用于使在几个实体的控制下利用数据处理装置的会话安全的方法

摘要

本发明涉及一种用于在至少两个实体、诸如服务器的控制下使利用处理装置、诸如智能卡(CA)执行会话安全的方法，包含传输(X2，Y2)会话数目(NSX，NSY)和会话密钥(KSX，KSY)给实体；在处理装置和相应的实体中应用(X6，X，Y6，Y8)会话数目和密钥到一种算法(ASX，ASY)，以生成一个结果(REX，REY)和签名(SGX，SGY)；向处理装置传输(X7，Y7)该数目和签名；以及当签名与结果相同(X9，Y9)时，对应于来自处理装置的数目执行(F10)会话。在另一个实施例中，实体中的一个接收第三实体的委托以授权执行会话。

说明书

本发明一般来说涉及在第一和第二电子实体的控制下使利用一个数据处理装置执行会话安全。

例如，数据处理装置是一个多种应用智能卡，其中假如至少两个实体给予了访问某些资源的授权则这些资源必须是可访问的。这是因为：取决于两个电子实体、诸如银行和自动售货机服务器的授权，在智能卡的文件中进行写入，或者更实际来说，在电子钱包类型的卡中进行一个帐户的借记，有时是有利的。

确切来说，本发明旨在至少两个电子实体的控制下使在处理装置、诸如智能卡中起动会话安全。

为此，描述了一种用于在至少两个电子实体的控制下使利用一个数据处理装置执行会话安全的方法，它包含下列步骤：

-分别从处理装置向实体传输会话数目和会话密钥；

-在处理装置和相应的实体中把相应的会话数目和相应的会话密钥应用于相应的一种安全算法，以便生成一个相应的结果和一个相应的签名；

-从相应的实体向处理装置传输相应的会话数目和相应的签名；以及

-当签名分别与结果一致时执行来自处理装置的会话。

所以处理装置能够确信：所请求会话的执行确实对应于最初传输的会话数目，在把相应的结果与相应的签名相比之前，分别对应于将被传输到实体的相应会话数目把相应结果写入在处理装置的存储器中，并且和由实体传输的相应会话数目相一致地读取相应结果。

实际上，每一个实体向处理装置传输相应的数据和相应会话数目以及相应签名。该数据包含对执行会话的同意或者拒绝。因此，如果另外处理装置在每一个数据中检测到由相应实体接受了会话，则执行会话。

依据第二个实施例，如果所述至少两个实体中的一个已经分别接收了用于由第三实体执行会话的委托，则执行会话。在这个第二实施例中，该方法包含下列步骤：

-把有利于所述至少两个实体中一个的相应委托信息从第三电子实体传输给处理装置，

把和相应会话数目相同的一个会话数目、和第三会话密钥从处理装置传输给第三预定实体，

-由第三实体把会话数目和第三会话密钥重新传输给所述一个实体，以及

-在所述一个实体和处理装置中不仅把用于所述一个实体的会话数目和相应会话密钥而且还将第三会话密钥应用于相应的安全算法，以便生成相应的签名和相应的结果。

所以所述一个实体确信：请求其执行的会话由第三实体确认，在所述一个实体中把由第三实体重新传输的会话数目和由处理装置直接传输给所述一个实体的会话数目进行比较，而且至少只有当所比较的会话数目相同时才执行应用在所述一个实体中的步骤。

委托能够被传输给不只一个实体。因此，从第三实体委托所述至少两个实体中的至少一个其它实体，所以只有当依据会话数目生成的签名和结果、相应的会话密钥和第三密钥分别相同时，才执行会话。

通过阅读本发明几个最佳实施例的下列说明，并参考相应的附图，本发明的其它特征和优点将会更加清楚地显现出来，其中：

-图1是在电信网络中、用于实现依据本发明的安全方法的几个电子实体和智能卡类型的数据处理装置的示意图框图；

-图2是依据本发明第一实施例、利用数据处理装置和两个电子实体的安全方法步骤的算法；以及

-图3是依据本发明第二实施例、利用数据处理装置和委托给前两个实体的第三电子实体的安全方法步骤的算法。

图1描述了指定全部所有电信网络类型的电信网络RT，诸如无线电话网络、交换电话网络、综合业务数字网络ISDN、诸如ATM网或者Internet的高速率网络、包传输网络等。网络RT构成了在数据处理装置CA和各种电子实体之间的通信工具，其中描述了三个电子实体EX、EY和EZ。

对随后将参考的内容举例来说，数据处理装置是一个控制器，诸如智能卡CA的微控制器，其中必须启动一个会话，它可以是一个将要在数据处理装置本身中执行的任务，或者数据单元、诸如消息和实体EX、EY和EZ中的至少一个的交换。因此数据处理装置能够不仅仅是一个智能卡、也被称为微控制器卡，也可以是任何其它便携式电子物体，诸如电子助理或者管理器、电子钱包、令牌或者袖珍式计算器。

电子实体、例如实体EX或者EY是一个远离卡CA的服务器，例如属于卡CA的发行者，或者和在卡CA中实现的一个应用有关系。

在一个变体中，实体EX和EY本身是放在附加阅读器中的智能卡，其中该附加阅读器被包含在远离卡CA的服务器中，所以智能卡的两个管理员、持有人通过用户的智能卡启用会话。

实体EZ能够是接受智能卡CA的终端TA，诸如备有一个附加读卡器的金融终端、销售点终端或者移动无线电电话终端，或者如在以下所述的第二实施例中提供的第三服务器。

依据本发明的方法的第一实施例，在两个实体EX和EY的控制下使得利用智能卡CA执行会话安全。

例如，智能卡CA是一个具有由燃料分配公司发布的忠实点数帐户的卡。在一个服务站处插入一个作为实体EZ的终端TA之后，卡CA只能够由两个实体EX和EY借记，所以卡的持有人接收他选择的、对应于借记点数的物品。第一实体EX是一个物品供应商，它仅仅授权将要在其识别之后被借记的卡CA。第二实体EY是一个燃料分配公司的服务器，它不仅验证卡CA的身份，而且验证包含在其中的点数帐户，以便授权借记在卡CA中的帐户。因此，只是在由两个实体EX和EY标识卡以及由实体EY接受了借记以后，或者更全面来说，在由两个实体EX和EY接受了“借记点数”会话的执行之后，在此包括借记在卡CA中的忠实点数帐户的会话才被授权。

依据另一个例子，卡CA的持有人必须获得作为实体EX和EY的其它两个智能卡持有人的授权，例如以便访问在企业内部网中的预定文件。然后把“管理”卡EX和EY插入到网络中的终端的阅读器中，以便依据访问预定文件的权限把对会话的接受或者拒绝传输给卡CA。

预先假定，智能卡CA最好是主动的，而且因此本身能够通过接受终端TA向外界起动动作，其中该外界尤其包括电信网RT，然后对这些动作是透明的，尽管在一个变体中某些动作能够由接受终端TA本身触发。卡CA本质上具有一个和实体EX和EY的特许链接，并且在非易失性存储器EEPROM中包含实体EX和EY的目的地址ADX和ADY，诸如它们的电话号码或者它们的IP(网际协议)地址。卡CA中的非易失性存储器还包含分别与实体EX和EY有关的公有加密密钥KPX和KPY。

依据第一实施例如图2所示的安全方法首先包含两组步骤X1到X9和Y1到Y9，它们一方面与在卡CA和第一实体EX之间的交换有关，另一方面与在卡CA和第二实体EY之间的交换有关，然后包含最后的步骤F9到F15。步骤X1到X9分别与步骤Y1到Y9相同，该方法首先仅仅就在卡CA和第一实体EX之间的交换进行了详细描述。

一旦卡CA决定执行一个会话，例如继来自接受终端TA的请求之后，则在步骤X1，卡CA通过第一实体EX启动卡CA的验证。验证是传统的，而且实质上包括：通过第一实体EX把一个随机数传输给卡CA，并且在实体EX中比较都预先存储在卡CA和实体EX中的这个随机数和验证密钥的应用结果，该应用结果都在卡CA和实体EX中执行。相反地，卡CA验证实体EX。更彻底地，在一个变体中，验证是相互的，也就是说验证包含：通过实体EX验证卡CA，以及通过卡CA验证实体EX。

在一个变体中，安全方法不包含验证。

如果在可选的验证之后卡CA没有接收到无效消息，则在步骤X2，卡CA生成一个可以是任意的会话密钥KSX，并且把会话数目NSX与此相关。然后，在已经相应地存储了密钥KSX和数目NSX之后，卡CA准备一条将被传输给实体EX的消息，该消息包含借助于相应的公有加密钥KPX加密的相应会话数目NSX和相应会话密钥KSX。在步骤X3，由卡CA把这样形成的加密消息MEX传输给实体EX。

在步骤X4依据对应于公有卡密钥KPX的一个私有解密钥解密制定的消息之后，在步骤X5，实体EX建立第一数据DX，尤其是用以指示它接受了将被执行的会话，或者在那里它的拒绝是合适的。然后，在步骤X6，实体EX确定由把所接收的会话数目NSX和会话密钥KSX应用到第一安全算法ASX产生的一个签名SGX。在步骤X7，实体EX创立一条控制消息CX，它包含会话数目NSX、签名SGX＝ASX(NSX，KSX)和数据DX，并且被传输到卡CA。控制消息CX的内容最好是以类似于消息MEX的方式进行加密。

在卡CA中，在在步骤X3传输加密消息MEX之后，还在步骤X8确定把会话数目NSX和会话密钥KSX应用于第一安全算法ASX的结果REX。响应于控制消息CX，在步骤X9，把结果REX写入在卡CA中的非易失性存储器中直到它被读取为止。在这个步骤X9，把由卡接收并且对应于会话数目NSX的签名SGX与保存在卡中的结果REX进行比较。如果签名SGX不同于结果REX，则由终端TA和卡CA请求的会话被后者拒绝。

否则，当签名SGX与结果REX相同时，由于依据由实体EY传输的第二签名SGY与由卡CA确定的第二结果REY相同，步骤Y1到Y9还导致步骤Y9，所以该方法转到最后的步骤。在图2中可以看出，步骤Y1到Y9源自于先前描述的步骤X1到X9，用字母Y代替了字母X。因此，第二结果REY由在卡CA中把在步骤Y2由卡CA生成的第二会话数目NSY和会话密钥KSY应用于第二安全算法ASY产生，其中会话密钥KSY可以是随机的。第二签名SGY由在步骤Y4在第二实体EY中把由卡CA在步骤Y3以加密形式在消息MEY中传输的会话数目NSY和会话密钥KSY应用于第二安全算法ASY产生。在步骤Y7，第二实体EY还在一条最好被加密的控制消息CY中传输数目NSY和签名SGY以及第二数据DY，其中该第二数据DY表示经由实体EY接受了会话的执行或者它的拒绝。

在步骤X9第一签名SGX和第一结果REX相同、以及在步骤Y9第二签名SGY和第二结果REY相同之后，卡CA在步骤F9比较数据DX和DY。如果数据DX和DY中的一个或者另一个表示拒绝，或者如果由实体EX和EY重新传输的会话数目中的NSX或者NSY不同于在步骤X2或者Y2指定的数目，则不执行所请求的会话。否则，数据DX和DY表示对应于所接收的数目NSX和NSY由实体EX和EY接受了会话，而且该方法继续在步骤F10执行会话。

依据第一实施例的另一个变体，在第一实体EX和卡CA之间进行数据交换时指定的第一会话数目NSX以及在卡CA和第二实体EY之间进行数据交换时指定的第二会话数目NSY相同，而且第一和第二安全算法ASX和ASY是相同的。

依据如图2中短划线所示的最后步骤的第一变体，当在步骤X9和Y9处第一签名SGX与第一结果REX相同而且第二签名SGY与第二结果KEY相同时，智能卡CA把相应的确认ACKX和ACKY传输宁可到第一和第二实体EX和EY。更可取地是，第一和第二确认ACKX和ACKY的传输宁可出现在最后步骤F9之后，当卡CA在第一和第二数据DX和DY中已经检测到由实体EX和EY接受了会话时。由于这两个确认，实体EX和EY每个都知道另一个实体已经接受了会话。能够如图2中说明的那样在以下步骤F10、或者在一个变体中在传输确认ACKX和ACKY之前执行会话。

依据最后步骤的第二变体，在在步骤X9和Y9发现签名和结果相同之后、更可取地是在检测到由实体EX和EY接受了会话之后，卡CA在步骤F11生成一个表示会话将在步骤F10被执行的字ACK。关于这一点，能够如图2所示在在步骤F11传输字ACK之前，或者在一个变体中在步骤F11之后，在步骤F10执行会话。

更确切地说，依据这个第二变体，卡CA生成由把表示的字ACK和第一会话密钥KSX应用于第一安全算法ASX产生的第一字签名SAX，和由把表示的字ACK和第二会话密钥KSY应用于第二安全算法ASY产生的第二字签名SAY。在步骤F12，卡CA把字ACK和字签名SAX和SAY封装在一条消息AY中，以便把它传输给该实体中的一个、例如第二实体EY。

在步骤F13，第二实体EY依据已经在步骤Y4接收和保存在实体EY中的相应会话密钥KSY，通过把所接收的字ACK和密钥KSY应用于第二算法ASY以便生成一个和接收的第二签名SAY相比较的结果，来验证在所接收的表示会话的字ACK和相应的第二字签名SAY之间的一致性。如果这个比较是肯定的，也就是说如果所接收的字ACK对应于签名SAY，则在步骤F14，第二实体EY向另一个实体EX传输一条包含表示会话的字ACK和另一个签名、即第一字签名SAX＝ASK(ACK；KSY)的消息AX。在接收到消息AX时，第一实体EX依据已经在步骤X4接收和保存在实体EX中的相应会话密钥KSX，验证在表示的字ACX和所接收的第一字签名SAX之间的一致性。在步骤F15，这个验证包含把所接收的字ACK和第一会话密钥KSX应用于第一安全算法ASX，以及比较通过这种算法生成的结果和所接收的签名SAX。

如果在步骤F13实体EY发现在表示会话的字ACK和第二字签名SAY之间缺乏一致性，则实体EY忽略执行会话的结果，并且不向实体EX传输消息AX，或者向实体EX传输一条否定的确认消息；在一个变体中，当会话仍然在卡CA中经由终端TA被执行时，实体EY还继续取消会话。同样地，当第一实体EX发现在表示会话的字ACK和第一字签名SAX之间缺乏一致性时，实体EX忽略执行会话的结果，并且更可取地是把它发信号通知给实体EX；在一个变体中，当会话被执行时实体EX还继续取消在卡CA中的会话。

在一个变体中，确认消息ACKX和ACKY、和/或消息AX和AY被加密了。

尽管已经就两个实体EX和EY对第一实施例加以描述，但是本发明还包含具有两个以上实体的实施例，其中两个以上的实体每个都必须依据步骤X1到X9、Y1到Y9给出对卡CA的认可。特别地，就在图2底部显示的第二变体来说，步骤F11生成与实体EX、EY具有一样多的字签名SAX、SAY，而且这些实体中的每一个在它依据相应的会话密钥KSX、KSY验证在表示会话的字ACK和相应的字签名SAX、SAY之间的一致性期间，执行步骤F13、F15，等诸如此类，直到最后的实体为止。

依据根据本发明的安全方法的第二实施例，插入了第三电子实体EZ。当卡CA决定执行一个预定的会话时，它例行常规地询问第三实体EZ，该第三实体EZ不具有足够的信息以决定它是否接受所请求的会话；实体EZ然后通过把第一和第二委托信息IDX和IDY分别传输给第一和第二实体EX和EY，把这个判定委托给它们持续一段预定时间。

根据一个补充的变体，如果在步骤F10的会话中执行的命令需要插入实体EZ，而且如果实体EZ不能或者不希望干涉这个交互式的交换，则该委托允许实体EZ向卡CA指示已经接收了委托的实体EX、EY有权代表实体EZ采取行动。

例如，如图1所示，第三实体EZ、委托人是银行的服务器，它在每年的假日期间允许贷款给卡所有者CA，而且随后信任连接到Internet并且给出将被购买的产品的商业站点的第一服务器EX以及还信任产品供应商的第二服务器EY。当用户、代理人借助于他自己的连接到网络RT、并且具有一个附加的卡阅读器的计算机终端TA决定从服务器EX购买一件产品时，由银行服务器EZ起动这个交易，其中可以在该卡阅读器中插入卡CA，该银行服务器已经验证了对应于智能卡CA的帐户具有授权的信贷，并且具有由服务器EX和EY、即代理人传递的交易，以至于服务器EX和EY已经接收了以由卡CA提供并且由服务器EZ重新传输的密钥KSZ的形式的验证，如以下将看到的那样。

假定在这个第二实施例中实体EX和EY已经具有获悉了由第三实体EZ传输的委托。

通过比较图2和3可以看出，根据本发明的方法的第二实施例首先包含与在第三实体EZ和智能卡CA之间的数据交换有关的步骤Z1到Z7。以类似于第一实施例的方式，卡CA在非易失性存储器中包含实体EX、EY和EZ的目的地地址ADX、DAY和ADZ，以及与这些实体有关的公有加密钥KPX、KPY和KPZ。

在第一步骤Z1，继由卡CA传输给实体EZ的会话执行请求之后，实体EZ验证卡CA，或者在一个变体中实体EZ和卡CA彼此互相验证。

在一个变体中，安全方法的第二实施例不包含验证。

在可选的验证之后，实体EZ把第一和第二项委托信息IDX和IDY提供给卡CA。第一和第二项委托信息中的每一个包含例如实体EX、EY的地址ADX、ADY、或者其它委托标识符，和用于执行会话所需要的权限数目，即其的接受是用于执行会话所需要的实体、诸如实体EX和EY的数目。因此，在步骤Z2，第三实体EZ以一条消息的形式把第一和第二项委托信息IDX和IDY以及实体EZ的源地址ADZ传输给卡CA，该消息用第三实体EZ的对应于公有密钥KPZ的私有密钥加以签名，然后用卡CA的公有密钥KPCA进行加密。在在步骤Z 3解密、签名验证和存储信息IDX和IY之后，在步骤Z4，卡CA生成会话数目NS以及三个可以是任意的会话密钥KSX、KSY和KSZ，并且对应于会话数目NS分别把它们与实体EX、EY和EZ相关联。这四个参数NS、KSX、KSY和XSZ被保存在卡中以便用在后面的步骤中。

在以下的步骤Z5，卡CA用加密钥KPZ加密会话数目NS和第三会话密钥KSZ，以便在一条加密信息MEZ中把它们传输给第三实体EZ。在步骤Z6解密消息MEZ并且存储数目NS和会话密钥KSZ之后，实体EZ创立两条分别传输给实体EX和EY的消息MZX和MZY。第一条消息MZX包含借助于第一实体EX的公有密钥KPX进行加密的会话数目NS和第三会话密钥KSZ以及目的地地址ADX。第二条消息MZY也包含借助于第二实体EY的公有密钥KPY进行加密的数目NS、密钥KSZ和地址ADY。消息MZX和MZY分别由实体EX和EY接收，以便在以下步骤Z8X和Z8Y中借助于它们的私有加密钥在其中被解密并且被存储在其中。

平行于步骤Z4到Z7，卡CA响应于在步骤Z3接收的委托信息IDX和IDY，执行步骤X1到X4和Y1到Y4，上述步骤实质上与已经结合图2描述的那些步骤相同，以便借助于由实体EZ委托的实体EX和EY验证卡CA，并且由卡CA把加密消息MEX[NS，KSX]和MEY[NS，KSY]传输给实体EX和EY，并且在步骤X4和Y4解密这些消息。

然后，在步骤Z9X、Z9Y，在实体EX、EY中，从在步骤F9把所接收的会话数目和存储的NSX、NSY进行比较类推，把在步骤Z8X、Z8Y存储、并且由第三实体EZ传输的会话数目NS与在步骤X4、Y4由卡CA传输和解密的会话数目NS进行比较。如果会话数目不同，则实体EX拒绝所请求的会话。否则，两个会话数目是相同的，而且在步骤X5、Y5创立表示由委托的实体EX、EY接受了会话的数据DX、DY。方法继续步骤X6Z和X7z、Y6Z和Y7Z，上述步骤X6Z和X7Z、Y6Z和Y7Z分别代替步骤X6和X7、Y6和Y7，而且由于通过把在先前步骤Z9X、Z9Y确认的会话数目NS、在步骤X4接收和解密的会话密钥KSX、KSY、和在步骤Z8X、Z8Y接收、解密和存储的第三会话KSZ应用于安全算法ASX、ASY来确定签名SGXZ、SGYZ的事实，而不同于这些步骤。会话数目NS、签名SGXZ、SGYZ和数据DX、DY最好是被加密和封装在一条传输给卡CA的消息CXZ、CYZ中。

并行于步骤X4到X7Z、Y4到Y7Z，在步骤X8Z、Y8Z，代替步骤X8、Y8，通过把会话数目NS、密钥KSX、KSY和第三密钥KSZ应用于安全算法ASX、ASY，在卡中确定结果REXZ、REYZ。

在卡CA中，以下步骤X9Z、Y9Z比较签名SGXZ、SGYZ和结果REXZ、REYZ，以便当验证恒等式SGXZ＝REXZ和SGYZ＝REYZ时转到最后的步骤F9。

借助于由卡CA通过第三实体EZ传输第三密钥KSZ和由卡CA直接传输密钥KSX和KSY到实体EX和EY，取决于这两对密钥与接受数据DX和DY把签名SGXZ和SGYZ传输到卡CA，确保了实体EX和EY已经恢复实体EZ的委托，并且被授权发出指令以通过委托执行会话数目NS。

根据组合第一和第二实施例的第三实施例，实体EX和EY中只有一个、例如第一实体EX被第三实体EZ委托。只有当卡CA已经接收了通过来自实体EZ的委托的实体EX的接受、和与实体EZ无关的实体EY的接受时，才执行会话。

就第三实施例来说，保持了在图3中相对于卡CA的左手边算法，即步骤Z1到Z7，省略了IDY(ADY)、KSY和KPY和步骤Z8X到X9Z，而且在图3中涉及和实体EY的关系的右手边算法被步骤Y1到Y9到图2中的右边代替了，按次序最后在步骤F9在卡CA中读取所接收的数据DX和DY之前，在步骤X9Z和Y9比较签名SGXZ和结果REXZ以及签名SGY和结果REY。