專利名稱:計算機系統(tǒng)中用于安全交易的方法和系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及在一個計算機系統(tǒng)中提供安全交易的方法和系統(tǒng),更精確地講���,涉及在進行這些交易的計算機系統(tǒng)中提供一個安全環(huán)境的方法和系統(tǒng)�。
傳統(tǒng)的計算機網(wǎng)絡(luò)���,如局域網(wǎng),廣域網(wǎng)和/或公共網(wǎng)絡(luò)即互聯(lián)網(wǎng)��,把個人計算機和工作站連接到一臺或多臺服務(wù)器或彼此互連����。此環(huán)境允許計算機用戶與服務(wù)器交互或相互交互。計算機用戶之間或計算機用戶與服務(wù)器之間的交易使用應(yīng)用程序處理���。這些程序執(zhí)行在傳統(tǒng)的操作系統(tǒng)平臺上����,如OS/27,Windons7,Unix7等。這些交易包括高價值的電子商務(wù)和其它私人交易�����,它們使用秘密或敏感的數(shù)據(jù)如銀行���,信貸帳號信息��。
然而�,計算機黑客能“侵入”駐留在計算機磁盤或存儲器上的數(shù)據(jù)��,也能侵入與實時處理相關(guān)的數(shù)據(jù)����。因此通過或存儲在計算機中的任何數(shù)據(jù),敏感的或別的都可能被黑客或入侵者通過計算機網(wǎng)絡(luò)獲取訪問而被截獲�����。此外����,即使敏感數(shù)據(jù)被加密���,當(dāng)如計算機系統(tǒng)下載或執(zhí)行欺騙程序時,其它在計算機中的敏感數(shù)據(jù)可能會受到攻擊��。一個欺騙程序允許黑客偷偷地捕獲計算機用戶名��,家庭地址��,E-mail地址等而不被注意��。然后計算機黑客能使用這些敏感數(shù)據(jù)假扮計算機用戶從而執(zhí)行欺詐性的交易���。
在此環(huán)境中安全交易變得十分困難�。因此���,傳統(tǒng)計算機系統(tǒng)使用智能卡做安全交易�����。一個傳統(tǒng)的智能卡帶有相當(dāng)多的內(nèi)置功能包括一個8位微控制器,一個只讀存儲器(ROM)����,一個電可擦除可編程ROM(EEPROM)�,一個隨機存取存儲器(RAM)和其它可選外部設(shè)備如加密單元�。EEPROM保存智能卡持有人的敏感數(shù)據(jù),ROM保存一個交易應(yīng)用程序代碼����,RAM保存臨時變量。在一個或是多路復(fù)用器或是其它加密引擎的加密單元中�����,敏感數(shù)據(jù)被加密��。
智能卡因其含存儲和處理敏感數(shù)據(jù)的內(nèi)置功能級別而有不同���。敏感數(shù)據(jù)提供給智能卡而不是計算機磁盤和存儲器����,以保護其防止未授權(quán)的訪問����。因此,智能卡在存儲與處理敏感數(shù)據(jù)方面能取代計算機�。
值得注意的是如果智能卡包含了一個完整的內(nèi)置功能���,它將排除常規(guī)計算機系統(tǒng)中的敏感數(shù)據(jù)的處理。這些智能卡將為電子交易提供足夠的安全環(huán)境�����。然而����,內(nèi)置功能愈多,智能卡就愈貴��。除價格外����,內(nèi)置功能的實施受智能卡物理尺寸限制。
典型地�,5mm×5mm電路芯片用于實施智能卡的內(nèi)置功能,因為較大的電路芯片將降低連接到它們的能力�����。而且內(nèi)置在智能卡的芯片極易被損壞�,因為智能卡通常存放在后口袋內(nèi)的錢包中。此外�����,ISO7816標(biāo)準(zhǔn)是用于智能卡的工業(yè)標(biāo)準(zhǔn)�����,它對智能卡上強加了抗彎限制����。因為較大芯片不能使智能卡彎曲,它必須小���。最后��,智能卡的電流量是50~100mA�。相比較���,帶擴展內(nèi)置功能的處理器有40倍之大的電流量��。因此�,在智能卡中含完全內(nèi)置功能是不行的��。
所以�����,至少一些敏感數(shù)據(jù)的處理必須在一個非安全方式的常規(guī)計算機系統(tǒng)中執(zhí)行。敏感數(shù)據(jù)駐留在一個智能卡上直至需要計算機處理�����。一旦從智能卡中讀出且傳送給計算機處理��,敏感數(shù)據(jù)變成易受非授權(quán)訪問�����。因此�����,智能卡和常規(guī)計算機系統(tǒng)的使用并不能完全解決為處理電子交易提供安全環(huán)境的問題�����。
在常規(guī)計算機系統(tǒng)中���,當(dāng)敏感數(shù)據(jù)由鍵盤輸入給計算機處理時��,問題復(fù)雜了���。例如�����,個人識別碼(PIN)常用于解鎖個人或受限訪問帳號,一旦它由計算機用戶用鍵盤輸入時可以被盜走���。
此外��,訪問計算機顯示控制器允許欺騙程序或病毒而產(chǎn)生錯誤或偽造的顯示��,它取代或藏匿了資料信息如交易值���。結(jié)果,欺詐交易未被發(fā)現(xiàn)��。當(dāng)顯示安全受到影響時����,交易的一方或多方有不一致的錯誤顯示。顯示的不一致會引起意見不一致且交易因此成為非法和無法實施���。因此���,這樣的交易容易被交易的一方或多方拒絕��。
所以����,利用智能卡的常規(guī)系統(tǒng)無法提供實時安全交易����。此外,在此環(huán)境中���,為了讓它們作為交易方之間的合法協(xié)議這個目的�����,驗證交易十分困難���。例如,在決定交易之后�����,一個人改變了他的主意,他聲明允許黑客在他們的位置上交易違反安全性而拒絕該交易�����。無法證明拒絕方參與了某些交易中�����,而其它交易方卻無追索權(quán)��。
因此�����,需要一個系統(tǒng)���,它提供給電子商務(wù)和其他類型的機密交易一個安全的環(huán)境。為了允許用智能卡交易���,系統(tǒng)同樣需要包含比完全內(nèi)置功能少的智能卡���。系統(tǒng)更需要減少智能卡的成本,接著是整個系統(tǒng)的成本���。系統(tǒng)額外需要允許強制的確認(rèn)和驗證的交易�。最后,系統(tǒng)需要很容易用現(xiàn)有技術(shù)實現(xiàn)��。本發(fā)明提供了解決前述問題的方法和系統(tǒng)����。
依據(jù)本發(fā)明的方法和系統(tǒng)的一個優(yōu)點是防止非授權(quán)的交易,此外�,可以證明參與以使交易不被拒絕。另一個優(yōu)點是保持了與智能卡技術(shù)的兼容性���。還一個優(yōu)點是因為安全協(xié)處理器有相當(dāng)多的功能���,智能卡的內(nèi)置功能僅需存儲一些敏感數(shù)據(jù),包括帳號和私鑰并供給數(shù)字簽名以證明參與�。此外,智能卡能載有被該方法和系統(tǒng)識別的生物統(tǒng)計學(xué)數(shù)據(jù)��,用于更可靠地證明參與和確認(rèn)卡持有人�。智能卡內(nèi)置功能越少,它就越簡單���,便宜�����。最后���,該方法與系統(tǒng)易于用現(xiàn)有技術(shù)實現(xiàn)�����,整個系統(tǒng)的成本減少���。
圖2A是常規(guī)認(rèn)證結(jié)構(gòu)圖。
圖2B是用于授權(quán)電子交易的常規(guī)認(rèn)證鏈圖��。
圖3是用于進行安全電子交易的常規(guī)系統(tǒng)框圖�����。
圖4是依照本發(fā)明的包含一個安全協(xié)處理器的系統(tǒng)框圖��。
圖5所示為依照本發(fā)明�,在帶安全協(xié)處理器的系統(tǒng)中�����,用于安全電子交易的包含接口通信協(xié)議的防火墻。
圖6是依照本發(fā)明更詳細(xì)的安全協(xié)處理器框圖�。
圖7是一個數(shù)字簽名處理流程圖,它用于在帶安全協(xié)處理器的系統(tǒng)中授權(quán)的電子交易����。
圖8是依據(jù)本發(fā)明的兩層存儲器系統(tǒng)框圖。
圖9是帶安全協(xié)處理器的系統(tǒng)中建立信任憑證高速緩沖存儲器的流程圖��。
發(fā)明的詳細(xì)描述本發(fā)明涉及在一個計算機系統(tǒng)中提供安全交易的方法和系統(tǒng)���,更精確地講��,該方法和系統(tǒng)為這些交易在計算機系統(tǒng)中提供一個安全的環(huán)境���。下面的描述表示能使本領(lǐng)域的普通熟練人員利用本發(fā)明并屬于一項專利申請及其需求范圍。對本領(lǐng)域的熟練人員而言��,對較佳實施例的各種變換將顯而易見�,且一般性原理可應(yīng)用于其它實施例中。因此����,本發(fā)明不打算限制在所示的實施例中,而是屬于與在此描述的原理和特征一致的更廣的范圍中�����。
計算機用戶相互交互,以通過計算機網(wǎng)絡(luò)電子化地處理交易���。在計算機網(wǎng)絡(luò)上處理的交易通常被看作電子交易�����。
圖1是用于處理電子交易的常規(guī)系統(tǒng)10的框圖���。
如圖l所示,系統(tǒng)10包括一臺個人計算機或工作站(計算機)14��,它配置了一個磁盤和存儲器(盤)16�。計算機14通過網(wǎng)絡(luò)12連到其它計算機上(未圖示)。網(wǎng)絡(luò)12可以是局域網(wǎng)��,連接一個建筑物中的計算機�����,或一個廣域網(wǎng)���,連接分散在不同建筑物中的計算機�����,或公共網(wǎng)絡(luò)���,如互聯(lián)網(wǎng)等。
用于處理電子交易的多數(shù)應(yīng)用程序(電子交易應(yīng)用程序)在一個常規(guī)操作系統(tǒng)平臺上如OS/2,Windons,Unix等�����,執(zhí)行���。一般認(rèn)為��,常規(guī)操作系統(tǒng)平臺為執(zhí)行電子交易程序提供了一個非安全的計算環(huán)境����。在該環(huán)境中��,與電子交易相關(guān)的機密信息(敏感數(shù)據(jù))能被輕易獲取�����。在常規(guī)系統(tǒng)中�����,破壞通信安全和電子交易可包括對含密鑰文件的解碼,解除訪問其它系統(tǒng)的可能�����。
于是���,保護完整性和保護電子交易合法性的需要產(chǎn)生了可選的系統(tǒng)和方法�����。這些系統(tǒng)和方法提供了一個處理電子交易的更安全的環(huán)境�����。眾所周知��,在一個計算機系統(tǒng)中���,交易信息可被授權(quán)�。電子交易應(yīng)用程序典型地與著名的公鑰加密算法相關(guān)。此算法利用公鑰和私鑰對進行驗證�����。公鑰是在公共域中可獲得數(shù)據(jù)。私鑰是其所有者個人的敏感數(shù)據(jù)�����。私鑰被提供在一些組織�,如銀行,信用卡公司����,雇主等發(fā)行的智能卡上。
數(shù)字證書把名字綁定在密鑰對上���,從而提供了一個數(shù)字識別�。數(shù)字證書總是驗證公鑰是否屬于使用它的特定個人����。圖2A是一個常規(guī)證書結(jié)構(gòu)圖。常規(guī)證書結(jié)構(gòu)符合如x509.V3標(biāo)準(zhǔn)認(rèn)證結(jié)構(gòu)���。一個常規(guī)數(shù)字證書50包括用戶名502�����,證書有效期504�,公鑰508。證書由一個相互信任授權(quán)“簽名”(即公鑰用戶和他交易伙伴的信任)���。相互信任授權(quán)��,通認(rèn)為證書授權(quán)或發(fā)行授權(quán)506�,通過提供一個簽名510鑒別公鑰用戶身份�,驗證該公鑰確實屬于該公鑰用戶。
采用公鑰加密一條加密或不加密的信息能用私鑰“簽名”并傳遞給收信人�����。然而收信人或其他有公鑰的人能用公鑰解密該消息并知道誰發(fā)送了它����。數(shù)字證書允許通過追蹤消息到他們的源頭而驗證消息。典型地�����,將一個證書鏈用于此目的�����。
圖2B是用于驗證電子交易的證書示意圖�����。證書鏈有一個根認(rèn)證權(quán)威522�����,允許不同國家和地區(qū)的人互相電子化地交易����。根認(rèn)證權(quán)威522允許不同國家和地區(qū)在它們的國家中的認(rèn)證權(quán)威來發(fā)布對個人的數(shù)字身份。認(rèn)證鏈在信任流從每個交易伙伴向上到根認(rèn)證權(quán)威522處建立一個信任關(guān)系�����。例如��,也許有一個日本認(rèn)證權(quán)威528���,一個法國認(rèn)證權(quán)威526和一個美國認(rèn)證書權(quán)威�,分別發(fā)行數(shù)字身份給日本���、法國��、美國的居民�。在日本,東京地區(qū)認(rèn)證權(quán)威538可發(fā)行一個數(shù)字身份546給J.Yen����,在法國,巴黎地區(qū)認(rèn)證權(quán)威536可發(fā)行一個數(shù)字身份544給F.Frank����,在美國,也許有一個東部認(rèn)證權(quán)威534��,一個中西部認(rèn)證部權(quán)威532和一個西部認(rèn)證權(quán)威530��。西部認(rèn)證權(quán)威530可發(fā)行一個數(shù)字身份給加里福尼亞州認(rèn)證權(quán)威540接著可發(fā)行一個數(shù)字身份542給A.Doe����。
當(dāng)A.Doe這個加里福尼亞居民要與在日本的J.Yen或/和在法國的F.Frank通過交換信息來處理電子交易時。A.Doe需要確認(rèn)電子交易是和J.Yen和/或F.Frank進行的���,而不是和騙子進行的����。通過現(xiàn)有的認(rèn)證技術(shù),有可能通過向上查遍認(rèn)證鏈來驗證發(fā)送交易信息人的數(shù)字身份���。在檢查一些人信息中的數(shù)字證書時,A.Doe能檢查是否在個人的數(shù)字證書中有一個合法的數(shù)字身份����,即A.Doe能檢查在J.Yen的信息中是否有東京的認(rèn)證權(quán)威538�,日本的認(rèn)證權(quán)威528和根認(rèn)證權(quán)威522的有效認(rèn)證權(quán)威的簽名。
公私鑰加密具有非對稱加密特性�,如果信息被用戶的公鑰加密后,僅能由用戶的私鑰解密��。即在每一邊僅需要一個密鑰�,分別用作加密和解密。
相反����,對稱鑰加密僅用一個密鑰,雙方都用它來加密���、解密信息��。一方用此密鑰加密信息����,另一方用此密鑰解密。此密鑰必須保密����,若一個非授權(quán)用戶獲得它,他就能看所有的加密信息���。因此密鑰分發(fā)利害重大���,沒有可自由分發(fā)的公鑰,所有密鑰需保密且布置一個高度安全的分發(fā)計劃保護系統(tǒng)的安全性����。公-私鑰系統(tǒng)允許未謀面的伙伴們秘密地通信。因為公鑰可被廣泛地分發(fā)�,任何人都可得到他希望與之秘密通信者的密鑰拷貝并在公鑰中加密信息。
圖3是處理安全電子交易的常規(guī)系統(tǒng)20的框圖��。如圖示����,系統(tǒng)包括用智能卡26處理安全交易的計算機24,計算機24一次接收一個智能卡�。網(wǎng)絡(luò)22和計算機24與圖1中的網(wǎng)絡(luò)12和計算機14相似�。智能卡26含用于處理和存儲敏感數(shù)據(jù)包括個人數(shù)據(jù)和私鑰的內(nèi)置功能�����。
有了智能卡26�,敏感數(shù)據(jù)就不會被計算機黑客可訪問了。因此��,敏感數(shù)據(jù)不會遭到黑客攻擊���,直至它從智能卡26讀出傳給計算機24,進一步處理并通過網(wǎng)絡(luò)22傳給其它計算機�����。
然而訪問存取在計算機24內(nèi)部的數(shù)據(jù)和訪問計算機24實時處理過程中使用的數(shù)據(jù)���,致使含有敏感數(shù)據(jù)的數(shù)據(jù)容易受到攻擊��。因此����,傳給計算機24的敏感數(shù)據(jù)在不需時應(yīng)及時刪除��。但是,很難保證在非安全操作系統(tǒng)中���,數(shù)據(jù)能從計算機系統(tǒng)中正確地刪除���,因為數(shù)據(jù)也許被臨時存放在計算機系統(tǒng)盤驅(qū)動器上的操作系統(tǒng)相關(guān)文件中。無論何時�����,敏感數(shù)據(jù)駐留在計算機24中�����,它都易受到如病毒和陷井門(trap-door)的攻擊�。病毒和陷井門被下載和執(zhí)行偷偷捕獲敏感數(shù)據(jù)的欺騙程序的計算機用戶而不經(jīng)意地引入計算機24。一旦電子交易程序的安全性受到危害��,捕獲的敏感數(shù)據(jù)可假扮計算機用戶���。
用以將安全性危害降至最小的一種機理是完全在智能卡26上處理交易�。但是這不是處理復(fù)雜電子交易協(xié)議的可行方法��,因為智能卡26受限于芯片大小與能量的限制。物理限制增加了生產(chǎn)智能卡的成本且限制了它的內(nèi)置功能��。隨內(nèi)置功能的增加����,生產(chǎn)智能卡的成本增加,這使得一些商務(wù)模型不能利用此技術(shù)的好處��。
在此環(huán)境下�����,不能有效地滿足保護電子交易完整性和合法性的需求�����。因此��,本發(fā)明就是滿足這種需求的方法和系統(tǒng)�。此發(fā)明的關(guān)鍵特征是在一個安全計算環(huán)境下���,電子交易程序可以被執(zhí)行���,而使計算機黑客無法觸及而無需把所有功能內(nèi)置在智能卡中。按照本發(fā)明����,在有這種結(jié)構(gòu)的系統(tǒng)中�����,安全計算環(huán)境通過防火墻與常規(guī)計算環(huán)境分離開�����。因此����,系統(tǒng)中的處理分布在安全和常規(guī)計算環(huán)境之間���。電子交易程序中的非安全部分可以繼續(xù)工作在常規(guī)非安全計算環(huán)境中�,而該程序中的安全部分在安全計算環(huán)境中執(zhí)行�。因此,分布式處理在保護敏感數(shù)據(jù)中扮演一個重要部分�。依照本發(fā)明的系統(tǒng)和方法被詳述如下。
圖4是依照本發(fā)明含安全協(xié)處理器122的系統(tǒng)100的框圖�。安全協(xié)處理器122含一個與主機114交互的主機接口120。主機與網(wǎng)絡(luò)110連接����。主機接口120含一個接口134�����,以下將詳述���。
必須清楚安全協(xié)處理器122的位置可變化,但不脫離本發(fā)明的范疇�����,它可固定在計算機114或鍵盤118的內(nèi)部或外部�,只要安全計算環(huán)境104與常規(guī)計算環(huán)境102分離。最好���,安全協(xié)處理器122與主機114內(nèi)的處理器分離開��。
安全協(xié)處理器122與一個信任顯示128和信任輸入130交互�。安全協(xié)處理器122進而包含一個智能卡接口124��。安全協(xié)處理器122與智能卡126交互���,此卡是用于持有敏感數(shù)據(jù)的便攜安全設(shè)備。安全協(xié)處理器122較佳地與符合用于智能卡通信的ISO7816標(biāo)準(zhǔn)的智能卡126相兼容。必須清楚���,安全協(xié)處理器122與的其它類型智能卡126的兼容性是在本發(fā)明范疇內(nèi)的���。
依據(jù)本發(fā)明,帶安全計算環(huán)境104的系統(tǒng)100的架構(gòu)通過接口134與傳統(tǒng)計算機環(huán)境102分離開�,使電子交易能做成分布式處理。分布式處理的特點在于安全協(xié)處理器122負(fù)責(zé)從智能卡126上取回敏感數(shù)據(jù)并在本地處理該數(shù)據(jù)����。
在由協(xié)處理器122提供的安全計算環(huán)境104中,敏感數(shù)據(jù)被加密和/或打包在加密的簽名信息中�����。這些加密的敏感數(shù)據(jù)和/或簽名信息然后傳給常規(guī)計算環(huán)境102的計算機114來完成電子交易處理�����。計算機114發(fā)送含加密的簽名信息給通過網(wǎng)絡(luò)110連接的另一臺計算機���。因此���,在依據(jù)本發(fā)明的系統(tǒng)中敏感數(shù)據(jù)不會由常規(guī)計算環(huán)境102中的計算機114來處理����,且因此不會受到攻擊�����。
因為錯誤�,病毒或欺騙程序有可能反過來影響電子交易程序,本發(fā)明以一種信任的輸入和顯示提供額外的安全來解決此問題����。最后,除了安全協(xié)處理器122��,安全計算環(huán)境104含信任顯示128和信任輸入設(shè)備130���,它包含安全模式指示器如液晶顯示132���。
信任顯示128是分開的且與計算機114的顯示116不同。信任顯示128是用于顯示代表真實交易信息的數(shù)據(jù)如交易量之類的專用顯示����。例如,信任顯示128可以是小的LCD之類顯示�。當(dāng)安全協(xié)處理器122處理交易時,它也可獲得對真實交易值或量的訪問�。因此,安全協(xié)處理器122能提供真實交易量到信任顯示128�,并確保所示的量能正確地表示進展中的電子交易值。
計算機用戶能比較信任顯示128上的交易量與計算機114的顯示器116上所示的交易量��。例如�����,在一個包含貨物交換或貨幣轉(zhuǎn)帳的電子交易中�,5000美元交易在計算機114的顯示器116上可能顯示成500美元的交易。當(dāng)此沖突發(fā)現(xiàn)后��,計算機用戶此被警告可能的篡改或攻擊����。
此外,當(dāng)如計算機用戶輸入PIN(個人身份碼)來解鎖計算機用戶帳號時���,信任顯示128向計算機用戶提供一個可視的反饋���。在常規(guī)系統(tǒng)(如圖3系統(tǒng)20中)當(dāng)在鍵盤上輸入敏感數(shù)據(jù)時,它由鍵盤傳送給計算機24�,從而使之易受攻擊��。反之����,依本發(fā)明的系統(tǒng)100阻止如PIN這樣的敏感數(shù)據(jù)通過計算機114�。
最后,控制鍵盤輸入被安全協(xié)處理器122所取代���。安全協(xié)處理器122確定是否鍵盤輸入提供了敏感數(shù)據(jù)����。如果鍵盤輸入提供的不是敏感數(shù)據(jù)�,數(shù)據(jù)就傳給常規(guī)計算環(huán)境中的計算機114處理;如果提供的是敏感數(shù)據(jù)�����,敏感數(shù)據(jù)就被工作于安全計算環(huán)境104中的協(xié)處理器122所捕獲�����。在此情形下�,LED132由安全協(xié)處理器122打開以提供安全模式的計算機用戶的指示。
在一個實施例中�,由從鍵盤118移走常規(guī)電子設(shè)備并在那兒嵌入安全協(xié)處理器122和其它兼容元件而把鍵盤118轉(zhuǎn)換成信任輸入設(shè)備130�����。在那里,由安全協(xié)處理器執(zhí)行的程序之一是一個鍵盤應(yīng)用程序�。在此配置中,所有數(shù)據(jù)由通過安全協(xié)處理器122的鍵盤輸入所提供�����。協(xié)處理器122判斷數(shù)據(jù)是否上交給計算機114或是否由安全協(xié)處理器122本地處理�����。
在另一實施例中����,系統(tǒng)100包括鍵盤118,另外有信任輸入設(shè)備130����。在此配置中,安全協(xié)處理器122不嵌入到鍵盤118中���,但附著在信任輸入設(shè)備130中�����,在那里信任輸入設(shè)備從屬于安全計算環(huán)境104中�。
還有一個實施例,安全計算環(huán)境104能作為個人自動柜員機(AIM)系統(tǒng)用于通用或商用電子交易����,這不需要完全的鍵盤兼容性。ATM含專用信任鍵盤130����,它通過RS232接口(未圖示)和信任顯示128連接。
在以上任一實施例中��,安全協(xié)處理器122和信任輸入設(shè)備130共同阻止對提供敏感數(shù)據(jù)的鍵盤輸入的非授權(quán)訪問�����。這可以阻止未得到他人認(rèn)可和批準(zhǔn)而捕獲PIN號碼解鎖計算機用戶個人銀行���、帳單���、信貸帳號。
為了提供上述提及的分布式處理,安全協(xié)處理器122包括主機接口120����,它最好含接口134。
接口134充當(dāng)安全協(xié)處理器122和計算機144間的防火墻���。其中�����,防火墻意味著限制主機訪問數(shù)據(jù),允許批準(zhǔn)的安全操作在安全協(xié)處理器122中處理���。因此計算機114不能完全訪問安全計算環(huán)境104中的數(shù)據(jù)����。
例如�,接口134阻止計算機114命令安全協(xié)處理器122來允許計算機114讀取安全協(xié)處理器122上的所有存儲器。相反��,接口134允許計算機114命令安全協(xié)處理器122處理確定的其它交易(不管有多少攻擊軟件出現(xiàn)在計算機114中)���。
接口134的功能通常由著名的應(yīng)用程序接口API實施���,API定義了計算機114和安全協(xié)處理122如何能相互通信���。最好,API直接指向電子交易程序尤其是商務(wù)電子交易��。然而�����,應(yīng)當(dāng)理解在不脫離本發(fā)明范疇和精神的情況下API也可以直接指向其它類電子交易�����。
以下結(jié)合圖4和圖5中��,描述接口134的功能�����。圖5所示的防火墻包括一個接口通信協(xié)議用于依照此發(fā)明在帶有安全協(xié)處理器的系統(tǒng)中的安全電子交易�����。API利用定義了計算機114和安全協(xié)處理器122如何能相互通信的接口通信協(xié)議實施接口134功能�。
用于安全電子交易的接口通信協(xié)議包括如信貸購買,此協(xié)議由計算機114通過一個購買開始信息302通知協(xié)處理器122,購買操作被請求而初始化����。購買開始信息302提示安全協(xié)處理器122來激活用于信任購買(購買應(yīng)用)的電子商務(wù)應(yīng)用程序。安全協(xié)處理器122相應(yīng)地發(fā)送給計算機114一個確認(rèn)304���。
下面���,計算機114發(fā)送一個請求參數(shù)信息306。安全協(xié)處理器122用包括信用卡品種識別符��,交易語言��,數(shù)字簽名方法如實際的或虛擬的記號和其它相關(guān)參數(shù)的購買參數(shù)308來響應(yīng)�。計算機114發(fā)送一個獲得身份請求310提示安全協(xié)處理器122接受作為電子交易方的計算機用戶的數(shù)字身份�。安全協(xié)處理器122在回應(yīng)中發(fā)送一個標(biāo)識的源信息312來確認(rèn)安全協(xié)處理器122分配了用于識別處理的資源。
下面��,計算機114常常是以一個數(shù)字證書的形式發(fā)送電子交易方的數(shù)字身份314�。安全協(xié)處理器122用合法的身份信息316來響應(yīng)。在處理數(shù)字身份數(shù)據(jù)期間�,安全協(xié)處理器122存貯先前未處理的數(shù)字身份。然后計算機114發(fā)一個PIN請求信息318提示計算機用戶輸入PIN來解鎖智能卡126中的敏感數(shù)據(jù)�����。安全協(xié)處理器122相應(yīng)地進入安全模式,打開安全模式指示器(LED32)���,允許計算機用戶安全地輸入PIN���。安全協(xié)處理器122通過信息320確認(rèn)PIN的請求。
來自計算機114的購買請求信息322通過購買程序提示安全協(xié)處理器122處理PIN和敏感數(shù)據(jù)�,包括提供敏感數(shù)據(jù)加密和購買請求授權(quán)。然后安全協(xié)處理器122提交給計算機114購買響應(yīng)信息324���,該信息含加密數(shù)據(jù)和授權(quán)購買請求信息�。此后計算機114可以轉(zhuǎn)發(fā)購買響應(yīng)信息324通過網(wǎng)絡(luò)110到任一個電子交易方����。
計算機114收到來自電子交易方的購買授權(quán)或拒絕的回應(yīng)。計算機114提交該信息給安全協(xié)處理器112�����,它驗證使電子交易方合法化的加密簽名�。結(jié)果證實授權(quán)或拒絕的信息328提交給計算機114。最后���,購買請求結(jié)束信息330被計算機114發(fā)送給安全協(xié)處理器112�,后者用購買終止信息332確認(rèn)。
以上描述用于實施接口134功能的��,由安全計算環(huán)境104提供的體現(xiàn)分布式處理好處的接口通信協(xié)議�����。作為示例����,計算機114不直接訪問貫穿整個電子交易過程的敏感數(shù)據(jù)。
安全協(xié)處理器122是本發(fā)明的另一個重要特征����。圖6是本發(fā)明的安全協(xié)處理器400的詳細(xì)框圖。
如圖6所示�����,安全協(xié)處理器400包括處理器410(如一個32位的精簡指令集控制器(RISC))�。處理器410與ISO7816智能卡接口414相耦合用于與智能卡436交互�����,它符合ISO7816標(biāo)準(zhǔn)。處理器410進而和鍵盤/數(shù)字鍵盤接口416以及顯示控制器接口418相耦合���,用于分別與信任輸入設(shè)備438和信任顯示440連接��。微處理器支持420與處理器410相耦合��,它含組件如中斷控制器和定時器�����,供給處理器420操作的需求�。
處理器410進而與存儲器422和外部存儲器接口426相耦接�����。存儲器422最好包含只讀存儲器(ROM)444和隨機存取存儲器(RAM)446�����。在ROM444中駐留一段安全程序代碼��,它包括一個或多個電子交易程序�。臨時變量,顯示圖片等放在RAM446中�。
另外與主機接口412連接的處理器�,包含如通用服務(wù)總線(USB)接口430��,PS/2接口432��,和RS-232接口434�����,用于與計算機442連接���。一個或所有接口430,432,434可一次用于與一個或多個計算機442的連接��。
作為說明安全協(xié)處理器400維持對敏感數(shù)據(jù)的本地處理��。在安全協(xié)處理器400中加密控制器單元426處理是本地處理的重要方面�。處理器410與加密控制器426耦接用于控制其操作�。
當(dāng)敏感數(shù)據(jù)在協(xié)處理器400本地被捕獲時它將在加密控制器單元426中加密(即加密編碼,這樣當(dāng)敏感數(shù)據(jù)提交給計算機442用來通過網(wǎng)絡(luò)(未圖示)傳輸時��,它是一種加密的形式��。接收加密敏感數(shù)據(jù)的各個電子交易方有一個適用于解密敏感數(shù)據(jù)的解碼�����。
依據(jù)本發(fā)明在帶安全協(xié)處理器的系統(tǒng)中�,最好用安全的散列簽署信息。與上面提及的公私鑰加密原理相似����,安全的散列是一種方法,無沖突加密算法與壓縮算法類似��。無沖突意味著對任何單一輸入都有一個唯一相對應(yīng)的散列輸出�。即,若兩段數(shù)據(jù)除一個比特不同外����,其余均相同,但結(jié)果共有兩個完全不同的散列輸出�����。一種方法意味著從散列值中導(dǎo)出任何輸入數(shù)據(jù)是不可行的方法�。安全散列使偽造電子簽名十分困難,因為需要無數(shù)輸入嘗試����,而僅有一個能產(chǎn)生獨特的散列輸出。
例如����,智能卡可存有私鑰和敏感數(shù)據(jù)如��,一個帳號(如帳單)�,且數(shù)字證書相當(dāng)于數(shù)字身份且公鑰嵌入在內(nèi)�。智能卡所有人知道解鎖帳戶的PIN。
因此在操作中��,依據(jù)本發(fā)明的系統(tǒng)(如上述結(jié)合圖4的描述)讀取來自智能卡的帳號����,數(shù)字證書或在安全協(xié)處理器122中的私鑰,然后它提示智能卡所有者通過信任的輸入設(shè)備(130)輸入PIN����。接口134保護從沒有被首次加密的計算機114取得的敏感數(shù)據(jù)。因此�,所有電子交易應(yīng)用程序的安全處理然后在一個安全計算環(huán)境104中執(zhí)行,以保護敏感數(shù)據(jù)的完整性�。敏感數(shù)據(jù)最好用一個對稱或非對稱加密算法加密,然后它結(jié)合信息的其它部分如交易量�����。然后,信息被電子簽名��。
圖7是在帶安全協(xié)處理器的系統(tǒng)中用于授權(quán)電子交易的數(shù)字簽名過程流程圖�。首先���,安全的散列敏感數(shù)據(jù)通過步驟550處理�。出于源自公共安全行業(yè)實踐的緣由���,私鑰從未成為(come off)智能卡���。這就是為什么通過步驟552將散列輸出上交給智能卡,通過步驟554���,在智能卡中用私鑰加密的原因����。
私鑰是一個長比特串(常是1024位)���,常常在發(fā)行者的信任安全環(huán)境中嵌入在智能卡中(如美國快遞)����。因此,如果發(fā)行者提供帶這樣一個私鑰的智能卡且用PIN解鎖私鑰�����,那么不可能有人模仿智能卡持有者����。因此,智能卡持有者處理電子交易將可得到驗證���,且智能卡持有人不能拒絕它們(即���,在電子交易中,智能卡持有者的參與是可驗證的����,且智能卡持有者不能拒絕在電子交易完成后履行交易)。
用私鑰簽署的信息而后提交給計算機114(圖4)用于通過網(wǎng)絡(luò)110傳輸�。另一方面,銀行或其它交易方有它們自己的加密機制用來解密信息�����。
在本發(fā)明的一個實施例中�,生物統(tǒng)計學(xué)數(shù)據(jù)如視網(wǎng)膜掃描�����,指紋等嵌入在智能卡中�。智能卡持有人提供生物統(tǒng)計學(xué)數(shù)據(jù)樣本和鍵入PIN����。生物統(tǒng)計學(xué)數(shù)據(jù)和PIN的結(jié)合排除了電子交易的拒絕支付,因為實際上它證明授權(quán)的智能卡持有人確實執(zhí)行了電子交易且準(zhǔn)確地作了交易�。于是,在此架構(gòu)中�,生物統(tǒng)計學(xué)數(shù)據(jù)從未駐留在非安全計算環(huán)境中。
特別是在高容量�����、高頻率電子交易環(huán)境中��,交易方的數(shù)字證書預(yù)驗證保證了驗證處理時間���。交易方的預(yù)驗證數(shù)字證書可存貯來為將來加速驗證使用(不用再重復(fù)驗證過程)����。代替常規(guī)系統(tǒng)中的證書緩存,此系統(tǒng)可以由添加偽證書而遭損害��,依照本發(fā)明的系統(tǒng)提供了信任證書緩存����。
信任證書緩存常駐留在RAM中。在安全計算環(huán)境中�,信任證書緩存存有預(yù)驗證數(shù)字證書,此證書因接口原因���,不能被損害�。一旦數(shù)字證書被驗證�����,在信任證書緩存中����,一個API命令可用來存貯證書。
驗證證書緩存加速了證書鏈的合法性����。為驗證在證書上發(fā)行者的簽名,需要一個計算機化的很昂貴的加密簽名驗證����。證書緩存意味著昂貴的簽名驗證僅需發(fā)生一次��,同時�,證書在被接受進入緩存前被驗證��。一旦接受���,證書可被使用而勿需每次檢查發(fā)行者簽名。
本發(fā)明的一個實施例包括一個兩層的存儲器��,它給安全協(xié)處理器提供了極大的處理容量�。圖8是依照本發(fā)明的兩層存儲器系統(tǒng)框圖。安全協(xié)處理器400(如圖6中)包含內(nèi)置的RAM446�。在安全計算環(huán)境中,安全協(xié)處理器400也通過外置RAM接口426與外置RAM602相連�����。計算機610訪問內(nèi)置RAM446和外置RAM602被主機接口412中的接口616所阻擋�。內(nèi)置RAM446(一個1024位存儲器)嵌入在安全協(xié)處理器400芯片中。敏感數(shù)據(jù)保存在內(nèi)置RAM446中�����。外置RAM602是安全協(xié)處理器400外部的高容量必需設(shè)備(一個128K比特存儲器)。加密敏感數(shù)據(jù)��,數(shù)字證書和臨時變量存在外部RAM602中�。它將用一個昂貴的邏輯分析器($50,000)捕捉進出RAM602的數(shù)據(jù)。因此���,數(shù)據(jù)不易被捕獲�����,仍可防范來自軟件的攻擊�。
當(dāng)內(nèi)置RAM446暫時填滿時�����,安全協(xié)處理器能處理隱密分頁�����,這意味著敏感數(shù)據(jù)能被加密且暫時放置在外部RAM602中或主機RAM612或系統(tǒng)磁盤614中����。外部RAM602也能用于信任證書緩存604來保持預(yù)批準(zhǔn)數(shù)字證書。為進一步討論此特征�,現(xiàn)在一起參考圖8和9�����。
數(shù)字證書在合法期間有一個有效周期����。某些證書也有額外的有效期限限制使用證書的相應(yīng)私鑰在一個即將結(jié)束的周期進行簽名�����,由此證書能用來驗證這樣一件事��,其私鑰甚至在不能用于執(zhí)行簽名后仍能簽署�。這些限制添加在證書延伸部分���。
圖9是在安全協(xié)處理器中建立信任證書緩存604的流程圖��。通過步驟700�,建立信任證書緩存由等待一個新的數(shù)字證書開始�。重復(fù)處理每個新證書。一旦通過步驟702收到一個新證書(若需要則解碼)�����,通過步驟704,其加密散列或其它唯一數(shù)據(jù)將與已經(jīng)駐留在緩存中的證書比較��。如果新證書已存在于緩存中��,它的有效期和可選的限制延伸通過步驟712驗證�����。通過步驟714如果證書仍然合法����,那么它通過步驟718被證書緩存接收。另一種情況�,如果在步驟712中證書合法性檢查通過步驟714驗證無效,新證書將被步驟716拒絕�。
另外,如果新證書由步驟704確定已不出現(xiàn)在緩存中�����,那么通過步驟706檢查緩存是否存在證書簽名發(fā)行者證書�����。如果發(fā)行者的證書不出現(xiàn)在緩存中����,那么通過步驟716而拒絕證書���。
如果通過步驟706證書發(fā)行者出現(xiàn)在緩存中,那么在步驟708中檢查證書上發(fā)行者的簽名���。如果通過步驟710��,簽名無效���,通過步驟716拒絕證書。
如果由步驟710證明發(fā)行者證書無效��,那么由步驟714檢查證書的有效性和可選延伸�。如果由步驟714證實證書仍舊無效,那么它將由步驟718收入證書緩存���。另一種情況,若在步驟712中證書有效性不能合法地由步驟714檢查通過�,新證書由步驟716拒絕。因此逐漸建成緩存604極大地節(jié)省了花在數(shù)字認(rèn)證驗證上的處理時間�。
最后,依照本發(fā)明帶有安全協(xié)處理器的系統(tǒng)供給便宜的智能卡使用��。依本發(fā)明用于此系統(tǒng)的智能卡與用于常規(guī)系統(tǒng)上的傳統(tǒng)智能卡相比,僅需較少的內(nèi)置功能�,因為多數(shù)內(nèi)置功能已包含在安全協(xié)處理器中。一個安全協(xié)處理器與一批帶減少的內(nèi)置功能的智能卡的成本低于帶擴展內(nèi)置功能的相同數(shù)量的智能卡的總成本�����。因此依據(jù)本發(fā)明的系統(tǒng)可在一個比常規(guī)系統(tǒng)成本低得多的情況下實施����。成本的降低在大銀行,信用卡組織和合作用戶的大容量電子交易環(huán)境意義是巨大的�����。
以上揭示了一個用于安全加密和授權(quán)交易的系統(tǒng)和方法�����。盡管本發(fā)明依照所示的實施例描述�,但本領(lǐng)域的普通技術(shù)人員將容易看出,實施例可以變化��,那些變化均屬于本發(fā)明的范疇���。
權(quán)利要求書按照條約第19條的修改1.一種在主機中用于安全交易的系統(tǒng)�����,包括一個安全協(xié)處理器��,安全協(xié)處理器與主機連接的接口�����,其中�����,安全交易處理在安全協(xié)處理器本地執(zhí)行���,并且非安全交易處理在主機系統(tǒng)中執(zhí)行����。
2.如權(quán)利要求1所述的系統(tǒng)�,其特征在于,所述接口包括一個接口通信協(xié)議����,此協(xié)議用于約束主機訪問通過安全協(xié)處理器的數(shù)據(jù),這些數(shù)據(jù)含敏感數(shù)據(jù)����。
3.如權(quán)利要求2所述的系統(tǒng),其特征在于�,所述敏感數(shù)據(jù)包含個人數(shù)據(jù)和個人身份數(shù)據(jù)。
4.如權(quán)利要求3所述的系統(tǒng)�,其特征在于,所述接口通信協(xié)議實施于一個應(yīng)用編程接口中��。
5.如權(quán)利要求2所述的系統(tǒng)��,其特征在于�����,所述系統(tǒng)還包括連到安全協(xié)處理器提供信任輸入的裝置�。
6.如權(quán)利要求5所述的系統(tǒng),其特征在于�����,所述信任輸入裝置包含鍵和數(shù)字鍵盤����。
7.如權(quán)利要求6所述的系統(tǒng)�����,其特征在于�����,所述信任輸入裝置包含一個安全模式指示器用來表示安全模式����,該指示器響應(yīng)來自主機的請求用于包含個人身份數(shù)據(jù)的敏感數(shù)據(jù)的鍵盤輸入����。
8.如權(quán)利要求7所述的系統(tǒng),其特征在于���,所述安全模式指示器包含一個液晶顯示器�。
9.如權(quán)利要求5所述的系統(tǒng)��,其特征在于�����,所述系統(tǒng)還包含一個與安全協(xié)處理器相連的智能卡接口��,智能卡接口與智能卡連接,該智能卡包含個人數(shù)據(jù)和私鑰���。
10.如權(quán)利要求9所述的系統(tǒng),其特征在于�,所述系統(tǒng)還包含一個與安全協(xié)處理器相連的信任顯示器,用于提供可視的反饋和真實交易信息��。
11.如權(quán)利要求10所述的系統(tǒng)����,其特征在于,所述安全協(xié)處理器包括一個微處理器�����;與微處理器相連的微處理器支座�����;一個與微處理器相連的顯示器接口�,該顯示接口用于提供可視的反饋和真實交易信息到信任顯示;
連接在微處理器和信任輸入裝置之間的第一裝置���;連接在微處理器和智能卡接口之間的第二裝置��;與微處理器相連的存儲器����;與微處理器相連的外部存儲器接口,外部存儲器接口用以與外部存儲器連接�����;與微處理器相連的加密控制器單元��,加密控制器單元用于以加密形式提供數(shù)據(jù)��;連接在微處理器和多個計算機系統(tǒng)之間的第三裝置�����。
12.如權(quán)利要求11所述的系統(tǒng)�����,其特征在于��,有一個雙層存儲器含存儲器和外部存儲器��,存儲器用于存貯一個交易應(yīng)用程序和包含敏感數(shù)據(jù)的數(shù)據(jù)�����,而外部存儲器用于存貯臨時變量和證書緩存。
13.如權(quán)利要求11所述的系統(tǒng)��,其特征在于��,所述加密單元執(zhí)行敏感數(shù)據(jù)的非對稱或?qū)ΨQ加密�����,以加密形式提供敏感數(shù)據(jù)����。
14.如權(quán)利要求13所述的系統(tǒng)��,其特征在于�����,所述加密形式的敏感數(shù)據(jù)被包上非加密非敏感數(shù)據(jù)中以形成一個消息��,在這里消息用私鑰簽署在智能卡中��,然后提交給多個計算機系統(tǒng)之一����,用于進一步傳送給一個交易方�����。
15.一種在主機中用于安全交易的系統(tǒng)���,包含一個安全協(xié)處理器;用于將安全協(xié)處理器與主機連接的接口��,與安全協(xié)處理器相連用于提供信任輸入的裝置���,其中安全交易處理在安全協(xié)處理器本地執(zhí)行�����,且非安全交易處理在主機系統(tǒng)中執(zhí)行�����。
16.如權(quán)利要求15所述的系統(tǒng)�����,其特征在于���,所述接口包含用于約束主機訪問通過安全協(xié)處理器的數(shù)據(jù)的接口通信協(xié)議�����。
17.如權(quán)利要求16所述的系統(tǒng)�����,其特征在于�,所述系統(tǒng)還包含一個和安全協(xié)處理器相連用于與智能卡連接的智能卡接口��。
18.如權(quán)利要求17所述的系統(tǒng)�,其特征在于����,所述系統(tǒng)還包括一個和用于提供可視反饋和真實交易信息的安全協(xié)處理器相連的信任顯示器。
19.一種在主機中用于安全交易的系統(tǒng)�,包括一個安全協(xié)處理器,安全協(xié)處理器含處理器�����,與處理器相連的處理器支座;與處理器相連的顯示器接口��;用于接收信任輸入的第一接口裝置����,第一接口裝置連到處理器上,連到處理器上的智能卡接口裝置���,連到處理器上的存儲器����,連到處理器上的外部存儲器接口����,連到微處理器的加密單元,和連到處理器上的第二接口裝置����,與多個計算機系統(tǒng)連接的第二接口裝置;連接在安全協(xié)處理器和主機之間的接口�����,接口與第二接口裝置相連�����;通過第一接口裝置與安全協(xié)處理器相連的提供信任輸入的裝置;連到安全協(xié)處理器的智能卡接口裝置上的智能卡接口��,該智能卡接口用于安全協(xié)處理器和智能卡之間的連接����;以及連到安全協(xié)處理器的顯示器接口上的信任顯示器,提供可視反饋和真實交易信息����,其中,安全交易處理在安全協(xié)處理器本地執(zhí)行非安全交易處理在主機系統(tǒng)中進行��。
20.一種在主機進行安全交易的方法�����,該方法包括以下步驟a)提供一個安全協(xié)處理器�,和b)提供一個接口�����,用于將安全協(xié)處理器連到主機��,其中,安全交易處理在安全協(xié)處理器本地執(zhí)行�,非安全交易處理在主機系統(tǒng)內(nèi)執(zhí)行。
21.如權(quán)利要求20所述的方法����,其特征在于,所述接口包括一個接口通信協(xié)議����,用于約束主機訪問通過安全協(xié)處理器的數(shù)據(jù)。
22.如權(quán)利要求21所述的方法�,其特征在于,所述接口通信協(xié)議在一個應(yīng)用編程接口上實施����。
23.如權(quán)利要求21所述的方法,其特征在于����,所述方法進一步包括以下步驟c)提供耦合到安全協(xié)處理器用以提供信任輸入的裝置。
24.如權(quán)利要求23所述的方法�����,其特征在于����,所述方法進一步包括以下步驟d)提供一個和安全協(xié)處理器相連的第二接口�,用于從智能卡接收敏感數(shù)據(jù)��。
25.如權(quán)利要求24所述的方法�����,其特征在于�,所述方法進一步包括以下步驟e)提供一種和安全協(xié)處理器相連的信任顯示器,用于提供可視反饋和真實交易信息��。
26.如權(quán)利要求25所述的方法�����,其特征在于�,安全協(xié)處理器包括一個處理器;一個連到處理器的處理器支座�����;
一個連到處理器的顯示器接口��;用于和鍵盤和數(shù)字鍵盤之一連接的第一接口裝置����,第一接口裝置被連到處理器;連到處理器的智能卡接口�;連到處理器的存儲器;連到處理器的外部存儲器接口����;連到微處理器的加密單元;和與多個計算機系統(tǒng)連接的第二接口裝置���,第二接口裝置連到處理器上���。
27.如權(quán)利要求26所述的方法,其特征在于��,所述方法進一步包括以下步驟(f)通過處理器執(zhí)行交易應(yīng)用程序����,這里,交易程序響應(yīng)于通過防火墻傳播來自主機的通信����,交易應(yīng)用程序則在本地執(zhí)行安全交易處理。
28.如權(quán)利要求27所述的方法��,其特征在于,所述執(zhí)行步驟f)進一步包括步驟f1)響應(yīng)來自主機的通信指示一個安全模式����,其中,請求敏感數(shù)據(jù)的鍵盤輸入��。
29.如權(quán)利要求28所述的方法�����,其特征在于�����,所述處理器打開液晶顯示屏指示一個安全模式��。
30.如權(quán)利要求28所述的方法�,其特征在于,所述執(zhí)行步驟f)進一步包括步驟f2提供數(shù)據(jù)至信任顯示器���,以在敏感數(shù)據(jù)鍵盤輸入期間提供可視反饋并顯示真實交易信息����。
31.如權(quán)利要求30所述的方法�����,其特征在于��,所述執(zhí)行步驟f)進一步包括步驟f3)在加密單元中執(zhí)行敏感數(shù)據(jù)的加密����,以加密形式提供敏感數(shù)據(jù)。
32.如權(quán)利要求31所述的方法�,其特征在于,所述加密是對敏感數(shù)據(jù)的對稱或非對稱加密操作����。
33.如權(quán)利要求31所述的系統(tǒng),其特征在于���,所述執(zhí)行步驟f)進一步包括步驟f4)通過智能卡接口傳送信息到智能卡用于簽名�;f5)在帶私鑰的智能卡中簽署消息�;f6)提交消息到多個計算機系統(tǒng)之一,用于進一步傳送到一個交易方�。
34.如權(quán)利要求33所述的方法,其特征在于�����,所述執(zhí)行步驟f)進一步包括步驟f7)創(chuàng)建一個帶預(yù)驗證的證書緩存和指示屬于消息源的身份的合法證書,這里����,證書緩存包含在存儲器或外部存儲器中,外部存儲器通過外部存儲器接口連到處理器����。
35.如權(quán)利要求34所述的方法,其特征在于�����,所述證書緩存創(chuàng)建步驟f7)進一步包括步驟f7a)確定證書是否作為一個預(yù)驗證的證書存在于證書緩存之中��;f7b)如果證書不存在于證書緩存中�,確定證書中的發(fā)行者證書是否存在于證書緩存中。
f7c)如果發(fā)行者證書存在于證書緩存中且證書不存在于證書緩存中�,驗證發(fā)行者證書的合法性。
f7d)如果發(fā)行者證書非法則拒絕此消息��;f7e)等待一個新的證書��。
36.如權(quán)利要求34所述的方法�,其特征在于,所述證書緩存創(chuàng)建步驟f7)進一步包括步驟f7a)決定證書是否作為一個預(yù)驗證的證書存在于證書緩存之中;f7b)如果證書不存在于證書緩存中��,確定證書中的發(fā)行者證書是否存在于證書緩存中����。
f7c)如果發(fā)行者證書存在于證書緩存中且證書不存在于證書緩存中�����,驗證證書發(fā)行者的合法性�。
7fd)如果證書不存在于證書緩存中且發(fā)行者證書合法,驗證證書延伸的合法性�。
f7e)如果證書延伸合法,發(fā)行者證書合法����,且證書不存在于證書緩存中,在證書緩存中存貯證書���;f7f)等待一個新的證書�����。
37.如權(quán)利要求34所述的方法�����,其特征在于�,證書緩存創(chuàng)存步驟f7)進一步包括步驟f7a)確定證書是否作為一個預(yù)驗證證書存在于證書緩存之中;f7d)如果證書存在于證書緩存中��,驗證證書延伸的合法性����;f7e)如果證書延遲合法且證書存在于證書緩存中,存貯證書在證書緩存中���;f7f)等待一個新的證書��。
38.如權(quán)利要求34所述的方法�,其特征在于�,所述執(zhí)行步驟f)進一步包括步驟f8)處理供給安全協(xié)處理器的第一生物統(tǒng)計學(xué)數(shù)據(jù)和駐留在智能卡上的第二生物統(tǒng)計學(xué)數(shù)據(jù),其中��,第一生物統(tǒng)計學(xué)數(shù)據(jù)可與第二生物統(tǒng)計學(xué)數(shù)據(jù)對比來驗證��。
39.一種計算機可讀媒體�,包括用于安全加密和授權(quán)交易的程序指令,程序指令通過安全協(xié)處理器執(zhí)行�,安全協(xié)處理器通過一個含防火墻的主機接口與主機通信����,防火墻有由接口通信協(xié)議實施的功能����,用于約束主機訪問通過安全協(xié)處理器的數(shù)據(jù),程序指令用于a)指示一個安全模式響應(yīng)來自主機的通信��,其中�,請求敏感數(shù)據(jù)的鍵盤輸入���;b)提供數(shù)據(jù)到信任顯示器����,以在敏感數(shù)據(jù)的鍵盤輸入期間提供一個可視反饋和用來顯示真實交易信息����;c)在安全協(xié)處理器的加密單元中執(zhí)行對敏感數(shù)據(jù)的加密以加密形式提供敏感數(shù)據(jù)。
d)計算一個消息的散列�����,以形成用于簽名的機制�����;e)傳送散列到用于簽名的智能卡;f)簽署消息在帶私鑰智能卡中���;g)提交消息到主機����,用于進一步傳送給交易方��;以及h)創(chuàng)建一個帶預(yù)驗證的證書緩存和指示屬于消息源的身份的合法證書���,此消息由安全協(xié)處理器接收��,其中���,安全交易處理在安全協(xié)處理器本地執(zhí)行,非安全交易處理在主機內(nèi)執(zhí)行�。
權(quán)利要求
1.一種在主機中用于安全交易的系統(tǒng),包括一個安全協(xié)處理器��,安全協(xié)處理器與主機連接的接口�,其中,安全交易處理在安全協(xié)處理器本地執(zhí)行��,并且非安全交易處理在主機系統(tǒng)中執(zhí)行。
2.如權(quán)利要求1所述的系統(tǒng)����,其特征在于,所述接口包括一個接口通信協(xié)議����,此協(xié)議用于約束主機訪問通過安全協(xié)處理器的數(shù)據(jù),這些數(shù)據(jù)含敏感數(shù)據(jù)���。
3.如權(quán)利要求2所述的系統(tǒng)�����,其特征在于,所述敏感數(shù)據(jù)包含個人數(shù)據(jù)和個人身份數(shù)據(jù)�����。
4.如權(quán)利要求3所述的系統(tǒng)�����,其特征在于���,所述接口通信協(xié)議實施于一個應(yīng)用編程接口中���。
5.如權(quán)利要求2所述的系統(tǒng)��,其特征在于��,所述系統(tǒng)還包括連到安全協(xié)處理器提供信任輸入的裝置��。
6.如權(quán)利要求5所述的系統(tǒng)�����,其特征在于���,所述信任輸入裝置包含鍵和數(shù)字鍵盤。
7.如權(quán)利要求6所述的系統(tǒng)�,其特征在于,所述信任輸入裝置包含一個安全模式指示器用來表示安全模式����,該指示器響應(yīng)來自主機的請求用于包含個人身份數(shù)據(jù)的敏感數(shù)據(jù)的鍵盤輸入。
8.如權(quán)利要求7所述的系統(tǒng)�,其特征在于,所述安全模式指示器包含一個液晶顯示器���。
9.如權(quán)利要求5所述的系統(tǒng)����,其特征在于,所述系統(tǒng)還包含一個與安全協(xié)處理器相連的智能卡接口����,智能卡接口與智能卡連接,該智能卡包含個人數(shù)據(jù)和私鑰���。
10.如權(quán)利要求9所述的系統(tǒng)��,其特征在于�����,所述系統(tǒng)還包含一個與安全協(xié)處理器相連的信任顯示器,用于提供可視的反饋和真實交易信息��。
11.如權(quán)利要求10所述的系統(tǒng)�����,其特征在于���,所述安全協(xié)處理器包括一個微處理器�����;與微處理器相連的微處理器支座���;一個與微處理器相連的顯示器接口�,該顯示接口用于提供可視的反饋和真實交易信息到信任顯示����;連接在微處理器和信任輸入裝置之間的第一裝置;連接在微處理器和智能卡接口之間的第二裝置���;與微處理器相連的存儲器���;與微處理器相連的外部存儲器接口,外部存儲器接口用以與外部存儲器連接��;與微處理器相連的加密控制器單元���,加密控制器單元用于以加密形式提供數(shù)據(jù)�;連接在微處理器和多個計算機系統(tǒng)之間的第三裝置��。
12.如權(quán)利要求11所述的系統(tǒng),其特征在于��,有一個雙層存儲器含存儲器和外部存儲器��,存儲器用于存貯一個交易應(yīng)用程序和包含敏感數(shù)據(jù)的數(shù)據(jù)��,而外部存儲器用于存貯臨時變量和證書緩存��。
13.如權(quán)利要求11所述的系統(tǒng)�����,其特征在于����,所述加密單元執(zhí)行敏感數(shù)據(jù)的非對稱或?qū)ΨQ加密,以加密形式提供敏感數(shù)據(jù)����。
14.如權(quán)利要求13所述的系統(tǒng),其特征在于����,所述加密形式的敏感數(shù)據(jù)被包上非加密非敏感數(shù)據(jù)中以形成一個消息����,在這里消息用私鑰簽署在智能卡中�,然后提交給多個計算機系統(tǒng)之一���,用于進一步傳送給一個交易方����。
15.一種在主機中用于安全交易的系統(tǒng)���,包含一個安全協(xié)處理器���;用于將安全協(xié)處理器與主機連接的接口,與安全協(xié)處理器相連用于提供信任輸入的裝置�����,其中安全交易處理在安全協(xié)處理器本地執(zhí)行�����,且非安全交易處理在主機系統(tǒng)中執(zhí)行���。
16.如權(quán)利要求15所述的系統(tǒng)�����,其特征在于�����,所述接口包含用于約束主機訪問通過安全協(xié)處理器的數(shù)據(jù)的接口通信協(xié)議��。
17.如權(quán)利要求16所述的系統(tǒng)��,其特征在于����,所述系統(tǒng)還包含一個和安全協(xié)處理器相連用于與智能卡連接的智能卡接口。
18.如權(quán)利要求17所述的系統(tǒng)���,其特征在于���,所述系統(tǒng)還包括一個和用于提供可視反饋和真實交易信息的安全協(xié)處理器相連的信任顯示器。
19.一種在主機中用于安全交易的系統(tǒng)����,包括一個安全協(xié)處理器���,安全協(xié)處理器含處理器��,與處理器相連的處理器支座�;與處理器相連的顯示器接口;用于接收信任輸入的第一接口裝置��,第一接口裝置連到處理器上���,連到處理器上的智能卡接口裝置��,連到處理器上的存儲器��,連到處理器上的外部存儲器接口�,連到微處理器的加密單元����,和連到處理器上的第二接口裝置,與多個計算機系統(tǒng)連接的第二接口裝置��;連接在安全協(xié)處理器和主機之間的接口��,接口與第二接口裝置相連�;通過第一接口裝置與安全協(xié)處理器相連的提供信任輸入的裝置����;連到安全協(xié)處理器的智能卡接口裝置上的智能卡接口��,該智能卡接口用于安全協(xié)處理器和智能卡之間的連接��;以及連到安全協(xié)處理器的顯示器接口上的信任顯示器���,提供可視反饋和真實交易信息��,其中��,安全交易處理在安全協(xié)處理器本地執(zhí)行非安全交易處理在主機系統(tǒng)中進行����。
20.一種在主機進行安全交易的方法�����,該方法包括以下步驟a)提供一個安全協(xié)處理器�,和b)提供一個接口,用于將安全協(xié)處理器連到主機����,其中�,安全交易處理在安全協(xié)處理器本地執(zhí)行����,非安全交易處理在主機系統(tǒng)內(nèi)執(zhí)行。
21.如權(quán)利要求20所述的方法��,其特征在于���,所述接口包括一個接口通信協(xié)議,用于約束主機訪問通過安全協(xié)處理器的數(shù)據(jù)��。
22.如權(quán)利要求21所述的方法�����,其特征在于����,所述接口通信協(xié)議在一個應(yīng)用編程接口上實施。
23.如權(quán)利要求21所述的方法��,其特征在于�����,所述方法進一步包括以下步驟d)提供一個和安全協(xié)處理器相連的第二接口,用于從智能卡接收敏感數(shù)據(jù)��。
25.如權(quán)利要求24所述的方法�����,其特征在于���,所述方法進一步包括以下步驟e)提供一種和安全協(xié)處理器相連的信任顯示器���,用于提供可視反饋和真實交易信息。
26.如權(quán)利要求25所述的方法��,其特征在于���,安全協(xié)處理器包括一個處理器��;一個連到處理器的處理器支座�����;一個連到處理器的顯示器接口���;用于和鍵盤和數(shù)字鍵盤之一連接的第一接口裝置��,第一接口裝置被連到處理器���;連到處理器的智能卡接口;連到處理器的存儲器��;連到處理器的外部存儲器接口�����;連到微處理器的加密單元����;和與多個計算機系統(tǒng)連接的第二接口裝置�����,第二接口裝置連到處理器上��。
27.如權(quán)利要求26所述的方法����,其特征在于,所述方法進一步包括以下步驟(f)通過處理器執(zhí)行交易應(yīng)用程序���,這里�,交易程序響應(yīng)于通過防火墻傳播來自主機的通信,交易應(yīng)用程序則在本地執(zhí)行安全交易處理�����。
28.如權(quán)利要求27所述的方法�,其特征在于,所述執(zhí)行步驟f)進一步包括步驟f1)響應(yīng)來自主機的通信指示一個安全模式�����,其中��,請求敏感數(shù)據(jù)的鍵盤輸入��。
29.如權(quán)利要求28所述的方法�����,其特征在于����,所述處理器打開液晶顯示屏指示一個安全模式。
30.如權(quán)利要求28所述的方法,其特征在于����,所述執(zhí)行步驟f)進一步包括步驟f2提供數(shù)據(jù)至信任顯示器,以在敏感數(shù)據(jù)鍵盤輸入期間提供可視反饋并顯示真實交易信息�����。
31.如權(quán)利要求30所述的方法���,其特征在于�,所述執(zhí)行步驟f)進一步包括步驟f3)在加密單元中執(zhí)行敏感數(shù)據(jù)的加密�����,以加密形式提供敏感數(shù)據(jù)�����。
32.如權(quán)利要求31所述的方法��,其特征在于�,所述加密是對敏感數(shù)據(jù)的對稱或非對稱加密操作�����。
33.如權(quán)利要求31所述的系統(tǒng),其特征在于����,所述執(zhí)行步驟f)進一步包括步驟f4)通過智能卡接口傳送信息到智能卡用于簽名;f5)在帶私鑰的智能卡中簽署消息�;f6)提交消息到多個計算機系統(tǒng)之一,用于進一步傳送到一個交易方��。
34.如權(quán)利要求33所述的方法�,其特征在于,所述執(zhí)行步驟f)進一步包括步驟f7)創(chuàng)建一個帶預(yù)驗證的證書緩存和指示屬于消息源的身份的合法證書�,這里,證書緩存包含在存儲器或外部存儲器中�����,外部存儲器通過外部存儲器接口連到處理器�����。
35.如權(quán)利要求34所述的方法�����,其特征在于,所述證書緩存創(chuàng)建步驟f7)進一步包括步驟f7a)確定證書是否作為一個預(yù)驗證的證書存在于證書緩存之中�����;f7b)如果證書不存在于證書緩存中�,確定證書中的發(fā)行者證書是否存在于證書緩存中。f7c)如果發(fā)行者證書存在于證書緩存中且證書不存在于證書緩存中�,驗證發(fā)行者證書的合法性。f7d)如果發(fā)行者證書非法則拒絕此消息����;f7e)等待一個新的證書。
36.如權(quán)利要求34所述的方法���,其特征在于�,所述證書緩存創(chuàng)建步驟f7)進一步包括步驟f7a)決定證書是否作為一個預(yù)驗證的證書存在于證書緩存之中�;f7b)如果證書不存在于證書緩存中,確定證書中的發(fā)行者證書是否存在于證書緩存中�����。f7c)如果發(fā)行者證書存在于證書緩存中且證書不存在于證書緩存中�,驗證證書發(fā)行者的合法性�����。7fd)如果證書不存在于證書緩存中且發(fā)行者證書合法,驗證證書延伸的合法性����。f7e)如果證書延伸合法,發(fā)行者證書合法�,且證書不存在于證書緩存中,在證書緩存中存貯證書��;f7f)等待一個新的證書���。
37.如權(quán)利要求34所述的方法�����,其特征在于��,證書緩存創(chuàng)存步驟f7)進一步包括步驟f7a)確定證書是否作為一個預(yù)驗證證書存在于證書緩存之中��;f7d)如果證書存在于證書緩存中�,驗證證書延伸的合法性�����;f7e)如果證書延遲合法且證書存在于證書緩存中,存貯證書在證書緩存中�����;f7f)等待一個新的證書�。
38.如權(quán)利要求34所述的方法,其特征在于�,所述執(zhí)行步驟f)進一步包括步驟f8)處理供給安全協(xié)處理器的第一生物統(tǒng)計學(xué)數(shù)據(jù)和駐留在智能卡上的第二生物統(tǒng)計學(xué)數(shù)據(jù),其中��,第一生物統(tǒng)計學(xué)數(shù)據(jù)可與第二生物統(tǒng)計學(xué)數(shù)據(jù)對比來驗證����。
39.一種計算機可讀媒體,包括用于安全加密和授權(quán)交易的程序指令���,程序指令通過安全協(xié)處理器執(zhí)行���,安全協(xié)處理器通過一個含防火墻的主機接口與主機通信,防火墻有由接口通信協(xié)議實施的功能��,用于約束主機訪問通過安全協(xié)處理器的數(shù)據(jù)����,程序指令用于a)指示一個安全模式響應(yīng)來自主機的通信,其中��,請求敏感數(shù)據(jù)的鍵盤輸入�����;b)提供數(shù)據(jù)到信任顯示器��,以在敏感數(shù)據(jù)的鍵盤輸入期間提供一個可視反饋和用來顯示真實交易信息�����;c)在安全協(xié)處理器的加密單元中執(zhí)行對敏感數(shù)據(jù)的加密以加密形式提供敏感數(shù)據(jù)���。d)計算一個消息的散列�����,以形成用于簽名的機制��;e)傳送散列到用于簽名的智能卡��;f)簽署消息在帶私鑰智能卡中�;g)提交消息到主機��,用于進一步傳送給交易方;以及h)創(chuàng)建一個帶預(yù)驗證的證書緩存和指示屬于消息源的身份的合法證書���,此消息由安全協(xié)處理器接收����,其中�,安全交易處理在安全協(xié)處理器本地執(zhí)行,非安全交易處理在主機內(nèi)執(zhí)行�。
全文摘要
一個系統(tǒng),其中,安全的交易過程在它的安全協(xié)處理器(122)本地處理,非安全交易過程在主機系統(tǒng)(114)上處理。系統(tǒng)進一步包括連到安全協(xié)處理器(122)提供信任輸入(130)的裝置����。此外,系統(tǒng)還包括與安全協(xié)處理器(122)相連用于從智能卡(126)上接收敏感數(shù)據(jù)的第二個接口(124)和與安全協(xié)處理器(122)相連用于提供真實交易信息的信任顯示器(128)。優(yōu)點包括:保護交易避免非授權(quán)的入侵;不能拒絕參與的交易;保持與智能卡技術(shù)的兼容性;由于協(xié)處理器有相當(dāng)多的功能,智能卡成本與復(fù)雜性將降低,智能卡從而僅需要有存儲敏感數(shù)據(jù)的內(nèi)置功能,它包含提供數(shù)字簽名證實參與的帳號和私鑰��。智能卡也可攜帶生物統(tǒng)計學(xué)數(shù)據(jù)��。
文檔編號G06Q20/00GK1302406SQ99806523
公開日2001年7月4日 申請日期1999年5月13日 優(yōu)先權(quán)日1998年5月22日
發(fā)明者L·S·韋伊, G·P·瓦爾德, R·A·韋斯, E·A·默里 申請人:波系統(tǒng)股份有限公司