用于在应用的两个实例之间传送用户数据的方法
【技术领域】
[0001]本发明涉及在应用的两个实例之间传送用户数据的方法。本发明特别是涉及在嵌入在安全元件中的各实例之间传送用户数据的方法。
【背景技术】
[0002]安全元件是包括用于计算处理的存储器、微处理器和操作系统的小设备。这样的安全元件可以包括多个不同类型的存储器(如非易失性存储器和易失性存储器)。它们被称为“安全的”,因为它们能够控制对它们所包含的数据的访问并且对由其它机器进行的数据的使用授权或者不授权。安全元件也可以基于加密组件而提供计算服务。一般而言,安全元件具有受限制的计算资源和受限制的存储器资源,并且它们被意图连接到为它们提供电力的主机机器。安全元件可以是可拆装的,或被固定到主机机器。例如,智能卡是一种安全元件。
[0003]安全元件可以包含应用以及它们的囊括用户数据、文件系统和机密密钥的关联的可应用数据。这样的应用可以被开发为被存储到安全元件中的包。然后按照需要来创建包应用的一个或若干实例。每个实例拥有、处置并且存储其自身的可应用数据。
[0004]远程服务器可以经由无线信道或通过有线网络(如例如互联网)访问安全元件。例如,意图被用在电信领域或机器到机器(M2M)领域中的安全元件能够管理0ΤΑ (空中)信道。也可以针对安全模式通过通常称为HTTP或HTTPS的超文本传输协议来访问这些安全元件。因此,远程服务器能够使用特定协议通过专用通信会话来远程地管理安全元件(如UICC (Universal Integrated Circuit Card,通用集成电路卡))的内容。例如,服务器可以使用由 GlobalPlatform ? ν2.2 标准定义的 RAM(Remote Applet Management,远程小应用管理)机制——由OMA-TS-DM V1.2.1标准定义的修正案B “RAM over HTTP”或OMA-DM(Open Mobile Alliance-Device Management,开放移动联盟--设备管理)协议。
[0005]远程服务器能够发送包应用的新版本或升级。在此情况下,链接到先前的包的实例被删除,并且它们的可应用数据的临时备份被存储在远程服务器中。然后,包的新版本被安装,新的实例被创建并且填装有从备份区域重获的可应用数据。这样的方案是棘手的任务,并且可能导致数据丢失。此外,将备份数据发送到服务器请求归因于要被升级的大量安全元件而可能是重要的带宽的一部分。相似地,可以简单地删除可应用数据;新的可应用数据由远程服务器生成并且被传输到新实例。在此情况下,这也要求在服务器侧上的一些带宽。
[0006]存在针对允许在嵌入在安全元件中的应用的来自旧包的实例与来自新包的实例之间的可应用数据的增强传送的需要。
【发明内容】
[0007]本发明的目的在于解决上面提到的技术问题。
[0008]本发明的目的是一种将用户数据从第一包的第一实例传送到与所述第一包的升级版本对应的第二包的第二实例的方法。第一实例以第一存储格式来存储用户数据。所述第一实例和第二实例被嵌入在安全元件中。所述方法包括以下步骤:
-所述第一实例和第二实例在便携式安全设备内建立直接信道,
-所述第一实例变为其中所述第一实例拒绝除了与所述第二实例的通信之外的所有服务请求的锁定状态,通过以传送格式来格式化所述用户数据而准备封包,并且自动地通过直接信道将封包发送到所述第二实例,
-所述第二实例从封包重获用户数据,并且以第二存储格式来存储用户数据。
[0009]有利地,所述第一实例和第二实例可以包括密钥,所述第一实例和第二实例可以使用所述密钥来执行相互鉴权,并且可以只在相互鉴权成功时才建立直接信道。
[0010]有利地,所述方法可以包括进一步的步骤:
-所述第二实例检查所述第一实例和所述第二包兼容,以及 -在成功检查的情况下,所述第二实例请求所述第一实例发送用户数据。
[0011]有利地,所述方法可以包括进一步的步骤:删除第一实例,并且如果不存在第一包的余留实例,则删除所述第一包。
[0012]有利地,第一实例可以具有第一标识符,并且第二实例可以具有第二标识符,并且所述方法可以包括创建从第一标识符到第二标识符的别名的步骤。
[0013]有利地,可以在安全元件中创建与第二包的升级版本对应的第三包的第三实例,第三实例可以具有第三标识符,并且所述方法可以包括将别名从第一标识符传送到第三标识符的步骤。
[0014]本发明的另一目的是安全元件,所述安全元件包含第一包和第二包、第一包的第一实例以及第二包的第二实例。第一实例以第一存储格式来存储用户数据。第一实例和第二实例被配置为在安全元件内建立直接信道。第一实例被适配为变为其中其拒绝除了与第二实例的通信之外的所有服务请求的锁定状态。第一实例被适配为通过以传送格式来格式化用户数据而准备封包。第一实例被适配为自动地通过直接信道将封包发送到第二实例。第二实例被适配为从封包重获用户数据,并且以第二存储格式来存储用户数据。
[0015]有利地,第一实例和第二实例可以包括密钥,所述第一实例和第二实例可以被配置为使用所述密钥来执行相互鉴权,并且可以只在相互鉴权成功时建立直接信道。
[0016]有利地,第二实例可以被适配为检查所述第一实例和第二包是否兼容,并且在成功检查的情况下请求所述第一实例发送用户数据。
[0017]有利地,所述第一实例可以具有第一标识符,并且所述第二实例可以具有第二标识符。安全元件可以包括能够创建从第一标识符到第二标识符的别名的第一装置。
[0018]有利地,安全元件可以包括能够删除实例的第二装置、能够检查给定的包的余留实例的存在性的第三装置以及能够删除包的第四装置。
【附图说明】
[0019]参照对应的随附附图,本发明的其它特征和优点将从阅读以下大量本发明的优选实施例的描述而更清楚地显现,在附图中:
-图1描绘根据本发明的应用的两个包版本和所链接的实例的示例,
-图2示出根据本发明一个方面的传送可应用数据的第一示例性流程图; -图3示出根据本发明一个方面的传送可应用数据的第二示例性流程图;
-图4示出根据本发明示例的安全元件的示图;以及 -图5描绘根据本发明的两个包和所链接的实例的另一示例。
【具体实施方式】
[0020]本发明可以应用于被意图用来嵌入当在领域上部署时可以被升级的应用的任何类型的安全元件。这样的安全元件可以被耦合到主机机器(如电话、车辆、仪表、自动售货机、TV或计算机)。
[0021]在本描述中,词语实例意味着软件应用的实例。本发明不仅应用于如在Java领域中所限定的实例,而且还应用于可以独立地运行的(以非面向对象的编程语言编写的)分离软件。
[0022]本发明依赖于在两个实例之间建立通信信道,该信道仅保留在安全元件内。当前实例(即来自旧包的实例)锁定自身,并且以对于两个实例公用的传送格式来准备其自身的可应用数据。来自新包的实例重获已经被以传送格式接收到的可应用数据,并且以其自身的存储格式来存储它们。
[0023]本发明的优点是避免当应用的升级出现时在安全元件的外部发送用户数据。由于用户数据保留在安全元件中,因此本发明提供避免在网络上传送用户数据期间的攻击的优点。这增加用户数据的安全性。
[0024]图1示出根据本发明的链接到应用的不同包的两个实例的示例。
[0025]在该示例中,安全元件SE包括应用的包P1以及包P1的实例A1。包P1和实例A1被称为有效的、旧的或当前的。实例A1存储若干可应用数据:两个配置项CF1和CF2、密钥K1以及用户数据UD。例如,安全元件可以是智能卡,并且应用可以是允许处置用于支付的安全交易的支付服务。用