專利名稱:應用程序認證方法
技術(shù)領(lǐng)域:
本發(fā)明涉及也被稱為蜂窩網(wǎng)絡(luò)的移動網(wǎng)絡(luò)領(lǐng)域��。尤其是涉及對具有和移動電話的移動設(shè)備相關(guān)的安全模塊功能的應用程序的安全性進行管理�。
移動電話或便攜式電話的安全模塊的已知被稱為構(gòu)成這些電話的中央安全元件的“SIM卡”(用戶識別模塊)���。在制造和/或個性化階段��,電話操作者引入一個被稱為IMSI(國際移動用戶身份識別)的號碼����,該號碼用來以安全��、唯一的方式識別希望連接到移動網(wǎng)絡(luò)的每個用戶�����。下面被稱為移動設(shè)備的每個移動電話由一個存儲在移動設(shè)備的非易失性存儲器中的號碼在物理上識別�����。這個號碼被稱為IMEI(國際移動設(shè)備識別碼)�����,它包含對移動設(shè)備類型的識別以及在GSM(全球移動通信系統(tǒng))����、GPRS(通用分組無線系統(tǒng))或UMTS(通用移動電信系統(tǒng))類型的網(wǎng)絡(luò)中用于以唯一方式識別一個給定移動設(shè)備的序列號。此外���,移動設(shè)備的特性由表明安裝在移動設(shè)備上的基本軟件的更新狀態(tài)的軟件版本SVN(軟件版本號)來描述����。具有軟件版本(SVN)的移動設(shè)備的類型識別和序列號的組合給出了一個新的識別,被稱為IMEISV(國際移動設(shè)備識別碼和軟件版本序列號)�。同樣的識別概念也適用于WLAN(無線局域網(wǎng))或者雙向有線電視。物理識別符可以是對應于唯一地址的MAC(媒體訪問控制)地址��,該地址識別了在一個IP(互聯(lián)網(wǎng)協(xié)議)網(wǎng)絡(luò)上一個用戶設(shè)備的硬件配置�����,并且軟件版本可以基于IP通過上層協(xié)議傳輸�。
ETSI(“歐洲電信標準協(xié)會”)標準定義了一種移動臺(MS,移動臺)�����,它由一個移動設(shè)備(ME��,移動設(shè)備)和一個用戶模塊(SIM�����,用戶識別模塊)組成�����。這個用戶模塊通常是可拆卸的,也就是說它可以被抽回或者從一個移動設(shè)備轉(zhuǎn)移至另一設(shè)備���。
在啟用一個移動設(shè)備期間,特別是在其連接至一個操作員網(wǎng)絡(luò)的過程中�����,在授權(quán)或禁止其使用的操作員的移動設(shè)備和管理中心之間交換包含識別數(shù)據(jù)的信息���。目前��,移動設(shè)備除了通過訪問移動網(wǎng)絡(luò)向用戶提供建立電話通信的一般功能外�,還提供許多其他的補充增值服務����,如不同數(shù)據(jù)的咨詢、遠程銀行交易�、電子商務、訪問多媒體內(nèi)容等�����。這些改進服務需要不斷提升的安全性�����,以保護用戶避免由于第三方試圖利用可能出現(xiàn)在移動設(shè)備中的安全隱患而可能導致的欺詐。
因此�,有必要執(zhí)行至少兩個層次的驗證一方面是移動設(shè)備本身的層次,另一方面是允許操作員或第三方所建議的不同業(yè)務功能的軟件應用的層次��。這些應用程序通?����?梢詮膽贸绦蛱峁┥痰姆掌飨螺d���,該服務器必須對這一下載進行驗證��。這是個保證問題�����,即一旦該模塊已經(jīng)被控制服務器識別為可以與該模塊所插入的移動設(shè)備一起工作���,則用戶模塊只向經(jīng)過授權(quán)的應用程序提供數(shù)據(jù)。
該已訂用的模塊可包含機密信息��,如銀行帳號或密碼。在移動設(shè)備上工作的應用程序負責使用這些個人數(shù)據(jù)���,以提供給所期待的服務�����。然而,一個應用程序可以將個人數(shù)據(jù)轉(zhuǎn)用作其他用途��,而不僅僅是與相關(guān)應用程序提供商進行對話����。這可能導致對用戶模塊所有者嚴重地侵權(quán)。
在移動設(shè)備中執(zhí)行的這些應用程序利用用戶模塊中的可用資源���。資源被理解為不同功能和對一個應用程序的正確功能所必需的數(shù)據(jù)��。某些資源可能對于多個應用程序來說是共用的���,尤其是涉及安全性的功能。用戶模塊因此可能被封鎖或者改變某些應用程序的功能���,對于這些應用程序����,在有問題的移動設(shè)備中并不重視由操作員和/或應用程序提供商所建立的安全條件,或者移動設(shè)備的用戶權(quán)限不足���。
文件FR2831362描述了在提供有SIM卡的移動電話和應用程序服務器之間進行安全交易的過程�����。該過程的目的是為了保護涉及使用從服務器通過SIM卡下載的應用程序的權(quán)限����。
根據(jù)該過程�����,首先通過公共密鑰的安全交換���,在服務器和SIM卡之間建立信任連接��,然后通過移動設(shè)備向服務器傳輸所請求的文件��,購買一個應用程序�。后者部分地或全部地對該應用程序進行加密�,并向移動設(shè)備發(fā)送一個由加密密鑰和命令組成的密文,全部都是由SIM卡所知的公共密鑰來進行加密的。在移動設(shè)備接收時����,該密文被解密,密鑰被存儲在SIM卡中�����。執(zhí)行命令�,從而在移動設(shè)備中下載由服務器部分或全部加密的應用程序��。一旦下載完成��,該應用程序由存儲在SIM卡中的密鑰進行解密���,然后安裝在移動設(shè)備中�����。
根據(jù)該過程���,由于最初在設(shè)備和服務器之間建立了信任連接并進行交易,移動設(shè)備中的該應用程序的使用權(quán)限得到了保護。服務器所起的作用主要在于移動設(shè)備中的應用程序的用戶權(quán)限管理或DRM(數(shù)字權(quán)限管理)�。下文中提出的解決方案基于由操作員、應用程序提供商或者與該應用程序相關(guān)的用戶所考慮的風險的管理(風險管理)����。
本發(fā)明的目的是提出一種在下載和執(zhí)行期間對移動設(shè)備中的應用程序進行認證的方法。其限制了用戶模塊被不正當使用���、或者通過不符合特定的預定安全標準的應用程序而被使用的風險����。
另一個目的在于���,保護移動設(shè)備的用戶和相關(guān)應用程序提供商避免由于未經(jīng)授權(quán)使用應用程序而導致的濫用��。
這些目的通過一種對工作在與經(jīng)由網(wǎng)絡(luò)連接至控制服務器的設(shè)備中的至少一個應用程序的認證方法來實現(xiàn)��,所述設(shè)備局部地連接至一個安全模塊���,所述應用程序通過該設(shè)備的應用程序執(zhí)行環(huán)境被加載和/或執(zhí)行,并使用存儲在安全模塊的資源���,包括以下主要步驟-由控制服務器經(jīng)由網(wǎng)絡(luò)接收至少包含設(shè)備的標識符和安全模塊的標識符的數(shù)據(jù)����,-由控制服務器對所述數(shù)據(jù)進行分析和驗證��,-生成包含該應用程序的摘要��、識別設(shè)備和安全模塊的數(shù)據(jù)�����、以及供所述模塊使用的指令的密文���,-通過網(wǎng)絡(luò)和設(shè)備將所述密文傳輸至安全模塊,-通過將從接收到的密文中提取的摘要與由安全模塊所確定的摘要進行比較來驗證該應用程序���。
所述方法的特征在于�����,在應用程序初始化和/或激活期間���,安全模塊執(zhí)行從密文中提取的指令�,根據(jù)對先前所執(zhí)行的該應用程序的驗證結(jié)果分別釋放或封鎖對所述安全模塊的特定資源的訪問��。
以所希望的方式對該安全模塊的資源進行封鎖或釋放�,其目的是使特定應用程序可用或不可用。該移動設(shè)備的應用程序不直接被封鎖或釋放而是間接作用于應用程序���,也就是說封鎖或釋放效果只有當移動設(shè)備試圖執(zhí)行這些應用程序時才顯現(xiàn)出來�����。
這個方法最好應用于移動網(wǎng)絡(luò)���,因此,例如該設(shè)備是移動電話設(shè)備����,安全模塊是用戶模塊或SIM卡。這一組件連接至GSM(全球移動通信系統(tǒng))�����、GPRS(通用分組無線業(yè)務)或UMTS(通用移動遠程通信系統(tǒng))等類型的移動網(wǎng)絡(luò)����,由操作員的控制服務器來管理����。軟件應用程序安裝在移動設(shè)備中����,并被配置為可以使用用戶模塊中的資源(數(shù)據(jù)或功能)。因此���,只有當安全條件滿足操作員和/或應用程序提供商所確定的標準時�,資源才能被全部使用���。對該標準的驗證負責控制服務器���,在控制服務器發(fā)出指令后,應用程序最后由安全模塊來負責��,安全模塊可以釋放或封鎖安裝在移動設(shè)備中的應用程序的正常工作所需的資源訪問����。
這些資源數(shù)據(jù)可包含如帳號�����、程序(以代碼形式安裝在移動設(shè)備中)、加密/解密密匙�、對內(nèi)容的訪問權(quán)限等信息。
這些資源的功能可包括密文算法����、驗證過程、數(shù)字簽名產(chǎn)生過程�、加密過程、認證過程����、數(shù)據(jù)確認過程、訪問控制過程�����、數(shù)據(jù)保存過程�����、支付過程等�。
與文件FR2831362所描述的過程不同,在下載到移動設(shè)備中之前���,應用程序的部分或全部加密并不是必需的��。實際上��,根據(jù)本發(fā)明的方法�����,服務器與安全模塊(或用戶模塊)之間的連接以最佳方式控制其資源�����,決定是否開始與在移動設(shè)備中執(zhí)行的應用程序相關(guān)的應用���。在所引用的文件所述的方法中���,由服務器所接收的命令允許控制安裝在移動設(shè)備中的應用程序的使用,而在本發(fā)明所述的方法中�����,它允許激活或不激活安全模塊資源��。
例如����,當資源未被激活時,應用程序以“最小”的方式運作����,留給用戶較少的可能性。在一個實施例中�����,這種減少可能同授權(quán)購買服務的最高額有關(guān)����,另外,這些服務只能在特定的地方(購物中心����,體育館,火車站���,機場等)才能得到�。
在第一個實施例中���,在下載應用程序期間�����,密文被傳輸至用戶模塊����。在第二個實施例中,該應用程序在其首次使用時請求在控制服務器上的密文����。
根據(jù)本發(fā)明的認證方法也可以在移動設(shè)備執(zhí)行應用程序期間采用,借助于用戶模塊�,確保了該應用程序被授權(quán)訪問包含在所述用戶模塊中的特定資源(數(shù)據(jù)或功能)。特別地��,該用戶模塊在所述應用程序執(zhí)行的過程中�,有規(guī)律地驗證應用程序所附的密文。
例如�����,將一個用戶的用戶模塊插入到另一個移動設(shè)備中將影響特定應用程序的功能��,但不阻止標準電話通信的建立��。這一障礙作為過濾器,其目的是消除未經(jīng)授權(quán)的移動設(shè)備或仿真設(shè)備�、或者甚至是由未經(jīng)過操作員或合作方應用程序提供商所批準的來源所得到的應用程序。
由第三方對應用程序的更改也通過用戶模塊被檢測出來�,用戶模塊將拒絕執(zhí)行所接收的特定指令���,從而阻礙或限制應用程序的執(zhí)行�����。
在管理與移動設(shè)備/用戶模塊組件相關(guān)的信任或安全元件時�����,控制服務器起著重要的作用���。它解釋由移動設(shè)備傳送給它的數(shù)據(jù),以根據(jù)存儲在用戶模塊中的資源(數(shù)據(jù)或功能)來控制或限制使用應用程序�����。
從移動設(shè)備和它的用戶模塊接收包含識別碼IMEISV和IMSI的識別信息的服務器根據(jù)特定標準確定是否需要向用戶模塊發(fā)送一個新指令�����,用于重新定義一個限定了能夠由移動設(shè)備中所執(zhí)行的應用程序所使用的用戶模塊資源的新的保護框架。該標準例如可以參考安裝在移動設(shè)備中的軟件版本的更新�,向移動設(shè)備中下載新的應用程序,保護框架的更新周期�����,網(wǎng)絡(luò)的連接數(shù)目��,訪問網(wǎng)絡(luò)所使用的技術(shù)��,以及所使用的訪問網(wǎng)絡(luò)的身份���。這些標準還涉及與所使用的硬件或軟件相關(guān)的���、操作員和/或應用程序提供商和/或用戶所考慮的不同風險。
對密文的驗證可以在首次初始化期間或首次使用應用程序時����,或者在應用程序的每次初始化期間進行。根據(jù)一個變化方案���,這種驗證可以根據(jù)由控制服務器所發(fā)送的指令����,以給定的頻率周期性地執(zhí)行���。
在向移動設(shè)備中加載應用程序期間�����,伴隨應用程序的所附密文通常包含應用程序本身的摘要�,即借助于數(shù)學上的單向散列函數(shù)從應用程序代碼中計算出的數(shù)據(jù)塊��。
當用戶模塊驗證密文的有效性時��,它也間接識別移動設(shè)備���,并確保數(shù)據(jù)有效地來自控制服務器����。換句話說�,通過這種密文,控制服務器隱含地確保了用戶模塊已經(jīng)考慮了移動設(shè)備的類型和軟件版本�����,應用程序的加載已經(jīng)得到控制��,應用程序是可信的。根據(jù)事先接收到的指令���,用戶模塊將確定是接受還是拒絕來自應用程序的請求或命令�����。
在這個驗證步驟中�,通過在用戶模塊和控制服務器之間建立一個近似直接的對話����,移動設(shè)備起到中繼作用。因此�����,從始至終確保了在控制服務器和用戶模塊之間經(jīng)由移動設(shè)備的應用程序執(zhí)行環(huán)境來交換信息的安全性���。因此后者不能“欺騙”或改變與用戶模塊相關(guān)的數(shù)據(jù)�。
本發(fā)明還涉及一種安全模塊����,其包含希望通過至少一個安裝在連接至網(wǎng)絡(luò)的設(shè)備中的應用程序進行本地訪問的資源,所述設(shè)備包含用于讀取和傳輸至少包含設(shè)備的標識符和安全模塊的標識符的數(shù)據(jù)的裝置�����,所述模塊的特征在于它包括用于對除了其他數(shù)據(jù)外還包含所述應用程序的摘要和指令的密文進行接收、存儲和分析的裝置����,還包括用于驗證所述應用程序的裝置,以及用于提取和執(zhí)行包含在密文中��、根據(jù)應用程序的驗證結(jié)果釋放或封鎖特定資源的指令的裝置�。
這個安全模塊例如用作用戶模塊或連接至移動設(shè)備的SIM卡。
借助于參考附圖作為非限制性示例給出的詳細說明將更好地理解本發(fā)明����,即-
圖1a示出了根據(jù)第一個實施例����,應用程序安裝過程的方框圖,其中密文通過應用程序執(zhí)行環(huán)境來傳遞��。
-圖1b示出了根據(jù)圖1a所示方法的密文驗證過程����。
-圖1c示出了根據(jù)圖1a所示的方法,使用用戶模塊資源的應用程序執(zhí)行過程���。
-圖2a示出了根據(jù)第二個實施例��,應用程序安裝過程的方框圖��,其中只有該應用程序被下載���。
-圖2b示出了驗證過程�����,其中應用程序根據(jù)圖2a所示的方法從控制服務器請求密文�。
-圖2c示出了根據(jù)圖2a的方法�����,使用用戶模塊資源的應用程序的執(zhí)行過程��。
-圖3a示出了根據(jù)第三個實施例�����,應用程序安裝過程的方框圖�,其中只有該應用程序被下載。
-圖3b示出了驗證過程����,其中應用程序根據(jù)圖3a的方法從控制服務器請求密文和應用程序摘要��。
-圖3c示出了根據(jù)圖3a的方法���,使用用戶模塊資源的應用程序的執(zhí)行過程。
-圖4示出了一個密文例子的結(jié)構(gòu)��。
圖1a�����,1b��,1c����,2a����,2b,2c�����,3a,3b�����,3c中的方框圖示出了移動設(shè)備組件CB用戶模塊SIM���,其包含了經(jīng)由移動網(wǎng)絡(luò)NET連接至由操作員所管理的控制服務器CSE的資源RES�����。這個服務器與一個或多個應用程序提供商FA相連���。
移動設(shè)備CB包含一個或多個在執(zhí)行環(huán)境AEE下工作的軟件應用程序APP。這些應用程序或者來自與操作員的控制服務器CSE相連的應用程序提供商FA�����,或者它們可以由移動設(shè)備制造商初始編程�����。在后一種情況下�,有時需要下載更新,這些更新也需要由用戶模塊SIM進行驗證。
根據(jù)圖1a�����,1b����,1c所示的第一個實施例,應用程序APP的密文CRY在應用程序APP的安裝過程中通過應用程序執(zhí)行環(huán)境AEE傳輸至用戶模塊SIM��。
圖1a示出了安裝過程��,其中移動設(shè)備CB首先發(fā)送用作用戶模塊SIM的標識ID的數(shù)據(jù)���,它由控制服務器CSE來驗證���。這個標識ID由用戶模塊SIM的識別碼IMSI和移動設(shè)備CB的唯一識別碼IMEISV來實現(xiàn)。然后從服務器CSE伴隨一個密文CRY下載應用程序APP��,該密文將通過執(zhí)行環(huán)境AEE傳輸給用戶模塊SIM進行驗證����,如圖1b所示���。
需要注意的是��,提供商FA被操作員認為是可靠的�,也就是說,應用程序APP得到批準��,并以不侵害用戶和/或操作員的方式工作���。
根據(jù)本發(fā)明的方法應用于多種在不同執(zhí)行環(huán)境類型AEE下執(zhí)行的應用程序APP���。例如許多移動電話擁有Jave應用程序的功能,其由用作處理器和運行環(huán)境的Jave虛擬機VM來執(zhí)行���。下面的描述基于Jave應用程序的例子�。當然�,其他環(huán)境或操作系統(tǒng),如Symbian OS��、Windows����、Palm OS、Linux等�����,也可以作為應用程序支持。
參見圖1c��,在執(zhí)行期間�,Jave應用程序請求用戶模塊SIM,并通過發(fā)送該請求或命令CMD告知執(zhí)行環(huán)境AEE�����。執(zhí)行環(huán)境AEE計算應用程序的摘要FIN2��,將其發(fā)送至用戶模塊SIM�。已經(jīng)由控制服務器CSE生成、然后與應用程序APP一道(或單獨)加載到移動設(shè)備CB中的密文CRY被存儲在用戶模塊SIM中���。后者首先確認它有效地含有決定是否需要響應應用程序APP的請求或控制CMD所必需的數(shù)據(jù)�����。該數(shù)據(jù)作為權(quán)限����,在加載應用程序APP期間從控制服務器CSE下載�,其允許控制應用程序APP的操作。在缺少這些權(quán)限的情況下����,應用程序APP不能使用用戶模塊SIM的資源RES(數(shù)據(jù)或功能)。
在擁有這些權(quán)限的情況下��,用戶模塊SIM通過將所存儲的密文CRY產(chǎn)生的摘要FIN1與和應用程序APP相關(guān)并由應用程序環(huán)境AEE所提供的摘要FIN2進行比較����,來驗證由所存儲的密文CRY產(chǎn)生的摘要FIN1。該密文CRY可以通過用RSA類型(Rivest���,Shamir����,Adelman)的私有密匙加密過的數(shù)據(jù)塊的方式生成�����。這類如圖4所示的數(shù)據(jù)塊除了其他數(shù)據(jù)外例如還包含用戶模塊的識別碼IMSI(ID SIM)��、移動設(shè)備的識別碼IMEISV(ID CB)�����、應用程序的標識符(ID APP)、應用程序的摘要FIN1���、SIM資源標識符(RES ID)和用于封鎖/釋放SIM資源的指令(INS RES)�����。這個私有密匙只由控制服務器CSE所知���,而所述密匙的公共部分對于用戶模塊SIM是已知的。使用不對稱密匙的優(yōu)點在于產(chǎn)生密文的密匙不在控制服務器CSE的外部�����。
當然����,其他不對稱密匙算法,如DSA(數(shù)字算法簽名)��、ECC(橢圓曲線密文)���,也可以代替RSA�����。
使用不對稱密匙算法可以是優(yōu)選的�����,其原因是可以簡單�����、快捷地進行驗證��,降低制造和實施成本����。在這種情況下��,密匙對于服務器CSE和用戶模塊SIM都是已知的��,例如算法IDEA(國際數(shù)據(jù)加密算法)可用于給數(shù)據(jù)塊(IMSI����,IMEISV,應用程序識別碼����,應用程序摘要�,SIM資源識別碼�,封鎖/釋放SIM資源的指令)進行簽名。作為IDEA算法的替代�����,也可以采用如TDES(三數(shù)據(jù)加密標準)和AES(高級加密標準)等算法��。
在這兩種非對稱和對稱的密匙方法中���,用戶模塊SIM驗證出現(xiàn)在密文CRY的不同位置處的一致性�,特別是它控制應用程序標識符ID_APP和被授權(quán)或禁止使用其資源RES(數(shù)據(jù)或功能)的應用程序摘要FIN1��。
在一種變體中��,密文CRY可包含一個計數(shù)器�,用于避免重復使用提供給用戶模塊SIM所用的同一密文(重復攻擊)。實際上���,兩個同一類型的應用程序可攜帶相同的標識符和相同的摘要FIN1�。在這種情況下���,用戶模塊SIM還通過與已存儲并規(guī)律更新的參考計數(shù)器的值進行比較來控制上述計算器的值����。
計數(shù)器的一個變體是使用由用戶模塊SIM生成的隨機變量(隨機數(shù))。這個隨機變量與發(fā)送至控制服務器CSE的數(shù)據(jù)一起傳輸�。后者在響應信息中發(fā)回這個隨機變量,用戶模塊可證實它與新的信息有關(guān)�。更為普遍地,為了避免使用舊密文CRY所帶來的所有風險�����,后者包含一個可由用戶模塊SIM預知的變量���,不影響計數(shù)器或隨機變量。
在另一個變體中���,借助于RSA或IDEA類型的密匙產(chǎn)生的密文CRY可以由利用共享密匙HMAC(用于信息認證密鑰散列)由以下集合(IMSI����、IMEISV�、應用程序識別碼、應用程序摘要���、SIM資源識別碼����、用于封鎖/釋放SIM資源的指令)所生成的數(shù)據(jù)塊來代替。HMAC是一種信息認證機制�,使用密文散列函數(shù),如MD5(信息摘要)或SHA-1(安全散列算法)����,與一個公共密匙相結(jié)合。
該密匙出現(xiàn)在控制服務器CSE和用戶模塊SIM中���,可以在用戶模塊SIM進行個性化時或者在將特定資源RES安裝到用戶模塊SIM中時被加載��。根據(jù)上述選項����,用戶模塊SIM的每個資源RES或資源組可與一個不同的密匙相結(jié)合��,或者該密匙對于所有資源RES是全局性的����,而對給定的用戶模塊SIM是唯一的。
因此���,密文CRY允許用戶模塊SIM了解在用戶模塊SIM中對于相應的移動設(shè)備CB可釋放或封鎖的資源RES��。
所使用的兩個摘要(分別為FIN1�、FIN2)來確定元件,因為它們通過移動設(shè)備CB和用戶模塊SIM構(gòu)成了應用程序APP的密文控制裝置��。這類控制對于阻止第三方應用程序通過給定密文CRY執(zhí)行認證是必要的����。實際上,如果密文A證明來自移動設(shè)備A中的用戶模塊A的應用程序A是可靠的����,則需要避免另一個應用程序B通過來自移動設(shè)備A中的用戶模塊A的同一個密文A被不正當驗證的情況�。
根據(jù)一個變體,包含在密文CRY中的應用程序摘要FIN1在控制服務器CSE和用戶模塊SIM之間從始至終保持其機密性����。為此,摘要FIN1通過控制服務器CSE來加密���,并通過用戶模塊SIM來解密�����。此外�����,應用程序APP可以通過以下方式為給定的加載進行個性化�,即包含在密文CRY中的摘要FIN1和由執(zhí)行環(huán)境AEE計算出的應用程序APP的摘要FIN2保持相同,但取決于移動設(shè)備CB的標識�。當需要避免利用在其與用戶模塊SIM的接口可能受到危害的另一應用程序的執(zhí)行環(huán)境中給出的摘要來驗證第三方應用程序的情況時,這類措施是必需的�����。實際上�,如果摘要A驗證來自移動設(shè)備A中的用戶模塊A的應用程序A,則需要避免另一應用程序B利用來自移動設(shè)備B中的用戶模塊B的同一摘要A被不正當?shù)仳炞C����。
根據(jù)另一個變體,每個應用程序(Jave類型)伴有兩個密文用于虛擬機VM的Jave密文和用于用戶模塊SIM的密文CRY�。除此之外,這兩個密文包含相同的應用程序摘要(這里稱為FIN2)�����,它是Java應用程序代碼的摘要�。因此���,當用戶模塊SIM必須驗證應用程序的密文CRY時,它從虛擬機VM等待與先前有必要計算出來的有問題的應用程序APP相關(guān)的摘要FIN2���。應用程序摘要由移動設(shè)備CB傳輸至用戶模塊SIM���。這個摘要并非來自控制服務器,它是在下載應用程序APP之后由移動設(shè)備CB的應用程序執(zhí)行環(huán)境AEE計算出來的�。另一方面,移動設(shè)備CB將先前加載的密文CRY和來自控制服務器的應用程序一起傳輸至用戶模塊�����。因此���,后者可以驗證通過比較所接收到的摘要��。移動設(shè)備CB不能作弊,因為它不知道由用戶模塊SIM接收到的摘要����;如果是這樣,則必須使摘要計算的功能(通常是散列函數(shù))可逆���,或者必須找到另一個給出相同密文CRY的摘要���,這幾乎是不可能的���。
圖1b示出了密文CRY的驗證過程,其例如可以在每次請求相關(guān)應用程序APP之前有規(guī)律地執(zhí)行���,或者最好在其安裝或首次使用之前執(zhí)行一次�。如果密文CRY是有效的��,則用戶模塊SIM將一個接受信息OK傳輸至執(zhí)行環(huán)境AEE���。應用程序APP然后可通過執(zhí)行環(huán)境AEE將它的請求或命令CMD尋址到用戶模塊SIM��,并使用用戶模塊SIM的資源RES���。后者通過經(jīng)由執(zhí)行環(huán)境AEE發(fā)送對于應用程序來說足夠的響應RSP來接收這些命令CMD,參見圖1c����。
在無效密文CRY的情況下,用戶模塊SIM將一個拒絕信息NOK發(fā)送到執(zhí)行環(huán)境AEE��。在這種情況下,執(zhí)行環(huán)境AEE可取消應用程序安裝過程APP��,或者安裝應用程序APP�����,其經(jīng)由執(zhí)行環(huán)境AEE尋址到用戶模塊SIM的請求或命令CMD沒有響應RSP���,用戶模塊SIM的資源RES將不可用�。
在接受和拒絕(OK和NOK)這兩種情況下����,應用程序執(zhí)行環(huán)境AEE可以將響應中繼傳輸至控制服務器CSE。用戶模塊可以向控制服務器CSE間接發(fā)回接收密文CRY的確認CF��,并允許從始至終控制操作��,參見圖1b���。所述確認CF包含至少一個操作成功或操作錯誤的代碼��,以及用于防止重復攻擊的計數(shù)器。這個信息允許控制服務器CSE維持已被更新的�、與用戶模塊SIM相關(guān)的計數(shù)器��。
根據(jù)圖2a�����,2b���,2c所示的第二個實施例,應用程序APP只能在沒有密文CRY的情況下移動設(shè)備CB的識別ID之后被下載�����,參見圖2a���。
圖2b����,在驗證期間�,在由用戶對其初始化時,應用程序APP請求包含所述應用程序的資源使用權(quán)限RES的密文�。這個密文CRY是由應用程序APP從控制服務器CSE直接下載的,應用程序?qū)⑵浣?jīng)由執(zhí)行環(huán)境AEE傳輸至用戶模塊SIM��。用戶模塊SIM通過應用程序APP而不是像第一個實施例那樣通過執(zhí)行環(huán)境AEE將密文CRY的接收確認CF傳輸?shù)椒掌鰿SE��。這樣,執(zhí)行環(huán)境AEE在應用程序APP和用戶模塊SIM之間只起到中繼的作用���。
在密文CRY被驗證之后����,應用程序的執(zhí)行過程以上面所述圖1c所示的第一種方法的同樣方式發(fā)生��,參見圖2c��。
圖3a���,3b��,3c示出了第三個變體���,其中應用程序APP只是在移動設(shè)備CB的識別ID之后從控制服務器CSE或者從中間應用程序下載服務器APP下載,參見圖3a�����。在驗證過程中(圖3b)����,應用程序直接從服務器CSE或者從中間應用程序下載服務器APP加載密文CRY和摘要FIN2�。在這種情況下���,不像前兩個變體,應用程序環(huán)境AEE不再計算摘要FIN2����,而是由一個外部單元,由控制服務器CSE或中間應用程序下載服務器APP來進行計算���。
在密文CRY驗證之后���,應用程序執(zhí)行過程APP以與圖1c和2c所示的兩種先前描述的方法相同的方式發(fā)生。
這個第三實施例可以是優(yōu)選的�����,其優(yōu)點在于它不需要對執(zhí)行環(huán)境AEE進行任何更改�����,因為它目前是為安裝在移動電話的Java應用程序所定義的�,也就是說不必對現(xiàn)有的標準進行修改。
此外,假定密文CRY的驗證過程和應用程序安裝的驗證過程是完全獨立的���,則對請求使用相同摘要的兩個密文的第一變體的限制不再出現(xiàn)����。
為了對在應用程序上計算的摘要進行個性化���,可以在加載到移動設(shè)備中之前將移動設(shè)備每個項目的不同數(shù)據(jù)添加到應用程序代碼中�。因此����,當摘要由移動設(shè)備的應用程序環(huán)境計算時,該摘要是唯一的�,不能用于其他移動設(shè)備。當然�,密文將由控制服務器基于應用程序的最初數(shù)據(jù)和這個唯一的數(shù)據(jù)來計算�����。
在本發(fā)明的一個變體中��,移動設(shè)備可由固定設(shè)備���,如付費電視解碼器或計算機來代替�。應用程序可以通過電信網(wǎng)絡(luò)從一個服務器下載到設(shè)備中��。與應用程序相關(guān)的密文被存儲在安全模塊中�����,并在執(zhí)行或每次應用程序初始化時被驗證��。這一驗證結(jié)果通過釋放或封鎖安全模塊中的資源來控制應用程序的功能����。
權(quán)利要求
1.對工作在通過網(wǎng)絡(luò)(NET)連接至控制服務器(CSE)的設(shè)備(CB)中的至少一個應用程序(APP)進行認證的方法��,所述設(shè)備(CB)局部地連接至一個安全模塊(SIM),所述應用程序(APP)通過設(shè)備(CB)的應用程序執(zhí)行環(huán)境(AEE)被裝載和/或執(zhí)行���,并使用存儲在安全模塊(SIM)中的資源(RES)����,包括以下主要步驟-由控制服務器(CSE)經(jīng)由網(wǎng)絡(luò)(NET)接收至少包含設(shè)備(CB)的識別碼(IMEISV)和安全模塊(SIM)的識別碼(IMSI)數(shù)據(jù)�,-由控制服務器(CSE)對所述數(shù)據(jù)進行分析和驗證��,-生成包含應用程序(APP)的摘要(FIN1)、識別設(shè)備(CB)和安全模塊(SIM)的數(shù)據(jù)���、以及提供給所述模塊使用的指令(INSRES)的密文(CRY)��,-通過網(wǎng)絡(luò)(NET)和設(shè)備(CB)將所述密文(CRY)傳輸?shù)桨踩K(SIM),-通過將從接收到的密文(CRY)中提取的摘要(FIN1)與由安全模塊(SIM)所確定的摘要(FIN2)進行比較來驗證應用程序(APP)�����,所述方法的特征在于,在應用程序(APP)初始化和/或激活期間�����,安全模塊(SIM)執(zhí)行從密文(CRY)中提取的指令(INS_RES),并根據(jù)先前針對該應用程序(APP)進行驗證的結(jié)果分別釋放或封鎖對所述安全模塊(SIM)的特定資源(RES)的訪問�。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于�����,所述設(shè)備是一個移動電話的移動設(shè)備(CB)�����。
3.根據(jù)權(quán)利要求1所述的方法���,其特征在于����,所述網(wǎng)絡(luò)(NET)是一種GSM�、GPRS或UMTS類型的網(wǎng)絡(luò)����。
4.根據(jù)權(quán)利要求1或2所述的方法��,其特征在于��,所述安全模塊(SIM)是插入到SIM卡類型的移動電話的移動設(shè)備(CB)中的用戶模塊����。
5.根據(jù)權(quán)利要求1或4所述的方法��,其特征在于��,由移動設(shè)備(CB)的識別碼(IMEISV)以及由適用于網(wǎng)絡(luò)(NET)的用戶的用戶模塊(SIM)的識別碼來實現(xiàn)對所設(shè)定的移動設(shè)備(CB)/用戶模塊(SIM)的識別(ID)�����。
6.根據(jù)權(quán)利要求1所述的方法�,其特征在于��,所述包含在由安全模塊(SIM)接收到的密文(CRY)中的指令根據(jù)由操作員和/或應用程序提供商(FA)和/或設(shè)備的用戶事先所確立的標準來控制應用程序(APP)的使用�����。
7.根據(jù)權(quán)利要求6所述的方法�,其特征在于���,所述的標準根據(jù)操作員所希望考慮的與所述應用程序(APP)的軟件或者與所述設(shè)備(CB)的硬件相關(guān)的風險定義了應用程序(APP)的使用限制���。
8.根據(jù)權(quán)利要求1所述的方法,其特征在于��,在第一次初始化或第一次使用所述應用程序(APP)時����,驗證帶有所述密文(CRY)的應用程序(APP)��。
9.根據(jù)權(quán)利要求1所述的方法����,其特征在于,根據(jù)由所述控制服務器(CSE)產(chǎn)生的指令���,以給定的頻率周期性地驗證帶有所述密文(CRY)的應用程序(APP)�。
10.根據(jù)權(quán)利要求1所述的方法,其特征在于�����,在每次初始化設(shè)備(CB)上的所述應用程序(APP)時�����,驗證帶有所述密文(CRY)的應用程序(APP)�。
11.根據(jù)權(quán)利要求1所述的方法,其特征在于���,密文(CRY)借助于來自一個數(shù)據(jù)集的非對稱或?qū)ΨQ的加密密鑰來生成���,所述數(shù)據(jù)集除了其他數(shù)據(jù)外還包含設(shè)備(CB)的識別碼(IMEISV)、安全模塊(SIM)的識別碼(IMSI)��、應用程序(APP)的識別碼�、用單向散列函數(shù)計算出的應用程序(APP)的摘要(FIN1)、安全模塊(SIM)資源的識別碼(RES_ID)�、以及用于鎖住/釋放安全模塊(SIM)的資源的指令(INS_RES)。
12.根據(jù)權(quán)利要求11所述的方法���,其特征在于�����,密文(CRY)包含一個由安全模塊(SIM)預知的變量�����,以避免重復使用同一密文(CRY)����,由安全模塊(SIM)通過與存儲在所述模塊中并規(guī)則更新的參考值進行比較來控制所述變量的值。
13.根據(jù)權(quán)利要求1所述的方法���,其特征在于��,當所述安全模塊(SIM)接收或拒絕應用程序(APP)的密文(CRY)時��,安全模塊(SIM)通過所述設(shè)備(CB)和網(wǎng)絡(luò)(NET)將一個確認信息(CF)傳輸給所述控制服務器(CSE)。
14.根據(jù)權(quán)利要求1所述的方法��,其特征在于�,在所述應用程序(APP)通過應用程序執(zhí)行環(huán)境(AEE)被加載到所述設(shè)備(CB)中的同時,所述密文(CRY)被傳輸至安全模塊(SIM)�����。
15.根據(jù)權(quán)利要求1所述的方法,其特征在于����,一旦所述應用程序(APP)經(jīng)由所述網(wǎng)絡(luò)(NET)從所述控制服務器(CSE)被加載到所述設(shè)備(CB)中,則所述應用程序(APP)在其初始化時從所述服務器(CSE)請求一個密文(CRY)��,并將所述密文(CRY)傳輸至所述安全模塊(SIM)����,密文(CRY)被接受或拒絕的確認信息(CF)由安全模塊(SIM)通過應用程序(APP)被傳輸至服務器。
16.根據(jù)權(quán)利要求1所述的方法����,其特征在于,所述設(shè)備是與安全模塊相連接的付費電視解碼器或計算機�。
17.一種安全模塊,其包含希望由安裝在連接至網(wǎng)絡(luò)(NET)的設(shè)備(CB)中的至少一個應用程序(APP)進行本地訪問的資源(RES)����,所述設(shè)備(CB)包括用于讀取和傳輸至少包含設(shè)備(CB)的識別碼(IMEISV)和安全模塊(SIM)的識別碼(IMSI)的數(shù)據(jù)的裝置,所述模塊的特征在于�,它包括用于對一個除了其他數(shù)據(jù)外還包含所述應用程序(APP)的摘要(FIN1)和指令(INS_RES)的密文(CRY)進行接收、存儲和分析的裝置,還包括用于驗證所述應用程序(APP)的裝置�,以及用于提取和執(zhí)行包含在所述密文(CRY)中的、根據(jù)應用程序(APP)的驗證結(jié)果釋放或封鎖特定資源(RES)的指令(INS_RES)的裝置��。
18.根據(jù)權(quán)利要求17所述的安全模塊�����,其特征在于���,它是希望連接到一個移動設(shè)備的“用戶模塊”或“SIM卡”類型�����。
全文摘要
本發(fā)明涉及一種借助于和移動設(shè)備相關(guān)的安全模塊所執(zhí)行的��、對應用程序的安全性進行管理的方法�����。本發(fā)明的方法對工作在經(jīng)由網(wǎng)絡(luò)(NET)連接到控制服務器(CSE)的設(shè)備(CB)中的至少一個應用程序(APP)進行認證���,所述設(shè)備(CB)局部地連接至安全模塊(SIM),所述應用程序(APP)通過設(shè)備(CB)的應用程序執(zhí)行環(huán)境(AEE)被裝載和/或執(zhí)行����,使用存儲在安全模塊的資源(RES),包括以下主要步驟由控制服務器(CSE)經(jīng)由網(wǎng)絡(luò)(NET)接收至少包含設(shè)備(CB)的識別碼(IMEISV)和安全模塊(SIM)的識別碼(IMSI)的數(shù)據(jù)���;由控制服務器(CSE)對所述數(shù)據(jù)進行分析和驗證�;生成包含應用程序(APP)摘要(FIN1)�����、識別設(shè)備(CB)和安全模塊(SIM)的數(shù)據(jù)��、以及用于所述模塊的指令(INS RES)的密文(CRY)�;經(jīng)由網(wǎng)絡(luò)(NET)和設(shè)備(CB)將所述密文(CRY)傳輸至安全模塊(SIM);通過將從接收到的密文(CRY)中提取的摘要(FIN1)與由安全模塊(SIM)所確定的摘要(FIN2)進行比較來驗證應用程序(APP)���。所述方法的特征在于�����,在應用程序(APP)初始化和/或激活期間�����,安全模塊(SIM)執(zhí)行從密文(CRY)中提取的指令(INS RES)�����,并根據(jù)先前針對所述應用程序(APP)的運行驗證結(jié)果分別釋放或封鎖對所述安全模塊(SIM)的特定資源(RES)的訪問�。
文檔編號H04L29/06GK1886963SQ200480034606
公開日2006年12月27日 申請日期2004年11月26日 優(yōu)先權(quán)日2003年11月27日
發(fā)明者雷查德·克桑迪尼, 雷納托·坎迪尼 申請人:納格拉卡德股份有限公司