專利名稱:具有鏈接安全和非安全環(huán)境的兩個i/o端口的智能卡的制作方法
技術領域:
本發(fā)明涉及便攜式對象領域,更具體地說,涉及允許執(zhí)行安全操作的智能卡領域。
本發(fā)明可應用于包括嵌入了幾個輸入/輸出通道(例如,IO1+IO2)(IO為輸入/輸出)的智能卡的應用。
背景技術:
帶有集成電路也被稱為智能卡的卡是包含一個或多個嵌入式集成電路的小塑料裝置。帶有集成電路的卡可以是例如存儲卡或也被稱為微處理器芯片卡的微處理器卡。智能卡由具有智能卡被插入其中的開孔或槽等的卡讀取器進行訪問。智能卡讀取器包括用于接收智能卡或與智能卡連接并與其工作(讀取、寫、刪除、和/或每一可能的操作)的每種裝置。智能卡讀取器可以是計算機的部分或者被鏈接到計算機、pin板等。本發(fā)明包括智能卡,但也包括設置有集成電路、允許與至少一個便攜式對象接收裝置工作或交互的每種便攜式對象,在隨后描述的實施例中,本發(fā)明包括設置有至少一種集成電路的便攜式對象,該集成電路被設計以提供諸如認證、確認有效性、加密/解密、安全存儲......的安全功能。便攜式對象接收裝置可具有設置有用于接收便攜式對象的開孔或槽的外殼的形式,還具有允許便攜式對象被連接到便攜式對象接收裝置的任何形式。
由本申請人于2000年3月17日提交的WO00/56007專利中描述的本發(fā)明包括驗證消息簽名。在所述專利中,智能卡接收消息和來自個人計算機(PC)的對應證書,驗證該證書并至少將驗證的結果信息發(fā)送到顯示裝置以檢查該證書。相同的原理適用于消息和簽名。
當用戶已檢查了證書、消息或簽名時,他按下按鈕或輸入密碼,該密碼通過被連接到非安全環(huán)境的卡的輸入/輸出部分(I1/O1)被發(fā)送到卡。因此,可改動卡被插入其中的外殼以盜取密碼或數據或者將其經過互聯網發(fā)送或者將偽造的接受發(fā)送到卡。
在由例如可能是開放或不可信的個人計算機(PC)的處理數據單元構成的不安全環(huán)境下,存在許多種需要信息(個人身份號(PIN)、有效性承認、機密數據......)的安全輸入并可由智能卡或任何其它安全組件控制的安全操作。然而,因為PC不是可信的環(huán)境其構成開放式系統,所以由智能卡帶來的所有安全可能是無用的例如,互聯網提供許多用例,在這些用例中,例如,當購買一些商品或稍后的在線頁面(報紙、數據庫搜索......)時,用戶必須執(zhí)行一些在線驗證。當驗證于用戶的責任時,應該才取一些預防措施。在這樣的情況下,問題總是如何確定我們正在驗證的數據真的是我們料想的那個。
也可要求輸入個人身份號(PIN),其當通過PC鍵盤執(zhí)行時引起PIN在所述PC中被盜取的風險。
這些擔心與電子簽名問題具有相同的起因。特洛伊木馬病毒可執(zhí)行在計算機中的一些內部改變,使得你驗證不真的是你想的那個的數據,或者該病毒當用戶輸入PIN時可能盜取它。
發(fā)明內容
本發(fā)明包括提供智能和安全的網關,其構成封閉、安全和受控制的環(huán)境,諸如帶有至少兩個輸入/輸出部分的智能卡,一個專門用于向非安全環(huán)境發(fā)送數據和從非安全環(huán)境接收數據,另一個專門用于向安全環(huán)境(銷售pin板、ATM、私人pin板、安全網絡的場所)發(fā)送數據和從安全環(huán)境接收數據以執(zhí)行需要安全控制的操作,諸如驗證交易、檢查簽名、加密或解密......
給定無限制的示例并參考附圖,讀取下面的根據本發(fā)明的方法的實現的描述以及為該實現設計的便攜式對象的實現的方式的描述,本發(fā)明的其它目的、特點和優(yōu)點將會顯現,其中圖1是在諸如智能卡的便攜式對象中整合的電子單元的實現的示例的示意圖;圖2是被設計以實現根據本發(fā)明的方法的智能卡的無限制方式的實現的示意圖;圖3是使用根據本發(fā)明的智能卡的實際示例的示意圖;和圖4是使用根據本發(fā)明的智能卡的另一實際示例的示意圖。
具體實施例方式
本發(fā)明屬于便攜式對象1的領域,該便攜式對象1設置有至少一個存儲器裝置和能夠將所述便攜式對象連接到至少一個對象接收裝置的連接器,便攜式對象能夠與該對象接收裝置工作或交互。
根據本發(fā)明的方法通過使用構成在所述非安全環(huán)境和安全環(huán)境之間的智能和安全網關的便攜式對象,允許執(zhí)行在非安全環(huán)境下執(zhí)行安全操作。
在圖1顯示的本發(fā)明的具體實施例中,便攜式對象1是帶有集成電子單元2的智能卡,電子單元2包括至少一個微處理器CPU 3,該CPU3經由內部總線5與非易失性存儲器7、易失性存儲器11以及用于與外部通信的輸入/輸出裝置雙向連接,所述非易失性存儲器7是ROM、EEPROM、閃存、鐵電存儲器等類型的并至少存儲將被執(zhí)行的程序,所述易失性存儲器11是RAM類型的。單元2可包括額外的未顯示的連接到內部總線的組件。這種類型的單元一般被制造為單片集成電子電路或芯片,其一旦被任何已知的裝置物理地保護就可以被裝配在用于各種領域的集成電路卡或類似物上,諸如銀行和/或電子支付卡,移動無線電電話、付費電視、健康和交通。集成在卡的層中的芯片被連接到這樣的模塊,該模塊包括入圖2所示的卡的表面上的一套扁平連接器。
下面是本發(fā)明的原理如圖2所示,便攜式對象1構成帶有至少兩個輸入/輸出部分17和18(I/O1、I/O2)的安全和受控制的環(huán)境。
一個I/O(或多個I/O),即非安全I/O被專門用于支持與非安全或不受控制的環(huán)境(即,用戶不可不加限制地對其依賴的環(huán)境,諸如PC或POS裝置)的交換。
另一個I/O被連接到用戶對其依賴的環(huán)境(例如,個人pin板)。來自用戶的執(zhí)行安全操作所需要的所有信息被通過安全輸入/輸出發(fā)送到便攜式對象。
因此,知道不應使用非安全環(huán)境的用戶將把鍵盤連接到與安全環(huán)境相連接的安全I/O以發(fā)送機密數據。如果數據是PIN,則他將把專用鍵盤連接到安全I/O。
術語“連接的”具有非常寬的意思“連接的”指的是連接的裝置以使它們能彼此發(fā)送信息的方式被鏈接。這些裝置可通過許多類型的連接(電線、無線電、......)被連接。
這里隨后將參照圖3描述本發(fā)明的實施例的示例。
一個用戶有張支付卡。他從家里使用其PC在互聯網上用支付卡夠買商品或服務。該卡通過僅由電線制成的卡接收裝置19被直接連接到USB(通用串行總線)PC主機。該卡接收裝置19與USB標準兼容并被PC識別。智能卡應用要求為支付提供PIN。為了避免用戶在PC鍵盤上鍵入其PIN,第二套連接器20專門用于與裝備有足夠鍵盤和顯示器的PIN板21的連接。
因為病毒可執(zhí)行用戶看不見的、包括針對智能卡的有害行為,所以PC是非安全環(huán)境。
用戶想要在互聯網上執(zhí)行交易,這里為夠買商品或服務。他將其計算機連接到商家站點。在選擇了他想要的商品或服務后,用戶為了支付而在該互聯網站點結帳。在驗證了其夠買列表后,用戶被請求將他的支付卡插入他的讀取器。用戶將他的卡首先插入USB側。通過卡的非安全I/O1在卡和PC之間建立通信通道。由于互聯網站點可透明地訪問該卡,所以互聯網站點可驗證該卡。讀取卡中的數據(例如,應用參考)允許檢測出卡需要個人PIN板來完成通過互聯網的支付。要求用戶連接個人PIN板的一個消息被顯示。
用戶將卡連接到其個人PIN板。該第二通信通道通過安全的卡的I/O2來流通。通過將VCC和GND連接器中繼到PIN板側(線被包裹在卡的塑料體中),PC對個人PIN板供電。
非安全I/O1專門用于USB通信。安全I/O2與具體的PIN板協議兼容。所述卡搜索個人PIN板。
PC在支付會話中進入,并從互聯網站點接收必要的交易數據(價格、商品/服務列表、物品參考、銀行機構名稱......)。它們被顯示在屏幕上,請求用戶來確認該支付會話。
用戶通過在其個人PIN板上按鍵來確認或取消交易。鍵的按下通過智能卡被中繼到PC,該智能卡從安全I/O2接收鍵的按下并將其通過非安全I/O1發(fā)送。這允許驗證個人PIN板正確地進行。同時,卡將繼續(xù)該交易所需要的數據發(fā)送到主機(建立會話密鑰的隨機數、密碼學密鑰參考、認證數據......)。
為了完成交易,卡需要提供所有者的PIN。它等待來自安全I/O2的PIN以防止被連接到非安全環(huán)境的非安全I/O1的盜取。
因此,卡、PIN板和PC進入PIN輸入會話。
用戶每次按下數字鍵,卡在其存儲器中存儲數字鍵的值,并向PC發(fā)送“*”(星字符)。使用相同的原理處理整個PIN輸入會話。在結尾時,用戶驗證或取消通過按下專用鍵而得到的PIN。
如果PIN被證實有效則驗證該PIN。假定PIN值是正確的,那么卡繼續(xù)該交易。否則,交易被取消。
根據實施例的另一示例,如果文檔必須簽名發(fā)送,則在可信的環(huán)境下準備它,并將其發(fā)送到簽署其(并且可能對其加密)的安全網關。然后,它被提供給連接的PC以經由電子郵件或任何其它方式發(fā)送。
嵌入在網關中的基本密碼學功能至少確保數據的簽名和加密/解密,但是應該被擴展到所有密碼學功能,諸如認證、隱私、認可、重演防止、數據標簽......
取決于要求,可信環(huán)境可能由可信的PC或PC的網絡等構成。最重要的是除了通過安全網關,禁止對這樣的網絡的任何訪問。
根據圖4示出的實施例的另一示例,具有簽名的文檔按路徑20驗證,而文檔按路徑30簽名。
假定智能卡是非常安全的環(huán)境,那么孤立PC或非常受控制的PC網絡可被認為是“安全區(qū)”?!鞍踩珔^(qū)”不像智能卡那么安全,但是可以假定它是可信的工作環(huán)境。
結果,我們可定義安全的三種不同的等級·等級0可連接到互聯網的任何標準PC,其沒有準備用于特定的安全任務(例如桌面或膝上PC)·等級1特別設計以執(zhí)行一些要求專用安全等級的PC或PC的網絡。這樣的計算機沒有使用通常的方式被連接到外部世界,并不可具有軟盤、CD或DVD讀取器/播放器(即,輸入和輸出應完全在控制下)。它還應被放置在安全的辦公室中以控制其訪問(即,物理訪問控制)·等級2這里代表最高安全等級的智能卡或等同物,由于這種考慮貫徹從其生命期的開始到結束。這還包括軟件和硬件開發(fā)、個性化考慮、安全鎖、......
要記住的重要要素是安全等級0環(huán)境不能被用于對文檔簽名或驗證。這是非安全環(huán)境。
安全等級1環(huán)境對于對文檔簽名或驗證不夠安全。需要要來執(zhí)行簽名的密碼學密鑰也是敏感數據。另外,等級1對于編輯、顯示或打印要簽名或要驗證的文檔應該足夠了。這是可信的環(huán)境。
安全等級2環(huán)境是特別設計來處理諸如密碼學密鑰的敏感數據的。其在安全環(huán)境中被設計、加載、升級和個性化。從其構思到其生命期結束,它服從于安全政策。這是安全環(huán)境。
智能卡確保非安全和可信安全環(huán)境之間的安全網關功能。足夠的協議(例如,ber tlv)允許檢測保護的數據(使用密碼學方式)。如果智能卡接收的數據未被封印,則其被拒絕。假定智能卡和電子裝置沒有足夠的存儲器來存儲完整的文檔,那么數據被發(fā)送到安全等級1環(huán)境,在那里數據被暫時存儲(特定轉變區(qū)域)。當接收到所有數據并且如果密碼學驗證成功時,智能卡在電子裝置顯示器上顯示哈希計算的結果。同時,放置在安全等級1環(huán)境中的PC執(zhí)行相同的計算并顯示結果。用戶比較兩個顯示的哈希計算結果。如果它們相等,那么它通過按下電子裝置上的按鈕來驗證其有效性。從電子裝置接收確認,安全PC將數據從暫時的存儲位置移動到工作位置以使用該數據。
以另一種方式,如果數據打算被簽名,則其通過電子裝置(從等級1安全環(huán)境)被發(fā)送到智能卡。存在本發(fā)明的許多其它類型的應用,例如,存在這樣的應用,即,在其中,智能卡設置有多于兩個輸入/輸出部分以從不同安全等級的環(huán)境的不同裝置部分接收信息。
權利要求
1.用于執(zhí)行需要輸入安全信息的安全操作的系統,該系統包括連接到便攜式對象(1)的處理數據單元(PC、......)、連接到裝置(21)的便攜式對象,該系統的特征在于,所述便攜式對象包括至少兩個物理上不同的輸入/輸出部分(17、18),它們分別被分配與處理數據單元和所述裝置連接以使所述裝置通過所分配的輸入/輸出部分將所述安全信息發(fā)送到便攜式對象。
2.根據權利要求1的系統,其特征在于,在便攜式對象和處理數據單元以及在便攜式對象和所述裝置之間的數據傳播之間唯一的邏輯鏈路是便攜式對象的軟件。
3.用于執(zhí)行需要輸入安全信息的安全操作的便攜式對象,其旨在與處理數據單元(PC、......)以及裝置(21)連接,其特征在于,所述便攜式對象包括至少兩個物理上不同的輸入/輸出部分(17、18),它們分別被分配與處理數據單元和所述裝置連接以使所述裝置通過所分配的輸入/輸出部分將所述安全信息發(fā)送到便攜式對象。
4.根據權利要求3的便攜式對象,其特征在于,便攜式對象是帶有集成電路的卡。
5.根據權利要求3或4的便攜式對象,其特征在于,在便攜式對象和處理數據單元以及在便攜式對象和所述裝置之間的數據傳播之間唯一的邏輯鏈路是便攜式對象的軟件。
6.被整合進根據權利要求3至5之一的便攜式對象的電子單元。
7.在包括連接到便攜式對象(1)的處理數據單元(PC、......)、連接到裝置(21)的便攜式對象的系統中執(zhí)行需要輸入安全信息的安全操作的方法,該方法的特征在于,其包括在所述便攜式對象中通過被分配與所述裝置連接的所述便攜式對象的一個輸入/輸出部分從所述裝置接收所述安全信息,該輸入/輸出部分在物理上與被分配與所述處理數據單元連接的所述便攜式對象的一個輸入/輸出部分不同。
8.根據權利要求7的方法,其特征在于,在便攜式對象和處理數據單元以及在便攜式對象和所述裝置之間的數據傳播之間唯一的邏輯鏈路是便攜式對象的軟件。
9.根據權利要求7或8中的方法的用于驗證信息的應用,包括當由所述處理數據單元給出的要驗證的信息是正確時在所述裝置中輸入安全信息,并且經過所述便攜式對象的分配的輸入/輸出部分來發(fā)送驗證的信息,來驗證信息。
10.一種包括程序代碼指令的計算機程序,當所述程序在數據處理系統中運行時,執(zhí)行根據權利要求7至8中的方法。
全文摘要
本發(fā)明涉及一種在包括連接到諸如智能卡的便攜式對象(1)的處理數據單元(PC、……)、連接到裝置(21)的便攜式對象(例如PIN板)的系統中用于執(zhí)行需要輸入安全信息(例如PIN)的安全操作的方法,該方法的特征在于,其包括在所述便攜式對象中通過被分配與所述裝置連接的所述便攜式對象的輸入/輸出部分從所述裝置接收所述安全信息,該輸入/輸出部分物理上與被分配與所述處理數據單元連接的所述便攜式對象的輸入/輸出部分(例如USB接口)不同。
文檔編號G06K7/00GK1806251SQ200480016346
公開日2006年7月19日 申請日期2004年6月8日 優(yōu)先權日2003年6月12日
發(fā)明者奧利維耶·杰弗瑞 申請人:艾斯奧托公司