專利名稱：嵌入式系統(tǒng)中用于可移除元件認證的方法
技術領域：
本發(fā)明涉及認證領域，且更具體地，本發(fā)明涉及一種在嵌入式系統(tǒng)中用 于可移除元件認證的方法。
背景技術：
美國專利公開第US20070123305號提出 一種在移動電話機中用于保護近 場通信(NFC)設備的方法。該方法包括讀取用戶身份模塊(SIM)卡的 國際移動用戶標識(IMSI)和移動電話機的NFC卡的標識號碼；檢測IMSI 號碼是否與在移動電話機的存儲器中存儲的第一數(shù)據(jù)匹配，檢測該標識號碼 是否與在移動電話機的存儲器中存儲的第二數(shù)據(jù)匹配；以及當IMSI號碼和該 標識號碼分別與移動電話機的存儲器中的第 一和第二數(shù)據(jù)匹配時使能NFC卡 的感測功能。
然而，該申請并沒有明確提及對于每次交互的SIM卡的認證。此外，該 申請也沒有提及關于除SIM卡和NFC卡之外的可移除實體的任何事情。
另一美國專利公開第US20020120857號提出了一種用于在每個加電周期 之后驗證SIM卡的完整性的方法。在這種情況下，在無線通信設備(WCD) 的初始加電時在WCD中存儲SIM的第一唯一標識符。在電源管理周期期間 在向SIM供電時針對耦接到WCD的SIM接收第二唯一標識符。基于第一唯 一標識符和第二-爭一標識符來控制對SIM的訪問。
然而，該申請沒有對除SIM卡之外的任何可移除實體作出敘述。此外， 該申請也沒有提及通過使用短距離無線技術來對SIM卡施加認證。該申請也 沒有明確提及對于每次交互認證SIM卡的概念。

發(fā)明內(nèi)容
因此，如果公開的話，本發(fā)明提供了一種避免由于惡意可移除實體的插 入而造成的數(shù)據(jù)的泄露的方法。
根據(jù)本發(fā)明的一方面，提供了 一種在嵌入式系統(tǒng)中用于可移除元件認證 的方法，包括步驟在嵌入式系統(tǒng)中插入可移除實體之前在設備主機中注冊所述可移除實體的詳情；在設備主機中基于算法計算第一注冊ID并在主機中 存儲如此計算的結(jié)果；在插入可移除實體之后在設備主機的不可變更存儲區(qū) 域中注冊第一注冊ID;由設備主機基于可移除實體注冊算法來計算第二注冊 ID;以及在比較第一注冊ID和第二注冊ID之后通過主機向用戶顯示可移除 實體的詳情，其中，如果用戶希望改變所述可移除實體，則用戶通過適當?shù)?主機用戶接口配置將該設備解除注冊，隨后去除不安全的可移除實體的列表 (de-list)并且刪除設備主機中的注冊ID。
根據(jù)本發(fā)明的另 一方面，提供了 一種在嵌入式系統(tǒng)中用于可移除元件認 證的方法，其中，在可移除實體和設備主機之間的接口被做成即使在設備斷 電期間也通過使用備用電池支持而可操作。
根據(jù)本發(fā)明的另 一方面，提供了 一種在嵌入式系統(tǒng)中用于可移除元件認 證的方法，其中，由設備主機經(jīng)常地檢查可移除實體的真實性(authenticity )。
根據(jù)本發(fā)明的另 一方面，提供了 一種在嵌入式系統(tǒng)中用于可移除元件認 證的方法，其中，在輸入密碼或個人身份碼(PIN)后輸入注冊詳情。
根據(jù)本發(fā)明的另 一方面，提供了 一種在嵌入式系統(tǒng)中用于可移除元件認 證的方法，其中，設備主機通過從設備主機向可移除實體發(fā)送的指定消息來 讀取可移除設備詳情。
根據(jù)本發(fā)明的另 一方面，提供了 一種在嵌入式系統(tǒng)中用于可移除元件認 證的方法，其中，設備主機將指定消息發(fā)送到可移除實體中，并且可移除實 體發(fā)送可移除實體的詳情作為對所述指定消息的響應，所述可移除實體的詳 情具有可移除實體產(chǎn)品制造號碼、可移除實體類型類別和由廠商預存儲的可 移除實體中的注冊ID。
根據(jù)本發(fā)明的另 一方面，提供了 一種在嵌入式系統(tǒng)中用于可移除元件認 證的方法，其中，在設備主機處的第二ID的產(chǎn)生使用來自對所述指定消息的 響應的響應。
根據(jù)本發(fā)明的另 一方面，提供了 一種在嵌入式系統(tǒng)中用于可移除元件認 證的方法，其中，通過Host—TEE—Interaction消息完成由設備主機對第二 ID 的使用，并且通過該消息，在每個安全凄t據(jù)處理(transaction)之前對設備進 行認證。


圖1是說明根據(jù)本發(fā)明的示范實施例的其中可移除實體被插入便攜式設
備的注冊和認證過程的操作的流程的命令的過程的流程圖；以及
圖3是說明根據(jù)本發(fā)明的示范實施例的、根據(jù)認證便攜式設備的方法的、程圖。
具體實施例方式
將參照

本發(fā)明的示例實施例。在以下說明中，本領域的技術人 員將容易理解能夠?qū)@里所述的主題進行各種修改和改變，且這樣的修改和
改變處于本發(fā)明的技術精神和范圍內(nèi)。同樣顯然的是，所述修改和改變落入
由所附權利要求限定的本發(fā)明的范圍內(nèi)。
根據(jù)本發(fā)明的用于認證便攜式設備的方法包括4個步驟
第一，用戶在設備主機中注冊可移除實體的詳情?？梢栽谳斎朊艽a或PIN
之后輸入詳情。在設備主機中基于算法來計算注冊ID并且其隨后被存儲在主機中。
第二，在可移除實體被插入之后，其在設備主機的不可變更區(qū)域(如， 快閃存儲器)中被注冊。可以在設備主機和可移除實體之間交換/協(xié)商諸如可 移除實體的類別、設備號碼等的信息。
第三，然后，設備主機(或主機設備)基于可移除實體注冊算法產(chǎn)生注 冊ID。
第四，然后，比較產(chǎn)生的標識以認證用戶，且設備主機向用戶顯示可移 除實體的詳情。
對于第一步，可移除實體的詳細信息應該在新的可移除實體被插入到便 攜式設備之前被注冊到主機設備。也即，在認證之前存儲(預存儲)可移除 實體的信任證書(credential)(例如預認證條目)。
具體地，在第一步，用戶識別詳細信息，并通過便攜式設備的接口將詳 細信息輸入到設備主機。此時，可以從如可移除實體的廠商或支持該應用的 服務提供商那樣的可靠源獲得詳細信息。例如，詳細信息可以包括在供應(例 如，銷售)可移除實體或該應用時提供的手冊等中。
7類別和用于計算注冊ID的秘密密鑰?？梢瞥龑嶓w產(chǎn)品制造號碼可以包括用戶 身份模塊(SIM)、國際移動設備標識(IMEI)或產(chǎn)品制造序列號碼。此外， 可移除實體類型類別是指示可移除實體的類型的信息，所述類型諸如安全數(shù) 字輸入/輸出(SDIO)卡、多々某體卡(MMC)等等。此外，秘密密鑰是隨可 移除實體在其封裝中提供給用戶或通過諸如短消息服務(SMS )的安全手段 發(fā)送給用戶的。秘密密鑰可以具有各種比特大小，如16、 24、 48比特以及可 以是數(shù)字或字母數(shù)字類型。
設備主機產(chǎn)生包括通過所述的過程接收的詳細信息的主機注冊信息，并 且將產(chǎn)生的主機注冊信息存儲到設備主機的存儲器中的安全區(qū)域。優(yōu)選地， 基于安全算法產(chǎn)生主機注冊信息。此外，優(yōu)選地，在可移除實體的詳細信息 通過便攜式設備中的接口被提供給設備主機之前，該設備主機認證便攜式設 備的訪問。也即，設備主機在接收可移除實體的詳細信息之前向便攜式設備 請求發(fā)送密碼或個人身份碼(PIN)。隨后，設備主機識別對該請求的響應是 否有效，以及i人證用于輸入詳細信息的接口的訪問。
接著，步驟2是注冊協(xié)商的步驟。
當用戶插入新的可移除實體到便攜式設備時，該新的可移除實體馬上被 可移除實體插槽感測到。
圖1是說明根據(jù)本發(fā)明的示范實施例的其中可移除實體被插入便攜式設 備的注冊和認證過程的操作的流程圖。參考圖1，出于注冊和認證的目的， i殳備主機向可移除實體發(fā)送消息"Read—Register_Device—Req"(讀取注冊設 備請求)(111 )。隨后，作為對消息"Read—Register_Device—Req" ( 111 )的響 應，可移除實體向設備主機發(fā)送消息"Read—Register—Device一Resp"(讀取注 冊設備響應)(121 )。由可移除實體發(fā)送的消息"Read—Register—Device—Resp" (121)包括可移除實體類型類別(Dev_type)、可移除實體產(chǎn)品制造過程序 列號碼(Serial一Num )、以及由廠商存儲在可移除實體中的注冊ID( STO一REG ID)。
可移除實體類型類別可以是MMC卡、SD卡、SIM卡等。可移除實體產(chǎn) 品制造過程序列號碼可以是其用于SIM的IMEI號碼或其用于其他可移除實 體的產(chǎn)品制造序列號碼等。
步驟3是產(chǎn)生可移除實體的注冊信息的步驟131。在步驟131中，通過
8將設備類型類別、可移除實體產(chǎn)品制造過程序列號碼、秘密密鑰等應用于安
全算法來產(chǎn)生可移除實體的注冊信息，例如Generated_Reg_ID。
從嵌入式系統(tǒng)的安全注冊表位置中提取用于計算例如Generated—Reg一ID
的可移除實體的注冊信息的秘密密鑰。
在步驟131之后，設備主機比較例如Generated一Reg—ID的可移除實體的
注冊信息、可移除實體中的注冊ID (STO_REG ID)以及例如第一時間主機
產(chǎn)生的RegJD的主才幾注冊信息的值141。
如果例如Generated_Reg_ID的可移除實體的注冊信息、可移除實體中的
注冊ID ( STO—REG ID )和例如第一時間主機產(chǎn)生的Reg一ID的主機注冊信息
全部匹配(151-是)，則認證成功完成。同樣，設備主機中的各種應用能夠使
用可移除實體。
然而，如果在例如Generated—Reg一ID的可移除實體的注冊信息、可移除 實體中的注冊ID(STC^REGID)和例如第一時間主機產(chǎn)生的Reg—ID的主機 注冊信息之間存在不匹配(151-否)，則認證過程失敗，并且向用戶閃現(xiàn)用于 通知該失敗的安全警告消息(160)。在未認證狀態(tài)中，設備主機不能訪問可 移除實體且設備主機中的應用不能使用可移除實體。
另外，在具有多個可移除實體的便攜式設備中，可以重復地執(zhí)行步驟2 和步驟3 (雖然沒有示出)。也即，通過與所述步驟111、 121、 131、 141和 151的算法相同的算法來執(zhí)行圖1所示的步驟112、 122、 132、 142和152。
同時，步驟4是用于認證用戶的步驟。也即，在設備主機認證注冊信息 (例如Generated—Reg一ID的可移除實體的注冊信息、可移除實體中的注冊ID (ST0_REGID)和例如第一時間主機產(chǎn)生的Reg—ID的主機注冊信息)之后， 設備主機連同認證成功消息一起向用戶提供可移除實體的詳細信息。例如， 認證成功消息被轉(zhuǎn)換成用戶可識別的字符，并在便攜式設備中的顯示器上顯 示轉(zhuǎn)換后的字符。因此，用戶能夠理解在在步驟1產(chǎn)生的主機注冊信息與在 步驟3計算的可移除實體的注冊信息之間存在匹配。
此外，基于設備的NFC可以使用保持NFC應用并為NFC主機服務的可 移除實體。可移除實體的下端將和NFC控制器接口。在這樣的NFC主機-控 制器環(huán)境中，設備注冊ID總是用于數(shù)據(jù)交換，從而以較高的安全性來認證可 移除設備。的命令的過程的流程圖。參考圖2，如上在NFC主機-控制器環(huán)境中所述的， NFC控制器發(fā)送采樣消息Host—TEE—Interaction (210)到可移除實體。然后， 作為消息HostJTEE一Interaction (210)的響應，可移除實體向NFC控制器回 送消息Host_TEE—Interaction—RSP (220)。 Host_TEE_Interaction消息(210) 巴3石Lreneratea_Keg—1JJ ，y今、35L， nr nosi—i im_mLeraL;iiuu—ivor /fj 、 乂 ci* 括STO一REG ID和參數(shù)。
當用戶希望取消注冊或改變可移除實體時，例如，當用于校正便攜式設 備的標識號碼的SIM、用于更大容量存儲器的SDIO或MMC卡被改變時， 用戶應該取消便攜式設備的注冊，從設備主機的存儲器中刪除不安全的便攜 式設備的列表，并且刪除設備類型類別、設備號碼、秘密密鑰和注冊ID。為 此，設備主機提供接口，通過該接口能夠取消便攜式設備的注冊，且能夠刪 除便攜式設備的列表、設備類型類別、設備號碼、秘密密鑰和注冊ID。
此外，為了跟蹤便攜式設備，即使沒有向便攜式設備供電，便攜式設備 和設備主機之間的接口也通過備用電池而操作。
圖3是說明根據(jù)本發(fā)明的示范實施例的、根據(jù)認證便攜式設備的方法的、
程圖。參考圖3,當便攜式設備被切換到?jīng)]有供電的狀態(tài)時，能夠使用備用 電池通過接口向設備主機提供關于新改變的可移除實體的詳細信息。
也即，設備主機向可移除實體發(fā)送請求消息，例如Host—PollTEE1消息 (311),且作為例如Host—PoIItee,消息(311)的請求消息的響應，新改變的 可移除實體向主機設備發(fā)送例如圖3中的Host—Poll_Resp (321)消息的響應 消息，其包括可移除實體類型類別(Dev_type)、可移除實體產(chǎn)品制造過程序 列號碼(Serial—Num )、以及由廠商存儲在可移除實體中的注冊ID( STO_REG ID)。提供給設備主機的用于可移除實體的交換的詳細信息、例如STCLREG
收集/ '" '、 、' 、 。。 r ' /
接下來，主機設備將存儲在存儲器中的可移除實體的注冊信息、例如第
一注冊ID和在可移除實體中收集的注冊ID (例如STO_REG ID )與例如第 一時間主機產(chǎn)生的Reg—ID的主機注冊信息(見塊131,圖1)進行比較。
例如，如果新插入的可移除實體中的例如STO_REG ID的注冊ID與預 先存儲在設備主機中的例如第一時間主機產(chǎn)生的Reg_ID的主機注冊信息匹
10配(341-是)，則成功完成新插入的可移除實體的認證。當新插入的可移除實體的認證成功完成時，設備主機允許對新實體的訪問。
然而，如果在新插入的可移除實體中的例如STO_REG ID的注冊ID與預先存儲在設備主機中的例如第一時間主機產(chǎn)生的Reg—ID的主機注冊信息之間存在不匹配(341-否)，則新插入的可移除實體的認證失敗。在未認證狀
證失敗的信息的命令350。
取決于便攜式設備的重新啟動，對應于認證失敗的信息能夠被傳遞到便攜式設備，和/或所傳遞的信息被顯示在便攜式設備的顯示器上。
另外，在具有多個可移除實體的便攜式設備中，通過與所迷步驟311、321、 331、 341的算法相同的算法來重復地(未示出)執(zhí)行圖3所示的步驟312、 322、 333、和342。
如上所述，本發(fā)明能夠提供一種解決辦法，用于避免其中當嵌入式系統(tǒng)關閉時由于新插入的惡意的可移除實體而泄露數(shù)據(jù)的情形，并且提高了可移除元件的數(shù)據(jù)安全的可靠性。
根據(jù)本發(fā)明的上述方法可以在硬件中或作為軟件或計算機代碼實現(xiàn)，所述計算機代碼能夠被存儲在諸如CDROM、 RAM、軟盤、硬盤或磁光盤的記錄介質(zhì)中或在網(wǎng)絡上下載，從而這里所述的方法能夠由使用通用目的計算機的此類軟件或?qū)Ｓ锰幚砥骰蛟谥T如ASIC或FPGA的可編程或?qū)Ｓ玫挠布袌?zhí)行。如本領域應該理解的，計算機、處理器或可編程硬件包括能夠存儲或接收當由計算機、處理器或硬件訪問和執(zhí)行時可以實現(xiàn)這里所述的處理方法的軟件或計算機代碼的存儲器組件，例如RAM、 ROM、閃存等。例如，設備主機可以是包括接受可移除實體的插槽的便攜式通信設備，例如蜂窩電話機。該插槽包括接口，以允許處理器與可移除實體通信。
如上所述，能夠根據(jù)本發(fā)明的示范實施例實現(xiàn)在具有觸摸屏的移動通信終端中的輸入方法、裝置的配置和其動作。類似地，應該認識到這里引用的算法可以是用于確定身份的眾多公知安全算法中的任意一個且此類算法的詳情無需在此具體展示。
盡管參考本發(fā)明的 一些示范實施例已經(jīng)示出和描述了本發(fā)明，但是本領域技術人員將理解在不背離由所附權利要求限定的本發(fā)明的精神和范圍的情況下，可以在形式和細節(jié)上進行各種改變。
ii
權利要求
1.一種在嵌入式系統(tǒng)中用于可移除元件認證的方法，包括步驟在可移除實體被插入到所述嵌入式系統(tǒng)之前在設備主機中注冊所述可移除實體的詳情；在所述設備主機中基于算法來計算第一注冊標識并在設備主機中存儲結(jié)果；在所述可移除實體被插入到所述嵌入式系統(tǒng)之后在所述設備主機的不可變更存儲區(qū)域中注冊所述第一注冊標識；由所述設備主機基于可移除實體注冊算法來計算第二注冊標識；以及在比較所述嵌入式系統(tǒng)中的第一注冊和第二注冊標識之后由所述設備主機向用戶顯示所述可移除實體的詳情，其中，如果用戶希望改變所述可移除實體，則用戶通過適當?shù)脑O備主機用戶接口配置解除注冊，隨后去除不安全的可移除實體的列表并且刪除所述設備主機中的注冊標識。
2. 如權利要求l所述的方法，其中，在所述可移除實體和所述設備主機
3. 如權利要求l所述的方法，其中，由所述設備主機經(jīng)常地檢查所述可 移除實體的真實性。
4. 如權利要求l所述的方法，其中，在輸入密碼或個人身份碼(PIN) 后輸入注冊詳情。
5. 如權利要求l所述的方法，其中，所述設備主機通過從所述設備主機 向所述可移除實體發(fā)送的指定消息來讀取可移除設備詳情。
6. 如權利要求l所述的方法，其中，所述設備主機向所述可移除實體發(fā) 送指定消息，并且作為對該指定消息的響應，所述可移除實體發(fā)送可移除實 體的詳情，所述可移除實體的詳情具有可移除實體產(chǎn)品制造號碼、可移除實 體類型類別和預存儲在所述可移除實體中的注冊標識。
7. 如權利要求l所述的方法，其中，在所述設備主機處的第二標識的產(chǎn) 生使用來自對所述指定消息的響應的響應。
8. 如權利要求l所述的方法，其中，通過Host一TEE-Interaction消息完 成由設備主機對所述第二標識的使用，并且通過該消息，在每個安全數(shù)據(jù)處理之前對設備進行認證。
9. 一種在嵌入式系統(tǒng)中用于可移除實體認證的設備，包括 插槽，用于接納所述可移除實體；輸入/輸出設備，用于接4t/輸出期望的數(shù)據(jù)項；與所述插槽、所述輸入/輸出設備和存儲器通信的處理器，所述存儲器包 含代碼，當由所述處理器訪問時，所述代碼使得處理器在所述可移除實體被插入到所述插槽之前接收所述可移除實體的注冊詳情；基于算法計算第一注冊標識；在所述可移除實體被插入所述插槽之后在所述存儲器的不可變更區(qū)域中注冊所述第 一注冊標識；基于可移除實體注冊算法計算第二注冊標識；以及在比較所述嵌入式系統(tǒng)中的第 一注冊和第二注冊標識之后向用戶顯示所述可移除實體的詳情。
10. 如權利要求9所述的設備，還包括備用電池，其中，在所述可移除實體和所述處理器之間的所述插槽中的 接口即使在設備斷電期間通過使用所述備用電池也是可操作的。
11. 如權利要求9所述的設備，其中，所述處理器還 不斷地檢查所述可移除實體的真實性。
12. 如權利要求9所述的設備，其中，在輸入密碼或個人身份碼(PIN) 后輸入注冊詳情。
13. 如權利要求9所述的設備，其中，所述處理器通過從所述處理器向 所述可移除實體發(fā)送的指定消息來讀取可移除設備詳情。
14. 如權利要求9所述的設備，其中，所述處理器向所述可移除實體發(fā) 送指定消息，并且作為對該指定消息的響應，所述可移除實體發(fā)送可移除實 體的詳情，其是從包括如下的組中選擇的至少一個實體可移除實體產(chǎn)品制 造號碼、可移除實體類型類別和預存儲在所述可移除實體中的注冊標識。
15. 如權利要求9所述的設備，其中，所述第二標識的產(chǎn)生使用來自對 所述指定消息的響應的響應。
16. 如權利要求9所述的設備，其中，通過Host一TEE—Interaction消息完 成由所述處理器對所述第二標識的使用，并且通過該消息，在每個安全數(shù)據(jù)處理之前對設備進行認證。
17. 如權利要求9所述的設備，響應于移除所述可移除實體，所述處理 器執(zhí)行代碼以用于解除所述可移除實體的注冊； 去除不安全的可移除實體的列表；并且 刪除所述注冊標識。
18. —種包括用于與可移除介質(zhì)通信的接口的便攜式設備，所述設備包括處理器，與所述接口通信，響應于所述可移除介質(zhì)被插入到所述插槽中 而訪問存儲在存儲器中的代碼，以用于基于算法來確定第一注冊標識，其中所述可移除介質(zhì)的接收詳情被預先 存儲在所述存儲器中；在所述存儲器的不可變更區(qū)域中注冊所述第一注冊標識；基于可移除介質(zhì)注冊算法來確定第二注冊標識；比較所述嵌入式系統(tǒng)中的第一注冊和第二注冊標識；以及輸出所述可移除介質(zhì)的詳情。
19. 如權利要求18所述的設備，包括輸入設備，與所述處理器通信，所述輸入設備允許輸入所述可移除介質(zhì) 的所述詳情；和顯示設備，與所述處理器通信，用于顯示所述輸出的詳情。
20. 如權利要求18所述的設備，其中，所述可移除介質(zhì)的所述詳情被選 擇為包括如下的組中的至少一個用戶身份模塊(SIM)、國際移動設備標 識(IMEI)、和產(chǎn)品制造序列號碼。
全文摘要
在可移除實體被插入到嵌入式系統(tǒng)中之前，用戶在設備主機中注冊可移除實體的詳情?？梢栽谳斎朊艽a之后輸入詳情。在設備主機中計算注冊標識并且存儲在主機中。在插入可移除實體之后，其被注冊在設備主機中?？梢瞥龑嶓w的信息可以在設備主機和可移除實體之間交換。設備主機計算注冊標識。比較標識，并且設備主機顯示可移除實體的詳情。
文檔編號G06F21/62GK101689996SQ200880023747
公開日2010年3月31日 申請日期2008年5月7日 優(yōu)先權日2007年5月7日
發(fā)明者西恩莫齊·阿魯南, 阿倫·納尼亞特 申請人:三星電子株式會社