[发明专利]用于提供安全服务的方法

说明书

技术领域

本发明涉及通过诸如安全处理器之类的安全元件来实现安全事务或提供安全服务。可以将安全元件连接或嵌入到诸如移动电话或其等同物或计算机之类的主机设备中。安全元件可以包括安全处理器，诸如用户身份模块(SIM)卡、微型安全数字(micro-SD)卡、通用集成电路卡(UICC)模块，或更一般地诸如尤其符合ISO 7816标准的集成电路卡。安全元件还可以只包括由处理器实现的安全环境，诸如尤其符合全球平台标准的可信执行环境。

背景技术

当必须执行安全操作时，使用安全元件来进行事务或提供服务一般需要在主机设备中安装涉及该安全元件的应用。

但是，由于主机设备并不安全，所以能将安装在主机设备中的应用设计为发起对安全元件的攻击，尤其旨在发现由安全元件存储或处理的保密信息。此类攻击还旨在在安全元件的持有者不知道的情况下执行事务。

为了消除这些风险，希望能够保证试图访问安全元件的应用被授权执行此类访问。一旦应用可以访问安全元件，则希望保证其它应用不使用分配给该应用的访问授权。

为了这个目的，已经开发了JSR 177标准(Java规范需求)来提出在移动电话和安全处理器之间的标准化通信接口，以便保护诸如在事务中所交换的数据之类的数据的交换和存储，并利用第三方在数据交换中识别并认证用户。JSR 177标准包括访问控制机制，其使得能被认证的应用能够访问存储在安全元件中的信息。在接收到由应用发送的访问请求后，由主机设备操作系统实施的访问控制机制访问由安全元件存储的访问控制数据，并使用此类访问控制数据认证该应用。

JSR 177因此具有如下不足：将访问控制功能交给(非安全的)主机设备操作系统。因此，存在这样的风险：欺骗性地修改操作系统以停用或修改访问控制机制。

另外，每种类型的主机设备都具有各自的操作系统，所述操作系统实施各自的访问控制机制。因此，访问控制机制必须适应多个不同的操作系统。另外，每次修改该机制，还必须修改每个实施该机制的操作系统。

因此，希望提高用于控制安装在主机设备中的应用对安全元件的访问的访问控制机制的鲁棒性。还希望无须修改装备现有主机设备的操作系统而实施此类机制。

发明内容

某些实施例涉及一种用于通过安全元件执行由移动终端的非安全处理器发送的命令的方法，其中，所述安全元件被连接到所述非安全处理器，所述方法包括以下步骤：在所述非安全处理器中，安装用于管理与所述安全元件的通信的定制应用模块；向所述安全元件传输用于认证所述定制应用模块的第一认证数据，以便保证所传输的数据的保密性；所述定制应用模块生成并向所述安全元件传输用于认证所述定制应用模块的第二认证数据；如果所述安全元件确定所述第一和第二认证数据彼此一致，则使用所述第一或第二认证数据在所述定制应用模块和所述安全元件之间创建安全通信链路；所述非安全处理器向所述安全元件传输命令，所述命令由安装在所述非安全处理器中的应用提供；以及只有在经由所述安全通信链路发送所述命令的情况下，所述安全元件才执行所述命令。

根据一个实施例，所述第一认证数据包括所述定制应用模块的可执行代码的第一签名，所述方法包括以下步骤：所述定制应用模块计算所述定制应用模块的所述可执行代码的第二签名；以及所述定制应用模块通过将加密功能应用到所述第二签名来计算所述第二认证数据。

根据一个实施例，只在以下情况下，所述安全元件才执行所述命令：根据由所述安全元件存储的访问控制列表，对于安装在所述安全元件中的目标应用，和/或对于安装在所述非安全处理器中的发布所述命令的应用，所述命令被授权。

根据一个实施例，每个安装在所述非安全处理器中的能与所述安全元件通信的应用包括所述定制应用模块。

根据一个实施例，所述方法包括以下步骤：传输并在所述非安全处理器中安装用于管理与所述安全元件的通信的新的定制模块或者用于定制所述定制应用模块的新的数据；以及向所述安全元件传输用于认证所述新的定制应用模块或与所述新的定制数据相关联的所述定制应用模块的新的第一认证数据，这些步骤或者被周期性地执行，或者当创建所述安全通信链路时或当处理由所述非安全处理器的应用发布的命令时，在所述安全元件遇到错误的情况下被执行。

根据一个实施例，由可信服务器生成所述定制应用模块，以及所述可信服务器经由在所述安全元件和所述可信服务器的地址之间创建的安全链路向所述安全元件传输用于认证所述定制应用模块的所述第一认证数据。