CN111742316B - 管理包括若干个软件容器的防篡改设备的方法 - Google Patents

Abstract

本发明是一种用于管理防篡改设备（10）的方法，所述防篡改设备（10）包括操作系统（12）和多个软件容器（20，30）。操作系统能够处理与外部实体的一组通信协议。操作系统访问配对数据（14），其中所述组中的每个通信协议已经与单个软件容器相关联，并且在从外部实体中的一个接收到消息时，操作系统使用配对数据将所述消息路由到与用于传送所述消息的通信协议相关联的软件容器。

Description

管理包括若干个软件容器的防篡改设备的方法

技术领域

本发明涉及管理包括若干个软件容器的防篡改设备的方法。它特别地涉及管理外部实体对软件容器的访问的方法。

背景技术

也称为安全元件的防篡改设备是能够存储数据并以安全的方式提供服务的物理组件。一般而言，防篡改设备具有有限量的内存、具有有限容量的处理器并且没有电池。例如，UICC（通用集成电路卡）是嵌入用于电信目的的SIM应用的防篡改设备。防篡改设备可以固定地或不固定地安装在例如像移动电话的终端中。在一些情况下，终端由与用于M2M（机器对机器）应用的其他机器通信的机器构成。

防篡改设备可以以智能卡的格式，或者可以以任何其他格式，诸如，例如但不限于如在PCT/SE2008/050380中描述的封装芯片，或者任何其他格式。

已知在主机设备中焊接或接合防篡改设备，以便使其依赖于该主机设备。这是在M2M（机器对机器）应用中完成的。当包含支付应用、SIM或USIM应用以及相关联文件的芯片（防篡改设备）被包含在主机设备中时，达到相同的目的。芯片例如焊接到主机设备或机器的母板，并构成嵌入式UICC（eUICC）。

像嵌入式UICC（eUICC）之类的防篡改设备可以包含被附接到一个或若干个电信运营商的若干个电信配置文件（订阅）。由于互操作性的原因，这样的防篡改设备必须遵从GSMA SGP .22 RSP技术规范标准。

还已知使用遵从全球平台卡规范标准的防篡改设备。这样的防篡改设备——包括嵌入式安全元件（或eSE）——可以包含像支付应用或接入应用之类的非电信应用。

到目前为止，通过分离的物理组件实现这两种防篡改设备。现今，新的需求正在涌现：将eUICC的功能和eSE的功能二者嵌入在单个防篡改设备中。

上面引用的标准要求通过具有相同标识符的软件容器来管理配置文件和应用。因此，当消息来自外部实体时，防篡改设备不能够标识真正作为目标的软件容器。

存在如下需要：管理对嵌入在单个防篡改设备中的若干个软件容器的访问。

发明内容

本发明旨在解决上面提及的技术问题。

本发明的目的是一种用于管理防篡改设备的方法，所述防篡改设备包括操作系统和多个软件容器。操作系统被配置为处理与外部实体的一组通信协议。操作系统访问配对数据，其中所述组中的每个通信协议已经与属于所述多个软件容器的单个软件容器相关联。在从外部实体中的一个接收到消息时，操作系统使用配对数据将所述消息路由到与用于传送所述消息的通信协议相关联的软件容器。

有利地，所述多个软件容器中的每个软件容器可以包括文件，并且这些文件可以被具有共同标识符的外部实体作为目标。

有利地，所述多个软件容器中的每个软件容器可以包括根文件，并且这些根文件可以被具有共同标识符的外部实体作为目标。

有利地，操作系统可以仅在所述消息以共同标识符作为目标的情况下才使用配对数据来路由所述消息。

有利地，所述多个软件容器可以包括符合全球平台卡规范标准的安全域和符合GSMA SGP .22 RSP技术规范标准的电信配置文件二者。

有利地，防篡改设备可以是嵌入式安全元件、集成安全元件、安全围圈（enclave）、智能卡或机器对机器设备。

有利地，所述一组通信协议可以包括如由ETSI ISO7816-3所定义的T=0或T=1，以及以下分组中的至少一个协议：SWP非接触类型A、SWP非接触类型B、APDU门或SPI。

本发明的另一目的是一种防篡改设备，其包括操作系统和多个软件容器。操作系统能够处理与外部实体的一组通信协议。操作系统包括配对数据，其中所述组中的每个通信协议已经与属于所述多个软件容器的单个软件容器相关联。操作系统包括路由代理，所述路由代理被配置为在从外部实体中的一个接收到消息时，使用配对数据将所述消息路由到与用于传送所述消息的通信协议相关联的软件容器。

有利地，所述多个软件容器中的每个软件容器可以包括文件，并且这些文件可以被具有共同标识符的外部实体作为目标。

有利地，所述多个软件容器中的每个软件容器可以包括根文件，并且根文件可以被具有共同标识符的外部实体作为目标。

有利地，路由代理可以仅在所述消息以所述共同标识符作为目标的情况下，才使用配对数据将所述消息路由到与用于传送所述消息的通信协议相关联的软件容器。

有利地，所述多个软件容器可以包括符合全球平台卡规范标准的安全域和符合GSMA SGP .22 RSP技术规范标准的电信配置文件二者。

本发明的另一目的是嵌入根据本发明的防篡改设备的主机设备。

附图说明

根据参考对应附图对本发明多个优选实施例的以下描述的阅读，本发明的其他特性和优点将显现得更清楚，附图中：

图1是根据本发明的防篡改设备的硬件架构的示例；和

图2描绘了根据本发明的防篡改设备的逻辑架构的示例。

具体实施方式

本发明可以适用于如下的任何类型的防篡改设备或安全元件：其意图包含若干个软件容器并且能够通过至少两个协议进行通信。防篡改设备可以耦合到任何类型的主机。例如，主机可以是移动电话、车辆、仪表、自动贩卖机、TV、平板设备、膝上型计算机、连接的手表、或计算机。

防篡改设备可以是嵌入式安全元件（eSE）、集成安全元件（iSE）、安全围圈、智能卡或机器对机器设备。集成安全元件是集成在硬件元件中的安全元件，所述硬件元件提供不同于所述安全元件的特征的附加功能性。例如，基带调制解调器可以包括iSE。与eSE和iSE相关的更多信息可以在Javacard平台经典版v3.0.5和全球平台卡规范v2.3中找到。

意图向软件容器发送消息（命令）的外部实体可以是远程服务器、NFC设备、主机本身或适于发起以软件容器中的一个作为目标的消息的发送的任何计算机机器。

在本文档中，“将消息路由到软件容器”意味着“将消息路由到属于软件容器的实体（像文件或目录）。优选地，该实体是软件容器的根文件或者软件容器的主安全域的根文件。

图1示出了根据本发明的防篡改设备的硬件架构的示例。

在该示例中，防篡改设备10是接合到电信终端（未示出）的安全元件，并且充当UICC。例如，防篡改设备10可以是嵌入在智能电话中的芯片。防篡改设备10包括处理器40、工作存储器50、非易失性存储器70和通信接口60。

工作存储器50可以是RAM，并且非易失性存储器70可以是闪速存储器。通信接口60被设计成根据若干个通信协议来传送数据。例如，通信接口60可以被设计成遵从ISO7816-3T=0协议和串行外围接口（SPI）二者。

非易失性存储器70包括防篡改设备的操作系统12以及两个软件容器20和30。这些软件容器是分离的，并由操作系统12作为单独的实体来管理。换句话说，操作系统12能够保证一个软件容器无法不正当地访问属于另一软件容器的数据。

在该示例中，操作系统12被配置为处理ISO7816-3 T=0和SWP协议二者。

在另一示例中，通信接口60和操作系统12二者可以被配置为处理以下协议之中的至少两个协议的任何组合：如由ETSI ISO7816-3所定义的T=1（或T=0）；由ETSI TS 102 613V.11.0.0——UICC-CLF接口的SWP非接触类型A；如由ETSI TS 102 613 V.11.0.0——UICC-CLF接口所定义的SWP非接触类型B；SPI；以及如由嵌入式安全元件认证0.5和ETSI标准的HCI扩展：102.622 v12.1.0所定义的APDU门。

操作系统12和通信接口60也可以被配置为处理专有通信协议。

图2示出了根据本发明的防篡改设备的逻辑架构的示例。

该图提供了图1处描述的防篡改设备10的逻辑视图。

防篡改设备10包括软件容器30，其存储与托管防篡改设备10的主机设备的发布者相关的配置文件。该配置文件的结构符合全球平台卡规范V2.3标准。

更精确地，软件容器30包括命名为ISD（代表发布者安全域）的主发布者目录。ISD包含存储与托管防篡改设备10的主机设备的配置文件相关的数据的一组文件。根据全球平台卡规范V2.3标准，ISD被实现为具有标识符（命名为AID）的文件，所述标识符的值被设置为0xA000000151000000。

软件容器30可以包含若干个应用，所述若干个应用例如提供支付、建筑访问或NFC服务。例如，图2的软件容器30包含安全域（AM SD），所述安全域（AM SD）包括对应于钱包服务的文件和数据。

要注意到，软件容器30不一定包含与主机设备的发布者相关的配置文件。它可以包含与非电信参与者相关的任何配置文件。

防篡改设备10包括软件容器20，该软件容器20存储与符合GSMA SGP .22 RSP技术规范V2.1标准的电信运营商订阅相关的数据。

更精确地，软件容器20包括命名为ISD-R（代表根发布者安全域）的根目录和包含不同配置文件的两个从属目录：ISD-P1和ISD-P2。ISD-P1（代表配置文件#1的发布者安全域）包含存储与第一移动网络运营商（MNO）订阅配置文件相关的数据的一组文件。类似地，ISD-P2（代表配置文件#2的发布者安全域）包含存储与第二（MNO）订阅配置文件相关的数据的一组文件。

要注意到，上述目录被实现为具有它们自己的标识符（即AID）的文件。

根据GSMA SGP .22 RSP技术规范V2.1标准，ISD-R的AID应当利用值：0xA000000151000000来管理。因为已经利用相同的AID值创建了另一文件（即软件容器30的ISD），所以利用不同的AID值创建ISD-R。例如0xA000000152000000可以被分配给ISD-R的AID。操作系统12被配置为当ISD-R被传入命令/消息作为目标时，将AID值0xA000000151000000作为ISD-R的别名来处理。例如，操作系统12可以管理允许管理别名机制的注册表。别名机制定义两个标识符之间的链接，从而允许用一个AID值替换另一AID值。

操作系统12包括配对数据14和路由代理16。配对数据14包括由操作系统12管理的每个通信协议与存储在防篡改设备10中的一个软件容器之间的关联（链接）的描述。更精确地，每个通信协议与单个软件容器相关联。然而，一个软件容器可以与多于一个通信协议相关联。

假设操作系统12被设计成通过ISO7816-3、APDU门和SPI协议来处理通信，则ISO7816-3协议可以被分配给软件容器20，而APDU门和SPI协议二者被分配给软件容器30。

路由代理16被设计成当接收到传入消息（或命令）时标识所使用的协议，并且使用所标识的协议作为鉴别器来将消息朝其真实目标引导。因此，在从外部实体接收到消息时，路由代理16使用配对数据14将消息路由到与用于传送消息的通信协议相关联的软件容器。

例如，如在配对数据14中所声明的，以ISD-R为目标（即，归因于AID =0xA000000151000000而定义目标）并且通过ISO7816-3协议接收的传入命令被路由到软件容器20（即，到软件容器20的ISD-R）。

如果操作系统12包括Javacard虚拟机，则路由代理16可以依靠（例如，如由Javacard 3.x标准所定义的）Javacard getProtocol（）方法来标识所使用的协议，以便区分必须以哪个软件容器作为目标。

优选地，路由代理16被配置为仅在接收到的消息包含设置为共同值（即，在上述示例中为0xA000000151000000）的目标AID的情况下，才标识所使用的协议并确定具有所使用的协议的目标软件容器。换句话说，路由代理16可以被配置为仅在目标根文件（即软件容器）从属于别名的时候，才通过使用配对数据14来路由传入消息。

优选地，操作系统12适于管理由ETSI ISO7816-3定义的至少一个协议（例如，T=1或T=0）和以下列表之中的至少一个协议：SWP非接触类型A、SWP非接触类型B、APDU门和SPI。有利地，配对数据14包含以下关联：所有ETSI ISO7816-3协议都被分配给软件容器20，而所有其他协议都被分配给软件容器30。

在图2的实施例中，路由代理16是嵌入在操作系统12中的软件组件。路由代理16和操作系统12二者包括由防篡改设备10的处理器执行的指令。

要注意到，在上述实施例中，标准的版本仅作为示例提供。例如，防篡改设备10可以包括软件容器20，该软件容器20存储与符合GSMA SGP .22 RSP技术规范V2.0或V2.2标准的电信运营商订阅相关的数据。

在一个示例中，向软件容器中的一个发送消息（命令）的外部实体可以是位于移动电话的富OS部分中的应用。在该情况下，消息可以通过APDU门协议传送。

在另一示例中，向软件容器中的一个发送消息（命令）的外部实体可以是位于移动电话的受信执行环境（TEE）部分中的应用。在该情况下，消息可以通过SPI协议传送。

在另一示例中，向软件容器中的一个发送消息（命令）的外部实体可以是位于外部NFC读取器中的应用。在该情况下，消息可以通过SWP协议经由NFC控制器来传送。

必须理解，在本发明的范围内，上述实施例作为非限制性示例被提供。特别地，在所呈现的实施例和示例中描述的特征可以被组合。

防篡改设备10可以包括多于两个软件容器，其根文件共享相同的AID值（即共同标识符）。

本发明允许路由以不是根文件的文件作为目标的命令。

图1和图2处所示的防篡改设备的架构仅作为示例提供。这些架构可以是不同的。

例如，配对数据14可以被存储在防篡改设备中并且在操作系统12本身之外。在这样的情况下，路由代理16适于在需要时读取配对数据14。

上述通信接口是可以在接触模式中或者在非接触模式中工作的物理接口。

尽管在电信装备的框架中进行描述，但是本发明还适用于其软件容器不包括任何电信配置文件的防篡改设备。

Claims (16)

1.一种用于管理安全元件的方法，所述安全元件包括操作系统和多个软件容器，所述操作系统被配置成处理与外部实体的一组通信协议，

其中，所述操作系统访问配对数据，所述配对数据包括对所述组中的每个通信协议与属于所述多个软件容器的软件容器之间的关联的描述，所述通信协议中的每个通信协议与所述安全元件中的单个软件容器相关联，并且其中，在从所述外部实体中的一个接收到消息时，

所述操作系统标识用于传送所述消息的特定通信协议，然后使用所标识的特定通信协议作为鉴别器来将所述消息路由到所述安全元件中的所述多个软件容器中的特定软件容器，所述特定软件容器在所述配对数据中被声明为与该组通信协议中的用于传送所述消息的特定通信协议相关联。

2.根据权利要求1所述的方法，其中，所述安全元件中的所述多个软件容器中的每个软件容器包括借助于同一标识符被所述外部实体作为目标的文件。

3.根据权利要求2所述的方法，其中，所述多个软件容器中的每个软件容器包括借助于共同标识符被所述外部实体作为目标的根文件，

其中，所述路由以所述根文件为目标，使得所述消息被路由到所述安全元件中的所述特定软件容器的主安全域。

4.根据权利要求3所述的方法，其中，仅在所述消息以所述共同标识符作为目标的情况下，所述操作系统才使用所述配对数据来路由所述消息。

5.根据权利要求1至3中任一项所述的方法，其中，所述多个软件容器包括符合全球平台卡规范标准的安全域和符合GSMA SGP 0.22 RSP技术规范标准的电信配置文件二者。

6.根据权利要求1至3中任一项所述的方法，其中，所述安全元件是嵌入式安全元件、集成安全元件、安全围圈、智能卡或机器对机器设备。

7.根据权利要求1至3中任一项所述的方法，其中，所述一组通信协议包括如由ETSIISO7816-3所定义的T＝0或T＝1以及至少一个：SWP非接触类型A、SWP非接触类型B、APDU门或SPI。

8.一种安全元件，其包括硬件处理器、操作系统和多个软件容器，所述操作系统被配置成处理与外部实体的一组通信协议，

其中，所述操作系统包括配对数据，所述配对数据包括对所述组中的每个通信协议与属于所述安全元件中的所述多个软件容器的软件容器之间的关联的描述，所述通信协议中的每个通信协议与单个软件容器相关联，并且其中，

所述操作系统包括路由代理，其被配置成：在从所述外部实体中的一个接收到消息时，标识用于传送所述消息的特定通信协议，然后使用所标识的特定通信协议作为鉴别器来将所述消息路由到所述安全元件中的所述多个软件容器中的特定软件容器，所述特定软件容器在所述配对数据中被声明为与该组通信协议中的用于传送所述消息的特定通信协议相关联。

9.根据权利要求8所述的安全元件，其中，所述多个软件容器中的每个软件容器包括借助于同一标识符被所述外部实体作为目标的文件。

10.根据权利要求9所述的安全元件，其中，所述多个软件容器中的每个软件容器包括借助于共同标识符被所述外部实体作为目标的根文件，

其中，所述路由以所述根文件为目标，使得所述消息被路由到由所述安全元件管理的所述特定软件容器的主安全域。

11.根据权利要求10所述的安全元件，其中，所述路由代理被配置成：仅在所述消息以所述共同标识符作为目标的情况下，才使用所述配对数据将所述消息路由到与用于传送所述消息的所述特定通信协议相关联的所述特定软件容器。

12.根据权利要求8至10中任一项所述的安全元件，其中，所述多个软件容器包括符合全球平台卡规范标准的安全域和符合GSMA SGP 0.22 RSP技术规范标准的电信配置文件二者。

13.根据权利要求8至10中任一项所述的安全元件，其中，所述安全元件是嵌入式安全元件、集成安全元件、安全围圈、智能卡或机器对机器设备。

14.根据权利要求8至10中任一项所述的安全元件，其中，所述一组通信协议包括如由ETSI ISO7816-3所定义的T＝0或T＝1以及至少一个：SWP非接触类型A、SWP非接触类型B、APDU门或SPI。

15.根据权利要求8至10中的任一项所述的安全元件，其中，所述安全元件嵌入在主机设备中。

16.一种用于管理包括操作系统和多个软件容器的安全元件的方法，所述操作系统被配置成处理与外部实体的一组通信协议，

其中，所述操作系统访问配对数据，所述配对数据包括对所述组中的每个通信协议与属于所述多个软件容器的软件容器之间的关联的描述，所述通信协议中的每个通信协议与所述安全元件中的单个软件容器相关联，并且其中，在从所述外部实体中的一个接收到消息时，

所述操作系统标识用于传送所述消息的特定通信协议，然后使用所标识的特定通信协议作为鉴别器来将所述消息路由到所述安全元件中的所述多个软件容器中的特定软件容器，所述特定软件容器在所述配对数据中被声明为与该组通信协议中的用于传送所述消息的特定通信协议相关联，

其中，所述多个软件容器中的每个软件容器包括借助于共同标识符被所述外部实体作为目标的根文件，

其中，所述路由以所述根文件为目标，使得所述消息被路由到所述安全元件中的所述特定软件容器的主安全域。