包括安全電子單元的電子設(shè)備和用這種電子設(shè)備實(shí)施的方法
【技術(shù)領(lǐng)域】
[0001 ] 本發(fā)明涉及電子設(shè)備的安全性。
[0002]更具體地，本發(fā)明涉及包括第一處理器和裝配有第二處理器的安全電子單元(實(shí)體)的電子設(shè)備，該電子設(shè)備設(shè)計(jì)成利用可信操作系統(tǒng)的第一處理器的執(zhí)行(運(yùn)行，實(shí)施，execut1n)來運(yùn)轉(zhuǎn)(運(yùn)行，起作用)。本發(fā)明還涉及用這種電子設(shè)備的實(shí)施方法。
[0003]本發(fā)明特別有利地應(yīng)用于在電子設(shè)備上執(zhí)行多功能操作系統(tǒng)的情況。
【背景技術(shù)】
[0004]已知如前所定義的電子設(shè)備，一方面通過使用可信操作系統(tǒng)(英文為“Trusted OS”)保證其安全性，其能夠提供可信執(zhí)行環(huán)境(或TEE，“Trusted Execut1nEnvironment ”)，其中的一些應(yīng)用程序僅可被安裝和執(zhí)行，另一方面通過使用安全電子單元保證其安全性，該安全電子單元實(shí)施要求高安全級(jí)別的處理，如數(shù)據(jù)的加密處理。
[0005]這種電子設(shè)備通過還包括非安全構(gòu)件，例如在電子設(shè)備上執(zhí)行的多功能操作系統(tǒng)(英文為“Rich OS”)。在它們的操作中，這些非安全構(gòu)件可請求安全功能。
[0006]通常在可信操作系統(tǒng)中實(shí)施應(yīng)用程序操控的非安全構(gòu)件請求安全功能的情況下，加載該應(yīng)用程序，以在需要時(shí)要求處理(典型地為加密)安全電子單元。
[0007]理解到，為了使用戶執(zhí)行搜索服務(wù)，該解決方案有時(shí)需要在非安全構(gòu)件、可信執(zhí)行環(huán)境和安全電子單元中安裝應(yīng)用程序。

【發(fā)明內(nèi)容】

[0008]在本文中，本發(fā)明提供如前所定義的電子設(shè)備，其特征在于，設(shè)置位于安全電子單元外部并且不同于可信操作系統(tǒng)的構(gòu)件，以觸發(fā)(起動(dòng))第二處理器對應(yīng)用程序的執(zhí)行，以及，由第二處理器執(zhí)行的應(yīng)用程序設(shè)計(jì)成請求實(shí)施可信操作系統(tǒng)的服務(wù)。
[0009]而且，由非安全構(gòu)件觸發(fā)執(zhí)行的應(yīng)用程序?qū)⒉倏匕踩δ艿膶?shí)施，并在必要時(shí)、例如在由應(yīng)使用于第二處理器操控的處理程序中的可信操作系統(tǒng)管理電子設(shè)備的資源時(shí)請求可信操作系統(tǒng)的服務(wù)。
[0010]因此僅使用可信操作系統(tǒng)提供的基本服務(wù)，因此不再需要在可信執(zhí)行環(huán)境中安裝專用于由用戶實(shí)施搜索服務(wù)的應(yīng)用程序。
[0011]另外，從安全電子單元操控安全功能，安全電子單元提供的安全級(jí)別仍大于由可信執(zhí)行環(huán)境實(shí)現(xiàn)的安全級(jí)別。
[0012]根據(jù)第一可能性，所述不同的構(gòu)件為在電子設(shè)備中實(shí)施的多功能操作系統(tǒng)?？蓪⑦@種多功能操作系統(tǒng)設(shè)計(jì)成通過第一處理器執(zhí)行。
[0013]如在接下來的詳細(xì)描述中所解釋的，可設(shè)置在基于多功能操作系統(tǒng)的功能和基于可信操作系統(tǒng)之間的功能切換的裝置。
[0014]在變化形式中，電子設(shè)備可包括第三處理器，該多功能操作系統(tǒng)設(shè)計(jì)成通過所述第三處理器執(zhí)行。
[0015]根據(jù)第二實(shí)施可能性，所述不同的構(gòu)件為電子設(shè)備的模塊，它同樣裝配有處理器，例如電子設(shè)備的通信模塊。
[0016]應(yīng)注意，所述不同的構(gòu)件設(shè)計(jì)成直接控制第二處理器以觸發(fā)應(yīng)用程序的執(zhí)行，或設(shè)計(jì)成發(fā)送觸發(fā)應(yīng)用程序執(zhí)行的命令到可信操作系統(tǒng)，將可信操作系統(tǒng)設(shè)計(jì)成通過第二處理器控制應(yīng)用程序的執(zhí)行。在前一種情況下，可信操作系統(tǒng)的作用被限制于向第二處理器傳輸觸發(fā)指令。
[0017]前面所提及的切換裝置設(shè)計(jì)成將基于多功能操作系統(tǒng)的功能切換到基于可信操作系統(tǒng)的功能，以發(fā)送觸發(fā)命令。
[0018]通過第二處理器控制服務(wù)的實(shí)施，包括例如實(shí)施電子設(shè)備的外設(shè)(例如人-機(jī)界面)的功能。
[0019]所述服務(wù)可包括在電子設(shè)備的人-機(jī)界面上返回信息(如顯示或發(fā)送聲音信號(hào)，又或激活振動(dòng)器)和/或接收用戶識(shí)別信息(例如授權(quán)信息)。
[0020]本發(fā)明還旨在提供電子設(shè)備實(shí)施的方法，該電子設(shè)備包括第一處理器和裝配有第二處理器的安全電子單元，該電子設(shè)備設(shè)計(jì)成利用可信操作系統(tǒng)的第一處理器的執(zhí)行來操作，該方法包括如下步驟:
[0021]-通過位于安全電子單元外部并且不同于可信操作系統(tǒng)的構(gòu)件觸發(fā)第二處理器執(zhí)行應(yīng)用程序；
[0022]-通過由第二處理器執(zhí)行的應(yīng)用程序來請求可信操作系統(tǒng)實(shí)施服務(wù)。
[0023]上面提供的用于電子設(shè)備的可選特征還可應(yīng)用于所述方法。
【附圖說明】
[0024]參照附圖，通過接下來以舉例而非限制性方式給出的詳細(xì)描述將更好理解本發(fā)明的組成和怎樣實(shí)施本發(fā)明。
[0025]在附圖中:
[0026]-圖1示意性表示實(shí)施本發(fā)明的系統(tǒng)的主要構(gòu)件；
[0027]-圖2表示根據(jù)本發(fā)明的在圖1的系統(tǒng)構(gòu)件之間的數(shù)據(jù)交換方法的第一實(shí)施例；
[0028]-圖3表示根據(jù)本發(fā)明的在圖1所示類型的系統(tǒng)中進(jìn)行的數(shù)據(jù)交換方法的第二實(shí)施例；
[0029]-圖4表示可實(shí)施本發(fā)明的系統(tǒng)的另一實(shí)施例；
[0030]-圖5表示在圖4的系統(tǒng)構(gòu)件之間交換數(shù)據(jù)的方法的實(shí)施例。
【具體實(shí)施方式】
[0031]圖1示意性表示實(shí)施本發(fā)明的系統(tǒng)的主要構(gòu)件。
[0032]所述系統(tǒng)包括電子設(shè)備10，在此為終端(例如智能電話，或英文名稱為“smart-phone”)，其功能(運(yùn)行)基于兩種不同操作系統(tǒng)的使用:多功能操作系統(tǒng)20 (英文為“Rich OS”)和可信操作系統(tǒng)30( “Trusted OS”)，有時(shí)命名為安全操作系統(tǒng)(“SecureOS”)。
[0033]多功能操作系統(tǒng)20能夠給予用戶較大的下載、安裝和執(zhí)行應(yīng)用程序的自由度。
[0034]相反，在基于可信操作系統(tǒng)30的電子設(shè)備10的運(yùn)行范圍內(nèi)，下載和安裝應(yīng)用程序的可能性受限(例如對于已接收特定認(rèn)證的應(yīng)用程序)，以使可信操作系統(tǒng)的使用能夠在電子設(shè)備10中形成可信執(zhí)行環(huán)境(或TEE，“Trusted Execut1n Environment”)。
[0035]所述可信執(zhí)行環(huán)境例如提供符合公用標(biāo)準(zhǔn)EAL(“Evaluat1n Assurance Level”，評(píng)估保證級(jí)別)的安全級(jí)別，對應(yīng)于ISO 15408標(biāo)準(zhǔn)-其中級(jí)別在2-7之間，或?qū)?yīng)于FIPS ( “Federal Informat1n Processing Standard”，聯(lián)邦信息處理標(biāo)準(zhǔn))140-2 標(biāo)準(zhǔn)。
[0036]在此處所描述的實(shí)施例中，多功能操作系統(tǒng)20和可信操作系統(tǒng)30由電子設(shè)備的同一處理器執(zhí)行，例如系統(tǒng)芯片型處理器(Soc，“System on Chip”)。除了處理器，系統(tǒng)芯片包括具有不同功能的另外電子構(gòu)件，尤其是一個(gè)或多個(gè)存儲(chǔ)器(例如，只讀存儲(chǔ)器或R0M，即 “Read Only Memory”，隨機(jī)存取存儲(chǔ)器或 RAM，即 “Random Access Memory”，和非易失性可重寫存儲(chǔ)器，例如 EEPR0M，即 “Electrically Erasable Programmable Read OnlyMemory”)；其中至少一個(gè)存儲(chǔ)器的一部分預(yù)留給可信操作系統(tǒng)30 (即，該存儲(chǔ)器部分僅被可信操作系統(tǒng)30讀取和/或?qū)懭?。
[0037]在該情況下，如下文所述的，基于多功能操作系統(tǒng)20的電子設(shè)備10的運(yùn)行和基于可信操作系統(tǒng)30的電子設(shè)備10的運(yùn)行之間的切換過程為，使電子設(shè)備10在每一時(shí)刻基于這兩個(gè)操作系統(tǒng)20、30中的單獨(dú)一個(gè)運(yùn)行。
[0038]在變化形式中，可使多功能操作系統(tǒng)20和可信操作系統(tǒng)30分別實(shí)施為兩個(gè)專用處理器，這兩個(gè)專用處理器例如均被嵌入系統(tǒng)芯片。
[0039]電子設(shè)備10還包括裝配有處理器的安全電子單元40，該安全電子單元40例如為安全整合電路(SE，“Secure Element”，安全構(gòu)件)，它可選地焊接在電子設(shè)備10上(稱為 eSE，“embedded Secure Element”，嵌入式安全構(gòu)件)，或微電路卡(UICC，“UniversalIntegrated Circuit Card”，通用集成電路卡)。
[0040]所述安全電子單元例如符合EAL通用標(biāo)準(zhǔn)，對應(yīng)于ISO 15408標(biāo)準(zhǔn)-其中級(jí)別在2-7之間，或FIPS 140-2標(biāo)準(zhǔn)。
[0041]發(fā)送到電子單元40的命令例如為APDU類型的(例如見下面的步驟E13)。如圖1示意性示出的，電子單元40還可將命令發(fā)送到可信操作系統(tǒng)30，該命令例如為STK( "SIMTooIKit”)類型的。
[0042]電子設(shè)備10最后包括用戶界面或人-機(jī)界面(IHM)50(或UI，“User Interface”，用戶界面)，例如觸摸屏，在此當(dāng)用戶觸碰顯示于觸摸屏上的構(gòu)件(如虛擬按鍵)時(shí)，該觸摸屏可以向用戶顯示信息和接收用戶的指令或信息。
[0043]在變化形式中，用戶界面可使用其它類型的輸入-輸出裝置，以交換電子設(shè)備與用戶之間的信息，例如揚(yáng)聲器、麥克風(fēng)或生物識(shí)別傳感器。
[0044]圖1呈現(xiàn)的系統(tǒng)包括遠(yuǎn)程服務(wù)器60 (例如屬于商業(yè)網(wǎng)站)，其可通過箭頭A示意性表示的通信裝置與電子設(shè)備10交換數(shù)據(jù)，該通信裝置尤其可包括電話網(wǎng)絡(luò)(此處為移動(dòng)電話網(wǎng)絡(luò))和數(shù)據(jù)網(wǎng)絡(luò)，例如互聯(lián)網(wǎng)這樣的計(jì)算機(jī)網(wǎng)絡(luò)。
[0045]圖1的系統(tǒng)可選地另外包括銀行服務(wù)器70，即由銀行管理的服務(wù)器，通常在銀行中，用戶為銀行帳戶持有人。
[0046]圖2示出根據(jù)本發(fā)明的在圖1的系統(tǒng)構(gòu)件之間交換數(shù)據(jù)的方法的第一實(shí)施例。
[0047]所述方法開始于步驟E0，在遠(yuǎn)程服務(wù)器60和瀏覽器24(例如互聯(lián)網(wǎng)瀏覽器或“webbrowser")之間交換數(shù)據(jù)，由電子設(shè)備10的處理器在由多功能操作系統(tǒng)20定義的環(huán)境范圍內(nèi)執(zhí)行。
[0048]由瀏覽器24接收的數(shù)據(jù)被顯示在電子設(shè)備10的觸摸屏上。為此，在步驟El中通過人-機(jī)界面(或IHM)管理模塊22控制瀏覽器2