用于保护电信通信数据的系统和方法

用于保护电信通信数据的系统和方法
【专利摘要】公开了一种用于保护电信通信数据的方法和系统。提供了一种方法，用来通过电信网络在一些参与者(T1、T2、Tn)之间借助电信服务来传递消息，其中所述电信服务接受电信服务的至少一个第一参与者(T1)的具有第一变量(s1)的至少一个第一消息(N1)，所述消息确定用于电信服务的至少一个第二参与者(T2)；以及所述电信服务在对消息(N1)的接受做出反应时将至少一个第二消息(N2)发送至至少一个第二参与者(T2)，其中该至少一个第二消息包含第二变量(s2)。从该第二变量中不能够唯一地推断出第一变量。
【专利说明】
用于保护电信通信数据的系统和方法
技术领域
[0001]本发明涉及一种用于保护电信通信数据的系统和方法，所述电信通信数据在利用电信服务时由电信服务的一些参与者在电信服务的电信服务供应商处产生。
【背景技术】
[0002]在一些国家，例如德意志联邦共和国，在储备数据存储中将可涉及个人或关于个人的数据通过或对于全部位置存储，当前不需要这些数据。这样的储备数据存储的目的应是更好地阻止和跟踪犯罪行为。为此必须将数据以确定的时间间隔存储，以便这些数据例如用于刑事侦查目的。通常储备数据存储由电信服务的提供者或服务商实施。
[0003]为了确保，电信服务的提供者不具有对其客户的通信数据的无权访问，以便例如创建个性信息，已知的是，将连接数据在受保护的环境中存储并且在存储之前加密。该受保护的环境也称为密封的基础设施。该受保护的环境和密封的基础设施阻止:不仅基础设施的运营者还是提供电信服务的电信服务者或者其他第三者都不可以访问这些数据。此外已知的是，将电信数据或连接数据以两种不同的加密秘钥加密，其中两种秘钥中之一在值得信赖的主管机关例如公证人处保存。由此还更有效地阻止对连接或通信数据的无权访问，因为对于访问来说无论如何在值得信赖的主管机关处保存的秘钥是必要的。
[0004]为了使在电信服务的参与者之间交换的(有用)数据例如电子消息或电子文件免于电信服务商或者其他第三者的无权访问，已知的是，同样加密由参与者接收的数据，从而只有特定用于数据的参与者才能访问该数据。不仅加密秘钥而且解密秘钥都可以存储在前述受保护的环境中。因此确保，电信服务商和其他第三者都不访问通信数据以及有用数据。由此只要例如不存在合法的设置，该合法的设置允许使用在值得信赖的主管机关例如公证人处保存的秘钥，则在通过电脑搜寻案犯时有效地阻止了例如通信数据的无权分析。
[0005]由现有技术已知的用于保护通信数据和有用数据的方法当然具有如下缺点，SPSP使电信服务的参与者通过受保护的例如加密的通信连接相互交换数据，电信服务商仍然能够只通过观察数据传输就能推导出如下信息，即谁与谁通信。当对参与者与电信服务之间的通信进行加密时，电信服务商自身可以获得该信息，因为对于谁与谁通信的信息，不需要参与者之间交换的数据的内容。
[0006]因此既使不能在单个的消息中一起推断出发送者和接收者，因为它们根本没有或只是以加密的形式包含在这些消息中，但通过对由电信服务接收且随后继续散布的消息的变量进行对比，就能够推断出发送者和接收者。这一点在简单的实施例中进行阐述。如果第一参与者将用于第二参与者的特定的电子文件(第一消息)以加密的形式不是直接发送给第二参与者，而是存储在受保护的周围环境中以防外部访问，然后该文件作为第二消息同样加密地从该处继续传播给第二参与者，则只通过对进入该受保护的周围环境中的且从中出来的消息的变量进行对比，就能建立一定的配属关系并且从中推断出消息的发送者和接收者。如果例如在第一消息中仅仅以加密的形式包含接收者(第二参与者)并且在第二消息(第一参与者)中只加密封地包含发送者，则在此没有任何帮助。
[0007]上面描述的问题在如下情况下更加激化，即如果电信服务在获得(第一)消息(例如电子文件)之后借助于另一消息通知它存在着对于其特定的消息。因为在参与者与电信服务之间的数据交换自身对于电信服务供应商总是“可见的”，电信服务商可以(如同前面已描述的一样)由如下事实一一即对于特定参与者的消息由参与者保存并且为其确定消息的参与者通过消息的存在一一推导出如下信息，即两个参与者相互通信，即使数据交换自身加密地实现并且如果为其确定消息的参与者不由电信服务要求这些。
[0008]因为由现有技术已知的用于储备数据存储的方法即使安全标准很高，但仍没有受足够的保护，以便有效地阻止电信通信数据的无权分析。
[0009]发明目的
[0010]因此本发明的目的在于，提供一种用于保护电信通信数据的系统和方法，该电信通信数据在利用至少一个电信服务时由一些参与者在电信服务的电信服务供应商处产生，该系统和方法有效地且有效率地阻止电信通信数据的无权访问和滥用。

【发明内容】

[0011]该目的按照本发明通过一种根据独立权利要求的用于保护电信通信数据的方法和系统实现。在各从属权利要求中描述了本发明的有利的构造方案和改进方案。
[0012]提供了一种方法，用来在一些参与者之间借助电信服务来传递消息，其中
[0013]-所述电信服务接受电信服务的至少一个第一参与者的具有个性化的第一变量的至少一个消息，所述消息确定用于电信服务的至少一个第二参与者；以及
[0014]-所述电信服务在对消息的接受做出反应时将至少一个第二消息发送至至少一个第二参与者，其中该至少一个第二消息包含第二变量，该第二变量与第一变量是有关系的，该关系是不可逆转的唯一关系。
[0015]该至少一个第二消息包含与第一消息相同的有用数据。
[0016]如果产生了多个第二消息，则这些多个第二消息一起具有与第一消息相同的有用数据。
[0017]第二参与者在接收这个或多个第二消息时获得了对其特定的消息。消息这一概念也表示文件或其它可电子发送的信息。
[0018]该关系在此代表描画规则，其中变量目录中的每个变量都是由特定数量的变量目录描画出来，其中每个变量目录都包括多于一个的第一变量，并且第二变量包含来自描绘了第一变量的变量目录的数值，其中该数值尤其相当于变量目录的最大值skmax。
[0019]变量目录的数量能够是I，而该数值能够相当于第一消息的最大变量。
[0020]有利的是，第一消息只以加密的形式配备有至少一个第二参与者的地址信息，优选只有电信服务才能破译该信息。
[0021]还有利的是，第二消息只以加密的形式配备有第一参与者的信息，优选只有该至少一个第二参与者才能破译该信息。
[0022]还有利的是，电信服务在受保护的环境中实现。
[0023]还有利的是，第一消息同态地加密。第二消息优选同样同态地加密，其中所述加密优选不会通过电信服务改变。
[0024]还有利的是，该至少一个第二消息包含与该至少一个第一消息相同的有用数据。
[0025]按本发明，还提供了一种用于保护电信通信数据的方法，所述电信通信数据在利用至少一个电信服务时由一些参与者在电信服务的电信服务供应商处产生，其中该电信服务应用了前面所述的按本发明的方法。
[0026]还提供了一种数据处理系统，它构造得用来实施前面所述的方法。
[0027]以这种方式，使第一消息与各第二消息的变量不再能相互有关系，因此不能再能过观察第一和第二消息的变量来推断出发送者或接收者。
[0028]本发明的其它有利的构造方案在于，消除了第一消息和第二消息之间的时间关联。
[0029]因此提供一种用于保护电信通信数据的方法，所述电信通信数据在利用至少一个电信服务时由一些参与者在电信服务的电信服务供应商处产生，其中，所述电信服务接受电信服务的至少一个第一参与者的至少一个消息，所述消息确定用于电信服务的至少一个第二参与者，并且其中除了上面描述的发明以外在发送第二消息之前所述电信服务响应于消息的接受发送通知给至少一个第二参与者，其中在接受消息与发送通知之间分别设有时间偏差。
[0030]还有利的是，电信服务在受保护的环境(密封的基础设施)中实现。
[0031]由于电信服务在受保护的环境或密封的基础设施中实现，确保电信服务的电信服务商不访问在电信服务中产生的数据。还为了绝对不可以从参与者与电信服务之间的数据传输导出如下信息，即由该信息可以确定谁与谁通信，在消息的接收与通知的发送之间设有时间偏差。由此阻止:根据在接受消息与发送通知之间的时间关联可以确定谁与谁通信。根据时间偏差阻止:通知可以配置给接受的消息，从而消息的发送者也不可以配置给通知的接收者。
[0032 ]有利地，在接受消息与发送通知之间的时间偏差根据在电信服务的参与者与电信服务之间每个时间单元的数据传输来选择。因此时间偏差或通知的发送可以优选动态地匹配于电信服务的充分利用程度。
[0033]已经证实为特别有利的是，时间偏差在每个时间单元中高的数据传输的情况下小于在每个时间单元中低的数据传输的情况。
[0034]因为在每个时间单元中高的数据传输的情况下，通常由电信服务接受大量参与者的消息并因此也发送通知给大量参与者，所以可以减小时间偏差，而不会给电信服务商提供如下可能，即根据在接收消息与发送通知之间的时间关联导出谁与谁通信的信息。在每个时间单元低的数据传输的情况下电信服务通常仅仅接受少量参与者的消息并因此也仅仅必须给少量参与者发送相应通知。为了对于该情况也避免在接收消息与发送通知之间的时间关联，相应地增大时间偏差。
[0035]在本发明的一个设计方案中，时间偏差随机地从时间偏差间隔中选择。该时间偏差可以为预定的数量要发送的通知随机地从时间偏差间隔中选择。备选地，时间偏差也可以为每个要发送的通知随机地从时间偏差间隔中选择。
[0036]这具有的优点在于，借助于计入和出来的数据传输的时间分析有效阻止当前时间偏差的获知，否则能对于电信服务商来说能够在得知当前时间偏差时建立在接收消息与发送通知之间的时间关联，由此电信服务商可以导入谁与谁通信的信息。这些间隔限制可以是固定预定的。
[0037]但是有利的是，时间偏差间隔的间隔边界根据在参与者与电信服务之间每个时间单元的数据传输来选择。因此不仅时间偏差随机地从时间偏差间隔选择，而且也将事件偏差间隔匹配于数据传输，从而对于电信服务商或无权的第三者还使得当前时间偏差的确定变得困难。
[0038]时间偏差(St)可以对于分别预定数量的通知或对于每个通知都做不同的选择。
[0039]在本发明的一个有利的设计方案中，每个时间单元的数据传输包括每个时间单元接受的消息的数量。因此阻止:在每个时间单元少量接受的消息的情况下(该少量接受的消息例如基于非常多的消息地而引起高的数据传输)，该时间偏差选择得太少，这基于少量接受的消息和发送的通知可能会实现接收消息与发送通知之间时间关联。
[0040]在本发明的一个设计方案中，电信服务可以包括通知服务，该通知服务在至少一个第二参与者上产生通知并且开始时间错开地发送产生的通知，其中时间偏差由通知服务确定。
[0041]在本发明的一个设计方案中，如果第二参与者在电信服务登记，那么该通知发送给至少一个第二参与者。也可以设定，如果第二参与者没有在电信服务登记，那么通知不发送给该参与者。可以设定，在第二参与者在电信服务登记之后，那么也不给第二参与者发送通知。因此实现了更好的去关联，亦即还可以使得配置通知给接受的消息变得困难。
[0042]通知可以包括数据，该数据适合在第二参与者输出听觉和/或视觉信号，该信号表示在电信服务处消息的存在。
[0043]通知可以对于每个参与者都是相同的。在本发明的一个设计方案中，通知可以未经加密地发送。因为通知对于每个参与者都是相同的，所以通知也可以未经加密地发送，因为从通知不可以导出个人相关的数据。通知的未经加密的发送再者具有的优点在于，在电信服务侧不必须实施加密，所述加密意味着附加的运算成本。产生并且时间错开地发送通知的电信服务或通知服务可以如此更优越和更节省资源地实现。
[0044]在本发明的一个设计方案中，消息可以按照要求通过第二参与者由电信服务传输给第二参与者。因为通知对于消息的接受时间错开地由第一参与者发送给第二参与者，所以也可以基于传输消息给第二参与者的要求通过第二参与者不导出关于如下的信息，即第一参与者与第二参与者通信。
[0045]按照本发明的方法再者具有的优点在于，消除在进入的消息与要发送的通知之间的因果关系，这使得导出谁与谁通信的信息变得不可能。
[0046]消息从第一参与者到第二参与者的传输(通过电信服务)可以基于端到端加密实现，亦即消息由第一参与者加密并且由第二参与者解密。
[0047]消息可以经同态地加密。
[0048]此外通过本发明提供一种用于保护电信通信数据的系统，所述电信通信数据在利用至少一个电信服务时由一些参与者在电信服务的电信服务供应商处产生，其中电信服务适合将对于第二参与者确定的消息由至少一个第一参与者接受并且在对消息的接受作出反应时发送通知给至少一个第二参与者，其中在接受消息与发送通知之间设有预定的时间偏差。
[0049]已经证实为有利的是，系统包括受保护的环境，在该环境中电信服务是可实现的。
[0050]电信服务可以适合，根据在参与者与电信服务之间每个时间单元的数据传输来选择在接受消息与发送通知之间的时间偏差。
[0051]电信服务可以包括通知服务，该通知服务适合在至少一个第二参与者产生通知并且开始时间错开地发送产生的通知，其中时间偏差由通知服务确定。
[0052]此外，按照本发明的系统还可适合执行按照本发明的方法。
【附图说明】
[0053]本发明的细节和特征以及本发明的具体实施例从结合附图的以下描述产生。其中:
[0054]图1示出用于阐明按照本发明用于保护电信通信数据的方法的按照本发明用于保护电信通信数据的系统；
[0055]图2示出在接收消息与发送通知之间的时间流程；以及
[0056]图3示出用于按照本发明根据数据传输选择时间偏差的两个变型。
【具体实施方式】
[0057]按照本发明的系统和按照本发明的方法不仅能实现适当的数据保护，而且能够足够好地分析数据，以实现确定目的。存储的数据、特别是电信通信数据的滥用得以有效避免，其中特别是从数据传输不可以导出谁与谁通信的信息。
[0058]图1示出按照本发明用于保护电信通信数据的系统，该电信通信数据在利用电信服务10时由一些参与者Tl至Tn产生。
[0059]电信服务商5提供电信服务10，电信服务在受保护的环境U中实现。通过电信服务10可以提供例如消息盒，在该消息盒中对于该消息盒允许的第一参与者Tl可以将用于其他第二参与者T2的消息保存到消息盒中。消息可以例如直接在消息盒中产生或者通过通信网保存在消息盒中。第一消息NI可以在此是例如电子文件或类似物。
[0060]在图1不出的例子中，第一消息NI例如电子文件由第一参与者Tl传输给电信服务10并且在那儿例如保存在相应的消息盒中。第一消息(电子文件、数据或类似物)的变量Si原则上是类似的，不同的第一消息具有各自不同的变量。在得到第一消息NI之后，电信服务10在受保护的环境U中产生了至少一个第二消息N2，它在其变量s2方面与第一消息NI的变量是不同的。该第二消息则由电信服务10发送到第二参与者T2。该至少一个第二消息N2包含与第一消息NI相同的有用数据。但由于第一消息NI和至少一个第二消息N2的不同变量，单单通过这些消息的变量会丧失可能的配属关系。因此压制了谁与谁在电信网络中通过电信服务10通信的这一信息。
[0061]按本发明，第二消息N2的第二变量s2与第一消息的第一变量具有不可逆转的唯一关系M。也就是说，由第二消息N2的变量中不能唯一地推断出第一消息NI的变量。
[0062]如果每个第一消息都扩大为统一的、恒定的变量，例如扩大到电信系统中最大允许的变量smax，则例如可实现这种关系M。但因为后者可能会打破该系统的传递能力，所以第一消息NI根据其变量在不同的变量目录中进行调节。每个变量目录都由最小和最大数值定义，即指变量区间。每个变量目录都分派有各自的数值sk。各第二消息N2从具有第一消息的第一变量Si的目录中获得数值sk，作为变量s2。可将最大数值当作各目录的数值sk。这一点是有利的，因为落入各目录中的第一消息NI在形成第二消息N2时只需扩大，而从来不必缩小。缩小也是可行的，但必须将第一消息的内容(有用数据)分配到多个第二消息N2上。
[0063]目录的数量L能够改变。对于网络容量来说有利的是，选择较大的数量L，即选择较小的区间，因为这些单个的消息不必明显地改变它们的变量。如果许多消息NI同时传递(SP传输较大)，则这一点是可行的，因为总是有足够多的消息NI落入每个单个的目录中，以掩盖其来源。由于每个变量目录中具有大量消息NI，掩盖了消息N2与消息NI的配属关系。
[0064]在本发明的另一构造方案中，还会额外地抵消接收的第一消息NI和发送的消息N2之间的时间关联。如果第二参与者T2不应该直接地获得对其特定的第二消息N2，则应该在被发送了通知之后才获得，则这一点尤其是有利的。
[0065]在本发明的另一构造方案中，电信服务10在第二消息N2发送之前生成通知B，并且将该通知通过通信网发送给第二参与者T2。通过通知B告知第二参与者T2，第一参与者Tl已经将用于它的消息NI保存在电信服务10的消息盒中。
[0066]在本发明的设计方案中，电信服务10包括通知服务11，该通知服务负责产生通知给第二参与者T2以及发送通知。
[0067]全部在电信服务商5产生的数据(亦即通信数据和有用数据)在受保护环境U中存储并且如果可能还被处理。如开始所述，不仅有用数据而且通信数据都可以加密地优选双重加密地在受保护环境U中存储。通过双重加密确保，电信服务商5没有获得对有用数据和通信数据的访问。数据的加密或双重加密优选在受保护环境U中实施，其中在受保护环境U中也产生、存储和管理为此需要的秘钥。受保护环境U称为密封的基础设施，并且阻止不仅基础设施的运行者而且电信服务提供者或电信服务商5在数据的处理期间可以对其进行访问。
[0068]为此安全的周围环境U可以包括在图1中未示出的用于产生需要的加密秘钥的机构。为了避免由电信服务商5在受保护和环境U中加密的连接数据或有用数据可以容易地由该电信服务商5借助于相应的解密秘钥再次解密，有利的是，将经加密的数据借助于另外的加密秘钥再次加密并且将如此双重加密的数据保持在受保护环境U的存储机构中。第二加密秘钥可以移交给值得信赖的主管机关(例如公证人)，该公证人只能将该第二加密秘钥以合法结构输出。
[0069]受保护环境U或密封的基础设施可以包括多个冗余的和分散的运算资源，该运算资源分布可以分别包括一些所谓的信任平台模型(TPM)、用于中断所有运算资源的供电的功率开关、电子机械锁、一些传感器，借助于这些传感器可以监控运算资源的入口。在本发明的一个设计方案中，运算资源可以具有存储机构，在该存储机构中存有加密秘钥，其中在本发明的一个设计方案中加密秘钥仅仅存储在易失性存储介质中，从而在中断供电之后删除存储的秘钥。例如当某人试图无权地访问或进入运算资源时，加密秘钥的所述删除是必要的。为了又可以创建秘钥，有利的是，加密秘钥通过同步机构与用于存储加密秘钥的另一存储机构同步。
[0070]这些运算资源可以与所谓的密封监控机构(密封控制)连接，该密封监控机构对机电构件进行监控。如果密封监控机构确定对运算资源的无权进入，那么密封监控机构可以触发全部在运算资源中存储的秘钥的立即同步化并且在同步结束之后中断对折中的运算资源的供电。因此确保，不再能由折中的运算资源中创建解密秘钥。
[0071]运算资源还可以与所谓的云控制耦合，云控制可以设定为，进行与一个或多个参与者T的数据交换。云控制同样可以与密封监控机构耦合，从而密封监控机构也可以在确定入侵的情况下通过通信网采用相应措施。
[0072]电信服务10的参与者Tl至Tn可以是智能电话、平板电脑、常规计算机或诸如此类，其中在图1示出的例子中分别给一个使用者配置一个参与者。如由图1可见，在参与者Tl和T2与电信服务10之间进行数据传输，其中数据由第一参与者Tl传输给电信服务10并且数据由电信服务10传输给第二参与者T2，亦即数据由受保护环境U之外到达电信服务10或者电信服务10的数据从受保护环境U到达第二参与者T2。
[0073]即使在两个参与者Tl、T2与电信服务10之间的数据传输加密地进行，那么电信服务商5获得如下信息，即参与者Tl和Τ2参与(共同的)通信。为了防止电信服务商单独基于数据传输(无需为此知道发送或接收的数据的内容)获得如下信息，即第一参与者Tl与第二参与者Τ2通信，按照本发明设定，该通知B由电信服务10或通知服务11产生并且时间错开地发送或传输给第二参与者Τ2。通过时间错开地发送通知B，电信服务商5根据数据传输绝对u不可以进行在接收的第一消息NI与发送的通知B之间的配属关系并且因此由通信数据也可以导出如下信息，即第一参与者Tl与第二参与者Τ2通信。通过在消息N的接受与通知B的发送之间设置时间偏差，该由受保护的环境U之外可进入的通信数据变得“模糊”，从而不仅对于电信服务商5而且对于无权的第三者都不知道谁与谁以及以什么频率进行通信。
[0074]在本发明的一个设计方案中，通知B也可以被加密或者加密地传输。特别有利的是，应该以操纵消息B通知第一消息NI的接收者时，谁已经将用于其的第一消息NI例如存储在消息盒中或者消息盒中存储的消息涉及什么内容。
[0075]而已经证实为有利的是，借助于通知B仅仅传输如下信息给接收者或第二参与者Τ2，即用于它的消息已存储在电信服务商5中。如果借助于通知B仅仅传输已存储消息这一信息，那么通知B可以对于电信服务的所有参与者来说都是相同，从而可以省去通知B的加密或加密地传输。因此对于通知的产生和发送来说，在电信服务商侧的系统负载能够极大地降低或最小化。
[0076]在本发明的一个设计方案中足够的是，通知B的有用数据仅仅具有一个比特的长度，因为为了信号化地表面第二参与者Τ2，即将对于其的任意消息都已存储在电信服务商处，一个比特就足够了。因此对于通知B传输给电信服务的参与者的数据量可以减小或最小化。
[0077]在获得通知B之后，第二参与者Τ2可以要求对于其确定的消息N。在第一参与者Tl与第二参与者Τ2之间的通信可以在此基于端对端加密实现，亦即第一参与者加密该消息，而第二参与者解密该第一消息NI。为了加密消息，可以应用同态的加密方法。由此例如电信服务能够对消息实施操作，例如改变变量(像本发明的内容那样)，而无需解密消息自身。操作的结果那么同样以加密形式存在。
[0078]图2示出接收第一消息NI和发送通知的时间流程。
[0079]在时刻tl，电信服务商的电信服务接收第一参与者的消息。在接收消息之后，电信服务或通知服务产生用于该参与者的通知，对于该参与者确定接收的消息，并且发送通知给该参与者，其中在消息的接受(在时刻tl时)与通知的发送之间设有预定的时间偏差δ?。也就是说，在时刻tl+δ?将该通知发送给第二参与者。
[0080]在本发明最简单的情况下，不变的时间偏差可以用于所有要发送的通知。这种不变的时间偏差当然具有缺点，即该时间偏差如果可能可以根据参与者与电信服务之间的数据传输的分析来获知，从而在得知时间偏差的情况下再次实现通知B与接收的消息N的配属关系。为了避免这一点，按照本发明可以设定，设有动态的时间偏差，该动态时间偏差在特定数量的通知之后变化，在最好的情况下是在每个通知之后变化。因此一方面通过数据传输的分析使得时间偏差的确定变得极为困难，而另一方面获知的时间偏差可以仅仅考虑用于一些在过去发送的通知，以便可以将通知正确地配置给相应的接收的通知，相反如此确定的时间偏差对于通知与消息的这种配属关系来说对于将来发送的通知或接收的消息是无价值的，因为当前时间偏差至那时已经改变。
[0081]时间偏差的这样的动态性例如可以通过以下方式实现，即时间偏差根据参与者与电信服务之间每个时间单元的数据传输进行选择。
[0082]在图3中示出根据每个时间单元的数据传输来选择时间偏差的例子。
[0083]在图3中示出的例子中，时间偏差在每个时间单元中高的数据传输的情况下小于在每个时间单元中低的数据传输的情况，亦即在较高的数据传输的情况下可以相比于较低的数据传输的情况选择较小的时间偏差訂，因为高的数据传输通常伴随大量参与者的大量消息，从而已经基于大量发送的通知使得发送的通知对于接收的消息的配属关系变得困难。
[0084]在图3a中示出的例子中，时间偏差与数据传输是非线性关系，而在图3b中示出的例子中时间偏差与数据传输是线性关系。自然也可以选择在时间偏差与数据传输之间的不同于在图3a和图3b中示出的关系。
[0085]在本发明的一个设计方案中，每个时间单元的数据传输可以包括每个时间单元中接受的消息N的数量。
[0086]为了实现选出的时间偏差的更好的动态性，可以设定，对于通知的发送所需的时间偏差随机地从时间偏差间隔中选出。在此时间偏差可以对于特定数量的要发送的通知从时间偏差间隔中选择。备选地，时间偏差訂可以对于每个单个要发送的通知随机从时间偏差间隔中选择。因此，即使在参与者与电信服务之间的数据传输的全面分析中也绝对不可能推断出通知与接收的消息之间的配属关系，因为一方面每个时间偏差都经受特定的偶然性，并且因为另方面基于对于要发送的通知的时间偏差的随机选择，使发送的通知的顺序不再相应于进入的消息的顺序。
[0087]在从时间偏差间隔中随机选择时间偏差时，随机成分还可以进一步改善，其方法是:时间偏差间隔的间隔边界根据在参与者与电信服务之间每个时间单元的数据传输进行选择。由此确保，在大的数据传输的情况下随机从时间偏差间隔中选择小的时间偏差化，并且在小的数据传输的情况下从时间偏差间隔中选择较大的时间偏差化。
[0088]在本发明的另一设计方案中，可以附加地或备选于前述选择时间偏差的措施，将产生的通知随机编入通知等待队列中，从而要发送的通知的顺序不再相应于接收的消息的顺序。在应用这样的等待队列中，在该等待队列中随机编入要发送的通知，也可以省去从时间偏差间隔中随机选择时间偏差这一步骤，因为由于该通知随机地编入等待队列中，在时间偏差不变的情况下也确保:发送的通知不可以正确地配置给接收的消息。
[0089]附图标记清单
[0090]5 电信服务商
[0091]10电信服务
[0092]11通知服务
[0093]5t在数据接收与通知发送之间的时间偏差
[0094]B在电信服务与参与者之间的通知
[0095]D通知的数据
[0096]N在参与者与电信服务之间的消息
[0097]T参与者
[0098]Tl第一参与者
[0099]T2第二参与者
[0100]U受保护的周围环境
【主权项】
1.一种方法，用来通过电信网络在一些参与者(Tl、T2)之间借助电信服务(5、10)来传递消息(Ν1、Ν2)，其中 -所述电信服务(5，10)接受电信服务(10)的至少一个第一参与者(Tl)的具有个性化第一变量(Si)的至少一个第一消息(NI)，所述消息确定用于该电信服务的至少一个第二参与者(T2);以及 -所述电信服务(5、10)在对消息(NI)的接受做出反应时将至少一个第二消息(Ν2)发送至至少一个第二参与者(Τ2)，其中该至少一个第二消息(Ν2)包含第二变量(s2)，该第二变量与第一变量(Si)是有关系(M)的，该关系是不可逆转的唯一关系。2.按权利要求1所述的方法，该关系(M)在此代表描画规则，其中变量目录中的每个变量(si)都是在由特定数量(L)的变量目录构成的变量目录中描画出来，其中每个变量目录都包括多于一个的第一变量(Si)，并且第二变量(s2)包含来自描绘了第一变量(Si)的变量目录的数值(sk)，其中该数值(sk)尤其相当于变量目录的最大值(skmax)。3.按权利要求2所述的方法，其中变量目录的数量(L)能够是I，而该数值(sk)能够相当于第一消息(NI)的最大变量(sl_max)。4.根据上述权利要求中任一项所述的方法，第一消息(NI)只以加密的形式配备有所述至少一个第二参与者(T2)的地址信息，优选只有电信服务(10)才能破译该信息。5.根据上述权利要求中任一项所述的方法，其中第二消息(N2)只以加密的形式配备有第一参与者(Tl)的信息，优选只有该至少一个第二参与者(T2)才能破译该信息。6.根据上述权利要求中任一项所述的方法，其中该电信服务(10)在受保护的周围环境(U)中工作。7.根据上述权利要求中任一项所述的方法，其中第一消息(NI)同态地加密，第二消息(N2)优选同样同态地加密，其中所述加密优选不会通过电信服务(10)改变。8.根据上述权利要求中任一项所述的方法，其中该至少一个第二消息(N2)包含与所述至少一个第一消息(NI)相同的有用数据。9.一种用于保护电信通信数据的方法，所述电信通信数据在利用至少一个电信服务(10)时由一些参与者(T1、T2)在电信服务(10)的电信服务供应商(5)处产生，其中:该电信服务(10)应用了按上述权利要求中任一项所述的方法。10.—种数据处理系统，它构造得用来实施按上述权利要求中任一项所述的方法。
【文档编号】H04L29/06GK105850092SQ201480058976
【公开日】2016年8月10日
【申请日】2014年11月10日
【发明人】休伯特·雅格
【申请人】尤尼斯康通用身份控制股份有限公司