专利名称:用于配置电子设备的方法和装置的制作方法
技术领域:
本发明涉及一种用于根据权利要求1的前序部分配置电子设备、尤其是终端设备的方法以及一种用于根据权利要求10的前序部分配置电子设备、尤其是终端设备的装置。
背景技术:
具有集成芯片的塑料卡片一也称为“智能卡”一的使用是普遍公知的。一般来说, 这些卡片向拥有者提供进入仅对有限的圈子、尤其是仅对特定人员开放的区域或者访问仅对有限的圈子、尤其是仅对特定人员开放的数据的可能性。因此,这些卡片具有对该功能是必需的并且因此被看做是敏感数据或秘密数据的数据。这样的芯片卡一般因为这个原因而包含专用数据区域,仅在成功验证之后一例如输入“个人识别号”(PIN)或生物验证一可以访问该专用数据区域,以及包含公共区域,在没有验证的情况下也可以进入该公共区域。但是智能卡还用于对产品和系统进行自动化的配置和个性化。为此将配置数据存放在智能卡的数据存储器中,其中敏感数据以类似方式存放在受保护的专用区域中。US 2001/00 15 19 Al公开了一种场可编程门阵列的安全配置,其中配置数据加密地存储在外部存储器芯片上。US 6 192 436 Bl公开了电子设备的配置,其中配置数据存储在智能卡上。该方案的缺点在该系统应当被完全自动化和没有使用者交互地配置时出现,这例如是因为该系统不提供相应的用于输入PIN的接口,但尽管如此配置数据理应受到保护。这例如在Siemens Hosted kenarien以及BiaB中就是这样,其中事先必须在系统中装配网页服务器,由此可以通过该网页浏览器输入PIN。但是网页服务器的装配又导致必须配置不同的子系统并且为此例如还需要密码和共享的秘密。如果配置数据存储在智能卡的公共部分中,则存在当例如在运输路径上或在顾客环境中丢失该卡时敏感数据会被读出并且泄漏的危险。另一方面出现产品或系统必须被一次性(预)配置、由此才可能相对于智能卡来进行验证的问题。
发明内容
本发明所基于的任务是提供一种方法以及一种装置,它们克服了现有技术的缺点。该任务通过一种根据权利要求1的用于配置电子设备的方法解决,其中在配置的范围内将芯片卡上的第一配置数据的至少一部分输送给电子设备,尤其是终端设备。此外该任务通过根据权利要求10的用于配置电子设备、尤其是终端设备的装置解决,其中在配置的范围内将芯片卡上的第一配置数据的至少一部分输送给电子设备。本发明涉及一种用于配置电子设备、尤其是终端设备的方法,其中在配置的范围内将芯片卡上的第一配置数据的至少一部分输送给终端设备,其中配置数据作为第二配置数据存放在芯片卡上,使得所存储的数据是遵循至少一个第一算法的至少一次混淆 (Obfuskation)的结果。此外,第一算法的至少一部分在该电子设备一侧可被推导出,并且所存储的第二配置数据在设备一侧经过解混淆,使得在知道第一算法的情况下所存储的第二配置数据被重新产生为第一配置数据,并且作为配置所述终端设备的基础。本发明的有利扩展在于,所述推导基于由第一算法使用的、存储在所述终端设备中的第一秘密来进行。由此加重了对未经授权的第三方来说确定数据的实际语义的花费, 因为未经授权的第三方一般不能访问该终端设备或者只能困难地访问该终端设备。优选的,所述第一秘密是加密密钥,尤其是对称的加密密钥。这导致更进一步的花费提高,并由此提高了安全性,因为这样的密钥不能通过简单的猜测而意外地找到,或者不能通过例如在使用名称或(生日)数据时给定的语义关系来推导出来。基于由第一算法使用的第二秘密进行所述推导是有利的扩展,其中如果第一秘密被未经授权的第三方确定或找到,则安装另一屏障。优选的,在此作为第二秘密使用初始化向量。如果在电子设备中实施确定第二秘密的第二算法,则通过不需要任何实例向终端设备分配秘密的方式来提高安全性。只有发行芯片卡的实例牵涉其中。由此减少了对用于截获以及由此解开秘密的攻击地点的提供。该优点尤其是在本发明的方法按照以下方式扩展时起作用,即基于存储在芯片卡上的至少一个信息来确定所述第二秘密。可替换或补充的,本发明的方法可以被扩展为,使得基于芯片卡的至少一个属性来确定所述第二秘密。同样作为替换或补充的,所述第二秘密存储在终端设备上。在本发明的用于配置终端设备的装置中,在配置的范围内将芯片卡上的第一配置数据的至少一部分输送给电子设备,该装置的特征在于具有用于执行所述方法或所述扩展之一的器件,并且由此得出有利的贡献,即提供实现本方法的优点的实施。本发明利用其扩展以有利方式超越了由现有技术公知的解决方案,例如以下解决方案,其中例如敏感数据总是存储在智能卡的专用数据区域中,这虽然提供了最强的保护, 因为在输入成功的验证之后才读取该数据,但是不适于所有的应用场景,或者例如一种其中在智能卡的公共部分中存放临时配置的解决方案,然后该临时配置在成功验证之后被专用部分中的配置所覆盖,但是该专用部分中的配置不能在任何情况下用于所有数据和配置。此外,利用该方案原则上不可能在没有使用者输入的情况下进行自动化的配置。相反本发明的解决方案的实质在于,敏感数据备存放在智能卡的公共区域中,使得该敏感数据通过对数据的混淆而被转换。数据混淆在此表示带着以下目的的数据转换,即使得难以确定语义和数据内容, 但同时获得主要的数据。与该过程相反的过程被合乎逻辑地称为解混淆。由此本发明防止利用目前公知的用于攻击敏感数据的方法从智能卡的公共区域中读出这样的数据。对混淆品质的度量在此是针对解混淆而必需运行的花费。通过根据本发明的扩展来应用加密密钥,其中借助尤其是对称的密钥和/或初始化向量对数据组加密,极大地提高了该花费。
在此,初始化向量根据扩展一方面可以与数据一起存放,或者可以从智能卡的属性中确定。利用该方法混淆的数据存放在智能卡上,而且在不知道密钥的情况下是不能读出的。应当通过所述智能卡得到配置的系统同样具有对称密钥,并且在确定了初始化向量之后可以对该数据解混淆。 本发明的特别有利的扩展是,除了经过混淆的敏感数据之外,尤其是与随机数或者与其它任意数据一起存放其它 数据组。这具有隐藏数据的具体存储地点的有利效果。本发明的其它有利扩展是数据结构的分解或产生,最后可以将多个单个的数据组合成一个数据结构,而且替换或补充的,将较大的数据对象分为多个小的部分。通过改变结构,同样加重了未经授权的第三方进行读取的花费。总之,可以将敏感和理应受到保护的数据存放在智能卡的公共数据存储器中,同时保证能保护数据免遭泄漏。用于诸如配置和个性化的自动流程控制的数据可以存放在智能卡的公共存储区域中,而且尽管如此也可以例如通过由使用者输入PIN来受到保护,而不会对完全自动的流程产生任何限制。本发明解决方案的方法不需要修改或重新构建被大批量进一步处理的智能卡和智能卡读取器,也不需要修改或重新构建使用该智能卡的产品和系统。本发明的固有优点在于,在不知道对称密钥的情况下不能识别经过混淆的数据, 或者只能以极大的时间和资源花费来识别经过混淆的数据。
下面借助在图Ia和图Ib中示出的本发明的实施例详细解释本发明的其它优点和细节。在此示出
图Ia示意性简化了根据本发明方法的实施例和执行该方法的装置的混淆流程。图Ib示意性简化了根据本发明方法的实施例和执行该方法的装置的解混淆流程。
具体实施例方式在图Ia中可以看出简化地作为数据块示出的配置数据,该配置数据在第一步骤 Sl中经过本发明的混淆。根据该实施例这是基于加密密钥以及初始化向量来进行的。这示意性地图示为, 向混淆过程输送数据以及密钥数据和向量数据。作为结果,该过程提供经过混淆的配置数据。这些数据在第二步骤S2中被沉积在智能卡上,其中这些数据存放在智能卡的公共存储器中。在此,可以在第二步骤S2中实现混淆的第二级,该第二级在于分解经过混淆的数据的结构并且将这些数据以不同于初始结构的结构存放在该存储器中。此外,该第二级可替换或补充地可以在于,向经过混淆的数据添加其它数据,该其它数据对配置数据的语义或功能没有贡献,而是应当仅导致进一步造成识别实际内容的困难。在第二步骤S2中被以这种方式操作的智能卡现在可以用作配置的基础。
在配置的范围内,如图Ib示意性示出的,在第三步骤S3中通过输送给其使用目的的智能卡访问所存储的经过混淆的数据以执行配置,并且在解混淆的第一级中提取初始化向量。此后在第四步骤S4中将经过混淆的配置数据以及第二级的初始化向量输送给解混淆过程。此外,为此将加密密钥输送给解混淆过程。该密钥或者已经存储在智能卡上,或者可以替换或补充地一部分或完全地通过被授权人已知的算法借助一对一的卡特性来确定,并且使该加密可逆。在该级结束之后,经过解混淆的数据就提供给执行配置所用。
权利要求
1.一种用于配置电子设备的方法,其中在配置的范围内将芯片卡上的第一配置数据的至少一部分输送给电子设备、尤其是终端设备,其特征在于以下步骤a)该配置数据作为第二配置数据存放在芯片卡上,使得所存储的数据是遵循至少一个第一算法的至少一次混淆的结果,b)该第一算法的至少一部分在电子设备一侧能被推导出,并且c)所存储的第二配置数据。
2.根据权利要求1所述的方法,其特征在于,根据步骤b)的推导基于由第一算法使用的、存储在所述电子设备中的第一秘密来进行。
3.根据上述权利要求之一所述的方法,其特征在于,作为第一秘密使用加密密钥,尤其是对称的加密密钥。
4.根据权利要求2所述的方法,其特征在于,根据步骤b)的推导基于由第一算法使用的第二秘密进行。
5.根据权利要求4所述的方法,其特征在于,作为第二秘密使用初始化向量。
6.根据权利要求4或5所述的方法,其特征在于,对电子设备来说实施确定第二秘密的第二算法。
7.根据权利要求4或5所述的方法,其特征在于,基于存储在芯片卡上的至少一个信息来确定所述第二秘密。
8.根据权利要求4至6之一所述的方法,其特征在于,基于芯片卡的至少一个属性来确定所述第二秘密。
9.根据权利要求4至6之一所述的方法,其特征在于,所述第二秘密存储在所述电子设备上。
10.一种用于配置电子设备、尤其是终端设备的装置,其中在配置的范围内将芯片卡上的第一配置数据的至少一部分输送给电子设备,其特征在于,具有用于执行根据上述权利要求之一所述方法的器件。
全文摘要
本发明涉及一种用于配置电子设备、尤其是终端设备的方法,其中在配置的范围内将芯片卡上的第一配置数据的至少一部分输送给电子设备,其中该配置数据作为第二配置数据存放在芯片卡上,使得所存储的数据是遵循至少一个第一算法的至少一次混淆的结果。此外该第一算法的至少一部分在电子设备一侧可被推导出,并且所存储的第二配置数据在设备一侧经过解混淆,使得在知道第一算法的情况下该第二配置数据被重新产生为第一配置数据,并且作为配置终端设备的基础。此外,本发明涉及一种装置,具有用于执行该方法的器件。
文档编号G06F21/62GK102171700SQ200980138357
公开日2011年8月31日 申请日期2009年9月29日 优先权日2008年9月30日
发明者瓦尔迪克 K., 费舍尔 K., 孔特 K-J., 兰斯迈尔 V. 申请人:西门子企业通讯有限责任两合公司