專利名稱：資源管理系統(tǒng)及相應方法
技術領域：
本發(fā)明涉及一種用于管理產品的可配置資源的資源管理系統(tǒng)。本發(fā)明還涉及ー種用于管理產品的可配置資源的方法。
背景技術：
在過去十年，智能卡的技術領域已經取得了許多重要成果。智能卡可以提供身份證、認證、數據存儲和許多不同應用領域的應用處理功能。智能卡的益處依賴于編程用于卡上的信息和應用程序的數量。例如，可以利用如下信息對單個接觸受限智能卡或非接觸式智能卡編程多個銀行憑證、醫(yī)療權限數據(entitlement data)、駕駛證或公共運輸權限數據、會員程序和俱樂部成員。可以將多種因素和接近認證嵌入智能卡中，以增加由卡提供的服務的安全性。例如，可以對智能卡編程，·以允許只有當智能卡處于諸如唯一配對移動電話之類的另一設備的范圍內時才進行非接觸式交易。這可以極大地增加智能卡的安全性。更新的發(fā)展是所謂的虛擬卡的概念。例如，申請人在市場上買賣了 Mifare Plus技木，該技術具有所謂的虛擬卡架構的特征?；旧?，虛擬卡體系結構使得能夠根據許可證配置安全元件或物理智能卡，所述許可證授權使用由智能卡提供的特定資源集。換言之，許可證指定可以使用智能卡的哪些功能集合或子集。因此，許可證可以用于配置智能卡的資源。虛擬卡被定義為能夠進行特定許可功能的智能卡。典型地，通過包括若干団體的分發(fā)鏈來銷售安全元件。例如，通過芯片制造商來制造安全元件，其中芯片制造商也是許可者。由許可者將安全元件投入市場。安全元件被配置為包括所述種類的多個虛擬卡。由諸如委托服務管理者(TSM)之類的另一団體管理虛擬卡，其中所述委托服務管理者充當了被許可者。常規(guī)上，ー個或多個委托服務管理者接收需要在安全元件上創(chuàng)建的虛擬卡的密鑰。典型地，需要多個密鑰來管理虛擬卡在安全元件上的創(chuàng)建，或者換句話說，在將安全元件投入市場之后配置安全元件的資源。

發(fā)明內容
本發(fā)明的目的在于，提供ー種安全且有效的資源管理系統(tǒng)及相應方法，用于管理經由所述種類的分發(fā)鏈投入市場的產品的資源。具體地，本發(fā)明的目的在于減少用于管理所述資源所需的密鑰的數目。這通過權利要求I限定的系統(tǒng)和權利要求11限定的方法來實現。根據本發(fā)明資源管理系統(tǒng)的ー個方面，資源管理系統(tǒng)包括許可者、被許可者和產品，其中許可者被配置為在產品中存儲第一密鑰，井向被許可者發(fā)送許可證；許可者還被配置為使用第一密鑰將導出函數應用于許可證來產生第二密鑰；許可者還被配置為向被許可者發(fā)送第二密鑰；被許可者被配置為產生配置請求，所述配置請求包括許可證和許可證使用指令；被許可者還被配置為使用第二密鑰將保護函數應用于配置請求的至少一部分；被許可者還被配置為向產品發(fā)送配置請求；產品被配置為使用第一密鑰通過將所述導出函數應用于許可證，來產生驗證密鑰；產品還被配置為通過如下操作來驗證接收到的配置請求使用驗證密鑰將所述保護函數應用于配置請求的至少一部分，并且將得到的結果與被許可者所應用保護函數的結果相比較。在將產品發(fā)行到市場上時，也不需要知道產品的準確許可條件。通過向被許可者提供的第二密鑰來管理許可條件和產品資源的相關聯配置。然而，被許可者不知道第一密鑰和導出函數。因此，確保了被許可者不可能要求比許可者允許的產品資源要多的產品資源。根據本發(fā)明資源管理系統(tǒng)的另一方面，產品還被配置為只有當比較結果相同吋，才根據許可證使用指令來配置產品的資源。根據本發(fā)明資源管理系統(tǒng)的又一方面，許可證和許可證使用指令包括字節(jié)串。根據本發(fā)明資源管理系統(tǒng)的又一方面，配置請求包括可選的其它信息。
·
根據本發(fā)明資源管理系統(tǒng)的又一方面，被許可者和產品所應用的保護函數包括消息認證代碼的產生，其中相應地使用第二密鑰和驗證密鑰針對許可證和許可證使用指令計算所述消息認證代碼。根據本發(fā)明資源管理系統(tǒng)的又一方面，被許可者應用的保護函數包括使用第二密鑰、應用于許可證和許可證使用指令的對稱加密算法，以及產品所應用的保護函數包括使用驗證密鑰的相應解密算法。根據本發(fā)明資源管理系統(tǒng)的又一方面，被許可者還被配置為經由服務運營商向產品發(fā)送配置請求；服務運營商被配置為將密鑰集附加至配置請求；產品還被配置為只有當配置請求包括所述密鑰集時，才授權訪問產品的資源。根據本發(fā)明資源管理系統(tǒng)的又一方面，產品還被配置為產生所述密鑰集，且向服務運營商發(fā)送所述密鑰集。根據本發(fā)明資源管理系統(tǒng)的又一方面，產品是安全元件。根據本發(fā)明資源管理系統(tǒng)的又一方面，所述資源管理系統(tǒng)還包括用于在移動設備中嵌入安全元件的手機制造商以及用于將移動設備投入市場的移動網路運營商。最后，根據本發(fā)明的ー個方面，一種用于在資源管理系統(tǒng)中管理產品資源的方法，所述資源管理系統(tǒng)包括許可者、被許可者和產品，所述方法包括許可者在產品中存儲第一密鑰，井向被許可者發(fā)送許可證；許可者還使用第一密鑰通過將導出函數應用于許可證來產生第二密鑰；許可者還向被許可者發(fā)送第二密鑰；被許可者產生配置請求，所述配置請求包括許可證和許可證使用指令；被許可者使用第二密鑰將保護函數應用于配置請求的至少一部分；被許可者還向產品發(fā)送配置請求；產品使用第一密鑰通過將所述導出函數應用于許可證，來產生驗證密鑰；產品還通過如下操作來驗證接收到的配置請求使用驗證密鑰將所述保護函數應用于配置請求的至少一部分，并且將得到的結果與被許可者所應用的保護函數的結果相比較。


將參考附圖更詳細地描述本發(fā)明，其中圖I示出了根據本發(fā)明的資源管理系統(tǒng)的第一實施例；圖2示出了根據本發(fā)明的資源管理系統(tǒng)的第二實施例；
圖3示出了根據本發(fā)明的資源管理系統(tǒng)的第三實施例；
具體實施例方式圖I示出了根據本發(fā)明的資源管理系統(tǒng)的第一實施例100。資源管理系統(tǒng)100包括許可者102，許可者102經由第一通信信道108與產品104通信。典型地，許可者102是芯片制造商，以及產品104是芯片制造商生產的安全元件。在這種情況下，例如，第一通信信道108可以包括用于在制造期間在所述產品104中存儲信息的裝置。許可者102經由第二通信信道110 (優(yōu)選地，安全信道)與被許可者106通信。被許可者106經由第三信道112與產品104通信。典型地，被許可者106是委托服務管理者(TSM)。在操作中，許可者102(或者代表許可者操作的団體)在產品104中存儲第一密鑰。第一密鑰被稱作資源管理密鑰，并且由Kl表示。許可者102向被許可者106發(fā)送許可證，許可證由L表示并且包括例如字節(jié)串。許可者102還使用資源管理密鑰通過將導出函數應用于許可證來產生第二密鑰(被稱作批量(wholesale)密鑰，并由K2表示)。導出函
數由D表示，所以如下產生批量密鑰K2 = D(Kl)。許可者102還向被許可者106發(fā)送批量密鑰。被許可者106繼而產生配置請求，其中，配置請求是消息，所述消息包括許可證及用于按照期望方式配置產品的資源的指令。這些指令被稱作許可證使用指令，并且由LU表示。能夠配置資源的方式和程度由許可證確定。此外，被許可者106使用批量密鑰將保護函數應用于配置請求中的至少一部分。例如，配置請求可以采取以下形式的消息M1 = L| LU 0011 |MAC(K2,LI I LU I I 001)，其中001表示可選的其它信息，以及MAC表示保護函數的特定示例，即，產生消息認證代碼，其中所消息認證代碼是使用批發(fā)密鑰針對許可證、許可證使用指令和可選其它信息來計算的。備選地，保護函數可以包括再次使用批發(fā)密鑰應用于許可證和許可證使用指令的對稱加密算法。被許可者106還向產品104發(fā)送配置請求。產品104繼而通過使用資源管理密鑰Kl將所述導出函數D用于許可證L來產生驗證密鑰(由VK表示)。因此，VK = D(K1)。應注意，產品知道導出函數D和資源管理密鑰K1，原因在于，例如在產品104在市場上發(fā)行以前，許可者102已經將導出函數D和資源管理密鑰Kl插入到了產品104中。在將產品104發(fā)行到市場上吋，也不需要知道精確的許可條件。經由批發(fā)密鑰K2來管理許可條件和產品104的資源的相關聯配置，其中在將產品104發(fā)行到市場之后，向被許可者106提供批量密鑰K2。然而，被許可者106不知道資源管理密鑰Kl和導出函數D。因此，確保了被許可者106不可能要求比許可者102允許的產品104的資源更多的產品104的資源。然而，一旦產品104處于市場中，則產品104將從被許可者106接收配置請求，并且產品104需要一種有效方式用于驗證這些請求。具體地，產品104需要能夠驗證特定被許可者106所提供的許可證L在許可者102與產品104之間的路徑上是否已經被修改。此吋，因為產品104與許可者102在物理上分離，所以產品104需要獨立地執(zhí)行這個驗證。本發(fā)明用于對配置請求進行有效驗證。產品104通過如下方式驗證接收到的配置請求通過使用驗證密鑰將所述保護函數應用于配置請求中的至少一部分，并且將得到的結果與被許可者106所應用的保護函數的結果相比較。例如，產品計算代碼MAC (VK, L | | LU | | 001)，并且將該代碼與代碼MAC (K2，Li LU| 001)相比較。應注意，后面的代碼形成了產品104從被許可者106接收到的配置請求Ml的一部分。如果代碼相同，則驗證的結果是肯定，并且產品104根據在配置請求Ml中嵌入的許可證使用指令LU配置其資源。備選地，如上所述，被許可者106可以使用批發(fā)密鑰K2將對稱加密算法用于許可證L和許可證使用指令LU。所以，例如，配置請求可以采取如下形式的消息M1 = ENC(K2,L| LU I 001)，其中，001表示可選的其它信息，并且ENC表示對稱加密算法。在這種情況下，產品104使用驗證密鑰VK(從而通過應用函數DEC(VK，L| LU I 001))，通過相應的解密算法來解密配置請求?，F在，通過對許可證和許可證使用指令的加密/解密來保護許可證和配置請求的完整性。如果解密成功，則被許可者106施加的保護函數的結果與產品104施加的保護函數的結果被認為是相同的，并且產品104根據許可證使用指令LU來配置其資源。 圖2示出了根據本發(fā)明的資源管理系統(tǒng)的第二實施例200。在該實施例中，被許可者(106)還被配置為經由服務運營商202向產品104發(fā)送配置請求。首先，被許可者(106)被布置為通過第四通信信道204向服務運營商202發(fā)送配置請求。服務運營商202被配置為將密鑰集K3附加至配置請求，從而導致Ml| |K3。產品104還被配置為只有當配置請求保護所述密鑰集K3時，才授權訪問其資源。在僅知道密鑰K3的団體可以有效地請求產品104的資源配置的方面，該系統(tǒng)更安全。被許可者(106)不會直接訪問產品104，但是需要服務運營商202發(fā)送配置請求。為了進一歩改善系統(tǒng)的安全性，產品104還可以被配置為產生所述密鑰集K3，并且向服務運營商202發(fā)送所述密鑰集。然后，服務運營商202被配置為按照上述方式使用密鑰集K3。圖3示出了根據本發(fā)明的資源管理系統(tǒng)的第三實施例300。在該實施例中，產品104是安全元件，并且系統(tǒng)還包括用于在移動設備中嵌入安全元件的手機制造商302和用于將移動設備投入市場的移動網絡運營商304。該實施例適合典型商業(yè)模型，其中安全元件是由中間方投入市場的終端產品的部件。產品104變得在物理上與許可者102相分離，并且需要獨立地執(zhí)行對任何請求的驗證，以配置其資源。本發(fā)明提供了用于實現這種驗證的有效方式。上述優(yōu)選實施例示出了本發(fā)明，而非限制本發(fā)明，本領域技術人員將能夠在不背離所附權利要求的范圍的情況下設計多種備選實施例。在權利要求中，圓括號之間放置的任何附圖標記不應該解釋為限制權利要求。詞語“包括”不排除未在權利要求中列出的元件或步驟的存在。元件之前的詞語“一個”不排除多個這種元件的存在。可以通過包括若干不同元件的硬件實現本發(fā)明，和/或通過適當編程的處理器實現本發(fā)明。在列舉了若干裝置的設備權利要求中，可以通過ー個裝置和硬件的相同項來實現這些裝置中的若干項。在互不相同的從屬權利要求中記載某些特征的唯一事實并非指示不可以有利地使用這些特征的組合。參考符號的列表100資源管理系統(tǒng)的第一實施例
102許可者104 產品106被許可者108第一通信信道110第二通信信道112第三通信信道200資源管理系統(tǒng)的第二實施例202服務運營商
204第四通信信道206第五通信信道300資源管理系統(tǒng)的第三實施例302手機制造商304移動網絡運營商306第六通信信道308第七通信信道310第八通信信道
權利要求
1.一種用于管理產品(104)的可配置資源的資源管理系統(tǒng)(100;200;300)，所述資源管理系統(tǒng)(100 ；200 ；300)包括許可者(102)、被許可者(106)和產品(104)，其中 -許可者(102)被布置為在產品(104)中存儲第一密鑰，并向被許可者(106)發(fā)送許可證； -許可者(102)還被布置為使用第一密鑰將導出函數應用于許可證來產生第二密鑰； -許可者(102)還被布置為向被許可者(106)發(fā)送第二密鑰； -被許可者(106)被布置為產生配置請求，所述配置請求包括許可證和許可證使用指令； -被許可者(106)還被布置為使用第二密鑰將保護函數應用于配置請求的至少一部分； -被許可者(106)還被布置為向產品(104)發(fā)送配置請求； -產品(104)被布置為通過使用第一密鑰將所述導出函數應用于許可證，來產生驗證密鑰； -產品(104)還被布置為通過以下操作來驗證接收到的配置請求使用驗證密鑰將所述保護函數應用于配置請求的至少一部分，并且將得到的結果與被許可者(106)所應用的保護函數的結果相比較。
2.如權利要求I所述的資源管理系統(tǒng)(100；200 ;300)，其中，產品(104)還被布置為只有當比較結果相同時，才根據許可證使用指令來配置其資源。
3.如權利要求I所述的資源管理系統(tǒng)(100;200;300)，其中，許可證和許可證使用指令包括字節(jié)串。
4.如權利要求I所述的資源管理系統(tǒng)(100；200 ;300)，其中，配置請求包括可選的其它信息。
5.如權利要求I所述的資源管理系統(tǒng)(100；200 ;300)，其中，被許可者(106)和產品(104)所應用的保護函數包括消息認證代碼的產生，其中所述消息認證代碼是分別使用第二密鑰和驗證密鑰通過許可證和許可證使用指令來計算的。
6.如權利要求I所述的資源管理系統(tǒng)(100；200 ;300)，其中，被許可者(106)所應用的保護函數包括使用第二密鑰、應用于許可證和許可證使用指令的對稱加密算法，以及產品(104)所應用的保護函數包括使用驗證密鑰的對應解密算法。
7.如權利要求I所述的資源管理系統(tǒng)(100；200 ；300)， -其中，被許可者(106)還被布置為經由服務運營商(202)向產品(104)發(fā)送配置請求； -其中，服務運營商(202)被布置為將密鑰集附加至配置請求； -其中，產品(104)還被布置為只有當配置請求包括所述密鑰集時，才授權訪問其資源。
8.如權利要求7所述的資源管理系統(tǒng)(100；200 ;300)，其中，產品(104)還被布置為產生所述密鑰集，并且向服務運營商(202)發(fā)送所述密鑰集。
9.如權利要求I所述的資源管理系統(tǒng)(100；200 ;300)，其中，產品(104)是安全元件。
10.如權利要求9所述的資源管理系統(tǒng)(100；200 ；300)， -還包括用于在移動設備中嵌入安全元件的手機制造商(302)；-還包括用于將移動設備投入市場的移動網絡運營商(304)
11.一種資源管理系統(tǒng)(100 ；200 ；300)中管理產品(104)的可配置資源的方法，所述資源管理系統(tǒng)(100 ；200 ；300)包括許可者(102)、被許可者(106)和產品(104)，其中 -許可者(102)在產品(104)中存儲第一密鑰，并向被許可者(106)發(fā)送許可證； -許可者(102)還使用第一密鑰將導出函數應用于許可證來產生第二密鑰； -許可者(102)還向被許可者(106)發(fā)送第二密鑰； -被許可者(106)產生配置請求，所述配置請求包括許可證和許可證使用指令； -被許可者(106)使用第二密鑰將保護函數應用于配置請求的至少一部分； -被許可者(106)還向產品(104)發(fā)送配置請求； -產品(104)通過使用第一密鑰將所述導出函數應用于許可證，來產生驗證密鑰；-產品(104)還通過以下操作來驗證接收到的配置請求使用驗證密鑰將所述保護函數應用于配置請求的至少一部分，并且將得到的結果與被許可者(106)所應用的保護函數的結果相比較。
全文摘要
本發(fā)明提供了一種安全而有效的資源管理系統(tǒng)及相應方法，用于管理由許可者經由分發(fā)鏈投入市場的產品的資源。具體地，可以減少用于管理所述資源所需的密鑰的數目。在將產品發(fā)行到市場上時，不需要知道產品的準確許可條件。通過向被許可者提供的第二密鑰來管理許可條件和產品的資源的相關聯配置。然而，被許可者不知道第一密鑰和基于第一密鑰產生所述第二密鑰的導出函數。因此，確保了被許可者不可能要求比許可者允許的產品的資源要多的產品的資源。
文檔編號G06F21/64GK102855446SQ201210214010
公開日2013年1月2日 申請日期2012年6月25日 優(yōu)先權日2011年6月27日
發(fā)明者漢斯·德容 申請人:Nxp股份有限公司