[发明专利]数据流的安全保护方法

说明书

本发明的目的是提供一种数据流的安全保护方法。

本发明涉及电子处理终端领域，更具体地，涉及智能移动终端领域。

这里，术语“智能移动终端”应理解为指第二代或高于第二代的移动电话。引申开来，移动终端为通过网络通信且可在无协助的情况下由人携带的任何装置。因此该类别至少包括移动电话、个人数字助理和便携式计算机。这些智能终端能够实施无论何种应用。在以下的说明中，将借助于移动电话来描述本发明的优选的应用。以下，术语“终端”将对应于移动电话，同时适用之前的定义。

本发明的目的是使终端进行的通信安全化。本发明的另一目的是使终端通信的安全管理容易、可靠。

本发明的再一目的是能够容易地将终端群的通信安全管理委托给终端群的管理器，同时使该管理器能够定位在它的终端群的每个终端处的元件或者针对它的终端群的一组终端和仅针对该群的元件。

在现有技术中，不存在对终端或终端群的通信安全进行简单管理的装置。一旦终端被投入到使用中，则其将完全取决于它的使用者的行为。

在本发明中，这个问题通过在终端上植入一本地代理服务器来解决。该代理服务器处理该终端的至少一个输入流和输出流，所述处理通过对这些流施加代理服务器的配置存储器存储的处理来执行，这些处理操作通过一个或多个特定于应用的软件程序来进行。因此有可能例如通过对这些流进行加密、或者通过在句法或语义层面分析这些流的内容，或者是搜索二元图或恶意的代码签字的出现以防止截获或入侵，从而对这些流进行安全保护。

在本发明的一种变型中，该代理服务器也可保护终端的组成部分之间的数据流，而不管这些组成部分是软件组成部分(如观看视频的软件程序或文字编辑器)还是硬件组成部分(例如可以通过一系列物理地址以及通过一系列物理地址和一中断类型寻址系统或检索手段识别的存储器)，以及一般的可通过终端的操作系统识别和检索的任何拓扑结构的组成部分。该代理服务器通过允许或不允许对以下内容的全部或部分的复制、移动、或者读、写、重写的访问操作使这些数据流安全化：所述内容包括一条数据、数据文件，或一组可对应于一软件程序或软件程序或操作系统的全部或部分的一组二进制文件。在本发明的一种变型中，该代理服务器还负责将这些数据或数据文件安全化或未安全化地储存到终端中，并且可以指令使用加密和/或编码/压缩。

在本发明一种变型中，代理服务器和它的配置存储器被记录在一微电路卡上并被安全化以确保该配置存储器不被破坏。

在本发明中，术语“协议”按其公认的意义来理解，即其用于在两个不同机器之间在同一抽象层上进行通信。该术语“协议”还可延伸为用于指定在同一终端上的两层之间或终端与微电路卡之间建立的通信规则。在本发明中，“协议”一词可与不同通信层之间的一系列协议(通常意义上的协议堆栈)和执行所述协议的软件程序不加区别地使用。在本发明优选但非限定性的实施例中，“协议”一词囊括了TCP/IP、IPv4、IPv6、IPsec、SIGTRAN堆栈、2、3、4、5层以及更高层的一套服务等级。引用以下协议对上述协议进行举例说明，所述例举并非是限制性的：MPLS、PPP、ATM、IP、ARP、ICMP、BGP、OSPF、L2TP、RTP、SRTP、SCTP、TCP、UDP、TCAP、FTP、IRC、SSH、SSL和TSL、HTTP、IMAP、POP3、SMTP、Telnet、SIP、H323。在该优选实施例中，IP领域的协议通常通过目的端口号来在技术上进行识别。

发明内容

因此本发明的目的提供一种对电子终端(101)发出的数据流进行安全保护的方法，该安全保护通过寄存在插入该电子终端中的微电路卡中且在该微电路卡中执行的代理服务器(SD)(115)获得，其中，所述方法包括由该终端执行的以下步骤：

一在该微电路卡的配置存储器中记录代理服务器的配置(201)，一组终端或终端群的更新该配置存储器的权限排他地专属于终端群之间的作为群管理器的单个实体；

一在协议配置存储器中记录迫使针对至少一协议的每个数据流使用代理服务器的参数(202)；

一针对被参数化以被提交给代理服务器的每个协议的每个数据流，通过该代理服务器的配置应用规划用于该流的处理(204-206)。

在一种变型中，本发明的方法的特征还在于，通过专用的特定于应用的程序来实现该规划的处理。

在一种变型中，本发明的方法的特征还在于，通过连接至该代理服务器的专门的服务器来实现该规划的处理。