專利名稱:在兩個芯片卡之間的數(shù)據傳輸?shù)闹谱鞣椒?br>
技術領域:
本發(fā)明涉及數(shù)據從與終端裝置連接的第一數(shù)據處理裝置到待與終端裝置連接的第二數(shù)據處理裝置的安全傳輸����。具體地說�,它涉及到的這樣一種數(shù)據傳輸,當?shù)谝缓偷诙?shù)據處理裝置都是芯片卡時��,其中第一卡包含有關該卡用戶的機密數(shù)據���,而這些數(shù)據要傳輸?shù)降诙ㄒ蕴娲谝豢ā?br>
例如,芯片卡是SIM或USIM(用戶識別模塊)卡��,而終端裝置是移動用戶的一個終端���。
目前�,如果由于移動用戶終端第一SIM卡在使用中發(fā)生了故障或者由于責任操作員對該SIM卡進行了改進,必須替換這個卡時��,這個用戶就必須到操作員的銷售點���,通過專用的數(shù)據傳輸機把其機密數(shù)據從舊的第一卡傳輸?shù)叫碌牡诙ㄉ?���,并把第一卡里的機密數(shù)據予以刪除或者破壞�����。
根據專利申請WO 03/085631��,這種傳輸機可以是一種復制裝置��。
本發(fā)明的目的是��,不要求用戶作任何走動就能將機密數(shù)據從第一卡傳輸?shù)降诙ㄉ?���,辦法是通過與第一卡連接的終端以及服務于該終端的通信網絡,采用保密通信方式�����,并同時阻止在數(shù)據傳輸后再使用第一卡。
為達到這個目的���,一種用于將數(shù)據從與終端裝置連接的第一數(shù)據處理裝置傳輸?shù)揭c終端裝置連接的第二數(shù)據處理裝置的方法的特征在于���,它包括以下步驟從外部裝置通過終端裝置向第一處理裝置發(fā)送一個專用應用程序標識符,在第一處理裝置中��,調用由所發(fā)送標識符指定的專用應用程序����,讀出與該專用應用程序有關的數(shù)據,并將該數(shù)據譯成密碼�����,使得向外部裝置發(fā)送的是加密的數(shù)據�����,并且在該加密步驟之前或之后要使該專用應用程序不得工作����,用第二處理裝置代替第一處理裝置,從外部裝置通過終端裝置向第二處理裝置發(fā)送該專用應用程序標識符��,和從外部裝置向第二處理裝置發(fā)送加密數(shù)據�,使后者可調用由發(fā)送標識符指定的專用應用程序,將加密數(shù)據解密�����,并將解密數(shù)據予以安裝�����。
按照本發(fā)明的一個優(yōu)選實施方案�����,數(shù)據可用如下方式予以保密���。從外部裝置通過終端裝置向第一處理裝置發(fā)送一種帶有專用應用程序標識符的加密的第一密鑰和數(shù)字��,第一處理裝置對該加密第一密鑰和數(shù)字進行解密��,當所解密的第一數(shù)字滿足第一條件時����,則調用由所發(fā)送標識符指定的專用應用程序,并利用第一密鑰�����,把和該專用應用程序有關的所讀數(shù)據予以加密���,從外部裝置通過終端裝置向第二處理裝置發(fā)送一種帶有專用應用程序標識符的加密的第二密鑰和數(shù)字�����,在第二處理裝置里加密的第二密鑰和數(shù)字被解密�,當所解密的第二數(shù)字滿足第二條件時�,則外部裝置把加密的數(shù)據發(fā)送給第二處理裝置,并在安裝數(shù)據之前利用第一密鑰對加密數(shù)據進行解密��。
依靠在外部裝置中對第一密鑰和數(shù)字以及第二密鑰和數(shù)字的加密以及在第一處理裝置中對數(shù)據的加密����,數(shù)據從第一處理裝置經過外部裝置傳輸?shù)降诙幚硌b置是保密進行的。第一和第二密鑰對于非對稱數(shù)據的加密和解密算法可以不同�����,或者����,對于對稱數(shù)據的加密和解密算法可以相同。
涉及到比如作為數(shù)據處理裝置的芯片卡的置換時�,專用應用程序停止工作的性質可以導致在第一處理裝置中一旦加密數(shù)據被發(fā)送到外部裝置,就把已解密的第一密鑰和數(shù)字予以刪除��,這就使得除了授權用戶外��,任何罪犯都不可能利用這第一處理裝置�����。一旦加密數(shù)據被解密�,在第二處理裝置中將已解密的第二密鑰和數(shù)字進行刪除可以對任何罪犯保守產生第二密鑰和數(shù)字的秘密。
同樣理由�����,如果和第一處理裝置中讀出的數(shù)字相比�,解密的第一數(shù)字不滿足第一條件,則第一數(shù)據處理裝置中加密第一密鑰和數(shù)字的刪除����,以及/或者從第一數(shù)據處理裝置到外部裝置傳輸過程中斷的信令,都使得第一處理裝置不可利用�。如果和在第二處理裝置中讀出的數(shù)字相比��,解密的第二數(shù)字不滿足第二條件����,則第二數(shù)據處理裝置中加密的第二密鑰和數(shù)字的刪除���,以及/或者從第二數(shù)據處理裝置到外部裝置傳輸過程中斷的信令�,都使得第二處理裝置不可利用�。
按照本發(fā)明第一實施方案,第一和第二數(shù)字是由第一和第二處理裝置產生的隨機數(shù)����,并且在向第一處理裝置發(fā)送專用應用程序標識符和加密的第一密鑰和數(shù)字之前在外部裝置中被檢索,第一條件是解密的第一數(shù)字和從第一處理裝置中讀出數(shù)字之間的一個等式�����,第二條件是解密的第二數(shù)字和從第二處理裝置中讀出數(shù)字之間的一個等式����。
按照本發(fā)明第二實施方案,第一和第二數(shù)字分別是在外部裝置中按各自增量所遞增的傳輸數(shù)�,每次都給外部裝置指定一個比如由所說的標識符指定的專用應用程序,并在第一處理裝置中而后在第二處理裝置中調用它�。第一條件是解密的第一數(shù)字比在第一處理裝置中所讀數(shù)字的一種優(yōu)先度���,如果這個條件滿足,則導致用解密的第一數(shù)字去替代在第一處理裝置中讀出的數(shù)字��。第二條件是解密的第二數(shù)字比在第二處理裝置中所讀數(shù)字的一種優(yōu)先度���,如果這個條件滿足,則導致用解密的第二數(shù)字去替代在第二處理裝置中讀出的數(shù)字�。
為進一步加強數(shù)據傳送的保密性,可對該數(shù)據提供一種散列法�。這樣,按照本發(fā)明的一個優(yōu)選實施方案��,外部裝置預先創(chuàng)建一種第一電子證券(coupon)和第二電子證券并予以加密�����,第一電子證券包括第一密鑰��,第一數(shù)字還有散列密鑰�����,第二電子證券包括第二密鑰�,第二數(shù)字還有散列密鑰�����,并且該外部裝置還將專用應用程序標識符和第一證券通過終端裝置發(fā)送給第一處理裝置����。第一處理裝置將第一證券解密��,并將加密數(shù)據以數(shù)據塊的形式發(fā)送給外部裝置���,這些數(shù)據塊具有預定的最大長度和一種指紋�����,指紋由應用于該加密數(shù)據的散列法產生�,并取決于從解密的第一證券所收集到的散列密鑰�����。外部裝置將專用應用程序標識符和第二證券通過終端裝置發(fā)送到第二處理裝置����。第二處理裝置將加密的第二證券解密。如果從解密的第二證券檢索到的第二數(shù)字以及在第二處理裝置中所讀的數(shù)字滿足第二條件,則加密數(shù)據以數(shù)據塊的形式從外部裝置發(fā)送到第二處理裝置���,使得第二處理裝置對于接收到的每個數(shù)據塊都可確定出一種指紋����,并把它與從接收到的數(shù)據塊中抽取出的指紋相比��,只有被比較的各數(shù)據塊指紋都相同的時候��,才對數(shù)據塊中的數(shù)據進行解密�。
在閱讀下面對本發(fā)明多個優(yōu)選實施方案的描述后�,本發(fā)明的其它特征和多個優(yōu)點將會表現(xiàn)得更加清晰,這些優(yōu)選實施方案將用非限制性的范例并參考相應的附圖給出��,其中
圖1是一個系統(tǒng)的示意性框圖�����,該系統(tǒng)借助安全服務器和傳輸控制器在兩個SIM卡之間傳輸數(shù)據����;-圖2是兩個SIM卡的示意性框圖,其中一個要代替另外一個�����;-圖3A和3B表示按照本發(fā)明第一實施方案的數(shù)據傳輸方法步驟,該方法要求產生隨機數(shù)�����;-圖4A和4B表示按照本發(fā)明第二實施方案的數(shù)據傳輸方法步驟�,該方法要求遞增傳輸數(shù);以及-圖5用示意性框圖表示在個人計算機類型的終端中對芯片卡的另一種數(shù)據傳輸系統(tǒng)���。
按照圖1所示的實施方案�����,數(shù)據要在其間傳輸?shù)膬蓚€數(shù)據處理裝置是芯片卡CA和CB��,也就是大家知道的移動模塊類型的微控制器卡����,被稱作SIM(用戶識別模塊)或者USIM卡�����,一個接一個地接收數(shù)據處理裝置的終端裝置是一個移動用戶的無線電通信終端TM�。移動終端TM和數(shù)字蜂窩無線電通信網絡RR,比如GSM或UMTS型,的固定網絡相聯(lián)絡��。
各SIM微控制器卡CA�����,CB基本上包括�,如圖2在卡CA中所詳細表示的,1個微處理器PR和3個存儲器M1�,M2和M3。存儲器M1為ROM型���,包括該卡的操作系統(tǒng),還常包括支持該操作系統(tǒng)JavaCard型的一種虛擬機�。存儲器M1除了包含用于認證,通信和專用應用程序AS的算法外��,還包含數(shù)據傳輸應用程序ATR和本發(fā)明特定的一種數(shù)據安裝應用程序AIN���。如同下面將會看到的�,傳輸應用程序ATR包括傳輸管理器GTR和至少一個有助于本發(fā)明并與專用應用程序IAS有關的傳輸接口接口ITR�,該ATR用于抽取至少和專用應用程序IAS有關的待傳輸數(shù)據DTR,辦法是閱讀卡CA里的數(shù)據并把它們傳輸給一個已知為傳輸控制器CT的外部實體���。安裝應用程序AIN包括安裝管理器GIN和至少一個與專用應用程序IAS有關的安裝接IIN�����,該AIN用于把數(shù)據DTR從傳輸控制器CT傳輸給第二芯片卡CB�����。這里假定專用應用程序IAS與SIM卡的替代有關��。為了運行應用程序ATR和AIN�����,對于根據SIM卡和移動終端TM之間通信的協(xié)議格式的預格式化命令設置�,本發(fā)明又增添了兩個專用的傳輸和安裝命令,比如根據標準ISO 7816-4�,其形式為應用協(xié)議數(shù)據單元APDU。這樣��,各命令就和終端TM和芯片卡CA之間的異步通信協(xié)議兼容�����,使得可以����,比如用“ENVELOP”類型的命令形式�����,把數(shù)據從傳輸控制器傳輸給芯片卡所含的虛擬機����,不需要終端TM而只要虛擬機對它們進行解譯就可以了�。
存儲器M2是一種EEPROM型非易失性存儲器,該存儲器特別包括待傳輸?shù)奶囟〝?shù)據DTR�,該數(shù)據和專用應用程序有關并可能是密鑰和保密代碼,還/或可能包括持有該CA�,CB卡用戶的個人資料,諸如用戶簡檔��,電話號碼簿��,電子郵件地址簿�,機密代碼等��。存儲器M2還可用于記錄由傳輸控制器CT發(fā)送來的至少臨時參數(shù)��?���?–A���,CB中的存儲器M2還包含保密的加密密鑰KA,KB���,它們用于對傳輸控制器CT發(fā)送來的傳輸證券信息CTR進行解密����。
存儲器M3按慣例是一種RAM存儲器���,用于處理要在處理器PR和移動終端TM里的微控制器之間進行交換的數(shù)據��。
至少在第一實施方案中的SIM卡CA���,CB還包括一種隨機數(shù)發(fā)生器GA,該發(fā)生器以硬件形式實施��,位于芯片卡處理器PR當中或者與它相接�。卡CA�����,CB的發(fā)生器GA產生用來對控制器CT進行認證的隨機數(shù)RA,RB�����。作為一種不同的做法�,隨機數(shù)發(fā)生器可以以軟件形式包含在ROM存儲器M1中。
實施本發(fā)明的數(shù)據傳輸系統(tǒng)包括位處終端TM外部并含有待被替代的SIM卡CA的裝置安全服務器SS和傳輸控制器CT�����。這兩個外部實體CT和SS通過蜂窩無線電通信網絡RR的至少一部分固定網絡����,以及通過電信網絡RT是可以訪問移動終端TM的。電信網絡RT把一組裝置和多個電信網絡聚集在一起�����,用以移動終端TM和傳輸控制器CT之間的聯(lián)絡��。圖1借助移動終端TM臨時所在地帶的基站BTS�,基站控制器BSC和移動業(yè)務交換中心MSC示意性地表示出無線電通信網絡RR��。如果待傳輸?shù)臄?shù)據DTR由無線電通信網絡RR的責任操作員管理���,則傳輸控制器CT和安全服務器SS優(yōu)選考慮在該網絡RR的內部�;比如傳輸控制器和安全服務器是網絡RR固定部分的實體,網絡RR與本地位置寄存器HLR連接或者與HLR集為整體�,HLR通過無線電通信網絡RR內部的信令網絡與多個移動交換中心MSC/訪問者位置寄存器VLR對相連接。
按照另一個實施方案��,特別是當SIM卡屬于比如芯片卡CA�,CB的發(fā)行者,或者屬于發(fā)行芯片卡中的專用應用程序的發(fā)行者時���,聯(lián)絡移動終端TM和傳輸控制器CT的電信網絡RT按慣例包括高速分組交換網絡��,如因特網���,和具有移動管理和GPRS型無線電接入的交換式電話網絡或分組交換網絡,或者就是分組網絡�����。
這樣����,傳輸控制器CT構建成一種OTA(空中)平臺,該平臺通過移動終端TM和無線電通信網絡PR的固定網絡BTS�,BSC�,MSC之間的無線電鏈路��,可抽取出專用數(shù)據DTR�,從而就不需要持有CA卡的用戶到銷售點或者專用的閱讀器去抽取數(shù)據。傳輸控制器包含本發(fā)明特定的一種應用程序����,該程序可分為3個部分,打算分別用于響應來自移動終端最初所含芯片卡CA的傳輸請求為數(shù)據傳輸做準備�,抽取并傳輸專用數(shù)據DTR,再將傳輸?shù)臄?shù)據DTR安裝在新的第二芯片卡CB中��。例如����,在傳輸控制器和芯片卡CA,CB之間交換的信息是短信息��。
安全服務器SS與傳輸控制器CT之間通過信令網絡或諸如因特網的分組網絡進行通信����,或者按照另一個方案,安全服務器SS可并入一個也含有傳輸控制器CT的服務器中���。安全服務器SS的主要作用是創(chuàng)建傳輸證券CTR和安裝證券CIN���,并將數(shù)據加密為各自加密密鑰KA和KB的函數(shù),當卡CA和CB交付使用時�����,安全服務器SS已預先將密鑰KA和KB進行了儲存���。
現(xiàn)在來看圖3A和3B�����,按照本發(fā)明第一實施方案����,把數(shù)據從芯片卡CA傳輸?shù)叫酒–B的方法主要包括步驟1到27����。對這個方法的描述是在與專用應用程序有關的背景中進行的,該應用程序涉及到用新的SIM卡CB去更新舊的SIM卡CA�,這些卡是用戶從無線電通信網絡RR操作員的銷售點得到的,或者是通過郵件方式收到的�。
一開始在步驟1中,傳輸控制器CT檢索個卡CA和CB的識別符IDA和IDB。比如�����,一旦卡CA的用戶得到新卡CB����,操作員就要對本地位置寄存器HLR中得到該卡予以注冊,輸入第二卡CB的識別符IDB���,而且寄存器HLR自動把卡CA和CB的識別符以簽名的電子證書形式發(fā)送給傳輸控制器CT��。各卡CA��,CB的識別符IDA����,IDB特別要包括該卡的系列號�,用戶的國際識別符IMSI(國際移動用戶識別符)和用戶的電話號碼MSISDN(移動站ISDN號),識別符IDA�,IDB還取決于卡的型號。比如卡的型號關系到處理器PR的型號��,處理器處理的每個字的位數(shù)���,操作系統(tǒng)或虛擬機的特性等�����。
然后在步驟2�,傳輸控制器CT檢索卡CA和CB中隨機數(shù)發(fā)生器GA產生的隨機數(shù)RA和RB�����。隨機數(shù)RA和RB除了可以在卡CA和CB中����,還可以在一種源,比如本地位置寄存器中被預先確定���,當兩個卡分別交付使用時它們已被儲存在這兩個卡中��,隨機數(shù)RA和RB連同兩個卡的識別符一同被控制器CT從寄存器HLR中被檢索�����,以便將卡進行交換�����。
在步驟3�����,傳輸控制器CT開始真正運行數(shù)據傳輸方法�����,它把檢索出的卡識別符IDA和IDB以及檢索出的隨機數(shù)RA和RB發(fā)送給安全服務器SS���,并指定系本傳輸法任務的專用應用程序IAS��。在本案例中專用應用程序就是SIM卡的替換���,由標識符IAS所指定,該標識符是在步驟1期間連同卡識別符�,或者換個做法,是在步驟2期間連同隨機數(shù)RA和RB一起發(fā)送給控制器CT的�����。
在步驟4���,安全服務器SS響應控制器CT在前面步驟3發(fā)送來的信息����,隨機產生傳輸密鑰KC和散列密鑰KMAC,用于先后要在卡CA和CB中應用的報文鑒別碼MAC�����。
然后在下一個步驟5中��,安全服務器SS檢索預-儲存在卡CA和CB中的傳輸密鑰KA和KB�����。密鑰KA和KB比如是由鑒權中心AUC產生的����,鑒權中心AUC與網絡RR的本地位置寄存器HLR合作�����,并經常和寄存器HLR在同一平臺上�����。鑒權中心對網絡RR的用戶進行認證�����,并借助對密鑰確定的管理和對認證算法的管理,通過移動終端和基站之間的無線電接口��,在數(shù)據的機密性方面給予幫助�。如同在步驟1傳輸控制器CT檢索卡識別符一樣,當打算把代替卡CA的卡CB交付使用時�����,安全服務器SS能夠檢索密鑰KA和KB�。
作為一種不同的做法,傳輸密鑰KA和KB可以在步驟5由安全服務器SS從數(shù)據庫中讀出而提供���。
在步驟6����,安全服務器SS創(chuàng)建兩種電子證券CTR和CIN���。第一證券CTR是一種數(shù)據傳輸證券��,它包括傳輸密鑰KC�,散列密鑰KMAC和隨機數(shù)RA����,并根據加密算法ALC作為密鑰KA的函數(shù)被加密��。第二證券CIN是一種數(shù)據安裝證券����,它包括散列密鑰KMAC����,傳輸密鑰KC和隨機數(shù)RB,并根據加密算法ALC作為密鑰KB的函數(shù)被加密�。作為一種不同的做法,給證券CTR加密的算法可不同于給證券CIN加密的算法��。還有一種不同的做法���,不同的加密算法分別與卡CA和CB相關,并在步驟5中分別連同密鑰KA和KB由產生它們的鑒權中心AUC發(fā)送給安全服務器SS�。
在步驟7,安全服務器SS通過把兩個加密證券CTR和CIN發(fā)送給傳輸控制器CT��,從而向控制器CT提交這兩個證券��。
然后本方法轉到步驟8到16�����,以便用保密方式從卡CA中提取專用應用程序IAS的數(shù)據DTR。
14-15在步驟8����,隨著在兩個加密證券CTR和CIN被接收之后,傳輸控制器CT借助檢索出的卡識別符IDA調用卡CA�����,特別是調用該卡的傳輸管理器GTR���。在這個調用過程中��,控制器CT對專用應用程序識別符IAS和加密傳輸證券CTR進行發(fā)送����。
在步驟9����,卡CA的傳輸管理器GTR利用密鑰KA和解密算法ALD對證券CTR進行解密,其中解密算法ALD和步驟6中用來給證券CTR加密的加密算法ALC是對稱的���。
在步驟10�����,傳輸管理器GTR把在解密證券CTR中檢索出的隨機數(shù)RA與在儲存器M2中讀出的初始隨機數(shù)RA進行比較�。如果被比較的隨機數(shù)RA不同,則管理器GTR把解密證券CTR�,即密鑰KC和KMAC以及隨機數(shù)RA從卡CA中刪除,而且傳輸法在結束步驟28A停止�,結束步驟的組成是,對于從卡CA到傳輸控制器CT傳輸法的中斷發(fā)出信令�����,并任選地在移動終端TM上顯示數(shù)據傳輸失敗的信息�,用以請求用戶在銷售點操作員的操控下改換他的卡。
15-16如果被比較的隨機數(shù)RA相同�����,則在步驟11中��,卡CA的管理器GGTR調用卡CA接收到的標識符IAS所指定的專用應用程序的傳輸接口ITR��。在步驟12中���,傳輸接口ITR把對于該應用程序是特定的待傳輸數(shù)據DTR回送�,而管理器GTR將它們予以儲存�����。如果有些與專用應用程序AS有關的密鑰KAS已經儲存在應用程序IAS的外部��,在EEPROM存儲器M2中����,則在步驟13管理器GTR指向這個存儲器中的密鑰KAS,并把它們連同所讀數(shù)據DTR一同暫時記錄在緩沖存儲器中���。
在數(shù)據DTR和任選地相關密鑰KAS被儲存之后���,在步驟14,傳輸管理器GTR通過對ROM存儲器M1中專用應用程序IAS的刪除����,使它永遠停止工作。如果需要��,傳輸管理器GTR依靠卡CA存儲器M1的操作系統(tǒng)�,可把應用程序ITR從存儲器M1中徹底刪除,把數(shù)據DTR和可能的相關密鑰KAS從存儲器M2中徹底刪除,在傳輸管理器中數(shù)據DTR和密鑰KAS是在緩沖存儲器中的�����。步驟14的操作使得卡CA在移動終端TM中不能再被常規(guī)使用�����,故而能夠防止對卡CA�����,連同防止對專用應用程序IAS以及對專用應用程序數(shù)據DTR的任何復制模仿行為�。
在步驟15,傳輸管理器GTR根據加密算法AC并作為傳輸密鑰KC的函數(shù)��,對于從管理器的緩沖存儲器中讀出的數(shù)據DTR和可能的相關密鑰KAS進行加密�����。為增進安全����,加密算法AC可以和傳輸控制器CT中的加密算法ALC不同�����。
在步驟16,剛在步驟15中被加密的數(shù)據以具有預定最大長度數(shù)據塊BL的形式相繼傳送到傳輸控制器CT�����,這里數(shù)據塊長度以位數(shù)表示��。各數(shù)據塊BL除了包含待傳送的數(shù)據DTR和加密的相關密鑰KAS之外����,還包含待傳送數(shù)據塊BL的數(shù)目NBL,該數(shù)據塊在待傳送數(shù)據塊系列中的編號��,濃縮指紋EM�����,隨機數(shù)RA和密鑰KMAC����,其中濃縮指紋EM由應用于加密數(shù)據和該數(shù)據塊所含加密相關密鑰的單向散列法產生,并取決于在所接收的解密證券CTR中檢索出的散列密鑰KMAC�。在步驟17中,卡CA的傳輸管理器GTR把各數(shù)據塊BL相繼傳送給傳輸控制器CT���,而控制器將它們暫時儲存起來���。
在步驟18�����,傳輸管理器GTR刪除密鑰KC和KMAC以及隨機數(shù)RA���,從而也從卡CA的存儲器M2中刪除了證券CTR。
作為一種不同的做法�,不是在加密步驟15之前使專用應用程序停止工作,而是在加密步驟15之后���,或者在進行構成的步驟16之后使專用應用程序IAS停止工作����。
還是在步驟18���,管理器GTR通過在終端顯示文本信息或者播放語音信息���,請求用戶在移動終端中用卡CB替代卡CA。在步驟17和步驟18之后��,如果在通向網絡RR和傳輸控制器CT的移動終端TM上還沒有發(fā)出信令表示卡CB的存在,那么傳輸控制器CT在步驟19周期地發(fā)送信息���,一直到卡CB被插入并在移動終端TM中產生作用,卡CB解除控制器這樣做為止���。在步驟19調用卡CB的期間所發(fā)送的這種信息包括該專用應用程序AS的標識符IAS以及已在步驟6被儲存�����,含有密鑰KMAC和KC和隨機數(shù)RA的加密安裝證券CIN�,該專用應用程序AS在目前情況下就是SIM卡的替代���。
本傳輸法通過步驟20到27繼續(xù)進行有關數(shù)據DTR在第二卡CB中的安裝�,如圖3B所示�����。
在步驟20��,芯片卡CB中的安裝管理器GIN回應由控制器CT經過網絡RR和終端TR發(fā)送的信息����,利用解密算法ALD并作為密鑰KB的函數(shù)將加密證券CIN解密�����,當卡CB交付使用時密鑰KB已預先儲存在存儲器M2中�。
在步驟21����,管理器GIN把從所接收的解密證券CIN中抽取出的隨機數(shù)RA與在卡CB存儲器M2中讀出的隨機數(shù)RB進行比較。如果被比較的隨機數(shù)RB不一樣�,則安裝管理器GIN在步驟28B,用類似步驟28A的方式��,把卡CB中的解密安裝證券CIN予以刪除����,即刪除卡CB中的密鑰KC和KMAC和隨機數(shù)RB,并通過卡CB中的安裝管理器GIN向傳輸控制器CT發(fā)出傳輸失敗的信令使傳輸過程停止���。
如果被比較的隨機數(shù)RB相同�,則安裝管理器GIN在步驟22把卡CB中的解密安裝證券CIN予以刪除��,即刪除卡CB中的密鑰KC和KMAC和隨機數(shù)RB��,并創(chuàng)建一個確認命令[Conf]��,該命令通過移動終端TM被轉播,以致把它傳遞到傳輸控制器CT�����,而傳輸控制器CT回應這個確認命令���,把傳輸數(shù)據塊BL發(fā)送給卡CB。
在步驟23中��,安裝管理器GIN根據已在卡CA中應用的散列算法和作為解密證券CIN所含傳輸密鑰KMAC的函數(shù)�����,對于接收到的各數(shù)據塊BL都確定出一個濃縮指紋EM���,并將所確定的指紋與從所接收數(shù)據塊BL中抽取出的指紋進行比較��。如果接收到的數(shù)據塊BL中有一個數(shù)據塊的指紋EM比較出有差異��,則執(zhí)行步驟28B使方法停止����。在步驟24中����,安裝管理器GIN對于它接收到的由卡CA發(fā)送給控制器CT的所有數(shù)據塊BL進行檢驗�,辦法是計算數(shù)據塊數(shù)目�,并把數(shù)據塊數(shù)和由各接收數(shù)據塊所組成的數(shù)據塊總數(shù)NBL進行比較。如果數(shù)出的數(shù)據塊數(shù)目不正確����,則方法用步驟28B終止。
作為一種不同的做法���,步驟23和24的次序可以顛倒�。
相反��,假如被比較的各數(shù)據塊的指紋都相同而且數(shù)據塊數(shù)正確���,那么安裝管理器GIN在步驟25利用證券CIN包含的密鑰KC��,并根據和加密算法AC對稱的解密算法AD��,對加密的專用應用程序數(shù)據DTR����,也許還對在相關連接數(shù)據塊中的加密密鑰KSA進行解密�����。
然后在步驟26中,一旦所接收的全部數(shù)據塊BL都被解密����,管理器GIN調用與專用應用程序IAS有關的安裝接口IIN,使得可將解密數(shù)據DTR進行傳輸���,并可能把和該應用程序有關的外部密鑰KAS予以傳輸����。
最后在步驟27中��,卡CB中的安裝管理器GIN刪除密鑰KC和KMAC和隨機數(shù)RB���,從而也就刪除了卡CB存儲器M2中的證券CIN。此后移動終端TM中的芯片卡CB就可被用戶以常規(guī)方式應用��。
根據上面對第一實施方案的描述�,本發(fā)明具有以下優(yōu)點-待傳輸?shù)臋C密數(shù)據DTR只是來自“源”卡CA;-機密數(shù)據對于應用程序IAS是特定的�����,和傳輸法的步驟無關;-專用應用程序IAS的機密數(shù)據是全部一同傳輸?shù)?�,而不是只傳輸它們當中的一部分?在步驟12和13���,或者12到15或16之后�����,一旦以保密形式從“源”卡CA抽取出機密數(shù)據DTR�����,則肯定不能再在“源”卡CA中訪問或利用這些機密數(shù)據�,或者它們被刪除���,要不然就要使含有它們的專用應用程序IAS絕對不再起作用���;-只是在步驟23到26才在“目標”卡CB中安裝機密數(shù)據DTR;-本機密數(shù)據傳輸方法和所選擇的加密算法沒有關系����,加密算法可以是對稱的或者是非對稱的;-一旦在步驟17從“源”卡CA將加密數(shù)據發(fā)送到外部傳輸控制器CT,在“目標”卡CB中安裝加密數(shù)據之前���,傳輸法無論怎樣被打斷����,該加密數(shù)據都是不為人知的�����,這就保證了數(shù)據不會被克?�?�;按照本發(fā)明第二實施方案���,參考圖4A和4B,把數(shù)據從芯片卡CA傳輸?shù)叫酒–B的方法主要包括步驟1a到27a����,其中大多數(shù)步驟和第一實施方案的類似。在第二實施方案中�,沒有隨機數(shù)RA,RB要由傳輸控制器CT抽?。灰蚨–A和CB中就不再需要隨機數(shù)發(fā)生器GA,步驟2也就取消了��。
一開始在步驟1a中���,傳輸控制器CT檢索兩個卡CA和CB的識別符IDA和IDB��,特別是要檢索這兩個卡的系列號��,用戶的國際識別符IMSI���,用戶的電話號碼MSISDN,比如以簽名的電子證書形式��,以及有關用SIM卡CB代替SIM卡CA的專用應用程序的標識符IAS���。
然后在步驟3a���,傳輸控制器CT通過發(fā)送卡識別符IDA和IDB以及系本傳輸法任務的專用應用程序IAS,開始真正運行數(shù)據傳輸方法�。
在步驟4a,安全服務器SS響應控制器CT在前面步驟3a發(fā)送來的信息��,隨機產生將在卡CA和CB中先后應用的密鑰KC和散列密鑰KMAC�。還是在步驟4a����,安全服務器SS使分別和卡CA和CB相關的傳輸數(shù)NA和NB各自增加增量IA和IB�����,這些增量可以就等于1����,或者可以不同,或者可以隨機產生����。每次給安全服務器SS指定一個專用應用程序并先后在卡CA和代替卡CA的卡CB中調用它時,傳輸數(shù)NA和NB都將被遞增���。例如�,除了卡的置換之外��,專用應用程序可以是一種應用程序的安裝���,比如卡里小應用程序的安裝,或者是帳目數(shù)值的變化����,比方當卡具有電子錢包功能時�����,貨幣信用卡的充值��。
然后在下一個步驟5a�����,象步驟5一樣���,安全服務器SS檢索對卡CA和CB是特定的傳輸密鑰KA和KB。
在步驟6a����,安全服務器SS創(chuàng)建兩種電子證券CTR和CIN。第一證券CTR是一種數(shù)據傳輸證券��,它包括傳輸密鑰KC��,散列密鑰KMAC和傳輸數(shù)NA����,并利用加密算法ALC作為密鑰KA的函數(shù)被加密�����。第二證券CIN是一種數(shù)據安裝證券�,它包括散列密鑰KMAC�,傳輸密鑰KC和傳輸數(shù)NB,并根據加密算法ALC作為密鑰KB的函數(shù)被加密�。作為一種不同的做法,對證券CTR和CIN的加密算法可以不同��。
在步驟7a���,安全服務器SS把這兩個加密證券CTR和CIN發(fā)送給傳輸控制器CT�。
隨著這兩個加密證券CTR和CIN被接收之后����,在步驟8a,傳輸控制器CT借助檢索出的卡識別符IDA調用卡CA���,特別調用該卡中的傳輸管理器GTR���。在這個調用過程中,控制器CT對專用應用程序標識符IAS和加密傳輸證券CTR進行發(fā)送�����。
在步驟9a�,卡CA中的傳輸管理器GTR利用密鑰KA和解密算法ALD對證券CTR進行解密,其中解密算法ALD與在步驟6a中用來給證券CTR加密的加密算法ALC是對稱的���。
在步驟10a���,傳輸管理器GTR把在解密證券CTR中檢索出的傳輸數(shù)NA與在卡CA的儲存器M2中讀出的內部傳輸數(shù)NA相比較。如果檢索傳輸數(shù)等于或小于內部傳輸數(shù)�,這表示發(fā)送檢索隨機數(shù)的實體沒有跟上傳輸數(shù)的更新,說明該實體不是安全服務器SS���。管理器GTR從卡CA中刪除解密證券CTR�,即刪除密鑰KC和KMAC以及傳輸數(shù)NA��,并使傳輸法在結束步驟28Aa終止��。這個終止步驟包括����,對于從卡CA到傳輸控制器CT傳輸法的中斷發(fā)出信令,并任選地在移動終端TM上顯示或廣播數(shù)據傳輸失敗的信息��,用以請求用戶在銷售點操作員的操控下改換他的卡。
如果檢索傳輸數(shù)大于在卡CA中讀出的內部傳輸數(shù)��,因而這些傳輸數(shù)也和增量IA不同�����,則在步驟11a中�����,卡CA的傳輸管理器GTR利用在存儲器M2中檢索出的傳輸數(shù)值代替內部傳輸數(shù)值�,并調用卡CA接收到的標識符IAS所指定的專用應用程序的傳輸接口ITR。傳輸接口ITR在步驟12a把對于該應用程序是特定的待傳輸數(shù)據DTR進行回送��,而管理器GTR將它們儲存起來��。如果有些與專用應用程序AS有關的密鑰KAS已經儲存在應用程序IAS的外部�����,在EEPROM存儲器M2中�����,則在步驟13a管理器GTR指向這個存儲器的密鑰KAS,并把它們連同所讀數(shù)據DTR暫時記錄在緩沖存儲器中�����。
在把數(shù)據DTR和任選地相關密鑰KAS儲存后����,傳輸管理器GTR在步驟14a將專用應用程序IAS從RON存儲器M1中刪除�����,使它永遠停止工作���。如果需要����,傳輸管理器GTR可徹底刪除存儲器M1中的應用程序ITR�����,徹底刪除存儲器M2中的數(shù)據DTR和可能的相關密鑰KAS�。
在步驟15a,傳輸管理器GTR根據加密算法AC和作為傳輸密鑰KC的函數(shù)�,對于在管理器的緩沖存儲器中讀出的數(shù)據DTR和可能的相關密鑰KAS進行加密。
24-25在步驟16a�����,剛在步驟15a中被加密的數(shù)據以具有預定長度相繼數(shù)據塊BL的方式被發(fā)送到傳輸控制器CT。各數(shù)據塊BL除了包含待傳送的數(shù)據和加密的相關密鑰KAS之外�����,還包含待傳送數(shù)據塊的數(shù)目NBL�����,該數(shù)據塊在待傳送數(shù)據塊系列中的編號����,濃縮指紋EM,在存儲器M2中讀出的最新傳輸數(shù)NA以及密鑰KMAC�,其中指紋EM由應用于加密數(shù)據和該數(shù)據塊所含加密相關密鑰的單向散列法產生,并取決于在接收到的證券CTR中檢索出的密鑰KMAC����。在步驟17a和步驟18a,象在步驟17和18一樣���,卡CA的傳輸管理器GTR把傳輸控制器CT在步驟17a暫時儲存起來的各數(shù)據塊BL相繼發(fā)送給傳輸控制器CT�����,并在步驟18a將卡CA存儲器M2中的密鑰KC和KMAC以及最新的傳輸數(shù)NA予以刪除��,并通過在終端上顯示文本信息或者播放語音信息�����,請求用戶在移動終端TM中用卡CB代替卡CA���。在步驟17a和步驟18a之后,如果在通向網絡RR和傳輸控制器CT的移動終端TM上還沒有發(fā)出信令表示卡CB的存在���,那么在步驟19a中傳輸控制器CT會周期地發(fā)送信息��,一直到卡CB被插入并已在移動終端TM中產生作用���,卡CB解除控制器這樣做為止。在步驟19a調用卡CB期間所發(fā)送的信息包括專用應用程序AS的標識符IAS以及已在步驟6a被儲存���,含有密鑰KMAC和KC和隨機數(shù)RA的加密安裝證券CIN��,該專用應用程序AS在目前情況下就是SIM卡的替代����。
本傳輸法通過步驟20a到27a繼續(xù)進行有關數(shù)據DTR在第二卡CB中的安裝,如圖4B所示�����。
在步驟20a���,芯片卡CB中的安裝管理器GIN回應由控制器CT經網絡RR和終端TR傳送來的信息��,利用算法ALD并作為密鑰KB的函數(shù)對加密證券CIN進行解密����,當卡CB交付使用時密鑰KB是預先儲存在存儲器M2中的��。
在步驟21a�,管理器GIN把在解密證券CIN中檢索出的傳輸數(shù)NB與在卡CB存儲器M2中讀出的隨機數(shù)NB進行比較。如果檢索傳輸數(shù)等于或小于內部傳輸數(shù)��,這就表明發(fā)送檢索隨機數(shù)的實體沒有跟上數(shù)的更新���,表示該實體不是安全服務器SS�。在步驟28Ba����,管理器GIN把卡CB中的解密安裝證券CIN予以刪除��,即刪除卡CB中的密鑰KC和KMAC以及傳輸數(shù)NB,并通過CB中的安裝管理器GIN向傳輸控制器CT發(fā)出傳輸失敗的信令使傳輸法停止��。
如果檢索傳輸數(shù)大于卡CB的內部傳輸數(shù)��,從而這些傳輸數(shù)也和增量IB不同����,則在步驟22a卡CB中的安裝管理器GIN用檢索傳輸數(shù)值NB代替讀出的內部傳輸數(shù)值���,并創(chuàng)建一個確認命令,該命令經移動終端TM被轉播��,以致可把它傳送到傳輸控制器CT�����,傳輸控制器CT回應該確認命令��,把傳輸數(shù)據塊BL發(fā)送給卡CB����。
在步驟23a�,安裝管理器GIN根據已在卡CA中采用的散列算法并作為解密證券CIN所含密鑰KMAC的函數(shù)��,對于接收到的各數(shù)據塊BL都確定出一個濃縮指紋EM�����,并將所確定的指紋與從所接收數(shù)據塊BL中抽取出的指紋進行比較���。在確定指紋的同時或者之前或者之后���,安裝管理器GIN在步驟24a對于它接收到的由卡CA發(fā)送給控制器CT的所有數(shù)據塊BL進行檢驗,辦法是計算數(shù)據塊數(shù)目�,并把數(shù)據塊數(shù)目和由各接收數(shù)據塊所組成的數(shù)據塊總數(shù)NBL進行比較。如果所接收數(shù)據塊中有一個數(shù)據塊的指紋EM被比較出有差異��,或者如果數(shù)出的數(shù)據塊數(shù)不正確����,則執(zhí)行步驟28Ba使方法停止。
相反���,假如對各數(shù)據塊比較出的指紋都相同而且數(shù)據塊數(shù)正確��,那么安裝管理器GIN在步驟25a利用證券CIN包含的密鑰KC并根據和加密算法AC對稱的解密算法AD�,對加密的專用應用程序數(shù)據DTR,也許還對相關的加密密鑰KSA進行解密����。
然后在步驟26a中,一旦所接收的所有數(shù)據塊BL都被解密�,則管理器GIN將調用與專用應用程序IAS有關的安裝接口IIN,使得可將解密數(shù)據DTR進行傳輸���,還可能把和應用程序有關的外部密鑰KAS予以傳輸����。
最后��,在步驟27a��,卡CB中的安裝管理器GIN把密鑰KC和KMAC和傳輸數(shù)NB進行刪除��,從而也就刪除了卡CB中的證券CIN�。此后移動終端TM中的芯片卡CB就可被用戶以常規(guī)方式應用��。
按照加密和解密的另一種做法��,在步驟6��,6a和9-20,9a-20a中的加密算法ALC和解密算法ALD可以和預儲存在芯片卡CA中的私人加密密鑰不對稱����,和安全服務器SS在步驟5,5a中檢索的公共加密密鑰不對稱��。同樣�����,在步驟15��,15a和25��,25a中的加密算法AC和解密算法AD可以和私人傳輸密鑰和公共傳輸密鑰不對稱����,該私人傳輸密鑰是預儲存在安全服務器SS中的,或是在步驟4����,4a在它當中產生的,該公共傳輸密鑰是預儲存在芯片卡CA和CB中的�,或是在它們當中產生的,或是在步驟20��,20a傳送給它們的。作為一種不同的做法���,安全服務器SS可被撤消�����,而由傳輸控制器CT執(zhí)行安全服務器的功能�����。
按照圖5所示的另一個實施方案�,兩個可移動的數(shù)據處理裝置是芯片卡CA和CB�����,在這兩個裝置間數(shù)據DTR正待傳輸���,而一個接一個地接收移動數(shù)據處理裝置的終端裝置是個人計算機PC或者是個人數(shù)字助理(PDA)或是其它任何一種電子設備����,特別是一種便攜式的電子設備��,它們可與電信網絡RT聯(lián)絡�,能夠閱讀與其聯(lián)絡的芯片卡。網絡RT可包括因特網和一種存取網絡���,比如交換式電話網絡���,或者構成一種局域網,比方WLAN(無線局域網絡)���。
象圖1表示的終端TM����,在涉及數(shù)據傳輸和與之有關的命令方面���,終端PC對于在傳輸控制器CT和卡CA��,CB之間的通信是公開透明的�?��?–A���,CB和終端PC之間的聯(lián)絡是常規(guī)的,可以是通過電接觸的連接,可以是大家知道的無接觸連接的聯(lián)絡��,或者是藍牙或WiFi類型的一種短-程無線電聯(lián)絡��。
在與本實施方案不同的其它做法中��,終端PC和芯片卡CA和CB分別是一個銀行終端和多個信用卡���,或者是一個銷售點終端和多個電子錢包��。
按照和前面各實施方案不同的一種做法�����,按照本發(fā)明的數(shù)據傳輸可用于更新同一個卡中的機密數(shù)據���,因此卡CA和CB在上面的描述和圖形中可被認為是同一個,故而可取消步驟18�����,18a中卡的替換操作�。在這個做法中,在步驟17���,17a中由單個卡以數(shù)據塊BL形式發(fā)送的加密數(shù)據是利用暫時儲存它們的傳輸控制器CT中的算法AD進行解密的����,然后在步驟22�,22a借助算法AC將所處理數(shù)據加密,并由傳輸控制器CT將該數(shù)據發(fā)送給單個卡�。
權利要求
1.用于將數(shù)據從與終端裝置(TM)連接的第一數(shù)據處理裝置(CA)傳輸?shù)揭c終端裝置連接的第二數(shù)據處理裝置(CB)的方法,其特征在于��,該方法包括以下步驟從外部裝置(SS��,CT)通過終端裝置向第一處理裝置(CA)發(fā)送(8)專用應用程序標識符(IAS)��,在第一處理裝置(CA)中�,調用(11)由所發(fā)送標識符(IAS)指定的專用應用程序,讀(12)與該專用應用程序有關的數(shù)據(DTR)�����,并將該數(shù)據進行加密(15)�,使得可向外部裝置(SS,CT)發(fā)送(17)加密的數(shù)據��,并且在該加密步驟之前或之后要使該專用應用程序(IAS)停止工作(14)�,用第二處理裝置(CB)代替(18)第一處理裝置(CA),從外部裝置通過終端裝置向第二處理裝置(CB)發(fā)送(19)該專用應用程序標識符(IAS),和從外部裝置(SS�����,CT)向第二處理裝置(CB)發(fā)送(22)加密數(shù)據(DTR)�����,使第二處理裝置調用(26)由所發(fā)送標識符(IAS)指定的專用應用程序�,將加密數(shù)據解密(25),并將該解密數(shù)據(DTR)予以安裝(26)�。
2.按照權利要求1的方法,按照所述方法加密的第一密鑰和數(shù)字(KC��,RA)是連同專用應用程序標識符(IAS)一起從外部裝置(SS���,CT)通過終端裝置向第一處理裝置(CA)發(fā)送的��,第一處理裝置(CA)對加密的第一密鑰和數(shù)字進行解密(9)�����,如果所解密的第一數(shù)字(RA)滿足第一條件�,則調用(11)由所發(fā)送標識符(IAS)指定的專用應用程序�����,利用第一密鑰(KC),對和該專用應用程序有關的讀數(shù)據(DTR)進行加密(125)��,加密的第二密鑰和數(shù)字(KC��,RB)是連同專用應用程序標識符(IAS)一同從外部裝置通過終端裝置向第二處理裝置(CB)發(fā)送(19)的�����,在第二處理裝置(CB)中加密的第二密鑰和數(shù)字被解密(20)����,如果被解密的第二數(shù)字(RB)滿足第二條件���,則外部裝置(SS�,CT)把加密數(shù)據(DTR)發(fā)送(22)給第二處理裝置(CB)����,并在安裝它們之前(26)利用第一密鑰(KC)對加密數(shù)據進行解密(25)。
3.按照權利要求2的方法�����,該方法包括,一旦加密數(shù)據(DTR)被發(fā)送(17)到外部裝置(SS����,CT),就可將第一處理裝置(CA)中被解密的第一密鑰和數(shù)字(KC����,RA)予以刪除(18),以及/或者一旦加密數(shù)據(DTR)被解密(25)�����,就將第二處理裝置(CB)中已解密的第二密鑰和數(shù)字(KC���,RB)予以刪除(27)��。
4.按照權利要求2或者3的方法�,該方法包括����,如果被解密的第一數(shù)字(RA)和在第一處理裝置中讀出的數(shù)字相比,不滿足第一條件���,則刪除(28A)第一數(shù)據處理裝置(CA)中加密的第一密鑰和數(shù)字(KC����,RA),并/或對于從第一數(shù)據處理裝置(CA)到外部裝置(SS���,CT)傳輸過程的中斷發(fā)出信令����,以及��,如果被解密的第二數(shù)字(RB)和在第二處理裝置中讀出的數(shù)字相比��,不滿足第二條件��,則刪除(28B)第二數(shù)據處理裝置(CB)中加密的第二密鑰和數(shù)字(KC����,RB)�,并/或對于從第二數(shù)據處理裝置(CB)到外部裝置(SS,CT)傳輸過程的中斷發(fā)出信令�。
5.按照權利要求2到4中任一要求的方法,按照所述方法���,第一和第二數(shù)字(RA�����,RB)是由第一和第二處理裝置(CA����,CB)產生的隨機數(shù),并且在向第一處理裝置(CA)發(fā)送(8)專用應用程序標識符(IAS)和加密的第一密鑰和數(shù)字(KC���,RA)之前在外部裝置(SS���,CT)中被檢索,第一條件是解密的第一數(shù)字(RA)和在第一處理裝置中所讀數(shù)字之間的一個等式����,第二條件是解密的第二數(shù)字(RB)和在第二處理裝置(CB)中所讀數(shù)字之間的一個等式。
6.按照權利要求2到4中任一要求的方法���,按照所述方法��,第一和第二數(shù)字分別是在外部裝置(SS��,CT)中被各自增量(IA�,IB)所遞增(4a)的傳輸數(shù)(NA���,NB)�,每次都為外部裝置指定一個專用應用程序,并在第一處理裝置(CA)而后在第二處理裝置(CB)中調用它��,第一條件是解密的第一數(shù)字(NA)比第一處理裝置中所讀數(shù)字的一種優(yōu)先度����,如果這個條件滿足(10a),則導致第一處理裝置中所讀數(shù)字被解密的第一數(shù)字(NA)替代(11a)�,而第二條件是解密的第二數(shù)字(NB)比第二處理裝置中所讀數(shù)字的一種優(yōu)先度,如果這個條件滿足(21a)����,則導致第二處理裝置中所讀數(shù)字被解密的第二數(shù)字(NB)替代(22a)����。
7.按照權利要求2到6中任一要求的方法,按照所述方法����,外部裝置(SS,CT)預先創(chuàng)建第一電子證券(CTR)和第二電子證券(CIN)并予以加密���,第一電子證券包括第一密鑰(KC)�����,第一數(shù)字(RA)以及散列密鑰(KMAC)��,第二電子證券包括第二密鑰(KC)��,第二數(shù)字(RB)以及散列密鑰(KMAC)��,并且該外部裝置還將專用應用程序標識符(IAS)和第一證券(CTR)通過終端裝置發(fā)送(8)給第一處理裝置(CA)��,第一處理裝置(CA)將第一證券(CTR)解密(9)����,并將加密數(shù)據以數(shù)據塊(BL)的形式發(fā)送(17)給外部裝置(SS,CT)���,這些數(shù)據塊具有預定的最大長度和一種指紋(EM)�����,指紋由應用于該加密數(shù)據的散列法產生�����,并取決于從解密第一證券所收集到的散列密鑰���,外部裝置(SS�,CT)將專用應用程序標識符(IAS)和第二證券(CIN)通過終端裝置(TM)發(fā)送(19)給第二處理裝置(CA)�,第二處理裝置(CB)將加密的第二證券(CIN)解密(20),如果從解密的第二證券檢索到的第二數(shù)字(RB)和在第二處理裝置中所讀的數(shù)字滿足第二條件�����,則加密數(shù)據(DTR)以數(shù)據塊(BL)形式從外部裝置(SS���,CT)發(fā)送(22)到第二處理裝置(CB)���,使得第二處理裝置對于接收到的每個數(shù)據塊都可確定出一種指紋,與從接收到的數(shù)據塊中抽取出的指紋(EM)相比���,只有對各數(shù)據塊比較出的指紋都相同的時候����,才對數(shù)據塊中的數(shù)據進行解密����。
8.按照權利要求2到7中任一要求的方法,其特征在于�����,該外部裝置包括安全裝置(SS)和控制器裝置(CT)���,它們通過電信網絡(RT�����,RR)與終端裝置(TM)聯(lián)絡��,控制器裝置(CT)把第一和第二處理裝置(CA����,CB)的識別符(IDA�,IDB)和專用應用程序標識符(IAS)發(fā)送(3)給安全裝置(SS),和安全裝置(SS)產生(4)第一和第二密鑰(KC)并對第一和第二加密密鑰(KA����,KB)進行檢索(5),密鑰(KA���,KB)分別預-儲存在第一和第二處理裝置(CA��,CB)中�����,并分別用于對至少第一密鑰和數(shù)字(KC�,RA)和至少第二密鑰和數(shù)字(KC,RB)進行加密和解密���。
9.按照權利要求1到8中任一要求的方法���,該方法包括在終端裝置(TM)上顯示文本信息或者播放語音信息,以發(fā)布利用第二處理裝置(CB)代替第一處理裝置(CA)的請求(18)��。
10.按照權利要求1到9中任一要求的方法��,按照該方法�����,第一和第二數(shù)據處理裝置是芯片卡(CA���,CB)�,而終端裝置是一種移動無線電通信終端(TM)���,所述終端裝置相繼地接收第一和第二數(shù)據處理裝置�����。
11.按照權利要求1到10中任一要求的方法����,按照該方法��,第一和第二數(shù)據處理裝置(CA��,CB)是同一個���。
全文摘要
在終端(TM)之外的裝置(SS��,CT)向在該終端中使用的第一芯片卡(CA)發(fā)送專用應用程序標識符和加密的第一密鑰和數(shù)字���。在第一芯片卡中,如果被解密的第一數(shù)字滿足第一條件���,則利用被解密的第一密鑰調用該專用應用程序�,讀應用程序數(shù)據�,并將該數(shù)據加密����,以便把它們發(fā)送給外部裝置�����,而且使該應用程序停止工作���。隨著用第二卡(CB)替代第一卡后����,外部裝置就將該標識符和加密的第二密鑰和數(shù)字發(fā)送給第二卡�。在第二卡中,如果被解密的第二數(shù)字滿足第二條件���,則該加密數(shù)據被發(fā)送到第二卡��,以使該卡調用該應用程序����,利用被解密的第二密鑰對加密數(shù)據進行解密�����,并將該數(shù)據予以安裝。
文檔編號H04Q7/38GK1985464SQ200580023681
公開日2007年6月20日 申請日期2005年4月21日 優(yōu)先權日2004年5月13日
發(fā)明者L·默里恩 申請人:格姆普拉斯公司