具体实施方式

为了使本申请实施例的目的、技术方案和优点更加清楚，下面将结合附图对本申请作进一步地详细描述，所描述的实施例不应视为对本申请的限制，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例，都属于本申请保护的范围。

在以下的描述中，涉及到“一些实施例”，其描述了所有可能实施例的子集，但是可以理解，“一些实施例”可以是所有可能实施例的相同子集或不同子集，并且本申请实施例所记载的技术方案之间，可以在不冲突的情况下相互结合。

在对本申请实施例的技术方案进行介绍之前，下面先对相关技术的方案进行说明。

随着数字技术的不断发展，当今社会已经步入数字化时代，例如，买东西不用带钱包，坐公交、地铁不用带公交卡，出入单位不用带门禁卡等，用户通过使用承载数字应用的设备就可以实现上述这些功能，给日常生活带来很多便利。然而，在使用各种数字应用比如数字货币、数字钱包、电子公交卡等时，数字应用的安全是人们关注的重点。

为了防止数字应用被外部恶意解析攻击，保护数字应用内数据安全，由于安全元件(SE，Secure Element)具有加密和解密逻辑电路，因此，实际应用中，可将具有高安全性要求的数字应用，比如支持数字交易的数字应用(如数字钱包)承载在SE中。

用户识别模块(SIM，Subscriber Identity Module)卡是业界公认的一种高强度安全元件。在第三代移动通信系统(3G，3rd-Generation)或第四代移动通信系统(4G，4th-Generation)中，SIM卡也可被称为全球用户识别模块(USIM，Universal SubscriberIdentity Module)卡，采用专用防攻击软硬件设计，并通过第三方检测实验室进行检测认证，具备至少评估保证等级(EAL，Evaluation Assurance Level)4+级别安全。

在实际应用中，SIM卡除了承载运营商通信应用(包括网络鉴权密钥及相关敏感数据)以实现登网鉴权外，还可以承载数字货币、数字钱包、电子公交卡等各种数字应用。图1为相关技术提供的一种SIM卡的系统架构示意图，如图1所示，SIM卡的系统架构包括芯片硬件及固件、硬件抽象层、虚拟机、SIM卡运行时环境(比如逻辑通道管理、卡内容管理等模块)、支持的API(比如中国移动(CMCC，China Mobile Communication Corporation)API)，以及SIM卡上承载的数字应用(比如数字货币应用、数字钱包应用、公交卡应用(电子公交卡应用))。

在上文涉及的相关技术中SIM卡的系统架构的基础上，通过NFC、机卡访问(SIMAccess)等技术，SIM卡可实现多种具有高安全性要求的业务场景。图2为相关技术提供的一种通过访问SIM卡实现端到端的安全机制的系统架构示意图，如图2所示，可以通过读卡器(Reader)模式或卡模拟(Card Emulation)模式实现端到端(SIM卡的本地终端与对方终端(为描述简便，下文将对方终端简称为对端))的安全机制。

其中，在Reader模式下，终端(安装有SIM卡的用户设备(UE，User Equipment)作为读卡器，应用(Application)调用操作系统(OS，Operating System)框架(Framework)中的SIM API发起寻卡操作并建立与对端Card的连接；本地SIM作为对端的安全元件，Application通过SIM API访问SIM卡。在Card Emulation模式下，本地终端上的SIM卡结合NFC模块可模拟为Card(该Card用于模拟人们生活中使用到的各种卡，如金融卡、交通卡和门卡等)，对端通过NFC-单线协议(SWP，Single Wire Protocol)接口直接访问SIM卡。

下面对本地终端(以Card表示)与对端(以Reader表示)之间的交易流程进行说明。该交易流程的主要实现如下：交易发起，Reader与Card之间建立物理无线连接；Reader选择Card上的数字应用，并进行能力协商；Reader与Card进行双向认证，建立安全通道；其中，在线交易可使用基于对称密钥的认证机制，由端侧(Card)和平台侧(Server)来处理安全报文；而离线交易可使用基于非对称密钥证书的认证机制，由端侧(Reader侧本地安全元件)和端侧(Card)来处理安全报文；在安全通道中进行数据交互，可对交易(包括在线交易和离线交易)进行完整性、保密性、防重放等的保护。

可见，端到端的安全机制和端侧的硬件安全载体有效保护了业务安全，为用户提供了安全便利的使用体验。然而，在一些特殊的业务场景下，尤其在数字应用不能感知到终端离线状态变化的情况下，交易存在潜在风险。例如，用户手机丢失后，用户立即注销手机号，此时终端离线，但非法用户可以继续使用数字钱包进行离线交易；再例如，用户手机丢失后，非法用户切换手机进入飞行模式，但非法用户可以继续使用数字钱包进行离线交易；又例如，用户手机丢失后，非法用户关机，但非法用户可以继续使用NFC低功耗模式下的数字钱包进行离线交易。

目前相关技术中的安全机制，尤其是基于独立安全元件(如电子公交卡，数字钱包等)的安全机制，由于应用不能感知到状态变化，即使通过设定离线授信额度、实施风险控制等方式对针对数字应用的数字交易进行安全控制，也存在潜在风险，这样当承载数字应用的载体如手机丢失后，由用户承担经济损失。

随着当前各种数字技术的迅速发展，创新具有运营商特点的新型业务，是运营商业务发展的重要方向。中国移动提出“数字货币电子支付(DCEP，Digital CurrencyElectronic Payment)，事关整个国家金融在全球金融体系的地位，应推进人民银行数字货币试验中探索基于SIM卡硬钱包的方案”，因此，制定SIM卡上的数字应用安全注销方案有利于完善应用安全，提升基于SIM卡技术的竞争力，加强运营商在各业务生态中的地位。

由此可见，相关技术中，由于SIM卡的操作系统不支持数字应用自注销、应用状态动态管理的功能，因此相关技术方案存在以下问题：

1、在离线场景下，管理指令不可达，数字应用不能被注销，交易存在风险；

2、在终端处于飞行模式或关机状态下，数字应用不能感知到终端的在线状态或离线状态变化，交易存在风险。

而针对上述技术问题，目前尚未有有效的解决方案。

基于此，在本申请的各种实施例中，通过智能卡接收到交易请求；所述交易请求为针对所述智能卡上的第一应用发起的；响应所述交易请求，检测所述第一应用的状态；所述第一应用的状态包括注销状态、未注销状态中之一；基于检测到的所述第一应用的状态，对针对所述第一应用的交易进行安全控制。

采用本申请实施例的方案，通过直接检测智能卡上的第一应用的状态，进而基于第一应用的状态，对针对第一应用的数字交易进行有针对性的安全控制，如此，能够有效提高数字交易的安全性，降低终端用户的经济损失，提升终端用户的体验。

下面结合附图及实施例对本申请方案再作进一步详细的描述。

本申请实施例可对离线场景下智能卡(如SIM卡)上的第一应用(数字应用)的交易进行安全控制，以提高数字应用交易的安全性。下面以实施本申请实施例方案的智能卡为SIM卡为例，对该SIM卡的系统架构进行说明。

图3为本申请实施例提供的一种SIM卡的系统架构示意图，在相关技术中SIM卡的系统架构(如图1所示的SIM卡的系统架构)的基础上，在SIM卡的操作系统中增加了应用自服务管理模块和自服务API，其中，应用自服务管理模块的主要功能为支持数字应用自注销管理及应用状态动态管理，具体地，应用自服务管理模块通过检测SIM卡上的数字应用的状态，进而基于数字应用的状态，对针对数字应用的数字交易进行有针对性的安全控制。SIM卡通过调用自服务API，可将终端的状态发送给数字应用，以使数字应用能够感知到终端的状态，或者通过调用自服务API，供数字应用更新自身的状态为注销状态，即实现数字应用自注销。

基于上述对本申请实施例提供的SIM卡的系统架构的说明，接下来对本申请实施例提供的交易的安全控制方法的实现进行说明。

本申请实施例提供了一种交易的安全控制方法，该方法应用于智能卡，比如SIM卡、嵌入式SIM(ESIM，Embedded-SIM)卡，图4为本申请实施例提供的一种交易的安全控制方法的流程示意图，如图4所示，该方法包括：

步骤401，接收到交易请求；所述交易请求为针对智能卡上的第一应用发起的。

这里，智能卡接收到的交易请求可以是终端发起的，具体地，可以是终端针对智能卡上的第一应用发起的，这里的第一应用承载在智能卡上，第一应用可以为智能卡上的数字应用，比如数字货币、数字钱包、电子公交卡等各种类型的数字应用。其中，发起交易请求的终端可以是智能卡的本地终端，即承载该智能卡的终端；也可以是本地终端的对端，即未承载该智能卡的终端。

步骤402，响应所述交易请求，检测所述第一应用的状态。

在本申请实施例中，第一应用的状态包括注销状态、未注销状态中之一。

步骤403，基于检测到的所述第一应用的状态，对针对所述第一应用的交易进行安全控制。

实际应用中，智能卡通过检测第一应用的状态(注销状态或未注销状态)，进而基于第一应用的状态，对针对第一应用的数字交易进行有针对性的安全控制；也就是说，本申请实施例中对于不同状态的第一应用，可采用不同的安全处理方式对针对第一应用的交易进行安全控制，以提高数字交易的安全性。

基于此，在一些实施例中，对于上述步骤403中的基于检测到的所述第一应用的状态，对针对所述第一应用的交易进行安全控制，可以通过以下之一的方式实现：

在检测到的所述第一应用的状态为注销状态的情况下，采用第一安全处理方式对针对所述第一应用的交易进行安全控制；

在检测到的所述第一应用的状态为未注销状态的情况下，采用第二安全处理方式对针对所述第一应用的交易进行安全控制。

这里，在第一应用的状态为注销状态的情况下，对于采用第一安全处理方式对针对所述第一应用的交易进行安全控制，可通过如下方式实现：

向发起所述交易请求的发起方发送第一通知消息；所述第一通知消息用于通知所述发起方所述第一应用不可用；以及中止针对所述第一应用的交易。

实际应用中，当检测到第一应用的状态为注销状态时，表明当前的第一应用不可用，此时若发起方比如本地终端或对端，针对智能卡上的该第一应用发起离线交易请求，由于该第一应用的状态为注销状态，则发起方无法正常使用该第一应用，选择该第一应用失败，那么智能卡将向发起交易请求的发起方发送第一通知消息，以能够及时通知发起方该第一应用不可用，并中止针对第一应用的交易，提高数字交易的安全性。

这里，智能卡在检测到第一应用的状态为注销状态时，还可向发起方返回错误码，通过发送错误码的方式通知发起方当前的第一应用不可用，即通知发起方此时不能通过该第一应用进行离线交易。

实际应用时，本申请实施例为了避免非法用户在智能卡已注销的情况下使用第一应用进行离线交易，以保证数字交易的安全性，当智能卡已注销时，在离线场景下，第一应用可实现自注销管理，即第一应用在获知智能卡已注销的情况下，能够更新自身的状态为注销状态。

基于此，在一些实施例中，该方法还包括：

查询所述智能卡上已注册签约状态改变事件的至少一个应用；所述第一应用为所述至少一个应用中之一；所述签约状态改变事件与终端的网络附着结果关联；

向所述至少一个应用发送第二通知消息；其中，所述第二通知消息用于将所述签约状态改变事件通知给所述至少一个应用；所述签约状态改变事件用于供所述至少一个应用更新自身的状态为注销状态。

这里，所述签约状态改变事件与终端的网络附着结果关联，可以理解为当智能卡已注销时，若终端尝试进行网络附着，网络设备将向终端返回拒绝附着的消息，此时网络服务不可用，由于智能卡已注销，用户签约状态会发生改变，进而生成签约状态改变事件；也就是说，签约状态改变事件能否生成，与终端的网络附着结果具有直接关系。

实际应用时，所述查询所述智能卡上已注册签约状态改变事件的至少一个应用，包括：

确定所述签约状态改变事件的类型；

基于确定的所述签约状态改变事件的类型，以及签约状态改变事件的类型与注册相应类型事件的应用的对应关系，从注册表中查询所述智能卡上已注册所述签约状态改变事件的至少一个应用。

这里，注册表中存储有注册签约状态改变事件的所有应用，且注册表中存储有签约状态改变事件的类型与注册相应类型事件的应用的对应关系，这样，当确定了签约状态改变事件的类型时，可根据确定的签约状态改变事件的类型，以及签约状态改变事件的类型与注册相应类型事件的应用的对应关系，查询到智能卡上已注册该签约状态改变事件的至少一个应用，这里的至少一个应用包括第一应用，接下来，智能卡向已注册该签约状态改变事件的至少一个应用发送该签约状态改变事件，也即通知该至少一个应用当前智能卡已注销，该至少一个应用接收到该签约状态改变事件后，更新自身的状态为注销状态。

在一些实施例中，该方法还包括：

接收终端发送的第一指令；所述第一指令中携带所述签约状态改变事件；所述签约状态改变事件由所述终端基于监测到用户签约状态发生改变的结果生成的；所述用户签约状态发生改变与所述智能卡的注销状态关联；

基于所述第一指令得到所述签约状态改变事件。

这里，智能卡接收到第一指令后，可对第一指令进行解析，从而得到第一指令中携带的签约状态改变事件。

下面结合附图对第一应用的自注销过程进行详细说明。

图5为本申请实施例提供的一种第一应用的自注销的流程示意图，如图5所示，终端通过网络附着结果判断用户签约状态，当智能卡已注销时，终端即可监测到用户签约状态发生改变，此时可生成签约状态改变事件(Subscriber State Change Event)，终端向智能卡发送APDU命令，如Envelope-事件下载(Event Download)命令，该APDU命令中可携带签约状态改变事件；智能卡接收到APDU命令后，对APDU命令进行处理，即基于APDU命令进行事件转换得到签约状态改变事件；智能卡中的触发实体根据该签约状态改变事件的类型，从注册表中查询是否有应用注册该事件，若查询到注册表中有至少一个应用注册该事件，则触发实体向注册该事件的至少一个应用(包括第一应用)发送通知消息，即将签约状态改变事件通知给注册该事件的至少一个应用；该至少一个应用接收到通知消息后，可判断出当前智能卡已注销，设置自身的状态为注销状态。

实际应用中，当智能卡检测到第一应用的状态为未注销状态时，为了避免非法用户使用第一应用进行离线交易，以保证数字交易的安全性，本申请实施例可先确定终端的状态，进而在终端的状态为离线状态时，再基于安全策略对离线交易进行安全控制。

基于此，在一些实施例中，在第一应用的状态为未注销状态的情况下，对于采用第二安全处理方式对针对所述第一应用的交易进行安全控制，可通过如下方式实现：

确定终端的状态；终端的状态包括在线状态、离线状态中之一；

在确定的所述终端的状态为离线状态的情况下，基于设定的安全策略对针对所述第一应用的交易进行安全控制；所述安全策略表征禁止针对所述第一应用进行离线交易。

实际应用时，可在智能卡的操作系统的RAM中缓存终端的状态标识，进而基于终端的状态标识，就可快速准确地确定终端的状态是在线状态(Online_State)，还是离线状态(Offline_State)。

基于此，在一些实施例中，所述确定终端的状态，包括：

确定终端的状态标识；基于确定的所述终端的状态标识，确定所述终端的状态。

这里，终端的状态标识可包括在线状态标识(RAM_Online_Flag)和离线状态标识(RAM_Offline_Flag)。

实际应用中，智能卡可根据终端的外部状态变化，对终端的状态标识进行动态管理，其中，终端的外部状态变化可理解为终端由一种模式转换到另一种模式，终端实现在线状态和离线状态之间的转换。

基于此，在一些实施例中，该方法还包括：

检测所述终端是否满足转换条件；所述转换条件包括第一转换条件、第二转换条件中之一；

在检测到所述终端满足所述第一转换条件的情况下，触发所述终端从所述在线状态转换为所述离线状态；

在检测到所述终端满足所述第二转换条件的情况下，触发所述终端从所述离线状态转换为所述在线状态。

这里，所述第一转换条件可包括终端处于关机状态、终端注销SIM卡、终端处于飞行模式；所述第二转换条件可包括终端登网鉴权成功，在此不做限定。

下面结合附图对在线状态和离线状态之间的转换进行说明。

图6为本申请实施例提供的一种在线状态和离线状态之间的转换示意图，如图6所示，当终端当前处于在线状态(Online_State)时，若检测到终端注销SIM卡，则触发终端从Online_State转换到离线状态(Offline_State)；当终端当前处于Online_State时，若检测到终端关机，则触发终端从Online_State转换到Offline_State；当终端当前处于Online_State时，若检测到终端进入飞行模式，则触发终端从Online_State转换到Offline_State；当终端登网鉴权失败时，则终端处于Offline_State；终端在Offline_State时关闭飞行模式，则登网鉴权失败；当终端当前处于Offline_State时，若检测到终端登网鉴权成功，则触发终端从Offline_State切换到Online_State。

下面以智能卡为SIM卡为例，对终端的状态标识的确定过程进行详细说明。

在一些实施例中，所述确定终端的状态标识，可通过如下方式实现：

接收所述终端发送的第二指令；所述第二指令用于指示所述终端进行网络鉴权成功；基于所述第二指令，确定所述终端的状态标识为第一标识值。

具体来说，在一种情况下，当终端开机时，SIM卡上电初始化，重置所有RAM地址空间数据为0，且RAM_Online_Flag为0；SIM卡接收到终端重置(Terminal Profile)命令后，向终端注册位置状态改变事件(Location Status Change Event)；SIM卡接收到终端发送的网络鉴权(Authenticate)命令，若该网络鉴权命令执行成功，即表明终端进行网络鉴权成功，则SIM卡接收到终端发送的第二指令，该第二指令用于指示终端进行网络鉴权成功，此时设置终端的RAM_Online_Flag为1(第一标识值)。在另一种情况下，当终端关闭飞行模式，终端将重新进行网络附着，若终端进行网络附着成功，则终端向SIM卡发送网络鉴权命令，若该网络鉴权命令执行成功，即表明终端进行网络鉴权成功，则SIM卡接收到终端发送的第二指令，该第二指令用于指示终端进行网络鉴权成功，此时设置终端的RAM_Online_Flag为1。

在另一些实施例中，所述确定终端的状态标识，可通过如下方式实现：

接收所述终端发送的第三指令；所述第三指令用于指示所述终端的位置状态为限制服务状态；基于所述第三指令，确定所述终端的状态标识为第二标识值。

具体来说，在一种情况下，当终端进入飞行模式时，向SIM卡发送Location StatusChange Event，此时终端的位置状态为限制服务状态；SIM卡接收到Location StatusChange Event后，若判断终端的位置状态为限制服务状态，则SIM卡接收到终端发送的第三指令，此时设置终端的RAM_Online_Flag为0(第二标识值)。在另一种情况下，在SIM卡已注销，用户继续使用终端的情况下，由于SIM卡已注销，终端进行网络附着失败，则终端向SIM卡发送Location Status Change Event，此时终端的位置状态为限制服务状态；SIM卡接收到Location Status Change Event后，若判断终端的位置状态为限制服务状态，则SIM卡接收到终端发送的第三指令，此时设置终端的RAM_Online_Flag为0。

在另一些实施例中，所述确定终端的状态标识，可通过如下方式实现：

接收到第四指令；所述第四指令用于指示所述终端进行网络附着失败；基于所述第四指令，确定所述终端的状态标识为第二标识值。

具体来说，在一种情况下，当终端关闭飞行模式，终端将重新进行网络附着，若终端进行网络附着失败，则SIM卡接收到第四指令，该第四指令用于指示终端进行网络附着失败，终端不会向SIM卡发送网络鉴权命令，此时设置终端的RAM_Online_Flag为0。在另一种情况下，在已注销SIM卡，终端关机重启的情况下，RAM_Online_Flag的初始值为0，终端尝试进行网络附着，此时由于SIM卡已注销，网络设备向终端返回网络附着拒绝的消息，SIM卡接收到第四指令，该第四指令用于指示终端进行网络附着失败，终端不会向SIM卡发送网络鉴权命令，此时设置终端的RAM_Online_Flag仍为0。

在另一些实施例中，所述确定终端的状态标识，可通过如下方式实现：

接收到第五指令；所述第五指令用于指示所述智能卡进行初始化处理，所述终端处于NFC低功耗模式；基于所述第五指令，确定所述终端的状态标识为第二标识值。

具体来说，在终端关机的情况下，用户可在终端处于NFC低功耗模式下进行离线交易，此时SIM卡接收到第五指令，在NFC低功耗模式下执行SIM卡初始化流程，设置终端的RAM_Online_Flag为0。

在一些实施例中，所述基于确定的所述终端的状态标识，确定所述终端的状态，包括以下之一：

在确定的所述终端的状态标识为第一标识值的情况下，确定所述终端的状态为在线状态；

在确定的所述终端的状态标识为第二标识值的情况下，确定所述终端的状态为离线状态。

在一些实施例中，所述基于设定的安全策略对针对所述第一应用的交易进行安全控制，包括：

基于所述安全策略中止针对所述第一应用的交易。

这里，所述安全策略可用于表征禁止针对所述第一应用进行离线交易，这样，智能卡在确定终端的状态为离线状态的情况下，就可以基于安全策略中止针对所述第一应用的交易，有效提高数字交易的安全性。

实际应用时，在所述第一应用包括数字钱包的情况下，基于所述安全策略中止针对所述数字钱包的交易。

实际应用时，所述智能卡上设置有自服务API；通过所述自服务API的调用供所述第一应用查询终端的状态，或者供所述第一应用更新自身的状态为注销状态；其中，

所述自服务API包括以下至少之一：

应用注册事件的API；应用取消注册事件的API；判断事件是否已注册的API；应用处理事件的API；应用状态设置的API；终端在线状态查询的API。

这里，应用注册事件的API用于供应用注册事件(变量类型(void)registerEvent(short event))；应用取消注册事件的API用于供应用取消注册事件(void deregiserEvent(short event))；判断事件是否已注册的API用于供判断事件是否已注册(is EventRegister(short event))；应用处理事件的API用于供应用处理事件(void processEvent(short event))，事件触发时由智能卡运行时环境调用该应用接口；应用状态设置的API用于供设置第一应用即数字应用的状态(void setApplet State(short state))；终端在线状态查询的API用于供智能卡运行时环境根据RAM_Online_Flag的值判断终端是否处于在线状态(BooleanisOnlineState())；若RAM_Online_Flag为0，则返回false；若RAM_Online_Flag为1，则返回true。

实际应用时，为了降低智能卡的处理压力，智能卡可向第一应用发送终端的状态，由第一应用自身对针对所述第一应用的交易进行安全控制。

基于此，在一些实施例中，该方法还包括：

在所述自服务API包括所述终端在线状态查询的API的情况下，通过调用所述终端在线状态查询的API，向所述第一应用发送确定的所述终端的状态，以使所述第一应用在所述终端的状态为离线状态的情况下，基于设定的安全策略对针对所述第一应用的交易进行安全控制；其中，

所述安全策略表征禁止针对所述第一应用进行离线交易。

需要说明的是，第一应用在终端的状态为离线状态的情况下，基于设定的安全策略对针对所述第一应用的交易进行安全控制的过程，可参考上文智能卡的处理方法，这里不再赘述。

采用本申请实施例的方案，通过直接检测智能卡上的第一应用的状态，进而基于第一应用的状态，对针对第一应用的数字交易进行有针对性的安全控制，如此，能够有效提高数字交易的安全性，降低终端用户的经济损失，提升终端用户的体验。

下面结合应用实施例对本申请方案再作进一步详细的描述。

以第一应用为数字钱包，以智能卡为SIM卡为例，对本申请实施例提供的交易的安全控制方法进行说明。图7为本申请实施例提供的另一种交易的安全控制方法的流程示意图，如图7所示，首先，SIM卡上的数字钱包进行应用初始化，具体地，应用可以通过预安装或后下载的方式完成安装；在应用安装时，SIM卡的操作系统(OS)运行时环境通过调用应用Install()方法，即安装小程序(Install Applet)方法，应用完成用户签约状态改变事件的注册；在检测到终端开机后，SIM卡向终端发送注册签约状态改变事件的命令(SetupEventlist)。这里，用户丢失承载数字钱包的终端如手机后，可通过电话注销或营业厅注销方式来注销SIM卡，运营商网络侧注销该SIM卡对应的号码。

接下来，当SIM卡已注销时，SIM卡上的数字钱包进行自注销管理，具体地，终端尝试进行网络附着，即终端向网络(比如蜂窝网络)侧发起附着请求(Attach Request)，若此时SIM卡已注销，则网络侧向终端返回附着拒绝(Attach Reject)的响应，服务不可用(EPSService not allowed)；终端基于网络附着结果判断用户签约状态，若监测到用户签约状态发生改变，即判断签约信息发生异常，则生成签约状态改变事件，并通过事件下载指令，将生成的签约状态改变事件发送给SIM卡；SIM卡查询是否有应用注册该事件，当查询到有应用注册该事件时，通过触发事件向所有注册该事件的应用发送签约状态改变事件及签约用户状态信息，应用通过调用应用处理事件processEvent()API，根据应用注销策略处理签约状态改变事件，将自身的状态进行更新，即可更新自身的状态为注销状态，实现应用的自注销，并将注销结果返回给终端。

在SIM卡已注销的情况下，离线交易进行异常处理，具体地，在SIM卡已注销后，若对端发起离线交易请求，选择待使用的应用(数字钱包)，SIM卡响应该请求，检测数字钱包应用的状态，若检测到数字钱包应用的状态为注销状态，则SIM卡直接向终端返回错误码，中止针对数字钱包应用的交易；若检测到数字钱包应用的状态为未注销状态，进一步检测数字钱包应用的内部状态，若数字钱包应用的内部状态为业务注销状态，则应用生成错误码，并作为交易响应返回给对端；对端接收到交易响应后，判断错误码为应用已注销不可用(业务注销状态)，则中止针对数字钱包应用的交易，还可提示用户或报警。在检测到数字钱包应用的状态为未注销状态，且数字钱包应用的内部状态不是业务注销状态，进一步判断终端是否处于离线状态，比如终端进入飞行模式或关机，当判断终端处于离线状态的情况下，判断业务安全策略是否允许离线交易，若不允许离线交易，则中止针对数字钱包应用的交易，并向对端返回错误码，对端接收到错误码后将中止交易。

采用本申请实施例的上述方案，可以达到如下技术效果：

1、在终端离线场景下，SIM卡上的数字应用可实现自注销管理，提升数字应用离线使用的安全；进一步的，还可对使用已注销SIM卡上的数字应用的用户进行警示或报警，有利于追踪丢失的承载数字应用的终端；

2、在终端处于飞行模式或关机状态下，数字应用可获知终端的离线状态或在线状态的变化，进而有针对性地实施安全策略，对针对数字应用的数字交易进行有针对性的安全控制，提高数字交易的安全性；

3、使用自服务API，便于数字应用集成，兼容性好；

4、结合蜂窝网络技术，实现SIM卡注销时数字应用的自注销，是运营商特色技术，便于运营商为终端用户提供差异化服务；

5、针对SIM卡进行功能升级，实现SIM卡上的数字应用的离线数字交易的安全控制，成本低且安全可控。

为了实现本申请实施例的交易的安全控制方法，本申请实施例还提供了一种交易的安全控制装置，该装置设置在智能卡，比如SIM卡、ESIM卡上，图8为本申请实施例提供的一种交易的安全控制装置的组成结构示意图，如图8所示，该装置包括：

第一接收单元81，用于接收到交易请求；所述交易请求为针对智能卡上的第一应用发起的；

检测单元82，用于响应所述交易请求，检测所述第一应用的状态；所述第一应用的状态包括注销状态、未注销状态中之一；

控制单元83，用于基于检测到的所述第一应用的状态，对针对所述第一应用的交易进行安全控制。

在一些实施例中，所述控制单元83包括：第一控制子单元和第二控制子单元；其中，

所述第一控制子单元，用于在检测到的所述第一应用的状态为注销状态的情况下，采用第一安全处理方式对针对所述第一应用的交易进行安全控制；

所述第二控制子单元，用于在检测到的所述第一应用的状态为未注销状态的情况下，采用第二安全处理方式对针对所述第一应用的交易进行安全控制。

在一些实施例中，所述第一控制子单元，具体用于：

向发起所述交易请求的发起方发送第一通知消息；所述第一通知消息用于通知所述发起方所述第一应用不可用；以及

中止针对所述第一应用的交易。

在一些实施例中，该装置还包括：

查询单元，用于查询所述智能卡上已注册签约状态改变事件的至少一个应用；所述第一应用为所述至少一个应用中之一；所述签约状态改变事件与终端的网络附着结果关联；

第一发送单元，用于向所述至少一个应用发送第二通知消息；其中，

所述第二通知消息用于将所述签约状态改变事件通知给所述至少一个应用；所述签约状态改变事件用于供所述至少一个应用更新自身的状态为注销状态。

实际应用时，所述查询单元，具体用于：

确定所述签约状态改变事件的类型；

基于确定的所述签约状态改变事件的类型，以及签约状态改变事件的类型与注册相应类型事件的应用的对应关系，从注册表中查询所述智能卡上已注册所述签约状态改变事件的至少一个应用。

在一些实施例中，该装置还包括：

第二接收单元，用于接收终端发送的第一指令；所述第一指令中携带所述签约状态改变事件；所述签约状态改变事件由所述终端基于监测到用户签约状态发生改变的结果生成的；所述用户签约状态发生改变与所述智能卡的注销状态关联；

获取单元，用于基于所述第一指令得到所述签约状态改变事件。

在一些实施例中，所述第二控制子单元包括：确定单元和第三控制子单元；其中，

所述确定单元，用于确定终端的状态；终端的状态包括在线状态、离线状态中之一；

所述第三控制子单元，用于在所述确定单元确定的所述终端的状态为离线状态的情况下，基于设定的安全策略对针对所述第一应用的交易进行安全控制；所述安全策略表征禁止针对所述第一应用进行离线交易。

在一些实施例中，所述确定单元包括：第一确定子单元和第二确定子单元；其中，

所述第一确定子单元，用于确定终端的状态标识；

所述第二确定子单元，用于基于确定的所述终端的状态标识，确定所述终端的状态。

实际应用时，在一些实施例中，所述第一确定子单元，具体用于：

接收所述终端发送的第二指令；所述第二指令用于指示所述终端进行网络鉴权成功；

基于所述第二指令，确定所述终端的状态标识为第一标识值。

在一些实施例中，所述第一确定子单元，还具体用于：

接收所述终端发送的第三指令；所述第三指令用于指示所述终端的位置状态为限制服务状态；

基于所述第三指令，确定所述终端的状态标识为第二标识值。

在一些实施例中，所述第一确定子单元，还具体用于：

接收到第四指令；所述第四指令用于指示所述终端进行网络附着失败；

基于所述第四指令，确定所述终端的状态标识为第二标识值。

在一些实施例中，所述第一确定子单元，还具体用于：

接收到第五指令；所述第五指令用于指示所述智能卡进行初始化处理，所述终端处于NFC低功耗模式；

基于所述第五指令，确定所述终端的状态标识为第二标识值。

在一些实施例中，所述第二确定子单元，具体用于以下之一：

在确定的所述终端的状态标识为第一标识值的情况下，确定所述终端的状态为在线状态；

在确定的所述终端的状态标识为第二标识值的情况下，确定所述终端的状态为离线状态。

在一些实施例中，该方法还包括：

检测所述终端是否满足转换条件；所述转换条件包括第一转换条件、第二转换条件中之一；

在检测到所述终端满足所述第一转换条件的情况下，触发所述终端从所述在线状态转换为所述离线状态；

在检测到所述终端满足所述第二转换条件的情况下，触发所述终端从所述离线状态转换为所述在线状态。

这里，所述终端的状态标识在所述智能卡的操作系统的RAM中缓存。

在一些实施例中，所述第三控制子单元，具体用于：

基于所述安全策略中止针对所述第一应用的交易。

在一些实施例中，所述第三控制子单元，具体用于：

在所述第一应用包括数字钱包的情况下，基于所述安全策略中止针对所述数字钱包的交易。

这里，所述智能卡上设置有自服务API；通过所述自服务API的调用供所述第一应用查询终端的状态，或者供所述第一应用更新自身的状态为注销状态；其中，

所述自服务API包括以下至少之一：

应用注册事件的API；应用取消注册事件的API；判断事件是否已注册的API；应用处理事件的API；应用状态设置的API；终端在线状态查询的API。

在一些实施例中，该装置还包括：

第二发送单元，用于在所述自服务API包括所述终端在线状态查询的API的情况下，通过调用所述终端在线状态查询的API，向所述第一应用发送确定的所述终端的状态，以使所述第一应用在所述终端的状态为离线状态的情况下，基于设定的安全策略对针对所述第一应用的交易进行安全控制；其中，

所述安全策略表征禁止针对所述第一应用进行离线交易。

这里，实际应用时，所述第一接收单元81可由交易的安全控制装置中的通信接口实现，所述检测单元82和控制单元83可由交易的安全控制装置中的处理器实现。

需要说明的是，上述实施例提供的交易的安全控制装置在进行交易的安全控制时，仅以上述各程序模块的划分进行举例说明，实际应用中，可以根据需要而将上述处理分配由不同的程序模块完成，即将装置的内部结构划分成不同的程序模块，以完成以上描述的全部或者部分处理。另外，上述实施例提供的交易的安全控制装置与交易的安全控制方法实施例属于同一构思，其具体实现过程详见方法实施例，这里不再赘述。

基于上述程序模块的组成结构实现，且为了实现本申请实施例的交易的安全控制方法，本申请实施例还提供了一种智能卡，比如SIM卡、ESIM卡，图9为本申请实施例提供的智能卡的硬件组成结构示意图，如图9所示，该智能卡90包括：

通信接口91，能够与终端进行信息交互；

处理器92，与通信接口91连接，以实现与终端进行信息交互，用于运行计算机程序时，执行上述智能卡侧一个或多个技术方案提供的方法。而所述计算机程序存储在存储器93上。

具体地，通信接口91，用于接收到交易请求；所述交易请求为针对所述智能卡上的第一应用发起的；

处理器92，用于响应所述交易请求，检测所述第一应用的状态；所述第一应用的状态包括注销状态、未注销状态中之一；还用于基于检测到的所述第一应用的状态，对针对所述第一应用的交易进行安全控制。

在一些实施例中，处理器92，具体用于以下之一：

在检测到的所述第一应用的状态为注销状态的情况下，采用第一安全处理方式对针对所述第一应用的交易进行安全控制；

在检测到的所述第一应用的状态为未注销状态的情况下，采用第二安全处理方式对针对所述第一应用的交易进行安全控制。

实际应用时，处理器92，具体用于：

向发起所述交易请求的发起方发送第一通知消息；所述第一通知消息用于通知所述发起方所述第一应用不可用；以及

中止针对所述第一应用的交易。

在一些实施例中，处理器92，还用于查询所述智能卡上已注册签约状态改变事件的至少一个应用；所述第一应用为所述至少一个应用中之一；所述签约状态改变事件与终端的网络附着结果关联；

通信接口91，还用于向所述至少一个应用发送第二通知消息；其中，

所述第二通知消息用于将所述签约状态改变事件通知给所述至少一个应用；所述签约状态改变事件用于供所述至少一个应用更新自身的状态为注销状态。

这里，处理器92，具体用于：

确定所述签约状态改变事件的类型；

基于确定的所述签约状态改变事件的类型，以及签约状态改变事件的类型与注册相应类型事件的应用的对应关系，从注册表中查询所述智能卡上已注册所述签约状态改变事件的至少一个应用。

在一些实施例中，通信接口91，还用于接收终端发送的第一指令；所述第一指令中携带所述签约状态改变事件；所述签约状态改变事件由所述终端基于监测到用户签约状态发生改变的结果生成的；所述用户签约状态发生改变与所述智能卡的注销状态关联；

基于所述第一指令得到所述签约状态改变事件。

在一些实施例中，处理器92，具体用于：

确定终端的状态；终端的状态包括在线状态、离线状态中之一；

在确定的所述终端的状态为离线状态的情况下，基于设定的安全策略对针对所述第一应用的交易进行安全控制；所述安全策略表征禁止针对所述第一应用进行离线交易。

在一些实施例中，处理器92，具体用于：

确定终端的状态标识；

基于确定的所述终端的状态标识，确定所述终端的状态。

在一些实施例中，处理器92，具体用于：

接收所述终端发送的第二指令；所述第二指令用于指示所述终端进行网络鉴权成功；

基于所述第二指令，确定所述终端的状态标识为第一标识值。

在一些实施例中，处理器92，还具体用于：

接收所述终端发送的第三指令；所述第三指令用于指示所述终端的位置状态为限制服务状态；

基于所述第三指令，确定所述终端的状态标识为第二标识值。

在一些实施例中，处理器92，还具体用于：

接收到第四指令；所述第四指令用于指示所述终端进行网络附着失败；

基于所述第四指令，确定所述终端的状态标识为第二标识值。

在一些实施例中，处理器92，还具体用于：

接收到第五指令；所述第五指令用于指示所述智能卡进行初始化处理，所述终端处于NFC低功耗模式；

基于所述第五指令，确定所述终端的状态标识为第二标识值。

在一些实施例中，处理器92，具体用于以下之一：

在确定的所述终端的状态标识为第一标识值的情况下，确定所述终端的状态为在线状态；

在确定的所述终端的状态标识为第二标识值的情况下，确定所述终端的状态为离线状态。

在一些实施例中，处理器92，还用于：

检测所述终端是否满足转换条件；所述转换条件包括第一转换条件、第二转换条件中之一；

在检测到所述终端满足所述第一转换条件的情况下，触发所述终端从所述在线状态转换为所述离线状态；

在检测到所述终端满足所述第二转换条件的情况下，触发所述终端从所述离线状态转换为所述在线状态。

在一些实施例中，处理器92，具体用于：

基于所述安全策略中止针对所述第一应用的交易。

在一些实施例中，处理器92，具体用于：

在所述第一应用包括数字钱包的情况下，基于所述安全策略中止针对所述数字钱包的交易。

这里，所述智能卡上设置有自服务API；通过所述自服务API的调用供所述第一应用查询终端的状态，或者供所述第一应用更新自身的状态为注销状态；其中，

所述自服务API包括以下至少之一：

应用注册事件的API；应用取消注册事件的API；判断事件是否已注册的API；应用处理事件的API；应用状态设置的API；终端在线状态查询的API。

在一些实施例中，通信接口91，还用于：

在所述自服务API包括所述终端在线状态查询的API的情况下，通过调用所述终端在线状态查询的API，向所述第一应用发送确定的所述终端的状态，以使所述第一应用在所述终端的状态为离线状态的情况下，基于设定的安全策略对针对所述第一应用的交易进行安全控制；其中，所述安全策略表征禁止针对所述第一应用进行离线交易。

需要说明的是，通信接口91和处理器92的具体处理过程详见方法实施例，这里不再赘述。

当然，实际应用时，智能卡90中的各个组件通过总线系统94耦合在一起。可以理解，总线系统94用于实现这些组件之间的连接通信。总线系统94除包括数据总线之外，还包括电源总线、控制总线和状态信号总线。但是为了清楚说明起见，在图9中将各种总线都标为总线系统94。

本申请实施例中的存储器93用于存储各种类型的数据以支持智能卡90的操作。这些数据的示例包括：用于在智能卡90上操作的任何计算机程序。

上述本申请实施例揭示的交易的安全控制方法可以应用于处理器92中，或者由处理器92实现。处理器92可能是一种集成电路芯片，具有信号的处理能力。在实现过程中，上述方法的各步骤可以通过处理器92中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器92可以是通用处理器、数字信号处理器(DSP，Digital Signal Processor)，或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。处理器92可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本申请实施例所公开的方法的步骤，可以直接体现为硬件译码处理器执行完成，或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于存储介质中，该存储介质位于存储器93，处理器92读取存储器93中的信息，结合其硬件完成前述交易的安全控制方法的步骤。

在示例性实施例中，智能卡90可以被一个或多个应用专用集成电路(ASIC，Application Specific Integrated Circuit)、DSP、可编程逻辑器件(PLD，ProgrammableLogic Device)、复杂可编程逻辑器件(CPLD，Complex Programmable Logic Device)、现场可编程门阵列(FPGA，Field-Programmable Gate Array)、通用处理器、控制器、微控制器(MCU，Micro Controller Unit)、微处理器(Microprocessor)或者其他电子元件实现，用于执行前述交易的安全控制方法。

可以理解，本申请实施例的存储器93可以是易失性存储器或者非易失性存储器，也可包括易失性和非易失性存储器两者。其中，非易失性存储器可以是只读存储器(ROM，Read Only Memory)、可编程只读存储器(PROM，Programmable Read-Only Memory)、可擦除可编程只读存储器(EPROM，Erasable Programmable Read-Only Memory)、电可擦除可编程只读存储器(EEPROM，Electrically Erasable Programmable Read-Only Memory)、磁性随机存取存储器(FRAM，Ferromagnetic Random Access Memory)、快闪存储器(FlashMemory)、磁表面存储器、光盘、或只读光盘(CD-ROM，Compact Disc Read-Only Memory)；磁表面存储器可以是磁盘存储器或磁带存储器。

易失性存储器可以是随机存取存储器(RAM，Random Access Memory)，其用作外部高速缓存。通过示例性但不是限制性说明，许多形式的RAM可用，例如静态随机存取存储器(SRAM，Static Random Access Memory)、同步静态随机存取存储器(SSRAM，SynchronousStatic Random Access Memory)、动态随机存取存储器(DRAM，Dynamic Random AccessMemory)、同步动态随机存取存储器(SDRAM，Synchronous Dynamic Random AccessMemory)、双倍数据速率同步动态随机存取存储器(DDRSDRAM，Double Data RateSynchronous Dynamic Random Access Memory)、增强型同步动态随机存取存储器(ESDRAM，Enhanced Synchronous Dynamic Random Access Memory)、同步连接动态随机存取存储器(SLDRAM，Sync Link Dynamic Random Access Memory)、直接内存总线随机存取存储器(DRRAM，Direct Rambus Random Access Memory)。本申请实施例描述的存储器旨在包括但不限于这些和任意其它适合类型的存储器。

在示例性实施例中，本申请实施例还提供了一种存储介质，即计算机存储介质，具体可为计算机可读存储介质，例如包括存储计算机程序的存储器93，上述计算机程序可由智能卡90的处理器92执行，以完成前述交易的安全控制方法的步骤。其中，计算机可读存储介质可以是FRAM、ROM、PROM、EPROM、EEPROM、Flash Memory、磁表面存储器、光盘或CD-ROM等存储器；也可以是包括上述存储器之一或任意组合的各种设备。

在本申请实施例中，所涉及的术语“第一”、“第二”等仅仅是用于区别类似的对象，不代表针对对象的特定的顺序或先后次序，可以理解地，“第一”、“第二”等在允许的情况下可以互换特定的顺序或先后次序，以使这里描述的本申请实施例能够以除了在这里图示或描述的以外的顺序实施。

以上所述，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应以所述权利要求的保护范围为准。