CN1195275C - 安全设备 - Google Patents
安全设备 Download PDFInfo
- Publication number
- CN1195275C CN1195275C CNB008141908A CN00814190A CN1195275C CN 1195275 C CN1195275 C CN 1195275C CN B008141908 A CNB008141908 A CN B008141908A CN 00814190 A CN00814190 A CN 00814190A CN 1195275 C CN1195275 C CN 1195275C
- Authority
- CN
- China
- Prior art keywords
- unit
- lock cell
- key
- numerical value
- safety equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/32—User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/34—User authentication involving the use of external additional devices, e.g. dongles or smart cards
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07C—TIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
- G07C9/00—Individual registration on entry or exit
- G07C9/00174—Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
- G07C9/00563—Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys using personal physical data of the operator, e.g. finger prints, retinal images, voicepatterns
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07C—TIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
- G07C9/00—Individual registration on entry or exit
- G07C9/20—Individual registration on entry or exit involving the use of a pass
- G07C9/22—Individual registration on entry or exit involving the use of a pass in combination with an identity check of the pass holder
- G07C9/23—Individual registration on entry or exit involving the use of a pass in combination with an identity check of the pass holder by means of a password
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07C—TIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
- G07C9/00—Individual registration on entry or exit
- G07C9/20—Individual registration on entry or exit involving the use of a pass
- G07C9/22—Individual registration on entry or exit involving the use of a pass in combination with an identity check of the pass holder
- G07C9/25—Individual registration on entry or exit involving the use of a pass in combination with an identity check of the pass holder using biometric data, e.g. fingerprints, iris scans or voice recognition
- G07C9/257—Individual registration on entry or exit involving the use of a pass in combination with an identity check of the pass holder using biometric data, e.g. fingerprints, iris scans or voice recognition electronically
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07C—TIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
- G07C9/00—Individual registration on entry or exit
- G07C9/20—Individual registration on entry or exit involving the use of a pass
- G07C9/22—Individual registration on entry or exit involving the use of a pass in combination with an identity check of the pass holder
- G07C9/25—Individual registration on entry or exit involving the use of a pass in combination with an identity check of the pass holder using biometric data, e.g. fingerprints, iris scans or voice recognition
- G07C9/26—Individual registration on entry or exit involving the use of a pass in combination with an identity check of the pass holder using biometric data, e.g. fingerprints, iris scans or voice recognition using a biometric sensor integrated in the pass
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07C—TIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
- G07C9/00—Individual registration on entry or exit
- G07C9/20—Individual registration on entry or exit involving the use of a pass
- G07C9/28—Individual registration on entry or exit involving the use of a pass the pass enabling tracking or indicating presence
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0861—Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07C—TIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
- G07C9/00—Individual registration on entry or exit
- G07C9/00174—Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
- G07C9/00309—Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated with bidirectional data transmission between data carrier and locks
- G07C2009/00388—Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated with bidirectional data transmission between data carrier and locks code verification carried out according to the challenge/response method
- G07C2009/00396—Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated with bidirectional data transmission between data carrier and locks code verification carried out according to the challenge/response method starting with prompting the keyless data carrier
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07C—TIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
- G07C9/00—Individual registration on entry or exit
- G07C9/00174—Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
- G07C9/00309—Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated with bidirectional data transmission between data carrier and locks
- G07C2009/00388—Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated with bidirectional data transmission between data carrier and locks code verification carried out according to the challenge/response method
- G07C2009/00404—Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated with bidirectional data transmission between data carrier and locks code verification carried out according to the challenge/response method starting with prompting the lock
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07C—TIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
- G07C9/00—Individual registration on entry or exit
- G07C9/00174—Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
- G07C2009/00753—Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated by active electrical keys
- G07C2009/00769—Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated by active electrical keys with data transmission performed by wireless means
- G07C2009/00785—Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated by active electrical keys with data transmission performed by wireless means by light
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07C—TIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
- G07C9/00—Individual registration on entry or exit
- G07C9/00174—Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
- G07C2009/00753—Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated by active electrical keys
- G07C2009/00769—Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated by active electrical keys with data transmission performed by wireless means
- G07C2009/00793—Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated by active electrical keys with data transmission performed by wireless means by Hertzian waves
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07C—TIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
- G07C2209/00—Indexing scheme relating to groups G07C9/00 - G07C9/38
- G07C2209/08—With time considerations, e.g. temporary activation, valid time window or time limitations
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- Human Computer Interaction (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Software Systems (AREA)
- Health & Medical Sciences (AREA)
- Biomedical Technology (AREA)
- General Health & Medical Sciences (AREA)
- Lock And Its Accessories (AREA)
- Mobile Radio Communication Systems (AREA)
- Storage Device Security (AREA)
Abstract
本发明涉及一种用于确保访问一个单元或一个单元中信息的安全设备(10),该设备主要包括密钥元件(11)和锁定单元(12)。密钥单元设置在(11)距锁定单元一段距离的位置,该密钥单元包括输入单元(13)和通信单元(14)。在锁定单元接受锁定/开锁之前在密钥单元(11)中执行用户的识别。
Description
技术领域:
本发明涉及一种用于确保一个单元或一组信息安全的安全系统。
背景技术:
电子领域的日益迅速的发展已带来更多尺寸减小和具有移动性的电气设备。移动性本身不仅会导致设备本身而且在设备中存储的信息都会对窃贼更具吸引力。
已知的安全设备提供利用硬件的锁定或提供结合初级输入信号软件的锁定。
在硬件锁定的情况下,使用第一输入单元,例如指纹输入、(生物测量学传感器),结合或不结合另一个单元的pin码,例如所谓的智能卡等等。
在软件情形中,使用验证软件,该软件控制经外部输入单元提供的正确输入(pin码、指纹等等)。通常,软件安装在存储单元,例如易于访问的硬盘中。
US 5,668,876涉及通过提供改进的寻呼机授权用户使用业务,该授权根据询问码(challenge code)、输入的个人识别号码和内部密钥计算对所发送询问码的唯一的响应码。该响应码输入到简单的终端,例如电话机,并且如果该唯一的响应码被接受,则用户可以访问想要的业务,例如无现金交易或长途电话业务。
WO 00/34554描述了一种公共密钥密码体制中的E1-Gamal算法。在服务器产生秘密的新随机数,利用对称算法通过使用各个用户识别密钥加密的用户专用密钥保存在服务器可以访问的存储器中,该各个用户识别密钥通过打乱(hash)用户的各个通行字短语(passphrase)或生物测量学信息(指纹、声波纹、视网膜扫描或面部扫描)来确定,且当需要时经由并不安全的网络把新随机数和加密的专用密钥传送到用户设备。为了防止攻击者发现随机数或利用前面在块重放攻击(block replay attack)时使用的随机数,采用一种具有询问响应协议性质的互换,该协议将至少一个秘密的新随机数从服务器发送到用户设备,同时为服务器证明该用户。在这种互换中,第一随机数分配给用户用来签署文件,第二随机数由用户用于形成第一和第二随机数共同的杂凑(hashing)的签名以作为询问响应协议的一部分,该第一和第二随机数以加密形式连同一个新值、服务器对第一、第二随机数和新值的共同的杂凑的签名一起提供给用户设备。
发明内容:
本发明的目的在于提供一种非常可靠和安全的装置,用于防止访问设备和/或存储在其中的信息。
本发明的另一个目的在于提供一种可以结合不同单元的装置,其用于锁定和身份输入。
根据本发明,相比较现有技术,其中这种安排的一个优点在于(如果应用于计算机),不需要改变计算机的操作系统或BIOS。事实是这种系统很容易强制执行,即使不具备本领域更多的知识。
此外,根据本发明锁定单元集成到要保护的设备中,这意味着完全安全性,此外不需要改变正常的设备输入输出、端口等等。
这些目的可以通过用于安全访问一个单元或一个单元中信息的安全设备来实现所述安全设备主要包括密钥单元和锁定单元,所述密钥单元被配置成与所述锁定单元通信,且该密钥单元包括输入单元、通信单元和用于在所述安全设备接受所述锁定单元的锁定/开锁之前在密钥单元中验证用户的装置,其中,所述密钥单元被配置成与锁定单元通信;根据由所述密钥单元进行的验证,通过向所述锁定单元发送一个请求来启动认可序列,该锁定单元被配置成通过发送可变的、基本上随机产生的消息来响应,并被配置成同时利用存储在所述锁定单元中的受保护密钥通过一种算法来计算一个数值并存储该数值,其中,所述数值从已传送的响应消息中得到;所述密钥单元被配置成利用根据已接收消息、通过一个算法使用存储在所述密钥单元中的受保护密钥计算的数值来响应,所述算法和受保护的密钥与锁定单元中的相同;所述锁定单元被配置成如果接收到包含一个数值的消息,则认可验证,该数值与锁定单元先前计算的数值相等。
本发明还提供一种配备有上述的用于确保访问一个单元或一个单元中信息的安全设备的移动通信装置,所述安全设备是连接到所述通信装置的通信端口的外部设备,该安全设备配有连接到所述通信装置的生物测量学传感器,由此该通信装置组成密钥单元和/或锁定单元中的一个,而且在锁定单元接受锁定/开锁之前在密钥单元中执行用户识别。
本发明还提供一种在确保访问一个单元或一个单元中信息的安全设备中用于验证的方法,所述安全设备基本上包括密钥单元和锁定单元,所述密钥单元被配置成与锁定单元进行通信,该密钥单元包括输入单元和通信单元,以及用于在所述安全设备接受所述锁定单元的锁定/开锁之前在密钥单元中验证用户的装置,该方法包括下列步骤:
a.根据用户的启动,由所述密钥单元启动验证;
b.根据由所述密钥单元进行的验证,由该密钥单元通过发送请求到锁定单元来启动认可;
c.锁定单元利用可变的,基本上随机产生的消息来响应;
d.同时通过专用算法利用存储在所述锁定单元中的受保护密钥计算一个数值,并存储该数值以备后用;
e.所述密钥单元利用根据所接收的消息、使用所述专用算法和锁定单元中所使用的密钥计算的数值来响应;和
f.如果锁定单元接收包含一个数值的消息,则认可验证,该数值与步骤d期间的传输所计算的数值相同。
附图说明:
在下文中,本发明将参照根据附图的实施例进行描述,其中:
图1表示根据本发明设备的主要部件的方框图;
图2表示根据本发明的设备中两个单元之间通信的图;
图3表示在一个计算机装置中实现根据本发明设备的第一实施例的方框图;
图4是装备有根据本发明设备的移动通信单元的示意侧视图;和
图5是表示本发明另一个方面的方框图。
具体实施方式:
如图1示意性示出的根据本发明的装置10主要由表示为11和12的两个单元组成。
第一单元包括用于输入一身份的传感器或密钥部分11,其执行用户的识别。密钥部分11可以分成两个单元:输入单元13和密钥单元14,该两个单元最好但不是必须集成到一个物理单元11中。
输入单元13最好可包括任何类型的设备,最好通过该输入单元能输入唯一的识别信息。一种这样的设备可能包括生物测量学传感器、PIN码读出器、话音检测装置、眼睛检测装置、读卡器等等,这些都是本领域技术人员所熟知的。
第二部分包括锁定单元12,保护所讨论的对象15。
密钥单元14启动密钥部分11和锁定部分12之间唯一的通信过程。本发明的唯一性在于用户的识别直接在密钥部分11执行而不发生在锁定部分。
在用户注册之后,可以打开相应的锁定。存在两种可能性,一方面在某一预选的时间周期内打开此锁定,另一方面永久地打开此锁定(如果人工选择的话),但是安全性较差。如果该锁定已经在特定时间周期内打开,则当时间经过时请求用户再次识别他自己。
在该操作下输入身份,例如按手印到传感器上(FPS)、输入PIN码等等。如果通过该用户识别,则从密钥单元发送加密的电子消息到锁定单元,从而用户可使用锁定的资源或对象15(例如计算机的硬盘)。
利用单元之间的安全传递方法确保不可能发送错误的消息到锁定单元以实现对锁定单元的访问。
外部单元、密钥单元14装备有电子设备、主要包括具有内置和被充分保护的程序的微处理器16和数据存储器。
后者是预防措施,使得能够访问该程序或用于读取或复制的存储的密钥信息。
最好,密钥单元14中存储有一被允许的用户的清单。在本地执行这些寄存器的维护,例如增加新批准的用户、删除用户等等而不必与其它的单元通信。
如果对象应当受到保护,则密钥单元在每一时刻确定其应当打开或锁定。该决定通常根据操作员/用户的决定,即密钥由允许的用户启动。锁定也可以在一段预定时间后当启动锁定单元时发生,如果操作员不管请求而在特定时间内不识别其自身的话。
密钥单元能完全打开且不必防止侵犯,因为计算机和数据存储不能从处理器之外外部地读出(处理器中的安全功能)。
例如经由串联与密钥单元通信的锁定单元12安装在要锁定的对象15上或在对象15中受到保护。每次绕过正常的通过密钥部分11的注册过程来访问锁定对象的企图都能被锁定单元发现。可能启动备选的步骤,即更长的时间段内不工作、警告消息、擦除硬盘/存储单元上的数据等等。
密钥和锁定单元之间的通信例如通过经由串联的数字编码信号执行。
此连接可能是异步的并且可能以比较高的传递速率发生。该通信可以通过专用的锁定协议发生,也可以包括已知的奇偶性和时间控制。
如前所述,根据本发明,安全系统的目的在于防止未授权访问例如计算机,或者更具体地说访问某一硬盘和存储在其中的信息。为了获得几乎充分的安全性,加密协议可被用于密钥部分11和锁定部分12之间的通信。成功侵犯的可能性取决于随机数的长度、密钥的受保护长度和响应长度。可以轻易地达到少于例如10-18,这实际上意味着它对于未授权访问是安全的。
锁定协议是确保传输的计算机完整性的通信过程,并保证不会发生各单元之间数据交换的未经授权的侵犯。如果信息交换正确地执行,则被锁定的对象被打开或保持打开。如果检测到任何错误差,则锁定该对象。
为了检验验证,可以使用以下的信息交换(参见图2):
a.密钥单元或密钥代码14通过发送一请求到锁定单元开始检验序列;
b.锁定单元以可变的随机产生的消息响应;
c.同时采用专用算法并利用受保护密钥计算一个数值。存储该完全来源于所发送的响应消息的数值以备后用;
d.密钥单元以利用同一算法和用于锁定单元中的密钥从所接收消息计算出的数值来响应。此数值可以在响应中不变地使用或者以锁定单元可以解释的方式编码。如果锁定单元接收一消息,其包括一个与在步骤c期间传输时计算的数值相同的数值,则认为证实了该验证。
如果信息交换正确地关闭,则根据上述的步骤a-d分别开启锁定的对象或保持其打开。如果响应没有同意,则对象保持锁定。
密钥和各锁定单元之间以及各锁定单元之间的隐藏的密钥代码可能不同。这是可能的,因为利用对于所连接的锁定单元特殊的附加信息分别来启动密钥单元。这使锁定单元能够返回对锁定单元的正确的响应(好象它访问锁定单元的密钥代码)。
在最优选的实施例中,生物测量学传感器被用作输入单元。
生物测量学传感器包括识别在入口的人、计算机访问等等的重要优点。在这些优点之中,可以提到速度,识别的高度安全性以及最主要的是不会产生忘记落入他人手中的口令的问题。结合本发明,传感器部分执行用户指纹的生物测量学识别。当用户指纹的识别通过时,从密钥单元发送加密信息到锁定单元,由此用户可以获得锁定的资源。
具有被允许指纹的寄存器处于密钥单元中。维护此寄存器,即增加新的批准指纹、删除指纹等等均本地执行而不需要与其它单元通信。
传感器单元可以装备有指示装置,例如两个发光二极管,一个红色一个绿色,用于方便指纹注册和注销。该二极管指示该锁定是闭合或打开,以及指纹注册/注销的状态。
在下文中给出了许多非限制性的实例,它们阐明了本发明的不同方面。
第一个非限制性的实例如图3所示,其涉及配有指纹传感器31或生物测量学传感器的计算机装置中的硬盘单元30(或另一个存储器单元或存储单元),即附加单元(add-on unit)。“附加”是根据本发明的锁定系统的许多应用中的一个。附加单元指的是一个标准单元,例如硬盘,该硬盘已经配有锁定单元并经由专用电子设备连接到计算机装置(等等),该标准单元位于例如控制器板32上(将卡插入计算机中,例如ISA、PCI等等)。该电子设备包括密钥单元以及经由所述数据总线与计算机中软件通信的应用。传感器31或者替代的其它识别设备直接或经由例如IR(红外线)或无线(蓝牙)等等连接到板32。
在此优选实施例中,标准硬盘改变成与根据本发明的锁定装置共同工作。这意味着它配有内部安装的锁定系统并通过硬件防止硬盘访问数据。一种适当的过程取决于单元(硬盘)结构。
连接到该单元与连接到普通的硬盘相同,即信号电缆和从计算机电源设备馈送的电源。此外还提供用于锁定单元与控制器通信的连接。
根据本发明,锁定功能分别通过密钥单元和锁定单元获得。指纹传感器通过电缆和开关连接到控制器单元的接口,密钥单元应用于该接口。锁定单元设置在硬盘上。
除锁定功能外,用于与计算机程序通信的电子设备设置在锁定单元中。该程序可能预先发出关于硬盘锁定的警告。此外,该锁定可以由软件执行。
为了重启计算机,使用一通常安装在正面的开关。假设电源电压接通,则即使计算机关机时也总能提供电压(Vin=+5V)。当打开开关时,提供给母板一个信号并启动计算机。通过利用指纹传感器,开关可以断开连接,且触点两端的Vin改为连接到控制器卡,并从这里进一步连接到指纹传感器。通过这种方式指纹传感器总是接通。批准的登录从控制器卡发一个信号到母板以代替常规的按下按钮。
锁定可能以多种方式启动:
当经过一定时间时(例如在非法操作的情况下)自动启动;
当用户经由锁定系统锁定时;
当用户利用一监视过程锁定时(如下所述)。
开锁通常可以一种方式执行,即通过提供正确的指纹。
当硬盘必须开锁时如果已经注册指纹的人不在,则存在一种可能性,即系统管理员或负责安全性的人员通过利用特殊的代码开锁该单元。这必须是一种足够复杂的代码以便几乎防止任何访问。
试图通过将假信号提供给硬盘来强制锁定可能会导致锁定硬盘以禁止进一步的访问尝试,这一禁止例如发生在特定的时间段内或直到负责人员复位锁定功能为止。
指纹传感器还可以用其它的锁定装置例如智能卡(smart card)来实现。
除了前面列举的功能,所述附加单元完全与标准硬盘兼容。
至于附加单元的安装,可能需要专用软件。这将通过控制器卡监控锁定功能并为用户指示状态。特别是,必须在盘被锁定之前预先适时地警告用户。利用此程序,也可能直接锁定该单元。该程序最好总是活动的,硬盘的状态在系统文件格(system tray)(活动性字段)(activity field)示出,在此也可以给出不同的命令。
根据本发明,该系统的其它应用领域是″笔记本/膝上型电脑″,即便携式计算机,在其中使各种存储介质安全,例如HDD、FDD、CD、RAM、ROM、闪存、包括所有组件例如BIOS的主控制器板、用于控制数据介质的控制器单元等等。
在固定的计算机/服务器中,可以对用于网络管理的网卡等上的组件进行保护。
该系统可以设置成与作为代码提供者单元的移动电话组合的遥控。非循环码的数据代码发生器用于访问计算机、告警系统、汽车锁、通道系统等等。
可以发生经由电话系统、GSM、WAP等等的事务码。根据本发明的单元开启此单元然后有可能选择动作类型。
在将本发明经由例如计算机用于银行交易等的应用中,可能提供给客户根据本发明的传感器/密钥单元。该客户单元配有嵌入的唯一pin码和专用算法。该pin码可能是用于信用或银行卡应用中的类型,但更加先进一些。相同的pin码还可以保存在由客户使用的密钥单元中。pin码可能通过银行的专用终端改变。相同的唯一码可与客户帐号相联系。
在银行中,当收到交易请求时,通过专用的计算单元产生一个响应,这证明来自正确密钥单元的请求确实属于正确的帐户持有者。
该功能可以根据下列步骤更详细地描述:
-客户通过安装在他的计算机中的计算机程序联系银行并输入他的帐号;
-该银行发出包括识别部分,锁定数据等等的答复;
-该客户选择交易类型并填入金额等等和验证该交易;
-该程序根据上述描述传送一锁定事务,以及传送包括例如金额、帐号、时间戳记等的交易数据;
-只有锁定单元从密钥单元接收到正确的标识时才接收答复;该响应可以包括身份、可变的锁定/开启数据以及交易数据,并将该响应发送到银行。同时验证对交易数据(例如总金额)和交易执行者的证明。
-如前所述,银行使用算法以及客户的pin码用于验证该响应,如果能催促正确的响应关于输入的响应和交易数据,则确保生物测量学控制之后什么也不改变,于是接受该交易并通知客户。
如果执行贸易或交易,例如通过互联网,则可提供给用户配有例如生物测量学传感器等的密钥单元。该用户的密钥单元配有校验和等形式的唯一标识。相同的唯一标识可以与用户的银行帐号相关联。银行配置有控制装置,用于以上述同样的方式验证正确的交易请求。在这种情况下,验证和交易首先由银行然后到卖方以上述同样的方式执行。
在另一个实例中,本发明用于一种移动单元,例如移动电话,如图4所示。安全设备40包括两个彼此相对的枢轴部分41和42(根据此实例),其中部分42包括连接器43,用于连接到电话机44的通信端口(未示出)。该设备包括传感器45,例如生物测量学传感器等,和设置在第二部分41上的相应电子设备和存储器。该电子设备可由电话机电源供电。连接部分连接到电话机,且传感器部分41连接到电话机的后部,例如电池上。当连接时,根据上面的描述,电话机可用作控制或密钥单元。
只有经由传感器验证的正确的人使用电话机时才可以访问该电话机,该电话机也能用于控制其它单元,例如通过电话网付费、遥控、打开房门、访问计算机(例如经IR接口)等等。在这种情况下锁定单元可以在电话机内实现。
其它使用本发明的应用实例包括:
-无线附加(add-on)(RFR),即存储器装置,例如配有生物测量学或转发器读卡器的硬盘。
-用于便携式设备(手持计算机)的锁定单元,只有某一转发器在附近时才操作。该转发器可以例如嵌入手表中。另外,该手表可能配有经由IR或RF与手持计算机通信的生物测量学传感器。
-该锁定设备可以设置在遥控装置中,用于保证只有一个经授权的用户可以访问被遥控的设备。
-当加密/解密,例如电子邮件或文件时,加密可以通过公共密钥执行而通过专用密钥解密,该专用密钥被验证关于利用生物测量学传感器的正确的人。
本发明不局限于使用一个密钥或锁定单元,而是使用多个密钥和锁定单元的组合,其中也可能发生一个或多个密钥/锁定单元的合作。图5的方框图示出这样一种设备,其中L1-L5表示锁定单元,K1和K2表示密钥单元。密钥单元,例如K1,可以设置用来打开许多锁定单元,例如L1-L4,而K2打开L4和L5。术语“打开”也指访问不同的资源和信息。各锁定单元之间及各锁定单元和密钥单元之间的通信可以经无线、互联网(或其它网络)、IR等等执行,最好根据上述的描述解密。
虽然只是说明和描述了本发明的优选实施例,但应当了解可以在所附权利要求书的范围内进行多种变形和修改。
Claims (13)
1.一种安全设备(10),用于通过验证用户来确保访问一个单元或一个单元中的信息,所述设备主要包括密钥单元(11)和锁定单元(12),所述密钥单元(11)被配置成与所述锁定单元(12)通信,且该密钥单元包括输入单元(13)、通信单元(14)和用于在所述安全设备(10)接受所述锁定单元(12)的锁定/开锁之前在密钥单元(11)中验证用户的装置,其中
所述密钥单元(11)被配置成与锁定单元(12)通信;
根据由所述密钥单元(11)进行的验证,通过向所述锁定单元(12)发送一个请求来启动认可序列,该锁定单元(12)被配置成通过发送可变的、基本上随机产生的消息来响应,并被配置成同时利用存储在所述锁定单元(12)中的受保护密钥通过一种算法来计算一个数值并存储该数值,其中,所述数值从已传送的响应消息中得到;
所述密钥单元(11)被配置成利用根据已接收消息、通过一个算法使用存储在所述密钥单元(11)中的受保护密钥计算的数值来响应,所述算法和受保护的密钥与锁定单元(12)中的相同;
所述锁定单元(12)被配置成如果接收到包含一个数值的消息,则认可验证,该数值与锁定单元(12)先前计算的数值相等。
2.如权利要求1所述的安全设备,其特征在于:
所述单元是计算机、自动提款机、门锁、车门、遥控装置、移动通信设备、便携式计算机中的一个。
3.如权利要求1或2所述的安全设备,其特征在于:
所述输入单元(13)是生物测量学传感器、个人识别号码读出器、话音检测装置、眼睛检测装置、读卡器或移动电话机中的一个。
4.如权利要求1所述的安全设备,其特征在于:
用户身份保存在密钥单元(11)中。
5.如权利要求1所述的安全设备,其特征在于:
所述数值在响应中不变地被使用,或以锁定单元(12)能够解释的方式加密。
6.如权利要求1所述的安全设备,其特征在于:
所述锁定单元(12)设置在计算机单元中的存储器单元(30)中,
所述密钥单元(11)包括生物测量学传感器(31),以及
所述锁定单元(11)防止访问数据,并且它经由控制器单元(32)连接到计算机单元。
7.如权利要求6所述的安全设备,其特征在于:
所述控制器单元(32)是ISA卡和PCI卡中的一个。
8.如权利要求6或7所述的安全设备,其特征在于:
所述控制器单元(32)包括密钥单元(11)。
9.如权利要求6所述的安全设备,其特征在于:
所述传感器单元(31)被配置成经由控制器单元(32)启动所述计算机单元。
10.如权利要求6所述的安全设备,其特征在于:
所述锁定操作在一定时间经过后自动启动和/或由用户经由该安全设备和/或由用户利用安全程序启动。
11.一种配备有根据权利要求1所述的用于确保访问一个单元或一个单元中信息的安全设备(40)的移动通信装置(44),其特征在于:
所述安全设备(40)是连接到所述通信装置(44)的通信端口的外部设备,该安全设备(40)配有连接到所述通信装置(44)的生物测量学传感器(45),由此该通信装置(44)组成密钥单元和/或锁定单元中的一个,而且在锁定单元(12)接受锁定/开锁之前在密钥单元(11)中执行用户识别。
12.一种在确保访问一个单元或一个单元中信息的安全设备(10)中用于验证的方法,所述安全设备基本上包括密钥单元(11)和锁定单元(12),所述密钥单元(11)被配置成与锁定单元(12)进行通信,该密钥单元(11)包括输入单元(13)和通信单元(14),以及用于在所述安全设备(10)接受所述锁定单元(12)的锁定/开锁之前在密钥单元(11)中验证用户的装置,该方法包括下列步骤:
a.根据用户的启动,由所述密钥单元启动验证;
b.根据由所述密钥单元(11)进行的验证,由该密钥单元(11)通过发送请求到锁定单元(12)来启动认可;
c.锁定单元(12)利用可变的,基本上随机产生的消息来响应;
d.同时通过专用算法利用存储在所述锁定单元(12)中的受保护密钥计算一个数值,并存储该数值以备后用;
e.所述密钥单元(11)利用根据所接收的消息、使用所述专用算法和锁定单元(12)中所使用的密钥计算的数值来响应;和
f.如果锁定单元(12)接收包含一个数值的消息,则认可验证,该数值与步骤d期间的传输所计算的数值相同。
13.如权利要求12所述的方法,其特征在于:
所述数值完全从所述响应消息中得到。
Applications Claiming Priority (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US15439599P | 1999-09-17 | 1999-09-17 | |
| US60/154,395 | 1999-09-17 | ||
| SE00016873 | 2000-05-05 | ||
| SE0001687A SE526732C2 (sv) | 1999-09-17 | 2000-05-05 | Mobil kommunikationsenhet försedd med en extern säkerhetsanordning innefattande en biometrisk sensor |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1378667A CN1378667A (zh) | 2002-11-06 |
| CN1195275C true CN1195275C (zh) | 2005-03-30 |
Family
ID=26655098
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB008141908A Expired - Fee Related CN1195275C (zh) | 1999-09-17 | 2000-09-18 | 安全设备 |
Country Status (5)
| Country | Link |
|---|---|
| EP (1) | EP1228433A1 (zh) |
| JP (1) | JP2003509771A (zh) |
| CN (1) | CN1195275C (zh) |
| AU (1) | AU7695400A (zh) |
| WO (1) | WO2001020463A1 (zh) |
Families Citing this family (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7302571B2 (en) * | 2001-04-12 | 2007-11-27 | The Regents Of The University Of Michigan | Method and system to maintain portable computer data secure and authentication token for use therein |
| US20030023882A1 (en) * | 2001-07-26 | 2003-01-30 | Charlie Udom | Biometric characteristic security system |
| US20030048173A1 (en) * | 2001-09-06 | 2003-03-13 | Satoshi Shigematsu | Authentication method, authentication system, and authentication token |
| US7299364B2 (en) | 2002-04-09 | 2007-11-20 | The Regents Of The University Of Michigan | Method and system to maintain application data secure and authentication token for use therein |
| GB2417116A (en) * | 2004-08-10 | 2006-02-15 | Gw Pharmaceuticals Plc | Secure dispensing system |
| US8000502B2 (en) * | 2005-03-09 | 2011-08-16 | Sandisk Technologies Inc. | Portable memory storage device with biometric identification security |
| KR100748034B1 (ko) * | 2006-09-15 | 2007-08-09 | 삼성전자주식회사 | 휴대용 단말기의 블루투스 제어 장치 및 방법 |
| US10778417B2 (en) | 2007-09-27 | 2020-09-15 | Clevx, Llc | Self-encrypting module with embedded wireless user authentication |
| US10181055B2 (en) | 2007-09-27 | 2019-01-15 | Clevx, Llc | Data security system with encryption |
| US10783232B2 (en) | 2007-09-27 | 2020-09-22 | Clevx, Llc | Management system for self-encrypting managed devices with embedded wireless user authentication |
| US11190936B2 (en) | 2007-09-27 | 2021-11-30 | Clevx, Llc | Wireless authentication system |
| JP5295999B2 (ja) * | 2010-03-19 | 2013-09-18 | 日本電信電話株式会社 | 端末の初期設定方法および初期設定装置 |
| DE102012101876A1 (de) * | 2012-03-06 | 2013-09-12 | Wincor Nixdorf International Gmbh | PC Absicherung durch BIOS/(U) EFI Erweiterungen |
| GB2513669B (en) | 2013-06-21 | 2016-07-20 | Visa Europe Ltd | Enabling access to data |
| KR102423759B1 (ko) | 2015-05-18 | 2022-07-22 | 삼성전자주식회사 | 스마트 키가 내장된 결착 장치 및 이를 이용한 대상 객체 제어 방법 |
| JP6633228B2 (ja) * | 2016-01-04 | 2020-01-22 | クレブエックス エルエルシーClevx,Llc | 暗号を伴うデータセキュリティシステム |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5280527A (en) * | 1992-04-14 | 1994-01-18 | Kamahira Safe Co., Inc. | Biometric token for authorizing access to a host system |
| US5668876A (en) * | 1994-06-24 | 1997-09-16 | Telefonaktiebolaget Lm Ericsson | User authentication method and apparatus |
| CA2167631A1 (en) * | 1995-01-20 | 1996-07-21 | W. Dale Hopkins | Method and apparatus for user and security device authentication |
| WO1998012670A1 (en) * | 1996-09-18 | 1998-03-26 | Dew Engineering And Development Limited | Biometric identification system for providing secure access |
| US6041410A (en) * | 1997-12-22 | 2000-03-21 | Trw Inc. | Personal identification fob |
| US6151676A (en) * | 1997-12-24 | 2000-11-21 | Philips Electronics North America Corporation | Administration and utilization of secret fresh random numbers in a networked environment |
| WO1999039310A1 (en) * | 1998-01-30 | 1999-08-05 | Phelps Barry C | Biometric authentication system and method |
-
2000
- 2000-09-18 JP JP2001523973A patent/JP2003509771A/ja active Pending
- 2000-09-18 EP EP00966636A patent/EP1228433A1/en not_active Ceased
- 2000-09-18 CN CNB008141908A patent/CN1195275C/zh not_active Expired - Fee Related
- 2000-09-18 WO PCT/SE2000/001811 patent/WO2001020463A1/en not_active Application Discontinuation
- 2000-09-18 AU AU76954/00A patent/AU7695400A/en not_active Abandoned
Also Published As
| Publication number | Publication date |
|---|---|
| WO2001020463A1 (en) | 2001-03-22 |
| CN1378667A (zh) | 2002-11-06 |
| WO2001020463B1 (en) | 2001-05-10 |
| AU7695400A (en) | 2001-04-17 |
| JP2003509771A (ja) | 2003-03-11 |
| EP1228433A1 (en) | 2002-08-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1195275C (zh) | 安全设备 | |
| US8689013B2 (en) | Dual-interface key management | |
| US8511552B2 (en) | Card credential method and system | |
| US8607044B2 (en) | Privacy enhanced identity scheme using an un-linkable identifier | |
| CN1262905C (zh) | 使计算机网络及其中用于控制对网络组件进行访问的个人识别设备安全的方法和系统 | |
| JP5538313B2 (ja) | バイオメトリック鍵 | |
| US7461264B2 (en) | Method for automatic identification control and management | |
| CN1661961A (zh) | 用于鉴权的方法、硬件标志及计算机 | |
| CA2640915A1 (en) | Biometric authentication method, computer programme, authentication server, corresponding terminal and portable object | |
| EA002737B1 (ru) | Система идентификации отпечатков пальцев | |
| CN103699995A (zh) | 一种基于指纹和指静脉的支付认证方法 | |
| US9679117B2 (en) | System and method for obtaining an authorization key to use a product | |
| EP2192513B1 (en) | Authentication using stored biometric data | |
| JP2006099724A (ja) | ネットワーク印刷システム、印刷装置、ファクシミリ通信システム、及びファクシミリ装置 | |
| US9294921B2 (en) | Device for mobile communication | |
| CN104135480A (zh) | 一种门禁授权系统及方法 | |
| CN104123777A (zh) | 一种门禁远程授权方法 | |
| US20030014642A1 (en) | Security arrangement | |
| EP1855227A2 (en) | Processing device constituting an authentication system, authentication system, and the operation method thereof | |
| US20190028470A1 (en) | Method For Verifying The Identity Of A Person | |
| CN1606027A (zh) | 利用指纹进行软件版权保护的方法及其应用装置 | |
| CN1595423A (zh) | 指纹加密安全工控系统 | |
| JP4760124B2 (ja) | 認証装置、登録装置、登録方法及び認証方法 | |
| RU2260840C2 (ru) | Средство защиты | |
| US10645070B2 (en) | Securitization of temporal digital communications via authentication and validation for wireless user and access devices |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| ASS | Succession or assignment of patent right |
Owner name: LIANZHI TECHNOLOGY CO., LTD. Free format text: FORMER OWNER: LOGGWILL STOCK CO., LTD. Effective date: 20070907 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| C56 | Change in the name or address of the patentee |
Owner name: LOGGWILL STOCK CO., LTD. Free format text: FORMER NAME OR ADDRESS: FINGLOG AB |
|
| CP03 | Change of name, title or address |
Address after: Gothenburg Patentee after: Logue Will AG Address before: Gothenburg Patentee before: FINGLOQ AB |
|
| TR01 | Transfer of patent right |
Effective date of registration: 20070907 Address after: The British Virgin Islands of Tortola Patentee after: Lianzhi Technology Co.,Ltd. Address before: Gothenburg Patentee before: Logue Will AG |
|
| C17 | Cessation of patent right | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20050330 Termination date: 20091019 |