专利名称:电路卡数据保护的制作方法
技术领域:
本发明涉及电路卡,具体而言,涉及用于保护电路卡上存储的数据的布置和方法。
背景技术:
诸如蜂窝电话手机之类的手持设备以及其他形式的移动设备(ME)随着它们功能的不断增多已经成为用于存储和保存大量(个人)数据的流行设备/接口。这些数据可以例如包括私人照片、视频和SMS消息,并且用户一般可以选择将这些数据存储在ME内,或诸如订户身份模块(SIM)卡之类的通用集成电路卡(UICC)的相关部分中,或甚至由网络运营商提供的网络侧存储区域中,或诸如存储器卡之类的其他介质设备上。考虑到将被存储的数据的量和可能的私人/敏感性本质,从终端用户(end-user) 的角度,存储区域应该提供足够的存储容量、适当的安全性级别以及易访问性。虽然ME本身可以被认为是提供了适当的安全性程度,但是这样的安全性级别倾向于与特定ME制造商有关,并且存储容量被认为不足够用于所有类型的用户数据(具体讲,多媒体数据)。同样,对数据的可访问性一般也需要特定于制造商的线缆和相关的连接软件。虽然诸如存储器卡之类的设备可以提供大存储容量和易访问性,但不存在已有装置可用于保护用户数据或为用户数据提供适当保护。关于网络侧存储区域,可以实现高度安全性以及足够的存储容量,但是可访问性当然将取决于可能无法保证的网络访问可用性。根据近来发展,例如来源于3GPP/ETSI Rel_7,诸如UICC之类的电路卡包括潜在吸引人的存储位置,支持高密度存储器的UICC是可获得的,并且根据同一规范,建议在 UICC和ME之间提供基于USB 2. 0/USB Inter-Chip的新接口,这将极大地简化和加速与 UICC的数据交换,从而使得能够利用简单的适配器来容易地实现例如到PC的数据获取。引用列表专利文献PTL 1 国际专利公开 No. W02008/139615PTL 2 美国专利公开 No. 2008/254834PTL 3 美国专利公开 No. 2008/256629PTL 4 美国专利公开 No. 2008/155830
发明内容
技术问题但是,虽然UICC被认为是相对安全的,尤其是通过使用个人标识号(PIN)代码,但是仍旧存在限制,一旦PIN得到核实(这一般仅发生在用户希望激活USIM/GSM应用时),所存储的用户数据则同样可被自由地访问而无需任何进一步的安全性检查。
就是说,一旦携带ME,例如,USIM已经通过输入正确的PIN而被适当的“激活”,则存储在USIM上的所有其它数据都可以被容易地访问,这可能是不合适的,尤其是如果只希望当前的终端用户具有对ME的临时访问权限。国际专利公开No. W02008/139615公开了存储器卡、访问控制系统和访问控制方法,其允许通过根据与将要下载的内容相关联的信息执行访问管理来取决于用户动态改变服务范围和提供不同服务,并且其中的电路卡包括数据管理部分并且依赖于动态改变服务范围而非提供安全性机制来保护卡上的数据。此外,美国专利公开No. 2008/254834,No. 2008/2566 和 No. 2008/155830 各自公开了存储器卡,这些存储器卡通过提供用户标识符的比较来提供内容的安全存储,因此表现出如上所述的现有技术的限制。本发明致力于提供具有优于已知的卡和方法的优势的电路卡,并进而提供包括这种卡的ME以及这种卡内的数据保护方法。具体讲,本发明致力于提供具有优于已知的卡和方法的优势的UICC和用于对 UICC中的数据提供安全性的方法。问题的解决方案根据本发明的一个方面,提供了一种在布置用于存储多个数据元素的电路卡中进行数据保护的方法,包括基于域保护元件和密码保护元件之一来提供保护,所述域保护元件用于定义可以对数据元素允许的操作,所述密码保护元件用于控制对数据元素的访问, 其中,所述多个数据元素中的至少一个与所述域保护元件和所述密码保护元件两者相关联。本发明的优势在于,通过提供一个或多个域保护元件,可以容易地提高存储在电路卡上的数据的安全性程度,并且这种安全性程度的提高以灵活且容易适配的方式提供。因此,这样的电路卡有利地为终端用户提供特别是对特定于用户的敏感数据的适当的安全性级别、容量以及可访问性。安全性级别的提高是通过组合上述“密码”和“域”特征以使得它们能够组合提供对数据元素(例如分区、目录或文件)的保护来提供的。“密码”特征以独立于在密码得到核实并且允许对数据元素的访问的情况下可以被允许的操作的本质的方式提供保护,而“域” 特征定义可以对诸如前述分区、目录或文件之类的数据元素允许的可能操作。在一个特定示例中,电路卡包括UICC。此外,通过对电路卡的一个或多个应用使用PIN访问代码,可以提供额外的安全性级别。优选地,所述多个数据元素中的每一个与域保护元件相关联。有利地,由域保护元件所定义的允许的操作可以包括读和/或写访问操作中的一个或多个。此外,根据本发明的方法,能够访问电路卡中的数据的实体被布置为与唯一的标识符相关联。该方法还可以包括存储创建数据元素的实体的身份。此外,关于被布置为与体现本发明的电路卡一起使用的ME,本方法可以包括在ME 内识别需要访问所述数据的实体的步骤。
有利地,本方法使得数据保护步骤被应用在ME和电路卡之间的USB接口类上。有利地,数据元素可以根据标准文件格式文件系统被存储在电路卡上。此外,数据元素的创建和管理可以通过创建和管理电路卡内的数据元素来实现并且可以通过ME来提供。而且,ME-电路卡接口功能可以被定义为包括创建功能、读取功能、更新功能、重命名功能、移动功能、删除功能和清除功能中的一种或多种。根据本发明的另一方面,提供了一种被布置用于存储多个受保护的数据元素的电路卡,包括所述多个受保护的数据元素中的至少一个,它们被布置为与域保护元件和密码保护元件两者相关联,所述域保护元件用于定义可以对数据元素允许的操作,所述密码保护元件用于控制对数据元素的访问。优选地,电路卡包括UICC。所述至少一个数据元素可以被布置为使得需要密码来启动由域保护元件所允许的操作。优选地,多个数据元素中的每一个与域保护元件相关联。而且,由域保护元件所定义的前述操作包括读/写访问操作中的至少一个。有利地,电路卡可以被布置为允许通过USB接口来访问所述数据元素。此外,电路卡可以被布置为使得所述数据元素存储在该文件系统上的标准文件中。本发明还提供了被布置用于接收上述电路卡的ME。有利地,ME可以被布置为通过USB接口类与电路卡通信。有利地,ME可以被布置为创建和/或管理所存储的数据元素。优选地,ME-电路卡接口功能由创建功能、读取功能、更新功能、重命名功能、移动功能、删除功能和清除功能中的一种或多种来定义。本发明在下文中参考附图仅以示例方式被描述。本发明的优势效果根据本发明,通过提供一个或多个域保护元件,可以容易地、并甚至以一种灵活且容易适配的方式提高存储在电路卡上的数据的安全性程度。
图1是根据本发明实施例的UICC的示意性平面图;图2是被配置用于与图1的UICC—起操作的、具有蜂窝电话手机形式的移动无线电通信设备或ME的示意性平面图;图3是根据本发明与在UICC内创建目录有关的信令时序图;图4是用于创建用于这样的UICC的文件的信令时序图;图5示出针对使用不正确的密码尝试读取受保护文件的信令时序图;以及图6示出针对使用正确的密码尝试读取受保护文件的信令时序图。
具体实施例方式如从以上描述所了解到的,并且根据下面对特定实施例的更具体描述,本发明有利地致力于解决在当前电路卡上存在的限制,例如那些与简单地基于PIN代码来提供数据保护机制有关的限制。如上所述,它们主要与应用(例如GSM/USIM)及其相关的数据(例如IMSI或PLMN列表等等)有关,并且其中不是与任意这样的应用直接链接的数据(例如, 用户私人文件、照片、视频、个人消息)落在相同的安全性区段内。本发明限定了一种数据保护机制,如果需要,该机制可被与已有的PIN保护一起使用,以便为存储在电路卡上的所有类型的数据提供更高的安全性级别。而且,在电路卡内的数据存储当前是基于初级文件(Elementary File),这些初级文件不适应于大量数据的存储。而且,这些文件通常不能用于存储某些类型的数据,例如视频和音乐文件。因此,作为本发明的一部分,建议了一种新的数据存储布置,并且发现这种新布置特别有利于与提高的电路卡安全性相关联的使用。首先参考图1,提供了可以有利地体现本发明的一个电路卡示例的示意图。电路卡包括UICC 10,其包括介于存储区域14和ME接口 16之间的处理功能12。如下面将描述的,接口 16可以有利地基于USP 2. 0/USP hter-Chip,其简化和加速例如UICC 10与图2的蜂窝电话手机18可以通过简单的电适配器被连接到的PC之间的数据交换。关于图2,提供了一种移动无线电通信设备的示意图,该移动无线电通信设备可以包括任意形式的移动设备(ME)(例如蜂窝电话手机18),并且其中提供了图1的UICC 10以及相关联的标准存储器22、处理器20和发送/接收功能M,如图所示的。如上所述,并且下面将进一步论述,在蜂窝电话手机18能够提供的各种存储选项之中,UICC 10可以基于域安全性元件和密码安全性元件的组合来提供非常安全的、容易访问的、并且适当大的存储位置。与本发明的当前描述和定义有关,应该意识到,“密码”独立地保护对文件/目录 /分区的访问,一旦密码被检查就将允许对这些文件/目录/分区的操作。相反,域定义 (domain define)服务于一特定实体可以对文件/目录/分区执行的不同的操作。因此,在一个特定示例中,每个数据元素(例如文件、目录或甚至分区)可以与一个域相关联,并且可能受密码保护(在相关联的域需要密码的情况下)。可以提供各种域, 这些域具有对它们各自的允许操作的定义,并且一般以标准化方式提供,以允许互操作性。作为示例,可能的域可以如下“私人”其中只有所有者(创建该文件/目录/分区的实体)可以具有访问权限。 一旦密码被成功验证就授予所有权限。“受限读写”其中读写访问权限被授予任意成功通过密码检查的实体。“受限读”其中读访问权限被授予任意成功通过密码检查的实体。“只读”其无需密码而可以被任意实体读取。“公开”其中无需密码读写访问权限被授予任意实体。任意实体,例如特定用户和/或能够访问UICC中的数据的其他设备/装备,被与一称之为“entity_id”的唯一标识符相关联。该标识符优选地由UICC基于来自ME的请求而分配,并且“请求/结果”结构可以如下从 ME 至Ij UICC :Generate_Entity_Id_Req (entity_name)从 UICC 至Ij ME :Generate_Entity_Id_Res (result, entity_name, entity_id)
“entityjame”是能够访问UICC中的数据的实体的公开可获得的名称。该特定图示示例建议至少如下具有它们各自的entity_name的公开实体被定义-用户(USER)-ME (ME)-远程服务器(REM0TE_SERVER)-ME 内的第三方应用(ME_THIRD_PARTY)当然应该意识到,该列表不是穷尽的,因此可以包括其他实体。“entity_id”是由UICC分配的针对给定“entity_name”的私人标识符。"entity_name, entity_id”对将被保存在ME的存储器中,并且ME将确保这些对的机密性。有利的是,ME负责准确地识别发出请求的实体(希望访问UICC中的数据的实体),例如,如果请求来自ME应用,则ME将在该文档中所定义的接口功能中使用与ME相关联的 entity_id。ME识别不同请求实体的简单方式可以通过使用由ME操作系统分配的它们各自的线程或进程标识符。UICC可以依赖于如下事实由ME通过的“entity_id”是准确的,因为某些操作直接依赖于该entity_id。因此,从ME向UICC提供这样的准确的“entity_id”用于提高在本建议中所限定的安全性机制。当文件/目录/分区被创建时,UICC可以针对所创建的元素关联“所有者”的概念。出于这个目的,UICC简单地采用在创建请求功能中所通过的“entity_id”并将其存储为所创建的元素的所有者entity_id。该所有权的概念可以证明很重要,因为很多操作都仅仅允许文件/目录/分区的所有者(例如,在上述“私人”域中所定义的元素只允许其所有者访问)。各种安全性接口功能可以被采用。首先,可采用设置密码功能,其中实体可以仅针对其自身的文件/目录/分区使用该功能。如果Uicc在接收到请求时意识到所接收的 entity_id与所有者entity_id不匹配,则丢弃该请求,并且“请求/结果”结构可以如下从 ME 至Ij UICC :Set_Password_Req (entity_id, pathname, password)从 UICC 至Ij ME :Set_Password_Res (result, entity_id, pathname)entity_id被提供,以使得有利地只有文件/目录/分区的所有者被允许执行请求。路径名(pathname)包含包括文件/目录/分区的名称的路径,并且密码(password) 包括为该文件/目录/分区设置的密码。最终结果将是成功或失败。改变密码功能可以被实体使用,但是仅针对其自身的文件/目录/分区。如果UICC在接收到请求时意识到所接收的entity_id与所有者entity_id不匹配,则丢弃该请求,并且“请求/结果”结构可以如下从 ME 至Ij UICC :Change_Password_Req (entity_id, pathname, old_password, new_ password)从 UICC 至Ij ME :Change_Password_Res (result, entity_id, pathname)除了与上述类似的参数,还采用 old_password 禾口 new_password, old_password 包含文件/目录/分区的当前密码,neW_paSSWOrd包含将被设置给文件/目录/分区的新密码。用于核实密码功能的请求/结果结构可以如下从 ME 至Ij UICC :Verify_Password_Req (entity_id, pathname, password)从 UICC 至Ij ME :Verify_Password_Res (result, entity_id, pathname)在一种布置中,每个实体对一个给定的受保护元素(文件或目录或分区)的密码核实的“尝试”次数可以被限制为三次。在三次失败的尝试之后,该元素不能再被作出这些尝试的实体所访问,直到针对该元素的访问条件改变为止(例如,该元素的所有者改变或删除密码)。可以如下布置一实体可以仅对其自身的文件/目录/分区使用“设置域”功能。 如果UICC在接收到请求时意识到所接收的entity_id与所有者entity_id不匹配,则丢弃该请求,并且“请求/结果”结构可以如下从 ME 至Ij UICC :Set_Domain_Req (entity_id, pathname, domain)从 UICC 至Ij ME :Set_Domain_Res (result, entity_id, pathname)还可以提供获得域功能,其具有如下“请求/结果”结构从 ME 至Ij UICC :Get_Domain_Req (entity_id, pathname)从 UICC 至Ij ME Get_Domain_Res (result, entity_id, pathname, domain)此外,可以提供访问条件通知功能,其具有如下相应结构从 UICC 到 ME :Access_Condition_Notification(entity_id, pathname, condition)与上述类似的参数被采用,另外还包括condition (条件)参数,该参数包括针对由pathname所指定的元素需要核实的条件(例如,需要密码)。一个实体标识符创建功能可以被提供,其具有如下“请求/结果”结构从 ME 至Ij UICC Generate_Entity_Id_Req (entity_name)从 UICC 至丨J ME :Generate_Entity_Id_Res(result, entity_name, entity_id)对于相关参数,entity_name还是包括实体的公开名称,并且entity_id包括由 UICC为每个entity_name分配的唯一标识符。作为对本发明的该方面的一个示例的进一步图示,下面是与上述可能的域相关的本发明的实现方式的示例。首先,用户拍摄一照片并将图像文件存储在“/partitionl/directoryl/imagel. jpg”中。Partitionl域被定义为“受限读写”。“directoryl ”和“ imagel. jpg”不受密码保护。用户或任意其他实体希望访问“imagel. jpg”文件,并且唯一条件是它们需要知道 “partitionl” 的密码。作为第二示例,用户拍摄一照片,并将图像文件存储在“/partitionl/ directoryl/imagel. jpg” 中。“partitionl”和“directoryl”域被定义为“公开”(因此没有密码)。“imagel. jpg”受密码保护(域“受限读”)。用户或任意其他实体希望读取“imagel. jpg”文件,并且唯一条件是它们需要知道 "imagel. jpg” 的密码。
在第三示例中,用户拍摄一照片并将图像文件存储在“/partitionl/directoryl/ image 1. jpg” 中。“partitionl” 域被定义为“私人”。“directoryl”和“imagel. jpg” 不受密码保护。用户或任意其他实体希望访问“imagel. jpg”文件。但是,只有用户在成功的密码核实之后才能够访问该文件。任意其他实体即使具有正确的密码也不能访问该文件(因为它的entity_id与所有者的entity_id不匹配)。对于第四示例,用户拍摄一照片并将图像文件存储在“/partitionl/directoryl/ imagel. jpg” 中。“partitionl ”、“directoryl ” 和 “ imagel. jpg” 域被定义为“只读”。对于该示例的第一操作,用户或任意其他实体希望读取“imagel. jpg”文件,并且文件数据可直接访问,因为不需要密码来读取文件。但是,对于第二操作,用户或任意其他实体希望更新“imagel. jpg”文件,但是只有所有者(用户)将能够在成功的密码核实之后访问该文件。将会意识到的,本发明可以容易地考虑到如下事实未来的UICC-ME大数据操作将主要通过USB接口实现。因此,图示示例针对基于USB的ME-UICC接口上的实现方式并且支持EEM(以太网仿真模式)接口类。但是,该解决方案的原理也可在其他USB接口类上应用,例如智能卡CCID (集成电路卡接口设备)。鉴于此,应该意识到,USB分组具有如下格式其中EEM分组包含USB分组的有效载荷。EEM分组本身具有被定义为EEM Data (EEM数据)或EEM Command (EEM命令)格式的格式。EEM Command分组被用于本地USB链路管理,因此不能超出USB设备驱动器层。因此,该图示示例所定义的所有接口功能都将被封装在EEM Data类分组的有效载荷部分中。如上所述,本发明还包括用来允许改进的数据存储的特征,以便增强对大尺寸/ 多媒体数据的支持,对于大尺寸/多媒体数据,当前基于初级文件的文件系统具有某些限制。本发明的这方面建议用标准文件格式文件系统替代大多数已有的初级文件文件系统。为此,特定的ME-UICC接口功能被定义,以便允许ME创建和管理UICC中的文件/ 目录/分区。这种ME-UICC功能的示例如下所述。用来创建文件/目录/分区的Creation(创建)功能可以与如下“请求/结果”结构相关联。从 ME 到 UICC :Create_Element_Req (entity_id,element_type,pathname, element—parameters)从 UICC 到 ME :Create—Element_Res (result,entity—id,pathname,additional— info)这里所采用的参数可以被定义如下。-entity_id 指示发送创建请求的实体-element_type 分区或目录或文件-pathname 包含将被创建的元素的“路径+名称”,例如,"/partition/global_directory/directoryl/imagel. jpg,,-elementparameters :特定于给定元素类型的参数(例如,在分区情况下的大小,在文件情况下的文件类型,等等)-result 包含请求执行结果(成功、失败、带修改的成功…)-additional_info 当UICC发送比简单的执行结果更多的信息时,这些附加数据项被包括在该参数中(例如,在Uicc所创建的分区的大小与所请求的大小不同的情况下)用来读取分区或目录或文件的Read (读取)功能可以与如下“请求/结果”结构相关联。从 ME 至Ij UICC :Read_Element_Req (entity_id, pathname)从 UICC 至Ij ME :Read_Element_Res (result, entity_id, pathname, data)这里,参数可以被定义如下-entity_id 指示发送读取请求的实体-pathname 包含将被读取的元素的“路径+名称”-result 元素读取结果(成功或失败)-data 包含读取的元素的数据(例如,位于一读取的分区/目录下的目录和文件的列表或在文件的情况下其自身内容)可以提供Update (更新)功能,但是仅针对文件定义,并且与如下“请求/结果”结构相关联。从 ME 至Ij UICC :Update_File_Req (entity_id, pathname, data_type, data)从 UICC 至Ij ME :Update_File_Res (result, entity_id, pathname)这里,参数包含-entity_id 指示发送更新请求的实体-pathname 包含将被更新的文件的“路径+名称”,例如"/partition/global_directory/directoryl/imagel. jpg,,-datatype 指示文件中的数据的类型,例如,jpg、mpeg、txt等等-data:文件的内容-result 文件更新结果(成功或失败)Rename (重命名)功能可以与如下“请求/结果”结构相关。从 ME 至Ij UICC :Rename_Element_Req (entity_id, old_pathname, new_name)从 UICC 至Ij ME Rename_E 1 ement_Res (result, entity_id, new_pathname)并且,参数可被定义为-entity_id 指示发送重命名请求的实体-οIcLpathname 包含将被重命名的元素的旧“路径+名称”-new_name 仅包含将被重命名的元素的新名称(没有路径)-result 重命名执行结果(成功或失败)-new_pathname 包含已经被重命名的元素的“路径+新名称”
Move (移动)功能可以被体现为从 ME 至Ij UICC :Move_Element_Req (entity_id, old_pathname, new_pathname)从 UICC 至Ij ME :Move_Element_Res (result, entity_id, new_pathname)并且,参数定义如下-entity_id 指示发送移动请求的实体
-οIcLpathname 包含将被移动的元素的旧“路径+名称”-new_pathname 包含已经被被移动的元素的新“路径+名称”-result 移动执行结果(成功或失败)Delete (删除)功能可以同样提供,并且根据如下请求/结果结构。从 ME 至Ij UICC :Delete_Element_Req (entity_id, pathname)从 UICC 至Ij ME :Delete_Element_Res (result, entity_id, pathname)参数定义可以如下-entity_id 指示发送删除请求的实体-pathname 包含将被删除的元素的“路径+名称”-result 删除执行结果(成功或失败)应该注意,如果pathname包含某些受保护的父目录,则对于这些目录的访问条件必须在处理该请求之前被首先满足。还可以提供Cleaning (清除)功能,用于在所有者已经丢失/忘记相关联的密码 (并因此不能访问该分区/目录/文件中的任何数据)的情况下删除分区/目录/文件。只有分区/目录/文件的所有者可以执行该操作。UICC必须检查所通过的entity_id对应于所有者entity_id,并且相关的“请求/ 结果”结构如下。从 ME 至Ij UICC :Clean_Element_Req (entity_id, pathname)从 UICC 至丨J ME :Clean_Element_Res (result, entity_id, pathname)参数定义如下-entity_id 只有所有者将能够实现该请求-pathname 包含将被清除(S卩,删除)的元素的“路径+名称”-result 清除执行结果(成功或失败)此外,还可以提供例如与调整分区大小相关的功能,其“请求/结果”结构如下。a)调整分区大小从 ME 至Ij UICC :Resize_Partition_Req (entity_id, name, new_size)从 UICC 至Ij ME :Resize_Partition_Res (result, entity_id, new_allocated_size)相关的参数可以定义如下-entity_id 指示发送调整大小请求的实体-name 分区的名称-new_size 包含该分区的新的所需存储器大小-result 调整分区大小结果(成功、失败、带修改的成功(例如,在所分配的大小与所请求的大小不同的情况下))-new_allocated_size 代表由UICC分配的分区的真实存储器大小当然应该意识到,这些接口功能可以根据需要组合提供。现在参考图3,提供了与在图1的UICC 10的存储器存储区域中创建目录所引起的信号序列相关的信令时序图。该信号序列是发生在终端用户26、ME 28 (例如蜂窝电话手机)和UICC 30 (例如图1的UICC 10)之间的信号序列。
图3所示序列开始于来自用户沈的要在现有的分区/目录中创建目录的请求32, 因此,适当的请求操作34被发送到ME 28,并且可以包含密码名称、域和密码。如果要求域是“公开的”,用户沈则不为目录设置密码,因此“password”参数将为
空字串。ME 沘随后向 UICC 30 传递 Create_Element_Request 36,其包括 entity_id、 element_type> pathname 禾口 element_parameters0在本示例中应该注意,为了创建目录,“element—type”被设置为“目录”,并且 “element—parameters,,具有空值。随后通过的信令包括密码核实序列38,其与父目录相关,但是如果父目录不受密码保护则不需要该序列。但是,如果存在若干受保护的目录级别,则必须随后核实每个目录的密码。密码核实序列38开始于access_condition_notification信号40,其包括 parent_directory_path并且还确认需要密码的条件。表示需要密码的通知42被从ME 28传递到ME用户26,ME用户沈进而向ME 28 提供回密码 44,ME 沘进而向 UICC 30 传递 verify_password_request 信号 46。UICC 30 进而向ME沘提供verify_password_result信号48,并且随后在UICC 30和ME沘之间发生信令交换,该信令交换包括create_element_result信号50、set_domain_request信号 52、set_domain_resu 11 信号 54、set_password_request 信号 56 禾口 set_password_result 信号58,但是应该意识到,这样的设置密码功能如果密码值为空则不会发生。该序列以从ME 28传递到用户沈的创建目录结果信号60结束。作为比较,参考图4示出本发明的本实施例的特性的更多细节,图4图示出与文件的创建相关的信号序列。再次地,与用户26、ME 28和UICC 30相关的信令被示出。在本示例中,假设终端用户使用ME的照相机功能拍摄一照片,并决定将照片保存在现有的分区/目录中。在62,作出将照片保存在现有的分区/目录中的决定,因此用户 26向移动设备观提供创建文件请求64,并且创建文件请求64包括与相关数据有关的路径名、域、密码和数据类型。随后,create_element_request 66被从ME沘传递到UICC 30,并且为了创建文件,element_type被设置为“文件”,element_parameters包含诸如JPG或MP3之类的文件类型和数据,即文件本身的内容。如果在68发现在到达要创建文件的位置之前存在受密码保护的目录,则每个目录的密码都应该被核实,并且可以将诸如图3所示序列之类的核实序列38与图4的序列一起采用。就是说,create_element_result 70被从UICC 30传递到ME 28,并且作为回复, set_domain_request 信号 72 被传递到 UICC 30,UICC 30 进而发起 set_domain_results 信号74。假设密码没有被设置为“空”,则set_password_request 76被从ME观传递到UICC 30,并且作为响应,set_password_result 78被从UICC 30传递到ME 28。在完成ME沘和 UICC 30之间的信令交换70-78之后,创建文件结果指示80被ME 28提供到终端用户26。最后参考图5和6,这里作为比较提供了在采用正确密码的实例(图5)中以及在访问条件没有得到满足的实例(图6)中与尝试读取受保护文件相关的信令图。因此,首先参考图5,适当的实体沈在82通过向ME 28提供读取文件84来提供该实体希望读取在“受限读”域中定义的文件的指示。在读取文件指示84中的路径名包括到将被读取的文件的特定路径,例如“/partition I/directory I/picture l.jpg”。read_element_request 86 随后被从 ME 沘发送到 UICC 30。如图5所示,密码核实序列88被应用到文件本身以及在前的目录,其可以受密码保护,在此情况下,提供例如如图5所示的包含信令和指示90-98的密码核实序列。最初,access_condition_notification 信号 90 被从 UICC 30 传递到 ME28,然后, 需要密码指示92被从ME 28提供到实体26,实体沈返回核实密码尝试94,该核实密码尝试 94 进而发起从 ME 28 到 UICC 30 的 verify_password_request 96。verify_password_result 98然后被从UICC 30返回到ME 28,以便完成密码核实序列88。在已经核实密码的情况下,包括所需数据的读取元素结果100被从UICC 30传递到ME 28,以使得包括所需数据的读取文件结果可以被进而传递(102)到请求实体沈。现在参考图6,所示序列与如下过程相关在104,一实体尝试读取由另一不同实体定义在“私人”域中的文件,并且读取文件指示106被提供到ME 28。read_element_request 108随后被从ME沘传递到UICC 30,其中,应该意识到, entity_id不同于文件所有者的entity_id。UICC 30意识到该文件的域包含“私人”域并因此只有文件的所有者可以访问它。 由于接收到的entity_id与所有者的entity_id不匹配,因此在从UICC 30传递到ME 28 的read_element_result 110中读取请求被拒绝。读取文件结果指示112随后被从ME 28提供到请求实体沈,并且结果指示读取失败,从而其中的数据参数为空。当然应该意识到,本发明并不局限于上述实施例的细节。虽然没有明确描述用于运行在USB智能卡ICXD接口类上的应用的实现方式(其将涉及创建支持与该文档中所描述的相同特征的新APDU命令),但是如上所述的相同原理可以被应用到这样的IC⑶类。而且,对于涉及支持USB大容量存储接口类的UICC的情形,如果由实体(例如ME) 在这样的UICC中保存的数据元素可无需密码核实被访问,S卩,数据元素本身不需要密码, 其父数据元素也不需要密码,那么该数据元素在被配置为并且表现为类似USB大容量存储设备的UICC被连接到诸如PC的设备时应该也可以被访问。受密码保护的数据元素必须在UICC被配置为USB大容量存储设备并被连接到不支持密码核实过程的设备时保持无法被访问。因此,更详细地,对于被体现为被配置为USB大容量存储设备并被连接到诸如PC 之类的远程设备的UICC,该UICC可以表现为简单的USB记忆棒的形式。然后,在UICC上由 ME或任意其他设备已经保存的无需密码的(即,在上述“公开”域中的)数据元素应该保持可在PC上访问。但是,对于受密码保护的数据元素,它们在表现为记忆棒的形式的UICC被连接到 PC时保持无法被访问。
例如,用户使用ME的照相机拍摄照片并将其无密码地保存在UICC中。当用户随后将UICC通过电适配器插入PC时,UICC将表现得像USB记忆棒,并且照片将可以在PC上被访问。但是,如果用户保存照片时设置了密码,该照片在UICC被插入PC时则将不可见。〈通过引用并入〉本申请基于2009年1月16日递交的英国专利申请No. 0900664. 4并要求其优先权权益,该在先申请的公开内容通过引用被整体上结合于此。标号列表
10UICC
12处理功能
14存储区域
16接口
20处理器
22标准存储器
24发送/接收功能
26用户
28ME
30UICC
32请求
34适当的请求操作
36Create_Element_Request (创建兀素请求)
38密码核实序列
40access_condition_notification(访问条件通知)信号
46verify_password_request (核实密码请求)信号
48verify_password_result (核实密码结果)信号
50create_e 1 ement_resu 11 (创建元素结果)信号
52set_domain_request (设置域请求)信号
Mset_domain_result (设置域结果)信号
56set_password_request (设置密码请求)信号
60create_directory_result (仓ij建目录结果)信号
64create_f i le_request (仓键文件请求)
66create_element_request (创建兀素请求)
70create_e 1 ement_resu 11 (创建元素结果)
72set_domain_request (设置域请求)信号
74set_domain_result (设置域结果)信号
76set_password_request (设置密石马请求)
78set_password_result (设置密码结果)
80文件结果指示
82指示
84读取文件指示
86read_element_request (读取元素请求)90access_condition_notification(访问条件通知)信号92需要密码指示94核实密码尝试96verify_password_request (核实密码请求)98verify_password_result (核实密码结果)100读取元素结果102 传递106读取文件指示108read_element_request (读取元素请求)110read_element_result(读取元素结果)112读取文件结果指示
权利要求
1.一种在布置用于存储多个数据元素的电路卡中的数据保护方法,包括基于域保护元件和密码保护元件之一来提供保护,所述域保护元件用于定义可以对数据元素允许的操作,所述密码保护元件用于控制对数据元素的访问,其中,所述多个数据元素中的至少一个数据元素与所述域保护元件和所述密码保护元件两者相关联。
2.如权利要求1所述的数据保护方法,其中,对于所述至少一个数据元素,需要密码来启动所允许的操作,并且所述操作由所述域保护元件定义。
3.如权利要求1或2所述的数据保护方法,还包括对所述电路卡的一个或多个应用使用PIN代码访问。
4.如权利要求1到3中的任意一个所述的数据保护方法,其中,所述多个数据元素中的每一个与所述域保护元件相关联。
5.如权利要求1所述的数据保护方法,其中,由所述域保护元件所定义的所允许的操作包括读和/或写访问操作中的一个或多个。
6.如权利要求1所述的数据保护方法,其中,能够访问所述电路卡上的数据的实体被与唯一的标识符相关联。
7.如权利要求6所述的数据保护方法,还包括存储创建数据元素的实体的标识符。
8.如权利要求6或7所述的数据保护方法,其中,所述电路卡被布置用于存储所述数据元素的所述实体的标识符。
9.如权利要求6、7和8中的任意一个所述的数据保护方法,其中,在ME中标识需要访问所述数据的实体。
10.如权利要求1所述的数据保护方法,其中,当在所述ME和所述电路卡之间激活USB 接口时,所述数据保护被应用到USB接口类。
11.如权利要求1所述的数据保护方法,包括根据标准文件格式文件系统在所述电路卡上存储数据元素。
12.如权利要求1所述的数据保护方法,其中,在所述电路卡上的数据元素的创建和管理受所述ME控制。
13.如权利要求1所述的数据保护方法,其中,ME电路卡接口功能被定义为包括创建功能、读取功能、更新功能、重命名功能、移动功能、删除功能和清除功能中的一种或多种。
14.如权利要求1到13中的任意一个所述的数据保护方法,其中,所述电路卡包括UICCo
15.一种被布置用于存储多个受保护的数据元素的电路卡,包括所述多个受保护的数据元素中的至少一个,它们被布置为与域保护元件和密码保护元件两者相关联,所述域保护元件用于定义可以对数据元素允许的操作,所述密码保护元件用于控制对数据元素的访问。
16.如权利要求15所述的电路卡,其中,需要密码来启动所述域保护元件所允许的操作。
17.如权利要求15所述的电路卡,其中,所述多个数据元素中的每一个与所述域保护元件相关联。
18.如权利要求15到17中的任意一个所述的电路卡,其中,所述电路卡被布置为允许通过USB接口类对所述数据元素的访问。
19.如权利要求15到18中的任意一个所述的电路卡,还包括UICC。
20.如权利要求15到19中的任意一个所述的电路卡,其中,所述电路卡被配置为USB 大容量存储设备并被布置为连接到远程设备,其中,如果所述远程设备不支持密码核实机制,则不与所述密码保护元件相关联的数据元素可以在所述远程设备上被访问,并且与所述密码保护元件相关联的数据元素不可以在所述远程设备上被访问。
21.一种被布置用于结合如权利要求15到20中的任意一个所述的电路卡操作的移动无线电通信设备。
22.如权利要求21所述的移动无线电通信设备,其中,所述移动无线电通信设备被布置为通过USB接口类与所述电路卡通信。
23.如权利要求21或22所述的移动无线电通信设备,其中,所述移动无线电通信设备被布置为创建和/或管理所述所存储的数据元素。
全文摘要
本发明提供了一种方法,该方法实现诸如UICC之类被布置用于存储多个数据元素的电路卡中的数据保护并基于域保护元件和密码保护元件来提供保护,域保护元件用于定义可以对数据元素允许的操作,密码保护元件用于控制对数据元素的访问,其中,所述多个数据元素中的至少一个与域保护元件和密码保护元件两者相关联,并且本发明还提供了被布置用于安全存储这样的数据元素的电路卡和被布置用于采用这样的电路卡的ME。
文档编号G06K19/073GK102282566SQ20098015483
公开日2011年12月14日 申请日期2009年12月28日 优先权日2009年1月16日
发明者奥利维尔·董 申请人:日本电气株式会社