58被适当地配置为用于与安全模块114协作地通信。在810处,密钥轮换程序通过安全应用158发起在服务提供商计算服务器160与安全模块114之间的安全通信。可以通过HTTPS服务器来实现在服务提供商计算服务器160与移动装置之间的通信,该HTTPS服务器使用这些经轮换的密钥来加密数据。如本文所讨论的,安全应用158可以通过任何有用的通信协议(如蓝牙、NFC、OM-API或某种其他协议)来与安全模块114进行通信。持有来自服务提供商的多个经轮换的密钥的安全模块114能够对来自服务提供商计算服务器160的数据进行解密并且对将要被发送回服务提供商计算服务器160的数据进行加密。由于在810处的密钥轮换程序,在安全模块114与服务提供商计算服务器160之间所传送的经加密的数据对所有其他参与者和实体(包括安全模块制造商和发行者控制的计算服务器184)保密。
[0128]在812处,服务提供商计算服务器160通过在移动装置上执行的安全应用158来向安全模块传送多个安全应用和安全应用数据。可以直接通过本文所描述的这些安全通信来传送该数据。
[0129]在812处的配置阶段完成之后,安全模块114被配置为用于如商家基础设施(例如,销售点(POS)终端)中,而不需要保持连接至安全应用158或服务提供商计算服务器160。
[0130]在814处,准许多个正常操作。以此方式,移动装置的用户能够与服务提供商计算服务器160安全地通信存储于安全模块114上的秘密数据。例如,如果服务提供商是运输服务提供商,用户可能能够安全地支付出租车费、火车费,更新参数(例如,到期日期、PIN码)等。用户还可以能够安全地设定旅行预订或执行与具体服务提供商所提供的商品和服务相关联的其他功能。类似地,如果服务提供商是医疗健康提供商,用户可以能够将医疗数据或其他健康相关数据输入到他们的移动装置内,并且移动装置与服务提供商之间的通信将会安全地进行。考虑了广泛范围的其他服务提供商和安全通信应用。
[0131]图9A是第一流程图部分900A,展示了对服务提供商安全域的监管和使用;并且图9B是第二流程图部分900B,展示了对服务提供商安全域的监管和使用。
[0132]在图9A中,处理开始于902。在这种情况下,用户正在操作移动装置。该移动装置与安全模块(例如,S頂卡、UICC卡、具有接近连接的个人装置等)相关联,并且该安全模块具有已经被特别配置过的存储器(例如,非易失性存储器)。安全模块中的存储器可以被配置为具有一个、两个或某些其他多个未分配的安全域。这些安全域中的每个安全域可以通过对应的安全值(如安全密钥)可访问的。在某些情况下,这是第一安全值(例如,第一安全密钥)。
[0133]在某些实施例中,该安全模块被分配唯一的电子标识符(EID)(如嵌入式UICC标识符)ο在这些实施例以及其他实施例中,这些未分配的安全域中的每个未分配的安全域可以具有为其所分配的唯一的应用标识符(AID)。EID和AID的组合足以允许从安全域的外部执行的编程功能对安全模块内的每个未分配的安全域进行唯一地标识。据此,第一安全值可以与EID、AID、EID与AID的组合、EID与AID以及某个其他值的组合或通过某种其他方式相关联(即,是基于其而形成的)。相应地,每个未分配的安全域的第一安全值可以不同于每个其他第一安全值。
[0134]访问该安全域可以包括以下程序,其中,具体的软件程序或功能向正在发行者控制的安全域内操作的功能呈现第一安全密钥,该发行者控制的安全域同样被配置于安全模块的存储器内。第一安全值可以与公共密钥基础设施(PKI)相关联,并且相应地,使用多个具体密钥的传送、形成和匹配对互相通信的一个或多个实体的完整性进行验证。
[0135]发行者控制的安全域可以包括具体的功能逻辑,如编程软件应用、电子电路或其某种组合从而为这些未分配的安全域中的每个未分配的安全域供应至少一个第二安全值。在某些情况下,发行者控制的安全域被准许向多个未分配的安全域读写数据,并且在该安全域被分配给服务提供商之后,该发行者控制的安全域被限制对该安全域的至少某部分读写数据。
[0136]为促进将数据传递入和传递出安全模块,该安全模块可以包括蓝牙、NFC、ISO或某种其他通信接口。安全模块还可以包括被耦接至存储器和通信接口两者的处理单元。
[0137]在902处,用户可以下载软件应用,如移动支付安全应用、政府服务应用、运输应用、健康应用或者启用安全地传送从移动装置输出的秘密数据或将秘密数据安全地传送到移动装置内的能力的某种其他应用。
[0138]在904处,在移动装置上执行的软件应用试图确定该移动装置是否是安全的。本领域技术人员已知的一种或多种技术可以确定电话何时被刷机、电话存储器何时已经被篡改、黑客攻击何时已经被检测到或者某种其他动作或操作何时已经导致移动装置不安全。如果通过软件确定了移动装置是不安全的,处理转到906,其中,对安全漏洞的报告、警告或某种其他操作可以发生。
[0139]在906之后,处理进行到908,并且软件应用终止。在908处,某些具体的动作可以发生,如对安全模块内的某些或全部数据进行加密、删除移动装置或安全模块上的数据、通过移动装置提供人类可检测的警告(例如,视觉、音频、触觉等)。
[0140]如果在904处移动装置是安全的,处理进行到910,其中,软件应用确定安全域是否已经被分配以供软件应用使用。以此方式,每次软件应用被实例化时,处理将穿过904和910。
[0141 ] 在安全域已经被分配之后,处理进行至“ B ”,将关于图9B对此进行讨论。
[0142]如果安全域尚未被分配(如当第一次运行软件应用时),处理将进行到912。
[0143]在912处,移动装置将试图从计算服务器中请求服务,该计算服务器由与该软件应用相关联的服务提供商操作或代表该服务提供商。与对服务的请求协作,具体的用户可以与移动装置进行交互。例如,在某些情况下,触摸屏或其他人类输入装置(HID)与由软件应用生成的视觉或音频提示进行协作。可以要求用户选择具体的服务(例如,公用事业、支付、旅行或某种其他服务)。可以要求用户选择具体的安全模块(例如,SIMUS頂2或可供它们的移动装置使用的某个具体安全模块)。可以要求用户输入个人信息(如个人身份识别码(PIN)),该个人信息用于在软件应用被实例化时向移动装置标识用户。
[0144]与在912处试图请求服务的移动装置协作,软件应用可以检索EID或唯一地标识安全模块的某种其他信息。该EID或其他信息可以用具体的安全值(即,图9A中的Sec.Val.A)来加密并且被发送至远程计算服务器,该远程计算服务器由服务提供商操作或代表该服务提供商。由于运行于移动装置上的软件应用是由软件提供商所提供的或者以其他方式与该软件提供商相关联,移动装置内的服务提供商远程计算服务器可以使用多个共享密钥、HTTPS连接或其他安全机制来进行安全通信。
[0145]在914处,由服务提供商操作或代表该服务提供商的远程计算服务器可以对由移动电话发送的数据进行解密,该数据将包括EID或对安全模块进行标识的其他信息。然后,远程计算服务器可以将该EID或对安全模块进行标识的其他信息传递至发行者控制的计算服务器。
[0146]该发行者控制的计算服务器可以由以下各项操作并代表以下各项:安全模块的制造商、安全模块的发行者、MNO或某种其他实体。
[0147]在916处,发行者控制的计算服务器将选择对安全模块内形成的未分配的安全域进行标识的具体AID。根据合同、商业关系或某种其他约定,由AID标识的安全域将被分配给服务提供商。还将检索与所选定的安全域相关联的安全值(即,图9A中的Sec.Val.B)。与移动装置的安全模块内的安全域相关联的安全值和AID将会被返回至与服务提供商相关联的计算服务器(即,处理返回至914)。
[0148]在某些可选的情况下,移动装置将直接与发行者控制的计算服务器进行通信。以虚线来展示912与916之间的这种处理以及916与920之间的处理。如果情况如此,均与将要被分配给服务提供商的安全域相关联的AID和安全值将会被从发行者控制的计算服务器返回至移动装置。
[0149]在916处,发行者控制的计算服务器将继续进行处理。发行者控制的计算服务器可以执行任何数量的可选功能。一种功能可以包括对相关联的数据库进行更新以指示哪个安全模块的哪个安全域将会被分配给哪个服务提供商。还可以在数据库中更新其他信息,如日期戳、时间戳、与分配安全域的约定相关联的细节以及许多其他细节。
[0150]发行者控制的计算服务器在916处可以执行的另一种功能是与安全模块上的发行者控制的安全域进行交互。这种交互将通常包括向在安全模块上的发行者控制的安全域内执行的应用传送命令、数据或命令和数据。这些命令和数据执行向服务提供商分配安全域所必需的多个动作。
[0151]如果不是在较早阶段执行,但是发行者控制的计算服务器在916处可以执行的又一种功能是对安全域进行引渡。引渡程序去除了对与现在被分配给服务提供商的安全域相关联的一个或多个存储器区域中的某些或全部。引渡程序向服务提供商提供了足够的保证:只有服务提供商将能够访问所分配的安全域的存储器。还可以在916处执行其他功能。
[0152]在安全模块内形成的这些未分配的安全域是可分配给服务提供商的。发行者控制的安全域可以包括准许或者以其他方式执行分配程序的多种功能。在某些情况下,多个安全域由安全模块的制造商、由安全模块的发行者、由移动网络运营商或由某个其他实体来分配。在某些情况下,可以在安全模块被部署在现场之后(如当安全模块被安装在移动装置内或以其他方式与移动装置相关联、并且用户拥有该移动装置并且用户正在使能移动装置执行附加功能时)将服务提供商分配给未分配的安全域。相应地,发行者控制的计算服务器可以被配置为用于与几十、几百或甚至几百万个移动装置进行对话,这些移动装置具有加载有在本披露中所讨论的这些类型的未分配的安全域和发行者控制的安全域。
[0153]处理进行至920。
[0154]在914处由服务提供商计算服务器进行的处理之后,处理继续在在移动装置上执行的软件应用内并且在服务提供商计算服务器内继续。
[0155]在918处,服务提供商计算服务器可以生成多个附加安全值(S卩,在图9A的918内的Sec.Val.C和Sec.Val.D),并且可以生成将要被加载到安全模块内的所分配的安全域内的多个具体服务提供商应用和服务提供商数据。服务提供商计算服务器可以用具体的安全值(即,在图9A的918内的Sec.Val.C)来加密这些应用和数据。然后,服务提供商可以进一步用与在移动装置上执行的软件应用共享的安全值来对经加密的数据进行加密,并且经过两次加密的数据被传递至移动装置。
[0156]在920处的移动装置内的处理继续进行来自服务提供商计算服务器、发行者控制的计算服务器或两个计算服务器的信息。
[0157]在920处,当从服务提供商计算服务器处接收到信息时,移动装置用正确的安全值(即,图9A的920中的Sec.Val.A)对该信息进行解密。
[0158]在920处,在移动装置上执行的软件应用使用由发行者控制的计算服务器提供的AID和安全值打开安全模块上的所分配的安全域。还可以将一个或多个附加的安全值加载到安全域内。使用具体的安全值,可以使用在所分配的安全域内所加载的多种功能来对由服务提供商计算服务器提供的这些应用和数据进行解密,并且然后这些应用和数据可以用于该所分配的安全域内。
[0159]在加载之后,可以在所分配的安全域内执行由服务提供商计算服务器所提供的或与服务提供商计算服务器相关联的一个或多个应用。此时,已经将与移动装置相关联的安全模块部署在现场。该安全域已经由发行者控制的计算服务器分配,并且该安全域不再可供用于分配至不同的服务提供商。
[0160]处理回到“A”,其继续进行在910处在移动装置上的软件应用的操作。在这种情况下,由于安全域现在已经被分配和供应,处理前进至“B”,其呈现于图9B中。
[0161]转到图9B,处理开始于“B”,其一直进行到922。
[0162]在922处,在移动装置上执行的软件应用将与用户进行交互。用户可以使用PIN码来访问该应用或该应用内的多个具体特征。用户可以输入信用卡信息(例如,信用卡号、到期日期、与物理信用卡相关联的安全号等)。用户可以输入健康信息、生物识别信息、银行信息或与软件应用和服务提供商相关联的任何类型的信息。
[0163]在移动装置上执行的软件应用可以与执行在924处的处理的服务提供商计算服务器进行通信。另外或替代性地,在移动装置上执行的软件应用可以与执行在926处的处理的发行者控制的计算服务器进行通信。相应地,服务提供商计算服务器和发行者控制的计算服务器可以互相通信。
[0164]在924处,服务提供商计算服务器将与在移动装置上执行的软件应用进行交互。在某些情况下,通信是在服务提供商计算服务器与在移动装置上执行的软件应用的那些高级功能之间进行的。在其他情况下,通信是在服务提供商计算服务器与在安全模块的所分配的安全域内执行的多种功能之间进行的。相应地,在924处的处理包括接收经加密的数据以及以与移动装置相关联的安全值进行的数据解密和以与安全域相关联的安全值进行的数据解密。
[0165]在924处的附加处理包括生成、存储、分析以及在服务提供商计算服务器内对数据进行的其他操作。服务提供商计算服务器可以执行多种密钥轮换功能以维护在移动装置上的软件应用与操作于安全域内的多种功能之间的安全通信。另外,服务提供商计算服务器可以请求安全域内的更多存储器。在这种情况下,服务提供商计算服务器访问发行者控制的计算服务器的多种监管功能以执行请求,并且发行者控制的计算服务器执行或拒绝在926处的处理中的请求。还可以由安全服务提供商计算服务器来请求、删除或以其他方式管理其他特征。
[0166]在926处,发行者控制的计算服务器还被安排为用于:接收经加密的数据、以与服务提供商相关联的安全值对经加密的数据进行解密、对安全域进行改变、以与安全域相关联的安全值对数据进行加密以及或者直接地或者通过服务提供商计算服务器来将该数据发送至安全域。
[0167]在发行者控制的计算服务器内的附加处理可以包括多种密钥轮换程序,并且还可以包括添加、删除或更改与存储器相关联的多个具体特性。进一步的附加处理在存储于安全域内的那些功能中可以包括使能附加特征、加载附加特征、校正附加特征等。在某些情况下,可以在安全状态下删除、加密、锁定或以其他方式管理安全域。
[0168]在某些情况下,可以令人期望地终止操作于移动装置上的软件应用内的处理、月艮务提供商计算服务器内的处理以及替代性地或另外与具体安全模块相关联的发行者控制的计算服务器内的处理。在928处,如果处理将要结束,处理结束于930。替代性地,处理可以进行并且返回至“B”。
[0169]现在考虑本文所描述的架构的一个实现方式。在该架构中,用户佩戴智能训练带。该智能训练带执行多个所期望的特征,如计数步数、测量脉搏、检测运动级别、睡眠质量以及其他功能。在这种