專利名稱:以隔離方式提供電子服務(wù)的方法
技術(shù)領(lǐng)域:
本發(fā)明的領(lǐng)^A移動(dòng)終端領(lǐng)域�����,更具體而言�,是通過(guò)這些移動(dòng)終端所 提供的^^務(wù)的領(lǐng)域。"移動(dòng)終端" 一詞應(yīng)理解為第二代或高于第二^^的移 動(dòng)電話���。廣義地講��,移動(dòng)終端是任何可通過(guò)網(wǎng)絡(luò)來(lái)通信并可由人無(wú)需幫助 地?cái)y帶的裝置�。因此,上述移動(dòng)終端至少包括移動(dòng)電話�、個(gè)人數(shù)字助理和 便攜式電腦。
背景技術(shù):
現(xiàn)有技術(shù)中有公知的移動(dòng)電話軟件平臺(tái)允許在移動(dòng)電話上提供移動(dòng) 電話服務(wù)以外的服務(wù)�����。這些解決方案之一是將服務(wù)寫(xiě)入嵌入電話的芯片中��。在這種情況下����, 服務(wù)專用于提供者和該服務(wù)的用戶�。如果要增加服務(wù),就需要增加電話中 的芯片��,也就是還需要增加連接器端子����,這很快會(huì)變得非常昂貴。然而����,這種方案確保了服務(wù)之間的有效隔離(cloisonnement):這些服務(wù)實(shí)際上 都對(duì)應(yīng)于不同的芯片并因此對(duì)應(yīng)于不同的物理存儲(chǔ)器。然而���,實(shí)現(xiàn)一種以 上的服務(wù)的成本是難以接受的���。這些方法中的另一種方案是應(yīng)用安全域概念的純軟件架構(gòu)�。安全^A 在移動(dòng)電話的操作系統(tǒng)層面或在操作系統(tǒng)的上層(surcouche)定義的���。 例如���,這樣的上層是一種Java型虛擬機(jī)。安全域具有至少一個(gè)被分成程 序區(qū)和數(shù)據(jù)區(qū)的存儲(chǔ)器區(qū)�。操作系統(tǒng)或所述上層的機(jī)制確保了安全域的程 序區(qū)的指令代碼只能訪問(wèn)所述安全域的數(shù)據(jù)區(qū)的數(shù)據(jù)。這種對(duì)安全域的訪 問(wèn)進(jìn)一步由一組密鑰(密鑰集)來(lái)保護(hù)��。這樣就有多個(gè)與安全域相關(guān)的密 鑰�。這樣,該技術(shù)領(lǐng)域引入了參與安全域的保護(hù)的密鑰集的概念����。依賴于 保護(hù)安全域的安全的需要,這些密鑰中的每個(gè)密鑰專用于一個(gè)非常確切的 作用或一個(gè)非常確切的安全功能��。下面列出的安全密鑰或安全功能的列表 并不是窮盡的���,但是����,對(duì)于一個(gè)域的安全床障,根據(jù)適合于所考慮的域的 安全需要��,可以使用多個(gè)密鑰��。這樣��,可以有一個(gè)密鑰用來(lái)實(shí)例化安全域 中的服務(wù)��, 一個(gè)密鑰用來(lái)激活這些服務(wù)�, 一個(gè)密鑰用來(lái)鑒權(quán)對(duì)這些服務(wù)的 訪問(wèn)�, 一個(gè)密鑰用來(lái)加密與這些服務(wù)的通信, 一個(gè)密鑰用來(lái)修改該安全域 的^lt�,即修改所述域的數(shù)據(jù)區(qū)的內(nèi)容。只有知道正確的密鑰�����,或知道訪 問(wèn)正確密鑰的方式�,才可以執(zhí)行想要的動(dòng)作。在底層的操作系統(tǒng)實(shí)現(xiàn)適當(dāng)?shù)母綦x(這是Java防火墻或沙箱的概念) 的情況下�����,則這些機(jī)制可以確保數(shù)據(jù)在不同的安全域之間的有效隔離。然 而�,這種方案具有至少一個(gè)主要缺陷。事實(shí)上�,服務(wù)是被給予看重其數(shù)據(jù) 的機(jī)密性的用戶。因此�����,每個(gè)用戶都有必要在每個(gè)服務(wù)使用者的移動(dòng)電話 中安裝不同的安全區(qū)��。因此�����,如果管理移動(dòng)電話的運(yùn)營(yíng)商希望將相同的受 到安全保護(hù)的服務(wù)提供給兩個(gè)不同的用戶�����,則他必須在使用者的終端上安 裝兩次安全域并提供兩組密鑰��,每個(gè)用戶一組����。這些安裝隨著服務(wù)的數(shù)量 以及每種服務(wù)或所有這些服務(wù)的用戶的數(shù)量的增加而增加。這導(dǎo)致必須可 用于移動(dòng)電話的資源的增加����,并因此導(dǎo)致其成本的增加和/或其對(duì)于給定 服務(wù)的性能的降低�����。在Java芯片(Java卡��,JavaCard )領(lǐng)域和"全球平臺(tái)(Global Platform)" (http:Vwww.globalplatform.org/) 的環(huán)境下提出了安全域 的概念��,但其遇到了相同的限制����,即為了針對(duì)不同數(shù)據(jù)來(lái)多次實(shí)例化同一 個(gè)"小應(yīng)用程序(applet)"(在用戶側(cè)用元語(yǔ)言編寫(xiě)的應(yīng)用程序)���,必須 增加安全域,對(duì)于所述不同數(shù)據(jù)����,必須針對(duì)服務(wù)提供者及服務(wù)用戶保證其 機(jī)密性和隔離。在Java芯片卡的現(xiàn)有技術(shù)中����,我們已經(jīng)使用全球平臺(tái) (Global Platform)型的模式從單一用途卡iL艮到了多用途卡,但是�,本 發(fā)明提出通過(guò)下述方式解決上述所問(wèn)題從多用途Java芯片卡的概念發(fā) 展到多數(shù)據(jù)多用途Java芯片卡�����,同時(shí)允許將Java固有的隔離擴(kuò)展到由同 一應(yīng)用所管理的數(shù)據(jù)��。本發(fā)明的一個(gè)目的是解決上述問(wèn)題���,途徑是提出一種在電子終端上向 至少一個(gè)預(yù)訂服務(wù)的提供者以隔離方式提供電子服務(wù)的方法來(lái),所述提供 者通過(guò)在預(yù)備步驟中建立安全域?qū)⒃摲?wù)提供給多個(gè)用戶���,所述安全域確 保服務(wù)和數(shù)據(jù)區(qū)的隔離����,所述服務(wù)可以以直接方式或通過(guò)對(duì)所述電子服務(wù) 的處理來(lái)訪問(wèn)所述數(shù)據(jù)區(qū)���,只可通過(guò)數(shù)據(jù)訪問(wèn)密鑰來(lái)訪問(wèn)安全域的數(shù)據(jù) 區(qū)�����。在本發(fā)明中�����,在安全域中����,電子終端上的所述服務(wù)可以訪問(wèn)的數(shù)據(jù)區(qū) 以顯著的方式被編索引成子區(qū),以確保來(lái)自上述多個(gè)用戶中的一個(gè)用戶的 請(qǐng)求只能���,以直接方式或通過(guò)對(duì)電子服務(wù)的處理�,讀/寫(xiě)/修改僅僅一個(gè)與
該請(qǐng)求的發(fā)送用戶關(guān)聯(lián)的預(yù)定子區(qū)�����。這樣���,只有安全域的資源被用來(lái)將服務(wù)提供給至少一個(gè)服務(wù)提供者��, 由該服務(wù)提供者將該服務(wù)提供給多個(gè)用戶����。發(fā)明內(nèi)容本發(fā)明的一個(gè)目的是以隔離方式提供電子服務(wù)的方法��。 本發(fā)明的一個(gè)目的是在移動(dòng)終端上提供服務(wù)��,同時(shí)節(jié)省該終端的資源����。本發(fā)明的另一個(gè)目的是,對(duì)于一個(gè)給定的終端�����,將這種服務(wù)提供給多 個(gè)用戶��,同時(shí)節(jié)省所述終端的資源��。本發(fā)明的另 一個(gè)目的是保證服務(wù)提供的安全��。因此��,作為本發(fā)明的一個(gè)目的����,提供了如下方法用于在電子終端上 將電子服務(wù)以隔離方式提供給預(yù)訂了所述服務(wù)的至少一個(gè)提供者,所述提 供者通過(guò)安全域?qū)⒃摲?wù)提供給多個(gè)用戶����,安全域保證服務(wù)和所述月艮務(wù)可 以訪問(wèn)的數(shù)據(jù)區(qū)的隔離,安全域的數(shù)據(jù)區(qū)只可以通過(guò)數(shù)據(jù)訪問(wèn)密鑰訪問(wèn)����, 其特征在于在安全域中,電子終端上的服務(wù)可以訪問(wèn)的數(shù)據(jù)區(qū)被編索引成子區(qū), 以保證來(lái)自上述多個(gè)用戶中的一個(gè)用戶的請(qǐng)求只能讀/寫(xiě)/修改僅僅一個(gè)與作為請(qǐng)求發(fā)送者的用戶關(guān)聯(lián)的預(yù)定子區(qū)�����。根據(jù)本發(fā)明的方法的一個(gè)變形�,其特征還在于,編索引在終端本地完 成���,并通過(guò)由用戶向服務(wù)呈現(xiàn)至少一個(gè)標(biāo)識(shí)符從而由服務(wù)來(lái)完成��,所述標(biāo) 識(shí)符允許解除對(duì)與該標(biāo)識(shí)符所標(biāo)識(shí)的用戶關(guān)聯(lián)的泰:據(jù)子區(qū)的訪問(wèn)的鎖定��。根據(jù)本發(fā)明的方法的另一個(gè)變形���,其特M在于,在識(shí)別之后基于加 密密鑰來(lái)進(jìn)行鑒權(quán)����,服務(wù)能夠至少根據(jù)用戶標(biāo)識(shí)符產(chǎn)生此加密密鑰。根據(jù)本發(fā)明的方法的另一個(gè)變形��,其特M在于�����,編索引由第三方裝 置完成���,其中該第三方裝置在收到來(lái)自用戶的請(qǐng)求時(shí)執(zhí)行以下步驟識(shí)別所請(qǐng)求的服務(wù)���;識(shí)別所請(qǐng)求的服務(wù)所在的終端;識(shí)別該用戶��;以及�, 如果得到肯定的識(shí)別結(jié)果,將更新請(qǐng)求發(fā)送到被識(shí)別的終端以考慮來(lái) 自用戶的請(qǐng)求�。在一個(gè)變形中,本發(fā)明的方法還具有以下特征在識(shí)別提供者之后進(jìn) 行鑒權(quán)�����。在一個(gè)變形中�����,本發(fā)明的方法還具有以下特征更新請(qǐng)求用數(shù)據(jù)訪問(wèn) 密鑰加密�����。在一個(gè)變形中��,本發(fā)明的方法還具有以下特征通過(guò)特定于服務(wù)、安 全域的操作系統(tǒng)或終端的操作系統(tǒng)的請(qǐng)求���,提供者可以直接執(zhí)行對(duì)被編索 引的數(shù)據(jù)區(qū)的全部管理操作��,如創(chuàng)建��、初始化����、鎖定����、破壞、不同用戶和 /或使用者之間的數(shù)據(jù)同步(所列并不是窮盡的)�����。這些管理操作可以由提 供者已知的不同密鑰(密鑰集�����,keyset)保護(hù)����。根據(jù)本發(fā)明的方法的一個(gè)變形��,其特征在于對(duì)數(shù)據(jù)區(qū)編索引是基于標(biāo) 識(shí)終端上的區(qū)的使用者的信息來(lái)完成的。這樣��,可以在一個(gè)或多個(gè)提供者 或服務(wù)面前針對(duì)一個(gè)或多個(gè)用戶來(lái)管理同 一終端上的多個(gè)4吏用者����。除了其 他方面之外,該變形允許針對(duì)同一服務(wù)的一個(gè)或多個(gè)用戶來(lái)實(shí)現(xiàn)多個(gè)使用 者之間的信息同步����。
從以下描述及附圖可以更清晰地理解本發(fā)明。這些附圖只是用來(lái)說(shuō)明 本發(fā)明而絕不是要限制本發(fā)明的范圍����。在這些附圖中圖1 i兌明在本地或遠(yuǎn)程實(shí)現(xiàn)中,其存儲(chǔ)器根據(jù)本發(fā)明的方法步驟而構(gòu) 建的裝置���,圖2說(shuō)明本發(fā)明的方法在本地實(shí)現(xiàn)中的步驟���, 圖3說(shuō)明本發(fā)明的方法在遠(yuǎn)程實(shí)現(xiàn)中的步驟, 圖4說(shuō)明一個(gè)索引表�。
具體實(shí)施方式
圖1示出實(shí)現(xiàn)本發(fā)明的方法的移動(dòng)終端101。在該示例中��,終端IOI 是移動(dòng)電話。在實(shí)踐中�����,所涉及的可以是在開(kāi)頭部分列舉的所有裝置����。圖 1示出電話101至少具有微處理器102、通信接口電路103�����、程序存儲(chǔ)器 104和微電路卡讀取器105��。元件102到105由總線106互連����。在本說(shuō)明書(shū)中,當(dāng)把一個(gè)動(dòng)作說(shuō)成是由某一裝置完成時(shí)�����,這個(gè)動(dòng)作實(shí) 際上是由所述裝置的微處理器執(zhí)行的���,該微處理器受控于所述裝置的程序 存儲(chǔ)器中的指令代碼��。當(dāng)把一個(gè)動(dòng)作說(shuō)成是由某一程序完成時(shí)�����,這個(gè)動(dòng)作 對(duì)應(yīng)于存儲(chǔ)所述程序的程序存儲(chǔ)器所屬的裝置的微處理器對(duì)程序存儲(chǔ)器 的對(duì)應(yīng)于所述程序的區(qū)中的全部或部分指令代碼的執(zhí)行����。在本說(shuō)明書(shū)中����,"服務(wù)" 一詞用來(lái)表示一種程序,該程序?qū)?yīng)于運(yùn)營(yíng) 商出售給提供者的服務(wù)的提供�。這樣,例如��,移動(dòng)電話運(yùn)營(yíng)商將針對(duì)客戶忠誠(chéng)點(diǎn)(points defid犯t6) 的記賬月艮務(wù)出售給服務(wù)提供者�。這個(gè)提供者又具有作為服務(wù)用戶的客戶, 例如面包師��、盤(pán)片或任何東西的零售商�。這些客戶是針對(duì)客戶忠誠(chéng)點(diǎn)的記 賬服務(wù)的用戶。所述服務(wù)用戶又可以向它的最終客戶即街上的人提供電子 忠誠(chéng)卡�。在一個(gè)終端中,同一服務(wù)/程序因此可以用于多個(gè)用戶(在這個(gè) 例子中是多個(gè)商店)��。除了剛描述過(guò)的這個(gè)示例之外,服務(wù)的示例還有端到端加密服務(wù)���、相 互鑒^J艮務(wù)��、電子權(quán)限管理服務(wù)���、支付服務(wù)、電子簽名服務(wù)等�����,所列并不 是窮盡的���。在本發(fā)明的一個(gè)變形中����,提供者與電話運(yùn)營(yíng)商本身是同一人�。電路103使電話101能夠按照各種標(biāo)準(zhǔn)通信,這其中有移動(dòng)電話標(biāo)準(zhǔn) (可以;l任何語(yǔ)音/數(shù)據(jù)模式)以及局域通信標(biāo)準(zhǔn)如藍(lán)牙(Bluetooth )����、 Wifi以及所謂的無(wú)接觸通信標(biāo)準(zhǔn)如RTID/NFC。電路105使得電話101能夠與SIM/USIM (訂戶識(shí)別模塊/UMTS) 卡107連接?���??07至少具有微處理器108和程序存儲(chǔ)器109。元件105��、 108和109通過(guò)總線110互連�。存儲(chǔ)器109通常具有區(qū)111,該區(qū)具有對(duì)應(yīng)于操作系統(tǒng)的指令代碼�����。 該操作系統(tǒng)使得安裝于卡107中的程序能夠訪問(wèn)卡107的資源(通信��、文 件系統(tǒng)等)����。因此所有安裝于卡107中的程序4吏用操作系統(tǒng)111的功能�����。圖1示出存儲(chǔ)器109的區(qū)102�����,其對(duì)應(yīng)于任何程序(程序A )并因此 包括直接連接到操作系統(tǒng)111的指令代碼。
本發(fā)明使用公知的安全域機(jī)制����。這種機(jī)制意味著在操作系統(tǒng)中實(shí)現(xiàn)另外的功能。這些機(jī)制在實(shí)踐中通過(guò)虛擬機(jī)實(shí)現(xiàn)����,例如Java虛擬機(jī)。圖1 示出了這樣的虛擬機(jī)113�����。原則上��,這種虛擬機(jī)是由為該虛擬機(jī)所編寫(xiě)的 程序所進(jìn)行的調(diào)用與其中安裝該虛擬機(jī)的操作系統(tǒng)之間的中介����。在實(shí)踐中,虛擬機(jī)能夠創(chuàng)建安全域��,即安全域可以在制造卡時(shí)創(chuàng)建�����, 或者可以在制造卡的階段之后動(dòng)態(tài)創(chuàng)建�。圖1示出安全域SD1。安全域 SD1是存儲(chǔ)器109的區(qū)。域SDl具有區(qū)Sl,該區(qū)對(duì)應(yīng)于能夠由機(jī)器113 解釋的指令代碼并對(duì)應(yīng)于服務(wù)(比如如上所述的那些服務(wù))的實(shí)現(xiàn)���。域SD1還具有數(shù)據(jù)區(qū)�。在本發(fā)明中�����,這個(gè)數(shù)據(jù)區(qū)被細(xì)分成子區(qū)Dl.l����、 D1.2到Dl.n。安全域的機(jī)制確保了只有區(qū)Sl的指令代碼能夠訪問(wèn)SD1 的數(shù)據(jù)區(qū)的數(shù)據(jù)�����。本發(fā)明使得每個(gè)子區(qū)Dl.x能夠與給定的用戶相關(guān)聯(lián)���。 依賴于將要調(diào)用服務(wù)S1的用戶,只有一個(gè)子區(qū)是可用的�。每個(gè)服務(wù)(從 而每個(gè)安全域)由服務(wù)標(biāo)識(shí)符Sx標(biāo)識(shí)。每個(gè)用戶由用戶標(biāo)識(shí)符idC標(biāo)識(shí)為此�����,機(jī)器113和/或區(qū)Sl包括記錄于區(qū)SEC中且專用于檢驗(yàn)發(fā)送 給服務(wù)S1 (或概括地說(shuō),服務(wù)Sx)的請(qǐng)求的有效性的指令代碼��。每個(gè)安 全域具有它自己的區(qū)SEC����。記錄于該區(qū)SEC中的代碼因此保證了對(duì)泰:據(jù) 區(qū)的索引。當(dāng)說(shuō)到服務(wù)Sl與外部通信時(shí)��,它是通過(guò)SIM卡107和電話101來(lái)進(jìn) 行的���。圖1示出了希望發(fā)i^服務(wù)Sl的請(qǐng)求的用戶所使用的用戶裝置130�����。 裝置103包括微處理器131���、標(biāo)識(shí)符存儲(chǔ)器132、加密和鑒權(quán)密鑰存儲(chǔ)器 133���、程序存儲(chǔ)器134和通信接口電路135�����。裝置130還具有用于服務(wù)標(biāo) 識(shí)存儲(chǔ)器136和指令存儲(chǔ)器137�����,在一個(gè)變形中還具有用于代理服務(wù)器標(biāo) 識(shí)存儲(chǔ)器138��。元件131到138通過(guò)總線139互連�����。電路135與電路103具有相同的 性質(zhì)�����,并且與電路103所執(zhí)行的標(biāo)準(zhǔn)中的至少一個(gè)標(biāo)準(zhǔn)兼容����。存儲(chǔ)器134至少包括用于發(fā)送對(duì)服務(wù)Sl的請(qǐng)求的指令代碼。在本發(fā) 明的一個(gè)變形中�,存儲(chǔ)器134也具有使得能夠響應(yīng)(relever)服務(wù)Sl所 提交的鑒權(quán)詢問(wèn)(challenge d,authentification)的指令代碼�����。在一個(gè)變形 中���,存儲(chǔ)器134具有用于實(shí)現(xiàn)對(duì)稱或非對(duì)稱加密功能F的指令代碼�����。圖2示出由SIM卡107在本地管理對(duì)安全域SD1的數(shù)據(jù)區(qū)的索引時(shí)
根據(jù)本發(fā)明的方法的步驟��。在執(zhí)行圖2和3所述的步驟之前�,運(yùn)營(yíng)商將已經(jīng)執(zhí)行了用于將服務(wù)安 裝于卡107中的步驟�����。在這個(gè)步驟中����,運(yùn)營(yíng)商構(gòu)建如圖1所述的存儲(chǔ)器 109。即�����,運(yùn)營(yíng)商在存儲(chǔ)器109中安裝至少一個(gè)安全域�����,如域SD1���。圖2示出步驟201 �����,其中用戶激勵(lì)裝置130以使其與電話101交互��。 例如�����,這種激勵(lì)是在電話101的攜帶者使該電話靠近裝置130的同時(shí)通過(guò) 機(jī)械控制接口完成的����。在這種情況下,非限制性地�����,裝置130與電話101 之間的通信通過(guò)RTID/NFC型機(jī)制�����、紅外或藍(lán)牙(Bluetooth )機(jī)制或 其他i^巨離通信手段完成���,或通過(guò)移動(dòng)或固定網(wǎng)絡(luò)^J設(shè)施上所傳輸?shù)臄?shù) 據(jù)通信完成�����。裝置130產(chǎn)生請(qǐng)求205��,請(qǐng)求205至少包括用戶的標(biāo)識(shí)符202�、服務(wù) 的標(biāo)識(shí)符203和指令代碼204�。在本示例中,這些條信息通過(guò)單個(gè)請(qǐng)求發(fā) 送�����。在實(shí)踐中��,它們可以通過(guò)裝置130與電話101之間的請(qǐng)求的交換來(lái)發(fā) 送�����。用于產(chǎn)生請(qǐng)求205的這些信息是從存儲(chǔ)器132�、 136和137讀取的。 這些存儲(chǔ)器由運(yùn)營(yíng)商/提供者在其將裝置130提供給用戶時(shí)更新����。字段204 的內(nèi)容可以根據(jù)用戶的意愿并通過(guò)裝置130的^lt確定(param^trage) 來(lái)變化。相反地�,與存儲(chǔ)器133 —樣,字段202和203在提供者的控制之 下�。請(qǐng)求205 —旦產(chǎn)生就發(fā)送到電話101�����。在步驟206��,電話101接收請(qǐng)求205并將其發(fā)送到對(duì)其進(jìn)行處理的卡 107���。這種處理至少包括讀取字段203以識(shí)別服務(wù)并因此識(shí)別安全域。如 果存在字段203所指定的服務(wù)����,那么請(qǐng)求205由該服務(wù)處理。這里例如考 慮服務(wù)S1���。那么就^J良務(wù)S1處理請(qǐng)求205���。如果^L現(xiàn)請(qǐng)求205所指定 的服務(wù),那么這個(gè)請(qǐng)求被簡(jiǎn)單地完全忽略��。服務(wù)S1對(duì)請(qǐng)求205的處理至 少包括首先讀取字段202����,然后搜索,看是否有區(qū)Dl.x對(duì)應(yīng)于這樣指定 的用戶。這個(gè)搜索實(shí)際上對(duì)應(yīng)于在步驟207所進(jìn)行的識(shí)別�。如果所述服務(wù) 未能識(shí)別用戶,那么^Mt前進(jìn)到結(jié)束步驟208�,這實(shí)際上等于將請(qǐng)求205 忽略�。否則,操作前進(jìn)到鑒權(quán)測(cè)試步驟209����。步驟209是本發(fā)明的一個(gè)變形。在步驟209����,所述服務(wù)執(zhí)行測(cè)試以確 定在識(shí)別之后服務(wù)的應(yīng)用是否需要通過(guò)配置來(lái)進(jìn)行鑒權(quán)。如果是����,服務(wù) Sl前進(jìn)到對(duì)用戶進(jìn)行鑒權(quán)的步驟210。如果不是���,它前進(jìn)到執(zhí)行字段204 中所描述的指令代碼的步驟211����。
在步驟210�,所述服務(wù)通過(guò)一個(gè)或多個(gè)交換,執(zhí)行對(duì)用戶的隱含的或 明確的單向鑒權(quán)或相互鑒權(quán)。隱含鑒權(quán)是基于對(duì)某個(gè)值的接收/發(fā)送的鑒 權(quán)���,該值是使應(yīng)被鑒權(quán)的實(shí)體擁有鑒權(quán)秘密的加密操作的結(jié)果�����。在步驟210的一個(gè)優(yōu)選變形中�����,卡109產(chǎn)生包括隨機(jī)變量的詢問(wèn)消息 212�����。這個(gè)消息212由裝置130在步驟213接收�����。在步驟213���。裝置130 用裝置130已知的函數(shù)F以及存儲(chǔ)器133的密鑰對(duì)上述隨機(jī)變量加密。在 步驟213的一個(gè)變形中���,裝置130根據(jù)所述隨機(jī)變量的值以及裝置130已 知的多樣化(diversification )函數(shù)(或哈希函數(shù)或單向函數(shù))F來(lái)計(jì)算存 儲(chǔ)器133的密鑰的變化形式(diversification)-存儲(chǔ)器133的密鑰實(shí)際上 是與安全域SD1關(guān)聯(lián)的密鑰集(密鑰組���,keyset)的密鑰Ks的子密鑰 Kf��。由此我們有Kf-Fk(idC,Ks)其中idC是存儲(chǔ)器132的內(nèi)容����。在安裝安全域時(shí)���,卡109知道Ks。根據(jù)本發(fā)明的這個(gè)變形�,服務(wù)S1 知道Fk和F。這些函數(shù)Fk與存儲(chǔ)器109的安全域同時(shí)安裝��。最后�,月良 務(wù)Sl通過(guò)請(qǐng)求205知道idC。在步驟213的末尾�����,裝置130發(fā)出包括F(隨機(jī)變量��,Kf)的響應(yīng)消 息214��。在步驟215�����,服務(wù)S1通過(guò)卡107和電話101接收消息214。然后�����,服 務(wù)Sl將信息2"的內(nèi)容與它自己的計(jì)算F (隨機(jī)變量����,F(xiàn)k(idC,Ks))比 較���。如果這些計(jì)算相等�����,那么服務(wù)S1前進(jìn)到步驟221�����。如果不相等��,它 前進(jìn)到結(jié)束步驟216,請(qǐng)求205被忽略����。在步驟221,服務(wù)Sl執(zhí)行字段204中描述的一個(gè)或多個(gè)指令。該執(zhí) 行意味著安全域的數(shù)據(jù)區(qū)中的讀和/或?qū)懖僮?��。在本發(fā)明中�,服務(wù)Sl將數(shù) 據(jù)區(qū)的子區(qū)與每個(gè)用戶標(biāo)識(shí)符相關(guān)聯(lián)��。這種關(guān)聯(lián)是例如通過(guò)對(duì)應(yīng)于安全域 的區(qū)SEC完成的��,或是由服務(wù)S1直接完成的�。該區(qū)然后針對(duì)每個(gè)用戶標(biāo) 識(shí)符描述其中應(yīng)進(jìn)行讀/寫(xiě)Af務(wù)改的子區(qū)。任何在這個(gè)子區(qū)之外的讀或?qū)懙?企圖會(huì)導(dǎo)致虛擬機(jī)方面的拒絕執(zhí)行�。在本發(fā)明的一個(gè)變形中���,通過(guò)字段204所接收的指令用存儲(chǔ)器133 的密鑰Kf和函數(shù)F加密�。因此�,只有當(dāng)用戶有正確的標(biāo)識(shí)并且已經(jīng)將正 確的要素提供給服務(wù)S1以便對(duì)指令進(jìn)行解碼時(shí),這個(gè)指令才能被正確地 執(zhí)行�����。這種加密機(jī)制將在圖3所說(shuō)明的變形中說(shuō)明�����。圖3說(shuō)明了本發(fā)明的一個(gè)變形,其中安全域的子區(qū)的更新/讀取通過(guò) 已經(jīng)向服務(wù)用戶提供服務(wù)的提供者的代理服務(wù)器完成���。圖1說(shuō)明了 一個(gè)這樣的代理服務(wù)器161����。服務(wù)器161通過(guò)接口電路163 連接到網(wǎng)絡(luò)162��。裝置130適合例如通過(guò)移動(dòng)電話網(wǎng)絡(luò)的基站164連接到 網(wǎng)絡(luò)162�。該網(wǎng)絡(luò)也可以是固定網(wǎng)絡(luò)或者直接是因特網(wǎng)。因此��,裝置130 和服務(wù)器161可以通信�。服務(wù)器161包括微處理器165、程序存儲(chǔ)器166和配置存儲(chǔ)器167��。存儲(chǔ)器166具有用于實(shí)現(xiàn)與裝置130的通信的指令代碼����、用于實(shí)現(xiàn)與 安裝于電話101的SIM卡107中的服務(wù)的通信的指令代碼、用于應(yīng)用對(duì) 稱加密函數(shù)F的指令代碼和用于執(zhí)行產(chǎn)生加密密鑰Kf的函數(shù)Fk的指令 代碼���。在本發(fā)明的這個(gè)變形中�����,安裝于卡109中的安全域的安全區(qū)SEC知 道并且能夠執(zhí)行函數(shù)F�。存儲(chǔ)器133包括值Kf-Fk(idC,Ks)其中的每個(gè)符號(hào)已經(jīng)在前面描述過(guò)。存儲(chǔ)器167實(shí)際上對(duì)應(yīng)于一個(gè)表�,表的每行對(duì)應(yīng)于一個(gè)用戶。因此每 -f亍至少具有標(biāo)識(shí)用戶的字段168���、標(biāo)識(shí)月良務(wù)的字段169和加密密鑰字段 170�。字段170的內(nèi)容實(shí)際上是與安全域關(guān)聯(lián)的密鑰集的密鑰之一�,在該 安全域中實(shí)現(xiàn)由字段169所標(biāo)識(shí)的服務(wù)。圖3示出了步驟301����,其中裝置120的使用者產(chǎn)生并發(fā)送訪問(wèn)安裝于 電話IOI中的服務(wù)的請(qǐng)求302。該請(qǐng)求包括多個(gè)字段�,其中至少有標(biāo)識(shí)終 端101的字段303���、標(biāo)識(shí)用戶的字段304���、標(biāo)識(shí)服務(wù)的字段305和描述指 令代碼的字段306,該指令代碼要由字段305的內(nèi)容所標(biāo)識(shí)的服務(wù)來(lái)執(zhí)行�����。 這個(gè)請(qǐng)求302 —旦產(chǎn)生就發(fā)送到服務(wù)器161,服務(wù)器161的裝置130通過(guò) 字段138的內(nèi)容知道該地址����。該發(fā)送以數(shù)據(jù)模式(TCP/IP型協(xié)議)或通 過(guò)短消息(SMS/MMS型協(xié)議)完成。與步驟201的情況一樣����,針對(duì)幀302描述的信息將由裝置130發(fā)送。 然而�,所述信息可以以所描述的單個(gè)幀發(fā)送,或在裝置130與服務(wù)器161 對(duì)話期間以多個(gè)幀發(fā)送���。
在一個(gè)優(yōu)選示例中�,字段303的內(nèi)容是電話號(hào)碼(MSISDN)�����,可以 通過(guò)該號(hào)碼來(lái)連接電話101��。這個(gè)電話號(hào)碼由裝置130在#^操作期間或 者在電話101與裝置130對(duì)話的過(guò)程中獲得�。非窮盡地,字段303的內(nèi)容 可以是訂戶的任何網(wǎng)絡(luò)標(biāo)識(shí)符��,在移動(dòng)網(wǎng)絡(luò)的情況下是IMSI或IMEI�, 也可以是ICCID型訂戶芯片卡的標(biāo)識(shí)符���,或者在芯片卡的"引導(dǎo)(boot)" 階段電話所獲得的TAR幀。該標(biāo)識(shí)符還可以基于任何在連接運(yùn)營(yíng)商眼里 標(biāo)識(shí)用戶的手段IPv6地址���、以太網(wǎng)地址甚至郵件地址�,SIP或VoIP型 標(biāo)識(shí)符��、ENUM型標(biāo)識(shí)符或任何其它還能夠想到的電子身份���。在步驟307��,服務(wù)器161在表167中進(jìn)行搜索����。該搜索是對(duì)發(fā)出請(qǐng)求 302的用戶進(jìn)行識(shí)別308�����。該搜索包括搜索表167中其字段168和169等 于字段304和305的行�����。如果發(fā)現(xiàn)了這樣的行L��,那么識(shí)別結(jié)果是肯定的�����。 如果沒(méi)有發(fā)現(xiàn)���,識(shí)別結(jié)果是否定的并且服務(wù)器161前進(jìn)到步驟309�,在該 步驟其忽略請(qǐng)求302�。如果是肯定的識(shí)別結(jié)果,服務(wù)器161前進(jìn)到鑒權(quán)測(cè)試步驟310��。該步 驟包括確定除了識(shí)別以外是否還需要鑒權(quán)����。該步驟是可選的并且可以通過(guò) 行L的配置字段實(shí)現(xiàn)。例如�����,如果這個(gè)字段等于l����,則需要鑒權(quán)。否則不 需要鑒權(quán)。如果需要鑒權(quán)�,則服務(wù)器前進(jìn)到向裝置130提交詢問(wèn)的步驟311。步 驟311與已描述的步驟210相同�����,之后是步驟312���、 313和324���,它們與 步驟213、 215和216相同����。然而,在這種情況下�,步驟312、 313和314 由服務(wù)器161而不是卡107執(zhí)行���。如果由服務(wù)器161提交的鑒權(quán)要求是成功的���,服務(wù)器前進(jìn)到產(chǎn)生請(qǐng)求 指令315的步驟314。在一個(gè)優(yōu)選示例中�,請(qǐng)求指令315在頭部至少包括標(biāo)識(shí)該請(qǐng)求指令的 目標(biāo)電話的字段316�����。例如,取決于所用的網(wǎng)絡(luò)標(biāo)識(shí)符的類型�����,通過(guò)短消 息或任何其它通信方式發(fā)送該請(qǐng)求��。字段316包括由服務(wù)器161通過(guò)字段 303所接收的值����。請(qǐng)求315還具有標(biāo)識(shí)服務(wù)的字段317,其內(nèi)容對(duì)應(yīng)于在步驟308所發(fā) 現(xiàn)的行L的字段169的內(nèi)容���。請(qǐng)求315還具有通過(guò)函數(shù)F�����、使用行L的字段170的密鑰Ks加密的 字段318���。顯然,字段318至少包括描述待執(zhí)行的指令的字段319��,并且
可選地包括校驗(yàn)和(CRC )型字段320。字段320具有字段319的校驗(yàn)和�。密鑰Ks實(shí)際上是安全域的密鑰集中的數(shù)據(jù)訪問(wèn)密鑰,字段169所標(biāo) 識(shí)的服務(wù)在該安全域中執(zhí)行��。字段319可以更復(fù)雜�,包括一系列指令和/或用于指令的參數(shù)。字段 319隱含地或明確地包括發(fā)送導(dǎo)致產(chǎn)生指令315的請(qǐng)求的用戶的標(biāo)識(shí)����。這 個(gè)標(biāo)識(shí)是例如是允許由字段317所標(biāo)識(shí)的服務(wù)確定其中執(zhí)行所述服務(wù)的 安全域的數(shù)據(jù)區(qū)的子區(qū)的標(biāo)識(shí)符。這個(gè)標(biāo)識(shí)例如隱含地包含于待執(zhí)行的一 個(gè)或多個(gè)指令的參數(shù)中����。這些參數(shù)事實(shí)上指定待更新或待讀取的數(shù)據(jù)。服 務(wù)器161使用它對(duì)用戶的身份的知識(shí)產(chǎn)生用于字段319的指令���,其只在屬 于行L中所標(biāo)識(shí)的用戶的子區(qū)中讀和寫(xiě)�。然后�,對(duì)該子區(qū)的知識(shí)存儲(chǔ)于 行L中。在一個(gè)變形中��,對(duì)該子區(qū)的知識(shí)存儲(chǔ)于安全域的區(qū)SEC中��。請(qǐng)求指令315 —旦產(chǎn)生就被發(fā)送到電話101��,電話101在步驟321將 其接收并將其發(fā)送到卡107。然后卡107使用字段317的內(nèi)容將請(qǐng)求315 發(fā)送到字段317所標(biāo)識(shí)的服務(wù)��,如果其存在的話�。如果不存在�����,則忽略請(qǐng)求315����。在本示例中,假定涉;sj良務(wù)si���。在步驟321�,服務(wù)Sl使用密鑰Ks對(duì)字段318解密���。然后����,如果選擇 了校驗(yàn)和選項(xiàng)(CRC )�,則服務(wù)Sl計(jì)算被解密的字段319的內(nèi)容的校驗(yàn) 和并將這個(gè)和的結(jié)果與被解密的字段320的內(nèi)容比較。如果這個(gè)比較結(jié)果 是相等的�,那么服務(wù)S1前進(jìn)到執(zhí)行由被解密的字段319的內(nèi)容所描述的 指令的步驟322���。如果不相等,則請(qǐng)求315被所述服務(wù)忽略�。在這個(gè)變形中,對(duì)數(shù)據(jù)的索引因此由第三方服務(wù)器來(lái)確保�,該第三方 服務(wù)器通過(guò)發(fā)送到給定服務(wù)的指令,在已經(jīng)識(shí)別和/或鑒權(quán)用戶之后保證 這個(gè)用戶只能訪問(wèn)與他有關(guān)的數(shù)據(jù)����。在一個(gè)變形中,用戶裝置實(shí)際上是安裝于終端101的程序存儲(chǔ)器104 中的應(yīng)用(例如���,消息應(yīng)用���、必須管理與DRM有關(guān)的數(shù)據(jù)和加密的流的 "多媒體播放器"型應(yīng)用或多媒體數(shù)據(jù)交^/共享應(yīng)用,或IP承載電話或 視頻電話(visiophonie )型應(yīng)用)�����。這個(gè)程序然后可能需要加密服務(wù)或權(quán) 限管理服務(wù)以使得電話101的使用者能夠與一個(gè)或多個(gè)內(nèi)容服務(wù)器通信���。 在這種情況下�����,該應(yīng)用被標(biāo)識(shí)為用戶并僅能訪問(wèn)安全域的數(shù)據(jù)區(qū)的子區(qū)����, 上述加密服務(wù)或權(quán)限管理服務(wù)在該安全域中執(zhí)行。在一般應(yīng)用的情況下�, 是內(nèi)容服務(wù)器向一般應(yīng)用提^H吏得它能夠?qū)⑺约簶?biāo)識(shí)為服務(wù)的信息。
在本發(fā)明中���,多個(gè)安全域(從而多個(gè)服務(wù))能夠共存于同一個(gè)SIM 卡中。因此���,可以通過(guò)單個(gè)安全域向多個(gè)用戶提供同一服務(wù)�����。也可以通過(guò) 多個(gè)安全域向多個(gè)用戶提供多個(gè)服務(wù)����。在所述裝置的一個(gè)變形中����,本發(fā)明的方法的特別之處在于根據(jù)標(biāo)識(shí) 終端上的區(qū)的使用者的信息實(shí)現(xiàn)對(duì)數(shù)據(jù)區(qū)編索引。這樣可以在一個(gè)或多個(gè) 提供者或服務(wù)面前針對(duì)一個(gè)或多個(gè)用戶來(lái)管理同一個(gè)終端41上的多個(gè)使 用者�����。除了其他方面之外,這個(gè)變形允許針對(duì)同一服務(wù)的一個(gè)或多個(gè)用戶 來(lái)實(shí)現(xiàn)多個(gè)使用者之間的信息同步��。在實(shí)踐中�����,安全域通過(guò)Java平臺(tái)實(shí)現(xiàn)���。于是使用了 Java虛擬機(jī)�����。對(duì) 應(yīng)于服務(wù)的程序于是被稱作"小應(yīng)用程序"�,或者說(shuō)在客戶裝置中執(zhí)行的 Java應(yīng)用程序����。如已經(jīng)描述的,對(duì)安全域的數(shù)據(jù)區(qū)編索引是由服務(wù)在本地或由代理服 務(wù)器以遠(yuǎn)程方式完成的����。在所描述的示例中,上述編索引是通過(guò)將用戶標(biāo) 識(shí)符與對(duì)存儲(chǔ)器區(qū)的描^目關(guān)聯(lián)的"分配表"400完成的。例如�,這種描 述對(duì)應(yīng)于所述存儲(chǔ)器區(qū)的起始和結(jié)束地址。在本發(fā)明的一個(gè)變形中��,認(rèn)為 每個(gè)子區(qū)具有相同的尺寸����。數(shù)據(jù)區(qū)于是被看作是表,該表的每個(gè)單元格對(duì) 應(yīng)于一個(gè)子區(qū)�。在這種情況下,簡(jiǎn)單的索引4吏得能夠直接訪問(wèn)正確的子區(qū)�。 而另一個(gè)變形使用順序索引,其中每個(gè)子區(qū)存儲(chǔ)用戶標(biāo)識(shí)符����,正確子區(qū)的 選擇于是通過(guò)對(duì)子區(qū)進(jìn)行順序掃描���、直到發(fā)現(xiàn)正確的標(biāo)識(shí)符來(lái)完成���。所產(chǎn) 生的指令代碼考慮了編索引的模式。在本發(fā)明中��,小應(yīng)用程序和安全域由提供SIM卡的運(yùn)營(yíng)商安裝���。這 4吏得運(yùn)營(yíng)商能夠通過(guò)不同的形式分析方法來(lái)確保代碼的質(zhì)量和無(wú)害性�����。這 也使得運(yùn)營(yíng)商能夠預(yù)先格式化安全區(qū)的數(shù)據(jù)區(qū)����。為了維護(hù)這些應(yīng)用,本發(fā)明的方法允許運(yùn)營(yíng)商/提供者通過(guò)特定于服 務(wù)�、安全域的操作系統(tǒng)或終端的操作系統(tǒng)的請(qǐng)求來(lái)直M行用于管理被編 索引的數(shù)據(jù)區(qū)的4^P操作,例如�,創(chuàng)建、初始化�����、鎖定��、破壞��、不同用戶 和/或使用者之間的數(shù)據(jù)同步等���。這些管理操作可以由提供者已知的不同 密鑰來(lái)保護(hù)��。如果運(yùn)營(yíng)商/提供者知道全部或部分與安全域有關(guān)的密鑰集�,象針對(duì) 遠(yuǎn)程索引所描述的情況一樣,他可以產(chǎn)生由必須給予維護(hù)的服務(wù)識(shí)別并執(zhí) 行的指令����。在一個(gè)變形中,為進(jìn)行維護(hù)��,運(yùn)營(yíng)商/提供者將它自己標(biāo)識(shí)/鑒 權(quán)為超級(jí)用戶���,安全域向該超級(jí)用戶賦予遍及其整個(gè)數(shù)據(jù)區(qū)的所有權(quán)限�����。
權(quán)利要求
1.一種在使用者的電子終端(101)上向預(yù)訂電子服務(wù)的至少一個(gè)提供者(161)以隔離方式提供電子服務(wù)(S1)的方法�,所述提供者通過(guò)在預(yù)備步驟中建立安全域(SD1)將所述服務(wù)提供給多個(gè)用戶(130)�����,所述安全域保證所述服務(wù)和數(shù)據(jù)區(qū)(D1)的隔離��,所述服務(wù)能夠以直接方式或通過(guò)對(duì)電子服務(wù)的處理來(lái)訪問(wèn)所述數(shù)據(jù)區(qū)��,所述安全域的數(shù)據(jù)區(qū)僅能夠通過(guò)數(shù)據(jù)訪問(wèn)密鑰訪問(wèn)�,其特征在于所述方法包括以下步驟所述終端在所述安全域中將在所述電子終端中所述服務(wù)能夠訪問(wèn)的所述數(shù)據(jù)區(qū)編索引(211��,314)成子區(qū),以保證所述多個(gè)用戶中的一個(gè)用戶的請(qǐng)求(205��,302)只能����,以直接方式或通過(guò)電子服務(wù),讀/寫(xiě)/修改僅僅一個(gè)與作為請(qǐng)求發(fā)送者的用戶相關(guān)聯(lián)的預(yù)定子區(qū)(D1.x)���。
2. 根據(jù)權(quán)利要求1所述的方法����,其特征在于���,所述編索引在所述終端 上在本地完成(211 )��,并且通過(guò)由用戶向所述服務(wù)呈現(xiàn)至少一個(gè)標(biāo)識(shí)符從 而由所述Ji艮務(wù)來(lái)完成�����,所述至少一個(gè)標(biāo)識(shí)符4吏得能夠解除對(duì)與所述標(biāo)識(shí)符 所標(biāo)識(shí)的用戶關(guān)聯(lián)的數(shù)據(jù)子區(qū)的訪問(wèn)的鎖定�����。
3. 根據(jù)權(quán)利要求2所述的方法���,其特征在于�����,識(shí)別(207)之后U 于加密密鑰來(lái)進(jìn)行鑒權(quán)(209,210,212-215 ),所述服務(wù)能夠至少根據(jù)用戶 標(biāo)識(shí)符來(lái)產(chǎn)生所述加密密鑰���。
4. 根據(jù)權(quán)利要求1所述的方法,其特征在于����,所述編索引由第三方裝 置(161)完成,所述第三方裝置在收到用戶的請(qǐng)求時(shí)執(zhí)行以下步驟識(shí)別所請(qǐng)求的服務(wù)����,識(shí)別所請(qǐng)求的服務(wù)所在的終端,識(shí)別所述用戶��,以及����,如果識(shí)別結(jié)果是肯定的,將更新請(qǐng)求發(fā)送到被識(shí)別的終端以考慮所述 用戶的請(qǐng)求����。
5. 才艮據(jù)權(quán)利要求4所述的方法,其特征在于�����,識(shí)別(308)所述提供 者之后是進(jìn)行鑒權(quán)(310-313 )�。
6. 根據(jù)權(quán)利要求4或5所述的方法,其特征在于���,更新請(qǐng)求用數(shù)據(jù)訪 問(wèn)密鑰加密(314)��。
7. 根據(jù)權(quán)利要求1到6之一所述的方法���,其特征在于,通過(guò)特定于所 述服務(wù)����、所述安全域的操作系統(tǒng)或所述終端的操作系統(tǒng)的請(qǐng)求,提供者能 夠直接執(zhí)行對(duì)被編索引的數(shù)據(jù)區(qū)的全部管理操作���,如創(chuàng)建���、初始化、鎖定��、 破壞、不同用戶和/或使用者之間的數(shù)據(jù)同步�����,這些管理操作能夠由所述 提供者已知的不同密鑰來(lái)保護(hù)��。
8. 根據(jù)權(quán)利要求1到7之一所述的方法�,其特征在于,對(duì)所述^L據(jù)區(qū) 編索引是在一個(gè)或多個(gè)提供者或者服務(wù)面前針對(duì)一個(gè)或多個(gè)用戶����、基于標(biāo) 識(shí)所述終端上的區(qū)的使用者的信息來(lái)實(shí)現(xiàn)的。
9. 根據(jù)權(quán)利要求1到8之一所述的方法在移動(dòng)電話的微電路卡(107 ) (SIM卡)中的應(yīng)用��。
全文摘要
本申請(qǐng)涉及以隔離方式提供電子服務(wù)的方法���。為了能夠以最佳方式在移動(dòng)終端上提供服務(wù)����,本方法在使用者的電子終端上將電子服務(wù)以隔離方式提供給預(yù)訂該服務(wù)的至少一個(gè)提供者�����,所述提供者通過(guò)在預(yù)備步驟中建立安全域?qū)⑦@個(gè)服務(wù)提供給多個(gè)用戶����,安全域保證服務(wù)和數(shù)據(jù)區(qū)的隔離,所述服務(wù)可以以直接方式或通過(guò)對(duì)電子服務(wù)的處理來(lái)訪問(wèn)該數(shù)據(jù)區(qū)�,安全域的數(shù)據(jù)區(qū)僅可通過(guò)數(shù)據(jù)訪問(wèn)密鑰來(lái)訪問(wèn)。在本發(fā)明中���,終端在安全域中將在電子終端中服務(wù)可以訪問(wèn)的數(shù)據(jù)區(qū)編索引成子區(qū)����,以保證上述多個(gè)用戶中的一個(gè)用戶的請(qǐng)求只能���,以直接方式或通過(guò)電子服務(wù)�����,讀/寫(xiě)/修改僅僅一個(gè)與作為請(qǐng)求發(fā)送者的用戶關(guān)聯(lián)的預(yù)定子區(qū)��。
文檔編號(hào)G06F21/62GK101159940SQ200710164189
公開(kāi)日2008年4月9日 申請(qǐng)日期2007年10月8日 優(yōu)先權(quán)日2006年10月5日
發(fā)明者讓-菲利普·萬(wàn)瑞 申請(qǐng)人:法國(guó)無(wú)線電話公司