一种终端安全使用的管理方法 本发明涉及终端使用的安全性的等级, 更具体的为多用户终端使用的领域, 即当 终端连续被多个用户使用。特别是, 应用于多用户通讯终端被多个用户连续使用时的安全 通讯领域, 包括所述个用户属于不同的组织的情况。
为了保证在终端使用中具有一定的安全等级, 或者说, 旨于避免在终端欺诈使用 中的身份标示被盗, 一系列终端功能最初可能处于非操作的状态中并且只根据接收到确定 的数据进入这样的情况。这对应于在 TETRA 标准 ( 陆上中继无线通信 ) 中定义情况, 并在 TETRA 安全性的文献 ETSI EN300392-7(ETIS 为欧洲电信标准协会 ) 中进行具体描述。
在这样的情况中, 终端的某些功能只能藉助于特定卡中所存储的身份标示参数进 行使用。这些身份标示参数对应于 ITSI( 个人 TETRA 用户身份标示 ) 以及秘钥 K, 或者对应 于 ITSI 加上 KS 秘钥 ( 会话密钥 ) 和 RS 秘钥 ( 随机种子 )。这些身份标示的参数的特定使 用能为用户划分不同的通讯服务的安全使用。
ITSI 是指插入终端的卡。它能够提供终端使用的安全性, 但不允许轻易地改变终 端用户。
本发明旨于解决这个问题。
本发明的第一方面提供用于终端安全使用的管理方法, 其至少具有一项根据安全 数据项的安全使用功能, 具有存储所述安全数据项以及第一认证参数的安全实体, 和具有 存储第二认证参数的终端, 所述方法在终端中包括下述步骤 :
1. 执行步骤, 根据第一和第二认证参数执行安全实体的认证 ;
2. 建立步骤, 与安全实体建立非接触安全链接 ; 以及,
3. 接收步骤, 在所述非接触安全链接的过程中, 接收存储在所述安全实体中的安 全数据项。
在这样的实施例中, 终端需要安全数据项, 以便使用该终端的至少一项功能。 该安 全数据项最初存储在安全实体中, 该实体也可称为用户卡, 并且终端负责从该安全实体中 获取安全数据项。这有利于通过非接触安全链接来执行安全数据项的获取, 该非接触链接 仅在终端能够认证该安全数据项时建立。 这个根据同时存储在终端和安全实体的在前认证 步骤保证了在终端中使用的安全性的等级。
通过这样的措施, 有可能以一种安全的方法在终端接收安全数据项, 因为安全实 体和终端各自具有能使它们应用在它们之间的相互认证 (reciprocal authentication) 或 交互认证 (mutual authentication) 的信息。
通过在用于将安全信息项从安全实体发至终端的安全链接建立之前应用这样的 认证, 可以保证终端使用具有较高的安全等级。
优选的, 根据本发明实施例的管理方法, 安全数据项一旦发送, 终端则能够使用对 应的可用功能。即使安全实体与终端之间的链接之后断开, 对应的用户仍能使用终端。
值得注意的是, 在现有技术中, 与终端使用关联的安全等级能够具体的通过与终 端的机械方法链接的安全实体或用户卡进行保证, 更具体的是位于终端内。 因此, 仅当存在 安全实体的情况下可以使用终端。
在本发明的实施例中, 在终端使用的安全等级基于实体和终端先前认证, 以及从 安全实体至终端的安全数据项的安全传送。因此, 因为终端中使用的安全等级不需要存在 安全实体, 则不要求在终端使用过程中维护终端与安全实体之间的链接。一旦安全数据项 传送至终端, 终端能够不需要与安全实体之间的链接进行使用。
此外, 通过这样的管理方法, 能够简单地改变终端的用户, 且不必执行在电子初始 化之后的机械操作, 例如当安全实体位于终端中并且机械操作使其保留在终端中的情况。
在这样的情况中, 在终端中使用的安全等级取决于终端与安全实体之间的交互认 证。 正因为如此, 安全实体与终端之间建立的安全链接可以为非接触的并且可以暂时建立, 从而简单地允许安全数据项的传输。然后, 在这样的条件下易于执行终端用户的改变。
因此, 这样的管理方法可有利于用于多用户终端的使用。
在本发明的一个实施例中, 至少一个管理单元负责涉及终端的安全参数的管理, 并且至少一个第二管理单元负责涉及终端用户的安全参数的管理。在这样的情况中, 存储 在安全实体中的第一认证参数可以对应于第二管理单元所提供的第一安全参数和指示第 一安全管理单元的第二安全参数 ; 以及存储在终端中的第二认证参数对应于第一管理单元 所提供的第三安全参数和指示第二管理单元的第四安全参数。
在本发明的一个实施例中, 当在终端执行一个操作时, 则在终端中删除安全数据 项, 并且在这种功能的情况下, 终端告知安全实体这个删除操作。
在这样的方法中, 将安全数据项传输终端以及在该终端中的安全数据项告知安全 实体。 因此, 根据本发明的实施例, 这样的方法能管理用于一个或多个终端所存储的安全数 据项的使用状态。
在一个实施例中, 在步骤 3 之前, 终端根据先前存储在终端中的身份标示符, 将本 身在网络中进行注册。 因此, 即使在终端从安全实体中获取安全数据项之前, 终端也能在网 络中注册。因而, 根据终端特定的身份标示符, 终端能够至少访问一些网络所提供的服务, 即可能不受限于终端用户。
在步骤 3 之后, 终端可以根据安全数据项所获得安全身份标示符在网络中进行注 册。
在这样的情况下, 终端根据涉及用户的身份标示符进行注册。 这样的安排, 能使终 端根据用户身份标示符在这样的注册之后访问的服务多于终端根据先前存储在终端中的 身份标示符的简单注册所可访问的服务, 所述的用户身份标示符可以为终端特定的身份标 示符。
本发明的第二方面提供了终端安全使用的管理方法, 其具有至少一项根据安全数 据项使之安全的功能, 具有存储所述安全数据项和第一认证参数的安全实体, 以及存储第 二认证参数的终端, 所述方法在安全实体中包括下述步骤 :
1. 执行步骤, 根据第一和第二认证参数执行终端认证 ;
2. 建立步骤, 建立与终端的非接触安全链接 ; 以及,
3. 发送步骤, 在所述非接触安全链接的过程中, 将存储的安全数据项发送至终端。
当至少一个第一管理单元负责管理涉及终端的安全参数并且至少一个第二管理 单元负责管理涉及终端用户的安全参数时, 则存储在安全实体中的第一认证参数可以对应 于第二管理单元所提供的第一安全参数和指示第一安全管理单元的第二安全参数 ; 以及存储在终端中的第二认证参数对应于第一管理单元所提供的第三安全参数和指示第二管理 单元的第四安全参数。
安全实体能够管理更新的使用状态 :
- 根据传输至终端的安全数据项 ; 以及
- 根据来自终端的安全数据项已删除的告知信息。
本发明的第三方面提供了适用于执行根据本发明第一方面的管理方法的终端。
本发明的第四方面提供了适用于执行根据本发明第二方面的管理方法的安全实 体。
本发明的第五方面提供了用于管理终端安全使用的系统, 包括根据本发明第三方 面的终端和根据本发明第四方面的安全实体。
本发明的其它部分、 目的和优点将通过下述实施例的阐述变得更加明晰。
本发明能够通过参考附图得到更好的理解, 附图包括 :
- 图 1 示出了根据本发明实施例的管理方法的主要步骤 ;
- 图 2 示出了根据本发明实施例的终端和安全实体的架构 ;
- 图 3 示出了在本发明实施例中在终端中涉及所述终端不同功能之间的安全身份 标示符管理的信息交换 ; - 图 4 示出了当终端根据其特定身份表示符在网络中已注册时, 涉及在终端不同 功能之间的的安全身份表示符的管理的信息交换 ; 以及,
- 图 5 示出了根据本发明实施例用于删除终端所存储的安全数据项的信息交换。
图 1 示出了根据本发明实施例的管理方法的主要步骤。这些步骤在终端中执行。
根据本发明的实施例的终端执行至少一项初始锁定的功能。 “锁定功能” 可以理解 为不先根据安全数据项解锁, 则在终端中就不能使用的功能。
“安全数据项” 可以理解为密钥或访问控制参数 .
根据本发明实施例, 为了使用终端的至少一个特定功能, 需要获得能够解锁终端 锁定功能的安全数据项。
这样的安全数据项有利于存储在任何能同时存储该安全数据项并且与终端进行 相关通讯的存储介质中。
本发明对存储安全数据项的安全实体没有任何限制。
根据本发明实施例, 为了保证使用终端确定的安全等级, 存储在安全实体中的安 全数据项仅能在认证步骤 21 之后进行传递。这个认证步骤允许终端认证安全实体, 以从中 能够接收到解锁其一项功能的安全数据项。根据步骤 21, 终端能够确认安全实体为能以安 全方式接收数据的实体。因此, 终端的使用, 或者更具体的为该终端解锁所锁定功能, 需经 历一个能保证涉及终端用户身份标示符的安全等级的确认过程。
这个认证步骤是根据终端与安全实体之间的共享信息。因此, 认证参数存储在终 端中, 其允许终端通过实体对本身进行认证以及对实体进行认证。这种方法也适用于实体 方面, 在实体中存储的认证参数, 其允许实体通过终端对本身进行认证以及对终端进行认 证。在非接触安全链接建立之前, 有利于执行这样的交互认证。
在本发明的一个实施例中, 这些认证参数对应于涉及不同组织的不同类型的安全 参数。这样的组织负责同时对终端和这些终端的用户提供安全参数, 使得这些终端的使用
是安全的。
因此, 第一管理单元负责为终端管理安全参数, 第二管理单元负责为安全实体, 即 用户卡, 管理安全参数, 从而允许用户使用一个终端。
第一管理单元适用于为终端产生第一安全参数, 所有的这些第一安全参数都与单 一的安全参数相关联, 并标注为 term_public_credential, 用于指示第一管理单元。
第二管理单元适用于为终端用户产生第二安全参数, 所有的这些第二安全参数与 唯一的安全参数相关联, 标注为 org_public_credential, 用于指示第二管理单元。
第一和第二安全参数可以是, 例如, 对应于私人密钥和公共密钥所构成各对密钥。 它们也可以对应于非对称加密证书。
指示管理单元的唯一的安全参数可以对应于公共秘钥, 根据这些公共秘钥, 可以 认证提供安全参数的管理单元的身份标示。
在终端中, 存储着指示第二管理单元的安全参数, 即, 负责管理涉及用户和因此涉 及安全实体的安全参数, 以及还涉及由第一管理单元所提供的至少一个安全参数。
另外, 在安全实体中, 存储着指示第一管理单元的安全参数以及由第二管理单元 提供的安全参数。 根据这些安全参数, 终端可以确认对应于安全实体属于认证使用该终端的用户。 终端从安全实体接收由第二管理单元提供的安全参数, 并且因此能够决定第二安全参数所 指示的第二管理实体提供安全参数是否已经存储。相同的操作可以在安全实体中执行。
终 端 和 安 全 实 体 之 间 的 交 互 认 证 可 以 根 据 现 有 的 协 议 来 执 行, 例如当建立 如 同 在 ISO/IEC 11770-2 ″ Information technologies-Security techniques-Key management-Part 3 : Mechanisms using asymmetrical techniques″中定义的密钥。
在终端中安全参数与在安全实体中存储的相互不一致的情况下, 例如当它们各自 的管理单元不能各自对应的终端和安全实体进行相互认证时, 认证的步骤失效并且因而停 止这个操作。
一旦终端完成对安全参数的认证和安全实体完成对终端的认证, 则在步骤 22 中 建立在终端和安全实体之间的安全链接。 这样的安全链接可以使用例如在 ISO/IEC11770-2 所定义的用于建立密钥或密钥交换的任何类型的协议来建立。
接着, 在步骤 23 中, 安全实体将安全数据项发送至终端。终端将其存储。这个安 全数据项允许终端解锁初始被锁定的功能。
具有安全实体的用户因此能够访问终端对应的功能, 即可以因为终端的功能已经 解锁而执行的功能。例如, 终端能够通过解锁功能提供网络中的确定的服务。
一旦在终端中存储安全数据项, 则终端与对应的安全实体之间的链接不再需要维 持。短时间建立该链接能够满足安全数据项的传输。
图 2 示出了根据本发明实施例的终端和安全实体的架构。
根据本发明实施例的终端 21 包括 :
- 认证单元 61, 适用于根据第一和第二认证参数执行安全实体的认证 21 ;
- 链接管理单元 62, 适用于与安全实体建立 22 非接触安全链接 ; 以及
- 接收器 63, 适用于在所述非接触链接的过程中, 接收 23 存储在所述安全实体中 的安全数据项。
终端进一步包括存储单元 64, 其适用于存储所接收到的安全数据项并当执行特定 操作时将其删除。
在本发明的一个实施例中, 安全实体包括 :
- 认证单元 71, 适用于根据第一和第二认证参数执行终端的认证 ;
- 链接管理单元 72, 适用于与终端建立 22 非接触安全链接 ; 以及,
- 传输器 73, 适用于在所述非接触链接的过程中, 传输所存储的安全数据项。
它进一步包括状态管理单元 74, 适用于更新状态 :
- 根据传输至终端的安全数据项 ; 以及,
- 根据从终端接收到的安全数据项已删除的告知。
因此, 它能够知晓在终端中的安全数据项的使用。
终端 21 进一步包括用于打开或关闭终端电源的 PWR 功能 201。它还包括 IF( 接 口 ) 功能 204, 适用于负责管理终端的接收和管理从终端至安全实体之间的信号传输。 在本 发明的一个实施例中, 该 IF 功能 204 能够负责监测安全实体存在的情况。本发明对这种类 型的安全实体的监测没有限制。
本发明能够将认证单元 61, 链接管理单元 62 以及接收器 63 设置在 IF 功能 204 内。 在终端和安全实体之间的非接触链接能够是 NFC( 近场通讯 ), 例如, 如同在标准 ISO/IEC 14443, ISO/IEC 18092 以及 ISO/IEC 21481( 用于国际标准组织 / 国际电工技术 委员会 “ISO/IEC” ) 中阐述的。在这样的情况中, 当终端与身份识别实体之间的距离大约在 4cm 至 10cm 时, 就可以建立所述链接。因为这样相对较小的距离, 链接的安全等级较高, 并 且相对有利于减小在终端处的能量消耗。
终端与安全实体之间的无线接口也可以是能够支持终端与安全实体之间更大距 离的另一种类型的接口, 例如在 ISO/IEC 15693 标准中阐述的。
终端还可以在通过 PWR 功能 201 打开电源时具有提供终端主要功能的 BB( 基带 ) 的功能。它还可以包括为 BB 功能提供多个安全功能的 CRYPT 功能 203。
在所述的实施例中, 安全功能为 CRYPT 功能 203。因此, 该功能最初被锁定。为了 使用依赖 CRYPT 功能的确定功能, 就需要具备安全数据项。
CRYPT 功能 203 部分能够在认证步骤 21 中使用。为了这样的操作, 将存储在终端 中的安全参数存储在 CRYPT 功能中。
在本发明的一个实施例中, 当 PWR 功能从关闭状态转换至打开状态, 则激活终端 21 的 IF 功能 204。只要 CRYPT 功能 203 不根据在上述步骤 21 至 23 中接收到对应的安全 数据项进行解锁, 则 BB 功能 202 就不启动。然而, 一旦解锁, CRYPT 功能 203 能够执行 BB 服 务的安全启动。
然后, 终端可以使用由第二管理单元在通讯网络中所使用的架构中的后续操作中 所提供第二安全参数所获得的安全参数。
可选择地, IF 功能 204 进入休眠, 直至 PWR 功能 201 的下一次从关闭状态至开启 状态的转换, 或直至在终端中由用户执行手动操作。
在本发明的另一个实施例中, 当终端的 PWR 功能 201 从关闭状态转换至开启则激 活 IF 功能 204, 并且即使没有接收到安全数据项, CRYPT 功能 203 能够直接执行 BB 功能的
安全启动。
在这样的情况中, 终端 21 能够在接收到用户安全单元所存储的安全数据项之前 为用户提供服务。
为了在网络中执行 BB 功能的第一交换, 能使终端使用终端可用的确定的参数, 标 记为 terminal_id, 具体为对终端特定的身份标示符, 并且如果可行, 可以为在相关网络中 进行管理的并对终端特定安全参数组。通过在网络中这样的注册, 当终端还没有访问安全 数据项时, 有利于终端访问在网络中提供的确定服务。
在这样的情况中, 在并行或独立的方法中, 终端的 IF 功能 204 能够监测附近安全 实体 12 的存在状态。因而, 当监测到这类安全实体存在时, 则执行根据本发明实施例的方 法的步骤 21 至 23, 以获取允许解锁 CRYPT 功能 203 的安全数项。
一旦在终端中获取安全数据项, 终端则可根据从安全数据项中获得的安全身份标 示符在网络中执行另一个注册, 所述安全数据项从安全实体中获取, 这类注册是在完成根 据本身的特定身份标示 terminal_id 的注册之后。因此, 终端能够有效通过其新的身份标 示在网络中进行重新注册 (re-enroll), 所述新的身份标示是安全的并且从安全数据项中 获得的。
一旦获取安全数据项, 就有可能为用户提供访问网络提供的的更多的种类的服 务。
此外, 一旦获取安全数据项并且存储在终端中, BB 功能 202 能够将由数据安全项 产生的身份标示与身份标示符 terminal_id 之间的关联告知网络 22 中例如网络目录服务 器的设备项。
用于获取安全数据项的操作过程可以在已经获取安全数据项的终端中重复, 可以 通过用户在终端上手动的操作, 例如, 点击终端按键或系列按键, 或通过 PWR 功能 201 从关 闭到开启状态的新的转换, 其先前已执行的从开启至关闭状态的转换。
图 3 示出了, 在本发明的一个实施例中, 当 PWR 功能操作状态从关闭转换至开启 时, 涉及终端 BB202、 CRYPT 203 和 IF204 功能之间身份标示符管理的信息交换。
发至 IF 功能 204 的激活命令信息 31 由 BB 功能 202 产生。在 IF 功能 204 中所接 收到信息 31 触发监测用户卡或安全实体 12 的存在状态 32 的步骤。
当在终端 11 附近监测到安全实体 12, 由 IF 功能 204 将状态变换的告知信息 33 发 送至 CRYPT 功能 203。
因此, 交互认证 34 通过 IF 功能 204 在 CRYPT 功能 203 和安全实体 12 之间进行。 在该认证步骤之后, 建立非接触安全链接, 并且安全实体 12 以信息性消息 35 通过 IF 功能 204 发送安全信息项。
根据信息性消息 35 的接收, CRYPT 功能 203 通过存储管理单元 64 存储所接收到 的安全数据项。
然后, 解锁信息交换 36 在 CRYPT 功能 203 与 BB 功能 202 之间进行, 以通过 BB 功 能 202 解锁为终端用户提供的服务。
休眠命令信息还可以通过 BB 功能 202 发送至 IF 功能 204。该休眠命令信息有利 于在解锁信息 36 交换后发送。因此, 根据本发明实施例, 一旦终端获取的安全数据项, 就有 可能体眠终端的 IF 功能 204。图 4 示出了, 在本发明的实施例中, 当 PWR 功能 201 已经处于开启监控状态中, 并 且终端已经根据其特定的身份标示符在网络中进行注册时, 在终端中涉及在 BB 202、 CRYPT 203 和 IF 204 功能之间身份标示符管理的信息交换。
终端中用户的手动操作能够请求通过 BB 功能 202 的注册进行一个变化。例如, 通 过激发一个终端按键或系列按键, 将在注册信息中的变化 41 发送至 BB 功能 202。 一旦接收 到的这个信息 41, BB 功能 202 就发送一个激活命令信息 31 至 IF 功能 204。
这个激活命令 31 可以由 BB 功能 202 与其它任务并行发送, 所述其它的任务在终 端根据其特定身份标示符 terminal_id 在网络中注册终端之后执行。 一旦激发 IF 功能 204, 就开始执行监测安全实体 12 存在 32 状态的监测步骤。
然后, 当监测到安全实体存在时, IF 功能 204 改变状态并且通过状态改变告知信 息 33 告知 CRYPT 功能 203。
然后, 执行在终端 11 与安全实体 12 之间交互认证步骤 34。 然后, 安全实体通过信 息性消息 35 由非接触安全链接发送安全数据项至终端。之后, 在 CRYPT 功能 203 中存储安 全数据项。
一旦在 CRYPT 功能 203 中存储安全数据项, 则后续功能初始化与 BB 功能 202 的信 息交换 42, 其目的旨在中断在 BB 功能中管理的其它任务, 并且在使用终端自身特定身份标 示符的先前注册之后所涉及的有效服务。 这时, 终端 11 已经访问安全数据项, 并且能够使用安全数据项来确定安全身份标 示符, 终端可根据身份标示符在网络 22 中注册。为此目的, 信息交换 43 可在 BB 功能 202 和网络 22 之间执行。
在该实施例中, 参考图 3, 通过 BB 功能 202 向 IF 功能 204 发送的休眠信息 37, 能 使 IF 功能 204 进入休眠。
在本发明的一个实施例中, 在执行根据本发明实施例的管理方法的过程中, 可以 在存储安全数据项的终端中删除安全数据项。
实际上, 执行从安全实体或安全卡中删除所获得的安全数据项, 可以使另一个用 户使用该终端。
对在终端上触发这样的删除安全数据的操作没有任何限制。 这样的删除操作流程 可以当终端关闭电源的情况下触发, 即在 PWR 功能 201 从开启操作状态转换至关闭操作状 态。这样的安排可使得当用户点击终端按键或系列按键时, 就触发删除安全数据项。
图 5 示出了根据本发明实施例执行删除存储在终端中的安全数据项的信息交换。
根据本发明的实施例, 无论是怎样触发在终端上删除安全数据的操作, BB 功能 202 都发送删除信息 51 至 CRYPT 功能 203, 要求 CRYPT 功能删除存储的安全数据项。
在步骤 52 中, CRYPT 功能 203 删除所存储的安全数据项。一旦完成步骤 52, 删除 告知信息 53 就通过 IF 功能 204 发送至安全实体 12。
值得注意的是, 这个删除告知信息 53 的发送需要 IF 功能 204 不处于休眠状态中 而处于激发状态中。因而, 如果 IF 功能 204 为休眠模式, BB 功能提前发送激活命令信息 31 至 IF 功能 204, 命令其改变自身的模式。
此外, 安全实体能够在实际删除安全数据项之前, 通过 CRYPT 功能 203 告知安全数 据项的删除。
采用这样方法, 安全实体 12 获知存储在安全实体中的安全数据项是否还存储在 终端中。因此, 这样的安全实体能够管理使用状态, 从而指示安全数据项是否存储在终端 中。