专利名称:Nfc事务方法和系统的制作方法
技术领域:
本发明涉及近场事务方法和一种近场事务系统。
背景技术:
最近这些年,感应耦合非接触通信技术(也称为NFC技术(近场通信))的出现改变了芯片卡领域,首先使非接触支付卡成为可能,然后,可以将安全处理器和NFC控制器集成到诸如移动电话的电子便携式物体中,以使用它们执行近场事务。图1示意性地示出传统的事务系统,其包括非接触芯片卡CCl和事务终端TT。终端TT例如是取款机、销售点(售票机、食品饮料自动售货机、...)、自动支付接入控制终端 (地铁接入终端、公交支付终端等)。非接触卡CCl包括配备了安全处理器的非接触集成电路CIC和连接到该集成电路的天线线圈ACl。终端TT包括天线线圈AC2,并被配置为通过发射磁场FLD来与卡CCl执行近场事务。事务包括交换应用协议数据单元APDU,为了简化,其在后面被称为“应用数据”。 应用数据APDU包括由终端发送的命令CAPDU和由卡发送的应答RAPDU。终端TT可实时地或延时地链接到事务服务器SV0,以验证支付和/或借记用户的账户。图2示意性地示出事务系统,其包括移动电话HDl和事务终端TT。电话HDl包括主处理器PR0C1、无线通信电路RCCT、SIM卡(用户识别模块)的安全处理器、称为“NFCC” 的NFC控制器、链接到控制器NFCC的天线线圈AC3和被配置为执行NFC事务的安全处理器 PR0C3o处理器PR0C3包括中央处理单元CPU、操作系统OS、卡应用程序CAP和/或读取器应用程序RAP。处理器PR0C3通过总线BSl (例如,单线协议总线SWP)链接到控制器NFCC。 实际上,处理器PR0C3可以是例如迷你SIM(mini-SIM)或微SIM(micro-SIM)类型的通用集成电路卡UICC。在图3中示出了控制器NFCC和处理器PR0C3的功能性体系结构的例子。控制器 NFCC包括主机控制器HC和链接到天线线圈AC3的非接触前端接口 CLF。实际上,主机控制
器HC和接口 CLF可以集成到同一个半导体芯片中,诸如由申请人商品化的MicroRead
-H-· I I心片。链接处理器PR0C3和控制器NFCC的总线BSl被用作称为主机控制器接口(HCI) 的通信接口的物理支持,通过该总线BSl,控制器NFCC和处理器PR0C3根据主机控制器协议 HCP交换数据。接口 HCI和协议HCP在欧洲电信标准协会的规范ETSI TS 1(^622中描述,被称为“智能卡;通用集成电路卡(UICC);非接触前端(CLF)接口 ;主机控制器接口(HCI) ”。 协议HCP根据称为“管道”的路由信道提供数据的路由,通过路由信道,应用数据APDU在处理器PR0C3和事务终端TT之间在事务期间进行交换。接口 CLF通常可根据在图3中称为“RFTi”的几种RF技术工作,例如,诸如由ISO/ IEC 14443第2、3和4部分定义的“类型Α”或“类型B”,诸如由IS0/IEC 14443-2定义的具有诸如由IS0/IEC 14443-3定义的标准帧结构的“类型B”,诸如由ISO 18092或日本工业标准JIS X 6319-4定义的“类型F” (如每秒212和似4千字节的被动模式)。在执行卡应用CAP得期间,处理器PR0C3模拟非接触卡,并在被动模式中使用控制器NFCC以与发射磁场FLD的事务终端TT执行事务。管道Pl首先在卡应用CAP和控制器 NFCC的接口 CLF之间打开,该管道在RFTi技术中是临时配置的。终端TT向控制器NFCC发送命令CAPDU,然后,控制器通过管道Pl将该命令发送到处理器PR0C3。处理器PR0C3发出应答RAPDU,该应答通过管道Pl被发送到控制器NFCC,然后,通过管道RF被控制器NFCC发送到终端TT。在执行读取器应用RAP的期间,处理器PR0C3与设置在非接触卡CCI或另一个支持中的非接触集成电路CIC执行事务。控制器NFCC处于主动运行模式,在该模式中,它发射磁场FLD。管道P2首先在读取器应用RAP和控制器NFCC的接口 CLF之间打开,该管道在 RFTi技术中是临时配置的。然后,读取器应用RAP发出命令CAPDU,该命令通过管道P2被发送到控制器NFCC,然后通过管道RF发送到集成电路CIC。非接触集成电路CIC向控制器 NFCC发送应答RAPDU,然后控制器通过管道P2将该应答发送到处理器PR0C3。已知NFC技术的发展与卡应用在诸如移动电话的便携式设备中的发展非常相关, 以使用这种便携式设备作为非接触芯片卡。尽管配备NFC事务终端的基础架构已经存在, 特别在支付领域,但将安全处理器与移动电话集成以执行这种应用还没有以足以允许NFC 技术如所期望地发展的速率实现。降低该发展的约束条件是诸如图2和图3所示的处理器PR0C3的安全处理器的复杂性和成本。它最好必须能够执行各种卡应用程序,并因此必须包含与由不同银行所提供的卡应用一样多的银行密钥(加密密钥)。另外,它必须具有足够的计算能力以在事务的认证阶段执行复杂的加密运算。另外,处理器的个性化,即,将卡应用CAP加载到它的存储器中,是复杂的操作,它必须是高度安全的,并需要外部管理器,诸如可信任的服务管理器 MSM0最后,在电话被盗的情况下或在电话的维护操作中,处理器PR0C3容易受到欺骗的攻击以发现它所包含的银行密钥。因此,希望提供一种允许利用具有比已知体系结构更简单和更低成本实现的体系结构的移动电话类型的便携式设备执行NFC事务的方法。
发明内容
本发明的实施例涉及一种用于在便携式设备和事务设备之间执行事务的方法,包括提供至少一个事务服务器,其包括至少一个被配置为接收、处理和发出应用数据的应用程序;在便携式设备和事务服务器之间建立至少一个数据链路;在便携式设备和事务设备之间建立近场通信信道;以及利用便携式设备,向服务器的应用程序传送由事务设备发送的应用数据,以及接收由服务器的应用程序发送的应用数据并将其传送到事务设备。根据一个实施例,该方法包括以下步骤在事务服务器上安装至少一个被配置为模拟芯片卡的应用程序。根据一个实施例,该方法包括以下步骤在事务服务器上安装至少一个被配置为模拟支付点以便执行与芯片卡的事务的应用程序。根据一个实施例,该方法包括以下步骤利用便携式设备,从服务器接收可用的事务服务的选择,并向服务器提供至少一个事务服务的选择,以及在服务器中激活与所选择的事务服务对应的应用程序,并将其链接到便携式设备,以致便携式设备执行该事务。根据一个实施例,该方法包括利用便携式设备,从服务器接收事务服务的提议并向服务器提供至少一个事务服务的选择,以及在服务器中安装与所选择的事务服务对应的应用程序。根据一个实施例,安装应用程序包括安装分配给应用程序的加密密钥。根据一个实施例,该方法包括利用便携式设备,从服务器接收订阅事务服务的提议,并向服务器提供包括用于识别用户的识别数据的订阅提议的接受,将服务器的存储区域分配给所识别的用户,并在存储区域内存储分配给用户的应用的组合(portfolio)。本发明的实施例还涉及一种事务系统,包括便携式设备和事务设备,每一个都包括近场通信装置,便携式设备包括无线通信装置,其中该系统包括至少一个事务服务器,其能够经由因特网网络接入,并包括至少一个被配置为在事务期间接收、处理和发出应用数据的应用程序,便携式设备被配置为通过无线通信装置与事务服务器建立至少一个数据链路,与事务设备建立近场通信信道,向服务器的应用程序传送由事务设备发送的应用数据,以及接收由服务器的应用程序发送的应用数据,并将其传送到事务设备。根据一个实施例,事务服务器包括至少一个被配置为模拟支付卡的卡应用程序。根据一个实施例,事务服务器包括至少一个被配置为模拟能够借记支付卡的支付点的应用程序。根据一个实施例,便携式设备被配置为从服务器接收可用的事务服务的选择并向服务器提供至少一个事务服务的选择,服务器包括服务管理程序,其被配置为响应于至少一个事务服务的选择,在服务器中激活与所选择的事务服务对应的应用程序。根据一个实施例,便携式设备被配置为从服务器接收事务服务的提议并向服务器提供至少一个事务服务的选择,服务器包括服务管理程序,其被配置为响应于至少一个事务服务的选择,在服务器中安装与所选择的事务服务对应的应用程序。根据一个实施例,服务管理程序被配置为在安装应用程序期间,还安装分配给应用程序的加密密钥。根据一个实施例,便携式设备被配置为从服务器接收订阅事务服务的提议,并向服务器提供包括用于识别用户的识别数据的订阅提议的接受,服务器包括至少一个服务管理程序,其被配置为将服务器的存储区域分配给所识别的用户,并在存储区域内存储分配给用户的应用的组合。根据一个实施例,事务服务器包括安全和接入控制设备或程序或与其相关,其被配置为仅在便携式设备已经提供了用户的有效认证数据后,授权接入事务服务。本发明的实施例还涉及一种便携式设备,其包括近场通信装置和无线通信装置, 其中,所述设备被配置为通过无线通信装置与事务服务器建立至少一个数据链路,通过近场通信装置与事务设备建立近场通信信道,向服务器的应用程序传送由事务设备发送的应用数据,以及接收由服务器的应用程序发送的应用数据,并将其传送到事务设备。根据一个实施例,便携式设备被配置为从服务器接收可用的事务服务的选择,并向服务器提供至少一个将要在服务器中被激活以执行事务的事务服务的选择。
根据本发明的事务系统和事务方法的实施例将在下面参照但又不限于附图进行描述,其中图1 (先前已描述)示出传统的包括非接触芯片卡的NFC事务系统;图2(先前已描述)示出传统的包括配备有安全事务处理器的便携式设备的NFC 事务系统;图3(先前已描述)是图2的事务系统的功能图;图4示出根据本发明的NFC系统的实施例;图5示出由图4的系统执行的NFC事务的步骤;图6更详细地示出事务的某些步骤;图7示出用于向图4的事务系统声明用户的方法的实施例;图8示出用于在图4所示的事务系统中实施之前激活应用的方法的实施例;图9示出根据本发明的NFC事务系统的另一个实施例;图10示出利用图9的系统执行的NFC事务的步骤。
具体实施例方式图4示出根据本发明的事务系统的实施例。该系统包括事务终端TT、便携式设备 HD2和连接到因特网的事务服务器SVl。具有天线线圈AC2的终端TT被配置为执行与诸如图1所示的非接触NFC卡或诸如图2所示的设备HDl的NFC事务。设备HD2包括主处理器PR0C1、显示器DP、键盘KB (其可以是虚拟的并由显示器显示)、配备有天线线圈AC3的用于与终端TT建立近场通信的NFC控制器“NFCC”、以及允许设备HD2连接到因特网INW的无线通信电路WCCT。设备HD2可以是电话、PDA(个人助理)、MP3文件阅读器或任何其它配备有用于连接到因特网的装置的便携式设备。如果构成电话,则设备HD2还包括授权用户使用电话网络GSM的SIM卡的安全处理器PR0C2。电路WCCT可以是用于经由网络GSM连接到因特网的无线电话电路,例如,长期演进连接LTE或GSM 4G连接、WiFi卡或任何其它用于连接到因特网的无线装置。处理器PROCl可以是设备HD2的主处理器,例如,基带处理器(如果设备HD2是移动电话),或者辅助处理器。处理器PROCl包括中央处理单元CPU、通信接口 ILR和操作系统 0S1。采用方框示意性地示出的通信接口电路ILR包括处理器的所有连接端口和用于管理对应的通信协议的软件层。处理器PROCl通过接口电路ILR链接到控制器NFCC、处理器PR0C2、电路WCCT、键盘KB和显示器DP。更具体地,处理器PROCl通过总线BS2和接口电路ILR的对应端口链接到控制器NFCC。总线BS2例如是数据总线12Canter Integrated Circuit,内置集成电路)或SPI (串行外设接口)。服务器SVl被配置为向用户USRi (USR1,...,USfoi)提供事务服务。它包括安全设备SDV、事务服务管理程序GST和专用于存储事务数据和程序的存储区域SM。存储区域SM 被分成多个扇区,每个扇区包括卡CPi(CPl,...,CPn)的组合。形成卡CPi的组合的每个扇区被分配给用户USRi,并包括接收虚拟卡VCj (VCl,. . .,VCm)的子扇区。订阅由服务器SVl 提供的事务服务的每个用户USRi在分配给他/她的卡CPi的组合中具有一个或多个虚拟卡VCj。每个虚拟卡VCj被配置为执行与服务对应的至少一个事务,从而模拟所确定的类型的支付卡,例如,用于地铁、公交、超市的支付卡,或者更一般的,用于取钱或支付的银行卡。 因此,虚拟卡VCj与便携式设备HD2结合而形成实物卡的等同物。因此,卡CPi的组合形成用户可放置一个或多个实体卡的实体组合的等同物。 每个虚拟卡VCj (VCl,· · .,VCm)包括虚拟操作系统VOSj (V0S1, · · ·,VOSm)和至少一个卡应用CAPj (CAP1,... , CAPm)。从事务协议的角度来看,每个虚拟卡VCj是先前参照图2描述的类型的在现有技术中采用半导体芯片的形式制作的传统的安全处理器PR0C3的功能性等同物。在一个实施例中,虚拟操作系统VOSj是模拟传统的安全处理器PR0C3的操作系统 OS的程序,而卡应用CAPj是可由传统的安全处理器PR0C3以及虚拟操作系统VOSj执行的传统的事务程序。在等同实施例中,虚拟操作系统VOSj并不模拟传统的安全处理器的操作系统。述卡应用CAPj不能由传统的安全处理器执行,而仅可由虚拟操作系统VOSj执行。就涉及执行事务而言,虚拟操作系统VOSj和卡应用CAPj是被配置为组合运行并一起形成配备有卡应用的传统的安全处理器PR0C3的等同物的专用程序。在另一个实施例中,虚拟操作系统VOSj被包括在卡应用程序CAPj中,两个程序构成单个程序。在制定服务器存储空间的优化的优先级的实施例中,虚拟操作系统VOSj和多个虚拟卡VCj的卡应用CAPj在多任务模式中由服务器所执行的一个或多个中央程序来模拟。 例如,第一中央程序同时模拟几个操作系统,第二中央程序同时模拟用于几个虚拟卡的同一个卡应用。在制定防止欺骗的安全的优先级的优选实施例中,存储区域SM包含与虚拟卡VCj 一样多的虚拟操作系统VOSj和卡应用CAPj。换句话说,包含组合的存储区域SM的扇区以及包含虚拟卡的子扇区被完全彼此划分,并且不包含在多任务模式中运行的共享程序。在一个实施例中,每个卡应用CAPj使用加密密钥Kj (CAPj),这允许该卡应用应答要求加密计算的认证请求。在强调安全和存储区域SM的扇区和子扇区的划分的实施例中, 密钥Kj被存储在存储区域SM的子扇区中,该子扇区接收执行该应用的存储卡VC j,即,接收一起形成虚拟卡的虚拟操作系统VOSj和卡应用程序CAPj。安全设备SDV保护服务器,尤其保护对存储区域SM和事务服务管理程序GST的访问。设备SDV可以是纯软件并由服务器SVl执行,或者包括与服务器的硬件部分不同的硬件部分和由服务器或不同的硬件部分执行的软件部分。优选地,设备SDV包括防火墙和检测访问卡应用的欺诈企图的功能。事务服务管理程序GST,以下也称为“服务管理器”,在同意或不同意授权的安全设备SDV的帮助下,执行虚拟卡的创建、激活、更新和禁止。服务器SVl使用设备HD2作为允许虚拟卡VCi执行与终端TT的事务的远程NFC 接口。为此,处理器PROCl在程序存储器中包括因特网浏览器BRW、称为“网络客户端”的程序WCL和连接程序CXP。网络客户端WCL被配置为通过浏览器BRW、通信电路WCCT (例如,
9电话进行的连接LTE,或WiFi连接)因特网INW与服务器SVl建立数据链路CX1。一旦连接到服务器,网络客户端WCL与安全设备SDV或与服务管理器GST进行对话,并向用户显示网页、信息或他们发送的信息请求。数据链路CXl允许网络客户端WCL与安全设备SDV和服务管理器GST进行对话, 并在图4中用虚线表示。优选地,数据链路CXl是使用例如基于在认证步骤后建立加密通信信道的公共密钥加密方法的传统安全套接层技术SSL的安全连接。连接程序CXP被配置为执行通过总线BS2、通信电路WCCT和因特网INW在控制器 NFCC和虚拟卡VCj之间建立第二数据链路CX2。在一个实施例中,数据链路CX2在接收到由网络客户端WCL或浏览器BRW发出的连接请求后建立。在另一个实施例中,数据链路CX2 在控制器NFCC和安全设备SDV之间永久建立。设备SDV在虚拟卡必须执行事务时提供能够接入虚拟卡VCj的数据链路CX2。如同数据链路CXl,优选地,数据链路CX2是安全的。数据链路CX2例如经由http 通信管道(超文本传输协议)或经由低层用户数据报协议链路UDP形成,以限制数据交换负载。数据链路CX2也可以用SSL技术或利用专有编码加密。在另一个变形中,控制器NFCC配置有用于连接到因特网的装置,并在其程序存储器中提供了专有加密系统。该方法允许在服务器SVl和控制器NFCC之间形成点对点的加密隧道,并提供不能被本应插入处理器PROCl的程序存储器的监视软件(spy software)攻击的非常高的安全级别。在这种实施例中,连接程序CXP可以安排在控制器NFCC的程序存储器中,如在图4中由虚线示意性地示出的。在这种情况下,总线BS2用于允许程序WCL在以下所述的事务步骤SlO开始时向控制器NFCC发送到服务器SVl的连接请求。可以提供额外的数据总线以直接将控制器NFCC链接到无线通信电路WCCT,而无需经过处理器PROCl。在另一个变形中,提供了专用于通信建立和加密的协处理器。该协处理器被链接到控制器NFCC和无线通信电路WCCT,并允许卡应用CAPj控制该控制器NFCC,而无需依赖处理器PROCl的软件和它可能包含的可能的监视程序。在另一个变形中,便携式设备HD2包括单个处理器,其执行控制设备HD2的单元和控制与事务服务器SVl有关的NFC事务。简言之,根据所选择的实施例,连接程序CXP可包括在网络客户端WCL内、包括在处理器PROCl的操作系统OSl内、包括在程序存储器内或控制器NFCC的操作系统内,可由专用协处理器执行,或由代替处理器PROCl和控制器NFCC的单个处理器执行。图5示出利用图4的事务系统实施的根据本发明的事务方法的实施例的步骤。在此,假定用户USRi在终端TT旁边,并想要使用便携式设备HD2执行事务。用户首先激活网络客户端程序WCL (步骤Si),例如通过按压键盘的键或选择在显示器上显示的菜单。然后,程序WCL要求客户提供识别数据USID1。在输入数据USIDl后(步骤S2),网络客户端WCL经由数据链路CXl连接到安全设备SDV,并向其提供识别数据USID2(步骤S3)。数据USID2包括识别数据USIDl的全部或部分,并可包含额外的识别数据,诸如网络客户端在设备HD2的存储器中取出的设备HD2特有的数据。识别数据USIDl可以是各种各样的,并且其目的是保证高级别的安全。它们可包括用户必须提供的登录信息(用户名或电子邮件)以及密码。例如利用SMS类型的消息由银行发送给用户的安全码也可以包括在数据USIDl中。用户特定的生物数据(声音、面容、 指纹...)和/或动态数据,例如,用户码输入数据(键盘上的输入压力、输入时间...),也可以用作识别数据USID1。除了检查用户码,这些生物或动态数据还可以检查该用户码已经被正确的人输入。数据USID2可包括数据USIDl的全部或部分和用户已提供一次的用于他/或她的卡CPi的组合的创建的附加信息。它可以是身份数据,诸如生日、身份证号、护照号、用户家庭地址等。数据USID2还可以包括设备HD2所特有的数据,诸如用户电话号码、设备的识别码,例如,如果是电话,则是IMEI号(国际移动设备身份码)和SIM卡号。然后,安全设备SDV使用数据USID2以检查连接请求的合法性。如果检查结果是肯定的,则设备SDV将用户身份USRi和服务接入认证提供给服务管理器GST (步骤S4)。如果先前还没有打开数据链路,则它还打开到服务管理器GST的数据链路CXl。然后,服务管理器GST访问用户组合CPi,并确定虚拟卡VCj和对应的卡应用CAPj 是否已在其中安装(步骤S5)。如果是这种情况,则管理器GST经由网络客户端向用户呈现与所安装的卡应用 CAPj对应的服务列表(步骤S6),并要求他/她选择她/他想要使用以执行事务的服务。服务例如是“进入地铁X”、“在超市Y支付结账”、“银行卡Z”等。该主页还向用户提供其它选择,特别是,安装新的虚拟卡和对应的卡应用,该选项的实现将在后面描述。用户选择想要的服务(步骤S7),他/她的选择(“所选择的卡应用CAPj”)由网络客户端发送到管理器GST (步骤S8)。在步骤S7、S8的变形中,用户仅确认他/她希望执行事务,而无需指定所期望的服务。在这种情况下,适合的卡应用CAPj在进行事务时被自动选择。然后,网络客户端WCL要求连接程序CXP在服务器SVl和控制器NFCC之间建立数据链路CX2,而服务管理器GST选择并激活用户的虚拟卡VCj和用户已指定的卡应用 CAPj (步骤S9)。用户将设备HD2更靠近事务终端TT,以致感应耦合在天线线圈AC2和AC3 之间建立。在另一个变形中,数据链路CX2先前在安全设备SDV和控制器NFCC之间建立, 并仅仅被设备SDV提供在步骤S9后能够访问卡应用CAPj。然后,虚拟卡VCj被链接到控制器NFCC。与事务终端TT建立连接,虚拟卡VCj的卡应用CAPj执行所请求的事务(步骤S10)。该事务可包括用户的动作,诸如,接受数量或选择产品。尽管在图5中没有示出,但事务终端TT还可以链接到银行服务器SV0(参照图 4),该银行服务器要求认证步骤,并检查所有对认证请求的应答已经确实由卡应用使用所授权的银行密钥发送。当事务结束时,数据链路CX2关闭,虚拟卡VCj被去激活,管理器GST向网络客户端WCL发送有关所执行的事务的信息,例如事务的对象和数量(步骤S11)。网络客户端可记住并向用户呈现该信息。本领域的普通技术人员应当注意,刚才已经描述的事务方法和事务系统容易进行其它改变。更具体地,网络客户端WCL是“领头(head-up)”程序,其使用由服务器SVl提供的网页或数据以形成用户接口。这种程序可能不是必需的。在这种情况下,用户直接通过安全设备SDV和服务管理器这两个单元经由浏览器BRW向她/他显示的网页与安全设备 SDV和服务管理器进行对话。
图6示出在步骤SlO执行的事务的例子。该事务包括以下步骤i)利用命令“PIPE_CREATE”、“PIPE_OPEN”,在虚拟卡VCj和由控制器NFCC执行的技术RFTi之间创建管道Pl。该步骤可由连接程序CXP执行,如图所示的。可选地,该步骤可由虚拟卡本身执行,如果它包括用于管理接口 HCI的程序,或者由安全设备SDV执行。应当指出,在此遵照协议HCP的管道Pl通过经过因特网和总线BS2的数据链路CX2建立;ii)控制器NFCC检测由终端TT发射的磁场,并向虚拟卡VCj发送命令EVT_FIELD_ ON ;iii)控制器NFCC执行用于初始化与终端TT的通信的步骤,包括创建NFC通信管道(在图6中被称为“RFCH”,或者RF管道)以及可能的其它NFC设备或非接触卡位于终端 TT的询问区域中时的防冲突的步骤(步骤“1肌1\4附10)1/,);iv)当建立了与终端TT的连接时,控制器NFCC向虚拟卡VCj发送命令EVT_CARD_ ACTIVATED以向它表明事务可以开始。然后,实际的事务包括以下步骤-经由通信管道RF,由终端TT向控制器NFCC发送命令CAPDU;-由控制器NFCC采用封装到命令EVT_SEND_DATA内的方式通过管道Pl向虚拟卡 VCj的卡应用CAPj传输这些命令;-由虚拟卡VCj的卡应用程序CAPj采用封装到命令EVT_SEND_DATA内的方式经由管道Pl向控制器NFCC发送应答RAPDU ;-经由管道RF,由控制器NFCC将应答RAPDU传输到终端TT。命令CAPDU 和应答 RAPDU (通常称为 “C-APDU” 和 “R-APDU” )由标准 ISO 7816-4 定义。在事务的一个变形中,封装命令CAPDU和应答RAPDU利用http协议而不是使用封装命令 EVT_SEND_DATA 执行。由终端TT发送的第一个命令CAPDU可以是用于选择卡应用的命令,例如,诸如由标准ISO 7816-4定义的命令“SELECT_AID”。如果卡应用先前在步骤S7已由用户选择并且如果该应用与事务终端TT所请求的不对应,则虚拟卡VCj发送错误消息,事务被中断。在上述的步骤S7的一个变形中,用户仅仅确认他/她希望执行事务而不选择所确定的虚拟卡,那么,包含适合的卡应用的虚拟卡被包括在用户的卡的组合中的卡选择程序自动地选择。在步骤SlO的开始,该高级程序执行卡应用门CAG的初始激活和管道Pl的创建,以便接收用于选择卡应用的命令。然后,如果该高级程序安装在卡的组合中,则它激活由该命令指定的卡应用。否则,事务中断。当事务结束(或中断)时,终端TT停止发射磁场,控制器NFCC向虚拟卡VCj发送用于去激活卡应用的命令EVT_CARD_DEACTIVATED和表明磁场不再存在的命令EVT_FIELD_ OFF。然后,利用命令“PIPE_CL0SE”,在虚拟卡VCj和控制器NFCC之间的管道Pl关闭。该关闭管道Pl的步骤可由虚拟卡本身或者连接程序CXP执行,如图所示的。可选地,该步骤可由安全设备SDV执行。然后,服务管理器GST执行上述的步骤Sll (图7)。本领域的普通技术人员应当注意,该通过接口 HCI的事务的例子并不是限制。虚拟卡VCj与控制器NFCC之间的连接可利用各种其它协议建立,并且其它命令可以被提供。刚才已经描述的事务的例子一方面预先假定用户USRi具有卡的组合CPi,另一方面预先假定组合至少包含该事务所必需的虚拟卡VCj。
图7示出用于创建卡的组合CPi的方法的实施例。假定用户USRi首先经由因特网连接而连接到服务管理器GST,作为非注册用户。然后,管理器GST向设备HD2提供用于非注册用户的主页,其中,用户被提议订阅事务服务(步骤S20)。用户对提议的接受在此触发网络客户端WCL下载并安装到设备HD2中(步骤S21)。网络客户端利用数据链路CXl 连接到管理器GST (步骤S2》,管理器GST向用户发送注册页面(步骤S2!3),其中,信息被请求以形成识别数据USID1。除了这些数据,用户还可以被邀请以传送他/她的银行详情和任何其它允许数据USID2被定义的数据。网络客户端还可以在设备HD2中获取专用于它的数据,以用于形成数据USID2。当网络客户端WCL具有所有数据USIDl和USID2 (步骤S24)以及该用户订阅所必需的其它可能的信息时,它向安全设备SDV提供数据USID2 (步骤S25)。然后,安全设备SDV 检查识别数据USID2,确定用户USRi是否可被授权以具有卡的组合,并向服务管理器GST发送用于创建组合的授权(步骤S26)。然后,管理器GST创建组合CPi (步骤S27)。实际上,该创建可仅仅包含在包含识别数据USID2和表明分配给用户的存储区域SM的扇区的查找表的数据库中注册用户。然后,管理器GST向设备HD2发送组合CPi的创建的确认(步骤S28)。图8示出用于获取虚拟卡VCj的方法的实施例。该方法可以在先前描述的步骤S28 之后或如图所示在到服务器SVl的新连接之后启动。该新连接包括先前描述的步骤,即-激活网络客户端(步骤Si);-输入数据USIDl(步骤S2);-由网络客户端向安全设备SDV发送数据USID2(步骤S3),以检查连接请求的合法性;-由安全设备检查连接请求的合法性,并将接入授权传送到管理器GST(步骤 S4);-由管理器GST访问组合CPi,并确定已经在其中安装的卡应用CAPj(步骤S5);-向用户发送所安装的卡应用CAPj的列表以及安装新的卡应用的建议(步骤 S6)。在此假定用户选择选项“安装新的应用”(步骤S12),而不是选择应用(步骤S7, 图5),因为她/他并没有任何已安装的应用或者因为她/他希望安装新的应用。网络客户端向服务管理器GST发送新应用请求(步骤Si;3)。以下的步骤暗示一个或多个银行服务器或认证服务器或优选的搜集一个或多个银行的服务的单个认证服务器 BSV0在处理安装新应用的请求之前,服务管理器GST可能先前已从认证服务器BSV接收了应用CAPj的提议(步骤SO)。因此,服务管理器GST向设备HD2发送以事务服务的提议的形式呈现的卡应用 CAPj的提议的页面。然后,用户选择事务服务,其对应于卡应用CAPj的选择(步骤S31)。他/她的选择由网络客户端发送到管理器GST (步骤S32)。然后,管理器GST向服务器BSV提供用户识别数据USID2以及所请求的卡应用 CAPj的标识符(步骤S33),并要求用于创建对应的虚拟卡的授权。该步骤可包括多次访问银行服务器。如果认证服务器指出用户在先必须与商务专员联系以进行某些手续,则该步骤可能被延迟。相反,用户可能已经进行了这些手续,并已在数据USIDl中提供了从银行接收的授权他/她获取卡的代码。在检查之后,服务器BSV向管理器GST发送卡应用的程序和允许卡应用被使用的激活银行密钥Kj (CAPj)。该密钥在被请求时形成允许应用对事务终端进行鉴权的加密密钥。然后,管理器GST在组合CPi中创建虚拟卡VCj,并在需要时安装卡的虚拟操作系统 VOSj,然后,在虚拟卡VCj中安装应用CAPj,并安装密钥Kj (步骤S35)。在一个变形中,各种卡应用CAPj被存储在用于存储管理器GST的应用的空间中, 认证服务器仅提供激活密钥Kj。然后,管理器GST返回到步骤S6,以向用户呈现所安装的卡应用CAPj的列表以及安装新应用的建议。用户可决定再次安装新应用、或者使用刚刚已安装的应用或先前已安装的应用、或者与服务器SVl断开。在一个变形中,管理器GST没有任何权限以修改虚拟卡VCj,步骤S33、S34和S35 被留给了安全设备SDV。刚才已描述的事务系统的例子容易有各种其它实施例。具体地,事务系统的实施例可涉及实现虚拟点应用而不是卡应用的支付点的虚拟化。支付点应用PAPj与卡应用 CAPj的不同在于它的目的是通过与允许支付者被识别的芯片卡的事务收集一定数量的钱。图9示出事务系统,其相对于图4而具有以下的差异-设备HD2并不是被设置成面对业务终端TT,而是被设置成面对包括天线线圈ACl 和非接触集成电路CIC的非接触卡CC1,并执行与它的事务;-服务器SVl并不是管理被设置在卡的组合CPi中的虚拟卡VCj中的卡应用CAPj, 而是管理被设置在分配给用户USRi的支付点PPi (PPl, . . .,PPn)的组合中的虚拟支付点 VPj (VP1,... , VPm)中的支付点应用PAPj (PAP 1, ... , PAPm)。除了支付点应用PAPj之夕卜, 每个虚拟支付点可包括用于模拟支付终端的操作系统的程序VOSj (V0S1, VOSm),它也可被包括在支付点应用PAPj内。通过模拟在图1中示出的传统的事务系统,设备HD2在此扮演事务终端TT。控制器NFCC发射与卡CCl建立非接触通信管道所需的磁场FLD。支付点应用程序PAPj控制该控制器NFCC以执行事务。它发出命令CAPDU,并接收应答RAPDU。支付点应用程序PAPj可被配置为在事务期间或在事务之后连接到诸如在图1中示出的服务器SVO的银行授权服务
ο图5所示的方法可用于通过在步骤SlO中激活支付点应用PAPj而非卡应用CAPj, 并通过在步骤S5中搜索在用户USRi的组合PPi中安装的虚拟支付点VPj,在支付点模式中执行事务。在步骤S6,该方法可包括呈现可用的支付点应用PAPj的列表而非卡应用CAPj 的列表,或者呈现两种类型的事务服务。最后,图7所示的方法可用于创建支付点的组合 PPi而非卡的组合CPi。同样,图8所示的方法可被修改,以致步骤S31至S35与安装支付点应用和虚拟支付点有关。图10示出在虚拟支付点VPj和非接触卡CCl之间执行的事务的例子,其例如在图 5的方法的用于在支付点模式下执行事务的步骤SlO处被暗示。该事务包括以下步骤i)利用命令“PIPE_CREATE”、“PIPE_OPEN”,管道P2在虚拟支付点VPj和由控制器NFCC执行的技术RFTi之间创建。该步骤可由连接程序CXP执行,如图所示。可选地,该步骤可由虚拟支付点VPj本身执行,如果它包括用于管理接口 HCI的程序,或者由安全设备 SDV在它使得数据链路CX2能够接入虚拟支付点VPj之前执行;ii)向控制器NFCC发送询问命令EVT_READER_REQUESTED,其目的是检测非接触集成电路CIC的存在(询问方法称为“轮询”)。该步骤可由虚拟支付点VPj执行,如图所示。 可选地,该步骤可由连接程序CXP执行,或者由安全设备SDV在它提供能够接入虚拟支付点 VPj的数据链路CX2之前执行;iii)当检测到卡CCl的非接触集成电路CIC时,控制器NFCC执行用于初始化与非接触集成电路CIC的通信的步骤“INIT,ANTIC0L”,包括创建通信管道RF(在图10中被称 SRFCH)和可选的防冲突的步骤(如果其它非接触集成电路出现在磁场中);iv)控制器NFCC向虚拟支付点VPj发送命令EVT_TARGET_DISCOVERED以向其表明事务可以开始。然后,实际的事务包括以下步骤-由虚拟支付点应用PAPj经由管道P2向控制器NFCC发送命令CAPDU,该命令 CAPDU被封装在命令WR_XCHG_DATA中;-由控制器NFCC通过管道RF向非接触集成电路CIC传输命令CAPDU;-由非接触集成电路CIC向控制器NFCC发送应答RAPDU;-由控制器NFCC经由管道P2向虚拟支付点应用PAPj传输应答RAPDU,应答RAPDU 被封装在命令WR_XCHG_DATA中。当命令EVT_END_0PERATI0N被发送到控制器NFCC时,事务被关闭。该步骤可由虚拟支付点VPj执行,如图所示。可选地,该步骤可由连接程序CXP执行,或者由安全设备SDV 在它提供能够接入虚拟支付点VPj的数据链路CX2之前执行。然后,利用命令“PIPE_CL0SE”,管道P2被关闭。该步骤可由连接程序CXP执行,如图所示。可选地,该步骤可由虚拟支付点VPj本身执行,如果它包括用于管理接口 HCI的程序,或者由安全设备SDV执行。图9所示的事务系统容易有不同的变形。例如,非接触卡CCl可由在卡模拟模式中运行的另一个便携式设备HD2'代替,诸如先前参照图5和6所描述的。如果同一个服务器SVl管理卡应用和支付点应用时,当,彼此面对的两个便携式设备HD2、HD2'在同时连接到同一个服务器SVl时可执行事务,一个作为卡或支付者,另一个作为支付点或接收者。因此,根据本发明的事务系统可允许私密事务被执行,例如,利用移动电话将一定数量的钱从一个人转给另一个人。最后应当指出,以前用于执行与诸如终端TT (图4)或非接触卡CCl (图9)的事务设备的事务的设备HD2可以不同于移动电话、PDA或任何其它通常用于除了近场事务的其它目的便携式设备。因此,在某些实施例中,设备HD2可以完全专用于执行近场事务,并包括低成本的简化控制器,其配备有近场通信装置和用于连接到服务器的装置,并主要被配置为扮演服务器与事务设备之间的邻近中继。为了允许用户在服务器所提供的事务服务之间选择,这种低成本的设备可以配备有简化的键盘和屏幕,其包括允许用户进行他/她的选择的最低功能。在某些实施例中,该低成本的“中继设备”可以不包括用于与用户接口的单元,适合的虚拟卡的选择可由服务器在进行事务时自动地进行。在这种情况下,它可被提供给用户以利用其它设备(例如个人计算机)连接到服务器,以通过添加或删除卡或支付点来配置它所具有的虚拟卡或虚拟支付点的组合。
权利要求
1.一种用于在便携式设备(HM)与事务设备(TT,CIC, CCl)之间执行事务的方法,其特征在于,包括-提供至少一个事务服务器(SVl),其包括至少一个被配置为接收、处理和发出应用数据(APDU)的应用程序(CAPj,PAPj);-在所述便携式设备(皿幻与所述事务服务器(SVl)之间建立至少一个数据链路 (CXl,CX2);-在所述便携式设备(HM)与所述事务设备(TT,CIC, CCl)之间建立近场通信信道 (RFCH);以及-利用所述便携式设备-向所述服务器的所述应用程序(CAPj,PAPj)传送由所述事务设备(TT,CIC, CCl)发送的应用数据(APDU);以及-接收由所述服务器(SVl)的所述应用程序(CAPj,PAPj)发送的应用数据(APDU),并将其传送到所述事务设备(TT,CIC, CCl)。
2.根据权利要求1所述的方法,包括在所述事务服务器(SVl)中安装至少一个被配置为模拟芯片卡的应用程序(CAPj)的步骤(S35)。
3.根据权利要求1或2所述的方法,包括在所述事务服务器(SVl)中安装至少一个被配置为模拟支付点以便执行与芯片卡的事务的应用程序(PAPj)的步骤。
4.根据权利要求1至3任意一项所述的方法,包括-利用所述便携式设备,从所述服务器接收(S6)可用的事务服务的选择,并向所述服务器提供至少一个事务服务的选择(S7);以及-在所述服务器中激活与所选择的事务服务对应的应用程序(CAPj,PAPj),并将其链接到所述便携式设备,以致所述便携式设备执行所述事务。
5.根据权利要求1至4任意一项所述的方法,包括-利用所述便携式设备,从所述服务器接收(S30)事务服务的提议,以及向所述服务器提供至少一个事务服务的选择(S31);以及-在所述服务器中安装与所选择的事务服务对应的应用程序(CAPj,PAPj)。
6.根据权利要求5所述的方法,其中,安装所述应用程序包括安装分配给所述应用程序的加密密钥(Kj)。
7.根据权利要求1至6任意一项所述的方法,包括-利用所述便携式设备,从所述服务器接收(S2!3)订阅事务服务的提议,以及向所述服务器提供订阅提议的接受(S25),其包括用于识别用户(USRi)的识别数据(USID2); -向所识别的用户分配(S27)所述服务器的存储区域(SM);以及 -在所述存储区域中存储分配给所述用户(USRi)的应用的组合(CPi,PPi)。
8.一种事务系统,包括便携式设备(HM)和事务设备(TT,CIC,CC1),所述便携式设备 (HD2)和所述事务设备(TT,CIC, CCl)每一个都包括近场通信装置(NFCC,ACl,AC2,AC3), 所述便携式设备(HD2)包括无线通信装置(WCCT),其特征在于,所述事务系统包括至少一个事务服务器(SVl),其能够经由因特网网络接入,并包括至少一个被配置为在事务期间接收、处理和发出应用数据(APDU)的应用程序(CAPj,PAPj); 所述便携式设备(HM)被配置为-通过所述无线通信装置(WCCT),与所述事务服务器(SVl)建立至少一个数据链路 (CXl,CX2);-与所述事务设备(TT,CIC,CC1))建立近场通信信道(RFCH); -向所述服务器的所述应用程序(CAPj,PAPj)传送由所述事务设备(TT,CCl)发送的应用数据(APDU);以及-接收由所述服务器(SVl)的所述应用程序(CAPj,PAPj)发送的应用数据(APDU),并将其传送到所述事务设备(TT,CCl)。
9.根据权利要求8所述的事务系统,其中,所述事务服务器(SVl)包括至少一个被配置为模拟支付卡的应用程序(CAPj)。
10.根据权利要求8或9所述的事务系统,其中,所述事务服务器(SVl)包括至少一个被配置为模拟能够借记支付卡的支付点的应用程序(PAPj)。
11.根据权利要求8至10任意一项所述的事务系统,其中,-所述便携式设备被配置为从所述服务器接收(S6)可用的事务服务的选择,以及向所述服务器提供至少一个事务服务(CAPj)的选择;-所述服务器包括服务管理程序(GST,SDV),其被配置为响应于至少一个事务服务的选择,在所述服务器中激活与所选择的事务服务对应的应用程序(CAPj,PAPj)。
12.根据权利要求8至11任意一项所述的事务系统,其中,-所述便携式设备被配置为从所述服务器接收(S30)事务服务的提议,以及向所述服务器提供至少一个事务服务的选择(S31);-所述服务器包括服务管理程序(GST,SDV),其被配置为响应于至少一个事务服务的选择,在所述服务器中安装(S3。与所选择的事务服务对应的应用程序(CAPj,PAPj)。
13.根据权利要求12所述的事务系统,其中,所述服务管理程序(GST,SDV)被配置为在应用程序(CAPj)的安装(S35)期间,还安装分配给所述应用程序的加密密钥(Kj)。
14.如权利要求8至13任意一项所述的事务系统,其中,-所述便携式设备被配置为从所述服务器接收(S2!3)订阅事务服务的提议,以及向所述服务器提供订阅提议的接受(S25),其包括用于识别用户(USRi)的识别数据(USID2); -所述服务器包括至少一个服务管理程序(GST,SDV),其被配置为 -向所识别的用户分配(S27)所述服务器的存储区域(SM);以及 -在所述存储区域中存储分配给所述用户(USRi)的应用的组合(CPi,PPi)。
15.根据权利要求8至14任意一项所述的事务系统,其中,所述事务服务器(SVl)包括安全和接入控制设备或程序(SDV)或者与其相关,所述安全和接入控制设备或程序(SDV) 被配置为仅在所述便携式设备已提供用户(USRi)的有效认证数据(USID》之后授权接入事务服务。
16.一种便携式设备(HM),包括近场通信装置(NFCC,AC1,AC2,AC;3)和无线通信装置 (WCCT),其特征在于,它被配置为-通过所述无线通信装置(WCCT),与事务服务器(SVl)建立至少一个数据链路(CX1, CX2);-通过所述近场通信装置(NFCC,ACl,AC2,AC3),与事务设备(TT,CIC, CCl)建立近场通信信道(RFCH);CN 102545967 A-向所述服务器传送由所述事务设备(TT,CCl)发送的应用数据(APDU);以及 -接收由所述服务器(SVl)发送的应用数据(APDU),并将其传送到所述事务设备(TT, CCl)。
17.根据权利要求16所述的便携式设备,其被配置为从所述服务器接收(S6)可用的事务服务的选择,以及向所述服务器提供至少一个将要在所述服务器中被激活以执行事务的事务服务(CAPj,PAPj)的选择。
全文摘要
NFC事务方法和系统,本发明涉及用于在便携式设备(HD2)与事务设备(TT)之间执行事务的方法,其包括提供至少一个事务服务器(SV1),其包括至少一个被配置为接收、处理和发出应用数据(APDU)的应用程序(CAPj);在便携式设备(HD2)和事务服务器(SV1)之间建立至少一个数据链路(CX2);在便携式设备(HD2)和事务设备(TT)之间建立近场通信信道(RFCH);以及利用便携式设备,向服务器的应用程序(CAPj,PAPj)传送由事务设备发送的应用数据(APDU),以及接收由服务器(SV1)的应用程序(CAPj)发送的应用数据(APDU),并将其传送到事务设备。
文档编号G06Q20/34GK102545967SQ20111036326
公开日2012年7月4日 申请日期2011年11月16日 优先权日2010年11月17日
发明者B·查拉特 申请人:英赛瑟库尔公司