專利名稱:數(shù)據(jù)流的安全保護(hù)方法
數(shù)據(jù)流的安4^護(hù)方法本發(fā)明的目的是提供一種數(shù)據(jù)流的安全保護(hù)方法���。本發(fā)明涉及電子處理終端領(lǐng)域,更具體地,涉及智能移動(dòng)終端領(lǐng)域�。這里�,術(shù)語"智能移動(dòng)終端"應(yīng)理解為指第二代或高于第二代的移 動(dòng)電話�。引申開來,移動(dòng)終端為通過網(wǎng)絡(luò)通信且可在無協(xié)助的情況下由人 攜帶的任何裝置���。因此該類別至少包括移動(dòng)電話�����、個(gè)人數(shù)字助理和l更攜式 計(jì)算機(jī)�。這些智能終端能夠?qū)嵤o論何種應(yīng)用。在以下的說明中,將借助 于移動(dòng)電話來描述本發(fā)明的優(yōu)選的應(yīng)用��。以下,術(shù)語"終端"將對(duì)應(yīng)于移 動(dòng)電話,同時(shí)適用之前的定義。本發(fā)明的目的是使終端進(jìn)行的通信安全化���。本發(fā)明的另 一 目的是使 終端通信的安全管理容易、可靠�。本發(fā)明的再一目的是能夠容易地將終端群的通信安全管理委托給終 端群的管理器����,同時(shí)^f吏該管理器能夠定位在它的終端群的每個(gè)終端處的元件或者針對(duì)它的終端群的一組終端和僅針對(duì)該群的元件。在現(xiàn)有技術(shù)中�,不存在對(duì)終端或終端群的通信安全進(jìn)行簡單管理的 裝置。 一旦終端被^到使用中����,則其將完全取決于它的使用者的行為。在本發(fā)明中���,這個(gè)問題通過在終端上植入一本地代理服務(wù)器來解決�����。 該代理服務(wù)器處理該終端的至少一個(gè)輸入流和輸出流��,所述處理通過對(duì)這 些流施加代理服務(wù)器的配置存儲(chǔ)器存儲(chǔ)的處理來執(zhí)行�����,這些處理操作通過 一個(gè)或多個(gè)特定于應(yīng)用的軟件程序來進(jìn)行�。因此有可能例如通過對(duì)這些流 進(jìn)行加密�、或者通過在句法或語義層面分析這些流的內(nèi)容��,或者是搜索二 元圖或惡意的代碼簽字的出現(xiàn)以防止截獲或入侵,從而對(duì)這些流進(jìn)行安全 保護(hù)����。在本發(fā)明的一種變型中��,該代理服務(wù)器也可保護(hù)終端的組成部分之 間的數(shù)據(jù)流�,而不管這些組成部分是軟件組成部分(如觀看視頻的軟件程 序或文字編輯器)還^l:硬件組成部分(例如可以通過一系列物理地址以及 通過一 系列物理地址和一 中斷類型尋址系統(tǒng)或檢索手段識(shí)別的存儲(chǔ)器), 以及一般的可通過終端的操作系統(tǒng)識(shí)別和檢索的任何拓樸結(jié)構(gòu)的組成部 分��。該代理服務(wù)器通過允許或不允許對(duì)以下內(nèi)容的全部或部分的復(fù)制、移動(dòng)�、或者讀、寫、重寫的訪問操作使這些數(shù)據(jù)流安全化所述內(nèi)容包括一 條數(shù)據(jù)���、數(shù)據(jù)文件�����,或一組可對(duì)應(yīng)于一軟件程序或軟件程序或操作系統(tǒng)的 全部或部分的一組二進(jìn)制文件�。在本發(fā)明的一種變型中,該代理服務(wù)器還 負(fù)責(zé)將這些數(shù)據(jù)或數(shù)據(jù)文件安全化或未安全化地儲(chǔ)存到終端中��,并且可以 指令使用加密和/或編碼/壓縮�。在本發(fā)明一種變型中,代理服務(wù)器和它的配置存儲(chǔ)器被記錄在一微電路卡上并#:安全化以確保該配置存儲(chǔ)器不被破壞��。在本發(fā)明中�,術(shù)語"協(xié)議"按其公認(rèn)的意義來理解,即其用于在兩 個(gè)不同機(jī)器之間在同一抽象層上進(jìn)行通信����。該術(shù)語"協(xié)議,��,還可延伸為用 于指定在同一終端上的兩層之間或終端與微電路卡之間建立的通信規(guī)則�����。 在本發(fā)明中���,"協(xié)議" 一詞可與不同通信層之間的一系列協(xié)議(通常意義 上的協(xié)議堆棧)和執(zhí)行所述協(xié)議的軟件程序不加區(qū)別地使用����。在本發(fā)明優(yōu)選但非限定性的實(shí)施例中,"協(xié)議��,�����,一詞嚢括了 TCP/IP���、 IPv4��、 IPv6����、 IPsec��、 SIGTRAN堆棧���、2、 3��、 4���、 5層以及更高層的一套服務(wù)等級(jí)��。引用以下協(xié)議 對(duì)上述協(xié)議進(jìn)行舉例說明�,所述例舉并非是限制性的MPLS、 PPP�、 ATM、 IP�、 ARP、 ICMP����、 BGP、 0SPF����、 L2TP、 RTP�、 SRTP、 SCTP���、 TCP���、 UDP、 TCAP���、 FTP����、 IRC、 SSH����、 SSL和TSL、 HTTP�����、 IMAP��、 P0P3�、 SMTP、 Telnet�、 SIP、 H323�。在該優(yōu)選實(shí)施例中,IP領(lǐng)域的協(xié)議通常通過目的端口號(hào)來在技術(shù) 上進(jìn)行識(shí)別�����。發(fā)明內(nèi)容因此本發(fā)明的目的提供一種對(duì)電子終端(101)發(fā)出的數(shù)據(jù)流進(jìn)行安 全保護(hù)的方法���,該安全保護(hù)通過寄存在插入該電子終端中的微電路卡中且 在該微電路卡中執(zhí)行的代理服務(wù)器(SD) (115 )獲得�����,其中�,所述方法包 括由該終端執(zhí)行的以下步驟—在該微電路卡的配置存儲(chǔ)器中記錄代理服務(wù)器的配置(201)���, 一 組終端或終端群的更新該配置存儲(chǔ)器的權(quán)限排他地專屬于終端群之間的 作為群管理器的單個(gè)實(shí)體���;—在協(xié)議配置存儲(chǔ)器中記錄迫使針對(duì)至少 一協(xié)議的每個(gè)數(shù)據(jù)流使用
代理服務(wù)器的M ( 202 );一針對(duì)被參數(shù)化以被提交給代理服務(wù)器的每個(gè)協(xié)議的每個(gè)數(shù)據(jù)流, 通過該^^理JJ艮務(wù)器的配置應(yīng)用規(guī)劃用于該流的處理(204-206 )����。在一種變型中,本發(fā)明的方法的特征還在于���,通過專用的特定于應(yīng) 用的程序來實(shí)現(xiàn)該規(guī)劃的處理��。在一種變型中�,本發(fā)明的方法的特征還在于��,通過連接至該代理服 務(wù)器的專門的服務(wù)器來實(shí)現(xiàn)該規(guī)劃的處理。在一種變型中��,本發(fā)明的方法的特征&在于�����,通過更新步驟(213) 對(duì)該配置存儲(chǔ)器進(jìn)行更新����,該更新步驟在遠(yuǎn)程連接到包括該配置存儲(chǔ)器的 終端的步驟之后。在一種變型中��,本發(fā)明的方法的特征還在于�,通過更新步驟(213) 對(duì)該配置存儲(chǔ)器進(jìn)行更新,該更新步驟在本地連接到包括該配置存儲(chǔ)器的 終端的步驟之后���,該連接步驟可能需要對(duì)用戶認(rèn)證的過程�。在一種變型中,本發(fā)明的方法的特征還在于,寫入該配置存儲(chǔ)器的 步驟是以對(duì)請(qǐng)求更新該配置存儲(chǔ)器的發(fā)送者的權(quán)限的驗(yàn)證的步驟(212 ) 的確i人為務(wù)降的�。在一種變型中�,本發(fā)明的方法的特征還在于,根據(jù)與建立的用于更 新該配置存儲(chǔ)器的方法相同的方法更新負(fù)責(zé)規(guī)劃用于由代理服務(wù)器的配 置標(biāo)識(shí)的每個(gè)流的處理操作的應(yīng)用程序,其中�����,該更新可被限于4吏用使用 所述應(yīng)用程序的工作所需的同步或異步技術(shù)下載密碼密鑰�����。在一種變型中����,本發(fā)明的方法的特征還在于����,該代理服務(wù)器通過插 入電子終端的微電路卡實(shí)施。在一種變型中�����,本發(fā)明的方法的特征還在于�,規(guī)劃用于每個(gè)參數(shù)化 協(xié)議的每個(gè)數(shù)據(jù)流的處理考慮有關(guān)使用時(shí)間的信息。在一種變型中���,本發(fā)明的方法的特征還在于��,規(guī)劃用于每個(gè)參數(shù)化 協(xié)議的每個(gè)數(shù)據(jù)流的處理操作考慮終端的地理位置知識(shí)��。在一種變型中���,本發(fā)明的方法的特征還在于�����,規(guī)劃用于每個(gè)參數(shù)化 協(xié)議的每個(gè)數(shù)據(jù)流的處理操作考慮有關(guān)處理的最后的流的信息��。在一種變型中�,本發(fā)明的方法的特征還在于��,專用于 見劃的處理
的特定于應(yīng)用的程序可被下載到微電路卡上��,或者��,如果這些程序已經(jīng)駐 留在微電路卡上�����,則可將其激活�����。在一種變型中��,本發(fā)明的方法的特征還在于���,具有可應(yīng)用于該群的 不具有任何特定配置的任何新的終端的缺省的安全配置����。從以下的說明書和附圖種可更好地了解本發(fā)明。這些附圖僅用于說 明的目的�����,而決非用于限制本發(fā)明的范圍�����。
圖1示出實(shí)施本發(fā)明的裝置�����;圖2示出根據(jù)本發(fā)明的方法的步驟�����。
具體實(shí)施方式
圖l示出移動(dòng)終端101�����。為進(jìn)行說明��,在一實(shí)例中����,可將終端101視 為移動(dòng)電話。終端101包括通過總線103與程序存儲(chǔ)器104連接的微處理器102�。在該說明中,如果一動(dòng)作歸屬于一裝置�,則該動(dòng)作實(shí)際上是由該裝 置的微處理器來實(shí)現(xiàn)的,該裝置的處理器被在該裝置的程序存儲(chǔ)器中記錄 的指令代碼控制����。類似的,如果一動(dòng)作歸屬于一應(yīng)用/程序����,則該應(yīng)用/ 程序?qū)嶋H上對(duì)應(yīng)于記錄在裝置的程序存儲(chǔ)器中的實(shí)施該應(yīng)用的一系列指 令代碼。這一系列指令代碼由所述裝置的微處理器來執(zhí)行�。終端101還具有在總線103與天線106之間的接口電路105。電路 105實(shí)現(xiàn)總線103的信號(hào)與通過天線106接收/發(fā)送的信號(hào)之間的轉(zhuǎn)換��。 因此這些電路是使終端101能夠在采取基站形式的移動(dòng)電話網(wǎng)107中進(jìn)行 通信的無線電接口��。通過這些電路105和移動(dòng)電話網(wǎng)107����,終端101能夠 在互聯(lián)型網(wǎng)絡(luò)108上進(jìn)行通信�,且因此能夠與連接到該網(wǎng)絡(luò)108的任何服 務(wù)器或終端取得聯(lián)系�����,或者連接到該網(wǎng)絡(luò)108的任何服務(wù)器或終端能夠與 該終端101取得聯(lián)系���。終端101還具有網(wǎng)絡(luò)配置存儲(chǔ)器109,這里更具體地為TCP/IP通信 配置存儲(chǔ)器��。該配置包括至少一個(gè)參數(shù)M��,該^lt指示是否有必務(wù)使用針
對(duì)電話的輸入流/輸出流的網(wǎng)關(guān)���。在本發(fā)明的情況下�,參數(shù)M與代理服務(wù) 器或代理的IP地址相同。根據(jù)本發(fā)明�,該地址優(yōu)選為本地IP地址或本地 主機(jī),例如����,對(duì)于IPV4協(xié)議,其為127.0.0.1����,或者在以太網(wǎng)協(xié)議的情 況下為虛擬以太網(wǎng)地址(環(huán)回)�。這意味著才艮據(jù)本發(fā)明��,所有的輸入流/ 輸出流均將被代理服務(wù)器處理����。網(wǎng)關(guān)也可以被標(biāo)識(shí)特定的命名或名稱轉(zhuǎn)讓,在名稱解析期間由所述 電話的IP堆棧直接進(jìn)行處理��,例如使用"sc"或"simcard (SIM卡)" 類型的前綴而非通常用于瀏覽網(wǎng)頁的"www"�����。例如����,進(jìn)入地址 "cartesim. sfr, fr,�,或"cartesim.www.sfr.fr,����,而不是www, sf r. f r使 終端的IP堆棧能夠獲知有嘗試企圖通過前綴"cartesim,���,或"simcard" 通過由在移動(dòng)電話的配置文件層識(shí)別的本地代理服務(wù)器進(jìn)入網(wǎng)站 爾.sf r. f r��。在這種情況下���,該請(qǐng)求被直接發(fā)送到本地代理服務(wù)器�����。在本 發(fā)明一變型中�,該命名技術(shù)使得能夠在電話處對(duì)若干代理服務(wù)器尋址�����,每 個(gè)代理服務(wù)器配備有其自己的配置文件和/或服務(wù)器以及專用應(yīng)用程序�, 用于處理特定于被傳輸?shù)牧鞯牟僮鳌_@里將會(huì)理解到���,代理服務(wù)器實(shí)際上是由終端101的微處理器執(zhí)行 的程序。圖l還示出了終端101包括微電路卡110�����。 ^:電路卡110包括微 處理器111��、程序存儲(chǔ)器112和與總線103連接的接口電路103��。元件 111-113通過總線114互連。存儲(chǔ)器112為層狀結(jié)構(gòu)����,以便能夠隔離微處理器111執(zhí)行的應(yīng)用。該結(jié)構(gòu)例如為實(shí)現(xiàn)安全域的概念的純軟件結(jié)構(gòu)����。安全域在移動(dòng)電話 的^Mt系統(tǒng)層或在操作系統(tǒng)的上層限定。該上層例如是Java類型的虛擬 機(jī)的���,或者是用于4皮稱為GlobalPlatform (爾.globalplatform. org ) 的芯片卡的多應(yīng)用系統(tǒng)的��。安全域包括至少 一個(gè)被劃分為程序區(qū)和數(shù)據(jù)區(qū)的存儲(chǔ)區(qū)�����。開發(fā)系統(tǒng) 或上層的機(jī)制保證安全域的程序區(qū)的指令代碼只能訪問該安全域的數(shù)據(jù) 區(qū)的數(shù)據(jù)���。對(duì)安全域的訪問進(jìn)一步^f皮一組密鑰保護(hù)。由此存在若千與安全 域相關(guān)的密鑰���。因此該技術(shù)領(lǐng)域引入密鑰組(keyset)的概念參與安全域 的保護(hù)��,這些密鑰的每一個(gè)根據(jù)安全域的安全化的需要被專用作一高精確 的安全角色或功能�����。以下所列的安全密鑰或功能并非窮舉�����,但是�,為域的 安全,可以根據(jù)所考慮的域的安全需要在同一密鑰組內(nèi)使用幾個(gè)密鑰�����。由
此��,可以有一個(gè)密鑰用于實(shí)例化安全域內(nèi)的服務(wù)��, 一個(gè)密鑰用于啟動(dòng)這些 服務(wù)��, 一個(gè)密鑰用于授權(quán)對(duì)這些服務(wù)的訪問�����, 一個(gè)密鑰用于加密與這些服 務(wù)的通信����,以及一個(gè)密鑰用于修改安全域內(nèi)的這些參數(shù),即改變所述域的 數(shù)據(jù)區(qū)的內(nèi)容��。只有獲知正確的密鑰或獲知得到正確密鑰的方式才有可能 采取期望的動(dòng)作����。根據(jù)執(zhí)行的密鑰的管理模式,可以有用于域的一個(gè)專用 密鑰組���,針對(duì)一組微電路卡����,或者可以有用于域的一個(gè)專用密鑰組�,被標(biāo) 識(shí)用于所考慮的一組微電路卡的每一個(gè)。這些機(jī)制確保了在基礎(chǔ)的操作系統(tǒng)進(jìn)行適當(dāng)?shù)母綦x時(shí)����,在不同安全域之間的數(shù)據(jù)的充分的區(qū)分或隔離(含有"防火墻"或Java "沙箱"的 概念)。在 Java 芯片卡領(lǐng)域(JavaCard )和"全球平臺(tái)�����,�, (http: 〃諷globalplatform. org )的背景下�,安全域的概念由此被提 出����。該軟件應(yīng)用的 一種替選形式包括模擬安全域的工作的專用芯片卡的 使用。因此在一優(yōu)選實(shí)施方式中���,存儲(chǔ)器112具有安全域����,該安全域包括 與根據(jù)本發(fā)明的代理服務(wù)器相對(duì)應(yīng)的指令代碼以及首先與代理服務(wù)器的 配置相對(duì)應(yīng)����,其次與可選模塊相對(duì)應(yīng)的數(shù)據(jù)。模塊為包括與代理服務(wù)器的 功能相對(duì)應(yīng)的指令代碼的存儲(chǔ)區(qū)���。由于其包括在安全域115中�,代理服務(wù)器及其數(shù)據(jù)區(qū)都受到密鑰組 的保護(hù)���。于是�,該密鑰組的密鑰僅為向使用終端101的用戶提供安全性服 務(wù)的操作者所知�。以下,將安全域115與代理服務(wù)器本身視為同一����。實(shí)際上,該安全 域至少包括與代理服務(wù)器對(duì)應(yīng)的指令代碼以及代理服務(wù)器的配置數(shù)據(jù)��。在可能的模塊117中��,可以至少舉出根據(jù)輸入連接的源地址或目的 和源端口而針對(duì)這些輸入連接的保護(hù)�,根據(jù)輸出連接的目的地址或目的和 源端口對(duì)這些輸出連接的過濾、防病毒�����、句法和語義檢查應(yīng)用���,通過建立 虛擬私有網(wǎng)(VPN)建立安全的連接���,所述虛擬私有網(wǎng)可能使用、也可能 不使用簡單的或相互的認(rèn)證被加密��,對(duì)發(fā)送/接收的數(shù)據(jù)等(該列舉并非 窮舉)的加密/解密���,以及需要用于傳遞以上列出的服務(wù)的不同密碼密鑰 或電子i人證的建立和管理���。
安全域112的數(shù)據(jù)116至少包括一個(gè)表117����,該表被用于使流117a 與代理服務(wù)器的行為117b相關(guān)聯(lián)�����。數(shù)據(jù)流具有網(wǎng)絡(luò)上下文的特征�,在IP通信的情況下,網(wǎng)絡(luò)上下文至 少包括IP地址和端口號(hào)��。才艮據(jù)一種具體的方式�����,數(shù)據(jù)流也可以通過兩個(gè) IP地址(源和目的)���、兩個(gè)端口號(hào)(源和目的)和一個(gè)協(xié)i義標(biāo)識(shí)符(目的 端口 )來識(shí)別��。通常使用的術(shù)語為使流能夠被識(shí)別的五元法(quintuplet )���。 還可相對(duì)于時(shí)間概念或地理位置的概念來描述對(duì)數(shù)據(jù)流的處理操作的特 征。例如當(dāng)移動(dòng)終端位于國外時(shí)����,或者當(dāng)期望在開放時(shí)間之外進(jìn)行高度保 密的數(shù)據(jù)的通信時(shí)��,在開放時(shí)間之外表示此時(shí)沒有人收集或處理該數(shù)據(jù)����, 實(shí)際上必須能夠有可能禁止某些敏感的數(shù)據(jù)流�����。在一種變型的實(shí)施中��,數(shù)據(jù)流通過終端內(nèi)的源和目的來表征存儲(chǔ)在終端或軟件或硬件組成部分內(nèi)的一組數(shù)據(jù)文件和待被執(zhí)行的操作(以 下列舉并非窮舉)讀�����、寫�����、復(fù)制���、破壞、補(bǔ)充��、增加���、帶有或不帶有密鑰指示的加密/解密�����、解壓縮�,以及通常對(duì)數(shù)據(jù)文件進(jìn)行的所有操作。行為通過存儲(chǔ)器117中的模塊標(biāo)識(shí)符和用于該模塊的^t來表征����。由此,存儲(chǔ)器117的每一行使流與對(duì)該流的行為相關(guān)聯(lián)���。圖2示出用于記錄代理服務(wù)器的配置的步驟201���。在該步驟,由知曉 域115的更新密鑰的操作者對(duì)表117進(jìn)行更新���。終端101通過網(wǎng)絡(luò)108 或終端101的另一接口 (未示出)接收更新消息�����。這些消息包括至少一個(gè)用于更新存儲(chǔ)器117的指令代碼和用于該更 新的數(shù)據(jù)����。可以通過使用密鑰組的專門密鑰來簽署該更新信息�。這使得該 卡能夠mst該更新消息的有效性,使其源(授權(quán))能夠檢查其完整性或者 能夠檢查該卡為該消息的正確接收者���,且在該消息有效的情況下對(duì)其進(jìn)行 考慮�����。考慮更新消息意味著使用該更新消息來更新表117����。這里,說明本發(fā)明的實(shí)用性的第一點(diǎn)��。實(shí)際上�,對(duì)于終端群的管理 器,有可能在中央服務(wù)器上針對(duì)終端群的每個(gè)終端規(guī)劃安全配置���。由此�, 中央服務(wù)器具有使用戶與密鑰組和安全配置相關(guān)聯(lián)的數(shù)據(jù)庫���。當(dāng)修改安全 配置時(shí)�����,服務(wù)器利用數(shù)據(jù)發(fā)出安全配置消息��,由此發(fā)出一終端的微電路卡 的密鑰組的相關(guān)權(quán)限�����,該終端被認(rèn)為是其安全配置已在中央服務(wù)器上被改 變的終端的�����。
在一種變型中����,中央服務(wù)器可管理一套可被裝入卡的安全域中的一 套特定的應(yīng)用程序,以執(zhí)行特定于某些流的處理操作�����。由此����,有可能設(shè)想 用于每個(gè)終端的這些應(yīng)用程序的定期更新,下載或激活已駐留在該終端或 多個(gè)終端的這些應(yīng)用程序,根據(jù)所述終端的用戶簡檔和該終端的變化的敏 感應(yīng)用將已特定的安全配置推入終端����。在本發(fā)明的一種優(yōu)選變型中,存在一缺省的安全配置�����,該缺省的安全配置^L施加于該群的任何不具有特定配置的新終端上���。還有可能定義終 端組���。對(duì)該組的安全配置的修改促使與在該組中具有的終端的個(gè)數(shù)一樣多 的配置消息的發(fā)送。步驟201實(shí)際上可以在任何時(shí)刻進(jìn)行��,由此���,使得也可能通過非常 嚴(yán)格的規(guī)則阻斷終端的通信。圖2還示出記錄存儲(chǔ)器109的配置的步驟 202��。該配置步驟至少包括記錄本地代理服務(wù)器的地址����。該配置具有使終 端101的所有的輸入流和輸出流均被本地代理服務(wù)器處理的效果。在本發(fā)明的一種優(yōu)選變型中,代理服務(wù)器由一微電路卡實(shí)施�。技術(shù) 的^A使這一點(diǎn)是可行的,其使得微電路卡可以通過被稱為BIP (獨(dú)立于 承載的協(xié)議)技術(shù)的新的卡技術(shù)直接訪問終端的通信資源�。該技術(shù)使微電 路卡能夠以高比特率訪問網(wǎng)絡(luò)。就本發(fā)明的實(shí)施而言�����,該實(shí)施例帶來了附加的保證��。實(shí)際上�,網(wǎng)絡(luò) 107能夠根據(jù)流來自微電路卡還是直接來自終端來識(shí)別流的源。在應(yīng)用本 發(fā)明的環(huán)境下��,在一優(yōu)選變型中���,網(wǎng)絡(luò)107被配置用于拒絕不是來自微電 路卡的流����。該配置是選擇性的�,且可以僅涉及給出的終端列表。在本發(fā)明的另一種變型中�����,對(duì)存儲(chǔ)器109的配置要經(jīng)過密碼的有效 性驗(yàn)證,從而防止避開代理服務(wù)器�����。由此�,合理地保證了該終端101的所有輸入流/輸出流都被卡110實(shí) 現(xiàn)的代理服務(wù)器處理。在本發(fā)明一優(yōu)選變型中���,卡110是一移動(dòng)電話操作者的SIM/USIM(用 戶識(shí)別模塊)卡����,移動(dòng)電話操作者由此也是安全操作者�。在該變型中,對(duì) 移動(dòng)網(wǎng),作者而言�,管理并控制其自己的SIM/USIM卡以將某些密鑰組 的值委托給客戶實(shí)體是簡單的,其中����,所i^戶實(shí)體為大量的SIM/USIM 卡的用戶(這引出大帳戶的概念)��。這些大帳戶然后管理終端群和 SIM/USIM卡���,并且可以實(shí)現(xiàn)作為他們的移動(dòng)群的管理者的實(shí)體�����。對(duì)于
些大帳戶中的每一個(gè)�����,該群管理器只能通過由操作者使該群管理器可用的密鑰組訪問SIM/USIM卡和操作者授權(quán)的域����。使密鑰可用的處理可以采取 不限定本發(fā)明范圍的若干形式可以是其終端群的該組密鑰組的值的簡單 的安全轉(zhuǎn)移,通過其訪問當(dāng)然是受保護(hù)的操作者的網(wǎng)頁類型服務(wù)平臺(tái)的委 托機(jī)制�,甚至是在操作者控制下的在非對(duì)稱密碼基礎(chǔ)上的集成到 SIM/USIM卡/終端內(nèi)的委托機(jī)制。該大帳戶群管理器然后可以通過使用缺 省的安全策略以及通過根據(jù)它的群的某些敏感簡檔建立的特定安全策略 容易且可靠地管理其一些卡/終端的每一個(gè)的缺省的安全策略�����。在另一變型中����,其為微電路卡,該微電路卡可能是專用的���,或者可 能不是專用的��,或者在未實(shí)現(xiàn)微電路卡的情況下其例如為位于存儲(chǔ)器104 中的程序�����。然后���,終端101 iiX到等待步驟203,其中��,過程對(duì)必須管理終端 101且將它們的管理分配到正確任務(wù)的事件進(jìn)行監(jiān)測����。在這種情況下�����,終 端101表現(xiàn)為任一多任務(wù)系統(tǒng)����。在步驟203,如果檢測出已發(fā)送數(shù)據(jù)流����,則終端根據(jù)存儲(chǔ)器109的配 置將控制移交給本地代理服務(wù)器。在步驟204��,以下標(biāo)記為代理的本地代理服務(wù)器負(fù)責(zé)流的管理�。因此 動(dòng)作歸屬于這里與卡110視為同一的代理。在實(shí)際應(yīng)用中�����,卡110還有其 它功能�����。在本發(fā)明的一種變型中�,步驟203通過操作系統(tǒng)來執(zhí)行,該操作系 統(tǒng)檢測出爽:據(jù)文件的最終系統(tǒng)將經(jīng)歷終端處的處理�,該操作系統(tǒng)然后識(shí)別 數(shù)據(jù)流的類型,并且在步驟204將這些信息以及數(shù)據(jù)流提交至代理服務(wù) 器����。代理服務(wù)器然后應(yīng)用被標(biāo)識(shí)用于表117中該類型流的處理操作,并轉(zhuǎn) 到步猓205����,對(duì)數(shù)據(jù)文件實(shí)施這些處理操作,然后使他們可為終端內(nèi)的預(yù) 期的接收者可用�。在步驟204,代理根據(jù)終端101傳遞給它的信息識(shí)別待處理的數(shù)據(jù)流。 為了描述的需要���,該數(shù)據(jù)流被以包括對(duì)該數(shù)據(jù)流的描述和該數(shù)據(jù)流的數(shù)據(jù) 的一系列消息的形式提交給該代理��。對(duì)該數(shù)據(jù)流的描述至少包括網(wǎng)絡(luò)(這 里為IP網(wǎng)絡(luò))上的一個(gè)地址��,以及端口標(biāo)識(shí)符和/或協(xié)議標(biāo)識(shí)符��。在本發(fā)明的一種變型中�����,代理知曉終端的本地時(shí)間�,且一旦對(duì)該數(shù) 據(jù)流施加處理操作就考慮這一信息。
在本發(fā)明的一種變型中�,代理知曉終端的地理位置,且一旦對(duì)該數(shù) 據(jù)流施加處理操作就考慮這一信息�。
對(duì)該數(shù)據(jù)流的這種描述使代理能夠在表117中進(jìn)行搜索。在步驟204�, 代理者在表117中進(jìn)行搜索,尋找列117a相應(yīng)的字段值與描述該數(shù)據(jù)流 的值相等的行����。因此必須在列117a中對(duì)IP地址和端口/協(xié)議標(biāo)識(shí)符的進(jìn) 行搜索。
如果搜索成功�����,則代理轉(zhuǎn)到步驟205,實(shí)施與在步驟204找到的行對(duì) 應(yīng)的動(dòng)作���。否則,即如果搜索不成功�,代理轉(zhuǎn)到步驟206,發(fā)送該流��。
這里應(yīng)注意�,存儲(chǔ)器117可包括描述代理的缺省行為的行。該缺省 行為可能是高限制性的�,即可能禁止對(duì)與表117中的另一行不對(duì)應(yīng)的任何 數(shù)據(jù)流的發(fā)送/接收。該缺省配置則是表117的最后一行�。 一旦找到與該 數(shù)據(jù)流對(duì)應(yīng)的行,則停止對(duì)表中行的搜尋����。在該實(shí)施例和另一實(shí)施例中, 可以4吏用"wildcard characters"來描述該數(shù)據(jù)流的全部或部分特征���。 wildcard character是對(duì)任何字符系列都有效的字符����,例如 地址)對(duì)所有數(shù)據(jù)流有效�����,*-80對(duì)所有http. 192. 168. 0的數(shù)據(jù)流有效, *-*對(duì)網(wǎng)絡(luò)192. 168. 0. 0/24上的所有數(shù)據(jù)流有效���,該列舉并非窮舉�����。
在步驟205���,代理使用與在步驟204找到的行對(duì)應(yīng)的列117b的數(shù)據(jù) 處理該數(shù)據(jù)流的數(shù)據(jù)。這些指令非限制性地如—阻止數(shù)據(jù)流��; —讓數(shù)據(jù)流通過�����;
—尋找并消滅數(shù)據(jù)流可能包含的病毒��; -加密/解密數(shù)據(jù)流�;
—加密/解密數(shù)據(jù)流的一部分,特別是在消息傳遞數(shù)據(jù)流的情況下�, 其中,可有助于加密傳遞的信息��,而不是有關(guān)該消息的傳輸協(xié)i5C的信息;
-建立使用通道發(fā)送數(shù)據(jù)�����;
一發(fā)送識(shí)別或表征建立的連接的特征的蹤跡(trace )��、該連接的特 征��、代理服務(wù)器對(duì)該連接執(zhí)行的處理操作�����,該蹤跡可能被本地保留在SIM 卡上���,或被發(fā)送到移動(dòng)終端和/或外部服務(wù)器。
一旦數(shù)據(jù)流在步驟205被處理���,代理進(jìn)一步到步驟206�����,在該步驟�����,
由代理發(fā)送該數(shù)據(jù)流���。如果數(shù)據(jù)流被阻止�,則其自然不會(huì)^LiL送�。如果處理的數(shù)據(jù)流是進(jìn)入終端的數(shù)據(jù)流,則向該終端發(fā)射��,或者如果是由終端101發(fā)出的數(shù)據(jù)流��,則向網(wǎng)絡(luò)108發(fā)送����。在步驟203、 204和205的變型中�����,由代理服務(wù)器來實(shí)現(xiàn)會(huì)話/上下 文表���,以存儲(chǔ)采取的決定和對(duì)數(shù)據(jù)流進(jìn)行的處理操作��,以便優(yōu)化隨后對(duì)同 一數(shù)據(jù)流的處理��。實(shí)際上��,在^7上下文表中保留發(fā)送的最后一個(gè)數(shù)據(jù) 包的日期����,進(jìn)行中的會(huì)活的加密密鑰,不活動(dòng)的情況下上下文的毀壞的定 時(shí)器的狀態(tài)��,發(fā)送的最后IP包的特征�,以使由應(yīng)用程序?qū)崿F(xiàn)的語義處理 更有效率是非常有意義的,所述應(yīng)用程序負(fù)責(zé)控制由代理服務(wù)器發(fā)送或接 收的l^的IP包����。在步驟106中��,代理根據(jù)步驟205施加的處理操作發(fā)出數(shù)據(jù)流的數(shù) 據(jù)���。這里應(yīng)注意的是�����,處理操作��,尤其是加密操作��,可以通過卡110委托 給終端的微處理器��。這是可行的����,因?yàn)槲㈦娐房ǖ奶幚砟芰π∮谝苿?dòng)終端 的處理能力。在該確切的情況下����,微電路卡可以負(fù)責(zé)建立和管理密鑰,所 述密鑰通過可能是安全化也可能不是安全化的通道(如通過裝置JSR177 ) 被提供到移動(dòng)終端的應(yīng)用程序�����,所述移動(dòng)終端的應(yīng)用程序負(fù)責(zé)即時(shí)加密/ 解密數(shù)據(jù)流(例如在建立加密的端到端視頻電話的情況下�����,獨(dú)立于其所屬 的網(wǎng)絡(luò))����。步驟204-206對(duì)終端101的用戶是完全透明的。對(duì)于用戶���,所有發(fā) 生的一切都像在普通終端上一樣�����,即傳在沒有實(shí)施本發(fā)明的終端上一樣����。 圖2還示出實(shí)際上對(duì)應(yīng)于步驟203的步驟211。步驟211表明終端還監(jiān)測 用于更新存儲(chǔ)器117的消息的接收����,所述消息即更新代理的配置的消息。 如果檢測到該消息����,則其實(shí)際上由卡101直接處理,通過終端101的配置��, 卡110為用于終端110收到的所有數(shù)據(jù)流的代理服務(wù)器���。卡110于是轉(zhuǎn)到步驟212����,驗(yàn)證該配置信息的有效性,并在步驟213 根據(jù)步驟212的結(jié)果施加新的配置�。已在步驟201對(duì)該機(jī)制進(jìn)行了描述。 這里可簡單的回顧一下���,有效性的!Hi依賴于安全域的讀/寫機(jī)制����。因此 由服務(wù)器發(fā)起建立服務(wù)器與終端之間的連接后,配置信息被發(fā)送給終端���。 所要做的是(使用PUSH型技術(shù))將配置文件"推入(push)"該終端中�, 具體地為該終端的微電路卡中����。圖1示出與網(wǎng)絡(luò)108連接的服務(wù)器121。該服務(wù)器至少包括通信裝置�, 并且以簡化的方式至少包括—配置存儲(chǔ)器122,該存儲(chǔ)器可使移動(dòng)電話的標(biāo)識(shí)符與數(shù)據(jù)流標(biāo)識(shí)符 和行為標(biāo)識(shí)符相關(guān)聯(lián)�����,實(shí)際上即與一行,如在存儲(chǔ)器117中的一行相關(guān)聯(lián)�。 所述移動(dòng)電話的標(biāo)識(shí)符例如終端的識(shí)別碼或該終端的唯一序列號(hào)(在移動(dòng) 電話的情況下通常為IMEI號(hào))、IMSI (國際移動(dòng)用戶識(shí)別)號(hào)或電話號(hào)碼 (MSISDN)��。存儲(chǔ)器122可包括使同一 IMSI號(hào)與若干[數(shù)據(jù)流的識(shí)別碼��、 特性識(shí)別碼]對(duì)相關(guān)聯(lián)的若干行�;一存儲(chǔ)器123�����,其可使終端標(biāo)識(shí)符與安全^:�����,例如密鑰組��,相關(guān)聯(lián)���;—存儲(chǔ)器124,其包括用于從存儲(chǔ)器122和123的內(nèi)容產(chǎn)生配置信息 的指令代碼���。服務(wù)器121���,其負(fù)責(zé)使存儲(chǔ)器117與存儲(chǔ)器122的內(nèi)容同步。存儲(chǔ)器122和123的標(biāo)識(shí)符具有相同的性質(zhì)�,且與記錄在微電路卡 110的存儲(chǔ)器118中的標(biāo)識(shí)符對(duì)應(yīng)�。在本發(fā)明的一種變型中,通過鍵入密碼��,以及代理服務(wù)器的檢查��, 用戶可修改或補(bǔ)充表117的某些行,或者甚至使這些行不活動(dòng)����。在本發(fā)明的一種變型中,代理服務(wù)器能夠管理�����、保護(hù)或向終端和/或 可被指定的外部服務(wù)器發(fā)送對(duì)表117執(zhí)行的該組更新配置行為的詳細(xì)歷 史��。因此�����,可以通過本發(fā)明管理來自或發(fā)送到移動(dòng)終端的通信的安全��。 這包括聲音和可視電話通信�,因?yàn)橐苿?dòng)終端能夠建立被稱為IP上話音通 信或VoIP通信的通信。該管理進(jìn)一步通過^^接到該應(yīng)用的配置的安全域 的安全機(jī)制得到安全隊(duì)護(hù)���,所述應(yīng)用使得能夠?qū)υ摪踩赃M(jìn)行管理���。該安 全性通過安全域的相同的讀/寫機(jī)制,通過產(chǎn)生和廣播這些配置的服務(wù)器, 以集中的方式被管理��。通過本發(fā)明�,移動(dòng)網(wǎng)絡(luò)操作者可以通過使用僅依賴于在網(wǎng)絡(luò)上發(fā)送 的協(xié)議和流的SIM/USIM的代理服務(wù)器來提供端對(duì)端的安全床護(hù)業(yè)務(wù),所絡(luò)����,而與終端的應(yīng)用無關(guān)。該安全保護(hù)由操作者的SIM/USIM卡承擔(dān)�。其 因此變得與傳輸網(wǎng)絡(luò)無關(guān),且即使^1在SIM/USIM卡在國外"漫游"的情 況下也是可操作的�。因此用戶可基于對(duì)話者的密碼要求,在使用SIP或 H323的IP電話的基礎(chǔ)上����,自動(dòng)獲得與相互認(rèn)證有同樣價(jià)值的安全業(yè)務(wù), 且可例如獨(dú)立于終端使用的應(yīng)用程序確保例如端到端的加密質(zhì)量��。通過操 作者委托接收到其SIM/USIM卡/終端的密鑰組的群管理器也可以保證端 到端的機(jī)密性/加密的級(jí)別�,而不管質(zhì)量如何,并且與終端使用的應(yīng)用程 序內(nèi)是否存在惡意代碼無關(guān)(代理服務(wù)器僅以加密狀態(tài)傳遞一些流���,其它 流被代理服務(wù)器禁止)����。本發(fā)明的另 一直接的優(yōu)點(diǎn)是使得群管理器能夠?qū)?其自身的加密應(yīng)用程序推入其群的該組SIM/USIM卡內(nèi)����,并且通過建立的 機(jī)制驅(qū)動(dòng)該應(yīng)用。
權(quán)利要求
1.一種對(duì)電子終端(101)發(fā)出的數(shù)據(jù)流進(jìn)行安全保護(hù)的方法���,該安全保護(hù)通過寄存在插入該電子終端中的微電路卡中且在該微電路卡中被執(zhí)行的代理服務(wù)器(115)獲得�����,其中����,所述方法包括由該終端執(zhí)行的以下步驟—在該微電路卡的配置存儲(chǔ)器中記錄代理服務(wù)器的配置(201)����,一組終端或終端群的更新該配置存儲(chǔ)器的權(quán)限排他地專屬于終端群之間的單個(gè)實(shí)體--群管理器;—在協(xié)議配置存儲(chǔ)器中記錄迫使針對(duì)至少一協(xié)議的每個(gè)數(shù)據(jù)流使用代理服務(wù)器的參數(shù)(202)���;—針對(duì)被參數(shù)化以被提交給代理服務(wù)器的每個(gè)協(xié)議的每個(gè)數(shù)據(jù)流��,通過該代理服務(wù)器的配置應(yīng)用規(guī)劃用于該流的處理(204-206)�。
2. 如權(quán)利要求l所述的方法�����,其中,通過專用的特定于應(yīng)用的程序 來實(shí)現(xiàn)該規(guī)劃的處理�。
3. 如權(quán)利要求1或2所述的方法,其中�,通過連接至該代理服務(wù)器 的專門的服務(wù)器來實(shí)現(xiàn)該規(guī)劃的處理。
4. 如權(quán)利要求1-3中的任何一個(gè)所述的方法��,其中�,通過更新步驟 (213 )對(duì)該配置存儲(chǔ)器進(jìn)行更新,該更新步驟在遠(yuǎn)程連接到包括該配置存儲(chǔ)器的終端的步驟之后�����。
5. 如權(quán)利要求1-4中的任何一個(gè)所述的方法��,通過更新步驟(213) 對(duì)該配置存儲(chǔ)器進(jìn)行更新��,該更新步驟在本地連接到包括該配置存儲(chǔ)器的 終端的步驟之后�,該連接步驟可能需要對(duì)用戶認(rèn)證的階段。
6. 如權(quán)利要求1-5中的任何一個(gè)所述的方法�,其中,寫入該配置存儲(chǔ)器的步驟是以對(duì)請(qǐng)求更新該配置存儲(chǔ)器的發(fā)送者的權(quán)限進(jìn)行驗(yàn)證的步 驟(212)的確認(rèn)為條件的����。
7. 如權(quán)利要求1-6中的任何一個(gè)所述的方法�����,其中,根據(jù)與建立的 用于更新該配置存儲(chǔ)器的方法相同的方法更新負(fù)責(zé)規(guī)劃用于由代理服務(wù) 器的配置標(biāo)識(shí)的每個(gè)流的處理^Mt的應(yīng)用程序�,其中,該更新可被限于佳: 用所述應(yīng)用程序的工作所需的同步或異步技術(shù)下載密碼密鑰�。
8. 如權(quán)利要求1-7中的任何一個(gè)所述的方法,其中�,該代理月良務(wù)器 通過插入電子終端的微電路卡實(shí)施。
9. 如權(quán)利要求1-8中的任何一個(gè)所述的方法�����,其中�,規(guī)劃用于每個(gè) M化協(xié)議的每個(gè)數(shù)據(jù)流的處理考慮有關(guān)使用時(shí)間的信息。
10. 如權(quán)利要求l-9中的任何一個(gè)所述的方法�����,其中�,規(guī)劃用于每個(gè) ^!t化協(xié)議的每個(gè)數(shù)據(jù)流的處理^Mt考慮終端的地理位置知識(shí)。
11. 如權(quán)利要求1-10中的任何一個(gè)所述的方法����,其中�����,規(guī)劃用于每 個(gè)^t化協(xié)議的每個(gè)數(shù)據(jù)流的處理^^作考慮有關(guān)處理的最后的流的信息�����。
12. 如權(quán)利要求2所述的方法�,其中����,專用于被規(guī)劃的處理的特定于 應(yīng)用的程序可被下載到微電路卡上,或者�,如果這些程序已經(jīng)駐留在微電 路卡上,可將其激活�����。
13. 如權(quán)利要求1-12中的任何一個(gè)所述的方法���,其中具有可應(yīng)用于 該群的不具有^壬何特定配置的任何新的終端的缺省的安全配置����。
全文摘要
一種數(shù)據(jù)流的安全保護(hù)方法��。為管理來自或發(fā)送到移動(dòng)終端的通信的安全性,將本地代理服務(wù)器安裝在終端內(nèi)����。這些通信包括語音通信,因?yàn)橐苿?dòng)終端能夠建立稱為基于IP的語音(VoIP)通信���。管理進(jìn)一步可通過鏈接到應(yīng)用的配置的安全域的安全機(jī)制得到安全保護(hù),所述應(yīng)用使得能夠?qū)υ摪踩赃M(jìn)行管理����。該安全性通過安全域的相同的讀/寫機(jī)制,通過產(chǎn)生和廣播這些配置的服務(wù)器��,以集中的方式被管理����。
文檔編號(hào)H04W12/02GK101212753SQ20071030838
公開日2008年7月2日 申請(qǐng)日期2007年12月29日 優(yōu)先權(quán)日2006年12月29日
發(fā)明者讓-菲利普·萬瑞 申請(qǐng)人:法國無線電話公司