专利名称:访问安全存储器的方法、安全存储器和包括安全存储器的系统的制作方法
技术领域:
本发明涉及一种访问移动设备的安全存储器的方法、安全电子存储器以及包括移动设备和安全存储器的系统。
背景技术:
在通信技术中,尤其在移动技术中,安全可能是最重要的。具体地,诸如移动电话等移动设备可以包括安全存储器,安全存储器也可以称作安全元件(SE)或者被嵌入在安全元件(SE)内,在安全存储器中存储了需要被保护而不受未授权访问的敏感数据。具体地,安全元件能够以提供安全的方式来存储和处理商业和个人信息,从而禁止未授权攻击者的访问。具体地,安全元件可以体现为电子芯片,例如智能卡芯片,并且安全元件可以在制造时嵌入到移动手机中。备选地,安全元件可以实现为可从移动手机移除的卡,例如SIM-卡或SD-卡。在常规安全元件中,优选地,可以经由空中下载方式(over the air)来安装、个性化和管理特定辅助应用(每种辅助应用都与移动设备中安装的应用相关联),尤其是小应用(applets)。能够将来自与不同应用相关联的不同服务提供商的应用加载到移动电话的存储器中,甚至是安全元件提供的存储器中。因此,使用硬件、软件、接口和数据交换协议的组合来配置安全元件,以使能应用专用数据的安全存储,尤其是与应用安全和可信赖度相关的敏感数据的安全存储。在安全元件中,尤其是在安全元件的安全存储器中,具体地,可以以安全方式存储用于识别个人的身份信息和用于支付、认证和其它服务的信用卡的使用。然而,在常规安全元件(SE)中,可能会在访问安全元件(内的数据)的过程中涉及许多利益相关者(stake holders),例如SE供应商、SE发布者、应用发布者、信任服务管理者(TSM)等。例如,SE发布者(也称作SE所有者)可以是这样的实体:从SE供应商获得SE,控制SE根密钥,打上SE标记并将SE提供给终端消费者,例如移动电话的用户。因此,SE发布者可以经由安全元件的密钥来进行管理,而不允许他人访问安全元件,尤其是访问安全元件中的数据。尤其是在使用困难而复杂的修改过程中,只有SE发布者自己能够向诸如银行、运输机构或消费者忠诚计划、甚至是信任服务管理者等其他应用发布者提供对安全元件的访问,安全元件进而可以提供对应用发布者的访问。据观察,SE发布者可以限制对安全元件的访问,尤其是对安全元件的安全存储器的访问。因此,由于可仅由SE发布者的参与而执行的安全元件的这些复杂而麻烦的适配,问题发展为安全元件的可用性,尤其是仅安装了对安全元件(内的数据)进行访问的有限应用的关联移动手机的性能。可能需要至少部分地克服了现有技术的缺点的一种访问移动设备的安全存储器的方法、安全电子存储器以及包括移动设备和安全存储器的系统。具体地,可能需要一种安全元件或安全电子存储器以及一种用于访问安全存储器的方法,其增强了使用安全存储器的移动设备的性能。
发明内容
独立权利要求的主题可以满足这种需求。从属权利要求详细说明了本发明的特定实施例。根据本发明实施例,提供了一种用于访问移动设备的安全存储器的方法,所述方法包括:提供用于访问安全存储器的通用(generic)接口,移动设备的第一应用使用通用接口访问安全存储器,移动设备的第二应用使用通用接口访问安全存储器。安全存储器可以是诸如基于半导体材料的存储器等电子存储器、ROM和RAM的组合、芯片卡存储器、闪存、光盘驱动存储器等等。具体地,安全存储器可以具有有限的存储容量,例如在IOkB至IOMB之间,尤其是在IOOkB至2MB之间。具体地,安全存储器的数据存储容量可以小于安装第一应用或第二应用所需的存储空间。具体地,安全存储器可以嵌入到提供诸如密码功能和数据访问功能等多个基本功能的安全元件中。具体地,移动设备可以是移动电话,例如智能电话、诸如手提电脑和平板计算机等的便携式计算机。具体地,移动设备可以被配置为使用电磁波以无线方式与基站进行通信,以向用户提供通信功能。具体地,访问安全存储器可以包括从安全存储器获取数据和/或在安全存储器中存储数据。具体地,数据可以与需要被保护而不受未授权访问的敏感数据相关。可以在制造过程中或期间(具体地,在安全存储器内)实现通用接口,使得在制造了相应存储器(尤其是在特定实现中存储了通用接口的安全存储器)之后通用接口可以是不可改变的。具体地,通用接口或实现通用接口的通用软件模块可以或可以不存储在安全存储器内。例如,实现通用接口的通用软件模块可以存储在移动设备的(与安全存储器不同或分离的)普通存储区中。在其它实施例中,实现通用接口的通用软件模块可以存储在安全存储器中。通用接口可以提供(唯一的)访问功能集合,以允许第一应用与安全存储器之间的数据交换以及第二应用与安全存储器之间的数据交换。因此,第一应用可以不同于第二应用。具体地,可以在移动设备的普通存储区中安装第一应用和第二应用。具体地,移动设备的普通存储区的存储容量可以是安全存储器的容量的10倍至1000倍,尤其是100倍至500倍。移动电话的普通存储区可以包括嵌入到移动电话中的部分,例如安装在移动电话内的芯片的一部分,并且可以包括一个或多个可移除部分,例如存储卡、SD-卡。第一应用和/或第二应用可以使能执行需要访问安全元件的安全事务,例如支付事务等等。安全存储器可以被构造成提供不同存储区,例如第一存储区和第二存储区,其中第一应用访问第一存储区(但是禁止访问第二存储区),以及第二应用访问第二存储区(但是禁止访问第一存储区),其中存储区彼此不同。通过使用具体由通用软件模块实现的用于使第一应用能够访问安全存储器并使第二应用能够访问安全存储器的仅一个通用接口,可以节约安全存储器的(可能有限的)存储空间。因此,不再需要在安全存储器中安装第一软件模块(或第一小应用)来允许第一应用访问安全存储器,也不必在安全存储器中安装第二软件模块(或第二小应用)来允许第二应用访问安全存储器。替换地,使用单个通用接口来使第一应用和第二应用能够访问安全存储器。因此,可以使更多的应用(尤其是移动设备中安装的多个应用)能够访问安全存储器中的相应存储区,以适当地执行其特定功能,尤其是安全相关事务。根据本发明实施例,安全存储器(尤其是安全元件)的基本功能对可能需要这些功能的不同应用开放。具体地,安全存储器(尤其是安全元件)可以使用安全元件或安全存储器的受限部分来存储(不同应用的)密钥和数据。具体地,可以允许不同应用经由(基于非接触或基于有线的)通用接口来以安全方式访问安全存储器中存储的数据。此外,这些应用可以(经由通用接口)利用和/或使用安全存储器或容纳安全存储器的安全元件的密码功能。具体地,应用可以使用诸如近场通信(NFC)等无线技术或基于有线的技术来与安全存储器进行通信。具体地,第一应用和第二应用可以至少部分地在与移动电话相分离的服务器、计算机或处理器中运行,并且还与安全存储器相分离,其中,可以在与外部服务器或计算机进行通信的移动电话的主机内执行第一应用和第二应用的其它部分。根据本发明实施例,通用接口实现为安全存储器中存储的通用软件模块,尤其是小应用。具体地,诸如C、C++、Java、Perl、Fortran、Pascal等任意编程语言(尤其是任意面向对象的编程语言)可以用于实现通用接口,从而创建通用软件模块。具体地,通用软件模块可以是或可以包括Java卡小应用。因此,具体地,通用软件模块可以使用应用协议数据单元(APDU)。APDU是智能卡读取器(例如移动电话)和智能卡(例如,安全元件或安全存储器)之间的通信单元。APDU的结构可以由IS0/ISC 7816-4或在本发明申请日(或优先权日)的有效版本的IS0/IEC 7816来规定。具体地,安全存储器或容纳安全存储器的安全元件可以是常规安全存储器或安全元件,其中,通用软件模块被安装在安全存储器或安全元件中,或者通用软件模块至少部分地控制对安全存储器或安全元件的访问(而不用实际安装或存储在安全存储器内)。具体地,通用软件模块可以提供安全元件的开放认证和数据环境。具体地,可以不需要信任服务管理者(TSM)用于运行或管理或处理通用软件模块。替换地,通用接口(尤其是实现的通用接口模块)可以按照通用的方式向不同应用提供向通用软件模块登记(例如,访问安全存储器)的机会或可能性。具体地,通用接口可以提供密码服务和认证功能,与移动电话内安装或存储的不同应用相关联的服务提供商之间或者向移动电话至少提供功能的服务提供商之间可以共同使用所述密码服务和认证功能。具体地,通用软件模块可以提供物理访问控制和逻辑访问控制;时间约束安全令牌(VPN密钥,付费视频流);与安全元件结合的基于软件云的令牌;博弈;和高价值优惠券,仅仅涉及一些可能示例。具体地,当要安装诸如第二应用等新应用以向移动设备提供功能时,第二应用可能需要访问通常以安全方式存储在安全存储器中的密钥、专用参数或专用数据。在这种情况下,第二应用可以使用具体以通用软件模块实现的通用接口来执行登记过程,然后这个登记过程可以授权访问安全存储器。从而,第二应用能访问安全存储器。因此,可以以简单方式实现移动电话使用新应用的功能的扩展,从而增强移动设备的功能。此外,可以提高或使能安装的应用(或其功能)的安全性。根据本发明实施例,在安全存储器的只读部分中存储通用软件模块。具体地,安全存储器还可以包括用于存储第一应用和/或第二应用的数据(而不是用于执行这些应用的程序代码)的读写部分。可以在安全存储器(尤其是安全元件)的制造过程中存储构成通用软件模块的软件指令。此后,不可能从安全存储器中改变、变更或删除通用软件模块。可能不需要改变通用软件模块,原因在于通用软件模块经由通用接口向多个不同应用提供通用访问(在相应的登记和/或认证之后)。通过将通用软件模块存储在安全存储器的只读部分中,可以保护通用软件模块不被意外删除或改变,从而提高所述方法和/或安全元件或安全存储器的可靠性。根据本发明实施例,不在安全存储器中存储第一应用,也不在安全存储器中存储第二应用。替换地,可以在移动设备的普通存储区中存储第一应用和第二应用,移动设备可以提供充足的存储空间,用于存储多个应用,例如10至1000个应用,尤其是50至100个应用。由于不在安全存储器中存储第一应用和第二应用,可以节约安全存储器的存储空间,并且庞大的应用安装可以不使安全存储器的存储空间变得拥挤。因此,可以在安全存储器内提供足够的空间,以存储更多的专用数据,例如针对移动设备中存储的每个应用的应用数据。根据本发明实施例,通用接口提供包括第一访问功能和第二访问功能的访问功能,用于与安全存储器进行通信,其中,仅在第一应用成功调用了至少一个第一访问功能之后,第二访问功能才可被第一应用调用,以及仅在第二应用成功调用了至少一个第一访问功能之后,第二访问功能才可被第二应用调用。访问功能可以是一般定义的(尤其是高级)数据交换功能,使得每个访问功能需要一个或多个自变量且返回一个或多个结果或结果对象。具体地,在新安装的应用与通用接口的初次联系时,可能需要第一访问功能。具体地,第一访问功能可以只调用一次,用于新安装的应用。与此不同,第二访问功能可以使能在操作应用期间可被频繁调用的数据交换功能。例如,对于由诸如第一应用或第二应用等特定的安装的应用所执行的每个事务,可以调用第二访问功能之一。通信可以包括(电子)数据交换。第一访问功能可以将第一应用和第二应用登记到安全接口(尤其是通用软件模块)中。因此,具体地,第一应用和第二应用可以与相应的标识数据相关联。因此,可以以简单方式配置通用接口,同时确保安全存储器(尤其是安全元件)的严格访问控制。根据本发明实施例,第一访问功能包括用于按照普通方式登记第一应用和第二应用的登记功能和/或用于对第一应用和第二应用进行认证的认证功能。具体地,登记功能和/或认证功能可以包括检查通用接口或通用软件模块的证书,这个证书与安全存储器(尤其是安全元件)相关联。因此,尽管开放安全存储器(尤其是安全元件)用于允许不同应用访问安全存储器,但是仍然严格控制对安全存储器的访问,以增强尤其是安全存储器中存储的数据的安全性。根据本发明实施例,登记功能包括登记发起功能和登记完成功能,其中,通用软件模块与安全存储器中存储的通用软件模块的私有密钥和公共密钥相关联;公共密钥用于对通用软件模块的证书进行签名;在经由登记发起功能进行登记期间,第一应用请求通用软件模块的证书,并将其发送至与第一应用相关联的服务提供商,服务提供商使用通用软件模块的公共密钥来验证证书。因此,具体地,服务提供商可以检查或验证其提供的第一应用是否被允许访问安全存储器(尤其是安全元件)内的数据。因而,可以提高安全性。根据本发明实施例,在成功验证了证书时,第一应用将第一应用数据存储在安全存储器中,其中,利用通用软件模块或安全存储器的公共密钥加密第一应用数据,第一应用数据包括第一服务密钥和/或第一参数。具体地,私有密钥可以仅被通用软件模块所知,而公共密钥可以被他人(尤其是服务提供商)所知。第一应用数据可以包括第一应用可专用的数据和密钥。利用通用软件模块的公共密钥来加密第一应用。在其它实施例中,利用第一应用专用的一个或多个密钥来加密第一应用数据。第一应用数据可以包括在第一应用执行事务时使用的任意种类的数据,例如,个人数据、配置数据、加密密钥、解密密钥等。从而可以在安全问题上增强登记过程。在进行了成功登记时,第一应用可以接收第一引用句柄,例如指示数量的指针或地址,第一引用句柄稍后可以被第一应用用于调用访问功能之一,尤其是第二访问功能之一。因此,可以简单化安全存储器内的专用数据的访问。根据本发明实施例,第一应用数据的至少一部分与对第一应用数据的一部分的(预定)使用期限加以指示的信息相关联,其中,如果使用期限到期,则从安全存储器去除所述第一应用数据的一部分。通过从安全存储器去除使用期限到期的部分,可以重建或扩展安全存储器的(空闲)存储空间。因而,有利地,可以在安全存储器内存储与安装的其它应用相关的数据。从而可以再次扩展移动设备的功能。根据本发明实施例,第二访问功能包括数据获取功能和数据存储功能中的至少一个;数据获取功能被第一应用用于从安全存储器获取第一应用数据,被第二应用用于从安全存储器获取第二应用数据,其中,禁止第一应用获取第二应用数据,禁止第二应用获取第一应用数据;数据存储功能被第一应用用于在安全存储器中存储第一应用数据,被第二应用用于在安全存储器中存储第二应用数据。在运行第一应用和第二应用期间,尤其是在执行安全事务期间,第一应用和第二应用可以频繁地调用数据获取功能和/或数据存储功能。具体地,第一应用可能需要被适当执行的第一应用数据。第二应用也是。可以对通用接口进行设计,使得禁止第一应用对第二应用数据的未授权数据访问和第二应用对第一应用数据的未授权数据访问。从而可以满足安全需求。根据本发明实施例,第一应用数据包括用于标识第一应用的第一标识数据、从通用接口执行的功能得到的第一数据和第一密钥、第一应用的第一服务参数和第一应用的第一宏中的至少一个。第一标识数据可以包括ID,例如字母数字序列。第一数据和第一密钥、第一服务参数和第一宏可以简化或增强第一应用的功能。此外,第二应用可以在安全存储器内存储第二应用数据。根据本发明实施例,第二访问功能包括数据加密功能和数据解密功能中的至少一个;数据加密功能用于加密数据,尤其是用于使用第一应用数据中包括的第一应用密钥来加密与第一应用相关联的数据,使用第二应用数据中包括的第二应用密钥来加密与第二应用相关联的数据;数据解密功能用于解密数据,尤其是第一应用数据和第二应用数据中的至少一个。第一应用和第二应用可能需要加密的数据或解密的数据。因此,在通用软件模块或通用接口内实现这些加密/解密功能可以降低第一应用和第二应用的复杂性。具体地,这些功能可以在通用软件模块内仅被实施一次,并且可以被诸如第一应用和第二应用等多个不同应用使用或调用。根据本发明实施例,第二访问功能包括数据删除功能和密钥更新功能、验证功能、签名功能中的至少一个;数据删除功能被第一应用用于删除第一应用数据的至少一部分,被第二应用用于删除第二应用数据的至少一部分,其中,禁止第一应用删除第二应用数据,禁止第二应用删除第一应用数据;密钥更新功能用于更新第一应用的第一公共密钥和第二应用的第二公共密钥。数据删除功能有利于从安全存储器释放例如在从移动电话卸载应用的情况下或者在应用基于任意其它原因不再需要数据的情况下而不再被需要的数据。验证功能和签名功能可以有利于增强数据安全。根据本发明实施例,通用接口在安全存储器与第一应用和第二应用之间使用有线或无线通信过程或技术。具体地,近场通信(NFC)可以用作无线通信过程,或者诸如RF-技术等任意基于电磁波的技术可以用作无线通信过程。因而,所有种类的常规通信过程可以用于或应用于利用通用接口的功能。根据本发明实施例,通用接口适于支持安全事务应用,安全事务应用包括支付应用、用于访问物理设施的访问密钥应用和用于处理VPN密钥的密钥处理功能中的至少一个。应该理解,用于访问移动设备的安全存储器的方法单独地或组合地公开、描述、提及或采用的特征也可以应用于根据本发明实施例的安全电子存储器或包括移动设备和安全存储器的系统,反之亦然。根据本发明实施例,提供了一种安全电子存储器(例如,移动电话中嵌入的基于半导体材料的存储器或诸如SIM-卡或SD-卡等基于卡的存储器),其中存储了根据上述实施例描述的实现了用于访问移动设备的安全存储器的方法的通用软件模块。安全电子存储器可以允许尤其是成功通过了登记过程的许多不同应用访问安全电子存储器内存储的数据。从而可以增强安全电子存储器在支持许多不同应用上的灵活性。根据本发明实施例,在SIM-卡、移动设备的普通存储器和SD-卡中的至少一个中包括安全存储器。SIM-卡和SD-卡可以以通信的方式(尤其是基于有线的方式)与移动设备进行耦合。在移动设备中,可以至少部分地安装或执行一个或多个应用,尤其是第一应用和第二应用。为了执行第一应用和第二应用,移动设备可以包括主机处理器,主机处理器包括运算逻辑单元和移动设备的普通存储空间。根据本发明实施例,提供了一种系统,包括根据本发明实施例的能够与上述安全存储器进行通信的移动设备,尤其是移动电话。根据将在下文中描述的实施例的示例,本发明的上述方面和其它方面将显而易 见,并且将参照实施例的这些示例说明本发明的上述方面和其它方面。
在下文中,将参考实施例的示例来更详细地描述本发明,但是本发明不限于所述实施例的示例。图1示意性地示出了根据本发明实施例的系统;图2示意性地示出了根据本发明实施例在登记期间的方法。
具体实施例方式图1不意性地不出了根据本发明实施例的系统100。系统100包括移动设备101和安全存储器103,这里,安全存储器103嵌入在安全元件105中。移动设备101能够经由通信线路107、109中的一个与安全存储器103进行通信,尤其是与安全元件105进行通信。因此,通信信道107代表了无线通信信道,而通信信道109代表了有线通信信道。移动设备101 (可以是例如移动电话)包括其中安装了服务管理器113的主机处理器111。此外,主机处理器111安装了第一应用115、第二应用117和多个其它应用,例如,参考标记119所标示的应用AppN。第一应用115、第二应用117和其它应用119可以具有关联的应用专用数据121、123,安全元件105中包括的充当通用软件模块125的小通用应用(也称作小服务应用或通用软件模块)可以对这些专用数据121、123进行加密。应用115、117和119经由接触式接口 109和/或非接触式接口 107来使用小服务应用125的服务或功能。安全元件还包括PPSE 126。应用115、117和119与服务管理器113进行通信,服务管理器113进而与小服务应用125进行通信,具体地,用于交换安全元件105与应用115、117、119之间的加密数据。具体地,在安全存储器103内的只读部分中实现或存储小服务应用125。小服务应用125提供用于访问安全存储器103的通用接口,其中,提供对在移动电话101的主机111中执行的应用115、117和119的访问。因此,小服务应用包括或管理或控制其中存储了专用数据的数据存储区127。具体地,可以存储登记的应用的标识符129。此外,可以存储利用参考标记131标示的在小服务应用服务中使用的或从小服务应用服务中得到的数据和密钥。此外,可以在受小服务应用125控制的存储区127内存储专用服务参数和宏133。因此,服务参数和宏133可以描述或配置不同应用115、117、119的功能,不同应用可以在执行不同事务尤其是特定安全敏感事务时使用宏。具体地,安全元件105的发布者和/或安全元件105的供应商可以证明小服务应用125。具体地,可以以安全方式将小服务应用125预加载到ROM中。因此,具体地,不需要信任服务管理者将小服务应用125安装到安全元件105中。经由小服务应用125启用安全元件105的多用途,其中经由小服务应用125授权第一应用115、第二应用117和其它应用119访问安全存储器103。具体地,小服务应用125可以控制或管理或支配仅特定应用115、117、119的数据和/或密钥数据,而不在安全元件105内存储应用本身。具体地,应用115、117,119的任意信任服务管理者或者与特定应用相关的服务提供商可以与小服务应用125进行通信。图2示意性地示出了根据本发明实施例方法中的登记过程。安全元件105的供应商135具有PKI密钥对137、139。服务提供商141 (或与服务提供商141相关联的应用,例如图1的应用114、117、119)首先需要利用小通用应用125进行登记。因此,例如,小通用应用125自己存储安全元件供应商135的公共密钥137及版本号。最初(离线地),可以存在应用提供商141的批准和证明过程,在这些过程中,还将确定向应用提供商或服务提供商141分配的特权。在批准和证明了应用提供商/服务提供商141之后,服务提供商可以产生其自己的密钥对143、145。服务提供商141向安全元件供应商135发送公共密钥143用于签名,这里,在服务提供商证书147中示出了公共密钥143。因此,安全元件供应商135提供其签名149。在对服务提供商证书147进行签名之前,安全元件供应商135向这个服务提供商141分配ID并确定能够分配给服务提供商141的特权。基于导出控制的原因,规定加密/解密受限于专门授权对其进行使用的那些组织。这个信息将被添加到服务提供商公共密钥143中。然后,安全元件供应商135将使用自己的私有密钥139对这个信息进行签名。当应用提供商/服务提供商141第一次与小通用应用125进行通信(用于登记)时,将从小通用应用125获取服务提供商证书147。小通用应用125将使用公共密钥137来验证证书147的签名149。然后,小通用应用125将登记这个服务提供商信息且产生随机服务密钥。将使用服务提供商公共密钥137对这个密钥进行加密,并在响应消息151中返回这个密钥。服务提供商141将对消息151进行解密,以获得服务密钥。然后,这个密钥将用于服务提供商/应用提供商与小通用应用125之间的后续手动认证。小通用应用125实现通用接口,用于允许应用115、117、119访问安全元件105,尤其是访问安全存储器103。具体地,小通用应用125可以对应用115、117、119发送的数据进行加密/解密、签名、MAC相关验证动作,并且将引用在手动认证或防止令牌(小通用应用125获取这个令牌来证明其被允许使用密钥)之后加载的密钥之一。具体地,安全元件可以实现以下访问功能:[RandomKey]spPubKey InitRegisterSP(X509 Certificate)Certificate 具有:SPId# ;Access Privileges (访问特权);SP 公共密钥。利用SE供应商私有密钥137对以上所有参数进行签名,并利用SE供应商公共密钥139对其进行验证。这个功能将返回RandomSession Key (随机会话密钥)。(Success/Failure) CompleteRegister (SPId, [SPServiceKey]RandomSessionKey)。接口将服务提供商(SP)登记到小通用应用中。在登记之后,SP有权依靠小通用应用来执行操作。可以有两组特权。第一组是:获取数据、加载数据、验证和签名。第二组包括上述所有特权再加上加密和解密。-RetrieveData ()这个接口将从小通用应用获取应用数据。这个命令不需要安全会话。必须给出被映射到SP内的获取数据记录的SP Id#。-LoadData O该函数将应用对象加载至SP的给定Id#。如果索引已被占用,则这个命令将利用新对象替代现有对象。仅在手动认证之后才可以执行这个操作。-Verify ()-Sign O-Encrypt ()该函数将命令小通用应用使用由SP安装的应用密钥来加密给定数据。-Decrypt O该函数将命令小通用应用使用由SP安装的应用密钥来解密给定数据。-UpdatePublicKey([NewPubKey]oIdPrivKey)-UpdatePublicKey([NewPubKey]oldPrivKey)根据实施例,小通用应用125可以被加载到安全元件105的ROM中,作为单个实
例,并且可以不需要信任服务管理者的参与。单个小通用应用125可以主持(host)登记应用115、117、119的数据和密钥,以允许安全元件105的多用途。因而,小通用应用125可以具有他人不知道的自身私有密钥138。小通用应用125用于对证书147进行签名的公共密钥137被公布给外界,例如服务提供商或服务应用141。例如,安全元件供应商135可以使用公共密钥对证书147进行签名。然后,应用(例如,图1所示的应用115、117、119)索要证书147,于是证书147被发送至服务提供商或服务应用141。服务提供商141使用公布的公共密钥137来验证证书147。如果验证了证书147,则服务提供商141可以使用这个公共密钥来对其初始数据块(blob)进行加密。这个数据块(例如,图1中的数据127)可以包括其服务密钥及对密钥的使用进行限定的特定参数或规则(应用专用)。参数之一可以是密钥的使用期限,能够用于确定在数据被交换(到安全元件内或外)时可能需要替换哪些密钥。然后,小通用应用125可以向刚加载到安全元件105中的服务密钥返回令牌或稍后可用作引用句柄的引用。具体地,月艮务管理器113控制从适当应用(或安全元件105内的特定存储区)交换数据或者将数据交换至适当应用(或安全元件105内的特定存储区)。具体地,应用115、117、119中的一个可以向小通用应用125传输用于验证的引用令牌及数据和要执行的操作。然后,安全元件(尤其是小通用应用125)可以对应用115、117、119中的一个发送的数据执行请求的操作(例如,加密/解密/签名/MAC等)或执行其它请求的操作。具体地,可能需要专用许可,用于授权特定操作,例如加密/解密。这可以例如由安全元件供应商136来完成,安全元件供应商136生成利用SE供应商私有密钥进行签名的许可消息并将其发送至每个授权方。如果安全元件(尤其是安全存储器103)的存储空间不足,则可以基于密钥的使用期限参数或诸如LRU等其它算法来替换密钥。
权利要求
1.一种用于访问移动设备的安全存储器的方法,所述方法包括: 提供用于访问安全存储器的通用接口; 由移动设备的第一应用使用通用接口访问安全存储器; 由移动设备的第二应用使用通用接口访问安全存储器。
2.根据权利要求1所述的方法,其中,通用接口实现为安全存储器内存储的通用软件模块,尤其是小应用。
3.根据权利要求2所述的方法,其中,通用软件模块存储在安全存储器的只读部分中。
4.根据权利要求1所述的方法,其中,第一应用没有存储在安全存储器中,第二应用没有存储在安全存储器中。
5.根据权利要求2所述的方法,其中,通用接口提供包括第一访问功能和第二访问功能的访问功能,用于与安全存储器进行通信, 其中仅在第一应用成功调用了至少一个第一访问功能之后,第二访问功能才可被第一应用调用,以及 仅在第二应用成功调用了至少一个第一访问功能之后,第二访问功能才可被第二应用调用。
6.根据权利要求5所述的方法,其中,第一访问功能包括以下中的至少一个: 登记功能,用于按照通用方式登记第一应用和第二应用;以及 认证功能,用于对第一应 用和第二应用进行认证。
7.根据权利要求6所述的方法, 其中,登记功能包括登记发起功能和登记完成功能, 通用软件模块与安全存储器中存储的通用软件模块的私有密钥和公共密钥相关联,公共密钥用于对通用软件模块的证书进行签名, 在经由登记发起功能进行登记期间,第一应用请求通用软件模块的证书并将其发送至与第一应用相关联的使用通用软件模块的公共密钥来验证证书的服务提供商。
8.根据权利要求7所述的方法,其中,在成功验证了证书时,第一应用将第一应用数据存储在安全存储器中,利用通用软件模块的公共密钥来加密第一应用数据,第一应用数据包括第一服务密钥和/或第一参数。
9.根据权利要求8所述的方法,其中,通用软件模块经由登记完成功能向第一应用返回第一引用句柄,其中,第一应用能够基于第一引用句柄调用访问功能并访问第一应用数据。
10.根据权利要求8所述的方法,其中,第一应用数据的至少一部分与对第一应用数据的一部分的使用期限加以指示的信息相关联,其中,如果使用期限到期,则从安全存储器去除第一应用数据的所述部分。
11.根据权利要求5所述的方法,其中,第二访问功能包括以下中的至少一个: 数据获取功能,用于通过第一应用从安全存储器获取第一应用数据,通过第二应用从安全存储器获取第二应用数据,其中,禁止第一应用获取第二应用数据,禁止第二应用获取第一应用数据;以及 数据存储功能,用于通过第一应用在安全存储器中存储第一应用数据,通过第二应用在安全存储器中存储第二应用数据。
12.根据权利要求11所述的方法,其中,第一应用数据包括以下中的至少一个: 用于标识第一应用的第一标识数据;以及 从通用接口执行的功能得到的第一数据和第一密钥; 第一应用的第一服务参数;和 第一应用的第一宏。
13.根据权利要求5所述的方法,其中,第二访问功能包括以下中的至少一个: 数据加密功能,用于加密数据,尤其用于使用第一应用数据中包括的第一应用密钥来加密与第一应用相关联的数据,使用第二应用数据中包括的第二应用密钥来加密与第二应用相关联的数据;以及 数据解密功能,用于解密数据,尤其是第一应用数据和第二应用数据中的至少一个。
14.根据权利要求5所述的方法,其中,第二访问功能包括以下中的至少一个: 数据删除功能,用于通过第一应用删除第一应用数据的至少一部分,通过第二应用删除第二应用数据的至少一部分,其中,禁止第一应用删除第二应用数据,禁止第二应用删除第一应用数据;以及 密钥更新功能, 用于更新第一应用的第一公共密钥和第二应用的第二公共密钥; 验证功能;以及 签名功能。
15.根据权利要求1所述的方法,其中,通用接口在安全存储器与第一应用和第二应用之间使用有线或无线通信过程。
16.根据权利要求1所述的方法,其中,通用接口适于支持安全事务应用,所述安全事务应用包括支付应用、用于访问物理设施的访问密钥应用和用于处理VPN密钥的密钥处理功能中的至少一个。
17.一种存储了通用软件模块的安全电子存储器,其中,通用软件模块实现了根据任一项上述权利要求的方法。
18.根据前述权利要求的安全存储器,被包括在SIM-卡、移动设备的普通存储器和SD-卡的至少一个中。
19.一种包括移动设备的系统,所述移动设备能够与根据权利要求17的安全存储器进行通信。
全文摘要
本发明公开了一种用于访问移动设备的安全存储器的方法,所述方法包括提供用于访问安全存储器的通用接口;由移动设备的第一应用使用通用接口访问安全存储器;由移动设备的第二应用使用通用接口访问安全存储器。此外,公开了相应的安全电子存储器和系统。
文档编号G06F21/62GK103198030SQ20121045274
公开日2013年7月10日 申请日期2012年11月13日 优先权日2011年12月2日
发明者罗山·维贾汗卡, 汉斯·德容, 豪克·麦恩 申请人:Nxp股份有限公司