本发明专利技术是一种用于管理防篡改设备(10)的方法,所述防篡改设备(10)包括操作系统(12)和多个软件容器(20,30)。操作系统能够处理与外部实体的一组通信协议。操作系统访问配对数据(14),其中所述组中的每个通信协议已经与单个软件容器相关联,并且在从外部实体中的一个接收到消息时,操作系统使用配对数据将所述消息路由到与用于传送所述消息的通信协议相关联的软件容器。
【技术实现步骤摘要】
【国外来华专利技术】管理包括若干个软件容器的防篡改设备的方法
本专利技术涉及管理包括若干个软件容器的防篡改设备的方法。它特别地涉及管理外部实体对软件容器的访问的方法。
技术介绍
也称为安全元件的防篡改设备是能够存储数据并以安全的方式提供服务的物理组件。一般而言,防篡改设备具有有限量的内存、具有有限容量的处理器并且没有电池。例如,UICC(通用集成电路卡)是嵌入用于电信目的的SIM应用的防篡改设备。防篡改设备可以固定地或不固定地安装在例如像移动电话的终端中。在一些情况下,终端由与用于M2M(机器对机器)应用的其他机器通信的机器构成。防篡改设备可以以智能卡的格式,或者可以以任何其他格式,诸如,例如但不限于如在PCT/SE2008/050380中描述的封装芯片,或者任何其他格式。已知在主机设备中焊接或接合防篡改设备,以便使其依赖于该主机设备。这是在M2M(机器对机器)应用中完成的。当包含支付应用、SIM或USIM应用以及相关联文件的芯片(防篡改设备)被包含在主机设备中时,达到相同的目的。芯片例如焊接到主机设备或机器的母板,并构成嵌入式UICC(eUICC)。像嵌入式UICC(eUICC)之类的防篡改设备可以包含被附接到一个或若干个电信运营商的若干个电信配置文件(订阅)。由于互操作性的原因,这样的防篡改设备必须遵从GSMASGP.22RSP技术规范标准。还已知使用遵从全球平台卡规范标准的防篡改设备。这样的防篡改设备——包括嵌入式安全元件(或eSE)——可以包含像支付应用或接入应用之类的非电信应用。到目前为止,通过分离的物理组件实现这两种防篡改设备。现今,新的需求正在涌现:将eUICC的功能和eSE的功能二者嵌入在单个防篡改设备中。上面引用的标准要求通过具有相同标识符的软件容器来管理配置文件和应用。因此,当消息来自外部实体时,防篡改设备不能够标识真正作为目标的软件容器。存在如下需要:管理对嵌入在单个防篡改设备中的若干个软件容器的访问。
技术实现思路
本专利技术旨在解决上面提及的技术问题。本专利技术的目的是一种用于管理防篡改设备的方法,所述防篡改设备包括操作系统和多个软件容器。操作系统被配置为处理与外部实体的一组通信协议。操作系统访问配对数据,其中所述组中的每个通信协议已经与属于所述多个软件容器的单个软件容器相关联。在从外部实体中的一个接收到消息时,操作系统使用配对数据将所述消息路由到与用于传送所述消息的通信协议相关联的软件容器。有利地,所述多个软件容器中的每个软件容器可以包括文件,并且这些文件可以被具有共同标识符的外部实体作为目标。有利地,所述多个软件容器中的每个软件容器可以包括根文件,并且这些根文件可以被具有共同标识符的外部实体作为目标。有利地,操作系统可以仅在所述消息以共同标识符作为目标的情况下才使用配对数据来路由所述消息。有利地,所述多个软件容器可以包括符合全球平台卡规范标准的安全域和符合GSMASGP.22RSP技术规范标准的电信配置文件二者。有利地,防篡改设备可以是嵌入式安全元件、集成安全元件、安全围圈(enclave)、智能卡或机器对机器设备。有利地,所述一组通信协议可以包括如由ETSIISO7816-3所定义的T=0或T=1,以及以下分组中的至少一个协议:SWP非接触类型A、SWP非接触类型B、APDU门或SPI。本专利技术的另一目的是一种防篡改设备,其包括操作系统和多个软件容器。操作系统能够处理与外部实体的一组通信协议。操作系统包括配对数据,其中所述组中的每个通信协议已经与属于所述多个软件容器的单个软件容器相关联。操作系统包括路由代理,所述路由代理被配置为在从外部实体中的一个接收到消息时,使用配对数据将所述消息路由到与用于传送所述消息的通信协议相关联的软件容器。有利地,所述多个软件容器中的每个软件容器可以包括文件,并且这些文件可以被具有共同标识符的外部实体作为目标。有利地,所述多个软件容器中的每个软件容器可以包括根文件,并且根文件可以被具有共同标识符的外部实体作为目标。有利地,路由代理可以仅在所述消息以所述共同标识符作为目标的情况下,才使用配对数据将所述消息路由到与用于传送所述消息的通信协议相关联的软件容器。有利地,所述多个软件容器可以包括符合全球平台卡规范标准的安全域和符合GSMASGP.22RSP技术规范标准的电信配置文件二者。本专利技术的另一目的是嵌入根据本专利技术的防篡改设备的主机设备。附图说明根据参考对应附图对本专利技术多个优选实施例的以下描述的阅读,本专利技术的其他特性和优点将显现得更清楚,附图中:图1是根据本专利技术的防篡改设备的硬件架构的示例;和图2描绘了根据本专利技术的防篡改设备的逻辑架构的示例。具体实施方式本专利技术可以适用于如下的任何类型的防篡改设备或安全元件:其意图包含若干个软件容器并且能够通过至少两个协议进行通信。防篡改设备可以耦合到任何类型的主机。例如,主机可以是移动电话、车辆、仪表、自动贩卖机、TV、平板设备、膝上型计算机、连接的手表、或计算机。防篡改设备可以是嵌入式安全元件(eSE)、集成安全元件(iSE)、安全围圈、智能卡或机器对机器设备。集成安全元件是集成在硬件元件中的安全元件,所述硬件元件提供不同于所述安全元件的特征的附加功能性。例如,基带调制解调器可以包括iSE。与eSE和iSE相关的更多信息可以在Javacard平台经典版v3.0.5和全球平台卡规范v2.3中找到。意图向软件容器发送消息(命令)的外部实体可以是远程服务器、NFC设备、主机本身或适于发起以软件容器中的一个作为目标的消息的发送的任何计算机机器。在本文档中,“将消息路由到软件容器”意味着“将消息路由到属于软件容器的实体(像文件或目录)。优选地,该实体是软件容器的根文件或者软件容器的主安全域的根文件。图1示出了根据本专利技术的防篡改设备的硬件架构的示例。在该示例中,防篡改设备10是接合到电信终端(未示出)的安全元件,并且充当UICC。例如,防篡改设备10可以是嵌入在智能电话中的芯片。防篡改设备10包括处理器40、工作存储器50、非易失性存储器70和通信接口60。工作存储器50可以是RAM,并且非易失性存储器70可以是闪速存储器。通信接口60被设计成根据若干个通信协议来传送数据。例如,通信接口60可以被设计成遵从ISO7816-3T=0协议和串行外围接口(SPI)二者。非易失性存储器70包括防篡改设备的操作系统12以及两个软件容器20和30。这些软件容器是分离的,并由操作系统12作为单独的实体来管理。换句话说,操作系统12能够保证一个软件容器无法不正当地访问属于另一软件容器的数据。在该示例中,操作系统12被配置为处理ISO7816-3T=0和SWP协议二者。在另一示例中,通信接口60和操作系统12二者可以被配置为处理以下协议之中的至少两个协议的任何组合:如由ETSIISO7816-3所定义的T=1(或本文档来自技高网...
【技术保护点】
1.一种用于管理防篡改设备(10)的方法,所述防篡改设备(10)包括操作系统(12)和多个软件容器(20,30),所述操作系统能够处理与外部实体的一组通信协议,/n其特征在于,所述操作系统访问配对数据(14),其中所述组中的每个通信协议已经与属于所述多个软件容器的单个软件容器相关联,并且在于,在从所述外部实体中的一个接收到消息时,所述操作系统使用配对数据将所述消息路由到与用于传送所述消息的通信协议相关联的软件容器。/n
【技术特征摘要】
【国外来华专利技术】20171121 EP 17306605.1;20180221 EP 18305181.21.一种用于管理防篡改设备(10)的方法,所述防篡改设备(10)包括操作系统(12)和多个软件容器(20,30),所述操作系统能够处理与外部实体的一组通信协议,
其特征在于,所述操作系统访问配对数据(14),其中所述组中的每个通信协议已经与属于所述多个软件容器的单个软件容器相关联,并且在于,在从所述外部实体中的一个接收到消息时,所述操作系统使用配对数据将所述消息路由到与用于传送所述消息的通信协议相关联的软件容器。
2.根据权利要求1所述的方法,其中所述多个软件容器中的每个软件容器包括文件,并且其中所述文件被具有共同标识符的所述外部实体作为目标。
3.根据权利要求2所述的方法,其中所述多个软件容器中的每个软件容器包括根文件,并且其中所述根文件被具有共同标识符的所述外部实体作为目标。
4.根据权利要求2至3中任一项所述的方法,其中,仅在所述消息以所述共同标识符作为目标的情况下,所述操作系统才使用配对数据来路由所述消息。
5.根据权利要求1至4中任一项所述的方法,其中,所述多个软件容器包括符合全球平台卡规范标准的安全域和符合GSMASGP.22RSP技术规范标准的电信配置文件二者。
6.根据权利要求1至5中任一项所述的方法,其中,防篡改设备是嵌入式安全元件、集成安全元件、安全围圈、智能卡或机器对机器设备。
7.根据权利要求1至6中任一项所述的方法,其中,所述一组通信协议包括如由ETSIISO7816-3所定义的T=0或T=1以及以下分组中的至少一个:SWP非接触类型A、SWP非接触类型B、APDU门或SPI。
8.一种...
【专利技术属性】
技术研发人员:F库尔蒂亚德,F拉布里,D迪博瓦,S艾哈迈德,J杨,N帕哈拉,SLS杨,
申请(专利权)人:泰雷兹数字安全法国股份有限公司,
类型:发明
国别省市:法国;FR
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。