用于多个服务供应商可信服务管理器和安全元件的接口连接的系统、方法和计算机程序产品的制作方法

用于多个服务供应商可信服务管理器和安全元件的接口连接的系统、方法和计算机程序产品的制作方法
【专利摘要】本发明提供了用于在多个服务供应商(SP)可信服务管理器(TSM)中的一个与多个安全元件(SE)中的一个之间的接口连接的系统、方法和计算机程序产品。通过通信网络从SP系统接收更新服务的第一请求。所述第一请求包括与所述服务相关的服务限定符。确定对应于所述服务限定符的安全元件。将删除与来自所述安全元件的所述服务限定符相关的数据的第二请求传输到所述安全元件。将在所述安全元件上安装应用程序的第三请求传输到所述安全元件。将激活所述安全元件上的应用程序的第四请求传输到所述安全元件。
【专利说明】用于多个服务供应商可信服务管理器和安全元件的接口连 接的系统、方法和计算机程序产品

【技术领域】
[0001] 本发明涉及服务供应商与安全元件之间的接口连接，且更特定地说涉及用于服务 供应商可信服务管理器与安全元件之间的接口连接的系统、方法和计算机程序产品。

【背景技术】
[0002] 服务供应商（SP)是给客户或消费者提供服务的公司、组织、实体等等。服务供应 商的实例包括账户发行实体，诸如商人、卡协会、银行、营销公司和交通局。服务可以是由服 务供应商允许或提供的活动、权力、功能、工作和使用，诸如支付服务、赠送服务、报价服务 或忠诚度服务、入境签证服务等等。
[0003] 在涉及移动装置与服务供应商之间的无接触式交易的移动环境下，涉及由服务供 应商发行的账户和应用程序的信息必须被下载到移动装置上以使其能够执行无接触式交 易。
[0004] 可信服务管理器（TSM)通常是通过为移动装置配置应用程序（诸如与服务供应商 相关联的无接触式应用程序）而服务于移动网络运营商（MN0)和账户发行服务供应商的独 立实体。典型的TSM可远程分布并管理无接触式应用程序，因为其访问启用近场通信（NFC) 的移动装置中的安全元件（SE)。
[0005] 诸如涉及支付和账户证书的安全关键应用程序需要安全硬件存储装置和安全执 行环境。在移动装置上，这通常是由安全元件处理。
[0006] 安全元件是在其上可安装、个人化并管理应用程序的平台。其是由使能够安全存 储证书并执行用于支付、认证和其它服务的应用程序的硬件、软件、接口和协议组成。
[0007] 安全元件可以不同外形（诸如可被插入到移动装置上的狭槽中的通用集成电路 卡片（UICC)、嵌入式安全元件或NFC使能器（诸如单独芯片或安全装置））实施。通常，UICC 是呈受控于MN0的用户身份模块（SIM)的形式。嵌入式安全元件给服务供应商赋予将安全 元件嵌入到电话本身中的选项。其中实施安全元件外形的一种方式是定义于（例如）全局 平台卡片规范版本2. 1. 1和2. 2 (下文"全局平台"）中。
[0008] 安全元件可以包括一个或多个安全域（SD)，其中的每个包括可信共同实体（即， 使用共同安全密钥或令牌认证或管理）的数据的集合，诸如数据包、小应用程序、应用程序 等等。
[0009] 安全域可以与服务供应商相关联且可以包括服务供应商小应用程序或应用程序 (诸如忠诚度、票券兑换和信用卡）并中转应用程序或小应用程序。
[0010] 从传统上来说，服务供应商系统包括TSM以与移动装置上的安全元件互连以在安 全元件上创建安全域，且安装、配置和管理安全元件上的小应用程序和应用程序。服务供应 商必须能够给具有装备有不同安全元件且由多个MN0服务的不同移动装置的极多个客户 提供其服务。如上文解释，安全元件可以多种外形实施，且可以包括多个安全域、小应用程 序和应用程序，其全部可以极多种方式进行配置。结果，服务供应商面临给移动装置、MN0、 网络、安全元件和安全域的多种且通常不断增加并不断变化的组合提供适应性服务和解决 方法的艰巨任务。
[0011] 例如，为了使服务供应商将支付小应用程序安全地安装到移动装置的客户安全元 件上，服务供应商必须首先确定大量信息发送到安全元件并在安全元件上处理请求。例如， 服务供应商使用先前技术必须获得安全元件信息（例如，识别符、类型、配置文件识别符、 证书级别、失效期）、MN0信息（例如，类型）、安全域信息（例如，识别符、特权、主密钥索引） 等等。这样的信息可以存在于多个不同源（例如，安全域、安全元件、移动装置、MN0)中， 且因此服务供应商检索所有这样的信息并核对其奇偶校验是一项艰巨的任务，需要大量处 理。
[0012] 安装、管理和配置安全元件上的应用程序由于典型的TSM受限而面临一种技术挑 战，即TSM不会用作能够处理极多个服务供应商、MN0、移动装置、网络、安全元件和安全域 之间的通信的中央中间机构。因此，需要改善系统，诸如尤其被特别设计用作服务供应商 (包括服务供应商TSM)与安全元件之间的接口连接的中央TSM。
[0013] 从服务供应商的观点来看，所关心的是其可容易又安全地与期望的客户安全元件 通信（即，请求个人化、服务激活、脚本处理等等），而不管客户移动装置、安全元件、MN0或 移动网络。
[0014] 从客户的观点来看，所关心的是服务供应商的服务可在客户安全元件上激活且和 客户安全元件一起激活，而不管客户移动装置、安全元件、MN0或移动网络。


【发明内容】

[0015] 本发明提供了用于多个服务供应商可信服务管理器中的一个与多个安全元件中 的一个之间的接口连接的系统、方法和计算机程序产品。
[0016] 在一个实施方案中，一种用于多个服务供应商可信服务管理器中的一个与多个安 全元件中的一个之间的接口连接的系统包括至少一个存储器和处理器，所述处理器通信地 耦接到所述至少一个存储器。所述处理器可操作来执行以下各项：通过通信网络从服务供 应商（SP)可信服务管理器（TSM)接收更新服务的第一请求，所述第一请求包括与所述服务 相关的服务限定符；确定对应于所述服务限定符的安全元件；将删除与来自所述安全元件 的所述服务限定符相关的数据的第二请求传输到所述安全元件；将在所述安全元件上安装 应用程序的第三请求传输到所述安全元件；和将激活所述安全元件上的所述应用程序的第 四请求传输到所述安全元件。
[0017] 在另一实施方案中，一种用于多个服务供应商（SP)可信服务管理器（TSM)中的一 个与多个安全元件中的一个之间的接口连接的方法包括以下步骤：通过通信网络从SP TSM 接收更新服务的第一请求，所述第一请求包括与所述服务相关的服务限定符；确定对应于 所述服务限定符的安全元件；将删除与来自所述安全元件的所述服务限定符相关的数据的 第二请求传输到所述安全元件；将在所述安全元件上安装应用程序的第三请求传输到所述 安全元件；和将激活所述安全元件上的所述应用程序的第四请求传输到所述安全元件。
[0018] 在另一实施方案中，一种非暂时计算机可读介质具有在其上存储的用来使一个或 多个处理器进行以下项的指令序列：通过通信网络从SP TSM接收更新服务的第一请求，所 述第一请求包括与所述服务相关的服务限定符；确定对应于所述服务限定符的安全元件； 将删除与来自所述安全元件的所述服务限定符相关的数据的第二请求传输到所述安全元 件；将在所述安全元件上安装应用程序的第三请求传输到所述安全元件；和将激活所述安 全元件上的所述应用程序的第四请求传输到所述安全元件。
[0019] 根据下文结合以下附图陈述的详细描述将更加明白本发明的其它特征和优点。

【专利附图】

【附图说明】
[0020] 根据下文结合以下附图陈述的详细描述将更加明白本发明的其它特征和优点。
[0021] 图1是根据示例性实施方案的用于服务供应商与安全元件之间的接口连接的系 统的图。
[0022] 图2是示出了根据示例性实施方案的用于将请求从服务供应商可信服务管理器 发送到安全元件的次序的次序图。
[0023] 图3是示出了根据示例性实施方案的用于将多个请求从服务供应商可信服务管 理器发送到安全元件的次序的次序图。
[0024] 图4是示出了根据示例性实施方案的用于将预个人化请求从服务供应商可信服 务管理器发送到安全元件的次序的次序图。
[0025] 图5是根据示例性实施方案的安全元件配置的图。
[0026] 图6是根据示例性实施方案的安全元件配置的图。
[0027] 图7是根据示例性实施方案的安全元件配置的图。
[0028] 图8是根据示例性实施方案的安全元件配置的图。
[0029] 图9是有用于实施本发明的示例性系统的方框图。
[0030] 图10是示出根据示例性实施方案的用于更新服务的序列的序列图。

【具体实施方式】
[0031] 概述
[0032] 本文呈现的本发明的示例性实施方案是针对用于服务供应商与安全元件之间的 接口连接的系统、方法和计算机程序产品。这只是为方便起见，且不旨在限制本发明的应 用。事实上，在阅读以下描述之后，本领域一般技术者应明白如何在替代实施方案中实施以 下发明，诸如极多个实体与大量实体之间的接口连接，所述实体包括TSM、MN0、安全元件、移 动装置、服务供应商和能够通过网络进行通信的任何其它系统。
[0033] -般来说，本文描述的示例性实施方案在具有移动用户身份（MSI)的一个或多个 服务供应商系统与一个或多个安全元件之间执行接口连接。
[0034] 服务供应商系统（即，服务供应商）可以与中央TSM通信以访问或控制安全元件 上的对应安全域和/或应用程序。特定地说，服务供应商通过与中央TSM通信可以预个人 化安全元件、个人化安全元件中的安全域上的服务或激活安全元件上的服务。例如，服务供 应商可以将预个人化安全元件的请求传输到中央TSM。作为响应，中央TSM可以预个人化安 全元件，包括如果需要创建包括对应暂时安全密钥的至少一个服务供应商安全域和/或例 证安全元件上的应用程序。应用程序的例证包括创建未例证应用程序的实例。
[0035] 服务供应商还可以将个人化服务的请求传输到中央TSM。所述请求可以包括数据 和脚本。脚本可以包括由安全元件中对应于服务供应商的安全域上的应用程序执行的命 令。例如，脚本可以包括以下命令：个人化已例证应用程序、旋转对应安全域中的密钥和/ 或执行服务供应商的安全域中的服务供应商命令和/或安全元件中的已例证应用程序。中 央TSM接收所述请求并将所述请求中的脚本和/或数据安全地传输到安全元件。安全元件 然后又接收并执行脚本和数据。
[0036] 服务供应商与中央TSM通信以对安全元件执行命令。因此，服务供应商（即，SP TSM)将请求（例如，预个人化安全元件）发送到中央TSM以基于MSI获得关于安全元件的 信息。中央TSM接收所述请求并基于MSI查询其存储器以获得关于安全元件的请求信息。 一旦中央TSM检索到对应于MSI的安全元件信息，中央TSM立即将已检索的安全元件信息 和MSI传输到SP TSM。
[0037] -旦服务供应商识别目标安全元件和其信息，服务供应商（即，SP TSM)立即将使 中央TSM与安全元件建立通信（S卩，对话）的请求发送到中央TSM。建立通信的请求包括已 检索的安全元件信息和对应MSI以及关于将用来处理来自服务供应商的后续请求的应用 程序或小应用程序、安全域、服务和脚本的信息。中央TSM接收所述请求并将包括通信的通 信识别符和其它属性的响应传输到SP TSM。
[0038] 在建立通信之后，服务供应商发送包括旨在安全元件中执行的通信识别符的请求 (例如，个人化应用程序）。服务供应商最初将所述请求发送到中央TSM。中央TSM接收所 述请求，且基于所述请求中的信息与安全元件建立连接，并将所述请求（例如，个人化应用 程序）传输到安全元件以供处理之用。中央TSM通过对应移动网络将所述请求传输到安全 元件。对应移动网络是基于检索自中央TSM的存储器的MN0信息（基于由服务供应商做出 的请求（例如，个人化应用程序）中的信息）来确定。在安全元件中根据来自服务供应商 的请求、基于所述请求中的信息和已建立的通信来处理所述请求。
[0039] 由于本文描述的示例性实施方案的功能，服务供应商可有效且毫不费力地与中央 TSM通信以在所需处理和信息最少的情况下对安全元件处理多个请求。示例性实施方案还 提供了中央TSM配置，其显著地减小服务供应商对安全元件处理请求（例如，实现服务）所 需时间和成本需求。
[0040] 此外，服务供应商可只通过使用MSI经由中央TSM将与单一源（即，中央TSM)通 信的请求发送到安全元件。即，服务供应商能够使用安全元件处理其请求，而无需与多个中 间源（例如，MN0、TSM)通信。
[0041] 此外，标准化服务供应商请求使得将单一类型的请求传达到中央TSM，而不论MN0 的类型、移动装置类型、安全元件和/或应用程序为何。通过标准化服务供应商请求，有利 的是，与多个服务供应商请求的处理相关联的错误和复杂度减小。此外，服务供应商无需传 输或提供应用程序来安装，或提供MN0、移动装置或安全元件接口以对安全元件处理请求。 相反，服务供应商可将具有命令的一个或多个标准化请求发送到中央TSM。结果，最小化执 行请求所需处理时间和大小。
[0042] 系统
[0043] 图1是用于服务供应商与安全元件之间通过移动网络进行接口连接的示例性 系统100的图。如图1中示出，系统100包括SP TSM 103-1、103-2、......、103_n(统称 为"103"）。SP TMS 103中的每个对应于服务供应商107-1、107-2、......、107_n(统称为 "107"）。每个SP TSM用作服务供应商107与包括安全元件、MN0和另一类型的TSM(本文 称作"中央TSM"）的其它实体之间的中间机构。
[0044] SP TSM 103中的每个经由通信网络105通信地耦接到中央TSM 102。通信网络 105可以是虚拟专用网络（VPN)、使用超文本传输协议（HTTP)标准的网络等等。
[0045] SP TSM 103中的每个和中央TSM 102还可以通过使用安全协议（诸如安全套接 层（SSL)、传输层安全（TLS)等等）保护这些通信。SP TSM 103中的每个还可以通过使用 应用程序接口（API)(诸如网络服务API)与中央TSM 102通信。
[0046] 在示例性实施方案中，中央TSM 102是被实施来用作SP TSM 103与安全元件 106a-l、106a-2、......、106a_n (统称为" 106a"）之间的中间机构的硬件和/或软件。具 体来说，中央TSM 102允许SP TSM 103中的每个（例如）请求安全元件（例如，安全元件 106)的预个人化、生成并安装新的或暂时安全域密钥集合、个人化支付服务和/或激活服 务。即，中央TSM 102管理SP TSM 103与安全元件106a之间的通信。
[0047] 因此，中央TSM 102可通过多个移动网络104-1、104-2、......、104_n(统称为 "104"）与多个服务供应商107和SP TSM 103以及多个安全元件106a通信。
[0048] 在示例性实施方案中，中央TSM 102包括处理器102a和存储器102b。
[0049] 中央TSM 102可以包括企业服务总线（ESB)(没有示出）。在示例性实施方案中， ESB是用于实施实体（例如，安全元件106a、SP TSM 103、中央TSM 102)之间的交互和通信 的结构模型。
[0050] 中央TSM 102经由对应MN0使用和/或管理的对应移动网络104通信地耦接到安 全元件106a。一般来说，移动网络104是由MN0使用来提供无线通信服务。移动网络104 可以是移动电话蜂窝网络、无线电网络等等。中央TSM 102可以经由移动网络104使用安 全协议（诸如全局平台安全通道协议、SSL、TLS等等）与安全元件106a通信。
[0051] 下文参考图5至图8进一步详细讨论安全元件（例如，安全元件106a)。如图1中 示出，安全元件106a分别与对应移动装置106-1、106-2和106-n(统称为"106"）相关联。 安全元件106a可以通信地耦接到一个或多个处理器和一个或多个存储器。
[0052] 在安全元件（例如，安全元件106a_l)的制造期间，安全元件被预加载包括（例 如）MNO SD、中央SD、电子钱包伴侣小应用程序、移动电子钱包伴侣小应用程序（WCAp)、近 距离支付系统环境（PPSE)和支付数据包的内容。MNO SD是由MN0管理的安全域且包括安 全密钥和应用程序。中央SD是由中央TSM 102管理。WCAp可以由移动电子钱包使用来进 行交易，且PPSE是辅助进行无接触式支付交易的过程的应用程序。
[0053] 安全元件106a可以包括安全域、代码、小应用程序、应用程序和数据包。数据包可 以包括未例证的小应用程序和/或应用程序，且可以（例如）无线（0TA)加载到安全元件 上。安全元件上的小应用程序和/或应用程序可以呈未例证或已例证形式，且未例证小应 用程序和/或应用程序可以在安全元件的制造期间预加载到安全元件上。替代地，可以在 制造安全元件之后（例如当将安全元件传递到用户时）（例如）0TA加载小应用程序和/或 应用程序。小应用程序和/或应用程序可以通用或不通用。不通用小应用程序和/或应用 程序可以包括票券兑换和忠诚度应用程序和/或对多个服务供应商来说不通用的任何应 用程序。即，不通用应用程序可以对应于单一服务供应商。可以和不通用应用程序（（例如， 报价、优惠券）一起使用和/或与其相关联的数据可以存储在安全元件或安全元件外部的 存储器（例如，移动装置的非易失性存储器）中。
[0054] 通用小应用程序和/或应用程序可以包括当已例证时可由多个服务供应商使用 的小应用程序和/或应用程序。例如，支付网络的通用应用程序（例如MasterCard? )可 以由中央TSM例证而用于多个服务供应商，且因此可以由一个以上服务供应商使用。
[0055] 包括未例证的小应用程序和/或应用程序的数据包可以由控制中央TSM和/或中 央SD的单一实体持有或控制。未例证的小应用程序和/或应用程序可以创建在安全元件 上的中央SD以下（即，直接与中央SD相关联），且可以在安全元件上由中央TSM使用中央 SD来专门管理。特定地说，中央SD保持专门访问WCAp、PPSE、数据包和SP SD。然而，服务 供应商可以将（例如）旋转（即，交换）安全密钥的请求传输到中央TSM。在旋转SP SD 的安全密钥之后，对应服务供应商可继续将对所述对应SP SD执行命令的请求发送到中央 TSM。在密钥旋转之后，中央TSM限制访问SP SD。特定地说，中央TSM可（例如）停止执行 SP SD以下的应用程序或例证应用程序，但是无法访问SP SD的安全密钥或个人化内容。
[0056] 未例证的小应用程序或应用程序的专属持有权、控制和/或管理允许单一实体有 效且具成本效益地监督小应用程序和/或应用程序。此外，专属持有权、控制和/或管理增 加安全性并最小化由多个服务供应商加载和控制安全元件上的不同小应用程序和/或应 用程序造成的复杂度。例如，服务供应商可以利用未例证的小应用程序和/或应用程序的 实例来代替证明和安装安全元件上的独立小应用程序和/或应用程序。
[0057] 此外，可以例证未例证的小应用程序和/或应用程序，且然后可以将每个实例引 渡到对应安全域。例证可以包括使用对应于被创建实例的实体的数据来个人化小应用程序 和/或应用程序。
[0058] 例如，可以为不同实体（例如，服务供应商）创建未例证的小应用程序和/或应用 程序的多个实例，且可以将每个实例引渡到不同安全域以供不同实体使用。
[0059] 安全元件上的小应用程序或应用程序可以依据由全局平台、欧陆卡、 MasterCard?、Visa? (emvc〇.)、mno和支付网络（例如，MasterCard?、 Visa?、Discover?、American Express? )运行。小应用程序或应用程序可以是（例 如）expresspay?、payWave?、PayPass?、Zip? 等等。
[0060] 例如，SP TSM 103-1经由通信网络105将请求发送到中央TSM 102,且中央TSM 102经由通信网络105将响应发送返回到SP TSM 103-1。SP TSM103-1经由通信网络105 将旨在用于安全元件106a-l的请求发送到中央TSM102。然后中央TSM 102又经由各自移 动网络104-1将所述请求发送到安全元件106a-l。.
[0061] 在替代实施方案中，中央TSM 102可包括并使用ESB以执行操作。
[0062] 在替代实施方案中，多个服务供应商共享SP TSM 103中的一个。
[0063] 在额外替代实施方案中，存储器102b可以是数据库。
[0064] 在另一替代实施方案中，多个移动网络与多个SP TSM通信。
[0065] 程序
[0066] A.将请求从服务供应商TSM传达到安全元件
[0067] 图2描绘了根据示例性实施方案的用于将请求从SP TSM 203 (例如，图1，SP STM 103-1)发送到安全元件201 (例如，图1，SE 106a-l)的次序图200。请求可以是（例如） 安全元件201处理脚本、管理通信或激活服务的请求。下文参考图2和图3进一步详细讨 论这些类型的请求。
[0068] 如图2中示出，在步骤250处，SP TSM 203通过通信网络（例如，图1，通信网络 105)将请求（Request,)传输到中央TSM 202。这个请求可以是基于包括在请求中的移动 用户身份（MSI)检索包括安全元件识别符的安全元件数据的请求。
[0069] 安全元件识别符是被写入到安全元件201且可以用来识别安全元件201的唯一编 号或字符集合。安全元件识别符还可以包括用来识别安全元件的识别符的类型，诸如卡片 图像编号（CIN)，其是识别安全元件且在安全元件的个人化期间被写入到安全元件的唯一 编号。
[0070] 安全元件数据是安全元件201的属性。安全元件数据可以包括涉及安全元件 201的以下信息：安全元件识别符；与安全元件201相关联的MN0的名称；用于与SP TSM 203相关联的服务供应商的服务供应商数据；包括用于安全元件201中的服务供应商的安 全域的密钥的主密钥索引；配置文件识别符；安全元件类型；标准版本（例如，全局平台、 JavaCard);证书级别和失效日期。
[0071] MSI是用来识别与MN0相关联的移动装置的手机订阅的唯一编号。MSI还可以包 括与手机订阅相关联的MN0的名称和用来识别移动装置的手机订阅的识别符的类型，诸如 移动装置编号（MDN)，其一般是与特定服务热线相关联的电话号码。
[0072] 中央TMS 202接收包括MSI的请求（Request,)且在步骤252处查询其存储器（查 询存储器）。存储器可以是包括一个或多个MSI和一个或多个对应安全元件识别符和安全 元件数据的数据库。存储器还可以包括对应于安全元件识别符中的每个的MN0数据。MN0 数据可以是用来识别与安全元件相关联的MN0的信息，且可以用来选择适当的移动网络以 用于与安全元件通信。查询是从存储器中检索包括对应于MSI的安全元件识别符的安全元 件数据的请求。
[0073] 当检索到对应于MSI的安全元件数据时，中央TSM 202在步骤254处通过通信 网络将存储在其包括安全元件识别符的数据库中的已检索的安全元件数据传输到SP TSM 203 (响应）。中央TSM 202还将包括在请求中的对应MSI传输到SP TSM 207 (响应）。以 此方式，SP TSM 203确定其将请求所要发送到的安全元件201的身份。
[0074] SP TSM 203在步骤256处使用接收自中央TSM 202的安全元件数据将请求 (Requesty)传输到中央TSM 202。中央TSM 202接收这个请求（Requesty)，其包括SP TSM 203将请求所要定位到的安全元件201的安全元件识别符。
[0075] 这个请求（Request^可以包括安全元件201对以下项的一个或多个请求：管理通 信、处理一个或多个脚本或激活服务。例如，请求可以用来命令安全元件执行（例如）个人 化、密钥旋转和下文参考图3和图4讨论的其它程序。
[0076] 中央TSM 202基于存储器中对应于请求（Requesty)中的安全元件数据的MN0数 据从多个移动网络中确定移动网络（例如，图1，移动网络104-1)。当确定移动网络时，中 央TSM 202在步骤258处通过移动网络将基于先前请求（Request)的请求（Request)传 输到安全元件201。以此方式，安全元件201可以在步骤260处处理请求（处理请求）。
[0077] 在替代实施方案中，安全元件201可以通过移动网络将完成或处理请求之后的响 应从SP TSM 203传输到中央TSM 202。响应可以包括（例如）指示请求的处理是否成功或 失败的息。
[0078] 在替代实施方案中，安全元件数据可以不包括安全元件识别符。在这种情况下，SP TSM 203可以（基于MSI)单独请求安全元件识别符和安全元件数据，且中央TSM 202可以 将单独响应中的安全元件识别符和安全元件数据提供给SP TSM 203。
[0079] 在替代实施方案中，SP TSM 203最初可以将预配置安全元件201的请求传输到中 央TSM 202,所述请求包括必要时（S卩，如果没有创建对应于SP TMS 203的一个或多个安全 域）在安全元件201上创建一个或多个安全域。一旦创建所述一个或多个安全域，SP TSM 203可立即将后续请求传输到中央TSM 202,后续请求包括（例如）例证未例证应用程序的 请求。中央TSM 202然后又将已例证应用程序（S卩，实例）引渡到对应安全域（例如，中央 SD、SP SD)。
[0080] 在替代实施方案中，中央TSM 202包括ESB且利用ESB来处理包括（例如）以下 项的请求：处理脚本、管理通信或激活服务。
[0081] B.将多个服务供应商TSM请求传达到安全元件
[0082] 图3描绘了根据示例性实施方案的用于将多个请求从SP TSM 303 (例如，图1，SP TSM 103-1)发送到安全元件301(例如，图1，SE 106a-l)的次序图300。
[0083] 在图3中，在步骤352处，SP TSM 303通过通信网络（例如，图1，通信网络105) 将包括获得安全元件识别符的请求的请求（请求SE识别符）传输到中央TSM 302。请求 (请求SE识别符）包括MSI，其与SP TSM 303希望将请求所要发送到的安全元件301相关 联。在步骤354处，中央TSM 302使用MSI执行查询（查询存储器）且检索对应于包括在 请求中的MSI的安全元件识别符。在步骤356处，中央TSM 302通过通信网络将已检索的 安全元件识别符传输到SP TSM 303 (对请求SE识别符的响应）。
[0084] 一旦SP TSM 303接收到安全元件识别符，SP TSM 303在步骤358处立即通过通 信网络将包括获得与安全元件301相关联的安全元件数据（如上文参考图2进一步详细讨 论）的请求的请求（请求SE数据）传输到中央TSM302。这个请求（请求SE数据）包括安 全元件识别符（接收自中央TSM 302)和对应MSI。在步骤360处，中央TSM 302使用安全 元件识别符和对应MSI执行查询（查询存储器）且检索对应于安全元件识别符的安全元件 数据。在步骤362处，中央TSM 302通过通信网络将已检索的安全元件数据传输到SP TSM 303(对请求SE数据的响应）。
[0085] 在步骤364处，基于已接收的安全元件识别符和数据，SP TSM 303随后传输请求 (请求管理通信（开始））以管理到中央TSM 302的通信。
[0086] 1 ?管理通信
[0087] 一般来说，管理通信的请求可以包括开始通信的请求或结束通信的请求。在示例 性实施方案中，通信是从第一装置（例如，SP TSM 303、中央TSM 302)到第二装置（例如， 安全元件301)的通知：第一装置希望和第二装置一起执行无线（0TA)通信或操作。
[0088] 如图3中示出，在步骤364处，SP TSM 303通过通信网络将请求（请求管理通信 (开始））传输到中央TSM 302以建立通信，使得可建立通信参数和识别符。因此通知中央 TSM 302 :SP TSM 303将会请求对安全元件301执行操作。这个操作可以是（例如）由SP TSM 303请求执行脚本或激活安全元件301上的服务。
[0089] 在步骤364处由SP TSM 303传输到TSM 302的通信请求（请求管理通信（开始）） 可以包括以下属性：安全元件识别符、MSI、服务识别符、服务限定符、目标应用程序识别符、 在OTA通信期间执行的脚本的格式和大小，和所请求的操作（例如，密钥旋转、个人化）。"所 请求的操作"属性是由中央TSM 302使用来跟踪所述操作的进程。
[0090] 服务识别符可以包括用来识别服务的一般定义的服务识别符编号和版本。服务限 定符包括服务供应商名称和支付账户参考号（PRN)。
[0091] 服务限定符是用来识别在通信期间使用请求（包括命令）作用（例如，安装、锁 定、解锁、删除）的服务（即，对应于服务识别符的服务）的特定实例。
[0092] PRN是用于识别与服务相关联的证书或卡片（例如，支付卡）的唯一编号。
[0093] 如图3中示出，在接收到请求（请求管理通信（开始））之后，中央TSM302在步骤 366处通过通信网络将响应（对请求管理通信（开始）的响应）传输到SP TSM 303。这个 响应可以包括以下属性：通信识别符、0TA载体（即，负责传输请求的实体）、操作中请求的 脚本的最大数量和大小、脚本格式和通信的允许长度。
[0094] 如图3中进一步示出，在步骤374和388处，在处理一个或多个脚本（下文进一步 详细讨论）之后，SP TSM 303通过通信网络将请求（请求管理通信（结束））传输到中央 TSM 302以结束通信（即，对应于通信识别符的通信）。这个请求可以包括先前由SP TSM 303接收的通信识别符和操作的状态（例如，失败或成功）。因此，SP TSM 303指示不再希 望使用对应于通信识别符的通信且可以不再使用所述通信。在步骤376和390处，中央TSM 302通过通信网络将指示操作的状态（例如，失败或成功）的响应（对请求管理通信（结 束）的响应）发送到SP TSM 303。
[0095] 如图3中示出，虽然通信呈开放式（S卩，通信已开始且尚未结束），但是SP TSM 303 仍将处理一个或多个脚本的请求发送到中央TSM 302。
[0096] 2.处理一个或多个脚本
[0097] 一般来说，处理一个或多个脚本的请求使SP TSM 303能够使用中央TSM 302请求 发送针对安全元件301且对安全元件301执行的命令应用程序协议数据单元（APDU)的集 合。这个请求可以基于（例如）全局平台消息传递标准，且可以用来（例如）请求：应用程 序个人化、密钥旋转和/或后期个人化。下文参考图5至图8讨论可被发送到安全元件以 供处理之用的命令清单。
[0098] 每个脚本或命令APDU可以用来基于或使用预存储（S卩，制造期间加载）在安全元 件上的数据执行操作。这种数据可以包括（例如）代码、小应用程序或应用程序。使用脚 本和/或APDU命令，SP TSM 303可以请求中央TSM302例证（例如）安全元件301上的未 例证应用程序并将实例引渡到安全元件301上的对应安全域。
[0099] 在示例性实施方案中，应用程序个人化是将数据插入或上传到安全元件中的安全 域上的应用程序上。即，服务供应商可以将包括账户和客户数据的敏感信息插入或上传到 客户的移动装置中的安全元件上的应用程序上。更具体地说，SP TSM可以将个人化包括命 令和数据的应用程序的请求传输到中央TSM。中央TSM然后可以基于接收自SP TSM的请求 将个人化与客户相关联的安全元件上的应用程序的请求发送到安全元件。
[0100] 在示例性实施方案中，密钥旋转是将由服务供应商提供的数字密钥（即，撤销加 密算法的工作的算法）设置或插入到安全元件中的安全域中的概念。
[0101] 在示例性实施方案中，后期个人化是经由中央TSM将包括命令APDU的请求发送到 安全元件的概念。特定地说，后期个人化是由服务供应商发送以在执行个人化之后执行未 处理命令。
[0102] 参考安全域，处理一个或多个脚本的请求可以包括通信识别符（如上文描述）和 被发送到安全元件301且在安全元件301中执行的命令APDU的清单。即，SP TSM 303使 用已建立的通信（和其中定义的属性）将关于具体且对应的应用程序或未例证应用程序执 行的命令清单发送到安全元件301。
[0103] 命令APDU的实例包括："删除密钥"、"获取密钥"、"获取状态"、"放置密钥"、"选 择"、"设置状态"、"存储数据"和"安装"。这些命令APDU可以用来检索应用程序和应用程 序数据、选择应用程序、锁定和解锁应用程序、个人化应用程序、例证未例证的应用程序、将 已例证的应用程序引渡到对应SP SD以及更新和删除安全域密钥。下文参考图5至图8进 一步详细描述命令APDU。
[0104] 如图3中示出，在步骤368处，SP TSM 303通过通信网络将请求（请求处理脚本 (密钥旋转））传输到中央TSM 302以处理脚本。特定地说，这个请求包括通信识别符，其是 将用来传输请求的已建立通信。这个请求还包括对安全元件301中的安全域执行密钥旋转 的命令（即，命令APDU)。作为响应，在步骤372处，中央TSM 302将包括响应APDU的清单 和执行失败的命令APDU的清单的响应（对请求处理脚本（密钥旋转）的响应）传输到SP TSM 303。
[0105] 如图3中进一步示出，在步骤370处处理执行密钥旋转的请求之后，SPTSM 303在 步骤374处通过将请求（请求管理通信（结束））发送到中央TSM302来请求结束先前起始 的通信。在步骤376处，中央TSM将响应（对请求管理通信（结束）的响应）传输到SP TSM 303。然后SP TSM 303又在步骤378处通过传输请求（请求管理通信（开始））来请求起 始（即，开始）后续通信且在步骤380处在响应（对请求管理通信（开始）的响应）中从 中央TSM 302获得对应通信识别符使用步骤380中获得的通信和通信识别符，SP TSM 303 在步骤382处通过通信网络将额外请求（请求处理脚本（个人化应用程序））传输到中央 TSM 302以处理脚本。特定地说，这个请求包括通信识别符（其是将用来传输请求的开放式 通信）和对安全元件301中的安全域执行应用程序个人化的命令（S卩，命令APDU)的清单。 在步骤384处，处理这个请求（个人化应用程序）。作为响应，在步骤386处，中央TSM 302 将包括响应APDU的清单和执行失败的命令APDU的清单的响应（对请求处理脚本（个人化 应用程序）的响应）传输到SP TSM 303。在步骤388处，SP TSM 303将请求（请求管理通 信（结束））传输到中央TSM 302以结束通信。在步骤390处，中央TSM 302传输响应（对 请求管理通信（结束）的响应）。
[0106] 在替代实施方案中，执行密钥旋转的请求和执行应用程序个人化的请求是以单一 请求从SP TSM 303传输到中央TSM 302。
[0107] 在另一替代实施方案中，在单一通信期间执行多个操作。
[0108] 3?激活服务
[0109] 如图3中示出，在步骤392处，SP TSM 303通过通信网络将请求（请求激活服务） 传输到中央TSM 302以激活服务（例如，支付服务）。
[0110] 一般来说，激活服务的请求是用来激活服务供应商的服务且可在特定安全元件上 选择与所述服务相关联的应用程序。这个请求可以包括以下属性：安全元件识别符、MSI、月艮 务识别符和服务限定符。服务识别符和服务限定符可以用来识别安全元件301上激活的服 务的一般和特定实例。
[0111] 中央TSM 302接收激活服务的请求且在步骤394处使用请求中提供的信息处理请 求。在步骤396处，中央TSM 302将对所述请求的响应（对激活服务的请求的响应）传输 到SP TSM 303,所述响应包括指示所述请求的执行状态（即，执行是否失败或成功）的信 肩、。
[0112] 在替代实施方案中，将激活服务的请求和执行密钥旋转和/或应用程序个人化的 请求以单一请求从SP TSM 303传输到中央TSM 302。
[0113] 在替代实施方案中，中央TSM 302包括ESB且利用ESB以处理请求，包括例如处理 脚本、管理通信或激活服务。
[0114] C.将预个人化请求从SP TSM传输到安全元件
[0115] 图4描绘了用于将预个人化的请求从SP TSM 403(例如，图1，SP TSM103-1)传输 到安全元件401 (例如，图1，SE 106a-l)的示例性次序图400。
[0116] 在图4中，在步骤452处，SP TSM 403通过通信网络（例如，图1，通信网络105) 将请求（请求SE数据）传输到中央TSM 402以获得包括安全元件识别符的安全元件数据。 所述请求包括MSI。
[0117] 当接收到请求时，中央TSM 402在步骤454处基于包括在请求（请求SE数据）中 的MSI对存储器查询包括安全元件识别符的安全元件数据（查询存储器）。一旦检索到安 全元件数据，中央TSM 402在步骤456处立即将包括安全元件数据的响应（对请求SE数据 的响应）传输到SP TSM 403。
[0118] 如图4中示出，在步骤458处，ST TSM 403通过通信网络将预个人化请求（请求 预个人化）传输到TSM 402。这个请求可以包括识别请求预个人化的服务（和其对应的应 用程序）的属性和用于执行预个人化请求的命令。显然，所述请求不包括在安全元件上例 证的服务的应用程序。
[0119] 在示例性实施方案中，预个人化包括创建安全域、例证一个或多个未例证应用程 序和将实例引渡到安全域。预个人化还可以包括确定安全域和应用程序是否已存在于安全 元件上、执行技术资格核对和加载并例证应用程序。
[0120] 中央TSM 402接收预个人化请求，且基于这个请求在步骤460处将请求（请求安 全域创建）传输到安全元件401以创建安全域（下文参考图5至图8进一步详细讨论）。 在安全元件401上创建安全域之后，中央TSM 402在步骤462处将请求（请求应用程序安 装）传输到安全元件401以例证与服务供应商的服务相关联的一个或多个应用程序。
[0121] 中央TSM 402在将请求传输到安全元件401之后在步骤464处将预个人化响应 (对请求预个人化的响应）传输到SP TSM 403,指示由SP TSM 403请求的预个人化是否失 败或成功。
[0122] 安全元件401还可以在处理每个请求之后传输对每个请求的响应。
[0123] 中央TSM 402还可以确定是否在安全元件上例证应用程序和/或创建安全域。
[0124] 对中央TSM 402的SP TSM 403请求是经由企业服务总线（ESB)传输。
[0125] 在替代实施方案中，中央TSM 402包括ESB，且利用ESB以处理请求，包括例如处理 脚本、管理通信或激活服务。
[0126] D.嵌入式安全元件配置
[0127] 图5描绘了根据示例性实施方案的安全元件配置500。如图5中描绘，安全元件 配置500包括安全元件501、中央TSM 502和SP TSM 503。安全元件501包括中央安全域 (SD) 504、SP SD 505和SP SD 506。安全元件501被实施为嵌入式安全元件或诸如单独芯 片或安全装置的NFC使能器。
[0128] 中央SD 504可以对安全元件501执行内容管理操作，包括例证小应用程序（例 如，小应用程序505-1和506-1)。即，小应用程序505-1和506-1是应用程序（即，未例证 应用程序）的实例。特定地说，中央SD 504可以安全地管理应用程序（例如，小应用程序 505-1和506-1)、创建SP SD且对安全元件中的小应用程序或应用程序执行管理操作。
[0129] SP SD 505和506中的每个分别与小应用程序实例505-1和506-1相关联，且SP SD 505和506辅助其各自小应用程序建立安全元件和小应用程序个人化程序。小应用程序 实例505-1和506-1可以通过例证未例证的小应用程序或应用程序而创建。小应用程序实 例（例如，小应用程序505-1和506-1)创建在中央SD 504以下（S卩，与中央SD 504相关 联），且酌情将小应用程序实例引渡（即，传递）到其各自SP SD (例如，将小应用程序505-1 引渡到其各自SD、SP SD 505)。如果没有引渡实例，那么其可以保留在中央SD504以下。
[0130] 如图5中示出，中央TSM 502管理中央SD 504。即，中央TSM 502通过控制中央 SD 504的密钥（和其相关联的应用程序）而用作安全元件管理器，且因此可使用其任何相 关联的特权（下文参考表格1进一步详细讨论）。通过中央SD 504,中央TSM 502可以加 载、安装、引渡、锁定或删除安全元件501上的任何小应用程序或应用程序。此外，中央TSM 502可以创建并管理SP SD，且可以锁定安全元件501。
[0131] 如图5中示出，SP TSM 503与SP SD 506和小应用程序506-1相关联并管理SP SD 506和小应用程序506-1。即，SP TSM 503将密钥保存到SP SD 506和小应用程序506-1， 且可以使用与SP SD 506相关联的任何特权（下文参考表格1进一步详细讨论）。
[0132] SP SD 505和506具有数据认证模式（DAP)验证特权（下文参考表格1进一步详 细讨论）以验证由中央TSM 502管理并处理的二进制文件的完整性。无需DAP验证的数据 包（例如，支付数据包508)被加载到中央SD 504以下（S卩，与中央SD 504相关联）且需 要DAP验证的数据包被加载到其各自SP SD以下。
[0133] 表格1示出了根据安全元件配置500的分配给中央SD (例如，中央SD504)和SP SD(例如，SP SD 505和506)的特权（例如，全局平台特权）。
[0134] 表格 1
[0135]

【权利要求】
1. 一种用于多个服务供应商（SP)系统中的一个与多个安全元件中的一个之间的接口 连接的系统，所述系统包括： 至少一个存储器；和 处理器，其耦接到所述至少一个存储器，所述处理器可操作来： 通过通信网络从SP系统接收更新服务的第一请求，所述第一请求包括与所述服务相 关的服务限定符； 确定对应于所述服务限定符的安全元件； 将删除与来自所述安全元件的所述服务限定符相关的数据的第二请求传输到所述安 全元件； 将在所述安全元件上安装应用程序的第三请求传输到所述安全元件；和 将激活所述安全元件上的所述应用程序的第四请求传输到所述安全元件。
2. 根据权利要求1所述的系统，其中所述处理器还可操作来将引渡所述应用程序到所 述安全元件上的对应SP安全域（SD)的第五请求传输到所述安全元件。
3. 根据权利要求1所述的系统，其中所述处理器还可操作来将包括指示是否成功处理 所述第一请求的信息的响应传输到所述SP系统。
4. 根据权利要求1所述的系统，其中所述处理器还可操作来更新所述至少一个存储器 中的所述服务的所述状态。
5. 根据权利要求1所述的系统，其中所述第一请求是经由ESB接收自所述SP系统。
6. 根据权利要求1所述的系统，其中所述处理器还可操作来以所述第一请求接收服务 识别符，且 其中安装在所述安全元件中的所述应用程序是基于所述服务识别符而选择。
7. 根据权利要求6所述的系统，其中安装应用程序的所述第三请求包括用于创建基于 所述服务识别符选择的所述应用程序的实例的指令。
8. -种用于多个服务供应商（SP)系统中的一个与多个安全元件中的一个之间的接口 连接的方法，所述方法包括以下步骤： 通过通信网络从SP系统接收更新服务的第一请求，所述第一请求包括与所述服务相 关的服务限定符； 确定对应于所述服务限定符的安全元件； 将删除与来自所述安全元件的所述服务限定符相关的数据的第二请求传输到所述安 全元件； 将在所述安全元件上安装应用程序的第三请求传输到所述安全元件；和 将激活所述安全元件上的所述应用程序的第四请求传输到所述安全元件。
9. 根据权利要求8所述的方法，其还包括以下步骤： 将引渡所述应用程序到所述安全元件上的对应SP安全域（SD)的第五请求传输到所述 安全元件。
10. 根据权利要求8所述的方法，其还包括以下步骤： 将包括指示是否成功处理所述第一请求的信息的响应传输到所述SP系统。
11. 根据权利要求8所述的方法，其还包括以下步骤： 更新所述至少一个存储器中的所述服务的所述状态。
12. 根据权利要求8所述的方法，其中所述第一请求是经由ESB接收自所述SP系统。
13. 根据权利要求8所述的方法，其还包括以下步骤： 以所述第一请求接收服务识别符， 其中安装在所述安全元件中的所述应用程序是基于所述服务识别符而选择。
14. 根据权利要求13所述的方法，其中安装应用程序的所述第三请求包括用于创建基 于所述服务识别符选择的所述应用程序的实例的指令。
15. -种具有在其上存储的指令序列的非暂时计算机可读介质，所述指令序列使一个 或多个处理器进行以下项： 通过通信网络从SP系统接收更新服务的第一请求，所述第一请求包括与所述服务相 关的服务限定符； 确定对应于所述服务限定符的安全元件； 将删除与来自所述安全元件的所述服务限定符相关的数据的第二请求传输到所述安 全元件； 将在所述安全元件上安装应用程序的第三请求传输到所述安全元件；和 将激活所述安全元件上的所述应用程序的第四请求传输到所述安全元件。
16. 根据权利要求15所述的计算机可读介质，其中所述指令序列还使所述处理器： 将引渡所述应用程序到所述安全元件上的对应SP安全域（SD)的第五请求传输到所述 安全元件。
17. 根据权利要求15所述的计算机可读介质，其中所述指令序列还使所述处理器： 将包括指示是否成功处理所述第一请求的信息的响应传输到所述SP系统。
18. 根据权利要求15所述的计算机可读介质，其中所述指令序列还使所述处理器： 更新所述至少一个存储器中的所述服务的所述状态。
19. 根据权利要求15所述的计算机可读介质，其中所述第一请求是经由ESB接收自所 述SP系统。
20. 根据权利要求15所述的计算机可读介质，其中所述指令序列还使所述处理器： 以所述第一请求接收服务识别符， 其中安装在所述安全元件中的所述应用程序是基于所述服务识别符而选择。
21. 根据权利要求20所述的计算机可读介质，其中安装应用程序的所述第三请求包括 用于创建基于所述服务识别符选择的所述应用程序的实例的指令。
【文档编号】H04L9/00GK104395909SQ201380031055
【公开日】2015年3月4日 申请日期:2013年9月17日 优先权日:2012年9月18日
【发明者】M.J.加朱洛 申请人:Jvl风险投资有限责任公司