process)。根据一个实施例,在安装应用或使能服务(比如应用安装和个人化)时以无线方式(Over the air)执行SE配置过程以个人化所述安全元件。当将所述安全元件关联到一个安全元件发行者时,才执行所述安全元件的个人化。当用户订购或安装应用时,需要为每个应用执行应用安装和配置。
[0037]在一个实施例中,在更新或升级所述安全元件132时,为避免从头开始个人化所述安全元件132,只用新的更新替换所述安全元件132中的一个或一些组件。在实现时,可以自动地或手动获取这些新的更新,并将它们装载至所述移动装置130。在一个实施例中,根据相应的安全元件发行者和TSM,具有NFC功能的移动装置可以从服务器或TSM入口或门户(TSM portal)下载应用。
[0038]TSM是指可信服务管理(Trusted Service Management),是一种服务集合。所述TSM的一个主要角色是帮助服务提供者(service provider)为他们的使用移动网络的客户安全的发布和管理非接触式服务。所述TSM或它的服务器不必需要参与使用NFC装置的实际非接触式交易(transact1n)。这些交易通常由服务提供者和他们的商业合作伙伴提供的系统处理。所述TSM的另一个角色是通过作为商业中间人加速移动NFC应用的成功部署和提升,其有利于合同安排和不同各方之间的商业关系的其它方面,这样使得移动网络商务成为可能。
[0039]可以到服务中心执行所述个人化过程,也可以通过TSM服务器的网页入口(webportal)远程执行所述个人化过程。在第一种场景下,客户可以到服务中心,让服务代表个人化移动装置内的安全元件。在位于指定地方(比如服务中心)的连接有NFC读卡器的电脑中,配置管理器(provis1ning manager)可以是安装的应用或连接至后端TSM的基于网页的应用。所述配置管理器用来与移动装置的安全元件进行通讯(比如通过读卡器)。这样的个人化过程也可以被称为基于网络(Over the Internet)的过程。
[0040]在第二种场景下,客户通过服务器(TSM网页门户)注册他/她的移动电话。所述TSM服务器可以将配置管理器的通用资源识别码(universal resource identifier,简称URI)发送至已注册的移动电话。基于所述移动装置的类型,发送方式可以是短信服务推送(Short Message Service Push)或谷歌安卓推送(Google Android Push)。所述客户可以将所述配置管理器下载至所述移动装置中,并开始所述个人化过程。这样的个人化过程被称为基于无线的过程。
[0041]在任一个场景下,所述配置管理器作为移动装置的安全元件和TSM服务器之间的代理。现参考图1B所示,其示出了根据本发明的一个实施例的个人化安全元件的流程或过程150。在实现时,所述过程150可以由软件或软件和硬件的结合来实现。当用户收到一个新的NFC装置(比如移动装置的一部分),需要个人化其内的所述安全元件。
[0042]在操作152中,确定所述新的NFC装置是否是真正的NFC装置。一个例子是检查与所述NFC装置相关的序列号(serial number)。所述序列号可以通过与TSM服务器相关的数据库进行认证。在NFC移动装置的例子中,所述移动装置的装置序列号可以用来进行认证。现在假设所述NFC装置是一个真正的NFC装置,即可由移动操作者识别的。所述过程150将进入操作154,使所述NFC装置与专用服务器进行通讯。在一个实施例中,所述专用服务器是TSM系统的一部分,并可通过无线网络、互联网或无线和有线的结合(这里称为数据网络或简称为网络)对其进行访问。
[0043 ] 在操作156中,使所述NFC装置向所述服务器注册。一旦所述NFC装置成为所述TSM系统的一部分,各种服务和数据可以通过网络与所述NFC装置进行通讯。作为个人化过程的一部分,在操作158中,所述服务器请求所述安全元件的装置信息。在一个实施例中,所述服务器发送数据请求(比如服务信息,WAP PUSH)到所述NFC装置上。响应所述数据请求,所述NFC装置发回从所述安全元件中提取的卡产品寿命周期(Card Product Life Cycle,简称CPLC)信息。所述CPLC信息包括安全元件产品信息(比如智能卡ID、制造者信息和批次号等)。基于所述CPLC信息,所述服务器能够从其制造者、授权代理者(authorizeddistributor)或服务提供者处提取这个安全元件的对应默认发行者安全域(IssuerSecurity Domain,简称ISD)信息。在实现时,所述服务器与安全元件制造者有两种通讯方式,具体将在下文的合适部分给予详细描述。
[0044]在操作160中,由所述制造者确定是否更新所述装置信息。通常,当一个安全元件由其制造者发出时,所述安全元件嵌入有一些默认装置信息。如果确定所述默认装置信息(比如CPLC数据)需要与所述制造者进行更新,所述过程150进入操作162,所述制造者将相应的更新装置信息上传至所述服务器。在操作164中,将所述更新装置信息传输至所述NFC移动装置,并存储于所述安全元件中。如果确定所述安全元件的默认装置信息不需要与所述制造者进行更新,所述过程150进入操作164,将提取的默认装置信息存储入与TSM服务器相关的数据库中。在一个实施例中,所述服务器包括获取派生密钥集(derived key set)的接口。在一个实施例中,根据所述安全元件的装置信息(比如,ISD)产生所述派生密钥集。当所述安全元件中成功安装上派生ISD密钥集时,通知相应的安全元件发行者所述派生ISD密钥集已经使用。
[0045]根据本发明的一个实施例,在操作166中,所述装置信息(默认的或更新的)用来产生密钥集(或称一组密钥)。在一个实施例中,所述服务器用来使用默认ISD在他的硬件安全模块(hardware security module,简称HSM)和所述安全元件之间建立安全通道。所述服务器还用来为所述安全元件计算派生密钥集。基于业务协定,安全元件的发行者的主ISD密钥可以设置于与所述服务器相关的硬件安全模块或所述安全元件发行者的本地硬件安全模块中。所述硬件安全模块是一种安全加密处理器,其用于管理数字密钥,加速加密过程,以及对访问服务器应用的关键密钥提供有效的认证。如果设置于所述服务器中的硬件安全模块内,所述服务器用来指令所述硬件安全模块去计算所述派生密钥集。随后,所述服务器提供一种机制(比如put key Arou)并使用默认通道,用所述派生密钥集替代在所述安全元件中的默认密钥集。如果所述安全元件发行者(SE issurer)的主ISD密钥在所述安全元件发行者的本地硬件安全模块中,所述服务器还用来与远端的硬件安全模块交互以提取所述主ISD密钥。
[0046]在操作168中,将所述密钥集安全的传递至所述安全元件。就这样将密钥集个人化入所述安全元件中,所述密钥集用于利用NFC装置进行的各种安全操作或服务中。在操作170,所述服务器用来将所述安全元件与其发行者或提供者进行同步(比如,将有关安全元件状态的通知发送至所述发行者或提供者)。在个人化后,可以使用所述SE发行者的个人化ISD密钥来访问所述安全元件。基于每个服务提供商的安全需求,所述TSM可以为各个提供者提供额外的SSD以个人化他们的相应应用(比如,图1A中的模块134或136)。
[0047]如上文所述,有两种方式可以用来在与所述制造者的交互过程中从所述安全元件中提取相应的默认ISD信息。基于基础架构,制造者可以选择使用实时方式(real-timeapproach)或批量(或称批处理)方式(batch approach)。
[0048]在实时方式中,当所述TSM服务器个人化所述安全元件时,所述服务器被设置用来与制造者(比如它的服务器)进行通讯。这样,所述默认密钥集是经要求从制造者的服务器提取的。在一个实施例中,所述TSM服务器包括与每个制造者进行通讯的插件模组。
[0049]现在参考图2A所示,其示出了一个移动生态系统200,其中参与入所述移动生态系统中的相关方依次列出。在一个实施例中,允许一个NFC装置从相应指定服务器202 (比如应用管理提供者)中下载或安装一个或多个应用,其中这些应用是由应用开发者204最初开发出来,并由服务提供者210、应用管理提供者202或其他相关方发布。假设有安全元件提供者208提供的安全元件206已经经由TSM或可信赖第三方(比如,金融机构212)个人化。
[0050]一旦在所述NFC装置上安装上一个应用,下一步将是通过所述安全元件配置所述应用。应用的配置过程可以以几种方式开始。其中的一种方式是一个安全元件拥有者在移动装置上从TSM入口中选择一个应用,并开始配置过程。另一种方式是所述安全元件拥有者在移动装置上接收来自代表应用提供者的TSM的应用配置通知。
[0051]所述TSM或应用提供者可以在TSM入口或门户上发布他们的应用,以供下载到具有安全元件和/或签订用户请求(比如SE拥有者)的移动装置上。在一个实施例中,所述TSM为多个SE发行者提供云服务。这样,来自各个服务提供者的许多应用可以从TSM入口处获取。然而,当登入所述TSM入口时,安全元件拥有者只可以看那些经过他的安全元件提供者认证的应用。基于安全元件和服务提供者之间的协议,使用安全元件的ISD密钥集或服务提供者的指定的SSD密钥集可以实现应用的下载/安装/个人化。如果在所述安全元件中并未安装有SSD密钥集,则可以在一个应用安装的过程中安装它。
[0052]所述TSM知晓安全元件针对各个SSD的存储状态。基于SSD的存储分配策略和所述安全元件的存储状态,对于在应用商店中的针对各种SSD的可用应用可以标记为不同的指示,比如“可以安装”或“安装存储不足”。这样可以防止用户不必要的失败。
[0053]一旦在一个NFC装置上安装一个应用,所述应用自己启动配置过程,或TSM服务器通过蜂窝网络或无线数据网络给所述NFC装置发送配置通知。根据所述NFC装置的类型,有很多种发送消息(PUSH message,或称为推广消息)的方式以使得所述NFC装置开始所述配置过程。发送方法的一个例子包括短信发送或安卓谷歌发送。一旦用户收到所述通知,所述配置过程开始。在认为合适的时候,将详细描述配置过程。
[0054]作为所述应用配置的一个部分,TSM服务器执行一些保护性机制。一个是防止安全元件意外锁定。另一个是如果在安全元件中没有足够存储空间时阻止应用的下载。在一些实例中,在安全通道建立期间如果有太多的相互认证失败,则安全元件可能永久性锁定自己。为了防止所述安全元件意外锁定,当在两方(entities)之间建立安全通道时,所述TSM持续跟踪安全元件和TSM之间的认证失败的数目。在一个实施例中,如果达到预定极限,所述TSM将拒绝任何进一步的请求。如果在服务中心手动的重启所述安全元件,所述TSM可以继续处理SE请求。
[0055]所述TSM也持续跟踪每个安全元件的存储使用。所述TSM基于由所述SE发行者分配给每个服务提供者的存储分配决定一个应用是否可以安装于一个安全元件上。根据一个实施例,有三种类型的策略:
[0056]?预分配一个固定存储空间,这是保证空间;
[0057]?预分配一个最小存储空间,这是保证最小空间(暗示所述容量在一些情况下可以被扩展);
[0058]?最大努力(比如,合同规定,需要安全元件发行者使用他最大的努力执行他的责任