专利名称:基于接近令牌单元对应用服务的安全访问的制作方法
技术领域:
本发明涉及对应用服务的安全访问。
背景技术:
利用诸如智能卡的安全令牌单元来鉴别该智能卡的所有者,能够保护移动电话和其它承载设备的安全。在智能卡被激活以鉴别所有者之前,智能卡可能需要所有者通信一个秘密,诸如在智能卡和所有者之间共享的一个个人识别号码(PIN)。为了避免麻烦所有者,智能卡可能只要求所有者在一定延长的时间间隔提供PIN。在许多情况下,智能卡可以数小时、数周、甚至数月地保持激活。如果智能卡在激活时,承载设备被盗窃了,则盗贼就可以通过使用激活的智能卡将他自己鉴别为所有者,从而使用盗窃的承载设备访问或支付(charge)保密的服务(secure service)。
发明内容
在一个一般方面,一种提供对应用服务(application service)的安全访问的系统包括与应用服务通信的安全令牌单元(security token)。所述安全令牌单元执行密码技术的第一元素(first element)。与安全令牌单元相关联地还提供了接近令牌单元(proximity token)。接近令牌单元执行密码技术的第二元素,以便确认在应用服务和安全令牌单元之间的通信的有效性(validate)。只有在接近令牌单元位于到安全令牌单元或应用服务的预定有效距离内时,接近令牌单元才被操作以确认所述通信的有效性。
本发明的实施可以包括以下特征的一个或多个。例如,安全令牌单元可以使用密码技术的第一元素来检验所述接近令牌单元已确认了在应用服务和安全令牌单元之间的通信的有效性。密码技术可以包括对称的和/或不对称的密码方法。密码技术的第一和第二元素可以是互补的,例如加密和/或解密技术。密码技术还可以包括数字签名技术和/或数字信封技术。
为了确认所述通信的有效性,接近令牌单元可以直接与安全令牌单元通信。所述系统被配置,以便在接近令牌单元确认所述通信的有效性时提供对应用服务的安全访问,并在接近令牌单元没有确认所述通信的有效性时防止对应用服务的安全访问。
接近令牌单元可以包括消息产生电路以利用密码技术的第二元素产生接近消息。消息产生电路可以广播接近消息以确认所述通信的有效性,而广播的范围可以是这样的以至于该消息只在接近令牌单元处于到应用服务或安全令牌单元的预定有效距离内时被接收。
通信电路可以将接近令牌单元用作(engage)在应用服务和安全令牌单元之间通信的渠道(conduit),以便在接近令牌单元处于预定有效距离内时确认所述通信的有效性。例如,安全令牌单元的安全输出电路可以使用加密产生一个安全输出。通信电路可以利用恢复电路解密所述安全输出,以产生通信到应用服务或安全令牌单元的有效的(validated)输出。
或者,通信电路的有效命令电路可以将应用服务的命令加密到安全令牌单元,以产生有效的命令。安全令牌单元可以包括命令恢复电路,通过解密有效的命令来恢复所述命令。再次,为了进行有效性确认,只有在接近令牌单元位于到应用服务或安全令牌单元的预定有效距离内时,通信电路才通信所述命令和用于接收的有效的命令。
安全令牌单元可以包括具有安全执行电路和安全存储电路的智能卡。安全执行电路执行密码技术的方面,而安全存储电路则存储例如密码技术的密钥。
接近令牌单元可以包括预定移动设备或固定设备。并且,接近令牌单元自身可以包括安全令牌单元,诸如,例如,智能卡。接近令牌单元可以使用无线通信电路与使用短程无线技术的应用服务通信。此外,应用服务可以包括物理上分离的部分,诸如,例如,承载设备(例如,移动电话)和外部服务(例如,移动电话网络)。
安全令牌单元和接近令牌单元的一般和具体方面可以利用一种方法、一种系统或一种计算机程序,或者系统、方法和计算机程序的任意组合来实施。通过下面结合附图的描述,以及从权利要求书中,其它特征也将更加清楚。
图1是一种利用接近令牌单元提供对应用服务的安全访问的系统的示意图。
图2是说明一个可由图1的系统实施的处理的流程图。
图3-6是说明利用接近令牌单元提供对应用服务的安全访问的示范性系统的示意图。
图7-11是说明可由图3-6的系统实施的多个处理的数据流程图。
图12是说明可由图3-6的系统实施的一个处理的流程图。
在各个附图中,相同的附图标记表示相同的元件。
具体实施例方式
参考图1,一般化的系统(generalized system)100利用安全令牌单元110和接近令牌单元115提供对应用服务105的安全访问。接近令牌单元115确认在应用服务105和安全令牌单元110之间的通信的有效性,以便安全访问应用服务105。在提供对应用服务105的访问之前,安全令牌单元110可以检验所述有效性。下面对系统100的示范性部件进行更具体地描述。
应用服务105一般包括依赖安全令牌单元(例如,安全令牌单元110)以提供安全存储和/或安全执行功能的设备、系统和/或一段代码。例如,应用服务105可以包括诸如移动电话的移动设备、个人数字助理(PDA)、手写计算机(peh-based computer)、或笔记本计算机。应用服务105还可以包括固定设备,诸如,例如,桌上计算机、工作站、自动取款机(ATM)、或建筑物(building)安全系统。应用服务105可以包括企业客户端(client)、网络浏览器(例如,被配置以集成到安全令牌单元110的Giesecke & DevrientSTARSIM浏览器系统的SIM(订户识别模块)工具箱浏览器)、电子邮件客户端、同步客户端(例如,日历同步客户端或任务列表同步客户端)、电子钱包或电子钱夹、即时消息(IM)客户端、商业生产应用(例如,文字处理器或电子报表程序)、和/或操作系统或驻留在移动设备上的操作系统内核。
应用服务105还可以包括或访问(access)其它附加的服务。例如,应用服务105可以包括或访问被配置来与数据库服务通信的应用服务器(例如,诸如SAP WAS版本6.20的网络应用服务器(WAS)),所述数据库服务诸如,例如,可靠数据库管理系统(reliable database management system,RDBMS)或SAP R/3系统。数据库服务可以包括,例如,与企业服务、用户和/或客户相关的企业信息。此外,应用服务105可以包括CRM服务、企业资源计划(ERP)服务、电子邮件服务、会计服务、资源管理服务、同步服务(例如,日历同步服务、任务列表同步服务)、打印服务、文件存取服务、即时消息(IM)服务、操作系统、操作系统内核、鉴别服务、授权服务、和/或这些或其它服务的任意组合。
应用服务105还可以包括用于递送(delivering)有声和/或无声数据的各种机制,诸如,例如,短消息服务(SMS)、无线应用协议(WAP)、传输连接协议(transport connection protocol,TCP)、英特网协议(IP)、万维网、一个或多个局域网(LAN)、一个或多个无线局域网(WLAN)、和/或一个或多个广域网(WAN)。应用服务105还可以包括模拟或数字有线和无线电话网络,例如,公共交换电话网络(PSTN)、综合服务数字网(ISDN)、各种类型的数字订户线路(various types of digital subscriber lines,xDSL)、高级移动电话服务(AMPS)、全球移动通信系统(GSM)、通用分组无线业务(GPRS)、码分多址(CDMA)、宽带CDMA(WCDMA)、通用移动电信系统(UMTS)、无线电、电缆、卫星、和/或用于携载有声或无声数据的递送机制。
安全令牌单元110一般可以执行安全存储功能和安全执行功能。安全令牌单元110的安全存储和安全执行功能可以被用来提供,例如,机密性、用户鉴别、应用鉴别、交易(transaction)鉴别、和/或认可。安全令牌单元110可以通过检验与应用服务105的通信被接近令牌单元确认有效,来控制对应用服务105的访问。例如,安全令牌单元110可以基于数据密码技术,包括使用基本数据加密、数字签名、和/或数字信封,来检验、产生、或解译安全消息(例如,由接近令牌单元115确认有效的安全消息)。利用安全令牌单元110的安全存储和安全执行功能,可以完全在该令牌单元内存储和使用密码密钥。结果,防止了第三方窃听者听到安全令牌单元110的通信以截获该密码密钥。
为了附加的安全性,安全令牌单元110可以要求用户提供访问令牌(access token)(例如,个人识别号码(PIN)、口令、或生物测定指示器)来使能(enable)安全令牌单元10。为了提供针对窃贼的增强的安全性,安全令牌单元110可以被配置为在一定次数的失败的访问尝试之后自己锁闭(lockitself down)。安全令牌单元还可以包括一个内部时钟,并可以被配置为,例如,在预定的周期内、在一定次数的失败的访问尝试之后锁闭。
安全令牌单元110还可以被配置为要求确认与应用服务105的所有通信或仅仅是一些通信的有效性。例如,应用服务105可以被配置为提供安全的和非安全的服务两者,以及与其中每种服务相关联的特定通信类型。非安全的服务可以包括,例如,访问紧急电话号码,诸如911,或者访问不对用户进行收费的服务。安全令牌单元110可以被配置为不要求确认与应用服务105的非安全服务相关联的通信类型的有效性。
安全令牌单元110还可以被配置为采用一种或多种协议来保证所接收命令的新近程度(freshness)。例如,重放计数器技术可以被用来防止窃听者截取有效的命令,然后提交该有效的、但不是新近的命令到安全令牌单元110,以访问应用服务105。
为了提供安全存储和安全执行,安全令牌单元110可以包括具有与应用服务105分离的物理标识的专门的安全硬件和软件。例如,安全令牌单元110可以在一个安全的物理外壳中包括自己的存储器和处理器。安全的软件和数据(例如,密码算法和密钥和证书)可以利用所述安全的物理外壳中的存储器和处理器被存储和执行,以防止被窃听者观察或更改。安全令牌单元110可以包括,例如,集成了应用服务105的SIM工具箱浏览器的Giesecke &Devrient STARSIM浏览器系统。安全令牌单元110还可以包括随机数产生器(RNG)和/或内部时钟机制。
在一个这样实施方式中,安全令牌单元110包括能够提供安全存储和安全执行的智能卡或其它适合的处理器和/或存储卡(例如,通用串行总线(USB)令牌单元,GSM SIM,和/或UMTS SIM(USIM))。智能卡可以利用以下标准来定义,例如,诸如国际标准化组织(ISO)7816-X、ISO和国际电工委员会(IEC)14443-1规范、欧洲电信标准协会针对GSM SIM的规范、和/或Europay International、Master Card International,以及Visa CardInternational(EMV)针对付费系统的规范。智能卡可以解密所接收的安全消息,加密请求或答复以形成输出的安全消息,并可以使用安全消息与应用服务105通信。安全消息可以包括有声和/或无声数据。
在另一个方面,安全令牌单元110可以作为应用服务105的一部分被包括,并通过对观察和更改有抵抗力的防篡改软件(TRS)来使用应用服务的资源进行实施。TRS可以使用其操作的交织存取(interleaving),而TRS代码可以是自身加密、自身解密、和/或自身更改的。TRS可以被配置为通过多个存储器结构分散地存储秘密,并且只通过多个操作处理那些秘密。每个TRS实施可以包括一个唯一的代码序列和/或密码密钥,而TRS代码序列的正确执行会依赖于许多其它TRS代码序列的相互的正确执行。
安全令牌单元110可以使用单向的(one-way)加密方法(即,加密的输出不能被解密),例如,这对鉴别或检验有效性非常有用。对于任意长度的输入,单向的加密功能产生了的固定尺寸的数(例如,散列值),此外,从所述散列值来确定输入在计算上是不能实行的。对单向加密功能的略微不同的输入典型地会产生具有显著区别的输出。单向加密功能包括,例如,安全散列值算法(例如,SHA-1,或SHA-256)和报文摘译算法(例如,MD4、MD5或Ripe-MD)。
安全令牌单元110还可以使用双向的(two-way)加密方法(即,加密的输出能够被解密),这可以是对称和/或非对称的。在对称加密方法中,共享密钥被用来对消息进行加密和解密。共享密钥可以为给出的消息提供安全性而只使用一次,也可以由安全令牌单元110存储该共享密钥以重复使用。在任一情况下,共享密钥可以使用传统密钥交换方法与应用服务105通信。对称加密方法包括,例如,数据加密标准(DES)、3DES(triple DES,三重DES)、Blowfish加密算法、国际数据加密算法(IDEA)、和/或先进加密标准(AES)。
在非对称加密方法中(例如,Rivest、Shamir、和Adelman(RSA)方法,椭圆曲线加密(ECC),数字签名算法,或Elgamal加密),一个密钥对被用来对消息进行加密和解密。密钥对包括用于对消息进行加密的公共密钥(但是不提供解密作用),和用于对消息进行解密的相关联的私人密钥(privatekey)。非对称加密方法还被用于创建数字签名。数字签名可以鉴别一个消息的作者实际上就是该消息作者声称的人或设备,并且该消息在被发送之后没有被更改过。与加密类似,私人密钥被用于创建数字签名,而消息接收者则使用相关联的公共密钥鉴别该数字签名的消息。安全令牌单元110可以保留该私人密钥,但是,例如,可以通过公布来使公共密钥对应用服务105可用。公共密钥基础设施(PKI)可以向应用服务105证明与该消息相关联的公共密钥和该消息所声称的来源是相对应的。PKI扮演了一个类似于公证人的角色,其见证了纸文档(paper document)的签名者的正确标识。PKI可以包括,例如,认证授权或信托网络(web of trust)。
接近令牌单元115一般包括,例如,任何配置来确认在应用服务105和出现在接近令牌单元的预定距离内的安全令牌单元110之间的通信的有效性的设备、系统、和/或一段代码。为了在预定距离内提供有效性确认,接近令牌单元115可以被配置为使用短程无线技术与应用服务105和/或安全令牌单元110进行通信。应用服务105和/或安全令牌单元110也可以被配置来利用短程无线技术进行通信。短程无线技术包括,例如,蓝芽、IEEE802.11、超宽带(UWB)、共享无线访问协议(SWAP)、数字增强型无绳通讯(DECT)、GSM、UMTS、CDMA、WCDMA、IrDA(红外数据协会)协议、CDMA2000、时分CDMA(TD-CDMA)、HipperLAN2、HomeRF、或宽频带跳频(WBFH)。根据所使用的协议,短程无线技术可以提供,例如,大约10米到大约100米的有效通信范围。接近令牌单元115可以是可移动的或固定的,并且可以或可以不与应用服务105或安全令牌单元110进行直接通信。
在任意情况下,接近令牌单元115提供与所述安全令牌单元110相类似的安全执行和/或安全存储功能。而且,接近令牌单元115可以包括一个安全令牌单元,例如,来提供安全存储和安全执行。为了简短,因此,在这里将不重复对安全令牌单元110的描述,而是结合在这里作为参照。接近令牌单元115利用对称和/或非对称数据加密方法,确认在应用服务105和安全令牌单元110之间的通信的有效性。接近令牌单元115的加密方法可以选择来与安全令牌单元110的加密方法进行无缝操作。
为了对应用服务105和安全令牌单元110之间的通信的有效性进行确认,接近令牌单元115可以在该通信中担任一个参与者。接近令牌单元115可以自己确定一个外界距离(outer distance)(例如,有效距离R),在该距离内可以进行有效的通信,而拒绝对在此距离之外的通信的有效性进行确认。例如,接近令牌单元115可以通过调整接近令牌单元115进行广播的功率来确定有效距离。此外,或者作为一种替代方案,接近令牌单元115可以基于在应用服务105和安全令牌单元110之间的通信的接收功率来确定该有效距离R。
一个或多个其它服务可以被包括在系统100的部件中,而这些部件(以下称为系统服务)可以作为一个或多个其它服务的部分。例如,系统服务可以包括或被包括在通用或专用计算机(例如,个人计算机、PDA、或被专门编程以执行特定任务的设备)、局域网(LAN)、和/或广域网(WAN)中。被任意或所有系统服务接收的指令的响应和执行会受到,例如,程序、一段代码、指令、设备、计算机系统、或它们的组合的控制,用于独立地或共同地指示服务进行如上所述的相互作用或操作。
图2说明了例如由图1的系统实施的系统性处理200。应用服务105和安全令牌单元110可以从事与应用服务105的访问相关的通信(步骤205)。通常,可以设想任何数量的密码技术来确认在应用服务105和安全令牌单元110之间的通信的有效性。接近令牌单元115可以使用任何适当的密码技术或许多技术的组合来确认在接近令牌单元115的预定距离内的通信的有效性(步骤210)。然后,基于在应用服务105和安全令牌单元110之间已确认的通信,可以提供对应用服务105的访问(步骤215)。
参考图3,一般化的系统300利用智能卡310和接近令牌单元315为对应用服务305的访问提供安全。一般而言,系统300类似于图1的系统100。应用服务305被示出包括了承载设备307和外部服务309,它们被配置来共同通信。系统300还可以包括管理(administrative)服务320,其被配置来管理安全基础设施的一个或多个方面。为了简洁的目的,这里的描述集中在描述系统300的附加的方面。下面具体描述系统300的示范性部件。
应用服务305类似于图1的应用服务105。然而,应用服务305被示出包括了承载设备307和外部服务309。承载设备307可以包括移动设备或固定设备。例如,承载设备307可以包括以下设备,诸如电话、手写计算机、PDA或移动电话、笔记本计算机、和/或桌上计算机。承载设备307可以包括被配置来在物理上接收智能卡310并与智能卡310进行通信的硬件设备。承载设备307还可以包括,例如,网页浏览器、电子邮件客户端、同步客户端(例如,日历同步客户端或任务列表同步客户端)、IM客户端、商业生产应用(例如,文字处理器或电子报表程序)、操作系统或操作系统核心、和/或虚拟个人网络(VPN)(例如,基于IP安全(IPsec)协议)。
外部服务309可以包括各种机制,用于与承载设备307通信有声和/或无声数据。那些机制可以包括,例如,模拟或数字有线和无线电话网络(例如,PSTN、ISDN、xDSL、AMPS、GSM、GPRS、CDMA、WCDMA、和UMTS)、无线电、电缆、卫星、和/或用于携载有声或无声数据的递送机制。其它机制可以包括SMS、WAP、TCP、IP、万维网、一个或多个LAN(WLAN)和/或一个或多个WAN。
外部设备309可以采用上述通信机制向承载设备307提供到后端服务、和/或其它本地应用服务的访问。例如,外部服务309可以包括或访问网络应用服务器(WAS)(例如,SAP WAS版本6.20),其被配置来与数据库系统进行通信,诸如,可靠数据库管理系统(RDBMS)或SAP R/3系统。数据库服务可以包括,例如,与企业服务、用户和/或客户相关的企业信息。外部服务309可以包括CRM系统、企业资源计划(ERP)系统、电子邮件服务、商业处理系统(例如,工作流程管理系统或企业/雇员门户)、会计服务、资源管理服务、同步服务(例如,日历同步服务、任务列表同步服务)、打印服务、文档存取服务、即时消息(IM)服务、操作系统、操作系统内核、鉴别服务、授权服务、和/或这些或其它服务的任意组合。此外,或者作为替代方案,外部服务309可以被配置为提供与另一个移动设备的用户进行通信。
应用服务305可以被安排在一个或多个其它系统中,或与一个或多个其它系统相呼应地进行操作,诸如,例如,一个或多个LAN、WLAN、和/或一个或多个WAN。
管理服务320可以管理一个或多个与对应用服务305的安全访问有关的面。管理服务320可以包括,例如,被配置为利用端到端(end to end)安全通信与系统300的一个或多个设备进行通信的安全管理服务。安全管理服务可以存储、改变、使生效、撤回、或产生安全凭证,诸如系统300所使用的证书或密码密钥。安全管理服务可以包括公共密钥基础设施(PKI),其被配置来证明与通信相关联的公共密钥与通信的声称的来源相对应。管理服务320还可以包括政策管理服务,被配置来基于安全相关策略(例如,企业系统的安全相关政策)中的改变以实行在系统300的设备中的状态改变。
一个或多个其它服务可以被包括在管理服务320的部件中,和/或这些部件(以下称为系统服务)可以作为一个或多个其它服务的一部分被包括。例如,系统服务可以包括或被包括在通用或专用计算机(例如,个人计算机、移动设备、或被专门编程以执行特定任务的设备)、至少一个局域网(LAN)、和/或至少一个广域网(WAN)中。不管何种方式,被任意或所有系统服务接收的指令的响应和执行会受到,例如,程序、一段代码、指令、设备、计算机系统、或它们的组合的控制,用于独立地或共同地指示服务进行如上所述的相互作用或操作。
图4和5说明了与图3的系统大致类似的系统。为了简短,对图4和5进行了描述而忽略了它们与图3非常相似的细节。
参考图4,提供了系统400,其中本地应用服务包括移动电话407,而远程应用服务则包括移动电话网络409。移动电话407被配置为基于智能卡410运行(function)。系统400的接近令牌单元415被构成为可附加的小移动设备,例如,钥匙链。因为接近令牌单元415具有很小的尺寸,移动电话407的所有者可以在口袋或其它地方携带这样的接近令牌单元415。因此,当用户希望使用移动电话407时,移动电话407和智能卡410可以被保证处于接近令牌单元415的有效距离之内。另一方面,盗窃移动电话407和智能卡410的盗贼很可能会将它们移开而超出接近令牌单元415的有效距离。从而,盗贼将不能使用移动电话407而将呼叫费用转嫁所有者(charge calls to theowner),或者作为该智能卡的所有者访问移动电话网络409。
图5说明了系统500,其中应用服务包括固定ATM 505,而智能卡可以被用作ATM卡或电子钱包。接近令牌单元515被添加到系统500,以提供对于ATM的未经授权的访问的安全性,例如,针对盗窃了智能卡510的盗贼,以及获得相关口令或PIN的人。
参考图6,说明了系统600,其中接近令牌单元615为固定、而非移动的。系统600被配置为进一步限制在可以获得对应用服务(例如,计算机605)的访问的地理区域中。例如,只有在用户访问在由固定接近令牌单元615的有效范围定义的地理区域中的机密文档时,才向用户提供存储在计算机605上的机密加密文件的访问。固定接近令牌单元615的有效范围可以还受到电磁屏蔽包括该固定接近令牌单元615的建筑物或房间(例如,机密文档阅览室)的约束。
在计算机605被用来从被认可的公司设施或校园访问企业的情况下,固定接近令牌单元615还可以被用来确认对敏感系统(例如,企业系统)的访问的有效性。然而,如果用户偏离了所述公司设施或校园,并超出了固定接近令牌单元615的有效范围,则对敏感企业系统的访问将不被确认为有效的,并将被拒绝。
图7-10说明了表示可以用来实施图3-6的系统的处理的数据流程图。这些附图将接近令牌单元说明为在应用服务和智能卡之间进行通信的渠道。
参考图7,说明了处理700,其中用户可以提供一个指令I给应用服务(步骤705)。应用服务可以基于I产生命令C,或者,基于自己的主动性或其它输入产生命令C,并可以将命令C通信给接近令牌单元(步骤710)。接近令牌单元可以利用密码技术对命令C进行变换以产生C′。例如,接近令牌单元可以对命令C进行数字签名,可以对命令C进行加密,和/或对命令C施加一种散列值算法。以这种方式,接近令牌单元确认了该通信的有效性,然后将变换的命令C′传递回应用服务(步骤715)。应用服务然后可以提供变换的命令C′给智能卡(步骤720)。智能卡可以对所述变换的命令C′采用密码技术,以获得原始的命令C(例如,使用与接近令牌单元共享的密钥或接近令牌单元的公共密钥),因此检验出接近令牌单元已确认了通信的有效性。在恢复了原始命令C之后,智能卡可以执行命令C以产生结果R,然后提供将该结果R给应用服务(步骤725)。
图8的处理类似,但是还包括附加的步骤用来向接近令牌单元鉴别所述智能卡。用户仍然提供指令I给应用服务(步骤805)。应用服务基于输入I产生命令C,或者,基于自己的主动性或其它输入产生命令C,并可以将命令C通信给智能卡(步骤810)。智能卡利用密码技术对命令C进行变换以产生C′,并将修改后的命令C′通信给应用服务(步骤815)。应用服务将修改后的命令C′提供给接近令牌单元,其使用与智能卡共享的密钥或智能卡的公共密钥来确认智能卡的参与的有效性(步骤820)。为了确认该通信的有效性,接近令牌单元使用密码技术将C′变换为C″,并将C″通信给应用服务(步骤825)。应用服务将C″通信给智能卡(步骤830)。智能卡对变换的命令C″采用密码技术以获得C′,因此检验出接近令牌单元已确认了通信的有效性(例如,使用与接近令牌单元共享的密钥或接近令牌单元的公共密钥)。由于是智能卡最初从C形成的C′,所以智能卡能够逆转(reverse)该处理,利用其自己的密码密钥从C′恢复C。在恢复原始命令C之后,智能卡执行命令C以产生结果R,然后智能卡将该结果R提供给应用服务(步骤835)。
参考图9,说明了处理900,其中用户提供指令I给应用服务(步骤905)。应用服务基于指令I产生命令C,或者作为替代,基于自己的主动性或某些其它输入产生命令C,并将命令C通信给智能卡(步骤910)。智能卡执行该命令C并产生利用加密技术从R修改得到的响应R′,智能卡将该响应通信给应用服务(步骤915)。应用服务将R′通信给接近令牌单元(步骤920)。一旦接收到R′,接近令牌单元对修改的结果R′采用密码技术以获得R″(例如,使用与智能卡共享的密钥或智能卡的公共密钥),以便确认通信的有效性,并将R″通信给应用服务(步骤925)。应用服务依次将R″通信给智能卡(步骤930)。智能卡对R″采用密码技术以获得R′,因此检验出接近令牌单元已确认了通信的有效性(例如,使用与接近令牌单元共享的密钥或接近令牌单元的公共密钥)。由于是智能卡从R形成了R′,所以智能卡能够逆转该处理,利用其自己的密码密钥从R′恢复R。在恢复R之后,智能卡将R提供给应用服务(步骤935)。
参考图10,说明了处理1000,其中应用服务包括承载设备和外部服务。用户提供指令I给承载设备(步骤1005)。承载设备基于指令I产生命令C,或者作为替代,基于自己的主动性或某些其它输入产生命令C,并将命令C通信给智能卡(步骤1010)。智能卡执行命令C并成生已经使用加密技术从R修改得到的响应R′,并且智能卡将该响应通信给承载设备(步骤1015)。承载设备将R′通信给接近令牌单元(步骤1020)。一旦接收到R′,接近令牌单元就对修改的结果R′采用密码技术以获得R″(例如,使用与智能卡共享的密钥或智能卡的公共密钥),因此确认通信的有效性,并将R″通信给承载设备(步骤1025)。
承载设备然后将R″通信给智能卡(步骤1030)。智能卡对R″采用密码技术以获得R′,因此检验出接近令牌单元已确认了通信的有效性(例如,使用与接近令牌单元共享的密钥或接近令牌单元的公共密钥)。由于是智能卡从R形成了R′,所以智能卡也能够逆转该处理,利用其自己的密钥从R′恢复R。在恢复R之后,智能卡将R提供给承载设备(步骤1035)。承载设备然后将R通信给外部服务,可能使用加密技术以保证该通信的安全性(1040)。此外,或者作为替代,R本身可以代表一个已经由外部服务加密的消息,提供另一层的安全和/或鉴别。
图11说明处理1100,其中用户可以提供指令I给应用服务(步骤1105)。应用服务基于指令I产生命令C,或者作为替代,基于自己的主动性或某些其它输入产生命令C,并将C通信给智能卡(步骤1110)。智能卡执行命令C并产生使用加密技术从R修改得到的响应R′,然后智能卡将该响应R′通信给接近令牌单元(步骤1115)。一旦接收到R′,接近令牌单元就对修改的结果R′采用密码技术以获得R″(例如,使用与智能卡共享的密钥或智能卡的公共密钥),因此确认通信的有效性,并将R″通信回智能卡(步骤1120)。智能卡对R″采用秘密技术以获得R′,因此检验出接近令牌单元确认了该通信的有效性(例如,使用与接近令牌单元共享的密钥或接近令牌单元的公共密钥)。由于是智能卡从R形成了R′,所以智能卡也能够逆转该处理,利用其自己的密钥从R′恢复R。在恢复R之后,智能卡将R提供给应用服务(步骤1125)。
一般,接近令牌单元确认在应用服务和安全令牌单元之间的通信的有效性可以采用任意数量的方法。例如,图12说明了利用图3-6的系统实施的方法1200,其中接近令牌单元通过周期性地产生和广播一个接近消息来确认对应用服务的访问的有效性。更具体地讲,接近令牌单元最初使用密码技术产生接近消息(步骤1205)。接近令牌单元可以在预定的周期间隔产生接近消息(例如,每5秒种或每30秒种)。在产生接近消息之后,接近令牌单元使用短程无线技术来广播接近消息,以限制有效区域(步骤1210)。应用服务接收接近消息,并提供接近消息给智能卡(步骤1215)。智能卡使用密码技术(例如,使用与接近令牌单元共享的密钥或接近令牌单元的公共密钥)以检验接近令牌单元为接近消息的来源(步骤1220)。
独立地,应用服务请求智能卡提供安全的服务(步骤1225)。一旦接收到请求,智能卡确定是否在应用服务的接收请求的预定周期内接收到鉴别的接近消息(步骤1230)。如果智能卡证明在预定时间内已经接收到鉴别的接近消息(步骤1235),则智能卡提供所请求的安全的服务(步骤1240)。否则,智能卡拒绝所请求的安全的服务(步骤1245)。
其它实施方式也在下面权利要求书的范围之内。
权利要求
1.一种提供对应用服务的安全访问的系统,该系统包括安全令牌单元,其被配置来与应用服务进行通信,并执行密码技术的第一元素;以及接近令牌单元,与所述安全令牌单元相关联,并被配置来执行密码技术的第二元素,以便确认在应用服务和安全令牌单元之间的通信的有效性,只有在接近令牌单元位于到安全令牌单元或应用服务的预定有效距离内时,接近令牌单元才被操作以确认所述通信的有效性。
2.如权利要求1所述的系统,其中所述应用服务包括移动电话。
3.如权利要求1或2所述的系统,其中所述密码技术的第一和第二元素是相互补充的。
4.如任一前述权利要求所述的系统,其中,当接近令牌单元确认所述通信的有效性时,所述系统被配置来提供对应用服务的安全访问,而在接近令牌单元没有确认所述通信的有效性时防止对应用服务的安全访问。
5.如任一前述权利要求所述的系统,其中所述安全令牌单元包括检验电路,该检验电路被配置来检验所述接近令牌单元已经确认在应用服务和安全令牌单元之间的通信的有效性。
6.如任一前述权利要求所述的系统,其中所述接近令牌单元包括消息产生电路,该消息产生电路被配置来利用密码技术的第二元素产生接近消息,并在预定的有效距离内广播接近消息,以便在该预定的有效距离内确认在应用服务和安全令牌单元之间的通信的有效性。
7.如任一前述权利要求所述的系统,其中所述接近令牌单元包括通信电路,该通信电路被配置来将接近令牌单元用作在预定有效距离内、在应用服务和安全令牌单元之间通信的渠道,以便确认在预定有效距离内、在应用服务和安全令牌单元之间通信的有效性。
8.如权利要求7所述的系统,其中密码技术的第一元素包括加密技术,而密码技术的第二元素包括相关联的解密技术;安全令牌单元包括安全输出电路,其被配置来利用加密技术产生安全输出;以及通信电路包括恢复电路,其被配置来执行加密技术以便从安全输出中恢复有效的输出,并只在预定有效距离内通信所述安全输出和有效的输出。
9.如权利要求7所述的系统,其中密码技术的第一元素包括解密技术,而密码技术的第二元素包括相关联的加密技术;通信电路包括有效命令电路,其被配置来基于应用服务的命令利用加密技术产生有效命令到安全令牌单元;通信电路还被配置来只在预定有效距离内通信所述命令和有效命令两者;以及安全令牌单元包括检验电路,其被配置来通过执行解密技术检验有效命令,以便从有效命令恢复该命令。
10.如任一前述权利要求所述的系统,其中所述安全令牌单元包括安全存储电路和安全执行电路。
11.如任一前述权利要求所述的系统,其中所述安全令牌单元还包括智能卡。
12.如权利要求10所述的系统,其中所述安全执行电路被配置来执行密码技术的第一元素。
13.如权利要求12所述的系统,其中所述安全存储电路被配置来存储密码技术的第一元素的密码密钥。
14.如任一前述权利要求所述的系统,其中所述接近令牌单元包括第二安全令牌单元。
15.如权利要求14所述的系统,其中所述第二安全令牌单元包括智能卡。
16.如任一前述权利要求所述的系统,其中所述接近令牌单元包括移动设备。
17.如权利要求1至15中任意一个所述的系统,其中所述接近令牌单元包括固定设备。
18.如任一前述权利要求所述的系统,其中所述接近令牌单元包括无线通信电路,其被配置来利用短程无线技术与应用服务通信。
19.如权利要求18所述的系统,其中所述短程无线技术提供大约10米的有效通信范围。
20.如权利要求18所述的系统,其中所述短程无线技术提供大约100米的有效通信范围。
21.如任一前述权利要求的所述系统,其中所述密码技术包括数字签名技术。
22.如任一前述权利要求所述的系统,其中所述密码技术包括数字信封技术。
23.如任一前述权利要求所述的系统,其中所述密码技术包括对称密码技术。
24.如权利要求1至22中任意一个的系统,其中所述密码技术包括非对称密码技术。
25.如任一前述权利要求所述的系统,其中所述应用服务包括承载设备和外部服务。
26.一种计算机程序,用于提供对应用服务的安全访问,该计算机程序包括安全令牌单元代码段,其被配置来使得安全计算机与应用服务通信,并使得安全计算机执行密码技术的第一元素;和接近令牌单元代码段,与安全令牌单元代码段相关联,并被配置来使得接近计算机执行密码技术的第二元素,以便确认在安全计算机和应用服务之间的通信的有效性,该接近令牌单元代码段可操作以使得接近计算机只在该接近计算机位于到安全计算机或应用服务的预定有效距离内时确认所述通信的有效性。
27.如权利要求26所述的计算机程序,其中所述应用服务包括移动电话。
28.如权利要求26或27所述的计算机程序,其中所述密码技术的第一和第二元素互相补充。
29.如权利要求26至28中任意一个所述的计算机程序,其中所述计算机程序被配置来在接近计算机确认所述通信的有效性时提供对应用服务的安全访问,并在接近计算机没有确认所述通信的有效性时防止对应用服务的安全访问。
30.如权利要求26至29中任意一个所述的计算机程序,其中所述安全令牌单元代码段包括检验代码段,其被配置来使得安全计算机检验接近令牌单元已经确认在应用服务和安全令牌单元之间通信的有效性。
31.如权利要求26至30中任意一个所述的计算机程序,其中所述接近令牌单元代码段包括消息产生代码段,其被配置来使得接近计算机利用密码技术的第二元素产生接近消息,并在预定有效距离内广播接近消息,以便在预定有效距离内确认在应用服务和安全计算机之间通信的有效性。
32.如权利要求26至31中任意一个所述的计算机程序,其中所述接近令牌单元代码段包括通信代码段,其被配置来使得接近计算机用作在预定有效距离内在应用服务和安全计算机之间通信的渠道,以便确认在预定有效距离内在应用服务和安全计算机之间通信的有效性。
33.如权利要求32所述的计算机程序,其中密码技术的第一元素包括加密技术,而密码技术的第二元素包括相关联的解密技术;安全令牌单元代码段包括安全代码段,其被配置来使得安全计算机利用加密技术产生安全输出;和通信代码段包括恢复代码段,其被配置来使得接近计算机利用解密技术从安全输出中恢复有效输出,并只在预定有效距离内通信安全输出和有效输出。
34.如权利要求32所述的计算机程序,其中密码技术的第一元素包括解密技术,而密码技术的第二元素包括相关联的加密技术;通信代码段包括有效命令代码段,其被配置来使得接近计算机基于应用服务的命令利用加密技术产生有效命令到安全计算机,并在预定有效距离内通信所述命令和有效命令两者;和安全令牌单元代码段包括检验代码段,其被配置来使得安全计算机利用解密技术检验有效命令,以便从有效命令恢复所述命令。
35.如权利要求26至34中任意一个所述的计算机程序,其中所述安全令牌单元代码段包括安全存储代码段和安全执行代码段,该安全存储代码段被配置来使得安全计算机提供安全存储,而该安全执行代码段被配置来使得安全计算机提供安全执行。
36.如权利要求35所述的计算机程序,其中所述安全执行代码段被配置来使得安全计算机执行密码技术的第一元素。
37.如权利要求36所述的计算机程序,其中所述安全存储代码段被配置来促使安全计算机存储密码技术的第一元素的密码密钥。
38.一种提供对应用服务的安全访问的方法,该方法包括提供安全令牌单元以便与应用服务通信,并执行密码技术的第一元素;和提供与安全令牌单元相关联的接近令牌单元以执行密码技术的第二元素,以便确认在安全令牌单元和应用服务之间通信的有效性,包括提供接近令牌单元使得只在接近令牌单元位于到安全令牌单元或应用服务的预定有效距离内时确认所述通信的有效性。
39.如权利要求38所述的方法,其中所述应用服务包括移动电话。
40.如权利要求38或39所述的方法,其中所述密码技术的第一和第二元素互相补充。
41.如权利要求38至40中任意一个所述的方法,所述方法还包括提供安全令牌单元以检验接近令牌单元确认了在应用服务和安全令牌单元之间的通信的有效性。
42.如权利要求38至41中任意一个所述的方法,所述方法还包括提供接近令牌单元以利用密码技术的第二元素产生接近消息,并在预定有效距离内广播接近消息,以便在预定有效距离内确认在应用服务和安全令牌单元之间通信的有效性。
43.如权利要求38至42中任意一个所述的方法,所述方法还包括提供接近令牌单元用作在预定有效距离内在应用服务和安全令牌单元之间通信的渠道,以便确认在预定有效距离内在应用服务和安全令牌单元之间通信的有效性。
44.如权利要求43所述的方法,其中所述密码技术的第一元素包括加密技术,而密码技术的第二元素包括相关联的解密技术,该方法还包括提供安全令牌单元利用加密技术产生安全输出;和提供接近令牌单元利用解密技术从安全输出中恢复有效输出,并只在预定有效距离内通信安全输出和有效输出。
45.如权利要求43所述的方法,其中所述密码技术的第一元素包括解密技术,而密码技术的第二元素包括相关联的加密技术,该方法还包括提供接近令牌单元基于应用服务的命令利用加密技术产生有效命令到安全令牌单元,并只在预定有效距离内通信所述命令和有效命令;以及提供安全令牌单元利用解密技术检验有效命令以便从有效命令中恢复所述命令。
46.如权利要求38至45中任意一个所述的方法,该方法还包括提供安全令牌单元来提供安全存储功能和安全执行功能。
47.如权利要求46所述的方法,该方法还包括提供安全令牌单元以利用安全执行功能执行密码技术的第一元素,以及利用安全存储功能存储密码技术的第一元素的密码密钥。
全文摘要
一种提供对应用服务(105)的安全访问的系统包括耦合到应用服务(105)的安全令牌单元(110)。安全令牌单元(110)执行密码技术的第一元素,诸如,例如,加密或解密。接近令牌单元(115)被提供与安全令牌单元(110)相关联。接近令牌单元(115)执行密码技术的第二元素,以确认在应用服务(105)和安全令牌单元(110)之间的通信的有效性。接近令牌单元(115)只在接近令牌单元位于到安全令牌单元(110)或应用服务(105)的预定有效距离内时才被操作以确认所述通信的有效性。该系统可被配置来在接近令牌单元(115)确认所述通信有效性时提供对应用服务(105)的安全访问,并在接近令牌单元(115)没有确认所述通信的有效性时防止对应用服务(105)的安全访问。
文档编号G06F21/00GK1799018SQ200480015563
公开日2006年7月5日 申请日期2004年6月2日 优先权日2003年6月5日
发明者罗杰·基利恩-凯尔 申请人:Sap股份公司