CN101218609B - 带有安全的数据处理的便携式数据载体 - Google Patents
带有安全的数据处理的便携式数据载体 Download PDFInfo
- Publication number
- CN101218609B CN101218609B CN200680024478.1A CN200680024478A CN101218609B CN 101218609 B CN101218609 B CN 101218609B CN 200680024478 A CN200680024478 A CN 200680024478A CN 101218609 B CN101218609 B CN 101218609B
- Authority
- CN
- China
- Prior art keywords
- data
- memory block
- key
- data carrier
- spa
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07F—COIN-FREED OR LIKE APPARATUS
- G07F7/00—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
- G07F7/08—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
- G07F7/10—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
- G07F7/1008—Active credit-cards provided with means to personalise their use, e.g. with PIN-introduction/comparison system
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/30—Payment architectures, schemes or protocols characterised by the use of specific devices or networks
- G06Q20/34—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
- G06Q20/341—Active cards, i.e. cards including their own processing means, e.g. including an IC or chip
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07F—COIN-FREED OR LIKE APPARATUS
- G07F7/00—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
- G07F7/08—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
- G07F7/0806—Details of the card
- G07F7/0833—Card having specific functional components
- G07F7/084—Additional components relating to data transfer and storing, e.g. error detection, self-diagnosis
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07F—COIN-FREED OR LIKE APPARATUS
- G07F7/00—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
- G07F7/08—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
- G07F7/10—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
- G07F7/1016—Devices or methods for securing the PIN and other transaction-data, e.g. by encryption
Abstract
一种用于在便携式数据载体内安全地处理数据的方法,其特征在于下列步骤:a)要求待处理的数据;b)将待处理的数据加密;c)将加密数据临时存储在数据载体的临时存储区内;d)借助于解密密钥将临时存储的加密数据解密;和e)处理解密数据。
Description
技术领域
本发明涉及用于在便携式数据载体内、特别是在芯片卡内安全地处理数据的方法以及这样的数据载体。
背景技术
为了由配备有处理器的便携式数据载体处理由外部装置提供给它的数据,该数据载体具有写功能,该写功能将数据写到数据载体的非易失性存储器的确定的存储区上,例如写到芯片卡的EEPROM存储器内。这点例如适合于用在销售点终端或信用机构上的交易的芯片卡和智能卡。通常,这样的数据根据存储器地址按位被写到数据载体的目标文件中。这样的用于芯片卡的根据ISO-IIC 7816-4标准化的写命令例如是UPDATE-BINARY和WRITE-BINARY。
大多数情况中供数据载体使用的数据的长度不超过256字节。如果将数据传递到数据载体的过程被中断,例如由于供电中断而中断,则为避免数据不连贯性和保证数据载体的完整性必须删除256字节长的存储区。特别地对于芯片卡更是如此,因为通过为电容器加电荷而存储数据,且在EEPROM存储器内的数据位的写入在确定的写命令中可能取决于被覆盖的位或者电容器当前的能量水平。因为主要的非易失性(EEPROM)存储器以64字节的页组织,对于数据删除典型地时间需求是3ms×256/64=12ms。该时间需求在无接触式运行的芯片卡中仍是可接受的。然而在较大的数据组的存储中,用于删除相应的存储区的时间可能不可接受地长。因此,在8K字节的数据组中,已需要8192/64×3ms=384ms的删除时间。
EP 0 811 204 B1中描述了一种用于在芯片卡内存储数据的方法,其中在通过芯片卡处理数据之前检查访问授权,并且在检查访问授权之前将数据临时存储在为其提供的临时存储区内。EP 0 914 640 B1公开了安全性重要的信息在数据载体内的存储和使用,其中,数据在使用前通过以临时密钥加密来保护以防止不允许的访问。然而,以上所述的文献没有提供用于解决在写过程中断时删除时间过长的问题的解决方案。
发明内容
本发明要解决的技术问题在于,提供一种安全地处理数据的方法和一种相应的数据载体,其中加速地进行对存储区的删除。
根据本发明,该技术问题通过带有独立权利要求的特征的方法和数据载体解决。在其从属的权利要求中给出了本发明的有利的构造和扩展。
根据本发明的数据载体包括至少一个处理器和一个非易失性存储器(通常为可重写的EEPROM存储器)以及由处理器可执行的、专门形成的处理控制。该处理控制要求待由数据载体处理的数据并且将数据提供给处理。
但是,处理控制并不将由外部装置提供的数据直接提供给例如密码或PIN检查、签名或在目标存储区内进行存储的处理,而是在第一步中首先将数据存放到形成在非易失性存储器内的临时存储区内,以便在第二步中才影响其处理。在此,数据在第一步中被加密,并且仅以加密的形式临时存储在临时存储器内,其中加密通过数据载体的密码功能进行。为了处理数据,将现在的通过密码功能加密的数据借助于密钥首先解密并且随后按照解密的形式处理。
在处理完全结束后,虽然数据仍位于临时存储区内,但它被加密,使得无解密密钥则数据不可读。因此不需要对其删除。作为替代,数据可以在任意时刻删除,例如当为数据载体提供新的数据时删除。优选地,解密密钥在密钥存储区内在数据处理结束后立刻被删除。这样,不可能访问临时存储区内的加密数据。
通过临时存储加密数据,(例如由于数据存储器处理中断所)要求的对临时存储的数据的删除变得不需要,或者至少降低为删除所属的解密密钥。因为解密密钥通常具有恒定的且通常比数据明显更短的位长,所以对临时存储数据的删除或者说使之不可用可以通过删除解密密钥而快速和有效地进行。
用于直接的进一步处理的临时存储和解密的步骤优选地直接相继地执行,使得两个步骤形成一个功能单元并且使得临时存储对于数据载体的使用者不透明。由此实现了数据只有在中断中为保证数据完整性而必须才在临时存储器内保持可读,因为在处理后可以通过对解密密钥的删除使得加密数据不可读,因为数据此时不再需要。临时存储区就此而言优选地形成为选择的、临时的存储区,并且不用于按照可访问或可寻址的形式存放数据。优选地,可以除由处理控制外不可由任何应用程序和使用者访问该临时存储区。
原理上,该方法可以在任何配备有计算能力的数据载体上进行,然而根据本发明在带有处理器的便携式数据载体上进行,例如芯片卡、智能卡、PCMCIA卡、安全多媒体卡、USB令牌(Token)和同类的多个特别是与这样的数据载体和外部设备之间的数据传递相关的卡,外部设备例如芯片卡终端、销售点、其他读取设备等。在此,将控制数据载体的运行方式的操作系统存放在永久的ROM存储器内,该ROM存储器优选地还包括了处理控制以及密码功能。
为了加密和解密,既可以使用对称方法也可以使用非对称方法。在对称方法中,用于在临时数据存储器中数据加密的密钥是与用于在拷贝中的数据解密的密钥相同的密钥。在非对称方法中这些密钥不同,其中在数据处理后仅须将解密密钥删除,以便防止对在临时存储器内的数据的进一步的访问。
在两级处理过程期间,不希望的中断可能一方面在最初的临时存储期间并且另一方面在最后的处理中出现。在所要求的数据的临时存储期间的中断中、即在加密数据尚未完全地存在于临时存储区的时刻的中断中,将解密密钥删除以使得不能访问临时存储区的不完全的且不连贯的数据。
在此,密钥可以一方面存放到形成在数据载体的非易失性存储器内的密钥存储区内,例如在芯片卡的EEPROM存储器内,或者另一方面存放到易失性存储区内,例如芯片卡的RAM存储器内。在第一种情况中,在临时存储期间的中断中,解密密钥优选地借助于主动的、由处理控制发起的删除过程删除。该主动删除过程可以一方面准同时地随同中断的出现而进行,或者另一方面直接在中断消除后作为基本上数据载体的中断后的第一个操作进行。反之,在后一种情况中、即在其存在于易失性的RAM存储器内的情况中,解密密钥不必由处理控制主动地删除,而是作为断电的直接结果在没有由处理控制发起的主动删除过程的条件下被删除。
在数据处理的中断中,在中断消除后原理上将导致处理结束,并且只有数据已完全被处理时才删除解密密钥。在此可以不出现数据不连贯性,因为数据完全存在于临时存储区内且在供电恢复时中断的处理可以继续或重新开始。
通常在数据载体上设置了文件系统,以便组织存储的数据并且使得可对其进行逻辑寻址。因此,数据载体的非易失性存储器可以原理上划分成为文件系统提供的存储区和剩余的不作为文件系统组织的存储区。临时存储区可以设置在或在文件系统存储区内,或在此存储区外。
在一种特别优选的实施方式中,数据的处理包括将数据存储在由使用者或应用程序可访问的数据载体的目标文件中。在此,将首先加密地存在于临时存储器内的数据在随后的处理步骤中拷贝到非易失性存储器的为目标文件保留的目标存储区内。在将加密数据拷贝到目标存储区内时,将加密数据通过密码功能借助于解密密钥解密,使得数据随后按照解密形式写在目标存储区内。在数据完全地且以解密形式存在于目标存储区内的为其提供的目标文件内后,将密钥存储区内的解密密钥删除。
如果在该实施方式中临时存储区被设置在文件系统的存储区内,则有利的是将临时存储区构造为局部的、为各目标存储区以及各文件指定的存储区。即,在该解决方案中数据载体的至少每个目标文件具有自己的局部临时存储区。然而,如果临时存储区设置在文件系统外,则合适的是将临时存储区设置为全局存储区,它对于所有文件以及目标存储区和每个任意的其他的处理同样地作为临时存储区供使用。
临时存储区的管理和设置一般地受到通常集成在数据载体的操作系统内的存储器管理控制,存储器管理例如根据分段和管理策略组织临时存储区。也可以在使用局部临时存储区时将其直接作为为文件保留的临时存储区的部分设置在非易失性的EEPROM存储器内,或作为与此分离的存储区,该存储区与相应的目标存储区通过逻辑运算而结合。
密码解密密钥特别有利地在写过程开始时分别为写过程单独地通过数据载体的密码功能产生,并且存放在非易失性存储器或易失性存储器内,使得解密密钥仅在此处理过程期间存在,而在此前和此后不存在访问临时存储区的可能性。
同样也可以事先生成多个密钥并且存放在非易失性存储器内,其中这些密钥的每个严格地在一个处理过程中使用并且然后删除。在非对称加密中例如也可以使用一个(主)加密密钥,对此密钥可以产生多个单独的解密密钥。
除在例如芯片卡的RAM存储区的易失性存储器内安排密钥存储区之外,与在临时存储区中相似也在非易失性存储器内具有安排的全局和局部的变体。在全局的变体中可以在EEPROM存储器的文件系统存储区外设置中心密钥存储区,在每个写过程中可访问该中心密钥存储区。如果存在全局的临时存储区,则另外地可能的是将全局密钥存储区形成为全局临时存储区的部分。如果数据的处理包括在目标存储区内的拷贝,则可以设置局部密钥存储区,该局部密钥存储区特别地有利地作为可能的局部临时存储区的部分区域与目标存储区或者文件结合。
密码功能可以作为软件部件或作为硬件部件提供。在此,软件解决方案可以有利地被构造为操作系统程序,而在硬件解决方案中提供了密码协处理器,操作系统以及写功能在数据加密和解密中需要密码协处理器的功能。
附图说明
本发明的其他特征和优点从如下对根据本发明的不同的实施例和实施变化的描述中结合附图给出,附图中:
图1示出根据本发明的带有全局临时存储器和软件密码功能的芯片卡;
图2示出根据本发明的方法的优选实施方式的流程图;和
图3示出根据本发明的带有局部临时存储器和硬件密码功能的芯片卡。
具体实施方式
如图1所示,常规的芯片卡作为基本部件包括处理器2,存储器装置3、4、5以及接口7,接口7用于使芯片卡1与读取或处理设备20通过相应的接口23接触,且用于实现数据传递21。芯片卡1内的通信连接通过总线系统8建立。存储器装置3、4、5通常包括三种不同的存储器,一个永久性ROM存储器3,一个非易失性和可重写的存储器4(它通常为EEPROM但也可以是其他存储器类型、例如闪存),以及一个只要芯片卡1的供电中断则其内的数据就丢失的易失性RAM工作存储器5。
芯片卡1的操作系统9存放到永久的ROM存储器3内,在此它在芯片卡1的整个寿命期间不被改变。操作系统包括多个实现了基本芯片卡功能的专用命令,例如输入和输出、认证、存储器管理等。特别地,操作系统9包括处理控制10,在本发明的该实施方式中处理控制10形成为存储器功能并且用于将数据22写入到EEPROM存储器4内的文件13内,该数据由于芯片卡1与终端20的数据通信23而被存储在芯片卡1上。根据标准ISO/IEC7816-4,例如命令WRITE-BINARY和UPDATE-BINARY代表了此类写或存储功能。图1的处理控制10根据本发明形成为存储器功能,其运行方式在图2中绘出。此外,操作系统9包括用于数据加密和解密的密码功能11。
基本上,本发明除了涉及存储供数据载体且特别地供芯片卡1使用的数据外,还涉及任何可能的数据管理方式,例如对数据进行安全性重要的检查(例如PIN、口令和签名)或者其他管理(例如通过数据的签名、解密、算术或逻辑处理,等等),其中有可能不必将数据存放到EEPROM存储器4内的文件13内,而是可以使其保留在RAM存储器5内。所有这些处理模式将在本发明的意义中作为两级过程实现,两级过程包括对数据的加密临时存储和随后的对解密数据的实际处理。如下将解释本发明的特别优选的实施方式,其中处理步骤包括将临时存储器18内现有的加密数据19拷贝到芯片卡1的EEPROM存储器4内的文件13内。然而,这决不应该被理解为对本发明的数据存储的限制。
类似于常规的计算机,芯片卡1中的数据通常被组织在文件系统12内,文件系统12包括目录(专用文件,即DF文件)和携带数据的文件(基本文件,即EF文件),其中DF文件可以引用其他文件,使得形成了树形结构。即,待存储在芯片卡1上的数据22将分类在目录树12中的确定的EF文件13内,并且就此而言写到此EF文件13的存储区14内。待存储的数据22将占用的EEPROM存储器4的确切的存储区14由实际的写命令给出,该写命令的传递值(
bergabewert)由操作系统9解释并且转化为EEPROM存储器4内的物理存储器地址。EEPROM存储器4因此包括用于文件系统12和其内存放的数据15的确定的存储区6以及位于该存储区6之外的其内可以存放其他数据的存储区。
图2在步骤S1至S9中示出了根据本发明的存储过程的连续流程。在图2中给出的命令不代表确定的芯片卡或确定的操作系统内的任何真实的命令,而是应理解为仅用于图示的伪代码。
在步骤S1中调用存储命令STORE,它影响根据本发明的处理控制10的实施并且其传递值(待存储的数据和目标文件)由操作系统9解释。处理控制因此承担对待存储的数据的控制并且要求待存储的数据。STORE命令S1也可以理解为从外部终端20向芯片卡1传来的数据传递21。在此,处理控制10也承担了对数据22的控制并且因此要求数据22。作为由存储器组织层面上的抽象的文件名的替代,也可以实现由STORE命令直接给出存储器地址,该地址对芯片卡1的EEPROM存储器4的其中应保存所涉及的数据的存储区14进行寻址。此外,也可以的是除此偏移存储器地址之外也给出待写入的字节的数量、即待存储的数据的大小。
在步骤S2中通过对称工作的密码功能11产生密码密钥17(key),密钥17在步骤S3中被存放在EEPROM存储器4内的为其保留的密钥存储区16内。在非对称的加密和解密中,加密密钥可以在加密后在步骤S3中立即被丢弃,而所属的解密密钥17被存储在密钥存储区16内。为了存储密钥,给出相应的为此的密码密钥17的SAVE命令以及存储器地址(key_adr),该地址对在EEPROM存储器4内为密码密钥17保留的存储区16寻址,如图1中所示,该存储区16优选地在用于文件系统12的存储区6之外形成为全局存储区。这样,在数据存储器内产生的全部密码密钥17存储在同一个密钥存储区16内。这是可能的,因为对于存储过程密钥17单独地产生并且在存储过程结束后被删除。
严格地说,在这样的全局密钥存储区16内不需要在步骤S3中给出存储器地址key_adr,因为操作系统9总是已知密钥存储区16的恒定的存储器地址。
按位待存储的数据22(data)随后在步骤S4中被借助于密钥17(key)加密,从而形成加密数据19(data*)。加密数据19在步骤S5中被临时存储在临时存储器18内,其中临时存储器程序WRITE_IN_TMP给出加密数据19和存储区18的存储器地址tmp_adr。
在步骤S1中为其给出STORE命令的数据22首先物理上存在于易失性存储器RAM工作存储器5内,并且在步骤S4中由加密程序11在那里读取。然后,加密数据然后可以或者再次被存放到RAM存储器4内以便供WRITE_IN_TMP使用,或者直接随其产生(可能地作为数据流)在不完全地存放RAM存储器内的条件下(而是可能仅存放在密码协处理器的特定的寄存器或专用存储器内)而写入在临时存储区18内。在后者的情况下,步骤S4和步骤S5以及命令ENC和WRITE_IN_TMP按照有利的方式协同地执行。
如果如在图1中的实施例中存储区18是全局存储区,则不需要给出存储器地址tmp_adr,因为操作系统已知全局临时存储区18。图1中的实施方式进一步示出可以将密钥存储区16直接集成在临时存储区18内,或者可以与其相连接地形成。这点就此而言是有意义的,因为密钥17和加密数据19总是形成功能对。
在步骤S5结束后,待存储的数据22以加密形式19位于芯片卡1上,并且仅由根据本发明构成的命令在使用密码密钥17的条件下可以访问它。随后,在步骤S6中通过密码密钥17对数据解密以便用于准备在目标存储区14内的拷贝。在步骤S7中,将现在以明码文本存在的数据15写入到最终目标存储区14内,最终目标存储区14可供在EEPROM存储器4的存储区6内的文件13使用。类似于以上所解释的临时存储步骤S4和S5的协同操作,通过不将数据存放在RAM存储器4中而是直接随着解密写入到目标存储区14内,步骤S6和步骤S7或者说命令DEC和COPY_TO_TARG可以按照有利的方式协同地执行。
为了执行拷贝步骤S7,有可能必须借助于操作系统9根据文件名“file”确定目标存储区14的存储器地址targ_adr。即,随着步骤S7的结束,待存储的数据在EEPROM存储器4内双重地存在:按照加密形式19存在于临时存储区18内以及按照解密形式15存在于临时存储区14内。然而由于对数据19的加密,不需要主动地删除加密数据19,在步骤S8中将密钥17删除就已经足够了。由此使得不可能对临时存储区18内的数据进行访问并且保证了保持数据连贯性。存储过程在步骤S9中正常终止。
随着完全的临时存储,即随着步骤S5的结束,待存储的数据22第一次物理地完全存在于芯片卡1的EEPROM存储器4内。就此而言,该时刻标记了在对供电中断或其他故障的中断的错误处理中的决定界限,因为在临时存储步骤S5结束前的故障中,通过图2中的步骤F1所图示,待存储的数据22仅不完全地且加密地存在于芯片卡1的临时存储区19内,使得存储过程可能不正常地结束。
在这种情况下,只有通过删除已经临时存储的不完全的数据,才能保证以及再次建立数据的连贯性。为此目标,在步骤F2中删除密码密钥17,使得在中断F1前加密的已存放的部分数据不能再被使用。在步骤F4中数据存储虽然不成功地但不损害数据连贯性地结束,并且如果需要可以由使用者重复数据存储。
删除密钥17的步骤F2可以根据密钥17的存储位置不同地进行。如果密钥17如图1中示出存在于在非易失性存储器4内,则在临时存储中断F1中由处理控制10通过明确的主动删除过程将其删除。这可以直接在中断F1之前或者直接在中断取消以及使芯片卡1与终端20再次接触之后进行。第一情况中可以例如通过如下方式来实现,即通过在由芯片卡1识别中断后使用电容器内任何现有的剩余电压使密码密钥在准应急运行中也可被删除。第二变体、即在芯片卡1再次启动后直接删除密钥17可以通过如下方式实现,即在临时存储部分S5开始时放置逻辑标志,该标志仅在步骤S5成功完成后才移除。在中断F1后再次启动时所放置的标志指示了中断F1,并且芯片卡1的操作系统9可以直接进行删除密钥17的步骤F2。
然而,也可以将密钥17存放易失性RAM存储器5内,因为密钥17仅临时地使用。在临时存储的中断F1的条件下,密钥17则在中断F1随后直接被删除,因为易失性RAM存储器4在断电的条件下丢失数据而不需要主动的删除。
在步骤S5结束后的中断F5中,即例如在将数据19从临时存储区18拷贝S7到目标存储区14内期间的中断F5中,被中断的拷贝步骤S7可以在步骤F6中继续。拷贝过程则严格地在其中拷贝过程S7中断的存储器地址fail_adr上再次进行。该存储器地址可以由操作系统9或者通过在步骤S7期间对存储器地址的临时存储或者通过在芯片卡再次启动后对目标存储区14的分析来确定。当然,作为步骤F6的替代可以不考虑错误地址而再次重复原来的拷贝步骤S7。在步骤F6的正常结束后,在步骤F7中将密钥17删除并且在步骤F8中结束写过程。
按照相同的方式,也可以处理所有其他步骤S1至S4以及S6、S8和S9的中断,这取决于中断在步骤S5结束前还是结束后出现。
作为加密方法,在本发明中特别地提供了对称密码方法,例如DES、AES或其变体,因为对于本发明它们具有的优点是使用相同的加密和解密密钥17。原理上也可以使用非对称加密,其中使用对应的不同的用于加密和解密的密钥。在此情况中,例如可以使用不变的主密钥用于加密,并且可以将由主密钥导出的单独的解密密钥存放密钥存储区16用于解密。同样,可以事先生成多个解密密钥,它们被相继使用并且在使用后被删除。密码功能可以一方面如在图1中示出的通过操作系统程序11提供,或者另一方面如图3中示出的作为硬件解决方案通过例如高速三次DES(Triple-DES)协处理器的专用密码芯片11提供。
密钥存储区16和临时存储区18的布置与目标存储区14相关地也可以偏离图1中所示的解决方案实现。为此,在图3示出的实施方式中密钥存储区16和临时存储区18局部地与用于文件系统12的存储区6内的EF文件13的目标存储区14相结合。在此也为每个目标存储区14指定了单独的临时存储区18和密钥存储区16。这点可以一方面以物理地或逻辑地关联的存储区或地址空间实现,或者局部存储区14、16和18可以通过逻辑运行相互结合。
可以同样有意义的是这样的安排,其中虽然将临时存储区局部地设置在文件13的存储区14内,但将密钥存储区17全局地设置在存储区6外。同样好的是可以将密钥存储区局部地设置在文件13的存储区14内,而将临时存储区16作为全局区域形成在EEPROM存储器4的存储区6之外。
Claims (36)
1.一种用于在便携式数据载体(1)内安全地处理数据(22)的方法,其中,在该便携式数据载体内执行以下步骤:
a)要求待处理的数据(22);
b)将待处理的数据(22)加密(S4);
c)将加密数据(19)临时存储(S5)在所述数据载体(1)的临时存储区(18)内;
d)借助于解密密钥(17)将临时存储的加密数据(19)解密(S6);和
e)处理解密数据(15),
其中,通过临时存储(S5)加密数据,由于供电的中断(F1)所要求的对临时存储的数据(19)的删除降低为删除(F2)所属的解密密钥(17)。
2.根据权利要求1所述的方法,其特征在于:紧接在加密数据(19)的临时存储(S5)之后进行对加密数据(19)的解密(S6)。
3.根据权利要求1所述的方法,其特征在于:在处理的正常结束之后删除(S8)所述解密密钥(17)。
4.根据权利要求1所述的方法,其特征在于:在临时存储(S5)中断(F1)时删除(F2)所述解密密钥(17)。
5.根据权利要求4所述的方法,其特征在于:在临时存储(S5)中断(F1)时通过主动删除过程删除(F2)所述解密密钥(17)。
6.根据权利要求5所述的方法,其特征在于:所述删除(F2)在出现临时存储(S5)的中断(F1)时进行,或者紧靠在消除临时存储(S5)的中断(F1)之后进行。
7.根据权利要求4所述的方法,其特征在于:所述解密密钥(17)存在于易失性存储器(5)内并且在出现临时存储(S5)的中断(F1)时作为便携式数据载体的供电的中断(F1)的直接结果而被删除。
8.根据权利要求1至7中任一项所述的方法,其特征在于:在所述处理发生中断(F5)的情况下,在消除处理的中断(F5)后处理继续(F6),并且所述解密密钥(17)只有在对数据(15)的处理结束之后才被删除。
9.根据权利要求1至7中任一项所述的方法,其特征在于:所述处理包括将解密数据(15)拷贝到目标存储区(14)内。
10.根据权利要求9所述的方法,其特征在于:所述目标存储区(14)位于数据载体(1)的非易失性存储器(4)内的文件系统(12)的存储区(6)之内。
11.根据权利要求10所述的方法,其特征在于:所述临时存储区(18)在文件系统(12)的存储区(6)之内形成为为所述目标存储区(14)指定的局部存储区。
12.根据权利要求10所述的方法,其特征在于:所述临时存储区(18)在文件系统(12)的存储区(6)外形成为保留的全局存储区。
13.根据权利要求1至7中任一项所述的方法,其特征在于:所述临时存储区(18)形成为仅处理控制单元(10)可以访问其数据的临时的存储区。
14.根据权利要求1至7中任一项所述的方法,其特征在于:在临时存储(S5)中利用存储在数据载体(1)上的密码密钥(17)对数据(22)进行加密(S4),并且在处理中利用该密码密钥或与该密码密钥不同的解密密钥对加密数据(19)进行解密(S6)。
15.根据权利要求1至7中任一项所述的方法,其特征在于:在对数据(22)的临时存储(S5)之前单独地产生(S2)解密密钥(17)。
16.根据权利要求1至7中任一项所述的方法,其特征在于:将所述解密密钥(17)存储(S3)在所述临时存储区(18)的密钥存储区(16)内。
17.根据权利要求1至7中任一项所述的方法,其特征在于:将所述解密密钥(17)存储(S3)在所述临时存储区(18)之外的密钥存储区(16)内。
18.根据权利要求1至7中任一项所述的方法,其特征在于:所述便携式数据载体(1)是带有处理器(2)的芯片卡。
19.根据权利要求1至7中任一项所述的方法,其特征在于:借助于由所述数据载体(1)的处理器(2)可执行的软件模块或者该数据载体(1)的硬件模块执行所述加密(S4)和解密(S6)。
20.一种数据载体(1),包括处理器(2)、非易失性存储器(4)以及可由处理器(2)执行的处理控制单元(10)和密码功能单元(11),其中:
-所述处理控制单元(10)被设置用于:要求待处理的数据(22),将待处理的数据(22)按照加密形式(19)临时存储(S5)在该数据载体(1)的临时存储区(18)内,并且对临时存储的加密数据(19)按照解密形式的数据(15)进行处理;和
-所述密码功能单元(11)被设置用于:将在所述临时存储区(18)内临时存储的数据(22)加密(S4)和将待处理的加密数据(19)利用解密密钥(17)解密(S6),
其中,通过临时存储(S5)加密数据,由于供电的中断(F1)所要求的对临时存储的数据(19)的删除降低为删除(F2)所属的解密密钥(17)。
21.根据权利要求20所述的数据载体(1),其特征在于:所述处理控制单元(10)被设置用于使得紧接在加密数据(19)的临时存储(S5)之后进行对加密数据(19)的解密(S6)。
22.根据权利要求20所述的数据载体(1),其特征在于:所述处理控制单元(10)被设置用于使得在临时存储(S5)中断(F1)时借助于主动删除过程删除(F2)所述解密密钥(17)。
23.根据权利要求22所述的数据载体(1),其特征在于:所述处理控制单元(10)被设置用于使得所述解密密钥(17)的删除(F3)在出现临时存储(S5)的中断(F1)时进行,或者紧接在消除该临时存储(S5)的中断(F1)之后进行。
24.根据权利要求20所述的数据载体(1),其特征在于:所述解密密钥(17)存在于数据载体(1)的易失性存储器(5)内并且在出现临时存储的中断(F1)时作为便携式数据载体的供电的中断(F1)的直接结果而被删除。
25.根据权利要求20至24中任一项所述的数据载体(1),其特征在于:所述处理控制单元(10)被设置用于使得在对解密数据(15)的处理的中断(F5)时在消除处理的中断(F5)后处理继续(F6),并且所述解密密钥(17)只有在处理完全结束之后才被删除(F7)。
26.根据权利要求20至24中任一项所述的数据载体(1),其特征在于:所述处理控制单元(10)被设置还包括如下处理,用于将解密数据(15)拷贝(S7)到目标存储区(14)内。
27.根据权利要求26所述的数据载体(1),其特征在于:在非易失性存储器(4)内形成文件系统(12)的存储区(6),并且所述目标存储区(14)形成在该存储区(6)内。
28.根据权利要求27所述的数据载体(1),其特征在于:所述临时存储区(18)在文件系统(12)的存储区(6)之内形成,并且作为局部存储区指定给所述目标存储区(14)。
29.根据权利要求27所述的数据载体(1),其特征在于:所述临时存储区(18)在文件系统(12)的存储区(6)之外作为全局存储区形成在非易失性存储器(4)内。
30.根据权利要求20至24中任一项所述的数据载体(1),其特征在于:所述临时存储区(18)形成为仅所述处理控制单元(10)可以访问其数据的临时的存储区。
31.根据权利要求20至24中任一项所述的数据载体(1),其特征在于:所述数据载体(1)此外包括密钥存储区(16)以便用于存储(S3)至少一个密码密钥(17),并且所述密码功能单元(11)被设置用于使得在临时存储(S5)中利用存储在该数据载体(1)上的密码密钥(17)对数据(22)进行加密(S4),以及利用该密码密钥(17)或与该密码密钥不同的解密密钥将加密数据(19)进行解密(S6)以便用于处理。
32.根据权利要求30至24中任一项所述的数据载体(1),其特征在于:所述密码功能单元(11)被设置用于使得紧靠在数据的临时存储(S5)之前将所述解密密钥(17)单独地产生(S2)和存放到密钥存储区(16)内。
33.根据权利要求32所述的数据载体(1),其特征在于:所述密钥存储区(16)被形成在所述临时存储器(18)内。
34.根据权利要求32所述的数据载体(1),其特征在于:所述密钥存储区(16)在所述临时存储器(18)之外被形成在非易失性存储器(4)内。
35.根据权利要求20至24中任一项所述的数据载体(1),其特征在于:所述数据载体(1)是带有处理器(2)的芯片卡。
36.根据权利要求35所述的数据载体(1),其特征在于:所述密码功能单元(11)被形成为操作系统模块或者所述芯片卡(1)的硬件模块。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE200510022019 DE102005022019A1 (de) | 2005-05-12 | 2005-05-12 | Sichere Verarbeitung von Daten |
| DE102005022019.3 | 2005-05-12 | ||
| PCT/EP2006/004457 WO2006120001A1 (de) | 2005-05-12 | 2006-05-11 | Tragbarer datenträger mit sicherer datenverarbeitung |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101218609A CN101218609A (zh) | 2008-07-09 |
| CN101218609B true CN101218609B (zh) | 2010-12-15 |
Family
ID=36716893
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200680024478.1A Expired - Fee Related CN101218609B (zh) | 2005-05-12 | 2006-05-11 | 带有安全的数据处理的便携式数据载体 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US8983072B2 (zh) |
| EP (1) | EP1883906B1 (zh) |
| JP (1) | JP4869337B2 (zh) |
| CN (1) | CN101218609B (zh) |
| DE (1) | DE102005022019A1 (zh) |
| WO (1) | WO2006120001A1 (zh) |
Families Citing this family (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE102007021256A1 (de) * | 2007-05-07 | 2008-11-13 | Giesecke & Devrient Gmbh | Verfahren zum Speichern von Anwendungsdaten in einen Datenträger mit einem verschlüsselnden Speicher-Controller |
| US8494168B1 (en) * | 2008-04-28 | 2013-07-23 | Netapp, Inc. | Locating cryptographic keys stored in a cache |
| JP2012054889A (ja) * | 2010-09-03 | 2012-03-15 | Denso Wave Inc | 暗号鍵提供システムおよび暗号鍵提供方法 |
| IL210169A0 (en) * | 2010-12-22 | 2011-03-31 | Yehuda Binder | System and method for routing-based internet security |
| JP2013003612A (ja) * | 2011-06-10 | 2013-01-07 | Kddi Corp | 仮想サーバ利用時のデータを秘匿するシステム及び方法 |
| CN103746800B (zh) * | 2013-03-15 | 2017-05-03 | 福建联迪商用设备有限公司 | 一种终端主密钥tmk安全下载方法及系统 |
| US9438421B1 (en) * | 2014-06-27 | 2016-09-06 | Amazon Technologies, Inc. | Supporting a fixed transaction rate with a variably-backed logical cryptographic key |
| KR101566145B1 (ko) * | 2014-10-23 | 2015-11-06 | 숭실대학교산학협력단 | 모바일 기기 및 상기 모바일 기기의 동작 방법 |
| US10157333B1 (en) | 2015-09-15 | 2018-12-18 | Snap Inc. | Systems and methods for content tagging |
| US11334768B1 (en) | 2016-07-05 | 2022-05-17 | Snap Inc. | Ephemeral content management |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002032685A (ja) * | 2000-05-11 | 2002-01-31 | Nec Corp | コンテンツレンタルシステム |
| CN1479921A (zh) * | 2001-02-20 | 2004-03-03 | �ֹ��� | 计算机程序复制管理系统 |
| US6715078B1 (en) * | 2000-03-28 | 2004-03-30 | Ncr Corporation | Methods and apparatus for secure personal identification number and data encryption |
Family Cites Families (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2943924B2 (ja) * | 1987-02-27 | 1999-08-30 | 株式会社東芝 | 携帯可能電子装置 |
| SG46692A1 (en) * | 1992-03-30 | 1998-02-20 | Telstra Corp Ltd | A cryptographic communications method and system |
| WO1995016238A1 (en) * | 1993-12-06 | 1995-06-15 | Telequip Corporation | Secure computer memory card |
| JPH08287205A (ja) * | 1995-04-19 | 1996-11-01 | Matsushita Electric Ind Co Ltd | Icカード及びそのデータファイリング方法 |
| US5809241A (en) * | 1995-07-05 | 1998-09-15 | International Business Machines Corporation | System and method for processing long messages in a chip card |
| US6038551A (en) * | 1996-03-11 | 2000-03-14 | Microsoft Corporation | System and method for configuring and managing resources on a multi-purpose integrated circuit card using a personal computer |
| FR2759795B1 (fr) * | 1997-02-14 | 1999-05-07 | Francois Charles Oberthur Fidu | Procede de stockage de donnees dans une memoire reinscriptible de carte a puce |
| FR2760871B1 (fr) * | 1997-03-13 | 1999-04-16 | Bull Cp8 | Procede de stockage et d'exploitation d'une information sensible dans un module de securite, et module de securite associe |
| US7050143B1 (en) * | 1998-07-10 | 2006-05-23 | Silverbrook Research Pty Ltd | Camera system with computer language interpreter |
| US20020056081A1 (en) * | 1999-12-02 | 2002-05-09 | Qualcomm Incorporated | Apparatus and method for decoding digital image and audio signals |
| IL124594A0 (en) * | 1998-05-21 | 1998-12-06 | Nds Ltd | Context saving system |
| JP2001313636A (ja) * | 2000-04-28 | 2001-11-09 | Sony Corp | 認証システム、認証方法、認証装置及びその方法 |
| US20020054513A1 (en) * | 2000-09-14 | 2002-05-09 | Yan-Shun Kao | Method for program revise of an IC smartcard system |
| FR2816731B1 (fr) * | 2000-11-14 | 2003-01-03 | Gemplus Card Int | Procede de chargement et de personnalisation des informations et programmes charges dans une carte a puce |
| JP4969745B2 (ja) * | 2001-09-17 | 2012-07-04 | 株式会社東芝 | 公開鍵基盤システム |
| JP3913128B2 (ja) * | 2002-02-28 | 2007-05-09 | 松下電器産業株式会社 | メモリカード |
| JP2005039637A (ja) * | 2003-07-16 | 2005-02-10 | Fuji Xerox Co Ltd | 画像形成装置 |
| US7139864B2 (en) * | 2003-12-30 | 2006-11-21 | Sandisk Corporation | Non-volatile memory and method with block management system |
| JP2004259287A (ja) * | 2004-03-01 | 2004-09-16 | Hitachi Ltd | 情報処理装置、カード部材および情報処理システム |
| JP4907880B2 (ja) * | 2005-02-23 | 2012-04-04 | 株式会社エヌ・ティ・ティ・ドコモ | 携帯情報端末およびデータ保護方法 |
-
2005
- 2005-05-12 DE DE200510022019 patent/DE102005022019A1/de not_active Withdrawn
-
2006
- 2006-05-11 US US11/920,258 patent/US8983072B2/en not_active Expired - Fee Related
- 2006-05-11 EP EP06753576.5A patent/EP1883906B1/de not_active Not-in-force
- 2006-05-11 CN CN200680024478.1A patent/CN101218609B/zh not_active Expired - Fee Related
- 2006-05-11 JP JP2008510499A patent/JP4869337B2/ja not_active Expired - Fee Related
- 2006-05-11 WO PCT/EP2006/004457 patent/WO2006120001A1/de active Application Filing
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6715078B1 (en) * | 2000-03-28 | 2004-03-30 | Ncr Corporation | Methods and apparatus for secure personal identification number and data encryption |
| JP2002032685A (ja) * | 2000-05-11 | 2002-01-31 | Nec Corp | コンテンツレンタルシステム |
| CN1479921A (zh) * | 2001-02-20 | 2004-03-03 | �ֹ��� | 计算机程序复制管理系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101218609A (zh) | 2008-07-09 |
| WO2006120001A1 (de) | 2006-11-16 |
| EP1883906A1 (de) | 2008-02-06 |
| EP1883906B1 (de) | 2016-11-23 |
| US8983072B2 (en) | 2015-03-17 |
| DE102005022019A1 (de) | 2007-02-01 |
| JP4869337B2 (ja) | 2012-02-08 |
| JP2008541251A (ja) | 2008-11-20 |
| US20090016532A1 (en) | 2009-01-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101218609B (zh) | 带有安全的数据处理的便携式数据载体 | |
| US7260727B2 (en) | Method for secure storage of sensitive data in a memory of an embedded microchip system, particularly a smart card, and embedded system implementing the method | |
| US7469837B2 (en) | Storage device | |
| JP5123524B2 (ja) | 保護されたメモリ・アクセスを用いたスマートカード | |
| CN102855161B (zh) | 用于安全微控制器的外部存储器的数据交织方案 | |
| US20110083020A1 (en) | Securing a smart card | |
| CN100405335C (zh) | 存储器信息保护系统、半导体存储器及存储器信息的保护方法 | |
| CN101256609B (zh) | 存储卡及其安全方法 | |
| US20190005495A1 (en) | Method for verifying transactions in chip cards | |
| US7752407B1 (en) | Security RAM block | |
| JPH0727459B2 (ja) | データ処理システムにおける乱数発生方法及びこの方法を使用したデータ処理システム | |
| CN101589399B (zh) | 用于保护数据的系统和方法 | |
| JPH05217033A (ja) | データの認証方法 | |
| CN101164048A (zh) | 具有寿命周期阶段的安全存储卡 | |
| CN1327356C (zh) | 具有控制读取之微处理器的计算机可读介质和与该介质通信的计算机 | |
| CN102651079A (zh) | 短时占用存储空间的ic卡管理方法和系统 | |
| US6662283B1 (en) | Secure memory management method | |
| CN110008724A (zh) | 固态硬盘控制器安全加载方法、装置及存储介质 | |
| US20140289874A1 (en) | Integrated circuit (ic) chip and method of verifying data thereof | |
| JPH025158A (ja) | 拡張icカード及びそのアクセス法 | |
| JP2006221259A (ja) | 外部記憶媒体へのデータ記録方式とこれに使用するデータ転送制御インタフェース・ソフトウェアー | |
| KR19980079600A (ko) | 칩 카드에 정보를 입력하는 방법 | |
| CN107533516A (zh) | 用于管理对在装置的芯片上的系统的安全模块的多次访问的设备 | |
| CN108121903B (zh) | 一种基于逻辑加密卡的密码管理方法及数据加密表示方法 | |
| CN106709329B (zh) | 由处理单元处理期间对经加密的信息的保护 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20180226 Address after: Munich, Germany Patentee after: Jiejia de mobile safety Co., Ltd. Address before: Munich, Germany Patentee before: Giesecke & Devrient GmbH |
|
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20101215 Termination date: 20190511 |