CN106355048A - 具有域信任评估和域策略管理功能的智能卡 - Google Patents
具有域信任评估和域策略管理功能的智能卡 Download PDFInfo
- Publication number
- CN106355048A CN106355048A CN201610752853.XA CN201610752853A CN106355048A CN 106355048 A CN106355048 A CN 106355048A CN 201610752853 A CN201610752853 A CN 201610752853A CN 106355048 A CN106355048 A CN 106355048A
- Authority
- CN
- China
- Prior art keywords
- domain
- card
- application
- security
- privilege
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000006870 function Effects 0.000 title description 53
- 238000011156 evaluation Methods 0.000 title description 3
- 238000004891 communication Methods 0.000 claims abstract description 37
- 238000013486 operation strategy Methods 0.000 claims description 2
- 238000000034 method Methods 0.000 description 67
- 238000007726 management method Methods 0.000 description 53
- 230000008569 process Effects 0.000 description 45
- 230000007246 mechanism Effects 0.000 description 42
- 230000005012 migration Effects 0.000 description 29
- 238000013508 migration Methods 0.000 description 29
- 238000010586 diagram Methods 0.000 description 28
- 230000007704 transition Effects 0.000 description 16
- 238000009434 installation Methods 0.000 description 14
- 238000003860 storage Methods 0.000 description 13
- 230000006399 behavior Effects 0.000 description 10
- 238000000605 extraction Methods 0.000 description 8
- 230000005540 biological transmission Effects 0.000 description 7
- 239000000203 mixture Substances 0.000 description 7
- 230000008859 change Effects 0.000 description 6
- 238000005516 engineering process Methods 0.000 description 6
- 230000000694 effects Effects 0.000 description 5
- 230000009286 beneficial effect Effects 0.000 description 4
- 238000006243 chemical reaction Methods 0.000 description 4
- 238000010276 construction Methods 0.000 description 4
- 230000000977 initiatory effect Effects 0.000 description 4
- 238000007689 inspection Methods 0.000 description 4
- 238000010295 mobile communication Methods 0.000 description 4
- 230000000903 blocking effect Effects 0.000 description 3
- 238000012217 deletion Methods 0.000 description 3
- 230000037430 deletion Effects 0.000 description 3
- 230000003993 interaction Effects 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 230000002441 reversible effect Effects 0.000 description 3
- 238000012795 verification Methods 0.000 description 3
- 206010034719 Personality change Diseases 0.000 description 2
- 230000009471 action Effects 0.000 description 2
- 230000000712 assembly Effects 0.000 description 2
- 238000000429 assembly Methods 0.000 description 2
- 238000013475 authorization Methods 0.000 description 2
- 230000015572 biosynthetic process Effects 0.000 description 2
- 230000001419 dependent effect Effects 0.000 description 2
- 238000009826 distribution Methods 0.000 description 2
- 238000011900 installation process Methods 0.000 description 2
- 230000002427 irreversible effect Effects 0.000 description 2
- 238000002955 isolation Methods 0.000 description 2
- 230000000670 limiting effect Effects 0.000 description 2
- 229910001416 lithium ion Inorganic materials 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004899 motility Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- HBBGRARXTFLTSG-UHFFFAOYSA-N Lithium ion Chemical compound [Li+] HBBGRARXTFLTSG-UHFFFAOYSA-N 0.000 description 1
- HCBIBCJNVBAKAB-UHFFFAOYSA-N Procaine hydrochloride Chemical compound Cl.CCN(CC)CCOC(=O)C1=CC=C(N)C=C1 HCBIBCJNVBAKAB-UHFFFAOYSA-N 0.000 description 1
- 241000700605 Viruses Species 0.000 description 1
- 230000004913 activation Effects 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 239000012141 concentrate Substances 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 230000009365 direct transmission Effects 0.000 description 1
- 235000013399 edible fruits Nutrition 0.000 description 1
- 238000004100 electronic packaging Methods 0.000 description 1
- 230000002349 favourable effect Effects 0.000 description 1
- 239000000446 fuel Substances 0.000 description 1
- 238000003384 imaging method Methods 0.000 description 1
- 229910052738 indium Inorganic materials 0.000 description 1
- 238000011835 investigation Methods 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 230000005055 memory storage Effects 0.000 description 1
- 229910052987 metal hydride Inorganic materials 0.000 description 1
- 238000003032 molecular docking Methods 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 229910052759 nickel Inorganic materials 0.000 description 1
- PXHVJJICTQNCMI-UHFFFAOYSA-N nickel Substances [Ni] PXHVJJICTQNCMI-UHFFFAOYSA-N 0.000 description 1
- -1 nickel metal hydride Chemical class 0.000 description 1
- QELJHCBNGDEXLD-UHFFFAOYSA-N nickel zinc Chemical compound [Ni].[Zn] QELJHCBNGDEXLD-UHFFFAOYSA-N 0.000 description 1
- 230000036961 partial effect Effects 0.000 description 1
- 230000000737 periodic effect Effects 0.000 description 1
- 230000002829 reductive effect Effects 0.000 description 1
- 230000000452 restraining effect Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 238000000926 separation method Methods 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 241000894007 species Species 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
- 230000001131 transforming effect Effects 0.000 description 1
- 230000003313 weakening effect Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/10—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
- H04W12/086—Access security using security domains
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04M—TELEPHONIC COMMUNICATION
- H04M2215/00—Metering arrangements; Time controlling arrangements; Time indicating arrangements
- H04M2215/72—Account specifications
- H04M2215/7204—Account location
- H04M2215/7209—Card based, e.g. smart card, SIM card or USIM
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Theoretical Computer Science (AREA)
- Signal Processing (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Technology Law (AREA)
- Multimedia (AREA)
- General Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Health & Medical Sciences (AREA)
- Databases & Information Systems (AREA)
- Automation & Control Theory (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
- Telephone Function (AREA)
Abstract
一个或多个无线通信设备可以包括可由一个或多个不同的所有者所有或控制的一个或多个域。所述域中的一个域可以包括安全域,该安全域具有对所述一个或多个无线通信设备上的安全策略的执行的最终控制。所述域中的另一个域可以包括全系统域管理器,该全系统域管理器附属于所述安全域,并可以执行一个或多个附属域的策略。所述全系统域管理器可以基于接收自安全域的特权等级来执行其策略。该特权等级可以基于外部利益相关者(例如,附属于所述全系统域管理器的域的所有者)与所述安全域之间的信任等级。
Description
本申请是申请日为2011年12月6日、申请号为201180066662.3、发明名称为“具有域信任评估和域策略管理功能的智能卡”的中国专利的分案申请。
相关申请的交叉引用
本申请要求2010年12月6日提交的美国临时专利申请No.61/420,162的权益,其内容以引用的方式结合于此。
背景技术
如今存在许多情形,其中计算设备(可与其他设备或实体通信或不通信)以该设备或该设备内的某些部分或计算环境由个人、组织或一些其他实体“所有”的方式被使用。术语“所有”可以表明设备或设备内的某些部分或计算环境已经被实体所认证,和/或该实体之后可以对该设备或该设备的某些部分采取某种形式的控制。所述情形的一个示例是在无线移动通信产业中,其中无线设备(例如,移动电话)的用户可以订阅移动通信网络运营商的服务。
如今在很多计算环境(如上面以移动通信设备描述的情形)中的一个问题是,计算设备可能被限制于由单个实体“所有”整个设备。并且在很多情况下,所有权可以在用户购买设备时被建立,以防止之后期望建立所有权的商业模式。此外,这些限制阻止了在期望存在设备的多个相互独立的部分的多个所有权、或者期望所有权偶尔被转换到其他实体的情形中对设备的使用。例如,无线移动通信设备(例如,移动电话)用户可以在购买时订阅特定移动网络运营商的服务。并且,该设备不太可能同时提供对多个运营商网络的接入。更新或改变移动网络和服务订阅是很困难的,并且不太可能通过空中(over-the-air)完成。
此外,特别是在无线移动通信设备的环境中,计算设备可以包括订户标识模块(SIM)或通用集成电路卡(UICC),其中使用所述SIM或UICC,用户可以订阅特定网络运营商的服务。但遗憾的是,该SIM/UICC机制可被限制于单个网络运营商的使用。此外,虽然SIM/UICC机制通常被认为是高安全性的,但是该安全性与其驻留的整个设备的安全特性之间没有很强的联系。这限制了针对高级服务缩放安全性概念的应用和诸如移动财务交易的应用。特别地,这些缺陷与自主(autonomous)设备相关,例如机器到机器(M2M)通信设备。
发明内容
提供本发明内容来以简要的形式介绍各种概念,这些概念在如下具体实施方式中被进一步描述。本发明内容不意图标识请求保护的主题的关键特征或必要特征,也不意图被用于限制请求保护的主题的范围。
这里描述了使得在一个或多个设备上的一个或多个独立的域能够由一个或多个不同的本地或远程所有者所有或控制,同时提供这些域的全系统级管理的系统、方法和工具。根据示例性实施方式,这些方法和工具可以包括一个或多个设备,其中每一个设备可以包括一个或多个由至少一个平台所支持的域。每个域可以被配置成为该域的所有者执行功能,所述所有者可以位于所述域的本地或远程。每个域可以具有不同的所有者,并且每个所有者可以指定其域的操作策略,以及其域的与该域所驻留的平台和其他域有关的操作策略。
所述域中的一个域可以是安全域,所述安全域可以被配置成确定外部利益相关者与所述安全域之间的信任等级。此外,全系统域管理器可以驻留在所述域中的一个域上。所述全系统域管理器可以附属于所述安全域。所述全系统域管理器可以被配置成基于接收自所述安全域的特权(privilege)等级对一个或多个附属域执行所述策略。所述特权等级可以基于所述外部利益相关者与所述安全域之间的信任等级。所述全系统域管理器可以以自主性等级执行所述策略,该自主性等级可以基于接收自所述安全域的特权等级。
全系统域管理器可以被配置成执行其自身的策略,并且也可以被配置成当安全域的策略与全系统域管理器的策略相冲突时,执行安全域的策略。全系统域管理器还可以被配置成执行其所驻留的域的策略,并且其可以协调其他域如何执行他们各自的与所述全系统域管理器驻留的域有关的策略。此外,全系统域管理器可以根据其他域各自的策略协调所述其他域之间的交互。全系统域管理器驻留的域可以由容纳(house)所述域的设备的所有者所有。可替换地,该域可以由没有容纳所述域的设备的所有者所有。
域应用也可以驻留在所述域中的一个域上。所述域应用可以被移植(port)到平台。例如,域应用可以基于域的至少一个所有者与域的至少一个其他所有者之间的关系来被移植到所述平台。
这里描述的系统、方法和工具的其他特征将在随后的具体实施方式和附图中提供。
附图说明
更详细的理解可以从以下结合附图并且举例给出的描述中得到,其中:
图1A示出了在其中可以实施一个或多个所公开的实施方式的示例通信系统;
图1B示出了可以在其中实施一个或多个所公开的实施方式的示例无线发射/接收单元(WTRU);
图1C示出了可以在其中实施一个或多个所公开的实施方式的示例无线电接入网;
图2和2A是示出了获得域的所有权的过程的示例性实施方式的图示;
图3是示出了全球平台(GP)架构的示例性实施方式的图示;
图4是示出了作为高级用户设备(UE)设备架构的一部分的THSM的示例性实施方式的图示;
图5是示出了GP安全域(SD)层级的图示;
图6是示出了GP SD结构的配置的图示;
图7是示出了另一种GP SD结构的配置的图示;
图8是示出了另一种GP SD结构的配置的图示;
图9是示出了在通用GP设置中的SD状态和其转换机制的图示
图10、图10A和图10B是示出了消息发送细节和特定于TDM SD的生命周期状态的注释(annotation)的图示;
图11是示出了在GP中应用可以获得的各种状态的图示;
图12、图12A和图12B示出了有关预RTO可信域的安装的进程(progression)图示;
图13和图13A示出了用于RTO移植的序列的图示;
图14和图14A示出了注册和/或凭据(credential)转出协议的图示;
图15是示出了图14和图14A的注册和/或凭据转出协议的延续的图示;以及
图16是示出了用于将凭据从源卡移动到目的地卡的修改的迁移过程的图示;
具体实施方式
图1A-16涉及在其中可以实施所公开的系统、方法以及工具的示例性实施方式。这里所描述的实施方式是示例和非局限性的。虽然这里示出和描述了协议流,但是所述流的次序可以被改变,部分可以被忽略,和/或额外的流可以被添加。
图1A、1B以及1C示出了可以在这里描述的实施方式中使用的示例性通信系统和设备。图1A是在其中可以实施一个或多个公开的实施方式的示例通信系统100的图示。通信系统100可以是向多个无线用户提供诸如语音、数据、视频、消息、广播等这样的内容的多接入系统。通信系统100可使多个无线用户能够通过共享包括无线带宽的系统资源来访问这样的内容。例如,通信系统100可采用一种或多种信道接入方法,例如码分多址(CDMA)、时分多址(TDMA)、频分多址(FDMA)、正交FDMA(OFDMA)、单载波FDMA(SC-FDMA)等。
如图1A所示,通信系统100可包括无线发射/接收单元(WTRU)102a、102b、102c、102d、无线电接入网(RAN)104、核心网106、公共交换电话网(PSTN)108、因特网110和其它网络112,但是应该理解的是,公开的实施方式设想了任意数目的WTRU、基站、网络和/或网络元件。WTRU102a、102b、102c、102d的每一个可以是被配置为在无线环境中运行和/或通信的任意类型的设备。例如,WTRU 102a、102b、102c、102d可被配置为传送和/或接收无线信号,并且可包括用户设备(UE)、移动站、固定或移动用户单元、寻呼机、蜂窝电话、个人数字助手(PDA)、智能电话、平板电脑、膝上型计算机、上网本、个人计算机、无线传感器、消费电子产品等。
通信系统100还可包括基站114a和基站114b。基站114a、114b的每一个可以是被配置为与WTRU 102a、102b、102c、102d的至少一个无线对接以便于接入一个或多个诸如核心网106、因特网110和/或网络112这样的通信网络的任意类型的设备。例如,基站114a、114b可以是基地收发信机站(BTS)、节点B、e节点B、家用节点B、家用e节点B、站点控制器、接入点(AP)、无线路由器等。虽然基站114a、114b每一个被描述为单一元件,应理解基站114a、114b可包括任意数目的互连基站和/或网络元件。
基站114a可以是RAN 104的一部分,该RAN 104还可包括其它基站和/或网络元件(未示出),例如基站控制器(BSC)、无线电网络控制器(RNC)、中继节点等。基站114a和/或基站114b可被配置为在可被称为小区(未示出)的特定地理区域内传送和/或接收无线信号。小区可进一步被划分为小区扇区。例如,与基站114a相关联的小区可被划分为3个扇区。因此,在一个实施方式中,基站114a可包括3个收发信机,即小区的每个扇区都有一个收发信机。在另一个实施方式中,基站114a可采用多输入多输出(MIMO)技术,因此可为小区的每个扇区使用多个收发信机。
基站114a、114b可通过空中接口116与WTRU 102a、102b、102c、102d中的一者或多者通信,该空中接口116可以是任意适当的无线通信链路(例如射频(RF)、微波、红外(IR)、紫外(UV)、可见光等)。空中接口116可使用任意适当的无线电接入技术(RAT)来建立。
更具体地,如上所述,通信系统100可以是多接入系统,并且可采用一种或多种信道接入方案,例如CDMA、TDMA、FDMA、OFDMA、SC-FDMA等。例如,RAN 104中的基站114a和WTRU102a、102b、102c可实施诸如通用移动电信系统(UMTS)陆地无线电接入(UTRA)这样的无线电技术,其可使用宽带CDMA(WCDMA)来建立空中接口116。WCDMA可包括诸如高速分组接入(HSPA)和/或演进型HSPA(HSPA+)这样的通信协议。HSPA可包括高速下行链路分组接入(HSDPA)和/或高速上行链路分组接入(HSUPA)。
在另一个实施方式中,基站114a和WTRU 102a、102b、102c可实施诸如演进型UMTS陆地无线电接入(E-UTRA)这样的无线电技术,其可使用长期演进(LTE)和/或高级LTE(LTE-A)来建立空中接口116。
在其它实施方式中,基站114a和WTRU 102a、102b、102c可实施诸如IEEE 802.16(即,全球微波接入互操作性(WiMAX))、CDMA2000、CDMA2000 1X、CDMA2000EV-DO、临时标准2000(IS-2000)、临时标准95(IS-95)、临时标准856(IS-856)、全球移动通信系统(GSM)、用于GSM演进的增强型数据速率(EDGE)、GSM EDGE(GERAN)等这样的无线电技术。
图1A中的基站114b可以例如是无线路由器、家用节点B、家用e节点B或接入点,并且可使用任意适当的RAT以便局部区域中的无线连接,例如商业地点、家庭、车辆、校园等。在一个实施方式中,基站114b和WTRU 102c、102d可实施诸如IEEE 802.11这样的无线电技术,以建立无线局域网(WLAN)。在另一个实施方式中,基站114b和WTRU 102c、102d可实施诸如IEEE 802.15这样的无线电技术,以建立无线个域网(WPAN)。在又一个实施方式中,基站114b和WTRU 102c、102d可使用基于蜂窝的RAT(例如WCDMA、CDMA2000、GSM、LTE、LTE-A等)来建立微微小区(picocell)或毫微微小区(femtocell)。如图1A所示,基站114b可与因特网110直接连接。因此,基站114b不需要经由核心网106接入因特网110。
RAN 104可与核心网106通信,该核心网106可以是被配置为向WTRU 102a、102b、102c、102d中的一者或多者提供语音、数据、应用和/或网际协议上的语音(VoIP)服务的任意类型的网络。例如,核心网106可提供呼叫控制、计费服务、基于移动位置的服务、预付费呼叫、因特网连接、视频分发等,和/或执行诸如用户认证这样的高级安全功能。虽然未在图1A中示出,应理解RAN 104和/或核心网106可与采用与RAN 104相同的RAT或不同的RAT的其它RAN直接或间接通信。例如,除了与可采用E-UTRA无线电技术的RAN 104连接之外,核心网106还可与采用GSM无线电技术的另一个RAN(未示出)通信。
核心网106还可作为供WTRU 102a、102b、102c、102d接入PSTN 108、因特网110和/或其它网络112的网关。PSTN 108可包括提供普通老式电话服务(POTS)的电路交换电话网络。因特网110可包括使用公共通信协议的全球互连计算机网络和设备系统,所述公共通信协议例如传输控制协议(TCP)/网际协议(IP)因特网协议族中的TCP、用户数据报协议(UDP)和IP。网络112可包括由其它服务供应商所有和/或运营的有线或无线通信网络。例如,网络112可包括与可采用与RAN 104相同的RAT或不同的RAT的一个或多个RAN相连接的另一个核心网。
通信系统100中的WTRU 102a、102b、102c、102d中的一些或所有可包括多模能力,即,WTRU 102a、102b、102c、102d可包括用于通过不同无线链路与不同无线网络通信的多个收发信机。例如,图1A中示出的WTRU102c可被配置为与可采用基于蜂窝的无线电技术的基站114a通信,以及与可采用IEEE 802无线电技术的基站114b通信。
图1B是示例WTRU 102的系统图。如图1B所示,WTRU 102可包括处理器118、收发信机120、发射/接收元件122、扬声器/麦克风124、键盘126、显示器/触摸板128、不可移除存储器130、可移除存储器132、电源134、全球定位系统(GPS)芯片组136和其它外围设备138。应当理解的是,在与实施方式保持一致的同时,WTRU 102可包括前述元件的任意子组合。
处理器118可以是通用处理器、专用处理器、常规处理器、数字信号处理器(DSP)、多个微处理器、与DSP核相关联的一个或多个微处理器、控制器、微控制器、专用集成电路(ASIC)、现场可编程门阵列(FPGA)电路、任意其它类型的集成电路(IC)、状态机等。处理器118可执行信号编码、数据处理、功率控制、输入/输出处理和/或使WTRU 102能够在无线环境中运行的任意其它功能。处理器118可与收发信机120相耦合,收发信机120可与发射/接收元件122相耦合。虽然图1B将处理器118和收发信机120描述为单独的组件,但应当理解的是,处理器118和收发信机120可一起被集成在电子封装或芯片中。
发射/接收元件122可被配置为通过空中接口116向基站(例如基站114a)传送信号或从基站(例如基站114a)接收信号。例如,在一个实施方式中,发射/接收元件122可以是被配置为传送和/或接收RF信号的天线。在一个实施方式中,发射/接收元件122可以是被配置为例如传送和/或接收IR、UV或可见光信号的发射器/检测器。在一个实施方式中,发射/接收元件122可以被配置为传送和接收RF和光信号两者。应当理解的是,发射/接收元件122可被配置为传送和/或接收无线信号的任意组合。
此外,虽然发射/接收元件122在图1B中被描述为单一元件,WTRU 102可包括任意数目的发射/接收元件122。更具体地,WTRU 102可采用MIMO技术。因此,在一个实施方式中,WTRU 102可包括两个或更多个用于通过空中接口116传送和接收无线信号的发射/接收元件122(例如,多个天线)。
收发信机120可被配置为调制即将由发射/接收元件122传送的信号并解调由发射/接收元件122接收的信号。如上所述,WTRU 102可具有多模能力。因此,收发信机120可包括例如用于使WTRU 102能够经由诸如UTRA和IEEE 802.11这样的多个RAT通信的多个收发信机。
WTRU 102的处理器118可与扬声器/麦克风124、键盘126、和/或显示器/触摸板128(例如液晶显示器(LCD)显示单元或有机发光二极管(OLED)显示单元)相耦合,并可从它们接收用户输入数据。处理器118还可以向扬声器/麦克风124、键盘126和/或显示器/触摸板128输出用户数据。此外,处理器118可从诸如不可移除存储器130和/或可移除存储器132这样的任意类型的适当存储器中访问信息,并将数据存储在其中。不可移除存储器130可包括随机存取存储器(RAM)、只读存储器(ROM)、硬盘或任意其它类型的存储器存储设备。可移除存储器132可包括订户标识模块(SIM)卡/通用集成电路卡(UICC)、存储棒、安全数字(SD)存储卡等。SIM/UICC可以向无线设备提供安全执行和存储环境,从所述安全执行和存储环境来执行认证算法和存储凭据,以使设备能够向网络运营商认证与网络运营商的设备用户的订阅,和/或允许网络运营商具有对设备的某种形式的控制(即,所有权)。在其它实施方式中,处理器118可从物理上不位于WTRU 102上(例如在服务器或家用计算机(未示出)上)的存储器访问信息,并将数据存储在其中。
处理器118可从电源134接收电力,并可被配置为分配和/或控制到WTRU 102中的其它组件的电力。电源134可以是用于向WTRU 102供电的任意适当的设备。例如,电源134可包括一个或多个干电池(镍镉(NiCd)、镍锌(NiZn)、镍金属氢化物(NiMH)、锂离子(Li-ion)等)、太阳能电池、燃料电池等。
处理器118还可以与可被配置为提供关于WTRU 102的当前位置的位置信息(例如经度和纬度)的GPS芯片组136相耦合。作为来自GPS芯片组136的信息的附加或替代,WTRU102可通过空中接口116从基站(例如基站114a、114b)接收位置信息,和/或基于从两个或更多个附近基站接收的信号定时来确定它的位置。应当理解的是,在与实施方式保持一致的同时,WTRU 102可借助任何适当的位置确定方法来获取位置信息。
处理器118可进一步与其它外围设备138相耦合,所述外围设备138可包括提供附加特征、功能和/或有线或无线连接的一个或多个软件和/或硬件模块。例如,外围设备138可包括加速计、电子罗盘、卫星收发信机、数字照相机(用于相片或视频)、通用串行总线(USB)端口、振动设备、电视收发信机、免提耳机、蓝牙模块、调频(FM)无线电单元、数字音乐播放器、媒体播放器、视频游戏机模块、因特网浏览器等。
图1C是根据一个实施方式的RAN 104和核心网106的系统图。如上所述,RAN 104可采用UTRA无线电技术以通过空中接口116与WTRU 102a、102b、102c通信。RAN 104还可以与核心网106通信。
RAN 104可包括e节点B 140a、140b、140c,应当理解的是,在与实施方式保持一致的同时,RAN 104可包括任意数目的e节点B。e节点B 140a、140b、140c的每一个可包括通过空中接口116与WTRU 102a、102b、102c通信的一个或多个收发信机。在一个实施方式中,e节点B 140a、140b、140c可以实施MIMO技术。因此,例如e节点B 140a可以使用多个天线向WTRU102a传送无线信号,和从WTRU 102a接收无线信号。
如图1C所示,节点B 140a、140b可与RNC 142a通信。附加地,节点B 140c可与RNC142b通信。节点B 140a、140b、140c可经由Iub接口与各个RNC 142a、142b通信。RNC 142a、142b可经由Iur接口互相通信。RNC 142a、142b的每一个可被配置为控制与其连接的各个节点B 140a、140b、140c。此外,RNC 142a、142b的每一个可被配置为执行和/或支持其它功能,例如外环功率控制、负载控制、准许控制、分组调度、切换控制、宏分集、安全功能、数据加密等。
图1C所示的核心网106可包括媒体网关(MGW)144、移动交换中心(MSC)146、服务GPRS支持节点(SGSN)148、和/或网关GPRS支持节点(GGSN)150。虽然上述元件的每一个都被描述为核心网106的一部分,应当理解的是这些元件的任意一个可由核心网运营商以外的实体所有和/或运营。
RAN 104中的RNC 142a可经由IuCS接口与核心网106中的MSC 146相连接。MSC 146可与MGW 144相连接。MSC 146和MGW 144可向WTRU 102a、102b、102c提供到诸如PSTN 108这样的电路交换网络的接入,以便于WTRU 102a、102b、102c与传统陆线通信设备之间的通信。
RAN 104中的RNC 142a还可以经由IuPS接口与核心网106中的SGSN 148相连接。SGSN 148可与GGSN 150相连接。SGSN 148和GGSN 150可向WTRU 102a、102b、102c提供到诸如因特网110这样的分组交换网络的接入,以便于WTRU 102a、102b、102c与IP使能设备之间的通信。
如上所述,核心网106还可与网络112相连接,网络112可包括由其他服务供应商所有和/或运营的其它有线或无线网络。
上述通信系统和/或设备可以用于如这里描述的全球平台(GP)智能卡。GP智能卡架构可以提供对单个设备上的一个或多个应用的支持。在相对开放的环境内适应大量和/或不同数量的应用可能存在安全挑战,例如,来自恶意软件、病毒、机器人程序(bots)的攻击,和/或类似的安全挑战。安全挑战可以是恒定的和/或永远存在的。GP安全机制可以经由GP的安全域(SD)结构提供对安全攻击的保护,该GP安全机制可以在其卡管理器的终端监控下运行。GP安全特征可以包括完整性和/或真实性(authenticity)验证。例如,完整性和/或真实性验证可以应用于被加载到卡上的应用码和/或数据,例如这可以由SD安全策略请求。此外,程序行为可在SD和/或管理器级被监视。如果检测到与应用相关联的威胁,则该应用可以被转换到“锁定”状态。但是,可以对GP的安全性和功能性进行添加。虽然这里描述了可以例如在智能卡、订户标识模块(SIM)、通用集成电路卡(UICC)或其他卡上(on-card)环境上执行的有关GP智能卡和/或GP架构的实施方式,但是应当理解的是,这里所描述的实施方式也可以在多种卡外(off-card)环境中使用,例如虚拟订户标识模块(vSIM)或其他具有嵌入式信任环境的平台。
对于GP架构,GP操作环境可以提供关于被配置在智能卡上的允许的应用程序组的灵活性。可信域(TD)概念可以作为S/W被从其可信硬件订户模块(THSM)的原始设置移植到GP兼容(compliant)智能卡。根据一种实施方式,GP智能卡可以有效地执行THSM的特征。一旦可信域S/W的某些元件已被加载和/或安装在适当编组(organize)的层级中,这些特征可以被执行。可以使用的TD概念的示例性特征包括信任机制、TD的远程获得所有权(RTO)、用户注册和/或远程凭据转出、可信订户标识管理(TSIM)应用迁移、和全认证和/或密钥协定(AKA)功能。例如,信任机制可以提供一个或多个域的隔离和安全。根据一种实施方式,所述域的一者或多者可以包括与其他域隔离的安全执行和存储环境。例如,GP可信框架或其他类似的可信框架可以负责应用间和/或域间通信,并且可以确保对应用污染的隔离和保护,例如通过执行CI的安全规则。
例如,信任机制可以包括运行时间完整性检查和/或与移动可信模块(MTM)信任能力相关联的信任根(RT)。信任的这些方面不可以在GP环境中使用,其中在该GP环境中,在文件加载期间执行安全保护,但在其中运行时间完整性检查是不允许的。TD的远程获得所有权(RTO)可以向远程所有者(RO)提供完整订阅服务的功能。可以同时存在多于一个的远程所有的TD。如这里所述,TD可以是TD应用的主功能单元。在THSM环境中的RTO协议可以合并用于建立对即将发生的所有权的设备可信度(trustworthiness)的信任机制。但是,在GP设置中,信任机制可以在文件加载到卡上时以模式和/或完整性检查的形式存在。RTO协议和TD的更详细的描述在这里被提供。
图2和2A中的图示示出了全RTO协议流的实施方式。图2和2A示出了示例性RTO过程的呼叫流程图。例如,图2和2A示出了ME 202、TDDO 204、SDM 206、TD*RO 208和RO 210中的一者或多者之间的示例性呼叫。图2和2A中的箭头可以表示呼叫的起源/目的地。用户可以启动UE平台通电。平台可以为域提供低级计算、存储、或通信资源。平台可以由硬件、操作系统、低级固件或软件(例如,启动代码、BIOS、API、驱动器、中间件或虚拟化软件)和/或高级固件或软件(例如应用软件)和针对上述资源的各个配置数据组成。每个域可以包括在平台上执行的计算、存储、或通信资源的配置。基础代码启动可以由ME 202在212处完成。在214,THSM可以安全地启动。THSM可以加载DO的域,包括SDM;其中SDM可以提供:1)可用于域建立的资源;和/或2)对于用户可接受的域的列表。在216,THSM可以完成其启动。在218,ME可以完成其启动。在219,ME可以向TDDO 204指示其启动完成。在此过程期间,DM的域可以被建立,可选用户域(MEU)也可以被建立,和/或可以检查可用资源。DM的域可以包括METDM,该METDM为ME设备提供域策略的初始配置和规范。由于MEDM的预配置,在针对那些域的策略方面(例如,在THSM上的策略和在ME上的其他策略),该策略可以与SDP的策略一致,其中在ME域与THSM域之间具有公共远程所有者。
仍旧参考图2,具有其预配置的域的ME 202可以在219发送“启动完成”消息,该消息在220启动RTO。该消息可以包括关于DM域策略的显式信息和在ME 202中的可用资源。在222,对开始RTO(包括目标域计划)的请求可以被从SDM 206发送至TD*RO 208。在224,由TD*RO 208做出是接受还是拒绝RTO开始请求的决定。在225,可以从TD*RO 208向SDM 206发送指示是否应开始RTO的消息。可替换地,在226,RTO可以由TD*RO 208发起。在227,TD*RO208可以向SDM 206发送表明其意图开始RTO最终域计划的指示。
SDM 206可以通过评估THSM的全系统域策略(SDP)和确定将在ME 202域上施加和/或分配哪些限制来对ME 202启动消息作出反应。这些策略限制可以包括哪些域(根据他们相关联的远程所有者)是可允许的,例如在ME 202和THSM上。SDM 206可以确定哪些全系统资源是允许ME 202针对由相同远程所有者所有的域使用的,该远程所有者具有THSM上的域,包括其已经知道的域。SDM 206还可以包括对其基础策略的策略限制和对其资源列表可允许的资源。在MEPDM接收信息之后,其可以在做出和执行有关对ME 202上的资源和域的管理的决定方面运用某些特权,而不需要针对所有这些决定从SDM 206中获得许可。例如当SDM 206和其策略(SDP)被视为是在GP兼容智能卡内的应用时,该SDM 206和其策略(SDP)可以被例如CI SD之类的安全域否决。SDM 206可以在其自主运行或不自主运行时被否决。
继续参考图2,在228继续该过程。在228,SDM 206可以检查和/或评估以下内容:SDP、可用资源、和/或可接受的域和/或状态。在230,可以从SDM 206向TD*RO 208发送“可以开始”信号。在232,针对THSM平台完整性证据(TPIA)、THSM平台环境概要(TPES)、ME平台完整性数据(MPID)和/或ME平台环境调查(MPES)的请求可以被发送。在234,SDM 206例如可以通过每个域的一些列PCR,从现有域中收集/连结完整性证据、和/或收集和/或连结TPES信息。
在236,可以从SDM 206向TDDO 204发送针对MPID和/或MPES的请求。在242,可以由ME 202处理针对MPID和MPES的请求的响应。在238,MPID和MPES可以与信任证明(例如,具有签名密钥)一起被发送至SDM 206。在239,可以从SDM 406向TD*RO 208发送TPIA、TPES、MPID和/或MPES。在240,THSM可以根据MPID(原始数据)计算摘要(digest)MPIA并且检查MPIA。如果可接受,摘要MPIA可以被发送到目标RO 210。在242,可以从TD*RO 208向ME 202发送对TPIA||TPES||SCARD||目的||RTO的请求。
参考图2A,并继续图2中的RTO过程,在244,TPIA||TPES||SCARD||目的||RTO消息被从ME 202发送到RO 210。在246,RO 210可以执行下列中的一者或多者:检查TPIA、TPES以及目的;确定原始域对参考完整性度量RIMRO的可信度,该RIMRO可能由RO从可信的第三方接收并维持;检查域策略(DP)的可接受性;或创建CONFIG(配置)来建立完整的域状态。在248,可以从目标RO 210向ME 202发送消息CONFIG||DP||RIMRO||RO标识。在250,CONFIG||DP||RIMRO||RO消息可以被从ME 202传递到TD*RO 208。在252,TD*RO 208可以建立和/或配置域,和/或检查针对RIMRO的完整性。此外,TD*RO 208可以具有其通过目标RO 210获得的所有权,从而将其变换为TDRO。在254,可以从TDRO 208向ME 202发送域完整消息。在256,可受完整性保护(例如,经由签名)的域完整消息可以被从目标RO 210传递到ME 202。
用户注册和/或远程凭据转出可以完成TD建立和/或授权用户全订户状态。该过程可以使用户以及销售点(POS)参与到协议中。TSIM应用迁移可以包括完整域传递(包括TD功能),或从一个设备(例如,源设备)到另一个具有相似能力的设备(例如,目的地设备)的订户凭据的简单镜像(re-imaging)。对于迁移,用于从源设备到目的地设备的凭据的端到端传递的两种配置协议可以被考虑。一种配置可以针对源设备和目的地设备两者包括一个所有者,而另一种配置可以针对每个设备包括不同所有者。一旦每个实例中的注册和/或凭据转出已经被执行,GP智能卡还可以提供每个TD的全认证和/或密钥协定(AKA)功能。该特征在某些情况下可以不用于移植。
这里描述了GP智能卡与THSM/TD架构之间的比较。对于GP智能卡,GP智能卡架构可以包括卡管理器。该卡管理器可以是卡中心管理员和/或全球平台应用程序接口(API)。该卡管理器可以是逻辑实体,该逻辑实体包括GP环境(OPEN)、卡发布方(CI)域、和/或持卡者验证方法(CVM)服务。卡管理结构可以包括可信框架。该可信框架可以负责应用间通信和/或全球平台注册,其可以存储例如卡资源管理数据、卡和应用生命周期信息、应用标识、处理特权、相关联的域、和/或类似的信息之类的信息。
GP架构结构可以负责卡上的各种交互和/或服务,例如应用间的通信、提供到应用的API、指令分派(dispatch)、应用选择、逻辑信道管理、卡内容管理、域个性化服务和/或安全服务、卡锁定、应用生命周期状态更新、和/或类似的卡上的交互和/或服务。
GP特征可以提供用于卡SD结构和/或相关联的利益相关者的操作环境。利益相关者是可信计算组(TCG)术语,但该术语也可以用于指代TCG标准之外的类似的实体。GP的利益相关者可以是卡发布方(CI)、一个或多个应用提供方(AP)、设备制造商、终端所有者、控制当局(authority)、和/或对在无线通信设备上的软件和/或硬件有兴趣的或具有所述软件和/或硬件的所有权的其他实体。CI可以是有效的卡所有者。AP可以是网络运营商。例如,AP可以是WiMax、蜂窝服务、IMS、财务服务提供方、和/或类似的网络的网络运营商。控制当局可以例如向其他卡应用提供全球应用服务(例如CVM)。对有关利益相关者的示例的更详细描述在这里被提供。
卡规范可以请求每个利益相关者的应用占有相关联的SD。每个SD可以执行关于与之关联的应用的行为的利益相关者的安全策略。卡的SD结构可以是与例如具有安全策略执行的最终控制的外部利益相关者(例如CI SD)分级的。GP可以允许CI或其他外部利益相关者向控制当局或甚至向应用相关联的SD委派最终的策略执行权。对于非CI-SD的各种“委派”权等级可以在GP中被许可。委派权的等级示例在这里被标识和讨论。虽然在这里CI可以被用于指代具有安全策略执行的最终控制的外部利益相关者,但是应当理解的是,任何其他外部利益相关者可以具有安全策略执行的最终控制,并执行如这里描述的与CI相关联的功能。类似地,CI SD可以指代与CI相关联的SD,但是与具有安全策略执行的最终控制的任意其他外部利益相关者相关联的SD可以执行与这里描述的CI SD相同或类似的功能。
图3是示出了GP架构的示例性实施方式的图示。如图3所示,无线通信设备可以包括多个应用,每个应用与被配置成控制关于应用的策略执行的安全域(SD)相关联。例如,无线通信设备可以包括多个应用,例如卡发布方应用308、应用提供方(AP)应用310、和/或全球服务(GS)应用312。无线通信设备还可以包括多个SD,例如,发布方的SD 302、应用提供方的SD 304、和/或控制当局的SD 306。卡发布方应用308可以与发布方的SD 302相关联,AP应用310可以与应用提供方的SD 304相关联,和/或GS应用312可以与控制当局的SD 306相关联。每个安全域可以控制关于其相关联的应用的策略执行。
这里描述了GP平台特权和安全域管理。根据一种实施方式,期望的是当TSIM在GP兼容平台上操作的同时,这里所描述的每个功能特性可以被实现。当TSIM在GP兼容平台上操作的同时每个功能特性可以被实现的程度可以根据例如该TSIM应用对于GP卡管理器或其他外部利益相关者被允许自主操作的程度来确定。自主等级可以基于GP CI与TSIM AP之间的策略一致性的结果。自主等级可以基于CI SD与外部利益相关者(例如TSIM AP)之间的信任等级。信任等级可以基于多种标准。例如,信任等级可以根据具有最终控制的安全域(例如,CI SD 302)的安全策略与外部利益相关者(例如,希望具有在智能卡上驻留的一个或多个应用310的AP SD 304)的安全策略之间的一致性等级来确定。信任等级还可以根据CI与AP之间有多熟悉来确定。在一种实施方式中,信任等级可以考虑来自第三方的推荐。AP或其他外部利益相关者的声誉也可以帮助确定信任等级。特权等级可以基于信任等级被授权。例如,CI可以确定TSIM AP的可信度。CI可以授权认可管理特权(AMP),例如,当TSIM SDP被认为与CI的一致时。委派管理特权(DMP)(可以提供比AMP低的自主性)更有可能在用于确定信任等级的因素对于CI而言不太认同的情况下出现。根据示例实施方式,CI SD 302可以是GP特权结构或与这里描述的相似的结构的最高SD当局。
这里描述了至少三种特权等级。一种这样的特权等级可以是认可管理特权(AMP)。该特权等级可以为任何已经被授权该特权的应用提供最大的自主性。如果TSIM应用被授权AMP,它的SD可以位于SD层级的顶端和/或是自关联的。在GP环境中,SD可以被认为是应用,并且也可以具有相关联的SD。如果SD是自关联的,其可以使用其自身的安全服务。在这种环境中,CI SD可以不利用令牌验证(TV)特权和/或接收生成(RG)特权来控制TSIM SD。自关联的SD可以在SD层级中控制TV和/或RG结构,和/或可以决定不使用令牌。这可以给予SD对载入文件的加载的控制。
另一个特权等级可以是委派管理特权(DMP)。虽然该特权等级被认为很强,但其可以提供比AMP提供的更少的自主性。应用SD可以不是自关联的。因此,CI SD可以通过在SD(在层级中低于CI SD)上运用TV和/或RG特权来控制载入文件活动性。然而,可以被授权DMP的SD可有权执行载入文件的加载和/或监督其他安全过程,例如,关于载入文件活动性所涉及的文件完整性的那些安全过程。
另一种特权等级既不包括AMP也不包括DMP。由于没有AMP或DMP,SD可以具有很少的自主性。CI SD可以执行有关载入文件的加载功能,和/或可以在控制加载过程中运用TV和/或RG特权。CI SD还可以对涉及文件完整性的载入文件活动性进行控制。
这里提供了GP安全域管理的说明,包括以下说明:1)接收发布机制;2)令牌签名机制;3)委派管理特权令牌;4)由卡管理实体OPEN对接收的监督;5)关于自关联智能卡(SC)对辅助SD进行配置的机制;6)关于具有DMP的SD的自过渡(self-extradition)问题;7)在实际环境中对于自过渡的整体经验等级;8)与SC网络服务(SCWS)相关联的应用;9)机密卡管理;10)关于令牌验证特权和接收生成特权的使用的机制;以及11)关于由自关联SC对辅助SD进行配置的进一步的信息。
这里描述了根据一些实施方式的GP安全域管理属性。在一种使用GP安全域机制的实施方式中,辅助SD可以具有令牌验证特权和/或接收生成特权。在一种示例性实施方式中,每张卡的至少一个SD可以具有这些特权中的每一个特权。SD可以不一定是具有所述令牌验证特权和接收生成特权的相同的SD。因此,发布方域可以具有令牌验证特权和/或接收生成特权,但是在其他实施方式中,其可以是具有令牌验证特权和/或接收生成特权的不同SD。例如,根据一种实施方式,每个层级存在一个具有接收生成特权的SD和一个具有令牌验证特权的SD。这与每张卡存在一个具有接收生成特权的SD和一个具有令牌验证特权的SD不同。具有这些特权的SD不必须是相同的SD,但是其可以是相同的。如果OPEN检测到层级中在当前SD上的SD具有RG特权,可以生成接收。然而,这可能取决于是否使用了令牌。这可以是具有RG特权的SD,其可以发布接收和/或向SD的所有者发送接收。如果ISD对该接收进行签名,则该接收可以被发送给CI。
根据一种实施方式,TSIM自主性可以为发布加载接收而存在。TSIM关联的SD可以被授权认可管理特权。例如,CI可以向TSIM关联的SD授权认可管理特权。CI也可以授权令牌验证特权和/或接收生成特权。在该配置中,TSIM可以位于其SD层级的顶部,并且可以管理TSIM应用的卡内容。
在具有GP安全管理属性的实施方式中,可能的令牌结构方法包括令牌生成/发布、令牌验证、和/或接收生成。例如,实施方式可以使用接收以允许CI跟踪卡的配置。接收可以用于让SD所有者(例如AP和/或CI)了解到对应的令牌已被成功使用。SD所有者可以根据哪个SD对该接收进行了签名而被建立。SD可以不跟踪卡的配置。GP注册可以存储关于该配置的数据和/或其可以在成功管理事件后被自动地更新。例如,OPEN可以读取GP注册以获得关于该配置的信息。认可的卡外实体可以例如使用获得状态(GET STATUS)指令读取注册。根据一种实施方式,TSIM关联的SD可以由TSIM AP所有。GP注册可以在使用令牌和/或接收时存储配置数据。如果由TSIM AP发布令牌和/或所述令牌由TSIM SD签名的接收所验证,则存储机制可以是相同的。
在使用GP安全机制的实施方式中,辅助SD可以验证令牌。DAP和/或DM令牌可以为具有DM特权的辅助SD而被请求以加载新应用。这可以包括加载新子SD。可以使用各种类型的令牌来加载和/或安装应用,和/或移动它通过其各种生命周期状态。可以由AP生成DAP。AP可以所有具有DM特权的辅助SD。然而,可以包括委派管理令牌的令牌可以由CI生成。这意味着具有其特权的辅助的、自过渡的SD可以从CI获得令牌。该令牌可以在各种安装(INSTALL)指令中被从AP供给到智能卡。AP可以使用其DM特权来加载应用。此外,可以存在一种类型的令牌。DAP也可以独立于令牌。令牌可以被例如具有TV特权的SD的卡外所有者签名和/或发布,因为该SD具有用于验证该令牌的密钥。根据一种实施方式,每个层级可以存在一个TV特权。对于具有一个树的卡,如果具有DMP的SD存在,则ISD可以具有TV特权。在一种可替换的实施方式中,令牌发布方可以向AP发送签名密钥,该AP可以对该令牌进行签名。这将不影响具有TV特权的SD。如果对称的签名过程被使用,则如果AP具有TV特权,该AP可以验证该令牌。根据一种实施方式,CI可以不分发该密钥和/或可以选择使用两个不同层级的分开管理,在每个层级的根部,这两个不同层级具有其自身的AM特权。
TSIM AP可以与其所有的SD共享一个密钥。根据一种实施方式,如果使用对称的密钥,则TSIM AP可以共享一个密钥。AP可以发布令牌和/或对该令牌进行签名。SD可以验证该令牌签名,和/或生成被发回至AP的接收和/或对被发回至AP的接收进行签名以进行接收验证。在该程序中使用的GP凭据可以与TSIM可信域相关联的那些不同。
在一些实施方式中,DM令牌(例如,或其他令牌)可以由除了CI之外的外部利益相关者签名。例如,令牌的发布方可以是具有令牌验证特权的SD的SD提供方。根据一种实施方式,SD提供方可以是CI。DM令牌可以由除了CI之外的其他人签名,例如AP。具有合适的特权的自过渡辅助SD可以独立于CI。任何SD可以具有TV特权。例如,每个层级的一个SD可以具有TV。这可以是享有特权的SD的所有者,该所有者可以对令牌进行签名。这不一定是具有对安全策略执行的最终控制的发布方或其他外部利益相关者。例如,在非ISD层级中的SD可以具有TV特权和/或该SD的所有者能够对令牌进行签名。
进一步地,各种GP域层级可以基于期望的TSIM配置类型来被构建。例如,独立的远程所有者每个可以具有作为他们的TD功能的一部分运行的软件。可以用对应的关联的GPSD为这些远程所有者中的每个来建构TSIM应用。SD可以被授权委派管理特权,以通过TSIM关联的SD监督他们的活动性来管理他们自身的配置。
根据一种实施方式,DM令牌在这里被进一步描述。可以在各种动作和/或特权中使用令牌。DM令牌可指在管理卡内容的DM过程中使用的任何令牌。DM令牌(如上所述)例如可以在TSIM应用配置建立过程的环境中被使用。
根据一种实施方式,OPEN可以确定接收是否被使用。OPEN可以确保当接收可以被使用时,该接收被生成,例如,在相关指令(例如,INSTALL)已经被成功执行之后。OPEN可以确定在层级中的任何SD是否具有接收发布特权。如果当前SD或在层级中该SD之上的一个SD具有接收生成特权,则OPEN可以确保该接收被生成和/或被发送到应用提供方。不同的TSIM移植实施方式可以涉及令牌和接收的不同使用组合,例如:1)无令牌;2)有令牌并无接收;和/或3)具有全验证的令牌和/或接收。在一种实施方式中,如果发布方域具有接收发布特权,可以为与ISD关联的SD生成接收(例如,不为自关联的SD)。在一种实施方式中,如果加载应用的SD是自关联的且没有接收生成特权,则接收不由在层级顶部的SD生成。接收可以是有选择的。例如,如果SD位于层级的顶部,则可以确定SD使用哪个特权来加载应用。例如,SD可以具有AM特权,这意味着其可能不使用令牌并因此可以不生成接收。如果SD具有RG和/或TV特权,其可以发布针对附属SD的接收。根据一种实施方式,如果他们具有DM特权和/或他们具有用于执行CCM操作的令牌,则接收可以被发布。如果SD具有DM和TV特权两者,则其可以具有实质上与具有AM特权等同的自主性,因为SD可以验证其自身的令牌。
根据一种实施方式,具有DM特权的自关联的SD可以在其自身下创建附属SD的线性链和/或SD的多级树。例如,SD可以呈现可由在层级中享有TV特权的SD验证的正确的令牌。根据一种实施方式,可以存在至少两级SD。例如,一个辅助SD可以存在在发布方域下。自关联的SD可在其下不具有任何SD。多层树可以被创建。每个SD可以知道其关联哪些其他SD和/或正确信息可以被存储在GP注册中。在一种实施方式中,附属SD可以是应用并且也需要通过各种卡内容管理过程以加载到卡上和/或变为可操作的。辅助SD可以不需要为了能够加载其下的附属SD而是自关联的。辅助SD可以具有DM特权。即使辅助SD不具有DM特权,顶级SD可以被用于加载在该辅助SD下的SD。自关联的SD可能需要提供对于一些AP所期望的其自身的服务。发布方域可以终止自关联的SD和/或其应用。自过渡的SD可以具有AM特权。例如,在其创建子SD时可能不需要令牌。在一种实施方式中,可能不存在位于顶级SD上的用于验证令牌的实体,以及,例如,顶级SD可以不具有DM特权。例如,这可能与TSIM有关,因为在TSIM安全域层级中的SD可以根据远程所有者的偏好来建立他们的配置。
在一种实施方式中,具有DM特权的SD可以执行其自身的自过渡。根据一种实施方式,可以使用令牌。在自过渡之后,自关联的SD可以如上所述获得AM特权。根据一种实施方式,ISD可以授权AM。AM可以通过更新GP注册来被授权。自关联的SD的所有者可要求CI更新GP注册。因此,SD在没有来自CI的许可的情况下不能够将其自身与其母体(parent)摆脱开。根据一种实施方式,如果SD使用自过渡令牌,则其可以被允许进行自过渡。根据一种实施方式,可以存在多个自主SD层级。SD层级可以在TSIM范围之内。例如,可以针对每个远程所有者存在一个SD层级。
类似地,具有认可管理特权的SD可以执行其自身的自过渡。例如,SD可以位于其自身层级的顶部。其可以不在ISD的层级中。这是因为ISD可以在该层级中具有AM。如果在ISD下的现有SD是由ISD自过渡的,则ISD可以进入到GP注册和/或授权AM特权给新的自过渡SD。
在一些实施方式中,涉及用于密钥管理的GP机制的问题可以被解决。例如,OP关联到SCWS可以不由MNO管理和/或所有,但可以由将该OP关联到SCWS安装到附属SD的第三方所有。OP关联到SCWS的所有者可以直接使用GP指令来管理应用。根据一种实施方式,直接指令可以被使用,而不是需要通过SCWS。如果OP所有者不是所有该SCWS的卡发布方,则可以使用直接指令。如果SCWS和/或OP应用两者都是GP应用,则SCWS可以使用可信路径来调用OP应用。SCWS和/或OP可以在不同的SD之下。例如,SCWS和/或OP可以在不同的所有权之下。可以使用GP方法和/或OMA/SCWS方法来向OP应用供应密钥。如果SCWS不是GP应用(例如常规Javacard或本地应用)和/或OP例如是GP应用,则OP应用可以使用GP来被管理。在GP中可能没有允许SCWS调用OP应用、和/或向OP应用供应密钥的功能。在一种实施方式中,SCWS和OP应用可以与TSIM一起存在在卡上,但他们可以在卡外运行。
根据一种实施方式,机密卡管理(CCM)可以允许加密的加载块的加载。加密的加载块不能被除AP之外的任何人所解密。AP可以通过非可信传输链路加载机密应用。链路平台运营商(例如具有安全OTA系统的MNO)可以创建SD(其可以被称为APSD)以加载和/或管理机密应用,和/或将APSD的所有权转移到AP。AP可以使用SD(例如,APSD)来管理机密加载。由APSD使用的密钥可不被LPO所知。为了实现这一点,控制当局的作用可以被扩展,以使其可以使得针对APSD的密钥创建和/或APSD个性化安全。这可以使用存储数据(STORE DATA)指令经由LPO的网络来被完成。APSD密钥可以在卡上被生成,和/或被发送到远程AP。APSD可以在卡外被生成,和/或被发送到APSD。可以使用对称的加密来对DM令牌进行签名。CCM可以不忽略用于卡内容管理的机制。例如,仍然使用DAP和/或令牌。加载令牌可以由卡发布方签名。对于SD创建和/或指派,信任可以被从CI移到控制当局。根据一种实施方式,CA可以持有AP的公共密钥。CA还可以完成AP的SD密钥的卡上生成。CA可以使用AP的公共密钥来加密AP的SD密钥和/或将他们发送给AP。应用有效负载可以通过LPO的(例如,NO的)网络来被建立隧道。
可以由远程所有者创建和/或可以具有DM特权的APSD可以向其可执行的S/W配置对在该层级顶部的TSIM SD的监督。例如,可信域特征的移植可直接取决于由CI向TSIM SD授权的自主性等级。上述功能中的一些可以在CI的当局或具有对安全策略执行的最终控制的其他外部利益相关者下被执行。在没有总TSIM自主性的情况下,TSIM特征中的一些和/或所有可以不被允许。
根据一种实施方式,具有令牌验证特权的SD(每个卡存在这些中的至少一个)可以验证令牌而不发布该令牌。例如,SD可以访问用于验证该令牌的密钥。令牌验证的过程可以是OPEN的一部分,该过程可以认可卡以执行包含该令牌的指令。AP可以从CI获得令牌。例如,如果CI是发布令牌的CI,AP可以从该CI获得令牌。其可以在带外完成。每个层级至少存在一个具有TV特权的SD和/或一个具有RG特权的SD。在一种实施方式中,具有TV特权的SD可以由对令牌进行签名的卡外实体所有。在该层级中具有RG特权的SD可以是对接收进行签名的那个SD。AP获得令牌和/或AP处理接收的过程可以在卡外发生。例如,OPEN可以执行卡上令牌验证过程,作为执行具有DM特权的SD的卡管理指令的预条件。OPEN还可执行RG。例如,如果在层级中检测到RG特权,则OPEN可以执行RG。
根据一种实施方式,OPEN的执行策略可以不干扰TSIM活动性,只要具有认可管理特权的一个TSIM SD(或多个TSIM SD)可以在令牌使用或没有令牌使用的条件下运行。TSIM可以被用于根据SD是否具有委派管理特权和是否使用令牌来决定如何配置其SD。
在一种示例实施方式中,具有DM特权的自关联的SD可以创建附属SD组,以使该SD组在相同等级上。例如,具有DM特权的SD可不需要自关联以能够加载其下的更多SD。但是,可以使用令牌。如上所述,自关联的SD可以不具有DMP。位于树顶部的SD可以具有AMP。如果顶部SD下的SD具有DMP,则顶部SD可以具有TV特权和/或RG特权。这些特权中的每个可以依赖于是否使用接收。母体(例如具有AMP的自关联的SD)可以创建一个子SD组,所述子SD位于彼此相同的等级上。在一种实施方式中,母体可以不创建与该母体位于相同等级上的子SD组。
关于THSM,THSM是可以被设计为提供可信订阅管理功能的硬件保护模块。例如,THSM功能可以包括以下这些功能:作为GSM的SIM功能执行的那些功能、分别用于UMTS和/或IMS运营商的USIM和/或ISIM功能、和/或非3GPP接入网订阅。例如,可以包括与UMTS环境关联的UICC功能。
图4是示出了在其中THSM 404是高级用户设备(UE)400设备架构的一部分的实施方式的图示。UE 400可以由THSM 404和ME 402组成。THSM 404可以被嵌入或不嵌入在UE400上。THSM 404可以在逻辑上独立于ME 402,即使其嵌入在UE 400上。THSM 404可以具有一个或多个域。例如,THSM 404可以包括THSM设备制造商(DM)域406、THSM设备所有者(DO)域408、THSM设备用户(DU或U)域412、全系统域管理器(SDM)域410、和/或一个或多个远程所有者(RO)域414。每个域可以由域的特定所有者所有和/或可以通过提供安全、可信服务和/或应用来针对所有者的利益操作。图4中的点划线指示域所有者与在THSM 404中对应的域之间的连接。根据一种实施方式,连接可以经由域所有者与ME 402之间的空中(OTA)接口以及经由ME 402与THSM 404之间的接口来被使能。在THSM 404中的域可以执行不安全或不方便在ME 402中执行的安全敏感功能和/或应用,其中作为存储和/或执行环境,该ME 402可以被认为没有THSM 404安全。这里所述的示例性实施方式可以参考例如有关图4描述的那些组件。
一些域可以由一个或多个移动网络运营商(MNO)所有和/或管理,例如,3G和/或4G移动MNO。域可以由其他通信网络运营商所有和/或管理,例如WLAN、WiMax、或类似的通信网络运营商和/或应用服务提供方等。订阅的管理可以是由所有者所有的域所支持的密钥应用。在THSM域上实施的订阅管理的功能被描述为TSIM功能。不同域可以支持多种类型的功能。例如,功能可以与由在3G移动终端上的UICC上的USIM和/或ISIM应用提供的那些功能相似。THSM可以(类似UICC)例如具有除了TSIM之外的其他功能和/或应用和数据。THSM组件的进一步描述在这里被提供。描述是出于示例的目的而被提供的,并不是限制性的。
可信域(TD)是在THSM架构和/或ME内的软件/固件实体。例如,TD可以为他们的所有者(可以包括远程所有者)的利益提供订阅服务(包括可信安全功能和/或应用)。在订阅模块中的域可以执行不安全或不方便在ME中执行的安全敏感功能和/或应用。域可以在所有权发生前处于具有基础功能的“原始”状态。域可以通过所有权过程实现全功能。根据一种示例实施方式,所有者可以是这里描述的外部利益相关者或其他利益相关者。一个所有者可以获得TD的所有权。一个所有者还可以所有多于一个TD。TD应用可以监督TD和/或应用存在在其中的结构。TD可以由TD APP S/W和/或策略文件SDM和/或SDP和其关联的SD管理。例如,TD可以从TD应用的角度被管理。
可信订户标识管理(TSIM)可以在特定TD中执行与UMTS中的USIM类似的作用。这是因为USIM是UMTS中的订阅应用功能。TSIM可以是比USIM更抽象的逻辑实体。TSIM可以提供在UMTS环境中的USIM的订户功能,例如认证和/或密钥协定,但不一定必须是UICC,同样地,USIM也不是必须的。相反,TSIM可以存在于THSM中的RO的TD中。更大的通用性可以从GP兼容架构中得到并且在这里被描述。TSIM与虚拟订户标识模块(VSIM)有关,并且也可以是VSIM的扩展。
远程所有者(RO)可以是通过远程获得所有权(RTO)协议来获取其TD的所有权状态的远程利益相关者。多于一个RO可以获取TD的所有权。
设备制造商(DM)可以是远程所有者。DM的所有权过程可以在UE通电时被预配置和/或建立。由DM所有的可信域被表示为TDDM。
设备所有者(DO)可以是机构的(institutional),例如在公司中的IST部门。DO可以是个人的。DO可以被认为对UE是本地的。所有权过程可以被预配置和/或远程发生(RTO)。由DO所有的可信域被表示为TDDO。由DO所有的实体还可以是UE、ME、和/或THSM。
设备用户(U)可以与DO相同或不同。该架构可以支持多于一个用户。在机构所有权的情况下,该机构和/或在该机构中的每个实体可以作为用户。例如,在机构包括多个员工的情况下,员工可以作为用户。用户可以通过本地获得所有权(TO)过程来获得所有权。由U所有的可信域被表示为TDU。
全系统域管理器(SDM)可以负责配置远程所有的域、建立远程所有的域的原始状态、和/或在通过RTO为该远程所有的域建立的后续状态中起到主要作用。SDM可以使用策略信息来驱动其过程。SDM可以在TSIM层级内管理TD的TSIM系统。SDM可以是GP环境内的一套应用。当SDM处于GP环境中时,可以存在不受SDM监督的其他应用。例如,TSIM层级以及在智能卡上的其他应用可以借助CI授权的许可而存在于GP环境中。可以基于信任等级来授权特权,以及可以例如由CI向被允许驻留在智能卡上的应用授权特权。
系统域策略(SDP)可以是预配置的文件,其可以确定由SDM创建哪些原始远程所有的域和/或在什么条件下针对这些域的RTO将发生。SDP可以不是静态的,因为在需要时可以基于个体与RO协商策略变化。支配TSIM过程的活动策略可以最终由GP卡管理器来监督。
标识和/或定义各种利益相关者相对于包含智能卡(例如GP兼容智能卡)的设备所扮演的角色可以有助于确定TD应用可以实现其潜在的功能的灵活性。这里描述的是各种利益相关者的示例和这些利益相关者可以相对于包含智能卡的设备所扮演的角色的描述。这里描述的利益相关者中的任何一者或多者可以是能够具有对关于无线通信设备的安全策略执行的最终控制的外部利益相关者,然而,卡发布方在这里被一般地描述为具有对该安全策略执行的最终控制的外部利益相关者。
卡发布方(CI)可以是所有该卡的个人和/或实体。CI可以最终负责其行为。CI SD可以是每个加载到卡上的应用的控制器和/或监督器。但是,如这里指示的,应用自主性等级可以依据对关联的SD授权的特权来显著改变。
卡制造商(CM)是智能卡的制造商。CM可以是实际硬件的生产者,所述实际硬件由卡组件、指令接口、事务(transaction)序列、和/或在智能卡内类似的硬件。作为一个概念实体的CM可能在实施智能卡的软件和/或应用特征中不那么重要。
终端所有者可以是所有设备的终端组件部分的个人或实体。例如,在设备由集成卡和/或终端组成的情况下,所有者可以是服务提供方,例如,和财政机构、和/或其他服务提供实体。根据一种示例性实施方式,终端所有者可以是公司(例如IST部门)和/或将设备分配给可被标识为是该设备的用户的员工的企业。终端所有者也可以是设备的个体用户。两个所有权安排是可能的。例如,卡和/或终端的所有者可以是相同的实体或个人,或是不同的实体或个人。因此,CI可以所有终端以及卡。
设备用户可以是使用设备的个人或公司。
应用提供方(AP)可以是提供和/或安装驻留在卡上的应用的众多潜在实体中的任意一者。例如,AP可以是服务提供方。对于TD应用,AP可以是TD应用提供方和/或TD的RO。TDAP可以具有控制TD配置和/或在TD APP内的TD的行为(到达其具有自主性的程度)的软件的所有权。TD SDM、和/或TSIM SDP可以是这里描述和/或定义的相关的实体。假设RO可以是AP,则AP和RO可以交换地使用。
控制当局(CA)可以具有通过数据认证模式(DAP)验证的托管、完整性检查方法保持对卡内容的控制的特权。CA可以具有对加载到卡上的应用码执行安全策略的特权。
可以做出关于上述利益相关者描述的不同假设。各种利益相关者安排可以驱动卡管理输出。卡管理输出可以影响卡应用被允许运转的方式。因此,应用自主性等级可以取决于所描述的假设。
全球平台(GP)和TSIM/THSM智能卡可以在架构和/或哲理上不同。GP可以指定具有GP的主要部分(例如CI SD、OPEN、和/或持卡者验证法(CVM)服务)的卡管理器的定义和/或描述。GP还可指定使用对应于利益相关者的安全域的卡管理器的定义和/或描述。例如,GP可以指定具有CISD、OPEN、CVM服务和对应于三个利益相关者的安全域的卡管理器的定义和/或描述。这些描述可以覆盖安全域和/或非安全域应用的生命周期以及卡上(应用间)和/或卡外通信,其可以包括关联的安全性问题。描述的安全域特性可以包括域层级结构和/或支配这些结构的规则。但是,在不同架构框架中,可以识别出至少两个TSIM/GP共性。他们被如下给出:1)应用、功能、和/或凭据的远程下载;和/或2)多个利益相关者的调节。GP的主要利益相关者可以是CI、CA、和/或AP。
这里描述了在实施中THSM/TD相对于GP之间的比较的示例。根据一种实施方式,参与RTO、注册和凭据下载协议的用户可以不同;在注册和/或凭据转出过程中的销售点(POS)的使用可以不同;使用完整性检查的TD的安全方面可以不同;涉及一个和/或两个设备所有者的迁移协议可以不同;和/或在其中ME具有全MTM能力并且可以允许在其上和/或在卡上安装远程所有的域的TD的实施方式可以不同于GP实施。
如这里所描述的,TD概念可以被嵌入到GP架构中。在GP环境中的TD的实现可以由TD和/或他们关联的GP SD组成。每个TD可以具有为那个域提供功能的TD应用。每个TD还可以具有关联的SD,该SD可以为其应用的安装和/或后续行为提供卡级安全。在一些实施方式中,TD是与SD分离、且不同于SD的实体。
图5是示出了GP SD层级的示例性框图,该GP SD层级具有两个安全域,一个是非TSIM关联的附属安全域(SSD)502,一个是TD域管理器(TDM)关联的SSD 504,两者都附属于CI SD 500。非TSIM SSD 502可以控制应用516。TDM SSD 504可以包括用于设备所有者(DO)或用户(U)的应用TD 510。应用TD 510具有关联的TSIM SSD 508,该TSIM SSD 508附属于TDM SSD 504。还示出了一组预RTO应用TD*5141-n,所述TD*5141-n的关联的SD 5121-n附属于TDM SSD 504。例如,如果不发生RTO,则每个TD*5141-n处于原始状态中并尚未被远程所有。TDM SSD 504可以被称为域管理器。TDM SSD 504功能实际上可代替设备制造商和/或设备所有者的功能。
CI与TSIM应用提供方(TSIM-AP)之间的先验策略一致性可以允许AMP、DMP,或者既不允许AMP也不允许DMP。操作模式可以是基于令牌的。在一种实施方式中,CI SD 500具有TV和RG特权,除非TDM SSD 504被授权AMP。CI SD 500可以加载可信域TSIM应用提供方的载入文件,例如,当没有向TDM SSD 504授权AMP和DMP时。在基于令牌的模式中,例如,用于可信域TDM应用(例如APP TDTDM 506)的加载的TV和RG可以由可信域应用提供方来执行。完整的可信域可以是除了可能的GP限制以外的全部功能(例如,不是原始),并且可以包括凭据。如果AMP或DMP在先验策略一致性中被允许,则针对每个原始TD*5141-n的应用可以由TDMSSD 504加载。否则,应用可以由CI SD 500加载。所得到的原始可信域的功能是否与TSIM偏好一致可以取决于应用加载过程。
表示为App TDTDM 506的可信域可以包含应用组件,该应用组件管理哪些可以是多个远程所有的可信域,所述可信域的远程所有者可以代表各种服务提供方,例如,MNO、银行业相关等。TD管理器应用可以至少部分包括SDM和/或SDP。他们可以是图5中配置的驱动器。
例如,在GP平台上可以存在不同的TSIM配置。这里描述的示例性TSIM配置对应于GP平台操作环境可允许的TSIM应用和/或任何由TSIM应用调节的应用的自主性等级。图6、7和8是示出了GP安全域(SD)结构的示例性配置的图示。TSIM域管理器SD可以附属于CI SD。TSIM域管理器SD可以附属于非TSIM应用SD。远程所有的TD SD可以在相同等级上和/或附属于域管理器。由GP卡管理系统授权的特权可以彼此区别TD配置。由CI允许的特权在区别的TD配置中特别重要。TSIM可以被视为应用集。每个应用可以提供由每个TD实现的功能。
根据一种实施方式,CI可以不对域管理器SD和/或在层级中位于该SD下的任何SD授权委派管理特权(DMP)。图6是示出了GP安全域(SD)结构的配置的图示,其中CI SD 600不授权DMP。在该配置中,域管理器SD 604可以在TD中安装关联的应用软件,表示为APP TDTDM606。域管理器SD 604之后可以没有特权来加载用于将被安装的后续应用的载入文件,也不作为在其形成中的TSIM域层级的部分和/或任何主要TSIM功能(例如,RTO、注册、凭据转出、和/或类似的TSIM功能)的执行的部分。CI SD 600可以控制加载操作和/或针对令牌使用的操作。例如,CI SD 600可以根据系统域策略为每个TD加载载入文件。由于CI SD 600具有TV和RG特权,可操作的模式可以是简单的(例如,无令牌)或是基于令牌的。CI SD 600还可以处理应用码的完整性检查(在GP中被称为数据认证模式(DAP))。
如图6所示,可信域TD 6141-n TDRO是未加星号的(un-starred),因为可以假设RTO已经在每个实例中发生。在该实例中的RTO可以受CI SD 600策略所限制,以及每个RO将具有的对其TD的控制等级可以通过这些策略来被确定,并通过TSIM域管理器SDM机制被最小化。例如,每个TD 6141-n可以经由由CI SD 600控制的RTO协议来形成,以及因此所得到的可信域可以具有限制的TSIM功能。预RTO应用TD 6141-n组每个可以具有关联的SSD 6121-n。在基于令牌的模式中,针对每个TD 6141-n的应用的加载的令牌验证和接收生成可以由对应的远程所有者执行。对于域管理器TD 606,可以由TSIM应用提供方执行TV和RG。
根据另一种实施方式,CI可以向域管理器SD授权DMP。图7是示出了GP安全域(SD)结构的示例性配置的图示,其中CI SD 700例如根据先验策略一致性授权DMP。CI SD 700可以具有TV和RG特权。在该实例中,TD域管理器SD 704可以选择加载其自身的载入文件。TSIM域管理器SD可以选择加载其自身的载入文件,其中令牌管理、或令牌验证(TV)、和/或接收生成(RG)可以由CI SD 700处理。DAP验证也是发布方SD 700的责任。
在TD域管理器SD 704被授权DMP的实施方式中,域管理器SD 704可以具有更多的自主性来确定后RTO功能与TSIM操作环境的一致性相似等级。例如,卡外TSIM AP可以生成令牌来发起加载过程。加载过程可以在由CI SD 700验证令牌时继续。加载过程可以以CI进行的接收生成和/或以AP进行的接收验证来完成。TV和/或RG过程可以假定用于签名和/或验证的密钥结构存在于CI SD 700和/或AP之间。在基于令牌的模式中,针对每个TD 7141-n的应用的加载的令牌验证和接收生成可以由对应的远程所有者执行。每个TD 7141-n可以具有附属于TDM SSD 704的对应的TSIM SSD 7121-n。对于域管理器TD 706,可以由TSIM应用提供方执行TV和RG,如这里所述的。
根据另一种实施方式,域管理器SD可以是由发布方SD针对示例性配置授权的全认可管理(AM)特权。图8是示出了被发布方SD 800授权全认可管理(AM)特权的示例性TD域管理器SD 804的图示。AMP授权可以产生对TSIM应用的全自主性。TSIM应用可以加载载入文件而无需来自发布方SD 800的管理控制。因此,TSIM应用可以使用令牌或不使用令牌来执行代码安装。TSIM应用可以负责DAP验证活动性。TD域管理器SD 804还可以具有TV和RG特权。在基于令牌的模式中,针对每个TD 8141-n的应用的加载的令牌验证和接收生成可以由对应的远程所有者执行。对于域管理器TD 806,可以由TSIM应用提供方执行TV和RG。
虽然可以假设全TSIM功能可以以TSIM应用的这一自主性等级来被实现,但卡管理器、特别是OPEN(全球平台环境)(他们的责任可以包括提供安装的应用、API、指令分配、和/或卡内容管理)可以监督应用行为。例如,OPEN可以监督形成每个TD 8141-n并由TD域管理器SD 804控制的RTO协议。每个TD 8141-n可以具有几乎全部或全部的TSIM功能。如果违反了某些安全策略,应用可以被置于锁定(LOCKED)状态和/或被阻止执行。这些控制也可以应用于关于图6和图7描述的配置,因为他们可以在更多限制下被操作。用于应用行为的控制的全球平台规则在这里被更详细地描述。
如这里所述,TD可以建立在GP平台上。TSIM应用可以根据其动态性质随时间建立其自身。TSIM应用可以被描述为是演进的。用于发起该演进过程的机制可以是配置文件。该配置文件可以为TSIM奠定结构基础。假设配置文件可以驻留在卡上,该配置文件可以负责域管理器可信域(TDTDM)的形成。其他域(例如设备所有者可信域(TDDO)和/或用户的可信域(TDU))也可以被安装。然而,在GP兼容卡上的可信域安装过程与THSM环境相比可以是不同的。TDTDM可以在卡发布方SD许可的情况下被加载。虽然配置文件可以被用来配置TDTDM,但是其不在制造时被安装。该文件可以是DM载入文件的一部分,和/或可以由OPEN激活以配置和/或安装用于给定可信域的代码。
上述配置可以具有集中在与域管理器可信域TDTDM关联的SD中的TSIM控制,然而在TD应用的实际实施中,策略控制可与SDM驻留,该SDM可以是在TDDO中的应用。上述SD层级可以使用驻留在TDTDM中的类似的TSIM策略管理器来被实施。
根据一些实施方式,可信域应用可以被移植到GP环境。在最高等级处,TD概念可以作为在GP兼容智能卡上独立的一组应用被移植到GP环境。某些利益相关者的SD所有权关系可以影响TD到GP的移植限制。例如,如果TD AP和CI相同,则有利于到GP的鲁棒移植,但如果TD AP和CI不相同,则不是有利的。可以针对该移植过程考虑很多使用情况。对移植过程的影响将在这里被进一步描述。
根据一种实施方式,移植过程可以随其演进允许TD应用的最大自主性。其中CI和/或TD AP可以相同的使用可以最大服从于允许的自主性。
可信域管理器(TDM)安全域(SD)可以被创建。如这里所述,TDM SD可以根据各种状态来被配置,例如安装(INSTALLED)状态、可选择(SELECTABLE)状态、个性化(PERSONALIZED)状态和/或锁定(LOCKED)状态。对应于TDM应用(TDTDM)和/或由TD AP所有的可信域管理器的安全域(TDM SD)在运行于TDM的指导下的应用可以被创建和/或与TDM SD关联和/或与他们的其他附属安全域关联之前在GP智能卡上可以是个性化的。根据一种实施方式,TD AP可以请求TDM SD被安装和/或进入到由CI进行的全球平台注册。接下来,域可以被转换到可选择的状态,以使其可以接收来自卡外实体的个性化指令和/或转换到个性化状态。在个性化状态中,SD可以具有用于在GP环境中正常运作的密钥信息。
安全域的生命周期状态可以是统一的,而不管他们在SD层级中的位置。图9是示出了示例性SD状态(安装902、可选择904、个性化906和锁定908)的图示。图9还示出了在常规GP设置中的转换机制。在TDM SD的情况中,CI SD可以是要安装的具有特权的安全域(例如,到安装状态902),和/或将SD转换到可选择状态904,其中其可以接收来自具有合适接入特权的卡外或外部实体的GP指令。例如,一种这样的卡外实体可以是SD的AP。一旦转换过程已经由SD自身发起,则AP可以通过生成和/或加载个性化数据和/或安全密钥来跟进,作为进入到个性化状态906的手段。DM SD可以例如由CI SD、TDM SD自身、和/或另一外部利益相关者SD转换到锁定状态908。锁定状态908可以被用作对安全性的控制。例如,如果在卡内检测到与SD关联的威胁,锁定状态908可以被用作对安全性的控制。威胁检测可以由OPEN监督。
图10、10A、10B示出了可对应于TDM SD的生命周期状态的示例性消息发送细节。生命周期结构反映在图9中示出的。例如,令牌使用可以被假定是在图10中的CI SD 1000的策略请求。在1006,卡外TD AP 1004可以提供签名令牌。令牌可以被验证以使过程向前发展。当与CI SD 1000通信时,可以使用令牌。当与辅助SD(例如,具有AMP的TDM辅助安全域(SSD)1002)通信时,在不请求的情况下可以不使用令牌。
TD AP 1004和/或CI SD 1000可以在示出的协议步骤进行之前安排密钥结构就位。TDM SD在图10-10B中被示为TDM SSD 1002,这是因为安全域可以是对CI SD 1000的辅助。图10中的每个步骤可以将TDM SD转换到下个状态。
例如,TD AP 1004可以请求创建TDM SSD 1002。基于该请求,CI SD 1000可以验证来自TD AP 1004的令牌,并创建TDM SSD 1002。TDM SSD 1002当前可以是安装的,并可进入GP注册。TDM SSD 1002可以在GP中提供安全服务以执行后续应用安装和/或针对某些应用的其他SD的创建。
图10A示出了根据一种实施方式的如何从TD AP 1004产生指令1008以将TDM SSD1002转换到可选择状态。指令1008可以包括用于转换TDM SSD 1002的令牌。CI SD 1000可以验证令牌并将TDM SSD 1002转换到可选择状态。一旦处于可选择状态,TDM SSD 1002可以处理来自认可的卡外实体(例如,TD AP 1004)的个性化指令。
根据一种实施方式,图10B示出了TDM SSD 1002可以如何转换到个性化状态。例如,CI SD 1000和卡外TD AP 1004可以协商安全策略。CI SD 1000还可以确定安全标准。TDM SSD 1002可以将自身转换到个性化状态。在1010,个性化数据和/或安全密钥可以被远程加载,使得TDM SSD 1002针对TD S/W模块和/或支持文件的安装是全功能的。可以由TDMSSD 1002发起加载过程。TDM SSD的安全特征可用于相关联的应用。虽然令牌可以由CI SD1000请求,但指令可以被递送到TDM SSD 1002。
在TDM SSD 1002的安装、选择和/或个性化之后,TD应用可信域可以被加载和/或安装。该过程可以遵照GP兼容卡的生命周期结构。
图11是示出了例如在GP中被加载到卡上的应用所获得的各种状态的图示。状态到状态和/或指定状态外部的转移模式在某些情况下可以取决于特权。例如,具有AM特权和/或DMP的SD可以将应用从安装1100转换到可选择1102。然而,不管DM SD是否具有AM特权、DMP或两者都没有,应用可以自行转换到其所特有的特定状态。这些特定状态在图11中被示为应用特定状态1104。一些转换是不可逆的。例如,从加载状态到安装状态1100的转换和/或从安装状态1100到可选择状态1102的转换是不可逆的。一些转换是可逆的。例如,任何状态到锁定状态1106是可逆的,以及可选择状态1102到应用特定状态1104是可逆的。
图12、12A和12B示出了有关预RTO可信域的安装的示例性进程,例如,域管理器TD(TDTDM)、设备所有者或用户TD(TDDO/U)、以及通用远程所有的域(TDRO)。该安装可以假设TDMSSD 1204可以被授权AMP,GP机制允许所示出的实施方式的最大自主性。这可以向TDM SSD1204提供对加载和/或安装由TD AP 1202命令的各种可执行文件和/或数据文件的权利。实施方式可以包括使用或不使用令牌执行加载和/或后续的安装的决定。取决于安装的使用情况环境,这里定义的配置中的任意一者可以被假设和/或过程可以相应地改变。
安装可以包括下述步骤中的一者或多者。在1206,TD AP 1202可以向CI SD 1200发送请求令牌。在1206,令牌可以被发送以授权TDM SSD 1204认可管理特权(AMP)。CI SD1200可以验证令牌,以及作为响应和在考虑其安全策略之后,可以授权TDM SSD 1204AMP。因此,TDM SSD 1204可以处于个性化状态中并可以接受来自TD AP 1202的个性化指令。并且,在TDM SSD 1204获取AMP之后,其可以加载S/W可执行文件和配置应用,例如在其自身层级中的SD等。
在1208,(如图12A所示),用于加载包含可安装的S/W和/或数据文件的TDM载入文件的指令可以由TD AP 1202发送到TDM SSD 1204,以配置期望的可信域集。如图12B所示,TDM载入文件1212可以包括独立的模块,以及每个文件和/或S/W可以被安装有独立的指令1210。根据图12B所示的一种实施方式,对应于每个TD类型的应用S/W可以被包括在载入文件1212中。对于远程所有的域TDRO 12201-n,可以使用一个通用的S/W配置。可以命令该配置的重复实例化以安装建议数量的域。用于提取(extraction)效用(utility)的S/W可以在载入文件中被提供。该效用的使用在这里被进一步描述。每个TD可以与TDM SD 1204关联。除TDTDM 1216之外的TD可以处于原始(预RTO)状态。可以处于原始状态中的TD在图12B中以TD*示出。虽然未在图12B中指示,但原始域可以被认为是安装,相反TDTDM 1216可以是全功能的和/或应用特定的。TDTDM 1216可以包括安全域管理(SDM)和系统域策略(SDP)信息。
假设TDM SSD 1204可以具有AMP,则其可以是自关联的。如图12B所示,TDM SSD1204可以位于SD层级树上的顶部。TDTDM 1216可以充当用于驻留在SD层级中的应用的后续开发的管理器应用。TDTDM 1216可以使用由TDM SSD 1204提供的安全服务以充当管理器应用。图12示出了与TDM SSD 1204关联的可信域,其与每个和独立SD关联的应用形成对照。可信域可以是对TDM SSD 1204的辅助,如在这里描述的配置中描绘的。后者的配置可以导致该安装过程。可以示出TD应用(APP)和/或关联的SD的很多不同组合。根据一种实施方式,当进行注册和/或凭据转出时,辅助于TDM SSD 1204的独立的TD SD可以针对远程所有的域被创建。
这里描述了针对TD应用所有权和特征移植的启示的至少三种场景。关于利益相关者,几个所有权安排场景可以被设计。CI可以被视为MNO和/或例如银行的财政机构。类似地,TD AP也可以被这样视为。可以做出关于这些机构或组织是否是相同的确定。换句话说,发布卡的实体可以与所有TD软件的实体相同或不同。总之,TSIM功能可以被实现的等级可以受CI的安全策略与TD的SDP之间的一致性等级或信任等级支配。如果卡发布方与TD AP是相同的实体,则存在高等级的策略一致性。如果涉及两个发布实体,则可以期望可变的策略。策略可以是CI管理器级和/或TD系统级。在TD环境中的潜在竞争的远程所有者之间的策略问题可以与这里定义的场景有关或无关。
关于RO获得TD的所有权,可能存在TD SDP的策略相对于RO的策略(而不是CI的策略)的问题。如果检测到不期望的行为,卡管理器和/或CI可以锁定应用。
上述暗示了CI与TD AP之间的所有权场景。根据第一场景(场景1),CI卡级安全策略几乎同意和/或兼容TSIM SDP。高策略一致性可以暗示CI和TD AP是相同的实体。高策略一致性可以暗示CI与授权TD域管理器SD DMP的应用足够熟悉和/或AM特权具有很高的可能性。在这种情况中,对于被加载的软件以及该软件如何运作,TSIM可以被给予相当大的余地(leeway)。例如,在一种使用情况中,CI可以是认可TD应用的使用的MNO。例如,TD AP可以是MNO自身或认可的第三方厂家。场景1可以是最有利于THSM/TSIM特征到GP框架的最大移植的安排。
根据第二场景(场景2),CI卡级安全策略可以部分与TD SDP一致。部分一致性可以暗示CI和TD AP是不同的实体。如果策略等级指示CI和TD AP是不同的实体,则可以在被授权给应用的自由等级上采用更多的限制位置。因此,最多DMP可以被授权,其中CI SD可以具有令牌验证和/或接收生成特权,作为监督什么被加载到卡上的手段。在使用情况中,TD应用可以被认可以供MNO使用,该MNO可不是CI但可以符合CI的信任等级。TD AP可以是MNO自身或由MNO认可的第三方厂家。设备的用户能够独立地下载应用。
根据第三场景(场景3),CI卡级安全策略可以与TD SDP最小地一致。最小一致性可以暗示CI SD对应用进行很高限制的观点。因此,DMP和AM特权都不会被授权给TSIM应用域管理器SD。软件可以由CI SD加载和/或验证。在使用情况中,TD应用可以被认可以供MNO使用,该MNO不是CI和/或不符合CI的高信任等级。根据一种实施方式,TD AP可以是MNO自身或由MNO认可的第三方厂家。设备的用户可以被允许独立地下载应用。但是,在这些情况中,例如,CI可以否决由附属SD做出的允许下载的决定。如果具有AM特权的SD做出下载决定,在下载和/或后续激活后,系统(例如,OPEN、CI SD或任意可以这样做的具有特权的SD)可以将应用转换到锁定状态。
关于上述所有权选择,利益相关者可以是用户。用户被有点抽象地看待,并且可以承担不同的角色。用户可以是CI、终端所有者、同时是CA和终端所有者,和/或DO。
TSIM特征可以被移植到GP的容易度可以取决于利益相关者所有权选择和/或与利益相关者相关联的策略的调节等级。CI可以具有用于支配在卡上运行的应用的行为的安全策略。
对在场景1下的TD特征的移植(例如RTO、注册和/或转出、和/或迁移)的描述在这里被提供。根据一种实施方式,存在用于至少三个THSM/TSIM特征的移植程序。如这里所述,可信域的特征可以被定义为在THSM环境中所构想的。将被移植的特征可以包括:1)RTO,2)注册和/或凭据转出,和/或3)迁移。CI可以向TDM SD给予AMP,而不论所有权场景(如上所述的场景1、2、或3)。这样,在每个场景下(或针对每个场景),与在TDM例如将具有DMP的情况相比,TDM可以具有更多的自主性。在场景2和/或场景3下,AMP的CI的授权与其他实施方式下的相比更不太可能或更不现实。移植说明在这里被进一步描述。呈现(presentation)模式示出了在卡上SD/APP层级中的各种实体与具有卡外AP的那些实体之间的消息发送。AP可以是任何远程所有者,例如,包括CI。
图13和13A中示出了示例性RTO过程。远程所有者可以是希望在协议开始时获得处于原始状态中的TD(例如,APP TD*RO1 1308)的所有权的应用提供方。RO AP 1302可以被认为是任何服务提供方。如果CI 1300和/或TD AP(与CI相同或不同)想要获得TD的所有权,他们(就像任何其他远程所有者一样)可以按照RTO进行。步骤在下面被描述(以及不局限于特定的次序)。
对于步骤1,由RO AP 1302向TDM SD1304做出加载RTO载入文件的请求1312。如果RO策略和/或TD SDP是足够兼容的,则请求可以被授权。有可能出现协商。这里描述的图2和2A提供了示例性RTO协议的流程图。例如,RO AP 1302可以同意遵照SDP/卡策略限制。在执行策略检查之后,TDM SD 1304可以加载由RO AP 1302所请求的RTO文件。应用TD TDM 1306可以包含TDM配置和策略(例如,SDM和SDP)信息。
对于图13A中示出的步骤1312,在该步骤中原始TD*RO 1308可以成为TDRO 1310(所有的,不是原始的)。在1318,可以做出对安装不同内容(例如策略和/或目的文件和/或包含可提取的S/W的文件)的RTO载入文件1314的请求。后者文件中的可提取文件可以根据提取效用来被提取,其中在TD APP安装期间(例如,见图12)可以向原始域配备所述提取效用。配置智能性可以由卡外RO AP 1302维持和/或在RTO完成时所有的可信域的状态可以是个性化的。当RTO文件1314被安装时,应用可以由于预注册的远程所有的TD而变成全功能的。应用可以做出关于是否在RTO中使用令牌的决定。可执行文件提取机制可以是一个用于避免对S/W更新卡上应用的GP限制的变通方案。在不使用提取机制的情况下,可执行文件将必须被移除和/或被新S/W替代。
注册和/或凭据转出协议可以在通过获得所有权过程(例如RTO)所有的TD上被执行。图14、14A和15示出了在其中注册和/或凭据转出被执行的实施方式。图14和14A示出了注册和/或凭据转出协议的步骤1和2(其不局限于特定次序)。该协议可以如在THSM环境中所构想的那样被实施。
如图14所示,步骤1可以包括附加的子步骤(其不局限于特定次序)。在子步骤1400中,用户1402可以使用用户名和/或密码和/或用户个人数据(REGDATA)的提交登录到TDDO/U1404,该TDDO/U 1404的TD所有者/用户可之前已经获得所有权(未示出)。在子步骤1406,TDDO/U 1404可以发送卡上的REGDATA到TDRO1 1408。在子步骤1410,TDRO1 1408可以使用用户数据来请求来自销售点(POS)1412的注册权证(ticket)。POS 1412可以具有从RO 1418请求和接收的权证的索引集。每个权证可以包括包含IMSI值的非密钥凭据。在子步骤1416,POS1412可以选择未使用的权证和/或将其和/或REGDATA发送到RO 1418。在子步骤1414,相同的权证可以被发送给TDRO1 1408。POS 1412可以请求和/或接收来自RO 1418的权证的索引集,以用于向RO 1418提供权证分派服务。一个这样的权证可以在该协议中被使用。卡上实体1420与卡外实体之间的通信可以受TDM SD 1422保护。应用TDTDM 1423可以包含TDM配置和策略(例如,SDM和SDP)信息。[159]如在图14A中进一步示出的,步骤2可以在准备到SD的下载中包括两个步骤,该SD将由TDM SSD 1422创建并且可以与TDRO1 1408关联和/或可以是其凭据的持有者。因此,在子步骤1424,TD 1408可以将权证发送给RO 1418以请求凭据的下载。RO 1418可已经使用从POS 1412在1416中发送的权证和/或注册数据(REGDATA)信息来映射REGDATA。在子步骤1426,RO可以请求TDM SSD 1422创建SD和/或TDRO1 1408被过渡到RO。创建的SD可以包含TDRO1 1408的TSIM凭据,这可以使该SD使用其安全服务。
图15示出了根据一种实施方式的可以在过程的步骤3中执行的注册和/或凭据转出。与TDRO1 1408关联的创建的SD(RO1SSD 1500)可以被创建、安装、变得可选择、和/或个性化。TDRO1 1408可以被过渡到RO1SSD 1500,该RO1SSD 1500可以使得其安全服务可用。如图15中的1502所示,所请求的凭据可以被下载到RO1SSD 1500,该RO1SSD 1500可以给予TDRO11408TSIM功能。可能的凭据可以包括认证密钥、完整性密钥、包括IMSI的权证等。请求的凭据可以包括对称密钥对或PKI。
根据一种实施方式,图16示出了通过将凭据从源卡1600移动到目的地卡1602的修改的迁移。在图16中,呈现了凭据从源卡(A)1600移动到目的地卡(B)1602的示例性迁移。经由在两个卡上勾勒出的一系列步骤(不局限于特定次序)示出了该过程。示出的方法反映了在GP中源卡1600与目的地卡1602之间没有直接对等通信的示例性条件。因此,数据的直接传递可以被禁止。在源卡1600上删除、之后在凭据的目的地卡1602上加载和/或安装可以是传递进行的机制。
这里描述的是可以被考虑的关于迁移的假设。例如,在一种实施方式中,远程所有者AP 1604可以针对两个卡是相同的。因此,不存在从一个所有者到另一所有者之间秘密的传递。根据一种实施方式,在迁移开始之前,目的地TD TDRO1 1608的所有权可以被RO 1604获得(例如,经由RTO)。在一种实施方式中,TDRO1 1608的创建和TDRO1 1608到RO1SSD 1610的过渡可以在迁移开始之前进行。RO1SSD 1610和/或TDRO1 1608两者可以在迁移开始时是可选择的。卡A用户1610可以与卡B用户1612不同,以及他们在进行迁移之前都同意迁移。用户可以登录他们各自的设备和/或在协议能够运行完成之前请求迁移。虽然未示出,但多于一个TD可以在卡中一者或两者上被远程所有。因此,在迁移中不涉及的其他TD(例如,远程所有的TD)可以存在。在这一点上,可以假设,出于迁移的目的,其凭据正在被传递的RO恢复(come to)远程所有在目的地卡1602上的TD。
根据一种实施方式,在1614和1615,两个用户(或一个用户)可以登录到他们可以通过RTO和/或请求迁移所有的TD TDDO/U(例如,TDDO/U 1628和TDDO/U 1630)。示例性登录可以包含用于指示哪个TD APP可以被定为迁移的目标的信息。例如,TDRO1 1608可以被定为迁移的目标。
在源卡1600的1616、1618、和/或1620,以及目的地卡1602的步骤1617、1619、和/或1621,关于迁移的各种策略可以被检查。例如,TDDO/U 1628可以对域管理器TD执行TD系统策略检查。在一种单个所有者的实施方式中,APP策略可以对于两个卡是相同的。比较两个卡,可信域系统策略(涉及SDP)和/或卡等级策略可以不同。策略等级可以服从于迁移以使得其可以被允许继续向前进行。
在1622(在目的地1602中的1623),CI SD 1632(在目的地1602中的CI SD 1634)可以向RO 1604授权针对迁移的许可。RO 1604可以在接收到来自两个卡的许可后决定不进行迁移。RO 1604可以在步骤1624中请求OPEN删除源卡1600上的RO1 1607和TDRO1 1606,和/或在步骤1626中OPEN可以执行删除操作。
在步骤1625中,RO 1604可以请求在目的地卡1602上的凭据的加载和/或安装。这些凭据可以是存在在源卡1600上的凭据的副本和/或他们可以被RO 1602所知。示例性凭据包括认证密钥、完整性密钥、以及个性化数据。在安装进行之前,可以对包含凭据的载入文件执行DAP检查。
在一种实施方式中,当应用的关联的SD不被允许过渡到其自身(例如,自关联)时,GP操作环境可以不许可一些可信域特征(例如完整性检查、RTO、注册和/或凭据转出、和/或迁移等)。被自关联的特权可以使能在GP卡应用上的这些THSM/TD特征的实施。更多关于允许的TSIM行为(涉及各种移植选择)的细节在这里被提供。
这里描述了根据一种实施方式的将被移植的TD应用特征的估计,其中CI卡级安全策略可与TSIM SDP几乎一致和/或兼容(例如,如上所述的场景1)。例如,CI和RO可以是相同的,因此他们的策略可以是兼容的。在示例性实施方式中,CI SD可以向TDM SD授权高等级自主性,该TDM SD可位于可信SD层级的顶端。高等级自主性可意味着AMP被授权或DMP被授权。关于在场景1下的移植完整性信任机制,加载时间DAP可以被执行,但运行时间完整性可以不被执行。在一种实施方式中,在场景1下,RTO可信域特征可以在SDP和/或RO的策略之间的TD策略兼容性检查下被移植。例如,在将被所有的可信域中安装的S/W套件可以包括来自载入文件的可执行文件的提取器,该载入文件还可以包含RO策略和/或目的文件,以及当凭据被加载和/或安装时可以使用所述提取器。在场景1下,根据一种实施方式,用户注册和远程凭据转出也可以被允许。例如,策略可以允许RTO执行用户注册和远程凭据转出特征。在执行该特征期间,可以为TD APP创建SD,其中转出可以该TD APP为目标。初始可以与TDM SD关联的APP可以被过渡到新创建的SD,以及凭据可以被安装在新SD中,同时可执行文件可以被提取到TD APP中。根据一种实施方式,TSIM应用迁移特性可以在场景1下被移植和修改。策略兼容性检查可以涉及多个实体,例如源和/或目的地TDD APP;源和/或目的地SDP;源和/或目的地CI SD策略;和/或在涉及两个用户的情况下的用户偏好。在一种实施方式中,源凭据的删除、之后到目的地的拷贝(使用RO作为促成方)可以是用于TSIM应用迁移的机制。
如这里所述,TD应用特征可以在场景2下被移植,其中CI卡级安全策略可以部分地与TD SDP一致。根据场景2,GP卡发布方可以授权在SD树委派管理特权(DMP)的顶部的TD应用安全域。GP卡发布方可以不授权AMP。在这种情况中,TDM SD过渡到其自身(和/或自关联)是可能。这样,TDM SD可以根据其自身的配置管理系统来配置自身。如果自关联确实发生了,则SD可以具有AMP的等同物。但是,根据一种实施方式,在没有接收到来自CI和/或控制当局的针对这种操作的令牌时,应用SD可以不被过渡。配置和/或状态改变可以涉及CI的接收生成,以便跟踪卡上的这些改变。因此,当无AMP被授权时,CI可以监督TD APP活动性。针对这一选择,可以假设不存在自关联,以及因此TDM SD可能不具有与在AMP的情况下其将具有的自主性相同的自主性。域管理器TD APP可以不以在这里所述的特定示例中使用的自主性来管理远程所有的TD。
可信域特征可以在场景2下被移植。关于在场景2下的完整性信任机制,加载时间DAP可以被执行,但运行时间完整性检查可不被执行。例如,如果在场景2下RO是可信的,CI和RO可以是不同的和/或他们的策略可以具有一定等级的兼容性。在一种实施方式中,在场景2下,RTO特征可以在SDP和/或RO的策略之间的普通TD策略兼容性检查下被允许。在一种示例实施方式中,与在场景1中相比,CI SD安全策略在场景2下更有可能不允许RTO程序。安装在将被所有的可信域中的S/W套件可以包括来自载入文件的可执行文件的提取器,该载入文件可以包含RO策略和/或目的文件,以及可以在凭据被加载和/或安装时使用所述提取器。假定在DMP的情况下,CI可以具有令牌验证和/或接收生成特权,CI SD可以具有对加载过程的更多控制。在一种实施方式中,用户注册和/或远程凭据转出特征在场景2下被允许。例如,可以为TD APP创建SD,其中转出可以该TD APP为目标。初始可以与TDM SD关联的APP可以被过渡到新创建的SD。凭据可以被安装在创建的SD中,同时可执行文件可以被提取到TD APP中。虽然提取机制可以绕开对S/W的引入的GP限制而工作,但是对于场景2,很有可能在S/W开始执行时APP是锁定的。根据一种实施方式,TSIM应用迁移特征可以在场景2下被移植和修改。例如,在源侧可能没有障碍但在目的地侧可能存在策略阻挡器(stopper)。策略兼容性检查可以涉及多个实体,例如源和/或目的地TDD APP;源和/或目的地SDP;源和/或目的地CI SD策略;和/或在涉及两个用户的情况下的用户偏好。在一种实施方式中,在场景2下,源凭据的删除、之后到目的地的拷贝(使用RO作为促成方)可以是用于TSIM应用迁移的机制。
如这里所描述的,TD应用特征可以在场景3下被移植,其中CI卡级安全策略与TDSDP最小地一致。在场景3中,CI和/或RO可以是不同的,和/或关于RO的信任等级可以是最小的,因此他们的策略可以是最小兼容的。根据场景3,GP CI可以不授权TD SD DM特权。在这种安全机制就位的情况下,应用内容可以以CI的监督来被处理。在加载应用和/或配置文件之前,可以由CI SD提供和/或验证令牌。CI SD可以是负责执行配置文件和应用的加载和/或安装的实体。例如由应用提供方或RO AP请求的操作可以通过CI SD。这是这里描述的更限制的移植选择中的一者。
可信域特征可以在场景3下被移植。例如,完整性信任机制可以被移植。加载时间DAP可以被执行,但运行时间完整性检查可以不被执行。在一种实施方式中,在场景3下,RTO可以在SDP和/或RO的策略之间的普通TD策略兼容性检查下被允许。对于场景3,很多TD APP能力可以被减少以使多个特征可以不被允许。因此,至少一个TD可以被远程所有。在将被所有的可信域中安装的S/W套件可以包括来自载入文件的可执行文件的提取器,该载入文件可以包含RO策略和/或目的文件,以及当凭据被加载和/或安装时可以使用所述提取器。根据场景3下的一种实施方式,这些文件的加载可以是CI SD的直接责任。在场景3下的一种实施方式中,假定RTO可能发生的不太频繁,用户注册和远程凭据转出可信域特征可以被允许,但可能发生的不太频繁,以及针对RTO使用的策略检查可以为该特征提供向前(go-ahead)。在该特征的执行期间,可以为TD APP创建新SD,其中转出可以该TD APP为目标。初始可以与TDM SD关联的APP可以被过渡到新创建的SD,并且凭据可以被安装在新SD中,同时可执行文件可以被提取到TD APP中。虽然提取机制可以绕开对新S/W的引入的GP限制而工作,但是对于场景3,与场景2相比,很有可能在S/W开始执行时APP是锁定的。根据一种实施方式,TSIM迁移特征可以在场景3下被允许但被修改。例如,在目的地上的原有RO(不同于引起迁移的RO)的存在可以阻止TSIM迁移过程运行完成。
根据一种实施方式,THSM/TD功能可以包含信任元件,其可以取决于对可信环境至关重要的一些信任根(例如,RTR、RTV、RTS和/或RTM)。因此,对于上述TD特征的移植运用,特别是关于PTO,该信任支持机制的缺少可以减弱卡的安全结构。例如,从远程所有者的立场来看,卡的安全结构可以被减弱。根据固定信任根,证实卡配置的完整性的能力可以是RO的重要策略考虑。即使CI确信卡的内容的完整性,RO可不担保相同等级的确信或信任。这可以是对决定其是否打算继续进行RTO的RO的潜在的抑制因素。
根据一种实施方式,完整性检查可以由使用与移动可信模块(MTM)能力一致的信任机制的任何设备使用。因此,THSM/TD可不像其在GP环境中关于证明信任等级被设计的那样运行。然而如这里所述,一旦在CI SD和/或给定的AMP的指导下TDM的SD已经被创建和/或个性化,安全域层级可以被建立。如果被写入到SDP中的TD系统级策略执行正在被加载到卡上的TD文件的DAP检查,则减弱的信任等级可以被缓解。此外,当其已被授权AMP时,即使其不需要使用令牌验证和/或接收生成,但是,DMP SD可以使用这种机制,和/或使他们成为其策略需求的一部分。因此,在以这种方式处理RTO和凭据转出文件,并且保证这种机制通过策略SDP策略需求而就位的情况下,RO可以具有足够的信任等级和卡配置来继续进行RTO和凭据下载。例如,就位的安全过程可以充当MTM能力的替代。
对于场景2和/或场景3,可以存在对CI SD中的卡管理器策略的依赖,以及在TDMSD的部分上较少的自主性。CI可以具有令牌验证特权和/或接收生成特权,以及因此可以对加载过程进行直接监督。对于除了CI之外的远程所有者,策略协商可以面向卡管理器。这并不意味着在信任方面的较低的安全性。CI甚至可以请求施加更加严格的安全程序。抛开信任问题,这可能导致对远程TD所有者的数量的限制。
虽然在上文中描述了采用特定组合的特征和元素,但是本领域普通技术人员将会了解,每一个特征既可以单独使用,也可以与其他特征和元素进行任何组合。此外,这里描述的方法可以在引入到计算机可读介质中由计算机或处理器执行的计算机程序、软件或固件中实施。关于计算机可读介质的示例包括电信号(通过有线或无线连接传送)以及计算机可读存储介质。关于计算机可读存储介质的示例包括但不局限于只读存储器(ROM)、随机存取存储器(RAM)、寄存器、缓冲存储器、半导体存储设备、诸如内部硬盘和可移动磁盘之类的磁介质、磁光介质、以及诸如CD-ROM盘和数字多功能光盘(DVD)之类的光介质。与软件相关联的处理器可以用于实施在WTRU、UE、终端、基站、RNC或任何主计算机中使用的射频收发信机。
Claims (10)
1.一种无线通信设备,该无线通信设备包括:
多个域,所述多个域驻留在一个或多个设备上,其中所述多个域由至少一个平台支持,所述多个域中的每个域包括在所述至少一个平台上执行的计算资源的配置并且所述多个域中的每个域具有域所有者,其中所述多个域中的每个域被配置成为该域的域所有者执行功能,以及其中每个域所有者能够指定该域所有者的域的操作策略;
安全域,该安全域是所述多个域中的一者,其中所述安全域被配置成确定外部利益相关者与所述安全域之间的信任等级;以及
全系统域管理器,该全系统域管理器驻留在所述多个域中的另一个域上,其中所述全系统域管理器所驻留的域附属于所述安全域,所述全系统域管理器被配置成基于接收自所述安全域的特权等级来对所述多个域中的一个或多个附属域执行所述策略,并且其中所述特权等级基于所述外部利益相关者与所述安全域之间的所述信任等级,
其中,当所述安全域的策略与所述全系统域管理器所驻留的所述域的策略相冲突时,所述全系统域管理器还被配置成执行所述安全域的所述策略。
2.根据权利要求1所述的设备,其中所述外部利益相关者是所述一个或多个设备上的应用的应用提供方。
3.根据权利要求2所述的设备,其中所述安全域是由卡发布方所有的卡发布方安全域。
4.根据权利要求1所述的设备,其中所述外部利益相关者包括所述一个或多个附属域中的至少一者的所有者。
5.根据权利要求1所述的设备,其中所述安全域和所述全系统域管理器驻留在全球平台(GP)兼容卡上。
6.根据权利要求1所述的设备,其中所述多个域驻留在全球平台(GP)兼容卡上,每个域被配置成与一个或多个卡外实体通信。
7.根据权利要求1所述的设备,其中所述特权等级包括委派管理特权和认可管理特权中的至少一者。
8.根据权利要求7所述的设备,其中所述委派管理特权和所述认可管理特权各自被配置成使得所述全系统域管理器能够以对应的自主性等级来执行所述策略。
9.根据权利要求8所述的设备,其中对应于所述认可管理特权的自主性等级大于对应于所述委派管理特权的自主性等级。
10.根据权利要求1所述的设备,其中每个域与状态相关联,以及其中每个关联的状态是下列中的一者:安装状态、可选择状态、个性化状态、和锁定状态。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US42016210P | 2010-12-06 | 2010-12-06 | |
| US61/420,162 | 2010-12-06 | ||
| CN201180066662.3A CN103348652B (zh) | 2010-12-06 | 2011-12-06 | 具有域信任评估和域策略管理功能的智能卡 |
Related Parent Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201180066662.3A Division CN103348652B (zh) | 2010-12-06 | 2011-12-06 | 具有域信任评估和域策略管理功能的智能卡 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN106355048A true CN106355048A (zh) | 2017-01-25 |
Family
ID=45509637
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201180066662.3A Expired - Fee Related CN103348652B (zh) | 2010-12-06 | 2011-12-06 | 具有域信任评估和域策略管理功能的智能卡 |
| CN201610752853.XA Pending CN106355048A (zh) | 2010-12-06 | 2011-12-06 | 具有域信任评估和域策略管理功能的智能卡 |
Family Applications Before (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201180066662.3A Expired - Fee Related CN103348652B (zh) | 2010-12-06 | 2011-12-06 | 具有域信任评估和域策略管理功能的智能卡 |
Country Status (6)
| Country | Link |
|---|---|
| US (4) | US9363676B2 (zh) |
| EP (1) | EP2649772B1 (zh) |
| JP (3) | JP5763780B2 (zh) |
| KR (2) | KR101652570B1 (zh) |
| CN (2) | CN103348652B (zh) |
| WO (1) | WO2012078570A2 (zh) |
Families Citing this family (24)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20120130838A1 (en) * | 2006-09-24 | 2012-05-24 | Rfcyber Corp. | Method and apparatus for personalizing secure elements in mobile devices |
| US9647984B2 (en) * | 2010-08-05 | 2017-05-09 | Gemalto Sa | System and method for securely using multiple subscriber profiles with a security component and a mobile telecommunications device |
| US9589145B2 (en) | 2010-11-24 | 2017-03-07 | Oracle International Corporation | Attaching web service policies to a group of policy subjects |
| US8650250B2 (en) | 2010-11-24 | 2014-02-11 | Oracle International Corporation | Identifying compatible web service policies |
| KR101652570B1 (ko) | 2010-12-06 | 2016-09-09 | 인터디지탈 패튼 홀딩스, 인크 | 도메인트러스트 평가 및 도메인 정책 관리 기능들을 가지는 스마트 카드 |
| US8560819B2 (en) | 2011-05-31 | 2013-10-15 | Oracle International Corporation | Software execution using multiple initialization modes |
| US8914843B2 (en) | 2011-09-30 | 2014-12-16 | Oracle International Corporation | Conflict resolution when identical policies are attached to a single policy subject |
| CN102801705B (zh) * | 2012-06-25 | 2014-12-10 | 飞天诚信科技股份有限公司 | 一种java卡上安全域的实现方法 |
| US9264413B2 (en) * | 2012-12-06 | 2016-02-16 | Qualcomm Incorporated | Management of network devices utilizing an authorization token |
| US9501666B2 (en) * | 2013-04-29 | 2016-11-22 | Sri International | Polymorphic computing architectures |
| US9590884B2 (en) * | 2013-07-03 | 2017-03-07 | Facebook, Inc. | Native application hotspot |
| CN104301284A (zh) * | 2013-07-15 | 2015-01-21 | 中国银联股份有限公司 | 多应用智能卡及智能卡多应用管理方法 |
| EP2911076A1 (en) * | 2014-02-24 | 2015-08-26 | Mastercard International Incorporated | Biometric authentication |
| US9973380B1 (en) | 2014-07-10 | 2018-05-15 | Cisco Technology, Inc. | Datacenter workload deployment using cross-domain global service profiles and identifiers |
| GB201506045D0 (en) * | 2015-04-09 | 2015-05-27 | Vodafone Ip Licensing Ltd | SIM security |
| CN108229213B (zh) * | 2016-12-15 | 2020-07-07 | 中国移动通信有限公司研究院 | 访问控制方法、系统及电子设备 |
| KR101798059B1 (ko) * | 2016-12-21 | 2017-11-16 | 주식회사 한국스마트카드 | 동적가상카드의 생성 및 폐기 방법 |
| US10659464B2 (en) * | 2017-05-10 | 2020-05-19 | Microsoft Technology Licensing, Llc | Securely authenticating a bot user |
| US11102002B2 (en) * | 2018-12-28 | 2021-08-24 | Dell Products, L.P. | Trust domain isolation management in secured execution environments |
| US20200364354A1 (en) * | 2019-05-17 | 2020-11-19 | Microsoft Technology Licensing, Llc | Mitigation of ransomware in integrated, isolated applications |
| US11995174B2 (en) * | 2020-06-12 | 2024-05-28 | Strata Identity, Inc. | Systems, methods, and storage media for migrating identity information across identity domains in an identity infrastructure |
| EP4226662A1 (en) * | 2020-10-09 | 2023-08-16 | Telefonaktiebolaget LM Ericsson (publ) | Credential handling of an iot safe applet |
| JP7334718B2 (ja) * | 2020-12-21 | 2023-08-29 | 大日本印刷株式会社 | セキュアエレメント,セキュアエレメントにおける特権の割り当て管理方法およびicチップ |
| CN113542266B (zh) * | 2021-07-13 | 2022-09-27 | 中国人民解放军战略支援部队信息工程大学 | 一种基于云模型的虚拟网元信任度量方法及系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1625105A (zh) * | 2003-12-02 | 2005-06-08 | 国际商业机器公司 | 信息处理装置、服务器装置、信息处理装置的方法及服务器装置的方法 |
| US20050257244A1 (en) * | 2004-05-13 | 2005-11-17 | Hewlett-Packard Development Company, L.P. | Method and apparatus for role-based security policy management |
| CN101360121A (zh) * | 2007-07-31 | 2009-02-04 | 华为技术有限公司 | 设备管理中权限控制的方法、系统及终端 |
| CN101729502A (zh) * | 2008-10-23 | 2010-06-09 | 中兴通讯股份有限公司 | 密钥分发方法和系统 |
Family Cites Families (27)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1021801B1 (en) * | 1997-03-24 | 2004-11-03 | Visa International Service Association | A system and method for a multi-application smart card which can facilitate a post-issuance download of an application onto the smart card |
| US6330670B1 (en) * | 1998-10-26 | 2001-12-11 | Microsoft Corporation | Digital rights management operating system |
| WO2000025278A1 (en) * | 1998-10-27 | 2000-05-04 | Visa International Service Association | Delegated management of smart card applications |
| US7140039B1 (en) * | 1999-06-08 | 2006-11-21 | The Trustees Of Columbia University In The City Of New York | Identification of an attacker in an electronic system |
| JP2001325172A (ja) * | 2000-05-17 | 2001-11-22 | Fujitsu Ltd | 通信設定管理システム |
| JP3817147B2 (ja) * | 2001-04-10 | 2006-08-30 | 日本電信電話株式会社 | Icカード運用管理方法及びシステム |
| ES2420758T3 (es) * | 2002-08-19 | 2013-08-26 | Research In Motion Limited | Sistema y método para un control seguro de los recursos de dispositivos de comunicación móvil inalámbrica |
| CN1805336A (zh) * | 2005-01-12 | 2006-07-19 | 北京航空航天大学 | 面向asp模式的单一登录方法及系统 |
| KR101215343B1 (ko) * | 2006-03-29 | 2012-12-26 | 삼성전자주식회사 | 지역 도메인 관리 모듈을 가진 장치를 이용하여 도메인을 지역적으로 관리하는 장치 및 방법 |
| KR101217240B1 (ko) * | 2006-04-18 | 2012-12-31 | 주식회사 팬택앤큐리텔 | 사용자 도메인 관리를 위한 도메인 정책 전송방법 |
| US8307404B2 (en) * | 2007-04-16 | 2012-11-06 | Microsoft Corporation | Policy-management infrastructure |
| JP5196883B2 (ja) * | 2007-06-25 | 2013-05-15 | パナソニック株式会社 | 情報セキュリティ装置および情報セキュリティシステム |
| JP2009033354A (ja) | 2007-07-25 | 2009-02-12 | Panasonic Corp | 通信システム |
| DE102007044905A1 (de) | 2007-09-19 | 2009-04-09 | InterDigital Patent Holdings, Inc., Wilmington | Verfahren und Vorrichtung zur Ermöglichung einer Dienstnutzung und Feststellung der Teilnehmeridentität in Kommunikationsnetzen mittels softwarebasierten Zugangsberechtigungsausweisen (vSIM) |
| US8296820B2 (en) * | 2008-01-18 | 2012-10-23 | International Business Machines Corporation | Applying security policies to multiple systems and controlling policy propagation |
| US8230069B2 (en) * | 2008-03-04 | 2012-07-24 | International Business Machines Corporation | Server and storage-aware method for selecting virtual machine migration targets |
| WO2010027765A2 (en) * | 2008-08-25 | 2010-03-11 | Interdigital Patent Holdings, Inc. | Universal integrated circuit card having a virtual subscriber identity module functionality |
| KR100997802B1 (ko) * | 2008-10-20 | 2010-12-01 | 한국전자통신연구원 | 정보 단말기의 보안 관리 장치 및 방법 |
| CN101729246B (zh) * | 2008-10-24 | 2012-02-08 | 中兴通讯股份有限公司 | 密钥分发方法和系统 |
| CN101729244B (zh) | 2008-10-24 | 2011-12-07 | 中兴通讯股份有限公司 | 密钥分发方法和系统 |
| EP2182439A1 (en) * | 2008-10-28 | 2010-05-05 | Gemalto SA | Method of managing data sent over the air to an applet having a restricted interface |
| EP2199993A1 (en) * | 2008-12-17 | 2010-06-23 | Gemalto SA | Method and token for managing one processing relating to an application supported or to be supported by a token |
| EP2422503B1 (en) | 2009-04-20 | 2015-03-04 | InterDigital Patent Holdings, Inc. | System of multiple domains and domain ownership |
| KR20160108600A (ko) | 2009-10-15 | 2016-09-19 | 인터디지탈 패튼 홀딩스, 인크 | 가입 기반 서비스에 액세스하기 위한 등록 및 크리덴셜 롤 아웃 |
| CN103081432B (zh) * | 2010-03-02 | 2016-04-13 | 交互数字专利控股公司 | 可信硬件订阅模块间证书和/或域的迁移 |
| EP2453377A1 (en) * | 2010-11-15 | 2012-05-16 | Gemalto SA | Method of loading data into a portable secure token |
| KR101652570B1 (ko) | 2010-12-06 | 2016-09-09 | 인터디지탈 패튼 홀딩스, 인크 | 도메인트러스트 평가 및 도메인 정책 관리 기능들을 가지는 스마트 카드 |
-
2011
- 2011-12-06 KR KR1020137017488A patent/KR101652570B1/ko active IP Right Grant
- 2011-12-06 EP EP11811205.1A patent/EP2649772B1/en not_active Not-in-force
- 2011-12-06 WO PCT/US2011/063423 patent/WO2012078570A2/en active Application Filing
- 2011-12-06 CN CN201180066662.3A patent/CN103348652B/zh not_active Expired - Fee Related
- 2011-12-06 KR KR1020157017440A patent/KR20150085101A/ko active IP Right Grant
- 2011-12-06 US US13/991,530 patent/US9363676B2/en not_active Expired - Fee Related
- 2011-12-06 CN CN201610752853.XA patent/CN106355048A/zh active Pending
- 2011-12-06 JP JP2013543248A patent/JP5763780B2/ja not_active Expired - Fee Related
-
2015
- 2015-06-11 JP JP2015118400A patent/JP5993064B2/ja not_active Expired - Fee Related
-
2016
- 2016-06-06 US US15/173,933 patent/US20160283725A1/en not_active Abandoned
- 2016-06-06 US US15/173,950 patent/US20160286403A1/en not_active Abandoned
- 2016-08-18 JP JP2016160718A patent/JP2017041252A/ja active Pending
-
2017
- 2017-12-14 US US15/842,594 patent/US20180121661A1/en not_active Abandoned
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1625105A (zh) * | 2003-12-02 | 2005-06-08 | 国际商业机器公司 | 信息处理装置、服务器装置、信息处理装置的方法及服务器装置的方法 |
| US20050257244A1 (en) * | 2004-05-13 | 2005-11-17 | Hewlett-Packard Development Company, L.P. | Method and apparatus for role-based security policy management |
| CN101360121A (zh) * | 2007-07-31 | 2009-02-04 | 华为技术有限公司 | 设备管理中权限控制的方法、系统及终端 |
| CN101729502A (zh) * | 2008-10-23 | 2010-06-09 | 中兴通讯股份有限公司 | 密钥分发方法和系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP2649772B1 (en) | 2018-07-04 |
| US9363676B2 (en) | 2016-06-07 |
| JP5993064B2 (ja) | 2016-09-14 |
| KR20150085101A (ko) | 2015-07-22 |
| CN103348652B (zh) | 2016-09-28 |
| JP5763780B2 (ja) | 2015-08-12 |
| CN103348652A (zh) | 2013-10-09 |
| JP2017041252A (ja) | 2017-02-23 |
| JP2014505921A (ja) | 2014-03-06 |
| US20180121661A1 (en) | 2018-05-03 |
| JP2015165431A (ja) | 2015-09-17 |
| WO2012078570A2 (en) | 2012-06-14 |
| US20140179271A1 (en) | 2014-06-26 |
| US20160283725A1 (en) | 2016-09-29 |
| KR101652570B1 (ko) | 2016-09-09 |
| KR20130097230A (ko) | 2013-09-02 |
| EP2649772A1 (en) | 2013-10-16 |
| US20160286403A1 (en) | 2016-09-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103348652B (zh) | 具有域信任评估和域策略管理功能的智能卡 | |
| EP3706022B1 (en) | Permissions policy manager to configure permissions on computing devices | |
| JP6092998B2 (ja) | 取引セキュリティー強化のためのシステムおよび方法 | |
| US11818129B2 (en) | Communicating with client device to determine security risk in allowing access to data of a service provider | |
| US9386045B2 (en) | Device communication based on device trustworthiness | |
| RU2675902C2 (ru) | Способ авторизации операции, предназначенной для выполнения на заданном вычислительном устройстве | |
| RU2673969C2 (ru) | Устройство мобильной связи и способ работы с ним | |
| CN102405630B (zh) | 多个域和域所有权的系统 | |
| US20200287910A1 (en) | Monitoring security of a client device to provide continuous conditional server access | |
| KR20160054556A (ko) | 모바일 통신 디바이스 및 그 작동 방법 | |
| US9959398B1 (en) | Dynamic user authentication and authorization | |
| Anwar et al. | Redesigning secure element access control for NFC enabled Android smartphones using mobile trusted computing | |
| WO2019226510A1 (en) | Methods and systems for multiple independent roots of trust | |
| US20210173902A1 (en) | Terminal hardware configuration system | |
| EP3817327A1 (en) | Monitoring security of a client device to provide continuous conditional server access | |
| WO2021134712A1 (zh) | 一种负载认证方法及系统、可移动平台、负载、转接装置 | |
| CN106888263B (zh) | 自动读取设备参数的方法和Android工控系统 | |
| WO2022043019A1 (en) | Enrollment of an enrollee device to a wireless network | |
| Lee | The system engineering approach: Taiwan navy incorporation of mobile devices (smartphone) into its force structure | |
| Gehrmann | ARIES WP3–Needs and Requirements Analyses |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20170125 |