本发明通常涉及智能卡读取器，以及更具体地涉及利用智能卡读 取器在无线通信链路上对需要智能卡访问的多个设备的处理。

智能卡（也称为芯片卡或者集成电路卡）是具有用作存储敏感数 据或者用户认证的嵌入集成电路（例如微处理器和/或存储器）的设备。
智能卡可以包括用于存储金融或者个人数据、或者例如在S/MIME(安 全多用途因特网邮件扩展）加密技术中使用的私有密钥之类的私人数 据的存储器。优选地，该数据中的一些可以利用PIN (个人识别码） 或者口令作为访问控制措施而被保护。为了访问存储在卡的存储器中 的被保护的数据，用户必须通过提供正确的PIN或者口令而被确认。
典型地，智能卡不包括为了用户认证的目的而直接输入PIN或者 口令的数据输入设备，而替代地，智能卡与和输入设备通信的智能卡 读取器结合使用。当智能卡与智能卡读取器通信时，用户通过输入设 备提供PIN或者口令给智能卡读取器。该读取器而后可以传送用户输 入的PIN或者口令给智能卡用于验证，从而智能卡可以对用户进行认 证。
但是，典型地，智能卡读取器依赖于与连接设备的专用连接，例 如在移动设备或者个人计算机和智能卡读取器之间的通用串行总线 (USB)连接，或者在智能卡读取器和单个连接设备之间的无线通信 链路。因此，智能卡读取器有效地专用于第一计算和/或通信设备，以 及不能结合首先在第一设备和智能卡读取器之间提供连接的另外的移 动设备或者其他通信或者计算设备使用。
EPI635627公开了一种用于在ad hoc无线网络中保护两设备配对 的系统。第一设备可以相对简单地操作而无需复杂的用户界面。第二
9设备（在这里称为"主机"设备）可以具有详细消息显示器，以及用
户输入（例如键盘）。当每一个设备都已经通电并且用户希望建立ad
hoc网络时，主机设备被用来控制配对处理。主机设备可以发送信标
信号来定位第二设备。第二设备检测该信标信号，并且应答主机设备。 然后使用相互的认证处理，例如质询响应处理。当与主机设备认证时， 第二设备将预定的序列号码与它的公共密钥相关联。这两个设备也产
生用于保护它们之间的所有连续消息的公共密钥。在一个实施例中， 用户必须确认通过主机设备识别了正确的第二设备。但是，没有公开 智能卡读取器的安全配对，也没有公开利用具有基本用户界面的主机 设备（例如智能卡读取器）对多个设备进行安全地配对。

因此期望提供一种系统和一种方法，依靠所述系统和方法，智能 卡读取器可以与多个计算设备结合使用，所述多个计算设备包括移动 通信设备和其他的计算设备（例如个人计算机）。
根据优选实施例，这里提供一种用于连接多个通信设备和智能卡 读取器的方法，其中，将智能卡读取器配置为与智能卡相接口以提供
智能卡会话，所述方法包括以下步骤：在智能卡读卡器处接收来自第 一通信设备的连接请求，所述请求包括第一通信设备的第一标识符；
从智能卡读取器处产生第一安全值，用于提供给第一通信设备以建立
安全配对；在智能卡读取器处建立第一主连接密钥数据，用于产生第 一主连接密钥；在智能卡读取器处根据第一主连接密钥数据产生第一 主连接密钥，其中第一通信设备配置用于根据第一主连接密钥数据产 生第一主连接密钥，第一主连接密钥被用来保护在智能卡读取器和第 一通信设备之间传输的数据，以及被传输到第一通信设备的数据包括 第一标识符；在智能卡读取器处接收在第一通信设备处建立的连接口 令，用来控制对智能卡读取器的访问并在存储器中存储所述连接口令； 在智能卡读取器处接收来自第二通信设备的连接请求，所述请求包括 第二通信设备的第二标识符；从智能卡读取器产生并传输第二安全值 给第二通信设备以建立安全配对；在智能卡读取器处建立第二主连接 密钥数据，用于产生第二主连接密钥；在智能卡读取器处根据第二主
10连接密钥数据产生第二主连接密钥，其中第二通信设备配置用于根据 第二主连接密钥数据产生第二主连接密钥，第二主连接密钥被用来保 护在智能卡读取器和第二通信设备之间传输的数据，以及被传输到第
二通信设备的数据包括第二标识符；传输连接口令给第二通信设备，
从而对于第一和第二通信设备，连接口令控制对智能卡读取器的访问。 实施例还提供了一种智能卡读取器，用于向多个通信设备提供智 能卡会话，该智能卡读取器具有智能卡读取器标识符，包括智能卡的
接口；用于与多个通信设备进行无线通信的通信接口；显示器；存储 器，配置用于存储与多个通信设备相关联的多个标识符以及与智能卡 读取器相关的读取器特定设置；处理器，配置用于产生安全值、主连 接密钥数据以及主连接密钥，其中智能卡读取器适于从多个通信设备 接收连接请求，该请求包括至少一个用于多个通信设备中的每一个的 标识符，在存储器中存储至少一个标识符，为多个通信设备中的每一 个产生多个安全值，以建立与多个通信设备中的每一个的安全配对， 并在存储器中存储所述多个安全值，建立关于多个通信设备中的每一 个的主连接密钥数据，并在存储器中存储主连接密钥数据；以及根据 主连接密钥数据产生多个主连接密钥，从而多个通信设备中的每一个 与不同的主连接密钥相关联，其中多个主连接密钥被用来保护在智能 卡读取器和智能卡会话中的关联通信设备之间传输的数据；其中与智 能卡读取器相关的读取器特定设置的拷贝被高速缓存到多个通信设备 中的至少一个上，以及智能卡读取器适于接收在多个通信设备的至少 一个上做出的读取器特定设置的高速缓存拷贝的改变，并传输所述改 变给多个通信设备中的另一个。

在图中通过例子示出的仅仅是本发明的优选实施例。
图1是包括第一和第二移动设备、智能卡读取器和智能卡的无线 智能卡系统的示意图。
图2是包括两个连接设备、智能卡读取器和智能卡的无线智能卡 系统的示意图。
图3是图2的连接设备和智能卡读取器的框图。
ii图4是利用智能卡读取器配对连接设备的方法的示意表示。 具体实施方式
在下面的详细描述中，提出了许多具体的细节以便提供多种优选 实施例的全面理解。但是，那些本领域普通技术人员可以理解，无需 这些具体细节就可以实践这些实施例。在其他的实例中，没有详细描 述公知的方法、过程、部件和电路，但是那些本领域技术人员可以理
根据优选实施例，这里提供一种用于连接多个通信设备和智能卡 读取器的方法，其中，将智能卡读取器配置为与智能卡相接口以提供 智能卡会话，所述方法包括以下步骤：在智能卡读卡器处接收来自第
一通信设备的连接请求，所述请求包括第一通信设备的第一标识符；
从智能卡读取器处产生第一安全值，用于提供给第一通信设备以建立
安全配对；在智能卡读取器处建立第一主连接密钥数据，用于产生第 一主连接密钥；在智能卡读取器处根据第一主连接密钥数据产生第一 主连接密钥，其中第一通信设备配置用于根据第一主连接密钥数据产 生第一主连接密钥，第一主连接密钥被用来保护在智能卡读取器和第 一通信设备之间传输的数据，以及被传输到第一通信设备的数据包括 第一标识符；在智能卡读取器处接收在第一通信设备处建立的连接口 令，用来控制对智能卡读取器的访问并在存储器中存储所述连接口令； 在智能卡读取器处接收来自第二通信设备的连接请求，所述请求包括 第二通信设备的第二标识符；从智能卡读取器产生并传输第二安全值 给第二通信设备以建立安全配对；在智能卡读取器处建立第二主连接 密钥数据，用于产生第二主连接密钥；在智能卡读取器处根据第二主 连接密钥数据产生第二主连接密钥，其中第二通信设备配置用于根据 第二主连接密钥数据产生第二主连接密钥，第二主连接密钥被用来保 护在智能卡读取器和第二通信设备之间传输的数据，以及被传输到第 二通信设备的数据包括第二标识符；传输连接口令给第二通信设备， 从而对于第一和第二通信设备，连接口令控制对智能卡读取器的访问。 实施例还提供了一种智能卡读取器，用于向多个通信设备提供智 能卡会话，该智能卡读取器具有智能卡读取器标识符，包括智能卡的接口；用于与多个通信设备进行无线通信的通信接口；显示器；存储 器，配置用于存储与多个通信设备相关联的多个标识符以及与智能卡 读取器相关的读取器特定设置；处理器，配置用于产生安全值、主连 接密钥数据以及主连接密钥，其中智能卡读取器适于从多个通信设备 接收连接请求，该请求包括至少一个用于多个通信设备中的每一个的 标识符，在存储器中存储至少一个标识符，为多个通信设备中的每一 个产生多个安全值，以建立与多个通信设备中的每一个的安全配对， 并在存储器中存储所述多个安全值，建立关于多个通信设备中的每一 个的主连接密钥数据，并在存储器中存储主连接密钥数据；以及根据 主连接密钥数据产生多个主连接密钥，从而多个通信设备中的每一个 与不同的主连接密钥相关联，其中多个主连接密钥被用来保护在智能 卡读取器和智能卡会话中的关联通信设备之间传输的数据；其中与智 能卡读取器相关的读取器特定设置的拷贝被高速缓存到多个通信设备 中的至少一个上，以及智能卡读取器适于接收在多个通信设备的至少 一个上做出的读取器特定设置的高速缓存拷贝的改变，并传输所述改 变给多个通信设备中的另一个。
参见图1，提供了一种根据本发明的一些实施例的示范性系统的 示意图。系统100包括第一移动设备102和第一无线智能卡读取器 104。移动设备102和智能卡读取器104能够通过无线通信链路106 通信。一种无线通信链路106的无线局域网标准的例子的非详尽列表 包括：用于无线LANMAC和物理层（PHY) 802.11a、 b、 g和n的电 气和电子工程师协会（IEEE)规范或者未来相关标准、蓝牙⑧标准、 ZigbeeW标准等。
智能卡108被示出插入到智能卡读取器104中。智能卡是个人化 的安全设备，利用由国际标准化组织公开的IS07816和它的派生物定 义。智能卡可以具有信用卡的形状因素并可以包括半导体器件。该半 导体器件可以包括利用秘密密钥和利用认证证书编程的存储器，以及 可以包括解密引擎，例如处理器和/或专用解密逻辑。智能卡的功能可 以嵌入到具有不同形状因素并能够基于附加通信协议通信的设备中， 例如通用串行总线（USB)设备。
智能卡可以包括用于为半导体器件提供动力并执行与外部设备的
13串行通信的连接器。智能卡读取器104可以以多种形状因素中的一种 提供，包括但是不局限于，可以在个人身上佩戴的便携式读卡器，例 如通过悬挂在用户颈部的系索（未示出）。可选地，可以以台式读取器 的形状因素或者适合于对于普通读取器来说是明显的智能卡环境的其 他形状因素来提供读卡器104。
其安全信息被存储在智能卡108上的个人可以使用智能卡读取器 104用来识别以及用来数字化标记和/或解密由设备102发送的消息。 例如，移动设备102能够通过电子邮件服务器（未示出）发送和接收 电子邮件消息。移动设备102可以配置用于利用安全的多用途因特网 邮件扩展（S/MIME)协议，从而利用由电子邮件消息的发送者产生 并由接收者（很可能是移动设备102的用户）的公共密钥加密并随该 消息发送的随机会话密钥，使用对称算法来加密在移动设备102处接 收的电子邮件消息，以及从移动设备102发送的消息同样利用在移动 设备102处产生的随机会话密钥而加密。在接收到加密的电子邮件消 息时，移动设备102可以提取加密的会话密钥，并通过通信链路106 将它发送到智能卡接收机104。智能卡读取器104可以发送加密的会 话密钥给智能卡108，以及智能卡108的解密引擎可以利用存储在智 能卡108中的接收者的私有解密密钥来解密该加密的会话密钥。智能 卡读取器104可以从智能卡108取回解密的会话密钥，并将它通过通 信链路106转送到移动设备102，从而移动设备102可以解密接收的 电子邮件消息。通过在允许解密操作进行之前需要提供口令或者个人 识别码（PIN)，智能卡108可以防止接收者的私有解密密钥的未授权 使用。
类似地，为了向由移动设备102发送的电子邮件消息添加数字签 名，移动设备102可以经由通信链路106发送电子邮件消息的内容的 散列（hash)给智能卡读取器104。智能卡读取器104可以传送该散 列给智能卡108，智能卡108可以根据该散列和存储在智能卡108中 的发送者的私有签名密钥产生数字签名。智能卡108而后可以传送数 字签名给智能卡读取器104，智能卡读取器104可以经由通信链路106 将它转送到移动设备102，从而移动设备102可以将它连同电子邮件 消息一起传输给电子邮件服务器。再次，通过需要在允许签名操作进行之前提供口令或者PIN，智能卡108可以防止接收者的私有签名密 钥的未授权使用。
本领域的那些技术人员可以理解，移动设备102可以配置用于提 供除了需要经由智能卡读取器104由智能卡108认证的加密之外的其 他功能。
如图1所示，智能卡读取器104可以配置用于在另外的无线通信 链路206上与另外的移动设备202通信。所述另外的移动设备202可 以配置用于与第一移动设备102类似的方式操作；例如，它可以配置 用于以与上述类似的方式，使用S/MIME协议来加密或者解密电子消 息，例如电子邮件消息。如果移动设备102和202都被指定由相同的 智能卡用户使用，则所述另外的移动设备202可以在相同的智能卡读 取器104中提供需要通过相同的智能卡108认证的其他功能。然而， 更加可能的是，智能卡108和智能卡读取器104的用户将会需要智能 卡108的安全功能，用来操作移动设备102和另一个计算设备250， 例如图2中示出的个人计算机。
图2示出了另一个示范性系统200，包括移动设备102、个人计算 机250以及与智能卡108通信的智能卡读取器104。以与图1的系统 10类似的方式，计算机250和智能卡读取器104能够在无线通信链路 256上进行通信。用于认证功能的智能卡108的用户可以以与图1中 第一移动设备102的上下文中描述的类似的方式，使用智能卡108和 智能卡读取器104用于识别以及用于数字化签名和/或解密由个人计 算机250发送的消息。此外，智能卡108和智能卡读取器104可以被 用于其他的认证目的，例如，用于在移动设备102或者个人计算机250 的注册处理期间对智能卡用户进行认证。
如在上述的示范性系统中，个人计算机250能够经由电子邮件服 务器（未示出）发送和接收电子邮件消息。个人计算机250可以配置 用于使用S/MIME协议，从而利用由电子邮件消息的发送者产生的加 密的、随机会话密钥，使用对称算法来加密在个人计算机250上接收 以及发送的电子邮件消息。在接收到该加密的电子邮件消息时，个人 计算机250可以使用接收者（很可能是个人计算机用户）的公共密钥 提取加密的会话密钥，以及可以经由通信链路256将它发送到智能卡
15200710128278.7
说明书第8/18页
读取器104。智能卡读取器104可以发送加密的会话密钥给智能卡108， 以及智能卡108的解密引擎可以使用存储在智能卡108中的接收者的 私有解密密钥来解密该加密会话密钥。智能卡读取器104可以从智能 卡108中取回该解密的会话密钥，并经由通信链路256将它转送到个 人计算机260，从而个人计算机250可以解密该接收的电子邮件消息。
类似地，为了向由个人计算机250发送的电子邮件消息添加数字 签名，个人计算机250可以经由通信链路256发送电子邮件消息的内 容的散列给智能卡读取器104。智能卡读取器104可以传送该散列给 智能卡108，智能卡108可以根据该散列和存储在智能卡108中的发 送者的私有签名密钥产生数字签名。智能卡108而后可以传送该数字 签名给智能卡读取器104，该智能卡读取器104经由通信链路256将 它转送到个人计算机250，从而移动设备102可以将它连同电子邮件 消息一起传输给电子邮件服务器。本领域的那些技术人员可以理解， 个人计算机250可以配置用于提供除了需要经由智能卡读取器104由 智能卡108认证的加密、数字签名、解密或者验证以外的其他功能。
在前述的所有例子中，通过需要在允许解密操作进行之前提供口 令或者个人识别码（PIN)，智能卡108可以防止智能卡用户的私有解 密密钥的未授权的使用。当智能卡108和智能卡读取器104的用户、 以及移动通信设备102、202或者个人计算机250的用户期望添加数字 签名发送加密消息到远程接收者时，以类似的方式，通过需要在允许 签名操作进行之前提供口令或者PIN，智能卡108可以阻止接收者的 私有签名密钥的未授权的使用。
在图3中提供了智能卡读取器104、移动设备102以及计算设备 250的结构框图。在优选实施例中，智能卡读取器104、移动设备102 以及计算设备250的每一个包括具有数据通信能力和可选的语音通信 能力的双向RF通信设备。优选地，移动设备102和计算设备250的 每一个具有经由局域或者广域网与其他计算机系统通信的能力。
优选地，智能卡读取器104包括处理器326,配置用于执行存储 在存储器元件328中的代码329。可以在单个专用集成电路上提供处 理器326以及存储器元件328,或者可以在单独的集成电路或者配置 用于分别提供执行程序指令和存储程序指令以及其他数据的功能的其他电路上提供处理器326和存储器元件328。处理器与智能卡接口 330 连接。存储器328可以包括易失性以及非易失性存储器，例如随机存 取存储器（RAM〉和只读存储器（ROM);优选地，将敏感信息（例 如密钥和个人识别码（PIN))存储在易失性存储器中。
在智能卡读取器104中提供的代码329可以包括操作系统软件、 口令验证码、以及特殊应用程序，它们可以存储在非易失性存储器中。 例如代码329可以包括智能卡读取器104的驱动、以及用于管理与通 信接口 324通信的驱动和协议栈的代码，该通信接口 324包括接收机 和发射机（未示出），并与天线322连接。
智能卡读取器104也可以配置用于经由输入装置112以及经由显 示器110与用户相接口，其中，在这里将输入装置112设置为由用户 操作的按钮，将显示器110是用于显示如图1和2所示的字母数字式 字符串的单行读出。通信接口 324还可以包括其他的处理装置，例如 数字信号处理器和本地振荡器。智能卡读取器104可以包括电源（未 示出），电源在便携式智能卡读取器的情况下由至少一块蓄电池或者电 池提供。优选地，配置了智能卡读取器104的外壳和电源，以便外壳 的移除断开了电源，从而清除了读取器104的易失性存储器。该智能 卡读取器104还可以具有另外的未示出的输出装置，例如发光二极管 (LED)，它可以是三色的，以用于指示智能卡读取器104的状态。
移动设备102包括输入装置，在这里示出为键盘114，但是也可 以提供可选的或者附加的输入装置（例如指轮和按钮）。移动设备102 也包括输出装置，例如显示器116;移动设备102还可以具有扬声器， 未示出。移动设备包括与通信接口 304连接的天线302，通信接口 304 与处理器306进行通信。该通信接口 304可以包括与智能卡读取器104 的通信接口 324类似的部件，例如数字信号处理器、本地振荡器、接 收机和发射机。处理器306对存储了代码309的存储器元件308进行 访问，其中，代码309可以包括操作系统软件和特殊应用软件，以及 用于控制一个或者多个通信链路（例如无线通信链路106)上的通信 的驱动和协议栈。存储器元件308可以包括易失性和非易失性存储器。 可以在单个特殊应用集成电路中设置存储器元件308和处理器306， 或者可以设置为分离的部件。处理器306可以执行用于控制基本操作
17(比如经由通信接口 304的数据和语音通信）、在制造期间安装的个人
信息管理器、以及用于对消息进行编写、编辑、数字签名和加密以及 数字验证和解密的电子邮件客户机的多个应用程序。
类似地，计算设备250具有输入设备（例如键盘270)，以及具有 输出装置（例如监视器272)。如果计算设备250能够与智能卡读取器 104进行无线通信，那么计算设备250还将包括与通信接口 278通信 的天线280，通信接口 278类似于移动设备102和智能卡读取器104 的通信接口，它可以包括接收机、发射机、数字信号处理器以及本地 振荡器。计算设备250可以包括多个数据存储装置，在图3中表示为 存储器元件284。存储器284可以包括RAM、 ROM以及包括硬盘驱 动的其他存储介质以及可移除数字存储介质；存储器284存储由处理 器2卯执行的代码289。代码289可以包括操作系统软件、通信接口 278的驱动、经由通信接口 278通信的协议桟、个人信息管理器以及 用于对消息进行编写、编辑、数字签名和加密以及数字验证以及解密 的电子邮件客户机程序。存储在计算设备250上的个人信息管理器、 电子邮件客户机程序以及其他数据优选地能够与存储在移动设备102 上的类似数据一致。
智能卡读取器104、移动设备102以及计算设备260的通信接口 的特殊设计和实现取决于该设备意欲操作的通信网络。在优选实施例 中，计算设备250和移动设备102的每一个分别经由无线通信链路256 和106与智能卡读取器104通信，例如根据蓝牙⑧标准。优选地，为 了确保无线通信链路106、 256的安全，使用了配对机制的系统。在图 4中示出了在连接设备例如移动设备102或者另一个的计算设备256 以及智能卡读取器104之间进行连接所使用的示例性方法。
当连接设备102或者256确定需要智能卡功能时，在步骤410设 备102或者256可以尝试检测附近智能卡读取器104的可用性。例如， 当具有智能卡108的智能卡读取器104通电或者复位时，优选地，通 过当读取器104处于断电状态时按压按钮112，或者当插入智能卡108 时，读取器104可以进入发现模式，其中，它等候来自设备102或者 250的连接请求。智能卡读取器104不是必须处于发现模式以接收并 处理连接请求。如果这是连接设备102或250第一次试图连接到智能卡读取器 104，或者在设备102或者250以及读取器104之间当前不存在先前的 无线连接配对，则执行无线连接配对步骤。可选地，可以配置策略设 置以便使无线连接配对强加于某一事件上，例如读取器104中智能卡 108的去除和重新插入、或者在试图访问智能卡108时在连接设备上 口令尝试的最大次数、或者可由本领域技术人员定义的其他事件。
在步骤415，智能卡读取器104在显示器110上显示标识符或者 读取器ID，优选是与读取器104相关联的唯一值。该读取器ID可以 包括读取器104的媒体访问控制（MAC)地址。响应用户动作（例如 通过按压智能卡读取器104上的按钮112)，可以显示读取器ID。在 步骤412，连接设备102或者250提示用户经由输入装置114或270 输入在步骤420中存储在存储器308或284中的读取器ID。因此该步 骤对连接移动或者其他计算设备102或者250识别：哪一个智能卡读 取器104将由设备102或250用于安全功能。一旦在设备102或者250 上输入了读取器ID,在智能卡读取器104和连接设备102或250之间 就交换安全值。在步骤425，配置智能卡读取器104以显示该安全值， 例如PIN;在步骤430,优选地，响应提示417，该PIN由用户读取并 输入到连接设备102或250上。读取器104可以配置用于一旦激励了 按钮112就显示PIN，因此例如，在步骤417，连接设备102或250 可以配置用于提示用户按压读取器104上的按钮112，并输入由读取 器104显示的新值。这完成了无线连接配对；因此连接设备102或250 存储了由智能卡读取器104提供的读取器ID以及PIN。
在该阶段以类似的方式，另外的移动设备102或者计算设备250 可以是无线连接配对。由智能卡读取器104显示的读取器ID与在先 显示的值相同；但是，PIN可以是与在先前的设备102或250的配对 期间使用的PIN不同的值。该PIN可以是由位于智能卡读取器104上 的代码329产生的、使用本领域己知技术的熵的一个或多个源为种子 的随机值。 一旦连接设备102或250存储了 PIN,它就发送确认给读 取器104并且该读取器104从显示器110中擦除该PIN。
一旦在一个或者多个连接设备102或250以及智能卡读取器104 之间建立了无线连接配对（或多个配对），该设备和读取器优选利用另
19一安全配对进行配对。对于每一个连接设备102或者250，在步骤435， 读取器104配置用于在它的显示器110上显示安全配对密钥，该密钥 由用户读取并在步骤440输入到连接设备102或250上以便存储在存 储器308或284中。优选地，安全配对密钥包括由位于智能卡读取器 104上的代码329所产生的随机值。该读取器104可以配置用于一旦 激励了读取器104上的按钮112就显示该安全配对密钥，以及再次， 连接设备102或250可以在步骤432配置用于提示用户输入安全配对 密钥，以及如果必要，按压按钮112以便显示该安全配对密钥。当安 全配对完成之后，连接设备102或250可以传输该密钥被读取器104 接收的确认，并且读取器104从显示器110中擦除该安全配对密钥。 安全配对密钥可以由连接设备102或250以及智能卡读取器104使用， 以产生在设备102或250和智能卡读取器104之间的通信中使用的另 一连接密钥。
优选地，在尝试下列活动之一之前启动并完成安全配对：将存储 在智能卡108上的证书输入连接设备102或250;用于对要从连接设 备102或250发送的消息进行签名、或者对由连接设备102或250接 收的消息进行解密的私有密钥操作；在连接设备102或250上用于配 置读取器特定设置的配置效用的发起；在连接设备102或250上的用 户启动设备口令的改变;连接设备102或250连接到智能卡读取器104 的任何其他尝试。其他事件或者行为也可以触发安全配对。如果连接 设备102或250以及读取器104己经输入了安全配对，则不必再次启 动安全配对步骤。
此外，可以配置策略设置以分别从连接设备102或250的存储器 308、 284中、或者从针对特定事件的智能卡读取器104的存储器328 中擦除安全配对密钥。如果安全配对密钥被擦除，则在读取器104代 表连接设备102或者250对智能卡108进行访问之前，连接设备102 或250以及智能卡读取器104将启动另一个安全配对。
在该阶段其他移动设备102或者计算设备250可以以类似的方式 输入安全配对。对于请求安全配对的每一个设备，智能卡读取器104 可以产生新的安全配对密钥以显示在显示器110上。优选地，配置系 统100或200，以便在后续设备102、 250配对时，读取器104将设备的标识符、它的MAC地址以及配对发生的时间推进到所有的在先已 配对的设备102、 250。
一旦安全配对完成，该连接设备102或250以及读取器104可以 在步骤450协商用于无线通信链路106或256的任何其他通信协议。 例如， 一旦无线连接配对以及安全配对步骤完成，连接设备102或250 便可以从读取器104请求所支持的加密协议和算法的列表；该读取器 104可以创建所支持协议和算法的列表并将它传输到连接设备102或 250;在接收到列表时，连接设备102或250选择连接设备所支持的加 密算法，并传输指令给读取器104，以使用所选算法用于在当前安全 配对的生存期间需要加密的未来处理。.优选地，在步骤455，读取器 104以及连接设备102或250还使用现有技术中的已知技术，建立用 于创建主连接密钥的主连接密钥数据，用于推导出在传输数据中使用 的其他连接密钥。优选地，该主连接密钥自身不在读取器104和连接 设备102或250之间传输；而是，密钥建立协议对读取器104和连接 设备102或250都是已知的，从而每一个读取器和设备可以使用所选 加密算法来从主连接密钥数据中产生它自己的主连接密钥的拷贝。主 连接密钥数据可以包括在步骤435产生并在步骤440拷贝到连接设备 102或250的安全配对密钥。主连接密钥数据可以包括连同由连接设 备102或250或者读取器104产生的、并作为单独的步骤传输到读取 器104或者连接设备102或250的另外的种子值一起的安全配对密钥。 在一个实施例中，连接设备102或250可以包括优选是64字节长的随 机产生的值的种子值，以及发送到读取器104的指令及所选加密算法。 主连接密钥可以由读取器104以及连接设备102、 250 —起使用，以推 导出在传输层使用的多个密钥，例如用于加密、解密以及对在读取器 104和连接设备102、 250之间传输的消息进行认证的密钥。优选地， 为与智能卡读取器104配对的每一个设备102或250产生新的主连接 密钥；因此，与读取器104配对的每一个设备102或250将存储单个 主连接密钥，而读取器104将为与读取器104有效配对的每一个设备 存储一个主连结密钥。因而与读取器104配对的第二设备102、 250 不能解密在读取器104和第一设备102、 250之间传递的消息，即使这 两个设备同时与读取器104配对。
21除了对在读取器104和设备102或250之间消息的加密之外，优 选实现另一访问控制方法。 一旦第一设备（例如移动设备102)完成 安全配对步骤，则移动设备102设置连接口令。在步骤460,可以通 过响应提示而由用户设置连接口令，并在步骤465将它传输到读取器 102且存储在存储器328中。通过需要所有未来连接的口令，该连接 口令控制对读取器104的访问。对与读取器104配对的所有设备102、 250可以使用相同的连接口令。因此， 一旦安全配对完成，如图4所 示，如果读取器104确定连接设备102或250不是要与该读取器配对 的第一设备102、 250并且已经存在连接口令，则将该连接口令传输到 连接设备102或250进行存储，以及连接设备102或250配置用于使 用该口令来访问智能卡读取器104。因此用户无需为与智能卡读取器 104配对的每一个设备记忆另外的口令。
该口令还防止了攻击者能够将调试工具与智能卡读取器104连接 以提取主连接密钥。可以执行在智能卡读取器存储器328中提供的口 令验证代码来验证在未来事务期间的连接口令。优选地，在执行特定 功能（例如改变连接口令、改变系统配置或者调用智能卡会话以执行 如加密或者解密之类的安全相关功能）之前，需要由用户将连接口令 输入到连接设备102或250上，以及由智能卡读取器104进行验证。
优选地，设置策略来配置智能卡读取器104，以接受在未来事务 中输入连接口令的有限数量的尝试，以及用来确定连接口令的最小或 者最大长度、口令的相对强度的其它策略，以及本领域已知的其他口 令安全措施。 一种策略可以包括对连接到给定的智能卡读取器104的 所有设备的连接口令尝试的单个计数；例如，如果移动设备102和两 个其他的计算设备250是与智能卡读取器104配对的无线连接，以及 在智能卡读取器104上的口令验证代码配置用于允许最多5次的连接 口令尝试，则将那些5次连接口令尝试应用于与智能卡读取器104配 对的所有3个设备；如果用户没能在计算设备250上的5次连续尝试 输入时正确输入连接口令，则用户无法转向移动设备102并进行没有 无线连接以及从智能卡读取器104的存储器328擦除的安全配对信息 的进一步尝试。此外，如果用户使用一个连接设备250改变了连接口 令，则优选地，断开所有的其他设备（在本例中是其它的计算设备250和移动设备102)，并且当它们试图与智能卡读取器104重新连接时将 受到新连接口令的质询。
一旦安全配对步骤完成并且建立了连接口令，在设备102或250 和智能卡读取器104之间的无线通信链路便得到保护。因此读取器104 可以用于与读取器104配对的一个或者多个连接设备102或250的一 个或者多个智能卡会话。本领域那些技术人员可以理解的是，上述方 法的实现优选地结合其他步骤；例如，智能卡读取器104或者连接设 备102或250可以配置用于等待在图4中略述的将要被执行的方法中 的下一个步骤的最长时间周期。在由于任何原因的超时事件中，例如 设备之一移动超范围以及引起无线链路106或256掉落，则可以中断 配对处理，以及可以清除读取器显示器110，或者可以擦除通过连接 设备102或250以及通过读取器104存储的PIN或安全配对密钥，结 果必须重新启动配对处理。
该系统还包括与设备和智能卡读取器104之间的连接相关的连接 特定设置。因此，例如，存在与智能卡读取器-计算设备250连接相关 的连接特定设置、以及与智能卡读取器-移动设备102连接相关的连接 特定设置。对于每一个连接设备250、 102来说，单独管理这些连接特 定设置。连接特定设置的主拷贝可以被存储在相关设备250或102中， 并且当在设备250或102和读取器104之间建立连接时，从设备250 或102发送到读取器104。
连接特定设置可以包括读取器ID，用于通过它的ID号来识别最 后连接的读取器；连接指示符，用于指示相关设备当前是否与读取器 104连接；以及一个或多个超时设置，用于确定配对信息何时以及是 否应当从相关连接的智能卡读取器中清除。例如，可以使用擦除密钥 超时设置来确定在无线连接掉落之后多长时间清除相应的配对信息。 可以使用长期超时设置来确定多频繁地清除安全配对信息。其他的超 时设置与从智能卡读取器104中移除智能卡108、由智能卡108提供 的事务的数目或者不活动相关。
读取器特定设置可以包括用于将各种LED输出信号与智能卡读 取器104的状态相关的LED设置；例如，可以配置LED设置，从而 闪动红色表示低电池状态，闪动蓝色意味着智能卡正通过无线通信链路106或206发送或接收数据。读取器特定设置还可以包括用于指定 智能卡读取器104上的无线电功率电平的通信范围设置；用于配置无 线电功能以减少功耗的节电模式；以及用来设置智能卡读取器104在 没有无线链路的情况下与移动设备102或者计算设备25 0将继续保持 的最大时间段的断电超时。读取器特定设置还可以包括用于测试是否 应当关闭智能卡读取器104和设备102或250之间的连接的连接心跳 时段；例如，移动或者其他计算设备102、 250可以配置用于通过连接 心跳周期设置确定的频率发送信号给智能卡读取器104，以及智能卡 读取器104可以配置用于确认该信号。如果智能卡读取器104或者设 备102或250丢失了该心跳，则在智能卡读取器104和设备102或250 之间的无线连接掉落。
可以在运行系统软件的智能卡读取器104中以及在移动设备102 或者其他计算设备250上提供的实用程序中提供附加的策略设置。这 些策略设置可以提供能够连接到智能卡读取器104的设备的最大数 目，以及影响了智能卡系统作为整体的操作的其他设置。
事务或智能卡会话包括从连接设备102或250传输到智能卡读取 器104或反之的一组指令或数据。在优选实施例中，在给定时间可以 仅仅开启单个会话，以及该会话可以仅由单个连接使用。典型地，该 会话实质上短于安全或者无线连接配对的生存时间。
优选地，当连接设备102或250配置用于请求来自智能卡108的 安全功能时，该设备102或250配置用于构建可以包括通过无线链路 106、 256传输到智能卡读取器104的多个数据的命令。该设备102或 250可以首先构建并发送智能卡会话请求;该请求可以包括读取器104 的读取器ID或者MAC地址；设备标识符，可以包括连接设备102或 250的MAC地址，或者在配对处理期间在先提供给读取器104的设 备名称；以及请求会话的指令。如果该请求被读取器104确认，则该 设备102或250可以构建并发送一个或者多个命令。优选地，该命令 包括智能卡读取器104的读取器ID或者MAC地址；有效载荷，它可 以包括要由智能卡读取器104执行的指令，或者其他数据；以及连接 设备102或250的设备标识符。在通过无线链路106、 256接收到命令 时，读取器104因而能够确定哪一个设备发送该命令，并且能够利用
24传输连接设备102或250的MAC地址或设备名称来格式化任何确认 或响应。优选地，利用从主连接密钥推导出的密钥来对每一个命令进 行保护或签名，主连接密钥优选对于每一个连接设备102、 250是唯一 的；读取器104将使用从存储在智能卡读取器104中的主连接密钥中 推导出的合适的密钥来解密或者认证该命令。读取器104同样可以利 用从主连接密钥推导出的密钥来对传输到连接设备102、250的指令或 者响应进行加密或标记，以及连接设备102、 250可以使用它存储的主 连接密钥和从主连接密钥中推导出的密钥来解密或认证所接收的消 息。
在单个智能卡会话期间，连接设备102、 250可以传输多个命令给 智能卡读取器104，以及智能卡读取器104可以传输多个响应或者确 认给连接设备102、 250。虽然在智能卡读取器和配对的设备102、 250 由单个用户操作时第二连接设备102、250将不可能会需要与第一设备 同时传输命令给智能卡读取器104，但是智能卡读取器104可以配置 用于处理同步接收的命令。在优选实施例中，当读取器104接收对第 二智能卡会话的另一个请求时，如果智能卡读取器104参与与第一设 备102或250的第一智能卡会话，则读取器104在它的存储器328中 高速缓存该请求；当第一智能卡会话终止时，读取器104获取高速缓 存的请求并将确认传输给第二设备102或250，因此开启与第二设备 的智能卡会话。而后第二设备102或250通过将命令传输给读取器104 继续进行处理。在可选实施例中，读取器104忽略对智能卡会话的其 他请求，直到第一智能卡会话终止。在这些实施例的任意一个中，虽 然没有立即处理第二设备102或250对会话的请求，但第二设备102 或250继续接收并传输上述的心跳，并且可以配置用于只要接收到心 跳就保持它的无线以及安全配对。
在另一个实施例中，智能卡读取器104在现存的智能卡会话期间 确认另一个智能卡会话请求，以及读取器104将接收、处理的命令、 以及从单独连接设备102、250传输以及传输到单独连接设备102、 250 的响应进行交错。可选地，如果智能卡会话请求包括所需事务的性质 的标识符，则读取器104可以根据预定的优先顺序把请求的智能卡会 话区分优先次序。例如，用户登录设备102、 250的智能卡功能的请求
25将被授予比用户数字签名输出的电子邮件消息的请求更高的优先级。
系统100或200包括在所有设备之间共享的读取器特定设置。在 此描述的示范性实施例中，在移动设备102、智能卡读取器104以及 计算设备250之间共享读取器特定设置。智能卡读取器104将读取器 特定设置的主拷贝存储到存储器328中。移动设备102和计算设备250 的每一个对最后知晓的读取器特定设置进行高速缓存。优选地，该读 取器特定设置是可通过移动设备102和计算设备250显示，以及可由 用户经由移动设备102或计算设备250配置，例如通过启动存储在设 备102或250上的智能卡读取器配置实用程序代码。优选地，根据一 组协议配置读取器特定设置以避免冲突；例如，如果配置实用程序在 移动设备102和计算设备250 二者上同时运行，则优选地，保存读取 器特定设置的设备最后"胜利"，以及大多数最近保存的读取器特定设 置被传送到智能卡读取器104以及其他设备250或102并保存。优选 地，在设备102或250上读取器特定设置是不可变的，除非在设备102 或250和智能卡读取器104之间存在连接。
那些本领域技术人员可以理解，在这里描述的系统的其他实施例 可以包括0个或者更多个移动设备102，以及O个或者更多个其他的 计算设备250，并且上述的计算设备250可以包括用于处理信息的任 何适合的数字设备，包括移动通信设备、个人数字助理、平板计算机、 膝上型计算机等。在优选实施例中，智能卡读取器104可以配置用于 允许同时连接到仅一个移动设备102，但可以连接到多个其他的计算 设备250。
因此，已经通过例子详细描述了本发明的各种实施例，那些本领 域技术人员可以理解不脱离本发明可以做各种改变和修改。本发明包 括所有落在附加权利要求范围内的所有这种的改变和修改。
一部分本专利文献的公开内容包括从属于版权保护的材料。当出 现在专利以及商标局专利文档或记录中时，版权拥有者不能反对通过 任意一个专利文献或专利的复制再现，然而无论如何保留所有的版权。