[发明专利]用于访问装在移动终端内的SIM卡的方法和装置

说明书

本发明涉及保密通信领域，尤其涉及由公开密钥系统保护的远程服务。这种保密服务包括，例如从因特网到私人公司网络的VPN(虚拟专用网络)连接、根据SSL(加密套接字)协议的个人在线电子签名或身份验证。

公开密钥算法的密钥包括公开部分和秘密部分。公开部分通常没有任何限制地分配给各用户。证书的有效性证明了与公开密钥中可具有的、与身份相关的信用。X.590v3是因特网上使用的证书标准。该标准定义了特别包括以下各项的证书：

-待验证的公开密钥；

-其持有者的身份；

-该密钥的有效期；

-限定密钥使用权限的属性组：例如，消息签名密钥或安全的因特网服务器密钥；

-数据的加密签名，由发送证书的认证机构的私钥加密。

公开密钥基础设施(PKI)用于管理证书。PKI基础设施一方面用来创建证书，另一方面也对其进行管理(恢复、更新等)。

为了建立从因特网类型的公开网络到私人公司网络的安全访问，VPN技术在用户终端和公司网络之间建立加密的IP隧道。VPN技术通常基于使用计算器产生的一次性密码(OTP)进行的身份验证和加密体系、基于签名算法和存储在用户终端的硬盘上的证书的PKI体系、插入到与用户终端相连的读卡器内的智能卡、或集成在与用户终端的USB端口相连的道尔芯片内的智能卡。

这些不同的备选方案都存在缺陷。产生一次性密码的计算器的工效因素是受限的；用户必须首先读取计算器上的密码，然后将其输入终端。

存储在硬盘上的软件证书也相对容易受到攻击。

以信用卡的形式插入读卡器、或集成在USB道尔芯片中的智能卡要求用户具有额外的智能卡，这就增加了费用并且可能丢失。此外，信用卡形式的智能卡还要求用户具有读卡器。必须将用于移动电话的SIM卡转移到终端的读卡器上，以用于产生证书。当SIM卡为小的“微型SIM(micro-SIM)”形式时，这种转移操作是不方便的。

本发明希望克服这些缺陷。本发明还希望使用公开密钥加密应用程序。因此，本发明涉及包括终端和移动电话的加密装置，所述终端和移动电话能通过无线连接进行数据交换，其中，所述加密装置能与其它加密实体一起执行公开密钥加密协议，且加密装置的秘密密钥存储在移动电话中而不是终端中。

有利地，根据本发明，单独盗取终端或移动电话，并不会使盗贼能够盗用加密装置的身份。

根据一种选择，所述终端能与另一加密实体建立有线或无线连接，并能通过所述连接与所述加密实体进行数据交换。

根据另一种选择，所述加密实体是用于访问计算机网络的服务器，且所述数据交换使得能够利用所述服务器对所述终端进行认证。

本发明还涉及一种用于执行公开密钥加密操作的方法，包括在至少一个加密实体和装置之间执行公开密钥加密协议的步骤，所述装置包括存储该装置的秘密密钥的移动电话以及未存储所述秘密密钥的终端，其中所述终端和所述移动电话通过无线连接交换数据。

根据一种选择，所述加密实体和所述装置之间的所述加密协议的数据交换通过所述装置和所述其它加密实体之间的有线或无线连接实现。

根据另一种选择，所述加密实体是用于访问计算机网络的服务器，且所述数据交换是用于利用所述服务器验证所述终端的交换。

参照附图进行的以下描述，将使得本发明的其它特征和有益效果变得更加清晰，但以下描述并不作为本发明的限制。

-图1示出了根据本发明的、通过VPN连接到私人网络的用户本地机；

-图2示出了根据本发明的、在所述用户本地机内执行的各软件层；

-图3示出了各种PKCS#11函数的执行；

-图4示出了连接到签名文档发布服务器的用户本地机。

本发明提出利用装在移动终端内并具有公开密钥加密应用程序的智能卡的性能。然后将智能卡作为PKI体系中的加密计算工具使用，例如，用于实现验证、加密或签名功能。连接至网络的终端与移动终端和加密函数库具有无线连接。通过无线连接，在库中调用的加密函数将加密操作命令发送到智能卡。智能卡执行加密操作并将其结果发送给终端。

图1示出了根据本发明的用户本地机6。用户本地机6包括终端1，其装配有用于与私人网络7进行VPN通信的模块8，并可访问使得在私人网络7中能对用户进行验证的SIM卡3。通过VPN网关4管理终端1到私人网络7的访问。服务器44具有将形成PKI基础设施的元件，例如注册机构和认证机构。