專利名稱:用于處理安全保密事項的方法和保安系統(tǒng)的制作方法
背景技術(shù):
發(fā)明領(lǐng)域本發(fā)明涉及用于數(shù)據(jù)處理安全保密事項的方法�����、保安系統(tǒng)和保安裝置���。
現(xiàn)有技術(shù)描述計算機和通信技術(shù)的進展增加了在計算機網(wǎng)絡(luò)之間和其中的信息流動��。這種在計算機和網(wǎng)絡(luò)之間的通信的能力也使得可能發(fā)展很多種類的從你自己的個人計算機執(zhí)行的業(yè)務(wù)�。這樣的業(yè)務(wù)例如可以是郵件��,家中購物����,家中銀行業(yè)務(wù)等����。許多這樣的業(yè)務(wù)包括必須在計算機處在在線時被執(zhí)行的安全保密事項����,例如����,通過因特網(wǎng)轉(zhuǎn)移金錢。
執(zhí)行這樣的安全保密事項當然是一種安全風險����,因為潛在的入侵者通過入侵計算機也可聽到和/或危害這些安全保密事項。原因之一是個人計算機的操作系統(tǒng)沒有注意安全方面進行設(shè)計���,因為它們是個人的���,不連接到任何網(wǎng)絡(luò)的。這樣��,很容易使用惡意的代碼��,或特洛伊木馬等來危及個人計算機的操作系統(tǒng)���,并由此危及在其上執(zhí)行的安全保密事項�����。還有更多的安全操作系統(tǒng)���,例如Unix�����,可能由相對較小的努力被危及����。今天����,沒有保護用戶不受特洛伊木馬侵害的商業(yè)操作系統(tǒng)。
為了增加操作系統(tǒng)的安全性��,已提議在本地網(wǎng)絡(luò)與可提供的對任何入侵者是公開的公共網(wǎng)之間提供防火墻�����。這樣的防火墻濾波在本地網(wǎng)與外部世界之間的通信�����,只允許某種選擇的業(yè)務(wù)傳遞通過���。如果其它業(yè)務(wù)被請求傳遞通過防火墻��,則只在給出正確的密碼字后才能夠進行��。然后��,該通信最后達到個人計算機或本地網(wǎng)絡(luò)內(nèi)的服務(wù)器計算機��。這個保安措施當然增加了安全性����,但仍舊不保證安全保密事項以用戶初始打算做的方式執(zhí)行�����。執(zhí)行所允許的非-濾過的業(yè)務(wù)時的脆弱性可能允許入侵者入侵到個人計算機�。
另一個可能的保安措施是把保安機制插入到操作系統(tǒng)中,例如�����,進入到某些業(yè)務(wù)需要密碼字。
以上保安機制不完全安全的主要原因是��,它們是基于軟件的���。因為軟件總是包含有缺陷�,它是易破壞的����,因此通過被挖掘的安全漏洞、惡意的代碼����、固有的特洛伊木馬軟件等,它們可能被危害���?����;谲浖谋0步鉀Q辦法也是太脆弱的���,即如果操作系統(tǒng)安全性被危害,則所有的數(shù)據(jù)和在其上執(zhí)行的所有應(yīng)用項也將被危害����。
另一個共同的保安措施是使用所謂的“活用卡”或“智能卡”��。這些卡包括具有處理器、存儲器���、和通信部件的小型計算裝置��。這樣的裝置可以包括安全密鑰����,它被用來在網(wǎng)絡(luò)中代表用戶識別號�����。該卡是與主系統(tǒng)一起使用的����,并且主系統(tǒng)可要求該卡在帶有安全密鑰的事項中執(zhí)行安全保密步驟。主系統(tǒng)不能得出安全密鑰�,它是在智能卡中被設(shè)有機關(guān)的。智能卡上的處理器不能與用戶直接通信����,它必須依賴于主系統(tǒng),來接力進行與用戶的通信,而沒有任何惡意的介入��。所以����,智能卡對于保護本身不受主系統(tǒng)中惡意的軟件危害幾乎無能為力。
在使用智能卡的個人計算機中�����,被危害的應(yīng)用項可使得智能卡執(zhí)行任何通常它可做的工作��,而不必牽涉到用戶�����,智能卡可由應(yīng)用項被預訂來簽署任何數(shù)字文件�����,并且不需要用戶審查它����,也不需要對于要被加到文件上的簽名表示任何明顯的意愿。
為增加操作系統(tǒng)安全性的一個不同的但類似的方法是構(gòu)建所謂的多級保安(MLS)操作系統(tǒng)���。這樣的系統(tǒng)按照安全性分類給目標和主題加標號��,并規(guī)定了有關(guān)信息如何被允許通過系統(tǒng)的法則��。為保持不同安全級別的分類和記錄保持那些進入到不同安全級別和目標的用戶����,是非常費時的�����。而且����,通常的計算機應(yīng)用項是和操作系統(tǒng)不兼容的,并且所有應(yīng)用項對于MLS系統(tǒng)必須是被定做的�����。這當然是非常昂貴的�。
WO94/01821揭示了用于工作站(例如個人計算機)的信托路徑子系統(tǒng)。該系統(tǒng)包括網(wǎng)絡(luò)計算機���,它是MLS計算機和工作站�����。本發(fā)明的目的是提供在MLS計算機的信托子系統(tǒng)和工作站之間的安全通信����。為了解決這個問題,工作站被連接到信托子系統(tǒng)�,它從MLS計算機的信托系統(tǒng)接收加密數(shù)據(jù),并對它進行解密而不牽涉到工作站��。這樣�����,在MLS-子系統(tǒng)上運行的應(yīng)用項將確信����,所接收的數(shù)據(jù)將是和從MLS計算機的信托子系統(tǒng)發(fā)送的數(shù)據(jù)一樣的,反之亦然��。然而�����,這個系統(tǒng)基本上通過專線輸送加密的鍵擊被限制于在MLS計算機的信托子系統(tǒng)和網(wǎng)絡(luò)計算機之間的數(shù)據(jù)的安全交換��,以及把象素從MLS系統(tǒng)中的應(yīng)用項寫到工作站中的信托子系統(tǒng)。
而且�����,全部應(yīng)用項在高度安全的環(huán)境�����,MLS系統(tǒng)中執(zhí)行�����。為確保全部應(yīng)用項的安全��,已作出了許多努力�。然而���,如果應(yīng)用項����,例如由應(yīng)用項本身中的安全漏洞被危害�,或如果系統(tǒng)管理者破壞應(yīng)用項,則信托子系統(tǒng)將不能擔保����,應(yīng)用項在“保安”屏幕上給出與后面簽署的相同的信息����,因為它缺少用于用戶介入的裝置���。這樣�����,應(yīng)用項不需要為了簽署數(shù)字文件而得到來自用戶的意愿��。
英國專利申請GB 2 267 986揭示了用于計算機的保安裝置���。這種保安裝置的目的是,當安全保密事項要被執(zhí)行時把計算機與輸入/輸出裝置(例如鍵盤和鼠標)隔離開���。保安裝置包括存儲用于以透明模式或特定的處理模式運行保安裝置的多個程序的處理器����。在透明模式下��,從輸入/輸出裝置輸入的數(shù)據(jù)通過保安裝置直接被發(fā)送到計算機�,即保安裝置是處在被動模式���。在特定的處理模式下,保安裝置本身將通過執(zhí)行一個存儲的程序來進行數(shù)據(jù)的處理��,而沒有計算機的任何介入����。
當保安裝置的處理器接收與在其中存儲的多個程序的任一個有關(guān)的一個命令時,它將開始特定的處理模式��,并執(zhí)行多個程序中的一個程序�����。被存儲在保安裝置的處理器中的不同程序都規(guī)定了不同的安全保密事項����。該程序在某些情況下在執(zhí)行安全保密事項以前�����,也可以需要一個密碼字等����。要被存儲在保安裝置中的新的程序可從計算機被裝載���,而在裝載過程中沒有任何的用戶介入。所以�,用戶不能確信在裝載一個新的程序后哪些步驟在保安裝置內(nèi)被執(zhí)行。這樣�����,應(yīng)用項本身可能被危害�,因為簽署一個數(shù)據(jù)塊并不需要用戶的任何審查或意愿,有可能執(zhí)行用戶一開始不打算做的事項��。
即使這個系統(tǒng)提供了高度的安全性����,但它仍舊具有主要的缺點,即它缺少用戶的介入��。
發(fā)明概述用戶介入是執(zhí)行安全保密事項時的重要部分���,如果�,例如這些事項的任務(wù)是要建立合法的有約束力的文件的話����。在傳統(tǒng)上���,即在紙上,簽字一個文件的情況下��,要求在紙上簽名的個人首先可通過他的簽名而被識別���,其次��,他通讀和驗證紙上的內(nèi)容��,然后第三�����,他在紙上簽名作為他的意愿�。這樣數(shù)字簽名系統(tǒng)必須被設(shè)計成使得用戶在簽署一個數(shù)字文件時執(zhí)行同樣的步驟�����,如果這是合法的有約束力的話�����。
本發(fā)明者驚奇地發(fā)現(xiàn)�,如上所述的今天用于執(zhí)行安全保密事項的方法,與此相反���,是面向系統(tǒng)的��,即預期系統(tǒng)執(zhí)行安全保密事項��,而僅僅偶爾咨詢用戶不太重要的任務(wù)�����。
所謂系統(tǒng)導引是指系統(tǒng)或應(yīng)用項能夠做用戶可做的一切工作��。因此���,這樣的一個系統(tǒng)能夠模擬用戶。在使用用戶導引的系統(tǒng)中�����,為了執(zhí)行某些步驟�,用戶必須被介入,即這樣的步驟不能由系統(tǒng)或應(yīng)用項進行模擬��。
這樣,要由本發(fā)明解決的目標問題是提供用于處理安全保密事項的一種方法���、一個系統(tǒng)���、和一個裝置,它是面向用戶的���,以及在執(zhí)行安全保密事項時肯定地牽涉到用戶���。
這個問題是通過分別在權(quán)利要求1、10��、15中規(guī)定的方法�、系統(tǒng)、和裝置來解決的���。
在附屬權(quán)利要求2-9�����、11-14����、和16中規(guī)定了本發(fā)明的優(yōu)選實施例�。
通過使用按照本發(fā)明的方法,用戶每次執(zhí)行安全保密事項時將肯定被牽涉�,即該方法,與現(xiàn)有的技術(shù)相反��,是基于用戶的����。按照本發(fā)明的這種導引將總是確保,用戶對于在安全系統(tǒng)執(zhí)行的安全保密事項有控制能力�,因為為了執(zhí)行這樣的事項要求有用戶的意愿。而且��,按照本發(fā)明的方法提供了在其中處理安全保密事項的安全空間���。
這樣��,通過按照本發(fā)明的方法���,有可能通過利用用戶介入步驟以可靠的和安全的方式執(zhí)行諸如簽署合法的有約束力的文件、發(fā)送保密郵件�、裝載現(xiàn)金卡、進行保密電話呼叫等的任務(wù)����。
通過按照本發(fā)明給保安系統(tǒng)配備切換與密碼裝置���,有可能對來自和送到輸入/輸出裝置的數(shù)據(jù)加密,由此�,使用計算機的現(xiàn)有的線路來專線輸送數(shù)據(jù)到保安裝置。這樣����,保安系統(tǒng)可以通過普通計算機作最小的改變而被設(shè)計成。唯一所需要的附加設(shè)備是保安裝置����、它的連接線、和切換與密碼裝置�����。因此�,按照本發(fā)明的保安系統(tǒng)不需要附加屏幕來建立在其中可執(zhí)行安全保密事項的安全空間。
附圖簡述當結(jié)合附圖閱讀時��,通過參考僅僅由實例給出的以下的對本發(fā)明的具體實施例的詳細說明將可最好地理解本發(fā)明的上述的和其它的方面���,其中
圖1顯示了按照本發(fā)明的保安系統(tǒng)的方框圖�����。
圖2顯示了按照本發(fā)明的第二實施例的保安系統(tǒng)的方框圖���。
圖3顯示了按照本發(fā)明的通用方法的流程圖。
圖4顯示了證明用戶存在的安全步驟的流程圖��。
圖5顯示了隱蔽數(shù)據(jù)的安全步驟的流程圖����。
圖6顯示了展示數(shù)據(jù)的安全步驟的流程圖。
圖7顯示了標記事項的起源點的安全步驟的流程圖�。
圖8顯示了驗證來自預期的發(fā)起者的起源點標記的安全步驟的流程圖。
圖9顯示了執(zhí)行不能撤銷的步驟的安全步驟的流程圖���。
優(yōu)選實施例說明圖1顯示了按照本發(fā)明的一個實施例的保安系統(tǒng)�����。這樣的系統(tǒng)當被連接到公共網(wǎng)時�����,被用來執(zhí)行安全保密事項�����,以及它包括任意的個人計算機2��,輸入/輸出裝置��,例如鍵盤4�����、鼠標6��、顯示器8�、以及智能卡讀取器/寫入器(r/w)12。將會明白��,由按照本發(fā)明的的保安系統(tǒng)所使用的輸入/輸出裝置的數(shù)目和類型可隨要被執(zhí)行的安全保密事項的那種類型而變化����。并不是總是必須使用鼠標或智能卡r/w,以及在某些情況下�,可能希望使用其它的輸入/輸出裝置,例如揚聲器����、話筒等���。而且,個人計算機2可以由終端等代替�,而不背離本發(fā)明的范圍。這樣����,在參照計算機2的處理器時�,這也包括終端所連接到的處理器,即計算機/終端和運行應(yīng)用項的處理器不一定必須具有相同的物理位置���。
個人計算機2配備有處理器14����、只讀存儲器(ROM)16����、和隨機存取存儲器(RAM)18。每個物理的輸入/輸出裝置4�、6、8���、12通過適當?shù)耐ㄐ沤涌?0�、22、24��、26被連接到計算機2��,這些接口對于本領(lǐng)域技術(shù)人員是熟知的��。諸如可從圖1看到的��,顯示器8通過屏幕裝置控制器10被連接到計算機2�����。每個輸入/輸出裝置4�����、6��、8���、12也配備有切換與密碼裝置28�、30����、32��、34�����,它們的功能將要在下面說明��。將會明白����,輸入/輸出裝置4���、6、12也具有裝置控制器��,在所顯示的實施例中����,它們被引入到交換和加密裝置18、30�、32。
屏幕裝置控制器10包括屏幕控制電路36和屏幕存儲器38�。在本發(fā)明的本實施例中,屏幕控制器10被連接到保安裝置40,包括處理器42�、PROM 44、和RAM 46���。保安裝置40的處理器42被連接到屏幕電路和屏幕存儲器38���,也被連接到PROM 44和RAM 46�。處理器42也被連接到在屏幕電路36中提供的切換與密碼裝置34,并控制該裝置34��。在本實施例中,切換與密碼裝置34用作為阻塞裝置�,即防止計算機2的處理器14接入到屏幕裝置控制器10中。
然而�,將會明白,保安裝置40也可在計算機2中或在分開的地方被提供��,只要保安裝置40能夠控制切換與密碼裝置28��、30����、32、34��,而不用處理器14介入,即處理器14在任何時間不能進行控制切換與密碼裝置28�����、30����、32、34�,這將在下面描述。圖2顯示了保安系統(tǒng)的替換實施例�,其中保安系統(tǒng)被引入到計算機2內(nèi)。在本發(fā)明的這個實施例中�,屏幕裝置控制器10被復制,以及切換與密碼裝置34起到由保安裝置40控制的普通開關(guān)的作用�����,以便在兩個屏幕控制裝置10之間切換�。
如上所述��,當保安系統(tǒng)�����,即計算機2,與網(wǎng)絡(luò)連接并且在線時���,保安系統(tǒng)被用來執(zhí)行安全保密事項�。如果計算機是獨立的計算機�,則不需要保安裝置40,因為沒有入侵者能夠偵聽或危害所處理的數(shù)據(jù)�����。這樣��,本發(fā)明針對與網(wǎng)絡(luò)在線連接的計算機�。安全保密事項是用戶希望秘密地執(zhí)行的事項,即沒有入侵者偵聽或危害安全保密事項的危險����。這樣的安全保密事項的例子是轉(zhuǎn)移金錢、簽署文件�����、準備保密郵件等����。
具有如上所述結(jié)構(gòu)的保安系統(tǒng)是能工作在兩個不同的模式的���。在第一模式,被規(guī)定為正常模式��,保安系統(tǒng)如普通計算機那樣運行�����,也就是保安系統(tǒng)40處在被動模式���。被連接到公共網(wǎng)的計算機如何地運行�����,對于本領(lǐng)域技術(shù)人員是熟知的���,所以不作進一步描述。在第二模式��,被規(guī)定為安全管理模式�����,保安裝置40進行控制數(shù)據(jù)處理�,以便于以可靠方式執(zhí)行不同的安全保密事項。
參照圖3��,現(xiàn)在將詳細描述保安系統(tǒng)在安全管理模式下(SMM)的運行�。響應(yīng)于在步驟200的呼叫,當保安系統(tǒng)工作在正常模式時�����,從處理器14��,或任何的輸入/輸出裝置��,即鍵盤4��、鼠標6�、顯示器8或智能卡r/w 12,保安裝置40將在步驟202被分配�����。然后��,在步驟204���,保安裝置40把與在安全管理模式期間要被使用的輸入/輸出裝置4����、6、8����、12有關(guān)的那些切換與密碼裝置28、30�、32、34切換到保護模式���。為了執(zhí)行切換功能��,保安裝置40配備有用于產(chǎn)生給切換與密碼裝置28�、30���、32����、34的信號的裝置��。這些裝置優(yōu)選地是處理器42�,和被存儲在PROM 42中的程序步驟。當所請求的一個切換與密碼裝置28、30�、32����、34被切換到保護模式時,保安裝置40處在所請求的輸入/輸出裝置4�、6、8�����、12的控制下��,并且計算機2的處理器14不再能夠從那里接收任何未保護的數(shù)據(jù)或發(fā)送任何數(shù)據(jù)到那里����。
在保護模式,切換與密碼裝置28�、30、32�����、34將加密從輸入/輸出裝置4�、6、8、12發(fā)送的所有數(shù)據(jù)����。保安裝置40在所有時間是能控制進入和離開保護模式的唯一裝置。除非是對于非保密的事項的請求����,將不執(zhí)行對于切換與密碼裝置28、30�、32、34的非加密請求���。取決于哪個輸入/輸出裝置4�、6�、8、12�,切換與密碼裝置28、30�、32、34與它們可被配備有的特定功能有關(guān)��。這些功能將只是從保安裝置40提供的��,而不是從處理器14�,即使切換與密碼裝置28、30、32���、34是處在正常模式��。與智能卡r/w 12有關(guān)的切換與密碼裝置32具有這樣的功能��,并允許僅僅某些非保密安全請求可通過智能卡r/w12。如果這個預防措施不被提供��,則在正常模式期間將有機會運作智能卡r/w 12��,以便于阻止保安裝置40進入安全管理模式�。
如上所述,圖1所示的保安裝置40的處理器42直接接入到屏幕裝置控制器10��,所以切換與密碼裝置34只需要執(zhí)行阻塞功能而不用加密�����。在圖2所示的實施例中�,切換與密碼裝置34具有普通開關(guān)的功能。
通過加密來自和送到輸入/輸出裝置4��、6��、8、12的數(shù)據(jù)�����,有可能使用計算機2的現(xiàn)有的線路�����,以便專線輸送數(shù)據(jù)到保安系統(tǒng)40�����。這樣�����,保安系統(tǒng)可通過對普通計算機作最小的改變而被設(shè)計成�。所需要的唯一附加設(shè)備是保安系統(tǒng)40、它的連接線路����、以及切換與密碼裝置28、30����、32����、34���。如上所述���,保安裝置40可以以如圖2所示的多種方式,或例如通過提供在保安裝置40與輸入/輸出裝置4���,6,8�,12之間的分開的物理線路被連接到或處在計算機系統(tǒng)內(nèi)。然而���,如圖1所示的實施例是寧愿要的���,因為在本實施例中的保安裝置40直接控制屏幕存儲器38和屏幕控制單元36,否則它們必須被復制�。
當切換與密碼裝置28,30��,32��,34不是處在保護模式時,它們用作為輸入/輸出裝置到計算機的普通連接����。
在進行控制輸入/輸出裝置4,6�����,8����,12以后,在步驟206��,保安裝置40也控制在安全管理模式下要被執(zhí)行的所有數(shù)據(jù)處理��。通過這樣地操作保安系統(tǒng)���,即把運行在處理器14上的應(yīng)用項的數(shù)據(jù)處理的控制和輸入/輸出裝置4��,6�,8�����,12的控制轉(zhuǎn)移到保安裝置40,其中可執(zhí)行安全保密事項的安全空間被建立���。然后�����,在步驟208��,保安裝置40將開始處理安全保密事項�。
在處理安全保密事項期間�����,保安裝置40將牽涉到用戶���,即完成被存儲在保安裝置40的PROM 44中的安全保密事項的執(zhí)行步驟不是自動執(zhí)行的。所以���,在步驟210�����,保安裝置40將檢驗�����,用戶是否已介入��。如果在步驟210的回答是否定的話�����,則在步驟212����,保安裝置40將檢驗用戶尚未介入的時間間隔。如果在執(zhí)行處理步驟以后的某個時間極限內(nèi)用戶還沒有介入����,則在步驟214,保安裝置40被定為時間到�����,并進入正常模式���。如果時間極限還沒有過去����,則在步驟210用戶的介入將再次被檢驗。
如果在步驟210的回答是肯定的話�,則在步驟216,將進行檢驗安全保密事項是否完成���。如果在步驟216的回答是否定的話�����,則處理步驟208和用戶介入步驟210將在有必要時經(jīng)常重復進行����。這樣�����,按照本發(fā)明的保安裝置40被配備有用于用戶介入的裝置�����。用于用戶介入的裝置是本發(fā)明的本質(zhì)�。這種達到安全的方法比起在現(xiàn)有的技術(shù)(例如GB 2 267 986)中使用的面向系統(tǒng)的方法是完全不同的�����。用戶介入步驟將在下面更詳細地描述。
當安全保密事項的處理在步驟208和210由保安裝置40和用戶完成時���,處理將在步驟218結(jié)束���,并在步驟220將其結(jié)果轉(zhuǎn)移給計算機2的處理器14,給輸出裝置12�,或保留在保安裝置40中,供以后使用����。
結(jié)果轉(zhuǎn)移是在保安系統(tǒng)的安全管理模式中的最后步驟。保安裝置40此后在步驟222將通過切換切換與密碼裝置28�,30,32�,34把輸入/輸出裝置4,6���,8����,12與切換與密碼裝置控制器28�、30、32、34的控制�,以及從保安裝置40到計算機2的數(shù)據(jù)處理的控制,轉(zhuǎn)移到正常模式��。這個從保護模式到正常模式的切換��,如上所述���,只可能從保安裝置40執(zhí)行��,而不是從處理器14執(zhí)行�。
為了進一步增加用戶介入����,切換與密碼裝置28,30�,32,34可以被人工切換���,而不是由保安裝置40切換�。在這種情況下����,保安裝置40必須能夠可靠地和安全地確定切換與密碼裝置28,30�����,32�����,34的狀態(tài)����,以便于能夠決定安全保密事項是否可以開始,或是否必須中斷��。
保安裝置40還配備有指示器�,圖上未示出,它指示保安裝置40何時處在控制下��,以及系統(tǒng)工作在安全管理模式����。這樣的指示器將使得用戶知道他何時能夠執(zhí)行安全保密事項。
這樣����,用于處理安全保密事項的保安系統(tǒng)和通用方法已加以描述�����。如上所述���,本發(fā)明的實質(zhì)是用戶介入,以及為了充分了解本發(fā)明����,現(xiàn)在將描述用于實現(xiàn)用戶介入的步驟的例子。這些步驟是安全保密事項的全部�����,并且與用戶的交互作用將在保護模式下總是用切換與密碼裝置28��,30��,32�,34實施。取決于要由安全保密事項執(zhí)行的任務(wù)��,步驟的不同組合可被用來和由保安裝置40執(zhí)行的步驟混合在一起��。將會明白��,如果不同的用戶介入步驟被組合,從幾個步驟進行的與用戶的對話可被結(jié)合成一個交互作用����。這樣�����,即使下面描述的例子都是安全保密事項的一部分�,也將會明白,它們不必是在每個或同一個安全保密事項中的一部分����。
在經(jīng)常重復出現(xiàn)的安全保密事項中的一個步驟是證明用戶的存在。圖4中概略地顯示了這個步驟���,它可通過使得用戶提交識別符�,例如通過智能卡r/w 12�����,或通過使得用戶輸入一個密碼字而被執(zhí)行�。另外,生物統(tǒng)計學����,例如話音識別或指印��,可被用來識別用戶的存在��。如果用戶不存在�����,則在安全管理模式下的數(shù)據(jù)處理將被中斷�����,且將進入正常模式��,否則安全保密事項的處理將繼續(xù)�。將會明白����,保安裝置40可以包含所存儲的有關(guān)不同用戶的信息。這將允許不同用戶利用同一個保安系統(tǒng)�����。
可由安全保密事項執(zhí)行的另一個步驟是隱蔽數(shù)據(jù)�。圖5概略地顯示了這個步驟��。在這個步驟中����,用戶首先請求��,安全保密事項將借助于使用鍵盤4或鼠標6通過隱蔽結(jié)果來被執(zhí)行�。這個請求然后在屏幕8上或以揚聲器提交給用戶����。然后用戶必須通過鍵盤4或鼠標6選擇隱蔽結(jié)果的接收者。然后����,剩余的安全保密事項被執(zhí)行,并且結(jié)果由所選擇的接收者隱蔽�����。
可以是安全保密事項的一部分的再一個步驟�����,如圖6概略地所示�,是展示數(shù)據(jù)給用戶���。當隱蔽的數(shù)據(jù)由計算機2接收時,如果隱蔽數(shù)據(jù)包含用來呼叫和分配保安裝置40的命令��,或者通過用戶的請求或者自動地進入安全管理模式���。在所接收的隱蔽數(shù)據(jù)被裝載到保安裝置40以前�����,用戶必須證明他的存在��,以便確保只有一個允許的數(shù)據(jù)被裝載到保安裝置40中���。此后,如果用戶的識別符和密碼是正確的�,則他必須優(yōu)選地通過使用智能卡r/w 12輸入識別符和密碼。如果它們是正確的����,保安裝置40將開始處理和解密被隱蔽的數(shù)據(jù),并提交所接收的數(shù)據(jù)在適當?shù)妮敵鲅b置���,例如屏幕8或揚聲器��。如果識別符和密碼不是正確的���,將進入正常模式��。將會明白��,進行證明存在和輸入識別符與密碼的次序可被顛倒�,而不改變這個步驟的結(jié)果��。
安全保密事項的又一個步驟關(guān)系到起源點標記的產(chǎn)生和證實�����,如圖7和8概略地所示����。起源點標記的產(chǎn)生�����,通過例如鍵盤4或鼠標6���,從對于帶有起源點標記的事項的用戶請求開始�。然后,該請求在屏幕8上或另一個輸出裝置上提交給用戶�����,并且如果該請求是正確的��,則用戶承認該事項�。如果請求不被承認,則將進入正常模式���,但如果承認����,則事項將被執(zhí)行��,它的選擇的結(jié)果被數(shù)字地簽名用于起源點標記�。根據(jù)所執(zhí)行的事項,用戶可在這個處理期間交互作用���。
為了證實起源點標記����,用戶首先必須通過使用輸入裝置,例如鍵盤4或鼠標6��,確定和鎖定至少一個打算的發(fā)起者����。然后該至少一個打算的發(fā)起者在顯示器8上或類似的裝置上被提交給用戶,并且當簽名的結(jié)果被接收時���,每個簽名被檢驗�,以證實該至少一個打算的發(fā)起者�。如果簽名是正確的,則將繼續(xù)在安全管理模式下的處理���,否則將進入正常模式�����。
在安全保密事項中的重要步驟是允許產(chǎn)生不可撤銷的步驟,例如簽署文件���。在這種情況下��,如圖9概略地所示�����,首先必須作出一個請求�,以執(zhí)行這樣的步驟。這個請求連同這個步驟的主題一起在屏幕8或其它裝置上被提交給用戶�,然后,用戶具有可任選權(quán)�����,改變或進入新的主題����。此后,用戶必須接受或拒絕該請求�。這樣,在執(zhí)行不可撤銷步驟以前���,總要確?�?隙ǖ挠脩艚槿?��。當用戶作出他的接受時,處理繼續(xù)進行���。如果用戶在預設(shè)置的時間極限內(nèi)未作出接受���,則將進入正常模式�。
這樣�,已描述了關(guān)于用戶介入的多個步驟。然而����,將會明白,有多種屬于本發(fā)明的范圍內(nèi)的其它步驟和它們的組合����。例如,許多以上的步驟說明��,用戶必須輸入數(shù)據(jù)��,以便于確保用戶是肯定地介入�,但將會明白,這個數(shù)據(jù)可代之以作為一個任選項被提交給用戶�,以及用戶然后必須用意愿來確認這個數(shù)據(jù)是正確的�。本發(fā)明的實質(zhì)在于,提供了用于用戶介入的裝置���,即在上述的實施例中具有處理器42和其中存儲了以上提到的用戶介入步驟的PROM 44的保安裝置40�����。
在更高的級別上���,上述的用戶介入步驟關(guān)系到多種任務(wù)��,例如簽署合法的有約束力的文件��,發(fā)送保密郵件����,進行付款��,裝載現(xiàn)金卡��,進行保密電話呼叫等���。據(jù)信��,有多種其它高級別任務(wù)可通過使用以上的用戶介入步驟以保密方式被執(zhí)行�,具體地��,也有這樣的隨著技術(shù)進展而合并的任務(wù)。
當簽署合法的有約束力的文件或進行付款時���,需要上述的用戶介入步驟的以下內(nèi)容證明用戶的存在和允許產(chǎn)生���。為了進一步增加安全性,起源點標記和隱蔽的步驟也可被引用��。
發(fā)送保密郵件將涉及到隱蔽步驟和也可任選地起源點標記步驟�����。
裝載現(xiàn)金卡將涉及到允許產(chǎn)生步驟和起源點標記步驟�,它們相應(yīng)于作出裝載現(xiàn)金卡的請求。當該請求被承認時�����,裝載現(xiàn)金卡將涉及到展示結(jié)果步驟和證實起源點標記步驟��。
進行保密電話呼叫將需要在保密電話呼叫期間不斷地要被涉及到的隱蔽�、展示、起源點標記��、和證實起源點標記的步驟���。
雖然已借助于本發(fā)明的優(yōu)選實施例描述了本發(fā)明�,但將會看到���,其它形式可由本領(lǐng)域技術(shù)人員很容易地調(diào)整��。因此�,本發(fā)明的范圍可被看作為只由以下的權(quán)利要求來加以限制��。
權(quán)利要求
1.用于在安全管理模式下處理安全保密事項的方法�����,安全保密事項是運行在包括處理器(14)���、輸入/輸出裝置(4��,6���,8,12)和保安裝置(40)的系統(tǒng)上的應(yīng)用項的一部分����,所述處理方法包括以下步驟當處在正常模式時�,響應(yīng)于來自處理器(14)或輸入/輸出裝置(4�,6,8����,12)的呼叫,分配保安裝置(40)�,把數(shù)據(jù)處理應(yīng)用項的控制和請求的輸入/輸出裝置(4,6����,8,12)的控制從處理器(14)轉(zhuǎn)移到保安裝置(40)�,由此進入安全管理模式,通過用戶介入處理在保安裝置(40)中的安全保密事項����,把結(jié)果轉(zhuǎn)移到處理器(14),輸入/輸出裝置(4���,6���,8,12),或保安裝置(40)內(nèi)����,以及把輸入/輸出裝置(4,6����,8����,12)的控制和數(shù)據(jù)處理的控制從保安裝置(40)轉(zhuǎn)移到處理器(14),由此進入正常模式��。
2.按照權(quán)利要求1的方法�,其特征在于,其中轉(zhuǎn)移請求的輸入/輸出裝置(4�����,6�����,8����,12)的控制的步驟還包括把每個請求的輸入/輸出裝置切換到保護模式的步驟�。
3.按照權(quán)利要求1的方法�����,其特征在于�����,其中通過用戶介入處理安全保密事項的步驟還包括以下步驟檢驗其中用戶尚未介入的時間間隔���,以及用戶在預定的時間極限內(nèi)用戶是否介入�����,暫停保安裝置(40)��,并進入正常模式�����,否則繼續(xù)處理安全保密事項��。
4.按照前面的權(quán)利要求中的任一項的方法�,其特征在于,其中通過用戶介入處理安全保密事項的步驟�����,包括以下步驟讓用戶提交識別符����,以便證明用戶存在,以及如果用戶不存在����,繼續(xù)處理安全保密事項�,否則進入正常模式。
5.按照權(quán)利要求1到3中任一項的方法����,其特征在于,其中通過用戶介入處理安全保密事項的步驟���,包括以下步驟請求安全保密事項用隱蔽的結(jié)果被處理�����,提交請求給輸出裝置上的用戶�,讓用戶通過輸入裝置選擇或接受隱蔽結(jié)果的接收者,進入正常模式��,否則執(zhí)行安全保密事項�����,以及隱蔽執(zhí)行結(jié)果��,以便傳送到所選擇的接收者�����。
6.按照權(quán)利要求1到3中任一項的方法����,其特征在于,其中通過用戶介入處理安全保密事項的步驟���,包括以下步驟證明用戶的存在����,以及如果用戶存在�,把接收的隱蔽數(shù)據(jù)裝載到保安裝置(40),提供識別符和密碼的正確性��,以及如果正確,解密隱蔽的數(shù)據(jù)����,并在適當?shù)妮敵鲅b置上提交接收的數(shù)據(jù)給用戶,否則進入正常模式����。
7.按照權(quán)利要求1到3中任一項的方法,其特征在于�����,其中通過用戶介入處理安全保密事項的步驟���,包括以下步驟請求帶有起源點標記的事項,在適當?shù)妮敵鲅b置上提交請求給用戶����,讓用戶承認請求,以及如果承認����,執(zhí)行該事項,然后起源地標記其所選擇的結(jié)果��,否則進入正常模式。
8.按照權(quán)利要求1到3中任一項的方法���,其特征在于��,其中通過用戶介入處理安全保密事項的步驟��,包括以下步驟讓用戶驗證和鎖定至少一個打算的發(fā)起者�����,提交至少一個打算的發(fā)起者給用戶���,檢驗所接收的簽名的結(jié)果的簽名,以便確認至少一個打算的發(fā)起者���,以及如果確認����,繼續(xù)處理�����,否則�,進入正常模式��。
9.按照權(quán)利要求1到3中任一項的方法�,其特征在于����,其中通過用戶介入處理安全保密事項的步驟,包括以下步驟請求產(chǎn)生不可撤銷的步驟�,提交該請求連同這個步驟的主題,給予用戶任選權(quán)�����,改變主題或進入新的主題����,讓用戶接受或拒絕請求產(chǎn)生,以及如果接受���,繼續(xù)進行包括不可撤銷的步驟的處理,以及如果拒絕���,進入正常模式���。
10.用于處理安全保密事項的保安系統(tǒng)�����,安全保密事項是運行在包括處理器(14)��、輸入/輸出裝置(4����,6�����,8�����,12)和保安裝置(40)的保安系統(tǒng)上的應(yīng)用項的一部分����,所述保安系統(tǒng)包括處理器(14),輸入/輸出裝置(4��,6����,8�,12)���,保安裝置(40)�,用于把數(shù)據(jù)處理應(yīng)用項的控制和請求的輸入/輸出裝置(4�,6,8����,12)的控制從處理器(14)轉(zhuǎn)移到保安裝置(40)的裝置(28,30�����,32��,34)��,用于在保安裝置(40)上處理安全保密事項的裝置(42)���,用于用戶介入的裝置(42�����,44)�,用于把數(shù)據(jù)處理安全保密事項的結(jié)果轉(zhuǎn)移到處理器(14)�����,輸入/輸出裝置(4���,6�,8�,12),或保安裝置40內(nèi)的裝置(42)��,用于把輸入/輸出裝置(4��,6�����,8�����,12)的控制和數(shù)據(jù)處理的控制從保安裝置轉(zhuǎn)移到處理器(14)的裝置(28���,30����,32,34)�。
11.按照權(quán)利要求10的保安系統(tǒng),其特征在于�����,其中用于用戶介入的裝置包括在保安裝置40中提供的處理器(42)和在保安裝置中提供的�、并包括編程的用戶介入步驟的PROM(44)。
12.按照權(quán)利要求10或11的保安系統(tǒng)�����,其特征在于�,其中保安裝置(40)被連接到屏幕裝置控制器(10)。
13.按照權(quán)利要求10到12中任一項的保安系統(tǒng)���,其特征在于�����,包括兩個屏幕裝置控制器(10)��,以及其中處理器(14)和保安裝置(40)���,每個被連接到分開的一個屏幕裝置控制器。
14.按照權(quán)利要求10到13中任一項的的保安系統(tǒng)�,其特征在于,其中用于把輸入/輸出裝置(4���,6��,8���,12)的控制從處理器(14)轉(zhuǎn)移到保安裝置(40)(以及相反地轉(zhuǎn)移)的裝置是切換與密碼裝置(28,30�����,32��,34)�����。
15.保安裝置包括用于用戶介入的裝置(40�����,42)。
16.按照權(quán)利要求15的保安裝置��,其特征在于�,其中用于用戶介入的裝置包括處理器(42)和被配備以編程的用戶介入步驟的PROM(44)。
17.按照權(quán)利要求15或16的保安裝置����,其特征在于,還包括用于產(chǎn)生要被加到切換與密碼裝置(28���,30�����,32����,34)的切換信號的裝置���。
18.按照權(quán)利要求17的保安裝置����,其特征在于,其中用于產(chǎn)生切換信號的裝置包括處理器(42)和被配備以編程的用戶介入步驟的PROM(44)�。
全文摘要
本發(fā)明涉及用于在安全管理模式下處理安全保密事項的方法、保安系統(tǒng)�����、和保安裝置,所述處理方法包括以下步驟:當正常模式時,響應(yīng)于來自處理器(14)或輸入/輸出裝置(4,6,8,12)的呼叫,分配保安裝置(40),把數(shù)據(jù)處理的控制轉(zhuǎn)移到保安裝置(40),由此進入安全管理模式,通過用戶介入,處理在保安裝置(40)中的安全保密事項,把安全保密事項的數(shù)據(jù)處理結(jié)果轉(zhuǎn)移到處理器(14),輸入/輸出裝置(4,6,8,12),或保安裝置(40)內(nèi),以及把輸入/輸出裝置(4,6,8,12)的控制和數(shù)據(jù)處理的控制從保安裝置(40)轉(zhuǎn)移到處理器(14),由此再次進入正常模式���。
文檔編號G06F21/84GK1242847SQ97181149
公開日2000年1月26日 申請日期1997年10月30日 優(yōu)先權(quán)日1996年10月30日
發(fā)明者C·維特格倫 申請人:邁斯貝斯公司