多種服務提供商功能172���。在某些情況下����,安全應用158被安排為用于訪問(S卩��,讀/寫)安全數(shù)據(jù)區(qū)域170內(nèi)的數(shù)據(jù)���。安全應用158還被安排為用于與服務提供商計算服務器(SPCS)應用161進行雙向通信����。與SPCS應用161的那些通信可以是直接通信����,或者這些通信可以包括由或通過合作伙伴120a(如MNO 120)提供的多項服務。在某些情況下���,SPCS應用161還與發(fā)行者控制的計算服務器184進行通
?目O
[0101]執(zhí)行SPCS應用161的服務提供商計算服務器160與發(fā)行者控制的計算服務器184進行通信�。在某些情況下���,服務提供商計算服務器160與發(fā)行者控制的計算服務器184之間的雙向通信是直接的��;在其他情況下�,這些通信是由或通過合作伙伴120a提供的����。
[0102]圖7中的合作伙伴120a可以可選地被包括在許多通信中、在非常少的通信中或者不包括在通信中�。理解到,移動裝置112與這些各個服務通過由MNO (如MNO 120 (圖6))監(jiān)管的廣域網(wǎng)基礎設施來進行通信��。相應地�,MNO 120可以被安排為合作伙伴120a��。在某些情況下��,合作伙伴120a可以包括在系統(tǒng)內(nèi)提供多個不同的服務的多個實體�。合作伙伴120a可以或者可以不提供服務以實現(xiàn)����、增強或以其他方式影響移動裝置112與服務提供商計算服務器160之間的安全通信。圖7中展示了向和從合作伙伴120a的可選的通信路徑�����。
[0103]現(xiàn)在描述分配或以其他方式供應未分配的安全域的實施例�。在開始該過程之前,安全模塊114的制造商已經(jīng)在安全模塊114的存儲器中創(chuàng)建了多個未分配的安全域156a-156n(圖4)�����。已經(jīng)以所分配的AID以及一個或多個相應的安全值(例如��,加密密鑰)創(chuàng)建了該多個安全域156a_156n中的每個安全域�����。這些安全域156a_156n中的每個安全域可以由EID 180與AID 182的組合唯一地標識��,并且這些值連同多個其他可選值可以被組合并用于形成相關聯(lián)的安全值。在創(chuàng)建這些未分配的安全域156a-156n以及這些相應的安全值時���,可以創(chuàng)建或者以其他方式更新域管理表149�����。
[0104]除了在安全模塊114上創(chuàng)建域管理表149之外,還使用相應的信息更新與安全模塊114分開且不同的數(shù)據(jù)庫�。可以被創(chuàng)建����、更新或以其他方式維護的一個這樣的分開且不同的數(shù)據(jù)庫是與發(fā)行者控制的計算服務器184關聯(lián)地展示的數(shù)據(jù)庫186。
[0105]數(shù)據(jù)庫186將通常包括對安全模塊114進行標識的信息��,如EID180�����。數(shù)據(jù)庫186還將通常包括對這些未分配的安全域156a_156n中的每個未分配的安全域進行標識的信息�,如與這些未分配的安全域156a-156n中的每個未分配的安全域相對應的那些AID 182值。為了訪問這些未分配的安全域156a_156n����,與這些未分配的安全域156a_156n中的每個未分配的安全域相對應的具體安全值也將被存儲于數(shù)據(jù)庫186中�。另外���,還可以將其他安全值和標識信息存儲于數(shù)據(jù)庫186中以使得發(fā)行者控制的計算服務器184能夠訪問并控制形成于安全模塊114上的這些發(fā)行者控制的安全域性質(zhì)176��。
[0106]在某些情況下���,還可以將其他信息存儲于域管理表149和數(shù)據(jù)庫186中的一者或兩者中。這種信息可以用于對安全模塊114的管理和監(jiān)管����。這種信息的示例包括硅參考號和批次號以分開各個版本、所創(chuàng)建的這些安全域的大小�、關于這些安全域的其他架構信息、時間戳�、日期戳、制造標識符等�����。
[0107]安全模塊114的制造商可以創(chuàng)建具有固定存儲器大小(如512千字節(jié)(KB)��、I兆字節(jié)(MB)或某個其他更大或更小的大小)的該多個未分配的安全域156a-156n�����。未分配的安全域156a-156n的數(shù)量可以較小(例如,I個或2個)或較大(例如���,10個或更多個)����。在某些情況下�����,制造商制造帶有不同數(shù)量的未分配的安全域156a-156n的不同的安全模塊���。在某些情況下,制造商制造帶有多個具有不同的初始大小的未分配的安全域156a-156n的不同的安全模塊��。在另外其他情況下�,制造商制造帶有具有第一大小的某些未分配的安全域156a-156n以及具有不同于該第一大小的第二大小的其他未分配的安全域156a_156n的安全模塊。在某些情況下��,在具體安全域被分配之前或在該安全域被分配之后可以改變該安全域的大小�����。
[0108]向服務提供商分配安全域的過程通常包括與該具體服務提供商進行密鑰交換,該服務提供商將在該安全域被分配時對其進行控制�。在這種情況下,發(fā)行者控制的計算服務器184可以由安全模塊114的制造商����、合作伙伴120a或由某個其他實體管理?���?梢杂煞仗峁┥逃嬎惴掌?60或者由發(fā)行者控制的計算服務器184來實施初始通信。發(fā)行者控制的計算服務器184將用服務提供商計算服務器160的具體指示和協(xié)作來加載具有適當?shù)膽?��、功能���、?shù)據(jù)、安全值等的安全域156�。服務提供商計算服務器160與發(fā)行者控制的計算服務器184之間的這些通信是安全的并且可以包括任何數(shù)量的密鑰交換、密鑰輪換或其他安全通信�。
[0109]將信息加載到安全域156中的過程可以由發(fā)行者控制的計算服務器184、服務提供商計算服務器160或兩個服務器的組合來執(zhí)行�。某些功能(如管理安全域156的執(zhí)行功能或監(jiān)管功能)自然地由發(fā)行者控制的計算服務器184來執(zhí)行。由發(fā)行者控制的計算服務器184協(xié)作地翻轉并執(zhí)行或以其他方式管理其他功能���。替代性地���,特別是當有待被加載到安全域156內(nèi)的信息(如密鑰形成算法�、算法���、標識信息�����、生物識別信息����、秘密處理或其他高度安全的數(shù)據(jù))特別敏感時���,服務提供商計算服務器160將管理加載安全域的任務。在這些情況下���,當服務提供商計算服務器160正在與所分配的安全域156進行交互時�����,服務提供商在這些服務提供商應用和數(shù)據(jù)被加載到所分配的安全域156中時將經(jīng)常輪換安全值�����。
[0110]在某些情況下�����,在加載安全域156之后��,對安全域156進行引渡�。此引渡程序操作以切斷發(fā)行者控制的計算服務器184的對所分配的安全域156中的存儲器的某些或全部進行訪問的能力。一旦引渡過程完成����,發(fā)行者控制的計算服務器184將保留與安全域156相關聯(lián)的某些能力,但是發(fā)行者控制的計算服務器184無法在安全域156的某些區(qū)域或全部區(qū)域中讀或寫數(shù)據(jù)�。
[0111]可由發(fā)行者控制的計算服務器184保留的一種能力是撤銷服務提供商訪問安全域156的能力。這可能基于控制安全模塊的實體與服務提供商之間具體合同原因而發(fā)生��,或者這可能由于其他原因而發(fā)生��。發(fā)行者控制的計算服務器184可以能夠刪除或者以其他方式模糊化安全域156內(nèi)的所有信息����。在另外其他情況下,發(fā)行者控制的計算服務器184可以能夠改變安全域156的存儲器大小(例如�����,增加大小、減小大小)����。
[0112]在某些情況下,發(fā)行者控制的計算服務器184能夠在安全模塊114的可用存儲器內(nèi)創(chuàng)建多個附加的安全域���。
[0113]在移動裝置112上執(zhí)行的安全應用158提供多項服務以與在所分配的安全域156內(nèi)執(zhí)行的多種安全功能168進行交互����。在某些實施例中�,這些安全功能168提供符合ARA-M定義的多項服務。這些安全功能168提供對安全域156內(nèi)的安全訪問并且提供對運行于移動裝置112上的安全應用158的認證�����?����;卺槍Π踩珣?58所定義的這些訪問規(guī)則��,安全應用158可以被授權或被拒絕對安全域156內(nèi)所存儲的多種功能和數(shù)據(jù)的具體訪問���。以此方式�,使用ARA-M規(guī)則體系�����,可以將合作伙伴120a置于對安全域156的這些操作的控制下����。
[0114]安全應用158還提供了多項服務以與在安全域156內(nèi)執(zhí)行的多種服務提供商功能172進行交互。這些服務提供商功能172被安排為用于對傳送自服務提供商計算服務器160并且存儲于安全數(shù)據(jù)區(qū)域170內(nèi)的安全數(shù)據(jù)進行加密和解密�。使用多個共享安全值(如對于這些服務提供商功能172是已知的并且對于運行于服務提供商計算服務器160上的服務提供商應用是已知的多個加密密鑰)來促進加密操作和解密操作?��?梢詫⑦@些安全值存儲于安全域156的特定服務提供商密鑰區(qū)域174內(nèi)�。在某些實施例中���,存儲于服務提供商密鑰區(qū)域174內(nèi)的第一安全值僅對于運行于服務提供商計算服務器160上的應用以及存儲于安全域156內(nèi)的這些服務提供商功能172是已知的�。在這些實施例或替代性實施例中����,存儲于服務提供商密鑰區(qū)域174內(nèi)的第二安全值僅對于運行于移動裝置112上的安全應用158以及存儲于安全域156內(nèi)的這些服務提供商功能172是已知的。通過啟用具體的加密機制(如PKI)����,可以在移動裝置112與安全模塊114內(nèi)的安全域156之間安全地通信信息�����。另夕卜����,在移動裝置與安全域之間安全地通信的數(shù)據(jù)包括僅可由這些服務提供商功能172和服務提供商計算服務器160訪問的進一步加密的數(shù)據(jù)�����。
[0115]在某些情況下��,還將附加的秘密信息存儲于服務提供商密鑰區(qū)域174內(nèi)����。例如,在某些情況下��,可以將秘密的個人身份識別碼(PIN)存儲于服務提供商密鑰區(qū)域174內(nèi)���。該PIN可以用于向在移動裝置112上執(zhí)行的安全應用158認證用戶�����。還設想了向安全應用158認證用戶的其他技術���。
[0116]如在圖7中所展示的,各種級別和類型的通信在安全應用158與所分配的安全域156之間傳送����。可以通過本領域技術人員已知的多種專用協(xié)議或其他協(xié)議來使能通信����。在某些實施例中,通信遵循具體的應用協(xié)議接口(API)功能調(diào)用集合�����。這種API的一個示例是開放移動(Open Mobile) 3.0ΑΡΙ�,其通過引用結合于此。設想了其他協(xié)議和框架���。
[0117]在移動裝置112上執(zhí)行的安全應用158執(zhí)行其他功能�����。例如���,安全應用158在與安全域156進行交互之前或甚至在與安全模塊114進行交互之前可以提供多次安全檢查���。例如,安全應用158可以提供信任根檢查����。信任根檢查可以例如驗證移動裝置112的軟件完整性。這種程序可以包括在引導期間針對固件簽名的檢查�����。在這些情況下����,通過已知的程序來內(nèi)部地存儲固件簽名。如果安全應用158檢測到任何安全漏洞����,安全應用158可以標記錯誤、可以對錯誤消息或警告消息進行通信��、可以終止或可以采取某種其他措施�����。
[0118]在某些情況下,服務提供商將數(shù)字簽名應用于安全應用158�。可以通過在安全域156內(nèi)執(zhí)行的這些安全功能168或服務提供商功能172來驗證該數(shù)字簽名�����。除了數(shù)字簽名之外或作為替代物����,安全應用158可以承載來自證書授權(例如�����,VERISIGN)的證書��?�?梢允褂糜行ёC書來確保安全應用158與運行于服務提供商計算服務器160上的應用之間的通信的安全性�����?����?梢詫?shù)字簽名、有效證書以及其他附加的或替代性的信息存儲于安全域156的安全數(shù)據(jù)區(qū)域170中�����。
[0119]在某些情況下��,安全應用158通過已知技術來確定電話是否已經(jīng)被刷機��。如果電話已經(jīng)被刷機��,安全應用158將不會執(zhí)行�。在某些情況下,可以將對一個錯誤或另一個錯誤的檢測包含于安全應用之內(nèi)�,并且然后該安全應用被掛起或終止。在其他情況下�����,對某些錯誤的檢測還可能導致向安全域156傳送指示����。此指示(可以是裝置或者已經(jīng)受損或者可能很快會受損的具體指示)可能導致安全功能168或服務提供商功能172采取進一步的步驟來保護安全數(shù)據(jù)170。這些進一步的步驟可以包括進一步加密數(shù)據(jù)����、模糊化數(shù)據(jù)���、破壞數(shù)據(jù)或采取某種其他措施。
[0120]圖8是編程數(shù)據(jù)流程圖�,展示了在已經(jīng)部署在現(xiàn)場800內(nèi)的安全模塊中創(chuàng)建新的安全域。在802處�,安全模塊制造商設計用于安全模塊的結構或者從安全模塊的具體發(fā)行者處接收這樣的設計。該安全模塊制造商目標為將要被用于唯一地標識安全模塊的電子ID(EID)�,并且該安全模塊制造商針對將要在安全模塊中創(chuàng)建的每個未分配的安全域生成應用標識符AID��。安全模塊制造商還將生成多個安全值以訪問將要在安全模塊內(nèi)形成的這些結構���。在某些情況(如具有與多個未分配的安全域相關聯(lián)的多個安全值)下�,這些安全值是為了臨時使用而生成的�����。也就是���,在未分配的安全域被分配給具體服務提供商的未來時間����,使用這些臨時安全值來實現(xiàn)供應�����,但是安全域隨后被引渡,并且這些臨時安全值變得不可用���。
[0121]在804和806處��,安全模塊制造商與發(fā)行者控制的計算服務器184協(xié)作地工作以傳遞多個配置腳本����,在這些配置腳本中����,安全域創(chuàng)建于安全模塊114中。如果在制造時間傳遞這些腳本���,安全模塊制造商直接在處于生產(chǎn)中的安全模塊上執(zhí)行該操作�����,該操作將發(fā)行者控制的計算服務器184隨后將要用于分配和監(jiān)管安全域的相關的EID��、AID和安全值信息傳遞至發(fā)行者控制的計算服務器184�。
[0122]在某些情況下����,安全模塊114被形成為具有一個未分配的安全域���;在其他情況下,安全模塊制造商在安全模塊內(nèi)形成多個未分配的安全域�。將由安全模塊制造商生成的EID存儲于安全模塊114的存儲器中,并且將AID給予這些未分配的安全域中的每個未分配的安全域���。在某些情況下�,安全模塊制造商將在安全模塊114內(nèi)創(chuàng)建多個安全域���,但是少于該多個安全域的全部將配備有AID。在這些情況下�����,在未來的某個點上��,在部署安全模塊114之后��,這些未分配的安全域中的不具有所加載的AID的一個或多個未分配的安全域可以配備有AID�。
[0123]除了這些未分配的安全域,安全模塊制造商還在安全模塊114內(nèi)形成多個發(fā)行者控制的安全域性質(zhì)連同參照圖8未討論的其他結構����。
[0124]同樣在804和806處���,將被創(chuàng)建以訪問安全模塊114的該多個安全值中的某些或全部、發(fā)行者控制的安全域����、這些未分配的安全域中的每個未分配的安全域以及安全模塊的需要安全訪問的其他區(qū)域存儲于發(fā)行者控制的計算服務器184和安全模塊114中。還創(chuàng)建了多個具體腳本并且將其安裝在安全模塊114的發(fā)行者控制的安全域中����。在制造期間、在部署期間以及在安全模塊114被部署之后的時間�����,由發(fā)行者控制的計算服務器184來控制這些腳本��。這些具體腳本用于供應可供服務提供商使用的多個未分配的安全域����。
[0125]在806處,安全模塊114 (如果尚未被部署)準備好進行部署���。在某些情況下�,在部署之前向一個或多個服務提供商授權訪問這些未分配的安全域中的一個或多個未分配的安全域;在這些情況或其他情況下���,在部署之后向一個或多個服務提供商授權訪問這些未分配的安全域中的一個或多個未分配的安全域���。在某些情況下,在移動裝置上執(zhí)行安全應用158充當在808處執(zhí)行密鑰交換活動的觸發(fā)�����。也就是�,例如,移動裝置的用戶可以下載由服務提供商提供的具體安全應用�。當用戶執(zhí)行該應用時,安全應用158將形成與服務提供商計算服務器160的安全通信��。此時��,服務提供商計算服務器160在808處發(fā)起密鑰交換活動以便獲得對在用戶的移動裝置的安全模塊114上的未分配的安全域的訪問�����。
[0126]在808處��,在服務提供商計算服務器160與發(fā)行者控制的計算服務器184和安全模塊制造商中的任何一者或兩者之間執(zhí)行密鑰交換活動�。可以通過與授權訪問這些安全域相關聯(lián)的具體商業(yè)模型來確定在808處執(zhí)行密鑰交換活動的這些具體計算裝置��。密鑰交換活動需要將多個具體的安全值從控制未分配的安全域的任何一個實體安全傳遞至服務提供商計算服務器160�����。當服務提供商計算服務器160接收到該安全值時��,服務提供商計算服務器能夠訪問安全模塊114上的至少一個安全域���。
[0127]在810����、812和814處����,服務提供商計算服務器160向和從操作于移動裝置上的安全應用158傳送通信。安全應用1