用于多个服务供应商可信服务管理器和安全元件的接口连接的系统、方法和计算机程序产品技术方案

本发明专利技术提供了用于多个服务供应商(SP)可信服务管理器(TSM)中的一个与多个安全元件(SE)中的一个之间的接口连接的系统、方法和计算机程序产品。通过通信网络从SP TSM接收包括移动订阅识别符(MSI)的第一请求。查询至少一个存储器以获得包括对应于所述MSI的SE识别符的SE数据。所述SE数据通过所述通信网络传输到所述SP TSM。通过所述通信网络从所述SP TSM接收基于所述SE数据的第二请求。通过移动网络将基于所述第二请求的第三请求传输到对应于所述SE数据的SE。所述移动网络是选自多个移动网络，且是基于从所述存储器查询的所述SE数据而确定。

【技术实现步骤摘要】
【国外来华专利技术】用于多个服务供应商可信服务管理器和安全元件的接口连接的系统、方法和计算机程序产品相关申请案交叉参考本申请主张2012年9月18日提交的第61/702,653号和2011年11月1日提交的第61/554,393号的美国临时申请的优先权，所述申请的内容是以引用的方式并入本文。专利技术背景专利
本专利技术涉及服务供应商与安全元件之间的接口连接，且更特定地说涉及用于服务供应商可信服务管理器与安全元件之间的接口连接的系统、方法和计算机程序产品。相关领域服务供应商(SP)是向客户或消费者提供服务的公司、组织、实体等等。服务供应商的实例包括账户发行实体，诸如商人、卡协会、银行、营销公司和运输管理局。服务可以是由服务供应商允许或提供的活动、能力、功能、工作和使用，诸如支付服务、赠送服务、报价服务或忠诚度服务、过境签证服务等等。在涉及移动装置与服务供应商之间的非接触式交易的移动环境下，涉及由服务供应商发行的账户和应用程序的信息必须被下载到移动装置上以使其能够执行非接触式交易。可信服务管理器(TSM)通常是通过向移动装置配置应用程序(诸如与服务供应商相关联的无接触式应用程序)而服务于移动网络运营商(MNO)和账户发行服务供应商的独立实体。典型的TSM可远程分布并管理无接触式应用程序，因为其访问启用近场通信(NFC)的移动装置中的安全元件(SE)。诸如涉及支付和账户证书的安全关键应用程序需要安全硬件存储装置和安全执行环境。在移动装置上，这通常是由安全元件处理。安全元件是其上可安装、个性化并管理应用程序的平台。其是由使能够安全存储证书并执行用于支付、认证和其它服务的应用程序的硬件、软件、接口和协议组成。安全元件可以不同形状因子(诸如可被插入到移动装置上的狭槽中的通用集成电路卡(UICC)、嵌入式安全元件或NFC使能器(诸如单独芯片或安全装置))实施。通常，UICC是呈受控于MNO的用户身份模块(SIM)的形式。嵌入式安全元件向服务供应商赋予将安全元件嵌入到电话本身中的选项。其中实施安全元件形状因子的一种方式是定义于(例如)GlobalPlatform卡规范版本2.1.1和2.2(下文称为“GlobalPlatform”)中。安全元件可以包括一个或多个安全域(SD)，其中的每个包括信任共同实体(即，使用共同安全密钥或令牌认证或管理)的数据的集合，诸如数据包、小应用程序、应用程序等等。安全域可以与服务供应商相关联且可以包括服务供应商小应用程序或应用程序(诸如忠诚度、票券兑换和信用卡)并中转应用程序或小应用程序。从传统上来说，服务供应商系统包括TSM以与移动装置上的安全元件互连以在安全元件上创建安全域，且安装、配置和管理安全元件上的小应用程序和应用程序。服务供应商必须能够给具有装备有不同安全元件且由多个MNO服务的不同移动装置的极多个客户提供其服务。如上文解释，安全元件可以多种形状因子实施，且可以包括多个安全域、小应用程序和应用程序，其全部可以极多种方式进行配置。结果，服务供应商面临给移动装置、MNO、网络、安全元件和安全域的多种且通常不断增加并不断变化的组合提供适应性服务和解决方法的艰巨任务。例如，为了使服务供应商将支付小应用程序安全地安装到移动装置的客户安全元件上，服务供应商必须首先确定大量信息发送到安全元件并在安全元件上处理请求。例如，服务供应商使用先前技术必须获得安全元件信息(例如，识别符、类型、配置文件识别符、证书级别、失效期)、MNO信息(例如，类型)、安全域信息(例如，识别符、权限、主密钥索引)等等。这样的信息可以存在于多个不同源(例如，安全域、安全元件、移动装置、MNO)中，且因此服务供应商检索所有这样的信息并核对其奇偶校验是一项艰巨的任务，需要大量处理。安装、管理和配置安全元件上的应用程序由于典型的TSM受限而面临一种技术挑战，即TSM不会用作能够处理极多个服务供应商、MNO、移动装置、网络、安全元件和安全域之间的通信的中央中间机构。因此，需要改善系统，诸如尤其被特别设计用作服务供应商(包括服务供应商TSM)与安全元件之间的接口连接的中央TSM。从服务供应商的观点来看，所关心的是其可容易又安全地与期望的客户安全元件通信(即，请求个性化、服务激活、脚本处理等等)，而不管客户移动装置、安全元件、MNO或移动网络。从客户的观点来看，所关心的是服务供应商的服务可在客户安全元件上激活且和客户安全元件一起激活，而不管客户移动装置、安全元件、MNO或移动网络。专利技术概述本专利技术提供了用于多个服务供应商可信服务管理器中的一个与多个安全元件中的一个之间的接口连接的系统、方法和计算机程序产品。在一个实施方案中，一种用于多个服务供应商可信服务管理器中的一个与多个安全元件中的一个之间的接口连接的系统包括至少一个存储器和处理器，其通信地耦接到所述至少一个存储器。所述处理器通过通信网络从服务供应商可信服务管理器接收包括移动订阅识别符的第一请求。查询所述至少一个存储器以获得包括对应于所述移动订阅识别符的安全元件数据。所述安全元件数据包括安全元件识别符且是通过所述通信网络传输到所述服务供应商可信服务管理器。通过所述通信网络从所述服务供应商可信服务管理器接收基于所述安全元件数据的第二请求且将基于所述第二请求的第三请求传输到对应于所述安全元件数据的安全元件。所述第三请求是通过基于从所述存储器查询的所述安全元件数据从多个移动网络选择的移动网络而传输。在另一实施方案中，一种用于多个服务供应商可信服务管理器(SPTSM)中的一个与多个安全元件中的一个之间的接口连接的方法包括SPTSM和至少一个存储器。所述SPTSM通过通信网络接收包括移动订阅识别符的第一请求。查询所述至少一个存储器以获得包括对应于所述移动订阅识别符的安全元件识别符的安全元件数据。通过所述通信网络将所述安全元件数据传输到所述SPTSM，且通过所述通信网络从所述SPTSM接收基于所述安全元件数据的第二请求。通过移动网络将基于所述第二请求的第三请求传输到对应于所述安全元件数据的安全元件。所述移动网络是选自多个移动网络，且是基于从所述至少一个存储器查询的所述安全元件数据而确定。在另一实施方案中，一种其上存储指令序列的非临时性计算机可读介质，所述指令序列包括当由计算机系统执行时使所述计算机进行以下项的指令：通过通信网络从SPTSM接收包括移动订阅识别符的第一请求；查询至少一个存储器以获得包括对应于所述移动订阅识别符的安全元件识别符的安全元件数据；通过所述通信网络将所述安全元件数据传输到所述SPTSM；通过所述通信网络从所述SPTSM接收基于所述安全元件数据的第二请求；和通过移动网络将基于所述第二请求的第三请求传输到对应于所述安全元件数据的安全元件。所述移动网络是选自多个移动网络，且是基于从所述至少一个存储器查询的所述安全元件数据而确定。根据下文结合以下附图陈述的详细描述将更加明白本专利技术的其它特征和优点。附图简述根据下文结合以下附图陈述的详细描述将更加明白本专利技术的其它特征和优点。图1是根据示例性实施方案的用于服务供应商与安全元件之间的接口连接的系统的图。图2是示出了根据示例性实施方案的用于将请求从服务供应商信任服务管理器发送到安全元件的序列的序列图。图3是示出了根据示例性实施方案的用于将多个请本文档来自技高网...

【技术保护点】
一种用于多个服务供应商(SP)可信服务管理器(TSM)中的一个与多个安全元件中的一个之间的接口连接的系统，所述系统包括：至少一个存储器；和处理器，其耦接到所述至少一个存储器，所述处理器可操作以：通过通信网络从SP TSM接收包括移动订阅识别符的第一请求；查询所述至少一个存储器以获得包括对应于所述移动订阅识别符的安全元件识别符的安全元件数据；通过所述通信网络将所述安全元件数据传输到所述SP TSM；通过所述通信网络从所述SP TSM接收基于所述安全元件数据的第二请求；和通过移动网络将基于所述第二请求的第三请求传输到对应于所述安全元件数据的安全元件，其中所述移动网络是选自多个移动网络，且是基于从所述至少一个存储器查询的所述安全元件数据而确定。

【技术特征摘要】
【国外来华专利技术】2011.11.01 US 61/554,393;2012.09.18 US 61/702,6531.一种用于多个服务供应商可信服务管理器中的一个与多个安全元件中的一个之间的接口连接的系统，所述系统包括：至少一个存储器；和处理器，其耦接到所述至少一个存储器，所述处理器可操作以：通过通信网络从服务供应商可信服务管理器接收包括移动订阅识别符的第一请求；查询所述至少一个存储器以获得包括对应于所述移动订阅识别符的安全元件识别符的安全元件数据；通过所述通信网络将所述安全元件数据传输到所述服务供应商可信服务管理器；通过所述通信网络从所述服务供应商可信服务管理器接收基于所述安全元件数据的第二请求；和通过移动网络将基于所述第二请求的第三请求传输到对应于所述安全元件数据的安全元件，其中所述移动网络是选自多个移动网络，且是基于从所述至少一个存储器查询的所述安全元件数据而确定。2.根据权利要求1所述的系统，其中所述第二请求是执行所述安全元件的预个性化的请求，所述预个性化包括在所述安全元件上创建一个或多个安全域且在所述安全元件上安装预存储在所述至少一个存储器上的一个或多个应用程序。3.根据权利要求1所述的系统，其中所述第二请求包括以下请求中的至少一个：(1)管理通信，(2)处理一个或多个预定脚本，和(3)激活服务。4.根据权利要求1所述的系统，其中所述第二请求是处理一个或多个预定脚本的请求，且其中所述一个或多个预定脚本包括以下命令中的一个：(1)个性化应用程序，和(2)执行密钥旋转以将由所述服务供应商提供的密钥设置到所述安全元件中的安全域中。5.根据权利要求1所述的系统，其中所述第二请求是处理一个或多个预定脚本的请求，且其中所述一个或多个预定脚本包括一个或多个命令应用程序协议数据单元，所述一个或多个命令应用程序协议数据单元包括用于所述安全元件的命令。6.根据权利要求1所述的系统，其中所述至少一个存储器包括数据库，所述数据库包括多个移动订阅识别符和多个对应的安全元件识别符。7.根据权利要求1所述的系统，其中所述处理器还可操作以使用所述至少一个存储器验证所述第二请求。8.根据权利要求1所述的系统，其还包括可操作以处理所述第一请求、所述第二请求和所述第三请求中的至少一个的企业服务总线。9.一种用于多个服务供应商可信服务管理器中的一个与多个安全元件中的一个之间的接口连接的方法，所述方法包括以下步骤：通过通信网络从服务供应商可信服务管理器接收包括移动订阅识别符的第一请求；查询至少一个存储器以获得包括对应于所述移动订阅识别符的安全元件识别符的安全元件数据；通过所述通信网络将所述安全元件数据传输到所述服务供应商可信服务管理器；通过所述通信网络从所述服务供应商可信服务管理器接收基于所述安全元件数据的第二请求；和通过移动网络将基于所述第二请求的第三请求传输到对应于所述安全元件数据的安全元件，其中所述移动网络是选自多个移动网络，且是基于从所述存储器查询的所述安全元件数据而确定。10.根据权利要求9所述的方法，其中所述第二请求是执行所述安全元件的预个性化的请求，所述预个性化包括在所述安全元件上创建一个或多个安全域且在所述安...

【专利技术属性】
技术研发人员：MJ加吉尔罗，
申请(专利权)人：JVL风险投资有限责任公司，
类型：发明
国别省市：美国;US