專利名稱:使用運(yùn)營商根證書控制應(yīng)用的安裝的方法和裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種在包括對(duì)其的訪問受到控制的安全執(zhí)行環(huán)境的裝置中控制應(yīng)用的安裝的方法和一種包括對(duì)其的訪問受到控制的安全執(zhí)行環(huán)境的通信裝置。
背景技術(shù):
例如移動(dòng)遠(yuǎn)程通信終端、便攜式計(jì)算機(jī)和PDA的各種電子裝置需要對(duì)諸如應(yīng)用程序、密碼密鑰、密碼密鑰數(shù)據(jù)材料、中間密碼計(jì)算結(jié)果、口令、外部下載的數(shù)據(jù)的認(rèn)證部件等的安全相關(guān)的組件進(jìn)行訪問。這些組件和它們的處理在電子裝置中保密常常是必要的。理想的情況下,應(yīng)該盡可能少的人知道它們,因?yàn)槿绻浒踩嚓P(guān)的組件被知道,則裝置可能被篡改。對(duì)這些類型的組件的訪問可能幫助有惡意操縱終端的攻擊者。
因此,引入安全執(zhí)行環(huán)境,在此環(huán)境中,電子裝置內(nèi)的處理器可以訪問安全相關(guān)的組件。應(yīng)該小心控制對(duì)安全執(zhí)行環(huán)境的訪問、在其中的處理以及從其中的退出。包括此安全環(huán)境的現(xiàn)有技術(shù)硬件常常被放在防篡改封裝內(nèi)。對(duì)該類型的硬件探測(cè)或執(zhí)行測(cè)量和測(cè)試不應(yīng)該是可能的,這可能導(dǎo)致泄漏安全相關(guān)的組件和它們的處理。
由JSR 118專家組提出的用于JavaTM2微版的“移動(dòng)信息裝置簡(jiǎn)檔”版本2.0(Mobile Information Device Profile″for JavaTM2MicroEdition,Version 2.0),下文稱為MIDP 2.0,定義實(shí)現(xiàn)移動(dòng)信息裝置(MID)的開放、第三方、應(yīng)用開發(fā)環(huán)境所需的一種增強(qiáng)的體系結(jié)構(gòu)和相關(guān)聯(lián)的應(yīng)用程序接口(API)。MID的例子包括蜂窩電話、雙向傳呼機(jī)和啟用無線的PDA。如果裝置確定可以信任MID應(yīng)用,則允許按裝置的安全策略所指示的訪問。通過認(rèn)證這些應(yīng)用的簽名者,簽名的應(yīng)用可以變成被信任的。
符合MIDP 2.0的裝置根據(jù)應(yīng)用的來源把應(yīng)用分配給不同的保護(hù)域。采用這些保護(hù)域以基于下載的應(yīng)用的簽名者區(qū)分下載的應(yīng)用。MIDP 2.0根據(jù)應(yīng)用的簽名者定義要使用的四種不同的保護(hù)域,即制造商域、運(yùn)營商域、第三方域和不受信域(untrusted domain),以及每種域都具有各自的安全策略。一旦將應(yīng)用下載到裝置,則裝置實(shí)施基于公共密鑰基礎(chǔ)設(shè)施(PKI)認(rèn)證方案來確定應(yīng)用所屬的域。裝置中的每個(gè)保護(hù)域保存用于對(duì)照來認(rèn)證應(yīng)用的根證書,以及域?qū)⒏C書綁定到一組許可權(quán)。這些許可權(quán)在保護(hù)域安全策略中指定。
受信運(yùn)營商根證書用于驗(yàn)證源于運(yùn)營商的應(yīng)用。該運(yùn)營商根證書存儲(chǔ)在智能卡中的特定位置,智能卡例如是裝置的SIM、WIM或USIM,以及對(duì)于可以存儲(chǔ)在卡中的運(yùn)營商根證書的數(shù)量沒有明確的限制。但是,如果在例如SIM中的指定位置沒有運(yùn)營商根證書,則必須禁用運(yùn)營商域。作為備選方式,因?yàn)樵S多運(yùn)營商尚未有設(shè)有運(yùn)營商根證書的SIM,所以如果運(yùn)營商根證書沒有存儲(chǔ)在裝置中的別處,則必須禁用運(yùn)營商域。通常,因?yàn)樵S多運(yùn)營商因成本方面的原因尚未有設(shè)有運(yùn)營商根證書的SIM,所以將運(yùn)營商根證書存儲(chǔ)在裝置中SIM外的位置。所期望的是,即使特定運(yùn)營商的運(yùn)營商根證書存儲(chǔ)在裝置中以及由運(yùn)營商簽名的應(yīng)用到達(dá)裝置,也只有位于裝置中的SIM已由特定運(yùn)營商發(fā)行,才在安全執(zhí)行環(huán)境中安裝簽名的應(yīng)用。
現(xiàn)有技術(shù)中與裝置中運(yùn)營商域的實(shí)施相關(guān)的問題是,因?yàn)樵谥圃祀A段不同的運(yùn)營商根證書被存儲(chǔ)在裝置中,所以如果特定運(yùn)營商的運(yùn)營商根證書存儲(chǔ)在裝置中,則來自特定運(yùn)營商的簽名的應(yīng)用可以在裝置的安全執(zhí)行環(huán)境被成功地認(rèn)證并被安裝在其中。顯然,這違反了MIDP 2.0規(guī)范,而且不符合該規(guī)范的安全框架。
發(fā)明概述因此,本發(fā)明的目的在于解決上文給出的問題以及提供一種解決方案,其中,只有對(duì)應(yīng)于簽名的應(yīng)用的運(yùn)營商根證書已由已發(fā)行智能卡的同一個(gè)運(yùn)營商發(fā)行,簽名的應(yīng)用才會(huì)成功地被安裝在裝置的安全執(zhí)行環(huán)境中,其中智能卡例如是位于裝置中的SIM。
該目的通過一種如權(quán)利要求1所述的在包括對(duì)其的訪問受到控制的安全執(zhí)行環(huán)境的通信裝置中控制應(yīng)用的安裝的方法以及一種如權(quán)利要求10所述的包括對(duì)其的訪問受到控制的安全執(zhí)行環(huán)境的通信裝置來解決。通過從屬權(quán)利要求限定優(yōu)選實(shí)施例。
根據(jù)本發(fā)明的第一方面,提供一種方法,其中將應(yīng)用加載到通信裝置中。通信裝置驗(yàn)證應(yīng)用始發(fā)于受信運(yùn)營商,標(biāo)識(shí)受信運(yùn)營商和位于通信裝置中的智能卡的發(fā)行者。再者,通信裝置將受信運(yùn)營商的身份與智能卡的發(fā)行者的身份比較,以及如果受信運(yùn)營商的身份對(duì)應(yīng)于智能卡的發(fā)行者的身份,則在通信裝置的安全執(zhí)行環(huán)境中安裝驗(yàn)證的應(yīng)用。
根據(jù)本發(fā)明的第二方面,提供一種通信裝置,該裝置包括安排為執(zhí)行如下操作的部件將應(yīng)用加載到通信裝置中,驗(yàn)證應(yīng)用始發(fā)于受信運(yùn)營商,標(biāo)識(shí)受信運(yùn)營商和位于通信裝置中的智能卡的發(fā)行者,將受信運(yùn)營商的身份與智能卡的發(fā)行者的身份比較;以及如果受信運(yùn)營商的身份對(duì)應(yīng)于智能卡的發(fā)行者的身份,則在安全執(zhí)行環(huán)境中安裝驗(yàn)證的應(yīng)用。
本發(fā)明的基本想法是,當(dāng)應(yīng)用到達(dá)并加載到例如移動(dòng)遠(yuǎn)程通信終端、PDA或便攜式計(jì)算機(jī)的裝置中時(shí),裝置驗(yàn)證應(yīng)用始發(fā)于受信運(yùn)營商。受信運(yùn)營商是由裝置或裝置制造商授權(quán)向裝置提供應(yīng)用的運(yùn)營商,即運(yùn)營商和裝置制造商彼此相互信任。驗(yàn)證意味著應(yīng)用必須以安全方式向裝置確保它始發(fā)于受信運(yùn)營商。裝置標(biāo)識(shí)受信運(yùn)營商以及位于裝置中的如SIM的智能卡的發(fā)行者。之后,裝置將受信運(yùn)營商的身份與SIM的發(fā)行者的身份比較,以及如果所述受信運(yùn)營商的身份對(duì)應(yīng)于SIM的發(fā)行者的身份,則將先前驗(yàn)證的應(yīng)用安裝在裝置的安全執(zhí)行環(huán)境中。本發(fā)明是有利的,因?yàn)榧虞d到裝置中且已驗(yàn)證是始發(fā)于受信運(yùn)營商的運(yùn)營商應(yīng)用將僅在裝置的SIM卡已由同一個(gè)受信運(yùn)營商發(fā)行的情況下才被安裝在裝置的安全執(zhí)行環(huán)境中。這對(duì)于在MIDP 2.0規(guī)范下操作并由此符合MIDP 2.0規(guī)范的裝置是必要的,因?yàn)榉駝t裝置違反所述規(guī)范。
根據(jù)本發(fā)明的一個(gè)實(shí)施例,加載到裝置中的應(yīng)用由受信運(yùn)營商簽名。應(yīng)用始發(fā)于受信運(yùn)營商的驗(yàn)證通過對(duì)照運(yùn)營商證書認(rèn)證簽名的應(yīng)用來實(shí)現(xiàn),該證書意味著運(yùn)營商被信任。應(yīng)用的簽名和認(rèn)證基于X.509PKI方案。運(yùn)營商證書對(duì)應(yīng)于簽名的應(yīng)用,它存儲(chǔ)在裝置中,并已由受信運(yùn)營商發(fā)行。該實(shí)施例為應(yīng)用的安裝帶來高度的安全。根據(jù)本發(fā)明的其他實(shí)施例,在裝置通過從運(yùn)營商證書提取標(biāo)識(shí)受信運(yùn)營商的第一運(yùn)營商標(biāo)識(shí)符來執(zhí)行受信運(yùn)營商的標(biāo)識(shí)。再者,通過從位于裝置中的智能卡的國際移動(dòng)用戶身份(IMSI)碼中提取標(biāo)識(shí)發(fā)行者的第二運(yùn)營商標(biāo)識(shí)符、即IMSI碼中存在的特定運(yùn)營商ID來執(zhí)行該智能卡的發(fā)行者的標(biāo)識(shí)。這是獲取相應(yīng)標(biāo)識(shí)的直接且平穩(wěn)的方式。
根據(jù)本發(fā)明的另一個(gè)實(shí)施例,用于執(zhí)行簽名的應(yīng)用的認(rèn)證、檢查裝置SIM是否符合特定運(yùn)營商根證書以及安裝認(rèn)證的應(yīng)用的機(jī)構(gòu)包括在裝置中實(shí)施的微處理器,該微處理器執(zhí)行Java實(shí)施。該實(shí)施例是有利的,因?yàn)樗鼮檠b置帶來靈活性。如果微處理器以及由此裝置的操作需要修改或改變,這可以通過修改Java實(shí)施來實(shí)現(xiàn)。因此無需在實(shí)際的裝置硬件方面作更改。再者,MIDP 2.0規(guī)范針對(duì)的是實(shí)施Java的平臺(tái)。
當(dāng)研讀所附權(quán)利要求和下文說明時(shí)將逐漸明了本發(fā)明的其他特征和優(yōu)點(diǎn)。本領(lǐng)域技術(shù)人員認(rèn)識(shí)到可以組合本發(fā)明的不同特征來創(chuàng)建非下文所述的那些實(shí)施例的實(shí)施例。
附圖簡(jiǎn)要說明現(xiàn)在將參考如下附圖更詳細(xì)地描述本發(fā)明,圖中
圖1示出可以有利地將本發(fā)明應(yīng)用于其中的用于提供數(shù)據(jù)安全的裝置體系結(jié)構(gòu)的框圖;圖2示出可以有利地將本發(fā)明應(yīng)用于其中且還安排有可拆除智能卡的用于提供數(shù)據(jù)安全的裝置體系結(jié)構(gòu)的框圖;圖3示出根據(jù)本發(fā)明的一個(gè)實(shí)施例用于在包括安全執(zhí)行環(huán)境的裝置中控制應(yīng)用的安裝的流程圖;以及圖4示出根據(jù)本發(fā)明的另一個(gè)實(shí)施例用于在包括安全執(zhí)行環(huán)境的裝置中控制應(yīng)用的安裝的流程圖。
發(fā)明的優(yōu)選實(shí)施例說明圖1中示出一種用于提供符合MIDP 2.0規(guī)范的數(shù)據(jù)安全的裝置體系結(jié)構(gòu)。這種系統(tǒng)還在本申請(qǐng)人的國際專利申請(qǐng)PCT/IB02/03216中予以公開,該申請(qǐng)通過引用結(jié)合于本文。用于提供數(shù)據(jù)安全的電路以ASIC(專用集成電路)101的形式實(shí)施。該體系結(jié)構(gòu)的處理部分包含CPU 103和數(shù)字信號(hào)處理器(DSP)102。ASIC 101包括在如移動(dòng)遠(yuǎn)程通信終端、便攜式計(jì)算機(jī)、PDA等的電子設(shè)備100中并且被視為設(shè)備100的“大腦”。
安全環(huán)境104包括從其引導(dǎo)ASIC 101的ROM 105。該ROM 105包含引導(dǎo)應(yīng)用軟件和操作系統(tǒng)。駐留在安全環(huán)境104中的某些應(yīng)用程序優(yōu)先于其他應(yīng)用程序。在可以安排ASIC 101的移動(dòng)遠(yuǎn)程通信終端中,應(yīng)該存在引導(dǎo)軟件,該軟件包括終端的主要功能。沒有該軟件,引導(dǎo)終端到正常操作模式是不可能的。這具有如下優(yōu)勢(shì)通過控制該引導(dǎo)軟件,還可能的是控制每個(gè)終端的初始激活。
安全環(huán)境104還包括用于存儲(chǔ)數(shù)據(jù)和應(yīng)用、即受保護(hù)數(shù)據(jù)的RAM106。RAM 106優(yōu)選地存儲(chǔ)通常所說的受保護(hù)應(yīng)用,這些受保護(hù)應(yīng)用是用于在安全環(huán)境104內(nèi)執(zhí)行安全關(guān)鍵的操作的較小的應(yīng)用,但還是諸如密碼密鑰、中間密碼計(jì)算結(jié)果和口令的對(duì)象。正常情況下,采用受保護(hù)應(yīng)用的方式是允許“正?!睉?yīng)用向某個(gè)受保護(hù)應(yīng)用請(qǐng)求服務(wù)??梢栽谌魏螘r(shí)候?qū)⑿碌氖鼙Wo(hù)應(yīng)用下載到安全環(huán)境104中,如果它們駐留在ROM,則不會(huì)是這種情況。安全環(huán)境104軟件控制受保護(hù)應(yīng)用的下載和執(zhí)行。僅允許簽名的受保護(hù)應(yīng)用運(yùn)行。受保護(hù)應(yīng)用可以訪問安全環(huán)境104中的任何資源,并且它們還可以與正常應(yīng)用通信以提供安全服務(wù)。
在本發(fā)明的一個(gè)實(shí)施例中,安全環(huán)境軟件包括Java實(shí)施,因?yàn)镴ava是在MIDP 2.0規(guī)范下使用的語言。為使裝置在MIDP 2.0的范圍以外令人滿意地起作用,可以使用任何適合的語言來實(shí)施要求的功能。
在安全環(huán)境104中,包括熔絲(fuse)存儲(chǔ)器107,它包含在制造期間生成并編程到ASIC 101中的唯一隨機(jī)數(shù)。該隨機(jī)數(shù)用作特定ASIC 101的身份,并還用于推導(dǎo)密碼操作的密鑰。再者,在安全環(huán)境104中安排安全控制寄存器形式的存儲(chǔ)電路訪問控制部件。安全控制寄存器的用途是,根據(jù)寄存器中設(shè)置的模式,允許CPU 103訪問安全環(huán)境104或阻止CPU 103訪問安全環(huán)境104。可以由應(yīng)用軟件在寄存器中設(shè)置CPU 103的操作模式,由此該體系結(jié)構(gòu)無需依賴外部信號(hào)。從安全角度來說,這是優(yōu)選的,因?yàn)橥ㄟ^控制應(yīng)用軟件,還可以控制處理器模式的設(shè)置。還可能的是使外部信號(hào)(未示出)連接到ASIC 101,據(jù)此信號(hào)設(shè)置安全控制寄存器是可能的。通過使用外部信號(hào),可以容易和快速地執(zhí)行模式更改,這在測(cè)試環(huán)境中可以是有利的。這兩種模式設(shè)置方式的組合、即應(yīng)用軟件以及外部信號(hào)是可行的。
該體系結(jié)構(gòu)還包括標(biāo)準(zhǔn)橋接電路109,用于限制總線108上的數(shù)據(jù)可視性。該體系結(jié)構(gòu)應(yīng)該被放在防篡改封裝內(nèi)。對(duì)該類型的硬件探測(cè)或執(zhí)行測(cè)量和測(cè)試不應(yīng)該是可能的,這可能導(dǎo)致泄漏安全相關(guān)的組件和它們的處理。DSP 102可以訪問如直接存儲(chǔ)器訪問(DMA)單元、RAM、閃速存儲(chǔ)器的其他外圍裝置110以及可以在ASIC 101的外部提供附加的處理器。
圖2中示出用于提供數(shù)據(jù)安全的裝置體系結(jié)構(gòu)的另一個(gè)實(shí)施例,其中對(duì)應(yīng)的引用號(hào)表示結(jié)合圖1所述的對(duì)應(yīng)元件。與圖1所示的體系結(jié)構(gòu)相比,圖2中所示的體系結(jié)構(gòu)中的不同之處是,電子設(shè)備200安排有可拆除智能卡211,例如SIM,它也被視為安全環(huán)境。出于安全目的,移動(dòng)終端200和智能卡211存儲(chǔ)由受信認(rèn)證機(jī)構(gòu)(CA)發(fā)行的數(shù)字證書。證書用于向與移動(dòng)終端200和/或智能卡211通信的操作者確保特定證書的持有者已由對(duì)應(yīng)受信CA授權(quán)。CA簽名于證書,以及證書持有者必須持有公共密鑰,該公共密鑰對(duì)應(yīng)于CA的私有密鑰以驗(yàn)證由CA簽名的證書是有效的。注意不同的裝置可以持有來自不同CA的證書。在該情況中,不同的CA必須彼此執(zhí)行一些通信,例如交換它們自己的公共密鑰。證書對(duì)于本領(lǐng)域技術(shù)人員來說是眾所周知的,以及眾所周知的標(biāo)準(zhǔn)證書是CCITT建議X.509中包含的證書。
根據(jù)MIDP 2.0規(guī)范,證書可以由各種CA發(fā)行。即,受信制造商發(fā)行制造商根證書,受信運(yùn)營商發(fā)行運(yùn)營商根證書以及受信第三方發(fā)行第三方根證書。因?yàn)檫@些證書是安全相關(guān)的組件,所以這些證書本身存儲(chǔ)在安全環(huán)境中,并還在安全環(huán)境中執(zhí)行它們的安全相關(guān)處理。不受信應(yīng)用是未簽名的或不設(shè)有相似的受信標(biāo)識(shí)符而且由此無法被裝置信任的應(yīng)用。當(dāng)運(yùn)行不受信應(yīng)用時(shí)必須采用慎重的方法。它們必須在安全執(zhí)行環(huán)境外執(zhí)行,并且不能允許它們完全訪問安全組件。作為備選方式,不允許它們跨安全環(huán)境接口交換信息。作為另一個(gè)備選方式,其中實(shí)施更嚴(yán)格的過程,根本不允許不受信應(yīng)用安裝在裝置中。
圖3中示出根據(jù)本發(fā)明的一個(gè)實(shí)施例、一種在裝置的安全執(zhí)行環(huán)境中控制應(yīng)用的安裝的方法。在步驟301中,將設(shè)有確保應(yīng)用實(shí)際上發(fā)于受信運(yùn)營商的某種類型的保證的應(yīng)用、即受保護(hù)應(yīng)用加載到裝置中。然后在步驟302中,裝置的CPU通過分析所述保證來驗(yàn)證應(yīng)用始發(fā)于受信運(yùn)營商。在步驟303中,當(dāng)應(yīng)用已通過驗(yàn)證時(shí),CPU標(biāo)識(shí)始發(fā)應(yīng)用的受信運(yùn)營商。該方法繼續(xù)到步驟304,其中標(biāo)識(shí)位于通信裝置中的智能卡、例如SIM的發(fā)行者。在步驟305中,CPU將受信運(yùn)營商的身份與SIM的發(fā)行者的身份比較以檢查這兩個(gè)身份之間是否對(duì)應(yīng)。在步驟306中,如果受信運(yùn)營商的身份對(duì)應(yīng)于SIM的發(fā)行者的身份,即SIM的發(fā)行者也已發(fā)行應(yīng)用,則將驗(yàn)證的應(yīng)用安裝在裝置的安全執(zhí)行環(huán)境中。但是,如果在步驟306中,受信運(yùn)營商的身份不對(duì)應(yīng)于SIM的發(fā)行者的身份,即SIM的發(fā)行者未發(fā)行驗(yàn)證的應(yīng)用,則將不把驗(yàn)證的應(yīng)用安裝在裝置的安全執(zhí)行環(huán)境中。
注意,在步驟306,因?yàn)轵?yàn)證的應(yīng)用已通過認(rèn)證,可以將它安裝在裝置的安全執(zhí)行環(huán)境外,即使SIM的發(fā)行者未發(fā)行應(yīng)用。因此,如上所述,將允許它對(duì)安全相關(guān)組件進(jìn)行受限的訪問。作為備選方式,如果受信運(yùn)營商的身份不對(duì)應(yīng)于SIM的發(fā)行者的身份,則根本不將驗(yàn)證的應(yīng)用安裝在裝置中。
圖4中示出根據(jù)本發(fā)明的另一個(gè)實(shí)施例、一種在裝置的安全執(zhí)行環(huán)境中控制應(yīng)用的安裝的方法。在步驟401中,將簽名的應(yīng)用、即受保護(hù)應(yīng)用加載到裝置中。然后,在步驟402中,裝置的CPU對(duì)照存儲(chǔ)在裝置中的運(yùn)營商根證書認(rèn)證簽名的應(yīng)用。該運(yùn)營商根證書已由與簽名于應(yīng)用的是同一個(gè)運(yùn)營商的受信運(yùn)營商發(fā)行。由此,證書包含對(duì)應(yīng)于已由受信運(yùn)營商用于簽名于應(yīng)用的私有密鑰的公共密鑰。注意在與圖4相關(guān)的描述中,假定(i)實(shí)際上應(yīng)用已簽名以及(ii)裝置持有對(duì)應(yīng)于簽名的應(yīng)用的運(yùn)營商根證書。在應(yīng)用未簽名的情況中,即它是不被信任的,則方法將在步驟402之后終止,因?yàn)檎J(rèn)證應(yīng)用是不可能的。作為任選方式,可以將不受信應(yīng)用安裝在裝置的安全執(zhí)行環(huán)境外,如前文所述。在裝置未持有運(yùn)營商根證書的情況中,該方法也將在步驟402之后終止,因?yàn)檎J(rèn)證應(yīng)用是不可能的。
在步驟403中,當(dāng)對(duì)照運(yùn)營商根證書已認(rèn)證簽名的應(yīng)用時(shí),CPU從運(yùn)營商證書提取第一運(yùn)營商標(biāo)識(shí)符。該第一標(biāo)識(shí)符標(biāo)識(shí)已發(fā)行運(yùn)營商根證書的受信運(yùn)營商。該方法繼續(xù)到步驟404,其中從位于裝置中的SIM的IMSI碼中提取第二運(yùn)營商標(biāo)識(shí)符。該第二標(biāo)識(shí)符標(biāo)識(shí)SIM的發(fā)行者。在步驟405中,CPU將第一運(yùn)營商標(biāo)識(shí)符與第二運(yùn)營商標(biāo)識(shí)符比較以檢查這兩個(gè)標(biāo)識(shí)符之間是否對(duì)應(yīng)。在步驟406中,如果第一運(yùn)營商ID對(duì)應(yīng)于第二運(yùn)營商ID,即SIM的發(fā)行者也簽名于應(yīng)用,則將認(rèn)證的應(yīng)用安裝在裝置的安全執(zhí)行環(huán)境中。但是,如果在步驟406中,第一運(yùn)營商ID不對(duì)應(yīng)于第二運(yùn)營商ID,即SIM的發(fā)行者未簽名于應(yīng)用,則不將認(rèn)證的應(yīng)用安裝在裝置的安全執(zhí)行環(huán)境中。注意,在步驟406,因?yàn)楹灻膽?yīng)用已通過認(rèn)證,可以將它安裝在裝置的安全執(zhí)行環(huán)境外,即使SIM的發(fā)行者未簽名于應(yīng)用。因此,如上所述,將允許它對(duì)安全相關(guān)組件進(jìn)行受限的訪問。同樣,如果受信運(yùn)營商的身份不對(duì)應(yīng)于SIM的發(fā)行者的身份,則作為備選方式根本不將驗(yàn)證的應(yīng)用安裝在裝置中。
即使參考本發(fā)明的特定示范實(shí)施例對(duì)本發(fā)明進(jìn)行了描述,但是對(duì)于本領(lǐng)域技術(shù)人員顯然有許多不同的改變、修改及諸如此類。因此,并不旨在用所述實(shí)施例來限制由所附權(quán)利要求書限定的本發(fā)明范圍。
權(quán)利要求
1.一種在包括對(duì)其的訪問受到控制的安全執(zhí)行環(huán)境(104、204、211)的通信裝置(100、200)中控制應(yīng)用的安裝的方法,所述方法包括如下步驟將應(yīng)用加載(301)到所述通信裝置中;在所述通信裝置驗(yàn)證(302)所述應(yīng)用始發(fā)于受信運(yùn)營商;在所述通信裝置標(biāo)識(shí)(303)所述受信運(yùn)營商;在所述通信裝置標(biāo)識(shí)(304)位于所述通信裝置中的智能卡(211)的發(fā)行者;在所述通信裝置將所述受信運(yùn)營商的身份與所述智能卡的發(fā)行者的身份比較(305);以及如果所述受信運(yùn)營商的身份對(duì)應(yīng)于所述智能卡的發(fā)行者的身份,在所述通信裝置的安全執(zhí)行環(huán)境中安裝(306)所驗(yàn)證的應(yīng)用。
2.如權(quán)利要求1所述的方法,其中加載(401)到所述通信裝置(100、200)中的應(yīng)用由所述受信運(yùn)營商簽名,以及所述驗(yàn)證所述應(yīng)用始發(fā)于受信運(yùn)營商的步驟包括對(duì)照對(duì)應(yīng)于所簽名的應(yīng)用的運(yùn)營商證書認(rèn)證(402)所述所簽名的應(yīng)用,所述運(yùn)營商證書存儲(chǔ)在所述通信裝置中且已由所述受信運(yùn)營商發(fā)行。
3.如權(quán)利要求2所述的方法,其中所述標(biāo)識(shí)所述受信運(yùn)營商的步驟包括從所述運(yùn)營商證書提取(403)第一運(yùn)營商標(biāo)識(shí)符,所述第一標(biāo)識(shí)符標(biāo)識(shí)所述受信運(yùn)營商。
4.如權(quán)利要求1-3中任何一項(xiàng)所述的方法,其中所述標(biāo)識(shí)位于所述通信裝置(100、200)中的智能卡(211)的發(fā)行者的步驟包括從所述智能卡的身份碼提取(404)第二運(yùn)營商標(biāo)識(shí)符,所述第二標(biāo)識(shí)符標(biāo)識(shí)已發(fā)行所述智能卡的運(yùn)營商。
5.如權(quán)利要求4所述的方法,其中所述身份碼包括IMSI碼。
6.如前述權(quán)利要求中任何一項(xiàng)所述的方法,其中所述步驟由執(zhí)行Java實(shí)施的微處理器(103、203)來執(zhí)行,所述微處理器被包括在所述通信裝置(100、200)中。
7.如前述權(quán)利要求中任何一項(xiàng)所述的方法,其中所述通信裝置(100、200)是移動(dòng)遠(yuǎn)程通信終端。
8.如前述權(quán)利要求中任何一項(xiàng)所述的方法,其中所述智能卡(211)是SIM、WIM或USIM。
9.如前述權(quán)利要求中任何一項(xiàng)所述的方法,其中所述通信裝置(100、200)包括用于提供數(shù)據(jù)安全的電路(101、201),所述電路包含至少一個(gè)處理器(103、203)和至少一個(gè)存儲(chǔ)電路(104、204、211)以及所述電路(101、201)包括所述存儲(chǔ)電路(104、204、211)中的至少一個(gè)存儲(chǔ)區(qū),與通信裝置安全相關(guān)的受保護(hù)數(shù)據(jù)位于所述存儲(chǔ)區(qū)中;模式設(shè)置部件,安排為將所述處理器設(shè)置為至少兩個(gè)不同的操作模式之一,所述模式設(shè)置部件能夠改變處理器操作模式;存儲(chǔ)電路訪問控制部件,安排為當(dāng)設(shè)置第一處理器操作模式時(shí)使所述處理器能夠訪問所述受保護(hù)數(shù)據(jù)所在的所述存儲(chǔ)區(qū);以及存儲(chǔ)電路訪問控制部件,安排為當(dāng)設(shè)置第二處理器操作模式時(shí)阻止所述處理器訪問受保護(hù)數(shù)據(jù)所在的所述存儲(chǔ)區(qū)。
10.一種包括對(duì)其的訪問受到嚴(yán)格控制的安全執(zhí)行環(huán)境(104、204、211)的通信裝置(100、200),以及安排為執(zhí)行如下操作的部件(103、203)將應(yīng)用加載到所述通信裝置中,驗(yàn)證所述應(yīng)用始發(fā)于受信運(yùn)營商,標(biāo)識(shí)所述受信運(yùn)營商和位于所述通信裝置中的智能卡(211)的發(fā)行者,將所述受信運(yùn)營商的身份與所述智能卡的發(fā)行者的身份比較,以及如果所述受信運(yùn)營商的身份對(duì)應(yīng)于所述智能卡的發(fā)行者的身份,則在所述安全執(zhí)行環(huán)境中安裝所驗(yàn)證的應(yīng)用。
11.如權(quán)利要求10所述的通信裝置(100、200),其中加載到所述通信裝置中的應(yīng)用由所述受信運(yùn)營商簽名以及所述部件(103、203)還安排為對(duì)照對(duì)應(yīng)于所簽名的應(yīng)用的運(yùn)營商證書認(rèn)證所述所簽名的應(yīng)用,所述運(yùn)營商證書存儲(chǔ)在所述通信裝置中且已由所述受信運(yùn)營商發(fā)行。
12.如權(quán)利要求11所述的通信裝置(100、200),其中所述部件(103、203)還安排為從所述運(yùn)營商證書提取第一運(yùn)營商標(biāo)識(shí)符,所述第一標(biāo)識(shí)符標(biāo)識(shí)所述受信運(yùn)營商。
13.如權(quán)利要求10-12中任何一項(xiàng)所述的通信裝置(100、200),其中所述部件(103、203)還安排為從所述智能卡的身份碼提取第二運(yùn)營商標(biāo)識(shí)符,所述第二標(biāo)識(shí)符標(biāo)識(shí)已發(fā)行所述智能卡的運(yùn)營商。
14.如權(quán)利要求13所述的通信裝置(100、200),其中所述身份碼包括IMSI碼。
15.如權(quán)利要求10-14中任何一項(xiàng)所述的通信裝置(100、200),其中所述部件(103、203)由執(zhí)行Java實(shí)施的微處理器來實(shí)施。
16.如權(quán)利要求10-15中任何一項(xiàng)所述的通信裝置(100、200),其中所述通信裝置是移動(dòng)遠(yuǎn)程通信終端。
17.如權(quán)利要求10-16中任何一項(xiàng)所述的通信裝置(100、200),其中所述智能卡(211)是SIM、WIM或USIM。
18.如權(quán)利要求10-17中任何一項(xiàng)所述的通信裝置,其中所述通信裝置(100、200)包括用于提供數(shù)據(jù)安全的電路(101、201),所述電路包含至少一個(gè)處理器(103、203)和至少一個(gè)存儲(chǔ)電路(104、204、211)以及所述電路包括所述存儲(chǔ)電路中的至少一個(gè)存儲(chǔ)區(qū),其中與電路安全相關(guān)的受保護(hù)數(shù)據(jù)位于所述存儲(chǔ)區(qū)中;模式設(shè)置部件,安排為將所述處理器設(shè)置為至少兩個(gè)不同的操作模式之一,所述模式設(shè)置部件能夠改變處理器操作模式;存儲(chǔ)電路訪問控制部件,安排為當(dāng)設(shè)置第一處理器操作模式時(shí)使所述處理器能夠訪問所述受保護(hù)數(shù)據(jù)所在的所述存儲(chǔ)區(qū);以及存儲(chǔ)電路訪問控制部件,安排為當(dāng)設(shè)置第二處理器操作模式時(shí)阻止所述處理器訪問受保護(hù)數(shù)據(jù)所在的所述存儲(chǔ)區(qū)。
全文摘要
本發(fā)明涉及一種在通信裝置(100、200)中控制應(yīng)用的安裝的方法和包括對(duì)其的訪問受到嚴(yán)格控制的安全執(zhí)行環(huán)境(104、204、211)的通信裝置(100、200)。本發(fā)明的想法是,當(dāng)將應(yīng)用加載到裝置中時(shí),裝置驗(yàn)證應(yīng)用始發(fā)于受信運(yùn)營商。驗(yàn)證意味著應(yīng)用必須以安全方式向裝置確保它始發(fā)于受信運(yùn)營商。裝置標(biāo)識(shí)受信運(yùn)營商以及位于裝置中的SIM(211)的發(fā)行者。之后,裝置將受信運(yùn)營商的身份與SIM的發(fā)行者的身份比較,以及如果所述受信運(yùn)營商的身份對(duì)應(yīng)于SIM的發(fā)行者的身份,則將先前驗(yàn)證的應(yīng)用安裝在裝置的安全執(zhí)行環(huán)境中。
文檔編號(hào)G06F21/53GK1886747SQ200380110969
公開日2006年12月27日 申請(qǐng)日期2003年11月7日 優(yōu)先權(quán)日2003年11月7日
發(fā)明者K·維迪亞納坦 申請(qǐng)人:諾基亞有限公司