CN100365666C

CN100365666C - 使用便携式数据支持装置来执行安全电子交易的方法

Info

Publication number: CN100365666C
Application number: CNB200380101997XA
Authority: CN
Inventors: 吉塞拉·迈斯特; 尼戈尔·马丁
Original assignee: Giesecke and Devrient GmbH
Current assignee: Jiejia De Mobile Safety Co Ltd
Priority date: 2002-10-24
Filing date: 2003-10-23
Publication date: 2008-01-30
Anticipated expiration: 2023-10-23
Also published as: RU2005115843A; JP2006504167A; CN1708773A; DE10249801B3; EP1573689A1; BR0315675A; WO2004038665A1; US20060242691A1; JP4578244B2; RU2397540C2; US8205249B2; AU2003276154A1; EP1573689B1

Abstract

本发明公开了一种使用便携式数据支持装置来执行安全电子交易的方法。根据本发明，用户(30)首先对便携式数据载体(20)验证他自身。便携式数据载体(20)同时产生关于验证如何发生的信息，向终端(14)核实该信息。接着，便携式数据载体(20)在交易的框架之内执行基于安全性操作，例如数字签名的生成。基于安全性操作的结果被添加到质量信息中。

Description

使用便携式数据支持装置来执行安全电子交易的方法

本发明起始于根据主要权利要求种类的方法。这种方法可以从例如“Handbuch der Chipkarten”(以下为“Chip card manual”)，W.Rankl，W.Effing，第三版，1999，692到703页，标题“Digital signature”中得知。为了执行合法绑定的电子签名，相应地使用包含保密签名密钥的数字签名卡。签名是在适当的终端上执行的，该卡从该终端接收电子形式的将要签名的文档。为了能够执行签名，卡的用户必须通过终端建立其身份的证明(proof)。该证明通常是通过输入PIN(个人识别号码)来提供的，所输入的PIN与存储在卡中的参考PIN进行比较。将来，计划通过检查生物测量学特征、例如指纹来执行用户验证。当在用户的成功验证之后已经借助于签名卡对电子文档进行了签名时，接着该文档就能够以任何方式被传递。电子签名使得有可能利用电子途径来具体执行安全性关键(security-critical)交易，例如，发出涉及成本的业务订单。

与迄今为止的通常PIN验证相比，针对用户验证计划引入的生物测量学特征使得电子签名的可信性获得进一步的改进，因为它确保签名卡只有在被授权这样做的明确的个人在场时才能够使用。

然而，迄今为止，由此实现的关于用户验证的质量差异并没有反映在所产生的具体电子签名的使用中。

本发明的问题是规定一种使用便携式数据载体实施安全电子交易的方法，该方法考虑了所执行的用户验证的质量。

这个问题是通过一种包含主要权利要求的特征的方法来解决的。该问题进一步通过根据独立权利要求20、25和30的用于实施安全电子交易的便携式数据载体、终端和系统来解决。

根据本发明，当用户验证正在执行时，正在执行的数据载体产生关于所使用的验证方法的质量信息。该凭证(voucher)被附加到随后由便携式数据载体执行的安全性建立操作的结果中。因此，在实施安全性建立操作之前，如此形成的消息的接收者能够清楚地识别用户是如何验证其自身的。这就给予接收者这样一种可能性，即，使得安全交易的实施随用户验证的质量而定。例如，在钱包(purse)应用中能够规定，在PIN验证之后能够从帐户中取出数量低于限制值的钱，而数量高于限制值的钱仅仅在利用生物测量学特征进行验证之后才能够取出。

本发明具有创造性的方法与电子签名结合使用具有特别的优点。

在优选实施例中，如此设计各种可能的用户验证(authentication)方法的实施方式，使得不能够以简单的方式将低质量方法的中间执行结果转换成高质量方法的中间执行结果。这就获得了如下结果：即使在未经验证的用户可以使用便携式数据载体和相关的低级验证信息两者时，即当未经验证的用户拥有例如便携式数据载体以及相关的PIN时，也不可能篡改验证凭证(voucher)。

如果在验证期间使在执行用户验证中没有使用的特定验证方法失效，则更具优点。

以下将参照附图详细地描述本发明的实施例。

附图说明

图1示出了用于执行数字签名的系统的结构。

图2、3以流程图示出了执行数字签名的过程。

图1示出了用于实施安全电子交易的交易系统的基本结构。该结构关于本发明的基本元素是：经由数据网络12连接到终端14的背景系统10、由用户30携带并且被设置以在交易内执行安全性建立操作的便携式数据载体20、以及将在将要实施的交易内被安全地处理的数据记录40。

以下将假设安全电子交易是需要代表用户30产生数字签名的交易。这种交易例如可以是，使用户30的帐户记入借方的金融交易的实施。然而，所述解决方案不限于需要数字签名的交易，而是基本能够在便携式数据载体20处理从终端14提供的数据记录40并且将它们返回给终端14的任何应用中使用。

背景系统10代表一种实施实际的交易设备，例如，在两个帐户之间转移金钱或者根据订单启动商品的交付。相应地，背景系统10能够是包括多个单独部件的复杂系统，或者在极端情况下能够被全部省略。如果该交易是转帐应用，则背景系统10一般由中央银行营业所形成。

数据网络12用于在终端14与背景系统10之间交换数据。它能够具有任何物理形式，并且能够通过例如因特网或移动电话网络来实现。

终端14构成该交易系统的用户端接口，并且因此而具有显示装置16和输入装置18，显示装置16一般是显示屏形式，输入装置18例如是键盘形式。终端14能够是公共可接近的终端，例如，在银行中设立的设备，或者位于用户30的私人区域内的设备，例如PC或移动电话。数据网络12以及背景系统10能够连接到能够具有不同设计的一个或多个终端14。终端14具有接口19，用于与便携式数据载体20通信。接口19可以是任何物理设计，具体地说是接触型或非接触型。

终端14还具有传感器装置15，以下被称为传感器，用于检测用户30的生物测量学特征。传感器15能够检测生理学特征，例如面部特征、眼睛或指纹特征或者基于行为的特征，例如由话音或书写操作所表示的语音或书写序列。图1示出了指纹传感器作为传感器15。传感器15能够被形成为感测多个不同的生物测量学特征。传感器15还包含用于预先评估所感测的生物测量学特征的装置。例如，在上述“Chip card manual”第8.1.2章中，描述了生物测量学验证方法的不同类型和实施方式。

例如，便携式数据载体20是如同样在“Chip card manual”中描述的芯片卡。图1具体地指示便携式数据载体20是接触型芯片卡，具有接触垫22，它构成与终端一侧接口19相对应的接口。经由接口22、19，实施芯片卡20与终端14之间的通信。除了芯片卡的形状，便携式数据载体20还能够具有任何形状，例如，以用户30所穿的衣服或者用户30所携带的日用品来实现。

便携式数据载体20具有集成电路24，它具有通用计算机的所有部件，尤其是微处理器25和存储装置26。设立微处理器25用于执行安全性建立操作。例如，设立微处理器25用于使所提供的数据记录40，以下被称为电子文档40，经受加密算法处理，它由此使用存储在存储装置26中的至少一个保密密钥。设立微处理器25还用于根据存储在存储装置26中的程序实现其它功能。

设立便携式数据载体20，还用于执行至少一种用户验证方法，但是有利地执行多个同步的用户验证方法。优选地，它支持至少两种关于验证质量具有不同等级的验证方法。它有利地支持至少一种基于知识的验证方法，例如，PIN检查，以及至少一种生物学测量方法，在该生物学测量方法中检查出现在终端14处的用户30的生物测量学特征。由于该生物测量学方法预先假设用户30个人存在，所以它构成较高质量的方法；由于知识能够由未经授权的用户获取，所以基于知识的方法不能确保用户30个人出现。相应地，存储装置26存储至少一个将由用户30提供的秘密(secret)，例如分配给用户30的参考PIN，以及至少一个分配给用户30的生物测量学参考数据记录。能够有利地使得便携式数据载体20支持多于两种验证方法，尤其是更多的生物测量学方法。相应地，在这种情况下存储装置26存储更多秘密和/或参考数据记录，并且集成电路24被设置成执行其它验证方法。

以下，将参照图2和图3来描述使用图1所示的结构进行的安全电子交易的实施。安全性建立操作将是电子文档40的签名。

在步骤100，通过在背景系统10或终端14中创建电子文档40来初始化该使用。通常，在所述创建之前先进行在用户30与背景系统10之间经由终端14的初始化对话。最迟当电子文档40出现在终端14中时，在步骤102，就引发签名应用程序的启动。该启动能够由终端14或背景系统10自动引发，或者在终端14利用显示装置16上的适当显示要求用户30发起之后由用户30发起。

在已经启动签名应用程序之后，在步骤104，用户30将适当的便携式数据载体20提供给终端14。以下，便携式数据载体20将采取接触型芯片卡的形式。而且，以下将假设芯片卡20支持两种验证方法，即作为基于知识的PIN检查(低质量方法)，以及作为生物测量学的指纹检查(高质量方法)。

在步骤106，当终端14已经识别出芯片卡20的存在时，它首先执行相互验证，其中，芯片卡20首先向终端14证明其真实性，接着终端14向芯片卡20证明。

如果验证成功，则在步骤108，终端14和芯片卡20协商动态会话密钥，以便允许在所谓的安全消息传送模式(secure messaging mode)下安全地执行进一步通信。关于安全消息传送和动态会话密钥的详细概念，请再次参考“Chip card manual”。

接着，实施用户30关于芯片卡20的验证。在步骤110，首先终端14检查将要如何实施验证：基于知识，即通过输入PIN，或者通过生物测量学，即提供指纹。验证方法的指定可以由终端14基于与电子文档40一起传送的信息来自动实施，但是它也能够作为决定请求经由显示装置16提供给用户30。在后面的情况下，用户30利用输入装置18来做出决定。

如果用户30的验证将要基于知识进行，即通过输入PIN来实施，则在步骤112，芯片卡20使其它可能的验证方法即指纹检查失效，并且经由显示装置16要求用户30经由输入装置18输入他的PIN。

于是，在步骤114，用户30经由输入装置18输入PIN，并且终端14将它直接或者以修改的形式、经由接口19、22传递给芯片卡20。PIN或者由此获得的信息的传输以及随后与芯片卡的通信是使用协商的会话密钥来进一步确保安全的。终端14与芯片卡20之间的全部通信都在安全消息传送模式下有利地实施。

在步骤116，该卡检查所传送的PIN，并且在没有错误的情况下向终端14确认正确性，或者如果检查出PIN是错误的，则终止该过程。

如果给定没有错误的情况，则在步骤118，终端14通过相应的指令来引发芯片卡20执行安全性建立操作，即数字签名，并且将等待签名的电子文档40传送到芯片卡20。

在步骤120，芯片卡20利用存储在存储终止26中的保密密钥对所提供的电子文档40进行签名，并且在步骤122，将电子文档40传送回终端14，终端14使用它来继续进行所启动的电子交易。

如果步骤110中的检查显示出用户30的验证将不基于知识而是通过生物测量学进行，则在步骤130，终端14启动对所提供的生物测量学特征的验证，并且向芯片卡20做出相应的报告。于是，在步骤132，芯片卡20使未使用的其它验证方法、即基于知识的PIN检查失效。

随后，在步骤134，用户30给终端14提供与所使用的验证方法相对应的生物测量学特征、即指纹。提供指纹的请求最好通过终端14的显示装置16上的相应显示来实施。该指纹由安装在终端14上的传感器15来检测。

在步骤136，检测出的生物测量学特征、即用户30的指纹，由终端14进行预处理，在该预处理中，它从在传感器15上获取的信号中提取特定的标识特征。如果使用了指纹，则确定“Henry classification method(亨利分类方法)”的主要特征，例如在“Chip card manual”中所述的那样。

在步骤138，所提取的特征由终端14经由接口19、22传送到便携式数据载体20。

在步骤140，当该数据载体接收到它们时，它就执行对所传送的提取特征的核实(verification)。在此，集成电路24将所接收的提取特征与存储在存储装置中的参考特征进行比较，并且检查是否出现充分的匹配。如果出现了充分的匹配，则在步骤142，便携式数据载体20向终端14确认所传送的生物测量学特征的成功核实。而且，便携式数据载体20转变其自身，以便准备好执行安全性建立操作，即执行数字签名。

在步骤144，在接收到验证的成功核实的确认之后，终端14通过相应的指令来引发数据载体20执行数字签名。终端14将要签名的电子文档40或者至少它的一部分与该指令一起传送到便携式数据载体20。

于是，在步骤146，便携式数据载体20的集成电路24执行创建数签名所需的操作。一般地，它在所接收的这部分电子文档40上形成散列值，并且利用由保密密钥和公共密钥组成的非对称密钥对中的保密密钥将其加密，该保密密钥被存储在存储装置26中。

此外，在步骤148，集成电路24形成质量信息，该质量信息表明用户30的验证是使用生物测量学特征进行的。进而，将所述质量信息与所创建的数字签名牢固地结合起来，以便有利地在使用预先协商的会话密钥的安全消息传送机制之内形成安全性消息。

在步骤150，如此形成的由数字签名和质量信息组成的安全性消息由便携式数据载体20传送回终端14。从这里开始，所传送的安全性消息在所实施的安全电子交易之内传递下去，直到该交易涉及的接收者，例如背景系统10。

除了由便携式数据载体20执行的安全性建立操作之外，安全性消息的接收者通过其中包含的质量信息，来同时接收关于所执行的用户30的验证质量的状态。

在上述示例中，只有在使用生物测量学验证方法时才创建质量信息，而在使用基于知识的方法时不创建质量信息。于是，质量信息的缺少已经表示出使用了低质量方法。然而，当然能够规定总是形成质量信息，即，与是否选择了基于知识的方法或者生物测量学方法用于验证无关。

在保持将关于预先执行的用户验证的质量信息附加到由便携式数据载体执行的安全性建立操作的结果上的基本思想的同时，上述概念允许其它实施方式和变化。这也适用于在实施交易时所使用的系统的设计中，能够包括更多的部件以及不同类型的部件。上述过程还能够包括例如中间步骤等其它步骤。

Claims

1.一种使用便携式数据载体在终端上实施安全电子交易的方法，用户藉此对该便携式数据载体验证他自身，该便携式数据载体向该终端确认验证的证明，接着该便携式数据载体在该电子交易之内执行安全性建立操作，其特征在于：该便携式数据载体(20)创建关于如何进行用户(30)的验证的质量信息，并且所述质量信息被附加到该安全性建立操作的结果中。

2.如权利要求1所述的方法，其特征在于：由便携式数据载体(20)执行的安全性建立操作在于创建数字签名。

3.如权利要求1所述的方法，其特征在于：用户(30)的验证是通过提供生物测量学特征来执行的。

4.如权利要求3所述的方法，其特征在于：用户(30)的验证是通过提供表征用户(30)的生理学的或基于行为的特征来执行的。

5.如权利要求1所述的方法，其特征在于：用户(30)的验证是通过证明秘密的知晓来执行的。

6.如权利要求1所述的方法，其特征在于：提供至少两种不同质量的不同验证方法来验证用户(30)。

7.如权利要求6所述的方法，其特征在于：使未使用的特定验证方法失效。

8.如权利要求6所述的方法，其特征在于：对于两种验证方法中的基于知识的方法不产生质量信息。

9.如权利要求6所述的方法，其特征在于：要求用户(30)选择验证方法。

10.一种用于在安全电子交易之内执行安全性建立操作的便携式数据载体，用户藉此对该便携式数据载体验证他自身，并且该便携式数据载体向终端确认该验证，其特征在于：该便携式数据载体(20)被设置成创建表明如何执行用户(30)的验证的质量信息。

11.如权利要求10所述的数据载体，其特征在于：该便携式数据载体(20)被设置成创建数字签名。

12.如权利要求10所述的数据载体，其特征在于：该便携式数据载体(20)支持至少两种质量不同的验证方法。

13.一种与如权利要求10所述的便携式数据载体结合使用的终端，其特征在于：该终端具有用于引发用户(30)来选择至少两种可能的验证方法之一的装置(16、18)。

14.一种用于实施安全电子交易的系统，在该安全电子交易之内查明用户对该系统的验证的质量，包括：如权利要求10所述的便携式数据载体和如权利要求13所述的终端。