,以使得用户得到的利益最大化)。
[0059]在一个实施例中,所述安全元件发行者使用所述TSM网页入口完成这项工作。
[0060]1.对于一批安全元件,所述安全元件发行者可以为服务提供者预分配一个存储策略以通过TSM网页入口安装它的应用;
[0061]2.当移动装置请求安装一个应用时,TSM服务器认证相应的服务提供者的空间是否符合它的存储策略;如果不符合,则拒绝这个请求;否则,所述TSM服务器将处理所述配置请求;
[0062]3.如果配置成功,所述TSM将积累这个应用服务的存储大小。
[0063]当一个移动用户订阅一个移动应用(假如它已经安装),在所述应用使用之前该应用需要经由移动装置上的安全元件配置。在一个实施例中,所述配置过程包括四个主要阶段;
[0064]?如果需要,在所述安全元件上创建补充安全域(SSD);
[0065]?在所述安全元件上下载并安装一个应用;
[0066]?在所述安全元件个人化所述应用;
[0067]?下载UI(用户界面)组件至移动装置上。
[0068]图2B示出了根据本发明的一个实施例的配置一个或多个应用的流程或过程220。所述过程220可以实现为软件或软件和硬件的组合。在一个实施例中,所述应用配置过程220需要进入在移动装置上的配置管理器(比如代理)以与其内的安全元件交互。
[0069]如图2B所示,在操作222处,所述应用配置过程220可以是自动或手动开始。比如,假设它还未被配置,用户可以通过选择一个已安装应用去订购相关服务以启动所述配置过程,或在激活所述已安装应用时启动所述配置过程。在另一个实施例中,应用提供者发送一个信息(比如短信)至所述移动电话以开始所述配置过程。
[0070]在任何情况下,所述程序220进入操作224,从移动装置的安全元件中提取所述装置信息(比如,CPLC)后,与专用服务器(比如TSM服务器或由应用发行者运营的服务器)建立通信。在操作226处,所述装置信息与识别应用的标识符一起被传送至所述服务器。在操作228,所述服务器首先基于所述装置信息识别所述安全元件的发行者,以在230操作中确定是所述安全元件是否已经被个人化。如果所述安全元件还未被个人化,所述过程220进入操作232,以个人化所述安全元件,所述操作232的一个实施例可以根据图1B中的过程110来实现。
[0071]现假设移动装置中的安全元件已经被个人化。所述过程220进入操作234,在这里使用派生ISD与所述安全元件建立安全通道。根据谁为ISD提供硬件安全模块HSM(比如TSM或SE发行者),所述服务器将联系所述硬件安全模块去为所述安全元件计算派生ISD,并使用该派生ISD与所述安全元件建立安全通道。随后,在操作中236,所述服务器检查是否有与该应用相关的一个SSD。如果该应用没有一个对应的SSD,所述服务器将检查数据库看它是否已经安装于所述安全元件上。如果需要SSD安装,所述流程220进入240去安装所述SSD。在一个实施例中,提醒所述用户所述SSD(密钥)的安装。在操作238,假设用户拒绝安装所述SSD,所述过程220停止并进入操作222,重新开始所述配置过程220。
[0072]现假设在操作240中执行安装SSD过程。安装所述SSD与安装ISD类似。所述TSM服务器联系其内有主SSD密钥的硬件安全模块HSM,为所述安全元件计算派生SSD密钥集。所述主SSD密钥可以在TSM、服务提供者、或安全元件发行者中,这主要取决于各方是如何协定的。
[0073]为了在安全元件中下载/安装应用,在操作242,所述服务器用来使用派生SSD与所述安全元件建立安全通道。在一个实施例中,这类似于如何基于派生ISD建立安全通道。在操作244,准备所述应用的数据,它的细节将在下文详细描述。根据一个实施例,所述服务器联系所述服务提供者,以准备存储数据应用协议数据单元APDUs。根据安装于移动装置中一个应用,所述服务器可以重复发布存储数据以个人化所述应用。假如成功执行了所述配置程序,包括一个适当接口(比如,每个移动装置的应用的用户接口)的额外数据可以被下载。在操作246,所述服务器向一个应用提供者通知已经配置的应用的状态。
[0074]如图2B中的操作244,配置应用的一个重要应用在于为目标安全元件准备定制应用数据。比如,对于电子钱包应用,该应用的个人化数据包括基于安全元件的装置信息(比如CPLC信息)产生的各种个人化交易密钥。为了搬运电子钱包,个人化数据的部分包括源自Mifare卡片的标识符的Mif are访问密钥,所述服务器既可以个人化Java卡片应用,也可以个人化Mifare4M0bile服务对象。通常,至少有两种不同的准备数据的方式,以方便随后的交易。
[0075]为了数据准备,本发明的一个实施例支持与所述服务提供者交互的两种模式以计算个人化应用数据。对于第一种模式,所述TSM服务器不直接访问与服务提供者关联的硬件安全模块。所述服务提供者可以使与它的硬件安全模块交互的服务器产生应用密钥(比如,传输、电子钱包或Mifare密钥)。所述TSM数据准备实现是使用应用程序接口(API)或服务器提供的协议去请求派生应用密钥(derived applicat1n key)。第二种模式是数据准备实现可以直接访问与服务提供者相关的硬件安全模块以产生应用密钥。
[0076]当个人化便携式电话282时,图3A中的(结构图)300展示了相关模块互相作用,以完成电子钱包由授权人进行个人化的过程。图3B中的(结构图)320展示了相关模块互相作用,以完成电子钱包由其用户进行个人化的过程。
[0077]图3C中的流程或(过程图)350展示了根据本发明的一个具体实施例,个人化电子钱包applet程序的过程。图3C建议与图3A和图3B结合起来一同理解。(过程图)350可以通过软件、硬件或软硬件结合的方式实现。
[0078]如前所述,电子钱包管理器建立于已经个人化的安全元件之上,以提供个人化电子钱包applet程序时所需的安全机制。在实际操作中,安全域被用来建立连接个人化应用服务器与所述电子钱包applet程序的安全通道。根据一个具体实施例,经过个人化并被存入所述电子钱包applet程序的关键数据包括一个或多个操作密钥(例如载入或充值密钥和购买密钥),预设的个人识别号码,管理密钥(例如阻塞解除PIN密钥和重新载入PIN密钥),以及密码〔例如来自Mifare的密码〕。
[0079]假定用户想要个人化内嵌在便携设备(例如一台便携式电话)中的电子钱包applet程序。在图3C的步骤352中,个人化过程被启动。根据具体实现的不同,个人化过程可能在便携设备内的模块中实现,并由手动或自动方式激活,也可能实现为由授权人(通常是与卡片发行商有联系的人员)启动的一个物理过程。如图3A所示,授权人启动个人化过程304,以个人化用户的电子钱包applet程序,所述个人化过程304在现有的(existing)新电子钱包安全识别模块306和现有的安全识别模块308上,通过作为界面的非接触读取器310来进行。卡片管理器311执行至少两项功能:(I)通过安全域建立安全通道,以在卡片个人化过程中,安装和个人化外部应用程序〔例如电子钱包applet程序〕;以及〔2〕创建安全措施(例如个人识别号码),以在后续的操作中保护所述应用程序。作为所述个人化过程使用个人化应用服务器304的结果,所述电子钱包applet程序312和模拟器314被个人化。
[0080]相似地,如图3B所示,电子钱包用户希望启动个人化过程,以通过无线方式(例如通过图2中的移动商务路径)个人化电子钱包applet程序。与图3A不同,图3B允许所述个人化过程由手动或自动方式激活。例如,便携式电话上装有一个装置,如果该装置被按下,则激活所述个人化过程。在另一种方案中,“未个人化”的状态提示可被提交给用户以启动所述个人化过程。如前所述,便携设备中的MIDlet程序322〔即一个服务管理器〕充当代理以协助支付服务器324与电子钱包applet程序312以及模拟器314之间的通信,其中支付服务器324拥有访问现有的新电子钱包安全识别模块306和现有的安全识别模块308的权限。经过所述个人化过程,电子钱包applet程序312和模拟器314被个人化。
[0081]现在转回参见图3C,在图3A中所示的个人化过程被启动以后,非接触读取器310被激活并在步骤354中从设备内的智能卡中读取标签标识符(ID)(即RFID标签ID)和关键数据。通过应用安全域(例如卡片发行商的默认安全设置),在步骤356中建立连接新电子钱包安全识别模块(例如图3A中的安全识别模块306)与便携设备中电子钱包applet程序(例如图3A中的电子钱包app I e t程序312)的安全通道。
[0082]全球平台的每个应用安全域都包括三个DES密钥。例如:
[0083]密钥1:255/l/DES-ECB/404142434445464748494a4b4c4d4e4f
[0084]密钥2:255/2/DES-ECB/404142434445464748494a4b4c4d4e4f
[0085]密钥3:255/3/DES-ECB/404142434445464748494a4b4c4d4e4f
[0086]安全域被用来为两个实体之间的安全会话生成会话密钥,所述两个实体可以是卡片管理器applet程序和主应用程序(host applicat1n),其中所述主应用程序可能是桌面机中的个人化应用程序,也可能是由后端服务器提供的网络化的个人化服务。
[0087]默认的应用域可由卡片发行商安装,并分配给不同的应用/服务提供商。各应用程序所有者可在个人化过程之前(或在所述过程的最初阶段)变更各自密钥组的数值。之后应用程序可以使用所述的新密钥组来创建用于执行个人化过程的安全通道。
[0088]通过由应用提供商的应用安全域建立的所述安全通道,第一组数据可被个人化并存入电子钱包applet程序。第二组数椐同样可以通过同一条通道进行个人化。但是,如果所述数据保存在不同的安全识别模块中,则一条使用相同密钥组(或不同密钥组)的新的安全通道可被用于个人化所述第二组数据。
[0089]在步骤358中,通过新电子钱包安全识别模块306生成一组电子钱包操作密钥和个人识别号码,以用于新电子钱包安全识别模块与电子钱包applet程序之间的数据交换,并在实质上个人化所述电子钱包app I e t程序。
[0090]在步骤360中第二条安全通道在现有安全识别模块(例如图3A中的安全识别模块308)与便携设备中的电子钱包app I e t程序(例如图3A中的电子钱包app I e t程序312〕之间被建立。步骤362中使用所述现有安全识别模块和标签ID生成一组转换后的密钥。所述转换后的密钥保存在所述模拟器中以用于之后的数据访问认证。步骤358中使用所述现有安全识别模块和标签ID生成一组MF密码,并将所述密码存入电子钱包applet程序以用于之后的数据访问认证。上述操作全部完成后,所述电子钱包,包括所述电子钱包applet程序和对应的模拟器,将被设置为“已个人化”状态。
[0091]图4A为本发明的支持多个支付卡的移动装置410在一个实施例中的框架示意图。所述移动装置可以是移动电话、平板电脑等便携式电子设备。对于智能手机来说,可通过WiFi或移动网路(4G/3G/GPRS),与后台TSM服务