移動(dòng)設(shè)備與安全載體之間通信連接的建立的制作方法
【專利摘要】本發(fā)明涉及通信技術(shù)���,特別涉及在移動(dòng)設(shè)備與安全載體之間建立通信連接的方法和實(shí)現(xiàn)該方法的移動(dòng)設(shè)備�����。按照本發(fā)明的在移動(dòng)設(shè)備與安全載體之間建立通信連接的方法包括下列步驟:當(dāng)移動(dòng)設(shè)備檢測到有安全載體與其建立物理連接時(shí)���,其對所述安全載體進(jìn)行安全認(rèn)證;如果所述安全認(rèn)證通過����,則所述移動(dòng)設(shè)備確定其內(nèi)是否已經(jīng)存在與所述安全載體建立通信連接所需的配置信息;以及如果存在所需的配置信息���,則所述移動(dòng)設(shè)備利用該配置信息建立與所述安全載體的通信連接��,否則���,所述移動(dòng)設(shè)備從所述安全載體獲取所需的配置信息以建立與所述安全載體的通信連接。
【專利說明】移動(dòng)設(shè)備與安全載體之間通信連接的建立
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及通信技術(shù)����,特別涉及在移動(dòng)設(shè)備與安全載體之間建立通信連接的方法和實(shí)現(xiàn)該方法的移動(dòng)設(shè)備。
【背景技術(shù)】
[0002]隨著寬帶無線接入技術(shù)和移動(dòng)終端技術(shù)的飛速發(fā)展���,移動(dòng)互聯(lián)網(wǎng)應(yīng)運(yùn)而生并且成為發(fā)展最快����、潛力最大和前景最為誘人的市場?���;谝苿?dòng)互聯(lián)網(wǎng)的業(yè)務(wù)正在滲入人們?nèi)粘I畹母鱾€(gè)方面,例如社交��、購物��、金融交易和生活信息獲取等���。有些移動(dòng)互聯(lián)網(wǎng)業(yè)務(wù)涉及敏感信息(例如用戶隱私����、登錄身份和密碼等)的存儲�、讀取和傳輸,因此需要提供安全機(jī)制加以保護(hù)�。
[0003]通過提供在物理和邏輯功能上獨(dú)立于移動(dòng)設(shè)備的安全載體(SE)可對敏感信息進(jìn)行安全保護(hù)。所謂安全載體����,指的是一種具有計(jì)算和存儲功能的獨(dú)立硬件單元,其一方面配置安全功能以保護(hù)所存儲數(shù)據(jù)的安全����,另一方面還向外部裝置提供可調(diào)用的安全機(jī)制服務(wù)。安全載體的例子包括但不限于SM卡�、智能SD卡和USB加密鎖等。
[0004]在移動(dòng)設(shè)備建立與安全載體通信連接的過程中��,通常需要獲知后者的配置信息����。配置信息例如包括但不限于安全載體的標(biāo)識符、容量�、顯示圖標(biāo)和內(nèi)置應(yīng)用列表等。為此可以通過移動(dòng)設(shè)備與安全載體的交互得到配置信息����。但是,隨著移動(dòng)設(shè)備和安全載體類型的日益多樣化�����,二者之間建立通信連接的過程越來越復(fù)雜��,因此如何優(yōu)化該過程已經(jīng)成為一個(gè)需要迫切需要解決的問題�����。
【發(fā)明內(nèi)容】
[0005]本發(fā)明的目的之一是提供一種在移動(dòng)設(shè)備與安全載體之間建立通信連接的方法,其具有聞效和簡單等優(yōu)點(diǎn)�����。
[0006]按照本發(fā)明一個(gè)實(shí)施例的在移動(dòng)設(shè)備與安全載體之間建立通信連接的方法包括下列步驟:
當(dāng)移動(dòng)設(shè)備檢測到有安全載體與其建立物理連接時(shí)�,其對所述安全載體進(jìn)行安全認(rèn)證;
如果所述安全認(rèn)證通過����,則所述移動(dòng)設(shè)備確定其內(nèi)是否已經(jīng)存在與所述安全載體建立通信連接所需的配置信息;以及
如果存在所需的配置信息���,則所述移動(dòng)設(shè)備利用該配置信息建立與所述安全載體的通信連接��,否則��,所述移動(dòng)設(shè)備從所述安全載體獲取所需的配置信息以建立與所述安全載體的通信連接����。
[0007]優(yōu)選地���,在上述方法中��,所述安全載體以非接觸方式與所述移動(dòng)設(shè)備建立物理連接���。
[0008]優(yōu)選地,在上述方法中�����,所述移動(dòng)設(shè)備以下列方式對所述安全載體進(jìn)行安全認(rèn)證: 向所述安全載體發(fā)送隨機(jī)生成的認(rèn)證信息�;
通過驗(yàn)證從所述安全載體接收的驗(yàn)證碼來確定所述安全認(rèn)證是否通過,其中���,所述驗(yàn)證碼根據(jù)所述認(rèn)證信息生成��。
[0009]更好地�����,所述安全載體按照下列方式生成所述驗(yàn)證碼:利用所述安全認(rèn)證單元和安全載體共享的密鑰對所述認(rèn)證信息施行一次或多次加密操作��,其中�,加密操作的次數(shù)與所述安全認(rèn)證單元和安全載體內(nèi)的計(jì)數(shù)器的計(jì)數(shù)值具有對應(yīng)關(guān)系���,并且
所述移動(dòng)設(shè)備按照下列方式驗(yàn)證所述驗(yàn)證碼:利用所述共享的密鑰對所述驗(yàn)證碼施行一次或多次解密操作并確定解密后的結(jié)果與所述認(rèn)證信息是否匹配��,其中���,解密操作的次數(shù)與所述加密操作的次數(shù)相同�。
[0010]或者更好地����,所述安全載體按照下列方式生成所述驗(yàn)證碼:利用所述安全認(rèn)證單元和安全載體共享的密鑰對所述認(rèn)證信息施行一次或多次加密操作,其中����,加密操作的次數(shù)與所述安全認(rèn)證單元和安全載體內(nèi)的計(jì)數(shù)器的計(jì)數(shù)值具有對應(yīng)關(guān)系,并且
所述移動(dòng)設(shè)備按照下列方式驗(yàn)證所述驗(yàn)證碼:利用所述共享的密鑰��,按照與所述安全載體相同的方式對所述認(rèn)證消息施行加密操作��,并確定加密后的結(jié)果與所述驗(yàn)證碼是否匹配����。
[0011]按照本發(fā)明另一個(gè)實(shí)施例的在移動(dòng)設(shè)備與安全載體之間建立通信連接的方法包括下列步驟:
當(dāng)移動(dòng)設(shè)備與安全載體建立物理連接時(shí),所述移動(dòng)設(shè)備和所述安全載體相互進(jìn)行安全認(rèn)證��;
如果所述安全認(rèn)證都通過�,則所述移動(dòng)設(shè)備確定其內(nèi)是否已經(jīng)存在與所述安全載體建立通信連接所需的配置信息;以及
如果存在所需的配置信息,則所述移動(dòng)設(shè)備利用該配置信息建立與所述安全載體的通信連接����,否則,所述移動(dòng)設(shè)備從所述安全載體獲取所需的配置信息以建立與所述安全載體的通信連接�。
[0012]優(yōu)選地,在上述方法中�����,以下列方式相互進(jìn)行安全認(rèn)證:
所述移動(dòng)設(shè)備和所述安全載體互相向?qū)Ψ桨l(fā)送隨機(jī)生成的認(rèn)證信息��;
通過驗(yàn)證從對方接收的驗(yàn)證碼來確定所述安全認(rèn)證是否通過�����,
其中��,所述移動(dòng)設(shè)備和所述安全載體根據(jù)各自接收的認(rèn)證信息生成相應(yīng)的驗(yàn)證碼�。
[0013]更好地���,所述移動(dòng)設(shè)備和所述安全載體的任一方按照下列方式生成驗(yàn)證碼:利用所述安全認(rèn)證單元和安全載體共享的密鑰對另外一方發(fā)送的認(rèn)證信息施行一次或多次加密操作�����,其中����,加密操作的次數(shù)與所述安全認(rèn)證單元和安全載體內(nèi)的計(jì)數(shù)器的計(jì)數(shù)值具有對應(yīng)關(guān)系,并且
所述移動(dòng)設(shè)備和所述安全載體的任一方按照下列方式驗(yàn)證接收的驗(yàn)證碼:利用所述共享的密鑰對接收自另外一方的驗(yàn)證碼施行一次或多次解密操作并確定解密后的結(jié)果與發(fā)送給另外一方的認(rèn)證信息是否匹配���,其中�,解密操作的次數(shù)與另外一方對驗(yàn)證碼實(shí)行的加密操作的次數(shù)相同����。
[0014]或者更好地,所述移動(dòng)設(shè)備和所述安全載體的任一方按照下列方式生成驗(yàn)證碼:利用所述安全認(rèn)證單元和安全載體共享的密鑰對另外一方發(fā)送的認(rèn)證信息施行一次或多次加密操作��,其中��,加密操作的次數(shù)與所述安全認(rèn)證單元和安全載體內(nèi)的計(jì)數(shù)器的計(jì)數(shù)值具有對應(yīng)關(guān)系�,并且
所述移動(dòng)設(shè)備和所述安全載體的任一方按照下列方式驗(yàn)證接收的驗(yàn)證碼:利用所述共享的密鑰,按照與另外一方相同的方式對發(fā)送給另外一方的認(rèn)證消息施行加密操作并確定加密后的結(jié)果與從另外一方接收的驗(yàn)證碼是否匹配�。
[0015]本發(fā)明的還有一個(gè)目的是提供一種移動(dòng)設(shè)備,其能夠以高效和簡單的方式與安全載體建立通信連接��。
[0016]按照本發(fā)明另一個(gè)實(shí)施例的移動(dòng)設(shè)備包括:
控制單元�,被配置為利用安全載體的配置信息建立與所述安全載體的通信連接;
與所述控制單元耦合的安全認(rèn)證單元���,被配置為根據(jù)所述控制單元的指令��,對與所述移動(dòng)設(shè)備建立物理連接的安全載體進(jìn)行安全認(rèn)證�;以及
與所述控制單元耦合的安全載體注冊機(jī),被配置為根據(jù)所述控制單元的指令����,對于通過所述安全認(rèn)證的安全載體,確定所述安全載體注冊機(jī)內(nèi)是否已經(jīng)存在建立與該安全載體的通信連接所需的配置信息�,并且如果存在,則向所述控制單元提供所述配置信息�,如果不存在,則存儲所述安全載體提供的配置信息�。
【專利附圖】
【附圖說明】
[0017]從結(jié)合附圖的以下詳細(xì)說明中���,將會(huì)使本發(fā)明的上述和其它目的及優(yōu)點(diǎn)更加完全清楚���。
[0018]圖1為按照本發(fā)明一個(gè)實(shí)施例的移動(dòng)設(shè)備的架構(gòu)圖。
[0019]圖2為按照本發(fā)明另一個(gè)實(shí)施例的在移動(dòng)設(shè)備與安全載體之間建立通信連接的方法的流程圖�����。
[0020]圖3示出了在圖2所示方法中所用的安全認(rèn)證的處理流程��。
[0021]圖4示出了在圖2所示方法中所用的安全認(rèn)證的另一種處理流程。
【具體實(shí)施方式】
[0022]下面通過參考附圖描述【具體實(shí)施方式】來闡述本發(fā)明����。但是需要理解的是,這些【具體實(shí)施方式】僅僅是示例性的�,對于本發(fā)明的精神和保護(hù)范圍并無限制作用。
[0023]在本說明書中��,“包含”和“包括”之類的用語表示除了具有在說明書和權(quán)利要求書中有直接和明確表述的單元和步驟以外����,本發(fā)明的技術(shù)方案也不排除具有未被直接或明確表述的其它單元和步驟的情形。再者�����,諸如“第一”����、“第二”、“第三”和“第四”之類的用語并不表示單元或數(shù)值在時(shí)間�、空間、大小等方面的順序而僅僅是作區(qū)分各單元或數(shù)值之用�����。
[0024]按照本發(fā)明的實(shí)施例,在移動(dòng)設(shè)備上提供安全載體(SE)注冊機(jī)存儲在與一個(gè)安全載體交互中獲取的配置信息����,由此可以在日后與該安全載體建立通信連接時(shí)直接調(diào)用存儲的配置信息來簡化通信連接建立過程,從而提高了效率����。
[0025]圖1為按照本發(fā)明一個(gè)實(shí)施例的移動(dòng)設(shè)備的架構(gòu)圖。
[0026]如圖1所示,本實(shí)施例的移動(dòng)設(shè)備10包括控制單元110�����、安全認(rèn)證單元120�、SE注冊機(jī)130和通信接口 140,其中�����,控制單元110與安全認(rèn)證單元120��、SE注冊機(jī)130和通信接口 140耦合�����,并且安全認(rèn)證單元120與通信接口 140耦合���。
[0027]需要指出的是����,這里的安全認(rèn)證單元和SE注冊機(jī)可以是獨(dú)立的硬件模塊����,也可以是適于在控制單元110的處理器上運(yùn)行的程序。
[0028]當(dāng)在移動(dòng)設(shè)備10經(jīng)通信接口 140與安全載體20之間建立物理連接之后��,控制單元110指示安全認(rèn)證單元120進(jìn)行下面將要作進(jìn)一步的描述的安全認(rèn)證��,以確定安全載體的身份是否合法或有效�����。優(yōu)選地��,安全認(rèn)證的加密和解密操作等都在安全認(rèn)證單元120內(nèi)部執(zhí)行����,涉及的敏感數(shù)據(jù)在安全認(rèn)證單元120外部都以密文的形式呈現(xiàn)。這里所謂的物理連接指的是為實(shí)現(xiàn)不同設(shè)備(例如移動(dòng)設(shè)備10與安全載體20)之間電氣信號的傳輸而借助于物理媒介在它們之間實(shí)現(xiàn)的連接�。物理媒介例如包括但不限于無線信道、光纖�����、線纜或布線。
[0029]參見圖1 ,SE注冊機(jī)130包括SE注冊管理單元131和SE配置信息存儲單元132�����。對于通過安全認(rèn)證的安全載體����,控制單元I1將相應(yīng)的識別符轉(zhuǎn)發(fā)給SE注冊管理單元131并且指示后者啟動(dòng)注冊識別和管理流程。作為響應(yīng)�,SE注冊管理單元131在其內(nèi)部的連接記錄列表中查找是否存在該安全載體標(biāo)識符的記錄。如果存在�����,SE注冊管理單元131將訪問SE配置信息存儲單元132以獲取相應(yīng)的配置信息(例如該安全載體的容量大小��、顯示圖標(biāo)和內(nèi)置應(yīng)用列表等)并且提供給控制單元110��。如果不存在相應(yīng)的記錄或者配置信息獲取失敗��,則SE注冊管理單元131將向控制單元110返回該安全載體是首次建立連接或者配置信息獲取失敗的消息。當(dāng)控制單元110接收到該安全載體是首次建立連接或者配置信息獲取失敗的消息時(shí),其啟動(dòng)與安全載體的交互過程以獲取配置信息�,并且將獲取的配置信息轉(zhuǎn)發(fā)給SE注冊機(jī)130��。隨后�����,SE注冊管理單元131將接收的配置信息存儲在SE配置信息存儲單元132內(nèi)�����。
[0030]圖2為按照本發(fā)明另一個(gè)實(shí)施例的在移動(dòng)設(shè)備與安全載體之間建立通信連接的方法的流程圖��。示例性地�,這里假設(shè)移動(dòng)設(shè)備采用圖1所示的架構(gòu),但是從下面的描述中將會(huì)認(rèn)識到����,本實(shí)施例的方法并不依賴于特定的架構(gòu)。
[0031]如圖2所示��,在步驟S201中����,響應(yīng)于安全載體20與移動(dòng)設(shè)備建立物理連接的事件,移動(dòng)設(shè)備10的控制單元110指示安全認(rèn)證單元120啟動(dòng)對安全載體20的安全認(rèn)證過程���。
[0032]接著執(zhí)行步驟S202����,安全認(rèn)證單元120對安全載體20進(jìn)行安全認(rèn)證,并且將認(rèn)證結(jié)果返回控制單元110���。
[0033]在步驟S203��,如果控制單元110從安全認(rèn)證單元120接收到安全認(rèn)證通過的消息,則進(jìn)入步驟S204,控制單元110將安全載體20的識別符轉(zhuǎn)發(fā)給SE注冊管理單元131并且指示后者啟動(dòng)注冊識別和管理流程����;否則進(jìn)入步驟S205�,控制單元110指示輸出設(shè)備輸出認(rèn)證未通過的消息(例如在移動(dòng)設(shè)備的顯示器上顯示認(rèn)證失敗的提示信息)�����。
[0034]在完成步驟S204之后進(jìn)入步驟S206,SE注冊管理單元131通過查詢連接記錄列表以確定是否存在相應(yīng)的標(biāo)識符記錄,如果存在,則進(jìn)入步驟S207,否則將安全載體20的標(biāo)識符記錄到連接記錄列表中并且隨后進(jìn)入步驟S208�����,由控制單元110啟動(dòng)移動(dòng)設(shè)備10與安全載體20的交互過程�����。
[0035]在步驟S207����,SE注冊管理單元131將訪問SE配置信息存儲單元132以獲取相應(yīng)的配置信息。隨后進(jìn)入步驟S209,確定是否成功獲取相應(yīng)的配置信息。如果成功獲取,則進(jìn)入步驟S210�����,控制單元110將利用SE配置信息存儲單元132內(nèi)的配置信息完成移動(dòng)設(shè)備10與安全載體20之間的通信連接;否則進(jìn)入步驟S208���。
[0036]步驟S208之后進(jìn)入步驟S211���,SE注冊管理單元131將交互過程獲得的配置信息存儲在SE配置信息存儲單元132內(nèi)。
[0037]在步驟S211之后進(jìn)入步驟S120����,控制單元110利用配置信息完成移動(dòng)設(shè)備10與安全載體20之間的通信連接。
[0038]圖3示出了在圖2所示方法中所用的安全認(rèn)證的處理流程。
[0039]如圖3所示,在步驟S301中����,安全認(rèn)證單元120經(jīng)通信接口 140向安全載體20發(fā)送返回驗(yàn)證碼的消息,該消息內(nèi)包含用于生成驗(yàn)證碼的認(rèn)證信息(例如一個(gè)隨機(jī)數(shù))���。
[0040]為了防止重放攻擊,優(yōu)選地�����,可以采用下列方式生成驗(yàn)證碼:在安全認(rèn)證單元120和安全載體20內(nèi)預(yù)先設(shè)定共享的私密信息(例如16字節(jié)的密鑰)和具有相同初始值的計(jì)數(shù)器���,當(dāng)安全載體20接收到安全認(rèn)證單元120發(fā)送的認(rèn)證信息時(shí)����,其利用共享的私密信息對該認(rèn)證信息施行一次或多次加密操作以生成驗(yàn)證碼,其中��,加密操作的次數(shù)與計(jì)數(shù)器的計(jì)數(shù)值之間具有對應(yīng)關(guān)系(例如加密次數(shù)等于計(jì)數(shù)值);當(dāng)完成加密過程后�,安全載體20將改變其內(nèi)的計(jì)數(shù)器的計(jì)數(shù)值(例如每次加密后使計(jì)數(shù)值增一或減一)以使下次執(zhí)行加密過程時(shí)具有不同的加密次數(shù)���。
[0041]隨后在步驟S302中���,安全認(rèn)證單元120經(jīng)通信接口 140從安全載體20接收返回的驗(yàn)證碼��。
[0042]在步驟S303中��,安全認(rèn)證單元120利用共享的私密信息對接收的驗(yàn)證碼進(jìn)行驗(yàn)證����。如果接收的驗(yàn)證碼與發(fā)送的認(rèn)證信息匹配�,則進(jìn)入步驟S304�����,向控制單元110返回安全認(rèn)證通過的消息�,否則進(jìn)入步驟S305,向控制單元110返回安全認(rèn)證失敗的消息�����。
[0043]在步驟S303中,可以采用多種方式來完成驗(yàn)證操作���。例如可以解密驗(yàn)證碼�����,并將解密后得到的認(rèn)證信息與原始的認(rèn)證信息比較以判斷驗(yàn)證碼與認(rèn)證信息是否匹配�。又如,可以在安全認(rèn)證單元120處按照與安全載體20相同方式對認(rèn)證信息進(jìn)行加密以得到本地的驗(yàn)證碼����,并將該本地的驗(yàn)證碼與接收的驗(yàn)證碼比較以判斷驗(yàn)證碼與認(rèn)證信息是否匹配��。
[0044]當(dāng)采用前述優(yōu)選的加密方式時(shí)��,在步驟S303中����,安全認(rèn)證單元120將對接收的驗(yàn)證碼施行一次或多次解密操作以還原得到認(rèn)證信息,或者將對認(rèn)證信息施行一次或多次加密操作以得到本地的認(rèn)證碼�����,其中,在安全認(rèn)證單元120處執(zhí)行的解密操作和加密操作的次數(shù)與在安全載體處執(zhí)行的加密操作的次數(shù)相同,為此可使安全認(rèn)證單元120處執(zhí)行的解密操作和加密操作的次數(shù)與安全認(rèn)證單元120內(nèi)的計(jì)數(shù)器的計(jì)數(shù)值保持同樣的對應(yīng)關(guān)系���。
[0045]在前述優(yōu)選的加密方式下����,為了使安全認(rèn)證單元120和安全載體20中的計(jì)數(shù)器保持同步變化����,在步驟S303中,當(dāng)完成解密或加密過程后�,安全認(rèn)證單元120按照與安全載體20相同的方式改變其內(nèi)的計(jì)數(shù)器的計(jì)數(shù)值。
[0046]圖4示出了在圖2所示方法中所用的安全認(rèn)證的另一種處理流程。與圖3所示的流程相比����,本流程基于雙向認(rèn)證機(jī)制�����。
[0047]如圖4所示,在步驟S401中��,安全認(rèn)證單元120經(jīng)通信接口 140向安全載體20發(fā)送返回第一驗(yàn)證碼的消息��,該消息內(nèi)包含用于生成第一驗(yàn)證碼的第一認(rèn)證信息�。
[0048]隨后在步驟S402����,安全認(rèn)證單元120從安全載體20接收生成第二驗(yàn)證碼的消息,該消息包含由安全載體20生成的第二認(rèn)證信息�����。
[0049]接著進(jìn)入步驟S403,安全認(rèn)證單元120經(jīng)通信接口 140從安全載體20接收返回的第一驗(yàn)證碼并且向安全載體20發(fā)送其生成的第二驗(yàn)證碼。
[0050]在步驟S404�����,安全認(rèn)證單元120從安全載體20接收對第二驗(yàn)證碼的認(rèn)證結(jié)果并且根據(jù)認(rèn)證結(jié)果判斷是否通過安全載體20對其的安全認(rèn)證。如果通過�����,則進(jìn)入步驟S405�����,否則進(jìn)入步驟S406�,向控制單元110返回安全認(rèn)證失敗的消息。
[0051]在步驟S405����,安全認(rèn)證單元120利用共享的私密信息對接收的第一驗(yàn)證碼進(jìn)行驗(yàn)證��,如果接收的第一驗(yàn)證碼與發(fā)送的第一認(rèn)證信息匹配,則進(jìn)入步驟S407���,向控制單元110返回安全認(rèn)證通過的消息��,否則進(jìn)入步驟S406��,向控制單元110返回安全認(rèn)證失敗的消息����。
[0052]在圖4所示的流程中�����,第一和第二驗(yàn)證碼的生成和驗(yàn)證可以采用上面借助圖3所述處理流程中描述的方式��。具體而言���,在安全載體20和安全認(rèn)證單元120處���,利用雙方共享的私密信息分別加密接收到的第一和第二認(rèn)證信息�,其中加密操作的次數(shù)與雙方同步變化的計(jì)數(shù)器的計(jì)數(shù)值之間具有對應(yīng)關(guān)系�����。相應(yīng)地����,在安全認(rèn)證單元120和安全載體20處利用共享的私密信息分別解密第一和第二驗(yàn)證碼,并將解密后得到的認(rèn)證信息與原始的認(rèn)證信息比較以判斷驗(yàn)證碼與認(rèn)證信息是否匹配����;或者�,在安全認(rèn)證單元120與安全載體20處利用共享的私密信息,按照與對方相同的方式對第一和第二認(rèn)證信息進(jìn)行加密以得到本地的驗(yàn)證碼,并將該本地的驗(yàn)證碼與接收的驗(yàn)證碼比較以判斷驗(yàn)證碼與認(rèn)證信息是否匹配����。
[0053]由于可以在不背離本發(fā)明基本精神的情況下�����,以各種形式實(shí)施本發(fā)明,因此上面描述的【具體實(shí)施方式】僅是說明性的而不是限制性的����。本發(fā)明的范圍由所附權(quán)利要求定義��,對上面描述方式所作的各種變化或變動(dòng)都屬于所附權(quán)利要求的保護(hù)范圍�。
【權(quán)利要求】
1.一種在移動(dòng)設(shè)備與安全載體之間建立通信連接的方法���,其特征在于�,所述方法包括下列步驟: 當(dāng)移動(dòng)設(shè)備檢測到有安全載體與其建立物理連接時(shí)�����,其對所述安全載體進(jìn)行安全認(rèn)證�����; 如果所述安全認(rèn)證通過�����,則所述移動(dòng)設(shè)備確定其內(nèi)是否已經(jīng)存在與所述安全載體建立通信連接所需的配置信息�;以及 如果存在所需的配置信息����,則所述移動(dòng)設(shè)備利用該配置信息建立與所述安全載體的通信連接��,否則����,所述移動(dòng)設(shè)備從所述安全載體獲取所需的配置信息以建立與所述安全載體的通信連接����。
2.如權(quán)利要求1所述的方法,其中�����,所述安全載體為智能卡或USB加密鎖�����。
3.如權(quán)利要求1所述的方法�����,其中��,所述安全載體以非接觸方式與所述移動(dòng)設(shè)備建立物理連接���。
4.如權(quán)利要求1所述的方法���,其中���,所述移動(dòng)設(shè)備以下列方式對所述安全載體進(jìn)行安全認(rèn)證: 向所述安全載體發(fā)送隨機(jī)生成的認(rèn)證信息; 通過驗(yàn)證從所述安全載體接收的驗(yàn)證碼來確定所述安全認(rèn)證是否通過���,其中�����,所述驗(yàn)證碼根據(jù)所述認(rèn)證信息生成���。
5.如權(quán)利要求4所述的方法����,其中,所述安全載體按照下列方式生成所述驗(yàn)證碼:利用所述安全認(rèn)證單元和安全載體共享的密鑰對所述認(rèn)證信息施行一次或多次加密操作����,其中�,加密操作的次數(shù)與所述安全認(rèn)證單元和安全載體內(nèi)的計(jì)數(shù)器的計(jì)數(shù)值具有對應(yīng)關(guān)系,并且 所述移動(dòng)設(shè)備按照下列方式驗(yàn)證所述驗(yàn)證碼:利用所述共享的密鑰對所述驗(yàn)證碼施行一次或多次解密操作并確定解密后的結(jié)果與所述認(rèn)證信息是否匹配��,其中��,解密操作的次數(shù)與所述加密操作的次數(shù)相同�����。
6.如權(quán)利要求4所述的方法����,其中,所述安全載體按照下列方式生成所述驗(yàn)證碼:利用所述安全認(rèn)證單元和安全載體共享的密鑰對所述認(rèn)證信息施行一次或多次加密操作,其中�,加密操作的次數(shù)與所述安全認(rèn)證單元和安全載體內(nèi)的計(jì)數(shù)器的計(jì)數(shù)值具有對應(yīng)關(guān)系,并且 所述移動(dòng)設(shè)備按照下列方式驗(yàn)證所述驗(yàn)證碼:利用所述共享的密鑰�,按照與所述安全載體相同的方式對所述認(rèn)證消息施行加密操作,并確定加密后的結(jié)果與所述驗(yàn)證碼是否匹配�。
7.如權(quán)利要求1所述的方法,其中�����,所述配置信息包括所述安全載體的標(biāo)識符�、容量、顯^^圖標(biāo)和內(nèi)直應(yīng)用列表����。
8.一種在移動(dòng)設(shè)備與安全載體之間建立通信連接的方法,其特征在于�,所述方法包括下列步驟: 當(dāng)移動(dòng)設(shè)備與安全載體建立物理連接時(shí),所述移動(dòng)設(shè)備和所述安全載體相互進(jìn)行安全認(rèn)證����; 如果所述安全認(rèn)證都通過,則所述移動(dòng)設(shè)備確定其內(nèi)是否已經(jīng)存在與所述安全載體建立通信連接所需的配置信息���;以及 如果存在所需的配置信息��,則所述移動(dòng)設(shè)備利用該配置信息建立與所述安全載體的通信連接�����,否則�����,所述移動(dòng)設(shè)備從所述安全載體獲取所需的配置信息以建立與所述安全載體的通信連接�。
9.如權(quán)利要求8所述的方法���,其中�����,以下列方式相互進(jìn)行安全認(rèn)證: 所述移動(dòng)設(shè)備和所述安全載體互相向?qū)Ψ桨l(fā)送隨機(jī)生成的認(rèn)證信息�����; 通過驗(yàn)證從對方接收的驗(yàn)證碼來確定所述安全認(rèn)證是否通過�, 其中���,所述移動(dòng)設(shè)備和所述安全載體根據(jù)各自接收的認(rèn)證信息生成相應(yīng)的驗(yàn)證碼����。
10.如權(quán)利要求9所述的方法,其中�����,所述移動(dòng)設(shè)備和所述安全載體的任一方按照下列方式生成驗(yàn)證碼:利用所述安全認(rèn)證單元和安全載體共享的密鑰對另外一方發(fā)送的認(rèn)證信息施行一次或多次加密操作���,其中����,加密操作的次數(shù)與所述安全認(rèn)證單元和安全載體內(nèi)的計(jì)數(shù)器的計(jì)數(shù)值具有對應(yīng)關(guān)系����,并且 所述移動(dòng)設(shè)備和所述安全載體的任一方按照下列方式驗(yàn)證接收的驗(yàn)證碼:利用所述共享的密鑰對接收自另外一方的驗(yàn)證碼施行一次或多次解密操作并確定解密后的結(jié)果與發(fā)送給另外一方的認(rèn)證信息是否匹配,其中��,解密操作的次數(shù)與另外一方對驗(yàn)證碼實(shí)行的加密操作的次數(shù)相同�����。
11.如權(quán)利要求9所述的方法�����,其中,所述移動(dòng)設(shè)備和所述安全載體的任一方按照下列方式生成驗(yàn)證碼:利用所述安全認(rèn)證單元和安全載體共享的密鑰對另外一方發(fā)送的認(rèn)證信息施行一次或多次加密操作��,其中�,加密操作的次數(shù)與所述安全認(rèn)證單元和安全載體內(nèi)的計(jì)數(shù)器的計(jì)數(shù)值具有對應(yīng)關(guān)系,并且 所述移動(dòng)設(shè)備和所述安全載體的任一方按照下列方式驗(yàn)證接收的驗(yàn)證碼:利用所述共享的密鑰���,按照與另外一方相同的方式對發(fā)送給另外一方的認(rèn)證消息施行加密操作并確定加密后的結(jié)果與從另外一方接收的驗(yàn)證碼是否匹配��。
12.—種移動(dòng)設(shè)備,其特征在于����,包括: 控制單元,被配置為利用安全載體的配置信息建立與所述安全載體的通信連接�����; 與所述控制單元耦合的安全認(rèn)證單元���,被配置為根據(jù)所述控制單元的指令���,對與所述移動(dòng)設(shè)備建立物理連接的安全載體進(jìn)行安全認(rèn)證;以及 與所述控制單元耦合的安全載體注冊機(jī)���,被配置為根據(jù)所述控制單元的指令����,對于通過所述安全認(rèn)證的安全載體,確定所述安全載體注冊機(jī)內(nèi)是否已經(jīng)存在建立與該安全載體的通信連接所需的配置信息���,并且如果存在�����,則向所述控制單元提供所述配置信息���,如果不存在,則存儲所述安全載體提供的配置信息��。
13.如權(quán)利要求12所述的移動(dòng)設(shè)備��,其中�����,所述安全載體為智能卡或USB加密鎖���。
14.如權(quán)利要求12所述的移動(dòng)設(shè)備���,其中���,所述移動(dòng)設(shè)備包含無線通信接口以與所述安全載體建立物理連接。
15.如權(quán)利要求12所述的移動(dòng)設(shè)備����,其中,所述安全認(rèn)證單元以下列方式對所述安全載體進(jìn)行安全認(rèn)證: 向所述安全載體發(fā)送隨機(jī)生成的認(rèn)證信息�; 通過驗(yàn)證從所述安全載體接收的驗(yàn)證碼來確定所述安全認(rèn)證是否通過,其中��,所述驗(yàn)證碼根據(jù)所述認(rèn)證信息生成�。
16.如權(quán)利要求15所述的移動(dòng)設(shè)備�,其中,所述安全載體按照下列方式生成所述驗(yàn)證碼:利用所述安全認(rèn)證單元和安全載體共享的密鑰對所述認(rèn)證信息施行一次或多次加密操作�����,其中���,加密操作的次數(shù)與所述安全認(rèn)證單元和安全載體內(nèi)的計(jì)數(shù)器的計(jì)數(shù)值具有對應(yīng)關(guān)系���,并且 所述安全認(rèn)證單元按照下列方式驗(yàn)證所述驗(yàn)證碼:利用所述共享的密鑰對所述驗(yàn)證碼施行一次或多次解密操作并確定解密后的結(jié)果與所述認(rèn)證信息是否匹配�,其中����,解密操作的次數(shù)與所述加密操作的次數(shù)相同。
17.如權(quán)利要求15所述的移動(dòng)設(shè)備��,其中�,所述安全載體按照下列方式生成所述驗(yàn)證碼:利用所述安全認(rèn)證單元和安全載體共享的密鑰對所述認(rèn)證信息施行一次或多次加密操作,其中���,加密操作的次數(shù)與所述安全認(rèn)證單元和安全載體內(nèi)的計(jì)數(shù)器的計(jì)數(shù)值具有對應(yīng)關(guān)系��,并且 所述安全認(rèn)證單元按照下列方式驗(yàn)證所述驗(yàn)證碼:利用所述共享的密鑰���,按照與所述安全載體相同的方式對所述認(rèn)證消息施行加密操作,并確定加密后的結(jié)果與所述驗(yàn)證碼是否匹配�����。
【文檔編號】H04L29/06GK104135458SQ201310159769
【公開日】2014年11月5日 申請日期:2013年5月3日 優(yōu)先權(quán)日:2013年5月3日
【發(fā)明者】柴洪峰, 魯志軍, 何朔, 周鈺, 郭偉, 李定洲 申請人:中國銀聯(lián)股份有限公司