用于管理内容的方法和安全元件的制作方法
【专利摘要】本文揭露了一种用于管理内容的方法,包括:由服务提供方生成可认证的管理脚本,可认证的管理脚本被配置成管理包含在安全元件中的内容;由所述服务提供方将可认证的管理脚本提供给安全元件。此外,本文还揭示了一种用于管理内容的方法,包括:由安全元件接收可认证的管理脚本,可认证的管理脚本用于管理包含在所述安全元件中的内容;由所述安全元件对所述可认证的管理脚本进行认证;如果管理脚本是可信的,则由所述安全元件执行管理脚本。此外,本文还揭示了相应的计算机程序产品和安全元件。
【专利说明】
用于管理内容的方法和安全元件
技术领域
[0001]本文涉及用于管理内容的方法。此外,本文还涉及相应的安全元件,相应的智能卡和移动设备。
【背景技术】
[0002]现如今,智能卡和移动设备,诸如智能电话,可以用来执行很多种交易。例如,智能卡和移动设备可以代替传统的公共交通票或者购物卡。为了实现这些功能,智能卡或者移动设备通常包含安全元件。安全元件可以例如是嵌入式的芯片,更具体地说,可以是具有已安装的或者预先安装的智能卡级应用的防篡改的集成电路,这些应用例如是具有预定功能和预定安全等级的支付应用。此外,安全元件可以实现安全功能,诸如加密功能和认证功能。当安全元件已经处于使用中时,可能需要改变或更新安全元件中包含的可执行的应用。这些改变和更新应当以安全的方式来进行。因此,可能需要安全地管理已经处于使用中的安全元件上的应用。广义上来说,可能需要管理已经处于使用中的安全元件上的内容。
【发明内容】
[0003]本文揭露了一种用于管理内容的方法,包括:由服务提供方生成可认证的管理脚本,可认证的管理脚本被配置成管理包含在安全元件中的内容;由所述服务提供方将可认证的管理脚本提供给安全元件。
[0004]在示例性实施例中,所述生成包括由所述服务提供方使用公私密钥对中的私钥对管理脚本进行签名。
[0005]在另一个示例性实施例中,所述生成包括,由所述服务提供方将认证中心提供的管理证书添加到管理脚本中。
[0006]在另一个示例性实施例中,管理证书包括分配给服务提供方的权限的定义,以及其中所述权限的定义规定了管理脚本可以对内容执行哪些管理操作。
[0007]此外,本文还揭示了一种用于管理内容的方法,包括:由安全元件接收可认证的管理脚本,可认证的管理脚本用于管理包含在所述安全元件中的内容;由所述安全元件对所述可认证的管理脚本进行认证;如果管理脚本是可信的,则由所述安全元件执行管理脚本。
[0008]在示例性实施例中,所述接收包括从服务提供方接收可认证的管理脚本。
[0009]在另一个示例性实施例中,所述认证包括使用公私密钥对中的公钥来验证可认证的管理脚本的签名。
[0010]在另一个示例性实施例中,该方法进一步包括由安全元件从服务提供方接收管理证书,其中所述公钥包含在所述管理证书中。
[0011]在另一个示例性实施例中,管理证书包括分配给服务提供方的权限的定义,以及其中所述认证进一步包括使用所述权限的定义来验证可认证的管理脚本是否有权执行特定的管理操作。
[0012]在另一个示例性实施例中,所述认证进一步包括在验证可认证的管理脚本的签名之前,使用另外的公钥来验证管理证书的签名。
[0013]在另一个示例性实施例中,该方法进一步包括由安全元件记录由服务提供方执行的管理操作的历史。
[0014]此外,本文还揭示了一种安全元件,该安全元件被配置成执行上述方法。
[0015]在示例性实施例中,一种智能卡,包括上述安全元件。
[0016]在另一个示例性实施例中,一种移动设备,包括上述安全元件。
【附图说明】
[0017]下面将参照附图详细描述实施例,其中,
[0018]图1不出了内容管理系统的实例;
[0019]图2示出了内容管理系统的示例性实施例;
[0020]图3示出了内容管理方法的第一示例性实施例;
[0021 ]图4示出了内容管理方法的第二示例性实施例。
[0022]参考标号列表
[0023]100内容管理系统
[0024]102安全元件发行方的可信服务管理器
[0025]104服务提供方的可信服务管理器
[0026]106服务提供方
[0027]108安全元件
[0028]HO发行方安全域
[0029]112安全域
[0030]200内容管理系统
[0031]202服务提供方的可信服务管理器
[0032]204服务提供方
[0033]206安全元件
[0034]208发行方安全域
[0035]210安全域
[0036]212由服务提供方提供的应用
[0037]300内容管理办法
[0038]302生成可认证的管理脚本
[0039]304向安全元件提供可认证的管理脚本
[0040]400内容管理办法
[0041 ]402接收可认证的管理脚本
[0042]404对可认证的管理脚本进行认证
[0043]406执行经认证的管理脚本
【具体实施方式】
[0044]图1示出了内容管理系统100的实例。在大多数系统中,安全元件(SE)108的拥有者或者制造者将安全元件内容的空中下载管理委托给第三方,该第三方是安全元件发行方的可信服务管理器102(称为SE1-TSMhSE1-TSM 102管理安全元件108的内容,例如SE1-TSM102可以在安全元件108上加载和安装应用,并且它可以创建具有一些特权的一个或多个安全域(SD)112,这些安全域允许其他实体例如服务提供方106访问已安装的应用。为了访问安全域112中的应用,服务提供方106可以拥有或者至少可以访问加密密钥。可以为安全元件发行方保留另外的安全域,即发行方安全域(ISD) 110。
[0045]可以在安全元件108上执行的应用的例子是智能卡应用。可以访问包含在安全元件108中的应用的实体,诸如服务提供方106,经常依靠所知道的对称密钥,对称密钥可以用来向安全元件108认证这些实体,以及对称密钥可以为这些实体协商某些应用管理权限。例如,服务提供方106可以访问与它相关联的可信服务管理器104,以及可以将与安全有关的任务诸如基于所述密钥的加密运算委托给可信服务管理器104。为了保持足够的安全等级,对称密钥对于每个安全元件来说是多样化的。
[0046]为了在安全元件108的安全域112中安装应用,例如可以执行下面的步骤。对于需要在安全元件上安装的所述应用,对每个安全元件重复这些步骤,因为对称密钥是多样化的,即,每个安全元件的对称密钥是不同的。首先,服务提供方106的可信服务管理器104(称为SP-TSM)可以从安全元件108取回特定的信息,安全元件108允许它接触正确的SE1-TSM102 ο SP-TSM 104可以向SE1-TSM 102发送安装应用的请求。SE1-TSM 102可以在安全元件108上创建安全域112,并用加密密钥使安全域112个性化。在SE1-TSM 102在安全域112中安装应用之前,它可以首先需要例如通过从SP-TSM 104取回应用来加载应用。接下来,SE1-TSM 102在安全域112中安装应用。然后,SE1-TSM 102将安全域112的加密密钥提供给SP-TSM 104。随后,SP-TSM 104可以使用这些加密密钥来访问安全域112中的应用,以及对所述应用执行某些应用管理操作。
[0047]这个过程可能相对复杂并且成本较高,因为需要将密钥实时传送给服务提供方,以授权服务提供方可以访问安全元件发行方的可信服务管理器已安装的应用。应用开发的相当大部分的成本是由安全元件发行方的可信服务管理器导致。通过本文中揭露的系统和方法,可以简化该过程,并且可以减少应用开发的成本。
[0048]图2示出了内容管理系统200的示例性实施例。内容管理系统200包括服务提供方204和与它相关联的可信服务管理器202,还有安全元件206。安全元件包括安全域210,在安全域210中可以安装应用,可选地,安全元件还可以包括被保留用于安全元件发行方的发行方安全域208。注意,在这个系统200中,安全元件发行方不再需要参与到安装、改变和更新安全元件206中的应用的过程中。在操作过程中,服务提供方204的可信服务管理器202可以根据本文揭露的方法在安全域210中安装、改变或更新至少一个应用212。此外,在安全元件206中安装应用之前,服务提供方204的可信服务管理器202可以创建安全域210。也就是说,所述的管理脚本不仅可以被用来管理安全元件上的应用,例如还可以被用来管理安全域。
[0049]图3示出了内容管理方法300的第一示例性实施例。该方法300包括在302,由服务提供方生成用于管理包含在安全元件中的内容的管理脚本,以及在304,由所述服务提供方将可认证的管理脚本提供给安全元件。这些步骤可以至少部分地由计算机程序来执行。本领域技术人员可以理解,术语“服务提供方”可以具有很宽的含义,包括例如与所述服务提供方相关联的可信服务管理器,服务提供方已经将某些任务委托给可信服务管理器。通过向安全元件提供能够被认证的管理脚本,安全元件可以验证管理脚本是否来自可信赖的源。管理脚本可以例如包括指令,当执行指令时,指令在安全元件中创建安全域,或者安装、改变和/或更新包含在安全元件中的至少一个应用。管理脚本可以是通用的管理脚本。
[0050]在示例性实施例中,所述生成可以包括由所述服务提供方使用公私密钥对中的私钥对管理脚本进行签名。这样,由于可以相对容易地将对应的公钥分发给多个安全元件,因此可以使通用管理脚本的生成更加便利。此外,所述生成可以包括,由所述服务提供方将认证中心提供的管理证书添加到管理脚本中。在后一种情况中,可以不必须对管理脚本进行签名,因为管理证书已经能够用来实现对管理脚本的认证。此外,管理证书可以携带公钥,利用公钥可以验证管理脚本的签名。在另一个示例性实施例中,管理证书可以包括对分配给服务提供方的权限的定义。在这种情况中,所述对权限的定义指定了可以利用管理脚本对安全元件的内容执行哪些管理操作。
[0051 ]图4示出了内容管理方法400的第二示例性实施例。注意,内容管理办法300和400是相互关联的方法。内容管理办法400包括,在402,由安全元件从服务提供方接收用于管理包含在所述安全元件中的内容的可认证的管理脚本。此外,该方法400包括,在404,由所述安全元件对管理脚本进行认证,以及在406,如果管理脚本是可信的,则由所述安全元件执行管理脚本。这些步骤可以至少部分地由计算机程序来执行。通过接收可认证的管理脚本和对所述可认证的管理脚本进行认证,安全元件可以验证管理脚本是否来自可信赖的源。注意,“由安全元件接收”并不是必须表示是主动操作,主动操作需要安全元件包括接收器来执行接收操作;如果例如接收器位于智能卡或移动设备的其他地方,该接收器可以接收管理脚本,然后指示安全元件将管理脚本存储在包含在所述元件中的存储器单元中,这样也是可以的。
[0052]在示例性实施例中,所述认证可以包括使用公私密钥对中的公钥来验证可认证的管理脚本的签名。此外,所述公钥可以被包含在管理证书中。也就是说,可以由管理证书来携带用来验证管理脚本的签名的公钥,管理证书已经被服务提供方附加到所述管理脚本中。在这种情况下,服务提供方不需要对管理脚本进行签名,因此不需要拥有私钥,但是例如它可以简单地传递从认证中心接收到的被附加到管理脚本中的证书。这样可能会导致以安全和便利的方式来管理安全元件中的内容。此外,证书本身也可以被签名,特别是被认证中心签名。因此,安全元件可以拥有另外的公钥用来验证证书的签名。随后,如果证书的签名是有效的,则安全元件可以使用包含在所述证书中的公钥来验证管理脚本的签名。然后,如果脚本的签名也是有效的,则安全元件可以执行脚本。由于证书还包含签名,因此可以进一步提尚安全等级。
[0053]在另一个示例性实施例中,管理证书可以包括分配给服务提供方的权限的定义,以及所述认证可以进一步包括利用所述权限的定义来验证是否可认证的管理脚本有权执行特定的管理操作。通过在管理证书中限定应用管理权限,应用管理可以获得比较高的粒度。
[0054]本文揭露的方法可以至少部分地基于公钥基础设施(PKI)。也就是说,可以生成公私密钥对。服务提供方可以使用所述密钥对中的私钥来对管理脚本进行签名,或者管理认证中心可以使用它来管理可能被附加到所述管理脚本中的管理证书。所述密钥对中相应的公钥可以被提供给安全元件,以便安全元件可以使用所述公钥来验证管理脚本。可以直接将公钥提供给安全元件。或者,但是没有限制,安全元件可以通过管理证书接收到公钥。也就是说,附加到管理脚本中的管理证书事实上携带着公钥,需要用该公钥来验证所述脚本的签名。在这种情况中,安全元件可能需要另外的公钥用来验证管理证书的签名。
[0055]本文揭露的方法可以利用基于PKI的架构,其意义在于相同的公钥被提供给一组安全元件。在许多安全元件中共享公钥从安全的角度来说是可接受的,然而对于保密的对称密钥来说,这样的共享可能是存在问题的以及有风险的。可以将私钥仅提供给一个或多个实体一次,这些实体有权管理一组安全元件中的内容。由于在某一组安全元件中的所有安全元件可以包含相同的公钥,因此可以在这组安全元件中执行相同的管理脚本,以执行内容管理操作。换句话说,管理脚本可以是通用的管理脚本。因此,本文揭露的方法有利于将管理脚本传播给多个安全元件。
[0056]利用PKI链架构可以实现一定程度的粒度,其中在该架构中可以委托内容管理权限。可以基于管理证书将内容管理任务委托给服务提供方。也就是说,拥有或可以访问与安全元件中设置的公钥相对应的私钥的实体可以将内容管理委托给使用所述管理证书的第三方。这样的实体例如可以是管理认证中心。在这种情况下,服务提供方不需要拥有或访问与安全元件中的公钥相对应的私钥。也就是说,服务提供方可以在从所述认证中心接收到管理证书时,将管理证书添加到管理脚本中,以此简单地将管理证书传递给安全元件。在这种情况中,可以使用安全元件中的另外的公钥来验证服务提供方已经传递的管理证书的签名。如果管理证书的签名是有效的,则安全元件可以从所述证书中提取出公钥,并使用所提取的公钥来验证管理脚本的签名。管理证书可以仅被获得一次,并且可以包含分配给服务提供方的内容管理权限的定义。管理证书可以被添加到管理脚本中,因此形成管理脚本的一部分。因此,内容管理委托并不需要像基于对称密钥的架构那样需要与安全元件进行交互。
[0057]管理证书可以包含对服务提供方所具有的用于管理安全元件内容的权限的相对详细的定义或描述。该验证作为对管理证书的验证的一部分,可以由安全元件来验证这些权限。也就是说,可以执行证书所允许的被嵌入在管理脚本中的内容管理操作,可以拒绝不被允许的内容管理操作。管理证书中包括的内容管理权限可以例如定义授权管理的或没有授权管理的安全域的数量,以及可能创建的应用或应用实例的数量。因此,不同的SP-TSM可以接收到不同的内容管理权限。可以记录证书拥有者即服务提供方执行的内容管理操作的历史。然后,例如,如果被分配的权限没有被消耗完或者使用完,则可以执行管理脚本中包含的内容管理操作。可以通过比较历史和包含在正在被处理的管理脚本中的管理证书中定义的权限来确定被分配的权限是否已经被消耗完或者使用完。
[0058]本文中描述的系统和方法可以由一个或多个计算机程序来实现,这些计算机程序可以以多种形式主动的和被动的存在于单个计算机系统中,或者存在于多个计算机系统中。例如,它们可以作为软件程序存在,软件程序在源代码、目标代码、可执行代码或其他形式中由程序指令组成,用于执行一些步骤。上述任何一个都可以在计算机可读介质上实现,计算机可读介质可以包括存储设备和信号,信号是压缩形式的或者是非压缩形式的。
[0059]在本文中所使用的术语“移动设备”是指任何类型的便携式电子设备,包括蜂窝式电话,个人数字助理(PDA),智能电话,平板电脑等。此外,术语“计算机”是指包括处理器的任何电子设备,处理器诸如是通用目的的中央处理单元(CPU),特定目的的处理器或微处理器。计算机能够接收数据(输入),对数据执行一系列预定操作,以及从而产生信息或信号(输出)形式的结果。基于上下文,术语“计算机”是指处理器,该处理器特别是或者通常是与包含在单个壳体或外壳内的相互关联的元件的装配相关联的处理器。
[0060]术语“处理器”是指数据处理电路,该数据处理电路可以是微处理器、协处理器、微控制器、微型计算机、中央处理单元、现场可编程门阵列(FPGA)、可编程逻辑电路、和/或基于存储在存储器中的操作指令操作信号(模拟或者数字)的任何电路。术语“存储器”是指一个或多个存储电路,诸如只读存储器、随机存取存储器、易失性存储器、非易失性存储器、静态存储器、动态存储器、闪速存储器、超高速缓冲存储器、和/或存储数字信息的任何电路。
[0061]在本文中所使用的术语“计算机可读介质”或者“存储介质”可以是任何装置,能够包含、存储、通信、传送、或者传递要使用的或者与指令执行系统、设备或装置有关的计算机程序。计算机可读介质可以是,例如但是并不限于,电子的、磁的、光的、电磁的、红外线的或者半导体系统、设备、装置或传播介质。计算机可读介质更具体的例子(非详尽清单)可以包括:具有一个或多个导线的电连接、便携式计算机软盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPR0M或者闪速存储器)、光纤、和便携式光盘只读存储器(CDROM)0
[0062]注意,已经参考了不同的主题描述了上述实施例。特别是,一些实施例是参考方法权利要求描述的,一些实施例是参考装置权利要求描述的。然而,本领域技术人员可以知道,属于一种类型的主题的特征的任意组合,涉及不同主题的特征的任意组合,特别是方法权利要求的特征和产品权利要求的特征的组合,都被认为是本文所揭示的,除非有其他说明。
[0063]应当注意的是,本文中的附图都是示意性的。在不同的附图中,相似的或相同的部分具有相同的参考标号。此外,应当注意的是,在本文中对实施例进行了简要描述,并没有对本领域的惯用技术手段和公知常识的实施细节做详细描述。应当理解的是,对于这些实施方式,本领域技术人员为了实现特定的目标会作出各种具体的实施决定,以符合系统要求或商业要求,这些具体的实施决定的实施方式可能是不同的。然而对于本领域技术人员来说,对这些实施方式的变形并不超出本发明的保护范围。
[0064]最后,应当注意的是,本领域技术人员将能够设计出许多替代实施例而不会脱离本发明的权利要求的保护范围。在权利要求书中,置于括号中的任何附图标记不应被解释为是对权利要求的限制。本文中所使用的“包括”或“包含”并不排除存在其他部分或步骤。组成部分前面没有量词并不排除存在多个这样的部分。本发明可以通过包括若干不同组成部分的硬件来实现,和/或可以通过适当编程的处理器来实现。在列举了若干装置的设备权利要求中,这些装置可以由一个硬件单元和相同的硬件单元来实施。事实是,某些手段在相互不同的从属权利要求中被叙述并不表示这些措施的组合不能被有利地使用。
【主权项】
1.一种用于管理内容的方法,其特征在于,包括: 由服务提供方生成可认证的管理脚本,可认证的管理脚本被配置成管理包含在安全元件中的内容;以及 由所述服务提供方将可认证的管理脚本提供给安全元件。2.如权利要求1所述的方法,其特征在于,所述生成包括由所述服务提供方使用公私密钥对中的私钥对管理脚本进行签名。3.如权利要求1或2所述的系统,其特征在于,所述生成包括,由所述服务提供方将认证中心提供的管理证书添加到管理脚本中。4.如权利要求3所述的方法,其特征在于,管理证书包括分配给服务提供方的权限的定义,以及其中所述权限的定义规定了管理脚本可以对内容执行哪些管理操作。5.一种用于管理内容的方法,其特征在于,包括: 由安全元件接收可认证的管理脚本,可认证的管理脚本用于管理包含在所述安全元件中的内容; 由所述安全元件对所述可认证的管理脚本进行认证; 如果管理脚本是可信的,由所述安全元件执行管理脚本。6.如权利要求5所述的方法,其特征在于,所述接收包括从服务提供方接收可认证的管理脚本。7.如权利要求5或6所述的方法,其特征在于,所述认证包括使用公私密钥对中的公钥来验证可认证的管理脚本的签名。8.如权利要求6所述的方法,其特征在于,进一步包括由安全元件从服务提供方接收管理证书,其中所述公钥包含在所述管理证书中。9.如权利要求8所述的方法,其特征在于,管理证书包括分配给服务提供方的权限的定义,以及其中所述认证进一步包括使用所述权限的定义来验证可认证的管理脚本是否有权执行特定的管理操作。10.如权利要求8或9所述的方法,其特征在于,所述认证进一步包括在验证可认证的管理脚本的签名之前,使用另外的公钥来验证管理证书的签名。11.如权利要求5到10中任意一项所述的方法,其特征在于,进一步包括由安全元件记录由服务提供方执行的管理操作的历史。12.一种安全元件,其特征在于,该安全元件被配置成执行如权利要求5-11中任一项所述的方法。13.—种智能卡,其特征在于,包括如权利要求12所述的安全元件。14.一种移动设备,其特征在于,包括如权利要求12所述的安全元件。
【文档编号】G06F21/33GK105825116SQ201510761561
【公开日】2016年8月3日
【申请日】2015年11月10日
【发明人】迪米特里·华尼兹, 蒂埃里·让-卢克·格鲁德
【申请人】恩智浦有限公司