用於控制在與移動終端相關聯的安全模塊上安裝的應用的方法、相關聯的安全模塊、移動...的製作方法

2023-04-25 11:12:56 4

專利名稱：用於控制在與移動終端相關聯的安全模塊上安裝的應用的方法、相關聯的安全模塊、移動 ...的製作方法
技術領域：
本發明涉及電信領域，且更具體地，涉及在移動終端的安全元件上安置(host)的 應用的安全的領域。
背景技術：
大多數現有的移動終端不但使得可能設立電話呼叫，而且使得可能執行下載到與 終端連接的安全模塊中的多個應用。該安全模塊可以是終端的存儲器模塊或插入到終端中 的可移動存儲介質(例如，訂戶智慧卡)。使用移動終端和管理伺服器(例如，服務提供者的伺服器)之間的標準連接來下 載和更新這些應用。在安全模塊中存在的一些應用可以是已知為非接觸式應用的應用。在已知為非接 觸式讀取器的外部設備的請求時執行這些應用。在移動終端中安裝稱為「非接觸式模塊」的 專用模塊，並且所述專用模塊使得能夠進行安全模塊和非接觸式讀取器之間的對話。安全模塊的被盜或丟失可以導致在安全模塊中安裝的應用的無限制的欺詐使用。 類似地，例如因為錯過付款而導致已丟失其對於應用的權限的用戶可以繼續使用所述應 用，只要他們沒有登陸到管理伺服器上。安全模塊的發行者或服務提供者據以阻止(block)其管理的應用的解決方案強 制在發行者或服務提供者與其中插入了安全模塊的移動終端之間設立標準的電話連接。意 欲進行欺詐的用戶能夠防止這種正被設立的連接，並結果防止了這種阻止。而且，即使可能設立這種連接，安全模塊被盜或丟失的時間和發送阻止命令之間 的延遲也可能是充分長的，以使得意欲進行欺詐的用戶能夠使用在安全模塊上安裝的非接 觸式應用。因而，存在以下需要，即監視安全模塊的使用，以便改善在與移動終端相關聯的安 全模塊中安裝的應用的安全。

發明內容
為此，本發明提出了一種用於控制應用的方法，所述應用在與移動終端相關聯的 安全模塊中安裝並且適於與設備一起實行與所述應用連結的交易。根據本發明，該方法包 括以下步驟 在由安裝在安全模塊中的應用實行的交易期間，增加安全模塊的存儲器中的至 少一個交易值；·比較該至少一個交易值與相關聯的預定值；·如果至少一個交易值達到其相關聯的預定值，則向該應用的管理伺服器發送至 少一個連接命令；以及·在所述至少一個命令失敗的情形下，阻止至少一個應用。
4
因而，本發明的方法使得可能如果移動終端不能連接到管理伺服器，則限制由安 全模塊執行的交易的次數。所述方法使得可能如果用戶未被授權實行操作，則限制他們可 以實行的操作的次數。因而，本發明的方法使得使用安全模塊更為安全。根據本發明的一個特徵，所述增加步驟在由所述應用中的任何應用進行的交易期 間增加對於在安全模塊中存在的所有應用公共的交易值。根據單獨使用或與前述特徵組合使用的本發明的另一特徵，所述增加步驟在由所 述應用實行的交易期間增加與在安全模塊中存在的應用連結的交易值。在本發明的一個實現中，所述阻止步驟包括停止進行中的交易的步驟。因而，只要 安全模塊不能連接到伺服器，就不實行該交易。在另一實現中，所述阻止步驟包括向至少一個應用發送用於阻止將來選擇所述至 少一個應用的指令的步驟。當適宜時，用戶然後必須聯繫與所述應用連結的一個或多個服 務提供者，以解鎖(unblock)所述應用。於是，只有在服務提供者驗證用戶的權限之後，才 實行解鎖。在本發明的一個實現中，在發送多個連接命令之後實行所述阻止步驟。因而，多個 無效的嘗試對於阻止發生是必須的。這使得可能避免無意的阻止。在本發明的一個實現中，如果連接命令成功，則所述方法還包括作為與至少一個 應用相關聯的用戶權限的驗證結果的函數、來從管理伺服器接收對於與所述至少一個應用 連結的權限的更新的步驟。所述方法還可以包括更新至少一個交易值的步驟和/或接收用於防止將來選擇 所述至少一個應用的指令的步驟。因而，如果連接命令成功，則由移動終端呼叫的伺服器可以更新與一個或多個應 用連結的用戶權限，如果他們具有關於那些應用的管轄者權限的話。本發明還提供了一種用於管理應用的方法，所述應用安裝在與移動終端相關聯的 安全模塊中、並且適於實行與所述應用連結的交易，所述方法包括以下步驟·在至少一個交易值達到相關聯的預定值以後，接收由移動終端發送的連接命 令；·驗證針對在安全模塊中安裝的至少一個應用的用戶權限；以及·作為驗證結果的函數，更新至少一個交易值，和/或阻止至少一個應用。本發明還提供了一種包含至少一個應用的安全模塊，所述至少一個應用適於與設 備一起實行至少一個交易，所述方法的特徵在於，它包括·用於增加至少一個交易值的部件；·用於比較該至少一個交易值與相關聯的預定值的部件；·用於如果計數器的值達到預定值、則向應用管理伺服器發送至少一個連接命令 的部件；以及·用於如果所述至少一個命令失敗、則阻止至少一個應用的部件。本發明還提供了一種包括如上所述的安全模塊的移動終端。本發明還提供了一種管理伺服器，用於在與移動終端相關聯的安全模塊中安裝的 至少一個應用，所述伺服器包括·用於在至少一個交易值達到其相關聯的預定值以後、接收由移動終端發送的連接命令的部件；·用於驗證在安全模塊中存儲的至少一個應用的用戶權限的部件；以及·用於發送用以更新至少一個交易值和/或阻止至少一個應用的命令的部件。本發明最終提供了一種電腦程式產品，包括當將其加載到安全模塊的處理器 中並由所述處理器執行時、用於執行如上所述的控制方法的步驟的指令。


在作為非限制性示例而選定的本發明三個實現的以下描述中，本發明的其他特徵 和優點變得更加清楚明顯，參考附圖來給出所述描述，其中圖1是示出了本發明的環境的總圖；圖2是表現了本發明的安全模塊的框圖；圖3是示出了本發明第一實現的控制和應用管轄方法的步驟的圖；圖4是示出了本發明第二實現的控制和應用管轄方法的步驟的圖；以及圖5是示出了本發明第三實現的控制和應用管轄方法的步驟的圖。
具體實施例方式參考圖1，用戶具有處於其佔有中的移動終端100，其中已經安裝了多個應用。該 移動終端例如是行動電話或個人數字助理(PDA)。該移動終端100包括非接觸式通信模塊10，所述非接觸式通信模塊10使得能夠進 行終端100和下面被稱為「非接觸式讀取器」的設備200之間的對話。例如，所述非接觸式 模塊可與近場通信(NFC)兼容。該移動終端還包括通信模塊30 (例如，GSM模塊)，所述通信模塊30使得能夠經由 通信網絡R而進行與遠程伺服器(例如，服務平臺T或服務提供者的伺服器SP1、SP2)的通 信。該通信例如是無線電(0TA:OVer-the air)通信，即標準無線通信。可替換地，該移動 終端通過線纜電話線而連接到網絡R。該移動終端100還包括安全模塊20，其是與the Global Platform Card Specification, version 2. 1. 1，March 2006 (全球平臺卡規範，版本 2. 1. 1,2006 年 3 月)
兼容的可移動存儲卡。可替換地，該模塊可以是移動終端的安全存儲區域或一些其他類型的可移動存儲 介質(例如，SIM(訂戶身份模塊)卡、UICC(通用集成電路卡)或安置了安全元件的存儲卡 (SD卡、嵌入式安全控制器等))。參考圖2，該安全模塊包括微處理器22、發送-接收模塊24、一個或多個隨機存取 存儲器(RAM) 25、和其中存儲可由微處理器22執行的程序的一個或多個只讀存儲器(ROM或 EEPR0M)26。這些程序包括作為卡作業系統(OS)的主程序P和一個或多個應用(API、AP2
寸J ο這些應用中的一個或多個是非接觸式應用，並且使用非接觸式模塊10。一個這種 應用例如控制對於公共運輸的出入權。每當攜帶了該移動終端的人員試圖進入公共運輸系 統時，使用該應用。在每次使用時，在安全模塊20中存儲的應用與在對於公共運輸系統的 入口處安裝的非接觸式讀取器200之間的對話使得該讀取器能夠驗證出攜帶了該移動終端的人員被授權使用該交通系統。例如，該對話使得可能驗證出攜帶了該移動終端的人員 具有對於該交通系統的有效預定、或減少在訂戶卡中存儲的票證的次數。經由非接觸式模 塊10來實行安全模塊20和非接觸式讀取器200之間的該對話。按照已知的方式，非接觸式讀取器200發射磁場。當移動終端的用戶到達交通系 統的入口時，他們的移動終端進入由讀取器200發射的磁場。然後，在存在於安全模塊20 中的所選擇的應用和讀取器200之間實行交易。更準確地說，當移動終端進入非接觸式讀 取器的磁場時，非接觸式模塊從非接觸式讀取器接收包含了應用APl的標識符的選擇消息 MS (選擇AID)，並且將它發送到安全模塊。在接收到該消息MS時，安全模塊命令執行所選 擇的應用API。作為所選擇的應用的函數，然後在該應用和非接觸式讀取器之間交換消息 (Μ1、Μ2、· · ·、Mn)。例如，使用單線協議(SWP)或信號入信號出連接(S2C)接口而以標準方式來實行 非接觸式模塊和訂戶卡之間的消息交換。下面，參考圖3來描述本發明的第一實現。在預備步驟(未示出)期間，當在安全模塊的存儲器中安裝應用APl以後並且在 選擇該應用之前，經由安全模塊20來將與應用APl相關聯的交易值CAl (參見圖2)例如初 始化為值0，並且存儲在安全模塊的存儲器26中。在接收到選擇消息時，安全模塊20的應用APl在步驟E104期間比較值CAl與在 安全模塊的存儲器26中存儲的相關聯的預定值CA1M(參見圖2)。在配置安全模塊的步驟期間，將預定值CAlM例如存儲在安全模塊的存儲器26中。如果值CAl小於值CA1M，則安全模塊20的應用APl在步驟E102期間將值CAl增 加增量1。該交易然後按照標準方式而繼續(步驟E112)。可替換地，步驟E102期間的增量可以是大於1的值。例如，如果應用APl是付款 應用，則該增量對於低數額(例如，小於20歐元)的交易而言是1，對於中等數額(例如，從 20至Ij 100歐元)的交易而言是2，以及對於高數額(例如，大於100歐元)的交易而言是3。 因而，如果交易具有高數額，則值CAl迅速增大，並且更快速地達到相關聯的預定值CA1M。如果在比較步驟E104期間，值CAl大於或等於值CA1M，則應用APl在步驟E106期 間經由移動終端的通信模塊30和網絡R，來向應用APl的管理伺服器(例如，與應用APl鏈 接的服務提供者的伺服器SPl)發送連接請求。該請求例如是包含了用於驗證應用APl的 狀態的、如ETSI TS 102. 223標準所指定的SMS指令M0。在該情況下，應用APl使用ETSI TS 10. 267標準所指定的應用接口 SIM工具包(API STK)來發送這個指令。可替換地，該連 接請求是ETSI TS 102. 127標準所指定的BIP CAT-TP連接請求。如果例如因為管理伺服器不可用、因為移動終端的通信模塊30的有意或者無意 的故障、或由於任何其他原因而導致不能滿足該連接請求，則通知應用API。該通知包括錯 誤代碼，例如由通信模塊30發送的、例如指示了它尚未接收到應答的錯誤代碼。在此情況 下，應用APl不繼續該交易。在缺少對於選擇消息的應答以後，停止該交易(步驟E108)。如果滿足連接請求，則該應用的管理伺服器驗證有關於應用APl的用戶權限，並 且在步驟EllO期間，應用APl經由通信模塊30和網絡R來從伺服器接收應答，例如一個或 多個SMS (短消息系統)消息。如果用戶仍然具有對於該應用的權限，則該應答包含用於重新初始化值CAl (例如，用於將該值重置為0)的指令。該交易然後以標準方式而繼續(步驟E112)。相反地，如果例如因為用戶尚未針對該服務來續付他們的費用或者他們已經向應 用管理伺服器通知了安全模塊被盜或丟失而導致他們不再具有這種權限，則該應答消息包 含例如包括了預定值的狀況比特或字節的所述信息。該交易不繼續(步驟E114)。在此 情況下，管理伺服器也可以發送標準指令來阻止該應用實行，即防止應用APl的將來選擇， 例如全球平臺規範(全球平臺卡規範，版本2. 1.1，2006年3月)所定義的設置狀態(Set Status)指令。在所描述的實現中，由應用APl執行步驟E102到El 14。可替換地，由在安全模塊 20中安裝並由應用APl調用的應用G(參見圖2)執行這些步驟。下面，參考圖4來描述第二實現。在該第二實現中，在預備步驟(未示出)期間，由安全模塊將安全模塊的存儲器26 中的交易值CAc和連接嘗試值CVc初始化為值0。在該實現中，交易值CAc和連接嘗試值CVc對於在安全模塊中安裝的所有應用是 公共的。在安全模塊20執行應用APl之後或期間，應用APl在步驟E202期間將值CAc增 加增量1。然後，在交易結束時，應用APl命令執行在安全模塊20中安裝的應用Z(參見圖 2)。可替換地，由應用Z增加值CAc。另一替換方案是在執行交易以後由移動終端觸發應用Z。在下一步驟E204期間，應用Z比較值CAc與在安全模塊20的存儲器26中存儲的 相關聯的預定值CAcM。如果值CAc小於值CAcM，則終止該交易，並且安全模塊等待新的交易(返回到主應 用P)(步驟E216)。如果值CAc大於或等於值CAcM，則安全模塊的應用Z在步驟E206期間經由移動終 端的通信模塊30和網絡R來向管理伺服器T發送連接請求。該請求例如是包含了用於驗 證在安全模塊中安裝的應用的狀態的請求的SMS消息。如果例如因為管理伺服器不可用、或因為移動終端的通信模塊30的有意或無意 的故障、或者由於任何其他原因而導致不能滿足該連接請求，則安全模塊20沒有接收到應 答或包括了錯誤代碼的應答消息。在此情況下，安全模塊在步驟E208期間增加連接嘗試值 CVc。然後，它在步驟E210期間比較值CVc與相關聯的預定值CVcM。CVc是由安全模塊實行的連接嘗試的次數，而CVcM是可以進行的嘗試的最大次數。如果值CVc小於值CVcM，則在預定的延遲之後重複該連接請求。如果值CVc大於或等於值CVcM，則已經達到了連接嘗試的最大次數，並且在步驟 E212期間，安全模塊通過向它包含的每個應用發送阻止指令(例如，設置狀態命令)來阻止 所述應用。相應地，在隨後接收到選擇消息時，所選擇的應用向回發送指示了不能選擇它的 錯誤消息。如果連接請求成功，則管理伺服器在步驟E214期間驗證用戶有關於在安全模塊
8中安裝的應用的權限。如果伺服器T具有所有的信息和/或管理伺服器T聯繫與所述應用 相關聯的服務提供者的一個或多個伺服器(SP1、SP2等)，則所述伺服器T實現該驗證。在 該驗證以後，安全模塊從該伺服器接收例如一個或多個SMS (短消息系統)消息形式的應答。為了安全原因，通過由安全模塊和遠程伺服器共享的密鑰來對安全模塊和遠程服 務器之間的交換進行加密。如果用戶仍然具有針對這些應用的權限，則該應答包含用於重新初始化值CAc和 CVc (例如，將這些值重置為0)的指令。相反地，如果例如因為用戶尚未針對該服務來續付他們的費用、或者用戶已經向 管理伺服器通知了安全模塊被盜或丟失而導致他們不再具有對於一個或更多應用的權限， 則該應答消息包含例如比特或字節形式的所述信息。在此情況下，管理服務區可以同樣地 發送標準指令，以阻止有關的應用；該指令具有阻止將來選擇那些應用的效果。步驟E202必須在交易期間或之後進行。相反地，步驟E204到E216可以獨立於交 易來進行。相應地，例如可以在對安全模塊加電的時候執行這些步驟。下面，參考圖5來描述本發明的第三實現。在該第三實現中，在預備步驟(未示出)期間，當在安全模塊的存儲器中安裝應用 APl以後並且在選擇該應用之前，由安全模塊將與應用APl相關聯且在安全模塊20的存儲 器26中存儲的交易值CAl初始化為值0。而且，由安全模塊將交易值CAc和值CVc初始化 為值0，並且存儲在安全模塊的存儲器26中。值CAl是與應用APl連結的交易值。值CAc 是與在安全模塊中安裝的所有應用連結的交易值。值CVc是連接嘗試的次數，並且與在安 全模塊中安裝的所有應用相關聯。在接收到選擇消息時，安全模塊20的應用APl在步驟E302期間將值CAl增加增量1。在隨後的步驟E304期間，應用APl比較值CAl與在安全模塊的存儲器中存儲的預 定值CA1M。如果值CAl小於值CA1M，則交易繼續(步驟E306)。相反地，如果值CAl大於或等於值CA1M，則應用APl在步驟E308期間經由移動終 端的通信模塊30和網絡R來向管理伺服器T發送連接請求。該連接請求例如是包含了用 於驗證應用APl的狀態的請求的SMS消息。如果例如因為管理伺服器不可用、因為移動終端的通信模塊的有意或無意的故 障、或者由於任何其他原因而導致不能滿足該請求，則應用APl既沒有接收到應答，也沒有 接收到包含了錯誤代碼的不可用性消息。在此情況下，應用APl不繼續該交易。在缺少對 於選擇消息的應答以後，該交易停止(步驟E310)。而且，在步驟E312期間，應用APl命令更新安全模塊的存儲器REG(參見圖2)。例 如，該存儲器由其中為了每個所安裝的應用而保留一個比特的一個或多個字節組成。在安 裝該應用時，將該比特初始化為例如0的值，並且當應用已經未能連接到管理伺服器T時， 將其設置為例如1的另一值。如果連接請求成功，則管理伺服器T在步驟E314期間例如通過聯繫應用APl的管 理伺服器SP1，來驗證用戶關於應用APl的權限，並且應用APl從該伺服器接收例如一個或
9多個SMS (短消息系統)消息形式的應答。如果用戶仍然具有針對應用的權限，則應答包含用於重新初始化值CAl (例如，用 於將該值重置為0)的指令、和用於更新寄存器REG的指令。該交易然後按照標準方式而繼 續(步驟E316)。相反地，如果例如因為用戶尚未對於該服務來續付他們的費用、或者他們已經向 應用管理伺服器通知了安全模塊被盜或丟失而導致他們不再具有這些權限，則該應答消息 包含例如一個或多個字節形式的所述信息，並且交易不繼續(步驟E318)。在此情況下，管 理伺服器可以同樣地發送具有防止將來選擇應用APl的效果的傳統應用阻止指令。在步驟E306、E312、E316或E318以後，應用APl命令啟動在安全模塊20中安裝的 應用H(參見圖2)。在步驟E322期間，應用H將交易值CAc增加增量1。在下一步驟E324期間，應用 H將值CAc和與該值CAc相關聯並存儲在安全模塊的存儲器26中的預定值CAcM進行比較。如果值CAc小於值CAcM，則安全模塊等待新的交易(它返回到主應用P)(步驟 E325)。如果值CAc大於或等於值CAcM，則應用H在步驟E326期間經由移動終端的通信模 塊30和網絡R來向管理伺服器發送連接請求。該請求例如是包含了用於驗證所有應用的 請求的SMS消息。如果例如因為管理伺服器不可用、或因為移動終端的通信模塊30的有意或無意 的故障、或者由於任何其他原因而導致不能滿足該請求，則安全模塊20沒有接收到應答或 包含了錯誤代碼的不可用性消息。在此情況下，安全模塊在步驟E328期間增加連接嘗試值 CVc,並且在步驟E330期間比較所述值與相關聯的預定值CVcM。如果值CVc小於值CVcM，則在預定的時間延遲之後重複該連接請求。如果值CVc大於或等於值CVcM，則已經達到了最大的嘗試次數，並且安全模塊在 步驟E332期間通過向它包含的每個應用發送阻止指令(例如，設置狀態命令)來阻止所述 應用。因而，在隨後接收到選擇消息時，應用向回發送指示了不能選擇它的錯誤消息。可替換地，阻止指令是用於從安全模塊的存儲器中擦除該應用的指令，例如由全 球平臺規範定義的刪除(Delete)指令。如果滿足連接請求，則管理伺服器在步驟E334期間驗證用戶關於在安全模塊中 安裝的各種應用的權限。它訪問存儲器REG的內容，以確定觸發了呼叫的應用並比較所 述內容與在管理伺服器的存儲器中存儲的值。然後，它向安全模塊發送例如一個或多個 SMS(短消息系統)消息形式的應答。該應答可以包含用於更新存儲器REG的請求。如果用戶仍然具有針對這些應用的權限(步驟E336)，則該應答是用於重新初始 化值CAc和CVc (例如，將這些值重置為0)的指令。該重新初始化指令可以包含針對存儲 器REG的更新。相反地，如果例如因為用戶尚未針對一個或多個服務來續付他們的費用或者他們 已經向應用管理伺服器通知了安全模塊被盜或丟失而導致他們不再具有對於一個或多個 應用的權限，則管理伺服器在步驟E338期間向安全模塊發送用於重新初始化值CA1、CAc, CVcjP REG的指令以及用於阻止有關應用的標準指令；該指令具有防止將來選擇那些應用 的效果。更準確地說，該伺服器發送用於要被阻止的每個應用的SMS消息以及包含了用於在安全模塊的存儲器26中寫入值CA1、CAc、CVcJP REG的指令的SMS消息。必須牢記，為了安全原因，寫入或讀取伺服器安全模塊的存儲區域需要使用由安 全模塊和該伺服器共享的加密密鑰。值CA1M、CAcMJP CVcM是在初始化階段期間在安全模塊的存儲器26中存儲的預 定值。它們可以被準許的管理伺服器修改。為了安全原因，通過交換使用由管理伺服器和 安全模塊共享的密鑰來加密的消息來實行該修改。已經結合單一應用APl來描述了方法。在其中在安全模塊中安裝多個應用API、
AP2........APn的情況下，針對每個應用APi來存儲與應用APi連結的交易值CAi和相關
聯的預定值CAiM，並且針對所有應用來存儲單一交易值CAc、相關聯的單一最大交易值、單 一連接嘗試值CVc、和單一最大嘗試值CVcM。在本發明的另一實現中，同樣地，針對每個應用APi來定義連接嘗試值CVi和相關 聯的最大連接嘗試值CViM。然後，當連接嘗試的次數CVi達到最大次數CViM時，安全模塊 進行阻止應用APi。擁有密鑰的管理伺服器可以在任何時間訪問安全模塊，並更新與應用CAl到CAn 連結的交易值、公共交易值CAc、和與所有應用連結的連接嘗試值CVc、以及寄存器REG。上面，針對非接觸式應用來描述了本發明。如果在安全模塊中安裝的任何或所有 應用是需要接觸的應用，則本發明可以同樣地適用。
權利要求
一種用於控制應用的方法，所述應用安裝在與移動終端(100)相關聯的安全模塊(20)中、並且適於與設備(200)一起實行與所述應用連結的交易，所述方法的特徵在於，它包括以下步驟·在由應用實行的交易期間，增加(E102、E202、E302、E322)安全模塊的存儲器中的至少一個交易值(CA1、CAc)；·比較(E104、E204、E304、E324)所述至少一個交易值與相關聯的預定值(CA1M、CAcM)；·如果至少一個交易值達到其相關聯的預定值，則向應用的管理伺服器發送(E106、E206、E308、E326)至少一個連接命令；以及·在所述至少一個命令失敗的情形下，阻止(E114、E212、E310、E332)至少一個應用。
2.根據權利要求1的方法，其特徵在於，所述增加步驟(E202、E322)在由所述應用中 的任何應用進行的交易期間增加對於在安全模塊中存在的所有應用公共的交易值。
3.根據權利要求1或權利要求2的方法，其特徵在於，所述增加步驟(E102、E302)在 由所述應用實行的交易期間增加與在安全模塊中存在的所述應用連結的交易值。
4.根據前述任一權利要求的方法，其特徵在於，所述阻止步驟包括停止進行中的交 易的步驟(El 14)。
5.根據前述任一權利要求的方法，其特徵在於，所述阻止步驟包括向至少一個應用 發送用於防止將來選擇所述至少一個應用的指令的步驟(E212、E332)。
6.根據前述任一權利要求的方法，其特徵在於，在發送多個連接命令之後實行所述阻止步驟。
7.根據前述任一權利要求的方法，其特徵在於，如果連接命令成功，則所述方法還包 括作為與至少一個應用相關聯的用戶權限的驗證結果的函數、來從管理伺服器接收對於 與所述至少一個應用連結的權限的更新的步驟。
8.根據權利要求7的方法，其特徵在於，所述方法還包括更新至少一個交易值的步驟。
9.根據權利要求7或權利要求8的方法，其特徵在於，所述方法還包括接收用於防止將 來選擇所述至少一個應用的指令的步驟。
10.一種用於管理應用的方法，所述應用安裝在與移動終端(100)相關聯的安全模塊 (20)中、並且適於實行與所述應用連結的交易，所述方法的特徵在於，它包括以下步驟 在至少一個交易值達到相關聯的預定值以後，接收由移動終端發送的連接命令； 驗證針對在安全模塊中安裝的至少一個應用的用戶權限；以及 作為驗證結果的函數，更新至少一個交易值，和/或阻止至少一個應用。
11.一種包含至少一個應用的安全模塊(20)，所述至少一個應用適於與設備(200) — 起實行至少一個交易，所述模塊的特徵在於，它包括 用於增加至少一個交易值的部件； 用於比較所述至少一個交易值與相關聯的預定值的部件； 用於如果計數器的值達到預定值、則向應用管理伺服器發送至少一個連接命令的部 件；以及 用於如果所述至少一個命令失敗、則阻止至少一個應用的部件。
12.—種移動終端(100)，其特徵在於，所述移動終端包括根據權利要求11的安全模塊。
13.—種管理伺服器(T、SPl)，用於在與移動終端相關聯的安全模塊中安裝的至少一 個應用，所述伺服器的特徵在於，它包括 用於在至少一個交易值達到其相關聯的預定值以後、接收由移動終端發送的連接命 令的部件； 用於驗證針對在安全模塊中存儲的至少一個應用的用戶權限的部件；以及 用於發送用以更新至少一個交易值和/或阻止至少一個應用的命令的部件。
14.一種電腦程式產品，包括當將其加載到安全模塊的處理器中並由所述處理器 執行時、用於執行根據權利要求1到9中任一項的控制方法的步驟的指令。
全文摘要
本發明關於一種用於控制應用的方法，所述應用在與移動終端相關聯的安全模塊上安裝，所述方法適於在由應用進行的交易期間，增加至少一個交易值，並且如果該值達到相關聯的預定值，則向管理伺服器派送至少一個用於連接的命令，並且在所述命令失敗的情形下，禁用至少一個應用。本發明還關於一種用於管理這種應用的方法，所述方法適於接收連接命令，以驗證用戶權限並作為驗證結果的函數，更新至少一個交易值和/或禁用至少一個應用。本發明還涉及一種管理伺服器、移動終端和能夠用於移動終端的安全模塊。
文檔編號H04L29/06GK101939963SQ200880126312
公開日2011年1月5日 申請日期2008年12月3日 優先權日2007年12月7日
發明者勞倫特·福雷奧, 雷米·拉法德 申請人:法國電信公司