针对具有运行时环境的移动基站的内容管理的制作方法
【技术领域】
[0001]本发明涉及包括具有安全运行时环境的移动终端装置以及可移除的或稳固实现的安全性元件的移动基站、管理服务器以及针对安全执行环境的内容管理系统。
【背景技术】
[0002]GSM和UMTS系统中的移动基站以及类似的移动无线电系统包括移动终端装置(例如,移动电话或智能机)以及可移除的或稳固实现的安全性元件。在该安全性元件中,存在已实现的连接数据(例如,頂SI(国际移动用户身份))、用于在移动无线电网络中操作连接的密钥和算法。在GSM或UMTS系统中,已知SM卡或USM卡(SM =用户身份模块,USIM=通用SM)作为可移除安全性元件。已知作为稳固实现的安全性元件的eUICC(嵌入式通用集成电路卡),其是稳固联接的组件。与安全性元件的通信由组织ETSI (欧洲电信标准协会)的标准来标准化。
[0003]在移动终端装置中,已知安全运行时环境TEE (TEE =可信执行环境),其中不同安全性等级的执行环境之间的分离在软件层面上生成。安全性关键数据和程序在安全运行时环境的管理下存储。剩余数据和程序存储在除了安全的运行时环境之外存在的普通运行时环境中。也称为“普通区域”或“普通世界”的不安全运行时环境由普通操作系统(例如,安卓、Windows Phone、塞班)控制。也称为“信任区域”或“可信世界”或“安全世界”或“可信赖执行环境TEE”的安全或可信任的运行时环境由安全性操作系统控制。
[0004]具体地,安全性关键应用和一些外围功能(例如,键盘驱动器)由安全性操作系统以安全方式控制。在安全性操作系统下的应用也称为可信应用(例如,全球平台),或在一些情况下称为“Trustlets (注册商标)”,其关联地遵循“信任”和“小应用程序(applet) ”的概念。
[0005]例如,文档“全球平台装置技术:TEE系统架构,版本0.4,公开审阅稿,2011年10月,文档编号:GPD_SPE_009”描述了具有普通或不安全执行环境“富执行环境(REE)”和安全执行环境“可信执行环境(TEE) ”的移动终端装置(参见第一章)。
[0006]为了安全性元件中内容(例如,数据、程序)的管理,移动无线电网络提供商具有成熟的服务器基础设施。这允许它们经由移动无线电网络(0TA,在空中)将其中包括来自内容服务器的根据ETSI标准的内容的消息以密码安全方式加载到安全性元件中。
[0007]针对移动终端装置的安全运行时环境中的内容的管理,同样,密码可安全基础设施是必要的。传统地,例如,诸如根据全球平台的安全运行时环境的内容由所谓的可信服务管理器管理。
[0008]由于安全运行时环境相比于普通运行时环境更高的安全性要求,针对传统移动终端装置的内容管理的基础设施不足。针对安全性元件的内容管理的服务器基础设施不直接适用于安全运行时环境的内容管理。因为安全性元件和服务器之间的通信受根据ETSI标准的消息影响,所以到安全运行时环境的消息必须满足其他规定,例如,全球平台组织的规定。可信服务管理器能够以安全方式传送符合全球平台的这样的消息到安全运行时环境。针对安全运行时环境的内容的管理的额外的安全服务器基础设施的操作对于移动无线电网络提供商意味着大量组织和财务费用。
【发明内容】
[0009]本发明基于提供具有安全运行时环境的移动基站的目标,该移动基站使得安全运行时环境的内容(数据、程序)的高效和同时的安全管理变得可能。此外,要叙述用于移动基站的匹配管理服务器。
[0010]根据EP 1510012B1,已知具有SM卡形式的可移除安全性元件的移动基站。在SM卡中,除了用于操作移动无线电网络中的连接的传统连接数据(MSI)之外,还额外存储用于操作IP网络中的连接的连接数据(IP地址)。在SM卡中,还实现重定向经由移动无线电网络建立的连接到IP连接的服务器。
[0011]该目标由根据权利要求1的移动基站实现。在从属权利要求中叙述本发明的有利实施例。
[0012]根据本发明的移动基站包括具有安全的运行时环境以及可移除的或稳固实现的安全性元件(例如,SIM卡、UICC、eUICC等)的终端装置(例如,智能电话、移动电话等)。在安全性元件中,布置用于接收发送给安全性元件的安全性元件消息的安全性元件接收单元。提供安全性元件消息以将例如数据、程序或对已经呈现在安全性元件中的数据或程序的更新的内容(这里尤其是关于订阅的数据和程序,即,合同关系)引入安全性元件,以便于经由移动网络提供商的移动网络操作与移动基站的移动无线电连接。在安全运行时环境中,布置用于接收发送到终端装置的安全运行时环境的终端装置消息的终端装置接收单元。提供终端装置消息以将诸如数据、程序和用于数据和程序的更新加载到安全运行时环境中。提供例如诸如支付应用之类的应用作为程序。
[0013]移动基站的特征在于,终端装置发送服务器,布置在所述安全性元件中,其布置为向安全运行时环境发送可以由所述安全运行时环境接收的终端装置消息。
[0014]这样,可以向安全性元件发送用于安全运行时环境的内容。在安全性元件中布置的终端装置发送服务器转发内容到安全运行时环境。结果,网络提供商可以使用对安全性元件管理而布置的服务器基础设施,以便于也管理安全运行时环境。具体地,对于安全运行时环境的内容管理,可以使用管理服务器,该管理服务器实际上被提供用于安全性元件的内容管理并且必须为此目的而仅稍微增强。这样的管理服务器在权利要求3中叙述。通信到安全运行时环境的必要传递不是由网络提供商的外部服务器实施,而是由安全性元件中的卡内(或eUICC等中)内部实现的服务器实施。这缓解了网络提供商。当(例如,在网络提供商处操作的)外部服务器和安全性元件之间的通信以及安全性元件和安全运行时环境之间的通信为安全时,根据本发明的解决方案相比于具有针对安全运行时环境的分立的外部服务器基础设施的解决方案而且没有安全损失。
[0015]因而,根据权利要求1,创建具有安全运行时环境的移动基站,这使得安全运行时环境的内容的有效和同时的安全管理变得可能。
[0016]提供例如所谓的可信服务管理器作为终端装置发送服务器。根据本发明,用于安全运行时环境的可信服务管理器在安全性元件(例如,SIM卡、UICC, eUICC等)中实现。
[0017]选择性地,安全性元件和安全性元件消息根据ETSI而规定,并且安全运行时环境和终端装置消息根据全球平台而规定。
[0018]根据本发明的管理服务器布置用于移动基站的内容管理。移动基站在每一个情况下包括具有安全运行时环境以及可移除的或稳固实现的安全性元件的移动终端装置。管理服务器包括传统的安全性元件发送服务器,其布置为发送可以由安全性元件接收并评估的安全性元件消息到安全性元件。管理服务器特征在于这样的事实:其进一步被布置为接收可以由终端装置的安全运行时环境接收的终端装置消息,并且将这些消息传递给在安全性元件中布置的终端装置发送服务器。与安全运行时环境的通信最终由在安全性元件中提供并且在权利要求1中叙述的终端装置发送服务器实施。管理服务器自身不需要能够与安全运行时环境直接通信。结果,例如移动无线电网络提供商的管理服务器的提供商具有相对低的费用。
[0019]根据本发明的内容管理系统包括至少一个移动基站以及管理服务器,如上所述。
[0020]内容管理系统选择性地进一步包括内容服务器,通过该内容服务器,用于存储到移动终端装置的安全运行时环境中的内容(尤其是数据