CN1794256A - 数据处理设备、电信终端设备和借助数据处理设备处理数据的方法 - Google Patents
数据处理设备、电信终端设备和借助数据处理设备处理数据的方法 Download PDFInfo
- Publication number
- CN1794256A CN1794256A CNA2005101358541A CN200510135854A CN1794256A CN 1794256 A CN1794256 A CN 1794256A CN A2005101358541 A CNA2005101358541 A CN A2005101358541A CN 200510135854 A CN200510135854 A CN 200510135854A CN 1794256 A CN1794256 A CN 1794256A
- Authority
- CN
- China
- Prior art keywords
- data
- processor
- processing equipment
- data processing
- entry mode
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000012545 processing Methods 0.000 title claims abstract description 107
- 238000000034 method Methods 0.000 title claims description 65
- 238000013479 data entry Methods 0.000 claims description 92
- 238000004590 computer program Methods 0.000 claims description 75
- 238000004891 communication Methods 0.000 claims description 31
- 238000012546 transfer Methods 0.000 claims description 4
- 230000002596 correlated effect Effects 0.000 claims description 2
- 238000003745 diagnosis Methods 0.000 claims description 2
- 230000000007 visual effect Effects 0.000 claims description 2
- 238000004380 ashing Methods 0.000 claims 1
- 230000002265 prevention Effects 0.000 claims 1
- 230000000875 corresponding effect Effects 0.000 description 31
- 230000015654 memory Effects 0.000 description 26
- 230000002093 peripheral effect Effects 0.000 description 20
- 230000006870 function Effects 0.000 description 18
- 238000010586 diagram Methods 0.000 description 12
- 230000008569 process Effects 0.000 description 11
- 230000009849 deactivation Effects 0.000 description 9
- 230000005540 biological transmission Effects 0.000 description 6
- 230000008676 import Effects 0.000 description 6
- 230000007246 mechanism Effects 0.000 description 6
- 230000004913 activation Effects 0.000 description 5
- 238000013475 authorization Methods 0.000 description 5
- 238000003825 pressing Methods 0.000 description 5
- 230000002155 anti-virotic effect Effects 0.000 description 4
- 230000008859 change Effects 0.000 description 4
- 238000006243 chemical reaction Methods 0.000 description 3
- 230000007704 transition Effects 0.000 description 3
- 241000700605 Viruses Species 0.000 description 2
- 230000003213 activating effect Effects 0.000 description 2
- 230000001276 controlling effect Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000007689 inspection Methods 0.000 description 2
- 239000000463 material Substances 0.000 description 2
- 208000003443 Unconsciousness Diseases 0.000 description 1
- 230000009471 action Effects 0.000 description 1
- 230000000840 anti-viral effect Effects 0.000 description 1
- 238000012550 audit Methods 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 238000012508 change request Methods 0.000 description 1
- 230000008878 coupling Effects 0.000 description 1
- 238000010168 coupling process Methods 0.000 description 1
- 238000005859 coupling reaction Methods 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000005286 illumination Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 239000004615 ingredient Substances 0.000 description 1
- 238000005259 measurement Methods 0.000 description 1
- 230000005055 memory storage Effects 0.000 description 1
- 238000011002 quantification Methods 0.000 description 1
- 230000001105 regulatory effect Effects 0.000 description 1
- GOLXNESZZPUPJE-UHFFFAOYSA-N spiromesifen Chemical compound CC1=CC(C)=CC(C)=C1C(C(O1)=O)=C(OC(=O)CC(C)(C)C)C11CCCC1 GOLXNESZZPUPJE-UHFFFAOYSA-N 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F15/00—Digital computers in general; Data processing equipment in general
- G06F15/16—Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/82—Protecting input, output or interconnection devices
- G06F21/83—Protecting input, output or interconnection devices input devices, e.g. keyboards, mice or controllers thereof
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/71—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
- G06F21/74—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information operating in dual or compartmented mode, i.e. at least one secure mode
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2211/00—Indexing scheme relating to details of data-processing equipment not covered by groups G06F3/00 - G06F13/00
- G06F2211/007—Encryption, En-/decode, En-/decipher, En-/decypher, Scramble, (De-)compress
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2211/00—Indexing scheme relating to details of data-processing equipment not covered by groups G06F3/00 - G06F13/00
- G06F2211/009—Trust
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y04—INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
- Y04S—SYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
- Y04S40/00—Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
- Y04S40/20—Information technology specific aspects, e.g. CAD, simulation, modelling, system security
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- Computer Security & Cryptography (AREA)
- Mathematical Physics (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
- Telephone Function (AREA)
Abstract
设置有用于输入数据的数据输入单元以及第一处理器和第二处理器。该第一处理器被设立用于接收和处理在第一数据输入模式中被输入到数据输入单元中的数据,而第二处理器被设立用于接收和处理在第二、安全相关的数据输入模式中被输入到数据输入单元中的数据。
Description
技术领域
本发明涉及一种数据处理设备、一种电信终端设备以及一种用于借助数据处理设备来处理数据的方法。
背景技术
不仅在固定网应用中而且在移动应用中,安全性方面尤其在数据传输和数据处理的范围内、一般在两个或多个电信终端设备之间的数据通信的范围内获得越来越重大的意义。
对于电信系统的用户来说,具有持续增长的意义的是,保护其个人数据,而不威胁其隐私和个人数据的保密。在电子商务往来的范围内,可靠地保护数据和公司财产组成部分以及与此有关的机密信息并且尤其是很安全地进行远程访问(Remote Access)以及能安全地进行电子商务交易,也是重要的。
对计算机或计算机之间的通信的很多攻击基于或利用尤其是所谓开放式操作系统所固有的弱点,尤其是在开放式操作系统中在安装了该开放式操作系统的相应计算机上执行所下载的计算机程序(软件)的可能性。在这方面,尤其使具有这样的计算机的设备受到威胁,这些设备提供无线电接口并安装了诸如Linux操作系统、Unix操作系统、Symbian操作系统、Windows操作系统或Java平台的开放式操作系统。
因为诸如计算机病毒、计算机蠕虫或特洛伊木马的恶意的、即造成损害的计算机程序(以下也称作有害的计算机程序)具有在电信网络中很快传播的潜能,所以具有显著意义的是针对这样的威胁采取适当的对策。
在一个或多个用户之间设置有金融电子交易的许多应用计算机程序中,普遍的是,向用户询问其鉴权数据、例如所谓的PIN码(个人标识号码)、即明确标识用户的数字序列。其典型的例子是移动无线电电信终端设备,例如GSM移动无线电电话或UMTS移动无线电电话,其中用户将PIN码输入到电信终端设备中,并且其中所输入的代码与相应的、存储在智能卡(在那里也称作用户身份识别模块,SIM)上的值进行比较并且当所输入的PIN码与所存储的代码相一致时,该用户才获得对移动无线电电信终端设备的功能的访问。在其它应用计算机程序中,可能必需的是提供所谓的WIM(无线身份识别模块),以便在使用机密的加密密匙的情况下进行加密操作。
一旦在处理器上、换句话说在计算机上执行安全相关的计算机程序,就具有重大意义的是,保证在该平台上、即该处理器不执行有害的计算机程序,其中这些有害的计算机程序窃听例如在鉴权过程范围内、一般在所提供的安全业务的范围内的数据。如果这不能被保证,那么原来在使用鉴权数据的情况下才有权利进行这样的交易的用户不必获悉鉴权数据,就可借助有害的计算机程序在本身无意识的并且未经授权的电子金融交易的范围内使用所窃听的鉴权数据。
一般地,上述问题可以以下面的方式来表达:
如何能在具有多个处理器的系统中实现安全的鉴权过程,其中开放式操作系统被安装在这些处理器中的至少一个中。
按照现有技术,为此公开了不同的方法。
一方面为了保证鉴权,规定严格的软件安装安全策略,由此减小下载有害计算机程序的可能性。这种解决方案通常以所谓的计算机程序证书的使用为基础。只有被正确地数字签名的计算机程序(应用计算机程序)才允许安装在系统上并由相应的处理器来执行。这意味着,该系统必须能够通过相应的计算机程序来验证该数字签名并检查属于该计算机程序的软件证书的有效性。这种方法的缺点尤其是所应用的安全模型的复杂性。在认证过程中有大量不同的、对于用户来说不能识别的实体参与。最后这可能导致,在决定是否信任相应的软件证书并因此信任相应的计算机程序方面苛求该用户。
按照另一种方法,为了保护计算机不受有害的计算机程序损害,使用所谓的反病毒软件,即使用识别有害的计算机程序并提供用于对抗有害的计算机程序的适当对策的计算机程序。在这种方案中尝试识别已经被下载到系统上的有害的计算机程序并且再次删除这些有害的计算机程序。这种方法尤其具有这样的缺点,即只能应付已知的危害并因此只能应付已知的有害的计算机程序。在有害的计算机程序还不为反病毒计算机程序所知的情况下,安装有反病毒计算机程序的系统一直未被保护免受源于该有害的计算机程序的危害,直到进行了反病毒计算机程序的相应的更新,在该反病毒计算机程序中例如包含有害的计算机程序的新的签名,并因此能识别这些有害的计算机程序并且接着能采取相应的对策。
总而言之,按照上述两种方法不能立即保证,下载到计算机上的软件不危及计算机系统安全。
从[1]中公知了ARM微处理器的ARMV6架构的被称作“信赖域”的安全扩展。在那里以及在[4]中说明了,对于单个处理器来说,该处理器从非安全相关的工作模式转入安全工作模式,其中在安全工作模式中数据、例如密码可被安全地输入、处理和显示。根据[1]和[4],大量指令是必要的,以便转入安全工作模式或离开该安全工作模模式。这导致在相应计算机系统的数据处理速度方面的限制。此外,在这些方法中需要在微处理器中设置特殊的对策、例如去激活不安全的中断,以致在输入或处理安全相关的数据期间不会离开安全工作模式。为了输入密码或其它安全相关的数据,必需保证,应用计算机程序能够识别所按下的按键或对其进行访问或者能够操作所输入的数据的显示,以便导致该用户输入其密码,如在特洛伊木马时情况就是如此。由于这个原因,必需的是,数据输入单元以及数据显示单元工作在安全工作模式下,以便保证完全在安全工作模式中的安全的数据输入或数据输出。按照[1]和[4],不能在相同的显示单元上、尤其是在相同的屏幕上实现不安全的数据和安全相关的数据的混合。由此,对于应用计算机程序而言,只能有限地实现在显示所输入的数据的范围内当将安全相关的数据输入到计算机系统中时使用户获得“观感(Look and Feel)”操作感觉。此外,按照这些方法只能非常困难地并且在技术上昂贵地为该微处理器开发适当的中断处理,以致实时要求高的任务在其执行时不是例如通过在用户侧的数据输入来阻断。由于该原因,仅提供安全工作模式是不够的,而必需改善用于将数据输入并输出到计算机系统中的外围设备的能力。
为了在保持个人计算机之一的开放性和灵活性的情况下使个人计算机安全,已建立了“可信计算组(Trusted Computing Group)”(TCG)。该可信计算组关注所有安全解决方案的重要领域的规范,尤其是如在[2]中所说明的被称作“可信平台模块”(TPM)的硬件计算机芯片的规范。该可信平台模块是硬件设备,借助该硬件设备提供用于存储信息的来自加密层的安全地点并且借助该硬件设备此外提供一组加密操作,该组加密操作在受保护的环境中执行并且此外借助该组加密操作来存储和报告完整测量(Integritaetsmetriken)。可信平台模块仅仅是计算机系统的所有安全解决方案的一部分。目前,可靠的键盘和可靠的图形显示单元、例如具有改善的安全特征和相应的芯片组的处理器不在其关注中。此外,应说明的是,该可信计算组已关注于用于个人计算机的可信平台模块的规范。但是,该可信计算组最近开始定义也用于移动无线电电信终端设备、手持式计算机和服务器计算机的可信平台模块,例如可从[3]中得知。
此外,从[4]中公开了安全工作模式的显示,例用该安全工作模式通知计算机系统的用户该计算机处于安全工作模式中。那里的安全显示器是发光二极管,但是该发光二极管可能被用户忽视。
[5]描述了一种用于提供可靠的用户接口的系统。按照这种系统设置可靠的数据显示处理器,其中该可靠的处理器和可靠的存储器在物理上和功能上与原来的计算机系统的处理器和存储器分离。
此外,从[6]中公开了计算机支持的游戏控制台,其中安全控制器执行游戏计算机程序并且将数据显示指令流传送给数据显示引擎,该数据显示引擎于是在其侧借助视频输出信号产生游戏的视频显示。该视频输出信号被传输给安全控制器内的视频多路复用器。该视频多路复用器在控制输出选择功能的情况下在游戏视频输出和音频(Audit)工作模式视频输出之间进行选择。该输出选择功能由安全控制器控制。可是,根据[6],不能在数据显示、即向用户输出视频的范围内分配不同领域中的视频输出,其中所分配的数据流可由不同的源来控制。
[7]描述了一种用于在使用图形用户接口的情况下借助键盘安全地输入数据的装置,其中通过移动光标并且借助计算机鼠标、触摸敏感的屏幕或其它适合于此的设备来选择图形用户接口显示上的字符或符号,用户输入安全代码。在每个新的选择之后,在屏幕上重新布置图形用户接口的符号和字符,以致即使对于在由用户输入安全代码时检测屏幕上的光标移动的情况,也不能重建安全代码的输入。
在[8]中所描述的系统中,可靠的数据输入单元与协处理器耦合,并且不可靠的键盘具有用于显示安全工作模式的安全信息显示器。
[9]描述了一种用于将密码输入到移动无线电电信终端设备中的方法。在这种方法中,在密码字符表中寻找确定的字符,这些字符对应于所计算数量的特定字符键的说明。
[10]描述了一种具有芯片卡接口并具有键盘和芯片卡控制器的计算机键盘装置,其中借助键盘产生的信号从该控制器或者被转送给个人计算机或者被转送给芯片卡接口。
发明内容
本发明所基于的问题在于,实现将数据安全地输入到数据处理设备中。
该问题通过具有按照独立权利要求的特征的数据处理设备、电信终端设备以及通过用于借助数据处理设备来进行数据处理的方法来解决。
本发明的优选的扩展方案由从属权利要求得出。所说明的本发明的扩展方案不仅涉及数据处理设备,而且涉及电信终端设备和用于借助数据处理设备来进行数据处理的方法。
数据处理设备具有用于将数据输入到该数据处理设备中的数据输入单元。此外,在该数据处理设备中设置有第一处理器和第二处理器。第一处理器被这样设立,使得其在第一、优选地非安全相关的数据输入模式中接收和处理输入到数据输入单元中的数据。第二处理器被这样设立,使得其在第二、优选地安全相关的数据输入模式中接收和处理输入到数据输入单元中的数据。
电信终端设备具有上面所说明的数据处理设备。
此外,在用于借助数据处理单元来进行数据处理的方法中,数据被输入到数据处理设备中。由第一处理器在第一、优选地非安全相关的数据输入模式中接收和处理输入到数据输入单元中的数据。由第二处理器在第二、安全相关的数据输入模式中接收和处理输入到数据输入单元中的数据。
与上面所说明的按照现有技术的方法相反,本发明的目的不在于,在开放式操作系统环境中识别并由计算机系统去除能够窃听所输入的机密数据的有害的计算机程序或程序组件。
与现有技术相反,本发明的一个方面明显基于,借助数据处理设备中的可靠的实体、优选地借助第二处理器来控制机密的并因此敏感的数据到系统中的输入、即到数据处理设备中的输入。因为在第二处理器上只运行可靠的计算机程序,所以第二处理器也被称作“可信核心”处理器,通过根据本发明的实施方案来保证,只有可靠的计算机程序、即只有可靠的软件才能在第二处理器上执行,该软件被用于操作和处理机密的数据。
与软件证书的一般使用相反,根据本发明的方法的特征尤其在于,即例如通过以下方式识别出仅仅一小部分计算机程序是这样安全相关的,使得仅仅这小部分需要利用相应的证书或其它安全措施来保护,即第二处理器已将小且有限数量的计算机程序存储在只有它可访问的存储器中并执行这些计算机程序,其中这些计算机程序实现并因此提供如以下还要进一步说明的安全相关的业务。由此保证,只有具有被证实并且可靠的数据完整性的软件才由第二处理器来执行。
本发明的一个方面明显地在于,为系统的用户提供用于安全地输入安全相关的、即机密的数据、诸如PIN码或密码等等的可靠机制,其中这种机制防止在开放式操作系统中、即在开放的计算机环境中被窃听。提供装置,该装置定义并提供在安全的工组模式(第二、安全相关的数据输入模式)和不安全的工作模式(第一数据输入模式)中数据处理设备的工作。
该数据处理设备优选地具有以下组件:
●数据输入单元、例如键盘,其在正常工作模式(第一数据输入模式)中被分配给优选地作为应用处理器而被设立的第一处理器并且被临时分配给该数据处理设备内的第二处理器(可信核心),即被分派给第二处理器。
●替代地,在正常工作模式中,该数据输入单元可将所输入的符号(例如分配给按下的按键的数据符号)直接传送给应用处理器。在根据对数据输入的接收的询问激活了第二处理器之后,该数据输入单元根据数据的输入不是像在正常工作模式中那样将数据直接传送给应用处理器,而是优选地针对每个按下的按键、即针对每个输入的数据符号将预先给定的可调节的字符/数据符号、例如“*”符号代替实际输入的数据符号或字符传送给应用处理器,该应用处理器将该字符/数据符号例如在输入掩码中的PIN输入字段中输出,其中该输入掩码由应用处理器和/或第二处理器在图形用户界面上提供。在这种情况下,优选地规定,此外将在功能方面可预先给定的控制按键、例如删除按键交付给应用处理器使用。所输入的数据、更准确的说每个输入的字符或数据符号在存储器中或在存储器的一部分中被积累、即收集,其中该存储器或者该存储器的一部分只能由第二处理器来写或读,即只有第二处理器可以访问该存储器或该存储器的一部分。在机密数据的输入结束之后,所输入的数据序列由第二处理器来处理,例如与相应的值或与比较表中的多个相应的值相比较,其中这个值或这些值例如能够以明文(Klartext)或甚至加密的形式存储在智能卡上或闪存中。如果比较数据以加密的形式来存储,那么第二处理器可以使用相应的适合解密的加密密匙和解密方法。针对上述这些程序步骤,去激活微处理器的正常中断模式,以致保证只有所提供的用于机密数据的数据输入的安全业务不会被中断并且因此明显地压缩数据输入。因此,一般压缩分别所提供的安全业务。
●第二存储器优选地在数据显示单元上例如可视地(优选地借助发光二极管,通过按键的背景照明等等或借助显示在数据显示单元上的符号(图章))或借助音频信息的表示(优选地报警信号的显示或借助明确地标识第二数据输入模式的音列)显示,数据处理设备处于第二数据处理模式中,其中保证该数据显示单元(图形地或用于输出音频信息)只能由第二处理器、而不是由第一处理器、即不是由应用处理器来控制。由此以可靠并且简单的方式为用户提供以下信息,即该数据处理设备处于第二数据输入模式中并且因此该用户也可以不假思索地进行可靠的或机密的数据的输入。
数据输入单元可以是以下数据输入单元之一:
●键盘;
●数据通信接口;
●触摸垫;
●触摸敏感的显示单元(触摸屏);
●计算机鼠标;或
●包括用于语音识别的单元、例如用于与讲话者有关的语音识别的单元和/或用于与讲话者无关的语音识别的单元的麦克风。
这意味着,本发明适合于任何方式的数据输入,直接在数据处理设备上或通过电信网(固定通信网或移动无线电通信网)的数据输入。只要应保护安全相关的数据的输入,用于接收和处理所输入的机密数据的数据处理设备就转接到第二处理器上,该第二处理器被相应地设立并被保护用于可靠地处理所输入的数据。
第一处理器优选地是应用处理器,该应用处理器被设立用于在开放式操作系统中执行应用计算机程序,其中开放式操作系统在这个意义上是这样的操作系统,该操作系统优选地具有至少一个操作系统外部通信接口并因此对于例如借助计算机病毒、借助特洛伊木马、借助计算机蠕虫或一般借助有害的计算机程序的外部攻击而言是易受损伤的。
开放式操作系统的例子是Windows操作系统、Linux操作系统、Unix操作系统、Symbian操作系统或Java平台。
按照本发明的另一个扩展方案规定,第二处理器作为所谓的可信核心处理器来设立。因此第二处理器明显地这样来设立,使得它只能执行一个或多个可靠的计算机程序。这可以例如通过以下方式来实现,即或者仅仅在制造商侧将确定数量的由预定数目的安全业务所实现的程序以计算机程序的形式存储在只有第二处理器可访问的存储器中,或者被应用于分别待实现的安全业务的软件证书、即分配给实现相应安全业务的计算机程序的软件证书在各自的执行之前由第二处理器进行检查,并且只有当软件证书的检查成功时,才在第二处理器上执行该程序。
可靠的计算机程序优选地是完整性被保护的计算机程序、优选地以加密方式保护完整性的计算机程序,该计算机程序尤其实现至少一个安全相关的业务,优选地实现至少一个加密的安全业务。
第二处理器尤其在数据处理设备被构造为电信终端设备、尤其是移动无线电电信终端设备时是数字信号处理器,该数字信号处理器被设立用于执行一个或多个相应的安全业务。
例如在数据处理设备中设置有多个微控制器以及必要时还设置有附加的数字信号处理器、即例如用于应用的微控制器,用于可靠业务(可信业务)的微控制器、用于调制解调器业务的微控制器以及用于尤其是在数字信号处理范围内的实时要求高的业务的数字信号处理器情况下,第二处理器优选地是微控制器。
在这方面应指出的是,应该保证,可靠的、即“可信的”第二处理器的操作不允许被(不可靠的、即“不可信的”)第一处理器干扰。这例如可通过两个处理器的专用主存储器或在使用公共主存储器的情况下通过使用存储器控制器来实现,该存储器控制器由“可信的”第二处理器来控制并且可分配对确定的地址范围的明确的访问权。
优选地在使用至少一个加密密匙的情况下、例如在使用至少一个秘密的(私有的)加密密匙和/或至少一个公开的加密密匙的情况下提供加密的安全业务。
换句话说,这意味着,加密的安全业务可以不仅在使用对称的密匙机制的情况下而且在使用不对称的密匙机制的情况下在相应的安全业务中实现。
作为加密的安全业务,设置有以下安全业务中的至少一个:
●数字签名;和/或
●数字图章;和/或
●鉴权;和/或
●数据加密;和/或
●接入控制;和/或
●访问控制;和/或
●阻止在数据通信范围内的业务分析;和/或
●散列(Hash)方法。
基本上,可以实现每个加密的安全业务,该安全业务作为由第二处理器执行的计算机程序尤其是在用户侧借助数据输入单元实现将安全相关的并因此机密的信息输入到数据处理设备中。
按这种方式,在保证使用户数据输入安全的情况下,尤其是基于第二处理器的可编程性在其加密的可用性方面实现数据处理设备的很灵活的可扩展性。
按照本发明的另一扩展方案,设置有用于向用户显示所输入的数据的至少一部分的数据显示单元。
按这种方式,尤其是在将安全相关的数据或非安全相关的数据输入到数据处理设备中时,实现用户的“观感”操作感觉。
优选地这样来设立该数据处理设备,使得第二处理器在第二数据输入模式中接收所输入的数据并且将与所输入的数据相比不同的、优选地具有相同数量的数据符号的数据传送给第一处理器和/或数据显示单元。按这种方式,可用性和尤其是用户的“观感”操作感觉进一步被改善,因为即使当没有向该用户显示他实际执行了哪个输入、即例如他实际按下了哪些按键时,也针对所执行的每个输入、例如针对每个按键按下直接向他显示关于实现的输入的回答、即确认。
优选地这样来设立该数据处理设备,以致由第二处理器传送给第一处理器和/或数据显示单元的数据是预先给定的数据符号的序列,尤其是一个预先给定的数据符号的序列,其中该数据符号的数量与所输入的数据的数据符号的数量相同。
此外,可这样来设立第二处理器,以致它在第二数据输入模式中将安全模式显示信息传送到第一处理器和/或数据显示单元中。按这种方式来实现,以简单的方式可靠地将以下信息提供给用户,即他可借助数据输入单元无危险性地将机密的信息输入到数据处理设备中。
该安全模式显示信息优选地是可视信息和/或音频信息。
此外,可以设置处理通信单元,用于在数据输入单元的控制从第一处理器移交给第二处理器或从第二处理器移交给第一处理器的范围内在第一处理器和第二处理器之间进行通信。换句话说,这意味着,根据本发明的该扩展方案,数据输入单元的控制或所输入的数据的接收和处理的移交借助于两个处理器之间的处理器间通信来实现。
这种实现尤其具有以下优点,即基于本身公知的、用于两个处理器之间的通信的机制的使用,在安全的数据输入范围内的权力移交可简单地并低成本地实现。
此外,可设置优选地作为计算机程序而设立的数据输入单元驱动单元,这样来设立该数据输入单元驱动单元,使得:
●在第一数据输入模式中所输入的数据被传送给第一处理器;以及
●在第二数据输入模式中所输入的数据被传送给第二处理器。
因此,按照本发明的该扩展方案,该数据输入单元驱动单元是一种转接设备,在该转接设备中判定,所输入的数据是否是机密类型的并且因此应被输送给第二处理器或所输入的数据是否是非安全相关的,在这种情况下该数据直接被传送给第一处理器、优选地应用处理器。
该数据输入单元驱动单元可以这样来设立,使得将与在第二数据输入模式中所输入的数据相比不同的、优选地具有相同数量的数据符号的数据传送给第一处理器和/或数据显示单元。
根据本发明的该扩展方案,优选的是,传送给第一处理器和/或数据显示单元的数据是预先给定的数据符号的序列,尤其是相同的预先给定的数据符号的序列,即多个相同的预先给定的数据符号,其中数据符号的数量与所输入的数据的数据符号的数量相等。
根据本发明的另一个扩展方案,第二处理器作为芯片卡处理器来设立,换句话说,在芯片卡上实现第二处理器,该芯片卡借助连接到例如个人计算机或连接到电信设备上的芯片卡阅读器建立与第一处理器和数据输入单元的通信连接。按这种方式,即使对于通常的个人计算机而言在使用当今经常存在的、尤其是在相应的安全架构范围内设置的芯片卡阅读器的情况下也实现安全的数据输入,其中芯片卡阅读器使用设置在芯片卡上的处理器,以便保证到例如个人计算机中的安全的数据输入。
尤其是针对该数据处理设备作为电信终端设备、尤其是作为移动无线电电信终端设备的情况,在本发明的一个扩展方案中规定,将设置在SIM模块(用户身份识别模块)中的处理器用作第二处理器,以便实现分别设置的安全业务。
本发明尤其适合在输入密码或PIN码、即优选地仅为用户所知的鉴权符号序列的范围内使用,或者也适合数据的加密或数字签名、例如在使用加密材料的情况下电子消息(电子邮件(Email))的加密或数据签名,其中该加密材料需要PIN码或密码形式的用户输入。相应的电子消息可借助电信终端设备、优选地通过空中接口传输给接收者,但是它也可以在计算机系统中甚至在相应的目录中仅仅被暂存,并在需要时由该用户或由其他用户再次进行询问并且必要时在那里再次被解密。
附图说明
本发明的实施例在附图中被示出并将在下面进一步说明。
其中:
图1示出一个框图,其中示出按照本发明的一个实施例的数据处理设备的架构;
图2示出按照本发明的一个实施例的移动无线电电信终端设备的略图;
图3示出按照本发明的另一个实施例的移动无线电电信终端设备的略图;
图4示出按照本发明的另一个实施例的数据处理设备的略图;
图5示出按照本发明的另一个实施例的其它数据处理设备的框图;
图6示出一个消息流图,其中示出两个数据输入模式之间的转换的变型方案;
图7示出一个流程图,其中示出按照本发明的一个实施例的、用于在第二数据输入模式中提供安全的数据输入的单个方法步骤;
图8示出一个框图,其中示出数据处理设备的替代的实施形式。
在附图中,同样的或相同的元件必要时标有相同的附图标记。
具体实施方式
图2示出移动无线电电信终端设备200,它被设立用于按照基于小区的移动无线电标准、例如按照GSM、3GPP标准、例如UMTS等等进行通信。
该移动无线电电信终端设备200具有壳体201,在该壳体中安装有天线202以及显示器203、扬声器204、麦克风205以及在键区206中安装有多个按键,该多个按键中有用于以本身公知的方式输入数字、符号或字母的数字键或符号键207以及特殊功能按键、例如用于建立或拆除电信连接的通信连接建立按键208以及通信连接结束按键209。此外,设置有至少一个特殊功能按键210,可将预先给定的特殊功能、例如调用存储在移动无线电电信终端设备200中的地址薄/电话薄分配给该特殊功能按键。
此外,SIM卡(用户身份识别模块卡)211被包含在移动无线电电信终端设备200中,在该SIM卡中存储有也称作用户标识符的明确标识用户的说明。
如下面还要进一步说明的,该移动无线电电信终端设备200具有两个处理器(未示出)、即用于执行应用程序的第一处理器(以下也称作应用处理器)以及用于提供尤其是物理接口功能、即无线信号传输的功能、例如用于对移动无线电信号进行解码等等的数字信号处理器(DSP)。此外,设置有未示出的存储器,其中这两个处理器和该存储器借助计算机总线彼此耦合。
在本发明的替代的扩展方案中,该移动无线电电信终端设备200具有作为微控制器被设立的两个处理器。此外,在这个实施形式中还设置有至少一个附加的微控制器并且必要时还设置有附加的数字信号处理器。在微控制器中执行该应用计算机程序,在其它微控制器中执行、即提供可靠的业务(可信业务),必要时还执行、即提供调制解调器业务。此外,还设置有用于尤其是在数字信号处理范围内的实时要求高的业务的数字信号处理器。
如果用户想要在接通移动无线电电信终端设备200之后在移动无线电通信网络中注册,那么由该移动无线电电信终端设备200请求用户,借助按键207输入个人识别号码(Personal Identification Number,PIN)。在这种情况下,以下说明的安全相关的功能或者程序是将PIN输入到移动无线电电信终端设备200中。
所输入的个人识别号码与存储在SIM卡211中的用户标识(UserIDentity,UID)进行比较,并且如果所输入的号码对应于存储在SIM卡211中的用户标识,则该用户被移动无线电通信网络接受作为合法的用户,并且因此在移动无线电通信网络中被注册为合法的用户。
在注册程序的范围内在对按键207、208、209、210、尤其是键区206中的数字键的控制权(Steuerungshoheit)之间的根据本发明的转换在下面还要进一步说明。
图3说明了按照本发明的第二实施例的移动无线电电信终端设备300。
在结构上,该移动无线电电信终端设备300以与按照本发明的第一实施例的移动无线电电信终端设备200相同的方式来构造,可是具有这样的区别,即可以选择性地略去数字信号处理器,并且根据本发明在个人标识号码的安全相关的数据输入范围内所设置的作为微处理器的第二处理器被包含在SIM卡301上,该SIM卡301具有微处理器302和非易失性存储器303,而不像按照第一实施例的SIM卡211那样仅仅具有用于存储用户标识的非易失性存储器。
按照第三应用情形,在图4中的框图400中示出了个人计算机401,该个人计算机包含应用处理器(未示出)以及一个或多个存储元件,其中该处理器和该存储器通过计算机总线相互耦合以及与外部通信接口相耦合,并通过外部通信接口与多个外围设备、例如键盘402、计算机鼠标403、作为数据显示单元的显示器404以及芯片卡阅读器405相耦合,其中借助于该芯片卡阅读器来读取芯片卡406并因此读取存储在该芯片卡中的信息,并可将信息传输给个人计算机401。
下面借助在图4中示出的装置400说明不同的情形:
●按照第一替代方案,第一处理器被包含在个人计算机401中并且第二处理器被包含在芯片卡阅读器405中,该芯片卡阅读器提供下面所说明的业务。
●按照一种替代的实施形式,该芯片卡406具有自己的微处理器,该微处理器作为第二处理器在随后说明的方法的范围内被使用。
●按照另一实施形式规定,两个处理器被包含在个人计算机401中。
●按照另一实施形式规定,处理器被设置在数据显示单元404中并且作为第二处理器在机密数据的受保护的数据输入范围内被使用。
应指出的是,可按照需要使用在图4中示出的数据输入单元中的一个或多个,以便通过相应的外围接口407、408、409、410将安全相关的数据输入个人计算机401中。
应指出的是,可借助键盘402、借助计算机鼠标403、必要时借助被构造为触摸敏感的屏幕的数据设备404或借助芯片卡阅读器405来实现数据的输入。
图5示出根据本发明的另一实施例的其它数据处理设备装置500。
根据该装置500,存在多个客户计算机501、502、503、504、505,它们分别具有作为数据输入单元的键盘506、507、508、509、510和/或计算机鼠标(未示出),其中该客户计算机501、502、503、504、505借助电信网络511与服务器计算机512相耦合。
在这种情况下,安全相关的数据、尤其是鉴权数据通过电信网络、优选地因特网/内部网511被传输给服务器计算机512并且在那里在客户计算机501-505的鉴权的范围内被使用。在这种情况下,该服务器计算机512具有两个处理器,而输入单元是至电信网络511的服务器计算机512的输入/输出接口,因为数据符号的序列通过该接口被输送给服务器计算机512。
在下面一般说明的方法适用于上述所有应用情形,其中只需存在两个处理器,它们能够相互通信或必要时可以选择性地将所输入的数据输送给所设置的两个处理器之一。
如上所述,相应的数据输入单元可以是键盘、至通信网络或至数据处理设备的其它外围设备的数据通信接口或输入/输出接口、触摸垫、触摸敏感的数据显示单元、计算机鼠标或麦克风,其中借助麦克风灌入数据处理设备中的语音信号借助语音识别单元被转换成数据符号,其中该数据符号应被理解为所输入的数据。
因此,针对上述所有应用情形和与之相关联的装置从图1中示例性地示出的系统架构100出发。
也具有用户接口、例如用于从外围设备接收数据或发送数据给外围设备的输入/输出接口的大多数应用计算机程序由应用处理器101(第一处理器)来执行。该应用处理器101已安装了开放式操作系统、优选地是Windows操作系统,替代地是Linux操作系统、Unix操作系统、Symbian操作系统或Java平台并执行该操作系统。
此外,设置有第二处理器102,它在可靠的模式(可信模式)中运行。第二处理器102也被称作可信核心处理器,并因此在可靠的、优选地以加密的方式被保护的环境中运行,并且以下被用于提供安全相关的业务、尤其是加密的安全业务,替代地或附加地也用于其它业务,例如用于在数据传输、尤其是移动无线电数据传输的范围内提供物理接口的功能。在数据处理设备被构造为移动无线电电信终端设备的应用情况下(参阅图1和图2),该移动无线电电信终端设备通常具有两个处理器、即应用处理器以及数字信号处理器(DSP)。
在第一工作模式(正常工作模式)中,键盘103、一般数据输入单元被分配给应用处理器101并由该应用处理器来控制。因此,该应用处理器101负责借助键盘外围块105来控制和处理借助键盘103、一般上述替代的数据输入单元输入的数据104,其中该键盘外围块优选地与应用处理器101和第二处理器102借助系统总线106相耦合地共同布置在公共的集成的系统控制器电路107中。
在第二处理器102不是与应用处理器101共同被设置在集成电路107内的上述应用情形中,两个处理器101、102例如借助电缆或例如无线电通信连接的其它类型的通信连接相互耦合。
当安全相关的数据例如在用户鉴权的范围内应由该用户输入到数据处理设备100中时,于是对数据输入单元、优选地键盘103的控制一直被移交给第二处理器102,直到机密数据的输入已结束。按这种方式,能够实现,机密的数据输入不离开该系统100的可靠环境。
在数据处理设备被集成在移动无线电电信终端设备内的实施形式中,所述处理器例如是两个ARM926处理器,替代地,应用处理器是ARM11处理器。
下面,示出用于在数据处理设备中实现安全相关的数据输入模式的不同的实现替代方案。
按照第一优选的实施形式规定,对数据输入单元、优选地键盘103的控制从应用处理器101到可靠的第二处理器102上并从该第二处理器返回到应用处理器101的明确的移交。
在这种情况下,对数据输入单元、优选地键盘103的占有、即明显地控制借助明确的处理器间通信从应用处理器101转交给第二处理器102或从该第二处理器返回交给应用处理器101。
这要求两个传感器、即不仅应用处理器101而且第二处理器102分别包含并能执行计算机程序,该计算机程序使这两个处理器能够确定,谁当前实际拥有对数据输入单元103的控制和计算机程序,该计算机程序将对数据输入单元103的控制转交、即移交给每个其它的处理器101或102。
可信核心处理器(第二处理器)102在安全相关的数据输入模式期间在受限制的持续时间内具有对数据输入单元103的控制,借助该数据输入单元将安全相关的、即机密的数据输入到数据处理设备100中。在这段时间期间,可信核心处理器102优选地激活安全输入显示,通过该安全输入显示向用户显示,数据处理设备100处于第二、安全的数据输入模式中。用于实现第二、即安全相关的数据输入模式的显示的不同选择将在下面进一步说明。
在这方面应注意的是,对于向用户可靠地显示第二数据输入模式来说值得期望的是,在向用户显示该信息的范围内应用处理器101不能控制该显示。
在图6中的消息流图600中示出一个例子,在该例子中作为机密的数据符号序列的密码被输入到数据处理设备中,并且该密码被用于对文件进行数字签名。
在流程图600中所示的过程中,可信核心处理器102中的第二数据输入模式(安全输入模式)的隐含的激活通过用于电子文件的签名的请求消息的接收来触发。
如在图6中所示出的,根据这个例子,由应用处理器101产生签名请求消息601并优选地通过系统总线106传送给第二处理器、即可信核心处理器102。在签名请求消息601中说明所请求的安全业务、即对电子文件进行数字签名(签名)602,以及作为所请求的业务的参数的、要数字签名的电子文件(文本)603以及密匙标识说明(密码ID)604。
根据签名请求消息601的接收,可信核心处理器102向只有其可访问的非易失性存储器605询问私有密钥简档(Profil)606,并在使用所读出的私有密码简档606(步骤607)的情况下检验该签名请求消息601。
直到这个时刻,该数据处理设备100还处于第一数据输入模式中,即处于不安全的数据输入模式中,在该数据输入模式中该应用处理器101还拥有对数据输入单元103的控制。
这借助第一、标识第一数据输入模式的数据输入模式显示608在屏幕上显示给用户。
接着,数据处理设备100的数据输入模式转换为第二、安全相关的数据输入模式。
在接下来的步骤中,可信核心处理器102将第一模式转换请求消息609发送给应用处理器101,其中借助该第一模式转换请求消息609请求将应用处理器101的数据输入模式从第一数据输入模式转换为第二数据输入模式。
在获得第一模式转换请求消息609之后,应用处理器101递交对数据输入单元103、尤其是对键盘103的控制。
键盘控制的释放由应用处理器101借助第一模式转换确认消息611通知给可信核心处理器102。
根据第一模式转换确认消息611的接收,可信核心处理器102接管对数据输入单元103、尤其是对键盘103的控制(步骤612)。
接下来,该可信核心处理器102激活数据输入模式显示并将其设置为第二数据输入模式显示614,利用该第二数据输入模式显示614来说明,数据处理设备处于第二数据输入模式中(步骤613)。该激活仅仅在可信核心处理器102的控制下实现,也就是说,该应用处理器101没有访问机会并且在数据输入模式显示608、614方面没有控制可能性。
紧接着,该可信核心处理器102收集由用户连续输入的字符或数据符号,它们代表机密的、所输入的数据(步骤614)。例如所询问的密码的单个符号连续地被暂存在非易失性存储器、例如可信核心处理器102的非易失性存储器605中。
应防止非易失性存储器中的密码被“不可信的”第一处理器访问。或者“可信核心”处理器、即第二处理器为了这个目的具有专用的、所保留的非易失性存储器。该密码优选地以加密的形式存储在非易失性存储器中,并且例如通过一个或多个专门的硬件组件来保证只能利用该第二处理器独占地拥有的密钥来进行解密。这意味着,只有第二处理器可以访问用于对密码进行解密的密匙。
在一个替代的实施形式或除了上述实施例之外,为了提高处理效率而规定,在易失性存储器中实现密码的暂存。为了这个目的,应防止“不可信的”第一处理器操作该易失性存储器。
换句话说,这意味着,应保证,可靠的、即“可信的”第二处理器的操作不允许被(不可靠的、即“不可信的”)第一处理器干扰。这例如可通过用于两个处理器的专用主存储器或在使用公共的主存储器的情况下通过使用存储器控制器来实现,该存储器控制器由该“可信的”第二处理器来控制并能够分配对确定的地址范围的明确的访问权。
在接下来的步骤(步骤615)中由可信核心处理器102将所读入的密码与事先存储在非易失性存储器605中的秘密密码616进行比较。
如果所输入的密码与存储在非易失性存储器605中的用于用户的秘密密匙的密码616一致,那么该可信核心处理器102紧接着从非易失性存储器605中读出用户的私有、即秘密密匙617并且在使用用户的秘密密匙的情况下对在请求消息601中所说明的文本603进行签名(步骤618)。
接下来,可信核心处理器102再次交出对数据输入单元103的控制(步骤619)并去激活第二数据模式显示614,利用该第二数据模式显示这样显示第二数据输入模式,使得从现在开始借助数据模式显示608重新向用户显示用于输入非机密数据的第一数据输入模式(步骤620)。
紧接着,该可信核心处理器102将第二模式转换请求消息621发送给应用处理器101并由此请求数据输入模式的重新转换,但是这次从第二、安全相关的数据输入模式转换到第一数据输入模式、即用于将非机密数据输入到数据处理设备100中的正常工作模式。
根据第二模式转换请求消息621的接收,该应用处理器101再次接管对数据输入单元103的控制(步骤622)。
该应用处理101将对数据输入单元103的控制的重新接管的结束借助第二模式转换确认消息623通知可信核心处理器102,由此第二数据输入模式(在图6中用附图标记624象征性地表示)结束。
紧接着,该可信核心处理器102将所请求的安全业务的结果、在该示例情况下为数字签名625通过在签名请求消息601中所说明的电子文件603传送给应用处理器101。
按照一种替代的实施形式规定,对于应用处理器101来说,不仅应用处理器101而且必要时可信核心处理器102透明地使用数据输入单元、尤其是键盘103。
在该实施形式中,该应用处理器101不知道,该数据输入单元103暂时由可信核心处理器102在第二数据输入模式的范围内使用。换句话说,不通知该应用处理器101,发生数据输入模式从第一数据输入模式到第二数据输入模式的过渡和从第二数据输入模式到第一数据输入模式的过渡。
在第二数据输入模式期间,即直到机密数据的输入已结束,借助在可信核心处理器102的安全环境中实施的并由该可信核心处理器102执行的数据输入单元驱动器计算机程序、优选地键盘驱动器计算机程序来提供用于处理和用于接收每个输入的字符或数据符号的以下机制,其中该字符或数据符号借助数据输入单元103被输入到数据处理设备中:
1.断开(“disconnect”)数据输入单元103和应用处理器101之间的连接。
2.在第二数据输入模式(安全输入模式)中读入所输入的数据符号。
3.将预先给定的符号、优选地“*”号写入所设置的键盘外围寄存器中,以便为应用处理器101模拟数据符号的输入。
4.再次建立(“connect”)数据输入单元103和应用处理器101之间的连接。
应注意的是,优选地在步骤3中使用图8中所示的装置800的数据输入单元外围块801。
上面和下面结合图7所示的在可信核心处理器102上的实现导致,从应用处理器101的角度看在第二数据输入模式中仅仅输入预先给定的字符,即按下预先规定的按键,例如具有符号“*”的按键。因此应用处理器101在数据显示单元上显示它从键盘驱动器计算机程序接收的符号“*”。按这种方式,用户的“观感”操作感觉在输入PIN码或密码时被实现。
在数据处理设备100处于第二数据输入模式期间,可选地规定,提供数据显示单元的相应的安全模式显示信息,于是该数据显示单元将相应的数据输入模式显示614输出给用户。用于显示分别存在的或激活的数据输入模式的不同可能性在下面还要进一步说明。
图7在流程图700中示出按照上述第二实施形式的方法。
在激活第二数据输入模式(步骤701)之后,由可信核心处理器102在应用处理器中去激活(702)数据输入单元中断、尤其是键盘中断的执行或触发,并且应用处理器101对键盘外围块801(参阅图8)(一般对数据输入单元外围块)的访问同样也被去激活(步骤703)。
接下来,由第二处理器、即由可信核心处理器102询问键盘块寄存器,在该键盘块寄存器中存储有所按下的按键的信息(步骤704)。
如果按下优选地设置在键盘中的安全数据输入模式结束按键,这在检验步骤705中被检验,那么假设,安全的数据输入已结束并根据所询问的寄存器值产生一个或多个机密的输入数据值(步骤706)。
随后,该应用处理器101重新获得对键盘外围块801的访问(步骤707)并且也为该应用处理器101再次激活键盘中断(步骤708)。
由此,第二数据输入模式又被去激活。(步骤709)
但是只要该安全数据输入模式结束按键没有被按下,就针对每个按下的按键将分别表示按下的按键的值存储在只有该可信核心处理器102可以访问的存储器中(步骤710)。
紧接着,针对每个输入的符号,将符号“*”写入键盘块寄存器中(步骤711)并且该应用处理器101重新得到对键盘外围块的访问(步骤712)并且紧接着为应用处理器101再次激活键盘中断(步骤713)。紧接着,一直等待,直到该应用处理器101从键盘外围块寄存器中读出了符号“*”并继续进行到步骤702。换句话说,保证该应用处理器101已从键盘外围块寄存器中读出了该符号“*”。
如在图8中可以看到的,在修改后的键盘外围块801中设置有扫描和按键去抖动逻辑802以及开关单元803,借助该开关单元由扫描和按键去抖动逻辑802按照开关单元803的第一开关位置(A)将所输入的符号输送给扫描结果寄存器804或在开关单元803的第二开关位置(B)中直接输送给计算机总线接口805,该计算机总线接口805附加地与扫描结果寄存器804的输出端耦合。该计算机总线接口805此外与控制寄存器806耦合,其中存储在该控制寄存器806中的数据必要时产生开关状态控制信号807并利用该开关状态控制信号807来控制开关单元803。
根据第三实施形式规定,在正常数据输入模式中键盘或小键盘将关于所按下的按键的信息直接传输给应用处理器101。
在实现了第二数据输入模式(安全数据输入模式)的激活之后并且在可信核心处理器102已请求输入机密数据符号之后,代替关于所按下的按键的信息,该键盘外围驱动设备输出可预先规定的交换数据字符/数据符号、例如符号“*”,该符号例如在数据显示单元103的图形用户界面上的PIN输入区中显示给用户。
如果数字键被用户按下,则该信息在不交换按键信息的情况下被直接转传给应用处理器101。因此该应用处理器101总是获得有效的按键信息,该应用处理器可在图形用户界面中、即在数据显示单元上将该按键信息显示给用户并由此可提供给用户“观感”操作感觉。实际所输入的按键连续地在存储器或存储器的一部分中被累积,其中该存储器或该存储器的一部分只能由可信核心处理器102访问。
该应用处理器101不能访问该存储器或该存储器的这个部分。在机密信息的输入完全结束之后,所输入的数据序列由可信核心处理器102进行进一步处理,以便对其进行验证。
因此,所输入的数据序列例如与相应的、存储在智能卡上或在闪存中的值进行比较。
按照这种实施形式,不需要在机密的数据字符/数据符号的输入期间、优选地在密码输入期间或在PIN输入期间去激活应用处理器101中的任何中断。该中断应仅仅在可信核心处理器102验证密码期间被去激活。但是,密码或PIN码的验证可在附加设置的以加密的方式受保护的块中实施。按这种方式,密码不能直接由应用处理器101来确定,换句话说,该应用处理器101不能访问存储在加密块中的密码。
密码不能由应用处理器101来确定,换句话说,该应用处理器101不能访问存储在加密块中的密码。
键盘驱动器或小键盘驱动器或其功能可直接以硬件、即借助专门的电子电路、借助例如FPGA或ASIC或在多处理器环境中以软件、借助计算机程序或以任意混合的形式、即以任意部分硬件和软件来实现。如果驱动器功能借助计算机程序来实现,那么该计算机程序在可信核心处理器102上执行并且关于所按下的按键或所按下的按键的交换符号的信息在使用处理器间通信(IPC)的情况下来传送。
以下说明用于激活第二数据输入模式的不同的变型方案。
在第一变型方案中规定第二数据输入模式的隐含的激活。在隐含地激活第二数据输入模式的情况下,在用户侧不需要自己的动作,以便数据处理设备转换到第二数据输入模式。一旦调用包含安全业务的功能(替代地,该功能本身可以是安全业务),由可信核心处理器102所执行的软件独立地激活第二数据输入模式,其中在该安全业务的范围内由用户输入的机密信息被处理。这在可信核心处理器102侧例如由此引起,即相应的请求消息被该应用处理器101接收,如在结合图5中的流程图500所说明的那样。
在一个替代的扩展方案中规定,在使用专门的、为此所设置的数据输入模式改变按键的情况下明确地激活第二数据输入模式或去激活该第二数据输入模式。在这种情况下,通过按下专门的按键,数据输入模式变化由用户引起,其中该按键仅处于可信核心处理器102的控制之下,即换句话说,只有该可信核心处理器102可以接收并处理代表该专门的按键的按下的信息。在这种情况下,应用计算机程序在使用相应的图形用户界面的情况下在输入了密码或PIN码之后询问用户。按照所示的输入机密数据的请求,该用户按下专门的按键,并因此引起数据处理设备从第一数据输入模式到第二、安全数据输入模式的过渡,并因此将对按键、一般数据输入单元的控制或拥有从该应用处理器101转交给可信核心处理器102。如上面结合不同的实施形式所说明的,该可信核心处理器102例如在使用附加设置的发光二极管的情况下或借助在数据显示单元上显示的符号激活相应的数据输入模式显示,而该用户可以紧接着在安全的环境中将密码输入到数据处理设备中。
下面,说明用于向相同用户显示数据处理设备的第二数据输入模式、即安全数据输入模式的不同的可能性和实施替代方案。
按照第一实施方案,如在[4]中所说明的,可信核心处理器102使用专门为此设置的发光二极管(或其它适当的输出设备)以便向用户显示,第二、安全数据输入模式被激活。
在这方面,值得期望的是,分别所使用的数据输出设备只能由该可信核心处理器102、而不是由应用处理器101来控制和支配。安全的数据输入模式的显示一直被显示给用户,如第二数据输入模式被激活那样。
按照一种替代的实施形式规定,使用安全的显示器、替代地受保护的图形用户界面或图形用户界面的受保护的部分,以便显示数据处理设备的第二数据显示模式。
这可以按以下方式来实现:
●例如如果使用移动无线电电信终端设备,那么请求用户将个人代码(数字序列或密码)输入到该移动无线电电信终端设备中。
●将所输入的代码优选地以加密的形式存储在外部闪存中,并在该外部闪存中设置标记,以致初始化状态被检测。这种用于安全地输入机密数据的方法现在被初始化并准备工作。所有这些都在可信核心处理器102的控制下进行。
●一旦建立准备工作状态(Betreibsbereitschaft),就执行与上面结合[4]所说明的相同的方法,具有以下区别:
如果该用户想要执行受保护的交易,则通过代替激活发光二极管而在数据显示单元上向该用户显示用户自己的个人代码或用户自己的密码,移动无线电电信终端设备显示其安全数据输入模式。
●现在该用户可执行其受保护的交易。
按照另一个替代的扩展方案规定,使用可靠的显示器(可信显示器)来显示数据处理设备的安全数据输入模式。
在这种实施形式中,设置有唯一的数据显示单元,用于显示可靠的应用数据并且用于显示安全数据输入模式是否被激活。
如果该安全数据输入模式被激活,那么规定只有数据显示单元、优选地图形用户界面的以可预先给定的方式可编程的子域或整个数据显示单元、优选地整个图形用户界面只能由可信核心处理器102来控制,即只能由可信核心处理器102来访问它。应用处理器101不具有对内容的访问权,该内容是在数据显示单元或图形用户界面中或在分别所选择的子域中显示的信息。这防止,安装在应用处理器101上的有害的计算机程序代码、例如特洛伊木马计算机程序能够读取或操作在数据显示单元或图形用户界面上所显示的机密信息。为了禁止应用处理器101对相应区域的访问,规定阻止:在应用处理器101上所执行的计算机程序代码被用于例如利用对用户的任何类型的输入请求来重写数据显示单元或数据显示单元的相应的受保护的子域或图形用户界面中的数据。
这能够以以下方式来实现:
●如果使用移动无线电电信终端设备,那么请求用户借助数据输入单元将个人代码(例如数字序列或密码)输入到移动无线电电信终端设备中并且附加地、可选地选出代表数字图章的符号,借助该符号将第二数据输入模式(可信输入模式)显示给该用户。所请求的在用户侧的输入如果被实施,则将其优选地以加密的形式存储到外部闪存中,并且在该外部存储器中设置标记,由此初始化状态被显示。因此,用于安全的数据输入的方法被初始化并准备工作。所有这些都在可信核心处理器102的控制下进行。应用处理器101不能访问这些数据。
●如果第二数据输入模式被激活,那么该方法与[4]中所说明的方法相同,但具有以下区别:
如果该用户想要执行受保护的交易,可信核心处理器102显示其受保护的状态,在该状态中其向用户显示用户的个人代码或用户的个人密码或在数据显示单元的区域内显示由该用户所选择的、代表数字图章的符号,其中该符号是由用户选择的,该区域只能由可信核心处理器102来控制,换句话说,只有该可信核心处理器102能够访问该区域。
为了在数据显示单元或图形用户界面上向用户显示可靠区域的区域,可将该符号或个人代码用作可靠区域的界线的模式,或者可在受保护的区域中设置数据显示单元或图形用户界面的背景的相应变化的颜色或相应变化的模式。在[5]中,这种显示例如在使用可靠图像的情况下实现。
替代地,可使用光标(遮盖)。按照该扩展方案,该光标的图像只能由可信核心处理器来编程或控制。该图像取决于光标在数据显示单元内或在图形用户界面内的位置,并且取决于该位置是否属于可靠的区域。如果该光标位于可靠的区域中、即在受保护的区域中,那么该光标得到外观,该用户选择了该外观来显示受保护的数据输入模式,并且如果光标位于在受保护的区域之外,向用户显示预先调节的光标,借助该光标显示正常数据输入模式。
在第二数据输入模式中,所执行的借助用户的数据输入仅仅由可信核心处理器102来处理。
按照另一扩展方案规定,在数据显示单元上显示代表可靠图像的像点卡或设置指令,按照由用户输入的数据是否在不安全的数据输入模式中被输入并因此被输送给应用处理器101或该数据是否在安全的数据输入模式中被输入并且仅被输送给可信核心处理器102,将该图像分别不同地显示给用户。
如果使用可编程的图形用户界面(掩码),其中该图形用户界面按照外观明确地代表相应的数据输入模式,则可以在数据显示单元内设置用于数据说明的安全的和不安全的区域。
紧接着,该用户可在将机密数据输入到数据处理设备中的情况下执行其受保护的交易,或者他可以有把握的是,他可以信赖在屏幕、一般数据显示单元上所示出的信息。
在本文中引用了以下公开出版物:
[1]Tom R.Halfhill,ARM Dons Armor Microprocessor Report,2003年8月25日。
[2]TPM Main Part 1 Design Principals,Specification Version 1.2,Revision62,2003年10月2日。
[3]R.Meinschein,Trusted Computing Group Helping Intel Secure the PC,Technology Intel Magazine,Januar 2004-12-01。
[4]EP 1 329 787 A2
[5]EP 1 056 014 A1
[6]US 2002/0068627 A1
[7]WO 02/100016 A1
[8]WO 99/61989 A1
[9]US 2003/110402 A1
[10]US 5,920,730
附图标记列表
100数据处理设备
101应用处理器
102可信核心处理器
103键盘
104数据
105键盘外围块
106系统总线
107集成的系统控制器
200移动无线电电信终端设备
201壳体
202天线
203数据显示单元
204扬声器
205麦克风
206键区
207数字键
208接通键
209断开键
210特殊功能按键
211 SIM卡
300移动无线电电信终端设备
301 SIM卡
302微处理器SIM卡
303存储器SIM卡
400数据处理装置
401个人计算机
402键盘
403计算机鼠标
404显示器
405芯片卡阅读器
406芯片卡
407接口
408接口
409接口
410接口
500数据处理装置
501客户计算机
502客户计算机
503客户计算机
504客户计算机
505客户计算机
506键盘
507键盘
508键盘
509键盘
510键盘
511电信网络
512服务器计算机
600消息流图
601签名请求消息
602签名请求
603电子文件的说明
604密匙标识的说明
605非易失性存储器
606秘密密匙简档
607方法步骤
608第一数据输入模式的显示
609第一数据输入模式变化请求消息
610方法步骤
611确认消息
612方法步骤
613方法步骤
614第二数据输入模式的显示
614方法步骤
614方法步骤
616秘密密匙
617方法步骤
618方法步骤
619方法步骤
620第二数据输入模式变化消息
621方法步骤
622第二确认消息
623数字签名
700流程图
701方法步骤
702方法步骤
703方法步骤
704方法步骤
705检验步骤
706方法步骤
707方法步骤
708方法步骤
709方法步骤
710方法步骤
711方法步骤
712方法步骤
713方法步骤
714方法步骤
800数据处理设备
801修改过的键盘外围块
802扫描和去抖动逻辑
803开关单元
804扫描结果寄存器
805计算机总线接口
806控制寄存器
807选择信号
Claims (28)
1.一种数据处理设备,
·具有用于将数据输入到数据处理设备中的数据输入单元;
·具有第一处理器;
·具有第二处理器;
·其中,这样来设立所述第一处理器,使得所述第一处理器在第一数据输入模式中接收并处理被输入到所述数据输入单元中的数据,其中所述第一处理器在所述第一数据输入模式中具有对所述数据输入单元的控制;
·其中,这样来设立所述第二处理器,使得所述第二处理器在第二、安全相关的数据输入模式中接收并处理被输入到所述数据输入单元中的数据,其中所述第二处理器在所述第二数据输入模式中具有对所述数据输入单元的控制。
2.根据权利要求1所述的数据处理设备,
其中,所述数据输入单元是以下数据输入单元之一:
·键盘;
·数据通信接口;
·触摸垫;
·触摸敏感的显示单元;
·计算机鼠标;
·麦克风。
3.根据权利要求1或2所述的数据处理设备,
其中,所述第一处理器被设立为应用处理器,用于执行应用计算机程序。
4.根据权利要求1至3之一所述的数据处理设备,
其中,由所述第一处理器来执行开放式操作系统。
5.根据权利要求4所述的数据处理设备,
其中,所述开放式操作系统具有至少一个操作系统外部通信接口。
6.根据权利要求4或5所述的数据处理设备,
其中,所述开放式操作系统是
·Windows操作系统,
·Linux操作系统,
·Unix操作系统,
·Symbian操作系统,或者
·Java平台.
7.根据权利要求1至6之一所述的数据处理设备,
其中,这样来设立所述第二处理器,使得只有一个或多个可靠的计算机程序可由所述第二处理器来执行。
8.根据权利要求7所述的数据处理设备,
其中,可靠的计算机程序是完整性受保护的计算机程序。
9.根据权利要求8所述的数据处理设备,
其中,完整性受保护的计算机程序是以加密方式被保护完整性的计算机程序。
10.根据权利要求7至9之一所述的数据处理设备,
其中,可靠的计算机程序被设立用于提供至少一个安全相关的业务。
11.根据权利要求10所述的数据处理设备,
其中,所述安全相关的业务是加密安全业务。
12.根据权利要求11所述的数据处理设备,
其中,所述加密安全业务在使用至少一个加密密匙的情况下来提供。
13.根据权利要求12所述的数据处理设备,
其中,所述加密安全业务在使用至少一个秘密的加密密匙和/或至少一个公开的加密密匙的情况下来提供。
14.根据权利要求11至13之一所述的数据处理设备,
其中,所述加密安全业务是下列安全业务中的至少一个:
·数字签名,
·数字图章,
·鉴权,
·数据加密,
·接入控制,
·访问控制,
·阻止在数据通信范围内的业务分析,
·散列方法。
15.根据权利要求1至14之一所述的数据处理设备,
具有用于显示所输入的数据的至少一部分的数据显示单元。
16.根据权利要求15所述的数据处理设备,
这样来设立,使得所述第二处理器在所述第二数据输入模式中接收所输入的数据并将与所输入的数据相比不同的、优选地具有相同数目的数据符号的数据传送给所述第一处理器和/或所述数据显示单元。
17.根据权利要求16所述的数据处理设备,
这样来设立,使得由所述第二处理器传送给所述第一处理器和/或所述数据显示单元的数据是预先给定的数据符号的序列、尤其是一个预先给定的数据符号的序列,其中所述数据符号的数目与所输入的数据的数据符号的数目相等。
18.根据权利要求15至17之一所述的数据处理设备,
其中,这样来设立所述第二处理器,使得所述第二处理器在所述第二数据输入模式中将安全模式显示信息传送给所述第一处理器和/或所述数据显示单元。
19.根据权利要求18所述的数据处理设备,
其中,所述安全模式显示信息是可视信息和/或音频信息。
20.根据权利要求1至19之一所述的数据处理设备,
具有处理器间通信单元,用于在将对所述数据输入单元的控制从所述第一处理器移交给所述第二处理器或者从所述第二处理器移交给所述第一处理器的范围内执行所述第一处理器和所述第二处理器之间的通信。
21.根据权利要求1至19之一所述的数据处理设备,
具有数据输入单元驱动单元,这样来设立所述数据输入单元驱动单元,使得
在所述第一数据输入模式中所输入的数据被传送给所述第一处理器;以及
在所述第二数据输入模式中所输入的数据被传送给所述第二处理器。
22.根据权利要求21所述的数据处理设备,
其中,这样来设立所述数据输入单元驱动单元,使得与在所述第二数据输入模式中所输入的数据相比不同的、优选地具有相同数目的数据符号的数据被传送给所述第一处理器和/或所述数据显示单元。
23.根据权利要求22所述的数据处理设备,
其中,被传送给所述第一处理器和/或所述数据显示单元的数据是预先给定的数据符号的序列、尤其是一个预先给定的数据符号的序列,其中,所述数据符号的数目与所输入的数据的数据符号的数目相等。
24.根据权利要求1至23之一所述的数据处理设备,
其中,所述第二处理器被设立为数字信号处理器。
25.根据权利要求1至23之一所述的数据处理设备,
其中,所述第二处理器被设立为芯片卡处理器。
26.根据权利要求1至23之一所述的数据处理设备,
其中,所述第二处理器被集成在电信终端设备的用户识别模块中。
27.具有根据权利要求1至26之一所述的数据处理设备的电信终端设备。
28.用于借助数据处理设备来进行数据处理的方法,
·其中,借助数据输入单元将数据输入到所述数据处理设备中;
·其中,由第一处理器在第一数据输入模式中接收并处理被输入到所述数据输入单元中的数据,其中所述第一处理器在所述第一数据输入模式中具有对所述数据输入单元的控制;以及
·其中,由第二处理器在第二、安全相关的数据输入模式中接收并处理被输入到所述数据输入单元中的数据,其中所述第二处理器在所述第二数据输入模式中具有对所述数据输入单元的控制。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102004062203.5 | 2004-12-23 | ||
DE102004062203A DE102004062203B4 (de) | 2004-12-23 | 2004-12-23 | Datenverarbeitungseinrichtung, Telekommunikations-Endgerät und Verfahren zur Datenverarbeitung mittels einer Datenverarbeitungseinrichtung |
Publications (1)
Publication Number | Publication Date |
---|---|
CN1794256A true CN1794256A (zh) | 2006-06-28 |
Family
ID=35841177
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CNA2005101358541A Pending CN1794256A (zh) | 2004-12-23 | 2005-12-23 | 数据处理设备、电信终端设备和借助数据处理设备处理数据的方法 |
Country Status (7)
Country | Link |
---|---|
US (1) | US20060195907A1 (zh) |
JP (2) | JP2006179011A (zh) |
KR (1) | KR100774013B1 (zh) |
CN (1) | CN1794256A (zh) |
DE (1) | DE102004062203B4 (zh) |
FR (1) | FR2885424B1 (zh) |
GB (1) | GB2421610A (zh) |
Cited By (21)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102217226A (zh) * | 2008-11-14 | 2011-10-12 | 微软公司 | 合并移动设备和计算机以创建安全的个性化环境 |
CN102984285A (zh) * | 2011-09-07 | 2013-03-20 | 启碁科技股份有限公司 | 通信装置、数据处理方法及路由模块 |
CN102986199A (zh) * | 2010-06-29 | 2013-03-20 | 杉中顺子 | 便携式通信终端、它的启动方法和网络通信系统 |
CN103354495A (zh) * | 2013-07-30 | 2013-10-16 | 东莞宇龙通信科技有限公司 | 终端和数据处理方法 |
CN103369724A (zh) * | 2013-07-30 | 2013-10-23 | 东莞宇龙通信科技有限公司 | 终端和数据处理方法 |
CN103369524A (zh) * | 2013-07-30 | 2013-10-23 | 东莞宇龙通信科技有限公司 | 终端和数据处理方法 |
CN103369148A (zh) * | 2013-07-30 | 2013-10-23 | 东莞宇龙通信科技有限公司 | 终端和数据处理方法 |
CN103390142A (zh) * | 2013-07-30 | 2013-11-13 | 东莞宇龙通信科技有限公司 | 一种终端 |
CN103391190A (zh) * | 2013-07-30 | 2013-11-13 | 东莞宇龙通信科技有限公司 | 终端和数据处理方法 |
CN103391371A (zh) * | 2013-07-30 | 2013-11-13 | 东莞宇龙通信科技有限公司 | 终端和数据处理方法 |
CN103391191A (zh) * | 2013-07-30 | 2013-11-13 | 东莞宇龙通信科技有限公司 | 终端和数据处理方法 |
CN103391189A (zh) * | 2013-07-30 | 2013-11-13 | 东莞宇龙通信科技有限公司 | 终端和数据处理方法 |
CN103402017A (zh) * | 2013-07-30 | 2013-11-20 | 东莞宇龙通信科技有限公司 | 终端和数据处理方法 |
CN103402014A (zh) * | 2013-07-30 | 2013-11-20 | 东莞宇龙通信科技有限公司 | 终端和数据处理方法 |
CN103402013A (zh) * | 2013-07-30 | 2013-11-20 | 东莞宇龙通信科技有限公司 | 终端和数据处理方法 |
CN103402018A (zh) * | 2013-07-30 | 2013-11-20 | 东莞宇龙通信科技有限公司 | 终端和数据处理方法 |
CN103402019A (zh) * | 2013-07-30 | 2013-11-20 | 东莞宇龙通信科技有限公司 | 终端和数据处理方法 |
CN103440437A (zh) * | 2013-07-30 | 2013-12-11 | 东莞宇龙通信科技有限公司 | 终端和用户界面的显示控制方法 |
WO2015014015A1 (zh) * | 2013-07-30 | 2015-02-05 | 宇龙计算机通信科技(深圳)有限公司 | 一种终端 |
CN104834877A (zh) * | 2015-02-10 | 2015-08-12 | 数据通信科学技术研究所 | 一种基于高保证内核的可信输入装置及方法 |
CN108459581A (zh) * | 2017-02-20 | 2018-08-28 | 英飞凌科技股份有限公司 | 确定信号处理部件完整性信息的方法、信号处理电路及电子控制单元 |
Families Citing this family (61)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8621242B2 (en) * | 2004-06-11 | 2013-12-31 | Arm Limited | Display of a verification image to confirm security |
EP1605330A1 (en) | 2004-06-11 | 2005-12-14 | ARM Limited | Secure operation indicator |
US8051052B2 (en) * | 2004-12-21 | 2011-11-01 | Sandisk Technologies Inc. | Method for creating control structure for versatile content control |
US20070168292A1 (en) * | 2004-12-21 | 2007-07-19 | Fabrice Jogand-Coulomb | Memory system with versatile content control |
US8601283B2 (en) * | 2004-12-21 | 2013-12-03 | Sandisk Technologies Inc. | Method for versatile content control with partitioning |
US8504849B2 (en) * | 2004-12-21 | 2013-08-06 | Sandisk Technologies Inc. | Method for versatile content control |
US7748031B2 (en) * | 2005-07-08 | 2010-06-29 | Sandisk Corporation | Mass storage device with automated credentials loading |
EP1788507A3 (fr) * | 2005-11-16 | 2010-04-07 | Ingenico SA | Terminal de transaction électronique pouvant fonctionner en mode sécurisé et en mode non sécurisé, ainsi que méthode adaptée au dispositif |
US7765399B2 (en) * | 2006-02-22 | 2010-07-27 | Harris Corporation | Computer architecture for a handheld electronic device |
US7779252B2 (en) * | 2006-03-21 | 2010-08-17 | Harris Corporation | Computer architecture for a handheld electronic device with a shared human-machine interface |
US8041947B2 (en) * | 2006-03-23 | 2011-10-18 | Harris Corporation | Computer architecture for an electronic device providing SLS access to MLS file system with trusted loading and protection of program execution memory |
US8127145B2 (en) * | 2006-03-23 | 2012-02-28 | Harris Corporation | Computer architecture for an electronic device providing a secure file system |
US8060744B2 (en) * | 2006-03-23 | 2011-11-15 | Harris Corporation | Computer architecture for an electronic device providing single-level secure access to multi-level secure file system |
US7979714B2 (en) * | 2006-06-02 | 2011-07-12 | Harris Corporation | Authentication and access control device |
US8245031B2 (en) | 2006-07-07 | 2012-08-14 | Sandisk Technologies Inc. | Content control method using certificate revocation lists |
US8639939B2 (en) * | 2006-07-07 | 2014-01-28 | Sandisk Technologies Inc. | Control method using identity objects |
US20100138652A1 (en) * | 2006-07-07 | 2010-06-03 | Rotem Sela | Content control method using certificate revocation lists |
US8140843B2 (en) * | 2006-07-07 | 2012-03-20 | Sandisk Technologies Inc. | Content control method using certificate chains |
US8613103B2 (en) * | 2006-07-07 | 2013-12-17 | Sandisk Technologies Inc. | Content control method using versatile control structure |
US8266711B2 (en) * | 2006-07-07 | 2012-09-11 | Sandisk Technologies Inc. | Method for controlling information supplied from memory device |
AT504196B1 (de) * | 2006-09-15 | 2012-04-15 | Frequentis Gmbh | Verfahren und system zur übertragung von vertraulichen und nicht vertraulichen daten |
US20090064273A1 (en) * | 2007-08-31 | 2009-03-05 | Broadcom Corporation | Methods and systems for secure data entry and maintenance |
US8842836B2 (en) * | 2007-11-26 | 2014-09-23 | Koolspan, Inc. | System for and method of cryptographic provisioning |
WO2009145767A1 (en) * | 2008-05-29 | 2009-12-03 | Hewlett-Packard Development Company, L.P. | Method and system for transmitting and verifying signatures wirelessly |
FR2934910B1 (fr) * | 2008-08-05 | 2013-08-16 | Inside Contactless | Procede de securisation d'une transaction executee au moyen d'un dispositif portable programmable. |
US8108908B2 (en) | 2008-10-22 | 2012-01-31 | International Business Machines Corporation | Security methodology to prevent user from compromising throughput in a highly threaded network on a chip processor |
US9104618B2 (en) * | 2008-12-18 | 2015-08-11 | Sandisk Technologies Inc. | Managing access to an address range in a storage device |
US9065812B2 (en) | 2009-01-23 | 2015-06-23 | Microsoft Technology Licensing, Llc | Protecting transactions |
JP5266160B2 (ja) | 2009-08-11 | 2013-08-21 | フェリカネットワークス株式会社 | 情報処理装置、プログラム、および情報処理システム |
KR101064143B1 (ko) * | 2010-08-20 | 2011-09-15 | 주식회사 파수닷컴 | Drm 환경에서의 클립보드 보호 시스템 및 그 방법을 컴퓨터에서 실행시키기 위한 프로그램을 기록한 기록매체 |
DE102010052666B4 (de) | 2010-11-26 | 2019-01-03 | Trustonic Ltd. | Verfahren zur sicheren mobilen Transaktionsdurchführung |
US20120278236A1 (en) * | 2011-03-21 | 2012-11-01 | Qualcomm Incorporated | System and method for presentment of nonconfidential transaction token identifier |
US9183373B2 (en) | 2011-05-27 | 2015-11-10 | Qualcomm Incorporated | Secure input via a touchscreen |
CN102393886B (zh) * | 2011-06-29 | 2014-11-26 | 北京数码视讯科技股份有限公司 | 移动终端的安全控制方法、装置及系统 |
DE102011115135A1 (de) | 2011-10-07 | 2013-04-11 | Giesecke & Devrient Gmbh | Mikroprozessorsystem mit gesicherter Laufzeitumgebung |
DE102011116489A1 (de) * | 2011-10-20 | 2013-04-25 | Giesecke & Devrient Gmbh | Mobiles Endgerät, Transaktionsterminal und Verfahren zur Durchführung einer Transaktion an einem Transaktionsterminal mittels eines mobilen Endgeräts |
KR101701277B1 (ko) * | 2012-04-16 | 2017-02-01 | 인텔 코포레이션 | 확장성 보안 실행 |
EP3471043B1 (en) * | 2012-04-17 | 2020-07-01 | INTEL Corporation | Trusted service interaction |
KR20140023606A (ko) * | 2012-08-16 | 2014-02-27 | 삼성전자주식회사 | 트러스트 존에 의한 실행 환경에서 결제 요청을 처리하는 디바이스 및 방법 |
US10147090B2 (en) | 2012-10-01 | 2018-12-04 | Nxp B.V. | Validating a transaction with a secure input without requiring pin code entry |
CN103870098B (zh) * | 2012-12-13 | 2017-06-23 | 腾讯科技(深圳)有限公司 | 界面显示的控制方法、装置及移动终端 |
EP2951746B1 (en) * | 2013-01-29 | 2019-10-30 | BlackBerry Limited | System and method of enhancing security of a wireless device through usage pattern detection |
EP2994873A4 (en) | 2013-05-10 | 2017-02-15 | Uberfan LLC | Event-related media management system |
US20150007346A1 (en) * | 2013-06-26 | 2015-01-01 | International Business Machines Corporation | Protecting confidential content in a user interface |
FR3016456B1 (fr) * | 2014-01-13 | 2017-06-23 | Morpho | Procede de saisie de donnees confidentielles sur un terminal |
EP2894588B1 (en) * | 2014-01-13 | 2018-08-15 | Nxp B.V. | Data processing device, method for executing an application and computer program product |
JP2015171105A (ja) * | 2014-03-10 | 2015-09-28 | パナソニックIpマネジメント株式会社 | 決済端末装置 |
US11809610B2 (en) | 2014-06-16 | 2023-11-07 | Texas Instruments Incorporated | Hardware protection of inline cryptographic processor |
US9471799B2 (en) * | 2014-09-22 | 2016-10-18 | Advanced Micro Devices, Inc. | Method for privileged mode based secure input mechanism |
CN104346074A (zh) * | 2014-10-23 | 2015-02-11 | 深圳市金立通信设备有限公司 | 一种终端 |
CN104360800A (zh) * | 2014-10-23 | 2015-02-18 | 深圳市金立通信设备有限公司 | 一种解锁模式调整方法 |
CN104573445A (zh) * | 2015-01-22 | 2015-04-29 | 陆忠敏 | 一种密码输入方法及其装置 |
US10019605B2 (en) * | 2015-03-30 | 2018-07-10 | Square, Inc. | Systems, methods and apparatus for secure peripheral communication |
DE102015226315A1 (de) * | 2015-12-21 | 2017-06-22 | Cherry Gmbh | Vorrichtung und Verfahren zur Erkennung einer Schalterbetätigung |
CN107092839A (zh) * | 2016-02-17 | 2017-08-25 | 深圳市维申斯科技有限公司 | 基于随机虚位密码的密码键盘防盗输入方法 |
KR101997254B1 (ko) * | 2017-05-10 | 2019-07-08 | 김덕우 | 고립된 사용자컴퓨팅부를 갖는 컴퓨터 |
US10699033B2 (en) | 2017-06-28 | 2020-06-30 | Advanced Micro Devices, Inc. | Secure enablement of platform features without user intervention |
JP7056446B2 (ja) * | 2018-07-30 | 2022-04-19 | 日本電信電話株式会社 | 情報処理装置、情報処理システム及び情報処理方法 |
KR102092575B1 (ko) * | 2018-09-06 | 2020-03-24 | 주식회사 에스에프에이 | 둘 이상의 핸드를 구비하는 이송 장치 및 그 동작 방법 |
US10895597B2 (en) | 2018-11-21 | 2021-01-19 | Advanced Micro Devices, Inc. | Secure coprocessor assisted hardware debugging |
US11057381B1 (en) * | 2020-04-29 | 2021-07-06 | Snowflake Inc. | Using remotely stored credentials to access external resources |
Family Cites Families (23)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2983391B2 (ja) * | 1992-09-17 | 1999-11-29 | 株式会社東芝 | ポータブルコンピュータ |
US7124302B2 (en) * | 1995-02-13 | 2006-10-17 | Intertrust Technologies Corp. | Systems and methods for secure transaction management and electronic rights protection |
EP0763791A1 (en) * | 1995-09-14 | 1997-03-19 | Hewlett-Packard Company | Computer keyboard unit with smartcard interface |
US5664099A (en) * | 1995-12-28 | 1997-09-02 | Lotus Development Corporation | Method and apparatus for establishing a protected channel between a user and a computer system |
AUPO959897A0 (en) * | 1997-10-02 | 1997-10-30 | Compucat Research Pty Limited | Data switch |
US6092202A (en) * | 1998-05-22 | 2000-07-18 | N*Able Technologies, Inc. | Method and system for secure transactions in a computer system |
JP2003521834A (ja) | 1999-01-29 | 2003-07-15 | ジェネラル・インストルメント・コーポレーション | Cta間のシグナリングおよび呼び出しパケットを保護する電話呼び出しに関する鍵管理 |
EP1056014A1 (en) * | 1999-05-28 | 2000-11-29 | Hewlett-Packard Company | System for providing a trustworthy user interface |
SE515327C2 (sv) * | 1999-08-27 | 2001-07-16 | Ericsson Telefon Ab L M | Anordning för att utföra säkra transaktioner i en kommunikationsanordning |
US6950949B1 (en) * | 1999-10-08 | 2005-09-27 | Entrust Limited | Method and apparatus for password entry using dynamic interface legitimacy information |
KR100358705B1 (ko) * | 1999-11-25 | 2002-10-30 | 주식회사 소프트 프로텍 | Pc 기반의 유.에스.비. 보안 모듈과 암호칩을 사용한정보 보호 장치 |
JP2001185542A (ja) * | 1999-12-27 | 2001-07-06 | Hitachi Ltd | プラズマ処理装置及びそれを用いたプラズマ処理方法 |
FR2815204B1 (fr) * | 2000-10-10 | 2003-01-10 | Gemplus Card Int | Procede de protection contre la fraude dans un reseau par choix d'une icone |
AUPR188200A0 (en) * | 2000-12-04 | 2001-01-04 | Aristocrat Technologies Australia Pty Limited | Gaming video overlay |
DE10061998A1 (de) * | 2000-12-13 | 2002-07-18 | Infineon Technologies Ag | Kryptographieprozessor |
US7185174B2 (en) * | 2001-03-02 | 2007-02-27 | Mtekvision Co., Ltd. | Switch complex selectively coupling input and output of a node in two-dimensional array to four ports and using four switches coupling among ports |
AU2002331784A1 (en) * | 2001-08-31 | 2003-03-18 | John W. Hamilton | A non-algebraic cryptographic architecture |
KR100450940B1 (ko) * | 2001-12-07 | 2004-10-02 | 삼성전자주식회사 | 이동 통신 단말의 패스워드 입력 방법 |
EP1329787B1 (en) * | 2002-01-16 | 2019-08-28 | Texas Instruments Incorporated | Secure mode indicator for smart phone or PDA |
US7069442B2 (en) * | 2002-03-29 | 2006-06-27 | Intel Corporation | System and method for execution of a secured environment initialization instruction |
KR100455990B1 (ko) * | 2002-08-22 | 2004-11-08 | 삼성전자주식회사 | 사용자 인식 카드 공용 메모리카드를 가지는 이동 무선단말기 |
KR100774531B1 (ko) * | 2003-10-24 | 2007-11-08 | (주) 미석이노텍 | 암호화 칩을 이용한 저장매체 데이터 보안 장치 |
US20050275661A1 (en) * | 2004-06-10 | 2005-12-15 | Cihula Joseph F | Displaying a trusted user interface using background images |
-
2004
- 2004-12-23 DE DE102004062203A patent/DE102004062203B4/de not_active Expired - Fee Related
-
2005
- 2005-12-22 KR KR1020050127669A patent/KR100774013B1/ko not_active IP Right Cessation
- 2005-12-23 FR FR0513214A patent/FR2885424B1/fr not_active Expired - Fee Related
- 2005-12-23 GB GB0526370A patent/GB2421610A/en not_active Withdrawn
- 2005-12-23 US US11/317,640 patent/US20060195907A1/en not_active Abandoned
- 2005-12-23 CN CNA2005101358541A patent/CN1794256A/zh active Pending
- 2005-12-26 JP JP2005373541A patent/JP2006179011A/ja active Pending
-
2009
- 2009-10-08 JP JP2009234157A patent/JP2010092485A/ja active Pending
Cited By (26)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102217226A (zh) * | 2008-11-14 | 2011-10-12 | 微软公司 | 合并移动设备和计算机以创建安全的个性化环境 |
CN102986199A (zh) * | 2010-06-29 | 2013-03-20 | 杉中顺子 | 便携式通信终端、它的启动方法和网络通信系统 |
CN102984285A (zh) * | 2011-09-07 | 2013-03-20 | 启碁科技股份有限公司 | 通信装置、数据处理方法及路由模块 |
CN103402017A (zh) * | 2013-07-30 | 2013-11-20 | 东莞宇龙通信科技有限公司 | 终端和数据处理方法 |
CN103402013A (zh) * | 2013-07-30 | 2013-11-20 | 东莞宇龙通信科技有限公司 | 终端和数据处理方法 |
CN103369524A (zh) * | 2013-07-30 | 2013-10-23 | 东莞宇龙通信科技有限公司 | 终端和数据处理方法 |
CN103369148A (zh) * | 2013-07-30 | 2013-10-23 | 东莞宇龙通信科技有限公司 | 终端和数据处理方法 |
CN103390142A (zh) * | 2013-07-30 | 2013-11-13 | 东莞宇龙通信科技有限公司 | 一种终端 |
CN103391190A (zh) * | 2013-07-30 | 2013-11-13 | 东莞宇龙通信科技有限公司 | 终端和数据处理方法 |
CN103391371A (zh) * | 2013-07-30 | 2013-11-13 | 东莞宇龙通信科技有限公司 | 终端和数据处理方法 |
CN103391191A (zh) * | 2013-07-30 | 2013-11-13 | 东莞宇龙通信科技有限公司 | 终端和数据处理方法 |
CN103391189A (zh) * | 2013-07-30 | 2013-11-13 | 东莞宇龙通信科技有限公司 | 终端和数据处理方法 |
CN103354495A (zh) * | 2013-07-30 | 2013-10-16 | 东莞宇龙通信科技有限公司 | 终端和数据处理方法 |
CN103402014A (zh) * | 2013-07-30 | 2013-11-20 | 东莞宇龙通信科技有限公司 | 终端和数据处理方法 |
CN103369724A (zh) * | 2013-07-30 | 2013-10-23 | 东莞宇龙通信科技有限公司 | 终端和数据处理方法 |
CN103402018A (zh) * | 2013-07-30 | 2013-11-20 | 东莞宇龙通信科技有限公司 | 终端和数据处理方法 |
CN103402019A (zh) * | 2013-07-30 | 2013-11-20 | 东莞宇龙通信科技有限公司 | 终端和数据处理方法 |
CN103440437A (zh) * | 2013-07-30 | 2013-12-11 | 东莞宇龙通信科技有限公司 | 终端和用户界面的显示控制方法 |
WO2015014015A1 (zh) * | 2013-07-30 | 2015-02-05 | 宇龙计算机通信科技(深圳)有限公司 | 一种终端 |
CN103402017B (zh) * | 2013-07-30 | 2015-08-12 | 东莞宇龙通信科技有限公司 | 终端和数据处理方法 |
CN103369724B (zh) * | 2013-07-30 | 2017-05-17 | 东莞宇龙通信科技有限公司 | 终端和数据处理方法 |
CN103390142B (zh) * | 2013-07-30 | 2016-09-21 | 东莞宇龙通信科技有限公司 | 一种终端 |
CN103369148B (zh) * | 2013-07-30 | 2016-10-05 | 东莞宇龙通信科技有限公司 | 终端和数据处理方法 |
CN104834877A (zh) * | 2015-02-10 | 2015-08-12 | 数据通信科学技术研究所 | 一种基于高保证内核的可信输入装置及方法 |
CN104834877B (zh) * | 2015-02-10 | 2018-08-28 | 数据通信科学技术研究所 | 一种基于高保证内核的可信输入装置及方法 |
CN108459581A (zh) * | 2017-02-20 | 2018-08-28 | 英飞凌科技股份有限公司 | 确定信号处理部件完整性信息的方法、信号处理电路及电子控制单元 |
Also Published As
Publication number | Publication date |
---|---|
FR2885424B1 (fr) | 2011-08-05 |
DE102004062203A1 (de) | 2006-07-13 |
FR2885424A1 (fr) | 2006-11-10 |
GB2421610A (en) | 2006-06-28 |
US20060195907A1 (en) | 2006-08-31 |
KR100774013B1 (ko) | 2007-11-08 |
GB0526370D0 (en) | 2006-02-01 |
DE102004062203B4 (de) | 2007-03-08 |
KR20060073474A (ko) | 2006-06-28 |
JP2010092485A (ja) | 2010-04-22 |
JP2006179011A (ja) | 2006-07-06 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN1794256A (zh) | 数据处理设备、电信终端设备和借助数据处理设备处理数据的方法 | |
CN1581118A (zh) | 安全设备、信息处理终端、集成电路、应用装置及方法 | |
CN1277364C (zh) | 数据记录装置、数据供给装置及数据传送系统 | |
CN101051292A (zh) | 一种可信u盘、实现可信u盘安全性及其与计算机数据通信的方法 | |
CN1396568A (zh) | 数字作品保护系统、记录媒体装置、发送装置和重放装置 | |
CN1273901C (zh) | 用于计算机装置验证的系统和方法 | |
CN1871568A (zh) | 程序执行设备 | |
CN1770688A (zh) | 用户认证系统和方法 | |
CN1430140A (zh) | 限制内容访问与存储的设备与方法 | |
CN1855808A (zh) | 用于提供安全服务的设备及方法 | |
CN1465006A (zh) | 用于管理存储在移动终端存储块中的程序的系统 | |
CN1846393A (zh) | 个人计算机因特网安全系统 | |
CN1781087A (zh) | 安全访问带有客户端接收的专用网的方法和系统 | |
CN1808966A (zh) | 安全数据处理方法及其系统 | |
CN1455894A (zh) | 将程序发送到移动终端的存储模块的方法和装置 | |
CN1677920A (zh) | 保护媒体内容的方法和系统 | |
CN1992724A (zh) | 管理服务器和终端单元 | |
CN1378405A (zh) | 通过直接接触或邻近连接在通信设备间进行无线局域网参数设置的方法 | |
CN1496628A (zh) | 内容分配系统 | |
CN100343831C (zh) | 能够不重叠地存储多个历史信息项的数据存储设备 | |
CN1744548A (zh) | 信息分发系统及其方法、终端、服务器、及终端连接方法 | |
CN1855805A (zh) | Sip消息的加密方法和加密通信系统 | |
CN1507719A (zh) | 电子设备控制装置 | |
CN101052186A (zh) | 用于便携式通信装置的服务限制设备和方法 | |
CN1382291A (zh) | 数据再生装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
WD01 | Invention patent application deemed withdrawn after publication |