CN1806251A - 具有链接安全和非安全环境的两个i/o端口的智能卡 - Google Patents

Abstract

本发明涉及一种在包括连接到诸如智能卡的便携式对象(1)的处理数据单元(PC、……)、连接到装置(21)的便携式对象(例如PIN板)的***中用于执行需要输入安全信息(例如PIN)的安全操作的方法，该方法的特征在于，其包括在所述便携式对象中通过被分配与所述装置连接的所述便携式对象的输入/输出部分从所述装置接收所述安全信息，该输入/输出部分物理上与被分配与所述处理数据单元连接的所述便携式对象的输入/输出部分(例如USB接口)不同。

Description

具有链接安全和非安全环境 的两个I/O端口的智能卡

技术领域

本发明涉及便携式对象领域，更具体地说，涉及允许执行安全操作的智能卡领域。

本发明可应用于包括嵌入了几个输入/输出通道(例如，IO1+IO2)(IO为输入/输出)的智能卡的应用。

背景技术

带有集成电路也被称为智能卡的卡是包含一个或多个嵌入式集成电路的小塑料装置。带有集成电路的卡可以是例如存储卡或也被称为微处理器芯片卡的微处理器卡。智能卡由具有智能卡被***其中的开孔或槽等的卡读取器进行访问。智能卡读取器包括用于接收智能卡或与智能卡连接并与其工作(读取、写、删除、和/或每一可能的操作)的每种装置。智能卡读取器可以是计算机的部分或者被链接到计算机、pin板等。本发明包括智能卡，但也包括设置有集成电路、允许与至少一个便携式对象接收装置工作或交互的每种便携式对象，在随后描述的实施例中，本发明包括设置有至少一种集成电路的便携式对象，该集成电路被设计以提供诸如认证、确认有效性、加密/解密、安全存储......的安全功能。便携式对象接收装置可具有设置有用于接收便携式对象的开孔或槽的外壳的形式，还具有允许便携式对象被连接到便携式对象接收装置的任何形式。

由本申请人于2000年3月17日提交的WO00/56007专利中描述的本发明包括验证消息签名。在所述专利中，智能卡接收消息和来自个人计算机(PC)的对应证书，验证该证书并至少将验证的结果信息发送到显示装置以检查该证书。相同的原理适用于消息和签名。

当用户已检查了证书、消息或签名时，他按下按钮或输入密码，该密码通过被连接到非安全环境的卡的输入/输出部分(I1/O1)被发送到卡。因此，可改动卡被***其中的外壳以盗取密码或数据或者将其经过互联网发送或者将伪造的接受发送到卡。

在由例如可能是开放或不可信的个人计算机(PC)的处理数据单元构成的不安全环境下，存在许多种需要信息(个人身份号(PIN)、有效性承认、机密数据......)的安全输入并可由智能卡或任何其它安全组件控制的安全操作。然而，因为PC不是可信的环境：其构成开放式***，所以由智能卡带来的所有安全可能是无用的

例如，互联网提供许多用例，在这些用例中，例如，当购买一些商品或稍后的在线页面(报纸、数据库搜索......)时，用户必须执行一些在线验证。当验证于用户的责任时，应该才取一些预防措施。在这样的情况下，问题总是如何确定我们正在验证的数据真的是我们料想的那个。

也可要求输入个人身份号(PIN)，其当通过PC键盘执行时引起PIN在所述PC中被盗取的风险。

这些担心与电子签名问题具有相同的起因。特洛伊木马病毒可执行在计算机中的一些内部改变，使得你验证不真的是你想的那个的数据，或者该病毒当用户输入PIN时可能盗取它。

发明内容

本发明包括提供智能和安全的网关，其构成封闭、安全和受控制的环境，诸如带有至少两个输入/输出部分的智能卡，一个专门用于向非安全环境发送数据和从非安全环境接收数据，另一个专门用于向安全环境(销售pin板、ATM、私人pin板、安全网络的场所)发送数据和从安全环境接收数据以执行需要安全控制的操作，诸如验证交易、检查签名、加密或解密......

附图说明

给定无限制的示例并参考附图，读取下面的根据本发明的方法的实现的描述以及为该实现设计的便携式对象的实现的方式的描述，本发明的其它目的、特点和优点将会显现，其中：

图1是在诸如智能卡的便携式对象中整合的电子单元的实现的示例的示意图；

图2是被设计以实现根据本发明的方法的智能卡的无限制方式的实现的示意图；

图3是使用根据本发明的智能卡的实际示例的示意图；和

图4是使用根据本发明的智能卡的另一实际示例的示意图。

具体实施方式

本发明属于便携式对象1的领域，该便携式对象1设置有至少一个存储器装置和能够将所述便携式对象连接到至少一个对象接收装置的连接器，便携式对象能够与该对象接收装置工作或交互。

根据本发明的方法通过使用构成在所述非安全环境和安全环境之间的智能和安全网关的便携式对象，允许执行在非安全环境下执行安全操作。

在图1显示的本发明的具体实施例中，便携式对象1是带有集成电子单元2的智能卡，电子单元2包括至少一个微处理器CPU 3，该CPU3经由内部总线5与非易失性存储器7、易失性存储器11以及用于与外部通信的输入/输出装置双向连接，所述非易失性存储器7是ROM、EEPROM、闪存、铁电存储器等类型的并至少存储将被执行的程序，所述易失性存储器11是RAM类型的。单元2可包括额外的未显示的连接到内部总线的组件。这种类型的单元一般被制造为单片集成电子电路或芯片，其一旦被任何已知的装置物理地保护就可以被装配在用于各种领域的集成电路卡或类似物上，诸如银行和/或电子支付卡，移动无线电电话、付费电视、健康和交通。集成在卡的层中的芯片被连接到这样的模块，该模块包括入图2所示的卡的表面上的一套扁平连接器。

下面是本发明的原理：

如图2所示，便携式对象1构成带有至少两个输入/输出部分17和18(I/O1、I/O2)的安全和受控制的环境。

一个I/O(或多个I/O)，即非安全I/O被专门用于支持与非安全或不受控制的环境(即，用户不可不加限制地对其依赖的环境，诸如PC或POS装置)的交换。

另一个I/O被连接到用户对其依赖的环境(例如，个人pin板)。来自用户的执行安全操作所需要的所有信息被通过安全输入/输出发送到便携式对象。

因此，知道不应使用非安全环境的用户将把键盘连接到与安全环境相连接的安全I/O以发送机密数据。如果数据是PIN，则他将把专用键盘连接到安全I/O。

术语“连接的”具有非常宽的意思：“连接的”指的是连接的装置以使它们能彼此发送信息的方式被链接。这些装置可通过许多类型的连接(电线、无线电、......)被连接。

这里随后将参照图3描述本发明的实施例的示例。

一个用户有张支付卡。他从家里使用其PC在互联网上用支付卡够买商品或服务。该卡通过仅由电线制成的卡接收装置19被直接连接到USB(通用串行总线)PC主机。该卡接收装置19与USB标准兼容并被PC识别。智能卡应用要求为支付提供PIN。为了避免用户在PC键盘上键入其PIN，第二套连接器20专门用于与装备有足够键盘和显示器的PIN板21的连接。

因为病毒可执行用户看不见的、包括针对智能卡的有害行为，所以PC是非安全环境。

用户想要在互联网上执行交易，这里为够买商品或服务。他将其计算机连接到商家站点。在选择了他想要的商品或服务后，用户为了支付而在该互联网站点结帐。在验证了其够买列表后，用户被请求将他的支付卡***他的读取器。用户将他的卡首先***USB侧。通过卡的非安全I/O1在卡和PC之间建立通信通道。由于互联网站点可透明地访问该卡，所以互联网站点可验证该卡。读取卡中的数据(例如，应用参考)允许检测出卡需要个人PIN板来完成通过互联网的支付。要求用户连接个人PIN板的一个消息被显示。

用户将卡连接到其个人PIN板。该第二通信通道通过安全的卡的I/O2来流通。通过将VCC和GND连接器中继到PIN板侧(线被包裹在卡的塑料体中)，PC对个人PIN板供电。

非安全I/O1专门用于USB通信。安全I/O2与具体的PIN板协议兼容。所述卡搜索个人PIN板。

PC在支付会话中进入，并从互联网站点接收必要的交易数据(价格、商品/服务列表、物品参考、银行机构名称......)。它们被显示在屏幕上，请求用户来确认该支付会话。

用户通过在其个人PIN板上按键来确认或取消交易。键的按下通过智能卡被中继到PC，该智能卡从安全I/O2接收键的按下并将其通过非安全I/O1发送。这允许验证个人PIN板正确地进行。同时，卡将继续该交易所需要的数据发送到主机(建立会话密钥的随机数、密码学密钥参考、认证数据......)。

为了完成交易，卡需要提供所有者的PIN。它等待来自安全I/O2的PIN以防止被连接到非安全环境的非安全I/O1的盗取。

因此，卡、PIN板和PC进入PIN输入会话。

用户每次按下数字键，卡在其存储器中存储数字键的值，并向PC发送“*”(星字符)。使用相同的原理处理整个PIN输入会话。在结尾时，用户验证或取消通过按下专用键而得到的PIN。

如果PIN被证实有效则验证该PIN。假定PIN值是正确的，那么卡继续该交易。否则，交易被取消。

根据实施例的另一示例，如果文档必须签名发送，则在可信的环境下准备它，并将其发送到签署其(并且可能对其加密)的安全网关。然后，它被提供给连接的PC以经由电子邮件或任何其它方式发送。

嵌入在网关中的基本密码学功能至少确保数据的签名和加密/解密，但是应该被扩展到所有密码学功能，诸如认证、隐私、认可、重演防止、数据标签......

取决于要求，可信环境可能由可信的PC或PC的网络等构成。最重要的是除了通过安全网关，禁止对这样的网络的任何访问。

根据图4示出的实施例的另一示例，具有签名的文档按路径20验证，而文档按路径30签名。

假定智能卡是非常安全的环境，那么孤立PC或非常受控制的PC网络可被认为是“安全区”。“安全区”不像智能卡那么安全，但是可以假定它是可信的工作环境。

结果，我们可定义安全的三种不同的等级：

·等级0：可连接到互联网的任何标准PC，其没有准备用于特定的安全任务(例如桌面或膝上PC)

·等级1：特别设计以执行一些要求专用安全等级的PC或PC的网络。这样的计算机没有使用通常的方式被连接到外部世界，并不可具有软盘、CD或DVD读取器/播放器(即，输入和输出应完全在控制下)。它还应被放置在安全的办公室中以控制其访问(即，物理访问控制)

·等级2：这里代表最高安全等级的智能卡或等同物，由于这种考虑贯彻从其生命期的开始到结束。这还包括软件和硬件开发、个性化考虑、安全锁、......

要记住的重要要素是：

安全等级0环境不能被用于对文档签名或验证。这是非安全环境。

安全等级1环境对于对文档签名或验证不够安全。需要要来执行签名的密码学密钥也是敏感数据。另外，等级1对于编辑、显示或打印要签名或要验证的文档应该足够了。这是可信的环境。

安全等级2环境是特别设计来处理诸如密码学密钥的敏感数据的。其在安全环境中被设计、加载、升级和个性化。从其构思到其生命期结束，它服从于安全政策。这是安全环境。

智能卡确保非安全和可信安全环境之间的安全网关功能。足够的协议(例如，ber tlv)允许检测保护的数据(使用密码学方式)。如果智能卡接收的数据未被封印，则其被拒绝。假定智能卡和电子装置没有足够的存储器来存储完整的文档，那么数据被发送到安全等级1环境，在那里数据被暂时存储(特定转变区域)。当接收到所有数据并且如果密码学验证成功时，智能卡在电子装置显示器上显示哈希计算的结果。同时，放置在安全等级1环境中的PC执行相同的计算并显示结果。用户比较两个显示的哈希计算结果。如果它们相等，那么它通过按下电子装置上的按钮来验证其有效性。从电子装置接收确认，安全PC将数据从暂时的存储位置移动到工作位置以使用该数据。

以另一种方式，如果数据打算被签名，则其通过电子装置(从等级1安全环境)被发送到智能卡。存在本发明的许多其它类型的应用，例如，存在这样的应用，即，在其中，智能卡设置有多于两个输入/输出部分以从不同安全等级的环境的不同装置部分接收信息。

Claims (10)

1、用于执行需要输入安全信息的安全操作的***，该***包括连接到便携式对象(1)的处理数据单元(PC、......)、连接到装置(21)的便携式对象，该***的特征在于，所述便携式对象包括至少两个物理上不同的输入/输出部分(17、18)，它们分别被分配与处理数据单元和所述装置连接以使所述装置通过所分配的输入/输出部分将所述安全信息发送到便携式对象。

2、根据权利要求1的***，其特征在于，在便携式对象和处理数据单元以及在便携式对象和所述装置之间的数据传播之间唯一的逻辑链路是便携式对象的软件。

3、用于执行需要输入安全信息的安全操作的便携式对象，其旨在与处理数据单元(PC、......)以及装置(21)连接，其特征在于，所述便携式对象包括至少两个物理上不同的输入/输出部分(17、18)，它们分别被分配与处理数据单元和所述装置连接以使所述装置通过所分配的输入/输出部分将所述安全信息发送到便携式对象。

4、根据权利要求3的便携式对象，其特征在于，便携式对象是带有集成电路的卡。

5、根据权利要求3或4的便携式对象，其特征在于，在便携式对象和处理数据单元以及在便携式对象和所述装置之间的数据传播之间唯一的逻辑链路是便携式对象的软件。

6、被整合进根据权利要求3至5之一的便携式对象的电子单元。

7、在包括连接到便携式对象(1)的处理数据单元(PC、......)、连接到装置(21)的便携式对象的***中执行需要输入安全信息的安全操作的方法，该方法的特征在于，其包括在所述便携式对象中通过被分配与所述装置连接的所述便携式对象的一个输入/输出部分从所述装置接收所述安全信息，该输入/输出部分在物理上与被分配与所述处理数据单元连接的所述便携式对象的一个输入/输出部分不同。

8、根据权利要求7的方法，其特征在于，在便携式对象和处理数据单元以及在便携式对象和所述装置之间的数据传播之间唯一的逻辑链路是便携式对象的软件。

9、根据权利要求7或8中的方法的用于验证信息的应用，包括当由所述处理数据单元给出的要验证的信息是正确时在所述装置中输入安全信息，并且经过所述便携式对象的分配的输入/输出部分来发送验证的信息，来验证信息。

10、一种包括程序代码指令的计算机程序，当所述程序在数据处理***中运行时，执行根据权利要求7至8中的方法。