TW200805204A - Method and apparatus for safely processing sensitive information - Google Patents

Description

200805204 九、發明說明： 【發明所屬之技術領域】 本發明係㈣於—種安全 訊）之系統與方法，具體古之，仫古Μ寸別疋破感貝 穿飞19 η 14 ° 係有關於根據申請專利範園 弟卜12、13以14韻應的子句之綠•法的使用。 【先前技術】 所比4 =地處^ Μ Λ (特別是敏感資訊）的系統與方法是眾 所皆知的。 10 例如，^都知道存取控制裝置(例如自動現金提款機 (aUt〇matlC cash d1Spenser))僅提供透過認證的存取，例如磁= 卡(magnedc stdp Card)、晶片卡或是智慧卡（他⑽c = ι· 時亦會與PIN結合。敏感資訊係儲存於卡中，使用卡寸+ 訊問（iiueirogation)其他資訊（例如piN)以防未授權::要 卡。在適用於電子現金提款機之磁條卡或晶 、使用 係儲存加密資料。在被動式(passive)+(例如磁條^Z中， 料經過外部加密，也就是分開的讀取機中。在主）肀的資 計算單元(例如晶片）係整合於卡中。如此一來，資^卡中， 片上加密。為了避免誤用晶片卡，故藉由piN或可於晶 特徵來控制對晶片的存取。 門生物 磁卡與晶片卡的缺點在於其容易受到電礤作 毀。再者，由於卡的就尺寸使得磁卡與晶片卡的鱗存^ 5 20 200805204 常的小。相較於磁條卡，晶片卡具有較大的儲存量，且比較 沒有被竄改或複製的風險。 基於此理由，現今的一些認證方法仍受到晶片卡的限 制。因此，僅有晶片卡才可以在卡上簽名並藉由電子的方式 5 驗證敏感資訊的真實性以及完整性。 然而，製造晶片卡的花費相當昂貴（是製造磁條卡的好 幾倍）。 【發明内容】 10 本發明的目的係為製造一種可安全地傳送敏感資訊的 系統及/或方法，其可以廣泛的應用且特別容易為一般大眾操 作。 本發明其他目的為製造一種可安全地傳送敏感資訊之 可靠系統及/或方法，其可快速可靠且不易受到干擾地傳送大 ΐφ 量資料並且可預防未授權的使用。 本發明之目的可藉由包含申請專利範圍第1項所述之 特徵的系統，以及包含申請專利範圍第12及/或13項所述之 特徵的方法而達成。 本發明包含藉由簽名及/或加密原則之方式可靠地處 2〇 理資訊的系統，該系統至少包含下列裝置：第一行動裝置 (mobile);被動儲存單元，用於可取回地儲存第一資訊；處 理裝置，用來與第一儲存單元互動以處理資訊，包含：具有 200805204 解岔=護之第二儲存單元，用於可取回地儲存對應於第一資 訊之第二資訊，·用於處理之電腦單元，較佳為用來密碼地 (cryptographically)處理資訊，·資訊傳輪單元，用來將第 /或第二儲存單元之資訊傳送至電腦單元。 5 在後文中，”處理，，通常代表根據IP0原則-轸 (mpUt)二處理(processing)、輸出（〇卿ut)(儲存)來執行處:。 一般而&，其亦被稱為處置(handling)資訊。 _ a f訊通常被理解為所有m，㈣是纽受到 榷存取之資訊，也就是一般敏感及/或機密資訊，例如：勺二 10診斷雜、治療的私人資料以及金融資料(例如銀行連= 料)等等。 、’貝 一為了藉由第三方及/或檢查資訊的整體性及/或真實 使資訊免於受到未授權的存取，本發㈣提供—種適用二’ 理的簽名及/或加密原則。 ^ % # 4理資訊的系統或裝置包含至少-第-行動裝置儲疒 單元，用於可取回地儲存之第一資訊。第一儲存單元同樣^ 物件或人相關並且受到物件或人為管理而儲存於其中。^二 儲存單元係適用於行動裝置，使其可隨著物件或人而移動。 對應的裝置於必要時可讀取行動性第一儲存單元中所儲疒 20 的資料或資訊。該資訊包含例如電子金鑰，例如金鑰對之= 密金鑰（private key)及/或簽章或電子簽章（electr〇= signature)。再者，該資訊可包含避免其他人存取的資料或^ 難以取得的資料。其可以是銀行帳戶資料、臨床資料、身= 200805204 資料等等。此資訊較如對應的•來加密及/或龙署。 該系統必須提供處理裝置以於 ^ 理裝置係藉由此方法與第一儲存單-石 处理此貧訊。處 藉由處理裝置讀取或是可館存於第:儲=單^_資訊可 處理裝置包含至少-第二儲存單元^ 佳為可避免解密。其可藉由實體防護而，「儲存單元較 (closed housing) ’其難以被未授權而存取=如封閉外殼 置（例如資料防護）。 及或其他防護裝 在第二儲存單元中係儲存第二資訊。 欠 第二敏感及資訊)對應至第—儲存單了中:較 訊。例如，弟二資訊可包含對應於第1存單元$人一貝 數金鑰（counter key)以形成金鑰對。再至鑰的計 第-儲存單元之資料的相關資料可儲存於第二儲Π:;於 為了處理至少部分加密及/或簽署的 次 15 將其解密及/或確認簽章。基於此理由，處理必須先 I:及用二=地處理資訊。此電腦單元係處理二:: 山及/或d的_，使得交易可被執刀的 -儲存單元之载體一ier)來進行。 -(員僅错由第 為了將資訊從第一及/或第二儲存單 元，亦提供資邱值、芝⑽- ^千凡傅达至電腦單 訊。傳料兀。此亦可用來安全地傳送對應的! 儲存於其 至J一個儲存單元較佳為非電子儲存單元， 20 200805204 =的機4貝5fl(具體而言，該第—資訊)可以非電子的方式儲 子及/或取回。非電子儲存單元包含例如磁性或光學儲存單 元。 至少一個儲存單元較佳為光學儲存單元，包含作為儲 存媒體之光哥址聚合物(photoaddressable 群組及/或 來自光儲存單元之機密資訊（具體而言，該第一資訊）可由光 學的方式執行儲存及/或取回。 透過一事實可區別出光尋址聚合物所形成的材料，上 述事實為該材料可以藉由光將方向性雙折射寫入材料 (olymers as Electrooptical and Photooptical Active Media, V.R Shibaev (Editor)，Springer Verlag，New Yourk，1995; Natansohn et al·，Chem. Mater. 1993, 403-411)。在美國專利第 5173381號中說明這些光尋址聚合物為具有功能化偶氮苯側 鍊（azobenzene-functionalized side chain)之聚合物。 籍由光儲存裝置之資訊’此可以是設置為可靠、避免 外部影響且在非常小的空間中具有大容量的裝置。光儲存資 訊之設置特別可免於受到例如磁場或電子的影響。光儲存可 產生容量與儲存尺寸之間的最佳比值。再者，光儲存單元比 電子儲存單元(例如晶片）具有更多的優點。基於此理由，光 儲存亦可產生容量與成本之間的最佳比值。 至少一儲存單元較佳為從晶片卡(chip card)、儲存卡 (storage card)以及智慧卡(smart card)之群組中所挑選出來的 卡之型式。設計為卡是為了記憶體之輕易操作以及可攜式結 9 200805204 構。卡較佳為與其他常用的卡具有 等等。此型式的卡使得行動記憶體=的尺寸，例如信用卡 製造特殊儲存單元的錢包等等。易保存於例如不需要 又定義於ISO/IEC 7810標準中。此^佳為具有11X1袼式， 且可較佳的使用。 °式具有傳統讀取器等並

10 15

資料為至7:==，:，儲存資訊叫 元組⑽帅更佳為大於1Mbyte為大於〇.5百萬位 傳統記龍例如磁條、晶4料有丨爲你。 有限的資訊項目。因此，口 的圯丨思脰，只能儲存 發明所述之較佳的5二赫少量的項目。制根據本 加密的資料 儲存谷线謂存大㈣㈣以及經過 W儲存谷I ’用以形成儲存單元的儲存媒體 光乂/址^^T %料單71)係料聚合物（特収作為來自 先♦址?K合物群組之聚合物）。 ° 貝5礼可以全像地(holographically)方式儲存 於行動口己(^體中，車交佳為一或多個極化全像㈣arizati〇n h〇1〇gram)。全像儲存(holographic storage)資訊提供有效的及 改良的資訊防護，使其免於受到未授權人士的操作（例如複 製或其他操作）。 全像儲存是一種類比儲存方法，也就是儲存於第一行 動記憶體中的資訊為類比型式。 儲存於第一行動記憶體中的敏感資訊在儲存於行動記 20 200805204 憶體前及/或在其從行動記憶體讀出後較佳為數位型、 在儲存於行動記憶體及/或在從行 / 後，其較佳顯示為加密及/或簽署的型式。 體中§買出 較佳實施例係提供至少一儲存單元，& 較佳為數位儲存單元，資訊可以數位的儲存單元 可以數位的方式來擷取儲存於其中的資存於其中或是 =方式儲存於對_儲存單元中_ 為以數 然其並不是為了儲存㈣的料。触機二^存單元）， 二的方式加密及/或簽署。在此例子中的為以數 署且该簽章較佳為與敏感資 已經過簽 Ϊ此理由力―料單元咖單元中。基 在儲存早元，較佳第— 户—子早兀）較佳為加 儲存於其中的加密資訊可儲存於其中或是可以擷取 15 記情體為量的f訊’對應的儲存單元較料被動十 己上體仃動儲存單元特別儲，為被動式 被動式儲存單元中 、的貝成。基於此理由， 地執行資訊計曾、广理、壬可區域可藉由對應演算法主動 處理以及加密等。 邻 因此用來訊讀存料二儲存單元， 此理由，第4::Γ!可儲存於第二儲存單元中。基於 行動儲存單元係灸71:1 又乜為主動儲存單元。在此系統中， 的記憶體之行動儲存.動式/己憶體（晶片卡)或是具有小且安全 將第n (全像記憶卡)。 τ 口己知體製造為被動式且具有高儲存容量的 20 5

10 15 20 200805204 安全記憶體，而將第_ ^ t 式儲存單元，㈣可造為轉式記賴我是 統。因此，第二錯存單=；；安為t、堅固且具成本效益= 電性錯存於其μ是可存單元，第二資^ ，。相對於磁性或非電性儲存^取儲存於其中的苐二資 佳為可電子地儲存於電子敏感資訊以及灣算法較 關通訊可在不使_tt/數位與電腦單元之間的相 數位轉換态的情況下實現。 本叙明較佳實施例中係 ，就是被動式記憶體)，=::己灣造為光學記 'fe體。由於第二記丨 + -。仏體製造為電子記 二記々上耦接至電腦單元，因此具有對靡證 。己體之卡又叫做主鲂式儲存卡。 匕，、有對應弟 存。：了第葬:記憶體*中物 元為了错由貢訊傳送單元將傳送資料至第-電子儲2 凡’貢料必須從類比狀態更改—子储存早 源鱼相& 〜更改為电子或數位狀態。因此將光 存單^結合來作為資訊傳送單元。接下來光源照射第一儲 ^上的全像。由於光束於全像處產生繞射(碰咖㈣因 相拖，儲存資訊之影像。所產生包含敏感資訊的影像係為由 、斤挑選所反應的結I。相機接著從光學信號產生對應於 儲存單元之電子或數位信號.。 一為了處理敏感資訊，第二記憶體係連接至第一電腦單 ^此第一電腦單元單獨存取第二記憶體中的資訊。未授權 ^人士無法從外部讀取及/或操作第二記憶體中的資訊。只有 弟電腦單元可以與第一儲存單元進行通訊並於兩者之間 12 200805204 傳送資料。 第一電腦單元具有密碼功能，藉此可以將資訊加密以 及解密或是簽署。該功能又包含建立及/或檢查簽章的可能 性。如同第二儲存單元免於受到未授權人士的存取，第一電 5 腦單元亦可免於未授權人士之存取。 電腦單元、第二儲存單元以及資訊傳輸單元較佳為適 用於電腦單元與第二記憶體之間在一單元或設備中交換資 •料。藉由此單元便可於第一與第二記憶體之間交換資訊。 電腦單元較佳為以智慧卡或晶片卡的方式結合於第二 10 儲存單元中。為了避免未授權的操作，電腦單元以及儲存阜 元較佳為具有憑證，例如根據一般標準達到EAL+4或是更 高層級，此提供非常高的安全性。 如上所述，介於行動第一記憶體與第二記憶體之間的 資訊傳送單元較佳為光學資訊傳送單元，以藉由至少一光束 徑(beam path)來傳送資訊。 電腦單元較佳為具有至少一傳輸通道，藉由傳輸通道 可以將資訊傳送至其他電腦或是接收來自其他電腦的資訊。 這樣的傳輸通道較佳為防護通道。防護通道可以為加 密通道（邏輯防護），由於該通道設置於受監視的環境，因此 20 這也可以是未授權人士無法從外部入侵或存取(實體防護）的 通道。 為了在不同電腦單元之間交換資料，該電腦單元必須 13 200805204 於進行資料交換前彼此互相認證。 資訊傳輸單元較佳為寫入及/或讀取單元。 本發明較佳實施例提供光學傳送單元，用以藉由至少 一光束以光學的方式發射包含雷射群組之偏光（polarize light)。

10

20 本發明可提供另一電腦單元來增加安全性，另外可提 供第三儲存單元來儲存與第一及/或第二資訊相關之第三資 汛。另外可藉由虹膜掃描（iris scan)、PIN輪入以及取得其他 生物資料(例如指紋等）來實施進一步的安全性詢問。 曰 為了管理不同使用者的金鑰及/或憑證，該系統較佳為 提供金鑰管理單元來管理金鑰及/或簽章。 次 毛明亦包含教導以密碼的方式安全地處理及/或 ^貪訊之方法，包含下列步驟：讀取及/或儲 的r加議，讀取及/或儲存與第-資= 電=腦:::傳送第一加密資訊《及第二加 訊，其中至少二中的弟-貪讯以岔碼的方式處理第一 皆一 分％取及/或儲存第一資訊的步^ 弟—育訊勢驟是財電子的方式執行。 及/或傳 步驟根據本發明所述之用來處理_資訊的方法包含下 14 200805204 =*訊為數位加密，則可藉由第-電腦單元以及資訊(例 田古子於第一§己憶體中的密碼的金鑰）來解密。若資訊被簽 署，則必須檢查簽章。 、 ^第一行動記憶體中的資訊係藉由對稱加密系統而加 5 ㊉。基於此理由便可使用AES㈣式的加密方法。簽章較 佳為使用適用於電子加密之標準程序。基於此理由便可使用 RSA或橢圓曲線數字簽名演算法（Elliptic Curve D_tai ⑩ Signature Algorithm，ECDSA)型式之加密方法。 讀取及/或儲存第一資訊之步驟及/或傳送第一資訊的 1〇 步驟較佳為以光學的方式執行。在此方法中，傳輪係根據傳 輪速度與資料安全性而執行最佳化。 根據本發明貫施例所述方法之至少一步驟較佳為以數 位的方式貫現。數位處理的好處在於不需要AD轉換器即可 進行處理’使得系統具有叫簡單的配置且具有較簡潔之方 15 法。 • 、… 為了使資訊只能被授權人士所存取，”讀取及/或儲存，， 及/或”傳送”之至少一步驟必須以加密的方式實現，以確保具 有高階的資料安全性。在光學、數位處理的例子中加密可達 到較高階的資料安全，因此極機密資訊亦可藉由此方法來處 2〇 理。整體來說，藉由此方法可達到較高階的資料安全性。 弟^一貢机較佳為以光學可傳輸型式存在。再者，” ★賣取 及/或儲存”及/或”傳送第二資訊”之步驟較佳以電性的方气 實現。在任何例子中，免於未授權存取之第二資訊通常不會 15 200805204 =存=行動儲存單元中’因而很容易藉由電腦單元來處理資 發明1於此理由，1知記憶體及/或處理媒體可使用於根據本 务明貫施例所述之相關應用系統。 5

l〇

6本發明之優點在於第二資訊之”讀取及/或儲存，，之步驟 —被碼處理可實現於—元件中。在此方法中，必須加密虚 解岔的裝置符合節省空間的元件。 /、 取〜此元件因而可免於外部或第三者之存取。由於這些步 ^實現於—元件中，因此該元件也不需要提供消耗時間^ 、雨媒體來傳送資料。由於整合於一元件中，因此僅需要避 免對此元件作執行不必要的存取。 為了產生對資訊有效的防護與驗證，因此必須提供簽 f及/或加密。基於此理由，若，，讀取及/或儲存，，步驟中包、 讀取以及或儲存簽署及/或金鑰資料”步驟將會是有助益的s， 因此簽章及/或金鑰資料可置放於許多儲存單元中（例二行動 儲存單元中）。若資料係以全像的方式儲存則可達到高安八 標準，因此幾乎無法讀取簽章與金鑰。 王 特別是當機密資訊被讀取及/或儲存為包含極化全像 之全像時，由於第三者無法藉由簡單的方式讀取全像，因此 因此係以光學的方式來避免不必要的操作。

再者，儲存為全像亦可有政的防覆對資訊操作及/戈和 為了儘可能管理更多使用者之資訊，較佳為對所有的 16 20 200805204 章或是將資訊以對應之個別修密，且敏感資 =幸=為糟由金鑰管理裝置來管理。金鮮理裝置為本發明 及配f在人Iff理巾係藉纽方料定義、選取及/或取得以 t置錢以及憑證至祕的不π件，以確保安全地處理 =貝訊。再者，透過錢管理可確保在*需要完全交 ϊίϊί證的情況下將元件從系統中移除及/或將树整合 Μ兔严對於廷擇金输與配4錢而言係將所有的元件群組定 j屬：一系統。這樣的系統具有複數個行動記憶體以及適 用^^記憶體之至少-讀取/5人裝置。每個讀取^ ;中包含與電腦单元结合之至少-第二記憶體類型之記； 工 15 广樣的糸統了以疋例如—公司發放員工卡 來存取控制應用程式。在此例子 ^ 裝置為屬於系統的Tt件。 γ貞取 该糸統也可以是例如一叙Α > , 動記憶體）。在此例子中，作用卡了/ °用給其客戶(行 系統之元件。 “卡以及讀取/寫入裝置為屬於 對於具有全球金鑰K的系絲*#人，入〆 存於第-~卜_中丨系钵+ >•糸、、先末 金鑰係安全的儲 存於弟—德體中U統之母個讀取/寫人裝置）。對於屬於該 糸統之每個行動圮憶體（IDi)係取得獨特的金鑰幻= ί(Κ，Π}ί) ’ 其中 f 為金鑰推衍函數(key derivati〇n functi〇n)。 17 20 200805204 機密資訊係以第一行動記憶體上之金鑰&來加密。在解密期 間，以Ki所加密並且儲存於行動記憶體中之資訊係藉由資訊 傳輸單元傳送至第一計算單元並且以設置於第二記憶體中 的金鑰K來執行解密。 5 該系統亦具有由信託公司（TC)所發行之全球憑證 TC 王球憑°立<TC>包含私輪(secret key) t。全球憑證亦儲 存於系統的每個讀取/寫入裝置之第二記憶體中。每個行動記 馨憶體ID!具有一憑證<iDl>t。為了證明資訊m之可靠度及/或 70整性，因此係藉由對應的私输ki將行動記憶體中的資訊簽 10 署為簽章S與憑證一起儲存於行動記憶體中。 在簽早確認期間’資料m、簽章s以及憑證^以^係藉由資 訊傳輸單元從行動記憶體傳送至第一計算單元。首先係藉由 儲存於第二記憶體中的第一計算單元與全球憑證<1〇>來驗 證憑證cIDi、。接下來，藉由憑證<IDi、來驗證簽章s。若所 15 有的驗證皆成功才會接收此簽章。 _ 根據本發明另一實施例，較高階级的單元(TC)係藉由 私输t直接簽署資料m。生物統計存取控制會對此方法感興 趣。首先’杈南階級的單元會檢查資訊是否被置放於所屬之 行動記憶體中。在生物統計存取控制的例子中，較高階級之 20 組織係確認生物統計資料（資訊m)是否被置放於所屬卡擁有 者之辨識卡(行動記憶體）中以及簽署是否正確。 接下來’上述適用於簽署之系統之資訊m係簽署為 S:=Sig(m，t)。簽章S與資料m係共同儲存於行動記憶體中， 18 200805204 並且可藉由<tc>來執行驗證 可以先簽署資訊再對資料盘 對資料加密再簽署加密資料。〃 簽署執行加密 ，也可以先 5

10 % 至其他電腦單元倾由傳輸通道連接 資訊之安感、趣的是這些電腦可以結合為敏感 、 王、兩。在此例子中，其他電腦單元係屬於在較古 階級中稱為裝置之該系統。 早㈣屬於在“ 梓儲中有對應於私錄g之群組憑證<g>。群組憑證<g> 統之每個裝置。具有識別號碼取之每個裝 f白/、有措由私錄g所簽署之憑證<取，化，其包含屬性 1 ’可提供關於裝置類型的資訊(例如生物統計取得系統、資 料庫等等）兩個裝置係藉由加密通道互相進行通訊來交換 其憑證，並藉由<G>來驗證憑證<IDi，Ai>g之簽署並且驗證其 屬性。當相簽署無誤後即建立裝置_安全傳輸通道。 所提供的憑證<11^，Ai>g較佳為具有有限的有效性週期 (validity period)。可以以智慧卡的型式將憑證引入裝置中， 以提供交換的可能性。 當憑證過了有效期限後便會更新金鑰。在以智慧卡型 式將憑證引入裝置之例子中，可藉由交換裝置中的智慧卡來 20 更新金鑰。 為了避免裝置之間交換安全性資訊，因此會將其封 鎖。每個裝置包含撤銷憑證(revoked certificate)列表。這些 19 200805204 憑證可以為群組憑證或是裝置憑證。在群組憑證的例子中會 封鎖整個裝置群組，而在裝置憑證的例子中會封鎖個別裝 置。撤銷裝置之封鎖清單必須載入每個裝置中。封鎖清單係 以全球憑證來簽署，例如上述之憑證<tc>。接下來會將封 5 鎖清單與簽章Sig(CRL，t)一起載入裝置中。因此可以將被攻 擊者侵佔之裝置封鎖，使得攻擊者無法藉由所侵佔的裝置來 存取資訊。 馨封鎖清單亦可藉由詢問中央伺服器而更新或被詢問。 不論目前是否有適用於驗證之項目必須要確認，伺服器皆會 10 執行確認。 使用本發明所述之系統及/或方法較佳為 存取控制系統， 入口（entry)控制系統， 自動現金提款機， 1_ 辨識系統， 用來管理醫療資料(例如健保卡）之系統。 【實施方式】 為讓本發明之上述和其他目的、特徵、和優點能更明 20 顯易懂，下文特舉出較佳實施例，並配合所附圖式，作詳細 說明如下： 20 200805204 別是敏第感 儲 n充1的不思圖。糸統1包含製造 早凡(特別*行動被動式儲存單元)之儲 -仃動 ϋ _之盒子）°在此實施例中，儲存單 貝料及，或包含錯誤更正資料之簽章資：，包含生 感賢訊。資料俜 、 、料的機密或敏 2中。 王像及/或數位加㈣方式儲存於館存單元 10 15 20 理穿置、3 了 ^存單兀2之外，系統1亦包含顯示為严岣 衣置3。處理裝置；盥儲 、丁馮虛線之處 :二讀取資料或是將資料寫入儲存單=互^ 至處理裝置3 <仔早儿2中。從儲存單元2 或是將資料寫入別代表從健存單元2讀取資料 對於從儲存單元 含—第1訊傳輪單元4 C “，處理裝置3包 行信號處理。今次，，、包含一偵測單元(相機)4a來執 等之間的所有;專 知之箭料縣示= 對應於第—資訊傳輪單元 感測單元4a。 #貝Λ之第—資訊傳輪單元4以及 單元5。基於^目^包/用來Μ密碼的方式處理資訊之電腦 資訊傳輪單元4傳V::，係從感測單“或是第- 、廷电細早705或是從電腦單元5將資料 21 200805204 或資訊傳送至感測單元4a痞b » . — 訊傳輪單元4。 弟1圖亦包含第二錯存單元 — 防止解密並用於對應至第—次▲ 弟一儲存單元6係用以 , 不 貝訊之篦一次 存。具體而言，這些資料是進一/牛―貝訊之可取回的儲 資訊結合而提供存取或入^。第=的安^相關資料可與第一 來儲存對應之用以解密敏感資气1存單元包含區域6a，用 的資料可以為用於解宓二1°土的金鑰。在此區域中可取得 山 貪早以及U自 authentication code，MAC)式 B ^ 證碼（message 資料。 疋另-方面用來加密或驗證的 10 15 對應至弟一儲存單元2所許 的第二資訊傳輸單元7從第-$抑目關資料係藉由安全 單元5。資訊傳輸單元7 6嗜送至電腦 使其無法監視交換資訊之通訊及域操;从防止攻擊者， 在第Γ圖中所建立的電腦單元5係由模址μ 構成。模組5a係處理密碼的計算’而模組％係控制整 列並且負責與其他連接元件（8,9)之間的通訊。 、為了藉由行動儲存單元2之預期载體的個人輸 保進一步的防護，系統〗係提供與行動儲存單元2之 、 體的外部通訊。基於此理由，系统具有適用於處理壯、功， 部通訊之介面8。 衣置之外 第一介面8a係用於輸入以及顯示輪入請求或是詢 者是用來確認載體。此第一介面8a係作為顯示哭疋;二= 用來顯示例如輪入請求來輸入個人辨識號；:二= 22 20 200805204 5

10 % 20 identification number，PIN) 〇 第二介面Sb係藉由處理裝置3之使用I來輸入資訊。 第二介面8b在此應用為藉由游標移動來控制輸入之數字輪 入。處理裝置3之使用者可藉由此輸人單元輸人控制參數或 個別資料，例如PIN。 一上」二面8a係早向地連接至電腦單元5 ’更精相來 =Ϊ:王的第二資料傳輪單元7連接至第二模組如方 向性為從第二模組5b至第—人 ~介面8 a 〇 扑係單向地連接至電腦單X 5 ’更精確的來 况疋猎由安全的第二資粗固干 ^ Λ^、4傳輪單元7連接至第二模組5b，方 録為㈣二介面8b至第二模組％。 元以及H里圖1所二之系统1除了形成系統核心之行動儲存單 το Μ及處理早兀3之外句人廿 / 應的連接可交換資料他週邊9或連接綠’藉由對 接系統9a絲得生物心°曰因此’該週邊9可具有第一連 為了傳送控制俨梦，箸二3疋用來比對資訊。基於此理由， 系統9a。換句;;，第5b係雙向地連接至第一連接 地連接至第一連接系統％，果組5b係藉由安全的連接而雙向 證結果。安全連接料 ^傳运生純計資料以及送回驗 第-連接系統9a可以為'生J攻擊者從外部存取之連接。 計資料之其他裝置，例 置或相來偵測生物統 $ ^ ' ?日、、文、虹膜樣本以及聲立聱笙 再者，週邊9可包含及耳曰#4。 %可以為包含電腦網C:以= 23 200805204 存相關的資訊並且透過經過驗證之使用者來存取。第二連接 系統9b係連接至處理裝置3,更精確的來說是藉由安全或簡 單的連接而連接至第二模組5，因此可於兩者之間傳輸資料 或資訊M。在交換敏感資訊的例子中的連接係為安全的第二 5 資訊傳輸單元7。在交換較不重要的資訊之例子中可選擇簡 單的第一資訊傳輸單元4。 再者，週邊9可包含第三連接系統9c。第三連接系統 馨 9c可以為允許經過驗證或認證之資訊或使用者來存取之入 口（例如門鎖）。第三連接系統9c係藉由雙向連接而連接至電 ίο 腦單元5。為了避免攻擊者從外部傳送信號至作為入口之連 接系統9 c來打開入口，連接系統9c較佳為藉由安全的連接 7而連接至電腦單元5。 再者，週邊9可包含第四連接系統9d。第四連接系統 9d可以為允許詢問時間或是限時存取之時間處理裝置。第四 15 連接系統9d係藉由安全的連接而雙向地連接至電腦單元5 • 以傳送時間資訊。 在交換敏感資訊的例子中，連接可分別作為安全的連 接或是第二資訊傳輸單元7。在交換較不重要的資訊的例子 中可選擇簡單的連接或是第一資訊傳輸單元4。 2〇 在每個例子中，週邊9僅可包含連接系統9a至9d之 其中一者或是上述之任何組合。 24 200805204 【圖式簡單說明】 第1圖顯示根據本發明實施例所述之藉由簽章及/或加 密原則來處理資訊之系統。 5 【主要元件符號說明】 1系統 2、6儲存單元 • 3處理裝置 4、7資訊傳輸單元 ίο 4a感測單元 5電腦單元 5a、5b 模組 6 a區域 8、8a、8b 介面 15 9週邊 Φ 9a、9b、9c、9d 連接系統 25

Claims (1)

1. 200805204 、申清專利範圍： ⑴，1 二?簽章及/或力，原則以安一 一行動被動式第—儲左⑽一 叫以可取回地儲存―第一早7^2)，肖—清楚的識別號碼 系統⑴之上述第—儲存單元;^ 處理^理^(:1)，適用於與上述第—儲存單元⑺互動，以 識別號碼^，其中索引n係指 ()之上迷處理裝置⑶的號碼， 、上迷糸 一操作受到保護之第- ^ 计t單元(5)，以密碼的方式來處理資訊， 15 20 (‘Si:元(4)’用以從上述第-及/或第二儲存單元 ，）傳k貝訊至该計算單元⑶，以及於上述處理 疋 接的週邊(9)之間傳送資訊； t置(1)與連 其中，该貢訊為敏感資訊。 2·=申請專利範圍第1項所述之系統(1)，其中： 治上至少一上述儲存單元(2,6)係作為一光學儲存單元， 二甘式之全像儲存單元，f訊可以光學地(較 = 於其中辑光學地(較佳為全像地)取得其中的資訊地)儲存 一至少一上逑資訊傳輪單元(4)係作為一光學資 ησ 凡，以藉由至少-光束經來傳送資訊。 、轉运早 26 1 .如申請專利範圍第1-2項中任-項所述之系統⑴，其中 200805204 上述計算單元(5)係以智慧卡 曰 二儲存單元(6)中。 疋晶片卡的方式整合於上述第 4.如申請專利範圍第丨、3工 中： 項中任一項所述之系統（1)，其 (王球）岔碼的金輪Κ係 操作受到保護之第二儲存單元(6)子於無法由外部讀取之上述 資訊m係藉由金鑰&加密)儲 之其中一者，其中上述金钤。子+於上述弟一儲存單元(2) 10 15 20 过产f(K，IDSi)從上述第二儲存'-可稭由一金餘推衍函數 得。 几(6)中的金输K而唯一地取 中：5.如申請專利範㈣^項中任一項所述之系統⑴，其 一私鑰〖所歸屬之一（全球）憑證<TCHf、 #讀取之上述操作受到紐之第二儲存單元⑹，、|去由外 在屬於上述系統之至少—第—儲存單幻叫⑺中 处王球憑證<TC>所取得之一憑證<；[ ^ 所屬之處， 係儲存於一私鑰kl ^屬於上返系統之至少_第一儲存單元儲 ，有猎由上述金输，】根據資訊 )中，储 S-SigCm^kO 〇 ^ 貪早 S， 中：6·如申4利範圍第μ3項中任_項所述之系統⑴，其 部讀無法㈣ 27 200805204 在严於上述系統之至少一第一儲存單元啊2) 子有藉由上述金鑰ki根據資訊m所產生之一簽土 S:二Sig(m，t)。 奴早 b ’ 5 15 20 7·如申請專利範圍第4項所述之系統，其中： -料t _狀—(全球)憑證<TC>_存料 邛頃取之上述操作受到保護之第二儲存單元(6)， 卜 ，屬於上述系統之至少―第—儲存單元叫⑺中 处王球憑證<tc>所取得之一憑證<ID < .所屬之處， 係儲存於一私鑰ki 在屬於上述系統之至少一第一 存有藉由上述全^㈣丨& 早儿1DSl(2)t，係儲 簽章s。 以1根據以Kl所加密之上述資訊所產生之— &如申請專·㈣4項所述之系統⑴， 一私鑰t所歸屬之一（全球）憑 # · 部讀取之上述操作受到顧之第二儲存單Γ(Γ 外 在屬於上述系統之至少一— 存有藉由上述金餘u據加之Hs谢’係儲 簽章s。 π加在之上述貧訊所產生之一 中 9.如申請專利範圍第 ： 項中任—項所述之系統⑴，其 (王球）饴碼的金餘Κ係儲在a 操作受到保護之第二儲存單元⑹，⑼法由外部讀取之上述 一私鑰t所歸屬之_ . 部讀取之上述操作受到伴^t TC>係儲存於無法由外 ]保叙第二儲存單元⑹， 28 200805204 15 20 私鑰kl所歸屬且從上述全球憑證<TC>所取得之一馮證 <IDSi>t係儲存於屬於μ、+、么 于之心也 、屬於上这糸統之至少一第一儲存單元 iDW)， ♦王I Kl係藉由上述金鑰推衍函式f根據適用於屬 全铃κ而產：至夕上述第一儲存單元1DSl(2)之上述密碼的 金錄κ而產生：Ki=f(KJDSi)， ，早^係错由，金錄h根據上述資訊m而產生s:= Sig(m，ki)，上述簽童仫茲 7生工 上述系統之至少—上ϋ 錢Kl來加密且設置於屬於 1A 上述弟一儲存單元IDSK2)中。 中：._料利_$ΐ·3項巾任—賴述之l统⑴，其 摔作受的金墙Κ ^存於無法由外部讀取之上述 ㈣Μ#。又之弟二儲存單元⑹， 一私錄t所歸屬之_ 部讀取之上職錢到存於無法由外 一唯一金鑰【 又心弟一儲存早兀（6)， 於上述系統之^少if由^上述金鑰推衍函式f根據適用於屬 金鑰K而產生第—儲存單元IDS/2)之上述密碼的 卜 ^ K^f(KjDS〇 > 一簽章S係藉由一八 Sig(m，t)，上述簽章9係一至鑰kl根據上述資訊m而產生S:= 述系統之至少_卜、μ由上述金输&來加密且設置於屬於上 η.如申請專利1i弟—儲存單元ids1(2)中。 : 相關第W項中任-項所述之系統⑴，其 中 具有對應私 鑰g之-群組憑證<G>係適用 於一些（至少兩 29 200805204 個)處理裝置(3)及/或連接的週邊(9)之元件的群組，上述私錄g 係儲存於屬於該群組之上述處理裝置/元件， 壯對於屬於上述群組之上述連接的週邊⑼之每個上述處理 九()及/或元件&具有藉由上述私錄g所簽署之一憑證 =Vn，An>g ’上述憑證〈請乂、係儲存於屬於該群组之每 置及/或元件中’其中^代表可提供處理裝置及/或 兀件的4寸性之資訊的屬性， 10 15 20 置料接的週邊(9)之每個上述處理裝 瑪试<ΤΓ>Μι '、料—簡憑證列表，上述列表係藉由 置及/二中亚且此簽章亦儲存於屬於該群組之每個處 絲η、12 一種藉由申請專利範圍第1至11項中任-項所述之系 下列=於安全的（密碼的）處理/操作/傳送資訊之方法包含 ⑵偉藉t /貝。轉輸單疋(4)將—資訊從—第—行動儲存單元 )傳运至糸統（1)之處理裝置（3)之其中一者， 作的上述f訊為加㈣訊’則藉由儲存於上述摔 作又歸之^儲存單元⑹中的纽K來解密， 心 -健t Γ有=aaL<IDSi>t ’職由儲存於上述操作受保護之第 一”早中的憑證<了〇來檢查憑證<IDSi>t， 之弟 簽章Γ: ‘，—Slg(m，kl)，賴由上述憑證<IDSl>t來檢查 章==早& =Slg(t，k〇’則藉由上述憑證〈料^ 30 200805204 藉由一資訊傳輸單元(4)將資訊從上述系統（1)傳送至上 述連接的週邊(9)。 • 13.如申請範圍第12項所述之方法，其中： 在交換敏感資訊之前，上述處理裝置（3)以及上述週邊(9) 5 先透過應用程式<G>來交換並驗證其憑證<IDVn，An>g， 在交換敏感資訊之前，上述處理裝置(3)以及上述週邊(9) 係藉由該撤銷憑證列表來檢查其他憑證的有效性， g 在上述處理裝置（3)與週邊（9)之間的傳送較佳以加密及/ 或保護的方式進行。 1〇 14·如申請專利範圍第1至11項中任一項所述之系統（1) 及/或如申請範圍第12項所述之方法，係使用於： 存取控制系統， 入口控制系統， 自動現金提款機系統， 15 辨識系統， _ 管理醫療資料的系統。 31 200805204 七、指定代表圖： (一） 本案指定代表圖為：第（1)圖。 (二) 本代表圖之元件符號簡單說明： 1系統 5 2、6儲存單元 3處理裝置 4、7資訊傳輸單元 ^ 4a感測單元 5電腦早元 ίο 5a、5b 模組 6a區域 8、8a、8b 介面 9週邊 9a、9b、9c、9d 連接系統 2〇八、本案若有化學式時，請揭示最能顯示發明特徵的化學式: 無