移動裝置安全模塊中的客戶端可訪問的安全區(qū)域的制作方法
【技術領域】
[0001]本披露總體上涉及遠程網(wǎng)絡計算服務器與移動裝置之間的安全通信�����。更具體地但并非排他性地�,本披露涉及一種具有多個未分配的安全域的安全模塊����,這些未分配的安全域中的每個未分配的安全域都可在隨后分配給客戶端����。
【背景技術】
[0002]通常而言�,遠程服務器主控與在移動通信裝置(如智能電話)上執(zhí)行的其他軟件應用進行交互的軟件應用。服務提供商執(zhí)行與安全模塊發(fā)行者的密鑰交換活動��。然后�����,執(zhí)行一個或多個密鑰多樣化功能以導出其他秘密密鑰��,這些其他秘密密鑰用于對將在遠程服務器與移動裝置之間通信的秘密信息進行加密��。將經(jīng)加密的信息從遠程服務器傳送至移動網(wǎng)絡運營商(MNO)���,并且MNO將數(shù)據(jù)傳送至移動裝置��。在移動裝置中�,需要訂戶身份模塊(SM)以對每個秘密信息包進行解碼�。替代性地,移動裝置使用存儲在SIM中的秘密密鑰數(shù)據(jù)來加密信息并且將經(jīng)加密的信息傳送至ΜΝ0��,該MNO將該經(jīng)加密的信息轉發(fā)至遠程服務器。
[0003]圖1展示了通過移動網(wǎng)絡1a對安全數(shù)據(jù)的常規(guī)的供應和基于安全卡的通信�����。在圖1中�,安全通信基礎設施包括移動裝置12,如與安全模塊14 (如�,S頂卡)相關聯(lián)(例如,其內嵌入有或放置有安全模塊)的智能電話��。移動裝置具有與安全模塊14的直接通信關系16����。這些通信可以通過單線協(xié)議(SWP)總線、I2C總線���、串行外圍接口(SPI)總線或某種其他通信路徑和協(xié)議發(fā)生��。
[0004]圖1中的移動裝置12被展示為智能電話�����,但是設想了其他裝置��。例如����,移動裝置12可以被實施為平板計算裝置���、膝上型計算機��、多媒體裝置�����、訓練設備����,或者以某種其他形式來實施��。移動裝置12可以是被安排為用于在廣域無線網(wǎng)絡(如���,遵循3G��、4G GSM協(xié)議����、長期演進(LTE)協(xié)議��、5G協(xié)議或某種其他無線通信網(wǎng)絡協(xié)議的蜂窩網(wǎng)絡)上進行無線通信18的任何計算裝置。通常����,廣域無線網(wǎng)絡由網(wǎng)絡服務提供商20 (也被稱為移動網(wǎng)絡運營商(MNO))所監(jiān)管。
[0005]移動裝置12與提供無線移動網(wǎng)絡服務的MNO 20進行通信�����。MN020與安全模塊14內的數(shù)據(jù)密切對準���,并且通常MNO 20將初始數(shù)據(jù)供應到安全模塊14內�����。通常而言���,在移動裝置訪問由MNO 20所提供的服務的通信會話(例如,電話呼叫���、電子郵件���、文本消息等)中,來自安全模塊14的信息被傳送至MNO 20����。
[0006]安全元件發(fā)行者可信服務管理者(SE1-TSM) 22向MNO 20和其他實體提供密碼工具和數(shù)據(jù)24 (如公鑰和私鑰)以及加密/解密算法�,這些實體中的某些實體與MNO 20相關聯(lián)�。SE1-TSM 22可以是MN020、硅制造商(如意法半導體公司)�、制造移動裝置的原始設備制造商(OEM)或某種其他實體�����。由SE1-TSM 22執(zhí)行的一種有價值的功能是建立到安全模塊的安全超文本傳輸協(xié)議(HTTPS)鏈接��。
[0007]當正在供應用于新的服務提供商的新的關系集合時��,SE1-TSM22在安全模塊中創(chuàng)建新的服務提供商安全域(SPSD)��。在密鑰活動期間所交換的安全密鑰被編程用于安全域內并且用于由服務提供商的可信服務管理者進一步訪問���。在某些情況下���,SE1-TSM 22還可以引渡SPSD,這意味著該SE1-TSM可以刪除或以其他方式放棄其向SPSD讀取或寫入任何數(shù)據(jù)的能力。在安全模塊14的SPSD被引渡之后����,SE1-TSM 22將向源自SP-TSM或以其他方式的安全模塊傳送安全(即,經(jīng)加密的或以其他方式模糊化的)包����,但是SE1-TSM 22將不會具有查看或以其他方式解釋正被傳送的數(shù)據(jù)包的任何能力。
[0008]與服務提供商(SP-TSM) 26相耦接的第二可信服務管理者通過可選的互操作性促進器28而與SE1-TSM 22分離開��?�;ゲ僮餍源龠M器28準許在可信服務管理者以及其他計算裝置之間共享不同的數(shù)據(jù)結構���、協(xié)議等��。SP-TSM 26通過相同的或不同的互操作性促進器28被耦接至一個或多個服務提供商32��。
[0009]SP-TSM 26與SE1-TSM 22交換安全信息����?����?梢詫碜許P-TSM的多個密鑰編程到安全模塊14的SPSD中��,并且將與該SPSD相關聯(lián)的其他密鑰傳送至服務提供商32。寬泛地講��,SP-TSM 26用對應于SPSD的那些密鑰來對數(shù)據(jù)進行加密���,并且其對來自服務提供商的數(shù)據(jù)進行解釋���。SP-TSM 26還將來自服務提供商的數(shù)據(jù)格式化成多個應用協(xié)議數(shù)據(jù)單元(APDU),這些應用協(xié)議數(shù)據(jù)單元由安全模塊所識別并且由在移動裝置上執(zhí)行的應用展開�。
[0010]服務提供商32常規(guī)地包括大型的國家和國際銀行服務提供商(如美國銀行和花旗銀行)、支付服務提供商(如VISA和MASTERCARD)����、大型零售商(如蘋果�����、塔吉特(TARGET)和星巴克)等�����。
[0011]圖1中所描述的系統(tǒng)是非常復雜并且非常昂貴的���。為了實現(xiàn)這樣的系統(tǒng)�����,要求服務提供商32獲取它們自身的可信服務管理者或支付對可信服務管理者的非常昂貴的���、定制的訪問�����。也就是���,圖1的SP-TSM 26對于服務提供商向它們的客戶提供移動支付而言是必需的,并且因此服務提供商必須設置它們自身的SP-TSM 26(這是非常昂貴的)���,或者服務提供商必須針對向SP-TSM 26的特定訪問簽約(這同樣是非常昂貴的)�����。
[0012]SP-TSM 26形成與安全元件發(fā)行者可信服務管理者(SE1-TSM) 22的安全的通信關系���。寬泛地來看圖1,SP-TSM 26形成與具體服務提供商32的安全關系���;并且SE1-TSM 22通過由MNO 20控制的網(wǎng)絡形成與安全模塊14的安全關系�。以此方式,服務提供商32能夠安全地與具體客戶上的安全模塊14交換秘密信息�����。通信關系中的安全性是通過這兩個可信服務管理者SP-TSM 26與SE1-TSM 22之間的通信啟用的���。相應地�,一旦安全模塊14由客戶所使用���,新的服務只能通過SP-TSM 26與SE1-TSM 22之間的連接來部署�����。
[0013]更密切地看��,在服務提供商32與安全模塊14之間傳送安全數(shù)據(jù)的過程變得非常復雜。服務提供商與其相關聯(lián)的SP-TSM 26之間的關系需要在這些裝置之間維護并傳送的具體安全機制�����,并且在SE1-TSM22與安全模塊14之間的關系也需要在這些裝置之間維護并傳送的多個具體安全密鑰�。這些可信服務管理者基于多個經(jīng)輪換的密鑰來傳送經(jīng)加密的數(shù)據(jù),并且維護安全的和有效的密鑰的復雜性通過密鑰交換活動��、密鑰多樣化程序和密鑰輪換技術來執(zhí)行。使用在每個裝置以及幾百個����、幾千個以及甚至幾百萬個裝置上的多個應用,除其他事項外�,常規(guī)的過程要求精準的定時、大量的計算資源�����、較大的通信帶寬以及大量的功率����。這種基礎設施是必需的,因為通用HTTPS服務器(如由服務提供商32實現(xiàn)的)無法安全地與移動裝置上的安全模塊14進行對話�����,即使當安全模塊包括承載獨立協(xié)議(BIP)接口時�����。換言之����,即使可以在常規(guī)的安全模塊中存儲并執(zhí)行安全服務���,常規(guī)的安全模塊僅被啟用以用于與可信服務管理者的安全通信。
[0014]目前正在使用常規(guī)的供應和基于安全卡的通信系統(tǒng)的兩個常規(guī)模型����。
[0015]圖2A展示了以多服務提供商可信服務管理者方式1b進行的圖1的常規(guī)的供應和基于安全卡的通信。在圖2A中���,展示了三個服務提供商:銀行服務提供商32a�����、政府服務提供商32b和零售服務提供商32c�����,并且這些服務提供商中的每個服務提供商具有專用的SP-TSM26a-26co以這種委托管理方式��,所有的SP-TSM通過中央SE1-TSM 22a通信至與移動裝置12a相關聯(lián)的安全模塊14a����,該移動裝置在由具體移動網(wǎng)絡運營商(MNO) 20a操作的無線網(wǎng)絡上進行通信�。這種架構的實現(xiàn)和維護對于這些服務提供商32a-32c中的每一個服務提供商而言都是非常昂貴的��,因為這些服務提供商32a-32c中的每一個服務提供商都必須設置被明確地配置為用于通過通常由MNO或安全卡OEM控制的SE1-TSM 22a進行安全通信的SP-TSM 26a-26c0經(jīng)常,這種方式無法被調整用于較小的銀行�、公共事業(yè)服務提供商、零售設施等�。
[0016]圖2B展示了以單個服務提供商可信服務管理者方式1c進行的圖1的常規(guī)的供應和基于安全卡的通信。在單個SP-TSM方式中�����,展示了三個服務提供商:運輸服務提供商32d���、娛樂服務提供商32e和商業(yè)服務提供商32f ;并且它們全部共享單個SP-TSM 26d的那些資源以通過SE1-TSM 22b進行通信�。這些服務提供商通過移動裝置12b將由MNO 20b操作的載體上的多個安全通信傳送至具體的安全模塊14b��。以這種方式��,服務提供商32d-32f和SE1-TSM 22b各自針對SP-TSM 26d所導致的服務對SP-TSM 26d進行補償���。由于當前架構限制和與SE1-TSM 22b交換密鑰和其他信息的復雜性�,服務提供商32d-32f并不直接地接近或將通信傳送至SE1-TSM 22bο
[0017]在多服務提供商可信服務管理者方式1b中�����,每個服務提供商擁有或者以其他方式控制專用的TSM0當前��,通常認為某些非常大型的服務提供商優(yōu)選這種方式,因為即使其比較昂貴(例如����,使SP-TSM26a-26c在線可能花費一百萬美元或更多),該大型服務提供商可以將其自身與它的無法承擔或調整該投資的小得多的競爭者區(qū)分卡來��。例如���,即使在美國有超過2000家特許銀行�����,只有極少幾家最大的銀行已經(jīng)建立并控制專用SP-TSM 26a���。
[0018]在單個服務提供商可信服務管理者方式1c中,單個集中式TSM協(xié)商各個服務提供商26d_26f與這些安全模塊(SE1-TSM)的發(fā)行者之間的關系�。該協(xié)商促進了協(xié)作技術安排,從而使得服務提供商的軟件應用和安全協(xié)議(例如�����,密鑰輪換���、多樣性等)與安全模塊的相應的應用和協(xié)議進行協(xié)作��。在這些情況下�����,多個服務提供商可以全部貢獻或以其他方式投資一個財團以創(chuàng)建并維護中央SP-TSM���。
[0019]在背景部分中所討論的主題的全部不一定都是現(xiàn)有技術,并且不應該僅僅由于在背景部分中對其的討論而被假定為現(xiàn)有技術�����。據(jù)此���,除非明確地闡明為是現(xiàn)有技術��,對在背景部分中所討論的或與這種主題相關聯(lián)的現(xiàn)有技術中的問題的任何識別不應被看作現(xiàn)有技術��。相反�,對在背景部分中的任何主題的討論都應該被看做發(fā)明人解決具體問題的方法的一部分�����,其本身以及本質上也可以是有創(chuàng)造性的�����。
【發(fā)明內容】
[0020]移動裝置和遠程計算服務器可以使用通過由移動網(wǎng)絡運營商(MNO)監(jiān)管的多個計算服務器減少或消除通信的技術來交換安全數(shù)據(jù)。例如����,一個實施例涉及一種在移動裝置與服務提供商之間進行通信的方法。該方法包括在安全模塊中定義至少一個安全存儲器區(qū)域的操作�����,并且將應用簽名存儲于該至少一個安全區(qū)域內�����。規(guī)則集用于定義對該至少一個安全區(qū)域內的某些屬性的訪問����,其中,這些屬性可以包括安全存儲器存儲��、多種處理功能等����。因此,遠程服務提供商的計算服務器被通信地耦接至移動裝置上。該計算服務器發(fā)送請求以在移動裝置與遠程服務提供商計算服務器之間傳送數(shù)據(jù)��。從該至少一個安全區(qū)域中檢索出該應用簽名�����,并將其與從計算服務器中所檢索出的應用簽名進行驗證�。一旦經(jīng)過驗證�����,安全數(shù)據(jù)將在遠程服務提供商計算服務器與移動裝置之間通信��。移動裝置上的安全模塊是唯一可以對這些通信進行加密和解密的裝置�����。該安全模塊通過經(jīng)驗證的應用簽名通過移動裝置上的用于創(chuàng)建經(jīng)驗證的應用簽名的安全應用來僅對安全數(shù)據(jù)進行通信�。
[0021]在某些實施例中,一種安全模塊具有所分配的唯一的電子標識符���。該安全模塊具有通信接口�、非易失性存儲器以及被耦接至該通信接口和該非易失性存儲器的處理單元���。在該非易失性存儲器中形成一個或多個未分配的安全域����,并且這些未分配的安全域中的每個未分配的安全域都具有所分配的唯一的應用標識符(AID)。這些未分配的安全域中的每個未分配的安全域都可通過對應的第一安全值來訪問����,并且,使用該對應的第一安全值��,在部署該安全模塊之前或之后��,這些未分配的安全域中的每個未分配的安全域都可以被分配給服務提供商���。
[0022]在第一實施例中��,一種安全模塊具有為其所分配的唯一的電子標識符(EID)�����。該安全模塊可以包括:通信接口 ����;非易失性存儲器���,該非易失性存儲器具有在其內所配置的多個未分配的安全域�,這些未分配的安全域中的每個未分配的安全域都具有為其所分配的唯一的應用標識符(AID),這些未分配的安全域中的每個未分配的安全域都可通過對應的第一安全值來訪問���;以及被耦接至該通信接口和該非易失性存儲器的處理單元�。在安全模塊的這些和其他實施例中�,這些未分配的安全域中的每個未分配的安全域的每個對應的第一安全值都不同于每個其他第一安全值,并且在某些情況下�,每個第一安全值都與該對應的未分配的安全域的AID相關聯(lián)���。
[0023]在某些情況下�,該非易失性存儲器被進一步配置為包括功能邏輯以便為這些未分配的安全域中的每個未分配的安全域供應至少一個第二安全值����。在某些情況下,發(fā)行者控制的安全域被準許向該多個未分配的安全域中的第一安全域讀寫數(shù)據(jù)�����,并且在該第一安全域被分配給服務提供商之后���,該發(fā)行者控制的安全域被限制對該第一安全域的至少某部分讀寫數(shù)據(jù)����。每個第一安全值都是與公鑰基礎設施(PKI)相關聯(lián)的安全值。在安全模塊被部署之后��,可將該多個未分配的安全域中的至少一個未分配的安全域分配給服務提供商�����。在某些情況下���,安全模塊的通信接口遵循近場通信(NFC)協(xié)議��。在某些情況下���,安全模塊是通用集成電路卡(UICC),并且在其他情況下��,安全模塊是訂戶身份模塊(SM)��。
[0024]在第二實施例中���,一種系統(tǒng)包括多個安全模塊����,并且該多個安全模塊中的每個安全模塊都包括通信接口、非易失性存儲器以及被耦接至該通信接口和該非易失性存儲器的處理單元����。該系統(tǒng)還包括至少一個計算服務器以及與該至少一個計算服務器相關聯(lián)的至少一個數(shù)據(jù)庫。
[0025]關于該多個安全模塊��,每個安全模塊都具有在其內所配置的與該對應的安全模塊相關聯(lián)的唯一的電子標識符(EID)以及多個未分配的安全域�。這些未分配的安全域中的每個未分配的安全域都具有為其所分配的唯一的應用標識符(AID)。這些未分配的安全域中的每個未分配的安全域都可通過對應的第一安全值來訪問��。每個安全模塊還具有在其內所配置的發(fā)行者控制的安全域以及功能邏輯以便為這些未分配的安全域中的每個未分配的安全域供應至少一個第二安全值���。
[0026]該系統(tǒng)中的一個或多個數(shù)據(jù)庫被安排為用于存儲該多個第一安全值,并且該至少一個計算服務器被安排為用于將該多個安全模塊中的所選定的安全模塊的該多個未分配的安全域中的所選定的安全域分配給服務提供商����。該分配是通過將該多個第一安全值中的所選定的第一安全值傳送至該服務提供商來進行的。該所選定的第一安全值對應于該所選定的安全模塊的該所選定的安全域的該對應的第一安全值�����。
[0027]在某些情況下�,服務提供商被配置為用于生成第二安全值,該第二安全值存儲于該所選定的安全模塊中�����。在某些情況下,在移動裝置上執(zhí)行的安全應用被配置為用于通過將數(shù)據(jù)與所生成的第二安全值相關聯(lián)來向該所選定的安全模塊的該所選定的安全域的存儲器讀取數(shù)據(jù)或寫入數(shù)據(jù)�����。
[0028]在該系統(tǒng)中�,該所選定的安全模塊與移動裝置相關聯(lián),并且該服務提供商可以是遠程計算服務器��。當出現(xiàn)這種情況時���,遠程計算服務器與移動裝置之間的通信可以遵循安全超文本傳輸協(xié)議(HTTPS)�。