包括兩個執行空間的電信終端的製作方法

2023-06-04 06:37:56

專利名稱：包括兩個執行空間的電信終端的製作方法
技術領域：
本發明涉及在帶有用戶接口(鍵盤、監視器、音效卡、觸敏區、滑鼠等)的計算設備上，例如本地網關、銷售機(例如公用機)或電信終端(從PC到行動電話)上，執行程序和應用。
背景技術：
對於實現電信終端上的應用已知不同的途徑。例如虛擬機上的MIDP 2. 0簡檔採用基於開放標準、易於使用、不對用戶提出要求的安全策略，該策略考慮每個人從開發到執行的需求(用戶、運營商、OEM、可信第三方是分開的)。它提供下載和執行期間的應用來源的完整性和驗證保護，它根據安全策略提供對訪問關鍵資源的控制，它對用戶提供進行中的操作的報警並且甚至可以請求用戶選項。在依靠「Midlet」類的「檢查許可」方法(圖2)保護的API上以相當簡單的方式考慮安全策略。還要求不能從MIDP程序直接訪問MIDP文件的調用功能(保護功能)。MIDP 2.0安全策略良好地適應所涉及的各種人員的需求。根據某種準則(對於一次會話永遠、一次，永不)請求用戶選項的可能性是很有益的。但是，它的實現造成兩種類型的問題。首先，在和調用者程序相同的執行空間中進行受保護過程的執行，這增加「洩漏」的風險。讓我們設想兩個Midlet同時調用加密服務，如果只付出很小的注意，不能保證一個Midlet能恢復另一個Midlet使用的專用密鑰的內容。 從而第一個問題是安全不足，尤其是對於諸如支付、籤名或DRM應用的風險應用。另外，一些事實顯示，在存在實現誤差情況下可能超越(override)該許可系統。MIDP簡檔的第二個問題是由MIDP簡檔本身的規定造成的。它不適應用於程序的形式證明方法。這在一些不能通過形式方法對Midlet建模的部門(尤其是金融部門)造成問題，從而不能通過這些方法檢查該Midlet。換言之，不存在通過形式方法針對該簡檔編程的程序的規範證明有效性的技術。另一種簡檔即STIP簡檔更特別適於對面向安全的API提供訪問，例如SM訪問。STIP虛擬機(圖3)用於運行尤其為STIP簡檔編寫的程序。STIP的另一個優點是，它的編程模型和它的API有助於通過形式方法很好地分析它們。這就是為什麼金融部門立即採用它，因為可以通過形式方法證明代碼符合規範。從而通過它的限制金融部門使用的STIP簡檔適於程序證明檢查。但是，STIP簡檔是為封閉系統配置的(未被信任的應用不能免罰下載)。從而(在該規範的2. I. I版本中)未建立安全模型並且其中任何STIP應用(stiplet)可以訪問任何已經實現的STIP型API。這樣STIP不適應產生其中用戶可能要下載並且實現諸如遊戲或各種實用應用的當前應用的終端。

發明內容
本發明的目的是提出一種配置，其能在電信終端中實現各種用戶應用並且還能實現要求高級安全性的應用。本發明還便利應用的編程和實現，尤其便利對新編應用的正確功能的證明。的確已經知道以兩個處理器的物理形式宿有兩個虛擬機的行動電話的原理，其中一個虛擬機由該終端自身形成而另一個通過SIM卡形成。SM卡檢查高安全性要求，而用戶可訪問該終端自身的處理器和它的內容。但是，所述實現仍然具有一些主要缺點。從而本發明的另一個目的是提出一種可以和或不和網絡關聯的設備，其中採用保密空間和未保密空間的優點，例如通過允許保密空間代替未保密空間接入用戶接口例如鍵盤或監視器，並且相反地允許未保密空間利用已知的操作員接入保密通信以保證所述安全性。作為安全運營商具體地可提及電話運營商(尤其行動電話運營商)，銀行，有選擇性或付費分配的多媒體品提供商和要求通過所述設備提供電子籤名的服務提供商。帶有選擇性分配的多媒體品的提供商尤其涉及「DRM」(數字版權管理)，這些服務者在許可證情況下以文件格式投送典型地和音樂、視頻或遊戲有關的內容，該文件可在各種限制例如一定次數情況下讀出。本發明的一個目的是提供所述裝置，其中肯定這兩個關聯的執行空間(一個空間的安全性級別高於另一個空間)從最初開始如期望或允許地彼此相關。通過本發明通過一種帶有用戶接口的計算設備達到這些目的，該設備包括用於實現一系列應用的裝置，這些裝置具體地包括一個虛擬機/操作簡檔執行空間，該設備包括至少在虛擬機或操作簡檔上和前一個不同的第二虛擬機/操作簡檔執行空間，每個執行空間宿有多個應用，由於第一執行空間的應用是由終端用戶建立和激勵的應用而第二執行空間的應用是終端用戶不能修改的應用，第二執行空間的應用是安全性等級尤其高於第一執行空間的應用的應用，其特徵在於，這兩個執行空間由一個物理處理裝置宿有，該物理處理裝置配置成不能在不破壞它的情況下把它分成二個部分。 本發明還提出在帶有用戶接口的計算設備內實現應用的方法，該方法依靠用於實現一系列應用的裝置，這些裝置尤其包括一個虛擬機/操作簡檔執行空間以及至少在虛擬機或操作簡檔上和前一個不同的第二虛擬機/操作簡檔執行空間，每個執行空間宿有多個應用，由於第一執行空間的應用是由終端用戶建立和激勵的應用而第二執行空間的應用是終端用戶不能修改的應用，第二執行空間的應用是安全性等級尤其高於第一執行空間的應用的應用，其特徵在於，這兩個執行空間由一個物理處理裝置宿有，該物理處理裝置配置成不能在不破壞它的情況下把它分成二個部分。


通過參照附圖閱讀下面的詳細說明本發明的其它特徵、用途和優點會變得清楚，附圖中
圖I示意示出現有技術的MIDP實現，圖2示意示出所述MIDP實現中的保護裝置的實現，圖3示意示出現有技術的STIP實現，圖4示出依據一種優選變型的發明終端的功能配置。
具體實施例方式下面的具體實施例使得能在相容執行環境下利用兩種技術MIDP和STIP的優點。形成「用戶」簡檔，MIDP簡檔。在蜂窩電話中該簡檔是非常普遍的，以用來建立遊戲以及各種實用應用。用戶能以和常見的MIDP電話相同的方式下載並執行網絡上找到的應用。從而MIDP簡檔包括用戶自己建立和激勵的應用。這裡STIP簡檔形成附加簡檔，並且更具體地是「運營商」簡檔。STIP簡檔很適應要求高安全性等級的應用，例如金融應用。金融財團已經信任採用形式方法的可能性以在電子支付終端(EPT)中證明STIP應用的實現。從而利用本發明能對開發者提供運營商API彙編，其執行是在適於開發者進行方便的編程的執行空間中保證的，該空間和簡檔是否相同無關並且是完全獨立的。從而該實施例能對運營商提供一批保密的應用例如支付、籤名或DRM，它們完全獨立於用於「例程」應用的執行簡檔。圖4示出的終端包括並且使得協調地在分立簡檔Pl和P2 (或者不分立)的兩個虛擬機100和200中執行。這兩個虛擬機中的一個100專用於用戶應用，而另一個200專
用於運營商應用。對應的分別為MIDP簡檔和STIP簡檔的簡檔Pl和P2本身分別專用於用戶應用和
運營商應用。圖4示出兩個虛擬機100和200。用戶可以利用「用戶」虛擬機100在需要時下載、安裝、去安裝、執行或停止MIDP簡檔的應用。正在其中執行的應用110使用該簡檔的API 120以及具有和虛擬機100—樣的簡檔的API 「樁模塊」(stub)，圖4中該API樁模塊用130標示。用200標示的第二機是「運營商」虛擬機只有運營商例如行動電話運營商或網際網路運營商(訪問提供商)才能通過無線電(OTA)機制管理該執行空間。運營商可以任意在其中安裝、去安裝、激勵或去激勵按簡檔100的形式體系寫出的應用210。應用210訪問簡檔P2的API 220以及一個或更多的在圖4中用參照號230示出的高層API。這些高層API 230允許訪問由機器100的簡檔提供的服務。從機器200的簡檔或者從樁模塊230到機器100的簡檔的API訪問是根據機器200的簡檔中固有的安全模型進行的。API「樁模塊」130是一個高層API，其由簡檔100的編程模型表達並提供對簡檔P2給出的服務的訪問。不論對機器100的簡檔或者對樁模塊130的API訪問是根據機器100的簡檔Pl中固有的安全模型進行的。樁模塊130和230按如下工作
對樁模塊130、230的API的調用轉換成八位字節流(稱為串行化進程或排序/去排序)。該流通過通信通道300由對立簡檔的管理程序140、240接收，去串行化並且轉換成遠程簡檔中的過程執行。在該遠程簡檔中再次串行化該過程的返回執行並且再次通過機器100和200的二個簡檔Pl和P2之間的通信通道300，在起始簡檔中去串行化該回答並且轉換成該API 「樁模塊」的返回調用。在此方式下存在各由不同的機器和不同的簡檔組成的並且通過API樁模塊130和230非常緊密相關的兩個獨立執行空間。
作為一種變型，兩個簡檔Pl和P2可以為相同類型，例如用於兩個不同機器的兩個MIDP簡檔或兩個STIP簡檔。還應注意能在同一個虛擬機中採用二個不同的簡檔Pl和P2。從而該實施例對MIDP應用的開發者提供支付API，其中該支付本身是在運營商控制的虛擬STIP機的執行下進行的。換言之，容易開發的MIDP應用通過通信通道300造成機器200的支付應用的執行，能對用戶提供一種支付手段。從而通過本發明MIDP應用能提供高可靠性的支付功能。但是，各由彼此簡檔或虛擬機不同的虛擬機/執行簡檔對形成的執行空間100和200都是通過同一個物理處理設備400 (同一個硬體實體400)實現的。宿有這二個執行空間的處理設備是單一的，在不破壞它的情況下不能把它一分為
--o從而不能物理上分離這二個執行空間，從而也不能把這樣分離的一個空間和另一個未授權的空間相關聯。例如通過在形成單個處理器的同一個集成電路上實現這二個執行空間可得到所述單個裝置。從而確保兩個環境，一個保密另一個未保密，是不可分離的。從而改進運營商(電話、金融、籤名管理，多媒體分配)提供的安全性，從而防止越過支付功能上的安全性、保證保密代碼的保密性和不篡改、保證電子籤名的可靠性或者監視用戶對付費服務的有限權利。兩個執行空間100、P1、200、P2各自的簡檔P1、P2最好分別是STIP簡檔和由STIP、MIDP、0SGI以及「.net」簡檔組成的組中選出的簡檔。
權利要求
1.一種帶有用戶接口的計算設備，包括用於實現一系列應用的裝置，所述裝置尤其包括第一虛擬機/操作簡檔執行空間(100，Pl, 200, P2)和第二虛擬機/操作簡檔執行空間 (100，Pl, 200, P2)，其中這兩個執行空間由同一個物理處理裝置(400)宿有，該物理處理裝置(400)被配置成使得不能在不破壞它的情況下把它分成二個部分，每個執行空間宿有多個應用(110，120，130，140，220，230)，由於第一執行空間(100，Pl, 200, P2)的應用(110， 120，130，210，220，230)是可由用戶修改的應用而第二執行空間(100，Pl, 200, P2)的應用(110.120.130.210.220.230)是用戶不能修改的應用，第二執行空間(100，Pl,200, P2)的應用是安全性等級尤其高於第一執行空間(100，Pl, 200, P2)的應用的應用，其中第二執行空間(100，Pl, 200, P2)至少虛擬機(100，200)和第一執行空間(100，Pl, 200, P2)的不同。
2.如權利要求I所述的設備，其特徵在於，第二執行空間(100，Pl,200, P2)的應用(110.120.130.210.220.230)是可以由安全運營商修改的應用，其中安全運營商屬於由電話運營商、銀行、有選擇性或支付配送的多媒體物品的提供商和對通過所述設備的電子籤名操作的服務提供商組成的組。
3.如權利要求I或2所述的設備，其特徵在於，它形成電話終端。
4.如權利要求3所述的設備，其特徵在於，它形成行動電話終端。
5.上述任一權利要求所述的設備，其特徵在於，它包括在兩個執行空間(100，Pl，200， P2 )之間的通信裝置(130,230,300)。
6.如權利要求5所述的設備，其特徵在於，兩個執行空間之間的通信裝置(130，230， 300)被設計成授權兩個執行空間之一的應用(130，230)依賴第二執行空間(100，Pl, 200, P2)的處理裝置。
7.如上述任一權利要求所述的設備，其特徵在於，兩個執行空間的每一個至少包括一個分立的 API (120，130，220，230)。
8.如上述任一權利要求所述的設備，其特徵在於，該通信裝置包括API「樁模塊」(130， 230)，其作用是依賴相對的執行空間(100，Ρ1，200，Ρ2)的資源，所述資源相對於調用者應用 (110,210)實現對它們的選擇性訪問。
9.如上述任一權利要求所述的設備，其特徵在於，兩個執行空間(100，Pl,200, Ρ2)之間通信裝置包括實現串行化/去串行化或排序/去排序的裝置。
10.如上述任一權利要求所述的設備，其特徵在於，兩個執行空間(100，Ρ1，200，Ρ2)中的一個包括STIP型簡檔。
11.如上述任一權利要求所述的設備，其特徵在於，兩個執行空間(100，Ρ1，200，Ρ2)中的一個包括MIDP簡檔。
12.如上述任一權利要求所述的設備，其特徵在於，兩個執行空間(100，Ρ1，200，Ρ2)中每一個的簡檔(Pl，Ρ2)分別是STIP簡檔和由STIP、MIDP、OSGI和net」簡檔組成的組中的簡檔形成部分。
全文摘要
本發明公開了包括兩個執行空間的電信終端。本發明涉及一種帶有用戶接口的計算設備，包括用於實現一系列應用的裝置，所述裝置包括二個執行空間。依據本發明，第二執行空間(100，P1，200，P2)的應用尤其具有比第一執行空間(100，P1，200，P2)的應用高的安全性等級，所述兩個執行空間由一個物理處理裝置宿有，該物理處理裝置設計成不破壞它的情況下不能把它分成二個部分。
文檔編號H04L29/06GK102984706SQ201210498788
公開日2013年3月20日 申請日期2004年12月17日 優先權日2003年12月23日
發明者古哈特勞克·阿爾瓦拉多, 簡－博納德·布蘭切特, 勞倫特·弗裡博奧, 亞歷山大·弗瑞, 艾利克·萬提爾拉德, 傑弗裡·蒙特爾, 馬賽尤·莫皮特 申請人:法國電信公司, 信誠邏輯公司