專利名稱:具有安全模塊和多個電子設(shè)備的系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及ー種具有多個電子設(shè)備和牢固地綁定到其中一個電子設(shè)備的安全模塊的系統(tǒng)。此外����,本發(fā)明涉及ー種電子設(shè)備����,其具有牢固地綁定到該電子設(shè)備的安全模塊。
背景技術(shù):
向計算機系統(tǒng)提供安全模塊是已為人所知的�����,將所述安全模塊形成為牢固地綁定到該計算機系統(tǒng)上的安全芯片��。當這樣的安全模塊符合可信計算組織(Trusted Computing Group,TGC)的規(guī)范時����,也將它稱為可信平臺模塊(簡寫為TPM)。這些規(guī)范允許已定義的安全標準��。在安全模塊的幫助下���,可以將計算機系統(tǒng)識別為可信賴的����,并且可以保護計算機系統(tǒng)不被操縱(manipulation)。當利用這樣的計算機系統(tǒng)執(zhí)行安全相關(guān)操作時,這是特別有益的��?�?梢越?jīng)由定義的接ロ通過操作系統(tǒng)或計算機系統(tǒng)的應(yīng)用軟件來訪問該安全模塊����。例如,可以將安全模塊用作安全存儲器���,即保護其不會受到未授權(quán)的訪問���。在此,具體地是可以將計算機系統(tǒng)的狀態(tài)存儲在安全模塊中�。例如服務(wù)器的第三方可以請求所存儲的計算機系統(tǒng)的狀態(tài)。為了以對于接收者來說是可信賴的方式確保發(fā)送給接收者的數(shù)據(jù)不被操縱���,安全模塊可以例如利用RSA簽名功能來執(zhí)行認證傳輸����。此外���,安全模塊可以用來執(zhí)行進一歩的加密算法����,諸如HMAC、生成隨機數(shù)等�。利用已知的安全模塊,已能夠以高效的方式保護計算機系統(tǒng)���。然而,計算機系統(tǒng)的故障或操縱可以導(dǎo)致下述事實即安全模塊無法提供任何有用的信息�,并且因此利用該安全模塊不能確定計算機系統(tǒng)的實際狀態(tài)。蓄意導(dǎo)致的安全模塊的故障并結(jié)合其它操縱甚至可能被潛在地用于偽造第三方可訪問的合適功能�����。此外�����,從W000/14984A中可了解到用于兩個電子設(shè)備(例如移動電話和銀行終端)彼此進行認證��、通過加密來保護這兩者之間的通信的安全模塊�,使得以此允許例如通過每個移動電話而執(zhí)行的對銀行終端的安全交易。安全模塊具有用干與第一設(shè)備(例如移動電話)進行連接的第一接口和用干與第二電子設(shè)備(例如電話終端中的對應(yīng)安全模塊)進行通信的第二接ロ(特別是被形成為藍牙接ロ)�����。為了使用它,將安全模塊與設(shè)備之一(例如移動電話)連接�,利用于此,則用戶開始與另ー設(shè)備(例如銀行終端)通信��,并且執(zhí)行例如交易���。在此�����,安全模塊充當安全媒介(intermediary)����。
發(fā)明內(nèi)容
本發(fā)明基于下述問題即可靠地確保牢固地綁定到電子設(shè)備的安全模塊的使用性倉^:����。
通過具有權(quán)利要求I的特征組合的系統(tǒng)和根據(jù)權(quán)利要求21的電子設(shè)備來解決該問題。根據(jù)本發(fā)明的系統(tǒng)具有第一電子設(shè)備��、安全模塊和第二電子設(shè)備��。所述安全模塊被牢固地綁定到第一電子設(shè)備��,并且具有用于安全存儲數(shù)據(jù)和/或用于執(zhí)行加密操作的安全單元以及用干與第一電子設(shè)備通信的第一接ロ。根據(jù)本發(fā)明的系統(tǒng)的特有特征在于所述安全模塊具有用于自發(fā)執(zhí)行與所述第二電子設(shè)備的直接非接觸通信的第二接ロ����。具體地,所述第二電子設(shè)備可以是外部設(shè)備��。本發(fā)明具有的優(yōu)點是��,可靠地確保了第二電子設(shè)備與第一電子設(shè)備的安全模塊通 信的可能性���。由于其獨立于第一電子設(shè)備和安全模塊之間的連接而起作用��,所以這樣的通信特別在第一電子設(shè)備的操縱或故障的情況下仍然是可能的和可信賴的,并且可以以標準方式來執(zhí)行��。這意味著在安全模塊的幫助下�,可以以較高的安全級別來檢查該第一電子設(shè)備的可信性。優(yōu)選地,所述第一接ロ電連接(galvanically)到該第一電子設(shè)備上���。所述第二接ロ可以被形成為安全単元的集成部分��。在第一變型中�����,所述第二接ロ被形成為無源非接觸接ロ���。這樣的優(yōu)點是�,即使在第ー電子設(shè)備完全發(fā)生故障的情況下���,安全模塊仍然是可操作的�����,并且可與第二電子設(shè)備通信����。在此�����,存在經(jīng)由該無源非接觸接ロ向所述安全模塊非接觸地提供操作所需的能量的可能性�����。由此�,即使當?shù)谝浑娮釉O(shè)備不向安全模塊提供任何工作電壓時,也可以操作該安全摸塊��。在第二變型中,所述第二接ロ被形成為有源非接觸接ロ����。這樣,其允許與第二電子設(shè)備的通信����,該通信本身不能產(chǎn)生用于非接觸數(shù)據(jù)傳輸?shù)膱觥.斢性捶墙佑|接ロ在不同通信模式中均可操作吋���,這特別有利�����。這允許與所形成的各種通信伙伴進行通信���。安全模塊也可以具有無源非接觸接口和有源非接觸接ロ����。這樣的優(yōu)點是可以使用兩個接ロ的變型。在此�����,所述安全模塊可以具有控制設(shè)備,用于選擇地激活無源非接觸接ロ或有源非接觸接ロ����。具體地,該控制設(shè)備可以依賴于是否從第一電子設(shè)備向安全模塊提供工作電壓來實現(xiàn)所述激活����。由此,可以確保例如在工作電壓的中斷期仍然可經(jīng)由無源非接觸接ロ來訪問安全模塊�。優(yōu)選地,根據(jù)NFC標準來形成有源非接觸接ロ���。經(jīng)由該第二接ロ�,可以向第二電子設(shè)備發(fā)送例如存儲在安全單元中的數(shù)據(jù)�����。具體地�,這樣的數(shù)據(jù)可以是加密數(shù)據(jù)或第一電子設(shè)備的診斷數(shù)據(jù)。此外��,可以認為�,只有當?shù)谝浑娮釉O(shè)備和第二電子設(shè)備是已釋放彼此之間的數(shù)據(jù)傳輸?shù)碾娮釉O(shè)備組的成員時,才發(fā)送數(shù)據(jù)�����。以該方式,可以執(zhí)行例如屬于同ー個人的電子設(shè)備之間的不復(fù)雜的數(shù)據(jù)傳輸��。所述第二電子設(shè)備可以具有安全模塊��,該安全模塊與第一電子設(shè)備的安全模塊直接非接觸地通信�。經(jīng)由該第二接ロ,例如��,可以實現(xiàn)無現(xiàn)金支付交易�,利用其可以獲得存儲在該安全単元中的授權(quán)。也可以經(jīng)由該第二接ロ向第一電子設(shè)備的安全模塊發(fā)送輸入到第二電子設(shè)備中的密碼����。例如,第一電子設(shè)備可以是計算機或移動電話����。例如,第二電子設(shè)備可以是RFID讀取設(shè)備�、NFC設(shè)備�、非接觸芯片卡、計算機或移動電話����。優(yōu)選地����,將安全模塊形成為可信平臺模塊�。本發(fā)明還涉及ー種電子設(shè)備,該電子設(shè)備具有牢固地綁定到其上的安全模塊�。所述安全模塊具有用于安全地存儲數(shù)據(jù)和/或執(zhí)行加密操作的安全單元以及用干與該電子設(shè)備進行通信的第一接ロ。根據(jù)本發(fā)明的電子設(shè)備的特有特征在于�����,該安全模塊具有用于獨立于該電子設(shè)備而自發(fā)執(zhí)行外部非接觸通信的第二接ロ���。
下面��,將參考附圖中示出的實施例來解釋本發(fā)明����。圖I示出了具有根據(jù)本發(fā)明形成的安全模塊的系統(tǒng)的第一實施例的示意圖�,圖2示出了具有安全模塊的系統(tǒng)的第二實施例的示意圖,圖3示出了具有安全模塊的系統(tǒng)的第三實施例的示意圖�����,以及圖4示出了具有安全模塊的系統(tǒng)的第四實施例的示意圖。
具體實施例方式圖I示出了具有根據(jù)本發(fā)明形成的安全模塊I的系統(tǒng)的第一實施例的示意圖�。將安全模塊I形成為電子設(shè)備2 (例如個人計算機、個人數(shù)字助理(PDA)或移動電話)的組件�,并且該安全模塊I具有安全単元3、設(shè)備接ロ 4和無源非接觸接ロ 5�����。安全単元3提供各種安全功能�,諸如存儲用于安全訪問的數(shù)據(jù)、根據(jù)可信計算組織(TGC)的規(guī)范執(zhí)行加密操作等����,從而可以將安全模塊I用作可信平臺模塊(TPM)。因而���,利用電子設(shè)備2(単獨使用該電子設(shè)備2是不安全的)中的安全模塊1���,可以實現(xiàn)某種安全標準。設(shè)備接ロ 4和無源非接觸接ロ 5的每ー個都與安全單元3連接����。經(jīng)由設(shè)備接ロ4,存在到電子設(shè)備2的軟件6的通信連接���。電子設(shè)備2的軟件6例如是操作系統(tǒng)或應(yīng)用軟件�。例如��,將該通信連接形成為到個人計算機的母板���、到PDA的微處理器或到移動電話的控制器的電連接�。具體地�����,經(jīng)由該通信連接�,形成了用于確保電子設(shè)備2的可信賴性所需要的安全単元3與電子設(shè)備2的軟件6的通信。此外�����,可以經(jīng)由這樣的通信連接建立到例如因特網(wǎng)的網(wǎng)絡(luò)7的連接�。經(jīng)由無源非接觸接ロ 5,可以建立獨立于設(shè)備接ロ 4的通信連接的���、用于執(zhí)行與第ニ電子設(shè)備9���、10的通信的通信連接��。因為這兩個通信連接獨立����,所以可以自發(fā)地實現(xiàn)經(jīng)由無源非接觸接ロ 5執(zhí)行的通信����。在其它情況中,可以在任何時間點執(zhí)行經(jīng)由接ロ 5的通信�����。第二電子設(shè)備9����、10可以是外部設(shè)備。為了非接觸通信�,將天線線圈8連接到無源非接觸接ロ 5?���?梢詫⑻炀€線圈8直接放置在安全模塊I上,例如���,安全模塊I具有安全芯片的形式��。將單獨地(take alone)應(yīng)用在半導(dǎo)體芯片上的天線稱作“片上線圈(coil onchip) ”�。在天線線圈8的本實施例中,非接觸通信的范圍非常小��,通常限于在幾毫米到幾厘米之間的范圍���。因而,對于較大的電子設(shè)備2����,為了允許外部通信伙伴可以與安全模塊I非接觸地通信,可能首先需要必須機械打開第一電子設(shè)備2���。作為直接在安全模塊I上進行布置的替代�,天線線圈8也可以安裝在電子設(shè)備2的可良好訪問的位置�,并且經(jīng)由例如同軸電纜的線纜連接而與安全模塊I的無源非接觸接ロ 5連接。例如��,合并天線線圈8的可能位置是個人計算機的51/4”間格(bay)�。此外,也可以將天線線圈8形成為外部組件�����,并且經(jīng)由插入式類型的線纜連接而連接到電子設(shè)備2。��、在這種情況下�,例如,可以將天線線圈8容納在討人喜歡的(appealing)設(shè)計的外殼中�,可以將該外殼設(shè)置成與電子設(shè)備2分開。在圖I中�����,通過示例的方式將RFID讀取設(shè)備9和NFC設(shè)備10示出為用于與安全模塊I進行非接觸通信的通信伙伴�。在此,RFID代表射頻識別����。NFC代表鄰近場通信(nearfield communication),并且指代利用高頻交流磁場(例如具有13. 56兆赫茲頻率)的數(shù)據(jù)傳輸。例如����,根據(jù)標準IS0/IEC 14443形成RFID讀取設(shè)備9,并且該RFID設(shè)備9具有天線線圈11�。NFC設(shè)備10具有天線線圈12,并且在與安全模塊I的無源非接觸接ロ 5的通信中作為讀取器而工作�。當電子設(shè)備2被接通時����,它向安全模塊I提供所需的工作電壓����,使得安全模塊I可操作,并且例如能夠記錄經(jīng)由設(shè)備接ロ 4而接收到的電子設(shè)備2的操作參數(shù)���,以對電子設(shè)備2等執(zhí)行加密操作�。此外��,即使當將電子設(shè)備2被關(guān)斷時或由于其它原因而無法向安全模塊I提供任 何工作電壓吋���,圖I中所示的安全模塊I的構(gòu)成也允許安全模塊I的操作。當安全模塊I的天線線圈I位于足夠強的場的區(qū)域內(nèi)時���,總可以進行獨立于電子設(shè)備2的���、安全模塊I的這樣的操作。在這種情況下��,可以將在天線線圈8中感應(yīng)出的���、并且提供給無源非接觸接ロ 5的電壓用作安全模塊I的工作電壓��。因而����,利用RFID讀取設(shè)備9和NFC設(shè)備10都可以產(chǎn)生合適的場,并且該場具有例如13. 56兆赫茲的頻率����。具體地,當由電子設(shè)備2提供工作電壓吋��,總是向安全模塊I提供由電子設(shè)備2所提供的工作電壓�。如果經(jīng)由電子設(shè)備2不可獲得工作電壓并且仍然希望安全模塊I工作,則通過經(jīng)由天線線圈8到無源非接觸接ロ 5的非接觸能量傳輸來產(chǎn)生工作電壓����。無源非接觸接ロ 5不只是為了接收能量的目的,而且還非接觸地發(fā)送和接收數(shù)據(jù)��,優(yōu)選地是其利用與發(fā)送能量相同的場���。這意味著�,安全模塊I可獨立于電子設(shè)備2的功能狀態(tài)或操作狀態(tài)而工作���,并且具體地�,其能夠與外部世界進行通信。電子設(shè)備2既不能阻止也不能操縱該通信���,從而所發(fā)送的數(shù)據(jù)是非?�?煽康?����。優(yōu)選地���,安全模塊I能夠經(jīng)由無源非接觸接ロ 5(例如經(jīng)由可信信道)執(zhí)行安全通信�����。這樣��,利用安全模塊I可以實現(xiàn)例如對電子設(shè)備2的可靠監(jiān)控或可靠地保護重要數(shù)據(jù)不會丟失��。下面更詳細地描述安全模塊I的具體應(yīng)用��。除非給出不同的解釋��,否則關(guān)于第一實施例的所有描述也適用于其它實施例。圖2示出了具有安全模塊I的系統(tǒng)的第二實施例的示意圖��。在第二實施例中�,安全模塊I具有有源非接觸接ロ 13,而不是無源非接觸接ロ 5�。利用該有源非接觸接ロ 13能夠為安全模塊I額外地提供作為通信伙伴的非接觸芯片卡14。至于其它部分�����,該第二實施例與圖I中所不的第一實施例相對應(yīng)���。有源非接觸接ロ 13本身能夠產(chǎn)生例如13. 56兆赫茲頻率的高頻交流磁場���。利用該高頻交流磁場,即使當天線線圈8不在通信伙伴的場中時�����,有源非接觸接ロ 13也可以執(zhí)行通信��。例如��,這允許有源非接觸接ロ 13與非接觸芯片卡14的通信�����,其在通信能力方面類似于根據(jù)第一實施例的安全模塊I的無源非接觸接ロ 5。但是這需要向安全模塊I提供用于對有源非接觸接ロ 13進行操作的能量����。這意味著,只有當電子設(shè)備2向安全模塊I提供了足夠的工作電壓時�,才能夠操作安全模塊1,具體而言是經(jīng)由有源非接觸接ロ 13的通信����。例如,將有源非接觸接ロ 13形成為NFC接ロ��,于是其具有與NFC設(shè)備10類似的通信能力�。對于與圖2中所示的通信伙伴的通信,有源非接觸接ロ 13可以不同通信模式工作��。例如對于與RFID讀取設(shè)備9的通信�,以“卡”通信模式來操作有源非接觸接ロ 13����。在這樣的通信模式中,有源非接觸接ロ 13類似于卡來工作�,并且例如根據(jù)標準ISO/IEC 14443與RFID讀取設(shè)備9進行通信��。對于與NFC設(shè)備10的通信��,以“端對端”通信模式來操作有源非接觸接ロ 13����,即在相同類型的通信伙伴之間發(fā)生通信�。最后,對于與非接觸芯片卡14的通信�����,提供了 “讀取器”通信模式��,利用該通信模式��,有源非接觸接ロ 13類似于讀取設(shè)備來進行工作�����,并且例如根據(jù)標準ISO/IEC 14443或ISO/IEC 15693而進行通信��。從而�,有源非接觸接ロ 13提供比無源非接觸接ロ 5更強的通信能力。但是,只有當電子設(shè)備2向安全模塊I提供工作電壓時�,有源非接觸接ロ 13才可使用,而無源非接觸接ロ 5允許安全模塊I獨立于電子設(shè)備2而工作�����。圖3中所示的另ー實施例共同具有所有這些優(yōu)點�����。圖3示出了具有安全模塊I的系統(tǒng)的第三實施例的示意圖�����。在第三實施例中��,安全模塊I既具有第一實施例的無源非接觸接ロ 5�,也具有第二實施例的有源非接觸接ロ 13,這兩個接ロ并聯(lián)連接并且可以選擇性地工作���。在此����,安全模塊I具有第一切換設(shè)備15����、第二切換設(shè)備16和電壓檢測器17。第一切換設(shè)備15依賴于其切換狀態(tài)而將安全單元3與無·源非接觸接ロ 5或與有源非接觸接ロ 13連接�。第二切換設(shè)備16依賴于其切換狀態(tài)而將天線線圈8與無源非接觸接ロ 5或與有源非接觸接ロ 13連接。電壓檢測器17監(jiān)視由電子設(shè)備2提供給安全模塊I的工作電壓�,并且控制兩個切換設(shè)備15和16。當電壓檢測器17檢測到足夠的工作電壓時����,其以將安全單元3和天線線圈8的每ー個都與有源接觸接ロ 13連接的方式驅(qū)動這兩個切換設(shè)備15和16。在這種情況下�����,可獲得第二實施例所描述的功能���。然而��,當電壓檢測器17檢測到工作電壓太低時��,其以將安全単元3和天線線圈8的每ー個都與無源接觸接ロ 5連接的方式驅(qū)動這兩個切換設(shè)備15和16���。在這種情況下,可獲得第一實施例所描述的功能�。圖4示出了具有安全模塊I的系統(tǒng)的第四實施例的示意圖。以與圖I中所示的第一實施例相應(yīng)的方式形成安全模塊I。其中合并了安全模塊I的電子設(shè)備2具有軟件棧18���、系統(tǒng)軟件19和應(yīng)用軟件20����,并且與網(wǎng)絡(luò)7連接��。此外����,圖4中不出了另一電子設(shè)備21,該電子設(shè)備21與電子設(shè)備2的安全模塊I非接觸地通信。這樣的另ー電子設(shè)備21具有擁有天線線圈11的RFID讀取設(shè)備9����、擁有天線線圈12的NFC設(shè)備10、安全單元22���、設(shè)備接ロ 23��、軟件棧24����、系統(tǒng)軟件25����、應(yīng)用軟件26和鍵盤27�。經(jīng)由RFID讀取設(shè)備9或NFC設(shè)備10�,另ー電子設(shè)備21可以直接與電子設(shè)備2的安全模塊I的無源非接觸接ロ 5進行非接觸通信���。在所描述的具有安全模塊I的系統(tǒng)的實施例中�,存在使用安全模塊I的性能的多種可能�,具體而言是直接非接觸數(shù)據(jù)傳輸?shù)男阅堋O旅?����,通過示例的方式描述幾種可能的應(yīng)用���。如果在這些應(yīng)用中��,需要確保安全模塊I的操作獨立于電子設(shè)備2的狀態(tài)�,則將使用如圖I�����、圖3和圖4中所示的具有無源非接觸接ロ 5的安全模塊I之一�?�?商娲?�,可以使用如圖2中所示的����、只有當電子設(shè)備2向安全模塊I提供工作電壓時才工作的具有有源非接觸接ロ 13的安全模塊I��。在第一應(yīng)用中�����,使用無源非接觸接ロ 5來產(chǎn)生安全模塊I的數(shù)據(jù)的備份��。當因為例如電源不足或發(fā)生其他硬件故障或軟件錯誤而導(dǎo)致電子設(shè)備2不可操作�����,該應(yīng)用是特別有益的�。同樣,也可能發(fā)生軟件6或系統(tǒng)軟件19或應(yīng)用軟件20被操縱的情況�����,使得這些軟件不再可信賴���。例如�����,在第一應(yīng)用中��,圖4中所示的另ー電子設(shè)備21利用RFID讀取設(shè)備9或利用NFC設(shè)備10經(jīng)由無源非接觸接ロ 5與安全模塊I通信��。在成功地認證之后��,將安全単元3的數(shù)據(jù)發(fā)送到另ー電子設(shè)備21并存儲在那里��。這些數(shù)據(jù)例如可以是諸如非対稱RSA密鑰的加密算法密鑰�����,該密鑰用于加密或解密和/或創(chuàng)建數(shù)據(jù)簽名����,或者這些數(shù)據(jù)可以是密碼���??梢詫陌踩KI發(fā)送的數(shù)據(jù)存儲在另ー電子設(shè)備21的安全単元22中�,或?qū)⒃摂?shù)據(jù)發(fā)送到另一可操作并且可信賴的電子設(shè)備的安全模塊中���。如果讀取出用于對硬盤進行加密的密鑰或用于對這樣密鑰進行加密的密鑰,則可以使用這些密鑰來對存儲在電子設(shè)備2的存儲器上的加密數(shù)據(jù)進行解密�����。萬一電子設(shè)備2發(fā)生故障���,則這樣的數(shù)據(jù)在沒有備份機制時是不可恢復(fù)的��。第二應(yīng)用是利用RFID讀取設(shè)備9或NFC設(shè)備10���,經(jīng)由無源非接觸接ロ 5從安全模塊I讀取出電子設(shè)備2的診斷數(shù)據(jù)。診斷數(shù)據(jù)可以是關(guān)于例如BIOS����、操作系統(tǒng)、應(yīng)用程序的 系統(tǒng)狀態(tài)的測量數(shù)據(jù)�。在電子設(shè)備2的引導(dǎo)處理期間根據(jù)TCG的概念測量該測量數(shù)據(jù),并把該測量數(shù)據(jù)存儲在所謂的平臺配置寄存器(PCR)中的安全単元3中�。授權(quán)的用戶可以直接從這樣的PCR中讀取出該測量數(shù)據(jù)。發(fā)生故障或被操縱的系統(tǒng)軟件19或應(yīng)用軟件20不能阻止向授權(quán)的用戶傳遞該測量數(shù)據(jù)��。利用這些可靠保留的PCR數(shù)據(jù)�,例如管理者的用戶可以確定軟件6或系統(tǒng)軟件19或應(yīng)用軟件20的哪些區(qū)域仍然是可信賴的�,以及哪些區(qū)域是不可信賴的�����。萬一電子設(shè)備2完全故障�����,也可以從安全模塊I讀取出該測量數(shù)據(jù)��。第三應(yīng)用涉及服務(wù)要求的安全獲取和安全存儲����。這樣的服務(wù)要求可以是用于公共 交通的票據(jù)���、入場票或其它與金錢等價的服務(wù)�����。例如經(jīng)由網(wǎng)絡(luò)7可以將服務(wù)要求可靠地加載到安全模塊I中��。為此��,TCG提供了特定協(xié)議��,諸如具有TCG規(guī)定的在線TLS連接���?����?梢岳肦FID讀取設(shè)備9或NFC設(shè)備10�����,經(jīng)由安全模塊I的無源非接觸接ロ 5來實現(xiàn)付費處理����。為此�,優(yōu)選地,經(jīng)由安全信道來執(zhí)行安全傳輸�����?�?梢岳肦FID讀取設(shè)備9或NFC設(shè)備
10���、安全単元22和軟件棧23來建立這樣的安全信道���。第四應(yīng)用涉及經(jīng)由另ー電子設(shè)備21的鍵盤27或另ー輸入單元來安全輸入密碼����。利用RFID讀取設(shè)備9或NFC設(shè)備10�����,經(jīng)由無源非接觸接ロ 5向電子設(shè)備2的安全單元3發(fā)送該密碼����。非接觸傳輸允許直接傳輸路徑。由此����,降低了電子設(shè)備2的可能被操縱的系統(tǒng)軟件19或應(yīng)用軟件20盜取密碼的風(fēng)險��。隨著近來的發(fā)展��,也可以通過電子設(shè)備2和另ー電子設(shè)備21之間的安全加密信道來實現(xiàn)密碼傳輸�。根據(jù)TCG的概念,特別是利用安全単元3和22����,可以建立安全信道�。第五應(yīng)用涉及例如CD的便攜式數(shù)據(jù)載體的復(fù)制保護���。在此�����,形成便攜式數(shù)據(jù)載體�,使得它包括非接觸數(shù)據(jù)載體����,可以類似于圖2中所示的非接觸芯片卡14、經(jīng)由有源非接觸接ロ 13與安全模塊I進行通信�����。在此�����,利用特定保護機制��,可以管理權(quán)限��,這防止了權(quán)限的未授權(quán)再現(xiàn)?��?梢岳缋迷L問受控讀取命令來實現(xiàn)這樣的保護機制�。只有當隨后從電子設(shè)備2刪除該權(quán)限(諸如聆聽音樂片段的權(quán)限)時����,該讀取命令才允許復(fù)制所述特定數(shù)據(jù)。在電子設(shè)備2發(fā)生故障的情況下��,以該方式可以保護權(quán)限���,而不存在誤用未授權(quán)再現(xiàn)的危險��。另ー可能的保護機制包括當安裝軟件時對安全關(guān)鍵數(shù)據(jù)進行存儲���,將該數(shù)據(jù)存放在便攜式數(shù)據(jù)載體和電子設(shè)備2的安全模塊I上。利用所存放的數(shù)據(jù)���,可以阻止對便攜式數(shù)據(jù)載體的數(shù)據(jù)的未授權(quán)再現(xiàn)。第六應(yīng)用是大數(shù)據(jù)量的安全傳輸���。在此�����,電子設(shè)備2的安全模塊I經(jīng)由無源非接觸接ロ 5或有源非接觸接ロ 13與另ー電子設(shè)備的安全模塊僅交換諸如密鑰的安全關(guān)鍵數(shù)據(jù)��。在本應(yīng)用中��,安全模塊I也承擔對大數(shù)據(jù)量進行加密以及在經(jīng)由諸如IRDA或WLAN的快速接ロ進行傳輸后將它們解密的任務(wù)���。第七應(yīng)用是將其每個具有安全模塊I的多個電子設(shè)備2鏈接以形成組�����。例如�����,可以想象到�����,移動電話和固定的網(wǎng)絡(luò)電話以及例如PDA的另ー電子設(shè)備2是該組的成員���。經(jīng)由安全模塊I來確定組成員關(guān)系,具體而言是組 的電子設(shè)備2之間的通信���。在組內(nèi)��,可以執(zhí)行在該組外利用電子設(shè)備2不能執(zhí)行的動作�。例如,可以發(fā)生數(shù)據(jù)同步���,或可以在請求后讀取電子設(shè)備2的數(shù)據(jù)�。例如�����,固定網(wǎng)絡(luò)連接的用戶然后可以訪問存儲在他的移動電話上的電話號碼��,而不接通移動電話�����。從而�,通過發(fā)生故障或被操縱的電子設(shè)備2不能破壞數(shù)據(jù),并且可以使用安全単元3的密碼機制���。在此�����,通過HMAC利用密碼來“加密”關(guān)鍵數(shù)據(jù)����,并且只有當正確輸入密碼時才可讀取該關(guān)鍵數(shù)據(jù)�����。除了所描述的應(yīng)用����,具有安全模塊I的系統(tǒng)還可能存在許多其它的應(yīng)用。在每個應(yīng)用中�����,至少ー個電子設(shè)備2具有安全模塊I�����。電子設(shè)備2的通信伙伴也可以具有擁有安全單元3��、設(shè)備接ロ 4和無源非接觸接ロ 5或有源非接觸接ロ 13的安全模塊I����。在這種情況下�,在電子設(shè)備2的安全模塊I和通信伙伴之間也可以提供直接通信����。同樣,通信伙伴也可以僅具有安全單元3和相關(guān)設(shè)備接ロ 4��、甚至完全沒有TPM保護���。
權(quán)利要求
1.一種系統(tǒng)�����,具有 -第一電子設(shè)備⑵�, -安全模塊(I)��,該安全模塊被牢固地綁定到所述第一電子設(shè)備(2)上���,并且具有用于安全地存儲數(shù)據(jù)和/或用于執(zhí)行加密操作的安全単元(3)以及用干與所述第一電子設(shè)備(2)進行通信的第一接ロ(4)��,以及 -第二電子設(shè)備(9���,10,14�����,21), 其特征在干���, 所述安全模塊(I)具有被構(gòu)造為無源非接觸接ロ的第二接ロ(5,8����,13),所述第二接ロ用于自發(fā)執(zhí)行與所述第二電子設(shè)備(9�����,10����,14,21)的直接非接觸通信��,其中����,可以經(jīng)由所述第二接ロ(5)向所述安全模塊(I)非接觸地提供操作所需要的能量。
2.根據(jù)權(quán)利要求I所述的系統(tǒng)��,其特征在于,所述第一接ロ(4)與所述第一電子設(shè)備(2)電連接����。
3.根據(jù)上述權(quán)利要求中的任何一個所述的系統(tǒng),其特征在于�,所述第二接ロ被形成為所述安全単元(3)的集成部分。
4.根據(jù)權(quán)利要求I至3中的任何一個所述的系統(tǒng)���,其特征在于����,所述安全模塊(I)具有無源非接觸接ロ(5)和有源非接觸接ロ(13)�����。
5.根據(jù)權(quán)利要求4所述的系統(tǒng)���,其特征在于�����,所述安全模塊(I)具有用于選擇地激活無源非接觸接ロ (5)或有源非接觸接ロ (13)的控制設(shè)備(17)�����。
6.根據(jù)權(quán)利要求5所述的系統(tǒng)��,其特征在于����,所述控制設(shè)備(17)依賴于是否從所述第ー電子設(shè)備(2)向安全模塊(I)提供工作電壓來實現(xiàn)激活。
7.根據(jù)權(quán)利要求4至6中的任何一個所述的系統(tǒng)�����,其特征在于,根據(jù)NFC標準形成所述有源非接觸接ロ(13)。
8.根據(jù)上述權(quán)利要求中的任何一個所述的系統(tǒng)��,其特征在干��,經(jīng)由所述第二接ロ向所述第二電子設(shè)備(9��,10�����,14���,21)發(fā)送存儲在安全單元(3)中的數(shù)據(jù)���。
9.根據(jù)權(quán)利要求8所述的系統(tǒng)��,其特征在于�,所述數(shù)據(jù)是加密數(shù)據(jù)或第一電子設(shè)備(2)的診斷數(shù)據(jù)�����。
10.根據(jù)權(quán)利要求8或9中的任何一個所述的系統(tǒng)�����,其特征在于���,只有當?shù)谝浑娮釉O(shè)備(2)和第二電子設(shè)備(9�����,10��,14���,21)是釋放了彼此之間的數(shù)據(jù)傳輸?shù)碾娮釉O(shè)備的組的成員時�,才發(fā)送所述數(shù)據(jù)���。
11.根據(jù)上述權(quán)利要求中的任何一個所述的系統(tǒng)����,其特征在于���,所述第二電子設(shè)備(9�,10,14,21)具有安全模塊����,該安全模塊直接與第一電子設(shè)備(2)的安全模塊(I)進行非接觸通信����。
12.根據(jù)上述權(quán)利要求中的任何一個所述的系統(tǒng),其特征在于�,經(jīng)由所述第二接ロ進行無現(xiàn)金支付交易,利用該交易獲取存儲在安全単元(3)中的授權(quán)���。
13.根據(jù)上述權(quán)利要求中的任何一個所述的系統(tǒng)����,其特征在于,經(jīng)由所述第二接ロ向第ー電子設(shè)備(2)的安全模塊(I)發(fā)送輸入到所述第二電子設(shè)備(9�,10,14��,21)中的密碼�����。
14.根據(jù)上述權(quán)利要求中的任何一個所述的系統(tǒng)�,其特征在于,所述第一電子設(shè)備(2)是計算機或移動電話機�。
15.根據(jù)上述權(quán)利要求中的任何一個所述的系統(tǒng),其特征在于�����,所述第二電子設(shè)備(9�,.10,14�,21)是RFID讀取設(shè)備、NFC設(shè)備���、非接觸芯片卡�、計算機或移動電話機����。
16.根據(jù)上述權(quán)利要求中的任何一個所述的系統(tǒng)�����,其特征在于�,所述安全模塊(I)被形成為可信平臺模塊����。
17.ー種具有安全模塊(I)的電子設(shè)備,所述安全模塊被牢固地綁定到所述電子設(shè)備(2)上并且具有用于安全地存儲數(shù)據(jù)和/或用于執(zhí)行加密操作的安全単元(3)以及用干與所述電子設(shè)備(2)進行通信的第一接ロ(4)����,其特征在于,所述安全模塊(I)具有用于獨立于所述電子設(shè)備(2)而自發(fā)執(zhí)行外部非接觸通信的第二接ロ�����,其中�����,可以經(jīng)由所述第二接ロ(5)向所述安全模塊(I)非接觸地提供操作所需要的能量���。
18.ー種借助于安全模塊為第一電子設(shè)備提供數(shù)據(jù)的方法����,該安全模塊被牢固地綁定到所述第一電子設(shè)備上并且提供安全功能����,借助于這些安全功能為所述第一電子設(shè)備實現(xiàn)了安全標準, 其中��,所述安全模塊具有 用于安全地存儲數(shù)據(jù)和/或用于執(zhí)行加密操作的安全単元���, 用干與所述第一電子設(shè)備進行通信的第一接ロ��,以及 被構(gòu)造為非接觸接ロ的第二接ロ���,用于自發(fā)執(zhí)行與第二電子設(shè)備的直接非接觸通信, 并且其中�,經(jīng)由所述第二接ロ向所述安全模塊非接觸地提供操作所需要的能量, 其特征在干����, 在所述安全単元中存儲了所述第一電子設(shè)備的加密數(shù)據(jù)或診斷數(shù)據(jù),并且 將所述第一電子設(shè)備的加密數(shù)據(jù)或診斷數(shù)據(jù)經(jīng)由所述安全単元的第二接ロ發(fā)送給所述第二電子設(shè)備��。
全文摘要
本發(fā)明涉及一種系統(tǒng)��,該系統(tǒng)包括第一電子設(shè)備(2)、安全模塊(1)以及第二電子設(shè)備(9����,10,14����,21)。安全模塊(1)牢固地連接到第一電子設(shè)備(2)上����,并且包括用于安全存儲數(shù)據(jù)和/或用于執(zhí)行加密操作的安全單元(3)和用于與第一電子設(shè)備(2)進行通信的第一接口(4)。本發(fā)明的系統(tǒng)的特征在于����,安全模塊(1)包括使得可以與第二電子設(shè)備(9,10�����,14�,21)進行直接無線通信的第二接口��。
文檔編號G06F21/60GK102722676SQ20121007592
公開日2012年10月10日 申請日期2006年7月5日 優(yōu)先權(quán)日2005年7月6日
發(fā)明者克勞斯.芬肯澤勒, 吉塞拉.邁斯特, 弗洛里安.高拉斯 申請人:德國捷德有限公司