Nothing Special   »   [go: up one dir, main page]

CN110062016B - 用于可信服务管理的方法及装置 - Google Patents

用于可信服务管理的方法及装置 Download PDF

Info

Publication number
CN110062016B
CN110062016B CN201810048460.XA CN201810048460A CN110062016B CN 110062016 B CN110062016 B CN 110062016B CN 201810048460 A CN201810048460 A CN 201810048460A CN 110062016 B CN110062016 B CN 110062016B
Authority
CN
China
Prior art keywords
trusted service
data
apdu
computing unit
service management
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201810048460.XA
Other languages
English (en)
Other versions
CN110062016A (zh
Inventor
宋益楠
石飞
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Alibaba Group Holding Ltd
Original Assignee
Alibaba Group Holding Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Alibaba Group Holding Ltd filed Critical Alibaba Group Holding Ltd
Priority to CN201810048460.XA priority Critical patent/CN110062016B/zh
Priority to TW107138772A priority patent/TW201933215A/zh
Priority to SG11202006627QA priority patent/SG11202006627QA/en
Priority to JP2020539846A priority patent/JP7325423B2/ja
Priority to EP19741886.6A priority patent/EP3742704B1/en
Priority to PCT/CN2019/070324 priority patent/WO2019141094A1/zh
Publication of CN110062016A publication Critical patent/CN110062016A/zh
Priority to US16/932,561 priority patent/US11588791B2/en
Application granted granted Critical
Publication of CN110062016B publication Critical patent/CN110062016B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/51Discovery or management thereof, e.g. service location protocol [SLP] or web services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/56Provisioning of proxy services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/40Security arrangements using identity modules

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请公开了一种用于可信服务管理的方法,包括:获取计算单元的识别标识与地址信息;获取所述计算单元的识别标识与地址信息的映射表;以所述计算单元的识别标识向提供可信服务管理的服务端发起可信业务请求消息;接收对应的可信业务响应消息,根据所述映射表,将所述可信业务响应消息传递到所述的计算单元,从而解决部分终端无法承载全部TSM Agent与TSM Server通信的业务逻辑的问题。

Description

用于可信服务管理的方法及装置
技术领域
本申请涉及互联网领域,具体涉及一种用于可信服务管理的方法。本申请同时一种用于可信服务管理的装置。本申请还涉及另一种用于请求可信服务管理的方法及装置,一种可信服务管理系统。
背景技术
随着互联网技术和移动通信技术的发展,银行、交通运营商、金融机构及其他数字服务提供商,通过可信服务管理(Trusted Server Management,或TSM)平台给用户提供服务以替代传统柜台方式。所谓TSM平台,是遵循国际GP(Global Platform,或全球平台)规范的针对SE(Secure Element,或安全元件)智能卡芯片进行快速、高效和安全的空中管理的平台,包括空中发卡、SE安全域管理、密钥生命周期管理、TSM服务端与SE卡端的双向认证、移动支付管理等。所谓GP,是全球基于安全芯片的安全基础设施的统一标准的制定者,该国际标准组织开发、制定并发布安全芯片的技术标准,以促进可信业务部署。
目前的应用中,SE芯片配合TSM平台,一起提供一套完整的高安全可信服务业务解决方案,主要应用于移动金融类项目,例如:银行类的服务提供商给新注册入网的移动用户提供即时解决方案、Apple Pay、Samsung Pay、华为Pay等。除了在移动支付、金融领域有着广泛应用,可以预见未来在物联网领域会有广泛的应用,用于在复杂化、碎片化的物联网终端设备中安全地存储一些敏感数据,例如:密钥、证书、核心数据等信息。现有的技术方案是针对位于云端的服务端到设备端的端到端解决方案,即:SE芯片嵌入或集成在手机类便携设备或者其他智能设备中,为智能设备端提供硬件级别安全,在智能设备端部署TSM代理(TSMAgent),负责该智能设备端所嵌入或集成的SE芯片与TSM平台的服务端TSM Server之间的数据通信,完成可信服务管理。
物联网领域的终端呈现出各种形态,系统存在低端化的情况,并且随着终端设备种类繁多、版本各异等情况发展,使得系统碎片化越来越严重,所谓碎片化,是新的版本不断推出,而旧的版本长期共存的情形。因此在采用现有服务端到设备端的端到端提供可信服务管理的技术方案,存在部分终端无法承载全部TSM Agent与TSM Server通信的业务逻辑的问题。
发明内容
本申请提供一种用于可信服务管理的方法,以解决部分终端无法承载全部TSMAgent与TSM Server通信的业务逻辑的问题。
本申请还提供一种用于请求可信服务管理的方法。
本申请还提供一种用于可信服务管理的装置。
本申请还提供一种用于请求可信服务管理的装置。
本申请还提供一种可信服务管理系统。
本申请提供一种用于可信服务管理的方法,包括:
获取计算单元的识别标识与地址信息;
获取所述计算单元的识别标识与地址信息的映射表;
以所述计算单元的识别标识向提供可信服务管理的服务端发起可信业务请求消息;
接收对应的可信业务响应消息,根据所述映射表,将所述可信业务响应消息传递到所述的计算单元。
可选的,基于网关执行所述的用于可信服务管理的方法。
可选的,所述网关是WIFI网关。
可选的,所述计算单元,是安全元件或者嵌入安全元件的安全设备。
可选的,还包括接收所述计算单元返回的执行结果,并将所述执行结果发送给所述提供可信服务管理的服务端。
可选的,所述将所述可信业务响应消息传递到所述的计算单元,包括:以广播模式将所述可信业务响应消息传递到所述的计算单元。
可选的,所述识别标识,是所述计算单元的安全元件生产生命周期CPLC。
可选的,所述地址信息,是所述安全元件的或者所述安全设备的MAC和/或IP。
可选的,所述获取计算单元的识别标识与地址信息,包括下述处理:
接收请求方请求,对所述请求方进行连接和网关认证操作;
认证通过,则记录所述请求方地址信息,并询问是否安全元件或安全设备;
若是,则发出获取所述计算单元的识别标识的请求;
接收并获取所述计算单元的识别标识。
可选的,若所述地址信息,是所述安全元件的或者所述安全设备的MAC和/或IP,则所述映射表,包括下述任一对应关系:CPLC和MAC对应关系、CPLC和IP对应关系、CPLC和MAC以及IP的对应关系。
可选的,所述计算单元,是能识别全球平台规定的APDU数据,并执行APDU指令的安全元件或安全设备。
可选的,所述以广播模式将所述响应消息传递到所述的计算单元,包括下述处理:
将所述响应消息按照组包协议组装成广播数据报文;
根据所述映射表广播所述广播数据报文;
其中,所述组包协议,至少包括下述字段的相关信息:包头信息和APDU数据。
可选的,所述包头信息,至少包括下述字段:识别标识、长度。
可选的,所述组包协议,包括下述任一字段:保留位、状态。
可选的,所述广播数据报文,包含一个或多个按照所述组包协议组装的数据包。
可选的,所述APDU数据,至少包括下述任一内容信息:
生命周期管理信息、权限管理信息、密钥托管信息、认证信息、安全数据传输和处理信息、敏感个人数据、状态回报信息。
可选的,所述提供可信服务管理的服务端,是SEI-TSM服务端;其中,所述SEI-TSM,是安全元件发行可信管理端。
可选的,当所述可信业务请求消息,是创建安全域请求APDU;则所述可信业务响应消息,是创建安全域指令APDU。
可选的,当所述计算单元返回的执行结果是创建安全域成功,在接收所述计算单元返回的创建安全域成功之后,还包括下述处理:
以所述计算单元的识别标识向SP-TSM发起应用下载请求;其中所述SP-TSM是可信服务管理的服务提供方的服务端。
可选的,当所述可信业务请求消息是应用下载请求,则对应的可信业务响应消息,包括:由所述SP-TSM将请求下载的应用程序组装并加密形成的APDU;其中,该APDU将由网关根据所述组包协议打包成广播数据包,并以广播形式发送出去。
可选的,当所述计算单元返回的执行结果,是应用程序安装状态回报APDU,在网关接收所述计算单元返回的执行结果之后,进行下述处理:将所述状态回报APDU返回SP-TSM。
可选的,当所述计算单元返回的执行结果,是应用程序安装状态回报APDU,在网关将所述状态回报APDU返回SP-TSM之后,进行下述处理:
由网关以计算单元的识别标识向SP-TSM发出个人化请求,SP-TSM根据所述个人化请求获取个人化数据,以APDU数据格式发送给网关,网关收集数据组装成广播数据包,根据所述映射表向所述计算单元广播发送。
可选的,所述向提供可信服务管理的服务端发起可信业务请求消息,包括透传所接收到的所述计算单元发起的可信业务请求消息。
可选的,所述以所述计算单元的识别标识向提供可信服务管理的服务端发起可信业务请求消息,包括以实时或者批量的方式发起可信业务请求消息。
本申请还提供一种用于请求可信服务管理的方法,包括:
上报计算单元的地址信息与识别标识;
从接收到的数据报文中,根据所述识别标识识别并获取相匹配的数据包,从所述数据包中解析出可信业务数据;
执行所述可信业务数据携带的指令,并返回执行结果。
可选的,基于计算单元执行所述的用于请求可信服务管理的方法;其中,所述计算单元,是安全元件或者嵌入安全元件的安全设备。
可选的,所述接收到的数据报文,是接收到的广播数据报文;其中,所述广播数据报文,是由计算单元所接入的网关所广播的数据报文。
可选的,所述可信业务数据,是全球平台规定的APDU数据。
可选的,所述识别标识,是安全元件的CPLC信息。
可选的,所述地址信息,是所述安全元件或者安全设备的MAC和/或IP。
可选的,在上报识别标识前,包括:接收询问是否为计算单元的消息;
若是,则上报计算单元的识别标识。
可选的,所述从接收到的数据报文中,根据所述识别标识识别并获取相匹配的数据包,包括下述处理:
根据自身识别标识,由所述安全设备从接收到的所述广播数据报文中识别并获取相匹配的数据包。
可选的,所述执行所述可信业务数据携带的指令,并返回执行结果,包括:
根据APDU数据在所述安全设备与嵌入该安全设备的安全元件之间通信;
通过所述安全元件解密所述APDU数据,执行解密后获得的APDU指令,将执行结果加密形成状态回报APDU数据;
将所述状态回报APDU数据通过所述安全设备上报给所述网关,进一步通过所述网关将其返回给所述提供可信服务的服务端。
可选的,所述执行所述APDU数据携带的相应APDU指令,并返回执行结果,包括下述处理:
通过计算单元解密所述APDU格式数据,执行解密后获得的APDU指令,将执行结果加密形成状态回报APDU数据;
将所述状态回报APDU数据发回给所述网关,进一步通过所述网关将其返回给所述提供可信服务的服务端。
可选的,所述APDU数据携带的相应APDU指令,包含下述任一内容:
由SEI-TSM服务端提供的创建安全域APDU指令;或者,
由所述SP-TSM下发的应用程序APDU;或者,
由所述SP-TSM提供的个人化数据APDU。
本申请还提供一种用于可信服务管理的装置,包括:
识别标识与地址获取单元,用于获取计算单元的识别标识与地址信息;
映射单元,用于获取所述计算单元的识别标识与地址信息的映射表;
服务侧请求单元,用于以所述计算单元的识别标识向提供可信服务管理的服务端发起可信业务请求消息;
服务侧响应处理单元,用于接收对应的可信业务响应消息,根据所述映射表,将所述可信业务响应消息传递到所述的计算单元。
本申请还提供一种用于请求可信服务管理的装置,包括:
识别标识与地址上报单元,用于上报计算单元的地址信息与识别标识;
数据接收单元,用于从接收到的数据报文中,根据所述识别标识识别并获取相匹配的数据包,从所述数据包中解析出可信业务数据;
执行单元,用于执行所述可信业务数据携带的指令,并返回执行结果。
本申请还提供一种可信服务系统,包括:用于可信服务管理的装置;以及用于请求可信服务管理的装置;其中,
所述用于可信服务管理的装置,包括:
识别标识与地址获取单元,用于获取计算单元的识别标识与地址信息;
映射单元,用于获取所述计算单元的识别标识与地址信息的映射表;
服务侧请求单元,用于以所述计算单元的识别标识向提供可信服务管理的服务端发起可信业务请求消息;
服务侧响应处理单元,用于接收对应的可信业务响应消息,根据所述映射表,将所述可信业务响应消息传递到所述的计算单元;
所述用于请求可信服务管理的装置,包括:
识别标识与地址上报单元,用于上报计算单元的地址信息与识别标识;
数据接收单元,用于从接收到的数据报文中,根据所述识别标识识别并获取相匹配的数据包,从所述数据包中解析出可信业务数据;
执行单元,用于执行所述可信业务数据携带的指令,并返回执行结果。
与现有技术相比,本申请具有以下优点:
本申请提供的用于可信服务管理的方法、装置及电子设备,通过获取计算单元的识别标识与地址信息;获取所述计算单元的识别标识与地址信息的映射表;以所述计算单元的识别标识向提供可信服务管理的服务端发起可信业务请求消息;接收对应的可信业务响应消息,根据所述映射表,将所述可信业务响应消息传递到所述的计算单元,将TSMAgent功能部署在网关,例如WiFi网关,基于网关对同网段下的群体智能设备端进行广播控制,从而解决了系统碎片化、低端化导致的部分终端无法承载全部TSM Agent与TSM Server通信的业务逻辑的问题。
附图说明
图1是本申请实施例提供的一种用于可信服务管理的方法的处理流程示意图;
图2是本申请实施例提供的一种用于可信服务管理的方法的原理框架示意图;
图3是本申请实施例提供的广播数据包组包格式示意图;
图4是本申请实施例提供的一种用于可信服务管理的方法的识别标识与地址信息映射表创建流程时序图;
图5是本申请实施例提供的一种用于可信服务管理的方法的安全域创建流程时序图;
图6是本申请实施例提供的一种用于可信服务管理的方法的安全应用下载流程时序图;
图7是本申请实施例提供的一种用于可信服务管理的方法的个人化数据流程时序图;
图8是本申请实施例提供的用于请求可信服务管理的方法的处理流程图;
图9是本申请实施例提供的一种用于可信服务管理的装置示意图;
图10是本申请实施例提供的一种用于请求可信服务管理的装置示意图;
图11是本申请实施例提供的一种可信服务系统的示意图。
具体实施方式
在下面的描述中阐述了很多具体细节以便于充分理解本申请。但是本申请能够以很多不同于在此描述的其它方式来实施,本领域技术人员可以在不违背本申请内涵的情况下做类似推广,因此本申请不受下面公开的具体实施的限制。
本申请提供一种用于可信服务管理的方法。本申请同时涉及一种用于可信服务管理的装置。本申请还涉及一种用于请求可信服务管理的方法及装置。本申请还涉及一种可信服务管理系统。在下面的实施例中逐一进行详细说明。
本申请其一实施例提供一种用于可信服务管理的方法。
目前,银行、交通运营商、金融机构及其他数字服务提供商正在逐步部署可信服务业务以替代传统柜台服务方式,通过遵循国际GP规范的TSM平台给用户提供可信服务,对设备端的SE智能卡芯片进行快速、高效和安全的空中管理,例如空中发卡、基于SE芯片的安全应用的远程控制等。现有可信服务业务中,TSM服务端(TSM Server)位于云端,提供可信服务管理;SE芯片,具备独立的片上系统(Card OS),集成或嵌入在手机类便携设备或者其他智能设备中,给设备端提供硬件级别安全;SE芯片所嵌入的智能设备上部署TSM代理(TSMAgent);通过TSM Agent与TSM Server之间进行数据通信完成可信业务。可信服务管理多应用于移动金融类项目,但是也不排除未来在物联网领域会有广泛的应用,在复杂化、碎片化的物联网终端设备中安全地存储一些敏感数据,例如:密钥、证书、核心数据等信息。物联网领域的终端设备形态多种多样,由于终端种类繁多、版本各异,因此存在终端设备系统低端化和碎片化的问题,鉴于现有可信服务管理采用的是服务端到设备端的端到端的技术方案,因此部分终端无法承载全部TSMAgent与TSM Server握手通信的业务逻辑。
本申请提供的用于可信服务管理的方法,将TSMAgent部署在网关设备上,在网关节点上进行广播式TSM群体设备控制,从而替代现有的TSM Agent部署在终端设备上的端到端可信业务方案,对TSM进一步扩充,进行适于物联网场景的技术拓展,其中,所谓TSM群体设备,是指连接到同一个具备TSM Agent功能的网关的、集成或者嵌入SE芯片的智能设备;例如将TSM Agent部署在WiFi智能网关,基于WiFi网络进行同网段下的群体子设备广播控制,这样,TSM Agent基于WiFi通信协议将TSM现有的点对点控制拓扑拓展为基于WiFi的广播式控制。
下述实施例基于包含银行业TSM平台、WiFi网关和集成SE的手机的可信服务管理技术方案,并结合空中发卡流程,对本申请提供的用于可信服务管理的方法进行详细说明。需要说明的是,本申请提供的用于可信服务管理的方法还能应用于交通运营、金融机构及其他数字服务、物联网等场景。
以下结合图1至图7对本申请实施例提供的一种用于可信服务管理的方法的实施例进行说明。其中图1是本申请实施例提供的一种用于可信服务管理的方法的处理流程示意图;图2是本申请实施例提供的一种用于可信服务管理的方法的原理框架示意图;图3是本申请实施例提供的广播数据包组包格式示意图;图4是本申请实施例提供的一种用于可信服务管理的方法的识别标识与地址信息映射表创建流程时序图;图5是本申请实施例提供的一种用于可信服务管理的方法的安全域创建流程时序图;图6是本申请实施例提供的一种用于可信服务管理的方法的安全应用下载流程时序图;图7是本申请实施例提供的一种用于可信服务管理的方法的个人化数据流程时序图。所述用于可信服务管理的方法包括步骤S101至步骤S104。
本申请实施例中,基于网关执行所述的用于可信服务管理的方法;优选的,所述网关是WIFI网关。其中,网关在计算单元与所述提供可信服务管理的服务端之间传递通信数据,该计算单元也称为安全载体,例如:与接入该网关设备的一个或者多个安全载体建立连接,将所述提供可信服务管理的服务端提供的APDU数据向该网关内同网段的安全载体进行广播;接收这些安全载体的状态回报APDU,并将其返回给所述提供可信服务管理的服务端。
所谓APDU,也称应用协议数据单元(或Application Protocol Data Unit),本申请实施例中是指GP规范中规定的安全设备与SE芯片(或者智能卡)之间的应用层协议数据单元,一般由数据包头和数据体构成,数据包头是必要组成部分,数据体是可选部分。SE芯片为设备端如手机提供硬件级别安全环境,而设备端主程序暴露在网络环境中因此一般认为是非安全环境,所述APDU指令用于二者之间的数据通信,本申请实施例中的所述APDU,至少包括下述任一内容或指令信息:生命周期管理信息、权限管理信息、密钥托管信息、认证信息、安全数据传输和处理信息、敏感个人数据、状态回报信息。
步骤S101,获取计算单元的识别标识与地址信息。
本步骤的目的是,获取部署可信业务的计算单元的识别标识及地址信息。
所述计算单元是安全元件或者嵌入安全元件的安全设备。另外,安全元件也可能是集成在安全设备中。其中,所谓安全元件即SE。SE芯片多用于银行、公交智能卡领域,本申请实施例中,通过TSM平台以及WiFi网关设备对SE芯片进行空中管理。
本申请实施例中的计算单元,是能识别全球平台规定的APDU数据,并执行APDU指令的安全元件或安全设备,具体的是集成SE芯片的手机,其中,采用的SE芯片是Java卡,能识别全球平台规定的APDU数据,并执行APDU指令。SE芯片中设置有独立的Security Domain(安全域),每个安全域都有独立的密钥进行管理。TSM Server端具备与本地SE的安全域相同的一把密钥,将要传输的数据加密后以APDU指令方式透传给SE芯片端。SE芯片通过安全域的密钥解密后将TSM传来的数据进行解析使用。
本申请实施例中,Java智能卡支持Java虚拟机,TSM下发到SE的安全应用以JavaApplet的形式存储并运行在SE芯片中,TSM平台与SE配合远程下发安全应用的过程,即所谓TSM空中发卡流程。TSM空中发卡过程涉及到三种角色:作为服务端进行远程控制的TSMServer,TSMAgent以及安全元件SE。其中,TSM Server具体又包含:SEI-TSM和SP-TSM,SEI-TSM用于负责安全域创建和管理;SP-TSM,用于负责安全应用的空发过程和生命周期管理。TSM Agent,是一个软件的SDK,放置在WiFi网关设备,负责与TSM Server进行握手通信,并与SE芯片进行通信,这些通信过程包括发送请求数据和接收返回数据,网关与SE芯片通信方式是通过WiFi网关对网关内的接入设备进行全体广播式控制,具体的,网关收集全服务端发送的信息后按照一定规则组包然后进行广播。SE芯片,从TSM Agent接收到TSM发来的APDU指令后,SE芯片在Card OS内进行相关认证、解密动作和数据运算、存储等操作,这些过程被安全地隔离在SE芯片中进行,例如:公交卡刷卡时扣钱,停车卡扣次数或金额等,实际应用中,接入网关的安全设备设嵌入或集成SE芯片,该安全设备从其所接入的网关设备收到广播数据包后获取本设备的数据写入SE芯片。本申请实施例中实际部署的系统,其系统原理参见图2,该图示出了本申请实施例提供的用于可信服务管理的方法的系统原理框架。
优选的,所述识别标识,是所述计算单元的安全元件生产生命周期CPLC。另外,所述识别标识,也可以是所述计算单元的位置识别标识。所述地址信息,是所述安全元件的或者所述安全设备(SE Device)的MAC和/或IP。另外,对于SE芯片不通过其所在的安全设备而直接和TSMAgent通信的场景,所述地址信息,也可以是安全元件从其所嵌入的安全设备获取到的MAC和/或者IP。
具体到本申请实施例,所述获取计算单元的识别标识与地址信息,包括下述处理:
接收请求方请求,对所述请求方进行连接和网关认证操作;
认证通过,则记录所述请求方地址信息,并询问是否安全元件或安全设备;
若是,则发出获取所述计算单元的识别标识的请求;
接收并获取所述计算单元的识别标识。
例如,图4所示的本申请实施例所包含的计算单元识别标识与地址信息映射表创建流程时序图中,同时还示出了地址信息与识别标识获取流程,其中,安全设备SE Device工作在Station模式,WiFi网关发起侦测请求(Probe Request)消息,SE Device进行响应(Probe Response);SE设备输入密码后WiFi网关认证,认证成功后网关记录作为Station设备的SE Device的Mac地址;网关询问是否是SE设备,若发现带SE,则网关请求获取SE芯片的识别ID(CPLC)。
步骤S102,获取所述计算单元的识别标识与地址信息的映射表。
本步骤的目的是,根据步骤S101获取到的地址信息和识别标识,建立计算单元的识别标识与地址的映射表。
优选的,若所述地址信息,是所述安全元件的或者所述安全设备的MAC和/或IP,则所述映射表,包括下述任一对应关系:CPLC和MAC对应关系、CPLC和IP对应关系、CPLC和MAC以及IP的对应关系。
本申请实施例中,是根据获取到的计算单元的识别标识与地址信息,在网关上建立并保存所述计算单元的识别标识与地址信息的映射表,实际的映射表建立过程的处理流程时序参见图4,其中,WiFi网关得到所有接入SE设备的CPLC后,将该安全设备的MAC、IP和CPLC做一个映射表(Mapping),用于对上与TSM Server通信,对下与SE设备通信,在后续TSM控制的交互流程中,依靠这个Mapping对应关系,进行数据重新组包广播以及接收数据,有序按照TSM Server的逻辑完成SE设备端与服务端交互
步骤S103,以所述计算单元的识别标识向提供可信服务管理的服务端发起可信业务请求消息。
本步骤的目的是,由网关代理计算单元,以该计算单元的SE芯片识别ID向提供可信服务管理的服务端请求下发指令。
本申请实施例中,在WiFi网关建立其接入的SE设备的MAC、IP以及CPLC映射表之后,发起空中发卡请求。WiFi网关上的TSM Agent与TSM Server通信时使用SE的CPLC作为ID进行通信,这样处理,通信过程中TSM Server依然是认为一个个地处理和SE芯片有关的流程,不会感知到网关的存在。
所述以所述计算单元的识别标识向提供可信服务管理的服务端发起请求消息,包括以实时或者批量的方式发起请求消息,例如,网关获取到一个安全设备的识别标识和地址信息后,就向TSM发起请求,也可以在收集完全部接入安全设备的信息,再封装数据包发起请求。
本申请实施例实际部署中,网关收集到接入的所有SE设备信息后,触发空中发卡流程,网关以每个SE的信息分别向TSM发出可信业务请求,例如,图5示出的本申请实施例的安全域创建流程时序中所包含的SE1创建AMSD/SSD请求、SE2创建AMSD/SSD请求、SEn创建AMSD/SSD请求等;图6示出的本申请实施例的安全应用下载流程中所包含的SE1部署安全应用请求、SE2部署安全应用请求、SEn部署安全应用请求;图7示出的本申请实施例的个人化数据流程中所包含的SE1个人化数据请求、SE2个人化数据请求、SEn个人化数据请求;其中,SE1、SE2、SEn是接入同一个具备TSM Agent功能的WiFi网关的各个不同SE设备;所谓AMSD是指授权模式安全域(或Authorized Mode Secure Domain),SSD指简单模式安全域(或Simple Mode Secure Domain)。
另外,所述向提供可信服务管理的服务端发起可信业务请求消息,除了由具备TSMAgent功能的网关触发可信业务请求外,也可以计算单元触发可信业务请求,计算单元触发可信业务请求的方式下网关透传所接收到的所述计算单元发起的可信业务请求消息。
步骤S104,接收对应的可信业务响应消息,根据所述映射表,将所述可信业务响应消息传递到所述的计算单元。
本步骤的目的是,将提供可信服务管理的服务端针对步骤S103中的可信业务请求所下发的对应的可信业务响应消息,传递到接入所述网关的群体SE设备。
优选的,以广播模式将所述可信业务响应消息传递到所述的计算单元,具体包括下述处理:
将所述响应消息按照组包协议组装成广播数据报文;
根据所述映射表广播所述广播数据报文;
其中,所述组包协议,至少包括下述字段的相关信息:包头信息和APDU数据;所述包头信息,至少包括下述字段:识别标识、长度,例如,图3所示的广播组包格式中的CPLC和Length字段。此外,所述组包协议,包括下述任一字段:保留位、状态,例如,图3所示的广播组包格式中的Reserved和State字段,保留位及状态分别可以有一个或多个。
本申请实施例中,按照图3所示的组包方式组装成本申请实施例中使用的网关格式数据包,其为广播数据报文,然后按照MAC、IP以及CPLD的对应关系通过广播模式将TSMServer下发的所述可信业务响应消息传递到所述的计算单元,其中,所述广播数据报文,包含一个或多个按照所述组包协议组装的数据包。
具体的,WiFi网关接收到TSM按照每个SE芯片的ID(CPLC)分别返回相应数据(以CPLC作为识别ID来区分),收集各SE的所有APDU指令构造网关格式数据包,并汇总成整个广播数据报文。例如,图5示出的本申请实施例的安全域创建流程时序中所包含的对应SE1创建AMSD/SSD请求的多个APDU响应、对应SE2创建AMSD/SSD请求的多个APDU响应、对应SEn创建AMSD/SSD请求的多个APDU响应,网关收集齐SE1所有APDU指令组成网关格式数据包,针对SE2、Sen也以各自所有APDU指令组成网关格式数据包,并将这些数据包统一封装为整个广播数据报文,根据映射表(包含MAC、IP以及CPLD对应关系)在该WiFi网络内广播。
本申请实施例中,WiFi网关上部署TSM Agent功能,由Wifi网关与TSM进行直接通信,然后利用WiFi网络在局域网内进行广播式APDU指令分发,在WiFi网关内的设备侧根据本申请中所描述和规定的协议与WiFi网关进行通信,TSM服务端不感知设备侧和网关侧的通信结构,从而既保证了功能的扩展,又能兼容现有的TSM系统,这样未来部署以本申请实施例提供的用于可信服务管理的方法为基础的解决方案时,现有的TSM Server无需改动,只需要在支持此方案的WiFi网关和接入该类网关的设备上做部署即可实现TSM广播式多点控制的效果。
优选的,本申请实施例中,还包括接收所述计算单元返回的执行结果,并将所述执行结果发送给所述提供可信服务管理的服务端。具体的,计算单元执行可信业务响应消息所携带的APDU指令,生成状态回报APDU响应消息并返回WiFi网关;WiFi网关收集该WiFi网络下所有SE响应,将各SE执行结果返回给TSM的服务端。例如,图5示出的本申请实施例的安全域创建流程时序中所包含的对应SE1创建AMSD/SSD请求、对应SE2创建AMSD/SSD请求、对应SEn创建AMSD/SSD请求,网关将相应的响应封装为整个广播数据报文并进行广播,由该WiFi网络内的各SE设备解析该广播报文,取出APDU,写入SE芯片,SE芯片执行相应APDU指令,返回执行结果,WiFi网关收集该网络下所有SE响应,根据各SE的CPLC以APDU格式通知TSM的相应服务端。具体的,由网关将计算单元返回的响应报文中携带的执行结果透传到所述提供可信服务管理的服务端,即计算单元返回的响应报文中携带的执行结果是APDU数据。另外,所述将所述执行结果发送给所述提供可信服务管理的服务端,也可以是网关通过其所具备的TSM Agent功能对计算单元返回的执行结果重新封装后发送给相应服务端。
本申请实施例中,实际部署的可信服务业务解决方案包括:提供可信服务管理的服务端SEI-TSM(或Secure Element Issuer-Trusted System Manager),服务提供方的TSM服务端SP-TSM(Service Provider Trusted Service Management)以及服务提供方的服务端SP(Service Provider),WiFi网关,以及SE设备,由此所进行的空中发卡具体包括下述流程:(一)创建安全域,(二)下载安全应用,(三)个人化数据写入。其中,所述SEI-TSM,是安全元件发行可信管理端,主要进行SE生命周期和安全域管理服务;所述SP-TSM是可信服务管理的服务提供方的TSM服务端,主要提供应用生命周期服务,作为多个SP接入的聚合器,例如银联TSM;所述SP,是服务提供方服务端,例如各银行服务器,SP一般通过其接入的SP-TSM完成可信服务业务部署以及应用生命周期管理,也可以直接通过SEI-TSM提交安全应用由SEI-TSM完成卡内容管理。
(一)创建安全域(Security Domain),流程时序图如图5所示,包括下述处理:
由网关统一向SEI-TSM发起请求,所述可信业务请求消息,是创建安全域请求APDU,即网关向SEI-TSM发送的请求的数据格式就是GP规定的APDU,按照每个设备的CPLC信息分别向SEI-TSM做请求,例如,SE1创建SSD请求,SE2创建SSD请求;
SEI-TSM收到请求后,返回的可信业务响应消息是创建安全域指令APDU,即SEI-TSM将创建安全域指令经过加密后形成的APDU分别返回给WiFi网关,可信业务响应包括一个或多个响应APDU;
WiFi收集该WiFi网络下每SE各自的所有APDU指令,封装网关格式数据包,再将所有SE的数据包以图3所示的组包方式统一封装成整个广播数据报文,按照MAC、IP及CPLC对应关系,以广播的形式发送出去;
SE设备端收到广播数据包后,拣出和自己的CPLC对应的数据包进行拆包,取出所述创建安全域指令APDU与本地的SE芯片通信,写入SE芯片,SE芯片解密该APDU后执行对应指令,在安全元件内创建安全域,将执行结果返回到WiFi网关;
WiFi网关收集该WiFi网络下所有SE执行结果,将各SE执行结果通知SEI-TSM做状态回报,所述通知为APDU格式数据。至此广播式TSM创建安全域过程完成。
(二)下载安全应用Applet,其流程时序图参见图6,包括下述处理:
本申请实施例中,当接收到的所述计算单元返回的执行结果是创建安全域成功,网关设备记录各个SE设备的状态为创建安全域成功,在接收所述计算单元返回的创建安全域成功之后,进行下述处理:以所述计算单元的识别标识向SP-TSM发起应用下载请求,例如,WiFi网关以SE1的CPLC1发起SE1部署安全应用,以SE2的CPLC2发起SE2部署安全应用;所述安全应用,是小应用程序Applet。
该场景下,SP-TSM接收到的可信业务请求消息是应用下载请求,对应的可信业务响应消息,包括:由所述SP-TSM将请求下载的应用程序组装并加密形成的APDU;该APDU将由网关根据所述组包协议,按照图3所示的组包方式,打包成广播数据包,并以广播形式发送出去。例如,SP-TSM接收到SE1部署安全应用请求后,先返回密钥更新APDU,密钥更新成功后,再返回安全应用CAP文件(即所述应用程序的执行文件);
WiFi网关汇总该WiFi网络下的所有SE的安全应用CAP文件对应的APDU指令,以图3所示的组包方式生成整个广播数据报文,并基于映射表(包含MAC、IP及CPLC对应关系)广播到该WiFi下各个安全设备;
SE设备接收所述广播数据报文,从中识别并获取与CPLC相匹配的数据包,拆解出APDU数据信息,与SE芯片通信,写入SE芯片;
SE芯片解密并执行APDU指令,安装由SP-TSM下发的Applet,根据执行结果构造并加密形成状态回报APDU,将其返回WiFi网关;
WiFi网关接收所述计算单元返回的执行结果,该场景下包括接收应用程序安装状态回报APDU,网关收集接入其网络内的所有SE的执行结果响应之后,将所述状态回报APDU返回SP-TSM。
(三)个人化数据写入,其流程时序参见图7,包括如下处理:
当所述计算单元返回的执行结果,是应用程序安装状态回报APDU,在网关将所述状态回报APDU返回SP-TSM之后,还进行下述处理:
由网关以计算单元的识别标识向SP-TSM发出个人化请求,SP-TSM根据所述个人化请求获取个人化数据,以APDU数据格式发送给网关,网关收集数据组装成广播数据包,根据所述映射表向所述计算单元广播发送。
具体的,由网关设备发起个人化数据的下载或更新操作,即网关向SP-TSM发出个人化的请求,SP-TSM根据所述个人化请求向SP获取个人化数据,例如按照CPLC等信息向具体的SP Server取个人化数据,SP-TSM将个人化数据以APDU指令发送给网关,网关收集好该WiFi网络内所有SE的个人化数据APDU指令,再按照所述组包协议以图3所示的组包方式重新将APDU组装成广播数据包,根据所述映射表广播发送;
SE设备接收到广播数据包,从中摘取与自己CPLC匹配的数据包,解析出APDU指令与SE通信,SE解密并执行APDU指令,将执行结果加密形成APDU格式的状态回报数据返回给网关,再由网关回传给SP-TSM。
上述过程完成了基于WiFi网关的广播式空中发卡流程,该网关内的所有SE设备可以被网关统一控制,共同动作,网关是该解决方案的核心中控台来请求TSM和与SE设备进行通信。
以上是对本申请提供的一种用于可信服务管理的方法的实施例的说明。
以上述实施例为基础,本申请还提供一种用于请求可信服务管理的方法的实施例,以下结合图8和图3对其进行说明,由于该实施例以上述实施例为基础,因此仅对该实施例进行简要描述,相关部分请参见上述实施例即可。其中,图8是本申请实施例提供的用于请求可信服务管理的方法的处理流程图;图3是本申请实施例提供的广播数据包组包格式示意图。
本申请实施例中,主要是基于计算单元执行所述的用于请求可信服务管理的方法,即上报计算单元的地址信息与识别标识;从接收到的数据报文中,根据所述识别标识识别并获取相匹配的数据包,从所述数据包中解析出可信业务数据;执行所述可信业务数据携带的指令,并返回执行结果,是基于计算单元执行的。其中,所述可信业务数据,是全球平台规定的APDU数据。
图8所示的用于请求可信服务管理的方法包括:
步骤S801,上报计算单元的地址信息与识别标识。
本步骤的目的是,将计算单元的地址与识别ID上报到该计算单元所接入的网关设备。
具体的,所述识别标识,是安全元件的CPLC信息;所述地址信息,是所述安全元件或者安全设备的MAC和/或IP。
本申请实施例在计算单元实现所述用于请求可信服务管理的方法,实际应用时一般结合具备TSM Agent功能的WiFi类网关部署整个可信业务解决方案。其中,在上报识别标识前,包括:接收询问是否为计算单元的消息;若是,则上报计算单元的识别标识。具体的,计算单元是工作在Station模式的集成或嵌入了SE芯片的安全设备(或称为SE设备),其连接到WiFi网关,安全设备在完成通信安全鉴权和上报MAC地址后,WiFi网关询问该安全设备是否为具备SE的设备,若带SE,则邀请该SE设备将SE的识别ID(例如CPLC)上传至网关,一般情况下WiFi网关会给接入该WiFi网络的SE设备分配IP。此外,SE设备的IP也可能是固定设置好的,则该场景下WiFi网关还要记录该SE设备的IP。
步骤S802,从接收到的数据报文中,根据所述识别标识识别并获取相匹配的数据包,从所述数据包中解析出可信业务数据。
本步骤的目的是,计算单元从接收到的数据包中解析出可信业务数据。
本申请实施例中,所述从接收到的数据报文中,根据所述识别标识识别并获取相匹配的数据包,包括下述处理:根据自身识别标识,由所述安全设备从接收到的所述广播数据报文中识别并获取相匹配的数据包;即所述接收到的数据报文,是广播数据报文;具体的,该广播数据报文,是由计算单元所接入的WiFi网关所广播的数据包,且携带的可信业务数据是符合GP规范的APDU。实际实现中,该网关内部保存了MAC、IP、CPLC信息以及包含三者对应关系的映射表,网关使用各SE的CPLC作为ID与TSM服务端进行通信,这样TSM服务端会按照每个SE芯片的ID(CPLC)分别返回相应数据(以CPLC作为识别ID来区分),不会感知到网关的存在;网关设备在收集齐TSM服务端给各SE设备下发的APDU后,按照图3所示的组包格式组装整个广播数据报文,基于所述映射表将所组装的广播数据报文在该WiFi网络进行广播。
步骤S803,执行所述可信业务数据携带的指令,并返回执行结果;
所述计算单元,是安全元件或者嵌入安全元件的安全设备。
本步骤的目的是,安全设备端从接收到的数据包中解析出TSM服务端下发的APDU数据后,执行相应APDU指令。
本申请实施例中,SE设备从接收到的广播数据报文中拣出和自己的CPLC一致的数据包,从中解析出来对应的APDU指令,写入SE芯片(SE芯片可以识别和执行的通信数据指令)。优选的,由SE芯片执行所述可信业务数据携带的指令,并返回执行结果,具体包括下述处理:
根据APDU数据在所述安全设备与嵌入该安全设备的安全元件之间通信;
通过所述安全元件解密所述APDU数据,执行解密后获得的APDU指令,将执行结果加密形成状态回报APDU数据;
将所述状态回报APDU数据通过所述安全设备上报给所述网关,进一步通过所述网关将其返回给所述提供可信服务的服务端。
此外,也可以是通过下述执行方式执行所述APDU数据携带的相应APDU指令,并返回执行结果,具体包括下述处理:
通过计算单元解密所述APDU格式数据,执行解密后获得的APDU指令,将执行结果加密形成状态回报APDU数据;
将所述状态回报APDU数据发回给所述网关,进一步通过所述网关将其返回给所述提供可信服务的服务端。
其中,所述通过进一步通过所述网关将其返回给所述提供可信服务的服务端,是网关将由SE设备返回的状态回报APDU数据透传到所述提供可信服务管理的服务端,或者是由网关对SE设备返回的执行结果重新封装后发送到TSM服务端。WiFi网关根据各SE设备对应的CPLC分别给TSM服务端进行回传,从而实现广播式的TSM空中管理控制。
需要说明的是,本实施例中由WiFi网关将TSM服务端针对各个请求返回的APDU数据组装并在该WiFi网络内广播,所述APDU数据携带的相应APDU指令,包含下述任一内容:
由SEI-TSM服务端提供的创建安全域APDU指令;或者,
由所述SP-TSM下发的部署安全应用APDU;或者,
由所述SP-TSM提供的个人化数据APDU。
例如,以创建安全域流程为例,结合具备TSMAgent(或TSM代理)功能的网关,说明本申请实施例中,SE设备上创建AMSD(认证模式安全域)的过程。安全设备SE1和SE2向WiFi网关上报各自的地址,分别为MAC1和MAC2;之后,WiFi网关询问是否SE设备,SE1和SE2由于均为SE设备,向网关上报各自的识别标识,分别为CPLC1和CPLC2;WiFi网关给SE1和SE2分配IP,分别为IP1和IP2,在WiFi网关内建立映射表保存MAC、IP、及CPLC对应关系;WiFi网关以CPLC1为身份标识向SEI-TSM发起SE1创建AMSD请求,SEI-TSM返回多个对应SE1的APDU响应,WiFi网关以CPLC2为身份标识向SEI-TSM发起SE2创建AMSD请求,SEI-TSM返回多个对应SE2的APDU响应;WiFi网关收集所有SE APDU按照图3所示的组包格式组装成整个广播数据报文,根据所述映射表广播;SE1和SE2从接收到的广播数据包中根据各自的CPLC摘取自己的数据包,解析出APDU指令,写入SE芯片,SE芯片执行指令并返回执行结果;网关收集到SE1和SE2的执行响应后,按照各自的CPLC返回到SEI-TSM。
与本申请提供的一种用于可信服务管理的方法的实施例相对应,本申请还提供了一种用于可信服务管理的装置。
参照图9,其示出了本申请提供的一种用于可信服务管理的装置示意图。由于装置实施例基本相似于方法实施例,所以描述得比较简单,相关的部分请参见方法实施例的对应说明即可。下述描述的装置实施例仅仅是示意性的。
本申请提供一种用于可信服务管理的装置,包括:
识别标识与地址获取单元901,用于获取计算单元的识别标识与地址信息;
映射单元902,用于获取所述计算单元的识别标识与地址信息的映射表;
服务侧请求单元903,用于以所述计算单元的识别标识向提供可信服务管理的服务端发起可信业务请求消息;
服务侧响应处理单元904,用于接收对应的可信业务响应消息,根据所述映射表,将所述可信业务响应消息传递到所述的计算单元。
可选的,基于网关执行所述的用于可信服务管理的方法。
可选的,所述网关是WIFI网关。
可选的,所述计算单元,是安全元件或者嵌入安全元件的安全设备。
可选的,所述用于可信服务管理的装置,还包括执行结果处理单元,用于接收所述计算单元返回的执行结果,并将所述执行结果发送给所述提供可信服务管理的服务端。
可选的,所述服务侧响应处理单元904,还包括广播子单元,用于以广播模式将所述可信业务响应消息传递到所述的计算单元。
可选的,所述识别标识,是所述计算单元的安全元件生产生命周期CPLC。
可选的,所述地址信息,是所述安全元件的或者所述安全设备的MAC和/或IP。
可选的,所述识别标识与地址获取单元901,还包括用于下述处理:
接收请求方请求,对所述请求方进行连接和网关认证操作;
认证通过,则记录所述请求方地址信息,并询问是否安全元件或安全设备;
若是,则发出获取所述计算单元的识别标识的请求;
接收并获取所述计算单元的识别标识。
可选的,若所述地址信息,是所述安全元件的或者所述安全设备的MAC和/或IP,则所述映射表,包括下述任一对应关系:CPLC和MAC对应关系、CPLC和IP对应关系、CPLC和MAC以及IP的对应关系。
可选的,所述计算单元,是能识别全球平台规定的APDU数据,并执行APDU指令的安全元件或安全设备。
可选的,所述广播子单元,还具体用于:
将所述响应消息按照组包协议组装成广播数据报文;
根据所述映射表广播所述广播数据报文;
其中,所述组包协议,至少包括下述字段的相关信息:包头信息和APDU数据。
可选的,所述包头信息,至少包括下述字段:识别标识、长度。
可选的,所述组包协议,包括下述任一字段:保留位、状态。
可选的,所述广播数据报文,包含一个或多个按照所述组包协议组装的数据包。
可选的,所述APDU数据,至少包括下述任一内容信息:
生命周期管理信息、权限管理信息、密钥托管信息、认证信息、安全数据传输和处理信息、敏感个人数据、状态回报信息。
可选的,所述提供可信服务管理的服务端,是SEI-TSM服务端;其中,所述SEI-TSM,是安全元件发行可信管理端。
可选的,当所述可信业务请求消息,是创建安全域请求APDU;则所述可信业务响应消息,是创建安全域指令APDU。
可选的,所述服务侧请求单元903,还用于在接收所述计算单元返回的创建安全域成功之后,进行下述处理:
以所述计算单元的识别标识向SP-TSM发起应用下载请求;其中所述SP-TSM是可信服务管理的服务提供方的服务端。
可选的,当所述可信业务请求消息是应用下载请求,则对应的可信业务响应消息,包括:由所述SP-TSM将请求下载的应用程序组装并加密形成的APDU;其中,该APDU将由网关根据所述组包协议打包成广播数据包,并以广播形式发送出去。
可选的,所述执行结果处理单元,还用于在网关接收所述计算单元返回的执行结果之后,进行下述处理:将所述状态回报APDU返回SP-TSM。
可选的,所述服务侧请求单元903,还用于在网关将所述状态回报APDU返回SP-TSM之后,进行下述处理:
由网关以计算单元的识别标识向SP-TSM发出个人化请求,SP-TSM根据所述个人化请求获取个人化数据,以APDU数据格式发送给网关,网关收集数据组装成广播数据包,根据所述映射表向所述计算单元广播发送。
可选的,所述服务侧请求单元903,还用于透传所接收到的所述计算单元发起的可信业务请求消息。
可选的,所述服务侧请求单元903,还用于以实时或者批量的方式发起可信业务请求消息。
与本申请提供的一种用于请求可信服务管理的方法的实施例相对应,本申请还提供了一种用于请求可信服务管理的装置。
参照图10,其示出了本申请提供的一种用于请求可信服务管理的装置示意图。由于装置实施例基本相似于方法实施例,所以描述得比较简单,相关的部分请参见方法实施例的对应说明即可。下述描述的装置实施例仅仅是示意性的。
本申请提供一种用于请求可信服务管理的装置,包括:
识别标识与地址上报单元1001,用于上报计算单元的地址信息与识别标识;
数据接收单元1002,用于从接收到的数据报文中,根据所述识别标识识别并获取相匹配的数据包,从所述数据包中解析出可信业务数据;
执行单元1003,用于执行所述可信业务数据携带的指令,并返回执行结果。
可选的,基于计算单元执行所述的用于请求可信服务管理的方法;其中,所述计算单元,是安全元件或者嵌入安全元件的安全设备。
可选的,所述接收到的数据报文,是接收到的广播数据报文;其中,所述广播数据报文,是由计算单元所接入的网关所广播的数据报文。
可选的,所述可信业务数据,是全球平台规定的APDU数据。
可选的,所述识别标识,是安全元件的CPLC信息。
可选的,所述地址信息,是所述安全元件或者安全设备的MAC和/或IP。
可选的,所述识别标识与地址上报单元1001,用于在上报识别标识前,进行下述处理:接收询问是否为计算单元的消息;
若是,则上报计算单元的识别标识。
可选的,所述数据接收单元1002,还具体用于:
根据自身识别标识,由所述安全设备从接收到的所述广播数据报文中识别并获取相匹配的数据包。
可选的,所述执行单元1003,还具体用于:
根据APDU数据在所述安全设备与嵌入该安全设备的安全元件之间通信;
通过所述安全元件解密所述APDU数据,执行解密后获得的APDU指令,将执行结果加密形成状态回报APDU数据;
将所述状态回报APDU数据通过所述安全设备上报给所述网关,进一步通过所述网关将其返回给所述提供可信服务的服务端。
可选的,所述执行单元1003,还具体用于:
通过计算单元解密所述APDU格式数据,执行解密后获得的APDU指令,将执行结果加密形成状态回报APDU数据;
将所述状态回报APDU数据发回给所述网关,进一步通过所述网关将其返回给所述提供可信服务的服务端。
可选的,所述APDU数据携带的相应APDU指令,包含下述任一内容:
由SEI-TSM服务端提供的创建安全域APDU指令;或者,
由所述SP-TSM下发的应用程序APDU;或者,
由所述SP-TSM提供的个人化数据APDU。
本申请实施例还提供了一种可信服务系统,如图11所示,该系统包括上述实施例所述的用于可信服务管理的装置1101和请求可信服务管理的装置1102。所述用于可信服务管理的装置通常部署与WiFi网关设备,但并不局限于WiFi网关,也可以是能够实现所述的用于可信服务管理的方法的任何设备;所述请求可信服务管理的装置通常部署于手机,但并不局限于手机,也可以是能够实现所述用于请求可信服务管理的方法的任何设备如带SE芯片的便携终端,带SE芯片的物联网终端等。其中,
所述用于可信服务管理的装置1101,包括:
识别标识与地址获取单元,用于获取计算单元的识别标识与地址信息;
映射单元,用于获取所述计算单元的识别标识与地址信息的映射表;
服务侧请求单元,用于以所述计算单元的识别标识向提供可信服务管理的服务端发起可信业务请求消息;
服务侧响应处理单元,用于接收对应的可信业务响应消息,根据所述映射表,将所述可信业务响应消息传递到所述的计算单元;
所述用于请求可信服务管理的装置1102,包括:
识别标识与地址上报单元,用于上报计算单元的地址信息与识别标识;
数据接收单元,用于从接收到的数据报文中,根据所述识别标识识别并获取相匹配的数据包,从所述数据包中解析出可信业务数据;
执行单元,用于执行所述可信业务数据携带的指令,并返回执行结果;
其中,所述安全载体,是安全元件或者嵌入安全元件的安全设备。
例如,用于可信服务管理的装置部署在WiFi网关,能够获取计算单元的MAC和计算单元中SE的CPLC,在网关内部建立MAC、IP以及CPLC的Mapping表(映射表),使用SE的CPLC作为ID向TSM发起请求,例如触发空中发卡流程,将从TSM网关收到的APDU响应按照组包协议组装广播数据包,按照MAC、IP及CPLC的对应进行广播;请求可信服务管理的装置部署于带SE芯片的手机,能够在收到广播来的数据后根据CPLC从数据包中拣出和自己的CPLC一致的部分,从中解析出来对应的APDU指令,在手机和SE之间通信,SE芯片解密所述APDU并执行获得的指令,将执行结果加密形成APDU格式的状态回报数据,将其返回给手机,通过手机将数据回传给WiFi网关,再由WiFi网关根据对应的CPLC分别给TSM服务端进行回传。
在一个典型的配置中,计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
内存可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。
1、计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括非暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
2、本领域技术人员应明白,本申请的实施例可提供为方法、系统或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请虽然以较佳实施例公开如上,但其并不是用来限定本申请,任何本领域技术人员在不脱离本申请的精神和范围内,都可以做出可能的变动和修改,因此本申请的保护范围应当以本申请权利要求所界定的范围为准。

Claims (34)

1.一种用于可信服务管理的方法,其特征在于,基于网关执行所述的用于可信服务管理的方法,包括:
将TSM代理功能部署在WIFI网关,基于WIFI网关对同网段下的计算单元进行广播控制,具体方式如下:
获取计算单元的识别标识与地址信息,所述计算单元为能识别全球平台规定的APDU数据,并执行APDU指令的安全元件或安全设备;
获取所述计算单元的识别标识与地址信息的映射表;
以所述计算单元的识别标识向提供可信服务管理的服务端发起可信业务请求消息;
接收对应的可信业务响应消息,根据所述映射表,以广播模式将所述可信业务响应消息传递到所述的计算单元;
其中,所述以广播模式将所述响应消息传递到所述的计算单元,包括下述处理:
将所述响应消息按照组包协议组装成广播数据报文;
根据所述映射表广播所述广播数据报文;
其中,所述组包协议,至少包括下述字段的相关信息:包头信息和APDU数据。
2.根据权利要求1所述的用于可信服务管理的方法,其特征在于,所述计算单元,是安全元件或者嵌入安全元件的安全设备。
3.根据权利要求2所述的用于可信服务管理的方法,其特征在于,还包括接收所述计算单元返回的执行结果,并将所述执行结果发送给所述提供可信服务管理的服务端。
4.根据权利要求3所述的用于可信服务管理的方法,其特征在于,所述将所述可信业务响应消息传递到所述的计算单元,包括:以广播模式将所述可信业务响应消息传递到所述的计算单元。
5.根据权利要求4所述的用于可信服务管理的方法,其特征在于,所述识别标识,是所述计算单元的安全元件生产生命周期CPLC。
6.根据权利要求2所述的用于可信服务管理的方法,其特征在于,所述地址信息,是所述安全元件的或者所述安全设备的MAC和/或IP。
7.根据权利要求6所述的用于可信服务管理的方法,其特征在于,所述获取计算单元的识别标识与地址信息,包括下述处理:
接收请求方请求,对所述请求方进行连接和网关认证操作;
认证通过,则记录所述请求方地址信息,并询问是否安全元件或安全设备;
若是,则发出获取所述计算单元的识别标识的请求;
接收并获取所述计算单元的识别标识。
8.根据权利要求5所述的用于可信服务管理的方法,其特征在于,若所述地址信息,是所述安全元件的或者所述安全设备的MAC和/或IP,则所述映射表,包括下述任一对应关系:CPLC和MAC对应关系、CPLC和IP对应关系、CPLC和MAC以及IP的对应关系。
9.根据权利要求1所述的用于可信服务管理的方法,其特征在于,所述包头信息,至少包括下述字段:识别标识、长度。
10.根据权利要求1所述的用于可信服务管理的方法,其特征在于,所述组包协议,包括下述任一字段:保留位、状态。
11.根据权利要求1所述的用于可信服务管理的方法,其特征在于,所述广播数据报文,包含一个或多个按照所述组包协议组装的数据包。
12.根据权利要求1所述的用于可信服务管理的方法,其特征在于,所述APDU数据,至少包括下述任一内容信息:
生命周期管理信息、权限管理信息、密钥托管信息、认证信息、安全数据传输和处理信息、敏感个人数据、状态回报信息。
13.根据权利要求1所述的用于可信服务管理的方法,其特征在于,所述提供可信服务管理的服务端,是SEI-TSM服务端;其中,所述SEI-TSM,是安全元件发行可信管理端。
14.根据权利要求13所述的用于可信服务管理的方法,其特征在于,当所述可信业务请求消息,是创建安全域请求APDU;则所述可信业务响应消息,是创建安全域指令APDU。
15.根据权利要求14所述的用于可信服务管理的方法,其特征在于,当所述计算单元返回的执行结果是创建安全域成功,在接收所述计算单元返回的创建安全域成功之后,还包括下述处理:
以所述计算单元的识别标识向SP-TSM发起应用下载请求;其中所述SP-TSM是可信服务管理的服务提供方的服务端。
16.根据权利要求15所述的用于可信服务管理的方法,其特征在于,当所述可信业务请求消息是应用下载请求,则对应的可信业务响应消息,包括:由所述SP-TSM将请求下载的应用程序组装并加密形成的APDU;其中,该APDU将由网关根据所述组包协议打包成广播数据包,并以广播形式发送出去。
17.根据权利要求16所述的用于可信服务管理的方法,其特征在于,当所述计算单元返回的执行结果,是应用程序安装状态回报APDU,在网关接收所述计算单元返回的执行结果之后,进行下述处理:将所述状态回报APDU返回SP-TSM。
18.根据权利要求17所述的用于可信服务管理的方法,其特征在于,当所述计算单元返回的执行结果,是应用程序安装状态回报APDU,在网关将所述状态回报APDU返回SP-TSM之后,进行下述处理:
由网关以计算单元的识别标识向SP-TSM发出个人化请求,SP-TSM根据所述个人化请求获取个人化数据,以APDU数据格式发送给网关,网关收集数据组装成广播数据包,根据所述映射表向所述计算单元广播发送。
19.根据权利要求1所述的用于可信服务管理的方法,其特征在于,所述向提供可信服务管理的服务端发起可信业务请求消息,包括透传所接收到的所述计算单元发起的可信业务请求消息。
20.根据权利要求1所述的用于可信服务管理的方法,其特征在于,所述以所述计算单元的识别标识向提供可信服务管理的服务端发起可信业务请求消息,包括以实时或者批量的方式发起可信业务请求消息。
21.一种用于请求可信服务管理的方法,其特征在于,包括:
向部署TSM代理功能的WIFI网关上报计算单元的地址信息与识别标识;
从接收到的数据报文中,根据所述识别标识识别并获取相匹配的数据包,从所述数据包中解析出可信业务数据;
执行所述可信业务数据携带的指令,并向所述部署TSM代理功能的WIFI网关返回执行结果。
22.根据权利要求21所述的用于请求可信服务管理的方法,其特征在于,基于计算单元执行所述的用于请求可信服务管理的方法;其中,所述计算单元,是安全元件或者嵌入安全元件的安全设备。
23.根据权利要求22所述的用于请求可信服务管理的方法,其特征在于,所述接收到的数据报文,是接收到的广播数据报文;其中,所述广播数据报文,是由计算单元所接入的网关所广播的数据报文。
24.根据权利要求22所述的用于请求可信服务管理的方法,其特征在于,所述可信业务数据,是全球平台规定的APDU数据。
25.根据权利要求22所述的用于请求可信服务管理的方法,其特征在于,所述识别标识,是安全元件的CPLC信息。
26.根据权利要求22所述的用于请求可信服务管理的方法,其特征在于,所述地址信息,是所述安全元件或者安全设备的MAC和/或IP。
27.根据权利要求22所述的用于请求可信服务管理的方法,其特征在于,在上报识别标识前,包括:接收询问是否为计算单元的消息;
若是,则上报计算单元的识别标识。
28.根据权利要求23所述的用于请求可信服务管理的方法,其特征在于,所述从接收到的数据报文中,根据所述识别标识识别并获取相匹配的数据包,包括下述处理:
根据自身识别标识,由所述安全设备从接收到的所述广播数据报文中识别并获取相匹配的数据包。
29.根据权利要求24所述的用于请求可信服务管理的方法,其特征在于,所述执行所述可信业务数据携带的指令,并向所述部署TSM代理功能的WIFI网关返回执行结果,包括:
根据APDU数据在所述安全设备与嵌入该安全设备的安全元件之间通信;
通过所述安全元件解密所述APDU数据,执行解密后获得的APDU指令,将执行结果加密形成状态回报APDU数据;
将所述状态回报APDU数据通过所述安全设备上报给所述网关,进一步通过所述网关将其返回给所述提供可信服务的服务端。
30.根据权利要求24所述的用于请求可信服务管理的方法,其特征在于,所述执行所述APDU数据携带的相应APDU指令,并向所述部署TSM代理功能的WIFI网关返回执行结果,包括下述处理:
通过计算单元解密所述APDU格式数据,执行解密后获得的APDU指令,将执行结果加密形成状态回报APDU数据;
将所述状态回报APDU数据发回给所述网关,进一步通过所述网关将其返回给所述提供可信服务的服务端。
31.根据权利要求24所述的用于可信服务管理的方法,其特征在于,所述APDU数据携带的相应APDU指令,包含下述任一内容:
由SEI-TSM服务端提供的创建安全域APDU指令;或者,
由SP-TSM下发的应用程序APDU;或者,
由SP-TSM提供的个人化数据APDU。
32.一种用于可信服务管理的装置,其特征在于,基于部署TSM代理功能的WIFI网关执行所述的用于可信服务管理的装置,包括:
识别标识与地址获取单元,用于获取计算单元的识别标识与地址信息;
映射单元,用于获取所述计算单元的识别标识与地址信息的映射表;
服务侧请求单元,用于以所述计算单元的识别标识向提供可信服务管理的服务端发起可信业务请求消息;
服务侧响应处理单元,用于接收对应的可信业务响应消息,根据所述映射表,将所述可信业务响应消息传递到所述的计算单元。
33.一种用于请求可信服务管理的装置,其特征在于,基于部署TSM代理功能的WIFI网关执行所述的用于请求可信服务管理的装置,包括:识别标识与地址上报单元,用于向所述部署TSM代理功能的WIFI网关上报计算单元的地址信息与识别标识,所述计算单元为能识别全球平台规定的APDU数据,并执行APDU指令的安全元件或安全设备;
数据接收单元,用于从接收到的数据报文中,根据所述识别标识识别并获取相匹配的数据包,从所述数据包中解析出可信业务数据;
执行单元,用于执行所述可信业务数据携带的指令,并向所述部署TSM代理功能的WIFI网关返回执行结果。
34.一种可信服务系统,其特征在于,基于部署TSM代理功能的WIFI网关执行所述的可信服务系统,包括:基于部署TSM代理功能的WIFI网关执行的用于可信服务管理的装置;以及用于请求可信服务管理的装置;其中,
所述用于可信服务管理的装置,包括:
识别标识与地址获取单元,用于获取计算单元的识别标识与地址信息,所述计算单元为能识别全球平台规定的APDU数据,并执行APDU指令的安全元件或安全设备;
映射单元,用于获取所述计算单元的识别标识与地址信息的映射表;
服务侧请求单元,用于以所述计算单元的识别标识向提供可信服务管理的服务端发起可信业务请求消息;
服务侧响应处理单元,用于接收对应的可信业务响应消息,根据所述映射表,以广播模式将所述可信业务响应消息传递到所述的计算单元;
其中,所述以广播模式将所述响应消息传递到所述的计算单元,包括下述处理:
将所述响应消息按照组包协议组装成广播数据报文;
根据所述映射表广播所述广播数据报文;
其中,所述组包协议,至少包括下述字段的相关信息:包头信息和APDU数据;
所述用于请求可信服务管理的装置,包括:
识别标识与地址上报单元,用于向所述部署TSM代理功能的WIFI网关上报计算单元的地址信息与识别标识;
数据接收单元,用于从接收到的数据报文中,根据所述识别标识识别并获取相匹配的数据包,从所述数据包中解析出可信业务数据;
执行单元,用于执行所述可信业务数据携带的指令,并向所述部署TSM代理功能的WIFI网关返回执行结果。
CN201810048460.XA 2018-01-18 2018-01-18 用于可信服务管理的方法及装置 Active CN110062016B (zh)

Priority Applications (7)

Application Number Priority Date Filing Date Title
CN201810048460.XA CN110062016B (zh) 2018-01-18 2018-01-18 用于可信服务管理的方法及装置
TW107138772A TW201933215A (zh) 2018-01-18 2018-11-01 用於可信服務管理的方法及裝置
JP2020539846A JP7325423B2 (ja) 2018-01-18 2019-01-04 トラステッドサービスマネージメントのための方法および装置
EP19741886.6A EP3742704B1 (en) 2018-01-18 2019-01-04 Method, computer readable medium and wi-fi gateway apparatus for trusted service management
SG11202006627QA SG11202006627QA (en) 2018-01-18 2019-01-04 Method and apparatus for trusted service management
PCT/CN2019/070324 WO2019141094A1 (zh) 2018-01-18 2019-01-04 用于可信服务管理的方法及装置
US16/932,561 US11588791B2 (en) 2018-01-18 2020-07-17 Method and apparatus for trusted service management

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810048460.XA CN110062016B (zh) 2018-01-18 2018-01-18 用于可信服务管理的方法及装置

Publications (2)

Publication Number Publication Date
CN110062016A CN110062016A (zh) 2019-07-26
CN110062016B true CN110062016B (zh) 2023-05-09

Family

ID=67300925

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810048460.XA Active CN110062016B (zh) 2018-01-18 2018-01-18 用于可信服务管理的方法及装置

Country Status (7)

Country Link
US (1) US11588791B2 (zh)
EP (1) EP3742704B1 (zh)
JP (1) JP7325423B2 (zh)
CN (1) CN110062016B (zh)
SG (1) SG11202006627QA (zh)
TW (1) TW201933215A (zh)
WO (1) WO2019141094A1 (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111770071B (zh) * 2020-06-23 2021-03-09 江苏易安联网络技术有限公司 一种网络隐身场景下网关认证可信设备的方法和装置
KR20220167676A (ko) * 2021-06-14 2022-12-21 삼성전자주식회사 Uwb 통신을 이용한 트랜잭션 방법 및 장치
CN115604715B (zh) * 2022-12-01 2023-04-18 北京紫光青藤微系统有限公司 基于安全通道的nfc功能控制方法及移动终端设备

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
AU2016203535A1 (en) * 2011-11-01 2016-06-16 Google Llc Systems, methods, and computer program products for managing secure elements

Family Cites Families (29)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3535440B2 (ja) 2000-02-24 2004-06-07 日本電信電話株式会社 フレーム転送方法
BR0317944A (pt) 2003-01-23 2005-11-29 Research In Motion Ltd Método e aparato para restabelecimento de comunicação em um dispositivo de comunicação sem fios após perda de comunicação em rede de comunicação sem fios
US7210034B2 (en) 2003-01-30 2007-04-24 Intel Corporation Distributed control of integrity measurement using a trusted fixed token
JP4064914B2 (ja) 2003-12-02 2008-03-19 インターナショナル・ビジネス・マシーンズ・コーポレーション 情報処理装置、サーバ装置、情報処理装置のための方法、サーバ装置のための方法および装置実行可能なプログラム
US20070162394A1 (en) * 2004-02-12 2007-07-12 Iconix, Inc. Rapid identification of message authentication
EP1770915A1 (en) 2005-09-29 2007-04-04 Matsushita Electric Industrial Co., Ltd. Policy control in the evolved system architecture
US8522018B2 (en) 2006-08-18 2013-08-27 Fujitsu Limited Method and system for implementing a mobile trusted platform module
US10210516B2 (en) * 2006-09-24 2019-02-19 Rfcyber Corp. Mobile devices for commerce over unsecured networks
GB0701518D0 (en) 2007-01-26 2007-03-07 Hewlett Packard Development Co Methods, devices and data structures for protection of data
CN101855887B (zh) 2007-11-06 2014-07-23 金雅拓股份有限公司 在移动通信设备间共享或转售nfc应用
US20090307140A1 (en) * 2008-06-06 2009-12-10 Upendra Mardikar Mobile device over-the-air (ota) registration and point-of-sale (pos) payment
US8966657B2 (en) 2009-12-31 2015-02-24 Intel Corporation Provisioning, upgrading, and/or changing of hardware
US8832452B2 (en) 2010-12-22 2014-09-09 Intel Corporation System and method for implementing a trusted dynamic launch and trusted platform module (TPM) using secure enclaves
KR20150094792A (ko) * 2010-12-30 2015-08-19 모지도코화이어코리아 유한회사 모바일 지갑 및 그의 관련 정보 관리 시스템 및 방법
US9161218B2 (en) * 2010-12-30 2015-10-13 Mozido Corfire—Korea, Ltd. System and method for provisioning over the air of confidential information on mobile communicative devices with non-UICC secure elements
WO2013067507A1 (en) * 2011-11-03 2013-05-10 Mastercard International Incorporated Methods, systems, and computer readable media for provisioning and utilizing an aggregated soft card on a mobile device
CN104115175A (zh) * 2011-12-13 2014-10-22 维萨国际服务协会 集成移动信任服务管理器
US9953310B2 (en) * 2012-05-10 2018-04-24 Mastercard International Incorporated Systems and method for providing multiple virtual secure elements in a single physical secure element of a mobile device
CN102833817B (zh) * 2012-09-05 2015-03-11 中国联合网络通信集团有限公司 基于家庭网关的网络接入方法和系统以及家庭网关
WO2014158331A1 (en) * 2013-03-26 2014-10-02 Jvl Ventures, Llc Systems, methods, and computer program products for managing wallet activation
WO2014184771A1 (en) * 2013-05-15 2014-11-20 Visa International Service Association Methods and systems for provisioning payment credentials
CN105324752A (zh) 2013-05-21 2016-02-10 谷歌公司 用于管理服务升级的系统、方法和计算机程序产品
EP2884692B1 (en) 2013-12-13 2020-05-20 Nxp B.V. Updating software on a secure element
CN105934961A (zh) * 2013-12-19 2016-09-07 谷歌公司 用于获得移动设备数据的系统、方法和计算机程序产品
WO2016058006A1 (en) * 2014-10-10 2016-04-14 Visa International Service Association Methods and systems for partial personalization during mobile application update
US9735968B2 (en) 2014-10-20 2017-08-15 Microsoft Technology Licensing, Llc Trust service for a client device
EP3040922A1 (en) * 2014-12-30 2016-07-06 Telefonica Digital España, S.L.U. Method and system for providing authentication, integrity and confidentiality for transactions performed by mobile device users
US9716688B1 (en) * 2015-05-13 2017-07-25 Parallels International Gmbh VPN for containers and virtual machines in local area networks
CN107493291B (zh) * 2017-08-31 2020-03-27 阿里巴巴集团控股有限公司 一种基于安全元件se的身份认证方法和装置

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
AU2016203535A1 (en) * 2011-11-01 2016-06-16 Google Llc Systems, methods, and computer program products for managing secure elements

Also Published As

Publication number Publication date
JP2021511737A (ja) 2021-05-06
WO2019141094A1 (zh) 2019-07-25
CN110062016A (zh) 2019-07-26
TW201933215A (zh) 2019-08-16
US20200351247A1 (en) 2020-11-05
US11588791B2 (en) 2023-02-21
SG11202006627QA (en) 2020-08-28
EP3742704A4 (en) 2021-09-22
JP7325423B2 (ja) 2023-08-14
EP3742704A1 (en) 2020-11-25
EP3742704B1 (en) 2024-03-06

Similar Documents

Publication Publication Date Title
US10285050B2 (en) Method and apparatus for managing a profile of a terminal in a wireless communication system
KR102398276B1 (ko) 프로파일 다운로드 및 설치 장치
TWI676945B (zh) 綁定可穿戴設備的方法和裝置、電子支付方法和裝置
JP6185152B2 (ja) サービスにアクセスする方法、アクセスするためのデバイスおよびシステム
US11989543B2 (en) Method for interoperating between bundle download process and eSIM profile download process by SSP terminal
US11838752B2 (en) Method and apparatus for managing a profile of a terminal in a wireless communication system
US11589212B2 (en) Method and apparatus for managing event in communication system
CN103154966A (zh) 在具有多个客户端的电子网络中进行远程维护的系统和方法
JP2008102925A (ja) 分割した電子サービスの提供方法
US11588791B2 (en) Method and apparatus for trusted service management
WO2017041562A1 (zh) 一种识别终端设备用户身份的方法和装置
CN105873055B (zh) 一种无线网络接入认证方法及装置
JP7535022B2 (ja) 機器をリモートで管理するための装置、方法及びそのためのプログラム
CN113766034A (zh) 基于区块链的业务处理方法和装置
US20230180007A1 (en) Electronic device and method for electronic device to provide ranging-based service
WO2016040804A1 (en) Scalable charging system based on service-oriented architecture (soa)
CN111030914B (zh) 一种数据传输方法及数据传输系统
CN103313245A (zh) 基于手机终端的网络业务访问方法、设备和系统
US11076296B1 (en) Subscriber identity module (SIM) application authentication
Veloz-Cherrez et al. NFC-Based Payment System Using Smartphones for Public Transport Service
JP2021501948A (ja) 複数のソフトウェアコンテナを備えた耐タンパデバイスを管理する方法
WO2024065698A1 (zh) 通信方法、装置、设备、存储介质、芯片、产品及程序
US20210297410A1 (en) Mec platform deployment method and apparatus
CN116886334A (zh) 一种基于DTLS的轻量级CoAP安全通信方法及系统
WO2024175747A1 (en) Virtual subscriber identity module distribution

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
REG Reference to a national code

Ref country code: HK

Ref legal event code: DE

Ref document number: 40011346

Country of ref document: HK

GR01 Patent grant
GR01 Patent grant