专利名称:在移动设备和用户模块中存储和访问数据的制作方法
技术领域:
本发明一般涉及在移动设备以及用于这种设备的用户模块中存储和访问数据的技术领域。向用户既提供电信功能(例如,通过电信网络传输语音和/或数据)又提供应用程序(例如,约会日程安排程序或文本编辑器)的移动设备是本发明的优选应用领域。特别是这种移动设备可以配置为功能强大的移动电话或PDA(个人数字助理)。
背景技术:
德国公开申请DE 197 24 901A1公开了GSM(GSM=全球移动通信系统)标准的移动电话。该移动电话包括控制单元、设备存储器、以及用于用户标识模块(SIM)的接口。诸如地址列表、营业额(tumover)数据或价格表的用户数据例如可以通过与计算机连接的线路装载到设备存储器中。也有可能通过线路连接将程序(不作更详细描述)装载到设备存储器中,随后通过移动电话执行它们。数据可以按照保证完整性或加密的形式传输。
当GSM移动电话开机时,通常有一个授权检查,其中用户必须输入个人密码(PIN=个人识别号)。如果正确输入密码,才激活完整的用户界面,其中包括访问存储在移动电话中的用户数据的选项。因此,大多数保密用户数据在一定程度上是安全的。然而,存在一个问题是足够专业的罪犯能够绕开该安全保护。例如,可以使用适当设备以硬件级直接读出移动电话的存储器部件。
如果移动设备还被设置成执行用于处理用户数据的应用程序,则将该用户数据存储在移动设备中是特别有益的。功能强大的GSM移动电话和PDA现在具有此功能性。由于第2.5代和第3代移动设备例如GPRS(通用分组无线服务)、EDGE、UMTS(通用移动电信系统)和WCDMA(宽带码分多路访问)网络设备的高传输速度,可以通过空中接口将应用程序从服务供应商装载和/或更新到移动设备中。
所述移动设备在众多方面为问题所困扰并且需要改进。第一,应有可能防止非授权访问应用程序。因此应确保只有授权用户才可以调用应用程序或者应用程序的单独安全功能。第二,最好能够向用户提供尽可能接近其需求的功能选择。第三,所提供的功能应尽可能与设备无关。
发明内容
本发明的目的是完全或部分解决所述问题。具体而言,本发明应提高防止非授权访问移动设备中的用户数据和应用程序的安全性和保护。在优选配置中,本发明还应提供高度的用户方便性,并且能够节省成本地实现。
根据本发明,该目的通过分别具有权利要求1和10的特征的方法、分别具有权利要求8和17的特征的移动设备以及分别具有权利要求9和19的特征的用户模块来完全或部分实现。从属权利要求涉及本发明的优选配置。
本发明从通过以合适方式分别存储用户数据和配置数据来满足上述安全性要求的基本思想开始。
本发明的第一方面涉及存储用户数据。根据本发明,所述数据以加密的形式存储在移动设备的设备存储器中。至少使用由用户模块提供的对应功能来对用户数据进行解密(并且在优选配置中也进行加密)。
由于移动设备的存储器中的所有用户数据仅采用加密的形式,因此即使非授权用户绕过移动设备的正常用户界面来访问设备存储器的内容,也防止所述数据遭到窥视。可以使用通常相当大的设备存储器来存储用户数据而不关心安全性,从而可以在移动设备中承载较大量的数据和复杂的数据结构。
根据本发明所要存储的用户数据可以是用户期望的任何数据。最好,该数据也可以由运行在移动设备上的应用程序处理,例如,由具有地址簿功能的约会日程安排程序处理的约会和地址列表、例如由电子制表程序处理的商业表、例如由口述记录程序生成的语音数据或者由文本编辑器处理的一般文本。存储对于其在移动设备中没有合适应用程序可用的用户数据也是可取的。在这种情况下,移动设备例如用作在工作场所和总公司之间交换用户数据的安全数据载体。
在优选配置中,加密和解密功能由用户模块的处理器单元来完全或部分执行,其中处理器单元访问包含在模块存储器中的密钥数据。在这些配置中,密钥数据不需要离开用户模块,从而允许获得特别高的安全性。特别是如果密钥数据也在用户模块内生成并写入到模块存储器中,更是如此。然而,也存在这样的本发明配置,其中至少是用户数据的加密以及可选的用户数据的解密由将用户模块所提供的加密和/或解密功能转移给其的移动设备的处理器单元来完全或部分执行。
最好,采用非对称加密方法例如RSA(Rivest-Shamir-Adleman)方法。在这种情况下,密钥数据包括公有密钥和私有密钥。然而,也存在采用对称加密方法的配置。即使在这两种情况下执行相同的计算步骤,但在概念方面,在这些配置中也还是引用“加密和解密功能”。
根据本发明,需要至少用于执行解密步骤的用户模块。由于用户模块和移动设备可以保持独立,因此这本身提供一定程度的保护。然而,在优选实施例中,提供了至少不激活解密功能,直到输入了密码(口令)和/或执行了生物测试例如指纹验证或语音分析为止。通过该措施,即使移动设备和用户模块被误放,也保证了数据安全性。
本发明的第二方面涉及在移动设备中执行应用程序时使用配置数据。该方面基于通过配置数据表示整个应用程序或者应用程序的各个单独功能的可用性的基本思想。该配置数据存储在用户模块中,而应用程序包含在移动设备中。只有或者在某种程度上由配置数据表明,才执行应用程序。
根据本发明的内容提供防止非授权执行应用程序或单独程序功能的保护,因为除了移动设备之外,还总是需要带有相应的允许程序执行的配置数据的用户模块。本发明还创建了用于提供按照用户的需要精确剪裁的程序配置的技术基础。特别是如果使用该程序要根据所提供的功能支付费用,例如在采用ASP方案(ASP=应用服务提供)的情况下,这是重要的。由于根据本发明将配置数据存储在用户模块中,因此用户可以简单地通过插入用户模块来设置他在任何兼容移动设备中所期望的配置。
具体而言,在此所用的术语“应用程序”是指对于上述用户数据执行数据处理功能的程序。如果移动设备是带有电信功能的设备,则应用程序最好独立于这些电信功能,或者至少还可以用于其他目的。典型应用程序的例子包括约会日程安排程序、地址簿、文本编辑器、电子制表程序、数据库、口述记录程序等。在此所用的术语“应用程序”还包括仅为上述或类似应用提供用户界面的程序(同时,通过ASP提供商的服务器执行实际数据处理)。在一些配置中,还提供了用于按照格式化的方式显示文档的浏览器和查看器作为应用程序。然而,应用程序也可以是例如采用MP3格式的多媒体内容的回放程序。
为了还提高防止非授权执行应用程序的保护,配置数据的读出最好由密码和/或生物测试例如语音或指纹分析来保护。在这种情况下,只有用户通过密码和/或其生物数据提供了其身份的足够证据,用户模块才给出配置数据,从而允许执行相应应用程序或相应程序功能。
根据本发明的功能性也可以与包含一个或多个固定存储的应用程序的移动设备一起使用。然而,配置数据最好也用来控制将应用程序或至少其部分装载到移动设备中。具体而言,在包括强大的无线数据传输功能的移动设备中,可以通过空中接口从外部服务供应商装载应用程序或所需程序模块。该选项与ASP方案相结合是特别有利的。如果用户可以简单地通过在任何兼容移动设备上使用用户模块来开始自动装载对应于其配置的所需应用程序,则对于用户将方便得多。非专有的应用程序装载通过采用与计算机平台无关工作的编程语言例如采用Java来支持。
本发明的所述两个方面的组合是特别有利的,因为这提供防止非授权访问用户数据的保护和防止非授权执行应用程序的保护。
在上述两个方面的优选配置中,移动设备是电信设备,特别是具有电话功能的移动电话或个人数字助理(PDA)。用户模块最好是登录到电信网络中所需的用户标识模块(SIM)。特别是可以作为所谓的可信设备或防篡改设备而提供防止操纵保护的用户模块,从而保护加密和解密功能、或者加密数据或者保密配置数据以防止其遭到窥视。即使移动设备没有任何电话功能,或者用户标识模块没有向电话提供商登记过,也可以使用该模块,因为这种模块是批量生产的,因而可以较便宜地获得它们。
最好还开发出具有与上述特征和/或在从属方法权利要求中引用的特征相对应的特征的移动设备和用户模块。
通过下面对本发明实施例和多个替换配置的详细描述,本发明的其它特征、优点和目的将显现出来。参照附图,其中,图1示出根据在此所述的本发明实施例的系统的基本功能单元的方框图。
具体实施例方式
图1示出通过接口14相互连接的移动设备10和用户模块12。在本实施例中,移动设备10配置为功能强大的移动电话,该电话提供用于电话服务的GSM标准和用于数据传输服务的GPRS标准的电信功能。用户模块12相应地配置为SIM卡,该卡插入到移动电话中或者固定安置于移动电话中。移动设备10能够通过空中接口16访问相应电信网络18。在替换配置中,移动设备10根据诸如UMTS的增强型移动电话标准来配置,并且/或者配置为个人数字助理(PDA),它还可以是支持多媒体的。
采用本质上公知的方式,移动设备10包括高频部件20,它通过天线22发送和接收无线电波。数字信号处理器(DSP)24用来处理发送或接收信号。数字信号处理器24还处理通过低频部件26引导到扬声器28、或者从麦克风30通过低频部件26发送到数字信号处理器24的低频信号。处理器单元32协调发生在移动设备10中的所有操作。处理器单元32连接到接口14、数字信号处理器24、在此配置为支持图形的LCD显示器的显示器34、键盘36以及设备存储器38。设备存储器38可以采用固定安装或可移动的方式-例如采用存储卡的形式配置。
设备存储器38通过采用各种存储器技术的多个半导体芯片实现。在图1的概念图中,设备存储器38包括只读区域40(例如,实现为掩码编程ROM)和例如实现为RAM、EEPROM或闪存的可写区域42。具体而言,设备存储器38的只读区域40包含作为移动设备10的基本操作系统以及用于实现电信功能而由处理器单元32执行的操作系统44。应用程序46和用户数据48装载到可写区域42中。
作为应用程序46的例子,图1示出约会日程安排程序46.1(具有地址簿功能)和文本编辑器46.2。图1还示出约会日程安排程序46.1的约会和地址列表48.1以及文本编辑器46.2的信件48.2作为用户数据48。应用程序46由处理器单元32执行,并且访问用户数据48。用户数据48以加密形式存储在设备存储器38中,如图1中的阴影线所示。
用户模块12配置为电信网络18的SIM(用户标识模块),并且接口14也在机械和电气上对应于为该电信网络18提供的标准。用户模块12包括处理器单元50,它配置为微控制器,并且与模块存储器52一起集成在单个芯片上。模块存储器52通过各种存储器技术再分为只读区域54和可写区域56。
模块存储器52包含控制程序和数据,它们首先提供用户模块12的基本操作系统功能,其次允许移动设备10对于电信网络18的登录和电信操作。为简洁起见,这些控制程序和数据没有在图1中单独示出。模块存储器52的只读区域54中的密码功能58以及可写区域56中的密钥数据60和配置数据62具体相关于在此所述的本发明实施例的各方面,因此在图1中示出。
密码功能58包括加密功能64、解密功能66和密钥生成功能68。密钥数据60分为公有密钥70和私有密钥72。配置数据62包括在移动设备10中提供的每个应用程序46的对应配置数据记录,即在这里所述的实施例中为约会日程安排程序46.1的配置数据记录62.1和文本编辑器46.2的配置数据记录62.2。
工作时,图1所示的系统提供与各个标准,在本例中为GSM和GPRS相对应的传统电信功能。另外,用户可以启动应用程序46,并且采用该应用程序处理用户数据48或其它数据。
为了提供应用程序46,当移动设备10开机时,或者最晚当用户希望启动应用程序46时,移动设备10访问用户模块12中的配置数据62。该访问通过用户模块12的处理器单元50来发生,在它允许访问之前,这又要求输入密码。在移动设备10的显示器34上显示密码请求,并且用户通过键盘36输入相应密码。处理器单元50检查所输入的密码是否正确。
如果用户输入了正确密码,则用户模块12将所请求的配置数据62(所有配置数据62或者仅仅为各个应用程序46.1、46.2提供的数据记录62.1、62.2)传输到移动设备10。然后,处理器单元32根据所传输的配置数据62即62.1、62.2,检查执行应用程序46或特定请求的应用程序46.1、46.2是否是准许的。如果是,则允许程序执行。
如果所需应用程序46.1、46.2已经位于设备存储器38中,则可以立即启动该程序。否则,通过空中接口16和电信网络18从ASP提供商的服务器那里将可能收费的所需程序或用户数据装载到设备存储器38中。该下载过程也必须被担当所谓看门人的用户模块12授权。即使所需应用程序46.1、46.2已经包含在设备存储器38中,也可以通过空中接口16向ASP服务提供商发出请求,以首先传输结帐数据,其次将可能可用的任何程序更新导入到移动设备10中。
在这里所述的实施例中,配置数据62不仅涉及基本用户授权,而且涉及应用程序46的优选设置例如预设文件路径、语言设置、菜单配置和其他用户偏好。这些设置使得可被启动的应用程序46访问,从而用户总是采用他所期望的程序配置工作。即使用户将他的用户模块12连接到新的或不同的移动设备10,也是如此。
如果应用编程接口(API)变得足够标准化,如在中期采用编程语言Java所期望的那样,则ASP提供商将能够提供针对每个用户单独剪裁并且与所使用的移动设备10无关的应用程序服务。还将获得高级别的安全性,因为只有存在用户模块12并且输入了密码,才可以调用所有应用程序46。为了防止误用移动设备10,在它开机时(用户输入了密钥之后)被盗的情况下,可以提供在用户在预定长度的时间内不活动之后,请求重新输入密码,这如同例如未使用的办公计算机的屏幕保护程序,它在本质上是公知的。
在到此为止所述的实施例中,应用程序46被认为是授权机制以及可选地通过空中接口16的装载过程的最小单元。然而,取决于所采用的编程技术,也可以采用更精细级别的粒度。因此,配置数据62可以涉及例如授权用户执行单独程序功能或单独程序模块,并且如果需要,可以通过空中接口16单独装载这些程序功能或程序模块。首先,该方法可以避免长的装载时间,其次允许按照用户偏好进行更精确的剪裁。另外,在通过空中接口16更新应用程序46中,最好只传输相对于已经在移动设备10中的版本实际上已发生变化的程序模块。
由应用程序46处理的用户数据48完全或至少部分以加密形式存储在设备存储器38中。例如,可以向用户提供用于存储用户数据48的文件系统,其中选择性地设置单独文件夹或单独驱动器以进行加密或非加密数据存储。不采用用户模块的固定办公计算机的类似功能由来自制造商NetworkAssociates,Inc.的产品PGPdisk公知。
如果应用程序46要将用户数据48存储在为加密而提供的文件系统区域中,则该数据通过接口14从处理器单元32传输到用户模块12。用户模块12的处理器单元50执行加密功能64,其中使用包含在密钥数据60中的公有密钥70。加密用户数据48通过接口14和处理器单元32写入到设备存储器38中。
以加密形式存储的用户数据48以对应方式被访问。在此同样,用户模块12的处理器单元50使用解密功能66和私有密钥72执行实际解密。然而,在此之前,处理器单元50请求用户输入口令。只有在键盘36上输入了正确口令(或者用户以另一种方式通过生物测试被正确识别)时,才激活解密过程。
在这里所述的实施例中,根据非对称RSA方法来执行加密和解密。相反,在替换配置中,提供其他非对称或对称加密和解密方法或者其混合形式例如使用非对称加密密钥的对称加密。在对称方法中,不需要区分公有密钥70和私有密钥72。
总而言之,所提出的技术确保只有授权用户的用户模块12连接到接口14并且用户正确地标识了自己-例如通过使用口令,才可以读出或使用加密的用户数据48。
在本实施例中,整个加密和解密过程由用户模块12的处理器单元50执行,密钥数据60从不离开用户模块12。然而,存在这样的替代配置,其中将不需要保密的加密功能64和公有密钥70转移到移动设备10,从而可以由通常功能更强大的移动设备10的处理器单元32来执行加密过程。在一些替代配置中,倘若私有密钥72的安全性没有因此受到损害,则处理器单元32也可以用于解密过程。
在本实施例中,也由用户模块12的处理器单元50执行的密钥生成功能68用来生成密钥数据60。采用本质上公知的方式,该程序计算一对公有密钥70和私有密钥72。该措施确保特别高的数据安全性,因为即使正在生成密钥时,私有密钥72也不离开用户模块12。
在此所述的实施例既不限于用户数据48的单个加密区域,也不限于单个加密方法。假设通过口令提供了适当的身份证据,则加密区域可以随时被无效,从而可以被自由访问。该区域也可以再次采用相同或不同的用户模块12进行加密。还可以建立和管理可选地采用不同密钥对和/或具有不同大小的多个加密区域。
在特别是提供ASP提供商的本配置中,除了存储在移动设备10中之外,加密用户数据48还可以通过空中接口16传输到ASP提供商的服务器,并且存储在那里。每次应用程序46执行写入访问,或者如果用户会话结束,或者如果用户明确地请求,则可以同步存储在两端的用户数据48。然后,用户一方面可以快速访问本地存储的用户数据48,另一方面独立于所使用的移动设备10,因为他也可以使用任何其他移动设备检索ASP提供商存储的用户数据48。
在一些配置中,还可以提供将密钥部件寄存于网络运营商或ASP提供商。在移动设备10成功登录到电信网络18中之后,通过空中接口16传输该密钥部件,从而网络运营商或ASP提供商与用户共享存储在移动设备10中的特定用户数据48的控制。
权利要求
1.一种用于在移动设备(10)、特别是移动电话或个人数字助理中存储和访问用户数据(48)的方法,该移动设备(10)包括设备存储器(38),并且通过接口(14)连接到用户模块(12),其特征在于-用户数据(48)至少部分以加密形式存储在该移动设备(10)的设备存储器(38)中,以及-使用由所述用户模块(12)提供的解密功能(66)在访问操作中执行至少用户数据(48)的解密。
2.根据权利要求1所述的方法,其特征还在于,使用由所述用户模块(12)提供的加密功能(64)在存储操作中执行用户数据(48)的加密。
3.根据权利要求1和权利要求2所述的方法,其特征在于,所述用户模块(12)包括模块存储器(52),其中包含由用户模块(12)提供的加密和解密功能(64,66)以及由这些功能(64,66)使用的密钥数据(60),并且其特征在于,由用户模块(12)的处理器单元(50)至少部分执行该加密和解密功能(64,66)。
4.根据权利要求3所述的方法,其特征在于,由所述用户模块(12)提供用于产生密钥数据(60)和用于将密钥数据(60)写入到模块存储器(52)中的至少一个功能(68)。
5.根据权利要求1至4中的任一项所述的方法,其特征在于,至少解密功能(66)的执行由密码和/或生物测试保护。
6.根据权利要求1至5中的任一项所述的方法,其特征在于,所述移动设备(10)是还被设置用于电信功能的设备。
7.根据权利要求1至6中的任一项所述的方法,其特征在于,所述用户模块(12)是还被提供用于登录到电信网络(18)中的用户标识模块。
8.一种移动设备(10),特别是移动电话或个人数字助理,该移动设备(10)包括设备存储器(38)和用于连接用户模块(12)的接口(14),其特征在于,-用户模块(12)的加密和解密功能(64,66)是可以通过接口(14)调用的,以及-设备存储器(38)包括至少一个用于存储加密用户数据(48)的区域,该区域被设置为使用用户模块(12)的加密和解密功能(64,66)对其进行写入和读取。
9.一种用户模块(12),特别是用于电信网络(18)的用户标识模块,该用户模块(12)被设置为与根据权利要求8所述的移动设备(10)合作,执行根据权利要求1至7中的任一项所述的方法。
10.一种用于在移动设备(10)、特别是移动电话或个人数字助理中存储和访问配置数据(62)并且执行至少一个应用程序(46)的方法,该移动设备(10)包括用于应用程序(46)的设备存储器(38),并且通过接口(14)连接到包括模块存储器(52)的用户模块(12),其特征在于,-所述配置数据(62)至少涉及应用程序(46)或其单独功能的可用性,以及-所述配置数据(62)存储在模块存储器(52)中,并且从中读出,从而判定是否或者以什么程度执行应用程序(46)。
11.根据权利要求10所述的方法,其特征在于,从模块存储器(52)读出配置数据(62)由密码和/或生物测试保护。
12.根据权利要求10和11中的任一项所述的方法,其特征在于,根据配置数据(62)将至少一部分应用程序(46)装载到设备存储器(38)中。
13.根据权利要求10至12中的任一项所述的方法,其特征在于,移动设备(10)是还被设置用于电信功能的设备。
14.根据权利要求12和13所述的方法,其特征在于,使用移动设备(10)的至少一个电信功能将至少一部分应用程序(46)传输到设备存储器(38)中。
15.根据权利要求10至14中的任一项所述的方法,其特征在于,用户模块(12)是还被提供用于登录到电信网络(18)中的用户标识模块。
16.根据权利要求10至15中的任一项所述的方法,还具有根据权利要求1至5中的任一项所述的方法的特征。
17.一种移动设备(10),特别是移动电话或个人数字助理,该移动设备(10)包括用于应用程序(46)的设备存储器(38),并且通过接口(14)连接到包括模块存储器(52)的用户模块(12),其特征在于,-可以通过接口(14)从模块存储器(52)读出配置数据(62),该数据至少涉及应用程序(46)或其单独功能的可用性,以及-所述移动设备(10)设置成根据从模块存储器(52)读出的配置数据(62)判定是否或者以什么程度执行应用程序(46)。
18.根据权利要求17所述的移动设备(10),其设置成与用户模块(12)合作执行根据权利要求10至16中的任一项所述的方法。
19.一种用户模块(12),特别是用于电信网络(18)的用户标识模块,用户模块(12)设置成与根据权利要求17所述的移动设备(10)合作执行根据权利要求10至16中的任一项所述的方法。
全文摘要
本发明涉及一种用于在与用户模块(12)连接的移动设备(10)中存储和访问有用数据(48)和配置数据(62)的方法。根据本发明的第一实施例,有用数据(48)的至少一部分以加密的形式存储在移动设备(10)中,并且当访问数据时,使用用户模块(12)的解密功能(66)进行解密。根据本发明的第二实施例,配置数据(62)存储在用户模块(12)中。配置数据(62)表示应用程序(46)是否和以什么程度可以由移动设备(10)执行。本发明提高了移动设备(10)中有用数据(48)和应用程序(46)的安全性以及防止非授权访问它们的保护。
文档编号H04W8/22GK1600039SQ02824299
公开日2005年3月23日 申请日期2002年12月2日 优先权日2001年12月4日
发明者约切恩·基尔希, 拉尔夫·克拉森, 斯蒂芬·埃卡特 申请人:德国捷德有限公司