分案說明

本申請屬于申請日為2013年04月05日的中國發(fā)明專利申請201380000817.2的分案申請。

相關(guān)申請

本申請要求2012年7月11日提交的、第13/547,029號且題為“移動設(shè)備上個人和服務(wù)提供商的信息的安全重置”的美國申請的優(yōu)先權(quán)，其要求2012年4月6日提交的、第61/621,081號且題為“移動設(shè)備上個人和服務(wù)提供商的信息的安全重置”的美國臨時專利申請的優(yōu)先權(quán)。上述確定的優(yōu)先權(quán)申請的全部內(nèi)容在此通過引用全部并入本文。

本公開涉及用于使移動設(shè)備用戶能夠重置或清除與移動通信設(shè)備相關(guān)聯(lián)的安全元件的內(nèi)容的系統(tǒng)和方法。

背景

當(dāng)前的近場通信(“nfc”)生態(tài)系統(tǒng)依賴于通常稱為“安全元件”的一塊硬件，其安裝在通信設(shè)備上為金融交易、交通售票、物理安全訪問和其它功能提供安全操作環(huán)境。安全元件通常包括具有防篡改微處理器、存儲器和操作系統(tǒng)的其自己的操作環(huán)境。除了別的之外，可信的服務(wù)管理器(tsm)安裝、預(yù)備和個性化安全元件。安全元件具有通常在制造時安裝的一個或多個密鑰。相應(yīng)的密鑰由tsm共享，使得tsm能夠建立至安全元件的密碼安全信道，用于安全元件的安裝、預(yù)備和個性化，同時具有安全元件的設(shè)備為終端用戶所有。這樣，安全元件可以保持安全，即使設(shè)備中的主機(jī)cpu已被泄密。

當(dāng)前的nfc系統(tǒng)的問題是，安全元件和tsm之間存在緊密結(jié)合。對于當(dāng)前的部署，僅有一個tsm有權(quán)訪問特定安全元件的密鑰。因此，終端用戶可以選擇僅由一個tsm提供的預(yù)備安全元件特征。設(shè)備的制造商通常會選擇該tsm。例如，智能電話制造商可在來自購買智能電話的移動網(wǎng)絡(luò)運營商(“mno”)諸如sprint或verizon而不是終端用戶的引導(dǎo)下來選擇用于智能電話的tsm。因此，終端用戶可用的tsm特征也許不是終端用戶的興趣所在。例如，mno可只與一個支付提供商諸如美國的mastercard或者bankofamerica具有商業(yè)關(guān)系。該tsm可允許安全元件預(yù)備有只來自一個支付提供商的支付指令。因此，終端用戶將不能訪問來自其它支付提供商諸如visa的服務(wù)。

除了不能夠改變到安全元件中的密鑰的tsm配對，終端用戶不能從安全元件清除他們的私人數(shù)據(jù)和密鑰。當(dāng)銷售、轉(zhuǎn)讓、返還或交換設(shè)備時，這可是期望的。終端用戶可能希望將他們的有關(guān)隱私和安全的信息移除，以及準(zhǔn)備該設(shè)備以允許新的用戶選擇他們自己的安全服務(wù)在該設(shè)備上運行。

發(fā)明概述

在本文描述的某些示例性實施方案中，方法和系統(tǒng)可以支持移動設(shè)備諸如移動電話的終端用戶重置與通信設(shè)備相關(guān)聯(lián)的安全元件。重置過程可包括清除任何用戶特定的安全元件、關(guān)聯(lián)的存儲器和存儲設(shè)備或與用戶相關(guān)聯(lián)的個人信息。重置過程還可包括在安全元件內(nèi)移除或重置使移動設(shè)備與特定安全服務(wù)提供商相關(guān)聯(lián)的密鑰或者其它識別符。

根據(jù)各種實施方案，用于在網(wǎng)絡(luò)設(shè)備內(nèi)重置安全元件的計算機(jī)實現(xiàn)的方法可包括在安全元件處接收加密的重置請求消息、使用通信密鑰解密所述加密的重置請求消息、驗證用于所述重置請求消息的授權(quán)和利用原子能地清除與所述安全元件相關(guān)聯(lián)的參數(shù)。

在考慮到包括執(zhí)行本發(fā)明的目前認(rèn)為的最佳模式的所示示例性實施方案的下列詳細(xì)描述時，示例性實施方案的這些和其它方面、目的、特征和優(yōu)點對于本領(lǐng)域中具有普通技術(shù)的那些人員來說將變得明顯。

附圖簡述

圖1描繪了根據(jù)某些示例性實施方案的近場通信(“nfc”)系統(tǒng)。

圖2是根據(jù)某些示例性實施方案的描繪用于改變圖1的nfc系統(tǒng)中的安全服務(wù)提供商的方法的方框流程圖。

圖3描繪了根據(jù)某些示例性實施方案的另一個nfc系統(tǒng)。

圖4是根據(jù)某些示例性實施方案的描繪用于改變圖3的nfc系統(tǒng)中的安全服務(wù)提供商的方法的方框流程圖。

圖5描繪了根據(jù)某些示例性實施方案的用于安全終端用戶設(shè)備的操作環(huán)境。

圖6描繪了根據(jù)某些示例性實施方案的來自終端用戶設(shè)備的安全元件。

圖7是根據(jù)某些示例性實施方案的描繪用于制造安全元件的方法的方框流程圖。

圖8是根據(jù)某些示例性實施方案的描繪用于重置安全元件的方法的方框流程圖。

示例性實施方案的詳細(xì)描述

綜述

本文描述的方法和系統(tǒng)使移動設(shè)備諸如移動電話的終端用戶能夠重置與通信設(shè)備相關(guān)聯(lián)的安全元件。重置過程可包括清除任何用戶特定的安全元件、關(guān)聯(lián)的存儲器和存儲設(shè)備或與用戶相關(guān)聯(lián)的個人信息。重置過程還可包括在安全元件內(nèi)移除或重置使移動設(shè)備與特定安全服務(wù)提供商相關(guān)聯(lián)的密鑰或者其它識別符。在各種實施方案中，重置機(jī)構(gòu)可被提供以支持從安全設(shè)備安全地擦除或重置現(xiàn)有數(shù)據(jù)。該機(jī)構(gòu)可包括安全識別技術(shù)以驗證合適的機(jī)構(gòu)來重置設(shè)備。此類方法可用于使設(shè)備停留在清除狀態(tài)或安裝新密鑰、新身份或新的提供商聯(lián)盟。

本文描述的安全地重置或清除與通信設(shè)備相關(guān)聯(lián)的安全元件的技術(shù)可以支持通信設(shè)備諸如移動電話的終端用戶選擇或改變安全服務(wù)提供商以與通信設(shè)備上存儲的安全元件一起使用。在一個實施方案中，系統(tǒng)包括密鑰托管服務(wù)，其管理用于一個或多個用戶和一個或多個安全服務(wù)提供商的密碼密鑰。通常，安全元件和用于安全元件的一個或多個密碼密鑰在制造通信設(shè)備時被安裝在每個用戶通信設(shè)備上。這些密鑰或相應(yīng)的密鑰被提供給密鑰托管服務(wù)。每個用戶設(shè)備還包括服務(wù)提供商選擇器(“sps”)模塊或軟件應(yīng)用，其使用戶能夠從可用安全服務(wù)提供商選擇。響應(yīng)于用戶選擇，sps經(jīng)由安全信道傳輸識別所選擇的服務(wù)提供商的信息到密鑰托管服務(wù)。密鑰托管服務(wù)向所選擇的安全服務(wù)提供商的可信服務(wù)管理器(“tsm”)提供用于用戶的安全元件的密鑰。密鑰托管服務(wù)還從用戶的先前的安全服務(wù)提供商的tsm撤回用于用戶的安全元件的密鑰。此外，sps可以防止未授權(quán)的安全服務(wù)提供商諸如先前的安全服務(wù)提供商訪問安全元件。

在另一實施方案中，為了其它安全服務(wù)提供商，中央tsm執(zhí)行業(yè)務(wù)邏輯和應(yīng)用預(yù)備。不是將密碼密鑰分配給所選擇的安全服務(wù)提供商，而是中央tsm用作所選擇的安全服務(wù)提供商和通信設(shè)備上安裝的安全元件之間的代理。

本文描述的示例性系統(tǒng)和方法克服了常規(guī)nfc系統(tǒng)的缺點，允許用戶重置或擦除安全識別符和聯(lián)盟。這種能力可以支持安全設(shè)備的重新賦值以及簡化對一個以上的安全服務(wù)提供商的服務(wù)的訪問。不是被限制在由一個安全服務(wù)提供商提供的功能和服務(wù)，而是用戶可以與當(dāng)前提供商分離并從多個安全服務(wù)提供商選擇。例如，如果安全服務(wù)提供商不提供用戶期望的服務(wù)諸如通過特定品牌的信用卡進(jìn)行支付，那么用戶可以選擇提供這些服務(wù)的安全服務(wù)提供商。

示例性實施方案的一個或多個方面可包括計算機(jī)程序，該程序?qū)嵤┍疚乃龊退镜墓δ?，其中，計算機(jī)程序被實現(xiàn)在包括存儲在機(jī)器可讀介質(zhì)中的指令和執(zhí)行指令的處理器的計算機(jī)系統(tǒng)中。然而，應(yīng)該明白，在計算機(jī)編程中可有實現(xiàn)示例性實施方案的很多不同的方式，并且示例性實施方案不應(yīng)解釋為限于任何一組計算機(jī)程序指令。此外，基于所附流程圖和應(yīng)用文本中的相關(guān)描述，熟練的程序員將能夠?qū)⒋祟愑嬎銠C(jī)程序?qū)懭胍詫崿F(xiàn)實施方案。因此，認(rèn)為程序代碼指令的特定集合的公開對于充分理解如何制造和使用示例性實施方案不是必須的。此外，對由計算機(jī)執(zhí)行的動作的任何引用不應(yīng)被認(rèn)為是由單個計算機(jī)執(zhí)行的，該動作可由一個以上的計算機(jī)執(zhí)行。示例性實施方案的功能將在下文中更詳細(xì)地進(jìn)行解釋、結(jié)合示出程序流的附圖進(jìn)行閱讀。

現(xiàn)在轉(zhuǎn)到附圖，其中在所有附圖中相似的數(shù)字指示相似的(但不一定相同)的元件，示例性實施方案進(jìn)行了詳細(xì)描述。

系統(tǒng)體系結(jié)構(gòu)

圖1描繪了根據(jù)某些示例性實施方案的近場通信(“nfc”)系統(tǒng)100。如圖1中所描繪的，系統(tǒng)100包括一個或多個終端用戶網(wǎng)絡(luò)設(shè)備110、一個或多個應(yīng)用提供商180、密鑰托管服務(wù)150、移動網(wǎng)絡(luò)運營商(“mno”)130和多個安全服務(wù)提供商160。應(yīng)用提供商180、密鑰托管服務(wù)150和安全服務(wù)提供商160的每個包括被配置成經(jīng)由因特網(wǎng)140通信的網(wǎng)絡(luò)設(shè)備。例如，應(yīng)用提供商180、密鑰托管服務(wù)150和安全服務(wù)提供商160的每個可包括服務(wù)器、臺式計算機(jī)、膝上型計算機(jī)、平板計算機(jī)、智能電話、手持型計算機(jī)、個人數(shù)字助理(“pda”)或任何其它有線或無線的處理器驅(qū)動設(shè)備。在一實施方案中，密鑰托管服務(wù)150包括(或可通信地耦合到)用于接收請求以從可用的安全服務(wù)提供商160改變(或選擇)的第一網(wǎng)絡(luò)通信模塊和用于傳輸密碼密鑰120給安全服務(wù)提供商160的第二網(wǎng)絡(luò)通信模塊。第一和第二網(wǎng)絡(luò)通信模塊可是相同或不同的網(wǎng)絡(luò)通信模塊。

終端用戶網(wǎng)絡(luò)設(shè)備110可是移動電話、智能電話、pda上網(wǎng)本計算機(jī)、膝上型計算機(jī)、平板計算機(jī)、或任何其它有線或無線的處理器驅(qū)動設(shè)備。如圖1所示，終端用戶網(wǎng)絡(luò)設(shè)備110經(jīng)由mno130訪問因特網(wǎng)140。示例性mno包括verizon、sprint和at&t。mno經(jīng)由移動網(wǎng)絡(luò)(未示出)諸如3g或4g移動通信網(wǎng)絡(luò)向終端用戶網(wǎng)絡(luò)設(shè)備110提供因特網(wǎng)訪問。當(dāng)然，經(jīng)由其它機(jī)構(gòu)諸如wi-fi連同因特網(wǎng)提供商，終端用戶網(wǎng)絡(luò)設(shè)備110能夠訪問因特網(wǎng)140。

終端用戶網(wǎng)絡(luò)設(shè)備110每個包括具有一個或多個密碼密鑰120的安全元件111、nfc控制器112、nfc天線113、主機(jī)cpu114和sps115。nfc控制器112和nfc天線113使終端用戶網(wǎng)絡(luò)設(shè)備110能夠與其它啟用nfc的設(shè)備(未示出)通信。例如，終端用戶網(wǎng)絡(luò)設(shè)備110可以與銷售(“pos”)設(shè)備、售票設(shè)備、安全設(shè)備和其它終端用戶網(wǎng)絡(luò)設(shè)備110的啟用nfc的商戶點通信。

主機(jī)cpu114執(zhí)行存儲在終端用戶網(wǎng)絡(luò)設(shè)備110上的應(yīng)用。例如，主機(jī)cpu114可執(zhí)行與nfc控制器112交互的應(yīng)用，諸如nfc支付應(yīng)用，其使操作終端用戶網(wǎng)絡(luò)設(shè)備110的用戶能夠經(jīng)由啟用nfc的pos完成購買，或交通或事件售票應(yīng)用，其使用戶能夠經(jīng)由啟用nfc的售票pos輸入交通設(shè)施或事件。包括識別、認(rèn)證、安全和優(yōu)惠券剪切和退回應(yīng)用的其它應(yīng)用也可存儲在終端用戶網(wǎng)絡(luò)設(shè)備110上用于由主機(jī)cpu114連同nfc控制器112和nfc天線113執(zhí)行。

每個應(yīng)用可由各自的應(yīng)用提供商180提供。例如，信用卡公司可提供信用卡支付應(yīng)用；交通或其它售票公司可提供購票和退票應(yīng)用；出售產(chǎn)品或服務(wù)的制造商、零售商或其它實體可提供優(yōu)惠券應(yīng)用；以及認(rèn)證公司可提供用戶認(rèn)證應(yīng)用。

出于安全目的，nfc應(yīng)用通常存儲在終端用戶網(wǎng)絡(luò)設(shè)備110的安全元件111中。安全元件111為nfc(或其它)應(yīng)用提供安全操作環(huán)境。安全元件111通常包括其自己的操作環(huán)境，其具有防篡改微處理器、操作系統(tǒng)和用于存儲信息諸如支付憑證的存儲器。安全元件111可存在于終端用戶網(wǎng)絡(luò)設(shè)備110的固定芯片、用戶識別模塊(“sim”)卡、通用集成電路卡(“uicc”)、可拆卸智能芯片內(nèi)或在存儲卡諸如微型sd卡中。安全元件111還可包括存儲器控制器，其用于管理安全元件111被安裝在其中的卡或芯片的只讀存儲器(“rom”)、就緒存取存儲器(“ram”)和eeprom快速存儲器。

一般來說，安全服務(wù)提供商160作為媒介，其幫助應(yīng)用提供商180和其它服務(wù)提供商安全地分配和管理應(yīng)用和業(yè)務(wù)諸如nfc非接觸式應(yīng)用服務(wù)。安全服務(wù)提供商160的tsm170通常主持應(yīng)用并將應(yīng)用安裝和預(yù)備到安全元件111上。如圖1所示，每個tsm170可以接收、存儲和使用用于用戶的安全元件111的密鑰120。通過具有密鑰120，tsm170可以經(jīng)由安全加密通信信道訪問安全元件111，以在安全元件111內(nèi)安裝、預(yù)備和定制應(yīng)用。示例性安全服務(wù)提供商160包括gemalto和firstdata。

在某些示例性實施方案中，當(dāng)與安全元件111通信時，安全服務(wù)提供商160旁路主機(jī)cpu114和nfc控制器112。例如，在某些uicc/sim安全元件中，安全服務(wù)提供商160經(jīng)由安裝在終端用戶網(wǎng)絡(luò)設(shè)備110上的無線電cpu(未示出)與安全元件111通信。因此，在某些示例性實施方案中，在安全元件111上預(yù)備應(yīng)用期間，nfc控制器112和主機(jī)cpu114的涉及可是可選的。在某些示例性實施方案中，主機(jī)cpu114和無線電cpu彼此交互以對安全元件111協(xié)同訪問控制。

密鑰托管服務(wù)150維持用于安全元件111的密鑰120。密鑰托管服務(wù)150也分配密鑰給tsm170，例如響應(yīng)于用戶選擇。例如，如果用戶選擇從第一安全服務(wù)提供商160a切換到第二安全服務(wù)提供商160b，那么密鑰托管服務(wù)150從第一tsm170a撤回密鑰120并向第二tsm170b提供密鑰120。第二tsm170可以然后訪問用戶的網(wǎng)絡(luò)設(shè)備110的安全元件111。

sps115被實現(xiàn)在軟件和/或硬件中并使終端用戶網(wǎng)絡(luò)設(shè)備110的用戶能夠經(jīng)由密鑰托管服務(wù)150選擇或改變安全服務(wù)提供商160。sps115提供用戶界面，其允許用戶做出安全服務(wù)提供商160的選擇。響應(yīng)于用戶選擇，sps115將有關(guān)所選擇的安全服務(wù)提供商160的信息傳輸?shù)矫荑€托管服務(wù)150。密鑰托管服務(wù)150也可以經(jīng)由一條或多條反常路徑機(jī)構(gòu)來確認(rèn)該選擇。示例性系統(tǒng)100的sps115、密鑰托管服務(wù)150和其它部件在下文中參考圖2中描繪的方法進(jìn)行更詳細(xì)地描述。

圖3描繪了根據(jù)某些可選示例性實施方案的另一個nfc系統(tǒng)300。示例性系統(tǒng)300包括與系統(tǒng)100相同的許多部件，包括一個或多個終端用戶網(wǎng)絡(luò)設(shè)備110、一個或多個應(yīng)用提供商180、mno130和多個安全服務(wù)提供商160。然而，不是密鑰托管服務(wù)150，而是系統(tǒng)300包括中央管理的tsm350。受管理的tsm350包括被配置成與因特網(wǎng)140通信的網(wǎng)絡(luò)設(shè)備，諸如服務(wù)器、臺式計算機(jī)、膝上型計算機(jī)、平板計算機(jī)、智能電話、手持型計算機(jī)、pda或其它有線或無線的處理器驅(qū)動設(shè)備。類似于密鑰托管服務(wù)150，受管理的tsm350維持用于安全元件111的密鑰120，并且使操作終端用戶網(wǎng)絡(luò)設(shè)備110的用戶能夠從多個安全服務(wù)提供商160選擇。不是將密鑰120分配給所選擇的tsm170，而是為了所選擇的安全服務(wù)提供商160，受管理的tsm350可以與安全元件111交互。即，受管理的tsm350可以在安全元件111上安裝、預(yù)備應(yīng)用以及與安裝在安全元件111上的應(yīng)用交互?；蛘?，受管理的tsm170可以在所選擇的tsm170和安全元件111之間建立(和終止)安全通信信道，使得所選擇的tsm170可以與安全元件111交互。該安全通信信道可用與安全元件111不相關(guān)聯(lián)的不同的密鑰加密，并且可是每個安全服務(wù)提供商160特有的。為了安全服務(wù)提供商160，受管理的tsm350也可以執(zhí)行業(yè)務(wù)邏輯。圖3的受管理的tsm350和其它部件在下文中參考圖4中描繪的方法進(jìn)行了更詳細(xì)地描述。

圖5描繪了根據(jù)某些示例性實施方案的用于安全終端用戶設(shè)備110的操作環(huán)境500。如圖5中所描繪的，操作環(huán)境500包括一個或多個終端用戶設(shè)備110、一個或多個應(yīng)用提供商180、移動網(wǎng)絡(luò)運營商(“mno”)130以及一個或多個安全服務(wù)提供商160。應(yīng)用提供商180和安全服務(wù)提供商160的每個包括被配置成經(jīng)由因特網(wǎng)140通信的網(wǎng)絡(luò)設(shè)備。例如，應(yīng)用提供商180和安全服務(wù)提供商160的每個可包括服務(wù)器、臺式計算機(jī)、膝上型計算機(jī)、平板計算機(jī)、智能電話、手持型計算機(jī)、個人數(shù)字助理(“pda”)或任何其它有線或無線的處理器驅(qū)動設(shè)備。

終端用戶設(shè)備110可是移動電話、智能電話、pda、上網(wǎng)本計算機(jī)、膝上型計算機(jī)、平板計算機(jī)、或任何其它有線或無線的處理器驅(qū)動設(shè)備。終端用戶設(shè)備110可以經(jīng)由mno130訪問網(wǎng)絡(luò)140。示例性mno130包括verizon、sprint和at&t。這些mno130可為終端用戶設(shè)備110提供對網(wǎng)絡(luò)140的訪問。網(wǎng)絡(luò)140可是有線、無線、光、射頻、移動、蜂窩、任何其它數(shù)據(jù)或語音網(wǎng)絡(luò)或它們的任意組合。例如，網(wǎng)絡(luò)140可是因特網(wǎng)或因特網(wǎng)。mno130可為提供網(wǎng)絡(luò)140的一部分提供連接如3g或4g移動通信網(wǎng)絡(luò)。當(dāng)然，經(jīng)由其它機(jī)構(gòu)諸如wi-fi、wi-max或連同因特網(wǎng)提供商，終端用戶網(wǎng)絡(luò)設(shè)備110可以訪問因特網(wǎng)140。

終端用戶設(shè)備110每個包括具有安全元件(“se”)身份(“id”)模塊190和一個或多個卡密鑰120a的安全元件111。終端用戶設(shè)備110也可包括nfc控制器112、nfc天線113和主機(jī)cpu114。nfc控制器112和nfc天線113使終端用戶設(shè)備110能夠與其它啟用nfc的設(shè)備(未示出)通信。例如，終端用戶設(shè)備110可以與銷售(“pos”)設(shè)備、售票設(shè)備、安全設(shè)備和其它終端用戶設(shè)備110的啟用nfc的商戶點通信。

卡密鑰120a可包括用于安全元件111的安全應(yīng)用或過程的任何密鑰。根據(jù)各個實施方案，卡密鑰120a可包括卡管理器密鑰、計費密鑰、金融交易密鑰、銀行密鑰等等。卡密鑰120a可與安全服務(wù)提供商160、可信服務(wù)管理器170、應(yīng)用提供商180或安全地與終端用戶設(shè)備110及其安全元件111交互的任何其它實體或系統(tǒng)相關(guān)聯(lián)、共享或分開?？荑€120a可以結(jié)合與seid模塊190相關(guān)聯(lián)的其它密鑰操作，或受到與seid模塊190相關(guān)聯(lián)的其它密鑰的保護(hù)，如下文中進(jìn)一步詳細(xì)描述的。

主機(jī)cpu114可以執(zhí)行存儲在終端用戶網(wǎng)絡(luò)設(shè)備110上的應(yīng)用。例如，主機(jī)cpu114可執(zhí)行與nfc控制器112交互的應(yīng)用，諸如nfc支付應(yīng)用，其使操作終端用戶設(shè)備110的用戶能夠經(jīng)由啟用nfc的pos完成購買，或交通或事件售票應(yīng)用，其使用戶能夠經(jīng)由啟用nfc的售票pos輸入交通設(shè)施或事件。包括識別、認(rèn)證、安全和優(yōu)惠券剪切和退回應(yīng)用的其它應(yīng)用也可存儲在終端用戶設(shè)備110上用于由主機(jī)cpu114連同nfc控制器112和nfc天線113執(zhí)行。

與終端用戶設(shè)備110相關(guān)聯(lián)的應(yīng)用也可與應(yīng)用提供商180相關(guān)聯(lián)。例如，信用卡公司可提供信用卡支付應(yīng)用；交通或其它售票公司可提供購票和退票應(yīng)用；出售產(chǎn)品或服務(wù)的制造商、零售商或其它實體可提供優(yōu)惠券應(yīng)用；以及認(rèn)證公司可提供用戶認(rèn)證應(yīng)用。

出于安全目的，nfc應(yīng)用通常存儲在終端用戶設(shè)備110的安全元件111中。安全元件111為nfc(或其它)應(yīng)用提供安全操作環(huán)境。安全元件111通常包括其自己的操作環(huán)境，其具有防篡改微處理器、操作系統(tǒng)和用于存儲信息諸如支付憑證的存儲器。安全元件111可存在于終端用戶設(shè)備110的固定芯片、用戶識別模塊(“sim”)卡、通用集成電路卡(“uicc”)、可拆卸智能芯片內(nèi)或在存儲卡諸如微型sd卡中。安全元件111還可包括存儲器控制器，其用于管理安全元件111被安裝在其中的卡或芯片的只讀存儲器(“rom”)、就緒存取存儲器(“ram”)和eeprom快速存儲器。

一般來說，安全服務(wù)提供商160作為媒介，其幫助應(yīng)用提供商180和其它服務(wù)提供商安全地分配和管理應(yīng)用和業(yè)務(wù)諸如nfc非接觸式應(yīng)用服務(wù)。安全服務(wù)提供商160的tsm170通常主持應(yīng)用并將應(yīng)用安裝和預(yù)備到安全元件111上。每個tsm170可以接收、存儲和使用用于相關(guān)聯(lián)的安全元件111的卡密鑰120a。使用用于該安全元件的卡密鑰120a，tsm170可以訪問安全元件111。示例性安全服務(wù)提供商160包括gemalto和firstdata。

在某些示例性實施方案中，當(dāng)與安全元件111通信時，安全服務(wù)提供商160旁路主機(jī)cpu114和nfc控制器112。例如，在某些uicc/sim安全元件中，安全服務(wù)提供商160經(jīng)由安裝在終端用戶設(shè)備110上的無線電cpu(未示出)與安全元件111通信。因此，在某些示例性實施方案中，在安全元件111上預(yù)備應(yīng)用期間，nfc控制器112和主機(jī)cpu114的涉及可是可選的。在某些示例性實施方案中，主機(jī)cpu114和無線電cpu彼此交互以對安全元件111協(xié)同訪問控制。

終端用戶設(shè)備110的用戶可能希望刪除或重置與安全元件111相關(guān)聯(lián)的安全特征，諸如卡密鑰120a。例如，用戶可能希望使終端用戶設(shè)備110與安全服務(wù)提供商160分離，使得它們可以將終端用戶設(shè)備110安全地轉(zhuǎn)移給另一用戶。類似地，用戶可能希望使終端用戶設(shè)備110與一個安全服務(wù)提供商160分離以允許與其它提供商相關(guān)聯(lián)。例如，如果用戶希望改變與nfc支付相關(guān)聯(lián)的該金融機(jī)構(gòu)或由終端用戶設(shè)備110進(jìn)行的資金轉(zhuǎn)帳。討論重置/刪除密鑰。seid模塊190可以支持用于安全元件111的安全刪除或重置過程，如下文中進(jìn)一步詳細(xì)描述的。

圖6描繪了根據(jù)某些示例性實施方案的來自終端用戶設(shè)備110的安全元件111。如圖6中所描繪的，安全元件111可以包括卡密鑰120a和安全元件身份模塊190。安全元件身份模塊190可以包括安全元件身份通信密鑰610、安全元件身份簽名密鑰620和安全元件身份證書630。安全元件身份模塊190可用于驗證應(yīng)用或服務(wù)正與特定安全元件111交互并且還驗證發(fā)送到安全元件111和從安全元件111發(fā)送的安全消息。例如，元件身份通信密鑰610可用于加密與安全元件111的通信，使得這些通信僅可由預(yù)期的安全元件111進(jìn)行。類似地，安全元件身份簽名密鑰620可用于驗證安全元件111正與哪個通信。這些機(jī)構(gòu)可用于如下面所討論的那樣安全地重置安全元件111諸如清除或重置卡密鑰120a。安全元件身份證書630可用于證實各種密鑰諸如安全元件身份通信密鑰610和安全元件身份簽名密鑰620的交換和轉(zhuǎn)移。

安全元件身份通信密鑰610和安全元件身份簽名密鑰620可工作在密鑰分開配置或公用/私有密鑰對配置中。例如，安全元件身份通信密鑰610可包括公用密鑰612和私人密鑰614。類似地，安全元件身份簽名密鑰620可包括公用密鑰622和私人密鑰624。

安全元件身份模塊190可提供安全識別功能。此類功能可包括由安全元件111提供的、與安全元件111相關(guān)聯(lián)的特征，以便支持安全元件111重置過程，如下文進(jìn)一步詳細(xì)討論的。一個這樣的特征涉及用安全元件身份模塊190支持來自安全應(yīng)用、應(yīng)用提供商180或安全服務(wù)提供商160的安全通信和安全認(rèn)證。另一特征涉及支持與安全元件身份模塊190相關(guān)聯(lián)的重置操作。重置操作可利用原子能地清除安全元件111。這可包括從安全元件111清除或重置一個或多個卡密鑰120a。重置操作的原子性質(zhì)可提供都是本質(zhì)上或沒有本質(zhì)上的重置，并且操作上不能分割或部分地進(jìn)行。另一特征可包括用于驗證重置操作源于可信來源的機(jī)構(gòu)。例如，驗證可確保，實際上為了終端用戶設(shè)備110的所有者或某個其它批準(zhǔn)的個人、提供商或應(yīng)用而進(jìn)行重置。安全元件身份模塊190的這些特征還可與操作系統(tǒng)、智能卡操作系統(tǒng)或小應(yīng)用諸如卡片管理器應(yīng)用相關(guān)聯(lián)。

系統(tǒng)過程

圖2是描繪用于改變圖1的nfc系統(tǒng)100中的安全服務(wù)提供商的方法200的方框流程圖。方法200參考圖1中所示的部件進(jìn)行描述。

在方框205中，一個或多個安全密碼密鑰120被提供用于安全元件111。在某些示例性實施方案中，安全元件111及其密鑰120在制造時安裝在終端用戶網(wǎng)絡(luò)設(shè)備110上。在某些示例性實施方案中，安全元件111及其密鑰120安裝在可拆卸的卡或芯片諸如sim卡或微型sd卡上，其然后安裝在終端用戶網(wǎng)絡(luò)設(shè)備110上。

在方框210中，用于安全元件111的密鑰120或相應(yīng)的密鑰被提供給密鑰托管服務(wù)150。這些密鑰120使密鑰托管服務(wù)150(或接收密鑰120的另一實體)能夠創(chuàng)建與安全元件111的安全通信信道并且準(zhǔn)許訪問安全元件111。任選地，密鑰120也被提供給安全服務(wù)提供商160的tsm170。按照慣例，用于安全元件111的安全服務(wù)提供商160和tsm170由終端用戶網(wǎng)絡(luò)設(shè)備110的制造商通常在來自購買終端用戶網(wǎng)絡(luò)設(shè)備110的mno130的引導(dǎo)下來選擇。在此情況下，密鑰120可被提供給該tsm170?？蛇x地，密鑰120只被提供給密鑰托管服務(wù)150。在此情況下，操作終端用戶網(wǎng)絡(luò)設(shè)備110(或另一實體諸如mno130)的用戶可以使用sps115來進(jìn)行安全服務(wù)提供商160的最初選擇。

在方框215中，用戶使用sps115來選擇安全服務(wù)提供商160并因此選擇tsm170。例如，用戶可使用終端用戶網(wǎng)絡(luò)設(shè)備110訪問sps115。sps115可呈現(xiàn)用戶界面，其列出了可用的安全服務(wù)提供商160和任選地由安全服務(wù)提供商160支持的服務(wù)。例如，sps115可顯示金融機(jī)構(gòu)，關(guān)于其的非接觸式交易由每個安全服務(wù)提供商160支持。在另一實例中，sps115可顯示由每個可用的安全服務(wù)提供商160預(yù)備和支持的應(yīng)用。在又一實例中，sps115可提供搜索功能，它使用戶能夠基于安全服務(wù)提供商160的特征和服務(wù)來搜索安全服務(wù)提供商160。當(dāng)用戶找到合適的安全服務(wù)提供商160時，用戶可以使用sps115選擇這種安全服務(wù)提供商160。

在方框220中，響應(yīng)于用戶選擇，sps115傳輸使用所選擇的服務(wù)提供商160的請求到密鑰托管服務(wù)150。該請求通常包括識別所選擇的安全服務(wù)提供商160的信息。響應(yīng)于接收該請求，密鑰托管服務(wù)150處理該請求。

在方框225中，密鑰托管服務(wù)150執(zhí)行反常路徑確認(rèn)程序，以確認(rèn)用戶發(fā)起使用所選擇的安全服務(wù)提供商160的請求。這個方框225是可選的并為sps115/密鑰托管服務(wù)150系統(tǒng)提供了附加級別的安全性例如以在終端用戶網(wǎng)絡(luò)設(shè)備110被丟失或偷竊的情況下防止其他人訪問該特征。

在一個實施方案中，反常路徑確認(rèn)程序包括密鑰托管服務(wù)150將經(jīng)由不同的通信信道而不是通過終端用戶網(wǎng)絡(luò)設(shè)備110做出的該請求傳遞到用戶。例如，密鑰托管服務(wù)150可傳輸指示做出請求的sms文本消息到用戶的移動電話?；蛘撸荑€托管服務(wù)150可打電話給用戶告知做出請求的消息。如果用戶沒有做出請求，那么文本消息或語音消息可通知用戶呼叫某一電話號碼。密鑰托管服務(wù)150還可以要求用戶確認(rèn)該請求。例如，文本消息可通知用戶響應(yīng)文本消息、訪問密鑰托管服務(wù)150的網(wǎng)站或呼叫密鑰托管服務(wù)150以確認(rèn)該請求。并且，代碼可在該消息中提供給用戶，以及用戶可能被要求經(jīng)由電話或經(jīng)由網(wǎng)站輸入該代碼來確認(rèn)該請求。

在方框230中，如果另一個tsm170擁有用于安全元件115的密鑰120，那么密鑰托管服務(wù)150從先前的tsm170撤回密鑰120。在一個實施方案中，密鑰托管服務(wù)150發(fā)送消息例如sms文本消息給先前的tsm170，請求該tsm放棄密鑰120。響應(yīng)于此類請求，安全服務(wù)提供商160可根據(jù)合同義務(wù)放棄密鑰120。

在另一個實施方案中，密鑰托管服務(wù)150通過通知安全元件111阻止先前的tsm170而從先前的tsm170撤回密鑰120。安全元件111可以包括識別試圖訪問安全元件111的tsm170的程序代碼以及允許和/或阻止tsm170的列表。當(dāng)tsm170試圖訪問安全元件111時，安全元件111可以將識別該tsm170的信息與列表進(jìn)行比較，來確定是否準(zhǔn)許訪問。密鑰托管服務(wù)150也可以發(fā)送請求到先前的tsm170，請求該先前的tsm放棄密鑰120。當(dāng)然，在用戶重新選擇安全服務(wù)提供商160用于該tsm160的情況下，這些被阻止的tsm170可以開啟。例如，密鑰托管服務(wù)150可將消息發(fā)送到安全元件111，請求安全元件110開啟tsm170。

在又一實施方案中，經(jīng)由使用主密鑰和tsm專用密鑰，密鑰托管服務(wù)150從先前的tsm170撤回密鑰120。tsm專用密鑰可被提供給安全元件111用于每個可用的tsm或者用于選定的tsm170。tsm專用密鑰還被分配給各自的tsm170。tsm專用密鑰可在制造時預(yù)先加載到安全元件111上、在晚些時候由密鑰托管服務(wù)150安裝或響應(yīng)于用戶選擇tsm170由密鑰托管服務(wù)150安裝。安全元件111可以控制哪些tsm專用密鑰是有效的和哪些tsm專用密鑰是無效的。例如，如果用戶請求從安全服務(wù)提供商160a切換到安全服務(wù)提供商160b，那么sps115傳遞該請求(和識別所選的tsm170b的信息)到安全元件111的密鑰管理小應(yīng)用或模塊(未示出)。響應(yīng)于該請求，密鑰管理小應(yīng)用激活用于tsm170b的tsm專用密鑰并撤銷用于tsm170a的tsm專用密鑰。此時，安全元件111允許訪問tsm170b同時阻止訪問tsm170a。

在方框235中，存儲在安全元件111上、涉及先前的tsm170和/或先前的安全服務(wù)提供商160的信息從安全元件111移除。例如，與先前的tsm170相關(guān)聯(lián)的支付卡憑證可存儲在安全元件111上同時該tsm170結(jié)合安全元件111使用。在使另一個tsm170能夠訪問安全元件111之前，從安全元件111移除這些憑證。此外，安裝在安全元件111上用于先前的tsm170的任何應(yīng)用被取消安裝。在某些示例性實施方案中，密鑰托管服務(wù)150發(fā)送命令到安全元件111的小應(yīng)用或模塊諸如卡管理器小應(yīng)用以移除涉及先前的tsm170的信息。

在方框240中，密鑰托管服務(wù)150傳輸密鑰120至所選擇的安全服務(wù)提供商160的tsm170。這種傳輸通常經(jīng)由安全通信信道進(jìn)行。例如，密鑰托管服務(wù)150可經(jīng)由加密通信信道發(fā)送密鑰120到所選擇的tsm170。在方框245中，所選定的tsm170接收密鑰120。

在某些示例性實施方案中，密鑰托管服務(wù)150延遲傳輸密鑰120至所選擇的安全服務(wù)提供商160的tsm170，直到接收到涉及先前的tsm170的信息和應(yīng)用從安全元件111移除的確認(rèn)。在一些實施方案中，在沒有從用戶接收到用戶請求使用所選擇的安全服務(wù)提供商160的反常路徑確認(rèn)的情況下，密鑰托管服務(wù)150可不傳輸密鑰120至所選擇的安全服務(wù)提供商160的tsm170。

在方框250中，所選擇的安全服務(wù)提供商160的tsm170試圖使用接收到的密鑰120創(chuàng)建與安全元件111的安全通信信道。在一個實施方案中，tsm170發(fā)送加密消息到安全元件111，請求訪問安全元件111。tsm170通過在使用接收到的密鑰120的消息上執(zhí)行密碼算法來加密該消息。

在方框255中，安全元件111確定是否準(zhǔn)許訪問tsm170。在一個實施方案中，安全元件111的處理器在使用存儲在安全元件111上的密鑰120的所接收的消息上執(zhí)行加密算法來確定是否準(zhǔn)許訪問tsm170。

在某些示例性實施方案中，在安全元件111證實tsm170之前，sps115進(jìn)行初始確定是否準(zhǔn)許訪問tsm170，。例如，當(dāng)終端用戶網(wǎng)絡(luò)設(shè)備110接收到訪問安全元件111的請求時，sps115可評估該請求以在請求被傳送到安全元件111之前確定發(fā)出該請求的tsm170是否是用戶選擇的tsm170。如果sps115確定發(fā)出該請求的tsm170是所選擇的tsm170，則安全元件111可根據(jù)方框255的動作證實該請求。

如果安全元件111準(zhǔn)許訪問tsm170，那么方法200沿著“是”分支到方框265。否則，如果安全元件111確定該tsm170應(yīng)被阻止，則方法200沿著“否”分支到方框260。

在方框260中，安全元件111阻止tsm170訪問安全元件111。安全元件111還可將消息發(fā)送至tsm170通知tsm170，該tsm170沒有獲準(zhǔn)訪問。

在方框265中，tsm170預(yù)備安全元件111處的服務(wù)。tsm170可傳輸一個或多個應(yīng)用和用于那些應(yīng)用的憑證到安全元件111。應(yīng)用可由用戶選擇。例如，用戶可從應(yīng)用提供商180請求應(yīng)用。作為響應(yīng)，應(yīng)用提供商180請求tsm170將應(yīng)用安裝到用戶的安全元件到111上。應(yīng)用提供商180還可向tsm170提供有關(guān)用戶的信息或用戶的帳戶信息，用于存儲在安全元件111上。例如，信用卡公司可向tsm170提供支付應(yīng)用和有關(guān)用戶的支付帳戶的信息，用于安裝/存儲在安全元件111上。在某些示例性實施方案中，用戶可從密鑰托管服務(wù)150或安全服務(wù)提供商160請求應(yīng)用。

在方框270中，用戶訪問由所選擇的安全服務(wù)提供商160連同一個或多個應(yīng)用提供商180提供的服務(wù)。例如，如果應(yīng)用提供商180是信用卡公司，那么用戶可使用終端用戶網(wǎng)絡(luò)設(shè)備110在啟用nfc的pos處完成購買。nfc控制器112可與安全元件111安全地交互以從安全元件111獲得支付憑證，并經(jīng)由nfc天線113向啟用nfc的pos提供這些憑證。

在方框270之后，方法200結(jié)束。當(dāng)然，用戶可以繼續(xù)訪問由所選擇的安全服務(wù)提供商160提供的服務(wù)或者切換到另一個安全服務(wù)提供商160。

圖4是根據(jù)某些示例性實施方案的描繪用于改變圖3的nfc系統(tǒng)300中的安全服務(wù)提供商的方法400的方框流程圖。方法400參考圖3中所示的部件進(jìn)行描述。

在方框405中，一個或多個安全密碼密鑰120被提供用于安全元件111。在某些示例性實施方案中，安全元件111及其密鑰120在制造時安裝在終端用戶網(wǎng)絡(luò)設(shè)備110上。在某些示例性實施方案中，安全元件111及其密鑰120安裝在可拆卸的卡或芯片諸如sim卡或微型sd卡上，其然后安裝在終端用戶網(wǎng)絡(luò)設(shè)備110上。

在方框410中，用于安全元件111的密鑰120或相應(yīng)的密鑰被提供給受管理的tsm350。這些密鑰120使受管理的tsm350(或接收密鑰120的另一實體)能夠創(chuàng)建與安全元件111的安全通信信道并且準(zhǔn)許訪問安全元件111。

在方框415中，用戶使用sps115來選擇安全服務(wù)提供商160。這個方框415可以與圖2中所示的和上面所述的方框215相同或類似。在方框420中，響應(yīng)于用戶選擇，sps115傳輸使用所選擇的服務(wù)提供商160的請求到受管理的tsm350。該請求通常包括識別所選擇的安全服務(wù)提供商160的信息。響應(yīng)于接收該請求，受管理的tsm350處理該請求。

在方框425中，受管理的tsm350執(zhí)行反常路徑確認(rèn)程序，以確認(rèn)用戶發(fā)起使用所選擇的安全服務(wù)提供商160的請求。該塊是可選的，并且基本上類似于上面描述的圖2的方框225。然而，在方框425中，受管理的tsm350執(zhí)行反常路徑確認(rèn)，而不是密鑰托管服務(wù)150。

在方框430中，存儲在安全元件111上、涉及先前的tsm170和/或先前的安全服務(wù)提供商160的信息從安全元件111移除。例如，與先前的tsm170相關(guān)聯(lián)的支付卡憑證可存儲在安全元件111上同時該tsm170結(jié)合安全元件111使用。在使另一個tsm170能夠訪問安全元件111之前，從安全元件111移除這些憑證。此外，安裝在安全元件111上用于先前的tsm170的任何應(yīng)用被取消安裝。在某些示例性實施方案中，受管理的tsm350發(fā)送命令到安全元件111的小應(yīng)用或模塊諸如卡管理器小應(yīng)用以移除涉及先前的tsm170的信息。

在方框435中，受管理的tsm350創(chuàng)建與用戶選擇的安全服務(wù)提供商160的安全通信信道。該安全通信信道可被加密，例如使用不同于密鑰120的一個或多個密碼密鑰。其它加密技術(shù)可被使用，如獲益于本公開的本領(lǐng)域的普通技術(shù)人員之一將理解的。

在方框440中，受管理的tsm350通知所選擇的安全服務(wù)提供商160，用戶已經(jīng)請求訪問該安全服務(wù)提供商160的服務(wù)。為了用戶，受管理的tsm350也可從安全服務(wù)提供商160請求一個或多個應(yīng)用?；蛘?，用戶可從應(yīng)用提供商180請求一個或多個應(yīng)用，而應(yīng)用提供商180又將請求傳輸給安全服務(wù)提供商160以向用戶的安全元件111提供一個或多個應(yīng)用。在方框445中，所選擇的安全服務(wù)提供商160傳輸所請求的應(yīng)用和任何其它適當(dāng)?shù)男畔⒌绞芄芾淼膖sm350。例如，這個其它適當(dāng)?shù)男畔⒖砂ㄓ糜谠L問安全服務(wù)的憑證諸如支付卡憑證。

在方框450中，受管理的tsm350使用一個或多個密鑰120創(chuàng)建與安全元件111的安全通信信道。在方框455中，受管理的tsm350預(yù)備安全元件111處的服務(wù)。受管理的tsm350可傳輸一個或多個應(yīng)用和用于那些應(yīng)用的憑證到安全元件111。受管理的tsm350也可向安全元件111提供有關(guān)用戶的信息或用戶的帳戶。例如，信用卡公司可向受管理的tsm350提供支付應(yīng)用和有關(guān)用戶的支付帳戶的信息，用于安裝/存儲在安全元件111上。

在方框460中，這是可選的，受管理的tsm350執(zhí)行用于所選擇的安全服務(wù)提供商160的業(yè)務(wù)邏輯并充當(dāng)選擇的安全服務(wù)提供商160之間的代理或中介。由受管理的tsm350執(zhí)行的業(yè)務(wù)邏輯的實例包括證實用戶是否具有合作金融機(jī)構(gòu)的支付卡、證實由用戶提供的信用卡憑證使得信用卡可被預(yù)備給安全元件111、證實所選擇的安全服務(wù)提供商160是否提供用于終端用戶網(wǎng)絡(luò)設(shè)備150與其通信的mno130上指定終端用戶網(wǎng)絡(luò)設(shè)備150請求的服務(wù)以及從用戶接收預(yù)備請求并傳輸預(yù)備指令用于安全元件111。

在方框465中，用戶訪問由所選擇的安全服務(wù)提供商160連同一個或多個應(yīng)用提供商180提供的服務(wù)。例如，如果應(yīng)用提供商180是信用卡公司，那么用戶可使用終端用戶網(wǎng)絡(luò)設(shè)備110在啟用nfc的pos處退回交通票。nfc控制器112可與安全元件111安全地交互以從安全元件111獲得交通票憑證，并經(jīng)由nfc天線113向啟用nfc的pos提供這些憑證。

在方框465之后，方法400結(jié)束。當(dāng)然，用戶可以繼續(xù)訪問由所選擇的安全服務(wù)提供商160提供的服務(wù)或者切換到另一個安全服務(wù)提供商160。

圖7是根據(jù)某些示例性實施方案的描繪用于制造安全元件111的方法700的方框流程圖。方法700參考圖5和圖6中所示的部件進(jìn)行描述。

在方框710中，用于終端用戶設(shè)備110的硬件可被制造。制造終端用戶設(shè)備110可包括制造安全元件111?？蛇x地，先前制造的安全元件111可并入終端用戶設(shè)備110或與終端用戶設(shè)備110相關(guān)聯(lián)。

在方框720中，可配置用于制造方框610的硬件中所討論的安全元件111的初始卡密鑰120a?？荑€120a可被配置有備用的初始密鑰或僅僅是位置標(biāo)志符的密鑰。一個或多個卡密鑰120a可保持公開或為了未來的安裝未初始化。

在方框730中，與安全元件身份模塊190相關(guān)聯(lián)的密鑰可被初始化。這些密鑰可包括安全元件身份通信密鑰610和安全元件身份簽名密鑰620。初始化安全元件身份通信密鑰610可包括創(chuàng)建公用密鑰612和私人密鑰614。類似地，初始化安全元件身份簽名密鑰620可包括創(chuàng)建公用密鑰622和私人密鑰624。這些密鑰可由安全元件身份模塊190使用或者與安全元件身份模塊190相關(guān)聯(lián)用于簽名以顯示消息的真實性和用于加密和解密以保護(hù)消息。

在方框740中，公用密鑰可從方框730中創(chuàng)建的安全元件身份密鑰提取。例如，公用密鑰612可從安全元件身份通信密鑰610提取。類似地，公用密鑰622可從安全元件身份簽名密鑰620提取。這些公用密鑰可由其他系統(tǒng)使用以簽名或加密消息，消息可然后在安全元件身份模塊190處使用相關(guān)私人密鑰接收或驗證。

在方框750中，安全元件身份證書630可被創(chuàng)建用于方框310中所討論的安全元件111。安全元件身份證書630可包括方框740中提取的公用密鑰。安全元件身份證書630可被使用為真實的安全元件身份模塊190。安全元件身份證書630也可用于建立與安全元件身份模塊190的安全通信。通過使用放置在安全元件身份證書630內(nèi)的公用密鑰，這些特征可被支持。

在方框760中，安全元件身份證書630可被簽名帶有密鑰諸如制造商的私人密鑰。在使用安全元件身份證書630之前，該簽名可被驗證以確保安全元件身份證書630是真實的和正確的。

在方框770中，安全元件身份證書630可被安裝到終端用戶設(shè)備110中。安全元件身份證書630可被安裝在在終端用戶設(shè)備110的安全元件111內(nèi)的安全元件身份模塊190內(nèi)或與安全元件身份模塊190相關(guān)聯(lián)。

在方框780中，第一重置操作的初始要求可被設(shè)置在安全元件身份模塊190內(nèi)。這些要求可包括第一重置操作中使用的授權(quán)類型，如下面關(guān)于方法800的方框870所討論的。例如，第一重置操作可要求，由安全元件身份證書630內(nèi)可用的指定密鑰或某個其它密鑰來簽名。

在方框780之后，方法700結(jié)束。當(dāng)然，根據(jù)方法700，額外的安全元件可繼續(xù)制造。

圖8是根據(jù)某些示例性實施方案的描繪用于重置安全元件111的方法800的方框流程圖。方法800參考圖5和圖6中所示的部件進(jìn)行描述。

在方框810中，安全元件身份證書630可從安全元件111獲得?？蓮陌踩?11請求安全元件身份證書630并且安全元件111可用存儲在安全元件111內(nèi)的安全元件身份證書630來響應(yīng)。

在方框820中，方框810中獲取的安全元件身份證書630可被認(rèn)證。應(yīng)用于安全元件身份證書630的簽名可被驗證為真實的安全元件身份證書630。該簽名可基于與安全元件111或終端用戶設(shè)備110的制造商相關(guān)聯(lián)的密鑰。

在方框830中，公用密鑰可從方框820中認(rèn)證的安全元件身份證書630提取。用于與安全元件111傳遞安全消息的公用密鑰可是最初從安全元件身份通信密鑰610提取的公用密鑰612。類似地，用于簽名的公用密鑰可是最初從安全元件身份簽名密鑰620提取的公用密鑰622。這些公用密鑰可用于簽名或加密消息，消息可然后在安全元件身份模塊190處使用相關(guān)私人密鑰接收或驗證。

在方框840中，重置請求消息可被構(gòu)造。該消息是重置請求，其可被發(fā)送到安全元件111以請求其重置或清除其密鑰諸如卡密鑰120a。重置請求消息可包括要安裝的新密鑰，諸如新的卡管理器密鑰、新的計費密鑰等等。重置請求消息還可包括認(rèn)證信息以規(guī)定如何從批準(zhǔn)的個人諸如終端用戶設(shè)備110的所有者處認(rèn)證重置請求。重置請求消息還可包括配置信息。配置信息可包括關(guān)于下一個重置將被如何認(rèn)證的詳細(xì)說明或其它配置參數(shù)諸如用于清除的密鑰的默認(rèn)密鑰圖形等等。

在方框850中，方框840中構(gòu)造的重置請求消息可被加密用于安全通信。重置請求消息可使用安全元件身份通信密鑰610來加密。根據(jù)這種加密，安全元件身份模塊190可安全地接收重置請求消息并驗證該消息沒有惡意地、錯誤地發(fā)送或該消息預(yù)期用于另一安全元件111。

在方框860中，方框840中構(gòu)造和方框850中加密的重置請求消息可發(fā)給終端用戶設(shè)備的安全元件111，其中該消息可由安全元件身份模塊190接收、驗證和采取行動。

在方框870中，方框860中安全元件111處接收的重置請求消息可被授權(quán)允許重置操作繼續(xù)。如果安全元件111允許對該重置操作的不受限制的訪問，那么攻擊者有可能使用該特征來惡意破壞另一用戶的安全元件111上的信息。因此，需要有某種授權(quán)或確認(rèn)機(jī)構(gòu)來防止對重置操作的未經(jīng)批準(zhǔn)的訪問。用于提供該授權(quán)保護(hù)的各種選項的一些實例在這里進(jìn)行討論。

根據(jù)用于認(rèn)證重置操作的第一實例，知名的或可信的權(quán)威機(jī)構(gòu)可對重置請求消息進(jìn)行加密簽名。在這個方案中，安全元件身份模塊190可被提供有與知名的權(quán)威機(jī)構(gòu)相關(guān)聯(lián)的公用密鑰。在執(zhí)行重置請求之前，該密鑰可被用于驗證放置在任何重置請求消息上的簽名。因此，擁有相應(yīng)私人密鑰的實體被委托驗證重置請求只由合法團(tuán)體發(fā)出。

根據(jù)用于認(rèn)證重置操作的第二實例，在安全元件111內(nèi)可能需要通過非接觸式接口提交授權(quán)代碼以授權(quán)重置請求消息。這保護(hù)用戶免受試圖重置其安全元件111的遠(yuǎn)程攻擊者的攻擊，因為重置請求消息僅在用戶有意將授權(quán)代碼輸入閱讀器并將相關(guān)的授權(quán)命令無線發(fā)送到安全元件111時執(zhí)行。

根據(jù)用于認(rèn)證重置操作的第三實例，重置請求消息可能需要與終端用戶設(shè)備110或安全元件111的特定預(yù)定物理通信。例如，如果在終端用戶設(shè)備110上存在可信的操作系統(tǒng)，那么可信的操作系統(tǒng)可通知安全元件111，重置請求已由終端用戶設(shè)備110上的可信的用戶輸入授權(quán)?？蛇x地，如果終端用戶設(shè)備110上存在專用安全按鈕或輸入，那么在允許重置操作發(fā)生之前，安全元件111可要求該按鈕或輸入被按下或被激活。這種要求將是物理驗證，終端用戶設(shè)備110的所有者或某個其他被授權(quán)的個人意欲重置安全元件111并且從未授權(quán)源頭，其余將不太可能被欺騙。

在方框880中，安全元件111可被清除或重置。重置操作可是原子的以確保重置完全發(fā)生或根本不發(fā)生。重置操作可重置、刪除或擦除安全元件111的內(nèi)容。重置操作可包括刪除所有現(xiàn)存的應(yīng)用、小應(yīng)用、密鑰和數(shù)據(jù)。新卡密鑰120a可被安裝作為重置操作的部分。這可包括移除所有小應(yīng)用和執(zhí)行情況。所有安全域也可與所有卡管理器密鑰、計費密鑰和任何其它密鑰或證書一起移除。重置操作可清除所有不變堆和其它存儲器。該操作還可重置所有通信，其控制相關(guān)數(shù)據(jù)諸如安全信道序列計數(shù)器，或頻率集合。重置操作可安裝新的卡密鑰120a諸如卡管理器密鑰并且也可保存配置信息以控制用于下一個重置的授權(quán)請求。

根據(jù)某些實施方案，與安全元件身份模塊190相關(guān)聯(lián)的密鑰和證書可被免除重置操作的清除，因為這些密鑰和證書被綁定到特定安全元件111部分地支持重置和初始化。

在方框880之后，方法800結(jié)束。當(dāng)然，安全元件111可繼續(xù)接收重置請求消息以使將來的安全元件111能夠在終端用戶設(shè)備110內(nèi)重置操作。

通用

先前呈現(xiàn)的實施方案中描述的示例性方法和方框是說明性的，并且，在可選實施方案中，某些方框可以按不同的順序、彼此并行、完全省去和/或不同示例性方法之間的組合執(zhí)行，和/或某些額外的方框可以被執(zhí)行，而不偏離本發(fā)明的范圍和精神。因此，此類可選實施方案被包括在本文描述的本發(fā)明中。

本發(fā)明可以與執(zhí)行上述方法和處理功能的計算機(jī)硬件和軟件一起使用。如本領(lǐng)域的具有普通技術(shù)的那些人員將會認(rèn)識到，本文描述的系統(tǒng)、方法和程序可以實施在可編程計算機(jī)、計算機(jī)可執(zhí)行軟件或數(shù)字電路中。該軟件可以存儲在計算機(jī)可讀介質(zhì)上。例如，計算機(jī)可讀介質(zhì)可以包括軟盤、ram、rom、硬盤、可移動介質(zhì)、閃存、記憶棒、光學(xué)介質(zhì)、磁光介質(zhì)、cd-rom等。數(shù)字電路可以包括集成電路、門陣列、積木塊邏輯、現(xiàn)場可編程門陣列(“fpga”)等。

雖然本發(fā)明的具體實施方案已在上面進(jìn)行詳細(xì)描述，但是該描述僅僅是為了說明的目的。除了上面描述的那些，示例性實施方案的所公開的方面的各種修改以及對于所公開的方面的等效塊可通過本領(lǐng)域的具有普通技術(shù)的那些人員進(jìn)行，而不偏離所附權(quán)利要求中定義的本發(fā)明的精神和范圍，所附權(quán)利要求的范圍被賦予最寬的解釋以涵蓋此類修改和等效結(jié)構(gòu)。