[发明专利]包含具有不同安全级别的安全资源的移动平台

说明书

本发明涉及一种移动平台，包括移动终端设备、安全资源和在移动平台中安装的确定模块，利用该确定模块能够确定移动平台的安全资源、能够推导出借助该安全资源能达到的至少一个移动平台安全级别并且能够输出所推导出的移动平台安全级别。另外，给出了一种具有这种移动平台的应用程序下载系统和一种用于移动平台的风险评估系统。

技术领域

本发明涉及一种包含移动终端设备和安全资源的移动平台，分别利用该移动平台的一种应用程序下载系统和一种风险评估系统。

背景技术

移动平台包括移动终端设备，通常还包括用户身份模块(也称为安全元件SE)，该模块能够在终端设备内运行，并且终端设备能够利用该模块在移动无线网络中运行。用户身份模块或安全元件SE在许多移动无线系统中被设计为可移除的用户卡(微处理器芯片卡)，例如SIM卡，替代地被设计为固定安装的eUICC(嵌入式UICC，UICC＝UniversalIntegrated Circuit Card，通用集成电路卡)。

移动终端设备应理解为利用移动无线系统的设备，例如移动电话、智能电话或具有移动电话功能的PDA(个人数字助理)。

通过Trustzone架构(ARM公司的商标)已知一种用于微处理器系统的二分式运行时间架构，其包括两个运行时间环境。由常规操作系统(例如Android，Windows Phone，iOS)控制被称为“常规区域”或“常规世界”的不安全的第一运行时间环境。由安全操作系统控制被称为“信赖区域”或“受信赖世界”或“安全世界”或“受信赖执行环境TEE”的安全的或值得信赖的第二运行时间环境。

由用户身份模块、常规运行时间环境和安全运行时间环境构成了移动平台的安全资源，其提供不同的安全级别(安全等级)。常规运行时间环境相对不安全，也就是具有低的安全级别。SIM卡具有相对高的安全级别，而安全的运行时间环境TEE具有中间安全级别。

移动平台应用程序的许多用户要求，其在其移动平台中所使用的应用程序遵守一定的安全级别。否则，他们可能不愿意使用在其移动平台中的应用程序。因此，移动平台应用程序的供应者感兴趣的是，能够保证其应用程序定义的安全级别。然而，应用程序的安全级别取决于移动平台的安全资源。只有当移动平台的安全资源满足一定的最低标准时，应用程序才能够保证足够的安全性。

WO 2011/131365 A1描述了一种用于对已经在移动终端设备内的应用程序进行后配置的系统和方法。在此，中央服务器具有关于移动终端设备的可能的安全资源(具有不同的运行时间环境和/或安全元件的终端设备配置)和关于安全资源所对应的安全级别(安全等级)的信息。根据中央服务器所确定的终端设备的安全级别，服务器选择合适的应用程序配置，并且对已经在终端设备内的应用程序进行配置以匹配安全级别。在此，服务器仅必须维持唯一的应用程序变体。通过后配置仍然建立与安全级别对应的应用程序配置。

根据WO 2011/131365 A1的系统和方法假设终端设备自身已知或者至少理论上已知终端设备的安全资源(终端设备配置)。只有这样，终端设备才能够对服务器请求合适的配置。

然而，移动平台的安全资源自身也会改变。例如可以添加或删除安全的运行时间环境。同样，也可以移除SIM卡。因此，不能保证例如根据终端设备的型号估计的安全资源与实际的安全资源一致。

发明内容

本发明要解决的技术问题是，实现一种移动平台，其能够保证定义的安全级别。特别是要提供一种移动平台，通过该移动平台能够保证在移动平台中安装的或要安装的应用程序具有定义的应用程序安全级别。另外，还要提供一种应用程序下载系统，用于将应用程序下载到移动平台，其中对于下载到移动平台中的应用程序能够保证定义的应用程序安全级别。

所述技术问题通过移动平台解决。给出了本发明的优选构造。