[发明专利]包括两个执行空间的电信终端

说明书

本申请是申请号为200480041737.2、申请日为2004年12月17日、名称为“包括两个执行空间的电信终端”的发明专利申请的分案申请。

技术领域

本发明涉及在带有用户接口（键盘、监视器、声卡、触敏区、鼠标等）的计算设备上，例如本地网关、销售机（例如公用机）或电信终端（从PC到移动电话）上，执行程序和应用。

背景技术

对于实现电信终端上的应用已知不同的途径。

例如虚拟机上的MIDP 2.0简档采用基于开放标准、易于使用、不对用户提出要求的安全策略，该策略考虑每个人从开发到执行的需求（用户、运营商、OEM、可信第三方是分开的）。

它提供下载和执行期间的应用来源的完整性和验证保护，它根据安全策略提供对访问关键资源的控制，它对用户提供进行中的操作的报警并且甚至可以请求用户选项。

在依靠“Midlet”类的“检查许可”方法（图2）保护的API上以相当简单的方式考虑安全策略。

还要求不能从MIDP程序直接访问MIDP文件的调用功能（保护功能）。

MIDP 2.0安全策略良好地适应所涉及的各种人员的需求。根据某种准则（对于一次会话永远、一次，永不）请求用户选项的可能性是很有益的。

但是，它的实现造成两种类型的问题。

首先，在和调用者程序相同的执行空间中进行受保护过程的执行，这增加“泄漏”的风险。让我们设想两个Midlet同时调用加密服务，如果只付出很小的注意，不能保证一个Midlet能恢复另一个Midlet使用的专用密钥的内容。

从而第一个问题是安全不足，尤其是对于诸如支付、签名或DRM应用的风险应用。

另外，一些事实显示，在存在实现误差情况下可能超越（override）该许可系统。

MIDP简档的第二个问题是由MIDP简档本身的规定造成的。它不适应用于程序的形式证明方法。这在一些不能通过形式方法对Midlet建模的部门（尤其是金融部门）造成问题，从而不能通过这些方法检查该Midlet。

换言之，不存在通过形式方法针对该简档编程的程序的规范证明有效性的技术。

另一种简档即STIP简档更特别适于对面向安全的API提供访问，例如SIM访问。

STIP虚拟机（图3）用于运行尤其为STIP简档编写的程序。

STIP的另一个优点是，它的编程模型和它的API有助于通过形式方法很好地分析它们。这就是为什么金融部门立即采用它，因为可以通过形式方法证明代码符合规范。

从而通过它的限制金融部门使用的STIP简档适于程序证明检查。

但是，STIP简档是为封闭系统配置的（未被信任的应用不能免罚下载）。

从而（在该规范的2.1.1版本中）未建立安全模型并且其中任何STIP应用（stiplet）可以访问任何已经实现的STIP型API。

这样STIP不适应产生其中用户可能要下载并且实现诸如游戏或各种实用应用的当前应用的终端。

发明内容

本发明的目的是提出一种配置，其能在电信终端中实现各种用户应用并且还能实现要求高级安全性的应用。

本发明还便利应用的编程和实现，尤其便利对新编应用的正确功能的证明。

的确已经知道以两个处理器的物理形式宿有两个虚拟机的移动电话的原理，其中一个虚拟机由该终端自身形成而另一个通过SIM卡形成。

SIM卡检查高安全性要求，而用户可访问该终端自身的处理器和它的内容。

但是，所述实现仍然具有一些主要缺点。

从而本发明的另一个目的是提出一种可以和或不和网络关联的设备，其中采用保密空间和未保密空间的优点，例如通过允许保密空间代替未保密空间接入用户接口例如键盘或监视器，并且相反地允许未保密空间利用已知的操作员接入保密通信以保证所述安全性。作为安全运营商具体地可提及电话运营商（尤其移动电话运营商），银行，有选择性或付费分配的多媒体品提供商和要求通过所述设备提供电子签名的服务提供商。

带有选择性分配的多媒体品的提供商尤其涉及“DRM”（数字版权管理），这些服务者在许可证情况下以文件格式投送典型地和音乐、视频或游戏有关的内容，该文件可在各种限制例如一定次数情况下读出。

本发明的一个目的是提供所述装置，其中肯定这两个关联的执行空间（一个空间的安全性级别高于另一个空间）从最初开始如期望或允许地彼此相关。