本发明专利技术提出了一种用于经由运行在移动设备上的第一应用来从所述移动设备发送消息的方法。所述方法包括:质询步骤,用于向所述第一应用提供质询;响应步骤,用于接收对所述质询的响应;相等性检查步骤,用于判定所接收的响应是否符合预期响应;签名步骤,用于利用密钥和所述相等性检查步骤的结果来为所述消息提供签名;以及发送步骤,用于经由所述第一应用将所签名的消息从所述移动设备发送到后端系统。
【技术实现步骤摘要】
【国外来华专利技术】
本专利技术涉及一种经由运行在移动设备上的应用来从所述移动设备发送 消息的方法。本专利技术也涉及一种用于在移动设备处接收消息的方法。本发 明还涉及一种移动设备和智能卡。
技术介绍
构建包括后端/基础设施组件以及嵌入式系统组件的集成系统会带来 确保端到端系统完整性的问题。在此类集成系统中,后端系统依赖于来自 嵌入读出组件的数据是正确的且未被篡改。确保后端系统的完整性是众所周知的问题,可利用多种机制和措施并 且它们通常用于保护系统以及确保系统完整性。此外,后端系统通常安装 在也被物理保护的固定物理位置,并且可以监视对所述系统的物理访问。 相比之下,嵌入组件经常是移动的、具有有限的资源以及更难保护。通常 不能控制或限制对这些嵌入组件的物理访问。例如,嵌入式系统可以安装 在汽车上,并且能够接近汽车的任何人都能够使用嵌入式系统本身。因此,问题是确保系统完整性,即确保在一侧包括后端系统和在另一 侧包括移动设备的环境中没有篡改应用映像。完整性用于确保在后端系统 和移动设备之间发送的消息能够被相信为来自完整的源。使用具有集成密码组件的专用处理器或者使用集成智能卡(例如可信计算组织(TCG)的可信平台模块(TPM)机制)是众所周知的,其中安 全组件可以例如访问CPU的状态,并且能够被动地监视存储器访问,或者校验和相比较。第 一个方法从硬件来看是相对昂贵的并且只适用于大批量, 而应用映#>的逆向工程可使后一方法变得无效。因此,提供一种克服上述缺点的用于将消息从移动设备发送到后端系 统的方法是一个难题。
技术实现思路
根据本专利技术的一个方面,提供了 一种用于经由运行在移动设备上的第一应用来从所述移动设备发送消息的方法,所述方法包括质询步骤,用 于向所述第一应用提供质询;响应步骤,用于接收对所述质询的响应;相 等性检查步骤,用于判定所接收的响应是否符合预期响应;签名步骤,用 于利用密钥和所述相等性检查步骤的结果来为所述消息提供签名;以M 送步骤,用于经由所述第一应用将所签名的消息从所述移动i殳备发送到后 端系统。利用上述处理,将测试所述第一应用的完整性,并且此测试的结 果将影响被发送给所述后端系统的消息的签名。后端系统在此被理解为与 所述移动设备物理分离并且具有到所述移动设备的通信连接的系统。在优 选实施例中,此类后端系统可以包括以下任意一种功能控制所述移动设 备;存储来自所述移动设备或被发送给所述移动设备的数据;跟踪所述移 动设备;执行对所述移动设备的检查;更新所述移动设备上的软件;处理 来自所述移动设备或被发送给所述移动设备的数据;将来自所述移动设备 的数据发送给其他系统等。在一优选实施例中,在所述签名步骤之前,在消息修改步骤中利用所 述相等性检查步骤的结果来修改所述消息。此步骤具有以下优点,即它能 够相对于所述第一应用透明地被执行,特别是如果在发送所述消息之前所 述消息不但被修改而且祐力口密时。然后即使已经检测到所述第一应用的不 完整性(non-integrity),所述第一应用本身也不能检测到所述消息修改, 所述消息修改将其不完整性发信号通知后端,并且基于一切正常(即好像 它是完整的)的假设,所述第一应用将所述消息传送给所述后端系统。在一优选实施例中,通过将所述相等性检查步骤的结果添加到所述消 息来修改所述消息。这具有以下优点,即所传送的消息的原始内容将不被 改变,并且接收方仍将能够确定进行发送的第一应用的不完整性。此外,此类消息<资改在4支术上易于实现。在一优选实施例中,所述消息本身携带任意种类的信息,其中所述信 息不包含任何与所述第一应用的安全性、真实性或完整性有关的信息。上 述方法因此适于修改消息,如果第 一应用是完整的则所述消息本身未被修 改。因此优点在于,对于完整的第一应用,向/从所述移动设备传送消息的 机制与没有任何完整性检查时执行的机制没有不同,例外是由于完整性检 查导致的可能延迟。另一方面,优点在于,如果第一应用不完整,则所述 消息的接收方能够了解完整性问题,且与该问题有关的信息附加在所述消 息上。所述移动i殳备本身能够充当关于其自己的不完整性的信息的传送者。 为了以有利的方式实现这一点,可以在所述第一应用未意识到已检测到其 缺少完整性的情况下执行所述方法。因此,能够由所述第一应用以透明的 方式传递完整性信息。在一优选实施例中,利用存储在智能卡上的私钥乂>钥对的私钥来加密 所述消息。因此可以实现以下优点,即利用使用非对称密钥的公知机制来 提高安全性。具有存储在其上的私钥/公钥对的智能卡是最新技术,因此存 在机制以提供增强水平的防篡改,使攻击者更难以获取所述私钥。因此智 能卡技术可用于加强所述移动设备的安全性。同时,所述智能卡无需执行 像处理传感器数据或向后端系统发送消息和从后端系统接收消息之类的服 务。在一优选实施例中,所述密钥保存在智能卡上。在一更加优选的实施 例中,选择所述密钥以包括存储在智能卡上的私钥/公钥对的私钥。出于与 如上所述的关于所述私钥AJ^钥对的同样的理由,用于签名的密钥也能够存 储在所述智能卡上并利用其增强的安全水平。还可以将所述私钥/公钥对的 私钥用作所述密钥,由此减少存储的数据量和密钥数。另一方面,使用不 同于所述私钥的密钥会增加安全性,因为攻击者将需要破译两个密钥以获 得所述消息或修改所述消息。根据本专利技术的第二方面,提供了 一种用于经由运行在移动设备上的第一应用来在所述移动设备处接收消息的方法,所述方法包括消息接收步骤,用于接收加密形式的所述消息;质询步骤,用于向所述第一应用提供 质询;响应步骤,用于接收对所述质询的响应;相等性检查步骤,用于判 定所接收的响应是否符合预期响应;如果所述相等性检查步骤的结果是肯 定的,则执行用于解密所述消息的消息解密步骤,如果所述相等性检查步 骤的结果是否定的,则执行错误生成步骤。结合所述第一方面一起说明的 优点对该第二方面也适用。再次地,只有已确i人其完整性,所述第一应用 才能够继续其操作。否则,它无法访问消息。所述完整性检查在所述第一 应用的外部执行,因此所述第一应用本身也不能绕过此安全性操作。在一优选实施例中,使用存储在智能卡上的私钥/公钥集的公钥来创建 所述加密形式。通过此步骤,能够利用由具有私钥〃/H^I集的/^知智能卡所 提供的增强安全性。可以以这样的方式设置此类安全水平使用公知窃取 方法来试图访问智能卡上的私钥的攻击者在所述移动设备的使用寿命期间 不能访问此密钥。在一优选实施例中,使用与所述消息一起接收的对称密钥来创建所述 加密形式,其中以加密的形式接收所述对称密钥,其中使用存储在智能卡 上的私钥/公钥集的公钥来创建该加密的形式。但是,在此所述对称密钥作 为会话密钥来工作,只有所述智能卡解包所述会话密钥,才可由所述第一 应用访问所述会话密钥。再次地,通过所述智能卡上的私钥/7>钥加密提供 的增强安全性保护所述消息的内容,直到已确认所述第 一应用的完整性。 会话密钥的使用减少了由所述智能卡执行的工作量。在已确认完整性之后, 可以由所述第 一应用本身使用解包的会话密钥来执行所述消息的解密。此 步骤在计算上比会话密钥解包(即,解密)更加密集,并且因此使用更多 的时间以及使用更多的能量。为了减少功耗,在解密所述M密本文档来自技高网...
【技术保护点】
一种用于经由运行在移动设备(200)上的第一应用(1)来从所述移动设备(200)发送消息(μ)的方法,所述方法包括: 质询步骤(25),用于向所述第一应用(1)提供质询(18); 响应步骤(26),用于接收对所述质询(18)的响 应(19′); 相等性检查步骤(32),用于判定所接收的响应(19′)是否符合预期响应(19); 签名步骤(49),用于利用密钥和所述相等性检查步骤(32)的结果(S)来为所述消息(μ)提供签名(Ω); 发送步骤(31), 用于经由所述第一应用(1)将所签名的消息(μ+Ω)从所述移动设备(200)发送到后端系统(300)。
【技术特征摘要】
【国外来华专利技术】...
【专利技术属性】
技术研发人员:C宾丁,F多利沃,R赫尔曼,D胡泽曼,
申请(专利权)人:国际商业机器公司,
类型:发明
国别省市:US[美国]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。