用于確保數(shù)據(jù)交換安全的系統(tǒng)及方法、便攜式用戶對象以及用于下載數(shù)據(jù)的遠程設(shè)備的制造方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及使主機與客戶端之間(例如服務(wù)器與電子便攜式可連接對象之間)數(shù)據(jù)交換安全的領(lǐng)域。更確切地,本發(fā)明涉及一種系統(tǒng),所述系統(tǒng)包括便攜式電子對象,所述便攜式電子對象可連接至遠程服務(wù)器,所述系統(tǒng)被適配為創(chuàng)建主機與客戶端之間數(shù)據(jù)交換的安全信道且提出對侵入和攻擊的防御和保護策略。
【背景技術(shù)】
[0002]在經(jīng)由本地或擴展網(wǎng)絡(luò)連接的不同設(shè)備之間進行的數(shù)字數(shù)據(jù)交換帶來了真正的安全問題。事實上,在兩個連接的設(shè)備之間交換的數(shù)據(jù)的機密性或真實性幾乎不受控制。
[0003]然而,真正需要控制這些數(shù)據(jù)、它們的完整性及它們的機密性。舉例來說,可以實現(xiàn)藉由互聯(lián)網(wǎng)類型擴展網(wǎng)絡(luò)虛擬完成的銀行交易。在這種情況下,完全理解完全保密地交換數(shù)據(jù)的絕對必要性。
[0004]從現(xiàn)有技術(shù)得知用于確保數(shù)據(jù)交換安全的幾個協(xié)議,尤其是包括GlobalPlatform規(guī)范的協(xié)議。這些協(xié)議創(chuàng)建在經(jīng)由本地或擴展網(wǎng)絡(luò)連接的兩個設(shè)備之間數(shù)據(jù)交換的安全信道。根據(jù)待應(yīng)用安全等級,數(shù)據(jù)進行加密和/或伴有用于驗證數(shù)據(jù)完整性的數(shù)字簽名。算法和三重DES密鑰通常用于數(shù)據(jù)加密。
[0005]然而,利用指定GlobalPlatform協(xié)議的設(shè)備尤其在受到攻擊和/或侵入時面臨危險。舉例來說,允許黑客控制設(shè)備發(fā)送或接收敏感數(shù)據(jù)的特洛伊木馬。
[0006]訪問承載于設(shè)備上或承載于服務(wù)器上的數(shù)據(jù)庫也有風(fēng)險。例如,用于解密數(shù)據(jù)的加密的密鑰可能被盜和使用不當(dāng)。
[0007]最后,根據(jù)這種協(xié)議的數(shù)據(jù)交換的另一個缺點在于必須使用鏈接至擴展網(wǎng)絡(luò)的遠程服務(wù)器來發(fā)送秘密數(shù)據(jù)至連接的設(shè)備。
【發(fā)明內(nèi)容】
[0008]有待解決的技術(shù)問題因此在于,無論設(shè)備類型,確保在至少兩個連接的設(shè)備之間的數(shù)據(jù)交換安全。本發(fā)明建議通過提出一種數(shù)據(jù)交換系統(tǒng),至少在一定程度上解決上文所解釋的缺點,所述數(shù)據(jù)交換系統(tǒng)包括連接至網(wǎng)絡(luò)的設(shè)備,包含在所述設(shè)備的存儲器中的秘密信息的一些從未被發(fā)送。數(shù)據(jù)因此完全安全地且完全完整地在連接的設(shè)備之間交換。
[0009]為此,本發(fā)明涉及一種數(shù)據(jù)交換的安全系統(tǒng),其特征在于它包括擔(dān)任主機或客戶端角色的至少兩個設(shè)備,其中至少客戶端為便攜式,經(jīng)由連接或通信構(gòu)件與網(wǎng)絡(luò)進行通信,每個設(shè)備包括至少一個可編程非易失性永久存儲區(qū)及數(shù)據(jù)處理構(gòu)件,耦合至存儲于所述設(shè)備不可從外部訪問的秘密區(qū)中的第一組秘密密鑰的數(shù)據(jù)加密/解密算法,所述設(shè)備旨在在至少一次打開在所述兩個設(shè)備之間的安全通信信道之后,通過至少一個設(shè)備的處理構(gòu)件經(jīng)由加密/解密算法及第一組秘密密鑰安全地交換秘密數(shù)據(jù),所述主機設(shè)備包括存儲于存儲區(qū)中旨在被發(fā)送至客戶端設(shè)備的至少一第二組秘密密鑰,第二組的密鑰通過主機設(shè)備的處理構(gòu)件藉由加密/解密算法及第一組的至少一個密鑰進行加密,第二組中所加密的密鑰通過主機設(shè)備的處理構(gòu)件發(fā)送到客戶端設(shè)備的存儲區(qū)中,第二組中所加密的密鑰通過客戶端設(shè)備的處理構(gòu)件藉由加密/解密算法及第一組的至少一個秘密密鑰進行解密,所述第二組密鑰此后通過主機和客戶端設(shè)備的處理構(gòu)件使用加密/解密算法以確保在所述設(shè)備之間交換的數(shù)據(jù)安全。
[0010]根據(jù)另一個特定特征,所述數(shù)據(jù)交換的安全系統(tǒng)的特征在于主機設(shè)備包括記錄于存儲區(qū)中的客戶端設(shè)備的停用命令。
[0011]根據(jù)另一個特定特征,所述數(shù)據(jù)交換的安全系統(tǒng)的特征在于通過用戶的客戶端設(shè)備的重新啟用隨后是根據(jù)GlobalPlatform規(guī)范的新安全信道的打開。
[0012]根據(jù)另一個特定特征,所述數(shù)據(jù)交換的安全系統(tǒng)的特征在于主機和客戶端設(shè)備各自在存儲區(qū)中包括變化算法,所述算法允許導(dǎo)出存儲于客戶端設(shè)備的秘密存儲區(qū)中的每組密鑰的秘密密鑰,使得在安全信道的二次打開之后,只有密鑰變化符在所述兩個設(shè)備之間傳輸,以計算一組變化密鑰,該組變化密鑰將構(gòu)成第一組密鑰。
[0013]根據(jù)另一個特定特征,所述數(shù)據(jù)交換的安全系統(tǒng)的特征在于加密/解密算法為稱為三重DES的對稱算法及一組三個三重DES密鑰的第一組密鑰,通過所述系統(tǒng)的安全信道的打開根據(jù)GlobalPlatform指定的安全協(xié)議經(jīng)由加密/解密算法及第一組秘密密鑰完成。
[0014]根據(jù)另一個特定特征,所述數(shù)據(jù)交換的安全系統(tǒng)的特征在于第二組秘密密鑰為一組三個秘密三重DES密鑰。
[0015]本發(fā)明的另一個目的在于提出一種確保數(shù)據(jù)交換安全的方法。由所述數(shù)據(jù)交換的安全系統(tǒng)執(zhí)行的方法的特征在于它包括:
[0016]a.安全信道的關(guān)閉步驟,允許所述系統(tǒng)的主機設(shè)備和客戶端設(shè)備之間的數(shù)據(jù)交換;
[0017]b.通過所述系統(tǒng)的主機設(shè)備的處理構(gòu)件,選擇記錄于所述設(shè)備的存儲區(qū)中的第二組秘密密鑰的步驟,所述設(shè)備僅將第二組密鑰存儲于存儲區(qū)中;
[0018]c.通過主機設(shè)備的處理構(gòu)件經(jīng)由加密/解密算法及記錄于主機設(shè)備的存儲區(qū)中的第一組密鑰的至少一個秘密密鑰,對第二組密鑰的至少一個秘密密鑰加密的步驟;
[0019]d.通過處理構(gòu)件至所述系統(tǒng)的第二設(shè)備的發(fā)送步驟,:
[0020]-發(fā)送在前述步驟中加密的密鑰,
[0021]-發(fā)送在客戶端設(shè)備的存儲區(qū)中寫入加密的密鑰的指令,
[0022]e.加密的密鑰的解密步驟,通過客戶端設(shè)備的處理構(gòu)件經(jīng)由加密/解密算法利用至少第一組密鑰的對應(yīng)秘密密鑰完成,隨后在客戶端設(shè)備的存儲區(qū)中記錄解密密鑰;
[0023]f.針對第二組秘密密鑰中的所有密鑰重復(fù)步驟c至e的步驟;
[0024]g.通過所述系統(tǒng)的新會話和新安全信道的打開步驟,根據(jù)GlobalPlatform類型安全協(xié)議經(jīng)由加密/解密算法及第二組秘密密鑰完成。
[0025]根據(jù)另一個特定特征,所述確保數(shù)據(jù)交換安全的方法的特征在于安全信道的打開根據(jù)GlobalPlatform類型指定的安全協(xié)議經(jīng)由三重DES算法及一組三個秘密密鑰完成,所述三重DES算法及第一組密鑰記錄于每個設(shè)備的存儲區(qū)中,所述方法包括以下步驟:
[0026]a.通過所述安全系統(tǒng)的主機設(shè)備的處理構(gòu)件的會話打開步驟,隨后通過所述系統(tǒng)的客戶端設(shè)備生成發(fā)送至主機設(shè)備的會話計數(shù)器,所述會話計數(shù)器在新會話的每次打開時遞增;
[0027]b.記錄于客戶端設(shè)備的存儲器中的密鑰的導(dǎo)出步驟,通過所述設(shè)備的處理構(gòu)件經(jīng)由三重DES算法利用會話計數(shù)器及通過主機設(shè)備的處理構(gòu)件生成并發(fā)送至客戶端設(shè)備的隨機主機號完成;
[0028]c.五個導(dǎo)出的密鑰S - ENC、R - ENC、C - MAC、R - MAC和S - DEK的生成步驟,所述密鑰與三重DES算法一起使用,分別能夠?qū)Πl(fā)送至設(shè)備的命令進行加密、對所述設(shè)備的響應(yīng)進行加密、為每個命令生成簽名、為每個響應(yīng)生成簽名以及對機密數(shù)據(jù)進行加密;
[0029]d.通過客戶端設(shè)備的處理構(gòu)件生成客戶端密碼的步驟,經(jīng)由三重DES算法利用導(dǎo)出的密鑰S - ENC、隨機主機號及由客戶端設(shè)備的處理構(gòu)件生成的隨機客戶端號;
[0030]e.通過客戶端設(shè)備的處理構(gòu)件,將會話計數(shù)器、隨機客戶端號及在前述步驟計算的客戶端密碼發(fā)送至主機設(shè)備的步驟,隨后通過主機設(shè)備的處理構(gòu)件計算并生成五個導(dǎo)出的密鑰;
[0031]f.通過主機設(shè)備的處理構(gòu)件生成客戶端密碼的步驟,經(jīng)由三重DES算法利用導(dǎo)出的密鑰S - ENC、隨機主機號及由客戶端設(shè)備的處理構(gòu)件生成的隨機客戶端號;
[0032]g.通過主機設(shè)備的處理構(gòu)件,比較分別由客戶端設(shè)備和主機設(shè)備計算的客戶端密碼的步驟,隨后如果客戶端密碼的兩個計算相同,那么對客戶端設(shè)備進行驗證;
[0033]h.通過主機設(shè)備的處理構(gòu)件的經(jīng)由三重DES算法使用導(dǎo)出的密鑰S - ENC、隨機主機號及隨機客戶端號生成主機密碼的步驟;
[0034]1.通過主機設(shè)備的處理構(gòu)件將在前述步驟計算的主機密碼發(fā)送至客戶端設(shè)備的步驟;
[0035]j.通過客戶端設(shè)備的處理構(gòu)件,經(jīng)由三重DES算法使用導(dǎo)出的密鑰S - ENC、隨機主機號及隨機客戶端號生成主機密碼的步驟;
[0036]k.通過客戶端設(shè)備的處理構(gòu)件的分別由主機設(shè)備和客戶端設(shè)備計算的主機密碼的比較步驟,隨后如果主機密碼的兩個計算相同,那么對主機設(shè)備進行驗證;
[0037]1.會話及安全信道的打開的確認步驟,經(jīng)由所述安全信道將執(zhí)行由主機和客戶端設(shè)備生成的下一個命令和/或響應(yīng)。
[0038]根據(jù)另一個特定特征,所述確保數(shù)據(jù)交換安全的方法的特征在于它包括在秘密密鑰的第三導(dǎo)出步驟上行由變化算法執(zhí)行的該組密鑰的變化步驟,使得只有變化密鑰通過客戶端設(shè)備的處理構(gòu)件發(fā)送至主機設(shè)備。
[0039]根據(jù)另一個特定特征,所述確保數(shù)據(jù)交換安全的方法的特征在于它包括使客戶端設(shè)備停用然后通過用戶使其重新啟用的步驟,隨后打開主機設(shè)備與客戶端設(shè)備之間的新安全信道,這些步驟如下:
[0040]a)通過主機設(shè)備的處理構(gòu)件,經(jīng)由三重DES算法利用導(dǎo)出的密鑰C - MAC加密停用命令的步驟,允許將數(shù)字簽名合并于加密命令中;
[0041]b)通過主機設(shè)備的處理構(gòu)件,將加密的停用命令發(fā)送至客戶端設(shè)備的步驟;
[0042]c)通過客戶端設(shè)備的處理構(gòu)件,經(jīng)由三重DES算法利用導(dǎo)出的密鑰C -MAC,對加密的停用命令解密的步驟;
[0043]d)通過客戶端設(shè)備的處理構(gòu)件,將對停用命令的響應(yīng)發(fā)送至主機設(shè)備的步驟,所述響應(yīng)一方面以明文進行