基于接近令牌单元对应用服务的安全访问制造技术

一种提供对应用服务（１０５）的安全访问的系统包括耦合到应用服务（１０５）的安全令牌单元（１１０）。安全令牌单元（１１０）执行密码技术的第一元素，诸如，例如，加密或解密。接近令牌单元（１１５）被提供与安全令牌单元（１１０）相关联。接近令牌单元（１１５）执行密码技术的第二元素，以确认在应用服务（１０５）和安全令牌单元（１１０）之间的通信的有效性。接近令牌单元（１１５）只在接近令牌单元位于到安全令牌单元（１１０）或应用服务（１０５）的预定有效距离内时才被操作以确认所述通信的有效性。该系统可被配置来在接近令牌单元（１１５）确认所述通信有效性时提供对应用服务（１０５）的安全访问，并在接近令牌单元（１１５）没有确认所述通信的有效性时防止对应用服务（１０５）的安全访问。（*该技术在2024年保护过期，可自由使用*）

【技术实现步骤摘要】
【国外来华专利技术】
本专利技术涉及对应用服务的安全访问。
技术介绍
利用诸如智能卡的安全令牌单元来鉴别该智能卡的所有者，能够保护移动电话和其它承载设备的安全。在智能卡被激活以鉴别所有者之前，智能卡可能需要所有者通信一个秘密，诸如在智能卡和所有者之间共享的一个个人识别号码(PIN)。为了避免麻烦所有者，智能卡可能只要求所有者在一定延长的时间间隔提供PIN。在许多情况下，智能卡可以数小时、数周、甚至数月地保持激活。如果智能卡在激活时，承载设备被盗窃了，则盗贼就可以通过使用激活的智能卡将他自己鉴别为所有者，从而使用盗窃的承载设备访问或支付(charge)保密的服务(secure service)。
技术实现思路
在一个一般方面，一种提供对应用服务(application service)的安全访问的系统包括与应用服务通信的安全令牌单元(security token)。所述安全令牌单元执行密码技术的第一元素(first element)。与安全令牌单元相关联地还提供了接近令牌单元(proximity token)。接近令牌单元执行密码技术的第二元素，以便确认在应用服务和安全令牌单元之间的通信的有效性(validate)。只有在接近令牌单元位于到安全令牌单元或应用服务的预定有效距离内时，接近令牌单元才被操作以确认所述通信的有效性。本专利技术的实施可以包括以下特征的一个或多个。例如，安全令牌单元可以使用密码技术的第一元素来检验所述接近令牌单元已确认了在应用服务和安全令牌单元之间的通信的有效性。密码技术可以包括对称的和/或不对称的密码方法。密码技术的第一和第二元素可以是互补的，例如加密和/或解密技术。密码技术还可以包括数字签名技术和/或数字信封技术。为了确认所述通信的有效性，接近令牌单元可以直接与安全令牌单元通信。所述系统被配置，以便在接近令牌单元确认所述通信的有效性时提供对应用服务的安全访问，并在接近令牌单元没有确认所述通信的有效性时防止对应用服务的安全访问。接近令牌单元可以包括消息产生电路以利用密码技术的第二元素产生接近消息。消息产生电路可以广播接近消息以确认所述通信的有效性，而广播的范围可以是这样的以至于该消息只在接近令牌单元处于到应用服务或安全令牌单元的预定有效距离内时被接收。通信电路可以将接近令牌单元用作(engage)在应用服务和安全令牌单元之间通信的渠道(conduit)，以便在接近令牌单元处于预定有效距离内时确认所述通信的有效性。例如，安全令牌单元的安全输出电路可以使用加密产生一个安全输出。通信电路可以利用恢复电路解密所述安全输出，以产生通信到应用服务或安全令牌单元的有效的(validated)输出。或者，通信电路的有效命令电路可以将应用服务的命令加密到安全令牌单元，以产生有效的命令。安全令牌单元可以包括命令恢复电路，通过解密有效的命令来恢复所述命令。再次，为了进行有效性确认，只有在接近令牌单元位于到应用服务或安全令牌单元的预定有效距离内时，通信电路才通信所述命令和用于接收的有效的命令。安全令牌单元可以包括具有安全执行电路和安全存储电路的智能卡。安全执行电路执行密码技术的方面，而安全存储电路则存储例如密码技术的密钥。接近令牌单元可以包括预定移动设备或固定设备。并且，接近令牌单元自身可以包括安全令牌单元，诸如，例如，智能卡。接近令牌单元可以使用无线通信电路与使用短程无线技术的应用服务通信。此外，应用服务可以包括物理上分离的部分，诸如，例如，承载设备(例如，移动电话)和外部服务(例如，移动电话网络)。安全令牌单元和接近令牌单元的一般和具体方面可以利用一种方法、一种系统或一种计算机程序，或者系统、方法和计算机程序的任意组合来实施。通过下面结合附图的描述，以及从权利要求书中，其它特征也将更加清楚。附图说明图1是一种利用接近令牌单元提供对应用服务的安全访问的系统的示意图。图2是说明一个可由图1的系统实施的处理的流程图。图3-6是说明利用接近令牌单元提供对应用服务的安全访问的示范性系统的示意图。图7-11是说明可由图3-6的系统实施的多个处理的数据流程图。图12是说明可由图3-6的系统实施的一个处理的流程图。在各个附图中，相同的附图标记表示相同的元件。具体实施例方式参考图1，一般化的系统(generalized system)100利用安全令牌单元110和接近令牌单元115提供对应用服务105的安全访问。接近令牌单元115确认在应用服务105和安全令牌单元110之间的通信的有效性，以便安全访问应用服务105。在提供对应用服务105的访问之前，安全令牌单元110可以检验所述有效性。下面对系统100的示范性部件进行更具体地描述。应用服务105一般包括依赖安全令牌单元(例如，安全令牌单元110)以提供安全存储和/或安全执行功能的设备、系统和/或一段代码。例如，应用服务105可以包括诸如移动电话的移动设备、个人数字助理(PDA)、手写计算机(peh-based computer)、或笔记本计算机。应用服务105还可以包括固定设备，诸如，例如，桌上计算机、工作站、自动取款机(ATM)、或建筑物(building)安全系统。应用服务105可以包括企业客户端(client)、网络浏览器(例如，被配置以集成到安全令牌单元110的Giesecke & DevrientSTARSIM浏览器系统的SIM(订户识别模块)工具箱浏览器)、电子邮件客户端、同步客户端(例如，日历同步客户端或任务列表同步客户端)、电子钱包或电子钱夹、即时消息(IM)客户端、商业生产应用(例如，文字处理器或电子报表程序)、和/或操作系统或驻留在移动设备上的操作系统内核。应用服务105还可以包括或访问(access)其它附加的服务。例如，应用服务105可以包括或访问被配置来与数据库服务通信的应用服务器(例如，诸如SAP WAS版本6.20的网络应用服务器(WAS))，所述数据库服务诸如，例如，可靠数据库管理系统(reliable database management system，RDBMS)或SAP R/3系统。数据库服务可以包括，例如，与企业服务、用户和/或客户相关的企业信息。此外，应用服务105可以包括CRM服务、企业资源计划(ERP)服务、电子邮件服务、会计服务、资源管理服务、同步服务(例如，日历同步服务、任务列表同步服务)、打印服务、文件存取服务、即时消息(IM)服务、操作系统、操作系统内核、鉴别服务、授权服务、和/或这些或其它服务的任意组合。应用服务105还可以包括用于递送(delivering)有声和/或无声数据的各种机制，诸如，例如，短消息服务(SMS)、无线应用协议(WAP)、传输连接协议(transport connection protocol，TCP)、英特网协议(IP)、万维网、一个或多个局域网(LAN)、一个或多个无线局域网(WLAN)、和/或一个或多个广域网(WAN)。应用服务105还可以包括模拟或数字有线和无线电话网络，例如，公共交换电话网络(PSTN)、综合服务数字网(ISDN)、各种类型的数字订户线路(various types of digital subscriber lines，xDSL)、高级移动电话服务(AMPS本文档来自技高网...

【技术保护点】
一种提供对应用服务的安全访问的系统，该系统包括：安全令牌单元，其被配置来与应用服务进行通信，并执行密码技术的第一元素；以及接近令牌单元，与所述安全令牌单元相关联，并被配置来执行密码技术的第二元素，以便确认在应用服务和安全令牌 单元之间的通信的有效性，只有在接近令牌单元位于到安全令牌单元或应用服务的预定有效距离内时，接近令牌单元才被操作以确认所述通信的有效性。

【技术特征摘要】
【国外来华专利技术】US 2003-6-5 10/454,8241.一种提供对应用服务的安全访问的系统，该系统包括安全令牌单元，其被配置来与应用服务进行通信，并执行密码技术的第一元素；以及接近令牌单元，与所述安全令牌单元相关联，并被配置来执行密码技术的第二元素，以便确认在应用服务和安全令牌单元之间的通信的有效性，只有在接近令牌单元位于到安全令牌单元或应用服务的预定有效距离内时，接近令牌单元才被操作以确认所述通信的有效性。2.如权利要求1所述的系统，其中所述应用服务包括移动电话。3.如权利要求1或2所述的系统，其中所述密码技术的第一和第二元素是相互补充的。4.如任一前述权利要求所述的系统，其中，当接近令牌单元确认所述通信的有效性时，所述系统被配置来提供对应用服务的安全访问，而在接近令牌单元没有确认所述通信的有效性时防止对应用服务的安全访问。5.如任一前述权利要求所述的系统，其中所述安全令牌单元包括检验电路，该检验电路被配置来检验所述接近令牌单元已经确认在应用服务和安全令牌单元之间的通信的有效性。6.如任一前述权利要求所述的系统，其中所述接近令牌单元包括消息产生电路，该消息产生电路被配置来利用密码技术的第二元素产生接近消息，并在预定的有效距离内广播接近消息，以便在该预定的有效距离内确认在应用服务和安全令牌单元之间的通信的有效性。7.如任一前述权利要求所述的系统，其中所述接近令牌单元包括通信电路，该通信电路被配置来将接近令牌单元用作在预定有效距离内、在应用服务和安全令牌单元之间通信的渠道，以便确认在预定有效距离内、在应用服务和安全令牌单元之间通信的有效性。8.如权利要求7所述的系统，其中密码技术的第一元素包括加密技术，而密码技术的第二元素包括相关联的解密技术；安全令牌单元包括安全输出电路，其被配置来利用加密技术产生安全输出；以及通信电路包括恢复电路，其被配置来执行加密技术以便从安全输出中恢复有效的输出，并只在预定有效距离内通信所述安全输出和有效的输出。9.如权利要求7所述的系统，其中密码技术的第一元素包括解密技术，而密码技术的第二元素包括相关联的加密技术；通信电路包括有效命令电路，其被配置来基于应用服务的命令利用加密技术产生有效命令到安全令牌单元；通信电路还被配置来只在预定有效距离内通信所述命令和有效命令两者；以及安全令牌单元包括检验电路，其被配置来通过执行解密技术检验有效命令，以便从有效命令恢复该命令。10.如任一前述权利要求所述的系统，其中所述安全令牌单元包括安全存储电路和安全执行电路。11.如任一前述权利要求所述的系统，其中所述安全令牌单元还包括智能卡。12.如权利要求10所述的系统，其中所述安全执行电路被配置来执行密码技术的第一元素。13.如权利要求12所述的系统，其中所述安全存储电路被配置来存储密码技术的第一元素的密码密钥。14.如任一前述权利要求所述的系统，其中所述接近令牌单元包括第二安全令牌单元。15.如权利要求14所述的系统，其中所述第二安全令牌单元包括智能卡。16.如任一前述权利要求所述的系统，其中所述接近令牌单元包括移动设备。17.如权利要求1至15中任意一个所述的系统，其中所述接近令牌单元包括固定设备。18.如任一前述权利要求所述的系统，其中所述接近令牌单元包括无线通信电路，其被配置来利用短程无线技术与应用服务通信。19.如权利要求18所述的系统，其中所述短程无线技术提供大约10米的有效通信范围。20.如权利要求18所述的系统，其中所述短程无线技术提供大约100米的有效通信范围。21.如任一前述权利要求的所述系统，其中所述密码技术包括数字签名技术。22.如任一前述权利要求所述的系统，其中所述密码技术包括数字信封技术。23.如任一前述权利要求所述的系统，其中所述密码技术包括对称密码技术。24.如权利要求1至22中任意一个的系统，其中所述密码技术包括非对称密码技术。25.如任一前述权利要求所述的系统，其中所述应用服务包括承载设备和外部服务。26.一种计算机程序，用于提供对应用服务的安全访问，该计算机程序包括安全令牌单元代码段，其被配置来使得安全计算机与应用服务通信，并使得安全计算机执行密码技术的第一元素；和接近令牌单元代码段，与安全令牌单元代码段相关联，并被配置来使得接近计算机执行密码技术的第二元素，以便确认在安全计算机和应用服务之间的通信的有效性，该接近令牌单元代码段可操作以使得接近计算机只在该接近计算机位于到安全计算机或应用服务的预定有效距离内时确认所述通信的有效性。27.如权利要求26所述的计算机程序，其中所述应用服务包括移动电话。28.如权利要求26或27所述的计算机程序，其中所述密码技术的第一和第二元素互相补充。29.如权...

【专利技术属性】
技术研发人员：罗杰基利恩凯尔，
申请(专利权)人：SAP股份公司，
类型：发明
国别省市：DE[德国]