[发明专利]安全地对存储在终端的安全处理器中的通用应用进行多样化的方法

说明书

本发明提出了一种用于安全地对存储在终端的安全处理器（10）中的通用应用（11）进行多样化的方法，该方法包括：‑应托管在终端的应用处理器中的管理器应用（12）的请求在远程服务器（13）处生成服务器质询（SERVER.CHALLENGE）；‑将服务器质询发送给应用（11）；‑在应用（11）处生成第一消息（MSG1），第一消息（MSG1）是根据服务器质询、应用质询和应用（11）的唯一标识符（APP.ID）；‑将第一消息（MSG1）发送给托管在终端的安全处理器（10）中的可信根服务（112），可信根服务（112）生成第一消息的证明，证明保证了第一消息（MSG1）未被修改并且源自安全处理器（10）；‑在启用请求消息中将第一消息（MSG1）的证明传输给远程服务器（13）；‑在远程服务器（13）处：验证第一消息（MSG1）的证明是由可信根服务（112）提供的；验证第一消息（MSG1）包含服务器质询；向应用（11）返回启用有效载荷，其包含第二消息（MSG2）和拥有将用于验证第二消息的签名的公钥的公钥证书，第二消息包括应用质询；‑在应用（11）处，在接收到启用有效载荷时：验证公钥证书；验证第二消息的签名；验证第二消息（MSG2）包含应用质询。

本发明涉及电信，并且尤其涉及加载在联网装置（即能够访问网络）的片上系统（SoC）部分的安全处理器（SP）部分中并在其中运行的通用（未经多样化的）应用（例如，集成UICC，也称为iUICC，或针对嵌入式UICC的eUICC）的远程且安全的启用。装置（或终端）例如是能连接到蜂窝网络（2G、3G、4G或5G）的智能手机、PDA、IoT装置。因此，应用可以是允许安全元件用所有需要的凭证连接到MNO（移动网络运营商）网络的应用。

考虑包括主应用处理器（AP）和安全处理器（SP）的SoC。AP和SP彼此隔离，仅使用特定的硬件和安全协议彼此通信。这种隔离为加载在SP中并在其中运行的敏感应用提供了更高的安全性。加载在SP中的应用已知为SP应用。

在这种配置中，SP应用（后文为SP.APP）需要部署在多个装置/SP上，即，该SP.APP最初是以通用的、未经多样化的形式加载的。也就是说，最初在所有装置/SP上加载相同的软件和数据（不包含任何经多样化的标识符或凭证）。

要解决的问题是安全地对加载在特定装置/SP上的这种通用（未经多样化的）形式的SP.APP的标识符和凭证进行多样化，以便后续能够以安全的方式与每个经多样化的SP.APP实例进行通信。

一个典型的示例是安全地对移动电话/装置上的SP中的iUICC进行多样化。

本发明所需的环境进一步细化如下：

- AP可以运行高级应用，并为其提供对高级服务的访问，诸如网络访问。特别地，SoC包括允许AP访问网络的调制解调器。另一方面，在SP上运行的SP应用不能直接访问网络。

- SP向SP应用提供可信根（ROT）服务，即能够为（SP.APP提供的）任意消息生成加密证明的签名服务，这样的证明保证了该消息未被修改并且源自特定的SP/装置。

- SP还为SP应用提供ID服务，可以使用ID服务来检索SP.ID，即绑定到该SP的唯一标识符（即SP本身的唯一标识符或只能由该SP提供而不能由任何其他SP提供的某些数据）、或允许生成此类标识符（绑定到该SP）或通用唯一标识符（即独立于SP）的某些数据。即使不是通用唯一的，SP.ID也可以是或可以允许生成在给定SP制造商生产的SP范围内唯一的标识符。为了清楚起见单独描述了该ID服务，但其实际上可通过ROT服务来体现（例如，SP.ID可以从由ROT服务生成的证明中检索）。

- SP应用已经以安全的方式加载到SP上，也就是说，加载操作已经过授权，并保证了SP应用的完整性和来源、并且SP应用（SP.APP）是正版且经授权的软件。

本发明提出了一种用于安全地对存储在终端的安全处理器中的通用应用进行多样化的方法，该方法包括：

- 应托管在终端的应用处理器中的管理器应用的请求在远程服务器处（at thelevel of a distant server）生成服务器质询（challenge）；