[发明专利]用于执行一个或多个应用程序以便与提供Web服务的一个或多个服务器进行安全的数据交换的方法和安全单元、特别是用于IoT设备的安全单元

说明书

本发明要求保护一种适用于设备（IOT）、尤其IOT设备的安全单元（SE）,其用于执行一个或多个应用程序（A1，A2，A3）以便与提供Web服务的一个或多个服务器进行安全的数据交换，其中，所述安全单元构造有：‑用于将原始数据映射到对应的替换数据和/或反之亦然的装置（R，SE），其中，所述原始数据和/或替换数据分别形成原始密钥（O1，O2，O3，O4）和/或替换密钥和/或可用于它们的形成，‑用于识别由正在执行的应用程序（A1）提供的、与原始密钥对应的替换钥匙的装置，以及‑用于借助所述用于映射的装置提供对应于替换密钥的所请求的原始密钥以便将所述原始密钥用于与所述服务器的安全的数据交换的装置（SE，R）。

技术领域

本发明涉及一种用于执行一个或多个应用程序以便与提供web服务的一个或多个服务器进行安全的数据交换的安全单元，特别是用于IoT设备的安全单元，和一种用于执行一个或多个应用程序以便与提供web服务的一个或多个服务器进行安全的数据交换的方法以及所属的计算机程序（产品）。

背景技术

信任锚（Trust Anchor）用于计算机系统，尤其也用于嵌入式系统和IoT设备，以便以值得信赖且抗攻击的方式实现安全功能。传统的信任锚（例如，密码控制器，安全元件）基本上仅用于存储密码密钥并执行基本密码操作（例如，使用本地存储的密钥进行加密，解密）。信任锚由执行软件或应用程序的应用程序处理器寻址。然而，应用程序处理器也可以执行受操纵的软件（例如，如果漏洞被攻击者利用），并且然后因此使用由信任锚提供的加密服务。因此，需求保护敏感的应用程序逻辑以使用加密的基本操作。还需要更好地保护JSON Web令牌（JWT）的处理，该JSON Web令牌广泛用于基于互联网的Web服务和IoT服务。

将集成（嵌入）在技术环境中的电子计算机或计算机称作嵌入式系统（英语也称为“embedded System”）。在此，计算机通常承担监视、控制或调节功能或者负责一种形式的数据或信号处理，例如在加密或解密、编码或解码或过滤的情况下。也可以将现场设备（简称FG，英语：Field Device（FD））分类到类别“嵌入式系统”。

术语物联网（IdD）（也称为“物联网”；英文：Internet of Things，简称：IoT）描述了数字世界中的（个人）计算机越来越多地由“智能对象”到“KI”（人工智能）来补充。通常借助越来越小的嵌入式系统实现的“物联网”应在用户的日常活动中不知不觉地支持用户，而不会分散注意力或甚至吸引注意力。

可能的是，使用加密控制器或硬件安全元件（芯片卡处理器、可信平台模块、安全模块）。在此涉及受特殊保护的微处理器。还有通用的微控制器/应用程序处理器，其具有集成的密钥存储器（熔丝）和硬件加密引擎（性能、功耗）。

由专利文献US6735627已知一种用于所谓的智能卡的系统和方法，其能够通过基于IP的网络传输多媒体数据。在此，TLS通信协议在安全元件（智能卡芯片）上实现。在信用卡的情况下，用于通过假名替换信用卡号的特殊服务或应用是已知的，使得在商业计费系统中不存在实际的信用卡号。

这称为标记化（Tokenization）。例如参考https://en.wikipedia.org/wiki/Tokenization（data security）和https：//www.pcisecuritystandards.org/documents/Tokenization Guidelines Info Supplement.pdf。

许多Web服务都基于OAUTH（认证协议，参阅https://en.wikipedia.org/wiki/OAuth,https://tools.ietf.org/html/rfc6749）受保护（即在使用JSON Web令牌的情况下）。令牌现在由应用程序存储在客户端平台上。