专利名称:数据流的安全保护方法
数据流的安4^护方法本发明的目的是提供一种数据流的安全保护方法。本发明涉及电子处理终端领域,更具体地,涉及智能移动终端领域。这里,术语"智能移动终端"应理解为指第二代或高于第二代的移 动电话。引申开来,移动终端为通过网络通信且可在无协助的情况下由人 携带的任何装置。因此该类别至少包括移动电话、个人数字助理和l更携式 计算机。这些智能终端能够实施无论何种应用。在以下的说明中,将借助 于移动电话来描述本发明的优选的应用。以下,术语"终端"将对应于移 动电话,同时适用之前的定义。本发明的目的是使终端进行的通信安全化。本发明的另 一 目的是使 终端通信的安全管理容易、可靠。本发明的再一目的是能够容易地将终端群的通信安全管理委托给终 端群的管理器,同时^f吏该管理器能够定位在它的终端群的每个终端处的元件或者针对它的终端群的一组终端和仅针对该群的元件。在现有技术中,不存在对终端或终端群的通信安全进行简单管理的 装置。 一旦终端被^到使用中,则其将完全取决于它的使用者的行为。在本发明中,这个问题通过在终端上植入一本地代理服务器来解决。 该代理服务器处理该终端的至少一个输入流和输出流,所述处理通过对这 些流施加代理服务器的配置存储器存储的处理来执行,这些处理操作通过 一个或多个特定于应用的软件程序来进行。因此有可能例如通过对这些流 进行加密、或者通过在句法或语义层面分析这些流的内容,或者是搜索二 元图或恶意的代码签字的出现以防止截获或入侵,从而对这些流进行安全 保护。在本发明的一种变型中,该代理服务器也可保护终端的组成部分之 间的数据流,而不管这些组成部分是软件組成部分(如观看视频的软件程 序或文字编辑器)还^l:硬件组成部分(例如可以通过一系列物理地址以及 通过一 系列物理地址和一 中断类型寻址系统或检索手段识别的存储器), 以及一般的可通过终端的操作系统识别和检索的任何拓朴结构的组成部 分。该代理服务器通过允许或不允许对以下内容的全部或部分的复制、移动、或者读、写、重写的访问操作使这些数据流安全化所述内容包括一 条数据、数据文件,或一组可对应于一软件程序或软件程序或操作系统的 全部或部分的一组二进制文件。在本发明的一种变型中,该代理服务器还 负责将这些数据或数据文件安全化或未安全化地储存到终端中,并且可以 指令使用加密和/或编码/压缩。在本发明一种变型中,代理服务器和它的配置存储器被记录在一微电路卡上并#:安全化以确保该配置存储器不被破坏。在本发明中,术语"协议"按其公认的意义来理解,即其用于在两 个不同机器之间在同一抽象层上进行通信。该术语"协议,,还可延伸为用 于指定在同一终端上的两层之间或终端与微电路卡之间建立的通信规则。 在本发明中,"协议" 一词可与不同通信层之间的一系列协议(通常意义 上的协议堆栈)和执行所述协议的软件程序不加区别地使用。在本发明优选但非限定性的实施例中,"协议,,一词嚢括了 TCP/IP、 IPv4、 IPv6、 IPsec、 SIGTRAN堆栈、2、 3、 4、 5层以及更高层的一套服务等级。引用以下协议 对上述协议进行举例说明,所述例举并非是限制性的MPLS、 PPP、 ATM、 IP、 ARP、 ICMP、 BGP、 0SPF、 L2TP、 RTP、 SRTP、 SCTP、 TCP、 UDP、 TCAP、 FTP、 IRC、 SSH、 SSL和TSL、 HTTP、 IMAP、 P0P3、 SMTP、 Telnet、 SIP、 H323。在该优选实施例中,IP领域的协议通常通过目的端口号来在技术 上进行识别。发明内容因此本发明的目的提供一种对电子终端(101)发出的数据流进行安 全保护的方法,该安全保护通过寄存在插入该电子终端中的微电路卡中且 在该微电路卡中执行的代理服务器(SD) (115 )获得,其中,所述方法包 括由该终端执行的以下步骤—在该微电路卡的配置存储器中记录代理服务器的配置(201), 一 组终端或终端群的更新该配置存储器的权限排他地专属于终端群之间的 作为群管理器的单个实体;—在协议配置存储器中记录迫使针对至少 一协议的每个数据流使用
代理服务器的M ( 202 );一针对被参数化以被提交给代理服务器的每个协议的每个数据流, 通过该^^理JJ艮务器的配置应用规划用于该流的处理(204-206 )。在一种变型中,本发明的方法的特征还在于,通过专用的特定于应 用的程序来实现该规划的处理。在一种变型中,本发明的方法的特征还在于,通过连接至该代理服 务器的专门的服务器来实现该规划的处理。在一种变型中,本发明的方法的特征&在于,通过更新步骤(213) 对该配置存储器进行更新,该更新步骤在远程连接到包括该配置存储器的 终端的步骤之后。在一种变型中,本发明的方法的特征还在于,通过更新步骤(213) 对该配置存储器进行更新,该更新步骤在本地连接到包括该配置存储器的 终端的步骤之后,该连接步骤可能需要对用户认证的过程。在一种变型中,本发明的方法的特征还在于,写入该配置存储器的 步骤是以对请求更新该配置存储器的发送者的权限的验证的步骤(212 ) 的确i人为务降的。在一种变型中,本发明的方法的特征还在于,根据与建立的用于更 新该配置存储器的方法相同的方法更新负责规划用于由代理服务器的配 置标识的每个流的处理操作的应用程序,其中,该更新可被限于4吏用使用 所述应用程序的工作所需的同步或异步技术下载密码密钥。在一种变型中,本发明的方法的特征还在于,该代理服务器通过插 入电子终端的微电路卡实施。在一种变型中,本发明的方法的特征还在于,规划用于每个参数化 协议的每个数据流的处理考虑有关使用时间的信息。在一种变型中,本发明的方法的特征还在于,规划用于每个参数化 协议的每个数据流的处理操作考虑终端的地理位置知识。在一种变型中,本发明的方法的特征还在于,规划用于每个参数化 协议的每个数据流的处理操作考虑有关处理的最后的流的信息。在一种变型中,本发明的方法的特征还在于,专用于 见划的处理
的特定于应用的程序可被下载到微电路卡上,或者,如果这些程序已经驻 留在微电路卡上,则可将其激活。在一种变型中,本发明的方法的特征还在于,具有可应用于该群的 不具有任何特定配置的任何新的终端的缺省的安全配置。从以下的说明书和附图种可更好地了解本发明。这些附图仅用于说 明的目的,而决非用于限制本发明的范围。
图1示出实施本发明的装置;图2示出根据本发明的方法的步骤。
具体实施方式
图l示出移动终端101。为进行说明,在一实例中,可将终端101视 为移动电话。终端101包括通过总线103与程序存储器104连接的微处理器102。在该说明中,如果一动作归属于一装置,则该动作实际上是由该装 置的微处理器来实现的,该装置的处理器被在该装置的程序存储器中记录 的指令代码控制。类似的,如果一动作归属于一应用/程序,则该应用/ 程序实际上对应于记录在装置的程序存储器中的实施该应用的一系列指 令代码。这一系列指令代码由所述装置的微处理器来执行。终端101还具有在总线103与天线106之间的接口电路105。电路 105实现总线103的信号与通过天线106接收/发送的信号之间的转换。 因此这些电路是使终端101能够在采取基站形式的移动电话网107中进行 通信的无线电接口。通过这些电路105和移动电话网107,终端101能够 在互联型网络108上进行通信,且因此能够与连接到该网络108的任何服 务器或终端取得联系,或者连接到该网络108的任何服务器或终端能够与 该终端101取得联系。终端101还具有网络配置存储器109,这里更具体地为TCP/IP通信 配置存储器。该配置包括至少一个参数M,该^lt指示是否有必务使用针
对电话的输入流/输出流的网关。在本发明的情况下,参数M与代理服务 器或代理的IP地址相同。根据本发明,该地址优选为本地IP地址或本地 主机,例如,对于IPV4协议,其为127.0.0.1,或者在以太网协议的情 况下为虚拟以太网地址(环回)。这意味着才艮据本发明,所有的输入流/ 输出流均将被代理服务器处理。网关也可以被标识特定的命名或名称转让,在名称解析期间由所述 电话的IP堆栈直接进行处理,例如使用"sc"或"simcard (SIM卡)" 类型的前缀而非通常用于浏览网页的"www"。例如,进入地址 "cartesim. sfr, fr,,或"cartesim.www.sfr.fr,,而不是www, sf r. f r使 终端的IP堆栈能够获知有尝试企图通过前缀"cartesim,,或"simcard" 通过由在移动电话的配置文件层识别的本地代理服务器进入网站 爾.sf r. f r。在这种情况下,该请求被直接发送到本地代理服务器。在本 发明一变型中,该命名技术使得能够在电话处对若干代理服务器寻址,每 个代理服务器配备有其自己的配置文件和/或服务器以及专用应用程序, 用于处理特定于被传输的流的操作。这里将会理解到,代理服务器实际上是由终端101的微处理器执行 的程序。图l还示出了终端101包括微电路卡110。 ^:电路卡110包括微 处理器111、程序存储器112和与总线103连接的接口电路103。元件 111-113通过总线114互连。存储器112为层状结构,以便能够隔离微处理器111执行的应用。该结构例如为实现安全域的概念的纯软件结构。安全域在移动电话 的^Mt系统层或在操作系统的上层限定。该上层例如是Java类型的虚拟 机的,或者是用于4皮称为GlobalPlatform (爾.globalplatform. org ) 的芯片卡的多应用系统的。安全域包括至少 一个被划分为程序区和数据区的存储区。开发系统 或上层的机制保证安全域的程序区的指令代码只能访问该安全域的数据 区的数据。对安全域的访问进一步^f皮一组密钥保护。由此存在若千与安全 域相关的密钥。因此该技术领域引入密钥组(keyset)的概念参与安全域 的保护,这些密钥的每一个根据安全域的安全化的需要被专用作一高精确 的安全角色或功能。以下所列的安全密钥或功能并非穷举,但是,为域的 安全,可以根据所考虑的域的安全需要在同一密钥组内使用几个密钥。由
此,可以有一个密钥用于实例化安全域内的服务, 一个密钥用于启动这些 服务, 一个密钥用于授权对这些服务的访问, 一个密钥用于加密与这些服 务的通信,以及一个密钥用于修改安全域内的这些参数,即改变所述域的 数据区的内容。只有获知正确的密钥或获知得到正确密钥的方式才有可能 采取期望的动作。根据执行的密钥的管理模式,可以有用于域的一个专用 密钥组,针对一组微电路卡,或者可以有用于域的一个专用密钥组,被标 识用于所考虑的一组微电路卡的每一个。这些机制确保了在基础的操作系统进行适当的隔离时,在不同安全域之间的数据的充分的区分或隔离(含有"防火墙"或Java "沙箱"的 概念)。在 Java 芯片卡领域(JavaCard )和"全球平台,, (http: 〃諷globalplatform. org )的背景下,安全域的概念由此被提 出。该软件应用的 一种替选形式包括模拟安全域的工作的专用芯片卡的 使用。因此在一优选实施方式中,存储器112具有安全域,该安全域包括 与根据本发明的代理服务器相对应的指令代码以及首先与代理服务器的 配置相对应,其次与可选模块相对应的数据。模块为包括与代理服务器的 功能相对应的指令代码的存储区。由于其包括在安全域115中,代理服务器及其数据区都受到密钥组 的保护。于是,该密钥组的密钥仅为向使用终端101的用户提供安全性服 务的操作者所知。以下,将安全域115与代理服务器本身视为同一。实际上,该安全 域至少包括与代理服务器对应的指令代码以及代理服务器的配置数据。在可能的模块117中,可以至少举出根据输入连接的源地址或目的 和源端口而针对这些输入连接的保护,根据输出连接的目的地址或目的和 源端口对这些输出连接的过滤、防病毒、句法和语义检查应用,通过建立 虚拟私有网(VPN)建立安全的连接,所述虚拟私有网可能使用、也可能 不使用简单的或相互的认证被加密,对发送/接收的数据等(该列举并非 穷举)的加密/解密,以及需要用于传递以上列出的服务的不同密码密钥 或电子i人证的建立和管理。
安全域112的数据116至少包括一个表117,该表被用于使流117a 与代理服务器的行为117b相关联。数据流具有网络上下文的特征,在IP通信的情况下,网络上下文至 少包括IP地址和端口号。才艮据一种具体的方式,数据流也可以通过两个 IP地址(源和目的)、两个端口号(源和目的)和一个协i义标识符(目的 端口 )来识别。通常使用的术语为使流能够被识别的五元法(quintuplet )。 还可相对于时间概念或地理位置的概念来描述对数据流的处理操作的特 征。例如当移动终端位于国外时,或者当期望在开放时间之外进行高度保 密的数据的通信时,在开放时间之外表示此时没有人收集或处理该数据, 实际上必须能够有可能禁止某些敏感的数据流。在一种变型的实施中,数据流通过终端内的源和目的来表征存储在终端或软件或硬件组成部分内的一组数据文件和待被执行的操作(以 下列举并非穷举)读、写、复制、破坏、补充、增加、带有或不带有密钥指示的加密/解密、解压缩,以及通常对数据文件进行的所有操作。行为通过存储器117中的模块标识符和用于该模块的^t来表征。由此,存储器117的每一行使流与对该流的行为相关联。图2示出用于记录代理服务器的配置的步骤201。在该步骤,由知晓 域115的更新密钥的操作者对表117进行更新。终端101通过网络108 或终端101的另一接口 (未示出)接收更新消息。这些消息包括至少一个用于更新存储器117的指令代码和用于该更 新的数据。可以通过使用密钥组的专门密钥来签署该更新信息。这使得该 卡能够mst该更新消息的有效性,使其源(授权)能够检查其完整性或者 能够检查该卡为该消息的正确接收者,且在该消息有效的情况下对其进行 考虑。考虑更新消息意味着使用该更新消息来更新表117。这里,说明本发明的实用性的第一点。实际上,对于终端群的管理 器,有可能在中央服务器上针对终端群的每个终端规划安全配置。由此, 中央服务器具有使用户与密钥组和安全配置相关联的数据库。当修改安全 配置时,服务器利用数据发出安全配置消息,由此发出一终端的微电路卡 的密钥组的相关权限,该终端被认为是其安全配置已在中央服务器上被改 变的终端的。
在一种变型中,中央服务器可管理一套可被装入卡的安全域中的一 套特定的应用程序,以执行特定于某些流的处理操作。由此,有可能设想 用于每个终端的这些应用程序的定期更新,下载或激活已驻留在该终端或 多个终端的这些应用程序,根据所述终端的用户简档和该终端的变化的敏 感应用将已特定的安全配置推入终端。在本发明的一种优选变型中,存在一缺省的安全配置,该缺省的安全配置^L施加于该群的任何不具有特定配置的新终端上。还有可能定义终 端组。对该组的安全配置的修改促使与在该组中具有的终端的个数一样多 的配置消息的发送。步骤201实际上可以在任何时刻进行,由此,使得也可能通过非常 严格的规则阻断终端的通信。图2还示出记录存储器109的配置的步骤 202。该配置步骤至少包括记录本地代理服务器的地址。该配置具有使终 端101的所有的输入流和输出流均被本地代理服务器处理的效果。在本发明的一种优选变型中,代理服务器由一微电路卡实施。技术 的^A使这一点是可行的,其使得微电路卡可以通过被称为BIP (独立于 承载的协议)技术的新的卡技术直接访问终端的通信资源。该技术使微电 路卡能够以高比特率访问网络。就本发明的实施而言,该实施例带来了附加的保证。实际上,网络 107能够根据流来自微电路卡还是直接来自终端来识别流的源。在应用本 发明的环境下,在一优选变型中,网络107被配置用于拒绝不是来自微电 路卡的流。该配置是选择性的,且可以仅涉及给出的终端列表。在本发明的另一种变型中,对存储器109的配置要经过密码的有效 性验证,从而防止避开代理服务器。由此,合理地保证了该终端101的所有输入流/输出流都被卡110实 现的代理服务器处理。在本发明一优选变型中,卡110是一移动电话操作者的SIM/USIM(用 户识别模块)卡,移动电话操作者由此也是安全操作者。在该变型中,对 移动网,作者而言,管理并控制其自己的SIM/USIM卡以将某些密钥组 的值委托给客户实体是简单的,其中,所i^户实体为大量的SIM/USIM 卡的用户(这引出大帐户的概念)。这些大帐户然后管理终端群和 SIM/USIM卡,并且可以实现作为他们的移动群的管理者的实体。对于
些大帐户中的每一个,该群管理器只能通过由操作者使该群管理器可用的密钥组访问SIM/USIM卡和操作者授权的域。使密钥可用的处理可以采取 不限定本发明范围的若干形式可以是其终端群的该组密钥組的值的简单 的安全转移,通过其访问当然是受保护的操作者的网页类型服务平台的委 托机制,甚至是在操作者控制下的在非对称密码基础上的集成到 SIM/USIM卡/终端内的委托机制。该大帐户群管理器然后可以通过使用缺 省的安全策略以及通过根据它的群的某些敏感简档建立的特定安全策略 容易且可靠地管理其一些卡/终端的每一个的缺省的安全策略。在另一变型中,其为微电路卡,该微电路卡可能是专用的,或者可 能不是专用的,或者在未实现微电路卡的情况下其例如为位于存储器104 中的程序。然后,终端101 iiX到等待步骤203,其中,过程对必须管理终端 101且将它们的管理分配到正确任务的事件进行监测。在这种情况下,终 端101表现为任一多任务系统。在步骤203,如果检测出已发送数据流,则终端根据存储器109的配 置将控制移交给本地代理服务器。在步骤204,以下标记为代理的本地代理服务器负责流的管理。因此 动作归属于这里与卡110视为同一的代理。在实际应用中,卡110还有其 它功能。在本发明的一种变型中,步骤203通过操作系统来执行,该操作系 统检测出爽:据文件的最终系统将经历终端处的处理,该操作系统然后识别 数据流的类型,并且在步骤204将这些信息以及数据流提交至代理服务 器。代理服务器然后应用被标识用于表117中该类型流的处理操作,并转 到步猓205,对数据文件实施这些处理操作,然后使他们可为终端内的预 期的接收者可用。在步骤204,代理根据终端101传递给它的信息识别待处理的数据流。 为了描述的需要,该数据流被以包括对该数据流的描述和该数据流的数据 的一系列消息的形式提交给该代理。对该数据流的描述至少包括网络(这 里为IP网络)上的一个地址,以及端口标识符和/或协议标识符。在本发明的一种变型中,代理知晓终端的本地时间,且一旦对该数 据流施加处理操作就考虑这一信息。
在本发明的一种变型中,代理知晓终端的地理位置,且一旦对该数 据流施加处理操作就考虑这一信息。
对该数据流的这种描述使代理能够在表117中进行搜索。在步骤204, 代理者在表117中进行搜索,寻找列117a相应的字段值与描述该数据流 的值相等的行。因此必须在列117a中对IP地址和端口/协议标识符的进 行搜索。
如果搜索成功,则代理转到步骤205,实施与在步骤204找到的行对 应的动作。否则,即如果搜索不成功,代理转到步骤206,发送该流。
这里应注意,存储器117可包括描述代理的缺省行为的行。该缺省 行为可能是高限制性的,即可能禁止对与表117中的另一行不对应的任何 数据流的发送/接收。该缺省配置则是表117的最后一行。 一旦找到与该 数据流对应的行,则停止对表中行的搜寻。在该实施例和另一实施例中, 可以4吏用"wildcard characters"来描述该数据流的全部或部分特征。 wildcard character是对任何字符系列都有效的字符,例如 地址)对所有数据流有效,*-80对所有http. 192. 168. 0的数据流有效, *-*对网络192. 168. 0. 0/24上的所有数据流有效,该列举并非穷举。
在步骤205,代理使用与在步骤204找到的行对应的列117b的数据 处理该数据流的数据。这些指令非限制性地如—阻止数据流; —让数据流通过;
—寻找并消灭数据流可能包含的病毒; -加密/解密数据流;
—加密/解密数据流的一部分,特别是在消息传递数据流的情况下, 其中,可有助于加密传递的信息,而不是有关该消息的传输协i5C的信息;
-建立使用通道发送数据;
一发送识别或表征建立的连接的特征的踪迹(trace )、该连接的特 征、代理服务器对该连接执行的处理操作,该踪迹可能被本地保留在SIM 卡上,或被发送到移动终端和/或外部服务器。
一旦数据流在步骤205被处理,代理进一步到步骤206,在该步骤,
由代理发送该数据流。如果数据流被阻止,则其自然不会^LiL送。如果处理的数据流是进入终端的数据流,则向该终端发射,或者如果是由终端101发出的数据流,则向网络108发送。在步骤203、 204和205的变型中,由代理服务器来实现会话/上下 文表,以存储采取的决定和对数据流进行的处理操作,以便优化随后对同 一数据流的处理。实际上,在^7上下文表中保留发送的最后一个数据 包的日期,进行中的会活的加密密钥,不活动的情况下上下文的毁坏的定 时器的状态,发送的最后IP包的特征,以使由应用程序实现的语义处理 更有效率是非常有意义的,所述应用程序负责控制由代理服务器发送或接 收的l^的IP包。在步骤106中,代理根据步骤205施加的处理操作发出数据流的数 据。这里应注意的是,处理操作,尤其是加密操作,可以通过卡110委托 给终端的微处理器。这是可行的,因为微电路卡的处理能力小于移动终端 的处理能力。在该确切的情况下,微电路卡可以负责建立和管理密钥,所 述密钥通过可能是安全化也可能不是安全化的通道(如通过装置JSR177 ) 被提供到移动终端的应用程序,所述移动终端的应用程序负责即时加密/ 解密数据流(例如在建立加密的端到端视频电话的情况下,独立于其所属 的网络)。步骤204-206对终端101的用户是完全透明的。对于用户,所有发 生的一切都像在普通终端上一样,即傳在没有实施本发明的终端上一样。 图2还示出实际上对应于步骤203的步骤211。步骤211表明终端还监测 用于更新存储器117的消息的接收,所述消息即更新代理的配置的消息。 如果检测到该消息,则其实际上由卡101直接处理,通过终端101的配置, 卡110为用于终端110收到的所有数据流的代理服务器。卡110于是转到步骤212,验证该配置信息的有效性,并在步骤213 根据步骤212的结果施加新的配置。已在步骤201对该机制进行了描述。 这里可简单的回顾一下,有效性的!Hi依赖于安全域的读/写机制。因此 由服务器发起建立服务器与终端之间的连接后,配置信息被发送给终端。 所要做的是(使用PUSH型技术)将配置文件"推入(push)"该终端中, 具体地为该终端的微电路卡中。图1示出与网络108连接的服务器121。该服务器至少包括通信装置, 并且以简化的方式至少包括—配置存储器122,该存储器可使移动电话的标识符与数据流标识符 和行为标识符相关联,实际上即与一行,如在存储器117中的一行相关联。 所述移动电话的标识符例如终端的识别码或该终端的唯一序列号(在移动 电话的情况下通常为IMEI号)、IMSI (国际移动用户识别)号或电话号码 (MSISDN)。存储器122可包括使同一 IMSI号与若干[数据流的识别码、 特性识别码]对相关联的若干行;一存储器123,其可使终端标识符与安全^:,例如密钥组,相关联;—存储器124,其包括用于从存储器122和123的内容产生配置信息 的指令代码。服务器121,其负责使存储器117与存储器122的内容同步。存储器122和123的标识符具有相同的性质,且与记录在微电路卡 110的存储器118中的标识符对应。在本发明的一种变型中,通过键入密码,以及代理服务器的检查, 用户可修改或补充表117的某些行,或者甚至使这些行不活动。在本发明的一种变型中,代理服务器能够管理、保护或向终端和/或 可被指定的外部服务器发送对表117执行的该组更新配置行为的详细历 史。因此,可以通过本发明管理来自或发送到移动终端的通信的安全。 这包括声音和可视电话通信,因为移动终端能够建立被称为IP上话音通 信或VoIP通信的通信。该管理进一步通过^^接到该应用的配置的安全域 的安全机制得到安全隊护,所述应用使得能够对该安全性进行管理。该安 全性通过安全域的相同的读/写机制,通过产生和广播这些配置的服务器, 以集中的方式被管理。通过本发明,移动网络操作者可以通过使用仅依赖于在网络上发送 的协议和流的SIM/USIM的代理服务器来提供端对端的安全床护业务,所络,而与终端的应用无关。该安全保护由操作者的SIM/USIM卡承担。其 因此变得与传输网络无关,且即使^1在SIM/USIM卡在国外"漫游"的情 况下也是可操作的。因此用户可基于对话者的密码要求,在使用SIP或 H323的IP电话的基础上,自动获得与相互认证有同样价值的安全业务, 且可例如独立于终端使用的应用程序确保例如端到端的加密质量。通过操 作者委托接收到其SIM/USIM卡/终端的密钥组的群管理器也可以保证端 到端的机密性/加密的级别,而不管质量如何,并且与终端使用的应用程 序内是否存在恶意代码无关(代理服务器仅以加密状态传递一些流,其它 流被代理服务器禁止)。本发明的另 一直接的优点是使得群管理器能够将 其自身的加密应用程序推入其群的该组SIM/USIM卡内,并且通过建立的 机制驱动该应用。
权利要求
1.一种对电子终端(101)发出的数据流进行安全保护的方法,该安全保护通过寄存在插入该电子终端中的微电路卡中且在该微电路卡中被执行的代理服务器(115)获得,其中,所述方法包括由该终端执行的以下步骤—在该微电路卡的配置存储器中记录代理服务器的配置(201),一组终端或终端群的更新该配置存储器的权限排他地专属于终端群之间的单个实体--群管理器;—在协议配置存储器中记录迫使针对至少一协议的每个数据流使用代理服务器的参数(202);—针对被参数化以被提交给代理服务器的每个协议的每个数据流,通过该代理服务器的配置应用规划用于该流的处理(204-206)。
2. 如权利要求l所述的方法,其中,通过专用的特定于应用的程序 来实现该规划的处理。
3. 如权利要求1或2所述的方法,其中,通过连接至该代理服务器 的专门的服务器来实现该规划的处理。
4. 如权利要求1-3中的任何一个所述的方法,其中,通过更新步骤 (213 )对该配置存储器进行更新,该更新步骤在远程连接到包括该配置存储器的终端的步骤之后。
5. 如权利要求1-4中的任何一个所述的方法,通过更新步骤(213) 对该配置存储器进行更新,该更新步骤在本地连接到包括该配置存储器的 终端的步骤之后,该连接步骤可能需要对用户认证的阶段。
6. 如权利要求1-5中的任何一个所述的方法,其中,写入该配置存储器的步骤是以对请求更新该配置存储器的发送者的权限进行验证的步 骤(212)的确认为条件的。
7. 如权利要求1-6中的任何一个所述的方法,其中,根据与建立的 用于更新该配置存储器的方法相同的方法更新负责规划用于由代理服务 器的配置标识的每个流的处理^Mt的应用程序,其中,该更新可被限于佳: 用所述应用程序的工作所需的同步或异步技术下载密码密钥。
8. 如权利要求1-7中的任何一个所述的方法,其中,该代理月良务器 通过插入电子终端的微电路卡实施。
9. 如权利要求1-8中的任何一个所述的方法,其中,规划用于每个 M化协议的每个数据流的处理考虑有关使用时间的信息。
10. 如权利要求l-9中的任何一个所述的方法,其中,规划用于每个 ^!t化协议的每个数据流的处理^Mt考虑终端的地理位置知识。
11. 如权利要求1-10中的任何一个所述的方法,其中,规划用于每 个^t化协议的每个数据流的处理^^作考虑有关处理的最后的流的信息。
12. 如权利要求2所述的方法,其中,专用于被规划的处理的特定于 应用的程序可被下载到微电路卡上,或者,如果这些程序已经驻留在微电 路卡上,可将其激活。
13. 如权利要求1-12中的任何一个所述的方法,其中具有可应用于 该群的不具有^壬何特定配置的任何新的终端的缺省的安全配置。
全文摘要
一种数据流的安全保护方法。为管理来自或发送到移动终端的通信的安全性,将本地代理服务器安装在终端内。这些通信包括语音通信,因为移动终端能够建立称为基于IP的语音(VoIP)通信。管理进一步可通过链接到应用的配置的安全域的安全机制得到安全保护,所述应用使得能够对该安全性进行管理。该安全性通过安全域的相同的读/写机制,通过产生和广播这些配置的服务器,以集中的方式被管理。
文档编号H04W12/02GK101212753SQ20071030838
公开日2008年7月2日 申请日期2007年12月29日 优先权日2006年12月29日
发明者让-菲利普·万瑞 申请人:法国无线电话公司