专利名称:包括两个执行空间的电信终端的制作方法
技术领域:
本发明涉及在带有用户接口(键盘、监视器、声卡、触敏区、鼠标等)的计算设备上,例如本地网关、销售机(例如公用机)或电信终端(从PC到移动电话)上,执行程序和应用。
背景技术:
对于实现电信终端上的应用已知不同的途径。例如虚拟机上的MIDP 2. 0简档采用基于开放标准、易于使用、不对用户提出要求的安全策略,该策略考虑每个人从开发到执行的需求(用户、运营商、OEM、可信第三方是分开的)。它提供下载和执行期间的应用来源的完整性和验证保护,它根据安全策略提供对访问关键资源的控制,它对用户提供进行中的操作的报警并且甚至可以请求用户选项。在依靠“Midlet”类的“检查许可”方法(图2)保护的API上以相当简单的方式考虑安全策略。还要求不能从MIDP程序直接访问MIDP文件的调用功能(保护功能)。MIDP 2.0安全策略良好地适应所涉及的各种人员的需求。根据某种准则(对于一次会话永远、一次,永不)请求用户选项的可能性是很有益的。但是,它的实现造成两种类型的问题。首先,在和调用者程序相同的执行空间中进行受保护过程的执行,这增加“泄漏”的风险。让我们设想两个Midlet同时调用加密服务,如果只付出很小的注意,不能保证一个Midlet能恢复另一个Midlet使用的专用密钥的内容。 从而第一个问题是安全不足,尤其是对于诸如支付、签名或DRM应用的风险应用。另外,一些事实显示,在存在实现误差情况下可能超越(override)该许可系统。MIDP简档的第二个问题是由MIDP简档本身的规定造成的。它不适应用于程序的形式证明方法。这在一些不能通过形式方法对Midlet建模的部门(尤其是金融部门)造成问题,从而不能通过这些方法检查该Midlet。换言之,不存在通过形式方法针对该简档编程的程序的规范证明有效性的技术。另一种简档即STIP简档更特别适于对面向安全的API提供访问,例如SM访问。STIP虚拟机(图3)用于运行尤其为STIP简档编写的程序。STIP的另一个优点是,它的编程模型和它的API有助于通过形式方法很好地分析它们。这就是为什么金融部门立即采用它,因为可以通过形式方法证明代码符合规范。从而通过它的限制金融部门使用的STIP简档适于程序证明检查。但是,STIP简档是为封闭系统配置的(未被信任的应用不能免罚下载)。从而(在该规范的2. I. I版本中)未建立安全模型并且其中任何STIP应用(stiplet)可以访问任何已经实现的STIP型API。这样STIP不适应产生其中用户可能要下载并且实现诸如游戏或各种实用应用的当前应用的终端。
发明内容
本发明的目的是提出一种配置,其能在电信终端中实现各种用户应用并且还能实现要求高级安全性的应用。本发明还便利应用的编程和实现,尤其便利对新编应用的正确功能的证明。的确已经知道以两个处理器的物理形式宿有两个虚拟机的移动电话的原理,其中一个虚拟机由该终端自身形成而另一个通过SIM卡形成。SM卡检查高安全性要求,而用户可访问该终端自身的处理器和它的内容。但是,所述实现仍然具有一些主要缺点。从而本发明的另一个目的是提出一种可以和或不和网络关联的设备,其中采用保密空间和未保密空间的优点,例如通过允许保密空间代替未保密空间接入用户接口例如键盘或监视器,并且相反地允许未保密空间利用已知的操作员接入保密通信以保证所述安全性。作为安全运营商具体地可提及电话运营商(尤其移动电话运营商),银行,有选择性或付费分配的多媒体品提供商和要求通过所述设备提供电子签名的服务提供商。带有选择性分配的多媒体品的提供商尤其涉及“DRM”(数字版权管理),这些服务者在许可证情况下以文件格式投送典型地和音乐、视频或游戏有关的内容,该文件可在各种限制例如一定次数情况下读出。本发明的一个目的是提供所述装置,其中肯定这两个关联的执行空间(一个空间的安全性级别高于另一个空间)从最初开始如期望或允许地彼此相关。通过本发明通过一种带有用户接口的计算设备达到这些目的,该设备包括用于实现一系列应用的装置,这些装置具体地包括一个虚拟机/操作简档执行空间,该设备包括至少在虚拟机或操作简档上和前一个不同的第二虚拟机/操作简档执行空间,每个执行空间宿有多个应用,由于第一执行空间的应用是由终端用户建立和激励的应用而第二执行空间的应用是终端用户不能修改的应用,第二执行空间的应用是安全性等级尤其高于第一执行空间的应用的应用,其特征在于,这两个执行空间由一个物理处理装置宿有,该物理处理装置配置成不能在不破坏它的情况下把它分成二个部分。 本发明还提出在带有用户接口的计算设备内实现应用的方法,该方法依靠用于实现一系列应用的装置,这些装置尤其包括一个虚拟机/操作简档执行空间以及至少在虚拟机或操作简档上和前一个不同的第二虚拟机/操作简档执行空间,每个执行空间宿有多个应用,由于第一执行空间的应用是由终端用户建立和激励的应用而第二执行空间的应用是终端用户不能修改的应用,第二执行空间的应用是安全性等级尤其高于第一执行空间的应用的应用,其特征在于,这两个执行空间由一个物理处理装置宿有,该物理处理装置配置成不能在不破坏它的情况下把它分成二个部分。
通过参照附图阅读下面的详细说明本发明的其它特征、用途和优点会变得清楚,附图中
图I示意示出现有技术的MIDP实现,图2示意示出所述MIDP实现中的保护装置的实现,图3示意示出现有技术的STIP实现,图4示出依据一种优选变型的发明终端的功能配置。
具体实施例方式下面的具体实施例使得能在相容执行环境下利用两种技术MIDP和STIP的优点。形成“用户”简档,MIDP简档。在蜂窝电话中该简档是非常普遍的,以用来建立游戏以及各种实用应用。用户能以和常见的MIDP电话相同的方式下载并执行网络上找到的应用。从而MIDP简档包括用户自己建立和激励的应用。这里STIP简档形成附加简档,并且更具体地是“运营商”简档。STIP简档很适应要求高安全性等级的应用,例如金融应用。金融财团已经信任采用形式方法的可能性以在电子支付终端(EPT)中证明STIP应用的实现。从而利用本发明能对开发者提供运营商API汇编,其执行是在适于开发者进行方便的编程的执行空间中保证的,该空间和简档是否相同无关并且是完全独立的。从而该实施例能对运营商提供一批保密的应用例如支付、签名或DRM,它们完全独立于用于“例程”应用的执行简档。图4示出的终端包括并且使得协调地在分立简档Pl和P2 (或者不分立)的两个虚拟机100和200中执行。这两个虚拟机中的一个100专用于用户应用,而另一个200专
用于运营商应用。对应的分别为MIDP简档和STIP简档的简档Pl和P2本身分别专用于用户应用和
运营商应用。图4示出两个虚拟机100和200。用户可以利用“用户”虚拟机100在需要时下载、安装、去安装、执行或停止MIDP简档的应用。正在其中执行的应用110使用该简档的API 120以及具有和虚拟机100—样的简档的API “桩模块”(stub),图4中该API桩模块用130标示。用200标示的第二机是“运营商”虚拟机只有运营商例如移动电话运营商或互联网运营商(访问提供商)才能通过无线电(OTA)机制管理该执行空间。运营商可以任意在其中安装、去安装、激励或去激励按简档100的形式体系写出的应用210。应用210访问简档P2的API 220以及一个或更多的在图4中用参照号230示出的高层API。这些高层API 230允许访问由机器100的简档提供的服务。从机器200的简档或者从桩模块230到机器100的简档的API访问是根据机器200的简档中固有的安全模型进行的。API“桩模块”130是一个高层API,其由简档100的编程模型表达并提供对简档P2给出的服务的访问。不论对机器100的简档或者对桩模块130的API访问是根据机器100的简档Pl中固有的安全模型进行的。桩模块130和230按如下工作
对桩模块130、230的API的调用转换成八位字节流(称为串行化进程或排序/去排序)。该流通过通信通道300由对立简档的管理程序140、240接收,去串行化并且转换成远程简档中的过程执行。在该远程简档中再次串行化该过程的返回执行并且再次通过机器100和200的二个简档Pl和P2之间的通信通道300,在起始简档中去串行化该回答并且转换成该API “桩模块”的返回调用。在此方式下存在各由不同的机器和不同的简档组成的并且通过API桩模块130和230非常紧密相关的两个独立执行空间。
作为一种变型,两个简档Pl和P2可以为相同类型,例如用于两个不同机器的两个MIDP简档或两个STIP简档。还应注意能在同一个虚拟机中采用二个不同的简档Pl和P2。从而该实施例对MIDP应用的开发者提供支付API,其中该支付本身是在运营商控制的虚拟STIP机的执行下进行的。换言之,容易开发的MIDP应用通过通信通道300造成机器200的支付应用的执行,能对用户提供一种支付手段。从而通过本发明MIDP应用能提供高可靠性的支付功能。但是,各由彼此简档或虚拟机不同的虚拟机/执行简档对形成的执行空间100和200都是通过同一个物理处理设备400 (同一个硬件实体400)实现的。宿有这二个执行空间的处理设备是单一的,在不破坏它的情况下不能把它一分为
--o从而不能物理上分离这二个执行空间,从而也不能把这样分离的一个空间和另一个未授权的空间相关联。例如通过在形成单个处理器的同一个集成电路上实现这二个执行空间可得到所述单个装置。从而确保两个环境,一个保密另一个未保密,是不可分离的。从而改进运营商(电话、金融、签名管理,多媒体分配)提供的安全性,从而防止越过支付功能上的安全性、保证保密代码的保密性和不篡改、保证电子签名的可靠性或者监视用户对付费服务的有限权利。两个执行空间100、P1、200、P2各自的简档P1、P2最好分别是STIP简档和由STIP、MIDP、0SGI以及“.net”简档组成的组中选出的简档。
权利要求
1.一种带有用户接口的计算设备,包括用于实现一系列应用的装置,所述装置尤其包括第一虚拟机/操作简档执行空间(100,Pl, 200, P2)和第二虚拟机/操作简档执行空间 (100,Pl, 200, P2),其中这两个执行空间由同一个物理处理装置(400)宿有,该物理处理装置(400)被配置成使得不能在不破坏它的情况下把它分成二个部分,每个执行空间宿有多个应用(110,120,130,140,220,230),由于第一执行空间(100,Pl, 200, P2)的应用(110, 120,130,210,220,230)是可由用户修改的应用而第二执行空间(100,Pl, 200, P2)的应用(110.120.130.210.220.230)是用户不能修改的应用,第二执行空间(100,Pl,200, P2)的应用是安全性等级尤其高于第一执行空间(100,Pl, 200, P2)的应用的应用,其中第二执行空间(100,Pl, 200, P2)至少虚拟机(100,200)和第一执行空间(100,Pl, 200, P2)的不同。
2.如权利要求I所述的设备,其特征在于,第二执行空间(100,Pl,200, P2)的应用(110.120.130.210.220.230)是可以由安全运营商修改的应用,其中安全运营商属于由电话运营商、银行、有选择性或支付配送的多媒体物品的提供商和对通过所述设备的电子签名操作的服务提供商组成的组。
3.如权利要求I或2所述的设备,其特征在于,它形成电话终端。
4.如权利要求3所述的设备,其特征在于,它形成移动电话终端。
5.上述任一权利要求所述的设备,其特征在于,它包括在两个执行空间(100,Pl,200, P2 )之间的通信装置(130,230,300)。
6.如权利要求5所述的设备,其特征在于,两个执行空间之间的通信装置(130,230, 300)被设计成授权两个执行空间之一的应用(130,230)依赖第二执行空间(100,Pl, 200, P2)的处理装置。
7.如上述任一权利要求所述的设备,其特征在于,两个执行空间的每一个至少包括一个分立的 API (120,130,220,230)。
8.如上述任一权利要求所述的设备,其特征在于,该通信装置包括API“桩模块”(130, 230),其作用是依赖相对的执行空间(100,Ρ1,200,Ρ2)的资源,所述资源相对于调用者应用 (110,210)实现对它们的选择性访问。
9.如上述任一权利要求所述的设备,其特征在于,两个执行空间(100,Pl,200, Ρ2)之间通信装置包括实现串行化/去串行化或排序/去排序的装置。
10.如上述任一权利要求所述的设备,其特征在于,两个执行空间(100,Ρ1,200,Ρ2)中的一个包括STIP型简档。
11.如上述任一权利要求所述的设备,其特征在于,两个执行空间(100,Ρ1,200,Ρ2)中的一个包括MIDP简档。
12.如上述任一权利要求所述的设备,其特征在于,两个执行空间(100,Ρ1,200,Ρ2)中每一个的简档(Pl,Ρ2)分别是STIP简档和由STIP、MIDP、OSGI和net”简档组成的组中的简档形成部分。
全文摘要
本发明公开了包括两个执行空间的电信终端。本发明涉及一种带有用户接口的计算设备,包括用于实现一系列应用的装置,所述装置包括二个执行空间。依据本发明,第二执行空间(100,P1,200,P2)的应用尤其具有比第一执行空间(100,P1,200,P2)的应用高的安全性等级,所述两个执行空间由一个物理处理装置宿有,该物理处理装置设计成不破坏它的情况下不能把它分成二个部分。
文档编号H04L29/06GK102984706SQ201210498788
公开日2013年3月20日 申请日期2004年12月17日 优先权日2003年12月23日
发明者古哈特劳克·阿尔瓦拉多, 简-博纳德·布兰切特, 劳伦特·弗里博奥, 亚历山大·弗瑞, 艾利克·万提尔拉德, 杰弗里·蒙特尔, 马赛尤·莫皮特 申请人:法国电信公司, 信诚逻辑公司