多应用智能卡及智能卡多应用管理方法
【专利摘要】本发明提出了多应用智能卡及智能卡多应用管理方法。其中,所述多应用智能卡包括应用安全域管理模块以及至少一个已存在的应用安全域,所述至少一个已存在的应用安全域中的每个各自与不同的应用提供方相关联,并且其中,所述至少一个已存在的应用安全域协助所述应用安全域管理模块创建新的应用安全域。本发明所公开的多应用智能卡及智能卡多应用管理方法能够使智能卡上的每个应用安全域具有平等的关系并且多个服务提供方可以作为平等的发卡主体。
【专利说明】多应用智能卡及智能卡多应用管理方法
【技术领域】
[0001]本发明涉及智能卡及智能卡管理方法,更具体地,涉及多应用智能卡及智能卡多应用管理方法。
【背景技术】
[0002]目前,随着计算机和网络应用的日益广泛以及不同领域的业务种类的日益丰富,对多应用智能卡的管理变得越来越重要。
[0003]在现有的技术方案中,多应用智能卡的管理平台是基于安全域的,即智能卡中的每个应用都具有相应的安全域(其是该应用的拥有者(即服务提供方)在卡上的代表,换句话说,其是卡外实体在卡上的代理,其能够为特定的服务提供方的应用提供运行管理环境及资源,例如,其可以执行应用的装载、安装及删除操作)。
[0004]然而,这样的智能卡包含主安全域(例如由主发卡方创建)和从安全域(例如由其他服务提供方在所述主安全域内的建立的的子安全域或通过代理建立的辅助安全域),从安全域依附于主安全域,即从安全域的权限由主安全域赋予,这导致如下结果:各个应用安全域不是平等的关系,并且针对一张智能卡而言,多个服务提供方不能作为平等的发卡主体。
[0005]因此,存在如下需求:提供能够使智能卡上的每个应用安全域具有平等的关系并且多个服务提供方可以作为平等的发卡主体的多应用智能卡及智能卡多应用管理方法。
【发明内容】
[0006]为了解决上述现有技术方案所存在的问题,本发明提出了能够使智能卡上的每个应用安全域具有平等的关系并且多个服务提供方可以作为平等的发卡主体的多应用智能卡及智能卡多应用管理方法。
[0007]本发明的目的是通过以下技术方案实现的:
一种多应用智能卡,所述多应用智能卡包括应用安全域管理模块以及至少一个已存在的应用安全域,所述至少一个已存在的应用安全域中的每个各自与不同的应用提供方相关联,
其中,所述应用安全域管理模块接收来自新的应用提供方的应用安全域创建指令,以及基于接收到的所述应用安全域创建指令构造应用安全域创建验证请求并将所述应用安全域创建验证请求传送到相关的已存在的应用安全域,所述应用安全域管理模块随后基于所述相关的已存在的应用安全域传送回的验证结果执行判决操作,并且如果所述判决操作的结果是“允许创建”,则创建与所述新的应用提供方相关联的新的应用安全域,如果所述判决操作的结果是“不允许创建”,则不创建与所述新的应用提供方相关联的新的应用安全域,
所述至少一个已存在的应用安全域中的每个在接收到所述应用安全域创建验证请求的情况下执行验证操作,并将验证结果传送回所述应用安全域管理模块。
[0008]在上面所公开的方案中,优选地,所述应用安全域管理模块基于预定的判决规则执行所述判决操作。
[0009]在上面所公开的方案中,优选地,如果所述预定的判决规则涉及多个已存在的应用安全域,则所述应用安全域管理模块接收所述新的应用提供方发送来的分别针对所涉及的多个已存在的应用安全域的多个应用安全域创建指令,并且分别基于所述多个应用安全域创建指令中的每个构造多个应用安全域创建验证请求并将所述多个应用安全域创建验证请求中的每个传送到相应的已存在的应用安全域。
[0010]在上面所公开的方案中,优选地,所述应用安全域创建指令包括下列项:验证方应用安全域名称、待建应用安全预名称、待建应用安全域空间大小、待建应用安全域验证能力指示以及待建应用安全域验证信息。
[0011]在上面所公开的方案中,优选地,应用安全域创建验证请求包含所述待建应用安全域验证信息,并且所述应用安全域管理模块根据所述验证方应用安全域名称将应用安全域创建验证请求传送到相应的应用安全域。
[0012]在上面所公开的方案中,优选地,所述相关的已存在的应用安全域基于所述待建应用安全域验证信息执行验证操作,并将验证结果传送回所述应用安全域管理模块。
[0013]在上面所公开的方案中,优选地,所述预定的判决规则是下列判决规则中的一个:
(I)只要所有已存在的应用安全域传送回的验证结果中存在一个验证结果是“验证通过”,则判决操作的结果是“允许创建”;(2)只要所有已存在的应用安全域传送回的验证结果中一半的验证结果或多于一半的验证结果是“验证通过”,则判决操作的结果是“允许创建”;(3 )仅在所有已存在的应用安全域传送回的验证结果均是“验证通过”的情况下判决操作的结果是“允许创建”。
[0014]在上面所公开的方案中,优选地,初始的至少一个应用安全域由初始发卡方在发行所述多应用智能卡时创建。
[0015]在上面所公开的方案中,优选地,已存在的应用安全域中的每个仅能够被与其相关联的应用提供方删除,而无需任何其他已存在的应用安全域的同意。
[0016]本发明的目的也可以通过以下技术方案实现:
一种智能卡多应用管理方法,所述智能卡多应用管理方法包括下列步骤:
(Al)接收来自新的应用提供方的应用安全域创建指令,并基于接收到的所述应用安全域创建指令构造应用安全域创建验证请求并将所述应用安全域创建验证请求传送到相关的已存在的应用安全域,其中,所述已存在的应用安全域中的每个各自与不同的应用提供方相关联;
(A2)所述相关的已存在的应用安全域中的每个在接收到所述应用安全域创建验证请求后执行验证操作,并传送回验证结果;
(A3)基于所述相关的已存在的应用安全域的验证结果执行判决操作,并且如果所述判决操作的结果是“允许创建”,则创建与所述新的应用提供方相关联的新的应用安全域,如果所述判决操作的结果是“不允许创建”,则不创建与所述新的应用提供方相关联的新的应用安全域。
[0017]本发明所公开的多应用智能卡及智能卡多应用管理方法具有以下优点:(1)能够使智能卡上的每个应用安全域具有平等的关系;(2)多个服务提供方可以实质上作为平等的发卡主体,从而能够显著地减少二次发卡,由此降低了成本。
【专利附图】
【附图说明】
[0018]结合附图,本发明的技术特征以及优点将会被本领域技术人员更好地理解,其中:
图1是根据本发明的实施例的多应用智能卡的示意性结构图;
图2是根据本发明的实施例的智能卡多应用管理方法的流程图。
【具体实施方式】
[0019]图1是根据本发明的实施例的多应用智能卡的示意性结构图。如图1所示,本发明所公开的多应用智能卡包括应用安全域管理模块1以及至少一个已存在的应用安全域2,所述至少一个已存在的应用安全域2中的每个各自与不同的应用提供方相关联。其中,所述应用安全域管理模块1接收来自新的应用提供方(即要在该智能卡上创建新的应用安全域的应用提供方(即服务提供方),该应用提供方不同于所述至少一个已存在的应用安全域2中的每个所关联的应用提供方)的应用安全域创建指令,以及基于接收到的所述应用安全域创建指令构造应用安全域创建验证请求并将所述应用安全域创建验证请求传送到相关的已存在的应用安全域2,所述应用安全域管理模块1随后基于所述相关的已存在的应用安全域2传送回的验证结果执行判决操作,并且如果所述判决操作的结果是“允许创建”,则创建与所述新的应用提供方相关联的新的应用安全域2,如果所述判决操作的结果是“不允许创建”,则不创建与所述新的应用提供方相关联的新的应用安全域2。所述至少一个已存在的应用安全域2中的每个在接收到所述应用安全域创建验证请求的情况下执行验证操作,并将验证结果传送回所述应用安全域管理模块1。
[0020]优选地,在本发明所公开的多应用智能卡中,所述应用安全域管理模块1基于预定的判决规则执行所述判决操作(示例性地,所述预定的判决规则在初始发卡方发行所述多应用智能卡时被设定,并且之后是不可改变的)。
[0021]优选地,在本发明所公开的多应用智能卡中,如果所述预定的判决规则涉及多个已存在的应用安全域2,则所述应用安全域管理模块1接收所述新的应用提供方发送来的分别针对所涉及的多个已存在的应用安全域2的多个应用安全域创建指令,并且分别基于所述多个应用安全域创建指令中的每个构造多个应用安全域创建验证请求并将所述多个应用安全域创建验证请求中的每个传送到相应的已存在的应用安全域2。
[0022]优选地,在本发明所公开的多应用智能卡中,所述应用安全域创建指令包括下列项:验证方应用安全域名称、待建应用安全预名称、待建应用安全域空间大小、待建应用安全域验证能力指示以及待建应用安全域验证信息。其中,所述“待建应用安全域验证能力指示”指示待建的新的应用安全域是否具有执行验证操作的能力。
[0023]优选地,在本发明所公开的多应用智能卡中,应用安全域创建验证请求包含所述待建应用安全域验证信息,并且所述应用安全域管理模块1根据所述验证方应用安全域名称将应用安全域创建验证请求传送到相应的应用安全域2 (即所述验证方应用安全域名称所指示的应用安全域2)。
[0024]优选地,在本发明所公开的多应用智能卡中,所述相关的已存在的应用安全域2基于所述待建应用安全域验证信息执行验证操作,并将验证结果传送回所述应用安全域管理模块I。示例性地,所述待建应用安全域验证信息是验证码的形式。
[0025]示例性地,在本发明所公开的多应用智能卡中,所述预定的判决规则是下列判决规则中的一个:(I)只要所有已存在的应用安全域2传送回的验证结果中存在一个验证结果是“验证通过”,则判决操作的结果是“允许创建”(即一票通过);(2)只要所有已存在的应用安全域2传送回的验证结果中一半的验证结果或多于一半的验证结果是“验证通过”,则判决操作的结果是“允许创建”(即半票通过);(3)仅在所有已存在的应用安全域2传送回的验证结果均是“验证通过”的情况下判决操作的结果是“允许创建”(即全票通过)。
[0026]优选地,在本发明所公开的多应用智能卡中,初始的至少一个应用安全域2由初始发卡方在发行所述多应用智能卡时创建(其随后通过执行验证操作的方式协助所述应用安全域管理模块I创建后续的应用安全域2)。
[0027]优选地,在本发明所公开的多应用智能卡中,已存在的应用安全域2中的每个仅能够被与其相关联的应用提供方删除,而无需任何其他已存在的应用安全域2的同意。
[0028]由上可见,本发明所公开的多应用智能卡具有下列优点:(1)能够使智能卡上的每个应用安全域具有平等的关系;(2)多个服务提供方可以实质上作为平等的发卡主体,从而能够显著地减少二次发卡,由此降低了成本。
[0029]图2是根据本发明的实施例的智能卡多应用管理方法的流程图。如图2所示,本发明所公开的智能卡多应用管理方法包括下列步骤:(Al)接收来自新的应用提供方(即要在该智能卡上创建新的应用安全域的应用提供方(即服务提供方),该应用提供方不同于已存在的应用安全域中的每个所关联的应用提供方)的应用安全域创建指令,并基于接收到的所述应用安全域创建指令构造应用安全域创建验证请求并将所述应用安全域创建验证请求传送到相关的已存在的应用安全域,其中,所述已存在的应用安全域中的每个各自与不同的应用提供方相关联;(A2)所述相关的已存在的应用安全域中的每个在接收到所述应用安全域创建验证请求后执行验证操作,并传送回验证结果;(A3)基于所述相关的已存在的应用安全域的验证结果执行判决操作,并且如果所述判决操作的结果是“允许创建”,则创建与所述新的应用提供方相关联的新的应用安全域,如果所述判决操作的结果是“不允许创建”,则不创建与所述新的应用提供方相关联的新的应用安全域。
[0030]优选地,在本发明所公开的智能卡多应用管理方法中,基于预定的判决规则执行所述判决操作(示例性地,所述预定的判决规则在初始发卡方发行所述多应用智能卡时被设定,并且之后是不可改变的)。
[0031]优选地,在本发明所公开的智能卡多应用管理方法中,如果所述预定的判决规则涉及多个已存在的应用安全域,则在所述步骤(Al)中接收所述新的应用提供方发送来的分别针对所涉及的多个已存在的应用安全域的多个应用安全域创建指令,并且分别基于所述多个应用安全域创建指令中的每个构造多个应用安全域创建验证请求并将所述多个应用安全域创建验证请求中的每个传送到相应的已存在的应用安全域。
[0032]优选地,在本发明所公开的智能卡多应用管理方法中,所述应用安全域创建指令包括下列项:验证方应用安全域名称、待建应用安全预名称、待建应用安全域空间大小、待建应用安全域验证能力指示以及待建应用安全域验证信息。其中,所述“待建应用安全域验证能力指示”指示待建的新的应用安全域是否具有执行验证操作的能力。
[0033]优选地,在本发明所公开的智能卡多应用管理方法中,所述应用安全域创建验证请求包含所述待建应用安全域验证信息,并且在步骤(A1)中根据所述验证方应用安全域名称将应用安全域创建验证请求传送到相应的应用安全域(即所述验证方应用安全域名称所指示的应用安全域)。
[0034]优选地,在本发明所公开的智能卡多应用管理方法中,所述相关的已存在的应用安全域基于所述待建应用安全域验证信息执行验证操作。示例性地,所述待建应用安全域验证信息是验证码的形式。
[0035]示例性地,在本发明所公开的智能卡多应用管理方法中,所述预定的判决规则是下列判决规则中的一个:(1)只要所有已存在的应用安全域传送回的验证结果中存在一个验证结果是“验证通过”,则判决操作的结果是“允许创建”(即一票通过);(2)只要所有已存在的应用安全域传送回的验证结果中一半的验证结果或多于一半的验证结果是“验证通过”,则判决操作的结果是“允许创建”(即半票通过);(3)仅在所有已存在的应用安全域传送回的验证结果均是“验证通过”的情况下判决操作的结果是“允许创建”(即全票通过)。
[0036]优选地,在本发明所公开的智能卡多应用管理方法中,初始的至少一个应用安全域由初始发卡方在发行所述多应用智能卡时创建(其随后通过执行验证操作的方式协助创建后续的应用安全域)。
[0037]优选地,在本发明所公开的智能卡多应用管理方法中,已存在的应用安全域中的每个仅能够被与其相关联的应用提供方删除,而无需任何其他已存在的应用安全域的同
ο
[0038]由上可见,本发明所公开的智能卡多应用管理方法具有下列优点:(1)能够使智能卡上的每个应用安全域具有平等的关系;(2)多个服务提供方可以实质上作为平等的发卡主体,从而能够显著地减少二次发卡,由此降低了成本。
[0039]尽管本发明是通过上述的优选实施方式进行描述的,但是其实现形式并不局限于上述的实施方式。应该认识到:在不脱离本发明主旨和范围的情况下,本领域技术人员可以对本发明做出不同的变化和修改。
【权利要求】
1.一种多应用智能卡,所述多应用智能卡包括应用安全域管理模块以及至少一个已存在的应用安全域,所述至少一个已存在的应用安全域中的每个各自与不同的应用提供方相关联, 其中,所述应用安全域管理模块接收来自新的应用提供方的应用安全域创建指令,以及基于接收到的所述应用安全域创建指令构造应用安全域创建验证请求并将所述应用安全域创建验证请求传送到相关的已存在的应用安全域,所述应用安全域管理模块随后基于所述相关的已存在的应用安全域传送回的验证结果执行判决操作,并且如果所述判决操作的结果是“允许创建”,则创建与所述新的应用提供方相关联的新的应用安全域,如果所述判决操作的结果是“不允许创建”,则不创建与所述新的应用提供方相关联的新的应用安全域, 所述至少一个已存在的应用安全域中的每个在接收到所述应用安全域创建验证请求的情况下执行验证操作,并将验证结果传送回所述应用安全域管理模块。
2.根据权利要求1所述的多应用智能卡,其特征在于,所述应用安全域管理模块基于预定的判决规则执行所述判决操作。
3.根据权利要求2所述的多应用智能卡,其特征在于,如果所述预定的判决规则涉及多个已存在的应用安全域,则所述应用安全域管理模块接收所述新的应用提供方发送来的分别针对所涉及的多个已存在的应用安全域的多个应用安全域创建指令,并且分别基于所述多个应用安全域创建指令中的每个构造多个应用安全域创建验证请求并将所述多个应用安全域创建验证请求中的每个传送到相应的已存在的应用安全域。
4.根据权利要求3所述的多应用智能卡,其特征在于,所述应用安全域创建指令包括下列项:验证方应用安全域名称、待建应用安全预名称、待建应用安全域空间大小、待建应用安全域验证能力指示以及待建应用安全域验证信息。
5.根据权利要求4所述的多应用智能卡,其特征在于,应用安全域创建验证请求包含所述待建应用安全域验证信息,并且所述应用安全域管理模块根据所述验证方应用安全域名称将应用安全域创建验证请求传送到相应的应用安全域。
6.根据权利要求5所述的多应用智能卡,其特征在于,所述相关的已存在的应用安全域基于所述待建应用安全域验证信息执行验证操作,并将验证结果传送回所述应用安全域管理模块。
7.根据权利要求6所述的多应用智能卡,其特征在于,所述预定的判决规则是下列判决规则中的一个:(1)只要所有已存在的应用安全域传送回的验证结果中存在一个验证结果是“验证通过”,则判决操作的结果是“允许创建”;(2)只要所有已存在的应用安全域传送回的验证结果中一半的验证结果或多于一半的验证结果是“验证通过”,则判决操作的结果是“允许创建”;(3)仅在所有已存在的应用安全域传送回的验证结果均是“验证通过”的情况下判决操作的结果是“允许创建”。
8.根据权利要求7所述的多应用智能卡,其特征在于,初始的至少一个应用安全域由初始发卡方在发行所述多应用智能卡时创建。
9.根据权利要求8所述的多应用智能卡,其特征在于,已存在的应用安全域中的每个仅能够被与其相关联的应用提供方删除,而无需任何其他已存在的应用安全域的同意。
10.一种智能卡多应用管理方法,所述智能卡多应用管理方法包括下列步骤: (Al)接收来自新的应用提供方的应用安全域创建指令,并基于接收到的所述应用安全域创建指令构造应用安全域创建验证请求并将所述应用安全域创建验证请求传送到相关的已存在的应用安全域,其中,所述已存在的应用安全域中的每个各自与不同的应用提供方相关联; (A2)所述相关的已存在的应用安全域中的每个在接收到所述应用安全域创建验证请求后执行验证操作,并传送回验证结果; (A3)基于所述相关的已存在的应用安全域的验证结果执行判决操作,并且如果所述判决操作的结果是“允许创建”,则创建与所述新的应用提供方相关联的新的应用安全域,如果所述判决操作的结果是“不允许创建”,则不创建与所述新的应用提供方相关联的新的应用安全域。
【文档编号】G06K19/07GK104301284SQ201310295226
【公开日】2015年1月21日 申请日期:2013年7月15日 优先权日:2013年7月15日
【发明者】严翔翔, 周钰 申请人:中国银联股份有限公司