用于执行NFC装置中的应用程序的方法

1.一种用于执行NFC装置中的应用程序的方法，该方法包括以下步骤：
在第一NFC装置(HD1)和第二NFC装置(POI)之间建立非接触式链接；
所述第一NFC装置通过所述非接触式链接将所述第一NFC装置的标识符(NID)传送到所述第二NFC装置；
所述第二NFC装置通过所述非接触式链接将应用程序标识符(APID)传送到所述第一NFC装置；
所述第二NFC装置将所述第一NFC装置的标识符和所述应用程序标识符传送到应用程序服务器(ASRV)；
所述应用程序服务器将所述第一NFC装置的标识符和所述应用程序标识符传送到认证服务器(HSRV)；
所述认证服务器核实所述第一NFC装置的标识符被存储为与所述应用程序标识符相关联；以及
如果所述第一NFC装置的标识符被存储为与所述应用程序标识符相关联，则所述认证服务器通过将所述第一NFC装置的用户标识符(UID)传送到所述应用程序服务器，来授权执行所述应用程序期间的交易，所述第一NFC装置的用户标识符与所述第一NFC装置的标识符相对应。
2.根据权利要求1所述的方法，其中，所述第一NFC装置(HD1)的标识符(NID)由所述认证服务器(HSRV)周期性地修改，所述认证服务器保持所述用户标识符(UID)和所述第一NFC装置的标识符之间最新的链接。
3.根据权利要求1所述的方法，其中：
所述第一NFC装置(HD1)中的标识符(NID)是所述第一NFC装置的安全处理器(SE)的标识符；
所述安全处理器通过所述非接触式链接来传送第一认证数据(ED1)，该第一认证数据允许所述第一NFC装置的安全处理器被认证；
所述第二NFC装置将所述第一认证数据传送到所述应用程序服务器(ASRV)；
所述应用程序服务器将所述第一认证数据和第二认证数据(ED2)传送到所述认证服务器(HSRV)，所述第二认证数据允许对应于所述应用程序标识符的应用程序被认证；并且所述认证服务器对所述认证数据进行核实，仅在所述安全处理器和所述应用程序被认证的情况下，两个NFC装置才被授权执行所述应用程序。
4.根据权利要求2所述的方法，其中：
所述第一NFC装置(HD1)中的标识符(NID)是所述第一NFC装置的安全处理器(SE)的标识符；
所述安全处理器通过所述非接触式链接来传送第一认证数据(ED1)，该第一认证数据允许所述第一NFC装置的安全处理器被认证；
所述第二NFC装置将所述第一认证数据传送到所述应用程序服务器(ASRV)；
所述应用程序服务器将所述第一认证数据和第二认证数据(ED2)传送到所述认证服务器(HSRV)，所述第二认证数据允许对应于所述应用程序标识符的应用程序被认证；并且所述认证服务器对所述认证数据进行核实，仅在所述安全处理器和所述应用程序被认证的情况下，两个NFC装置才被授权执行所述应用程序。
5.根据权利要求3所述的方法，其中：
所述第一NFC装置将应用程序安装请求和所述第一认证数据传送到所述认证服务器(HSRV)，所述应用程序安装请求包括要安装的应用程序的应用程序标识符(APID)，并且所述第一认证数据允许所述第一NFC装置的安全处理器(SE)被认证；
所述认证服务器对所述第一认证数据进行核实，并且如果所述安全处理器被认证，则所述认证服务器将用于下载所述应用程序的地址(URL)传送到所述第一NFC装置；并且所述第一NFC装置从接收到的下载地址下载所述应用程序并对所下载的应用程序进行安装。
6.根据权利要求5所述的方法，其中，在所述应用程序安装之后，所述第一NFC装置(HD1)通过将所安装的应用程序的标识符(APID)和所述第一认证数据供应到所述认证服务器来向所述认证服务器(HSRV)通知所述应用程序安装；并且
所述认证服务器对所述第一认证数据进行核实，并且如果所述安全处理器(SE)被认证，则所述认证服务器对所述应用程序标识符和所述第一NFC装置的安全处理器(SE)标识符进行关联记录。
7.根据权利要求6所述的方法，其中，如果所述应用程序标识符(APID)已经与所述第一NFC装置的安全处理器(SE)的标识符(NID)关联记录，则所述认证服务器(HSRV)不将用于下载所述应用程序的地址传送到所述第一NFC装置(HD1)。
8.根据权利要求6所述的方法，其中，如果所述应用程序标识符(APID)没有与所述第一NFC装置的所述安全处理器(SE)的标识符(NID)进行关联记录，则所述认证服务器(HSRV)不授权两个NFC装置(HD1，POI)执行所述应用程序。
9.根据权利要求7所述的方法，其中，如果所述应用程序标识符(APID)没有与所述第一NFC装置的所述安全处理器(SE)的标识符(NID)进行关联记录，则所述认证服务器(HSRV)不授权两个NFC装置(HD1，POI)执行所述应用程序。
10.根据权利要求3到9中任一权利要求所述的方法，其中，所述第一认证数据包括所述安全处理器标识符(NID)和第一密码(ED1)，该第一密码由所述安全处理器(SE)通过将加密计算应用到所述安全处理器标识符(NID)来进行计算，该加密计算使用由所述安全处理器记录的秘密秘钥(KY)。
11.根据权利要求10所述的方法，其中，所述第二认证数据包括所述安全处理器标识符(NID)、所述应用程序标识符(APID)和第二密码(ED2)，该第二密码由所述应用程序服务器通过将加密计算应用到所述应用程序标识符(APID)来计算，该加密计算使用特定于所述应用程序的秘密秘钥(KYA)。
12.根据权利要求11所述的方法，其中，所述第二密码(ED2)通过将所述加密计算应用到所述应用程序标识符(APID)和所述第一密码(ED1)来计算。
13.根据权利要求11到12中任一权利要求所述的方法，其中，所述第一和/或第二密码(ED1，ED2)用使用秘密秘钥的对称加密算法进行计算，或者用使用个人秘钥的非对称加密算法进行计算，或者用哈希函数进行计算，该哈希函数被应用到被加密的数据和所述秘密秘钥。
14.根据权利要求11所述的方法，其中，对所述第一和第二密码(ED1，ED2)中的每一个通过从相同的数据重新计算所述密码和通过使用可访问所述认证服务器的加密秘钥来进行核实。
15.一种用于执行NFC装置中的安全应用程序的系统，该系统包括：
第一NFC装置(HD1)，包括NFC组件(NFCC)和安全处理器(SE)，所述NFC组件用于建立与另一NFC装置的非接触式通信，所述安全处理器连接到所述NFC组件；
第二NFC装置(POI)，连接到应用程序服务器(ASRV)以与另一NFC装置一起执行应用程序，
其特征在于，所述系统包括可访问所述应用程序服务器(ASRV)和所述第一NFC装置(HD1)的认证服务器(HSRV)，该系统被配置为执行权利要求1-10中任一权利要求所述的方法。
16.一组安全处理器，该组安全处理器耦合到NFC组件(NFCC)，该NFC组件被配置为根据权利要求1-14中任一权利要求所述的方法建立与第二NFC装置(POI)的非接触式通信，其中所述NFC组件(NFCC)和所述安全处理器包括在第一NFC装置(HD1)中，
其特征在于，所述安全处理器(SE)包括与安全处理器的标识符(NID)相关联的软件组件(NAPP)，所述软件组件被配置为：
通过所述NFC组件建立与所述第二NFC装置的非接触式通信，并通过所述非接触式链接来传送所述安全处理器的标识符；
通过所述非接触式链接来接收应用程序标识符(APID)；以及
通过所述非接触式链接来传送所述软件组件的认证数据。
17.根据权利要求16所述的一组安全处理器，其中，所述软件组件被配置为对接收到的应用程序标识符(APID)是否在所述安全处理器记录的应用程序的列表中进行核实。
18.根据权利要求16或17所述的一组安全处理器，其中，所述认证数据包括所述安全处理器标识符(NID)和第一密码(ED1)，该第一密码由所述安全处理器(SE)通过将加密计算应用到所述安全处理器标识符(NID)来计算，所述加密计算使用所述安全处理器记录的秘密秘钥(KY)。
19.根据权利要求18所述的一组安全处理器，其中，所述第一密码(ED1)由所述安全处理器(SE)用使用秘密秘钥的对称加密算法进行计算，或者用使用个人秘钥的非对称加密算法进行计算，或者用哈希函数进行计算，所述哈希函数被应用到被加密的数据和所述秘密秘钥。

用于执行NFC装置中的应用程序的方法\n技术领域\n[0001] 本发明涉及移动电话等类型的便携装置中的安全应用程序的安装和执行。\n[0002] 本发明还不排他性地涉及NFC技术(近场通信)，还涉及NFC装置或“NFC芯片集”，也就是，包括至少一个NFC组件的芯片集的架构。\n背景技术\n[0003] NFC技术是最近由NFC论坛(http://www.nfc-forum.org)名下聚集的工业联盟发展起来的。NFC技术起源于RFID技术(无线射频识别)，并使用具有多个操作模式，特别是阅读器模式、卡仿真模式和点对点模式的NFC控制器。\n[0004] 在最近几年里，将NFC控制器集成到移动电话等类型的手持式物体中(例如，具有移动电话功能的个人数字助理PDA)已经取得了重大的进展。该集成的目的特别是为了给这种手持式物体提供支付或访问控制应用程序(地铁、公交车等)，并提供其他的NFC技术应用程序，例如标签或非接触式电子卡阅读。\n[0005] 图1示出手持式装置HD类型的NFC装置，例如移动电话、PDA(个人数字助理)等。该装置HD包括称为NFCC的NFC控制器和通过总线BS1，例如，SWP类型(“单线协议”)，连接到控制器NFCC的至少一个主处理器HP1、HP2。主处理器HP2可以是通用集成电路卡UICC，例如，SIM卡类型(用户身份模块)。主处理器HP1也可以是移动电话的基带处理器(也就是，该处理器管理打电话)。在这种情况下，主处理器HP1可以通过由UART(“通用异步收发机”)端口管理的异步链路BS2的方式连接到控制器NFCC。如果需要的话，处理器HP2也可以通过ISO7816类型的总线BS3直接与处理器HP1连接。\n[0006] 控制器NFCC的资源被主处理器HP1使用，以允许其管理非接触式应用程序RAPi、CAPi。处理器NFCC包括主控制器HC和装有天线线圈AC1的非接触式前端接口CLF。在实践中，主控制器HC和该接口CLF可以制作在同一半导体芯片上，例如，由该申请人商业化的芯片，或者有两个不同的芯片形成，例如，由该申请人商业化的芯片“\n微控制器”和“ 射频接口”。\n[0007] 控制器NFCC的接口CLF一般可以根据几个射频技术来操作。例如，由ISO/IEC14443的2、3和4部分定义的“A型”，例如由标准框架的ISO/IEC14443-2定义的“B型”，例用如\n14443-3定义的，以及例如由ISO18092以212和424kb/s(千字节每秒)的被动模式或由日本工业标准JIS X6319-4定义的“F型”。每个RF技术，或非接触式通信协议，都定义了磁场的传送频率、以主动模式传送数据的磁场的调制方法、以被动模式传送数据的负载调制方法、数据译码方法、数据帧格式等。\n[0008] 所述NFC装置的应用程序的例子如图2所示。图2表示装有图1的NFC装置的手持式装置HD。该装置HD在这里是移动电话。有阅读器应用程序RAP和卡应用程序CAP。\n[0009] 阅读器应用程序(RAP)\n[0010] 控制器NFCC像NFC阅读器一样操作来完成与非接触式集成电路CIC的交易(transaction)。阅读器应用程序RAP、RAPi由主处理器HP1(见图1)来执行。后者将接口CLF置于主动操作模式中，在该主动操作模式中，其发出磁场FLD，通过调制磁场来发送数据并通过负载调制和感应耦合来接收数据。这种类型的应用程序可以是免费的(例如在包含公交车时刻表的公交车站阅读电子标签)并且可以由非安全处理器来执行。在这种情况下，主处理器HP1可以是移动电话的基带处理器。如果它是支付应用程序，则执行该应用程序的主处理器优选安全处理器，例如SIM卡处理器，因为该服务访问需要订户的识别/认证。\n[0011] 卡应用程序(CAP)\n[0012] 卡仿真模式的操作原则由以本申请人名义的专利EP1 327 222(US7098 770)来描述。卡应用程序CAP、CAPi由主处理器HP1(见图1)来执行。后者将控制器NFCC置于被动操作模式中，并用控制器NFCC，非接触集成电路的等价物来形成。该非接触集成电路由作为非接触式卡的阅读器RD来看。因此，控制器NFCC不发出任何磁场，不通过对阅读器RD发出的磁场FLD进行解调来接收数据，而且不通过对其天线电路AC1(负载调制)的阻抗进行调制来发送数据。所关注的应用程序通常是支付应用程序或支付访问控制(付款机、地铁入口等)。因此，手持式装置HD在这种情况下像芯片卡一样使用。这种类型的应用程序很多时候是安全的。因此，执行该应用程序程序的主处理器HP1、HP2是安全处理器。例如，SIM卡的处理器。该安全处理器包括用于用户认证和/或与该交易终端有关的该手持式装置的认证的加密功能。\n[0013] 专用于电话制造的NFC装置的各种架构已经经过考虑，一些使用SIM卡处理器来管理该NFC应用程序，另一些提供第二安全处理器，这两种方案也可以合并。\n[0014] 特别地，由于涉及到的元素数量很大，并且那些元素之间的关系复杂，NFC装置中安全应用程序的实现增加了困难，该困难减慢了安全的NFC应用程序的商业发展。甚至，手持式装置、安全处理器和控制器NFCC由不同的制造商生产。在接收到安全的信息，例如，标识符、秘密秘钥和链接到该用户的证书之后，安全处理器(SIM卡)通常由移动网络运营商交给终端用户。手持式装置可以由移动网络运营商或另一实体交给终端用户。该应用程序由软件开发者来完成。如果其涉及支付交易，该应用程序由链接到金融机构的认证机构来证实。应用程序的软件组件，一般叫做“小应用程序(applet)”，被安全地安装在安全主处理器中，并且用该用户和该手持式装置的身份证明数据和特定于该应用程序和用户的加密秘钥来进行个性化定制。该用户也被安全地引用到金融机构。支付交易牵涉到由另一个生产商制造的支付终端，它必须也由认证机构证实。支付终端的用户、零售商也必须安全地引用到金融机构。移动网络运营商一般不情愿使SIM卡安全功能和数据可由其他人获得，例如，由安全应用程序供应商或卡支付服务获得。结果就是，安装应用程序需要用户在手持式装置中认证，这增加了许多问题。每次应用程序必须安装在特别是手持式装置的安全处理器中，这些问题就会出现。特别是当用户更换了他/她的手持式装置(移动电话)以及必须对之前在旧手持式装置中安装的应用程序重新进行安装的时候。\n[0015] 另外，对于小数目可获得的应用程序，移动电话制造商对于通过对NFC控制器进行集成，以及是否需要是附加的安全处理器来增加他们电话的成本没有兴趣。\n发明内容\n[0016] 因此，需要做一个用于部署NFC应用程序的架构，其不需要涉及移动网络运营商。\n而如果有必要，则提供遵守支付和支付访问控制服务的安全标准。还需要的是，这个架构不需要可信的集中服务器的安装使用来保证分配到每个移动电话的每个应用程序的秘密数据的管理(发出、控制和删除)。还需要的是，安装在手持装置中的每个NFC应用程序不是附加在特别的手持式装置上，而是可以很容易在另一手持式装置中激活。还需要的是，应用程序的供应商可以容易地通过将他/她的牵连最小化来允许用户访问该应用程序，而没有涉及移动网络运营商或其他实体。还需要的是，当她/他执行NFC应用程序时，保证用户匿名，并且特别避免第三者在NFC装置和NFC装置用户的身份之间建立链接。\n[0017] 实施方式可以涉及一种用于执行NFC装置中的应用程序的方法。该方法包括以下步骤：在第一NFC装置和第二NFC装置之间建立非接触式链接；该第一NFC装置通过所述非接触式链接将所述第一NFC装置的标识符传送到所述第二NFC装置；所述第二NFC装置通过所述非接触式链接将应用程序标识符传送到所述第一NFC装置；所述第二NFC装置将所述第一NFC装置的所述标识符和所述应用程序标识符传送到所述应用程序服务器；所述应用程序服务器将所述第一NFC装置的所述标识符和所述应用程序标识符传送到认证服务器；所述认证服务器从由所述第一NFC装置记录的所述标识符来核实所述第一NFC装置被授权执行由所述应用程序标识符所标识的所述应用程序；以及如果所述第一NFC装置被授权执行所述应用程序，则所述认证服务器通过将所述第一NFC装置的用户标识符传送到所述应用程序服务器，来授权执行所述应用程序，所述第一NFC装置的用户标识符与所述第一NFC装置记录的所述标识符相对应。\n[0018] 根据一个实施方式，所述第一NFC装置的标识符由所述认证服务器周期性地修改，所述认证服务器保持所述用户标识符和由所述第一NFC装置记录的所述标识符之间最新的链接。\n[0019] 根据一个实施方式，所述第一NFC装置的标识符对所述第一NFC装置的安全处理器进行识别；所述安全处理器通过所述非接触式链接来发送第一认证数据，该第一认证数据允许所述第一NFC装置的安全处理器被认证；所述第二NFC装置将所述第一认证数据传送到所述应用程序服务器；所述应用程序服务器将所述第一认证数据和第二认证数据传送到所述认证服务器，所述第二认证数据允许对应于所述应用程序标识符的应用程序被认证；以及所述认证服务器对所述认证数据进行核实，仅在所述安全处理器和所述应用程序被认证的情况下，这两个NFC装置才被授权执行所述应用程序。\n[0020] 根据一个实施方式，所述第一NFC装置将应用程序安装请求和所述第一认证数据传送到所述认证服务器，所述应用程序安装请求包括要安装的应用程序的所述应用程序标识符，并且所述第一认证数据允许所述第一NFC装置的所述安全处理器被认证；所述认证服务器对所述第一认证数据进行核实，并且如果所述安全处理器被认证，则将用于下载所述应用程序的地址传送到所述第一NFC装置；并且所述第一NFC装置从接收到的下载地址下载所述应用程序并安装所下载的应用程序。\n[0021] 根据一个实施方式，在所述应用程序安装之后，所述第一NFC装置通过将所安装的应用程序标识符和所述第一认证数据供应到所述认证服务器来向所述认证服务器通知所述应用程序安装；以及所述认证服务器对所述第一认证数据进行核实，并且，如果所述安全处理器被认证，则所述认证服务器对所述应用程序标识符与所述第一NFC装置的安全处理器标识符进行关联记录。\n[0022] 根据一个实施方式，如果所述应用程序标识符已经与所述第一NFC装置的安全处理器的标识符关联记录，则所述认证服务器不将用于下载所述应用程序的地址传送到所述第一NFC装置。\n[0023] 根据一个实施方式，如果所述应用程序标识符没有与所述第一NFC装置的所述安全处理器标识符关联记录，则所述认证服务器不授权这两个NFC装置执行所述应用程序。\n[0024] 根据一个实施方式，所述第一认证数据包括所述安全处理器标识符和第一密码，该第一密码由所述安全处理器通过将加密计算应用到所述安全处理器的标识符来进行计算，该加密计算使用由所述安全处理器记录的秘密秘钥。\n[0025] 根据一个实施方式，所述第二认证数据包括所述安全处理器标识符、所述应用程序标识符和第二密码，该第二密码由所述应用程序服务器通过将加密计算应用到所述应用程序标识符来计算，该加密计算使用特定于所述应用程序的秘密秘钥。\n[0026] 根据一个实施方式，所述第二密码通过将所述加密计算应用到所述应用程序标识符和所述第一密码来计算。\n[0027] 根据一个实施方式，所述第一和/或第二密码用使用秘密秘钥的对称加密算法进行计算，或者用使用个人秘钥的非对称加密算法进行计算，或者用哈希(hashing)函数进行计算，该哈希函数被应用到被加密的数据和所述秘密秘钥。\n[0028] 根据一个实施方式，对所述第一和第二密码中的每一个通过从相同的数据重新计算所述密码和通过使用可访问所述认证服务器的加密秘钥来进行核实。\n[0029] 实施方式还可以涉及一种用于执行NFC装置中的安全应用程序的系统，该系统包括：第一NFC装置，包括NFC组件和安全处理器，所述NFC组件用于建立与另一NFC装置的非接触式通信，所述安全处理器连接到所述NFC组件；第二NFC装置，连接到应用程序服务器以与另一NFC装置一起执行应用程序，该系统包括可访问所述应用程序服务器和所述第一NFC装置的认证服务器，该系统被配置为执行以上定义的方法。\n[0030] 实施方式还可以涉及一组安全处理器。该组安全处理器耦合到NFC组件，该NFC组件被配置为建立与NFC装置的非接触式通信。所述安全处理器包括与安全处理器标识符相关联的软件组件，所述安全处理器被配置为：通过所述NFC控制器建立与NFC装置的非接触式通信，并通过所述非接触式链接来传送所述安全处理器的标识符；通过所述非接触式链接来接收应用程序标识符；以及通过所述非接触式链接来传送所述软件组件的认证数据。\n[0031] 根据一个实施方式，所述软件组件被配置为对接收到的应用程序标识符(APID)是否在所述安全处理器记录的应用程序的列表中进行核实。\n[0032] 根据一个实施方式，所述认证数据包括所述安全处理器标识符和第一密码，该第一密码由所述安全处理器通过将加密计算应用到所述安全处理器标识符来计算，所述加密计算使用所述安全处理器记录的秘密秘钥。\n[0033] 根据一个实施方式，所述第一密码由所述安全处理器用使用秘密秘钥的对称加密算法进行计算，或者用使用个人秘钥的非对称加密算法进行计算，或者用哈希函数进行计算，所述哈希函数被应用到被加密的数据和所述秘密秘钥。\n附图说明\n[0034] 本发明的实施方式将在下文中结合，但并不受限于附图来详细描述。其中：\n[0035] 之前描述的图1示意性地示出传统NFC装置的架构；\n[0036] 之前描述的图2示意性地示出NFC装置中实施的应用程序的例子；\n[0037] 图3示意性地示出NFC应用程序调度系统的架构；\n[0038] 图4A到图4D示出该调度系统使用的一个或多个数据库的表格；\n[0039] 图5示出根据一个实施方式，在NFC装置的安全主处理器和NFC阅读器之间，用于将隐含应用程序的执行的交易进行激活的步骤；\n[0040] 图6示出根据一个实施方式的用于安装并执行NFC装置中的应用程序的步骤；以及[0041] 图7示出根据一个实施方式的用于在应用程序执行期间对NFC互动装置触发的交易进行授权的流程的步骤。\n具体实施方式\n[0042] 图3示出了NFC应用程序调度系统的架构。该应用程序调度系统包括多个手持式NFC装置HD1和互动装置POI。装置HD1可以与互动装置POI建立NFC非接触式通信。装置POI可以是NFC非接触式阅读器或NFC非接触式集成电路。装置POI每个用连接到装置POI的装置HD1连接到或可以连接到应用程序服务器ASRV。该应用程序服务器允许交易作为应用程序的部分来执行。装置POI包括天线AC2以与NFC装置建立非接触式NFC通信。装置POI可以直接连接到服务器ASRV，或者通过一个或多个数据传输网络来连接。\n[0043] 装置HD1包括主处理器HP1、SE、和被称为NFCC的NFC组件。处理器HP1例如是移动电话的基带处理器。主处理器SE是安全处理器。组件NFCC包括连接到处理器HP1和SE的主控制器HC和连接到天线电路AC1被称为CLF的NFC访问电路。处理器HP1包括MOS操作系统，并且能够执行安装在处理器HP1(或者可访问处理器HP1)的存储器中的一个或多个应用程序APP。\n处理器SE可以是SIM卡的处理器或至少具有相同安全等级的不同处理器。\n[0044] 根据一个实施方式，该MOS操作系统包括允许处理器HP1通过控制器NFCC访问处理器SE的一些功能，并允许处理器HP1接收处理器SE发出的通知。处理器HP1还包括应用程序数据库ARB，该应用程序数据库ARB包括安装在处理器HP1的存储器中的安全应用程序引用APP。处理器SE包括叫做“NAPP小应用程序”的应用程序软件组件，处理器SE的标识符和组件NAPP的标识符、加密秘钥KY、安装在装置HD1中的安全应用程序的标识符列表PAB、以及装置HD1的配置数据(装置型号、名称和MOS操作系统的版本等)。该安全应用程序APP可以是支付、访问控制应用程序。更一般地，应用程序需要认证。该软件组件NAPP也可以记录装置HD1的配置信息CFG。该信息特别包括装置型号和MOS操作系统的版本号。该MOS操作系统还包括安全应用程序控制软件NMNG。该安全应用程序控制软件通过驱动器ONS和控制器NFCC与软件组件NAPP通信。软件NMNG被配置为收集装置HD1的配置信息，并将它们传送到处理器SE。\n软件NMNG以唯一的方式链接到软件组件NAPP，以使得对安装在处理器HP1中的其他应用程序掩饰该软件组件的出现。因此，当软件组件NAPP通过控制器NFCC建立的非接触式链接被呼叫来执行安全应用程序时，只有软件NMNG被通知到。软件NMNG还完成用于管理该装置HD1的用户的参数设置的功能。\n[0045] 该应用程序的调度系统包括数据库服务器HSRV。该数据库服务器准许访问到一个或多个数据库IDDB、UPDB、ARDB、KYDB。软件NMNG还完成服务器HSRV和软件组件NAPP之间接口的功能。服务器HSRV对安装在装置HD1的处理器SE中的软件组件NAPP的标识符、应用程序供应商的标识符进行管理，并提供认证服务。在其制造期间，每个装置HD1的处理器SE接收处理器SE和软件组件NAPP的唯一的标识符SEID和NID、对称加密秘密秘钥和/或与证书关联的非对称加密公共和个人秘钥。服务器HSRV完成对用户、处理器SE、软件组件NAPP、应用程序供应商和应用程序进行登记和消除的功能。因此，每个应用程序由唯一的应用程序标识符来识别。\n[0046] 数据库IDDB、UPDB、ARDB、KYDB的内容在图4A到图4D中示出。在图4A中，数据库IDDB被配置成在处理器SE和装置HD1中委任的每个处理器SE的软件组件NAPP的标识符SEID、NID之间建立对应关系。数据库IDDB还在标识符NID和用于访问处理器SE记录的关联的加密秘钥的秘钥索引KIX之间建立对应关系。因此，每当处理器SE在装置HD1中被委任，数据库IDDB就被完成。数据库IDDB还包括安装在处理器SE中的软件组件的标识符NID和应用程序标识符ARef之间的查找表。因此，该查找表表明具有标识符ARef的应用程序是否安装在装置HD1中。装置HD1的软件组件NAPP符合标识符NID。因此，每次应用程序被安装入或清除出装置HD1，数据库IDDB都进行更新。\n[0047] 在图4B中，数据库UPDB被配置为在分配到软件组件NAPP的标识符NID和具有装置HD1中安装的处理器SE的用户标识符UID之间建立对应关系，还在标识符UID和引用涉及装置HD1的用户的配置信息UPRF的索引PRFX之间建立对应关系。由于用户可能有几个处理器SE，用户标识符UID可以在表格UPDB中关联到安装在处理器SE中的软件组件NAPP的几个标识符NID。在装置HD1中的第一应用程序的安装期间，数据库UPDB完成。并且每次用户的配置信息被修改，数据库UPDB都要进行更新。\n[0048] 在图4C中，数据库ARDB被配置为在应用程序供应商标识符PVID和装置HD1型的应用程序标识符APID之间建立对应关系，并在每个标识符PVID和允许特定于应用程序供应商的加密秘钥KIX被访问的加密秘钥索引KIX之间建立对应关系。数据库ARDB还在每个应用程序标识符APID和该应用程序可以在其中安装和执行的装置HD1的类型的引用DRF之间建立对应关系，并在每个引用DRF和用于下载与标识符APID相对应的应用程序的URL地址之间建立对应关系。因此，每个标识符APID允许适合于装置HD1类型的每个应用程序实例被识别，并且允许用于下载该应用程序实例的地址被访问。每次为装置HD1类型提供的新的应用程序被保存，数据库ARDB都进行更新。\n[0049] 在图4D中，数据库KYDB被配置为在每个秘钥索引(处理器SE的或应用程序供应商的)和加密秘钥之间建立对应关系。数据库KYDB的访问可以由特殊服务器来保护。该特殊服务器被配置为接收秘钥索引KIX和要译成密码或解密的数据，并被配置为供应密码来回应。\n该密码来源于通过秘钥的方式供应的数据的译码或解密。该秘钥由所提供的秘钥索引KIX所引用。因此，每次委任新的处理器SE，并且每次对于装置HD1类型的新的应用程序被保存，数据库KYDB都进行更新。\n[0050] 根据一个实施方式，数据库UPDB中分配到每个用户的每个标识符NID不时地，例如，周期性地地由服务器HSRV进行修改。服务器HSRV还完成数据库IDDB中的修改，并将例如在表明旧的和新的标识符NID的报文中使用的新的标识符NID提供给有关的装置HD1。每个装置HD1被配置为通过将旧的和新的标识符NID传送到处理器SE来接收并处理这样的报文。\n处理器SE被配置为只要接收的旧的标识符与处理器SE记录的标识符相对应，就记录新的标识符NID代替旧的标识符。处理器SE通过装置HD1将更新的报告报文发送到服务器HSRV。该更新的报告报文表明该标识符NID的更新是否已经完成。服务器HSRV可以重复该操作直到该更新由处理器SE完成。无可否认地，仅当处理器SE已经将表明其已经完成更新的报告报文发送到服务器HSRV时，数据库UPDB和IDDB进行更新。\n[0051] 图5示出当装置HD1置于和装置POI的非接触式通信中时，触发步骤S1到S13的顺序。该顺序由安装在装置HD1的处理器SE中的软件组件NAPP、安装在装置POI中的非接触式阅读器软件NPRT、以及处理器HP1的管理软件NMNG来执行。该装置HD1通过控制器NFFCC与装置POI进行通信。\n[0052] 在步骤S1，如果需要的话，软件NPRT将用于选择支付应用程序PPSE(近距离支付系统环境)的报文发送到控制器NFCC。控制器NFCC将该报文PPSE转发到处理器SE。在在步骤S2，处理器SE回应该选择报文。在步骤S3，阅读器软件NPRT将用于对安装在处理器SE中的软件组件NAPP进行选择的报文发送到处理器SE。实际上，几个其他软件组件可以安装在处理器SE中。在步骤S4，软件组件NAPP通过为其提供其标识符UID来回应软件NPRT。在步骤S5，装置POI发送交易初始化报文。该交易初始化报文包括关于交易类型TTyp、应用程序标识符APID和交易数据的信息。在步骤S6，软件组件NAPP对标识符APID是否在安装在处理器HP1中的应用程序的标识符的列表PAB中进行核实。在步骤S7，软件组件NAPP通过表明应用程序APID是否安装在处理器HP1中来回应该初始化报文。不论软件组件NAPP的回应如何，装置POI都执行步骤S9。在步骤S9中，其发出阅读命令。同时，在步骤S8，软件组件NAPP启动加密计算来获得密码ED1。在步骤S9接收该阅读命令之后，在步骤S10，软件组件NAPP发出密码ED1来响应。而且如果请求的应用程序被安装，则发出标准支付交易数据DATA1。应该注意到，步骤S1到S9遵守卡支付标准EMV(泛欧卡(Europay)、万事达卡(MasterCard)和威士卡(Visa))。\n[0053] 在步骤S3到S8期间，软件组件NAPP通过控制器NFCC向安装在处理器HP1中的管理软件NMNG发出警告，来通知其已经被呼叫。在步骤S11，软件NMNG将数据请求报文传送到软件组件NAPP。在步骤S12，软件组件NAPP将所接收的交易类型TTyp、应用程序标识符APID、密码ED1和状态信息STS传送到软件NMNG来回应。在步骤S13，软件NMNG启动处理器HP1中的应用程序，或者如果其没有被安装，则启动用于安装该应用程序的程序。\n[0054] 密码ED1例如通过将加密函数，例如像使用处理器SE记录的秘钥的AES(高级的加密标准)的对称加密函数应用到标识符NID、应用程序标识符APID以及可能的其他数据来进行计算。密码ED1也可以通过哈希函数的方式来计算。诸如应用到相同数据的SHA(安全哈希算法)或MD5(消息摘要(Message Digest)5)的哈希函数。或者通过处理器SE记录的秘钥来计算。密码ED1也可以由使用处理器SE记录的个人秘钥、数据库KYDB中记录的相应的公共秘钥的非对称加密函数来计算。密码ED1的计算中使用的其他数据在其被核实之后用它来传送并允许它。\n[0055] 图6示出步骤S31到S52的顺序。步骤S52可以在步骤13由装置HD1、以及服务器HSRV和ASRV来执行。在步骤S31，处理器HP1的软件NMNG通过咨询数据库ARB来确定具有标识符APID的应用程序是否安装在装置HD1中。如果该应用程序已经被安装，则处理器HP1执行步骤S48。该步骤S48可以提供询问用户是否他/她接受激活该应用程序。如果该用户接受激活该应用程序，该应用程序在步骤S49启动。如果该应用程序没有安装在装置HD1中，处理器HP1执行步骤S32。该步骤S32中可以提供询问用户他/她是否想要将该应用程序安装在装置HD1中。如果用户接受安装该应用程序，处理器HP1对服务器HSRV发出下载确认请求DLVal，该请求与软件组件标识符NID、在步骤S7计算的密码ED1、以及下载的应用程序标识符APID一起到来。在步骤S34，服务器HSRV接收该请求并且通过标识符NID和数据库IDDB、UPDB和KYDB中包含的信息的方式来核实密码ED1，并且核实数据库ARDB中应用程序标识符的存在。\n服务器HSRV还通过在数据库IDDB中核实标识符NID没有链接到应用程序标识符APID来核实该应用程序还没有安装在装置HD1中。核实标识符NID和应用程序标识符之间的链接可以考虑到安装的应用程序是之前安装在装置HD1中的应用程序的更新。在这种情况下，该安装由服务器HSRV授权。在步骤S35，如果所有的这些核实都令人满意，服务器HSRV执行步骤S36。\n该步骤S36中，通过用标识符APID的方式访问数据库ARDB来确定该应用程序的下载地址URL。在步骤S37，服务器HSRV通过提供步骤S34完成的核实的结果来回应请求DLVal。如果这些核实令人满意，服务器HSRV还将该应用程序的下载地址URL传送到处理器HP1。也可能将应用程序标识符APID传送到处理器HP1。在接下来的步骤S38和S39，处理器HP1从服务器HSRV接收该信息，并且，如果该下载被服务器HSRV授权，则通过在所接收的地址URL访问服务器WSRV来下载该应用程序。在步骤S40，处理器HP1通过执行在步骤S39下载的文件来启动该应用程序的安装。在步骤S42，处理器HP1通过软件组件NAPP来询问处理器SE，以使得对于每个支付应用程序，将应用程序标识符APID引入由处理器SE记录的应用程序标识符的列表PAB中。在步骤S43，处理器SE对该列表进行更新。在步骤S42之后，处理器HP1将用于安装该应用程序的确认请求传送到服务器HSRV。该应用程序包含该标识符NID、密码ED1和(步骤S44)安装的该应用程序的标识符APID。在接下来的步骤S45，服务器HSRV核实密码ED1。如果密码ED1正确(步骤S46)，服务器HSRV将标识符NID链接到应用程序标识符APID记录到数据库IDDB中(步骤S47)。在接下来的步骤S48中，如果密码ED1正确，服务器HSRV将用于授权所安装的应用程序的执行的报文传送到处理器HP1。在接下来的步骤S49中，处理器HP1通过在数据库ARB中插入所安装的应用程序的标识符APID来对其进行更新，并且启动该应用程序的执行。在处理器HP1执行期间，该应用程序可以根据标识符NID访问应用程序的服务器ASRV或相关联的服务器(在步骤S50)。该应用程序的服务器ASRV或关联的服务器可以询问服务器HSRV数据库UPDB中记录的用户配置信息UPRF，并且询问用户是否需要完成该信息，例如，通过在装置HD1的显示屏上显示表格来实现。该显示的表格可能已经用已经在数据库UPDB中关于该用户的信息进行填写。由该用户输入的该配置信息可以由处理器HP1传送到链接到该应用程序的服务器，如，服务器ASRV或服务器WSRV。该应用程序的服务器将它们转送到服务器HSRV来更新数据库UPDB(步骤S51)。在该应用程序的执行期间，服务器ASRV可以通过根据从数据库UPDB中的标识符NID获得的用户识身份信息来执行传统的支付交易。\n[0056] 用于阻止(block)/开启应用程序和用于卸载应用程序的程序可以由用户来使用。\n这些程序以类似于步骤S33到步骤S37的方式出现。步骤S33由对应的阻止、开启或卸载请求的发出来代替。步骤S36由执行该请求的步骤来代替。为了达到这个目的，可以在数据库IDDB的表格的每列提供块状态指示器。该数据库IDDB将应用程序标识符APID关联到软件组件NAPP的标识符NID。如果它是应用程序阻止或开启请求，服务器HSRV可以将与应用程序的标识符APID和从处理器HP1接收的软件组件标识符NID对应的状态指示器进行更新。该状态指示器可以在步骤S49处理器HP1执行该应用程序之前进行测试。如果它是卸载请求，服务器HSRV可以将与该软件组件和从处理器HP1接收的应用程序标识符相关联的这个表格的列废止。公认地，应用程序阻止/开启和卸载操作仅在服务器HSRV对处理器HP1提供的密码ED1以及标识符NID和APID之间链接的在数据库IDDB中存在进行核实之后才完成。\n[0057] 处理器SE中记录的列表PAB的每个元素可以关联到优先级编号和阻止指示符。该阻止指示符可以由任凭用户来使用的配置命令通过处理器HP1访问。这样，在步骤S5，如果列表PAD中保存的几个支付应用程序遵守装置POI传送的标识符APID，软件组件NAPP对具有最高优先级编号的非阻止支付应用程序进行激活。\n[0058] 图7示出步骤S61到步骤S70的顺序。步骤S70可以由装置POI启动和执行步骤S9和S94之后的应用程序来触发，或者启动和执行步骤S49激活的应用程序启动的支付应用程序来触发。这些步骤的顺序由装置POI、应用程序服务器ASRV和服务器HSRV来执行。在步骤S61，装置POI将交易请求TTReq传送到服务器ASRV。该交易请求TTReq包括关于该应用程序数据索引(AppData)的数据、在步骤S4接收的软件组件标识符NID和在步骤S9接收的密码ED1。在步骤S62，服务器ASRV接收这个请求并启动加密计算来获得密码ED2，特别是从应用程序标识符APID获得。在步骤S63，服务器ASRV向服务器HSRV发出认证请求AuthReq。该认证请求AuthReq包括软件组件标识符NID、密码ED1和ED2以及应用程序标识符APID。在步骤S64，服务器HSRV核实标识符NID在数据库IDDB中的存在，并核实密码ED1。在步骤S65，服务器HSRV核实应用程序标识符APID在数据库ARDB中的存在，并核实密码ED2。在步骤S66，服务器HSRV在数据库IDDB中核实该应用程序链接到连接到装置POI的装置HD1的处理器SE的标识符NID。在步骤S67，服务器HSRV向服务器ASRV发出认证响应报文AuthRep。该认证响应报文AuthRep表明该认证的成功或失败。也就是，是否接收到的密码ED1、ED2是真实的，以及具有标识符APID的应用程序是否事实上与连接到装置POI的装置HD1的标识符NID进行链接。\n如果该认证成功，有必要的话，服务器HSRV还将用户标识符UID传送到服务器ASRV，以允许其根据该用户的身份完成交易。在步骤S68，服务器ASRV对认证响应报文进行测试。并且，如果认证成功，其执行步骤S69和S70。在该步骤S70中，其执行对应于该应用程序和用户的交易，并且其将响应步骤S61传送的请求的交易响应报文TTRep传送到装置POI。因此，服务器ASRV可以确信标识符NID和APID的可靠性。\n[0059] 密码ED2可以通过将用于计算密码ED1的函数应用到应用程序标识符APID来进行计算(在步骤S62)，也有可能应用到密码ED1和诸如随机产生的数据的其他数据来进行计算。在密码ED2的计算中使用的其他数据，以及特别是带有密码ED2的随机数字被传送，以允许其由服务器HSRV来核实。如果该密码由对称加密函数或哈希函数的方式来计算，使用秘密秘钥，密码ED1、ED2可以用相同的秘密秘钥和用于他们的第一计算的相同的数据的方式通过对它们进行重新计算来核实。该秘密数据记录在与标识符NID、APID关联的数据库KYDB中。可能用于密码ED1的计算的数据可能在与标识符NID关联的数据库IDDB中被发现。可能用于密码ED2的计算的数据可能在与标识符APID关联的数据库ARDB中被发现。如果密码ED1、ED2已经通过非对称加密算法的方式计算，它们可以通过使用记录在数据库KYDB中的公共秘钥将相同的加密算法应用到那里，对应于用于它们的计算的秘密秘钥。\n[0060] 应该注意到，用户标识符UID从未由NFC装置HD1进行传送或接收，而仅仅由可以被担保的服务器ASRV、HSRV之间的链接来传送或接收。因此，用户匿名可以被保护，知道标识符NID并不足以确定用户，并且处理器SE的标识符SEID从不在应用程序的执行期间传送。\n[0061] 诚然，认证服务器HSRV现实中可以由连接在它们之间的几个服务器组成。因此，加密秘钥数据库KYDB可以通过特别的服务器访问。每个数据库IDDB、UPDB、ARDB和KYDB的数据也可以分配到可通过不同的服务器访问的几个数据库中。\n[0062] 得益于这些安排，安装新的应用程序不需要在NFC装置HD1的安全处理器中安装任何软件组件。安全处理器SE通过接收与唯一标识符NID关联的组件NAPP以及一个或多个关联的秘密秘钥容许由处理器HP1执行的所有的NFC应用程序个性化一次。由于仅一个软件组件NAPP可以安装在处理器SE中，所以标识符NID可以用于识别处理器SE。组件NAPP在处理器SE中的安装并不阻碍处理器SE中其它软件组件的安装或执行。由于应用程序和用户的装置HD1之间的链接在装置HD1之外建立，也就是，由数据库IDDB、UPDB、ARDB建立，在丢失、被盗或装置HD1的代替的事件中，这个链接容易对和从另一个NFC装置重新建立。密码ED1和ED2允许处理器SE和该应用程序被认证。另外，应该注意到，之前描述的这些步骤的顺序不包括移动网络运营商，除非有可能建立装置HD1(移动电话类型的)和应用程序下载服务器WSRV之间的通信。\n[0063] 本领域技术人员清楚，本发明容许各种实施方式和应用程序。特别地，本发明不限于安全应用程序的实现。因此，产生、传送和核对密码ED1、ED2中的一个和/或另一个对于实现本发明来说不是必须的。\n[0064] 本发明也不限于NFC装置，其中，控制器NFCC连接到处理器HP1。实际上，控制器NFCC和安全处理器SE可以用过任意机械方式(张贴物、移动电话盖)集成在关联到移动电话的芯片上。例如，在图5中，由处理器HP1对应用程序的执行所需要的数据进行传送可以通过连接到装置POI的服务器ASRV来传送到处理器HP1。处理器HP1中的应用程序也可以由用户人工启动。\n[0065] 在处理器HP1中下载和安装应用程序的步骤也不是必须的。实际上这些操作可以在MOS操作系统安装在处理器HP1期间来实施。因此，NFC装置HD1可以用已经安装在处理器HP1中的一定数目的应用程序提供到用户。\n[0066] 另外，根据该应用程序(“阅读器应用程序”、“卡应用程序”)，装置HD1可以以卡的模式、或以阅读器的模式、或以“点对点”模式建立与外部NFC装置(POI)的非接触式链接。因此，图6的步骤的顺序的执行不是必须以同步的方式执行。实际上，特别在装置POI是非接触式集成电路的情况下，当装置POI可以建立与应用程序服务器ASRV的通信时，步骤S61和步骤S70可以在延迟时间完成。