專(zhuān)利名稱(chēng):控制用戶(hù)認(rèn)證保護(hù)功能執(zhí)行的方法和系統(tǒng)尤其對(duì)資源訪(fǎng)問(wèn)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種用于控制通過(guò)認(rèn)證保護(hù)的功能執(zhí)行的方法和系統(tǒng)。
背景技術(shù):
當(dāng)一個(gè)功能的執(zhí)行依賴(lài)于認(rèn)證的結(jié)果時(shí),通常是用戶(hù)的認(rèn)證,該功能被稱(chēng)為通過(guò)認(rèn)證保護(hù)。尤其,這些功能被用于訪(fǎng)問(wèn)資源,例如系統(tǒng),網(wǎng)絡(luò),應(yīng)用,卡或者遠(yuǎn)程服務(wù)器上的服務(wù),和已存儲(chǔ)的數(shù)據(jù)。尤其,接收到請(qǐng)求訪(fǎng)問(wèn)資源的信息時(shí),這樣的功能可對(duì)應(yīng)于被ad hoc實(shí)體執(zhí)行的命令。通常在計(jì)算機(jī)系統(tǒng)中執(zhí)行用戶(hù)認(rèn)證,它涉及這樣的功能來(lái)訪(fǎng)問(wèn)所述資源中的一種。它通常由下述步驟組成用戶(hù)使用輸入設(shè)備來(lái)輸入用于識(shí)別或認(rèn)證的個(gè)人數(shù)據(jù)的步驟, 然后基于所述輸入的個(gè)人數(shù)據(jù)來(lái)認(rèn)證用戶(hù)的步驟,例如通過(guò)與預(yù)記錄在系統(tǒng)中的個(gè)人數(shù)據(jù)相比較,從而產(chǎn)生授權(quán)或拒絕執(zhí)行能訪(fǎng)問(wèn)資源的受保護(hù)的功能。如果授權(quán),所述被保護(hù)的功能被執(zhí)行,且用戶(hù)獲取了對(duì)資源的訪(fǎng)問(wèn)。舉例來(lái)說(shuō),用于識(shí)別或認(rèn)證的個(gè)人數(shù)據(jù)可為口令,PIN( “個(gè)人身份號(hào)碼”)或生物測(cè)定學(xué)數(shù)據(jù)。身份竊取是一個(gè)經(jīng)常發(fā)生的問(wèn)題,它影響了用于通過(guò)認(rèn)證訪(fǎng)問(wèn)資源的系統(tǒng)的安全性,該認(rèn)證處理那些通過(guò)認(rèn)證保護(hù)的功能。許多攻擊策略中,身份竊取就是懷有惡意的人竊取用于識(shí)別或認(rèn)證的極其敏感的用戶(hù)個(gè)人數(shù)據(jù),通常通過(guò)在輸入設(shè)備和基于所述輸入的個(gè)人數(shù)據(jù)來(lái)執(zhí)行認(rèn)證的處理軟件之間放置惡意軟件。所述惡意軟件接收輸入的敏感數(shù)據(jù),由此生成一份副本,然后傳遞那些數(shù)據(jù)給處理軟件。通過(guò)這種方式,通過(guò)驗(yàn)證參與訪(fǎng)問(wèn)的兩個(gè)部分(用戶(hù)和處理軟件)都不能懷疑此惡意軟件的存在。處理該敏感的個(gè)人數(shù)據(jù)和了解它訪(fǎng)問(wèn)的資源(尤其因?yàn)橛?jì)算機(jī)系統(tǒng)能訪(fǎng)問(wèn)特殊的資源,例如自動(dòng)提款機(jī))之后使得該懷有惡意的人以一個(gè)掠奪者的虛假身份重新訪(fǎng)問(wèn)這些資源。這些攻擊策略有個(gè)廣為人知的術(shù)語(yǔ)“中間人攻擊”。當(dāng)它們能夠竊取用于識(shí)別或認(rèn)證的個(gè)人數(shù)據(jù)來(lái)訪(fǎng)問(wèn)服務(wù)例如包括金融交易時(shí),它們是非常危險(xiǎn)的。它們的執(zhí)行通常與非置信的輸入終端相關(guān),例如商店的付賬終端機(jī)或自動(dòng)提款機(jī)。因此需要改進(jìn)機(jī)制來(lái)檢驗(yàn)通過(guò)認(rèn)證保護(hù)的功能的執(zhí)行,尤其當(dāng)它們能訪(fǎng)問(wèn)資源時(shí),尤其是對(duì)抗這種攻擊策略。
發(fā)明內(nèi)容
關(guān)于這點(diǎn),本發(fā)明尤其涉及一種用于控制通過(guò)認(rèn)證保護(hù)功能執(zhí)行的方法,包括下述步驟一當(dāng)用戶(hù)在輸入設(shè)備上輸入個(gè)人數(shù)據(jù)時(shí),在有限的有效性結(jié)構(gòu)中存儲(chǔ)個(gè)人認(rèn)證數(shù)據(jù),該個(gè)人認(rèn)證數(shù)據(jù)依賴(lài)于輸入的個(gè)人數(shù)據(jù);一在使用它包含的該個(gè)人認(rèn)證數(shù)據(jù)之前,檢驗(yàn)有限的有效性結(jié)構(gòu)的有效性,從而生成授權(quán)或拒絕功能的執(zhí)行,該功能在處理由不同于輸入設(shè)備的處理設(shè)備生成的信息時(shí)實(shí)現(xiàn)。依據(jù)本發(fā)明,個(gè)人數(shù)據(jù)的輸入和為了通過(guò)執(zhí)行被保護(hù)的功能來(lái)訪(fǎng)問(wèn)資源而進(jìn)行的它們的處理可在時(shí)間上或空間上分離。依照本發(fā)明,通過(guò)在有限的有效性結(jié)構(gòu)中存儲(chǔ)依賴(lài)于所述輸入數(shù)據(jù)的個(gè)人認(rèn)證數(shù)據(jù)可使之成為可能,因此能夠建立起輸入和處理這兩個(gè)操作之間的聯(lián)系。另外,這兩個(gè)操作的每個(gè)的執(zhí)行與不同的設(shè)備相關(guān)輸入設(shè)備用于第一個(gè)操作,處理設(shè)備用于第二個(gè)操作。因此,用戶(hù)不需要在處理設(shè)備上輸入敏感數(shù)據(jù),這可防止任何已經(jīng)竄改了所述設(shè)備的懷有惡意的人從所述設(shè)備的輸入裝置上獲取敏感數(shù)據(jù)。依據(jù)本發(fā)明,這兩個(gè)操作的分離性使得“中間人攻擊”不能同時(shí)獲取敏感數(shù)據(jù)以及了解它們能訪(fǎng)問(wèn)的資源(也就是說(shuō)對(duì)應(yīng)的被保護(hù)的功能)。從下文可以看出,用戶(hù)可使用他信任的輸入設(shè)備,例如他特有的設(shè)備。因此他不再被迫在不可信的第三方設(shè)備上輸入個(gè)人數(shù)據(jù)。關(guān)于所述個(gè)人認(rèn)證數(shù)據(jù)的有限的有效性,這能夠確保本發(fā)明的效率,同時(shí)避免可能被盜的敏感數(shù)據(jù)被無(wú)限地使用,例如超越時(shí)間或空間,從而使得那些懷有惡意的人能夠執(zhí)行被那些數(shù)據(jù)保護(hù)其實(shí)施的功能,且因此訪(fǎng)問(wèn)相應(yīng)的被保護(hù)的資源。在臨時(shí)有效性的情況下,可在遭受的風(fēng)險(xiǎn)、及相關(guān)的功能和資源的基礎(chǔ)上設(shè)置有效性的持續(xù)時(shí)間。類(lèi)似的,空間有效性可基于GPS測(cè)量法,它定義了該結(jié)構(gòu)離起點(diǎn)的最大使用距離。因此,在控制執(zhí)行通過(guò)認(rèn)證保護(hù)的功能方面、以及控制由此產(chǎn)生的可能的資源訪(fǎng)問(wèn)方面取得了進(jìn)步。依據(jù)本發(fā)明的一方面,該方法包括以下步驟一用戶(hù)使用輸入設(shè)備輸入個(gè)人數(shù)據(jù);—基于個(gè)人輸入數(shù)據(jù)來(lái)認(rèn)證用戶(hù),從而授權(quán)或拒絕被保護(hù)功能的執(zhí)行;一如果授權(quán),執(zhí)行該功能;其中存儲(chǔ)和檢驗(yàn)步驟在一個(gè)存儲(chǔ)器模塊中執(zhí)行,該存儲(chǔ)器模塊分別在輸入和存儲(chǔ)步驟時(shí)連接輸入設(shè)備,及在檢驗(yàn)和執(zhí)行步驟時(shí)連接處理設(shè)備;所述有限的有效性結(jié)構(gòu)包括具有有效性的個(gè)人認(rèn)證數(shù)據(jù),該有效性通過(guò)結(jié)合有效性的持續(xù)時(shí)間和個(gè)人認(rèn)證數(shù)據(jù)之間來(lái)限定。雖然物理上的連接是可能的,但是它首先是能夠在設(shè)備和后來(lái)涉及的模塊之間提供通信的邏輯連接。
只有存儲(chǔ)器模塊,其可為傳統(tǒng)的安全微處理器卡,在此操作有限的有效性數(shù)據(jù)結(jié)構(gòu),這樣該結(jié)構(gòu)包含有限的有效性個(gè)人認(rèn)證數(shù)據(jù)。通過(guò)廣為人知的用于這種類(lèi)型的模塊或卡的安全技術(shù),可將這些數(shù)據(jù)處理作為內(nèi)部的私密密鑰來(lái)管理,且因此在輸入和生成授權(quán)或不授權(quán)被保護(hù)功能的執(zhí)行這兩個(gè)階段,以安全的方式操作這些數(shù)據(jù)。在一個(gè)實(shí)施例中,檢驗(yàn)用于使用個(gè)人認(rèn)證數(shù)據(jù)的結(jié)構(gòu)的有效性,包括檢驗(yàn)與個(gè)人認(rèn)證數(shù)據(jù)相關(guān)的有效性的持續(xù)時(shí)間相比較,因?yàn)樯捎邢薜挠行越Y(jié)構(gòu)而已經(jīng)流逝的時(shí)間。換句話(huà)說(shuō),該規(guī)定包括當(dāng)為了獲取執(zhí)行該功能的授權(quán)而使用有限的有效性個(gè)人認(rèn)證數(shù)據(jù)時(shí),檢驗(yàn)有限的有效性個(gè)人認(rèn)證數(shù)據(jù)是否依然有效。因此可避免懷有惡意的人大范圍地重復(fù)使用這些有限的有效性敏感數(shù)據(jù)。根據(jù)某些實(shí)施例,尤其某些在下文記載的,授權(quán)或拒絕的生成可作為變量,它依賴(lài)于自從停止給儲(chǔ)存有限的有效性結(jié)構(gòu)的存儲(chǔ)器供應(yīng)電源后所流逝的時(shí)間。在一個(gè)實(shí)施例中,授權(quán)或拒絕的生成依賴(lài)于使用參考數(shù)據(jù)對(duì)個(gè)人輸入數(shù)據(jù)的檢驗(yàn),和通過(guò)使用存儲(chǔ)在已存儲(chǔ)的有限的有效性結(jié)構(gòu)中的所述個(gè)人認(rèn)證數(shù)據(jù)而得到的檢驗(yàn)結(jié)果。以傳統(tǒng)的方式,用戶(hù)認(rèn)證在此包括為了授權(quán)或不授權(quán)訪(fǎng)問(wèn)資源而檢驗(yàn)個(gè)人輸入數(shù)據(jù)。根據(jù)本發(fā)明,當(dāng)前的規(guī)定能夠通過(guò)使用存儲(chǔ)在存儲(chǔ)器模塊中的有限的有效性個(gè)人認(rèn)證數(shù)據(jù)來(lái)維持這些機(jī)制。依據(jù)本發(fā)明的某個(gè)特性,該方法包括將個(gè)人輸入數(shù)據(jù)和預(yù)記錄在存儲(chǔ)器模塊中的個(gè)人數(shù)據(jù)進(jìn)行比較的步驟,且存儲(chǔ)在有限的有效性結(jié)構(gòu)中的個(gè)人認(rèn)證數(shù)據(jù)包含比較結(jié)果。 這種情況下,在輸入設(shè)備上執(zhí)行認(rèn)證操作,但是還不能給出基于所述認(rèn)證的授權(quán)。更準(zhǔn)確地,根據(jù)本發(fā)明,認(rèn)證結(jié)果(不管輸入數(shù)據(jù)的比較是否為正值)只能作為一項(xiàng)有限的有效性敏感數(shù)據(jù)。因此,避免將個(gè)人數(shù)據(jù)傳送為處理設(shè)備的輸入(密碼,PIN碼,等)。作為一個(gè)變體,存儲(chǔ)在有限的有效性結(jié)構(gòu)中的個(gè)人認(rèn)證數(shù)據(jù)包括個(gè)人輸入數(shù)據(jù), 且它們的使用包含將存儲(chǔ)在有限的有效性結(jié)構(gòu)中的個(gè)人認(rèn)證數(shù)據(jù)和預(yù)記錄在存儲(chǔ)器模塊中的個(gè)人數(shù)據(jù)相比較的子步驟。這個(gè)規(guī)定可簡(jiǎn)化在輸入設(shè)備中執(zhí)行的操作,尤其如果它已經(jīng)限制了處理資源,或如果出于比較的需要,它證明例如訪(fǎng)問(wèn)安全的數(shù)據(jù)庫(kù)是必要的。本發(fā)明的一實(shí)施例中,通過(guò)存儲(chǔ)器模塊中提供的電容器的放電來(lái)計(jì)算與個(gè)人認(rèn)證數(shù)據(jù)相關(guān)的有效性的持續(xù)時(shí)間。因此電容器在計(jì)時(shí)器上工作。根據(jù)本發(fā)明,在能夠存儲(chǔ)有限的有效性數(shù)據(jù)的任何類(lèi)型的電子實(shí)體上尤其容易實(shí)施這個(gè)配置。尤其,在存儲(chǔ)器模塊的易失性存儲(chǔ)器上存儲(chǔ)個(gè)人認(rèn)證數(shù)據(jù),該存儲(chǔ)器由所述電容器臨時(shí)充電。根據(jù)本發(fā)明,由于易失性存儲(chǔ)器本身的性質(zhì),在有效性的持續(xù)時(shí)間期滿(mǎn)時(shí)會(huì)自動(dòng)刪除該有限的有效性敏感數(shù)據(jù),所以這項(xiàng)規(guī)定下認(rèn)證的控制還變得更安全。另外,這個(gè)配置容易實(shí)施。在另一個(gè)實(shí)施例中,在存儲(chǔ)器模塊的易失性存儲(chǔ)器上存儲(chǔ)個(gè)人認(rèn)證數(shù)據(jù),且和它們相關(guān)的有效性的持續(xù)時(shí)間由切斷了其電源供應(yīng)時(shí)易失性存儲(chǔ)器的消失特性來(lái)定義。這項(xiàng)規(guī)定具有不依賴(lài)特定的方法來(lái)計(jì)算有效性的持續(xù)時(shí)間的優(yōu)勢(shì)。更特別地,因?yàn)檫@種易失性存儲(chǔ)器中數(shù)據(jù)的消失性,可確保在消失性的持續(xù)時(shí)間期滿(mǎn)時(shí)自動(dòng)擦除有限的有效性敏感數(shù)據(jù)。因此當(dāng)易失性存儲(chǔ)器的對(duì)應(yīng)的消失性適合已生成的個(gè)人認(rèn)證數(shù)據(jù)所需要的周期或有效性的持續(xù)時(shí)間時(shí),這種易失性存儲(chǔ)器將被選擇。還在另一個(gè)實(shí)施例中,個(gè)人認(rèn)證數(shù)據(jù)被存儲(chǔ)于在控制被保護(hù)功能的執(zhí)行期間被持續(xù)供電的存儲(chǔ)器模塊的易失性存儲(chǔ)器,或被存儲(chǔ)于可重寫(xiě)存儲(chǔ)器,例如EEPROM類(lèi)型 (EEPR0M為“電可擦除可編程只讀存儲(chǔ)器”),且和它們相關(guān)的有效性的持續(xù)時(shí)間通過(guò)將時(shí)間量,例如有效性持續(xù)時(shí)間和有效性起始時(shí)間,或單獨(dú)的有效性結(jié)束時(shí)間,存儲(chǔ)在與存儲(chǔ)器中的個(gè)人認(rèn)證數(shù)據(jù)相關(guān)的變量中而被定義。因此為存儲(chǔ)器模塊提供充足的元素使得能夠檢驗(yàn)用于獲取授權(quán)的個(gè)人認(rèn)證數(shù)據(jù)是否依然有效,通過(guò)將有效性持續(xù)時(shí)間或有效性結(jié)束時(shí)間 (它是包含小時(shí),分鐘等的日期)和因?yàn)樯赡切?shù)據(jù)而已經(jīng)流失的時(shí)間相比較。依據(jù)本發(fā)明的特性,存儲(chǔ)器模塊中,有限的有效性個(gè)人認(rèn)證數(shù)據(jù)的使用包括通過(guò)使用已存儲(chǔ)的時(shí)間量和由處理設(shè)備提供給它的參考時(shí)間數(shù)據(jù)來(lái)檢驗(yàn)這些數(shù)據(jù)的有效性。這個(gè)規(guī)定使得能夠采用常用的參考來(lái)評(píng)估有效性的時(shí)間期限。尤其,它可為不同設(shè)備所共有的時(shí)鐘(例如網(wǎng)絡(luò)時(shí)鐘),或那些設(shè)備特有的時(shí)鐘。在一個(gè)實(shí)施例中,當(dāng)接收到來(lái)自處理設(shè)備的消息時(shí),被保護(hù)的功能就是由存儲(chǔ)有限的有效性結(jié)構(gòu)的微處理器模塊執(zhí)行的命令。根據(jù)不同的方法,被保護(hù)的命令可在提供的信息中被直接指示出,或?yàn)橐蕾?lài)于這樣在信息中指示出的命令的子命令(例如執(zhí)行那個(gè)命令時(shí)被調(diào)用的子命令)。依據(jù)本發(fā)明的另一個(gè)特性,存儲(chǔ)了有限的有效性結(jié)構(gòu)和它包含的個(gè)人認(rèn)證數(shù)據(jù)的存儲(chǔ)器模塊是可移動(dòng)的,且在輸入時(shí)放置在輸入設(shè)備中,且在檢驗(yàn)結(jié)構(gòu)的有效性時(shí)和在使用有限的有效性個(gè)人認(rèn)證數(shù)據(jù)時(shí)放置在處理設(shè)備中。這個(gè)規(guī)定對(duì)于為了控制通過(guò)認(rèn)證保護(hù)功能的執(zhí)行例如訪(fǎng)問(wèn)資源的用戶(hù)來(lái)說(shuō),非常方便,用戶(hù)可以?xún)H僅運(yùn)送或提供記錄了由輸入產(chǎn)生的敏感數(shù)據(jù)的且認(rèn)證必需的可移動(dòng)存儲(chǔ)模塊。作為變體,在控制和執(zhí)行被保護(hù)的功能的期間(也就是說(shuō),在輸入和處理這兩個(gè)步驟期間),存儲(chǔ)有限的有效性結(jié)構(gòu)和它包含的個(gè)人認(rèn)證數(shù)據(jù)的存儲(chǔ)器模塊是和輸入裝置物理地連接的,且處理裝置通過(guò)無(wú)接觸通信的方式和存儲(chǔ)器模塊通信。這個(gè)配置對(duì)用戶(hù)來(lái)說(shuō)證明是容易使用的,因?yàn)橛脩?hù)可十分信任地在他特有的輸入設(shè)備(例如他的移動(dòng)電話(huà)) 上簡(jiǎn)單地輸入他的個(gè)人數(shù)據(jù),且將后者提交給處理設(shè)備以執(zhí)行隨后的控制執(zhí)行功能所必需的操作,例如訪(fǎng)問(wèn)相應(yīng)的資源。這種無(wú)接觸通信也包括所述通信通過(guò)嵌入了存儲(chǔ)器模塊的輸入設(shè)備來(lái)傳輸?shù)那闆r。這就是例如當(dāng)移動(dòng)電話(huà)中SIM卡(SIM代表“用戶(hù)身份識(shí)別模塊”) 使用該移動(dòng)電話(huà)的NFC控制器(NFC代表“近距離無(wú)線(xiàn)通信”)來(lái)與外部處理設(shè)備通信時(shí)的情況。依據(jù)某特性,存儲(chǔ)了有限的有效性結(jié)構(gòu)和個(gè)人認(rèn)證數(shù)據(jù)的存儲(chǔ)器模塊是一個(gè)安全的微處理器卡。傳統(tǒng)方式下,微處理器卡包括使敏感數(shù)據(jù)安全的方法,也包括同輸入設(shè)備和處理設(shè)備中的一個(gè)或另一個(gè)進(jìn)行通信的高效率的方法,這種情況下,這個(gè)規(guī)定是有利的。尤其,輸入設(shè)備或處理設(shè)備與所述微處理器卡之間的通信是無(wú)接觸的。這樣,為了控制執(zhí)行功能所必需的每個(gè)操作,連接那些設(shè)備和卡(存儲(chǔ)器模塊)。通信頻道可依照NFC 標(biāo)準(zhǔn),IS014443標(biāo)準(zhǔn)或類(lèi)似的標(biāo)準(zhǔn)。作為變體,尤其如果這些操作期間微處理器卡是可移動(dòng)的,可在輸入設(shè)備或處理設(shè)備和所述微處理器卡之間提供接觸式通信。在一個(gè)實(shí)施例中,對(duì)來(lái)自處理設(shè)備的消息的處理生成響應(yīng),該響應(yīng)包含至少一個(gè)依賴(lài)于已生成的授權(quán)或拒絕的響應(yīng)值。這個(gè)配置發(fā)現(xiàn)了許多應(yīng)用,這些應(yīng)用通常在用戶(hù)請(qǐng)求的訪(fǎng)問(wèn)成功或失敗(例如成功完成或沒(méi)有完成的支付,安全賬戶(hù)的訪(fǎng)問(wèn),等)中被確定。
在某個(gè)作為變體的應(yīng)用中,響應(yīng)值卻可以獨(dú)立于已生成的授權(quán)或拒絕(對(duì)于所有或某些被保護(hù)的功能)。如下文所闡述的,執(zhí)行被保護(hù)的功能可簡(jiǎn)單地更新存儲(chǔ)器模塊的內(nèi)部狀態(tài),例如欺詐的訪(fǎng)問(wèn)檢測(cè)標(biāo)志。本發(fā)明的一個(gè)實(shí)施例中,用戶(hù)輸入至少一項(xiàng)表示一項(xiàng)金融數(shù)據(jù)的信息,且為了后來(lái)的金融操作(例如交易)而訪(fǎng)問(wèn)這些操作依賴(lài)于已生成的授權(quán)或拒絕,所述信息項(xiàng)被存儲(chǔ)在和個(gè)人認(rèn)證數(shù)據(jù)共有的有限的有效性結(jié)構(gòu)中。由于本發(fā)明,使用戶(hù)為后續(xù)操作所輸入的所有數(shù)據(jù)變得安全成為可能,不管數(shù)據(jù)是否敏感。這項(xiàng)規(guī)定通過(guò)這種方式增加了那些數(shù)據(jù)的機(jī)密性。本發(fā)明的一個(gè)實(shí)施例中,輸入設(shè)備是用戶(hù)信任的裝置。這個(gè)配置從本發(fā)明充分的效率中獲益,因?yàn)樵诖嗽鰪?qiáng)了輸入操作的保護(hù)。因此,如同一個(gè)懷有惡意的人不能訪(fǎng)問(wèn)那些可置信的設(shè)備,他也不能獲取由用戶(hù)直接輸入的個(gè)人數(shù)據(jù)。尤其,輸入設(shè)備是用戶(hù)的移動(dòng)電話(huà)。以補(bǔ)充的方式,本發(fā)明涉及包括至少一個(gè)存儲(chǔ)器和用于執(zhí)行指令的處理器的存儲(chǔ)器模塊,該存儲(chǔ)器模塊被配置為一在有限的有效性結(jié)構(gòu)中存儲(chǔ)個(gè)人認(rèn)證數(shù)據(jù),該個(gè)人認(rèn)證數(shù)據(jù)依賴(lài)于用戶(hù)輸入的和從輸入設(shè)備中接收的個(gè)人數(shù)據(jù),存儲(chǔ)器模塊被連接到輸入設(shè)備(也就是說(shuō)在輸入期間);一在使用它包含的該個(gè)人認(rèn)證數(shù)據(jù)之前,檢驗(yàn)所述有限的有效性結(jié)構(gòu)的有效性, 從而產(chǎn)生授權(quán)或拒絕通過(guò)認(rèn)證保護(hù)的功能的執(zhí)行,在處理從不同于輸入設(shè)備的處理設(shè)備中接收的消息時(shí)執(zhí)行該功能。類(lèi)似地,本發(fā)明涉及一種用于控制執(zhí)行被用戶(hù)認(rèn)證保護(hù)的功能的系統(tǒng),包括一輸入設(shè)備,用于用戶(hù)輸入個(gè)人數(shù)據(jù);一處理設(shè)備,不同于輸入設(shè)備且適用于在用戶(hù)的操作下生成要處理的消息;一存儲(chǔ)器模塊包括至少一個(gè)存儲(chǔ)器,和處理器,該存儲(chǔ)器模塊被配置用來(lái)在個(gè)人輸入數(shù)據(jù)的基礎(chǔ)上認(rèn)證用戶(hù),從而產(chǎn)生授權(quán)或拒絕被保護(hù)功能的執(zhí)行,該被保護(hù)的功能在所述消息的處理中實(shí)現(xiàn);其中存儲(chǔ)器模塊被配置為一當(dāng)它連接輸入設(shè)備時(shí),在它的存儲(chǔ)器中生成并存儲(chǔ)依賴(lài)于個(gè)人輸入數(shù)據(jù)的有限的有效性個(gè)人認(rèn)證數(shù)據(jù)且將它們和有效性參數(shù)聯(lián)系;以及一當(dāng)它連接處理設(shè)備時(shí),使用已存儲(chǔ)的個(gè)人認(rèn)證數(shù)據(jù)依賴(lài)于相關(guān)的有效性參數(shù)來(lái)生成授權(quán)或拒絕功能的執(zhí)行。存儲(chǔ)器模塊和認(rèn)證系統(tǒng)具有和所述方法類(lèi)似的優(yōu)點(diǎn)。尤其,它們使得為了獲取授權(quán)來(lái)執(zhí)行被保護(hù)的功能及為了獲得增強(qiáng)的對(duì)抗中間人攻擊的安全性,而分離輸入敏感數(shù)據(jù)的操作和處理那些數(shù)據(jù)的操作成為可能。可選地,存儲(chǔ)器模塊或系統(tǒng)可包含與所述方法的特性相關(guān)的部件,和特別地用于計(jì)算有效性的持續(xù)時(shí)間的電容器,在所述持續(xù)時(shí)間期滿(mǎn)時(shí)自動(dòng)刪除自身的易失性存儲(chǔ)器, 固定的或可移動(dòng)的存儲(chǔ)器,用于在不同的設(shè)備之間依據(jù)本發(fā)明存儲(chǔ)有限的有效性個(gè)人認(rèn)證數(shù)據(jù)的微處理器卡,用于在微處理器卡及不同的設(shè)備之間通信的無(wú)接觸式或接觸式部件。尤其,這些設(shè)備可包括用戶(hù)使用輸入設(shè)備來(lái)輸入個(gè)人數(shù)據(jù)的部件;基于個(gè)人輸入數(shù)據(jù)認(rèn)證用戶(hù)以產(chǎn)生授權(quán)或拒絕被保護(hù)功能的執(zhí)行的認(rèn)證部件;如果授權(quán)則執(zhí)行功能的執(zhí)行部件。另外,被配置為存儲(chǔ)和檢驗(yàn)的存儲(chǔ)器模塊可分別在輸入和存儲(chǔ)時(shí)連接輸入設(shè)備,在檢驗(yàn)和執(zhí)行時(shí)連接處理設(shè)備。這種情況下,可規(guī)定所述有限的有效性結(jié)構(gòu)包含具有有效性的個(gè)人認(rèn)證數(shù)據(jù),該有效性通過(guò)結(jié)合有效性的持續(xù)時(shí)間和個(gè)人認(rèn)證數(shù)據(jù)之間的來(lái)限定。更多地,根據(jù)另一個(gè)實(shí)施例,存儲(chǔ)在有限的有效性結(jié)構(gòu)中的個(gè)人認(rèn)證數(shù)據(jù)可包含個(gè)人輸入數(shù)據(jù)。于是為了使用那些數(shù)據(jù),存儲(chǔ)器模塊或系統(tǒng)可包含用于將存儲(chǔ)在有限的有效性結(jié)構(gòu)中的個(gè)人認(rèn)證數(shù)據(jù)和預(yù)記錄在存儲(chǔ)器模塊中的個(gè)人數(shù)據(jù)進(jìn)行比較的方法。依據(jù)另一個(gè)實(shí)施例,所述有限的有效性結(jié)構(gòu)包括具有有效性的個(gè)人認(rèn)證數(shù)據(jù),該有限性通過(guò)結(jié)合有效性的持續(xù)時(shí)間和個(gè)人認(rèn)證數(shù)據(jù)之間來(lái)限定。這種情況下,可規(guī)定存儲(chǔ)器模塊包含電容器以致于通過(guò)存儲(chǔ)器模塊中提供的電容器的放電來(lái)計(jì)算與個(gè)人認(rèn)證數(shù)據(jù)相關(guān)的有效性的持續(xù)時(shí)間。此外尤其是,存儲(chǔ)器模塊可包含易失性存儲(chǔ)器,該易失性存儲(chǔ)器存儲(chǔ)了個(gè)人認(rèn)證數(shù)據(jù)且由所述電容器臨時(shí)充電。還依據(jù)另一個(gè)實(shí)施例,存儲(chǔ)器模塊可包括在控制執(zhí)行被保護(hù)的功能期間被持續(xù)充電的易失性存儲(chǔ)器,或可重寫(xiě)的存儲(chǔ)器,它存儲(chǔ)個(gè)人認(rèn)證數(shù)據(jù)。這種情況下,存儲(chǔ)器模塊被配置為通過(guò)在變量中存儲(chǔ)時(shí)間量來(lái)關(guān)聯(lián)有效性的持續(xù)時(shí)間和那些個(gè)人認(rèn)證數(shù)據(jù),該變量在存儲(chǔ)器中和那些相同的個(gè)人認(rèn)證數(shù)據(jù)相關(guān)。本發(fā)明還涉及電子實(shí)體,包括—至少一個(gè)通信接口,用于接收用戶(hù)輸入的個(gè)人數(shù)據(jù)和要處理的消息,—存儲(chǔ)器,它在有限的有效性數(shù)據(jù)結(jié)構(gòu)中存儲(chǔ)了依賴(lài)于個(gè)人輸入數(shù)據(jù)的個(gè)人認(rèn)證數(shù)據(jù),一用于在時(shí)間或空間上限定存儲(chǔ)個(gè)人認(rèn)證數(shù)據(jù)的數(shù)據(jù)結(jié)構(gòu)的有效性的部件,和—用于在使用它包含的個(gè)人認(rèn)證數(shù)據(jù)之前檢驗(yàn)有限的有效性結(jié)構(gòu)的有效性從而產(chǎn)生授權(quán)或拒絕通過(guò)認(rèn)證保護(hù)的功能的執(zhí)行的部件,其中該功能在處理已接收的消息時(shí)被執(zhí)行。尤其,實(shí)體可為微處理器卡的形式。電子實(shí)體具有和那些方法、存儲(chǔ)器模塊和系統(tǒng)類(lèi)似的優(yōu)點(diǎn)??蛇x地,電子實(shí)體可包含與所述方法的特性相關(guān)的部件,尤其是實(shí)現(xiàn)有效性的持續(xù)時(shí)間的部件,例如電容器或存儲(chǔ)器中的變量,和不管是否易失的存儲(chǔ)器。
本發(fā)明的其它特性和優(yōu)點(diǎn)將出現(xiàn)在下面的用附圖闡明的說(shuō)明中,其中一圖1闡明了認(rèn)證用戶(hù)U以訪(fǎng)問(wèn)資源的傳統(tǒng)機(jī)制;一圖2是本發(fā)明的一個(gè)實(shí)施圖;一圖3-5闡明了根據(jù)本發(fā)明訪(fǎng)問(wèn)通過(guò)認(rèn)證的保護(hù)的數(shù)字簽名服務(wù)的三個(gè)例子。
具體實(shí)施例方式圖1闡明了用戶(hù)U訪(fǎng)問(wèn)資源的傳統(tǒng)機(jī)制,例如訪(fǎng)問(wèn)零售店的支付服務(wù)。這些操作要求用戶(hù)U和支付終端10之間的交互。該交互尤其在于使用鍵盤(pán)或任何其他類(lèi)型的輸入部件11來(lái)輸入用于識(shí)別或認(rèn)證的個(gè)人數(shù)據(jù),該識(shí)別或認(rèn)證對(duì)可能的攻
9擊是敏感的。舉例來(lái)說(shuō),這些敏感的個(gè)人數(shù)據(jù)可為密碼,PIN碼(“個(gè)人身份號(hào)碼”)或生物測(cè)定學(xué)數(shù)據(jù),它們使人能夠自我認(rèn)證且能完成和零售商進(jìn)行的金融交易。
同時(shí)也可以輸入其它非敏感數(shù)據(jù),例如由與零售商進(jìn)行金融交易的用戶(hù)指出的總額。
預(yù)定金融交易和包含那些輸入數(shù)據(jù)的消息然后被提供給處理應(yīng)用軟件12。
消息尤其包含用于金融交易的命令。
該命令的執(zhí)行尤其依賴(lài)于該命令特有的必要權(quán)利的存在,這種情況下由個(gè)人輸入數(shù)據(jù)的有效性產(chǎn)生有效性認(rèn)證。
使用傳統(tǒng)的機(jī)制和通常通過(guò)與預(yù)記錄數(shù)據(jù)的比較,軟件12檢驗(yàn)用戶(hù)輸入的個(gè)人數(shù)據(jù)以產(chǎn)生授權(quán)或拒絕金融交易的執(zhí)行。例如,用戶(hù)U輸入的PIN可與存儲(chǔ)在插入到支付終端10的支付卡中的PIN進(jìn)行比較。
如果是肯定的認(rèn)證,授權(quán)執(zhí)行金融交易的命令,從而使得能夠訪(fǎng)問(wèn)支付服務(wù)S。然后進(jìn)行與支付服務(wù)器(這里用網(wǎng)絡(luò)20和服務(wù)器21代表)的交易。
如果是否定的認(rèn)證,金融交易則不能完成。
這里,中間人攻擊采用如圖中所示的惡意應(yīng)用軟件13。惡意應(yīng)用軟件13截取輸入數(shù)據(jù),不管它們是否是敏感的,復(fù)制它們且將它們傳送給軟件12。因此惡意軟件13的干涉對(duì)用戶(hù)和軟件12來(lái)說(shuō)是透明的。
圖2是根據(jù)一個(gè)實(shí)施例執(zhí)行本發(fā)明的的系統(tǒng)1的圖。用戶(hù)U必須生成同樣的輸入 (有敏感數(shù)據(jù)和可能有非敏感數(shù)據(jù)),正如傳統(tǒng)的被與認(rèn)證相關(guān)的權(quán)限保護(hù)的命令的使用。
在圖2的系統(tǒng)中,用戶(hù)U和第一輸入設(shè)備100交互。這個(gè)設(shè)備最好是可置信的設(shè)備,也就是說(shuō)用戶(hù)U自己的設(shè)備,例如他的移動(dòng)電話(huà)或他的電腦。
輸入設(shè)備100包括輸入接口 110,安全的微處理器卡120和嵌入式微處理器卡讀取器130。輸入設(shè)備100中可提供移動(dòng)電話(huà)的其他傳統(tǒng)功能,但是在此不描述它們。尤其作為主要電源的為設(shè)備100充電的內(nèi)部部件(例如電池)能夠?yàn)槲⑻幚砥骺?20充電。
輸入接口 110可采用傳統(tǒng)的電話(huà)鍵盤(pán)的形式,例如為了輸入PIN碼或口令。作為一個(gè)變體或組合體,它可包含適于獲取用戶(hù)U特有的生物測(cè)定學(xué)數(shù)據(jù)的生物測(cè)定學(xué)傳感器, 或其它任何接口。
為了讀取和/或?qū)懭胛⑻幚砥骺?20,嵌入式讀取器130可同樣是無(wú)接觸的或接觸的。它通過(guò)傳統(tǒng)的電子系統(tǒng)架構(gòu)連接到輸入接口 110,例如通過(guò)數(shù)據(jù)總線(xiàn)和微處理器(未顯示)°
微處理器卡或“智能卡” 120最好是用戶(hù)U私人的可移動(dòng)卡,例如以ID-I格式,用戶(hù)可容易地從輸入設(shè)備100中提取它,以將它提交給處理設(shè)備200的另一個(gè)微處理器卡讀取器210,如下文所述。作為變體,在訪(fǎng)問(wèn)資源S的全部操作期間,也就是說(shuō)在輸入、控制通過(guò)認(rèn)證保護(hù)的訪(fǎng)問(wèn)命令和訪(fǎng)問(wèn)時(shí)的交易期間,微處理器卡120可在物理上連接輸入設(shè)備100。
在這兩種情況下,尤其當(dāng)它在物理上連接輸入設(shè)備100時(shí),依據(jù)本發(fā)明為了執(zhí)行操作,微處理器卡120可被更簡(jiǎn)單的提供存儲(chǔ)器和微控制器或處理器的存儲(chǔ)器模塊代替。 如下文說(shuō)明的,存儲(chǔ)器模塊可為易失的或非易失的。
微處理器卡120包含用于和設(shè)備的無(wú)接觸式讀取器130進(jìn)行通信的無(wú)接觸式接口 1201。微處理器卡120還包含用于和處理設(shè)備200的無(wú)接觸式讀取器210進(jìn)行通信的無(wú)接觸式接口 1202。尤其是,這兩個(gè)接口可整合到一個(gè)單獨(dú)的接口中。然而它們可以是不同的, 例如一個(gè)是接觸式的,另一個(gè)是無(wú)接觸式的。
如后面所示,它們使微處理器卡能夠接收在輸入設(shè)備100上用戶(hù)輸入的數(shù)據(jù),且之后響應(yīng)用戶(hù)在其上的操作而接收來(lái)自處理設(shè)備200的消息,處理那個(gè)消息尤其是執(zhí)行通過(guò)認(rèn)證保護(hù)的訪(fǎng)問(wèn)命令,不是因?yàn)樗苯影?,就是因?yàn)樗{(diào)用了這樣的微處理器卡內(nèi)部的命令。
微處理器卡120還包含如下文所描述的能夠存儲(chǔ)數(shù)據(jù)結(jié)構(gòu)STRUCT的存儲(chǔ)器1203, 也包括使得為所述結(jié)構(gòu)定義有效性參數(shù)成為可能的部件1204,例如有效性的持續(xù)時(shí)間DV 或有效性的地理區(qū)域。以下的解釋中,將主要提到有效性的持續(xù)時(shí)間。然而,與下文描述的機(jī)制類(lèi)似的機(jī)制可用于地理有效性。
微處理器卡120被配置為當(dāng)它連接輸入設(shè)備100時(shí),在它的存儲(chǔ)器1203中生成并存儲(chǔ)依賴(lài)于用戶(hù)輸入的個(gè)人數(shù)據(jù)的有限的有效性個(gè)人認(rèn)證數(shù)據(jù),且例如通過(guò)所述結(jié)構(gòu),將它們和有效性的持續(xù)時(shí)間聯(lián)系。
如下文通過(guò)不同例子所描述的,部件1204可定義這樣的有效性的持續(xù)時(shí)間DV,它明確地或隱含地依賴(lài)于被采用的結(jié)構(gòu)的性質(zhì)。
有效性的持續(xù)時(shí)間DV和結(jié)構(gòu)STRUCT有關(guān),以定義有效性的時(shí)間界限。
持續(xù)時(shí)間依賴(lài)于預(yù)期的安全級(jí)別,不同的應(yīng)用安全級(jí)別不同。舉例來(lái)說(shuō),對(duì)于通過(guò) PIN碼使得被保護(hù)的金融交易命令變得安全,該持續(xù)時(shí)間可設(shè)置為幾十秒,例如1-2分鐘。 對(duì)于用于安全訪(fǎng)問(wèn)計(jì)算機(jī)或通信網(wǎng)絡(luò)的命令,它可能更長(zhǎng),大約幾分鐘,例如5,10或15分鐘。
在一個(gè)實(shí)施例中,存儲(chǔ)器1203是易失性存儲(chǔ)器。
存儲(chǔ)器1203然后可被主電源(設(shè)備100的電池)持續(xù)充電,尤其在為了資源訪(fǎng)問(wèn)的所有操作而不從輸入設(shè)備100中拔出卡120時(shí)。這種情況下,部件1204可由存儲(chǔ)器中的變量組成,它定義數(shù)據(jù)結(jié)構(gòu)STRUCT從它的產(chǎn)生開(kāi)始的有效性的持續(xù)時(shí)間DV(也就是說(shuō),從它的創(chuàng)建和/或它的更新),如下文所描述的,或如果該時(shí)間的持續(xù)時(shí)間被預(yù)先指定,則定義有效性的結(jié)束時(shí)間或有效性的起始時(shí)間。
如果卡120被配置為從輸入設(shè)備100中拔出以提交給處理設(shè)備200,當(dāng)主電源已經(jīng)失去連接時(shí),易失性存儲(chǔ)器1203可由短暫的內(nèi)部電源暫時(shí)充電,例如當(dāng)卡120位于輸入設(shè)備100時(shí),從主電源充電的電容器。
短暫的內(nèi)部電源在部件1204中使用,因?yàn)樗苁挂资源鎯?chǔ)器(當(dāng)所有的電源被切斷時(shí),它清空)的電源供應(yīng)維持一段依賴(lài)于它的性質(zhì)(尤其是它的電容值)的持續(xù)時(shí)間。
尤其,如果是電容器,基于預(yù)期的有效性的持續(xù)時(shí)間DV選擇電容值。如果是電容器的放電總量,存儲(chǔ)在存儲(chǔ)器1203中的數(shù)據(jù)結(jié)構(gòu)STRUCT之后被自動(dòng)擦除??刂齐娙萜鞒潆姾头烹姷臋C(jī)制使得可提供從預(yù)期的準(zhǔn)確時(shí)間開(kāi)始對(duì)有效性的持續(xù)時(shí)間的計(jì)時(shí),尤其當(dāng)卡 120從輸入設(shè)備100中拔出時(shí),或當(dāng)生成數(shù)據(jù)結(jié)構(gòu)STRUCT時(shí),且當(dāng)卡120重新被處理設(shè)備 200充電時(shí),可能繼續(xù)計(jì)時(shí)。
例如用于控制電容器的命令可被提供給用于控制有效性的持續(xù)時(shí)間DV的卡120 并供其使用。尤其,可提供充電命令從而為電容器充電且在充電結(jié)束時(shí)隱含地觸發(fā)開(kāi)始對(duì) DV的計(jì)時(shí),可提供放電命令從而對(duì)電容器放電,以致于強(qiáng)迫數(shù)據(jù)結(jié)構(gòu)STRUCT為無(wú)效狀態(tài),且提供充電級(jí)別命令以知道電容器的充電級(jí)別并因此直接確定持續(xù)時(shí)間DV是否過(guò)期。
通常這種情況可適用于任何適合僅僅保存數(shù)據(jù)一定時(shí)間(隱含地定義有效性的持續(xù)時(shí)間DV)的存儲(chǔ)器。
另一個(gè)例子中,被選擇的易失性存儲(chǔ)器1203可包含與預(yù)期的有效性的持續(xù)時(shí)間 DV—致的消失性(尤其是消失性的持續(xù)時(shí)間)。這種情況下,部件1204由那些消失性形成,因?yàn)榍袛嗔舜鎯?chǔ)器1203的電源(尤其在拔出卡120時(shí)或在終止存儲(chǔ)器電源供應(yīng)的命令下),數(shù)據(jù)結(jié)構(gòu)STRUCT保持在存儲(chǔ)器1203中直到消失性的持續(xù)時(shí)間滿(mǎn)期。以這種關(guān)系提供控制使得能夠?qū)υ摯鎯?chǔ)器的電源供應(yīng)和對(duì)該存儲(chǔ)器的電源供應(yīng)的終止。
另一個(gè)實(shí)施例中,存儲(chǔ)器1203是可重寫(xiě)存儲(chǔ)器,這種情況下部件1204可由存儲(chǔ)器中的變量組成,該變量定義一項(xiàng)時(shí)間信息,例如從它的創(chuàng)建或更新開(kāi)始的數(shù)據(jù)結(jié)構(gòu)STRUCT 的有效性的持續(xù)時(shí)間DV ;如果提前約定持續(xù)時(shí)間,該時(shí)間信息可以為有效性終止的日期和時(shí)間,或有效性開(kāi)始的日期和時(shí)間。作為變體,即使存儲(chǔ)器是可重寫(xiě)的,部件1204可使用專(zhuān)門(mén)的暫時(shí)的內(nèi)部源(例如電容器)來(lái)形成,它由主電源充電,且自從收到充電命令后,充電結(jié)束,開(kāi)始放電。這種情況下,只要電容器沒(méi)有完全放電,結(jié)構(gòu)STRUCT則被認(rèn)為有效。
在地理有效性的特定例子中(也可進(jìn)一步作為上述的時(shí)間有效性的補(bǔ)充),有效性的區(qū)域可圍繞起點(diǎn)定義,例如在結(jié)構(gòu)STRUCT被創(chuàng)建的時(shí)候卡120的位置。在該區(qū)域的范圍內(nèi)保持有效。尤其可提供適合的方法使得一離開(kāi)那個(gè)區(qū)域就完全擦除結(jié)構(gòu)(或使它完全無(wú)效)。作為變體,任何離開(kāi)后返回到該區(qū)域,可重新使得結(jié)構(gòu)有效。
適合的部件可包括GPS接收器,該GPS接收器能夠計(jì)算相對(duì)于起點(diǎn)的距離,界定區(qū)域的閾值距離(例如半徑),且只要當(dāng)前的距離超過(guò)該閾值距離,為存儲(chǔ)器提供擦除方法。
如先前所示的,本發(fā)明的執(zhí)行包括使用輸入設(shè)備100來(lái)輸入用于識(shí)別或認(rèn)證用戶(hù) U的個(gè)人數(shù)據(jù),也就是說(shuō)敏感的個(gè)人數(shù)據(jù)D1。作為補(bǔ)充,用戶(hù)U也可以輸入其它數(shù)據(jù)(可能不是敏感的),這些數(shù)據(jù)對(duì)于訪(fǎng)問(wèn)和/或執(zhí)行用戶(hù)希望訪(fǎng)問(wèn)的服務(wù)S是必需的,例如金融交易的總量,獲取的文件名,日期,等。
該輸入操作導(dǎo)致在當(dāng)時(shí)能被創(chuàng)建的數(shù)據(jù)結(jié)構(gòu)STRUCT中更新微處理器卡120內(nèi)部的數(shù)據(jù)或狀態(tài)。然后當(dāng)時(shí)使用其中一個(gè)之前提到的方法將它和有效性的持續(xù)時(shí)間相聯(lián)系。
數(shù)據(jù)結(jié)構(gòu)STRUCT可以是,但不限于此,簡(jiǎn)單的電子文件,列表,樹(shù),圖表,數(shù)據(jù)庫(kù),寸。
如下面的例子所示的,數(shù)據(jù)結(jié)構(gòu)STRUCT可直接存儲(chǔ)為個(gè)人認(rèn)證數(shù)據(jù)D2,用戶(hù)U輸入的個(gè)人數(shù)據(jù),而不用執(zhí)行任何對(duì)那些數(shù)據(jù)的處理。
作為變體,輸入設(shè)備100可執(zhí)行其預(yù)處理,從而生成依賴(lài)于那些個(gè)人輸入數(shù)據(jù)的其他個(gè)人認(rèn)證數(shù)據(jù)D2。舉例來(lái)說(shuō),由輸入終端100,在此為用戶(hù)U的移動(dòng)電話(huà),來(lái)檢驗(yàn)用戶(hù) U輸入的PIN碼,且一項(xiàng)信息表示它和參考PIN碼(而不是輸入PIN本身)的比較結(jié)果,該項(xiàng)信息被存儲(chǔ)在數(shù)據(jù)結(jié)構(gòu)STRUCT中(可能和執(zhí)行預(yù)期的服務(wù)S所必需的其它數(shù)據(jù))。該結(jié)果,例如一個(gè)單獨(dú)的位或一個(gè)布爾函數(shù),是認(rèn)證用戶(hù)的結(jié)果。
在卡120中,數(shù)據(jù)結(jié)構(gòu)STRUCT是安全的。更為特別地,卡120以傳統(tǒng)的方式執(zhí)行多種能夠確保它存儲(chǔ)的數(shù)據(jù)的機(jī)密性的機(jī)制。
一旦數(shù)據(jù)結(jié)構(gòu)STRUCT已經(jīng)被創(chuàng)建和更新,用戶(hù)U斷開(kāi)微處理器120和設(shè)備100,這樣的作用是如果它還沒(méi)有發(fā)生,則觸發(fā)對(duì)有效性的持續(xù)時(shí)間DV的計(jì)時(shí)(如果觸發(fā)例如一個(gè)充電命令的電容器充電的結(jié)束,或當(dāng)持續(xù)時(shí)間DV以一項(xiàng)時(shí)間信息的形式被存儲(chǔ)在存儲(chǔ)器中)。
然后用戶(hù)U將卡120連接到處理設(shè)備200上,例如通過(guò)在為所述目的提供的位置上引入卡,配備有卡讀取器。該連接的作用當(dāng)然不是停止對(duì)有效性的持續(xù)時(shí)間的計(jì)時(shí)。尤其,在使用了電容器的情況下,計(jì)時(shí)不會(huì)停止,因?yàn)樾枰l(fā)布特有的充電命令來(lái)為它重新充 H1^ ο
處理設(shè)備200通常是一個(gè)具有低可信賴(lài)度和不安全的設(shè)備,典型地第三方支付站 /終端,自動(dòng)提款機(jī),網(wǎng)絡(luò)服務(wù)等。
如圖中所示,處理設(shè)備200包含微處理器卡(或依據(jù)本案的存儲(chǔ)器)的讀取器 210,它和卡120的通信接口 1202兼容,且包含處理模塊220。處理設(shè)備200還包括用戶(hù)接口(未顯示),尤其為了訪(fǎng)問(wèn)期望的資源時(shí),它使用戶(hù)能夠和裝置交互。
處理模塊220因此控制和卡120之間的交換,從而執(zhí)行對(duì)期望資源的訪(fǎng)問(wèn),且尤其給它傳送訪(fǎng)問(wèn)資源的消息。消息可包含通過(guò)認(rèn)證保護(hù)的命令C,或調(diào)用也通過(guò)認(rèn)證保護(hù)的函數(shù),程序,命令C’,這些認(rèn)證在卡120中執(zhí)行。
然后正是微處理器卡120通過(guò)使用存儲(chǔ)在有限的有效性結(jié)構(gòu)中的個(gè)人認(rèn)證數(shù)據(jù) D2來(lái)認(rèn)證用戶(hù)U的方式控制執(zhí)行被保護(hù)的命令。該控制使得可授權(quán)或拒絕執(zhí)行被保護(hù)的命令、函數(shù)或程序,且因此訪(fǎng)問(wèn)或不訪(fǎng)問(wèn)期望的服務(wù)S。下面,將主要參考“被保護(hù)的命令”來(lái)指派那些通過(guò)認(rèn)證保護(hù)的命令、函數(shù)或程序。
依賴(lài)于相關(guān)的有效性的持續(xù)時(shí)間DV,當(dāng)連接到處理設(shè)備200時(shí),微處理器卡120因此被配置來(lái)使用已存儲(chǔ)的個(gè)人認(rèn)證數(shù)據(jù)D2,以產(chǎn)生授權(quán)或拒絕它已經(jīng)接收的被保護(hù)的命令的執(zhí)行。
這樣,數(shù)據(jù)結(jié)構(gòu)STRUCT作為在設(shè)備100上敏感數(shù)據(jù)的輸入和當(dāng)使用設(shè)備200訪(fǎng)問(wèn)服務(wù)S時(shí)它們的使用之間的接口。
本發(fā)明還適用于訪(fǎng)問(wèn)處理設(shè)備200本地的服務(wù)/資源(例如該設(shè)備的功能性或它存儲(chǔ)的數(shù)據(jù)的功能性),不是如圖所示的那樣需要通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)20的訪(fǎng)問(wèn)。
在控制執(zhí)行被用戶(hù)認(rèn)證保護(hù)的命令時(shí),微處理器卡120從使用或不使用它包含的個(gè)人認(rèn)證數(shù)據(jù)D2的方面考慮與結(jié)構(gòu)STRUCT相關(guān)的有效性DV的持續(xù)時(shí)間。
因此,當(dāng)用戶(hù)在處理設(shè)備200上生成用于對(duì)需要卡120參與的服務(wù)的被保護(hù)的訪(fǎng)問(wèn)命令C/C’以檢驗(yàn)要求的權(quán)限時(shí),結(jié)構(gòu)STRUCT的有效性是接收到命令時(shí)最先被卡檢驗(yàn)的。
如果有效性的持續(xù)時(shí)間是明確的(例如有效性時(shí)間終止的標(biāo)志),卡120證實(shí)持續(xù)時(shí)間還沒(méi)有過(guò)期,尤其通過(guò)使用處理設(shè)備的時(shí)鐘。
如果它是不明確的(例如電容器的使用),卡120檢驗(yàn)電容器是否完全放電。這可以例如通過(guò)使用電容器充電級(jí)別命令來(lái)執(zhí)行,或可以通過(guò)試圖訪(fǎng)問(wèn)易失性存儲(chǔ)器中的數(shù)據(jù)結(jié)構(gòu)STRUCT來(lái)獲取,如果后者被電容器加電或如果使用了存儲(chǔ)器的剩磁特性。更為特別地,這些情況下,如果電容器被完全放電或剩磁的持續(xù)時(shí)間已經(jīng)過(guò)期,數(shù)據(jù)結(jié)構(gòu)則被擦除。
如果是數(shù)據(jù)結(jié)構(gòu)STRUCT有效,訪(fǎng)問(wèn)個(gè)人認(rèn)證數(shù)據(jù)D2,使卡120能夠檢驗(yàn)要求的權(quán)利,例如輸入的PIN碼是否正確。權(quán)限的檢驗(yàn)生成授權(quán)或拒絕正考慮的被保護(hù)命令的執(zhí)行, 且因此訪(fǎng)問(wèn)預(yù)期的服務(wù)或不訪(fǎng)問(wèn)。
由此依據(jù)本發(fā)明,該控制能夠通過(guò)卡120獲取安全地對(duì)處理設(shè)備200提供大量服務(wù)的訪(fǎng)問(wèn)金融交易、數(shù)字簽名、賬戶(hù)咨詢(xún)、數(shù)據(jù)訪(fǎng)問(wèn)等,同時(shí)避免了欺詐利用用戶(hù)輸入的敏感數(shù)據(jù)。
輸入設(shè)備100和處理設(shè)備200,同微處理器卡120 —樣,包含被配置來(lái)執(zhí)行在此描述的不同步驟和操作的硬件和軟件部件。
下面,將被提到的例子中,在由處理設(shè)備提供的消息中直接指出的命令C的執(zhí)行依賴(lài)于使用包含在有限的有效性結(jié)構(gòu)STRUCT中的個(gè)人認(rèn)證數(shù)據(jù)來(lái)進(jìn)行成功的用戶(hù)認(rèn)證。
然而,如上面所提到的,通過(guò)認(rèn)證保護(hù)的命令、函數(shù)或程序可在處理消息時(shí)執(zhí)行, 而它沒(méi)有明確地由消息指出。
此外可注意的是不管存儲(chǔ)在結(jié)構(gòu)STRUCT中的個(gè)人認(rèn)證數(shù)據(jù)是否影響卡120產(chǎn)生的響應(yīng)命令C的結(jié)果,都不會(huì)對(duì)本發(fā)明有影響。舉例來(lái)說(shuō),命令C的響應(yīng)可為已存儲(chǔ)的個(gè)人認(rèn)證數(shù)據(jù)的值(例如生成已存儲(chǔ)的認(rèn)證的結(jié)果)。另一個(gè)例子中,生成的值可依賴(lài)于個(gè)人認(rèn)證數(shù)據(jù)的值(例如如果多個(gè)子命令中的一個(gè)子命令C’沒(méi)有執(zhí)行,結(jié)果則可改變)。最后,另一個(gè)例子中,生成的結(jié)果獨(dú)立于不管被所述認(rèn)證保護(hù)的命令是否執(zhí)行(例如執(zhí)行該命令使得卡120的內(nèi)部標(biāo)志能夠被更新)。
圖3闡明根據(jù)本發(fā)明訪(fǎng)問(wèn)數(shù)字簽名服務(wù)的第一個(gè)例子。
這個(gè)例子中,存儲(chǔ)結(jié)構(gòu)STRUCT的卡120是可移動(dòng)的。另外,部件1204可通過(guò)在卡 120中提供的電容器從而為易失性存儲(chǔ)器1203暫時(shí)充電來(lái)實(shí)現(xiàn)。另外,在結(jié)構(gòu)STRUCT中存儲(chǔ)結(jié)果之前,用戶(hù)U輸入的數(shù)據(jù)Dl在輸入設(shè)備100中被預(yù)處理。因此,在步驟E300開(kāi)始第一階段Pl,可移動(dòng)微處理器卡(或存儲(chǔ)器模塊)120被插入到輸入設(shè)備100中,在此為用戶(hù)的移動(dòng)電話(huà)。
根據(jù)傳統(tǒng)的機(jī)制,這個(gè)插入產(chǎn)生加電E302的信號(hào),觸發(fā)微處理器卡120的加電和它的初始化E304。這個(gè)階段,卡120的微處理器(未示出)和存儲(chǔ)器1203被主電源供應(yīng)源充電(例如電話(huà)的電池)。
為了執(zhí)行用戶(hù)U要求的服務(wù)S,用戶(hù)通過(guò)菜單和接口 110來(lái)為訪(fǎng)問(wèn)服務(wù)(E306)選擇預(yù)處理應(yīng)用。
然后指定給卡120的輸入設(shè)備100生成用于選擇應(yīng)用的命令(E308)。該選擇命令 “Select”依照IS0/IEC 7816-4標(biāo)準(zhǔn),用于在微處理器卡120和讀卡器130(在此裝備設(shè)備 100)之間通信。
然后在卡120中執(zhí)行(E310)被選擇的應(yīng)用,需要輸入一項(xiàng)用于識(shí)別或認(rèn)證用戶(hù)U 的個(gè)人數(shù)據(jù)Dl和期望的服務(wù)中所必需的可能的補(bǔ)充數(shù)據(jù)。這個(gè)例子中,用戶(hù)U通過(guò)接口 110輸入他的PIN碼(E312)。
依照所述IS0/IEC 7816-4標(biāo)準(zhǔn)的PIN碼檢驗(yàn)命令“VERIFY PIN”然后被提供給卡 120(E314)。這個(gè)命令包含用戶(hù)U輸入的PIN碼。
以傳統(tǒng)的方式,卡120取得輸入的PIN碼,然后比較它和預(yù)記錄在卡120的安全存儲(chǔ)器中的參考PIN碼(E316),以便在正確的PIN時(shí)生成正響應(yīng)0K(E318)和在錯(cuò)誤的PIN時(shí)生成負(fù)響應(yīng)N0K(E320)。
在步驟E322,以并行的方式,卡120通過(guò)在其中插入比較E316的結(jié)果(和可能它已經(jīng)接收的補(bǔ)充數(shù)據(jù))來(lái)更新(如果必要,創(chuàng)建)數(shù)據(jù)結(jié)構(gòu)STRUCT。在此比較的結(jié)果被稱(chēng)為用戶(hù)的“個(gè)人認(rèn)證數(shù)據(jù)” D2。
同時(shí),卡120通過(guò)發(fā)送用于為電容器1204充電的命令來(lái)提供與數(shù)據(jù)結(jié)構(gòu)相關(guān)的和因此與個(gè)人認(rèn)證數(shù)據(jù)D2相關(guān)的有效性的持續(xù)時(shí)間DV。持續(xù)時(shí)間DV被計(jì)時(shí)例如從停止為電容器1204充電開(kāi)始,通過(guò)該電容器的連續(xù)放電。
步驟E322的這些操作可例如通過(guò)控制程序來(lái)執(zhí)行,列舉如下
if PIN OK{ charge 1204;
權(quán)利要求
1.一種用于控制通過(guò)認(rèn)證保護(hù)的功能執(zhí)行的方法,包含下述步驟當(dāng)用戶(hù)在輸入設(shè)備上輸入個(gè)人輸入數(shù)據(jù)時(shí),在有限的有效性結(jié)構(gòu)中存儲(chǔ)個(gè)人認(rèn)證數(shù)據(jù),該個(gè)人認(rèn)證數(shù)據(jù)依賴(lài)于個(gè)人輸入數(shù)據(jù);在使用有限的有效性結(jié)構(gòu)包含的個(gè)人認(rèn)證數(shù)據(jù)之前,檢驗(yàn)有限的有效性結(jié)構(gòu)的有效性,從而產(chǎn)生授權(quán)或拒絕執(zhí)行功能,該功能在處理由不同于輸入設(shè)備的處理設(shè)備生成的消息時(shí)被執(zhí)行。
2.根據(jù)權(quán)利要求1的方法,包含下述步驟用戶(hù)使用輸入設(shè)備輸入個(gè)人數(shù)據(jù);基于個(gè)人輸入數(shù)據(jù)來(lái)認(rèn)證用戶(hù),從而產(chǎn)生授權(quán)或拒絕執(zhí)行被保護(hù)的功能;如果授權(quán),執(zhí)行該功能;其中存儲(chǔ)和檢驗(yàn)步驟在存儲(chǔ)器模塊中執(zhí)行,該存儲(chǔ)器模塊分別在輸入和存儲(chǔ)步驟時(shí)連接輸入設(shè)備,及在檢驗(yàn)和執(zhí)行步驟時(shí)連接處理設(shè)備;所述有限的有效性結(jié)構(gòu)包括具有有效性的個(gè)人認(rèn)證數(shù)據(jù),該有效性通過(guò)結(jié)合有效性的持續(xù)時(shí)間和個(gè)人認(rèn)證數(shù)據(jù)來(lái)限定。
3.根據(jù)權(quán)利要求1的方法,其中授權(quán)或拒絕的生成依賴(lài)于使用參考數(shù)據(jù)對(duì)個(gè)人輸入數(shù)據(jù)的檢驗(yàn),檢驗(yàn)的結(jié)果通過(guò)使用存儲(chǔ)在已存儲(chǔ)的有限的有效性結(jié)構(gòu)中的所述個(gè)人認(rèn)證數(shù)據(jù)來(lái)得到。
4.根據(jù)權(quán)利要求2的方法,包括將個(gè)人輸入數(shù)據(jù)和預(yù)記錄在存儲(chǔ)器模塊中的個(gè)人數(shù)據(jù)進(jìn)行比較的步驟,且存儲(chǔ)在有限的有效性結(jié)構(gòu)中的個(gè)人認(rèn)證數(shù)據(jù)包含比較的結(jié)果。
5.依據(jù)權(quán)利要求1的方法,其中存儲(chǔ)在有限的有效性結(jié)構(gòu)中的個(gè)人認(rèn)證數(shù)據(jù)包括個(gè)人輸入數(shù)據(jù),且它們的使用包含將存儲(chǔ)在有限的有效性結(jié)構(gòu)中的個(gè)人認(rèn)證數(shù)據(jù)和預(yù)記錄的個(gè)人數(shù)據(jù)相比較的子步驟。
6.根據(jù)權(quán)利要求1的方法,其中所述有限的有效性結(jié)構(gòu)包含具有有效性的個(gè)人認(rèn)證數(shù)據(jù),該有效性通過(guò)結(jié)合有效性的持續(xù)時(shí)間和個(gè)人認(rèn)證數(shù)據(jù)來(lái)限定,且和個(gè)人認(rèn)證數(shù)據(jù)相關(guān)聯(lián)的有效性的持續(xù)時(shí)間通過(guò)電容器的放電來(lái)計(jì)算。
7.依據(jù)權(quán)利要求6的方法,其中個(gè)人認(rèn)證數(shù)據(jù)被存儲(chǔ)在暫時(shí)由所述電容器加電的易失性存儲(chǔ)器中。
8.依據(jù)權(quán)利要求1的方法,其中個(gè)人認(rèn)證數(shù)據(jù)被存儲(chǔ)于在控制被保護(hù)的功能執(zhí)行的期間被持續(xù)加電的存儲(chǔ)器模塊的易失性存儲(chǔ)器中,或被存儲(chǔ)于可重寫(xiě)存儲(chǔ)器中,且和個(gè)人認(rèn)證數(shù)據(jù)相關(guān)聯(lián)的有效性的持續(xù)時(shí)間通過(guò)將時(shí)間量存儲(chǔ)在與存儲(chǔ)器中的個(gè)人認(rèn)證數(shù)據(jù)相關(guān)聯(lián)的變量中而被定義。
9.依據(jù)權(quán)利要求1的方法,其中當(dāng)接收到來(lái)自處理設(shè)備的消息時(shí),被保護(hù)的功能是由存儲(chǔ)有限的有效性結(jié)構(gòu)的微處理器模塊執(zhí)行的命令。
10.依據(jù)權(quán)利要求1的方法,其中存儲(chǔ)有限的有效性結(jié)構(gòu)和它包含的個(gè)人認(rèn)證數(shù)據(jù)的存儲(chǔ)器模塊是可移動(dòng)的,且在輸入時(shí)放置在輸入設(shè)備中,在檢驗(yàn)結(jié)構(gòu)的有效性時(shí)和在使用有限的有效性個(gè)人認(rèn)證數(shù)據(jù)時(shí)放置在處理設(shè)備中。
11.依據(jù)權(quán)利要求1的方法,其中在控制和執(zhí)行被保護(hù)的功能期間,存儲(chǔ)有限的有效性結(jié)構(gòu)和它包含的個(gè)人認(rèn)證數(shù)據(jù)的存儲(chǔ)器模塊是和輸入裝置物理連接的,且處理裝置通過(guò)無(wú)接觸通信的方式和存儲(chǔ)器模塊通信。
12.根據(jù)權(quán)利要求10或11的方法,其中存儲(chǔ)有限的有效性結(jié)構(gòu)和個(gè)人認(rèn)證數(shù)據(jù)的存儲(chǔ)器模塊是安全的微處理器卡。
13.根據(jù)權(quán)利要求1的方法,其中對(duì)來(lái)自處理設(shè)備的消息的處理生成響應(yīng),該響應(yīng)包含至少一個(gè)依賴(lài)于已生成的授權(quán)或拒絕的響應(yīng)值。
14.根據(jù)權(quán)利要求1的方法,其中輸入設(shè)備是用戶(hù)的移動(dòng)電話(huà)。
15.一種包括用于執(zhí)行指令的處理器和至少一個(gè)存儲(chǔ)器的存儲(chǔ)器模塊,該存儲(chǔ)器模塊被配置為在有限的有效性結(jié)構(gòu)中存儲(chǔ)個(gè)人認(rèn)證數(shù)據(jù),該個(gè)人認(rèn)證數(shù)據(jù)依賴(lài)于用戶(hù)輸入的和從輸入設(shè)備中接收的個(gè)人數(shù)據(jù),存儲(chǔ)器模塊被連接到輸入設(shè)備;在使用有限的有效性結(jié)構(gòu)包含的個(gè)人認(rèn)證數(shù)據(jù)之前,檢驗(yàn)所述有限的有效性結(jié)構(gòu)的有效性,從而產(chǎn)生授權(quán)或拒絕執(zhí)行通過(guò)認(rèn)證保護(hù)的功能,且該功能在處理從不同于輸入設(shè)備的處理設(shè)備中接收的消息時(shí)被執(zhí)行。
16.一種用于控制執(zhí)行被用戶(hù)認(rèn)證保護(hù)的功能的系統(tǒng),包括 輸入設(shè)備,用于用戶(hù)輸入個(gè)人數(shù)據(jù);處理設(shè)備,不同于輸入設(shè)備且適用于在用戶(hù)的操作下生成要處理的消息; 存儲(chǔ)器模塊,包括處理器和至少一個(gè)存儲(chǔ)器,該存儲(chǔ)器模塊被配置用來(lái)在個(gè)人輸入數(shù)據(jù)的基礎(chǔ)上認(rèn)證用戶(hù),從而產(chǎn)生授權(quán)或拒絕執(zhí)行通過(guò)保護(hù)的功能,該被保護(hù)的功能在所述消息的處理中被執(zhí)行;其中存儲(chǔ)器模塊被配置為當(dāng)它連接輸入設(shè)備時(shí),在它的存儲(chǔ)器中生成并存儲(chǔ)依賴(lài)于個(gè)人輸入數(shù)據(jù)的有限的有效性個(gè)人認(rèn)證數(shù)據(jù)且將它們和有效性參數(shù)相關(guān)聯(lián);以及當(dāng)它連接處理設(shè)備時(shí),依賴(lài)于相關(guān)的有效性參數(shù),使用已存儲(chǔ)的個(gè)人認(rèn)證數(shù)據(jù)來(lái)產(chǎn)生授權(quán)或拒絕執(zhí)行該功能。
17.一種電子實(shí)體,包括至少一個(gè)通信接口,用于接收用戶(hù)輸入的個(gè)人數(shù)據(jù)和要處理的消息, 存儲(chǔ)器,它在有限的有效性數(shù)據(jù)結(jié)構(gòu)中存儲(chǔ)依賴(lài)于個(gè)人輸入數(shù)據(jù)的個(gè)人認(rèn)證數(shù)據(jù), 用于在時(shí)間或空間上限定存儲(chǔ)個(gè)人認(rèn)證數(shù)據(jù)的數(shù)據(jù)結(jié)構(gòu)的有效性的部件,和用于在使用有限的有效性結(jié)構(gòu)包含的個(gè)人認(rèn)證數(shù)據(jù)之前,檢驗(yàn)有限的有效性結(jié)構(gòu)的有效性,從而產(chǎn)生授權(quán)或拒絕執(zhí)行通過(guò)認(rèn)證保護(hù)的功能的部件,其中該功能在處理已接收的消息時(shí)被執(zhí)行。
全文摘要
本發(fā)明涉及一種用于控制用戶(hù)認(rèn)證的保護(hù)功能執(zhí)行的方法和系統(tǒng),尤其是資源的訪(fǎng)問(wèn)的例子。本方法包括用戶(hù)使用輸入設(shè)備輸入個(gè)人數(shù)據(jù),使用個(gè)人輸入數(shù)據(jù)來(lái)認(rèn)證用戶(hù)以授權(quán)或拒絕執(zhí)行功能;在一個(gè)連接到輸入設(shè)備的安全的卡中,存儲(chǔ)依賴(lài)于輸入數(shù)據(jù)的有限的有效性認(rèn)證數(shù)據(jù);當(dāng)該卡連接到被用戶(hù)用來(lái)生成消息的處理設(shè)備時(shí),消息的處理執(zhí)行所述功能,其使用已存儲(chǔ)的數(shù)據(jù),考慮有限的有效性,從而授權(quán)或不授權(quán)執(zhí)行該功能。
文檔編號(hào)H04L29/06GK102546169SQ201110404170
公開(kāi)日2012年7月4日 申請(qǐng)日期2011年10月26日 優(yōu)先權(quán)日2010年10月26日
發(fā)明者A·菲勞德 申請(qǐng)人:歐貝特技術(shù)公司