用于在应用的两个实例之间传送用户数据的方法

摘要

本发明是一种将用户数据从包的第一实例传送到与升级版本对应的另一包的第二实例的方法。所述第一实例以其自身的存储格式来存储用户数据。两个实例被嵌入在安全元件中。所述方法包括如下步骤：在两个实例之间在便携式安全设备内建立直接信道，-所述第一实例变为其中其拒绝除了与所述第二实例的通信之外的任何服务请求的锁定状态，通过以传送格式来格式化用户数据而准备封包，并且自动地通过直接信道将封包发送到所述第二实例，所述第二实例从封包重获用户数据，并且以另一存储格式来存储用户数据。

说明书

技术领域

本发明涉及在应用的两个实例之间传送用户数据的方法。本发明特别是涉及在嵌入在安全元件中的各实例之间传送用户数据的方法。

背景技术

安全元件是包括用于计算处理的存储器、微处理器和操作系统的小设备。这样的安全元件可以包括多个不同类型的存储器（如非易失性存储器和易失性存储器）。它们被称为“安全的”，因为它们能够控制对它们所包含的数据的访问并且对由其它机器进行的数据的使用授权或者不授权。安全元件也可以基于加密组件而提供计算服务。一般而言，安全元件具有受限制的计算资源和受限制的存储器资源，并且它们被意图连接到为它们提供电力的主机机器。安全元件可以是可拆装的，或被固定到主机机器。例如，智能卡是一种安全元件。

安全元件可以包含应用以及它们的囊括用户数据、文件系统和机密密钥的关联的可应用数据。这样的应用可以被开发为被存储到安全元件中的包。然后按照需要来创建包应用的一个或若干实例。每个实例拥有、处置并且存储其自身的可应用数据。

远程服务器可以经由无线信道或通过有线网络（如例如互联网）访问安全元件。例如，意图被用在电信领域或机器到机器（M2M）领域中的安全元件能够管理OTA（空中）信道。也可以针对安全模式通过通常称为HTTP或HTTPS的超文本传输协议来访问这些安全元件。因此，远程服务器能够使用特定协议通过专用通信会话来远程地管理安全元件（如UICC（UniversalIntegratedCircuitCard，通用集成电路卡））的内容。例如，服务器可以使用由GlobalPlatform?v2.2标准定义的RAM（RemoteAppletManagement，远程小应用管理）机制——由OMA-TS-DMV1.2.1标准定义的修正案B“RAMoverHTTP”或OMA-DM（OpenMobileAlliance-DeviceManagement，开放移动联盟——设备管理）协议。

远程服务器能够发送包应用的新版本或升级。在此情况下，链接到先前的包的实例被删除，并且它们的可应用数据的临时备份被存储在远程服务器中。然后，包的新版本被安装，新的实例被创建并且填装有从备份区域重获的可应用数据。这样的方案是棘手的任务，并且可能导致数据丢失。此外，将备份数据发送到服务器请求归因于要被升级的大量安全元件而可能是重要的带宽的一部分。相似地，可以简单地删除可应用数据；新的可应用数据由远程服务器生成并且被传输到新实例。在此情况下，这也要求在服务器侧上的一些带宽。

存在针对允许在嵌入在安全元件中的应用的来自旧包的实例与来自新包的实例之间的可应用数据的增强传送的需要。

发明内容

本发明的目的在于解决上面提到的技术问题。

本发明的目的是一种将用户数据从第一包的第一实例传送到与所述第一包的升级版本对应的第二包的第二实例的方法。第一实例以第一存储格式来存储用户数据。所述第一实例和第二实例被嵌入在安全元件中。所述方法包括以下步骤：

-所述第一实例和第二实例在便携式安全设备内建立直接信道，

-所述第一实例变为其中所述第一实例拒绝除了与所述第二实例的通信之外的所有服务请求的锁定状态，通过以传送格式来格式化所述用户数据而准备封包，并且自动地通过直接信道将封包发送到所述第二实例，

-所述第二实例从封包重获用户数据，并且以第二存储格式来存储用户数据。

有利地，所述第一实例和第二实例可以包括密钥，所述第一实例和第二实例可以使用所述密钥来执行相互鉴权，并且可以只在相互鉴权成功时才建立直接信道。

有利地，所述方法可以包括进一步的步骤：

-所述第二实例检查所述第一实例和所述第二包兼容，以及

-在成功检查的情况下，所述第二实例请求所述第一实例发送用户数据。

有利地，所述方法可以包括进一步的步骤：删除第一实例，并且如果不存在第一包的余留实例，则删除所述第一包。

有利地，第一实例可以具有第一标识符，并且第二实例可以具有第二标识符，并且所述方法可以包括创建从第一标识符到第二标识符的别名的步骤。

有利地，可以在安全元件中创建与第二包的升级版本对应的第三包的第三实例，第三实例可以具有第三标识符，并且所述方法可以包括将别名从第一标识符传送到第三标识符的步骤。

本发明的另一目的是安全元件，所述安全元件包含第一包和第二包、第一包的第一实例以及第二包的第二实例。第一实例以第一存储格式来存储用户数据。第一实例和第二实例被配置为在安全元件内建立直接信道。第一实例被适配为变为其中其拒绝除了与第二实例的通信之外的所有服务请求的锁定状态。第一实例被适配为通过以传送格式来格式化用户数据而准备封包。第一实例被适配为自动地通过直接信道将封包发送到第二实例。第二实例被适配为从封包重获用户数据，并且以第二存储格式来存储用户数据。

有利地，第一实例和第二实例可以包括密钥，所述第一实例和第二实例可以被配置为使用所述密钥来执行相互鉴权，并且可以只在相互鉴权成功时建立直接信道。

有利地，第二实例可以被适配为检查所述第一实例和第二包是否兼容，并且在成功检查的情况下请求所述第一实例发送用户数据。

有利地，所述第一实例可以具有第一标识符，并且所述第二实例可以具有第二标识符。安全元件可以包括能够创建从第一标识符到第二标识符的别名的第一装置。

有利地，安全元件可以包括能够删除实例的第二装置、能够检查给定的包的余留实例的存在性的第三装置以及能够删除包的第四装置。

附图说明

参照对应的随附附图，本发明的其它特征和优点将从阅读以下大量本发明的优选实施例的描述而更清楚地显现，在附图中：

-图1描绘根据本发明的应用的两个包版本和所链接的实例的示例，

-图2示出根据本发明一个方面的传送可应用数据的第一示例性流程图；

-图3示出根据本发明一个方面的传送可应用数据的第二示例性流程图；

-图4示出根据本发明示例的安全元件的示图；以及

-图5描绘根据本发明的两个包和所链接的实例的另一示例。

具体实施方式

本发明可以应用于被意图用来嵌入当在领域上部署时可以被升级的应用的任何类型的安全元件。这样的安全元件可以被耦合到主机机器（如电话、车辆、仪表、自动售货机、TV或计算机）。

在本描述中，词语实例意味着软件应用的实例。本发明不仅应用于如在Java领域中所限定的实例，而且还应用于可以独立地运行的（以非面向对象的编程语言编写的）分离软件。

本发明依赖于在两个实例之间建立通信信道，该信道仅保留在安全元件内。当前实例（即来自旧包的实例）锁定自身，并且以对于两个实例公用的传送格式来准备其自身的可应用数据。来自新包的实例重获已经被以传送格式接收到的可应用数据，并且以其自身的存储格式来存储它们。

本发明的优点是避免当应用的升级出现时在安全元件的外部发送用户数据。由于用户数据保留在安全元件中，因此本发明提供避免在网络上传送用户数据期间的攻击的优点。这增加用户数据的安全性。

图1示出根据本发明的链接到应用的不同包的两个实例的示例。

在该示例中，安全元件SE包括应用的包P1以及包P1的实例A1。包P1和实例A1被称为有效的、旧的或当前的。实例A1存储若干可应用数据：两个配置项CF1和CF2、密钥K1以及用户数据UD。例如，安全元件可以是智能卡，并且应用可以是允许处置用于支付的安全交易的支付服务。用户数据UD可以包括卡持有者姓名的姓名、卡密钥、卡证书以及卡余额。实例A1使用其自身的存储格式来存储可应用数据。每个项可以被单独地存储在特定的字段中。在图1处示出四个字段。例如，每个项可以被单独地存储在单个文件的记录中。替换地，实例A1可以使用单独地存储每个项的多个文件。

安全元件SE包括同一应用的另一包P2以及包P2的实例A2。包P2与包P1的升级版本对应。在通过通信信道CO的数据传送之后，在图1处示出实例A2的可应用数据。在该示例中，实例A2使用五个字段来存储可应用数据。配置项CF1和CF2、密钥K1以及用户数据UD被存储在三个不同的字段中。此外，实例A2将第三配置项CF3和第二密钥K2存储在两个附加字段中。假设实例A2被意图表现为像实例A1那样（除了修复的缺陷（bug）之外），这两个附加字段包含不由实例A1（以及包P1）管理并且为此原因在实例A2中保持禁用的数据。换言之，由包P2提供的新特征对于实例A2而言并非是激活的。

可应用数据可以包括出自于安全元件的用户的值、出自于提供应用的实体的值以及反映服务使用的历史的值。

图2示出根据本发明一个方面的用于传送可应用数据的流程图的第一示例。

基于如下的假设而描述以下示例：安全元件SE包括Java卡虚拟机，并且包P1和包P2以及关联的实例A1和A2符合Java卡要求。虽然在Java卡技术的情况下提供示例，但本发明也应用于以其它面向对象的语言（如C++语言）和非面向对象的语言（如C语言）开发的包和实例。

在图2的步骤S1之前，假设已经执行若干步骤。首先，应用包P1被安装到安全元件SE中，并且实例A1被从包P1创建而进到安全元件SE中。部分地取决于安全元件的用户来利用可应用要素来个性化实例。例如，这些可应用要素可以包括卡持有者信息。实例A1允许用户可以获得与应用对应的服务。然后，开发第二包P2。与第一包P1相比，包P2提供一些附加特征。（或某缺陷修复）。

在图2的步骤S1，包P2被加载到安全元件SE中。可以通过OTA机制来执行这种加载。在步骤S2，在安全元件SE中从包P2创建实例A2。这种创建可以由远程服务器经由专用命令来请求或由任何特定事件来启动。实例A2被意图用来替代实例A1。

在步骤S3，实例A1与A2之间的可应用数据的迁移要么在创建实例A2之后自动地被触发，要么关于由安全元件SE所接收到的请求而被触发。

然后，在步骤S4，实例A1和A2这两者建立通信信道CO。该通信信道CO在不经过安全元件SE的外部的情况下连接实例A1和A2这两者。例如，实例A1和A2可以使用如在Java卡技术中定义的可共享接口，以用于建立通信信道CO。

在步骤S5，实例A2请求实例A1准备并且传送可应用数据。替换地，实例A1可以采取主动以准备并且发送可应用数据。

在步骤S6，实例A1将自身设置在其中其拒绝除了与实例A2的通信之外的所有进一步的服务请求的锁定状态下。该特定状态——又被命名为“用于迁移而被锁定”——确保实例A1不再针对提供可应用服务而进行运行。这避免当运行应用时所使用的可应用数据的值与传送到新实例A2的可应用数据的值之间的冲突。实例A1生成要被使用预设的传送格式来传送的可应用数据的集合PA（又被命名为封包PA）。例如，传送格式可以基于EMVCoCPS（CommonPersonlizationSpecification，通用个性化规范）DGI（DataGroupIdentifier，数据组标识符）。从属于实例A1的可应用数据来生成可应用数据的集合PA。然后，实例A1通过连接CO将所生成的集合PA发送到实例A2。

在步骤S7，实例A2接收数据集合，解释可应用数据值，并且使用其自身的存储格式来存储可应用数据。通过参照图1，实例A2可以例如在五个不同的字段中存储可应用数据。

在步骤S8，删除实例A1，并且实例A2变成用于应用的当前实例。换言之，实例A2已经替代实例A1。

在步骤S9，执行检查以检测仍链接到包P1的其它实例。如果不存在从包P1创建的余留实例，则删除包P1，否则，针对余留实例再次执行步骤S2至S8。

图3示出根据本发明一个方面的用于传送可应用数据的流程图的第二示例。

该流程图关于图2的流程图包括若干附加的步骤。这些附加的步骤不一定彼此相关，并且提供各种改进。

可以在运行步骤S2之前执行步骤S1A。步骤S1A与检查当前所部署的包P1的所链接的现有实例对应。在我们的示例中，步骤S1A的检查检测实例A1的存在。因此，在步骤S2，可以利用与实例A1不同的标识符来创建实例A2。在Java卡实例的示例中，这些标识符被称为用于应用标识符的AID，并且符合预设的格式。

有利地，可以在步骤S7之后执行步骤S9A。步骤S9A与在实例A1和A2的各标识符之间创建别名对应，从而对实例A1的调用现在被路由到实例A2。因此，使得对实例进行替代对于系统的其余部分来说是透明的。

有利地，可以在安全元件SE中创建与第二包P2的升级版本对应的第三包的新实例。该新实例具有其自身的标识符。另一步骤（图3未示出）可以与把别名从实例A1的标识符传送到从第三包创建的新实例的标识符对应。这种别名传送（而非别名创建）的处理将因此使得能够在保持没有对被意图使用安全元件的设备的影响的同时将用户数据传送重复多于一次。

可以在运行步骤S4之前执行步骤S3A。步骤S3A目标在于允许实例A1和A2检查它们是否被授权一起进行通信。例如，它们可以基于机密密钥K1而运行相互鉴权。相互鉴权可以基于在智能卡领域熟知的方案。在此情况下，只在相互鉴权成功时，建立连接CO（步骤S4）。

此外，可以在传送可应用数据之前执行检查实例A1与A2之间的兼容性的步骤S4A。例如，实例A2可以检查实例A1与包P2兼容。可以通过得到由实例A1提供的版本号或允许检查实例属于同一应用的不同版本的应用的标识符来执行这种检查。

图4示出根据本发明的示例的安全元件SE的示图。

安全元件SE包括应用的两个包P1和P2。包P2被假设为包P1的升级版本。包P1和包P2包含管理相互鉴权所需要的机密密钥K1。安全元件SE包含从包P1创建的实例A1。实例A1存储可应用数据（如机密密钥K1和用户数据UD）。在该示例中，安全元件是包括被配置为根据ISO7816标准来与外部交换数据的通信接口IN的智能卡。

安全元件包括Java虚拟机VM以及四个装置M1、M2、M3和M4。第一装置M1被配置为在两个实例的各标识符之间创建别名。第二装置M2被配置为当实例的可应用数据已经被传送到另一实例时删除该实例。第三装置M3被配置为检查从给定的包创建的（即，链接到给定的包的）余留实例的存在性。第四装置M4能够删除包。

图5示出根据本发明的两个包及它们的所链接的实例的另一示例。

已经从包P1创建了两个不同的实例A1和B1。已经从包P2创建了三个不同的实例A2、B2和C。实例A2被假设为替代进到安全元件中的实例A1。相似地，实例B2被假设为替代实例B1。实例A1（相应地，实例B1）的可应用数据根据本发明而被传送到实例A2（相应地，实例B2）。然后，对于实例A1（相应地，实例B1）的进一步的调用被重定向到实例A2（相应地，实例B2）。在图5处通过双线箭头示出这种重定向。

通过参照图1处详述的实例，仅使用由先前的实例管理的可应用数据的部分来创建新实例A2和B2：如果假设这些新实例表现为如先前的实例那样，则配置项CF3和密钥K2可以保持禁用（不使用）而进到新实例A2和B2中。换言之，当新实例仅仅目标在于确保后向兼容性时，不需要配置项CF3和密钥K2的初始化。

归功于本发明，不必需保持应用的旧版本和新版本这两者：一个包就足够。这节省安全元件的存储器中的空间。

替换地，如果允许新实例A2和B2管理可应用数据的该部分（例如，管理由包P2支持但是不由包P1支持的附加功能），则配置项CF3和密钥K2可以被设置有特定值。

实例C不替代任何先前的进到安全元件中的实例。在任何情况下，该实例C被完全个性化。换言之，在利用出自于包P2的所有新特征的实例C中激活配置项CF3和密钥K2。

安全元件可以由安全元件发行方所拥有并且部署。掌控应用的安全元件的发行方可以是银行（例如，针对MicroSD安全元件）、移动网络运营商（例如，针对SIM安全元件）或手持机制造商（针对被嵌入的安全元件）。应用可以是由开发包P1的安全软件提供商（或包提供商）所设计的支付服务。例如，包提供商可以是跨国金融服务公司（如VISA?）。服务提供商可以从安全元件发行方和包提供商这两者得到执照，以用于创建应用的实例A1。例如，服务提供商可以是银行。因此，归功于应用的实例A1安全元件的用户可以访问支付服务。

然后包提供商可以通过开发包P2来设计应用的新版本。根据本发明，发行方或服务提供商可以将新包P2加载到安全元件中，创建新实例A2，并且激活从实例A1到实例A2的可应用数据迁移。在可应用数据传送之后，发行方或服务提供商可以删除实例A1和包P1这两者。附加地，发行方可以实例A1与A2之间创建别名。

归功于本发明，发行方或服务提供商可以不重新生成并且传输新的可应用数据而是通过重新使用已经存在于安全元件实例内部的可应用数据来容易地并且平稳地管理现有实例的迁移。这对于新特征和缺陷修复版本的部署而言提供了更快的进入市场的时间。

归功于本发明，在安全元件内的本地数据传送方法允许（通过嵌入到安全元件中的并且对于安全元件来说为本地的装置）简化从一个旧应用实例到一个新的（具有新功能和/或缺陷改正的）应用实例的现有的可应用数据的迁移处理。这避免了由服务提供商重新生成并且重新传输所述可应用数据。

本发明的优点是促成在不同服务提供商之间共享一个应用包，从而这些服务提供商避免对其中驻留有应用包的安全元件的发行方支付额外费用。

本发明的优点是节省通信性能和相关联的成本：通信速度、远程服务器计算能力。

本发明的优点是减少操作风险（如数据的丢失、在传输期间的数据损毁、传输故障或临时存储）。

本发明的优点是减少安全性风险，特别是与在安全元件内的实例与远程服务器之间传输安全数据关联的所有风险。

本发明的优点是针对生成新的可应用数据集合而限制在服务器侧处与应用有关的要求。

本发明不限制于银行运营领域的应用，并且可以管理任何领域中的所有种类的应用。