骤510,平台与携带SEID的终端建立连接。其中,所述SEID是SE的唯一标识,所述SEID为成品卡的集成电路卡识别码(ICCID)或空卡的序列号。
[0090]在步骤520,判断具有所述SEID的所述SE是否已挂失,如果已挂失,执行步骤530,否则,结束。
[0091]在步骤530,通过所建立的连接向已挂失的所述终端的安全服务组件发送SE应用锁定指令。
[0092]其中,所述终端的安全服务组件通过与操作系统之间的机卡接口访问SE,从所述SE获取SEID,并携带所述SEID与所述平台建立连接;所述安全服务组件接收所述SE应用锁定指令,并通过所述机卡接口发送给所述SE进行应用锁定。
[0093]在该实施例中,终端的安全服务组件可以获取SEID,并发送到与该终端建立连接的平台,由平台向已挂失的SEID终端的安全服务组件发送SE应用锁定指令,并对SE进行应用锁定。从而,可以对SE进行安全处理。
[0094]也就是说,终端处于开机并联网的状态,就可以实现对SE进行安全处理。不需要依靠短信通道,从而减少了短信通道的不稳定性对于终端安全处理的影响。此外,终端处于联网状态,会主动将SEID上报给平台,由平台执行安全处理,则平台不需要判断网络状况并根据网络状况执行安全处理,减少了平台在终端关机状态下进行多次下发尝试的操作。此外,终端中的客户端不需要处于登录状态,因此,减少了平台进行安全处理的过程中对于客户端的依赖。
[0095]下面通过一个具体实施例,对本发明做进一步说明。
[0096]使用电信NFC手机钱包业务的用户到营业厅或打电话挂失,用户挂失后电信IT系统会将手机号挂失状态通知给电信TSM平台,电信TSM平台将该对应SEID的SE设备置为挂失状态。
[0097]用户手机开机,安全服务组件启动,安全服务组件进行周期性检测,检测到用户手机联网,则安全服务组件通过与操作系统之间的机卡接口访问SE,获取当前手机内SEID,与TSM平台建立连接。
[0098]电信将该挂失消息通知给应用提供方(如银行、公交系统等)。
[0099]应用提供方将用户应用账号,如银行卡等账号挂失。
[0100]TSM平台是电信侧实体,通过短信通道进行SE应用锁定处理。如果成功,则完成对SE应用的锁定。
[0101]如果不成功,例如,用户ΙΠΜ卡通信功能关闭或用户手机掉在了没有手机信号的地方,TSM平台检测安全服务组件登录事件,即,是否有安全服务组件以待挂失SEID身份登录到了 TSM平台,根据登录的安全服务组件传送的SEID,判断具有所述SEID的所述SE是否已挂失,如果是,向所述安全服务组件发送SE应用锁定指令,该锁定指令是APDU指令,并通过所述机卡接口发送给所述SE进行应用锁定。SE应用锁定后,该SE应用将不能使用。否贝丨J,TSM等待该SE接入。
[0102]至此,已经详细描述了本发明。为了避免遮蔽本发明的构思,没有描述本领域所公知的一些细节。本领域技术人员根据上面的描述,完全可以明白如何实施这里公开的技术方案。
[0103]可能以许多方式来实现本发明的方法以及装置。例如,可通过软件、硬件、固件或者软件、硬件、固件的任何组合来实现本发明的方法以及装置。用于所述方法的步骤的上述顺序仅是为了进行说明,本发明的方法的步骤不限于以上具体描述的顺序,除非以其它方式特别说明。此外,在一些实施例中,还可将本发明实施为记录在记录介质中的程序,这些程序包括用于实现根据本发明的方法的机器可读指令。因而,本发明还覆盖存储用于执行根据本发明的方法的程序的记录介质。
[0104]虽然已经通过示例对本发明的一些特定实施例进行了详细说明,但是本领域的技术人员应该理解,以上示例仅是为了进行说明,而不是为了限制本发明的范围。本领域的技术人员应该理解,可在不脱离本发明的范围和精神的情况下,对以上实施例进行修改。本发明的范围由所附权利要求来限定。
【主权项】
1.一种实现安全管理的终端,其特征在于,包括安全服务组件、操作系统以及安全模块(SE),其中: 所述安全服务组件用于通过与操作系统之间的机卡接口访问SE,从所述SE获取SEID,并携带所述SEID与平台建立连接; 所述操作系统用于提供与所述安全服务组件之间的机卡接口; 所述SE用于保存所述SEID,并提供给所述安全服务组件; 其中,所述平台判断具有所述SEID的所述SE是否已挂失,如果是,向所述安全服务组件发送SE应用锁定指令,并通过所述机卡接口发送给所述SE进行应用锁定。2.根据权利要求1所述实现安全管理的终端,其特征在于,所述SEID是SE的唯一标识,所述SEID为成品卡的集成电路卡识别码(ICCID)或空卡的序列号。3.一种实现安全管理的平台,其特征在于,包括连接建立模块、判断模块以及指令下发模块,其中: 所述连接建立模块用于与携带SEID的终端建立连接; 所述判断模块用于判断具有所述SEID的所述SE是否已挂失; 所述指令下发模块用于通过所建立的连接向已挂失的所述终端的安全服务组件发送SE应用锁定指令; 其中,所述终端的安全服务组件通过与操作系统之间的机卡接口访问SE,从所述SE获取SEID,并携带所述SEID与所述平台建立连接;所述安全服务组件接收所述SE应用锁定指令,并通过所述机卡接口发送给所述SE进行应用锁定。4.根据权利要求3所述实现安全管理的平台,其特征在于,所述SEID是SE的唯一标识,所述SEID为成品卡的集成电路卡识别码(ICCID)或空卡的序列号。5.一种实现安全管理的系统,包括如权利要求1至2任一所述终端以及如权利要求3至4任一所述平台。6.一种实现安全管理的方法,其特征在于,包括: 终端开机,所述终端内的安全服务组件处于运行状态,并检测所述终端是否处于联网状态,如果是,则所述安全服务组件通过与操作系统之间的机卡接口访问SE,从所述SE获取 SEID ; 所述安全服务组件携带所述SEID与平台建立连接; 其中,所述平台判断具有所述SEID的所述SE是否已挂失,如果是,向所述安全服务组件发送SE应用锁定指令,并通过所述机卡接口发送给所述SE进行应用锁定。7.根据权利要求6所述实现安全管理的方法,其特征在于,所述SEID是SE的唯一标识,所述SEID为成品卡的集成电路卡识别码(ICCID)或空卡的序列号。8.一种实现安全管理的方法,其特征在于,包括: 平台与携带SEID的终端建立连接; 判断具有所述SEID的所述SE是否已挂失,如果已挂失,则通过所建立的连接向已挂失的所述终端的安全服务组件发送SE应用锁定指令; 其中,所述终端的安全服务组件通过与操作系统之间的机卡接口访问SE,从所述SE获取SEID,并携带所述SEID与所述平台建立连接;所述安全服务组件接收所述SE应用锁定指令,并通过所述机卡接口发送给所述SE进行应用锁定。9.根据权利要求8所述实现安全管理的方法,其特征在于,所述SEID是SE的唯一标识,所述SEID为成品卡的集成电路卡识别码(ICCID)或空卡的序列号。10.一种实现安全管理的方法,其特征在于,包括: 终端开机,所述终端内的安全服务组件处于运行状态; 检测所述终端是否处于联网状态,如果是,则所述安全服务组件通过与操作系统之间的机卡接口访问SE,从所述SE获取SEID ; 所述安全服务组件携带所述SEID与平台建立连接; 所述平台判断具有所述SEID的所述SE是否已挂失,如果是,向所述安全服务组件发送SE应用锁定指令,并通过所述机卡接口发送给所述SE进行应用锁定。
【专利摘要】本发明公开了一种实现安全管理的方法、终端、平台以及系统。该方法包括:终端开机,所述终端内的安全服务组件处于运行状态,并检测所述终端是否处于联网状态,如果是,则所述安全服务组件通过与操作系统之间的机卡接口访问SE,从所述SE获取SEID;所述安全服务组件携带所述SEID与平台建立连接;所述平台判断具有所述SEID的SE是否已挂失,如果是,向所述安全服务组件发送SE应用锁定指令,并通过所述机卡接口发送给所述SE进行应用锁定。本发明可以对SE进行安全处理。
【IPC分类】H04W76/02, H04W8/24
【公开号】CN105323746
【申请号】CN201410277358
【发明人】张学智, 江志峰, 熊小敏
【申请人】中国电信股份有限公司
【公开日】2016年2月10日
【申请日】2014年6月20日