專(zhuān)利名稱(chēng):鑒定及利用計(jì)算機(jī)系統(tǒng)安全資源的方法和系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及使用計(jì)算機(jī)系統(tǒng)執(zhí)行安全交易�,具體來(lái)說(shuō),它涉及鑒定和利用計(jì)算機(jī)系統(tǒng)的安全資源以執(zhí)行這些安全交易的一種方法和系統(tǒng)�。
背景技術(shù):
計(jì)算機(jī)和計(jì)算機(jī)網(wǎng)絡(luò)越來(lái)越多地用于處理電子商務(wù)和其他類(lèi)型的交易。允許個(gè)人用戶(hù)參與這些交易的應(yīng)用程序也不斷出現(xiàn)����。為了使這些交易更為容易,必須保持這些交易的完整性和有效性以及用于執(zhí)行這些交易的應(yīng)用程序的安全性��。但是,常規(guī)的計(jì)算機(jī)環(huán)境允許黑客危及這樣交易的完整性和有效性���。由此�,仍然有必要向參與電子商務(wù)和其他交易的用戶(hù)提供安全保護(hù)��。
常規(guī)的計(jì)算機(jī)網(wǎng)絡(luò)��,如局域網(wǎng)�����、廣域網(wǎng)和/或公共網(wǎng)(如英特網(wǎng))��,將個(gè)人計(jì)算機(jī)和工作站與一個(gè)或幾個(gè)服務(wù)器連接以及將個(gè)人計(jì)算機(jī)和工作站互相連接��。這種環(huán)境允許計(jì)算機(jī)用戶(hù)與服務(wù)器互動(dòng)或計(jì)算機(jī)用戶(hù)之間互動(dòng)���。計(jì)算機(jī)用戶(hù)之間或計(jì)算機(jī)用戶(hù)與服務(wù)器之間的交易是通過(guò)運(yùn)用常規(guī)操作系統(tǒng)平臺(tái)如0S/2��、Windows和UNIX中運(yùn)行的應(yīng)用程序進(jìn)行處理的�����。一般來(lái)說(shuō)��,這些交易包含機(jī)密或敏感數(shù)據(jù)如銀行�����、借貸帳戶(hù)的信息���,并可能涉及大量錢(qián)款�。這些常規(guī)操作系統(tǒng)平臺(tái)一般被認(rèn)為是不安全的����。
因此,常規(guī)計(jì)算機(jī)系統(tǒng)有很多安全漏洞��。在這些常規(guī)計(jì)算機(jī)環(huán)境中提供安全保護(hù)是非常困難的���。例如,最近的通過(guò)用于訪問(wèn)網(wǎng)絡(luò)如英特網(wǎng)的瀏覽器應(yīng)用程序的漏洞發(fā)生的計(jì)算機(jī)系統(tǒng)中的安全違約行為�。使用自動(dòng)傳送信息至計(jì)算機(jī)的攻擊(push)技術(shù),如ActiveX或Javascript程序����,無(wú)道德的人可獲取計(jì)算機(jī)系統(tǒng)和敏感的用戶(hù)數(shù)據(jù)的訪問(wèn)路徑。其他違反安全的行為是使用解碼含有密鑰的文件的侵襲手法發(fā)生的���。其結(jié)果是��,侵襲者會(huì)危及所有將來(lái)的通信或偽裝成用戶(hù)或敏感信息的擁有者�。
因此,經(jīng)過(guò)或存儲(chǔ)在計(jì)算機(jī)中的敏感數(shù)據(jù)會(huì)被能獲取計(jì)算機(jī)或與計(jì)算機(jī)相連的計(jì)算機(jī)網(wǎng)絡(luò)的訪問(wèn)路徑的黑客或入侵者所危及���。而且�,即使敏感數(shù)據(jù)已被加密�����,如在計(jì)算機(jī)系統(tǒng)下載和執(zhí)行惡作劇程序的情況下�,計(jì)算機(jī)中其他敏感數(shù)據(jù)很易受到侵襲。
目前出現(xiàn)了針對(duì)計(jì)算機(jī)系統(tǒng)潛在的侵襲的機(jī)制����。其中之一是在常規(guī)計(jì)算機(jī)系統(tǒng)中創(chuàng)造的受信任的操作環(huán)境。這些環(huán)境具有被隱藏的執(zhí)行功能和受保護(hù)的存儲(chǔ)空間����。被隱藏的執(zhí)行功能允許執(zhí)行不為傳統(tǒng)計(jì)算機(jī)資源所察覺(jué)的操作。受保護(hù)的存儲(chǔ)空間提供敏感信息的安全保護(hù)���,這些信息如密鑰�����、簽名密鑰或其他秘密信息�。被隱藏的操作功能和受保護(hù)的存儲(chǔ)空間允許常規(guī)計(jì)算機(jī)系統(tǒng)執(zhí)行交易協(xié)議部分而不允許軟件調(diào)試程序監(jiān)視數(shù)據(jù)結(jié)構(gòu)并作用于信任環(huán)境中的斷點(diǎn)或監(jiān)視點(diǎn)。信任環(huán)境的這些方面還有助于防止病毒或其他入侵機(jī)制修改應(yīng)用數(shù)據(jù)或可操作的物品代碼�����。因此��,交易的敏感部分就可受到保護(hù)以防一些傳統(tǒng)軟件的侵襲�。
雖然信任環(huán)境提供某些保護(hù)以防傳統(tǒng)的侵襲,但是這些信任環(huán)境存在一些缺陷��。具體來(lái)說(shuō)�����,沒(méi)有機(jī)制能證實(shí)信任環(huán)境安全的完整性�。一位用戶(hù)可能希望提供含有來(lái)自各種來(lái)源的敏感數(shù)據(jù)的數(shù)據(jù)輸入��,這些來(lái)源包括智能卡�、生物統(tǒng)計(jì)傳感器或其他外圍設(shè)備。較難允許一位用戶(hù)以安全的方式將數(shù)據(jù)輸入到信任環(huán)境中。也難以安全地提供有關(guān)發(fā)生在信任環(huán)境的處理過(guò)程的反饋信息���。
因此需要這樣一種系統(tǒng)和方法��,它能提供處理安全交易的環(huán)境�����,同時(shí)避免信任環(huán)境實(shí)施中的許多缺陷�。本發(fā)明針對(duì)了這種需要�����。
發(fā)明概述本發(fā)明提供了用于執(zhí)行安全交易的一種系統(tǒng)和方法�����。其計(jì)算機(jī)系統(tǒng)包括一個(gè)存儲(chǔ)器����。一方面,該方法和系統(tǒng)包括提供一個(gè)計(jì)算機(jī)系統(tǒng)的基本輸入輸出系統(tǒng)(BOIS)����,提供一個(gè)與計(jì)算機(jī)系統(tǒng)耦合的安全外圍設(shè)備以及提供一個(gè)與計(jì)算機(jī)系統(tǒng)耦合的主安全協(xié)處理器���。BIOS包含用于指示與BIOS第一信任關(guān)系的第一裝置。安全外圍設(shè)備包含用于指示與安全外圍設(shè)備第二信任關(guān)系的第二裝置�����。主安全協(xié)處理器是用于執(zhí)行計(jì)算機(jī)系統(tǒng)的敏感數(shù)據(jù)���,它包含用于指示與主安全協(xié)處理器第三信任關(guān)系的第三裝置�����。該方法和系統(tǒng)還利用主安全協(xié)處理器或BIOS來(lái)證實(shí)第一����、第二或第三信任關(guān)系之一�����,它是使用第一裝置指示第一信任關(guān)系�,使用第二裝置指示第二信任關(guān)系或使用第三裝置指示第三信任關(guān)系。另一方面��,該方法和系統(tǒng)利用計(jì)算機(jī)系統(tǒng)的敏感數(shù)據(jù)執(zhí)行應(yīng)用程序�。計(jì)算機(jī)系統(tǒng)包括一個(gè)主安全協(xié)處理器和一個(gè)安全外圍設(shè)備。在這方面�����,該方法和系統(tǒng)建立了主安全協(xié)處理器與安全外圍設(shè)備之間通信的安全通道以執(zhí)行部分應(yīng)用程序�,通過(guò)主安全協(xié)處理器利用安全通道執(zhí)行這部分應(yīng)用程序。
根據(jù)在此公開(kāi)的方法和系統(tǒng)���,本發(fā)明提供了在計(jì)算機(jī)系統(tǒng)中可被鑒定的信任環(huán)境����。由此就實(shí)現(xiàn)了快速執(zhí)行受安全保護(hù)的交易而不危及敏感數(shù)據(jù)���。此外�,系統(tǒng)中的安全資源可以被查詢(xún)以確定系統(tǒng)執(zhí)行受安全保護(hù)的交易的能力���。還可跟蹤安全資源的使用情況���。
附圖簡(jiǎn)述
圖1為執(zhí)行電子交易的常規(guī)系統(tǒng)的框圖。
圖2A為常規(guī)認(rèn)證結(jié)構(gòu)的圖解�����。
圖2B為用于鑒定電子交易的常規(guī)認(rèn)證鏈的圖解。
圖3為根據(jù)本發(fā)明的含有一個(gè)安全協(xié)處理器的系統(tǒng)的框圖�。
圖4為能在計(jì)算機(jī)系統(tǒng)中鑒定和使用安全資源的系統(tǒng)的一個(gè)實(shí)施例的圖解。
圖5為能在計(jì)算機(jī)系統(tǒng)中鑒定和使用安全資源的系統(tǒng)的另一個(gè)實(shí)施例的圖解���。
圖6A為描述根據(jù)本發(fā)明的鑒定安全資源方法的流程圖�����。
圖6B為根據(jù)本發(fā)明的驗(yàn)證安全資源方法的流程圖����。
圖7A為根據(jù)本發(fā)明的使用安全資源方法的流程圖����。
圖7B為根據(jù)本發(fā)明的提供安全通道方法的流程圖。
圖8為根據(jù)本發(fā)明的執(zhí)行一個(gè)具體經(jīng)安全保護(hù)的交易的系統(tǒng)的一個(gè)實(shí)施例的圖解����。
圖9A為根據(jù)本發(fā)明的提供安全交易以傳送視頻的方法的流程圖一部分。
圖9B為根據(jù)本發(fā)明的提供安全交易以傳送視頻的方法的流程圖一部分�����。
本發(fā)明詳述本發(fā)明涉及在計(jì)算機(jī)系統(tǒng)中執(zhí)行安全交易的改進(jìn)�����。下列描述表明使本領(lǐng)域的普通熟練人員能利用本發(fā)明����,這些內(nèi)容體現(xiàn)在專(zhuān)利申請(qǐng)的上下文及所需之處。對(duì)較佳實(shí)施例的各種修改對(duì)于本領(lǐng)域的熟練的人來(lái)說(shuō)是顯而易見(jiàn)的�,此處的一般原理可用于其他的實(shí)施例。因此����,本發(fā)明不局限于所指示的實(shí)施例而適用于與此處所述的原理和特性一致的更廣泛的領(lǐng)域。
圖1為執(zhí)行電子交易的一個(gè)常規(guī)系統(tǒng)10的框圖�。系統(tǒng)10包括一個(gè)裝備有計(jì)算機(jī)磁盤(pán)和存儲(chǔ)器(磁盤(pán))16的個(gè)人計(jì)算機(jī)或工作站(計(jì)算機(jī))14。計(jì)算機(jī)14通過(guò)網(wǎng)絡(luò)12與其他計(jì)算機(jī)(未圖示)相連���。網(wǎng)絡(luò)12可以是連接一幢大樓中的計(jì)算機(jī)的一個(gè)局域網(wǎng)���、連接位于分開(kāi)的幾幢大樓中的一個(gè)組織的各臺(tái)計(jì)算機(jī)的一個(gè)廣域網(wǎng)、一個(gè)公共網(wǎng)如英特網(wǎng)����。
大多數(shù)用于處理電子交易的應(yīng)用程序(電子交易應(yīng)用程序)可在一個(gè)常規(guī)操作系統(tǒng)平臺(tái)諸如OS/2、Windows和UNIX上進(jìn)行操作���。常規(guī)操作系統(tǒng)平臺(tái)不為執(zhí)行電子交易的應(yīng)用程序提供一個(gè)安全環(huán)境�。在這種環(huán)境中,很容易危及有關(guān)電子交易的機(jī)密信息(敏感數(shù)據(jù))����。常規(guī)計(jì)算機(jī)14違反安全的行為包括解碼含有密鑰的文件,對(duì)其他系統(tǒng)或其他機(jī)制有可能進(jìn)行解鎖以侵襲計(jì)算機(jī)系統(tǒng)�。
因此需要選擇其他系統(tǒng)和方法保護(hù)電子交易的完整性和有效性。這些系統(tǒng)和方法為處理電子交易提供一個(gè)更為安全的環(huán)境�。
交易信息可在一個(gè)計(jì)算機(jī)系統(tǒng)中被鑒定。電子交易應(yīng)用程序一般與熟知的公共密鑰加密算法相關(guān)�����,該算法利用公共密鑰和私有密鑰的一對(duì)密鑰組合進(jìn)行鑒定���。公共密鑰是在公共區(qū)域中可獲取的數(shù)據(jù)�。私有密鑰是屬于擁有者個(gè)人的敏感數(shù)據(jù)�。私有密鑰是由發(fā)給個(gè)人的智能卡提供的,智能卡由如銀行��、信用卡公司�����、雇主等組織發(fā)出。
數(shù)字認(rèn)證將這對(duì)密鑰組合與一個(gè)名稱(chēng)結(jié)合從而提供一個(gè)數(shù)字身份�����。該數(shù)字認(rèn)證用于證實(shí)公共密鑰是屬于使用它的特定的實(shí)體�����。圖2A為一個(gè)常規(guī)認(rèn)證的結(jié)構(gòu)圖���。一個(gè)常規(guī)認(rèn)證結(jié)構(gòu)與如X509.v3標(biāo)準(zhǔn)的認(rèn)證結(jié)構(gòu)一致。一個(gè)常規(guī)數(shù)字認(rèn)證500包括一個(gè)用戶(hù)名502����、一個(gè)認(rèn)證有效日期504和公共密鑰508。此認(rèn)證由互相委托的授權(quán)機(jī)構(gòu)(也就是�,受公共密鑰使用者和他的交易方委托)“簽字”?���;ハ辔械氖跈?quán)機(jī)構(gòu)通常所知為認(rèn)證授權(quán)機(jī)構(gòu)或簽發(fā)授權(quán)機(jī)構(gòu)506,它通過(guò)提供簽名510證實(shí)公共密鑰確實(shí)屬于該公共密鑰使用者的方式來(lái)鑒定公共密鑰使用者的身份�。
借助公共密鑰加密,一條經(jīng)加密或未經(jīng)加密的消息可由私有密鑰“簽字”并傳送至受信人。然后����,該受信人或任何擁有公共密鑰的人能使用公共密鑰解密消息并知道誰(shuí)是發(fā)信人。數(shù)字認(rèn)證允許通過(guò)跟蹤消息來(lái)源和通常被稱(chēng)作為“根”實(shí)體的信任共同點(diǎn)來(lái)鑒定消息�����。一般一條認(rèn)證鏈用于此目的����。
圖2B為鑒定電子交易的認(rèn)證鏈的圖解。具有根認(rèn)證授權(quán)機(jī)構(gòu)522的認(rèn)證鏈允許不同國(guó)家地區(qū)的個(gè)人之間進(jìn)行電子交易�。根認(rèn)證授權(quán)機(jī)構(gòu)522允許不同國(guó)家以及這些國(guó)家的不同地區(qū)的認(rèn)證授權(quán)機(jī)構(gòu)向個(gè)人簽發(fā)數(shù)字身份。認(rèn)證鏈建立一種由每一交易方至根認(rèn)證授權(quán)機(jī)構(gòu)522的向上信任關(guān)系����。
“信任關(guān)系”的含義是二個(gè)設(shè)備或?qū)嶓w之間存在著一種重要的關(guān)系。它基于幾條原理(1)鑒定(消息的接受人必須能確定其來(lái)源�����;入侵者不能偽裝成別人)���;(2)完整性(消息的接受人必須能證實(shí)消息在傳送過(guò)程中未被修改���;入侵者不能用假消息替代合法消息)���;(3)不可否認(rèn)性(發(fā)消息者事后不能否認(rèn)他發(fā)出消息。一旦提供了一種信任關(guān)系����,就可能建立一個(gè)“安全”通道,可選擇用此通道以保密方式提供數(shù)據(jù)����。
由此��,舉例來(lái)說(shuō)����,日本認(rèn)證授權(quán)機(jī)構(gòu)528、法國(guó)認(rèn)證授權(quán)機(jī)構(gòu)526和美國(guó)認(rèn)證授權(quán)機(jī)構(gòu)均各自分別簽發(fā)數(shù)字身份給日本��、法國(guó)和美國(guó)居民���。在日本���,東京地區(qū)認(rèn)證授權(quán)機(jī)構(gòu)538可以簽發(fā)數(shù)字身份546給J.Yen。在法國(guó),巴黎地區(qū)認(rèn)證授權(quán)機(jī)構(gòu)536可以簽發(fā)數(shù)字身份544給F.Frank��。在美國(guó)���,可以有東部認(rèn)證授權(quán)機(jī)構(gòu)534�����、中西部認(rèn)證授權(quán)機(jī)構(gòu)532和西部認(rèn)證授權(quán)機(jī)構(gòu)530��。西部認(rèn)證授權(quán)機(jī)構(gòu)530可以簽發(fā)數(shù)字身份給加州認(rèn)證授權(quán)機(jī)構(gòu)540��,隨后加州認(rèn)證授權(quán)機(jī)構(gòu)540可以簽發(fā)數(shù)字身份542給A.Doe��。
當(dāng)加州居民A.Doe想要處理與日本的J.Yen和/或法國(guó)的F.Frank交換數(shù)據(jù)進(jìn)行的電子交易時(shí)��,A.Doe需要確定是與J.Yen和/或F.Frank而不是冒充者進(jìn)行電子交易��。通過(guò)現(xiàn)有的認(rèn)證技術(shù)���,就可證實(shí)經(jīng)過(guò)認(rèn)證鏈的交易消息的發(fā)送人的數(shù)字身份。A.Doe在核查某人消息中的數(shù)字認(rèn)證時(shí)可檢查此人的數(shù)字認(rèn)證中是否有有效的數(shù)字身份�����。也就是說(shuō),A.Doe可檢查J.Yen的消息中是否有有效的認(rèn)證授權(quán)機(jī)構(gòu)即東京地區(qū)認(rèn)證授權(quán)機(jī)構(gòu)538�、日本認(rèn)證授權(quán)機(jī)構(gòu)528、以及根認(rèn)證授權(quán)機(jī)構(gòu)522的簽字��。
公共-私有-密鑰加密的特征在于它是一個(gè)不對(duì)稱(chēng)的加密����,其中如果用用戶(hù)的公共密鑰完成變換(加密),那么只有用戶(hù)的私有密鑰才能進(jìn)行反向變換(解密)�。也就是說(shuō),每邊分別只需密鑰之一���,一個(gè)用于變換����,另一個(gè)用于反向變換�。
相反地�����,對(duì)稱(chēng)密鑰加密使用一個(gè)密鑰��,兩邊都用此密鑰加密和解密它們的消息����。一邊用該密鑰加密消息�,另一邊用同樣的密鑰解密消息��。該密鑰必須保密�;如果未經(jīng)授權(quán)的人得到了密鑰,他就能閱讀所有用此密鑰加密的通信內(nèi)容���。因此��,特別需關(guān)注密鑰的分發(fā)-不能無(wú)償分發(fā)公共密鑰�,所有的密鑰必須保密��,必須設(shè)計(jì)高度安全的分發(fā)制度保護(hù)系統(tǒng)安全�����。私有-公共-密鑰系統(tǒng)允許事先未見(jiàn)面的各方安全通信�����。由于公共密鑰能廣泛分發(fā)�����,任何人都能為他們希望與之安全通信的人取得一份公共密鑰的副本,用他們的公共密鑰加密消息����,同時(shí)通過(guò)他/她的數(shù)字認(rèn)證鑒定使用者。
再參見(jiàn)圖1�,為允許在計(jì)算機(jī)14執(zhí)行安全交易,可在計(jì)算機(jī)14提供一個(gè)信任環(huán)境��。計(jì)算機(jī)14的信任環(huán)境具有被隱藏的操作功能和受保護(hù)的存儲(chǔ)空間���,被隱藏的操作功能允許實(shí)施不為傳統(tǒng)計(jì)算機(jī)資源所察覺(jué)的操作�,受保護(hù)的存儲(chǔ)空間提供敏感信息的安全保護(hù)���。被隱藏的操作功能和受保護(hù)的存儲(chǔ)空間有助于防止病毒或其他入侵機(jī)制修改應(yīng)用數(shù)據(jù)或可操作的物品代碼���。
雖然信任環(huán)境提供保護(hù)防止傳統(tǒng)侵襲,但是本領(lǐng)域的普通熟練人員了解信任環(huán)境具有一些缺陷�����。沒(méi)有任何機(jī)制能證實(shí)信任環(huán)境安全的完整性�。用戶(hù)可以希望提供含有來(lái)自各種來(lái)源的敏感數(shù)據(jù)的數(shù)據(jù)輸入����,這些來(lái)源包括智能卡�����、生物統(tǒng)計(jì)傳感器或其他外圍設(shè)備���。較難允許用戶(hù)以安全的方式將數(shù)據(jù)輸入到信任環(huán)境中。也難以安全地提供有關(guān)發(fā)生在信任環(huán)境的處理過(guò)程的反饋信息���。
以上結(jié)合作為參考的于____提交的題為“計(jì)算機(jī)系統(tǒng)安全交易的方法和系統(tǒng)”的共同審理中的第____號(hào)美國(guó)專(zhuān)利申請(qǐng)描述了包含安全協(xié)處理器的一種方法和系統(tǒng)��。上述共同審理中的專(zhuān)利申請(qǐng)的方法和系統(tǒng)包括一個(gè)安全協(xié)處理器和用于將安全協(xié)處理器與主機(jī)系統(tǒng)相連的一個(gè)接口���。在此方法和系統(tǒng)中,安全交易的執(zhí)行就地在安全協(xié)處理器內(nèi)執(zhí)行�����,非安全交易的處理在主機(jī)系統(tǒng)內(nèi)執(zhí)行���。該方法和系統(tǒng)還包括提供與安全協(xié)處理器耦合的信任輸入的裝置���。此外��,該方法和系統(tǒng)包括與安全協(xié)處理器耦合的用于從智能卡接受敏感數(shù)據(jù)的第二接口����,以及與安全協(xié)處理器耦合的用于提供真實(shí)交易信息的信任顯示����。
圖3為根據(jù)上述共同審理中的專(zhuān)利申請(qǐng)的包含安全協(xié)處理器122的一個(gè)系統(tǒng)100的框圖。安全協(xié)處理器122包含一個(gè)用于與主機(jī)(計(jì)算機(jī))114相連的主機(jī)接口120��,主機(jī)再與網(wǎng)絡(luò)110相連��。主機(jī)接口120包含一個(gè)接口134���,這在共同審理的專(zhuān)利申請(qǐng)中詳述��。使用主機(jī)接口120����,安全協(xié)處理器在主機(jī)114和安全協(xié)處理器122之間建立了一道防火墻�。
安全協(xié)處理器122被描述為與信任顯示128及信任輸入130相連。安全協(xié)處理器122還被描述為包含智能卡接口124���。安全協(xié)處理器122與智能卡126相連��,智能卡126為存放敏感數(shù)據(jù)的手持式安全裝置����。安全協(xié)處理器122與符合智能卡通信標(biāo)準(zhǔn)ISO7816的智能卡126兼容則較佳����。
如共同審理中的專(zhuān)利申請(qǐng)所述,安全計(jì)算機(jī)環(huán)境104通過(guò)接口134與傳統(tǒng)計(jì)算機(jī)環(huán)境102分離����。這樣就能進(jìn)行電子交易的分發(fā)處理。分發(fā)處理的特征在于安全協(xié)處理器122負(fù)責(zé)就地檢索和處理敏感數(shù)據(jù)��。在安全協(xié)處理器122提供的安全計(jì)算機(jī)環(huán)境104���,敏感數(shù)據(jù)經(jīng)加密和/或隱藏在經(jīng)加密簽字的消息中���。然后經(jīng)加密的敏感數(shù)據(jù)和/或經(jīng)加密簽字的消息傳送至計(jì)算機(jī)114的傳統(tǒng)計(jì)算機(jī)環(huán)境102從而完成電子交易的處理。計(jì)算機(jī)114通過(guò)網(wǎng)絡(luò)110將含有加密簽字消息的交易信息傳至與之相連的另一臺(tái)計(jì)算機(jī)����。因此,根據(jù)上述共同審理中的專(zhuān)利申請(qǐng)的系統(tǒng)中,敏感數(shù)據(jù)從不由傳統(tǒng)計(jì)算機(jī)環(huán)境102的計(jì)算機(jī)114處理��,因而不易被侵襲�。
安全協(xié)處理器122雖然被描述為與智能卡126耦合,但它能用于鍵盤(pán)(未圖示)或其他外圍設(shè)備�。其結(jié)果是,在其他外圍設(shè)備中可提供安全計(jì)算機(jī)環(huán)境����,如安全計(jì)算機(jī)環(huán)境104。在本專(zhuān)利申請(qǐng)的上下文中����,通過(guò)使用安全協(xié)處理器122或其他機(jī)制提供安全計(jì)算機(jī)環(huán)境的外圍設(shè)備被稱(chēng)為安全外圍設(shè)備。
雖然安全協(xié)處理器122按預(yù)定目的發(fā)揮其功能�,但本領(lǐng)域的普通熟練人員能意識(shí)到安全協(xié)處理器122和其他安全外圍設(shè)備可獲取的帶寬大大少于一些應(yīng)用程序所需要的。例如�,某些應(yīng)用程序需要來(lái)自用戶(hù)的存儲(chǔ)值帳戶(hù)的實(shí)時(shí)視頻流解密和演繹。安全協(xié)處理器122可能不能提供這些服務(wù)��。由此��,這樣的應(yīng)用程序?qū)⒌靡嬗诰哂懈邘捄椭苯釉L問(wèn)系統(tǒng)資源的安全協(xié)處理器�����。在本專(zhuān)利申請(qǐng)的上下文中,這樣的安全協(xié)處理器被稱(chēng)作主機(jī)安全協(xié)處理器���。還可提供主機(jī)安全協(xié)處理器使用環(huán)境的安全性證實(shí)。此外��,可提供主機(jī)安全協(xié)處理器在處理應(yīng)用程序時(shí)使用安全外圍設(shè)備的環(huán)境��。
本發(fā)明提供了用于執(zhí)行安全交易的一種系統(tǒng)和方法�。一方面,該方法和系統(tǒng)包括提供一個(gè)計(jì)算機(jī)系統(tǒng)的基本輸入輸出系統(tǒng)(BIOS)�,提供一個(gè)與計(jì)算機(jī)系統(tǒng)耦合的安全外圍設(shè)備以及提供一個(gè)與計(jì)算機(jī)系統(tǒng)耦合的主安全協(xié)處理器。BIOS包含用于指示與BIOS第一信任關(guān)系的第一裝置���。安全外圍設(shè)備包含用于指示與安全外圍設(shè)備第二信任關(guān)系的第二裝置�����。主安全協(xié)處理器是用于處理計(jì)算機(jī)系統(tǒng)的敏感數(shù)據(jù)�,它包含用于指示與主安全協(xié)處理器第三信任關(guān)系的第三裝置����。
該方法和系統(tǒng)還包括利用BIOS來(lái)證實(shí)第一、第二或第三信任關(guān)系之一��,它是使用第一裝置指示第一信任關(guān)系,使用第二裝置指示第二信任關(guān)系或使用第三裝置指示第三信任關(guān)系����。
另一方面,該方法和系統(tǒng)利用計(jì)算機(jī)系統(tǒng)的敏感數(shù)據(jù)執(zhí)行應(yīng)用程序���。計(jì)算機(jī)系統(tǒng)包括一個(gè)主安全協(xié)處理器和一個(gè)安全外圍設(shè)備��。在這方面���,該方法和系統(tǒng)建立了主安全協(xié)處理器與安全外圍設(shè)備之間通信的安全通道以執(zhí)行應(yīng)用程序,執(zhí)行主安全協(xié)處理器的應(yīng)用程序��,執(zhí)行應(yīng)用程序時(shí)使用主安全協(xié)處理器與安全外圍設(shè)備之間通信的安全通道����。
以下就具有幾個(gè)安全外圍設(shè)備的一個(gè)特定系統(tǒng)來(lái)描述本發(fā)明。但是�,本領(lǐng)域的普通熟練人員可看出該方法和系統(tǒng)使用其他安全外圍設(shè)備就能為其他系統(tǒng)有效工作。另外���,還將在具有安全協(xié)處理器提供安全保護(hù)的安全外圍設(shè)備的上下文中描述本發(fā)明��。然而�����,無(wú)任何因素能阻礙本發(fā)明與利用其他機(jī)制確保安全的安全外圍設(shè)備一起使用���。最后���,將在每個(gè)系統(tǒng)都提供有一個(gè)主安全協(xié)處理器的上下文中描述本發(fā)明��。但是����,本發(fā)明與每個(gè)系統(tǒng)中的多個(gè)主安全協(xié)處理器的使用相一致。
為了根據(jù)本發(fā)明更具體地說(shuō)明該方法和系統(tǒng)�����,現(xiàn)參見(jiàn)圖4和圖5����,圖4和圖5為此系統(tǒng)二個(gè)實(shí)施例的框圖。參見(jiàn)圖4�����,計(jì)算機(jī)系統(tǒng)200可以是網(wǎng)絡(luò)的一個(gè)部分。計(jì)算機(jī)系統(tǒng)200由系統(tǒng)管理器202管理����,它包括一個(gè)第一安全外圍設(shè)備204,一個(gè)第二安全外圍設(shè)備212����,一個(gè)存儲(chǔ)器206和一個(gè)主安全協(xié)處理器210。系統(tǒng)管理器202可包含一個(gè)計(jì)算機(jī)或工作站��,管理器可從中監(jiān)視系統(tǒng)200����。
系統(tǒng)管理器202能管理一個(gè)系統(tǒng),這是因?yàn)槊總€(gè)裝置有一個(gè)可被跟蹤的數(shù)字認(rèn)證(身份)����。系統(tǒng)管理器202想加入一個(gè)新的硬件部件(如一個(gè)安全鍵盤(pán))時(shí),他/她就運(yùn)行安裝程序�����,該安裝程序產(chǎn)生一個(gè)由管理者簽名的用于安全鍵盤(pán)的數(shù)字認(rèn)證�����,將此認(rèn)證安裝在鍵盤(pán)里并且記錄在BIOS 208中指示該新資源存入計(jì)算機(jī)系統(tǒng)。此外�����,安裝程序更新遠(yuǎn)地?cái)?shù)據(jù)庫(kù)指示系統(tǒng)XYZ現(xiàn)含有安全鍵盤(pán)ABC?��,F(xiàn)在�,如果安全鍵盤(pán)ABC在以后在系統(tǒng)JKL上被測(cè)出��,他就知道用戶(hù)已移開(kāi)此鍵盤(pán)��。同樣地���,下次系統(tǒng)XYZ被引導(dǎo)時(shí),可以確定鍵盤(pán)ABC不再存在���,可向系統(tǒng)管理器202發(fā)出“資產(chǎn)管理”的消息��。
系統(tǒng)200還可包含其他計(jì)算機(jī)(未圖示)����。第一安全外圍設(shè)備204和第二安全外圍設(shè)備212可包含一個(gè)安全鍵盤(pán)�、一個(gè)安全閱讀器��、一個(gè)安全顯示器���、一個(gè)智能卡、生物統(tǒng)計(jì)數(shù)據(jù)安全存放器或其他安全外圍設(shè)備���。根據(jù)本發(fā)明計(jì)算機(jī)系統(tǒng)200包含一個(gè)基本輸出輸入系統(tǒng)(BIOS)208���。主安全協(xié)處理器210用于處理應(yīng)用程序(未圖示),這些應(yīng)用程序如電子商務(wù)或其他應(yīng)用程序執(zhí)行受安全保護(hù)的交易��。主安全協(xié)處理器較佳地具有至系統(tǒng)200資源的直接的高帶寬路徑�����。
同樣�,圖5為一計(jì)算機(jī)系統(tǒng)250,它包括附加系統(tǒng)資源252�、第一安全外圍設(shè)備254、第二安全外圍設(shè)備262��、一個(gè)存儲(chǔ)器256和一個(gè)主安全協(xié)處理器260�。系統(tǒng)管理器252可包含一個(gè)計(jì)算機(jī)或工作站,管理器可從中監(jiān)視系統(tǒng)250���。系統(tǒng)250還可包含其他計(jì)算機(jī)(未圖示)�。第一安全外圍設(shè)備254和第二安全外圍設(shè)備262可包含一個(gè)安全鍵盤(pán)、一個(gè)安全閱讀器�����、一個(gè)安全顯示器����、一個(gè)智能卡、生物統(tǒng)計(jì)數(shù)據(jù)安全存放器或其他安全外圍設(shè)備���。依據(jù)本發(fā)明計(jì)算機(jī)系統(tǒng)250包含一個(gè)基本輸出輸入系統(tǒng)(BIOS)258���。主安全協(xié)處理器260用于處理應(yīng)用程序(未圖示)�,這些應(yīng)用程序如電子商務(wù)或其他應(yīng)用程序執(zhí)行受安全保護(hù)的交易。主安全協(xié)處理器如有系統(tǒng)250資源的直接高-帶寬存取路徑則更佳�。
在使用時(shí),BIOS 208或258分別用于測(cè)試和準(zhǔn)備系統(tǒng)200或250�����。BIOS 208或258分別包含證實(shí)系統(tǒng)200或250各部分安全完整性的機(jī)制����。在一個(gè)優(yōu)選實(shí)施例中���,BIOS 208或258包含一個(gè)數(shù)字認(rèn)證(未圖示)和一個(gè)私有密鑰(未圖示),用于分別指示BIOS 208或258與系統(tǒng)管理器202或系統(tǒng)250的余下部分的信任關(guān)系���。
圖6A表示提供系統(tǒng)200或250的一種方法��,用此方法可執(zhí)行安全交易以及分別證實(shí)系統(tǒng)和安全外圍設(shè)備204和212或254和262的安全性�。BIOS 208或258經(jīng)過(guò)步驟302分別安裝在系統(tǒng)200或250中��。如上所述��,BIOS 208或258包含一個(gè)數(shù)字認(rèn)證和一個(gè)私有密鑰或其他分別表示BIOS 208或258與系統(tǒng)管理器202或系統(tǒng)200或250的信任關(guān)系的指示�。
經(jīng)過(guò)步驟302至少安裝了一個(gè)主安全協(xié)處理器210或260。主安全協(xié)處理器210或260用于處理執(zhí)行安全交易的應(yīng)用程序���。主安全協(xié)處理器210或260包含一個(gè)分別表示主安全協(xié)處理器210或260與系統(tǒng)管理器202或系統(tǒng)200或250的信任關(guān)系的指示�����。在一個(gè)優(yōu)選實(shí)施例中�,該指示為一個(gè)數(shù)字認(rèn)證和一個(gè)私有密鑰。安全外圍設(shè)備204和212或254和262分別經(jīng)過(guò)步驟330進(jìn)行安裝����。如前面所述,安全外圍設(shè)備204�����、212�����、254及262如包含一個(gè)安全協(xié)處理器122則更佳�。每個(gè)安全外圍設(shè)備204、212����、254及262還包含每個(gè)安全外圍設(shè)備204、212��、254及262與系統(tǒng)管理器202或分別與系統(tǒng)200或250的信任關(guān)系的指示�。在一個(gè)優(yōu)選實(shí)施例中,每個(gè)安全外圍設(shè)備204����、212、254及262包含一個(gè)數(shù)字認(rèn)證和一個(gè)私有密鑰����。這樣,BIOS 208或258經(jīng)過(guò)步驟340證實(shí)這些信任關(guān)系�����。
圖6B表示了一個(gè)優(yōu)選實(shí)施例證實(shí)信任關(guān)系的步驟340的更詳細(xì)的流程圖�。在啟動(dòng)時(shí)采用方法340較佳?�?稍谔囟〞r(shí)期或考慮加入其他安全外圍設(shè)備(未圖示)或已加入系統(tǒng)200或250的其它主安全協(xié)處理器(未圖示)以更新系統(tǒng)200或250的配置的時(shí)候執(zhí)行方法340��。經(jīng)過(guò)步驟342���,BIOS 208或258證實(shí)其自身的安全完整性���。在一個(gè)優(yōu)選實(shí)施例中,使用加密散列(cryptographic hash)和簽名的機(jī)制來(lái)執(zhí)行步驟342���。散列是一種類(lèi)似壓縮算法的單向防沖突的加密算法���。防沖突的意思是對(duì)于任何一個(gè)輸入都有一個(gè)相應(yīng)的散列輸出����。就是說(shuō)����,如果除了一個(gè)比特之外兩部分?jǐn)?shù)據(jù)完全一樣,那么就會(huì)產(chǎn)生二個(gè)完全不同的散列輸出�����。單向意味著散列值不可能導(dǎo)出任何輸入數(shù)據(jù)�����。安全散列使得很難偽造電子簽名�,因?yàn)樗髮?shí)驗(yàn)大量的輸入數(shù)據(jù),而只有其中一個(gè)輸入數(shù)據(jù)才能產(chǎn)生特定的散列輸出��。
BIOS 208或258經(jīng)過(guò)步驟344使安全外圍設(shè)備204和212或254和262以及主安全協(xié)處理器210和260分別生效�����。在一個(gè)優(yōu)選實(shí)施例中���,步驟344包括使安全外圍設(shè)備204和212或254和262的數(shù)字認(rèn)證以及主安全協(xié)處理器210和260的數(shù)字認(rèn)證生效��。在一個(gè)優(yōu)選實(shí)施例中����,步驟344還包括確定新的受安全保護(hù)的外圍設(shè)備(未圖示)或新的主安全協(xié)處理器(未圖示)是否已加入系統(tǒng)中并使任何新的受安全保護(hù)的外圍設(shè)備或新的主安全協(xié)處理器生效�。BIOS經(jīng)過(guò)步驟346提供安全資源的清單。安全資源是那些經(jīng)步驟344生效的受安全保護(hù)的外圍設(shè)備204��、212�����、254或262以及主安全協(xié)處理器210或260����。在一個(gè)優(yōu)選實(shí)施例中,步驟346提供所有已生效的安全外圍設(shè)備204和212或254和262以及主安全協(xié)處理器210或260的數(shù)據(jù)庫(kù)��。
這樣�,安全外圍設(shè)備204、212����、254或262就能允許用戶(hù)以安全方式輸入敏感數(shù)據(jù)。使用方法300可證實(shí)安全外圍設(shè)備204���、212����、254及262中的每一個(gè)的完整性,以及主安全協(xié)處理器210和260的每一個(gè)的完整性���。一旦采用方法340提供了系統(tǒng)200或250并證實(shí)了信任關(guān)系�,就可使用安全資源204��、210和212或254��,260和262運(yùn)行執(zhí)行安全交易的應(yīng)用程序�����。這樣就為運(yùn)行應(yīng)用程序提供了一個(gè)信任環(huán)境�����。
圖7A表示了利用安全資源執(zhí)行安全交易的應(yīng)用程序的方法400����。至少部分應(yīng)用程序是用主安全協(xié)處理器210或260執(zhí)行的。在一個(gè)優(yōu)選實(shí)施例中�,經(jīng)過(guò)步驟410確定是否有足夠的安全資源用于執(zhí)行應(yīng)用程序�����。但是�����,注意步驟410不是必須的。同樣在一個(gè)優(yōu)選實(shí)施例中����,步驟410包括查詢(xún)安全資源數(shù)據(jù)庫(kù)確定是否可獲取執(zhí)行應(yīng)用程序所需的安全外圍設(shè)備204和212或254和262。在一個(gè)優(yōu)選實(shí)施例中����,如果沒(méi)有足夠的資源,那么就不能執(zhí)行應(yīng)用程序��。但是���,在另一個(gè)實(shí)施例中�����,可確定沒(méi)有足夠的資源情況下執(zhí)行應(yīng)用程序違反安全行為產(chǎn)生的風(fēng)險(xiǎn)�,如果風(fēng)險(xiǎn)小于一個(gè)特定的容差仍可執(zhí)行該應(yīng)用程序。
如果有足夠的安全資源����,那么通過(guò)步驟420建立起主安全協(xié)處理器210或260與可被應(yīng)用程序使用的安全資源如安全外圍設(shè)備204、212���、254或262之間的安全通道��。在一個(gè)優(yōu)選實(shí)施例中��,通過(guò)存在于主安全協(xié)處理器210或260的內(nèi)容保護(hù)應(yīng)用程序執(zhí)行步驟420����。使用安全資源的應(yīng)用程序可取得內(nèi)容保護(hù)應(yīng)用程序����。然后內(nèi)容保護(hù)應(yīng)用程序執(zhí)行步驟420。執(zhí)行應(yīng)用程序時(shí)��,通過(guò)步驟430用安全通道進(jìn)行主安全協(xié)處理器210或260分別與安全外圍設(shè)備204和212或254和262之間的通信�����。
圖7B表示了一個(gè)優(yōu)選實(shí)施例建立安全通道的步驟420的更詳細(xì)的流程圖。主安全協(xié)處理器210或260通過(guò)步驟422分別與安全外圍設(shè)備204和212或254和262中的每一個(gè)或其他所使用的安全資源交換數(shù)字認(rèn)證��。然后主安全協(xié)處理器210或260通過(guò)步驟424分別使安全外圍設(shè)備204和212或254和262中的每一個(gè)的數(shù)字認(rèn)證生效����。安全外圍設(shè)備204和212或254和262中的每一個(gè)或其他所使用的安全資源通過(guò)步驟426分別使主安全協(xié)處理器210或260的數(shù)字認(rèn)證生效。然后主安全協(xié)處理器210或260通過(guò)步驟428提供會(huì)話密鑰�。在一個(gè)優(yōu)選實(shí)施例中,主安全協(xié)處理器210或260以及安全外圍設(shè)備204和212或254和262分別采用與應(yīng)用程序一起使用安全外圍設(shè)備204和212或254和262中的每一個(gè)的密鑰交換算法磋商會(huì)話密鑰����。每個(gè)密鑰磋商過(guò)程產(chǎn)生用于主安全協(xié)處理器與各自的安全外圍設(shè)備的安全通信的獨(dú)一無(wú)二的會(huì)話密鑰�����。會(huì)話密鑰是使用常規(guī)密鑰交換算法如Diffe-Hellman磋商的���。
一旦通過(guò)步驟428商定會(huì)話密鑰后����,通過(guò)圖7A描述的步驟430����,使用會(huì)話密鑰在主安全協(xié)處理器210或260和用于執(zhí)行應(yīng)用程序的安全外圍設(shè)備204和212或254和262之間交換數(shù)據(jù)。利用會(huì)話密鑰加密數(shù)據(jù)����,通過(guò)主安全協(xié)處理器210或260分別與安全外圍設(shè)備204和212或254和262之間的加密通道進(jìn)行傳輸��。隨后�����,由主安全協(xié)處理器210或260和接收加密數(shù)據(jù)的安全外圍設(shè)備204和212或254和262中的每一個(gè)進(jìn)行數(shù)據(jù)解碼���。這樣,主安全協(xié)處理器210或260和安全外圍設(shè)備204和212或254和262之間交換的數(shù)據(jù)就能免于泄露�。這是因?yàn)橹挥邪踩ǖ滥┒瞬拍芙獯a主安全協(xié)處理器210或260分別與安全外圍設(shè)備204和212或254和262之間傳送的信息。在一個(gè)優(yōu)選實(shí)施例中��,一旦應(yīng)用程序執(zhí)行完畢�,銷(xiāo)毀采用步驟420提供的安全通道則更佳。在一個(gè)優(yōu)選實(shí)施例中���,這包括銷(xiāo)毀步驟430磋商的會(huì)話密鑰����。
所以��,本發(fā)明具有許多優(yōu)點(diǎn)。每一系統(tǒng)200和250中的安全資源的完整性可分別使用BIOS 208或258明確證實(shí)���。一旦主安全協(xié)處理器210或260分別與安全外圍設(shè)備204和212或254和262之間建立起安全通道��,就可在主安全協(xié)處理器210或260分別與安全外圍設(shè)備204和212或254和262之間傳送用于執(zhí)行允許用于受安全保護(hù)的交易的應(yīng)用程序的敏感數(shù)據(jù)或其他數(shù)據(jù)�����,而不會(huì)使數(shù)據(jù)易受侵襲��。此外����,通過(guò)安全外圍設(shè)備204�����、212�����、254或262���,如安全鍵盤(pán)輸入的敏感數(shù)據(jù)可轉(zhuǎn)移至其他安全資源用于執(zhí)行應(yīng)用程序。這樣,即使由系統(tǒng)200或250執(zhí)行應(yīng)用程序也不會(huì)危及輸入系統(tǒng)200或250的敏感數(shù)據(jù)的完整性����。此外,使用可能具有高帶寬的主安全協(xié)處理器210或260實(shí)現(xiàn)應(yīng)用程序的執(zhí)行����。因而,提高了具有外部安全處理器的實(shí)施例的處理速度�����。
每個(gè)安全外圍設(shè)備204�����、212��、254和262和每個(gè)主安全協(xié)處理器210和260被賦予獨(dú)特的數(shù)字認(rèn)證和私有密鑰����,即所謂的認(rèn)證文件?����?墒褂孟鄳?yīng)的跟蹤這些安全資源的使用。例如����,系統(tǒng)管理器202可通過(guò)監(jiān)視安全外圍設(shè)備204或212的認(rèn)證文件分別跟蹤安全外圍設(shè)備204或212的使用。此外�,采用方法400可確定可獲取安全資源并根據(jù)執(zhí)行過(guò)程涉及的風(fēng)險(xiǎn)決定運(yùn)行時(shí)間。
圖8更清晰地表明根據(jù)本發(fā)明的方法和系統(tǒng)的優(yōu)點(diǎn)���。圖8顯示了根據(jù)本發(fā)明用于特定受安全保護(hù)交易的系統(tǒng)600的一個(gè)特定實(shí)施例����。受安全保護(hù)的交易允許用戶(hù)接收來(lái)自服務(wù)器(未圖示)的視頻內(nèi)容���。系統(tǒng)600包括一個(gè)常規(guī)微處理器602�����、一個(gè)隨機(jī)存取存儲(chǔ)器(RAM)610、一個(gè)與磁盤(pán)616耦合的直接存儲(chǔ)器訪問(wèn)(DMA)控制器614和一個(gè)光盤(pán)只讀存儲(chǔ)器(CD-ROM)618�。磁盤(pán)616或光盤(pán)只讀存儲(chǔ)器(CD-ROM)618存放用戶(hù)希望存取的數(shù)據(jù)。
隨機(jī)存取存儲(chǔ)器(RAM)610用作安全資源之間的消息傳遞郵箱���。例如����,可由安全單元設(shè)備驅(qū)動(dòng)器執(zhí)行安全鍵盤(pán)630和主安全協(xié)處理器612之間的通信。協(xié)作處理器612發(fā)至鍵盤(pán)630的一條消息可通過(guò)安全協(xié)處理器630寫(xiě)入RAM610����,這時(shí)安全協(xié)處理器有一個(gè)標(biāo)題指示消息是發(fā)給安全鍵盤(pán)630的。然后�,該消息經(jīng)過(guò)安全鍵盤(pán)驅(qū)動(dòng)器傳送至鍵盤(pán)630。作為回應(yīng)�����,鍵盤(pán)630將一條消息標(biāo)記為發(fā)給安全協(xié)處理器612����,接收驅(qū)動(dòng)器通過(guò)將消息放入安全協(xié)處理器612的郵箱(輸入列隊(duì))來(lái)執(zhí)行同樣的功能。當(dāng)這些消息有效負(fù)荷經(jīng)會(huì)話密鑰加密后�,設(shè)備之間數(shù)據(jù)的機(jī)密性就被賦予了“安全通道”的概念。
系統(tǒng)600還包括一個(gè)監(jiān)視器604�����、一個(gè)與監(jiān)視器604耦合的SVGA(超級(jí)視頻圖形適配器)控制器606和一個(gè)外圍設(shè)備控制器����。外圍設(shè)備控制器與安全顯示器622��、安全生物統(tǒng)計(jì)傳感器624�����、安全鍵盤(pán)630和安全智能卡閱讀器626耦合����,安全智能卡閱讀器626可與智能卡628耦合����。安全顯示器622、安全生物統(tǒng)計(jì)傳感器624���、安全鍵盤(pán)630和安全智能卡閱讀器626是具有安全協(xié)處理器如122和主接口如134的安全外圍設(shè)備����。系統(tǒng)600還包括一個(gè)根據(jù)本發(fā)明的包含BIOS608的只讀存儲(chǔ)器(ROM)����,以及一個(gè)根據(jù)本發(fā)明的主安全協(xié)處理器612。如圖6B所表示��,BIOS 608采用方法340證實(shí)主安全協(xié)處理器612���、安全顯示器622���、安全生物統(tǒng)計(jì)傳感器624、安全智能卡閱讀器626和安全鍵盤(pán)630的完整性����。
圖9A和9B為一同表示用于提供安全交易以傳遞視頻至系統(tǒng)600的方法700。參見(jiàn)圖8��、9A和9B描述方法700���。用戶(hù)通過(guò)步驟702要求存放在服務(wù)器(圖8未圖示)的一個(gè)加密可視文件���。為了解密該可視文件用戶(hù)必須向視頻提供者提供價(jià)值(value)。這樣����,需要轉(zhuǎn)移敏感信息的安全交易使得用戶(hù)能獲取并看到所需的視頻內(nèi)容。存放在系統(tǒng)600的用于執(zhí)行受安全保護(hù)交易的應(yīng)用程序通過(guò)步驟704查詢(xún)安全資源的數(shù)據(jù)庫(kù)以確定是否有足夠的資源����。BIOS 608使用方法340使系統(tǒng)組件生效時(shí)提供數(shù)據(jù)庫(kù)。因此�,步驟704與圖7A所述的方法400中的步驟410相似�。再參見(jiàn)圖8���、9A和9B��,如果有足夠的資源����,應(yīng)用程序通過(guò)步驟706啟動(dòng)主安全協(xié)處理器612中的內(nèi)容保護(hù)應(yīng)用程序(未圖示)���。然后��,主安全協(xié)處理器612中的內(nèi)容保護(hù)應(yīng)用程序通過(guò)步驟708在主安全協(xié)處理器612和所需的安全資源如安全顯示器622��、安全生物統(tǒng)計(jì)傳感器624�����、安全智能卡閱讀器626和安全鍵盤(pán)630之間建立安全通道��。步驟708與圖7A和7B中所述的步驟420相似�����。
再參見(jiàn)圖8���、9A和9B,接著加密可視文件通過(guò)步驟710下載至系統(tǒng)600����。該加密可視文件如包含具有摘要和用法方面的信息的明文標(biāo)題則較佳。系統(tǒng)600通過(guò)步驟712讀取標(biāo)題以確定轉(zhuǎn)移至視頻提供者的總額使得系統(tǒng)能解密可視文件��。主安全協(xié)處理器612使用主安全協(xié)處理器612和安全顯示器622之間的安全通道�����,可通過(guò)步驟714將總額轉(zhuǎn)移至安全顯示器622����。交易總額不須加密。但是����,必須鑒定總額以確保從用戶(hù)轉(zhuǎn)移至視頻文件提供者的總額正確。
一旦鑒定了總額�����,通過(guò)步驟716,安全顯示器622向用戶(hù)顯示總額并指示用戶(hù)將智能卡628放入智能卡閱讀器626�。通過(guò)步驟718,安全智能卡閱讀器626和智能卡628之間建立了信任關(guān)系���。在一個(gè)優(yōu)選實(shí)施例中���,步驟718包括使智能卡628的數(shù)字認(rèn)證有效。隨后安全智能卡閱讀器626通過(guò)步驟720讀取智能卡628的敏感數(shù)據(jù)��。在一個(gè)優(yōu)選實(shí)施例中�����,步驟720包括讀取用戶(hù)用于視頻提供者的帳戶(hù)中的價(jià)值并確定個(gè)人識(shí)別號(hào)(PIN)必須用于開(kāi)啟用戶(hù)的帳戶(hù)��。通過(guò)步驟722�����,安全顯示器622用于指導(dǎo)用戶(hù)在安全鍵盤(pán)630上輸入PIN����。
然后,主安全協(xié)處理器612和安全鍵盤(pán)630之間的安全通道用于通過(guò)步驟724將PIN從安全鍵盤(pán)630傳送至主安全協(xié)處理器612。因此,步驟724包括使用用于主安全協(xié)處理器612和安全鍵盤(pán)630之間的安全通道的會(huì)話密鑰解密PIN。然后���,主安全協(xié)處理器612和安全智能卡閱讀器626之間的安全通道用于通過(guò)步驟726將PIN轉(zhuǎn)送至安全智能卡閱讀器626���。因此���,PIN還在步驟726的轉(zhuǎn)移中被解密����。然后通過(guò)步驟728,安全智能卡閱讀器626解密PIN并將其轉(zhuǎn)移至智能卡628�����。智能卡通過(guò)步驟730使用PIN開(kāi)啟用戶(hù)的帳戶(hù)��。
一旦用戶(hù)的帳戶(hù)被開(kāi)啟����,通過(guò)步驟732,主安全協(xié)處理器612就可使用安全智能卡閱讀器626和主安全協(xié)處理器612之間的安全通道用交易總額借記用戶(hù)的帳戶(hù)并向智能卡628提供交易收據(jù)��。同樣通過(guò)步驟732�����,主安全協(xié)處理器612與服務(wù)器交換總額并接收用于解密可視文件必要的工具如密鑰。隨后通過(guò)步驟734�,可視文件被解密并播放。通過(guò)步驟736���,所提供的用于執(zhí)行應(yīng)用軟件的安全通道在完成時(shí)被銷(xiāo)毀����。
由于主安全協(xié)處理器612具有大帶寬和直接訪問(wèn)系統(tǒng)600資源的路徑��,因此可視文件可通過(guò)步驟734被解密并實(shí)時(shí)播放�����。這樣����,系統(tǒng)600就能參與受安全保護(hù)的交易。此外����,主安全協(xié)處理器可以充分地向用戶(hù)播放可視文件。由于安全協(xié)處理器的有限帶寬����,不可能只使用存放在安全智能卡閱讀器626的安全協(xié)處理器如安全處理器122或只使用智能卡628實(shí)時(shí)播放可視文件�。
用于使用和鑒定受安全保護(hù)的資源以執(zhí)行受安全保護(hù)的交易的一種方法和系統(tǒng)已被公開(kāi)��。雖然根據(jù)所示的實(shí)施例描述了本發(fā)明��,本領(lǐng)域的普通熟練人員能看到對(duì)實(shí)施例可做些變換�,這些變換均屬于本發(fā)明的精神和范圍內(nèi)。因此�����,在不脫離所附權(quán)利要求書(shū)的精神和范圍�,本領(lǐng)域的熟練人員還可對(duì)此作出各種變換���。
權(quán)利要求
1.一種在計(jì)算機(jī)系統(tǒng)上執(zhí)行安全交易的方法����,該方法包括以下步驟(a)在計(jì)算機(jī)系統(tǒng)上提供一個(gè)基本輸入輸出系統(tǒng)(BIOS)�,BIOS包括用于指示與BIOS第一信任關(guān)系的第一裝置;(b)提供一個(gè)與計(jì)算機(jī)系統(tǒng)耦合的安全外圍設(shè)備��,該安全外圍設(shè)備包括用于指示與安全外圍設(shè)備的一個(gè)第二信任關(guān)系的第二裝置���;(c)提供一個(gè)與安全外圍設(shè)備和存儲(chǔ)器耦合的主安全協(xié)處理器��,主安全協(xié)處理器用于處理計(jì)算機(jī)系統(tǒng)上的敏感數(shù)據(jù)�����,它包括用于指示與主安全協(xié)處理器第三信任關(guān)系的第三裝置�;以及(d)利用BIOS或主安全協(xié)處理器證實(shí)第一、第二或第三信任關(guān)系的至少一個(gè)�����,它是使用第一裝置指示第一信任關(guān)系����,使用第二裝置指示第二信任關(guān)系或使用第三裝置指示第三信任關(guān)系。
2.如權(quán)利要求1所述的方法��,其特征在于�����,包括利用步驟(d)的簽名機(jī)制的BIOS還包括步驟(d1)使用簽名機(jī)制證明第一信任關(guān)系�����。
3.如權(quán)利要求1所述的方法還包括步驟(e)用第二裝置指示第二信任關(guān)系證明第二信任關(guān)系,以及使用第三裝置指示第三信任關(guān)系證明第三信任關(guān)系�。
4.如權(quán)利要求3所述的方法,其特征在于�����,安全外圍設(shè)備包括一個(gè)第二數(shù)字認(rèn)證和一個(gè)第二私有密鑰���,主安全協(xié)處理器包括一個(gè)第三數(shù)字認(rèn)證和一個(gè)第三私有密鑰��;其中���,利用步驟(e)的BIOS還包括步驟(e1)證明第二數(shù)字認(rèn)證和第三數(shù)字認(rèn)證。
5.如權(quán)利要求3所述的方法���,其特征在于還包括步驟(f)提供多個(gè)安全資源的清單,多個(gè)安全資源包括主安全協(xié)處理器和安全外圍設(shè)備����。
6.如權(quán)利要求4所述的方法,其特征在于���,計(jì)算機(jī)系統(tǒng)還包括一個(gè)應(yīng)用程序��,由主安全協(xié)處理器執(zhí)行一部分應(yīng)用程序�,此方法還包括步驟(g)建立主安全協(xié)處理器和安全外圍設(shè)備之間通信的安全通道。
7.如權(quán)利要求6所述的方法����,其特征在于,主安全協(xié)處理器包括一個(gè)第一數(shù)字認(rèn)證��,安全外圍設(shè)備包括一個(gè)第二數(shù)字認(rèn)證�,建立步驟(g)的安全通道還包括步驟(g1)向安全外圍設(shè)備提供第一數(shù)字認(rèn)證;(g2)向主安全協(xié)處理器提供第二數(shù)字認(rèn)證�;(g3)使用安全外圍設(shè)備證實(shí)第一數(shù)字認(rèn)證;(g4)使用主安全協(xié)處理器證實(shí)第二數(shù)字認(rèn)證��;以及(g5)提供用于主安全協(xié)處理器和安全外圍設(shè)備之間通信的一個(gè)會(huì)話密鑰以執(zhí)行這部分應(yīng)用程序��。
8.如權(quán)利要求6所述的方法��,其特征在于還包括步驟(h)使用安全通道通過(guò)主安全協(xié)處理器執(zhí)行這部分應(yīng)用程序�。
9.如權(quán)利要求8所述的方法,其特征在于還包括步驟確定應(yīng)用程序是否可被安全執(zhí)行�����。
10.如權(quán)利要求9所述的方法�,其特征在于��,該系統(tǒng)包括多個(gè)安全資源�����,確定步驟(i)還包括步驟(i1)確定多個(gè)安全資源是否足夠執(zhí)行應(yīng)用程序���;以及(i2)只在多個(gè)安全資源足夠情況下才執(zhí)行應(yīng)用程序。
11.如權(quán)利要求10所述的方法����,其特征在于,資源確定步驟(i1)還包括步驟(i1a)確定安全外圍設(shè)備是否足夠執(zhí)行應(yīng)用程序�����。
12.如權(quán)利要求9所述的方法��,其特征在于還包括步驟(j)允許系統(tǒng)管理者跟蹤安全外圍設(shè)備的使用情況����。
13.一種用于在計(jì)算機(jī)系統(tǒng)上利用敏感數(shù)據(jù)執(zhí)行應(yīng)用程序的方法��,該計(jì)算機(jī)系統(tǒng)包括一個(gè)主安全協(xié)處理器和一個(gè)安全外圍設(shè)備���,該方法包括如下步驟(a)建立主安全協(xié)處理器和安全外圍設(shè)備之間通信的安全通道以執(zhí)行這部分應(yīng)用程序����;以及(b)使用安全通道通過(guò)主安全協(xié)處理器執(zhí)行這部分應(yīng)用程序。
14.如權(quán)利要求13所述的方法��,其特征在于�����,主安全協(xié)處理器包括一個(gè)第一數(shù)字認(rèn)證和第一密鑰���,安全外圍設(shè)備包括一個(gè)第二數(shù)字認(rèn)證和第二密鑰���,安全通道建立步驟(a)還包括步驟(a1)向安全外圍設(shè)備提供第一數(shù)字認(rèn)證;(a2)向主安全協(xié)處理器提供第二數(shù)字認(rèn)證��;(a3)使用安全外圍設(shè)備證實(shí)第一數(shù)字認(rèn)證���;(a4)使用主安全協(xié)處理器證實(shí)第二數(shù)字認(rèn)證����;以及(a5)磋商基于二個(gè)安全裝置的信任關(guān)系的一個(gè)會(huì)話密鑰,該會(huì)話密鑰用于主安全協(xié)處理器和安全外圍設(shè)備之間通信以執(zhí)行這部分應(yīng)用程序�����。
15.如權(quán)利要求13所述的方法�,其特征在于還包括步驟(c)確定應(yīng)用程序是否可被安全執(zhí)行。
16.如權(quán)利要求15所述的方法���,其特征在于�,該系統(tǒng)包括多個(gè)資源���,確定步驟(c)還包括步驟(c1)確定多個(gè)資源是否足夠執(zhí)行應(yīng)用程序�;以及(c2)只在多個(gè)資源足夠情況下才執(zhí)行應(yīng)用程序����。
17.如權(quán)利要求16所述的方法,其特征在于����,資源確定步驟(c1)還包括步驟(c1i)確定安全外圍設(shè)備是否足夠執(zhí)行應(yīng)用程序。
18.如權(quán)利要求15所述的方法�,其特征在于還包括步驟(d)允許系統(tǒng)管理者跟蹤安全外圍設(shè)備的使用情況。
19.一種用于在計(jì)算機(jī)系統(tǒng)上執(zhí)行安全交易的設(shè)備��,包括含有一個(gè)基本輸入輸出系統(tǒng)(BIOS)的計(jì)算機(jī)系統(tǒng)�,BIOS包含用于指示與BIOS的第一信任關(guān)系的第一裝置;一個(gè)與計(jì)算機(jī)系統(tǒng)耦合的安全外圍設(shè)備��,該安全外圍設(shè)備包含用于指示與安全外圍設(shè)備的一個(gè)第二信任關(guān)系的第二裝置�;以及一個(gè)與計(jì)算機(jī)系統(tǒng)耦合的主安全協(xié)處理器,主安全協(xié)處理器包含用于指示與主安全協(xié)處理器第三信任關(guān)系的第三裝置��;其中���,BIOS使用第一裝置指示第一信任關(guān)系����,使用第二裝置指示第二信任關(guān)系或使用第三裝置指示第三信任關(guān)系來(lái)證實(shí)第一�、第二或第三信任關(guān)系的至少一個(gè)。
20.如權(quán)利要求19所述的設(shè)備�����,其特征在于��,BIOS還包含一個(gè)簽名機(jī)制�����,其中,BIOS還使用簽名機(jī)制證明第一信任關(guān)系�。
21.如權(quán)利要求19所述的設(shè)備,其特征在于��,BIOS還使用第二裝置指示第二信任關(guān)系證明第二信任關(guān)系以及使用第三裝置指示第三信任關(guān)系證明第三信任關(guān)系�����。
22.如權(quán)利要求21所述的設(shè)備����,其特征在于,安全外圍設(shè)備包括一個(gè)第二數(shù)字認(rèn)證和一個(gè)第二私有密鑰�,主安全協(xié)處理器包括一個(gè)第三數(shù)字認(rèn)證和一個(gè)第三私有密鑰;BIOS還證明第二數(shù)字認(rèn)證和第三數(shù)字認(rèn)證���。
23.如權(quán)利要求21所述的設(shè)備�����,其特征在于�����,BIOS還提供多個(gè)安全資源的清單����,多個(gè)安全資源包括主安全協(xié)處理器和安全外圍設(shè)備。
24.如權(quán)利要求22所述的設(shè)備�����,其特征在于����,計(jì)算機(jī)系統(tǒng)還包括一個(gè)應(yīng)用程序�����,由主安全協(xié)處理器執(zhí)行一部分應(yīng)用程序�����,此設(shè)備還包括執(zhí)行這部分應(yīng)用程序時(shí)�����,建立主安全協(xié)處理器和安全外圍設(shè)備之間通信的安全通道的裝置�。
25.如權(quán)利要求24所述的設(shè)備,其特征在于���,主安全協(xié)處理器還包括一個(gè)第一數(shù)字認(rèn)證�,安全外圍設(shè)備包括一個(gè)第二數(shù)字認(rèn)證,安全通道建立裝置還包括向安全外圍設(shè)備提供第一數(shù)字認(rèn)證的裝置��;向主安全協(xié)處理器提供第二數(shù)字認(rèn)證的裝置�;使用安全外圍設(shè)備證實(shí)第一數(shù)字認(rèn)證的裝置;使用主安全協(xié)處理器證實(shí)第二數(shù)字認(rèn)證的裝置����;以及磋商用于主安全協(xié)處理器和安全外圍設(shè)備之間通信的一個(gè)會(huì)話密鑰以執(zhí)行這部分應(yīng)用程序的裝置。
26.如權(quán)利要求25所述的設(shè)備�,其特征在于主安全協(xié)處理器使用安全通道執(zhí)行這部分應(yīng)用程序。
27.如權(quán)利要求24所述的設(shè)備���,其特征在于還包括確定應(yīng)用程序是否可被安全執(zhí)行的裝置�。
28.如權(quán)利要求27所述的設(shè)備�,其特征在于,該系統(tǒng)包括多個(gè)資源�,其中,確定應(yīng)用程序是否可被安全執(zhí)行的裝置還包括確定多個(gè)資源是否足夠執(zhí)行應(yīng)用程序的裝置���;以及只在多個(gè)資源足夠情況下才執(zhí)行應(yīng)用程序的裝置��。
29.如權(quán)利要求28所述的設(shè)備�,其特征在于,確定多個(gè)資源是否足夠的裝置還包括確定安全外圍設(shè)備是否足夠執(zhí)行應(yīng)用程序的裝置����。
30.如權(quán)利要求27所述的設(shè)備,其特征在于��,系統(tǒng)由系統(tǒng)管理者管理��,其中���,允許系統(tǒng)管理者跟蹤安全外圍設(shè)備的使用情況。
31.一種用于在計(jì)算機(jī)系統(tǒng)上利用敏感數(shù)據(jù)執(zhí)行應(yīng)用程序的設(shè)備���,該計(jì)算機(jī)系統(tǒng)包括一個(gè)主安全協(xié)處理器和一個(gè)安全外圍設(shè)備�,該設(shè)備包括建立主安全協(xié)處理器和安全外圍設(shè)備之間通信的安全通道以執(zhí)行這部分應(yīng)用程序的裝置���;以及使用安全通道通過(guò)主安全協(xié)處理器執(zhí)行這部分應(yīng)用程序的裝置�。
32.如權(quán)利要求31所述的設(shè)備�,其特征在于,主安全協(xié)處理器還包括一個(gè)第一數(shù)字認(rèn)證���,其中�,安全外圍設(shè)備包括一個(gè)第二數(shù)字認(rèn)證,安全通道建立裝置還包括向安全外圍設(shè)備提供第一數(shù)字認(rèn)證的裝置�����;向主安全協(xié)處理器提供第二數(shù)字認(rèn)證的裝置����;使用安全外圍設(shè)備證實(shí)第一數(shù)字認(rèn)證的裝置;使用主安全協(xié)處理器證實(shí)第二數(shù)字認(rèn)證的裝置�����;以及磋商用于主安全協(xié)處理器和安全外圍設(shè)備之間通信的以執(zhí)行這部分應(yīng)用程序的磋商一個(gè)會(huì)話密鑰的裝置���。
33.如權(quán)利要求31所述的設(shè)備��,其特征在于還包括確定應(yīng)用程序是否可被安全執(zhí)行的裝置�。
34.如權(quán)利要求33所述的設(shè)備����,其特征在于,該系統(tǒng)包括多個(gè)資源����,其中�����,確定應(yīng)用程序是否可被安全執(zhí)行的裝置還包括確定多個(gè)資源是否足夠執(zhí)行應(yīng)用程序的裝置�;以及只在多個(gè)資源足夠情況下才執(zhí)行應(yīng)用程序的裝置���。
35.如權(quán)利要求34所述的設(shè)備�,其特征在于���,資源確定裝置還包括確定安全外圍設(shè)備是否足夠執(zhí)行應(yīng)用程序的裝置�����。
36.如權(quán)利要求33所述的設(shè)備,其特征在于還包括允許系統(tǒng)管理者跟蹤安全外圍設(shè)備的使用情況的裝置�����。
全文摘要
本發(fā)明公開(kāi)了在計(jì)算機(jī)系統(tǒng)上執(zhí)行安全交易的一種方法和系統(tǒng)�����。該計(jì)算機(jī)系統(tǒng)包括一個(gè)存儲(chǔ)器��。一方面,該方法和系統(tǒng)包括在計(jì)算機(jī)系統(tǒng)上提供一個(gè)基本輸入輸出系統(tǒng)(BIOS)(208),提供一個(gè)與計(jì)算機(jī)系統(tǒng)耦合的安全外圍設(shè)備以及提供一個(gè)與計(jì)算機(jī)系統(tǒng)耦合的主安全協(xié)處理器(122)。BIOS包含用于指示與BIOS(208)第一信任關(guān)系的第一裝置���。安全外圍設(shè)備包含用于指示與安全外圍設(shè)備第二信任關(guān)系的第二裝置����。主安全協(xié)處理器(122)用于處理計(jì)算機(jī)系統(tǒng)上的敏感數(shù)據(jù),它包含用于指示與主安全協(xié)處理器(122)第三信任關(guān)系的第三裝置����。該方法和系統(tǒng)還包括利用BIOS(208)證實(shí)第一、第二或第三信任關(guān)系的至少一個(gè),它是使用第一裝置指示第一信任關(guān)系,使用第二裝置指示第二信任關(guān)系或使用第三裝置指示第三信任關(guān)系�����。另一方面,該方法和系統(tǒng)利用計(jì)算機(jī)系統(tǒng)上的敏感數(shù)據(jù)執(zhí)行應(yīng)用程序�。計(jì)算機(jī)系統(tǒng)包括一個(gè)主安全協(xié)處理器(122)和一個(gè)安全外圍設(shè)備。在這方面,該方法和系統(tǒng)包括建立主安全協(xié)處理器(122)與安全外圍設(shè)備之間通信的安全通道以執(zhí)行一部分應(yīng)用程序,通過(guò)主安全協(xié)處理器(122)利用安全通道執(zhí)行這部分應(yīng)用程序��。
文檔編號(hào)G09C1/00GK1326629SQ99813236
公開(kāi)日2001年12月12日 申請(qǐng)日期1999年11月12日 優(yōu)先權(quán)日1998年11月13日
發(fā)明者L·S·威爾 申請(qǐng)人:波系統(tǒng)股份有限公司