專利名稱:電子設(shè)備上業(yè)務(wù)的開通的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種用于開通由電子設(shè)備提供的業(yè)務(wù)的方法、一種這樣的電子設(shè)備以及一種包括這樣的電子設(shè)備的系統(tǒng)。
背景技術(shù):
對于便攜式數(shù)據(jù)載體和移動電子設(shè)備公知有多種安全性機(jī)制,這些安全性機(jī)制要確保設(shè)備和其上存儲的數(shù)據(jù)的完整性,或者要確保數(shù)據(jù)載體或其擁有者的唯一標(biāo)識。這些保護(hù)完整性或可以進(jìn)行識別的機(jī)制的技術(shù)基礎(chǔ),通常是特別保險(xiǎn)的存儲區(qū)域,以便在其中例如存儲防偽的標(biāo)識數(shù)據(jù)。例如,存在特別的隔離機(jī)制,通過該隔離機(jī)制,能夠建立用于安全性關(guān)鍵的數(shù)據(jù)和處理設(shè)置終端設(shè)備的硬件區(qū)域和/或到軟件構(gòu)件的入口, 并且能夠有效防止相應(yīng)不安全的區(qū)域,例如通過軟件解決方案(如安全的虛擬處理器)或者硬件解決方案(如專用的安全性核)。在這樣的安全區(qū)域內(nèi),特別可以執(zhí)行安全性關(guān)鍵的處理,例如,在通過安全的運(yùn)行時(shí)環(huán)境中借助合適的翻譯器。通常,在制造過程期間或至少在所涉及的數(shù)據(jù)載體被提供給用戶之前,將所涉及便攜式數(shù)據(jù)載體的個(gè)性化或標(biāo)識的數(shù)據(jù)存儲在數(shù)據(jù)載體中,例如在芯片卡、智能卡等的安全區(qū)域中。然而,在制造過程的范圍內(nèi)任意的移動終端設(shè)備的相應(yīng)個(gè)性化,由于為此所需的基礎(chǔ)設(shè)施和由此導(dǎo)致的小的生產(chǎn)量,而與極高成本相關(guān)。原則上,為移動終端設(shè)備的個(gè)性化提供了加密方法,例如基于在待個(gè)性化的終端設(shè)備上呈現(xiàn)的對稱密鑰對,其公共的密鑰由值得信任的認(rèn)證機(jī)構(gòu)以電子證書提供。通過認(rèn)證,所涉及的設(shè)備的通信伙伴(其使用公共的密鑰用于加密或用于檢查設(shè)備的簽名)可以確定,公共的密鑰是來自于所涉及的設(shè)備而不是為了欺騙性目的。與此關(guān)聯(lián),WO 2008/049959A2提出了一種在具有可能受限制的傳輸速率和網(wǎng)絡(luò)安全性的移動無線電環(huán)境中、按照PKCS規(guī)定(“Public Key Cryptography Standard”)的認(rèn)證方法。US 2005/0010757公開了一種在分布的網(wǎng)絡(luò)中的認(rèn)證方法,其中,網(wǎng)絡(luò)節(jié)點(diǎn)對認(rèn)證服務(wù)器的認(rèn)證請求出于安全性原因僅在從相應(yīng)的網(wǎng)絡(luò)節(jié)點(diǎn)的初始化起的預(yù)先給出的時(shí)間間隔內(nèi)是可能的,這點(diǎn)關(guān)于移動終端又要求在制造的范圍中與其通常的初始化時(shí)間上接近的不可行的初始化。在允許的時(shí)間間隔內(nèi),根據(jù)在認(rèn)證服務(wù)器上呈現(xiàn)的網(wǎng)絡(luò)節(jié)點(diǎn)的初始化時(shí)間和時(shí)間間隔持續(xù)時(shí)間來監(jiān)視網(wǎng)絡(luò)節(jié)點(diǎn)的認(rèn)證請求的輸入。
發(fā)明內(nèi)容
本發(fā)明要解決的技術(shù)問題是,提供一種用于個(gè)性化電子移動終端設(shè)備的安全、可行并且低成本的可能性。本發(fā)明通過具有獨(dú)立權(quán)利要求的特征的一種方法、一種電子設(shè)備以及一種系統(tǒng)解決上述技術(shù)問題。從屬的權(quán)利要求描述了本發(fā)明的優(yōu)選實(shí)施方式和擴(kuò)展。在電子設(shè)備上通過向注冊服務(wù)器的注冊過程開通一個(gè)提供的但還沒有對于使用 (例如通過設(shè)備的用戶執(zhí)行)而開通的業(yè)務(wù)。這樣的待開通業(yè)務(wù)原則上可以是電子設(shè)備的任意功能或資源擴(kuò)展,特別是在首先沒有個(gè)性化的設(shè)備上開通個(gè)性化的操作或者開通用于提供終端設(shè)備的其它安全性功能的確保安全的、隔離區(qū)域。在此,“注冊”在以下被 理解為在電子設(shè)備和注冊服務(wù)器之間的數(shù)據(jù)通信,而作為注冊的結(jié)果,將所涉及的業(yè)務(wù)實(shí)際提供給用戶在設(shè)備上用于使用,稱為“開通”。因此,電子設(shè)備在注冊過程的范圍中產(chǎn)生注冊請求并且將其發(fā)送到注冊服務(wù)器,該注冊服務(wù)器響應(yīng)于所接收的注冊請求產(chǎn)生注冊確認(rèn)并且發(fā)送回設(shè)備。最后,通過將接收的注冊確認(rèn)以預(yù)定的方式存儲在設(shè)備上,在設(shè)備上開通所涉及的業(yè)務(wù)。按照本發(fā)明,值得信任的第三方機(jī)構(gòu)對于上面簡述的注冊過程這樣創(chuàng)建一個(gè)時(shí)間窗,使得只有一個(gè)在該時(shí)間窗內(nèi)接收的注冊請求通過注冊服務(wù)器被處理并且可以導(dǎo)致所涉及的業(yè)務(wù)向注冊服務(wù)器注冊。也就是,當(dāng)在創(chuàng)建的時(shí)間窗內(nèi)的注冊請求被發(fā)送到注冊服務(wù)器時(shí),才能開通該所涉及的業(yè)務(wù);對于在該時(shí)間窗之外(或者甚至在構(gòu)造時(shí)間窗之前)到達(dá)注冊服務(wù)器的注冊請求,注冊服務(wù)器至少不以注冊確認(rèn)應(yīng)答。在此,可以由值得信任的機(jī)構(gòu)原則上以任意的開始和結(jié)束時(shí)刻創(chuàng)建時(shí)間窗,例如也可以周期性地重復(fù)地等等。就此而言,業(yè)務(wù)的注冊和開通可以在一個(gè)幾乎任意的時(shí)間窗內(nèi)由設(shè)備本身以足夠的安全性進(jìn)行。這點(diǎn)特別是在如下的業(yè)務(wù)中是具有優(yōu)勢的,這些業(yè)務(wù)在生產(chǎn)過程的范圍內(nèi)僅在極高的資源開銷的條件下才被開通,例如在特定的業(yè)務(wù)的費(fèi)時(shí)的初始化過程的范圍內(nèi),或者在比最大程度地確保安全的生產(chǎn)環(huán)境更不安全的環(huán)境中要求電子設(shè)備的個(gè)性化。 此外,可以靈活地構(gòu)造注冊和開通,例如根據(jù)電子設(shè)備的用戶的規(guī)定或行為模式或者根據(jù)待開通業(yè)務(wù)本身,例如通過將時(shí)間窗與業(yè)務(wù)在設(shè)備上的安裝或初始化過程一致。按照本發(fā)明的電子設(shè)備相應(yīng)地包括用于提供例如以軟件應(yīng)用形式的業(yè)務(wù)的至少足夠的資源,特別是處理器和一個(gè)或多個(gè)存儲器。此外,電子設(shè)備還包括數(shù)據(jù)通信接口,其允許在注冊過程的范圍內(nèi)與注冊服務(wù)器的待執(zhí)行的數(shù)據(jù)通信,以及注冊單元,其控制注冊過程和通過存儲接收的注冊確認(rèn)控制業(yè)務(wù)的最后開通。按照本發(fā)明這樣構(gòu)造注冊單元,使得注冊請求在由值得信任的機(jī)構(gòu)在注冊服務(wù)器上創(chuàng)建的時(shí)間窗內(nèi)被發(fā)送到注冊服務(wù)器, 艮口,注冊單元具有或包含關(guān)于時(shí)間窗的足夠的信息并且將注冊過程與之一致。通過例如自動地在一個(gè)在注冊單元上已經(jīng)由設(shè)備的制造、設(shè)置或初始化而配置的時(shí)間窗內(nèi)發(fā)送注冊請求,或者通過響應(yīng)于一個(gè)確定該時(shí)間窗的信息由值得信任的機(jī)構(gòu)或注冊服務(wù)器發(fā)送注冊請求,注冊單元可以確保到注冊服務(wù)器的及時(shí)的注冊請求。按照本發(fā)明的注冊系統(tǒng)相應(yīng)地包括電子設(shè)備、注冊服務(wù)器和值得信任的機(jī)構(gòu),它們分別被這樣構(gòu)造并且共同作用,使得由電子設(shè)備提供的業(yè)務(wù)能夠按照上述注冊過程被開
ο在此,注冊服務(wù)器優(yōu)選是利用特別的信任度構(gòu)造的中央服務(wù)器,其例如由電子設(shè)備的制造者或類似的值得信任的機(jī)構(gòu)構(gòu)造并且被授權(quán)進(jìn)行業(yè)務(wù)的注冊。值得信任的機(jī)構(gòu)例如可以是操作按照本發(fā)明的電子設(shè)備或在這些設(shè)備上待安裝并開通的業(yè)務(wù)的中間商的通信裝置,或者是信貸機(jī)構(gòu)、政府機(jī)構(gòu)或其它這樣的機(jī)構(gòu)。通過相對于注冊服務(wù)器的認(rèn)證(例如加密地或借助密碼),建立該機(jī)構(gòu)或相應(yīng)的通信裝置的信任度。由此,注冊服務(wù)器的信任度被擴(kuò)展到這些機(jī)構(gòu),后者由此能夠在注冊服務(wù)器上創(chuàng)建時(shí)間窗。值得信任的機(jī)構(gòu)可以或者將將來的時(shí)間窗通過相應(yīng)的時(shí)間信號通知注冊服務(wù)器,或者通過開始信號主動地在注冊服務(wù)器上開始時(shí)間窗。在后一情況下,注冊服務(wù)器可以在接收到停止信號的情況下或者在預(yù)先給出的持續(xù)時(shí)間過去了的情況下關(guān)閉時(shí)間窗。特別地,值得信任的機(jī)構(gòu)可以在制造電子設(shè)備之后一個(gè)任意的開始時(shí)刻創(chuàng)建時(shí)間窗,例如,在將電子設(shè)備提供到用戶(例如通過值得信任的機(jī)構(gòu))或者在電子設(shè)備上安裝待開通的業(yè)務(wù)之
后。
由注冊單元產(chǎn)生的注冊請求優(yōu)選地包括各個(gè)待開通業(yè)務(wù)的唯一標(biāo)識,從而特別地存在如下可能性注冊服務(wù)器能夠通過用戶記錄(protokollieren)并計(jì)算該業(yè)務(wù)的開通和其使用時(shí)間。特別地,假如待開通的業(yè)務(wù)不是專用的軟件應(yīng)用等,而是電子設(shè)備的基本的功能擴(kuò)展,可以替代待開通的業(yè)務(wù)的唯一標(biāo)識(或者除此之外還)將電子設(shè)備的唯一標(biāo)識集成到注冊請求中。唯一的設(shè)備信息可以是設(shè)備的序列號。該唯一的業(yè)務(wù)或設(shè)備信息還可以由注冊服務(wù)器用于,借助新的注冊請求根據(jù)呈現(xiàn)給注冊服務(wù)器的業(yè)務(wù)或設(shè)備標(biāo)識來識別和來禁止新的開通嘗試。當(dāng)然還可以的是,開通僅對于預(yù)先給出的時(shí)間段是有效的,并且在該時(shí)間段過去之后必須進(jìn)行所涉及的業(yè)務(wù)的新的注冊/開通。還可以借助業(yè)務(wù)或設(shè)備標(biāo)識來識別并管理這一點(diǎn)。由設(shè)備提供的、代表了電子設(shè)備的基本的功能擴(kuò)展的業(yè)務(wù),例如可以涉及設(shè)備上的確保安全的隔離區(qū)域,其按照硬件或軟件完全與電子設(shè)備的其余未確保安全的區(qū)域隔離,以便在該隔離區(qū)域中存儲安全性相關(guān)的數(shù)據(jù)并執(zhí)行安全性相關(guān)的處理。另一方面,例如上面已經(jīng)提到的,電子設(shè)備的這些基本的功能擴(kuò)展,還在于構(gòu)造設(shè)備的個(gè)性化的操作,方法是在注冊過程的范圍內(nèi)由第三方驗(yàn)證設(shè)備,構(gòu)造個(gè)體的標(biāo)識,通過該標(biāo)識可以毫無疑問地確定設(shè)備的身份。為了開通電子設(shè)備的這樣的個(gè)性化操作,電子設(shè)備的注冊單元例如可以將驗(yàn)證請求發(fā)送到驗(yàn)證服務(wù)器,該驗(yàn)證請求包括在設(shè)備上呈現(xiàn)的或者由設(shè)備產(chǎn)生的非對稱密鑰對的至少一個(gè)公共密鑰。也就是利用該驗(yàn)證請求,向作為驗(yàn)證服務(wù)器構(gòu)造的注冊服務(wù)器提出請求,驗(yàn)證電子設(shè)備的公共密鑰并且由此將驗(yàn)證服務(wù)器的信任度傳輸?shù)焦裁荑€。如果電子設(shè)備將驗(yàn)證了的公共密鑰提供給通信伙伴以加密地確保消息的安全或者以檢驗(yàn)加密的簽名,則所涉及的通信伙伴可以根據(jù)證書來驗(yàn)證,提供給其的公共密鑰實(shí)際上是否與在電子設(shè)備上呈現(xiàn)的私有密鑰一致。相應(yīng)地,驗(yàn)證服務(wù)器在輸入驗(yàn)證請求的情況下建立對于公共密鑰的證書并且將該證書作為注冊確認(rèn)發(fā)送回電子設(shè)備。通過該證書,設(shè)備然后可以驗(yàn)證其相對于任意通信伙伴的本身的信任度和身份,由此可以進(jìn)行設(shè)備的個(gè)性化的操作。證書包括簽名,其(對于第三方是可以驗(yàn)證地)將業(yè)務(wù)或設(shè)備標(biāo)識與所產(chǎn)生的公共密鑰關(guān)聯(lián)。也就是,注冊請求通常包括業(yè)務(wù)標(biāo)識和/或設(shè)備標(biāo)識。對于要么與注冊請求一起被接收、要么對于注冊請求被確定的業(yè)務(wù)標(biāo)識和/或設(shè)備標(biāo)識,建立注冊確認(rèn)。該注冊確認(rèn)可以包含數(shù)字簽名,其通過業(yè)務(wù)標(biāo)識和/或設(shè)備標(biāo)識并且可能通過其它數(shù)據(jù)(如產(chǎn)生的公共密鑰)形成。優(yōu)選地,將非對稱密鑰對的至少私有密鑰和公共密鑰的可能接收的證書,存儲在設(shè)備的確保安全的區(qū)域中。該確保安全的區(qū)域優(yōu)選地是隔離的并且對于設(shè)備的可能的未確保安全的區(qū)域來說是不可存取的分隔的硬件和軟件區(qū)域。為了執(zhí)行安全性關(guān)鍵的處理(例如產(chǎn)生非對稱密鑰對),這樣的隔離區(qū)域可以包括具有相應(yīng)的解釋器的安全的運(yùn)行時(shí)環(huán)境。 特別地,整個(gè)所描述的注冊過程可以在這樣的安全的運(yùn)行時(shí)環(huán)境內(nèi)被執(zhí)行,從而注冊單元可以是由運(yùn)行時(shí)環(huán)境作為處理執(zhí)行的應(yīng)用、操作系統(tǒng)應(yīng)用或電子設(shè)備的其它軟件構(gòu)件。
優(yōu)選地,作為引導(dǎo)程序加載器或作為電子設(shè)備的多級的引導(dǎo)程序加 載器的一部分來實(shí)現(xiàn)建立并且發(fā)送驗(yàn)證請求以及接收并存儲證書的注冊單元。在存在具有安全的運(yùn)行時(shí)環(huán)境的、確保安全的隔離區(qū)域的情況下,作為引導(dǎo)程序加載器構(gòu)造的注冊單元特別可以嵌入到在電子設(shè)備的或確保安全的區(qū)域和安全的運(yùn)行時(shí)環(huán)境的多級引導(dǎo)過程中。優(yōu)選地,電子設(shè)備的個(gè)性化操作在將設(shè)備提供到零售商或用戶之后的第一次引導(dǎo)過程中進(jìn)行。當(dāng)然在(第一次)引導(dǎo)過程的范圍內(nèi),業(yè)務(wù)的開通也可以對于任意的其它業(yè)務(wù)提供,特別是還可以對于設(shè)備的基本的功能擴(kuò)展,例如電子設(shè)備上的確保安全的隔離區(qū)域的開通。
本發(fā)明的其它特征和優(yōu)點(diǎn)從結(jié)合附圖對按照本發(fā)明的實(shí)施例以及其它實(shí)施替換的以下描述中得到。其中,圖1示出了按照本發(fā)明的方法的流程圖;圖2示出了按照本發(fā)明的注冊系統(tǒng);并且圖3示出了按照本發(fā)明的注冊單元的特殊實(shí)施方式。
具體實(shí)施例方式電子設(shè)備100例如移動(電信通信)終端、嵌入系統(tǒng)、單芯片系統(tǒng)(“Systmon a Chip”)或便攜式數(shù)據(jù)載體,例如芯片卡、移動功能卡、安全多媒體卡等的初始化或個(gè)性化, 可以通過加密的基礎(chǔ)設(shè)施進(jìn)行,方法是由為此構(gòu)造并授權(quán)的機(jī)構(gòu)、例如驗(yàn)證服務(wù)器300驗(yàn)證在電子設(shè)備上呈現(xiàn)的非對稱密鑰對的公共密鑰。除了電子設(shè)備100和驗(yàn)證服務(wù)器300,在圖1和2中示出的驗(yàn)證系統(tǒng)還包括值得信任的機(jī)構(gòu)200,例如政府機(jī)構(gòu)的相應(yīng)構(gòu)造的計(jì)算機(jī)或其它值得信任的機(jī)構(gòu)等。在圖1中示出由驗(yàn)證系統(tǒng)執(zhí)行的驗(yàn)證過程的流程。首先電子設(shè)備100在步驟Sl 中產(chǎn)生非對稱密鑰對(GEN KEYPAIR),其中,在步驟S2中在電子設(shè)備100的盡可能防偽的確保安全的區(qū)域112中存儲非對稱密鑰對的私有密鑰(SAVE PRIVKEY)。以這種方式,私有密鑰與電子設(shè)備100固定相關(guān),從而只能由電子設(shè)備100解密利用相應(yīng)的公共密鑰將電子設(shè)備100的通信伙伴加密的消息。同樣,電子設(shè)備100可以通過利用私有密鑰加密消息來產(chǎn)生加密的簽名,根據(jù)該簽名,可以由接收器借助設(shè)備100的公共密鑰來檢驗(yàn)發(fā)送的消息的來源。然而,只有當(dāng)電子設(shè)備的通信伙伴能夠假定,呈現(xiàn)的公共密鑰實(shí)際上來自于所涉及的電子設(shè)備(即電子設(shè)備具有相應(yīng)的私有密鑰)并且不會在欺騙企圖的范圍內(nèi)時(shí),這二者才以足夠的安全性是可能的。換言之,必須個(gè)性化地(即對于個(gè)性化的操作)構(gòu)造電子設(shè)備。通過由驗(yàn)證服務(wù)器300為公共密鑰設(shè)置電子證書305,S卩,唯一地對應(yīng)電子設(shè)備 100的身份,可以確保對公共密鑰與設(shè)備100的唯一對應(yīng)的驗(yàn)證。被提供以公共密鑰的設(shè)備 100的通信伙伴,然后可以根據(jù)證書305來檢驗(yàn),公共密鑰實(shí)際上是否來自于電子設(shè)備100。為此,在步驟S3中設(shè)備100產(chǎn)生驗(yàn)證請求114,其至少包括待驗(yàn)證的公共密鑰,優(yōu)選地還包括電子設(shè)備的唯一標(biāo)識,例如其IMEI號(GEM REQUEST)。然而,驗(yàn)證請求114僅在預(yù)先給出的時(shí)間窗內(nèi)由注冊服務(wù)器300接收并且以期望的證書305應(yīng)答,從而只有在注冊服務(wù)器300上相應(yīng)的時(shí)間窗打開時(shí),設(shè)備100才可以進(jìn)行發(fā)送驗(yàn)證請求114的步驟S7 (SEND REQUEST)。由值得信任的機(jī)構(gòu)200在驗(yàn)證服務(wù)器300上創(chuàng)建時(shí)間窗。為此,機(jī)構(gòu)200在步驟 S4中首先向驗(yàn)證服務(wù)器300證實(shí)其本身,例如加密地或利用密碼(AUTH),以便從驗(yàn)證服務(wù)器300驗(yàn)證地獲得信任度并且由此為了創(chuàng)建時(shí)間窗而獲得授權(quán)。然后,通過在步驟S5中發(fā)送開始信號201 (START),在步驟S6在驗(yàn)證服務(wù)器300上打開時(shí)間窗(START TIMEFRAME)。 在驗(yàn)證服務(wù)器300在時(shí)間窗開始之后接收在步驟S7中發(fā)送的驗(yàn)證請求114之后,驗(yàn)證服務(wù)器300在步驟S8中對于接收的公共密鑰產(chǎn)生證書305 (GEN CERT)并且在步驟S9中將證書 305發(fā)送回電子設(shè)備100 (SEND CERT)。設(shè)備100在步驟SlO中優(yōu)選地將接收的證書305存儲在相同地確保安全的區(qū)域 (SAVE CERT),在該區(qū)域中已經(jīng)存儲了在步驟S2中的私有密鑰,并且將來可以為潛在的通信伙伴與證書305 —起提供其公共密鑰并且由此證明其身份。在步驟Sll中,存儲唯一的設(shè)備標(biāo)識,例如驗(yàn)證服 務(wù)器300結(jié)合驗(yàn)證請求114獲得的IMEI號,以便識別相同的設(shè)備100的新的驗(yàn)證嘗試并且能夠作為濫用企圖來阻止(BLOCK IMEI),因?yàn)槔靡粋€(gè)不同的公共密鑰的任意其它驗(yàn)證請求可以被認(rèn)為是欺騙企圖??梢匀鐖D1所示由值得信任的機(jī)構(gòu)通過在步驟S12的明確的結(jié)束信號202來導(dǎo)致時(shí)間窗的結(jié)束 (END),由此在步驟S13關(guān)閉時(shí)間窗(END TIMEFRAME)。同樣還可以,直接在在步驟S8中將證書305發(fā)送到電子設(shè)備100之后自動關(guān)閉時(shí)間窗,或者在時(shí)間窗期滿由該注冊服務(wù)器自動關(guān)閉之后,值得信任的機(jī)構(gòu)在步驟S5在開始信號115的范圍內(nèi)已經(jīng)將時(shí)間窗的持續(xù)時(shí)間傳輸?shù)阶苑?wù)器300。關(guān)于在步驟S6中發(fā)送驗(yàn)證請求114與在步驟S5和S12中打開/關(guān)閉時(shí)間窗之間的協(xié)調(diào),可以考慮多種變形。一方面,可以利用關(guān)于要在注冊服務(wù)器300上打開的時(shí)間窗的相應(yīng)的(例如已經(jīng)在設(shè)備100的制造期間存儲的)時(shí)間信息來構(gòu)造設(shè)備100,并且因此不需要關(guān)于步驟S5中時(shí)間窗的開始的詳細(xì)的通知。另一方面,還可以要么由值得信任的機(jī)構(gòu) 200 (在步驟S5a)、要么由注冊服務(wù)器300 (在步驟S6a)通知電子設(shè)備100關(guān)于時(shí)間窗的開始和可能關(guān)于其持續(xù)時(shí)間或結(jié)束。圖2詳細(xì)描述了電子設(shè)備100的結(jié)構(gòu)。電子設(shè)備100例如可以是任意的移動終端設(shè)備(例如,移動無線電設(shè)備)、便攜式數(shù)據(jù)載體(例如芯片卡、移動無線電卡等)、嵌入系統(tǒng)或單芯片系統(tǒng)。這樣的電子設(shè)備100原則上包括用于執(zhí)行應(yīng)用和業(yè)務(wù)的所有必須的資源和組件,特別是處理器CPU104以及由RAM工作存儲器101、可重寫閃存或EEPROM存儲器102 和具有操作系統(tǒng)(OS) 115的ROM存儲器103組成的存儲單元。此外,設(shè)備100還包括用于與至少所述驗(yàn)證服務(wù)器300數(shù)據(jù)通信的數(shù)據(jù)通信接口 105。電子設(shè)備100優(yōu)選地包括確保安全的隔離區(qū)域112(TRUSTZ0NE)、該區(qū)域形成一個(gè)通過隔離機(jī)制完全隔開的、電子設(shè)備100的硬件和軟件結(jié)構(gòu)的區(qū)域,特別是安全的 RAM存儲器107 (SEC RAM),以便在其中存儲安全性關(guān)鍵的數(shù)據(jù)并且能夠執(zhí)行安全性關(guān)鍵的處理。特別地,在確保安全的區(qū)域112中運(yùn)行安全的運(yùn)行時(shí)環(huán)境113(RTE :"Runtime Environment”),其在安全的RAM 107中執(zhí)行安全性關(guān)鍵的處理。通過優(yōu)選地在確保安全的區(qū)域112中構(gòu)造的注冊單元108,實(shí)現(xiàn)了電子設(shè)備100或確保安全的隔離區(qū)域112的初始化和個(gè)性化。確保安全的區(qū)域112與電子設(shè)備100的其余資源的隔離可以通過公知的技術(shù)來實(shí)現(xiàn),例如通過在嵌入系統(tǒng)中的虛擬化或通過在與實(shí)際的應(yīng)用處理器104相同芯片上的獨(dú)立的安全的處理器。在圖2中勾畫出的實(shí)施方式中,電子設(shè)備100的注冊單元108作為專門的引導(dǎo)程序加載器(Bootloader) 108 (tolader)來實(shí)現(xiàn),其例如可以是為了從“可引導(dǎo)的”存儲介質(zhì)開始(“Booten”)操作系統(tǒng)或?yàn)榱碎_始(“Booten”)嵌入系統(tǒng)或任意其它移動終端設(shè)備而被采用的通常的引導(dǎo)程序加載器的擴(kuò)展。在該實(shí)施方式中,整個(gè)驗(yàn)證過程由引導(dǎo)程序加載器108在設(shè)備100的引導(dǎo)過程范圍內(nèi)進(jìn)行,由此可以在設(shè)備100的制造或提供給用戶之后的一個(gè)盡可能早但是還是任意的時(shí)刻,進(jìn)行驗(yàn)證或個(gè)性化。設(shè)備100的個(gè)性化優(yōu)地選在設(shè)備100的第一次引導(dǎo)范圍內(nèi)進(jìn)行。 當(dāng)然,注冊單元還可以被構(gòu)造為獨(dú)立的、在閃存102的一個(gè)確保安全的區(qū)域中存儲的注冊模塊或作為ROM存儲器103中的操作系統(tǒng)模塊115,其在設(shè)備100的引導(dǎo)之后的一個(gè)任意時(shí)刻被激活。引導(dǎo)程序加載器108產(chǎn)生加密的密鑰對的私有密鑰109并將其存儲到閃存102的確保安全的區(qū)域中。同樣,從注冊服務(wù)器300接收的證書305也被存儲在那里。引導(dǎo)程序加載器108通過數(shù)據(jù)通信接口 105將驗(yàn)證請求114發(fā)送到注冊服務(wù)器300,后者包括至少一個(gè)數(shù)據(jù)通信接口 301、處理器302、存儲器303以及由處理器302可執(zhí)行的驗(yàn)證單元304。 驗(yàn)證單元304接收驗(yàn)證請求114,產(chǎn)生證書305并將其發(fā)送回電子設(shè)備100或其引導(dǎo)程序加載器108。同樣通過數(shù)據(jù)通信接口 301,注冊服務(wù)器300還可以與值得信任的機(jī)構(gòu)200進(jìn)行通信,例如在值得信任的機(jī)構(gòu)200向注冊服務(wù)器300授權(quán)和隨后在驗(yàn)證服務(wù)器300上通過開始和結(jié)束信號201、202創(chuàng)建時(shí)間窗的范圍內(nèi)進(jìn)行通信。值得信任的機(jī)構(gòu)200原則上可以代表在設(shè)備100的制造者和設(shè)備100的用戶之間的任意中間機(jī)構(gòu),例如零售商、信貸結(jié)構(gòu)、政府機(jī)構(gòu)等。圖3示出了引導(dǎo)過程,其由引導(dǎo)程序加載器108在安全的RAM存儲器107內(nèi)進(jìn)行。 在圖3中示出的引導(dǎo)過程是多級的并且通過多個(gè)不同的引導(dǎo)程序加載器進(jìn)行,這些引導(dǎo)程序加載器優(yōu)選地分別引導(dǎo)不同的系統(tǒng)組件,例如,電子設(shè)備100或其硬件和操作系統(tǒng)、確保安全的區(qū)域112以及安全的運(yùn)行時(shí)環(huán)境113。在引導(dǎo)確保安全的區(qū)域112或安全的運(yùn)行時(shí)環(huán)境113的范圍內(nèi),電子設(shè)備100的個(gè)性化通過相對于驗(yàn)證服務(wù)器300的驗(yàn)證來進(jìn)行。也就是,通常結(jié)合安全的運(yùn)行時(shí)環(huán)境113進(jìn)行的多級引導(dǎo)過程擴(kuò)展了一個(gè)加密的初始化或個(gè)性化,其由引導(dǎo)程序加載器108可選地在第一次引導(dǎo)電子設(shè)備100時(shí)執(zhí)行。然后,操作系統(tǒng) 115按照通常方式被加載到RAM存儲器101的未確保安全的部分中。除了結(jié)合圖1至3描述的設(shè)備100的個(gè)性化之外,原則上任意業(yè)務(wù)可以在設(shè)備100 上借助相應(yīng)的注冊過程向注冊服務(wù)器300注冊并且在設(shè)備上被開通。這樣地借助注冊而開通的業(yè)務(wù)特別還可以是使用和創(chuàng)建確保安全的隔離區(qū)域112或安全的運(yùn)行時(shí)環(huán)境113,或者還可以是向用戶提供的任意其它軟件應(yīng)用或硬件資源。例如,注冊請求114還可以涉及多個(gè)業(yè)務(wù)的開通并且相應(yīng)地在注冊請求中包含多個(gè)業(yè)務(wù)標(biāo)識,其又由注冊服務(wù)器300單個(gè)地或共同地應(yīng)答。然后,相應(yīng)地通過注冊服務(wù)器300阻止該業(yè)務(wù)的新的注冊??梢杂芍档眯湃蔚臋C(jī)構(gòu)200按照幾乎任意的方式在注冊服務(wù)器300上創(chuàng)建時(shí)間窗,并且不限于如圖2和3所述的設(shè)備100的引導(dǎo)過程。在如下情況下,與設(shè)備100的引導(dǎo)過程獨(dú)立的時(shí)間窗是特別有意義的,即,待開通的業(yè)務(wù)不是基本的功能擴(kuò)展,如加密的個(gè)性化,而是一個(gè)或多個(gè)任意應(yīng)用的開通,其在設(shè)備100的處理器104上運(yùn)行之前例如為計(jì)算目的要向注冊服務(wù)器300注冊。在此,可以通過相應(yīng)地創(chuàng)建時(shí)間窗,進(jìn)行在任意時(shí)刻(例如即使在與用戶商議時(shí))的注冊,以便向電子設(shè)備的用戶一方面關(guān)于所要求的業(yè)務(wù)保證最大的操作自由度并且另一方面通過借助時(shí)間窗創(chuàng)建時(shí)間上的限制來滿足安全性要求。
權(quán)利要求
1.一種用于開通由電子設(shè)備(100)提供的業(yè)務(wù)的方法,包括步驟-通過所述設(shè)備(100)產(chǎn)生(S3)注冊請求(114),并且將該注冊請求(114)發(fā)送(S7) 到注冊服務(wù)器(300);-通過所述注冊服務(wù)器(300)產(chǎn)生(S8)注冊確認(rèn)(305),并且將該注冊確認(rèn)(305)發(fā)送(S9)到該設(shè)備(100);并且-通過所述設(shè)備(100)接收該注冊確認(rèn)(305)并且通過存儲(SlO)該注冊確認(rèn)(305) 開通所述業(yè)務(wù);其特征在于,值得信任的機(jī)構(gòu)(200)這樣創(chuàng)建(S5,S12)時(shí)間窗,使得所述注冊服務(wù)器(300)僅對于在該時(shí)間窗內(nèi)接收的注冊請求(114)發(fā)送(S9)注冊確認(rèn)(305)并且所述設(shè)備(100)將在該時(shí)間窗內(nèi)的注冊請求(114)發(fā)送(S7)到所述注冊服務(wù)器(300)。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述值得信任的機(jī)構(gòu)(200)向所述注冊服務(wù)器(300)證實(shí)其本身,并且然后在該注冊服務(wù)器(300)上創(chuàng)建(S5,S12)時(shí)間窗。
3.根據(jù)權(quán)利要求1或2所述的方法,其特征在于,所述值得信任的機(jī)構(gòu)(200)為了創(chuàng)建(S5,S12)所述時(shí)間窗將確定該時(shí)間窗的開始時(shí)刻(S6)和結(jié)束時(shí)刻(S13)的時(shí)間信號 (201,202)發(fā)送到所述注冊服務(wù)器(300)。
4.根據(jù)權(quán)利要求1至3中任一項(xiàng)所述的方法,其特征在于,所述值得信任的機(jī)構(gòu)(200) 能夠在所述設(shè)備(100)被提供給用戶之后的任意的開始時(shí)刻(S6)創(chuàng)建所述時(shí)間窗。
5.根據(jù)權(quán)利要求1至4中任一項(xiàng)所述的方法,其特征在于,所述設(shè)備(100)產(chǎn)生(S3) 注冊請求(114),該注冊請求包括待開通的業(yè)務(wù)的唯一標(biāo)識,并且所述注冊服務(wù)器(300)根據(jù)該唯一的標(biāo)識記錄業(yè)務(wù)的開通。
6.根據(jù)權(quán)利要求1至5中任一項(xiàng)所述的方法,其特征在于,作為要由所述設(shè)備(100)提供的業(yè)務(wù),開通該設(shè)備(100)上的確保安全的區(qū)域(112)或該設(shè)備(100)的個(gè)性化的操作。
7.根據(jù)權(quán)利要求6所述的方法,其特征在于,為了開通個(gè)性化的操作,作為注冊請求, 產(chǎn)生(S3)驗(yàn)證請求(114),該驗(yàn)證請求包括在所述設(shè)備(100)上呈現(xiàn)的或者由該設(shè)備產(chǎn)生的非對稱密鑰對的至少一個(gè)公共密鑰,并且對于所述公共密鑰產(chǎn)生(S8)證書(305),作為注冊確認(rèn)。
8.根據(jù)權(quán)利要求7所述的方法,其特征在于,所述設(shè)備(100)產(chǎn)生(S3)驗(yàn)證請求 (114),該驗(yàn)證請求包括唯一的設(shè)備標(biāo)識,并且所述注冊服務(wù)器(300)根據(jù)所述唯一的設(shè)備標(biāo)識識別并阻止(Sll)該設(shè)備(100)的新的驗(yàn)證請求。
9.根據(jù)權(quán)利要求7或8所述的方法,其特征在于,在所述設(shè)備(100)上創(chuàng)建具有安全的運(yùn)行時(shí)環(huán)境(113)的確保安全的區(qū)域(112),并且在所述確保安全的區(qū)域(112)中存儲 (S2, S10)非對稱密鑰對的至少一個(gè)私有密鑰(109)和所述證書(305)。
10.根據(jù)權(quán)利要求6至9中任一項(xiàng)所述的方法,其特征在于,所述設(shè)備(100)的個(gè)性化操作的開通由該設(shè)備(100)的引導(dǎo)程序加載器(108)進(jìn)行,其在該設(shè)備(100)的多級的引導(dǎo)過程的范圍內(nèi)被執(zhí)行。
11.根據(jù)權(quán)利要求6至10中任一項(xiàng)所述的方法,其特征在于,這樣創(chuàng)建(S5,S12)所述時(shí)間窗,使得設(shè)備所述(100)的個(gè)性化操作的開通在該設(shè)備(100)的第一次引導(dǎo)過程期間進(jìn)行。
12.一種電子設(shè)備(100),包括處理器(104)和用于提供業(yè)務(wù)的存儲器(101,102)、用于與注冊服務(wù)器(300)數(shù)據(jù)通信的通信接口(105)和注冊單元(108),其被構(gòu)造為,通過產(chǎn)生注冊請求(114)、將該注冊請求(114)發(fā)送到注冊服務(wù)器(300)并且存儲從該注冊服務(wù)器 (300)接收的注冊確認(rèn)(305),來得到業(yè)務(wù)的開通,其特征在于,所述注冊單元(108)被構(gòu)造為,將在由值得信任的機(jī)構(gòu)(200)在所述注冊服務(wù)器(300)上創(chuàng)建的時(shí)間窗內(nèi)的注冊請求 (114)發(fā)送到所述注冊服務(wù)器(300)。
13.根據(jù)權(quán)利要求12所述的設(shè)備(100),其特征在于,所述注冊單元(108)被構(gòu)造為, 通過產(chǎn)生一個(gè)包括了在所述設(shè)備(100)上呈現(xiàn)的非對稱密鑰對的至少一個(gè)公共密鑰的驗(yàn)證請求(114)并且存儲從所述注冊服務(wù)器(300)接收的證書(305),得到所述設(shè)備(100)的個(gè)性化操作的開通。
14.根據(jù)權(quán)利要求13所述的設(shè)備(100),其特征在于,所述設(shè)備(100)是任意終端設(shè)備、嵌入系統(tǒng)或單芯片系統(tǒng),其中創(chuàng)建了具有安全的運(yùn)行時(shí)環(huán)境(113)的確保安全的區(qū)域 (112),并且所述注冊單元作為引導(dǎo)程序加載器(108)實(shí)現(xiàn),其被構(gòu)造為,在所述設(shè)備(100) 和/或確保安全的區(qū)域(112)的第一次引導(dǎo)過程的范圍內(nèi),得到該設(shè)備(100)的個(gè)性化操作的開通,其中,非對稱密鑰對的私有密鑰(109)和公共密鑰的證書(305)被存儲在所述確保安全的區(qū)域(112)中。
15.一種系統(tǒng),包括按照權(quán)利要求12至14中任一項(xiàng)所述的電子設(shè)備(100)、注冊服務(wù)器(300)和值得信任的機(jī)構(gòu)(200),其中,系統(tǒng)組件這樣構(gòu)造并且共同作用,使得由該電子設(shè)備(100)提供的業(yè)務(wù)能夠按照根據(jù)權(quán)利要求1至11中任一項(xiàng)所述的方法被開通。
全文摘要
本發(fā)明提出了一種用于開通由電子設(shè)備(100)提供的業(yè)務(wù)的方法,其中,通過設(shè)備(100)產(chǎn)生(S3)注冊請求(114),并且將注冊請求(114)發(fā)送(S7)到注冊服務(wù)器(300)。注冊服務(wù)器(300)從中產(chǎn)生(S8)注冊確認(rèn)(305),并且將注冊確認(rèn)(305)發(fā)送(S9)到設(shè)備(100),在那里,最后通過接收并存儲注冊確認(rèn)(305)在設(shè)備(100)上開通所述業(yè)務(wù)。在此,值得信任的機(jī)構(gòu)(200)在注冊服務(wù)器(300)上這樣創(chuàng)建(S6,S12)時(shí)間窗,使得注冊服務(wù)器(300)僅對于在時(shí)間窗內(nèi)接收的注冊請求(114)發(fā)送(S9)注冊確認(rèn)(305),并且所述設(shè)備(100)將在時(shí)間窗內(nèi)的注冊請求(114)發(fā)送(S7)到注冊服務(wù)器(300)。
文檔編號H04L9/32GK102171971SQ200980123842
公開日2011年8月31日 申請日期2009年6月22日 優(yōu)先權(quán)日2008年6月23日
發(fā)明者斯蒂芬·斯皮茨, 漢斯·博格斯, 索斯滕·尤爾漢, 赫爾穆特·舍澤 申請人:德國捷德有限公司