[0029]在第三實施例中����,一種方法供應具有存儲器的安全模塊��。該安全模塊的該存儲器具有在其內(nèi)所配置的多個未分配的安全域���,并且這些未分配的安全域中的每個未分配的安全域都可通過對應的第一安全值來訪問���。該方法可以包括以下操作:在與該安全模塊相關(guān)聯(lián)的移動裝置上執(zhí)行安全應用���;在該移動裝置與服務提供商計算服務器之間建立安全通信連接;以及從該服務提供商計算服務器接收以第一安全值加密的數(shù)據(jù)以及該多個未分配的安全域中的所選定的安全域的標識符��,其中�����,以該第一安全值加密的該數(shù)據(jù)包括第二安全值和安全域應用���。該方法還可以包括以下操作:將以該第一安全值加密的該數(shù)據(jù)以及該所選定的安全域的該標識符傳遞至該安全模塊����,并且該第一安全值對應于存儲在該所選定的安全域中的安全值���。該方法可以進一步包括以下操作:從該服務提供商計算服務器接收以該第二安全值加密的數(shù)據(jù)�;以及將以該第二安全值加密的該數(shù)據(jù)和該安全域應用傳遞至該所選定的安全域��。
[0030]在某些情況下,該方法還包括以下操作:以該安全域應用來對經(jīng)加密的數(shù)據(jù)進行解密�。
[0031]在某些情況下,在執(zhí)行該方法時����,該第一安全值基于被分配給該所選定的安全域的應用標識符(AID)以及被分配給該安全模塊的電子標識符(EID)。在某些情況下�����,在執(zhí)行該方法時�����,該服務提供商計算服務器與該移動裝置之間的通信遵循安全超文本傳輸協(xié)議(HTTPS)�����。該安全應用在某些情況下是移動支付安全應用�。
【附圖說明】
[0032]參照以下附圖描述了非限制性且非窮盡的實施例���,其中�,除非另外指定���,貫穿不同視圖�����,類似的標號指代類似的部分���。附圖中元件的尺寸和相對位置不一定是按比例繪制的��。例如����,對不同元件的形狀進行選擇�、放大以及定位,以提高附圖可識別性��。為了易于在附圖中進行識別����,選擇了如所描繪的這些元件的具體形狀。下文參照附圖對一個或多個實施例進行描述��,在附圖中:
[0033]圖1展示了通過移動網(wǎng)絡對安全數(shù)據(jù)的常規(guī)的供應和基于安全卡的通信���;
[0034]圖2A展示了以多服務提供商可信服務管理者方式進行的圖1的常規(guī)的供應和基于安全卡的通信��;
[0035]圖2B展示了以單個服務提供商可信服務管理者方式進行的圖1的常規(guī)的供應和基于安全卡的通信����;
[0036]圖3是常規(guī)的供應的安全模塊實施例;
[0037]圖4是改進的安全模塊實施例��;
[0038]圖5展示了通過如圖1中所表示的移動網(wǎng)絡對安全數(shù)據(jù)的常規(guī)的供應和基于安全卡的通信連同本文所描述的新的安全基礎設施的實施例的組合��;
[0039]圖6展示了移動裝置與服務提供商之間的安全通信路徑實施例���;
[0040]圖7展示了與移動裝置安全模塊內(nèi)的客戶端可訪問的安全區(qū)域相關(guān)聯(lián)的通信的另一個實施例����;
[0041]圖8是編程數(shù)據(jù)流程圖�,展示了在已經(jīng)部署在現(xiàn)場的安全模塊中創(chuàng)建新的安全域�;
[0042]圖9A是第一流程圖部分,展示了對服務提供商安全域的監(jiān)管和使用���;以及
[0043]圖9B是第二流程圖部分��,展示了對服務提供商安全域的監(jiān)管和使用��。
【具體實施方式】
[0044]在移動裝置與遠程服務器之間傳送秘密數(shù)據(jù)的常規(guī)系統(tǒng)比較復雜����。這些通信需要密鑰交換過程,該密鑰交換過程不斷地要求來自多個服務提供商所監(jiān)管的多個計算裝置���、多個可信服務管理者等的協(xié)作����。隨著智能電話能力持續(xù)增長�,密鑰以及這些裝置、多個移動網(wǎng)絡運營商以及其他遠程計算裝置之間的密鑰事務的數(shù)量也將需要增長�����。當今���,密鑰過程對于主控多個應用的智能電話而言是必需的�,并且預期監(jiān)管者的應用的數(shù)量增長至幾十并且甚至幾百個應用���。
[0045]諸位發(fā)明人認識到移動支付系統(tǒng)的復雜性以及未來的增長�,并且諸位發(fā)明人打算簡化常規(guī)的系統(tǒng)��。首先�,諸位發(fā)明人從安全模塊的那些能力以及對其的期望詳細地研究了常規(guī)的系統(tǒng)���。
[0046]圖3是更加詳細的常規(guī)的供應的安全模塊14實施例。安全模塊14是由至少具有某種基礎邏輯的原始設備制造商(OEM)形成的����,該基礎邏輯將包括處理單元34、存儲器(未被單獨調(diào)出)以及可由處理單元34執(zhí)行的一個或多個某種軟件指令集��。例如�����,在圖3的安全模塊14中���,OEM形成具有安全模塊操作系統(tǒng)36的安全模塊14��。安全模塊操作系統(tǒng)36的邏輯包括電信框架38以及平臺服務管理器40的操作軟件和電路���,該平臺服務管理器自身包括策略規(guī)則執(zhí)行器42����。與安全模塊操作系統(tǒng)相關(guān)聯(lián)的電路可以包括:安全模塊14的從存儲器中讀寫的各種接口、用于與在安全模塊14外部的多個計算裝置進行有線和無線通信的收發(fā)器��、多個電源部件等。
[0047]電信框架38是安全模塊操作系統(tǒng)36的服務�,該服務包括多種網(wǎng)絡認證算法和其他網(wǎng)絡基礎設施以促進將多個移動網(wǎng)絡特定的特征向安全模塊14上進行的加載和操作。平臺服務管理器40是安全模塊操作系統(tǒng)36的服務�����,該服務確保對安全模塊14的那些基本安全操作�。例如,平臺服務管理器40可以包括多個防黑客特征�����、多個裝置刷機檢測特征���、多個安全卡篡改檢測特征等���。平臺服務管理器40還可以確保用于多個數(shù)據(jù)包的基本格式化以及到安全模塊14內(nèi)的和來自安全模塊的通信。
[0048]安全模塊14還包括通信接口 44����。通信接口 44可以包括近場通信(NFC)電路和軟件、藍牙電路和軟件���、W1-Fi(例如����,IEEE 802.11)電路和軟件或遵循不同的協(xié)議的無線通信邏輯。另外或替代性地����,安全模塊14的通信接口 44可以包括如例如在ETSI TS 102221技術(shù)規(guī)范中所定義的稱為智能卡的標準化有線接口 ;UICC終端接口 ��;物理和邏輯特性或通過引用結(jié)合于此的某種其他標準化接口��。
[0049]在安全模塊14的存儲器中�,OEM或安全模塊14的發(fā)行者將實現(xiàn)安全模塊證書授權(quán)安全域46。一旦實現(xiàn)����,通過平臺服務管理器40來監(jiān)測并維護安全模塊證書授權(quán)安全域46的完整性。在不破壞安全模塊14的完整性的情況下無法改變或刪除安全模塊證書授權(quán)安全域46�����。以此方式�,安全模塊14可以包括某些一次性可編程特征、融合特征等以便促進對平臺服務管理器40的操作���。促進完整性的另一種方式是通過不可修改的私有安全密鑰���、來自相關(guān)聯(lián)的證書授權(quán)的證書、根公鑰以及其他密鑰集來促進密鑰/證書更新���。安全模塊證書授權(quán)安全域46促進了向和從安全模塊14傳送安全信息(包括多個密鑰交換和輪換特征)�。安全模塊證書授權(quán)安全域46還促進了對傳送至或接收自外部證書授權(quán)的證書的加載�、卸載和授權(quán)。
[0050]同樣�����,在安全模塊14的存儲器中���,OEM或安全模塊14的發(fā)行者將實現(xiàn)發(fā)行者安全域根48�����。該發(fā)行者安全域根包括與安全模塊證書授權(quán)安全域46的特殊特征類似的特殊特征����。具體地�,發(fā)行者安全域根48受到監(jiān)測,從而使得未經(jīng)授權(quán)的更改或刪除將破壞安全模塊14的完整性。發(fā)行者安全域根48促進了針對安全模塊14的發(fā)行者傳送安全信息(包括多個密鑰交換和輪換特征)�����。
[0051]在圖3中���,兩個簡檔被展示為存儲于安全模塊14的存儲器中�。第一 MNO簡檔50被啟用��,并且第二 MNO簡檔52被禁用���。這些MNO簡檔由在個性化設施處的安全模塊制造商創(chuàng)建或在安全模塊14已經(jīng)離開制造商之后由另一個實體創(chuàng)建�。當在現(xiàn)場供應安全模塊14時��,創(chuàng)建這些MNO簡檔�����。通常而言�,供應安全模塊14包括如合作式安排所指示的那樣通過安全模塊操作系統(tǒng)36和平臺服務管理器40在安全卡內(nèi)分配存儲器,該合作式安排除了多個可選的證書授權(quán)��、多個可選的互操作性促進器以及其他實體之外還涉及安全模塊14的發(fā)行者���、移動網(wǎng)絡運營商以及一個或多個可信服務管理者��。如所展示的�����,第一 MNO簡檔50包括被組織為一系列模塊的多條可執(zhí)行軟件指令和數(shù)據(jù)����。形成發(fā)行者安全域簡檔以使能以準許并強制執(zhí)行針對MNO的某些存儲器邊界的方式來供應第一 MNO簡檔50�。通過發(fā)行者安全域簡檔的那些工具和服務,安全模塊14的發(fā)行者創(chuàng)建移動網(wǎng)絡運營商(MNO)安全域��。
[0052]該MNO安全域包括多種工具以管理在第一 MNO簡檔50中所提供的存儲器空間�。在MNO的指示下,該MNO安全域創(chuàng)建策略規(guī)則模塊�、補充安全域(SSD)、控制授權(quán)安全域(CASD)��、提供服務提供商的所期望功能的一個或多個小應用程序�、對多個服務提供商工具與多個MNO工具之間的接口連接的多個網(wǎng)絡訪問應用(NAA)連同其他可選的可執(zhí)行功能、文件系統(tǒng)以及任何其他可選數(shù)據(jù)�。
[0053]根據(jù)第一 MNO簡檔50的原則,第二 MNO簡檔52形成于安全模塊14的存儲器中�����。在圖3中,第一 MNO簡檔50被啟用�,而第二 MNO簡檔52被禁用。在這方面�����,第一 MNO簡檔50的那些功能是可訪問以供使用的���,并且第二 MNO簡檔52的那些功能是被保持但不可訪問的���。
[0054]在從安全模塊的角度詳細研究了這些常規(guī)系統(tǒng)之后,諸位發(fā)明人確定了這些常規(guī)系統(tǒng)的許多缺點�����。
[0055]諸位發(fā)明人認識到移動支付系統(tǒng)的復雜性以及未來的增長�,并且打算簡化常規(guī)的系統(tǒng)。設定了多個目標以使促進移動裝置與服務提供商之間的安全數(shù)據(jù)的供應和傳遞的密鑰交換過程的復雜性最小化���。認識到的是�,去除對可信服務管理者(TSM)基礎設施的逐事務依賴性將提高安全數(shù)據(jù)傳遞的效率并且降低大型服務提供商和小型服務提供商兩者的進入成本�。另外�����,認識到的是���,TSM基礎設施的去除不會降低安全性,并且如果可以通過被證明是安全的通信技術(shù)以及現(xiàn)在存在的基礎設施的實現(xiàn)來增強安全性則將獲得額外的益處�����。
[0056]諸位發(fā)明人所尋求的另一個目標是開發(fā)一種使能一種機制的解決方案�����,通過該機制��,多個發(fā)行者和服務提供商在已經(jīng)發(fā)行并供應安全模塊之后可以向最終用戶部署新服務�。如果這些目標可以實現(xiàn)����,諸位發(fā)明人認識到,在發(fā)行并供應安全模塊之后還可以用新應用來引入新的服務提供商���。
[0057]為了拋棄昂貴的TSM基礎設施��,對SE1-TSM和SP-TSM兩者的功能均進行簡化����。在現(xiàn)有的服務提供商服務器上利用數(shù)據(jù)的安全化(例如,加密)���,并且使用安全值(如密鑰)來將數(shù)據(jù)傳遞至存儲于安全模塊內(nèi)的客戶端��,而不是使用用于基于安全超文本傳輸協(xié)議(即��,HTTPS)的客戶端的證書來保護數(shù)據(jù)����。在SP-TSM先前將數(shù)據(jù)格式化為多個應用協(xié)議數(shù)據(jù)單元(APDU)命令的情況下����,現(xiàn)在將數(shù)據(jù)到APDU命令的格式化移到與形成于安全模塊上的安全域相關(guān)聯(lián)的應用中。該應用的安全性是通過在加載該應用并且將其與具體安全域相關(guān)聯(lián)時所建立的可信根來獲得的����。除了形成多條APDU命令之外,安全應用還與該安全模塊的其他特征進行通信并且充當服務提供商計算服務器與安全模塊之間的通信調(diào)度員����。
[0058]現(xiàn)在所描述的這些特征是基于由安全模塊的制造商所創(chuàng)建的新的基礎設施實現(xiàn)的�。在該新的基礎設施中�����,在安全模塊的存儲器中創(chuàng)建一個�����、兩個或多個未分配的安全域����。安全模塊的制造商根據(jù)已知的實踐向這些預先創(chuàng)建的��、未分配的安全域中的每個未分配的安全域分配唯一的應用標識符����,并且制造商創(chuàng)建用于訪問對應的安全域的安全值(例如,安全密鑰)�����。在某些情況下�����,使用預先創(chuàng)建的、未分配的安全域的AID來創(chuàng)建用于訪問該具體安全域的安全值����。通過使用這種架構(gòu),可以在制造期間���、在制造之后以及在現(xiàn)場的供應和部署之后加載要求安全數(shù)據(jù)傳遞的應用����。
[0059]這種新架構(gòu)向安全模塊制造商�����、ΜΝ0�、服務提供商以及最終用戶提供了益處。例如���,安全模塊制造商可以出售創(chuàng)新安全模塊��,并且制造商監(jiān)管用于訪問這些未分配的安全域的安全值����。以此方式����,制造商能夠向服務提供商出售或出租對安全域的訪問���,并且這些服務提供商可以部署新的安全數(shù)據(jù)通信特征而無需常規(guī)技術(shù)中所需要的顯著的財務投資。以這種方式�,可以向單獨的提供商提供單獨的安全值,并且可以在任何時間傳遞這些安全值��,這些安全值中的每個安全值授權(quán)對不同的未分配的安全域的訪問����。作為另一個替代方案,這些安全模塊的多個發(fā)行者將接收對使得能夠使用這些未分配的安全域的這些安全值的訪問�。
[0060]圖4是改進的安全模塊實施例114。圖4的安全模塊114基本上類似于圖3的常規(guī)安全模塊14�����。在改進的安全模塊114的邏輯與常規(guī)的安全模塊14的邏輯相同或幾乎相同的多個區(qū)域內(nèi)��,為簡便起見將限制或省略對邏輯的討論��。
[0061]安全模塊114包括處理單元134和安全模塊操作系統(tǒng)136���。安全模塊操作系統(tǒng)136的邏輯包括電信框架138以及平臺服務管理器140�,該平臺服務管理器包括策略規(guī)則執(zhí)行器142�����。安全模塊114還包括通信接口 144��、安全模塊證書授權(quán)安全域146模塊和發(fā)行者控制的安全域根148模塊��。
[0062]安全模塊114的制造商還創(chuàng)建了一個或多個未分配的安全域156a����、156b、156c�����、156η�����。在創(chuàng)建了多個安全域的情況下��,制造商可以創(chuàng)建2��、5、10�、100或某個其他數(shù)量的未分配的安全域。在每個安全模塊114中�,制造商將存儲永久電子ID(EID)。另外���,制造商還將為在安全模塊114上所形成的每個未分配的安全域創(chuàng)建永久應用ID(AID)����。
[0063]可以使用多個安全域來提供用于安全值(如密碼密鑰)的安全存儲��。安全域還通過如本領(lǐng)域技術(shù)人員已知的一種或多種標準化協(xié)議來提供對安全信息的訪問���。例如�����,在某些情況下����,可以使用如在通過引用結(jié)合于此的全球平臺卡規(guī)范V.2.2.1中所定義的全球平臺(GP)安全通道協(xié)議來使得對安全域內(nèi)的信息的訪問對卡外實體是可用的����。
[0064]安全域的性質(zhì)可以通過以下方式來配置:通過GP特權(quán)(例如,委托或授權(quán)管理����、DAP驗證、令牌管理�����、全局刪除)����、通過供應密鑰(例如,針對SCP02/03或SCP80/81)以及通過將第一安全域關(guān)聯(lián)至具有其他權(quán)限的另一個安全域��、通過將安全域關(guān)聯(lián)至其自身(并且從而去除上級安全域的所有管理權(quán)限)(即����,引渡)或通過為該安全域及其所有內(nèi)容分配存儲器配額。
[0065]在較早的版本中��,發(fā)行者安全域(ISD)具有若干特有的特權(quán)�����。然而���,在最新的全球平臺卡規(guī)范中��,還通過多種特權(quán)來配置安全域���,并且除了在開始處存在�����,沒有剩下主要特定特征�。引渡安全域的此程序集應當允許多個MNO保持與它們今天關(guān)于安全模塊中的當前ISD具有相同的益處�����。
[0066]安全模塊114是提供一種在遠程計算服務器與移動通信裝置(例如�,智能電話)之間通信安全信息的新的并且更好的方法的裝置。所構(gòu)思的解決方案基本上去除了對密鑰交換�、密鑰多樣化、預共享密鑰(PSK)概念和可信服務管理者(TSM)的需要�。
[0067]在某些實施例中,移動網(wǎng)絡運營商(MNO)控制移動裝置的訂戶身份模塊(SM)或其他安全模塊上的信息����。存儲于該安全模塊內(nèi)的信息由MNO用來標識移動裝置并且監(jiān)管所簽約的移動網(wǎng)絡服務從而為移動裝置的用戶帶來益處。
[0068]在這些實施例中��,MNO “出租”存儲器空間����、處理器周期以及另外或替代性地耦接至一個或多個移動裝置的安全模塊114內(nèi)的功能。該出租可以包括按月支付�、按年支付、補貝占支付或交換對安全模塊114的硬件屬性�����、軟件屬性或硬件和軟件屬性的訪問的某種其他形式的值��。以此方式���,特地與在或可在遠程計算服務器上執(zhí)行的一個或多個應用耦接的安全模塊114內(nèi)所存儲的信息可以用于促進在遠程計算服務器與安全模塊114的那些屬性之間的安全通信���。在這些實施例中,常規(guī)系統(tǒng)的復雜性被降低����,同時安全性得到維持并且在某些情況下被增強。
[0069]如本文所使用的�����,安全模塊的這些屬性可以包括計算機可讀介質(zhì)(如,瞬態(tài)存儲器(例如����,隨機存取存儲器(RAM))、非瞬態(tài)