管理安全元件与主机设备之间的通信的方法与流程

本发明涉及管理安全元件与设备之间的通信的方法。其特别地涉及管理与包括若干虚拟简档(profile)的安全元件的通信的方法。

背景技术：

安全元件(SE)是能够以安全的方式存储数据和提供服务的物理部件。一般地，安全元件具有有限量的存储器、有着有限能力的处理器并且没有电池。例如，UICC(通用集成电路卡)是出于电信目的嵌入SIM应用的安全元件。例如，可以将安全元件固定地或非固定地安装在比如移动电话的终端中。在某些情况下，终端由与用于M2M(机器到机器)应用的其他机器通信的机器组成。

安全元件可以以智能卡的形式，或者可以以任何其他形式，诸如例如但不限于如在PCT/SE2008/050380中描述的封装芯片或任何其他形式。例如，UICC可以被用在GSM和UMTS网络中的移动终端中。UICC确保种种个人数据的网络认证、完整和安全。

智能卡包括CPU、ROM、RAM、EEPROM以及I/O电路。早期版本包括整个全尺寸(85*54mm、ISO/IEC 7810 ID-1)智能卡。不久，针对较小的主机设备的竞争(race)要求较小版本的卡。

已知在主机设备中焊接或熔接安全元件，为了使所述安全元件依靠该主机设备。这在M2M(机器到机器)应用中被做出。当包含支付应用、SIM或USIM应用以及文件的芯片(安全元件)被包含在主机设备中时，达到相同的目的。芯片例如被焊接到主机设备或机器的母版并且组成电子安全元件(eSE)。

本发明还适用于此类被焊接的eSE或适用于包含与SE中包括的芯片相同的应用的此类芯片。类似(parallel)可以针对没有被完全链接到设备但因为其不意图被移除、位于远离的或被深入集成在机器中的主机设备中而困难地可移除的安全元件做出。(例如非常小且因此不易处理的)安全元件的特殊形状因数也可以是考虑如事实上将它集成在主机设备中的原因。当安全元件被集成在不意图被打开的机器中时，同样适用。

在接下来的描述中，被焊接的SE或包含或被设计成包含与安全元件相同的应用的芯片将一般被称作嵌入式安全元件(与可移除安全元件对比)。这将还适用于困难地可移除的安全元件。

安全元件是嵌入了芯片的物理部件。此外，安全元件包含简档，所述简档包括应用的集合、个人数据的集合和秘密数据的集合。在芯片上执行操作系统，用于提供服务。在芯片上执行应用的集合，用于为主机设备或通过主机设备访问的远程机器提供服务。个人数据(比如针对UICC的电话簿、ICCID或IMSI)的集合被存储在由操作系统使用的芯片的物理存储器中。秘密数据(如密钥或PIN)的集合被安全地存储在芯片的物理存储器中并由操作系统使用以提供安全服务。

简档可以被链接到订阅。其可以包含为特定服务(例如NFC应用)提供安全的网络访问应用(NAA)、支付应用或第三方应用。

物理安全元件可以模拟若干虚拟安全元件，每一个被表示为一个简档。在此类情况下，这些简档被称作逻辑简档或虚拟简档。被模拟的简档此后被称作虚拟简档。通常每个虚拟简档是基于软件的简档。

本发明涉及用以访问在单个安全元件中运行的若干虚拟简档的方式。

在现有技术水平中，从第一虚拟简档切换到另一个的基本行为是物理上重置整个安全元件(例：如针对智能卡由ISO7816-3标准定义的那样重置)，并且在该硬件重置之后执行新选择的虚拟简档的操作系统。因此在设备会话中一次仅一个虚拟简档是活动的。

存在对同时管理活动的并且在安全元件外部可获得的若干虚拟简档的需要。

技术实现要素：

本发明的目的是解决上面提及的技术问题。

本发明的目的是一种包括通信接口以及第一和第二虚拟简档的安全元件。安全元件被配置成从通过所述通信接口连接的主机机器得到电力。安全元件包括执行部件，其被配置成同时运行所述第一和第二虚拟简档。安全元件包括通信部件，其被配置成通过通信接口接收传入数据，所述传入数据包括意图由第一虚拟简档执行的第一命令以及意图由第二虚拟简档执行的第二命令。通信部件被配置成解复用所述第一和第二命令并且被配置成将所述第一命令发送到第 一虚拟简档并且将第二命令发送到第二虚拟简档。通信部件被配置成通过执行第一命令得到由第一虚拟简档生成的第一响应消息以及通过执行第二命令得到由第二虚拟简档生成的第二响应消息。通信部件被配置成通过复用所述第一和第二响应消息而生成传出数据并被配置成通过通信接口发送传出数据。

有利地，安全元件可以被配置成在单个设备会话期间发送所述第一和第二响应消息。

有利地，通信部件可以被配置成得到在唯一地分配到第一命令的字段中包括的标识符，所述标识符意味着意图所述第一命令由第一虚拟简档执行。

有利地，通信部件可以被配置成从传入数据找回(retrieve)第三命令并被配置成执行用于选择第一虚拟简档的第三命令。

有利地，通信部件可以被配置成处理允许重置安全元件的第一重置信号、允许重置第一虚拟简档的第二重置信号以及允许重置第二虚拟简档的第三重置信号，其中所述第一、第二和第三重置信号是不同的。

有利地，安全元件可以是能够管理前摄命令的UICC并且通信部件可以被配置成复用和解复用由所述第一和第二虚拟简档发起的前摄命令的集合。

本发明的另一目的是一种具有被配置成与根据本发明的安全元件通信的通信连接器的设备。设备包括增强的生成器，其被配置成复用和解复用将所述第一和第二虚拟简档作为目标的命令的集合。

本发明的另一目的是一种用于管理安全元件与设备之间通信的方法。安全元件包括通信接口以及第一和第二虚拟简档。安全元件被配置成从通过所述通信接口连接的设备得到电力。方法包括如下步骤：

-同时将所述第一和第二虚拟简档运行到安全元件中，

-通过复用意图由第一虚拟简档执行的第一命令以及意图由第二虚拟简档执行的第二命令而从设备生成传入数据，并通过通信接口将所述传入数据发送到安全元件，

-在安全元件侧处解复用所述第一和第二命令，并将所述第一命令发送到第一虚拟简档并且将第二命令发送到第二虚拟简档，

-通过执行第一命令得到由第一虚拟简档生成的第一响应消息并且通过执行第二命令得到由第二虚拟简档生成的第二响应消息，

-通复用所述第一和第二响应消息生成传出数据并通过通信接口将传出数 据发送到设备，

-在设备侧处解复用所述第一和第二响应消息。

附图说明

本发明的其他特性和优点将从参考对应的附图的对本发明的多个优选实施例的以下描述的阅读较清楚地显露，在所述附图中：

-图1是根据现有技术的对与安全元件的通信的管理的示例；

-图2是根据本发明的对与安全元件的通信的管理的示例；

-图3描绘了根据本发明的在主机设备与安全元件之间的消息交换的第一示例；以及

-图4描绘了根据本发明的在主机设备与安全元件之间的消息交换的第二示例。

具体实施方式

本发明可以适用于意图包含若干虚拟简档的任何类型的安全元件。安全元件可以被耦合到能够与安全元件建立通信信道的任何类型的主机机器。例如主机机器可以是移动电话、车辆、仪表、自动售货机、TV或计算机。

图1示出了根据现有技术的对与安全元件的通信的管理的示例。

在该示例中，主机设备OD是具有三个通信接口DP1、DP2和DP3的电信终端。主机设备OD包括应用管理器AM，其被设计成与UICC类型的安全元件通信。较具体地，应用管理器AM通过UICC对应的通信接口将UICC作为目标。此外，应用管理器AM一次可以与一个元件通信。应用管理器AM包括生成器GM，其能够生成意图发送到UICC的命令。

主机设备OD包括物理路由器PR，其将命令路由到与被作为目标的UICC对应的通信接口。

在图1的示例中，可以通过两个通信接口DP1和SP1在主机设备OD与UICCSC1之间建立通信信道PC1。该通信信道PC1允许应用管理器AM与UICC SC1的简档PR1通信。类似地，可以通过两个通信接口DP2和SP2在主机设备OD与UICCSC2之间建立通信信道PC2。因此应用管理器AM可以与UICC SC2的简档PR2通信。简档PR1和PR2可以在两个不同的安全元件中同时运行。

在图1的示例中，可以通过两个通信接口DP3和SP3在主机设备OD与UICCSC3之间建立通信信道PC3。UICC SC3包括两个虚拟简档PR3和PR4。UICC SC3 包括被放置在通信接口SP3与虚拟简档PR3和PR4之间的开关(swtich)SW。在UICC SC3中一次仅一个虚拟简档可以是活动的。

开关SW允许响应于安全元件SC3的重置而激活虚拟简档(并解激活当前的虚拟简档)。由主机设备在发出重置命令之前使用专用命令做出特定简档的激活。

通信信道PC3允许应用管理器AM与虚拟简档PR3或虚拟简档PR4通信。在该情况下，主机设备OD不能同时访问UICC SC3中的若干虚拟简档。

图2示出了根据本发明的系统SY，其包括主机设备PH和安全元件SC0。

在该示例中，主机设备PH是具有用于与安全元件通信的单个通信接口DP0的移动电话。主机设备PH包括应用管理器AM0，其被设计成与UICC类型的安全元件SC0通信。更具体地，应用管理器AM0被配置成通过公共通信接口DP0将若干虚拟简档同时作为目标。应用管理器AM0包括与图1的生成器GM类似的两个生成器GM1和GM2。优选地，生成器GM1和GM2被配置成生成符合与智能卡和电信相关的ETSI标准的APDU命令。应用管理器AM0包括增强的生成器GM0，其能够得到来自生成器GM1和GM2的命令并且能够添加将安全元件SC0的通信部件VMU作为目标的特定信息。应用管理器AM0被配置成向安全元件SC0发送传入数据IA，所述传入数据IA包括将虚拟简档作为目标的命令和所述特定信息两者。

安全元件SC0是包括通信接口SP0和执行部件MX的UICC。执行部件MX包括虚拟简档PR1和PR2并且能够同时运行虚拟简档PR1和PR2两者。

换言之，执行部件MX能够在虚拟简档中的在前命令的执行的结束之前开始另一虚拟简档中的命令的执行。

安全元件SC0包括被放置在通信接口SP0与虚拟简档PR1和PR2之间的通信部件VMU。通信部件VMU能够从通信接口SP0接收传入数据IA，能够通过对传入数据IA解复用而找回特定信息和将虚拟简档作为目标的命令。通信部件VMU被配置成基于特定信息将命令转发到相关的虚拟简档。

在一个示例中，特定数据可以是向每个命令分配的标识符的集合。每个标识符允许唯一地标识被命令作为目标的虚拟简档。例如，可以在被放置在每个命令之前的一个字节字段中对标识符编码。通过图示的方式，图3示出了从通信接口DP0发送到UICC的通信接口SP0的传入数据IA。该传入数据IA包含将 虚拟简档PR1作为目标的命令C1以及将虚拟简档PR2作为目标的命令C2。虚拟简档PR1通过执行命令C1生成响应消息R1并且虚拟简档PR2通过执行命令C2生成响应消息R2。然后通信部件VMU得到两个响应消息R1和R2、通过复用这些响应消息而生成传出数据OA，并通过通信信道PC0将传出数据OA发送到主机设备PH。

通信部件VMU被配置成在传出数据OA中添加传出的特定数据，以便使得应用管理器AM0能够将每个响应消息转发到相关的生成器(GM1或GM2)。

在另一示例中，特定数据可以是将通信部件VMU作为目标的“选择”命令。在该情况下“选择”命令具有允许标识相关的虚拟简档的参数。因此“选择”命令没有被转发到任何虚拟简档。通过图示的方式，图4示出了从主机设备PH发送到UICC SC0的传入数据IA。该传入数据IA包含将虚拟简档PR1作为目标的命令C1、将虚拟简档PR2作为目标的命令C2，以及将通信部件VMU作为目标的两个命令C3和C4(例如选择)。假定命令C3请求通信部件VMU将(一个或多个)进一步命令发送到虚拟简档PR1并且命令C4请求通信部件VMU将(一个或多个)进一步命令发送到虚拟简档PR2。在该情况下，命令C3由通信部件VMU执行使得下一个命令C1被转发到简档PR1。然后通信部件VMU执行命令C4并将被转发的命令C2转发到简档PR2。照此，然后通信部件VMU通过复用响应消息R1和R2来生成传出数据OA，其没有与命令C3和C4对应的结果。

响应消息R1和R2在单个设备会话期间被发送到主机设备PH。换言之，在R1的发送与R2的发送之间不存在安全元件的重置。

有利地，通信部件VMU被配置成处理仅允许重置安全元件SC0的第一重置信号、仅允许重置虚拟简档PR1的第二重置信号以及仅允许重置虚拟简档PR2的第三重置信号。这些重置信号是不同的并且允许准确地管理每个虚拟简档的状态以及整个安全元件SC0的状态。

有利地，安全元件SC0可以是能够根据TS 102 223管理前摄命令的UICC并且通信部件VMU可以被配置成复用和解复用由虚拟简档PR1和PR2发起的前摄命令的集合。

通信部件VMU是允许在单个硬件通信接口与若干虚拟简档之间路由命令和响应的逻辑复用器。

必须理解的是，在本发明的范围内，上面描述的实施例被提供作为非限制 性示例。特别地，安全元件可以包括任何数量的虚拟简档。

在图2处示出的主机设备的架构被提供仅作为示例。架构可以不同。例如，应用管理器AM0和增强的生成器GM0可以被合并为独特的(unique)部件。

本发明不限于UICC类型的安全元件并且可以适用于任何服务域，比如支付、访问管理、证明书(passport)或数据保护。

上面描述的通信接口是可以在接触模式中或在无接触模式中工作的物理接口。