用于安全认证的智能卡OS多样化系统的方法和设备与流程

本公开大体上涉及一种用于智能卡产品的多样化系统，以及更具体地说但非排他地，涉及认证操作系统和导出多个导出项而无须重新认证。

背景技术：

具有例如javacard露天平台(“jcop”)等操作系统的智能卡产品的市场已变得愈发多样化且需要解决这些市场内日益增长的用法多样性。

同时，认证要求也已变得比不同市场的不同认证方案更严密和更多样。

此多样化和大量不同认证形成了日益增长的挑战，原因是设置对智能卡软件的微小修改也需要增大重新认证成本和时间。

技术实现要素：

下文呈现各种实施例的简要概述。实施例解决形成一种用于单个操作系统的方法和设备的需要，所述操作系统被认证且其中多个变体可从操作系统导出而无需额外存储器且无需重新认证。

为了克服现有技术的这些和其它缺点且鉴于形成被认证的单个操作系统且其中多个变体可从操作系统导出而无需额外存储器且无需重新认证的需要，呈现各种示例性实施例的简要概述。在以下概述中可做出一些简化和省略，其意在突出且介绍各种示例性实施例的一些方面，但不限制本发明的范围。

将在之后的章节中呈现足以允许本领域普通技术人员产生和使用发明性概念的优选的示例性实施例的详细描述。

本文中所描述的各种实施例涉及一种用于将操作系统(“os”)嵌入智能卡产品中的方法，所述操作系统被认证且从操作系统导出多个变体，所述方法包括以下步骤：认证评估目标，所述评估定向包括os核心掩码和多个组件，所述多个组件包括os组件和插件占位符；通过图像构建器工具构建只读存储化内容和运行时内容，所述图像构建器工具包括多个组件中的至少一个；和定制多个组件中的哪一组件包括在智能卡产品上。

在本公开的一实施例中，对多个组件中的哪一组件包括在运行时内容中的定制由用户执行。

在本公开的一实施例中，多个组件存储在虚拟存储器中。

在本公开的一实施例中，用于嵌入操作系统的方法另外包括根据只读存储化内容和运行时内容中的注册表允许os确定多个组件中的至少一个是否存在于只读存储化内容和运行时内容中。

在本公开的一实施例中，os被配置成当多个组件中的至少一个不存在于只读存储化内容和运行时内容时生成错误码。

在本公开的一实施例中，所述用于嵌入操作系统的方法另外包括通过使用跳转表允许os调用多个组件中的至少一个。

在本公开的一实施例中，所述用于嵌入操作系统的方法另外包括在针对多个插件组件的评估目标时存储插件占位符，所述插件占位符包括在注册表和跳转表中。

在本公开的一实施例中，os包括多个组件中的每一个的密码散列。

在本公开的一实施例中，os被配置成使用密码散列确定多个组件中的至少一个是否被认证。

在本公开的一实施例中，javacard防火墙由操作系统在实施多个插件组件时使用。

本文中所描述的各种实施例涉及一种嵌入操作系统的安全性产品，所述操作系统被认证且导出操作系统的多个变体，所述操作系统包括：评估目标，所述所述操作系统被配置成包括os核心掩码和被认证的多个组件，所述多个组件包括os组件和插件占位符；图像构建器工具，所述图像构建器工具被配置成构建只读存储化内容和运行时内容，所述图像构建器工具包括多个组件中的至少一个；和定制多个组件中的哪一组件包括在智能卡产品上。

在本公开的一实施例中，对多个组件中的哪一组件包括在运行时内容中的定制由用户执行。

在本公开的一实施例中，多个组件存储在虚拟存储器中。

在本公开的一实施例中，嵌入操作系统的安全性产品另外包括只读存储化内容和运行时内容中的注册表，所述注册表被配置成允许os确定多个组件中的至少一个是否存在于只读存储化内容和运行时内容中。

在本公开的一实施例中，os被配置成当多个组件中的至少一个不存在于只读存储化内容和运行时内容时生成错误码。

在本公开的一实施例中，嵌入操作系统的安全性产品另外包括跳转表，所述跳转表被配置成允许os调用多个组件中的至少一个。

在本公开的一实施例中，嵌入操作系统的安全性产品另外包括插件占位符，所述插件占位符被配置成在针对多个插件组件的评估目标时存储在注册表和跳转表中。

在本公开的一实施例中，os包括多个组件中的每一个的密码散列。

在本公开的一实施例中，os被配置成使用密码散列确定多个组件中的至少一个是否被认证。

在本公开的一实施例中，javacard防火墙由操作系统在实施多个插件组件时使用。

在本公开的一实施例中，多个插件组件用于嵌入式集成电路卡(“euicc”)架构实施方案。

附图说明

附图与下文的详细描述一起并入在说明书中且形成说明书的一部分，且用以另外示出包括所要求保护的发明的概念的实施例且阐释那些实施例的各种原理和优点，在附图中，在单独的视图中相同的附图标号始终指代相同或功能上相似的元件。

在以下说明书中更充分地公开这些和其它更详细的和具体的特征，其中参考了附图，附图中：

图1示出用于jcop产品的代码的框图；且

图2示出用于单个操作系统的方法的流程图，所述操作系统被认证且其中多个变体可从操作系统导出而无需额外存储器且无需重新认证。

具体实施方式

应理解，图式仅为示意性的且不按比例绘制。还应理解，贯穿图式使用的相同附图标记表示相同或相似的零件。

描述和图示出各种例子实施例的原理。因此将了解，本领域的技术人员将能够设计各种布置，尽管本文中未明确地描述或示出所述布置，但其体现本发明的原理且包括于本发明的范围内。此外，本文中所叙述的所有例子主要明确地意在用于教学目的以辅助读者理解本发明的原理和由发明人所提供的概念，从而深化本领域，且所有例子不应解释为限于此类特定所述例子和条件。另外，如本文中所使用的术语“或”指代非排他性或(即，和/或)，除非另外指明(例如，“否则”或“在替代方案中”)。而且，本文中所描述的各种实施例不一定相互排斥，因为一些实施例可与一个或多个其它实施例组合从而形成新的实施例。例如“第一”、“第二”、“第三”等描述词不意图限制所论述元件的次序，且用于区分一个元件与下一元件，且通常可互换。

这些实施例解决形成一种用于单个操作系统的方法和设备的需要，所述单个操作系统被认证且其中多个变体可来源于操作系统而不需要额外存储器且不需要重新认证。

智能卡包括产品，例如移动安全元件(“se”)、sim卡(特别是当包括嵌入式通用集成电路卡(“euicc”)、银行卡、护照、iot装置和汽车时)。

要求智能卡的典型使用情形包括使用以下各项的移动支付：nfc技术、支付卡、验证应用、护照、无线验证、订阅管理、车辆间或基础设施安全通信和这些应用的对应内容管理。

智能卡产品具有严格的安全要求，这可能会导致昂贵和冗长的认证过程，所述严格的安全要求例如eurocard、mastercard和visa(“emvco”)、通用标准、mastercard交易支付服务(“mtps”)和联邦信息处理标准(“fips”)等。

这些实施例通过以下方式解决了多个os组件的相关联存储器成本和在每次需要新的os组件时的重新认证的问题：允许生产和认证单个智能卡产品且后续形成多个变体而无需对jcop产品和取决于jcop产品的所有应用程序的完全重新认证。此外，本公开允许在认证之后规定一些组件(例如，“插件组件”)。

jcop产品是基于javacard技术嵌入操作系统的安全元件智能卡产品。

javacard技术的益处是由于javacard标准虚拟机、api和应用程序文件格式而能够部署与硬件无关的应用程序(“小程序”)。

javacard技术允许jcop产品一次认证硬件和软件平台且单独地认证每个应用程序(即，平台上小程序的复合认证概念)。此复合认证对于保持认证成本和上市成本降低至关重要。

然而，由于市场的多样性，此复合认证途经(即，仅分开小程序中的市场特异性)并不充分。

因此，有必要使操作系统内的特征多样化以针对每个市场或甚至每个个别客户定制，且此外在电信和iot中，需要集成来自第三方合作伙伴的特征。

当前，由于市场的多样性，形成每个市场的多个定制产品中的任一个，这显著增大了认证成本，原因是智能卡产品的基础操作系统的任何变化或定制意味着对产品和所有相关联应用程序的重新认证。

可替换的是，当形成具有所有特征的万能的产品时会增大产品尺寸，这要求大量存储器，从而增大了成本。

本公开通过以下方式解决了不得不针对每个产品重新认证jcop产品或形成万能的jcop产品的问题：生产单个jcop产品；一次认证单个jcop产品和导出针对市场或客户定制的多个变体和选项而不会带来相关联存储器成本；以及允许向jcop产品添加特征而无需重新认证。

本公开从单个认证基准导出多个衍生jcop产品且在认证之后添加未认证或未单独认证的特征(即，插件组件)。

如所论述，jcop产品使用javacard技术。javacard技术基于执行字节代码指令的java虚拟机(“jvm”)，所述字节代码指令允许以便携方式写入应用程序和os代码，而与底层硬件平台无关。

图1示出jcop产品100的代码的框图。javacardos的实施方案使随机存取存储器(“rom”)和闪存存储器分成三个部分，即，评估目标101、只读存储化内容102和运行时内容103。

os核心掩码111是单体式的，原因是编译生成了含有所有os代码(即，本机代码和java字节代码)的单个os核心掩码111。

os核心掩码111置于rom或闪存存储器中且经受认证。

只读存储化内容102是客户专用的应用程序，所述只读存储化内容102可通过使用生成“只读存储化内容”图像的图像构建器工具110而“只读存储化”。

“全球平台”标准可用于管理内容。举例来说，载入新的应用程序。

应用程序本身将生成java对象。这些java对象将存储在运行时内容103中，所述运行时内容103在可写存储器(例如，闪存存储器)中。运行时内容103还可以是持久堆(“pheap”)。

jcop产品将代码组织为组件集合，所述组件集合可进入只读存储化内容102或运行时内容103中。

举例来说，评估目标101可包括os组件104和插件占位符105。只读存储化内容102可包括os组件106和插件组件107。运行时内容103可包括os组件108和插件组件109。

这允许图像构建器工具110将os组件104包括在只读存储化内容102中且将os组件108载入运行时内容103中。

通过将os组件104包括在只读存储化内容104中且将os组件108载入运行时内容103中，准许对os和其所有任选组件的单次同步认证。

os分成多个组件是os的模块化。os组件对应于os特征，由于并非始终需要所有os组件，因此所述os特征在一些配置中可能会缺失。举例来说，可能并非始终需要用于不对称密钥生成的os组件、用于椭圆曲线加密的支持件(“ecc”)和用于复杂内容管理(委托管理)的支持件。

os组件(除核心os掩码外)变成“与位置无关的”(即，可置于存储器中的任何地址处而不改变其二进制内容)。对于本机代码，这可通过编译成二进制代码来实现，所述二进制代码仅使用不依赖于代码驻存的实际地址的相对参考。java代码是与位置无关的，原因是其可能并不取决于cpu指令和存储器，但却依赖于虚拟指令集。然而，替代技术可使用虚拟存储器以允许在认证后添加或删除os组件。当构建os时确定每个组件的固定地址且硬件支持件(即，存储器管理单元(“mmu”))可用于以虚拟方式擦除此存储器映射的部分而不花费存储器。

所有组件的注册表存储在只读存储化内容102和运行时内容103中。此注册表允许os动态地确定组件是否存在，且如果存在的话使用跳转表动态地确定如何调用组件功能。接着组织os代码以通过生成错误码或异样而对组件缺失作出反应。

当os和所有os组件被构建而成时，os核心掩码101可含有所有个别可载入os组件(即，指纹)的密码散列。密码散列将允许核心os确定已载入或只读存储化os组件是否被认证。

当os被构建和认证时一些组件是未知的。“占位符”被构建在os中以用于“插件”组件105且其以注册表和跳转表表示。

os准备好用于多个插件组件但插件组件可在认证之后设置且可由第三方创建和载入。

在此情形下，os可需要对插件组件的更严密抵御机制以便防止未认证内容损害系统的安全性。更严密抵御机制可通过使用标准javacard防火墙保护形成被实施为java小程序的插件组件来实现。

举例来说，插件组件的特别显著的应用是用于euicc市场，原因是在此市场中os必须提供与并不适合有限的小程序模型的os具有深度相互依赖性的“uicc架构”。

传统上，这意味着os和uicc架构不得不一起构建和认证。然而，就本公开而言，os可被组织成将uicc架构表示为插件组件。

因此，os核心掩码和uicc架构占位符可在当uicc架构尚不可用时之前被认证且os认证紧接着可用于euicc市场(例如，ese、支付)外部的产品，且对于这些产品，uicc架构存在最小存储器成本，除小的占位符以外。

os核心标记可准备好用于uicc架构的多个供应商且uicc架构可均匀地载入场中，这是可能的，因为uicc架构是非特权组件、不受os信任。

本公开适用于支付和id市场(例如，支付、secid)，其中存在各自需要稍微不同的特征集的大量客户。本公开可应用于构建和认证单个jcop产品且通过移除特征中的一些(例如，ecc加密、不对称密钥生成、卡内容管理的一些复杂方面)导出客户专用的产品。

图2示出用于将操作系统嵌入产品中的方法200的流程图，所述操作系统被认证且从操作系统导出多个变体。

方法200开始于步骤201。

方法200进行到步骤202，所述步骤202认证评估目标，所述评估目标包括os核心掩码和多个组件，所述多个组件包括os组件和插件占位符。

方法200进行到步骤203，所述步骤203通过图像构建器工具构建只读存储化内容和运行时内容，所述图像构建器工具包括多个组件中的至少一个。

方法200进行到步骤204，所述步骤204定制多个组件中的哪一组件包括在智能卡产品上。

方法200接着在步骤205处进行到结束。

从前述描述中应显而易见的是，可在硬件中实施本发明的各种示例性实施例。此外，不同示例性实施例可实施为存储在非暂时性机器可读存储媒体，例如易失性或非易失性存储器上的指令，其可通过至少一个处理器读取和执行以进行本文中详细描述的操作。非暂时性机器可读存储媒体可包括用于以机器可读形式存储信息的任何机构，例如个人计算机或膝上型计算机、服务器或其它计算装置等。因此，非暂时性机器可读存储媒体可包括只读存储器(rom)、随机存取存储器(ram)、磁盘存储媒体、光学存储媒体、闪存存储器装置和类似存储媒体，且不包括瞬时性信号。

本领域的技术人员应了解，本文中的任何框图表示体现本发明的原理的说明性电路的概念视图。类似地，将了解任何流程图表、流程图、状态迁移图、伪码等表示可基本上呈现在机器可读媒体中且因此由计算机或处理器执行的各种过程，无论此类计算机或处理器是否明确地示出。

因此，应理解，以上描述打算是说明性且非限制性的。在阅读以上描述后，除所提供的例子以外的许多实施例和应用将显而易见。范围不应参考以上描述或摘要来确定，而是实际上应参考所附权利要求书以及此类权利要求所授权的等效物的全部范围来确定。预期且打算，未来的开发将对于本文中所论述的技术进行，且所公开的系统和方法将并入到此类未来的实施例中。总之，应理解，本申请案能够进行修改和变化。

然而，这些益处、优点、问题解决方案以及可能使任何益处、优点或解决方案发生或变得更显著的任何元件不应被理解为任何或所有权利要求书的重要、必要或基本特征。本发明仅由所附权利要求书限定，所述所附权利要求书包括在发布的本申请和那些权利要求的所有等效物的未决期间所作出的任何修正。

除非本文中相反地明确指示，否则权利要求书中所使用的所有术语都旨在被给出如对于如本文中所描述的技术博学的人员所理解的其最广泛的合理构造和其普通含义。具体地说，除非权利要求书相反地叙述了明确限制，否则例如“一”、“所述(the)”、“所述(said)”等单数冠词的使用应理解为列举一个或多个所指示的要素。

提供本公开的摘要以允许读者快速确定技术公开内容的性质。所述摘要在遵守以下理解的情况下提交：其将不会用于解释或限制权利要求书的范围或含义。另外，在前述详细描述中，可看出在各种实施例中，出于精简本公开的目的将各种特征分组在一起。不应将此公开内容的方法解释为反映以下意图：所要求保护的实施例需要比每个权利要求中明确叙述的更多的特征。实际上，如所附权利要求书所反映，本发明主题在于单个所公开实施例的不到全部的特征。因此，以下权利要求书由此并入到详细描述中，其中每项权利要求书独自作为单独要求保护的主题。