計算機系統中用于安全交易的方法和系統的制作方法

專利名稱：計算機系統中用于安全交易的方法和系統的制作方法
技術領域：
本發明涉及在一個計算機系統中提供安全交易的方法和系統，更精確地講，涉及在進行這些交易的計算機系統中提供一個安全環境的方法和系統。
傳統的計算機網絡，如局域網，廣域網和/或公共網絡即互聯網，把個人計算機和工作站連接到一臺或多臺服務器或彼此互連。此環境允許計算機用戶與服務器交互或相互交互。計算機用戶之間或計算機用戶與服務器之間的交易使用應用程序處理。這些程序執行在傳統的操作系統平臺上，如OS/27,Windons7,Unix7等。這些交易包括高價值的電子商務和其它私人交易，它們使用秘密或敏感的數據如銀行，信貸帳號信息。
然而，計算機黑客能“侵入”駐留在計算機磁盤或存儲器上的數據，也能侵入與實時處理相關的數據。因此通過或存儲在計算機中的任何數據，敏感的或別的都可能被黑客或入侵者通過計算機網絡獲取訪問而被截獲。此外，即使敏感數據被加密，當如計算機系統下載或執行欺騙程序時，其它在計算機中的敏感數據可能會受到攻擊。一個欺騙程序允許黑客偷偷地捕獲計算機用戶名，家庭地址，E-mail地址等而不被注意。然后計算機黑客能使用這些敏感數據假扮計算機用戶從而執行欺詐性的交易。
在此環境中安全交易變得十分困難。因此，傳統計算機系統使用智能卡做安全交易。一個傳統的智能卡帶有相當多的內置功能包括一個8位微控制器，一個只讀存儲器(ROM)，一個電可擦除可編程ROM(EEPROM)，一個隨機存取存儲器(RAM)和其它可選外部設備如加密單元。EEPROM保存智能卡持有人的敏感數據，ROM保存一個交易應用程序代碼，RAM保存臨時變量。在一個或是多路復用器或是其它加密引擎的加密單元中，敏感數據被加密。
智能卡因其含存儲和處理敏感數據的內置功能級別而有不同。敏感數據提供給智能卡而不是計算機磁盤和存儲器，以保護其防止未授權的訪問。因此，智能卡在存儲與處理敏感數據方面能取代計算機。
值得注意的是如果智能卡包含了一個完整的內置功能，它將排除常規計算機系統中的敏感數據的處理。這些智能卡將為電子交易提供足夠的安全環境。然而，內置功能愈多，智能卡就愈貴。除價格外，內置功能的實施受智能卡物理尺寸限制。
典型地，5mm×5mm電路芯片用于實施智能卡的內置功能，因為較大的電路芯片將降低連接到它們的能力。而且內置在智能卡的芯片極易被損壞，因為智能卡通常存放在后口袋內的錢包中。此外，ISO7816標準是用于智能卡的工業標準，它對智能卡上強加了抗彎限制。因為較大芯片不能使智能卡彎曲，它必須小。最后，智能卡的電流量是50～100mA。相比較，帶擴展內置功能的處理器有40倍之大的電流量。因此，在智能卡中含完全內置功能是不行的。
所以，至少一些敏感數據的處理必須在一個非安全方式的常規計算機系統中執行。敏感數據駐留在一個智能卡上直至需要計算機處理。一旦從智能卡中讀出且傳送給計算機處理，敏感數據變成易受非授權訪問。因此，智能卡和常規計算機系統的使用并不能完全解決為處理電子交易提供安全環境的問題。
在常規計算機系統中，當敏感數據由鍵盤輸入給計算機處理時，問題復雜了。例如，個人識別碼(PIN)常用于解鎖個人或受限訪問帳號，一旦它由計算機用戶用鍵盤輸入時可以被盜走。
此外，訪問計算機顯示控制器允許欺騙程序或病毒而產生錯誤或偽造的顯示，它取代或藏匿了資料信息如交易值。結果，欺詐交易未被發現。當顯示安全受到影響時，交易的一方或多方有不一致的錯誤顯示。顯示的不一致會引起意見不一致且交易因此成為非法和無法實施。因此，這樣的交易容易被交易的一方或多方拒絕。
所以，利用智能卡的常規系統無法提供實時安全交易。此外，在此環境中，為了讓它們作為交易方之間的合法協議這個目的，驗證交易十分困難。例如，在決定交易之后，一個人改變了他的主意，他聲明允許黑客在他們的位置上交易違反安全性而拒絕該交易。無法證明拒絕方參與了某些交易中，而其它交易方卻無追索權。
因此，需要一個系統，它提供給電子商務和其他類型的機密交易一個安全的環境。為了允許用智能卡交易，系統同樣需要包含比完全內置功能少的智能卡。系統更需要減少智能卡的成本，接著是整個系統的成本。系統額外需要允許強制的確認和驗證的交易。最后，系統需要很容易用現有技術實現。本發明提供了解決前述問題的方法和系統。
依據本發明的方法和系統的一個優點是防止非授權的交易，此外，可以證明參與以使交易不被拒絕。另一個優點是保持了與智能卡技術的兼容性。還一個優點是因為安全協處理器有相當多的功能，智能卡的內置功能僅需存儲一些敏感數據，包括帳號和私鑰并供給數字簽名以證明參與。此外，智能卡能載有被該方法和系統識別的生物統計學數據，用于更可靠地證明參與和確認卡持有人。智能卡內置功能越少，它就越簡單，便宜。最后，該方法與系統易于用現有技術實現，整個系統的成本減少。
圖2A是常規認證結構圖。
圖2B是用于授權電子交易的常規認證鏈圖。
圖3是用于進行安全電子交易的常規系統框圖。
圖4是依照本發明的包含一個安全協處理器的系統框圖。
圖5所示為依照本發明，在帶安全協處理器的系統中，用于安全電子交易的包含接口通信協議的防火墻。
圖6是依照本發明更詳細的安全協處理器框圖。
圖7是一個數字簽名處理流程圖，它用于在帶安全協處理器的系統中授權的電子交易。
圖8是依據本發明的兩層存儲器系統框圖。
圖9是帶安全協處理器的系統中建立信任憑證高速緩沖存儲器的流程圖。
發明的詳細描述本發明涉及在一個計算機系統中提供安全交易的方法和系統，更精確地講，該方法和系統為這些交易在計算機系統中提供一個安全的環境。下面的描述表示能使本領域的普通熟練人員利用本發明并屬于一項專利申請及其需求范圍。對本領域的熟練人員而言，對較佳實施例的各種變換將顯而易見，且一般性原理可應用于其它實施例中。因此，本發明不打算限制在所示的實施例中，而是屬于與在此描述的原理和特征一致的更廣的范圍中。
計算機用戶相互交互，以通過計算機網絡電子化地處理交易。在計算機網絡上處理的交易通常被看作電子交易。

圖1是用于處理電子交易的常規系統10的框圖。
如圖l所示，系統10包括一臺個人計算機或工作站(計算機)14，它配置了一個磁盤和存儲器(盤)16。計算機14通過網絡12連到其它計算機上(未圖示)。網絡12可以是局域網，連接一個建筑物中的計算機，或一個廣域網，連接分散在不同建筑物中的計算機，或公共網絡，如互聯網等。
用于處理電子交易的多數應用程序(電子交易應用程序)在一個常規操作系統平臺上如OS/2,Windons,Unix等，執行。一般認為，常規操作系統平臺為執行電子交易程序提供了一個非安全的計算環境。在該環境中，與電子交易相關的機密信息(敏感數據)能被輕易獲取。在常規系統中，破壞通信安全和電子交易可包括對含密鑰文件的解碼，解除訪問其它系統的可能。
于是，保護完整性和保護電子交易合法性的需要產生了可選的系統和方法。這些系統和方法提供了一個處理電子交易的更安全的環境。眾所周知，在一個計算機系統中，交易信息可被授權。電子交易應用程序典型地與著名的公鑰加密算法相關。此算法利用公鑰和私鑰對進行驗證。公鑰是在公共域中可獲得數據。私鑰是其所有者個人的敏感數據。私鑰被提供在一些組織，如銀行，信用卡公司，雇主等發行的智能卡上。
數字證書把名字綁定在密鑰對上，從而提供了一個數字識別。數字證書總是驗證公鑰是否屬于使用它的特定個人。圖2A是一個常規證書結構圖。常規證書結構符合如x509.V3標準認證結構。一個常規數字證書50包括用戶名502，證書有效期504，公鑰508。證書由一個相互信任授權“簽名”(即公鑰用戶和他交易伙伴的信任)。相互信任授權，通認為證書授權或發行授權506，通過提供一個簽名510鑒別公鑰用戶身份，驗證該公鑰確實屬于該公鑰用戶。
采用公鑰加密一條加密或不加密的信息能用私鑰“簽名”并傳遞給收信人。然而收信人或其他有公鑰的人能用公鑰解密該消息并知道誰發送了它。數字證書允許通過追蹤消息到他們的源頭而驗證消息。典型地，將一個證書鏈用于此目的。
圖2B是用于驗證電子交易的證書示意圖。證書鏈有一個根認證權威522，允許不同國家和地區的人互相電子化地交易。根認證權威522允許不同國家和地區在它們的國家中的認證權威來發布對個人的數字身份。認證鏈在信任流從每個交易伙伴向上到根認證權威522處建立一個信任關系。例如，也許有一個日本認證權威528，一個法國認證權威526和一個美國認證書權威，分別發行數字身份給日本、法國、美國的居民。在日本，東京地區認證權威538可發行一個數字身份546給J.Yen，在法國，巴黎地區認證權威536可發行一個數字身份544給F.Frank，在美國，也許有一個東部認證權威534，一個中西部認證部權威532和一個西部認證權威530。西部認證權威530可發行一個數字身份給加里福尼亞州認證權威540接著可發行一個數字身份542給A.Doe。
當A.Doe這個加里福尼亞居民要與在日本的J.Yen或/和在法國的F.Frank通過交換信息來處理電子交易時。A.Doe需要確認電子交易是和J.Yen和/或F.Frank進行的，而不是和騙子進行的。通過現有的認證技術，有可能通過向上查遍認證鏈來驗證發送交易信息人的數字身份。在檢查一些人信息中的數字證書時，A.Doe能檢查是否在個人的數字證書中有一個合法的數字身份，即A.Doe能檢查在J.Yen的信息中是否有東京的認證權威538，日本的認證權威528和根認證權威522的有效認證權威的簽名。
公私鑰加密具有非對稱加密特性，如果信息被用戶的公鑰加密后，僅能由用戶的私鑰解密。即在每一邊僅需要一個密鑰，分別用作加密和解密。
相反，對稱鑰加密僅用一個密鑰，雙方都用它來加密、解密信息。一方用此密鑰加密信息，另一方用此密鑰解密。此密鑰必須保密，若一個非授權用戶獲得它，他就能看所有的加密信息。因此密鑰分發利害重大，沒有可自由分發的公鑰，所有密鑰需保密且布置一個高度安全的分發計劃保護系統的安全性。公-私鑰系統允許未謀面的伙伴們秘密地通信。因為公鑰可被廣泛地分發，任何人都可得到他希望與之秘密通信者的密鑰拷貝并在公鑰中加密信息。
圖3是處理安全電子交易的常規系統20的框圖。如圖示，系統包括用智能卡26處理安全交易的計算機24，計算機24一次接收一個智能卡。網絡22和計算機24與圖1中的網絡12和計算機14相似。智能卡26含用于處理和存儲敏感數據包括個人數據和私鑰的內置功能。
有了智能卡26，敏感數據就不會被計算機黑客可訪問了。因此，敏感數據不會遭到黑客攻擊，直至它從智能卡26讀出傳給計算機24，進一步處理并通過網絡22傳給其它計算機。
然而訪問存取在計算機24內部的數據和訪問計算機24實時處理過程中使用的數據，致使含有敏感數據的數據容易受到攻擊。因此，傳給計算機24的敏感數據在不需時應及時刪除。但是，很難保證在非安全操作系統中，數據能從計算機系統中正確地刪除，因為數據也許被臨時存放在計算機系統盤驅動器上的操作系統相關文件中。無論何時，敏感數據駐留在計算機24中，它都易受到如病毒和陷井門(trap-door)的攻擊。病毒和陷井門被下載和執行偷偷捕獲敏感數據的欺騙程序的計算機用戶而不經意地引入計算機24。一旦電子交易程序的安全性受到危害，捕獲的敏感數據可假扮計算機用戶。
用以將安全性危害降至最小的一種機理是完全在智能卡26上處理交易。但是這不是處理復雜電子交易協議的可行方法，因為智能卡26受限于芯片大小與能量的限制。物理限制增加了生產智能卡的成本且限制了它的內置功能。隨內置功能的增加，生產智能卡的成本增加，這使得一些商務模型不能利用此技術的好處。
在此環境下，不能有效地滿足保護電子交易完整性和合法性的需求。因此，本發明就是滿足這種需求的方法和系統。此發明的關鍵特征是在一個安全計算環境下，電子交易程序可以被執行，而使計算機黑客無法觸及而無需把所有功能內置在智能卡中。按照本發明，在有這種結構的系統中，安全計算環境通過防火墻與常規計算環境分離開。因此，系統中的處理分布在安全和常規計算環境之間。電子交易程序中的非安全部分可以繼續工作在常規非安全計算環境中，而該程序中的安全部分在安全計算環境中執行。因此，分布式處理在保護敏感數據中扮演一個重要部分。依照本發明的系統和方法被詳述如下。
圖4是依照本發明含安全協處理器122的系統100的框圖。安全協處理器122含一個與主機114交互的主機接口120。主機與網絡110連接。主機接口120含一個接口134，以下將詳述。
必須清楚安全協處理器122的位置可變化，但不脫離本發明的范疇，它可固定在計算機114或鍵盤118的內部或外部，只要安全計算環境104與常規計算環境102分離。最好，安全協處理器122與主機114內的處理器分離開。
安全協處理器122與一個信任顯示128和信任輸入130交互。安全協處理器122進而包含一個智能卡接口124。安全協處理器122與智能卡126交互，此卡是用于持有敏感數據的便攜安全設備。安全協處理器122較佳地與符合用于智能卡通信的ISO7816標準的智能卡126相兼容。必須清楚，安全協處理器122與的其它類型智能卡126的兼容性是在本發明范疇內的。
依據本發明，帶安全計算環境104的系統100的架構通過接口134與傳統計算機環境102分離開，使電子交易能做成分布式處理。分布式處理的特點在于安全協處理器122負責從智能卡126上取回敏感數據并在本地處理該數據。
在由協處理器122提供的安全計算環境104中，敏感數據被加密和/或打包在加密的簽名信息中。這些加密的敏感數據和/或簽名信息然后傳給常規計算環境102的計算機114來完成電子交易處理。計算機114發送含加密的簽名信息給通過網絡110連接的另一臺計算機。因此，在依據本發明的系統中敏感數據不會由常規計算環境102中的計算機114來處理，且因此不會受到攻擊。
因為錯誤，病毒或欺騙程序有可能反過來影響電子交易程序，本發明以一種信任的輸入和顯示提供額外的安全來解決此問題。最后，除了安全協處理器122，安全計算環境104含信任顯示128和信任輸入設備130，它包含安全模式指示器如液晶顯示132。
信任顯示128是分開的且與計算機114的顯示116不同。信任顯示128是用于顯示代表真實交易信息的數據如交易量之類的專用顯示。例如，信任顯示128可以是小的LCD之類顯示。當安全協處理器122處理交易時，它也可獲得對真實交易值或量的訪問。因此，安全協處理器122能提供真實交易量到信任顯示128，并確保所示的量能正確地表示進展中的電子交易值。
計算機用戶能比較信任顯示128上的交易量與計算機114的顯示器116上所示的交易量。例如，在一個包含貨物交換或貨幣轉帳的電子交易中，5000美元交易在計算機114的顯示器116上可能顯示成500美元的交易。當此沖突發現后，計算機用戶此被警告可能的篡改或攻擊。
此外，當如計算機用戶輸入PIN(個人身份碼)來解鎖計算機用戶帳號時，信任顯示128向計算機用戶提供一個可視的反饋。在常規系統(如圖3系統20中)當在鍵盤上輸入敏感數據時，它由鍵盤傳送給計算機24，從而使之易受攻擊。反之，依本發明的系統100阻止如PIN這樣的敏感數據通過計算機114。
最后，控制鍵盤輸入被安全協處理器122所取代。安全協處理器122確定是否鍵盤輸入提供了敏感數據。如果鍵盤輸入提供的不是敏感數據，數據就傳給常規計算環境中的計算機114處理；如果提供的是敏感數據，敏感數據就被工作于安全計算環境104中的協處理器122所捕獲。在此情形下，LED132由安全協處理器122打開以提供安全模式的計算機用戶的指示。
在一個實施例中，由從鍵盤118移走常規電子設備并在那兒嵌入安全協處理器122和其它兼容元件而把鍵盤118轉換成信任輸入設備130。在那里，由安全協處理器執行的程序之一是一個鍵盤應用程序。在此配置中，所有數據由通過安全協處理器122的鍵盤輸入所提供。協處理器122判斷數據是否上交給計算機114或是否由安全協處理器122本地處理。
在另一實施例中，系統100包括鍵盤118，另外有信任輸入設備130。在此配置中，安全協處理器122不嵌入到鍵盤118中，但附著在信任輸入設備130中，在那里信任輸入設備從屬于安全計算環境104中。
還有一個實施例，安全計算環境104能作為個人自動柜員機(AIM)系統用于通用或商用電子交易，這不需要完全的鍵盤兼容性。ATM含專用信任鍵盤130，它通過RS232接口(未圖示)和信任顯示128連接。
在以上任一實施例中，安全協處理器122和信任輸入設備130共同阻止對提供敏感數據的鍵盤輸入的非授權訪問。這可以阻止未得到他人認可和批準而捕獲PIN號碼解鎖計算機用戶個人銀行、帳單、信貸帳號。
為了提供上述提及的分布式處理，安全協處理器122包括主機接口120，它最好含接口134。
接口134充當安全協處理器122和計算機144間的防火墻。其中，防火墻意味著限制主機訪問數據，允許批準的安全操作在安全協處理器122中處理。因此計算機114不能完全訪問安全計算環境104中的數據。
例如，接口134阻止計算機114命令安全協處理器122來允許計算機114讀取安全協處理器122上的所有存儲器。相反，接口134允許計算機114命令安全協處理器122處理確定的其它交易(不管有多少攻擊軟件出現在計算機114中)。
接口134的功能通常由著名的應用程序接口API實施，API定義了計算機114和安全協處理122如何能相互通信。最好，API直接指向電子交易程序尤其是商務電子交易。然而，應當理解在不脫離本發明范疇和精神的情況下API也可以直接指向其它類電子交易。
以下結合圖4和圖5中，描述接口134的功能。圖5所示的防火墻包括一個接口通信協議用于依照此發明在帶有安全協處理器的系統中的安全電子交易。API利用定義了計算機114和安全協處理器122如何能相互通信的接口通信協議實施接口134功能。
用于安全電子交易的接口通信協議包括如信貸購買，此協議由計算機114通過一個購買開始信息302通知協處理器122，購買操作被請求而初始化。購買開始信息302提示安全協處理器122來激活用于信任購買(購買應用)的電子商務應用程序。安全協處理器122相應地發送給計算機114一個確認304。
下面，計算機114發送一個請求參數信息306。安全協處理器122用包括信用卡品種識別符，交易語言，數字簽名方法如實際的或虛擬的記號和其它相關參數的購買參數308來響應。計算機114發送一個獲得身份請求310提示安全協處理器122接受作為電子交易方的計算機用戶的數字身份。安全協處理器122在回應中發送一個標識的源信息312來確認安全協處理器122分配了用于識別處理的資源。
下面，計算機114常常是以一個數字證書的形式發送電子交易方的數字身份314。安全協處理器122用合法的身份信息316來響應。在處理數字身份數據期間，安全協處理器122存貯先前未處理的數字身份。然后計算機114發一個PIN請求信息318提示計算機用戶輸入PIN來解鎖智能卡126中的敏感數據。安全協處理器122相應地進入安全模式，打開安全模式指示器(LED32)，允許計算機用戶安全地輸入PIN。安全協處理器122通過信息320確認PIN的請求。
來自計算機114的購買請求信息322通過購買程序提示安全協處理器122處理PIN和敏感數據，包括提供敏感數據加密和購買請求授權。然后安全協處理器122提交給計算機114購買響應信息324，該信息含加密數據和授權購買請求信息。此后計算機114可以轉發購買響應信息324通過網絡110到任一個電子交易方。
計算機114收到來自電子交易方的購買授權或拒絕的回應。計算機114提交該信息給安全協處理器112，它驗證使電子交易方合法化的加密簽名。結果證實授權或拒絕的信息328提交給計算機114。最后，購買請求結束信息330被計算機114發送給安全協處理器112，后者用購買終止信息332確認。
以上描述用于實施接口134功能的，由安全計算環境104提供的體現分布式處理好處的接口通信協議。作為示例，計算機114不直接訪問貫穿整個電子交易過程的敏感數據。
安全協處理器122是本發明的另一個重要特征。圖6是本發明的安全協處理器400的詳細框圖。
如圖6所示，安全協處理器400包括處理器410(如一個32位的精簡指令集控制器(RISC))。處理器410與ISO7816智能卡接口414相耦合用于與智能卡436交互，它符合ISO7816標準。處理器410進而和鍵盤/數字鍵盤接口416以及顯示控制器接口418相耦合，用于分別與信任輸入設備438和信任顯示440連接。微處理器支持420與處理器410相耦合，它含組件如中斷控制器和定時器，供給處理器420操作的需求。
處理器410進而與存儲器422和外部存儲器接口426相耦接。存儲器422最好包含只讀存儲器(ROM)444和隨機存取存儲器(RAM)446。在ROM444中駐留一段安全程序代碼，它包括一個或多個電子交易程序。臨時變量，顯示圖片等放在RAM446中。
另外與主機接口412連接的處理器，包含如通用服務總線(USB)接口430，PS/2接口432，和RS-232接口434，用于與計算機442連接。一個或所有接口430,432,434可一次用于與一個或多個計算機442的連接。
作為說明安全協處理器400維持對敏感數據的本地處理。在安全協處理器400中加密控制器單元426處理是本地處理的重要方面。處理器410與加密控制器426耦接用于控制其操作。
當敏感數據在協處理器400本地被捕獲時它將在加密控制器單元426中加密(即加密編碼，這樣當敏感數據提交給計算機442用來通過網絡(未圖示)傳輸時，它是一種加密的形式。接收加密敏感數據的各個電子交易方有一個適用于解密敏感數據的解碼。
依據本發明在帶安全協處理器的系統中，最好用安全的散列簽署信息。與上面提及的公私鑰加密原理相似，安全的散列是一種方法，無沖突加密算法與壓縮算法類似。無沖突意味著對任何單一輸入都有一個唯一相對應的散列輸出。即，若兩段數據除一個比特不同外，其余均相同，但結果共有兩個完全不同的散列輸出。一種方法意味著從散列值中導出任何輸入數據是不可行的方法。安全散列使偽造電子簽名十分困難，因為需要無數輸入嘗試，而僅有一個能產生獨特的散列輸出。
例如，智能卡可存有私鑰和敏感數據如，一個帳號(如帳單)，且數字證書相當于數字身份且公鑰嵌入在內。智能卡所有人知道解鎖帳戶的PIN。
因此在操作中，依據本發明的系統(如上述結合圖4的描述)讀取來自智能卡的帳號，數字證書或在安全協處理器122中的私鑰，然后它提示智能卡所有者通過信任的輸入設備(130)輸入PIN。接口134保護從沒有被首次加密的計算機114取得的敏感數據。因此，所有電子交易應用程序的安全處理然后在一個安全計算環境104中執行，以保護敏感數據的完整性。敏感數據最好用一個對稱或非對稱加密算法加密，然后它結合信息的其它部分如交易量。然后，信息被電子簽名。
圖7是在帶安全協處理器的系統中用于授權電子交易的數字簽名過程流程圖。首先，安全的散列敏感數據通過步驟550處理。出于源自公共安全行業實踐的緣由，私鑰從未成為(come off)智能卡。這就是為什么通過步驟552將散列輸出上交給智能卡，通過步驟554，在智能卡中用私鑰加密的原因。
私鑰是一個長比特串(常是1024位)，常常在發行者的信任安全環境中嵌入在智能卡中(如美國快遞)。因此，如果發行者提供帶這樣一個私鑰的智能卡且用PIN解鎖私鑰，那么不可能有人模仿智能卡持有者。因此，智能卡持有者處理電子交易將可得到驗證，且智能卡持有人不能拒絕它們(即，在電子交易中，智能卡持有者的參與是可驗證的，且智能卡持有者不能拒絕在電子交易完成后履行交易)。
用私鑰簽署的信息而后提交給計算機114(圖4)用于通過網絡110傳輸。另一方面，銀行或其它交易方有它們自己的加密機制用來解密信息。
在本發明的一個實施例中，生物統計學數據如視網膜掃描，指紋等嵌入在智能卡中。智能卡持有人提供生物統計學數據樣本和鍵入PIN。生物統計學數據和PIN的結合排除了電子交易的拒絕支付，因為實際上它證明授權的智能卡持有人確實執行了電子交易且準確地作了交易。于是，在此架構中，生物統計學數據從未駐留在非安全計算環境中。
特別是在高容量、高頻率電子交易環境中，交易方的數字證書預驗證保證了驗證處理時間。交易方的預驗證數字證書可存貯來為將來加速驗證使用(不用再重復驗證過程)。代替常規系統中的證書緩存，此系統可以由添加偽證書而遭損害，依照本發明的系統提供了信任證書緩存。
信任證書緩存常駐留在RAM中。在安全計算環境中，信任證書緩存存有預驗證數字證書，此證書因接口原因，不能被損害。一旦數字證書被驗證，在信任證書緩存中，一個API命令可用來存貯證書。
驗證證書緩存加速了證書鏈的合法性。為驗證在證書上發行者的簽名，需要一個計算機化的很昂貴的加密簽名驗證。證書緩存意味著昂貴的簽名驗證僅需發生一次，同時，證書在被接受進入緩存前被驗證。一旦接受，證書可被使用而勿需每次檢查發行者簽名。
本發明的一個實施例包括一個兩層的存儲器，它給安全協處理器提供了極大的處理容量。圖8是依照本發明的兩層存儲器系統框圖。安全協處理器400(如圖6中)包含內置的RAM446。在安全計算環境中，安全協處理器400也通過外置RAM接口426與外置RAM602相連。計算機610訪問內置RAM446和外置RAM602被主機接口412中的接口616所阻擋。內置RAM446(一個1024位存儲器)嵌入在安全協處理器400芯片中。敏感數據保存在內置RAM446中。外置RAM602是安全協處理器400外部的高容量必需設備(一個128K比特存儲器)。加密敏感數據，數字證書和臨時變量存在外部RAM602中。它將用一個昂貴的邏輯分析器($50,000)捕捉進出RAM602的數據。因此，數據不易被捕獲，仍可防范來自軟件的攻擊。
當內置RAM446暫時填滿時，安全協處理器能處理隱密分頁，這意味著敏感數據能被加密且暫時放置在外部RAM602中或主機RAM612或系統磁盤614中。外部RAM602也能用于信任證書緩存604來保持預批準數字證書。為進一步討論此特征，現在一起參考圖8和9。
數字證書在合法期間有一個有效周期。某些證書也有額外的有效期限限制使用證書的相應私鑰在一個即將結束的周期進行簽名，由此證書能用來驗證這樣一件事，其私鑰甚至在不能用于執行簽名后仍能簽署。這些限制添加在證書延伸部分。
圖9是在安全協處理器中建立信任證書緩存604的流程圖。通過步驟700，建立信任證書緩存由等待一個新的數字證書開始。重復處理每個新證書。一旦通過步驟702收到一個新證書(若需要則解碼)，通過步驟704，其加密散列或其它唯一數據將與已經駐留在緩存中的證書比較。如果新證書已存在于緩存中，它的有效期和可選的限制延伸通過步驟712驗證。通過步驟714如果證書仍然合法，那么它通過步驟718被證書緩存接收。另一種情況，如果在步驟712中證書合法性檢查通過步驟714驗證無效，新證書將被步驟716拒絕。
另外，如果新證書由步驟704確定已不出現在緩存中，那么通過步驟706檢查緩存是否存在證書簽名發行者證書。如果發行者的證書不出現在緩存中，那么通過步驟716而拒絕證書。
如果通過步驟706證書發行者出現在緩存中，那么在步驟708中檢查證書上發行者的簽名。如果通過步驟710，簽名無效，通過步驟716拒絕證書。
如果由步驟710證明發行者證書無效，那么由步驟714檢查證書的有效性和可選延伸。如果由步驟714證實證書仍舊無效，那么它將由步驟718收入證書緩存。另一種情況，若在步驟712中證書有效性不能合法地由步驟714檢查通過，新證書由步驟716拒絕。因此逐漸建成緩存604極大地節省了花在數字認證驗證上的處理時間。
最后，依照本發明帶有安全協處理器的系統供給便宜的智能卡使用。依本發明用于此系統的智能卡與用于常規系統上的傳統智能卡相比，僅需較少的內置功能，因為多數內置功能已包含在安全協處理器中。一個安全協處理器與一批帶減少的內置功能的智能卡的成本低于帶擴展內置功能的相同數量的智能卡的總成本。因此依據本發明的系統可在一個比常規系統成本低得多的情況下實施。成本的降低在大銀行，信用卡組織和合作用戶的大容量電子交易環境意義是巨大的。
以上揭示了一個用于安全加密和授權交易的系統和方法。盡管本發明依照所示的實施例描述，但本領域的普通技術人員將容易看出，實施例可以變化，那些變化均屬于本發明的范疇。
權利要求書按照條約第19條的修改1．一種在主機中用于安全交易的系統，包括一個安全協處理器，安全協處理器與主機連接的接口，其中，安全交易處理在安全協處理器本地執行，并且非安全交易處理在主機系統中執行。
2．如權利要求1所述的系統，其特征在于，所述接口包括一個接口通信協議，此協議用于約束主機訪問通過安全協處理器的數據，這些數據含敏感數據。
3．如權利要求2所述的系統，其特征在于，所述敏感數據包含個人數據和個人身份數據。
4．如權利要求3所述的系統，其特征在于，所述接口通信協議實施于一個應用編程接口中。
5．如權利要求2所述的系統，其特征在于，所述系統還包括連到安全協處理器提供信任輸入的裝置。
6．如權利要求5所述的系統，其特征在于，所述信任輸入裝置包含鍵和數字鍵盤。
7．如權利要求6所述的系統，其特征在于，所述信任輸入裝置包含一個安全模式指示器用來表示安全模式，該指示器響應來自主機的請求用于包含個人身份數據的敏感數據的鍵盤輸入。
8．如權利要求7所述的系統，其特征在于，所述安全模式指示器包含一個液晶顯示器。
9．如權利要求5所述的系統，其特征在于，所述系統還包含一個與安全協處理器相連的智能卡接口，智能卡接口與智能卡連接，該智能卡包含個人數據和私鑰。
10．如權利要求9所述的系統，其特征在于，所述系統還包含一個與安全協處理器相連的信任顯示器，用于提供可視的反饋和真實交易信息。
11．如權利要求10所述的系統，其特征在于，所述安全協處理器包括一個微處理器；與微處理器相連的微處理器支座；一個與微處理器相連的顯示器接口，該顯示接口用于提供可視的反饋和真實交易信息到信任顯示；
連接在微處理器和信任輸入裝置之間的第一裝置；連接在微處理器和智能卡接口之間的第二裝置；與微處理器相連的存儲器；與微處理器相連的外部存儲器接口，外部存儲器接口用以與外部存儲器連接；與微處理器相連的加密控制器單元，加密控制器單元用于以加密形式提供數據；連接在微處理器和多個計算機系統之間的第三裝置。
12．如權利要求11所述的系統，其特征在于，有一個雙層存儲器含存儲器和外部存儲器，存儲器用于存貯一個交易應用程序和包含敏感數據的數據，而外部存儲器用于存貯臨時變量和證書緩存。
13．如權利要求11所述的系統，其特征在于，所述加密單元執行敏感數據的非對稱或對稱加密，以加密形式提供敏感數據。
14．如權利要求13所述的系統，其特征在于，所述加密形式的敏感數據被包上非加密非敏感數據中以形成一個消息，在這里消息用私鑰簽署在智能卡中，然后提交給多個計算機系統之一，用于進一步傳送給一個交易方。
15．一種在主機中用于安全交易的系統，包含一個安全協處理器；用于將安全協處理器與主機連接的接口，與安全協處理器相連用于提供信任輸入的裝置，其中安全交易處理在安全協處理器本地執行，且非安全交易處理在主機系統中執行。
16．如權利要求15所述的系統，其特征在于，所述接口包含用于約束主機訪問通過安全協處理器的數據的接口通信協議。
17．如權利要求16所述的系統，其特征在于，所述系統還包含一個和安全協處理器相連用于與智能卡連接的智能卡接口。
18．如權利要求17所述的系統，其特征在于，所述系統還包括一個和用于提供可視反饋和真實交易信息的安全協處理器相連的信任顯示器。
19．一種在主機中用于安全交易的系統，包括一個安全協處理器，安全協處理器含處理器，與處理器相連的處理器支座；與處理器相連的顯示器接口；用于接收信任輸入的第一接口裝置，第一接口裝置連到處理器上，連到處理器上的智能卡接口裝置，連到處理器上的存儲器，連到處理器上的外部存儲器接口，連到微處理器的加密單元，和連到處理器上的第二接口裝置，與多個計算機系統連接的第二接口裝置；連接在安全協處理器和主機之間的接口，接口與第二接口裝置相連；通過第一接口裝置與安全協處理器相連的提供信任輸入的裝置；連到安全協處理器的智能卡接口裝置上的智能卡接口，該智能卡接口用于安全協處理器和智能卡之間的連接；以及連到安全協處理器的顯示器接口上的信任顯示器，提供可視反饋和真實交易信息，其中，安全交易處理在安全協處理器本地執行非安全交易處理在主機系統中進行。
20．一種在主機進行安全交易的方法，該方法包括以下步驟a)提供一個安全協處理器，和b)提供一個接口，用于將安全協處理器連到主機，其中，安全交易處理在安全協處理器本地執行，非安全交易處理在主機系統內執行。
21．如權利要求20所述的方法，其特征在于，所述接口包括一個接口通信協議，用于約束主機訪問通過安全協處理器的數據。
22．如權利要求21所述的方法，其特征在于，所述接口通信協議在一個應用編程接口上實施。
23．如權利要求21所述的方法，其特征在于，所述方法進一步包括以下步驟c)提供耦合到安全協處理器用以提供信任輸入的裝置。
24．如權利要求23所述的方法，其特征在于，所述方法進一步包括以下步驟d)提供一個和安全協處理器相連的第二接口，用于從智能卡接收敏感數據。
25．如權利要求24所述的方法，其特征在于，所述方法進一步包括以下步驟e)提供一種和安全協處理器相連的信任顯示器，用于提供可視反饋和真實交易信息。
26．如權利要求25所述的方法，其特征在于，安全協處理器包括一個處理器；一個連到處理器的處理器支座；
一個連到處理器的顯示器接口；用于和鍵盤和數字鍵盤之一連接的第一接口裝置，第一接口裝置被連到處理器；連到處理器的智能卡接口；連到處理器的存儲器；連到處理器的外部存儲器接口；連到微處理器的加密單元；和與多個計算機系統連接的第二接口裝置，第二接口裝置連到處理器上。
27．如權利要求26所述的方法，其特征在于，所述方法進一步包括以下步驟(f)通過處理器執行交易應用程序，這里，交易程序響應于通過防火墻傳播來自主機的通信，交易應用程序則在本地執行安全交易處理。
28．如權利要求27所述的方法，其特征在于，所述執行步驟f)進一步包括步驟f1)響應來自主機的通信指示一個安全模式，其中，請求敏感數據的鍵盤輸入。
29．如權利要求28所述的方法，其特征在于，所述處理器打開液晶顯示屏指示一個安全模式。
30．如權利要求28所述的方法，其特征在于，所述執行步驟f)進一步包括步驟f2提供數據至信任顯示器，以在敏感數據鍵盤輸入期間提供可視反饋并顯示真實交易信息。
31．如權利要求30所述的方法，其特征在于，所述執行步驟f)進一步包括步驟f3)在加密單元中執行敏感數據的加密，以加密形式提供敏感數據。
32．如權利要求31所述的方法，其特征在于，所述加密是對敏感數據的對稱或非對稱加密操作。
33．如權利要求31所述的系統，其特征在于，所述執行步驟f)進一步包括步驟f4)通過智能卡接口傳送信息到智能卡用于簽名；f5)在帶私鑰的智能卡中簽署消息；f6)提交消息到多個計算機系統之一，用于進一步傳送到一個交易方。
34．如權利要求33所述的方法，其特征在于，所述執行步驟f)進一步包括步驟f7)創建一個帶預驗證的證書緩存和指示屬于消息源的身份的合法證書，這里，證書緩存包含在存儲器或外部存儲器中，外部存儲器通過外部存儲器接口連到處理器。
35．如權利要求34所述的方法，其特征在于，所述證書緩存創建步驟f7)進一步包括步驟f7a)確定證書是否作為一個預驗證的證書存在于證書緩存之中；f7b)如果證書不存在于證書緩存中，確定證書中的發行者證書是否存在于證書緩存中。
f7c)如果發行者證書存在于證書緩存中且證書不存在于證書緩存中，驗證發行者證書的合法性。
f7d)如果發行者證書非法則拒絕此消息；f7e)等待一個新的證書。
36．如權利要求34所述的方法，其特征在于，所述證書緩存創建步驟f7)進一步包括步驟f7a)決定證書是否作為一個預驗證的證書存在于證書緩存之中；f7b)如果證書不存在于證書緩存中，確定證書中的發行者證書是否存在于證書緩存中。
f7c)如果發行者證書存在于證書緩存中且證書不存在于證書緩存中，驗證證書發行者的合法性。
7fd)如果證書不存在于證書緩存中且發行者證書合法，驗證證書延伸的合法性。
f7e)如果證書延伸合法，發行者證書合法，且證書不存在于證書緩存中，在證書緩存中存貯證書；f7f)等待一個新的證書。
37．如權利要求34所述的方法，其特征在于，證書緩存創存步驟f7)進一步包括步驟f7a)確定證書是否作為一個預驗證證書存在于證書緩存之中；f7d)如果證書存在于證書緩存中，驗證證書延伸的合法性；f7e)如果證書延遲合法且證書存在于證書緩存中，存貯證書在證書緩存中；f7f)等待一個新的證書。
38．如權利要求34所述的方法，其特征在于，所述執行步驟f)進一步包括步驟f8)處理供給安全協處理器的第一生物統計學數據和駐留在智能卡上的第二生物統計學數據，其中，第一生物統計學數據可與第二生物統計學數據對比來驗證。
39．一種計算機可讀媒體，包括用于安全加密和授權交易的程序指令，程序指令通過安全協處理器執行，安全協處理器通過一個含防火墻的主機接口與主機通信，防火墻有由接口通信協議實施的功能，用于約束主機訪問通過安全協處理器的數據，程序指令用于a)指示一個安全模式響應來自主機的通信，其中，請求敏感數據的鍵盤輸入；b)提供數據到信任顯示器，以在敏感數據的鍵盤輸入期間提供一個可視反饋和用來顯示真實交易信息；c)在安全協處理器的加密單元中執行對敏感數據的加密以加密形式提供敏感數據。
d)計算一個消息的散列，以形成用于簽名的機制；e)傳送散列到用于簽名的智能卡；f)簽署消息在帶私鑰智能卡中；g)提交消息到主機，用于進一步傳送給交易方；以及h)創建一個帶預驗證的證書緩存和指示屬于消息源的身份的合法證書，此消息由安全協處理器接收，其中，安全交易處理在安全協處理器本地執行，非安全交易處理在主機內執行。
權利要求
1．一種在主機中用于安全交易的系統，包括一個安全協處理器，安全協處理器與主機連接的接口，其中，安全交易處理在安全協處理器本地執行，并且非安全交易處理在主機系統中執行。
2．如權利要求1所述的系統，其特征在于，所述接口包括一個接口通信協議，此協議用于約束主機訪問通過安全協處理器的數據，這些數據含敏感數據。
3．如權利要求2所述的系統，其特征在于，所述敏感數據包含個人數據和個人身份數據。
4．如權利要求3所述的系統，其特征在于，所述接口通信協議實施于一個應用編程接口中。
5．如權利要求2所述的系統，其特征在于，所述系統還包括連到安全協處理器提供信任輸入的裝置。
6．如權利要求5所述的系統，其特征在于，所述信任輸入裝置包含鍵和數字鍵盤。
7．如權利要求6所述的系統，其特征在于，所述信任輸入裝置包含一個安全模式指示器用來表示安全模式，該指示器響應來自主機的請求用于包含個人身份數據的敏感數據的鍵盤輸入。
8．如權利要求7所述的系統，其特征在于，所述安全模式指示器包含一個液晶顯示器。
9．如權利要求5所述的系統，其特征在于，所述系統還包含一個與安全協處理器相連的智能卡接口，智能卡接口與智能卡連接，該智能卡包含個人數據和私鑰。
10．如權利要求9所述的系統，其特征在于，所述系統還包含一個與安全協處理器相連的信任顯示器，用于提供可視的反饋和真實交易信息。
11．如權利要求10所述的系統，其特征在于，所述安全協處理器包括一個微處理器；與微處理器相連的微處理器支座；一個與微處理器相連的顯示器接口，該顯示接口用于提供可視的反饋和真實交易信息到信任顯示；連接在微處理器和信任輸入裝置之間的第一裝置；連接在微處理器和智能卡接口之間的第二裝置；與微處理器相連的存儲器；與微處理器相連的外部存儲器接口，外部存儲器接口用以與外部存儲器連接；與微處理器相連的加密控制器單元，加密控制器單元用于以加密形式提供數據；連接在微處理器和多個計算機系統之間的第三裝置。
12．如權利要求11所述的系統，其特征在于，有一個雙層存儲器含存儲器和外部存儲器，存儲器用于存貯一個交易應用程序和包含敏感數據的數據，而外部存儲器用于存貯臨時變量和證書緩存。
13．如權利要求11所述的系統，其特征在于，所述加密單元執行敏感數據的非對稱或對稱加密，以加密形式提供敏感數據。
14．如權利要求13所述的系統，其特征在于，所述加密形式的敏感數據被包上非加密非敏感數據中以形成一個消息，在這里消息用私鑰簽署在智能卡中，然后提交給多個計算機系統之一，用于進一步傳送給一個交易方。
15．一種在主機中用于安全交易的系統，包含一個安全協處理器；用于將安全協處理器與主機連接的接口，與安全協處理器相連用于提供信任輸入的裝置，其中安全交易處理在安全協處理器本地執行，且非安全交易處理在主機系統中執行。
16．如權利要求15所述的系統，其特征在于，所述接口包含用于約束主機訪問通過安全協處理器的數據的接口通信協議。
17．如權利要求16所述的系統，其特征在于，所述系統還包含一個和安全協處理器相連用于與智能卡連接的智能卡接口。
18．如權利要求17所述的系統，其特征在于，所述系統還包括一個和用于提供可視反饋和真實交易信息的安全協處理器相連的信任顯示器。
19．一種在主機中用于安全交易的系統，包括一個安全協處理器，安全協處理器含處理器，與處理器相連的處理器支座；與處理器相連的顯示器接口；用于接收信任輸入的第一接口裝置，第一接口裝置連到處理器上，連到處理器上的智能卡接口裝置，連到處理器上的存儲器，連到處理器上的外部存儲器接口，連到微處理器的加密單元，和連到處理器上的第二接口裝置，與多個計算機系統連接的第二接口裝置；連接在安全協處理器和主機之間的接口，接口與第二接口裝置相連；通過第一接口裝置與安全協處理器相連的提供信任輸入的裝置；連到安全協處理器的智能卡接口裝置上的智能卡接口，該智能卡接口用于安全協處理器和智能卡之間的連接；以及連到安全協處理器的顯示器接口上的信任顯示器，提供可視反饋和真實交易信息，其中，安全交易處理在安全協處理器本地執行非安全交易處理在主機系統中進行。
20．一種在主機進行安全交易的方法，該方法包括以下步驟a)提供一個安全協處理器，和b)提供一個接口，用于將安全協處理器連到主機，其中，安全交易處理在安全協處理器本地執行，非安全交易處理在主機系統內執行。
21．如權利要求20所述的方法，其特征在于，所述接口包括一個接口通信協議，用于約束主機訪問通過安全協處理器的數據。
22．如權利要求21所述的方法，其特征在于，所述接口通信協議在一個應用編程接口上實施。
23．如權利要求21所述的方法，其特征在于，所述方法進一步包括以下步驟d)提供一個和安全協處理器相連的第二接口，用于從智能卡接收敏感數據。
25．如權利要求24所述的方法，其特征在于，所述方法進一步包括以下步驟e)提供一種和安全協處理器相連的信任顯示器，用于提供可視反饋和真實交易信息。
26．如權利要求25所述的方法，其特征在于，安全協處理器包括一個處理器；一個連到處理器的處理器支座；一個連到處理器的顯示器接口；用于和鍵盤和數字鍵盤之一連接的第一接口裝置，第一接口裝置被連到處理器；連到處理器的智能卡接口；連到處理器的存儲器；連到處理器的外部存儲器接口；連到微處理器的加密單元；和與多個計算機系統連接的第二接口裝置，第二接口裝置連到處理器上。
27．如權利要求26所述的方法，其特征在于，所述方法進一步包括以下步驟(f)通過處理器執行交易應用程序，這里，交易程序響應于通過防火墻傳播來自主機的通信，交易應用程序則在本地執行安全交易處理。
28．如權利要求27所述的方法，其特征在于，所述執行步驟f)進一步包括步驟f1)響應來自主機的通信指示一個安全模式，其中，請求敏感數據的鍵盤輸入。
29．如權利要求28所述的方法，其特征在于，所述處理器打開液晶顯示屏指示一個安全模式。
30．如權利要求28所述的方法，其特征在于，所述執行步驟f)進一步包括步驟f2提供數據至信任顯示器，以在敏感數據鍵盤輸入期間提供可視反饋并顯示真實交易信息。
31．如權利要求30所述的方法，其特征在于，所述執行步驟f)進一步包括步驟f3)在加密單元中執行敏感數據的加密，以加密形式提供敏感數據。
32．如權利要求31所述的方法，其特征在于，所述加密是對敏感數據的對稱或非對稱加密操作。
33．如權利要求31所述的系統，其特征在于，所述執行步驟f)進一步包括步驟f4)通過智能卡接口傳送信息到智能卡用于簽名；f5)在帶私鑰的智能卡中簽署消息；f6)提交消息到多個計算機系統之一，用于進一步傳送到一個交易方。
34．如權利要求33所述的方法，其特征在于，所述執行步驟f)進一步包括步驟f7)創建一個帶預驗證的證書緩存和指示屬于消息源的身份的合法證書，這里，證書緩存包含在存儲器或外部存儲器中，外部存儲器通過外部存儲器接口連到處理器。
35．如權利要求34所述的方法，其特征在于，所述證書緩存創建步驟f7)進一步包括步驟f7a)確定證書是否作為一個預驗證的證書存在于證書緩存之中；f7b)如果證書不存在于證書緩存中，確定證書中的發行者證書是否存在于證書緩存中。f7c)如果發行者證書存在于證書緩存中且證書不存在于證書緩存中，驗證發行者證書的合法性。f7d)如果發行者證書非法則拒絕此消息；f7e)等待一個新的證書。
36．如權利要求34所述的方法，其特征在于，所述證書緩存創建步驟f7)進一步包括步驟f7a)決定證書是否作為一個預驗證的證書存在于證書緩存之中；f7b)如果證書不存在于證書緩存中，確定證書中的發行者證書是否存在于證書緩存中。f7c)如果發行者證書存在于證書緩存中且證書不存在于證書緩存中，驗證證書發行者的合法性。7fd)如果證書不存在于證書緩存中且發行者證書合法，驗證證書延伸的合法性。f7e)如果證書延伸合法，發行者證書合法，且證書不存在于證書緩存中，在證書緩存中存貯證書；f7f)等待一個新的證書。
37．如權利要求34所述的方法，其特征在于，證書緩存創存步驟f7)進一步包括步驟f7a)確定證書是否作為一個預驗證證書存在于證書緩存之中；f7d)如果證書存在于證書緩存中，驗證證書延伸的合法性；f7e)如果證書延遲合法且證書存在于證書緩存中，存貯證書在證書緩存中；f7f)等待一個新的證書。
38．如權利要求34所述的方法，其特征在于，所述執行步驟f)進一步包括步驟f8)處理供給安全協處理器的第一生物統計學數據和駐留在智能卡上的第二生物統計學數據，其中，第一生物統計學數據可與第二生物統計學數據對比來驗證。
39．一種計算機可讀媒體，包括用于安全加密和授權交易的程序指令，程序指令通過安全協處理器執行，安全協處理器通過一個含防火墻的主機接口與主機通信，防火墻有由接口通信協議實施的功能，用于約束主機訪問通過安全協處理器的數據，程序指令用于a)指示一個安全模式響應來自主機的通信，其中，請求敏感數據的鍵盤輸入；b)提供數據到信任顯示器，以在敏感數據的鍵盤輸入期間提供一個可視反饋和用來顯示真實交易信息；c)在安全協處理器的加密單元中執行對敏感數據的加密以加密形式提供敏感數據。d)計算一個消息的散列，以形成用于簽名的機制；e)傳送散列到用于簽名的智能卡；f)簽署消息在帶私鑰智能卡中；g)提交消息到主機，用于進一步傳送給交易方；以及h)創建一個帶預驗證的證書緩存和指示屬于消息源的身份的合法證書，此消息由安全協處理器接收，其中，安全交易處理在安全協處理器本地執行，非安全交易處理在主機內執行。
全文摘要
一個系統,其中,安全的交易過程在它的安全協處理器(122)本地處理,非安全交易過程在主機系統(114)上處理。系統進一步包括連到安全協處理器(122)提供信任輸入(130)的裝置。此外,系統還包括與安全協處理器(122)相連用于從智能卡(126)上接收敏感數據的第二個接口(124)和與安全協處理器(122)相連用于提供真實交易信息的信任顯示器(128)。優點包括:保護交易避免非授權的入侵;不能拒絕參與的交易;保持與智能卡技術的兼容性;由于協處理器有相當多的功能,智能卡成本與復雜性將降低,智能卡從而僅需要有存儲敏感數據的內置功能,它包含提供數字簽名證實參與的帳號和私鑰。智能卡也可攜帶生物統計學數據。
文檔編號G06Q20/00GK1302406SQ99806523
公開日2001年7月4日 申請日期1999年5月13日 優先權日1998年5月22日
發明者L·S·韋伊, G·P·瓦爾德, R·A·韋斯, E·A·默里 申請人:波系統股份有限公司