CN101159940A - 以隔离方式提供电子服务的方法 - Google Patents
以隔离方式提供电子服务的方法 Download PDFInfo
- Publication number
- CN101159940A CN101159940A CNA2007101641898A CN200710164189A CN101159940A CN 101159940 A CN101159940 A CN 101159940A CN A2007101641898 A CNA2007101641898 A CN A2007101641898A CN 200710164189 A CN200710164189 A CN 200710164189A CN 101159940 A CN101159940 A CN 101159940A
- Authority
- CN
- China
- Prior art keywords
- service
- user
- security domain
- terminal
- request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6227—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database where protection concerns the structure of data, e.g. records, types, queries
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/107—Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
- H04W12/086—Access security using security domains
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/30—Security of mobile devices; Security of mobile applications
- H04W12/35—Protecting application or service provisioning, e.g. securing SIM application provisioning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- General Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- Telephonic Communication Services (AREA)
- Mobile Radio Communication Systems (AREA)
- Storage Device Security (AREA)
- Processing And Handling Of Plastics And Other Materials For Molding In General (AREA)
- Apparatuses And Processes For Manufacturing Resistors (AREA)
- Control And Other Processes For Unpacking Of Materials (AREA)
Abstract
本申请涉及以隔离方式提供电子服务的方法。为了能够以最佳方式在移动终端上提供服务,本方法在使用者的电子终端上将电子服务以隔离方式提供给预订该服务的至少一个提供者,所述提供者通过在预备步骤中建立安全域将这个服务提供给多个用户,安全域保证服务和数据区的隔离,所述服务可以以直接方式或通过对电子服务的处理来访问该数据区,安全域的数据区仅可通过数据访问密钥来访问。在本发明中,终端在安全域中将在电子终端中服务可以访问的数据区编索引成子区,以保证上述多个用户中的一个用户的请求只能,以直接方式或通过电子服务,读/写/修改仅仅一个与作为请求发送者的用户关联的预定子区。
Description
技术领域
本发明的领域是移动终端领域,更具体而言,是通过这些移动终端所提供的服务的领域。“移动终端”一词应理解为第二代或高于第二代的移动电话。广义地讲,移动终端是任何可通过网络来通信并可由人无需帮助地携带的装置。因此,上述移动终端至少包括移动电话、个人数字助理和便携式电脑。
背景技术
现有技术中有公知的移动电话软件平台允许在移动电话上提供移动电话服务以外的服务。
这些解决方案之一是将服务写入嵌入电话的芯片中。在这种情况下,服务专用于提供者和该服务的用户。如果要增加服务,就需要增加电话中的芯片,也就是还需要增加连接器端子,这很快会变得非常昂贵。然而,这种方案确保了服务之间的有效隔离(cloisonnement):这些服务实际上都对应于不同的芯片并因此对应于不同的物理存储器。然而,实现一种以上的服务的成本是难以接受的。
这些方法中的另一种方案是应用安全域概念的纯软件架构。安全域是在移动电话的操作系统层面或在操作系统的上层(surcouche)定义的。例如,这样的上层是一种Java型虚拟机。安全域具有至少一个被分成程序区和数据区的存储器区。操作系统或所述上层的机制确保了安全域的程序区的指令代码只能访问所述安全域的数据区的数据。这种对安全域的访问进一步由一组密钥(密钥集)来保护。这样就有多个与安全域相关的密钥。这样,该技术领域引入了参与安全域的保护的密钥集的概念。依赖于保护安全域的安全的需要,这些密钥中的每个密钥专用于一个非常确切的作用或一个非常确切的安全功能。下面列出的安全密钥或安全功能的列表并不是穷尽的,但是,对于一个域的安全保障,根据适合于所考虑的域的安全需要,可以使用多个密钥。这样,可以有一个密钥用来实例化安全域中的服务,一个密钥用来激活这些服务,一个密钥用来鉴权对这些服务的访问,一个密钥用来加密与这些服务的通信,一个密钥用来修改该安全域的参数,即修改所述域的数据区的内容。只有知道正确的密钥,或知道访问正确密钥的方式,才可以执行想要的动作。
在底层的操作系统实现适当的隔离(这是Java防火墙或沙箱的概念)的情况下,则这些机制可以确保数据在不同的安全域之间的有效隔离。然而,这种方案具有至少一个主要缺陷。事实上,服务是被给予看重其数据的机密性的用户。因此,每个用户都有必要在每个服务使用者的移动电话中安装不同的安全区。因此,如果管理移动电话的运营商希望将相同的受到安全保护的服务提供给两个不同的用户,则他必须在使用者的终端上安装两次安全域并提供两组密钥,每个用户一组。这些安装随着服务的数量以及每种服务或所有这些服务的用户的数量的增加而增加。这导致必须可用于移动电话的资源的增加,并因此导致其成本的增加和/或其对于给定服务的性能的降低。
在Java芯片(Java卡,JavaCardTM)领域和“全球平台(GlobalPlatform)”(http://www.globalplatform.org/)的环境下提出了安全域的概念,但其遇到了相同的限制,即为了针对不同数据来多次实例化同一个“小应用程序(applet)”(在用户侧用元语言编写的应用程序),必须增加安全域,对于所述不同数据,必须针对服务提供者及服务用户保证其机密性和隔离。在Java芯片卡的现有技术中,我们已经使用全球平台(Global Platform)型的模式从单一用途卡发展到了多用途卡,但是,本发明提出通过下述方式解决上述所问题:从多用途Java芯片卡的概念发展到多数据多用途Java芯片卡,同时允许将Java固有的隔离扩展到由同一应用所管理的数据。
本发明的一个目的是解决上述问题,途径是提出一种在电子终端上向至少一个预订服务的提供者以隔离方式提供电子服务的方法来,所述提供者通过在预备步骤中建立安全域将该服务提供给多个用户,所述安全域确保服务和数据区的隔离,所述服务可以以直接方式或通过对所述电子服务的处理来访问所述数据区,只可通过数据访问密钥来访问安全域的数据区。在本发明中,在安全域中,电子终端上的所述服务可以访问的数据区以显著的方式被编索引成子区,以确保来自上述多个用户中的一个用户的请求只能,以直接方式或通过对电子服务的处理,读/写/修改仅仅一个与该请求的发送用户关联的预定子区。
这样,只有安全域的资源被用来将服务提供给至少一个服务提供者,由该服务提供者将该服务提供给多个用户。
发明内容
本发明的一个目的是以隔离方式提供电子服务的方法。
本发明的一个目的是在移动终端上提供服务,同时节省该终端的资源。
本发明的另一个目的是,对于一个给定的终端,将这种服务提供给多个用户,同时节省所述终端的资源。
本发明的另一个目的是保证服务提供的安全。
因此,作为本发明的一个目的,提供了如下方法:用于在电子终端上将电子服务以隔离方式提供给预订了所述服务的至少一个提供者,所述提供者通过安全域将该服务提供给多个用户,安全域保证服务和所述服务可以访问的数据区的隔离,安全域的数据区只可以通过数据访问密钥访问,其特征在于:
在安全域中,电子终端上的服务可以访问的数据区被编索引成子区,以保证来自上述多个用户中的一个用户的请求只能读/写/修改仅仅一个与作为请求发送者的用户关联的预定子区。
根据本发明的方法的一个变形,其特征还在于,编索引在终端本地完成,并通过由用户向服务呈现至少一个标识符从而由服务来完成,所述标识符允许解除对与该标识符所标识的用户关联的数据子区的访问的锁定。
根据本发明的方法的另一个变形,其特征还在于,在识别之后基于加密密钥来进行鉴权,服务能够至少根据用户标识符产生此加密密钥。
根据本发明的方法的另一个变形,其特征还在于,编索引由第三方装置完成,其中该第三方装置在收到来自用户的请求时执行以下步骤:
识别所请求的服务;
识别所请求的服务所在的终端;
识别该用户;以及,
如果得到肯定的识别结果,将更新请求发送到被识别的终端以考虑来自用户的请求。
在一个变形中,本发明的方法还具有以下特征:在识别提供者之后进行鉴权。
在一个变形中,本发明的方法还具有以下特征:更新请求用数据访问密钥加密。
在一个变形中,本发明的方法还具有以下特征:通过特定于服务、安全域的操作系统或终端的操作系统的请求,提供者可以直接执行对被编索引的数据区的全部管理操作,如创建、初始化、锁定、破坏、不同用户和/或使用者之间的数据同步(所列并不是穷尽的)。这些管理操作可以由提供者已知的不同密钥(密钥集,keyset)保护。
根据本发明的方法的一个变形,其特征在于对数据区编索引是基于标识终端上的区的使用者的信息来完成的。这样,可以在一个或多个提供者或服务面前针对一个或多个用户来管理同一终端上的多个使用者。除了其他方面之外,该变形允许针对同一服务的一个或多个用户来实现多个使用者之间的信息同步。
附图说明
从以下描述及附图可以更清晰地理解本发明。这些附图只是用来说明本发明而绝不是要限制本发明的范围。在这些附图中:
图1说明在本地或远程实现中,其存储器根据本发明的方法步骤而构建的装置,
图2说明本发明的方法在本地实现中的步骤,
图3说明本发明的方法在远程实现中的步骤,
图4说明一个索引表。
具体实施方式
图1示出实现本发明的方法的移动终端101。在该示例中,终端101是移动电话。在实践中,所涉及的可以是在开头部分列举的所有装置。图1示出电话101至少具有微处理器102、通信接口电路103、程序存储器104和微电路卡读取器105。元件102到105由总线106互连。
在本说明书中,当把一个动作说成是由某一装置完成时,这个动作实际上是由所述装置的微处理器执行的,该微处理器受控于所述装置的程序存储器中的指令代码。当把一个动作说成是由某一程序完成时,这个动作对应于存储所述程序的程序存储器所属的装置的微处理器对程序存储器的对应于所述程序的区中的全部或部分指令代码的执行。
在本说明书中,“服务”一词用来表示一种程序,该程序对应于运营商出售给提供者的服务的提供。
这样,例如,移动电话运营商将针对客户忠诚点(points de fidélité)的记账服务出售给服务提供者。这个提供者又具有作为服务用户的客户,例如面包师、盘片或任何东西的零售商。这些客户是针对客户忠诚点的记账服务的用户。所述服务用户又可以向它的最终客户即街上的人提供电子忠诚卡。在一个终端中,同一服务/程序因此可以用于多个用户(在这个例子中是多个商店)。
除了刚描述过的这个示例之外,服务的示例还有端到端加密服务、相互鉴权服务、电子权限管理服务、支付服务、电子签名服务等,所列并不是穷尽的。
在本发明的一个变形中,提供者与电话运营商本身是同一人。
电路103使电话101能够按照各种标准通信,这其中有移动电话标准(可以是任何语音/数据模式)以及局域通信标准如蓝牙(Bluetooth)、Wifi以及所谓的无接触通信标准如RFID/NFC。
电路105使得电话101能够与SIM/USIM(订户识别模块/UMTS)卡107连接。卡107至少具有微处理器108和程序存储器109。元件105、108和109通过总线110互连。
存储器109通常具有区111,该区具有对应于操作系统的指令代码。该操作系统使得安装于卡107中的程序能够访问卡107的资源(通信、文件系统等)。因此所有安装于卡107中的程序使用操作系统111的功能。
图1示出存储器109的区102,其对应于任何程序(程序λ)并因此包括直接连接到操作系统111的指令代码。
本发明使用公知的安全域机制。这种机制意味着在操作系统中实现另外的功能。这些机制在实践中通过虚拟机实现,例如Java虚拟机。图1示出了这样的虚拟机113。原则上,这种虚拟机是由为该虚拟机所编写的程序所进行的调用与其中安装该虚拟机的操作系统之间的中介。
在实践中,虚拟机能够创建安全域,即安全域可以在制造卡时创建,或者可以在制造卡的阶段之后动态创建。图1示出安全域SD1。安全域SD1是存储器109的区。域SD1具有区S1,该区对应于能够由机器113解释的指令代码并对应于服务(比如如上所述的那些服务)的实现。
域SD1还具有数据区。在本发明中,这个数据区被细分成子区D1.1、D1.2到D1.n。安全域的机制确保了只有区S1的指令代码能够访问SD1的数据区的数据。本发明使得每个子区D1.x能够与给定的用户相关联。依赖于将要调用服务S1的用户,只有一个子区是可用的。每个服务(从而每个安全域)由服务标识符Sx标识。每个用户由用户标识符idC标识
为此,机器113和/或区S1包括记录于区SEC中且专用于检验发送给服务S1(或概括地说,服务Sx)的请求的有效性的指令代码。每个安全域具有它自己的区SEC。记录于该区SEC中的代码因此保证了对数据区的索引。
当说到服务S1与外部通信时,它是通过SIM卡107和电话101来进行的。
图1示出了希望发送对服务S1的请求的用户所使用的用户装置130。装置103包括微处理器131、标识符存储器132、加密和鉴权密钥存储器133、程序存储器134和通信接口电路135。装置130还具有用于服务标识存储器136和指令存储器137,在一个变形中还具有用于代理服务器标识存储器138。
元件131到138通过总线139互连。电路135与电路103具有相同的性质,并且与电路103所执行的标准中的至少一个标准兼容。
存储器134至少包括用于发送对服务S1的请求的指令代码。在本发明的一个变形中,存储器134也具有使得能够响应(relever)服务S1所提交的鉴权询问(challenge d’authentification)的指令代码。在一个变形中,存储器134具有用于实现对称或非对称加密功能F的指令代码。
图2示出由SIM卡107在本地管理对安全域SD1的数据区的索引时根据本发明的方法的步骤。
在执行图2和3所述的步骤之前,运营商将已经执行了用于将服务安装于卡107中的步骤。在这个步骤中,运营商构建如图1所述的存储器109。即,运营商在存储器109中安装至少一个安全域,如域SD1。
图2示出步骤201,其中用户激励装置130以使其与电话101交互。例如,这种激励是在电话101的携带者使该电话靠近装置130的同时通过机械控制接口完成的。在这种情况下,非限制性地,装置130与电话101之间的通信通过RFID/NFC型机制、红外或蓝牙(Bluetooth)机制或其他近距离通信手段完成,或通过移动或固定网络基础设施上所传输的数据通信完成。
装置130产生请求205,请求205至少包括用户的标识符202、服务的标识符203和指令代码204。在本示例中,这些条信息通过单个请求发送。在实践中,它们可以通过装置130与电话101之间的请求的交换来发送。用于产生请求205的这些信息是从存储器132、136和137读取的。这些存储器由运营商/提供者在其将装置130提供给用户时更新。字段204的内容可以根据用户的意愿并通过装置130的参数确定(paramétrage)来变化。相反地,与存储器133一样,字段202和203在提供者的控制之下。
请求205一旦产生就发送到电话101。
在步骤206,电话101接收请求205并将其发送到对其进行处理的卡107。这种处理至少包括读取字段203以识别服务并因此识别安全域。如果存在字段203所指定的服务,那么请求205由该服务处理。这里例如考虑服务S1。那么就是服务S1处理请求205。如果未发现请求205所指定的服务,那么这个请求被简单地完全忽略。服务S1对请求205的处理至少包括首先读取字段202,然后搜索,看是否有区D1.x对应于这样指定的用户。这个搜索实际上对应于在步骤207所进行的识别。如果所述服务未能识别用户,那么操作前进到结束步骤208,这实际上等于将请求205忽略。否则,操作前进到鉴权测试步骤209。
步骤209是本发明的一个变形。在步骤209,所述服务执行测试以确定在识别之后服务的应用是否需要通过配置来进行鉴权。如果是,服务S1前进到对用户进行鉴权的步骤210。如果不是,它前进到执行字段204中所描述的指令代码的步骤211。
在步骤210,所述服务通过一个或多个交换,执行对用户的隐含的或明确的单向鉴权或相互鉴权。隐含鉴权是基于对某个值的接收/发送的鉴权,该值是使应被鉴权的实体拥有鉴权秘密的加密操作的结果。
在步骤210的一个优选变形中,卡109产生包括随机变量的询问消息212。这个消息212由装置130在步骤213接收。在步骤213。装置130用装置130已知的函数F以及存储器133的密钥对上述随机变量加密。在步骤213的一个变形中,装置130根据所述随机变量的值以及装置130已知的多样化(diversification)函数(或哈希函数或单向函数)F来计算存储器133的密钥的变化形式(diversification)。存储器133的密钥实际上是与安全域SD1关联的密钥集(密钥组,keyset)的密钥Ks的子密钥Kf。由此我们有:
Kf=Fk(idC,Ks)
其中idC是存储器132的内容。
在安装安全域时,卡109知道Ks。根据本发明的这个变形,服务S1知道Fk和F。这些函数Fk与存储器109的安全域同时安装。最后,服务S1通过请求205知道idC。
在步骤213的末尾,装置130发出包括F(随机变量,Kf)的响应消息214。
在步骤215,服务S1通过卡107和电话101接收消息214。然后,服务S1将信息214的内容与它自己的计算F(随机变量,Fk(idC,Ks))比较。如果这些计算相等,那么服务S1前进到步骤221。如果不相等,它前进到结束步骤216,请求205被忽略。
在步骤221,服务S1执行字段204中描述的一个或多个指令。该执行意味着安全域的数据区中的读和/或写操作。在本发明中,服务S1将数据区的子区与每个用户标识符相关联。这种关联是例如通过对应于安全域的区SEC完成的,或是由服务S1直接完成的。该区然后针对每个用户标识符描述其中应进行读/写/修改的子区。任何在这个子区之外的读或写的企图会导致虚拟机方面的拒绝执行。
在本发明的一个变形中,通过字段204所接收的指令用存储器133的密钥Kf和函数F加密。因此,只有当用户有正确的标识并且已经将正确的要素提供给服务S1以便对指令进行解码时,这个指令才能被正确地执行。这种加密机制将在图3所说明的变形中说明。
图3说明了本发明的一个变形,其中安全域的子区的更新/读取通过已经向服务用户提供服务的提供者的代理服务器完成。
图1说明了一个这样的代理服务器161。服务器161通过接口电路163连接到网络162。装置130适合例如通过移动电话网络的基站164连接到网络162。该网络也可以是固定网络或者直接是因特网。因此,装置130和服务器161可以通信。
服务器161包括微处理器165、程序存储器166和配置存储器167。
存储器166具有用于实现与装置130的通信的指令代码、用于实现与安装于电话101的SIM卡107中的服务的通信的指令代码、用于应用对称加密函数F的指令代码和用于执行产生加密密钥Kf的函数Fk的指令代码。
在本发明的这个变形中,安装于卡109中的安全域的安全区SEC知道并且能够执行函数F。存储器133包括值:
Kf=Fk(idC,Ks)
其中的每个符号已经在前面描述过。
存储器167实际上对应于一个表,表的每行对应于一个用户。因此每行至少具有标识用户的字段168、标识服务的字段169和加密密钥字段170。字段170的内容实际上是与安全域关联的密钥集的密钥之一,在该安全域中实现由字段169所标识的服务。
图3示出了步骤301,其中装置120的使用者产生并发送访问安装于电话101中的服务的请求302。该请求包括多个字段,其中至少有标识终端101的字段303、标识用户的字段304、标识服务的字段305和描述指令代码的字段306,该指令代码要由字段305的内容所标识的服务来执行。这个请求302一旦产生就发送到服务器161,服务器161的装置130通过字段138的内容知道该地址。该发送以数据模式(TCP/IP型协议)或通过短消息(SMS/MMS型协议)完成。
与步骤201的情况一样,针对帧302描述的信息将由装置130发送。然而,所述信息可以以所描述的单个帧发送,或在装置130与服务器161对话期间以多个帧发送。
在一个优选示例中,字段303的内容是电话号码(MSISDN),可以通过该号码来连接电话101。这个电话号码由装置130在键入操作期间或者在电话101与装置130对话的过程中获得。非穷尽地,字段303的内容可以是订户的任何网络标识符,在移动网络的情况下是IMSI或IMEI,也可以是ICCID型订户芯片卡的标识符,或者在芯片卡的“引导(boot)”阶段电话所获得的TAR帧。该标识符还可以基于任何在连接运营商眼里标识用户的手段:IPv6地址、以太网地址甚至邮件地址,SIP或VoIP型标识符、ENUM型标识符或任何其它还能够想到的电子身份。
在步骤307,服务器161在表167中进行搜索。该搜索是对发出请求302的用户进行识别308。该搜索包括搜索表167中其字段168和169等于字段304和305的行。如果发现了这样的行L,那么识别结果是肯定的。如果没有发现,识别结果是否定的并且服务器161前进到步骤309,在该步骤其忽略请求302。
如果是肯定的识别结果,服务器161前进到鉴权测试步骤310。该步骤包括确定除了识别以外是否还需要鉴权。该步骤是可选的并且可以通过行L的配置字段实现。例如,如果这个字段等于1,则需要鉴权。否则不需要鉴权。
如果需要鉴权,则服务器前进到向装置130提交询问的步骤311。步骤311与已描述的步骤210相同,之后是步骤312、313和324,它们与步骤213、215和216相同。然而,在这种情况下,步骤312、313和314由服务器161而不是卡107执行。
如果由服务器161提交的鉴权要求是成功的,服务器前进到产生请求指令315的步骤314。
在一个优选示例中,请求指令315在头部至少包括标识该请求指令的目标电话的字段316。例如,取决于所用的网络标识符的类型,通过短消息或任何其它通信方式发送该请求。字段316包括由服务器161通过字段303所接收的值。
请求315还具有标识服务的字段317,其内容对应于在步骤308所发现的行L的字段169的内容。
请求315还具有通过函数F、使用行L的字段170的密钥Ks加密的字段318。显然,字段318至少包括描述待执行的指令的字段319,并且可选地包括校验和(CRC)型字段320。字段320具有字段319的校验和。
密钥Ks实际上是安全域的密钥集中的数据访问密钥,字段169所标识的服务在该安全域中执行。
字段319可以更复杂,包括一系列指令和/或用于指令的参数。字段319隐含地或明确地包括发送导致产生指令315的请求的用户的标识。这个标识是例如是允许由字段317所标识的服务确定其中执行所述服务的安全域的数据区的子区的标识符。这个标识例如隐含地包含于待执行的一个或多个指令的参数中。这些参数事实上指定待更新或待读取的数据。服务器161使用它对用户的身份的知识产生用于字段319的指令,其只在属于行L中所标识的用户的子区中读和写。然后,对该子区的知识存储于行L中。在一个变形中,对该子区的知识存储于安全域的区SEC中。
请求指令315一旦产生就被发送到电话101,电话101在步骤321将其接收并将其发送到卡107。然后卡107使用字段317的内容将请求315发送到字段317所标识的服务,如果其存在的话。如果不存在,则忽略请求315。在本示例中,假定涉及服务S1。
在步骤321,服务S1使用密钥Ks对字段318解密。然后,如果选择了校验和选项(CRC),则服务S1计算被解密的字段319的内容的校验和并将这个和的结果与被解密的字段320的内容比较。如果这个比较结果是相等的,那么服务S1前进到执行由被解密的字段319的内容所描述的指令的步骤322。如果不相等,则请求315被所述服务忽略。
在这个变形中,对数据的索引因此由第三方服务器来确保,该第三方服务器通过发送到给定服务的指令,在已经识别和/或鉴权用户之后保证这个用户只能访问与他有关的数据。
在一个变形中,用户装置实际上是安装于终端101的程序存储器104中的应用(例如,消息应用、必须管理与DRM有关的数据和加密的流的“多媒体播放器”型应用或多媒体数据交换/共享应用,或IP承载电话或视频电话(visiophonie)型应用)。这个程序然后可能需要加密服务或权限管理服务以使得电话101的使用者能够与一个或多个内容服务器通信。在这种情况下,该应用被标识为用户并仅能访问安全域的数据区的子区,上述加密服务或权限管理服务在该安全域中执行。在一般应用的情况下,是内容服务器向一般应用提供使得它能够将它自己标识为服务的信息。
在本发明中,多个安全域(从而多个服务)能够共存于同一个SIM卡中。因此,可以通过单个安全域向多个用户提供同一服务。也可以通过多个安全域向多个用户提供多个服务。
在所述装置的一个变形中,本发明的方法的特别之处在于:根据标识终端上的区的使用者的信息实现对数据区编索引。这样可以在一个或多个提供者或服务面前针对一个或多个用户来管理同一个终端41上的多个使用者。除了其他方面之外,这个变形允许针对同一服务的一个或多个用户来实现多个使用者之间的信息同步。
在实践中,安全域通过Java平台实现。于是使用了Java虚拟机。对应于服务的程序于是被称作“小应用程序”,或者说在客户装置中执行的Java应用程序。
如已经描述的,对安全域的数据区编索引是由服务在本地或由代理服务器以远程方式完成的。在所描述的示例中,上述编索引是通过将用户标识符与对存储器区的描述相关联的“分配表”400完成的。例如,这种描述对应于所述存储器区的起始和结束地址。在本发明的一个变形中,认为每个子区具有相同的尺寸。数据区于是被看作是表,该表的每个单元格对应于一个子区。在这种情况下,简单的索引使得能够直接访问正确的子区。而另一个变形使用顺序索引,其中每个子区存储用户标识符,正确子区的选择于是通过对子区进行顺序扫描、直到发现正确的标识符来完成。所产生的指令代码考虑了编索引的模式。
在本发明中,小应用程序和安全域由提供SIM卡的运营商安装。这使得运营商能够通过不同的形式分析方法来确保代码的质量和无害性。这也使得运营商能够预先格式化安全区的数据区。
为了维护这些应用,本发明的方法允许运营商/提供者通过特定于服务、安全域的操作系统或终端的操作系统的请求来直接执行用于管理被编索引的数据区的全部操作,例如,创建、初始化、锁定、破坏、不同用户和/或使用者之间的数据同步等。这些管理操作可以由提供者已知的不同密钥来保护。
如果运营商/提供者知道全部或部分与安全域有关的密钥集,象针对远程索引所描述的情况一样,他可以产生由必须给予维护的服务识别并执行的指令。在一个变形中,为进行维护,运营商/提供者将它自己标识/鉴权为超级用户,安全域向该超级用户赋予遍及其整个数据区的所有权限。
Claims (9)
1.一种在使用者的电子终端(101)上向预订电子服务的至少一个提供者(161)以隔离方式提供电子服务(S1)的方法,所述提供者通过在预备步骤中建立安全域(SD1)将所述服务提供给多个用户(130),所述安全域保证所述服务和数据区(D1)的隔离,所述服务能够以直接方式或通过对电子服务的处理来访问所述数据区,所述安全域的数据区仅能够通过数据访问密钥访问,其特征在于所述方法包括以下步骤:
所述终端在所述安全域中将在所述电子终端中所述服务能够访问的所述数据区编索引(211,314)成子区,以保证所述多个用户中的一个用户的请求(205,302)只能,以直接方式或通过电子服务,读/写/修改仅仅一个与作为请求发送者的用户相关联的预定子区(D1.x)。
2.根据权利要求1所述的方法,其特征在于,所述编索引在所述终端上在本地完成(211),并且通过由用户向所述服务呈现至少一个标识符从而由所述服务来完成,所述至少一个标识符使得能够解除对与所述标识符所标识的用户关联的数据子区的访问的锁定。
3.根据权利要求2所述的方法,其特征在于,识别(207)之后是基于加密密钥来进行鉴权(209,210,212-215),所述服务能够至少根据用户标识符来产生所述加密密钥。
4.根据权利要求1所述的方法,其特征在于,所述编索引由第三方装置(161)完成,所述第三方装置在收到用户的请求时执行以下步骤:
识别所请求的服务,
识别所请求的服务所在的终端,
识别所述用户,以及,
如果识别结果是肯定的,将更新请求发送到被识别的终端以考虑所述用户的请求。
5.根据权利要求4所述的方法,其特征在于,识别(308)所述提供者之后是进行鉴权(310-313)。
6.根据权利要求4或5所述的方法,其特征在于,更新请求用数据访问密钥加密(314)。
7.根据权利要求1到6之一所述的方法,其特征在于,通过特定于所述服务、所述安全域的操作系统或所述终端的操作系统的请求,提供者能够直接执行对被编索引的数据区的全部管理操作,如创建、初始化、锁定、破坏、不同用户和/或使用者之间的数据同步,这些管理操作能够由所述提供者已知的不同密钥来保护。
8.根据权利要求1到7之一所述的方法,其特征在于,对所述数据区编索引是在一个或多个提供者或者服务面前针对一个或多个用户、基于标识所述终端上的区的使用者的信息来实现的。
9.根据权利要求1到8之一所述的方法在移动电话的微电路卡(107)(SIM卡)中的应用。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| FR0654118A FR2906960B1 (fr) | 2006-10-05 | 2006-10-05 | Procede de mise a disposition cloisonnee d'un service electronique. |
| FR0654118 | 2006-10-05 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101159940A true CN101159940A (zh) | 2008-04-09 |
Family
ID=37998428
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA2007101641898A Pending CN101159940A (zh) | 2006-10-05 | 2007-10-08 | 以隔离方式提供电子服务的方法 |
Country Status (9)
| Country | Link |
|---|---|
| US (1) | US20080091604A1 (zh) |
| EP (1) | EP1909462B1 (zh) |
| JP (1) | JP2008102925A (zh) |
| KR (1) | KR20080031827A (zh) |
| CN (1) | CN101159940A (zh) |
| AT (1) | ATE477660T1 (zh) |
| DE (1) | DE602007008336D1 (zh) |
| ES (1) | ES2350268T3 (zh) |
| FR (1) | FR2906960B1 (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105678192A (zh) * | 2015-12-29 | 2016-06-15 | 北京数码视讯科技股份有限公司 | 一种基于智能卡的密钥应用方法及应用装置 |
| CN105763527A (zh) * | 2014-07-21 | 2016-07-13 | 霍尼韦尔国际公司 | 用于已连接的飞行器的安全体系 |
| CN107563224A (zh) * | 2017-09-04 | 2018-01-09 | 济南浪潮高新科技投资发展有限公司 | 一种多用户物理隔离方法及装置 |
| CN108055283A (zh) * | 2013-01-18 | 2018-05-18 | 苹果公司 | 用于密钥链同步的系统和方法 |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| FR2933559A1 (fr) * | 2008-07-01 | 2010-01-08 | France Telecom | Procede d'installation d'une application de gestion et procede de gestion de donnees d'application d'un module de securite associe a un terminal mobile |
| US9807608B2 (en) * | 2009-04-20 | 2017-10-31 | Interdigital Patent Holdings, Inc. | System of multiple domains and domain ownership |
| EP3343866A1 (en) * | 2009-10-15 | 2018-07-04 | Interdigital Patent Holdings, Inc. | Registration and credential roll-out |
| FR2973185B1 (fr) * | 2011-03-22 | 2013-03-29 | Sagem Defense Securite | Procede et dispositif de connexion a un reseau de haute securite |
| KR101308226B1 (ko) * | 2011-10-28 | 2013-09-13 | 에스케이씨앤씨 주식회사 | 모바일 기기에 장착된 se를 위한 통신 인터페이스 방법 및 이를 적용한 se |
| CN105450406B (zh) | 2014-07-25 | 2018-10-02 | 华为技术有限公司 | 数据处理的方法和装置 |
| CN107038038B (zh) * | 2016-02-03 | 2021-12-21 | 紫光同芯微电子有限公司 | 一种运行大容量usim小应用程序的方法 |
| US20170272435A1 (en) | 2016-03-15 | 2017-09-21 | Global Tel*Link Corp. | Controlled environment secure media streaming system |
| CN106453398B (zh) * | 2016-11-22 | 2019-07-09 | 北京安云世纪科技有限公司 | 一种数据加密系统及方法 |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4268690B2 (ja) * | 1997-03-26 | 2009-05-27 | ソニー株式会社 | 認証システムおよび方法、並びに認証方法 |
| US6859791B1 (en) * | 1998-08-13 | 2005-02-22 | International Business Machines Corporation | Method for determining internet users geographic region |
| GB2380901B (en) * | 2001-10-10 | 2005-09-14 | Vodafone Plc | Mobile telecommunications apparatus and methods |
| JP3895245B2 (ja) * | 2002-09-19 | 2007-03-22 | 株式会社エヌ・ティ・ティ・ドコモ | 鍵の更新が可能な利用者の識別情報に基づく暗号化方法及び暗号システム |
| JP4428055B2 (ja) * | 2004-01-06 | 2010-03-10 | ソニー株式会社 | データ通信装置及びデータ通信装置のメモリ管理方法 |
| KR100437513B1 (ko) * | 2004-02-09 | 2004-07-03 | 주식회사 하이스마텍 | 복수의 발급자 시큐리티 도메인을 설치할 수 있는 스마트카드 및 하나의 스마트 카드에 복수의 발급자 시큐리티도메인을 설치할 수 있는 방법 |
| JP4576894B2 (ja) * | 2004-06-14 | 2010-11-10 | ソニー株式会社 | 情報管理装置及び情報管理方法 |
-
2006
- 2006-10-05 FR FR0654118A patent/FR2906960B1/fr active Active
-
2007
- 2007-09-19 AT AT07301379T patent/ATE477660T1/de active
- 2007-09-19 ES ES07301379T patent/ES2350268T3/es active Active
- 2007-09-19 EP EP07301379A patent/EP1909462B1/fr active Active
- 2007-09-19 DE DE602007008336T patent/DE602007008336D1/de active Active
- 2007-10-04 US US11/867,058 patent/US20080091604A1/en not_active Abandoned
- 2007-10-05 JP JP2007262447A patent/JP2008102925A/ja active Pending
- 2007-10-05 KR KR1020070100325A patent/KR20080031827A/ko not_active Application Discontinuation
- 2007-10-08 CN CNA2007101641898A patent/CN101159940A/zh active Pending
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108055283A (zh) * | 2013-01-18 | 2018-05-18 | 苹果公司 | 用于密钥链同步的系统和方法 |
| US10771545B2 (en) | 2013-01-18 | 2020-09-08 | Apple Inc. | Keychain syncing |
| CN108055283B (zh) * | 2013-01-18 | 2021-01-29 | 苹果公司 | 用于密钥链同步的系统和方法 |
| CN105763527A (zh) * | 2014-07-21 | 2016-07-13 | 霍尼韦尔国际公司 | 用于已连接的飞行器的安全体系 |
| CN105678192A (zh) * | 2015-12-29 | 2016-06-15 | 北京数码视讯科技股份有限公司 | 一种基于智能卡的密钥应用方法及应用装置 |
| CN105678192B (zh) * | 2015-12-29 | 2018-12-25 | 北京数码视讯科技股份有限公司 | 一种基于智能卡的密钥应用方法及应用装置 |
| CN107563224A (zh) * | 2017-09-04 | 2018-01-09 | 济南浪潮高新科技投资发展有限公司 | 一种多用户物理隔离方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20080091604A1 (en) | 2008-04-17 |
| EP1909462A2 (fr) | 2008-04-09 |
| KR20080031827A (ko) | 2008-04-11 |
| FR2906960A1 (fr) | 2008-04-11 |
| EP1909462B1 (fr) | 2010-08-11 |
| JP2008102925A (ja) | 2008-05-01 |
| ES2350268T3 (es) | 2011-01-20 |
| EP1909462A3 (fr) | 2009-08-05 |
| FR2906960B1 (fr) | 2009-04-17 |
| DE602007008336D1 (de) | 2010-09-23 |
| ATE477660T1 (de) | 2010-08-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101159940A (zh) | 以隔离方式提供电子服务的方法 | |
| CN101120569B (zh) | 用户从用户终端远程访问终端设备的远程访问系统和方法 | |
| US9740847B2 (en) | Method and system for authenticating a user by means of an application | |
| US8752127B2 (en) | Systems and methods for identifying devices by a trusted service manager | |
| JP5595636B2 (ja) | 安全な情報記憶デバイスと少なくとも1つのサードパーティとの間の通信、対応するエンティティ、情報記憶デバイス、及びサードパーティのための方法及びシステム | |
| JP5814282B2 (ja) | Otaサービスを提供するためのシステムおよびその方法 | |
| US20190087814A1 (en) | Method for securing a payment token | |
| US20040172536A1 (en) | Method for authentication between a portable telecommunication object and a public access terminal | |
| JP2008538668A (ja) | 移動体端末装置に収容されたsimカードに接続する方法および接続装置 | |
| KR20120005411A (ko) | Nfc 장치에서의 보안 어플리케이션 실행 방법 | |
| WO2013097177A1 (en) | Virtual sim card cloud platform | |
| EP2719202A2 (en) | Methods, apparatuses and computer program products for identity management in a multi-network system | |
| CN1910531B (zh) | 数据资源的密钥控制使用的方法和系统以及相关网络 | |
| Vahidian | Evolution of the SIM to eSIM | |
| CN105245526B (zh) | 调用sim卡应用的方法与装置 | |
| US20180139049A1 (en) | A method, a computer program product and a qkey server | |
| CN106899568A (zh) | 一种物联网设备的认证凭证更新的方法及设备 | |
| WO2005051018A1 (en) | Smart card lock for mobile communication | |
| Konidala et al. | A secure and privacy enhanced protocol for location-based services in ubiquitous society | |
| Kasper et al. | Rights management with NFC smartphones and electronic ID cards: A proof of concept for modern car sharing | |
| CN115860017B (zh) | 一种数据处理方法和相关装置 | |
| CN1554203A (zh) | 访问虚拟运营商提供的特殊服务的方法及用于相应装置的芯片卡 | |
| KR20100136379A (ko) | 다중 코드 생성 방식의 네트워크 형 오티피 인증을 통한 휴대폰 결제 방법 및 시스템과 이를 위한 기록매체 | |
| KR20180093057A (ko) | 스마트폰과 연동되는 모바일 유닛과 서버 간의 보안 통신을 위한 방법 및 시스템 | |
| CN115987597A (zh) | 基于软件、终端设备、虚拟服务器的密钥更新方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Open date: 20080409 |