WO2016045042A1

WO2016045042A1 - 一种安全单元中内容管理的方法及装置

Info

Publication number: WO2016045042A1
Application number: PCT/CN2014/087415
Authority: WO
Inventors: 李国庆; 常新苗
Original assignee: 华为技术有限公司
Priority date: 2014-09-25
Filing date: 2014-09-25
Publication date: 2016-03-31
Also published as: CN106576239B; CN106576239A

Abstract

本发明实施例提供了一种安全单元SE中内容管理的方法及装置，涉及计算机技术领域，方法包括：向应用服务器发送内容管理请求，应用服务器注册于第一可信服务管理平台TSM；接收应用服务器从第一TSM获得的用于验证内容管理命令是否合法的第一令牌，以及接收应用服务器返回的内容管理命令；验证第一令牌，并在第一令牌验证通过后，通过第二TSM获取用于管理SE中内容的第二令牌，第二TSM具备SE的管理权限；验证第二令牌，并在第二令牌验证通过后，由SE中第一TSM对应的安全域执行内容管理命令。本发明实现了在SE中执行具备管理权限的第二TSM以外其他TSM下发的内容管理命令，进一步实现了SE中跨平台的内容管理，提高了SE的使用效率。

Description

一种安全单元中内容管理的方法及装置

技术领域

本发明涉及计算机技术领域，特别涉及一种安全单元中内容管理的方法及装置。

背景技术

SE(Secure Element，安全单元)是一种具有防内容篡改功能的微控制器，为终端中安装在SE上的应用提供安全的存储和运行环境。当前，SE广泛用于基于NFC(Near Field Communication，近场通信)的移动支付场景中，用户可以通过终端在SE中安装移动支付、公交卡、门禁卡等类别的应用，并通过NFC接口与非接触读卡器进行通信。

依据现有技术，在SE中安装应用的过程为：用户通过终端发送安装应用的请求，应用服务器接收到该请求后向属于运营商的TSM(Trust Service Manager，可信服务管理)服务器请求用于安装应用的令牌(Token)，在请求到令牌后将该令牌与安装命令一起发送给终端，并由终端SE中具备令牌验证权限的TSD(Trust Security Domain，可信安全域)进行验证，验证通过后由SE中具备委托管理权限的SD(Security Domain，SD，安全域)执行安装命令，将该应用安装于SE中。在实际部署环境中，不同的运营商拥有不同的TSM服务器，用于管理各自发行的SE。只有获得TSM授权的应用提供商才可以对SE进行应用安装、更新和删除等SE内容管理操作。不同运营商的TSM平台生成的SE内容管理令牌不同；假定一个应用提供商与两个运营商C和U同时签约，同一个应用的安装命令从运营商C和运营商U处获得的令牌是不同的，分别记为TokenC和TokenU，TokenC发送到运营商C发行的SE处可以通过令牌验证，但TokenC发送至运营商U发行的SE处则无法通过验证。

发明人发现现有技术至少存在以下问题：

当用户使用运营商C发行的UICC(Universal Integrated Circuit Card，通用集成电路卡)接入运营商U的通信网络，并且需要向运营行C发行的SE内安装注册于运营商U的TSM的应用提供商A的应用时，该应用提供商A将向运营商U的TSM发送应用安装请求，而运营商U的TSM只对运营商U发行的安全单元具有管理权限，运营商U生成的令牌只能授权应用提供商A访问自己发行的安全单元；同样的，运营商C的TSM只能向在自身中注册的应用提供商B发放令牌，供应用提供商B访问运营商C发行的安全单元时使用；上述使用运营商C发行的SE的终端接收到运营商U生成的令牌，无法通过验证，导致无法安装该应用。

发明内容

为了解决现有技术的缺陷，本发明实施例提供了一种安全单元SE中内容管理的方法及装置。所述技术方案如下：

第一方面、一种安全单元SE中内容管理的方法，包括：

向应用服务器发送内容管理请求，所述应用服务器注册于第一可信服务管理平台TSM；

接收所述应用服务器从所述第一TSM获得的用于验证内容管理命令是否合法的第一令牌，以及接收所述应用服务器返回的内容管理命令；

验证所述第一令牌，并在所述第一令牌验证通过后，通过第二TSM获取用于管理SE中内容的第二令牌，所述第二TSM具备所述SE的管理权限；

验证所述第二令牌，并在所述第二令牌验证通过后，调用所述SE中所述第一TSM对应的安全域执行所述内容管理命令。

在第一方面的第一种可能的实现方式中，所述方法还包括：

接收第一TSM从第二TSM获得的用于在SE上安装所述第一TSM对应的安全域的第三令牌，以及接收所述第一TSM发送的用于安装所述第一TSM对应的安全域的安装命令和相关数据；

验证所述第三令牌；

在所述第三令牌验证通过后，由所述第二TSM对应的安全域执行安装所述第一TSM对应的安全域的安装命令，在SE中安装所述第一TSM对应的安全域，并授予所述第一TSM对应的安全域委托管理权限。

结合第一方面的第一种可能的实现方式，在第一方面的第二种可能的实现方式中，所述验证所述第三令牌之前，所述方法还包括：

接收所述第二TSM发送的密钥集；

相应的，所述在SE中安装所述第一TSM对应的安全域之后，所述方法还包括：

将所述密钥集配置到所述第一TSM对应的安全域中。

结合第一方面的第二种可能的实现方式，在第一方面的第三种可能的实现方式中，所述通过第二TSM获取用于管理SE内容的第二令牌，包括：

根据所述密钥集以及所述内容管理命令，由所述第一TSM对应的安全域生成用于管理SE内容的第二令牌。

在第一方面的第四种可能的实现方式中，所述通过第二TSM获取用于管理SE内容的第二令牌，包括：

向所述第一TSM发送用于管理SE内容的第二令牌的请求；

接收所述第一TSM从第二TSM请求到的所述第二令牌。

结合第一方面的第一种可能的实现方式，在第一方面的第五种可能的实现方式中，所述在SE中安装所述第一TSM对应的安全域之后，所述方法还包括：

向所述第二TSM发送所述第一TSM对应的安全域安装成功的回执。

在第一方面的第六种可能的实现方式中，所述调用所述SE中所述第一TSM对应的安全域执行所述内容管理命令之后，所述方法还包括：

向所述第二TSM发送所述内容管理命令执行成功的回执。

在第一方面的第七种可能的实现方式中，所述内容管理命令包括以下操作中的至少一种：

向所述SE内载入应用安装文件；

向所述SE内安装应用；

配置所述SE内已经安装的应用；

删除所述SE内的应用和/或应用数据；

删除所述SE内的应用安装文件；

更新所述应用对应的注册表信息。

第二方面、一种安全单元SE中内容管理的装置，包括：

发送模块，用于向应用服务器发送内容管理请求，所述应用服务器注册于第一可信服务管理平台TSM；

第一接收模块，用于接收所述应用服务器从所述第一TSM获得的用于验证内容管理命令是否合法的第一令牌，以及接收所述应用服务器返回的内容管理命令；

获取模块，用于验证所述第一令牌，并在所述第一令牌验证通过后，通过第二TSM获取用于管理SE中内容的第二令牌，所述第二TSM具备所述SE的管理权限；

执行模块，用于验证所述第二令牌，并在所述第二令牌验证通过后，调用所述SE中所述第一TSM对应的安全域执行所述内容管理命令。

在第二方面的第一种可能的实现方式中，所述装置还包括：

第二接收模块，用于接收第一TSM从第二TSM获得的用于在SE上安装所述第一TSM对应的安全域的第三令牌，以及接收所述第一TSM发送的用于安装所述第一TSM对应的安全域的安装命令和相关数据；

验证模块，用于验证所述第三令牌；

安装模块，用于在所述第三令牌验证通过后，由所述第二TSM对应的安全域执行安装所述第一TSM对应的安全域的安装命令，在SE中安装所述第一TSM对应的安全域，并授予所述第一TSM对应的安全域委托管理权限。

结合第二方面的第一种可能的实现方式，在第二方面的第二种可能的实现方式中，所述装置还包括：

第三接收模块，用于接收所述第二TSM发送的密钥集；

相应的，所述装置还包括：

配置模块，用于将所述密钥集配置到所述第一TSM对应的安全域中。

结合第二方面的第二种可能的实现方式，在第二方面的第三种可能的实现方式中，所述获取模块，包括：

生成单元，用于根据所述密钥集以及所述内容管理命令，由所述第一TSM对应的安全域生成用于管理SE内容的第二令牌。

在第二方面的第四种可能的实现方式中，所述获取模块，包括：

发送单元，用于向所述第一TSM发送用于管理SE内容的第二令牌的请求；

接收单元，用于接收所述第一TSM从第二TSM请求到的所述第二令牌。

结合第二方面的第一种可能的实现方式，在第二方面的第五种可能的实现方式中，所述装置还包括：

第一回执发送模块，用于向所述第二TSM发送所述第一TSM对应的安全域安装成功的回执。

在第二方面的第六种可能的实现方式中，所述装置还包括：

第二回执发送模块，用于向所述第二TSM发送所述内容管理命令执行成功的回执。

在第二方面的第七种可能的实现方式中，所述内容管理命令包括以下操作中的至少一种：

向所述SE内载入应用安装文件；

向所述SE内安装应用；

配置所述SE内已经安装的应用；

删除所述SE内的应用和/或应用数据；

删除所述SE内的应用安装文件；

更新所述应用对应的注册表信息。

第三方面、一种安全单元SE中内容管理的装置，包括：

所述装置包括：处理器，存储器，发射器和接收器，

所述发射器，用于向应用服务器发送内容管理请求，所述应用服务器注册于第一可信服务管理平台TSM；

所述接收器，用于接收所述应用服务器从所述第一TSM获得的用于验证内容管理命令是否合法的第一令牌，以及接收所述应用服务器返回的内容管理命令；

所述处理器，用于验证所述第一令牌，并在所述第一令牌验证通过后，通过第二TSM获取用于管理SE中内容的第二令牌，所述第二TSM具备所述SE的管理权限；

所述处理器，用于验证所述第二令牌，并在所述第二令牌验证通过后，调用所述SE中所述第一TSM对应的安全域执行所述内容管理命令；

所述存储器用于存储所述处理器产生的数据。

在第二方面的第一种可能的实现方式中，

所述接收器，用于接收第一TSM从第二TSM获得的用于在SE上安装所述第一TSM对应的安全域的第三令牌，以及接收所述第一TSM发送的用于安装所述第一TSM对应的安全域的安装命令和相关数据；

所述处理器，用于验证所述第三令牌；

所述处理器，用于在所述第三令牌验证通过后，由所述第二TSM对应的安全域执行安装所述第一TSM对应的安全域的安装命令，在SE中安装所述第一TSM对应的安全域，并授予所述第一TSM对应的安全域委托管理权限。

结合第二方面的第一种可能的实现方式，在第二方面的第二种可能的实现方式中，

所述接收器，用于接收所述第二TSM发送的密钥集；

相应的，所述处理器，用于将所述密钥集配置到所述第一TSM对应的安全域中。

结合第二方面的第二种可能的实现方式，在第二方面的第三种可能的实现方式中，

所述处理器，用于根据所述密钥集以及所述内容管理命令，由所述第一TSM对应的安全域生成用于管理SE内容的第二令牌。

在第二方面的第四种可能的实现方式中，

所述发射器，用于向所述第一TSM发送用于管理SE内容的第二令牌的请求；

所述接收器，用于接收所述第一TSM从第二TSM请求到的所述第二令牌。

结合第二方面的第一种可能的实现方式，在第二方面的第五种可能的实现方式中，

所述发射器，用于向所述第二TSM发送所述第一TSM对应的安全域安装成功的回执。

在第二方面的第六种可能的实现方式中，

所述发射器，用于向所述第二TSM发送所述内容管理命令执行成功的回执。

向所述SE内载入应用安装文件；

向所述SE内安装应用；

配置所述SE内已经安装的应用；

删除所述SE内的应用和/或应用数据；

删除所述SE内的应用安装文件；

更新所述应用对应的注册表信息。

本发明实施例提供的技术方案的有益效果是：

通过分别获取第一TSM和对SE具备管理权限的第二TSM对应的第一令牌和第二令牌，并在令牌验证通过后，由SE中第一TSM对应的安全域执行内容管理命令，实现了在SE中执行具备管理权限的第二TSM以外其他TSM下发的内容管理命令，进一步实现了SE中跨平台的内容管理，提高了SE的使用效率。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本发明实施例1提供的安全单元SE中内容管理的方法流程图；

图2是本发明实施例2提供的安全单元SE中内容管理的方法流程图；

图3是本发明实施例2提供的安全单元SE中内容管理的方法流程图；

图4是本发明实施例4提供的安全单元SE中内容管理的装置的结构示意图；

图5是本发明实施例5提供的终端的结构示意图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚，下面将结合附图对本发明实施方式作进一步地详细描述。

实施例1

本发明实施例提供了一种安全单元SE中内容管理的方法，参见图1。该方法包括：

101：向应用服务器发送内容管理请求，所述应用服务器注册于第一可信服务管理平台TSM；

102：接收所述应用服务器从所述第一TSM获得的用于验证内容管理命令是否合法的第一令牌，以及接收所述应用服务器返回的内容管理命令；

103：验证所述第一令牌，并在所述第一令牌验证通过后，通过第二TSM获取用于管理SE中内容的第二令牌，所述第二TSM具备SE的管理权限；

104：验证所述第二令牌，并在所述第二令牌验证通过后，调用所述SE中所述第一TSM对应的安全域执行所述内容管理命令。

其中，TSM是移动支付生态系统中的一个模块，可以与MNO、终端厂商或其他拥有SE管理权限的实体签署合作协议，协助应用服务器把认证的应用部署到SE中。

其中，安全域是用于管理SE中一块存储区域的应用程序，该存储区域可以用来安装移动支付、公交卡、门禁卡等类别的应用程序，而安全域则对这些应用程序与外界通信进行管理。

本发明实施例中通过分别获取第一TSM和对SE具备管理权限的第二TSM对应的第一令牌和第二令牌，并在令牌验证通过后，由SE中第一TSM的安全域执行内容管理命令，实现了在SE中执行具备管理权限的第二TSM以外其他TSM下发的内容管理命令，进一步实现了SE中跨平台的内容管理，提高了SE的使用效率。

实施例2

本发明实施例提供了一种安全单元SE中内容管理的方法。

需要说明的是在对SE进行内容管理之前，需要在SE中安装不具备该SE管理权限的其他TSM对应的安全域。在其他TSM对应的安全域在SE中安装后，终端才可以安装其他TSM中注册的应用，并在安装这些应用后进行SE内容管理。

其中，在本发明实施例中第二TSM为对SE具备管理权限TSM，SE中已经安装有第二TSM对应的安全域，其安装方式可以是SE出厂时预先安装对应于第二TSM的安全域，或者通过OTA(Over the Air Technology，空中下载技术)方式在SE中为第二TSM对应的安全域分配存储空间，将安全域安装文件装载到SE的存储空间内并执行安装命令和必要的权限管理以完成安装过程。

进一步的，其他TSM可以在第二TSM对应的安全域管理的存储空间内安装安全域，在本发明实施例中其他TSM用第一TSM表示。

第一TSM在SE中安装安全域的过程可以包括以下两种情况：

第一种情况：在首次请求安装第一TSM中注册的应用时进行，此种情况下在用户操作终端安装第一TSM中注册的应用时，在向应用服务器发送应用安装请求之后，第一TSM查询本地数据库发现此发送请求的终端尚未安装第一TSM对应的安全域，于是下发相关命令和数据，与终端交互完成安全域安装过程，之后继续应用安装；

第二种情况，第一TSM在SE中安装安全域的过程可以在首次安装第一TSM中注册的应用之前预先进行，第一TSM对应的安全域的安装由用户主动发起。

这里，对何时在SE中安装第一TSM对应的安全域不做限定。

例如，第一TSM通过第二TSM，向SE发送安装第一TSM对应的安全域的指令，SE收到命令后，将命令分发给第二TSM对应的安全域处理，并由第二TSM对应的安全域执行安装命令，在第二TSM对应的安全域的存储空间内安装第一TSM对应的安全域，并在自己管理的存储空间内划分一部分给第一TSM对应的安全域，并在SE中的安全单元和应用管理模块注册第一TSM对应的安全域，并注明第一TSM对应的安全域与第二TSM对应的安全域的关联关系，至此完成第一TSM对应的安全域的安装。

其中，第一TSM对应的安全域与第一TSM通信时，需要由第二TSM对应的安全域负责建立通道。而第一TSM对应的安全域可以为安装到其存储空间内的应用和远端服务器通信建立通道。

因此，作为对SE进行内容管理的方法的一部分，在对SE进行内容管理之前安装其他TSM对应的安全域的过程参见图2，包括：

201：终端向第一TSM发送内容管理请求，内容管理请求中携带终端标识。

其中终端标识可以包括但不限于：ICCID(Integrate circuit card identity，集成电路卡识别码)和/或SEID(Secure Element identity，安全单元标识)，这里SEID可以唯一标识一个安全单元。

202：第一TSM收到终端请求时，向第二TSM发送请求安装第一TSM对应的安全域的请求。其中，安装第一TSM对应的安全域的请求中携带终端标识。

其中终端标识可以包括但不限于：ICCID和/或SEID。

第一TSM接收到终端发送的应用安装请求后，第一MNO(Mobile Network Operator，移动网络运营商)检查自己的数据库，通过终端标识发现该终端归属于第二MNO，并且第一MNO和第二MNO已经存在签约关系，第一MNO可以在一定条件下访问第二MNO的SE，且该终端中的SE尚未安装第一TSM对应的安全域，因此第一TSM向第二TSM发送请求安装第一TSM对应的安全域的请求。

203：第二TSM向第一TSM发送安装应用的第三令牌。

第二TSM根据第一MNO和第二MNO已经存在的签约关系，生成用于在SE上安装第一TSM对应的安全域的第三令牌，并将第三令牌返回给第一TSM。

204：终端接收第一TSM从第二TSM获得的用于在SE上安装第一TSM对应的安全域的第三令牌，以及接收第一TSM发送的用于安装第一TSM对应的安全域的安装命令和相关数据。

205：验证第三令牌。

其中，验证过程可以由SE中专门用于验证令牌的安全域验证进行第三令牌的步骤。

206：终端在第三令牌验证通过后，由第二TSM对应的安全域执行安装第一TSM对应的安全域的安装命令，在SE中安装第一TSM对应的安全域，并授予第一TSM对应的安全域委托管理权限。

在SE中第二TSM对应的安全域中为第一TSM对应的安全域分配存储空间，在分配完毕后完成安装第一TSM对应的安全域的过程。

其中，第二TSM对应的安全域为第一TSM对应的安全域的关联安全域。

207：终端向第二TSM发送第一TSM对应的安全域安装成功的回执。

其中，回执由安全单元中具有回执生成权限的安全域生成。

在本发明实施例中，安装第一TSM对应的安全域后，提供了一种安全单元中内容管理的方法。下面将结合具体的处理方式，对图1所示的安全单元中内容管理的流程进行详细的说明，具体内容可以如下：

101：向应用服务器发送内容管理请求，所述应用服务器注册于第一可信服务管理平台TSM。

其中，内容管理请求中具体的操作可以包括以下操作中的至少一种：

向SE内载入应用安装文件的操作；

向SE内安装应用的操作；

配置SE内已经安装的应用的操作；

删除SE内的应用和/或应用数据的操作；

删除SE内的应用安装文件的操作；

更新应用对应的注册表信息的操作。

在本发明实施例中，以安装一个公交卡应用为例进行说明，内容管理请求中携带终端标识，其中终端标识可以包括但不限于：ICCID和/或SEID。

应用服务器在接收到终端发送的内容管理请求之后，向第一TSM发送内容管理请求。

第一TSM在接收到内容管理请求之后，向应用服务器发送用于验证内容管理命令是否合法的第一令牌。

其中，第一TSM可以检查本地数据库，发现该终端已经安装有第一TSM对应的安全域之后才会向应用服务器发送令牌。

102：接收所述应用服务器从所述第一TSM获得的用于验证内容管理命令是否合法的第一令牌，以及接收所述应用服务器下发的内容管理命令；

其中，内容管理命令包括以下操作中的至少一种：

向SE内载入应用安装文件；

向SE内安装应用；

配置SE内已经安装的应用；

删除SE内的应用和/或应用数据；

删除SE内的应用安装文件；

更新应用对应的注册表信息。

可选的，当内容管理命令为：向SE内载入应用安装文件或向SE内安装应用时，还会携带内容管理命令对应的相关数据，例如应用的安装文件等。

103：验证所述第一令牌，并在所述第一令牌验证通过后，通过第二TSM获取用于管理SE中内容的第二令牌，所述第二TSM具备SE的管理权限。

其中，通过SE中专门用于验证令牌的安全域验证第一令牌。如果验证成功则执行步骤1031-1032的步骤；如果验证失败则提示用户验证失败并结束安装流程。

在本发明实施例中，通过第二TSM获取用于管理SE中内容的第二令牌的过程为通过第一TSM向第二TSM请求第二令牌。

相应的，该过程可以为：

1031：向第一TSM发送用于管理SE内容的第二令牌的请求；

1032：接收第一TSM从第二TSM请求到的第二令牌。

104：验证所述第二令牌，并在所述第二令牌验证通过后，由SE中所述第一TSM对应的安全域执行内容管理命令。

其中，在一个实施例中，第一TSM对应的安全域将第二令牌传递给用于验证第二令牌的安全域并完成验证。在验证通过后，发送令牌验证成功的确认给第一TSM对应的安全域，第一TSM对应的安全域则执行内容管理命令，并在执行成功后向第一TSM返回内容管理命令执行成功的回执；否则返回错误信息。

步骤104之后，终端向第二TSM发送内容管理命令执行成功的回执。

其中，对于本发明实施例中的具体实施场景可以通过以下实例进行描述：

第一种实施场景：用户终端使用国内运营商A发行的SE，该用户出国后接入国外当地运营商B后，需要要安装注册于运营商B的第一TSM中的公交卡应用，此种情况下在SE中安装运营商B的第一TSM对应的安全域，并在安装后安装公交卡应用，其中第二TSM为运营商A对应的TSM。

第二种实施场景：用户终端使用国内运营商A发行的SE，用户未出国并且接入的是运营商A，但需要安装注册于国外运营商B的第一TSM中的公交卡应用，此种情况下在SE中安装运营商B的第一TSM对应的安全域，并在安装后安装公交卡应用，其中第二TSM为运营商A对应的TSM，第一TSM为运营商B对应的TSM。

本发明实施例中通过分别获取第一TSM和对SE具备管理权限的第二TSM对应的第一令牌和第二令牌，并在令牌验证通过后，由SE中第一TSM对应的安全域执行内容管理命令，实现了在SE中执行具备管理权限的第二TSM以外其他TSM下发的内容管理命令，进一步实现了SE中跨平台的内容管理，提高了SE的使用效率。

实施例3

本发明实施例提供了一种安全单元SE中内容管理的方法。

需要说明的是在对SE进行内容管理之前，需要在SE中安装不具备该SE管理权限的其他TSM对应的安全域，在其他TSM对应的安全域在SE中安装后，终端才可以安装其他TSM中注册的应用，并在安装这些应用后进行SE内容管理。

其中，在本发明实施例中第二TSM为对SE具备管理权限TSM，SE中已经安装有第二TSM对应的安全域，其安装方式可以是SE出厂时预先安装对应第二TSM的安全域，或者通过OTA(Over the Air Technology，空中下载技术)方式在SE中为第二TSM对应的安全域分配存储空间，将安全域安装文件装载到SE的存储空间内并执行安装命令和必要的权限管理以完成安装过程。

第一TSM在SE中安装安全域的过程可以包括以下两种情况：

这里，对何时在SE中安装第一TSM对应的安全域不做限定。

因此，作为对SE进行内容管理的方法的一部分，在对SE进行内容管理之前安装其他TSM对应的安全域的过程参见图3，包括：

301：终端向第一TSM发送内容管理请求，内容管理请求中携带终端标识。

其中终端标识可以包括但不限于：ICCID(Integrate circuit card identity，集成电路卡识别码)和/或SEID(Secure Element identity，安全单元标识),这里SEID可以唯一标识一个安全单元。

302：第一TSM收到终端请求时，向第二TSM发送请求安装第一TSM对应的安全域的请求。其中，安装第一TSM对应的安全域的请求中携带终端标识。

其中终端标识可以包括但不限于：ICCID和/或SEID。

303：第二TSM向第一TSM发送安装应用的第三令牌。

304：终端接收第一TSM从第二TSM获得的用于在SE上安装第一TSM对应的安全域的第三令牌，以及接收第一TSM发送的用于安装第一TSM对应的安全域的安装命令和相关数据。

305：接收第二TSM发送的密钥集。

其中，步骤304和步骤305可以在同一条消息中发送，也可以分别进行发送，在此并不进行限定。

其中，密钥集用于生成管理SE中内容的第二令牌。

306：验证第三令牌。

307：终端在第三令牌验证通过后，由第二TSM对应的安全域执行安装第一TSM对应的安全域的安装命令，在SE中安装第一TSM对应的安全域，并授予第一TSM对应的安全域委托管理权限。

308：将密钥集配置到第一TSM对应的安全域中。

309：终端向第二TSM发送第一TSM对应的安全域安装成功的回执。

其中，回执由安全单元中具有回执生成权限的安全域生成。

向SE内载入应用安装文件的操作；

向SE内安装应用的操作；

配置SE内已经安装的应用的操作；

删除SE内的应用和/或应用数据的操作；

删除SE内的应用安装文件的操作；

更新应用对应的注册表信息的操作。

其中，内容管理命令包括以下操作中的至少一种：

向SE内载入应用安装文件；

向SE内安装应用；

配置SE内已经安装的应用；

删除SE内的应用和/或应用数据；

删除SE内的应用安装文件；

更新应用对应的注册表信息。

103：验证所述第一令牌，并在所述第一令牌验证通过后，根据密钥集以及内容管理命令，由所述第一TSM对应的安全域生成用于管理SE内容的第二令牌，第二TSM具备SE的管理权限。

其中，通过SE中专门用于验证令牌的安全域验证第一令牌如果验证成功则执行生成第二令牌的步骤；如果验证失败则提示用户验证失败并结束安装流程。

在本发明实施例中，通过第二TSM获取用于管理SE中内容的第二令牌的过程为通过已经安装的对应于第一TSM的安全域使用已经配置好的密钥集生成第二令牌。

其中，在一个实施例中，第一TSM对应的安全域将第二令牌传递给用于验证第二令牌的安全域并完成验证。

在验证通过后，发送令牌验证成功的确认给第一TSM对应的安全域，第一TSM对应的安全域则执行内容管理命令，并在执行成功后向第一TSM返回内容管理命令执行成功的回执；否则返回错误信息。

实施例4

本发明实施例提供了一种安全单元SE中内容管理的装置，参见图4，该装置包括：

发送模块401，用于向应用服务器发送内容管理请求，应用服务器注册于第一可信服务管理平台TSM；

第一接收模块402，用于接收应用服务器从第一TSM获得的用于验证内容管理命令是否合法的第一令牌，以及接收应用服务器返回的内容管理命令；

获取模块403，用于验证第一令牌，并在第一令牌验证通过后，通过第二TSM获取用于管理SE中内容的第二令牌，第二TSM具备SE的管理权限；

执行模块404，用于验证第二令牌，并在第二令牌验证通过后，由SE中第一TSM对应的安全域执行内容管理命令。

其中，装置还包括：

第二接收模块405，用于接收第一TSM从第二TSM获得的用于在SE上安装第一TSM对应的安全域的第三令牌，以及接收第一TSM发送的用于安装第一TSM对应的安全域的安装命令和相关数据；

验证模块406，用于验证第三令牌；

安装模块407，用于在第三令牌验证通过后，由第二TSM对应的安全域执行安装第一TSM对应的安全域的安装命令，在SE中安装第一TSM对应的安全域，并授予第一TSM对应的安全域委托管理权限。

其中，装置还包括：

第三接收模块408，用于接收第二TSM发送的密钥集；

相应的，装置还包括：

配置模块409，用于将密钥集配置到第一TSM对应的安全域中。

其中，获取模块403，包括：

生成单元，用于根据密钥集以及内容管理命令，由第一TSM对应的安全域生成用于管理SE内容的第二令牌。

其中，获取模块403，还包括：

发送单元，用于向第一TSM发送用于管理SE内容的第二令牌的请求；

接收单元，用于接收第一TSM从第二TSM请求到的第二令牌。

其中，装置还包括：

第一回执发送模块410，用于向第二TSM发送第一TSM对应的安全域安装成功的回执。

其中，装置还包括：

第二回执发送模块411，用于向第二TSM发送内容管理命令执行成功的回执。

其中，内容管理命令包括以下操作中的至少一种：

向SE内载入应用安装文件；

向SE内安装应用；

配置SE内已经安装的应用；

删除SE内的应用和/或应用数据；

删除SE内的应用安装文件；

更新应用对应的注册表信息。

实施例5

本发明实施例提供了一种终端，参见图5。

所述终端包括：处理器501，发射器502和接收器503，

所述发射器503，用于向应用服务器发送内容管理请求，所述应用服务器注册于第一可信服务管理平台TSM；

所述接收器504，用于接收所述应用服务器从所述第一TSM获得的用于验证内容管理命令是否合法的第一令牌，以及接收所述应用服务器返回的内容管理命令；

所述处理器501，用于验证所述第一令牌，并在所述第一令牌验证通过后，通过第二TSM获取用于管理SE中内容的第二令牌，所述第二TSM具备所述SE的管理权限；验证所述第二令牌，并在所述第二令牌验证通过后，调用所述SE中所述第一TSM对应的安全域执行所述内容管理命令；

所述接收器503，还可以用于接收第一TSM从第二TSM获得的用于在SE上安装所述第一TSM对应的安全域的第三令牌，以及接收所述第一TSM发送的用于安装所述第一TSM对应的安全域的安装命令和相关数据；

所述处理器501，还可以用于验证所述第三令牌；在所述第三令牌验证通过后，由所述第二TSM对应的安全域执行安装所述第一TSM对应的安全域的安装命令，在SE中安装所述第一TSM对应的安全域，并授予所述第一TSM对应的安全域委托管理权限。

所述接收器503，还可以用于接收所述第二TSM发送的密钥集；

所述处理器501，还可以用于将所述密钥集配置到所述第一TSM对应的安全域中。

所述处理器501，还可以用于根据所述密钥集以及所述内容管理命令，由所述第一TSM对应的安全域生成用于管理SE内容的第二令牌。

所述发射器502，还可以用于向所述第一TSM发送用于管理SE内容的第二令牌的请求；

所述接收器503，还可以用于接收所述第一TSM从第二TSM请求到的所述第二令牌。

所述发射器502，还可以用于向所述第二TSM发送所述第一TSM对应的安全域安装成功的回执。

所述发射器502，还可以用于向所述第二TSM发送所述内容管理命令执行成功的回执。

其中，所述内容管理命令包括以下操作中的至少一种：

向所述SE内载入应用安装文件；

向所述SE内安装应用；

配置所述SE内已经安装的应用；

删除所述SE内的应用和/或应用数据；

删除所述SE内的应用安装文件；

更新所述应用对应的注册表信息。

本发明实施例中通过分别获取第一TSM和对SE具备管理权限的第二 TSM对应的第一令牌和第二令牌，并在令牌验证通过后，由SE中第一TSM对应的安全域执行内容管理命令，实现了在SE中执行具备管理权限的第二TSM以外其他TSM下发的内容管理命令，进一步实现了SE中跨平台的内容管理，提高了SE的使用效率。

本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成，也可以通过程序来指令相关的硬件完成，所述的程序可以存储于一种计算机可读存储介质中，上述提到的存储介质可以是只读存储器，快闪存储器、磁盘或光盘等。

以上所述仅为本发明的较佳实施例，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims

一种安全单元SE中内容管理的方法，其特征在于，所述方法包括：

向应用服务器发送内容管理请求，所述应用服务器注册于第一可信服务管理平台TSM；

接收所述应用服务器从所述第一TSM获得的用于验证内容管理命令是否合法的第一令牌，以及接收所述应用服务器返回的内容管理命令；

验证所述第一令牌，并在所述第一令牌验证通过后，通过第二TSM获取用于管理SE中内容的第二令牌，所述第二TSM具备所述SE的管理权限；

验证所述第二令牌，并在所述第二令牌验证通过后，调用所述SE中所述第一TSM对应的安全域执行所述内容管理命令。
根据权利要求1所述的方法，其特征在于，所述向应用服务器发送内容管理请求之前，所述方法还包括：

接收第一TSM从第二TSM获得的用于在SE上安装所述第一TSM对应的安全域的第三令牌，以及接收所述第一TSM发送的用于安装所述第一TSM对应的安全域的安装命令和相关数据；

验证所述第三令牌；

在所述第三令牌验证通过后，由所述第二TSM对应的安全域执行安装所述第一TSM对应的安全域的安装命令，在SE中安装所述第一TSM对应的安全域，并授予所述第一TSM对应的安全域委托管理权限。
根据权利要求2所述的方法，其特征在于，所述验证所述第三令牌之前，所述方法还包括：

接收所述第二TSM发送的密钥集；

相应的，所述在SE中安装所述第一TSM对应的安全域之后，所述方法还包括：

将所述密钥集配置到所述第一TSM对应的安全域中。
根据权利要求3所述的方法，其特征在于，所述通过第二TSM获取用于管理SE内容的第二令牌，包括：

根据所述密钥集以及所述内容管理命令，由所述第一TSM对应的安全域生成用于管理SE内容的第二令牌。
根据权利要求1所述的方法，其特征在于，所述通过第二TSM获取用于管理SE内容的第二令牌，包括：

向所述第一TSM发送用于管理SE内容的第二令牌的请求；

接收所述第一TSM从第二TSM请求到的所述第二令牌。
根据权利要求2所述的方法，其特征在于，所述在SE中安装所述第一TSM对应的安全域之后，所述方法还包括：

向所述第二TSM发送所述第一TSM对应的安全域安装成功的回执。
根据权利要求1所述的方法，其特征在于，所述调用所述SE中所述第一TSM对应的安全域执行所述内容管理命令之后，所述方法还包括：

向所述第二TSM发送所述内容管理命令执行成功的回执。
根据权利要求1所述的方法，其特征在于，所述内容管理命令包括以下操作中的至少一种：

向所述SE内载入应用安装文件；

向所述SE内安装应用；

配置所述SE内已经安装的应用；

删除所述SE内的应用和/或应用数据；

删除所述SE内的应用安装文件；

更新所述应用对应的注册表信息。
一种安全单元SE中内容管理的装置，其特征在于，所述装置包括：

发送模块，用于向应用服务器发送内容管理请求，所述应用服务器注册于第一可信服务管理平台TSM；

第一接收模块，用于接收所述应用服务器从所述第一TSM获得的用于验证内容管理命令是否合法的第一令牌，以及接收所述应用服务器返回的内容管理命令；

获取模块，用于验证所述第一令牌，并在所述第一令牌验证通过后，通过第二TSM获取用于管理SE中内容的第二令牌，所述第二TSM具备所述SE的管理权限；

执行模块，用于验证所述第二令牌，并在所述第二令牌验证通过后，调用所述SE中所述第一TSM对应的安全域执行所述内容管理命令。
根据权利要求9所述的装置，其特征在于，所述装置还包括：

第二接收模块，用于接收第一TSM从第二TSM获得的用于在SE上安装所述第一TSM对应的安全域的第三令牌，以及接收所述第一TSM发送的用于安装所述第一TSM对应的安全域的安装命令和相关数据；

验证模块，用于验证所述第三令牌；

安装模块，用于在所述第三令牌验证通过后，由所述第二TSM对应的安全域执行安装所述第一TSM对应的安全域的安装命令，在SE中安装所述第一TSM对应的安全域，并授予所述第一TSM对应的安全域委托管理权限。
根据权利要求10所述的装置，其特征在于，所述装置还包括：

第三接收模块，用于接收所述第二TSM发送的密钥集；

相应的，所述装置还包括：

配置模块，用于将所述密钥集配置到所述第一TSM对应的安全域中。
根据权利要求11所述的装置，其特征在于，所述获取模块，包括：

生成单元，用于根据所述密钥集以及所述内容管理命令，由所述第一TSM对应的安全域生成用于管理SE内容的第二令牌。
根据权利要求9所述的装置，其特征在于，所述获取模块，包括：

发送单元，用于向所述第一TSM发送用于管理SE内容的第二令牌的请求；

接收单元，用于接收所述第一TSM从第二TSM请求到的所述第二令牌。
根据权利要求10所述的装置，其特征在于，所述装置还包括：

第一回执发送模块，用于向所述第二TSM发送所述第一TSM对应的安全域安装成功的回执。
根据权利要求9所述的装置，其特征在于，所述装置还包括：

第二回执发送模块，用于向所述第二TSM发送所述内容管理命令执行成功的回执。
根据权利要求9所述的装置，其特征在于，所述内容管理命令包括以下操作中的至少一种：

向所述SE内载入应用安装文件；

向所述SE内安装应用；

配置所述SE内已经安装的应用；

删除所述SE内的应用和/或应用数据；

删除所述SE内的应用安装文件；

更新所述应用对应的注册表信息。
一种终端，其特征在于，所述终端包括：处理器，发射器和接收器，

所述发射器，用于向应用服务器发送内容管理请求，所述应用服务器注册于第一可信服务管理平台TSM；

所述接收器，用于接收所述应用服务器从所述第一TSM获得的用于验证内容管理命令是否合法的第一令牌，以及接收所述应用服务器返回的内容管理命令；

所述处理器，用于验证所述第一令牌，并在所述第一令牌验证通过后，通过第二TSM获取用于管理SE中内容的第二令牌，所述第二TSM具备所述SE的管理权限，验证所述第二令牌，并在所述第二令牌验证通过后，调用所述SE中所述第一TSM对应的安全域执行所述内容管理命令。
根据权利要求17所述的终端，其特征在于，

所述接收器，还用于接收第一TSM从第二TSM获得的用于在SE上安装所述第一TSM对应的安全域的第三令牌，以及接收所述第一TSM发送的用于安装所述第一TSM对应的安全域的安装命令和相关数据；

所述处理器，还用于验证所述第三令牌；在所述第三令牌验证通过后，由所述第二TSM对应的安全域执行安装所述第一TSM对应的安全域的安装命令，在SE中安装所述第一TSM对应的安全域，并授予所述第一TSM对应的安全域委托管理权限。
根据权利要求18所述的终端，其特征在于，

所述接收器，还用于接收所述第二TSM发送的密钥集；

相应的，所述处理器，还用于将所述密钥集配置到所述第一TSM对应的安全域中。
根据权利要求19所述的终端，其特征在于，

所述处理器，还用于根据所述密钥集以及所述内容管理命令，由所述第一TSM对应的安全域生成用于管理SE内容的第二令牌。
根据权利要求17所述的终端，其特征在于，

所述发射器，还用于向所述第一TSM发送用于管理SE内容的第二令牌的请求；

所述接收器，还用于接收所述第一TSM从第二TSM请求到的所述第二令牌。
根据权利要求18所述的终端，其特征在于，

所述发射器，还用于向所述第二TSM发送所述第一TSM对应的安全域安装成功的回执。
根据权利要求17所述的终端，其特征在于，

所述发射器，还用于向所述第二TSM发送所述内容管理命令执行成功的回执。
根据权利要求17所述的终端，其特征在于，所述内容管理命令包括以下操作中的至少一种：

向所述SE内载入应用安装文件；

向所述SE内安装应用；

配置所述SE内已经安装的应用；

删除所述SE内的应用和/或应用数据；

删除所述SE内的应用安装文件；

更新所述应用对应的注册表信息。