专利名称:用于无线设备的安全业务的制作方法
技术领域:
本发明通常涉及无线通信设备,包括蜂窝电话,并且特别涉及为无线设备提供安全业务。
常规协议栈也提供安全业务。安全业务包括加密算法用于加密,检验以及鉴别。安全业务通常作为协议栈的一部分被嵌入。
在相对简单的应用中,特别是在很少利用安全算法或者安全算法只被单个实体利用的应用中,这个设备可能是适合的。由于新的以及更复杂的安全算法如迪夫海尔曼(Diffie Hellman),f8,以及高级加密标准(AES)算法,方案变得更困难。由于标准演进,希望任意地综合已开发和验证的安全算法。
另外,协议栈的开发和测试可能由于包括安全算法而复杂。其一,安全算法可能随着时间而改进和改变。而且,安全算法往往会相对复杂并且因此增加了全部协议栈的测试周期。并且,例如通过互联网下载升级安全算法的能力,当那些算法被包括在协议栈内时相对受到限制。
因此,有必要寻求在无线设备中执行安全业务的更好的方法。
图1是根据本发明的一个实施方案的无线系统软件的示意图;图2是根据本发明的一个实施方案的图1所示的无线系统的硬件图;以及图3是根据本发明的一个实施方案用于安全业务的软件的流程图。
无线系统10可包括应用执行环境20和其它的软件部件22。应用执行环境20和软件部件22与安全业务模块16交互作用。安全业务模块16还和执行适当的无线协议的协议栈18交互作用。再下面的软件层是操作系统14和系统内核12。
安全业务模块16可包括安全业务管理程序24。管理程序24可控制许多模块或库26。例如,密码库28可被用于提供适当的安全算法,举几个例子,如迪夫海尔曼,f8,以及高级加密标准算法。此外,证件库30可包括适当用户的有关数字证件信息。可提供用户身份模块(SIM)32限制只有授权的用户才能接入到无线系统10。可提供鉴别库34用作其它的业务36。
在一个实施方案中,安全业务管理程序24可以根据英特尔公司2000年5月在加利福尼亚的Santa Clara出版的公共数据安全结构规范,版本2C914 ISBN1-85912-202-7。库26可根据公共安全业务管理程序(CSSM),并且作为上述英特尔规范的一部分被提供。CSSM能够紧密地综合各个业务,同时允许那些业务由彼此协作的模块提供。CSSM定义一个丰富的可扩充的应用程序接口,支持安全应用和系统业务的开发,此外,可扩充的接口支持执行用于安全操作的标准部件的插入安全模块。作为协议标准的一部分的安全算法可以被执行并且可以通过性能增强而发展。
CSSM允许协议栈18和CSSM结合用于安全业务,通过消除直接安全算法相关性,以及允许第三方安全算法支持,简化栈18的实现。此外,新的应用安全业务可以注册CSSM请求相同的业务,允许单个安全业务模块支持多种用途。通过添加被识别的优先权,算法执行的识别和优先权可以被适当地设置在系统所有的上下文范围内。
因此,在一些实施方案中,利用CSSM层,通过卸载对安全业务的需求可能简化协议栈18的开发。结果,在一些实施方案中,栈实现和测试周期可能缩减。而且,在一些实施方案中,通过互联网下载的应用,安全业务可能更可升级并且可能适合于更新。
在一些实施方案中,规定的CDSA系统资源,包括存储量和处理能力,可能对直接将CDSA安置(port)到嵌入式系统造成困难。为了将CDSA安置到无线嵌入式平台中,希望仅仅安置现存的CDSA设备包括CSM核心和要求的附加安全业务模块的一个子集。还希望重新配置CDSA包使之适应嵌入式平台。一些特点如动态连接和灵活扩充性在执行安全业务的嵌入式系统中可能未被要求。因此,在一些实施方案中,可以开发适合在嵌入式平台中使用的削减的CDSA包。
参考图2,无线系统10可包括支持基带处理器46和存储阵列48的内部总线。存储阵列48可包括代码存储器和随机读取存储器(RAM)。在一个实施方案中,协议栈可被存储在存储阵列48中。在一些实施方案中,内部总线50还支持可能有它自己的总线54以及它自己的存储阵列56的数字信号处理器(DSP)52。在一些实施方案中,存储器60可被提供给独立的应用处理器58。在一个实施方案中,安全业务软件模块16可被存储在存储器60中。
参考图3,安全业务模块16可被调用来执行安全业务。例如,在一个实施方案中,协议栈18可处理通信业务,但是在通信业务过程中需要安全业务如鉴别时,协议栈18仅仅调用安全业务模块16。同样,其它软件,如应用执行环境20和其它系统软件部件22,也可以调用安全业务模块16。
在菱形38,安全业务模块16进行检验以识别安全业务请求。如果有请求,则安全业务管理程序24按块40中的指示运行。随后,需要的业务或库能够按块42中的指示在库26内被接入。按照块44中的指示,随后得到一个结果,并且随后该结果返回到适当的请求实体,如协议栈18。
协议栈18和安全业务模块16可被存储在存储器60或48上。可替代地,协议栈18和安全业务模块16可被存储在单独的存储器60和48中。希望协议栈18和安全业务模块16可单独接入,例如,以便协议栈能调用安全业务模块16。
尽管关于有限的几个实施方案描述了本发明,但是本领域的技术人员应当理解从中的大量修改和变化。附加权利要求书中旨在覆盖所有落在本发明真实的精神和范围内的这些修改和变化。
权利要求
1.一种方法,包括提供用于无线通信的协议栈;提供安全业务模块;以及使所述模块能够被从所述栈单独接入。
2.权利要求1的方法,包括使协议栈能够从安全业务模块获得安全业务。
3.权利要求1的方法,其中提供安全业务包括提供加密、检验或鉴别业务。
4.权利要求1的方法,其中提供安全业务模块包括提供包括一个密码库的安全业务模块。
5.权利要求4的方法,其中提供密码库包括提供迪夫海尔曼,f8和高级加密标准算法之一。
6.权利要求1的方法,包括提供用于协议栈和应用执行环境的安全业务。
7.一种无线系统,包括一个处理器;以及一个耦合到所述处理器的存储器,所述存储器存储可单独接入的协议栈和安全业务软件模块。
8.权利要求7的系统,其中所述处理器使协议栈能够从安全业务模块获得安全业务。
9.权利要求7的系统,其中所述系统是无线电话。
10.权利要求7的系统,其中所述安全业务软件模块提供加密、检验或鉴别业务。
11.权利要求7的系统,其中所述软件模块提供加密算法库。
12.权利要求11的系统,其中所述加密算法是迪夫海尔曼,f8,或高级加密标准算法之一。
13.权利要求7的系统,其中所述模块提供用于协议栈和应用执行环境的安全业务。
14.一种蜂窝电话包括一个处理器;和耦合到所述处理器的第一存储器,所述第一存储器存储协议栈;以及耦合到所述处理器的第二存储器,所述第二存储器存储安全业务软件模块,所述协议栈和模块是可单独接入的。
15.权利要求14的电话,其中所述处理器使协议栈能从安全业务模块获得安全业务。
16.权利要求14的电话,其中所述安全业务软件模块提供加密、检验或鉴别业务。
17.权利要求14的电话,其中所述软件模块提供加密算法。
18.权利要求17电话,其中所述加密算法是迪夫海尔曼,f8,或高级加密标准算法之一。
19.权利要求14的电话,其中所述模块提供用于协议栈和应用执行环境的安全业务。
20.权利要求14的电话包括存储设备,所述第一和第二存储器是所述存储设备的一部分。
全文摘要
无线系统(10)可包括可单独接入的协议栈(18)和安全业务模块(16)。安全业务模块(16)可控制加密算法和其它安全业务。因为模块(16,18)是可以单独接入的,所以协议栈(18)可独立于安全业务模块(16)被开发,测试和更新,反之亦然。
文档编号H04M1/66GK1406094SQ02131829
公开日2003年3月26日 申请日期2002年9月6日 优先权日2001年9月7日
发明者M·A·海渡克, C·X·何 申请人:英特尔公司