移动装置安全模块中的客户端可访问的安全区域的制作方法
【技术领域】
[0001]本披露总体上涉及远程网络计算服务器与移动装置之间的安全通信。更具体地但并非排他性地,本披露涉及一种具有多个未分配的安全域的安全模块,这些未分配的安全域中的每个未分配的安全域都可在随后分配给客户端。
【背景技术】
[0002]通常而言,远程服务器主控与在移动通信装置(如智能电话)上执行的其他软件应用进行交互的软件应用。服务提供商执行与安全模块发行者的密钥交换活动。然后,执行一个或多个密钥多样化功能以导出其他秘密密钥,这些其他秘密密钥用于对将在远程服务器与移动装置之间通信的秘密信息进行加密。将经加密的信息从远程服务器传送至移动网络运营商(MNO),并且MNO将数据传送至移动装置。在移动装置中,需要订户身份模块(SM)以对每个秘密信息包进行解码。替代性地,移动装置使用存储在SIM中的秘密密钥数据来加密信息并且将经加密的信息传送至ΜΝ0,该MNO将该经加密的信息转发至远程服务器。
[0003]图1展示了通过移动网络1a对安全数据的常规的供应和基于安全卡的通信。在图1中,安全通信基础设施包括移动装置12,如与安全模块14 (如,S頂卡)相关联(例如,其内嵌入有或放置有安全模块)的智能电话。移动装置具有与安全模块14的直接通信关系16。这些通信可以通过单线协议(SWP)总线、I2C总线、串行外围接口(SPI)总线或某种其他通信路径和协议发生。
[0004]图1中的移动装置12被展示为智能电话,但是设想了其他装置。例如,移动装置12可以被实施为平板计算装置、膝上型计算机、多媒体装置、训练设备,或者以某种其他形式来实施。移动装置12可以是被安排为用于在广域无线网络(如,遵循3G、4G GSM协议、长期演进(LTE)协议、5G协议或某种其他无线通信网络协议的蜂窝网络)上进行无线通信18的任何计算装置。通常,广域无线网络由网络服务提供商20 (也被称为移动网络运营商(MNO))所监管。
[0005]移动装置12与提供无线移动网络服务的MNO 20进行通信。MN020与安全模块14内的数据密切对准,并且通常MNO 20将初始数据供应到安全模块14内。通常而言,在移动装置访问由MNO 20所提供的服务的通信会话(例如,电话呼叫、电子邮件、文本消息等)中,来自安全模块14的信息被传送至MNO 20。
[0006]安全元件发行者可信服务管理者(SE1-TSM) 22向MNO 20和其他实体提供密码工具和数据24 (如公钥和私钥)以及加密/解密算法,这些实体中的某些实体与MNO 20相关联。SE1-TSM 22可以是MN020、硅制造商(如意法半导体公司)、制造移动装置的原始设备制造商(OEM)或某种其他实体。由SE1-TSM 22执行的一种有价值的功能是建立到安全模块的安全超文本传输协议(HTTPS)链接。
[0007]当正在供应用于新的服务提供商的新的关系集合时,SE1-TSM22在安全模块中创建新的服务提供商安全域(SPSD)。在密钥活动期间所交换的安全密钥被编程用于安全域内并且用于由服务提供商的可信服务管理者进一步访问。在某些情况下,SE1-TSM 22还可以引渡SPSD,这意味着该SE1-TSM可以删除或以其他方式放弃其向SPSD读取或写入任何数据的能力。在安全模块14的SPSD被引渡之后,SE1-TSM 22将向源自SP-TSM或以其他方式的安全模块传送安全(即,经加密的或以其他方式模糊化的)包,但是SE1-TSM 22将不会具有查看或以其他方式解释正被传送的数据包的任何能力。
[0008]与服务提供商(SP-TSM) 26相耦接的第二可信服务管理者通过可选的互操作性促进器28而与SE1-TSM 22分离开。互操作性促进器28准许在可信服务管理者以及其他计算装置之间共享不同的数据结构、协议等。SP-TSM 26通过相同的或不同的互操作性促进器28被耦接至一个或多个服务提供商32。
[0009]SP-TSM 26与SE1-TSM 22交换安全信息。可以将来自SP-TSM的多个密钥编程到安全模块14的SPSD中,并且将与该SPSD相关联的其他密钥传送至服务提供商32。宽泛地讲,SP-TSM 26用对应于SPSD的那些密钥来对数据进行加密,并且其对来自服务提供商的数据进行解释。SP-TSM 26还将来自服务提供商的数据格式化成多个应用协议数据单元(APDU),这些应用协议数据单元由安全模块所识别并且由在移动装置上执行的应用展开。
[0010]服务提供商32常规地包括大型的国家和国际银行服务提供商(如美国银行和花旗银行)、支付服务提供商(如VISA和MASTERCARD)、大型零售商(如苹果、塔吉特(TARGET)和星巴克)等。
[0011]图1中所描述的系统是非常复杂并且非常昂贵的。为了实现这样的系统,要求服务提供商32获取它们自身的可信服务管理者或支付对可信服务管理者的非常昂贵的、定制的访问。也就是,图1的SP-TSM 26对于服务提供商向它们的客户提供移动支付而言是必需的,并且因此服务提供商必须设置它们自身的SP-TSM 26(这是非常昂贵的),或者服务提供商必须针对向SP-TSM 26的特定访问签约(这同样是非常昂贵的)。
[0012]SP-TSM 26形成与安全元件发行者可信服务管理者(SE1-TSM) 22的安全的通信关系。宽泛地来看图1,SP-TSM 26形成与具体服务提供商32的安全关系;并且SE1-TSM 22通过由MNO 20控制的网络形成与安全模块14的安全关系。以此方式,服务提供商32能够安全地与具体客户上的安全模块14交换秘密信息。通信关系中的安全性是通过这两个可信服务管理者SP-TSM 26与SE1-TSM 22之间的通信启用的。相应地,一旦安全模块14由客户所使用,新的服务只能通过SP-TSM 26与SE1-TSM 22之间的连接来部署。
[0013]更密切地看,在服务提供商32与安全模块14之间传送安全数据的过程变得非常复杂。服务提供商与其相关联的SP-TSM 26之间的关系需要在这些装置之间维护并传送的具体安全机制,并且在SE1-TSM22与安全模块14之间的关系也需要在这些装置之间维护并传送的多个具体安全密钥。这些可信服务管理者基于多个经轮换的密钥来传送经加密的数据,并且维护安全的和有效的密钥的复杂性通过密钥交换活动、密钥多样化程序和密钥轮换技术来执行。使用在每个装置以及几百个、几千个以及甚至几百万个装置上的多个应用,除其他事项外,常规的过程要求精准的定时、大量的计算资源、较大的通信带宽以及大量的功率。这种基础设施是必需的,因为通用HTTPS服务器(如由服务提供商32实现的)无法安全地与移动装置上的安全模块14进行对话,即使当安全模块包括承载独立协议(BIP)接口时。换言之,即使可以在常规的安全模块中存储并执行安全服务,常规的安全模块仅被启用以用于与可信服务管理者的安全通信。
[0014]目前正在使用常规的供应和基于安全卡的通信系统的两个常规模型。
[0015]图2A展示了以多服务提供商可信服务管理者方式1b进行的图1的常规的供应和基于安全卡的通信。在图2A中,展示了三个服务提供商:银行服务提供商32a、政府服务提供商32b和零售服务提供商32c,并且这些服务提供商中的每个服务提供商具有专用的SP-TSM26a-26co以这种委托管理方式,所有的SP-TSM通过中央SE1-TSM 22a通信至与移动装置12a相关联的安全模块14a,该移动装置在由具体移动网络运营商(MNO) 20a操作的无线网络上进行通信。这种架构的实现和维护对于这些服务提供商32a-32c中的每一个服务提供商而言都是非常昂贵的,因为这些服务提供商32a-32c中的每一个服务提供商都必须设置被明确地配置为用于通过通常由MNO或安全卡OEM控制的SE1-TSM 22a进行安全通信的SP-TSM 26a-26c0经常,这种方式无法被调整用于较小的银行、公共事业服务提供商、零售设施等。
[0016]图2B展示了以单个服务提供商可信服务管理者方式1c进行的图1的常规的供应和基于安全卡的通信。在单个SP-TSM方式中,展示了三个服务提供商:运输服务提供商32d、娱乐服务提供商32e和商业服务提供商32f ;并且它们全部共享单个SP-TSM 26d的那些资源以通过SE1-TSM 22b进行通信。这些服务提供商通过移动装置12b将由MNO 20b操作的载体上的多个安全通信传送至具体的安全模块14b。以这种方式,服务提供商32d-32f和SE1-TSM 22b各自针对SP-TSM 26d所导致的服务对SP-TSM 26d进行补偿。由于当前架构限制和与SE1-TSM 22b交换密钥和其他信息的复杂性,服务提供商32d-32f并不直接地接近或将通信传送至SE1-TSM 22bο
[0017]在多服务提供商可信服务管理者方式1b中,每个服务提供商拥有或者以其他方式控制专用的TSM0当前,通常认为某些非常大型的服务提供商优选这种方式,因为即使其比较昂贵(例如,使SP-TSM26a-26c在线可能花费一百万美元或更多),该大型服务提供商可以将其自身与它的无法承担或调整该投资的小得多的竞争者区分卡来。例如,即使在美国有超过2000家特许银行,只有极少几家最大的银行已经建立并控制专用SP-TSM 26a。
[0018]在单个服务提供商可信服务管理者方式1c中,单个集中式TSM协商各个服务提供商26d_26f与这些安全模块(SE1-TSM)的发行者之间的关系。该协商促进了协作技术安排,从而使得服务提供商的软件应用和安全协议(例如,密钥轮换、多样性等)与安全模块的相应的应用和协议进行协作。在这些情况下,多个服务提供商可以全部贡献或以其他方式投资一个财团以创建并维护中央SP-TSM。
[0019]在背景部分中所讨论的主题的全部不一定都是现有技术,并且不应该仅仅由于在背景部分中对其的讨论而被假定为现有技术。据此,除非明确地阐明为是现有技术,对在背景部分中所讨论的或与这种主题相关联的现有技术中的问题的任何识别不应被看作现有技术。相反,对在背景部分中的任何主题的讨论都应该被看做发明人解决具体问题的方法的一部分,其本身以及本质上也可以是有创造性的。
【发明内容】
[0020]移动装置和远程计算服务器可以使用通过由移动网络运营商(MNO)监管的多个计算服务器减少或消除通信的技术来交换安全数据。例如,一个实施例涉及一种在移动装置与服务提供商之间进行通信的方法。该方法包括在安全模块中定义至少一个安全存储器区域的操作,并且将应用签名存储于该至少一个安全区域内。规则集用于定义对该至少一个安全区域内的某些属性的访问,其中,这些属性可以包括安全存储器存储、多种处理功能等。因此,远程服务提供商的计算服务器被通信地耦接至移动装置上。该计算服务器发送请求以在移动装置与远程服务提供商计算服务器之间传送数据。从该至少一个安全区域中检索出该应用签名,并将其与从计算服务器中所检索出的应用签名进行验证。一旦经过验证,安全数据将在远程服务提供商计算服务器与移动装置之间通信。移动装置上的安全模块是唯一可以对这些通信进行加密和解密的装置。该安全模块通过经验证的应用签名通过移动装置上的用于创建经验证的应用签名的安全应用来仅对安全数据进行通信。
[0021]在某些实施例中,一种安全模块具有所分配的唯一的电子标识符。该安全模块具有通信接口、非易失性存储器以及被耦接至该通信接口和该非易失性存储器的处理单元。在该非易失性存储器中形成一个或多个未分配的安全域,并且这些未分配的安全域中的每个未分配的安全域都具有所分配的唯一的应用标识符(AID)。这些未分配的安全域中的每个未分配的安全域都可通过对应的第一安全值来访问,并且,使用该对应的第一安全值,在部署该安全模块之前或之后,这些未分配的安全域中的每个未分配的安全域都可以被分配给服务提供商。
[0022]在第一实施例中,一种安全模块具有为其所分配的唯一的电子标识符(EID)。该安全模块可以包括:通信接口 ;非易失性存储器,该非易失性存储器具有在其内所配置的多个未分配的安全域,这些未分配的安全域中的每个未分配的安全域都具有为其所分配的唯一的应用标识符(AID),这些未分配的安全域中的每个未分配的安全域都可通过对应的第一安全值来访问;以及被耦接至该通信接口和该非易失性存储器的处理单元。在安全模块的这些和其他实施例中,这些未分配的安全域中的每个未分配的安全域的每个对应的第一安全值都不同于每个其他第一安全值,并且在某些情况下,每个第一安全值都与该对应的未分配的安全域的AID相关联。
[0023]在某些情况下,该非易失性存储器被进一步配置为包括功能逻辑以便为这些未分配的安全域中的每个未分配的安全域供应至少一个第二安全值。在某些情况下,发行者控制的安全域被准许向该多个未分配的安全域中的第一安全域读写数据,并且在该第一安全域被分配给服务提供商之后,该发行者控制的安全域被限制对该第一安全域的至少某部分读写数据。每个第一安全值都是与公钥基础设施(PKI)相关联的安全值。在安全模块被部署之后,可将该多个未分配的安全域中的至少一个未分配的安全域分配给服务提供商。在某些情况下,安全模块的通信接口遵循近场通信(NFC)协议。在某些情况下,安全模块是通用集成电路卡(UICC),并且在其他情况下,安全模块是订户身份模块(SM)。
[0024]在第二实施例中,一种系统包括多个安全模块,并且该多个安全模块中的每个安全模块都包括通信接口、非易失性存储器以及被耦接至该通信接口和该非易失性存储器的处理单元。该系统还包括至少一个计算服务器以及与该至少一个计算服务器相关联的至少一个数据库。
[0025]关于该多个安全模块,每个安全模块都具有在其内所配置的与该对应的安全模块相关联的唯一的电子标识符(EID)以及多个未分配的安全域。这些未分配的安全域中的每个未分配的安全域都具有为其所分配的唯一的应用标识符(AID)。这些未分配的安全域中的每个未分配的安全域都可通过对应的第一安全值来访问。每个安全模块还具有在其内所配置的发行者控制的安全域以及功能逻辑以便为这些未分配的安全域中的每个未分配的安全域供应至少一个第二安全值。
[0026]该系统中的一个或多个数据库被安排为用于存储该多个第一安全值,并且该至少一个计算服务器被安排为用于将该多个安全模块中的所选定的安全模块的该多个未分配的安全域中的所选定的安全域分配给服务提供商。该分配是通过将该多个第一安全值中的所选定的第一安全值传送至该服务提供商来进行的。该所选定的第一安全值对应于该所选定的安全模块的该所选定的安全域的该对应的第一安全值。
[0027]在某些情况下,服务提供商被配置为用于生成第二安全值,该第二安全值存储于该所选定的安全模块中。在某些情况下,在移动装置上执行的安全应用被配置为用于通过将数据与所生成的第二安全值相关联来向该所选定的安全模块的该所选定的安全域的存储器读取数据或写入数据。
[0028]在该系统中,该所选定的安全模块与移动装置相关联,并且该服务提供商可以是远程计算服务器。当出现这种情况时,远程计算服务器与移动装置之间的通信可以遵循安全超文本传输协议(HTTPS)。