專利名稱:應(yīng)用鑒別系統(tǒng)����、安全設(shè)備和終端設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及應(yīng)用鑒別系統(tǒng),其中運(yùn)作于安全設(shè)備(IC卡等)上的卡應(yīng)用可 鑒別運(yùn)作于終端設(shè)備(移動(dòng)終端設(shè)備等)上的應(yīng)用�。本發(fā)明還涉及安全設(shè)備和終 端設(shè)備。具體地�����,本發(fā)明提供能夠?qū)崿F(xiàn)當(dāng)運(yùn)作于終端設(shè)備上的應(yīng)用使用安全 設(shè)備時(shí)所需的鑒別處理的系統(tǒng)����、安全設(shè)備和終端設(shè)備�。
背景技術(shù):
近年來(lái),能夠安全地存儲(chǔ)信息的安全設(shè)備(例如IC卡等)被利用于各種應(yīng) 用(如電子商務(wù)��、訪問管理��、交通月票等)��。在未來(lái)��,該應(yīng)用可望通過(guò)使用移動(dòng) 終端等的實(shí)際移動(dòng)功能而愈來(lái)愈多地被擴(kuò)展。
圖8從原理上表示通過(guò)執(zhí)行運(yùn)作于移動(dòng)終端設(shè)備30上的應(yīng)用�、同時(shí)利用 存儲(chǔ)于安全設(shè)備10中的安全數(shù)據(jù)而實(shí)行的各種服務(wù)。
如下面的非專利對(duì)比文獻(xiàn)l("接口(Interface)" 2003年3月��,CQ出版有 限公司�,第82頁(yè)~90頁(yè))所述,運(yùn)作于安全設(shè)備上的應(yīng)用(卡應(yīng)用)是由編程 語(yǔ)言(如Java(注冊(cè)商標(biāo))等)形成并裝入安全設(shè)備的�����。這種卡應(yīng)用鑒別需要利用 存儲(chǔ)于安全設(shè)備中的安全數(shù)據(jù)的外部應(yīng)用���,并接著在此卡應(yīng)用驗(yàn)證了安全性 后接受外部應(yīng)用的命令�。
不過(guò)��,傳統(tǒng)的安全設(shè)備沒有鑒別裝置可用來(lái)鑒別下載至移動(dòng)終端設(shè)備的 應(yīng)用�。因此,此下載至移動(dòng)終端設(shè)備的應(yīng)用不能利用存儲(chǔ)于安全設(shè)備的數(shù)據(jù)��。
這是就以下情況而言���。
通常���,在識(shí)別人物的鑒別處理中���,核查此人是否知曉僅有真人方才知曉 的信息。接著����,若此人知曉該信息則此人被鑒別為真人。圖9從原理上表示當(dāng)根據(jù)此系統(tǒng)的交叉筌別被作用于安全設(shè)備10的卡應(yīng)用11和移動(dòng)終端設(shè)備
30的終端應(yīng)用程序(假設(shè)是由Java(注冊(cè)商標(biāo))語(yǔ)言寫成的Java(注冊(cè)商標(biāo))應(yīng)用 程序)31時(shí)所展現(xiàn)的行為���。具有保存私密數(shù)據(jù)功能的安全設(shè)備10能將私密信 息(密鑰等)保持于由硬件而安全構(gòu)建的防篡改區(qū)����。同時(shí)��,由于需要安全性以許 可移動(dòng)終端設(shè)備30處置私密信息����,故整體區(qū)域31必須構(gòu)建為防篡改、或區(qū) 域31必須由保持私密信息的防篡改區(qū)35來(lái)鑒別��。在這種情形下�,若卡應(yīng)用 11和受移動(dòng)終端設(shè)備30的OS(或VM(虛擬機(jī)))32控制的Java(注冊(cè)商標(biāo))應(yīng)用 程序31能確認(rèn)以下事實(shí)即二者通過(guò)交換其信息而彼此保持共同私密信息���, 則建立交叉鑒別���。
不過(guò)�,實(shí)際上移動(dòng)終端設(shè)備30并沒有可安全存儲(chǔ)私密信息的區(qū)域�����。由此��, 卡應(yīng)用11不能通過(guò)使用共同私密信息來(lái)執(zhí)行交叉鑒別��。因此�����,下載至移動(dòng)終 端設(shè)備30的Java(注冊(cè)商標(biāo))應(yīng)用程序31迄今尚不能利用存儲(chǔ)于安全設(shè)備的數(shù)據(jù)����。
在這種情況下,在安全設(shè)備10固接于移動(dòng)終端設(shè)備30以經(jīng)網(wǎng)絡(luò)接受來(lái) 自服務(wù)提供服務(wù)器的服務(wù)的情形下���,與安全設(shè)備IO彼此鑒別的服務(wù)提供服務(wù) 器能利用存儲(chǔ)于安全設(shè)備10的數(shù)據(jù)��,但是移動(dòng)終端設(shè)備30迄今僅扮演了傳 輸數(shù)據(jù)的輸送管的角色�。結(jié)果�,如圖8所示���,無(wú)法實(shí)施這種系統(tǒng)即移動(dòng)終 端設(shè)備30的應(yīng)用對(duì)安全設(shè)備10進(jìn)行數(shù)據(jù)的讀寫,以執(zhí)行計(jì)算���、顯示等高級(jí) 處理�。
發(fā)明內(nèi)容
在于提供一種應(yīng)用鑒別系統(tǒng)�,其能夠由安全設(shè)備來(lái)鑒別沒有安全信息隱含區(qū) 的終端設(shè)備上的應(yīng)用程序,還提供了構(gòu)成該系統(tǒng)的安全設(shè)備和終端i殳備��。
因此���,根據(jù)本發(fā)明���,提供了一種應(yīng)用鑒別系統(tǒng),其中固接或可卸地連接
程序��,其中安全設(shè)備鑒別終端設(shè)備上的應(yīng)用程序運(yùn)行裝置并還基于由應(yīng)用程 序運(yùn)行裝置執(zhí)行的應(yīng)用程序的處理鑒別應(yīng)用程序�,以請(qǐng)求訪問安全i殳備。
而且����,根據(jù)本發(fā)明,提供了一種安全設(shè)備�����,其固接或可卸地連接至終端 設(shè)備并包括卡管理器�����,用來(lái)執(zhí)行鑒別終端設(shè)備的處理��;和卡應(yīng)用��,用來(lái)將 鑒別處理作用于存儲(chǔ)于終端設(shè)備的訪問請(qǐng)求應(yīng)用���,其中卡應(yīng)用基于作用于由終端設(shè)備執(zhí)行的應(yīng)用程序的處理鑒別應(yīng)用程序�,接著確認(rèn)鑒別終端的處理已 由卡管理器完成�����,再接著接受已筌別的應(yīng)用程序的訪問請(qǐng)求�。
而且,根據(jù)本發(fā)明�����,提供了一種終端設(shè)備�����、其包括應(yīng)用程序運(yùn)行裝置和 應(yīng)用程序,其中應(yīng)用程序運(yùn)行裝置在固接的安全設(shè)備鑒別了應(yīng)用程序運(yùn)行裝 置后計(jì)算應(yīng)用程序的摘要數(shù)據(jù)��,以請(qǐng)求訪問安全設(shè)備����,接著使用摘要數(shù)據(jù)來(lái) 鑒別應(yīng)用程序,再接著向安全設(shè)備發(fā)出訪問請(qǐng)求�����。
結(jié)果�����,由于由安全設(shè)備執(zhí)行的終端鑒別和終端設(shè)備中的應(yīng)用鑒別是耦合 組裝的�����,故安全設(shè)備能鑒別運(yùn)作于沒有安全信息隱含區(qū)的終端設(shè)備上的應(yīng)用��。
圖1表示根據(jù)本發(fā)明第 一 實(shí)施例的應(yīng)用鑒別系統(tǒng)的過(guò)程的方框圖 圖2表示根據(jù)本發(fā)明第 一 實(shí)施例的應(yīng)用鑒別系統(tǒng)的構(gòu)成的方框圖 圖3表示根據(jù)本發(fā)明第二實(shí)施例的應(yīng)用鑒別系統(tǒng)的過(guò)程的方框圖 圖4表示根據(jù)本發(fā)明第二實(shí)施例的應(yīng)用鑒別系統(tǒng)的構(gòu)成的方框圖 圖5表示根據(jù)本發(fā)明第三實(shí)施例的應(yīng)用鑒別系統(tǒng)的過(guò)程的方框圖
圖6表示根據(jù)本發(fā)明第三實(shí)施例的應(yīng)用鑒別系統(tǒng)的構(gòu)成的方框圖
圖8是表示可由固接了安全設(shè)備的移動(dòng)終端設(shè)備實(shí)行的服務(wù)的原理圖�; 圖9是表示當(dāng)安全設(shè)備鑒別移動(dòng)終端設(shè)備上的應(yīng)用時(shí)造成的問題的方框圖。
在附圖中,附圖標(biāo)記IO代表安全設(shè)備�����;11代表卡應(yīng)用�����;13代表公共庫(kù)(卡 管理器)����;14代表簽名驗(yàn)證路由認(rèn)證��;15代表摘要數(shù)據(jù)�;30代表移動(dòng)終端設(shè) 備;31代表Java(注冊(cè)商標(biāo))應(yīng)用程序����;32代表OS; 33代表Java(注冊(cè)商標(biāo)) 運(yùn)行期環(huán)境(JAM); 34代表電子簽名;35代表私密信息存儲(chǔ)區(qū)��;而301代表 用戶的可寫區(qū)�����;302代表不可寫區(qū)。
具體實(shí)施方式
(第一實(shí)施例)
在根據(jù)本發(fā)明第 一 實(shí)施例的應(yīng)用鑒別系統(tǒng)中�,為了鑒別運(yùn)作于移動(dòng)終端 設(shè)備上的終端應(yīng)用,安全設(shè)備的卡應(yīng)用驗(yàn)證終端應(yīng)用是否正常應(yīng)用���。當(dāng)卡應(yīng) 用可確認(rèn)終端應(yīng)用是正常應(yīng)用時(shí)���,此卡應(yīng)用決定讓鑒別處理正常結(jié)束并接著接受從終端應(yīng)用發(fā)出的訪問請(qǐng)求。圖2從原理上表示構(gòu)成此系統(tǒng)的安全設(shè)備10和移動(dòng)終端設(shè)備30�����。移動(dòng)終端設(shè)備30具有"不可寫區(qū)302",其中信息在出廠時(shí)寫入ROM或閃存后就 不能寫入了���,和"用戶的可寫區(qū)301"�����,其中寫入了下載的應(yīng)用程序��。添附了電 子簽名34的Java(注冊(cè)商標(biāo))應(yīng)用程序31存儲(chǔ)于用戶的可寫區(qū)301中����。而且����, OS32和用來(lái)運(yùn)行Java(注冊(cè)商標(biāo))應(yīng)用程序31�、其是由Java(注冊(cè)商標(biāo))語(yǔ)言寫 成的計(jì)算機(jī)程序的Java(注冊(cè)商標(biāo))運(yùn)行期環(huán)境(JAM)33存儲(chǔ)于不可寫區(qū)302 中���。在此情形下�����,"不可寫區(qū)302"示意了這樣的區(qū)域其中存儲(chǔ)的信息決不 能由操作終端設(shè)備(例如應(yīng)用程序31)、來(lái)自外部設(shè)備(例如卡IO)的訪問等而 改寫��。該區(qū)域本身是否具有物理不可寫機(jī)構(gòu)(例如ROM)無(wú)足重輕�����。Java(注冊(cè)商標(biāo))應(yīng)用程序31中的電子簽名34是由認(rèn)證Java(注冊(cè)商標(biāo))應(yīng) 用程序31合法性的認(rèn)證權(quán)威而添加的��。摘要數(shù)據(jù)是通過(guò)將哈希運(yùn)算作用于 Java(注冊(cè)商標(biāo))應(yīng)用程序31而生成的�����,而接著電子簽名34是通過(guò)使用認(rèn)證權(quán) 威的密鑰對(duì)摘要數(shù)據(jù)進(jìn)行加密而生成的�。而且,移動(dòng)終端設(shè)備30使用其以執(zhí)行與安全設(shè)備10的交叉鑒別的終端 鑒別信息和含有電子簽名34的驗(yàn)證公鑰的認(rèn)證權(quán)威的應(yīng)用認(rèn)證被輸入JAM 33��。(此處,"被輸入���,��, 一詞示意相應(yīng)信息可作為代碼而嵌入JAM33�,或原樣 被收集為文件����。)同時(shí),安全設(shè)備10具有公共庫(kù)(卡管理器)13�、用來(lái)執(zhí)行移動(dòng)終端設(shè)備30 的鑒別處理,卡應(yīng)用11�、用來(lái)執(zhí)行運(yùn)作于移動(dòng)終端設(shè)備30上的Java(注冊(cè)商 標(biāo))應(yīng)用程序31的鑒別處理,簽名驗(yàn)證路由認(rèn)證14 ��、用來(lái)驗(yàn)證認(rèn)證權(quán)威的公鑰�����。而且���,安全設(shè)備10使用終端鑒別信息以執(zhí)行與移動(dòng)終端設(shè)備30的交叉 鑒別�����,該終端鑒別信息被輸入卡管理器13����。(此處,"被輸入" 一詞示意相應(yīng) 信息可作為代碼而嵌入卡管理器13,或原樣被收集為文件���。)在此情形下���,在本發(fā)明中,需要由移動(dòng)終端設(shè)備30來(lái)鑒別移動(dòng)終端設(shè)備 30,但不總需要由移動(dòng)終端設(shè)備30來(lái)鑒別安全設(shè)備10�����。在相應(yīng)實(shí)施例中��,"交 叉鑒別����,����,的情形應(yīng)用于安全設(shè)備10與移動(dòng)終端設(shè)備30之間。在此情形下����,"單邊鑒別"�。在圖1中使用箭頭來(lái)表示直到安全設(shè)備10的卡應(yīng)用11鑒別運(yùn)作于移動(dòng)
終端設(shè)備30上的Java(注冊(cè)商標(biāo))應(yīng)用程序31所需的過(guò)程����。
當(dāng)安全設(shè)備10固接于移動(dòng)終端設(shè)備30時(shí),安全設(shè)備10的卡管理器13 使用相應(yīng)的終端鑒別信息而執(zhí)行與移動(dòng)終端設(shè)備30的JAM33的交叉鑒別處 理(l)���。若建立了交叉鑒別����,則卡管理器13在安全設(shè)備10中設(shè)定指示成功的 標(biāo)志(交叉筌別路徑標(biāo)志)�。
在此情形下,使用安全設(shè)備的各種終端鑒別系統(tǒng)皆是已知的�����,而在此系 統(tǒng)中可運(yùn)用任何這些系統(tǒng)���。例如�����,安全設(shè)備可使用TCPA(可信計(jì)算平臺(tái)聯(lián)盟) 系統(tǒng)來(lái)鑒別BIOS(基本輸入輸出系統(tǒng))��,接著該BIOS可鑒別OS,再接著該 OS可鑒別Java(注冊(cè)商標(biāo))運(yùn)行期環(huán)境���。而且��,在移動(dòng)終端設(shè)備具有防篡改SIM 卡或安全LSI的情形下��,可運(yùn)用詢問和響應(yīng)系統(tǒng)���。簡(jiǎn)而言之,若可建立正常 終端的鑒別則可運(yùn)用任何系統(tǒng)��,而根本不在乎運(yùn)用了對(duì)于特定設(shè)備的捆綁系 統(tǒng)���。
鑒別時(shí)啟動(dòng)對(duì)安全設(shè)備10的訪問功能�,同時(shí)Java(注冊(cè)商標(biāo))應(yīng)用程序31要求 JAM33對(duì)安全設(shè)備10的訪問(2—1)���。 JAM33當(dāng)接受此要求時(shí),使用應(yīng)用認(rèn) 證中所含公鑰來(lái)驗(yàn)證Java(注冊(cè)商標(biāo))應(yīng)用程序31的電子簽名34���,從而鑒別了 Java(注冊(cè)商標(biāo))應(yīng)用程序31(2—2)����。
實(shí)行電子簽名34的驗(yàn)證是通過(guò)將哈希運(yùn)算作用于Java(注冊(cè)商標(biāo))應(yīng)用程 序31的數(shù)據(jù)以生成摘要數(shù)據(jù)、并接著將摘要數(shù)據(jù)與使用公鑰對(duì)電子簽名34 進(jìn)行解碼而得的數(shù)據(jù)進(jìn)行比較���。若是這些數(shù)據(jù)彼此吻合����,則JAM33可鑒別 Java(注冊(cè)商標(biāo))應(yīng)用程序31的合法性并可檢查^:據(jù)未遭墓改���。
JAM 33在鑒別Java(注冊(cè)商標(biāo))應(yīng)用程序31后�,將生成的Java(注冊(cè)商標(biāo)) 應(yīng)用程序31的摘要數(shù)據(jù)和電子簽名34呈現(xiàn)給安全設(shè)備10的卡應(yīng)用11(2—3)�。 與此響應(yīng),卡應(yīng)用11使用從簽名驗(yàn)證路由認(rèn)證14得來(lái)的公鑰對(duì)電子簽名34 進(jìn)行解碼�����,并接著驗(yàn)證與從JAM33饋入的摘要數(shù)據(jù)是否吻合����。JAM33在鑒 別Java(注冊(cè)商標(biāo))應(yīng)用程序31后,執(zhí)行從Java(注冊(cè)商標(biāo))應(yīng)用程序31發(fā)出的 訪問請(qǐng)求����,并接著將命令傳送至卡應(yīng)用11(3)。成功驗(yàn)證摘要數(shù)據(jù)的卡應(yīng)用11 憑交叉筌別路徑標(biāo)志來(lái)確認(rèn)卡管理器13的設(shè)備鑒別已完成�����,并接著接受該命 令。
在此方式下�����,應(yīng)用鑒別系統(tǒng)的安全設(shè)備通過(guò)確認(rèn)運(yùn)作于移動(dòng)終端上的應(yīng)用程序是正常應(yīng)用的事實(shí)而鑒別該應(yīng)用程序�。接著,為了達(dá)成此確認(rèn)�,第一階段,確認(rèn)存儲(chǔ)于移動(dòng)終端不可寫區(qū)的Java(注冊(cè)商標(biāo))運(yùn)行期環(huán)境(應(yīng)用程序 運(yùn)行裝置)的合法性�。 一旦得到了此確認(rèn),即不可能改寫應(yīng)用程序運(yùn)行裝置了��, 并因此應(yīng)用程序運(yùn)行裝置的可靠性一如繼往�。第二階段,取得移動(dòng)終端設(shè)備中安全設(shè)備的信任的應(yīng)用程序運(yùn)行裝置以 電子簽名來(lái)鑒別應(yīng)用程序�,并將應(yīng)用程序的摘要數(shù)據(jù)和電子簽名散發(fā)給安全 設(shè)備。安全設(shè)備決定從應(yīng)用程序運(yùn)行裝置生成后立即散發(fā)的摘要數(shù)據(jù)��,該應(yīng)用 程序運(yùn)行裝置取得了安全設(shè)備的信任�,作為可靠數(shù)據(jù)�����。第三階段,安全設(shè)備 使用電子簽名來(lái)驗(yàn)證摘要數(shù)據(jù)����。常應(yīng)用,該確認(rèn)是基于第一階段中��、第二階段和第三階段的鑒別處理��。按此方式��,此應(yīng)用鑒別系統(tǒng)使安全設(shè)備有可能基于第一階段�����、第二階段 和第三階段中的 一 系列鑒別處理鑒別沒有安全信息隱含區(qū)的終端設(shè)備上的應(yīng)用程序���。(第二實(shí)施例)在本發(fā)明第二實(shí)施例中���,將在下面解釋一種應(yīng)用鑒別系統(tǒng),其包括安全 設(shè)備���、其中存儲(chǔ)并發(fā)出了識(shí)別應(yīng)用程序的鑒別信息����,和移動(dòng)終端設(shè)備、在其 上運(yùn)作了應(yīng)用程序�����。務(wù)��,例如�����,若是如圖8所示的"電子票應(yīng)用程序"被下載到移動(dòng)終端設(shè)備30����, 則當(dāng)然安全設(shè)備IO是電子票的安全設(shè)備。圖4從原理上表示構(gòu)成此系統(tǒng)的安全設(shè)備10和移動(dòng)終端設(shè)備30����。存儲(chǔ) 于移動(dòng)終端設(shè)備30的用戶的可寫區(qū)301的Java(注冊(cè)商標(biāo))應(yīng)用程序31沒有簽 名。因此沒有應(yīng)用認(rèn)證輸入JAM33�。而且,如摘要數(shù)據(jù)15等識(shí)別Java(注冊(cè) 商標(biāo))應(yīng)用程序31的應(yīng)用鑒別信息事先存儲(chǔ)于安全設(shè)備10中�����。其余構(gòu)成與第 一實(shí)施例保持不變。在圖3中使用箭頭來(lái)表示此系統(tǒng)中的鑒別過(guò)程�。當(dāng)安全設(shè)備10固接于移動(dòng)終端設(shè)備30時(shí)����,安全設(shè)備10的卡管理器13 執(zhí)行與移動(dòng)終端設(shè)備30的JAM33的交叉鑒別處理(l),像在第一實(shí)施例中那 樣���。若建立了交叉鑒別�����,則卡管理器13在安全設(shè)備10中設(shè)定指示成功的交8叉鑒別路徑標(biāo)志��。而且����,若建立了交叉鑒別����,則移動(dòng)終端設(shè)備30的JAM33 啟動(dòng)對(duì)安全設(shè)備10的訪問功能,同時(shí)Java(注冊(cè)商標(biāo))應(yīng)用程序31請(qǐng)求JAM 33 對(duì)安全設(shè)備10的訪問(2—1)��。
JAM 33當(dāng)接受此請(qǐng)求時(shí)�,將哈希運(yùn)算作用于Java(注冊(cè)商標(biāo))應(yīng)用程序31 的數(shù)據(jù)以生成摘要數(shù)據(jù)(2—2)、并接著將摘要數(shù)據(jù)呈現(xiàn)給安全設(shè)備10的卡應(yīng) 用11(2—3)??☉?yīng)用11參照交叉鑒別路徑標(biāo)志來(lái)檢查卡管理器13的設(shè)備鑒 別已完成,接著將來(lái)自JAM 33的摘要數(shù)據(jù)與秘密地保持在安全設(shè)備10中的 摘要數(shù)據(jù)15進(jìn)行校對(duì)�,再接著將鑒別結(jié)果饋入JAM 33(2—4)。 JAM33當(dāng)?shù)?知Java(注冊(cè)商標(biāo))應(yīng)用程序31已鑒別時(shí)���,執(zhí)行從Java(注冊(cè)商標(biāo))應(yīng)用程序31 發(fā)出的訪問請(qǐng)求���,并接著將命令傳送至卡應(yīng)用11(3)。
按此方式��,在此應(yīng)用鑒別系統(tǒng)中�,不需要應(yīng)用程序的電子簽名(當(dāng)然,也 可提供該電子簽名)��,于是可簡(jiǎn)易化該系統(tǒng)���。
而且����,在操作者添附簽名的系統(tǒng)中�,不能消除操作者的控制。相形之下�����, 在不需要應(yīng)用程序的電子簽名的系統(tǒng)中,毋需操作者介入即可開展商務(wù)�。因 此,若在可能下載應(yīng)用程序的系統(tǒng)準(zhǔn)備好后��、被分別嵌入應(yīng)用鑒別信息的安 全設(shè)備被分配給用戶��,則有可能立即啟動(dòng)服務(wù)��。
在此情形下���,作為處理(2—3)的具體方法、即將來(lái)自應(yīng)用程序運(yùn)行裝置 的用來(lái)鑒別應(yīng)用程序的數(shù)據(jù)(摘要數(shù)據(jù))呈現(xiàn)給安全設(shè)備����,將考慮下面的方法。
據(jù)而非PIN,等�����,有一種手法�����,其使用應(yīng)用鑒別數(shù)據(jù)而非獲取詢問和外部鑒 別中的密鑰而呈現(xiàn)數(shù)據(jù),其是使用于IC卡的外部鑒別的系統(tǒng)的詢問和響應(yīng)的 已有命令�����,等等�����。
在后一種情形下��,在設(shè)備B鑒別普通詢問-響應(yīng)系統(tǒng)中的設(shè)備A的情況 下�����,當(dāng)充當(dāng)詢問-響應(yīng)處理的觸動(dòng)器的獲取詢問從設(shè)備A傳送至設(shè)備B時(shí)���, 設(shè)備B將第一信息作為事先保持的信息或任意生成的信息(隨機(jī)數(shù)等)發(fā)回設(shè) 備A��,接著設(shè)備A使用事先保持的密鑰(私密信息A)等對(duì)第一信息進(jìn)行加密 并然后將所加密的信息發(fā)送到設(shè)備B(外部鑒別)����,再接著設(shè)備B使用事先保 持的密鑰(私密信息B:對(duì)應(yīng)于私密信息A的私密信息)對(duì)加密信息進(jìn)行解密��, 以決定解密信息是否符合第一信息���。若將此系統(tǒng)應(yīng)用于本發(fā)明����,則設(shè)備A對(duì) 應(yīng)于應(yīng)用程序運(yùn)行裝置33而設(shè)備B對(duì)應(yīng)于卡應(yīng)用11。在此情形下��,因?yàn)樵O(shè) 備A沒有這樣的區(qū)域其中安全地保持了對(duì)應(yīng)于私密信息A的數(shù)據(jù)��,所以可分別運(yùn)用應(yīng)用程序運(yùn)行裝置33生成的摘要數(shù)據(jù)而非私密信息A���、和安全設(shè)備事先保持的摘要數(shù)據(jù)15而非私密信息B。 (第三實(shí)施例)在本發(fā)明第三實(shí)施例中�,將在下面解釋一種應(yīng)用鑒別系統(tǒng),其中取得移 動(dòng)終端設(shè)備中安全設(shè)備的信任的應(yīng)用程序運(yùn)行裝置以電子簽名來(lái)鑒別應(yīng)用程 序并接著安全設(shè)備接受此鑒別結(jié)果��。圖6從原理上表示構(gòu)成此系統(tǒng)的安全設(shè)備10和移動(dòng)終端設(shè)備30���。安全 設(shè)備IO沒有簽名驗(yàn)證路由認(rèn)證���。其余構(gòu)成與第一實(shí)施例保持不變。在圖5中使用箭頭來(lái)表示此系統(tǒng)中的鑒別過(guò)程�����。當(dāng)安全設(shè)備10固接于移動(dòng)終端設(shè)備30時(shí),安全設(shè)備10的卡管理器13 執(zhí)行與移動(dòng)終端設(shè)備30的JAM33的交叉鑒別處理(l)����,像在第一實(shí)施例中那 樣。若建立了交叉鑒別���,則卡管理器13在安全設(shè)備10中設(shè)定指示成功的交 叉鑒別路徑標(biāo)志��。而且�,若建立了與安全設(shè)備10的交叉鑒別�����,則移動(dòng)終端設(shè) 備30的JAM 33啟動(dòng)對(duì)安全設(shè)備10的訪問功能�����,而且Java(注冊(cè)商標(biāo))應(yīng)用程 序31請(qǐng)求JAM 33對(duì)安全設(shè)備10的訪問(2—1)���。 JAM 33當(dāng)接受此要求時(shí)����, 使用應(yīng)用認(rèn)證中所含公鑰來(lái)驗(yàn)證Java(注冊(cè)商標(biāo))應(yīng)用程序31的電子簽名34 以因此鑒別Java(注冊(cè)商標(biāo))應(yīng)用程序31 (2—2)����。 JAM 33的這一 Java(注冊(cè)商 標(biāo))應(yīng)用程序31的鑒別處理與在第一實(shí)施例中解釋的一模一樣�����。JAM 33在鑒別Java(注冊(cè)商標(biāo))應(yīng)用程序31時(shí)�����,執(zhí)行從Java(注冊(cè)商標(biāo)) 應(yīng)用程序31發(fā)出的訪問請(qǐng)求�����,并接著將命令傳送至卡應(yīng)用11(3)。安全設(shè)備 10的卡應(yīng)用11使用交叉鑒別路徑標(biāo)志來(lái)確認(rèn)卡管理器13的設(shè)備鑒別已完成�, 并接著接受該命令。按此方式��,當(dāng)此應(yīng)用鑒別系統(tǒng)的安全設(shè)備通過(guò)與移動(dòng)終 端設(shè)備的交叉鑒別來(lái)鑒別存儲(chǔ)于移動(dòng)終端設(shè)備的不可寫區(qū)的Java(注冊(cè)商標(biāo)) 運(yùn)行期環(huán)境(應(yīng)用程序運(yùn)行裝置)時(shí)�����,這些安全設(shè)備憑由應(yīng)用程序運(yùn)行裝置執(zhí)行 的電子簽名而相信應(yīng)用程序的鑒別結(jié)果�����、并鑒別該應(yīng)用程序。在此應(yīng)用鑒別系統(tǒng)中�,對(duì)將簽名添附至應(yīng)用程序(J2SE等)的方案進(jìn)行規(guī) 范的已有系統(tǒng)可原樣被利用。而且�,使用該方案而將簽名添附至應(yīng)用程序的 系統(tǒng)可不費(fèi)事地移植到此實(shí)施例中的系統(tǒng)中。而且���,與第二實(shí)施例的情形相 比����,具有將簽名添附至應(yīng)用程序的權(quán)限的操作者等主管人能在此系統(tǒng)中控制 商務(wù)����。在此情形下,如在各實(shí)施例中所示��,存在其中卡應(yīng)用控制對(duì)存儲(chǔ)數(shù)據(jù)的訪問的程序應(yīng)用型安全設(shè)備����、和其中決定需要訪問存儲(chǔ)文件的安全條件的文
件應(yīng)用型設(shè)備作為安全設(shè)備。在后一種安全設(shè)備中�,如圖7所示,當(dāng)Java(注 冊(cè)商標(biāo))運(yùn)行期環(huán)境通過(guò)卡管理器的鑒別時(shí)�����,該安全設(shè)備可訪問Java(注冊(cè)商標(biāo)) 運(yùn)行期環(huán)境所選擇的DF(專用文件)的附屬EF(基本文件)。而且����,當(dāng)在各實(shí)施 例中由系統(tǒng)鑒別應(yīng)用程序時(shí),安全條件可以按這種方式設(shè)定即安全設(shè)備可 訪問應(yīng)用程序選#^的DF的附屬EF�����。
在此情形下��,并未明確地說(shuō)即使在安全設(shè)備鑒別了應(yīng)用程序運(yùn)行裝置 后��,.懷惡意的的人也不能將自己設(shè)成應(yīng)用程序運(yùn)行裝置以向安全設(shè)備發(fā)出指 令���,就像是經(jīng)位于與終端設(shè)備固接部分處的安全設(shè)備的端口而從應(yīng)用程序運(yùn) 行裝置發(fā)出的信號(hào)���。在此情形下�����,最好是為了防止此假冒��,應(yīng)當(dāng)設(shè)有能夠 確認(rèn)指令確實(shí)是從應(yīng)用程序運(yùn)行裝置發(fā)出的系統(tǒng)。作為此系統(tǒng)��,可考慮下面 的系統(tǒng)����。
換言之,在卡管理器13鑒別應(yīng)用程序運(yùn)行裝置33的處理(l)中�����,任何信 息皆可從卡管理器13發(fā)送至應(yīng)用程序運(yùn)行裝置33,從而兩個(gè)裝置共同處理 信息�����,或若在兩個(gè)裝置中保持(或生成)共同信息則存儲(chǔ)該信息��。若假設(shè)此信息 是第二信息����,則此第二信息也在處理(3)中附加,在處理(3)中訪問請(qǐng)求從應(yīng)用 程序運(yùn)行裝置33發(fā)出至卡應(yīng)用11��?����?☉?yīng)用ll僅接受第二信息被附加至所收 訪問請(qǐng)求的請(qǐng)求。不過(guò)�,除非附加了第二信息,否則卡應(yīng)用ll視假冒等訪問 為不正當(dāng)訪問而不接受處理�。此處,"附加第二信息" 一詞示意將第二信息附 加至訪問請(qǐng)求�����;或?qū)υL問請(qǐng)求的全部信息或部分信息原樣或在其正常運(yùn)轉(zhuǎn)后 進(jìn)行力口密����。
從以上解釋中可顯見,根據(jù)本發(fā)明的應(yīng)用鑒別系統(tǒng)�,由安全設(shè)備來(lái)鑒別 執(zhí)行于沒有安全信息隱含區(qū)的終端設(shè)備上的應(yīng)用程序是可行的。因此�,終端 設(shè)備上的應(yīng)用程序可訪問固接于終端設(shè)備的安全設(shè)備中的數(shù)據(jù),并于是可實(shí) 行高級(jí)處理�����。
權(quán)利要求
1.一種終端�,包括應(yīng)用程序存儲(chǔ)單元,存儲(chǔ)至少一個(gè)應(yīng)用程序�;應(yīng)用程序執(zhí)行環(huán)境���,驗(yàn)證和執(zhí)行所述應(yīng)用程序��;OS(操作系統(tǒng))���,驗(yàn)證和調(diào)用所述應(yīng)用程序執(zhí)行環(huán)境�;BIOS(基本輸入輸出系統(tǒng))���,驗(yàn)證和調(diào)用所述OS��;和安全設(shè)備��,驗(yàn)證所述BIOS���;其中,所述應(yīng)用程序執(zhí)行環(huán)境發(fā)送包括所述應(yīng)用程序的哈希的信息給所述安全設(shè)備��,并且所述安全設(shè)備驗(yàn)證包括所述應(yīng)用程序的哈希的所述信息的有效性��。
2. 如權(quán)利要求l所述的終端��,其中所述應(yīng)用程序請(qǐng)求訪問由所述安全設(shè) 備保存的數(shù)據(jù)�����,并且當(dāng)所述安全設(shè)備未驗(yàn)證所述信息時(shí),所述安全設(shè)備拒絕 所述訪問��。
3. —種驗(yàn)證終端上的應(yīng)用程序的方法�����,包括步驟 由安全設(shè)備驗(yàn)證BIOS (基本輸入輸出系統(tǒng))���;由BIOS驗(yàn)證和調(diào)用OS (操作系統(tǒng))��; 由OS驗(yàn)證和調(diào)用應(yīng)用程序執(zhí)行環(huán)境����;由應(yīng)用程序執(zhí)行環(huán)境驗(yàn)證和執(zhí)行存儲(chǔ)在所述終端的應(yīng)用程序存儲(chǔ)單元中 的應(yīng)用程序���;由所述應(yīng)用程序執(zhí)行環(huán)境發(fā)送包括所述應(yīng)用程序的哈希的信息給所述安 全設(shè)備����;和由所述安全設(shè)備驗(yàn)證收到的��、包括所述應(yīng)用程序的哈希的信息的有效性���。
4. 如權(quán)利要求3所述的方法�����,還包括 從所述應(yīng)用程序請(qǐng)求訪問由所述安全設(shè)備保存的數(shù)據(jù)���,并且 當(dāng)所述安全設(shè)備未能驗(yàn)證所述信息時(shí),拒絕所述訪問����。
全文摘要
本發(fā)明提供了一種應(yīng)用鑒別系統(tǒng),其能夠由安全設(shè)備來(lái)鑒別沒有安全信息隱含區(qū)的終端設(shè)備上的應(yīng)用程序�。在其中固接于沒有安全信息隱含區(qū)的終端設(shè)備30的安全設(shè)備10鑒別存儲(chǔ)于終端設(shè)備中的應(yīng)用程序31的應(yīng)用鑒別系統(tǒng)中,安全設(shè)備10鑒別存儲(chǔ)于終端設(shè)備的不可寫區(qū)302中的應(yīng)用程序運(yùn)行裝置33�,并還基于由應(yīng)用程序運(yùn)行裝置執(zhí)行的應(yīng)用程序31的處理鑒別應(yīng)用程序、以請(qǐng)求訪問安全設(shè)備�。由于由安全設(shè)備執(zhí)行的終端鑒別和終端設(shè)備內(nèi)執(zhí)行的應(yīng)用鑒別是耦合組裝的,故安全設(shè)備能鑒別運(yùn)作于沒有安全信息隱含區(qū)的終端設(shè)備上的應(yīng)用����。
文檔編號(hào)G06F21/22GK101329787SQ20081014412
公開日2008年12月24日 申請(qǐng)日期2004年2月26日 優(yōu)先權(quán)日2003年2月28日
發(fā)明者峰村淳 申請(qǐng)人:松下電器產(chǎn)業(yè)株式會(huì)社