全元件的技木，以使得在這樣的裝置用于金融應用或安全交易時，該裝置是如此的安全和個人化。隨著個人化安全元件在具有NFC功能的移動電話裝置中的應用，諸如電子錢包或支付的各種應用或服務都將實現。相應地，還有必要提供一種與個人化安全元件有關的應用或服務的配置或管理技術。

發明內容本部分的目的在于概述本發明的實施例的ー些方面以及簡要介紹ー些較佳實施例。在本部分以及本申請的說明書摘要和發明名稱中可能會做些簡化或省略以避免使本部分、說明書摘要和發明名稱的目的模糊，而這種簡化或省略不能用于限制本發明的范圍。本發明所解決的技術問題之ー在于提供ー種與計算裝置關聯的安全元件的個人化方法，以使得通過網絡(比如有線或無線網絡)進行的各種交易更為安全。基于已個人化的安全元件，可以提供配置，可以提供配置各種應用或服務的技木。管理在不同方之間的交互以完美的執行個人化或配置過程，這樣用戶可以使用其NFC裝置通過數據網絡享受方便的移動商務。作為通過安全元件提供的應用的ー個示例，提供一種機制使得裝置，尤其是便攜式裝置工作為ー個電子錢包，以管理通過開放網絡與支付服務器進行的交易，而無需安全擔保。在一個實施例中，ー個裝置安裝有電子錢包管理器(比如，ー個應用)。所述電子錢包管理器用來管理各種交易，并作為一種機制以訪問其內的模擬器。安全的交融交易可以通過有線網絡、無線網絡或有線與無線的結合的網絡執行。根據本發明的另ー個方面，可以個人化安全密鑰(對稱或非対稱)，以個人化ー個電子錢包，并與支付服務器進行安全的交易。在一個實施例中，個人化入一個電子錢包的重要數據包括ー個或多個操作密鑰(比如，裝載密鑰和購買密鑰)、默認PIN，管理密鑰(比如，解阻PIN密鑰、重裝載PIN密鑰)和密碼(比如來自Mifare)。在交易時，使用所述安全密鑰去在嵌入電子錢包和安全認證模塊SAM或后端服務器建立ー個安全通道。本發明可能實現為各種形式，包括方法、系統、裝置、系統的一部分或計算機可讀媒介。在本發明的一個實施例中，本發明是一種個人化與計算裝置相關的安全元件的方法。所述方法包括:開始與服務器數據通信；在所述服務器確定所述安全元件注冊于其上后，響應所述服務器的請求發送所述安全元件的裝置信息，其中所述裝置信息是唯一標識所述安全元件的字符串，所述請求是使得所述計算裝置從所述安全元件中提取所述裝置信息的命令；從所述服務器接收至少ー密鑰集，其中所述服務器根據所述安全元件的裝置信息產生所述密鑰集；和在所述安全元件中存儲所述密鑰集以方便通過所述計算裝置隨后進行的交易。

在本發明的另ー個實施例中，本發明是一種個人化與計算裝置相關的安全元件的方法。所述方法包括:在一個服務器和所述計算裝置之間開始數據通訊；在所述服務器確定所述計算裝置注冊于其上后，服務器發送請求至所述計算裝置以請求所述安全元件的裝置信息，其中所述裝置信息是唯一識別所述安全元件的字符串，所述請求是使得所述計算裝置從所述安全元件中提取所述裝置信息的命令；根據所述裝置信息產生至少ー密鑰集；通過數據網絡將所述密鑰集通過安全通道傳送至所述計算裝置，其中所述密鑰集由所述計算裝置存儲于所述安全元件中；和為了隨后的可信交易通知相關方所述安全元件現已被個人化。根據本發明的再一個實施例，本發明是安裝于ー個移動裝置上的應用的配置方法。所述方法包括:將識別所述應用的標識符和安全元件的裝置信息一起發送至服務器，其中所述安全元件與一個移動裝置關聯，所述應用已安裝于所述移動裝置上；使用安裝于所述安全元件上的派生安全密鑰集在安全元件和所述服務器之間建立安全通道，其中所述服務器用來為所述應用準備必要的數據以使得所述應用在移動裝置上如設計的那樣運行；從所述服務器接收所述數據以使能所述應用，其中所述數據包括所述應用在移動裝置上的用戶界面和產生的應用密鑰集；以及向所述應用的提供者發送ー個確認信息，以報告此時在所述移動裝置上與所述安全元件一起運行的所述應用的狀態。根據本發明的再一個實施例，本發明是安裝于ー個移動裝置上的應用的配置方法。所述方法包括:將來自ー個移動裝置的識別所述應用的標識符和安全元件的裝置信息一起發送至服務器，其中所述安全元件與所述移動裝置相關，所述應用已安裝于所述移動裝置上；使用安裝于所述安全元件上的派生安全密鑰集在所述安全元件和所述服務器之間建立安全通道；為所述應用準備必要的數據以使得所述應用在所述移動裝置上如設計的那樣運行；通過所述安全通道從所述服務器傳輸所述數據以使能所述應用；以及通知所述應用的提供者有關此時在所述移動裝置上與所述安全元件一起運行的所述應用的狀態。根據本發明的再一個實施例，本發明是一種通過網絡進行安全交易的移動裝置。所述移動裝置包括:網絡接ロ ；安全元件；存儲空間，其存儲至少ー個模組和通過所述網絡接口下載的ー個應用；與所述存儲空間連接的處理器，用來運行所述模組以執行的操作包括:核實所述應用是否已經被配置。在核實所述應用未被配置吋，所述處理器運行所述模組以執行的操作還包括:通過所述網絡接ロ將識別所述應用的標識符和安全元件的裝置信息一起發送至服務器；使用安裝于所述安全元件上的密鑰集在所述安全元件和所述服務器之間建立安全通 道，其中所述服務器用來為所述應用準備必要的數據以使得所述應用能在所述移動裝置上如設計的那樣運行；從所述服務器接收所述數據以使得所述應用與所述安全元件聯合工作；向所述應用的提供者發送ー個確認信息，以通報此時在所述移動裝置上與所述安全元件一起運行的所述應用的狀態。所述處理器還用來在所述應用的配置過程前先確定所述安全元件是否已經被個人化。如果所述安全元件還未被個人化，所述移動裝置與指定服務器一起個人化所述安全元件。與現有技術相比，本發明中ー個優點、好處或特點在于使得計算裝置可以與一方(比如，在銷售點與商業服務器)通過ー個不安全的網絡(比如互聯網)進行安全交易。關于本發明的其他目的，特征以及優點，下面將結合附圖在具體實施方式
中詳細描述。

接下來的具體實施方式
、后面的權利要求以及附圖將有助于了解本發明的具體特征，各實施例以及優點，其中:
圖1A示出了具有安全元件的支持NFC的移動裝置的簡單結構架構；圖1B示出了根據本發明的一個實施例的個人化安全元件的流程或過程；圖1C示出了在離線和在線模式時安全元件制造者(SE manufacturer)、TSM (Trusted Service Management,可信服務管理)管理器和TSM系統之間的關系；圖1D示出了 NFC裝置(比如NFC移動電話)的用戶、NFC裝置、TSM服務器、相應的安全元件制造者和安全元件發行者之間的數據流程圖；圖1E根據本發明的一個實施例，示出了基于平臺的SAM(安全識別模塊)或網絡電子錢包服務器、作為門衛的電子錢包和單功能標簽，這三個實體之間的個人化數據流程;圖2A不出了一個移動支付生態系統，其中移動支付生態系統中的相關方(parties)依次被列出；圖2B示出了根據本發明的一個實施例的配置一個或多個應用的流程或過程；圖2C示出了當配置ー個應用時不同方之間交互的數據流程；圖2D示出了在配置一個應用過程中準備應用數據時不同方交互的數據流程；圖2E示出了鎖定或非使能一個已安裝應用的流程或過程；圖2F根據本發明的ー個具體實施例，示出了便攜裝置作為電子錢包執行電子商務和移動商務時的架構示意圖；圖3A示出了有關模塊相互作用，以完成前述電子錢包由授權人進行個人化處理的結構圖；圖3B示出了有關模塊相互作用，以完成前述電子錢包由其用戶進行個人化處理的結構圖；圖3C根據本發明的ー個具體實施例，示出了個人化電子錢包的流程或過程圖；圖4A和圖4B根據本發明的ー個具體實施例，一同示出了給電子錢包籌資、注資、載入或充值時的流程或過程；圖4C示出了有關模塊相互作用，以完成圖4A和圖4B中所示過程的結構示意圖；圖5A根據本發明的ー個具體實施例，示出了第一種便攜設備的架構示意圖，使之能夠在蜂窩通信網絡(比如，3G、LTE或GPRS網絡)上執行電子商務和移動商務的各種功倉泛;圖5B根據本發明的另ー個具體實施例，示出了第二種便攜設備的架構示意圖，使之能夠在有線和/或無線數據網絡(例如國際互聯網)上執行電子商務和移動商務的各種功能；圖5C是一幅流程圖，根據本發明的ー個具體實施例，說明了使圖5A中的便攜設備能夠運行一個或多個服務提供商提供的服務應用的過程示意圖；圖6A根據本發明的ー個具體實施例，展示了一個架構示意圖，其中的便攜設備能夠作為移動銷售點執行電子商務和移動商務；圖6B根據本發明的ー個具體實施例，展示了一個架構示意圖，其中的便攜設備能夠作為移動銷售點在網絡上執行交易上傳操作；圖6C是一幅流程圖，根據本發明的ー個具體實施例，說明了使用用作移動銷售點的便攜設備和支持電子代幣的單功能卡裝置，執行移動商務的過程示意圖6D是一幅流程圖，說明了使用用作移動銷售點的便攜設備以及支持電子代幣的多功能卡裝置，執行移動商務的過程示意圖；以及圖7描述了便攜設備用于電子票務應用時的結構示意圖。
具體實施方式本發明的詳細描述主要通過程序、步驟、邏輯塊、過程或其他象征性的描述來直接或間接地模擬本發明技術方案的運作。為透徹的理解本發明，在接下來的描述中陳述了很多特定細節。而在沒有這些特定細節時，本發明則可能仍可實現。所屬領域內的技術人員使用此處的這些描述和陳述向所屬領域內的其他技術人員有效的介紹他們的工作本質。換句話說，為避免混淆本發明的目的，由于熟知的方法和程序已經容易理解，因此它們并未被詳細描述。此處所稱的“ー個實施例”或“實施例”是指可包含于本發明至少ー個實現方式中的特定特征、結構或特性。在本說明書中不同地方出現的“在一個實施例中”并非均指同一個實施例，也不是單獨的或選擇性的與其他實施例互相排斥的實施例。此外，表示ー個或多個實施例的方法、流程圖或功能框圖中的模塊順序并非固定的指代任何特定順序，也不構成對本發明的限制。本文中的密鑰集是指ー組密鑰。下面參考圖1A-7來介紹本發明的各個實施例。然而，所屬領域內的普通技術人員容易理解的是這里根據這些附圖列出的細節描述僅僅是解釋性的，本發明并不僅限于這些實施例。當具有近場通信(Near Field Communication,簡稱NFC)功能的移動電話用于諸如支付服務、交通票務、信用服務、物理訪問控制和其他令人興奮的新服務時，NFC顯示出重大的商機。為了支持這種快速演變的商務環境，包括金融機構、各種具有NFC功能的移動電話的制造商(manufacturer,或稱制造者)、軟件開發商(developer,或稱開發者)以及移動網絡運營商(Mobile Network Operators,簡稱MN0)的多個實體參與進NFC移動生態系統。由于他們単獨角色的特 性，這些參與者需要互相交流并以ー種可靠的、彼此協作的方式交換信息。下載至并存儲于執行無接觸性交易(contactless transactions)的具有NFC功能的手持電話的數據和敏感應用的機密性和安全性的繼續提高對于上述各個實體都是同等重要的。移動電話中的提供安全性和機密性以支持各種商業模型的組件可以被稱為安全兀件(Secure Element,簡稱 SE)。圖1A示出了計算裝置100的簡單架構。除非特別說明，“計算裝置”、“移動裝置”、“移動電話”或“手持電話”將在本文中可互相替代的使用，然而所屬領域內的普通技術人員能夠理解上述詞匯也可以指代其他裝置，比如智能電話、筆記本電腦、無接觸性智能卡和其他便攜式裝置。所述移動裝置100包括NFC控制器101，該NFC控制器101使得所述移動裝置100能夠與其它裝置無線通信以交換數據。比如，用戶可以將所述移動裝置100用作電子錢包(e-purse)進行購買支付。在操作時，所述電子錢包由安全元件102來控制。所述安全元件102可以使得這樣的一個移動裝置100以ー種安全的方式來執行金融交易、交通票務、信用服務、物理訪問控制和其他令人興奮的服務。為了提供這樣的服務，所述安全元件102可以支持各種Java applet程序、應用或模塊(圖1A中僅示出了兩個實例104和106)。在實現時，這些模塊可以是嵌入或插入其內的硬件模塊，也可以是通過數據網絡從ー個或多個服務器上下載的軟件模塊。當最早購買移動裝置或最早將移動裝置交付給客戶時，在所述移動裝置的安全元件102上安裝ー組默認密鑰(a set of default keys,或稱為默認密鑰集)，比如由安全元件制造者(manufacter)設置的發行者安全域(Issuer Security Domain,簡稱ISD)密鑰集。在實現時，所述安全元件102可以是智能卡、集成電路(IC)或軟件模組的形式，通過重寫該軟件模組內的部分或全部可以對其進行更新。在一個實施例中，所述安全元件102是防篡改智能卡芯片，根據需求的安全級別，該智能卡芯片可以嵌入卡級應用(比如支付、傳輸)。如圖1A所示，所述安全元件102嵌入或配合無接觸性NFC相關的應用，并與所述NFC控制器101連接以作為無接觸性前端。典型的，符合標準的安全元件與ー個發行者安全域(issuer security domain,簡稱ISD)和一個或多個補充安全域(supplemental security domains,簡稱SSD)的選擇一起供給。姆個域中包括一組密鑰(a set ofkey,或稱密鑰集)。在一個實施例中,所述安全元件102是嵌入所述移動裝置100內的或通過卡接ロ 109插入移動裝置100的小型卡內的芯片。在另ー個實施例中，所述安全元件102是或包括裝載入所述移動裝置內的安全存儲空間107內的軟件模組。可以通過所述移動裝置100內的網絡接ロ 103 (比如3G網絡或LTE(Long Term Evolution)網絡)從指定服務器下載更新組件以更新所述軟件模組。所述安全元件102在使用前需要經過個人化(Personalization或Personalizing)過程。在一個實施例中，所述個人化過程是根據選擇的卡發行者(比如所謂的安全元件發行者)的派生個人化密鑰集(derived personalized key set)為所述安全元件102裝載或更新ー密鑰集。這樣的個人化過程也可以稱為配置過程。根據ー個實施例，在安裝應用或使能服務(比如應用安裝和個人化)時以在線方式(Over the air)執行所述配置過程以個人化所述安全元件。當使得所述安全元件聯系到ー個安全元件發行者時，才執行所述安全元件的個人化。當用戶訂購或安裝應用時，需要為每個應用執行應用安裝和配置。在一個實施例中，在更新或提升所述安全元件102時，為避免從頭開始個人化所述安全元件102，只用新的更新替換所述安全元件102中的ー個或ー些組件。在實現時，可以自動地或手動獲取這些新的更新，并將它們裝載至所述移動裝置100。在一個實施例中，根據相應的安全元件發布者和TSM，具有NFC功能的移動裝置可以從服務器或TSM入口(TSM portal)下載應用。TSM是指可信服務管理(Trusted ServiceManagement),是ー種服務集合。所述TSM的ー個主要角色是幫助服務提供者(serviceprovider)為他們的使用移動網絡的客戶安全的發布和管理無接觸性服務。所述TSM或它的服務器不必需要參與使用NFC裝置的實際無接觸性交易(transaction)。這些交易通常由服務提供者和他們的商業合作伙伴提供的系統處理。所述TSM的另ー個角色是通過作為商業中間人加速移動NFC應用的成功部署和提升，其有利于合同安排和不同各方之間的商業關系的其它方面，這樣使得移動網絡商務成為可能。可以到服務中心執行所述個人化過程，也可以通過TSM服務器的網頁入口(webportal)遠程執行所述個人化過程。在第一種場景下，客戶可以到服務中心，讓服務代表個人化移動裝置內的安全元件。在位于指定地方(比如服務中心)的連接有NFC讀卡器的電腦中，配置管理器(provisioning manager)可以是安裝的應用或連接至后端TSM的基于網頁的應用。所述配置管理器用來與移動裝置的安全元件進行通訊(比如通過讀卡器)。這樣的個人化過程也可以被稱為基于網絡(Over the Internet)的過程。在第二種場景下，客戶通過服務器(TSM網頁入口 )注冊他/她的移動電話。所述TSM服務器可以將配置管理器的通用資源識別碼(universal resource identifier,簡稱URI)發送至已注冊的移動電話。基于所述移動裝置的類型，發送方式可以是短信服務發送(Short Message Service Push)或谷歌安卓發送(Google Android Push)。所述客戶可以將所述配置管理器下載至所述移動裝置中，并開始所述個人化過程。這樣的個人化過程被稱為基于無線的過程。在任一個場景下，所述配置管理器作為移動裝置的安全元件和TSM服務器之間的代理。現參考圖1B所示，其示出了根據本發明的一個實施例的個人化安全元件的流程或過程110。在實現時，所述過程110可以由軟件或軟件和硬件的結合來實現。當用戶收到ー個新的NFC裝置(比如移動裝置的一部分)，需要個人化其內的所述安全元件。在操作112中，確定所述新的NFC裝置是否是真正的NFC裝置。一個例子是檢查與所述NFC裝置相關的序列號(serial number)。所述序列號可以通過與TSM服務器相關的數據庫進行認證。在NFC移動裝置的例子中，所述移動裝置的裝置序列號可以用來進行認證。現在假設所述NFC裝置是ー個真正的NFC裝置，即可由移動操作者識別的。所述過程110將進入操作114，使所述NFC裝置與專用服務器進行通訊。在一個實施例中，所述專用服務器是TSM系統的一部分，并可通過無線網絡、互聯網或無線和有線的結合(這里稱為數據網絡或簡稱為網絡)對其進行訪問。在操作116中，使所述NFC裝置向所述服務器注冊。一旦所述NFC裝置成為所述TSM系統的一部分，各種服務和數據可以通過網絡與所述NFC裝置進行通訊。作為個人化過程的一部分，在操作118中，所述服務器請求所述安全元件的裝置信息。在一個實施例中，所述服務器發送數據請求(比如服務信息，WAP PUSH)到所述NFC裝置上。響應所述數據請求，所述NFC裝置發回從所述安全元件中提取的卡產品壽命周期(Card ProductLife Cycle，簡稱CPLC)信息。所述CPLC信息包括安全元件產品信息(比如智能卡ID、制造者信息和批次號等)。基于所述CPLC信息，所述服務器能夠從其制造者、授權代理者(authorized distributor)或服務提供者處提取這個安全元件的對應默認發行者安全域(Issuer Security Domain,簡稱ISD)信息。在實現時,所述服務器與安全元件制造者有兩種通訊方式，具體將在下文的合適部分給予詳細描述。在操作120中，由所述制造者確定是否更新所述裝置信息。通常，當ー個安全元件由其制造者發出時，所述安全元件嵌入有一些默認裝置信息。如果確定所述默認裝置信息(比如CPLC數據)需要與所述制造者進行更新，所述過程110進入操作122，所述制造者將相應的更新裝置信息上傳至所述服務器。在操作124中，將所述更新裝置信息傳輸至所述NFC移動裝置，并存儲于所述安全元件中。如果確定所述安全元件的默認裝置信息不需要與所述制造者進行更新，所述過程110進入操作124，將提取的默認裝置信息存儲入與TSM服務器相關的數據庫中。在一個實施例中，所述服務器包括獲取派生密鑰集(derivedkeyset)的接ロ。在一個實施例中，根據所述安全元件的裝置信息(比如，ISD)產生所述派生密鑰集。當所述安全元件中成功安裝上派生ISD密鑰集時,通知相應的安全元件發行者所述派生ISD密鑰集已經使用。根據本發明的一個實施例，在操作126中，所述裝置信息(默認的或更新的)用來產生密鑰集(或稱一組密鑰)。在一個實施例中，所述服務器用來使用默認ISD在他的硬件安全模塊(HSM)和所述安全元件之間建立安全通道。所述服務器還用來為所述安全元件計算派生密鑰集。基于業務協定，安全元件的發行者的主ISD密鑰可以設置干與所述服務器相關的硬件安全模塊或所述安全元件發行者的本地硬件安全模塊中。所述硬件安全模塊是ー種安全加密處理器，其用于管理數字密鑰，加速加密過程，以及對訪問服務器應用的關鍵密鑰提供有效的認證。如果設置于所述服務器中的硬件安全模塊內，所述服務器用來指令所述硬件安全模塊去計算所述派生密鑰集。隨后，所述服務器提供一種機制(比如PUT KEYAPDU)并使用默認通道，用所述派生密鑰集替代在所述安全元件中的默認密鑰集。如果所述安全元件發行者(SE issurer)的主ISD密鑰在所述安全元件發行者的本地硬件安全模塊中，所述服務器還用來與遠端的硬件安全模塊交互以提取所述主ISD密鑰。在操作128中，將所述密鑰集安全的傳遞至所述安全元件。就這樣將密鑰集個人化入所述安全元件中，所述密鑰集用于利用NFC裝置進行的各種安全操作或服務中。在操作130，所述服務器用來將所述安全元件與其發行者或提供商進行同步(比如，將有關安全元件狀態的通知發送至所述發行者或提供商)。在個人化后，可以使用所述SE發行者的個人化ISD密鑰來訪問所述安全元件。基于每個服務提供商的安全需求，所述TSM可以為各個提供商提供額外的SSD以個人化他們的相應應用(比如，圖1A中的模塊104或106)。如上文所述，有兩種方式可以用來在與所述制造者的交互過程中從所述安全元件中提取相應的默認ISD信息。基于基礎架構，制造者可以選擇使用實時方式(real-timeapproach)或批處理方式(batch approach)。在實時方式中，當所述TSM服務器個人化所述安全元件時，所述服務器被設置用來與制造者(比如它的服務器)進行通訊。這樣，所述默認密鑰集是經要求從制造者的服務器提取的。在一個實施例中，所述TSM服務器包括與每個制造者進行通訊的插件模組。在批處理方式中，可以以在線模式執行，也可以以離線模式執行。在離線模式下，所述安全元件制造者通過加密媒介為支持的所有安全元件傳遞默認ISD信息。所述TSM或計算裝置的管理器可以被設置用來將所述物理媒介中的信息輸入ー個計算裝置。隨后，解密并提取所述默認ISD信息，并存儲于ー個數據庫中。在在線模式下，所述SE制造商通過網絡上傳其支持的安全元件的默認ISD信息。隨后，解密并提取所述默認ISD信息，并存儲于ー個數據庫中。然后，所述TSM只需要在安全元件個人化過程中訪問在其自己的硬件安全模塊或數據庫。圖1C展示了在離線和在線模式時SE制造者、TSM管理器、TSM系統之間的關系。根據本發明的一個實施例，圖1D示出了 NFC裝置(比如NFC移動電話)的用戶、NFC裝置、TSM服務器、相應的SE制造者和SE發行者之間的數據流程圖。—方面，可以認為圖1A中的安全元件102是智能卡中的預載操作系統，其提供PIN管理和用于卡個人化(card personalization)的安全通道(或稱安全域)的平臺。所述安全元件102結合智能卡發行者、出售者、產業組、公共實體和科技公司的興趣，為運行于智能卡上的多個應用定義需求和技術標準。作為ー個例子，作為電子錢包安全的一個模塊104定義ー組協議，該組協議使得小額支付交易能夠通過有線或無線環境執行。對于存儲于智能卡的電子錢包，在所述電子錢包被發行后將ー組密鑰(対稱的或非対稱的)個人化入所述電子錢包。在交易過程中，為了使所述電子錢包與安全認證模組(Security Authentication Module, SAM)或后端服務器之間的信息通道安全，所述電子錢包使用ー組各自的密鑰進行加密和MAC計算。對于單功能卡片來說，所述電子錢包安全模塊104用來作為保護在單功能卡上執行的實際操作的門。在個人化期間，通過電子錢包交易密鑰將所述單功能卡片訪問密鑰(或他的轉換)個人化入所述電子錢包。圖1E根據本發明的一個實施例，示出了基于平臺的SAM或網絡電子錢包服務器152，作為門衛的電子錢包154和單功能標簽156，這三個實體之間的個人化數據流程150。所述基于平臺的SAM或網絡電子錢包服務器152和電子錢包154之間的通信將按照ー種類型的命令(比如APDU，應用協議數椐単元)進行，而電子錢包154和單功能標簽156之間的通訊將按照另ー種類型的命令進行，其中所述電子錢包起到門衛的作用，以保證只有安全可靠且經過授權的數據交互才會被準許進行。在一個實施例中，電子錢包的物理安全在一個模擬器中實現。這里使用的模擬器是指其他模塊期望與其交互的一個硬件裝置或一段程序，或自稱是另ー個特別的裝置或程序。所述電子錢包安全是在用于提供電子錢包功能和與支付服務器通訊的ー個或多個Java程序applet之間實現的。支持電子錢包的安全元件負責更新安全密鑰以在支付服務器和Java程序applet之間建立交互的合適通道，其中電子錢包程序作為門衛去調節或控制所述數據交換。現在參考圖2A所示，其示出了一個移動生態系統200，其中參與入所述移動生態系統中的相關方依次列出。在一個實施例中，允許ー個NFC裝置從相應指定服務器202 (比如應用管理提供者)中下載或安裝ー個或多個應用，其中這些應用是由應用開發者204最初開發出來，并由服務提供者210、應用管理提供者202或其他相關方發布。假設有安全元件提供者208提供的安全元件206已經經由TSM或可信賴第三方(比如，金融機構212)個人化。一旦在所述NFC裝置上安裝上一個應用，下一步將是通過所述安全元件配置所述應用。應用的配置過程可以以幾種方式開始。其中的ー種方式是ー個安全元件擁有者在移動裝置上從TSM入ロ中選擇ー個應用，并開始配置過程。另ー種方式是所述安全元件擁有者在移動裝置上接收來自代表應用提供者的TSM的應用配置通知。所述TSM或應用提供者可以在TSM入口上發布他們的應用，以供下載到具有安全元件和/或簽訂用戶請求(比如SE擁有者)的移動裝置上。在一個實施例中，所述TSM為多個SE發布者提供云服務。這樣，來自各個服務提供者的許多應用可以從TSM入口處獲取。然而，當登入所述TSM入口時，安全元件擁有者只可以看那些經過他的安全元件提供者認證的應用。基于安全元件和服務提供者之間的協議，使用安全元件的ISD密鑰集或服務提供者的指定的SSD密鑰集可以實現應用的下載/安裝/個人化。如果在所述安全元件中并未安裝有SSD密鑰集，則可以在一個應用安裝的過程中安裝它。所述TSM知曉安全元件針對各個SSD的存儲狀態。基于SSD的存儲分配策略和所述安全元件的存儲狀態，對于在應用商店中的針對各種SSD的可用應用可以標記為不同的指示，比如“可以安裝”或“安裝存儲不足”。這樣可以防止用戶不必要的失敗。一旦在ー個NFC裝置上安裝一個應用，所述應用自己啟動配置過程，或TSM服務器通過蜂窩網絡或無線數據網絡給所述NFC裝置發送配置通知。根據所述NFC裝置的類型，有很多種發送消息(PUSH message，或稱為推廣消息)的方式以使得所述NFC裝置開始所述配置過程。發送方法的一個例子包括短信發送或安卓谷歌發送。一旦用戶收到所述通知，所述配置過程開始。在認為合適的時候，將詳細描述配置過程。作為所述應用配置的ー個部分，TSM服務器執行一些保護性機制。ー個是防止安全元件意外鎖定。另ー個是如果在安全元件中沒有足夠存儲空間時阻止應用的下載。在安全通道建立期間如果有太多的相互認證失敗，則安全元件可能永久性鎖定自己。為了防止所述安全元件意外鎖定，當在兩方(entities)之間建立安全通道時，所述TSM持續跟蹤安全元件和TSM之間的認證失敗的數目。在一個實施例中，如果達到預定極限，所述TSM將拒絕任何進ー步的請求。如果在服務中心手動的重啟所述安全元件，所述TSM可以繼續處理SE請求。所述TSM也持續跟蹤每個安全元件的存儲使用。所述TSM基于由所述SE發行者分配給每個服務提供者的存儲分配決定ー個應用是否可以安裝于ー個安全元件上。根據ー個實施例，有三種類型的策略:
預分配ー個固定存儲空間，這是保證空間；
預分配ー個最小存儲空間，這是保證最小空間；
最大努力。所述安全元件發 行者使用所述TSM網頁入口完成這項工作。
1.對于ー批安全元件，所述安全元件發行者可以為服務提供者預分配一個存儲策略以通過TSM網頁入口安裝它的應用；
2.當移動裝置請求安裝一個應用吋，TSM服務器認證相應的服務提供者的空間是否符合它的存儲策略；如果不符合，則拒絕這個請求；
3.否則，所述TSM服務器將處理所述配置請求；
4.如果配置成功，所述TSM將積累這個應用服務的存儲大小。當一個移動用戶訂閱ー個移動應用(假如它已經安裝)，在所述應用使用之前該應用需要經由移動裝置上的安全元件配置。在一個實施例中，所述配置過程包括四個主要階段；
如果需要，在所述安全元件上創建補充安全域(SSD)；
在所述安全元件上下載并安裝一個應用；
在所述安全元件個人化所述應用；
下載UI (用戶界面)組件至移動裝置上。圖2B示出了根據本發明的一個實施例的配置一個或多個應用的流程或過程220。所述過程220可以實現為軟件或軟件和硬件的組合。在一個實施例中，所述應用配置過程220需要進入在移動裝置上的配置管理器(比如代理)以與其內的安全元件交互。如圖2B所示，在操作222處，所述應用配置過程220可以是自動或手動開始。比如，假設它還未被配置，用戶可以通過選擇一個已安裝應用去訂購相關服務以啟動所述配置過程，或在激活所述已安裝應用時啟動所述配置過程。在另ー個實施例中，應用提供者發送一個信息(比如短信)至所述移動電話以開始所述配置過程。在任何情況下，所述程序220進入操作224，從移動裝置的安全元件中提取所述裝置信息(比如，CPLC)后，與專用服務器(比如TSM服務器或由應用發布者運營的服務器)建立通信。在操作226處，所述裝置信息與識別應用的標識符一起被傳送至所述服務器。在操作228，所述服務器首先基于所述裝置信息識別所述安全元件的發行者，以在230操作中確定是所述安全元件是否已經被個人化。如果所述安全元件還未被個人化，所述過程220進入操作232，以個人化所述安全元件，所述操作232的一個實施例可以根據圖1B中的過程110來實現。現假設移動裝置中的安全元件已經被個人化。所述過程220進入操作234，在這里使用派生ISD與所述安全元件建立安全通道。根據誰為ISD提供硬件安全模塊HSM(比如TSM或SE發行者)，所述服務器將聯系所述硬件安全模塊去為所述安全元件計算派生ISD，并使用該派生ISD與所述安全元件建立安全通道。隨后，在操作中236，所述服務器檢查是否有與該應用相關的ー個SSD。如果該應用沒有一個對應的SSD，所述服務器將檢查數據庫看它是否已經安裝于所述安全元件上。如果需要SSD安裝，所述流程220進入240去安裝所述SSD。在一個實施例中，提醒所述用戶所述SSD(密鑰)的安裝。在操作238，假設用戶拒絕安裝所述SSD，所述過程220停止并進入操作222，重新開始所述配置過程220。現假設在操作240中執行安裝SSD過程。安裝所述SSD與安裝ISD類似。所述TSM服務器聯系其內有主SSD密鑰的硬件安全模塊HSM，為所述安全元件計算派生SSD密鑰集。所述主SSD密鑰可以在TSM、服務提供者、或安全元件發行者中，這主要取決于各方是如何協定的。為了在安全元件中下載/安裝應用，在操作242，所述服務器用來使用派生SSD與所述安全元件建立安全通道。在一個實施例中，這類似于如何基于派生ISD建立安全通道。在操作244，準備所述應用的數據，它的細節將在下文詳細描述。根據一個實施例，所述服務器聯系所述服務提供者，以準備存儲數據應用協議數據單元APDUs。根據安裝于移動裝置中ー個應用，所述服務器可以重復發布存儲數據以個人化所述應用。假如成功執行了所述配置程序，包括一個適當接ロ(比如，每個移動裝置的應用的用戶接ロ)的額外數據可以被下載。在操作246，所述服務器向一個應用提供者通知已經配置的應用的狀態。圖2C示出了當配置ー個應用時不同方之間交互的數據流程250。如圖2B中的操作244,配置應用的ー個重要應用在于為目標安全元件準備定制應用數據。比如，對于電子錢包應用，該應用的個人化數據包括基于安全元件的裝置信息(比如CPLC信息)產生的各種個人化交易密鑰。為了搬運電子錢包，個人化數據的部分包括源自Mifare卡片的標識符的Mifare訪問密鑰,所述服務器既可以個人化Java卡片應用，也可以個人化Mifare4M0bile服務目標。通常，至少有兩種不同的準備數據的方式，以方便隨后的交易。為了數據準備，本發明的一個實施例支持與所述服務提供者交互的兩種模式以計算個人化應用數據。對于第一種模式，所述TSM服務器不直接訪問與服務提供者關聯的硬件安全模塊。所述服務提供者可以使與它的硬件安全模塊交互的服務器產生應用密鑰(比如，傳輸、電子錢包或Mifare密鑰)。所述TSM數據準備實現是使用應用程序接ロ(API)或服務器提供的協議去請求派生應用密鑰(derived application key)。第二種模式是數據準備實現可以直接訪問與服務提供者相關的硬件安全模塊以產生應用密鑰。根據ー個實施例，圖2D示出了在配置一個應用過程中準備應用數據時不同方交互的數據流程255。圖2D為第一模式，其中所述TSM服務器不直接訪問與服務提供者關聯的硬件安全模塊。除了所述應用數據準備實現將直接與服務提供者的硬件安全模塊交互夕卜，第二種模式具有相似的流程。除了支持配置過程，本發明的ー個實施例還支持安全元件的壽命周期管理。所述壽命周期管理包括但不限于，安全元件鎖定、安全元件解鎖和應用刪除(非使能)。可以通過TSM通知來開始這些活動。在移動裝置的實際使用中，圖2E示出了鎖定已安裝應用的流程或過程260。ー個NFC裝置可能已經安裝了一定數量的運行于安全元件上的應用。因為ー些原因(比如，長時間沒有活動或期滿)，一個應用需要由其發布者或提供者非使能或鎖定。非使能一個已安裝應用的過程260開始于操作262。在一個實施例中，所述過程260由操作者通過TSM網頁入口手動啟動。在另ー個實施例中，所述過程260由服務提供者內部工作流程(比如使用TSM網頁服務API)自動啟動。一旦所述過程260啟動，發送一條信息至ー個NFC裝置(比如移動裝置內)，其內的一個應用需要被非使能。在實現時，這樣的消息可以有不同格式。在一個實施例中，所述消息是ー個PUSH命令。在另ー個實施例中，所述消息是ー個通過網絡傳遞至所述NFC裝置內的TCP/IP請求。在操作264中，服務器(比如TSM服務器)發送所述消息。在實現時，這樣的ー個消息包括標識將被鎖定或非使能的應用的標識符。在接收到這樣的消息時，在操作266，所述NFC裝置上的卡管理器代理(card manager proxy)用來通過回復一條信息來認證這樣的信息是否確實來自它的原始發布者或提供者。在一個實施例中，將所述消息發送至TSM服務器進行認證。如果認證失敗，即對這樣的查詢沒有回應，所述過程260將結束。假設所述認證通過，即來自所述裝置的針對所述應用的提供者的查詢收到了回復確認，所述原始請求被證明是真實的。通常，在操作268，這樣的回復確認包括將要鎖定的應用的標識符。所述TSM服務器用來建立ー個與安全元件的安全通道。隨后，所述TSM服務器通過所述卡管理器代理為所述安全元件準備適當的APDUs(比如SET STATUS(設置狀態)，或/和DELETE (刪除))。在操作270，所述裝置向所述安全元件發出操作請求，以鎖定特定應用。不管怎樣，響應所述命令，在步驟272，所述安全元件SE鎖定或非使能所述應用。根據ー個實施例，所述SE被致使與應用分離，這樣使得該已安裝的應用不再能使用所述安全元件。在操作274，所述安全元件用來發出確認以通知相關方，這個應用不再運行于所述裝置中了。在一個實施例中，所述確認發送至TMS服務器，所述TMS服務器中有ー個記錄哪些應用安裝于哪些裝置中以及每個應用的相應狀態的數據庫。所述數據庫根據來自所述安全元件的確認(acknowledgement)進行更新。圖2E示出了鎖定已安裝應用的流程或過程260。對于本領域內的普通技術人員來說，其它操作，比如解鎖或使能ー個已安裝應用，延長ー個已安裝應用的期限，是與圖2E示出的過程相似的。參照圖2F，圖2F根椐本發明的ー個具體實施例，展示了便攜設備作為電子錢包執行電子商務和移動商務時的架構示意圖280。所述圖280包括內嵌了智能卡模塊的便攜式電話282。此類便攜式電話的ー個實例是支持近距離通信(NFC，Near FieldCommunication),并且包含SmartMX(SMX)模塊的便攜式電話。需要注意的是安全元件和應用可以是集成的。除非特別說明，接下來的描述將不會指出哪個部分來執行安全元件的功能，哪個部分來作為應用。本領域內的普通技術人員應該可以理解的是根據下文給定的詳細描述合適的部分或功能將被執行。所述SMX模塊預先裝載有Mifare模擬器288 (即單功能卡)，以用來存儲數值(values)。所述便攜式電話裝有非接觸界面(例如IS014443RFID)，以允許所述便攜式電話起到標簽的作用。此外，所述SMX模塊是能夠運行Java applet程序的Java卡片(JavaCard)。根椐ー個具體實施例，電子錢包建立在所述全球平臺(GP)上，并且實現為所述SMX模塊中的applet程序。所述電子錢包被設置為能夠通過密碼訪問所述Mifare模擬器的數據結構，所述密碼由所述訪問密鑰經過適當的轉換后得到。所述便攜式電話282中提供了電子錢包管理器MIDlet程序284。在移動商務中，所述MIDlet程序284充當了電子錢包applet程序286及ー個或多個支付網絡和服務器290之間的通信代理，以使各方之間的交易順利進行。此處所指的MIDlet程序是適合在便攜設備上運行的軟件組件。所述電子錢包管理器MIDlet程序284可以被實現為Java便攜式電話上的“ MIDlet程序”，或個人數字助理(PDA)設備上的“可執行應用程序”。所述電子錢包管理器MIDlet程序284的功能之ー是接入無線網絡，并與運行在相同的設備或外部智能卡上的電子錢包applet程序進行通信。此外，MIDlet程序284還被設置為可以提供管理功能，例如更改個人識別號碼(PIN)、查看電子錢包余額和交易歷史日志。在一例應用中卡片發行商提供了用于支持和認證在卡片和對應服務器(亦即支付服務器)之間進行的任意交易的安全識別模塊(SAM) 292。如圖2F所示，應用協議數椐模塊(APDU)命令由能夠訪問安全識別模塊(SAM) 292的服務器290所創建，其中所述APDU模塊是讀取器和卡片之間的通信模塊。所述APDU模塊的構造根據IS07816標準制定。通常，APDU命令被嵌入網絡消息中并被傳送至所述服務器290或所述電子錢包applet程序286以接受處理。在電子商務中，在計算機(未示出)上運行的web代理294負責與ー個非接觸讀取器(例如ー個IS014443RFID讀取器)以及所述網絡服務器290交互。在實際操作中，所述代理294通過所述非接觸讀取器296向在便攜式電話282上運行的所述電子錢包applet程序286發送APDU命令，或通過相同途徑從所述電子錢包applet程序286處接收相應回復。另ー方面，所述代理294可生成網絡請求(例如HTTP)并從所述支付服務器290處接收相應回復。當個人化便攜式電話282吋，圖3A中的結構圖300展示了相關模塊互相作用，以完成電子錢包由授權人進行個人化的過程。圖3B中的結構圖320展示了相關模塊互相作用，以完成如圖2所示的電子錢包由其用戶進行個人化的過程。圖3C中的流程或過程圖350展示了根據本發明的ー個具體實施例，個人化電子錢包applet程序的過程。圖3C建議與圖3A和圖3B結合起來一同理解。過程圖350可以通過軟件、硬件或軟硬件結合的方式實現。如前所述，電子錢包管理器建立于全球平臺之上，以提供個人化電子錢包applet程序時所需的安全機制。在實際操作中，安全域被用來建立連接個人化應用服務器與所述電子錢包applet程序的安全通道。根據ー個具體實施例，經過個人化并被存入所述電子錢包applet程序的關鍵數據包括ー個或多個操作密鑰(例如載入或充值密鑰和購買密鑰)，預設的個人識別號碼，管理密鑰(例如阻塞解除PIN密鑰和重新載入PIN密鑰)，以及密碼〔例如來自Mifare的密碼〕。假定用戶想要個人化內嵌在便攜設備(例如一臺便攜式電話)中的電子錢包applet程序。在圖3C的步驟352中，個人化過程被啟動。根據具體實現的不同，個人化過程可能在便攜設備內的模塊中實現，并由手動或自動方式激活，也可能實現為由授權人(通常是與卡片發行商有聯系的人員)啟動的ー個物理過程。如圖3A所示，授權人啟動個人化過程304，以個人化用戶的電子錢包applet程序，所述個人化過程304在現有的(existing)新電子錢包安全識別模塊306和現有的安全識別模塊308上，通過作為界面的非接觸讀取器310來進行。卡片管理器311執行至少兩項功能:(I)通過安全域建立安全通道，以在卡片個人化過程中，安裝和個人化外部應用程序〔例如電子錢包applet程序〕；以及〔2〕創建安全措施(例如個人識別號碼)，以在后續的操作中保護所述應用程序。作為所述個人化過程使用個人化應用服務器304的結果，所述電子錢包applet程序312和模擬器314被個人化。相似地，如圖3B所示，電子錢包用戶希望啟動個人化過程，以通過無線方式(例如通過圖2中的移動商務路徑)個人化電子錢包applet程序。與圖3A不同，圖3B允許所述個人化過程由手動或自動方式激活。例如，便攜式電話上裝有ー個裝置，如果該裝置被按下，則激活所述個人化過程。在另ー種方案中，“未個人化”的狀態提示可被提交給用戶以啟動所述個人化過程。如前所述，便攜設備中的MIDlet程序322〔即ー個服務管理器〕充當代理以協助支付服務器324與電子錢包applet程序312以及模擬器314之間的通信，其中支付服務器324擁有訪問現有的新電子錢包安全識別模塊306和現有的安全識別模塊308的權限。經過所述個人化過程，電子錢包applet程序312和模擬器314被個人化。現在轉回參見圖3C，在圖3A中所示的個人化過程被啟動以后，非接觸讀取器310被激活并在步驟354中從設備內的智能卡中讀取標簽標識符(ID)(即RFID標簽ID〕和關鍵數據。通過應用安全域(例如卡片發行商的默認安全設置)，在步驟356中建立連接新電子錢包安全識別模塊(例如圖3A中的安全識別模塊306)與便攜設備中電子錢包applet程序(例如圖3A中的電子錢包applet程序312〉的安全通道。全球平臺的每個應用安全域都包括三個DES密鑰。例如:
密鑰 1:255/l/DES-ECB/404142434445464748494a4b4c4d4e4f 密鑰 2:255/2/DES-ECB/404142434445464748494a4b4c4d4e4f 密鑰 3:255/3/DES-ECB/404142434445464748494a4b4c4d4e4f安全域被用來為兩個實體之間的安全會話生成會話密鑰，所述兩個實體可以是卡片管理器applet程序和主應用程序(host application)，其中所述主應用程序可能是桌面機中的個人化應用程序，也可能是由后端服務器提供的網絡化的個人化服務。默認的應用域可由卡片發行商安裝，并分配給不同的應用/服務提供商。各應用程序所有者可在個人化過程之前(或在所述過程的最初階段)變更各自密鑰組的數值。之后應用程序可以使用所述的新密鑰組來創建用于執行個人化過程的安全通道。通過由應用提供商的應用安全域建立的所述安全通道，第一組數據可被個人化并存入電子錢包applet程序。第二組數椐同樣可以通過同一條通道進行個人化。但是，如果所述數據保存在不同的安全識別模塊中，則一條使用相同密鑰組(或不同密鑰組)的新的安全通道可被用于個人化所述第二組數據。在步驟358中，通過新電子錢包安全識別模塊306生成ー組電子錢包操作密鑰和個人識別號碼，以用于新電子錢包安全識別模塊與電子錢包applet程序之間的數據交換，并在實質上個人化所述電子錢包applet程序。在步驟360中第二條安全通道在現有安全識別模塊(例如圖3A中的安全識別模塊308)與便攜設備中的電子錢包applet程序(例如圖3A中的電子錢包applet程序312〕之間被建立。步驟362中使用所述現有安全識別模塊和標簽ID生成一組轉換后的密鑰。所述轉換后的密鑰保存在所述模擬器中以用于之后的數據訪問認證。步驟358中使用所述現有安全識別模塊和標簽ID生成ー組MF密碼，并將所述密碼存入電子錢包applet程序以用于之后的數據訪問認證。上述操作全部完成后，所述電子錢包，包括所述電子錢包applet程序和對應的模擬器，將被設置為“已個人化”狀態。基于本發明的ー個具體實施例，圖4A和圖4B —起展示了為電子錢包籌資或注資的流程或過程圖400。過程400通過圖2中的移動商務路徑實施。為了更好地理解過程400，圖4C展示了一幅具有代表性的方塊圖450，圖中相關方塊相互作用以完成所述的過程400。根據本發明實際應用的不同情況，所述過程400可能通過軟件、硬件、或軟硬件結合的方式實現。假設用戶得到了一臺安裝了電子錢包的便攜設備(例如一臺便攜式電話〕。所述用戶希望從銀行的賬戶中向所述電子錢包注入資金。在步驟402，所述用戶輸入ー組個人識別號碼(PIN)。假定所述個人識別號碼有效，便攜設備中的電子錢包管理器被激活，并在步驟404中發起請求(也被稱為空中(OTA, Over-the-Air)充值請求)。在步驟406中便攜設備內的MIDlet程序向電子錢包applet程序發送請求，圖4C中描繪了所述步驟406中電子錢包管理器MIDlet程序434與電子錢包applet程序436之間通信的過程。在步驟408中，電子錢包applet程序生成用于回應所述MIDlet程序請求的回復。收到所述回復后，所述MIDlet程序將所述回復通過蜂窩通信網絡發送至支付網絡和服務器。如圖4C所示，電子錢包管理器MIDlet程序434與電子錢包applet程序436通信以獲取回復，所述回復隨即被發送至支付網絡和服務器440。在步驟410，過程400需要核實所述回復的有效性。如果所述回復無法被核實，過程400將終止。如果所述回復被核實為有效，則過程400進入步驟412并查對銀行中相對應的賬戶。如果所述賬戶的確存在，資金過戶請求將被啟動。在步驟414中，所述銀行收到所述請求后會返回回復以回應所述請求。通常，所述支付網絡和服務器與所述銀行之間的信息交換需遵守網絡協議〔例如國際互聯網使用的HTTP協議〕。在步驟416中，所述銀行返回的回復被傳送至支付網絡和服務器。在步驟418中，MIDlet程序從所述回復中提取出處APDU命令并將所述命令轉發給電子錢包applet程序。在步驟420中所述電子錢包applet程序核實所述命令，如果所述命令被核實為已被授權，則將該命令發送至步驟420中的模擬器，同時更新交易日志。步驟422中生成標簽(ticket)以用來制定向所述支付服務器發送的回復(例如APDU格式的回復)。在步驟424中，所述支付服務器收到回復后更新并向所述MIDlet程序發送成功狀態信息，同時保存所述APDU回復以便以后查對。如圖4C所示，支付網絡和服務器440收到電子錢包管理器MIDlet程序434發出的回復，并與安全識別模塊444核實所述回復最初是由經過授權的電子錢包applet程序436所發出。所述回復被核實之后，支付網絡和服務器440向提供資金的銀行442發出請求，假定用戶432在所述銀行中有帳戶。所述銀行會核實并授權所述請求，然后按照預定的消息格式返回授權號碼。從銀行442接收到所述回復之后，支付服務器440會向MIDlet程序434發送ー個網絡回復以拒絕或批準所述請求。電子錢包管理器434核實所述網絡回復的有效性(例如是否是APDU格式)，然后向模擬器438發送命令并更新交易日志。至此，電子錢包applet程序436完成了所需的步驟并向而MIDlet程序434返回一個回復,所述MIDlet程序434再向支付服務器440轉發ー條內嵌(APDU)回復的網絡請求。 盡管過程400被描述為向電子錢包中注入資金，本領域中的其他技術人員能夠容易地得出使用電子錢包通過網絡進行購買的過程與過程400本質上是一祥的結論，因此所述進行購買的過程不再在此單獨討論。根據本發明的ー個具體實施例，圖5A中展示了使便攜設備530能夠在蜂窩通信網絡520 (例如一個GPRS網絡)上進行電子商務和移動商務的第一個不例架構500。所述便攜設備530由基帶524和安全元件529 (例如智能卡)組成。所述便攜設備的ー個實例是支持近距離通信或近場通信(NFC, Near Field Communication)的便攜設備(例如便攜式電話或個人數字助理(PDA))。所述基帶524提供了一個電子平臺或環境(例如微型版Java(JME, Java Micro Edition),或移動信息設備框架(MIDP, Mobile Information DeviceProfile)),在其上可執行或運行應用MIDlet程序523和服務器管理器522。所述安全元件529包含有全球平臺(GP)卡片管理器526，模擬器528以及其他組件比如個人識別號碼管理器〔未示出〕。為支持所述便攜設備530執行電子商務和移動商務，需要在其上預先安裝和設置一個或多個服務/應用。服務管理器522的一個實例(例如一個有圖形用戶界面的MIDlet程序)需要被激活。在ー個具體實施例中，服務管理器522可以被下載并安裝。在另ー個具體實施例中，服務管理器522可以被預先載入。無論采用何種方式，一旦服務管理器522被激活，包含各種服務的目錄列表將被顯示。所述目錄列表可能包含與用戶的簽約信息有關的服務項目，也可能包括獨立于用戶簽約信息的推薦項目。所述目錄列表可從目錄服務器512上的目錄庫502中得到。目錄服務器512為各種可能向注冊者提供產品和/或服務的服務提供者(例如安裝服務器，個人化服務器)起到了交流中心(central hub)的作用(如黃頁功能)。所述目錄服務器512的黃頁功能可以包括服務規劃信息(例如服務收費，開始日期，結束日期等〕、安裝、個人化和/或MIDlet程序下載地點(如國際互聯網地址)。所述安裝和個人化過程可能是由兩個不同的商業實體所提供，比如所述安裝過程可能由安全元件529的發行商所提供，而所述個人化過程可能由持有特定應用程序的應用處理密鑰的服務提供商所提供。根據ー個具體實施例，服務管理器522被配置為通過蜂窩通信網絡520連接服務提供商的一個或多個服務器514。假定用戶已經從呈現給他的服務目錄中選擇了 ー個應用。在所述一臺或多臺服務器514與全球平臺管理器526之間將建立一條安全通道518，以安裝/下載所述用戶選擇的應用applet程序527,然后再個人化此應用applet程序527及可選的模擬器528，并最終下載應用MIDlet程序523。Applet程序庫504和MIDlet程序庫506分別提供一般的應用applet程序和應用MIDlet程序。全球平臺安全識別模塊516和應用程序安全識別模塊517被用來建立安全通道518以進行個人化操作。根據本發明的另ー個具體實施例，圖5B展示了使便攜設備530能夠在公共網絡521上執行電子商務和移動商務的第二個示例架構540。所述第二個架構540中的大多數組件本質上與圖5A第一個架構500中的組件相類似。不同之處在于第一個架構500是基于蜂窩通信網絡520上的操作，而第二個架構540則使用了公共網絡521〔例如國際互聯網)。所述公共網絡521可能包括局域網(LAN, Local Area Network)、一個廣域網(WAN,Wide Area Network),WiFi (IEEE802.11)無線連接、ー個 W1-Max (IEEE802.16)無線連接等。為了在所述公共網絡521上進行服務操作，服務管理器532的一個實例(即與服務管理器MIDlet程序522功能相同或相似的實例)將被安裝在接入公共網絡521的計算機538上。所述計算機538可以是桌面個人電腦(PC)、筆記本電腦、或其他能運行服務管理器532的所述實例，并接入公共網絡521的計算設備。所述計算機538和便攜設備530之間的連接通過ー個非接觸讀取器534來進行。服務管理器532充當了代理的角色，以協助服務提供商的一個或多個服務器514與全球平臺卡片管理器526之間,通過安全通道519進行的安裝和個人化過程。圖5C是ー張流程圖，根據本發明的ー個具體實施例，描繪了使便攜設備能夠進行電子商務和移動商務功能的過程550。所述過程550根據具體實現的不同，可以通過軟件、硬件、或軟硬件結合的方式實現。為了更好地理解所述過程550，以下的描述中將引用若干較早的圖示，尤其是圖5A和圖5B。在過程550開始之前，服務管理器522或532的ー個實例已被下載或預裝在便攜設備530或計算機538上。在步驟552，服務管理器被激活并向服務提供商處的服務器514發送服務請求。在用戶被識別以及便攜設備被核實為有效之后，在步驟554中，所述過程550依據便攜設備530的用戶的簽約(subscription)信息提供服務/應用程序的目錄列表。例如，所述列表可能包含移動銷售點應用程序、電子錢包應用程序、電子票務應用程序、以及其他商業化的服務。然后ー個服務/應用程序被從所述目錄列表中選中。例如，電子錢包或移動銷售點可被選中用來配置便攜設備530。作為對用戶選擇的回應，過程550在步驟556下載并安裝所述被選中的服務/應用程序。例如，電子錢包applet應用程序(即應用applet程序527)從applet程序庫504中下載并安裝在安全元件529中。所述下載或安裝的路徑可以是安全通道518或519。在步驟558中，如果需要，過程550將個人化所述已被下載的應用applet程序和所述模擬器528。一些被下載的應用applet程序不需要被個人化，另外ー些則需要個人化。在ー個具體實施例中，移動銷售點應用applet程序(“銷售點安全識別模塊(POS SAM) ”)需要被個人化，則以下信息或數據組是必須提供的:
(a)唯一基于底層安全元件獨特標識符的安全識別模塊ID；
(b)一組借記主密鑰(debit master key)；
(c)一個轉換后的消息加密密鑰；
(d)一個轉換后的消息識別密鑰；
(e)每筆線下交易的備注部分可以被允許的最大長度； (f)一個轉換后的批量交易密鑰；以及
(g)一個全球平臺個人識別號碼(GP PIN)。在另ー個具體實施例中，為單功能卡片個人化電子錢包applet程序時，不僅需要將特定數據(即個人識別號碼、轉換后的密鑰、開始日期、結束日期等)配置在電子錢包中，而且還要將模擬器設置為可以在開放的系統中工作。最后，在步驟560中，過程550下載并根據選擇啟動應用MIDlet程序523。所述應用applet程序中的某些個人化數據可被訪問和顯示，或由用戶提供。所述過程550在所有服務/應用組件均被下載、安裝和個人化后結束。根據ー個具體實施例，使便攜設備530能夠作為一個移動銷售點來使用的ー個代表性過程如下:
(a)接入安裝服務器(即服務提供商的一臺服務器514)，并請求所述服務器建立第一條安全通道(例如安全通道518)，以連接ー個發行商域〔即applet程序庫504〕與運行于安全元件529上的全球平臺卡片管理器526 ；
(b)接收一條或多條網絡消息，所述消息中包含封裝銷售點安全識別模塊applet程序(例如來自applet程序庫504的ー個Java Cap文件)的若干APDU請求；
(C)從接收到的所述網絡消息中提取所述APDU請求；
(d)向全球平臺卡片管理器526按照正確的順序發送提取出的APDU請求，以在安全元件529上安裝銷售點安全識別模塊(即應用applet程序527)；
(e)接入一個個人化服務器〔即一臺服務提供商的服務器514〕，以開通第二條連接個人化服務器與新下載的applet程序(即銷售點安全識別模塊)之間的安全通道(根據服務器和/或路徑的不同，所述安全通道可能是也可能不是安全通道518)。
(f)接收一條或多條網絡消息以獲得一個或多個單獨的“數據存儲APDU(STOREDATAAPTU) ”；
(g)提取并發送所述“數據存儲APDU(STORE DATAAPTU) ”，以個人化銷售點安全識別模塊；以及
(h)下載并啟動銷售點管理器(即應用MIDlet過程序523)。圖6A展示了ー個代表性的架構600，根椐本發明的ー個具體實施例，其中便攜設備630作為移動銷售點，以執行電子商務和移動商務。所述便攜設備630由基帶624和安全元件629組成。銷售點管理器623被下載并安裝在所述基帶624中，銷售點安全識別模塊628則被個人化并安裝在安全元件629中，以使便攜設備630能夠充當移動銷售點的角色。這樣實時的交易639可以在支持移動銷售點的便攜設備630與支持電子代幣的裝置636(例如單功能卡片或支持電子錢包的移動設備)之間進行。所述電子代幣可能代表設備中的電子貨幣(e-money)、電子購物券(e-coupon)、電子票(e-ticket)、電子憑單(e-voucher)或任何其他形式的支付代幣。實時交易639可以在線下進行(即不將便攜設備接入后端銷售點交易處理服務器613)。但是，在特定的實際情況中，例如交易量超過了預定的門限時，或支持電子代幣的設備636需要充值或虛擬充值時，或(単一或批量)交易上傳時，所述便攜設備630可以通過蜂窩網絡520接入所述后端銷售點交易處理服務器613。累積的線下交易記錄需要被上傳至后端銷售點交易處理服務器613進行處理。所述上傳操作由通過安全通道618接入銷售點交易處理服務器613的便攜設備630執行。與所述安裝和個人化過程相似，上傳操作可以經由兩條不同的路線執行:蜂窩通信網絡520 ；或公共網絡521。圖6A描繪了所述第一條路線。所述第二條路線如圖6B所示，根椐本發明的ー個具體實施例，圖6B展示了ー個代表性的架構640，其中便攜設備630作為移動銷售點并在公共網絡521上執行交易批量上傳的操作。所述移動銷售點中的線下交易記錄一般被堆積保存在銷售點安全識別模塊628中的交易日志中。所述交易日志由非接觸讀取器634所讀取并存入安裝在計算機638中的銷售點代理633。所述銷售點代理633再在公共網絡521上通過安全通道619接入銷售點交易處理服務器613。每個包含一條或多條交易記錄的上傳操作都標記為一個單獨的批量上傳操作。銷售點安全識別模塊628、非接觸讀取器634以及銷售點代理632三者之間的數據通信釆用格式并包含所述交易記錄。封裝APDU(例如HTTP)的網絡消息則被用于銷售點代理632和銷售點交易處理服務器613之間的通信。在ー個具體實施例中，ー個來自銷售點管理器623或銷售點代理633的具有代表性的批量上傳過程包括:
(a)向銷售點安全識別模塊628發送請求以發起批量上傳操作；
(b)在所述銷售點安全識別模塊628同意所述批量上傳請求后，從所述銷售點安全識別模塊628中被標記的“ー批”或“一組”中以APDU命令的形式取回累積的交易記錄；
(c)創建一條或多條包含所述取回的APDU命令的網絡消息；
(d)通過安全通道619將所述一條或多條網絡消息發送至銷售點交易處理服務器
613 ；
(e)從所述銷售點交易處理服務器613中接收確認簽名消息；
(f)將所述確認簽名消息以APDU的形式轉送至所述銷售點安全識別模塊628以進行核實，然后刪除經確認已被上傳的交易記錄；以及
(g)如果所述同一“批”或“組”中仍然有其他未被上傳的交易記錄，則重復步驟(b)至步驟⑴。圖6C展示了一幅流程圖，根據本發明的ー個具體實施例，描繪了使用充當移動銷售點的便攜設備630與作為單功能卡片使用并支持電子代幣的裝置636進行移動商務的過程650。為了更便于理解，最好將過程650與之前的圖示，尤其是圖6A和圖6B關聯起來一同考察。所述過程650可以用軟件、硬件、或軟硬結合的方式實現。當支持電子代幣裝置(例如Mifare卡片或支持電子錢包并模擬單功能卡片的便攜式電話)的持有者，希望通過移動銷售點(即便攜設備630)購買物品或訂購服務時，過程650(例如圖6A中的銷售點管理器623所執行的過程〉便會被啟動。在步驟652，便攜設備630讀取所述支持電子代幣的裝置并取回電子代幣(例如Mifare卡片的標簽ID)。然后，過程650在步驟654中核實所述取回的電子代幣是否有效。如果圖6A中支持電子代幣的裝置636是單功能卡片(例如Mifare)，則由銷售點管理器623執行的所述核實過程包括:(i)讀取所述卡片的卡片標識(ID)，所述卡片標識保存在不受保護或僅受公知密鑰保護的區域上；(ii)向銷售點安全識別模塊628發送包含所述卡片標識的請求；(iii)接收ー個或多個由銷售點安全識別模塊628生成的轉換后密鑰〔例如用于交易計數、發行商數據等的密鑰〕。如果所述接收到的一個或多個轉換后密鑰為無效，即所述取回的電子代幣為無效，則結束過程650。否則過程650將沿著“是”分支推進至步驟656，在步驟656中將判定在所述取回的電子代幣中是否有足夠的余額以支付當前交易所需的費用。如果步驟656判定的結果為“否”，過程650可以選擇提議所述持有者在步驟657中為其電子代幣充值(即載入、注入或籌集資金)。如果所述持有者選擇“否定”所述提議，則過程650結束。否則如果所述持有者同意為所述支持電子代幣的裝置進行實時充值，則過程650在步驟658中執行充值或虛擬充值操作。之后過程650返回步驟656。如果在電子代幣中有足夠的幣余額，過程650在步驟660中從支持電子代幣裝置636的電子代幣中扣除或借記完成所述購買需要支付的數額。在所述單功能卡片的情況中，所述ー個或多個轉換后密鑰被用來授權所述扣除操作。最后在步驟662，銷售點安全識別模塊628中積累的一個或多個線下交易記錄被上傳至銷售點交易處理服務器613進行處理。所述上傳操作可通過蜂窩通信網絡520或公共域網絡521對單個交易或批量交易進行。圖4A中的過程400描述了前述的充值操作。虛擬充值操作是所述充值操作的特殊類型，通常被贊助人或捐助者用來提高電子代幣的信用額度。為了能夠使用虛擬充值操作，所述贊助人需要設立ー個賬戶，并將所述賬戶與支持電子代幣的裝置(例如單功能卡片、多功能卡片、支持電子代幣的便攜式電話等等)綁定。例如，由商業實體(例如企業、銀行等等)提供的線上賬戶。一旦所述贊助人向所述線上賬戶中充入了電子代幣，支持電子代幣裝置的持有者便能在接入移動銷售點時從所述線上賬戶中收到電子代幣。多種不同的安全措施將被貫徹執行以確保所述虛擬充值操作是安全而且可靠的。所述虛擬充值的ー個具有代表性的應用情景是父(母)親(即贊助人)可以向ー個線上賬戶中充入電子代幣，所述線上賬戶與一位兒童(即設備持有人)的便攜式電話(即支持電子代幣的裝置)相連接，因此當所述兒童在移動銷售點購買物品時，所述兒童就能收到所述被充入的電子代幣。除了此處描述的各種電子商務和移動商務功能以外，銷售點管理器623還被設置為可提供多種查詢操作，例如，(a)檢查銷售點安全識別模塊中累積的未形成批量(即未被上傳)的收支記錄，(b)列出銷售點安全識別模塊中的未形成批量的交易日志，(C)顯示保存在銷售點安全識別模塊中的特定交易的細節，⑷檢查支持電子代幣的裝置的當前余額，(e)列出支持電子代幣的裝置的交易日志，以及(f)顯示支持電子代幣的裝置的特定交易的細節。圖6D中的流程圖，根據本發明的ー個具體實施例，描繪了使用可充當移動銷售點的便攜設備630與作為多功能卡片使用并支持電子代幣的裝置636，進行移動商務的具有代表性的過程670。為了更便于理解，最好將過程670與之前的圖示，尤其是圖6A和圖6B聯系起來一同考察。所述過程670可以用軟件、硬件、或軟硬結合的方式實現。當支持電子代幣裝置636 (例如多功能卡片或支持電子錢包并模擬多功能卡片的便攜式電話)的持有者希望通過移動銷售點(即便攜設備630)購買物品或訂購服務時，過程670 (例如圖6A中銷售點管理器623所執行的過程)便會被啟動。在步驟672，過程670向支持電子代幣的裝置636發送初始購買請求。購買費用與所述初始購買請求(例如命令)一同發送。然后過程670進行至判定步驟674。當支持電子代幣的裝置636中沒有足夠的余額時，銷售點管理器623將收到拒絕所述初始購買請求的回應消息。結果是過程670由于所述購買請求被拒絕而結束。如果支持電子代節的裝置636中有足夠的余額，判定步驟674的結果為“是”，過程670將沿著“是”分支進行至步驟676。從支持電子代幣的裝置636那里收到的回復(例如APDU命令)將被轉發至銷售點安全識別模塊628。所述回復中的信息包括電子代幣密鑰的版本，以及將被用于建立安全通道的隨機數，所述安全通道將連接支持電子代幣的裝置636上的applet程序(例如電子錢包applet)與便攜設備630上安裝的銷售點安全識別模塊628。然后，在步驟678，過程670收到由銷售點安全識別模塊628為了回應所述轉發回復(即步驟676中的回復)而生成的借記請求(例如APDU命令)。所述借記請求包含消息識別代碼(MAC,Message Authentication Code)以便applet程序〔即電子錢包applet程序〕核實即將進行的借記操作，其中所述即將進行的借記操作是為了回應步驟680中發送的借記請求而進行的。過程670推進到步驟682，收到所述借記操作的確認消息。所述確認消息中包含被銷售點安全識別模塊628和銷售點交易處理服務器613分別用來核實和處理的附加消息識別代碼。接下來在步驟684，所述借記確認消息被轉發至銷售點安全識別模塊628以進行核實。一旦所述消息識別代碼被核實為有效，并且購買交易被記錄在銷售點安全識別模塊628中，所述被記錄的交易在步驟686中被顯示，然后過程670結束。需要注意的是前述電子商務交易可在線下或線上通過銷售點交易處理服務器613進行。并且當支持電子代幣的裝置中的余額不足時，可以按照圖4A和圖4B中描繪的過程400執行充值或注資操作。圖7展示了便攜設備被用于電子票務應用時的具有代表性的設置。便攜設備730被配置為包括電子錢包724。當所述便攜設備730的擁有者或持有人希望購買參加ー個特定活動的票據(例如音樂會票、球賽門票等)時，所述擁有者可使用電子錢包724通過ー個電子票服務提供商720購票。所述電子票服務提供商720可聯系傳統的票房預定系統716或線上票務應用程序710來預定和購買所述票據。之后電子代幣(例如電子貨幣)被從便攜設備730的電子錢包724中扣除，以向信用/借記系統714 (例如金融機構，銀行)支付票據購買費用。安全識別模塊718被接入所述電子票務服務提供商720，以確保便攜設備730中的電子錢包724被正確識別。在收到付款確認后，電子票通過空中連接(例如蜂窩通信網絡)被傳送至便攜設備730，并以電子化的方式被存儲在安全元件726上，例如以電子票代碼、密鑰或密碼的方式。之后，當所述便攜設備730的擁有者，即所述電子票的持有者出席所述特定活動時，所述電子票持有者只需要讓入口登記讀取器734讀取便攜設備730中保存的電子票代碼或密鑰。在ー個具體實施例中，所述入口登記讀取器734是ー個非接觸讀取器(例如遵守IS014443的超短距離耦合裝置)。所述便攜設備730是支持近距離通信(NFC)的移動電話。本發明更適合采用軟件形式實現，但也可用硬件或軟硬件結合的形式實現。本發明也可被實現為計算機可讀媒體上的可被計算機讀取的代碼。所述計算機可讀媒體是任何可以保存能夠被計算機系統讀取的數據的數椐存儲裝置。計算機可讀媒體的實例包括只讀存儲器，隨機存取存儲器，CD光盤(CD-ROM)，數字化視頻光盤(DVD)，磁帶，光學數據存儲裝置，以及載波。所述計算機可讀媒體也可分布在通過網絡相連的多臺計算機系統中，這樣所述可被計算機讀取的代碼將以分布式的方式存儲和運行。上述說明已經充分揭露了本發明的具體實施方式
。需要指出的是，熟悉該領域的技術人員對本發明的具體實施方式
所做的任何改動均不脫離本發明的權利要求書的范圍。相應地，本發明的權利要求的范圍也并不僅僅局限于前述具體實施方式
。
權利要求
1.ー種配置一個應用的方法，其特征在于，其包括: 將識別所述應用的標識符和安全元件的裝置信息一起發送至服務器，其中所述安全元件與一個移動裝置關聯，所述應用已安裝于所述移動裝置上； 使用安裝于所述安全元件上的派生安全密鑰集在安全元件和所述服務器之間建立安全通道，其中所述服務器用來為所述應用準備必要的數據以使得所述應用在移動裝置上如設計的那樣運行； 從所述服務器接收所述數據以使能所述應用，其中所述數據包括所述應用在移動裝置上的用戶界面和產生的應用密鑰集；以及 向所述應用的提供者發送ー個確認信息，以報告此時在所述移動裝置上與所述安全元件一起運行的所述應用的狀態。
2.根據權利要求1所述的方法，其特征在于:所述將識別所述應用的標識符和安全元件的裝置信息一起發送至服務器包括: 確定所述安全元件是否已經經由可信服務管理系統被個人化，其中所述可信服務管理系統是服務的集合，所述服務用來發布和管理與所述可信服務管理系統簽約的客戶的無接觸性服務，在多個不同方之間提供數據交換以使得通過無線網絡進行電子交易成為可能； 在確認所述安全元件未經由可信服務管理系統被個人化吋，為所述安全元件執行個性化過程，其中個性化后的安全元件為運行于所述移動裝置上的所述應用建立ー個安全平臺。
3.根據權利要求2所述的方法，其特征在于:所述個人化過程包括: 開始與所述可信服務管理系統中的ー個服務器進行數據通信； 在所述服務器確定所述 安全元件注冊于其上后，響應所述服務器的請求發送所述安全元件的裝置信息，其中所述裝置信息是唯一標識所述安全元件的字符串，所述請求是使得所述計算裝置從所述安全元件中提取所述裝置信息的命令； 從所述服務器接收至少ー密鑰集，其中所述服務器根據所述安全元件的裝置信息產生所述S陰集；和 在所述安全元件中存儲所述密鑰集以方便通過所述移動裝置隨后進行的交易。
4.根據權利要求3所述的方法，其特征在于:所述移動裝置是具有近場通信功能的裝置，該具有近場通信功能的裝置內包括有所述安全元件，在所述具有近場通信功能的裝置用來通過數據網絡與一方進行各種交易前需要個人化所述安全元件。
5.根據權利要求4所述的方法，其特征在于:所述裝置信息包括安全元件的標識符、制造者信息和批次號。
6.根據權利要求2所述的方法，其特征在于:所述應用是從指定服務器上下載的軟件模組，該應用能夠隨著時間更新。
7.根據權利要求2所述的方法，其特征在于:所述應用是所述安全元件的一部分，并用作所述移動裝置的用戶的電子錢包。
8.根據權利要求1所述的方法，其特征在于:所述服務器準備的所述數據中的部分用來方便所述服務器去遠程管理所述應用，當所述服務器準備的所述數據中的部分符合預定標準時非使能或使能所述應用。
9.根據權利要求1所述的方法，其特征在于:其還包括:從服務器接收消息，所述消息能夠標識所述應用；和 在核實所述消息是真實有效的后，使得所述安全元件與所述應用脫離。
10.根據權利要求1所述的方法，其特征在于:其還包括: 通知所述應用的提供者有關所述應用的更新狀態。
11.ー種配置一個應用的方法，其特征在于，其包括: 將來自ー個移動裝置的識別所述應用的標識符和安全元件的裝置信息一起發送至服務器，其中所述安全元件與所述移動裝置相關，所述應用已安裝于所述移動裝置上； 使用安裝于所述安全元件上的派生安全密鑰集在所述安全元件和所述服務器之間建立安全通道； 為所述應用準備必要的數據以使得所述應用在所述移動裝置上如設計的那樣運行； 通過所述安全通道從所述服務器傳輸所述數據以使能所述應用；以及通知所述應用的提供者有關此時在所述移動裝置上與所述安全元件一起運行的所述應用的狀態。
12.根據權利要求11所述的方法，其特征在于:其還包括: 確定所述安全元件是否已經被個人化； 在確定所述安全元件還未被個人化時，使得所述移動裝置開始所述安全元件的經由可信服務管理系統的個人化過程，其中所述可信服務管理系統是服務的集合，所述服務用來發布和管理與所述可信服務管理系統簽約的客戶的無接觸性服務，在多個不同方之間提供數據交換以使得通過無線網絡與所述移動裝置進行電子交易成為可能。
13.根據權利要求12所述的方法，其特征在于:其還包括:所述個人化過程包括: 開始與所述可信服務管理系統中的一個服務器數據通信； 在所述服務器確定所述安全元件注冊于其上后，響應所述服務器的請求發送所述安全元件的裝置信息，其中所述裝置信息是唯一標識所述安全元件的字符串，所述請求是使得所述計算裝置從所述安全元件中提取所述裝置信息的命令； 從所述服務器接收至少ー密鑰集，其中 所述服務器根據所述安全元件的裝置信息產生至少ー密鑰集；和 將所述密鑰集傳輸至所述安全元件以方便通過所述移動裝置隨后進行的交易。
14.根據權利要求11所述的方法，其特征在于:所述應用是從指定服務器上下載的軟件模組，所述應用能夠隨著時間更新，所述應用是所述安全元件的一部分，并用作所述移動裝置的用戶的電子錢包。
15.根據權利要求11所述的方法，其特征在于:所述服務器準備的所述數據中的部分用來方便所述服務器去遠程管理所述應用，當所述服務器準備的所述數據中的部分符合預定標準時非使能或使能所述應用。
16.根據權利要求15所述的方法，其特征在于:其還包括: 從服務器接收消息，所述消息能夠標識所述應用；和 在核實所述消息是真實有效的后，使得所述安全元件與所述應用脫離。
全文摘要
本發明公開了一種在移動裝置中配置應用的方法和裝置。所述方法包括將識別已安裝于一個移動裝置上的應用的標識符和與所述移動裝置關聯的安全元件的裝置信息一起發送至服務器；使用安裝于所述安全元件上的派生安全密鑰集在安全元件和所述服務器之間建立安全通道，其中所述服務器用來為所述應用準備必要的數據以使得所述應用在移動裝置上如設計的那樣運行；從所述服務器接收所述數據以使能所述應用，其中所述數據包括所述應用在移動裝置上的用戶界面和產生的應用密鑰集；以及，向所述應用的提供者發送一個確認信息，以報告此時在所述移動裝置上與所述安全元件一起運行的所述應用的狀態。這樣，所述應用可以基于所述安全元件進行提供安全的服務。
文檔編號H04L9/32GK103117856SQ20121058358
公開日2013年5月22日 申請日期2012年12月28日 優先權日2012年1月16日
發明者許良盛, 潘昕, 謝祥臻 申請人:深圳市家富通匯科技有限公司