用于在仿真非接触式支付卡的移动终端内进行路由的方法
【专利摘要】本发明涉及非接触式支付卡的仿真领域,更具体地涉及在包括多个非接触式支付卡仿真电路的设备内路由非接触式通信。本发明提出了用于在NFC控制器内路由消息的方法。该控制器具有由各安全元件主控的各应用的表。当控制器接收到请求包括在虚拟支付卡中的应用的列表的请求时,其拦截该请求并且使用各安全元件上可访问的各应用的列表进行响应。当接收到目的在于选择应用的请求时,控制器存储相关的安全元件并且只要其未接收到任何新的选择请求则将所有消息重定向至该元件。
【专利说明】用于在仿真非接触式支付卡的移动终端内进行路由的方法
[0001] 本发明涉及仿真非接触式支付卡的领域,更具体地涉及在包括多个非接触式支付 卡仿真电路的设备内路由非接触式通信。
[0002] 可在商店中用于支付的银行卡包括主控银行应用的芯片卡部件。该部件具有高级 别的安全性,因此被称为安全元件或SE。
[0003] 当这种卡用于支付时,其插入到支付终端的读取器中。然后,在支付终端与SE之 间建立连接,以进行支付。该连接为使用SE的物理连接器的物理连接。
[0004] 非接触式支付正在发展。这是基于在支付时使用所谓的非接触式支付卡,其中该 非接触式支付卡通常首先将传统支付卡的SE与近场通信(NFC)标签相结合。然后支付终 端装配有NFC标签读取器。然后,传统支付卡的运行是相同的,但是物理连接由NFC型近场 无线电连接所替代。
[0005] 用户越来越多地装配有移动终端如移动电话、数字助理或便携式计算机。这些终 端越来越多地设置有近场无线电通信接口。然后这些终端用于进行非接触式支付。为了使 移动终端能够使用在非接触式支付卡仿真模式,向这些终端提供与用于装配非接触式支付 卡的安全元件相似的安全元件就足够了。在这种非接触式卡仿真模式中,支付终端与安全 元件之间的通信在不通过移动终端的处理器和其操作系统控制的情况下直接通过设备的 NFC控制器进行。这具体是出于安全理由的约束,因为被破坏的系统不可处于对支付终端与 安全元件之间的安全通信产生影响的位置。
[0006] 用于实施安全元件的多个解决方案是可能的。在移动终端为移动电话、或安全的 SIM卡的情况下,安全元件可实施在用户卡或用户识别模块(SM)卡内。安全元件还可以移 动终端的母板的部件形式实施,或者实施在另外的板例如SD(安全数字)板内。还可以是 例如合适地连接至终端的支付卡的情况。任一终端甚至可包括能够通过近场无线电接口与 支付终端通信的多个不同的安全元件。
[0007] 在这种终端中,存在将通信路由至正确的安全元件的问题。
[0008] 本发明的目的在于通过用于在NFC控制器内路由消息的方法解决上述问题。该控 制器具有由各安全元件主控的各应用的表。当控制器接收到请求包括在虚拟支付卡中的应 用的列表的请求时,其拦截该请求并利用各安全元件上可访问的各应用的列表进行响应。 当接收到目的在于选择应用的请求时,控制器存储相关的安全元件并且只要其未接收到新 的选择请求则将所有消息再路由至该元件。
[0009] 本发明涉及用于在移动终端内进行路由的方法,该移动终端仿真非接触式支付卡 并包括可与近场无线电通信部件通信的多个安全元件,该方法包括:通过近场无线电通信 部件接收来自支付终端的消息的步骤;以及如果接收的命令为旨在接收可用应用的列表的 选择命令,则该方法还包括:通过存储的表形成列表的步骤,该列表包括所有安全元件中可 用的应用中的一些或全部;响应于接收的选择命令将列表发送至支付终端的步骤;以及如 果接收的命令为应用选择命令,则该方法还包括:查阅存储的表以识别主控所选择的应用 的安全元件的步骤;存储被识别为有效安全元件的安全元件的步骤;将该应用选择命令中 继至有效安全元件的步骤;以及对于接收的其他所有命令,该方法还包括:将接收的命令 中继至有效安全元件的步骤。
[0010] 根据本发明的【具体实施方式】,对于每个应用,除了安全元件内的应用的被称为实 际标识符的标识符之外,该存储的表包括被称为公共标识符的标识符,形成列表的步骤通 过公共标识符形成列表,而不是通过应用的实际标识符;以及将应用选择命令中继至安全 元件的步骤包括在将应用选择命令中继至有效安全元件之前利用应用的实际标识符替换 公共标识符的步骤。
[0011] 根据本发明的【具体实施方式】,该方法还包括当移动终端的安全元件的架构发生改 变时更新该存储的表的步骤。
[0012] 根据本发明的【具体实施方式】,在更新模块的控制下执行该更新的步骤,该更新模 块在该终端的中央处理器上执行。
[0013] 根据本发明的【具体实施方式】,该方法还包括通过更新模块管理对于该表的访问权 限的步骤。
[0014] 本发明还涉及一种移动终端,其仿真非接触式支付卡并包括能够与近场无线电通 信部件通信的多个安全元件,该移动终端包括:用于通过该无线电通信部件接收来自支付 终端的消息的装置;如果接收的命令为旨在接收可用应用的列表的选择命令,则该移动终 端还包括:用于通过所存储的表形成列表的装置,所述列表包括所有安全元件中可用的应 用中的一些或全部;用于响应于接收的选择命令将列表发送至支付终端的装置,以及如果 接收的命令为应用选择命令,则该移动终端还包括:用于查阅所存储的表以识别主控所选 择的应用的安全元件的装置;用于存储被识别为有效安全元件的安全元件的装置;用于将 应用选择命令中继至有效安全元件的装置,以及对于接收的其他所有命令,该移动终端还 包括:用于将接收的命令中继至有效安全元件的装置。
[0015] 通过阅读结合附图给出的示例性实施方式的以下描述,本发明的上述特征以及其 他特征将更清楚地呈现,在附图中:
[0016] 图1示出了装配有多个安全元件的移动终端的总体架构;
[0017] 图2示出了本发明示例性实施方式中的该架构的细节;
[0018] 图3示出了在应用选择期间系统的各部件之间的交换;以及
[0019] 图4示出了本发明的示例性实施方式中的位于NCF控制器内的路由模块的操作流 程图。
[0020] 在本文中移动终端是指可由用户携带并且能够主控(host)NFC型近场无线电通 信接口的任何类型的信息处理设备。根据本文中描述的实施方式的示例,这种终端为移动 电话终端,但其还可以是个人数字助理、便携式计算机等。
[0021] 图1中示出了该设备的架构。终端1. 1具有使终端的操作系统能够运行的主处理 器 1. 3。
[0022] 安全元件定义为包括计算存储器单元的部件。这些安全元件设计成能够以安全的 方式主控包括典型的银行应用的各种应用。这些银行应用除其他事项外旨在使终端的用户 能够通过其终端进行支付。通常,安全元件还通过数字证书主控用于内容签字、加密和解密 算法的密码处理单元。安全元件主控使用户能够对金融服务进行认证的证书等。这些安全 元件的运行被标准化并且可参考IS07816。
[0023] 本文中描述的是,在终端1. 1为移动电话或安全SIM卡的情况下,安全元件可实 施在用户卡或SIM(英文为Subscriber Identity Module(用户识别模块))卡内。安全 元件还可以终端1. 1的母板的部件形式实施,或实施在另外的板例如SD(英文为Secure Digital (安全数字))板内。安全元件还可以是合适地连接至终端1. 1的支付卡。终端1. 1 甚至可包括能够通过近场无线电接口与支付终端通信的多个不同的安全元件。
[0024] 在图1中,三个安全元件1.5、1.6和1.7例如通过串行链路连接至中央处理器 1. 3。中央处理器1. 3因此可以与安全元件1. 5、1. 6和1. 7交互,并且将命令发送给安全元 件1. 5、1. 6和1. 7和从安全元件1. 5、1. 6和1. 7接收响应。
[0025] 为了使终端1. 1能够以非接触式支付卡仿真模式运行,必须向终端添加 NFC近场 无线电通信部件1.4。部件1.4还可通过总线与中央处理器1.3进行通信。通常,对于除非 接触式支付以外的使用,NFC部件通过在该中央处理器1. 3上运行的应用来进行控制。
[0026] 另一方面,为了在非接触式支付卡的仿真中运行,特别是出于安全理由,NFC部件 与安全元件之间的通信是直接的。该通信不通过中央处理器1.3。由此,即使是在该中央处 理器1. 3上运行的操作系统被破坏,非接触式支付卡的运行也不会受到威胁。当终端1. 1 仅主控一个安全元件时,该运行是完美的。
[0027] 本发明所解决的问题为允许在NFC部件1. 4与各安全元件之间路由通信,在当前 的情况下安全元件例如为安全元件1. 5、1. 6和1. 7。
[0028] 图2更详细示出了示例性实施方式的架构。再次存在NFC部件2. 3,其提供与支付 终端2. 5.的通信。NFC部件可与多个安全元件2. 6、2. 8和2. 10通信。装置总是在操作系 统的控制下运行,其中该操作系统在处理器2. 1上运行。
[0029] 图2还示出了由安全元件2. 6、2. 8和2. 10中的每个主控的各应用2. 7、2. 9和 2. 11。本发明实质上以路由模块2.4的形式实施在NFC部件2.3内。根据本发明的某些具 体实施方式,可使用用于管理可用应用的表的模块2. 2.该模块然后在移动终端1. 1的中央 处理器2. 1上运行。下面将在对其运行进行详细描述。
[0030] 图3示出了在应用选择期间系统的各部件之间的交换。
[0031] 下面描述了非接触式支付卡的传统运行。当卡进入到装配支付终端的读取器的 场中时,发生低级协议交换,以初始化连接。这里不对这些交换进行详细描述。然后,支付 终端发送被称为"SELECT PPSE"的第一选择命令,其目的为向卡请求存在于卡内的应用的 列表。卡通过可用应用的列表响应该请求,并且对于每个应用,给出被称为AID (英文为 Application IDentifier (应用标识符))的应用标识符。终端选择列表中的这些应用之一, 并且通过命令"SELECT AID"选择该应用。然后,只要不通过支付终端发送新的选择命令, 则下面所有的交换发生在终端与所选择的应用之间。
[0032] 在仿真支付卡的移动终端的背景中,具有多个安全元件,这些安全元件中的每个 对应于非接触式支付卡。
[0033] 支付终端在图3中由线3. 1表示。线3. 2表示移动终端的NFC部件,而线3. 31、 3. 32和3. 33表示主控在移动终端中的各安全元件。
[0034] 当终端发送目的在于请求可用银行应用的列表的命令"SELECTPPSE"3. 4时,该请 求首先由NFC部件2. 3接收。该请求然后由称为路由模块并且在图2中标记为2. 4的特定 模块过滤和识别。本发明的第一创新方面包括这种拦截,以及以下事实,即路由模块拦截命 令"SELECT PPSE"以响应于该命令,而不是安全元件之一。
[0035] 因此路由模块通过发送3. 5所有安全元件上可用应用的表来响应于该请求。这表 可以各种方式形成。其可在终端的初始化的时候被配置、或者由操作者或者由银行固定,其 中用户为该银行的顾客。用于形成表的任何方式都是准许的。还可存在初始步骤,在该步 骤中路由模块自身发送命令"SELECT PPSE"至每个安全元件、接收由每个安全元件发送的 响应、然后自身形成通过将在响应中接收到的列表联结而产生的表。根据一些实施方式,存 储在路由模块中并且响应于由支付终端发送的命令"SELECT PPSE"而发送的表可不包括各 安全元件上所有可用的应用。这种灵活性可选地使得可管理出于任何其他理由进行的各订 购。表因此包括子集,该子集包括所有安全元件上可用的应用组中的一些或全部。表还可 通过路由模块存储在终端中可用的任何存储空间内,并且其位置不限于NFC部件自身。
[0036] 对于每个应用,表还包括用于主控每个应用的安全元件的标识符。通过这种方式, 当路由模块接收命令"SELECT AID"3. 6时,其可找到主控所选择的应用的安全元件。然后, 在步骤3. 7期间,其将安全元件存储为有效安全元件。
[0037] 然后其将应用选择请求"SELECT AID"发送3. 8至相关的安全元件,在这种情况 下,相关的安全元件为图3中的安全元件3. 32。来自支付终端的随后所有的流量然后路由 至有效安全元件。在通过路由模块接收到询问当前有效安全元件的新的命令"SELECT AID" 时,发生切换至新的有效安全元件。
[0038] 根据本发明的示例性实施方式,路由模块根据图4中的流程图运行。
[0039] 在步骤4. 1期间,模块通过NFC连接接收由支付终端发送的命令。该命令然后根 据其属性被过滤和处理。可区分三种情况。
[0040] 在第一种情况下,所接收的命令为命令"SELECT PPSE",其旨在获得通过移动终端 仿真的非接触式支付卡内可用应用的列表。然后进行通过所存储的表形成应用的列表的步 骤4. 2,该列表包含所有安全元件中可用应用中的一些或所有。一旦构成了该列表,在步骤 4. 3期间其响应于命令"SELECT PPSE"被发送至支付终端。
[0041] 在第二种情况下,所接收的命令为命令"SELECT AID"。在第一步骤4. 4期间,路由 模块查阅所存储的表以寻找主控应用的安全元件,该应用的标识符作为选择命令的参数。 一旦识别出该安全元件,在步骤4. 5期间路由模块将该新的安全元件存储为当前有效安全 元件。在步骤4.6期间,选择命令然后中继至有效安全元件。通过这种方式,首先,安全元 件的身份被存储,其中所接收的选择命令以及因此后面的命令与该安全元件相关,其次,该 命令被传送以有效地选择安全元件内所需应用。
[0042] 根据步骤4. 7处理任何其他命令,这仅仅是将命令中继至有效安全元件。有利地, 当终端开启时,有效安全元件被默认存储。
[0043] 可能发生相同的应用存在于至少两个安全元件中。然后存在具有相同标识符并位 于两个不同的安全元件中的两个应用。
[0044] 有利地,所存储的表将每个应用安全元件与被称为公共标识符的标识符关联,而 该标识符可与安全元件中的应用的实际标识符不同。根据该实施方式,形成应用的列表的 步骤4. 2通过公共标识符形成列表,而不是通过应用的实际标识符。将命令中继至安全元 件的步骤4. 6自身包括在将命令中继至有效安全元件之前利用应用的实际标识符替换公 共标识符的步骤。通过这种方式,可公开主控在两个不同的安全元件中的、具有相同标识符 的应用。
[0045] 有利地,当移动终端的安全元件的架构发生改变时,例如当插入包括安全元件的 新的SD卡或新的SIM卡时,更新表。然后,通过用于更新表的模块控制该更新,模块2. 2在 终端的处理器上执行。
[0046] 有利地,通过访问权限保护该表。因此,仅银行或操作者可修改该表。然后对给定 应用或者甚至是对给定安全元件的访问可取决于商业考虑并且不是自动的。访问权限然后 有利地通过上述的用于更新表的模块来管理。
【权利要求】
1. 一种用于在移动终端(1. 1)内进行路由的方法,所述移动终端(1. 1)仿真非接触 式支付卡并包括能够与近场无线电通信部件(1. 4 ;2. 3)通信的多个安全元件(1. 5 ;1. 6 ; 1. 7 ;2. 6 ;2. 8 ;2. 10),所述方法包括: -通过所述近场无线电通信部件接收来自支付终端(1. 2 ;2. 5)的消息的步骤; 其特征在于,如果接收的命令为旨在接收可用应用的列表的选择命令,则所述方法还 包括: -通过存储的表形成所述列表的步骤(4. 2),所述列表包括所述多个安全元件中可用 的应用中的一些或全部; -响应于接收的所述选择命令将所述列表发送至所述支付终端的步骤(4. 3), 如果接收的所述命令为应用选择命令,则所述方法还包括: -查阅所述存储的表,以识别主控所选应用的所述安全元件的步骤(4.4); -存储被识别为有效安全元件的所述安全元件的步骤(4.5); -将所述应用选择命令中继至所述有效安全元件的步骤(4. 6), 以及,对于接收的其他所有命令,所述方法还包括:将接收的命令中继至所述有效安全 元件的步骤(4. 7)。
2. 根据权利要求1所述的方法,其特征在于,对于每个应用,除了所述安全元件内被称 为实际标识符的应用标识符之外,所述存储的表包括被称为公共标识符的应用标识符: -所述形成所述列表的步骤(4.2)通过所述公共标识符形成所述列表,而不是通过所 述应用的所述实际标识符;以及 -所述将所述应用选择命令中继至所述有效安全元件的步骤(4.6)包括在将所述应用 选择命令中继至所述有效安全元件之前利用所述应用的所述实际标识符替换所述公共标 识符的步骤。
3. 根据权利要求1或2所述的方法,其特征在于,所述方法还包括: -当所述移动终端的所述安全元件的架构发生改变时更新所述存储的表的步骤。
4. 根据权利要求3所述的方法,其特征在于,在更新模块(2. 2)的控制下执行所述更新 的步骤,所述更新模块(2.2)在所述移动终端的中央处理器上执行。
5. 根据权利要求4所述的方法,其特征在于,所述方法还包括:通过所述更新模块管理 对所述表的访问权限的步骤。
6. -种移动终端,所述移动终端仿真非接触式支付卡并包括能够与近场无线电通信部 件(1.4 ;2. 3)通信的多个安全元件(1.5 ; 1.6 ; 1.7 ;2. 6 ;2. 8 ;2. 10),所述移动终端包括用 于通过所述近场无线电通信部件接收来自支付终端(1.2 ;2. 3)的消息的装置, 其特征在于,所述移动终端还包括: -用于当接收到旨在接收可用应用的列表的选择命令时通过存储的表形成所述列表的 装置,所述列表包括所述多个安全元件中可用的应用中的一些或全部;以及 -用于响应于接收的所述选择命令将所述列表发送至所述支付终端的装置; -用于当接收到应用选择命令时查阅所述存储的表以识别主控所选应用的所述安全元 件的装置; -用于存储被识别为有效安全元件的所述安全元件的装置;以及 -用于将所述应用选择命令中继至所述有效安全元件的装置;以及 -用于将接收的其他任何命令中继至所述有效安全元件的装置。
【文档编号】G06Q20/32GK104115173SQ201280069071
【公开日】2014年10月22日 申请日期:2012年12月20日 优先权日:2011年12月21日
【发明者】路易斯-菲利普·共加尔弗斯, 塞巴斯蒂安·珀利 申请人:茂福公司