TW405105B - Terminal and system for performing secure electronic transactions - Google Patents
Terminal and system for performing secure electronic transactions Download PDFInfo
- Publication number
- TW405105B TW405105B TW088107590A TW88107590A TW405105B TW 405105 B TW405105 B TW 405105B TW 088107590 A TW088107590 A TW 088107590A TW 88107590 A TW88107590 A TW 88107590A TW 405105 B TW405105 B TW 405105B
- Authority
- TW
- Taiwan
- Prior art keywords
- terminal
- mentioned
- microprocessor
- information processing
- application
- Prior art date
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/04—Payment circuits
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/388—Payment protocols; Details thereof using mutual authentication without cards, e.g. challenge-response
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/40—Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
- G06Q20/401—Transaction verification
- G06Q20/4014—Identity check for transactions
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y10—TECHNICAL SUBJECTS COVERED BY FORMER USPC
- Y10S—TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y10S707/00—Data processing: database and file management or data structures
- Y10S707/99951—File or database maintenance
- Y10S707/99952—Coherency, e.g. same view to multiple users
- Y10S707/99953—Recoverability
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y10—TECHNICAL SUBJECTS COVERED BY FORMER USPC
- Y10S—TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y10S707/00—Data processing: database and file management or data structures
- Y10S707/99951—File or database maintenance
- Y10S707/99952—Coherency, e.g. same view to multiple users
- Y10S707/99954—Version management
Description
經濟部智慧財產局貝工消費合作社印製 A7 ___B7 五、發明說明(f〇)51G5 發明背景 1. 發明領域 本發明係關於用於執行安全電子交易之〜種終端機與 系統。 3 2. 相關前技之敘述 公眾數位資訊傳輸網路,例如網際網路,正以一個極 快的速度發展成長。但是,於此種形態的網路上之安全電 子交易的執行目前正受到了阻礙’這是因舄缺乏這類交易 相關之安全機制,並且反應了部份網路使用者與經營者信 心之缺乏。 於此應用的背景上: ---個電子父易咖-個公紐位資__電訊網 路指派一個資訊交換,不論是介於兩個或多個使用者之間 ,或是介於一個使用者與經營者之間, --一個函數爲一個已實施之過程以提供—個服務給一 個使用者, 應甩程式軟體"的表示指派需要執行相關於一個存 在之應用程式功能之軟體程式, 個安全交易爲一個實施安全測量之交易,意即對 於參與交易之單元之授權,完整性、機密性、信賴度以及 於交易內容中產生效力之可能地交換行爲與操作之不可拒 絕性。 許多的應用需要安全電子交易。例如對於電腦或其他 ___4__-_ 九張尺度適用中國國家標準(CNS)A4規格(210 X 297公釐) 裝--------訂---------線 (請先閱讀背面之注意事項再填寫本頁)- 經濟部智慧財產局員工消費合作社印製 _ A7 ______40510^ B7______ 五、發明說明(>) 相似資源之存取控制、家庭電子銀行(經由電話網路或網際 網路之借貸表、轉帳等)、電子貿易(經由公眾網路購買產 品或服務等)、電子郵件,以及電子錢包等等。 這些與其他需要安全交易的應用對於專精於此領域者 並不陌生,因此於此處不再作詳細的描述。 依據這些應用的特性,提供這樣的應用安全需要使用 一個或多個安全服務,例如: --認證,以保證一個實體(個人或系統)的識別資料; 存取控制,藉以避免資源之未經授權之使用或是篡 改; --機密性,禁止資訊洩漏給未經授權之實體; --資訊完整性,其確保資訊未經更動、刪除或是未經 授權而加以更換;’ -無法拒絕性,其確保一個資訊交換之參與者無法於 隨後否認上述交易的存在與發生。 兩個既有技術之組合使得其可應用於採用上述之安全 服務,因此提供電子交易執行之一個足夠的安全位準。 這些分別爲: --公鑰匙與私鑰匙密碼方法,因爲其保證無法拒絕性 ,並且便利上述鑰匙之管理:以及 --積體電路(或智慧)卡,因爲其價格相當低廉,容 易使用並且相當可靠,因爲其使用具硬體與軟體保護功能 之專用微處理器,以使得存取其記憶體之讀取與寫入模式 得以被禁止。 --------------裝.II (請先閲讀背面之注意事項再填寫本頁)' ks3· -線. 本紙張尺度適用中國國家標準(CNS)A4規格(210 X 297公釐) 經濟部智慧財產局員工消費合作社印製 A7 405105 B7_ 五、發明說明(1 ) 積體電路卡提供以下的服務: *持卡者或使用者之認證:此作用藉由一個機密碼來 認證持卡者,之後積體電路卡允許例如執行演算法、讀取 機密匙、讀取或寫入卡片上的資料等操作,其亦受到其他 安全條件的限制; *儲存於上述積體電路卡上之資訊與功能之保護。對 於卡片的存取可以受限於電子實體存取卡片請求之事先認 證。此外部認證通常發生於盤問/回應(challenge/response )模式。於此例中,上述實體具有一個機密參數,以下簡 稱機密,能夠使得其依據卡片核發出之盤問計算出一個回 應,此回應將向卡片證明其持有機密; *使用一個儲存於卡片上的機密參數執行密碼演算法 (譯碼、訊息認證、簽章);以及 *內部認證。此服務使得一個應用可以認證卡片。此 服務爲外部認證的反程序。卡片會針對一個接收的盤問產 生出一個回應,以及一個儲存於卡片上的機密。 藉由積體電路卡提供的服務是於接收到所謂的基本指 令時執行的,基本指令之執行產生基本回應的傳送。上述 基本指令關係到,舉例說明,密碼計算、機密或其他資訊 之讀取或寫入、使用者之介入(其個人機密碼PIN的進入 ,於簽章之後一個交易的確認),以及回復資訊給使用者 (例如,顯示要簽章之訊息)。 有些卡片提供核對資料完整性、來源,甚至傳送到卡 片之指令的機密性的能力。這些服務是依據對指令認證與 裝--------訂· ---------線 (請先閲讀背面之注意事項再填寫本頁)· 本紙張尺度適用中國國家標準(CNS)A4規格(210 X 297公釐) 經濟部智慧財產局具工消費合作社印製 A7 ______B7_________ 五、發明說明(V ) 譯碼的技術而提供的。 積體電路(或微電路)卡片目前的使用提供了一個相 當高位準的安全性,因爲交易的行爲主要是於私用網路與 終端機上執行的(例如自動櫃員機、販賣終端機點等), 其位於一個實體的控制之下以確認系統整體的安全性。 於這樣的應用中,使用者或妄用者皆無法存取到應用 軟體,或是無法存取到終端機之硬體與軟體安全機制。 相反地,於一個公眾網路上使用積體電路卡片執行安 全交易是假設使用者可以存取一個卡片讀取機終端機模組 ,假定微電路卡片本身並不具有電力供應,且使用這些微 電路卡片需要一個讀取機能夠提供電力啓動卡片,並且建 立使用者與/或外部電子裝置間之通訊。 於目前,爲了要於一個公眾網路上執行交易,使用者 須採用一個可以是一個專用產品之終端機、一部個人電腦 ,或一部藉由卡片讀取機連接一張積體電路卡片之個人電 腦。 於所有的例子中,使用者可以存取之交易系統通常包 含: *一個應用服務提供者,例如一個網際網路瀏覽器、 一個電子郵件程式,一個家庭銀行程式, *一個高位準安全服務提供者,使得應用所需之低位 準密碼機制能夠執行。 應用程式服務提供者對高準位安全服務提出請求以確 保交易的安全性得以執行。 ___ζ__ &張尺度適用中國國家標準(CNS)A4規格(210 X 297公《 ) 裝--------訂---------線 (請先閱讀背面之注意事項再填寫本頁) 經濟部智慧財產局員工消費合作社印製 A7 __405105 B7____ 五、發明說明(<;) 若應用程式安裝於使用者之個人電腦上’則密碼服務 指的是,舉例說明,那些由RSA實驗室定義於其標準“ PKCS 11 :密碼Token界面標準“,或是由微軟視窗NT ( Microsoft Windows NT)作業系統所提供之密碼服務,特別 是那些經由“ Crypto API “應用程式界面(Application Program Interface,API)可得之密碼服務。 若使用者並不具有一個整合式微電路卡片讀取機的話 ,則密碼服務完全由軟體來發生效力。 若使用者希望增強安全性,則其會使用一個連接其電 腦之透明形態之積體電路卡片讀取機。一個透明形態卡片 讀取機事實上爲一個介於電腦與積體電路卡片之間的界面 模組,其使用於由電腦傳送出由密碼服務提供者產生之基 本指令給卡片,並且將卡片之基本回應傳送回電腦。使用 這類型由其終端機模組-電腦加上讀取機·耦接至其卡片所 構成的終端機,一個使用者便可以執行電子交易(例如電 子購物等)。 當然,這類型之使用者對終端機的存取會產生一些潛 在之安全性的危機。 應用程式越分散化,所冒的險便會跟著越大。相反地 ,於終端機處之危機控制做得越好,則應用程式之分散化 可以做得更徹底。舉例說明,考慮purse形態之應用,於 其中交易(購買者卡片借貸/商業卡片信用)是以卡對卡的 方式發生效應的,並不需要於一個中央式伺服器的位階上 之交易的整理才可得。 _s__ 氏張尺度適用中國國家標準(CNS)A4規格(210 X 297公爱)"~一 I-----11 111--------I I 訂 — 11--I I (請先閲讀背面之注意事項再填寫本頁) A7
^、發明說明(b )⑽510 由前面的討論可得知,一個終端機基本上可以包含一 套資訊(或甚至是軟體),其爲應用程式所需的機密性與 資訊完整性安全性賴以維持的。舉例說明’考慮使用於認 證終端機模組之機密鎗匙相較於卡片,或是使用於將在伺 服器與卡片讀取端機模組之間傳送的資料譯成密碼之機密 鑰匙。一個存取終端機之濫用者可以分析其操作情況,並 且能夠獲得存取機密資訊與軟體之機會。 同時必須注意到於此所指之應用,例如電子購物與電 子郵件等,通常是經由網際網路所執行的。專家通常相當 了解一部連接上網際網路之個人電腦對於電腦病毒而言是 相當脆弱的,電腦病毒將會於使用者不自知的情形下,以 及不需要使用者之電腦實際上被其他使用者存取的情況下 被安裝於電腦中,並且於使用者的電腦上執行。這樣的威 脅其完全不可見的特性,是目前限制使用網際網路之交易 型應用程式發展之實際會發生的危險。同樣的情況將會出 現於有線電視網路上的電子購物應用,其使用連接於電視 機之機上盒(Set-top Box),連同一個或兩個智慧卡讀取 機。 則系統對付危機的方式爲: *對於密碼服務提供者與應用服務提供者資訊完整性之 攻擊,其意圖改變終端模組之行爲:舉例說明,終端模組 被改變爲可捕捉與卡片相關之資訊,並且儲存獲得之資訊 以便與一個僞造的伺服器作後續通訊。此攻擊可以在合法 使用者不知曉的情況下發生(對使用者終端模組之取代或 本紙張尺度適用中國國家標準(CNS)A4規格(210 X 297公楚〉 ·!1----------裝 i I (請先閲讀背面之注意事項再填寫本1-) 訂: -·線. 經濟部智慧財產局員工消費合作社印製 A7 A7 B7 --¢0-5105 五、發明說明(1 ) 一個更動過之終端模組之借取)。此攻擊隨後可以藉由計 算僞造的終端模組一般化。 *對於密碼服務提供者機密性之攻擊,其意圖爲獲得服 務提供者使用的密碼鑰匙,其儲存於例如一部電腦中之硬 碟裡。 *對於其他卡片之攻擊,基於對濫用其他卡片之認證能 力,藉由攻擊服務提供者之機密性所發現之機密匙。 *對於不同實體間(應用服務提供者、密碼服務提供者 、積體電路卡片讀取機、積體電路卡片與伺服器)之通訊 資訊完整性與機密性之攻擊,以切斷於這些元件之間建立 之機密鏈路。舉例說明: 1-反譯伺服器與終端器之間的通訊; 2 -於應用服務提供者與密碼服務提供者之間植入 第三方軟體以切斷這些兩個應用程式間之機密鏈路,或是 以第三方軟體取代應用程式軟體造成安全服務提供者以與 使用者已知之應用不同的目的執行安全請求。 *對於伺服器之攻擊(於一個線上應用程式的情形中) :一個僞造終端機對一個伺服器之連接,一個終端器模組/ 積體電路卡片組合之emulation以獲得優勢。 於此描述於一個使用一張要簽章之積體電路卡片需要 電子交易之應用情形中,對於密碼服務提供者與應用服務 提供者之間機密鏈路的攻擊的情形。交易的情形進行如下 步驟一:使用者個人機密碼之驗證,經由與其終端模組相 本紙張尺度適用中國國家標準(CNS)A4規格(210 X 297公釐) --------------裝·-- (請先閱讀背面之注意事項再填寫本x) -a. ;線- 經濟部智慧財產局員工消費合作社印製 經濟部智慧財產局貝工消費合作社印5Λ A7 -^-- 五、發明說明(f) 連之鍵盤輸入字母,輸入之個人機密碼會傳送到卡片端用 以藉由字母加以驗證。 步驟二:終端機模組之認證。字母送出一個”質問請求”指 令(一個質問爲一個隨機或虛擬隨機號碼)。而積體電路 卡片會產生出質問信號並將其傳送至終端機模組。終端機 模組會傳送一個”外部認證”指令,連同—個由終端機模組 持有之機密匙譯碼過之質問信號所構成的一個回應信號給 卡片。隨後積體電路卡片會驗證接收到的回憶信號。 步驟三:若步驟一與步驟二執行地很完善,則積體電路卡 片會準備接收並執行簽章指令,意即,使用一個儲存於卡 片中之機密匙之譯碼的指令,此爲由使用者輸入之交易所 執行之切碎操作的結果。於此譯碼過程之後,卡片會送出 由以此方式譯碼之切碎操作之結果構成的簽章給終端機模 組。 若應用程式軟體(應用服務提供者與其密碼服務供者 )之資訊完整性無法確保,則一個電腦駭客並不需要知道 機密碼與匙便能盜取交易系統,所有需要的是植入終端機 模組中,舉例說明,一部連接一個積體電路卡片讀取機之 個人電腦,於步驟三中之病毒形態軟體將需要簽章之認證 資訊轉向,並且傳送僞造的資訊給卡片。假設步驟一與步 驟二已經以很令人滿意的方式執行了,則卡片隨後會依據 使用者已經鍵入之PIN簽署上述僞造的資訊,且使用者將 會相信卡片即將會簽署其自己的資訊。 上述的範例顯示出保護的必要性並非僅是爲了使用於 11 本紙張尺度適用中國國家標準(CNS)A4規格(210 x 297公楚) •裝---II---訂------線 <請先閱讀背面之注意事項再填寫本1) A7 A7 經濟部智慧財產局貝工消費合作社印製 --^Q51〇5 五、發明說明(t) 交易情形中之機密資訊,也需要保護交易中之資訊完整性 ,意即,牽涉交易的每個實體的行爲之資訊完整性’連同 所有軟體執行行爲之資訊完整性’以確保於不同的實體之 間所建立的機密鏈路是中斷的。 以上所敘述攻擊之危機目前部份涵蓋於終端機-積體 電路卡片讀取機整合安全模組中(SAM,類似於一張積體 電路卡片),上述整合安全模組特別使用於荷包應用的情 況下。上述讀取機隨後藉由一個SAM加以個人化’並且指 配給一個賣方,讀取之卡片爲其客戶之一。SAM包含機密 資訊,並且能夠使用此機密資訊執行演算法。但是,其並 不包含用於控制與使用者、與積體電路卡片以及/或外部電 子裝置通訊之方法,因爲此緣故,便無法確保交易之安全 性。 文件W0 95/04328揭示了一個終端機模組,其由使用 者界面裝置以及包括一個與微電路卡片之界面的界面裝置 到外部電子裝置(以下簡稱外部界面裝置)。終端機模組 之微處理器包括了資訊儲存裝置(ROM、EEPROM與RAM )。儲存於永久記憶體(ROM)之資訊包含了一個作業系 統,控制界面與周邊設備之外部元件管理器,以及以特殊 之語言撰寫、能夠解譯程式模組之解譯器。上述程式模組 儲存於半永久記憶體EEPROM中,並且可以於由使用者啓 動一個適當的界面被載入於暫時記憶體RAM中由微處理機 執行。對應終端機模組應用之程式模組會下載至微處理機 之EEPROM中,或由一個外部伺服器下載入一張微電路卡 ___ 12 本紙張尺度適用中國國家標準(CNS)A4規格(210 X 297公楚) 裳--------訂---------線 (請先閱讀背面之注意事項再填寫本I-) 經濟部智慧財產局員工消費合作社印製 A7 -4051^------
五、發明說明(fO 片中。 文件W0 95/04328之終端機模組可以執行: -於自律的終端機模式中’終端機模組之微處理機執 行一個儲存於一個內部記憶體中的程式模組,而不需要呼 叫一張積體電路卡片; -於自律的終端機模式中,於其中儲存於卡片上的一 個程式模組會被執行; -於外部終端機模式或線上模式中,於其中終端機模 組之微處理機,或是卡片上的微處理機執行一個程式模組 ,且經由電話、數據機或是直接連接至一個服務提供者或 是伺服器之間的通訊亦建立起來;以及 -於透明記憶體卡片讀取機模式中,於其中於一個串 連鏈路上接收到的指令會直接傳送到卡片上,反之亦然。 -描述於文件W0 95/04328中之終端機並未處理到本發 明所注重之安全性的問題,於其中並沒有描述到如何確保 一個交易的安全以保證所有執行交易之軟體之操作行爲的 資訊完整性。特別是於此並沒有描述執行由應用程式發出 之高位階請求,或是如何保證資訊來源、資訊完整性與機 密性的這樣的方法。 發明摘要 本發明的目標爲提供一個實現安全電子交易之終端機,此 終端機的形態包括一個個人安全儀器,例如一張積體電路卡片 _ ______ 13 本紙張尺度適用中國國家標準(CNS)A4規格(210 X 297公爱) ^--------1---------^ <請先閲讀背面之注意事項再填寫本I.) 經濟部智慧財產局員工消費合作社印製 五、發明說明(丨丨) 或是其他可以達成相同功能之儀器’同時也包含一個終端機模 組,其具有與個人安全儀器界接之裝置,例如一部積體電路卡 片讀取機,並且藉由其軟體以及/或硬體架構提供,以及安全機 制,其包含一個增強安全位階能與終端機可以被使用者控制之 事實相符(相對於終端機是由操作者所控制的)。. 本發明的第二個目標爲要能確保此相同位階的安全性,而 同時於使用期間可以促進新的功能或應用程式之整合,或是不 需要複數個不同終端機模組之資源來進行對已存在之功能或應 用程式的變動,上述的變更亦不需要改變終端機模組。 爲了這個目的,本發明包括用於由使用者執行安全電子交 易之終端機,連同至少一個安裝於一個電子單元上之應用程式 ,上述終端機包含: 個終端機模組包括至少: *第一個界面裝置,其具有上述用於接收相關於上述交 易之請求的應用程式, *第二個界面裝置與上述使用者; *具有一個個人安全儀器之第三個界面裝置, *第一個資訊處理裝置,其包含至少第一個用於控制上 述界面裝置之軟體裝置,以及 •一個個人安全儀器,其包括至少第二個安全資訊處理裝 置’此裝置至少由用於執行基本指令的第二個軟體裝置與用於 執行密碼運算之裝置所構成的, 其特徵爲: -上述終端機會改造爲能接收由上述安裝於電子單元中之 ___ 14 本紙張尺厪過用中國國家標準(CNS)A4規格(210 X 297公釐 .—裝--------訂---------線 (請先閲讀背面之注意事項再填寫本頁) 經濟部智慧財產局員工消費合作社印製 _伽撕 B7_ 五、發明說明(π) 請求,以與上述個人安全儀器不相關之高位階請求的形式出現 -至少一個上述終端機模組與上述個人安全儀器會構成: *至少一個可重複程式化之記憶體,其用於儲存至少一 個過濾器程式將上述高位階請求轉譯爲經由上述第二個界面裝 置在上述終端機模組與上述使用者之間資訊交換的序列’其可 由上述第一個資訊處理裝置之第一個軟體裝置執行,亦可以將 高位階請求轉譯爲基本指令之序列,其可以由上述第二個資訊 處理裝置之第二個軟體裝置執行,以及 *用於保護上述過濾器軟體之裝置,以避免一個未經授 權之個人讀取並/或更動上述軟體,且 -至少一個上述第一個與第二個資訊處理裝置構成一個用 於執行上述過濾器程式之資訊處理儀器。 以上所定義之發明可達到安全性的目標,此安全性爲實現 電子交易所必需的,藉由其描述一個界於外部世界,意即應用 程式本身,與安全裝置及其控制之周邊設備之間的過濾器器或 ”防火牆”,藉由一個定義由應用程式發出之高位階請求格式之 邏輯界面,以及用於處理這些請求的一個轉譯軟體完成的》 本發明之終端機最好包括一個或多個以下的特性,有可能 是以組合的形式出現: -上述用於執行過濾器程式之儀器是由用於識別與/或認證 安裝於上述單元之上述應用程式,或是由上述應用程式傳送出 之上述請求之來源的第一個裝置所構成的, -用於執行上述過濾器程式之資訊處理儀器,包括用於識 15 本紙張尺度適用中國國家標準(CNS)A4規格(210 X 297公釐) II— ^ ίιιι — — — ^« — — 1 —----^ (請先閲讀背面之注意事項再填寫本頁) 經濟部智慧財產局員工消費合作社印製 405105 A7 B7 五、發明說明(·、) 別來自於上述應用程式接收到之資訊的資訊完整性。 -用於執行上述過濾器程式之資訊處理儀器,包括配合上 述應用程式與/或使用者,用於控制使用個人安全儀器之服務的 情況之中央化裝置,’ -用於執行上述過濾器程式之資訊處理儀器是由以下的裝 置所構成的: *用於發出指令將上述過濾器程式經由上述第一個或上 述第三個界面裝置由一個外部於上述模組之實體處載入上述可 程式記憶體之裝置,以及 *第一個存取控制裝置,用於授權上述過濾器程式之載 入僅能回應至少一個預先定義之狀況, -上述終端機包括第二個裝置,其用於藉由上述第二個資 訊處理裝置來認證上述第一個資訊處理裝置, -上述終端機包括第三個裝置,其用於藉由上述第一個資 訊處理裝置來認證上述第二個資訊處理裝置, -上述終端機包括介於上述第一個資訊處理裝置與上述第 二個資訊處理裝置之間的第一個通訊頻道,以及用於確保上述 第一個通訊頻道的第一個裝置, -上述終端機包括用於由使用者認證上述終端機模組之第 四個裝置,與上述卡片無關, -上述第四個認證裝置包括藉由上述第一個資訊處理裝置 計算之裝置,以及用於經由使用者已知密碼的上述第二個界面 裝置呈現給使用者之裝置,並且以儲存於上述第一個資訊處理 資裝置之第一個機密參數爲基礎加以計算, 16 本紙張尺度適用中國國家標準(CNS)A4規格(210 X 297公釐) 裝--------訂---------線 (請先閱讀背面之注意事項再填寫本頁)' 經濟部智慧財產局貝工消費合作社印製 A7 _405105 B7_ 五、發明說明( -上述終端機包括第五個裝置其用於由上述使用者聯合認 證上述終端機與上述卡片,以及 -上述第五個認證裝置包括用於藉由上述執行上述過濾器 程式之儀器來運算與用於經由使用者已知密碼的上述第二個界 面裝置呈現給使用者乏裝置,並且至少以分別儲存於上述第一 個資訊處理裝置與上述第二個資訊處理裝置之第二個與第三個 機密參數爲基礎加以計算。 於本發明之第一個實施例中,終端機模組爲一部個人電腦 ,且上述可程式記憶體則爲上述電腦之硬碟,上述過濾器軟體 於個人電腦上執行,或於第二個執行模式中,上述可程式記憶 體位於一個連接於個人電腦上的一個安全伺服器,部份需要加 以保護的過濾器軟體於上述安全伺服器上執行。 於本發明之第二個實施例中,上述終端機模組爲一個例如 專用積體電路卡片讀取機之儀器,於其中上述個人安全儀器爲 一張積體電路卡片或是一部個人電腦。此實施例不同於上述第 一個實施例的地方爲上述可程式記憶體是整合至一個安全微處 理器中,上述過濾器軟體則於上述安全微處理器上執行。上述 專用終端機模組是可攜帶性的。 依據本發明此第二個實施例之執行模式,用於載入與儲存 過濾器軟體之可程式記憶體可以位於個人安全儀器中或位於終 端機模組中。於後者的情況下,終端機模組可以包含一個用於 執行過濾器軟體與用於控制界面之單一微處理器,或者兩個微 處理機個別地執行這兩個功能。 ____17___ 本紙張尺度適用中國國家標準(CNS)A4規格(210 X 297公釐) ' 一 裝--------訂---------線 <請先閱讀背面之注意事項再填寫本頁> · 經濟部智慧財產局員工消費合作社印製 A7 -----B7___ 五、發明說明(θ) 圖示簡單說明 本發明各種不同的實施例將會參考附圖來描述,特別 是一些實施例於其中過濾器軟體會被載入並且於終端機中 執行以保證其來源、ΐ機密性以及其資訊完整性,上述軟體 同時亦能夠用來認證傳送給他之請求的來源,若對界面與 使用者中具有機密,意即,螢幕與鍵盤將無法被保證。 圖1爲一個示意圖,其顯示利用依據本發明之原理發 明的終端機來實現安全交易之系統的功能性架構; 圖2Α顯示本發明的第一個實施例,於其中,終端機 爲一部藉由讀取機連接於一張積體電路卡片之個人電腦’ 而應用程式則是安裝於個人電腦中或是一部遠端伺服器中 > 圖2Β闡述本發明第一個實施例的一個變更例的功能 性架構,於其中,當作一個終端機之個人電腦連接於一個 安全伺服器上,過濾器軟體安裝於此安全伺服器中; 圖3顯示一個構成本發明第二個實施例之終端機的交 易系統,其可是一個專用產品,連接一部個人電腦當作是 個人電腦之周邊設備,或是直接連接於一部伺服器,或是 基於一部個人電腦; 圖4Α爲圖3中之終端機執行的第一個模式之電子電 路硬體架構之方塊圖; 圖4Β爲一個描述圖4Α中之終端機的第一個軟體架 構組態之功能圖; 本紙張尺度適用中國國家標準(CNS>A4規格(210 X 297公楚) -------I ^--------1^ (請先閲讀背面之注意事項再填寫本1) 經濟部智慧財產局員工消費合作社印製 i〇il〇5__4f_Z_____ 五、發明說明(山) 圖4C爲一個類似圖4B之功能圖,其顯示圖4A中之 終端機的第二個軟體架構; 圖5爲圖3中獨立之終端機第二個執行模式之電子電 路硬體架構的方塊圖; 圖6爲圖3中獨立之終端機第三個執行模式之電子電 路硬體架構的方塊圖; 圖7爲一個描述一張微電路卡片傳統的軟體架構; 圖8A爲一個描述構成圖4A中之終端機的一個交易 系統之軟體架構的圖; 圖8B爲一個描述構成圖6中之終端機的一個交易系 統之軟體架構的圖; 圖9爲一個描述利用依據本發明原理發明之系統實現 一個電子交易應用的圖;以及 圖10爲一個流程圖,其顯示將一個程式下載至圖4A 或圖5之終端機模組的一個可重複程式化記憶體中’或是 連接至後者的一張微電路卡片中。 發明之詳細描述 參考圖1,一個使用於實現安全交易之系統’包括一 個用於讀取一張積體電路卡片31或相類似之卡片的終端機 模組1。上述終端機模組1包括一個過濾器F,其包含一個 藉由邏輯界面F-API處理外部於終端機模組1之應用服務 提供者產生之高位階請求的軟體模組’以及能讓使用者讀 ^紙張尺度適用中國國家標準(CNS)A4規格(210 X 297公釐) 先 閱 讀 背 意 項 再 填 J裝 頁 訂
405105 I 五、發明說明(η ) 取與輸入資訊之使用者界面,例如一個顯示螢幕4與一個 鍵盤5。其亦包括一個讀取機或是其他的通訊界面6與一 張微電路卡片,或是對取得標籤,”〗ava Ring”(昇揚SUN 公司)、"iButton”(Dallas半導體公司)或較簡單之標籤形 態之使用者而言是屬於個人化的任何相似之安全設備,以 及具有至少一個能夠安裝於一部個人電腦與/或於一部伺服 器例如Sap上之應用服務提供者Fap的通訊界面,則隨後 會經由一個資訊通訊或電信網路R進行資訊交換。 終端機模組1可以是一個專用的終端機,或是整合至 對網路應用專用之一部個人電腦中,或一部網路電腦中, 或是一部有線電視網路解碼器(機上盒,Set Top Box) ^ 終端機模組1或許可以應用於獨立使用的模式,舉例 說明,以讀取例如一個電子錢包之內容物,包含於卡片31 上之一個記憶體的資訊。 爲了要實現安全交易,終端機模組1可以對一個伺服 器Sap於線上使用,或是離線狀態使用,而應用程式Fap 隨後會區域性地執行,例如於個人電腦上執行:此爲當, 例如,一位使用者必須簽署一個電子郵件訊息或是將會傳 送至一位收件人的交易之情況下。屬於此類之操作並不採 用當卡片31正在使用時,連接於一部應用伺服器上之方式 〇 於線上操作的模式中,如同顯示於圖3中之專用終端 機模組1的例子,後者可以連接至安裝著應用程式Fap之 伺服器Sap,其連接的方式可經由個人電腦與一個網路R, 20 本紙張尺度適用中國國家標準(CNS)A4規格(210 X 297公釐) ----— — — — — — — — — - I I (請先閱讀背面之注意事項再填寫本頁)♦ Φ · --線. 經濟部智慧財產局員工消費合作社印製 經濟部智慧財產局員工消费合作社印製 __4〇51〇5 r7_ 五、發明說明(、?) 例如網際網路,或經由一個數據機MO或是具有一個電話 手機CT之DTMF鏈路通過電話網路R中間。有些交易, 例如將一個電子錢包重新載入於卡片31中,可以以伺服器 Sap做雙向的資訊交換,因此於線上操作的模式中將會更 具效益。 j . 以終端機模組1與卡片31實現一個安全的交易表示 高位階軟體請求(例如,簽章請求、認證請求等,其必須 經過處理以符合應用程式需要之安全目標)將會由安裝於 例如伺服器Sap (線上操作模式)上,或是使用者可使用 之個人電腦、網路電腦上(離線操作模式,例如電子郵件 之簽署)之應用程式傳送給控制安全裝置之過濾器F。過 濾器F會利用轉譯軟體處理這些請求,以確保應用程式或 是病毒形態之軟體無法直接存取到積體電路卡片31上之機 .密功能。高位階請求之處理包括將這些請求轉譯位基本指 令之序列,這些基本指令是由個人安全設備執行的。高位 階請求之處理是與個人安全設備之軟體設計與/或硬體設計 不相干的。且高位階請求不會公式化成爲個人安全設備的 一項功能,其將會牽涉於執行這些請求之處理過程中。因 此,高位階請求與個人安全設備不相關。 過濾器F符合轉譯軟體中所需要的安全目標,其包括 識別送出服務請求(或直接爲請求之來源)之應用程式, 並且以能保證操作之資訊完整性與機密性,且資訊是用來 回應服務請求之方式安裝。 轉譯軟體設計爲使用於一種形態的微電路卡片,並且 _____21_ 氏張尺度適用中國國家標準(CNS)A4規格(210x297公爱) I I I I I------I I ^ — — — — — — — ^-- — — — — 1 — I 1^ (請先閱讀背面之注意事項再填寫本頁) 經濟部智慧財產局員工消费合作社印製 A7 ____405105_B7___ 五、發明說明(j) 將由應用程式軟體處接收到之高位階請求轉譯爲可以由微 電路卡片執行之基本指令串列,以及使用者之資訊交換串 列。 高位階請求爲=串由應用程式所使用之指令表單,其 會啓動識別與認證執行交易之個人所需之安全服務,並且 保證交易i來源、資訊完整性與不可拒絕性等之特性。一 個來自於應用程式(位於一部伺服器中或於個人電腦或網 路電腦之中)之高位階請求是由以下的事實構成其特性的 -其與使用於回應請求之基本裝置(例如密碼裝置) 不相關。因此一個高位階請求可以僅完全依賴軟體裝置。 相等地,一群應用程式可以使用相同的安全服務提供者, 應用定義這些請求之相同的邏輯界面F-API。 -請求之處理程序以一定的方式,利用至少一個由使 用者之積體電路卡片提供之固定的或可變的機密參數將交 易連結執行交易之使用者》 -其可包含能使過濾器軟體F識別其來源與資訊完整 性之資訊。而認證程序則可以使用一個訊息認證碼( Message Authentication Code,MAC),或是一個與請求互 相關聯之電子簽章碼。 -若交易並非由使用者於終端機模組鍵入的話,則請 求本身可以包含使用者識別交易之主要資訊所需的資訊, 若需要且若終端機模組支援此項功能。 用於在應用程式與’過濾器F之轉譯軟體間交換高位階 22 本紙張尺度適用中國國家標準(CNS)A4規格(210 X 297公釐) 裝--------訂-------—線 (請先閱讀背面之注意事項再填寫本頁) 經濟部智慧財產局員工消費合作社印製 405105 五、發明說明(π ) 安全請求之邏輯界面F-API,可以標準化使得其通用於不 同的應用程式。因此,簽章形式之請求可以由一個電子郵 件應用程式與購買程式使用。其因此可能可以於仍維持安 全服務提供者時改變應用程式,或相反地於不需要改變應 用程式的情況下?取代安全服務提供者。 爲了保證介於應用程式與卡片之間機密鏈路之資訊完 整性,轉譯過濾器軟體F會識別,甚至認證其所接收到之 請求之來源與資訊完整性。不同的方法可以用來執行識別 送出請求之應用程式: -一個識別碼可以整合至請求信號本身中,並且隨後 藉由過濾器軟體使用其包含之資訊,或儲存於積體電路卡 片上之資訊加以識別; 相同的目標可以藉由將由過濾器軟體對送出請求之 應用軟體執行之混雜運算的結果與先前儲存於卡片上的結 果做比較而達成。此解決方案特別適合當應用程式是安裝 於使用者個人電腦中之情況;. -認證可以藉由與請求信號相關,由請求信號內容計 算得到之MAC,與於應用程式與過濾器軟體之間共享的一 個機密匙平均地執行。一個相等的原理可以與於利用相同 的資訊與應用程式已知之私繪匙計算出之請求上的簽章一 起使用,上述簽章以過濾器軟體已知之相關公鑰匙加以識 別。 圖2A說明了本發明的第一個實施例,於其中終端機 模組1爲一部個人電腦,與積體電路卡片31之連接採用了 23 本紙張尺度適用中國國家標準(CNS)A4規格(210 X 297公釐) -11----I-----裳—--ί—訂·! —--線 (請先閱讀背面之注意事項再填寫本頁)' 經濟部智慧財產局員工消費合作社印製 A7_ ___4 Ο 5 Ί 〇 5 Β7__ 五、發明說明(/) 一個連接至或整合至一部個人電腦102之讀取機6°個人 電腦102包括了對讀取機6與伺服器Sap之輸入/輸出界面 102a。依據連接於個人電腦之讀取機的特性,使用者界面 元件可以是個人電腦本身之鍵盤與螢幕’或是例如讀取機 上之鍵盤與/或LCD顯示幕。於此實施例中,過濾器F安 裝於其中並且於個人電腦102上執行。上述濾波器F,因 此與其包含之轉譯軟體,可以儲存於個人電腦102上之硬 碟機(Hard Disk,HD) 102b中。爲了於個人電腦上之中央 處理器單元或微處理機l〇2c,過濾器軟體會載入個人電腦 102 之隨機存取記憶體(Random Access Memory,RAM) 102d 中。 因爲個人電腦之硬碟不容易保護,所以過濾器軟體F 或至少此軟體敏感的部份可以加以編碼保護。爲了此目的 ,其可以分割爲至少兩個模組:一個載入/譯碼模組Fed, 以及相關已編碼之過濾器軟體本身的第二個模組。第一個 模組能夠使得第二個模組載入RAM中,譯碼然後執行。參 考圖2A,當譯碼與載入RAM之後,軟體模組會標示爲 Fdec。 例如Java之程式語言,連同對程式語言本身既有的安 全機制,增強了對軟體之保護。 另外一個識別過濾器軟體資訊完整性之方法爲具有由 一個利用由管理者保持機密之私鑰匙,保證過濾器軟體內 容之管理者簽署之第二個模組。第一個載入模組隨後,於 執行譯碼操作的同時,會於第二個模組上執行一個混雜運 24 ----------------------^---------^ (請先閱讀背面之注意事項再填寫本頁:i 本紙張尺度適用中國國家標準(CNS)A4規格(210 X 297公釐) 經濟部智慧財產局員工消費合作社印製 A7—-册 105~2Z--- 五、發明說明(π) 算’並且使用與管理者之私鑰匙相關的公鑰匙識別此模組 之簽章。 以上描述之操作應用了機密鑰匙之使用,應用程式之 安全性依賴這些機密鑰匙。這些機密鑰匙可以隱藏於載入 之模組中’儲存於讀取機6,或儲存於積體電路卡片31本 身。另一個可能爲將譯碼與資訊完整性識別模組安裝於讀 取機6中。 本發明之目標爲避免一個侵犯者於使用者不自知的情 況下,利用了使用者之積體電路卡片,例如藉由改變控制 卡片或應用軟體之過濾器軟體,或者藉由載入一個電腦病 毒以繞過應用程式或過濾器軟體。先前描述之實施例與其 變動之位址,藉由使得以下的識別能夠完成: •過濾器軟體之資訊完整性,以及 •經由讀取機傳送出之指令來源與資訊完整性,例如 藉由使用一個MAC來認證這些資訊。而MAC可以藉由讀 取機6或是卡片31來識別。亦可藉由將過濾器軟體與讀取 機6之間的對話譯碼而獲得相同效果的保護。一個嘗試繞 過過濾器軟體之電腦病毒隨後將會傳送出未經認證或不正 確譯碼之指令給讀取機6或是卡片31 ;而這些指令將因此 會被讀取機或是卡片拒絕處理,避免這些電腦病毒達到其 侵犯之目的。爲了避免電腦駭客(Hacker)藉由分析另一 個終端機之操作判斷出一個終端機所使用之機密匙,則不 同終端機所使用之機密匙必須要多樣化。 可以被認爲著重於保護過濾器軟體之必要性的譯碼與 _______25__ @張尺度適用中國國家標準(CNS)A4規格(210 X 297公楚)
裝-------—訂—----線 (請先閱讀背面之注意事項再填寫本頁;J A7 經濟部智慧財產局員工消費合作社印製 --44S4415_SI- 五、發明說明(A ) 簽章機制,對於專精於此領域者而言是眾所皆知的,且依 據既有之密碼學技術,如同描述於,例如Bruce Schneier, John Wiley與Sons 1994年之”C語言之應用密碼學、通訊協 定 '演算法以及程式碼(Applied Cryptography, Protocols, Algorithms, andiSource Code in C) ”(本文於此論文提供全 文的參考),因爲如此,其將不會於此處做詳細地描述》 將過濾器軟體安裝於一部個人電腦上並不能保證其與 將其安裝於一部專用終端機具有相同位階之安全性,因爲 上述專用終端機可以提供將會於下文描述之另一個實施例 所使用之額外的硬體安全機制,這些機制提供過濾器軟體 與其包含之機密匙實體的保護。 圖2B顯示出圖2A中之實施例的一個變化例。此變化 例利用將一部個人電腦連接於網路上的靈活度與方便性。 此將會使得部份過爐〗器軟體,特別是機密匙,由一部安全 伺服器Ssec所保持。 於圖2B中,過濾器軟體分割成爲兩個軟體模組,一 個安裝於個人電腦102中之模組F-PC,以及一個安裝於一 部安全伺服器Ssec中之模組F-SE。先前提及並儲存過濾器 軟體之可程式記憶體因此於此變化例中,意即,無法觸及 未經授權過之使用者。相同的,過濾器軟體或至少過濾器 軟體F-SE敏感的部份,需要於安全伺服器Ssec執行保護 功能。 安裝於個人電腦102之上的軟體模組F-PC是藉由一 個安全通道CS連接到安全伺服器Ssec。上述安全通道爲 26 ---— — — — — —----^ illllll^ilm — 11^. (請先閱讀背面之注意事項再填寫本頁i 本紙張尺度適用中國國家標準(CNS)A4規格(210 * 297公釐) ___4的1仍 B7 五、發明說明(A) 經濟部智慧財產局貝工消費合作社印製 一個譯碼過的通訊頻道,其用於在兩個過濾器軟體模組F· PC與F-SE之間交換保護之資訊,且可能對兩個模組F-PC 與F-SE相互的認證。上述安全頻道可以使用例如SSL之已 知通訊協定。、 因此,設定此安全頻道CS能使得第一個過濾器軟體 模組F-PC將經邏輯界面F-ΑΠ由應用程式Fap處所接收之 請求與關係到送出這些請求之應用程式之識別的資訊,傳 送給第二個過濾器軟體模組F-SE。於識別有關應用程式之 資訊之後,並且依據應用程式以及可能依據使用者之權利 ,上述第二個過濾器軟體模組F-SE隨後將這些請求轉譯爲 一串基本指令給微晶片卡片31,並且用來控制與使用者之 資訊交換。由模組F-SE產生的指令隨後會傳送到第一個模 組F-PC,其將這些指令轉送到相關的元件上:個人電腦本 身會接收到控制與使用者或積體電路卡片之資訊交換的指 令。爲了要使控制與使用者資訊交換之指令能於個人電腦 上執行,後者必須包含一個解譯軟體模組I。此轉譯軟體 使得訊息得以顯示於螢幕上4,並且由使用者經由鍵盤5 輸入資訊。解譯軟體模組將參考圖4B與圖4C做更詳盡的 描述》 此第二個執行之模式是依據第一個執行模式(顯示於 圖2A中)於此範圍內對應用程式之識別(例如混雜運算 或簽章),以及傳送到相關卡片上(例如一個MAC之附加 物)之機制來運作的。於另一方面,當會將由應用程式 Fap處接收之高位階請求轉譯之過濾器軟體模組F-SE於一 27 — —— — — — —------i — — — — — — — — —----^ (請先閱讀背面之注意事項再填寫本頁i 本紙張尺度適用中國國家標準(CNS)A4規格(2〗0 X 297公釐〉 40510¾ 五、發明說明(八) 個安全的環境中執行時,其提供了於此範圍內之增強強度 的安全度。於本發明之背景中,伺服器Ssec若無法由未經 授權之個人實際地或邏輯地(意即,經由一個網路連接) 被存取時,則伺服器Ssec便可被認定爲是安全的。 顯示於圖2B之第二個執行模式適合於在一個由中央 管理者所控制之封閉或私用環境中採用之應用程式,因其 需要一個受保護之伺服器能中央式地加以管理。此第二個 執行模式亦提供定義一個由積體電路卡片提供對加密服務 存取之中央式政策的便利性。此存取政策可以依據需要卡 片服務之應用程式與依據使用者本身來作決定。當一個企 業核發其員工或是客戶積體電路卡片,使得他們可以簽署 電子郵件與銀行交易的例子中,其可以確保僅有經授權認 證過之使用者可以簽署:此機制可以使用安全頻道CS來 實現。對於由其中的一個應用程式送出的每一個簽章請求 要由企業認爲是正確無誤的情形(電子郵件程式與銀行交 易軟體),軟體模組F-SE對於執行一個用於認證使用者之 請求。此請求,舉例說明,可以藉由經安全通道CS送出 一個隨機號碼(盤問)給卡片31的方式執行。於使用者鍵 入其機密碼時,積體電路卡片會藉由使用一個其所持有之 機密匙將盤問譯碼來計算出一個動態的密碼》此密碼隨後 會經由安全頻道CS傳送給軟體模組F-SE。當知道使用者 與因此於其卡片上所持有之機密匙之後,則軟體模組F-SE 會將接收到的密碼與預期的密碼做比較。此機制,已知之 盤問-回應模式認證,能夠使得軟體模組F-SE可以確認使 28 本紙張尺度適用中國國家標準(CNS)A4規格(210 x 297公釐) --------------裝— (請先閲讀背面之注意事項再填寫本頁:i Μό. --線· 經濟部智慧財產局員工消費合作社印製 A7 B7 40510: 五、發明說明(>) 用者之識別資料。因此已經核發積體電路卡片給使用者之 企業可以確保僅有仍經認證過之使用者可以簽署例如銀行 交易之應用。 藉由其所呈現之安全與中央化裝置,伺服器Ssec不僅 僅能促成過濾器軟體F-SE的安裝,亦能使得制定一個用於 控制由積體電路卡片提供之安全服務之使用的中央化政策 更爲容易。伺服器Ssec使得一個中央化的政策可以藉由相 同伺服器可以連接於一群安裝於一群使用者之個人電腦上 的軟體模組F-PC的事實加以制定。因此,伺服器Ssec能 使得中央化的定義與對由依據請求服務與上述使用者權利 之槪況核發給不同使用者之卡片所提供之安全服務使用之 控制能完成。制定此中央化政策意味著伺服器持有必要的 資訊,意即,使用者使用一個特別的安全服務連同一個特 殊應用的權利。 此第二個執行模式(顯示於圖2B中),及適合於私 用環境中,並不容易應用於當一個安全中央伺服器不可用 時的開放式應用中。 圖3顯示一個終端機模組,其包含相似於圖2B中的 終端機模組之功能架構原理,但爲一個不需要中央化伺服 器之不同的實施例。圖3中第二個實施例之終端模組具有 一個相當高位階的安全度,使其能夠確保對於過濾器軟體 F直接的局部保護。 於圖3中,可以是一個可攜式單元之終端機模組1的 一面,可以攜帶顯示螢幕4以及鍵盤5,且上述單元包含 29 本紙張尺度適用中國國家標準<CNS)A4規格(210 X 297公釐) --------------裝— (請先閱讀背面之注意事項再填寫本頁) Ή. --線. 經濟部智慧財產局員工消費合作社印製 A7 405105 B7 五、發明說明(q) 電子電路,其最好不要由外界可以加以存取。終端機模組 1包含讀取機6,並且具有一個用於將微電子電路卡片31 植入讀取機6中之開口。參考圖3、圖4A、圖4B與圖4C 所描述之執行的模式不能被認爲是限制於一個專用的終端 機。以下的敘述應用於一個以PC爲基礎或NC爲基礎的終 端機。 顯示於圖4A,圖3中之終端機模組的第二個實施例 之第一個執行模式中,終端機模組1之電子電路是依據互 相連接與永久地安裝於模組1之一個標準微控制器2以及 一個安全微處理器3所組成的。作爲此情形的一個替代方 案,微處理器3可以藉由一個以虛線顯示於圖4A之控制 器41插入模組1中。此敘述涵蓋了一個根據一個標準微控 制器而運作之一般執行模式。於一個隨後將會於以下描述 之特殊的執行模式中”微控制器2可以是一個顯示於圖2B 中之PC 102。 上述標準微控制器2包含一個處理器單元2a,暫存記 億體2b (隨機存取記憶體,RAM),以及永久記億體2c ( 唯獨記憶體,ROM)。其最好是一個“單晶片“微處理器 ,其中的軟體罩入程式於永久記憶體2c中,且其整合入同 樣之積體電路標準界面管理或是控制裝置,上述處理器單 元2a,暫存記億體2b與永久記憶體2c中。 由上述微控制器2所管理之界面或是周邊設施包括資 訊顯示螢幕4,例如一個液晶顯示器,用於給使用者輸入 資料之鍵盤5,微電路卡片讀取機6,一個外部連接界面7 30 ^紙張尺度適用中國國家標準(CNS)A4規格(210 X 297公釐) --------------裝— (請先間讀背面之注意事項再填寫本頁) 訂· --線 經濟部智慧財產局員工消費合作社印製 經濟部智慧財產局員工消費合作社印製 405105 B7 五、發明說明(4) ,例如RS 232或PCM-CIA形態的連接界面,一個紅外線 鏈路界面8,以及一個用於在電話線上傳送資料之DTMF 儀器9。 上述終端機模組1亦包含使用於模組1不同電路與元 件的一個計時器;10與一個電源供應器11。若模組1爲一 個可攜帶式與獨立性的元件,則上述電源供應器U可以是 電池的形態。 上述標準微控制器2的工作爲管理整個環境,意即, 控制界面4-9 ’計時器10與個別供應於〜個獨立模組1之 情況下的安全微處理器3之電源供應器1丨。 上述標準微控制器2因此需要不多的計算電力,少量 的暫存記憶體(RAM),以及非近似永久之記憶體( EPROM或EEPROM)。上述微控制器2是利用程式(界面 控制,與以下所描述之轉譯,計時器管理與電力供應等) 是罩入程式化於永久記憶體2c的事實達到防寫的目的。如 同將會於此之後變得更爲明顯,上述標準微控制器2亦可 以包含一個或更多的安全參數,基於其可以藉由終端機模 組與/或一張積體電路卡片予以認證的理由。因此機密匙必 須要防止讀取與寫入。其最好儲存於一個“單晶片“微處 理器的暫存記憶體(RAM)中,其無法由外部被寫入或讀 取。上述標準微控制器2亦可以具有額外的安全功能,例 如避免類似資訊之顯示與來自微處理器3之資訊不同之錯 誤產生β 其因此變成爲低花費與省電力的操作,因此特別地適 _____31_ 紙張尺度適用中國國家標準(CNS)A4規格(210 X 297公芨) ---— — — — — — — —----------訂--------I (請先閲讀背面之注意事項再填寫本頁i 經濟部智慧財產局員工消費合作社印製 _40&1Q5 B7__ 五、發明說明(J\ ) 合一個可攜帶式的產品。而微控制器可以是一個例如OKI 63180的控制器。 於此最好有兩個計時器10:—個低頻之計時器l〇a, 例如一個頻率爲32.368kHz之計時器,以及一個高頻率計 時器10b,例如一個頻率爲1MHz至12MHz的計時器。微 控制器2指揮其系統計時器與這兩個計時器其中一個計時 器互相連接。 上述低頻計時器10a會於一段0.5秒的時間間隔中記 錄微控制器2之時鐘2d,以提供模組1中的一個即時計時 器。處理器單元2a以可以使用低頻計時器10a於不需要高 計算速度的功能中:於微控制器2之系統計時器連接於低 頻計時器10a且高頻計時器10b停止的情形下。此運作的 模式降低了模組1的電力損耗,此對於若其爲可攜帶式、 且由電池供應電力時是相當有利的。 防讀取與寫入之微處理器3包括一個中央處理單元3a ,一個暫存記憶體(RAM) 3b與一個永久記億體(ROM) 3c,連同用於儲存模組1之應用程式之電子式可重複程式 化之近似永久記憶體(EEPR0M或Flash RAM) 3d。 安全微處理器3是屬於使用於微電路卡片中的形態, 且具有有限個輸入與輸出,其內部匯流排已經無法由外部 存取。其與其他此形態之微處理器特別具有之安全機制所 製造出的,此對於精通此領域者是相當熟悉的機制,例如 安全陣列、記憶體不規則排列、計時器頻率控制、重置控 制等之機制。 32 _____ -------------裝---— — — —— 訂!! I ·線 (請先閲讀背面之注意事項再填寫本頁) ' 本紙張尺度適用中國國家標準(CNS)A4規格(210 X 297公茇) 經濟部智慧財產局員工消費合作社印製 A7 B7 五、發明說明(y) 因爲上述微處理器3具有一個近似永久的記憶體3d, 其可能可以將一個或多個應用程式由外部,例如由一個伺 服器或由一張微電子電路卡片上,載入於其中。其因此可 能可以依據模組1想要的需求(存取控制、財金與/或商務 交易、電子錢包等)來改變應用程式。若於近似永久之記 憶體3d所允許的容量內,其亦可以於其使用的期間安裝入 新的應用程式。 依據所選擇之版本,上述安全微處理器3可以計算需 要大量運算之加密函式,其包含於RSA或DSA形態之非 對稱演算法,或使用較簡單之演算法,例如DES形態之演 算法中。 上述安全微處理器3可以是,例如: 個SIEMENS SLE44C160S非加密微處理器,其具有 14k位元組的ROM與16k位元組之EEPROM ; -一個SGS THOMSON ST16CF54A加密微處理器,具 有16k位元組的ROM、4k位元組之EEPROM與480個位元 組之RAM ;或是 -一個PHILIPS P83C858加密微處理器,其具有20k位 元組的ROM與8k位元組之EEPROM。 上述安全微處理器3是藉由鏈路12連接制標準微控 制器2,且藉由鏈路13與14,個別經由交換界面轉接器15 與16連接至外部界面7與微電子電路卡片讀取機6。上述 交換界面轉接器15與16是個別經由鏈路17與18由標準 微控制器2所控制。 33 本紙張尺度適用中國國家標準(CNS)A4規格(210 X 297公餐) ----------— I— ^ - - - -----t--------- (請先閲讀背面之注意事項再填寫本頁) 經濟部智慧財產局員工消費合作社印製 405105 A7 五、發明說明(w ) 上述標準微控制器2包含一個儲存於ROM 2C中之轉 譯程式20(顯示於圖4B與圖4C中),並且使得其能夠執 行用於翻譯形成部份應用或程式之高位階請求的軟體所產 生的指令,如同以下所描述的。轉譯器20能夠使得儲存於 安全微處理器3中之應用程式,經由鏈路12去控制界面4-9。上述應用程式僅會被放置與執行於安全微處理器3,例 如位於一張插入於界面6中之微電子電路卡片31,例如一 張支援用於下載與執行應用程式之機制,如同描述於法國 標準NF EN 726-3中的一般,該標準的標題爲“用於電信 領域之積體電路卡片與終端機。第三部份:與應用程式無 關之卡片的規格“。 依據其適合之安全規則,上述應用程式亦可以被分割 於這些不同的位置之間。 圖4B爲一個功能方塊圖,其顯示一個圖4A中之模組 1的第一個軟體結構架構,於其中所有的應用程式Al、A2 、….An與安全功能(濃縮之計算、對稱加密程式,例如 DES或三重DES,由RSA提出之非對稱加密演算法)皆執 行於安全微處理器3。 上述標明爲Al、A2、....An之應用程式與上述描述其 餘的部份至少包含了 FI、F2、....Fn之過濾器程式,並且 因此特別是用於轉譯來自於形成部份主要應用程式54 (圖 8A)之應用服務提供者Fap之請求之軟體。 上述標準微控制器2管理使用不同界面驅動程式之環 境: 34 本紙張尺度適用中國國家標準(CNS)A4規格(210 X 297公釐) -----— — — — — — —— — — — — — — — — — — — — — — (請先閱讀背面之注意事項再填寫本頁) 經濟部智慧財產局員工消費合作社印製 __405105 ; _ 五、發明說明(γ^) -一個使用於微電子電路卡片讀取機或界面6之驅動 器21 ; -一個使用於串列鏈路界面7之驅動器22 ; •一個使用於鍵盤5之驅動器23 ; -一個使用於紅外線鏈路界面8之驅動器24 ; -一個使用於顯示器4之驅動器25 ; -一個使用於計時器10與電力供應器11之驅動器26 9 -一個使用於DTMF界面9之驅動器27 ;以及 -一個使用於其他界面,假設模組1包括有別於顯示 於圖2之一個或多個界面。 上述安全微處理器3因此可以藉著由轉譯器20轉譯 後之指令控制界面,並且藉由標準利用上述驅動器21-28 執行。 圖4C顯示出圖4Α中之模組1的第二個軟體組態,於 其中一個或多個應用程式Αχ與一個或多個加密功能Sx儲 存於一張微處理器卡片31之安全微處理器30的一個可重 複程式化記憶體30a之中。當卡片31插入讀取機6時,微 處理器31會執行應用程式Αχ以及加密功能Sx。其他應用 程式與安全功能可以常駐於其中,並且藉由模組1之安全 微處理器3執行。舉例說明,卡片31之微處理器30可以 確認一個電子簽章功能,假設上述安全微處理器3並不包 括一個專用的計算處理器(加密處理器)。相反地,若上 述安全微處理器3包括一個加密處理器,則一個位於微電 ____35 __ 紙張尺度適用中國國家標準(CNS)A4規格(210 X 297公釐) I-----— — — — — — — ----- 11 I ·111111-- (請先閱讀背面之注意事項再填寫本頁) 經濟部智慧財產局員工消费合作社印製 405105 A7 __B7 _ 五、發明說明(A) 子電路卡片31上的應用程式可能會造成模組1的加密指令 ’其將會由安全微處理器3加以執行。 於第二個組態中,當其有關於安全微處理器3時,轉 譯器20具有相關於微處理器30之相同的角色,否則其將 完全相同於顯示於圖4B中的組態。因此,模組1可以依據 插入讀取機6之微電子電路卡片31的形態執行不同的應用 程式,例如: -於一個藉由利用DTMF界面9經電話線發生之銀行 交易內容(平衡詢問、基金轉移等)中之使用者的認證; -當一張微電子電路卡片被使用作爲一個錢包而插入 讀取機6之電子錢包平衡詢問或由模組1重新載入。模組 1提供了管理一些不同錢包的便利:銀行錢包、一個機構 特殊的錢包等,例如: -於一張醫療卡片上讀取一個醫療相關檔案; -於一張卡片上讀取忠誠點,卡片上的忠誠點依據一 個消費者的購買模式、消費者忠誠運作之參與情形等,授 與給一個消費者。 以上參考圖4A與顯示於圖4B及圖4C之軟體組態而 描述的執行模式,同樣地可應用於一個基於一部額外配備 一個安全微處理器3之傳統個人電腦上的終端機。於此執 行模式中,微控制器2與PC 102相應,如顯示於圖2A, 處理器單元2a相當於PC的微處理器l〇2c與RAM 2b,以 及永久記憶體2c個別地對應於RAM 102d與硬碟l〇2b。同 樣地,PC的輸入/輸出102a相應於圖4A中之界面模組7、 36 本紙張尺度適用中國國家標準(CNS)A4規格(210 X 297公釐) — — — — — — — — — II — --------訂· — 111---- (請先閱讀背面之注意事項再填寫本頁) 經濟部智慧財產局員工消費合作社印製 405105 a? ____ B7__________ 五、發明說明(叫) 8與12。介於安全微處理器3與PC 102之間的連接可以是 —個串列或並列鏈路,或是至pC之PCMCIA形態的內部 匯流排的一個連接,或是對PC主機板的直接連接。此情 形的替代方案爲,安全微處埋機3可以固定地或遠端地( 經由連接器41 y與PC鍵盤整合。 於此情形中,轉譯器軟體模組20與周邊驅動器軟體 模組21至28安裝並執行於Pc上。此執行模式之功能性架 構相同於顯示於圖2Β的架構,安裝於PC上的轉譯器模組 20確保與圖2B中之轉譯器模組丨具有相同的角色:其執 行用於控制由以安全的模式安裝於微處理器3 (圖4B)或 積體電路卡片30 (圖4C)中過濾器軟體F接收到之使用者 的交換。 圖5之圖示描述本發明第二個實施例之第二個執行模 式,於其中終端機模組1之電子電路是建構於一個取代微 控制器2與微處理器3之單一微控制器29,以及提供相同 形態之實體與邏輯保護如爲積體電路卡片設計之微處理器 。此微處理器驅動終端機模組所有的界面裝置4-9。其包含 一個處理器單元29a、一個暫存記憶體(RAM) 29b、一個 永久記憶體(ROM) 29c,以及一個用於儲存翻譯軟體之近 似永久記憶體(EEPROM) 29d。處理器單元29a同時對應 到控制界面之資料處理單元2a,以及用於執行上述翻譯軟 體之處理器單元3a。如先前的描述,終端機模組1可以基 於一部PC 102至內部匯流排,其與控制PC之顯示螢幕4 與鍵盤5之一個安全微控制器29直接連接著。 _J7____ 紙張尺度適用中國國家標準(CNS)A4規格(210 X 297公釐) — — — — — — — — —--. I ! — I 訂·! — (請先閲讀背面之注意事項再填寫本頁) ' 405105 - 五、發明說明(β) 儲存著用於翻譯高階請求軟體之軟體的一個記憶體變 動中,具有備援電力供應之快閃RAM或是半永久記憶體( EEPROM或快閃RAM),可以外接於微控制器29。於此例 中,翻譯軟體可以被加密,並且藉由一個訊息認證碼( Message Authentication Code,MAC)加以簽章或保護以確 保其資訊完整性與其機密性。此軟體是由微控制器29讀取 、解密,然後執行。 顯示於圖6中之本發明第二個實施例的第三個執行模 式,終端機模組101並不具有安全微處理器3。於圖6中 ,與圖4A中相同的參考數字代表相同的元件。微控制器2 控制界面6,與用於將界面6中之一個可程式微電子電路 卡片131的安全微處理器130,與外部鏈路界面7相連接之 交換轉換器15。於此例中,所有的應用程式A與加密函式 C儲存於上述可程式微電子電路卡片131之安全微處理器 130中的一個半永久記憶體(EEPROM或快閃RAM) 103a ,並且由後者執行,如參考圖4C所描述之應用程式Αχ與 加密函式Cx。 • 於先前所描述之範例中,爲了簡化說明的目的,可能 會包含於積體電路卡片之微處理器30, 130與安全微處理 器3具有一個單一通訊埠。此表示於這些範例中不同實體 之間的交換,意即,包含主要應用程式之電子單元154 ( 圖8)、安全微處理器3與積體電路卡片之微處理器30 ' 130,會經由終端機模組之微控制器2或29實現。以上的 描述不能夠被認爲是限制於此發明之情形:於本發明之範 38 本紙張尺度適用中國國家標準(CNS)A4規格(210 X 297公爱) --------------裝— (請先閲讀背面之.注意事項再填寫本頁) JSJ· -線· 經濟部智慧財產局員工消費合作社印製 405105 A7 B7 五、發明說明(沙) 圍之內,其他的應用亦爲可行。目前可得知用於積體電路 卡片、可以使用於卡片本身(微處理器30、130) ’或於 終端機模組中(微處理器3)之安全微處理器’可以具有 兩個通訊埠。不同最佳化通訊之實施例因此可以容易地設 想爲此形態之微處理器。於圖4C中,舉例說明,積體電 路卡片31的一個通訊埠可以專門用於控制使用者界面,因 此可以連接至微控制器2,另一個通訊埠則連接至包含主 要應用程式之電子單元上,端看適合之界面應用程式。 根據本發明一個重要的特色,過濾器軟體是儲存於與 終端機模組1之安全微處理器3或29,與/或卡片3、131 之安全微處理器30、130之可重複程式化之記億體 EEPROM.之中。此過濾器軟體以一個來自於伺服器Sap或 來自PC之高位階請求已知的方式,將其翻譯爲可以藉由 這些微處理器執行基本指令的序列(這些指令定義於iso 標準7816-4之第四部份)。配合此發明,此過濾器軟體將 這些高位階請求翻譯爲於終端機模組1、101與使用者之間 ,藉由例如顯示器4與鍵盤5之界面裝置進行之資訊交換 〇 此解決方案具有考慮到降低於終端機模組1、101與 伺服器Sap或PC之間之資訊交換的流量,但是需要翻譯軟 體之安全安裝,以避免傳送給爲電子電路卡片之指令被己夂 變。 此過濾器軟體爲安裝於終端機模組1與/或卡片31 ' 131中之部份應用程式軟體的一個整合部份,且因此可以 39 一 本紙張尺度適用中國國家標準(CNS)A4規格(2〗〇χ 297公釐) (請先閱讀背面之注意事項再填寫本頁) 言 Γ 經濟部智慧財產局員工消費合作社印製 A7 _4QS>1Q5-si 五、發明說明(η ) 被下載。 圖7描述了一張微電子電路卡片(智慧卡)之傳統軟 體架構。 不同的軟體層由區塊43顯示,其由一個能使得指令 被接收到的“通P協定“軟體層44所構成。這些指令藉由 一個“APDU指令轉譯器“軟體層45 (APDU :應用程式協
定資訊單元,Application Protocol Data Unit)解碼,APDU 的角色勢將指令遞送給處理模組,而上述處理模組可以是 -安全檔案管理服務軟體46; -加密服務軟體74 ; -應用軟體48。 上述處理模組46、47與48依賴微電子電路卡片之作 業系統49所提供之基本服務。 圖8A描述一個系統之軟體架構,此系統利用由一個 安全微處理器3提供之終端機模組1,依據顯示於圖4A之 本發明的操作模式實現安全交易。 區塊51代表由終端機模組1之安全微處理器3所執 行之軟體,區塊52代表由終端機模組1之PC 1〇2或微控 制器2所執行的軟體,區塊53則是一張微電子電路卡片 31之微處理器30所執行之軟體,而區塊54代表著安裝於 伺服器Sap或一部PC上之主要應用軟體(應用服務提供者 )° 區塊51相似於圖7中之區塊43,意即,安全微處理 40 本紙張尺度適用中國國家標準(CNS)A4規格(210 X 297公釐) (請先閲讀背面之注意事項再填寫本頁) 丁 經濟部智慧財產局員工消費合作社印製 A7 A7 經濟部智慧財產局員工消費合作社印製 105-W- 五、發明說明(# ) 器3具有一個類似於一張積體電路卡片所具有之架構。區-塊51包含: -通訊協定軟體60 ; -作業系統61 ; -一個代表安裝於終端機模組1中之部份應用軟體的 區塊62,此部份應用軟體主要是由先前提到之過濾器軟體 所組成的。對應到不同應用程式之此形態不同的軟體模組 可以共同存在於安全微處理器3 ; -隨意地,用於標準微控制器2之認證(藉由安全微 處理器3)與終端機模組1之安全微處理器3之認證(藉 由卡片31之微處理器30)的軟體63 ; -安全檔案管理軟體64 ; -加密服務軟體'65。 區塊52是由以下的元件所組成的: -通訊協定軟體70 ; 個對應到圖4B與圖4C之軟體20的指令轉譯器71 » -與軟體63共同用於標準微控制器2之認證的認證軟 體72 (藉由終端機模組1之安全微處理器3); -用於控制微控制器2內部資源之軟體73 ; -用於以螢幕4之驅動器23與鍵盤5之驅動器25控制 與使用者之間的界片之軟體74 ; -用於控制通訊界面7、8與9 (驅動器22、24與27) 之軟體75。 本紙張尺度適用中國國家標準(CNS)A4規格(210 X 297公楚) 裝--------訂---------線 (請先閱讀背面之注意事項再填寫本頁) 經濟部智慧財產局員工消費合作社印製 A7 B7 —405105-- 五、發明說明(β) 最後,區塊53相似於區塊43,但於以下參考圖8Α所 描述的範例並不包含任何應用程式或過濾器軟體。其包含 -通訊協定軟體80 ; -APDU指令轉譯軟體81 ; -安全檔案管理服務(例如PIN檢査)軟體82 ; -加密服務軟體83 (使用機密匙之對稱加密運算或使 用公鑰匙與私鑰匙之非對稱加密運算等),與軟體63共同 用於終端機1之安全微處理器3的認證,以及其餘的功能 j -卡片31上之微處理器30的作業系統84。 通訊協定60、70與80控制以下兩者之間的資料交換 -卡片31之微處理器30與終端機模組1之PC 102的 標準微控制器2; -終端機模組1之安全微處理器3與微控制器2 ; -終端機模組1之安全微處理器3與卡片31之微處理 器30。 圖8B類似於圖8A之圖示,其描述於終端機模組i〇i 不包含安全微處理器3的情形下之系統軟體架構,依據本 發明第二個實施例之第三個執行模式(圖6)加以描述。 於圖8B中,區塊152代表著由終端機模組ιοί之微 控制器2所執行之軟體,區塊153代表著由〜張可程式化 微電子電路卡片131之微處理器130執行之軟體,而區塊 42 _ 本紙張尺度適用中國國家標準(CNS)A4規格(210 X 297公釐〉 !1 — 裝 — II 訂·! II--- {請先閱讀背面之注意事項再填寫本頁) 經濟部智慧財產局員工消费合作社印製 A7 _4&S10.5_b7__ 五、發明說明() 154則代表著安裝於伺服器Sap或pc上之主要應用軟體。 區塊152包含相同的軟體70、71、72、73到75,如 同圖8A之區塊52,以及由用於終端機模組101之標準微 控制器2認證(藉由卡片131上之微處理器130)之軟體組 成之區塊76。 相關於卡片131上之微處理器130之區塊153包含圖 8A之區塊51與區塊53之軟體62以及軟體80至84,連同 用於終端機模組101之標準微控制器2認證(藉由卡片131 上之微處理器130)之軟體組成之軟體77與軟體76。 不像一個傳統的系統,於本發明的一個安全交易系統 中,將應用程式之高位階請求翻譯爲可以由一張爲電子電 路卡片執行之基本指令之過濾器軟體62是安裝於安全的使 用者環境中,意即,安裝於終端機模組1中(用於圖4A 至圖4C與圖5之執行模式之應用A卜A2、....、An),或 於可以與終端機模組1、101 —起使用之半永久記憶體卡片 31、131上(用於圖4C實施例之應用Αχ與圖6實施例中 所有的應用)。 除了其微電子電路卡片管理功能之外,上述過濾器軟 體62控制著與使用者之互動關係,意即,於一個使用者與 終端機模組之間的資料交換的序列,其需要於一個應用的 內容中,且其利用了界面裝置,即螢幕4與鍵盤5。注意 到本發明並未限制應用螢幕與鍵盤作爲與使用者之間之界 面,所以其他具備所需之工效學功能之界面亦適合,例如 一個語音界面。 43 -------------_ I I I I I I I 訂· I! ---- (請先閱讀背面之注意事項再填寫本頁) 本紙張尺度適用中國國家標準(CNS)A4規格(210 X 297公釐) A7 B7 405105 五、發明說明(W ) 因爲過濾器軟體62是安全地安裝於終端機模組丨之 安全微處理器3或29中,或是安全地安裝於微電子+ 片31、131之微處理器30與130中,所以交易是具有安:全 性的。需要於微電子電路卡片31與131上存取檔案的 與規則包含於交易軟體62中,且因此第三方將無法存取。 過濾器軟體62之功能將於以下以一個電子交易應用 之範例的內容加以描述。此應用包含以下的實體: *一個購買者, *一個商人, *一個銀行。 上述商人有一個可經由網際網路接取之電子交易伺服 器Sap (網頁伺服器)。上述購買者則具有: *一部用於接取電子伺服器Sap之PC以査詢產品之型 錄’ *一張銀行所提供之積體電路卡片31以及微處理器30 ,於其中包含一個私鑰匙,但並不具備任何與一個簽章相 連接之加密能力, *一個如同顯示於圖4A之實施例的終端機模組1,具 有一個標準微控制器2,一個具有加密功能使得一個訊息 得以被簽署之安全微處理器3,一個鍵盤5,一個顯示器4 ,一個積體電路卡片界面6,以及一個用於將其連接至一 部PC之串列界面7。 操作的原理如下:交易是藉由使用卡片31所持有之 私鑰匙之終端機模組1所簽署的。此私鑰匙是由一個機密 I— 1----1! ----111 111----- (請先閲讀背面之注意事項再填寫本頁) 經濟部智慧財產局員工消费合作社印製 f紙張尺度適用中國國家標準(CNS)A4規格(210 X 297公釐) 經濟部智慧財產局員工消費合作社印製 A7 40510^_ B7_ 五、發明說明(妙) 碼(PIN)所保護著,購買者需要將其鍵入於一個安全的環 境中,意即,於終端機1中,以及藉由使用一個安全鑰匙 Kauth之卡片所執行之終端機1先前的認證加以保護。上述 私鑰匙同時以一個加密過的方式(利用一個安全鑰匙Kchif )傳送,以於積體電路卡片31之微處理器30與終端機1 之安全微處理器3之間設定一個安全通訊頻道。 圖9描述不同實體之間之資訊交換: a. 購買者於PC上鍵入一個序號, b. 上述PC產生將由購買者簽署之交易(產品碼,價 格等),並且請求終端機模組1簽署上述交易, c. 終端機模組識別用於簽署之請求的來源,隨後藉由 於顯示器4上顯示一個“鍵入PIN “之訊息提示使用者鍵 入其PIN碼,
d. 購買者於終端機模組1之鍵盤5上鍵入機密碼(PIN ), e. 終端機模組1將PIN碼傳送給卡片31用於識別;確 定之識別解除兩個存取情況中的一個以讀取上述私鑰匙, f. 終端機模組1於其顯示器4上顯示出交易的情形, g. 購買者藉由於終端機模組1之鍵盤5上按一個“確 認“鍵加以確認, h. 終端機模組1送出一個外部認證請求給卡片31 »上 述外部認證能夠使得終端機模組1之安全微處理器3對卡 片31之微處理器30認證自己,並且因此解除存取私鑰匙 的第二層保護。此認證是利用一個由終端機模組1與卡片 45 本紙張尺度適用中國國家標準(CNS)A4規格(210 X 297公芨) — —— — — — — — — — — — — «— — —HI— I I I I I I I (請先閲讀背面之注意事項再填寫本頁) 經濟部智慧財產局員工消費合作社印製 A7 4ftMns___B7_ 五、發明說明GA) 31共享之詢問/回應模式而執行的, i. 終端機模組1傳送出一個私鑰匙讀取請求給卡片31 j j. 所有的存取情況皆已滿足了之後,卡片31會接受上 述讀取請求並且送出私鑰匙,其使用一個由卡片31與終端 機模組1共享之機密鑰匙Kchif加密, k. 終端機模組1將私鑰匙解密,利用私鎗匙簽署交易 .,毀壞上述私鎗匙,中斷與卡片31之連接,並且送出上述 簽署過的交易給PC,PC將其傳送給伺服器S。 上述範例可以很容易地移位至不需要任何PC而執行 的一個電子交易上,終端機模組1已藉由一個數據機鏈路 (圖3)直接地連接至一部伺服器Sap上,購買者於終端 機模組1上鍵入序號(產品碼)。 注意到由卡片執行之安全微處理器3之認證亦可以藉 由私鎗匙指令之讀取與聯繫一個使用一個私鑰匙計算出來 之訊息認證碼(MAC)來完成。 此範例顯示出上述過濾器軟體62可以將一個高位階 “用於交易簽章之請求“翻譯爲一群針對終端機界面1各 種不同界面之個別的請求,意即其與積體電路卡片31之界 面6,其與顯示器4之間的界面,其與鍵盤5之間的界面 ,以及其用於將其連接至PC或伺服器Sap上的界面。 此形態之翻譯過濾器軟體具有一個篩選的角色,提供 一個與外部世界之間的過濾器,意即,應用程式與其控制 之周邊設備等。 46 裝--------訂---------線 (請先閱讀背面之注意事項再填寫本頁) 本紙張尺度適用中國國家標準(CNS)A4規格(210x 297公釐) 經濟部智慧財產局員工消費合作社印製 A7 B7 40 51(ίο 五、备明說明(_) 其加強了安全性,因爲: 1. 其利用了已傳送之個別指令之序列排列。例如,於 以上所描述的情形中,其需要由使用者於其被簽署之前先 行確認交易。 2. 其單獨地具有使用於產生與認證這些單一指令之機 密參數。因此其獨自地具有用於讀取與解密私鑰匙之認證 與加密功能。 當過濾器軟體於終端機模組1之安全微處理器3上執 行時,這些特點能夠使得一個存取卡片31之政策得以被利 用,其並不常完全地由卡片本身利用,或卡片的容量可以 被擴充(授權給終端機模組之簽章容量,使用於當其一開 始部署無法預知之內·容中)。 以於終端機模組中之安全微處理器或積體電路卡片中 執行過濾器軟體之安全性而言的好處是可能的,僅因爲上 述軟體於一個安全的環境下執行,其確保: *內含於過濾器軟體之機密無法加以存取,因爲其儲 存於安全微處理器3、29、30或130中, *過濾器軟體之機密性與資訊整合性可以受到保護, 因爲上述軟體是儲存於安全微處理器3、29、30或130中 的。 若終端機模組1爲一個具有其自有界面(顯示器4與 鍵盤5)之專用產品,則安全性的目標便可以達成,因爲 控制與使用者之間之資訊交換的軟體不能夠被變更,因爲 其永久地儲存於微控制器之永久記憶體2c中,或安全地儲 47 本紙張尺度適用中國國家標準(CNS)A4規格(210 X 297公釐) -------------裝!訂!| -線 — (請先閱讀背面之注意事項再填寫本頁) 經濟部智慧財產局員工消费合作社印製 A7 B7 -¢051^5------- 五、發明說明(β) 存於微控制器29中。因此使用者可以十分地確定其藉由顯 示器4與鍵盤5完成之交易的內容,以及確認應用程式之 識別或來源之需要與請求資訊之完整性變成爲可選擇性的 (非必須的)。’ 其他的機制可以ί更進一步地增強介於積體電路卡片之 安全微處理器、終端機模組之安全微處理器,若存在時, 標準微控制器或終端機模組之PC與使用者之間之機密鏈 之安全性等級。這些機制爲: A) 過濾器軟體之安全下載; B) 藉由安全微處理器完成之標準微控制器之認證’或 (其相當於同一件事,但更適合於以一部PC爲基礎之終 端機的執行模式的情形中)藉由過濾器軟體F (62)與/或 於這兩個微處理器之間設定一個安全的通訊頻道或程式I 與F所完成之轉譯軟體模組I (20)之認證; C) 藉由標準微控制器達成之機密匙的保護; D) 於積體電路卡片之安全微處理器與終端機模組之安 全微處理器之間之相互認證與一個安全通訊頻道之設定; E) 終端機模組之認證與適用終端機模組/卡片之組合的 認證;以及 F) 藉由終端機模組完成之微電子電路卡片之認證。 A)過濾器軟體之安全下載 圖10之流程圖描述了將一個應用程式(過濾器軟體 )下載至終端機模組1之安全微處理器3或29中,或讀取 機6中之卡片31與131之安全微處理器30 ’ 130中的處理 48 I I I I---!11-裝! — 訂·!-----線 (請先閱讀背面之注意事項再填寫本頁) 本紙張尺度適用中國國家標準(CNS)A4規格(210 X 297公釐) 經濟部智慧財產局員工消費合作社印製 A7 40.^105_B7___ 五、發明說明(>) 過程。此下載之過程可以由一部伺服器Sap經PC與外部連 接界面7,或紅外線鏈路界面8,例如,或直接地經由 DTMF界面9利用一個電話連接的方式達成。下載可以同 樣地由一張插入讀取機6之微電子電路卡片之安全微處理 器3或29 (若終端機模組具有一個的話)完成。 於步驟32中,配置於應用程式中將被接收之記憶體 3d之區域是空的,且微處理器3正等待著依循一個載入請 求載入應用程式。 接下來的步驟33對應到一個藉由實體之微處理器3 完成之認證的程序,其將會下載應用程式(傳送端)。此 認證程序可以使用精通於此領域者已知之加密機制,例如 ,類似使用共享機密匙之對稱式機制,或是利用私鎗匙與 公鑰匙之非對稱式機制等。 步驟34爲一個測試程序,以判定認證程序是否已經 成功了。若還未成功,則訊息“拒絕存取“會顯示於螢幕 4 (步驟42)上,且程式會回復至步驟32 ;若認證程序已 經成功了,則載入應用程式之程序於步驟35開始。 步驟36對應到儲存於EEPROM 3d中、由負責下載之 實體傳送出之資料資訊框。 步驟37爲一個測試程序,判斷是否下載已經完成了 :若下載還未完成,則下載程式會返回步驟36,且下載程 序繼續進行:若已完成下載,微處理器3會識別於步驟38 接收到之資料的完整性。爲了此目的,一個訊息認證碼( MAC)可以配合下載程式,不僅用於識別其資訊完整性, 49 本紙張尺度適用中國國家標準(CNS)A4規格(210 X 297公釐) ---——— — — — — —— — ·1111111 ------- (請先閱讀背面之注意事項再填寫本頁) A7 A7 經濟部智慧財產局員工消费合作社印製 4051-0-5--- 五、發明說明(吣) 亦識別其來源。上述MAC可以利用一個對稱加密機制( DES於串鏈CBC模式)產生。而資訊的來源與完整性亦可 以利用一個非對稱式加密機制加以識別:一個下載軟體之 濃縮是由傳送者利用其私鑰匙簽署的;安全微處理器3隨 後會識別利用傳送者之公鑰匙完成之簽章。 注意到於此最後一個範例中,公鑰匙於理論上並不需 要仍維持機密性。但微處理器之安全功能卻會確定軟體之 資訊完整性,以避免一個電腦駭客變更軟體以消除簽章確 認或純粹地只是取代公鑰匙,一開始提供的一個公鑰匙其 知道相關之私鎗匙。 若測試步驟39指出接收到的資料是正確的,則一個 指明接收到之應用程式爲正確的之旗幟會於步驟40產生出 來。否則,下載程式會返回第一個步驟32。 此將應用軟體,因此與過濾器軟體,下載於安全可重 複程式化記憶體中(依據相關之實施例分別爲3d、30a與 130a)之處理過程包括了甩於確認由軟體之傳送者接收到 之資料的資訊來源與完整性。此避免了由電腦駭客下載過 濾器軟體,其可能會實現使用者不知之終端機模組1與 101中之交易。 B)藉由過濾器軟體F、62完成之轉譯軟體I、20與 71之認證,或相當於同一件事於對應的執行模式中’藉由 安全微處理器與/或於這兩個程式或微處理器之間一個安全 通訊頻道的設定完成之標準微控制器2之認證 對於一個使用者而言,若要使其能夠對其於實現交易 50 _ " 本紙張尺度適用令國國家標準(CNSU4規格(210 X 297公釐) - --------- 裝— II 1 訂 _ I I-----•線 (請先閲讀背面之注意事項再填寫本頁) A7 A7 經濟部智慧財產局員工消費合作社印製 五、發明說明() 所使用之終端機模組完全地具有信心’必須要: -認證由轉譯軟體20與71傳送出之資料以確保微處理 器3、30或130會執行過濾器軟體;以及 -確保由過濾器軟體傳送之資訊會顯示出來,經由終 端機模組1與101之使用者的轉譯軟體之媒介物僅能由後 者顯示出。 當控制與使用者之間之資訊交換的裝置,意即,轉譯 器軟體20與71,以一個固定的方式安裝於終端機模組1 與101中,且不能被變更,例如於標準微控制器2之ROM 2c中,則對軟體模組之認證即相當於認證微控制器。 同樣地,當過濾器軟體以一種其無法被一個未經授權 之使用者加以變更的方式,安裝於例如安全微處理器3、 積體電路卡片或安全伺服器Ssec之安全處理裝置中時,藉 由這些安全裝置完成認證的程序便相當於藉由過濾器軟體 本身所完成之認證" 於以下的敘述中,將會描述用於藉由過濾器軟體對控 制界面或轉譯軟體20與71之軟體裝置的認證。 不同的方案會識別這些情況。 第一個方案包含將於轉譯器軟體20與71以及過濾器 軟體之間所有交換過的資訊加以加密。 第二個方案爲使得轉譯器軟體20與71藉由過濾器軟 體與/或於其間設定一個安全的通訊頻道加以認證。 這兩個方案必然地會意味著至少一個過濾器軟體F 62 已知之機密參數是儲存於轉譯器軟體20與71中。 本紙張尺度適用中國國家標準(CNS)A4規格(210 X 297公釐) ^ i — — — — — — ^illn---^ f請先閲讀背面之注意事項再填寫本頁) 經濟部智慧財產局員工消費合作社印製 A7 4051 _Β7_ 五、發明說明(<) 於第二個方案中,過濾器軟體F 62會利用一個傳統的 認證處理程序基於由轉譯器軟體20與71傳送之資訊,連 同機密參數來認證轉譯器軟體20與71。於轉譯器軟體20 與71的位階,此認證程序是藉由軟體72 (圖8A)或軟體 76 (圖8B),依據相關之終端機模組之實施例來執行的。 此認證機制可以同樣地應用於程式之間交換的訊息, 以建構用於保證每個傳送之訊息的來源與資訊完整性之訊 息認證碼。 於參考圖4A所描述之執行模式的例子中,此方案仍 然不需要,提供參考,確認於兩個微處理器之間之鏈路的 實體保護,以避免電腦駭客讀取交換過的資訊,特別是卡 片上的個人識別碼(PIN),此爲使用者可能需要經由鍵盤 5鍵入以實現交易。. C)藉由標準微控制器2所達成之機密參數的保護 前面的描述顯示出於轉譯器軟體中儲存至少一個機密 參數的必要性。基於一部PC之終端機執行模式,於其中 轉譯器軟體於PC上執行,因此提供了一個有限的安全度 給PC,雖然此安全度足夠避免一個電腦病毒將自己取代爲 轉譯器軟體。更高的安全度則藉由將轉譯器軟體安裝於標 準微控制器2之ROM 2c中來獲得。對於增強之安全度, 微控制器2之機密參數可以儲存於暫時記憶體中,當產品 是製造出,或若其爲可移除性則可能於插入微處理器3, 或是於一張積體電路卡片上。此操作的目的是爲了於兩個 微處理器之間建立信任。所有必要的預防措施必須要於此 52 本紙張尺度適用+國國家標準(CNS)A4規格(210 x 297公釐) !!!!裝-----訂! !! ·線 (請先閱讀背面之注意事項再填寫本頁) 經濟部智慧財產局員工消費合作社印製 A7 _____ B7 五、發) 操作發生時實施,以確保微控制器2之確實性(由製造商 產生之操作,由製造商以儲存於微控制器2之暫時記憶體 中之運送鑰匙保護的操作,且其消息爲初始化上述機密參 數之先決條件>。除此之外,傳統用於偵測侵入(接觸等 )的機制將會適合於在侵入情形發生時,淸除暫時記憶體 (藉由切斷電力供應等)。 D) 於積體電路卡片之安全微處理器與終端機模組之 安全微處理器之間之相互認證與一個安全通訊頻道之設定 此相互認證與一個安全通訊頻道之設定是藉由那些與 標準微控制器2與安全微處理器執行過濾器軟體時所使用 之機制相同之機制所完成的,如先前B)中所描述的。 E) 終端機模組之認證 護衛鍵盤5、顯示器4與安全微處理器3之組合免於 受到以僞造終端機模組爲目的的攻擊是很重要的,例如將 一個實際的終端機模組以一個僞造之終端機模組取代之, 以復原使用者(鍵盤間諜)鍵入之資料,存取一張機體電 路卡片之機密,僞造簽章等。 爲達此目的,可以另外加入一個機制能夠使得使用者 認證終端機。 此目標是藉由一個自動擬人化處理程序達成的。 僅有終端機模組之認證 擬人化存在於計算出一個容易記億的密碼,且其於當 使用者鍵入一個PIN碼時,由終端機依據內含於終端機之 微處理器或微處理器群產生與顯出。若終端機包括兩個微 53 _____ 本紙張尺度適用中國國家標準(CNS)A4規格(210x297公釐) 1!1! -裝! — 訂·! II--- (請先閱讀背面之注意事項再填寫本頁) A7 __B7___ 五、备膝柳(5') (請先閱讀背面之注意事項再填寫本頁) 處理器,例如,上述密碼儲存於安全微處理器中,利用上 述PIN碼與一個機密鑰匙X加密,然後被傳送到微控制器 2,於此其利用亦儲存於微控制器2之機密匙與使用者鍵入 之PIN碼解密。此機制的目的在於防止兩個微處理器其中 一個被取代。 同樣的原理亦可以應用於當每次一張微電子電路卡片 與終端機模組一起使用時之一個卡片/終端機的組合中。擬 人化存在於翻譯軟體中,此翻譯軟體會依據由卡片之安全 微處理器所持有之機密資訊與終端機模組持有之機密資訊 ,計算出一個密碼。以上所敘述之相同的原理可以使用於 計算密碼。此密碼,於第一次終端機模組與卡片一起使用 且使用者已知時,當終端機模組再度與卡片一起使用時會 顯示於螢幕4。使用者因此可以識別,並且可以確認終端 機已經具備相關事物,包括連接於卡片之終端機模組是可 信的。 經濟部智慧財產局員工消費合作社印製 F)由終端機模組完成之微電子電路卡片之認證 爲了更進一步地增強依據本發明之原理製造之交易系 統的安全性,一個傳統的認證處理程序可以藉著所使用之 微電子電路卡片之終端機模組1與101使用於認證的程序 。上述形態的一個認證處理程序避免了使用者經由鍵盤5 鍵入模組1與101中以執行一個安全的交易之使用者之個 人識別號碼(PIN) ’受到一個電腦駭客取代使用者之確認 卡之僞造卡竊取到’且隨後由駭客加以復原以將PIN由僞 造卡片上讀取出來。此認證程序可以利用一個傳統的詢問/ ____ 54___ 我張尺度適用中國國家標準(CNS)A4規格(210 X 297公釐) "" 經濟部智慧財產局員工消費合作社印製 A7 B7 五、發明說明(<v) 應答形態之機制來完成’例如使用一個於卡片與終端機模 組及對稱性加密法共享之機密匙’或是已經描述過的’由 一張卡片使用一個儲存之私鑰匙使得詢問可以利用一個非 對稱演算法加密,終端機模組可使用其公鑰匙確認應答。 以上所描述之交易系統之架構與安全機制可使得藉由 利用終端機模組1與101完成之交易具有相當高的安全度 〇 上述終端機模組: -因鍵盤5、螢幕4以及與使用者交換之資訊的保護, 可擴展一張微電子電路卡片可以提供之真實地安全服務的 特性;以及 -使得卡片可以使用於一個非安全的環境中(易受電 腦病毒或侵犯程式影響之個人電腦),藉由利用一個軟體 與/或硬體架構嚴格地控制對卡片的存取,意即,控制傳送 到卡片上之加密功能之指令,以密封地將其與此環境分離 上述終端機模組可以有各種不同的形式,例如: 張用於經由不同的界面(PCMCIA等)連接至一部 電腦’或不需要界面(僅經由數據機至伺服器的連接)之 積體電路卡片; *一部電腦(PC),其使用者界面包括pC之螢幕與鍵 盤’且其包含一部積體電路卡片讀取機。上述PC將包含 軟體與/或硬體裝置(例如一個安全的第二個微處理器,包 含PC本身之標準微處理器等),用於確認過濾器軟體之 55 本紙張尺度適用中國國家標準(CNS)A4規格(21〇 X 297公楚 -II----1 I I I I I I — — — — — — — — --- (請先閱讀背面之注意事項再填寫本頁) A7 405105 ____B7_____ 五、發明說明(A) 資訊完整性與機密性。上述之電腦指爲一部個人電腦(PC )或一部個人數位助理(Personal Digital Assistant,PDA ) 9 *一個鍵盤’可能同時提供一個LCD顯示螢幕,配合 一個安全微處理器與一個積體電路卡片界面; * —具電話,可能同時提供一個顯示幕,配合一個安 全微處理器與一個積體電路卡片界面; *一個有線電視網路解碼器(機上盒),配合一部連 接至一部電視、電話、鍵盤或可能是用於解碼器或提供使 用者界面之電視之遠端控制器之積體電路卡片讀取機; *更爲一般地’任何可以認爲是安全的設備,藉由配 合一個敏感的應用程式可以安裝於其中之安全微處理器, 或藉由能使得上述設備可以由一個安裝於一張積體電路卡 片之應用程式控制之一個積體電路卡片界面形成。 以上所有的說明’描述了與一張積體電路卡片或是智 慧卡一起使用之終端機。上述的卡片實際上爲一個使得加 密功能之使用藉由利用至少一個機密參數達到對一個使用 者而言具個人化的工具。本發明的目的很淸楚地並非限制 工具的一種特定形式,例如一張積體電路卡片。本發明亦 涵蓋了提供與一張積體電路卡片相同功能之個人安全設備 ,但以一種不同的形式顯示,例如“iButton “、“Java Ring “與 “token “之產品。 56 X 297公釐) — — — — — —--I I 11 I - - - - ----訂.11---I (請先閲讀背面之注意事項再填寫本頁) 經濟部智慧財產局員工消費合作社印製
Claims (1)
- 經濟部智慧財產局員工消費合作社印製 A8 B8 C840510^_ρ8 ._:_ 六、申請專利範圍 1. 一種用於由使用者執行安全電子交易之終端機,其連 同至少一個安裝於一個電子單元上之應用程式,上述終端機包 含: (a) —個終端機模組,其包括至少: 第一個界面裝置,其具有上述用於接收相關於上述交易之 請求的應用程式, 第二個界面裝置,其作爲與上述使用者之間之界面; 第三個界面裝置,其作爲與一個個人安全儀器之界面, 第一個資訊處理裝置,其包含至少第一個用於控制上述第 一個、第二個與第三個界面裝置之軟體裝置,以及 (b) —個個人安全儀器,其包括至少第二個資訊處理裝置 ,此裝置包含⑴至少用於執行基本指令的第二個軟體裝置與 (ii)用於執行密碼運算之裝置,上述第二個資訊處理裝置包含第 一個用於保護上述第二個資訊處理裝置免於一個未經認證之實 體之實際存取與邏輯存取,於其中: 上述終端機模組由安裝於上述電子單元上之上述應用程式 接收上述高位階請求,上述高位階請求與上述個人安全儀器不 相關, 至少一個上述終端機模組與上述個人安全儀器包含: ⑴至少一個可程式化之記憶體,其用於儲存至少一個過濾 器程式,其將上述高位階請求轉譯爲⑴經由上述第二個界面裝 置於上述終端機模組與上述使用者之間資訊交換的序列,上述 資訊交換由上述第一個資訊處理裝置之第一個軟體裝置執行, 以及將上述高位階請求轉譯爲(Π)基本指令之序列,其由上述第 _L--:___ 本纸張尺度逍用中國國家梂準(CNS > A4规格(210X297公釐) ---------^------訂-------^ (請先閱讀背面之注$項再填寫本頁) 經濟部智慧財產局貝工消费合作社印製 A8 B8 405105_§__ 六、申請專利範圍 二個資訊處理裝置之第二個軟體裝置執行,以及 (ii)用於保護上述過濾器軟體之裝置,以避免一個未經認 證之實體讀取或更動上述軟體,且 至少一個上述終端機模組之上述第一個資訊處理裝置與上 述個人安全儀器之上述第二個資訊處理裝置,包含一個用於執 行上述過濾器程式之第一個資訊處理儀器。 2. 如申請專利範圍第1項之終端機,於其中,用於執行過 濾器程式之上述第一個資訊處理裝置包含第一個裝置,至少其 中一個裝置識別與認證安裝於上述電子單元之上述應用程式, 或接收於上述應用程式之上述高位階請求之來源。 3. 如申請專利範圍第2項之終端機,於其中,用於執行上 述過濾器程式之上述第一個資訊處理儀器包括用於識別接收於 上述應用程式之資訊的資訊完整性。 4. 如申請專利範圍第1項之終端機,於其中,用於執行上 述過濾器程式之上述第一個資訊處理装置,包括配合至少一個 上述應用程式與使用者,控制使用個人安全儀器之服務的情況 之中央化裝置。 5. 如申請專利範圍第1項之終端機,於其中,用於執行上 述過濾器裎式之上述第一個資訊處理儀器包含以下的裝置: 一個裝置,其用於下指令,以一個避免一個未經認證之實 體實際的與邏輯的干擾的方式,將上述過濾器程式經由上述第 一個或上述第三個界面裝置,其中一個界面裝置由一個外部於 上述終端機模組之實體,載入上述可程式化記億體,以及 第—個存取控制裝置,用於授權上述過濾器程式之載入僅 ----^------^------1T------0 (請先聞讀背面之注f項再填寫本頁)' 經濟部智慧財產局員工消費合作社印製 405105 ; 六、申請專利範圍 能回應至少一個預先定義之狀況。 6. 如申請專利範圍第1項之終端機,其進一步包括第二個 裝置,其用於藉由上述第二個資訊處理裝置來認證上述第一個 資訊處理裝置。 7. 如申請專利範圍第1項之終端機,其包括第三個裝置, 其用於藉由上述第一個資訊處理裝置來認證上述第二個資訊處 理裝置。 8. 如申請專利範圍第6項或第7項之終端機,其進一步包 含⑴介於上述第一個資訊處理裝置與上述第二個資訊處理裝置 之間之第一個通訊頻道,上述第一個通訊頻道包含上述第三個 界面裝置,以及(Π)用於確保上述第一個通訊頻道不會被一個未 經認證之實體存取之第一個裝置。 9. 如申請專利範圍第1項之終端機,其進一步包含用於由 上述使用者,無關於上述個人安全裝置,認證上述終端機模組 之第四個裝置。 10. 如申請專利範圍第9項之終端機,於其中,上述第四 個認證裝置包括藉由上述第一個資訊處理裝置用於計算之裝置 ,以及用於經由使用者已知的一個密碼之上述第二個界面裝置 ,呈現給上述使用者之裝置,並且以儲存於上述第一個資訊處 理資裝置中之第一個機密參數爲基礎加以計算。 11. 如申請專利範圍第1項之終端機,其進一步包含用於 由上述使用者一起認證上述終端機模組與上述個人安全裝置之 第五個裝置。 12. 如申請專利範圍第11項之終端機,於其中,上述第五 3 本紙張尺度適用中國國家標準(CNS ) A4現格(210X297公釐) ---------^------訂------ii (請先閲讀背面之注意事項再填寫本頁) 經濟部智慧財產局貝工消費合作社印製 A8 B8 405105_§___ 六、申請專利範園 個裝置包含一裝置,其用於藉由上述執行上述過濾器程式之上 述第一個資訊處理裝置加以運算,與用於經由上述使用者已知 密碼的上述第二個界面裝置呈現給上述使用者,上述密碼以至 少分別儲存於上述第一個資訊處理裝置之記憶體與上述第二個 資訊處理裝置之記憶體之第二個與第三個機密參數爲基礎計算 出。 13. 如申請專利範圍第1項之終端機,於其中,上述終端 機模組包括用於儲存上述過濾器程式之上述可程式化記憶體。 14. 如申請專利範圍第13項之終端機,於其中,上述過濾 器程式會產生出用於執行於上述終端機模組與上述使用者間之 資訊交換序列的第一個指令,且上述第一個資訊處理裝置包括 ⑴一個用於控制至少上述第二個界面裝置之第一個微處理器, 上述第一個微處理器利用上述第一個軟體裝置執行由上述過濾 器程式產生並且傳送給上述第一個微處理器用於執行於上述終 端機模組與上述使用者間之上述資訊交換序列的第一個指令加 以程式化,以及(ii)一個於上述終端機模組中並包括上述可程式 化記憶體之積體電路卡片的一個第二個微處理器,上述第二個 微處理器執行上述過濾器程式,利用傳送給上述第一個微處理 器之上述第一個指令,控制於上述終端機模組與上述使用者間 之資訊交換序列,且用於應用上述基本指令之上述序列於上述 第二個資訊處理裝置上,上述第二個微處理器包括用於保護上 述第二個微處理器免於受到一個未經認證實體之實際與邏輯存 取之第二個裝置。 15. 如申請專利範圍第14項之終端機,於其中,用於控制 ---------^------訂·------^ (請先閲讀背面之注意事項再填寫本頁) ___ 4__ A8 B8 C8 D8 405105 六、申請專利範圍 至少第二個界面裝置之上述第一個微處理器包括至少一個儲存 於上述第一個資訊處理裝置記憶體之第四個機密參數,上述第 二個微處理器由上述過濾器程式認證用於以由上述第一個微處 理器傳送之資訊並結合至少上述第四個機密參數爲基礎,控制 至少第二個界面裝置之上述第一個軟體裝置來加以控制0 16.如申請專利範圍第15項之終端機,其進一步包含⑴一 個介於控制至少第二個界面裝置之上述第一個微處理器與上述 第一個資訊處理裝置之上述第二個微處理器間的第二個通訊頻 道,以及(Π)用於保護上述第二個通訊頻道免受一個未經認證之 實體存取之第三個裝置。 Π.如申請專利範圍第16項之終端機,於其中,上述第二 個安全裝置包含藉由上述第一個軟體裝置與第二個微處理器, 用於以儲存於上述第一個資訊處理裝置記憶體中與上述第二個 資訊處理裝置記憶體中之至少一個第五個機密參數爲基礎,將 傳送於上述第二個通訊頻道上之資訊加密與解密之裝置。 18. 如申請專利範圍第16項之終端機,於其中,上述第三 個安全裝置包括用於實際地保護上述第二個通訊頻道免受侵入 之第一個實體裝置。 19. 如申請專利範圍第15項之終端機,於其中,上述第一 個資訊處理裝置之上述第一個微處理器包含一個用於儲存上述 第五個機密參數之暫時記憶體,以及用於實際地保護上述暫時 記憶體免受侵入之第二個實體裝置。 2〇_如申請專利範圍第14項之終端機’於其中’上述第二 個微處理器爲一個微控制器。 ________^ --------- 本纸張尺度逋用中國國家梂準(CNS ) A4现格(210X297公釐) ^------二1T------^ (請先閲讀背面之注意事項再填寫本頁) 、 經濟部智慧財產局員工消費合作社印製 經濟部智慧財產局員工消費合作社印製 A8 B8 C8 4Q5IQ5 —-El 六、申請專利範圍 21. 如申請專利範圍第13項之終端機,於其中,上述過濾 器程式會產生用於執行介於上述終端機模組與上述使用者間之 上述交換資訊序列之第—個指令’且上述第一個資訊處理裝置 包括用於執行上述過濾器程式之上述第一個資訊處理裝置,上 述第一個資訊處理裝置包含一個微處理器,其用於: ⑴執行上述過濾器程式以將上述高位階請求轉譯爲介於上 述終端機模組與使用者間之交換資訊序列’以及轉譯爲用於由 上述第二個資訊處理裝置之第二個軟體裝置執行之基本指令序 列,以及 (ii)利用由上述過濾器程式產生以執行介於上述終端機模 組與上述使用者間之資訊交換序列之上述第一個指令,控制至 少上述第二個界面裝置,且於其中上述微處理器包括用於保護 上述微處理器免受一個未經認證之實體實際的與邏輯的存取之 裝置。 22. 如申請專利範圍第21項之終端機,於其中,上述微處 理器包括上述可程式化記憶體。 23. 如申請專利範圍第21項之終端機,於其中,上述上述 可程式化記憶體位於上述微處理器之外部。 24. 如申請專利範圍第23項之終端機,於其中,上述過濾 器程式以加密過的形式儲存於上述可程式化記憶體中,且上述 微處理器包括用於讀取與解密上述過濾器程式以便執行上述過 濾器程式之裝置。 25. 如申請專利範圍第14項之終端機,於其中,上述個人 安全儀器之上述第二個資訊處理裝置包括一個用於以一個避免 本紙張尺度逋用中國國家橾準(CNS ) A4洗格(210X297公釐) ---------^------訂.------^ (請先閲讀背面之注意事項再填寫本頁) · 經濟部智慧財產局員工消費合作社印製 B8 C8 D8 '中請專利範圍 個未經認證之實體實際的與邏輯的存取的安全方式,執 行上述過濾器程式之一個第二個資訊處理儀器,以及一個用於 載入與儲存上述過濾器程式之可程式化記憶體,上述第一個資 訊處埋裝置之第一個軟體裝置,由個別地安裝於上述裝端機模 組與上述個人安全儀器中之其中一個上述第一個資訊處理儀器 與上述第二個資訊處理儀器處,接收用於執行上述資訊交換序 列的第一個指令。 26. 如申請專利範圍第21項之終端機,於其中,上述個人 安全儀器之上述第二個資訊處理裝置包括一個用於以一個避免 受到一個未經認證之實體實際的與邏輯的存取的安全方式,執 行上述過濾器程式之一個第二個資訊處理儀器,以及一個用於 載入與儲存上述過濾器程式之可程式化記憶體,上述第一個資 訊處理裝置之第一個軟體裝置,由個別地安裝於上述裝端機模 組與上述個人安全儀器中之其中一個上述第一個資訊處理儀器 與上述第二個資訊處理儀器處,接收用於執行上述資訊交換序 列的第一個指令。 27. 如申請專利範圍第13項之終端機,於其中: 上述過濾器程式包括至少一個機密參數,以及 上述第二個資訊處裝置包括機密存取控制之第二個裝置, 其用於僅於至少一個依據上述至少一個機密參數而存在之第二 個預先決定之情況滿足之下,認證上述加密運算之執行以回應 由上述過濾器程式產生之基本指令。 28. 如申請專利範圍第1項之終端機,於其中,上述個人 安全儀器包含上述用於儲存上述過濾器程式之可程式化記憶體 ___7 _ 本紙張尺度逍用中國國家標準(CNS ) A4規格(210X297公釐) ---·---^-----裝------訂.--„----線 (請先閲讀背面之注意事項再填寫本頁) . A8 B8405105_Jl六、申請專利範圍 經濟部智慧財產局員工消費合作社印製 29. 如申請專利範圍第28項之終端機,於其中,上述過濾 器程式會產生出用於執行於上述終端機模組與上述使用者間之 資訊交換序列的第一個指令,且上述第一個資訊處理裝置包括 一個用於控制至少上述第二個界面裝置之第一個微處理器,上 述第一個微處理器利用上述第一個軟體裝置執行由上述過濾器 程式產生並且傳送給上述第一個微處理器用於執行於上述終端 機模組與上述使用者間之上述資訊交換序列的第一個指令加以 程式化,且上述第二個資訊處理裝置包括一張位於上述個人安 全儀器中並包括上述可程式化記憶體之積體電路卡片的一個第 二個微處理器,上述第二個微處理器執行⑴上述過濾器程式, 利用傳送給上述第一個微處理器之上述第一個指令,控制於上 述終端機模組與上述使用者間之資訊交換序列,且(ii)上述基本 指令,上述第二個微處理器包括用於保護上述第二個微處理器 免於受到一個未經認證實體之實際與邏輯存取之裝置。 30. 如申請專利範圍第29項之終端機,於其中,用於控制 至少上述第二個界面裝置之上述第一個微處理器包括至少一個 儲存於上述第一個資訊處理裝置記憶體之第四個機密參數,且 上述個人安全儀器之上述第二個微處理器由上述過濾器程式依 據由上述第一個微處理器傳送之資訊,並結合至少上述第四個 機密參數爲基礎認證上述第一個微處理器加以控制的。 31. 如申請專利範圍第29項之終端機,於其中,上述個人 安全儀器之上述第二個微處理器發出指令將上述過濾器程式, 經由上述第一個界面裝置與上述第三個界面裝置,載入上述可 ________J________ 未紙張尺度逍用中國國家梂準(CNS ) A4規格(210X297公釐) ---·—r----裝------訂丨-^----線 (請先Η讀背面之注$項再填寫本頁) . 經濟部智慧財產局員工消費合作社印製 A8 B8 —__§1___ 六、申請專利範圍 程式化記憶體中。 32. 如申請專利範圍第13項或第28項之終端機,於其中 ,上述終端機模組包含一部積體電路卡片讀取機,且上述個人 安全儀器包含一張積體電路卡片。 33. 如申請專利範圍第13項之終端機,於其中,上述終端 機模組包括一部個人電腦,且上述可程式化記憶體包括上述個 人電腦之硬碟。 34·如申請專利範圍第I4項之終端機,於其中,上述第一 個微處理器爲一部個人電腦之微處理器,上述個人電腦同時爲 至上述安全微處理器之界面。 35·如申請專利範圍第33項之終端機,於其中,上述過濾 器程式包括用於上述高位階請求之上述轉譯之一個載入/解密第 一個模組與一個加密第二個模組,上述第一個模組命令將上述 第二個模組載入上述電腦中之RAM,且上述第二個模組之解 密用於由上述電腦執行上述過濾器程式·» 36. 如申請專利範圍第33項之終端機,於其中,上述過濾 器程式包括至少一個安裝於上述個人電腦中之第一個模組與至 少一個安裝於一部安全伺服器中之第二個模組,上述個人電腦 與上述安全伺服器藉由一條通訊頻道連接,上述終端機更包含 用於使得介於上述第一個與第二個模組間之資訊交換,能以一 個受保護避免一個未經認證之實體存取之方式進行之裝置。 37. 如申請專利範圍第33項之終端機,於其中,上述個人 安全儀器爲一張積體電路卡片。 38. —種用於執行安全交易之系統,其包括至少一個如申 —_____2----- 氏浪又度逋用中國國家梂準(CNS ) A4規格(210X297公釐) ---_—-Γ----裝------訂--^----,丨線 (請先閲讀背面之注意事項再填寫本頁) · A8 B8 C8 D8 六、申請專利範圍 請專利範圍第1項之終端機,以及至少一個包含用於傳送上述 高位階請求給上述終端機之電子單元。 39. 如申請專利範圍第38項之系統,於其中,上述至少一 個終端機包括一群終端機,至少一部伺服器組成上述電子單元 ,且上述系統更包含於上述伺服上述終端機群間傳送數位 40. 如申請專利範圍第1項之於其中,上述可程式 化記憶體爲一個可重複程式化之記憶 ---„--r----裝------訂--^----線 (請先閲讀背面之注意事項再填寫本頁) 經濟部智慧財產局員工消費合作社印製 木紙張尺度適用中國國家梂準(CNS ) A4規格(210X297公釐)
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| FR9806450A FR2779018B1 (fr) | 1998-05-22 | 1998-05-22 | Terminal et systeme pour la mise en oeuvre de transactions electroniques securisees |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| TW405105B true TW405105B (en) | 2000-09-11 |
Family
ID=9526602
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW088107590A TW405105B (en) | 1998-05-22 | 1999-05-11 | Terminal and system for performing secure electronic transactions |
Country Status (14)
| Country | Link |
|---|---|
| US (1) | US6694436B1 (zh) |
| EP (1) | EP1004101B1 (zh) |
| JP (1) | JP2002517049A (zh) |
| AT (1) | ATE213857T1 (zh) |
| AU (1) | AU3830399A (zh) |
| CA (1) | CA2330534A1 (zh) |
| DE (1) | DE69900934T2 (zh) |
| DK (1) | DK1004101T3 (zh) |
| ES (1) | ES2173740T3 (zh) |
| FR (1) | FR2779018B1 (zh) |
| HK (1) | HK1026762A1 (zh) |
| PT (1) | PT1004101E (zh) |
| TW (1) | TW405105B (zh) |
| WO (1) | WO1999062037A1 (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8099095B2 (en) | 2003-02-25 | 2012-01-17 | Qualcomm Incorporated | Method and apparatus for controlling operation of an access terminal in a communication system |
| TWI512631B (zh) * | 2004-08-24 | 2015-12-11 | Bayer Healthcare Llc | 一用於儀器之程式化條及使用其之方法 |
Families Citing this family (161)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6487547B1 (en) * | 1999-01-29 | 2002-11-26 | Oracle Corporation | Database appliance comprising hardware and software bundle configured for specific database applications |
| US8321457B2 (en) | 2000-09-08 | 2012-11-27 | Oracle International Corporation | Techniques for automatically developing a web site |
| US7131139B1 (en) * | 1999-09-28 | 2006-10-31 | Swatch Ag | Method for authorizing access to computer applications |
| FR2803678B1 (fr) * | 1999-12-23 | 2002-04-19 | Sagem | Terminal de paiement electronique et son procede d'utilisation |
| EP2290577B1 (en) * | 2000-02-18 | 2017-08-16 | Vasco Data Security International GmbH | Token device having a USB connector |
| US7644274B1 (en) * | 2000-03-30 | 2010-01-05 | Alcatel-Lucent Usa Inc. | Methods of protecting against spam electronic mail |
| JP2001313636A (ja) * | 2000-04-28 | 2001-11-09 | Sony Corp | 認証システム、認証方法、認証装置及びその方法 |
| US6742124B1 (en) * | 2000-05-08 | 2004-05-25 | Networks Associates Technology, Inc. | Sequence-based anomaly detection using a distance matrix |
| US7392398B1 (en) * | 2000-06-05 | 2008-06-24 | Ati International Srl | Method and apparatus for protection of computer assets from unauthorized access |
| GB0020416D0 (en) * | 2000-08-18 | 2000-10-04 | Hewlett Packard Co | Trusted system |
| US7093288B1 (en) * | 2000-10-24 | 2006-08-15 | Microsoft Corporation | Using packet filters and network virtualization to restrict network communications |
| US7113900B1 (en) | 2000-10-24 | 2006-09-26 | Microsoft Corporation | System and method for logical modeling of distributed computer systems |
| US6886038B1 (en) | 2000-10-24 | 2005-04-26 | Microsoft Corporation | System and method for restricting data transfers and managing software components of distributed computers |
| US6915338B1 (en) | 2000-10-24 | 2005-07-05 | Microsoft Corporation | System and method providing automatic policy enforcement in a multi-computer service application |
| US6754823B1 (en) * | 2000-10-24 | 2004-06-22 | Kurzweil Cyberart Technologies | Technique for distributing software |
| US7606898B1 (en) * | 2000-10-24 | 2009-10-20 | Microsoft Corporation | System and method for distributed management of shared computers |
| US6907395B1 (en) * | 2000-10-24 | 2005-06-14 | Microsoft Corporation | System and method for designing a logical model of a distributed computer system and deploying physical resources according to the logical model |
| FR2816731B1 (fr) * | 2000-11-14 | 2003-01-03 | Gemplus Card Int | Procede de chargement et de personnalisation des informations et programmes charges dans une carte a puce |
| FR2817067B1 (fr) * | 2000-11-21 | 2003-02-21 | Cyber Comm | Procede et dispositif d'authentification de documents electroniques au moyen d'une signature numerique |
| US20020065874A1 (en) * | 2000-11-29 | 2002-05-30 | Andrew Chien | Method and process for virtualizing network interfaces |
| US8479293B2 (en) * | 2000-11-30 | 2013-07-02 | Access Co., Ltd. | Security technique for an open computing platform system |
| JP4839516B2 (ja) * | 2001-02-27 | 2011-12-21 | ソニー株式会社 | 認証システム及び認証方法 |
| US7316030B2 (en) | 2001-04-30 | 2008-01-01 | Activcard Ireland, Limited | Method and system for authenticating a personal security device vis-à-vis at least one remote computer system |
| US7363486B2 (en) | 2001-04-30 | 2008-04-22 | Activcard | Method and system for authentication through a communications pipe |
| WO2002091316A1 (en) | 2001-04-30 | 2002-11-14 | Activcard Ireland, Limited | Method and system for remote activation and management of personal security devices |
| US20020162021A1 (en) * | 2001-04-30 | 2002-10-31 | Audebert Yves Louis Gabriel | Method and system for establishing a remote connection to a personal security device |
| US7225465B2 (en) * | 2001-04-30 | 2007-05-29 | Matsushita Electric Industrial Co., Ltd. | Method and system for remote management of personal security devices |
| GB2400963B (en) * | 2001-05-02 | 2004-12-29 | Virtual Access Ltd | Secure payment method and system |
| US6966837B1 (en) | 2001-05-10 | 2005-11-22 | Best Robert M | Linked portable and video game systems |
| US7134122B1 (en) | 2001-05-31 | 2006-11-07 | Oracle International Corporation | One click deployment |
| US20020194499A1 (en) * | 2001-06-15 | 2002-12-19 | Audebert Yves Louis Gabriel | Method, system and apparatus for a portable transaction device |
| US8209753B2 (en) | 2001-06-15 | 2012-06-26 | Activcard, Inc. | Universal secure messaging for remote security tokens |
| US7243374B2 (en) | 2001-08-08 | 2007-07-10 | Microsoft Corporation | Rapid application security threat analysis |
| US7436953B2 (en) * | 2001-09-13 | 2008-10-14 | Nds Limited | Hacking prevention system |
| US7162631B2 (en) | 2001-11-02 | 2007-01-09 | Activcard | Method and system for scripting commands and data for use by a personal security device |
| US7325065B1 (en) * | 2001-12-21 | 2008-01-29 | Aol Llc, A Delaware Limited Liability Company | Identifying unauthorized communication systems using a system-specific identifier |
| US20030149887A1 (en) * | 2002-02-01 | 2003-08-07 | Satyendra Yadav | Application-specific network intrusion detection |
| US7174566B2 (en) * | 2002-02-01 | 2007-02-06 | Intel Corporation | Integrated network intrusion detection |
| US20030167399A1 (en) * | 2002-03-01 | 2003-09-04 | Yves Audebert | Method and system for performing post issuance configuration and data changes to a personal security device using a communications pipe |
| FR2837305B1 (fr) * | 2002-03-15 | 2004-09-03 | Jean Pierre Fortune | Dispositif a carte a puce pour transmettre une information numerique par des moyens acoustiques |
| US7400722B2 (en) * | 2002-03-28 | 2008-07-15 | Broadcom Corporation | Methods and apparatus for performing hash operations in a cryptography accelerator |
| JP2003298576A (ja) * | 2002-03-29 | 2003-10-17 | Fuji Xerox Co Ltd | グループ署名装置および方法 |
| US20030204596A1 (en) * | 2002-04-29 | 2003-10-30 | Satyendra Yadav | Application-based network quality of service provisioning |
| EP1367843A1 (en) * | 2002-05-30 | 2003-12-03 | SCHLUMBERGER Systèmes | Secure interaction between downloaded application code and a smart card in a mobile communication apparatus |
| US7083090B2 (en) * | 2002-08-09 | 2006-08-01 | Patrick Zuili | Remote portable and universal smartcard authentication and authorization device |
| US8122106B2 (en) * | 2003-03-06 | 2012-02-21 | Microsoft Corporation | Integrating design, deployment, and management phases for systems |
| US7890543B2 (en) | 2003-03-06 | 2011-02-15 | Microsoft Corporation | Architecture for distributed computing system and automated design, deployment, and management of distributed applications |
| US7689676B2 (en) * | 2003-03-06 | 2010-03-30 | Microsoft Corporation | Model-based policy application |
| US20040210623A1 (en) * | 2003-03-06 | 2004-10-21 | Aamer Hydrie | Virtual network topology generation |
| US7072807B2 (en) * | 2003-03-06 | 2006-07-04 | Microsoft Corporation | Architecture for distributed computing system and automated design, deployment, and management of distributed applications |
| GB2400196A (en) * | 2003-04-02 | 2004-10-06 | Nec Technologies | Restricting access to a mobile phone, laptop etc. using an authorization procedure involving a separate transceiver |
| DE10318121A1 (de) * | 2003-04-22 | 2004-11-11 | Robert Bosch Gmbh | Vorrichtung zur Programmierung eines Steuergerätes |
| GB0309182D0 (en) | 2003-04-23 | 2003-05-28 | Hewlett Packard Development Co | Security method and apparatus using biometric data |
| US20050005136A1 (en) * | 2003-04-23 | 2005-01-06 | Liqun Chen | Security method and apparatus using biometric data |
| FR2855628B1 (fr) * | 2003-05-26 | 2005-09-09 | Innova Card | Microcontroleur comportant un acces de transfert securise |
| US7606929B2 (en) * | 2003-06-30 | 2009-10-20 | Microsoft Corporation | Network load balancing with connection manipulation |
| US7636917B2 (en) * | 2003-06-30 | 2009-12-22 | Microsoft Corporation | Network load balancing with host status information |
| US7590736B2 (en) * | 2003-06-30 | 2009-09-15 | Microsoft Corporation | Flexible network load balancing |
| EP1642184A1 (en) * | 2003-07-04 | 2006-04-05 | Nokia Corporation | Key storage administration |
| DE10340181A1 (de) * | 2003-09-01 | 2005-03-24 | Giesecke & Devrient Gmbh | Verfahren zur kryptographischen Absicherung der Kommunikation mit einem tragbaren Datenträger |
| WO2005048019A2 (en) * | 2003-09-04 | 2005-05-26 | Emc Corporation | Data message mirroring and redirection |
| DE20314722U1 (de) * | 2003-09-23 | 2005-02-10 | Scm Microsystems Gmbh | Vorrichtung für sicheren Zugriff auf Digitalmedien-Inhalte, virtueller Multischnittstellen-Treiber und System für sicheren Zugriff auf Digitalmedien-Inhalte |
| US20050131837A1 (en) * | 2003-12-15 | 2005-06-16 | Sanctis Jeanne D. | Method, system and program product for communicating e-commerce content over-the-air to mobile devices |
| US20050138380A1 (en) * | 2003-12-22 | 2005-06-23 | Fedronic Dominique L.J. | Entry control system |
| US7907935B2 (en) | 2003-12-22 | 2011-03-15 | Activcard Ireland, Limited | Intelligent remote device |
| US7975926B2 (en) | 2003-12-26 | 2011-07-12 | Semiconductor Energy Laboratory Co., Ltd. | Paper money, coin, valuable instrument, certificates, tag, label, card, packing containers, documents, respectively installed with integrated circuit |
| US7083089B2 (en) * | 2004-01-20 | 2006-08-01 | Hewlett-Packard Development Company, L.P. | Off-line PIN verification using identity-based signatures |
| US7778422B2 (en) | 2004-02-27 | 2010-08-17 | Microsoft Corporation | Security associations for devices |
| EP1738321A4 (en) * | 2004-04-01 | 2009-01-21 | Waverules Llc | SYSTEMS AND METHODS FOR ELECTRONIC TRANSACTION USING AUTOMATIC BOOK UPDATES |
| JP2005310243A (ja) * | 2004-04-20 | 2005-11-04 | Seiko Epson Corp | メモリコントローラ、半導体集積回路装置、半導体装置、マイクロコンピュータ及び電子機器 |
| US20050246529A1 (en) | 2004-04-30 | 2005-11-03 | Microsoft Corporation | Isolated persistent identity storage for authentication of computing devies |
| US8370269B2 (en) | 2004-06-02 | 2013-02-05 | Overstock.Com, Inc. | System and methods for electronic commerce using personal and business networks |
| JP2006048643A (ja) * | 2004-07-08 | 2006-02-16 | Namco Ltd | 端末装置、プログラム、情報記憶媒体およびデータ処理方法 |
| US8528078B2 (en) * | 2004-07-15 | 2013-09-03 | Anakam, Inc. | System and method for blocking unauthorized network log in using stolen password |
| US8296562B2 (en) * | 2004-07-15 | 2012-10-23 | Anakam, Inc. | Out of band system and method for authentication |
| US7676834B2 (en) * | 2004-07-15 | 2010-03-09 | Anakam L.L.C. | System and method for blocking unauthorized network log in using stolen password |
| EP1766839B1 (en) * | 2004-07-15 | 2013-03-06 | Anakam, Inc. | System and method for blocking unauthorized network log in using stolen password |
| US20100100967A1 (en) * | 2004-07-15 | 2010-04-22 | Douglas James E | Secure collaborative environment |
| US8533791B2 (en) * | 2004-07-15 | 2013-09-10 | Anakam, Inc. | System and method for second factor authentication services |
| JP4628722B2 (ja) * | 2004-08-19 | 2011-02-09 | 富士通株式会社 | 照合システム及び照合システムのプログラムチエック方法 |
| US8627086B2 (en) * | 2004-10-11 | 2014-01-07 | Telefonaktiebolaget Lm Ericsson (Publ) | Secure loading and storing of data in a data processing device |
| EP1657687B1 (fr) * | 2004-11-10 | 2007-09-05 | Alexandre Sam Zormati | Carte de paiement prépayée à rechargement instantané à distance par coupon |
| FR2878685B1 (fr) * | 2004-11-30 | 2007-02-02 | Gemplus Sa | Declenchement de session pro-active depuis une applet dans une carte a puce |
| DE102004061312B4 (de) * | 2004-12-20 | 2007-10-25 | Infineon Technologies Ag | Vorrichtung und Verfahren zum Detektieren eines potentiellen Angriffs auf eine kryptographische Berechnung |
| US20070168292A1 (en) * | 2004-12-21 | 2007-07-19 | Fabrice Jogand-Coulomb | Memory system with versatile content control |
| US20060242066A1 (en) * | 2004-12-21 | 2006-10-26 | Fabrice Jogand-Coulomb | Versatile content control with partitioning |
| US20060242151A1 (en) * | 2004-12-21 | 2006-10-26 | Fabrice Jogand-Coulomb | Control structure for versatile content control |
| US8051052B2 (en) * | 2004-12-21 | 2011-11-01 | Sandisk Technologies Inc. | Method for creating control structure for versatile content control |
| US8601283B2 (en) * | 2004-12-21 | 2013-12-03 | Sandisk Technologies Inc. | Method for versatile content control with partitioning |
| US20060242067A1 (en) * | 2004-12-21 | 2006-10-26 | Fabrice Jogand-Coulomb | System for creating control structure for versatile content control |
| US20060242150A1 (en) * | 2004-12-21 | 2006-10-26 | Fabrice Jogand-Coulomb | Method using control structure for versatile content control |
| US8504849B2 (en) * | 2004-12-21 | 2013-08-06 | Sandisk Technologies Inc. | Method for versatile content control |
| US7802144B2 (en) | 2005-04-15 | 2010-09-21 | Microsoft Corporation | Model-based system monitoring |
| US7797147B2 (en) | 2005-04-15 | 2010-09-14 | Microsoft Corporation | Model-based system monitoring |
| US8489728B2 (en) | 2005-04-15 | 2013-07-16 | Microsoft Corporation | Model-based system monitoring |
| JP2006338587A (ja) * | 2005-06-06 | 2006-12-14 | Hitachi Ltd | アクセス制御サーバ、利用者端末及び情報アクセス制御方法 |
| US8549513B2 (en) * | 2005-06-29 | 2013-10-01 | Microsoft Corporation | Model-based virtual system provisioning |
| US20070016393A1 (en) * | 2005-06-29 | 2007-01-18 | Microsoft Corporation | Model-based propagation of attributes |
| US8605878B2 (en) * | 2005-06-30 | 2013-12-10 | Emc Corporation | Redirecting and mirroring of telephonic communications |
| US8059805B2 (en) | 2005-06-30 | 2011-11-15 | Emc Corporation | Enhanced services provided using communication redirection and processing |
| US8831194B2 (en) * | 2005-06-30 | 2014-09-09 | Emc Corporation | Telephonic communication redirection and compliance processing |
| US7743409B2 (en) | 2005-07-08 | 2010-06-22 | Sandisk Corporation | Methods used in a mass storage device with automated credentials loading |
| US8181232B2 (en) * | 2005-07-29 | 2012-05-15 | Citicorp Development Center, Inc. | Methods and systems for secure user authentication |
| US20070056042A1 (en) * | 2005-09-08 | 2007-03-08 | Bahman Qawami | Mobile memory system for secure storage and delivery of media content |
| WO2007039896A2 (en) * | 2005-10-06 | 2007-04-12 | Nds Limited | Security device and building block functions |
| US7941309B2 (en) * | 2005-11-02 | 2011-05-10 | Microsoft Corporation | Modeling IT operations/policies |
| US9002750B1 (en) | 2005-12-09 | 2015-04-07 | Citicorp Credit Services, Inc. (Usa) | Methods and systems for secure user authentication |
| US7904946B1 (en) | 2005-12-09 | 2011-03-08 | Citicorp Development Center, Inc. | Methods and systems for secure user authentication |
| US9768963B2 (en) | 2005-12-09 | 2017-09-19 | Citicorp Credit Services, Inc. (Usa) | Methods and systems for secure user authentication |
| US7962742B2 (en) * | 2006-02-22 | 2011-06-14 | Henry Samuel Schwarz | Internet secure terminal for personal computers |
| US20080010452A1 (en) * | 2006-07-07 | 2008-01-10 | Michael Holtzman | Content Control System Using Certificate Revocation Lists |
| US8639939B2 (en) * | 2006-07-07 | 2014-01-28 | Sandisk Technologies Inc. | Control method using identity objects |
| US8245031B2 (en) * | 2006-07-07 | 2012-08-14 | Sandisk Technologies Inc. | Content control method using certificate revocation lists |
| US20100138652A1 (en) * | 2006-07-07 | 2010-06-03 | Rotem Sela | Content control method using certificate revocation lists |
| US20080010458A1 (en) * | 2006-07-07 | 2008-01-10 | Michael Holtzman | Control System Using Identity Objects |
| US20080010449A1 (en) * | 2006-07-07 | 2008-01-10 | Michael Holtzman | Content Control System Using Certificate Chains |
| US8266711B2 (en) * | 2006-07-07 | 2012-09-11 | Sandisk Technologies Inc. | Method for controlling information supplied from memory device |
| US8613103B2 (en) * | 2006-07-07 | 2013-12-17 | Sandisk Technologies Inc. | Content control method using versatile control structure |
| US8140843B2 (en) * | 2006-07-07 | 2012-03-20 | Sandisk Technologies Inc. | Content control method using certificate chains |
| US20080034440A1 (en) * | 2006-07-07 | 2008-02-07 | Michael Holtzman | Content Control System Using Versatile Control Structure |
| US20080022395A1 (en) * | 2006-07-07 | 2008-01-24 | Michael Holtzman | System for Controlling Information Supplied From Memory Device |
| US9762576B2 (en) | 2006-11-16 | 2017-09-12 | Phonefactor, Inc. | Enhanced multi factor authentication |
| DE102007009212A1 (de) * | 2007-02-26 | 2008-08-28 | Giesecke & Devrient Gmbh | Tragbarer Datenträger |
| US20080288622A1 (en) * | 2007-05-18 | 2008-11-20 | Microsoft Corporation | Managing Server Farms |
| US7930554B2 (en) * | 2007-05-31 | 2011-04-19 | Vasco Data Security,Inc. | Remote authentication and transaction signatures |
| US8667285B2 (en) | 2007-05-31 | 2014-03-04 | Vasco Data Security, Inc. | Remote authentication and transaction signatures |
| US8627406B2 (en) * | 2007-07-31 | 2014-01-07 | Bull S.A.S | Device for protection of the data and executable codes of a computer system |
| TW200929974A (en) | 2007-11-19 | 2009-07-01 | Ibm | System and method for performing electronic transactions |
| US8583480B2 (en) | 2007-12-21 | 2013-11-12 | Overstock.Com, Inc. | System, program product, and methods for social network advertising and incentives for same |
| JP4526574B2 (ja) * | 2008-03-31 | 2010-08-18 | 富士通株式会社 | 暗号データ管理システム、および暗号データ管理方法 |
| US9652788B2 (en) * | 2008-06-18 | 2017-05-16 | Oracle International Corporation | Method and apparatus for logging privilege use in a distributed computing environment |
| EP2199993A1 (en) * | 2008-12-17 | 2010-06-23 | Gemalto SA | Method and token for managing one processing relating to an application supported or to be supported by a token |
| US9104618B2 (en) * | 2008-12-18 | 2015-08-11 | Sandisk Technologies Inc. | Managing access to an address range in a storage device |
| KR101224717B1 (ko) * | 2008-12-26 | 2013-01-21 | 에스케이플래닛 주식회사 | 소프트웨어 라이센스 보호 방법과 그를 위한 시스템, 서버,단말기 및 컴퓨터로 읽을 수 있는 기록매체 |
| US9747622B1 (en) | 2009-03-24 | 2017-08-29 | Overstock.Com, Inc. | Point-and-shoot product lister |
| US7865937B1 (en) | 2009-08-05 | 2011-01-04 | Daon Holdings Limited | Methods and systems for authenticating users |
| US8443202B2 (en) | 2009-08-05 | 2013-05-14 | Daon Holdings Limited | Methods and systems for authenticating users |
| US8707413B2 (en) * | 2010-01-15 | 2014-04-22 | Bank Of America Corporation | Authenticating a chip card interface device |
| US8826030B2 (en) * | 2010-03-22 | 2014-09-02 | Daon Holdings Limited | Methods and systems for authenticating users |
| US9275379B2 (en) * | 2010-03-31 | 2016-03-01 | Kachyng, Inc. | Method for mutual authentication of a user and service provider |
| WO2011130211A1 (en) * | 2010-04-12 | 2011-10-20 | Interdigital Patent Holdings, Inc. | Staged control release in boot process |
| WO2012044247A1 (en) * | 2010-09-27 | 2012-04-05 | Kingnetic Pte Ltd | Method and apparatus for streaming rights-managed content directly to a target device over a network |
| CN103229477A (zh) * | 2010-11-24 | 2013-07-31 | 株式会社爱斯 | 服务器系统、服务器系统的执行方法以及外部存储器 |
| DE102012007430A1 (de) * | 2012-04-13 | 2013-10-17 | Ncp Engineering Gmbh | System und Verfahren zur sicheren Kommunikation |
| US10546262B2 (en) | 2012-10-19 | 2020-01-28 | Overstock.Com, Inc. | Supply chain management system |
| US11023947B1 (en) | 2013-03-15 | 2021-06-01 | Overstock.Com, Inc. | Generating product recommendations using a blend of collaborative and content-based data |
| US11676192B1 (en) | 2013-03-15 | 2023-06-13 | Overstock.Com, Inc. | Localized sort of ranked product recommendations based on predicted user intent |
| US10810654B1 (en) | 2013-05-06 | 2020-10-20 | Overstock.Com, Inc. | System and method of mapping product attributes between different schemas |
| US9483788B2 (en) | 2013-06-25 | 2016-11-01 | Overstock.Com, Inc. | System and method for graphically building weighted search queries |
| US10929890B2 (en) | 2013-08-15 | 2021-02-23 | Overstock.Com, Inc. | System and method of personalizing online marketing campaigns |
| US10872350B1 (en) | 2013-12-06 | 2020-12-22 | Overstock.Com, Inc. | System and method for optimizing online marketing based upon relative advertisement placement |
| FR3028981B1 (fr) * | 2014-11-21 | 2017-01-06 | Cie Ind Et Financiere D'ingenierie Ingenico | Procede de detection d'un risque de substitution d'un terminal, dispositif, programme et support d'enregistrement correspondants |
| JP6044850B2 (ja) * | 2014-12-02 | 2016-12-14 | パナソニックIpマネジメント株式会社 | 情報端末、情報処理方法及び制御プログラム |
| NL2014742B1 (en) * | 2015-04-30 | 2017-01-18 | Ubiqu B V | A method, a computer program product and a qKey server. |
| US10534845B2 (en) | 2016-05-11 | 2020-01-14 | Overstock.Com, Inc. | System and method for optimizing electronic document layouts |
| US10348495B2 (en) * | 2017-02-23 | 2019-07-09 | Intel Corporation | Configurable crypto hardware engine |
| EP3711442B1 (en) * | 2017-11-16 | 2023-05-10 | Telefonaktiebolaget LM Ericsson (Publ) | Replay protection for resume procedure |
| US11514493B1 (en) | 2019-03-25 | 2022-11-29 | Overstock.Com, Inc. | System and method for conversational commerce online |
| US11205179B1 (en) | 2019-04-26 | 2021-12-21 | Overstock.Com, Inc. | System, method, and program product for recognizing and rejecting fraudulent purchase attempts in e-commerce |
| US11734368B1 (en) | 2019-09-26 | 2023-08-22 | Overstock.Com, Inc. | System and method for creating a consistent personalized web experience across multiple platforms and channels |
| US20210306149A1 (en) * | 2020-03-31 | 2021-09-30 | Entrust, Inc. | Hardware security module proxy device for storage expansion |
Family Cites Families (23)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US4442484A (en) * | 1980-10-14 | 1984-04-10 | Intel Corporation | Microprocessor memory management and protection mechanism |
| US4814972A (en) * | 1983-10-23 | 1989-03-21 | Keycom Electronic Publishing | Method and videotex apparatus for fast access of remotely located information |
| GB2168514A (en) | 1984-12-12 | 1986-06-18 | Ibm | Security module |
| US4951249A (en) * | 1986-10-24 | 1990-08-21 | Harcom Security Systems Corp. | Method and apparatus for controlled access to a computer system |
| FR2638868B1 (fr) | 1988-11-09 | 1990-12-21 | Bull Cp8 | Systeme de telechargement securise d'un terminal et procede mis en oeuvr |
| US5073933A (en) | 1989-12-01 | 1991-12-17 | Sun Microsystems, Inc. | X window security system |
| FR2676291A1 (fr) | 1991-05-06 | 1992-11-13 | Bull Sa | Dispositif de securite pour systeme informatique et procede de reprise d'exploitation. |
| WO1993010498A1 (en) * | 1991-11-12 | 1993-05-27 | Microchip Technology Inc. | Security for on-chip microcontroller memory |
| WO1993010509A1 (en) * | 1991-11-12 | 1993-05-27 | Security Domain Pty. Ltd. | Method and system for secure, decentralised personalisation of smart cards |
| CA2168434A1 (en) | 1993-07-30 | 1995-09-02 | Quentin Rees Oliver | Device and method for programmable functions |
| US5438184A (en) * | 1993-10-26 | 1995-08-01 | Verifone Inc. | Method and apparatus for electronic cash transactions |
| US5577121A (en) * | 1994-06-09 | 1996-11-19 | Electronic Payment Services, Inc. | Transaction system for integrated circuit cards |
| EP0723251A3 (en) * | 1995-01-20 | 1998-12-30 | Tandem Computers Incorporated | Method and apparatus for user and security device authentication |
| KR0149946B1 (ko) * | 1995-01-20 | 1999-05-15 | 김광호 | 전자통장시스템 및 그 거래방법 |
| US5826245A (en) * | 1995-03-20 | 1998-10-20 | Sandberg-Diment; Erik | Providing verification information for a transaction |
| US5748740A (en) | 1995-09-29 | 1998-05-05 | Dallas Semiconductor Corporation | Method, apparatus, system and firmware for secure transactions |
| FR2750275B1 (fr) | 1996-06-21 | 1998-07-17 | France Telecom | Procede de gestion dans un systeme telematique distribue et systeme de mise en oeuvre de ce procede |
| SE509033C2 (sv) * | 1996-06-26 | 1998-11-30 | Telia Ab | Metod för säker överföring av datainformation mellan Internet www-servar och dataterminaler |
| KR100213188B1 (ko) * | 1996-10-05 | 1999-08-02 | 윤종용 | 사용자 인증 장치 및 방법 |
| GB2318486B (en) * | 1996-10-16 | 2001-03-28 | Ibm | Data communications system |
| AU722463B2 (en) | 1996-10-25 | 2000-08-03 | Gemalto Sa | Using a high level programming language with a microcontroller |
| US5848233A (en) * | 1996-12-09 | 1998-12-08 | Sun Microsystems, Inc. | Method and apparatus for dynamic packet filter assignment |
| US6424979B1 (en) * | 1998-12-30 | 2002-07-23 | American Management Systems, Inc. | System for presenting and managing enterprise architectures |
-
1998
- 1998-05-22 FR FR9806450A patent/FR2779018B1/fr not_active Expired - Fee Related
-
1999
- 1999-05-11 TW TW088107590A patent/TW405105B/zh not_active IP Right Cessation
- 1999-05-19 US US09/313,995 patent/US6694436B1/en not_active Expired - Lifetime
- 1999-05-20 PT PT99920898T patent/PT1004101E/pt unknown
- 1999-05-20 AU AU38303/99A patent/AU3830399A/en not_active Abandoned
- 1999-05-20 EP EP99920898A patent/EP1004101B1/fr not_active Revoked
- 1999-05-20 WO PCT/FR1999/001202 patent/WO1999062037A1/fr not_active Application Discontinuation
- 1999-05-20 AT AT99920898T patent/ATE213857T1/de not_active IP Right Cessation
- 1999-05-20 DK DK99920898T patent/DK1004101T3/da active
- 1999-05-20 CA CA002330534A patent/CA2330534A1/en not_active Abandoned
- 1999-05-20 ES ES99920898T patent/ES2173740T3/es not_active Expired - Lifetime
- 1999-05-20 JP JP2000551366A patent/JP2002517049A/ja active Pending
- 1999-05-20 DE DE69900934T patent/DE69900934T2/de not_active Revoked
-
2000
- 2000-09-05 HK HK00105588A patent/HK1026762A1/xx not_active IP Right Cessation
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8099095B2 (en) | 2003-02-25 | 2012-01-17 | Qualcomm Incorporated | Method and apparatus for controlling operation of an access terminal in a communication system |
| TWI512631B (zh) * | 2004-08-24 | 2015-12-11 | Bayer Healthcare Llc | 一用於儀器之程式化條及使用其之方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| DE69900934T2 (de) | 2002-11-07 |
| FR2779018A1 (fr) | 1999-11-26 |
| DK1004101T3 (da) | 2002-06-17 |
| JP2002517049A (ja) | 2002-06-11 |
| CA2330534A1 (en) | 1999-12-02 |
| US6694436B1 (en) | 2004-02-17 |
| EP1004101A1 (fr) | 2000-05-31 |
| PT1004101E (pt) | 2002-07-31 |
| ATE213857T1 (de) | 2002-03-15 |
| ES2173740T3 (es) | 2002-10-16 |
| HK1026762A1 (en) | 2000-12-22 |
| EP1004101B1 (fr) | 2002-02-27 |
| WO1999062037A1 (fr) | 1999-12-02 |
| DE69900934D1 (de) | 2002-04-04 |
| FR2779018B1 (fr) | 2000-08-18 |
| AU3830399A (en) | 1999-12-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| TW405105B (en) | Terminal and system for performing secure electronic transactions | |
| US7366918B2 (en) | Configuring and managing resources on a multi-purpose integrated circuit card using a personal computer | |
| JP5050066B2 (ja) | 携帯型電子的課金/認証デバイスとその方法 | |
| EP2143028B1 (en) | Secure pin management | |
| US9300665B2 (en) | Credential authentication methods and systems | |
| US5781723A (en) | System and method for self-identifying a portable information device to a computing unit | |
| US6092202A (en) | Method and system for secure transactions in a computer system | |
| TW518489B (en) | Data processing system for application to access by accreditation | |
| US7526652B2 (en) | Secure PIN management | |
| US20090198618A1 (en) | Device and method for loading managing and using smartcard authentication token and digital certificates in e-commerce | |
| US20130054473A1 (en) | Secure Payment Method, Mobile Device and Secure Payment System | |
| JP2018522353A (ja) | サーバベースド支払のための認証システム及び方法 | |
| JP6498192B2 (ja) | オンライン取引の検証ステップを安全にするための方法 | |
| WO2012055166A1 (zh) | 移动存储设备、基于该设备的数据处理系统和方法 | |
| JP2022501875A (ja) | 非接触カードの暗号化認証のためのシステムおよび方法 | |
| US20110022837A1 (en) | Method and Apparatus For Performing Secure Transactions Via An Insecure Computing and Communications Medium | |
| CN113595714A (zh) | 带有多个旋转安全密钥的非接触式卡 | |
| WO2010108554A1 (en) | Method and device for digitally attesting the authenticity of binding interactions | |
| WO2005024743A1 (en) | Granting access to a system based on the use of a card having stored user data thereon | |
| Gunter | Open APIs for embedded security | |
| MXPA00007282A (en) | Terminal and system for implementing secure electronic transactions | |
| Chung | Design of Smart Card Enabled Protocols for Micro-Payment and Rapid Application Development Builder for E-Commerce | |
| Nieto | HCE-oriented payments vs. SE-oriented payments. Security Issues | |
| Pfitzmann et al. | Smartcard-Supported Internet Payments | |
| Chitiprolu | Three Factor Authentication Using Java Ring and Biometrics |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| GD4A | Issue of patent certificate for granted invention patent | ||
| MM4A | Annulment or lapse of patent due to non-payment of fees |