移动装置安全模块中的客户端可访问的安全区域

摘要

本申请涉及移动装置安全模块中的客户端可访问的安全区域。一种安全模块具有所分配的唯一的电子标识符。该安全模块具有通信接口、非易失性存储器以及被耦接至该通信接口和该非易失性存储器的处理单元。在该非易失性存储器中形成一个或多个未分配的安全域，并且这些未分配的安全域中的每个未分配的安全域都具有所分配的唯一的应用标识符(AID)。这些未分配的安全域中的每个未分配的安全域都可通过对应的第一安全值来访问，并且，使用该对应的第一安全值，在部署该安全模块之前或之后，这些未分配的安全域中的每个未分配的安全域都可以被分配给服务提供商。

说明书

技术领域

本披露总体上涉及远程网络计算服务器与移动装置之间的安全 通信。更具体地但并非排他性地，本披露涉及一种具有多个未分配的 安全域的安全模块，这些未分配的安全域中的每个未分配的安全域都 可在随后分配给客户端。

背景技术

通常而言，远程服务器主控与在移动通信装置(如智能电话)上 执行的其他软件应用进行交互的软件应用。服务提供商执行与安全模 块发行者的密钥交换活动。然后，执行一个或多个密钥多样化功能以 导出其他秘密密钥，这些其他秘密密钥用于对将在远程服务器与移动 装置之间通信的秘密信息进行加密。将经加密的信息从远程服务器传 送至移动网络运营商(MNO)，并且MNO将数据传送至移动装置。 在移动装置中，需要订户身份模块(SIM)以对每个秘密信息包进行 解码。替代性地，移动装置使用存储在SIM中的秘密密钥数据来加密 信息并且将经加密的信息传送至MNO，该MNO将该经加密的信息 转发至远程服务器。

图1展示了通过移动网络10a对安全数据的常规的供应和基于安 全卡的通信。在图1中，安全通信基础设施包括移动装置12，如与安 全模块14(如，SIM卡)相关联(例如，其内嵌入有或放置有安全模 块)的智能电话。移动装置具有与安全模块14的直接通信关系16。 这些通信可以通过单线协议(SWP)总线、I2C总线、串行外围接口 (SPI)总线或某种其他通信路径和协议发生。

图1中的移动装置12被展示为智能电话，但是设想了其他装置。 例如，移动装置12可以被实施为平板计算装置、膝上型计算机、多 媒体装置、训练设备，或者以某种其他形式来实施。移动装置12可 以是被安排为用于在广域无线网络(如，遵循3G、4GGSM协议、 长期演进(LTE)协议、5G协议或某种其他无线通信网络协议的蜂窝 网络)上进行无线通信18的任何计算装置。通常，广域无线网络由 网络服务提供商20(也被称为移动网络运营商(MNO))所监管。

移动装置12与提供无线移动网络服务的MNO20进行通信。MNO 20与安全模块14内的数据密切对准，并且通常MNO20将初始数据 供应到安全模块14内。通常而言，在移动装置访问由MNO20所提 供的服务的通信会话(例如，电话呼叫、电子邮件、文本消息等)中， 来自安全模块14的信息被传送至MNO20。

安全元件发行者可信服务管理者(SEI-TSM)22向MNO20和其 他实体提供密码工具和数据24(如公钥和私钥)以及加密/解密算法， 这些实体中的某些实体与MNO20相关联。SEI-TSM22可以是MNO 20、硅制造商(如意法半导体公司)、制造移动装置的原始设备制造 商(OEM)或某种其他实体。由SEI-TSM22执行的一种有价值的功 能是建立到安全模块的安全超文本传输协议(HTTPS)链接。

当正在供应用于新的服务提供商的新的关系集合时，SEI-TSM22 在安全模块中创建新的服务提供商安全域(SPSD)。在密钥活动期间 所交换的安全密钥被编程用于安全域内并且用于由服务提供商的可 信服务管理者进一步访问。在某些情况下，SEI-TSM22还可以引渡 SPSD，这意味着该SEI-TSM可以删除或以其他方式放弃其向SPSD 读取或写入任何数据的能力。在安全模块14的SPSD被引渡之后， SEI-TSM22将向源自SP-TSM或以其他方式的安全模块传送安全 (即，经加密的或以其他方式模糊化的)包，但是SEI-TSM22将不 会具有查看或以其他方式解释正被传送的数据包的任何能力。

与服务提供商(SP-TSM)26相耦接的第二可信服务管理者通过 可选的互操作性促进器28而与SEI-TSM22分离开。互操作性促进器 28准许在可信服务管理者以及其他计算装置之间共享不同的数据结 构、协议等。SP-TSM26通过相同的或不同的互操作性促进器28被 耦接至一个或多个服务提供商32。

SP-TSM26与SEI-TSM22交换安全信息。可以将来自SP-TSM 的多个密钥编程到安全模块14的SPSD中，并且将与该SPSD相关联 的其他密钥传送至服务提供商32。宽泛地讲，SP-TSM26用对应于 SPSD的那些密钥来对数据进行加密，并且其对来自服务提供商的数 据进行解释。SP-TSM26还将来自服务提供商的数据格式化成多个应 用协议数据单元(APDU)，这些应用协议数据单元由安全模块所识别 并且由在移动装置上执行的应用展开。

服务提供商32常规地包括大型的国家和国际银行服务提供商(如 美国银行和花旗银行)、支付服务提供商(如VISA和 MASTERCARD)、大型零售商(如苹果、塔吉特(TARGET)和星巴 克)等。

图1中所描述的系统是非常复杂并且非常昂贵的。为了实现这样 的系统，要求服务提供商32获取它们自身的可信服务管理者或支付 对可信服务管理者的非常昂贵的、定制的访问。也就是，图1的 SP-TSM26对于服务提供商向它们的客户提供移动支付而言是必需 的，并且因此服务提供商必须设置它们自身的SP-TSM26(这是非常 昂贵的)，或者服务提供商必须针对向SP-TSM26的特定访问签约(这 同样是非常昂贵的)。

SP-TSM26形成与安全元件发行者可信服务管理者(SEI-TSM) 22的安全的通信关系。宽泛地来看图1，SP-TSM26形成与具体服务 提供商32的安全关系；并且SEI-TSM22通过由MNO20控制的网络 形成与安全模块14的安全关系。以此方式，服务提供商32能够安全 地与具体客户上的安全模块14交换秘密信息。通信关系中的安全性 是通过这两个可信服务管理者SP-TSM26与SEI-TSM22之间的通信 启用的。相应地，一旦安全模块14由客户所使用，新的服务只能通 过SP-TSM26与SEI-TSM22之间的连接来部署。

更密切地看，在服务提供商32与安全模块14之间传送安全数据 的过程变得非常复杂。服务提供商与其相关联的SP-TSM26之间的关 系需要在这些装置之间维护并传送的具体安全机制，并且在SEI-TSM 22与安全模块14之间的关系也需要在这些装置之间维护并传送的多 个具体安全密钥。这些可信服务管理者基于多个经轮换的密钥来传送 经加密的数据，并且维护安全的和有效的密钥的复杂性通过密钥交换 活动、密钥多样化程序和密钥轮换技术来执行。使用在每个装置以及 几百个、几千个以及甚至几百万个装置上的多个应用，除其他事项外， 常规的过程要求精准的定时、大量的计算资源、较大的通信带宽以及 大量的功率。这种基础设施是必需的，因为通用HTTPS服务器(如 由服务提供商32实现的)无法安全地与移动装置上的安全模块14进 行对话，即使当安全模块包括承载独立协议(BIP)接口时。换言之， 即使可以在常规的安全模块中存储并执行安全服务，常规的安全模块 仅被启用以用于与可信服务管理者的安全通信。

目前正在使用常规的供应和基于安全卡的通信系统的两个常规 模型。

图2A展示了以多服务提供商可信服务管理者方式10b进行的图 1的常规的供应和基于安全卡的通信。在图2A中，展示了三个服务 提供商：银行服务提供商32a、政府服务提供商32b和零售服务提供 商32c，并且这些服务提供商中的每个服务提供商具有专用的SP-TSM 26a-26c。以这种委托管理方式，所有的SP-TSM通过中央SEI-TSM22a 通信至与移动装置12a相关联的安全模块14a，该移动装置在由具体 移动网络运营商(MNO)20a操作的无线网络上进行通信。这种架构 的实现和维护对于这些服务提供商32a-32c中的每一个服务提供商而 言都是非常昂贵的，因为这些服务提供商32a-32c中的每一个服务提 供商都必须设置被明确地配置为用于通过通常由MNO或安全卡 OEM控制的SEI-TSM22a进行安全通信的SP-TSM26a-26c。经常， 这种方式无法被调整用于较小的银行、公共事业服务提供商、零售设 施等。

图2B展示了以单个服务提供商可信服务管理者方式10c进行的 图1的常规的供应和基于安全卡的通信。在单个SP-TSM方式中，展 示了三个服务提供商：运输服务提供商32d、娱乐服务提供商32e和 商业服务提供商32f；并且它们全部共享单个SP-TSM26d的那些资 源以通过SEI-TSM22b进行通信。这些服务提供商通过移动装置12b 将由MNO20b操作的载体上的多个安全通信传送至具体的安全模块 14b。以这种方式，服务提供商32d-32f和SEI-TSM22b各自针对 SP-TSM26d所导致的服务对SP-TSM26d进行补偿。由于当前架构限 制和与SEI-TSM22b交换密钥和其他信息的复杂性，服务提供商 32d-32f并不直接地接近或将通信传送至SEI-TSM22b。

在多服务提供商可信服务管理者方式10b中，每个服务提供商拥 有或者以其他方式控制专用的TSM。当前，通常认为某些非常大型的 服务提供商优选这种方式，因为即使其比较昂贵(例如，使SP-TSM 26a-26c在线可能花费一百万美元或更多)，该大型服务提供商可以将 其自身与它的无法承担或调整该投资的小得多的竞争者区分卡来。例 如，即使在美国有超过2000家特许银行，只有极少几家最大的银行 已经建立并控制专用SP-TSM26a。

在单个服务提供商可信服务管理者方式10c中，单个集中式TSM 协商各个服务提供商26d-26f与这些安全模块(SEI-TSM)的发行者 之间的关系。该协商促进了协作技术安排，从而使得服务提供商的软 件应用和安全协议(例如，密钥轮换、多样性等)与安全模块的相应 的应用和协议进行协作。在这些情况下，多个服务提供商可以全部贡 献或以其他方式投资一个财团以创建并维护中央SP-TSM。

在背景部分中所讨论的主题的全部不一定都是现有技术，并且不 应该仅仅由于在背景部分中对其的讨论而被假定为现有技术。据此， 除非明确地阐明为是现有技术，对在背景部分中所讨论的或与这种主 题相关联的现有技术中的问题的任何识别不应被看作现有技术。相 反，对在背景部分中的任何主题的讨论都应该被看做发明人解决具体 问题的方法的一部分，其本身以及本质上也可以是有创造性的。

发明内容

移动装置和远程计算服务器可以使用通过由移动网络运营商 (MNO)监管的多个计算服务器减少或消除通信的技术来交换安全数 据。例如，一个实施例涉及一种在移动装置与服务提供商之间进行通 信的方法。该方法包括在安全模块中定义至少一个安全存储器区域的 操作，并且将应用签名存储于该至少一个安全区域内。规则集用于定 义对该至少一个安全区域内的某些属性的访问，其中，这些属性可以 包括安全存储器存储、多种处理功能等。因此，远程服务提供商的计 算服务器被通信地耦接至移动装置上。该计算服务器发送请求以在移 动装置与远程服务提供商计算服务器之间传送数据。从该至少一个安 全区域中检索出该应用签名，并将其与从计算服务器中所检索出的应 用签名进行验证。一旦经过验证，安全数据将在远程服务提供商计算 服务器与移动装置之间通信。移动装置上的安全模块是唯一可以对这 些通信进行加密和解密的装置。该安全模块通过经验证的应用签名通 过移动装置上的用于创建经验证的应用签名的安全应用来仅对安全 数据进行通信。

在某些实施例中，一种安全模块具有所分配的唯一的电子标识 符。该安全模块具有通信接口、非易失性存储器以及被耦接至该通信 接口和该非易失性存储器的处理单元。在该非易失性存储器中形成一 个或多个未分配的安全域，并且这些未分配的安全域中的每个未分配 的安全域都具有所分配的唯一的应用标识符(AID)。这些未分配的安 全域中的每个未分配的安全域都可通过对应的第一安全值来访问，并 且，使用该对应的第一安全值，在部署该安全模块之前或之后，这些 未分配的安全域中的每个未分配的安全域都可以被分配给服务提供 商。

在第一实施例中，一种安全模块具有为其所分配的唯一的电子标 识符(EID)。该安全模块可以包括：通信接口；非易失性存储器，该 非易失性存储器具有在其内所配置的多个未分配的安全域，这些未分 配的安全域中的每个未分配的安全域都具有为其所分配的唯一的应 用标识符(AID)，这些未分配的安全域中的每个未分配的安全域都可 通过对应的第一安全值来访问；以及被耦接至该通信接口和该非易失 性存储器的处理单元。在安全模块的这些和其他实施例中，这些未分 配的安全域中的每个未分配的安全域的每个对应的第一安全值都不 同于每个其他第一安全值，并且在某些情况下，每个第一安全值都与 该对应的未分配的安全域的AID相关联。

在某些情况下，该非易失性存储器被进一步配置为包括功能逻辑 以便为这些未分配的安全域中的每个未分配的安全域供应至少一个 第二安全值。在某些情况下，发行者控制的安全域被准许向该多个未 分配的安全域中的第一安全域读写数据，并且在该第一安全域被分配 给服务提供商之后，该发行者控制的安全域被限制对该第一安全域的 至少某部分读写数据。每个第一安全值都是与公钥基础设施(PKI) 相关联的安全值。在安全模块被部署之后，可将该多个未分配的安全 域中的至少一个未分配的安全域分配给服务提供商。在某些情况下， 安全模块的通信接口遵循近场通信(NFC)协议。在某些情况下，安 全模块是通用集成电路卡(UICC)，并且在其他情况下，安全模块是 订户身份模块(SIM)。

在第二实施例中，一种系统包括多个安全模块，并且该多个安全 模块中的每个安全模块都包括通信接口、非易失性存储器以及被耦接 至该通信接口和该非易失性存储器的处理单元。该系统还包括至少一 个计算服务器以及与该至少一个计算服务器相关联的至少一个数据 库。

关于该多个安全模块，每个安全模块都具有在其内所配置的与该 对应的安全模块相关联的唯一的电子标识符(EID)以及多个未分配 的安全域。这些未分配的安全域中的每个未分配的安全域都具有为其 所分配的唯一的应用标识符(AID)。这些未分配的安全域中的每个未 分配的安全域都可通过对应的第一安全值来访问。每个安全模块还具 有在其内所配置的发行者控制的安全域以及功能逻辑以便为这些未 分配的安全域中的每个未分配的安全域供应至少一个第二安全值。

该系统中的一个或多个数据库被安排为用于存储该多个第一安 全值，并且该至少一个计算服务器被安排为用于将该多个安全模块中 的所选定的安全模块的该多个未分配的安全域中的所选定的安全域 分配给服务提供商。该分配是通过将该多个第一安全值中的所选定的 第一安全值传送至该服务提供商来进行的。该所选定的第一安全值对 应于该所选定的安全模块的该所选定的安全域的该对应的第一安全 值。

在某些情况下，服务提供商被配置为用于生成第二安全值，该第 二安全值存储于该所选定的安全模块中。在某些情况下，在移动装置 上执行的安全应用被配置为用于通过将数据与所生成的第二安全值 相关联来向该所选定的安全模块的该所选定的安全域的存储器读取 数据或写入数据。

在该系统中，该所选定的安全模块与移动装置相关联，并且该服 务提供商可以是远程计算服务器。当出现这种情况时，远程计算服务 器与移动装置之间的通信可以遵循安全超文本传输协议(HTTPS)。

在第三实施例中，一种方法供应具有存储器的安全模块。该安全 模块的该存储器具有在其内所配置的多个未分配的安全域，并且这些 未分配的安全域中的每个未分配的安全域都可通过对应的第一安全 值来访问。该方法可以包括以下操作：在与该安全模块相关联的移动 装置上执行安全应用；在该移动装置与服务提供商计算服务器之间建 立安全通信连接；以及从该服务提供商计算服务器接收以第一安全值 加密的数据以及该多个未分配的安全域中的所选定的安全域的标识 符，其中，以该第一安全值加密的该数据包括第二安全值和安全域应 用。该方法还可以包括以下操作：将以该第一安全值加密的该数据以 及该所选定的安全域的该标识符传递至该安全模块，并且该第一安全 值对应于存储在该所选定的安全域中的安全值。该方法可以进一步包 括以下操作：从该服务提供商计算服务器接收以该第二安全值加密的 数据；以及将以该第二安全值加密的该数据和该安全域应用传递至该 所选定的安全域。

在某些情况下，该方法还包括以下操作：以该安全域应用来对经 加密的数据进行解密。

在某些情况下，在执行该方法时，该第一安全值基于被分配给该 所选定的安全域的应用标识符(AID)以及被分配给该安全模块的电 子标识符(EID)。在某些情况下，在执行该方法时，该服务提供商 计算服务器与该移动装置之间的通信遵循安全超文本传输协议 (HTTPS)。该安全应用在某些情况下是移动支付安全应用。

附图说明

参照以下附图描述了非限制性且非穷尽的实施例，其中，除非另 外指定，贯穿不同视图，类似的标号指代类似的部分。附图中元件的 尺寸和相对位置不一定是按比例绘制的。例如，对不同元件的形状进 行选择、放大以及定位，以提高附图可识别性。为了易于在附图中进 行识别，选择了如所描绘的这些元件的具体形状。下文参照附图对一 个或多个实施例进行描述，在附图中：

图1展示了通过移动网络对安全数据的常规的供应和基于安全卡 的通信；

图2A展示了以多服务提供商可信服务管理者方式进行的图1的 常规的供应和基于安全卡的通信；

图2B展示了以单个服务提供商可信服务管理者方式进行的图1 的常规的供应和基于安全卡的通信；

图3是常规的供应的安全模块实施例；

图4是改进的安全模块实施例；

图5展示了通过如图1中所表示的移动网络对安全数据的常规的 供应和基于安全卡的通信连同本文所描述的新的安全基础设施的实 施例的组合；

图6展示了移动装置与服务提供商之间的安全通信路径实施例；

图7展示了与移动装置安全模块内的客户端可访问的安全区域相 关联的通信的另一个实施例；

图8是编程数据流程图，展示了在已经部署在现场的安全模块中 创建新的安全域；

图9A是第一流程图部分，展示了对服务提供商安全域的监管和 使用；以及

图9B是第二流程图部分，展示了对服务提供商安全域的监管和 使用。

具体实施方式

在移动装置与远程服务器之间传送秘密数据的常规系统比较复 杂。这些通信需要密钥交换过程，该密钥交换过程不断地要求来自多 个服务提供商所监管的多个计算装置、多个可信服务管理者等的协 作。随着智能电话能力持续增长，密钥以及这些装置、多个移动网络 运营商以及其他远程计算装置之间的密钥事务的数量也将需要增长。 当今，密钥过程对于主控多个应用的智能电话而言是必需的，并且预 期监管者的应用的数量增长至几十并且甚至几百个应用。

诸位发明人认识到移动支付系统的复杂性以及未来的增长，并且 诸位发明人打算简化常规的系统。首先，诸位发明人从安全模块的那 些能力以及对其的期望详细地研究了常规的系统。

图3是更加详细的常规的供应的安全模块14实施例。安全模块 14是由至少具有某种基础逻辑的原始设备制造商(OEM)形成的， 该基础逻辑将包括处理单元34、存储器(未被单独调出)以及可由处 理单元34执行的一个或多个某种软件指令集。例如，在图3的安全 模块14中，OEM形成具有安全模块操作系统36的安全模块14。安 全模块操作系统36的逻辑包括电信框架38以及平台服务管理器40 的操作软件和电路，该平台服务管理器自身包括策略规则执行器42。 与安全模块操作系统相关联的电路可以包括：安全模块14的从存储 器中读写的各种接口、用于与在安全模块14外部的多个计算装置进 行有线和无线通信的收发器、多个电源部件等。

电信框架38是安全模块操作系统36的服务，该服务包括多种网 络认证算法和其他网络基础设施以促进将多个移动网络特定的特征 向安全模块14上进行的加载和操作。平台服务管理器40是安全模块 操作系统36的服务，该服务确保对安全模块14的那些基本安全操作。 例如，平台服务管理器40可以包括多个防黑客特征、多个装置刷机 检测特征、多个安全卡篡改检测特征等。平台服务管理器40还可以 确保用于多个数据包的基本格式化以及到安全模块14内的和来自安 全模块的通信。

安全模块14还包括通信接口44。通信接口44可以包括近场通信 (NFC)电路和软件、蓝牙电路和软件、Wi-Fi(例如，IEEE802.11) 电路和软件或遵循不同的协议的无线通信逻辑。另外或替代性地，安 全模块14的通信接口44可以包括如例如在ETSITS102221技术规 范中所定义的称为智能卡的标准化有线接口；UICC终端接口；物理 和逻辑特性或通过引用结合于此的某种其他标准化接口。

在安全模块14的存储器中，OEM或安全模块14的发行者将实 现安全模块证书授权安全域46。一旦实现，通过平台服务管理器40 来监测并维护安全模块证书授权安全域46的完整性。在不破坏安全 模块14的完整性的情况下无法改变或删除安全模块证书授权安全域 46。以此方式，安全模块14可以包括某些一次性可编程特征、融合 特征等以便促进对平台服务管理器40的操作。促进完整性的另一种 方式是通过不可修改的私有安全密钥、来自相关联的证书授权的证 书、根公钥以及其他密钥集来促进密钥/证书更新。安全模块证书授权 安全域46促进了向和从安全模块14传送安全信息(包括多个密钥交 换和轮换特征)。安全模块证书授权安全域46还促进了对传送至或接 收自外部证书授权的证书的加载、卸载和授权。

同样，在安全模块14的存储器中，OEM或安全模块14的发行 者将实现发行者安全域根48。该发行者安全域根包括与安全模块证书 授权安全域46的特殊特征类似的特殊特征。具体地，发行者安全域 根48受到监测，从而使得未经授权的更改或删除将破坏安全模块14 的完整性。发行者安全域根48促进了针对安全模块14的发行者传送 安全信息(包括多个密钥交换和轮换特征)。

在图3中，两个简档被展示为存储于安全模块14的存储器中。 第一MNO简档50被启用，并且第二MNO简档52被禁用。这些MNO 简档由在个性化设施处的安全模块制造商创建或在安全模块14已经 离开制造商之后由另一个实体创建。当在现场供应安全模块14时， 创建这些MNO简档。通常而言，供应安全模块14包括如合作式安排 所指示的那样通过安全模块操作系统36和平台服务管理器40在安全 卡内分配存储器，该合作式安排除了多个可选的证书授权、多个可选 的互操作性促进器以及其他实体之外还涉及安全模块14的发行者、 移动网络运营商以及一个或多个可信服务管理者。如所展示的，第一 MNO简档50包括被组织为一系列模块的多条可执行软件指令和数 据。形成发行者安全域简档以使能以准许并强制执行针对MNO的某 些存储器边界的方式来供应第一MNO简档50。通过发行者安全域简 档的那些工具和服务，安全模块14的发行者创建移动网络运营商 (MNO)安全域。

该MNO安全域包括多种工具以管理在第一MNO简档50中所提 供的存储器空间。在MNO的指示下，该MNO安全域创建策略规则 模块、补充安全域(SSD)、控制授权安全域(CASD)、提供服务提 供商的所期望功能的一个或多个小应用程序、对多个服务提供商工具 与多个MNO工具之间的接口连接的多个网络访问应用(NAA)连同 其他可选的可执行功能、文件系统以及任何其他可选数据。

根据第一MNO简档50的原则，第二MNO简档52形成于安全 模块14的存储器中。在图3中，第一MNO简档50被启用，而第二 MNO简档52被禁用。在这方面，第一MNO简档50的那些功能是 可访问以供使用的，并且第二MNO简档52的那些功能是被保持但不 可访问的。

在从安全模块的角度详细研究了这些常规系统之后，诸位发明人 确定了这些常规系统的许多缺点。

诸位发明人认识到移动支付系统的复杂性以及未来的增长，并且 打算简化常规的系统。设定了多个目标以使促进移动装置与服务提供 商之间的安全数据的供应和传递的密钥交换过程的复杂性最小化。认 识到的是，去除对可信服务管理者(TSM)基础设施的逐事务依赖性 将提高安全数据传递的效率并且降低大型服务提供商和小型服务提 供商两者的进入成本。另外，认识到的是，TSM基础设施的去除不会 降低安全性，并且如果可以通过被证明是安全的通信技术以及现在存 在的基础设施的实现来增强安全性则将获得额外的益处。

诸位发明人所寻求的另一个目标是开发一种使能一种机制的解 决方案，通过该机制，多个发行者和服务提供商在已经发行并供应安 全模块之后可以向最终用户部署新服务。如果这些目标可以实现，诸 位发明人认识到，在发行并供应安全模块之后还可以用新应用来引入 新的服务提供商。

为了抛弃昂贵的TSM基础设施，对SEI-TSM和SP-TSM两者的 功能均进行简化。在现有的服务提供商服务器上利用数据的安全化 (例如，加密)，并且使用安全值(如密钥)来将数据传递至存储于 安全模块内的客户端，而不是使用用于基于安全超文本传输协议(即， HTTPS)的客户端的证书来保护数据。在SP-TSM先前将数据格式化 为多个应用协议数据单元(APDU)命令的情况下，现在将数据到 APDU命令的格式化移到与形成于安全模块上的安全域相关联的应 用中。该应用的安全性是通过在加载该应用并且将其与具体安全域相 关联时所建立的可信根来获得的。除了形成多条APDU命令之外，安 全应用还与该安全模块的其他特征进行通信并且充当服务提供商计 算服务器与安全模块之间的通信调度员。

现在所描述的这些特征是基于由安全模块的制造商所创建的新 的基础设施实现的。在该新的基础设施中，在安全模块的存储器中创 建一个、两个或多个未分配的安全域。安全模块的制造商根据已知的 实践向这些预先创建的、未分配的安全域中的每个未分配的安全域分 配唯一的应用标识符，并且制造商创建用于访问对应的安全域的安全 值(例如，安全密钥)。在某些情况下，使用预先创建的、未分配的 安全域的AID来创建用于访问该具体安全域的安全值。通过使用这种 架构，可以在制造期间、在制造之后以及在现场的供应和部署之后加 载要求安全数据传递的应用。

这种新架构向安全模块制造商、MNO、服务提供商以及最终用户 提供了益处。例如，安全模块制造商可以出售创新安全模块，并且制 造商监管用于访问这些未分配的安全域的安全值。以此方式，制造商 能够向服务提供商出售或出租对安全域的访问，并且这些服务提供商 可以部署新的安全数据通信特征而无需常规技术中所需要的显著的 财务投资。以这种方式，可以向单独的提供商提供单独的安全值，并 且可以在任何时间传递这些安全值，这些安全值中的每个安全值授权 对不同的未分配的安全域的访问。作为另一个替代方案，这些安全模 块的多个发行者将接收对使得能够使用这些未分配的安全域的这些 安全值的访问。

图4是改进的安全模块实施例114。图4的安全模块114基本上 类似于图3的常规安全模块14。在改进的安全模块114的逻辑与常规 的安全模块14的逻辑相同或几乎相同的多个区域内，为简便起见将 限制或省略对逻辑的讨论。

安全模块114包括处理单元134和安全模块操作系统136。安全 模块操作系统136的逻辑包括电信框架138以及平台服务管理器140， 该平台服务管理器包括策略规则执行器142。安全模块114还包括通 信接口144、安全模块证书授权安全域146模块和发行者控制的安全 域根148模块。

安全模块114的制造商还创建了一个或多个未分配的安全域 156a、156b、156c、156n。在创建了多个安全域的情况下，制造商可 以创建2、5、10、100或某个其他数量的未分配的安全域。在每个安 全模块114中，制造商将存储永久电子ID(EID)。另外，制造商还 将为在安全模块114上所形成的每个未分配的安全域创建永久应用 ID(AID)。

可以使用多个安全域来提供用于安全值(如密码密钥)的安全存 储。安全域还通过如本领域技术人员已知的一种或多种标准化协议来 提供对安全信息的访问。例如，在某些情况下，可以使用如在通过引 用结合于此的全球平台卡规范v.2.2.1中所定义的全球平台(GP)安 全通道协议来使得对安全域内的信息的访问对卡外实体是可用的。

安全域的性质可以通过以下方式来配置：通过GP特权(例如， 委托或授权管理、DAP验证、令牌管理、全局删除)、通过供应密钥 (例如，针对SCP02/03或SCP80/81)以及通过将第一安全域关联至 具有其他权限的另一个安全域、通过将安全域关联至其自身(并且从 而去除上级安全域的所有管理权限)(即，引渡)或通过为该安全域 及其所有内容分配存储器配额。

在较早的版本中，发行者安全域(ISD)具有若干特有的特权。 然而，在最新的全球平台卡规范中，还通过多种特权来配置安全域， 并且除了在开始处存在，没有剩下主要特定特征。引渡安全域的此程 序集应当允许多个MNO保持与它们今天关于安全模块中的当前ISD 具有相同的益处。

安全模块114是提供一种在远程计算服务器与移动通信装置(例 如，智能电话)之间通信安全信息的新的并且更好的方法的装置。所 构思的解决方案基本上去除了对密钥交换、密钥多样化、预共享密钥 (PSK)概念和可信服务管理者(TSM)的需要。

在某些实施例中，移动网络运营商(MNO)控制移动装置的订户 身份模块(SIM)或其他安全模块上的信息。存储于该安全模块内的 信息由MNO用来标识移动装置并且监管所签约的移动网络服务从而 为移动装置的用户带来益处。

在这些实施例中，MNO“出租”存储器空间、处理器周期以及另 外或替代性地耦接至一个或多个移动装置的安全模块114内的功能。 该出租可以包括按月支付、按年支付、补贴支付或交换对安全模块114 的硬件属性、软件属性或硬件和软件属性的访问的某种其他形式的 值。以此方式，特地与在或可在远程计算服务器上执行的一个或多个 应用耦接的安全模块114内所存储的信息可以用于促进在远程计算服 务器与安全模块114的那些属性之间的安全通信。在这些实施例中， 常规系统的复杂性被降低，同时安全性得到维持并且在某些情况下被 增强。

如本文所使用的，安全模块的这些属性可以包括计算机可读介质 (如，瞬态存储器(例如，随机存取存储器(RAM))、非瞬态存储器 (例如，只读存储器(ROM)，如闪存存储器))、整个处理单元、处 理单元的共享资源或专用资源、一个或多个软件应用、组合逻辑、多 个运算单元、多个算法单元、多个加密引擎、多个解密引擎、多个随 机数生成器、电源电路、通信电路以及其他硬件、软件和形成电路模 块的组合的硬件与软件逻辑模块。

本文所描述的这些实施例的一个方面消除了通过移动网络运营 商的基础设施的某个部分来传递信息。具体地，可以直接在移动装置 的安全模块114与远程服务器之间建立安全通信路径，而不是通过由 MNO操作的一个或多个指定的计算服务器来传送每个信息包。安全 通信路径可以与以下各项相关联：传输层安全(TLS)、安全套接层 (SSL)、安全超文本传输协议(HTTPS)通信、安全元件(SE)访 问控制文件(例如，移动装置可用的访问控制规则文件(ACRF))、 公共密钥基础设施(PKI)以及用于在远程服务器与移动装置之间安 全地通信数据的其他非限制性机制和技术。移动装置的安全模块与多 个远程服务器之间的直接路径降低了密钥交换、密钥多样化和其他常 规技术的复杂性。

图5展示了通过如图1的10a中所表示的移动网络对安全数据的 常规的供应和基于安全卡的通信连同本文所描述的新的安全基础设 施的实施例的组合。在附图中，安全通信基础设施包括安全模块114， 如被耦接至移动装置112(如智能电话)的SIM卡。移动装置112具 有与安全模块114的直接的本地通信关系116。这些通信可以通过单 线协议(SWP)总线、I2C总线、串行外围接口(SPI)总线或某种其 他通信路径和协议发生。

图5中的移动装置112能够与提供无线移动网络服务118(如， 语音呼叫、数据通信、文本消息等)的移动网络运营商(MNO)120 进行通信。MNO120与安全模块114内的数据密切对准，并且通常 MNO120将初始数据供应到安全模块114内。当移动装置112访问由 MNO120所提供的服务118时，来自安全模块114的信息被传送至 MNO120。

安全元件发行者可信服务管理者122(SEI-TSM)向MNO120和 其他实体提供密码工具和数据124(如公钥和私钥)以及加密/解密算 法，这些实体中的某些实体与MNO120相关联。与服务提供商126 (SP-TSM)相耦接的第二可信服务管理者通过可选的互操作性促进 器128而与SEI-TSM122分离开。互操作性促进器128准许在可信服 务管理者以及其他计算装置之间共享不同的数据结构、协议等。 SP-TSM126通过相同的或不同的互操作性促进器128被耦接至一个 或多个服务提供商132。

服务提供商可以针对如图5的服务提供商132所展示的商品和服 务收费，该服务提供商覆盖了银行服务、购物服务、运输服务、政府 服务、公共事业服务以及其他商品和服务(未示出)。在图1的常规 操作中，当服务提供商32与移动装置12进行通信时，所有的通信穿 过SP-TSM26、互操作性机制28、SEI-TSM22以及移动网络运营商 (MNO)20的某些计算服务器。该通信路径是安全的但是比较复杂， 并且在某些情况下，该通信路径还比较慢。

相反，在图5中，提供了移动装置112与服务提供商132之间的 直接通信路径。另一种通信路径在某些实施例中还可以包括服务提供 商可信服务管理者(SP-TSM)126。通过引入在安全模块114内启用 的附加的、更直接的通信路径，本文所描述的这些实施例提供具有降 低的复杂性的鲁棒的端到端安全。

如同样可选地由虚线所指示的，SP-TSM126可以通过到SEI-TSM 122的互操作性促进器来继续促进通信。这些服务提供商132可以继 续包括与SP-TSM126的多个通信安全操作，并且MNO120可以继续 包括与SEI-TSM122的多个通信安全操作124。

图6展示了移动装置112与服务提供商114之间的安全通信路径 实施例。图6的实施例表示图5中的移动装置与服务提供商之间的直 接通信路径以及同样包括SP-TSM126的通信路径的多个方面。

在图6中，安全应用158驻留在移动装置112上。移动装置112 上的安全应用158管理与关联于服务提供商132的远程计算服务器 160的安全连接。该安全连接包括使用HTTPS协议、SSL层或其他技 术的一个或多个证书交换操作。通过运行于移动装置112上的安全应 用158来对由远程计算服务器160发送至安全模块114的那些数据包 进行标识。

在常规的架构中，与服务提供商相关联的计算服务器将数据传送 至服务提供商可信服务管理者(SP-TSM)。该SP-TSM将对数据进行 加密并且创建来自该数据的多条应用编程数据单元(APDU)命令。 然后，该SP-TSM将通过由MNO控制的SEI-TSM来安全地通信这些 APDU命令以供到移动装置的最终传送。移动装置将解密或者以其他 方式解包这些APDU命令并且将它们传送至安全模块进行处理。在新 的基础设施中，运行于远程计算服务器160上的安全应用在安全的基 于互联网的通信路径上直接将包发送至运行于移动装置112上的安全 应用158，该通信路径包括第一通信路径162、第二通信路径164和 第三通信路径166。远程计算服务器160和移动装置112可以使用共 享密钥基础设施来进行通信。嵌入在远程计算服务器所发送的打包数 据内，秘密数据还用在安全模块114内部的安全域已知的共享密钥基 础设施来进行加密。运行于移动装置上的安全应用158将来自远程计 算服务器160的经加密的数据形成为多条APDU命令并且将这些 APDU命令传送至安全模块。

在安全应用158接收到这些数据包之后，安全应用158使用公共 密钥基础设施(PKI)来封装该数据。然后，借助来自MNO120的支 持，安全应用158使该数据一致以便传送至安全模块114。为传送到 安全模块准备数据可以包括例如应用通过引用结合于此的全球平台 卡规范版本2.2.1或类似的协议定义中的规则连同由对移动装置112 内的多个移动安全操作进行管理的协议所定义的多个访问规则条件。 安全模块114接收数据并且对使用公共密钥基础设施加密的数据进行 解密。

安全应用158可以可选地承载来自证书授权、可信服务管理者或 其他实体的证书。该证书以可接受的保证来验证这些安全模块操作的 有效性。

在一个实施例中，移动装置112上的安全应用158将执行初始检 查和正在进行的检查以验证该移动装置尚未被刷机。刷机后的移动装 置穿透MNO120在移动装置上具有的提供安全的安全遮蔽。也就是， 一旦刷机，移动装置112的用户获得对移动装置112的以其他方式无 法访问的多个存储器区域、功能和其他特征。如果移动装置112刷机， 对安全应用158的操作终止。

在成功的验证之后，安全应用158将提取移动装置112的公共密 钥。将可以存储于移动装置112内的存储器区域中的该公共密钥与安 全模块114进行交换。安全模块114还可以将公共密钥传送至移动装 置112。然后，使用该公共密钥，安全模块114例如通过传送证书来 验证在移动装置112上执行的安全应用158的完整性。一旦验证了证 书，与安全模块114的通信此后仅通过安全应用158来传送，并且该 安全应用监管与该安全模块的所有交互。

基于针对安全应用158所定义的那些访问规则，安全应用158可 以访问安全模块114的某些属性，如存储器、文件、某些操作等。

使用本文所描述的这些结构和技术，MNO120可以提供出租对在 安全模块上所定义的多个安全域的访问。服务提供商132喜欢这种关 系，因为这种关系提供了一种用于与移动装置112的安全的、高效的 通信的同时避免昂贵的常规基础设施的机制。

在一个实施例中，制造商创建安全模块114的一个或多个区域， 这些区域将可由第三方服务提供商132(如银行机构、商品或服务供 应商等)访问。在这些情况下，服务实体(其可以是制造商)、安全 模块114发行者、MNO或某种其他实体监管对这些未分配的安全域 的访问和使用。当MNO120或其他服务实体与服务提供商132在该 关系的多个条款上达成约定时，在访问控制规则文件(ACRF)中定 义对这些安全区域中的一个或多个安全区域的访问的条件，并且这些 条件和存储区域与同样存储于安全模块114内的应用签名相关联。

在移动装置112进行操作之后，可以使用在远程计算服务器上执 行并且承载正确的签名的应用来直接地访问存储于移动装置112的安 全模块114上的安全信息。

在图6中，展示了三条通信路径。第一通信路径162表示在服务 提供商132的远程计算服务器160与无线网络运营商120之间的通信。 第二通信路径164表示在无线网络运营商120与移动装置112之间的 通信。第三通信路径166表示在移动装置112与关联于移动装置112 的安全模块114之间的通信。

在远程计算服务器160与移动装置112之间穿过MNO120的第 一通信路径162和第二通信路径164上的通信可以与基于互联网的安 全协议(如安全超文本传输协议(即，HTTPS)、安全套接层协议(例 如，SSL7)、传输层协议(TLS)等)一致。可以通过单线接口(SWI)、 I2C串行总线或某种其他有线或无线通信管道来传送在移动装置112 与安全模块114之间的第三通信路径166上的通信。

图6中所展示的通信路径162、164、166以及安全域156a-156n (图4)一旦被分配则可以遵循具体的访问规则文件(ARF)、具体的 访问控制条件文件(ACCF)或在通过引用结合于此的规范(如全球 平台装置技术安全元件访问控制规范)中所定义的某种其他规则架 构。这些通信还可以利用在类似的规范中所定义的访问规则主机 (ARA-M)与访问规则应用客户端(ARA-C)架构。在远程计算服 务器160(用于加密)和在安全模块114(用于认证)上均可以实现 这些基础设施连同被证明的技术(如PKI基础设施)以便提供安全通 信。

图7展示了与移动装置安全模块内的客户端可访问的安全区域相 关联的通信的另一个实施例。在图7中，展示了安全模块114的某些 部分，同时为简化附图起见，将其他部分保留空白。安全模块114包 括所分配的安全域156。安全域156先前是未分配的安全域156a-156n (图4)，但是安全域156已经由发行者控制的计算服务器184所供应， 该发行者控制的计算服务器还包括数据库186以管理对任何数量的安 全域156a-156n的供应。

在安全模块114已经被部署在现场之后，该供应已经被实施。在 图7的实施例中，已经授予具体的服务提供商132(图6)使用该安 全域的特权。可以基于购买、出租或通过其他手段来授权该特权。可 以通过发行者控制的计算服务器184来提供该特权，该发行者控制的 计算服务器可以由安全模块114的制造商以及MNO或某种其他一个 或多个实体来控制。

安全模块制造商确定哪个或哪些实体将分配这些未分配的安全 域156a-156n。安全模块制造商授权控制这些未分配的安全域 156a-156n的一种方式是通过提供对应于这些未分配的安全域 156a-156n的多个安全值(例如，加密密钥)。在某些情况下，一个第 一安全值与每个未分配的安全域相关联，但是在其他情况下，可以与 多个未分配的安全域156a-156n相关联。这些第一安全值与位于未分 配的安全域156a-156n存储器内的多个发行者控制的安全域性质176 一起协同地由制造商使用。

这些发行者控制的安全域性质176可以包括由制造商所定位的数 据、多个可执行功能、多种存储器结构、时间戳或日期戳、历史记录 以及令人期望的任何其他这种信息或功能逻辑。在某些情况下，这些 发行者控制的安全域性质176可以仅包括单个值(如与对应的安全域 相关联的安全值)。通过将具体的安全密钥与相应的安全域156a-156n 相匹配，可以供应该安全域。

在某些情况下，与具体安全域156a-156n相匹配的安全密钥是使 用应用标识符(AID)182形成的，该应用标识符被安全模块114的 制造商编程为这些未分配的安全域156a-156n。在某些实施例中，AID 182遵循具体的编号系统，如在ETSITS101220中所定义的称为智能 卡的编号系统；用于电信应用提供商的ETSI编号系统，其通过引用 结合于此。在其他实施例中，与具体的安全域156a-156n相匹配的安 全密钥是使用AID182以及另外或替代性地用于安全模块114的唯一 标识符EID180形成的。在某些实施例中，EID180是嵌入式通用集 成电路卡(eUICC)标识符，其是用于安全模块114的全局唯一标识 符。在某些情况下，EID180的格式由国际标准化组织(ISO)管理， 虽然在其他情况下，不同的管理机构提供信息以确定并格式化EID 180。

所分配的安全域156被展示为具有多种安全功能168、安全数据 存储器区域170、服务提供商功能区域172、服务提供商密钥区域174、 由安全模块114的制造商所提供的那些发行者控制的安全域性质以及 多个可选的合作伙伴控制的安全域性质178。这些可选的合作伙伴控 制的安全域性质178可以被提供以准许在安全域内的分级级别的控 制。例如，已经被授权访问安全域156的一个服务提供商可以可选地 进一步授权另一个服务提供商访问该安全域的一部分。在这种情况 下，可以使用这些可选的合作伙伴控制的安全域性质178来实现对用 于该子服务提供商的安全域的子部分的访问。为简化图7的解释起见， 未示出安全域存储器中的其他模块，如图3的常规安全模块114中所 展示的模块中的某些或全部。

由制造商在安全模块114中形成发行者控制的安全域根148。发 行者控制的安全域根148包括域管理表149。该域管理表被形成为用 于管理多个所分配的安全域(如安全域156)和多个未分配的安全域 (156a-156n)。对于每个安全域而言，可以存储表示安全域的所有者 或控制实体的信息；可以存储具体访问密钥；可以存储安全域的状态， 如该安全域是否已经被引渡；并且还可以存储对每个具体的安全域是 否已经被启用、禁用或删除的指示。还可以存储与安全模块114或多 个单独的安全域相关联的其他信息。

域管理表149中所存储的引渡状态指示发行者安全域根148是否 能够读取具体安全域的存储区域的某些或全部。当安全域被引渡时， 服务提供商已经授权对在安全域内的存储器的某些或全部的安全访 问。也就是，服务提供商可以对安全域中所存储的数据进行加密，并 且通过引渡过程，发行者控制的计算服务器184或任何其他外部实体 均未被准许访问所分配的安全域中的信息。

图7中表示了移动装置112。安全应用158被存储于移动装置112 的存储器中，并且可以由处理单元(未示出)执行安全应用158的那 些处理器可执行软件指令以执行安全应用158的那些功能。为简化解 释起见，在图7的移动装置112中未展示在常规的移动装置中所找到 的大部分逻辑，但是本领域技术人员将理解这种逻辑被包括在内。

安全应用158被安排为用于与安全域156内的多个模块进行双向 通信。在某些情况下，安全应用158访问多种安全功能168和多种服 务提供商功能172。在某些情况下，安全应用158被安排为用于访问 (即，读/写)安全数据区域170内的数据。安全应用158还被安排为 用于与服务提供商计算服务器(SPCS)应用161进行双向通信。与 SPCS应用161的那些通信可以是直接通信，或者这些通信可以包括 由或通过合作伙伴120a(如MNO120)提供的多项服务。在某些情 况下，SPCS应用161还与发行者控制的计算服务器184进行通信。

执行SPCS应用161的服务提供商计算服务器160与发行者控制 的计算服务器184进行通信。在某些情况下，服务提供商计算服务器 160与发行者控制的计算服务器184之间的双向通信是直接的；在其 他情况下，这些通信是由或通过合作伙伴120a提供的。

图7中的合作伙伴120a可以可选地被包括在许多通信中、在非 常少的通信中或者不包括在通信中。理解到，移动装置112与这些各 个服务通过由MNO(如MNO120(图6))监管的广域网基础设施来 进行通信。相应地，MNO120可以被安排为合作伙伴120a。在某些 情况下，合作伙伴120a可以包括在系统内提供多个不同的服务的多 个实体。合作伙伴120a可以或者可以不提供服务以实现、增强或以 其他方式影响移动装置112与服务提供商计算服务器160之间的安全 通信。图7中展示了向和从合作伙伴120a的可选的通信路径。

现在描述分配或以其他方式供应未分配的安全域的实施例。在开 始该过程之前，安全模块114的制造商已经在安全模块114的存储器 中创建了多个未分配的安全域156a-156n(图4)。已经以所分配的AID 以及一个或多个相应的安全值(例如，加密密钥)创建了该多个安全 域156a-156n中的每个安全域。这些安全域156a-156n中的每个安全 域可以由EID180与AID182的组合唯一地标识，并且这些值连同多 个其他可选值可以被组合并用于形成相关联的安全值。在创建这些未 分配的安全域156a-156n以及这些相应的安全值时，可以创建或者以 其他方式更新域管理表149。

除了在安全模块114上创建域管理表149之外，还使用相应的信 息更新与安全模块114分开且不同的数据库。可以被创建、更新或以 其他方式维护的一个这样的分开且不同的数据库是与发行者控制的 计算服务器184关联地展示的数据库186。

数据库186将通常包括对安全模块114进行标识的信息，如EID 180。数据库186还将通常包括对这些未分配的安全域156a-156n中的 每个未分配的安全域进行标识的信息，如与这些未分配的安全域 156a-156n中的每个未分配的安全域相对应的那些AID182值。为了 访问这些未分配的安全域156a-156n，与这些未分配的安全域 156a-156n中的每个未分配的安全域相对应的具体安全值也将被存储 于数据库186中。另外，还可以将其他安全值和标识信息存储于数据 库186中以使得发行者控制的计算服务器184能够访问并控制形成于 安全模块114上的这些发行者控制的安全域性质176。

在某些情况下，还可以将其他信息存储于域管理表149和数据库 186中的一者或两者中。这种信息可以用于对安全模块114的管理和 监管。这种信息的示例包括硅参考号和批次号以分开各个版本、所创 建的这些安全域的大小、关于这些安全域的其他架构信息、时间戳、 日期戳、制造标识符等。

安全模块114的制造商可以创建具有固定存储器大小(如512千 字节(KB)、1兆字节(MB)或某个其他更大或更小的大小)的该多 个未分配的安全域156a-156n。未分配的安全域156a-156n的数量可 以较小(例如，1个或2个)或较大(例如，10个或更多个)。在某 些情况下，制造商制造带有不同数量的未分配的安全域156a-156n的 不同的安全模块。在某些情况下，制造商制造带有多个具有不同的初 始大小的未分配的安全域156a-156n的不同的安全模块。在另外其他 情况下，制造商制造带有具有第一大小的某些未分配的安全域 156a-156n以及具有不同于该第一大小的第二大小的其他未分配的安 全域156a-156n的安全模块。在某些情况下，在具体安全域被分配之 前或在该安全域被分配之后可以改变该安全域的大小。

向服务提供商分配安全域的过程通常包括与该具体服务提供商 进行密钥交换，该服务提供商将在该安全域被分配时对其进行控制。 在这种情况下，发行者控制的计算服务器184可以由安全模块114的 制造商、合作伙伴120a或由某个其他实体管理。可以由服务提供商 计算服务器160或者由发行者控制的计算服务器184来实施初始通 信。发行者控制的计算服务器184将用服务提供商计算服务器160的 具体指示和协作来加载具有适当的应用、功能、数据、安全值等的安 全域156。服务提供商计算服务器160与发行者控制的计算服务器184 之间的这些通信是安全的并且可以包括任何数量的密钥交换、密钥轮 换或其他安全通信。

将信息加载到安全域156中的过程可以由发行者控制的计算服务 器184、服务提供商计算服务器160或两个服务器的组合来执行。某 些功能(如管理安全域156的执行功能或监管功能)自然地由发行者 控制的计算服务器184来执行。由发行者控制的计算服务器184协作 地翻转并执行或以其他方式管理其他功能。替代性地，特别是当有待 被加载到安全域156内的信息(如密钥形成算法、算法、标识信息、 生物识别信息、秘密处理或其他高度安全的数据)特别敏感时，服务 提供商计算服务器160将管理加载安全域的任务。在这些情况下，当 服务提供商计算服务器160正在与所分配的安全域156进行交互时， 服务提供商在这些服务提供商应用和数据被加载到所分配的安全域 156中时将经常轮换安全值。

在某些情况下，在加载安全域156之后，对安全域156进行引渡。 此引渡程序操作以切断发行者控制的计算服务器184的对所分配的安 全域156中的存储器的某些或全部进行访问的能力。一旦引渡过程完 成，发行者控制的计算服务器184将保留与安全域156相关联的某些 能力，但是发行者控制的计算服务器184无法在安全域156的某些区 域或全部区域中读或写数据。

可由发行者控制的计算服务器184保留的一种能力是撤销服务提 供商访问安全域156的能力。这可能基于控制安全模块的实体与服务 提供商之间具体合同原因而发生，或者这可能由于其他原因而发生。 发行者控制的计算服务器184可以能够删除或者以其他方式模糊化安 全域156内的所有信息。在另外其他情况下，发行者控制的计算服务 器184可以能够改变安全域156的存储器大小(例如，增加大小、减 小大小)。

在某些情况下，发行者控制的计算服务器184能够在安全模块114 的可用存储器内创建多个附加的安全域。

在移动装置112上执行的安全应用158提供多项服务以与在所分 配的安全域156内执行的多种安全功能168进行交互。在某些实施例 中，这些安全功能168提供符合ARA-M定义的多项服务。这些安全 功能168提供对安全域156内的安全访问并且提供对运行于移动装置 112上的安全应用158的认证。基于针对安全应用158所定义的这些 访问规则，安全应用158可以被授权或被拒绝对安全域156内所存储 的多种功能和数据的具体访问。以此方式，使用ARA-M规则体系， 可以将合作伙伴120a置于对安全域156的这些操作的控制下。

安全应用158还提供了多项服务以与在安全域156内执行的多种 服务提供商功能172进行交互。这些服务提供商功能172被安排为用 于对传送自服务提供商计算服务器160并且存储于安全数据区域170 内的安全数据进行加密和解密。使用多个共享安全值(如对于这些服 务提供商功能172是已知的并且对于运行于服务提供商计算服务器 160上的服务提供商应用是已知的多个加密密钥)来促进加密操作和 解密操作。可以将这些安全值存储于安全域156的特定服务提供商密 钥区域174内。在某些实施例中，存储于服务提供商密钥区域174内 的第一安全值仅对于运行于服务提供商计算服务器160上的应用以及 存储于安全域156内的这些服务提供商功能172是已知的。在这些实 施例或替代性实施例中，存储于服务提供商密钥区域174内的第二安 全值仅对于运行于移动装置112上的安全应用158以及存储于安全域 156内的这些服务提供商功能172是已知的。通过启用具体的加密机 制(如PKI)，可以在移动装置112与安全模块114内的安全域156 之间安全地通信信息。另外，在移动装置与安全域之间安全地通信的 数据包括仅可由这些服务提供商功能172和服务提供商计算服务器 160访问的进一步加密的数据。

在某些情况下，还将附加的秘密信息存储于服务提供商密钥区域 174内。例如，在某些情况下，可以将秘密的个人身份识别码(PIN) 存储于服务提供商密钥区域174内。该PIN可以用于向在移动装置 112上执行的安全应用158认证用户。还设想了向安全应用158认证 用户的其他技术。

如在图7中所展示的，各种级别和类型的通信在安全应用158与 所分配的安全域156之间传送。可以通过本领域技术人员已知的多种 专用协议或其他协议来使能通信。在某些实施例中，通信遵循具体的 应用协议接口(API)功能调用集合。这种API的一个示例是开放移 动(OpenMobile)3.0API，其通过引用结合于此。设想了其他协议 和框架。

在移动装置112上执行的安全应用158执行其他功能。例如，安 全应用158在与安全域156进行交互之前或甚至在与安全模块114进 行交互之前可以提供多次安全检查。例如，安全应用158可以提供信 任根检查。信任根检查可以例如验证移动装置112的软件完整性。这 种程序可以包括在引导期间针对固件签名的检查。在这些情况下，通 过已知的程序来内部地存储固件签名。如果安全应用158检测到任何 安全漏洞，安全应用158可以标记错误、可以对错误消息或警告消息 进行通信、可以终止或可以采取某种其他措施。

在某些情况下，服务提供商将数字签名应用于安全应用158。可 以通过在安全域156内执行的这些安全功能168或服务提供商功能 172来验证该数字签名。除了数字签名之外或作为替代物，安全应用 158可以承载来自证书授权(例如，VERISIGN)的证书。可以使用 有效证书来确保安全应用158与运行于服务提供商计算服务器160上 的应用之间的通信的安全性。可以将数字签名、有效证书以及其他附 加的或替代性的信息存储于安全域156的安全数据区域170中。

在某些情况下，安全应用158通过已知技术来确定电话是否已经 被刷机。如果电话已经被刷机，安全应用158将不会执行。在某些情 况下，可以将对一个错误或另一个错误的检测包含于安全应用之内， 并且然后该安全应用被挂起或终止。在其他情况下，对某些错误的检 测还可能导致向安全域156传送指示。此指示(可以是装置或者已经 受损或者可能很快会受损的具体指示)可能导致安全功能168或服务 提供商功能172采取进一步的步骤来保护安全数据170。这些进一步 的步骤可以包括进一步加密数据、模糊化数据、破坏数据或采取某种 其他措施。

图8是编程数据流程图，展示了在已经部署在现场800内的安全 模块中创建新的安全域。在802处，安全模块制造商设计用于安全模 块的结构或者从安全模块的具体发行者处接收这样的设计。该安全模 块制造商目标为将要被用于唯一地标识安全模块的电子ID(EID)， 并且该安全模块制造商针对将要在安全模块中创建的每个未分配的 安全域生成应用标识符AID。安全模块制造商还将生成多个安全值以 访问将要在安全模块内形成的这些结构。在某些情况(如具有与多个 未分配的安全域相关联的多个安全值)下，这些安全值是为了临时使 用而生成的。也就是，在未分配的安全域被分配给具体服务提供商的 未来时间，使用这些临时安全值来实现供应，但是安全域随后被引渡， 并且这些临时安全值变得不可用。

在804和806处，安全模块制造商与发行者控制的计算服务器184 协作地工作以传递多个配置脚本，在这些配置脚本中，安全域创建于 安全模块114中。如果在制造时间传递这些脚本，安全模块制造商直 接在处于生产中的安全模块上执行该操作，该操作将发行者控制的计 算服务器184随后将要用于分配和监管安全域的相关的EID、AID和 安全值信息传递至发行者控制的计算服务器184。

在某些情况下，安全模块114被形成为具有一个未分配的安全域； 在其他情况下，安全模块制造商在安全模块内形成多个未分配的安全 域。将由安全模块制造商生成的EID存储于安全模块114的存储器中， 并且将AID给予这些未分配的安全域中的每个未分配的安全域。在某 些情况下，安全模块制造商将在安全模块114内创建多个安全域，但 是少于该多个安全域的全部将配备有AID。在这些情况下，在未来的 某个点上，在部署安全模块114之后，这些未分配的安全域中的不具 有所加载的AID的一个或多个未分配的安全域可以配备有AID。

除了这些未分配的安全域，安全模块制造商还在安全模块114内 形成多个发行者控制的安全域性质连同参照图8未讨论的其他结构。

同样在804和806处，将被创建以访问安全模块114的该多个安 全值中的某些或全部、发行者控制的安全域、这些未分配的安全域中 的每个未分配的安全域以及安全模块的需要安全访问的其他区域存 储于发行者控制的计算服务器184和安全模块114中。还创建了多个 具体脚本并且将其安装在安全模块114的发行者控制的安全域中。在 制造期间、在部署期间以及在安全模块114被部署之后的时间，由发 行者控制的计算服务器184来控制这些脚本。这些具体脚本用于供应 可供服务提供商使用的多个未分配的安全域。

在806处，安全模块114(如果尚未被部署)准备好进行部署。 在某些情况下，在部署之前向一个或多个服务提供商授权访问这些未 分配的安全域中的一个或多个未分配的安全域；在这些情况或其他情 况下，在部署之后向一个或多个服务提供商授权访问这些未分配的安 全域中的一个或多个未分配的安全域。在某些情况下，在移动装置上 执行安全应用158充当在808处执行密钥交换活动的触发。也就是， 例如，移动装置的用户可以下载由服务提供商提供的具体安全应用。 当用户执行该应用时，安全应用158将形成与服务提供商计算服务器 160的安全通信。此时，服务提供商计算服务器160在808处发起密 钥交换活动以便获得对在用户的移动装置的安全模块114上的未分配 的安全域的访问。

在808处，在服务提供商计算服务器160与发行者控制的计算服 务器184和安全模块制造商中的任何一者或两者之间执行密钥交换活 动。可以通过与授权访问这些安全域相关联的具体商业模型来确定在 808处执行密钥交换活动的这些具体计算装置。密钥交换活动需要将 多个具体的安全值从控制未分配的安全域的任何一个实体安全传递 至服务提供商计算服务器160。当服务提供商计算服务器160接收到 该安全值时，服务提供商计算服务器能够访问安全模块114上的至少 一个安全域。

在810、812和814处，服务提供商计算服务器160向和从操作 于移动装置上的安全应用158传送通信。安全应用158被适当地配置 为用于与安全模块114协作地通信。在810处，密钥轮换程序通过安 全应用158发起在服务提供商计算服务器160与安全模块114之间的 安全通信。可以通过HTTPS服务器来实现在服务提供商计算服务器 160与移动装置之间的通信，该HTTPS服务器使用这些经轮换的密钥 来加密数据。如本文所讨论的，安全应用158可以通过任何有用的通 信协议(如蓝牙、NFC、OM-API或某种其他协议)来与安全模块114 进行通信。持有来自服务提供商的多个经轮换的密钥的安全模块114 能够对来自服务提供商计算服务器160的数据进行解密并且对将要被 发送回服务提供商计算服务器160的数据进行加密。由于在810处的 密钥轮换程序，在安全模块114与服务提供商计算服务器160之间所 传送的经加密的数据对所有其他参与者和实体(包括安全模块制造商 和发行者控制的计算服务器184)保密。

在812处，服务提供商计算服务器160通过在移动装置上执行的 安全应用158来向安全模块传送多个安全应用和安全应用数据。可以 直接通过本文所描述的这些安全通信来传送该数据。

在812处的配置阶段完成之后，安全模块114被配置为用于如商 家基础设施(例如，销售点(POS)终端)中，而不需要保持连接至 安全应用158或服务提供商计算服务器160。

在814处，准许多个正常操作。以此方式，移动装置的用户能够 与服务提供商计算服务器160安全地通信存储于安全模块114上的秘 密数据。例如，如果服务提供商是运输服务提供商，用户可能能够安 全地支付出租车费、火车费，更新参数(例如，到期日期、PIN码) 等。用户还可以能够安全地设定旅行预订或执行与具体服务提供商所 提供的商品和服务相关联的其他功能。类似地，如果服务提供商是医 疗健康提供商，用户可以能够将医疗数据或其他健康相关数据输入到 他们的移动装置内，并且移动装置与服务提供商之间的通信将会安全 地进行。考虑了广泛范围的其他服务提供商和安全通信应用。

图9A是第一流程图部分900A，展示了对服务提供商安全域的监 管和使用；并且图9B是第二流程图部分900B，展示了对服务提供商 安全域的监管和使用。

在图9A中，处理开始于902。在这种情况下，用户正在操作移 动装置。该移动装置与安全模块(例如，SIM卡、UICC卡、具有接 近连接的个人装置等)相关联，并且该安全模块具有已经被特别配置 过的存储器(例如，非易失性存储器)。安全模块中的存储器可以被 配置为具有一个、两个或某些其他多个未分配的安全域。这些安全域 中的每个安全域可以通过对应的安全值(如安全密钥)可访问的。在 某些情况下，这是第一安全值(例如，第一安全密钥)。

在某些实施例中，该安全模块被分配唯一的电子标识符(EID)(如 嵌入式UICC标识符)。在这些实施例以及其他实施例中，这些未分 配的安全域中的每个未分配的安全域可以具有为其所分配的唯一的 应用标识符(AID)。EID和AID的组合足以允许从安全域的外部执 行的编程功能对安全模块内的每个未分配的安全域进行唯一地标识。 据此，第一安全值可以与EID、AID、EID与AID的组合、EID与AID 以及某个其他值的组合或通过某种其他方式相关联(即，是基于其而 形成的)。相应地，每个未分配的安全域的第一安全值可以不同于每 个其他第一安全值。

访问该安全域可以包括以下程序，其中，具体的软件程序或功能 向正在发行者控制的安全域内操作的功能呈现第一安全密钥，该发行 者控制的安全域同样被配置于安全模块的存储器内。第一安全值可以 与公共密钥基础设施(PKI)相关联，并且相应地，使用多个具体密 钥的传送、形成和匹配对互相通信的一个或多个实体的完整性进行验 证。

发行者控制的安全域可以包括具体的功能逻辑，如编程软件应 用、电子电路或其某种组合从而为这些未分配的安全域中的每个未分 配的安全域供应至少一个第二安全值。在某些情况下，发行者控制的 安全域被准许向多个未分配的安全域读写数据，并且在该安全域被分 配给服务提供商之后，该发行者控制的安全域被限制对该安全域的至 少某部分读写数据。

为促进将数据传递入和传递出安全模块，该安全模块可以包括蓝 牙、NFC、ISO或某种其他通信接口。安全模块还可以包括被耦接至 存储器和通信接口两者的处理单元。

在902处，用户可以下载软件应用，如移动支付安全应用、政府 服务应用、运输应用、健康应用或者启用安全地传送从移动装置输出 的秘密数据或将秘密数据安全地传送到移动装置内的能力的某种其 他应用。

在904处，在移动装置上执行的软件应用试图确定该移动装置是 否是安全的。本领域技术人员已知的一种或多种技术可以确定电话何 时被刷机、电话存储器何时已经被篡改、黑客攻击何时已经被检测到 或者某种其他动作或操作何时已经导致移动装置不安全。如果通过软 件确定了移动装置是不安全的，处理转到906，其中，对安全漏洞的 报告、警告或某种其他操作可以发生。

在906之后，处理进行到908，并且软件应用终止。在908处， 某些具体的动作可以发生，如对安全模块内的某些或全部数据进行加 密、删除移动装置或安全模块上的数据、通过移动装置提供人类可检 测的警告(例如，视觉、音频、触觉等)。

如果在904处移动装置是安全的，处理进行到910，其中，软件 应用确定安全域是否已经被分配以供软件应用使用。以此方式，每次 软件应用被实例化时，处理将穿过904和910。

在安全域已经被分配之后，处理进行至“B”，将关于图9B对此 进行讨论。

如果安全域尚未被分配(如当第一次运行软件应用时)，处理将 进行到912。

在912处，移动装置将试图从计算服务器中请求服务，该计算服 务器由与该软件应用相关联的服务提供商操作或代表该服务提供商。 与对服务的请求协作，具体的用户可以与移动装置进行交互。例如， 在某些情况下，触摸屏或其他人类输入装置(HID)与由软件应用生 成的视觉或音频提示进行协作。可以要求用户选择具体的服务(例如， 公用事业、支付、旅行或某种其他服务)。可以要求用户选择具体的 安全模块(例如，SIM1、SIM2或可供它们的移动装置使用的某个具 体安全模块)。可以要求用户输入个人信息(如个人身份识别码 (PIN))，该个人信息用于在软件应用被实例化时向移动装置标识用 户。

与在912处试图请求服务的移动装置协作，软件应用可以检索 EID或唯一地标识安全模块的某种其他信息。该EID或其他信息可以 用具体的安全值(即，图9A中的Sec.Val.A)来加密并且被发送至 远程计算服务器，该远程计算服务器由服务提供商操作或代表该服务 提供商。由于运行于移动装置上的软件应用是由软件提供商所提供的 或者以其他方式与该软件提供商相关联，移动装置内的服务提供商远 程计算服务器可以使用多个共享密钥、HTTPS连接或其他安全机制来 进行安全通信。

在914处，由服务提供商操作或代表该服务提供商的远程计算服 务器可以对由移动电话发送的数据进行解密，该数据将包括EID或对 安全模块进行标识的其他信息。然后，远程计算服务器可以将该EID 或对安全模块进行标识的其他信息传递至发行者控制的计算服务器。

该发行者控制的计算服务器可以由以下各项操作并代表以下各 项：安全模块的制造商、安全模块的发行者、MNO或某种其他实体。

在916处，发行者控制的计算服务器将选择对安全模块内形成的 未分配的安全域进行标识的具体AID。根据合同、商业关系或某种其 他约定，由AID标识的安全域将被分配给服务提供商。还将检索与所 选定的安全域相关联的安全值(即，图9A中的Sec.Val.B)。与移动 装置的安全模块内的安全域相关联的安全值和AID将会被返回至与 服务提供商相关联的计算服务器(即，处理返回至914)。

在某些可选的情况下，移动装置将直接与发行者控制的计算服务 器进行通信。以虚线来展示912与916之间的这种处理以及916与920 之间的处理。如果情况如此，均与将要被分配给服务提供商的安全域 相关联的AID和安全值将会被从发行者控制的计算服务器返回至移 动装置。

在916处，发行者控制的计算服务器将继续进行处理。发行者控 制的计算服务器可以执行任何数量的可选功能。一种功能可以包括对 相关联的数据库进行更新以指示哪个安全模块的哪个安全域将会被 分配给哪个服务提供商。还可以在数据库中更新其他信息，如日期戳、 时间戳、与分配安全域的约定相关联的细节以及许多其他细节。

发行者控制的计算服务器在916处可以执行的另一种功能是与安 全模块上的发行者控制的安全域进行交互。这种交互将通常包括向在 安全模块上的发行者控制的安全域内执行的应用传送命令、数据或命 令和数据。这些命令和数据执行向服务提供商分配安全域所必需的多 个动作。

如果不是在较早阶段执行，但是发行者控制的计算服务器在916 处可以执行的又一种功能是对安全域进行引渡。引渡程序去除了对与 现在被分配给服务提供商的安全域相关联的一个或多个存储器区域 中的某些或全部。引渡程序向服务提供商提供了足够的保证：只有服 务提供商将能够访问所分配的安全域的存储器。还可以在916处执行 其他功能。

在安全模块内形成的这些未分配的安全域是可分配给服务提供 商的。发行者控制的安全域可以包括准许或者以其他方式执行分配程 序的多种功能。在某些情况下，多个安全域由安全模块的制造商、由 安全模块的发行者、由移动网络运营商或由某个其他实体来分配。在 某些情况下，可以在安全模块被部署在现场之后(如当安全模块被安 装在移动装置内或以其他方式与移动装置相关联、并且用户拥有该移 动装置并且用户正在使能移动装置执行附加功能时)将服务提供商分 配给未分配的安全域。相应地，发行者控制的计算服务器可以被配置 为用于与几十、几百或甚至几百万个移动装置进行对话，这些移动装 置具有加载有在本披露中所讨论的这些类型的未分配的安全域和发 行者控制的安全域。

处理进行至920。

在914处由服务提供商计算服务器进行的处理之后，处理继续在 在移动装置上执行的软件应用内并且在服务提供商计算服务器内继 续。

在918处，服务提供商计算服务器可以生成多个附加安全值(即， 在图9A的918内的Sec.Val.C和Sec.Val.D)，并且可以生成将要被 加载到安全模块内的所分配的安全域内的多个具体服务提供商应用 和服务提供商数据。服务提供商计算服务器可以用具体的安全值(即， 在图9A的918内的Sec.Val.C)来加密这些应用和数据。然后，服 务提供商可以进一步用与在移动装置上执行的软件应用共享的安全 值来对经加密的数据进行加密，并且经过两次加密的数据被传递至移 动装置。

在920处的移动装置内的处理继续进行来自服务提供商计算服务 器、发行者控制的计算服务器或两个计算服务器的信息。

在920处，当从服务提供商计算服务器处接收到信息时，移动装 置用正确的安全值(即，图9A的920中的Sec.Val.A)对该信息进 行解密。

在920处，在移动装置上执行的软件应用使用由发行者控制的计 算服务器提供的AID和安全值打开安全模块上的所分配的安全域。还 可以将一个或多个附加的安全值加载到安全域内。使用具体的安全 值，可以使用在所分配的安全域内所加载的多种功能来对由服务提供 商计算服务器提供的这些应用和数据进行解密，并且然后这些应用和 数据可以用于该所分配的安全域内。

在加载之后，可以在所分配的安全域内执行由服务提供商计算服 务器所提供的或与服务提供商计算服务器相关联的一个或多个应用。 此时，已经将与移动装置相关联的安全模块部署在现场。该安全域已 经由发行者控制的计算服务器分配，并且该安全域不再可供用于分配 至不同的服务提供商。

处理回到“A”，其继续进行在910处在移动装置上的软件应用的 操作。在这种情况下，由于安全域现在已经被分配和供应，处理前进 至“B”，其呈现于图9B中。

转到图9B，处理开始于“B”，其一直进行到922。

在922处，在移动装置上执行的软件应用将与用户进行交互。用 户可以使用PIN码来访问该应用或该应用内的多个具体特征。用户可 以输入信用卡信息(例如，信用卡号、到期日期、与物理信用卡相关 联的安全号等)。用户可以输入健康信息、生物识别信息、银行信息 或与软件应用和服务提供商相关联的任何类型的信息。

在移动装置上执行的软件应用可以与执行在924处的处理的服务 提供商计算服务器进行通信。另外或替代性地，在移动装置上执行的 软件应用可以与执行在926处的处理的发行者控制的计算服务器进行 通信。相应地，服务提供商计算服务器和发行者控制的计算服务器可 以互相通信。

在924处，服务提供商计算服务器将与在移动装置上执行的软件 应用进行交互。在某些情况下，通信是在服务提供商计算服务器与在 移动装置上执行的软件应用的那些高级功能之间进行的。在其他情况 下，通信是在服务提供商计算服务器与在安全模块的所分配的安全域 内执行的多种功能之间进行的。相应地，在924处的处理包括接收经 加密的数据以及以与移动装置相关联的安全值进行的数据解密和以 与安全域相关联的安全值进行的数据解密。

在924处的附加处理包括生成、存储、分析以及在服务提供商计 算服务器内对数据进行的其他操作。服务提供商计算服务器可以执行 多种密钥轮换功能以维护在移动装置上的软件应用与操作于安全域 内的多种功能之间的安全通信。另外，服务提供商计算服务器可以请 求安全域内的更多存储器。在这种情况下，服务提供商计算服务器访 问发行者控制的计算服务器的多种监管功能以执行请求，并且发行者 控制的计算服务器执行或拒绝在926处的处理中的请求。还可以由安 全服务提供商计算服务器来请求、删除或以其他方式管理其他特征。

在926处，发行者控制的计算服务器还被安排为用于：接收经加 密的数据、以与服务提供商相关联的安全值对经加密的数据进行解 密、对安全域进行改变、以与安全域相关联的安全值对数据进行加密 以及或者直接地或者通过服务提供商计算服务器来将该数据发送至 安全域。

在发行者控制的计算服务器内的附加处理可以包括多种密钥轮 换程序，并且还可以包括添加、删除或更改与存储器相关联的多个具 体特性。进一步的附加处理在存储于安全域内的那些功能中可以包括 使能附加特征、加载附加特征、校正附加特征等。在某些情况下，可 以在安全状态下删除、加密、锁定或以其他方式管理安全域。

在某些情况下，可以令人期望地终止操作于移动装置上的软件应 用内的处理、服务提供商计算服务器内的处理以及替代性地或另外与 具体安全模块相关联的发行者控制的计算服务器内的处理。在928处， 如果处理将要结束，处理结束于930。替代性地，处理可以进行并且 返回至“B”。

现在考虑本文所描述的架构的一个实现方式。在该架构中，用户 佩戴智能训练带。该智能训练带执行多个所期望的特征，如计数步数、 测量脉搏、检测运动级别、睡眠质量以及其他功能。在这种情况下， 训练带的制造商想要向用户提供支付例如咖啡店处的服务的功能。

使用常规的技术，训练带的制造商将需要针对可信服务管理者 (TSM)的那些服务进行购买、构建或以其他方式签约，并且该训练 带制造商还将要求对信用服务提供商TSM的服务的整合。如前所述， 这种整合使用常规的技术是非常复杂并且昂贵的。然而，在本文所描 述的这些新系统下，训练带可以被形成为在训练带内包括安全模块 (如图4的安全模块114)。

如本文所使用的，术语“安全值”和“安全数据”指的是典型用 户将希望避免被众所周知或以其他方式免费获取的电子地存储的信 息。这两个术语可以如由使用背景所指示的那样来可互换地使用。在 某些情况下，安全信息对看到该信息的人类而言是可辨别的。在某些 情况下，安全信息对人类来说是不可辨别的而是反而要求用于解释和 使用的计算装置。非限制性示例列表包括：银行账号或与其他金融机 构相关联的账号；信用卡号和相关联的数据；借记卡号和相关联的数 据；生日；密码；个人身份识别码(PIN)；健康信息；个人电话号码 或其他个人联系方式；社会保障信息；护照信息；移动账号信息；生 物识别数据，如指纹、虹膜扫描等；税收标识符或与税收相关联的其 他信息；用于车辆、枪支以及其他个人财产和不动产的注册信息；照 片或其他媒体；视频或其他多媒体；以及个人或实体将期望保持私密 (例如，保密)并且可以被电子地存储的任何其他类型的信息。由安 全模块114、安全软件应用或某种其他服务基础设施有目的地创建以 标识交易、事件、事项、用户等的瞬时数据也可以是安全数据。还设 想了典型的用户将期望保护和控制的其他信息。

在本文还可以被称为订户身份模块(SIM)的安全模块(如图4 中的安全模块114)有时被实施为具有一个截断角的小正方形或矩形。 SIM具有至少一个集成存储器装置以及某种受限计算功能。SIM卡的 具体形状、电子管脚配置以及操作特性在某些情况下由一个或多个全 球移动通信系统(GSM)移动通信标准来管理。

在其他情况下，安全模块被实施为通用集成电路卡(UICC)。UICC 被认为是新一代SIM。UICC通常与符合3G和4G电信标准以及某些 非GSM电信标准的移动通信系统相兼容。UICC包括计算处理器、数 据存储存储器以及可执行软件(其经常被实施于在该计算处理器上运 行的一个或多个应用内)。例如，通用订户身份模块(USIM)应用向 移动网络服务提供商提供激活的简档功能以对订户和相关联的签约 服务进行标识。UICC常规地与通用移动电信系统(UMTS)、高速分 组接入(HSPA)系统、长期演进(LTE)系统、载波检测多址访问 (CDMA)系统以及其他系统相兼容。UICC还可以提供用于IP多媒 体服务身份模块(ISIM)的应用以保证对多媒体服务和其他非电信应 用(如移动支付服务、金融服务、银行服务、个人保健服务等)的移 动访问。

在另外其他情况下，移动装置内的嵌入式移动UICC(eUICC) 装置或某个其他逻辑执行本文关于图4中的安全模块114所描述的那 些功能。

本文引用了计算装置的非限制性实施例(如与服务提供商132相 关联的服务提供商远程计算服务器160(图6)和发行者控制的计算 服务器184(图7))，但是为简洁和简化起见，没有进行详细描述。 计算装置被理解为包括在常规的计算装置中找到的操作硬件，如一个 或多个中央处理单元(CPU)、易失性和非易失性存储器、符合各种 标准和协议的串行和并行输入/输出(I/O)电路、有线和/或无线联网 电路(例如，通信收发器)等。

据此，术语处理器、处理单元等在本披露中用来指代单独地、共 享的或在一个组内的具有一个或多个处理核(例如，执行单元)的一 个或多个处理单元，包括执行指令的中央处理单元(CPU)、数字信 号处理器(DSP)、微处理器、微控制器、状态机等。例如，如本文 所使用的，处理单元可以包括主机应用处理器、基带处理单元、安全 模块处理单元以及单个结构或分布式结构的其他处理单元的全部或 任何部分。

在本披露中，讨论了各种软件应用、小应用程序等。本文所讨论 的软件是由存储于存储器内的多条处理器可执行指令形成的。存储器 可以被安排在一种配置或另一种配置中。存储器可以被安排为用于存 储数据。替代性地或另外，存储器可以是非瞬态计算机可读介质 (CRM)，其中，该CRM被配置为用于存储可由处理器执行的多条 指令。这些存储器可以单独地存储或者作为文件中的指令组存储。这 些文件可以包括功能、服务、库等。这些文件可以包括一个或多个计 算机程序或者可以是较大计算机程序的一部分。替代性地或另外，每 一个文件可以包括可用于执行在本披露中所描述的系统、方法和设备 的计算功能的数据或其他计算支持材料。

在本披露中，术语“移动装置”用于指示能够通过无线通信网络 (如蜂窝移动装置网络、卫星移动装置网络或某种其他移动装置网 络)来进行通信的计算装置。理解到，能够进行这种通信的装置自身 可以是移动的或者以其他方式便携式的。相反地，能够进行这种通信 的装置可以是临时或永久固定的。如本文所使用的，移动装置可以被 实施为蜂窝电话、智能电话、平板计算机、膝上型计算机、可穿戴计 算机、电动车辆计算机、家庭防盗系统、遥测系统或某种类似的装置。 如本文所使用的术语移动装置并不旨在是限制性的；相反，该术语用 于帮助读者理解本披露的各个实施例。

如本文所使用的，术语“逻辑”可以是指电路、软件或电路和软 件的组合。

如本文所使用的，术语“模块”是指可操作用于执行一个或多个 软件或固件程序的电子电路、处理器(例如，共享处理器、专用处理 器、组处理器、单核处理器、多核处理器等)和存储器、专用集成电 路(ASIC)、联合逻辑电路或提供关于模块所描述的功能的对合适的 部件(或者硬件或者软件)的某种其他单独或协作的耦合。

本文引用了计算装置的非限制性实施例，但是为简洁和简化起 见，没有进行详细描述。计算装置被理解为包括在常规的计算装置中 找到的操作硬件，如一个或多个中央处理单元(CPU)、易失性和非 易失性存储器、符合各种标准和协议的串行和并行输入/输出(I/O) 电路、有线和/或无线联网电路(例如，通信收发器)等。

本文所呈现的流程图(甚至是其中显示多个框以通信数据的非常 规流程图)展示了可以由本文所描述的这些装置的实施例用来创建、 分配和使用形成于安全模块内的多个未分配的安全域的过程。在此方 面，每个所描述的过程可表示软件代码模块、分段或部分，其包括用 于实现指定逻辑功能的一个或多个可执行指令。还应当注意，在某些 实现方式中，过程中所指出的那些功能可以根据不同的顺序发生、可 以包括附加功能、可以同时发生、和/或可以被省略。

在之前的描述中，列举了某些特定的细节以便提供对所披露的不 同实施例的全面理解。然而，相关领域的技术人员将会认识到，多个 实施例可以无需这些具体细节中的一个或多个细节来实践，或者可以 使用其他方法、部件、材料等来实践。在其他实例中，并未详细示出 或者描述与电子和计算系统(包括客户端和服务器计算系统)以及网 络相关联的公知结构，以避免对这些实施例的不必要的晦涩说明。

除非上下文另有要求，否则贯穿说明书和所附权利要求书，“包 括(comprise)”一词及其多种变体(诸如，“包括(comprises)”和“包 括(comprising)”)将以一种开放式的和包含性的意义来进行解释， 例如，“包括，但不限于(including,butnotlimitedto)”。

贯穿本说明书所提到的“一个实施例”或“一种实施例”及其组 合是指与该实施例相关联地描述的具体的特征、结构或特性被包括在 至少一个实施例中。因而，贯穿本说明书，短语“在一个实施例中” 或“在一种实施例中”在不同场合中的出现并不必定都是指相同的实 施例。另外，特定特征、结构或特性可以根据任何合适的方式组合在 一个或多个实施例中。

如在本说明书和所附权利要求书中所使用的，除非文中另外明确 指明，否则单数形式的“一种”、“一个”以及“所述”包括复数对象。 还应注意，术语“或者”总体上所使用的意义包括“和/或”，除非内 容另外明确指明。

本文提供的本披露的小标题以及摘要只是为了方便起见，而并非 解释这些实施例的范围或含义。

可将以上所描述的各实施例进行组合以提供进一步的实施例。鉴 于以上的详细描述，可以对实施例做出这些和其他改变。总之，在以 下权利要求书中，所使用的术语不应当被解释为将权利要求书局限于 本说明书和权利要求书中所披露的特定实施例，而是应当被解释为包 括所有可能的实施例、连同这些权利要求有权获得的等效物的整个范 围。相应地，权利要求书并不受到本披露的限制。

根据上面的详细描述可以对实施例进行这些和其他改变。总之， 在以下权利要求书中，所使用的术语不应当被解释为将权利要求书局 限于本说明书和权利要求书中所披露的特定实施例，而是应当被解释 为包括所有可能的实施例、连同这些权利要求有权获得的等效物的整 个范围。相应地，权利要求书并不受到本披露的限制。