本發明專利技術提供了一種安全而有效的資源管理系統及相應方法,用于管理由許可者經由分發鏈投入市場的產品的資源。具體地,可以減少用于管理所述資源所需的密鑰的數目。在將產品發行到市場上時,不需要知道產品的準確許可條件。通過向被許可者提供的第二密鑰來管理許可條件和產品的資源的相關聯配置。然而,被許可者不知道第一密鑰和基于第一密鑰產生所述第二密鑰的導出函數。因此,確保了被許可者不可能要求比許可者允許的產品的資源要多的產品的資源。
【技術實現步驟摘要】
本專利技術涉及一種用于管理產品的可配置資源的資源管理系統。本專利技術還涉及ー種用于管理產品的可配置資源的方法。
技術介紹
在過去十年,智能卡的
已經取得了許多重要成果。智能卡可以提供身份證、認證、數據存儲和許多不同應用領域的應用處理功能。智能卡的益處依賴于編程用于卡上的信息和應用程序的數量。例如,可以利用如下信息對單個接觸受限智能卡或非接觸式智能卡編程多個銀行憑證、醫療權限數據(entitlement data)、駕駛證或公共運輸權限數據、會員程序和俱樂部成員。可以將多種因素和接近認證嵌入智能卡中,以增加由卡提供的服務的安全性。例如,可以對智能卡編程,·以允許只有當智能卡處于諸如唯一配對移動電話之類的另一設備的范圍內時才進行非接觸式交易。這可以極大地增加智能卡的安全性。更新的發展是所謂的虛擬卡的概念。例如,申請人在市場上買賣了 Mifare Plus技木,該技術具有所謂的虛擬卡架構的特征。基本上,虛擬卡體系結構使得能夠根據許可證配置安全元件或物理智能卡,所述許可證授權使用由智能卡提供的特定資源集。換言之,許可證指定可以使用智能卡的哪些功能集合或子集。因此,許可證可以用于配置智能卡的資源。虛擬卡被定義為能夠進行特定許可功能的智能卡。典型地,通過包括若干団體的分發鏈來銷售安全元件。例如,通過芯片制造商來制造安全元件,其中芯片制造商也是許可者。由許可者將安全元件投入市場。安全元件被配置為包括所述種類的多個虛擬卡。由諸如委托服務管理者(TSM)之類的另一団體管理虛擬卡,其中所述委托服務管理者充當了被許可者。常規上,ー個或多個委托服務管理者接收需要在安全元件上創建的虛擬卡的密鑰。典型地,需要多個密鑰來管理虛擬卡在安全元件上的創建,或者換句話說,在將安全元件投入市場之后配置安全元件的資源。
技術實現思路
本專利技術的目的在于,提供ー種安全且有效的,用于管理經由所述種類的分發鏈投入市場的產品的資源。具體地,本專利技術的目的在于減少用于管理所述資源所需的密鑰的數目。這通過權利要求I限定的系統和權利要求11限定的方法來實現。根據本專利技術資源管理系統的ー個方面,資源管理系統包括許可者、被許可者和產品,其中許可者被配置為在產品中存儲第一密鑰,井向被許可者發送許可證;許可者還被配置為使用第一密鑰將導出函數應用于許可證來產生第二密鑰;許可者還被配置為向被許可者發送第二密鑰;被許可者被配置為產生配置請求,所述配置請求包括許可證和許可證使用指令;被許可者還被配置為使用第二密鑰將保護函數應用于配置請求的至少一部分;被許可者還被配置為向產品發送配置請求;產品被配置為使用第一密鑰通過將所述導出函數應用于許可證,來產生驗證密鑰;產品還被配置為通過如下操作來驗證接收到的配置請求使用驗證密鑰將所述保護函數應用于配置請求的至少一部分,并且將得到的結果與被許可者所應用保護函數的結果相比較。在將產品發行到市場上時,也不需要知道產品的準確許可條件。通過向被許可者提供的第二密鑰來管理許可條件和產品資源的相關聯配置。然而,被許可者不知道第一密鑰和導出函數。因此,確保了被許可者不可能要求比許可者允許的產品資源要多的產品資源。根據本專利技術資源管理系統的另一方面,產品還被配置為只有當比較結果相同吋,才根據許可證使用指令來配置產品的資源。根據本專利技術資源管理系統的又一方面,許可證和許可證使用指令包括字節串。根據本專利技術資源管理系統的又一方面,配置請求包括可選的其它信息。·根據本專利技術資源管理系統的又一方面,被許可者和產品所應用的保護函數包括消息認證代碼的產生,其中相應地使用第二密鑰和驗證密鑰針對許可證和許可證使用指令計算所述消息認證代碼。根據本專利技術資源管理系統的又一方面,被許可者應用的保護函數包括使用第二密鑰、應用于許可證和許可證使用指令的對稱加密算法,以及產品所應用的保護函數包括使用驗證密鑰的相應解密算法。根據本專利技術資源管理系統的又一方面,被許可者還被配置為經由服務運營商向產品發送配置請求;服務運營商被配置為將密鑰集附加至配置請求;產品還被配置為只有當配置請求包括所述密鑰集時,才授權訪問產品的資源。根據本專利技術資源管理系統的又一方面,產品還被配置為產生所述密鑰集,且向服務運營商發送所述密鑰集。根據本專利技術資源管理系統的又一方面,產品是安全元件。根據本專利技術資源管理系統的又一方面,所述資源管理系統還包括用于在移動設備中嵌入安全元件的手機制造商以及用于將移動設備投入市場的移動網路運營商。最后,根據本專利技術的ー個方面,一種用于在資源管理系統中管理產品資源的方法,所述資源管理系統包括許可者、被許可者和產品,所述方法包括許可者在產品中存儲第一密鑰,井向被許可者發送許可證;許可者還使用第一密鑰通過將導出函數應用于許可證來產生第二密鑰;許可者還向被許可者發送第二密鑰;被許可者產生配置請求,所述配置請求包括許可證和許可證使用指令;被許可者使用第二密鑰將保護函數應用于配置請求的至少一部分;被許可者還向產品發送配置請求;產品使用第一密鑰通過將所述導出函數應用于許可證,來產生驗證密鑰;產品還通過如下操作來驗證接收到的配置請求使用驗證密鑰將所述保護函數應用于配置請求的至少一部分,并且將得到的結果與被許可者所應用的保護函數的結果相比較。附圖說明將參考附圖更詳細地描述本專利技術,其中圖I示出了根據本專利技術的資源管理系統的第一實施例;圖2示出了根據本專利技術的資源管理系統的第二實施例;圖3示出了根據本專利技術的資源管理系統的第三實施例;具體實施例方式圖I示出了根據本專利技術的資源管理系統的第一實施例100。資源管理系統100包括許可者102,許可者102經由第一通信信道108與產品104通信。典型地,許可者102是芯片制造商,以及產品104是芯片制造商生產的安全元件。在這種情況下,例如,第一通信信道108可以包括用于在制造期間在所述產品104中存儲信息的裝置。許可者102經由第二通信信道110 (優選地,安全信道)與被許可者106通信。被許可者106經由第三信道112與產品104通信。典型地,被許可者106是委托服務管理者(TSM)。在操作中,許可者102(或者代表許可者操作的団體)在產品104中存儲第一密鑰。第一密鑰被稱作資源管理密鑰,并且由Kl表示。許可者102向被許可者106發送許可證,許可證由L表示并且包括例如字節串。許可者102還使用資源管理密鑰通過將導出函數應用于許可證來產生第二密鑰(被稱作批量(wholesale)密鑰,并由K2表示)。導出函數由D表示,所以如下產生批量密鑰K2 = D(Kl)。許可者102還向被許可者106發送批量密鑰。被許可者106繼而產生配置請求,其中,配置請求是消息,所述消息包括許可證及用于按照期望方式配置產品的資源的指令。這些指令被稱作許可證使用指令,并且由LU表示。能夠配置資源的方式和程度由許可證確定。此外,被許可者106使用批量密鑰將保護函數應用于配置請求中的至少一部分。例如,配置請求可以采取以下形式的消息M1 = L| LU 0011 |MAC(K2,LI I LU I I 001),其中001表示可選的其它信息,以及MAC表示保護函數的特定示例,即,產生消息認證代碼,其中所消息認證代碼是使用批發密鑰針對許可證、許可證使用指令和可選其它信息來計算的。備選地,保護函數可以包括再次本文檔來自技高網...
【技術保護點】
一種用于管理產品(104)的可配置資源的資源管理系統(100;200;300),所述資源管理系統(100;200;300)包括許可者(102)、被許可者(106)和產品(104),其中:?許可者(102)被布置為在產品(104)中存儲第一密鑰,并向被許可者(106)發送許可證;?許可者(102)還被布置為使用第一密鑰將導出函數應用于許可證來產生第二密鑰;?許可者(102)還被布置為向被許可者(106)發送第二密鑰;?被許可者(106)被布置為產生配置請求,所述配置請求包括許可證和許可證使用指令;?被許可者(106)還被布置為使用第二密鑰將保護函數應用于配置請求的至少一部分;?被許可者(106)還被布置為向產品(104)發送配置請求;?產品(104)被布置為通過使用第一密鑰將所述導出函數應用于許可證,來產生驗證密鑰;?產品(104)還被布置為通過以下操作來驗證接收到的配置請求:使用驗證密鑰將所述保護函數應用于配置請求的至少一部分,并且將得到的結果與被許可者(106)所應用的保護函數的結果相比較。
【技術特征摘要】
...
【專利技術屬性】
技術研發人員:漢斯·德容,
申請(專利權)人:NXP股份有限公司,
類型:發明
國別省市:
還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。