專利名稱:數(shù)據(jù)處理設(shè)備�、電信終端設(shè)備和借助數(shù)據(jù)處理設(shè)備處理數(shù)據(jù)的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種數(shù)據(jù)處理設(shè)備、一種電信終端設(shè)備以及一種用于借助數(shù)據(jù)處理設(shè)備來處理數(shù)據(jù)的方法�����。
背景技術(shù):
不僅在固定網(wǎng)應(yīng)用中而且在移動應(yīng)用中�����,安全性方面尤其在數(shù)據(jù)傳輸和數(shù)據(jù)處理的范圍內(nèi)�、一般在兩個或多個電信終端設(shè)備之間的數(shù)據(jù)通信的范圍內(nèi)獲得越來越重大的意義。
對于電信系統(tǒng)的用戶來說�����,具有持續(xù)增長的意義的是����,保護(hù)其個人數(shù)據(jù),而不威脅其隱私和個人數(shù)據(jù)的保密���。在電子商務(wù)往來的范圍內(nèi)��,可靠地保護(hù)數(shù)據(jù)和公司財產(chǎn)組成部分以及與此有關(guān)的機(jī)密信息并且尤其是很安全地進(jìn)行遠(yuǎn)程訪問(Remote Access)以及能安全地進(jìn)行電子商務(wù)交易����,也是重要的�。
對計算機(jī)或計算機(jī)之間的通信的很多攻擊基于或利用尤其是所謂開放式操作系統(tǒng)所固有的弱點,尤其是在開放式操作系統(tǒng)中在安裝了該開放式操作系統(tǒng)的相應(yīng)計算機(jī)上執(zhí)行所下載的計算機(jī)程序(軟件)的可能性���。在這方面�����,尤其使具有這樣的計算機(jī)的設(shè)備受到威脅��,這些設(shè)備提供無線電接口并安裝了諸如Linux操作系統(tǒng)�����、Unix操作系統(tǒng)�����、Symbian操作系統(tǒng)�����、Windows操作系統(tǒng)或Java平臺的開放式操作系統(tǒng)�。
因為諸如計算機(jī)病毒、計算機(jī)蠕蟲或特洛伊木馬的惡意的�、即造成損害的計算機(jī)程序(以下也稱作有害的計算機(jī)程序)具有在電信網(wǎng)絡(luò)中很快傳播的潛能,所以具有顯著意義的是針對這樣的威脅采取適當(dāng)?shù)膶Σ摺?br>
在一個或多個用戶之間設(shè)置有金融電子交易的許多應(yīng)用計算機(jī)程序中��,普遍的是��,向用戶詢問其鑒權(quán)數(shù)據(jù)����、例如所謂的PIN碼(個人標(biāo)識號碼)、即明確標(biāo)識用戶的數(shù)字序列��。其典型的例子是移動無線電電信終端設(shè)備���,例如GSM移動無線電電話或UMTS移動無線電電話��,其中用戶將PIN碼輸入到電信終端設(shè)備中�����,并且其中所輸入的代碼與相應(yīng)的�、存儲在智能卡(在那里也稱作用戶身份識別模塊�����,SIM)上的值進(jìn)行比較并且當(dāng)所輸入的PIN碼與所存儲的代碼相一致時�����,該用戶才獲得對移動無線電電信終端設(shè)備的功能的訪問�����。在其它應(yīng)用計算機(jī)程序中���,可能必需的是提供所謂的WIM(無線身份識別模塊)���,以便在使用機(jī)密的加密密匙的情況下進(jìn)行加密操作。
一旦在處理器上����、換句話說在計算機(jī)上執(zhí)行安全相關(guān)的計算機(jī)程序���,就具有重大意義的是,保證在該平臺上����、即該處理器不執(zhí)行有害的計算機(jī)程序,其中這些有害的計算機(jī)程序竊聽例如在鑒權(quán)過程范圍內(nèi)�、一般在所提供的安全業(yè)務(wù)的范圍內(nèi)的數(shù)據(jù)。如果這不能被保證���,那么原來在使用鑒權(quán)數(shù)據(jù)的情況下才有權(quán)利進(jìn)行這樣的交易的用戶不必獲悉鑒權(quán)數(shù)據(jù)�����,就可借助有害的計算機(jī)程序在本身無意識的并且未經(jīng)授權(quán)的電子金融交易的范圍內(nèi)使用所竊聽的鑒權(quán)數(shù)據(jù)���。
一般地,上述問題可以以下面的方式來表達(dá)如何能在具有多個處理器的系統(tǒng)中實現(xiàn)安全的鑒權(quán)過程����,其中開放式操作系統(tǒng)被安裝在這些處理器中的至少一個中。
按照現(xiàn)有技術(shù)����,為此公開了不同的方法��。
一方面為了保證鑒權(quán)�,規(guī)定嚴(yán)格的軟件安裝安全策略�,由此減小下載有害計算機(jī)程序的可能性。這種解決方案通常以所謂的計算機(jī)程序證書的使用為基礎(chǔ)����。只有被正確地數(shù)字簽名的計算機(jī)程序(應(yīng)用計算機(jī)程序)才允許安裝在系統(tǒng)上并由相應(yīng)的處理器來執(zhí)行���。這意味著��,該系統(tǒng)必須能夠通過相應(yīng)的計算機(jī)程序來驗證該數(shù)字簽名并檢查屬于該計算機(jī)程序的軟件證書的有效性��。這種方法的缺點尤其是所應(yīng)用的安全模型的復(fù)雜性��。在認(rèn)證過程中有大量不同的����、對于用戶來說不能識別的實體參與�。最后這可能導(dǎo)致,在決定是否信任相應(yīng)的軟件證書并因此信任相應(yīng)的計算機(jī)程序方面苛求該用戶���。
按照另一種方法�����,為了保護(hù)計算機(jī)不受有害的計算機(jī)程序損害����,使用所謂的反病毒軟件,即使用識別有害的計算機(jī)程序并提供用于對抗有害的計算機(jī)程序的適當(dāng)對策的計算機(jī)程序���。在這種方案中嘗試識別已經(jīng)被下載到系統(tǒng)上的有害的計算機(jī)程序并且再次刪除這些有害的計算機(jī)程序����。這種方法尤其具有這樣的缺點�,即只能應(yīng)付已知的危害并因此只能應(yīng)付已知的有害的計算機(jī)程序。在有害的計算機(jī)程序還不為反病毒計算機(jī)程序所知的情況下�����,安裝有反病毒計算機(jī)程序的系統(tǒng)一直未被保護(hù)免受源于該有害的計算機(jī)程序的危害����,直到進(jìn)行了反病毒計算機(jī)程序的相應(yīng)的更新,在該反病毒計算機(jī)程序中例如包含有害的計算機(jī)程序的新的簽名�,并因此能識別這些有害的計算機(jī)程序并且接著能采取相應(yīng)的對策����。
總而言之�,按照上述兩種方法不能立即保證,下載到計算機(jī)上的軟件不危及計算機(jī)系統(tǒng)安全��。
從[1]中公知了ARM微處理器的ARMV6架構(gòu)的被稱作“信賴域”的安全擴(kuò)展�。在那里以及在[4]中說明了,對于單個處理器來說��,該處理器從非安全相關(guān)的工作模式轉(zhuǎn)入安全工作模式�����,其中在安全工作模式中數(shù)據(jù)�����、例如密碼可被安全地輸入��、處理和顯示��。根據(jù)[1]和[4]����,大量指令是必要的,以便轉(zhuǎn)入安全工作模式或離開該安全工作模模式��。這導(dǎo)致在相應(yīng)計算機(jī)系統(tǒng)的數(shù)據(jù)處理速度方面的限制����。此外,在這些方法中需要在微處理器中設(shè)置特殊的對策���、例如去激活不安全的中斷�,以致在輸入或處理安全相關(guān)的數(shù)據(jù)期間不會離開安全工作模式����。為了輸入密碼或其它安全相關(guān)的數(shù)據(jù),必需保證��,應(yīng)用計算機(jī)程序能夠識別所按下的按鍵或?qū)ζ溥M(jìn)行訪問或者能夠操作所輸入的數(shù)據(jù)的顯示����,以便導(dǎo)致該用戶輸入其密碼,如在特洛伊木馬時情況就是如此���。由于這個原因��,必需的是��,數(shù)據(jù)輸入單元以及數(shù)據(jù)顯示單元工作在安全工作模式下���,以便保證完全在安全工作模式中的安全的數(shù)據(jù)輸入或數(shù)據(jù)輸出�。按照[1]和[4]��,不能在相同的顯示單元上���、尤其是在相同的屏幕上實現(xiàn)不安全的數(shù)據(jù)和安全相關(guān)的數(shù)據(jù)的混合���。由此,對于應(yīng)用計算機(jī)程序而言�����,只能有限地實現(xiàn)在顯示所輸入的數(shù)據(jù)的范圍內(nèi)當(dāng)將安全相關(guān)的數(shù)據(jù)輸入到計算機(jī)系統(tǒng)中時使用戶獲得“觀感(Look and Feel)”操作感覺���。此外,按照這些方法只能非常困難地并且在技術(shù)上昂貴地為該微處理器開發(fā)適當(dāng)?shù)闹袛嗵幚?���,以致實時要求高的任務(wù)在其執(zhí)行時不是例如通過在用戶側(cè)的數(shù)據(jù)輸入來阻斷。由于該原因��,僅提供安全工作模式是不夠的,而必需改善用于將數(shù)據(jù)輸入并輸出到計算機(jī)系統(tǒng)中的外圍設(shè)備的能力��。
為了在保持個人計算機(jī)之一的開放性和靈活性的情況下使個人計算機(jī)安全���,已建立了“可信計算組(Trusted Computing Group)”(TCG)����。該可信計算組關(guān)注所有安全解決方案的重要領(lǐng)域的規(guī)范�,尤其是如在[2]中所說明的被稱作“可信平臺模塊”(TPM)的硬件計算機(jī)芯片的規(guī)范。該可信平臺模塊是硬件設(shè)備���,借助該硬件設(shè)備提供用于存儲信息的來自加密層的安全地點并且借助該硬件設(shè)備此外提供一組加密操作��,該組加密操作在受保護(hù)的環(huán)境中執(zhí)行并且此外借助該組加密操作來存儲和報告完整測量(Integritaetsmetriken)�����??尚牌脚_模塊僅僅是計算機(jī)系統(tǒng)的所有安全解決方案的一部分����。目前,可靠的鍵盤和可靠的圖形顯示單元、例如具有改善的安全特征和相應(yīng)的芯片組的處理器不在其關(guān)注中�。此外,應(yīng)說明的是���,該可信計算組已關(guān)注于用于個人計算機(jī)的可信平臺模塊的規(guī)范���。但是,該可信計算組最近開始定義也用于移動無線電電信終端設(shè)備����、手持式計算機(jī)和服務(wù)器計算機(jī)的可信平臺模塊,例如可從[3]中得知����。
此外,從[4]中公開了安全工作模式的顯示�,例用該安全工作模式通知計算機(jī)系統(tǒng)的用戶該計算機(jī)處于安全工作模式中。那里的安全顯示器是發(fā)光二極管�,但是該發(fā)光二極管可能被用戶忽視。
描述了一種用于提供可靠的用戶接口的系統(tǒng)����。按照這種系統(tǒng)設(shè)置可靠的數(shù)據(jù)顯示處理器���,其中該可靠的處理器和可靠的存儲器在物理上和功能上與原來的計算機(jī)系統(tǒng)的處理器和存儲器分離�。
此外,從[6]中公開了計算機(jī)支持的游戲控制臺����,其中安全控制器執(zhí)行游戲計算機(jī)程序并且將數(shù)據(jù)顯示指令流傳送給數(shù)據(jù)顯示引擎,該數(shù)據(jù)顯示引擎于是在其側(cè)借助視頻輸出信號產(chǎn)生游戲的視頻顯示����。該視頻輸出信號被傳輸給安全控制器內(nèi)的視頻多路復(fù)用器。該視頻多路復(fù)用器在控制輸出選擇功能的情況下在游戲視頻輸出和音頻(Audit)工作模式視頻輸出之間進(jìn)行選擇��。該輸出選擇功能由安全控制器控制�����??墒牵鶕?jù)[6]����,不能在數(shù)據(jù)顯示、即向用戶輸出視頻的范圍內(nèi)分配不同領(lǐng)域中的視頻輸出���,其中所分配的數(shù)據(jù)流可由不同的源來控制����。
描述了一種用于在使用圖形用戶接口的情況下借助鍵盤安全地輸入數(shù)據(jù)的裝置,其中通過移動光標(biāo)并且借助計算機(jī)鼠標(biāo)���、觸摸敏感的屏幕或其它適合于此的設(shè)備來選擇圖形用戶接口顯示上的字符或符號���,用戶輸入安全代碼。在每個新的選擇之后���,在屏幕上重新布置圖形用戶接口的符號和字符��,以致即使對于在由用戶輸入安全代碼時檢測屏幕上的光標(biāo)移動的情況�,也不能重建安全代碼的輸入��。
在[8]中所描述的系統(tǒng)中��,可靠的數(shù)據(jù)輸入單元與協(xié)處理器耦合�,并且不可靠的鍵盤具有用于顯示安全工作模式的安全信息顯示器。
描述了一種用于將密碼輸入到移動無線電電信終端設(shè)備中的方法����。在這種方法中,在密碼字符表中尋找確定的字符��,這些字符對應(yīng)于所計算數(shù)量的特定字符鍵的說明���。
描述了一種具有芯片卡接口并具有鍵盤和芯片卡控制器的計算機(jī)鍵盤裝置����,其中借助鍵盤產(chǎn)生的信號從該控制器或者被轉(zhuǎn)送給個人計算機(jī)或者被轉(zhuǎn)送給芯片卡接口�����。
發(fā)明內(nèi)容
本發(fā)明所基于的問題在于����,實現(xiàn)將數(shù)據(jù)安全地輸入到數(shù)據(jù)處理設(shè)備中。
該問題通過具有按照獨立權(quán)利要求的特征的數(shù)據(jù)處理設(shè)備��、電信終端設(shè)備以及通過用于借助數(shù)據(jù)處理設(shè)備來進(jìn)行數(shù)據(jù)處理的方法來解決����。
本發(fā)明的優(yōu)選的擴(kuò)展方案由從屬權(quán)利要求得出。所說明的本發(fā)明的擴(kuò)展方案不僅涉及數(shù)據(jù)處理設(shè)備��,而且涉及電信終端設(shè)備和用于借助數(shù)據(jù)處理設(shè)備來進(jìn)行數(shù)據(jù)處理的方法�����。
數(shù)據(jù)處理設(shè)備具有用于將數(shù)據(jù)輸入到該數(shù)據(jù)處理設(shè)備中的數(shù)據(jù)輸入單元。此外���,在該數(shù)據(jù)處理設(shè)備中設(shè)置有第一處理器和第二處理器���。第一處理器被這樣設(shè)立,使得其在第一���、優(yōu)選地非安全相關(guān)的數(shù)據(jù)輸入模式中接收和處理輸入到數(shù)據(jù)輸入單元中的數(shù)據(jù)���。第二處理器被這樣設(shè)立,使得其在第二���、優(yōu)選地安全相關(guān)的數(shù)據(jù)輸入模式中接收和處理輸入到數(shù)據(jù)輸入單元中的數(shù)據(jù)���。
電信終端設(shè)備具有上面所說明的數(shù)據(jù)處理設(shè)備。
此外�,在用于借助數(shù)據(jù)處理單元來進(jìn)行數(shù)據(jù)處理的方法中,數(shù)據(jù)被輸入到數(shù)據(jù)處理設(shè)備中�。由第一處理器在第一、優(yōu)選地非安全相關(guān)的數(shù)據(jù)輸入模式中接收和處理輸入到數(shù)據(jù)輸入單元中的數(shù)據(jù)����。由第二處理器在第二����、安全相關(guān)的數(shù)據(jù)輸入模式中接收和處理輸入到數(shù)據(jù)輸入單元中的數(shù)據(jù)��。
與上面所說明的按照現(xiàn)有技術(shù)的方法相反�����,本發(fā)明的目的不在于��,在開放式操作系統(tǒng)環(huán)境中識別并由計算機(jī)系統(tǒng)去除能夠竊聽所輸入的機(jī)密數(shù)據(jù)的有害的計算機(jī)程序或程序組件�。
與現(xiàn)有技術(shù)相反�����,本發(fā)明的一個方面明顯基于����,借助數(shù)據(jù)處理設(shè)備中的可靠的實體、優(yōu)選地借助第二處理器來控制機(jī)密的并因此敏感的數(shù)據(jù)到系統(tǒng)中的輸入����、即到數(shù)據(jù)處理設(shè)備中的輸入。因為在第二處理器上只運行可靠的計算機(jī)程序�����,所以第二處理器也被稱作“可信核心”處理器,通過根據(jù)本發(fā)明的實施方案來保證�,只有可靠的計算機(jī)程序、即只有可靠的軟件才能在第二處理器上執(zhí)行�,該軟件被用于操作和處理機(jī)密的數(shù)據(jù)。
與軟件證書的一般使用相反�,根據(jù)本發(fā)明的方法的特征尤其在于,即例如通過以下方式識別出僅僅一小部分計算機(jī)程序是這樣安全相關(guān)的����,使得僅僅這小部分需要利用相應(yīng)的證書或其它安全措施來保護(hù),即第二處理器已將小且有限數(shù)量的計算機(jī)程序存儲在只有它可訪問的存儲器中并執(zhí)行這些計算機(jī)程序��,其中這些計算機(jī)程序?qū)崿F(xiàn)并因此提供如以下還要進(jìn)一步說明的安全相關(guān)的業(yè)務(wù)�。由此保證,只有具有被證實并且可靠的數(shù)據(jù)完整性的軟件才由第二處理器來執(zhí)行��。
本發(fā)明的一個方面明顯地在于�,為系統(tǒng)的用戶提供用于安全地輸入安全相關(guān)的、即機(jī)密的數(shù)據(jù)����、諸如PIN碼或密碼等等的可靠機(jī)制,其中這種機(jī)制防止在開放式操作系統(tǒng)中、即在開放的計算機(jī)環(huán)境中被竊聽���。提供裝置�,該裝置定義并提供在安全的工組模式(第二��、安全相關(guān)的數(shù)據(jù)輸入模式)和不安全的工作模式(第一數(shù)據(jù)輸入模式)中數(shù)據(jù)處理設(shè)備的工作���。
該數(shù)據(jù)處理設(shè)備優(yōu)選地具有以下組件●數(shù)據(jù)輸入單元、例如鍵盤�,其在正常工作模式(第一數(shù)據(jù)輸入模式)中被分配給優(yōu)選地作為應(yīng)用處理器而被設(shè)立的第一處理器并且被臨時分配給該數(shù)據(jù)處理設(shè)備內(nèi)的第二處理器(可信核心),即被分派給第二處理器�����。
●替代地����,在正常工作模式中,該數(shù)據(jù)輸入單元可將所輸入的符號(例如分配給按下的按鍵的數(shù)據(jù)符號)直接傳送給應(yīng)用處理器����。在根據(jù)對數(shù)據(jù)輸入的接收的詢問激活了第二處理器之后,該數(shù)據(jù)輸入單元根據(jù)數(shù)據(jù)的輸入不是像在正常工作模式中那樣將數(shù)據(jù)直接傳送給應(yīng)用處理器��,而是優(yōu)選地針對每個按下的按鍵、即針對每個輸入的數(shù)據(jù)符號將預(yù)先給定的可調(diào)節(jié)的字符/數(shù)據(jù)符號�、例如“*”符號代替實際輸入的數(shù)據(jù)符號或字符傳送給應(yīng)用處理器,該應(yīng)用處理器將該字符/數(shù)據(jù)符號例如在輸入掩碼中的PIN輸入字段中輸出�����,其中該輸入掩碼由應(yīng)用處理器和/或第二處理器在圖形用戶界面上提供�����。在這種情況下���,優(yōu)選地規(guī)定�,此外將在功能方面可預(yù)先給定的控制按鍵�����、例如刪除按鍵交付給應(yīng)用處理器使用��。所輸入的數(shù)據(jù)����、更準(zhǔn)確的說每個輸入的字符或數(shù)據(jù)符號在存儲器中或在存儲器的一部分中被積累、即收集���,其中該存儲器或者該存儲器的一部分只能由第二處理器來寫或讀����,即只有第二處理器可以訪問該存儲器或該存儲器的一部分。在機(jī)密數(shù)據(jù)的輸入結(jié)束之后����,所輸入的數(shù)據(jù)序列由第二處理器來處理,例如與相應(yīng)的值或與比較表中的多個相應(yīng)的值相比較�����,其中這個值或這些值例如能夠以明文(Klartext)或甚至加密的形式存儲在智能卡上或閃存中����。如果比較數(shù)據(jù)以加密的形式來存儲�����,那么第二處理器可以使用相應(yīng)的適合解密的加密密匙和解密方法�����。針對上述這些程序步驟��,去激活微處理器的正常中斷模式,以致保證只有所提供的用于機(jī)密數(shù)據(jù)的數(shù)據(jù)輸入的安全業(yè)務(wù)不會被中斷并且因此明顯地壓縮數(shù)據(jù)輸入����。因此,一般壓縮分別所提供的安全業(yè)務(wù)�����。
●第二存儲器優(yōu)選地在數(shù)據(jù)顯示單元上例如可視地(優(yōu)選地借助發(fā)光二極管��,通過按鍵的背景照明等等或借助顯示在數(shù)據(jù)顯示單元上的符號(圖章))或借助音頻信息的表示(優(yōu)選地報警信號的顯示或借助明確地標(biāo)識第二數(shù)據(jù)輸入模式的音列)顯示����,數(shù)據(jù)處理設(shè)備處于第二數(shù)據(jù)處理模式中,其中保證該數(shù)據(jù)顯示單元(圖形地或用于輸出音頻信息)只能由第二處理器�、而不是由第一處理器、即不是由應(yīng)用處理器來控制����。由此以可靠并且簡單的方式為用戶提供以下信息,即該數(shù)據(jù)處理設(shè)備處于第二數(shù)據(jù)輸入模式中并且因此該用戶也可以不假思索地進(jìn)行可靠的或機(jī)密的數(shù)據(jù)的輸入�����。
數(shù)據(jù)輸入單元可以是以下數(shù)據(jù)輸入單元之一●鍵盤����;●數(shù)據(jù)通信接口�;●觸摸墊���;●觸摸敏感的顯示單元(觸摸屏)����;●計算機(jī)鼠標(biāo)��;或●包括用于語音識別的單元����、例如用于與講話者有關(guān)的語音識別的單元和/或用于與講話者無關(guān)的語音識別的單元的麥克風(fēng)。
這意味著���,本發(fā)明適合于任何方式的數(shù)據(jù)輸入����,直接在數(shù)據(jù)處理設(shè)備上或通過電信網(wǎng)(固定通信網(wǎng)或移動無線電通信網(wǎng))的數(shù)據(jù)輸入�����。只要應(yīng)保護(hù)安全相關(guān)的數(shù)據(jù)的輸入����,用于接收和處理所輸入的機(jī)密數(shù)據(jù)的數(shù)據(jù)處理設(shè)備就轉(zhuǎn)接到第二處理器上,該第二處理器被相應(yīng)地設(shè)立并被保護(hù)用于可靠地處理所輸入的數(shù)據(jù)�����。
第一處理器優(yōu)選地是應(yīng)用處理器�,該應(yīng)用處理器被設(shè)立用于在開放式操作系統(tǒng)中執(zhí)行應(yīng)用計算機(jī)程序,其中開放式操作系統(tǒng)在這個意義上是這樣的操作系統(tǒng)�,該操作系統(tǒng)優(yōu)選地具有至少一個操作系統(tǒng)外部通信接口并因此對于例如借助計算機(jī)病毒、借助特洛伊木馬���、借助計算機(jī)蠕蟲或一般借助有害的計算機(jī)程序的外部攻擊而言是易受損傷的�����。
開放式操作系統(tǒng)的例子是Windows操作系統(tǒng)����、Linux操作系統(tǒng)�����、Unix操作系統(tǒng)��、Symbian操作系統(tǒng)或Java平臺。
按照本發(fā)明的另一個擴(kuò)展方案規(guī)定�,第二處理器作為所謂的可信核心處理器來設(shè)立。因此第二處理器明顯地這樣來設(shè)立�,使得它只能執(zhí)行一個或多個可靠的計算機(jī)程序。這可以例如通過以下方式來實現(xiàn)���,即或者僅僅在制造商側(cè)將確定數(shù)量的由預(yù)定數(shù)目的安全業(yè)務(wù)所實現(xiàn)的程序以計算機(jī)程序的形式存儲在只有第二處理器可訪問的存儲器中�����,或者被應(yīng)用于分別待實現(xiàn)的安全業(yè)務(wù)的軟件證書����、即分配給實現(xiàn)相應(yīng)安全業(yè)務(wù)的計算機(jī)程序的軟件證書在各自的執(zhí)行之前由第二處理器進(jìn)行檢查����,并且只有當(dāng)軟件證書的檢查成功時,才在第二處理器上執(zhí)行該程序�。
可靠的計算機(jī)程序優(yōu)選地是完整性被保護(hù)的計算機(jī)程序、優(yōu)選地以加密方式保護(hù)完整性的計算機(jī)程序���,該計算機(jī)程序尤其實現(xiàn)至少一個安全相關(guān)的業(yè)務(wù),優(yōu)選地實現(xiàn)至少一個加密的安全業(yè)務(wù)��。
第二處理器尤其在數(shù)據(jù)處理設(shè)備被構(gòu)造為電信終端設(shè)備、尤其是移動無線電電信終端設(shè)備時是數(shù)字信號處理器�����,該數(shù)字信號處理器被設(shè)立用于執(zhí)行一個或多個相應(yīng)的安全業(yè)務(wù)�����。
例如在數(shù)據(jù)處理設(shè)備中設(shè)置有多個微控制器以及必要時還設(shè)置有附加的數(shù)字信號處理器�、即例如用于應(yīng)用的微控制器,用于可靠業(yè)務(wù)(可信業(yè)務(wù))的微控制器���、用于調(diào)制解調(diào)器業(yè)務(wù)的微控制器以及用于尤其是在數(shù)字信號處理范圍內(nèi)的實時要求高的業(yè)務(wù)的數(shù)字信號處理器情況下��,第二處理器優(yōu)選地是微控制器�。
在這方面應(yīng)指出的是���,應(yīng)該保證��,可靠的����、即“可信的”第二處理器的操作不允許被(不可靠的�、即“不可信的”)第一處理器干擾�。這例如可通過兩個處理器的專用主存儲器或在使用公共主存儲器的情況下通過使用存儲器控制器來實現(xiàn)��,該存儲器控制器由“可信的”第二處理器來控制并且可分配對確定的地址范圍的明確的訪問權(quán)����。
優(yōu)選地在使用至少一個加密密匙的情況下、例如在使用至少一個秘密的(私有的)加密密匙和/或至少一個公開的加密密匙的情況下提供加密的安全業(yè)務(wù)�����。
換句話說��,這意味著���,加密的安全業(yè)務(wù)可以不僅在使用對稱的密匙機(jī)制的情況下而且在使用不對稱的密匙機(jī)制的情況下在相應(yīng)的安全業(yè)務(wù)中實現(xiàn)��。
作為加密的安全業(yè)務(wù)����,設(shè)置有以下安全業(yè)務(wù)中的至少一個●數(shù)字簽名�����;和/或●數(shù)字圖章;和/或●鑒權(quán)���;和/或●數(shù)據(jù)加密;和/或●接入控制����;和/或●訪問控制;和/或●阻止在數(shù)據(jù)通信范圍內(nèi)的業(yè)務(wù)分析�����;和/或●散列(Hash)方法��。
基本上�����,可以實現(xiàn)每個加密的安全業(yè)務(wù)���,該安全業(yè)務(wù)作為由第二處理器執(zhí)行的計算機(jī)程序尤其是在用戶側(cè)借助數(shù)據(jù)輸入單元實現(xiàn)將安全相關(guān)的并因此機(jī)密的信息輸入到數(shù)據(jù)處理設(shè)備中����。
按這種方式�����,在保證使用戶數(shù)據(jù)輸入安全的情況下,尤其是基于第二處理器的可編程性在其加密的可用性方面實現(xiàn)數(shù)據(jù)處理設(shè)備的很靈活的可擴(kuò)展性�。
按照本發(fā)明的另一擴(kuò)展方案,設(shè)置有用于向用戶顯示所輸入的數(shù)據(jù)的至少一部分的數(shù)據(jù)顯示單元���。
按這種方式���,尤其是在將安全相關(guān)的數(shù)據(jù)或非安全相關(guān)的數(shù)據(jù)輸入到數(shù)據(jù)處理設(shè)備中時,實現(xiàn)用戶的“觀感”操作感覺����。
優(yōu)選地這樣來設(shè)立該數(shù)據(jù)處理設(shè)備,使得第二處理器在第二數(shù)據(jù)輸入模式中接收所輸入的數(shù)據(jù)并且將與所輸入的數(shù)據(jù)相比不同的��、優(yōu)選地具有相同數(shù)量的數(shù)據(jù)符號的數(shù)據(jù)傳送給第一處理器和/或數(shù)據(jù)顯示單元��。按這種方式���,可用性和尤其是用戶的“觀感”操作感覺進(jìn)一步被改善�,因為即使當(dāng)沒有向該用戶顯示他實際執(zhí)行了哪個輸入����、即例如他實際按下了哪些按鍵時�����,也針對所執(zhí)行的每個輸入�、例如針對每個按鍵按下直接向他顯示關(guān)于實現(xiàn)的輸入的回答���、即確認(rèn)。
優(yōu)選地這樣來設(shè)立該數(shù)據(jù)處理設(shè)備�����,以致由第二處理器傳送給第一處理器和/或數(shù)據(jù)顯示單元的數(shù)據(jù)是預(yù)先給定的數(shù)據(jù)符號的序列�,尤其是一個預(yù)先給定的數(shù)據(jù)符號的序列,其中該數(shù)據(jù)符號的數(shù)量與所輸入的數(shù)據(jù)的數(shù)據(jù)符號的數(shù)量相同����。
此外,可這樣來設(shè)立第二處理器�,以致它在第二數(shù)據(jù)輸入模式中將安全模式顯示信息傳送到第一處理器和/或數(shù)據(jù)顯示單元中。按這種方式來實現(xiàn)����,以簡單的方式可靠地將以下信息提供給用戶,即他可借助數(shù)據(jù)輸入單元無危險性地將機(jī)密的信息輸入到數(shù)據(jù)處理設(shè)備中��。
該安全模式顯示信息優(yōu)選地是可視信息和/或音頻信息。
此外���,可以設(shè)置處理通信單元��,用于在數(shù)據(jù)輸入單元的控制從第一處理器移交給第二處理器或從第二處理器移交給第一處理器的范圍內(nèi)在第一處理器和第二處理器之間進(jìn)行通信���。換句話說,這意味著���,根據(jù)本發(fā)明的該擴(kuò)展方案����,數(shù)據(jù)輸入單元的控制或所輸入的數(shù)據(jù)的接收和處理的移交借助于兩個處理器之間的處理器間通信來實現(xiàn)�。
這種實現(xiàn)尤其具有以下優(yōu)點,即基于本身公知的�、用于兩個處理器之間的通信的機(jī)制的使用,在安全的數(shù)據(jù)輸入范圍內(nèi)的權(quán)力移交可簡單地并低成本地實現(xiàn)��。
此外��,可設(shè)置優(yōu)選地作為計算機(jī)程序而設(shè)立的數(shù)據(jù)輸入單元驅(qū)動單元���,這樣來設(shè)立該數(shù)據(jù)輸入單元驅(qū)動單元��,使得●在第一數(shù)據(jù)輸入模式中所輸入的數(shù)據(jù)被傳送給第一處理器��;以及●在第二數(shù)據(jù)輸入模式中所輸入的數(shù)據(jù)被傳送給第二處理器���。
因此����,按照本發(fā)明的該擴(kuò)展方案�����,該數(shù)據(jù)輸入單元驅(qū)動單元是一種轉(zhuǎn)接設(shè)備����,在該轉(zhuǎn)接設(shè)備中判定�����,所輸入的數(shù)據(jù)是否是機(jī)密類型的并且因此應(yīng)被輸送給第二處理器或所輸入的數(shù)據(jù)是否是非安全相關(guān)的��,在這種情況下該數(shù)據(jù)直接被傳送給第一處理器��、優(yōu)選地應(yīng)用處理器�����。
該數(shù)據(jù)輸入單元驅(qū)動單元可以這樣來設(shè)立,使得將與在第二數(shù)據(jù)輸入模式中所輸入的數(shù)據(jù)相比不同的��、優(yōu)選地具有相同數(shù)量的數(shù)據(jù)符號的數(shù)據(jù)傳送給第一處理器和/或數(shù)據(jù)顯示單元��。
根據(jù)本發(fā)明的該擴(kuò)展方案���,優(yōu)選的是��,傳送給第一處理器和/或數(shù)據(jù)顯示單元的數(shù)據(jù)是預(yù)先給定的數(shù)據(jù)符號的序列���,尤其是相同的預(yù)先給定的數(shù)據(jù)符號的序列,即多個相同的預(yù)先給定的數(shù)據(jù)符號��,其中數(shù)據(jù)符號的數(shù)量與所輸入的數(shù)據(jù)的數(shù)據(jù)符號的數(shù)量相等����。
根據(jù)本發(fā)明的另一個擴(kuò)展方案,第二處理器作為芯片卡處理器來設(shè)立�,換句話說,在芯片卡上實現(xiàn)第二處理器����,該芯片卡借助連接到例如個人計算機(jī)或連接到電信設(shè)備上的芯片卡閱讀器建立與第一處理器和數(shù)據(jù)輸入單元的通信連接�����。按這種方式����,即使對于通常的個人計算機(jī)而言在使用當(dāng)今經(jīng)常存在的���、尤其是在相應(yīng)的安全架構(gòu)范圍內(nèi)設(shè)置的芯片卡閱讀器的情況下也實現(xiàn)安全的數(shù)據(jù)輸入�,其中芯片卡閱讀器使用設(shè)置在芯片卡上的處理器��,以便保證到例如個人計算機(jī)中的安全的數(shù)據(jù)輸入�。
尤其是針對該數(shù)據(jù)處理設(shè)備作為電信終端設(shè)備�、尤其是作為移動無線電電信終端設(shè)備的情況,在本發(fā)明的一個擴(kuò)展方案中規(guī)定����,將設(shè)置在SIM模塊(用戶身份識別模塊)中的處理器用作第二處理器,以便實現(xiàn)分別設(shè)置的安全業(yè)務(wù)��。
本發(fā)明尤其適合在輸入密碼或PIN碼����、即優(yōu)選地僅為用戶所知的鑒權(quán)符號序列的范圍內(nèi)使用����,或者也適合數(shù)據(jù)的加密或數(shù)字簽名��、例如在使用加密材料的情況下電子消息(電子郵件(Email))的加密或數(shù)據(jù)簽名�,其中該加密材料需要PIN碼或密碼形式的用戶輸入。相應(yīng)的電子消息可借助電信終端設(shè)備���、優(yōu)選地通過空中接口傳輸給接收者���,但是它也可以在計算機(jī)系統(tǒng)中甚至在相應(yīng)的目錄中僅僅被暫存,并在需要時由該用戶或由其他用戶再次進(jìn)行詢問并且必要時在那里再次被解密���。
本發(fā)明的實施例在附圖中被示出并將在下面進(jìn)一步說明���。
其中圖1示出一個框圖,其中示出按照本發(fā)明的一個實施例的數(shù)據(jù)處理設(shè)備的架構(gòu)�����;圖2示出按照本發(fā)明的一個實施例的移動無線電電信終端設(shè)備的略圖���;圖3示出按照本發(fā)明的另一個實施例的移動無線電電信終端設(shè)備的略圖����;圖4示出按照本發(fā)明的另一個實施例的數(shù)據(jù)處理設(shè)備的略圖;圖5示出按照本發(fā)明的另一個實施例的其它數(shù)據(jù)處理設(shè)備的框圖�����;圖6示出一個消息流圖�����,其中示出兩個數(shù)據(jù)輸入模式之間的轉(zhuǎn)換的變型方案���;
圖7示出一個流程圖�����,其中示出按照本發(fā)明的一個實施例的�、用于在第二數(shù)據(jù)輸入模式中提供安全的數(shù)據(jù)輸入的單個方法步驟�;圖8示出一個框圖�����,其中示出數(shù)據(jù)處理設(shè)備的替代的實施形式�。
在附圖中����,同樣的或相同的元件必要時標(biāo)有相同的附圖標(biāo)記���。
具體實施例方式
圖2示出移動無線電電信終端設(shè)備200����,它被設(shè)立用于按照基于小區(qū)的移動無線電標(biāo)準(zhǔn)���、例如按照GSM����、3GPP標(biāo)準(zhǔn)�、例如UMTS等等進(jìn)行通信。
該移動無線電電信終端設(shè)備200具有殼體201����,在該殼體中安裝有天線202以及顯示器203、揚聲器204��、麥克風(fēng)205以及在鍵區(qū)206中安裝有多個按鍵����,該多個按鍵中有用于以本身公知的方式輸入數(shù)字����、符號或字母的數(shù)字鍵或符號鍵207以及特殊功能按鍵��、例如用于建立或拆除電信連接的通信連接建立按鍵208以及通信連接結(jié)束按鍵209����。此外,設(shè)置有至少一個特殊功能按鍵210�,可將預(yù)先給定的特殊功能、例如調(diào)用存儲在移動無線電電信終端設(shè)備200中的地址薄/電話薄分配給該特殊功能按鍵��。
此外����,SIM卡(用戶身份識別模塊卡)211被包含在移動無線電電信終端設(shè)備200中,在該SIM卡中存儲有也稱作用戶標(biāo)識符的明確標(biāo)識用戶的說明��。
如下面還要進(jìn)一步說明的����,該移動無線電電信終端設(shè)備200具有兩個處理器(未示出)、即用于執(zhí)行應(yīng)用程序的第一處理器(以下也稱作應(yīng)用處理器)以及用于提供尤其是物理接口功能�����、即無線信號傳輸?shù)墓δ?���、例如用于對移動無線電信號進(jìn)行解碼等等的數(shù)字信號處理器(DSP)。此外��,設(shè)置有未示出的存儲器���,其中這兩個處理器和該存儲器借助計算機(jī)總線彼此耦合��。
在本發(fā)明的替代的擴(kuò)展方案中���,該移動無線電電信終端設(shè)備200具有作為微控制器被設(shè)立的兩個處理器。此外���,在這個實施形式中還設(shè)置有至少一個附加的微控制器并且必要時還設(shè)置有附加的數(shù)字信號處理器����。在微控制器中執(zhí)行該應(yīng)用計算機(jī)程序���,在其它微控制器中執(zhí)行��、即提供可靠的業(yè)務(wù)(可信業(yè)務(wù))���,必要時還執(zhí)行���、即提供調(diào)制解調(diào)器業(yè)務(wù)。此外��,還設(shè)置有用于尤其是在數(shù)字信號處理范圍內(nèi)的實時要求高的業(yè)務(wù)的數(shù)字信號處理器�����。
如果用戶想要在接通移動無線電電信終端設(shè)備200之后在移動無線電通信網(wǎng)絡(luò)中注冊��,那么由該移動無線電電信終端設(shè)備200請求用戶��,借助按鍵207輸入個人識別號碼(Personal Identification Number���,PIN)��。在這種情況下���,以下說明的安全相關(guān)的功能或者程序是將PIN輸入到移動無線電電信終端設(shè)備200中。
所輸入的個人識別號碼與存儲在SIM卡211中的用戶標(biāo)識(UserIDentity��,UID)進(jìn)行比較,并且如果所輸入的號碼對應(yīng)于存儲在SIM卡211中的用戶標(biāo)識�,則該用戶被移動無線電通信網(wǎng)絡(luò)接受作為合法的用戶���,并且因此在移動無線電通信網(wǎng)絡(luò)中被注冊為合法的用戶�。
在注冊程序的范圍內(nèi)在對按鍵207�、208、209��、210�、尤其是鍵區(qū)206中的數(shù)字鍵的控制權(quán)(Steuerungshoheit)之間的根據(jù)本發(fā)明的轉(zhuǎn)換在下面還要進(jìn)一步說明。
圖3說明了按照本發(fā)明的第二實施例的移動無線電電信終端設(shè)備300���。
在結(jié)構(gòu)上����,該移動無線電電信終端設(shè)備300以與按照本發(fā)明的第一實施例的移動無線電電信終端設(shè)備200相同的方式來構(gòu)造�,可是具有這樣的區(qū)別,即可以選擇性地略去數(shù)字信號處理器���,并且根據(jù)本發(fā)明在個人標(biāo)識號碼的安全相關(guān)的數(shù)據(jù)輸入范圍內(nèi)所設(shè)置的作為微處理器的第二處理器被包含在SIM卡301上��,該SIM卡301具有微處理器302和非易失性存儲器303����,而不像按照第一實施例的SIM卡211那樣僅僅具有用于存儲用戶標(biāo)識的非易失性存儲器。
按照第三應(yīng)用情形��,在圖4中的框圖400中示出了個人計算機(jī)401���,該個人計算機(jī)包含應(yīng)用處理器(未示出)以及一個或多個存儲元件�����,其中該處理器和該存儲器通過計算機(jī)總線相互耦合以及與外部通信接口相耦合����,并通過外部通信接口與多個外圍設(shè)備��、例如鍵盤402����、計算機(jī)鼠標(biāo)403、作為數(shù)據(jù)顯示單元的顯示器404以及芯片卡閱讀器405相耦合�,其中借助于該芯片卡閱讀器來讀取芯片卡406并因此讀取存儲在該芯片卡中的信息,并可將信息傳輸給個人計算機(jī)401�。
下面借助在圖4中示出的裝置400說明不同的情形●按照第一替代方案,第一處理器被包含在個人計算機(jī)401中并且第二處理器被包含在芯片卡閱讀器405中�,該芯片卡閱讀器提供下面所說明的業(yè)務(wù)�。
●按照一種替代的實施形式�����,該芯片卡406具有自己的微處理器���,該微處理器作為第二處理器在隨后說明的方法的范圍內(nèi)被使用。
●按照另一實施形式規(guī)定��,兩個處理器被包含在個人計算機(jī)401中�����。
●按照另一實施形式規(guī)定�����,處理器被設(shè)置在數(shù)據(jù)顯示單元404中并且作為第二處理器在機(jī)密數(shù)據(jù)的受保護(hù)的數(shù)據(jù)輸入范圍內(nèi)被使用��。
應(yīng)指出的是�����,可按照需要使用在圖4中示出的數(shù)據(jù)輸入單元中的一個或多個�����,以便通過相應(yīng)的外圍接口407、408����、409、410將安全相關(guān)的數(shù)據(jù)輸入個人計算機(jī)401中�����。
應(yīng)指出的是���,可借助鍵盤402�、借助計算機(jī)鼠標(biāo)403�����、必要時借助被構(gòu)造為觸摸敏感的屏幕的數(shù)據(jù)設(shè)備404或借助芯片卡閱讀器405來實現(xiàn)數(shù)據(jù)的輸入�����。
圖5示出根據(jù)本發(fā)明的另一實施例的其它數(shù)據(jù)處理設(shè)備裝置500���。
根據(jù)該裝置500�����,存在多個客戶計算機(jī)501���、502��、503����、504�����、505���,它們分別具有作為數(shù)據(jù)輸入單元的鍵盤506、507�����、508�����、509、510和/或計算機(jī)鼠標(biāo)(未示出)����,其中該客戶計算機(jī)501、502���、503�����、504���、505借助電信網(wǎng)絡(luò)511與服務(wù)器計算機(jī)512相耦合。
在這種情況下���,安全相關(guān)的數(shù)據(jù)���、尤其是鑒權(quán)數(shù)據(jù)通過電信網(wǎng)絡(luò)、優(yōu)選地因特網(wǎng)/內(nèi)部網(wǎng)511被傳輸給服務(wù)器計算機(jī)512并且在那里在客戶計算機(jī)501-505的鑒權(quán)的范圍內(nèi)被使用�����。在這種情況下,該服務(wù)器計算機(jī)512具有兩個處理器�����,而輸入單元是至電信網(wǎng)絡(luò)511的服務(wù)器計算機(jī)512的輸入/輸出接口��,因為數(shù)據(jù)符號的序列通過該接口被輸送給服務(wù)器計算機(jī)512���。
在下面一般說明的方法適用于上述所有應(yīng)用情形�,其中只需存在兩個處理器�,它們能夠相互通信或必要時可以選擇性地將所輸入的數(shù)據(jù)輸送給所設(shè)置的兩個處理器之一。
如上所述�,相應(yīng)的數(shù)據(jù)輸入單元可以是鍵盤、至通信網(wǎng)絡(luò)或至數(shù)據(jù)處理設(shè)備的其它外圍設(shè)備的數(shù)據(jù)通信接口或輸入/輸出接口����、觸摸墊���、觸摸敏感的數(shù)據(jù)顯示單元���、計算機(jī)鼠標(biāo)或麥克風(fēng),其中借助麥克風(fēng)灌入數(shù)據(jù)處理設(shè)備中的語音信號借助語音識別單元被轉(zhuǎn)換成數(shù)據(jù)符號��,其中該數(shù)據(jù)符號應(yīng)被理解為所輸入的數(shù)據(jù)。
因此����,針對上述所有應(yīng)用情形和與之相關(guān)聯(lián)的裝置從圖1中示例性地示出的系統(tǒng)架構(gòu)100出發(fā)。
也具有用戶接口��、例如用于從外圍設(shè)備接收數(shù)據(jù)或發(fā)送數(shù)據(jù)給外圍設(shè)備的輸入/輸出接口的大多數(shù)應(yīng)用計算機(jī)程序由應(yīng)用處理器101(第一處理器)來執(zhí)行�。該應(yīng)用處理器101已安裝了開放式操作系統(tǒng)、優(yōu)選地是Windows操作系統(tǒng)��,替代地是Linux操作系統(tǒng)���、Unix操作系統(tǒng)���、Symbian操作系統(tǒng)或Java平臺并執(zhí)行該操作系統(tǒng)。
此外����,設(shè)置有第二處理器102,它在可靠的模式(可信模式)中運行���。第二處理器102也被稱作可信核心處理器����,并因此在可靠的、優(yōu)選地以加密的方式被保護(hù)的環(huán)境中運行���,并且以下被用于提供安全相關(guān)的業(yè)務(wù)�����、尤其是加密的安全業(yè)務(wù)�,替代地或附加地也用于其它業(yè)務(wù)���,例如用于在數(shù)據(jù)傳輸�、尤其是移動無線電數(shù)據(jù)傳輸?shù)姆秶鷥?nèi)提供物理接口的功能�����。在數(shù)據(jù)處理設(shè)備被構(gòu)造為移動無線電電信終端設(shè)備的應(yīng)用情況下(參閱圖1和圖2)�,該移動無線電電信終端設(shè)備通常具有兩個處理器、即應(yīng)用處理器以及數(shù)字信號處理器(DSP)�����。
在第一工作模式(正常工作模式)中���,鍵盤103����、一般數(shù)據(jù)輸入單元被分配給應(yīng)用處理器101并由該應(yīng)用處理器來控制�����。因此����,該應(yīng)用處理器101負(fù)責(zé)借助鍵盤外圍塊105來控制和處理借助鍵盤103、一般上述替代的數(shù)據(jù)輸入單元輸入的數(shù)據(jù)104�����,其中該鍵盤外圍塊優(yōu)選地與應(yīng)用處理器101和第二處理器102借助系統(tǒng)總線106相耦合地共同布置在公共的集成的系統(tǒng)控制器電路107中�����。
在第二處理器102不是與應(yīng)用處理器101共同被設(shè)置在集成電路107內(nèi)的上述應(yīng)用情形中���,兩個處理器101�、102例如借助電纜或例如無線電通信連接的其它類型的通信連接相互耦合���。
當(dāng)安全相關(guān)的數(shù)據(jù)例如在用戶鑒權(quán)的范圍內(nèi)應(yīng)由該用戶輸入到數(shù)據(jù)處理設(shè)備100中時��,于是對數(shù)據(jù)輸入單元�����、優(yōu)選地鍵盤103的控制一直被移交給第二處理器102��,直到機(jī)密數(shù)據(jù)的輸入已結(jié)束���。按這種方式�����,能夠?qū)崿F(xiàn)�����,機(jī)密的數(shù)據(jù)輸入不離開該系統(tǒng)100的可靠環(huán)境��。
在數(shù)據(jù)處理設(shè)備被集成在移動無線電電信終端設(shè)備內(nèi)的實施形式中�,所述處理器例如是兩個ARM926處理器��,替代地��,應(yīng)用處理器是ARM11處理器���。
下面��,示出用于在數(shù)據(jù)處理設(shè)備中實現(xiàn)安全相關(guān)的數(shù)據(jù)輸入模式的不同的實現(xiàn)替代方案��。
按照第一優(yōu)選的實施形式規(guī)定����,對數(shù)據(jù)輸入單元����、優(yōu)選地鍵盤103的控制從應(yīng)用處理器101到可靠的第二處理器102上并從該第二處理器返回到應(yīng)用處理器101的明確的移交。
在這種情況下����,對數(shù)據(jù)輸入單元、優(yōu)選地鍵盤103的占有��、即明顯地控制借助明確的處理器間通信從應(yīng)用處理器101轉(zhuǎn)交給第二處理器102或從該第二處理器返回交給應(yīng)用處理器101���。
這要求兩個傳感器���、即不僅應(yīng)用處理器101而且第二處理器102分別包含并能執(zhí)行計算機(jī)程序,該計算機(jī)程序使這兩個處理器能夠確定�,誰當(dāng)前實際擁有對數(shù)據(jù)輸入單元103的控制和計算機(jī)程序����,該計算機(jī)程序?qū)?shù)據(jù)輸入單元103的控制轉(zhuǎn)交���、即移交給每個其它的處理器101或102�����。
可信核心處理器(第二處理器)102在安全相關(guān)的數(shù)據(jù)輸入模式期間在受限制的持續(xù)時間內(nèi)具有對數(shù)據(jù)輸入單元103的控制���,借助該數(shù)據(jù)輸入單元將安全相關(guān)的、即機(jī)密的數(shù)據(jù)輸入到數(shù)據(jù)處理設(shè)備100中��。在這段時間期間�����,可信核心處理器102優(yōu)選地激活安全輸入顯示�,通過該安全輸入顯示向用戶顯示,數(shù)據(jù)處理設(shè)備100處于第二�����、安全的數(shù)據(jù)輸入模式中。用于實現(xiàn)第二��、即安全相關(guān)的數(shù)據(jù)輸入模式的顯示的不同選擇將在下面進(jìn)一步說明���。
在這方面應(yīng)注意的是,對于向用戶可靠地顯示第二數(shù)據(jù)輸入模式來說值得期望的是���,在向用戶顯示該信息的范圍內(nèi)應(yīng)用處理器101不能控制該顯示���。
在圖6中的消息流圖600中示出一個例子,在該例子中作為機(jī)密的數(shù)據(jù)符號序列的密碼被輸入到數(shù)據(jù)處理設(shè)備中���,并且該密碼被用于對文件進(jìn)行數(shù)字簽名��。
在流程圖600中所示的過程中�,可信核心處理器102中的第二數(shù)據(jù)輸入模式(安全輸入模式)的隱含的激活通過用于電子文件的簽名的請求消息的接收來觸發(fā)����。
如在圖6中所示出的,根據(jù)這個例子�,由應(yīng)用處理器101產(chǎn)生簽名請求消息601并優(yōu)選地通過系統(tǒng)總線106傳送給第二處理器、即可信核心處理器102��。在簽名請求消息601中說明所請求的安全業(yè)務(wù)、即對電子文件進(jìn)行數(shù)字簽名(簽名)602��,以及作為所請求的業(yè)務(wù)的參數(shù)的�����、要數(shù)字簽名的電子文件(文本)603以及密匙標(biāo)識說明(密碼ID)604����。
根據(jù)簽名請求消息601的接收,可信核心處理器102向只有其可訪問的非易失性存儲器605詢問私有密鑰簡檔(Profil)606�,并在使用所讀出的私有密碼簡檔606(步驟607)的情況下檢驗該簽名請求消息601。
直到這個時刻�,該數(shù)據(jù)處理設(shè)備100還處于第一數(shù)據(jù)輸入模式中,即處于不安全的數(shù)據(jù)輸入模式中�����,在該數(shù)據(jù)輸入模式中該應(yīng)用處理器101還擁有對數(shù)據(jù)輸入單元103的控制�。
這借助第一、標(biāo)識第一數(shù)據(jù)輸入模式的數(shù)據(jù)輸入模式顯示608在屏幕上顯示給用戶�����。
接著���,數(shù)據(jù)處理設(shè)備100的數(shù)據(jù)輸入模式轉(zhuǎn)換為第二����、安全相關(guān)的數(shù)據(jù)輸入模式。
在接下來的步驟中���,可信核心處理器102將第一模式轉(zhuǎn)換請求消息609發(fā)送給應(yīng)用處理器101�����,其中借助該第一模式轉(zhuǎn)換請求消息609請求將應(yīng)用處理器101的數(shù)據(jù)輸入模式從第一數(shù)據(jù)輸入模式轉(zhuǎn)換為第二數(shù)據(jù)輸入模式。
在獲得第一模式轉(zhuǎn)換請求消息609之后�����,應(yīng)用處理器101遞交對數(shù)據(jù)輸入單元103���、尤其是對鍵盤103的控制�。
鍵盤控制的釋放由應(yīng)用處理器101借助第一模式轉(zhuǎn)換確認(rèn)消息611通知給可信核心處理器102��。
根據(jù)第一模式轉(zhuǎn)換確認(rèn)消息611的接收��,可信核心處理器102接管對數(shù)據(jù)輸入單元103��、尤其是對鍵盤103的控制(步驟612)。
接下來���,該可信核心處理器102激活數(shù)據(jù)輸入模式顯示并將其設(shè)置為第二數(shù)據(jù)輸入模式顯示614�����,利用該第二數(shù)據(jù)輸入模式顯示614來說明��,數(shù)據(jù)處理設(shè)備處于第二數(shù)據(jù)輸入模式中(步驟613)���。該激活僅僅在可信核心處理器102的控制下實現(xiàn),也就是說��,該應(yīng)用處理器101沒有訪問機(jī)會并且在數(shù)據(jù)輸入模式顯示608���、614方面沒有控制可能性���。
緊接著,該可信核心處理器102收集由用戶連續(xù)輸入的字符或數(shù)據(jù)符號����,它們代表機(jī)密的、所輸入的數(shù)據(jù)(步驟614)����。例如所詢問的密碼的單個符號連續(xù)地被暫存在非易失性存儲器��、例如可信核心處理器102的非易失性存儲器605中����。
應(yīng)防止非易失性存儲器中的密碼被“不可信的”第一處理器訪問��?��;蛘摺翱尚藕诵摹碧幚砥?���、即第二處理器為了這個目的具有專用的�、所保留的非易失性存儲器����。該密碼優(yōu)選地以加密的形式存儲在非易失性存儲器中,并且例如通過一個或多個專門的硬件組件來保證只能利用該第二處理器獨占地?fù)碛械拿荑€來進(jìn)行解密�。這意味著,只有第二處理器可以訪問用于對密碼進(jìn)行解密的密匙����。
在一個替代的實施形式或除了上述實施例之外�,為了提高處理效率而規(guī)定��,在易失性存儲器中實現(xiàn)密碼的暫存�����。為了這個目的���,應(yīng)防止“不可信的”第一處理器操作該易失性存儲器����。
換句話說�����,這意味著���,應(yīng)保證����,可靠的�、即“可信的”第二處理器的操作不允許被(不可靠的、即“不可信的”)第一處理器干擾��。這例如可通過用于兩個處理器的專用主存儲器或在使用公共的主存儲器的情況下通過使用存儲器控制器來實現(xiàn),該存儲器控制器由該“可信的”第二處理器來控制并能夠分配對確定的地址范圍的明確的訪問權(quán)�����。
在接下來的步驟(步驟615)中由可信核心處理器102將所讀入的密碼與事先存儲在非易失性存儲器605中的秘密密碼616進(jìn)行比較��。
如果所輸入的密碼與存儲在非易失性存儲器605中的用于用戶的秘密密匙的密碼616一致����,那么該可信核心處理器102緊接著從非易失性存儲器605中讀出用戶的私有、即秘密密匙617并且在使用用戶的秘密密匙的情況下對在請求消息601中所說明的文本603進(jìn)行簽名(步驟618)���。
接下來��,可信核心處理器102再次交出對數(shù)據(jù)輸入單元103的控制(步驟619)并去激活第二數(shù)據(jù)模式顯示614�,利用該第二數(shù)據(jù)模式顯示這樣顯示第二數(shù)據(jù)輸入模式����,使得從現(xiàn)在開始借助數(shù)據(jù)模式顯示608重新向用戶顯示用于輸入非機(jī)密數(shù)據(jù)的第一數(shù)據(jù)輸入模式(步驟620)��。
緊接著���,該可信核心處理器102將第二模式轉(zhuǎn)換請求消息621發(fā)送給應(yīng)用處理器101并由此請求數(shù)據(jù)輸入模式的重新轉(zhuǎn)換�����,但是這次從第二�、安全相關(guān)的數(shù)據(jù)輸入模式轉(zhuǎn)換到第一數(shù)據(jù)輸入模式、即用于將非機(jī)密數(shù)據(jù)輸入到數(shù)據(jù)處理設(shè)備100中的正常工作模式��。
根據(jù)第二模式轉(zhuǎn)換請求消息621的接收����,該應(yīng)用處理器101再次接管對數(shù)據(jù)輸入單元103的控制(步驟622)。
該應(yīng)用處理101將對數(shù)據(jù)輸入單元103的控制的重新接管的結(jié)束借助第二模式轉(zhuǎn)換確認(rèn)消息623通知可信核心處理器102���,由此第二數(shù)據(jù)輸入模式(在圖6中用附圖標(biāo)記624象征性地表示)結(jié)束�。
緊接著���,該可信核心處理器102將所請求的安全業(yè)務(wù)的結(jié)果�����、在該示例情況下為數(shù)字簽名625通過在簽名請求消息601中所說明的電子文件603傳送給應(yīng)用處理器101�����。
按照一種替代的實施形式規(guī)定�����,對于應(yīng)用處理器101來說���,不僅應(yīng)用處理器101而且必要時可信核心處理器102透明地使用數(shù)據(jù)輸入單元�����、尤其是鍵盤103���。
在該實施形式中,該應(yīng)用處理器101不知道��,該數(shù)據(jù)輸入單元103暫時由可信核心處理器102在第二數(shù)據(jù)輸入模式的范圍內(nèi)使用����。換句話說,不通知該應(yīng)用處理器101�,發(fā)生數(shù)據(jù)輸入模式從第一數(shù)據(jù)輸入模式到第二數(shù)據(jù)輸入模式的過渡和從第二數(shù)據(jù)輸入模式到第一數(shù)據(jù)輸入模式的過渡。
在第二數(shù)據(jù)輸入模式期間�����,即直到機(jī)密數(shù)據(jù)的輸入已結(jié)束�,借助在可信核心處理器102的安全環(huán)境中實施的并由該可信核心處理器102執(zhí)行的數(shù)據(jù)輸入單元驅(qū)動器計算機(jī)程序、優(yōu)選地鍵盤驅(qū)動器計算機(jī)程序來提供用于處理和用于接收每個輸入的字符或數(shù)據(jù)符號的以下機(jī)制����,其中該字符或數(shù)據(jù)符號借助數(shù)據(jù)輸入單元103被輸入到數(shù)據(jù)處理設(shè)備中1.斷開(“disconnect”)數(shù)據(jù)輸入單元103和應(yīng)用處理器101之間的連接。
2.在第二數(shù)據(jù)輸入模式(安全輸入模式)中讀入所輸入的數(shù)據(jù)符號���。
3.將預(yù)先給定的符號���、優(yōu)選地“*”號寫入所設(shè)置的鍵盤外圍寄存器中,以便為應(yīng)用處理器101模擬數(shù)據(jù)符號的輸入�����。
4.再次建立(“connect”)數(shù)據(jù)輸入單元103和應(yīng)用處理器101之間的連接���。
應(yīng)注意的是��,優(yōu)選地在步驟3中使用圖8中所示的裝置800的數(shù)據(jù)輸入單元外圍塊801���。
上面和下面結(jié)合圖7所示的在可信核心處理器102上的實現(xiàn)導(dǎo)致,從應(yīng)用處理器101的角度看在第二數(shù)據(jù)輸入模式中僅僅輸入預(yù)先給定的字符�,即按下預(yù)先規(guī)定的按鍵,例如具有符號“*”的按鍵。因此應(yīng)用處理器101在數(shù)據(jù)顯示單元上顯示它從鍵盤驅(qū)動器計算機(jī)程序接收的符號“*”�。按這種方式,用戶的“觀感”操作感覺在輸入PIN碼或密碼時被實現(xiàn)�����。
在數(shù)據(jù)處理設(shè)備100處于第二數(shù)據(jù)輸入模式期間���,可選地規(guī)定����,提供數(shù)據(jù)顯示單元的相應(yīng)的安全模式顯示信息��,于是該數(shù)據(jù)顯示單元將相應(yīng)的數(shù)據(jù)輸入模式顯示614輸出給用戶�。用于顯示分別存在的或激活的數(shù)據(jù)輸入模式的不同可能性在下面還要進(jìn)一步說明。
圖7在流程圖700中示出按照上述第二實施形式的方法�����。
在激活第二數(shù)據(jù)輸入模式(步驟701)之后��,由可信核心處理器102在應(yīng)用處理器中去激活(702)數(shù)據(jù)輸入單元中斷���、尤其是鍵盤中斷的執(zhí)行或觸發(fā)�����,并且應(yīng)用處理器101對鍵盤外圍塊801(參閱圖8)(一般對數(shù)據(jù)輸入單元外圍塊)的訪問同樣也被去激活(步驟703)��。
接下來�,由第二處理器���、即由可信核心處理器102詢問鍵盤塊寄存器���,在該鍵盤塊寄存器中存儲有所按下的按鍵的信息(步驟704)。
如果按下優(yōu)選地設(shè)置在鍵盤中的安全數(shù)據(jù)輸入模式結(jié)束按鍵�����,這在檢驗步驟705中被檢驗����,那么假設(shè),安全的數(shù)據(jù)輸入已結(jié)束并根據(jù)所詢問的寄存器值產(chǎn)生一個或多個機(jī)密的輸入數(shù)據(jù)值(步驟706)�。
隨后,該應(yīng)用處理器101重新獲得對鍵盤外圍塊801的訪問(步驟707)并且也為該應(yīng)用處理器101再次激活鍵盤中斷(步驟708)��。
由此��,第二數(shù)據(jù)輸入模式又被去激活。(步驟709)但是只要該安全數(shù)據(jù)輸入模式結(jié)束按鍵沒有被按下�����,就針對每個按下的按鍵將分別表示按下的按鍵的值存儲在只有該可信核心處理器102可以訪問的存儲器中(步驟710)���。
緊接著���,針對每個輸入的符號,將符號“*”寫入鍵盤塊寄存器中(步驟711)并且該應(yīng)用處理器101重新得到對鍵盤外圍塊的訪問(步驟712)并且緊接著為應(yīng)用處理器101再次激活鍵盤中斷(步驟713)�����。緊接著�����,一直等待�,直到該應(yīng)用處理器101從鍵盤外圍塊寄存器中讀出了符號“*”并繼續(xù)進(jìn)行到步驟702。換句話說�,保證該應(yīng)用處理器101已從鍵盤外圍塊寄存器中讀出了該符號“*”。
如在圖8中可以看到的�����,在修改后的鍵盤外圍塊801中設(shè)置有掃描和按鍵去抖動邏輯802以及開關(guān)單元803,借助該開關(guān)單元由掃描和按鍵去抖動邏輯802按照開關(guān)單元803的第一開關(guān)位置(A)將所輸入的符號輸送給掃描結(jié)果寄存器804或在開關(guān)單元803的第二開關(guān)位置(B)中直接輸送給計算機(jī)總線接口805��,該計算機(jī)總線接口805附加地與掃描結(jié)果寄存器804的輸出端耦合��。該計算機(jī)總線接口805此外與控制寄存器806耦合����,其中存儲在該控制寄存器806中的數(shù)據(jù)必要時產(chǎn)生開關(guān)狀態(tài)控制信號807并利用該開關(guān)狀態(tài)控制信號807來控制開關(guān)單元803�。
根據(jù)第三實施形式規(guī)定,在正常數(shù)據(jù)輸入模式中鍵盤或小鍵盤將關(guān)于所按下的按鍵的信息直接傳輸給應(yīng)用處理器101�。
在實現(xiàn)了第二數(shù)據(jù)輸入模式(安全數(shù)據(jù)輸入模式)的激活之后并且在可信核心處理器102已請求輸入機(jī)密數(shù)據(jù)符號之后,代替關(guān)于所按下的按鍵的信息�,該鍵盤外圍驅(qū)動設(shè)備輸出可預(yù)先規(guī)定的交換數(shù)據(jù)字符/數(shù)據(jù)符號、例如符號“*”��,該符號例如在數(shù)據(jù)顯示單元103的圖形用戶界面上的PIN輸入?yún)^(qū)中顯示給用戶�����。
如果數(shù)字鍵被用戶按下����,則該信息在不交換按鍵信息的情況下被直接轉(zhuǎn)傳給應(yīng)用處理器101。因此該應(yīng)用處理器101總是獲得有效的按鍵信息��,該應(yīng)用處理器可在圖形用戶界面中、即在數(shù)據(jù)顯示單元上將該按鍵信息顯示給用戶并由此可提供給用戶“觀感”操作感覺�。實際所輸入的按鍵連續(xù)地在存儲器或存儲器的一部分中被累積,其中該存儲器或該存儲器的一部分只能由可信核心處理器102訪問��。
該應(yīng)用處理器101不能訪問該存儲器或該存儲器的這個部分�。在機(jī)密信息的輸入完全結(jié)束之后,所輸入的數(shù)據(jù)序列由可信核心處理器102進(jìn)行進(jìn)一步處理����,以便對其進(jìn)行驗證。
因此���,所輸入的數(shù)據(jù)序列例如與相應(yīng)的����、存儲在智能卡上或在閃存中的值進(jìn)行比較�����。
按照這種實施形式�,不需要在機(jī)密的數(shù)據(jù)字符/數(shù)據(jù)符號的輸入期間、優(yōu)選地在密碼輸入期間或在PIN輸入期間去激活應(yīng)用處理器101中的任何中斷��。該中斷應(yīng)僅僅在可信核心處理器102驗證密碼期間被去激活�。但是���,密碼或PIN碼的驗證可在附加設(shè)置的以加密的方式受保護(hù)的塊中實施。按這種方式�����,密碼不能直接由應(yīng)用處理器101來確定�,換句話說,該應(yīng)用處理器101不能訪問存儲在加密塊中的密碼���。
密碼不能由應(yīng)用處理器101來確定,換句話說����,該應(yīng)用處理器101不能訪問存儲在加密塊中的密碼。
鍵盤驅(qū)動器或小鍵盤驅(qū)動器或其功能可直接以硬件�、即借助專門的電子電路、借助例如FPGA或ASIC或在多處理器環(huán)境中以軟件�����、借助計算機(jī)程序或以任意混合的形式��、即以任意部分硬件和軟件來實現(xiàn)�����。如果驅(qū)動器功能借助計算機(jī)程序來實現(xiàn),那么該計算機(jī)程序在可信核心處理器102上執(zhí)行并且關(guān)于所按下的按鍵或所按下的按鍵的交換符號的信息在使用處理器間通信(IPC)的情況下來傳送�。
以下說明用于激活第二數(shù)據(jù)輸入模式的不同的變型方案。
在第一變型方案中規(guī)定第二數(shù)據(jù)輸入模式的隱含的激活���。在隱含地激活第二數(shù)據(jù)輸入模式的情況下����,在用戶側(cè)不需要自己的動作��,以便數(shù)據(jù)處理設(shè)備轉(zhuǎn)換到第二數(shù)據(jù)輸入模式�����。一旦調(diào)用包含安全業(yè)務(wù)的功能(替代地�,該功能本身可以是安全業(yè)務(wù)),由可信核心處理器102所執(zhí)行的軟件獨立地激活第二數(shù)據(jù)輸入模式��,其中在該安全業(yè)務(wù)的范圍內(nèi)由用戶輸入的機(jī)密信息被處理����。這在可信核心處理器102側(cè)例如由此引起,即相應(yīng)的請求消息被該應(yīng)用處理器101接收�����,如在結(jié)合圖5中的流程圖500所說明的那樣。
在一個替代的擴(kuò)展方案中規(guī)定���,在使用專門的����、為此所設(shè)置的數(shù)據(jù)輸入模式改變按鍵的情況下明確地激活第二數(shù)據(jù)輸入模式或去激活該第二數(shù)據(jù)輸入模式���。在這種情況下����,通過按下專門的按鍵�����,數(shù)據(jù)輸入模式變化由用戶引起�����,其中該按鍵僅處于可信核心處理器102的控制之下��,即換句話說���,只有該可信核心處理器102可以接收并處理代表該專門的按鍵的按下的信息���。在這種情況下,應(yīng)用計算機(jī)程序在使用相應(yīng)的圖形用戶界面的情況下在輸入了密碼或PIN碼之后詢問用戶����。按照所示的輸入機(jī)密數(shù)據(jù)的請求,該用戶按下專門的按鍵��,并因此引起數(shù)據(jù)處理設(shè)備從第一數(shù)據(jù)輸入模式到第二�、安全數(shù)據(jù)輸入模式的過渡,并因此將對按鍵����、一般數(shù)據(jù)輸入單元的控制或擁有從該應(yīng)用處理器101轉(zhuǎn)交給可信核心處理器102。如上面結(jié)合不同的實施形式所說明的��,該可信核心處理器102例如在使用附加設(shè)置的發(fā)光二極管的情況下或借助在數(shù)據(jù)顯示單元上顯示的符號激活相應(yīng)的數(shù)據(jù)輸入模式顯示��,而該用戶可以緊接著在安全的環(huán)境中將密碼輸入到數(shù)據(jù)處理設(shè)備中�����。
下面,說明用于向相同用戶顯示數(shù)據(jù)處理設(shè)備的第二數(shù)據(jù)輸入模式��、即安全數(shù)據(jù)輸入模式的不同的可能性和實施替代方案���。
按照第一實施方案�,如在[4]中所說明的���,可信核心處理器102使用專門為此設(shè)置的發(fā)光二極管(或其它適當(dāng)?shù)妮敵鲈O(shè)備)以便向用戶顯示����,第二����、安全數(shù)據(jù)輸入模式被激活。
在這方面��,值得期望的是���,分別所使用的數(shù)據(jù)輸出設(shè)備只能由該可信核心處理器102、而不是由應(yīng)用處理器101來控制和支配���。安全的數(shù)據(jù)輸入模式的顯示一直被顯示給用戶����,如第二數(shù)據(jù)輸入模式被激活那樣。
按照一種替代的實施形式規(guī)定��,使用安全的顯示器��、替代地受保護(hù)的圖形用戶界面或圖形用戶界面的受保護(hù)的部分����,以便顯示數(shù)據(jù)處理設(shè)備的第二數(shù)據(jù)顯示模式。
這可以按以下方式來實現(xiàn)●例如如果使用移動無線電電信終端設(shè)備�����,那么請求用戶將個人代碼(數(shù)字序列或密碼)輸入到該移動無線電電信終端設(shè)備中���。
●將所輸入的代碼優(yōu)選地以加密的形式存儲在外部閃存中���,并在該外部閃存中設(shè)置標(biāo)記,以致初始化狀態(tài)被檢測���。這種用于安全地輸入機(jī)密數(shù)據(jù)的方法現(xiàn)在被初始化并準(zhǔn)備工作�。所有這些都在可信核心處理器102的控制下進(jìn)行�����。
●一旦建立準(zhǔn)備工作狀態(tài)(Betreibsbereitschaft),就執(zhí)行與上面結(jié)合[4]所說明的相同的方法�,具有以下區(qū)別如果該用戶想要執(zhí)行受保護(hù)的交易,則通過代替激活發(fā)光二極管而在數(shù)據(jù)顯示單元上向該用戶顯示用戶自己的個人代碼或用戶自己的密碼���,移動無線電電信終端設(shè)備顯示其安全數(shù)據(jù)輸入模式�。
●現(xiàn)在該用戶可執(zhí)行其受保護(hù)的交易�����。
按照另一個替代的擴(kuò)展方案規(guī)定����,使用可靠的顯示器(可信顯示器)來顯示數(shù)據(jù)處理設(shè)備的安全數(shù)據(jù)輸入模式。
在這種實施形式中�,設(shè)置有唯一的數(shù)據(jù)顯示單元,用于顯示可靠的應(yīng)用數(shù)據(jù)并且用于顯示安全數(shù)據(jù)輸入模式是否被激活���。
如果該安全數(shù)據(jù)輸入模式被激活���,那么規(guī)定只有數(shù)據(jù)顯示單元、優(yōu)選地圖形用戶界面的以可預(yù)先給定的方式可編程的子域或整個數(shù)據(jù)顯示單元��、優(yōu)選地整個圖形用戶界面只能由可信核心處理器102來控制����,即只能由可信核心處理器102來訪問它。應(yīng)用處理器101不具有對內(nèi)容的訪問權(quán)��,該內(nèi)容是在數(shù)據(jù)顯示單元或圖形用戶界面中或在分別所選擇的子域中顯示的信息���。這防止��,安裝在應(yīng)用處理器101上的有害的計算機(jī)程序代碼��、例如特洛伊木馬計算機(jī)程序能夠讀取或操作在數(shù)據(jù)顯示單元或圖形用戶界面上所顯示的機(jī)密信息�����。為了禁止應(yīng)用處理器101對相應(yīng)區(qū)域的訪問��,規(guī)定阻止在應(yīng)用處理器101上所執(zhí)行的計算機(jī)程序代碼被用于例如利用對用戶的任何類型的輸入請求來重寫數(shù)據(jù)顯示單元或數(shù)據(jù)顯示單元的相應(yīng)的受保護(hù)的子域或圖形用戶界面中的數(shù)據(jù)�。
這能夠以以下方式來實現(xiàn)●如果使用移動無線電電信終端設(shè)備�����,那么請求用戶借助數(shù)據(jù)輸入單元將個人代碼(例如數(shù)字序列或密碼)輸入到移動無線電電信終端設(shè)備中并且附加地����、可選地選出代表數(shù)字圖章的符號�����,借助該符號將第二數(shù)據(jù)輸入模式(可信輸入模式)顯示給該用戶����。所請求的在用戶側(cè)的輸入如果被實施���,則將其優(yōu)選地以加密的形式存儲到外部閃存中���,并且在該外部存儲器中設(shè)置標(biāo)記,由此初始化狀態(tài)被顯示�����。因此����,用于安全的數(shù)據(jù)輸入的方法被初始化并準(zhǔn)備工作。所有這些都在可信核心處理器102的控制下進(jìn)行�。應(yīng)用處理器101不能訪問這些數(shù)據(jù)。
●如果第二數(shù)據(jù)輸入模式被激活���,那么該方法與[4]中所說明的方法相同�,但具有以下區(qū)別如果該用戶想要執(zhí)行受保護(hù)的交易�,可信核心處理器102顯示其受保護(hù)的狀態(tài),在該狀態(tài)中其向用戶顯示用戶的個人代碼或用戶的個人密碼或在數(shù)據(jù)顯示單元的區(qū)域內(nèi)顯示由該用戶所選擇的�、代表數(shù)字圖章的符號,其中該符號是由用戶選擇的����,該區(qū)域只能由可信核心處理器102來控制,換句話說����,只有該可信核心處理器102能夠訪問該區(qū)域。
為了在數(shù)據(jù)顯示單元或圖形用戶界面上向用戶顯示可靠區(qū)域的區(qū)域��,可將該符號或個人代碼用作可靠區(qū)域的界線的模式�����,或者可在受保護(hù)的區(qū)域中設(shè)置數(shù)據(jù)顯示單元或圖形用戶界面的背景的相應(yīng)變化的顏色或相應(yīng)變化的模式�����。在[5]中����,這種顯示例如在使用可靠圖像的情況下實現(xiàn)�����。
替代地��,可使用光標(biāo)(遮蓋)���。按照該擴(kuò)展方案,該光標(biāo)的圖像只能由可信核心處理器來編程或控制���。該圖像取決于光標(biāo)在數(shù)據(jù)顯示單元內(nèi)或在圖形用戶界面內(nèi)的位置�����,并且取決于該位置是否屬于可靠的區(qū)域��。如果該光標(biāo)位于可靠的區(qū)域中����、即在受保護(hù)的區(qū)域中����,那么該光標(biāo)得到外觀���,該用戶選擇了該外觀來顯示受保護(hù)的數(shù)據(jù)輸入模式,并且如果光標(biāo)位于在受保護(hù)的區(qū)域之外��,向用戶顯示預(yù)先調(diào)節(jié)的光標(biāo)�,借助該光標(biāo)顯示正常數(shù)據(jù)輸入模式��。
在第二數(shù)據(jù)輸入模式中���,所執(zhí)行的借助用戶的數(shù)據(jù)輸入僅僅由可信核心處理器102來處理���。
按照另一擴(kuò)展方案規(guī)定,在數(shù)據(jù)顯示單元上顯示代表可靠圖像的像點卡或設(shè)置指令���,按照由用戶輸入的數(shù)據(jù)是否在不安全的數(shù)據(jù)輸入模式中被輸入并因此被輸送給應(yīng)用處理器101或該數(shù)據(jù)是否在安全的數(shù)據(jù)輸入模式中被輸入并且僅被輸送給可信核心處理器102���,將該圖像分別不同地顯示給用戶。
如果使用可編程的圖形用戶界面(掩碼)���,其中該圖形用戶界面按照外觀明確地代表相應(yīng)的數(shù)據(jù)輸入模式�,則可以在數(shù)據(jù)顯示單元內(nèi)設(shè)置用于數(shù)據(jù)說明的安全的和不安全的區(qū)域。
緊接著�,該用戶可在將機(jī)密數(shù)據(jù)輸入到數(shù)據(jù)處理設(shè)備中的情況下執(zhí)行其受保護(hù)的交易,或者他可以有把握的是�����,他可以信賴在屏幕��、一般數(shù)據(jù)顯示單元上所示出的信息��。
在本文中引用了以下公開出版物[1]Tom R.Halfhill���,ARM Dons Armor Microprocessor Report��,2003年8月25日��。
TPM Main Part 1 Design Principals��,Specification Version 1.2�,Revision62�,2003年10月2日。
R.Meinschein��,Trusted Computing Group Helping Intel Secure the PC����,Technology Intel Magazine���,Januar 2004-12-01。
EP 1 329 787 A2[5]EP 1 056 014 A1[6]US 2002/0068627 A1[7]WO 02/100016 A1[8]WO 99/61989 A1[9]US 2003/110402 A1[10]US 5,920,730
附圖標(biāo)記列表100數(shù)據(jù)處理設(shè)備101應(yīng)用處理器102可信核心處理器103鍵盤104數(shù)據(jù)105鍵盤外圍塊106系統(tǒng)總線107集成的系統(tǒng)控制器200移動無線電電信終端設(shè)備201殼體202天線203數(shù)據(jù)顯示單元204揚聲器205麥克風(fēng)206鍵區(qū)207數(shù)字鍵208接通鍵209斷開鍵210特殊功能按鍵211 SIM卡300移動無線電電信終端設(shè)備301 SIM卡302微處理器SIM卡303存儲器SIM卡400數(shù)據(jù)處理裝置401個人計算機(jī)402鍵盤403計算機(jī)鼠標(biāo)
404顯示器405芯片卡閱讀器406芯片卡407接口408接口409接口410接口500數(shù)據(jù)處理裝置501客戶計算機(jī)502客戶計算機(jī)503客戶計算機(jī)504客戶計算機(jī)505客戶計算機(jī)506鍵盤507鍵盤508鍵盤509鍵盤510鍵盤511電信網(wǎng)絡(luò)512服務(wù)器計算機(jī)600消息流圖601簽名請求消息602簽名請求603電子文件的說明604密匙標(biāo)識的說明605非易失性存儲器606秘密密匙簡檔607方法步驟608第一數(shù)據(jù)輸入模式的顯示609第一數(shù)據(jù)輸入模式變化請求消息
610方法步驟611確認(rèn)消息612方法步驟613方法步驟614第二數(shù)據(jù)輸入模式的顯示614方法步驟614方法步驟616秘密密匙617方法步驟618方法步驟619方法步驟620第二數(shù)據(jù)輸入模式變化消息621方法步驟622第二確認(rèn)消息623數(shù)字簽名700流程圖701方法步驟702方法步驟703方法步驟704方法步驟705檢驗步驟706方法步驟707方法步驟708方法步驟709方法步驟710方法步驟711方法步驟712方法步驟713方法步驟714方法步驟800數(shù)據(jù)處理設(shè)備801修改過的鍵盤外圍塊
802掃描和去抖動邏輯803開關(guān)單元804掃描結(jié)果寄存器805計算機(jī)總線接口806控制寄存器807選擇信號
權(quán)利要求
1.一種數(shù)據(jù)處理設(shè)備��,·具有用于將數(shù)據(jù)輸入到數(shù)據(jù)處理設(shè)備中的數(shù)據(jù)輸入單元��;·具有第一處理器���;·具有第二處理器���;·其中��,這樣來設(shè)立所述第一處理器�����,使得所述第一處理器在第一數(shù)據(jù)輸入模式中接收并處理被輸入到所述數(shù)據(jù)輸入單元中的數(shù)據(jù)���,其中所述第一處理器在所述第一數(shù)據(jù)輸入模式中具有對所述數(shù)據(jù)輸入單元的控制�����;·其中����,這樣來設(shè)立所述第二處理器,使得所述第二處理器在第二����、安全相關(guān)的數(shù)據(jù)輸入模式中接收并處理被輸入到所述數(shù)據(jù)輸入單元中的數(shù)據(jù),其中所述第二處理器在所述第二數(shù)據(jù)輸入模式中具有對所述數(shù)據(jù)輸入單元的控制�。
2.根據(jù)權(quán)利要求1所述的數(shù)據(jù)處理設(shè)備,其中�,所述數(shù)據(jù)輸入單元是以下數(shù)據(jù)輸入單元之一·鍵盤;·數(shù)據(jù)通信接口�����;·觸摸墊��;·觸摸敏感的顯示單元����;·計算機(jī)鼠標(biāo)���;·麥克風(fēng)����。
3.根據(jù)權(quán)利要求1或2所述的數(shù)據(jù)處理設(shè)備,其中��,所述第一處理器被設(shè)立為應(yīng)用處理器�,用于執(zhí)行應(yīng)用計算機(jī)程序。
4.根據(jù)權(quán)利要求1至3之一所述的數(shù)據(jù)處理設(shè)備���,其中�,由所述第一處理器來執(zhí)行開放式操作系統(tǒng)���。
5.根據(jù)權(quán)利要求4所述的數(shù)據(jù)處理設(shè)備���,其中,所述開放式操作系統(tǒng)具有至少一個操作系統(tǒng)外部通信接口��。
6.根據(jù)權(quán)利要求4或5所述的數(shù)據(jù)處理設(shè)備����,其中���,所述開放式操作系統(tǒng)是·Windows操作系統(tǒng)���,·Linux操作系統(tǒng)�,·Unix操作系統(tǒng)��,·Symbian操作系統(tǒng)��,或者·Java平臺.
7.根據(jù)權(quán)利要求1至6之一所述的數(shù)據(jù)處理設(shè)備�,其中,這樣來設(shè)立所述第二處理器��,使得只有一個或多個可靠的計算機(jī)程序可由所述第二處理器來執(zhí)行����。
8.根據(jù)權(quán)利要求7所述的數(shù)據(jù)處理設(shè)備,其中��,可靠的計算機(jī)程序是完整性受保護(hù)的計算機(jī)程序���。
9.根據(jù)權(quán)利要求8所述的數(shù)據(jù)處理設(shè)備����,其中���,完整性受保護(hù)的計算機(jī)程序是以加密方式被保護(hù)完整性的計算機(jī)程序����。
10.根據(jù)權(quán)利要求7至9之一所述的數(shù)據(jù)處理設(shè)備,其中���,可靠的計算機(jī)程序被設(shè)立用于提供至少一個安全相關(guān)的業(yè)務(wù)�����。
11.根據(jù)權(quán)利要求10所述的數(shù)據(jù)處理設(shè)備��,其中��,所述安全相關(guān)的業(yè)務(wù)是加密安全業(yè)務(wù)��。
12.根據(jù)權(quán)利要求11所述的數(shù)據(jù)處理設(shè)備�,其中���,所述加密安全業(yè)務(wù)在使用至少一個加密密匙的情況下來提供�。
13.根據(jù)權(quán)利要求12所述的數(shù)據(jù)處理設(shè)備���,其中,所述加密安全業(yè)務(wù)在使用至少一個秘密的加密密匙和/或至少一個公開的加密密匙的情況下來提供����。
14.根據(jù)權(quán)利要求11至13之一所述的數(shù)據(jù)處理設(shè)備�����,其中����,所述加密安全業(yè)務(wù)是下列安全業(yè)務(wù)中的至少一個·數(shù)字簽名���,·數(shù)字圖章����,·鑒權(quán)��,·數(shù)據(jù)加密�,·接入控制,·訪問控制���,·阻止在數(shù)據(jù)通信范圍內(nèi)的業(yè)務(wù)分析��,·散列方法���。
15.根據(jù)權(quán)利要求1至14之一所述的數(shù)據(jù)處理設(shè)備���,具有用于顯示所輸入的數(shù)據(jù)的至少一部分的數(shù)據(jù)顯示單元。
16.根據(jù)權(quán)利要求15所述的數(shù)據(jù)處理設(shè)備�,這樣來設(shè)立,使得所述第二處理器在所述第二數(shù)據(jù)輸入模式中接收所輸入的數(shù)據(jù)并將與所輸入的數(shù)據(jù)相比不同的����、優(yōu)選地具有相同數(shù)目的數(shù)據(jù)符號的數(shù)據(jù)傳送給所述第一處理器和/或所述數(shù)據(jù)顯示單元。
17.根據(jù)權(quán)利要求16所述的數(shù)據(jù)處理設(shè)備���,這樣來設(shè)立��,使得由所述第二處理器傳送給所述第一處理器和/或所述數(shù)據(jù)顯示單元的數(shù)據(jù)是預(yù)先給定的數(shù)據(jù)符號的序列����、尤其是一個預(yù)先給定的數(shù)據(jù)符號的序列��,其中所述數(shù)據(jù)符號的數(shù)目與所輸入的數(shù)據(jù)的數(shù)據(jù)符號的數(shù)目相等���。
18.根據(jù)權(quán)利要求15至17之一所述的數(shù)據(jù)處理設(shè)備����,其中,這樣來設(shè)立所述第二處理器���,使得所述第二處理器在所述第二數(shù)據(jù)輸入模式中將安全模式顯示信息傳送給所述第一處理器和/或所述數(shù)據(jù)顯示單元。
19.根據(jù)權(quán)利要求18所述的數(shù)據(jù)處理設(shè)備����,其中,所述安全模式顯示信息是可視信息和/或音頻信息��。
20.根據(jù)權(quán)利要求1至19之一所述的數(shù)據(jù)處理設(shè)備����,具有處理器間通信單元,用于在將對所述數(shù)據(jù)輸入單元的控制從所述第一處理器移交給所述第二處理器或者從所述第二處理器移交給所述第一處理器的范圍內(nèi)執(zhí)行所述第一處理器和所述第二處理器之間的通信�。
21.根據(jù)權(quán)利要求1至19之一所述的數(shù)據(jù)處理設(shè)備,具有數(shù)據(jù)輸入單元驅(qū)動單元�,這樣來設(shè)立所述數(shù)據(jù)輸入單元驅(qū)動單元,使得在所述第一數(shù)據(jù)輸入模式中所輸入的數(shù)據(jù)被傳送給所述第一處理器��;以及在所述第二數(shù)據(jù)輸入模式中所輸入的數(shù)據(jù)被傳送給所述第二處理器�����。
22.根據(jù)權(quán)利要求21所述的數(shù)據(jù)處理設(shè)備���,其中����,這樣來設(shè)立所述數(shù)據(jù)輸入單元驅(qū)動單元,使得與在所述第二數(shù)據(jù)輸入模式中所輸入的數(shù)據(jù)相比不同的�����、優(yōu)選地具有相同數(shù)目的數(shù)據(jù)符號的數(shù)據(jù)被傳送給所述第一處理器和/或所述數(shù)據(jù)顯示單元����。
23.根據(jù)權(quán)利要求22所述的數(shù)據(jù)處理設(shè)備,其中���,被傳送給所述第一處理器和/或所述數(shù)據(jù)顯示單元的數(shù)據(jù)是預(yù)先給定的數(shù)據(jù)符號的序列���、尤其是一個預(yù)先給定的數(shù)據(jù)符號的序列,其中����,所述數(shù)據(jù)符號的數(shù)目與所輸入的數(shù)據(jù)的數(shù)據(jù)符號的數(shù)目相等。
24.根據(jù)權(quán)利要求1至23之一所述的數(shù)據(jù)處理設(shè)備���,其中��,所述第二處理器被設(shè)立為數(shù)字信號處理器���。
25.根據(jù)權(quán)利要求1至23之一所述的數(shù)據(jù)處理設(shè)備��,其中,所述第二處理器被設(shè)立為芯片卡處理器�。
26.根據(jù)權(quán)利要求1至23之一所述的數(shù)據(jù)處理設(shè)備,其中�,所述第二處理器被集成在電信終端設(shè)備的用戶識別模塊中。
27.具有根據(jù)權(quán)利要求1至26之一所述的數(shù)據(jù)處理設(shè)備的電信終端設(shè)備�。
28.用于借助數(shù)據(jù)處理設(shè)備來進(jìn)行數(shù)據(jù)處理的方法,·其中�,借助數(shù)據(jù)輸入單元將數(shù)據(jù)輸入到所述數(shù)據(jù)處理設(shè)備中;·其中�����,由第一處理器在第一數(shù)據(jù)輸入模式中接收并處理被輸入到所述數(shù)據(jù)輸入單元中的數(shù)據(jù)��,其中所述第一處理器在所述第一數(shù)據(jù)輸入模式中具有對所述數(shù)據(jù)輸入單元的控制����;以及·其中,由第二處理器在第二���、安全相關(guān)的數(shù)據(jù)輸入模式中接收并處理被輸入到所述數(shù)據(jù)輸入單元中的數(shù)據(jù)����,其中所述第二處理器在所述第二數(shù)據(jù)輸入模式中具有對所述數(shù)據(jù)輸入單元的控制。
全文摘要
設(shè)置有用于輸入數(shù)據(jù)的數(shù)據(jù)輸入單元以及第一處理器和第二處理器��。該第一處理器被設(shè)立用于接收和處理在第一數(shù)據(jù)輸入模式中被輸入到數(shù)據(jù)輸入單元中的數(shù)據(jù)��,而第二處理器被設(shè)立用于接收和處理在第二�、安全相關(guān)的數(shù)據(jù)輸入模式中被輸入到數(shù)據(jù)輸入單元中的數(shù)據(jù)。
文檔編號G06F21/74GK1794256SQ20051013585
公開日2006年6月28日 申請日期2005年12月23日 優(yōu)先權(quán)日2004年12月23日
發(fā)明者E·德夫斯, M·戈德克, U·希德布蘭德, D·詹寧斯 申請人:因芬尼昂技術(shù)股份公司