[发明专利]用于管理多个智能卡会话的系统和方法

说明书

技术领域

本发明通常涉及智能卡读取器，以及更具体地涉及利用智能卡读取器在无线通信链路上对需要智能卡访问的多个设备的处理。

背景技术

智能卡(也称为芯片卡或者集成电路卡)是具有用作存储敏感数据或者用户认证的嵌入集成电路(例如微处理器和/或存储器)的设备。智能卡可以包括用于存储金融或者个人数据、或者例如在S/MIME(安全多用途因特网邮件扩展)加密技术中使用的私有密钥之类的私人数据的存储器。优选地，该数据中的一些可以利用PIN(个人识别码)或者口令作为访问控制措施而被保护。为了访问存储在卡的存储器中的被保护的数据，用户必须通过提供正确的PIN或者口令而被确认。

典型地，智能卡不包括为了用户认证的目的而直接输入PIN或者口令的数据输入设备，而替代地，智能卡与和输入设备通信的智能卡读取器结合使用。当智能卡与智能卡读取器通信时，用户通过输入设备提供PIN或者口令给智能卡读取器。该读取器而后可以传送用户输入的PIN或者口令给智能卡用于验证，从而智能卡可以对用户进行认证。

但是，典型地，智能卡读取器依赖于与连接设备的专用连接，例如在移动设备或者个人计算机和智能卡读取器之间的通用串行总线(USB)连接，或者在智能卡读取器和单个连接设备之间的无线通信链路。因此，智能卡读取器有效地专用于第一计算和/或通信设备，以及不能结合首先在第一设备和智能卡读取器之间提供连接的另外的移动设备或者其他通信或者计算设备使用。

EP1635627公开了一种用于在ad hoc无线网络中保护两设备配对的系统。第一设备可以相对简单地操作而无需复杂的用户界面。第二设备(在这里称为“主机”设备)可以具有详细消息显示器，以及用户输入(例如键盘)。当每一个设备都已经通电并且用户希望建立adhoc网络时，主机设备被用来控制配对处理。主机设备可以发送信标信号来定位第二设备。第二设备检测该信标信号，并且应答主机设备。然后使用相互的认证处理，例如质询响应处理。当与主机设备认证时，第二设备将预定的序列号码与它的公共密钥相关联。这两个设备也产生用于保护它们之间的所有连续消息的公共密钥。在一个实施例中，用户必须确认通过主机设备识别了正确的第二设备。但是，没有公开智能卡读取器的安全配对，也没有公开利用具有基本用户界面的主机设备(例如智能卡读取器)对多个设备进行安全地配对。

发明内容

因此期望提供一种系统和一种方法，依靠所述系统和方法，智能卡读取器可以与多个计算设备结合使用，所述多个计算设备包括移动通信设备和其他的计算设备(例如个人计算机)。

根据优选实施例，这里提供一种用于连接多个通信设备和智能卡读取器的方法，其中，将智能卡读取器配置为与智能卡相接口以提供智能卡会话，所述方法包括以下步骤：在智能卡读卡器处接收来自第一通信设备的连接请求，所述请求包括第一通信设备的第一标识符；从智能卡读取器处产生第一安全值，用于提供给第一通信设备以建立安全配对；在智能卡读取器处建立第一主连接密钥数据，用于产生第一主连接密钥；在智能卡读取器处根据第一主连接密钥数据产生第一主连接密钥，其中第一通信设备配置用于根据第一主连接密钥数据产生第一主连接密钥，第一主连接密钥被用来保护在智能卡读取器和第一通信设备之间传输的数据，以及被传输到第一通信设备的数据包括第一标识符；在智能卡读取器处接收在第一通信设备处建立的连接口令，用来控制对智能卡读取器的访问并在存储器中存储所述连接口令；在智能卡读取器处接收来自第二通信设备的连接请求，所述请求包括第二通信设备的第二标识符；从智能卡读取器产生并传输第二安全值给第二通信设备以建立安全配对；在智能卡读取器处建立第二主连接密钥数据，用于产生第二主连接密钥；在智能卡读取器处根据第二主连接密钥数据产生第二主连接密钥，其中第二通信设备配置用于根据第二主连接密钥数据产生第二主连接密钥，第二主连接密钥被用来保护在智能卡读取器和第二通信设备之间传输的数据，以及被传输到第二通信设备的数据包括第二标识符；传输连接口令给第二通信设备，从而对于第一和第二通信设备，连接口令控制对智能卡读取器的访问。