专利名称:用于向移动电话安全地发送应用程序的方法、系统和可信任服务管理器的制作方法
技术领域:
本发明涉及用于从服务提供商经由可信任服务管理器向移动电话发送服务或应
用程序的方法,该移动电话配备有包括多个存储扇区的存储设备,其中,通过扇区密钥来保 护扇区免受未授权访问。 本发明还涉及用于从服务提供商经由可信任服务管理器向移动电话发送服务或 应用程序的系统,该移动电话配备有包括多个存储扇区的存储设备,其中,扇区密钥保护扇 区免受未授权访问。 本发明还涉及可信任服务管理器,适于从服务提供商经由诸如计算机网络之类的 第一通信信道接收请求,该请求包含应用程序以及移动电话的唯一标识符,特别是其电话 号码。 本发明还涉及可直接加载到配备有存储设备的移动电话的存储器中的计算机程 序产品。 本发明还涉及适于处理上一段提到的计算机程序产品的移动电话。
背景技术:
由NXP Semiconductors开发的MIFARE 经典族是工作于13. 56MHz频率
范围的、具有读/写能力的无接触智能卡ic中的先锋和领先者。MIFARE⑧是MP
Semiconductors的商标。MIFARE与在当今所有无接触智能卡中超过80%的智能卡中使用 的IS014443A兼容。该技术体现在卡和卡读取器设备中。MIFARE卡正用在越来越宽范围的 应用程序(包括运输售票、访问控制、电子支付、道路收费以及忠诚应用)中。MIFARE标准 (或经典)卡采用具有用于认证和加密的所有权安全协议的所有权高级协议。MIFARE 技术已变为具有密钥保护存储扇区的存储设备的标准。MIFARE⑧技术的已发布的产品 规范的一个示例是数据单";MIFARE⑧Standard Card IC MF1 IC S50-FunctionalSpec ification"(1998) 。 MIFARE⑧技术还在Klaus Finkenzeller,"RFIDHandbuch",HANSER, 3rd edition(2002)中讨论。 MIFARE经典卡基本上就是存储器设备,其中,存储器被划分成具有用于访问控制 的简单安全机制的扇区和块。每个设备具有唯一的序列号。提供了防冲突,使得可以顺序 地选择和操作现场中的若干卡。 MIFARE标准lk提供了大约768字节的数据存储,被分割成具有各16字节的4个 块(一个块由16字节构成)的16个扇区;每个扇区由两个不同密钥(称为A和B)来保 护。可以针对诸如读、写、增加值块等操作对这768个字节的数据存储进行编程。每个扇区 的最后一块称为"尾部",包含两个秘密密钥(A和B)以及对该扇区中的每个块的可编程访 问条件。为了支持具有密钥等级的多个应用程序,对每个扇区(每个应用程序)提供两个 密钥(A和B)的个体集合。 图1示出了 MIFARE标准lk卡的存储器组织。在具有各16字节的4个块的16个扇区中组织了 1024X8比特EEPROM存储器。第一扇区(扇区0)的第一数据块(块0)是生 产商块。该数据块包含IC生产商数据。由于安全和系统要求,使得在生产时IC生产商已 对该块进行编程后,该块是写保护的。图2详细示出了生产商块。 现在再次参照图l,存储器的所有扇区都包含用于存储数据的16字节的3个块 (除了仅包含两个数据块和只读生产商块的扇区0)。可以通过访问比特将这些数据块配置 为用于例如无接触访问控制的读/写块或用于例如电子钱包应用的值块,其中,提供了用 于直接控制所存储的值的、如递增和递减的附加命令。值块具有固定数据格式,允许检错和 纠错以及备份管理。为了允许另外的命令,在任何存储操作之前都必须执行认证命令。
存储器的每一个扇区还具有其自身的扇区尾部(参见图3),扇区尾部包含在被读 取时返回逻辑"0"的秘密密钥A和B(可选)以及在字节6. . . 9中存储的针对该扇区的四 个块的访问条件。访问比特还指定数据块的类型(读/写或值)。如果不需要密钥B,可以 将块3的最后6个字节用作数据字节。 以标识和选择过程开始MIFARE经典卡的典型交易序列。使用选择卡命令,读取器 选择用于认证和与存储器相关的操作的一个单独卡。在选择了卡之后,读取器指定以下存 储访问的存储位置,并针对以下三关验证流程使用对应的密钥,包括
1、读取器指定要访问的扇区并选择密钥A或B。 2、卡从扇区尾部读取该秘密密钥和访问条件。然后,卡向读取器发送随机数作为 挑战(第一关)。 3、读取器使用该秘密密钥和附加的输入来计算响应。然后,将响应与随机挑战一 起从读取器发送到卡(第二关)。 4、卡通过将读取器的响应与其自身的挑战进行比较来验证读取器的响应,然后, 卡计算并发送对挑战的响应(第三关)。 5、读取器通过将卡的响应与其自身的挑战进行比较来验证卡的响应。
在发送了第一随机挑战后,对卡和读取器之间的通信进行加密。 在验证后,典型地,可以执行以下操作中的任一个读块、写块、递减(对块的内容 进行递减并将结果存储在临时内部数据寄存器中)、递增(对块的内容进行递增并将结果 存储在该数据寄存器中)、恢复(将块的内容移到该数据寄存器中)、转移(将该临时内部 数据寄存器中的内容写到值块)。在任何存储操作之前,认证过程确保仅可能经由针对每一 个块而指定的两个密钥来访问块。 实际上,可针对被寻址的块而执行的存储操作依赖于所使用的密钥和访问条件。
只要知道相关密钥并且当前访问条件允许该操作,就可以改变访问条件。 MIFARE IC典型地连接到具有较少匝数的线圈,然后被嵌入塑料中以形成无源的
无接触智能卡。由于用来自于场的能量向IC供电,因此不需要电池。当将卡位于接近读取
器天线处时,高速RF通信接口允许以106kBit/s发送数据。MIFARE存储设备的典型操作距
离最大达到100mm(依赖于天线几何结构)。典型的售票交易需要小于100ms(包括备份管理)。 为了维持MIFARE的感应式(tap-and-go)操作的速度和便利性,MIFARE应用目录 (MAD)标准定义了针对卡应用目录条目的常用数据结构,从而允许终端识别正确的卡(以 及卡内的正确存储扇区),而无需在卡的所有存储器中执行全面的搜索直到发现适当的应用程序。典型的示例是当某人有对其办公室和公共交通收费进行访问控制的MIFARE卡时。 使用MAD,当持卡人想要进入其办公室时,访问控制终端识别这两个卡,并仅通过检查MAD 便能够非常快地选择正确的一个。MAD标准使用卡存储器的扇区0的块1和块2中注册的 应用程序标识符(AID)来使得能够标识所有注册的卡应用程序(要记住,扇区0中的块O 是生产商块)。然后,终端软件可以使用这些扇区指针而不是物理扇区地址来利用该特征。
智能MX(存储器扩展)是NXP Semiconductors在具有或不具有多个接口选项的 情况下针对需要高度可靠解决方案的高安全性智能卡应用程序已设计的智能卡族。关键应 用程序是电子政务、银行业务/金融、移动通信和先进公共交通。 与由用户操作系统实现的其他无接触传送协议同时运行MIFARE协议的能力根据 基于单个双接口控制器的智能卡上的MIFARE (例如,售票),来实现新服务与现有应用程序 的结合。智能MX卡能够对MIFARE经典设备进行仿真,从而使该接口与任何安装的MIFARE 经典基础设施兼容。无接触接口可以用于经由任何协议(特别是MIFARE协议和自定义的 无接触传送协议)进行通信。智能MX使得可以容易地实现目前技术水平的操作系统以及 包括JC0P(Java卡操作系统)在内的开放平台解决方案,并提供了优化特性集合以及最高 级别的安全性。智能MX结合了多种安全特性,以防范诸如DPA、SPA等旁信道攻击。真正的 防冲突方法(见IS0/IEC 14443-3)使得能够同时处理多个卡。 应当注意,MIFARE经典卡的仿真不仅限于智能MX卡,而是还可以存在其他现在或 将来的智能卡能够仿真MIFARE经典卡。 还应当注意,本发明并不专门限于MIFARE技术,而是还应用于包括多个存储扇区 的其他存储设备,其中,扇区密钥保护扇区免受未授权访问。 在2007年2月,GSM协会(GSMA)发布了概述针对移动NFC (近场通信)服务的开 发中涉及的生态系统方的运营商社区指导的白皮书。基于NFC技术,将移动NFC定义为无 接触服务与移动电话的结合。具有基于硬件的安全标识令牌(UICC)的移动电话可以提供 针对NFC应用的理想环境。UICC可以替代物理卡,从而优化服务提供商的成本并向用户提 供更便利的服务。移动NFC生态系统中涉及各种不同的实体。这些实体定义如下
客户-使用用于移动通信和移动NFC服务的移动设备。客户预订MNO并使用移 动NFC服务。
移动网络运营商(丽O)-向客户提供全部范围的移动服务,特别是提供UICC和 NFC终端外加无线电(OTA)传输服务。
服务提供商(SP)-向客户提供无接触服务(例如,SP是银行、公共交通公司、忠 诚节目拥有者等)。'零售商/销售商-服务相关,如,运营具有NFC能力的销售点(POS)终端。
可信任服务管理器(TSM)-向MNO的客户群安全地分发和管理服务提供商的服 务。.手机、NFC芯片集和UICC生产商-生产移动NFC/通信设备和关联的UICC硬件。
读取器生产商-生产NFC读取器设备。
应用程序开发商_设计和开发移动NFC应用程序。,标准化团体和产业论坛_开发针对NFC的全球标准,实现NFC应用程序和服务的 互操作性、后向兼容性和未来发展。
所述白皮书中的关键发现之一是只要移动NFC生态系统稳定地针对其内的所有 实体提供值,移动NFC就将是成功的;并且通过引入可信任服务管理器的新作用,移动NFC 生态系统是高效的。 可信任服务管理器(TSM)的作用是 针对服务提供商提供单个接触点,以通过MNO来访问其客户群。
代表服务提供商来管理移动NFC应用程序的安全下载和生存周期管理。 TSM不参与服务的交易阶段,从而确保不会干扰服务提供商的现有业务模型。根据
国家的市场需求和状况,TSM可以由一个丽0、丽0社团或独立的可信任第三方来管理。在
一个市场中进行操作的TSM的数目将依赖于国家的市场需求和境况。 本发明适用于以上参考的GSMA白皮书中公开的、具有可信任服务管理器(TSM)的 移动NFC生态系统。特别地,本发明考虑了TSM的具体作用,TSM充当服务提供商的单个 接触点,以通过MNO来访问其客户群并代表服务提供商来管理移动NFC应用程序的安全下 载和生存周期管理。然而,虽然GSMA白皮书在理论上定义了 TSM的作用,但对于实际中成 功的应用来说,仍然有一些障碍和问题要克服。这些障碍之一是服务提供商的普遍的技术 工作流程与该服务提供商的当前业务模型相结合。如果服务提供商要提供应用程序,特别 是MIFARE应用程序(票的发行、访问控制、优惠券的发行等),则服务提供商可能愿意通过 SMS、经由移动网络运营商(丽0)的无线电(OTA)服务向具有NFC能力的移动电话发送该应 用程序,该具有NFC能力的移动电话配备有包括多个密钥保护存储扇区的存储设备,特别 是MIFARE存储器。在NFC移动电话中,必须从SMS中提取该应用程序,并且必须将该应用程 序或者写入(任意的)空闲存储扇区中,或者写入具体分配给该特定应用程序的存储设备 的预定义扇区中。在第一种情况下,缺点是读取器应用程序必须解析/读取存储设备的所 有内容,以发现所需的信息。在第二种情况下,诸如存储设备(特别地,MIFARE卡)的生产 商之类的实体必须事先向SP分派特定的存储扇区,并且SP必须将与应用程序的目的地扇 区有关的附加指令放入其SMS中,这是潜在的安全风险。按照现在作为对存储设备进行控 制的唯一实例的TSM的定义,这个问题已变得甚至更坏。TSM必须不仅如SP所请求的那样 发送应用程序,而且必须增加关键的信息,如,存储设备的目的地扇区地址和扇区密钥。因 此,从安全性的观点来看,使用SMS作为针对TSM的传输协议是冒险的。此外,许多SP不愿 意制止自己向NFC电话发送SMS,这是因为他们是靠这种服务赚钱的。
发明内容
本发明的目的是提供在第一段中定义的那种方法、在第二段中定义的那种系统和 在第三段中定义的那种可信任服务管理器,其中避免了上述缺点。 为了实现上述目的,对于根据本发明的方法,提供了一些特征,以使得根据本发明 的方法的特征可以以下方式描述 —种用于从服务提供商经由可信任服务管理器向移动电话发送服务或应用程序 的方法,所述移动电话配备有包括多个存储扇区在内的存储设备,其中,扇区密钥保护扇区 免受未授权访问,其中,所述方法包括 在所述服务提供商处,经由第一通信信道,向所述可信任服务管理器发送包含所 述应用程序以及所述移动电话的唯一标识符的请求,特别地,所述移动电话的唯一标识符是其电话号码; 在所述可信任服务管理器处,从接收到的请求提取所述应用程序和所述移动电话 的唯一标识符;向所述应用程序分配所述存储设备的至少一个目的地扇区和关联的扇区密 钥;将所述应用程序、所述目的地扇区的扇区密钥和扇区号编译到设置消息中;对所述设 置消息进行加密;以及经由第二通信信道向所述移动电话发送所述设置消息,优选地,所述 第二通信信道是移动网络运营商的无线电服务。 为了实现上述目的,对于根据本发明的方法,提供了一些特征,以使得根据本发明 的方法的特征可以以如下方式描述 —种用于从服务提供商经由可信任服务管理器向移动电话发送服务或应用程序 的方法,所述移动电话配备有包括多个存储扇区在内的存储设备,其中,扇区密钥保护扇区 免受未授权访问,其中,所述方法包括 在所述服务提供商处,经由第一通信信道,向所述可信任服务管理器发送包含所 述应用程序以及所述移动电话的唯一标识符的请求,特别地,所述移动电话的唯一标识符 是其电话号码; 在所述可信任服务管理器处,从接收到的请求提取所述应用程序和所述移动电话 的唯一标识符;向所述应用程序分配所述存储设备的至少一个目的地扇区和关联的扇区密 钥;将所述应用程序、所述目的地扇区的扇区密钥和扇区号编译到设置消息中;对所述设 置消息进行加密;以及经由所述第一通信信道向所述服务提供商发送所述设置消息;
在所述服务提供商处,经由第二通信信道向所述移动电话发送所述设置消息,优 选地,所述第二通信信道是移动网络运营商的无线电服务。
优选地,所述存储设备被配置为MIFARE设备。 为了实现上述目的,对于根据本发明的可信任服务管理器,提供了一些特征,以使 得根据本发明的可信任服务管理器的特征可以以如下方式描述 —种可信任服务管理器,适于经由诸如计算机网络之类的第一通信信道,从服务 提供商接收包含应用程序和移动电话的唯一标识符的请求,特别地,所述移动电话的唯一 标识符是其电话号码,其中,所述移动电话配备有包括多个存储扇区在内的存储设备,其 中,扇区密钥保护扇区免受未授权访问;从接收到的请求提取所述应用程序和所述移动电 话的唯一标识符;向所述应用程序分配所述存储设备的至少一个目的地扇区和关联的扇区 密钥;将所述应用程序、所述目的地扇区的扇区密钥和扇区号编译到设置消息中;对所述 设置消息进行加密;以及经由第二通信信道向所述移动电话发送所述设置消息,或者经由 所述第一通信信道向所述服务提供商发送所述设置消息,优选地,所述第二通信信道是诸 如移动网络运营商的SMS之类的无线电服务。 为了实现上述目的,对于根据本发明的计算机程序产品,提供了 一些特征,以使得 根据本发明的计算机程序产品的特征可以以如下方式描述 —种计算机程序产品,能够直接加载到移动电话的存储器中,所述移动电话配备 有包括多个存储扇区在内的存储设备,其中,扇区密钥保护扇区免受未授权访问,其中,所 述计算机程序产品包括当运行于所述移动电话上时用于执行以下步骤的软件代码部分对 设置消息进行解密;从所述设置消息提取应用程序、所述存储设备的至少一个目的地扇区、 以及关联的扇区密钥;以及通过使用所提取的扇区密钥,将所述应用程序存储在所述存储设备(MIF)的目的地扇区中。 为了实现上述目的,根据本发明的移动电话包括算术逻辑单元和存储器,并处理 根据上段所述的计算机程序产品。 根据本发明的特征提供了以下的优点以安全的方式执行对存储设备的设置,特 别是MIFARE设置,从而防止黑客得到与用户的移动电话中的存储设备有关的信息,特别是 扇区密钥。另一优点是服务提供商也不会得到与同用户的移动电话中的存储设备有关的 敏感信息有关的信息。 根据权利要求3、权利要求4或权利要求5所述的手段分别提供了以下优点其依 赖于良好定义的高度可接入网络基础设施和服务。 根据权利要求6所述的手段提供了以下优点甚至可以使用与可信任服务管理器 可靠地协作且对安装诸如MIFARE应用程序之类的应用程序的所有任务进行管理的软件, 来更新现有移动电话。 通过以下要描述的示例实施例,本发明的的上述方面和其他方面是显而易见的, 并且,参考这些示例实施例来解释这些方面。
以下将参考示例实施例来对本发明进行更详细的描述。然而,本发明不限于此。 图1示出了 MIFARE标准lk EEPR0M的存储器组织。 图2示出了 MIFARE存储器的生产商块。 图3示出了 MIFARE存储器的扇区的扇区尾部。 图4示出了本发明的第一实施例的流程图。 图5示出了本发明的第二实施例的流程图。
具体实施例方式
图4示出了本发明的第一实施例的流程图。在该实施例中,只有可信任服务管理 器TSM与配备有MIFARE存储设备的NFC移动电话进行通信,MIFARE存储设备作为包括多个 密钥保护存储扇区的存储设备的优选示例。应当注意,术语"MIFARE存储设备"不仅包括经 典MIFARE存储卡,而且包括对MIFARE协议进行仿真的其他智能卡,如智能MX卡。本发明 的本实施例的描述基于以下场景服务提供商SP(如,银行、公共交通公司、票提供商等)想 要在包括存储设备MIF且具有NFC能力的移动电话MOB的存储设备MIF中安装新的MIFARE 服务或应用程序MIA(票、访问控制、优惠券等)。存储设备MIF例如是如图l所示的MIFARE 标准lk存储卡或者是仿真卡。为了转发MIFARE应用程序MIA, SP经由例如被配置为计算 机网络(如,互联网)的第一通信信道CN,向可信任服务管理器TSM发送包含MIFARE应用 程序MIA和移动电话的唯一标识符(特别地,其电话号码)的请求REQ(MIA)。在本示例中, SP和TSM之间的优选数据传送协议是HTTPS。例如,当用户经由服务提供商的网站来订票 并将电话号码输入到表格中时,服务提供商已经直接从电话用户得到移动电话的唯一标识 符。 当TSM从SP接收到请求REQ (MIA)时,TSM提取出MIFARE应用程序MIA和移动电 话的电话号码,并在其自身的判断下分配一个或多个目的地扇区以及存储设备MIF的关联扇区密钥(密钥A或B,参见图1)。接下来,TSM将MIFARE应用程序MIA、目的扇区的扇区密 钥和扇区号编译到设置消息SU(MIA)中,在下面的步骤中,TSM根据适当的加密过程来对设 置消息SU(MIA)进行加密。例如,可以采用诸如使用公共密钥K1的RSA之类的非对称加密 过程。 一旦已经产生加密后的设置消息SU(MIA), TSM就通过第二通信信道(特别地,移动 网络运营商丽0的无线电服务OTA)向移动电话MOB发送该设置消息SU (MIA)。目前,优选 的OTA服务是SMS。在移动电话MOB中有正在运行的TSM客户端软件应用程序,该TSM客户 端软件应用程序被设计为通过对接收到的加密设置消息SU(MIA)进行解密(如,通过使用 私有密钥K2)来从中提取所有数据,并通过使用所提取的扇区密钥,将所提取的MIFARE应 用程序MIA写入存储设备MIF的所分配的目的地扇区中。TSM客户端软件应用程序TSM-CL 将被安装为移动电话MOB中的独立应用程序,并且TSM-CL可以包含解密密钥K2。备选地, 将经由SMS等来将解密密钥K2单独安装在移动电话MOB中。 应当注意,根据本发明,通过将数据库保持为具有所安装的应用程序及其在存储 设备存储器中的目的地扇区以及适当的扇区密钥,TSM在任何时间都具有对存储设备MIF 的内容和存储分配的完全控制。由于进行了加密,使得使用SMS不再是安全风险。
在本发明的第一实施例中,服务提供商SP与移动电话没有任何通信。然而,存在 以下应用和情况SP更喜欢自己向移动电话发送消息,而不是必须依赖于TSM。在第二实施 例中,本发明在不脱离以下规则的情况下提供了针对这种需求的解决方案为了将安全性 保持为高,仅TSM应知道移动电话MOB中的存储设备MIF的内部存储分配和密钥。
图2的流程图中描述了本发明的该第二实施例。这里,再一次,情景是服务提供商 SP要在具有NFC能力的移动电话MOB中并入的存储设备MIF中安装新的MIFARE应用程序 MIA(票、访问控制、优惠券等)。SP经由例如被配置为计算机网络(如,互联网)的第一通 信信道CN,向可信任服务管理器TSM发送包含MIFARE应用程序MIA和移动电话的唯一标 识符(特别地,其电话号码)的请求REQ(MIA)。 SP和TSM之间的当前优选数据传送协议是 HTTPS。 当TSM从SP接收到请求REQ (MIA)时,TSM提取出MIFARE应用程序MIA和移动电 话的电话号码,并在其自身的判断下分配一个或多个目的地扇区以及存储设备MIF的关联 扇区密钥(密钥A或B,参见图1),将MIFARE应用程序MIA、目的地扇区的扇区密钥和扇区 号编译到设置消息SU(MIA)中,并根据适当的加密过程(如,采用使用公共密钥K1的RSA 加密例程)来对该设置消息SU(MIA)进行加密。在已经产生加密后的设置消息SU(MIA) 后,TSM经由第一通信信道CN将其发送回到SP。 SP接到该加密后的设置消息SU(MIA),并 经由第二通信信道(特别地,移动网络运营商MNO的无线电服务OTA)将其转发给移动电话 MOB。优选地,SP将加密后的设置消息SU(MIA)打包到用作OTA服务的SMS中。在移动电 话MOB中,TSM客户端软件应用程序通过对接收到的加密设置消息SU(MIA)进行解密(如, 通过使用私有密钥K2)来从中提取所有数据,并通过使用所提取的扇区密钥,将所提取的 MIFARE应用程序MIA写入存储设备MIF的所分配的目的地扇区中。TSM客户端软件应用程 序TSM-CL可被安装为移动电话MOB中的独立应用程序,并可以包含解密密钥K2。备选地, 将经由SMS等来将解密密钥K2单独安装在移动电话MOB中。因此,SP仍然有可能向移动 电话MOB发送SMS。然而,SP不具有与诸如在移动电话MOB中并入的存储设备MIF的目的 地扇区和扇区密钥之类的关键数据有关的信息。此外,由于TSM对所述数据进行了加密,因
10而本身不安全的传输协议SMS已经得到加强,以使得该协议提供非常高的安全等级。
应当注意,以上提到的实施例示意而非限制本发明,本领域技术人员将能够在不 脱离所附权利要求的保护范围的情况下设计出许多备选实施例。在权利要求中,括号间的 附图标记不应被理解为对权利要求进行限制。词语"包括"并不排除存在除了在权利要求 中列出的元件或步骤之外的元件或步骤。元件之前的不定冠词"一"或"一个"并不排除存 在多个这样的元件。在列举若干装置的设备权利要求中,这些装置中的若干个可以由同一 项硬件来体现。在互不相同的从属权利要求中记载特定手段的起码事实并不意味着这些手 段的组合不能用来取得有益效果。
权利要求
一种用于从服务提供商(SP)经由可信任服务管理器(TSM)向移动电话(MOB)发送服务或应用程序(MIA)的方法,所述移动电话(MOB)配备有包括多个存储扇区在内的存储设备(MIF),其中,扇区密钥保护扇区免受未授权访问,其中,所述方法包括在所述服务提供商(SP)处,经由第一通信信道(CN),向所述可信任服务管理器(TSM)发送包含所述应用程序(MIA)以及所述移动电话(MOB)的唯一标识符的请求(REQ(MIA)),特别地,所述移动电话(MOB)的唯一标识符是其电话号码;在所述可信任服务管理器(TSM)处,从接收到的请求(REQ(MIA))中提取所述应用程序(MIA)和所述移动电话(MOB)的唯一标识符;向所述应用程序(MIA)分配所述存储设备(MIF)的至少一个目的地扇区和关联的扇区密钥;将所述应用程序(MIA)、所述目的地扇区的扇区密钥和扇区号编译到设置消息(SU(MIA))中;对所述设置消息进行加密;以及经由第二通信信道向所述移动电话(MOB)发送所述设置消息(SU(MIA)),优选地,所述第二通信信道是移动网络运营商(MNO)的无线电服务(OTA)。
2. —种用于从服务提供商(SP)经由可信任服务管理器(TSM)向移动电话(MOB)发送 服务或应用程序(MIA)的方法,所述移动电话(MOB)配备有包括多个存储扇区在内的存储 设备(MIF),其中,扇区密钥保护扇区免受未授权访问,其中,所述方法包括在所述服务提供商(SP)处,经由第一通信信道(CN),向所述可信任服务管理器(TSM) 发送包含所述应用程序(MIA)以及所述移动电话(MOB)的唯一标识符的请求(REQ(MIA)), 特别地,所述移动电话(MOB)的唯一标识符是其电话号码;在所述可信任服务管理器(TSM)处,从接收到的请求(REQ(MIA))中提取所述应用程 序(MIA)和所述移动电话(MOB)的唯一标识符;向所述应用程序(MIA)分配所述存储设备 (MIF)的至少一个目的地扇区和关联的扇区密钥;将所述应用程序(MIA)、所述目的地扇区 的扇区密钥和扇区号编译到设置消息(SU(MIA))中;对所述设置消息进行加密;以及经由 所述第一通信信道(CN)向所述服务提供商(SP)发送所述设置消息(SU(MIA));在所述服务提供商(SP)处,经由第二通信信道向所述移动电话(MOB)发送所述设置消 息(SU(MIA)),优选地,所述第二通信信道是移动网络运营商(MNO)的无线电服务(OTA)。
3. 根据权利要求1或2所述的方法,其中,所述第一通信网络(CN)是计算机网络,例如 互联网。
4. 根据权利要求3所述的方法,其中,所述第一通信信道(CN)中使用的数据传送协议 是HTTPS。
5. 根据权利要求1或2所述的方法,其中,经由所述第二通信信道发送所述设置消息 (SU(MIA))的服务是短消息服务(SMS)。
6. 根据权利要求1或2所述的方法,其中,在所述移动电话(MOB)中,所述应用程 序(MIA)、所述存储设备(MIF)的目的地扇区、以及所述扇区密钥是从接收到的设置消息 (SU(MIA))中解密并提取的,并且,通过使用所提取的扇区密钥,所述应用程序(MIA)存储 在所述存储设备(MIF)的目的地扇区中。
7. 根据权利要求1或2所述的方法,其中,所述存储设备(MIF)是MIFARE设备。
8. —种用于从服务提供商(SP)经由可信任服务管理器(TSM)向移动电话(MOB)发送 服务或应用程序(MIA)的系统,所述移动电话(MOB)配备有包括多个存储扇区在内的存储 设备(MIF),其中,扇区密钥保护扇区免受未授权访问,其中,所述服务提供商(SP)、所述可信任服务管理器(TSM)和所述移动电话(MOB)包括计算单元;以及软件代码部分,用于执 行根据权利要求1至7中任一项所述的方法的步骤。
9. 根据权利要求8所述的系统,其中,所述存储设备(MIF)是MIFARE设备。
10. —种可信任服务管理器(TSM),适于经由诸如计算机网络之类的第一通信信道, 从服务提供商(SP)接收包含应用程序(MIA)和移动电话(MOB)的唯一标识符的请求 (REQ(MIA)),特别地,所述移动电话(MOB)的唯一标识符是其电话号码,其中,所述移动电 话(MOB)配备有包括多个存储扇区在内的存储设备(MIF),其中,扇区密钥保护扇区免受 未授权访问;可信任服务管理器(TSM)从接收到的请求(REQ(MIA))中提取所述应用程序 (MIA)和所述移动电话(MOB)的唯一标识符;向所述应用程序(MIA)分配所述存储设备 (MIF)的至少一个目的地扇区和关联的扇区密钥;将所述应用程序(MIA)、所述目的地扇区 的扇区密钥和扇区号编译到设置消息(SU(MIA))中;对所述设置消息进行加密;以及经由 第二通信信道向所述移动电话发送所述设置消息(SU(MIA)),或者经由所述第一通信信道 (CN)向所述服务提供商发送所述设置消息(SU(MIA)),优选地,所述第二通信信道是诸如 移动网络运营商(丽O)的SMS之类的无线电服务(OTA)。
11. 一种计算机程序产品,能够直接加载到移动电话(MOB)的存储器中,所述移动电话 (MOB)配备有包括多个存储扇区在内的存储设备(MIF),其中,扇区密钥保护扇区免受未授 权访问,其中,所述计算机程序产品包括当运行于所述移动电话上时用于执行以下步骤的 软件代码部分对设置消息(SU(MIA))进行解密;从所述设置消息(SU(MIA))中提取应用 程序(MIA)、所述存储设备(MIF)的至少一个目的地扇区、以及关联的扇区密钥;以及通过 使用所提取的扇区密钥,将所述应用程序(MIA)存储在所述存储设备(MIF)的目的地扇区 中。
12. 根据权利要求11所述的计算机程序产品,其中,所述计算机程序产品存储在计算 机可读介质上,或能够经由通信网络从远程服务器下载。
13. —种移动电话,具有算术逻辑单元和/或中央处理单元以及存储器,其中,所述移 动电话适于处理根据权利要求9所述的计算机程序产品。
14. 根据权利要求13所述的移动电话,其中,所述存储设备(MIF)是MIFARE设备。
全文摘要
可信任服务管理器(TSM)经由第一通信信道从服务提供商(SP)接收包含应用程序(MIA)以及移动电话(MOB)的唯一标识符的请求(REQ(MIA)),特别地,移动电话(MOB)的唯一标识符是其电话号码。移动电话(MOB)配备有包括被扇区密钥保护的多个存储扇区在内的存储设备(MIF)。优选地,存储设备(MIF)是MIFARE设备。TSM从接收到的请求提取应用程序(MIA)和唯一的标识符,分配存储设备(MIF)的目的地扇区和关联扇区密钥,将应用程序(MIA)、目的地扇区的扇区密钥和扇区号编译到设置消息(SU(MIA))中,对设置消息进行加密,并经由第二通信信道向移动电话发送该设置消息(SU(MIA))或者经由第一通信信道(CN)向服务提供商发送该设置消息(SU(MIA))。如果向服务提供商发送设置消息(SU(MIA)),则服务提供商通过第二通信信道向移动电话发送该设置消息(SU(MIA))。
文档编号G07F7/10GK101755291SQ200880100160
公开日2010年6月23日 申请日期2008年7月21日 优先权日2007年7月24日
发明者亚历山大·科尔达 申请人:Nxp股份有限公司