程序已被个性化),则 正常操作系统可卸下小程序的注册表项中的〇n_board_perso标识。 阳106] 安装更新或新版本小程序可在叩date-applets application-p;rotoco;L-data-unit命令的上下文内发生。如果错误由安全元件报告,则电 子设备可发送另一个update-appletsapplication-protoco^L-data-unit命令。 阳107] 注意,安全元件中的正常操作系统可实施如下原则:在操作系统更新发生之后仅 有一个成功的 update-applets application-protoco^L-data-unit 命令能处理。然而,电 子设备可发送多个update-appletS appIication-p;rotoc〇]_-data-unit命令直到电子设备 从发行人安全域接收了完成响应。 阳10引在所有小程序实例或版本被创建和重新个性化之后,安全元件中的正常操作系统 可从包的注册表项中卸下〇n_board-load标识,并且可清除第二AID字段。
[0109] 在方法600期间,电子设备110内的通信如图7所示。具体地,安全区域处理 器220 (并且更一般地,图2中的处理子系统210)可向安全元件230中的发行人安全域 (ISD) 510提供更新命令。运作为导入命令转发至更新或新版本小程序(NVA),该更新或新 版本小程序从操作系统232请求全局服务的补充安全域。在接收信息规定(SSD) 514之后, NVA 710从操作系统232请求注册表项对象或指针。
[0110] 然后,NVA 710确认该信息规定与SSD 514相关联,该SSD 514继而与操作系统 232确认该关联。接下来,SSD 514向NVA 710提供对数据存储的处理。作为响应,NVA 710 导入来自SSD 514的用户数据,并且向ISD510指示该导入已完成,ISD 510继而通知安全 区域处理器220。
[0111] 如前所述,包的注册表项可在更新技术期间更新。运如图8所述,图8示出了具有 包AID的信用卡包的注册表项W及更新前后的信用卡支付小程序的=个相关联的实例。
[0112] 通过运些方式,更新技术可促进安全和可扩展的传播、安装W及使先前安装在电 子设备上的一个或多个小程序的更新个性化。
[0113] 注意,图5和7所述的操作可包括怀疑和响应操作,为了清晰起见,运些怀疑和响 应操作并未示出。
[0114] 在方法300(图3)、方法400(图4)、方法600(图6)的一些实施例中,可存在附加 的或更少的操作。此外,操作顺利可改变,和/或两个或更多个操作可合并为单个操作。例 如,方法300 (图3)方法400 (图4)、和/或方法600 (图6)中的操作可由电子设备中的不 同处理器诸如安全区域处理器执行。
[0115] 在另一个示例性实施例中,更新技术设及=阶段过程。在第一阶段期间,选择发行 人安全域。然后,将所谓的"预检脚本"从服务器发送至电子设备。运如图9所示,图9呈现 了用于示出方法600 (图6)中的预检脚本900的图示。具体地,预检脚本900包括一个或多 个包。每个包包括具有指示迁移候选的一个或多个包AID的包AID列表、上载至安全元件 的新包AID、W及具有一个或多个小程序AID的小程序AID的列表。运些包AID将被更新至 新包AID,并且与小程序AID相关联的数据需要被迁移。预检脚本900也包括计数器值,该 计数器值在预检脚本900在指定的电子设备上运行一次W防止重放攻击之后增加。此外, 预检脚本900可使用加密密钥进行签名。
[0116] 当预检脚本900由安全元件中的操作系统执行时,注册表中的给定小程序(由小 程序AID中的一个小程序AID规定的)的表项被找到并且转移至临时或第二注册表。然后, 该小程序使用Java CardexportDataO和/或expo;rtObject 0方法(或命令)。如果该小 程序被个性化,则exportData 0和/或expo;rt0b ject 0将相关联的数据和/或加密密钥W 及引脚转移至所选择的安全域。具体地,exportDataO转移数据,并且expo;rtObject〇转 移加密密钥和引脚。接下来,执行返回命令。另选地,如果该小程序没有被个性化,则执行 返回命令而不用使用expcxr证ataO和/或expcxrt化jectO方法或命令来调用该小程序。
[0117] 此外,删除该小程序。具体地,小程序使用化vaCar化ninstall0方法进行调用, 在小程序层级处执行清除,并且执行返回命令。另外地,安全元件中的操作系统删除该小程 序,并且执行垃圾收集操作W收回先前与该小程序相关联的存储器。
[0118] 在第二阶段期间,高端引导加载器(诸如图2中的更新操作系统234)用于替代一 个或多个规定的包W及如前所述挂起标识。
[0119] 此外,在第=阶段期间,所谓的后检脚本,除了单个应用程序协议数据单元命令诸 如导入W外皆为空,其由安全元件中的操作系统来执行。作为响应,安全元件中的操作系统 解析第二注册表。对于给定的小程序,运可设及安全元件中的操作系统:创建包括第二注册 表的复本的给定小程序的实例,;使用install 0方法来调用该小程序;使用impodO方法 来调用该小程序,impcxrtO方法调用importDataO和/或import化jectO方法;执行清 理;W及执行垃圾收集操作W收回相关联的存储器。
[0120] 注意,使用更新技术安装的新版本小程序可具有新AID,或取决于使用情况,可任 选地保留与W前版本小程序相同的AID。 阳121] 虽然前面实施例使用更新或迁移个性化小程序(例如:一个具有关联数据的小程 序)作为一个示例性实例,但在其他实施例中,更新技术可用于更新非个性化小程序(例 如:一个不具有相关联的数据的小程序),诸如在工厂生产或配置电子设备期间。
[0122] 现在进一步描述在电子设备中的安全元件上创建或安装小程序的实施例。图10 呈现了在电子设备(诸如:图1中的电子设备110)上安装小程序的方法1000的流程图,该 方法可由电子设备中的安全元件中的处理器执行。例如,该处理器可执行程序模块,该程序 模块包括方法1000中的操作的指令。在操作期间,该处理器从安装设备接收具有数字签名 的安装包(操作1010),其中安装包包括待安装在安全元件上的小程序。
[0123] 然后,处理器使用与安全元件供应商相关联的加密密钥来验证数字签名(操作 1012)。具体地,该数字签名可与供应商的私有加密密钥相关联,并且安全元件可使用供应 商的公共加密密钥来验证数字签名。然而,在其他实施例中,使用对称加密密钥。如此,在 运些实施例中,数字签名可与供应商的加密密钥相关联,并且安全元件可使用供应商的加 密密钥来验证数字签名。注意,安装包可包括多个小程序,并且单个加密操作可用于验证多 个小程序的数字签名。
[0124] 在一些实施例中,安全元件任选地使用可与供应商相关联的第二加密密钥来解密 安装包(操作1014)。此第二加密密钥可与该加密密钥相同或不同。
[0125] 接下来,处理器任选地导出与安装在安全元件上的另一个小程序相关联的用户数 据(操作1016)。 阳126] 此外,处理器安装该小程序(操作1018),并且任选地使用该用户数据来使该小程 序个性化(操作1022)。
[0127] 在一些实施例中,applet-migration过程被修改W便该过程可任选地用于(在安 全元件上)创建具有相关联的证书的一个或多个安全域(操作1020)。具体地,为了防止恶 意代码安装在安全元件上,安装包中的文件(有时称为"转换的小程序文件"或CAP文件) 可使用一个或多个证书诸如电子设备供应商的和/或提供电子设备中的部件(诸如安全元 件)的供应商的私钥来进行数字签名。注意,CAP文件可为对象,从该对象中可实例化或安 装安全元件中的对象的其他实例。
[0128] 然而,为了检验或验证该CAP文件,安全元件可需要访问一个或多个对应公钥。如 果电子设备的多个实例试图经由互联网或网络来访问服务器上的公钥,可存在时延(因为 服务器是一个具有有限资源的潜在瓶颈)和/或附加操作(诸如对安全元件中的发行人安 全域的认证操作)。
[0129] 相反地,通过修改前述的S阶段小程序迁移过程中的后检操作,可在安全元件上 创建一个或多个安全域,该一个或多个安全域可插入相关联的证书(诸如一个或多个公 钥)。例如,应用程序协议数据单元命令可创建一个或多个安全域(诸如检验权限安全域) 和/或可安装相关联的证书。然后,当接收到该CAP文件时,安全元件可验证该CAP文件 而不用访问服务器或执行附加认证。具体地,该一个或多个安全域可启用电子设备上的所 谓的强制专用访问权限值AP)。具体地,使用该证书,安全元件可确认加载至安全元件上的 CAP文件上的一个或多个签名(诸如加载块上的一个或多个签名)。因此,如果CAP文件使 用二个私钥签字,则安全元件可能能够执行两个步骤的验证。
[0130] 虽然前面的讨论示出了具有公钥的操作1020,但在其他实施例中,可使用对称加 密密钥加密。因此,一个或多个安全域中的证书可包括对称加密信息、非对称加密信息、和 /或安全散列函数信息。 阳131] 注意,方法1000中的一个或多个操作可由被安全元件中的处理器执行的安装操 作系统执行,并且安装操作系统可与被处理器执行的执行安全元件的其他功能的正常操作 系统分开。(另选地,方法1000中的一个或多个操作可由正常操作系统或由程序模块执行, 该程序模块在与正常操作系统相关联的环境中执行。)此方法先前是针对图4和6中的更 新技术示出的,并且在安装技术中可使用类似的方法。 阳132]在方法1000期间,电子设备110内的通信如图11所示。具体地,安装设备1110 可向接口电路1114提供安装包1112 (具有小程序和数字签名),该接口电路1114可将安装 包1112转发至安全区域处理器220。然后,安全区域处理器220 (并且更一般地,图2中的 处理子系统210)可向安全元件230提供安装包1112。
[0133] 接下来,安全元件230使用与安全元件230的供应商相关联的加密密钥来验证 (1116)数字签名(操作1012)。此外,安全元件230任选地使用可与供应商相关联的第二 加密密钥来解密(1118)安装包1112。该第二加密密钥可与该加密密钥相同或不同。
[0134] 此外,安全元件230任选地导出(1120)与安装在安全元件230上的另一个小程序 相关联的用户数据。
[0135] 另外地,安全元件230安装(1122)小程序,并且任选地使用用户数据来使小程序 个性化。如前所述,安装1122可任选地包括创建一个或多个安全域,该安全域具有能用于 验证CAP文件中的加载块的相关联的证书。
[0136] 通过运些方式,安装技术可促进安全和可扩展的传播