CN102546169B - 用于控制被用户认证保护的功能的执行的方法和系统 - Google Patents
用于控制被用户认证保护的功能的执行的方法和系统 Download PDFInfo
- Publication number
- CN102546169B CN102546169B CN201110404170.2A CN201110404170A CN102546169B CN 102546169 B CN102546169 B CN 102546169B CN 201110404170 A CN201110404170 A CN 201110404170A CN 102546169 B CN102546169 B CN 102546169B
- Authority
- CN
- China
- Prior art keywords
- data
- validity
- duration
- input
- personal authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/34—User authentication involving the use of external additional devices, e.g. dongles or smart cards
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2111—Location-sensitive, e.g. geographical location, GPS
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2137—Time limited access, e.g. to a computer or data
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2143—Clearing memory, e.g. to prevent the data from being stolen
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
本发明涉及一种用于控制用户认证的保护功能执行的方法和系统,尤其是资源的访问的例子。本方法包括用户使用输入设备输入个人数据,使用个人输入数据来认证用户以授权或拒绝执行功能;在一个连接到输入设备的安全的卡中,存储依赖于输入数据的有限的有效性认证数据;当该卡连接到被用户用来生成消息的处理设备时,消息的处理执行所述功能,其使用已存储的数据,考虑有限的有效性,从而授权或不授权执行该功能。
Description
本申请要求来自法国申请号为1058771,申请日为2010年10月26日的申请的优先权,该申请通过引用被纳入于此。
技术领域
本发明涉及一种用于控制通过认证保护的功能执行的方法和系统。
背景技术
当一个功能的执行依赖于认证的结果时,通常是用户的认证,该功能被称为通过认证保护。
尤其,这些功能被用于访问资源,例如系统,网络,应用,卡或者远程服务器上的服务,和已存储的数据。
尤其,接收到请求访问资源的信息时,这样的功能可对应于被ad hoc实体执行的命令。
通常在计算机系统中执行用户认证,它涉及这样的功能来访问所述资源中的一种。它通常由下述步骤组成:用户使用输入设备来输入用于识别或认证的个人数据的步骤,然后基于所述输入的个人数据来认证用户的步骤,例如通过与预记录在系统中的个人数据相比较,从而产生授权或拒绝执行能访问资源的受保护的功能。
如果授权,所述被保护的功能被执行,且用户获取了对资源的访问。
举例来说,用于识别或认证的个人数据可为口令,PIN(“个人身份号码”)或生物测定学数据。
身份窃取是一个经常发生的问题,它影响了用于通过认证访问资源的系统的安全性,该认证处理那些通过认证保护的功能。
许多攻击策略中,身份窃取就是怀有恶意的人窃取用于识别或认证的极其敏感的用户个人数据,通常通过在输入设备和基于所述输入的个人数据来执行认证的处理软件之间放置恶意软件。
所述恶意软件接收输入的敏感数据,由此生成一份副本,然后传递那些数据给处理软件。通过这种方式,通过验证参与访问的两个部分(用户和处理软件)都不能怀疑此恶意软件的存在。
处理该敏感的个人数据和了解它访问的资源(尤其因为计算机系统能访问特殊的资源,例如自动提款机)之后使得该怀有恶意的人以一个掠夺者的虚假身份重新访问这些资源。
这些攻击策略有个广为人知的术语“中间人攻击”。当它们能够窃取用于识别或认证的个人数据来访问服务例如包括金融交易时,它们是非常危险的。它们的执行通常与非置信的输入终端相关,例如商店的付账终端机或自动提款机。
因此需要改进机制来检验通过认证保护的功能的执行,尤其当它们能访问资源时,尤其是对抗这种攻击策略。
发明内容
关于这点,本发明尤其涉及一种用于控制通过认证保护功能执行的方法,包括下述步骤:
—当用户在输入设备上输入个人数据时,在有限的有效性结构中存储个人认证数据,该个人认证数据依赖于输入的个人数据;
—在使用它包含的该个人认证数据之前,检验有限的有效性结构的有效性,从而生成授权或拒绝功能的执行,该功能在处理由不同于输入设备的处理设备生成的信息时实现。
依据本发明,个人数据的输入和为了通过执行被保护的功能来访问资源而进行的它们的处理可在时间上或空间上分离。依照本发明,通过在有限的有效性结构中存储依赖于所述输入数据的个人认证数据可使之成为可能,因此能够建立起输入和处理这两个操作之间的联系。
另外,这两个操作的每个的执行与不同的设备相关:输入设备用于第一个操作,处理设备用于第二个操作。因此,用户不需要在处理设备上输入敏感数据,这可防止任何已经窜改了所述设备的怀有恶意的人从所述设备的输入装置上获取敏感数据。
依据本发明,这两个操作的分离性使得“中间人攻击”不能同时获取敏感数据以及了解它们能访问的资源(也就是说对应的被保护的功能)。从下文可以看出,用户可使用他信任的输入设备,例如他特有的设备。因此他不再被迫在不可信的第三方设备上输入个人数据。
关于所述个人认证数据的有限的有效性,这能够确保本发明的效率,同时避免可能被盗的敏感数据被无限地使用,例如超越时间或空间,从而使得那些怀有恶意的人能够执行被那些数据保护其实施的功能,且因此访问相应的被保护的资源。
在临时有效性的情况下,可在遭受的风险、及相关的功能和资源的基础上设置有效性的持续时间。
类似的,空间有效性可基于GPS测量法,它定义了该结构离起点的最大使用距离。
因此,在控制执行通过认证保护的功能方面、以及控制由此产生的可能的资源访问方面取得了进步。
依据本发明的一方面,该方法包括以下步骤:
—用户使用输入设备输入个人数据;
—基于个人输入数据来认证用户,从而授权或拒绝被保护功能的执行;
—如果授权,执行该功能;
其中:
存储和检验步骤在一个存储器模块中执行,该存储器模块分别在输入和存储步骤时连接输入设备,及在检验和执行步骤时连接处理设备;
所述有限的有效性结构包括具有有效性的个人认证数据,该有效性通过结合有效性的持续时间和个人认证数据之间来限定。
虽然物理上的连接是可能的,但是它首先是能够在设备和后来涉及的模块之间提供通信的逻辑连接。
只有存储器模块,其可为传统的安全微处理器卡,在此操作有限的有效性数据结构,这样该结构包含有限的有效性个人认证数据。通过广为人知的用于这种类型的模块或卡的安全技术,可将这些数据处理作为内部的私密密钥来管理,且因此在输入和生成授权或不授权被保护功能的执行这两个阶段,以安全的方式操作这些数据。
在一个实施例中,检验用于使用个人认证数据的结构的有效性,包括检验与个人认证数据相关的有效性的持续时间相比较,因为生成有限的有效性结构而已经流逝的时间。换句话说,该规定包括当为了获取执行该功能的授权而使用有限的有效性个人认证数据时,检验有限的有效性个人认证数据是否依然有效。因此可避免怀有恶意的人大范围地重复使用这些有限的有效性敏感数据。根据某些实施例,尤其某些在下文记载的,授权或拒绝的生成可作为变量,它依赖于自从停止给储存有限的有效性结构的存储器供应电源后所流逝的时间。
在一个实施例中,授权或拒绝的生成依赖于使用参考数据对个人输入数据的检验,和通过使用存储在已存储的有限的有效性结构中的所述个人认证数据而得到的检验结果。以传统的方式,用户认证在此包括为了授权或不授权访问资源而检验个人输入数据。根据本发明,当前的规定能够通过使用存储在存储器模块中的有限的有效性个人认证数据来维持这些机制。
依据本发明的某个特性,该方法包括将个人输入数据和预记录在存储器模块中的个人数据进行比较的步骤,且存储在有限的有效性结构中的个人认证数据包含比较结果。这种情况下,在输入设备上执行认证操作,但是还不能给出基于所述认证的授权。更准确地,根据本发明,认证结果(不管输入数据的比较是否为正值)只能作为一项有限的有效性敏感数据。因此,避免将个人数据传送为处理设备的输入(密码,PIN码,等)。
作为一个变体,存储在有限的有效性结构中的个人认证数据包括个人输入数据,且它们的使用包含将存储在有限的有效性结构中的个人认证数据和预记录在存储器模块中的个人数据相比较的子步骤。这个规定可简化在输入设备中执行的操作,尤其如果它已经限制了处理资源,或如果出于比较的需要,它证明例如访问安全的数据库是必要的。
本发明的一实施例中,通过存储器模块中提供的电容器的放电来计算与个人认证数据相关的有效性的持续时间。因此电容器在计时器上工作。根据本发明,在能够存储有限的有效性数据的任何类型的电子实体上尤其容易实施这个配置。
尤其,在存储器模块的易失性存储器上存储个人认证数据,该存储器由所述电容器临时充电。根据本发明,由于易失性存储器本身的性质,在有效性的持续时间期满时会自动删除该有限的有效性敏感数据,所以这项规定下认证的控制还变得更安全。另外,这个配置容易实施。
在另一个实施例中,在存储器模块的易失性存储器上存储个人认证数据,且和它们相关的有效性的持续时间由切断了其电源供应时易失性存储器的消失特性来定义。这项规定具有不依赖特定的方法来计算有效性的持续时间的优势。更特别地,因为这种易失性存储器中数据的消失性,可确保在消失性的持续时间期满时自动擦除有限的有效性敏感数据。因此当易失性存储器的对应的消失性适合已生成的个人认证数据所需要的周期或有效性的持续时间时,这种易失性存储器将被选择。
还在另一个实施例中,个人认证数据被存储于在控制被保护功能的执行期间被持续供电的存储器模块的易失性存储器,或被存储于可重写存储器,例如EEPROM类型(EEPROM为“电可擦除可编程只读存储器”),且和它们相关的有效性的持续时间通过将时间量,例如有效性持续时间和有效性起始时间,或单独的有效性结束时间,存储在与存储器中的个人认证数据相关的变量中而被定义。因此为存储器模块提供充足的元素使得能够检验用于获取授权的个人认证数据是否依然有效,通过将有效性持续时间或有效性结束时间(它是包含小时,分钟等的日期)和因为生成那些数据而已经流失的时间相比较。
依据本发明的特性,存储器模块中,有限的有效性个人认证数据的使用包括通过使用已存储的时间量和由处理设备提供给它的参考时间数据来检验这些数据的有效性。这个规定使得能够采用常用的参考来评估有效性的时间期限。尤其,它可为不同设备所共有的时钟(例如网络时钟),或那些设备特有的时钟。
在一个实施例中,当接收到来自处理设备的消息时,被保护的功能就是由存储有限的有效性结构的微处理器模块执行的命令。根据不同的方法,被保护的命令可在提供的信息中被直接指示出,或为依赖于这样在信息中指示出的命令的子命令(例如执行那个命令时被调用的子命令)。
依据本发明的另一个特性,存储了有限的有效性结构和它包含的个人认证数据的存储器模块是可移动的,且在输入时放置在输入设备中,且在检验结构的有效性时和在使用有限的有效性个人认证数据时放置在处理设备中。这个规定对于为了控制通过认证保护功能的执行例如访问资源的用户来说,非常方便,用户可以仅仅运送或提供记录了由输入产生的敏感数据的且认证必需的可移动存储模块。
作为变体,在控制和执行被保护的功能的期间(也就是说,在输入和处理这两个步骤期间),存储有限的有效性结构和它包含的个人认证数据的存储器模块是和输入装置物理地连接的,且处理装置通过无接触通信的方式和存储器模块通信。这个配置对用户来说证明是容易使用的,因为用户可十分信任地在他特有的输入设备(例如他的移动电话)上简单地输入他的个人数据,且将后者提交给处理设备以执行随后的控制执行功能所必需的操作,例如访问相应的资源。这种无接触通信也包括所述通信通过嵌入了存储器模块的输入设备来传输的情况。这就是例如当移动电话中SIM卡(SIM代表“用户身份识别模块”)使用该移动电话的NFC控制器(NFC代表“近距离无线通信”)来与外部处理设备通信时的情况。
依据某特性,存储了有限的有效性结构和个人认证数据的存储器模块是一个安全的微处理器卡。传统方式下,微处理器卡包括使敏感数据安全的方法,也包括同输入设备和处理设备中的一个或另一个进行通信的高效率的方法,这种情况下,这个规定是有利的。
尤其,输入设备或处理设备与所述微处理器卡之间的通信是无接触的。这样,为了控制执行功能所必需的每个操作,连接那些设备和卡(存储器模块)。通信频道可依照NFC标准,ISO14443标准或类似的标准。
作为变体,尤其如果这些操作期间微处理器卡是可移动的,可在输入设备或处理设备和所述微处理器卡之间提供接触式通信。
在一个实施例中,对来自处理设备的消息的处理生成响应,该响应包含至少一个依赖于已生成的授权或拒绝的响应值。这个配置发现了许多应用,这些应用通常在用户请求的访问成功或失败(例如成功完成或没有完成的支付,安全账户的访问,等)中被确定。
在某个作为变体的应用中,响应值却可以独立于已生成的授权或拒绝(对于所有或某些被保护的功能)。如下文所阐述的,执行被保护的功能可简单地更新存储器模块的内部状态,例如欺诈的访问检测标志。
本发明的一个实施例中,用户输入至少一项表示一项金融数据的信息,且为了后来的金融操作(例如交易)而访问这些操作依赖于已生成的授权或拒绝,所述信息项被存储在和个人认证数据共有的有限的有效性结构中。由于本发明,使用户为后续操作所输入的所有数据变得安全成为可能,不管数据是否敏感。这项规定通过这种方式增加了那些数据的机密性。
本发明的一个实施例中,输入设备是用户信任的装置。这个配置从本发明充分的效率中获益,因为在此增强了输入操作的保护。因此,如同一个怀有恶意的人不能访问那些可置信的设备,他也不能获取由用户直接输入的个人数据。
尤其,输入设备是用户的移动电话。
以补充的方式,本发明涉及包括至少一个存储器和用于执行指令的处理器的存储器模块,该存储器模块被配置为:
—在有限的有效性结构中存储个人认证数据,该个人认证数据依赖于用户输入的和从输入设备中接收的个人数据,存储器模块被连接到输入设备(也就是说在输入期间);
—在使用它包含的该个人认证数据之前,检验所述有限的有效性结构的有效性,从而产生授权或拒绝通过认证保护的功能的执行,在处理从不同于输入设备的处理设备中接收的消息时执行该功能。
类似地,本发明涉及一种用于控制执行被用户认证保护的功能的系统,包括:
—输入设备,用于用户输入个人数据;
—处理设备,不同于输入设备且适用于在用户的操作下生成要处理的消息;
—存储器模块包括至少一个存储器,和处理器,该存储器模块被配置用来在个人输入数据的基础上认证用户,从而产生授权或拒绝被保护功能的执行,该被保护的功能在所述消息的处理中实现;
其中存储器模块被配置为:
—当它连接输入设备时,在它的存储器中生成并存储依赖于个人输入数据的有限的有效性个人认证数据且将它们和有效性参数联系;以及
—当它连接处理设备时,使用已存储的个人认证数据依赖于相关的有效性参数来生成授权或拒绝功能的执行。
存储器模块和认证系统具有和所述方法类似的优点。尤其,它们使得为了获取授权来执行被保护的功能及为了获得增强的对抗中间人攻击的安全性,而分离输入敏感数据的操作和处理那些数据的操作成为可能。
可选地,存储器模块或系统可包含与所述方法的特性相关的部件,和特别地用于计算有效性的持续时间的电容器,在所述持续时间期满时自动删除自身的易失性存储器,固定的或可移动的存储器,用于在不同的设备之间依据本发明存储有限的有效性个人认证数据的微处理器卡,用于在微处理器卡及不同的设备之间通信的无接触式或接触式部件。
尤其,这些设备可包括用户使用输入设备来输入个人数据的部件;基于个人输入数据认证用户以产生授权或拒绝被保护功能的执行的认证部件;如果授权则执行功能的执行部件。另外,被配置为存储和检验的存储器模块可分别在输入和存储时连接输入设备,在检验和执行时连接处理设备。这种情况下,可规定所述有限的有效性结构包含具有有效性的个人认证数据,该有效性通过结合有效性的持续时间和个人认证数据之间的来限定。
更多地,根据另一个实施例,存储在有限的有效性结构中的个人认证数据可包含个人输入数据。于是为了使用那些数据,存储器模块或系统可包含用于将存储在有限的有效性结构中的个人认证数据和预记录在存储器模块中的个人数据进行比较的方法。
依据另一个实施例,所述有限的有效性结构包括具有有效性的个人认证数据,该有限性通过结合有效性的持续时间和个人认证数据之间来限定。这种情况下,可规定存储器模块包含电容器以致于通过存储器模块中提供的电容器的放电来计算与个人认证数据相关的有效性的持续时间。
此外尤其是,存储器模块可包含易失性存储器,该易失性存储器存储了个人认证数据且由所述电容器临时充电。
还依据另一个实施例,存储器模块可包括在控制执行被保护的功能期间被持续充电的易失性存储器,或可重写的存储器,它存储个人认证数据。这种情况下,存储器模块被配置为通过在变量中存储时间量来关联有效性的持续时间和那些个人认证数据,该变量在存储器中和那些相同的个人认证数据相关。
本发明还涉及电子实体,包括:
—至少一个通信接口,用于接收用户输入的个人数据和要处理的消息,
—存储器,它在有限的有效性数据结构中存储了依赖于个人输入数据的个人认证数据,
—用于在时间或空间上限定存储个人认证数据的数据结构的有效性的部件,和
—用于在使用它包含的个人认证数据之前检验有限的有效性结构的有效性从而产生授权或拒绝通过认证保护的功能的执行的部件,其中该功能在处理已接收的消息时被执行。
尤其,实体可为微处理器卡的形式。
电子实体具有和那些方法、存储器模块和系统类似的优点。
可选地,电子实体可包含与所述方法的特性相关的部件,尤其是实现有效性的持续时间的部件,例如电容器或存储器中的变量,和不管是否易失的存储器。
附图说明
本发明的其它特性和优点将出现在下面的用附图阐明的说明中,其中:
—图1阐明了认证用户U以访问资源的传统机制;
—图2是本发明的一个实施图;
—图3-5阐明了根据本发明访问通过认证的保护的数字签名服务的三个例子。
具体实施方式
图1阐明了用户U访问资源的传统机制,例如访问零售店的支付服务。
这些操作要求用户U和支付终端10之间的交互。该交互尤其在于使用键盘或任何其他类型的输入部件11来输入用于识别或认证的个人数据,该识别或认证对可能的攻击是敏感的。举例来说,这些敏感的个人数据可为密码,PIN码(“个人身份号码”)或生物测定学数据,它们使人能够自我认证且能完成和零售商进行的金融交易。
同时也可以输入其它非敏感数据,例如由与零售商进行金融交易的用户指出的总额。
预定金融交易和包含那些输入数据的消息然后被提供给处理应用软件12。
消息尤其包含用于金融交易的命令。
该命令的执行尤其依赖于该命令特有的必要权利的存在,这种情况下由个人输入数据的有效性产生有效性认证。
使用传统的机制和通常通过与预记录数据的比较,软件12检验用户输入的个人数据以产生授权或拒绝金融交易的执行。例如,用户U输入的PIN可与存储在插入到支付终端10的支付卡中的PIN进行比较。
如果是肯定的认证,授权执行金融交易的命令,从而使得能够访问支付服务S。然后进行与支付服务器(这里用网络20和服务器21代表)的交易。
如果是否定的认证,金融交易则不能完成。
这里,中间人攻击采用如图中所示的恶意应用软件13。恶意应用软件13截取输入数据,不管它们是否是敏感的,复制它们且将它们传送给软件12。因此恶意软件13的干涉对用户和软件12来说是透明的。
图2是根据一个实施例执行本发明的的系统1的图。用户U必须生成同样的输入(有敏感数据和可能有非敏感数据),正如传统的被与认证相关的权限保护的命令的使用。
在图2的系统中,用户U和第一输入设备100交互。这个设备最好是可置信的设备,也就是说用户U自己的设备,例如他的移动电话或他的电脑。
输入设备100包括输入接口110,安全的微处理器卡120和嵌入式微处理器卡读取器130。输入设备100中可提供移动电话的其他传统功能,但是在此不描述它们。尤其作为主要电源的为设备100充电的内部部件(例如电池)能够为微处理器卡120充电。
输入接口110可采用传统的电话键盘的形式,例如为了输入PIN码或口令。作为一个变体或组合体,它可包含适于获取用户U特有的生物测定学数据的生物测定学传感器,或其它任何接口。
为了读取和/或写入微处理器卡120,嵌入式读取器130可同样是无接触的或接触的。它通过传统的电子系统架构连接到输入接口110,例如通过数据总线和微处理器(未显示)。
微处理器卡或“智能卡”120最好是用户U私人的可移动卡,例如以ID-1格式,用户可容易地从输入设备100中提取它,以将它提交给处理设备200的另一个微处理器卡读取器210,如下文所述。作为变体,在访问资源S的全部操作期间,也就是说在输入、控制通过认证保护的访问命令和访问时的交易期间,微处理器卡120可在物理上连接输入设备100。
在这两种情况下,尤其当它在物理上连接输入设备100时,依据本发明为了执行操作,微处理器卡120可被更简单的提供存储器和微控制器或处理器的存储器模块代替。如下文说明的,存储器模块可为易失的或非易失的。
微处理器卡120包含用于和设备的无接触式读取器130进行通信的无接触式接口1201。微处理器卡120还包含用于和处理设备200的无接触式读取器210进行通信的无接触式接口1202。尤其是,这两个接口可整合到一个单独的接口中。然而它们可以是不同的,例如一个是接触式的,另一个是无接触式的。
如后面所示,它们使微处理器卡能够接收在输入设备100上用户输入的数据,且之后响应用户在其上的操作而接收来自处理设备200的消息,处理那个消息尤其是执行通过认证保护的访问命令,不是因为它直接包含它,就是因为它调用了这样的微处理器卡内部的命令。
微处理器卡120还包含如下文所描述的能够存储数据结构STRUCT的存储器1203,也包括使得为所述结构定义有效性参数成为可能的部件1204,例如有效性的持续时间DV或有效性的地理区域。以下的解释中,将主要提到有效性的持续时间。然而,与下文描述的机制类似的机制可用于地理有效性。
微处理器卡120被配置为当它连接输入设备100时,在它的存储器1203中生成并存储依赖于用户输入的个人数据的有限的有效性个人认证数据,且例如通过所述结构,将它们和有效性的持续时间联系。
如下文通过不同例子所描述的,部件1204可定义这样的有效性的持续时间DV,它明确地或隐含地依赖于被采用的结构的性质。
有效性的持续时间DV和结构STRUCT有关,以定义有效性的时间界限。
持续时间依赖于预期的安全级别,不同的应用安全级别不同。举例来说,对于通过PIN码使得被保护的金融交易命令变得安全,该持续时间可设置为几十秒,例如1-2分钟。对于用于安全访问计算机或通信网络的命令,它可能更长,大约几分钟,例如5,10或15分钟。
在一个实施例中,存储器1203是易失性存储器。
存储器1203然后可被主电源(设备100的电池)持续充电,尤其在为了资源访问的所有操作而不从输入设备100中拔出卡120时。这种情况下,部件1204可由存储器中的变量组成,它定义数据结构STRUCT从它的产生开始的有效性的持续时间DV(也就是说,从它的创建和/或它的更新),如下文所描述的,或如果该时间的持续时间被预先指定,则定义有效性的结束时间或有效性的起始时间。
如果卡120被配置为从输入设备100中拔出以提交给处理设备200,当主电源已经失去连接时,易失性存储器1203可由短暂的内部电源暂时充电,例如当卡120位于输入设备100时,从主电源充电的电容器。
短暂的内部电源在部件1204中使用,因为它能使易失性存储器(当所有的电源被切断时,它清空)的电源供应维持一段依赖于它的性质(尤其是它的电容值)的持续时间。
尤其,如果是电容器,基于预期的有效性的持续时间DV选择电容值。如果是电容器的放电总量,存储在存储器1203中的数据结构STRUCT之后被自动擦除。控制电容器充电和放电的机制使得可提供从预期的准确时间开始对有效性的持续时间的计时,尤其当卡120从输入设备100中拔出时,或当生成数据结构STRUCT时,且当卡120重新被处理设备200充电时,可能继续计时。
例如用于控制电容器的命令可被提供给用于控制有效性的持续时间DV的卡120并供其使用。尤其,可提供充电命令从而为电容器充电且在充电结束时隐含地触发开始对DV的计时,可提供放电命令从而对电容器放电,以致于强迫数据结构STRUCT为无效状态,且提供充电级别命令以知道电容器的充电级别并因此直接确定持续时间DV是否过期。
通常这种情况可适用于任何适合仅仅保存数据一定时间(隐含地定义有效性的持续时间DV)的存储器。
另一个例子中,被选择的易失性存储器1203可包含与预期的有效性的持续时间DV一致的消失性(尤其是消失性的持续时间)。这种情况下,部件1204由那些消失性形成,因为切断了存储器1203的电源(尤其在拔出卡120时或在终止存储器电源供应的命令下),数据结构STRUCT保持在存储器1203中直到消失性的持续时间满期。以这种关系提供控制使得能够对该存储器的电源供应和对该存储器的电源供应的终止。
另一个实施例中,存储器1203是可重写存储器,这种情况下部件1204可由存储器中的变量组成,该变量定义一项时间信息,例如从它的创建或更新开始的数据结构STRUCT的有效性的持续时间DV;如果提前约定持续时间,该时间信息可以为有效性终止的日期和时间,或有效性开始的日期和时间。作为变体,即使存储器是可重写的,部件1204可使用专门的暂时的内部源(例如电容器)来形成,它由主电源充电,且自从收到充电命令后,充电结束,开始放电。这种情况下,只要电容器没有完全放电,结构STRUCT则被认为有效。
在地理有效性的特定例子中(也可进一步作为上述的时间有效性的补充),有效性的区域可围绕起点定义,例如在结构STRUCT被创建的时候卡120的位置。在该区域的范围内保持有效。尤其可提供适合的方法使得一离开那个区域就完全擦除结构(或使它完全无效)。作为变体,任何离开后返回到该区域,可重新使得结构有效。
适合的部件可包括GPS接收器,该GPS接收器能够计算相对于起点的距离,界定区域的阈值距离(例如半径),且只要当前的距离超过该阈值距离,为存储器提供擦除方法。
如先前所示的,本发明的执行包括使用输入设备100来输入用于识别或认证用户U的个人数据,也就是说敏感的个人数据D1。作为补充,用户U也可以输入其它数据(可能不是敏感的),这些数据对于访问和/或执行用户希望访问的服务S是必需的,例如金融交易的总量,获取的文件名,日期,等。
该输入操作导致在当时能被创建的数据结构STRUCT中更新微处理器卡120内部的数据或状态。然后当时使用其中一个之前提到的方法将它和有效性的持续时间相联系。
数据结构STRUCT可以是,但不限于此,简单的电子文件,列表,树,图表,数据库,等。
如下面的例子所示的,数据结构STRUCT可直接存储为个人认证数据D2,用户U输入的个人数据,而不用执行任何对那些数据的处理。
作为变体,输入设备100可执行其预处理,从而生成依赖于那些个人输入数据的其他个人认证数据D2。举例来说,由输入终端100,在此为用户U的移动电话,来检验用户U输入的PIN码,且一项信息表示它和参考PIN码(而不是输入PIN本身)的比较结果,该项信息被存储在数据结构STRUCT中(可能和执行预期的服务S所必需的其它数据)。该结果,例如一个单独的位或一个布尔函数,是认证用户的结果。
在卡120中,数据结构STRUCT是安全的。更为特别地,卡120以传统的方式执行多种能够确保它存储的数据的机密性的机制。
一旦数据结构STRUCT已经被创建和更新,用户U断开微处理器120和设备100,这样的作用是如果它还没有发生,则触发对有效性的持续时间DV的计时(如果触发例如一个充电命令的电容器充电的结束,或当持续时间DV以一项时间信息的形式被存储在存储器中)。
然后用户U将卡120连接到处理设备200上,例如通过在为所述目的提供的位置上引入卡,配备有卡读取器。该连接的作用当然不是停止对有效性的持续时间的计时。尤其,在使用了电容器的情况下,计时不会停止,因为需要发布特有的充电命令来为它重新充电。
处理设备200通常是一个具有低可信赖度和不安全的设备,典型地第三方支付站/终端,自动提款机,网络服务等。
如图中所示,处理设备200包含微处理器卡(或依据本案的存储器)的读取器210,它和卡120的通信接口1202兼容,且包含处理模块220。处理设备200还包括用户接口(未显示),尤其为了访问期望的资源时,它使用户能够和装置交互。
处理模块220因此控制和卡120之间的交换,从而执行对期望资源的访问,且尤其给它传送访问资源的消息。消息可包含通过认证保护的命令C,或调用也通过认证保护的函数,程序,命令C’,这些认证在卡120中执行。
然后正是微处理器卡120通过使用存储在有限的有效性结构中的个人认证数据D2来认证用户U的方式控制执行被保护的命令。该控制使得可授权或拒绝执行被保护的命令、函数或程序,且因此访问或不访问期望的服务S。下面,将主要参考“被保护的命令”来指派那些通过认证保护的命令、函数或程序。
依赖于相关的有效性的持续时间DV,当连接到处理设备200时,微处理器卡120因此被配置来使用已存储的个人认证数据D2,以产生授权或拒绝它已经接收的被保护的命令的执行。
这样,数据结构STRUCT作为在设备100上敏感数据的输入和当使用设备200访问服务S时它们的使用之间的接口。
本发明还适用于访问处理设备200本地的服务/资源(例如该设备的功能性或它存储的数据的功能性),不是如图所示的那样需要通过计算机网络20的访问。
在控制执行被用户认证保护的命令时,微处理器卡120从使用或不使用它包含的个人认证数据D2的方面考虑与结构STRUCT相关的有效性DV的持续时间。
因此,当用户在处理设备200上生成用于对需要卡120参与的服务的被保护的访问命令C/C’以检验要求的权限时,结构STRUCT的有效性是接收到命令时最先被卡检验的。
如果有效性的持续时间是明确的(例如有效性时间终止的标志),卡120证实持续时间还没有过期,尤其通过使用处理设备的时钟。
如果它是不明确的(例如电容器的使用),卡120检验电容器是否完全放电。这可以例如通过使用电容器充电级别命令来执行,或可以通过试图访问易失性存储器中的数据结构STRUCT来获取,如果后者被电容器加电或如果使用了存储器的剩磁特性。更为特别地,这些情况下,如果电容器被完全放电或剩磁的持续时间已经过期,数据结构则被擦除。
如果是数据结构STRUCT有效,访问个人认证数据D2,使卡120能够检验要求的权利,例如输入的PIN码是否正确。权限的检验生成授权或拒绝正考虑的被保护命令的执行,且因此访问预期的服务或不访问。
由此依据本发明,该控制能够通过卡120获取安全地对处理设备200提供大量服务的访问:金融交易、数字签名、账户咨询、数据访问等,同时避免了欺诈利用用户输入的敏感数据。
输入设备100和处理设备200,同微处理器卡120一样,包含被配置来执行在此描述的不同步骤和操作的硬件和软件部件。
下面,将被提到的例子中,在由处理设备提供的消息中直接指出的命令C的执行依赖于使用包含在有限的有效性结构STRUCT中的个人认证数据来进行成功的用户认证。
然而,如上面所提到的,通过认证保护的命令、函数或程序可在处理消息时执行,而它没有明确地由消息指出。
此外可注意的是不管存储在结构STRUCT中的个人认证数据是否影响卡120产生的响应命令C的结果,都不会对本发明有影响。举例来说,命令C的响应可为已存储的个人认证数据的值(例如生成已存储的认证的结果)。另一个例子中,生成的值可依赖于个人认证数据的值(例如如果多个子命令中的一个子命令C’没有执行,结果则可改变)。最后,另一个例子中,生成的结果独立于不管被所述认证保护的命令是否执行(例如执行该命令使得卡120的内部标志能够被更新)。
图3阐明根据本发明访问数字签名服务的第一个例子。
这个例子中,存储结构STRUCT的卡120是可移动的。另外,部件1204可通过在卡120中提供的电容器从而为易失性存储器1203暂时充电来实现。另外,在结构STRUCT中存储结果之前,用户U输入的数据D1在输入设备100中被预处理。因此,在步骤E300开始第一阶段P1,可移动微处理器卡(或存储器模块)120被插入到输入设备100中,在此为用户的移动电话。
根据传统的机制,这个插入产生加电E302的信号,触发微处理器卡120的加电和它的初始化E304。这个阶段,卡120的微处理器(未示出)和存储器1203被主电源供应源充电(例如电话的电池)。
为了执行用户U要求的服务S,用户通过菜单和接口110来为访问服务(E306)选择预处理应用。
然后指定给卡120的输入设备100生成用于选择应用的命令(E308)。该选择命令“Select”依照ISO/IEC 7816-4标准,用于在微处理器卡120和读卡器130(在此装备设备100)之间通信。
然后在卡120中执行(E310)被选择的应用,需要输入一项用于识别或认证用户U的个人数据D1和期望的服务中所必需的可能的补充数据。这个例子中,用户U通过接口110输入他的PIN码(E312)。
依照所述ISO/IEC 7816-4标准的PIN码检验命令“VERIFY PIN”然后被提供给卡120(E314)。这个命令包含用户U输入的PIN码。
以传统的方式,卡120取得输入的PIN码,然后比较它和预记录在卡120的安全存储器中的参考PIN码(E316),以便在正确的PIN时生成正响应OK(E318)和在错误的PIN时生成负响应NOK(E320)。
在步骤E322,以并行的方式,卡120通过在其中插入比较E316的结果(和可能它已经接收的补充数据)来更新(如果必要,创建)数据结构STRUCT。在此比较的结果被称为用户的“个人认证数据”D2。
同时,卡120通过发送用于为电容器1204充电的命令来提供与数据结构相关的和因此与个人认证数据D2相关的有效性的持续时间DV。持续时间DV被计时例如从停止为电容器1204充电开始,通过该电容器的连续放电。
步骤E322的这些操作可例如通过控制程序来执行,列举如下:
在第二阶段P2,在步骤E324中,用户U结束通过输入设备100对卡120的主电源供应,尤其以拔出卡120的方式。
通过正在放电中的电容器1204,易失性存储器1203继续暂时地加电且它存储的数据(尤其是STRUCT)依然有效。如果在持续时间DV到期之前(因而在电容器完全放电之前)卡120没有被重新使用,易失性存储器以及因而结构STRUCT则被擦除。
在步骤E326中,卡120物理地移向它后来连接的处理设备200。
然后第三阶段P3由命令对卡进行加电的步骤E328(类似于E302)开始,使得卡120加电和初始化(E330-类似于E304)。
指定给卡120的选择命令然后以与步骤E308类似的方式产生(E332)。
步骤E334中,用户在处理设备200上寻找PIN码保护的服务(在此为数字签名的计算)。这个检测引起依照ISO/IEC 7816-4标准发送命令C“INTERNAL AUTHENTICATE”(步骤E336)。该命令用签名的数据来参数化,且依照该标准它的执行依赖于先前命令的成功执行,例如,如本例中提供的先前的有效认证。
依据本发明,经验证的PIN码(或未经验证的,视情形而定)的状态以个人认证数据D2出现在卡120的结构STRUCT中,不用用户U必须输入它的PIN码到处理设备200。
这个阶段,卡120上的步骤E338在于检验结构STRUCT的有效性,考虑相关的有效性的持续时间DV。
该检验尤其可以是检验电容器1204的充电级别(使用合适的命令)和/或存储器1203中结构STRUCT的存在。更为准确地,如果有效性的持续时间已经过期(电容器1204已经完全放电)同时卡1204不再加电,则易失性存储器1203已经被擦除且经验证的PIN码不再可用。
如果持续时间DV已经过期,结构STRUCT可被标记为无效(例如通过一个位),从而在后来的访问请求时简化步骤E338。
如果持续时间DV没有到期且因此结构STRUCT确实有效,在步骤E339中,个人认证数据D2则被从结构STRUCT中取得。
步骤E340中,考虑到被取得的个人认证数据D2,命令C“INTERNAL AUTHENTICATE”被作为要求的权限来执行。因此如果那些数据D2显示了经验证的PIN码的状态,则单独执行它。
例如,特定函数COPYD2可在此步骤中由卡执行,从而复制数据D2到通常用来存储PIN认证结果的全局变量中,且它通过执行INTERNAL AUTHENTICATE命令来访问。因此,后者不被修改。
当然,作为变体,可调用VALIDATE PIN OK函数以直接检验经验证的PIN码的状态是否是真的存在的,且如果那样的话直接授权执行INTERNAL AUTHENTICATE命令
在经验证的PIN码的情况下,使用卡120内部的密钥来执行数据签名的签名。
因此,数据的数字签名(或访问资源/服务)则被数据D2肯定的检验保护。
卡120然后发送对命令的响应到处理设备200:签名的数据(E342)或错误的消息(E344)依赖于它是否已经可以执行命令。
图4阐明根据本发明访问数字签名服务的第二个例子,除了用户U输入的个人数据D1直接存储(未经修改)在结构STRUCT中这个事实,它和图3的大体类似。
另外,代替输入PIN码,这个例子获取用户U的生物测定学的测定结果,例如指纹。
阶段P1中,步骤E300到E312和那些引用图3所描述的类似,除了用户U被要求获取指纹而不是PIN码这个事实。
在步骤E312中,用户U输入敏感数据D1,用户U将手指展现给生物测定学传感器110,从而获取表示指纹的用于识别的个人数据D1。
依照ISO/IEC 7816-4标准,通过“PUT DATA”命令将这些敏感数据D1提供给卡120(步骤E314’)。
在卡120中,这些数据D1被取得且然后直接存储在数据结构STRUCT中(步骤E322’)。
当然补充数据可被用户U输入/获取且另外存储在结构STRUCT中。
在这个阶段,对有效性的持续时间DV的计时可通过用于为电容器1204充电的命令来触发。
继阶段P1之后,阶段P2和图3中的那些相似,例如,包含步骤E324到E326。
阶段P3采用和图3中的同个阶段一样的方式开始,尤其步骤E328到E332。
处理设备200可被配置用来一检测到卡120就发送处理存储在结构STRUCT中的数据D1的命令(步骤E336’),该例中用预记录在卡120的存储器中的参考指纹来检验指纹的命令。
要注意的是可在卡120上执行该检验以响应如下文所提供的那样的被保护的命令C,不需要有对于该先前的命令E336’的资源。
在步骤E338’中,关于相关的持续时间DV,结构STRUCT的有效性被检验。
如果结构不再有效,它被如此指示且否定的响应NOK(E344’)被发送回处理设备200中。
如果结构是有效的,在步骤E339’中,数据D1被从结构STRUCT中取得。
然后P1阶段中获取的指纹D1和参考指纹相比较(E340’)。
将比较的结果,正确OK(E342’)或错误NOK(E344’),返回到处理设备200中。
并行地,比较结果被存储在(卡的)全局变量中,通常用于存储由生物测定学数据认证的结果,且通过执行后来的被保护的命令来访问,例如INTERNAL AUTHENTICATE。
作为变体,该结果可作为有效的或错误的生物测定学数据的状态而被直接存储在数据结构STRUCT中。
在步骤E346’中,处理设备200检测到用户U正在寻找被生物测定学认证保护的服务(在此为数字签名的计算),且因此要求用户的认证。这个服务请求引起依照ISO/IEC7816-4标准发送命令C’“INTERNAL AUTHENTICATE”(步骤E348’),将签名的数据作为参数并被用户认证保护。
卡120然后执行命令C’“INTERNALAUTHENTICATE”(E350’)。
要注意的是如果在步骤E340’中比较的结果被存储在传统的全局变量中,步骤E350’依然是传统的,命令INTERNAL AUTHENTICATE依赖于那个全局变量中经验证的状态的存在。
作为变体,函数VALIDATE DATA OK可被执行以检验结构STRUCT中经验证的状态的存在或不存在,且因此授权或不授权命令INTERNAL AUTHENTICATE。
依据传统的机制,适合对数据进行签名的情况下,则使用卡120的内部密钥来签名。
卡然后发送对命令INTERNAL AUTHENTICATE的响应,其指定给处理设备:签名的数据(E352’)或错误的消息(E354’)。
再一次,数据的数字签名(或访问资源/服务)被生物测定学数据的肯定的检验保护。
图5阐明根据本发明和图3的相似的数字签名的第三个例子,其中存储了结构STRUCT的卡120永久地位于输入设备100中(至少在与用户U认证的全过程对应的下述全部操作的期间)。例如移动电话中的SIM卡这种情况。
这种情况下,阶段P1的步骤E300到E322和图3中阶段P1的那些步骤相同。
如同阶段P2,因为在卡120和设备100之间没有物理上的分离。因此只要用于识别的个人输入数据D1已经在输入设备100的命令下由卡120处理,也就是说,只要已经用由处理过程产生的数据D2生成了数据结构STRUCT,这个阶段P2就开始了。类似地,当这个处理结束时,有效性的持续时间的计时开始,例如通过电容器1204的充电。
阶段P3期间,组合{输入设备100-卡120}和处理设备200通信,例如在无线通信协议的辅助下(NFC或等价物)。
根据一个实施例,要注意的是处理设备200可直接和卡120通信。这就是图2中例子的情况,其中通信接口1202使得能够直接和设备200通信。要注意的是如果两个通信接口1201和1202被整合,使输入设备100的读卡器130无效,从而使得在没有接口时卡120能够和处理设备200通信。可提供其它方法以区分与接口1201和1202中的每个之间的通信。
作为变体,处理设备200可与输入设备100通信,然后将信息和请求提供给卡120。这种情况下,卡120可配备一个单独的接口1201来和读卡器130进行通信。
图5阐明了在处理设备200直接和卡120通信的情况下的阶段P3。
在传统的消息交换期间,初始化这两个实体之间的通信,在图中由步骤E330’表示。
接下来的步骤E332到E334和图3中同样的附图标记的步骤类似。
当然,所述在前的图3-5的三个例子中提到的不同实施例可适用于那些例子中的每个,例如用于修改部件1204、存储器1203的性质、通信接口1201和1202,用存储器模块取代微处理器卡120,该存储器模块具有能够和读卡器30和210通信的微控制器等。
前面的例子只是本发明的实施例,本发明不限于此。
尤其,虽然本发明在上面已经用对数字签名服务的访问来阐述,但是它同样也可适用于对已存储数据或其它资源的访问。
例如个人数据(生物测定学的,照片或身份证明)被存储在电子护照中,但是它仅在认证之后才是可访问的。使用移动电话时,通过输入PIN码来生成包含经验证的/错误的PIN码状态的有限的有效性结构STRUCT,通过根据本发明的机制,用户可预授权对那些数据的访问。
因此海关关员可通过在有效性的持续时间DV期间的预授权来访问个人数据。
Claims (15)
1.一种用于控制通过认证保护的被保护功能的执行的方法,该方法包含下述步骤:
建立存储器模块与输入设备之间的通信;
由用户使用与存储器模块连接的输入设备输入个人数据;
在与输入设备通信的所述存储器模块上的数据结构中存储从由用户通过输入设备输入的个人数据导出的个人认证数据,并且将被配置为在经过了预定量的时间时变得无效的持续时间有效性参数与所述数据结构相关联;
在存储器模块与和输入设备不同的处理设备之间建立通信,所述处理设备与存储器模块以无接触通信的方式通信;
通过处理设备检验与处理设备通信的存储器模块中的数据结构的持续时间有效性参数的有效性;
在成功检验了与处理设备连接的存储器模块中的数据结构的持续时间有效性参数的有效性时,使用从输入的个人数据导出的并存储在该数据结构中的个人认证数据基于输入的个人数据来认证用户;
在基于输入的个人数据成功认证了用户时,生成对于执行被保护功能的授权并且执行被保护功能;以及
在基于输入的个人数据没有成功认证用户时,生成对于执行被保护功能的拒绝;
其中,在被保护功能的控制与执行期间,存储所述数据结构的存储器模块与输入设备物理链接,
其中,存储个人认证数据的有限的有效性结构被存储在由主电源供电的易失性存储器中,和个人认证数据相关联的有效性的持续时间从易失性存储器的主电源被切断时起计算,从而在有效性的持续时间期满时自动从所述易失性存储器中删除所述有限的有效性结构。
2.根据权利要求1的方法,其中授权或拒绝的生成依赖于使用参考数据对个人输入数据的检验,检验的结果通过使用存储在已存储的具有时间有限的有效性的结构中的所述个人认证数据来得到。
3.根据权利要求1的方法,包括将个人输入数据和预记录在存储器模块中的个人数据进行比较的步骤,且存储在具有时间有限的有效性的结构中的个人认证数据包含比较的结果。
4.依据权利要求1的方法,其中存储在具有时间有限的有效性的结构中的个人认证数据包括个人输入数据,且它们的使用包含将存储在具有时间有限的有效性的结构中的个人认证数据和预记录的个人数据相比较的子步骤。
5.根据权利要求1的方法,其中,和个人认证数据相关联的有效性的持续时间通过由内部电源对存储所述有限的有效性结构的易失性存储器的暂时充电来计算。
6.依据权利要求5的方法,其中对易失性存储器的暂时充电是通过电容器的放电来进行的。
7.依据权利要求1的方法,其中和个人认证数据相关联的有效性的持续时间通过切断了其主电源时易失性存储器的消失特性来计算。
8.依据权利要求1的方法,其中当接收到来自处理设备的消息时,被保护的功能是由存储具有时间有限的有效性的结构的微处理器模块执行的命令。
9.依据权利要求1的方法,其中存储具有时间有限的有效性的结构和它包含的个人认证数据的存储器模块是可移动的,且在输入时放置在输入设备中,在检验结构的有效性时和在使用有限的有效性个人认证数据时放置在处理设备中。
10.根据权利要求9的方法,其中存储具有时间有限的有效性的结构和个人认证数据的存储器模块是安全的微处理器卡。
11.根据权利要求1的方法,其中对来自处理设备的消息的处理生成响应,该响应包含至少一个依赖于已生成的授权或拒绝的响应值。
12.根据权利要求1的方法,其中输入设备是用户的移动电话。
13.一种包括用于执行指令的微处理器和至少一个存储器的存储器模块,该存储器模块被配置为:
在具有时间有限的有效性的数据结构中存储个人认证数据,该个人认证数据是从由用户输入并且从存储器模块所链接的输入设备接收的个人数据导出的;以及
在使用存储在该数据结构内的个人认证数据之前,检验与该数据结构相关联的持续时间有效性参数的有效性,从而在基于持续时间有效性参数而确定由于经过了预定量的时间而导致该数据结构为无效的情况下,产生对于执行通过认证保护的并且在从与输入设备不同的处理设备接收的消息的处理中实现的被保护功能的拒绝,
其中,在被保护功能的控制与执行期间,存储所述数据结构的存储器模块与输入设备物理链接,并且处理设备与存储器模块以无接触通信的方式通信,
其中,存储个人认证数据的有限的有效性结构被存储在由主电源供电的易失性存储器中,和个人认证数据相关联的有效性的持续时间从易失性存储器的主电源被切断时起计算,从而在有效性的持续时间期满时自动从所述易失性存储器中删除所述有限的有效性结构。
14.一种用于控制被用户认证保护的被保护功能的执行的系统,包括:
输入设备,用于由用户输入个人数据;
处理设备,不同于输入设备且适用于在用户的操作下生成要处理的消息;
存储器模块,包括微处理器和存储器,该存储器模块被配置用来在个人输入数据的基础上认证用户,从而产生i)对于执行在所述消息的处理中实现的被保护功能的授权,以及ii)对于执行被保护功能的拒绝中的一者;
其中存储器模块被配置为:
当存储器模块连接至输入设备时,在存储器中生成并存储从通过输入设备输入的个人数据导出的个人认证数据;
将个人认证数据与被配置为在经过了预定量的时间时变得无效的持续时间有效性参数相关联;以及
当存储器模块连接至处理设备时,依赖于相关联的持续时间有效性参数的有效性,使用存储的个人认证数据来产生所述授权和所述拒绝中的一者,
其中,当与处理设备连接时并且在接收到来自处理设备的对于执行被保护功能的授权的请求时,存储器模块在访问存储在存储器中的个人认证数据之前鉴于相关联的持续时间有效性参数来检验持续时间有效性参数,使得在由于经过了预定量的时间而导致持续时间有效性参数无效的情况下,拒绝对于实施被保护功能的授权,
其中,存储该数据结构的存储器模块在被保护功能的控制与执行期间与输入设备物理链接,并且所述处理设备与所述存储器模块以无接触通信的方式通信,
其中,存储个人认证数据的有限的有效性结构被存储在由主电源供电的易失性存储器中,和个人认证数据相关联的有效性的持续时间从易失性存储器的主电源被切断时起计算,从而在有效性的持续时间期满时自动从所述易失性存储器中删除所述有限的有效性结构。
15.一种电子实体,包括:
通信接口,用于接收用户输入的个人数据并且从与通信接口以无接触通信的方式通信的处理设备接收要处理的消息,
存储器,它在数据结构中存储从通过通信接口接收的个人数据导出的个人认证数据,所述数据结构与持续时间有效性参数相关联;
用于限定存储个人认证数据的数据结构的有效性使得与该数据结构相关联的持续时间有效性参数在经过了预定量的时间时表现为无效的部件;和
用于在访问存储在该数据结构内的个人认证数据之前,检验该数据结构的持续时间有效性参数的有效性,从而在由于经过了预定量的时间而导致该数据结构被确定为无效的情况下,产生对于执行通过认证保护的并且在所述消息的处理中实现的被保护功能的拒绝的部件,
其中,存储该数据结构的存储器部件被配置为在被保护功能的控制与执行期间与输入设备物理链接,
其中,存储个人认证数据的有限的有效性结构被存储在由主电源供电的易失性存储器中,和个人认证数据相关联的有效性的持续时间从易失性存储器的主电源被切断时起计算,从而在有效性的持续时间期满时自动从所述易失性存储器中删除所述有限的有效性结构。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| FR1058771A FR2966620B1 (fr) | 2010-10-26 | 2010-10-26 | Procede et systeme de controle de l'execution d'une fonction protegee par authentification d'un utilisateur, notamment pour l'acces a une ressource |
| FR1058771 | 2010-10-26 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102546169A CN102546169A (zh) | 2012-07-04 |
| CN102546169B true CN102546169B (zh) | 2018-03-27 |
Family
ID=43971144
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201110404170.2A Active CN102546169B (zh) | 2010-10-26 | 2011-10-26 | 用于控制被用户认证保护的功能的执行的方法和系统 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US8931080B2 (zh) |
| EP (1) | EP2447880A1 (zh) |
| JP (1) | JP2012094146A (zh) |
| CN (1) | CN102546169B (zh) |
| BR (1) | BRPI1105431A2 (zh) |
| FR (1) | FR2966620B1 (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB2517732A (en) * | 2013-08-29 | 2015-03-04 | Sim & Pin Ltd | System for accessing data from multiple devices |
| US20150100348A1 (en) | 2013-10-08 | 2015-04-09 | Ims Health Incorporated | Secure Method for Health Record Transmission to Emergency Service Personnel |
| US9645757B2 (en) * | 2015-03-23 | 2017-05-09 | International Business Machines Corporation | Computer memory data security |
| CN209312029U (zh) | 2017-06-04 | 2019-08-27 | 苹果公司 | 电子装置 |
| JP7155859B2 (ja) * | 2018-07-04 | 2022-10-19 | 凸版印刷株式会社 | 認証装置、認証システム、および、認証方法 |
| EP4075360A1 (en) * | 2021-04-15 | 2022-10-19 | Thales DIS France SA | Method for controlling a smart card |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2199992A1 (en) * | 2008-12-19 | 2010-06-23 | Gemalto SA | Secure activation before contactless banking smart card transaction |
| CN101803331A (zh) * | 2007-09-12 | 2010-08-11 | Abb技术有限公司 | 用于以安全的方式来访问设备的方法和系统 |
Family Cites Families (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPS62137692A (ja) * | 1985-12-11 | 1987-06-20 | Hitachi Ltd | 個人識別カ−ド |
| US8015597B2 (en) * | 1995-10-02 | 2011-09-06 | Corestreet, Ltd. | Disseminating additional data used for controlling access |
| US6405369B1 (en) * | 1996-03-18 | 2002-06-11 | News Datacom Limited | Smart card chaining in pay television systems |
| JP2000105788A (ja) * | 1998-09-29 | 2000-04-11 | Toshiba Corp | 携帯可能電子装置と保護方法 |
| JP2000148962A (ja) * | 1998-11-13 | 2000-05-30 | Nippon Telegr & Teleph Corp <Ntt> | Icカード所有者認証方法及びプログラムを記録した記録媒体並びに個人識別情報事前入力機能付icカード及びicカードシステム装置 |
| US6735575B1 (en) * | 1999-06-02 | 2004-05-11 | Kara Technology Incorporated | Verifying the authenticity of printed documents |
| JP2001297198A (ja) * | 2000-04-14 | 2001-10-26 | Sanwa Bank Ltd | 携帯電話に組み込まれる金融処理システム |
| JP2003337928A (ja) * | 2002-05-21 | 2003-11-28 | Ntt Data Corp | Icタグシステム |
| JP2004348345A (ja) * | 2003-05-21 | 2004-12-09 | Toshiba Corp | Icカードとicカード処理システム |
| US7697691B2 (en) * | 2004-07-14 | 2010-04-13 | Intel Corporation | Method of delivering Direct Proof private keys to devices using an on-line service |
| EP2124164A3 (en) * | 2005-10-18 | 2010-04-07 | Intertrust Technologies Corporation | Digital rights management engine system and method |
| FR2906905B1 (fr) * | 2006-10-06 | 2008-12-19 | Thales Sa | Procede et dispositif de securisation des commutations entre plusieurs systemes informatiques |
| GB2449510A (en) * | 2007-05-24 | 2008-11-26 | Asim Bucuk | A method and system for the creation, management and authentication of links between people, entities, objects and devices |
| JP2009053808A (ja) * | 2007-08-24 | 2009-03-12 | Fuji Xerox Co Ltd | 画像形成装置と認証情報管理方法およびプログラム |
| JP4640451B2 (ja) * | 2008-06-06 | 2011-03-02 | ソニー株式会社 | 接触・非接触複合icカード、通信方法、プログラム及び通信システム |
-
2010
- 2010-10-26 FR FR1058771A patent/FR2966620B1/fr active Active
-
2011
- 2011-10-25 JP JP2011233880A patent/JP2012094146A/ja active Pending
- 2011-10-25 EP EP11186536A patent/EP2447880A1/fr not_active Ceased
- 2011-10-25 BR BRPI1105431 patent/BRPI1105431A2/pt not_active Application Discontinuation
- 2011-10-25 US US13/280,385 patent/US8931080B2/en active Active
- 2011-10-26 CN CN201110404170.2A patent/CN102546169B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101803331A (zh) * | 2007-09-12 | 2010-08-11 | Abb技术有限公司 | 用于以安全的方式来访问设备的方法和系统 |
| EP2199992A1 (en) * | 2008-12-19 | 2010-06-23 | Gemalto SA | Secure activation before contactless banking smart card transaction |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102546169A (zh) | 2012-07-04 |
| JP2012094146A (ja) | 2012-05-17 |
| BRPI1105431A2 (pt) | 2013-02-26 |
| US8931080B2 (en) | 2015-01-06 |
| EP2447880A1 (fr) | 2012-05-02 |
| US20120102565A1 (en) | 2012-04-26 |
| FR2966620B1 (fr) | 2012-12-28 |
| FR2966620A1 (fr) | 2012-04-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9811822B2 (en) | Method and device for execution control for protected internal functions and applications embedded in microcircuit cards for mobile terminals | |
| CN102546169B (zh) | 用于控制被用户认证保护的功能的执行的方法和系统 | |
| KR101330867B1 (ko) | 결제 디바이스에 대한 상호인증 방법 | |
| EP3807831B1 (en) | Method and system to create a trusted record or message and usage for a secure activation or strong customer authentication | |
| RU2537795C2 (ru) | Доверенный дистанционный удостоверяющий агент (traa) | |
| US20080180212A1 (en) | Settlement terminal and ic card | |
| US20160283938A1 (en) | Validating card not present financial transactions made over the Internet with e-Commerce websites using specified distinctive identifiers of local/mobile computing devices involved in the transactions | |
| US8839380B2 (en) | Method for the temporary personalization of a communication device | |
| CN105900100A (zh) | 用于身份验证的设备和方法 | |
| CN103907328A (zh) | 基于移动设备的认证 | |
| KR101607935B1 (ko) | 지문인식을 이용한 모바일 지불 시스템 및 그 방법 | |
| EP2175428B1 (en) | Semiconductor element, biometric authentication method and biometric authentication system | |
| Cheng et al. | A secure and practical key management mechanism for NFC read-write mode | |
| WO2021133477A1 (en) | System and method for detecting fraudulent bank transactions | |
| TWI534711B (zh) | 智慧卡及其存取方法 | |
| EP2590389A1 (en) | Mobile communication terminal, method for activating same, and network communication system | |
| US8151111B2 (en) | Processing device constituting an authentication system, authentication system, and the operation method thereof | |
| KR20210003485A (ko) | 얼굴 인식 기반의 에이티엠 금융 거래 방법 및 그 장치 | |
| EP2985712A1 (en) | Application encryption processing method, apparatus, and terminal | |
| KR102348823B1 (ko) | 사용자가 소지한 금융 카드 기반 본인 인증 시스템 및 방법 | |
| CN106778207A (zh) | 克隆卡的识别方法和装置 | |
| US10555173B2 (en) | Pairing authentication method for electronic transaction device | |
| US10909530B2 (en) | Authentication method | |
| KR20150092864A (ko) | 금융거래 보안강화 방법 및 금융거래 처리 시스템 | |
| KR101809550B1 (ko) | 사용자 인증 시스템 및 인증 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: French Levallois Perret Applicant after: Mia Eddie France Address before: French Levallois Perret Applicant before: Oberthur Card Syst SA |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |