用於釋放對計算機系統或程序的訪問的方法
2023-06-19 02:33:21
專利名稱:用於釋放對計算機系統或程序的訪問的方法
技術領域:
本發明涉及一種用於釋放對計算機系統或程序的訪問的方法。本發明還涉及一種用於釋放對計算機系統或程序的訪問的可攜式數據載體。
背景技術:
為使用戶可以訪問計算機或程序,有一系列不同的公知過程和輔助手段。在很多沒有很高安全要求的情況下,在正確地輸入用戶標識和口令之後就釋放訪問。但例如當同一用戶擁有可以訪問多個計算機系統或程序的訪問授權時就出現了困難。此時用戶須知道多個用戶標識和相關的口令。
取代手動輸入口令用戶還可以利用可攜式安全數據載體來進行認證。但其前提是,在這裡所使用的終端設備上安裝了能夠訪問可攜式安全數據載體的合適的軟體。這樣,當用戶對計算機系統或程序的訪問是藉助第三方的終端設備建立的時,安裝這樣的軟體尤其成問題。這種情況例如可以在外勤工作人員對客戶進行訪問時想訪問自己公司的伺服器時發生。在這樣的情況下通常排除對常規安全數據載體的使用,因為在大多數情況下在客戶的終端設備上沒有安裝使用安全數據載體所需的軟體。為解決此問題已公知有一種裝置,其根據按鈕的按壓而在顯示器上顯示出數字。然後外勤工作人員讀取該數字,並藉助客戶的終端設備例如作為一次性口令而登記到被保護的網際網路頁面。由此該外勤工作人員可以通過客戶的終端設備在一定的時間內訪問自己公司的伺服器。但該過程的缺點是,必須每次向終端設備敲入一次性口令。此外的缺點是,任何擁有能產生口令的設備的人都可以建立對該系統的訪問。因此該設備的損失是非常關鍵的。
發明內容
本發明要解決的技術問題是,可以通過一終端設備以安全和對用戶友好的方式釋放對計算機系統或程序的訪問,而不必在該終端設備上安裝專門為該目的設置的軟體。
本發明的技術問題通過具有權利要求1的特徵的方法來解決。
在按照本發明的為用戶通過終端設備釋放對計算機系統或程序的訪問而無需在該終端設備上安裝專門為此目的而設的軟體的方法中,在用戶的可攜式數據載體和終端設備之間建立數據連接。由該可攜式數據載體對用戶進行認證。在成功進行認證後,由該可攜式數據載體建立用於釋放對計算機系統或程序的訪問的訪問代碼,並通過該數據連接進行傳輸。
本發明的優點在於,通過採用可攜式數據載體可以非常友好的方式釋放訪問。在此進行的用戶認證可以保證高的安全標準。尤其具有優點的是,採用可攜式數據載體無需在終端設備上安裝特殊的軟體。由此可以藉助不允許用戶在其上安裝軟體的第三方的終端設備為用戶釋放訪問。
尤其可以通過終端設備的USB接口建立數據連接。由于越來越多的終端設備提供USB接口,因此按照本發明的方法可以普遍使用。此外的優點在於,可攜式數據載體的運行電壓可以通過USB接口提供,因此可攜式數據載體不需要自身的電壓源。
可以基於用戶輸入的個人秘密信息來進行認證。其優點在於,可以簡單的方式實現並且無需預留高的計算能力。同樣還可以基於生物方法、尤其是對用戶的指紋進行檢驗的方法來進行認證。由此可以保證非常高的安全標準。
在本發明方法的一種變形中,由可攜式數據載體產生訪問代碼。為了使潛在的入侵困難,可以在產生訪問代碼時考慮一個由計算機系統提供的隨機數。由此,每次都採用一個不同的訪問代碼,從而使得對於訪問代碼的偵察不會為入侵者提供任何有用的信息。在本發明方法的另一種變形中,在可攜式數據載體中存儲至少一個防止未授權訪問的訪問代碼。由此消除了產生訪問代碼的計算開銷。
可以在可攜式數據載體的存儲器的公開區域內提供通過數據連接傳輸的訪問代碼。由此可以通過應用終端設備的命令來通過數據連接傳輸訪問代碼。在本發明方法的一種擴展中,可攜式數據載體對終端設備的輸入裝置進行模擬。由此可由可攜式數據載體將訪問代碼作為被模擬的輸入裝置的輸入通過數據連接傳輸。其優點在於,對於訪問代碼的傳輸不需要手動輸入命令。在本發明方法的所有變形中,例如都可將訪問代碼傳輸到網際網路網頁上。
在本發明方法的一種優選實施方式中,在可攜式數據載體的存儲器中存儲用於建立到計算機系統的連接的軟體。由此可實現與使用的終端設備的最大程度的不相關性。為使從外部對可攜式數據載體的存儲器的訪問儘可能簡單地實現,可以將可攜式數據載體的存儲器作為驅動器來運行。
按照本發明的為用戶通過終端設備釋放對計算機系統或程序的訪問而無需在該終端設備上安裝專門為此目的而設的軟體的可攜式數據載體,具有用於提供用於釋放對計算機系統或程序的訪問的訪問代碼的安全晶片。按照本發明的可攜式數據載體的特點在於,設置了用於建立與終端設備的數據連接的裝置,並且利用安全晶片對用戶進行認證。
按照本發明的可攜式數據載體尤其這樣構成,其可以連接在終端設備的USB接口上。在一種擴展中,可攜式數據載體具有USB集線器,通過該USB集線器將與終端設備的數據連接在該可攜式數據載體內分離為多個分離的信號路徑。由此可以從可攜式數據載體一側向終端設備報告多個USB設備,如輸入裝置和替換的數據載體。此外,按照本發明的可攜式數據載體還可以具有構成為快閃記憶體EEPROM的存儲器。這樣的存儲器可以很小的開銷從可攜式數據載體的外部讀取。在一種優選實施方式中,按照本發明的可攜式數據載體具有用於採集生物數據的傳感器、尤其是指紋傳感器。
以下藉助所示實施例對本發明進行描述。圖中示出圖1示意性示出按照本發明構成的可攜式數據載體的實施例的體系結構,該可攜式數據載體連接在個人計算機上用以釋放對計算機系統或程序的訪問;圖2示出按照本發明的藉助可攜式數據載體釋放訪問的實施例;以及圖3示意性示出按照本發明的可攜式數據載體的另一實施例的體系結構。
具體實施例方式
圖1示意性示出按照本發明構成的可攜式數據載體1的實施例的體系結構,該可攜式數據載體1連接在個人計算機2上用以釋放對計算機系統或程序的訪問。可攜式數據載體1優選構成為也稱為憑證(Token)並優選插入個人計算機2的接頭中的小型設備。可攜式數據載體1具有與非易失性存儲器4、指紋傳感器5和安全晶片6連接的集成電路3。在外部集成電路3與個人計算機2的USB接口7連接。在此USB表示通用串行總線的縮寫。個人計算機2以未詳細示出的方式與例如網際網路的網絡連接。作為集成電路3優選採用簡稱為ASIC的特定用途集成電路,其功能方式按照可攜式數據載體1特殊地剪裁。非易失性存儲器4尤其構成為快閃記憶體EEPROM。安全晶片6與集成電路3按照標準的T=1協議通信,並根據可攜式數據載體1的構成還可以作為插在可攜式數據載體1中的晶片卡的組成部分。可攜式數據載體1和個人計算機2的USB接口7的連接用於以運行電壓為可攜式數據載體1提供電源以及可攜式數據載體1和個人計算機2之間的數據傳輸。可攜式數據載體1的作用原理將藉助圖2詳細描述。
圖2示出按照本發明的藉助可攜式數據載體1釋放訪問的實施例。在此用一個方塊表示一個或多個動作。在此根據應通過其進行訪問的受保護的網際網路網頁的各個動作是屬於可攜式數據載體1還是屬於用戶,將相應的方塊顯示在三列之一中。在此左列表示映射在網際網路網頁上的動作。中間列表示可攜式數據載體1的動作。右列示出用戶的對應動作。
為了啟動按照本發明的方法,利用個人計算機2調用釋放訪問所需的網際網路網頁,並將可攜式數據載體1插到個人計算機2的USB接口7的插頭上並由此將其激活。如通過方塊B1顯示的,此後用戶在被調用的網際網路網頁上輸入用戶標識。該輸入例如可以通過由用戶將用戶標識從可攜式數據載體1的非易失性存儲器4的公開區域傳輸到該網際網路網頁來實現。這被示為方塊B2。非易失性存儲器4的公開區域可從可攜式數據載體1的外部來訪問。因此對於傳輸可採用個人計算機2上的通常可用的命令,如「複製」、「剪切」、「粘貼」。除了從可攜式數據載體1的非易失性存儲器4傳輸之外,還可以通過個人計算機2的鍵盤來將用戶標識輸入網際網路網頁。而在另一種變形中則完全不用輸入用戶標識。
下一個動作是在網際網路網頁上顯示由所屬的伺服器產生的隨機數。這通過方塊B3來顯示。按照方塊B4,用戶利用命令「剪切」和「粘貼」將該隨機數從網際網路網頁傳輸到可攜式數據載體1的非易失性存儲器4的公開區域。原理上還可以取代「剪切」命令而使用「複製」命令。通過方塊B5示出,隨機數作為輸入用於以方塊B6表示的產生可攜式數據載體1的響應。但如通過方塊B7示出的,該響應僅在對用戶成功認證的情況下才會產生。在按照本發明方法的當前實施方式下,藉助對用戶指紋的驗證來進行認證。按照方塊B8,用戶例如通過將手指放在指紋傳感器5上或通過執行可攜式數據載體1的非易失性存儲器4中的程序來觸發該驗證。指紋傳感器5採集一幅圖像、提取其特徵並與存儲的參考特徵進行比較。可替換的,對用戶的認證還可以通過輸入個人秘密數字實現。在成功認證之後可攜式數據載體1產生響應。在產生響應時考慮所述隨機數。例如為了產生響應而計算哈西隨機數的數字籤名。
如通過方塊B9示出的,在可攜式數據載體1的非易失性存儲器4的公開區域內提供該響應。根據方塊B 10,用戶通過使用命令「剪切」和「粘貼」來將該響應從可攜式數據載體1的非易失性存儲器4傳輸到網際網路網頁。方塊B 11示出,所屬的伺服器對該響應的正確性進行驗證並相應地為用戶釋放訪問。
如果不需滿足過高的安全性要求,還可以採用本發明方法的不採用隨機數的簡化變形。在該變形中仍要對用戶的指紋進行驗證。當結果為正面的時,可攜式數據載體1產生一個一次性口令並將其存放在可攜式數據載體1的非易失性存儲器4的公開區域內。用戶以已描述過的方式將該一次性口令傳送到網際網路網頁。由此在預定的時間段內為該用戶釋放訪問。就是在這種變形中也可以通過用個人秘密數字代替指紋來對用戶進行認證而對本發明的方法進行進一步的簡化。在這種情況下,在可攜式數據載體1的非易失性存儲器4的公開區域內存儲一可執行程序,該程序要求用戶輸入其個人秘密數字。由用戶輸入的該秘密數字的值將與參考值進行比較,在一致時也產生一個一次性口令,其存放在可攜式數據載體1的非易失性存儲器4的公開區域內,並由用戶從那裡傳輸到網際網路網頁。
在執行本發明的方法時,還可以採用作為可執行程序在可攜式數據載體1中實現的瀏覽器。在此可將用於由用戶釋放訪問的網際網路網頁作為「收藏」來存儲。在這種變形中,不要求動用個人計算機2的瀏覽器並採用其安全設置。
在所有這些方法變形中,與安全相關的操作均分別由安全晶片6來執行,並在安全晶片6中存儲秘密保有的信息。尤其是可以在安全晶片6中存儲生物參考數據組,該生物參考數據組可在集成電路3中與當前生物原始數據完全或部分地進行比較。
圖3示意性示出按照本發明的可攜式數據載體1的另一實施例的體系結構。該實施例的特點在於,可攜式數據載體1通過集成的USB集線器8連接到個人計算機2的USB接口7上。USB集線器8使得可以將兩個USB設備連接到個人計算機2的USB接口7上。在可攜式數據載體1內形成USB集線器8和集成電路3之間的兩個分離的信號路徑。集成電路3對於第一信號路徑模擬USB鍵盤並相應地在個人計算機2的作業系統中作為附加鍵盤登錄。該USB鍵盤被個人計算機2看作是物理存在的鍵盤並對其輸入進行相應的處理。對於第二信號路徑將實現一個快閃記憶體驅動器。該快閃記憶體驅動器具有允許在不同網際網路網頁和服務之間進行選擇的可執行程序。除此之外,按照圖3的實施例與圖1所示的實施例相同。
在採用按照圖3實現的可攜式數據載體1時,將其插在個人計算機2的USB接口7的插頭內。藉助該快閃記憶體驅動器上的可執行程序選擇期望的網際網路網頁。然後用戶將網際網路網頁上的輸入標記置於為此而設的輸入區內,並通過將手指放在可攜式數據載體1的指紋傳感器5上而觸發生物用戶認證。在成功認證用戶之後可攜式數據載體1產生一次性口令並通過第一信號路徑將其傳送到網際網路網頁的輸入區。不需要手動地將該一次性口令傳送到網際網路網頁,因為對於第一信號路徑模擬了鍵盤,並由此自動進行傳輸。同樣還可以將存儲在可攜式數據載體1中的用戶標識和口令發送到網際網路網頁的相應輸入區。用戶可以上述方式訪問多個不同的網際網路網頁,而無需注意分別對應的用戶標識和口令,因為在成功認證用戶之後這些用戶標識和口令被自動輸入到受訪網際網路網頁的輸入區。取代將用戶標識和口令輸入網際網路網頁還可以將其分別輸入具有口令保護的本地應用或網絡應用。尤其是還可以在作業系統的登錄屏幕上進行輸入。此外還可以考慮在非易失性存儲器4中存儲用於註冊應用程式、網際網路網頁或服務的可執行程序。在此該程序可顯示用戶通過標準輸入裝置最後輸入的命令。
如果該程序第一次新識別出通過口令保護的應用程式或網際網路網頁,其可以對用戶給出自動登記註冊信息的建議。根據該程序的配置設置可在下一次調用時當用戶相對於憑證被認證時自動填寫註冊信息。該程序還可要求放置手指。
此外,藉助圖2描述的本發明的方法和其變形也可類似地用於圖3示出的可攜式數據載體1的實施例。但對於從可攜式數據載體1到個人計算機2的數據傳輸不需要手動輸入命令。
本發明方法的所有變形的一個重要方面在於,無需在個人計算機2上安裝專門用於該方法的軟體。該方法的實施可以基於個人計算機2的標準軟體和/或在可攜式數據載體1上實現的軟體。
權利要求
1.一種為用戶通過終端設備(2)釋放對計算機系統或程序的訪問而無需在該終端設備(2)上安裝專門為此目的而設的軟體的方法,其中-在用戶的可攜式數據載體(1)和終端設備(2)之間建立數據連接;-由該可攜式數據載體(1)對用戶進行認證;-在成功進行認證後,由該可攜式數據載體(1)提供用於釋放對計算機系統或程序的訪問的訪問代碼,並通過該數據連接進行傳輸。
2.根據權利要求1所述的方法,其特徵在於,所述數據連接通過所述終端設備(2)的USB接口(7)建立。
3.根據權利要求1或2所述的方法,其特徵在於,基於用戶輸入的個人秘密信息來進行所述認證。
4.根據權利要求1或2所述的方法,其特徵在於,基於生物方法、尤其是對用戶的指紋進行檢驗的方法來進行所述認證。
5.根據權利要求1至4中任一項所述的方法,其特徵在於,所述訪問代碼由所述可攜式數據載體(1)產生。
6.根據權利要求5所述的方法,其特徵在於,在產生所述訪問代碼時考慮一個由計算機系統提供的隨機數。
7.根據權利要求1至4中任一項所述的方法,其特徵在於,在所述可攜式數據載體(1)中存儲至少一個用於防止未授權訪問的訪問代碼。
8.根據權利要求1至7中任一項所述的方法,其特徵在於,在所述可攜式數據載體(1)的存儲器(4)的公開區域內提供所述通過數據連接傳輸的訪問代碼。
9.根據權利要求1至8中任一項所述的方法,其特徵在於,通過應用所述終端設備(2)的命令來通過所述數據連接傳輸所述訪問代碼。
10.根據權利要求1至8中任一項所述的方法,其特徵在於,由所述可攜式數據載體(1)對終端設備(2)的輸入裝置進行模擬。
11.根據權利要求10所述的方法,其特徵在於,由所述可攜式數據載體(1)將所述訪問代碼作為被模擬的輸入裝置的輸入通過數據連接傳輸。
12.根據權利要求1至11中任一項所述的方法,其特徵在於,將所述訪問代碼傳輸到網際網路網頁上。
13.根據權利要求1至12中任一項所述的方法,其特徵在於,在所述可攜式數據載體(1)的存儲器(4)中存儲用於建立到計算機系統的連接的軟體。
14.根據權利要求1至13中任一項所述的方法,其特徵在於,將所述可攜式數據載體(1)的存儲器(4)作為驅動器運行。
15.一種為用戶通過終端設備(2)釋放對計算機系統或程序的訪問而無需在該終端設備(2)上安裝專門為此目的而設的軟體的可攜式數據載體,具有用於提供用於釋放對計算機系統或程序的訪問的訪問代碼的安全晶片(6),其特徵在於,具有用於建立與終端設備(2)的數據連接的裝置(3),並且該安全晶片(6)對用戶進行認證。
16.根據權利要求15所述的可攜式數據載體,其特徵在於,該可攜式數據載體可以連接在所述終端設備(2)的USB接口(7)上。
17.根據權利要求15或16所述的可攜式數據載體,其特徵在於,其具有USB集線器(8),通過該USB集線器(8)將在可攜式數據載體(1)中的與終端設備(2)的數據連接劃分為多個分離的信號路徑。
18.根據權利要求15至17中任一項所述的可攜式數據載體,其特徵在於,其具有構成為快閃記憶體EEPROM的存儲器(4)。
19.根據權利要求15至18中任一項所述的可攜式數據載體,其特徵在於,其具有用於採集生物數據的傳感器(5)、尤其是指紋傳感器。
全文摘要
本發明涉及一種為用戶通過終端設備(2)釋放對計算機系統或程序的訪問而無需在該終端設備(2)上安裝專門為此目的而設的軟體的方法。其中,建立在用戶的可攜式數據載體(1)和終端設備(2)之間的數據連接。由該可攜式數據載體(1)對用戶進行認證。在成功進行認證後,由該可攜式數據載體(1)建立用於釋放對計算機系統或程序的訪問的訪問代碼,並通過該數據連接進行傳輸。
文檔編號G06F21/34GK1918527SQ200480041885
公開日2007年2月21日 申請日期2004年12月14日 優先權日2003年12月18日
發明者羅伯特·米勒 申請人:德國捷德有限公司