专利名称:用于多应用环境的参与方自治管理的管理权分配方法
技术领域:
本发明涉及的技术可以独立使用也可与传统的多应用环境管理权分配技术(如 DM、 AM特权方式)联合使用,联合使用将使多应用环境主控方和参与方实现不同层次的控 制和自主。 本发明中,为减少非重要因素导致的复杂性,假定主控方仅指定一个控制域具有 (自治)令牌验证和收据生成特权。令牌指明操作的类型、操作的对象(如应用、加载文件 等)、操作过程中的参数和签发者等;对每个对象的每种操作或操作组合均要发放令牌;令 牌由主控方签发,但是本专利中自治令牌由自治方自行签发;在本专利中,令牌和自治令牌 的验证使用相同的机制,并将两种令牌的验证职能赋予同一个控制域。收据由具有收据生 成特权的控制域在进行了涉及令牌或自治令牌的操作后可生成,并返回给多应用环境外实 体,以反映多应用环境进行了本次代理操作,这使后台系统可以跟踪多应用环境内容变更 情况;本发明中,进行了涉及令牌和自治令牌的代理操作使用相同的机制,并将两种令牌操 作的收据生成职能赋予同 一个控制域。 SM和Auto匿特权控制域的建立大致流程相同,包括首先,在多应用环境中建立 控制域并指定其级联的上级(顶级控制域级联到自身);然后按照一定规则给控制域赋予 SM或AutoDM特权;最后,对于SM特权控制域,将实体认证相关密钥及其他密钥置入控制域 指定字段;对于Auto匿特权控制域不需要置入密钥。 31特权控制域、特殊的51特权控制域-自治方控制域、自治代理特权控制域,分别 示意如
图1 :SM特权控制域内存有实体认证相关密钥;特殊的SM特权控制域-自治方控制 域内除存有实体认证相关密钥外,还存有自治令牌签发公钥;AutoDM特权控制域内不存有 密钥。 各种特权控制域的级联关系要遵循一定规则的限制,详细规定将在下文中介绍。
当某个SM特权控制域认证某参与方是其所有者时才允许此参与方进行这个控制 域内容的变更。下面结合图2说明若发起内容变更的是控制域的所有者时,使用实体认证 方式进行认证的具体过程。 首先参与方通过交互设备请求与多应用环境(如多应用IC卡)建立会话(图中标 记201);多应用环境响应请求返回应答建立会话,返回的应答中可能包含多应用环境识别号、随机数和认证数,根据采用的加密算法的不同返回应答包含内容有所不同(标记202); 然后交互设备准备加密信息(标记203);交互设备将准备好的加密信息传递给目标控制 域(标记204);目标控制域验证此加密信息是否与本控制域存储的实体认证相关密钥匹配 (标记205);若匹配,则认定该参与方为自己的所有者,建立控制域与终端的会话,允许参
与方进行任何支持的控制域内容的变更,否则返回错误(标记206)。 用于进行实体认证的密钥算法可以是对称算法,如3DES算法,也可以是非对称算 法,如RSA算法。对称算法和非对称算法具有不同的特点。非对称算法具有认证性、不可抵 赖性、公钥可以公开等优良特性。 上文所述的由参与方通过交互设备传递给目标控制域的加密信息利用参与方的 实体认证相关密钥生成,其中涉及对称算法和非对称算法。 使用对称算法生成加密信息的特点是参与方利用多应用环境会话请求应答中返 回的多应用环境识别号(例如多应用IC卡卡号)和随机数分散实体认证对称主密钥,得到 实体认证工作密钥,使用此工作密钥加密认证数得到加密信息;实体认证对称主密钥经过 多应用环境识别号分散的子密钥应存储在多应用环境中的SM特权控制域,以便其能验证 此加密信息。 使用非对称算法生成加密信息的特点是加密信息是使用参与方的实体认证私钥 对认证数加密生成加密信息;SM控制域持有实体认证公钥,以便验证接收到的实体认证私 钥生成的加密信息。 SM特权控制域可以单独作为顶级控制域存在多应用环境中,实现自我管理,也可 以通过简单的级联形成分层级的自我管理模式。 图3示出了基本的SM特权控制域级联的自我管理模式,其中所有控制域均为SM 权限,每个控制域均可通过实体认证进行自我管理。 图3中控制域301是顶级控制域,它级联到自身。顶级控制域301在主控方的许 可下建立,并在主控方监督下加装实体认证相关密钥。控制域301的所有者301通过实体 认证后可以自由的变更控制域301中的内容,但是对于辖下控制域302和控制域303的内 容除了有删除权利外不得干涉。在所有者301的许可下,控制域302和控制域303建立并 加装密钥,其所有者302和303也能在通过实体认证后自由变更自有控制域内容。能够自 由管理自有内容而不会受到其他方干涉,这是SM特权的特点。 对于具有Auto匿特权的控制域,必须持有其直接上级自治方签发的自治令牌(称 为上级自治令牌)才能进行此Autd)M控制域内容变更,但上级自治方有无条件删除控制域 内容的权力。 多应用环境中可以有多个自治方控制域,自治方控制域是为了配合Auto匿特权 控制域的使用而存在的。为了简化各种类型特权控制域组合的复杂性,规定只有带有SM特 权的控制域才可能作为自治方控制域。此上级自治令牌只能由Auto匿特权控制域的最直 接上级自治方控制域的所有者签发,称为此Auto匿特权控制域的上级自治方,这里的"上 级"是一个相对的概念,是针对此Auto匿特权安全域而言。 为了使自治令牌具有认证性和不可抵赖性,自治令牌的签发和验证必须使用非对 称算法,例如RSA算法等。Auto匿特权控制域的上级自治方持有自治令牌签发私钥,自治令 牌签发公钥保存在其上级自治方对应控制域的自治令牌签发公钥字段中。
某自治方控制域的自治令牌签发公钥对其辖下的Auto匿控制域有效,对其辖下 SM特权控制域及此SM特权控制域辖下AutoDM特权控制域无用。 自治方控制域与普通SM特权控制域不同之处在于在主控方的许可下拥有其自治 令牌签发公钥。本发明没有为自治方控制域独立定义一个新的特权,但是通过检查SM特权 控制域的自治令牌签发公钥字段(例如是否为Null)能确定其是否为自治方控制域,自治 令牌签发公钥由自治方在主控方的许可和监督下加装。 自治方控制域同普通的SM特权控制域一样,可以独立使用也可级联使用,此时使 用的方式也同于SM特权控制域;但一般情况自治方控制域是与Auto匿特权控制域配合使用。 Auto匿特权控制域的运作需要其上级自治方的自治令牌签发公钥来配合。当参与 方将要进行作业(即控制域内容变更)的控制域带有Auto匿特权时,参与方应首先向其上 级自治方申请作业对应的自治令牌。例如参与方希望把一个加载文件(如应用代码)加载 到多应用环境内某个带Auto匿权限的控制域,则参与方首先向其上级自治方申请此操作 的自治令牌;此自治令牌使用如下内容用其上级自治方自治令牌签发私钥签发操作类型 为加载、参考控制参数、加载文件在多应用环境内的设定名称、要加载的目的控制域、加载 文件数据块Hash(用于验证加载文件的完整性)、加载参数等。实际上可以看作为其上级自 治方用自治令牌签发私钥对一条具体加载命令进行了签发。 参与方得到此自治令牌后,才能对指定Auto匿特权控制域进行内容变更。
下面结合图4说明对于Auto匿特权控制域使用令牌进行控制域内容变更的具体 过程。首先通过交互设备请求建立与多应用环境的会话(标记401);多应用环境响应请 求返回应答(标记402);交互设备准备加载命令并将自治令牌嵌入操作命令的指定数据域 (标记403);然后将内含此自治令牌的加载命令发送到环境(标记404);多应用环境解开 收到的加载命令发现命令中带有自治令牌,于是传递给带(自治)令牌验证特权的控制域 进行验证(标记405);带(自治)令牌验证特权控制域使用上级自治方对应的自治令牌签 发公钥验证此自治令牌的合法性,如果此自治令牌验证成功且此自治令牌内容与本加载命 令的内容相符,则继续进行加载命令的处理(标记406);处理完成后返回应答给交互设备 (标记407)。 在使用(自治)令牌进行自治代理管理操作后,可以选择让多应用环境生成针对 此次操作的收据,说明本多应用环境进行了本次(自治)代理管理操作。多应用环境中带 有收据生成特权的控制域生成收据,传递给与自己交互的设备,交互设备将此收据传递给 其后台系统,后台系统再转发给发生(自治)代理管理操作的Auto匿特权安全域的上级自 治方的管理系统,实现对多应用环境自治方控制域内容状态的跟踪。收据的生成可以使用 对称加密算法或非对称加密算法。 AutoDM特权控制域不能独立使用,它的上层必须有一个自治方控制域能够为它验 证自治令牌。 Auto匿特权控制域的最直接关联的自治方控制域为其上级自治方控制域;其直 接上级控制域可能不是其上级自治方控制域;对Auto匿特权控制域内容的变更要先获得 其上级自治方控制域所有者签发的自治令牌。 图5示出了基本的Auto匿特权控制域与自治方控制域级联的自治代理管理模式。在图5中,顶级控制域501为自治方控制域,它级联到自身,顶级控制域501在主控方的许 可下建立,并在主控方的监督下加装实体认证相关密钥和自治令牌签发公钥;控制域501 的所有者501在通过实体认证后可以自由变更控制域501的内容,但是对于辖下控制域502 和控制域503的内容除了有删除权利外不得干涉。在所有者501的许可下,Auto匿特权控 制域502和控制域503建立,要变更控制域502和控制域503的内容必须持有所有者501 签发的自治令牌。必须持有上级自治方签发的自治令牌才能变更Auto匿特权安全域内容, 这是Auto匿特权的特点。 为了明晰控制域之间的级联关系,控制域之间的级联要遵守一个原则下级控制 域的管理权分配策略不能与上级控制域的管理权分配策略冲突,因此规定SM特权控制域 可建立下级SM特权控制域、下级自治方控制域;自治方控制域可建立下级自治方控制域、 下级SM特权控制域、下级Auto匿特权控制域;Auto匿特权控制域只可建立下级Auto匿特 权控制域。这些规定使各种控制域级联时关系清晰明确,使下级控制域在上级控制域的管 理权分配策略内制定自己的策略。 SM与Auto匿特权控制域级联组成典型的混合自治管理模式如图6所示,在图6 中,控制域A是顶级控制域,它级联到自身。601 、602控制域是两个自治方控制域,它们存储 各自的自治令牌签发公钥;603控制域的上级自治方是601 ;604控制域不作为自治方控制 域,只是普通的SM特权控制域;605控制域的上级自治方是602 ;606、607控制域的上级自 治方是601,因为它们最直接的上级SM控制域是601控制域。
通常,基本的自我管理模式和自治代理管理模式更常用。 综合本发明涉及的四种特权DM、AM、SM、Auto匿,可以实现多应用环境中灵活复杂 的管理权分配,四种权限按照匿_ > AM- > SM- > Auto匿的顺序主控方的干预越来越少, 参与方的自主权越来越多。这四种特权的控制域可以同时并存于一个多应用环境中,主控 方针对不同的参与方可采用不同的管理权分配方式,从而适应各种不同的管理策略和商业 合作关系。 带有DM、 AM特权的控制域,主控方可以通过令牌来干预控制域的内容,对于SM、 Auto匿特权控制域主控方则无法干涉;Auto匿特权控制域允许其上级自治方自行发放自 治令牌,达到对Auto匿特权控制域内容的干预;通过SM、Auto匿特权的使用,能使自治方拥 有很大的自主权,能对辖内控制域进行自治。 采用SM、 Auto匿管理权分配模式能提供给参与方更多的自主权,减少主控方的干 涉,减少参与方与主控方的技术操作和管理操作成本,构建能适应复杂商业合作关系的技 术基础,提高参与方业务合作的积极性。例如能促进多应用ic卡、多应用智能终端和多应 用金融终端快速发展,迅速吸引参与方,为客户提供更多更便利的应用和服务。
1权利要求
一种参与方管理环境的管理权分配方法,其特征在于,所述方法包括在环境中建立控制域并指定其级联的上级;给所述控制域赋予自我管理特权;以及将密钥置入所述控制域指定字段,其中,所述自我管理特权使得所述参与方与所述环境之间的认证包括如下步骤所述参与方通过交互设备请求与所述环境建立会话;所述环境响应请求返回应答建立会话;所述交互设备准备加密信息并将准备好的加密信息传递给目标控制域;以及目标控制域验证所述加密信息是否与本控制域存储的实体认证相关密钥匹配,若匹配,则认定所述参与方为自己的所有者,建立所述控制域与终端的会话,允许所述参与方进行任何支持的控制域内容的变更,否则返回错误。
2. 如权利要求l的管理权分配方法,其中,对于顶级控制域,其级联的上级为自身。
3. 如权利要求l的管理权分配方法,其中,所述密钥包括实体认证相关密钥。
4. 如权利要求3的管理权分配方法,其中,所述密钥包括自治令牌签发公钥。
5. 如权利要求1的管理权分配方法,其中,所述环境是多应用I C卡或者多应用智能终 端或者多应用金融终端。
6. 如权利要求1的管理权分配方法,其中,所述应答中包括多应用环境识别号、随机数 和认证数。
7. 如权利要求1的管理权分配方法,其中,所述加密信息由对称加密算法或非对称加 密算法生成。
8. —种参与方管理环境的管理权分配方法,其特征在于,所述方法包括 在环境中建立控制域并指定其级联的上级;以及 给所述控制域赋予自治代理管理特权,其中,所述自治代理管理特权使得所述参与方与所述环境之间的认证包括如下步骤 所述参与方通过交互设备请求建立与所述环境的会话; 所述环境响应请求返回应答;所述交互设备准备加载命令并将自治令牌嵌入操作命令的指定数据域然后将所述加 载命令发送到所述环境;所述环境解开收到的加载命令,将所述自治令牌传递给带自治令牌验证特权的控制域 进行验证;带自治令牌验证特权控制域使用上级自治方对应的自治令牌签发公钥验证所述自治 令牌的合法性,如果验证成功且此自治令牌内容与所述加载命令的内容相符,则继续进行 加载命令的处理,完成后返回应答给所述交互设备。
9. 如权利要求8的管理权分配方法,其中,对于顶级控制域,其级联的上级为自身。
10. 如权利要求8的管理权分配方法,其中,所述环境是多应用IC卡或者多应用智能终 端或者多应用金融终端。
11. 如权利要求8的管理权分配方法,其中,所述自治令牌由上级自治方签发。
12. 如权利要求8的管理权分配方法,其中,包括由所述环境生成收据的步骤。
13. 如权利要求12的管理权分配方法,其中,所述收据通过对称加密加密算法或非对称加密加密生成。
14. 一种多应用环境的控制域系统,由多个具有自我管理特权的控制域构成多级结构,射所述多级中的一级是顶级,包括一个顶级自我管理特权控制域,级联到自身,所述顶级 控制域在主控方的许可下建立,并在主控方监督下加装实体认证相关密钥,所述顶级控制 域的内容可以由其所有者在通过实体认证后变更,所述多级包括第二级,具有受顶级控制域直接管辖的多个第二级控制域,所述第二级 控制域的内容可以被顶级控制域的所有者删除,但不能被其变更,所述第二级控制域在顶 级控制域的所有者的许可下建立并加装密钥,第二级控制域的所有者在通过实体认证后可 以自由变更相应的第二级控制域的内容。
15. 如权利要求14所述的多应用环境的控制域系统,其中所述多级中的其它级包括受 其上级控制域直接管辖的多个下级控制域,所述下级控制域的内容可以被上级控制域的所 有者删除,但不能被其变更,所述下级控制域在上级控制域的所有者的许可下建立并加装 密钥,下级控制域的所有者在通过实体认证后可以自由变更相应的下级控制域的内容。
16. —种多应用环境的控制域系统,由一个自治方控制域和多个具有自治代理管理特 权的控制域构成多级结构,其中所述多级中的一级是顶级,包括一个顶级自治方控制域,其级联到自身,在主控方的许 可下建立,并在主控方的监督下加装实体认证相关密钥和自治令牌签发公钥,所述顶级自 治方控制域的内容可以由它的所有者在通过实体认证后自由变更,所述多级包括第二级,具有多个具有自治代理管理特权的控制域,受所述顶级自治方 控制域管辖,具有自治代理管理特权的控制域内容可以被顶级自治方控制域的所有者删 除,但是不可以被其变更,所述具有自治代理管理特权的控制域在顶级自治方控制域的所 有者的许可下建立,持有顶级自治方控制域所有者签发的自治令牌才可以变更其内容。
17. 如权利要求16所述的多应用环境的控制域系统,其中所述多级中的其它级包括受 其上级控制域直接管辖的多个下级控制域,所述下级控制域的内容可以被其上级控制域的 所有者删除,但是不可以被其变更,所述下级控制域在上级控制域的所有者的许可下建立, 持有顶级自治方控制域所有者签发的自治令牌才可以变更其内容。
18. —种多应用环境的控制域系统,由多个自治方控制域、多个具有自我管理特权的控 制域和多个具有自治代理管理特权的控制域构成多级结构,其中所述多级中的一级是顶级,包括顶级自治方控制域,它是特殊的自我管理特权控制域, 级联到自身;所述多级包括第二级,具有第二级控制域,包括作为特殊的自我管理特权控制域的自 治方控制域、自我管理特权控制域和自治代理管理特权控制域,它们受所述顶级自治方控 制域管辖;所述多级中的其它级包括自治方控制域、自我管理特权控制域和自治代理管理特权控 制域,受其直接上级控制域管辖。其中对于各控制域,控制域所有者在通过实体认证后可以自由变更相应的自我管理特 权控制域的内容,或者持有此控制域的上级自治方控制域所有者签发的自治令牌可以变更 此具有自治代理管理特权的控制域的内容。
19.如权利要求16到权利要求18中任何一项的管理权分配方法,其中,具有自治代理 管理特权的控制域的最直接关联的自治方控制域为其上级自治方控制域,对具有自治代理 管理特权的控制域内容的变更要先获得其上级自治方控制域所有者签发的自治令牌。
全文摘要
本发明公开了一种用于多应用环境(例如多应用IC卡、多应用智能终端和多应用金融终端)中的参与方自治管理的管理权分配方法,包括在环境中建立控制域并指定其级联的上级;给所述控制域赋予自我管理特权或自治代理管理特权;以及将密钥置入所述控制域指定字段的步骤。采用本发明的管理权分配方法能提供给参与方更多的自主权,减少主控方的干涉,减少参与方与主控方的技术操作和管理操作成本,构建能适应复杂商业合作关系的技术基础,提高参与方业务合作的积极性。
文档编号H04L9/32GK101729255SQ200810201299
公开日2010年6月9日 申请日期2008年10月16日 优先权日2008年10月16日
发明者冯俊, 刘风军, 和浩, 回春野, 张卫东, 徐晋耀, 王红钊, 郭锐 申请人:中国银联股份有限公司