專利名稱：資源管理系統(tǒng)及相應(yīng)方法
技術(shù)領(lǐng)域：
本發(fā)明涉及一種用于管理產(chǎn)品的可配置資源的資源管理系統(tǒng)。本發(fā)明還涉及ー種用于管理產(chǎn)品的可配置資源的方法。
背景技術(shù)：
在過去十年，智能卡的技術(shù)領(lǐng)域已經(jīng)取得了許多重要成果。智能卡可以提供身份證、認(rèn)證、數(shù)據(jù)存儲和許多不同應(yīng)用領(lǐng)域的應(yīng)用處理功能。智能卡的益處依賴于編程用于卡上的信息和應(yīng)用程序的數(shù)量。例如，可以利用如下信息對單個接觸受限智能卡或非接觸式智能卡編程多個銀行憑證、醫(yī)療權(quán)限數(shù)據(jù)(entitlement data)、駕駛證或公共運輸權(quán)限數(shù)據(jù)、會員程序和俱樂部成員?？梢詫⒍喾N因素和接近認(rèn)證嵌入智能卡中，以增加由卡提供的服務(wù)的安全性。例如，可以對智能卡編程，·以允許只有當(dāng)智能卡處于諸如唯一配對移動電話之類的另一設(shè)備的范圍內(nèi)時才進(jìn)行非接觸式交易。這可以極大地增加智能卡的安全性。更新的發(fā)展是所謂的虛擬卡的概念。例如，申請人在市場上買賣了 Mifare Plus技木，該技術(shù)具有所謂的虛擬卡架構(gòu)的特征?；旧希摂M卡體系結(jié)構(gòu)使得能夠根據(jù)許可證配置安全元件或物理智能卡，所述許可證授權(quán)使用由智能卡提供的特定資源集。換言之，許可證指定可以使用智能卡的哪些功能集合或子集。因此，許可證可以用于配置智能卡的資源。虛擬卡被定義為能夠進(jìn)行特定許可功能的智能卡。典型地，通過包括若干団體的分發(fā)鏈來銷售安全元件。例如，通過芯片制造商來制造安全元件，其中芯片制造商也是許可者。由許可者將安全元件投入市場。安全元件被配置為包括所述種類的多個虛擬卡。由諸如委托服務(wù)管理者(TSM)之類的另一団體管理虛擬卡，其中所述委托服務(wù)管理者充當(dāng)了被許可者。常規(guī)上，ー個或多個委托服務(wù)管理者接收需要在安全元件上創(chuàng)建的虛擬卡的密鑰。典型地，需要多個密鑰來管理虛擬卡在安全元件上的創(chuàng)建，或者換句話說，在將安全元件投入市場之后配置安全元件的資源。

發(fā)明內(nèi)容
本發(fā)明的目的在于，提供ー種安全且有效的資源管理系統(tǒng)及相應(yīng)方法，用于管理經(jīng)由所述種類的分發(fā)鏈投入市場的產(chǎn)品的資源。具體地，本發(fā)明的目的在于減少用于管理所述資源所需的密鑰的數(shù)目。這通過權(quán)利要求I限定的系統(tǒng)和權(quán)利要求11限定的方法來實現(xiàn)。根據(jù)本發(fā)明資源管理系統(tǒng)的ー個方面，資源管理系統(tǒng)包括許可者、被許可者和產(chǎn)品，其中許可者被配置為在產(chǎn)品中存儲第一密鑰，井向被許可者發(fā)送許可證；許可者還被配置為使用第一密鑰將導(dǎo)出函數(shù)應(yīng)用于許可證來產(chǎn)生第二密鑰；許可者還被配置為向被許可者發(fā)送第二密鑰；被許可者被配置為產(chǎn)生配置請求，所述配置請求包括許可證和許可證使用指令；被許可者還被配置為使用第二密鑰將保護函數(shù)應(yīng)用于配置請求的至少一部分；被許可者還被配置為向產(chǎn)品發(fā)送配置請求；產(chǎn)品被配置為使用第一密鑰通過將所述導(dǎo)出函數(shù)應(yīng)用于許可證，來產(chǎn)生驗證密鑰；產(chǎn)品還被配置為通過如下操作來驗證接收到的配置請求使用驗證密鑰將所述保護函數(shù)應(yīng)用于配置請求的至少一部分，并且將得到的結(jié)果與被許可者所應(yīng)用保護函數(shù)的結(jié)果相比較。在將產(chǎn)品發(fā)行到市場上時，也不需要知道產(chǎn)品的準(zhǔn)確許可條件。通過向被許可者提供的第二密鑰來管理許可條件和產(chǎn)品資源的相關(guān)聯(lián)配置。然而，被許可者不知道第一密鑰和導(dǎo)出函數(shù)。因此，確保了被許可者不可能要求比許可者允許的產(chǎn)品資源要多的產(chǎn)品資源。根據(jù)本發(fā)明資源管理系統(tǒng)的另一方面，產(chǎn)品還被配置為只有當(dāng)比較結(jié)果相同吋，才根據(jù)許可證使用指令來配置產(chǎn)品的資源。根據(jù)本發(fā)明資源管理系統(tǒng)的又一方面，許可證和許可證使用指令包括字節(jié)串。根據(jù)本發(fā)明資源管理系統(tǒng)的又一方面，配置請求包括可選的其它信息。
·
根據(jù)本發(fā)明資源管理系統(tǒng)的又一方面，被許可者和產(chǎn)品所應(yīng)用的保護函數(shù)包括消息認(rèn)證代碼的產(chǎn)生，其中相應(yīng)地使用第二密鑰和驗證密鑰針對許可證和許可證使用指令計算所述消息認(rèn)證代碼。根據(jù)本發(fā)明資源管理系統(tǒng)的又一方面，被許可者應(yīng)用的保護函數(shù)包括使用第二密鑰、應(yīng)用于許可證和許可證使用指令的對稱加密算法，以及產(chǎn)品所應(yīng)用的保護函數(shù)包括使用驗證密鑰的相應(yīng)解密算法。根據(jù)本發(fā)明資源管理系統(tǒng)的又一方面，被許可者還被配置為經(jīng)由服務(wù)運營商向產(chǎn)品發(fā)送配置請求；服務(wù)運營商被配置為將密鑰集附加至配置請求；產(chǎn)品還被配置為只有當(dāng)配置請求包括所述密鑰集時，才授權(quán)訪問產(chǎn)品的資源。根據(jù)本發(fā)明資源管理系統(tǒng)的又一方面，產(chǎn)品還被配置為產(chǎn)生所述密鑰集，且向服務(wù)運營商發(fā)送所述密鑰集。根據(jù)本發(fā)明資源管理系統(tǒng)的又一方面，產(chǎn)品是安全元件。根據(jù)本發(fā)明資源管理系統(tǒng)的又一方面，所述資源管理系統(tǒng)還包括用于在移動設(shè)備中嵌入安全元件的手機制造商以及用于將移動設(shè)備投入市場的移動網(wǎng)路運營商。最后，根據(jù)本發(fā)明的ー個方面，一種用于在資源管理系統(tǒng)中管理產(chǎn)品資源的方法，所述資源管理系統(tǒng)包括許可者、被許可者和產(chǎn)品，所述方法包括許可者在產(chǎn)品中存儲第一密鑰，井向被許可者發(fā)送許可證；許可者還使用第一密鑰通過將導(dǎo)出函數(shù)應(yīng)用于許可證來產(chǎn)生第二密鑰；許可者還向被許可者發(fā)送第二密鑰；被許可者產(chǎn)生配置請求，所述配置請求包括許可證和許可證使用指令；被許可者使用第二密鑰將保護函數(shù)應(yīng)用于配置請求的至少一部分；被許可者還向產(chǎn)品發(fā)送配置請求；產(chǎn)品使用第一密鑰通過將所述導(dǎo)出函數(shù)應(yīng)用于許可證，來產(chǎn)生驗證密鑰；產(chǎn)品還通過如下操作來驗證接收到的配置請求使用驗證密鑰將所述保護函數(shù)應(yīng)用于配置請求的至少一部分，并且將得到的結(jié)果與被許可者所應(yīng)用的保護函數(shù)的結(jié)果相比較。


將參考附圖更詳細(xì)地描述本發(fā)明，其中圖I示出了根據(jù)本發(fā)明的資源管理系統(tǒng)的第一實施例；圖2示出了根據(jù)本發(fā)明的資源管理系統(tǒng)的第二實施例；
圖3示出了根據(jù)本發(fā)明的資源管理系統(tǒng)的第三實施例；
具體實施例方式圖I示出了根據(jù)本發(fā)明的資源管理系統(tǒng)的第一實施例100。資源管理系統(tǒng)100包括許可者102，許可者102經(jīng)由第一通信信道108與產(chǎn)品104通信。典型地，許可者102是芯片制造商，以及產(chǎn)品104是芯片制造商生產(chǎn)的安全元件。在這種情況下，例如，第一通信信道108可以包括用于在制造期間在所述產(chǎn)品104中存儲信息的裝置。許可者102經(jīng)由第二通信信道110 (優(yōu)選地，安全信道)與被許可者106通信。被許可者106經(jīng)由第三信道112與產(chǎn)品104通信。典型地，被許可者106是委托服務(wù)管理者(TSM)。在操作中，許可者102(或者代表許可者操作的団體)在產(chǎn)品104中存儲第一密鑰。第一密鑰被稱作資源管理密鑰，并且由Kl表示。許可者102向被許可者106發(fā)送許可證，許可證由L表示并且包括例如字節(jié)串。許可者102還使用資源管理密鑰通過將導(dǎo)出函數(shù)應(yīng)用于許可證來產(chǎn)生第二密鑰(被稱作批量(wholesale)密鑰，并由K2表示)。導(dǎo)出函
數(shù)由D表示，所以如下產(chǎn)生批量密鑰K2 = D(Kl)。許可者102還向被許可者106發(fā)送批量密鑰。被許可者106繼而產(chǎn)生配置請求，其中，配置請求是消息，所述消息包括許可證及用于按照期望方式配置產(chǎn)品的資源的指令。這些指令被稱作許可證使用指令，并且由LU表示。能夠配置資源的方式和程度由許可證確定。此外，被許可者106使用批量密鑰將保護函數(shù)應(yīng)用于配置請求中的至少一部分。例如，配置請求可以采取以下形式的消息M1 = L| LU 0011 |MAC(K2,LI I LU I I 001)，其中001表示可選的其它信息，以及MAC表示保護函數(shù)的特定示例，即，產(chǎn)生消息認(rèn)證代碼，其中所消息認(rèn)證代碼是使用批發(fā)密鑰針對許可證、許可證使用指令和可選其它信息來計算的。備選地，保護函數(shù)可以包括再次使用批發(fā)密鑰應(yīng)用于許可證和許可證使用指令的對稱加密算法。被許可者106還向產(chǎn)品104發(fā)送配置請求。產(chǎn)品104繼而通過使用資源管理密鑰Kl將所述導(dǎo)出函數(shù)D用于許可證L來產(chǎn)生驗證密鑰(由VK表示)。因此，VK = D(K1)。應(yīng)注意，產(chǎn)品知道導(dǎo)出函數(shù)D和資源管理密鑰K1，原因在于，例如在產(chǎn)品104在市場上發(fā)行以前，許可者102已經(jīng)將導(dǎo)出函數(shù)D和資源管理密鑰Kl插入到了產(chǎn)品104中。在將產(chǎn)品104發(fā)行到市場上吋，也不需要知道精確的許可條件。經(jīng)由批發(fā)密鑰K2來管理許可條件和產(chǎn)品104的資源的相關(guān)聯(lián)配置，其中在將產(chǎn)品104發(fā)行到市場之后，向被許可者106提供批量密鑰K2。然而，被許可者106不知道資源管理密鑰Kl和導(dǎo)出函數(shù)D。因此，確保了被許可者106不可能要求比許可者102允許的產(chǎn)品104的資源更多的產(chǎn)品104的資源。然而，一旦產(chǎn)品104處于市場中，則產(chǎn)品104將從被許可者106接收配置請求，并且產(chǎn)品104需要一種有效方式用于驗證這些請求。具體地，產(chǎn)品104需要能夠驗證特定被許可者106所提供的許可證L在許可者102與產(chǎn)品104之間的路徑上是否已經(jīng)被修改。此吋，因為產(chǎn)品104與許可者102在物理上分離，所以產(chǎn)品104需要獨立地執(zhí)行這個驗證。本發(fā)明用于對配置請求進(jìn)行有效驗證。產(chǎn)品104通過如下方式驗證接收到的配置請求通過使用驗證密鑰將所述保護函數(shù)應(yīng)用于配置請求中的至少一部分，并且將得到的結(jié)果與被許可者106所應(yīng)用的保護函數(shù)的結(jié)果相比較。例如，產(chǎn)品計算代碼MAC (VK, L | | LU | | 001)，并且將該代碼與代碼MAC (K2，Li LU| 001)相比較。應(yīng)注意，后面的代碼形成了產(chǎn)品104從被許可者106接收到的配置請求Ml的一部分。如果代碼相同，則驗證的結(jié)果是肯定，并且產(chǎn)品104根據(jù)在配置請求Ml中嵌入的許可證使用指令LU配置其資源。備選地，如上所述，被許可者106可以使用批發(fā)密鑰K2將對稱加密算法用于許可證L和許可證使用指令LU。所以，例如，配置請求可以采取如下形式的消息M1 = ENC(K2,L| LU I 001)，其中，001表示可選的其它信息，并且ENC表示對稱加密算法。在這種情況下，產(chǎn)品104使用驗證密鑰VK(從而通過應(yīng)用函數(shù)DEC(VK，L| LU I 001))，通過相應(yīng)的解密算法來解密配置請求。現(xiàn)在，通過對許可證和許可證使用指令的加密/解密來保護許可證和配置請求的完整性。如果解密成功，則被許可者106施加的保護函數(shù)的結(jié)果與產(chǎn)品104施加的保護函數(shù)的結(jié)果被認(rèn)為是相同的，并且產(chǎn)品104根據(jù)許可證使用指令LU來配置其資源。 圖2示出了根據(jù)本發(fā)明的資源管理系統(tǒng)的第二實施例200。在該實施例中，被許可者(106)還被配置為經(jīng)由服務(wù)運營商202向產(chǎn)品104發(fā)送配置請求。首先，被許可者(106)被布置為通過第四通信信道204向服務(wù)運營商202發(fā)送配置請求。服務(wù)運營商202被配置為將密鑰集K3附加至配置請求，從而導(dǎo)致Ml| |K3。產(chǎn)品104還被配置為只有當(dāng)配置請求保護所述密鑰集K3時，才授權(quán)訪問其資源。在僅知道密鑰K3的団體可以有效地請求產(chǎn)品104的資源配置的方面，該系統(tǒng)更安全。被許可者(106)不會直接訪問產(chǎn)品104，但是需要服務(wù)運營商202發(fā)送配置請求。為了進(jìn)一歩改善系統(tǒng)的安全性，產(chǎn)品104還可以被配置為產(chǎn)生所述密鑰集K3，并且向服務(wù)運營商202發(fā)送所述密鑰集。然后，服務(wù)運營商202被配置為按照上述方式使用密鑰集K3。圖3示出了根據(jù)本發(fā)明的資源管理系統(tǒng)的第三實施例300。在該實施例中，產(chǎn)品104是安全元件，并且系統(tǒng)還包括用于在移動設(shè)備中嵌入安全元件的手機制造商302和用于將移動設(shè)備投入市場的移動網(wǎng)絡(luò)運營商304。該實施例適合典型商業(yè)模型，其中安全元件是由中間方投入市場的終端產(chǎn)品的部件。產(chǎn)品104變得在物理上與許可者102相分離，并且需要獨立地執(zhí)行對任何請求的驗證，以配置其資源。本發(fā)明提供了用于實現(xiàn)這種驗證的有效方式。上述優(yōu)選實施例示出了本發(fā)明，而非限制本發(fā)明，本領(lǐng)域技術(shù)人員將能夠在不背離所附權(quán)利要求的范圍的情況下設(shè)計多種備選實施例。在權(quán)利要求中，圓括號之間放置的任何附圖標(biāo)記不應(yīng)該解釋為限制權(quán)利要求。詞語“包括”不排除未在權(quán)利要求中列出的元件或步驟的存在。元件之前的詞語“一個”不排除多個這種元件的存在?？梢酝ㄟ^包括若干不同元件的硬件實現(xiàn)本發(fā)明，和/或通過適當(dāng)編程的處理器實現(xiàn)本發(fā)明。在列舉了若干裝置的設(shè)備權(quán)利要求中，可以通過ー個裝置和硬件的相同項來實現(xiàn)這些裝置中的若干項。在互不相同的從屬權(quán)利要求中記載某些特征的唯一事實并非指示不可以有利地使用這些特征的組合。參考符號的列表100資源管理系統(tǒng)的第一實施例
102許可者104 產(chǎn)品106被許可者108第一通信信道110第二通信信道112第三通信信道200資源管理系統(tǒng)的第二實施例202服務(wù)運營商
204第四通信信道206第五通信信道300資源管理系統(tǒng)的第三實施例302手機制造商304移動網(wǎng)絡(luò)運營商306第六通信信道308第七通信信道310第八通信信道
權(quán)利要求
1.一種用于管理產(chǎn)品(104)的可配置資源的資源管理系統(tǒng)(100;200;300)，所述資源管理系統(tǒng)(100 ；200 ；300)包括許可者(102)、被許可者(106)和產(chǎn)品(104)，其中 -許可者(102)被布置為在產(chǎn)品(104)中存儲第一密鑰，并向被許可者(106)發(fā)送許可證； -許可者(102)還被布置為使用第一密鑰將導(dǎo)出函數(shù)應(yīng)用于許可證來產(chǎn)生第二密鑰； -許可者(102)還被布置為向被許可者(106)發(fā)送第二密鑰； -被許可者(106)被布置為產(chǎn)生配置請求，所述配置請求包括許可證和許可證使用指令； -被許可者(106)還被布置為使用第二密鑰將保護函數(shù)應(yīng)用于配置請求的至少一部分； -被許可者(106)還被布置為向產(chǎn)品(104)發(fā)送配置請求； -產(chǎn)品(104)被布置為通過使用第一密鑰將所述導(dǎo)出函數(shù)應(yīng)用于許可證，來產(chǎn)生驗證密鑰； -產(chǎn)品(104)還被布置為通過以下操作來驗證接收到的配置請求使用驗證密鑰將所述保護函數(shù)應(yīng)用于配置請求的至少一部分，并且將得到的結(jié)果與被許可者(106)所應(yīng)用的保護函數(shù)的結(jié)果相比較。
2.如權(quán)利要求I所述的資源管理系統(tǒng)(100；200 ;300)，其中，產(chǎn)品(104)還被布置為只有當(dāng)比較結(jié)果相同時，才根據(jù)許可證使用指令來配置其資源。
3.如權(quán)利要求I所述的資源管理系統(tǒng)(100;200;300)，其中，許可證和許可證使用指令包括字節(jié)串。
4.如權(quán)利要求I所述的資源管理系統(tǒng)(100；200 ;300)，其中，配置請求包括可選的其它信息。
5.如權(quán)利要求I所述的資源管理系統(tǒng)(100；200 ;300)，其中，被許可者(106)和產(chǎn)品(104)所應(yīng)用的保護函數(shù)包括消息認(rèn)證代碼的產(chǎn)生，其中所述消息認(rèn)證代碼是分別使用第二密鑰和驗證密鑰通過許可證和許可證使用指令來計算的。
6.如權(quán)利要求I所述的資源管理系統(tǒng)(100；200 ;300)，其中，被許可者(106)所應(yīng)用的保護函數(shù)包括使用第二密鑰、應(yīng)用于許可證和許可證使用指令的對稱加密算法，以及產(chǎn)品(104)所應(yīng)用的保護函數(shù)包括使用驗證密鑰的對應(yīng)解密算法。
7.如權(quán)利要求I所述的資源管理系統(tǒng)(100；200 ；300)， -其中，被許可者(106)還被布置為經(jīng)由服務(wù)運營商(202)向產(chǎn)品(104)發(fā)送配置請求； -其中，服務(wù)運營商(202)被布置為將密鑰集附加至配置請求； -其中，產(chǎn)品(104)還被布置為只有當(dāng)配置請求包括所述密鑰集時，才授權(quán)訪問其資源。
8.如權(quán)利要求7所述的資源管理系統(tǒng)(100；200 ;300)，其中，產(chǎn)品(104)還被布置為產(chǎn)生所述密鑰集，并且向服務(wù)運營商(202)發(fā)送所述密鑰集。
9.如權(quán)利要求I所述的資源管理系統(tǒng)(100；200 ;300)，其中，產(chǎn)品(104)是安全元件。
10.如權(quán)利要求9所述的資源管理系統(tǒng)(100；200 ；300)， -還包括用于在移動設(shè)備中嵌入安全元件的手機制造商(302)；-還包括用于將移動設(shè)備投入市場的移動網(wǎng)絡(luò)運營商(304)
11.一種資源管理系統(tǒng)(100 ；200 ；300)中管理產(chǎn)品(104)的可配置資源的方法，所述資源管理系統(tǒng)(100 ；200 ；300)包括許可者(102)、被許可者(106)和產(chǎn)品(104)，其中 -許可者(102)在產(chǎn)品(104)中存儲第一密鑰，并向被許可者(106)發(fā)送許可證； -許可者(102)還使用第一密鑰將導(dǎo)出函數(shù)應(yīng)用于許可證來產(chǎn)生第二密鑰； -許可者(102)還向被許可者(106)發(fā)送第二密鑰； -被許可者(106)產(chǎn)生配置請求，所述配置請求包括許可證和許可證使用指令； -被許可者(106)使用第二密鑰將保護函數(shù)應(yīng)用于配置請求的至少一部分； -被許可者(106)還向產(chǎn)品(104)發(fā)送配置請求； -產(chǎn)品(104)通過使用第一密鑰將所述導(dǎo)出函數(shù)應(yīng)用于許可證，來產(chǎn)生驗證密鑰；-產(chǎn)品(104)還通過以下操作來驗證接收到的配置請求使用驗證密鑰將所述保護函數(shù)應(yīng)用于配置請求的至少一部分，并且將得到的結(jié)果與被許可者(106)所應(yīng)用的保護函數(shù)的結(jié)果相比較。
全文摘要
本發(fā)明提供了一種安全而有效的資源管理系統(tǒng)及相應(yīng)方法，用于管理由許可者經(jīng)由分發(fā)鏈投入市場的產(chǎn)品的資源。具體地，可以減少用于管理所述資源所需的密鑰的數(shù)目。在將產(chǎn)品發(fā)行到市場上時，不需要知道產(chǎn)品的準(zhǔn)確許可條件。通過向被許可者提供的第二密鑰來管理許可條件和產(chǎn)品的資源的相關(guān)聯(lián)配置。然而，被許可者不知道第一密鑰和基于第一密鑰產(chǎn)生所述第二密鑰的導(dǎo)出函數(shù)。因此，確保了被許可者不可能要求比許可者允許的產(chǎn)品的資源要多的產(chǎn)品的資源。
文檔編號G06F21/64GK102855446SQ201210214010
公開日2013年1月2日 申請日期2012年6月25日 優(yōu)先權(quán)日2011年6月27日
發(fā)明者漢斯·德容 申請人:Nxp股份有限公司