在数字无线数据通信网中用于安排端对端加密的系统以及相应的终端设备

摘要

本发明涉及在数字无线数据通信网(10)中用于安排端对端(e2e)加密的系统，特别用于音频形式的通信，在所述数据通信网(10)中，两个或更多终端设备块(11.1，11.2)彼此通信，该系统至少包括：用于把模拟音频信号转换成数据流并且反之亦然的编解码器(24)，空中接口加密装置(19，30)，用于管理被储存的关于终端设备(11.1，11.2)的加密参数(TEK，IV)的装置(28)，用所述加密参数(TEK，IV)生成密钥流分段(KSS)的加密密钥流生成器KSG(23)，利用生成的密钥流分段(KSS，IV)来加密数据流并对所述加密进行解密的装置(20)，用于同步所述加密的数据流并用于解同步所述同步的装置(33.1，33.2)，和至少一个用于接收来自数据通信网(10)的加密参数的接口(19)，并且在其中，属于数据通信网(10)的多个终端设备块中至少一个适用于作为特定服务器终端(15)，它基于已建立的准则来至少管理并分布涉及所述数据通信网(10)的加密参数(19)给其它终端设备块(11.1，11.2)。在数据通信网(10)中，还安排所述特定服务器终端设备(15)，以便至少管理加密和/或同步应用程序(32)，并且根据已建立的准则来分布这些应用程序给其它终端设备块(11.1，11.2)，并且在终端设备(11.1，11.2)中安排用于下载和管理所述应用程序(32)的功能(21，22)，以及用于保存应用程序(32)的数据存储器(23)和用于实现应用程序(32)的处理器(20)和操作存储器。

说明书

本发明涉及一个在数字无线数据通信网中用于安排端对端(e2e)加密的系统，特别用于以音频形式发射，在所述数据通信网中，两个或更多终端设备块彼此通信，其中：至少包括如下：

一个编解码器，用于把模拟音频信号转换成一个数据流，反之亦然，

空中接口加密装置，

用于管理被储存的关于终端设备的加密密钥参数的装置，

一个加密密钥流生成器，用于用所述加密参数生成一个密钥流分段，

利用生成的密钥流分段加密所述数据流并对所述加密进行解密的装置，

用于同步所述加密的数据流并用于解同步的装置，和

至少一个接口，用于接收来自数据通信网的加密参数，

并且在其中，属于数据通信网的多块终端设备中至少一个适用于操作为一个特定服务器终端，它按照一个已建立的准则来至少管理并分布涉及所述数据通信网的加密参数给其它终端设备块。本发明还涉及实现所述系统的终端设备。

TETRA(陆上集群无线)是一种为多需求的专业用户群特别设计的数字、无线和集群数据通信标准。一种根据TETRA标准的系统在下文中被称为TETRA系统，它被特别开发以满足例如公共安全组织(警方、消防队、救护车服务)、维护公共交通(地下铁、铁路、飞机场、出租车服务)的组织以及那些军队用户群的要求。它是他们进行高可靠性和安全通信要求的所有这些用户群的特性特征。

TETRA系统基于ETSI(欧洲电信标准学会)和与其结合操作的TETRAMoU(了解备忘录)组织得出的开放标准。

因此，TETRA系统特征尤其在于它的用户环在通过无线方式发生的通信安全上做出的高要求。由于已知空中接口非常易受各种窃听动作伤害，所以所有现代的无线数据通信系统都以某些形式瞄准注意在空中接口的数据安全上。这意味着终端设备和网络基础结构之间的连接防护设施。在网络基础结构内部，数据通信很信赖地发生，因为外部入侵者能掌握系统物理结构是很不可能发生的事情。

为TETRA系统而开发的加密方法主要被使用来满足两个关键需求。其中第一个是一个强标识机构，第二个是无线通信的空中接口加密。

在TETRA系统中，加密发生在终端设备和基站收发信机之间语音和数据通信两者的、以及终端设备块的几乎所有信令信息和标识验证信息的另外如此易损坏的空中接口处。空中接口加密基于一个密钥种类，利用它，在个人和群通信中，用户和信号信息通过终端设备和TETRA SwMI(交换和管理基础结构)之间的空中接口被加密。空中接口加密支持多个著名的标准和生产商特定的加密算法。

假设好的算法和协议被选择，则使用加密的每个系统的安全最终基于加密密钥并且基于它们的生成、分布、使用和保护的方法。对于空中接口加密，取决于可用连接类型，TETRA系统使用例如与GSM系统不同的好几个加密密钥。个人、群组和DM0操作(直接方式操作)全部都具有它们自己的加密密钥。密钥分布在TETRA系统中被安排来发生在由OTAR方法(空中再键控)进行的空中接口加密中，这向系统提供一种再键控方式，因此具有终端设备块的那些操作将不被密钥分发过度扰乱。

在大多数情况下，数据传输中的足够置信度由空中接口加密引起而不需要任何主要的另外安全措施。可是，在TETRA系统中，例如某些专家级用户群需要一个很高的保密等级。此类群组的例子有警方吸毒部门、国家犯罪调查服务和军队用户群，它们常常有一个由国家行政机关建立的比数据传输网只使用传统空中接口加密密钥能提供的安全级更高的安全级。因此，额外的安全要求不仅涉及通过空中接口的数据传输保护，而且涉及适当的从一个终端设备到另一终端设备发生在网络基础结构中。

这些因素例如导致额外的要求，以便获得匿名以及更高级的机密性。在TETRA系统标准中，匿名需要在安全机构中被提供，但是后一要求由端对端加密(e2e)来满足，它被特别使用在通过从一块终端设备到另一块终端设备的整个系统需要最高数据传输安全的情形中。

图1底部显示的箭头描述了在终端设备块之间的通信中，在空中接口加密和端对端加密之间的区别。

例如，公共安全组织具有由用于实现端对端加密的国家行政机关高度建立的特定安全性要求，它例如不同于军队用户群的安全性要求。所有此类组织必须能够按照他们自己的要求定义他们自己的端对端加密系统。

ETSI的MoU组织已经提出了一个建议(SFPG建议2)，它定义了除了加密算法细节之外的端对端加密实施所需的一切。在该描述中，算法被呈现为黑色框。因为该意图要提供对于公共用户群的一个完整解决方案，公共用户群没有特别提出关于加密的高要求，所以该建议包括一个使用已知IDEA算法(国际数据加密算法)用于实施加密功能的附加提议。

可是，这是一个很简单的事实：即，虽然安全功能被集成在该系统中，但是这没有保证系统的理想安全性。可是，当以一种已知方式动作时，通过把安全性危险集中到该系统的某些单元中，它能因此以一个适当的级别被监督，将安全性危险保持在一个最小量。

此监督是与安全性管理有关的工作职责之一。另一职责是保证以一个适当的方式使用安全机构并且以一个适当的方式集成不同的机构，以便获得一个全面覆盖的安全性系统。

根据目前技术发展水平，在TETRA系统的各方面中，空中接口加密是足够的并且不成问题。可是，不管与安全有关的上述事实，则现有技术没有能够提供一个安排端对端加密实施的完全用户群特定的方式。这是一个所希望的性质，例如，在所述专家级用户群中，现在环境气氛存在作为一个总体趋势：他们例如希望一概在他们自己的控制之下保持他们的加密密钥和他们的算法，并且他们不希望把有关他们使用的加密信息的任何信息转让给例如终端设备生产商。

在现代生产过程中，例如终端设备的生产商比如在加密算法和密钥流生成器的装备中坚决涉及与加密相关的模块。另外，例如在实践中如果不是不可能，在终端设备中更新加密算法现在也是很困难的，因为通常他们已经在硬件级被静态地实现。

用于在数据传输中安排加密的动态实施至少在PC环境中是已知的。可是，这些通常与数据业务有关，因此此技术不能被利用在无线和话音环境中。

美国公开物5,528,693提供了语音形式的数据通信的加密。可是，例如关于它的加密算法管理，这不是动态的，因此固定加密算法总是被使用于终端设备中。

美国公开物6,151,677也提供了一种用于在无线终端设备中实施的加密模型。在这里，也按照上述方式根据现有水平来安排加密。加密算法作为固件被安排在终端设备的静态存储器中，它然后由以硬件级实现的终端设备的微处理器来运行。在这里的方案是这样一个方案，它在它实现加密的完整模块方面被本质上静态地集成到终端设备中。这类解决方案中，终端设备生产商例如必须把他自己委托到顾客选择的加密算法上，从例如终端设备后勤的观点来看，这形成一个非常不利的情形。

本发明的一个目的是带来一个用于安排端对端加密的新型系统和相应的终端设备，它本质上改善需要加密的一方(即，用户群和终端设备生产商)的操作必要条件。根据本发明的系统的特性特征存在于权利要求1中，并且相应终端设备的特性特征存在于权利要求5中。

通过把加密组件的一部分形象化，根据本发明的系统改变了端对端加密的结构，但是加密本身仍保持和原来一样。通过结构改变和形象化，加密的保密级本质上被改进并且获得这样一个额外的优势：即，例如终端设备生产商不再需要注意用户群在加密安排方面做出的要求。

在根据本发明的系统中，为终端设备安排一个动态处理器环境，它可用于运行为它所指定的应用程序。在系统中，根据一个有利实施例，具有高保密级别的权限内容通过数据通信网被提供，因此终端设备可以执行为它指配的职责。此类内容例如可以包括诸如加密应用程序之类的端对端加密信息。根据本发明的终端设备提供此实施所需要的服务和接口。

根据一个有利实施例，在终端设备中装配的处理器环境可以基于Java^并且根据J2ME(Java 2 Platform Micro Edition)被规定。

在一个例如可以基于FDMA(频分多路访问)、TDMA(时分多路访问)、CDMA(码分多路访问)或者基于其它无线技术的数据通信网中，一个特定终端设备块被安排，它被用于管理诸如加密应用程序之类的加密信息的分发。

根据本发明的系统，其特征在于：在终端设备中以软件级实现加密。与现有技术的在硬件级加密相比，这实现了终端设备的动态加密应用程序，因此更新应用程序特别容易。

根据一个实施例，以这样的方式可以实行加密信息的更新，以使终端设备的用户不必关于这点采取任何方法并且他的动作将不会由于更新方法而以任何方式被妨碍。

运行于终端设备上的动态应用程序的另一优势是：它例如为终端设备的处理器板提供一个指挥台，利用指挥台，它可以通过动态应用程序的编程接口控制终端设备。

另一方面，从终端设备生产商的观点看，根据本发明的系统的另一优点是：这样的端对端加密信息没有被永久地储存在终端设备中，这是终端设备生产商不知道的。

根据本发明的系统的其它特性特征从附加的权利要求中显现出来，并且在说明书部分中列出可以获得的更多优势。

根据本发明的系统不限制为出现在下面的实施例，通过参见附图更详细地解释该系统，附图中：

图1示出了在数据通信网中的空中接口加密和端对端加密；

图2是实现根据本发明系统的终端设备和服务器示例的示意图；

图3示出了在操作参数的管理中根据本发明的系统的编程接口的示例，和

图4示出了在加密系统的管理中根据本发明的系统的编程接口的示例。

图1是在数据通信网(例如在根据TETRA标准的数字无线网络10)中的空中接口加密和端对端加密的根本区别的示意图。

对本领域技术人员来说很显然，虽然结合基于TETRA基础结构的数据通信网10中的此应用示例来描述根据本发明的系统，但是根据本发明的系统和相应终端设备的使用很明确不限制为此系统。一般而言应当指出：该系统和相应的终端设备通常可以被应用在数字无线网络系统中，既在那些将开发出的系统中，也在诸如FDMA、CDMA、TDMA技术及其附属定义的之类的现有系统中。

在空中接口加密中，只有在无线终端设备11.1和属于数据通信网10的基础结构的基站收发信机16.1之间、以及在基站收发信机16.3和无线终端设备11.2之间，无线信号在数据通信网10中被中继加密。在实际网络基础结构(路由器、桥接器、中继器、交换中心和本领域技术人员已知的其它硬件)16.1、18.2、17、18.1、16.3中，发生的数据传输是可信赖的。这例如意味着防止局外人(即，可能从事间谍活动的人)获得对形成网络基础构造10的设备17、18.1、18.2的连接的物理接入以及防止局外人对它们之间的数据传输总线的物理接入。

在端对端加密中，信号被加密地传播经过从发射终端设备11.1到接收该发射的终端设备11.2之间的整个距离。因此，数据通信网10只做传送数据的工作。

必须指出：标准(即使用于空中接口加密中的加密机构)也被使用于端对端加密中。空中接口加密除了终端设备11.1、11.2与基础构造10之间的语音之外还加密信号。

此外，除提及的无线终端设备块11.1、11.2之外，各个其它数据传输设备可以被连接到网络10，比如把数据通信网彼此连接的网关13、例如被使用来控制用户群形式和控制它们操作的操作者工作站DT 14、直线连接的终端设备块LCT 12以及按照本发明系统执行加密参数管理和加密管理的特定服务器终端设备KMC 15之类的。

图2描述了它们之间的功能和连接，它们在无线终端设备11.1、11.2中以及在执行数据通信网10中的加密管理的一个特定服务器终端设备15中实现了根据本发明的系统的实施例。

所述特定服务器终端设备15例如可以是一个数据终端设备，它连接到数据通信网10，并且关于它，存储装置dB被安排以便至少保存加密参数19，以及如此已知的应用程序，特别是储存动态加密应用程序32。服务器终端设备15被安排来具有一个特别高的数据安全性，因为它被用来保存这样的信息：所述信息对于数据通信系统很关键。

所述加密参数19例如可以包括加密密钥、加密控制参数和如此已知的其它此类加密参数，其中利用OTAK(空中密钥)方法以或多或少规则的间隔将加密密钥交换并中继到终端设备块11.1、11.2。

在应用程序32的储存装置dB中，安排这样的应用程序，比如用于生成一个加密密钥流或用于加密实际数据流的算法，它们可以经由数据通信网10被传送到终端设备块11.1、11.2。根据一个有利实施例，应用程序32可以是JAVA^应用程序，特别是按照J2ME(Java 2 PlatformMicro Edition)规范的。诸如可以不必翻译就可执行的纯本机码(Chet、C#、BREW)之类的其它应用程序形式也适于使用。

在特定服务器终端设备15处，一个管理功能34也被安排，它被用于管理加密参数和应用程序19、32以及用于按照建立的准则来控制它们对终端设备块11.1、11.2的分布。

应该注意：如果资源被安排用于加密密钥和应用程序19、32的管理和分布，则可以用TETRA网络10中的任何那些终端来实现提供服务器功能的终端设备15。这是这种情况：管理应用程序的服务器终端设备15例如还可以与管理和分布加密密钥19的终端设备分开。

当终端设备11.1、11.2通过如此已知的一种空中接口协议19连接到数据通信网10时，它可以使用所选定的传送信道并有利地使用所选定的加密方式从服务器终端设备15中接收所述加密参数和应用程序19、32，它的使用不一定被永久确定。

根据该示例在TETRA网络10中被使用作为传送信道的这样一种分布方式的有利示例是被加密的SDS消息。SDS(短数据服务)是短消息型的一则消息，它通过终端设备11.1、11.2被直接中继到与它结合安排的处理器板上，比如中继到一个SIM(用户标识模块)模块，以这样的方式，终端设备11.1、11.2不以任何方式翻译这则消息。使用在该方法中的传送信道的其它示例是SMS(短消息系统)消息、GSM数据和GPRS传输。

终端设备块11.1、11.2中的应用程序32的下载还可以在本地执行。这例如以这样的方式发生，以使接收加密信息19、32的终端设备11.1、11.2处于与所述服务器终端设备15的固定连接中，然后从所述服务器终端设备15中，加密信息和应用程序19、20例如以串行业务的形式沿着IrDA(红外线数据)连接、蓝牙连接或其它总线被转送，这对于终端设备11.1、11.2(未示出)是有利的。

在根据本发明的系统中，结合终端设备11.1、11.2，安排这样一个功能，其例如提供灵活的信息处理并且根据一个有利实施例例如可以用一个SIM模块28实现之。在一个被安排在SIM模块28的存储器装置中的e2e分区23中，那些加密密钥和应用程序19、32被储存，它们从诸如密钥流生成器之类的服务器终端设备15中被下载和解密。

对于这些方法，结合SIM模块28安排一个SAT分区21(SIM应用程序工具包)。SAT分区21提供一个在终端设备11.1、11.2和SIM模块28中间的机构，倘若终端设备11.1、11.2支持SAT机构，则SAT分区21允许在SIM模块28处安排的一个应用程序来互相作用并控制终端设备11.1、11.2的操作。使用SAT分区21的命令库，在根据本发明的系统中实现加密密钥和应用程序19、32的接收，以及对它们加密的解密并在SIM模块28处把它们存储到e2e分区23中。

除平滑更新方法之外，SAT分区21的命令库可以被用于所述加密数据的有效管理并用于控制加密功能，这被安排从SIM模块28到终端设备11.1、11.2并且将稍后描述之。SAT分区21需要与终端设备11.1、11.2的SAT兼容性，因此在SIM模块28处安排的所述应用程序必须是终端设备11.1、11.2能够理解的形式，而终端设备11.1、11.2必须能够执行由应用程序向它给出的命令。

因此，为本发明实施例中的终端设备11.1、11.2的SIM模块28执行使用于加密(密钥流生成器，KSG)中的加密密钥19和应用程序32的更新。SIM模块28的软件环境例如可以基于J2ME规范，它与SAT软件接口兼容。

此外，SIM模块28的SAT分区21提供的特征包括在终端设备11.1、11.2中应用储存在SIM模块23上的多级菜单以及安排在它们后面的简单应用或功能的可能性。

在根据本发明的系统中，应用程序管理22还被安排在终端设备11.1、11.2处。根据一个有利实施例，这例如可以利用JAM(Java应用管理)来实现。它的职责是起作用作为在终端设备11.1、11.2的RTOS(实时操作系统)、安排在SIM模块28上的SAT分区21之间的一个接口，并且提供命令终端设备11.1、11.2和KVM(即Java^虚拟处理器20)的应用程序。JAM 22被用来控制在终端设备11.1、11.2处下载的应用程序32的椎栈和它们在虚拟处理器KVM 20处的下载。

因此，在终端设备11.1、11.2的RTOS上，例如一个Java^虚拟处理器KVM 20(千字节Java虚拟机)被运行，它优选地是符合J2ME规范(Java 2Platform Micro Edition)。因此，处理器20优选地按照MIDP规范(移动信息设备配置文件)来配置，因此KVM 20将只需要最小量的类库和必需的API(应用协议接口)。JAM 22专注于和SIM模块28的SAT分区21的接口功能，即，它的职责是代表KVM 20来控制在终端设备11.1、11.2的存储器装置、SIM模块28的e2e分区23以及KVM 20之间的加密应用程序32的存储、取出以及返回。另外，JAM 22被用来控制Java^应用程序的下载，即，来自数据通信网10的MIDdlet(虚线箭头)。

终端设备11.1、11.2的用户级具有如此已知的一种模拟音频部分25，它至少包括用于接收用户语音的送话器装置25.2和用于收听由终端设备11.1、11.2接收的传输的扬声器装置25.1。音频信号在位于音频部分25的数字部分中的语音编解码器24中以如此已知的方式经受AD变换(编码)，这将导致一个数据流被加密。相应地，当接收一个传输时，从加密中解密出来的数据流将在语音编解码器24中经受DA变换(解码)，因此通过扬声器装置25.1，终端设备11.1、11.2的用户能够听到并了解它。

此外，终端设备11.1、11.2包括一个外部数据终端设备(DTE)26的连接接口，它可以被用于从服务器终端设备15或此类设备中下载诸如密钥和应用程序之类的加密信息到终端设备11.1、11.2中而不需要与实际数据通信网10的任何连接。

图3是根据本发明的系统控制操作参数作为接口说明的一种有利的实施方式的示意图。图中交叉线区域表示被实现为Java^-MIDdlet 27的一部分，它因此与KVM 20动态地运行在终端设备的RTOS上。在下面首先从要被发射的业务的观点然后从要被接收的业务的观点来描述MIDdlet 27的操作。

在应用示例中，结合MIDdlet 27安排两个功能API接口。第一个接口是音频API 29，在它后面，一个音频部分25以及语音编解码器24和其他功能被安排在用户接口中(尤其是送话器25.2，扬声器25.1)，这对本领域技术人员来说是显然的并且不在图中示出。在API定义中，从本发明的观点看本质的是从编解码器24抵达到MIDdlet 27的并且从MIDdlet 27离开到编解码器24的平常数据业务。

在根据本发明的系统中，进行AD变换的数据流(平常业务)因此从用户级音频API 29中被捕获并提供用于处理终端设备11.1、11.2的处理器(即，KVM 20)运行的Java^-MIDdlet加密应用程序27。应用程序27例如执行一个XOR操作或其它所选定的加密应用程序，它被带到根据本发明系统的终端设备11.1、11.2中。

Java^-MIDdlet 27的其它接口是SIM API 28.1，在它后面示出的是SIM模块28的e2e分区23的功能，它们是本发明的要点，并且加密参数被保持在其中。当对实现加密同步的数据业务和数字值IV(初始化向量)进行加密时，在SIM模块28的e2e分区23中运行的密钥流生成器KSG作为输入TEK(业务加密密钥)被给出。

加密密钥由服务器终端设备15提供给终端设备11.1、11.2，并且在终端设备11.1、11.2处根据已知技术生成IV。密钥流生成器KSG产生一个密钥流分段，它经由SIM API 28.1被引导到MIDdlet 27用于加密应用程序XOR。另外，密钥流生成器KSG产生一个同步帧(Synch帧)，它通过SIM API 28.1被提供到由MIDdlet 27产生的同步功能33.1(Synch控制)。

一个串行端口API是实现SIM接口28.1的另外一种可替换方式。因此，这样一个加密模块被装配在终端设备11.1、11.2的外部连接接口中，它例如可以与它的电池连接。因此，密钥流生成器KSG的管理信息可以发给所述的连接接口。此外，还可以从外部连接接口中读取加密模块产生的密钥流分段用于XOR和/或XOR′操作。

此外，还可以以这样的方式实现终端设备11.1、11.2，即：没有提供加密功能的加密模块连接到它的外部接口(例如，一个串行端口API)，并且终端设备11.1、11.2不包括任何SIM模块28。在这种情况下，能够以这样的方式实现根据本发明的端对端加密功能，即：在上述应用示例中，安排在SIM模块28处的加密功能23还被实现为要被下载的一种应用程序。因此，必须特别确保终端设备11.1、11.2的安全。

由XOR操作加密的数据流还被提供给由MIDdlet 27执行的同步控制(Synch控制)。这被用来执行数据流如此已知的功能。从Synch控制中，加密数据流(crypt业务′)和同步帧(synch帧)从MIDdlet中通过音频API29接口退出到MAC(媒体访问控制)层并且进一步退到物理层30。

在MAC层中，射频和时隙被管理并且帧被偷窃用于同步。在物理层中，采用如此已知的步骤，诸如数据流的编码和解码(空中接口加密/解密)以及进一步的发射/接收。另外，加密数据被发射给数据通信网10，在此，它以一种就加密技术方面如此已知的端对端方式被转送到接收终端设备11.2。如果在同步控制中完成帧偷窃，那么不需要同步帧、同步帧′接口。

用或者被缓存的终端设备11.1、11.2的存储器装置安排要被发射以及接收的加密数据流的同步，或者另一方法用一个流控制协议来做这件事。这样做以确信要从终端设备11.1、11.2转送给网络10以及从网络10转送到终端设备11.1、11.2(上行链路/下行链路业务)的分组处于正确的顺序和时间。

当终端设备11.1接收e2e发射时，在MIDdlet 27中通过audio API 29接口从终端设备11.1的物理层30中接收加密数据(crypt业务′)和同步帧(synch帧′)。数据流的同步由功能(Synch检测)33.2解同步，功能33.2在MIDdlet 27中被安排用于该目的。基于同步，选择要使用的解密密钥和算法。

加密数据流(crypt业务)被引导到执行XOR操作的逆功能XOR′的算法中，并且例如从SIM模块28的e2e分区23的加密密钥流生成器KSG中获得对加密进行解密所需要的密钥流分段KSS，此生成器接收从Synch检测33.2中接收的TEK和Synch帧′作为输入。另外，解密数据流(平常业务)通过音频API 29被引导到终端设备11.1的音频部分25，并且在已知中间级(尤其是DA变换)之后，变成了用户可以理解并且在扬声器装置25.1的帮助下可以被收听的一种形式。

图4示出了结合了加密系统的管理的根据本发明的系统的编程接口示例。在SIM模块28的e2e分区23处安排密钥管理28.2和SAT 21。终端设备11.1、11.2的SIM模块28提供的接口可以连接到MIDdlet 27的MIDP的公共用户接口。因此，要被下载的MIDdlet 27为SIM模块28实现这样一个接口，通过此接口，这可以控制终端设备11.1、11.2的运行。因此，SAT功能由此被转换成MIDP API功能。

SIM模块28的e2e分区23通过SIM API 28.1与Java^MIDdlet 27中实现的SAT 21连接。MIDdlet 27的SAT 21′通过消息传送API接口35与TNSDS-SAP 31(TETRA SDS服务访问点)连接。TNSDS-SAP 31是一个协议，通过此协议，允许用户应用程序应用SDS传送承载。数据传输和接收既可以被执行为SDS又可以被执行为SMS(短消息业务)，正如在GSM中。

根据一个有利实施例，在终端设备11.1、11.2下载的应用程序27除了实现SIM模块28的接口之外，还可以经由编程接口36独立地控制终端设备11.1、11.2的操作。因此，使用终端设备11.1、11.2处存在的编程接口36(MIDP-API)，在终端设备11.1、11.2处下载的应用程序27将提供终端设备的SAT功能21′。此特征通常非常有用，并且无论如何这不只是端对端加密特定的情况。

如果要被发射到终端设备11.1、11.2的SDS数据例如是加密密钥或应用程序，那么MIDdlet 27的SAT 21′将处理这些并通过SIM API 28.1的消息协议28*引导这些到SIM模块28。在SIM模块28处，所述加密信息按照上述方式被处理。

如果通过SDS载体到达的信息例如是图片、游戏、动画、声音或其它这样的信息，那么这些被沿着MIDP的普通API 36从MIDdlet 27中实现的SAT 21′中直接引导到终端设备11.1、11.2的用户接口，该用户接口例如包括键盘、显示器和扬声器25.1。

因此，终端设备11.1、11.2被用来运行一个动态虚拟处理器KVM20，在此，当端对端加密被激活时，由动态虚拟处理器20来运行实现MIDdlet 27。如果终端设备11.1、11.2的用户希望激活其它的Java^应用程序，那么加密应用程序的性能被停止，并且然后跟着对用户的一个通知。如果终端设备11.1、11.2和虚拟处理器的资源允许，则加密应用程序还可能按照一种后台方式运行。

在用户接口处，可以以这样的方式实现Middlet加密应用程序27，以使它总是总是有效的，或者可替代地，它可以由用户分别激活。当在任何时候应用程序27被设置为有效时，它的激活将在终端设备11.1、11.2开启时自动发生。在终端设备11.1、11.2中，可以有一个或多个应用程序，因此它们将需要某种类型的分离器把它们与任何其它应用程序分开。

例如从GSM终端设备中了解用户选择的实施方式。在那里，用户可以激活Java应用程序菜单中他选择的应用程序。优选地，Middlet应用程序的打印结果(菜单，图符单元等等)例如作为一个子菜单被呈现，因为否则它们可能会在终端设备的适当用户接口UI上导致混淆。在一个标准用户接口处，例如可呈现一个图标，通过它，可访问MIDdlet应用程序菜单。

可以被运行的应用程序还可以根据不同的准则进行分类。因此可以例如为根据本发明的加密应用程序建立特定权利。

根据本发明的系统向终端设备11.1、11.2的用户群提供加密信息安全特征的重要改善。例如，用户群可以根据他们的个人需求来交换较长一些的密钥，该密钥可以被使用来显著提高加密的安全性。

应该理解：上面的解释和有关附图只用来说明根据本发明的系统。因此，本发明不只是局限于上面呈现的实施例或者权利要求中定义的那些实施例，而是许多此类不同的变化，并且本发明的改进对本领域技术人员来说将是显然的，它在所附的权利要求中定义的创造性构思的范围内都是可行的。