用于多个服务供应商可信服务管理器和安全元件的接口连接的系统、方法和计算机程序产品 |
|||||||
| 申请号 | CN201280059706.4 | 申请日 | 2012-10-16 | 公开(公告)号 | CN104025507B | 公开(公告)日 | 2017-02-22 |
| 申请人 | 谷歌公司; | 发明人 | M.J.加吉尔罗; | ||||
| 摘要 | 本 发明 提供了用于多个服务供应商(SP)可信服务管理器(TSM)中的一个与多个安全元件(SE)中的一个之间的 接口 连接的系统、方法和 计算机程序 产品。通过通信网络从SP TSM接收包括移动订阅识别符(MSI)的第一 请求 。查询至少一个 存储器 以获得包括对应于所述MSI的SE识别符的SE数据。所述SE数据通过所述通信网络传输到所述SP TSM。通过所述通信网络从所述SP TSM接收基于所述SE数据的第二请求。通过移动网络将基于所述第二请求的第三请求传输到对应于所述SE数据的SE。所述移动网络是选自多个移动网络,且是基于从所述存储器查询的所述SE数据而确定。 | ||||||
| 权利要求 | 1.一种用于多个服务供应商可信服务管理器中的一个与多个安全元件中的一个之间的接口连接的系统,所述系统包括: |
||||||
| 说明书全文 | 用于多个服务供应商可信服务管理器和安全元件的接口连接的系统、方法和计算机程序产品 [0001] 相关申请案交叉参考 [0002] 本申请主张2012年9月18日提交的第61/702,653号和2011年11月1日提交的第61/554,393号的美国临时申请的优先权,所述申请的内容是以引用的方式并入本文。 [0003] 发明背景发明领域 [0004] 本发明涉及服务供应商与安全元件之间的接口连接,且更特定地说涉及用于服务供应商可信服务管理器与安全元件之间的接口连接的系统、方法和计算机程序产品。 [0005] 相关领域 [0006] 服务供应商(SP)是向客户或消费者提供服务的公司、组织、实体等等。服务供应商的实例包括账户发行实体,诸如商人、卡协会、银行、营销公司和运输管理局。服务可以是由服务供应商允许或提供的活动、能力、功能、工作和使用,诸如支付服务、赠送服务、报价服务或忠诚度服务、过境签证服务等等。 [0007] 在涉及移动装置与服务供应商之间的非接触式交易的移动环境下,涉及由服务供应商发行的账户和应用程序的信息必须被下载到移动装置上以使其能够执行非接触式交易。 [0008] 可信服务管理器(TSM)通常是通过向移动装置配置应用程序(诸如与服务供应商相关联的无接触式应用程序)而服务于移动网络运营商(MNO)和账户发行服务供应商的独立实体。典型的TSM可远程分布并管理无接触式应用程序,因为其访问启用近场通信(NFC)的移动装置中的安全元件(SE)。 [0011] 安全元件可以不同形状因子(诸如可被插入到移动装置上的狭槽中的通用集成电路卡(UICC)、嵌入式安全元件或NFC使能器(诸如单独芯片或安全装置))实施。通常,UICC是呈受控于MNO的用户身份模块(SIM)的形式。嵌入式安全元件向服务供应商赋予将安全元件嵌入到电话本身中的选项。其中实施安全元件形状因子的一种方式是定义于(例如)GlobalPlatform卡规范版本2.1.1和2.2(下文称为“Global Platform”)中。 [0012] 安全元件可以包括一个或多个安全域(SD),其中的每个包括信任共同实体(即,使用共同安全密钥或令牌认证或管理)的数据的集合,诸如数据包、小应用程序、应用程序等等。 [0013] 安全域可以与服务供应商相关联且可以包括服务供应商小应用程序或应用程序(诸如忠诚度、票券兑换和信用卡)并中转应用程序或小应用程序。 [0014] 从传统上来说,服务供应商系统包括TSM以与移动装置上的安全元件互连以在安全元件上创建安全域,且安装、配置和管理安全元件上的小应用程序和应用程序。服务供应商必须能够给具有装备有不同安全元件且由多个MNO服务的不同移动装置的极多个客户提供其服务。如上文解释,安全元件可以多种形状因子实施,且可以包括多个安全域、小应用程序和应用程序,其全部可以极多种方式进行配置。结果,服务供应商面临给移动装置、MNO、网络、安全元件和安全域的多种且通常不断增加并不断变化的组合提供适应性服务和解决方法的艰巨任务。 [0015] 例如,为了使服务供应商将支付小应用程序安全地安装到移动装置的客户安全元件上,服务供应商必须首先确定大量信息发送到安全元件并在安全元件上处理请求。例如,服务供应商使用先前技术必须获得安全元件信息(例如,识别符、类型、配置文件识别符、证书级别、失效期)、MNO信息(例如,类型)、安全域信息(例如,识别符、权限、主密钥索引)等等。这样的信息可以存在于多个不同源(例如,安全域、安全元件、移动装置、MNO)中,且因此服务供应商检索所有这样的信息并核对其奇偶校验是一项艰巨的任务,需要大量处理。 [0016] 安装、管理和配置安全元件上的应用程序由于典型的TSM受限而面临一种技术挑战,即TSM不会用作能够处理极多个服务供应商、MNO、移动装置、网络、安全元件和安全域之间的通信的中央中间机构。因此,需要改善系统,诸如尤其被特别设计用作服务供应商(包括服务供应商TSM)与安全元件之间的接口连接的中央TSM。 [0017] 从服务供应商的观点来看,所关心的是其可容易又安全地与期望的客户安全元件通信(即,请求个性化、服务激活、脚本处理等等),而不管客户移动装置、安全元件、MNO或移动网络。 [0018] 从客户的观点来看,所关心的是服务供应商的服务可在客户安全元件上激活且和客户安全元件一起激活,而不管客户移动装置、安全元件、MNO或移动网络。 [0019] 发明概述 [0020] 本发明提供了用于多个服务供应商可信服务管理器中的一个与多个安全元件中的一个之间的接口连接的系统、方法和计算机程序产品。 [0021] 在一个实施方案中,一种用于多个服务供应商可信服务管理器中的一个与多个安全元件中的一个之间的接口连接的系统包括至少一个存储器和处理器,其通信地耦接到所述至少一个存储器。所述处理器通过通信网络从服务供应商可信服务管理器接收包括移动订阅识别符的第一请求。查询所述至少一个存储器以获得包括对应于所述移动订阅识别符的安全元件数据。所述安全元件数据包括安全元件识别符且是通过所述通信网络传输到所述服务供应商可信服务管理器。通过所述通信网络从所述服务供应商可信服务管理器接收基于所述安全元件数据的第二请求且将基于所述第二请求的第三请求传输到对应于所述安全元件数据的安全元件。所述第三请求是通过基于从所述存储器查询的所述安全元件数据从多个移动网络选择的移动网络而传输。 [0022] 在另一实施方案中,一种用于多个服务供应商可信服务管理器(SP TSM)中的一个与多个安全元件中的一个之间的接口连接的方法包括SP TSM和至少一个存储器。所述SP TSM通过通信网络接收包括移动订阅识别符的第一请求。查询所述至少一个存储器以获得包括对应于所述移动订阅识别符的安全元件识别符的安全元件数据。通过所述通信网络将所述安全元件数据传输到所述SP TSM,且通过所述通信网络从所述SP TSM接收基于所述安全元件数据的第二请求。通过移动网络将基于所述第二请求的第三请求传输到对应于所述安全元件数据的安全元件。所述移动网络是选自多个移动网络,且是基于从所述至少一个存储器查询的所述安全元件数据而确定。 [0023] 在另一实施方案中,一种其上存储指令序列的非临时性计算机可读介质,所述指令序列包括当由计算机系统执行时使所述计算机进行以下项的指令:通过通信网络从SP TSM接收包括移动订阅识别符的第一请求;查询至少一个存储器以获得包括对应于所述移动订阅识别符的安全元件识别符的安全元件数据;通过所述通信网络将所述安全元件数据传输到所述SP TSM;通过所述通信网络从所述SP TSM接收基于所述安全元件数据的第二请求;和通过移动网络将基于所述第二请求的第三请求传输到对应于所述安全元件数据的安全元件。所述移动网络是选自多个移动网络,且是基于从所述至少一个存储器查询的所述安全元件数据而确定。 [0025] 附图简述 [0026] 根据下文结合以下附图陈述的详细描述将更加明白本发明的其它特征和优点。 [0027] 图1是根据示例性实施方案的用于服务供应商与安全元件之间的接口连接的系统的图。 [0028] 图2是示出了根据示例性实施方案的用于将请求从服务供应商信任服务管理器发送到安全元件的序列的序列图。 [0029] 图3是示出了根据示例性实施方案的用于将多个请求从服务供应商信任服务管理器发送到安全元件的序列的序列图。 [0030] 图4是示出了根据示例性实施方案的用于将预个性化请求从服务供应商信任服务管理器发送到安全元件的序列的序列图。 [0031] 图5是根据示例性实施方案的安全元件配置的图。 [0032] 图6是根据示例性实施方案的安全元件配置的图。 [0033] 图7是根据示例性实施方案的安全元件配置的图。 [0034] 图8是根据示例性实施方案的安全元件配置的图。 [0035] 图9是有用于实施本发明的示例性系统的方框图。 具体实施方式[0036] 概述 [0037] 本文呈现的本发明的示例性实施方案是针对用于服务供应商与安全元件之间的接口连接的系统、方法和计算机程序产品。这只是为方便起见,且不旨在限制本发明的应用。事实上,在阅读以下描述之后,相关领域的技术人员应明白如何在替代实施方案中实施以下发明,诸如极多个实体与大量实体之间的接口连接,所述实体包括TSM、MNO、安全元件、移动装置、服务供应商和能够通过网络进行通信的任何其它系统。 [0038] 一般来说,本文描述的示例性实施方案在具有移动用户身份(MSI)的一个或多个服务供应商系统与一个或多个安全元件之间执行接口连接。 [0039] 服务供应商系统(即,服务供应商)可以与中央TSM通信以访问或控制安全元件上的对应安全域和/或应用程序。特定地说,服务供应商通过与中央TSM通信可以预个性化安全元件、个性化安全元件中的安全域上的服务或激活安全元件上的服务。例如,服务供应商可以将预个性化安全元件的请求传输到中央TSM。作为响应,中央TSM可以预个性化安全元件,包括如果需要创建包括对应暂时安全密钥的至少一个服务供应商安全域和/或例证安全元件上的应用程序。应用程序的例证包括创建未例证应用程序的实例。 [0040] 服务供应商还可以将个性化服务的请求传输到中央TSM。所述请求可以包括数据和脚本。脚本可以包括由安全元件中对应于服务供应商的安全域上的应用程序执行的命令。例如,脚本可以包括以下命令:个性化已例证应用程序、旋转对应安全域中的密钥和/或执行服务供应商的安全域中的服务供应商命令和/或安全元件中的已例证应用程序。中央TSM接收所述请求并将所述请求中的脚本和/或数据安全地传输到安全元件。安全元件然后又接收并执行脚本和数据。 [0041] 服务供应商与中央TSM通信以对安全元件执行命令。因此,服务供应商(即,SP TSM)将请求(例如,预个性化安全元件)发送到中央TSM以基于MSI获得关于安全元件的信息。中央TSM接收所述请求并基于MSI查询其存储器以获得关于安全元件的请求信息。一旦中央TSM检索到对应于MSI的安全元件信息,中央TSM将已检索的安全元件信息和MSI传输到SP TSM。 [0042] 一旦服务供应商识别目标安全元件和其信息,服务供应商(即,SP TSM)将使中央TSM与安全元件建立通信(即,对话)的请求发送到中央TSM。建立通信的请求包括已检索的安全元件信息和对应MSI以及关于将用来处理来自服务供应商的后续请求的应用程序或小应用程序、安全域、服务和脚本的信息。中央TSM接收所述请求并将包括通信的通信识别符和其它属性的响应传输到SP TSM。 [0043] 在建立通信之后,服务供应商发送包括旨在安全元件中执行的通信识别符的请求(例如,个性化应用程序)。服务供应商最初将所述请求发送到中央TSM。中央TSM接收所述请求,且基于所述请求中的信息与安全元件建立连接,并将所述请求(例如,个性化应用程序)传输到安全元件以供处理之用。中央TSM通过对应移动网络将所述请求传输到安全元件。对应移动网络是基于检索自中央TSM的存储器的MNO信息(基于由服务供应商做出的请求(例如,个性化应用程序)中的信息)来确定。在安全元件中根据来自服务供应商的请求、基于所述请求中的信息和已建立的通信来处理所述请求。 [0044] 由于本文描述的示例性实施方案的功能,服务供应商可有效且毫不费力地与中央TSM通信以在所需处理和信息最少的情况下对安全元件处理多个请求。示例性实施方案还提供了中央TSM配置,其显著地减小服务供应商对安全元件处理请求(例如,实现服务)所需时间和成本需求。 [0045] 此外,服务供应商可只通过使用MSI经由中央TSM将与单一源(即,中央TSM)通信的请求发送到安全元件。即,服务供应商能够使用安全元件处理其请求,而无需与多个中间源(例如,MNO、TSM)通信。 [0046] 此外,标准化服务供应商请求使得将单一类型的请求传达到中央TSM,而不论MNO的类型、移动装置类型、安全元件和/或应用程序为何。通过标准化服务供应商请求,有利的是,与多个服务供应商请求的处理相关联的错误和复杂度减小。此外,服务供应商无需传输或提供应用程序来安装,或提供MNO、移动装置或安全元件接口以对安全元件处理请求。相反,服务供应商可将具有命令的一个或多个标准化请求发送到中央TSM。结果,最小化执行请求所需处理时间和大小。 [0047] 系统 [0048] 图1是用于服务供应商与安全元件之间通过移动网络进行接口连接的示例性系统100的图。如图1中示出,系统100包括SP TSM103-1、103-2、……、103-n(统称为“103”)。SP TSM103中的每个对应于服务供应商107-1、107-2、……、107-n(统称为“107”)。每个SP TSM用作服务供应商107与包括安全元件、MNO和另一类型的TSM(本文称作“中央TSM”)的其它实体之间的中间机构。 [0049] SP TSM103中的每个经由通信网络105通信地耦接到中央TSM102。通信网络105可以是虚拟专用网络(VPN)、使用超文本传输协议(HTTP)标准的网络等等。 [0050] SP TSM103中的每个和中央TSM102还可以通过使用安全协议(诸如安全套接层(SSL)、传输层安全(TLS)等等)保护这些通信。SP TSM103中的每个还可以通过使用应用程序接口(API)(诸如网络服务API)与中央TSM102通信。 [0051] 在示例性实施方案中,中央TSM102是被实施来用作SP TSM103与安全元件106a-1、106a-2、……、106a-3(统称为“106a”)之间的中间机构的硬件和/或软件。具体来说,中央TSM102允许SP TSM103中的每个(例如)请求安全元件(例如,安全元件106)的预个性化、生成并安装新的或暂时安全域密钥集合、个性化支付服务和/或激活服务。即,中央TSM102管理SP TSM103与安全元件106a之间的通信。 [0052] 因此,中央TSM102可通过多个移动网络104-1、104-2、……、104-n(统称为“104”)与多个服务供应商107和SP TSM103以及多个安全元件106a通信。 [0053] 在示例性实施方案中,中央TSM102包括处理器102a和存储器102b。 [0054] 中央TSM102可以包括企业服务总线(ESB)(没有示出)。在示例性实施方案中,ESB是用于实施实体(例如,安全元件106a、SP TSM103、中央TSM102)之间的交互和通信的结构模型。 [0055] 中央TSM102经由对应MNO使用和/或管理的对应移动网络104通信地耦接到安全元件106a。一般来说,移动网络104是由MNO使用来提供无线通信服务。移动网络104可以是移动电话蜂窝网络、无线电网络等等。中央TSM102可以经由移动网络104使用安全协议(诸如Global Platform安全通道协议、SSL、TLS等等)与安全元件106a通信。 [0056] 下文参考图5至图8进一步详细讨论安全元件(例如,安全元件106a)。如图1中示出,安全元件106a分别与对应移动装置106-1、106-2和106-n(统称为“106”)相关联。安全元件106a可以通信地耦接到一个或多个处理器和一个或多个存储器。 [0057] 在安全元件(例如,安全元件106a-1)的制造期间,安全元件被预加载包括(例如)MNO SD、中央SD、电子钱包伴侣小应用程序、移动电子钱包伴侣小应用程序(WCAp)、近距离支付系统环境(PPSE)和支付数据包的内容。MNO SD是由MNO管理的安全域且包括安全密钥和应用程序。中央SD是由中央TSM102管理。WCAp可以由移动电子钱包使用来进行交易,且PPSE是辅助进行无接触式支付交易的过程的应用程序。 [0058] 安全元件106a可以包括安全域、代码、小应用程序、应用程序和数据包。数据包可以包括未例证的小应用程序和/或应用程序,且可以(例如)无线(OTA)加载到安全元件上。安全元件上的小应用程序和/或应用程序可以呈未例证或已例证形式,且未例证小应用程序和/或应用程序可以在安全元件的制造期间预加载到安全元件上。替代地,可以在制造安全元件之后(例如当将安全元件传递到用户时)(例如)OTA加载小应用程序和/或应用程序。 小应用程序和/或应用程序可以通用或不通用。不通用小应用程序和/或应用程序可以包括票券兑换和忠诚度应用程序和/或对多个服务供应商来说不通用的任何应用程序。即,不通用应用程序可以对应于单一服务供应商。可以和不通用应用程序(例如,报价、优惠券)一起使用和/或与其相关联的数据可以存储在安全元件或安全元件外部的存储器(例如,移动装置的非易失性存储器)中。 [0059] 通用小应用程序和/或应用程序可以包括当已例证时可由多个服务供应商使用的小应用程序和/或应用程序。例如,支付网络的通用应用程序(例如 )可以由中央TSM例证而用于多个服务供应商,且因此可以由一个以上服务供应商使用。 [0060] 包括未例证的小应用程序和/或应用程序的数据包可以由控制中央TSM和/或中央SD的单一实体持有或控制。未例证的小应用程序和/或应用程序可以创建在安全元件上的中央SD下(即,直接与中央SD相关联),且可以在安全元件上由中央TSM使用中央SD来专门管理。特定地说,中央SD保持专门访问WCAp、PPSE、数据包和SP SD。然而,服务供应商可以将(例如)旋转(即,交换)安全密钥的请求传输到中央TSM。在旋转SP SD的安全密钥之后,对应服务供应商可继续将对所述对应SP SD执行命令的请求发送到中央TSM。在密钥旋转之后,中央TSM限制访问SP SD。特定地说,中央TSM可(例如)停止执行SP SD下的应用程序或例证应用程序,但是无法访问SP SD的安全密钥或个性化内容。 [0061] 未例证的小应用程序或应用程序的专属持有权、控制和/或管理允许单一实体有效且具成本效益地监督小应用程序和/或应用程序。此外,专属持有权、控制和/或管理增加安全性并最小化由多个服务供应商加载和控制安全元件上的不同小应用程序和/或应用程序造成的复杂度。例如,服务供应商可以利用未例证的小应用程序和/或应用程序的实例来代替证明和安装安全元件上的独立小应用程序和/或应用程序。 [0062] 此外,可以例证未例证的小应用程序和/或应用程序,且然后可以将每个实例引渡到对应安全域。例证可以包括使用对应于被创建实例的实体的数据来个性化小应用程序和/或应用程序。 [0063] 例如,可以为不同实体(例如,服务供应商)创建未例证的小应用程序和/或应用程序的多个实例,且可以将每个实例引渡到不同安全域以供不同实体使用。 [0064] 安全元件上的小应用程序或应用程序可以依据由Global Platform、Euripay、(EMVCo.)、MNO和支付网络(例如,American )制定的要求运行。小应用程序或应用程序可以是(例如) expresspayTM、payWaveTM、PayPassTM、ZipTM等等。 [0065] 例如,SP TSM103-1经由通信网络105将请求发送到中央TSM102,且中央TSM102经由通信网络105将响应发送返回到SP TSM103-1。SP TSM103-1经由通信网络105将旨在用于安全元件106a-1的请求发送到中央TSM102。然后中央TSM102又经由各自移动网络104-1将所述请求发送到安全元件106a-1。 [0066] 在替代实施方案中,中央TSM102可包括并使用ESB以执行操作。 [0067] 在替代实施方案中,多个服务供应商共享SP TSM103中的一个。 [0068] 在额外替代实施方案中,存储器102b可以是数据库。 [0069] 在另一替代实施方案中,多个移动网络与多个SP TSM通信。 [0070] 程序 [0071] A.将请求从服务供应商TSM传达到安全元件 [0072] 图2描绘了根据示例性实施方案的用于将请求从SP TSM203(例如,图1,SP STM103-1)发送到安全元件201(例如,图1,SE106a-1)的序列图200。请求可以是(例如)安全元件201处理脚本、管理通信或激活服务的请求。下文参考图2和图3进一步详细讨论这些类型的请求。 [0073] 如图2中示出,在步骤250处,SP TSM203通过通信网络(例如,图1,通信网络105)将请求(Requestx)传输到中央TSM202。这个请求可以是基于包括在请求中的移动用户身份(MSI)检索包括安全元件识别符的安全元件数据的请求。 [0074] 安全元件识别符是被写入到安全元件201且可以用来识别安全元件201的唯一编号或字符集合。安全元件识别符还可以包括用来识别安全元件的识别符的类型,诸如卡片图像编号(CIN),其是识别安全元件且在安全元件的个性化期间被写入到安全元件的唯一编号。 [0075] 安全元件数据是安全元件201的属性。安全元件数据可以包括涉及安全元件201的以下信息:安全元件识别符;与安全元件201相关联的MNO的名称;用于与SP TSM203相关联的服务供应商的服务供应商数据;包括用于安全元件201中的服务供应商的安全域的密钥的主密钥索引;配置文件识别符;安全元件类型;标准版本(例如,GlobalPlatform、JavaCard);证书级别和失效日期。 [0076] MSI是用来识别与MNO相关联的移动装置的手机订阅的唯一编号。MSI还可以包括与手机订阅相关联的MNO的名称和用来识别移动装置的手机订阅的识别符的类型,诸如移动装置编号(MDN),其一般是与特定服务热线相关联的电话号码。 [0077] 中央TSM202接收包括MSI的请求(Requestx)且在步骤252处查询其存储器(查询存储器)。存储器可以是包括一个或多个MSI和一个或多个对应安全元件识别符和安全元件数据的数据库。存储器还可以包括对应于安全元件识别符中的每个的MNO数据。MNO数据可以是用来识别与安全元件相关联的MNO的信息,且可以用来选择适当的移动网络以用于与安全元件通信。查询是从存储器中检索包括对应于MSI的安全元件识别符的安全元件数据的请求。 [0078] 当检索到对应于MSI的安全元件数据时,中央TSM202在步骤254处通过通信网络将存储在其包括安全元件识别符的数据库中的已检索的安全元件数据传输到SP TSM203(响应)。中央TSM202还将包括在请求中的对应MSI传输到SP TSM207(响应)。以此方式,SP TSM203确定其将请求所要发送到的安全元件201的身份。 [0079] SP TSM203在步骤256处使用接收自中央TSM202的安全元件数据将请求(Requesty)传输到中央TSM202。中央TSM202接收这个请求(Requesty),其包括SP TSM203将请求所要定位到的安全元件201的安全元件识别符。 [0080] 这个请求(Requesty)可以包括安全元件201对以下项的一个或多个请求:管理通信、处理一个或多个脚本或激活服务。例如,请求可以用来命令安全元件执行(例如)个性化、密钥旋转和下文参考图3和图4讨论的其它程序。 [0081] 中央TSM202基于存储器中对应于请求(Requesty)中的安全元件数据的MNO数据从多个移动网络中确定移动网络(例如,图1,移动网络104-1)。当确定移动网络时,中央TSM202在步骤258处通过移动网络将基于先前请求(Requesty)的请求(Requestz)传输到安全元件201。以此方式,安全元件201可以在步骤260处处理请求(处理请求)。 [0082] 在替代实施方案中,安全元件201可以通过移动网络将完成或处理请求之后的响应从SP TSM203传输到中央TSM202。响应可以包括(例如)指示请求的处理是否成功或失败的信息。 [0083] 在替代实施方案中,安全元件数据可以不包括安全元件识别符。在这种情况下,SP TSM203可以(基于MSI)单独请求安全元件识别符和安全元件数据,且中央TSM202可以将单独响应中的安全元件识别符和安全元件数据提供给SP TSM203。 [0084] 在替代实施方案中,SP TSM203最初可以将预配置安全元件201的请求传输到中央TSM202,所述请求包括必要时(即,如果没有创建对应于SP TSM203的一个或多个安全域)在安全元件201上创建一个或多个安全域。一旦创建所述一个或多个安全域,SP TSM203可将后续请求传输到中央TSM202,后续请求包括(例如)例证未例证应用程序的请求。中央TSM202进而将已例证应用程序(即,实例)引渡到对应安全域(例如,中央SD、SP SD)。 [0085] 在替代实施方案中,中央TSM202包括ESB且利用ESB来处理包括(例如)以下项的请求:处理脚本、管理通信或激活服务。 [0086] B.将多个服务供应商TSM请求传达到安全元件 [0087] 图3描绘了根据示例性实施方案的用于将多个请求从SP TSM303(例如,图1,SP TSM103-1)发送到安全元件301(例如,图1,SE106a-1)的序列图300。 [0088] 在图3中,在步骤352处,SP TSM303通过通信网络(例如,图1,通信网络105)将包括获得安全元件识别符的请求的请求(请求SE识别符)传输到中央TSM302。请求(请求SE识别符)包括MSI,其与SP TSM303希望将请求所要发送到的安全元件301相关联。在步骤354处,中央TSM302使用MSI执行查询(查询存储器)且检索对应于包括在请求中的MSI的安全元件识别符。在步骤356处,中央TSM302通过通信网络将已检索的安全元件识别符传输到SP TSM303(对请求SE识别符的响应)。 [0089] 一旦SP TSM303接收到安全元件识别符,SP TSM303在步骤358处通过通信网络将包括获得与安全元件301相关联的安全元件数据(如上文参考图2进一步详细讨论)的请求的请求(请求SE数据)传输到中央TSM302。这个请求(请求SE数据)包括安全元件识别符(接收自中央TSM302)和对应MSI。在步骤360处,中央TSM302使用安全元件识别符和对应MSI执行查询(查询存储器)且检索对应于安全元件识别符的安全元件数据。在步骤362处,中央TSM302通过通信网络将已检索的安全元件数据传输到SP TSM303(对请求SE识别符的响应)。 [0090] 在步骤364处,SP TSM303随后基于已接收的安全元件识别符和数据将请求(请求管理通信(开始))传输到中央TSM302以管理通信。 [0091] 1.管理通信 [0092] 一般来说,管理通信的请求可以包括开始通信的请求或结束通信的请求。在示例性实施方案中,通信是从第一装置(例如,SP TSM303、中央TSM302)到第二装置(例如,安全元件301)的通知:第一装置希望和第二装置一起执行无线(OTA)通信或操作。 [0093] 如图3中示出,在步骤364处,SP TSM303通过通信网络将建立通信的请求(请求管理通信(开始))传输到中央TSM302,使得可建立通信参数和识别符。因此通知中央TSM302:SP TSM303将会请求对安全元件301执行操作。这个操作可以是(例如)由SP TSM303请求执行脚本或激活安全元件301上的服务。 [0094] 在步骤364处由SP TSM303传输到TSM302的通信请求(请求管理通信(开始))可以包括以下属性:安全元件识别符、MSI、服务识别符、服务限定符、目标应用程序识别符、在OTA通信期间执行的脚本的格式和大小,和所请求的操作(例如,密钥旋转、个性化)。“所请求的操作”属性是由中央TSM302用来跟踪所述操作的进程。 [0095] 服务识别符可以包括用来识别服务的一般定义的服务识别符编号和版本。服务限定符包括服务供应商名称和支付账户参考号(PRN)。 [0096] 服务限定符是用来识别在通信期间使用请求(包括命令)作用(例如,安装、锁定、解锁、删除)的服务(即,对应于服务识别符的服务)的特定实例。 [0097] PRN是用于识别与服务相关联的证书或卡(例如,支付卡)的唯一编号。 [0098] 如图3中示出,在接收到请求(请求管理通信(开始))之后,中央TSM302在步骤366处通过通信网络将响应(对请求管理通信(开始)的响应)传输到SP TSM303。这个响应可以包括以下属性:通信识别符、OTA载体(即,负责传输请求的实体)、操作中请求的脚本的最大数量和大小、脚本格式和通信的允许长度。 [0099] 如图3中进一步示出,在步骤374和388处,在处理一个或多个脚本(下文进一步详细讨论)之后,SP TSM303通过通信网络将结束通信(即,对应于通信识别符的通信)的请求(请求管理通信(结束))传输到中央TSM302。这个请求可以包括先前由SP TSM303接收的通信识别符和操作的状态(例如,失败或成功)。因此,SP TSM303指示不再希望使用对应于通信识别符的通信且可以不再使用所述通信。在步骤376和390处,中央TSM302通过通信网络将指示操作的状态(例如,失败或成功)的响应(对请求管理通信(结束)的响应)发送到SP TSM303。 [0100] 如图3中示出,虽然通信呈开放式(即,通信已开始且尚未结束),但是SP TSM303仍将处理一个或多个脚本的请求发送到中央TSM302。 [0101] 2.处理一个或多个脚本 [0102] 一般来说,处理一个或多个脚本的请求使SP TSM303能够使用中央TSM302请求发送针对安全元件301且对安全元件301执行的命令应用程序协议数据单元(APDU)的集合。这个请求可以基于(例如)Global Platform消息传递标准,且可以用来(例如)请求:应用程序个性化、密钥旋转和/或后期个性化。下文参考图5至图8讨论可被发送到安全元件以供处理之用的命令列表。 [0103] 每个脚本或命令APDU可以用来基于或使用预存储(即,制造期间加载)在安全元件上的数据执行操作。这种数据可以包括(例如)代码、小应用程序或应用程序。使用脚本和/或APDU命令,SP TSM303可以请求中央TSM302例证(例如)安全元件301上的未例证应用程序并将实例引渡到安全元件301上的对应安全域。 [0104] 在示例性实施方案中,应用程序个性化是将数据插入或上传到安全元件中的安全域上的应用程序上。即,服务供应商可以将包括账户和客户数据的敏感信息插入或上传到客户的移动装置中的安全元件上的应用程序上。更具体地说,SP TSM可以将个性化包括命令和数据的应用程序的请求传输到中央TSM。中央TSM然后可以基于接收自SP TSM的请求将个性化与客户相关联的安全元件上的应用程序的请求发送到安全元件。 [0106] 在示例性实施方案中,后期个性化是经由中央TSM将包括命令APDU的请求发送到安全元件的概念。特定地说,后期个性化是由服务供应商发送以在执行个性化之后执行未处理命令。 [0107] 参考安全域,处理一个或多个脚本的请求可以包括通信识别符(如上文描述)和被发送到安全元件301且在安全元件301中执行的命令APDU的列表。即,SP TSM303使用已建立的通信(和其中定义的属性)将关于具体且对应的应用程序或未例证应用程序执行的命令列表发送到安全元件301。 [0108] 命令APDU的实例包括:“删除密钥”、“获取密钥”、“获取状态”、“放置密钥”、“选择”、“设置状态”、“存储数据”和“安装”。这些命令APDU可以用来检索应用程序和应用程序数据、选择应用程序、锁定和解锁应用程序、个性化应用程序、例证未例证的应用程序、将已例证的应用程序引渡到对应SP SD以及更新和删除安全域密钥。下文参考图5至图8进一步详细描述命令APDU。 [0109] 如图3中示出,在步骤368处,SP TSM303通过通信网络将请求(请求处理脚本(密钥旋转))传输到中央TSM302以处理脚本。特定地说,这个请求包括通信识别符,其是将用来传输请求的已建立通信。这个请求还包括对安全元件301中的安全域执行密钥旋转的命令(即,命令APDU)。作为响应,在步骤372处,中央TSM302将包括响应APDU的列表和执行失败的命令APDU的列表的响应(对请求处理脚本(密钥旋转)的响应)传输到SP TSM303。 [0110] 如图3中进一步示出,在步骤370处处理执行密钥旋转的请求之后,SP TSM303在步骤374处通过将请求(请求管理通信(结束))发送到中央TSM302来请求结束先前起始的通信。在步骤376处,中央TSM将响应(对请求管理通信(结束)的响应)传输到SP TSM303。然后SP TSM303又在步骤378处通过传输请求(请求管理通信(开始))来请求起始(即,开始)后续通信且在步骤380处在响应(对请求管理通信(开始)的响应)中从中央TSM302获得对应通信识别符。使用步骤380中获得的通信和通信识别符,SP TSM303在步骤382处通过通信网络将额外请求(请求处理脚本(个性化应用程序))传输到中央TSM302以处理脚本。特定地说,这个请求包括通信识别符(其是将用来传输请求的开放式通信)和对安全元件301中的安全域执行应用程序个性化的命令(即,命令APDU)的列表。在步骤384处,处理这个请求(个性化应用程序)。作为响应,在步骤386处,中央TSM302将包括响应APDU的列表和执行失败的命令APDU的列表的响应(对请求处理脚本(个性化应用程序)的响应)传输到SP TSM303。在步骤388处,SP TSM303将请求(请求管理通信(结束))传输到中央TSM302以结束通信。在步骤390处,中央TSM302传输响应(对请求管理通信(结束)的响应)。 [0111] 在替代实施方案中,执行密钥旋转的请求和执行应用程序个性化的请求是以单一请求从SP TSM303传输到中央TSM302。 [0112] 在另一替代实施方案中,在单一通信期间执行多个操作。 [0113] 3.激活服务 [0114] 如图3中示出,在步骤392处,SP TSM303通过通信网络将请求(请求激活服务)传输到中央TSM302以激活服务(例如,支付服务)。 [0115] 一般来说,激活服务的请求是用来激活服务供应商的服务且可在特定安全元件上选择与所述服务相关联的应用程序。这个请求可以包括以下属性:安全元件识别符、MSI、服务识别符和服务限定符。服务识别符和服务限定符可以用来识别安全元件301上激活的服务的一般和特定实例。 [0116] 中央TSM302接收激活服务的请求且在步骤394处使用请求中提供的信息处理请求。在步骤396处,中央TSM302将对所述请求的响应(对激活服务的请求的响应)传输到SP TSM303,所述响应包括指示所述请求的执行状态(即,执行是否失败或成功)的信息。 [0117] 在替代实施方案中,将激活服务的请求和执行密钥旋转和/或应用程序个性化的请求以单一请求从SP TSM303传输到中央TSM302。 [0118] 在替代实施方案中,中央TSM302包括ESB且利用ESB以处理请求,包括例如处理脚本、管理通信或激活服务。 [0119] C.将预个性化请求从SP TSM传输到安全元件。 [0120] 图4描绘了用于将预个性化的请求从SP TSM403(例如,图1,SP TSM103-1)传输到安全元件401(例如,图1,SE106a-1)的示例性序列图400。 [0121] 在图4中,在步骤452处,SP TSM403通过通信网络(例如,图1,通信网络105)将请求(请求SE数据)传输到中央TSM402以获得包括安全元件识别符的安全元件数据。所述请求包括MSI。 [0122] 当接收到请求时,中央TSM402在步骤454处基于包括在请求(请求SE数据)中的MSI对存储器查询包括安全元件识别符的安全元件数据(查询存储器)。一旦检索到安全元件数据,中央TSM402在步骤456处将包括安全元件数据的响应(对请求SE数据的响应)传输到SP TSM403。 [0123] 如图4中示出,在步骤458处,SP TSM403通过通信网络将预个性化请求(请求预个性化)传输到TSM402。这个请求可以包括识别请求预个性化的服务(和其对应的应用程序)的属性和用于执行预个性化请求的命令。显然,所述请求不包括安装在安全元件上的服务的应用程序。 [0124] 在示例性实施方案中,预个性化包括创建安全域、例证一个或多个未例证应用程序和将实例引渡到安全域。预个性化还可以包括确定安全域和应用程序是否已存在于安全元件上、执行技术资格核对和加载并安装应用程序。 [0125] 中央TSM402接收预个性化请求,且基于这个请求在步骤460处将请求(请求安全域创建)传输到安全元件401以创建安全域(下文参考图5至图8进一步详细讨论)。在安全元件401上创建安全域之后,中央TSM402在步骤462处将请求(请求应用程序安装)传输到安全元件401以安装与服务供应商的服务相关联的一个或多个应用程序。 [0126] 中央TSM402在将请求传输到安全元件401之后在步骤464处将预个性化响应(对请求预个性化的响应)传输到SP TSM403,指示由SP TSM403请求的预个性化是否失败或成功。 [0127] 安全元件401还可以在处理每个请求之后传输对每个请求的响应。 [0128] 中央TSM402还可以确定是否在安全元件上安装应用程序和/或创建安全域。 [0129] SP TSM403至中央TSM402是经由企业服务总线(ESB)传输。 [0130] 在替代实施方案中,中央TSM402包括ESB,且利用ESB以处理请求,包括例如处理脚本、管理通信或激活服务。 [0131] D.嵌入式安全元件配置 [0132] 图5描绘了根据示例性实施方案的安全元件配置500。如图5中描绘,安全元件配置500包括安全元件501、中央TSM502和SP TSM503。安全元件501包括中央安全域(SD)504、SP SD505和SP SD506。安全元件501被实施为嵌入式安全元件或诸如单独芯片或安全装置的NFC使能器。 [0133] 中央SD504可以对安全元件501执行内容管理操作,包括例证小应用程序(例如,小应用程序505-1和506-1)。即,小应用程序505-1和506-1是应用程序(即,未例证应用程序)的实例。特定地说,中央SD504可以安全地管理应用程序(例如,小应用程序505-1和506-1)、创建SP SD且对安全元件中的小应用程序或应用程序执行管理操作。 [0134] SP SD505和506中的每个分别与小应用程序实例505-1和506-1相关联,且SP SD505和506辅助其各自小应用程序建立安全元件和小应用程序个性化程序。小应用程序实例505-1和506-1可以通过例证未例证的小应用程序或应用程序而创建。小应用程序实例(例如,小应用程序505-1和506-1)创建在中央SD504下(即,与中央SD504相关联),且酌情将小应用程序实例引渡(即,传递)到其各自SP SD(例如,将小应用程序505-1引渡到其各自SD、SP SD505)。如果没有引渡实例,那么其可以保留在中央SD504下。 [0135] 如图5中示出,中央TSM502管理中央SD504。即,中央TSM502通过控制中央SD504的密钥(和其相关联的应用程序)而用作安全元件管理器,且因此可使用其任何相关联的权限(下文参考表1进一步详细讨论)。通过中央SD504,中央TSM502可以加载、安装、引渡、锁定或删除安全元件501上的任何小应用程序或应用程序。此外,中央TSM502可以创建并管理SP SD,且可以锁定安全元件501。 [0136] 如图5中示出,SP TSM503与SP SD506和小应用程序506-1相关联并管理SP SD506和小应用程序506-1。即,SP TSM503将密钥保存到SP SD506和小应用程序506-1,且可以使用与SP SD506相关联的任何权限(下文参考表1进一步详细讨论)。 [0137] SP SD505和506具有数据认证模式(DAP)验证权限(下文参考表1进一步详细讨论)以验证由中央TSM502管理并处理的二进制文件的完整性。无需DAP验证的数据包(例如,支付数据包508)被加载到中央SD504下(即,与中央SD504相关联)且需要DAP验证的数据包被加载到其各自SP SD下。 [0138] 表1示出了根据安全元件配置500的分配给中央SD(例如,中央SD504)和SP SD(例如,SP SD505和506)的权限(例如,Global Platform权限)。 [0139] 表1 [0140]权限 中央SD SP SD 安全域 是 是 DAP验证 可选 委托管理 卡锁定定 是 卡终止 是 默认选择 CVM管理 是 强制DAP验证 [0141] 表2示出了根据安全元件配置500的由中央SD(例如,中央SD504)支持的权限(例如,Global Platform权限)命令。 [0142] 表2 [0143] [0144] 表3示出了根据安全元件配置500的由SP SD(例如,SP SD505和506)支持的命令(例如,Global Platform命令)。 [0145] 表3 [0146] [0147] 在替代实施方案中,SP SD505和506中的一个或两个不具有DAP验证权限。 [0148] 在替代实施方案中,安全元件501包括多个中央SD。 [0149] 在另一替代实施方案中,每个SP SD与对应SP TSM相关联。 [0150] E.UICC安全元件配置 [0151] 图6描绘了根据示例性实施方案的安全元件配置600。如图6中描绘,安全元件配置600包括安全元件601、中央TSM602、SP TSM603和MNO607。 [0152] 安全元件601被实施为UICC且包括中央SD604、安全元件发行卡SD(ISD)605、MNO SD606、SP SD608和SP SD609。MNO SD606与电信小应用程序612相关联。中央SD604与数据包610和电子钱包伴侣小应用程序611相关联。与中央SD604相关联的SP SD608和609分别与小应用程序608-1和609-1相关联。 [0153] ISD605创建中央SD604和MNO SD606,但是不执行任何其它内容管理功能。 [0154] MNO SD606已授权管理权限(下文参考表2进一步详细讨论)且如由MNO607命令般管理内容。 [0155] 中央SD604已授权管理权限(下文参考表2进一步详细讨论)且如由中央TSM602命令般管理内容。特定地说,中央SD604可以安全地管理应用程序、创建SP SD且对安全元件中的小应用程序或应用程序执行管理操作。 [0156] SP SD608和609辅助其各自小应用程序建立安全通道和小应用程序个性化程序。小应用程序实例608-1和609-1可以通过例证未例证的小应用程序或应用程序而创建。小应用程序实例(例如,小应用程序608-1和609-1)创建在中央SD604下(即,与中央SD604相关联)。在例证之后,酌情将小应用程序实例引渡(即,传递)到其各自SP SD(例如,将小应用程序608-1引渡到其各自SD、SP SD608)。替代地,如果没有引渡实例,那么其可以保留在中央SD604下。 [0157] SP SD608和609具有DAP验证权限以验证由中央TSM602管理并处理的二进制文件的完整性。无需DAP验证的数据包(例如,数据包610)被加载到中央SD604下(即,与中央SD604相关联)且需要DAP验证的数据包被加载到其各自SP SD下。 [0158] 如图6中示出,中央TSM602管理中央SD604。即,中央TSM602通过控制中央SD604的密钥(和其相关联的应用程序)而用作安全元件管理器,且因此可使用其任何相关联的权限(下文参考表4进一步详细讨论)。通过中央SD604,中央TSM602可以加载、安装、引渡、锁定或删除安全元件601上的任何相关联的小应用程序或应用程序。此外,中央TSM602可以创建并管理SP SD。 [0159] 如图6中进一步示出,MNO607与MNO SD606和电信小应用程序612相关联并管理MNO SD606和电信小应用程序612。因此,MNO607可使用MNO SD606的任何权限。通过MNO SD606,MNO607可以加载、安装、引渡、锁定或删除安全元件601上的任何相关联的小应用程序或应用程序。此外,MNO数据包和小应用程序实例加载和/或创建在MNO SD606下(即,与MNO SD606相关联)。 [0160] 表4示出了根据安全元件配置600的分配给ISD(例如,ISD605)、中央SD(例如,中央SD604)、MNO SD(例如,MNO SD606)和SP SD(例如,SP SD608和609)的权限(例如,Global Platform权限)。 [0161] 表4 [0162]权限 ISD 中央SD MNO SD SP SD 安全域 是 是 是 是 DAP验证 可选 委托管理 卡锁定 是 卡终止 是 卡重设 CVM管理 是 强制DAP验证 信任路径 是 是 是 是 授权管理 是 是 是 令牌验证 全局删除 是 全局锁定 是 全局注册表 是 最终应用程序 全局服务 接收生成 [0163] 表5示出了根据安全元件配置600的由ISD(例如,ISD605)支持的命令(例如,Global Platform命令)。 [0164] 表5 [0165] [0166] [0167] 表6示出了根据安全元件配置600的由中央SD(例如,中央SD604)支持的命令(例如,Global Platform命令)。 [0168] 表6 [0169] [0170] [0171] 表7示出了根据安全元件配置600的由MNO SD(例如,MNO SD606)支持的命令(例如,Global Platform命令)。 [0172] 表7 [0173] [0174] [0175] 在替代实施方案中,SP SD608和609中的一个或两个不具有DAP验证权限。 [0176] F.具有第三方安全域的嵌入式安全元件配置 [0177] 图7描绘了根据示例性实施方案的安全元件配置700。如图7中描绘,安全元件配置700包括安全元件701、中央TSM702、MNO707、第三方TSM(授权管理)708和第三方TSM(委托管理)703。 [0178] 安全元件701被实施为嵌入式安全元件或诸如单独芯片或安全装置的NFC使能器,且包括中央SD704、ISD705、第三方SD706、强制DAP权限持有者安全域(MDPH SD)716、控制授权安全域(CA SD)717、SP SD709、SP SD710(委托管理)和SP SD711。 [0179] MDPH SD716验证加载或安装在安全元件701上的小应用程序和应用程序的签名(即,DAP)。表10(下文)示出了由MDPH SD支持的命令。 [0180] CA SD717对最近创建的安全域执行密钥生成以保证证书加载。表9(下文)示出了由CA SD支持的命令。 [0181] 第三方SD706已授权管理权限,且如由第三方TSM708命令般管理内容。第三方SD706与数据包714相关联。SP SD711是在第三方SD706下(即,其与第三方SD706相关联)且与应用程序711-1相关联。表6(上文)示出了由第三方SD(例如,第三方SD706)支持的命令。 [0182] ISD705创建安全域(包括中央SD704和第三方SD706)但是不执行任何其它内容管理功能。表5(上文)进一步详细示出了由ISD(例如,ISD705)支持的命令。 [0183] 中央SD704已授权管理权限(下文参考表8.1和8.2进一步详细讨论),且如由中央TSM702命令般管理内容。特定地说,中央SD704可以安全地管理应用程序、创建SP SD且对安全元件中的小应用程序或应用程序执行管理操作。中央SD704与数据包713、SP SD709和SP SD710相关联。SP SD709和SP SD710与小应用程序709-1和710-1相关联。表6(上文)示出了由中央SD支持的命令。 [0184] SP SD709、710和711辅助其各自小应用程序建立安全通道和小应用程序个性化程序。小应用程序实例709-1和710-1可以通过例证未例证的小应用程序或应用程序而创建。小应用程序实例(例如,小应用程序709-1和710-1)创建在中央SD704下(即,与中央SD704相关联)。在例证之后,酌情将小应用程序实例引渡(即,传递)到其各自SP SD。表3(上文)示出了由SP SD支持的命令,且表11(下文)示出了由具有委托管理权限的SP SD(例如,SP SD710)支持的命令。 [0185] SP SD709和710具有DAP验证权限以验证由中央TSM702管理并处理的二进制文件的完整性。无需DAP验证的数据包(例如,数据包713)被加载到中央SD704下(即,与中央SD704相关联)且需要DAP验证的数据包被加载到其各自SP SD下。此外,具有委托管理权限的SP SD(例如,710)可以执行授权内容管理操作。 [0186] 如图7中示出,中央TSM702管理中央SD704。即,中央TSM702通过控制中央SD704的密钥(和其相关联的应用程序)而用作安全元件管理器,且因此可使用其任何相关联的权限(下文参考表8.1和8.2进一步详细讨论)。通过中央SD704,中央TSM702可加载、安装、引渡、锁定或删除安全元件701上的任何相关联的小应用程序或应用程序。此外,中央TSM可以创建并管理SP SD,且可以通过ISD705锁定和解锁安全元件701。 [0187] 如图7中进一步示出,第三方TSM708控制第三方SD706的密钥(和其相关联的应用程序),且因此可使用其任何相关联的权限(下文参考表8.1和8.2进一步详细讨论)。通过第三方SD706,第三方TSM708可加载、安装、引渡、锁定或删除任何相关联的小应用程序或应用程序。第三方TSM708还可创建并管理与其各自第三方SD(即,第三方SD706)相关联的SP SD。第三方TSM708可通过其第三方SD706锁定或删除其在安全元件701上的任何相关联的小应用程序或应用程序。与第三方TSM相关联的数据包(例如,数据包714)被加载到第三方SD706下(即,与第三方SD706相关联)。例证与第三方TSM708相关联的小应用程序或应用程序(例如,应用程序711-1)且在第三方SD706下创建实例(即,实例与第三方SD706相关联)。在例证之后,酌情将小应用程序或应用程序引渡(即,传递)到其各自SP SD(例如,将应用程序711- 1引渡到其各自SD、SP SD711)。 [0188] 表8.1和8.2示出了分配给ISD(例如,ISD705)、中央SD(例如,中央SD704)、MDPH SD(例如,MDPH SD716)、CA SD(例如,CA SD717)、第三方SD(例如,第三方SD706)、SP SD(例如,SP SD709)和具有委托管理的SP SD(例如,SP SD710)的权限(例如,Global Platform权限)。 [0189] 表8.1 [0190]权限 ISD 中央SD MDPH SD CA SD 安全域 是 是 是 是 DAP验证 委托管理 卡锁定 是 卡终止 是 卡重设 CVM管理 是 强制DAP验证 是 信任路径 是 是 授权管理 是 是 令牌验证 是 全局删除 是 全局锁定 是 全局注册表 是 最终应用程序 全局服务 是 接收生成 是 [0191] 表8.2 [0192]权限 第三方SD SP SD SP SD(委托管理) 安全域 是 是 是 DAP验证 可选 可选 委托管理 是 卡锁定 卡终止 卡重设 CVM管理 强制DAP验证 信任路径 是 是 是 授权管理 是 令牌验证 全局删除 全局锁定 全局注册表 最终应用程序 全局服务 接收生成 [0193] 表9示出了根据安全元件配置700的由CA SD(例如,CA SD717)支持的命令(例如,Global Platform命令)。 [0194] 表9 [0195] [0196] 表10示出了根据安全元件配置700的由MDPH SD(例如,MDPH SD716)支持的命令(例如,Global Platform命令)。 [0197] 表10 [0198] [0199] [0200] 表11示出了根据安全元件配置700的由具有委托管理的SP SD(例如,SP SD710)支持的命令(例如,Global Platform命令)。 [0201] 表11 [0202] [0203] [0204] 在替代实施方案中,第三方TSM703已委托管理权限,但是首先由中央TSM702批准内容管理操作。中央TSM702可验证令牌且为与第三方TSM也不相关联的每个相关联SP SD(例如,SP SD709)生成接收。第三方TSM703控制其相关联的SP SD(例如,SP SD710)的密钥且可通过其相关联的SP SD加载、安装、引渡或删除任何相关联的应用程序或小应用程序(例如,小应用程序710-1)。 [0205] 在替代实施方案中,SP SD709和710中的一个或两个不具有DAP验证权限。 [0206] 在替代实施方案中,MDPH SD716和CA SD717中的一个或两个不包括在安全元件701中。 [0207] 在另一替代实施方案中,安全元件701具有零个或多个第三方SD。 [0208] G.具有第三方安全域的UICC安全元件配置 [0209] 图8描绘了根据示例性实施方案的安全元件配置800。如图8中描绘,安全元件配置800包括安全元件801、中央TSM802、MNO807、第三方TSM(授权管理)808和第三方TSM(委托管理)803。 [0210] 安全元件801被实施为UICC且包括中央SD804、ISD805、第三方SD806、MNO SD815、MDPH SD817和CA SD818。安全元件801还包括SP SD809和SP SD(委托管理)810和SP SD811。 [0211] MNO SD815已授权管理权限且可如MNO807命令般管理内容。 [0212] MDPH SD817验证加载或安装在安全元件801上的小应用程序和应用程序的签名(即,DAP)。表10(上文)示出了由MDPH SD支持的命令。 [0213] CA SD818对最近创建的安全域执行密钥生成以保证证书加载。表9(上文)示出了由CA SD支持的命令。 [0214] 第三方SD806已授权管理权限,且如由第三方TSM808命令般管理内容。第三方SD806与数据包814相关联。SP SD811是在第三方SD806下(即,其与第三方SD806相关联)且与应用程序811-1相关联。第三方SD806支持表6(上文)中示出的相同命令。 [0215] ISD805创建安全域(包括中央SD804和第三方SD806)但是不执行任何其它内容管理功能。表5(上文)示出了由ISD支持的命令。 [0216] 中央SD804已授权管理权限(上文参考表2进一步详细讨论),且如由中央TSM802命令般管理内容。特定地说,中央SD804可以安全地管理应用程序、创建SP SD且对安全元件中的小应用程序或应用程序执行管理操作。中央SD804与数据包813、SP SD809和SP SD810相关联。SP SD809和SP SD810与小应用程序809-1和810-1相关联。表6(上文)示出了由中央SD支持的命令。 [0217] 如图8中示出,中央TSM802管理中央SD804。即,中央TSM802通过控制中央SD804的密钥(和其相关联的应用程序)而用作安全元件管理器,且因此可使用其任何相关联的权限(下文参考表12.1和12.2进一步详细讨论)。通过中央SD804,中央TSM802可以加载、安装、引渡、锁定或删除安全元件801上的任何相关联的小应用程序或应用程序。此外,中央TSM802可以创建并管理SP SD。 [0218] 如图8中进一步示出,MNO807与MNO SD815和电信小应用程序816相关联且管理MNO SD815和电信小应用程序816。因此,MNO807可使用MNO SD815的任何权限。通过MNO SD815,MNO807可以加载、安装、引渡、锁定或删除安全元件801上的任何相关联的小应用程序或应用程序。此外,MNO数据包和应用程序或小应用程序实例加载和/或创建在MNO SD815下(即,与MNO SD815相关联)。MNO807可通过MNO SD815锁定或删除安全元件801上的任何MNO相关联应用程序。 [0219] 如图8中进一步示出,第三方TSM808控制第三方SD806的密钥(和其相关联的应用程序),且因此可使用其任何相关联的权限(下文参考表12.1和12.2进一步详细讨论)。通过第三方SD806,第三方TSM808可加载、安装、引渡、锁定或删除任何相关联的小应用程序或应用程序。第三方TSM808还可创建并管理与其各自第三方SD相关联的SP SD。与第三方TSM相关联的数据包(例如,数据包814)被加载到第三方SD806下(即,与第三方SD806相关联)。例证与第三方TSM808相关联的小应用程序或应用程序(例如,应用程序811-1)且在第三方SD806下创建实例(即,实例与第三方SD806相关联)。在例证之后,酌情将小应用程序或应用程序引渡(即,传递)到其各自SP SD(例如,将应用程序811-1引渡到SP SD811)。 [0220] 表12.1和12.2示出了分配给ISD(例如,ISD805)、中央SD(例如,中央SD804)、MDPH SD(例如,MDPH SD817)、CA SD(例如,CA SD818)、第三方SD(例如,第三方SD806)、MNO SD(例如,MNO SD815)、SP SD(例如,SP SD809)和具有委托管理的SP SD(例如,SP SD810)的权限(例如,Global Platform权限)。表12.1 [0221]权限 ISD 中央SD MDPH SD CA SD MNO SD 安全域 是 是 是 是 是 DAP验证 委托管理 卡锁定 是 卡终止 是 卡重设 CVM管理 是 强制DAP验证 是 信任路径 是 是 是 授权管理 是 是 是 令牌验证 是 全局删除 是 全局锁定 是 全局注册表 是 最终应用程序 全局服务 是 是 接收生成 是 [0222] 表12.2 [0223]权限 第三方SD SP SD SP SD(委托管理) 安全域 是 是 是 DAP验证 可选 可选 委托管理 是 卡锁定 卡终止 卡重设 CVM管理 强制DAP验证 信任路径 是 是 是 授权管理 是 令牌验证 全局删除 全局锁定 全局注册表 最终应用程序 全局服务 接收生成 [0224] 在替代实施方案中,SP SD809和810中的一个或两个不具有DAP验证权限。 [0225] 在另一替代实施方案中,MDPH SD817和CA SD818中的一个或两个不包括在安全元件801中。 [0226] H.计算机可读介质实施方式 [0227] 本发明(例如,系统100、序列200至400、配置500至800或其任何部分或功能)可使用硬件、软件或其组合而实施,且可实施于一个或多个移动装置或其它处理系统中。就在人为操作方面参照由本发明执行的操控来说,在大部分情况下本文描述的形成本发明的部分的任何操作无需或不希望人操作者的这种能力。实情是,本文描述的操作是机器操作。用于执行本发明的操作的有用的机器包括移动电话、智能手机、个人数字助手(PDA)或类似装置。 [0228] 在一个实施方案中,本发明是针对能够实行本文描述的功能的一个或多个系统。图9中示出了系统900的实例。 [0229] 系统900包括一个或多个处理器,诸如处理器901。处理器901连接到通信基础设施902(例如,通信总线、网络)。已就这个示例性系统描述了各个实施方案。在阅读这个说明之后,本领域一般技术人员应明白如何使用其它系统和/或结构实施本发明。 [0230] 系统900还包括主存储器903,其可以是数据库等等。 [0231] 系统900还包括用于查询主存储器903的查询模块904。上文参考图2至图4进一步详细讨论了查询存储器(例如,主存储器903)。 [0232] 系统900还包括用于通过网络从其它实体接收诸如请求的数据的接收模块905。上文参考图2至图4进一步详细讨论了接收诸如请求的数据。 [0233] 系统900还包括用于通过网络将诸如请求和响应的数据传输到其它实体的传输模块906。上文参考图2至图4进一步详细讨论了传输诸如请求和响应的数据。 [0234] 可以使用硬件、软件或所述两者的组合实施模块904至906中的每个。 [0235] 可以通过使用硬件、软件或所述两者的组合实施上文描述的示例性实施方案,诸如(例如)结合图1至图8描绘或讨论的系统和程序。所述实施可以在一个或多个计算机或其它处理系统中进行。虽然可能已就与由人操作者执行的心理操作共同相关联参照了由这些示例性实施方案执行的操控,但是执行本文描述的任何操作无需人操作者。换句话来说,可以使用机器操作完全实施所述操作。用于执行本文呈现的示例性实施方案的操作的有用的机器包括通用数字计算机或类似装置。 [0236] 如熟悉计算机技术之人明白,可以通过使用根据本公开内容的教学编程的常规的通用计算机、专用数字计算机和/或微处理器方便地实施本发明的示例性实施方案的部分。适当的软件编码可以容易由有经验的程序设计员基于本公开内容的教学来准备。 [0238] 一些实施方案包括计算机程序产品。计算机程序产品可以是其上或其中存储可用来控制或使计算机执行本发明的示例性实施方案的任何程序的指令的非临时性存储介质。存储介质可以包括(不限于)软盘、微型光盘、光碟、蓝光光碟、DVD、CD或CD-ROM、微型驱动、磁光盘、ROM、RAM、EPROM、EEPROM、DRAM、VRAM、快闪存储器、闪卡、磁卡、光学卡片、纳米系统、分子存储器集成电路、RAID、远程数据存储装置/档案馆/仓库和/或适用于存储指令和/或数据的任何其它类型的装置。 [0239] 一些实施方式包括存储在非临时性计算机可读介质中的任何一个上的以下项:用于控制通用和/或专用计算机或微处理器的硬件和用于使计算机或微处理器能够利用本发明的示例性实施方案的结果与人类用户或其它机构交互的软件。这种软件可以包括(不限于)装置驱动器、操作系统和用户应用程序。最终,这样的计算机可读介质还包括用于如上文描述般执行本发明的示例性方面的软件。 [0240] 在通用和/或专用计算机或微处理器的程序设计和/或软件中包括用于实施上文描述的程序的软件模块。 [0241] 虽然上文已描述了本发明的各个示例性实施方案,但是应了解其是通过举例的方式(且无限制)来呈现。本领域一般技术人员应明白,其中可对形式和细节做出各种改变。因此,本公开内容不应受限于任何上文描述的示例性实施方案,但是应只根据以下权利要求和其等效物而定义。 [0242] 此外,应了解只出于示例性目的而呈现所述附图。本文呈现的示例性实施方案的结构足够灵活且可配置,使得可以按除了附图中示出的方式以外的方式利用并操纵所述结构。 |
||||||
QQ群二维码
意见反馈
意见反馈