用于多应用环境的参与方自治管理的管理权分配方法

具体实施方式

多应用环境具有唯一的最高管理者--主控方，参与方在主控方的许可下参与管理，参与方只能在被许可的范围内进行许可的自治管理活动。本发明提出的两种特权，即自我管理(SM)和自治代理管理(AutoDM)针对环境内任何控制域；并且一个控制域至多只能拥有一种管理权分配类的特权(DM、AM、SM、AutoDM均为管理权分配类的特权)。控制域也可不拥有任何管理权分配类的特权，此时意味着对于控制域内容除了主控方可以删除以外不能进行其他任何变更。

自我管理是指对于环境内某个自我管理特权控制域，只允许此控制域的所有者进行控制域的内容变更；控制域通过存储在控制域中的实体认证相关密钥验证环境外实体确为自己的所有者后，所有者可进行任何允许的操作。

自治代理管理是指对于环境内某个自治代理管理特权控制域，环境外实体(可以是参与方或主控方)要先获得其上级自治方签发的自治令牌，该自治令牌指明此操作是什么操作类型、操作的对象、操作的控制域、操作中使用的参数和签发者等，可以看做是对一个具体操作的签名，然后持有此令牌并通过环境对令牌有效性的验证后进行对环境内对应控制域内容变更。

这里的自治方是一种特殊的参与方，指在主控方或上级自治方的许可下建立控制域后主控方或上级自治方认可其自治地位，可自行发放自治令牌进行自治管理的特殊参与方；并且在自治方控制域的指定位置主控方或上级自治方监督自治方放置自治令牌签发公钥，主控方或上级自治方除了删除控制域内容以外，无法使用令牌(或上级自治方的自治令牌)来干涉自治方的控制域内容，自治方持有其自治令牌签发私钥，对应的自治方拥有的控制域持有其自治令牌签发公钥。

注意，同传统的多应用环境技术一致，作为多应用环境的最高管理者，主控方能够无条件的删除某控制域中的内容或整个控制域。

控制域可以通过级联形成层级关系，一个控制域只能级联到一个上级控制域，顶级的控制域级联到其自身。多应用环境中不同控制域可能属于不同的参与方，也可能一个参与方拥有多个控制域，各个参与方之间以及与主控方之间的关系在多应用环境中以控制域级联关系映射出来。本发明只说明SM、AutoDM特权的控制域进行组合实现自治管理的模式。

本发明涉及的技术可以独立使用也可与传统的多应用环境管理权分配技术(如DM、AM特权方式)联合使用，联合使用将使多应用环境主控方和参与方实现不同层次的控制和自主。

本发明中，为减少非重要因素导致的复杂性，假定主控方仅指定一个控制域具有(自治)令牌验证和收据生成特权。令牌指明操作的类型、操作的对象(如应用、加载文件等)、操作过程中的参数和签发者等；对每个对象的每种操作或操作组合均要发放令牌；令牌由主控方签发，但是本专利中自治令牌由自治方自行签发；在本专利中，令牌和自治令牌的验证使用相同的机制，并将两种令牌的验证职能赋予同一个控制域。收据由具有收据生成特权的控制域在进行了涉及令牌或自治令牌的操作后可生成，并返回给多应用环境外实体，以反映多应用环境进行了本次代理操作，这使后台系统可以跟踪多应用环境内容变更情况；本发明中，进行了涉及令牌和自治令牌的代理操作使用相同的机制，并将两种令牌操作的收据生成职能赋予同一个控制域。

SM和AutoDM特权控制域的建立大致流程相同，包括：首先，在多应用环境中建立控制域并指定其级联的上级(顶级控制域级联到自身)；然后按照一定规则给控制域赋予SM或AutoDM特权；最后，对于SM特权控制域，将实体认证相关密钥及其他密钥置入控制域指定字段；对于AutoDM特权控制域不需要置入密钥。

SM特权控制域、特殊的SM特权控制域-自治方控制域、自治代理特权控制域，分别示意如图1：SM特权控制域内存有实体认证相关密钥；特殊的SM特权控制域-自治方控制域内除存有实体认证相关密钥外，还存有自治令牌签发公钥；AutoDM特权控制域内不存有密钥。

各种特权控制域的级联关系要遵循一定规则的限制，详细规定将在下文中介绍。

当某个SM特权控制域认证某参与方是其所有者时才允许此参与方进行这个控制域内容的变更。下面结合图2说明若发起内容变更的是控制域的所有者时，使用实体认证方式进行认证的具体过程。

首先参与方通过交互设备请求与多应用环境(如多应用IC卡)建立会话(图中标记201)；多应用环境响应请求返回应答建立会话，返回的应答中可能包含多应用环境识别号、随机数和认证数，根据采用的加密算法的不同返回应答包含内容有所不同(标记202)；然后交互设备准备加密信息(标记203)；交互设备将准备好的加密信息传递给目标控制域(标记204)；目标控制域验证此加密信息是否与本控制域存储的实体认证相关密钥匹配(标记205)；若匹配，则认定该参与方为自己的所有者，建立控制域与终端的会话，允许参与方进行任何支持的控制域内容的变更，否则返回错误(标记206)。

用于进行实体认证的密钥算法可以是对称算法，如3DES算法，也可以是非对称算法，如RSA算法。对称算法和非对称算法具有不同的特点。非对称算法具有认证性、不可抵赖性、公钥可以公开等优良特性。

上文所述的由参与方通过交互设备传递给目标控制域的加密信息利用参与方的实体认证相关密钥生成，其中涉及对称算法和非对称算法。

使用对称算法生成加密信息的特点是：参与方利用多应用环境会话请求应答中返回的多应用环境识别号(例如多应用IC卡卡号)和随机数分散实体认证对称主密钥，得到实体认证工作密钥，使用此工作密钥加密认证数得到加密信息；实体认证对称主密钥经过多应用环境识别号分散的子密钥应存储在多应用环境中的SM特权控制域，以便其能验证此加密信息。

使用非对称算法生成加密信息的特点是：加密信息是使用参与方的实体认证私钥对认证数加密生成加密信息；SM控制域持有实体认证公钥，以便验证接收到的实体认证私钥生成的加密信息。

SM特权控制域可以单独作为顶级控制域存在多应用环境中，实现自我管理，也可以通过简单的级联形成分层级的自我管理模式。

图3示出了基本的SM特权控制域级联的自我管理模式，其中所有控制域均为SM权限，每个控制域均可通过实体认证进行自我管理。

图3中控制域301是顶级控制域，它级联到自身。顶级控制域301在主控方的许可下建立，并在主控方监督下加装实体认证相关密钥。控制域301的所有者301通过实体认证后可以自由的变更控制域301中的内容，但是对于辖下控制域302和控制域303的内容除了有删除权利外不得干涉。在所有者301的许可下，控制域302和控制域303建立并加装密钥，其所有者302和303也能在通过实体认证后自由变更自有控制域内容。能够自由管理自有内容而不会受到其他方干涉，这是SM特权的特点。

对于具有AutoDM特权的控制域，必须持有其直接上级自治方签发的自治令牌(称为上级自治令牌)才能进行此AutoDM控制域内容变更，但上级自治方有无条件删除控制域内容的权力。

多应用环境中可以有多个自治方控制域，自治方控制域是为了配合AutoDM特权控制域的使用而存在的。为了简化各种类型特权控制域组合的复杂性，规定只有带有SM特权的控制域才可能作为自治方控制域。此上级自治令牌只能由AutoDM特权控制域的最直接上级自治方控制域的所有者签发，称为此AutoDM特权控制域的上级自治方，这里的“上级”是一个相对的概念，是针对此AutoDM特权安全域而言。

为了使自治令牌具有认证性和不可抵赖性，自治令牌的签发和验证必须使用非对称算法，例如RSA算法等。AutoDM特权控制域的上级自治方持有自治令牌签发私钥，自治令牌签发公钥保存在其上级自治方对应控制域的自治令牌签发公钥字段中。

某自治方控制域的自治令牌签发公钥对其辖下的AutoDM控制域有效，对其辖下SM特权控制域及此SM特权控制域辖下AutoDM特权控制域无用。

自治方控制域与普通SM特权控制域不同之处在于在主控方的许可下拥有其自治令牌签发公钥。本发明没有为自治方控制域独立定义一个新的特权，但是通过检查SM特权控制域的自治令牌签发公钥字段(例如是否为Null)能确定其是否为自治方控制域，自治令牌签发公钥由自治方在主控方的许可和监督下加装。

自治方控制域同普通的SM特权控制域一样，可以独立使用也可级联使用，此时使用的方式也同于SM特权控制域；但一般情况自治方控制域是与AutoDM特权控制域配合使用。

AutoDM特权控制域的运作需要其上级自治方的自治令牌签发公钥来配合。当参与方将要进行作业(即控制域内容变更)的控制域带有AutoDM特权时，参与方应首先向其上级自治方申请作业对应的自治令牌。例如参与方希望把一个加载文件(如应用代码)加载到多应用环境内某个带AutoDM权限的控制域，则参与方首先向其上级自治方申请此操作的自治令牌；此自治令牌使用如下内容用其上级自治方自治令牌签发私钥签发：操作类型为加载、参考控制参数、加载文件在多应用环境内的设定名称、要加载的目的控制域、加载文件数据块Hash(用于验证加载文件的完整性)、加载参数等。实际上可以看作为其上级自治方用自治令牌签发私钥对一条具体加载命令进行了签发。

参与方得到此自治令牌后，才能对指定AutoDM特权控制域进行内容变更。

下面结合图4说明对于AutoDM特权控制域使用令牌进行控制域内容变更的具体过程。首先通过交互设备请求建立与多应用环境的会话(标记401)；多应用环境响应请求返回应答(标记402)；交互设备准备加载命令并将自治令牌嵌入操作命令的指定数据域(标记403)；然后将内含此自治令牌的加载命令发送到环境(标记404)；多应用环境解开收到的加载命令发现命令中带有自治令牌，于是传递给带(自治)令牌验证特权的控制域进行验证(标记405)；带(自治)令牌验证特权控制域使用上级自治方对应的自治令牌签发公钥验证此自治令牌的合法性，如果此自治令牌验证成功且此自治令牌内容与本加载命令的内容相符，则继续进行加载命令的处理(标记406)；处理完成后返回应答给交互设备(标记407)。

在使用(自治)令牌进行自治代理管理操作后，可以选择让多应用环境生成针对此次操作的收据，说明本多应用环境进行了本次(自治)代理管理操作。多应用环境中带有收据生成特权的控制域生成收据，传递给与自己交互的设备，交互设备将此收据传递给其后台系统，后台系统再转发给发生(自治)代理管理操作的AutoDM特权安全域的上级自治方的管理系统，实现对多应用环境自治方控制域内容状态的跟踪。收据的生成可以使用对称加密算法或非对称加密算法。

AutoDM特权控制域不能独立使用，它的上层必须有一个自治方控制域能够为它验证自治令牌。

AutoDM特权控制域的最直接关联的自治方控制域为其上级自治方控制域；其直接上级控制域可能不是其上级自治方控制域；对AutoDM特权控制域内容的变更要先获得其上级自治方控制域所有者签发的自治令牌。

图5示出了基本的AutoDM特权控制域与自治方控制域级联的自治代理管理模式。在图5中，顶级控制域501为自治方控制域，它级联到自身，顶级控制域501在主控方的许可下建立，并在主控方的监督下加装实体认证相关密钥和自治令牌签发公钥；控制域501的所有者501在通过实体认证后可以自由变更控制域501的内容，但是对于辖下控制域502和控制域503的内容除了有删除权利外不得干涉。在所有者501的许可下，AutoDM特权控制域502和控制域503建立，要变更控制域502和控制域503的内容必须持有所有者501签发的自治令牌。必须持有上级自治方签发的自治令牌才能变更AutoDM特权安全域内容，这是AutoDM特权的特点。

为了明晰控制域之间的级联关系，控制域之间的级联要遵守一个原则：下级控制域的管理权分配策略不能与上级控制域的管理权分配策略冲突，因此规定：SM特权控制域可建立下级SM特权控制域、下级自治方控制域；自治方控制域可建立下级自治方控制域、下级SM特权控制域、下级AutoDM特权控制域；AutoDM特权控制域只可建立下级AutoDM特权控制域。这些规定使各种控制域级联时关系清晰明确，使下级控制域在上级控制域的管理权分配策略内制定自己的策略。

SM与AutoDM特权控制域级联组成典型的混合自治管理模式如图6所示，在图6中，控制域A是顶级控制域，它级联到自身。601、602控制域是两个自治方控制域，它们存储各自的自治令牌签发公钥；603控制域的上级自治方是601；604控制域不作为自治方控制域，只是普通的SM特权控制域；605控制域的上级自治方是602；606、607控制域的上级自治方是601，因为它们最直接的上级SM控制域是601控制域。

通常，基本的自我管理模式和自治代理管理模式更常用。

综合本发明涉及的四种特权：DM、AM、SM、AutoDM，可以实现多应用环境中灵活复杂的管理权分配，四种权限按照DM-＞AM-＞SM-＞AutoDM的顺序主控方的干预越来越少，参与方的自主权越来越多。这四种特权的控制域可以同时并存于一个多应用环境中，主控方针对不同的参与方可采用不同的管理权分配方式，从而适应各种不同的管理策略和商业合作关系。

带有DM、AM特权的控制域，主控方可以通过令牌来干预控制域的内容，对于SM、AutoDM特权控制域主控方则无法干涉；AutoDM特权控制域允许其上级自治方自行发放自治令牌，达到对AutoDM特权控制域内容的干预；通过SM、AutoDM特权的使用，能使自治方拥有很大的自主权，能对辖内控制域进行自治。

采用SM、AutoDM管理权分配模式能提供给参与方更多的自主权，减少主控方的干涉，减少参与方与主控方的技术操作和管理操作成本，构建能适应复杂商业合作关系的技术基础，提高参与方业务合作的积极性。例如能促进多应用IC卡、多应用智能终端和多应用金融终端快速发展，迅速吸引参与方，为客户提供更多更便利的应用和服务。