专利名称:用于管理受信应用的访问权的方法、系统、受信服务管理器、服务提供商以及存储器元件的制作方法
技术领域:
本发明涉及一种用于批准服务提供商的受信应用对该服务提供商的已经存储在例如SmartMX器件的安全元件中的应用进行访问的方法。本发明还涉及一种电信系统,包括至少一个服务提供商、至少一个受信服务管理 器以及配备有安全元件以存储服务提供商的应用的多个移动通信设备(例如NFC移动电 话)°本发明还涉及受信服务管理器。本发明还涉及服务提供商。本发明还涉及一种可直接加载至具有算术逻辑单元和存储器的安全元件中的服 务管理器计算机程序产品。本发明还涉及一种适用于处理所述服务管理器计算机程序产品的安全元件。
背景技术:
存在已知的包含存储器器件的通信设备(该存储器器件具有唯一的存储器器件 标识),例如由NXP半导体开发的MIFARE 经典家族,一种运行在13. 56MHz频率范围的 具有读/写能力的无接触智能卡IC。最近,已经开发出了安全元件,其为提供增强安全特性 的存储器器件,特别适合在移动电话和具有近场通信(NFC)能力的其它通信设备中使用。 所述安全元件也称作“智能卡”。为了更好的理解,现在将解释作为安全元件的领先代表的 SmartMX器件。SmartMX(存储器扩展)是由NXP半导体设计的智能卡家族,用于要求高可 靠解决方案的高安全性智能卡应用,具有或者不具有多个接口选项。关键应用是电子行政、 银行业/金融、移动通信以及高级公共运输。SmartMX架构结合了用于RSA、ECC、DES以及AES的协处理器,并且使得包括Java 开放平台和MULTOS在内的操作系统的实施成为可能。SmartMX卡同时运行MIFARE协议以及 由用户操作系统实施的其它无接触传输协议的能力使得在基于单一双接口控制器的智能 卡上实现新服务和现有的基于MIFARE的应用(例如订票)的结合成为可能。SmartMX卡能 够模拟MIFARE经典器件并且从而使得该接口与任何安装的MIFARE经典基础结构兼容。该 无接触接口可以用于经由任何协议进行通信,特别是MIFARE协议和自定义无接触传输协 议。SmartMX使得现有技术水平的操作系统和包括JCOP (Java卡操作系统)在内的开放平 台解决方案的容易实施成为可能,并且提供了具有最高安全级别的优化特性集合。SmartMX 并入了一系列安全特性以应对类似于DPA、SPA等等的旁路攻击。真实的防冲突方法(acc. IS0/IEC14443-3)使得可以同时处理多个卡。在2007年2月,GSM协会(GSMA)公布了白皮书,为在开发移动NFC (近场通信)服 务中涉及的生态系统中的各方列出了运营商团体指南。将移动NFC定义为基于NFC技术的 无接触服务与移动电话的结合。具有基于硬件的安全身份令牌(UICC)的移动电话可以提 供NFC应用的理想环境。UICC可以取代物理卡从而优化服务提供商的成本,并且向用户提供更方便的服务。在移动NFC生态系统中涉及各种不同的实体。在下面定义它们 客户-使用用于移动通信和移动NFC服务的移动设备。该客户向MNO订购并且使用移动NFC服务。 移动网络运营商(MNO)-向客户提供全范围的移动服务,具体地提供UICC和NFC 终端加上空中(OverThe Air, OTA)传输服务。 服务提供商(SP)-向客户提供无接触服务(SP是例如银行、公共运输公司、忠诚 程序所有者等等) 零售商/批发商-服务相关,例如操作具有NFC功能的销售点(POS)终端。 受信服务管理者(TSM)-向MNO客户库安全地分发并且管理服务提供商的服务。 手持机、NFC芯片组以及UICC制造商-生产移动NFC/通信设备以及相关联的 UICC硬件。 读取器制造商-生产NFC读取器设备。 应用开发者-设计并且开发移动NFC应用。 标准化实体和工业社区-开发NFC的全球标准,使得互操作性、向后兼容性以及 NFC应用和服务的未来开发成为可能。在所述白皮书中的一个关键结论是将成功地提供移动NFC,其中移动NFC生态系 统是稳定的,对其中的所有条目提供价值;并且通过引入受信服务管理者的新角色使得移 动NFC生态系统是有效率的。受信服务管理者(TSM)的角色是·向服务提供商提供单点接触以通过MNO访问它们的客户库 以服务提供商的名义来管理移动NFC应用的安全下载和寿命周期管理。TSM不参与服务的交易阶段,从而确保不干扰服务提供商的现有商业模型。依赖 于全国市场需要以及情况,可以由一个MNO、MNO的联盟、或者由独立的受信第三方来管理 TSM。在一个市场中运行TSM的数量将依赖于全国市场需要和环境。安全元件(比如SmartMX卡)的特性特征是它们包括服务管理器,服务管理器是 控制安全元件内的应用和服务的安装并且阻止安装的应用获得对其它安装的应用和服务 的访问的程序。该服务管理器与外部受信服务管理器合作。由服务提供商来提供安装的应 用和服务,安装要求使用受信服务管理器作为阻止服务提供商的任何滥用的代理。尽管从 安全的角度来说安全元件的服务管理器阻止安装的应用获得对其它安装的应用和服务的 访问的能力是重要的并且必须的,然而其限制了新的NFC服务的开发。当考虑服务提供商 想要为他的已经安装在具有NFC能力的移动通信设备的安全元件中的NFC应用(优惠券、 票、…)提供它自己的受信应用(也称为钱夹或受信MIDlet)时,由安全元件中的服务管理 器的所述行为引起的限制变得显著。一般地,应当许可受信应用使用应用程序接口以例如 访问在安全元件中存储的应用(认为该应用程序接口是敏感的并且是受限制的)。在该情 况中将发生的是由于服务管理器不允许,所以受信应用不能获得对位于安全元件中的NFC 应用的访问,这是因为几个服务提供商可以在相同的安全元件中安装它们自己的NFC应用 并且必须不能让一个服务提供商通过它自己的钱夹来访问其它服务提供商安装的NFC应 用。
发明内容
本发明的目的是克服已知的安全元件的缺陷并且描述一种允许服务提供商在安 全元件中安装钱夹的方式,安全元件可获得对那些安装的应用的访问并且仅获得对相同服 务提供商的那些安装的应用的访问,同时不破坏与其它服务提供商的安装的应用相关的安 全性。为了达成上面定义的目标,提供了一种根据本发明的特性特征的方法,该方法用 于批准对应用进行受信应用访问,可以用下面定义的方式来描述根据本发明的方法,即一种用于批准服务提供商的也称作钱夹的受信应用对已经在例如SmartMX器件 的安全元件中存储的该服务提供商的应用进行访问的方法,其中所述安全元件包括一般地 阻止钱夹对存储的应用进行访问的服务管理器,所述方法包括在所述服务提供商处向控制所述安全元件中的所述服务管理器的受信服务管理 器发送请求,以请求批准所述服务提供商对所述服务提供商的应用进行访问;在所述受信服务管理器处生成访问权代码并且将所述访问权代码同时发送至所 述服务提供商以及所述安全元件中的所述服务管理器;在所述服务提供商处生成所述钱夹,向所述钱夹提供所述访问权代码并且将所述 钱夹发送至所述安全元件;其中当所述钱夹想要访问所述安全元件中的所述钱夹的服务提供商的所述应用 时,所述钱夹用所述访问权代码连接至所述服务管理器,随之所述服务管理器批准所述钱 夹访问所述钱夹的服务提供商的所述应用。为了达成上面定义的目标,提供了一种根据本发明的特性特征的电信系统,可以 用下面定义的方式来描述根据本发明的系统,即一种电信系统包括至少一个服务提供商、至少一个受信服务管理器以及多个例如 NFC移动电话的移动通信设备,该移动通信设备配备有安全元件以存储所述服务提供商的 应用,该安全元件用于批准服务提供商的也称作钱夹的受信应用对该服务提供商的应用进 行访问,其中所述安全元件包括服务管理器,其中所述服务提供商、所述受信服务管理器、 所述移动通信设备以及所述安全元件包括用于执行上述方法的步骤的计算单元和软件代 码部分。为了达成上面定义的目标,提供了一种根据本发明的特性特征的受信服务管理 器,可以用下面定义的方式来描述根据本发明的受信服务管理器,即一种受信服务管理器,适用于接收来自服务提供商的请求批准所述服务提供商对 在安全元件中存储的所述服务提供商的应用进行访问的请求,其中所述安全元件包括一般 地阻止对存储的应用进行访问的服务管理器,其中所述受信服务管理器适用于生成访问权 代码并且将所述访问权代码同时发送至所述服务提供商以及所述安全元件中的所述服务 管理器。为了达成上面定义的目标,提供了一种根据本发明的特性特征的服务提供商,可 以用下面定义的方式来描述根据本发明的服务提供商,即—种服务提供商,适用于在移动通信设备中放置的例如SmartMX器件的安全元件 中存储应用,其中所述服务提供商还适用于向受信服务管理器发送请求批准对所述安全元 件中的所述服务提供商的应用进行访问的请求,还适用于接收来自所述受信服务管理器的访问权代码、生成也称作钱夹的受信应用、向所述钱夹提供所述访问权代码并且所述钱夹 发送至所述安全元件。为了达成上面定义的目标,提供了一种根据本发明的特性特征的服务管理器计算 机程序,可以用下面定义的方式来描述根据本发明的服务管理器计算机程序,即一种可直接加载至具有算术逻辑单元和存储器的安全元件中的服务管理器计算 机程序产品,其中所述服务管理器计算机程序产品包括用于当在所述安全元件上运行时执 行下述步骤的软件代码部分接收和存储访问权代码,连接至安装在所述安全元件中的钱 夹,接收来自所述钱夹的访问权代码并且将其与所述存储的访问权代码进行比较,并且如 果所述访问权代码匹配,则批准所述钱夹访问在所述访问权代码中包括的在所述安全元件 中安装的应用。为了达成上面定义的目标,根据本发明的安全元件(优选地SmartMX器件)包括 算术逻辑单元和存储器,并且当在安全元件中加载所述服务管理器计算机程序产品时对其 进行处理。根据本发明的特性特征提供下述优点服务提供商能够向它们的用户提供已经安 装在安全元件中的受信应用(钱夹或者受信MIDLets),由服务管理器允许该受信应用对它 们的(并且仅仅是它们的)服务提供商的应用进行访问,同时不破坏与其它服务提供商相 关的安全性。由高度可靠实例的受信服务管理器来给出这些访问权。在本发明的一些实施例中,所述服务提供商以及所述受信服务管理器经由例如因 特网的计算机网络彼此进行通信,其中优选数据传输协议是HTTPS。这些实施例提供下述优 点数据传输依赖于良好定义的并且高度可访问的网络基础结构和服务。在本发明的其它实施例中,所述受信服务管理器和/或所述服务提供商与移动通 信设备中放置的所述安全元件经由移动网络运营商的空中服务进行通信,其中优选的空中 服务是短消息服务。这些实施例还提供下述优点数据传输依赖于良好定义的并且高度可 访问的网络基础结构和服务。通过下文将描述的示例实施例,本发明的上述以及其他方面将是显而易见的,并 且通过对该示例实施例来解释这些观点。
下文中将通过示例实施例来更详细地描述本发明。然而,本发明不受限于该示例 实施例。图1示出了电信系统以及根据本发明的方法的第一步骤的示意图,在该电信系统 的环境中嵌入本发明。图2示出了该电信系统的示意图,其中描述了根据本发明的方法的其他步骤。图3示出了该电信系统的示意图,其中描述了根据本发明的方法的剩余步骤。
具体实施例方式图1示出了电信系统的示意图,例如上面引用的GSMA白皮书中披露的移动NFC生 态系统。该系统包括两个服务提供商SP1、SP2、受信服务管理器TSM以及多个移动通信设 备,其中在图中仅示出一个移动通信设备MOB。服务提供商SP1、SP2与移动通信设备MOB经由移动网络运营商提供的空中(OTA)服务进行通信,具体地经由短消息服务(SMS)服务、和 /或经由计算机网络和无线服务(例如NFC服务)进行通信。可以由移动网络运营商来提 供用于实现NFC服务的NFC终端。类似地,受信服务管理器TSM与移动通信设备MOB经由 移动网络运营商的空中服务(例如短消息服务)进行通信。服务提供商SP1、SP2与受信服 务管理器TSM经由计算机网络(比如因特网)进行通信,其中优选数据传输协议是HTTPS。移动通信设备MOB可以例如被配置为NFC移动电话。其包括作为具有增强安全特 征的存储器器件的安全元件SE,该存储器器件包括其自身的计算能力。有利地将安全元件 SE配置为可以包括多个接口选项的SmartMX器件。SmartMX器件还包括加密协处理器并且 使得包括Java操作系统在内的操作系统的实施成为可能。该安全元件SE包括实施为计算 机程序的服务管理器SM,将该服务管理器SM配置为管理由服务提供商SPl、SP2已经提供 的NFC应用appSPl. UappSPl. 2、appSP2. 1的安装。出于安全性原因,服务管理器SM阻止 已安装应用对其它已安装应用的访问。因此,即使当服务提供商SP1、SP2(在本例子中的服 务提供商SPl)想要为其安装在移动通信设备MOB的安全元件SE中的应用(优惠券、票、其 它NFC应用等等)提供其自己的受信应用(也称作钱夹或者受信MIDlet),该受信应用不具 有对所述应用的直接访问。为了克服该问题,本发明提供下列解决方案,该方案基于向服务 管理器SM引入访问权。由受信服务管理器TSM控制该服务管理器SM并且将受信服务管理 器TSM定义为唯一被授予管理这些访问权的实体。在图1的例子中,服务提供商SPl已经提供了应用appSPl. 1和appSPl.2 (例如,2 张音乐会门票),已经在服务管理器SM控制下的安全元件SE上安装了该应用。类似地,月艮 务提供商SP2已经向安全元件SE提供了应用appSP2. 1。服务提供商SPl想要在移动通信设备MOB上安装钱夹以允许移动通信设备MOB的 用户访问服务提供商SPl的应用appSPl. l、appSP1.2。为了达成该目的,服务提供商SPl向 受信服务管理器TSM发送请求REQl,要求对其应用appSPl. 1、appSPl. 2进行访问。如图2所示,受信服务管理器TSM通过生成访问权代码ACl并且将该访问权代码 ACl同时发送至服务提供商SPl以及移动通信设备MOB的安全元件SE中的服务管理器SM 来处理该请求REQl。例如可以用pin码来表示访问权代码ACl。在接收到访问权代码ACl之后,服务提供商SPl通过向钱夹SP1_WL提供其访问 权代码ACl来生成钱夹SP1_WL并且将钱夹SP1_WL发送至安全元件SE,参见图3中的箭头 SP1_WL (ACl)0服务管理器SM管理安全元件SE中的钱夹SP1_WL的安装。当移动通信设备 MOB的用户US启动钱夹SP1_WL以访问服务提供商SPl的应用appSPl. 1和appSPl. 2时,钱 夹SP1_WL用访问权代码ACl来连接服务管理器SM,即用服务提供商SPl的被批准的访问权 来连接服务管理器SM。服务管理器SM比较由钱夹SP1_WL接收的访问权代码ACl和由受信 服务管理器TSM接收的访问权代码AC1,并且由于它们彼此对应,所以批准钱夹SP1_WL对 服务提供商SPl的应用appSPl. 1、appSPl. 2进行访问,而不对第二服务提供商SP2的应用 appSP2. 1进行访问。从而移动通信设备MOB的用户US获得对应用appSPl. 1和appsSPl. 2 的访问。应当注意到上述实施例说明了而非限制了本发明,并且在不背离附加权利要求的 范围的情况下本领域技术人员将能够设计出很多备选实施例。在权利要求中,不应当将括 号之间放置的任何引用符号理解为限制该权利要求。单词“包括”不排除除了那些在权利要求中列出的元素或者步骤之外元素或者步骤的存在。在元素之前的非定冠词“一”或者“一个”不排除多个该元素的存在。在列举几个设备的设备权利要求中,可以用一个相同的 硬件来实现几个这些设备。在彼此不同的从属权利要求中记载特定措施这一事实不意味着 不能使用这些措施的组合来获利。
权利要求
一种用于批准服务提供商(SP1、SP2)的称作钱夹(SP1_WL)的受信应用对已经在例如SmartMX器件的安全元件(SE)中存储的所述服务提供商(SP1、SP2)的应用(appSP1.1、appSP1.2;appSP2.1)进行访问的方法,其中所述安全元件(SE)包括一般地阻止钱夹对存储的应用进行访问的服务管理器(SM),所述方法包括在所述服务提供商(SP1、SP2)处向控制所述安全元件(SE)中的所述服务管理器(SM)的受信服务管理器(TSM)发送请求(REQ1),所述请求是针对批准所述服务提供商(SP1、SP2)对所述服务提供商的应用(appSP1.1、appSP1.2;appSP2.1)进行访问的;在所述受信服务管理器(TSM)处生成访问权代码(AC1)并且将所述访问权代码同时发送至所述服务提供商(SP1、SP2)以及所述安全元件(SE)中的所述服务管理器(SM);在所述服务提供商(SP1、SP2)处生成所述钱夹(SP1_WL),向所述钱夹提供所述访问权代码(AC1)并且将所述钱夹发送至所述安全元件(SE);其中当所述钱夹(SP1_WL)想要访问所述安全元件(SE)中的所述钱夹的服务提供商(SP1、SP2)的应用(appSP1.1、appSP1.2;appSP2.1)时,所述钱夹用所述访问权代码(AC1)连接至所述服务管理器(SM),随之所述服务管理器(SM)批准所述钱夹(SP1_WL)访问所述钱夹的服务提供商(SP1、SP2)的应用(appSP1.1、appSP1.2;appSP2.1)。
2.根据权利要求1所述的方法,其中所述服务提供商(SP1、SP2)和所述受信服务管理 器(TSM)经由例如因特网的计算机网络彼此进行通信,其中优选数据传输协议是HTTPS。
3.根据权利要求1所述的方法,其中所述受信服务管理器(TSM)和/或所述服务提供 商(SP1、SP2)与移动通信设备(MOB)中设置的所述安全元件(SE)经由移动网络运营商的 空中服务进行通信,所述移动通信设备(MOB)是例如NFC移动电话,其中优选的空中服务是 短消息服务。
4.一种电信系统包括至少一个服务提供商(SP1、SP2)、至少一个受信服务管理器 (TSM)以及多个例如NFC移动电话的移动通信设备(MOB),所述移动通信设备配备有安全元 件(SE)以存储所述服务提供商(SPl、SP2)的应用(appSPl. 1、appSPl. 2 ;聊SP2. 1),所述 安全元件(SE)用于批准服务提供商(SP1、SP2)的称作钱夹(SP1_WL)的受信应用对所述服 务提供商(SP1、SP2)的应用(appSPl. UappSPl. 2 ;appSP2. 1)进行访问,其中所述安全元件 (SE)包括服务管理器(SM),其中所述服务提供商(SP1、SP2)、所述受信服务管理器(TSM)、 所述移动通信设备(MOB)以及所述安全元件(SE)包括用于执行根据权利要求1至3中任 意一项所述的方法的步骤的计算单元和软件代码部分。
5.根据权利要求4所述的系统,其中所述服务提供商(SP1、SP2)和所述受信服务管理 器(TSM)经由例如因特网的计算机网络彼此进行通信,其中优选的数据传输协议是HTTPS。
6.根据权利要求4所述的系统,其中所述受信服务管理器(TSM)和/或所述服务提供 商(SP1、SP2)与移动通信设备(MOB)中设置的所述安全元件(SE)经由移动网络运营商的 空中服务进行通信,所述移动通信设备(MOB)是例如NFC移动电话,其中优选的空中服务是 短消息服务。
7.根据权利要求4所述的系统,其中所述安全元件(SE)是SmartMX器件。
8.一种受信服务管理器(TSM),适用于接收来自服务提供商(SP1、SP2)的针对批准所 述服务提供商(SP1、SP2)对在安全元件(SE)中存储的所述服务提供商的应用(appSPl. 1、 appSPl. 2 ;appSP2. 1)进行访问的请求(REQl),其中所述安全元件(SE)包括一般地阻止对存储的应用进行访问的服务管理器(SM),其中所述受信服务管理器(TSM)适用于生成访问 权代码(ACl)并且将所述访问权代码同时发送至所述服务提供商(SP1、SP2)以及所述安全 元件(SE)中的所述服务管理器(SM)。
9.根据权利要求8所述的受信服务管理器,其中所述受信服务管理器(TSM)经由例如 因特网的计算机网络与所述服务提供商(SP1、SP2)进行通信,其中优选的数据传输协议是 HTTPS。
10.根据权利要求8所述的受信服务管理器,其中所述受信服务管理器(TSM)与所述移 动通信设备(MOB)中设置的所述安全元件(SE)经由移动网络运营商的空中服务进行通信, 其中优选的空中服务是短消息服务。
11.一种服务提供商(SPl、SP2),适用于在移动通信设备(MOB)中设置的例如SmartMX 器件的安全元件(SE)中存储应用(appSPl. 1、appSPl. 2 ;appSP2. 1),其中所述服务提供商 (SPU SP2)还适用于向受信服务管理器(TSM)发送针对批准对所述安全元件(SE)中的所 述服务提供商的应用(appSPl. 1、appSPl. 2 ;appSP2. 1)进行访问的请求(REQl),还适用于 接收来自所述受信服务管理器的访问权代码(ACl)、生成称作钱夹(SP1_WL)的受信应用、 向所述钱夹提供所述访问权代码(ACl)并且将所述钱夹发送至所述安全元件(SE)。
12.根据权利要求11所述的服务提供商,其中所述服务提供商(SP1、SP2)经由例如 因特网的计算机网络与所述受信服务管理器(TSM)进行通信,其中优选的数据传输协议是 HTTPS。
13.根据权利要求11所述的服务提供商,其中所述服务提供商(SP1、SP2)与所述移动 通信设备(MOB)中设置的所述安全元件(SE)经由移动网络运营商的空中服务进行通信,其 中优选的空中服务是短消息服务。
14.一种可直接加载至具有算术逻辑单元和存储器的安全元件(SE)中的服务管理器 (SM)计算机程序产品,其中所述服务管理器(SM)计算机程序产品包括用于当在所述安全 元件(SE)上运行时执行下述步骤的软件代码部分接收和存储访问权代码(ACl),连接至 安装在所述安全元件(SE)中的钱夹(SP1_WL),接收来自所述钱夹(SP1_WL)的访问权代码 (ACl)并且将其与存储的访问权代码进行比较,并且如果所述访问权代码互相匹配,则批准 所述钱夹(SP1_WL)访问在所述访问权代码(ACl)中包括的在所述安全元件(SE)上安装的 应用(appSPl. 1、appSPl. 2 ;appSP2. 1)。
15.一种具有算术逻辑单元和存储器的安全元件(SE),包括如权利要求14所述的服务 管理器计算机程序产品。
16.根据权利要求15所述的安全元件,被配置为SmartMX器件。
全文摘要
一种用于批准服务提供商(SP1、SP2)的受信应用对已经在安全元件(SE)中存储的服务提供商(SP1、SP2)的应用(appSP1.1、appSP1.2;appSP2.1)进行访问的方法,包括服务提供商(SP1、SP2)向受信服务管理器(TSM)发送请求批准对其应用进行访问的请求(REQ1);受信服务管理器(TSM)生成访问权代码(AC1)并将其同时发送至服务提供商(SP1、SP2)以及安全元件(SE)中的服务管理器(SM);服务提供商(SP1、SP2)生成受信应用(SP1_WL),向其提供访问权代码(AC1)并且将其发送至安全元件(SE);受信应用使用访问权代码(AC1)连接至服务管理器(SM),随之服务管理器(SM)批准所述钱夹(SP1_WL)访问应用(appSP1.1、appSP1.2;appSP2.1)。
文档编号G06F21/35GK101809579SQ200880108614
公开日2010年8月18日 申请日期2008年9月22日 优先权日2007年9月27日
发明者乔纳森·埃祖莱, 亚历山大·科尔达, 路易斯·波波 申请人:Nxp股份有限公司