识符等一一来准备安全信道。若移动网关152遇到错误,则移动网关152可关闭该移动网关会话。
[0081]若质询请求消息是有效的,则移动网关152将创建质询消息并将该质询消息发送给消费者设备104(图6的S504和图7的S604)。
[0082]若成功地准备了安全信道,则可由移动网关152和密钥管理中心150建立安全信道。消费者设备102向移动网关152发送质询响应消息。移动网关152将验证从消费者设备104接收到的质询响应消息的格式(图6的S506和图7的S606)。若消息格式无效,则移动网关152可关闭该移动网关会话。
[0083]若消息格式有效,则密钥管理中心150可验证来自消费者设备104的该质询响应消息。若质询响应消息无效,则移动网关152可关闭该移动网关会话。若质询响应消息有效,则密钥管理中心150可推导用于安全信道的会话密钥。这些会话密钥将经由安全信道响应消息被发送给移动网关152和消费者设备104。发送给移动网关152的会话密钥可与发送给消费者设备104的会话密钥不同地加密。
[0084]若移动网关152经历错误从而不能推导出消息格式或者若移动网关152决定关闭该移动网关会话(例如,由于会话到期),则移动网关152可返回通用错误响应。
[0085]图8解说了用于使用新的TCP连接来建立安全会话的示例性流程图。如以上所讨论的,当消费者设备104希望经由移动网关152与第一实体通信时,消费者设备104必须先建立安全会话。移动网关152在安全信道建立期间以及还在由消费者设备104进行的服务调用期间管理和维持该会话。移动网关152可使用可恢复会话或不可恢复会话来维持安全会话。可恢复会话可跨多个TCP连接被维持,而不可恢复会话被局限于一个TCP连接。一旦已与MPA154和MA 156建立了移动网关会话,若乱序地接收到消息,则移动网关152就可关闭该移动网关会话。例如,若质询响应消息在质询请求消息之前被接收到,则移动网关15 2可关闭移动网关会话。另外,若在将质询消息发送给消费者设备104之后的一时间段(例如,10秒)内未接收到质询响应消息,可关闭移动网关会话。
[0086]通常,在经由移动网关152发送服务响应之后关闭移动网关会话。然而,在一个实施例中,消费者设备104可请求移动网关会话保持存活以用于后续服务请求。若移动网关会话保持存活,则在消费者设备可发送后续服务请求之前,该TCP连接有可能掉线。若发生这种情形并且消费者设备请求了可恢复会话,则消费者设备可打开新的TCP套接字连接并发送声明该现有会话ID的新服务请求。若移动网关会话是不可恢复的,则消费者设备在能发送服务请求之前必须在新的TCP连接上重复安全信道建立。
[0087]在图8中,移动网关152确定在新的TCP连接上接收到的消息的消息格式或封装是否有效(S202)。若该消息封装无效,移动网关152将关闭该TCP连接(S204)。若该消息封装有效,移动网关152将检查消息ID是有效的(S206)。检查该消息ID以确定正发送何种类型的消息。若其是从消费者设备104发送给移动网关152的质询响应消息,则该消息ID对于新的TCP连接可能是无效的,因为质询响应消息应当经由在质询请求消息被发送给移动网关152时发起的现有TCP连接来发送。这确保了消费者设备104是请求该通信的同一个设备。若消息ID指示该消息是质询响应消息,则该消息ID是无效的,且移动网关152将关闭该TCP连接(S208)。
[0088]若消息ID指示该消息是服务请求消息(即,并非质询请求消息和质询响应消息),则移动网关152将再次检查该消息ID以确定其是已知消息ID(S210)。若该消息ID是未知的,移动网关152将关闭该TCP连接(S212)。若该消息ID是已知的,移动网关152将检查该消息封装中的开始指示符字段(S214)。若该开始指示符字段指示不能维持可恢复会话,则移动网关152将关闭该TCP连接(S216)。若该开始指示符字段指示能维持可恢复会话,则移动网关152将检查该消息封装中的会话标识符以确定该会话标识符是否匹配现有移动网关会话的会话标识符(S218)。若不存在匹配,则移动网关将关闭该TCP连接(S220)。若存在匹配,则移动网关152随后将检查该现有移动网关会话是否已具有活跃TCP连接(S222)。若已存在活跃TCP连接,则移动网关152将关闭该新的TCP连接(S224)。若不存在该现有移动网关会话的活跃TCP连接,则移动网关152将把该新的TCP连接附连到该匹配的现有移动网关会话(S226)。此时,移动网关152可前进至处理该请求(S228)。
[0089]若在S206中消息ID指示该消息是质询请求消息,移动网关152将检查该消息封装中的开始指示符值(S230)。若该开始指示符值指示可恢复会话而移动网关152维持不可恢复会话,或者若该开始指示符值指示不可恢复会话而移动网关152维持可恢复会话,则移动网关152将关闭该TCP连接(S244)。若该开始指示符值指示不可恢复会话且移动网关可维持不可恢复会话,则将创建不可恢复会话(S232)。若该开始指示符值指示可恢复会话且移动网关可维持可恢复会话,则将创建可恢复会话(S234)。一旦成功创建了不可恢复或可恢复会话,移动网关152就可检查该移动应用(S卩,MPA 154)标识符是否活跃在另一会话中(S236)。若该移动应用标识符活跃在另一会话中,则移动网关152将检查该另一会话是否处于信道建立阶段(S238)。若是,则移动网关152将关闭该新的和现有的移动网关会话(S240)。若该另一会话并非处于信道建立阶段,则移动网关152将关闭该新的移动网关会话(S242)。若在S236中该移动应用标识符并未活跃在另一会话中,则移动网关152将前进至处理该请求(S228)。
[0090]图9表示在相同的TCP套接字连接上接收到后续消息时发生的会话管理处理。当移动网关152接收到现有TCP连接上的新消息时(S302),移动网关152将确定消息格式是否有效(S304)。若消息格式无效,则移动网关152将关闭该移动网关会话(S306)。若消息格式有效,则移动网关152将确定该移动网关会话是否是可恢复的(S308)。若该移动网关会话是可恢复的,则移动网关152将检查该消息中的开始指示符看其是否指示可恢复会话(S310)。若该开始指示符并非指示可恢复会话,则移动网关152将关闭该移动网关会话(S312)。若该开始指示符指示可恢复会话,则移动网关152将检查该消息中的会话标识符是否匹配会话状态中的会话标识符(S314)。若不存在匹配,则移动网关152将关闭该移动网关会话(S316)。若存在匹配,则移动网关152将检查消息长度(S318)。若消息长度为O,则移动网关152将关闭该移动网关会话(S320)。若消息长度大于O,则移动网关152将继续进行与消息处理相关的规则(S322)。
[0091]若该移动网关会话是不可恢复的,则移动网关152将检查该消息中的开始指示符看其是否指示不可恢复会话(S324)。若该开始指示符并非指示不可恢复会话,则移动网关152将关闭该移动网关会话(S326)。若该开始指示符值指示不可恢复会话,则移动网关152检查消息长度(S318)。若消息长度为O,则移动网关152将关闭该移动网关会话(S320)。若消息长度大于0,则移动网关152将继续进行与消息处理相关的规则(S322)。
[0092]一旦成功准备和建立了安全信道,就可在消费者设备104与第一实体之间发生通信。第一实体可以是需要安全信道与消费者设备104进行OTA通信的任何实体。在成功建立安全信道之后,消费者设备104可构造去往第一实体的包含SE芯片数据的消息并将该消息发送给移动网关152。移动网关152随后可构造恰适的请求并将该请求转发给第一实体。移动网关152可能需要以第一实体能理解的方式构造该请求消息。当移动网关152接收到来自第一实体的响应时,移动网关152可将来自第一实体的响应转换成OTA消息以返回给消费者设备104。
[0093]在一个实施例中,第一实体是发行方114。发行方114可能希望控制和/或更新消费者设备104上的MPA 154。例如,发行方114可能希望用与消费者的支付账户相关联的附加信息来更新MPA 154。例如,当MA 156中的离线风险计数器和指示符已达到某些阈值以使得MA156触发移动更新请求时、当发行方发送“与我通话”推送通知时等等,消费者设备104可请求对MPA 154的更新。对于发行方更新,移动网关152用于建立MPA 154与相关联的发行方114之间的安全连接以使得能递送这些更新。这些更新可进一步包括,但不限于:卡参数更新、阻止或解除阻止MPA 154、禁用支付能力、解除阻止或改变MPA 154的通行码、将通行码设为默认通行码等。
[0094]除了控制和/或更新MPA154的能力,发行方可提供用于增值服务的附加特征。发行方114可允许消费者查询其余额中的一者或多者,并且发行方114可在安全信道上将一个或多个余额提供给消费者设备104。发行方114可提供指示使用链接到与消费者设备104相关联的预付款支付账户的资金账户在安全信道上向该预付款支付账户补足或增加附加资金的消息。发行方114还可处理对动态卡验证值2 (CVV2)的请求并提供CVV2以用于无卡(CNP)交易。
[0095]本文参照附图描述的各个参与方和元件(诸如举例而言移动网关或密钥管理中心)可操作一个或多个计算机装置来实施本文描述的功能。附图中的任何元件(包括任何服务器或数据库)可使用任何合适数目的子系统以促进本文中描述的功能。
[0096]这些子系统或组件的示例在图10中示出。图10所示的子系统经由系统总线475互连。示出了诸如打印机474、键盘478、固定盘479(或者包括计算机可读介质的其他存储器)、耦合到显示适配器482的监视器476等附加子系统。耦合到I/O控制器471(