專利名稱:安全傳送被保護數(shù)據(jù)的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及從第一保密范圍內(nèi)的第一終端至與第一保密范圍不同的第二保密范圍內(nèi)的第二終端安全傳送被保護數(shù)據(jù)的方法�����。
在數(shù)據(jù)處理和數(shù)據(jù)傳輸領(lǐng)域不斷增長著保密或保護各種數(shù)據(jù)的需要。由于愈來愈多的人們讀取電子數(shù)據(jù)��,有顯著的需要保護敏感數(shù)據(jù)不被未授權(quán)地讀取��,并且在規(guī)定的保密范圍內(nèi)保持機密或保證其真實性����。在現(xiàn)有技術(shù)中存在多種加密方法,它們不是非標準化的����,就是基于不同的標準、加密模式或技術(shù)����。
這種加密模式或技術(shù)的整體可以一般歸結(jié)為加密標志,其中各個標志表示相應(yīng)的應(yīng)用系統(tǒng)或模式�。這種加密標志可以是例如密碼加密系統(tǒng)或數(shù)據(jù)格式,如數(shù)字簽名����、通行口令或由PIN(個人識別號)和TAN(交易號)的接續(xù)。
現(xiàn)有用于數(shù)據(jù)傳輸?shù)募用芟到y(tǒng)的問題出現(xiàn)在不同的保密范圍應(yīng)相互耦合的情況下,這種情況是為了能在這些范圍之間交換數(shù)據(jù)�����。由于在不同的保密范圍內(nèi)應(yīng)用不同的加密標志�,不同保密范圍的直接耦合一般是不可能的。不同的加密標志不能繼續(xù)傳遞給另一個��。如果為了保護數(shù)據(jù)采用了在德國已獲權(quán)的數(shù)字簽字���,被保護的數(shù)據(jù)包含一個編碼��,它借助于一個非對稱的密碼方法利用一個私人密鑰形成�����,密鑰僅對此數(shù)據(jù)的發(fā)送者是已知的�。在一個這樣的保密范圍內(nèi)對于被保護數(shù)據(jù)的一個接收者可以借助于發(fā)送者公開的密鑰直接核實數(shù)據(jù)的完整性和發(fā)送者的身份�����。其中私人密鑰的查明是被排斥的�����。如果數(shù)據(jù)被傳遞到另一個保密范圍���,原來的簽字是無效的���。它們也不能被接收者重新形成,因為他沒有為此所需的原來發(fā)送者的私人密鑰���。
其它的困難來自于在新的終端上擴展現(xiàn)有保密范圍的需要�����,這些新終端不具有必要的特殊功能���,或者由于應(yīng)用的傳輸介質(zhì)和設(shè)備不能實現(xiàn)規(guī)定的,復(fù)雜的加密功能�����。例如這種問題出現(xiàn)于像GSM-電話(應(yīng)用在全球移動通信系統(tǒng)中的無線電話)這樣的移動終端應(yīng)在一個相應(yīng)的保密范圍中被應(yīng)用的情況下�。
公開號為WO99/01848的國際專利申請公開了在GMS-網(wǎng)絡(luò)中工作的無線電話中集成所謂的SIM-卡(SIM即用戶身份模塊)。在該SIM-卡中可實現(xiàn)一個產(chǎn)生數(shù)字簽名的系統(tǒng)����,從而可以在作為第一終端的無線電話和GSM-網(wǎng)絡(luò)內(nèi)的第二終端之間建立加密的連接。由于終端的給定能力和在SIM卡中有限的集成系統(tǒng)的能力,這種無線電話局限于在此保密范圍內(nèi)提供應(yīng)用的專用的加密標志�����。因此例如不可能附加集成必要的功能���,這些功能使得無線電話可以參加到滿足HBCI-標準的(HBCI即家庭銀行計算機接口���,即私人用戶在銀行存取的標準)保密范圍中。
公開號為WO99/01990的國際專利申請描述了一種在電信傳輸系統(tǒng)中構(gòu)成一個加密的業(yè)務(wù)連接的方法�。此系統(tǒng)也包含一個無線電話,它通過GSM-網(wǎng)絡(luò)連接到電信傳輸-服務(wù)器上�,此服務(wù)器的任務(wù)是解密由無線電話發(fā)出的加密數(shù)據(jù)。并通過另一個電信連接���,例如互聯(lián)網(wǎng)傳送給第二終端�����,例如一臺個人計算機����。按此方法僅僅終端的加密識別符可被用作加密標志�。此方法不能將兩個保密范圍相互耦合���。尤其是兩個不同的電信網(wǎng)絡(luò)的公共作用區(qū)必需被考慮一個獨立的電信傳輸服務(wù)器���,以定義一個單獨的保密范圍����。與此相反�,兩個保密范圍的耦合是需要的,并且在每個單獨的保密范圍內(nèi)必需有端對端的保密性�。
US5471532給出了一種通信單元重新加密的方法。其中在“漫游單元”和“第一/第二鍵單元”之間的通信密鑰借助于一個中央“自動鍵單元”建立����。
JP10-13945涉及一個“漫游系統(tǒng)”,其中特殊之處在于在一個網(wǎng)絡(luò)和一個終端之間進行密碼密鑰的交換��?����?梢圆贿M行加密標志的變換��。但是國內(nèi)網(wǎng)用戶進入國外網(wǎng)時他自己物理上位于此國外網(wǎng)中�����。
DE19630920C1描述了用于用戶授權(quán)的一種方法和一種系統(tǒng)。一個授權(quán)裝置變換GSM-專用授權(quán)參數(shù)為加密參數(shù)����。然而授權(quán)裝置不合成兩個保密范圍,而只是合成移動網(wǎng)的成員�。所用的接口協(xié)議可不變換加密標志。加密標志的持續(xù)檢驗和變換或重新產(chǎn)生是不可能的��。
EP0786915A2描述了用于移動終端的一種識別裝置�。此裝置包含適用于不同的移動無線網(wǎng)工作的相應(yīng)電路裝置。此裝置和方法使得在工作方式完全不同的保密范圍之間無需數(shù)據(jù)傳輸��。不同的移動無線網(wǎng)呈現(xiàn)寧可相同的保密范圍����,并且各個加密標志在其它移動無線網(wǎng)中有一個直接的對應(yīng)。
本發(fā)明的目的在于使得在不同方式的保密范圍中的終端之間的通信成為可能���。保密范圍應(yīng)不僅指被傳輸數(shù)據(jù)的格式��,而且還由所用的加密標志的方式�����,數(shù)量���,工作方法和類似的性能來區(qū)分����。鑒于合乎目的的實施形式����,本發(fā)明的具體任務(wù)在于連接工作在傳統(tǒng)移動無線網(wǎng)中的移動終端到復(fù)雜的加密系統(tǒng)(例如HBIC-應(yīng)用)中����。為了進一步利用已有終端,這里應(yīng)該放棄復(fù)雜的加密系統(tǒng)所必需的加密標志在移動終端中實施��。本發(fā)明放棄擴展加密標志的實施首次使得不同方式的保密范圍的相互連接成為可能��,因為簡單的保密范圍部分地由于其技術(shù)裝備或有限的傳輸容量原則上不能夠產(chǎn)生和處理復(fù)雜的加密范圍所必要的加密標志����。
上述的以及其它的任務(wù)由權(quán)利要求1所述的方法完成。
本發(fā)明方法具有以下優(yōu)點可以將任意的保密范圍相互耦合���。通過應(yīng)用范圍轉(zhuǎn)換器將不需要在不同的保密范圍中的終端必須支持附加的功能�����。各個終端在其目前的保密范圍中照舊工作�����。并且不必須具有存在范圍轉(zhuǎn)換器的知識及另一個保密范圍的專用加密標志的知識�。只要范圍轉(zhuǎn)換器被有意地相應(yīng)使用,可取得屬于不同保密范圍的兩個終端間的間接的端對端安全性�����,并且物理上構(gòu)成兩個具有端對端安全性的接續(xù)���。范圍轉(zhuǎn)換器可以(但是不必須)承擔對一個保密范圍的成員在另一個保密范圍中尋找替代位置的功能�。這時它利用另一個保密范圍中的加密標志(并且管理諸如此應(yīng)用所必需的保密信息)�。此標志被配置給相應(yīng)保密范圍的一個授權(quán)終端。此外�,第一個加密標志至少具有一個范圍標志,在其中設(shè)置關(guān)于第一個終端至另一個加密范圍的通過范圍���。借助于此范圍標志�����,可由范圍轉(zhuǎn)換器決定是否可以轉(zhuǎn)換第一個終端的加密標志����,以建立到第二個加密范圍的數(shù)據(jù)連接。例如這樣第二個加密范圍可僅通過所選擇的終端或其來自第一個加密范圍的用戶�。此外,在變換的過程中附加的加密標志由范圍轉(zhuǎn)換器產(chǎn)生并加到第二個加密標志中��。例如在下述情況下這是有優(yōu)點的在第二個加密范圍中要求規(guī)定的加密標志��,它在第一個加密范圍中找不到直接的對應(yīng)��,但是第一個加密范圍的單個或所有成員應(yīng)該有優(yōu)先權(quán)�����。
為了可證實所保護的數(shù)據(jù)的正確轉(zhuǎn)換和滿足增長的保密需求����,這是合乎目的的由范圍轉(zhuǎn)換器完成各個工作步驟的執(zhí)行記錄�。尤其是接收從第一個加密范圍來的被保護數(shù)據(jù),被保護數(shù)據(jù)的轉(zhuǎn)換����,和傳送到第二個保密范圍中的被保護數(shù)據(jù)被登錄到此記錄中�。這樣加密標志的檢驗和/或添加被登記在記錄中���。最好在輸入記錄和輸出記錄中完成并行的記錄���,并且輸入記錄的登錄和輸出記錄的登錄之間的一個明確的交叉參照關(guān)系被產(chǎn)生和存貯。此外可對每個記錄登錄項加一個標識性的記錄標志����,例如一個時間戳。
本發(fā)明的一個特別優(yōu)化的實施形式在于應(yīng)用一個移動數(shù)據(jù)傳輸設(shè)備�,尤其是一部無線電話作為第一個終端。同時這也是合乎目的的第一個加密標志也包含一個在此無線電話中加到有用數(shù)據(jù)上的一個數(shù)字簽名���。最好這發(fā)生在應(yīng)用一個SIM-卡的情況下���,此卡包含用于可靠地產(chǎn)生數(shù)字簽名的必要的系統(tǒng)。另一個可能性是借助于所謂的WIM(WAP識別模塊)產(chǎn)生數(shù)字簽名�����,它在今后的無線電話中在WAP標準(無線存取協(xié)議)的范圍內(nèi)會得到應(yīng)用��,在WAP上通過一個微瀏覽器應(yīng)可接入互聯(lián)網(wǎng),瀏覽器例如被集成在無線電話中��。在變更的實施形式中通信連接例如也可以通過紅外線傳輸構(gòu)成�,尤其是當應(yīng)該通過無線連接跨過短的距離時。
如果在一個合乎目的的實施形式中第二個加密標志符合HBCI-標準���,即第二個保密范圍是一個HBCI-系統(tǒng)��,通過應(yīng)用本發(fā)明的方法可以應(yīng)用無線電話進行銀行交易�,并且可滿足HBCI-標準的高安全性要求和可利用此標準的其它優(yōu)點���。
本發(fā)明的其它優(yōu)點����,特征和方案在以下對附圖中的實施例的說明給出�。附圖中
圖1是現(xiàn)有技術(shù)中第一個終端和第二個終端間數(shù)字傳輸接續(xù)的方框圖����;圖2是利用本發(fā)明的方法在第一個保密范圍中的第一個終端與在第二個保密范圍中的第二個終端間數(shù)字傳輸接續(xù)的方框圖;圖3是說明本發(fā)明方法的基本步驟的流程圖�;圖4是一個變更的產(chǎn)生協(xié)議的方法的流程圖;圖5是另一個變更的方法��,其中應(yīng)用符合HBCI-標準的加密標志。
圖1示出一個數(shù)據(jù)傳輸線路的原理結(jié)構(gòu)方框圖���,該線路在現(xiàn)有技術(shù)中是眾所周知的�����,其中在第一個終端1中產(chǎn)生有用數(shù)據(jù)����。在所示例子中第一個終端1是一部無線電話���。有用數(shù)據(jù)應(yīng)被傳送給第二個終端2����。對于第一個終端1的使用者例如想直接用一部無線電話進行銀行匯兌的情況��,必須例如通過一次鍵盤輸入在無線電話中產(chǎn)生相應(yīng)的有用數(shù)據(jù)��,并且傳輸?shù)剿x的銀行中的相應(yīng)計算機(主機/終端)�����,它是第二個終端����。在所示例子中在第一個終端1的有用數(shù)據(jù)具有加密標志����,例如通過加一個在SIM-卡3上產(chǎn)生的數(shù)字簽名來產(chǎn)生�����。如此加密的數(shù)據(jù)通過第一個通信線路4���,例如一個GSM-網(wǎng)絡(luò)���,傳送到接收站5。例如是一個電信服務(wù)器的接收站5能夠檢驗加密數(shù)據(jù)的加密標志��,在此情況下它是數(shù)字簽名����。如此構(gòu)成了第一個保密范圍6,它包括第一個終端1���,電信服務(wù)器5和它們之間的通信線路4。如果應(yīng)用了合適的加密標志����,如此例中的數(shù)字簽名����,則在第一個保密范圍6中實現(xiàn)端對端保密�。不加密的有用數(shù)據(jù)至第二個終端2(例如一個主機/終端系統(tǒng))的繼續(xù)傳輸是簡單的,如果它在一個非公眾數(shù)據(jù)網(wǎng)(例如在銀行內(nèi)部)中通過第二個通信線路7完成的話�。其它的以不加密的形式的數(shù)據(jù)傳輸由于保密的原因不能在一個公眾電信網(wǎng)上進行。
上述技術(shù)方法的另一缺點在于用于連接電信服務(wù)器5的后接數(shù)據(jù)處理單元2必須提供一個獨立的接口��,同時該單元提供一系列加密接口���,它們在相應(yīng)場合中是一個準標準��,但不能被電信服務(wù)器使用�。因此銀行通常備有不同的���,連接在其數(shù)據(jù)處理系統(tǒng)前的終端接口(如一個HBCI-接口)��,它們具有不同的加密標準����。
圖2示出一個數(shù)據(jù)傳輸線路的方框圖��,其中應(yīng)用了本發(fā)明的方法。有用數(shù)據(jù)也在第一個終端1中產(chǎn)生���。在所示例子中有用數(shù)據(jù)借助于無線電話1中的SIM-卡3加上加密標志���。此外這里應(yīng)用第一個私人密鑰8a,它放在SIM-卡3上����。加密數(shù)據(jù)以傳統(tǒng)方式通過第一個通信線路4被傳輸。第一個保密范圍6的成員還包括一個范圍轉(zhuǎn)換器9�,它接收第一個終端1的加密數(shù)據(jù)。范圍轉(zhuǎn)換器9同時是第二個保密范圍10的成員���,在第二個保密范圍中應(yīng)用與第一個保密范圍6中的第一個加密標志不同的第二個加密標志���。在所示例子中第二個保密范圍10對應(yīng)于一個HBCI-系統(tǒng),并且范圍轉(zhuǎn)換器完成HBCI-顧客的功能�。范圍轉(zhuǎn)換器9完成第一個加密標志至第二個加密標志的轉(zhuǎn)換,并且在優(yōu)化實施形式中它應(yīng)用應(yīng)用第一個公開密鑰8b�����,它配置給第一個私人密鑰8a�,并且應(yīng)用第二個私人密鑰11a,配置給它的第二個公開密鑰11b在第二個終端2中用于解密已加密的數(shù)據(jù)�。第二個終端2是第二個保密范圍10的成員,并且在所示例子中由HBCI-服務(wù)器構(gòu)成����。在第二個終端2中用第二個加密標志加密的數(shù)據(jù)重又變換為有用數(shù)據(jù)。用這種方法實現(xiàn)了第一個終端1和第二個終端2之間的間接端對端加密����。不加密的有用數(shù)據(jù)從第二個終端2至后接數(shù)據(jù)處理單元12(例如一個主機/終端系統(tǒng))的繼續(xù)傳輸是簡單的,因為它不通過一個公眾網(wǎng)���,而是例如在銀行內(nèi)部進行����。
范圍轉(zhuǎn)換器可由一個數(shù)據(jù)組表格構(gòu)成����,它存貯在合適的存貯介質(zhì)中并且在其中對第一個保密范圍的每個必要的加密標志配置一個第二個保密范圍的加密標志。范圍轉(zhuǎn)換器的功能也可以軟件結(jié)構(gòu)實現(xiàn)�,此軟件由一個微處理機處理。
圖3示出本發(fā)明方法的流程圖���。被保護數(shù)據(jù)的中保密傳輸?shù)姆椒ㄩ_始于步驟30��。在步驟31中在第一個終端中準備好所要的數(shù)據(jù)����。這例如通過在第一個終端的鍵盤上輸入數(shù)據(jù)來實現(xiàn)。接著在步驟32中準備好用于傳輸?shù)乃杏脭?shù)據(jù)���。為了滿足相應(yīng)的安全性要求�,在步驟33中第一個加密標志被加到有用數(shù)據(jù)中�����。此第一個加密標志是第一個保密范圍的特征���。結(jié)果在步驟34中得到加密數(shù)據(jù)����。為了核實其真實性和排除不被發(fā)現(xiàn)的更改��,它是充分加密的數(shù)據(jù)���,或者數(shù)據(jù)具有一個數(shù)字簽名���。在步驟35中通過第一個通信線路完成加密數(shù)據(jù)的傳輸����。一個無線網(wǎng)���,一個有線電信傳輸網(wǎng)或類似物可用作通信線路。在步驟36中加密數(shù)據(jù)被范圍轉(zhuǎn)換器接收���。在步驟37中范圍轉(zhuǎn)換器將第一個加密標志的至少一部分轉(zhuǎn)換為第二個加密標志�����。第二個加密標志是根據(jù)第二個保密范圍的需要確定的��。這樣在步驟38中得到重新加密的數(shù)據(jù)����,其中數(shù)據(jù)的加密是通過第二個加密標志實現(xiàn)的����。在步驟39中通過第二個通信線路再傳送加密數(shù)據(jù),從而在步驟40中它可在第二個終端中被接收并在那里被譯密���。這樣在步驟41中又得到有用數(shù)據(jù)�����。此過程結(jié)束在步驟42中���。在圖3中用方括號43表示第一個保密范圍�,方括號44示出第二個保密范圍��。由此可見�����,在整個數(shù)據(jù)傳輸過程中具有一個間接的端對端保密性�����,因為兩個安全范圍相互直接鄰接����。通過集成范圍轉(zhuǎn)換器,終端或第一個保密范圍的成員也可以在第二個保密范圍內(nèi)工作���。
這是顯然的和無需進一步解釋的所述的方法也可雙向進行�����,從而可以在第一個終端和第二個終端之間進行雙向數(shù)據(jù)傳輸�。為此僅需要范圍轉(zhuǎn)換器也可以轉(zhuǎn)換第二個加密標志為第一個加密標志。
圖4示出本發(fā)明一個變更的實施形式的流程圖���,其中變更僅涉及由范圍轉(zhuǎn)換器執(zhí)行的步驟���,而其余步驟相對于圖3的說明沒有改變��。變更或者補充中間步驟的目的在于記錄范圍轉(zhuǎn)換器與安全性有關(guān)的活動�����,以便能對參與的保密范圍的用戶出示按規(guī)則工作方式的證據(jù)����。一個這樣的記錄可以不同的方式進行,在圖4中僅示出可行的一個例子��。
相應(yīng)的步驟開始于步驟45中��,如已經(jīng)在圖3說明中所述那樣在步驟36中范圍轉(zhuǎn)換器接收加密數(shù)據(jù)��。在步驟46中范圍轉(zhuǎn)換器在輸入記錄中產(chǎn)生一個登錄,用它記錄數(shù)據(jù)的接收�����。接著在步驟47中接收的加密數(shù)據(jù)的第一個加密標志被查明���。需要時在步驟48中完成另一個登錄在輸入記錄中���,它包含所用的加密標志或至少部分加密標志。在檢查時可以對此加密標志的使用者出示加密數(shù)據(jù)在抵達范圍轉(zhuǎn)換器時是在什么狀態(tài)下�。接著是已解釋過的步驟37,在其中第一個加密標志被轉(zhuǎn)換為第二個加密標志��。為了記錄按規(guī)則的轉(zhuǎn)換和繼續(xù)傳輸給接收者����,在步驟49中登錄所用的第二個加密標志到輸出記錄中。輸入記錄和輸出記錄之間的明確關(guān)系可以通過在輸入記錄中附加的一個參考輸出記錄的相應(yīng)登錄的登錄來實現(xiàn)�,這在步驟50中進行。在一個變更的實施形式中也可以在輸出記錄中登記此交叉參照關(guān)系�。接著是已說明過的步驟39,在其中加密數(shù)據(jù)被范圍變換器繼續(xù)傳送到第二個終端�。此過程結(jié)束于步驟51中。
如果不需要相應(yīng)的信息��,可放棄進行記錄。這是可能的��,例如范圍轉(zhuǎn)換器的生產(chǎn)者和運營者被所有的參加的使用者認為有足夠的可信任度(所謂的信得過的第三方)��。這也是可能的對范圍轉(zhuǎn)換器物理上配置一個保密范圍�,如果此范圍對于另外保密范圍的用戶應(yīng)單方面受到保護的話。范圍轉(zhuǎn)換器的應(yīng)用提供了以下附加優(yōu)點它可用作至相應(yīng)保密范圍的通道的控制點���。如果只有一個保密范圍的單個用戶被配置標志����,此標志允許通過范圍轉(zhuǎn)換器進入其它保密范圍����,用這種方法可以選擇第一個保密范圍的相應(yīng)用戶�,他們被允許在第二個保密范圍中工作。
也可能有下述應(yīng)用情況其中第一個保密范圍的單個加密標志在第二個保密范圍中找不到相對應(yīng)的�。這時可由范圍轉(zhuǎn)換器記錄所用的加密標志,以證明單個加密標志至少在數(shù)據(jù)傳輸?shù)牡谝浑A段是存在的�。另一方面可以由范圍轉(zhuǎn)換器對于第一個保護范圍的規(guī)定的一組成員產(chǎn)生附加的加密標志,此標志在第二個保密范圍中是必要的�,然而在第一個保密范圍中不提供使用。
倘若記錄是需要的���,如對圖4的說明所述�,這可以在分開的輸入記錄和輸出記錄中完成。這兩個記錄可以物理上做在一個公共的記錄中����。在有較低的安全要求時僅有一個記錄有時就足夠了。在有很高的安全要求時在記錄中的登錄可具有附加的標志�,它避免對記錄的篡改。例如對記錄中的登錄設(shè)置明確的時間戳����。同樣也可以存貯記錄在只能寫一次的介質(zhì)上,以避免事后的更改�。需要時記錄登錄項可以例如由公證處公證和/或被補充加密。記錄也可以完全在責任范圍中由一個被所有成員中的一個認可和信賴的第三者(起“公證人”的作用)進行�����。
圖5以一個流程圖示出一個特殊實施形式的各個步驟����。作為例子,假設(shè)第一個保密范圍包含多部無線電話����,它們可借助于SIM-卡利用一個具有數(shù)字簽名的加密系統(tǒng)�����。第二個保密范圍被假設(shè)為銀行的HBCI-系統(tǒng)��,并且被授權(quán)的銀行顧客可以用HBCI設(shè)備(例如具有相應(yīng)軟件的個人計算機)得到電子的銀行服務(wù)��,如匯兌或賬目查詢�����,HBCI-系統(tǒng)為了加密數(shù)據(jù)利用數(shù)字簽名和雙重呈遞控制��。在兩個保密范圍應(yīng)用的簽名系統(tǒng)和數(shù)據(jù)格式是不相容的�����,從而提供安全性。
圖5所示方法的步驟開始于步驟52�。如前所述,在步驟36中范圍轉(zhuǎn)換器接收加密數(shù)據(jù)���。如果例如實際的賬目狀態(tài)應(yīng)被用戶查詢���,作為有用數(shù)據(jù)的加密數(shù)據(jù)包含一個識別符�,并且至少包含賬號識別符將所要的賬目查詢符號化���。此數(shù)據(jù)通過應(yīng)用數(shù)字簽名被授權(quán)����,并且在第一個保密范圍中適用的數(shù)據(jù)格式被應(yīng)用���。在步驟53中數(shù)據(jù)被添加一個記錄號和/或一個時間戳����。接著是步驟46���,在其中在輸入記錄中進行登錄���。在步驟47中完成第一個加密標志的檢驗,為此應(yīng)用第一個公開密鑰����,它在步驟54中被準備好。第一個公開密鑰與用在第一個終端中的第一個私人密鑰相符合�,以使對有用數(shù)據(jù)加上數(shù)字簽名。所用的加密標志以及對此加密標志有效性的檢驗結(jié)果在步驟48中被登錄在輸入記錄中��。為了完成所要的賬目查詢,在此情況下范圍轉(zhuǎn)換器必須在步驟55中分析有用數(shù)據(jù)��,這樣可以準備好所要的服務(wù)��。倘若為了形成文件希望記錄范圍轉(zhuǎn)換器所進行的工作的內(nèi)容���,在步驟56中相應(yīng)的所要服務(wù)被登錄在輸入記錄中�����。原來的加密標志轉(zhuǎn)換在步驟37中完成�����。在上述情況下第二個私人密鑰被應(yīng)用����,以便給有用數(shù)據(jù)加上數(shù)字簽名��。這里格式符合標準的HBCI-格式��。第二個私人密鑰在步驟57中被準備好����,并且這個私人密鑰被配置給特定的第一個終端和由范圍轉(zhuǎn)換器管理。在一個變更的實施形式中第二個私人密鑰對于第一個保密范圍的一組終端或所有終端是相同的����。并用為通用密鑰工作,此密鑰中第二個保密范圍中有效�����。對特定第一個終端的配置基于另外的標志在第二個終端中完成���,該標志被包含在數(shù)據(jù)中�。需要時在步驟37中有用數(shù)據(jù)被變換為所需格式�,此格式是第二個保密范圍所必需的。在步驟58中轉(zhuǎn)換的數(shù)據(jù)被加上記錄號和/或一個時間戳��,使得在步驟49中可以在輸出記錄中進行相應(yīng)的登錄�。在此情況下也可以在步驟50中登錄一個關(guān)系注釋到輸入記錄中,以得到輸入一和輸出記錄間的明確關(guān)系���,此過程結(jié)束于步驟59中���。
上述發(fā)明不局限于特別說明的實施例。可設(shè)想其它應(yīng)用領(lǐng)域是通道控制系統(tǒng)�,如果也允許系統(tǒng)外的設(shè)備用于授權(quán)的話。
總之��,應(yīng)用本發(fā)明方法使得第一個保密范圍的成員可以通往另一個保密范圍��,第一個保密范圍的成員可使用第一個加密標志�,而在第二個保密范圍中用不同的加密標志。通道擴展可直接設(shè)計成雙向的����。
權(quán)利要求
1.從第一個保密范圍(6)中的第一個終端(1)至與第一個保密范圍不同的第二個保密范圍(10)中的第二個終端(2)安全傳輸被保護數(shù)據(jù)的方法,它包含以下步驟·在第一個終端中準備好(31)有用數(shù)據(jù)(32)�;·在第一個終端中通過加入第一個加密標志(8a)到有用數(shù)據(jù)中產(chǎn)生(33)加密數(shù)據(jù)(34),其中第一個加密標志代表第一個保密范圍�����;·在第一個保密范圍中通過第一個通信線路(4)傳輸(35)具有第一個加密標志的加密數(shù)據(jù)到范圍轉(zhuǎn)換器(9)���,它不僅被集成進第一個保密范圍�,也被集成進第二個保密范圍�。·由范圍轉(zhuǎn)換器檢驗包含在接收數(shù)據(jù)中的第一個加密標志���;·如果第一個保密標志至少包含一個范圍標志����,由范圍轉(zhuǎn)換器決定是否將第一個加密標志轉(zhuǎn)換為第二個加密標志�����;·由范圍轉(zhuǎn)換器將第一個加密標志轉(zhuǎn)換(37)成代表第二個保密范圍的第二個加密標志(11a)�,并且第二個加密標志至少部分地不僅不同于第一個加密標志的格式,而且范圍轉(zhuǎn)換器還產(chǎn)生第二個加密標志�����,如果它在第二個保密范圍中是必要的話�,它在第一個加密標志中沒有直接的對應(yīng);·在第二個保密范圍中通過第二個通信線路(7)傳輸(39)具有第二個加密標志的加密數(shù)據(jù)到第二終端�����,在這里加密數(shù)據(jù)可還原為有用數(shù)據(jù)���。
2.如權(quán)利要求1所述的方法���,其特征在于,在范圍轉(zhuǎn)換器中轉(zhuǎn)換加密標志的步驟包含以下分步驟·為了識別要求的服務(wù),分析(55)有用數(shù)據(jù)·必要時變換有用數(shù)據(jù)格式使其匹配于第二個保密范圍����。
3.如權(quán)利要求1或2所述的方法,其特征在于�����,由范圍轉(zhuǎn)換器記錄以下步驟中的一個或多個的執(zhí)行情況·來自第一個保密范圍的加密數(shù)據(jù)的接收(36)����,·加密數(shù)據(jù)的轉(zhuǎn)換(37),·加密數(shù)據(jù)至第二個保密范圍的傳送(39)����。
4.如權(quán)利要求3所述的方法,其特征在于��,在記錄時每個記錄登錄項被加進至少一個明確標記這個登錄項的記錄標志����,例如一個時間戳。
5.如權(quán)利要求1至4中任一項所述的方法��,其特征在于����,在第一個終端中第一個加密標志的加入是加入一個數(shù)字簽名(8a)到有用數(shù)據(jù)中��。
6.如權(quán)利要求5所述的方法����,其特征在于���,數(shù)字簽名由放入第一個終端的SIM-卡(SIM即用戶識別模塊)讀出并被加到有用數(shù)據(jù)中。
7.如權(quán)利要求5所述的方法�����,其特征在于���,數(shù)字簽名借助于一個WAP-識別模塊(WIM)被提供(WAP即無線存取協(xié)議)�����。
8.如權(quán)利要求1至7中任一項所述的方法��,其特征在于���,第一個終端是一個移動數(shù)字傳輸裝置(1)���,且第一個通信接續(xù)是一個無線線路(4)。
9.如權(quán)利要求8所述的方法��,其特征在于��,第一個終端是一部無線電話(1)�����,且第一個通信線路通過一個GSM-網(wǎng)絡(luò)(4)形成(GSM即全球移動通信系統(tǒng))�。
10.如權(quán)利要求1至9中任一項所述的方法,其特征在于����,第二個加密標志符合HBCI-標準(HBCI即家庭銀行計算機接口),且第二個保密范圍是一個HBCI-系統(tǒng)�。
11.如權(quán)利要求1至10中任一項所述的方法,其特征在于�����,當數(shù)據(jù)由第二個終端傳輸?shù)降谝粋€終端時�����,附加實現(xiàn)第二個加密標志至第一個加密標志的轉(zhuǎn)換。
全文摘要
本發(fā)明涉及從第一個保密范圍(6)中的第一個終端(1)至與第一個保密范圍不同的第二個保密范圍(10)中的第二個終端(2)安全傳輸被保護數(shù)據(jù)的方法�。此方法包含以下步驟:在第一個終端中準備好有用數(shù)據(jù);在第一個終端中通過加入第一個加密標志(8a)到有用數(shù)據(jù)中產(chǎn)生加密數(shù)據(jù);在第一個保密范圍中通過第一個通信線路(4)傳輸加密數(shù)據(jù)到范圍轉(zhuǎn)換器(9),它不僅集成進第一個保密范圍,也被集成進第二個保密范圍;由范圍轉(zhuǎn)換器至少轉(zhuǎn)換部分第一個加密標志為第二個加密標志(11a);在第二個保密范圍中通過第二個通信線路(7)傳送加密數(shù)據(jù)到第二個終端,在這里加密數(shù)據(jù)可還原為有用數(shù)據(jù)。
文檔編號H04L29/06GK1359580SQ00807808
公開日2002年7月17日 申請日期2000年5月15日 優(yōu)先權(quán)日1999年5月20日
發(fā)明者霍爾格·雷夫, 托馬斯·漢克爾 申請人:桑那拉智信有限責任公司