20以及安全模塊(SE)130��,其中:
[0054]所述安全服務(wù)組件110用于通過與操作系統(tǒng)之間的機卡接口訪問SE�,從所述SE獲取SEID,調(diào)用平臺的登錄接口自動登錄到平臺�����,并攜帶所述SEID與平臺建立連接����。這里所說的平臺例如是TSM平臺����。其中�,SE指安全模塊,可安全存儲多個SE應(yīng)用����,實現(xiàn)一卡多用。SE可以是S頂卡�、SD卡或手機主板上獨立的安全模塊等,S頂卡形態(tài)的SE同時具備通信卡功能����。SE應(yīng)用指銀行卡、公交卡�、會員卡等智能卡應(yīng)用�����。所述SEID是SE的唯一標(biāo)識�����,可唯一標(biāo)識一個 SE。所述 SEID 例如是成品卡的 ICCID (Integrate circuit card identity,集成電路卡識別碼)或空卡的序列號���。所述安全服務(wù)組件110與平臺間采用標(biāo)準(zhǔn)HTTPS協(xié)議通信�����,建立HTTPS連接�。
[0055]所述操作系統(tǒng)120用于提供與所述安全服務(wù)組件之間的機卡接口����。
[0056]所述SE130用于保存所述SEID,并提供給所述安全服務(wù)組件����。其中,SEID存儲于SE中�,卡商制卡時寫入,制卡完成后會通過電信卡管平臺同步給平臺�����,例如TSM平臺�。即SE和平臺中均存儲有SEID。
[0057]其中����,用戶可通過電信營業(yè)廳���、語音等多種方式進行SE掛失,用戶掛失后電信IT系統(tǒng)會將手機號掛失狀態(tài)通知給電信平臺��,電信平臺將該對應(yīng)SEID的SE設(shè)備置為掛失狀態(tài)��。當(dāng)然��,如果是誤掛失��,用戶可以持有效身份證件到電信營業(yè)廳解掛失����。
[0058]所述平臺接收安全服務(wù)組件傳送的SEID,判斷具有所述SEID的所述SE是否已掛失���,如果是�,向所述安全服務(wù)組件發(fā)送SE應(yīng)用鎖定指令�,該鎖定指令例如是APDU指令�,并通過所述機卡接口發(fā)送給所述SE進行應(yīng)用鎖定。SE應(yīng)用鎖定后���,該SE應(yīng)用將不能使用��。
[0059]例如���,該SE應(yīng)用為公交應(yīng)用��,則用戶將不能通過刷手機實現(xiàn)刷公交P0S機具�,通過這種方式可保障用戶SE內(nèi)的離線錢包資金的安全��,即撿到該SE的人不能使用該已掛失的SE0
[0060]如果不進行SE應(yīng)用鎖定����,即使電信IT系統(tǒng)完成手機號掛失后,SE的通信功能(打電話等)不能使用�,上述刷卡消費功能還是可以使用的,因為該刷卡操作是在合作方P0S機具上進行的����。
[0061]在該實施例中,終端的安全服務(wù)組件可以獲取SEID����,并發(fā)送到與該終端建立連接的平臺,由平臺向已掛失的SEID終端的安全服務(wù)組件發(fā)送SE應(yīng)用鎖定指令���,并對SE進行應(yīng)用鎖定�����。從而�����,可以對SE進行安全處理��。
[0062]也就是說��,終端處于開機并聯(lián)網(wǎng)的狀態(tài)���,就可以實現(xiàn)對SE進行安全處理�。不需要依靠短信通道���,從而減少了短信通道的不穩(wěn)定性對于終端安全處理的影響���。此外,終端處于聯(lián)網(wǎng)狀態(tài)��,會主動將SEID上報給平臺�,由平臺執(zhí)行安全處理,則平臺不需要判斷網(wǎng)絡(luò)狀況并根據(jù)網(wǎng)絡(luò)狀況執(zhí)行安全處理��,減少了平臺在終端關(guān)機狀態(tài)下進行多次下發(fā)嘗試的操作���。此外�����,終端中的客戶端不需要處于登錄狀態(tài)����,因此����,減少了平臺進行安全處理的過程中對于客戶端的依賴。
[0063]圖2為一種實現(xiàn)安全管理的平臺的結(jié)構(gòu)示意圖�,該平臺包括連接建立模塊210、判斷模塊220以及指令下發(fā)模塊230����,該平臺例如是TSM平臺。其中:
[0064]所述連接建立模塊210用于與攜帶SEID的終端建立連接�。
[0065]所述判斷模塊220用于判斷具有所述SEID的所述SE是否已掛失。
[0066]所述指令下發(fā)模塊230用于通過所建立的連接向已掛失的所述終端的安全服務(wù)組件發(fā)送SE應(yīng)用鎖定指令�。
[0067]其中���,所述終端的安全服務(wù)組件通過與操作系統(tǒng)之間的機卡接口訪問SE,從所述SE獲取SEID����,并攜帶所述SEID與所述平臺建立連接;所述安全服務(wù)組件接收所述SE應(yīng)用鎖定指令�,并通過所述機卡接口發(fā)送給所述SE進行應(yīng)用鎖定。
[0068]在該實施例中�,終端的安全服務(wù)組件可以獲取SEID,并發(fā)送到與該終端建立連接的平臺�,由平臺向已掛失的SEID終端的安全服務(wù)組件發(fā)送SE應(yīng)用鎖定指令,并對SE進行應(yīng)用鎖定���。從而����,可以對SE進行安全處理���。
[0069]也就是說�,終端處于開機并聯(lián)網(wǎng)的狀態(tài)���,就可以實現(xiàn)對SE進行安全處理����。不需要依靠短信通道,從而減少了短信通道的不穩(wěn)定性對于終端安全處理的影響�。此外����,終端處于聯(lián)網(wǎng)狀態(tài),會主動將SEID上報給平臺����,由平臺執(zhí)行安全處理,則平臺不需要判斷網(wǎng)絡(luò)狀況并根據(jù)網(wǎng)絡(luò)狀況執(zhí)行安全處理����,減少了平臺在終端關(guān)機狀態(tài)下進行多次下發(fā)嘗試的操作。此外��,終端中的客戶端不需要處于登錄狀態(tài)�����,因此���,減少了平臺進行安全處理的過程中對于客戶端的依賴��。
[0070]本發(fā)明還提出一種實現(xiàn)安全管理的系統(tǒng)�����。該系統(tǒng)包括終端和平臺�。其中,終端和平臺如上所述�,在此不再詳述。
[0071]下面結(jié)合附圖和具體實施例��,對本發(fā)明做進一步說明��。
[0072]圖3為本發(fā)明實現(xiàn)安全管理的系統(tǒng)的結(jié)構(gòu)示意圖��。該系統(tǒng)中����,終端包括:安全服務(wù)組件310、操作系統(tǒng)320以及SE330��。這里的平臺為TSM平臺340��。
[0073]使用電信NFC手機錢包業(yè)務(wù)的用戶到營業(yè)廳或打電話掛失�,用戶掛失后電信IT系統(tǒng)會將手機號掛失狀態(tài)通知給電信TSM平臺�,電信TSM平臺將該對應(yīng)SEID的SE設(shè)備置為掛失狀態(tài)��。
[0074]電信將該掛失消息通知給應(yīng)用提供方(如銀行�����、公交系統(tǒng)等)�,應(yīng)用提供方將用戶應(yīng)用賬號,如銀行卡等賬號掛失���。
[0075]所述安全服務(wù)組件310用于通過與操作系統(tǒng)之間的機卡接口訪問SE,從所述SE獲取SEID�����,并攜帶所述SEID與TSM平臺340建立連接�。
[0076]所述操作系統(tǒng)320用于提供與所述安全服務(wù)組件之間的機卡接口。
[0077]所述SE330用于保存所述SEID���,并提供給所述安全服務(wù)組件��。
[0078]TSM平臺340是電信側(cè)實體�,通過短信通道進行SE應(yīng)用鎖定處理�����。如果成功,則完成對SE應(yīng)用的鎖定�。如果不成功,例如��,用戶ΙΠΜ卡通信功能關(guān)閉或用戶手機掉在了沒有手機信號的地方�,所述TSM平臺檢測安全服務(wù)組件登錄事件,根據(jù)登錄的安全服務(wù)組件傳送的SEID���,判斷具有所述SEID的所述SE是否已掛失���,如果是,向所述安全服務(wù)組件發(fā)送SE應(yīng)用鎖定指令���,該鎖定指令是APDU指令��,并通過所述機卡接口發(fā)送給所述SE進行應(yīng)用鎖定��。SE應(yīng)用鎖定后����,該SE應(yīng)用將不能使用�����。
[0079]本發(fā)明可用于移動網(wǎng)絡(luò)、移動支付��、特別是TSM等移動互聯(lián)網(wǎng)應(yīng)用系統(tǒng)平臺��。例如��,在中國電信手機錢包業(yè)務(wù)中實施和應(yīng)用�,解決用戶手機錢包ΙΠΜ卡掛失對SE的操作管理問題,提高用戶ΙΠΜ卡內(nèi)各種SE應(yīng)用的安全性�����。還可以用于空中發(fā)卡��、SE參數(shù)空中更新坐寸���。
[0080]圖4為一種安全管理方法的流程示意圖。該方法包括以下步驟:
[0081]在步驟410�,終端開機,所述終端內(nèi)的安全服務(wù)組件處于運行狀態(tài)�����。
[0082]在步驟420,檢測所述終端是否處于聯(lián)網(wǎng)狀態(tài)����,如果是,執(zhí)行步驟430����,否則,結(jié)束�����。
[0083]在步驟430�,所述安全服務(wù)組件通過與操作系統(tǒng)之間的機卡接口訪問SE,從所述SE獲取SEID����。其中,所述SEID是SE的唯一標(biāo)識��,所述SEID為成品卡的集成電路卡識別碼(ICCID)或空卡的序列號��。
[0084]在步驟440���,所述安全服務(wù)組件攜帶所述SEID與平臺建立連接����。其中,所述平臺判斷具有所述SEID的所述SE是否已掛失����,如果是,繼續(xù)執(zhí)行步驟450��,否則����,結(jié)束流程。
[0085]在步驟450���,所述安全服務(wù)組件接收所述平臺發(fā)送的SE應(yīng)用鎖定指令���,并通過所述機卡接口發(fā)送給所述SE進行應(yīng)用鎖定��。
[0086]在該實施例中����,終端的安全服務(wù)組件可以獲取SEID,并發(fā)送到與該終端建立連接的平臺�,由平臺向已掛失的SEID終端的安全服務(wù)組件發(fā)送SE應(yīng)用鎖定指令���,并對SE進行應(yīng)用鎖定。從而�����,可以對SE進行安全處理�。
[0087]也就是說,終端處于開機并聯(lián)網(wǎng)的狀態(tài)�����,就可以實現(xiàn)對SE進行安全處理���。不需要依靠短信通道�����,從而減少了短信通道的不穩(wěn)定性對于終端安全處理的影響����。此外�,終端處于聯(lián)網(wǎng)狀態(tài),會主動將SEID上報給平臺,由平臺執(zhí)行安全處理�����,則平臺不需要判斷網(wǎng)絡(luò)狀況并根據(jù)網(wǎng)絡(luò)狀況執(zhí)行安全處理�����,減少了平臺在終端關(guān)機狀態(tài)下進行多次下發(fā)嘗試的操作����。此外,終端中的客戶端不需要處于登錄狀態(tài)�����,因此���,減少了平臺進行安全處理的過程中對于客戶端的依賴���。
[0088]圖5為一種安全管理方法的流程示意圖。該方法包括以下步驟:
[0089]在步