包含具有不同安全級別的安全資源的移動平臺的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及一種包含移動終端設(shè)備和安全資源的移動平臺，分別利用該移動平臺的一種應(yīng)用程序下載系統(tǒng)和一種風(fēng)險評估系統(tǒng)。
【背景技術(shù)】
[0002]移動平臺包括移動終端設(shè)備，通常還包括用戶身份模塊(也稱為安全元件SE)，該模塊能夠在終端設(shè)備內(nèi)運(yùn)行，并且終端設(shè)備能夠利用該模塊在移動無線網(wǎng)絡(luò)中運(yùn)行。用戶身份模塊或安全元件SE在許多移動無線系統(tǒng)中被設(shè)計為可移除的用戶卡(微處理器芯片卡)，例如S頂卡，替代地被設(shè)計為固定安裝的eUICC(嵌入式UICC，UICC = UniversalIntegrated Circuit Card，通用集成電路卡)。
[0003]移動終端設(shè)備應(yīng)理解為利用移動無線系統(tǒng)的設(shè)備，例如移動電話、智能電話或具有移動電話功能的PDA (個人數(shù)字助理)。
[0004]通過Trustzone架構(gòu)(ARM公司的商標(biāo))已知一種用于微處理器系統(tǒng)的二分式運(yùn)行時間架構(gòu)，其包括兩個運(yùn)行時間環(huán)境。由常規(guī)操作系統(tǒng)(例如Android，Windows Phone，1S)控制被稱為“常規(guī)區(qū)域”或“常規(guī)世界”的不安全的第一運(yùn)行時間環(huán)境。由安全操作系統(tǒng)控制被稱為“信賴區(qū)域”或“受信賴世界”或“安全世界”或“受信賴執(zhí)行環(huán)境TEE”的安全的或值得信賴的第二運(yùn)行時間環(huán)境。
[0005]由用戶身份模塊、常規(guī)運(yùn)行時間環(huán)境和安全運(yùn)行時間環(huán)境構(gòu)成了移動平臺的安全資源，其提供不同的安全級別(安全等級)。常規(guī)運(yùn)行時間環(huán)境相對不安全，也就是具有低的安全級別。S頂卡具有相對高的安全級別，而安全的運(yùn)行時間環(huán)境TEE具有中間安全級別。
[0006]移動平臺應(yīng)用程序的許多用戶要求，其在其移動平臺中所使用的應(yīng)用程序遵守一定的安全級別。否則，他們可能不愿意使用在其移動平臺中的應(yīng)用程序。因此，移動平臺應(yīng)用程序的供應(yīng)者感興趣的是，能夠保證其應(yīng)用程序定義的安全級別。然而，應(yīng)用程序的安全級別取決于移動平臺的安全資源。只有當(dāng)移動平臺的安全資源滿足一定的最低標(biāo)準(zhǔn)時，應(yīng)用程序才能夠保證足夠的安全性。
[0007]W0 2011/131365 A1描述了一種用于對已經(jīng)在移動終端設(shè)備內(nèi)的應(yīng)用程序進(jìn)行后配置的系統(tǒng)和方法。在此，中央服務(wù)器具有關(guān)于移動終端設(shè)備的可能的安全資源(具有不同的運(yùn)行時間環(huán)境和/或安全元件的終端設(shè)備配置)和關(guān)于安全資源所對應(yīng)的安全級別(安全等級)的信息。根據(jù)中央服務(wù)器所確定的終端設(shè)備的安全級別，服務(wù)器選擇合適的應(yīng)用程序配置，并且對已經(jīng)在終端設(shè)備內(nèi)的應(yīng)用程序進(jìn)行配置以匹配安全級別。在此，服務(wù)器僅必須維持唯一的應(yīng)用程序變體。通過后配置仍然建立與安全級別對應(yīng)的應(yīng)用程序配置。
[0008]根據(jù)W0 2011/131365 A1的系統(tǒng)和方法假設(shè)終端設(shè)備自身已知或者至少理論上已知終端設(shè)備的安全資源(終端設(shè)備配置)。只有這樣，終端設(shè)備才能夠?qū)Ψ?wù)器請求合適的配置。
[0009]然而，移動平臺的安全資源自身也會改變。例如可以添加或刪除安全的運(yùn)行時間環(huán)境。同樣，也可以移除S頂卡。因此，不能保證例如根據(jù)終端設(shè)備的型號估計的安全資源與實際的安全資源一致。

【發(fā)明內(nèi)容】

[0010]本發(fā)明要解決的技術(shù)問題是，實現(xiàn)一種移動平臺，其能夠保證定義的安全級別。特別是要提供一種移動平臺，通過該移動平臺能夠保證在移動平臺中安裝的或要安裝的應(yīng)用程序具有定義的應(yīng)用程序安全級別。另外，還要提供一種應(yīng)用程序下載系統(tǒng)，用于將應(yīng)用程序下載到移動平臺，其中對于下載到移動平臺中的應(yīng)用程序能夠保證定義的應(yīng)用程序安全級別。
[0011]所述技術(shù)問題通過按照權(quán)利要求1的移動平臺解決。在從屬權(quán)利要求中給出了本發(fā)明的優(yōu)選構(gòu)造。
[0012]根據(jù)本發(fā)明，按照獨(dú)立權(quán)利要求1的移動平臺包括移動終端設(shè)備，還包括安全資源。該移動平臺的特征在于在移動平臺中安裝的確定模塊(或發(fā)現(xiàn)模塊)，利用該確定模塊能夠確定移動平臺的安全資源、能夠推導(dǎo)出借助該安全資源可達(dá)到的至少一個移動平臺安全級別并且能夠輸出所推導(dǎo)出的移動平臺安全級別。
[0013]確定模塊能夠確定在移動平臺中實際存在哪種安全資源。確定模塊特別是能夠識別出安全資源從移動平臺中被移除或者被添加到移動平臺。因此，由確定模塊所確定的安全資源相當(dāng)于移動平臺的當(dāng)前實際安全狀態(tài)?；诖?，通過確定模塊，在考慮可能的移除或新添加的安全資源的情況下，能夠推導(dǎo)出移動平臺的當(dāng)前實際的安全級別。因為由確定模塊推導(dǎo)并輸出的安全級別總是最新的，所以利用包含確定模塊的移動平臺不僅能夠估計還能夠?qū)嶋H保證移動平臺安全級別。
[0014]因此，按照權(quán)利要求1實現(xiàn)了一種移動平臺，其能夠保證定義的安全級別。
[0015]可選地，提供了一個或多個以下的安全模塊作為安全資源:終端設(shè)備的常規(guī)運(yùn)行時間環(huán)境，特別是具有或沒有加密功能；在終端設(shè)備內(nèi)安裝的虛擬用戶身份模塊；終端設(shè)備的安全運(yùn)行時間環(huán)境；能夠在終端設(shè)備中運(yùn)行的用戶身份模塊，特別是可移除的用戶身份模塊(例如S頂卡或US頂卡)、固定安裝的用戶身份模塊(例如eUICC)、認(rèn)證過的可移除的用戶身份模塊、認(rèn)證過的固定安裝的用戶身份模塊；安全的微處理器存儲卡，特別是安全SD卡和/或安全微型SD卡。
[0016]可選地，通過確定模塊能夠為每個安全模塊和/或為移動平臺的一個或多個安全模塊的任一組合推導(dǎo)并輸出移動平臺安全級別?？蛇x地，能夠輸出移動平臺的多個或全部安全資源/安全模塊的至少多個或全部安全級別中的多數(shù)。
[0017]可選地，通過確定模塊，能夠與安全級別一起輸出符合安全級別的那個安全資源或安全模塊。
[0018]可選地，通過確定模塊能夠輸出多個或全部安全資源/安全模塊及所屬安全級別的列表，例如作為表格。
[0019]根據(jù)移動平臺的一種實施方式，確定模塊被集成在編程接口中，特別是所謂的應(yīng)用程序編程接口 API，借助該編程接口能夠從移動平臺輸出關(guān)于移動平臺安全級別的輸出信息和/或向移動平臺輸入用于控制安全級別的控制信息。
[0020]在編程接口中可選地能夠輸出以下的一個或多個作為輸出信息:移動平臺的安全級別；移動平臺的可用安全資源；安全資源的安全級別；移動平臺的全部安全資源的全部安全級別；移動平臺的全部可用安全資源；移動平臺的最高可用安全級別；移動平臺的當(dāng)前設(shè)定安全級別；可用于一個或每個安全級別或者可用于一個或每個安全資源的功能的功能信息。在此，在編程接口中，確定模塊具有確定并輸出安全資源和安全級別的功能。由編程接口的其它部分執(zhí)行另外的功能，例如提供功能信息。例如將移動平臺在運(yùn)行時必須(可選為至少或精確)滿足的那個安全級別提供為設(shè)定的安全級別。根據(jù)設(shè)定的安全級別，例如得出移動平臺在運(yùn)行時必須使用哪個安全資源(例如S頂卡或TEE等)。
[0021]關(guān)于移動平臺的功能，通常具有以下原則:提供的移動平臺功能越多，則安全級別越高。移動平臺的安全級別越低，則提供的(即，可用的，例如激活的)移動平臺功能越少。例如，如果所確定的安全級別太低，則禁用能夠用以執(zhí)行加密計算的移動平臺功能。如果給移動平臺添加新的安全資源，而通過該安全資源提高了移動平臺的安全級別，則確定新的安全級別并釋放或激活能夠用以執(zhí)行加密計算的功能，也就是隨后可用。
[0022]在推導(dǎo)并輸出應(yīng)用程序安全級別作為安全級別的情況