CN109643282A - 用于生成、存储、管理和使用与便携式电子设备相关联的一个或多个数字机密的系统和方法 - Google Patents
用于生成、存储、管理和使用与便携式电子设备相关联的一个或多个数字机密的系统和方法 Download PDFInfo
- Publication number
- CN109643282A CN109643282A CN201780035113.7A CN201780035113A CN109643282A CN 109643282 A CN109643282 A CN 109643282A CN 201780035113 A CN201780035113 A CN 201780035113A CN 109643282 A CN109643282 A CN 109643282A
- Authority
- CN
- China
- Prior art keywords
- highly safe
- thim
- portable electronic
- safe memory
- electronic device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title description 36
- 230000015654 memory Effects 0.000 claims abstract description 77
- 238000004891 communication Methods 0.000 claims abstract description 39
- 230000003993 interaction Effects 0.000 claims description 7
- 241000208340 Araliaceae Species 0.000 claims 1
- 235000005035 Panax pseudoginseng ssp. pseudoginseng Nutrition 0.000 claims 1
- 235000003140 Panax quinquefolius Nutrition 0.000 claims 1
- 235000008434 ginseng Nutrition 0.000 claims 1
- 238000003860 storage Methods 0.000 description 19
- 230000007246 mechanism Effects 0.000 description 18
- 238000007726 management method Methods 0.000 description 15
- 230000006870 function Effects 0.000 description 11
- 230000008569 process Effects 0.000 description 10
- 238000004519 manufacturing process Methods 0.000 description 7
- 238000013475 authorization Methods 0.000 description 5
- 239000000243 solution Substances 0.000 description 5
- 230000004913 activation Effects 0.000 description 4
- 230000008901 benefit Effects 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 3
- 238000013461 design Methods 0.000 description 3
- 238000009826 distribution Methods 0.000 description 3
- 238000010295 mobile communication Methods 0.000 description 3
- 230000004044 response Effects 0.000 description 3
- 241001269238 Data Species 0.000 description 2
- 238000004458 analytical method Methods 0.000 description 2
- 239000003795 chemical substances by application Substances 0.000 description 2
- 238000012217 deletion Methods 0.000 description 2
- 230000037430 deletion Effects 0.000 description 2
- 238000012423 maintenance Methods 0.000 description 2
- 238000006116 polymerization reaction Methods 0.000 description 2
- 230000004224 protection Effects 0.000 description 2
- 238000012360 testing method Methods 0.000 description 2
- 244000208874 Althaea officinalis Species 0.000 description 1
- 235000006576 Althaea officinalis Nutrition 0.000 description 1
- 101100054307 Arabidopsis thaliana ABCG3 gene Proteins 0.000 description 1
- PEDCQBHIVMGVHV-UHFFFAOYSA-N Glycerine Chemical compound OCC(O)CO PEDCQBHIVMGVHV-UHFFFAOYSA-N 0.000 description 1
- 230000003213 activating effect Effects 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 238000012550 audit Methods 0.000 description 1
- 239000002585 base Substances 0.000 description 1
- 239000003637 basic solution Substances 0.000 description 1
- 230000003796 beauty Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 235000009508 confectionery Nutrition 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 230000003247 decreasing effect Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 235000013399 edible fruits Nutrition 0.000 description 1
- 230000005611 electricity Effects 0.000 description 1
- 239000004744 fabric Substances 0.000 description 1
- 231100001261 hazardous Toxicity 0.000 description 1
- 230000005764 inhibitory process Effects 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 235000001035 marshmallow Nutrition 0.000 description 1
- 239000000463 material Substances 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000003334 potential effect Effects 0.000 description 1
- 238000012797 qualification Methods 0.000 description 1
- 238000009877 rendering Methods 0.000 description 1
- 238000005096 rolling process Methods 0.000 description 1
- 238000009331 sowing Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6245—Protecting personal data, e.g. for financial or medical purposes
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/45—Structures or tools for the administration of authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/606—Protecting data by securing the transmission between two devices or processes
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6209—Protecting access to data via a platform, e.g. using keys or access control rules to a single file or object, e.g. in a secure envelope, encrypted and accessed using a key, or with access control rules appended to the object itself
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/71—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
- G06F21/72—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information in cryptographic circuits
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
- H04L9/0897—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage involving additional devices, e.g. trusted platform module [TPM], smartcard or USB
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
- H04L2209/805—Lightweight hardware, e.g. radio-frequency identification [RFID] or sensor
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Bioethics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mathematical Physics (AREA)
- Medical Informatics (AREA)
- Databases & Information Systems (AREA)
- Storage Device Security (AREA)
- Medicines Containing Antibodies Or Antigens For Use As Internal Diagnostic Agents (AREA)
Abstract
一种用于生成、存储、管理和使用与便携式电子设备相关联的一个或多个数字机密的系统。该系统包括高度安全存储器,该高度安全存储器仅存储一个或多个主密钥;密钥库,该密钥库在该便携式电子设备中在该高度安全存储器外部实现;一个或多个加密小应用程序,该一个或多个加密小应用程序在该便携式电子设备中在该高度安全存储器外部实现;以及高度可信中间模块(ThIM),该高度可信中间模块在该高度安全存储器外部实现,该ThIM建立并管理该高度安全存储器、该密钥库、该一个或多个加密小应用程序以及至少一个第三方应用程序之间的高度可信的通信通道,其中,该ThIM轮询该便携式电子设备、该高度安全存储器、该密钥库、该一个或多个加密小应用程序,以确定该便携式电子设备中的每个部件的信任得分、初始化成本和交易成本。
Description
相关申请的交叉引用
本申请要求2016年4月14日提交的美国临时申请序列号62/322,288的优先权,该申请的全部内容在此通过引用明确并入本文。
技术领域
本发明总体上涉及数字机密的保护和使用,并且更具体地,涉及一种用于向便携式通信设备上的各种应用提供安全数据通信功能的系统和方法。
背景技术
电子控制点被广泛使用。电子控制点是可操作地接收电子凭证并随后通过接受支付、提供访问、其组合以及其它响应来响应于接收到这种电子凭证而起作用的设备。例如,销售设备点是一种类型的电子控制点。销售终端点可操作地接收电子支付凭证、将电子支付凭证和其它交易识别信息发送给发行商、从发行商接收用于指示金融交易是被授权还是被拒绝以及在交换持有电子凭证的消费者所寻求的商品或服务时授权接受电子支付的位置的消息。
存在许多类型的电子控制点,包括但不限于销售终端点/设备点、自动取款机(ATM)、收费站、电子门/点火锁(在工作场所、酒店和其它住所中并且在车辆之中和之上)、保险箱、十字转门(例如,在中转站、娱乐设施、音乐会、运动会和其它娱乐场所处)、停车场门禁、自动售货机,并且甚至管理忠诚度计划处理。还预期的是,电子控制点可仅读取电子凭证并向进而被授予或拒绝访问的人提供信息。这种布置的一个实例在机场是众所周知的;其中安全保安将电子凭证放置在读取代码(即电子凭证)的光学读取器上,随后提供与读取的电子数据相关的人类可理解的信息,该信息随后由人工代理使用以确定搜索参数和对机场的整体访问。
使用基于RFID的感应卡来无线呈现电子凭证是众所周知的。例如,工人使用RFID密钥卡来经由电子门锁进入他们的工作场所。司机使用RFID通行证来在高速公路速度下支付通行费(另一种类型的电子控制点)。出于识别的目的,RFID(即:射频识别)使用电磁波来在电子控制点与物体(例如电子密钥卡)之间交换数据。
一种特定类型的RFID称为近场通信(NFC)。NFC波仅在短距离(大约几厘米)和高频下传输。NFC启用的设备已用于在销售终端点进行支付并且提供访问控制。NFC是开放标准(参见例如ISO/IEC 18092),该标准规定了调制方案、编码、传输速度以及RF接口。NFC提供比通用RFID更好的安全性,以用于呈现电子凭证。这种改进的安全性在金融交易和许多类型的访问控制中是特别需要的。
因此,出于仿真电子凭证的目的,对于诸如智能卡、智能电话、智能手表、遥控钥匙、健身追踪器、个人计算机以及其它移动设备的便携式电子设备,包括一个或多个短距离电磁通信发射器(或者更优选地,收发器)变得越来越普遍。
除了一个或多个短距离电磁通信发射器/收发器之外,几乎所有便携式电子设备(并且尤其是前一段中阐述的类型)至少包括微处理器和存储器。存储器可包括ROM、RAM以及一个或多个可移除存储卡。大容量存储器为计算机可读指令和其它数据提供存储,包括基本输入/输出系统(“BIOS”)以及用于控制便携式电子设备的操作的操作系统。这些便携式电子设备中的许多还包括用户界面,该用户界面为消费者提供接收信息的手段,并且进而输入信息或以其它方式响应所接收的信息。如目前所理解的(不意图将本公开限制于此),该用户界面可包括以下各项中的一项或多项:麦克风、音频扬声器、触觉界面、图形显示器、小键盘、键盘、指针设备和/或触摸屏。
这些便携式电子设备也经常具有或者另外能够可操作地连接到一个或多个网络。可由移动网络运营商(通常称为MNO)向便携式电子设备提供这样一种网络。移动网络运营商通常使用一种或多种技术来在移动网络与移动网络运营商之间提供语音和数据发送和接收能力,该一种或多种技术诸如全球移动通信系统(GSM)、3G、4G;4G LTE、码分多址(CDMA)、时分多址(TDMA)、用户数据报协议(UDP)、传输控制协议/因特网互联协议(TCP/IP)、SMS、通用分组无线业务(GPRS)、WAP、超宽带(UWB)、IEEE 802.16全球微波互联接入(WiMax)、SIP/RTP或者多种其它无线通信协议中的任何一种。许多这些便携式电子设备还具有下载和执行面向消费者的应用程序的能力。
一些便携式电子设备还可包括一个或多个位置确定设备,该位置确定设备可确定便携式电子设备在地球表面上的物理坐标(通常根据其纬度、经度和海拔)。该位置确定设备最常依赖于GPS技术来确定设备的位置,因此这些设备可互换地在本文中被称为GPS收发器;然而,应当理解,该位置接收器可另外(或替代地)采用其它地理定位机制,包括但不限于三角测量、辅助GPS(AGPS)、E-OTD、CI、SAI、ETA、BSS等,以确定便携式电子设备在地球表面上的物理位置。
许多便携式电子设备、尤其是便携式电子通信设备包括专用于识别该设备的存储器。例如,在智能电话中,设备识别存储器通常是SIM卡。如通常理解的,这些SIM卡将包含设备的唯一序列号(ESN)、国际移动用户识别码(IMSI)、安全认证和加密信息、与本地网络相关的临时信息、用户可访问的服务的列表、以及两个密码(通常使用的PIN和用于解锁的PUK)。如本领域中了解本说明书、附图和权利要求的那些人所理解的,可根据设备的类型、其主要网络类型、归属移动网络运营商等来在设备识别存储器中维护其它信息。
使用与便携式电子设备相关联的电子凭证经常涉及安全问题。如果窃贼能够获得电子凭证的副本,那么该失窃凭证所导致的任何滥用行为将不仅会对预期的凭证终端用户造成问题,还会对凭证发行商和许多第三方(诸如商家、财产管理者)以及依靠安全电子凭证来准许电子凭证持有人进行访问的其他人造成问题。保护这些电子凭证的最基本解决方案是使用加密方法来掩盖其实际值。
密码术通常描述了称为加密的多种方法,以用于将普通内容(例如文本)加扰成掩盖内容,使得原始内容稍后可由知道如何将掩盖信息解密回其普通内容的另一个人来进行恢复。解密几乎总是需要知道用于加密(即掩盖)数据的方法,以及由加密方法用来改变掩盖性的数据。这种可变数据通常称为加密密钥。因此,想象一下你是敌后的侦察兵,并且希望得到一条消息返回给指挥官。如果你已提前规划了可能性,那么你和指挥官可能已决定通过将字母向前或向后均匀地移动一定数量的位置来掩盖你的消息。在这个简单的实例中,无论你决定向后还是向前移动都是加密方法,并且位置的数量可认为是加密密钥。按照这个实例,如果你决定统一向前移动两个字母,当你想要传达“A”时,你的加密方法会告诉你写“C”,而当你想要传达“B”时,你的加密方法会告诉你写“D”,因为你的消息的接收者将知道通过向后移动两个位置来解密你的消息。正如你所怀疑的那样,一旦你的敌人获得足够的加密材料来搜索模式,这种简单的加密形式将会相对容易地被破解。现代加密要复杂得多,通常需要计算机(如果不是超级计算机)来加密和解密数据。然而,基本概念仍然是相同的,即存在加密方法、加密密钥以及转换成隐藏文本的普通内容。
当智能手机出现时,应当理解将需要安全消息传送。该安全性最初与安全元件(SE)一起提供。当今,GlobalPlatform标准定义了SE的配置和管理。具体地,它将安全元件(SE)定义为防篡改的微控制器(通常是单个芯片),该微控制器安全地托管由同样本地且安全地存储到SE的应用程序(或小应用程序)使用的机密电子凭证(即机密和加密数据)。进而,SE提供了一种安全环境,其中小应用程序可与机密和加密数据相关联地安全地操作,同时防止存储在内部的那些电子凭证变得对外部可见。SE进一步控制存储在SE、可信来源以及第三方(诸如商家、财产管理者和运输代理商)上的应用程序之间的交互。SE可具有不同的形态因子:通用集成电路卡(UICC)、嵌入式SE和microSD卡。目前,至少存在少数公司生产符合GlobalPlatform标准的安全元件。毋庸置疑,一些制造商比其它制造商更好。此外,一些SE制造商生产的SE超过了标准的最低要求,而其它SE制造商则没有。由于SE难以使用并且其加密小应用程序通常在制造过程中加载到SE上,因此SE经常包含较旧版本的小应用程序。
因此,SE提供硬根信任和黑箱,各种加密方法(即小应用程序)在该黑箱内操作。这种硬根信任和黑箱环境非常适合在移动设备中保护和使用电子凭证和其它数字机密。然而,该模型在现实生活中非常难以操作,特别是对于当前设想的规模。配置和随后管理存储在SE上的电子凭证和小应用程序两者的复杂性已证明是广泛采用这种TSM(或可信服务管理器)模型的巨大障碍。在此模型中,TSM是中立方,该中立方在幕后在SE制造商、便携式电子设备制造商、移动网络运营商、终端用户以及第三方(例如发行商和商家)之间传递技术信息。为了说明这种复杂性的一部分,TSM从其制造商获得每个安全元件的识别号,并且随后跟踪将每个SE插入特定便携式电子设备中。每台便携式电子设备具有一些类似于IMEI(“国际移动台设备识别码”,其是由MNO网络(通常是GSM、UMTS、LTE和iDEN)用于识别有效移动设备的唯一号码)的标识符或者电子便携设备的其它识别号码。
因此,在该系统中,TSM负责维护数据库,该数据库将每个SE的识别号(“SEid”)等同于其中存储有SE的每个便携式设备。TSM还负责发布、管理和跟踪SE中的可信执行环境,将具有可信执行环境的区域分配给各种服务,管理可信执行环境的密钥,将应用程序安全地下载到包含SE的便携式电子设备,基于来自各种利益相关者的请求来锁定、解锁、删除应用程序。与各种设备和SE制造商、多个MNO、众多其它感兴趣的第三方以及终端用户相关联地提供这些服务会产生库存和物流问题。
可信服务管理器模型的复杂性以及具有SE的增加的硬件费用(以及一些手机制造商不部署SE的决定)导致开发出称为主机卡模拟(HCE)的替代解决方案。HCE是基于云的提供类型,其可在不使用安全元件的情况下提供电子凭证的虚拟表示。事实上,HCE最初被认为等同于在云中具有安全元件。在最初的HCE方法中,后端(即云)存储电子凭证(即机密和加密数据)以及用于生成其它电子凭证(通常称为令牌)的加密小应用程序,它们提供电子控制点的授权。在第一代HCE中,电子凭证(或令牌)经由安全通信信道从云/后端传递到便携式电子设备。以这种方式,第一代HCE仍然提供黑箱环境(即,云中的后端),加密小应用程序在其内可更安全地操作。但是这种方法需要由被称为令牌服务提供商(TSP)的公司支持的后端操作。TSP在SE方面起着类似于TSM的角色的作用,但是在TSP较TSM的其它潜在优势中,TSP不必跟踪物理资产(即SE与手机)之间的关系。
在HCE的开发的某点处,该方法改变为将加密过程(之前在安全元件或安全云中存储和操作)提供在便携式电子设备本身上,通常在其操作系统中。这种转变消除了对TM的需求,但实际上也消除了对先前掩盖加密过程不可见的黑箱的保护。这使得加密过程及其相关密钥更容易由黑客获得以进行研究,这使他们有机会设计攻击。
在两代HCE中,可将便携式通信设备上部署的任何服务层直接从在线应用商店直接下载到设备中,以提供与电子控制点直接通信的本地应用,以便验证交易而不必通过安全元件/TSM。
在开放地部署和操作加密过程的情况下,电子安全领域的普通技术人员将这种类型的部署称为“白箱”(即黑箱的对立面(即,在其中你只能看到基于给定输入生成的输出的系统))。
大多数第二代HCE部署使用某种形式的白箱密码术。白箱密码术通过混淆数据和代码中的密钥(通常使数据以及甚至代码的组成随机化)来防止包括加密密钥的机密信息的暴露。因此,即使白箱密码术中使用的加密算法仍然经常是公开可观察的,加密密钥也不容易被观察到。然而,白箱加密解决方案的各种提供者提供了不同的实现方式,其中一些更安全,例如更好地掩盖密钥,并且一些实现方式比其它更有效。
第二代HCE模型已在自Android 4.4版本以来的Android操作系统中实现。具体地,Android密钥库将加密密钥存储在便携式通信设备内的虚拟容器中。一旦加密密钥在密钥库中,它们就可用于加密操作,但是它们永远不会被移除。密钥库还限制设备上的应用程序以使用存储的加密密钥来进行特别授权的用途。这些限制为受保护的数字机密提供了一些额外的安全性,但是它们仅与允许访问Android密钥库的应用程序一样安全。因此,应用程序本身可能会危及设备和进程的安全性。事实上,Android密钥库已存在已知的问题,即黑客可能够经由操纵应用程序来直接使用、操纵并甚至查看应用程序的密钥,即使该黑客无法直接访问存储的密钥值。
虽然HCE模型比TSM和令牌化模型需要更少的管理复杂性,但是它并不像那些模型那样安全。因此,HCE模型使MNO、提供商、终端用户和第三方更容易受到安全漏洞和/或攻击的侵害。
关于TSM和HCE两者的一种潜在的现有技术解决方案是可信执行环境(或TEE)。在TEE系统中,使用硬件和软件解决方案在便携式电子设备的微处理器内提供隔离的执行环境,使得存储在TEE内的任何小应用程序和电子凭证(即机密和加密数据)的完整性比在HCE环境中更安全。此外,虽然电子凭证可在它们被传递到TEE系统中时被临时暴露,但是它们不会像在白箱环境(例如第二代HCE)中发现的那样保持开放。因此,TEE提供适用于许多电子凭证和电子控制点应用的中等安全级别。然而,除了其增加的硬件成本之外,TEE模型仍然存在问题,诸如小应用程序的过时以及将数据安全地移入TEE中的问题。
除了电子支付和其它类型的安全凭证之外,还存在其它数字机密可从其它白箱环境中的安全生成、存储、管理和使用的可用性中受益。例如,用户名、密码/PIN、数字证书、数字密钥集、生物识别数据文件以及其它敏感数据将是受益于改进的设备安全机制的可用性的其它类型的数字机密。
因此到目前为止,为了简化和扩展可信凭证结构而已经采用的解决方案迄今未能提供所需的高度安全性以及对于系统的协调、分配和维护非常需要的实用性。
发明内容
下文呈现对本公开的简化概述,以便提供对本公开的一些方面的基本理解。本概述并不是对本公开的详尽概括。其不旨在指出本公开的重要或关键要素、或描绘本公开的范围。以下概述仅以简化形式呈现本公开的一些概念来作为下文提供的更详细描述的序言。
本公开涉及一种用于生成、存储、管理和使用与便携式电子设备相关联的一个或多个数字机密的系统。所述系统包括所述便携式电子设备中的高度安全存储器,所述高度安全存储器仅存储一个或多个主密钥;密钥库,所述密钥库在所述便携式电子设备中在所述高度安全存储器外部实现;以及一个或多个加密小应用程序,所述一个或多个加密小应用程序在所述便携式电子设备中在所述高度安全存储器外部实现。
所述系统还包括高度可信中间模块(ThIM),所述高度可信中间模块在所述高度安全存储器外部实现。所述ThIM建立并管理所述高度安全存储器、所述密钥库、所述一个或多个加密小应用程序以及至少一个第三方应用程序之间的高度可信的通信通道。所述ThIM轮询所述便携式电子设备、所述高度安全存储器、所述密钥库、所述一个或多个加密小应用程序,以确定所述便携式电子设备中的每个部件的信任得分、初始化成本和交易成本。所述ThIM还基于所述便携式电子设备的所述各种部件的所述信任得分、所述初始化成本和所述交易成本来提供可信第三方应用程序可接受的交互参数。所述ThIM还根据所述可接受的交互参数来管理所述可信第三方应用程序与所述高度安全存储器之间的所述高度可信的通信。
以下将更全面地解释本公开的这些和其它方面。
附图说明
为了更好地理解本公开,参考以下附图描述了非限制性和不完全实施方案。在附图中,除非另有说明,否则相同的附图标记在所有各个附图中表示相同的部件。
图1是便携式电子设备100和信任认证机构服务器300的示意性平面图,示出了高度可信中间模块(ThIM),所述高度可信中间模块控制与便携式电子设备100的高度安全存储器150的所有通信。
图2是与ThIM 200相关联的功能和数据的示意性平面图。
具体实施方式
现在将在下文中参考附图更全面地描述本发明,附图形成本发明的一部分,并且通过图示示出了可实践本发明的特定示例性实施方案。然而,本发明可以许多不同的形式实施,并且不应当被解释为限于本文阐述的实施方案;相反,提供这些实施方案是为了使本公开完全和完整,并且向本领域技术人员充分传达本发明的范围。除了其它方面,本发明可体现为方法或设备。因此,本发明可采用完全硬件实施方案、完全软件实施方案或者组合软件和硬件方面的实施方案的形式。因此,以下详细描述不以限制性意义来理解。
本公开提供了一种用于在由与便携式电子设备相关联的一个或多个高级安全部件保护时提供敏感凭证的生成、存储、管理和使用的系统和方法。本发明还为第三方提供了用于管理利用任何特定便携式电子设备使用它们的数字机密的风险的系统和过程。
如图1所示,便携式电子设备100优选地具有高度安全存储器150。高度安全存储器150可为物理安全元件(SE)或至少一个具有TEE的微处理器。虽然原始TSM系统存储由应用程序使用的机密和加密数据以及加密应用程序(或小应用程序)本身,但是本发明在高度安全存储器中仅存储最机密部分:一个或多个发行商密钥。进而,小应用程序和任何其它卡数据被存储在与便携式电子设备100相关联的其它位置的存储器中。因为仅发行商(或主)密钥存储在高度安全存储器150中,所以高度安全存储器可小于最近已部署的SE和TEE的存储器。特别是对于使用闪存硬件来用于其高度安全存储器的SE,高度安全存储器150的尺寸的减小应当导致实现本发明的便携式设备制造商的显著的成本节省。相反,安全元件现在可在IC制造过程中预先配置有数千个可用的未分配的密钥集。在具有这些高度安全存储器的移动通信设备的后制造和部署中,可容易地将预先保存的未分配的密钥集分配给发行商,从而使得能够快速采用新服务。
将小应用程序和非发行商密钥数据卸载到其它设备存储器160中已简化TSM在可信服务模型中管理SE所需的工作量和开销。此外,机密密钥在SE(或TEE)中的存储显著比仅仅将这些高度机密的多条信息开放地存储在便携式电子设备100的存储器上更安全。此外,根据用于与电子控制点交互的便携式通信的使用频率,将密钥移回便携式通信设备上的安全基板面(即SE或TEE)简化了需要在后端(或云)中定期完成的计算。此外,将机密密钥移回便携式通信设备100中的高度安全的不动产(即,高度安全存储器150)以及便携式通信设备本身上的其它位置的小应用程序和其它卡数据,这意味着系统后端不再需要是令牌服务提供商。现在,后端提供商仅需要扮演“信任认证机构”或“证书认证机构”或“密钥管理认证机构”或“密钥管理服务”的角色。在该角色中,后端非易失性存储器310仍然负责将数字机密存储在云中,以检查由便携式通信设备100生成和传送的密钥,因此,当用户希望激活或以其它方式与安全电子控制点交互并且随后与信任认证机构的系统300交互时,检查电子控制点50。但是,包括非易失性存储器310、处理器350以及两个或更多个通信设备(例如360a和360b)的信任认证机构系统300不再充当连续地生成令牌并将令牌发送给请求便携式通信设备的令牌库。
虽然这些更安全的密钥理论上可由Android密钥库(或其它第三方加密程序)访问,只是为了利用与Android密钥库连接的庞大且不断增长的API库,但是众所周知的是,Android密钥库可容易被破解和植入。并且虽然将密钥存储在高度安全的SE中大大提高了第二代HCE以及甚至TEE解决方案的安全性,但是本发明试图允许将先前安全良好的加密小应用程序和其它卡数据存储在相对不安全的设备的存储器中,以提供更新小应用程序和其它卡数据的优势。
然而,使用暴露的小应用程序来访问高度安全存储器150(例如SE或TEE)以获得机密密钥将提供可易于利用的安全弱点。因此,本发明不是允许从不安全的小应用程序直接访问高度安全存储器150,而是提供高度可信的中介(ThIM200)来在其它设备存储器160中的不安全的加密小应用程序与高度安全存储器150之间进行通信。该高度可信的中介可为例如存储在非暂时性计算机可读介质(例如,存储器、RAM、ROM等)上的软件程序或其它计算机可读指令,其将计算机处理器转换成特定的电子接口,该电子接口负责建立、维护和管理(例如SE或甚至TEE的)高度安全存储器150与在同一便携式通信设备100上运行的其它功能模块之间的高度可信的通信通道。当由与便携式通信设备相关联的至少一个处理器执行时,可信中间模块(ThIM 200)的指令可引起设备执行本文描述的操作。还预期的是,ThIM200可通过具有最小量存储器(可能甚至仅一个或多个存储寄存器)的主要物理部件设计来实现。
例如,当便携式通信设备100第一次使用ThIM 200时,当更新ThIM 200内部的任何软件时,当自上次确认ThIM 200的可信度以来已经经过预定量的时间时,当任何加密小应用程序试图利用存储在高度安全存储器150中的数据时、和/或每当第三方应用程序试图利用存储在高度安全存储器150中的数据时,应当确认高度可信中间模块(“ThIM”)的可信度。信任配置还可用于防止恶意ThIM或应用程序获得对安全元件或TEE的访问。(恶意ThIM可理论上从任何数量的地方获得,包括经由从合法应用程序商店下载。黑客也可设计模仿真实ThIM的外观、感觉和/或操作的恶意ThIM。)
在访问或以其它方式管理(例如,读取、写入、删除数据)存储在高度安全存储器150中的密钥之前,每个ThIM 200以及其它设备存储器160中的每个加密小应用程序可各自经历注册过程以在系统内建立它们各自的可信度。为了建立该可信度,ThIM 200可尝试向后端系统300(又名信任认证机构系统)注册,该后端系统将优选地包括至少一个处理器350以及存储计算机可读指令的至少一个存储器310(或非暂时性计算机可读介质)。指令在被执行时可引起处理器350执行本文描述的功能。一旦ThIM 200在后端系统300中成功注册,那么ThIM 200可尝试经由信任认证机构系统300来注册一个或多个小应用程序。一旦小应用程序成功注册到已注册的ThIM 200,则ThIM可允许该注册的小应用程序访问并以其它方式查询存储在高度安全存储器150中的密钥。
用于在ThIM 200与信任认证机构系统300之间建立信任的一种方法可在2013年6月12日提交的题为“用于在软件应用中初始建立和定期确认信任的系统和方法(Systemand Method For Initially Establishing And Periodically Confirming Trust In ASoftware Application)”的未决美国专利申请序列号13/916,307中找到,所述申请在此通过引用并入。一旦建立便携式电子设备100中的ThIM 200的信任,那么可使用ThIM 200来验证便携式电子设备100上的加密小应用程序以保护凭证系统,并且一旦小应用程序被验证,那么可允许它们经由ThIM 200与高度安全存储器150通信。
验证小应用程序的可信状态可涉及访问允许或信任应用程序的本地授权数据库。在优选方法中,本地授权数据库与远程授权数据库370协作,该远程授权数据库可操作地与和信任认证机构系统300相关联的一个或多个服务器相关联。因此,数据库370可能在服务器端在逐个设备的基础上进行维护。如由本领域中了解本说明书的普通技术人员所理解的,数据库370可在分开的物理数据库或一个统一的数据库中实现。数据库370可包括与已由安全系统提供商批准的小应用程序有关或关于这些小应用程序的信息。该小应用程序信息的范围可从小应用程序的整个逐字副本到小应用程序的批准版本的识别信息以及它们的组合。除了其它信息之外,数据库可包括应用程序ID、发行商ID和编译ID或令牌。编译ID将优选地是在特定小应用程序的鉴定过程中由一个或多个进程为每个应用程序生成的全局常量。在由特定ThIM 200在唯一便携式通信设备100上生成之后,编译令牌被包括在便携式电子设备上的应用程序/小应用程序中或以其它方式与其相关联。该编译令牌优选地由设备本地的伪随机数生成器生成,该伪随机数生成器使用预定种子,诸如应用程序ID、编译ID、发行商ID或其某种组合。
当小应用程序需要验证时,其编译ID(数字令牌)和应用程序ID(数字标识符)可与存储在便携式通信设备上的编译ID和应用程序ID对相匹配。同样,如由本领域中了解本说明书的技术人员所理解的,相同的编译和应用程序ID对也被发送到与系统相关联的其它设备(或在某些情况下预先存储在与系统相关联的其它设备内)。如果编译ID/应用程序ID对与该特定设备上存储在ThIM中的一对匹配,那么优选地通过伪随机数生成器(诸如与安全元件或TEE相关联的一个生成器)在该设备上生成机密令牌ID,并且随后与便携式通信设备100上的其它设备存储器160中的卡服务注册表中的编译ID/应用程序ID对相关联地存储。在某些情况下,可预先选择编译ID并且用于为随机数生成器播种。应当理解,作为替代地,可预先选择与设备、ThIM或者一些其它商定标准相关联的一条或多条其它预定数据来作为种子。机密令牌ID还嵌入在便携式通信设备100上的小应用程序中或者以其它方式与小应用程序相关联,以代替随应用程序一起分发的编译ID。
在本系统的一个优选方法中,ThIM 200能够轮询操作系统、高度安全存储器150、每个可信小应用程序、以及其它硬件、驱动器和软件,以确定制造商、版本、可用操作参数的设置、以及可能与确定便携式电子设备100的每个方面的相对安全性作为安全生态系统的元素相关的任何其它信息。如图2所示,数据库还将至少包含例如在零(无信任)与一百100(最高信任)之间的信任号码,该信任号码表示每个部件(例如,便携式电子设备100的硬件和软件元件)的相对可信度,并且还可潜在地包括由于通过ThIM 200进行的轮询而获得和/或生成的信息,该信任号码基于该信息。例如,ThIM 200可首先识别在已部署ThIM 200的便携式设备100环境中存在SE。因为它是安全元件,所以信任得分将可能会非常高(例如95-100),至少只要SE运行由SE的制造商已为该SE推荐的最新堆栈。特别是信任评级的该最后方面将可能在主要与信任认证机构系统300的通信中来确定。
在另一实例中,ThIM 200可识别便携式设备100内TEE的存在。本文因为它是TEE而不是安全元件,所以只要TEE运行由TEE的制造商所推荐的最新固件,它的信任得分就将可能较高(例如70-75),但是不会与正确配置SE的信任得分一样高。例如,ThiM可确定便携式设备本身是具有运行Android 6.0(“软糖(Marshmallow)”)的三星Exynos 7Octa 7420芯片的三星Galaxy S6(型号#SM-G925V)智能手机。通过与后端通信,ThIM 200可确定SM-G925V的这种特定配置是其内保持数字机密的相对安全的环境(与由三星部署的Android 5.1.1操作系统相反,据报道该操作系统包含允许手机被远程入侵的各种安全问题。通过将设备的适当信任号码写入可操作地与ThIM 200相关联的数据库中来反映该等级。该数据库可在ThIM 200内部、部署在便携式电子设备100上的其它位置、或者甚至部署在云中。当然,根据部署的位置,可能必须进行某些安全措施以确保系统的完整性。
返回具有安全元件作为其高度安全存储器的便携式通信设备的实例,如图2所示,该安全元件的激活可导致需要一次性初始化费用。在图2所示的实例中,该初始化费用为2.00美元。应当理解,初始化费用可以是将可能主要由高度安全存储器的分销商和/或制造商设定的任何量。在评估费用时,可例如以电子方式向SE制造商或便携式设备制造商支付,以允许在第一种情况下补偿部署SE的成本。还可设想的是,通过要求终端用户在初始化便携式通信设备100之前与信任认证机构系统300建立账户,可由便携式通信设备100的终端用户来支付费用。但是,更可能的是,系统将向第三方应用程序所有者收取它们使用安全资源的费用。更具体地,如果银行想要在便携式通信设备100上部署钱包应用程序,那么它可能想要/需要激活该设备上的SE。因为银行将最终获得终端用户准备好访问其电子钱包软件的益处,所以向银行收费来启动SE的在逻辑上是合理的。如图2中进一步所示,还预期的是,高度安全存储器可具有相关联的交易成本(例如,每次使用、每个时间段等)。在多个凭证和其它数字机密都将从高度安全存储器的初始化和使用中受益的情况下,这种方法可能是特别需要的。在这种情况下,在每次交易的基础上对存储器的使用进行定价允许高度安全存储器的存在的每个直接受益者分担使高度安全存储器可用于由他们的小应用程序使用的成本。进一步预期的是,与高度安全存储器(或由ThIM信任分析表210跟踪的安全生态系统的任何其它元素)相关联的交易费用可被限制在某个最大值。
在大多数情况下,可信小应用程序将包括密钥库(诸如Android密钥库或iOS密钥库)以及一个或多个白箱加密程序(诸如Arxan WBC和白箱AES项目)。如图2所示,如同设备、操作系统和高度安全存储器,这些小应用程序中的每一个将由ThIM 200分配信任得分。该信任得分将保存在ThIM信任分析表210中。此外,每个小应用程序可具有相关联的初始化成本和每次交易成本中的一个或两个,并且还可存在最大总计费值。在此,可能的排列是无尽的,并且将由市场驱动。例如,最强类型的白箱加密(WBC)可能会花费最多的钱。这种WBC的开发者可能可决定它更喜欢预先收回固定成本而不再进行增量使用(参见例如数据库210中的WBCn),或者开发者可决定基于每次使用模型(参见WBC3)来收回他们的成本。在每个实例中,第三方应用程序可能正在为这些小应用程序的使用付费,并且可根据小应用程序的信任得分对比其使用成本来决定使用哪个小应用程序。为了说明的目的,在图2所示的实例中,
·WBCn被分配的信任得分为39,并且初始化成本为1.00美元,并且交易成本为0.00美元,而
·WBC3被分配的信任得分为35,并且初始化成本为0美元,但是每次交易成本为0.05美元。
对于很少使用且不特别关心高级别安全性的第三方应用程序,信任得分的四点差异以避免1.00美元的初始化成本可值得节省。在这种情况下,第三方应用程序可选择使用WBC3作为其加密小应用程序。
数据库210中的特定信任值可基于第三方排名或者关于安全性、操作、功耗以及与各种部件相关联的其它变量的其它报告。可周期性地建立和/或修订信任值。并且它们可由信任认证机构或代表信任认证机构的某个实体定期公布。这些值可存储在云中的第一实例中(与信任认证机构系统300相关联),并且随后在通过ThIM轮询该设备之后下拉到与特定便携式通信设备100中的ThIM 200相关联的本地数据库210。这些信任值可基于第三方排名或者关于安全性、操作、功耗以及与各种部件相关联的其它变量的其它报告。可周期性地建立和/或修订这些值并且它们可由信任认证机构或代表信任认证机构的某人定期公布。这些值也可被推送到各个ThIM,特别是如果特定设备的信任数字已显著下降。
ThIM对安全生态系统中存在的各种元素的轮询可通过与ThIM 200相关联的功能来完成,该功能用于询问该设备以查明设备100是真实的还是甚至可能是恶意设备。例如,ThIM 200可配备有将数据写入设备100上的SE和/或TEE并且随后以其加密和未加密形式读取该数据以判断SE/TEE是否真实的能力。可与ThIM 200相关联地部署类似功能,以用于测试设备内的其它部件来判断这些部件是否是如它们所说的那样。
最终,利用主密钥向终端用户提供服务的一个或多个第三方应用程序将尝试向ThIM 200注册,使得其可使用存储在便携式电子设备100中的高度安全存储器150中的主密钥。这些第三方应用程序可提供电子支付、运输访问、电子访问(可能包括生物识别安全性)等等。首先,ThIM必须以上述方式信任每个第三方应用程序。在ThIM已信任第三方应用程序或小应用程序(其中其适当的机密令牌嵌入在应用程序中并存储在与ThIM相关联的数据库中)之后,ThIM 200可确定第三方应用程序如何旨在由其所有者/作者与安全生态系统交互。因此,例如,比如说,第三方app2的所有者是亚马逊银行,并且亚马逊银行非常规避风险。对于该应用程序,如果设备无法提供等于或大于90-90-95-20-35的综合信任得分,那么亚马逊银行将对其小应用程序进行编程以不在设备100上操作。目前认为,综合信任得分将是针对单独获得的以下各项中的每一项的信任值的数组:设备-操作系统-高度安全存储器-密钥库–WBC。然而,可能可将各个值在数学上聚合成单个值以反映整体环境安全性(即90+90+95+20+35=330)。在我们的当前实例中,设备仅启用WBC1(其在图2中示出为仅具有30的信任得分),随后第三方应用程序提供商可能不希望其应用程序在设备100上操作。在这种情况下,可生成错误消息并将其发送到至少信任认证机构系统300,优选地在消息中包含足够的信息,使得系统300可确定错误的原因。在另一个实例中,另一个第三方应用程序可允许应用程序执行某些任务(例如,读取高度安全存储器)而不是其它任务(诸如在某些情况下编写或模拟凭证),这取决于每个元素的信任得分。类似地,可对第三方应用程序进行编程,以便为某些部件的可用性承担某些成本。因此,继续该实例,应用程序可查看设备中可用的禁用WBC选项,并且基于第三方应用程序所有者的业务和安全性原则,该应用程序可启用WBC2、WBC3或WBCn中的一个来在白箱密码术与应用程序一起使用的情况下实现增加的信任得分。在每种情况下,WBC2、WBC3和WBCn的信任得分等于或超过35的最低信任得分(由假设的第三方应用程序所需),然而,与初始化每个应用程序相关联的定价与每次交易成本不同。对于将经常使用的应用程序,预期的是,开发者可能倾向于降低每次交易成本。还可预期的是,应用程序可被编程来根据正在进行的交易的类型而在启用的WBC小应用程序之间切换。
还预期的是,第三方应用程序可使用加权聚合信任得分。第三方应用程序所有者可决定没有什么比拥有具有适当操作系统的高度安全设备更重要,但是高度安全存储器可为TEE(例如,信任得分为75;而不是在图2的图示中示出的95得分)。在这种情况下,第三方应用程序所有者可提供加权函数,该加权函数使得设备和OS的得分最重要(例如90*10+90*10+75*1+20*5+35*5=2150;其中设备和OS信任得分占总信任得分的近84%)。如本领域了解本公开的普通技术人员现在认识到的,通过改变加权函数和最小聚合信任得分,应用程序所有者可操纵操作应用程序的最小安全环境。
还预期的是,应用程序所有者可修改产品的操作以最小化响应于更危险环境的风险。因此,继续我们的假设实例,如果应用程序不想为更可信的WBC小应用程序付费,那么它可替代地坚持使用信任得分为30的WBC评级,但是将该应用程序可支持的交易限制为较少风险的操作。例如,出于经由便携式通信设备来使用的目的,卡上的信贷限额可从10,000美元降低至500美元。在另一个实例中,第三方应用程序可将支付设置为借记卡交易而不是信用卡交易,以最小化对发行商进行欺诈交易的风险。最后预期的是,如果第三方应用程序无法获得它在设备上所希望的信任得分,那么该系统可允许应用程序根本不将密钥存储在该设备上,而是相反从信任认证机构系统300将一次性密钥提供给移动通信设备100。
一旦第三方应用程序确定其可与特定设备相关联地部署的功能,那么应用程序可启动并提示终端用户选择加入以提供对现已验证(或可信)应用程序所需(或者以其它方式希望与其一起使用)的发行商特定凭证的访问。在可信小应用程序的每次后续启动中,将嵌入的机密令牌和/或应用程序ID与设备上的ThIM中的数据进行比较。如果存在匹配,那么应用程序是可信的,并且可经由ThIM访问SE或TEE。以这种方式,可看出,也可从ThIM移除与任何小应用程序相关联的机密令牌和/或应用程序ID,从而使其无法访问SE或TEE。类似地,如果任何小应用程序被篡改,那么机密令牌和/或应用程序ID将无效。将优选地通过使用例如安全算法(例如,高级加密标准(AES)算法、安全散列算法(SHA)、消息摘要5(MD5)算法等)来对表进行加密来保护与ThIM相关联的数据库,在安全算法中是从一个或多个参数(例如,安全元件ID、密码等)生成的散列值的密钥值作为输入。例如,如果恶意应用程序篡改ThIM,那么ThIM将检测到更改并且将权限表替换为从安全元件管理服务器检索到的一个权限表。
ThIM还优选地使用可信应用程序验证步骤来确定每个小应用程序所允许的适当子系统访问级别。例如,在一个实施方案中,可授权一个小应用程序访问和显示支付子系统中包含的所有数据,其中另一个小应用程序可仅被授权来访问和显示支付子系统中包含的数据的子集。在一种方法中,对应用程序的权限分配可认为如下:
这些权限可用于按照以上显示的顺序从最高有效数字到最低有效数字形成十六进制数字。例如,应用程序可具有11111的权限级别,该权限级别可认为扩展成0001 00010001 0001 0001。换句话说,该应用程序可读、写、删除、激活/停用和下载其自己的凭证,但是不是扩展的发行商凭证,更不用说是所有凭证。如果供应商具有另一个发行商代码,那么这将是扩展的发行商应用程序。因此,如果与发行商ID相关联的应用程序的权限级别被设置为0010 0001 0001 0010 0001(或21121十六进制),那么该应用程序将能够读和激活/停用与两个发行商ID相关联的凭证。如本领域普通技术人员将理解的,这些仅仅是可授予小应用程序的潜在权限的实例,可预期其它权限。例如,一些小应用程序可具有读取扩展发行商凭证的能力,但仅写、删除、激活和下载应用程序自己的凭证(例如,21111,其扩展成00100001 0001 0001 0001)。在又一实例中,应用程序可仅被赋予激活/停用和下载权限(例如,0000 0000 0000 0001 0001或以十六进制的00011)。在又一实例中,可通过将所有权限设置为零来禁用应用程序而不从可信应用程序数据库或卡服务注册表中删除该应用程序。
例如,当小应用程序需要与SE或TEE交互时,它可传递数字标识符(诸如其发行商ID或应用程序ID)、数字令牌(即编译ID或机密令牌ID)、所需的行动、以及ThIM的行动所需的任何相关联参数。ThIM验证数字标识符-数字令牌对与安全数据表中的可信应用程序数据匹配,并且随后ThIM将一个或多个命令发送到执行由小应用程序请求的动作所需的SE或TEE。小应用程序可使用的潜在动作中是与以下各项相关联的那些动作:
a.钱包管理(例如,设置、重置或启用钱包密码;获取OTA服务器的URL;无线注册表配置;设置支付时间;增加支付时间;设置默认卡;列表发行商,列出支持的凭证;设置凭证的显示顺序;设置凭证存储优先级;创建类别/文件夹;将凭证与类别相关联;存储器审计;确定用于存储凭证的安全元件(SE);获得出价;更新钱包状态);
b.凭证管理(例如,添加凭证;查看凭证详细信息;删除凭证;激活凭证(用于兑换/支付);停用凭证;搜索凭证;列出凭证功能;设置默认凭证;锁定/解锁凭证;需要密码访问;获得凭证图像;设置访问密码);
c.高度安全存储器(SE/TEE)管理(例如,为发行商创建安全域;旋转密钥;加载应用程序;更新应用程序;钱包锁定/解锁;SE锁定/解锁);
d.个性化(例如,添加凭证;删除凭证;暂停/解禁凭证;发布者元数据更新的通知;卡元数据更新的通知)。
前述描述和附图仅解释和说明了本发明,并且本发明不限于此。虽然关于某些实现方式或实施方案描述了说明书,但是许多细节是出于说明的目的而阐述的。因此,前述内容仅说明了本发明的原理。例如,在不脱离本发明的精神或基本特征的情况下,本发明可具有其它特定形式。所描述的布置是说明性的而非限制性的。对于本领域技术人员而言,本发明易于实施其它实现方式或实施方案,并且在不脱离本发明的基本原理的情况下,本申请中描述的某些细节可有很大变化。因此,应当了解,本领域的技术人员将能够设想各种布置,虽然未在本文中明确地描述或展示,但是所述布置体现了本发明的原理并且因此在其范围和精神内。
Claims (3)
1.一种用于生成、存储、管理和使用与便携式电子设备相关联的一个或多个数字机密的系统,所述系统包括:
-所述便携式电子设备中的高度安全存储器,所述高度安全存储器仅存储一个或多个主密钥;
-密钥库,所述密钥库在所述便携式电子设备中在所述高度安全存储器外部实现;
-一个或多个加密小应用程序,所述一个或多个加密小应用程序在所述便携式电子设备中在所述高度安全存储器外部实现;
-高度可信中间模块(ThIM),所述高度可信中间模块在所述高度安全存储器外部实现,所述ThIM建立并管理所述高度安全存储器、所述密钥库、所述一个或多个加密小应用程序以及至少一个第三方应用程序之间的高度可信的通信通道,其中,所述ThIM轮询所述便携式电子设备、所述高度安全存储器、所述密钥库、所述一个或多个加密小应用程序,以确定所述便携式电子设备中的每个部件的信任得分、初始化成本和交易成本,所述ThIM基于所述信任得分、所述初始化成本和所述交易成本来提供可信第三方应用程序可接受的交互参数,所述ThIM根据所述可接受的交互参数来管理所述可信第三方应用程序与所述高度安全存储器之间的高度可信的通信。
2.一种用于生成、存储、管理和使用与便携式电子设备相关联的一个或多个数字机密的系统,所述系统包括:
-所述便携式电子设备中的高度安全存储器,所述高度安全存储器仅存储一个或多个主密钥;
-密钥库,所述密钥库在所述便携式电子设备中在所述高度安全存储器外部实现;
-一个或多个加密小应用程序,所述一个或多个加密小应用程序在所述便携式电子设备中在所述高度安全存储器外部实现;
-高度可信中间模块(ThIM),所述高度可信中间模块在所述高度安全存储器外部实现,所述ThIM建立并管理所述高度安全存储器、所述密钥库、所述一个或多个加密小应用程序以及至少一个第三方应用程序之间的高度可信的通信通道,其中,所述ThIM轮询所述便携式电子设备、所述高度安全存储器、所述密钥库、所述一个或多个加密小应用程序,以确定每个部件的信任得分,所述ThIM允许可信第三方应用程序基于所述信任得分来确定可接受的交互参数,所述ThIM根据所述可接受的交互参数来管理所述可信第三方应用程序与所述高度安全存储器之间的高度可信的通信。
3.根据权利要求2所述的系统,其中,所述可接受的交互参数还可包括由所述可信第三方应用程序向所述ThIM提供的唯一数据。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201662322288P | 2016-04-14 | 2016-04-14 | |
| US62/322,288 | 2016-04-14 | ||
| PCT/US2017/027749 WO2017181097A1 (en) | 2016-04-14 | 2017-04-14 | System and method for generation, storage, administration and use of one or more digital secrets in association with a portable electronic device |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109643282A true CN109643282A (zh) | 2019-04-16 |
| CN109643282B CN109643282B (zh) | 2023-08-25 |
Family
ID=60038940
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201780035113.7A Active CN109643282B (zh) | 2016-04-14 | 2017-04-14 | 用于生成、存储、管理和使用与便携式电子设备相关联的一个或多个数字机密的系统和方法 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US11829506B2 (zh) |
| EP (1) | EP3443462B8 (zh) |
| JP (2) | JP7186163B2 (zh) |
| CN (1) | CN109643282B (zh) |
| ES (1) | ES2918011T3 (zh) |
| WO (1) | WO2017181097A1 (zh) |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20180367528A1 (en) * | 2017-06-12 | 2018-12-20 | Cyberark Software Ltd. | Seamless Provision of Authentication Credential Data to Cloud-Based Assets on Demand |
| US10027658B1 (en) * | 2017-06-12 | 2018-07-17 | Cyberark Software Ltd | Seamless provision of secret token to cloud-based assets on demand |
| US10911236B2 (en) * | 2017-12-13 | 2021-02-02 | Paypal, Inc. | Systems and methods updating cryptographic processes in white-box cryptography |
| US11483306B2 (en) | 2018-03-26 | 2022-10-25 | Matrics2, Inc. | Secure communication with random numbers |
| CN111357255B (zh) * | 2018-04-27 | 2021-11-19 | 华为技术有限公司 | 构建多个应用通用的可信应用 |
| KR102498326B1 (ko) * | 2018-06-19 | 2023-02-10 | 주식회사 직방 | 고유의 마스터 키를 가지는 디지털 도어락 및 그 조작 방법 |
| KR102605461B1 (ko) * | 2018-09-20 | 2023-11-23 | 삼성전자주식회사 | 보안 엘리먼트를 이용하여 서비스를 제공하는 전자 장치 및 그의 동작 방법 |
| US11316851B2 (en) * | 2019-06-19 | 2022-04-26 | EMC IP Holding Company LLC | Security for network environment using trust scoring based on power consumption of devices within network |
| CN115187237B (zh) * | 2022-07-08 | 2023-03-24 | 深圳市深圳通有限公司 | 数字人民币硬钱包的交易方法、装置、终端设备以及介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1949196A (zh) * | 2005-10-11 | 2007-04-18 | 梅里迪财务软件公司 | 将数据安全地存储在便携式设备中的方法、设备和系统 |
| CN101755291A (zh) * | 2007-07-24 | 2010-06-23 | Nxp股份有限公司 | 用于向移动电话安全地发送应用程序的方法、系统和可信任服务管理器 |
| US20110154497A1 (en) * | 2009-12-17 | 2011-06-23 | American Express Travel Related Services Company, Inc. | Systems, methods, and computer program products for collecting and reporting sensor data in a communication network |
| US20120159612A1 (en) * | 2010-11-17 | 2012-06-21 | Sequent Software Inc. | System for Storing One or More Passwords in a Secure Element |
Family Cites Families (33)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5604801A (en) | 1995-02-03 | 1997-02-18 | International Business Machines Corporation | Public key data communications system under control of a portable security device |
| US6246767B1 (en) * | 1995-04-03 | 2001-06-12 | Scientific-Atlanta, Inc. | Source authentication of download information in a conditional access system |
| US20080215474A1 (en) * | 2000-01-19 | 2008-09-04 | Innovation International Americas, Inc. | Systems and methods for management of intangible assets |
| US6986052B1 (en) * | 2000-06-30 | 2006-01-10 | Intel Corporation | Method and apparatus for secure execution using a secure memory partition |
| US7181017B1 (en) * | 2001-03-23 | 2007-02-20 | David Felsher | System and method for secure three-party communications |
| AU2002249751A1 (en) * | 2002-03-27 | 2003-10-13 | Innovations Pte Ltd. Barracuda | A system and method for secure electronic transaction using a registered intelligent telecommunication device |
| EP1365537B1 (de) * | 2002-05-24 | 2004-07-07 | Swisscom Mobile AG | Vorrichtungen und Verfahren zur Zertifizierung von digitalen Unterschriften |
| JP2004199138A (ja) | 2002-12-16 | 2004-07-15 | Matsushita Electric Ind Co Ltd | メモリデバイスとそれを使用する電子機器 |
| US8763110B2 (en) * | 2006-11-14 | 2014-06-24 | Sandisk Technologies Inc. | Apparatuses for binding content to a separate memory device |
| US20090234751A1 (en) * | 2008-03-14 | 2009-09-17 | Eric Chan | Electronic wallet for a wireless mobile device |
| US8713325B2 (en) * | 2011-04-19 | 2014-04-29 | Authentify Inc. | Key management using quasi out of band authentication architecture |
| EP2515239B1 (en) | 2009-12-14 | 2017-03-29 | Panasonic Intellectual Property Management Co., Ltd. | Information processing apparatus |
| CN103238305A (zh) | 2010-05-28 | 2013-08-07 | 安全第一公司 | 用于安全数据储存的加速器系统 |
| WO2012031165A2 (en) * | 2010-09-02 | 2012-03-08 | Zaretsky, Howard | System and method of cost oriented software profiling |
| US9607293B2 (en) * | 2010-11-29 | 2017-03-28 | Barclays Bank Plc | Method and system for account management and electronic wallet access on a mobile device |
| US20120123935A1 (en) | 2010-11-17 | 2012-05-17 | David Brudnicki | System and Method for Physical-World Based Dynamic Contactless Data Emulation in a Portable Communication Device |
| US8850200B1 (en) * | 2011-06-21 | 2014-09-30 | Synectic Design, LLC | Method and apparatus for secure communications through a trusted intermediary server |
| US9721071B2 (en) * | 2011-06-29 | 2017-08-01 | Sonic Ip, Inc. | Binding of cryptographic content using unique device characteristics with server heuristics |
| US9183380B2 (en) * | 2011-10-11 | 2015-11-10 | Citrix Systems, Inc. | Secure execution of enterprise applications on mobile devices |
| US9317702B2 (en) * | 2011-11-29 | 2016-04-19 | Sony Corporation | System and method for providing secure inter-process communications |
| US8925055B2 (en) * | 2011-12-07 | 2014-12-30 | Telefonaktiebolaget Lm Ericsson (Publ) | Device using secure processing zone to establish trust for digital rights management |
| US9015066B2 (en) * | 2011-12-13 | 2015-04-21 | Ebay Inc. | Digital wallet loading |
| US20140040139A1 (en) * | 2011-12-19 | 2014-02-06 | Sequent Software, Inc. | System and method for dynamic temporary payment authorization in a portable communication device |
| US8831218B2 (en) | 2012-04-10 | 2014-09-09 | Western Digital Technologies, Inc. | Digital rights management system and methods for provisioning content to an intelligent storage |
| US9275223B2 (en) | 2012-10-19 | 2016-03-01 | Mcafee, Inc. | Real-time module protection |
| US9911118B2 (en) * | 2012-11-21 | 2018-03-06 | Visa International Service Association | Device pairing via trusted intermediary |
| US20140145823A1 (en) * | 2012-11-27 | 2014-05-29 | Assa Abloy Ab | Access control system |
| EP2951981A1 (en) * | 2013-01-29 | 2015-12-09 | Grace, Mary | Smart card and smart card system with enhanced security features |
| US9317704B2 (en) | 2013-06-12 | 2016-04-19 | Sequent Software, Inc. | System and method for initially establishing and periodically confirming trust in a software application |
| JP6210812B2 (ja) | 2013-09-24 | 2017-10-11 | キヤノン株式会社 | 情報処理装置およびその制御方法、並びにプログラム |
| US9774448B2 (en) * | 2013-10-30 | 2017-09-26 | Duo Security, Inc. | System and methods for opportunistic cryptographic key management on an electronic device |
| US20150326545A1 (en) | 2014-05-06 | 2015-11-12 | Apple Inc. | Secure key rotation for an issuer security domain of an electronic device |
| US9775029B2 (en) * | 2014-08-22 | 2017-09-26 | Visa International Service Association | Embedding cloud-based functionalities in a communication device |
-
2017
- 2017-04-14 WO PCT/US2017/027749 patent/WO2017181097A1/en active Application Filing
- 2017-04-14 US US15/488,276 patent/US11829506B2/en active Active
- 2017-04-14 CN CN201780035113.7A patent/CN109643282B/zh active Active
- 2017-04-14 EP EP17783303.5A patent/EP3443462B8/en active Active
- 2017-04-14 JP JP2019505330A patent/JP7186163B2/ja active Active
- 2017-04-14 ES ES17783303T patent/ES2918011T3/es active Active
-
2022
- 2022-08-04 JP JP2022124672A patent/JP2022172099A/ja active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1949196A (zh) * | 2005-10-11 | 2007-04-18 | 梅里迪财务软件公司 | 将数据安全地存储在便携式设备中的方法、设备和系统 |
| CN101755291A (zh) * | 2007-07-24 | 2010-06-23 | Nxp股份有限公司 | 用于向移动电话安全地发送应用程序的方法、系统和可信任服务管理器 |
| US20110154497A1 (en) * | 2009-12-17 | 2011-06-23 | American Express Travel Related Services Company, Inc. | Systems, methods, and computer program products for collecting and reporting sensor data in a communication network |
| US20120159612A1 (en) * | 2010-11-17 | 2012-06-21 | Sequent Software Inc. | System for Storing One or More Passwords in a Secure Element |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3443462A1 (en) | 2019-02-20 |
| JP2022172099A (ja) | 2022-11-15 |
| CN109643282B (zh) | 2023-08-25 |
| JP2019517229A (ja) | 2019-06-20 |
| WO2017181097A1 (en) | 2017-10-19 |
| EP3443462B8 (en) | 2022-05-18 |
| US20170300716A1 (en) | 2017-10-19 |
| EP3443462B1 (en) | 2022-04-13 |
| JP7186163B2 (ja) | 2022-12-08 |
| ES2918011T3 (es) | 2022-07-13 |
| US11829506B2 (en) | 2023-11-28 |
| EP3443462A4 (en) | 2020-02-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10496832B2 (en) | System and method for initially establishing and periodically confirming trust in a software application | |
| CN109643282A (zh) | 用于生成、存储、管理和使用与便携式电子设备相关联的一个或多个数字机密的系统和方法 | |
| US10102510B2 (en) | Method and system of conducting a cryptocurrency payment via a mobile device using a contactless token to store and protect a user's secret key | |
| JP6818679B2 (ja) | セキュアホストカードエミュレーションクレデンシャル | |
| US10515352B2 (en) | System and method for providing diverse secure data communication permissions to trusted applications on a portable communication device | |
| CN1344396B (zh) | 便携式电子的付费与授权装置及其方法 | |
| US20120159612A1 (en) | System for Storing One or More Passwords in a Secure Element | |
| US20120246075A1 (en) | Secure electronic payment methods | |
| CN107278307A (zh) | 软件层的相互认证 | |
| CN107111500A (zh) | 应用库的无线储备 | |
| CN109118193A (zh) | 用于安全元件交易和资产管理的装置和方法 | |
| Cheng et al. | A secure and practical key management mechanism for NFC read-write mode | |
| Khan et al. | A secure and flexible electronic-ticket system | |
| Sturgess et al. | VisAuth: Authentication over a Visual Channel Using an Embedded Image | |
| WO2013130651A2 (en) | System for storing one or more passwords in a secure element |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20240321 Address after: Tokyo Patentee after: TIS Inc. Country or region after: Japan Address before: California, USA Patentee before: GFA Global Country or region before: U.S.A. |
|
| TR01 | Transfer of patent right |