专利名称:用于在终端与至少一个通信设备之间通信的方法与系统的制作方法
技术领域:
本发明涉及在终端与至少一个通信设备之间通信的方法和系统。
更具体地说,本发明应用于在终端和一个或多个通信设备之间的数据的安全通信。
背景技术:
目前,来自终端的呼叫建立倾向于通过语音通信,例如电话通信,或者通过具有分组网络,例如因特网,的通信将所述终端的用户连接到各种电信网络,使得能够访问和浏览在所述网络上的服务器。
作为总体的规则,现代的终端用户可以通过将附加设备连接到终端上寻求更新他们终端的技术特征和能力。
例如,因为移动终端上提供的屏幕大小受到限制,用户希望将所述原始移动终端物理地连接到具有更大屏幕的附加设备上。以这种方式,例如,用户可以获得来自因特网服务器的更友好的用户观察页面。同样地,为了拍照和发送照片,例如作为从所述终端发送到电子信箱的电子邮件消息的附件,用户可以将照相机连接到终端,例如个人计算机(PC)上。
一旦连接到终端,附加设备就被认为是所述终端的组成部分。
所述终端可以是任何类型的,例如个人计算机(PC)、移动终端或者任何允许添加通信设备的其他终端。
无论添加到终端上的设备是什么性质,它对于用户是可用的,特别地属于用户,并被适当地配置以适合与所述终端连接。作为一般规则,附加设备具有被设置以便被所述终端识别的参数。为此目的,可以通过设置参数预先静态地配置附加设备,以便借助预先定义的加密密钥对与附加设备所连接的终端的通信进行加密,例如,因为终端与附加设备可用于并属于相同的用户,该用户适当地配置终端和被添加到所述终端的设备,因此这是有可能的。
假如这种配置必须用于与终端通信,则仅能够添加用户容易访问而且不被所述终端排斥的设备。
如果终端的用户希望与属于其他人或者不与所述终端物理连接的设备通信,则用户不能自由地访问该设备。特别是,终端可能位于用户希望通信的设备附近或者与之远离。因为终端的用户不能为此目的配置通信设备,因此通信设备的配置不适合所述终端。
例如,所述通信设备是诸如饮料自动售货机、通信终端、通信公用电话、个人计算机(PC),等等通信自动设备,或者任何一种包括电信装置、处理装置和数据存储装置的终端。
文件WO 03/077581描述一种认证能够使用例如SyncML协议的数据通信同步协议将数据消息传送到服务器的电子通信设备的方法。服务器确定在通信设备传送初始化消息之后使用这种认证方法。通过包含在通信设备与服务器之间交换的消息中的认证方法指示器指定认证方法。根据设备的功能,不同的电子通信设备有不同的认证方法。
上述方法没有规定核定远程通信设备以证实所述设备没有被破坏或者盗用,仅规定检查所传送消息的完整性。
目前,为例如GSM(全球移动通信系统)网络或者GPRS(通用分组无线业务)网络的移动电话网络提供安全性的移动终端部件是SIM(用户身份模块)卡。SIM卡的功能包括移动网络中的用户认证、通话或者数据加密、以及移动终端的定制化。同样,新的UMTS ICC(集成电路卡)安装在连接到UMTS(通用移动电信系统)网络的移动终端上。
3GPP(第三代合作项目)的标准化努力涉及一种所谓的分离(split)终端(“用户设备分离”),其概念在报告“3GPP TR22.944版本5.1.0,关于对UE功能性分离的业务要求的报告(3GPP TR22.944 version 5.1.0,report onservice requirements for UE functionality split)”中被解释。然而,3GPP既不提供也没有描述所述用户设备分离的任何实施或者任何使用。
发明内容
消除现有系统缺点的本发明目标,具有扩展安全高附加值业务的总体目标,使终端能够建立与至少一个通信设备的安全通信,不论通信设备属于或者不属于所述终端的用户。
优选地在终端或者在至少一个通信设备中实现的所获得的技术效果寻求借助诸如串行电缆链路、IrDA(红外数据协会)红外链路、GPRS移动电信网络、NFC(近场无接点(contactless))通信链路或者蓝牙近程无线电链路等连接提供通信业务。
依照本发明,由用于在终端与至少一个通信设备之间安全数据通信的系统实现该目标,其特征在于,已经在所述终端与所述通信设备之间建立通信,所述系统包括至少一个适合交换数据的安全性服务器,其保证与所述终端的至少一个第一安全性设备之间建立的所述通信的安全,其中所述终端被配备至少一个用于管理所述通信设备的第一管理设备。
本发明还提供一种在保证终端与至少一个通信设备之间的数据通信安全的方法,其特征在于,该方法包括步骤安装在所述终端的至少一个第一安全性设备识别与所述终端通信的所述通信设备,以便确认所述通信设备的性质;通过获取仅可由所述通信设备执行的、由至少一个安全性服务器处理的数据来认证所述通信设备;所述安全性服务器的至少一个核定(approval)设备使用在认证期间被传送的所述数据检查所述通信设备的完整性;在识别、认证和完整性检查结果都是肯定的情况下,命令安装在所述终端的至少一个第一管理设备建立与所述通信设备的安全数据通信。
通信设备可以是不同种类的,例如具有消息业务的公共通信终端、具有电子支付应用的通信饮料自动售货机、通信税费或停车终端、通信计时停车计费器、电子身份卡、个人计算机(PC),等等。
因此,终端的用户希望与之通信的设备E属于其他人,所述用户不能自由访问设备E。
本发明的安全数据通信系统允许分离终端的合成(composition)包括终端与至少一个通信设备。作为结果得到的分离终端使终端用户能够用高级安全性更新终端的技术特征与能力,以使用户能够访问先前不能访问的新业务。
不管所述通信设备的性质、并且不必实施任何配置处理以确保(render)终端与所述设备的兼容而获得分离终端,可以避免用户配置所述终端时浪费时间和发生错误。自动获得在终端与通信设备之间建立的通信的兼容性与安全性,并且该兼容性和安全性适合任何附近或远程通信设备。
终端建立与通信设备的通信。通信设备被所述终端识别与认证,所述终端还检查通信设备的完整性,并装备有第一安全性设备与第一管理设备,所述通信设备由与所述终端对话的安全性服务器验证。
安全通信系统中的全部实体都具有用于发送与接收数据的装置,使数据能够在所述实体之间交换。
依照本发明,所述方法包括经由至少一个连接网络在所述终端与所述通信设备之间设置链路的步骤。
依照本发明,经由所述连接网络建立的所述链路允许使用从包括电缆、移动、光学与近程无线电通信的组中选择的通信类型。
除上述之外,终端建立与通信设备的通信以访问所需的业务、所述终端以及构成分离终端的通信设备的组合。
链接所述分离终端的组建以建立所述终端与所述通信设备之间的链路。
终端和通信设备(税费或者停车终端、计时停车计费器、PC,等等)经由连接网络,例如,串行电缆链路、GPRS移动电信网络、IrDA(红外数据协会)红外链路、NFC(近场无接点)通信链路或者蓝牙近程无线电链路,通信。
依照本发明,由分别安装在所述终端与所述通信设备的至少一个第一安全性设备与至少一个第二安全性设备管理与控制在所述终端与所述通信设备之间进行的数据交换。
终端建立与至少一个通信设备的通信以通过结合终端与所述通信设备来组建分离终端。
安全通信系统允许在终端与通信设备之间具有高级安全性地交换消息。终端的所述第一安全性设备和所述第一管理设备与安全性服务器一起在不考虑所述通信设备性质的情况下执行并验证身份、认证与完整性检查,通信设备配备有第二安全性设备,第二安全性设备管理与构成分离终端的其他部分的所述终端的交换。
依照本发明,用于启动所述终端与所述通信设备之间安全通信的至少一个过程被所述第一安全性设备识别与处理。
只要终端建立与所述通信设备的通信,便配置所述通信设备的管理以组建分离终端。
执行启动分离终端的过程,以在终端与所述通信设备之间建立安全通信。为确认所使用的过程,安全通信的管理使用与已经与之建立通信的所述通信设备对应的标识符。
依照本发明,所述终端的所述第一安全性设备在没有所述终端用户的干预下自动控制所述安全通信的设置参数的至少一个处理。
例如,为增加安全性,在超过超时(time-out)的时间间隔之后没有被响应的消息自动导致启动分离终端的过程的中止(abort),其中超时是在所述终端的所述第一安全性设备中设置的参数。对与相同分离终端对应的启动过程所授权的最大中止数可以是设置以防止外部删减(hack)的参数。
依照本发明,所述通信设备解密由所述安全性服务器处理的数据的结果与所述安全性服务器解密所述设备的身份的结果相同。
依照本发明,为防止预测结果,所述通信设备根据由安装在所述安全性服务器的所述核定设备执行的完整性检查,对所述安全性服务器处理的所述数据解密,作为在给定时间内的所述通信设备的配置的功能。
为获得与终端和通信设备之间建立的通信有关以及与分离终端的管理有关的高级安全性,安全性管理在终端、所述通信设备与所述安全性服务器之间共享。如果这三个实体中任何一个检测到异常,则中止启动分离终端的过程。
为阻止欺诈、干预或者外部盗用,安全性服务器的所述核定设备处理在安全性通信系统的实体之间交换的数据,以检查终端与通信设备的完整性。
为此目的,实现在解密由所述安全性服务器处理的数据的结果与解密所述通信设备的身份的结果之间的比较。
为改进安全性,安全性服务器的所述核定设备从在至少一个对应(correspondence)表中可用的一组加密密钥对中选择一对加密密钥,作为在给定时间内所述通信设备的配备的功能。
依照本发明,所述通信设备的所述第二安全性设备和所述第二管理设备禁止所述移动终端的所述用户干预所述通信设备。
这样保证分离终端的安全建立。所述终端的用户不能以任何方式干预所述通信设备,或者用其他方式外部干预;这样防止了欺诈或者删减。
依照本发明,通过使用至少一个加密密钥在数据传输之前对其处理来保证在所述终端与所述通信设备之间的数据交换安全。
依照本发明,通过使用至少一个加密密钥在数据传输之前对其处理来保证在所述终端与所述安全性服务器之间的数据交换安全。
与在现有系统中使用的过程相比,在终端与安全性服务器中执行加密。此外,如果消息在安全通信系统的各个实体之间交换,还加密被发送的数据。
依照本发明,多个通信设备同时经由至少一个连接网络与所述终端建立通信。
依照本发明,多个通信设备经由所述连接网络独立地与所述终端通信。
依照本发明,为与所述终端通信的每个通信设备识别用于启动所述安全通信的过程。
根据用户所需的应用,多个通信设备可以同时并且独立地加入与例如饮料自动售货机、通信税费或者停车终端、PC等等所述终端的通信,并由至少一个连接网络连接到所述终端。经由所述连接网络建立所述终端与至少一个通信设备之间的通信。
允许通过结合终端与至少一个通信设备来组建分离终端的本发明的安全数据通信系统可以被转换为任何类型的连接网络以及具有适合于组建分离终端的功能和通信装置的任何通信设备。
对每个所述通信设备独立地执行用于启动分离终端的所有安全过程。为允许对用于同时启动所述“分离终端”的各个过程进行识别,消息有不同的标识符。
借助非限制的实例提供下列参考附图的描述,清楚地解释本发明的组成以及其如何在实践中还原。
图1表示本发明中用于终端与至少一个通信设备之间的安全通信的系统的总体结构。
图2示出本发明中用于终端与至少一个通信设备之间的安全通信的方法的步骤。
具体实施例方式
本发明的安全数据通信系统允许通过结合终端20与至少一个通信设备E30、30′组建分离终端。所述分离终端构成体现在上述3GPP技术报告中陈述的概念的技术解决方案。
作为结果得到的分离终端允许终端20的用户不考虑所述通信设备E 30、30′的性质,在整个安全性方面更新终端的技术特征和能力。
所述分离终端的组建链接到与所述终端20和所述通信设备E 30、30′之间链路的建立,通信设备E 30、30′经由至少一个连接网络50连接到终端。
所述连接网络50支持从一个包括电缆、无线电、光与短程无线电通信的组中选择的通信种类,例如,电缆串行链路、GPRS移动电信网络、IrDA(红外数据协会)红外链路、NFC(近场无接点)通信链路或者蓝牙近程无线电链路。
所述终端20可以是任何种类,例如个人电脑(PC)、移动终端、或者允许添加通信设备E 30、30′的任何其他终端。
通信设备E 30、30′可以是各种类型,例如有消息业务的公共通信终端、有电子支付应用的饮料通信自动售货机、通信税费或者停车终端、通信计时停车计费器、个人电脑(PC)、等等。
因此,终端用户希望与之通信的设备E可以属于其他人,而在这样情况下用户不能自由访问该设备。
不考虑所述通信设备的性质并且不必实施任何配置处理以确保终端与所述设备的兼容而实现分离终端的组建,可以避免用户配备所述终端时浪费时间和发生错误。自动实现在终端与通信设备之间建立的通信的兼容性与安全性,并且该兼容性与安全性适合于任何种类的附近的与远程的通信设备。
在图1中表示体现本发明的系统,相关的设备是至少一个安全性服务器(S)10,至少一个终端(T)20与至少一个通信设备(E)30、30′。
所述安全性服务器10包括至少一个核定设备12,用于当所述通信设备E30、30′与终端20结合以组建分离终端时检查与验证至少一个通信设备E 30、30′的识别、认证与完整性检查。所述核定设备12配备至少包括发送和接收数据的装置的通信接口13,能与所述安全性服务器10的第一传输接口11交换消息。至少包括用于发送和接收数据的装置的所述第一传输接口11能与配备第二传输接口21的所述终端20交换所传送的数据。所述安全性服务器10能控制所述终端20的所述第一安全性设备25并与其交换数据,以与所述通信设备E 30、30′建立安全数据通信。经由至少一个接入(access)网络40实现在所述安全性服务器10与终端20之间的传输。
所述接入网络40支持从包括电缆、移动、光与短程无线电通信的组中选择的通信形式,例如串行电缆链路、IrDA(红外数据协会)红外链路、GPRS移动电信网络、NFC(近场无接点)通信链路或者蓝牙近程无线电链路。
所述终端20包括至少一个用户接口23、至少一个第一安全性设备25以及用于管理所述通信设备E 30、30′的至少一个第一管理设备27。
用户接口23允许用户访问终端20的资源,例如显示装置,如屏幕、或者音频或语音再现装置、诸如键区的数据输入装置,或者数据存储装置,如所述终端20的存储器。用户接口23输出被发送的消息以通知所述终端20的用户该内容,并允许所述用户验证与接受依照所述通信设备E 30、30′的性质与用于启动分离终端的过程建立的所述通信。所述用户接口23配备至少包括用于发送和接收数据的装置的通信接口24,其适合与所述终端20的第一安全性设备25的通信接口26交换消息。
当所述通信设备E 30、30′与终端20结合以组建分离终端时,终端20的第一安全性设备25负责关于与至少一个通信设备E 30、30′建立通信的识别、认证与完整性检查。第一安全性设备25接收所述通信设备E 30、30′的身份,其适合于确认所述通信设备E 30、30′的性质并适合于与所述安全性服务器10对话以保证在终端20与通信设备E 30、30′之间安全建立所述通信。所述第一安全性设备25还配备至少包括用于发送和接收数据的装置的通信接口24,其适合与所述终端20的第一管理设备27的通信接口28交换消息。
所述终端20的第一管理设备27负责管理通过结合终端20与至少一个通信设备E 30、30′而组建的分离终端。第一管理设备27配备至少包括用于发送和接收数据的装置的通信接口28,其适合与所述终端20的第一安全性设备25的所述通信接口26交换消息,以与和所述连接网络50兼容的所述第三传输接口22交换消息。
除了与所述终端20的所述通信接口24和28交换数据之外,所述终端20的第一安全性设备25的所述通信接口还适合与第二传输接口21和第三传输接口22交换消息。所述终端20的所述第二传输接口21至少包括用于发送和接收数据的装置,并允许与配备所述第一传输接口11的所述安全性服务器10交换发送的数据。经由所述接入网络40执行在所述安全性服务器10与终端20之间的传输。所述终端20的所述第三传输接口22至少包括用于发送和接收数据的装置,并允许与配备第四传输接口31的至少一个通信设备E 30、30′交换发送的数据。经由至少一个连接网络50在所述终端20和所述通信设备E 30、30′之间建立传输。
终端20的所述第三传输接口22和所述通信设备E 30、30′的第四传输接口31与所述连接网络50兼容。
如果不同的通信设备E 30、30′连接到不同类型的连接网络50,每个通信设备E30、30′配备与连接网络50的相应类型兼容的传输接口31。然后,建立与配备第三传输接口22的终端20的通信,其中第三传输接口22与连接所述通信设备E 30、30′的连接网络50的类型兼容。多个通信设备E可以经由至少一个连接网络50同时并独立地与所述终端建立通信。
终端20可配备对应连接网络50的不同类型的不同传输接口22。
所述通信设备E 30、30′包括至少一个负责在与终端20建立通信时进行识别、认证与完整性检查的第二安全性设备32,以及至少一个用于管理所述终端20的第二管理设备34。所述通信设备E 30、30′的第二安全性设备32配备至少包括发送和接收数据的装置的、适合与所述第四传输接口31交换消息的传输接口33,该接口与所述连接网络50兼容。
所述通信设备E 30、30′的第二管理设备34管理包括终端20与所述通信设备E 30、30′的组合的分离终端。第二管理设备34配备至少包括用于发送和接收数据的装置的、适合与所述通信设备E 30、30’中所述第二安全性设备32的所述通信接口33交换消息、适合与所述第四传输接口31交换消息的通信接口35,该接口与所述连接网络50兼容。
所述通信设备30、30′的所述第二安全性设备32与所述第二管理设备34禁止所述移动终端20的用户干预所述通信设备30、30′。这保证所述分离终端的安全建立。用这种方法,所述终端20的用户不能用任何方式干预通信设备30、30′,或者实施任何其他外部干预,以防止欺诈、删减或者访问参数设置。
根据用户所需的应用,多个通信设备E 30、30′可以同时并且独立地加入与例如饮料自动售货机、通信税费或者停车终端、PC等等的所述终端20的通信,并经由至少一个连接网络50连接到所述终端20。经由所述连接网络50在所述终端20与至少一个通信设备E 30、30′之间建立通信。为与所述终端20通信的每个通信设备30、30′识别用于启动安全通信的过程。
通信设备E 30、30′并不总是物理上接近终端20。例如,所述通信设备E30、30′可以是数据网络具体上是因特网、或者公司专用网络中的应用服务器。在该情况下,所述通信设备E 30、30′经由连接网络50,例如GPRS(通用分组无线业务)移动电信网络或者因特网连接到所述终端20。
总体而言,提供包括终端与至少一个通信设备E 30、30′的结合的分离终端的组建的本发明的安全数据通信系统可以被转换为任何类型的连接网络50,无论它是移动网络(例如UMTS移动网络)、固定网络(例如ADSL网络)、电缆链路(例如串行链路)、无接点的链路(例如NFC链路)、或者光链路(例如IrDA红外链路),等等。
它还可能被转换为任何通信设备E 30、30′,无论它是通信手表或者衣服配件、通信机器上的传感器、通信医学工具或者测量工具、等等,或者具有构成分离终端需要的通信装置和功能的任何设备E。
所述分离终端的组建链接到经由所述终端20与至少一个通信设备E 30、30′之间的所述连接网络50建立的链路。
终端20与通信设备E 30、30′之间通信的建立或者由终端20的用户主动启动,或者通过识别到在所述终端20附近存在的通信设备E 30、30′而启动。
如果用户主动启动通信,所述用户命令终端20经由存在的连接网络50建立链路;例如,用户将终端20放置在无接点接入网络的NFC传感器前面,然后运行用于启动分离终端的过程,其中分离终端包括所述终端20与至少一个通信设备E 30、30′的组合。
如果通过识别通信设备的存在而启动通信,终端20的所述第三传输接口22检测至少一个通信设备E 30、30′的所述第四传输接口31的存在。例如,当检测所述第三传输接口22时,通信设备E 30、30′的第四传输接口31向终端20的操作系统发送中断消息;当它接收所述中断消息时,所述操作系统运行用于启动分离终端的过程。
执行用于启动分离终端的过程以在终端与所述通信设备之间建立安全通信。通过所述第一安全性设备25识别与处理用于启动在终端20与所述通信设备E 30、30′之间安全通信的过程。为允许识别所使用的过程,使用对应于已经与之建立通信的所述通信设备E 30、30′的标识符管理安全通信。
为增加在终端20与所述通信设备E 30、30′之间通信的安全性,该组合被认为是分离终端,在终端20、所述通信设备E 30、30′与至少一个安全性服务器10之间共享安全性管理。如果这三个实体中的任何一个检测到异常,便中止用于启动分离终端的过程。
此外,启动分离终端的过程一开始,便在发送每个消息之后开启超时。所述超时的持续时间可以预先定义或者通过参数设置。如果超时的持续时间超出预先定义值或者参数值,则中止当前启动过程。此外不再考虑具有对应所述被中止的启动过程的标识符的任何消息。在大于预先定义或者参数超时值的时间之后还没有响应该消息同样会引起启动分离终端的过程的中止。另一个被设置的参数是对应于相同分离终端,即,相同的终端20与相同的通信设备E 30、30′的组合,的启动过程所允许的最大中止数。
一旦到达关于异常的中止数的参数值,对应于分离终端的启动变得不可能。
因此,在没有所述终端20的用户的干预下,设置参数能使终端20的第一安全性设备25自动地控制所述安全通信。
就所有失败的情况而言,所述终端20经由所述用户接口23接收关于停止建立所述安全通信的消息。
因此,这种共享管理的形式提供高级别的安全性,并防止分离终端欺诈性的或者不适当的创建。此外,安全性服务器10的核定设备12、通信设备E30、30′的第二安全性设备32和终端20的第一安全性设备23可以采取例如智能卡或者安全电子元件的形式,他们都具有下文所述的启动分离终端的方法的功能。例如,智能卡可以是在3GPP(第三代合作项目)标准化组和ETSI(欧洲电信标准协会)的标准中定义的SIM卡或者UICC卡。
此外,为在依照本发明的系统中的各种实体之间进行安全通信,以及所述实体彼此间的认证,例如使用现有的公共密钥/私有密钥或者对称密钥加密方法加密传送的消息。按照加密方法,当所述安全通信系统的实体使用密钥K加密消息M时,消息K(M)只能被保存互补密钥K′的实体读出。根据公共密钥/私有密钥加密,密钥K对应互补密钥K′,被密钥K加密的消息M被标记为K(M),由互补密钥K′加密消息K(M)的结果等于消息M。在对称密钥加密的情况中,密钥K和K′相同。
通过在数据传输之前对其处理,可以保证首先在所述终端20与所述通信设备E 30、30′之间,其次在所述终端20与所述安全性服务器10之间的数据交换安全。同样,在终端20的第一安全性设备25首先与所述通信设备E 30、30′的第二安全性设备32之间的传输,和其次与所述安全性服务器10的核定设备12之间的传输被加密。
由分别安装在所述终端20和所述通信设备E 30、30′的至少一个第一安全性设备25与至少一个第二安全性设备32管理和控制在所述终端20与所述通信设备E 30、30′之间的数据交换。
本发明的安全通信系统规定安全性服务器10的核定设备12保存密钥KA’、KB、KC、KD′和临时密钥KTA和KTA’。终端20的第一安全性设备25保存密钥KB′和KD与临时密钥KTB和KTB′。通信设备E 30、30′的第二安全性设备32保存密钥KC’和KA与临时密钥KTC和KTC’。临时密钥被用于在启动所述分离终端的过程是肯定结果之后加密和认证通信。临时密钥KTA、KTA′、KTB、KTB’、KTC、KTC′优选地是提供更好加密性能的对称密钥。其它密钥KA、KA′、KB、KB′、KC、KC′、KD和KD′优选地是符合公共密钥/私有密钥原则的不对称密钥。
为帮助理解本发明,图2示出在终端20与至少一个通信设备E 30、30′之间安全通信的方法的步骤。
如上所述,通过终端20或者通过至少一个通信设备E 30、30′触发用于启动分离终端的过程(步骤1)。
在通过终端20触发的情况下,例如借助在屏幕所显示的网页上的超级文本连接,用户可以通过在终端20的用户接口23上选择它来命令用于启动分离终端的过程。然后,用户接口23经由通信接口24和26命令终端20的第一安全性设备25执行用于启动分离终端的过程。此外,通信设备E 30、30′可以触发所述启动过程。
在两种情况中,终端20的第一安全性设备25产生一个对应当前启动过程的标识符。如上所述,多个通信设备E 30、30′可以建立与所述终端20的通信。因此,由第一安全性设备25中的标识符识别用于启动包括不同通信设备E 30、30′的分离终端的每个请求。
终端20的所述第一安全性设备25请求所述通信设备E 30、30′的识别。所述第一安全性设备25经由终端20的通信接口26和第三传输接口22、连接网络50、通信设备E 30、30′的第四传输接口31和传输接口33发送识别询问消息到通信设备E 30、30′的第二安全性设备32。所述识别询问消息包括当前启动过程的标识符和消息类型“识别请求”(步骤2)。
例如,如果连接网络50使用红外链路,那么终端20和通信设备E 30、30′每个都必须被配备IrDA红外链路传输接口22、31。当终端20与至少一个通信设备E 30、30′之间已经建立红外链路,终端20的第三传输接口22经由通信接口26向第一安全性设备25发送消息以请求所述通信设备E 30、30′的识别。不管如何触发,传送的消息包括对通信设备E 30、30′的识别的请求。
例如,按照符合在2002年12月9日提交的法国专利申请FR 02 15521中描述的SIM访问协议的协议执行在终端20中的消息交换。例如,按照W3C(万维网协会)标准化组织定义的简单对象存取协议(SOAP)执行在连接网络50中与通信设备E 30、30′中的数据交换。为提高安全性,同时加密经由连接网络50的通信。如上所述,如果交换失败,在任何时间都可以中止当前的启动过程。
接收“识别请求”消息之后,通信设备E 30、30′的第二安全性设备32向终端20的第一安全性设备25发送对识别请求的响应消息(步骤3),所述识别请求包括对应当前启动过程的标识符、消息类型“识别请求响应”、由通信设备E 30、30′的身份IE以及对应当前启动过程的标识符的密钥KA加密得到的加密的身份IC。
特别为防止来自终端20的欺诈性访问或者操作,密钥KA用于加密通信设备E 30、30′的身份IE,以便所述身份仅由保存密钥KA′的安全性服务器10的核定设备12解密。对应当前启动过程的标识符用于向加密产物(product)添加随机值。用这种方法,产物IC总是给出不同的结果并且不能通过简单复制再现,标识符在每个过程启动时变化。
接收到“识别请求响应”消息之后,终端20的第一安全性设备25经由通信接口26和13、传输接口21与11和接入网络40向安全性服务器10的核定设备12发送消息,该消息包括对应当前启动过程的标识符、消息类型“身份查考(consultation)”、被密钥KD加密的通信设备E 30、30′的身份IC(即产物KD(IC))、与通过使用密钥KD加密该消息前导分量(precedingcomponent)产生的缩合值(condensate)COCI(步骤4)。缩合值COCI被目的地设备用于验证消息与认证发送设备。
发送设备使用密钥加密的缩合值被目的地设备使用互补密钥解密,这样认证发送消息的设备。在这种情况下,作为发送设备的所述终端20的第一安全性设备25使用密钥KD加密缩合值COCI,作为接收设备的安全性服务器10的核定设备12使用互补密钥KD′解密缩合值COCI。然后,第一安全性设备25使用它的密钥KD加密产物IC。以这种方式,核定设备12确信第一安全性设备25已经通过解密产物KD(IC)验证了启动过程的开始。
例如,通过在2002年12月9日提交的法国专利申请FR 02 15521中描述的SIM访问协议在终端20中交换消息。例如,借助现有的简单对象存取协议(SOAP)执行在接入网络40中与安全性服务器10中的交换。为增加安全性,同时加密经由接入网络40的通信。如上所述,如果交换失败,可以在任何时间中止当前启动过程。
接收“身份查考”消息之后,安全性服务器10的核定设备12使用它的密钥KD′解密缩合值COCI与产物KD(IC)(步骤5)。所述核定设备12推导出消息与产物IC的验证。已知当前启动过程的标识符并保存密钥KA′,核定设备12解密产物IC并推导出通信设备E 30、30′的标识符IE。第一对应表包括标识符IE、密钥KC和设备E,例如税费终端、计时停车计费器、等等的性质的列表。已知通信设备E 30、30′的身份IE,核定设备12推导出通信设备E 30、30′的密钥KC以及通信设备E 30、30′的性质。如果解密正确地进行以及如果通信设备E 30、30′的身份IE和当前启动过程的标识符符合在所述核定设备12的第一对应表中包含的信息,则核定设备12认为通信设备E 30、30′已经被识别。
使用第二对应表,所述核定设备12从通信设备E 30、30′的身份IE中推导出一组密封密钥CSH+完整性检查软件AVI对。根据在给定时刻获得对应所述通信设备E 30、30′配置的密封密钥的AVI软件,执行软件AVI检查通信设备E 30、30′的完整性。从所述第二对应表中所有可用对中随机选择对。然后,核定设备12从第三对应表中所有可用对中随机选择加密密钥对(KTA、KTA′)。所述核定设备12使用密钥KB、密钥KC加密的密钥KTA’、密钥KB加密的组合(产物KB(KC(KTA′)))、和密钥KC加密的软件AVI(产物KC(AVI))来加密密钥KTA(产物KB(KTA))。
为防止预测结果,根据从一组加密密钥对的随机选择,对由所述安全性服务器10的核定设备12处理的以及由所述通信设备E 30、30′执行的数据的解密依靠由所述核定设备12执行的完整性检查,并作为在给定时刻所述通信设备E 30、30′配置的功能。
安全性服务器10的核定设备12向终端20的第一安全性设备25发送包括当前启动过程的标识符、消息类型“对身份查考的肯定响应”、通信设备E30、30′的清除(clear)性质、产物KB(KTA)、产物KB(KC(KTA′))、产物KC(AVI)、以及缩合值CORP的消息(步骤6),其中缩合值CORP是由该消息前导分量的密钥KB加密的结果。
如果任何一个本步骤的上述操作都失败,安全性服务器10的所述核定设备12向第一安全性设备25发送包括所述启动过程的标识符、消息类型“对身份查考的否定响应”、以及缩合值CORP的消息,其中缩合值CORP是由该消息前导分量的密钥KB加密的结果。
在解密IC以及在对应表中查找它的身份的时间执行对通信设备E 30、30′的第二安全性设备32的识别与认证。由核定设备12执行完整性检查,其只知道在通信设备E 30、30′上执行所述软件AVI的结果。期望的结果是密封密钥CSH。如果在通信设备E 30、30′上的完整性检查产生肯定结果,则对软件AVI的执行产生另一个必须与CSH相同的密封密钥CSE。为防止预测的CSE结果,核定设备12从几个可用的AVI中随机选择软件AVI。通信设备E 30、30′因此不能预测结果,这样防止欺诈性的操作。
核定设备12分配一对临时密钥(KTA′、KTA)以允许对在终端20的第一安全性设备25与通信设备E 30、30′的第二安全性设备32之间的交换加密,在分离终端操作期间需要这些临时加密密钥以保证在终端20与通信设备E30、30′之间的数据交换安全。
使用密钥KB加密密钥KTA,并由终端20的第一安全性设备25识别密钥KTA。使用密钥KC然后使用密钥KB加密密钥KTA′。以这种方式,当解密产物KB(KC(KTA′))时,只有当终端20的第一安全性设备25先前已经对此同意,才将密钥KTA’传输到通信设备E 30、30′的第二安全性设备32。
使用密钥KC加密软件AVI,以便仅由所述通信设备E 30、30′的第二安全性设备32解密该软件AVI,因此,防止所述终端20的第一安全性设备25在加密软件AVI时删减或者尝试欺诈。
如果消息类型是“对身份查考的肯定响应”,则所述终端20的第一安全性设备25使用它的密钥KB′解密消息,并通过解密缩合值CORP、密钥KTA和产物KC(KTA′)推导出消息的验证。所述第一安全性设备25经由通信接口26和24向用户接口23发送包括当前启动过程的标识符、消息类型“接受识别”、和通信设备E 30、30′的清除性质的消息(步骤7)。例如,用户根据安装在终端20上的资源在所述终端20的屏幕上看到所述通信设备E 30、30′的性质。
如果消息类型是“对身份查考的否定响应”,则所述终端20的第一安全性设备25使用它的密钥KB′解密缩合值CORP,并推导出消息的验证。
如果消息类型是“对身份查考的否定响应”,或者如果任何一个本步骤的先前操作失败,则第一安全性设备25停止启动过程并经由通信接口24和26向用户接口23发送包括当前启动过程的标识符和消息类型“有缺陷的识别”的消息(步骤7a)。例如,借助SIM访问协议执行在通信接口24与26之间的交换。
接收到“有缺陷的识别”消息之后,终端20的用户接口23发布消息以通知用户当前启动过程失败的原因。根据安装在终端20上的资源,可以通过语音、音频等经由屏幕看到输出。在失败的情况中,所述终端20的用户接收报告停止建立与通信设备E 30、30′的通信的消息。
接收到“接受识别”消息之后,用户接口23发布指示通信设备E 30、30′的清除性质的消息,并提供选项继续当前启动过程。例如,如果用户接口23是因特网浏览器,则消息可以以网页的形式显示。用户通过验证与通信设备E 30、30′建立的通信给出继续或者不继续启动过程的命令。如果命令是继续,则用户接口23向终端20的第一安全性设备25发送包括当前启动过程标识符与消息类型“接受过程”的消息。如果命令是不继续,则用户接口23向所述第一安全性设备25发送包括当前启动过程标识符与消息类型“中止过程”的消息。
如果消息类型是“接受过程”,则终端20的第一安全性设备25从对应表的所有可用对中选择一对密钥(KTB、KTB′)。它使用密钥KTA加密密钥KTB(产物KTA(KTB))(步骤8)。
终端20的第一安全性设备25向通信设备E 30、30′的第二安全性设备32发送包括当前启动过程标识符、消息类型“认证请求”、产物KC(KTA′)、产物KTA(KTB)、产物KC(AVI)、缩合值CODA的消息(步骤9),其中缩合值CODA是由该消息前导分量的密钥KTA加密的结果。
终端20的第一安全性设备25分配一对临时密钥(KTB′、KTB)以允许加密从通信设备E 30、30′的第二安全性设备32向终端20的第一安全性设备25方向的交换。第一安全性设备25使用密钥KTA加密密钥KTB以保证仅仅知道密钥KTA′的通信设备E 30、30′的第二安全性设备32能解密产物KTA(KTB),并由此提取密钥KTB。
如果消息类型是“中止过程”,或者如果任何一个本步骤的上述操作都失败,则终端20的第一安全性设备25停止当前启动过程,并向用户接口23发送包括当前启动过程标识符和消息类型“中止过程”的消息(步骤9a)。
接收到“中止过程”消息之后,终端20的用户接口23发布消息以通知用户当前启动过程失败的原因。根据在终端20上可用的资源,可以通过语音、音频等经由屏幕看到输出。在失败的情况下,所述终端20的用户接收报告停止建立与通信设备E 30、30′通信的消息。
接收到“认证请求”消息之后,通信设备E 30、30′的第二安全性设备32使用它的密钥KC’解密,并推导出软件AVI和加密密钥KTA′,使用密钥KTA′通过解密缩合值CODA推导出密钥KTB与消息的验证。
所述第二安全性设备32执行软件AVI,因为软件AVI被设计成仅在上述由核定设备12识别的类型的通信设备E 30、30′上运行,因此软件AVI被称为“带符号的(signed)”。它还被设计以从在通信设备E 30、30′执行软件AVI期间获得的数据中产生“密封密钥CSE”,也称之为散列(hashing)密钥或者散列。当获得所述通信设备E 30、30′的数据时,仅由用这种方法认证的所述通信设备E 30、30′执行软件AVI。例如,获得的信息可以是文件名、通信设备E 30、30′的内部时钟的日期与时间、使用的存储空间,等等,或者上述信息的组合。
执行软件AVI之后,通信设备E 30、30′的所述第二安全性设备32从对应表中包含的所有可用的对中随机选择一对密钥(KTC、KTC′)。所述第二安全性设备32加密由密钥KA加密的密封密钥CSE以及由密钥KTB加密的组合(产物KTB(KA(CSE)))。同样使用密钥KTB加密密钥KTC(产物KTB(KTC))。通信设备E 30、30′的第二安全性设备32向终端20的第一安全性设备25发送包括当前启动过程的标识符、消息类型“认证响应”、产物KTB(KA(CSE))、产物KTB(KTC)、和缩合值CORA的消息(步骤10),其中缩合值CORA是该消息前导分量的密钥KTB加密的结果。
通信设备E 30、30′的第二安全性设备32分配一对临时密钥(KTC’、KTC)以允许加密从终端20的第一安全性设备25到通信设备E 30、30′的第二安全性设备32方向的交换。为了保证密钥KTC安全传送到终端20的第一安全性设备25,第二安全性设备32使用密钥KTB加密密钥KTC。使用密钥KA,然后使用密钥KTB加密密封密钥CSE,由此保证终端20的第一安全性设备25通过对产物KTB(KA(CSE))解密而对其验证,密钥KA保证密钥CSE被通信设备E 30、30′的第二安全性设备32发送,并仅由核定设备12解密,而不可能从终端20的第一安全性设备25进行盗用或者欺诈。
发送“认证响应”消息之后,所述第二安全性设备32经由通信接口33和35向第二管理设备34,以包含当前启动过程的标识符、消息类型“启动分离终端与设备E”和密钥KTB和KTC’的消息的形式,发送关于启动分离终端的请求(步骤11)。
例如,依照SIM访问协议执行通信接口33和35之间的交换。
如果任何一个本步骤的先前操作都失败,则通信设备E 30、30′的第二安全性设备32向终端20的第一安全性设备25发送包含当前启动过程标识符、消息类型“认证异常”、和缩合值CORA的消息,其中缩合CORA是使用密钥KTB加密该消息前导分量的结果。中止当前启动过程。
如果消息类型是“认证响应”,终端20的第一安全性设备25使用它的密钥KTB′解密,并通过解密缩合值CORA推导出产物KA(CSE)、密钥KTC和消息的验证。所述第一安全性设备25加密使用密钥KD加密的产物KA(CSE)(产物KD(KA(CSE)))以验证来自终端20的第一安全性设备25的正确传输。第一安全性设备25向安全性服务器10的核定设备12发送包含当前启动过程标识符、消息类型“认证验证”、产物KD(KA(CSE))和缩合值CORC的消息(步骤12),其中缩合值CORC是使用密钥KD加密该消息前导分量的结果。终端20的第一安全性设备25使用密钥KD加密产物KA(CSE)以验证来自所述第一安全性设备25的正确传输。
如果消息类型是“认证异常”,则所述第一安全性设备25使用它的密钥KTB′解密,并通过解密缩合值CORA推导出消息的验证。如果消息类型是“认证异常”或如果任何一个本步骤的先前操作都失败,则所述第一安全性设备25停止当前启动过程,并向用户界面23发送包含当前启动过程标识符和消息类型“有缺陷的认证”的消息(步骤12a)。
接收到“有缺陷的认证”消息之后,终端20的用户界面23发送消息以告诉用户启动过程失败的原因。根据在终端20上可用的资源,可以通过音频,语音等等经由屏幕看到输出。在失败的情况中,所述终端20的用户接收关于停止建立与通信设备E 30、30′通信的消息。
接收到“认证验证”消息之后,安全性服务器10的核定设备12使用它的密钥KD′解密,并通过解密缩合值CORC和产物KA(CSE)推导出消息的验证。然后,所述核定设备12使用它的密钥KA’解密,并推导出密封密钥CSE。所述核定设备12比较密封密钥CSE与借助对应表(设备E的标识符,(密封密钥CSH、软件AVI))预先获得的密封密钥CSH。
如果两个密封密钥CSH和CSE相同,因为通信设备E 30、30′必定保存密钥KC’,因此通信设备E 30、30′便被认为是认证的,并且因为两个密封密钥匹配而集成在一起。因此,仅由所述通信设备E 30、30′执行的解密由所述安全性服务器10处理的数据的结果与在所述安全性服务器10中解密所述通信设备E 30、30′的身份的结果相同。仅由对应所述分离终端的通信设备E 30、30′执行由所述安全性服务器10处理的数据。
另外,因为所述通信设备E 30、30′不是集成的,所以被认为是不可靠的、非认证的、或者是欺诈或删减的对象。安全性服务器10的核定设备12向终端20的第一安全性设备25发送包含当前启动过程标识符、消息类型和缩合值COVC的消息(步骤13),其中缩合值COVC是使用密钥KB加密该消息前导分量的结果。消息类型是“完整性检查证实肯定”,或者如果任何一个本步骤的先前操作都失败,则消息类型是“完整性检查证实否定”。
接收到上述消息之后,终端20的第一安全性设备25使用它的密钥KB′解密,并通过解密缩合值COVC推导出消息的验证。如果消息类型是“完整性检查证实肯定”,则所述第一安全性设备经由通信接口26和28以包含当前启动过程标识符、消息类型“分离终端启动”、以及密钥KTC和KTB′的消息的形式向第一管理设备27发送用于启动分离终端的请求(步骤14)。例如,可以依照SIM访问协议执行在终端20的通信接口26和28之间的交换。
如果消息类型是“完整性检查证实否定”,或如果任何一个本步骤的先前操作都失败,则终端20的第一安全性设备25停止启动过程,并向用户界面23发送包含当前启动过程标识符、消息类型“设备损坏(corrupted)”和通信设备E 30,30′身份的消息(步骤14a))。
接收到“设备损坏”消息之后,终端20的用户界面23发送消息以告诉用户当前启动过程失败的原因。根据在终端20上可用的资源,可以通过音频、语音等经由屏幕看到输出。在失败的情况中,所述终端20的用户接收关于停止建立与通信设备E 30、30′通信的消息。
只要接收到“分离终端启动”消息,分离终端启动过程已经被成功地执行(步骤15)。终端20的第一管理设备27能与通信设备E 30、30′安全地通信,密钥KTC和KTB′分别用于保证在终端20的所述第一管理设备27与通信设备E 30、30′的第二安全性设备32之间的上行链路和下行链路通信安全。
当已经完成这些步骤,包括终端20和通信设备E 30、30′的分离终端是可操作的,然后认为已经被启动。
然后,终端20的第一管理设备27和通信设备E 30、30′的第二管理设备34能通过使用密钥KTB、KTB′、KTC和KTC’加密来彼此安全地通信。作为结果得到的分离终端的性质和使用的功能,可以通过终端20的第一管理设备27初始化交换或者通过通信设备E 30、30’的第二管理设备34初始化交换。
如果通过终端20的第一管理设备27初始化交换,则消息经由通信接口28、第三传输接口22、连接网络50、第四传输接口31和通信接口35发送到通信设备E 30、30′的第二管理设备34。如果通过通信设备E 30、30′的第二管理设备34初始化交换,则消息经由相同的接口按照相反的方向发送到终端20的第一管理设备27。
例如,在通信接口26与第三传输接口22之间的交换,在连接网络50的第三和第四传输接口22和31之间的交换以及在第四传输接口31和通信接口35之间的交换都使用SOAP协议。
在已有的启动期间,任何时间都可以开始新的分离终端启动过程。新的以及全部或者部分启动过程及时保证在所述分离终端中使用的设备的身份、认证和完整性。如果新的启动过程失败,所述分离终端失效,并即刻停止正在进行的通信。
例如,通过删除通信设备E 30、30′的第二安全性设备32,可以将上述启动过程的执行简化为需要的或者要求的安全性级别的功能。
如果安全性服务器10中提供的用于识别、认证和检查所述通信设备E30、30′的完整性的核定设备12被集成在终端20或者集成在第一安全性设备25中,同样可以实现简单化。
以同样的方式,安全性服务器10的核定设备12的功能与终端20的功能可以被集成在所述终端20的安全性设备25中。这种情况,例如,如果终端20是集成全部功能的电子身份卡,则分离终端包括所述身份卡(即终端20)和通信终端(即通信设备E 30、30′)。
然而,为有效率,分离终端启动过程必须包括由终端20的所述第一安全性设备25执行的至少一个检查,以保证在所述终端20和构成所述分离终端的通信设备E 30、30′之间的通信安全。
通过将每个安全性设备分为三个分离设备可使启动过程的使用同样复杂,每个分离设备致力于一个特定功能识别、认证或者完整性检查。在这种情况下,通过不同的并且分离的设备执行所述通信设备E 30、30′的识别、认证和完整性检查。所述启动过程的步骤没有变化,但是在新的设备之间创建并且交换的新消息允许在他们之间交换数据。
权利要求
1.一种在终端(20)和至少一个通信设备(30、30’)之间的安全数据通信方法,所述方法的特征在于,其包括步骤经由至少一个连接网络(50)在所述终端(20)和所述通信设备(30、30’)之间建立至少一个连接;命令由安装在所述终端(20)中的至少一个第一安全性设备(25)进行至少一个启动所述安全通信的过程,向安全通信的管理分配对应已经与之建立所述通信的所述通信设备(30、30’)的标识符,所述标识符对应所述启动过程;所述第一安全性设备(25)识别所述通信设备(30、30’),以便确认所述通信设备(30、30’)的性质,并确保所述通信设备(30、30’)在配置不适配的情况下与所述终端(20)兼容;通过获得由使用至少一个密封密钥与至少对应所述启动过程的所述标识符的至少一个安全性服务器(10)处理的数据来认证所述通信设备(30、30’),以便向所述识别的通信设备(30、30’)添加随机值;所述安全性服务器(10)的至少一个核定设备(12)检查所述通信设备(30、30’)的完整性,以便使用在认证时对所述传送的数据执行的至少一个完整性检查软件、并使用从一组用于保证所述数据安全解密的加密密钥对中的随机选择,来证实所述通信设备(30、30’)是否已经被损坏;比较由所述通信设备(30、30’)执行的对由所述安全性服务器(10)的所述完整性检查软件处理的数据解密的结果与所述安全性服务器(10)中对所述设备(30、30’)的身份加密的结果;以及在识别、认证和完整性检查结果全部肯定以及所述比较的结果相同的情况下,命令安装在所述终端(20)的至少一个第一管理设备(27)建立与所述通信设备(30、30′)的安全数据通信。
2.根据权利要求1所述的安全数据通信方法,其特征在于,为防止预测结果,根据由安装在所述安全性服务器(10)的所述核定设备(12)执行的完整性检查,由所述通信设备(30、30′)执行对由所述安全性服务器(10)处理的数据的解密,作为在给定时间所述通信设备(30、30′)的配置的功能。
3.根据权利要求1或者权利要求2所述的安全数据通信方法,其特征在于,通过分别安装在所述终端(20)和所述通信设备(30、30′)的至少一个第一安全性设备(25)和至少一个第二安全性设备(32)管理和控制在所述终端(20)和所述通信设备(30、30′)之间的数据交换,以共享已经建立的所述通信的安全性管理。
4.根据权利要求1至3任何一个所述的安全数据通信方法,其特征在于,为了在数据传输之前对其处理以及验证所传送的消息,借助至少一个加密密钥和至少对应所述启动过程的所述标识符的缩合值来保证在所述终端(20)和所述通信设备(30、30′)之间的数据交换安全。
5.根据权利要求1至4任何一个所述的安全数据通信方法,其特征在于,为了在数据传输之前对其处理以及验证所传送的消息,通过使用至少一个加密密钥和至少对应所述启动过程的所述标识符的缩合值来保证在所述终端(20)和所述安全性服务器(10)之间的数据交换安全。
6.根据权利要求1至5任何一个所述的安全数据通信方法,其特征在于,为了提高所述建立的通信的安全性,在没有所述终端(20)的用户的干预的情况下,由终端(20)的所述第一安全性设备(25)自动地控制至少一个安全通信参数的设置。
7.根据权利要求1至6任何一个所述的安全数据通信方法,其特征在于,在识别、认证或完整性检查失败的情况下,所述终端(20)通过所述用户界面(23)接收关于停止建立所述通信的消息。
8.根据权利要求1至7任何一个所述的安全数据通信方法,其特征在于,多个通信设备(30、30′)同时经由至少一个连接网络(50)建立与所述终端(20)的通信。
9.根据权利要求1至8任何一个所述的安全数据通信方法,其特征在于,多个通信设备(30、30′)经由所述连接网络(50),通过识别用于和所述终端(20)通信的每个所述通信设备(30、30′)的启动过程,独立地与所述终端(20)通信。
10.一种用于终端(20)与至少一个通信设备(30、30′)之间的安全数据通信系统,所述系统的特征在于,在所述终端(20)与所述通信设备(30、30′)之间已经建立通信,所述系统包括所述终端(20);至少一个通信设备(30,30′),与所述终端(20)通信;至少一个安全性服务器(10),包括至少一个核定设备(12),所述核定设备(12)适合于验证至少一个通信设备(30、30′)的识别、认证与完整性检查,以保证已经与安装在所述终端(20)中的至少一个第一安全性设备(25)建立的所述通信安全,所述终端(20)被配置至少一个用于管理所述通信设备(30、30′)的第一管理设备(27)。
11.一种安全性服务器(10),适合用于根据权利要求10所述的安全数据通信系统,其特征在于,包括至少一个核定设备(12),其适合于验证至少一个通信设备(30、30′)的识别、认证与完整性检查;以及装置(11、13),用于发送和接收与所述终端(20)交换的数据。
12.根据权利要求11所述的安全性服务器(10),其特征在于,所述核定设备(12)集成在所述终端(20)中。
13.根据权利要求11所述的安全性服务器(10),其特征在于,由不同的和分离的设备执行所述通信设备(30、30′)的识别、认证与完整性检查。
14.一种终端(20),适合用于根据权利要求10所述的安全数据通信系统,其特征在于,包括至少一个第一安全性设备(25),用于接收所述通信设备(30、30′)的身份,并与所述安全性服务器(10)对话;至少一个用户界面(23),用于访问所述终端(20)的资源以通知所述终端(20)的用户;至少一个第一管理设备(27),用于管理所述终端(20);和用于发送和接收数据的装置。
15.一种通信设备(30、30′),至少包括装置(31、33),用于发送和接收数据以与终端(20)通信,所述终端(20)适合用于根据权利要求10所述的安全数据通信系统,其特征在于,所述通信设备(30)包括至少一个第二安全性设备(32),用于识别、认证和完整性检查所述通信设备(30、30′);和至少一个第二管理设备(34),用于管理所述终端(20)。
16.根据权利要求15所述的通信设备(30、30′),其特征在于,所述通信设备(30、30′)的所述第二安全性设备(32)和所述第二管理设备(34)禁止所述移动终端(20)的所述用户对所述通信设备(30、30′)的任何干预。
全文摘要
一种在终端与至少一个通信设备之间安全通信数据的方法。依照本发明,所述方法包括如下步骤通过安装在所述终端的至少一个第一安全性设备识别与所述终端通信的所述通信设备,以识别所述通信设备的性质,通过获得由至少一个安全性服务器处理的数据认证所述通信设备,以便仅由所述通信设备执行,由所述安全性服务器的至少一个核定设备使用在认证时传送的所述数据来检查所述通信设备的完整性,并且在正确识别、认证和完整性检查的情况下,命令安装在所述终端的至少一个管理设备建立与所述通信设备的安全数据通信。一种应用以保证在终端与一个或多个通信设备之间数据的安全通信。
文档编号G09C1/00GK1694452SQ20041010378
公开日2005年11月9日 申请日期2004年12月26日 优先权日2003年12月26日
发明者埃蒂尼·安尼克, 戴维·皮克奎诺特, 伊维斯·索里格尼 申请人:奥林奇法国公司