在通用引导架构之下的安全性级别建立的制作方法

专利名称：在通用引导架构之下的安全性级别建立的制作方法
技术领域：
本发明涉及在通用引导架构之下的安全性级别建立。具体地说，本发 明涉及使用通用引导架构的对于终端设备中的应用的安全性级别建立，所
述通用引导架构可以利用多个不同的引导机制(比如例如基于SIM的引 导、基于USIM的引导和基于ISIM的引导)。
背景技术：
近年来，已经开发出了各种通信系统，特别是移动通信系统和/或基于 IP (IP:互联网协议)通信系统，以及在这些系统中所提供的多种服务。
在这些先进通信系统(比如例如当前正由第三代伙伴项目(3GPP)和 第三代伙伴项目2 (3GPP2)所开发的第三代移动通信网络)中，与安全 性和可信赖性有关的方面正变得越来越重要。
从支持移动运营商所提供的服务的并且有助于移动运营商的订户证书 的构思开始，并且考虑到对于更加通用的安全性能力的需要，3GPP和 3GPP2标准化工作近来关注于通用^人证架构(GAA)的演进。GAA定义 了基于特定凭证(credential)的共享(对称)秘密的引导。从示出与归属 订户系统HSS、用户设备UE、以及网络实体NE相互关联的通用认证架 构环境的概览的图l可见，GAA基本上包括三个子方面。也就是通用引导 架构(GBA)、订户证书、认证代理(AP)(例如基于HTTPS (安全超 文本传输协议))。由此，通用引导架构(GBA)还构建用于两个其它子 方面的基础，这是由于GBA基于应用特定共享秘密或/^/私钥对而为各 个应用提供通用i人证能力。通常，GBA职责在于用于应用安全性的引导认 证和密钥协商，并且其基于AKA (认证和密钥协商)机制。在图2中，示出用于通用引导的网络模型。经由双向链路所连接的引 导服务器功能实体BSF和用户设备UE使用AKA协议来进行相互认证， 并且协商会话密钥。这些密钥在后面将用于引导会话，并且将被使用在用 户设备与网络应用功能实体NAF之间，所述网络应用功能实体NAF也通 过双向链路而连接到用户设备。在引导机制选择过程和基于所选择的引导 机制的《1导过程之后，用户设备和网络应用功能实体可以运行某些应用特 定协议，其中，消息的安全性将基于在交互认证期间生成的这些会话密钥。 相应地，GAA/GBA通常可以^皮看作三方认证情形，其中，引导服务器功 能实体进一步连接到归属订户系统(HSS)或归属位置寄存器(HLR)。
图2中各个实体之间的参考点(接口 )由Ub、 Ua、 Zn和Zh来表示。 接口 Zh基于Diameter,并且可以基于MAP (不是标准)，Zn接口可以 基于Diameter或Web服务(即HTTP上的SOAP )，接口 Ub基于HTTP 摘要AKA消息的重用(即利用USIM或ISIM的3G认证)或其某些变体 (例如基于传统GSM认证的3GPP的2G GBA、基于CDMA lx和CDMA lx EvDo的3GPP2中的传统GBA全部是基于HTTP摘要AKA的，但有 某些修改)，在接口 Ua上所使用的协议取决于待执行的应用。
对通用引导架构的使用被划分为两个阶段即所述的(通用)引导过 程以及通用引导使用过程。本发明关注通用引导使用。
对于通用引导架构的进一步的细节，参照作为3GPP标准的文档 "3GPP TS 33.220, v7.3.0，，以及作为3GPP2标准的文档"3GPP2 S.P0109-0， version 0.6"，两者都在2005年12月公布。

发明内容
本发明的目的在于消除现有方案的固有缺点，并且提供一种相应改进 机程序。
根据本发明第 一方面，通过一种在提供多个不同引导机制的通用引导 架构之下用于终端设备中的应用的安全性级别建立的方法来实现该目的，所述终端设备包括凭证建立实体和应用实体，所述方法包括以下步骤从 所述应用实体向所述凭证建立实体发送对用于所述应用的凭证的请求；以 及从所述凭证建立实体向所述应用实体返回响应，其中，所述响应包括所 请求的凭证和凭证质量信息。
在以上方面之下，根据本发明的进一步的有利细化
-进一步包括步骤在所述应用实体处，基于所述凭证质量信息确定 所返回的凭证的安全性级别；
-所述方法进一步包括步骤在所述应用实体处，使用所返回的凭证 对所确定的凭证的安全性级别与所述应用的期望安全性级别进行比较，其 中，如果所述比较产生所确定的凭证的安全性级别低于所述应用的期望 安全性级别，则所述应用实体制止执行为其请求所返回的凭证的应用；
-所述方法进一步包括步骤将所返回的凭证质量信息通知给所述通 用引导架构的网络应用功能(NAF)实体；
-所述凭证质量信息包括生成所请求的凭证所基于的引导机制的类
型；
-所述引导才几制的类型是以下类型中的一个基于订户身份模块SIM 的类型；基于通用订户身份模块USIM的类型；基于互联网协议多媒体服 务订户身份模块ISIM的类型；基于蜂窝认证和语音加密CAVE的类型； 基于点对点质询握手认证协议CHAP的类型；基于可移动用户身份模块 RUIM的类型；或基于数字证书的类型；
-所述凭证质量信息包括定义至少一个条件的凭证删除信息，在所述 至少一个条件下在应用实体处将删除所请求的凭证；
-所述凭证删除信息定义以下条件中至少一个作为条件从所迷终端 设备移除智能卡；所述终端设备掉电；或者撤销凭证；
-所述方法进一步包括步骤将凭证删除通知从所述凭证建立实体推 送给满足条件的应用实体；并且在接收到凭证删除通知时，从应用实体删 除所返回的凭证；
-所述方法进一步包括步骤将用于在所述应用实体处删除凭证的凭
ii证删除命令从所述凭证建立实体推送给所述应用实体；在接收到所述凭证 删除命令时，从所述应用实体删除所述凭证，其中，当在所述凭证建立实 体处满足预定条件时，推送所述凭证删除命令；
-所述凭证建立实体是通用认证架构服务器，所述应用实体是通用认
证架构客户机；
-所述终端设备是基于开放平台环境的；并且/或者 -所述凭证建立实体包括通用引导架构应用程序接口。 根据本发明第二方面，通过一种在提供多个不同引导机制的通用引导 架构之下操作终端设备中的应用实体的方法来实现该目的，所述方法被配 置用于所述终端设备中的应用的安全性级别建立，所述方法包括以下步骤
证建立实体；以及从所述凭证建立实体接收响应，所述响应包括所请求的 凭i正和凭证质量信息。
在以上方面之下的本发明的进一步有利的细化是根据结合所述第 一方 面所阐述的有利细化。
根据本发明第三方面，通过一种在提供多个不同引导机制的通用引导 架构之下操作终端设备中的凭证建立实体的方法来实现该目的，所述方法 被配置用于所述终端设备中的应用的安全性级别建立，所述方法包括以下 步骤从所述终端设备的应用实体接收对用于所述应用的凭证的请求；获 取所需的凭证以及与其关联的凭证质量信息；以及向所述应用实体返回响 应，其中，所述响应包括所述获取的凭证以及凭证质量信息。
在以上方面之下的本发明的进一步有利的细化是根据结合所述第 一方 面所阐述的有利的细化。
根据本发明第四方面，通过一种实施在计算机可读介质中的计算机程 序来实现该目的，其包括被配置为在提供多个不同引导机制的通用引导架 构之下执行用于终端设备中的应用的安全性级别建立的程序代码，所述终 端设备包括凭证建立实体和应用实体，所述计算机程序被配置为执行以下 步骤将对用于所述应用的凭证的请求从所述应用实体发送给所述凭证建立实体；以及从所述凭证建立实体向所述应用实体返回响应，其中，所述 响应包括所请求的凭证和凭证质量信息。
根据本发明第五方面，通过一种实施在计算机可读介质中的计算机程 序来实现该目的，其包括被配置为在提供多个不同引导机制的通用引导架 构之下操作终端设备的应用实体的程序代码，所述方法被配置用于所述终 端设备中的应用的安全性级别建立，所述计算机程序被配置为执行以下步
的凭证建立实体；以及从所述凭证建立实体接收响应，所述响应包括所请
求的凭证和凭证质量信息。
根据本发明第六方面，通过例如一种实施在计算机可读介质中的计算 机程序来实现该目的，其包括被配置为在提供多个不同引导机制的通用引 导架构之下操作终端设备的凭证建立实体的程序代码，所述方法被配置用 于所述终端设备中的应用的安全性级别建立，所述计算机程序被配置为执
行以下步骤从所述终端设备的应用实体接收对用于所述应用的凭证的请 求；获取所需的凭证以及与其关联的凭证质量信息；以及向所述应用实体 返回响应，其中，所述响应包括所获取的凭证以及凭证质量信息。
根据本发明第七方面，通过一种在提供多个不同引导机制的通用引导 架构之下用于终端设备中的应用的安全性级别建立的系统来实现该目的， 所述终端i殳备包括凭证建立实体和应用实体，所述系统包括将对用于应 用的凭证的请求从所述应用实体发送给所述凭证建立实体的装置；以及用 于从所述凭证建立实体向所述应用实体返回响应的装置，其中，所述响应 包括所请求的凭证和凭证质量信息。
在以上方面之下，根据本发明的进一步有利的细化
-所述系统进一步包括用于在所述应用实体处，基于所述凭证质量 信息确定所返回的凭证的安全性级别的装置；
画所述系统进一步包括用于在所述应用实体处，使用所返回的凭证 对所确定的凭证的安全性级别与应用的期望安全性级别进行比较的装置， 其中，如果所述比较产生所确定的凭证的安全性级别低于所述应用的期望安全性级别，则所述应用实体被配置为制止执行对于其请求所返回的 凭证的应用；
-所述系统进一步包括用于将所返回的凭证质量信息通知给所述通 用引导架构的网络应用功能(NAF)实体的装置；
-所述系统进一步包括用于当满足预定条件时，从所述应用实体删 除所返回的凭证的装置。
-所述凭证建立实体是通用认证架构服务器，并且所述应用实体是通 用认证架构客户机；
-所述终端设备M于开放平台环境的或封闭平台环境的；并且/或者 -所述凭证建立实体包括通用引导架构应用程序接口。 根据本发明第八方面，通过一种在提供多个不同引导机制的通用引导 架构之下用于终端设备中的应用的安全性级别建立的设备来实现该目的， 所述设备包括凭证建立实体和应用实体，所述设备包括用于将对用于所 述应用的凭证的请求从所述应用实体发送给所述凭证建立实体的装置；用 于将响应从所述凭证建立实体返回给所述应用实体的装置，其中，所述响 应包括所请求的凭证和凭证质量信息。
在以上方面之下，根据本发明的进一步有利的细化 -所述设备进一步包括用于在所述应用实体处，基于所述凭证质量 信息确定所返回的凭证的安全性级别的装置；
-所述设备进一步包括用于在所述应用实体处，使用所返回的凭证 对所确定的凭证的安全性级别与应用的期望安全性级别进行比较的装置， 其中，如果所述比较产生所确定的凭证的安全性级别低于所述应用的期 望安全性级别，则所述应用实体被配置为制止执行为其请求所返回的凭 证的应用；
-所述设备进一步包括用于将所返回的凭证质量信息通知给所述通 用引导架构的网络应用功能(NAF)实体的装置；
-所述设备进一步包括用于当实现预定条件时，从所述应用实体删 除所返回的凭证的装置；并且/或者-所述设备包括终端设备。
本发明的优点在于，提供了在终端设备的应用中的安全性级别建立和 区分。
基于对应的安全性级别区分，改进了应用、网络和服务的内部处理和 夕卜部处理。
本发明的另一优点在于，无需外部信令，尤其在应用服务器与终端i殳 备中的应用之间以及在应用服务器与引导服务器之间没有信令。
本发明的再一优点在于，可以避免对网络应用功能的没有希望的和/ 或未经认证的外部服务请求。由此，减少了信令开销和物理资源占用。
另一优点在于，防止了某些欺骗情形，并且有可能通知所述终端中的
应用其已经存储的应用特定凭证被撤销(例如由于取消NAF与运营商之 间的合同而导致)。
然而，即使NAF被联系，终端应用可能仍然想要向所述应用服务器指 示所述安全性级别，这仍然可以改进NAF与BSF之间的性能。


以下，将参照附图更加详细地描述本发明，其中 图1示出通用认证架构环境的概览； 图2示出用于通用引导的网络^^莫型；
图3示出具有根据本发明的终端设备的通用引导架构的示意性框以及
图4示出根据本发明的系统的示意性框图。 M实施方式
在此参照特定非限定性示例来描述本发明。本领域^t术人员应理解， 本发明不限于这些示例，并且可以被更广泛地应用。
具体地说，结合3GPPGBA示例实现方式来描述本发明。例如，本发 明同样可以被运用在使用不同凭证建立机制的任何地方。这样，在此所给出的实施例的描述具体参照与其直接有关的术语。这样的术语仅用于该示 例的上下文中，而并非以任何方式来限制本发明。具体地说，只要合适的
(当今或将来)引导机制符合一般GBA框架，这种机制就可以用于引导 凭证。
当将要在GBA框架内执行终端设备(例如用户设备UE )中的应用时， 终端设备中的应用实体必须联系相应网络应用功能实体NAF。为了确保其 用于执行期望应用的权利，终端设备的应用实体必须通过特定凭证来对自 身进行认证。应用实体从终端设备的凭证建立实体获得这些凭证连同生存 时间信息，终端设备的凭证建立实体服务于在终端设备与通用引导架构的 引导服务器功能实体BSF之间的引导共享密钥(即凭证)。当请求时，凭 证建立实体将待用于期望应用的对应凭证提供给应用实体。因此，该应用
可以通过应用所需的任意方式(例如在PSK、 TLS内(RFC4279))来使 用所接收到的凭证/密钥。
应用或应用实体对接收自凭证建立实体的凭证投入的信任可以取决于 这些凭证所固有的安全性级别。然而，应用或应用实体根据已知方案不能 够关于所接收到的凭证所固有的安全性级别做出判断。尤其是，对于需要 特定最小安全性级别的一些应用，这种情况造成了问题，因为终端中的或 外围设备(分开终端外壳，即外部设备经由本地装置连接到移动终端)中 的应用无法确信所接收到的凭证是否是足够质量的，或者应用服务器是否 许可它们的使用。此外，驻留在终端中的应用可能向没有足够安全性级别 的NAF请求服务。NAF于是将联系BSF，以获得安全性级别的知识。在 此情况下，安全性级别太低，当前技术导致了大量网络负载，并且降低了 一般网络性能。
在终端平台不开放的情况下，向GAA服务器请求应用特定凭证的应 用不知道所使用的安全性级别。所以，当前保持足够安全性级别的仅有方 式是不允许服务。即使用户例如通过获得新的智能卡而获得了充足的安 全性级别，该终端中的应用当前也不能^f吏用更高的安全性级别，这是因为 所述应用将不知道已经达到了更高的安全性级别。当前，仅有的可能性是由制造商来更新电话软件。用于区分的仅有方式将是运营商将为每一引 导类型(例如卡类型)提供不同种类的电话模型，不同应用软件将被预先 安装。根据所使用的卡，这将导致不同的终端实现方式，尤其是对卡进行 更新可能将不是很容易。此外，例如当卡已经被移除并且会使得欺诈时， 当前实现方式不提供应用特定的密钥删除。
这个问题在开放平台环境中甚至更严重。也就是说，当终端设备^ 于开放平台环境的时，有可能将新的应用安装到终端设备。这可以由终端 的任意用户经由应用程序接口 (API)来完成。所下载的新应用当前不可 能知道设备中有什么种类的智能卡。因此，所述应用不知道用于应用特定 凭证的安全性级别基准。应用可以是为每一卡特别定制的，但将需要用户 或运营商(但对于免费开放软件将是不可能的)声明使用的是哪种类型的 智能卡或安全性级别基准。
当前没有解决的另一问题是，应用没有意识到何时应该删除从GAA 服务器接收到的应用特定凭证。
这种遗漏信息可能导致以下情况第一用户生成应用凭证，并且于是 将智能卡给予第二用户，第二用户又在第二设备上生成应用特定凭证，并 且因此可以获得免费服务。
总之，在通用引导架构内的已知方案中存在这样的问题终端设备的 应用无法确信从凭证建立实体接收的引导凭证所固有的安全性级别。换言
成的基础，并且没有意识到导致所接收到的凭证的无效性的任意事件。 因此，需要对于上述问题的解决方案，以用于在通用引导架构之下为
终端设备中的应用提供安全性级别建立。
图3示出具有根据本发明的终端设备的通用引导架构的示意性框图。
终端设备被示出为基于(受信任)开放平台环境，比如例如Symbian或
Series60。
根据图3，终端设备包括GAA服务器，其充当凭证建立实体(就例 如GBA ME或GBA U而言)；GAA客户才几，其充当应用实体；设备驱动器(其表示传统实现方式细节，并且与本发明无关)；智能卡，其可以 是UICC (通用集成电路卡)或SIM (订户身份模块)卡或某些其它形式 的安全存储器，比如受信任的计算平台。
智能卡可以是在其上运行几个不同应用的多应用卡，不同应用定义了 不同的引导机制。通过UICC的这些不同引导机制，GAA服务器能够在网 ^#口 Ub上与引导服务器功能实体BSF协作来引导特定凭证。由于本发 明与这样的引导机制无关，因此在此将不给出其描述。已知的引导机制的
示例包括基于以下的引导订户身份模块SIM、通用订户身份模块USIM、 互联网协议多媒体服务订户身份模块ISIM、蜂窝认证和语言加密CAVE、 点对点(PPP)质询握手认证协议CHAP、可移除用户身份模块RUIM、 数字证书、私钥/公钥对、其它形式的加密主密钥、或基于用户名/口令的机 制。除已知的上述引导机制之外，本发明通常还可应用于任意其它合适的 引导机制，包括未来的引导机制。
GAA服务器是终端设备的平台的一部分，或例如在终端设备已经被售 卖之后被下载到该终端设备。由于在通用引导架构之下的开放终端平台需 要，因此GAA服务器包括由GBAAPI所表示的通用引导架构应用程序接 口 。 GBA API对GAA服务器与GAA客户机进行接口 。 GBA服务器负责 GBA主密钥可以净皮建立，并且交出所需的NAF特定密钥(凭证)，NAF 特定密钥是从GBA主密钥导出的。GAA客户机在网M口 Ua上与网络 应用功能实体NAF进行交互，以用于如上所述执行网络应用。
根据本发明该实施例，作为应用实体的GAA客户机将请求发送给 GBA API (由相应箭头所指示)。通过这种请求的方式，GAA客户机向 GAA服务器请求至少一个凭证，在GAA客户机处需要所述至少一个凭证 来执行特定应用。依据该请求，GAA客户机就(经由GBA API)返回所 请求的凭证，所述凭证是从GBA服务器或智能卡的相应凭证存储器检索 的。这种返回操作依赖于平台。根据所使用的引导机制，所返回的凭证是 特定引导类型。在对GAA客户机的响应中(由相应箭头所指示)，GAA 服务器除了所请求的凭证(以及可能其生存时间)之外还包括凭证质量信息。所述凭证质量信息指示生成所返回的凭证所基于的$ 1导机制的类型，
例如基于SIM的、基于USIM的、基于ISIM的、基于RUIM的、基于 CAVE的、基于CHAP的、基于证书的、或基于口令的。在使用任意其它 引导机制的情况下，这种机制的类型被指示，包括未来引导机制。可以将 主凭证存储在不同介质(例如安全存储器、智能卡或其它受信任的环境) 上。
通过根据本发明的这种附加的凭证质量信息，GAA客户机(即应用实 体)能够确定所返回的凭证的安全性级别，并且因此确定使用该凭证所执 行的应用的安全性级别。
进一步地，GAA客户机能够使用所返回的凭证对所确定的凭证的安全 性级别与待执行的应用的期望安全性级别进行比较。如果所确定的安全性 级别低于期望的安全性级别，则GAA客户机可操作为判断例如制止执 行应用。因此，在网络中将不向NAF实体发送用于该应用的服务请求，由 此物理资源空闲，并且为用户避免了花费。另一方面，如果所确定的安全 性级别高于期望的安全性级别，则确信应用相对于其需求是足够安全的。 例如，特定应用(例如广4番应用(例如3GPPMBMS))可能需要最^f" 于USIM的凭证，因此当所返回的凭证仅仅A^于SIM的引导类型时，不 执行应用。这样防止终端为了不能以该安全性级别获得的服务而联系服务 (并且可能建立收费的连接)。
根据应用设计者(对于开放平台终端设备)的观点，根据本发明实施 例的功能性很重要，这是由于它们可以从依据凭证请求所接收的信息中导 出GAA客户机(即一部分应用)中的认证质量，并且应用(例如通过限 制服务范围)考虑了安全性级别。只是在安全性级别匹配或者更高，并且 存在对于用户实际获得服务的合理机会时，才执行应用，并且生成对于用 户的可能的花费。这允许应用设计者考虑归因于3GPP或3GPP2-特定的 GBA信息(例如黑客算法或所用算法的普通强度)的规范。也就是说， GAA客户机能够检测3GPP引导是基于第二代(2G)规范(例如SIM) 还是第三代(3G)规范(例如USIM、 ISIM),或者基于3GPP2的引导^L&于CAVE (即CDMA lx ) 、 CHAP (即CDMA lx EvDo )、还是AKA (例如USIM)、还是某些其它尚未被标准化的手段。
作为该实施例的另一方面，终端设备中的GAA客户机将所返回的凭 证质量信息(即所返回的凭证的引导类型)通知给通用引导架构的NAF 实体。由此，如果需要的话，则可以避免NAF实体必须从BSF实体检索 引导类型信息，因此防止了不必要的后端信令。
这例如对于漫游的情况尤其有利，其中，NAF实体不是位于用户的(即 终端设备的)归属网络中，并且NAF实体想要在第一联系方(即发送包括 用于其认证的相应凭证的服务请求的GAA客户机)直接知道已经使用何 种引导类型来生成凭证。于是，NAF实体可操作为判断其是否将信任来 自终端设备的凭证质量信息，并且如果信任，则判断所述凭证是否是足够 高的安全性级别。
对于凭证质量信息附加地或者可替换地，根据本发明实施例的从GAA 服务器到GAA客户机的响应包括凭证删除信息。根椐该实施例的凭证删 除信息定义至少一个条件，在所述条件之下所请求的和所返回的凭证变为
^皮删除。
与传统生存时间信息相反，所述凭证删除信息定义了绑定到条件或事 件(撤销凭证，移除智能卡，设备掉电)上的实际过期日期，而不是在密 钥生成期间所设置的理论日期。也就是说，虽然尚未超过凭证的生存时间， 但其可以由于特定事件而导致立即过期。例如，当从终端设备移除智能卡 时，或者当终端设备掉电时，或者当关联应用关闭时，或者当撤销所使用 和/或所存储的凭证时，特定凭证的有效性可以过期，以确保安全性，并且 防止安全性威胁。因此，根据本发明这个方面的凭证删除信息表示可改动 的新鲜性信息。通常，终端中的应用将不会意识到例如撤销了凭证，或者 移除了智能卡，因此，它将不知道应该删除所存储的应用特定凭证。由此， 可以防止欺骗的情形，在欺骗的情形中，(第一)终端设备的用户使用 UICC在第一终端设备中生成第一凭证集合，应用经由GAA服务器和GBAAPI从UICC得到这些凭证，并且于是用户从所述第一终端设备移除 UICC，并且将相同UICC插入到新的(第二)终端设备，以生成具有相 同UICC的另一凭证集合，同时第一终端设备仍然使用第一凭证集合。例 如，这样防止了将UICC插入另 一终端设备来免费获得服务。
如果将这样的凭证删除信息返回到GAA客户机(即，在终端中使用 应用的GAA)，则GAA客户机可操作为在满足所定义的条件或者发生 所定义的事件时，删除所指定的凭证。可以例如将这种情况实现为对于 GAA客户机的回调(callback)功能。也就是说，每当GAA客户机被期 望删除先前从GAA服务器获得的与GBA有关的凭证时，GAA服务器就 调用已经注册到GAA服务器的特定GAA客户机或所有GAA客户机上的 回调功能。
关于凭证删除， 一般而言，存在带来由本发明实施例所涵盖的两种情形。
a) 用于删除操作的条件被从GAA服务器推送到GAA客户机，于是 事件发生(即满足了条件)，于是推送事件已经发生的信息，于是应用(GAA 客户机)根据事件(条件)而进行反应；或者
b) 事件发生(在GAA服务器处)，于是GAA服务器只是将删除命 令推送给GAA客户机，而不是预先通知潜在删除条件。
对于情况a)，凭证质量信息包括定义至少一个条件的凭证删除信息， 在所述至少一个条件下应用实体处将删除所请求的凭证。凭证删除信息定 义以下条件中的至少一个作为条件
-从所述终端设备移除智能卡；
-所述终端^:备掉电；或者
-撤销凭证。
于是，GAA服务器将凭证删除通知从凭证建立实体推送给满足了条件 的应用实体，并且GAA客户机在接收到凭证删除通知时从应用实体删除 所返回的凭证。
对于情况b)，当在GAA服务器处满足了预定条件时，GAA服务器将凭证删除命令推送给GAA客户机，以用于在应用实体处删除凭证。在 接收到凭证删除命令时，GAA客户机删除凭证。
这样的删除过程也可以按非恳请的方式发生。也就是说，如果满足了 相应条件，则即使事先没有发生凭证请求，GAA服务器也将凭证删除命令 或凭证删除通知推送给GAA客户机。
虽然以上就方法步骤而言描述了本发明的原理，但本发明实施例还包 括计算机程序形式的对应软件实现方式和相应实体、系统和终端形式的硬 件实现方式。
图4仅通过示例的方式来示出根据本发明的系统的示意性框图。该系 统形成根据本发明的一部分终端设备。
根据图4，该实施例的系统包括凭证建立实体(例如GAA服务器)和 应用实体(例如GAA客户机)。为了简明，在该图中已经省略了如图3 的GBA应用程序接口。然而，本领域技术人员将根据一般知识得知在凭 证建立实体的实现方式内如何》文置GBA API。
图4中所描述的两个实体可根据如上所述的或所附权利要求中的方法 而操作。为此，每一实体的各个装置被配置为执行具有相似表述的方法 步骤。应注意，才艮据本发明特定实施例的实体无需一定包括图4中所描述 的任意装置，但其任意结合是可以想象得到的。
具体地说，所述应用实体包括请求装置，其被配置为向凭证建立实 体发送应用实体所需的用于特定凭证的请求。在应用实体侧，确定装置被 配置为在接收到包括凭证质量信息和可能的凭证删除信息的响应时，确 定所返回的凭证的安全性级别。进一步地，比较装置被配置为对由所述 确定装置确定的安全性级别与待由所述应用实体执行的应用的期望安全性 级别进行比较。在比较操作产生返回的安全性级别等于或高于期望安全性 的情况下，则所述应用实体的执行装置被配置为使用所返回凭证执行所 期望的应用。否则，将不执行应用。如果特定事件发生(例如GAA服务 器接收到撤销请求，移除了智能卡，设备掉电)，则该事件信息经由GBA API被推送给GAA客户机，从而其可以采取适当的措施(例如删除密钥)。作为应用实体的可选构件的通知装置被配置为将所返回的凭证质量 信息和/或所确定的安全性级别通知给网络应用功能实体(即NAF服务器)。
更进一步地，应用实体可选地包括删除装置，其被配置为删除所述 应用实体的凭证。所述删除装置可基于连同凭证一起从凭证建立实体返回 的关联的凭证删除信息，以及由凭证删除信息所指定的特定条件或事件(比 如例如从终端设备移除智能卡，设备掉电，或者从BSF推送的撤销)而操作。
凭证建立实体包括返回装置，其被配置为在从应用实体的请求装置 进行请求时，返回所请求的凭证连同如上所述的凭证质量信息和/或凭证删 除信息。为此，所述返回装置被进一步配置为从由DB表示的安全存储 器检索这些信息，所述安全存储器可以是例如UICC中的字典、某些安全 受信任的计算硬件或安全存储器，其中，它们被存储在凭证建立实体侧。
安全存储器的内容(即基于GBA的共享对称密钥(凭证))以及对 应生存时间信息、质量信息以及删除信息发源自通用引导。通用引导由终 端的凭证建立实体的引导装置以及引导服务器功能实体(即BSF服务器) 来执行。于是，引导装置例如通过所述返回装置将所引导的信息存储到安 全存储器，以用于将来使用。
此外，所述返回装置被配置为将凭证删除通知推送给满足了凭证删 除条件的GAA客户机，或者将用于在GAA客户机处删除凭证的凭证删除 命令从GAA服务器推送到GAA客户机，其中，当在GAA服务器处满足 了预定条件时，推送凭证删除命令。
通常，还应注意，如果集成硬件和/或软件或可拆卸硬件和/或软件仅适 用于执行相应部分的所描述的功能，则可以由任意已知装置以集成硬件和/ 或软件，或以可拆卸硬件和/或软件分别实现所提及的根据本发明的功能元 件(例如请求装置或管理返回)。例如，可以由任意数据处理单元(例如 微处理器)来实现凭证建立实体的返回装置，所述数据处理单元被配置为 如所附权利要求所定义检索并且返回所请求的凭证和关联的质量信息。也 可以用单独的功能块或单独的i殳备来实现所提及的部分，或者，可以在单个功能块中或用单个设备来实现所提及的部分中的一个或多个。对应地，
图4的以上说明将是为了说明的目的，而不是以任意方式来限制本发明的 实现方式。
更进一步地，有可能被实现为软件代码部分并且使用在实体中的一个 的处理器来运行的方法步骤是独立的软件代码，并且可以使用任意已知或 未来开发的编程语言(例如Java、 C、 C+十以及汇编)来指定。有可能实 现为在对等实体中的一个处的硬件组件的方法步骤和/或设备或装置是独 立的石更件，并且可以4吏用例如ASIC组件或DSP组件通过4吏用^f壬意已知的 或未来开发的硬件技术或这些技术的任意混合(例如MOS、 CMOS、 BiCMOS、 ECL、 TTL、 UICC、 TCB (受信任的计算基础)等等)而实 现。通常，任意方法步骤适用于实现为软件或硬件，而不改变本发明的构 思。设备和装置可以被实现为单独的设备，但只要设备的功能被保留，这 就不排除以遍布系统的分布式方式来实现它们。例如，GAA客户机可以驻 留在副实体(比如PC)中，并且通过本地接口 (例如经由蓝牙或WLAN (无线局域网))呼叫GAA服务器。这些和相似的原理被认为是本领域 技术人员已知的。
根据本发明及其实施例，提供了在提供多个不同引导机制的通用引导 架构之下用于在终端设备中的应用的安全级别建立，所述终端设备包括凭 证建立实体和应用实体，包括从应用实体到凭证建立实体的对于应用的 凭证的请求，以及从凭证建立实体到应用实体的响应，其中，所述响应包
括所请求的凭证信息(即密钥标识符、密钥、密钥生存时间)和凭证质量 信息。
本发明描述了一种在凭证建立实体(例如GAA服务器)与应用实体 (例如GAA客户机)之间的新的功能性，所述功能性指示凭证质量。应 用对所接收的凭证的信任因此可以取决于f 1导类型和实际过期时间点。因 此，当已经撤销了凭证，安全性级别为低，或者凭证由于特定事件而不再 有效时，应用可能需要特定安全性级别，尤其是应该不进行服务请求。
虽然以上根据附图参照示例描述了本发明，但显而易见，本发明不限，匕。更确切的，本领域技术人贞显见的是，可以在不脱离所附权利要义 所公开的本发明构思的范围的情况下以多种方式来修改本^附权利要求
权利要求
1.一种方法，包括从终端设备的应用实体向所述终端设备的凭证建立实体发送对用于所述终端设备中的应用的凭证的请求；从所述凭证建立实体向所述应用实体返回响应，其中，所述响应包括所请求的凭证和凭证质量信息；以及在提供多个不同引导机制的通用引导架构之下建立用于所述终端设备中的所述应用的安全性级别。
2. 如权利要求l所述的方法，进一步包括 在所述应用实体处基于所述凭证质量信息确定所返回的凭证的安全性级别。
3. 如权利要求2所述的方法，进一步包括 在所述应用实体处，使用所返回的凭证对所确定的凭证的安全性级别与所述应用的期望安全性级别进行比较，其中，如果所述比较产生所确定的凭证的安全性级别低于 所述应用的期望安全性级别，则所述应用实体制止执行为其请求 所返回的凭证的应用。
4. 如权利要求l所述的方法，进一步包括 将所返回的凭证质量信息通知给所述通用引导架构的网络应用功能实体。
5. 如权利要求1所述的方法，其中，所述凭证质量信息包括 生成所请求的凭证所基于的引导机制的类型。
6. 如权利要求5所述的方法，其中，所述引导机制的类型是 以下类型中的一个-基于订户身份模块的类型；-基于通用订户身份模块的类型；-基于互联网协议多媒体服务订户身份模块的类型；-基于蜂窝认证和语音加密的类型； -基于点对点质询握手认证协议的类型； -基于可拆卸用户身份模块的类型；或 -基于数字证书的类型。
7. 如权利要求l所述的方法，其中，所述凭证质量信息包括 凭证删除信息，其定义至少一个条件，在所述至少一个条件下在 所述应用实体处将删除所请求的凭证。
8. 如权利要求7所述的方法，其中，所述凭证删除信息定义 以下条件中的至少一个作为条件-从所述终端设备移除智能卡； -所述终端设备掉电；或者 -撤销凭证。
9. 如权利要求7所述的方法，进一步包括 将凭证删除通知从所述凭证建立实体推送给满足所述条件的所述应用实体；以及在接收到所述凭证删除通知时，从所述应用实体删除所返回 的凭证。
10. 如权利要求1所述的方法，进一步包括将用于在所述应用实体处删除凭证的凭证删除命令从所述凭 证建立实体推送给所述应用实体；以及在接收到所述凭证删除命令时，从所述应用实体删除所述凭证，其中，当在所述凭证建立实体处满足预定条件时，推送所述 凭证删除命令。
11. 如权利要求1所述的方法，其中，所述凭证建立实体是通 用认证架构服务器，并且所述应用实体是通用认证架构客户机。
12. 如权利要求1所述的方法，其中，所述终端设备是基于开 放平台环境的。
13. 如权利要求12所述的方法，其中，所述凭证建立实体包 括通用引导架构应用程序接口 。
14. 一种操作终端设备中的应用实体的方法，所述方法包括 从所述应用实体向所述终端设备的凭证建立实体发送对用于所述终端设备中的应用的凭证的请求；从所述凭证建立实体接收响应，所述响应包括所请求的凭证 和凭证质量信息；以及在提供多个不同引导机制的通用引导架构之下建立用于所述 终端设备中的所述应用的安全性级别。
15. 如4又利要求14所述的方法，进一步包括 基于所述凭证质量信息确定所接收的凭证的安全性级别。
16. 如权利要求15所述的方法，进一步包括使用所返回的凭证对所确定的凭证的安全性级别与所述应用 的期望安全性级别进行比较，其中，如果所述比较产生所确定的凭证的安全性级别低于 所述应用的期望安全性级别，则所述应用实体制止执行为其请求 所返回的凭证的应用。
17. 如权利要求14所述的方法，进一步包括 将所返回的凭证质量信息通知给所述通用引导架构的网络应用功能实体。
18. 如^3l利要求14所述的方法，进一步包括 当满足预定条件时，从所述应用实体删除所返回的凭证。
19. 如4又利要求14所述的方法，其中，所述应用实体是通用 i^证架构客户才几。
20. —种操作终端设备中的凭证建立实体的方法，所述方法包括从所述终端设备的应用实体接收对用于所述终端设备的应用 的凭证的请求；获取所需的凭证以及与所需的凭证关联的凭证质量信息； 向所述应用实体返回响应，其中，所述响应包括所获取的凭证以及凭证质量信息；以及在提供多个不同引导机制的通用引导架构之下建立用于所述应用的安全性级别。
21. 如权利要求20所述的方法，其中，所述凭证建立实体是 通用认证架构服务器。
22. 如权利要求20所述的方法，其中，所述凭证建立实体包 括通用引导架构应用程序接口 。
23. —种实施在计算机可读介质上的计算机程序，其包括被配 置为执行用于终端设备中的应用的安全性级别建立的程序代码， 所述计算机程序被配置为执行以下从所述终端设备的应用实体向所述终端设备的凭证建立实体 发送对用于所述应用的凭证的请求；从所述凭证建立实体向所述应用实体返回响应，其中，所述 响应包括所请求的凭证和凭证质量信息；以及在提供多个不同引导机制的通用引导架构之下建立用于所述 应用的安全性级别。
24. —种实施在计算机可读介质中的计算机程序，其包括被配 置为操作终端设备中的应用实体的程序代码，所述计算机程序被 配置为执行以下从所述应用实体向所述终端设备的凭证建立实体发送对用于 所述终端设备中的应用的凭证的请求；从所述凭证建立实体接收响应，所述响应包括所请求的凭证 和凭证质量信息；以及在提供多个不同引导机制的通用引导架构之下建立用于所述 应用的安全性级别。
25. —种实施在计算机可读介质中的计算机程序，其包括被配置为操作终端设备中的凭证建立实体的程序代码，所述计算机程序被配置为执行以下从所述终端设备的应用实体接收对用于所述终端设备中的应 用的凭证的请求；获取所需的凭证以及与所需的凭证关联的凭证质量信息；向所述应用实体返回响应，其中，所述响应包括所获取的凭 证以及凭证质量信息；以及在提供多个不同引导机制的通用引导架构之下建立用于所述 应用的安全性级别。
26. —种系统，包括用于将对终端设备中的应用的凭证的请求从所述终端设备的 应用实体发送给所述终端设备的凭证建立实体的装置；用于从所述凭证建立实体向所述应用实体返回响应的装置， 其中，所述响应包括所请求的凭证和凭证质量信息；用于在提供多个不同引导机制的通用引导架构之下建立用于 所述终端设备中所述应用的安全性级别的装置。
27. 如权利要求26所述的系统，进一步包括用于在所述应用实体处基于所述凭证质量信息确定所返回的 凭证的安全性级别的装置。
28. 如权利要求27所述的系统，进一步包括 用于在所述应用实体处，使用所返回的凭证对所确定的凭证的安全性级别与所述应用的期望安全性级别进行比较的装置，其中，如果所述比较产生所确定的凭证的安全性级别低于所述应用的期望安全性级别，则所述应用实体被配置为制止执行 为其请求所返回的凭证的应用。
29. 如权利要求26所述的系统，进一步包括用于将所返回的凭证质量信息通知给所述通用引导架构的网 络应用功能实体的装置。
30. 如权利要求26所述的系统，进一步包括 用于当满足预定条件时，从所述应用实体删除所返回的凭证的装置。
31. 如权利要求26所述的系统，其中，所述凭证建立实体是 通用认证架构服务器，并且所述应用实体是通用认证架构客户机。
32. 如权利要求26所述的系统，其中，所述终端设备是基于 开放平台环境的。
33. 如权利要求26所述的系统，其中，所述终端设备是基于 封闭平台环境的。
34. 如权利要求32所述的系统，其中，所述凭证建立实体包 括通用引导架构应用程序接口 。
35. —种i殳备，包括用于将对终端设备的应用的凭证的请求从所述终端设备的应 用实体发送给所述终端设备的凭证建立实体的装置；用于从所述凭证建立实体向所述应用实体返回响应的装置， 其中，所述响应包括所请求的凭证和凭证质量信息；以及用于在提供多个不同引导机制的通用引导架构之下建立用于 所述终端设备中的所述应用的安全性级别的装置。
36. 如权利要求35所述的设备，进一步包括用于在所述应用实体处基于所述凭证质量信息确定所返回的 凭证的安全性级别的装置。
37. 如权利要求36所述的设备，进一步包括 用于在所述应用实体处，使用所返回的凭证对所确定的凭证的安全性级别与所述应用的期望安全性级别进行比较的装置，其中，如果所述比较产生所确定的凭证的安全性级别低于 所述应用的期望安全性级别，则所述应用实体被配置为制止执行为其请求所返回的凭证的应用。
38. 如权利要求35所述的设备，进一步包括用于将所返回的凭证质量信息通知给所述通用引导架构的网 络应用功能实体的装置。
39. 如权利要求35所述的设备，进一步包括 用于当满足预定条件时，从所述应用实体删除所返回的凭证的装置。
40. 如权利要求35所述的设备，其中，所述设备包括终端设备。
全文摘要
在提供在多个不同引导机制的通用引导架构之下用于终端设备中的应用的安全级别建立，所述终端设备包括凭证建立实体和应用实体，包括从所述应用实体到所述凭证建立实体的对用于应用的凭证的请求，以及从所述凭证建立实体到所述应用实体的响应，其中，所述响应包括所请求的凭证和凭证质量信息。
文档编号H04L29/06GK101411161SQ200780010979
公开日2009年4月15日 申请日期2007年3月27日 优先权日2006年3月30日
发明者P·莱蒂宁, S·霍尔特曼 申请人:诺基亚公司