移动装置安全模块中的客户端可访问的安全区域的制作方法
移动装置安全模块中的客户端可访问的安全区域的制作方法
【技术领域】
[0001]本披露总体上涉及远程网络计算服务器与移动装置之间的安全通信。更具体地但并非排他性地,本披露涉及一种具有多个未分配的安全域的安全模块,这些未分配的安全域中的每个未分配的安全域都可在随后分配给客户端。
【背景技术】
[0002]通常而言,远程服务器主控与在移动通信装置(如智能电话)上执行的其他软件应用进行交互的软件应用。服务提供商执行与安全模块发行者的密钥交换活动。然后,执行一个或多个密钥多样化功能以导出其他秘密密钥,这些其他秘密密钥用于对将在远程服务器与移动装置之间通信的秘密信息进行加密。将经加密的信息从远程服务器传送至移动网络运营商(MNO),并且MNO将数据传送至移动装置。在移动装置中,需要订户身份模块(SM)以对每个秘密信息包进行解码。替代性地,移动装置使用存储在SIM中的秘密密钥数据来加密信息并且将经加密的信息传送至ΜΝ0,该MNO将该经加密的信息转发至远程服务器。
[0003]图1展示了通过移动网络1a对安全数据的常规的供应和基于安全卡的通信。在图1中,安全通信基础设施包括移动装置12,如与安全模块14 (如,S頂卡)相关联(例如,其内嵌入有或放置有安全模块)的智能电话。移动装置具有与安全模块14的直接通信关系16。这些通信可以通过单线协议(SWP)总线、I2C总线、串行外围接口(SPI)总线或某种其他通信路径和协议发生。
[0004]图1中的移动装置12被展示为智能电话,但是设想了其他装置。例如,移动装置12可以被实施为平板计算装置、膝上型计算机、多媒体装置、训练设备,或者以某种其他形式来实施。移动装置12可以是被安排为用于在广域无线网络(如,遵循3G、4G GSM协议、长期演进(LTE)协议、5G协议或某种其他无线通信网络协议的蜂窝网络)上进行无线通信18的任何计算装置。通常,广域无线网络由网络服务提供商20 (也被称为移动网络运营商(MNO))所监管。
[0005]移动装置12与提供无线移动网络服务的MNO 20进行通信。MN020与安全模块14内的数据密切对准,并且通常MNO 20将初始数据供应到安全模块14内。通常而言,在移动装置访问由MNO 20所提供的服务的通信会话(例如,电话呼叫、电子邮件、文本消息等)中,来自安全模块14的信息被传送至MNO 20。
[0006]安全元件发行者可信服务管理者(SE1-TSM) 22向MNO 20和其他实体提供密码工具和数据24 (如公钥和私钥)以及加密/解密算法,这些实体中的某些实体与MNO 20相关联。SE1-TSM 22可以是MN020、硅制造商(如意法半导体公司)、制造移动装置的原始设备制造商(OEM)或某种其他实体。由SE1-TSM 22执行的一种有价值的功能是建立到安全模块的安全超文本传输协议(HTTPS)链接。
[0007]当正在供应用于新的服务提供商的新的关系集合时,SE1-TSM22在安全模块中创建新的服务提供商安全域(SPSD)。在密钥活动期间所交换的安全密钥被编程用于安全域内并且用于由服务提供商的可信服务管理者进一步访问。在某些情况下,SE1-TSM 22还可以引渡SPSD,这意味着该SE1-TSM可以删除或以其他方式放弃其向SPSD读取或写入任何数据的能力。在安全模块14的SPSD被引渡之后,SE1-TSM 22将向源自SP-TSM或以其他方式的安全模块传送安全(即,经加密的或以其他方式模糊化的)包,但是SE1-TSM 22将不会具有查看或以其他方式解释正被传送的数据包的任何能力。
[0008]与服务提供商(SP-TSM) 26相耦接的第二可信服务管理者通过可选的互操作性促进器28而与SE1-TSM 22分离开。互操作性促进器28准许在可信服务管理者以及其他计算装置之间共享不同的数据结构、协议等。SP-TSM 26通过相同的或不同的互操作性促进器28被耦接至一个或多个服务提供商32。
[0009]SP-TSM 26与SE1-TSM 22交换安全信息。可以将来自SP-TSM的多个密钥编程到安全模块14的SPSD中,并且将与该SPSD相关联的其他密钥传送至服务提供商32。宽泛地讲,SP-TSM 26用对应于SPSD的那些密钥来对数据进行加密,并且其对来自服务提供商的数据进行解释。SP-TSM 26还将来自服务提供商的数据格式化成多个应用协议数据单元(APDU),这些应用协议数据单元由安全模块所识别并且由在移动装置上执行的应用展开。
[0010]服务提供商32常规地包括大型的国家和国际银行服务提供商(如美国银行和花旗银行)、支付服务提供商(如VISA和MASTERCARD)、大型零售商(如苹果、塔吉特(TARGET)和星巴克)等。
[0011]图1中所描述的系统是非常复杂并且非常昂贵的。为了实现这样的系统,要求服务提供商32获取它们自身的可信服务管理者或支付对可信服务管理者的非常昂贵的、定制的访问。也就是,图1的SP-TSM 26对于服务提供商向它们的客户提供移动支付而言是必需的,并且因此服务提供商必须设置它们自身的SP-TSM 26(这是非常昂贵的),或者服务提供商必须针对向SP-TSM 26的特定访问签约(这同样是非常昂贵的)。
[0012]SP-TSM 26形成与安全元件发行者可信服务管理者(SE1-TSM) 22的安全的通信关系。宽泛地来看图1,SP-TSM 26形成与具体服务提供商32的安全关系;并且SE1-TSM 22通过由MNO 20控制的网络形成与安全模块14的安全关系。以此方式,服务提供商32能够安全地与具体客户上的安全模块14交换秘密信息。通信关系中的安全性是通过这两个可信服务管理者SP-TSM 26与SE1-TSM 22之间的通信启用的。相应地,一旦安全模块14由客户所使用,新的服务只能通过SP-TSM 26与SE1-TSM 22之间的连接来部署。
[0013]更密切地看,在服务提供商32与安全模块14之间传送安全数据的过程变得非常复杂。服务提供商与其相关联的SP-TSM 26之间的关系需要在这些装置之间维护并传送的具体安全机制,并且在SE1-TSM22与安全模块14之间的关系也需要在这些装置之间维护并传送的多个具体安全密钥。这些可信服务管理者基于多个经轮换的密钥来传送经加密的数据,并且维护安全的和有效的密钥的复杂性通过密钥交换活动、密钥多样化程序和密钥轮换技术来执行。使用在每个装置以及几百个、几千个以及甚至几百万个装置上的多个应用,除其他事项外,常规的过程要求精准的定时、大量的计算资源、较大的通信带宽以及大量的功率。这种基础设施是必需的,因为通用HTTPS服务器(如由服务提供商32实现的)无法安全地与移动装置上的安全模块14进行对话,即使当安全模块包括承载独立协议(BIP)接口时。换言之,即使可以在常规的安全模块中存储并执行安全服务,常规的安全模块仅被启用以用于与可信服务管理者的安全通信。
[0014]目前正在使用常规的供应和基于安全卡的通信系统的两个常规模型。
[0015]图2A展示了以多服务提供商可信服务管理者方式1b进行的图1的常规的供应和基于安全卡的通信。在图2A中,展示了三个服务提供商:银行服务提供商32a、政府服务提供商32b和零售服务提供商32c,并且这些服务提供商中的每个服务提供商具有专用的SP-TSM26a-26co以这种委托管理方式,所有的SP-TSM通过中央SE1-TSM 22a通信至与移动装置12a相关联的安全模块14a,该移动装置在由具体移动网络运营商(MNO) 20a操作的无线网络上进行通信。这种架构的实现和维护对于这些服务提供商32a-32c中的每一个服务提供商而言都是非常昂贵的,因为这些服务提供商32a-32c中的每一个服务提供商都必须设置被明确地配置为用于通过通常由MNO或安全卡OEM控制的SE1-TSM 22a进行安全通信的SP-TSM 26a-26c0经常,这种方式无法被调整用于较小的银行、公共事业服务提供商、零售设施等。
[0016]图2B展示了以单个服务提供商可信服务管理者方式1c进行的图1的常规的供应和基于安全卡的通信。在单个SP-TSM方式中,展示了三个服务提供商:运输服务提供商32d、娱乐服务提供商32e和商业服务提供商32f ;并且它们全部共享单个SP-TSM 26d的那些资源以通过SE1-TSM 22b进行通信。这些服务提供商通过移动装置12b将由MNO 20b操作的载体上的多个安全通信传送至具体的安全模块14b。以这种方式,服务提供商32d-32f和SE1-TSM 22b各自针对SP-TSM 26d所导致的服务对SP-TSM 26d进行补偿。由于当前架构限制和与SE1-TSM 22b交换密钥和其他信息的复杂性,服务提供商32d-32f并不直接地接近或将通信传送至SE1-TSM 22bο
[0017]在多服务提供商可信服务管理者方式1b中,每个服务提供商拥有或者以其他方式控制专用的TSM0当前,通常认为某些非常大型的服务提供商优选这种方式,因为即使其比较昂贵(例如,使SP-TSM26a-26c在线可能花费一百万美元或更多),该大型服务提供商可以将其自身与它的无法承担或调整该投资的小得多的竞争者区分卡来。例如,即使在美国有超过2000家特许银行,只有极少几家最大的银行已经建立并控制专用SP-TSM 26a。
[0018]在单个服务提供商可信服务管理者方式1c中,单个集中式TSM协商各个服务提供商26d_26f与这些安全模块(SE1-TSM)的发行者之间的关系。该协商促进了协作技术安排,从而使得服务提供商的软件应用和安全协议(例如,密钥轮换、多样性等)与安全模块的相应的应用和协议进行协作。在这些情况下,多个服务提供商可以全部贡献或以其他方式投资一个财团以创建并维护中央SP-TSM。
[0019]在背景部分中所讨论的主题的全部不一定都是现有技术,并且不应该仅仅由于在背景部分中对其的讨论而被假定为现有技术。据此,除非明确地阐明为是现有技术,对在背景部分中所讨论的或与这种主题相关联的现有技术中的问题的任何识别不应被看作现有技术。相反,对在背景部分中的任何主题的讨论都应该被看做发明人解决具体问题的方法的一部分,其本身以及本质上也可以是有创造性的。
【发明内容】
[0020]移动装置和远程计算服务器可以使用通过由移动网络运营商(MNO)监管的多个计算服务器减少或消除通信的技术来交换安全数据。例如,一个实施例涉及一种在移动装置与服务提供商之间进行通信的方法。该方法包括在安全模块中定义至少一个安全存储器区域的操作,并且将应用签名存储于该至少一个安全区域内。规则集用于定义对该至少一个安全区域内的某些属性的访问,其中,这些属性可以包括安全存储器存储、多种处理功能等。因此,远程服务提供商的计算服务器被通信地耦接至移动装置上。该计算服务器发送请求以在移动装置与远程服务提供商计算服务器之间传送数据。从该至少一个安全区域中检索出该应用签名,并将其与从计算服务器中所检索出的应用签名进行验证。一旦经过验证,安全数据将在远程服务提供商计算服务器与移动装置之间通信。移动装置上的安全模块是唯一可以对这些通信进行加密和解密的装置。该安全模块通过经验证的应用签名通过移动装置上的用于创建经验证的应用签名的安全应用来仅对安全数据进行通信。
[0021]在某些实施例中,一种安全模块具有所分配的唯一的电子标识符。该安全模块具有通信接口、非易失性存储器以及被耦接至该通信接口和该非易失性存储器的处理单元。在该非易失性存储器中形成一个或多个未分配的安全域,并且这些未分配的安全域中的每个未分配的安全域都具有所分配的唯一的应用标识符(AID)。这些未分配的安全域中的每个未分配的安全域都可通过对应的第一安全值来访问,并且,使用该对应的第一安全值,在部署该安全模块之前或之后,这些未分配的安全域中的每个未分配的安全域都可以被分配给服务提供商。
[0022]在第一实施例中,一种安全模块具有为其所分配的唯一的电子标识符(EID)。该安全模块可以包括:通信接口 ;非易失性存储器,该非易失性存储器具有在其内所配置的多个未分配的安全域,这些未分配的安全域中的每个未分配的安全域都具有为其所分配的唯一的应用标识符(AID),这些未分配的安全域中的每个未分配的安全域都可通过对应的第一安全值来访问;以及被耦接至该通信接口和该非易失性存储器的处理单元。在安全模块的这些和其他实施例中,这些未分配的安全域中的每个未分配的安全域的每个对应的第一安全值都不同于每个其他第一安全值,并且在某些情况下,每个第一安全值都与该对应的未分配的安全域的AID相关联。
[0023]在某些情况下,该非易失性存储器被进一步配置为包括功能逻辑以便为这些未分配的安全域中的每个未分配的安全域供应至少一个第二安全值。在某些情况下,发行者控制的安全域被准许向该多个未分配的安全域中的第一安全域读写数据,并且在该第一安全域被分配给服务提供商之后,该发行者控制的安全域被限制对该第一安全域的至少某部分读写数据。每个第一安全值都是与公钥基础设施(PKI)相关联的安全值。在安全模块被部署之后,可将该多个未分配的安全域中的至少一个未分配的安全域分配给服务提供商。在某些情况下,安全模块的通信接口遵循近场通信(NFC)协议。在某些情况下,安全模块是通用集成电路卡(UICC),并且在其他情况下,安全模块是订户身份模块(SM)。
[0024]在第二实施例中,一种系统包括多个安全模块,并且该多个安全模块中的每个安全模块都包括通信接口、非易失性存储器以及被耦接至该通信接口和该非易失性存储器的处理单元。该系统还包括至少一个计算服务器以及与该至少一个计算服务器相关联的至少一个数据库。
[0025]关于该多个安全模块,每个安全模块都具有在其内所配置的与该对应的安全模块相关联的唯一的电子标识符(EID)以及多个未分配的安全域。这些未分配的安全域中的每个未分配的安全域都具有为其所分配的唯一的应用标识符(AID)。这些未分配的安全域中的每个未分配的安全域都可通过对应的第一安全值来访问。每个安全模块还具有在其内所配置的发行者控制的安全域以及功能逻辑以便为这些未分配的安全域中的每个未分配的安全域供应至少一个第二安全值。
[0026]该系统中的一个或多个数据库被安排为用于存储该多个第一安全值,并且该至少一个计算服务器被安排为用于将该多个安全模块中的所选定的安全模块的该多个未分配的安全域中的所选定的安全域分配给服务提供商。该分配是通过将该多个第一安全值中的所选定的第一安全值传送至该服务提供商来进行的。该所选定的第一安全值对应于该所选定的安全模块的该所选定的安全域的该对应的第一安全值。
[0027]在某些情况下,服务提供商被配置为用于生成第二安全值,该第二安全值存储于该所选定的安全模块中。在某些情况下,在移动装置上执行的安全应用被配置为用于通过将数据与所生成的第二安全值相关联来向该所选定的安全模块的该所选定的安全域的存储器读取数据或写入数据。
[0028]在该系统中,该所选定的安全模块与移动装置相关联,并且该服务提供商可以是远程计算服务器。当出现这种情况时,远程计算服务器与移动装置之间的通信可以遵循安全超文本传输协议(HTTPS)。 [0029]在第三实施例中,一种方法供应具有存储器的安全模块。该安全模块的该存储器具有在其内所配置的多个未分配的安全域,并且这些未分配的安全域中的每个未分配的安全域都可通过对应的第一安全值来访问。该方法可以包括以下操作:在与该安全模块相关联的移动装置上执行安全应用;在该移动装置与服务提供商计算服务器之间建立安全通信连接;以及从该服务提供商计算服务器接收以第一安全值加密的数据以及该多个未分配的安全域中的所选定的安全域的标识符,其中,以该第一安全值加密的该数据包括第二安全值和安全域应用。该方法还可以包括以下操作:将以该第一安全值加密的该数据以及该所选定的安全域的该标识符传递至该安全模块,并且该第一安全值对应于存储在该所选定的安全域中的安全值。该方法可以进一步包括以下操作:从该服务提供商计算服务器接收以该第二安全值加密的数据;以及将以该第二安全值加密的该数据和该安全域应用传递至该所选定的安全域。
[0030]在某些情况下,该方法还包括以下操作:以该安全域应用来对经加密的数据进行解密。
[0031]在某些情况下,在执行该方法时,该第一安全值基于被分配给该所选定的安全域的应用标识符(AID)以及被分配给该安全模块的电子标识符(EID)。在某些情况下,在执行该方法时,该服务提供商计算服务器与该移动装置之间的通信遵循安全超文本传输协议(HTTPS)。该安全应用在某些情况下是移动支付安全应用。
【附图说明】
[0032]参照以下附图描述了非限制性且非穷尽的实施例,其中,除非另外指定,贯穿不同视图,类似的标号指代类似的部分。附图中元件的尺寸和相对位置不一定是按比例绘制的。例如,对不同元件的形状进行选择、放大以及定位,以提高附图可识别性。为了易于在附图中进行识别,选择了如所描绘的这些元件的具体形状。下文参照附图对一个或多个实施例进行描述,在附图中:
[0033]图1展示了通过移动网络对安全数据的常规的供应和基于安全卡的通信;
[0034]图2A展示了以多服务提供商可信服务管理者方式进行的图1的常规的供应和基于安全卡的通信;
[0035]图2B展示了以单个服务提供商可信服务管理者方式进行的图1的常规的供应和基于安全卡的通信;
[0036]图3是常规的供应的安全模块实施例;
[0037]图4是改进的安全模块实施例;
[0038]图5展示了通过如图1中所表示的移动网络对安全数据的常规的供应和基于安全卡的通信连同本文所描述的新的安全基础设施的实施例的组合;
[0039]图6展示了移动装置与服务提供商之间的安全通信路径实施例;
[0040]图7展示了与移动装置安全模块内的客户端可访问的安全区域相关联的通信的另一个实施例;
[0041]图8是编程数据流程图,展示了在已经部署在现场的安全模块中创建新的安全域;
[0042]图9A是第一流程图部分,展示了对服务提供商安全域的监管和使用;以及
[0043]图9B是第二流程图部分,展示了对服务提供商安全域的监管和使用。
【具体实施方式】
[0044]在移动装置与远程服务器之间传送秘密数据的常规系统比较复杂。这些通信需要密钥交换过程,该密钥交换过程不断地要求来自多个服务提供商所监管的多个计算装置、多个可信服务管理者等的协作。随着智能电话能力持续增长,密钥以及这些装置、多个移动网络运营商以及其他远程计算装置之间的密钥事务的数量也将需要增长。当今,密钥过程对于主控多个应用的智能电话而言是必需的,并且预期监管者的应用的数量增长至几十并且甚至几百个应用。
[0045]诸位发明人认识到移动支付系统的复杂性以及未来的增长,并且诸位发明人打算简化常规的系统。首先,诸位发明人从安全模块的那些能力以及对其的期望详细地研究了常规的系统。
[0046]图3是更加详细的常规的供应的安全模块14实施例。安全模块14是由至少具有某种基础逻辑的原始设备制造商(OEM)形成的,该基础逻辑将包括处理单元34、存储器(未被单独调出)以及可由处理单元34执行的一个或多个某种软件指令集。例如,在图3的安全模块14中,OEM形成具有安全模块操作系统36的安全模块14。安全模块操作系统36的逻辑包括电信框架38以及平台服务管理器40的操作软件和电路,该平台服务管理器自身包括策略规则执行器42。与安全模块操作系统相关联的电路可以包括:安全模块14的从存储器中读写的各种接口、用于与在安全模块14外部的多个计算装置进行有线和无线通信的收发器、多个电源部件等。
[0047]电信框架38是安全模块操作系统36的服务,该服务包括多种网络认证算法和其他网络基础设施以促进将多个移动网络特定的特征向安全模块14上进行的加载和操作。平台服务管理器40是安全模块操作系统36的服务,该服务确保对安全模块14的那些基本安全操作。例如,平台服务管理器40可以包括多个防黑客特征、多个装置刷机检测特征、多个安全卡篡改检测特征等。平台服务管理器40还可以确保用于多个数据包的基本格式化以及到安全模块14内的和来自安全模块的通信。
[0048]安全模块14还包括通信接口 44。通信接口 44可以包括近场通信(NFC)电路和软件、蓝牙电路和软件、W1-Fi(例如,IEEE 802.11)电路和软件或遵循不同的协议的无线通信逻辑。另外或替代性地,安全模块14的通信接口 44可以包括如例如在ETSI TS 102221技术规范中所定义的称为智能卡的标准化有线接口 ;UICC终端接口 ;物理和逻辑特性或通过引用结合于此的某种其他标准化接口。
[0049]在安全模块14的存储器中,OEM或安全模块14的发行者将实现安全模块证书授权安全域46。一旦实现,通过平台服务管理器40来监测并维护安全模块证书授权安全域46的完整性。在不破坏安全模块14的完整性的情况下无法改变或删除安全模块证书授权安全域46。以此方式,安全模块14可以包括某些一次性可编程特征、融合特征等以便促进对平台服务管理器40的操作。促进完整性的另一种方式是通过不可修改的私有安全密钥、来自相关联的证书授权的证书、根公钥以及其他密钥集来促进密钥/证书更新。安全模块证书授权安全域46促进了向和从安全模块14传送安全信息(包括多个密钥交换和轮换特征)。安全模块证书授权安全域46还促进了对传送至或接收自外部证书授权的证书的加载、卸载和授权。
[0050]同样,在安全模块14的存储器中,OEM或安全模块14的发行者将实现发行者安全域根48。该发行者安全域根包括与安全模块证书授权安全域46的特殊特征类似的特殊特征。具体地,发行者安全域根48受到监测,从而使得未经授权的更改或删除将破坏安全模块14的完整性。发行者安全域根48促进了针对安全模块14的发行者传送安全信息(包括多个密钥交换和轮换特征)。
[0051]在图3中,两个简档被展示为存储于安全模块14的存储器中。第一 MNO简档50被启用,并且第二 MNO简档52被禁用。这些MNO简档由在个性化设施处的安全模块制造商创建或在安全模块14已经离开制造商之后由另一个实体创建。当在现场供应安全模块14时,创建这些MNO简档。通常而言,供应安全模块14包括如合作式安排所指示的那样通过安全模块操作系统36和平台服务管理器40在安全卡内分配存储器,该合作式安排除了多个可选的证书授权、多个可选的互操作性促进器以及其他实体之外还涉及安全模块14的发行者、移动网络运营商以及一个或多个可信服务管理者。如所展示的,第一 MNO简档50包括被组织为一系列模块的多条可执行软件指令和数据。形成发行者安全域简档以使能以准许并强制执行针对MNO的某些存储器边界的方式来供应第一 MNO简档50。通过发行者安全域简档的那些工具和服务,安全模块14的发行者创建移动网络运营商(MNO)安全域。
[0052]该MNO安全域包括多种工具以管理在第一 MNO简档50中所提供的存储器空间。在MNO的指示下,该MNO安全域创建策略规则模块、补充安全域(SSD)、控制授权安全域(CASD)、提供服务提供商的所期望功能的一个或多个小应用程序、对多个服务提供商工具与多个MNO工具之间的接口连接的多个网络访问应用(NAA)连同其他可选的可执行功能、文件系统以及任何其他可选数据。
[0053]根据第一 MNO简档50的原则,第二 MNO简档52形成于安全模块14的存储器中。在图3中,第一 MNO简档50被启用,而第二 MNO简档52被禁用。在这方面,第一 MNO简档50的那些功能是可访问以供使用的,并且第二 MNO简档52的那些功能是被保持但不可访问的。
[0054]在从安全模块的角度详细研究了这些常规系统之后,诸位发明人确定了这些常规系统的许多缺点。
[0055]诸位发明人认识到移动支付系统的复杂性以及未来的增长,并且打算简化常规的系统。设定了多个目标以使促进移动装置与服务提供商之间的安全数据的供应和传递的密钥交换过程的复杂性最小化。认识到的是,去除对可信服务管理者(TSM)基础设施的逐事务依赖性将提高安全数据传递的效率并且降低大型服务提供商和小型服务提供商两者的进入成本。另外,认识到的是,TSM基础设施的去除不会降低安全性,并且如果可以通过被证明是安全的通信技术以及现在存在的基础设施的实现来增强安全性则将获得额外的益处。
[0056]诸位发明人所寻求的另一个目标是开发一种使能一种机制的解决方案,通过该机制,多个发行者和服务提供商在已经发行并供应安全模块之后可以向最终用户部署新服务。如果这些目标可以实现,诸位发明人认识到,在发行并供应安全模块之后还可以用新应用来引入新的服务提供商。
[0057]为了抛弃昂贵的TSM基础设施,对SE1-TSM和SP-TSM两者的功能均进行简化。在现有的服务提供商服务器上利用数据的安全化(例如,加密),并且使用安全值(如密钥)来将数据传递至存储于安全模块内的客户端,而不是使用用于基于安全超文本传输协议(即,HTTPS)的客户端的证书来保护数据。在SP-TSM先前将数据格式化为多个应用协议数据单元(APDU)命令的情况下,现在将数据到APDU命令的格式化移到与形成于安全模块上的安全域相关联的应用中。该应用的安全性是通过在加载该应用并且将其与具体安全域相关联时所建立的可信根来获得的。除了形成多条APDU命令之外,安全应用还与该安全模块的其他特征进行通信并且充当服务提供商计算服务器与安全模块之间的通信调度员。
[0058]现在所描述的这些特征是基于由安全模块的制造商所创建的新的基础设施实现的。在该新的基础设施中,在安全模块的存储器中创建一个、两个或多个未分配的安全域。安全模块的制造商根据已知的实践向这些预先创建的、未分配的安全域中的每个未分配的安全域分配唯一的应用标识符,并且制造商创建用于访问对应的安全域的安全值(例如,安全密钥)。在某些情况下,使用预先创建的、未分配的安全域的AID来创建用于访问该具体安全域的安全值。通过使用这种架构,可以在制造期间、在制造之后以及在现场的供应和部署之后加载要求安全数据传递的应用。
[0059]这种新架构向安全模块制造商、ΜΝ0、服务提供商以及最终用户提供了益处。例如,安全模块制造商可以出售创新安全模块,并且制造商监管用于访问这些未分配的安全域的安全值。以此方式,制造商能够向服务提供商出售或出租对安全域的访问,并且这些服务提供商可以部署新的安全数据通信特征而无需常规技术中所需要的显著的财务投资。以这种方式,可以向单独的提供商提供单独的安全值,并且可以在任何时间传递这些安全值,这些安全值中的每个安全值授权对不同的未分配的安全域的访问。作为另一个替代方案,这些安全模块的多个发行者将接收对使得能够使用这些未分配的安全域的这些安全值的访问。
[0060]图4是改进的安全模块实施例114。图4的安全模块114基本上类似于图3的常规安全模块14。在改进的安全模块114的逻辑与常规的安全模块14的逻辑相同或几乎相同的多个区域内,为简便起见将限制或省略对逻辑的讨论。
[0061]安全模块114包括处理单元134和安全模块操作系统136。安全模块操作系统136的逻辑包括电信框架138以及平台服务管理器140,该平台服务管理器包括策略规则执行器142。安全模块114还包括通信接口 144、安全模块证书授权安全域146模块和发行者控制的安全域根148模块。
[0062]安全模块114的制造商还创建了一个或多个未分配的安全域156a、156b、156c、156η。在创建了多个安全域的情况下,制造商可以创建2、5、10、100或某个其他数量的未分配的安全域。在每个安全模块114中,制造商将存储永久电子ID(EID)。另外,制造商还将为在安全模块114上所形成的每个未分配的安全域创建永久应用ID(AID)。
[0063]可以使用多个安全域来提供用于安全值(如密码密钥)的安全存储。安全域还通过如本领域技术人员已知的一种或多种标准化协议来提供对安全信息的访问。例如,在某些情况下,可以使用如在通过引用结合于此的全球平台卡规范V.2.2.1中所定义的全球平台(GP)安全通道协议来使得对安全域内的信息的访问对卡外实体是可用的。
[0064]安全域的性质可以通过以下方式来配置:通过GP特权(例如,委托或授权管理、DAP验证、令牌管理、全局删除)、通过供应密钥(例如,针对SCP02/03或SCP80/81)以及通过将第一安全域关联至具有其他权限的另一个安全域、通过将安全域关联至其自身(并且从而去除上级安全域的所有管理权限)(即,引渡)或通过为该安全域及其所有内容分配存储器配额。
[0065]在较早的版本中,发行者安全域(ISD)具有若干特有的特权。然而,在最新的全球平台卡规范中,还通过多种特权来配置安全域,并且除了在开始处存在,没有剩下主要特定特征。引渡安全域的此程序集应当允许多个MNO保持与它们今天关于安全模块中的当前ISD具有相同的益处。
[0066]安全模块114是提供一种在远程计算服务器与移动通信装置(例如,智能电话)之间通信安全信息的新的并且更好的方法的装置。所构思的解决方案基本上去除了对密钥交换、密钥多样化、预共享密钥(PSK)概念和可信服务管理者(TSM)的需要。
[0067]在某些实施例中,移动网络运营商(MNO)控制移动装置的订户身份模块(SM)或其他安全模块上的信息。存储于该安全模块内的信息由MNO用来标识移动装置并且监管所签约的移动网络服务从而为移动装置的用户带来益处。
[0068]在这些实施例中,MNO “出租”存储器空间、处理器周期以及另外或替代性地耦接至一个或多个移动装置的安全模块114内的功能。该出租可以包括按月支付、按年支付、补贝占支付或交换对安全模块114的硬件属性、软件属性或硬件和软件属性的访问的某种其他形式的值。以此方式,特地与在或可在远程计算服务器上执行的一个或多个应用耦接的安全模块114内所存储的信息可以用于促进在远程计算服务器与安全模块114的那些属性之间的安全通信。在这些实施例中,常规系统的复杂性被降低,同时安全性得到维持并且在某些情况下被增强。
[0069]如本文所使用的,安全模块的这些属性可以包括计算机可读介质(如,瞬态存储器(例如,随机存取存储器(RAM))、非瞬态 存储器(例如,只读存储器(R0M),如闪存存储器))、整个处理单元、处理单元的共享资源或专用资源、一个或多个软件应用、组合逻辑、多个运算单元、多个算法单元、多个加密引擎、多个解密引擎、多个随机数生成器、电源电路、通信电路以及其他硬件、软件和形成电路模块的组合的硬件与软件逻辑模块。
[0070]本文所描述的这些实施例的一个方面消除了通过移动网络运营商的基础设施的某个部分来传递信息。具体地,可以直接在移动装置的安全模块114与远程服务器之间建立安全通信路径,而不是通过由MNO操作的一个或多个指定的计算服务器来传送每个信息包。安全通信路径可以与以下各项相关联:传输层安全(TLS)、安全套接层(SSL)、安全超文本传输协议(HTTPS)通信、安全元件(SE)访问控制文件(例如,移动装置可用的访问控制规则文件(ACRF))、公共密钥基础设施(PKI)以及用于在远程服务器与移动装置之间安全地通信数据的其他非限制性机制和技术。移动装置的安全模块与多个远程服务器之间的直接路径降低了密钥交换、密钥多样化和其他常规技术的复杂性。
[0071]图5展示了通过如图1的1a中所表示的移动网络对安全数据的常规的供应和基于安全卡的通信连同本文所描述的新的安全基础设施的实施例的组合。在附图中,安全通信基础设施包括安全模块114,如被耦接至移动装置112 (如智能电话)的S頂卡。移动装置112具有与安全模块114的直接的本地通信关系116。这些通信可以通过单线协议(SWP)总线、I2C总线、串行外围接口(SPI)总线或某种其他通信路径和协议发生。
[0072]图5中的移动装置112能够与提供无线移动网络服务118(如,语音呼叫、数据通信、文本消息等)的移动网络运营商(MNO) 120进行通信。MNO 120与安全模块114内的数据密切对准,并且通常MNO 120将初始数据供应到安全模块114内。当移动装置112访问由MNO 120所提供的服务118时,来自安全模块114的信息被传送至MNO 120。
[0073]安全元件发行者可信服务管理者122 (SE1-TSM)向MNO 120和其他实体提供密码工具和数据124 (如公钥和私钥)以及加密/解密算法,这些实体中的某些实体与MNO 120相关联。与服务提供商126 (SP-TSM)相耦接的第二可信服务管理者通过可选的互操作性促进器128而与SE1-TSM 122分离开。互操作性促进器128准许在可信服务管理者以及其他计算装置之间共享不同的数据结构、协议等。SP-TSM 126通过相同的或不同的互操作性促进器128被耦接至一个或多个服务提供商132。
[0074]服务提供商可以针对如图5的服务提供商132所展示的商品和服务收费,该服务提供商覆盖了银行服务、购物服务、运输服务、政府服务、公共事业服务以及其他商品和服务(未示出)。在图1的常规操作中,当服务提供商32与移动装置12进行通信时,所有的通信穿过SP-TSM 26、互操作性机制28、SE1-TSM 22以及移动网络运营商(MNO) 20的某些计算服务器。该通信路径是安全的但是比较复杂,并且在某些情况下,该通信路径还比较慢。
[0075]相反,在图5中,提供了移动装置112与服务提供商132之间的直接通信路径。另一种通信路径在某些实施例中还可以包括服务提供商可信服务管理者(SP-TSM) 126。通过引入在安全模块114内启用的附加的、更直接的通信路径,本文所描述的这些实施例提供具有降低的复杂性的鲁棒的端到端安全。
[0076]如同样可选地由虚线所指示的,SP-TSM 126可以通过到SE1-TSM122的互操作性促进器来继续促进通信。这些服务提供商132可以继续包括与SP-TSM 126的多个通信安全操作,并且MNO 120可以继续包括与SE1-TSM 122的多个通信安全操作124。
[0077]图6展示了移动装置112与服务提供商114之间的安全通信路径实施例。图6的实施例表示图5中的移动装置与服务提供商之间的直接通信路径以及同样包括SP-TSM126的通信路径的多个方面。
[0078]在图6中,安全应用158驻留在移动装置112上。移动装置112上的安全应用158管理与关联于服务提供商132的远程计算服务器160的安全连接。该安全连接包括使用HTTPS协议、SSL层或其他技术的一个或多个证书交换操作。通过运行于移动装置112上的安全应用158来对由远程计算服务器160发送至安全模块114的那些数据包进行标识。
[0079]在常规的架构中,与服务提供商相关联的计算服务器将数据传送至服务提供商可信服务管理者(SP-TSM)。该SP-TSM将对数据进行加密并且创建来自该数据的多条应用编程数据单元(APDU)命令。然后,该SP-TSM将通过由MNO控制的SE1-TSM来安全地通信这些APDU命令以供到移动装置的最终传送。移动装置将解密或者以其他方式解包这些APDU命令并且将它们传送至安全模块进行处理。在新的基础设施中,运行于远程计算服务器160上的安全应用在安全的基于互联网的通信路径上直接将包发送至运行于移动装置112上的安全应用158,该通信路径包括第一通信路径162、第二通信路径164和第三通信路径166。远程计算服务器160和移动装置112可以使用共享密钥基础设施来进行通信。嵌入在远程计算服务器所发送的打包数据内,秘密数据还用在安全模块114内部的安全域已知的共享密钥基础设施来进行加密。运行于移动装置上的安全应用158将来自远程计算服务器160的经加密的数据形成为多条APDU命令并且将这些APDU命令传送至安全模块。
[0080]在安全应用158接收到这些数据包之后,安全应用158使用公共密钥基础设施(PKI)来封装该数据。然后,借助来自MNO 120的支持,安全应用158使该数据一致以便传送至安全模块114。为传送到安全模块准备数据可以包括例如应用通过引用结合于此的全球平台卡规范版本2.2.1或类似的协议定义中的规则连同由对移动装置112内的多个移动安全操作进行管理的协议所定义的多个访问规则条件。安全模块114接收数据并且对使用公共密钥基础设施加密的数据进行解密。
[0081]安全应用158可以可选地承载来自证书授权、可信服务管理者或其他实体的证书。该证书以可接受的保证来验证这些安全模块操作的有效性。
[0082]在一个实施例中,移动装置112上的安全应用158将执行初始检查和正在进行的检查以验证该移动装置尚未被刷机。刷机后的移动装置穿透MNO 120在移动装置上具有的提供安全的安全遮蔽。也就是,一旦刷机,移动装置112的用户获得对移动装置112的以其他方式无法访问的多个存储器区域、功能和其他特征。如果移动装置112刷机,对安全应用158的操作终止。
[0083]在成功的验证之后,安全应用158将提取移动装置112的公共密钥。将可以存储于移动装置112内的存储器区域中的该公共密钥与安全模块114进行交换。安全模块114还可以将公共密钥传送至移动装置112。然后,使用该公共密钥,安全模块114例如通过传送证书来验证在移动装置112上执行的安全应用158的完整性。一旦验证了证书,与安全模块114的通信此后仅通过安全应用158来传送,并且该安全应用监管与该安全模块的所有交互。
[0084]基于针对安全应用158所定义的那些访问规则,安全应用158可以访问安全模块114的某些属性,如存储器、文件、某些操作等。
[0085]使用本文所描述的这些结构和技术,MNO 120可以提供出租对在安全模块上所定义的多个安全域的访问。服务提供商132喜欢这种关系,因为这种关系提供了一种用于与移动装置112的安全的、高效的通信的同时避免昂贵的常规基础设施的机制。
[0086]在一个实施例中,制造商创建安全模块114的一个或多个区域,这些区域将可由第三方服务提供商132(如银行机构、商品或服务供应商等)访问。在这些情况下,服务实体(其可以是制造商)、安全模块114发行者、MNO或某种其他实体监管对这些未分配的安全域的访问和使用。当MNO 120或其他服务实体与服务提供商132在该关系的多个条款上达成约定时,在访问控制规则文件(ACRF)中定义对这些安全区域中的一个或多个安全区域的访问的条件,并且这些条件和存储区域与同样存储于安全模块114内的应用签名相关耳关。
[0087]在移动装置112进行操作之后,可以使用在远程计算服务器上执行并且承载正确的签名的应用来直接地访问存储于移动装置112的安全模块114上的安全信息。
[0088]在图6中,展示了三条通信路径。第一通信路径162表示在服务提供商132的远程计算服务器160与无线网络运营商120之间的通信。第二通信路径164表示在无线网络运营商120与移动装置112之间的通信。第三通信路径166表示在移动装置112与关联于移动装置112的安全模块114之间的通信。
[0089]在远程计算服务器160与移动装置112之间穿过MNO 120的第一通信路径162和第二通信路径164上的通信可以与基于互联网的安全协议(如安全超文本传输协议(即,HTTPS)、安全套接层协议(例如,SSL7)、传输层协议(TLS)等)一致。可以通过单线接口(SffI)、I2C串行总线或某种其他有线或无线通信管道来传送在移动装置112与安全模块114之间的第三通信路径166上的通信。
[0090]图6中所展示的通信路径162、164、166以及安全域156a_156n(图4) 一旦被分配则可以遵循具体的访问规则文件(ARF)、具体的访问控制条件文件(ACCF)或在通过引用结合于此的规范(如全球平台装置技术安全元件访问控制规范)中所定义的某种其他规则架构。这些通信还可以利用在类似的规范中所定义的访问规则主机(ARA-M)与访问规则应用客户端(ARA-C)架构。在远程计算服务器160(用于加密)和在安全模块114(用于认证)上均可以实现这些基础设施连同被证明的技术(如PKI基础设施)以便提供安全通信。
[0091]图7展示了与移动装置安全模块内的客户端可访问的安全区域相关联的通信的另一个实施例。在图7中,展示了安全模块114的某些部分,同时为简化附图起见,将其他部分保留空白。安全模块114包括所分配的安全域156。安全域156先前是未分配的安全域156a-156n(图4),但是安全域156已经由发行者控制的计算服务器184所供应,该发行者控制的计算服务器还包括数据库186以管理对任何数量的安全域156a-156n的供应。
[0092]在安全模块114已经被部署在现场之后,该供应已经被实施。在图7的实施例中,已经授予具体的服务提供商132 (图6)使用该安全域的特权。可以基于购买、出租或通过其他手段来授权该特权。可以通过发行者控制的计算服务器184来提供该特权,该发行者控制的计算服务器可以由安全模块114的制造商以及MNO或某种其他一个或多个实体来控制。
[0093]安全模块制造商确定哪个或哪些实体将分配这些未分配的安全域156a_156n。安全模块制造商授权控制这些未分配的安全域156a-156n的一种方式是通过提供对应于这些未分配的安全域156a-156n的多个安全值(例如,加密密钥)。在某些情况下,一个第一安全值与每个未分配的安全域相关联,但是在其他情况下,可以与多个未分配的安全域156a-156n相关联。这些第一安全值与位于未分配的安全域156a_156n存储器内的多个发行者控制的安全域性质176 —起协同地由制造商使用。
[0094]这些发行者控制的安全域性质176可以包括由制造商所定位的数据、多个可执行功能、多种存储器结构、时间戳或日期戳、历史记录以及令人期望的任何其他这种信息或功能逻辑。在某些情况下,这些发行者控制的安全域性质176可以仅包括单个值(如与对应的安全域相关联的安全值)。通过将具体的安全密钥与相应的安全域156a-156n相匹配,可以供应该安全域。
[0095]在某些情况下,与具体安全域156a_156n相匹配的安全密钥是使用应用标识符(AID) 182形成的,该应用标识符被安全模块114的制造商编程为这些未分配的安全域156a-156n。在某些实施例中,AID182遵循具体的编号系统,如在ETSI TS 101220中所定义的称为智能卡的编号系统;用于电信应用提供商的ETSI编号系统,其通过引用结合于此。在其他实施例中,与具体的安全域156a-156n相匹配的安全密钥是使用AID 182以及另外或替代性地用于安全模块114的唯一标识符EID 180形成的。在某些实施例中,EID 180是嵌入式通用集成电路卡(eUICC)标识符,其是用于安全模块114的全局唯一标识符。在某些情况下,EID 180的格式由国际标准化组织(ISO)管理,虽然在其他情况下,不同的管理机构提供信息以确定并格式化EID180。
[0096]所分配的安全域156被展示为具有多种安全功能168、安全数据存储器区域170、服务提供商功能区域172、服务提供商密钥区域174、由安全模块114的制造商所提供的那些发行者控制的安全域性质以及多个可选的合作伙伴控制的安全域性质178。这些可选的合作伙伴控制的安全域性质178可以被提供以准许在安全域内的分级级别的控制。例如,已经被授权访问安全域156的一个服务提供商可以可选地进一步授权另一个服务提供商访问该安全域的一部分。在这种情况下,可以使用这些可选的合作伙伴控制的安全域性质178来实现对用于该子服务提供商的安全域的子部分的访问。为简化图7的解释起见,未示出安全域存储器中的其他模块,如图3的常规安全模块114中所展示的模块中的某些或全部。
[0097]由制造商在安全模块114中形成发行者控制的安全域根148。发行者控制的安全域根148包括域管理表149。该域管理表被形成为用于管理多个所分配的安全域(如安全域156)和多个未分配的安全域(156a_156n)。对于每个安全域而言,可以存储表不安全域的所有者或控制实体的信息;可以存储具体访问密钥;可以存储安全域的状态,如该安全域是否已经被引渡;并且还可以存储对每个具体的安全域是否已经被启用、禁用或删除的指示。还可以存储与安全模块114或多个单独的安全域相关联的其他信息。
[0098]域管理表149中所存储的引渡状态指示发行者安全域根148是否能够读取具体安全域的存储区域的某些或全部。当安全域被引渡时,服务提供商已经授权对在安全域内的存储器的某些或全部的安全访问。也就是,服务提供商可以对安全域中所存储的数据进行加密,并且通过引渡过程,发行者控制的计算服务器184或任何其他外部实体均未被准许访问所分配的安全域中的信息。
[0099]图7中表示了移动装置112。安全应用158被存储于移动装置112的存储器中,并且可以由处理单元(未示出)执行安全应用158的那些处理器可执行软件指令以执行安全应用158的那些功能。为简化解释起见,在图7的移动装置112中未展示在常规的移动装置中所找到的大部分逻辑,但是本领域技术人员将理解这种逻辑被包括在内。
[0100]安全应用158被安排为用于与安全域156内的多个模块进行双向通信。在某些情况下,安全应用158访问多种安全功能168和 多种服务提供商功能172。在某些情况下,安全应用158被安排为用于访问(S卩,读/写)安全数据区域170内的数据。安全应用158还被安排为用于与服务提供商计算服务器(SPCS)应用161进行双向通信。与SPCS应用161的那些通信可以是直接通信,或者这些通信可以包括由或通过合作伙伴120a(如MNO 120)提供的多项服务。在某些情况下,SPCS应用161还与发行者控制的计算服务器184进行通
?目O
[0101]执行SPCS应用161的服务提供商计算服务器160与发行者控制的计算服务器184进行通信。在某些情况下,服务提供商计算服务器160与发行者控制的计算服务器184之间的双向通信是直接的;在其他情况下,这些通信是由或通过合作伙伴120a提供的。
[0102]图7中的合作伙伴120a可以可选地被包括在许多通信中、在非常少的通信中或者不包括在通信中。理解到,移动装置112与这些各个服务通过由MNO (如MNO 120 (图6))监管的广域网基础设施来进行通信。相应地,MNO 120可以被安排为合作伙伴120a。在某些情况下,合作伙伴120a可以包括在系统内提供多个不同的服务的多个实体。合作伙伴120a可以或者可以不提供服务以实现、增强或以其他方式影响移动装置112与服务提供商计算服务器160之间的安全通信。图7中展示了向和从合作伙伴120a的可选的通信路径。
[0103]现在描述分配或以其他方式供应未分配的安全域的实施例。在开始该过程之前,安全模块114的制造商已经在安全模块114的存储器中创建了多个未分配的安全域156a-156n(图4)。已经以所分配的AID以及一个或多个相应的安全值(例如,加密密钥)创建了该多个安全域156a_156n中的每个安全域。这些安全域156a_156n中的每个安全域可以由EID 180与AID 182的组合唯一地标识,并且这些值连同多个其他可选值可以被组合并用于形成相关联的安全值。在创建这些未分配的安全域156a-156n以及这些相应的安全值时,可以创建或者以其他方式更新域管理表149。
[0104]除了在安全模块114上创建域管理表149之外,还使用相应的信息更新与安全模块114分开且不同的数据库。可以被创建、更新或以其他方式维护的一个这样的分开且不同的数据库是与发行者控制的计算服务器184关联地展示的数据库186。
[0105]数据库186将通常包括对安全模块114进行标识的信息,如EID180。数据库186还将通常包括对这些未分配的安全域156a_156n中的每个未分配的安全域进行标识的信息,如与这些未分配的安全域156a-156n中的每个未分配的安全域相对应的那些AID 182值。为了访问这些未分配的安全域156a_156n,与这些未分配的安全域156a_156n中的每个未分配的安全域相对应的具体安全值也将被存储于数据库186中。另外,还可以将其他安全值和标识信息存储于数据库186中以使得发行者控制的计算服务器184能够访问并控制形成于安全模块114上的这些发行者控制的安全域性质176。
[0106]在某些情况下,还可以将其他信息存储于域管理表149和数据库186中的一者或两者中。这种信息可以用于对安全模块114的管理和监管。这种信息的示例包括硅参考号和批次号以分开各个版本、所创建的这些安全域的大小、关于这些安全域的其他架构信息、时间戳、日期戳、制造标识符等。
[0107]安全模块114的制造商可以创建具有固定存储器大小(如512千字节(KB)、I兆字节(MB)或某个其他更大或更小的大小)的该多个未分配的安全域156a-156n。未分配的安全域156a-156n的数量可以较小(例如,I个或2个)或较大(例如,10个或更多个)。在某些情况下,制造商制造带有不同数量的未分配的安全域156a-156n的不同的安全模块。在某些情况下,制造商制造带有多个具有不同的初始大小的未分配的安全域156a-156n的不同的安全模块。在另外其他情况下,制造商制造带有具有第一大小的某些未分配的安全域156a-156n以及具有不同于该第一大小的第二大小的其他未分配的安全域156a_156n的安全模块。在某些情况下,在具体安全域被分配之前或在该安全域被分配之后可以改变该安全域的大小。
[0108]向服务提供商分配安全域的过程通常包括与该具体服务提供商进行密钥交换,该服务提供商将在该安全域被分配时对其进行控制。在这种情况下,发行者控制的计算服务器184可以由安全模块114的制造商、合作伙伴120a或由某个其他实体管理。可以由服务提供商计算服务器160或者由发行者控制的计算服务器184来实施初始通信。发行者控制的计算服务器184将用服务提供商计算服务器160的具体指示和协作来加载具有适当的应用、功能、数据、安全值等的安全域156。服务提供商计算服务器160与发行者控制的计算服务器184之间的这些通信是安全的并且可以包括任何数量的密钥交换、密钥轮换或其他安全通信。
[0109]将信息加载到安全域156中的过程可以由发行者控制的计算服务器184、服务提供商计算服务器160或两个服务器的组合来执行。某些功能(如管理安全域156的执行功能或监管功能)自然地由发行者控制的计算服务器184来执行。由发行者控制的计算服务器184协作地翻转并执行或以其他方式管理其他功能。替代性地,特别是当有待被加载到安全域156内的信息(如密钥形成算法、算法、标识信息、生物识别信息、秘密处理或其他高度安全的数据)特别敏感时,服务提供商计算服务器160将管理加载安全域的任务。在这些情况下,当服务提供商计算服务器160正在与所分配的安全域156进行交互时,服务提供商在这些服务提供商应用和数据被加载到所分配的安全域156中时将经常轮换安全值。
[0110]在某些情况下,在加载安全域156之后,对安全域156进行引渡。此引渡程序操作以切断发行者控制的计算服务器184的对所分配的安全域156中的存储器的某些或全部进行访问的能力。一旦引渡过程完成,发行者控制的计算服务器184将保留与安全域156相关联的某些能力,但是发行者控制的计算服务器184无法在安全域156的某些区域或全部区域中读或写数据。
[0111]可由发行者控制的计算服务器184保留的一种能力是撤销服务提供商访问安全域156的能力。这可能基于控制安全模块的实体与服务提供商之间具体合同原因而发生,或者这可能由于其他原因而发生。发行者控制的计算服务器184可以能够删除或者以其他方式模糊化安全域156内的所有信息。在另外其他情况下,发行者控制的计算服务器184可以能够改变安全域156的存储器大小(例如,增加大小、减小大小)。
[0112]在某些情况下,发行者控制的计算服务器184能够在安全模块114的可用存储器内创建多个附加的安全域。
[0113]在移动装置112上执行的安全应用158提供多项服务以与在所分配的安全域156内执行的多种安全功能168进行交互。在某些实施例中,这些安全功能168提供符合ARA-M定义的多项服务。这些安全功能168提供对安全域156内的安全访问并且提供对运行于移动装置112上的安全应用158的认证。基于针对安全应用158所定义的这些访问规则,安全应用158可以被授权或被拒绝对安全域156内所存储的多种功能和数据的具体访问。以此方式,使用ARA-M规则体系,可以将合作伙伴120a置于对安全域156的这些操作的控制下。
[0114]安全应用158还提供了多项服务以与在安全域156内执行的多种服务提供商功能172进行交互。这些服务提供商功能172被安排为用于对传送自服务提供商计算服务器160并且存储于安全数据区域170内的安全数据进行加密和解密。使用多个共享安全值(如对于这些服务提供商功能172是已知的并且对于运行于服务提供商计算服务器160上的服务提供商应用是已知的多个加密密钥)来促进加密操作和解密操作。可以将这些安全值存储于安全域156的特定服务提供商密钥区域174内。在某些实施例中,存储于服务提供商密钥区域174内的第一安全值仅对于运行于服务提供商计算服务器160上的应用以及存储于安全域156内的这些服务提供商功能172是已知的。在这些实施例或替代性实施例中,存储于服务提供商密钥区域174内的第二安全值仅对于运行于移动装置112上的安全应用158以及存储于安全域156内的这些服务提供商功能172是已知的。通过启用具体的加密机制(如PKI),可以在移动装置112与安全模块114内的安全域156之间安全地通信信息。另夕卜,在移动装置与安全域之间安全地通信的数据包括仅可由这些服务提供商功能172和服务提供商计算服务器160访问的进一步加密的数据。
[0115]在某些情况下,还将附加的秘密信息存储于服务提供商密钥区域174内。例如,在某些情况下,可以将秘密的个人身份识别码(PIN)存储于服务提供商密钥区域174内。该PIN可以用于向在移动装置112上执行的安全应用158认证用户。还设想了向安全应用158认证用户的其他技术。
[0116]如在图7中所展示的,各种级别和类型的通信在安全应用158与所分配的安全域156之间传送。可以通过本领域技术人员已知的多种专用协议或其他协议来使能通信。在某些实施例中,通信遵循具体的应用协议接口(API)功能调用集合。这种API的一个示例是开放移动(Open Mobile) 3.0ΑΡΙ,其通过引用结合于此。设想了其他协议和框架。
[0117]在移动装置112上执行的安全应用158执行其他功能。例如,安全应用158在与安全域156进行交互之前或甚至在与安全模块114进行交互之前可以提供多次安全检查。例如,安全应用158可以提供信任根检查。信任根检查可以例如验证移动装置112的软件完整性。这种程序可以包括在引导期间针对固件签名的检查。在这些情况下,通过已知的程序来内部地存储固件签名。如果安全应用158检测到任何安全漏洞,安全应用158可以标记错误、可以对错误消息或警告消息进行通信、可以终止或可以采取某种其他措施。
[0118]在某些情况下,服务提供商将数字签名应用于安全应用158。可以通过在安全域156内执行的这些安全功能168或服务提供商功能172来验证该数字签名。除了数字签名之外或作为替代物,安全应用158可以承载来自证书授权(例如,VERISIGN)的证书。可以使用有效证书来确保安全应用158与运行于服务提供商计算服务器160上的应用之间的通信的安全性。可以将数字签名、有效证书以及其他附加的或替代性的信息存储于安全域156的安全数据区域170中。
[0119]在某些情况下,安全应用158通过已知技术来确定电话是否已经被刷机。如果电话已经被刷机,安全应用158将不会执行。在某些情况下,可以将对一个错误或另一个错误的检测包含于安全应用之内,并且然后该安全应用被挂起或终止。在其他情况下,对某些错误的检测还可能导致向安全域156传送指示。此指示(可以是装置或者已经受损或者可能很快会受损的具体指示)可能导致安全功能168或服务提供商功能172采取进一步的步骤来保护安全数据170。这些进一步的步骤可以包括进一步加密数据、模糊化数据、破坏数据或采取某种其他措施。
[0120]图8是编程数据流程图,展示了在已经部署在现场800内的安全模块中创建新的安全域。在802处,安全模块制造商设计用于安全模块的结构或者从安全模块的具体发行者处接收这样的设计。该安全模块制造商目标为将要被用于唯一地标识安全模块的电子ID(EID),并且该安全模块制造商针对将要在安全模块中创建的每个未分配的安全域生成应用标识符AID。安全模块制造商还将生成多个安全值以访问将要在安全模块内形成的这些结构。在某些情况(如具有与多个未分配的安全域相关联的多个安全值)下,这些安全值是为了临时使用而生成的。也就是,在未分配的安全域被分配给具体服务提供商的未来时间,使用这些临时安全值来实现供应,但是安全域随后被引渡,并且这些临时安全值变得不可用。
[0121]在804和806处,安全模块制造商与发行者控制的计算服务器184协作地工作以传递多个配置脚本,在这些配置脚本中,安全域创建于安全模块114中。如果在制造时间传递这些脚本,安全模块制造商直接在处于生产中的安全模块上执行该操作,该操作将发行者控制的计算服务器184随后将要用于分配和监管安全域的相关的EID、AID和安全值信息传递至发行者控制的计算服务器184。
[0122]在某些情况下,安全模块114被形成为具有一个未分配的安全域;在其他情况下,安全模块制造商在安全模块内形成多个未分配的安全域。将由安全模块制造商生成的EID存储于安全模块114的存储器中,并且将AID给予这些未分配的安全域中的每个未分配的安全域。在某些情况下,安全模块制造商将在安全模块114内创建多个安全域,但是少于该多个安全域的全部将配备有AID。在这些情况下,在未来的某个点上,在部署安全模块114之后,这些未分配的安全域中的不具有所加载的AID的一个或多个未分配的安全域可以配备有AID。
[0123]除了这些未分配的安全域,安全模块制造商还在安全模块114内形成多个发行者控制的安全域性质连同参照图8未讨论的其他结构。
[0124]同样在804和806处,将被创建以访问安全模块114的该多个安全值中的某些或全部、发行者控制的安全域、这些未分配的安全域中的每个未分配的安全域以及安全模块的需要安全访问的其他区域存储于发行者控制的计算服务器184和安全模块114中。还创建了多个具体脚本并且将其安装在安全模块114的发行者控制的安全域中。在制造期间、在部署期间以及在安全模块114被部署之后的时间,由发行者控制的计算服务器184来控制这些脚本。这些具体脚本用于供应可供服务提供商使用的多个未分配的安全域。
[0125]在806处,安全模块114 (如果尚未被部署)准备好进行部署。在某些情况下,在部署之前向一个或多个服务提供商授权访问这些未分配的安全域中的一个或多个未分配的安全域;在这些情况或其他情况下,在部署之后向一个或多个服务提供商授权访问这些未分配的安全域中的一个或多个未分配的安全域。在某些情况下,在移动装置上执行安全应用158充当在808处执行密钥交换活动的触发。也就是,例如,移动装置的用户可以下载由服务提供商提供的具体安全应用。当用户执行该应用时,安全应用158将形成与服务提供商计算服务器160的安全通信。此时,服务提供商计算服务器160在808处发起密钥交换活动以便获得对在用户的移动装置的安全模块114上的未分配的安全域的访问。
[0126]在808处,在服务提供商计算服务器160与发行者控制的计算服务器184和安全模块制造商中的任何一者或两者之间执行密钥交换活动。可以通过与授权访问这些安全域相关联的具体商业模型来确定在808处执行密钥交换活动的这些具体计算装置。密钥交换活动需要将多个具体的安全值从控制未分配的安全域的任何一个实体安全传递至服务提供商计算服务器160。当服务提供商计算服务器160接收到该安全值时,服务提供商计算服务器能够访问安全模块114上的至少一个安全域。
[0127]在810、812和814处,服务提供商计算服务器160向和从操作于移动装置上的安全应用158传送通信。安全应用1 58被适当地配置为用于与安全模块114协作地通信。在810处,密钥轮换程序通过安全应用158发起在服务提供商计算服务器160与安全模块114之间的安全通信。可以通过HTTPS服务器来实现在服务提供商计算服务器160与移动装置之间的通信,该HTTPS服务器使用这些经轮换的密钥来加密数据。如本文所讨论的,安全应用158可以通过任何有用的通信协议(如蓝牙、NFC、OM-API或某种其他协议)来与安全模块114进行通信。持有来自服务提供商的多个经轮换的密钥的安全模块114能够对来自服务提供商计算服务器160的数据进行解密并且对将要被发送回服务提供商计算服务器160的数据进行加密。由于在810处的密钥轮换程序,在安全模块114与服务提供商计算服务器160之间所传送的经加密的数据对所有其他参与者和实体(包括安全模块制造商和发行者控制的计算服务器184)保密。
[0128]在812处,服务提供商计算服务器160通过在移动装置上执行的安全应用158来向安全模块传送多个安全应用和安全应用数据。可以直接通过本文所描述的这些安全通信来传送该数据。
[0129]在812处的配置阶段完成之后,安全模块114被配置为用于如商家基础设施(例如,销售点(POS)终端)中,而不需要保持连接至安全应用158或服务提供商计算服务器160。
[0130]在814处,准许多个正常操作。以此方式,移动装置的用户能够与服务提供商计算服务器160安全地通信存储于安全模块114上的秘密数据。例如,如果服务提供商是运输服务提供商,用户可能能够安全地支付出租车费、火车费,更新参数(例如,到期日期、PIN码)等。用户还可以能够安全地设定旅行预订或执行与具体服务提供商所提供的商品和服务相关联的其他功能。类似地,如果服务提供商是医疗健康提供商,用户可以能够将医疗数据或其他健康相关数据输入到他们的移动装置内,并且移动装置与服务提供商之间的通信将会安全地进行。考虑了广泛范围的其他服务提供商和安全通信应用。
[0131]图9A是第一流程图部分900A,展示了对服务提供商安全域的监管和使用;并且图9B是第二流程图部分900B,展示了对服务提供商安全域的监管和使用。
[0132]在图9A中,处理开始于902。在这种情况下,用户正在操作移动装置。该移动装置与安全模块(例如,S頂卡、UICC卡、具有接近连接的个人装置等)相关联,并且该安全模块具有已经被特别配置过的存储器(例如,非易失性存储器)。安全模块中的存储器可以被配置为具有一个、两个或某些其他多个未分配的安全域。这些安全域中的每个安全域可以通过对应的安全值(如安全密钥)可访问的。在某些情况下,这是第一安全值(例如,第一安全密钥)。
[0133]在某些实施例中,该安全模块被分配唯一的电子标识符(EID)(如嵌入式UICC标识符)ο在这些实施例以及其他实施例中,这些未分配的安全域中的每个未分配的安全域可以具有为其所分配的唯一的应用标识符(AID)。EID和AID的组合足以允许从安全域的外部执行的编程功能对安全模块内的每个未分配的安全域进行唯一地标识。据此,第一安全值可以与EID、AID、EID与AID的组合、EID与AID以及某个其他值的组合或通过某种其他方式相关联(即,是基于其而形成的)。相应地,每个未分配的安全域的第一安全值可以不同于每个其他第一安全值。
[0134]访问该安全域可以包括以下程序,其中,具体的软件程序或功能向正在发行者控制的安全域内操作的功能呈现第一安全密钥,该发行者控制的安全域同样被配置于安全模块的存储器内。第一安全值可以与公共密钥基础设施(PKI)相关联,并且相应地,使用多个具体密钥的传送、形成和匹配对互相通信的一个或多个实体的完整性进行验证。
[0135]发行者控制的安全域可以包括具体的功能逻辑,如编程软件应用、电子电路或其某种组合从而为这些未分配的安全域中的每个未分配的安全域供应至少一个第二安全值。在某些情况下,发行者控制的安全域被准许向多个未分配的安全域读写数据,并且在该安全域被分配给服务提供商之后,该发行者控制的安全域被限制对该安全域的至少某部分读写数据。
[0136]为促进将数据传递入和传递出安全模块,该安全模块可以包括蓝牙、NFC、ISO或某种其他通信接口。安全模块还可以包括被耦接至存储器和通信接口两者的处理单元。
[0137]在902处,用户可以下载软件应用,如移动支付安全应用、政府服务应用、运输应用、健康应用或者启用安全地传送从移动装置输出的秘密数据或将秘密数据安全地传送到移动装置内的能力的某种其他应用。
[0138]在904处,在移动装置上执行的软件应用试图确定该移动装置是否是安全的。本领域技术人员已知的一种或多种技术可以确定电话何时被刷机、电话存储器何时已经被篡改、黑客攻击何时已经被检测到或者某种其他动作或操作何时已经导致移动装置不安全。如果通过软件确定了移动装置是不安全的,处理转到906,其中,对安全漏洞的报告、警告或某种其他操作可以发生。
[0139]在906之后,处理进行到908,并且软件应用终止。在908处,某些具体的动作可以发生,如对安全模块内的某些或全部数据进行加密、删除移动装置或安全模块上的数据、通过移动装置提供人类可检测的警告(例如,视觉、音频、触觉等)。
[0140]如果在904处移动装置是安全的,处理进行到910,其中,软件应用确定安全域是否已经被分配以供软件应用使用。以此方式,每次软件应用被实例化时,处理将穿过904和910。
[0141 ] 在安全域已经被分配之后,处理进行至“ B ”,将关于图9B对此进行讨论。
[0142]如果安全域尚未被分配(如当第一次运行软件应用时),处理将进行到912。
[0143]在912处,移动装置将试图从计算服务器中请求服务,该计算服务器由与该软件应用相关联的服务提供商操作或代表该服务提供商。与对服务的请求协作,具体的用户可以与移动装置进行交互。例如,在某些情况下,触摸屏或其他人类输入装置(HID)与由软件应用生成的视觉或音频提示进行协作。可以要求用户选择具体的服务(例如,公用事业、支付、旅行或某种其他服务)。可以要求用户选择具体的安全模块(例如,SIMUS頂2或可供它们的移动装置使用的某个具体安全模块)。可以要求用户输入个人信息(如个人身份识别码(PIN)),该个人信息用于在软件应用被实例化时向移动装置标识用户。
[0144]与在912处试图请求服务的移动装置协作,软件应用可以检索EID或唯一地标识安全模块的某种其他信息。该EID或其他信息可以用具体的安全值(即,图9A中的Sec.Val.A)来加密并且被发送至远程计算服务器,该远程计算服务器由服务提供商操作或代表该服务提供商。由于运行于移动装置上的软件应用是由软件提供商所提供的或者以其他方式与该软件提供商相关联,移动装置内的服务提供商远程计算服务器可以使用多个共享密钥、HTTPS连接或其他安全机制来进行安全通信。
[0145]在914处,由服务提供商操作或代表该服务提供商的远程计算服务器可以对由移动电话发送的数据进行解密,该数据将包括EID或对安全模块进行标识的其他信息。然后,远程计算服务器可以将该EID或对安全模块进行标识的其他信息传递至发行者控制的计算服务器。
[0146]该发行者控制的计算服务器可以由以下各项操作并代表以下各项:安全模块的制造商、安全模块的发行者、MNO或某种其他实体。
[0147]在916处,发行者控制的计算服务器将选择对安全模块内形成的未分配的安全域进行标识的具体AID。根据合同、商业关系或某种其他约定,由AID标识的安全域将被分配给服务提供商。还将检索与所选定的安全域相关联的安全值(即,图9A中的Sec.Val.B)。与移动装置的安全模块内的安全域相关联的安全值和AID将会被返回至与服务提供商相关联的计算服务器(即,处理返回至914)。
[0148]在某些可选的情况下,移动装置将直接与发行者控制的计算服务器进行通信。以虚线来展示912与916之间的这种处理以及916与920之间的处理。如果情况如此,均与将要被分配给服务提供商的安全域相关联的AID和安全值将会被从发行者控制的计算服务器返回至移动装置。
[0149]在916处,发行者控制的计算服务器将继续进行处理。发行者控制的计算服务器可以执行任何数量的可选功能。一种功能可以包括对相关联的数据库进行更新以指示哪个安全模块的哪个安全域将会被分配给哪个服务提供商。还可以在数据库中更新其他信息,如日期戳、时间戳、与分配安全域的约定相关联的细节以及许多其他细节。
[0150]发行者控制的计算服务器在916处可以执行的另一种功能是与安全模块上的发行者控制的安全域进行交互。这种交互将通常包括向在安全模块上的发行者控制的安全域内执行的应用传送命令、数据或命令和数据。这些命令和数据执行向服务提供商分配安全域所必需的多个动作。
[0151]如果不是在较早阶段执行,但是发行者控制的计算服务器在916处可以执行的又一种功能是对安全域进行引渡。引渡程序去除了对与现在被分配给服务提供商的安全域相关联的一个或多个存储器区域中的某些或全部。引渡程序向服务提供商提供了足够的保证:只有服务提供商将能够访问所分配的安全域的存储器。还可以在916处执行其他功能。
[0152]在安全模块内形成的这些未分配的安全域是可分配给服务提供商的。发行者控制的安全域可以包括准许或者以其他方式执行分配程序的多种功能。在某些情况下,多个安全域由安全模块的制造商、由安全模块的发行者、由移动网络运营商或由某个其他实体来分配。在某些情况下,可以在安全模块被部署在现场之后(如当安全模块被安装在移动装置内或以其他方式与移动装置相关联、并且用户拥有该移动装置并且用户正在使能移动装置执行附加功能时)将服务提供商分配给未分配的安全域。相应地,发行者控制的计算服务器可以被配置为用于与几十、几百或甚至几百万个移动装置进行对话,这些移动装置具有加载有在本披露中所讨论的这些类型的未分配的安全域和发行者控制的安全域。
[0153]处理进行至920。
[0154]在914处由服务提供商计算服务器进行的处理之后,处理继续在在移动装置上执行的软件应用内并且在服务提供商计算服务器内继续。
[0155]在918处,服务提供商计算服务器可以生成多个附加安全值(S卩,在图9A的918内的Sec.Val.C和Sec.Val.D),并且可以生成将要被加载到安全模块内的所分配的安全域内的多个具体服务提供商应用和服务提供商数据。服务提供商计算服务器可以用具体的安全值(即,在图9A的918内的Sec.Val.C)来加密这些应用和数据。然后,服务提供商可以进一步用与在移动装置上执行的软件应用共享的安全值来对经加密的数据进行加密,并且经过两次加密的数据被传递至移动装置。
[0156]在920处的移动装置内的处理继续进行来自服务提供商计算服务器、发行者控制的计算服务器或两个计算服务器的信息。
[0157]在920处,当从服务提供商计算服务器处接收到信息时,移动装置用正确的安全值(即,图9A的920中的Sec.Val.A)对该信息进行解密。
[0158]在920处,在移动装置上执行的软件应用使用由发行者控制的计算服务器提供的AID和安全值打开安全模块上的所分配的安全域。还可以将一个或多个附加的安全值加载到安全域内。使用具体的安全值,可以使用在所分配的安全域内所加载的多种功能来对由服务提供商计算服务器提供的这些应用和数据进行解密,并且然后这些应用和数据可以用于该所分配的安全域内。
[0159]在加载之后,可以在所分配的安全域内执行由服务提供商计算服务器所提供的或与服务提供商计算服务器相关联的一个或多个应用。此时,已经将与移动装置相关联的安全模块部署在现场。该安全域已经由发行者控制的计算服务器分配,并且该安全域不再可供用于分配至不同的服务提供商。
[0160]处理回到“A”,其继续进行在910处在移动装置上的软件应用的操作。在这种情况下,由于安全域现在已经被分配和供应,处理前进至“B”,其呈现于图9B中。
[0161]转到图9B,处理开始于“B”,其一直进行到922。
[0162]在922处,在移动装置上执行的软件应用将与用户进行交互。用户可以使用PIN码来访问该应用或该应用内的多个具体特征。用户可以输入信用卡信息(例如,信用卡号、到期日期、与物理信用卡相关联的安全号等)。用户可以输入健康信息、生物识别信息、银行信息或与软件应用和服务提供商相关联的任何类型的信息。
[0163]在移动装置上执行的软件应用可以与执行在924处的处理的服务提供商计算服务器进行通信。另外或替代性地,在移动装置上执行的软件应用可以与执行在926处的处理的发行者控制的计算服务器进行通信。相应地,服务提供商计算服务器和发行者控制的计算服务器可以互相通信。
[0164]在924处,服务提供商计算服务器将与在移动装置上执行的软件应用进行交互。在某些情况下,通信是在服务提供商计算服务器与在移动装置上执行的软件应用的那些高级功能之间进行的。在其他情况下,通信是在服务提供商计算服务器与在安全模块的所分配的安全域内执行的多种功能之间进行的。相应地,在924处的处理包括接收经加密的数据以及以与移动装置相关联的安全值进行的数据解密和以与安全域相关联的安全值进行的数据解密。
[0165]在924处的附加处理包括生成、存储、分析以及在服务提供商计算服务器内对数据进行的其他操作。服务提供商计算服务器可以执行多种密钥轮换功能以维护在移动装置上的软件应用与操作于安全域内的多种功能之间的安全通信。另外,服务提供商计算服务器可以请求安全域内的更多存储器。在这种情况下,服务提供商计算服务器访问发行者控制的计算服务器的多种监管功能以执行请求,并且发行者控制的计算服务器执行或拒绝在926处的处理中的请求。还可以由安全服务提供商计算服务器来请求、删除或以其他方式管理其他特征。
[0166]在926处,发行者控制的计算服务器还被安排为用于:接收经加密的数据、以与服务提供商相关联的安全值对经加密的数据进行解密、对安全域进行改变、以与安全域相关联的安全值对数据进行加密以及或者直接地或者通过服务提供商计算服务器来将该数据发送至安全域。
[0167]在发行者控制的计算服务器内的附加处理可以包括多种密钥轮换程序,并且还可以包括添加、删除或更改与存储器相关联的多个具体特性。进一步的附加处理在存储于安全域内的那些功能中可以包括使能附加特征、加载附加特征、校正附加特征等。在某些情况下,可以在安全状态下删除、加密、锁定或以其他方式管理安全域。
[0168]在某些情况下,可以令人期望地终止操作于移动装置上的软件应用内的处理、月艮务提供商计算服务器内的处理以及替代性地或另外与具体安全模块相关联的发行者控制的计算服务器内的处理。在928处,如果处理将要结束,处理结束于930。替代性地,处理可以进行并且返回至“B”。
[0169]现在考虑本文所描述的架构的一个实现方式。在该架构中,用户佩戴智能训练带。该智能训练带执行多个所期望的特征,如计数步数、测量脉搏、检测运动级别、睡眠质量以及其他功能。在这种 情况下,训练带的制造商想要向用户提供支付例如咖啡店处的服务的功能。
[0170]使用常规的技术,训练带的制造商将需要针对可信服务管理者(TSM)的那些服务进行购买、构建或以其他方式签约,并且该训练带制造商还将要求对信用服务提供商TSM的服务的整合。如前所述,这种整合使用常规的技术是非常复杂并且昂贵的。然而,在本文所描述的这些新系统下,训练带可以被形成为在训练带内包括安全模块(如图4的安全模块 114)ο
[0171]如本文所使用的,术语“安全值”和“安全数据”指的是典型用户将希望避免被众所周知或以其他方式免费获取的电子地存储的信息。这两个术语可以如由使用背景所指示的那样来可互换地使用。在某些情况下,安全信息对看到该信息的人类而言是可辨别的。在某些情况下,安全信息对人类来说是不可辨别的而是反而要求用于解释和使用的计算装置。非限制性示例列表包括:银行账号或与其他金融机构相关联的账号;信用卡号和相关联的数据;借记卡号和相关联的数据;生日;密码;个人身份识别码(PIN);健康信息;个人电话号码或其他个人联系方式;社会保障信息;护照信息;移动账号信息;生物识别数据,如指纹、虹膜扫描等;税收标识符或与税收相关联的其他信息;用于车辆、枪支以及其他个人财产和不动产的注册信息;照片或其他媒体;视频或其他多媒体;以及个人或实体将期望保持私密(例如,保密)并且可以被电子地存储的任何其他类型的信息。由安全模块114、安全软件应用或某种其他服务基础设施有目的地创建以标识交易、事件、事项、用户等的瞬时数据也可以是安全数据。还设想了典型的用户将期望保护和控制的其他信息。
[0172]在本文还可以被称为订户身份模块(S頂)的安全模块(如图4中的安全模块114)有时被实施为具有一个截断角的小正方形或矩形。S頂具有至少一个集成存储器装置以及某种受限计算功能。S頂卡的具体形状、电子管脚配置以及操作特性在某些情况下由一个或多个全球移动通信系统(GSM)移动通信标准来管理。
[0173]在其他情况下,安全模块被实施为通用集成电路卡(UICC)。UICC被认为是新一代S頂。UICC通常与符合3G和4G电信标准以及某些非GSM电信标准的移动通信系统相兼容。UICC包括计算处理器、数据存储存储器以及可执行软件(其经常被实施于在该计算处理器上运行的一个或多个应用内)。例如,通用订户身份模块(US頂)应用向移动网络服务提供商提供激活的简档功能以对订户和相关联的签约服务进行标识。UICC常规地与通用移动电信系统(UMTS)、高速分组接入(HSPA)系统、长期演进(LTE)系统、载波检测多址访问(CDMA)系统以及其他系统相兼容。UICC还可以提供用于IP多媒体服务身份模块(IS頂)的应用以保证对多媒体服务和其他非电信应用(如移动支付服务、金融服务、银行服务、个人保健服务等)的移动访问。
[0174]在另外其他情况下,移动装置内的嵌入式移动UlCC(eUICC)装置或某个其他逻辑执行本文关于图4中的安全模块114所描述的那些功能。
[0175]本文引用了计算装置的非限制性实施例(如与服务提供商132相关联的服务提供商远程计算服务器160 (图6)和发行者控制的计算服务器184 (图7)),但是为简洁和简化起见,没有进行详细描述。计算装置被理解为包括在常规的计算装置中找到的操作硬件,如一个或多个中央处理单元(CPU)、易失性和非易失性存储器、符合各种标准和协议的串行和并行输入/输出(I/O)电路、有线和/或无线联网电路(例如,通信收发器)等。
[0176]据此,术语处理器、处理单元等在本披露中用来指代单独地、共享的或在一个组内的具有一个或多个处理核(例如,执行单元)的一个或多个处理单元,包括执行指令的中央处理单元(CPU)、数字信号处理器(DSP)、微处理器、微控制器、状态机等。例如,如本文所使用的,处理单元可以包括主机应用处理器、基带处理单元、安全模块处理单元以及单个结构或分布式结构的其他处理单元的全部或任何部分。
[0177]在本披露中,讨论了各种软件应用、小应用程序等。本文所讨论的软件是由存储于存储器内的多条处理器可执行指令形成的。存储器可以被安排在一种配置或另一种配置中。存储器可以被安排为用于存储数据。替代性地或另外,存储器可以是非瞬态计算机可读介质(CRM),其中,该CRM被配置为用于存储可由处理器执行的多条指令。这些存储器可以单独地存储或者作为文件中的指令组存储。这些文件可以包括功能、服务、库等。这些文件可以包括一个或多个计算机程序或者可以是较大计算机程序的一部分。替代性地或另外,每一个文件可以包括可用于执行在本披露中所描述的系统、方法和设备的计算功能的数据或其他计算支持材料。
[0178]在本披露中,术语“移动装置”用于指示能够通过无线通信网络(如蜂窝移动装置网络、卫星移动装置网络或某种其他移动装置网络)来进行通信的计算装置。理解到,能够进行这种通信的装置自身可以是移动的或者以其他方式便携式的。相反地,能够进行这种通信的装置可以是临时或永久固定的。如本文所使用的,移动装置可以被实施为蜂窝电话、智能电话、平板计算机、膝上型计算机、可穿戴计算机、电动车辆计算机、家庭防盗系统、遥测系统或某种类似的装置。如本文所使用的术语移动装置并不旨在是限制性的;相反,该术语用于帮助读者理解本披露的各个实施例。
[0179]如本文所使用的,术语“逻辑”可以是指电路、软件或电路和软件的组合。
[0180]如本文所使用的,术语“模块”是指可操作用于执行一个或多个软件或固件程序的电子电路、处理器(例如,共享处理器、专用处理器、组处理器、单核处理器、多核处理器等)和存储器、专用集成电路(ASIC)、联合逻辑电路或提供关于模块所描述的功能的对合适的部件(或者硬件或者软件)的某种其他单独或协作的耦合。
[0181]本文引用了计算装置的非限制性实施例,但是为简洁和简化起见,没有进行详细描述。计算装置被理解为包括在常规的计算装置中找到的操作硬件,如一个或多个中央处理单元(CPU)、易失性和非易失性存储器、符合各种标准和协议的串行和并行输入/输出(I/O)电路、有线和/或无线联网电路(例如,通信收发器)等。
[0182]本文所呈现的流程图(甚至是其中显示多个框以通信数据的非常规流程图)展示了可以由本文所描述的这些装置的实施例用来创建、分配和使用形成于安全模块内的多个未分配的安全域的过程。在此方面,每个所描述的过程可表示软件代码模块、分段或部分,其包括用于实现指定逻辑功能的一个或多个可执行指令。还应当注意,在某些实现方式中,过程中所指出的那些功能可以根据不同的顺序发生、可以包括附加功能、可以同时发生、和/或可以被省略。
[0183]在之前的描述中,列举了某些特定的细节以便提供对所披露的不同实施例的全面理解。然而,相关领域的技术人员将会认识到,多个实施例可以无需这些具体细节中的一个或多个细节来实践,或者可以使用其他方法、部件、材料等来实践。在其他实例中,并未详细示出或者描述与电子和计算系统(包括客户端和服务器计算系统)以及网络相关联的公知结构,以避免对这些实施例的不必要的晦涩说明。
[0184]除非上下文另有要求,否则贯穿说明书和所附权利要求书,“包括(comprise) ” 一词及其多种变体(诸如,“包括(comprises) ”和“包括(comprising)”)将以一种开放式的和包含性的意义来进行解释,例如,“包括,但不限于(including, but not limited to)”。
[0185]贯穿本说明书所提到的“一个实施例”或“一种实施例”及其组合是指与该实施例相关联地描述的具体的特征、结构或特性被包括在至少一个实施例中。因而,贯穿本说明书,短语“在一个实施例中”或“在一种实施例中”在不同场合中的出现并不必定都是指相同的实施例。另外,特定特征、结构或特性可以根据任何合适的方式组合在一个或多个实施例中。
[0186]如在本说明书和所附权利要求书中所使用的,除非文中另外明确指明,否则单数形式的“一种”、“一个”以及“所述”包括复数对象。还应注意,术语“或者”总体上所使用的意义包括“和/或”,除非内容另外明确指明。
[0187]本文提供的本披露的小标题以及摘要只是为了方便起见,而并非解释这些实施例的范围或含义。
[0188]可将以上所描述的各实施例进行组合以提供进一步的实施例。鉴于以上的详细描述,可以对实施例做出这些和其他改变。总之,在以下权利要求书中,所使用的术语不应当被解释为将权利要求书局限于本说明书和权利要求书中所披露的特定实施例,而是应当被解释为包括所有可能的实施例、连同这些权利要求有权获得的等效物的整个范围。相应地,权利要求书并不受到本披露的限制。
[0189]根据上面的详细描述可以对实施例进行这些和其他改变。总之,在以下权利要求书中,所使用的术语不应当被解释为将权利要求书局限于本说明书和权利要求书中所披露的特定实施例,而是应当被解释为包括所有可能的实施例、连同这些权利要求有权获得的等效物的整个范围。相应地,权利要求书并不受到本披露的限制。
【主权项】
1.一种具有为其所分配的唯一的电子标识符(EID)的安全模块,所述安全模块包括: 通信接口 ; 非易失性存储器,所述非易失性存储器具有在其内所配置的多个未分配的安全域,所述未分配的安全域中的每个未分配的安全域都具有为其所分配的唯一的应用标识符(AID),所述未分配的安全域中的每个未分配的安全域都能够通过对应的第一安全值来访问;以及 处理单元,所述处理单元被耦接至所述通信接口和所述非易失性存储器。2.如权利要求1所述的安全模块,其中,所述未分配的安全域中的每个未分配的安全域的每个对应的第一安全值都不同于每个其他第一安全值。3.如权利要求1所述的安全模块,其中,每个第一安全值都与所述对应的未分配的安全域的所述AID相关联。4.如权利要求1所述的安全模块,其中,所述非易失性存储器进一步具有在其上所配置的: 功能逻辑,以便为所述未分配的安全域中的每个未分配的安全域供应至少一个第二安全值。5.如权利要求4所述的安全模块,其中,发行者控制的安全域被准许向所述多个未分配的安全域中的第一安全域读写数据,并且其中,在所述第一安全域被分配给服务提供商之后,所述发行者控制的安全域被限制对所述第一安全域的至少某部分读写数据。6.如权利要求1所述的安全模块,其中,每个第一安全值都是与公钥基础设施(PKI)相关联的安全值。7.如权利要求1所述的安全模块,其中,在所述安全模块被部署之后,能够将所述多个未分配的安全域中的一个未分配的安全域分配给服务提供商。8.如权利要求1所述的安全模块,其中,所述通信接口遵循近场通信(NFC)协议。9.如权利要求1所述的安全模块,其中,所述安全模块是通用集成电路卡(UICC)。10.如权利要求1所述的安全模块,其中,所述安全模块是订户身份模块(SM)。11.一种系统,包括: 多个安全模块,所述多个安全模块中的每个安全模块都包括: 通信接口 ; 非易失性存储器,所述非易失性存储器具有在其内所配置的: 唯一的电子标识符(EID),所述唯一的电子标识符与对应的安全模块相关联; 多个未分配的安全域,所述未分配的安全域中的每个未分配的安全域都具有为其所分配的唯一的应用标识符(AID),所述未分配的安全域中的每个未分配的安全域都能够通过对应的第一安全值来访问;以及 发行者控制的安全域; 功能逻辑,以便为所述未分配的安全域中的每个未分配的安全域供应至少一个第二安全值;以及 处理单元,所述处理单元被耦接至所述通信接口和所述非易失性存储器; 至少一个计算服务器;以及 与所述至少一个计算服务器相关联的至少一个数据库,所述至少一个数据库被安排为用于存储多个第一安全值,其中,所述至少一个计算服务器被安排为用于通过将所述多个第一安全值中的所选定的第一安全值传送至服务提供商来将所述多个安全模块中的所选定的安全模块的所述多个未分配的安全域中的所选定的安全域分配给所述服务提供商,所述所选定的第一安全值对应于所述所选定的安全模块的所述所选定的安全域的所述对应的第一安全值。12.如权利要求11所述的系统,其中,所述服务提供商被配置为用于生成第二安全值,所述第二安全值被存储于所述所选定的安全模块中。13.如权利要求12所述的系统,其中,在移动装置上执行的安全应用被配置为用于通过将数据与所生成的第二安全值相关联来向所述所选定的安全模块的所述所选定的安全域的存储器读取所述数据或写入所述数据。14.如权利要求11所述的系统,其中,所述所选定的安全模块与移动装置相关联。15.如权利要求14所述的系统,其中,所述服务提供商是远程计算服务器,并且其中,所述远程计算服务器与所述移动装置之间的通信遵循安全超文本传输协议(HTTPS)。16.一种供应安全模块的方法,所述安全模块具有存储器,所述存储器具有在其内所配置的多个未分配的安全域,所述未分配的安全域中的每个未分配的安全域都能够通过对应的第一安全值来访问,所述方法包括: 在与所述安全模块相关联的移动装置上执行安全应用; 在所述移动装置与服务提供商计算服务器之间建立安全通信连接; 从所述服务提供商计算服务器接收以第一安全值加密的数据以及所述多个未分配的安全域中的所选定的安全域的标识符,其中,以所述第一安全值加密的所述数据包括第二安全值和安全域应用; 将以所述第一安全值加密的所述数据以及所述所选定的安全域的所述标识符传递至所述安全模块,所述第一安全值对应于存储在所述所选定的安全域中的安全值; 从所述服务提供商计算服务器接收以所述第二安全值加密的数据;以及 将以所述第二安全值加密的所述数据传递至所述所选定的安全域。17.如权利要求16所述的方法,包括: 以所述安全域应用对经加密的数据进行解密。18.如权利要求16所述的方法,其中,所述第一安全值基于被分配给所述所选定的安全域的应用标识符(AID)以及被分配给所述安全模块的电子标识符(EID)。19.如权利要求16所述的方法,其中,所述服务提供商计算服务器与所述移动装置之间的通信遵循安全超文本传输协议(HTTPS)。20.如权利要求16所述的方法,其中,所述安全应用是移动支付安全应用。
【专利摘要】本申请涉及移动装置安全模块中的客户端可访问的安全区域。一种安全模块具有所分配的唯一的电子标识符。该安全模块具有通信接口、非易失性存储器以及被耦接至该通信接口和该非易失性存储器的处理单元。在该非易失性存储器中形成一个或多个未分配的安全域,并且这些未分配的安全域中的每个未分配的安全域都具有所分配的唯一的应用标识符(AID)。这些未分配的安全域中的每个未分配的安全域都可通过对应的第一安全值来访问,并且,使用该对应的第一安全值,在部署该安全模块之前或之后,这些未分配的安全域中的每个未分配的安全域都可以被分配给服务提供商。
【IPC分类】G06F21/62, G06F21/60
【公开号】CN105488427
【申请号】CN201510647100
【发明人】P·戈拉, F·瓦龙
【申请人】意法半导体公司
【公开日】2016年4月13日
【申请日】2015年10月8日
【公告号】EP3007479A1, US20160099923
【技术领域】
[0001]本披露总体上涉及远程网络计算服务器与移动装置之间的安全通信。更具体地但并非排他性地,本披露涉及一种具有多个未分配的安全域的安全模块,这些未分配的安全域中的每个未分配的安全域都可在随后分配给客户端。
【背景技术】
[0002]通常而言,远程服务器主控与在移动通信装置(如智能电话)上执行的其他软件应用进行交互的软件应用。服务提供商执行与安全模块发行者的密钥交换活动。然后,执行一个或多个密钥多样化功能以导出其他秘密密钥,这些其他秘密密钥用于对将在远程服务器与移动装置之间通信的秘密信息进行加密。将经加密的信息从远程服务器传送至移动网络运营商(MNO),并且MNO将数据传送至移动装置。在移动装置中,需要订户身份模块(SM)以对每个秘密信息包进行解码。替代性地,移动装置使用存储在SIM中的秘密密钥数据来加密信息并且将经加密的信息传送至ΜΝ0,该MNO将该经加密的信息转发至远程服务器。
[0003]图1展示了通过移动网络1a对安全数据的常规的供应和基于安全卡的通信。在图1中,安全通信基础设施包括移动装置12,如与安全模块14 (如,S頂卡)相关联(例如,其内嵌入有或放置有安全模块)的智能电话。移动装置具有与安全模块14的直接通信关系16。这些通信可以通过单线协议(SWP)总线、I2C总线、串行外围接口(SPI)总线或某种其他通信路径和协议发生。
[0004]图1中的移动装置12被展示为智能电话,但是设想了其他装置。例如,移动装置12可以被实施为平板计算装置、膝上型计算机、多媒体装置、训练设备,或者以某种其他形式来实施。移动装置12可以是被安排为用于在广域无线网络(如,遵循3G、4G GSM协议、长期演进(LTE)协议、5G协议或某种其他无线通信网络协议的蜂窝网络)上进行无线通信18的任何计算装置。通常,广域无线网络由网络服务提供商20 (也被称为移动网络运营商(MNO))所监管。
[0005]移动装置12与提供无线移动网络服务的MNO 20进行通信。MN020与安全模块14内的数据密切对准,并且通常MNO 20将初始数据供应到安全模块14内。通常而言,在移动装置访问由MNO 20所提供的服务的通信会话(例如,电话呼叫、电子邮件、文本消息等)中,来自安全模块14的信息被传送至MNO 20。
[0006]安全元件发行者可信服务管理者(SE1-TSM) 22向MNO 20和其他实体提供密码工具和数据24 (如公钥和私钥)以及加密/解密算法,这些实体中的某些实体与MNO 20相关联。SE1-TSM 22可以是MN020、硅制造商(如意法半导体公司)、制造移动装置的原始设备制造商(OEM)或某种其他实体。由SE1-TSM 22执行的一种有价值的功能是建立到安全模块的安全超文本传输协议(HTTPS)链接。
[0007]当正在供应用于新的服务提供商的新的关系集合时,SE1-TSM22在安全模块中创建新的服务提供商安全域(SPSD)。在密钥活动期间所交换的安全密钥被编程用于安全域内并且用于由服务提供商的可信服务管理者进一步访问。在某些情况下,SE1-TSM 22还可以引渡SPSD,这意味着该SE1-TSM可以删除或以其他方式放弃其向SPSD读取或写入任何数据的能力。在安全模块14的SPSD被引渡之后,SE1-TSM 22将向源自SP-TSM或以其他方式的安全模块传送安全(即,经加密的或以其他方式模糊化的)包,但是SE1-TSM 22将不会具有查看或以其他方式解释正被传送的数据包的任何能力。
[0008]与服务提供商(SP-TSM) 26相耦接的第二可信服务管理者通过可选的互操作性促进器28而与SE1-TSM 22分离开。互操作性促进器28准许在可信服务管理者以及其他计算装置之间共享不同的数据结构、协议等。SP-TSM 26通过相同的或不同的互操作性促进器28被耦接至一个或多个服务提供商32。
[0009]SP-TSM 26与SE1-TSM 22交换安全信息。可以将来自SP-TSM的多个密钥编程到安全模块14的SPSD中,并且将与该SPSD相关联的其他密钥传送至服务提供商32。宽泛地讲,SP-TSM 26用对应于SPSD的那些密钥来对数据进行加密,并且其对来自服务提供商的数据进行解释。SP-TSM 26还将来自服务提供商的数据格式化成多个应用协议数据单元(APDU),这些应用协议数据单元由安全模块所识别并且由在移动装置上执行的应用展开。
[0010]服务提供商32常规地包括大型的国家和国际银行服务提供商(如美国银行和花旗银行)、支付服务提供商(如VISA和MASTERCARD)、大型零售商(如苹果、塔吉特(TARGET)和星巴克)等。
[0011]图1中所描述的系统是非常复杂并且非常昂贵的。为了实现这样的系统,要求服务提供商32获取它们自身的可信服务管理者或支付对可信服务管理者的非常昂贵的、定制的访问。也就是,图1的SP-TSM 26对于服务提供商向它们的客户提供移动支付而言是必需的,并且因此服务提供商必须设置它们自身的SP-TSM 26(这是非常昂贵的),或者服务提供商必须针对向SP-TSM 26的特定访问签约(这同样是非常昂贵的)。
[0012]SP-TSM 26形成与安全元件发行者可信服务管理者(SE1-TSM) 22的安全的通信关系。宽泛地来看图1,SP-TSM 26形成与具体服务提供商32的安全关系;并且SE1-TSM 22通过由MNO 20控制的网络形成与安全模块14的安全关系。以此方式,服务提供商32能够安全地与具体客户上的安全模块14交换秘密信息。通信关系中的安全性是通过这两个可信服务管理者SP-TSM 26与SE1-TSM 22之间的通信启用的。相应地,一旦安全模块14由客户所使用,新的服务只能通过SP-TSM 26与SE1-TSM 22之间的连接来部署。
[0013]更密切地看,在服务提供商32与安全模块14之间传送安全数据的过程变得非常复杂。服务提供商与其相关联的SP-TSM 26之间的关系需要在这些装置之间维护并传送的具体安全机制,并且在SE1-TSM22与安全模块14之间的关系也需要在这些装置之间维护并传送的多个具体安全密钥。这些可信服务管理者基于多个经轮换的密钥来传送经加密的数据,并且维护安全的和有效的密钥的复杂性通过密钥交换活动、密钥多样化程序和密钥轮换技术来执行。使用在每个装置以及几百个、几千个以及甚至几百万个装置上的多个应用,除其他事项外,常规的过程要求精准的定时、大量的计算资源、较大的通信带宽以及大量的功率。这种基础设施是必需的,因为通用HTTPS服务器(如由服务提供商32实现的)无法安全地与移动装置上的安全模块14进行对话,即使当安全模块包括承载独立协议(BIP)接口时。换言之,即使可以在常规的安全模块中存储并执行安全服务,常规的安全模块仅被启用以用于与可信服务管理者的安全通信。
[0014]目前正在使用常规的供应和基于安全卡的通信系统的两个常规模型。
[0015]图2A展示了以多服务提供商可信服务管理者方式1b进行的图1的常规的供应和基于安全卡的通信。在图2A中,展示了三个服务提供商:银行服务提供商32a、政府服务提供商32b和零售服务提供商32c,并且这些服务提供商中的每个服务提供商具有专用的SP-TSM26a-26co以这种委托管理方式,所有的SP-TSM通过中央SE1-TSM 22a通信至与移动装置12a相关联的安全模块14a,该移动装置在由具体移动网络运营商(MNO) 20a操作的无线网络上进行通信。这种架构的实现和维护对于这些服务提供商32a-32c中的每一个服务提供商而言都是非常昂贵的,因为这些服务提供商32a-32c中的每一个服务提供商都必须设置被明确地配置为用于通过通常由MNO或安全卡OEM控制的SE1-TSM 22a进行安全通信的SP-TSM 26a-26c0经常,这种方式无法被调整用于较小的银行、公共事业服务提供商、零售设施等。
[0016]图2B展示了以单个服务提供商可信服务管理者方式1c进行的图1的常规的供应和基于安全卡的通信。在单个SP-TSM方式中,展示了三个服务提供商:运输服务提供商32d、娱乐服务提供商32e和商业服务提供商32f ;并且它们全部共享单个SP-TSM 26d的那些资源以通过SE1-TSM 22b进行通信。这些服务提供商通过移动装置12b将由MNO 20b操作的载体上的多个安全通信传送至具体的安全模块14b。以这种方式,服务提供商32d-32f和SE1-TSM 22b各自针对SP-TSM 26d所导致的服务对SP-TSM 26d进行补偿。由于当前架构限制和与SE1-TSM 22b交换密钥和其他信息的复杂性,服务提供商32d-32f并不直接地接近或将通信传送至SE1-TSM 22bο
[0017]在多服务提供商可信服务管理者方式1b中,每个服务提供商拥有或者以其他方式控制专用的TSM0当前,通常认为某些非常大型的服务提供商优选这种方式,因为即使其比较昂贵(例如,使SP-TSM26a-26c在线可能花费一百万美元或更多),该大型服务提供商可以将其自身与它的无法承担或调整该投资的小得多的竞争者区分卡来。例如,即使在美国有超过2000家特许银行,只有极少几家最大的银行已经建立并控制专用SP-TSM 26a。
[0018]在单个服务提供商可信服务管理者方式1c中,单个集中式TSM协商各个服务提供商26d_26f与这些安全模块(SE1-TSM)的发行者之间的关系。该协商促进了协作技术安排,从而使得服务提供商的软件应用和安全协议(例如,密钥轮换、多样性等)与安全模块的相应的应用和协议进行协作。在这些情况下,多个服务提供商可以全部贡献或以其他方式投资一个财团以创建并维护中央SP-TSM。
[0019]在背景部分中所讨论的主题的全部不一定都是现有技术,并且不应该仅仅由于在背景部分中对其的讨论而被假定为现有技术。据此,除非明确地阐明为是现有技术,对在背景部分中所讨论的或与这种主题相关联的现有技术中的问题的任何识别不应被看作现有技术。相反,对在背景部分中的任何主题的讨论都应该被看做发明人解决具体问题的方法的一部分,其本身以及本质上也可以是有创造性的。
【发明内容】
[0020]移动装置和远程计算服务器可以使用通过由移动网络运营商(MNO)监管的多个计算服务器减少或消除通信的技术来交换安全数据。例如,一个实施例涉及一种在移动装置与服务提供商之间进行通信的方法。该方法包括在安全模块中定义至少一个安全存储器区域的操作,并且将应用签名存储于该至少一个安全区域内。规则集用于定义对该至少一个安全区域内的某些属性的访问,其中,这些属性可以包括安全存储器存储、多种处理功能等。因此,远程服务提供商的计算服务器被通信地耦接至移动装置上。该计算服务器发送请求以在移动装置与远程服务提供商计算服务器之间传送数据。从该至少一个安全区域中检索出该应用签名,并将其与从计算服务器中所检索出的应用签名进行验证。一旦经过验证,安全数据将在远程服务提供商计算服务器与移动装置之间通信。移动装置上的安全模块是唯一可以对这些通信进行加密和解密的装置。该安全模块通过经验证的应用签名通过移动装置上的用于创建经验证的应用签名的安全应用来仅对安全数据进行通信。
[0021]在某些实施例中,一种安全模块具有所分配的唯一的电子标识符。该安全模块具有通信接口、非易失性存储器以及被耦接至该通信接口和该非易失性存储器的处理单元。在该非易失性存储器中形成一个或多个未分配的安全域,并且这些未分配的安全域中的每个未分配的安全域都具有所分配的唯一的应用标识符(AID)。这些未分配的安全域中的每个未分配的安全域都可通过对应的第一安全值来访问,并且,使用该对应的第一安全值,在部署该安全模块之前或之后,这些未分配的安全域中的每个未分配的安全域都可以被分配给服务提供商。
[0022]在第一实施例中,一种安全模块具有为其所分配的唯一的电子标识符(EID)。该安全模块可以包括:通信接口 ;非易失性存储器,该非易失性存储器具有在其内所配置的多个未分配的安全域,这些未分配的安全域中的每个未分配的安全域都具有为其所分配的唯一的应用标识符(AID),这些未分配的安全域中的每个未分配的安全域都可通过对应的第一安全值来访问;以及被耦接至该通信接口和该非易失性存储器的处理单元。在安全模块的这些和其他实施例中,这些未分配的安全域中的每个未分配的安全域的每个对应的第一安全值都不同于每个其他第一安全值,并且在某些情况下,每个第一安全值都与该对应的未分配的安全域的AID相关联。
[0023]在某些情况下,该非易失性存储器被进一步配置为包括功能逻辑以便为这些未分配的安全域中的每个未分配的安全域供应至少一个第二安全值。在某些情况下,发行者控制的安全域被准许向该多个未分配的安全域中的第一安全域读写数据,并且在该第一安全域被分配给服务提供商之后,该发行者控制的安全域被限制对该第一安全域的至少某部分读写数据。每个第一安全值都是与公钥基础设施(PKI)相关联的安全值。在安全模块被部署之后,可将该多个未分配的安全域中的至少一个未分配的安全域分配给服务提供商。在某些情况下,安全模块的通信接口遵循近场通信(NFC)协议。在某些情况下,安全模块是通用集成电路卡(UICC),并且在其他情况下,安全模块是订户身份模块(SM)。
[0024]在第二实施例中,一种系统包括多个安全模块,并且该多个安全模块中的每个安全模块都包括通信接口、非易失性存储器以及被耦接至该通信接口和该非易失性存储器的处理单元。该系统还包括至少一个计算服务器以及与该至少一个计算服务器相关联的至少一个数据库。
[0025]关于该多个安全模块,每个安全模块都具有在其内所配置的与该对应的安全模块相关联的唯一的电子标识符(EID)以及多个未分配的安全域。这些未分配的安全域中的每个未分配的安全域都具有为其所分配的唯一的应用标识符(AID)。这些未分配的安全域中的每个未分配的安全域都可通过对应的第一安全值来访问。每个安全模块还具有在其内所配置的发行者控制的安全域以及功能逻辑以便为这些未分配的安全域中的每个未分配的安全域供应至少一个第二安全值。
[0026]该系统中的一个或多个数据库被安排为用于存储该多个第一安全值,并且该至少一个计算服务器被安排为用于将该多个安全模块中的所选定的安全模块的该多个未分配的安全域中的所选定的安全域分配给服务提供商。该分配是通过将该多个第一安全值中的所选定的第一安全值传送至该服务提供商来进行的。该所选定的第一安全值对应于该所选定的安全模块的该所选定的安全域的该对应的第一安全值。
[0027]在某些情况下,服务提供商被配置为用于生成第二安全值,该第二安全值存储于该所选定的安全模块中。在某些情况下,在移动装置上执行的安全应用被配置为用于通过将数据与所生成的第二安全值相关联来向该所选定的安全模块的该所选定的安全域的存储器读取数据或写入数据。
[0028]在该系统中,该所选定的安全模块与移动装置相关联,并且该服务提供商可以是远程计算服务器。当出现这种情况时,远程计算服务器与移动装置之间的通信可以遵循安全超文本传输协议(HTTPS)。 [0029]在第三实施例中,一种方法供应具有存储器的安全模块。该安全模块的该存储器具有在其内所配置的多个未分配的安全域,并且这些未分配的安全域中的每个未分配的安全域都可通过对应的第一安全值来访问。该方法可以包括以下操作:在与该安全模块相关联的移动装置上执行安全应用;在该移动装置与服务提供商计算服务器之间建立安全通信连接;以及从该服务提供商计算服务器接收以第一安全值加密的数据以及该多个未分配的安全域中的所选定的安全域的标识符,其中,以该第一安全值加密的该数据包括第二安全值和安全域应用。该方法还可以包括以下操作:将以该第一安全值加密的该数据以及该所选定的安全域的该标识符传递至该安全模块,并且该第一安全值对应于存储在该所选定的安全域中的安全值。该方法可以进一步包括以下操作:从该服务提供商计算服务器接收以该第二安全值加密的数据;以及将以该第二安全值加密的该数据和该安全域应用传递至该所选定的安全域。
[0030]在某些情况下,该方法还包括以下操作:以该安全域应用来对经加密的数据进行解密。
[0031]在某些情况下,在执行该方法时,该第一安全值基于被分配给该所选定的安全域的应用标识符(AID)以及被分配给该安全模块的电子标识符(EID)。在某些情况下,在执行该方法时,该服务提供商计算服务器与该移动装置之间的通信遵循安全超文本传输协议(HTTPS)。该安全应用在某些情况下是移动支付安全应用。
【附图说明】
[0032]参照以下附图描述了非限制性且非穷尽的实施例,其中,除非另外指定,贯穿不同视图,类似的标号指代类似的部分。附图中元件的尺寸和相对位置不一定是按比例绘制的。例如,对不同元件的形状进行选择、放大以及定位,以提高附图可识别性。为了易于在附图中进行识别,选择了如所描绘的这些元件的具体形状。下文参照附图对一个或多个实施例进行描述,在附图中:
[0033]图1展示了通过移动网络对安全数据的常规的供应和基于安全卡的通信;
[0034]图2A展示了以多服务提供商可信服务管理者方式进行的图1的常规的供应和基于安全卡的通信;
[0035]图2B展示了以单个服务提供商可信服务管理者方式进行的图1的常规的供应和基于安全卡的通信;
[0036]图3是常规的供应的安全模块实施例;
[0037]图4是改进的安全模块实施例;
[0038]图5展示了通过如图1中所表示的移动网络对安全数据的常规的供应和基于安全卡的通信连同本文所描述的新的安全基础设施的实施例的组合;
[0039]图6展示了移动装置与服务提供商之间的安全通信路径实施例;
[0040]图7展示了与移动装置安全模块内的客户端可访问的安全区域相关联的通信的另一个实施例;
[0041]图8是编程数据流程图,展示了在已经部署在现场的安全模块中创建新的安全域;
[0042]图9A是第一流程图部分,展示了对服务提供商安全域的监管和使用;以及
[0043]图9B是第二流程图部分,展示了对服务提供商安全域的监管和使用。
【具体实施方式】
[0044]在移动装置与远程服务器之间传送秘密数据的常规系统比较复杂。这些通信需要密钥交换过程,该密钥交换过程不断地要求来自多个服务提供商所监管的多个计算装置、多个可信服务管理者等的协作。随着智能电话能力持续增长,密钥以及这些装置、多个移动网络运营商以及其他远程计算装置之间的密钥事务的数量也将需要增长。当今,密钥过程对于主控多个应用的智能电话而言是必需的,并且预期监管者的应用的数量增长至几十并且甚至几百个应用。
[0045]诸位发明人认识到移动支付系统的复杂性以及未来的增长,并且诸位发明人打算简化常规的系统。首先,诸位发明人从安全模块的那些能力以及对其的期望详细地研究了常规的系统。
[0046]图3是更加详细的常规的供应的安全模块14实施例。安全模块14是由至少具有某种基础逻辑的原始设备制造商(OEM)形成的,该基础逻辑将包括处理单元34、存储器(未被单独调出)以及可由处理单元34执行的一个或多个某种软件指令集。例如,在图3的安全模块14中,OEM形成具有安全模块操作系统36的安全模块14。安全模块操作系统36的逻辑包括电信框架38以及平台服务管理器40的操作软件和电路,该平台服务管理器自身包括策略规则执行器42。与安全模块操作系统相关联的电路可以包括:安全模块14的从存储器中读写的各种接口、用于与在安全模块14外部的多个计算装置进行有线和无线通信的收发器、多个电源部件等。
[0047]电信框架38是安全模块操作系统36的服务,该服务包括多种网络认证算法和其他网络基础设施以促进将多个移动网络特定的特征向安全模块14上进行的加载和操作。平台服务管理器40是安全模块操作系统36的服务,该服务确保对安全模块14的那些基本安全操作。例如,平台服务管理器40可以包括多个防黑客特征、多个装置刷机检测特征、多个安全卡篡改检测特征等。平台服务管理器40还可以确保用于多个数据包的基本格式化以及到安全模块14内的和来自安全模块的通信。
[0048]安全模块14还包括通信接口 44。通信接口 44可以包括近场通信(NFC)电路和软件、蓝牙电路和软件、W1-Fi(例如,IEEE 802.11)电路和软件或遵循不同的协议的无线通信逻辑。另外或替代性地,安全模块14的通信接口 44可以包括如例如在ETSI TS 102221技术规范中所定义的称为智能卡的标准化有线接口 ;UICC终端接口 ;物理和逻辑特性或通过引用结合于此的某种其他标准化接口。
[0049]在安全模块14的存储器中,OEM或安全模块14的发行者将实现安全模块证书授权安全域46。一旦实现,通过平台服务管理器40来监测并维护安全模块证书授权安全域46的完整性。在不破坏安全模块14的完整性的情况下无法改变或删除安全模块证书授权安全域46。以此方式,安全模块14可以包括某些一次性可编程特征、融合特征等以便促进对平台服务管理器40的操作。促进完整性的另一种方式是通过不可修改的私有安全密钥、来自相关联的证书授权的证书、根公钥以及其他密钥集来促进密钥/证书更新。安全模块证书授权安全域46促进了向和从安全模块14传送安全信息(包括多个密钥交换和轮换特征)。安全模块证书授权安全域46还促进了对传送至或接收自外部证书授权的证书的加载、卸载和授权。
[0050]同样,在安全模块14的存储器中,OEM或安全模块14的发行者将实现发行者安全域根48。该发行者安全域根包括与安全模块证书授权安全域46的特殊特征类似的特殊特征。具体地,发行者安全域根48受到监测,从而使得未经授权的更改或删除将破坏安全模块14的完整性。发行者安全域根48促进了针对安全模块14的发行者传送安全信息(包括多个密钥交换和轮换特征)。
[0051]在图3中,两个简档被展示为存储于安全模块14的存储器中。第一 MNO简档50被启用,并且第二 MNO简档52被禁用。这些MNO简档由在个性化设施处的安全模块制造商创建或在安全模块14已经离开制造商之后由另一个实体创建。当在现场供应安全模块14时,创建这些MNO简档。通常而言,供应安全模块14包括如合作式安排所指示的那样通过安全模块操作系统36和平台服务管理器40在安全卡内分配存储器,该合作式安排除了多个可选的证书授权、多个可选的互操作性促进器以及其他实体之外还涉及安全模块14的发行者、移动网络运营商以及一个或多个可信服务管理者。如所展示的,第一 MNO简档50包括被组织为一系列模块的多条可执行软件指令和数据。形成发行者安全域简档以使能以准许并强制执行针对MNO的某些存储器边界的方式来供应第一 MNO简档50。通过发行者安全域简档的那些工具和服务,安全模块14的发行者创建移动网络运营商(MNO)安全域。
[0052]该MNO安全域包括多种工具以管理在第一 MNO简档50中所提供的存储器空间。在MNO的指示下,该MNO安全域创建策略规则模块、补充安全域(SSD)、控制授权安全域(CASD)、提供服务提供商的所期望功能的一个或多个小应用程序、对多个服务提供商工具与多个MNO工具之间的接口连接的多个网络访问应用(NAA)连同其他可选的可执行功能、文件系统以及任何其他可选数据。
[0053]根据第一 MNO简档50的原则,第二 MNO简档52形成于安全模块14的存储器中。在图3中,第一 MNO简档50被启用,而第二 MNO简档52被禁用。在这方面,第一 MNO简档50的那些功能是可访问以供使用的,并且第二 MNO简档52的那些功能是被保持但不可访问的。
[0054]在从安全模块的角度详细研究了这些常规系统之后,诸位发明人确定了这些常规系统的许多缺点。
[0055]诸位发明人认识到移动支付系统的复杂性以及未来的增长,并且打算简化常规的系统。设定了多个目标以使促进移动装置与服务提供商之间的安全数据的供应和传递的密钥交换过程的复杂性最小化。认识到的是,去除对可信服务管理者(TSM)基础设施的逐事务依赖性将提高安全数据传递的效率并且降低大型服务提供商和小型服务提供商两者的进入成本。另外,认识到的是,TSM基础设施的去除不会降低安全性,并且如果可以通过被证明是安全的通信技术以及现在存在的基础设施的实现来增强安全性则将获得额外的益处。
[0056]诸位发明人所寻求的另一个目标是开发一种使能一种机制的解决方案,通过该机制,多个发行者和服务提供商在已经发行并供应安全模块之后可以向最终用户部署新服务。如果这些目标可以实现,诸位发明人认识到,在发行并供应安全模块之后还可以用新应用来引入新的服务提供商。
[0057]为了抛弃昂贵的TSM基础设施,对SE1-TSM和SP-TSM两者的功能均进行简化。在现有的服务提供商服务器上利用数据的安全化(例如,加密),并且使用安全值(如密钥)来将数据传递至存储于安全模块内的客户端,而不是使用用于基于安全超文本传输协议(即,HTTPS)的客户端的证书来保护数据。在SP-TSM先前将数据格式化为多个应用协议数据单元(APDU)命令的情况下,现在将数据到APDU命令的格式化移到与形成于安全模块上的安全域相关联的应用中。该应用的安全性是通过在加载该应用并且将其与具体安全域相关联时所建立的可信根来获得的。除了形成多条APDU命令之外,安全应用还与该安全模块的其他特征进行通信并且充当服务提供商计算服务器与安全模块之间的通信调度员。
[0058]现在所描述的这些特征是基于由安全模块的制造商所创建的新的基础设施实现的。在该新的基础设施中,在安全模块的存储器中创建一个、两个或多个未分配的安全域。安全模块的制造商根据已知的实践向这些预先创建的、未分配的安全域中的每个未分配的安全域分配唯一的应用标识符,并且制造商创建用于访问对应的安全域的安全值(例如,安全密钥)。在某些情况下,使用预先创建的、未分配的安全域的AID来创建用于访问该具体安全域的安全值。通过使用这种架构,可以在制造期间、在制造之后以及在现场的供应和部署之后加载要求安全数据传递的应用。
[0059]这种新架构向安全模块制造商、ΜΝ0、服务提供商以及最终用户提供了益处。例如,安全模块制造商可以出售创新安全模块,并且制造商监管用于访问这些未分配的安全域的安全值。以此方式,制造商能够向服务提供商出售或出租对安全域的访问,并且这些服务提供商可以部署新的安全数据通信特征而无需常规技术中所需要的显著的财务投资。以这种方式,可以向单独的提供商提供单独的安全值,并且可以在任何时间传递这些安全值,这些安全值中的每个安全值授权对不同的未分配的安全域的访问。作为另一个替代方案,这些安全模块的多个发行者将接收对使得能够使用这些未分配的安全域的这些安全值的访问。
[0060]图4是改进的安全模块实施例114。图4的安全模块114基本上类似于图3的常规安全模块14。在改进的安全模块114的逻辑与常规的安全模块14的逻辑相同或几乎相同的多个区域内,为简便起见将限制或省略对逻辑的讨论。
[0061]安全模块114包括处理单元134和安全模块操作系统136。安全模块操作系统136的逻辑包括电信框架138以及平台服务管理器140,该平台服务管理器包括策略规则执行器142。安全模块114还包括通信接口 144、安全模块证书授权安全域146模块和发行者控制的安全域根148模块。
[0062]安全模块114的制造商还创建了一个或多个未分配的安全域156a、156b、156c、156η。在创建了多个安全域的情况下,制造商可以创建2、5、10、100或某个其他数量的未分配的安全域。在每个安全模块114中,制造商将存储永久电子ID(EID)。另外,制造商还将为在安全模块114上所形成的每个未分配的安全域创建永久应用ID(AID)。
[0063]可以使用多个安全域来提供用于安全值(如密码密钥)的安全存储。安全域还通过如本领域技术人员已知的一种或多种标准化协议来提供对安全信息的访问。例如,在某些情况下,可以使用如在通过引用结合于此的全球平台卡规范V.2.2.1中所定义的全球平台(GP)安全通道协议来使得对安全域内的信息的访问对卡外实体是可用的。
[0064]安全域的性质可以通过以下方式来配置:通过GP特权(例如,委托或授权管理、DAP验证、令牌管理、全局删除)、通过供应密钥(例如,针对SCP02/03或SCP80/81)以及通过将第一安全域关联至具有其他权限的另一个安全域、通过将安全域关联至其自身(并且从而去除上级安全域的所有管理权限)(即,引渡)或通过为该安全域及其所有内容分配存储器配额。
[0065]在较早的版本中,发行者安全域(ISD)具有若干特有的特权。然而,在最新的全球平台卡规范中,还通过多种特权来配置安全域,并且除了在开始处存在,没有剩下主要特定特征。引渡安全域的此程序集应当允许多个MNO保持与它们今天关于安全模块中的当前ISD具有相同的益处。
[0066]安全模块114是提供一种在远程计算服务器与移动通信装置(例如,智能电话)之间通信安全信息的新的并且更好的方法的装置。所构思的解决方案基本上去除了对密钥交换、密钥多样化、预共享密钥(PSK)概念和可信服务管理者(TSM)的需要。
[0067]在某些实施例中,移动网络运营商(MNO)控制移动装置的订户身份模块(SM)或其他安全模块上的信息。存储于该安全模块内的信息由MNO用来标识移动装置并且监管所签约的移动网络服务从而为移动装置的用户带来益处。
[0068]在这些实施例中,MNO “出租”存储器空间、处理器周期以及另外或替代性地耦接至一个或多个移动装置的安全模块114内的功能。该出租可以包括按月支付、按年支付、补贝占支付或交换对安全模块114的硬件属性、软件属性或硬件和软件属性的访问的某种其他形式的值。以此方式,特地与在或可在远程计算服务器上执行的一个或多个应用耦接的安全模块114内所存储的信息可以用于促进在远程计算服务器与安全模块114的那些属性之间的安全通信。在这些实施例中,常规系统的复杂性被降低,同时安全性得到维持并且在某些情况下被增强。
[0069]如本文所使用的,安全模块的这些属性可以包括计算机可读介质(如,瞬态存储器(例如,随机存取存储器(RAM))、非瞬态 存储器(例如,只读存储器(R0M),如闪存存储器))、整个处理单元、处理单元的共享资源或专用资源、一个或多个软件应用、组合逻辑、多个运算单元、多个算法单元、多个加密引擎、多个解密引擎、多个随机数生成器、电源电路、通信电路以及其他硬件、软件和形成电路模块的组合的硬件与软件逻辑模块。
[0070]本文所描述的这些实施例的一个方面消除了通过移动网络运营商的基础设施的某个部分来传递信息。具体地,可以直接在移动装置的安全模块114与远程服务器之间建立安全通信路径,而不是通过由MNO操作的一个或多个指定的计算服务器来传送每个信息包。安全通信路径可以与以下各项相关联:传输层安全(TLS)、安全套接层(SSL)、安全超文本传输协议(HTTPS)通信、安全元件(SE)访问控制文件(例如,移动装置可用的访问控制规则文件(ACRF))、公共密钥基础设施(PKI)以及用于在远程服务器与移动装置之间安全地通信数据的其他非限制性机制和技术。移动装置的安全模块与多个远程服务器之间的直接路径降低了密钥交换、密钥多样化和其他常规技术的复杂性。
[0071]图5展示了通过如图1的1a中所表示的移动网络对安全数据的常规的供应和基于安全卡的通信连同本文所描述的新的安全基础设施的实施例的组合。在附图中,安全通信基础设施包括安全模块114,如被耦接至移动装置112 (如智能电话)的S頂卡。移动装置112具有与安全模块114的直接的本地通信关系116。这些通信可以通过单线协议(SWP)总线、I2C总线、串行外围接口(SPI)总线或某种其他通信路径和协议发生。
[0072]图5中的移动装置112能够与提供无线移动网络服务118(如,语音呼叫、数据通信、文本消息等)的移动网络运营商(MNO) 120进行通信。MNO 120与安全模块114内的数据密切对准,并且通常MNO 120将初始数据供应到安全模块114内。当移动装置112访问由MNO 120所提供的服务118时,来自安全模块114的信息被传送至MNO 120。
[0073]安全元件发行者可信服务管理者122 (SE1-TSM)向MNO 120和其他实体提供密码工具和数据124 (如公钥和私钥)以及加密/解密算法,这些实体中的某些实体与MNO 120相关联。与服务提供商126 (SP-TSM)相耦接的第二可信服务管理者通过可选的互操作性促进器128而与SE1-TSM 122分离开。互操作性促进器128准许在可信服务管理者以及其他计算装置之间共享不同的数据结构、协议等。SP-TSM 126通过相同的或不同的互操作性促进器128被耦接至一个或多个服务提供商132。
[0074]服务提供商可以针对如图5的服务提供商132所展示的商品和服务收费,该服务提供商覆盖了银行服务、购物服务、运输服务、政府服务、公共事业服务以及其他商品和服务(未示出)。在图1的常规操作中,当服务提供商32与移动装置12进行通信时,所有的通信穿过SP-TSM 26、互操作性机制28、SE1-TSM 22以及移动网络运营商(MNO) 20的某些计算服务器。该通信路径是安全的但是比较复杂,并且在某些情况下,该通信路径还比较慢。
[0075]相反,在图5中,提供了移动装置112与服务提供商132之间的直接通信路径。另一种通信路径在某些实施例中还可以包括服务提供商可信服务管理者(SP-TSM) 126。通过引入在安全模块114内启用的附加的、更直接的通信路径,本文所描述的这些实施例提供具有降低的复杂性的鲁棒的端到端安全。
[0076]如同样可选地由虚线所指示的,SP-TSM 126可以通过到SE1-TSM122的互操作性促进器来继续促进通信。这些服务提供商132可以继续包括与SP-TSM 126的多个通信安全操作,并且MNO 120可以继续包括与SE1-TSM 122的多个通信安全操作124。
[0077]图6展示了移动装置112与服务提供商114之间的安全通信路径实施例。图6的实施例表示图5中的移动装置与服务提供商之间的直接通信路径以及同样包括SP-TSM126的通信路径的多个方面。
[0078]在图6中,安全应用158驻留在移动装置112上。移动装置112上的安全应用158管理与关联于服务提供商132的远程计算服务器160的安全连接。该安全连接包括使用HTTPS协议、SSL层或其他技术的一个或多个证书交换操作。通过运行于移动装置112上的安全应用158来对由远程计算服务器160发送至安全模块114的那些数据包进行标识。
[0079]在常规的架构中,与服务提供商相关联的计算服务器将数据传送至服务提供商可信服务管理者(SP-TSM)。该SP-TSM将对数据进行加密并且创建来自该数据的多条应用编程数据单元(APDU)命令。然后,该SP-TSM将通过由MNO控制的SE1-TSM来安全地通信这些APDU命令以供到移动装置的最终传送。移动装置将解密或者以其他方式解包这些APDU命令并且将它们传送至安全模块进行处理。在新的基础设施中,运行于远程计算服务器160上的安全应用在安全的基于互联网的通信路径上直接将包发送至运行于移动装置112上的安全应用158,该通信路径包括第一通信路径162、第二通信路径164和第三通信路径166。远程计算服务器160和移动装置112可以使用共享密钥基础设施来进行通信。嵌入在远程计算服务器所发送的打包数据内,秘密数据还用在安全模块114内部的安全域已知的共享密钥基础设施来进行加密。运行于移动装置上的安全应用158将来自远程计算服务器160的经加密的数据形成为多条APDU命令并且将这些APDU命令传送至安全模块。
[0080]在安全应用158接收到这些数据包之后,安全应用158使用公共密钥基础设施(PKI)来封装该数据。然后,借助来自MNO 120的支持,安全应用158使该数据一致以便传送至安全模块114。为传送到安全模块准备数据可以包括例如应用通过引用结合于此的全球平台卡规范版本2.2.1或类似的协议定义中的规则连同由对移动装置112内的多个移动安全操作进行管理的协议所定义的多个访问规则条件。安全模块114接收数据并且对使用公共密钥基础设施加密的数据进行解密。
[0081]安全应用158可以可选地承载来自证书授权、可信服务管理者或其他实体的证书。该证书以可接受的保证来验证这些安全模块操作的有效性。
[0082]在一个实施例中,移动装置112上的安全应用158将执行初始检查和正在进行的检查以验证该移动装置尚未被刷机。刷机后的移动装置穿透MNO 120在移动装置上具有的提供安全的安全遮蔽。也就是,一旦刷机,移动装置112的用户获得对移动装置112的以其他方式无法访问的多个存储器区域、功能和其他特征。如果移动装置112刷机,对安全应用158的操作终止。
[0083]在成功的验证之后,安全应用158将提取移动装置112的公共密钥。将可以存储于移动装置112内的存储器区域中的该公共密钥与安全模块114进行交换。安全模块114还可以将公共密钥传送至移动装置112。然后,使用该公共密钥,安全模块114例如通过传送证书来验证在移动装置112上执行的安全应用158的完整性。一旦验证了证书,与安全模块114的通信此后仅通过安全应用158来传送,并且该安全应用监管与该安全模块的所有交互。
[0084]基于针对安全应用158所定义的那些访问规则,安全应用158可以访问安全模块114的某些属性,如存储器、文件、某些操作等。
[0085]使用本文所描述的这些结构和技术,MNO 120可以提供出租对在安全模块上所定义的多个安全域的访问。服务提供商132喜欢这种关系,因为这种关系提供了一种用于与移动装置112的安全的、高效的通信的同时避免昂贵的常规基础设施的机制。
[0086]在一个实施例中,制造商创建安全模块114的一个或多个区域,这些区域将可由第三方服务提供商132(如银行机构、商品或服务供应商等)访问。在这些情况下,服务实体(其可以是制造商)、安全模块114发行者、MNO或某种其他实体监管对这些未分配的安全域的访问和使用。当MNO 120或其他服务实体与服务提供商132在该关系的多个条款上达成约定时,在访问控制规则文件(ACRF)中定义对这些安全区域中的一个或多个安全区域的访问的条件,并且这些条件和存储区域与同样存储于安全模块114内的应用签名相关耳关。
[0087]在移动装置112进行操作之后,可以使用在远程计算服务器上执行并且承载正确的签名的应用来直接地访问存储于移动装置112的安全模块114上的安全信息。
[0088]在图6中,展示了三条通信路径。第一通信路径162表示在服务提供商132的远程计算服务器160与无线网络运营商120之间的通信。第二通信路径164表示在无线网络运营商120与移动装置112之间的通信。第三通信路径166表示在移动装置112与关联于移动装置112的安全模块114之间的通信。
[0089]在远程计算服务器160与移动装置112之间穿过MNO 120的第一通信路径162和第二通信路径164上的通信可以与基于互联网的安全协议(如安全超文本传输协议(即,HTTPS)、安全套接层协议(例如,SSL7)、传输层协议(TLS)等)一致。可以通过单线接口(SffI)、I2C串行总线或某种其他有线或无线通信管道来传送在移动装置112与安全模块114之间的第三通信路径166上的通信。
[0090]图6中所展示的通信路径162、164、166以及安全域156a_156n(图4) 一旦被分配则可以遵循具体的访问规则文件(ARF)、具体的访问控制条件文件(ACCF)或在通过引用结合于此的规范(如全球平台装置技术安全元件访问控制规范)中所定义的某种其他规则架构。这些通信还可以利用在类似的规范中所定义的访问规则主机(ARA-M)与访问规则应用客户端(ARA-C)架构。在远程计算服务器160(用于加密)和在安全模块114(用于认证)上均可以实现这些基础设施连同被证明的技术(如PKI基础设施)以便提供安全通信。
[0091]图7展示了与移动装置安全模块内的客户端可访问的安全区域相关联的通信的另一个实施例。在图7中,展示了安全模块114的某些部分,同时为简化附图起见,将其他部分保留空白。安全模块114包括所分配的安全域156。安全域156先前是未分配的安全域156a-156n(图4),但是安全域156已经由发行者控制的计算服务器184所供应,该发行者控制的计算服务器还包括数据库186以管理对任何数量的安全域156a-156n的供应。
[0092]在安全模块114已经被部署在现场之后,该供应已经被实施。在图7的实施例中,已经授予具体的服务提供商132 (图6)使用该安全域的特权。可以基于购买、出租或通过其他手段来授权该特权。可以通过发行者控制的计算服务器184来提供该特权,该发行者控制的计算服务器可以由安全模块114的制造商以及MNO或某种其他一个或多个实体来控制。
[0093]安全模块制造商确定哪个或哪些实体将分配这些未分配的安全域156a_156n。安全模块制造商授权控制这些未分配的安全域156a-156n的一种方式是通过提供对应于这些未分配的安全域156a-156n的多个安全值(例如,加密密钥)。在某些情况下,一个第一安全值与每个未分配的安全域相关联,但是在其他情况下,可以与多个未分配的安全域156a-156n相关联。这些第一安全值与位于未分配的安全域156a_156n存储器内的多个发行者控制的安全域性质176 —起协同地由制造商使用。
[0094]这些发行者控制的安全域性质176可以包括由制造商所定位的数据、多个可执行功能、多种存储器结构、时间戳或日期戳、历史记录以及令人期望的任何其他这种信息或功能逻辑。在某些情况下,这些发行者控制的安全域性质176可以仅包括单个值(如与对应的安全域相关联的安全值)。通过将具体的安全密钥与相应的安全域156a-156n相匹配,可以供应该安全域。
[0095]在某些情况下,与具体安全域156a_156n相匹配的安全密钥是使用应用标识符(AID) 182形成的,该应用标识符被安全模块114的制造商编程为这些未分配的安全域156a-156n。在某些实施例中,AID182遵循具体的编号系统,如在ETSI TS 101220中所定义的称为智能卡的编号系统;用于电信应用提供商的ETSI编号系统,其通过引用结合于此。在其他实施例中,与具体的安全域156a-156n相匹配的安全密钥是使用AID 182以及另外或替代性地用于安全模块114的唯一标识符EID 180形成的。在某些实施例中,EID 180是嵌入式通用集成电路卡(eUICC)标识符,其是用于安全模块114的全局唯一标识符。在某些情况下,EID 180的格式由国际标准化组织(ISO)管理,虽然在其他情况下,不同的管理机构提供信息以确定并格式化EID180。
[0096]所分配的安全域156被展示为具有多种安全功能168、安全数据存储器区域170、服务提供商功能区域172、服务提供商密钥区域174、由安全模块114的制造商所提供的那些发行者控制的安全域性质以及多个可选的合作伙伴控制的安全域性质178。这些可选的合作伙伴控制的安全域性质178可以被提供以准许在安全域内的分级级别的控制。例如,已经被授权访问安全域156的一个服务提供商可以可选地进一步授权另一个服务提供商访问该安全域的一部分。在这种情况下,可以使用这些可选的合作伙伴控制的安全域性质178来实现对用于该子服务提供商的安全域的子部分的访问。为简化图7的解释起见,未示出安全域存储器中的其他模块,如图3的常规安全模块114中所展示的模块中的某些或全部。
[0097]由制造商在安全模块114中形成发行者控制的安全域根148。发行者控制的安全域根148包括域管理表149。该域管理表被形成为用于管理多个所分配的安全域(如安全域156)和多个未分配的安全域(156a_156n)。对于每个安全域而言,可以存储表不安全域的所有者或控制实体的信息;可以存储具体访问密钥;可以存储安全域的状态,如该安全域是否已经被引渡;并且还可以存储对每个具体的安全域是否已经被启用、禁用或删除的指示。还可以存储与安全模块114或多个单独的安全域相关联的其他信息。
[0098]域管理表149中所存储的引渡状态指示发行者安全域根148是否能够读取具体安全域的存储区域的某些或全部。当安全域被引渡时,服务提供商已经授权对在安全域内的存储器的某些或全部的安全访问。也就是,服务提供商可以对安全域中所存储的数据进行加密,并且通过引渡过程,发行者控制的计算服务器184或任何其他外部实体均未被准许访问所分配的安全域中的信息。
[0099]图7中表示了移动装置112。安全应用158被存储于移动装置112的存储器中,并且可以由处理单元(未示出)执行安全应用158的那些处理器可执行软件指令以执行安全应用158的那些功能。为简化解释起见,在图7的移动装置112中未展示在常规的移动装置中所找到的大部分逻辑,但是本领域技术人员将理解这种逻辑被包括在内。
[0100]安全应用158被安排为用于与安全域156内的多个模块进行双向通信。在某些情况下,安全应用158访问多种安全功能168和 多种服务提供商功能172。在某些情况下,安全应用158被安排为用于访问(S卩,读/写)安全数据区域170内的数据。安全应用158还被安排为用于与服务提供商计算服务器(SPCS)应用161进行双向通信。与SPCS应用161的那些通信可以是直接通信,或者这些通信可以包括由或通过合作伙伴120a(如MNO 120)提供的多项服务。在某些情况下,SPCS应用161还与发行者控制的计算服务器184进行通
?目O
[0101]执行SPCS应用161的服务提供商计算服务器160与发行者控制的计算服务器184进行通信。在某些情况下,服务提供商计算服务器160与发行者控制的计算服务器184之间的双向通信是直接的;在其他情况下,这些通信是由或通过合作伙伴120a提供的。
[0102]图7中的合作伙伴120a可以可选地被包括在许多通信中、在非常少的通信中或者不包括在通信中。理解到,移动装置112与这些各个服务通过由MNO (如MNO 120 (图6))监管的广域网基础设施来进行通信。相应地,MNO 120可以被安排为合作伙伴120a。在某些情况下,合作伙伴120a可以包括在系统内提供多个不同的服务的多个实体。合作伙伴120a可以或者可以不提供服务以实现、增强或以其他方式影响移动装置112与服务提供商计算服务器160之间的安全通信。图7中展示了向和从合作伙伴120a的可选的通信路径。
[0103]现在描述分配或以其他方式供应未分配的安全域的实施例。在开始该过程之前,安全模块114的制造商已经在安全模块114的存储器中创建了多个未分配的安全域156a-156n(图4)。已经以所分配的AID以及一个或多个相应的安全值(例如,加密密钥)创建了该多个安全域156a_156n中的每个安全域。这些安全域156a_156n中的每个安全域可以由EID 180与AID 182的组合唯一地标识,并且这些值连同多个其他可选值可以被组合并用于形成相关联的安全值。在创建这些未分配的安全域156a-156n以及这些相应的安全值时,可以创建或者以其他方式更新域管理表149。
[0104]除了在安全模块114上创建域管理表149之外,还使用相应的信息更新与安全模块114分开且不同的数据库。可以被创建、更新或以其他方式维护的一个这样的分开且不同的数据库是与发行者控制的计算服务器184关联地展示的数据库186。
[0105]数据库186将通常包括对安全模块114进行标识的信息,如EID180。数据库186还将通常包括对这些未分配的安全域156a_156n中的每个未分配的安全域进行标识的信息,如与这些未分配的安全域156a-156n中的每个未分配的安全域相对应的那些AID 182值。为了访问这些未分配的安全域156a_156n,与这些未分配的安全域156a_156n中的每个未分配的安全域相对应的具体安全值也将被存储于数据库186中。另外,还可以将其他安全值和标识信息存储于数据库186中以使得发行者控制的计算服务器184能够访问并控制形成于安全模块114上的这些发行者控制的安全域性质176。
[0106]在某些情况下,还可以将其他信息存储于域管理表149和数据库186中的一者或两者中。这种信息可以用于对安全模块114的管理和监管。这种信息的示例包括硅参考号和批次号以分开各个版本、所创建的这些安全域的大小、关于这些安全域的其他架构信息、时间戳、日期戳、制造标识符等。
[0107]安全模块114的制造商可以创建具有固定存储器大小(如512千字节(KB)、I兆字节(MB)或某个其他更大或更小的大小)的该多个未分配的安全域156a-156n。未分配的安全域156a-156n的数量可以较小(例如,I个或2个)或较大(例如,10个或更多个)。在某些情况下,制造商制造带有不同数量的未分配的安全域156a-156n的不同的安全模块。在某些情况下,制造商制造带有多个具有不同的初始大小的未分配的安全域156a-156n的不同的安全模块。在另外其他情况下,制造商制造带有具有第一大小的某些未分配的安全域156a-156n以及具有不同于该第一大小的第二大小的其他未分配的安全域156a_156n的安全模块。在某些情况下,在具体安全域被分配之前或在该安全域被分配之后可以改变该安全域的大小。
[0108]向服务提供商分配安全域的过程通常包括与该具体服务提供商进行密钥交换,该服务提供商将在该安全域被分配时对其进行控制。在这种情况下,发行者控制的计算服务器184可以由安全模块114的制造商、合作伙伴120a或由某个其他实体管理。可以由服务提供商计算服务器160或者由发行者控制的计算服务器184来实施初始通信。发行者控制的计算服务器184将用服务提供商计算服务器160的具体指示和协作来加载具有适当的应用、功能、数据、安全值等的安全域156。服务提供商计算服务器160与发行者控制的计算服务器184之间的这些通信是安全的并且可以包括任何数量的密钥交换、密钥轮换或其他安全通信。
[0109]将信息加载到安全域156中的过程可以由发行者控制的计算服务器184、服务提供商计算服务器160或两个服务器的组合来执行。某些功能(如管理安全域156的执行功能或监管功能)自然地由发行者控制的计算服务器184来执行。由发行者控制的计算服务器184协作地翻转并执行或以其他方式管理其他功能。替代性地,特别是当有待被加载到安全域156内的信息(如密钥形成算法、算法、标识信息、生物识别信息、秘密处理或其他高度安全的数据)特别敏感时,服务提供商计算服务器160将管理加载安全域的任务。在这些情况下,当服务提供商计算服务器160正在与所分配的安全域156进行交互时,服务提供商在这些服务提供商应用和数据被加载到所分配的安全域156中时将经常轮换安全值。
[0110]在某些情况下,在加载安全域156之后,对安全域156进行引渡。此引渡程序操作以切断发行者控制的计算服务器184的对所分配的安全域156中的存储器的某些或全部进行访问的能力。一旦引渡过程完成,发行者控制的计算服务器184将保留与安全域156相关联的某些能力,但是发行者控制的计算服务器184无法在安全域156的某些区域或全部区域中读或写数据。
[0111]可由发行者控制的计算服务器184保留的一种能力是撤销服务提供商访问安全域156的能力。这可能基于控制安全模块的实体与服务提供商之间具体合同原因而发生,或者这可能由于其他原因而发生。发行者控制的计算服务器184可以能够删除或者以其他方式模糊化安全域156内的所有信息。在另外其他情况下,发行者控制的计算服务器184可以能够改变安全域156的存储器大小(例如,增加大小、减小大小)。
[0112]在某些情况下,发行者控制的计算服务器184能够在安全模块114的可用存储器内创建多个附加的安全域。
[0113]在移动装置112上执行的安全应用158提供多项服务以与在所分配的安全域156内执行的多种安全功能168进行交互。在某些实施例中,这些安全功能168提供符合ARA-M定义的多项服务。这些安全功能168提供对安全域156内的安全访问并且提供对运行于移动装置112上的安全应用158的认证。基于针对安全应用158所定义的这些访问规则,安全应用158可以被授权或被拒绝对安全域156内所存储的多种功能和数据的具体访问。以此方式,使用ARA-M规则体系,可以将合作伙伴120a置于对安全域156的这些操作的控制下。
[0114]安全应用158还提供了多项服务以与在安全域156内执行的多种服务提供商功能172进行交互。这些服务提供商功能172被安排为用于对传送自服务提供商计算服务器160并且存储于安全数据区域170内的安全数据进行加密和解密。使用多个共享安全值(如对于这些服务提供商功能172是已知的并且对于运行于服务提供商计算服务器160上的服务提供商应用是已知的多个加密密钥)来促进加密操作和解密操作。可以将这些安全值存储于安全域156的特定服务提供商密钥区域174内。在某些实施例中,存储于服务提供商密钥区域174内的第一安全值仅对于运行于服务提供商计算服务器160上的应用以及存储于安全域156内的这些服务提供商功能172是已知的。在这些实施例或替代性实施例中,存储于服务提供商密钥区域174内的第二安全值仅对于运行于移动装置112上的安全应用158以及存储于安全域156内的这些服务提供商功能172是已知的。通过启用具体的加密机制(如PKI),可以在移动装置112与安全模块114内的安全域156之间安全地通信信息。另夕卜,在移动装置与安全域之间安全地通信的数据包括仅可由这些服务提供商功能172和服务提供商计算服务器160访问的进一步加密的数据。
[0115]在某些情况下,还将附加的秘密信息存储于服务提供商密钥区域174内。例如,在某些情况下,可以将秘密的个人身份识别码(PIN)存储于服务提供商密钥区域174内。该PIN可以用于向在移动装置112上执行的安全应用158认证用户。还设想了向安全应用158认证用户的其他技术。
[0116]如在图7中所展示的,各种级别和类型的通信在安全应用158与所分配的安全域156之间传送。可以通过本领域技术人员已知的多种专用协议或其他协议来使能通信。在某些实施例中,通信遵循具体的应用协议接口(API)功能调用集合。这种API的一个示例是开放移动(Open Mobile) 3.0ΑΡΙ,其通过引用结合于此。设想了其他协议和框架。
[0117]在移动装置112上执行的安全应用158执行其他功能。例如,安全应用158在与安全域156进行交互之前或甚至在与安全模块114进行交互之前可以提供多次安全检查。例如,安全应用158可以提供信任根检查。信任根检查可以例如验证移动装置112的软件完整性。这种程序可以包括在引导期间针对固件签名的检查。在这些情况下,通过已知的程序来内部地存储固件签名。如果安全应用158检测到任何安全漏洞,安全应用158可以标记错误、可以对错误消息或警告消息进行通信、可以终止或可以采取某种其他措施。
[0118]在某些情况下,服务提供商将数字签名应用于安全应用158。可以通过在安全域156内执行的这些安全功能168或服务提供商功能172来验证该数字签名。除了数字签名之外或作为替代物,安全应用158可以承载来自证书授权(例如,VERISIGN)的证书。可以使用有效证书来确保安全应用158与运行于服务提供商计算服务器160上的应用之间的通信的安全性。可以将数字签名、有效证书以及其他附加的或替代性的信息存储于安全域156的安全数据区域170中。
[0119]在某些情况下,安全应用158通过已知技术来确定电话是否已经被刷机。如果电话已经被刷机,安全应用158将不会执行。在某些情况下,可以将对一个错误或另一个错误的检测包含于安全应用之内,并且然后该安全应用被挂起或终止。在其他情况下,对某些错误的检测还可能导致向安全域156传送指示。此指示(可以是装置或者已经受损或者可能很快会受损的具体指示)可能导致安全功能168或服务提供商功能172采取进一步的步骤来保护安全数据170。这些进一步的步骤可以包括进一步加密数据、模糊化数据、破坏数据或采取某种其他措施。
[0120]图8是编程数据流程图,展示了在已经部署在现场800内的安全模块中创建新的安全域。在802处,安全模块制造商设计用于安全模块的结构或者从安全模块的具体发行者处接收这样的设计。该安全模块制造商目标为将要被用于唯一地标识安全模块的电子ID(EID),并且该安全模块制造商针对将要在安全模块中创建的每个未分配的安全域生成应用标识符AID。安全模块制造商还将生成多个安全值以访问将要在安全模块内形成的这些结构。在某些情况(如具有与多个未分配的安全域相关联的多个安全值)下,这些安全值是为了临时使用而生成的。也就是,在未分配的安全域被分配给具体服务提供商的未来时间,使用这些临时安全值来实现供应,但是安全域随后被引渡,并且这些临时安全值变得不可用。
[0121]在804和806处,安全模块制造商与发行者控制的计算服务器184协作地工作以传递多个配置脚本,在这些配置脚本中,安全域创建于安全模块114中。如果在制造时间传递这些脚本,安全模块制造商直接在处于生产中的安全模块上执行该操作,该操作将发行者控制的计算服务器184随后将要用于分配和监管安全域的相关的EID、AID和安全值信息传递至发行者控制的计算服务器184。
[0122]在某些情况下,安全模块114被形成为具有一个未分配的安全域;在其他情况下,安全模块制造商在安全模块内形成多个未分配的安全域。将由安全模块制造商生成的EID存储于安全模块114的存储器中,并且将AID给予这些未分配的安全域中的每个未分配的安全域。在某些情况下,安全模块制造商将在安全模块114内创建多个安全域,但是少于该多个安全域的全部将配备有AID。在这些情况下,在未来的某个点上,在部署安全模块114之后,这些未分配的安全域中的不具有所加载的AID的一个或多个未分配的安全域可以配备有AID。
[0123]除了这些未分配的安全域,安全模块制造商还在安全模块114内形成多个发行者控制的安全域性质连同参照图8未讨论的其他结构。
[0124]同样在804和806处,将被创建以访问安全模块114的该多个安全值中的某些或全部、发行者控制的安全域、这些未分配的安全域中的每个未分配的安全域以及安全模块的需要安全访问的其他区域存储于发行者控制的计算服务器184和安全模块114中。还创建了多个具体脚本并且将其安装在安全模块114的发行者控制的安全域中。在制造期间、在部署期间以及在安全模块114被部署之后的时间,由发行者控制的计算服务器184来控制这些脚本。这些具体脚本用于供应可供服务提供商使用的多个未分配的安全域。
[0125]在806处,安全模块114 (如果尚未被部署)准备好进行部署。在某些情况下,在部署之前向一个或多个服务提供商授权访问这些未分配的安全域中的一个或多个未分配的安全域;在这些情况或其他情况下,在部署之后向一个或多个服务提供商授权访问这些未分配的安全域中的一个或多个未分配的安全域。在某些情况下,在移动装置上执行安全应用158充当在808处执行密钥交换活动的触发。也就是,例如,移动装置的用户可以下载由服务提供商提供的具体安全应用。当用户执行该应用时,安全应用158将形成与服务提供商计算服务器160的安全通信。此时,服务提供商计算服务器160在808处发起密钥交换活动以便获得对在用户的移动装置的安全模块114上的未分配的安全域的访问。
[0126]在808处,在服务提供商计算服务器160与发行者控制的计算服务器184和安全模块制造商中的任何一者或两者之间执行密钥交换活动。可以通过与授权访问这些安全域相关联的具体商业模型来确定在808处执行密钥交换活动的这些具体计算装置。密钥交换活动需要将多个具体的安全值从控制未分配的安全域的任何一个实体安全传递至服务提供商计算服务器160。当服务提供商计算服务器160接收到该安全值时,服务提供商计算服务器能够访问安全模块114上的至少一个安全域。
[0127]在810、812和814处,服务提供商计算服务器160向和从操作于移动装置上的安全应用158传送通信。安全应用1 58被适当地配置为用于与安全模块114协作地通信。在810处,密钥轮换程序通过安全应用158发起在服务提供商计算服务器160与安全模块114之间的安全通信。可以通过HTTPS服务器来实现在服务提供商计算服务器160与移动装置之间的通信,该HTTPS服务器使用这些经轮换的密钥来加密数据。如本文所讨论的,安全应用158可以通过任何有用的通信协议(如蓝牙、NFC、OM-API或某种其他协议)来与安全模块114进行通信。持有来自服务提供商的多个经轮换的密钥的安全模块114能够对来自服务提供商计算服务器160的数据进行解密并且对将要被发送回服务提供商计算服务器160的数据进行加密。由于在810处的密钥轮换程序,在安全模块114与服务提供商计算服务器160之间所传送的经加密的数据对所有其他参与者和实体(包括安全模块制造商和发行者控制的计算服务器184)保密。
[0128]在812处,服务提供商计算服务器160通过在移动装置上执行的安全应用158来向安全模块传送多个安全应用和安全应用数据。可以直接通过本文所描述的这些安全通信来传送该数据。
[0129]在812处的配置阶段完成之后,安全模块114被配置为用于如商家基础设施(例如,销售点(POS)终端)中,而不需要保持连接至安全应用158或服务提供商计算服务器160。
[0130]在814处,准许多个正常操作。以此方式,移动装置的用户能够与服务提供商计算服务器160安全地通信存储于安全模块114上的秘密数据。例如,如果服务提供商是运输服务提供商,用户可能能够安全地支付出租车费、火车费,更新参数(例如,到期日期、PIN码)等。用户还可以能够安全地设定旅行预订或执行与具体服务提供商所提供的商品和服务相关联的其他功能。类似地,如果服务提供商是医疗健康提供商,用户可以能够将医疗数据或其他健康相关数据输入到他们的移动装置内,并且移动装置与服务提供商之间的通信将会安全地进行。考虑了广泛范围的其他服务提供商和安全通信应用。
[0131]图9A是第一流程图部分900A,展示了对服务提供商安全域的监管和使用;并且图9B是第二流程图部分900B,展示了对服务提供商安全域的监管和使用。
[0132]在图9A中,处理开始于902。在这种情况下,用户正在操作移动装置。该移动装置与安全模块(例如,S頂卡、UICC卡、具有接近连接的个人装置等)相关联,并且该安全模块具有已经被特别配置过的存储器(例如,非易失性存储器)。安全模块中的存储器可以被配置为具有一个、两个或某些其他多个未分配的安全域。这些安全域中的每个安全域可以通过对应的安全值(如安全密钥)可访问的。在某些情况下,这是第一安全值(例如,第一安全密钥)。
[0133]在某些实施例中,该安全模块被分配唯一的电子标识符(EID)(如嵌入式UICC标识符)ο在这些实施例以及其他实施例中,这些未分配的安全域中的每个未分配的安全域可以具有为其所分配的唯一的应用标识符(AID)。EID和AID的组合足以允许从安全域的外部执行的编程功能对安全模块内的每个未分配的安全域进行唯一地标识。据此,第一安全值可以与EID、AID、EID与AID的组合、EID与AID以及某个其他值的组合或通过某种其他方式相关联(即,是基于其而形成的)。相应地,每个未分配的安全域的第一安全值可以不同于每个其他第一安全值。
[0134]访问该安全域可以包括以下程序,其中,具体的软件程序或功能向正在发行者控制的安全域内操作的功能呈现第一安全密钥,该发行者控制的安全域同样被配置于安全模块的存储器内。第一安全值可以与公共密钥基础设施(PKI)相关联,并且相应地,使用多个具体密钥的传送、形成和匹配对互相通信的一个或多个实体的完整性进行验证。
[0135]发行者控制的安全域可以包括具体的功能逻辑,如编程软件应用、电子电路或其某种组合从而为这些未分配的安全域中的每个未分配的安全域供应至少一个第二安全值。在某些情况下,发行者控制的安全域被准许向多个未分配的安全域读写数据,并且在该安全域被分配给服务提供商之后,该发行者控制的安全域被限制对该安全域的至少某部分读写数据。
[0136]为促进将数据传递入和传递出安全模块,该安全模块可以包括蓝牙、NFC、ISO或某种其他通信接口。安全模块还可以包括被耦接至存储器和通信接口两者的处理单元。
[0137]在902处,用户可以下载软件应用,如移动支付安全应用、政府服务应用、运输应用、健康应用或者启用安全地传送从移动装置输出的秘密数据或将秘密数据安全地传送到移动装置内的能力的某种其他应用。
[0138]在904处,在移动装置上执行的软件应用试图确定该移动装置是否是安全的。本领域技术人员已知的一种或多种技术可以确定电话何时被刷机、电话存储器何时已经被篡改、黑客攻击何时已经被检测到或者某种其他动作或操作何时已经导致移动装置不安全。如果通过软件确定了移动装置是不安全的,处理转到906,其中,对安全漏洞的报告、警告或某种其他操作可以发生。
[0139]在906之后,处理进行到908,并且软件应用终止。在908处,某些具体的动作可以发生,如对安全模块内的某些或全部数据进行加密、删除移动装置或安全模块上的数据、通过移动装置提供人类可检测的警告(例如,视觉、音频、触觉等)。
[0140]如果在904处移动装置是安全的,处理进行到910,其中,软件应用确定安全域是否已经被分配以供软件应用使用。以此方式,每次软件应用被实例化时,处理将穿过904和910。
[0141 ] 在安全域已经被分配之后,处理进行至“ B ”,将关于图9B对此进行讨论。
[0142]如果安全域尚未被分配(如当第一次运行软件应用时),处理将进行到912。
[0143]在912处,移动装置将试图从计算服务器中请求服务,该计算服务器由与该软件应用相关联的服务提供商操作或代表该服务提供商。与对服务的请求协作,具体的用户可以与移动装置进行交互。例如,在某些情况下,触摸屏或其他人类输入装置(HID)与由软件应用生成的视觉或音频提示进行协作。可以要求用户选择具体的服务(例如,公用事业、支付、旅行或某种其他服务)。可以要求用户选择具体的安全模块(例如,SIMUS頂2或可供它们的移动装置使用的某个具体安全模块)。可以要求用户输入个人信息(如个人身份识别码(PIN)),该个人信息用于在软件应用被实例化时向移动装置标识用户。
[0144]与在912处试图请求服务的移动装置协作,软件应用可以检索EID或唯一地标识安全模块的某种其他信息。该EID或其他信息可以用具体的安全值(即,图9A中的Sec.Val.A)来加密并且被发送至远程计算服务器,该远程计算服务器由服务提供商操作或代表该服务提供商。由于运行于移动装置上的软件应用是由软件提供商所提供的或者以其他方式与该软件提供商相关联,移动装置内的服务提供商远程计算服务器可以使用多个共享密钥、HTTPS连接或其他安全机制来进行安全通信。
[0145]在914处,由服务提供商操作或代表该服务提供商的远程计算服务器可以对由移动电话发送的数据进行解密,该数据将包括EID或对安全模块进行标识的其他信息。然后,远程计算服务器可以将该EID或对安全模块进行标识的其他信息传递至发行者控制的计算服务器。
[0146]该发行者控制的计算服务器可以由以下各项操作并代表以下各项:安全模块的制造商、安全模块的发行者、MNO或某种其他实体。
[0147]在916处,发行者控制的计算服务器将选择对安全模块内形成的未分配的安全域进行标识的具体AID。根据合同、商业关系或某种其他约定,由AID标识的安全域将被分配给服务提供商。还将检索与所选定的安全域相关联的安全值(即,图9A中的Sec.Val.B)。与移动装置的安全模块内的安全域相关联的安全值和AID将会被返回至与服务提供商相关联的计算服务器(即,处理返回至914)。
[0148]在某些可选的情况下,移动装置将直接与发行者控制的计算服务器进行通信。以虚线来展示912与916之间的这种处理以及916与920之间的处理。如果情况如此,均与将要被分配给服务提供商的安全域相关联的AID和安全值将会被从发行者控制的计算服务器返回至移动装置。
[0149]在916处,发行者控制的计算服务器将继续进行处理。发行者控制的计算服务器可以执行任何数量的可选功能。一种功能可以包括对相关联的数据库进行更新以指示哪个安全模块的哪个安全域将会被分配给哪个服务提供商。还可以在数据库中更新其他信息,如日期戳、时间戳、与分配安全域的约定相关联的细节以及许多其他细节。
[0150]发行者控制的计算服务器在916处可以执行的另一种功能是与安全模块上的发行者控制的安全域进行交互。这种交互将通常包括向在安全模块上的发行者控制的安全域内执行的应用传送命令、数据或命令和数据。这些命令和数据执行向服务提供商分配安全域所必需的多个动作。
[0151]如果不是在较早阶段执行,但是发行者控制的计算服务器在916处可以执行的又一种功能是对安全域进行引渡。引渡程序去除了对与现在被分配给服务提供商的安全域相关联的一个或多个存储器区域中的某些或全部。引渡程序向服务提供商提供了足够的保证:只有服务提供商将能够访问所分配的安全域的存储器。还可以在916处执行其他功能。
[0152]在安全模块内形成的这些未分配的安全域是可分配给服务提供商的。发行者控制的安全域可以包括准许或者以其他方式执行分配程序的多种功能。在某些情况下,多个安全域由安全模块的制造商、由安全模块的发行者、由移动网络运营商或由某个其他实体来分配。在某些情况下,可以在安全模块被部署在现场之后(如当安全模块被安装在移动装置内或以其他方式与移动装置相关联、并且用户拥有该移动装置并且用户正在使能移动装置执行附加功能时)将服务提供商分配给未分配的安全域。相应地,发行者控制的计算服务器可以被配置为用于与几十、几百或甚至几百万个移动装置进行对话,这些移动装置具有加载有在本披露中所讨论的这些类型的未分配的安全域和发行者控制的安全域。
[0153]处理进行至920。
[0154]在914处由服务提供商计算服务器进行的处理之后,处理继续在在移动装置上执行的软件应用内并且在服务提供商计算服务器内继续。
[0155]在918处,服务提供商计算服务器可以生成多个附加安全值(S卩,在图9A的918内的Sec.Val.C和Sec.Val.D),并且可以生成将要被加载到安全模块内的所分配的安全域内的多个具体服务提供商应用和服务提供商数据。服务提供商计算服务器可以用具体的安全值(即,在图9A的918内的Sec.Val.C)来加密这些应用和数据。然后,服务提供商可以进一步用与在移动装置上执行的软件应用共享的安全值来对经加密的数据进行加密,并且经过两次加密的数据被传递至移动装置。
[0156]在920处的移动装置内的处理继续进行来自服务提供商计算服务器、发行者控制的计算服务器或两个计算服务器的信息。
[0157]在920处,当从服务提供商计算服务器处接收到信息时,移动装置用正确的安全值(即,图9A的920中的Sec.Val.A)对该信息进行解密。
[0158]在920处,在移动装置上执行的软件应用使用由发行者控制的计算服务器提供的AID和安全值打开安全模块上的所分配的安全域。还可以将一个或多个附加的安全值加载到安全域内。使用具体的安全值,可以使用在所分配的安全域内所加载的多种功能来对由服务提供商计算服务器提供的这些应用和数据进行解密,并且然后这些应用和数据可以用于该所分配的安全域内。
[0159]在加载之后,可以在所分配的安全域内执行由服务提供商计算服务器所提供的或与服务提供商计算服务器相关联的一个或多个应用。此时,已经将与移动装置相关联的安全模块部署在现场。该安全域已经由发行者控制的计算服务器分配,并且该安全域不再可供用于分配至不同的服务提供商。
[0160]处理回到“A”,其继续进行在910处在移动装置上的软件应用的操作。在这种情况下,由于安全域现在已经被分配和供应,处理前进至“B”,其呈现于图9B中。
[0161]转到图9B,处理开始于“B”,其一直进行到922。
[0162]在922处,在移动装置上执行的软件应用将与用户进行交互。用户可以使用PIN码来访问该应用或该应用内的多个具体特征。用户可以输入信用卡信息(例如,信用卡号、到期日期、与物理信用卡相关联的安全号等)。用户可以输入健康信息、生物识别信息、银行信息或与软件应用和服务提供商相关联的任何类型的信息。
[0163]在移动装置上执行的软件应用可以与执行在924处的处理的服务提供商计算服务器进行通信。另外或替代性地,在移动装置上执行的软件应用可以与执行在926处的处理的发行者控制的计算服务器进行通信。相应地,服务提供商计算服务器和发行者控制的计算服务器可以互相通信。
[0164]在924处,服务提供商计算服务器将与在移动装置上执行的软件应用进行交互。在某些情况下,通信是在服务提供商计算服务器与在移动装置上执行的软件应用的那些高级功能之间进行的。在其他情况下,通信是在服务提供商计算服务器与在安全模块的所分配的安全域内执行的多种功能之间进行的。相应地,在924处的处理包括接收经加密的数据以及以与移动装置相关联的安全值进行的数据解密和以与安全域相关联的安全值进行的数据解密。
[0165]在924处的附加处理包括生成、存储、分析以及在服务提供商计算服务器内对数据进行的其他操作。服务提供商计算服务器可以执行多种密钥轮换功能以维护在移动装置上的软件应用与操作于安全域内的多种功能之间的安全通信。另外,服务提供商计算服务器可以请求安全域内的更多存储器。在这种情况下,服务提供商计算服务器访问发行者控制的计算服务器的多种监管功能以执行请求,并且发行者控制的计算服务器执行或拒绝在926处的处理中的请求。还可以由安全服务提供商计算服务器来请求、删除或以其他方式管理其他特征。
[0166]在926处,发行者控制的计算服务器还被安排为用于:接收经加密的数据、以与服务提供商相关联的安全值对经加密的数据进行解密、对安全域进行改变、以与安全域相关联的安全值对数据进行加密以及或者直接地或者通过服务提供商计算服务器来将该数据发送至安全域。
[0167]在发行者控制的计算服务器内的附加处理可以包括多种密钥轮换程序,并且还可以包括添加、删除或更改与存储器相关联的多个具体特性。进一步的附加处理在存储于安全域内的那些功能中可以包括使能附加特征、加载附加特征、校正附加特征等。在某些情况下,可以在安全状态下删除、加密、锁定或以其他方式管理安全域。
[0168]在某些情况下,可以令人期望地终止操作于移动装置上的软件应用内的处理、月艮务提供商计算服务器内的处理以及替代性地或另外与具体安全模块相关联的发行者控制的计算服务器内的处理。在928处,如果处理将要结束,处理结束于930。替代性地,处理可以进行并且返回至“B”。
[0169]现在考虑本文所描述的架构的一个实现方式。在该架构中,用户佩戴智能训练带。该智能训练带执行多个所期望的特征,如计数步数、测量脉搏、检测运动级别、睡眠质量以及其他功能。在这种 情况下,训练带的制造商想要向用户提供支付例如咖啡店处的服务的功能。
[0170]使用常规的技术,训练带的制造商将需要针对可信服务管理者(TSM)的那些服务进行购买、构建或以其他方式签约,并且该训练带制造商还将要求对信用服务提供商TSM的服务的整合。如前所述,这种整合使用常规的技术是非常复杂并且昂贵的。然而,在本文所描述的这些新系统下,训练带可以被形成为在训练带内包括安全模块(如图4的安全模块 114)ο
[0171]如本文所使用的,术语“安全值”和“安全数据”指的是典型用户将希望避免被众所周知或以其他方式免费获取的电子地存储的信息。这两个术语可以如由使用背景所指示的那样来可互换地使用。在某些情况下,安全信息对看到该信息的人类而言是可辨别的。在某些情况下,安全信息对人类来说是不可辨别的而是反而要求用于解释和使用的计算装置。非限制性示例列表包括:银行账号或与其他金融机构相关联的账号;信用卡号和相关联的数据;借记卡号和相关联的数据;生日;密码;个人身份识别码(PIN);健康信息;个人电话号码或其他个人联系方式;社会保障信息;护照信息;移动账号信息;生物识别数据,如指纹、虹膜扫描等;税收标识符或与税收相关联的其他信息;用于车辆、枪支以及其他个人财产和不动产的注册信息;照片或其他媒体;视频或其他多媒体;以及个人或实体将期望保持私密(例如,保密)并且可以被电子地存储的任何其他类型的信息。由安全模块114、安全软件应用或某种其他服务基础设施有目的地创建以标识交易、事件、事项、用户等的瞬时数据也可以是安全数据。还设想了典型的用户将期望保护和控制的其他信息。
[0172]在本文还可以被称为订户身份模块(S頂)的安全模块(如图4中的安全模块114)有时被实施为具有一个截断角的小正方形或矩形。S頂具有至少一个集成存储器装置以及某种受限计算功能。S頂卡的具体形状、电子管脚配置以及操作特性在某些情况下由一个或多个全球移动通信系统(GSM)移动通信标准来管理。
[0173]在其他情况下,安全模块被实施为通用集成电路卡(UICC)。UICC被认为是新一代S頂。UICC通常与符合3G和4G电信标准以及某些非GSM电信标准的移动通信系统相兼容。UICC包括计算处理器、数据存储存储器以及可执行软件(其经常被实施于在该计算处理器上运行的一个或多个应用内)。例如,通用订户身份模块(US頂)应用向移动网络服务提供商提供激活的简档功能以对订户和相关联的签约服务进行标识。UICC常规地与通用移动电信系统(UMTS)、高速分组接入(HSPA)系统、长期演进(LTE)系统、载波检测多址访问(CDMA)系统以及其他系统相兼容。UICC还可以提供用于IP多媒体服务身份模块(IS頂)的应用以保证对多媒体服务和其他非电信应用(如移动支付服务、金融服务、银行服务、个人保健服务等)的移动访问。
[0174]在另外其他情况下,移动装置内的嵌入式移动UlCC(eUICC)装置或某个其他逻辑执行本文关于图4中的安全模块114所描述的那些功能。
[0175]本文引用了计算装置的非限制性实施例(如与服务提供商132相关联的服务提供商远程计算服务器160 (图6)和发行者控制的计算服务器184 (图7)),但是为简洁和简化起见,没有进行详细描述。计算装置被理解为包括在常规的计算装置中找到的操作硬件,如一个或多个中央处理单元(CPU)、易失性和非易失性存储器、符合各种标准和协议的串行和并行输入/输出(I/O)电路、有线和/或无线联网电路(例如,通信收发器)等。
[0176]据此,术语处理器、处理单元等在本披露中用来指代单独地、共享的或在一个组内的具有一个或多个处理核(例如,执行单元)的一个或多个处理单元,包括执行指令的中央处理单元(CPU)、数字信号处理器(DSP)、微处理器、微控制器、状态机等。例如,如本文所使用的,处理单元可以包括主机应用处理器、基带处理单元、安全模块处理单元以及单个结构或分布式结构的其他处理单元的全部或任何部分。
[0177]在本披露中,讨论了各种软件应用、小应用程序等。本文所讨论的软件是由存储于存储器内的多条处理器可执行指令形成的。存储器可以被安排在一种配置或另一种配置中。存储器可以被安排为用于存储数据。替代性地或另外,存储器可以是非瞬态计算机可读介质(CRM),其中,该CRM被配置为用于存储可由处理器执行的多条指令。这些存储器可以单独地存储或者作为文件中的指令组存储。这些文件可以包括功能、服务、库等。这些文件可以包括一个或多个计算机程序或者可以是较大计算机程序的一部分。替代性地或另外,每一个文件可以包括可用于执行在本披露中所描述的系统、方法和设备的计算功能的数据或其他计算支持材料。
[0178]在本披露中,术语“移动装置”用于指示能够通过无线通信网络(如蜂窝移动装置网络、卫星移动装置网络或某种其他移动装置网络)来进行通信的计算装置。理解到,能够进行这种通信的装置自身可以是移动的或者以其他方式便携式的。相反地,能够进行这种通信的装置可以是临时或永久固定的。如本文所使用的,移动装置可以被实施为蜂窝电话、智能电话、平板计算机、膝上型计算机、可穿戴计算机、电动车辆计算机、家庭防盗系统、遥测系统或某种类似的装置。如本文所使用的术语移动装置并不旨在是限制性的;相反,该术语用于帮助读者理解本披露的各个实施例。
[0179]如本文所使用的,术语“逻辑”可以是指电路、软件或电路和软件的组合。
[0180]如本文所使用的,术语“模块”是指可操作用于执行一个或多个软件或固件程序的电子电路、处理器(例如,共享处理器、专用处理器、组处理器、单核处理器、多核处理器等)和存储器、专用集成电路(ASIC)、联合逻辑电路或提供关于模块所描述的功能的对合适的部件(或者硬件或者软件)的某种其他单独或协作的耦合。
[0181]本文引用了计算装置的非限制性实施例,但是为简洁和简化起见,没有进行详细描述。计算装置被理解为包括在常规的计算装置中找到的操作硬件,如一个或多个中央处理单元(CPU)、易失性和非易失性存储器、符合各种标准和协议的串行和并行输入/输出(I/O)电路、有线和/或无线联网电路(例如,通信收发器)等。
[0182]本文所呈现的流程图(甚至是其中显示多个框以通信数据的非常规流程图)展示了可以由本文所描述的这些装置的实施例用来创建、分配和使用形成于安全模块内的多个未分配的安全域的过程。在此方面,每个所描述的过程可表示软件代码模块、分段或部分,其包括用于实现指定逻辑功能的一个或多个可执行指令。还应当注意,在某些实现方式中,过程中所指出的那些功能可以根据不同的顺序发生、可以包括附加功能、可以同时发生、和/或可以被省略。
[0183]在之前的描述中,列举了某些特定的细节以便提供对所披露的不同实施例的全面理解。然而,相关领域的技术人员将会认识到,多个实施例可以无需这些具体细节中的一个或多个细节来实践,或者可以使用其他方法、部件、材料等来实践。在其他实例中,并未详细示出或者描述与电子和计算系统(包括客户端和服务器计算系统)以及网络相关联的公知结构,以避免对这些实施例的不必要的晦涩说明。
[0184]除非上下文另有要求,否则贯穿说明书和所附权利要求书,“包括(comprise) ” 一词及其多种变体(诸如,“包括(comprises) ”和“包括(comprising)”)将以一种开放式的和包含性的意义来进行解释,例如,“包括,但不限于(including, but not limited to)”。
[0185]贯穿本说明书所提到的“一个实施例”或“一种实施例”及其组合是指与该实施例相关联地描述的具体的特征、结构或特性被包括在至少一个实施例中。因而,贯穿本说明书,短语“在一个实施例中”或“在一种实施例中”在不同场合中的出现并不必定都是指相同的实施例。另外,特定特征、结构或特性可以根据任何合适的方式组合在一个或多个实施例中。
[0186]如在本说明书和所附权利要求书中所使用的,除非文中另外明确指明,否则单数形式的“一种”、“一个”以及“所述”包括复数对象。还应注意,术语“或者”总体上所使用的意义包括“和/或”,除非内容另外明确指明。
[0187]本文提供的本披露的小标题以及摘要只是为了方便起见,而并非解释这些实施例的范围或含义。
[0188]可将以上所描述的各实施例进行组合以提供进一步的实施例。鉴于以上的详细描述,可以对实施例做出这些和其他改变。总之,在以下权利要求书中,所使用的术语不应当被解释为将权利要求书局限于本说明书和权利要求书中所披露的特定实施例,而是应当被解释为包括所有可能的实施例、连同这些权利要求有权获得的等效物的整个范围。相应地,权利要求书并不受到本披露的限制。
[0189]根据上面的详细描述可以对实施例进行这些和其他改变。总之,在以下权利要求书中,所使用的术语不应当被解释为将权利要求书局限于本说明书和权利要求书中所披露的特定实施例,而是应当被解释为包括所有可能的实施例、连同这些权利要求有权获得的等效物的整个范围。相应地,权利要求书并不受到本披露的限制。
【主权项】
1.一种具有为其所分配的唯一的电子标识符(EID)的安全模块,所述安全模块包括: 通信接口 ; 非易失性存储器,所述非易失性存储器具有在其内所配置的多个未分配的安全域,所述未分配的安全域中的每个未分配的安全域都具有为其所分配的唯一的应用标识符(AID),所述未分配的安全域中的每个未分配的安全域都能够通过对应的第一安全值来访问;以及 处理单元,所述处理单元被耦接至所述通信接口和所述非易失性存储器。2.如权利要求1所述的安全模块,其中,所述未分配的安全域中的每个未分配的安全域的每个对应的第一安全值都不同于每个其他第一安全值。3.如权利要求1所述的安全模块,其中,每个第一安全值都与所述对应的未分配的安全域的所述AID相关联。4.如权利要求1所述的安全模块,其中,所述非易失性存储器进一步具有在其上所配置的: 功能逻辑,以便为所述未分配的安全域中的每个未分配的安全域供应至少一个第二安全值。5.如权利要求4所述的安全模块,其中,发行者控制的安全域被准许向所述多个未分配的安全域中的第一安全域读写数据,并且其中,在所述第一安全域被分配给服务提供商之后,所述发行者控制的安全域被限制对所述第一安全域的至少某部分读写数据。6.如权利要求1所述的安全模块,其中,每个第一安全值都是与公钥基础设施(PKI)相关联的安全值。7.如权利要求1所述的安全模块,其中,在所述安全模块被部署之后,能够将所述多个未分配的安全域中的一个未分配的安全域分配给服务提供商。8.如权利要求1所述的安全模块,其中,所述通信接口遵循近场通信(NFC)协议。9.如权利要求1所述的安全模块,其中,所述安全模块是通用集成电路卡(UICC)。10.如权利要求1所述的安全模块,其中,所述安全模块是订户身份模块(SM)。11.一种系统,包括: 多个安全模块,所述多个安全模块中的每个安全模块都包括: 通信接口 ; 非易失性存储器,所述非易失性存储器具有在其内所配置的: 唯一的电子标识符(EID),所述唯一的电子标识符与对应的安全模块相关联; 多个未分配的安全域,所述未分配的安全域中的每个未分配的安全域都具有为其所分配的唯一的应用标识符(AID),所述未分配的安全域中的每个未分配的安全域都能够通过对应的第一安全值来访问;以及 发行者控制的安全域; 功能逻辑,以便为所述未分配的安全域中的每个未分配的安全域供应至少一个第二安全值;以及 处理单元,所述处理单元被耦接至所述通信接口和所述非易失性存储器; 至少一个计算服务器;以及 与所述至少一个计算服务器相关联的至少一个数据库,所述至少一个数据库被安排为用于存储多个第一安全值,其中,所述至少一个计算服务器被安排为用于通过将所述多个第一安全值中的所选定的第一安全值传送至服务提供商来将所述多个安全模块中的所选定的安全模块的所述多个未分配的安全域中的所选定的安全域分配给所述服务提供商,所述所选定的第一安全值对应于所述所选定的安全模块的所述所选定的安全域的所述对应的第一安全值。12.如权利要求11所述的系统,其中,所述服务提供商被配置为用于生成第二安全值,所述第二安全值被存储于所述所选定的安全模块中。13.如权利要求12所述的系统,其中,在移动装置上执行的安全应用被配置为用于通过将数据与所生成的第二安全值相关联来向所述所选定的安全模块的所述所选定的安全域的存储器读取所述数据或写入所述数据。14.如权利要求11所述的系统,其中,所述所选定的安全模块与移动装置相关联。15.如权利要求14所述的系统,其中,所述服务提供商是远程计算服务器,并且其中,所述远程计算服务器与所述移动装置之间的通信遵循安全超文本传输协议(HTTPS)。16.一种供应安全模块的方法,所述安全模块具有存储器,所述存储器具有在其内所配置的多个未分配的安全域,所述未分配的安全域中的每个未分配的安全域都能够通过对应的第一安全值来访问,所述方法包括: 在与所述安全模块相关联的移动装置上执行安全应用; 在所述移动装置与服务提供商计算服务器之间建立安全通信连接; 从所述服务提供商计算服务器接收以第一安全值加密的数据以及所述多个未分配的安全域中的所选定的安全域的标识符,其中,以所述第一安全值加密的所述数据包括第二安全值和安全域应用; 将以所述第一安全值加密的所述数据以及所述所选定的安全域的所述标识符传递至所述安全模块,所述第一安全值对应于存储在所述所选定的安全域中的安全值; 从所述服务提供商计算服务器接收以所述第二安全值加密的数据;以及 将以所述第二安全值加密的所述数据传递至所述所选定的安全域。17.如权利要求16所述的方法,包括: 以所述安全域应用对经加密的数据进行解密。18.如权利要求16所述的方法,其中,所述第一安全值基于被分配给所述所选定的安全域的应用标识符(AID)以及被分配给所述安全模块的电子标识符(EID)。19.如权利要求16所述的方法,其中,所述服务提供商计算服务器与所述移动装置之间的通信遵循安全超文本传输协议(HTTPS)。20.如权利要求16所述的方法,其中,所述安全应用是移动支付安全应用。
【专利摘要】本申请涉及移动装置安全模块中的客户端可访问的安全区域。一种安全模块具有所分配的唯一的电子标识符。该安全模块具有通信接口、非易失性存储器以及被耦接至该通信接口和该非易失性存储器的处理单元。在该非易失性存储器中形成一个或多个未分配的安全域,并且这些未分配的安全域中的每个未分配的安全域都具有所分配的唯一的应用标识符(AID)。这些未分配的安全域中的每个未分配的安全域都可通过对应的第一安全值来访问,并且,使用该对应的第一安全值,在部署该安全模块之前或之后,这些未分配的安全域中的每个未分配的安全域都可以被分配给服务提供商。
【IPC分类】G06F21/62, G06F21/60
【公开号】CN105488427
【申请号】CN201510647100
【发明人】P·戈拉, F·瓦龙
【申请人】意法半导体公司
【公开日】2016年4月13日
【申请日】2015年10月8日
【公告号】EP3007479A1, US20160099923
最新回复(0)