CN105264934A - 包含具有不同安全级别的安全资源的移动平台 - Google Patents
包含具有不同安全级别的安全资源的移动平台 Download PDFInfo
- Publication number
- CN105264934A CN105264934A CN201480031806.5A CN201480031806A CN105264934A CN 105264934 A CN105264934 A CN 105264934A CN 201480031806 A CN201480031806 A CN 201480031806A CN 105264934 A CN105264934 A CN 105264934A
- Authority
- CN
- China
- Prior art keywords
- mobile platform
- security
- application program
- level
- application
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/30—Security of mobile devices; Security of mobile applications
- H04W12/37—Managing security policies for mobile devices or for controlling mobile applications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2105—Dual mode as a secondary aspect
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2113—Multi-level security, e.g. mandatory access control
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/40—Security arrangements using identity modules
- H04W12/45—Security arrangements using identity modules using multiple identity modules
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/67—Risk-dependent, e.g. selecting a security level depending on risk profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/02—Terminal devices
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Telephone Function (AREA)
- Mobile Radio Communication Systems (AREA)
- Stored Programmes (AREA)
Abstract
本发明涉及一种移动平台,包括移动终端设备、安全资源和在移动平台中安装的确定模块,利用该确定模块能够确定移动平台的安全资源、能够推导出借助该安全资源能达到的至少一个移动平台安全级别并且能够输出所推导出的移动平台安全级别。另外,给出了一种具有这种移动平台的应用程序下载系统和一种用于移动平台的风险评估系统。
Description
技术领域
本发明涉及一种包含移动终端设备和安全资源的移动平台,分别利用该移动平台的一种应用程序下载系统和一种风险评估系统。
背景技术
移动平台包括移动终端设备,通常还包括用户身份模块(也称为安全元件SE),该模块能够在终端设备内运行,并且终端设备能够利用该模块在移动无线网络中运行。用户身份模块或安全元件SE在许多移动无线系统中被设计为可移除的用户卡(微处理器芯片卡),例如SIM卡,替代地被设计为固定安装的eUICC(嵌入式UICC,UICC=UniversalIntegratedCircuitCard,通用集成电路卡)。
移动终端设备应理解为利用移动无线系统的设备,例如移动电话、智能电话或具有移动电话功能的PDA(个人数字助理)。
通过Trustzone架构(ARM公司的商标)已知一种用于微处理器系统的二分式运行时间架构,其包括两个运行时间环境。由常规操作系统(例如Android,WindowsPhone,iOS)控制被称为“常规区域”或“常规世界”的不安全的第一运行时间环境。由安全操作系统控制被称为“信赖区域”或“受信赖世界”或“安全世界”或“受信赖执行环境TEE”的安全的或值得信赖的第二运行时间环境。
由用户身份模块、常规运行时间环境和安全运行时间环境构成了移动平台的安全资源,其提供不同的安全级别(安全等级)。常规运行时间环境相对不安全,也就是具有低的安全级别。SIM卡具有相对高的安全级别,而安全的运行时间环境TEE具有中间安全级别。
移动平台应用程序的许多用户要求,其在其移动平台中所使用的应用程序遵守一定的安全级别。否则,他们可能不愿意使用在其移动平台中的应用程序。因此,移动平台应用程序的供应者感兴趣的是,能够保证其应用程序定义的安全级别。然而,应用程序的安全级别取决于移动平台的安全资源。只有当移动平台的安全资源满足一定的最低标准时,应用程序才能够保证足够的安全性。
WO2011/131365A1描述了一种用于对已经在移动终端设备内的应用程序进行后配置的系统和方法。在此,中央服务器具有关于移动终端设备的可能的安全资源(具有不同的运行时间环境和/或安全元件的终端设备配置)和关于安全资源所对应的安全级别(安全等级)的信息。根据中央服务器所确定的终端设备的安全级别,服务器选择合适的应用程序配置,并且对已经在终端设备内的应用程序进行配置以匹配安全级别。在此,服务器仅必须维持唯一的应用程序变体。通过后配置仍然建立与安全级别对应的应用程序配置。
根据WO2011/131365A1的系统和方法假设终端设备自身已知或者至少理论上已知终端设备的安全资源(终端设备配置)。只有这样,终端设备才能够对服务器请求合适的配置。
然而,移动平台的安全资源自身也会改变。例如可以添加或删除安全的运行时间环境。同样,也可以移除SIM卡。因此,不能保证例如根据终端设备的型号估计的安全资源与实际的安全资源一致。
发明内容
本发明要解决的技术问题是,实现一种移动平台,其能够保证定义的安全级别。特别是要提供一种移动平台,通过该移动平台能够保证在移动平台中安装的或要安装的应用程序具有定义的应用程序安全级别。另外,还要提供一种应用程序下载系统,用于将应用程序下载到移动平台,其中对于下载到移动平台中的应用程序能够保证定义的应用程序安全级别。
所述技术问题通过按照权利要求1的移动平台解决。在从属权利要求中给出了本发明的优选构造。
根据本发明,按照独立权利要求1的移动平台包括移动终端设备,还包括安全资源。该移动平台的特征在于在移动平台中安装的确定模块(或发现模块),利用该确定模块能够确定移动平台的安全资源、能够推导出借助该安全资源可达到的至少一个移动平台安全级别并且能够输出所推导出的移动平台安全级别。
确定模块能够确定在移动平台中实际存在哪种安全资源。确定模块特别是能够识别出安全资源从移动平台中被移除或者被添加到移动平台。因此,由确定模块所确定的安全资源相当于移动平台的当前实际安全状态。基于此,通过确定模块,在考虑可能的移除或新添加的安全资源的情况下,能够推导出移动平台的当前实际的安全级别。因为由确定模块推导并输出的安全级别总是最新的,所以利用包含确定模块的移动平台不仅能够估计还能够实际保证移动平台安全级别。
因此,按照权利要求1实现了一种移动平台,其能够保证定义的安全级别。
可选地,提供了一个或多个以下的安全模块作为安全资源:终端设备的常规运行时间环境,特别是具有或没有加密功能;在终端设备内安装的虚拟用户身份模块;终端设备的安全运行时间环境;能够在终端设备中运行的用户身份模块,特别是可移除的用户身份模块(例如SIM卡或USIM卡)、固定安装的用户身份模块(例如eUICC)、认证过的可移除的用户身份模块、认证过的固定安装的用户身份模块;安全的微处理器存储卡,特别是安全SD卡和/或安全微型SD卡。
可选地,通过确定模块能够为每个安全模块和/或为移动平台的一个或多个安全模块的任一组合推导并输出移动平台安全级别。可选地,能够输出移动平台的多个或全部安全资源/安全模块的至少多个或全部安全级别中的多数。
可选地,通过确定模块,能够与安全级别一起输出符合安全级别的那个安全资源或安全模块。
可选地,通过确定模块能够输出多个或全部安全资源/安全模块及所属安全级别的列表,例如作为表格。
根据移动平台的一种实施方式,确定模块被集成在编程接口中,特别是所谓的应用程序编程接口API,借助该编程接口能够从移动平台输出关于移动平台安全级别的输出信息和/或向移动平台输入用于控制安全级别的控制信息。
在编程接口中可选地能够输出以下的一个或多个作为输出信息:移动平台的安全级别;移动平台的可用安全资源;安全资源的安全级别;移动平台的全部安全资源的全部安全级别;移动平台的全部可用安全资源;移动平台的最高可用安全级别;移动平台的当前设定安全级别;可用于一个或每个安全级别或者可用于一个或每个安全资源的功能的功能信息。在此,在编程接口中,确定模块具有确定并输出安全资源和安全级别的功能。由编程接口的其它部分执行另外的功能,例如提供功能信息。例如将移动平台在运行时必须(可选为至少或精确)满足的那个安全级别提供为设定的安全级别。根据设定的安全级别,例如得出移动平台在运行时必须使用哪个安全资源(例如SIM卡或TEE等)。
关于移动平台的功能,通常具有以下原则:提供的移动平台功能越多,则安全级别越高。移动平台的安全级别越低,则提供的(即,可用的,例如激活的)移动平台功能越少。例如,如果所确定的安全级别太低,则禁用能够用以执行加密计算的移动平台功能。如果给移动平台添加新的安全资源,而通过该安全资源提高了移动平台的安全级别,则确定新的安全级别并释放或激活能够用以执行加密计算的功能,也就是随后可用。
在推导并输出应用程序安全级别作为安全级别的情况下,功能信息特别可选地也涉及应用程序。例如,涉及应用程序的功能信息是在推导出的应用程序安全级别下哪个应用程序功能可用的信息,或者更普遍地是哪个应用程序功能在哪个推导出的应用程序级别下可用的信息。设定的应用程序安全级别例如可以通过必须将应用程序加载到与所设定的应用程序安全级别对应的安全资源中来实现。可选地,可以设定最低应用程序安全级别,从而必须将应用程序加载到至少满足最低应用程序安全级别的安全资源。
可选地,控制信息具有一个或多个以下内容:规定使用具有特定安全级别的特定安全资源;规定使用具有最高安全级别的安全资源。在应用程序安全级别作为安全级别的情况下,例如通过在具有特定安全级别的安全资源中安装和/或执行要安装和/或要执行的应用程序来实现规定使用具有特定安全级别的特定安全资源。规定使用具有最高安全级别的安全资源例如表示在具有最高安全级别的安全资源中安装或执行应用程序。
可选地,确定模块被安装在移动平台的如下安全资源中,该安全资源给移动平台提供或赋予最高的安全级别。由此,确保确定模块不被篡改。篡改例如是指,假装并不存在的安全资源,从而错误地推导出不正确的高安全级别,并且激活移动平台的不允许的高的功能范围或者在该高的功能范围上安装的应用程序。
可选地,确定模块安装在移动平台的、被固定安装在终端设备中的安全资源中,以便阻止从移动平台中移除确定模块DIS。
如果移动平台具有可移除的SIM卡,则在固定安装的安全资源中设置确定模块的规定可能会与同样希望的确定模块被安装在提供最高安全级别的安全资源中的规定发生冲突。按照一种选项,确定模块被安装在具有最高安全级别的那个固定安装的安全资源中,例如安装在固定安装的用户身份模块(例如eUICC)中,替代地安装在安全运行时间环境中。在安全运行时间环境的情况下,为有利于确定模块的位置固定性而在攻击安全性方面进行了妥协。按照另一种选项,确定模块被设置在可移除的用户身份模块(例如SIM卡)中。在此,为有利于攻击安全性而在避免移除确定模块方面进行了妥协。
可选地,移动平台还包含关于在移动平台中安装的或可安装的至少一个应用程序的应用程序信息。在此,利用确定模块能够推导出在移动平台使用安全资源运行应用程序时可达到的应用程序安全级别,作为移动平台的安全级别。在该实施方式中,因此能够推导并输出在移动平台中执行应用程序时达到的安全级别。也就是确定在应用程序层上的安全级别。附加地或替代地,也能够推导并输出在设备层上的安全级别,其与在移动平台上应用程序的执行无关。然而,在应用程序层上的安全级别具有特别的实际意义,利用其能够估计移动平台结合在移动平台上运行的应用程序的安全程度。
可选地,移动平台还具有与确定模块耦合或可耦合的应用程序控制模块,通过该控制模块根据针对应用程序推导出的应用程序安全级别能够控制在与应用程序安全级别对应的功能范围中应用程序的执行。在此,控制应用程序的执行可选地包括在固定设定的功能范围中直接执行应用程序。替代地,执行的控制包括在固定设定的功能范围中激活应用程序,即设定为有功能的,在固定设定的功能范围中执行,而不是直接执行应用程序。
可选地,在与安全级别对应的功能范围中执行应用程序按照具有下降的功能范围顺序的以下之一进行:在扩展的功能范围中执行应用程序;在完全的功能范围中执行应用程序;在受限的功能范围中执行应用程序;不执行应用程序。在此,相对于完全的功能范围扩展的功能范围特别是可以通过附加功能或附加服务进行扩展,该附加功能或附加服务与应用程序的核心功能区别。
具有确定模块的移动平台例如如下运行,利用所述确定模块能够推导并输出应用程序级别上的安全级别。
在移动平台中安装应用程序。该应用程序还没有执行并且正要被执行。利用确定模块确定当前存在的并处于运行中的移动平台安全资源,例如常规的和/或安全的运行时间环境、SIM卡、eUICC、安全(微型)SD卡等。给确定模块提供要在移动平台中运行哪个应用程序的信息。在此,是首先确定安全资源或是首先向确定模块提供关于应用程序的信息通常是不重要的。借助所确定的安全资源推导并输出应用程序的安全级别。根据所推导并输出的安全级别,控制应用程序在与安全级别对应的功能范围中执行,方式是通过或者直接执行应用程序,或者至少将其转换为可执行的状态(激活),以便稍后执行。
例如,在所确定的安全级别为低安全级别的情况下,根本不执行应用程序并保持禁用,因为由于在移动平台上执行应用程序引起的安全性风险被视为过高。由此,避免有缺陷的移动平台安全资源损害值得信赖的应用程序的形象。
按照另一个例子,在所确定的安全级别为中安全级别的情况下,在受限的功能范围中执行应用程序(或者在受限的功能范围中激活应用程序)。特别地,安全性特别重要的应用程序功能可以保持禁用,而仅激活低或最多为中安全性重要的应用程序功能,并由此使其能够执行。
按照另一个例子,在所确定的安全级别为高安全级别的情况下,在完全的功能范围中执行或激活(即使其可执行)应用程序。特别地,也激活安全性特别重要的应用程序功能,并由此使其能够执行。
具有能够推导并输出应用程序安全级别的确定模块的编程接口特别是可以被设置用于提供以下功能,以下按照可理解的伪代码语言和对功能的以下描述来给出这些功能:
getSecDevices():确定在移动平台中全部可用的安全资源,并且推导并输出每个所确定的安全资源的应用程序安全级别;
validateSecService():提供关于在哪个应用程序安全级别或哪个应用程序变体下可使用哪个应用程序功能的功能信息;或者替代地或附加地:确定必须选择哪个应用程序安全级别,以便提供所希望的应用程序功能;
getHighestSecLevel():推导并输出在移动平台中可用的最高安全级别;
selectSecLevel():为要安装和/或要执行的应用程序规定应用程序安全级别,并且由此隐含规定与应用程序安全级别对应的安全资源,在该安全资源中安装或执行应用程序;
getSelectedSecLevel():确定当前设定的应用程序安全级别,其通常由前面的selectSecLevel()设定;
HighestSecLevel():为要安装和/或要执行的应用程序规定可用的最高应用程序安全级别,并且由此隐含规定与最高应用程序安全级别对应的安全资源,在该安全资源中安装或执行应用程序。
根据本发明的应用程序下载系统包括应用程序服务器和如上所述的移动平台。在此,应用程序服务器的特征在于与确定模块耦合或可耦合的应用程序选择模块,通过其能够根据为应用程序推导出的应用程序安全级别选择具有与安全级别对应的功能范围的应用程序变体,并且向移动平台提供下载。
类似于以上描述的激活与安全级别对应的、已经安装的应用程序的功能范围,在此提供应用程序的应用程序变体以用于下载到移动平台,该应用程序变体匹配于移动平台的安全资源。在所推导并输出的安全级别为高安全级别的情况下,例如提供具有高功能范围的应用程序变体。在所推导并输出的安全级别为低安全级别的情况下,例如提供具有低功能范围的应用程序变体。在此,可选地通过在各功能变体中存在或缺少应用程序的功能成分来规定功能范围。可选地,通过激活或禁用所希望的功能范围所对应的功能成分来规定功能范围。
可提供的应用程序变体可选地包括:具有与安全级别对应的功能范围的应用程序和/或为补充应用程序而确定的附加功能(附加服务)。
在用于将应用程序变体下载到移动平台的方法中,应用程序服务器的应用程序选择模块与移动平台的确定模块耦合。特别地,也就是将移动平台与应用程序服务器互相耦合,可选地通过有触点的连接或者替代地通过无触点的无线连接,特别是移动无线连接或其他无线连接。利用确定模块确定并输出应用程序安全级别。这可以可选地在移动平台与应用程序服务器连接期间进行,或者在更早的时间点进行。所确定并输出的应用程序安全级别被传送到应用程序选择模块。根据应用程序安全级别,由应用程序选择模块选择与应用程序安全级别对应的应用程序变体,该应用程序变体具有与应用程序安全级别对应的功能范围,并且在应用程序服务器上提供以下载到移动平台。最后,将所提供的应用程序变体从应用程序服务器下载到移动平台上。
根据本发明的风险评估系统包括一个或多个移动平台和风险服务器。在至少一个移动平台中包含(安装)至少一个应用程序。应用程序服务器的特征在于与确定模块耦合或可耦合的风险评估模块,通过其根据在移动平台中包含的应用程序的应用程序安全级别能够推导出由移动平台或多个移动平台引起的风险。可选地,在风险中考虑其它参数,例如位于运转中的移动平台的数量、位于运转中的安装了具有过低安全级别的应用程序的移动平台的数量或含量(例如百分率)等。
附图说明
以下借助实施例和附图详细解释本发明,其中:
图1示出了按照本发明的一种实施方式具有安全资源和确定模块的移动平台;
图2示出了按照本发明的一种实施方式在安全资源与安全级别之间的对应表;
图3示出了按照本发明的一种实施方式在安全资源、应用程序安全级别、功能范围和应用程序变体之间的对应表;
图4示出了按照本发明的一种实施方式激活已经安装的应用程序;
图5示出了按照本发明的一种实施方式选择并下载要安装的应用程序;
图6示出了按照本发明的另一种实施方式选择并下载要安装的应用程序。
具体实施方式
图1示出了移动平台。移动平台包括终端设备ME。移动平台还包括作为安全资源SR的三个安全模块,即第一个是常规运行时间环境REE(丰富的执行环境),第二个是安全运行时间环境TEE(受信赖的执行环境)和第三个是SIM卡SIM。按照本发明的一种实施方式,移动平台还包括确定模块DIS(DiscoveryModul,发现模块)。在构成移动平台的安全资源SR的这三个安全模块中,SIM卡具有最高的安全级别,安全运行时间环境具有第二高的安全级别,常规运行时间环境具有最低的安全级别。确定模块DIS被布置(安装)在移动平台的SIM卡SIM中,其在安全资源中具有最高的安全级别。
图2示出了按照本发明的一种实施方式在移动平台的安全资源SR与安全级别SL之间的对应表。在该表中,安全级别SL即移动平台的安全性和可信赖性从上到下依次升高。根据该对应表,由常规操作系统RichOS控制的常规运行时间环境REE具有最低的安全级别L1-最低。在终端设备ME中安装的虚拟安全元件SE具有稍高的低安全级别L2。在终端设备ME中安装的由安全操作系统SecureOS控制的安全运行环境具有中安全级别L3。SIM卡具有稍高的安全级别L4。固定安装的嵌入式安全元件eSE(例如eUICC)具有较高的安全级别L5。认证过的SIM卡具有高安全级别L6,认证过的嵌入式安全元件eSE具有非常高的安全级别L7。
图3示出了按照本发明的一种实施方式在安全资源SR、基于移动平台具有的应用程序APP的应用程序安全级别ASL、应用程序的功能范围与应用程序的应用程序变体之间的对应表。类似于图2中的对应表,在图3的对应表中,应用程序安全级别从上到下依次升高。同样,应用程序的功能范围从上到下依次升高。特别是从上到下依次给功能范围增加了安全性越来越重要的功能。
另外,应用程序APP被设计为要被安装在移动平台中。应用程序APP可以保证定义的安全级别,只要移动平台的安全资源SR为此足够安全。根据要将应用程序APP安装到移动平台的哪个安全资源(安全模块,部件)(例如终端设备REE或TEE或SIM卡)中,提供不同的应用程序变体。
两个最低的应用程序安全级别L1、L2和由此安全资源/安全模块--常规运行时间环境REE和虚拟的SE被归入不够安全,使得应用程序无权得到功能范围。因此,不向常规运行时间环境和虚拟安全元件提供应用程序的应用程序变体。
对于由安全操作系统SecureOS控制的安全运行时间环境TEE,只要应用程序最多仅在标准功能范围中运行,应用程序保证了中应用程序安全级别L3。因此,为安装到移动平台的安全运行时间环境TEE中,提供标准应用程序-变体,其涵盖了应用程序APP的标准功能范围。
SIM卡为应用程序APP提供了稍高的应用程序安全级别L4。因此,相对于安全运行时间环境TEE的功能范围附加地能够在SIM卡的应用程序APP的功能范围中包含一些安全性更重要的、对应于中级功能范围的功能,该中级功能范围大于标准功能范围。因此,为SIM卡提供应用程序变体-中级。
如果在嵌入式安全元件eSE中安装了应用程序APP,即保证了应用程序安全级别L5,则提供具有较高的高级功能范围的应用程序变体-高级。
为认证过的SIM卡提供应用程序变体-特级。
最后,为认证过的嵌入式安全元件eSE提供具有最高可用的顶级功能范围的应用程序变体-顶级。
在此,顶级可选地是完全的功能范围,其中功能范围标准、中级、高级和特级是不同程度受限的功能范围。
替代地,另一个功能范围(例如中级)是“完全的”功能范围。在该替代中,标准是受限的功能范围,而高级、特级和顶级是具有附加服务或附加功能的扩展功能范围。
图4示出了按照本发明的一种实施方式激活已经在移动平台中安装的应用程序APP,其应当在安全运行时间环境TEE中运行。移动平台包括终端设备ME,假设该终端设备具有安全运行时间环境TEE。在移动平台中,优选在移动平台的SIM卡或嵌入式安全元件eSE中(未示出),安装确定模块DIS。确定模块DIS确定安全资源SR实际存在安全运行时间环境TEE,也就是例如不同时卸载。相应地,应用程序APP所涉及的移动平台按照图3对应应用程序安全级别L3。因此,以标准功能范围激活应用程序APP。
图5示出了按照本发明的一种实施方式选择并下载要安装的应用程序APP。应用程序APP在应用程序服务器SER上待命,并且要被下载到移动平台的SIM卡SIM中,该移动平台包括移动终端设备ME和SIM卡。在SIM卡中安装了确定模块DIS。利用确定模块DIS确定移动平台具有作为安全资源SR的SIM卡和终端设备ME的安全运行时间环境TEE。特别是确定实际存在SIM卡。借助涉及SIM卡的移动平台的确定模块DIS按照图3的对应表,应用程序APP对应应用程序安全级别L4。应用程序安全级别L4被从移动平台传送到应用程序服务器SER。在应用程序服务器SER中,由应用程序选择模块SEL接收所传送的应用程序安全级别L4,该应用程序选择模块为SIM卡选择与应用程序安全级别L4对应的应用程序变体-中级,并且发送给移动平台,以便安装到SIM卡中。最后,在SIM卡中安装按照应用程序变体-中级的应用程序APP。
图6示出了类似于图5的按照本发明的另一种实施方式选择并下载要安装的应用程序APP。与图5不同的,在图6中为安全运行时间环境TEE下载应用程序。确定模块DIS被安装在SIM卡中(提供最高安全级别的安全资源SR)。确定SIM卡和安全运行时间环境TEE作为安全资源SR。因为应用程序应当被下载到安全运行时间环境TEE,所以起决定性的应用程序安全级别ASL现在是与安全运行时间环境TEE对应的应用程序安全级别,也就是L3。由确定模块DIS确定L3作为决定性的应用程序安全级别ASL,并且提供给应用程序服务器SER。应用程序选择模块SEL选择与应用程序安全级别L3对应的应用程序变体-标准,并且发送给移动平台,以便安装到安全运行时间环境TEE。最后,在安全运行时间环境TEE中安装按照应用程序变体-标准的应用程序APP。
在图5、6的实施方式中,确定模块DIS安装在SIM卡中,因为SIM卡提供了最高的安全级别。替代地,确定模块DIS可以始终安装在固定安装在终端设备ME中的安全资源中,以避免从移动平台移除确定模块DIS。
Claims (14)
1.一种包括移动终端设备(ME)和安全资源(SR)的移动平台,
其特征在于在移动平台中安装的确定模块(DIS),利用所述确定模块:
-能够确定移动平台的安全资源(SR),
-能够推导出移动平台的至少一个借助所述安全资源(SR)能达到的安全级别(SL),并且
-能够输出移动平台的所推导出的安全级别(SL)。
2.按照权利要求1所述的移动平台,其中,提供一个或多个以下的安全模块作为安全资源(SR):终端设备(ME)的常规运行时间环境(REE),特别是具有或没有加密功能;在终端设备(ME)内安装的虚拟用户身份模块;终端设备(ME)的安全运行时间环境(TEE);能够在终端设备(ME)中运行的用户身份模块,特别是可移除的用户身份模块(SIM)、固定安装的用户身份模块(eSE)、认证过的可移除的用户身份模块、认证过的固定安装的用户身份模块;安全的微处理器存储卡,特别是安全SD卡和/或安全微型SD卡。
3.按照权利要求2所述的移动平台,其中,能够为每个安全模块和/或为移动平台的一个或多个安全模块的任一组合推导并输出安全级别(SL)。
4.按照权利要求1至3中任一项所述的移动平台,其中,所述确定模块(DIS)被集成在编程接口(API)中,借助所述编程接口能够从移动平台输出关于移动平台的安全级别(SL)的输出信息和/或向移动平台输入用于控制安全级别的控制信息。
5.按照权利要求4所述的移动平台,其中,能够输出以下的一个或多个作为输出信息:移动平台的安全级别(SL);移动平台的可用安全资源(SR);安全资源(SR)的安全级别(SL);移动平台的全部安全资源(SR)的全部安全级别(SL);移动平台的全部可用安全资源(SR);移动平台的最高可用的安全级别(SL);移动平台的当前设定的安全级别(SL);可用于一个或每个安全级别(SL)或者可用于一个或每个安全资源(SR)的功能的功能信息。
6.按照权利要求4或5所述的移动平台,其中,所述控制信息具有一个或多个以下内容:规定使用具有特定安全级别(SL)的特定安全资源(SR);规定使用具有最高安全级别(SL)的安全资源(SR)。
7.按照权利要求1至6中任一项所述的移动平台,其中,所述确定模块(DIS)被安装在移动平台的如下安全资源(SR)中,所述安全资源给移动平台提供最高的安全级别(SL)。
8.按照权利要求1至6中任一项所述的移动平台,其中,所述确定模块(DIS)被安装在移动平台的安全资源(SR)中,所述安全资源被固定安装在终端设备(ME)中。
9.按照权利要求1至8中任一项所述的移动平台,所述移动平台还包含关于在移动平台中安装的或可安装的至少一个应用程序(APP)的应用程序信息,其中,利用所述确定模块(DIS)能够推导出在移动平台使用安全资源(SR)运行所述应用程序(APP)时能达到的应用程序安全级别(ASL),作为安全级别(SL)。
10.按照权利要求9所述的移动平台,
其它特征在于与所述确定模块(DIS)耦合或可耦合的应用程序控制模块,通过所述应用程序控制模块根据针对应用程序(APP)推导出的应用程序安全级别(ASL)能够控制在与应用程序安全级别(ASL)对应的功能范围中应用程序的执行。
11.按照权利要求10所述的移动平台,其中,作为在与应用程序安全级别(ASL)对应的功能范围中应用程序(APP)的执行,设置以下之一:在扩展的功能范围中执行应用程序;在完全的功能范围中执行应用程序;在受限的功能范围中执行应用程序;不执行应用程序。
12.一种应用程序下载系统,包括按照权利要求9至11中任一项所述的移动平台和应用程序服务器(SER),其中,所述应用程序服务器(SER)的特征在于与确定模块(DIS)耦合或可耦合的应用程序选择模块(SEL),通过所述应用程序选择模块能够根据为应用程序(APP)推导出的应用程序安全级别(ASL)选择具有与该应用程序安全级别(ASL)对应的功能范围的应用程序变体,并且能够向移动平台提供下载。
13.按照权利要求12所述的应用程序下载系统,其中,能够提供的应用程序变体包括:具有与应用程序安全级别(ASL)对应的功能范围的应用程序(APP)和/或为补充应用程序(APP)而确定的功能,特别是附加功能。
14.一种风险评估系统,包括一个或多个按照权利要求9至11中任一项所述的移动平台和风险服务器,
其中,在至少一个移动平台中包含至少一个应用程序(APP),
其中,所述风险服务器的特征在于与确定模块(DIS)耦合或可耦合的风险评估模块,通过所述风险评估模块根据在移动平台中包含的应用程序(APP)的应用程序安全级别(ASL)能够推导出由移动平台或多个移动平台引起的风险。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE102013006470.8A DE102013006470A1 (de) | 2013-04-15 | 2013-04-15 | Mobilstation umfassend Sicherheitsressourcen |
| DE102013006470.8 | 2013-04-15 | ||
| PCT/EP2014/000996 WO2014170006A1 (de) | 2013-04-15 | 2014-04-14 | Mobilstation umfassend sicherheitsressourcen mit unterschiedlichen sicherheitsniveaus |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105264934A true CN105264934A (zh) | 2016-01-20 |
| CN105264934B CN105264934B (zh) | 2019-07-23 |
Family
ID=50588627
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201480031806.5A Active CN105264934B (zh) | 2013-04-15 | 2014-04-14 | 包含具有不同安全级别的安全资源的移动平台 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US9900320B2 (zh) |
| EP (1) | EP2987350B1 (zh) |
| CN (1) | CN105264934B (zh) |
| DE (1) | DE102013006470A1 (zh) |
| ES (1) | ES2786250T3 (zh) |
| WO (1) | WO2014170006A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2023284555A1 (zh) * | 2021-07-14 | 2023-01-19 | 华为技术有限公司 | 安全调用服务的方法、安全注册服务的方法及装置 |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP3189619B1 (en) | 2014-09-03 | 2021-02-17 | NantOmics, LLC | Device, method and computer program product for synthetic genomic variant-based secure transaction |
| DE102014018892A1 (de) | 2014-12-17 | 2016-06-23 | Giesecke & Devrient Gmbh | Verfahren zum Betreiben einer Computereinheit sowie eine solche Computereinheit |
| DE102016105936A1 (de) * | 2015-12-14 | 2017-06-14 | Lenovo (Beijing) Limited | Electronic device and method for running applications in different security environments |
| DE102016210788B4 (de) | 2016-02-18 | 2023-06-07 | Volkswagen Aktiengesellschaft | Komponente zur Verarbeitung eines schützenswerten Datums und Verfahren zur Umsetzung einer Sicherheitsfunktion zum Schutz eines schützenswerten Datums in einer solchen Komponente |
| CN105722061B (zh) * | 2016-03-31 | 2019-04-12 | 宇龙计算机通信科技(深圳)有限公司 | 多操作系统的业务管理方法、业务管理系统和终端 |
| CN108008881A (zh) * | 2017-12-27 | 2018-05-08 | 深圳豪客互联网有限公司 | 一种通知栏生成方法及装置 |
| US11575715B2 (en) * | 2019-10-28 | 2023-02-07 | International Business Machines Corporation | Dynamically customized cognitive security filter |
| CN113449347B (zh) * | 2021-09-01 | 2021-12-17 | 飞腾信息技术有限公司 | 微处理器、数据处理方法、电子设备和存储介质 |
| EP4254235A1 (de) * | 2022-03-31 | 2023-10-04 | Siemens Aktiengesellschaft | Verfahren zum ausführen von workload (app) in einer ausführungsumgebung und system |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080194296A1 (en) * | 2007-02-14 | 2008-08-14 | Brian Roundtree | System and method for securely managing data stored on mobile devices, such as enterprise mobility data |
| US20100306076A1 (en) * | 2009-05-29 | 2010-12-02 | Ebay Inc. | Trusted Integrity Manager (TIM) |
| CN102859531A (zh) * | 2010-04-23 | 2013-01-02 | 德国捷德有限公司 | 用于配置终端设备的应用程序的方法 |
Family Cites Families (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| AU2000264514A1 (en) * | 2000-07-07 | 2002-01-21 | Alcatel | Security module |
| JP4164036B2 (ja) * | 2004-02-05 | 2008-10-08 | トレンドマイクロ株式会社 | ネットワークを介して提供されるプログラムに対する受信装置上でのセキュリティの確保 |
| US20050268342A1 (en) * | 2004-05-14 | 2005-12-01 | Trusted Network Technologies, Inc. | System, apparatuses, methods and computer-readable media for determining security status of computer before establishing network connection second group of embodiments-claim set II |
| US8037522B2 (en) | 2006-03-30 | 2011-10-11 | Nokia Corporation | Security level establishment under generic bootstrapping architecture |
| WO2008014800A1 (en) * | 2006-07-31 | 2008-02-07 | Telecom Italia S.P.A. | A system for implementing security on telecommunications terminals |
| US9734496B2 (en) | 2009-05-29 | 2017-08-15 | Paypal, Inc. | Trusted remote attestation agent (TRAA) |
| WO2012049832A1 (ja) * | 2010-10-12 | 2012-04-19 | パナソニック株式会社 | 情報処理システム |
| US8391838B2 (en) * | 2011-08-01 | 2013-03-05 | Samsung Electronics Co., Ltd. | Secure mobile communication system and method |
| KR101285394B1 (ko) * | 2011-08-24 | 2013-08-23 | 주식회사 팬택 | 휴대 단말 시스템의 대기 상태에서의 퍼미션 제어 장치 |
| US8806655B1 (en) * | 2011-11-03 | 2014-08-12 | Amazon Technologies, Inc. | Providing limited versions of applications |
| US8683598B1 (en) * | 2012-02-02 | 2014-03-25 | Symantec Corporation | Mechanism to evaluate the security posture of a computer system |
| US9275227B2 (en) * | 2012-04-05 | 2016-03-01 | International Business Machines Corporation | Policy driven administration of mobile applications |
| US20130276124A1 (en) * | 2012-04-17 | 2013-10-17 | Assurant, Inc. | Systems, methods, apparatuses and computer program products for providing mobile device protection |
| CN103517304B (zh) * | 2012-06-28 | 2018-12-28 | 腾讯科技(深圳)有限公司 | 一种获取移动终端安全状态的方法及装置 |
-
2013
- 2013-04-15 DE DE102013006470.8A patent/DE102013006470A1/de not_active Withdrawn
-
2014
- 2014-04-14 US US14/784,099 patent/US9900320B2/en active Active
- 2014-04-14 ES ES14719621T patent/ES2786250T3/es active Active
- 2014-04-14 WO PCT/EP2014/000996 patent/WO2014170006A1/de active Application Filing
- 2014-04-14 EP EP14719621.6A patent/EP2987350B1/de active Active
- 2014-04-14 CN CN201480031806.5A patent/CN105264934B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080194296A1 (en) * | 2007-02-14 | 2008-08-14 | Brian Roundtree | System and method for securely managing data stored on mobile devices, such as enterprise mobility data |
| US20100306076A1 (en) * | 2009-05-29 | 2010-12-02 | Ebay Inc. | Trusted Integrity Manager (TIM) |
| CN102859531A (zh) * | 2010-04-23 | 2013-01-02 | 德国捷德有限公司 | 用于配置终端设备的应用程序的方法 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2023284555A1 (zh) * | 2021-07-14 | 2023-01-19 | 华为技术有限公司 | 安全调用服务的方法、安全注册服务的方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| DE102013006470A1 (de) | 2014-10-16 |
| EP2987350A1 (de) | 2016-02-24 |
| EP2987350B1 (de) | 2020-03-04 |
| CN105264934B (zh) | 2019-07-23 |
| WO2014170006A1 (de) | 2014-10-23 |
| ES2786250T3 (es) | 2020-10-09 |
| US20160072825A1 (en) | 2016-03-10 |
| US9900320B2 (en) | 2018-02-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105264934A (zh) | 包含具有不同安全级别的安全资源的移动平台 | |
| US11212674B2 (en) | Control method of secure module connected to a plurality of processors and electronic device for implementing the same | |
| EP3304465B1 (en) | Nfc-enabled devices for performing secure contactless transactions and using hce | |
| CN106465460B (zh) | 用于支持嵌入式uicc上的globalplatform使用的方法和设备 | |
| US20190042228A1 (en) | Firmware upgrade method and apparatus | |
| CN104469737B (zh) | 一种嵌入式通用集成电路卡及其用户签约信息激活方法 | |
| CN105009617A (zh) | 用于有嵌入的sim功能的多sim设备的方法和装置 | |
| US9198026B2 (en) | SIM lock for multi-SIM environment | |
| US9817972B2 (en) | Electronic assembly comprising a disabling module | |
| KR102114432B1 (ko) | 코어 os 및 애플리케이션 os를 갖는 통합된 가입자 식별 모듈 | |
| CN104507088A (zh) | 一种无线网络认证方法及系统 | |
| KR20180004215A (ko) | 데이터 전송 중에 검증을 구현하기 위한 시스템 및 방법 | |
| TWI526936B (zh) | Change the way smart card application type, intelligent terminal, service level Taiwan and systems | |
| CN104598804A (zh) | 一种信息处理方法和电子设备 | |
| CN104270754A (zh) | 一种用户识别卡鉴权方法和装置 | |
| KR102045662B1 (ko) | 보안 요소 내의 수 개의 가상 프로파일에 액세스하기 위한 논리 채널을 관리하는 시스템 및 방법 | |
| CN111372224A (zh) | eSIM共享种子码号的方法、装置及设备 | |
| RU2625330C1 (ru) | Система и способ для улучшенной адаптации мощности передачи для беспроводной платформы | |
| EP3416121A1 (en) | Digital wallet application for mobile payment | |
| CN108260120B (zh) | 移动终端、嵌入式sim卡及其访问方法、装置 | |
| EP2870787A1 (en) | Method to disable a network access application in a secure element | |
| US11698994B2 (en) | Method for a first start-up operation of a secure element which is not fully customized | |
| CN104704507A (zh) | 针对具有运行时环境的移动基站的内容管理 | |
| CN107708188B (zh) | 一种降低功耗的方法、移动终端及具有存储功能的装置 | |
| CN104992134A (zh) | 标签快速处理方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20170804 Address after: Munich, Germany Applicant after: Quartech mobile security limited liability company Address before: Munich, Germany Applicant before: Giesecke & Devrient GmbH |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |