移動(dòng)裝置安全模塊中的客戶端可訪問(wèn)的安全區(qū)域的制作方法
【技術(shù)領(lǐng)域】
[0001]本披露總體上涉及遠(yuǎn)程網(wǎng)絡(luò)計(jì)算服務(wù)器與移動(dòng)裝置之間的安全通信。更具體地但并非排他性地，本披露涉及一種具有多個(gè)未分配的安全域的安全模塊，這些未分配的安全域中的每個(gè)未分配的安全域都可在隨后分配給客戶端。
【背景技術(shù)】
[0002]通常而言，遠(yuǎn)程服務(wù)器主控與在移動(dòng)通信裝置(如智能電話)上執(zhí)行的其他軟件應(yīng)用進(jìn)行交互的軟件應(yīng)用。服務(wù)提供商執(zhí)行與安全模塊發(fā)行者的密鑰交換活動(dòng)。然后，執(zhí)行一個(gè)或多個(gè)密鑰多樣化功能以導(dǎo)出其他秘密密鑰，這些其他秘密密鑰用于對(duì)將在遠(yuǎn)程服務(wù)器與移動(dòng)裝置之間通信的秘密信息進(jìn)行加密。將經(jīng)加密的信息從遠(yuǎn)程服務(wù)器傳送至移動(dòng)網(wǎng)絡(luò)運(yùn)營(yíng)商(MNO)，并且MNO將數(shù)據(jù)傳送至移動(dòng)裝置。在移動(dòng)裝置中，需要訂戶身份模塊(SM)以對(duì)每個(gè)秘密信息包進(jìn)行解碼。替代性地，移動(dòng)裝置使用存儲(chǔ)在SIM中的秘密密鑰數(shù)據(jù)來(lái)加密信息并且將經(jīng)加密的信息傳送至ΜΝ0，該MNO將該經(jīng)加密的信息轉(zhuǎn)發(fā)至遠(yuǎn)程服務(wù)器。
[0003]圖1展示了通過(guò)移動(dòng)網(wǎng)絡(luò)1a對(duì)安全數(shù)據(jù)的常規(guī)的供應(yīng)和基于安全卡的通信。在圖1中，安全通信基礎(chǔ)設(shè)施包括移動(dòng)裝置12，如與安全模塊14 (如，S頂卡)相關(guān)聯(lián)(例如，其內(nèi)嵌入有或放置有安全模塊)的智能電話。移動(dòng)裝置具有與安全模塊14的直接通信關(guān)系16。這些通信可以通過(guò)單線協(xié)議(SWP)總線、I2C總線、串行外圍接口(SPI)總線或某種其他通信路徑和協(xié)議發(fā)生。
[0004]圖1中的移動(dòng)裝置12被展示為智能電話，但是設(shè)想了其他裝置。例如，移動(dòng)裝置12可以被實(shí)施為平板計(jì)算裝置、膝上型計(jì)算機(jī)、多媒體裝置、訓(xùn)練設(shè)備，或者以某種其他形式來(lái)實(shí)施。移動(dòng)裝置12可以是被安排為用于在廣域無(wú)線網(wǎng)絡(luò)(如，遵循3G、4G GSM協(xié)議、長(zhǎng)期演進(jìn)(LTE)協(xié)議、5G協(xié)議或某種其他無(wú)線通信網(wǎng)絡(luò)協(xié)議的蜂窩網(wǎng)絡(luò))上進(jìn)行無(wú)線通信18的任何計(jì)算裝置。通常，廣域無(wú)線網(wǎng)絡(luò)由網(wǎng)絡(luò)服務(wù)提供商20 (也被稱(chēng)為移動(dòng)網(wǎng)絡(luò)運(yùn)營(yíng)商(MNO))所監(jiān)管。
[0005]移動(dòng)裝置12與提供無(wú)線移動(dòng)網(wǎng)絡(luò)服務(wù)的MNO 20進(jìn)行通信。MN020與安全模塊14內(nèi)的數(shù)據(jù)密切對(duì)準(zhǔn)，并且通常MNO 20將初始數(shù)據(jù)供應(yīng)到安全模塊14內(nèi)。通常而言，在移動(dòng)裝置訪問(wèn)由MNO 20所提供的服務(wù)的通信會(huì)話(例如，電話呼叫、電子郵件、文本消息等)中，來(lái)自安全模塊14的信息被傳送至MNO 20。
[0006]安全元件發(fā)行者可信服務(wù)管理者(SE1-TSM) 22向MNO 20和其他實(shí)體提供密碼工具和數(shù)據(jù)24 (如公鑰和私鑰)以及加密/解密算法，這些實(shí)體中的某些實(shí)體與MNO 20相關(guān)聯(lián)。SE1-TSM 22可以是MN020、硅制造商(如意法半導(dǎo)體公司)、制造移動(dòng)裝置的原始設(shè)備制造商(OEM)或某種其他實(shí)體。由SE1-TSM 22執(zhí)行的一種有價(jià)值的功能是建立到安全模塊的安全超文本傳輸協(xié)議(HTTPS)鏈接。
[0007]當(dāng)正在供應(yīng)用于新的服務(wù)提供商的新的關(guān)系集合時(shí)，SE1-TSM22在安全模塊中創(chuàng)建新的服務(wù)提供商安全域(SPSD)。在密鑰活動(dòng)期間所交換的安全密鑰被編程用于安全域內(nèi)并且用于由服務(wù)提供商的可信服務(wù)管理者進(jìn)一步訪問(wèn)。在某些情況下，SE1-TSM 22還可以引渡SPSD，這意味著該SE1-TSM可以刪除或以其他方式放棄其向SPSD讀取或?qū)懭肴魏螖?shù)據(jù)的能力。在安全模塊14的SPSD被引渡之后，SE1-TSM 22將向源自SP-TSM或以其他方式的安全模塊傳送安全(即，經(jīng)加密的或以其他方式模糊化的)包，但是SE1-TSM 22將不會(huì)具有查看或以其他方式解釋正被傳送的數(shù)據(jù)包的任何能力。
[0008]與服務(wù)提供商(SP-TSM) 26相耦接的第二可信服務(wù)管理者通過(guò)可選的互操作性促進(jìn)器28而與SE1-TSM 22分離開(kāi)?；ゲ僮餍源龠M(jìn)器28準(zhǔn)許在可信服務(wù)管理者以及其他計(jì)算裝置之間共享不同的數(shù)據(jù)結(jié)構(gòu)、協(xié)議等。SP-TSM 26通過(guò)相同的或不同的互操作性促進(jìn)器28被耦接至一個(gè)或多個(gè)服務(wù)提供商32。
[0009]SP-TSM 26與SE1-TSM 22交換安全信息?？梢詫?lái)自SP-TSM的多個(gè)密鑰編程到安全模塊14的SPSD中，并且將與該SPSD相關(guān)聯(lián)的其他密鑰傳送至服務(wù)提供商32。寬泛地講，SP-TSM 26用對(duì)應(yīng)于SPSD的那些密鑰來(lái)對(duì)數(shù)據(jù)進(jìn)行加密，并且其對(duì)來(lái)自服務(wù)提供商的數(shù)據(jù)進(jìn)行解釋。SP-TSM 26還將來(lái)自服務(wù)提供商的數(shù)據(jù)格式化成多個(gè)應(yīng)用協(xié)議數(shù)據(jù)單元(APDU)，這些應(yīng)用協(xié)議數(shù)據(jù)單元由安全模塊所識(shí)別并且由在移動(dòng)裝置上執(zhí)行的應(yīng)用展開(kāi)。
[0010]服務(wù)提供商32常規(guī)地包括大型的國(guó)家和國(guó)際銀行服務(wù)提供商(如美國(guó)銀行和花旗銀行)、支付服務(wù)提供商(如VISA和MASTERCARD)、大型零售商(如蘋(píng)果、塔吉特(TARGET)和星巴克)等。
[0011]圖1中所描述的系統(tǒng)是非常復(fù)雜并且非常昂貴的。為了實(shí)現(xiàn)這樣的系統(tǒng)，要求服務(wù)提供商32獲取它們自身的可信服務(wù)管理者或支付對(duì)可信服務(wù)管理者的非常昂貴的、定制的訪問(wèn)。也就是，圖1的SP-TSM 26對(duì)于服務(wù)提供商向它們的客戶提供移動(dòng)支付而言是必需的，并且因此服務(wù)提供商必須設(shè)置它們自身的SP-TSM 26(這是非常昂貴的)，或者服務(wù)提供商必須針對(duì)向SP-TSM 26的特定訪問(wèn)簽約(這同樣是非常昂貴的)。
[0012]SP-TSM 26形成與安全元件發(fā)行者可信服務(wù)管理者(SE1-TSM) 22的安全的通信關(guān)系。寬泛地來(lái)看圖1，SP-TSM 26形成與具體服務(wù)提供商32的安全關(guān)系；并且SE1-TSM 22通過(guò)由MNO 20控制的網(wǎng)絡(luò)形成與安全模塊14的安全關(guān)系。以此方式，服務(wù)提供商32能夠安全地與具體客戶上的安全模塊14交換秘密信息。通信關(guān)系中的安全性是通過(guò)這兩個(gè)可信服務(wù)管理者SP-TSM 26與SE1-TSM 22之間的通信啟用的。相應(yīng)地，一旦安全模塊14由客戶所使用，新的服務(wù)只能通過(guò)SP-TSM 26與SE1-TSM 22之間的連接來(lái)部署。
[0013]更密切地看，在服務(wù)提供商32與安全模塊14之間傳送安全數(shù)據(jù)的過(guò)程變得非常復(fù)雜。服務(wù)提供商與其相關(guān)聯(lián)的SP-TSM 26之間的關(guān)系需要在這些裝置之間維護(hù)并傳送的具體安全機(jī)制，并且在SE1-TSM22與安全模塊14之間的關(guān)系也需要在這些裝置之間維護(hù)并傳送的多個(gè)具體安全密鑰。這些可信服務(wù)管理者基于多個(gè)經(jīng)輪換的密鑰來(lái)傳送經(jīng)加密的數(shù)據(jù)，并且維護(hù)安全的和有效的密鑰的復(fù)雜性通過(guò)密鑰交換活動(dòng)、密鑰多樣化程序和密鑰輪換技術(shù)來(lái)執(zhí)行。使用在每個(gè)裝置以及幾百個(gè)、幾千個(gè)以及甚至幾百萬(wàn)個(gè)裝置上的多個(gè)應(yīng)用，除其他事項(xiàng)外，常規(guī)的過(guò)程要求精準(zhǔn)的定時(shí)、大量的計(jì)算資源、較大的通信帶寬以及大量的功率。這種基礎(chǔ)設(shè)施是必需的，因?yàn)橥ㄓ肏TTPS服務(wù)器(如由服務(wù)提供商32實(shí)現(xiàn)的)無(wú)法安全地與移動(dòng)裝置上的安全模塊14進(jìn)行對(duì)話，即使當(dāng)安全模塊包括承載獨(dú)立協(xié)議(BIP)接口時(shí)。換言之，即使可以在常規(guī)的安全模塊中存儲(chǔ)并執(zhí)行安全服務(wù)，常規(guī)的安全模塊僅被啟用以用于與可信服務(wù)管理者的安全通信。
[0014]目前正在使用常規(guī)的供應(yīng)和基于安全卡的通信系統(tǒng)的兩個(gè)常規(guī)模型。
[0015]圖2A展示了以多服務(wù)提供商可信服務(wù)管理者方式1b進(jìn)行的圖1的常規(guī)的供應(yīng)和基于安全卡的通信。在圖2A中，展示了三個(gè)服務(wù)提供商:銀行服務(wù)提供商32a、政府服務(wù)提供商32b和零售服務(wù)提供商32c，并且這些服務(wù)提供商中的每個(gè)服務(wù)提供商具有專(zhuān)用的SP-TSM26a-26co以這種委托管理方式，所有的SP-TSM通過(guò)中央SE1-TSM 22a通信至與移動(dòng)裝置12a相關(guān)聯(lián)的安全模塊14a，該移動(dòng)裝置在由具體移動(dòng)網(wǎng)絡(luò)運(yùn)營(yíng)商(MNO) 20a操作的無(wú)線網(wǎng)絡(luò)上進(jìn)行通信。這種架構(gòu)的實(shí)現(xiàn)和維護(hù)對(duì)于這些服務(wù)提供商32a-32c中的每一個(gè)服務(wù)提供商而言都是非常昂貴的，因?yàn)檫@些服務(wù)提供商32a-32c中的每一個(gè)服務(wù)提供商都必須設(shè)置被明確地配置為用于通過(guò)通常由MNO或安全卡OEM控制的SE1-TSM 22a進(jìn)行安全通信的SP-TSM 26a-26c0經(jīng)常，這種方式無(wú)法被調(diào)整用于較小的銀行、公共事業(yè)服務(wù)提供商、零售設(shè)施等。
[0016]圖2B展示了以單個(gè)服務(wù)提供商可信服務(wù)管理者方式1c進(jìn)行的圖1的常規(guī)的供應(yīng)和基于安全卡的通信。在單個(gè)SP-TSM方式中，展示了三個(gè)服務(wù)提供商:運(yùn)輸服務(wù)提供商32d、娛樂(lè)服務(wù)提供商32e和商業(yè)服務(wù)提供商32f ;并且它們?nèi)抗蚕韱蝹€(gè)SP-TSM 26d的那些資源以通過(guò)SE1-TSM 22b進(jìn)行通信。這些服務(wù)提供商通過(guò)移動(dòng)裝置12b將由MNO 20b操作的載體上的多個(gè)安全通信傳送至具體的安全模塊14b。以這種方式，服務(wù)提供商32d-32f和SE1-TSM 22b各自針對(duì)SP-TSM 26d所導(dǎo)致的服務(wù)對(duì)SP-TSM 26d進(jìn)行補(bǔ)償。由于當(dāng)前架構(gòu)限制和與SE1-TSM 22b交換密鑰和其他信息的復(fù)雜性，服務(wù)提供商32d-32f并不直接地接近或?qū)⑼ㄐ艂魉椭罶E1-TSM 22bο
[0017]在多服務(wù)提供商可信服務(wù)管理者方式1b中，每個(gè)服務(wù)提供商擁有或者以其他方式控制專(zhuān)用的TSM0當(dāng)前，通常認(rèn)為某些非常大型的服務(wù)提供商優(yōu)選這種方式，因?yàn)榧词蛊浔容^昂貴(例如，使SP-TSM26a-26c在線可能花費(fèi)一百萬(wàn)美元或更多)，該大型服務(wù)提供商可以將其自身與它的無(wú)法承擔(dān)或調(diào)整該投資的小得多的競(jìng)爭(zhēng)者區(qū)分卡來(lái)。例如，即使在美國(guó)有超過(guò)2000家特許銀行，只有極少幾家最大的銀行已經(jīng)建立并控制專(zhuān)用SP-TSM 26a。
[0018]在單個(gè)服務(wù)提供商可信服務(wù)管理者方式1c中，單個(gè)集中式TSM協(xié)商各個(gè)服務(wù)提供商26d_26f與這些安全模塊(SE1-TSM)的發(fā)行者之間的關(guān)系。該協(xié)商促進(jìn)了協(xié)作技術(shù)安排，從而使得服務(wù)提供商的軟件應(yīng)用和安全協(xié)議(例如，密鑰輪換、多樣性等)與安全模塊的相應(yīng)的應(yīng)用和協(xié)議進(jìn)行協(xié)作。在這些情況下，多個(gè)服務(wù)提供商可以全部貢獻(xiàn)或以其他方式投資一個(gè)財(cái)團(tuán)以創(chuàng)建并維護(hù)中央SP-TSM。
[0019]在背景部分中所討論的主題的全部不一定都是現(xiàn)有技術(shù)，并且不應(yīng)該僅僅由于在背景部分中對(duì)其的討論而被假定為現(xiàn)有技術(shù)。據(jù)此，除非明確地闡明為是現(xiàn)有技術(shù)，對(duì)在背景部分中所討論的或與這種主題相關(guān)聯(lián)的現(xiàn)有技術(shù)中的問(wèn)題的任何識(shí)別不應(yīng)被看作現(xiàn)有技術(shù)。相反，對(duì)在背景部分中的任何主題的討論都應(yīng)該被看做發(fā)明人解決具體問(wèn)題的方法的一部分，其本身以及本質(zhì)上也可以是有創(chuàng)造性的。

【發(fā)明內(nèi)容】

[0020]移動(dòng)裝置和遠(yuǎn)程計(jì)算服務(wù)器可以使用通過(guò)由移動(dòng)網(wǎng)絡(luò)運(yùn)營(yíng)商(MNO)監(jiān)管的多個(gè)計(jì)算服務(wù)器減少或消除通信的技術(shù)來(lái)交換安全數(shù)據(jù)。例如，一個(gè)實(shí)施例涉及一種在移動(dòng)裝置與服務(wù)提供商之間進(jìn)行通信的方法。該方法包括在安全模塊中定義至少一個(gè)安全存儲(chǔ)器區(qū)域的操作，并且將應(yīng)用簽名存儲(chǔ)于該至少一個(gè)安全區(qū)域內(nèi)。規(guī)則集用于定義對(duì)該至少一個(gè)安全區(qū)域內(nèi)的某些屬性的訪問(wèn)，其中，這些屬性可以包括安全存儲(chǔ)器存儲(chǔ)、多種處理功能等。因此，遠(yuǎn)程服務(wù)提供商的計(jì)算服務(wù)器被通信地耦接至移動(dòng)裝置上。該計(jì)算服務(wù)器發(fā)送請(qǐng)求以在移動(dòng)裝置與遠(yuǎn)程服務(wù)提供商計(jì)算服務(wù)器之間傳送數(shù)據(jù)。從該至少一個(gè)安全區(qū)域中檢索出該應(yīng)用簽名，并將其與從計(jì)算服務(wù)器中所檢索出的應(yīng)用簽名進(jìn)行驗(yàn)證。一旦經(jīng)過(guò)驗(yàn)證，安全數(shù)據(jù)將在遠(yuǎn)程服務(wù)提供商計(jì)算服務(wù)器與移動(dòng)裝置之間通信。移動(dòng)裝置上的安全模塊是唯一可以對(duì)這些通信進(jìn)行加密和解密的裝置。該安全模塊通過(guò)經(jīng)驗(yàn)證的應(yīng)用簽名通過(guò)移動(dòng)裝置上的用于創(chuàng)建經(jīng)驗(yàn)證的應(yīng)用簽名的安全應(yīng)用來(lái)僅對(duì)安全數(shù)據(jù)進(jìn)行通信。
[0021]在某些實(shí)施例中，一種安全模塊具有所分配的唯一的電子標(biāo)識(shí)符。該安全模塊具有通信接口、非易失性存儲(chǔ)器以及被耦接至該通信接口和該非易失性存儲(chǔ)器的處理單元。在該非易失性存儲(chǔ)器中形成一個(gè)或多個(gè)未分配的安全域，并且這些未分配的安全域中的每個(gè)未分配的安全域都具有所分配的唯一的應(yīng)用標(biāo)識(shí)符(AID)。這些未分配的安全域中的每個(gè)未分配的安全域都可通過(guò)對(duì)應(yīng)的第一安全值來(lái)訪問(wèn)，并且，使用該對(duì)應(yīng)的第一安全值，在部署該安全模塊之前或之后，這些未分配的安全域中的每個(gè)未分配的安全域都可以被分配給服務(wù)提供商。
[0022]在第一實(shí)施例中，一種安全模塊具有為其所分配的唯一的電子標(biāo)識(shí)符(EID)。該安全模塊可以包括:通信接口 ；非易失性存儲(chǔ)器，該非易失性存儲(chǔ)器具有在其內(nèi)所配置的多個(gè)未分配的安全域，這些未分配的安全域中的每個(gè)未分配的安全域都具有為其所分配的唯一的應(yīng)用標(biāo)識(shí)符(AID)，這些未分配的安全域中的每個(gè)未分配的安全域都可通過(guò)對(duì)應(yīng)的第一安全值來(lái)訪問(wèn)；以及被耦接至該通信接口和該非易失性存儲(chǔ)器的處理單元。在安全模塊的這些和其他實(shí)施例中，這些未分配的安全域中的每個(gè)未分配的安全域的每個(gè)對(duì)應(yīng)的第一安全值都不同于每個(gè)其他第一安全值，并且在某些情況下，每個(gè)第一安全值都與該對(duì)應(yīng)的未分配的安全域的AID相關(guān)聯(lián)。
[0023]在某些情況下，該非易失性存儲(chǔ)器被進(jìn)一步配置為包括功能邏輯以便為這些未分配的安全域中的每個(gè)未分配的安全域供應(yīng)至少一個(gè)第二安全值。在某些情況下，發(fā)行者控制的安全域被準(zhǔn)許向該多個(gè)未分配的安全域中的第一安全域讀寫(xiě)數(shù)據(jù)，并且在該第一安全域被分配給服務(wù)提供商之后，該發(fā)行者控制的安全域被限制對(duì)該第一安全域的至少某部分讀寫(xiě)數(shù)據(jù)。每個(gè)第一安全值都是與公鑰基礎(chǔ)設(shè)施(PKI)相關(guān)聯(lián)的安全值。在安全模塊被部署之后，可將該多個(gè)未分配的安全域中的至少一個(gè)未分配的安全域分配給服務(wù)提供商。在某些情況下，安全模塊的通信接口遵循近場(chǎng)通信(NFC)協(xié)議。在某些情況下，安全模塊是通用集成電路卡(UICC)，并且在其他情況下，安全模塊是訂戶身份模塊(SM)。
[0024]在第二實(shí)施例中，一種系統(tǒng)包括多個(gè)安全模塊，并且該多個(gè)安全模塊中的每個(gè)安全模塊都包括通信接口、非易失性存儲(chǔ)器以及被耦接至該通信接口和該非易失性存儲(chǔ)器的處理單元。該系統(tǒng)還包括至少一個(gè)計(jì)算服務(wù)器以及與該至少一個(gè)計(jì)算服務(wù)器相關(guān)聯(lián)的至少一個(gè)數(shù)據(jù)庫(kù)。
[0025]關(guān)于該多個(gè)安全模塊，每個(gè)安全模塊都具有在其內(nèi)所配置的與該對(duì)應(yīng)的安全模塊相關(guān)聯(lián)的唯一的電子標(biāo)識(shí)符(EID)以及多個(gè)未分配的安全域。這些未分配的安全域中的每個(gè)未分配的安全域都具有為其所分配的唯一的應(yīng)用標(biāo)識(shí)符(AID)。這些未分配的安全域中的每個(gè)未分配的安全域都可通過(guò)對(duì)應(yīng)的第一安全值來(lái)訪問(wèn)。每個(gè)安全模塊還具有在其內(nèi)所配置的發(fā)行者控制的安全域以及功能邏輯以便為這些未分配的安全域中的每個(gè)未分配的安全域供應(yīng)至少一個(gè)第二安全值。
[0026]該系統(tǒng)中的一個(gè)或多個(gè)數(shù)據(jù)庫(kù)被安排為用于存儲(chǔ)該多個(gè)第一安全值，并且該至少一個(gè)計(jì)算服務(wù)器被安排為用于將該多個(gè)安全模塊中的所選定的安全模塊的該多個(gè)未分配的安全域中的所選定的安全域分配給服務(wù)提供商。該分配是通過(guò)將該多個(gè)第一安全值中的所選定的第一安全值傳送至該服務(wù)提供商來(lái)進(jìn)行的。該所選定的第一安全值對(duì)應(yīng)于該所選定的安全模塊的該所選定的安全域的該對(duì)應(yīng)的第一安全值。
[0027]在某些情況下，服務(wù)提供商被配置為用于生成第二安全值，該第二安全值存儲(chǔ)于該所選定的安全模塊中。在某些情況下，在移動(dòng)裝置上執(zhí)行的安全應(yīng)用被配置為用于通過(guò)將數(shù)據(jù)與所生成的第二安全值相關(guān)聯(lián)來(lái)向該所選定的安全模塊的該所選定的安全域的存儲(chǔ)器讀取數(shù)據(jù)或?qū)懭霐?shù)據(jù)。
[0028]在該系統(tǒng)中，該所選定的安全模塊與移動(dòng)裝置相關(guān)聯(lián)，并且該服務(wù)提供商可以是遠(yuǎn)程計(jì)算服務(wù)器。當(dāng)出現(xiàn)這種情況時(shí)，遠(yuǎn)程計(jì)算服務(wù)器與移動(dòng)裝置之間的通信可以遵循安全超文本傳輸協(xié)議(HTTPS)。