用於在設備之間進行高級交易的安全系統的製作方法

2023-08-07 09:01:31 1

專利名稱：用於在設備之間進行高級交易的安全系統的製作方法
技術領域：
本發明提供了一種用於在設備之間進行高級交易的安全系統和方法。該系統包括在遠端設備與主機設備之間提供多級加密的非確定性硬體隨機數發生器(HRNG)。
背景技術：
在網際網路和電子交易逐漸普及的世界裡，交易安全性是交易所涉及的各方最關心的問題。為了使不必要的第三方獲得關於交易的信息和/或獲得以後能夠訪問特定的設備或系統的信息地風險最小化，這種安全性是必須的。在當今的繁忙的電子世界裡，所有類型的交易，包括個人之間的交易、個人與商家/機構之間的交易、也包括商家或機構之間的交易，都需要交易安全性。另外，在某些企業中，還需要由本身也可能需要複雜的安全級別的第三方管理者和/或許可的代理機構選擇地監視的特定的交易。
在安全交易領域中，加密/解密技術的使用是眾所周知的。也就是說，眾所周知，可以將不同方之間發送的數據加密，然後，由第二方，在接收到加密數據後，用包括加密/解密密鑰的各種方法將其解碼。典型地，加密/解密密鑰是基於偽隨機(確定性)的算法，並因此局限於它們具有循環長度有限的重複模式。一個熟練的程式設計師在數小時之內，或者，甚至在數分鐘之內就可以創建一個這種偽隨機數發生器的數學模型，並從而破壞設備的安全性。毀壞安全系統的能力常常既可以藉助於關於安全協議的內部信息而造成，也可以不藉助於關於安全協議的內部信息而造成。
相比之下，非確定性隨機數發生器因預測結果或影響結果的風險更加困難，而本質上更安全。這種非確定性或基於硬體的隨機數發生器(RNG)已經經受了各種各樣的統計隨機數發生器的測試，例如，由InfoGard實驗室(由美國商業部的標準技術國家研究院(NIST)、加拿大政府的通信安全機構(CSE)和由NVLAP授權的密碼測試實驗室，密碼模塊測試實驗室(授權號100432-2))在聯邦信息處理標準(FIPS)出版物140-1中規定的那些測試，並且，已經證實，這種非確定性或基於硬體的隨機數發生器能夠提供非確定性結果。
硬體隨機數發生器基於自然發生的隨機現象而產生真正隨機的比特。一個例子是從微米尺寸的熱耗散陶瓷電阻中產生的Johnson(詹森)或白噪聲。噪聲的放大、A/D轉換和數字處理能夠產生循環長度無限的隨機位流。這種隨機性是真正隨機的，因為，它是由於在加熱的電阻內的電子的隨機運動保證在所有頻率上具有相等噪聲密度的寬帶噪聲源的熱噪聲的函數。當前的硬體隨機數發生器不需要初始值或種子(seed)，並且，可以以通常不小於20千比特/秒和通常只受系統的速度限制的速度進行操作。
目前，為提供高的安全級別，設備之間的敏感的交易是通過硬體和軟體兩者的解決方案而提供的。這些設備包括蜂窩電話、網絡設備、電纜數據機、機頂盒、網絡計算機、衛星接收器、掌上電腦和博奕機。當把高價值內容的電影、博奕、金融信息、電子商務、合作信息、保密電子郵件和語音通信轉移到這些設備中時，強壯的數據安全性仍然是所有各類平臺所需要的。
更具體地說，博奕產業需要極高級別的安全性，以確保保持支持機會對策的機器的誠實性(integrity)。為授權博弈許可證，博弈管理者必須對每一個博奕機的誠實性滿意，以確保博弈的公正性並防止可能決定博弈結果的任何非法的攻擊。目前，博弈設備內的隨機數發生器是基於軟體的，本質上是確定性的，因此，易遭受富有經驗的黑客的攻擊。
在軟體產業中，普遍使用軟體保護器(dongle)(一種硬體和軟體安全設備)。軟體保護器用於確保單個用戶在任何特定的時間、在特定的機器上受限地使用許可軟體的特定的拷貝，以防止在許可協議之外非法使用軟體。現有軟體保護器通常連接到設備的I/O埠，並且，在主機程序周期地詢問時進行操作，以提供有效代碼。如果沒有提供代碼，主機程序就終止。
在金融交易產業中，金融和其它數據的交換，要求在交易期間經常使用基於軟體的加密/解密系統具有高級別的安全性。
由於對交易誠實性的要求，人們需要一種在不同設備之間進行電子交易時提供更高級別的安全性的系統。尤其是，需要一種安全系統，能夠產生非確定性的基於硬體的隨機數，以供在設備之間創建加密/解密密鑰之用，以便減小從第三方進行非法攻擊的可能性。尤其是，需要防備可能擁有特權信息的設計者和開發者。
另外，在這種安全系統內，需要使現有主機設備的功能隨著非確定性隨機數發生器的安全特點的增加而增強的增加的智能。
再者，隨著對來自許多不同設備的交易安全性的要求的不斷提高，需要一種系統，可以容易地改進現有設備，否則，不與設備及其相關的外圍設備的常規操作相互幹擾。還要求安全系統對設備的常規操作是透明的，以便使系統的主要功能的性能損失降到最低。
再者，隨著密碼、個人身份識別號(PIN)、卡和令牌越來越多地用於訪問遠端帳戶，與用戶擁有和管理許多不同安全設備相聯繫的安全風險也不斷增加。相應地，需要一種包括生物統計識別系統的高級用戶識別系統，包括與其它安全系統耦合在一起的電子指紋、語音和面部識別系統。

發明內容
根據本發明，提供了一種用於保護遠端設備與主機設備之間的數據交易的系統，所述的遠端設備包括
適合於主機設備與遠端設備之間的操作性連接的接口；
操作性地連接到接口上的管理控制器，所述的管理控制器用於控制遠端設備與主機設備之間的數據交易；以及
操作性地連接到管理控制器的硬體隨機數發生器控制器，用於把供數據加密用的非確定性隨機數數據提供給管理控制器。
根據再一個實施例，本發明提供了一種用於控制和管理主機設備與遠端設備之間的數據通信的系統，包括
適合於主機設備與遠端設備之間的操作性連接的接口；以及
操作性地連接到接口的管理控制器，所述的管理控制器，用於從主機設備接收數據、和向主機設備提供數據，以及，用於從與管理控制器操作性地連接的硬體隨機數發生器控制器接收數據、和向與管理控制器操作性地連接的硬體隨機數發生器控制器提供數據，所述的硬體隨機數發生器控制器用於把非確定性隨機數數據提供給管理控制器。
根據又再一個實施例，本發明提供了一種用主機設備註冊特定的遠端設備的方法，包括步驟
a.產生非確定性身份識別(ID)號，並且將其存儲在遠端設備中；
b.用非確定性身份識別解密密鑰把身份識別號加密到第一級；
c.用公開密鑰把第一級加密的身份識別號加密到第二級；
d.把第二級加密的身份識別號傳遞給主機設備；
e.用公開密鑰把主機設備中的第二級加密的身份識別號解密到第一級，並且把第一級加密的身份識別號存儲到主機設備中。
在又再一個實施例中，本發明提供了一種用主機設備來檢驗特定的遠端設備的註冊的方法，包括步驟
a.通過遠端設備從主機設備請求第一級加密的非確定性身份識別號；
b.接收第一級加密的非確定性身份識別號，並且用先前產生並存儲的非確定性身份識別解密密鑰來解密第一級加密的非確定性身份識別號；以及
c.檢驗步驟b的解密的非確定性身份識別號與遠端設備中先前產生並存儲的非確定性身份識別號之間的等效性。
在又再一個實施例中，本發明提供了一種在先前註冊的遠端設備與主機設備之間傳送數據的方法，包括步驟
a)用非確定性數據解密密鑰來加密數據分組；
b)用非確定性身份識別解密密鑰來加密身份識別號；
c)用步驟b)的身份識別解密密鑰，把步驟a)的加密的數據分組附加到步驟b)的加密的身份識別號上，以形成加密的數據分組；
d)用公開密鑰來加密步驟c)的加密的數據分組，以形成第二級加密的數據分組；
e)把第二級加密的數據分組傳遞給主機設備；以及
f)用公開密鑰和數據解密密鑰來解密步驟e)的第二級加密的數據分組，以檢索數據分組。
本發明也可以提供一種用遠端設備和主機設備的用於特定的用戶識別的生物統計識別系統。
在又再一個實施例中，提供了一種系統，該系統用服務提供商來註冊用戶，使得可以從非安全場所訪問服務提供商，包括步驟
在用於註冊用戶的安全或非安全場所，
a)把字符個人身份識別號提供給用戶；
b)把語音個人身份識別號提供給用戶；
c)讓用戶說出語音個人身份識別號到語音指紋處理器中，以產生語音個人身份識別號的安全場所語音指紋文件
d)把字符個人身份識別號和語音指紋文件存儲在授權的用戶的資料庫中。
本發明還又提供了一種系統，其中，在具有計算機、和與授權的用戶的資料庫操作性地連接的第二語音指紋處理器的安全場所，一種方法是
a)提示用戶輸入字符個人身份識別號；
b)提示用戶把語音個人身份識別號輸入到第二語音指紋處理器中，以產生非安全語音指紋文件；
c)把字符個人身份識別號和非安全場所語音指紋文件提交給授權的用戶的資料庫；以及
在授權的用戶的資料庫中，
d)在授權的用戶的資料庫中的字符個人身份識別號中搜索相似的字符個人身份識別號；以及
e)根據記錄的語音指紋文件，在非安全場所語音指紋文件中搜索相似的字符個人身份識別號，以確定非安全場所語音指紋文件是否與記錄的語音指紋文件相對應。
在又再一個實施例中，提供了一種用於註冊和保護每一個都具有軟體保護器和中央註冊資料庫的主機設備之間的交易的方法，包括步驟
a)用中央註冊資料庫把加密的身份識別號(ID#)註冊在軟體保護器中；以及
b)在允許主機設備之間的公開密鑰加密的交易之前，檢驗每一個主機設備是否已經完成了步驟a)的註冊。


從參考附圖的如下描述中，本發明的這些和其它特徵將會更加清楚，其中
圖1是根據本發明的安全系統的總體圖2是根據本發明的一個實施例的基於硬體隨機數的遠端設備的整體圖3是根據本發明的一個實施例的安全協議的整體圖3a是根據本發明的一個實施例的兩部分身份識別號的整體圖3b是根據本發明的一個實施例的、與數據一起發送的兩部分身份識別號的整體圖4是根據本發明的一個實施例的並行埠專用軟體保護器的概略圖5是根據本發明的一個實施例的含有生物統計語音身份識別的串行埠專用軟體保護器的電路圖6是根據本發明的一個實施例的用含有生物統計識別系統的服務提供商來註冊用戶和給用戶授權的概略圖7是具有讀卡機的安全系統的概略圖；以及
圖8是用中心站點來註冊遠端設備並認證交易的安全系統的概略圖。
具體實施例方式
本發明的一般性描述
根據本發明，並且參照圖1，提供了能夠在電子設備之間，具體地說，是在遠端設備12與本地設備14(主機設備)之間進行安全數據交易的安全系統10。遠端設備12包括與管理微控制器18和接口20操作性地連接的、含有硬體隨機數發生器16a的硬體隨機數發生器控制器16。遠端設備12通過有線或無線連結與本地設備14通信，以便在設備之間交換數據，或者把單向命令數據提供給在各自接口20和22之間的本地設備14。在本發明的各種實施例中，遠端設備12可以包括生物統計身份識別功能塊24。遠端設備12與本地設備14均可以通過諸如網際網路之類的網絡連結28與製造商或第三方26通信，以便在各設備之間發送和接收數據。
遠端設備的硬體隨機數發生器16，建立和管理遠端設備12與本地設備14之間的安全措施，從而能夠在遠端設備12與本地設備14之間進行高安全性的數據交易。遠端和本地設備的例子的非窮舉(non-exhaustive)列表和它們的基本功能列於表1中。表1-遠端/本地設備的例子
遠端設備硬體操作整體圖
參照圖1和圖2，在遠端設備12的每一個實施例中，遠端設備12包括與管理微處理器18和接口20操作性地連接的硬體隨機數發生器控制器16。
管理控制器18通常提供硬體隨機數發生器控制器16與本地設備14之間的物理和硬安全保護牆，也管理與硬體隨機數發生器控制器16的所有保密通信。
硬體隨機數發生器控制器16包括產生非確定性流式隨機數比特的硬體隨機數發生器16a。硬體隨機數發生器控制器16捕獲來自硬體隨機數發生器16a的隨機數比特流，並把該隨機數比特流格式化成應用敏感字節(如果需要的話)或用於加密數據的前後關係。另外，管理控制器18管理硬體隨機數發生器控制器16與主機設備14之間的受保護的(加密的)通信。
遠端設備與本地設備之間的通信協議整體圖。
遠端設備與本地設備之間的通信要求在數據交易之前，在遠端設備與本地設備之間進行初始化。初始化由遠端設備控制。
在遠端設備與本地設備之間進行初始化之後，遠端設備與本地設備之間的進一步通信，在某些應用中可以由本地設備來初始化，或者，可靠地，可選地由遠端設備來初始化。
正如下面將更詳細地說明的那樣，硬體隨機數發生器控制器16包含受保護的存儲區，該受保護的存儲區含有隻可以在工廠安裝的特殊身份識別功能。不能反過來設計存儲器的這個區域，並且，存儲器的這個區域包括將防止對這個存儲區的任何非法訪問的各種竄改檢測機制。
硬體隨機數發生器控制器16的隨機加密功能塊只在初始化期間產生公開密鑰，並將其傳遞到主機設備，然後，傳遞含有加密的部分和永久分配的可讀部分的兩部分身份識別號。可讀部分是由製造商或由諸如監督權限(monitoring jurisdiction)之類的第三方來分配指定。加密的部分是由硬體隨機數發生器隨機地產生的，並被永久地分配給特定的遠端設備，且被存儲在硬體隨機數發生器控制器的受保護的存儲區中。然後，把兩部分身份識別號發送到用公開密鑰加密的主機設備。硬體隨機數發生器控制器16將隨後改變用於遠端設備與本地設備之間的每一次交易的公開密鑰。這種隨機關係只為硬體隨機數發生器控制器所知，而不為其它方所知，相應地，一旦主機設備把遠端設備註冊到服務中，該遠端設備就只與那個主機設備一起工作。身份識別號的加密的部分，只為硬體隨機數發生器控制器所知，因為，它是由通過改變隨機公開密鑰而密封起來的、它自己的人工智慧(AI)創建的。由於在受保護的存儲區中，身份識別號的加密的部分，只為硬體隨機數發生器控制器所知，因此，這種方法可以防止擁有內部信息的那些個人的非法入侵。
遠端設備與主機設備之間的通信協議
參照圖3，描述了遠端設備與主機設備之間的操作和安全協議。
1.在註冊或初始化時
1a)在註冊時，也就是說，在第一次著手使用遠端設備和主機設備時，硬體隨機數發生器控制器16產生隨機身份識別號。身份識別號是所產生並存儲在硬體隨機數發生器控制器的受保護的存儲區內的秘密數字。它的產生是為了在初始化之後，使遠端設備成為主機設備專用的，這樣，只有專用的主機設備可以與專用的硬體隨機數發生器控制器一起使用。
身份識別號從不會不加密就從硬體隨機數發生器控制器輸出。如此，主機設備從不會知道由硬體隨機數發生器控制器所指定的真實身份識別號。
1b)在產生身份識別號之後，硬體隨機數發生器控制器用隨機產生的身份識別解密密鑰來加密身份識別號，以便產生身份識別號/身份識別解密密鑰分組(單級加密)。
1c)然後，通過公開密鑰進一步加密身份識別號/身份識別解密密鑰分組，以便產生身份識別號/身份識別解密密鑰/公開密鑰分組(雙層加密)，並將其發送到主機設備。公開密鑰可以由硬體隨機數發生器控制器來設置和改變，或者，可以由系統管理員適當地(例如，每天一次)設置和改變。公開密鑰為遠端設備和主機設備兩者所知。相應地，取決於公開密鑰的產生場所，按照要求，公開密鑰被轉發給主機設備或遠端設備。
1d)主機設備接收身份識別號/身份識別解密密鑰/公開密鑰分組。公開密鑰用於把身份識別號/身份識別解密密鑰/公開密鑰分組解密成隨後存儲在主機設備存儲器中的身份識別號/身份識別解密密鑰分組。
1e)到此為止，用主機設備註冊遠端設備的過程就完成了。
2.註冊後的數據交易
如下的數據交易協議是專用於來自博弈設備的隨機數請求的。但是，應該明白，依賴於具體應用，數據交易可以由遠端設備或主機設備來初始化，相應地，通信協議可以容易地適用於特定的方向的數據流。
2a)主機設備請求應用專用隨機數。
2b)一旦接收到隨機數請求，硬體隨機數發生器控制器就從主機設備請求所存儲的身份識別號/身份識別解密密鑰分組，並且，一旦接收到，就用只為硬體隨機數發生器控制器所知的身份識別解密密鑰來認證身份識別號。
如果認證成功，
2c)那麼，硬體隨機數發生器控制器就產生隨機數，並根據由主機設備請求的應用格式來處理它，且隨機地產生數據解密密鑰。數據解密密鑰用於產生隨機數/數據解密密鑰分組。
2d)然後，硬體隨機數發生器控制器產生用於身份識別號的加密的新的身份識別解密密鑰。身份識別解密密鑰用於產生新的身份識別號/身份識別解密密鑰分組。
2e)把身份識別號/身份識別解密密鑰分組、隨機數/數據解密密鑰分組和數據解密密鑰相互附加在一起，以產生一個身份識別號/身份識別解密密鑰/隨機數/數據解密密鑰/數據解密密鑰分組。
2f)用公開密鑰來加密身份識別號/身份識別解密密鑰/隨機數/數據解密密鑰/數據解密密鑰，以產生一個身份識別號/身份識別解密密鑰/隨機數/數據解密密鑰/數據解密密鑰/公開密鑰分組。
2g)把身份識別號/身份識別解密密鑰/隨機數/數據解密密鑰/數據解密密鑰/公開密鑰分組發送到主機設備。
2h)主機設備接收身份識別號/身份識別解密密鑰/隨機數/數據解密密鑰/數據解密密鑰/公開密鑰分組，並且，用公開密鑰將身份識別號/身份識別解密密鑰/隨機數/數據解密密鑰/數據解密密鑰/公開密鑰分組解密成身份識別號/身份識別解密密鑰/隨機數/數據解密密鑰/數據解密密鑰分組。
2i)主機設備從身份識別號/身份識別解密密鑰/隨機數/數據解密密鑰/數據解密密鑰分組中提取隨機數解密密鑰。然後，將隨機數解密密鑰用於解密隨機數/數據解密密鑰分組，以便提取供用於主機設備的隨機數。
2j)用身份識別號/身份識別解密密鑰分組替換先前存儲在主機設備中的身份識別號/身份識別解密密鑰分組。
2k)對於由硬體隨機數發生器控制器接收的每一個隨機數請求，都重複步驟2a-2j。
注
a)用硬體隨機數發生器控制器接收的每一個隨機數請求，來改變和更新的身份識別解密密鑰。
b)最好是，由合法的管理員或由硬體隨機數發生器控制器，以適合於特定的安裝的有規律的方式，來改變公開密鑰。
c)身份識別號從不以未加密的方式洩露到硬體隨機數發生器控制器的外面。
d)隨機數解密密鑰隨每一個隨機數請求而改變。
e)一旦一個主機設備已經存儲了一個加密的身份識別號，就不可以再將另一個遠端設備註冊到其上。更確切地說，遠端設備將檢測到某個秘密身份識別號的存在，並且將不允許註冊繼續進行。
在如圖3a和圖3b所示並如上面介紹的另一個實施例中，身份識別號是能夠獨立審查軟體保護器/主機設備的兩部分身份識別號。在這個實施例中，第一部分是用身份識別解密密鑰來加密的，而第二部分是不由身份識別解密密鑰來加密的可讀的tax/許可身份識別信息。然而，每當可讀tax/許可身份識別信息在主機設備與軟體保護器之間傳輸時，就用公開密鑰將其加密。
為了確保遠端設備是秘密的，如果需要的話，當主機設備發送數據請求時，就只開始傳送數據。在通過握手(handshake)協議建立發送與接收關係(握手)之後，遠端設備就發送隨機加密密鑰。主機設備接收並處理隨機加密密鑰，以使將每一個幀內的後續消息解密。這個過程防止了敵意的竊聽、以及黑客/竊賊把偽造的遠端設備安裝到主機設備上的可能性。
遠端設備12
遠端設備與獨立微處理器、管理控制器和硬體隨機數發生器控制器一起工作，它們都包含具有快閃記憶體(flash)能力的它們自己的一組集成的存儲器，以供電路內程序下載用。
硬體隨機數發生器控制器16
硬體隨機數發生器控制器16包括硬體隨機數發生器16a，並且，產生和管理用於保護和用於應用專用功能的隨機數數據。
管理控制器18
管理控制器18控制接口與硬體隨機數發生器控制器16之間的操作。管理控制器起著應用接口之間的數據安全緩衝器的作用，並且被安排成能非常秘密地與硬體隨機數發生器控制器16進行通信。管理控制器，對於其主機設備的具體軟體實現來說，最好是透明的。
遠端設備與本地設備接口
遠端設備與本地設備之間的接口可以是有線的或無線的。
有線的接口可以是利用主機設備上的現有的接口的穿過接口，諸如簡單2線雙向接口(I2L、SMBus、Access Bus)、RS232串行埠、並行埠、乙太網、數字用戶線(DSL)、非對稱數字用戶線(ADSL)或普通老式電話(POT)，即，模擬電話。
最好是，遠端設備可以不與主機設備的接口的常規使用相衝突地，且不把任何衝突引入主機設備與任何外圍設備之間的現有的工作關係中地，與主機設備與任何連接的外圍設備之間的主機設備相連接。在這種情況下，最好是，遠端設備與主機設備之間具有秘密的關係。
例如，主機設備可以具有與數據機相連接的串行埠、以及與印表機相連接的並行埠。適合於通過串行埠與主機設備相連接的遠端設備可以連接在主機設備與數據機之間，或者，適合於通過並行埠與主機設備相連接的遠端設備可以通過穿過接口相連接。進行這種連接是為了使遠端設備對於數據機是秘密的，且對於印表機也是秘密的，以允許在主機設備與外圍設備之間進行常規的通信。
相應地，通過提供可適合於現有的設備的串行或並行埠的系統，無需在主機設備上附加任何物理埠，就可以把遠端設備的功能加入到主機設備中，從而增加了系統對現有的設備的使用性和適用性。
無線接口
在主機設備和遠端設備的候補實施例中，通信可以是利用諸如射頻(RF)電纜裝置(即，有線電視(CATV)、DIRECTV)、電氣電子工程師學會(IEEE)802.11、或藍牙(B1uetooth)射頻之類的標準無線通信硬體/軟體的無線通信。
有線的和無線的實施例均可以是「線內(inline)」的或「網絡」的，或者是它們的組合。「線內」的例子包括串行、並行、數字用戶線、非對稱數字用戶線、普通老式電話、有線電視(即，DIRECTV)、電氣電子工程師學會802.11、和藍牙射頻接口，而「網絡」的例子包括射頻電纜裝置(即，電纜數據機)、乙太網、電氣電子工程師學會802.11、和藍牙射頻接口。
博弈專用硬體隨機數發生器控制器整體圖
在博弈產業中的軟體保護器的特定的應用中，硬體隨機數發生器控制器16能夠產生用於包括撲克、21點、疊紙牌博弈(keno)、排五點博弈(bingo)、8-way slot(一種投幣老虎機)、3-reel slot(一種老虎機)、5-reel slot(一種老虎機)等的著名機會對策用的真正隨機數格式。軟體保護器使用下面更加詳細描述的通信協議來發送和接收加密的但簡單的字節寬(byte-wide)的分組。
硬體隨機數發生器微控制器最好含有有限數目的到外部的物理連接(在一個實施例中，只個五個物理連接)。另外，硬體隨機數發生器控制器16最好擁有諸如具有自毀(存儲器)能力的敵意侵入檢測之類的功能，以便阻止包括擁有特權信息的黑客獲得對硬體隨機數發生器微控制器的受保護的存儲區的訪問。硬體隨機數發生器微控制器包含硬體加密引擎。
最好是，遠端設備具有為每種類型的機會對策同時產生幾種隨機字格式的處理帶寬，使得博弈設備主機處理器可以方便地同時運行幾種類型的機會對策。
用於穿過連接到並行埠的軟體保護器的電路圖的例子顯示在圖4中。
其它特徵
電源供應
對遠端設備的供電可以是獨立的(最好是電池)，或通過主機設備。本領域的普通技術人員應該明白，遠端設備可以通過現有的埠從主機設備獲取電能，或從分離的主機電源系統獲取電能。
生物統計識別
為了增強根據本發明的安全系統的應用，可以把附加功能加入到遠端設備中，以便為用戶提供專門的保護。包括指紋識別系統、語音識別系統和面部識別系統的生物統計識別系統可以在遠端設備中實現，或者對於遠端設備是可配置的。
適當的生物統計系統可以實現，例如，通過細3線(電纜和插座)連接，來與一個生物統計系統進行通信。在這個實施例中，遠端設備檢測生物識別系統是否存在，並將請求生物統計識別輸入。如果接收到適當的生物統計信息，就啟動遠端設備。
在語音身份識別系統的具體例子中，提示用戶說出他/她的名字和/或4到8個字符的個人身份識別號。如果語音指紋與註冊的用戶的語音相匹配，就啟動遠端設備。下面更詳細地描述用於註冊的系統。
具有生物統計語音識別的軟體保護器的例子顯示在圖5中。
物理形式
遠端設備的硬體隨機數發生器控制器16最好是小型多層印刷電路板的形式。遠端設備也可以被進一步集成並製造在一片定製設計的應用專用的集成電路(ASIC)晶片上。
物理保護
為了確保設備專用的身份識別號得到保護，遠端設備的受保護的存儲區包括竄改檢測。竄改檢測系統將最好包括物理和電特性檢測設備的組合，如果硬體隨機數發生器控制器遭到破壞，所述的物理和電特性檢測設備的組合將使遠端設備的內部快閃記憶體存儲器被擦除。檢測系統可以包括用於感測溫度、電阻、靜電、功率尖峰和電源故障等的快速變化的檢測器。
用於博弈具體應用的通信協議的例子
下面是遠端設備(軟體保護器)和本地設備(設備)之間的通信協議的一個例子，並且是專用於博弈應用的。應該明白，按照本發明，也可以執行其它通信協議和命令序列。
硬體隨機數發生器控制器與管理控制器之間的通信最好是遵從國際標準化組織(ISO)7816，並通過「U5」(圖4)，且對於主機設備是透明的。使國際標準化組織7816標準建立到硬體隨機數發生器控制器和「U5」之中。不需要其它外部硬體來實現這個目的。安全性是通過由硬體隨機數發生器控制器產生的兩部分身份識別號的秘密部分來控制的。主機設備從硬體隨機數發生器控制器接收隨機產生的加密的密鑰，以便解密數據分組，以及用於秘密身份識別號檢驗。無需知道管理控制器18(U4)與硬體隨機數發生器控制器16(U5)之間的秘密關係，主機設備(最終用戶)通過其埠請求隨機數發生器遵從來自硬體隨機數發生器控制器16的、下面描繪的軟體協議。下面是事件的順序
1.硬體隨機數發生器控制器取出兩部分身份識別號的秘密加密的部分，並檢驗其真實性。秘密身份識別只為硬體隨機數發生器控制器所知，而不為其它方所知。在註冊期間，隨機地產生一次，但對於每一個主機設備的隨機數發生器請求解密密鑰改變的。
2.對於每一個請求的隨機數發生器，主機設備從硬體隨機數發生器控制器接收持續變化的隨機解密密鑰。
3.在隨機數發生器到主機設備的每一次傳送末尾，硬體隨機數發生器控制器用新的隨機密鑰來加密秘密身份識別號，並且，當主機設備請求另一個隨機數發生器時，將其再次取出用於檢驗。
I.數據分組
所有數據傳輸都是以一幀8個字節的數據分組的形式。
幀1＝數據分組0、偏移0
數據分組1、偏移1
…
…
數據分組7、偏移7
每一個數據分組都以頭字節(02H)開始，後面接著是命令字節、和4個數據字節。然後，以檢驗和與尾字節(03H)結束該分組。
數據分組0，…，7＝02H，正文開始
xxH，命令字節
？？H，數據字節0
？？H，數據字節1
？？H，數據字節2
？？H，數據字節3
yyH，數據分組檢驗和
03H，正文結束
a)命令字節
命令字節不僅標識命令，而且標識分組的來源。
其格式如下
b)檢驗和
檢驗和是在包括頭和尾字節的整個分組之上計算的。計算出檢驗和作為所有分組字節的和的二者的問候。
II.肯定應答(ACK)
肯定應答是8個字節數據分組的唯一例外。設備和軟體保護器均返回其值為A0H的單字節肯定應答。
III.數據流
設備開始最多數量的數據傳送。設備將把數據發送到軟體保護器，或者從軟體保護器請求數據。特殊情況是自動響應模式。使用這種模式，軟體保護器可以把數據發送到可能需要立刻關注的設備。例如，軟體保護器狀態、非法侵入、和/或失敗的自檢。自動響應模式由設備來啟用或禁用。一旦加電，就禁用自動響應模式。如果自動響應被禁用，設備將需要為狀態改變而輪詢軟體保護器。
這些模式被概括如下
1.發送數據(握手和產生數據的指令)
開始
設備發送數據分組到軟體保護器
軟體保護器接收數據分組
如果(無通信錯誤)
開始
軟體保護器返回肯定應答
軟體保護器執行數據分組
(準備產生一個keno號，等等)
結束
結束
肯定應答響應將在50毫秒內返回。如果在50毫秒之前沒有接收到肯定應答，那麼，設備應該重新發送數據。
2.請求數據
開始
設備發送數據請求分組到軟體保護器
軟體保護器接收數據分組請求
如果(無通信錯誤)
開始
軟體保護器發送請求的數據分組
設備接收數據分組
如果(無通信錯誤)
開始
設備發送肯定應答
或
設備發送s數據請求分組
或
設備發送數據分組
結束
結束
結束
肯定應答響應應該在50毫秒內返回。如果在50毫秒之前沒有接收到肯定應答，那麼，軟體保護器將重新發送數據，直到接收到肯定應答為止。
3.自動響應
軟體保護器條件需要立刻動作(即，檢測到非法入侵)
如果(自動響應啟用)
開始
軟體保護器發送數據分組
設備接收數據分組
如果(無通信錯誤)
開始
設備發送肯定應答分組
或
設備發送數據請求分組
或
設備發送數據分組
結束
結束
結束
肯定應答響應應該在50毫秒之內返回。
如果在50毫秒之前沒有接收到肯定應答，那麼，軟體保護器將重新發送數據，直到接收到肯定應答為止。
4.通信錯誤檢測
協議也提供了通信錯誤檢測。錯誤條件是如下之一
1)分組沒有以頭字節02H開始。
2)分組沒有以尾字節03H結束。
3)檢驗和無效。
4)字節間延遲大於20毫秒。
當將數據分組從軟體保護器發送到設備時，如果被無錯誤地接收到，則設備應該用肯定應答來響應。如果檢測到錯誤，那麼，就無響應從設備返回到軟體保護器，而軟體保護器將重新發送數據，直到從設備接收到肯定應答為止。當將數據分組從設備發送到軟體保護器時，如果被無錯誤地接收到，則軟體保護器用肯定應答來響應。如果檢測到錯誤，那麼，就無響應從軟體保護器返回到設備。然後，設備可以選擇重新發送數據。當將數據請求從設備發送到軟體保護器時，如果被無錯誤地接收到，則軟體保護器用請求的數據來響應。如果檢測到錯誤，那麼，就無響應從軟體保護器返回到設備。然後，設備將重新發送數據請求，直到接收到數據為止。一旦已經無錯誤地接收到數據，設備最後將用肯定應答來響應。
IV.從設備發送到軟體保護器的數據分組的細節
請求數據自動響應模式雜項輸出請求(把「事件」打開/關閉)快閃記憶體只讀存儲器檢驗和種子電可擦除可編程只讀存儲器檢驗和種子靜態隨機存取存儲器(SRAM)檢驗和種子輸出單脈衝命令隨機字序列計數例子52張紙牌當中的第14張紙牌10個keno點當中的第4個keno點清除錯誤逆邏輯運算設備肯定應答響應來自軟體保護器的有效數據分組，發送設備肯定應答。V.從軟體保護器發送到設備的數據分組的細節在自動響應模式中，當條件滿足時，自動發送分組C0到C5。軟體保護器狀態快閃記憶體只讀存儲器檢驗和電可擦除可編程只讀存儲器檢驗和靜態隨機存取存儲器檢驗和保留保留I/O保留狀態保留I/O輸出保留I/O狀態版本隨機密鑰數據字節1-4隨機密鑰數據字節5-8密碼字節1-4密碼字節5-8安全數據字節1-4安全數據字節5-8
軟體保護器設備肯定應答(響應來自設備的有效數據分組而發送的)
偏移類型值說明
0位元組A0H命令字節
博弈應用例子
例1
在使用52張紙牌的紙牌博弈中，主機系統請求這副紙牌當中的一張牌。如主機系統所請求的，硬體隨機數發生器控制器獲取一組隨機比特流，並構造一副紙牌，且管理這副紙牌的分發。如果紙牌博弈需要多副紙牌，硬體隨機數發生器控制器就按要求構造將要提供給主機系統的紙牌。
例2
一種使用80個號的keno博弈。主機系統請求一個keno號，硬體隨機數發生器控制器就獲取一組隨機比特流，並構造一個80個數的集合，且如主機系統所請求地管理其分配。
使用生物統計身份識別的授權系統
根據圖6中所示的本發明的另一個實施例，提供了用於檢驗打算訪問服務提供商的安全系統的用戶的身份的系統和方法。這種系統的例子是網際網路或無監督的博弈場所或現場，在那裡，用戶的年齡是用於操作涉及到個人財務數據的場所和/或金融機構的網站的合法的重要參數。
為了訪問這種安全系統，可以進行如下的註冊
1.打算用服務提供商52註冊的潛在用戶50，將使其自然外貌出現在註冊中心54或安全場所，在那裡，服務提供商工作人員56，將通過檢驗包括照片身份識別和諸如駕駛執照、護照等之類的其它合法的身份識別的傳統的識別物58，來檢驗潛在的用戶的身份和資格。
2.在服務提供商工作人員確信潛在的用戶是合法的消費者之後，將賦予用戶50一個典型地為四到八個數字或字母的數字的和/或字母(字符)的個人身份識別號60，並且，將請求用戶50說出個人身份識別號到語音身份識別盒62中，以產生一個安全場所語音指紋方件64。在系統的不同的實施例中，可以要求用戶記住他們的個人身份識別號，或者，可選地，把具有在卡上可視地或電子地編碼的個人身份識別號字符細節的卡發給用戶。在電子地編碼的個人身份識別號的實施例中，在授權期間，可以把卡插入到與遠端設備操作性地連接的讀卡機中(下面所述的)，以便把字符個人身份識別號信息提供給服務提供商。
3.把用戶的姓名、字符個人身份識別號和安全場所語音指紋文件輸入到服務提供商的授權的用戶的資料庫52a中。
4.註冊之後，用戶50a可以從具有能進行網際網路訪問的主機設備14、如上所述的遠端設備18和語音身份識別盒24的非安全站點66，來訪問服務提供商站點52。
5.在獲得初步訪問服務提供商的安全站點52之後，將提示用戶50a輸入他們的字符個人身份識別號(通過鍵盤或讀卡機)，並說出他們的語音指紋個人身份識別號到語音身份識別盒24中。通過提供字符個人身份識別號和語音指紋個人身份識別號，授權的用戶的資料庫52a能夠通過首先識別具有相同的個人身份識別號的授權的用戶之中的每一個，然後，通過比較文件上的語音指紋(安全場所語音指紋)和新說出的個人身份識別號來確定它們的真實身份，來更快速地檢驗用戶50a的身份。用這種方式，隨著正在被搜索的文件的子集(subset)變小，可以比根據它們的語音指紋嚴格地識別用戶更快速地，識別出註冊在包含成千上萬的用戶的授權的用戶資料庫中的授權的用戶。也就是說，這種系統，使形成個人身份識別號所需的號碼的個數的複雜性最小，測試個人身份識別號，被用作相對應的語音指紋文件的分類和搜索指標。
語音指紋檢驗軟體的準確性，能夠區分出真正說出的個人身份識別號、與可能已經記錄在記錄機器上並由未授權的用戶回放(play back)的個人身份識別號。
在某些服務提供商應用中，系統在整個交易過程中將周期性地提示用戶重新說出他們的個人身份識別號，以確保實際用戶是授權的用戶。
在進一步的實施例中，如上所述的註冊階段可以要求由潛在的用戶在安全的或非安全的站點上作出聲明或「軟」宣誓，在那裡，用戶陳述他們滿足用於訪問服務提供商的站點的合法的或選擇的要求。在這個實施例中，用戶可以聯繫服務提供商的站點來進行註冊，並得到一份合法的聲明文件，該合法的聲明文件用於確認他們滿足合法的註冊標準，所述的合法的註冊標準是諸如年齡、和/或不存在包括先前曾經從那個站點開除過的任何禁止標準。應該認識到，雖然這種形式的註冊不及如上所述的安全場所註冊安全，但對於某些應用或服務來說是足夠的。
一旦做出聲明，將可以請求用戶用如上所述的系統來進行生物統計註冊。
讀卡機
在進一步的實施例中，遠端設備包括如圖7中所示的讀卡機80，讀卡機使得諸如用戶身份信息、借方、貸方或智慧卡數據之類的數據能夠通過設備12而被訪問。
點對點通信
在安全系統的進一步的應用中，提供了不同的本地計算機之間的安全交易。也就是說，在其中每一臺計算機都具有其自己的遠端設備190和192的系統中，起始協議將建立每臺計算機之間的基本聯繫，其中，在設備之間交換加密的秘密身份識別號。一旦接收到一個加密的秘密身份識別號，每臺計算機將識別使各用戶進一步選擇對任何後續交易進行加密的級別的安全環境是否存在。也就是說，在如上所述的隨機地改變的公開密鑰的控制下，每一個用戶可以選擇對交易進行加密的單個或雙個級別(潛在地更高)。
再進一步，並參照圖8，也提供了其中用中央站點來註冊各遠端設備190、192的系統。中央站點包括含有遠端設備12和註冊資料庫204的中央伺服器202。註冊資料庫204包含含有名稱、設備號和當前網際網路協議(IP)地址的設備專用信息。在註冊時，用戶(在設備190或192上)登錄到中央伺服器202中，並把加密的身份識別號提供給與用戶的網際網路協議地址和其它標識符一起存儲在註冊資料庫中的中央伺服器202。
如果擁有設備190的用戶想開始與擁有設備192的用戶交易，用戶190從註冊資料庫204請求設備192的設備號和網際網路協議地址。如果可獲得註冊信息，即，如果用戶192已註冊，就通知這兩個用戶這兩個設備都已註冊了，從而，能夠使用如上所述的隨機地改變的公開密鑰來進行進一步的交易。
權利要求
1.一種用於保護遠端設備與主機設備之間的數據交易(transaction)的系統，該遠端設備包括
適合於主機設備與遠端設備之間操作性連接的接口；
操作性地連接到接口的管理控制器，所述的管理控制器用於控制遠端設備與主機設備之間的數據交易；以及
操作性地連接到管理控制器的硬體隨機數發生器(HRNG)控制器，用於把供數據加密用的非確定性隨機數數據提供給管理控制器。
2.如權利要求1的系統，其中，硬體隨機數發生器控制器包括提供流式(streaming)隨機數比特的硬體隨機數發生器，並且硬體隨機數發生器控制器把隨機數比特格式化成至少一種預定的字節格式。
3.如權利要求1的系統，其中，硬體隨機數發生器控制器包括受保護的存儲區。
4.如權利要求3的系統，其中，硬體隨機數發生器控制器產生存儲在受保護的存儲區中的身份識別(ID)號。
5.如權利要求4的系統，其中，用身份識別解密密鑰把身份識別號加密到第一級。
6.如權利要求5的系統，其中，為了用主機設備註冊遠端設備，用公開密鑰把加密的身份識別號加密到第二級。
7.如權利要求5的系統，其中，主機設備用公開密鑰把身份識別號解密到第一級，並且主機設備存儲第一級加密的身份識別號。
8.如權利要求6的系統，其中，公開密鑰由系統管理員來改變。
9.如權利要求6的系統，其中，在註冊後，硬體隨機數發生器控制器在主機設備與遠端設備之間交換應用專用數據之前，檢驗第一級加密身份識別號的有效性。
10.如權利要求9的系統，其中，一旦檢驗第一級加密身份識別號，硬體隨機數發生器控制器就產生用於把應用專用數據加密到第一數據加密級的數據解密密鑰。
11.如權利要求10的系統，其中，硬體隨機數發生器控制器產生用於把身份識別號加密到第一級的新的身份識別解密密鑰。
12.如權利要求11的系統，其中，把加密到第一數據加密級的應用專用數據和加密到第一級的身份識別號以及數據解密密鑰相互附加在一起，以形成附加的數據分組。
13.如權利要求12的系統，其中，用公開密鑰加密附加的數據分組。
14.如權利要求1的系統，其中，接口是穿過(pass through)接口。
15.如權利要求1的系統，其中，接口是無線的。
16.如權利要求1的系統，其中，至少一種預定的格式包括至少一種機會對策(game-of-chance)格式。
17.如權利要求1的系統，其中，硬體隨機數發生器控制器能夠進行物理和電侵入檢測，並且響應物理或電侵入而自毀內部存儲器。
18.如權利要求1的系統，還包括與遠端設備操作性地連接的生物統計識別系統。
19.如權利要求18的系統，其中，生物統計識別系統是從語音識別系統、面部識別系統或語音指紋識別系統的任何一種或它們的組合中選擇出來的。
20.如權利要求1的系統，其中，遠端設備關於主機設備是秘密(stealth)的。
21.一種用於控制和管理主機設備與軟體保護器(dongle)之間的數據通信的軟體保護器，該軟體保護器包括
適合於主機設備與軟體保護器之間的操作性連接的接口；
操作性地連接到接口的管理控制器，所述的管理控制器，用於從主機設備接收數據、和向主機設備提供數據，以及，用於從與管理控制器操作性地連接的硬體隨機數發生器控制器接收數據、和向與管理控制器操作性地連接的硬體隨機數發生器控制器提供數據，所述的硬體隨機數發生器控制器用於把非確定性隨機數數據提供給管理控制器。
22.如權利要求21的軟體保護器，其中，硬體隨機數發生器控制器包括用於提供流式隨機數比特的硬體隨機數發生器，並且，硬體隨機數發生器控制器把隨機數比特格式化成至少一種預定的字節格式。
23.如權利要求21的軟體保護器，其中，硬體隨機數發生器控制器包括受保護的存儲區。
24.如權利要求23的軟體保護器，其中，硬體隨機數發生器控制器產生存儲在受保護的存儲區中的身份識別號。
25.如權利要求24的軟體保護器，其中，硬體隨機數發生器控制器用身份識別解密密鑰把身份識別號加密到第一級。
26.如權利要求25的軟體保護器，其中，在用主機設備註冊遠端設備期間，硬體隨機數發生器控制器用公開密鑰把加密的身份識別號加密到第二級。
27.如權利要求26的軟體保護器，其中，在註冊後，硬體隨機數發生器控制器在主機設備與遠端設備之間交換應用專用數據之前，檢驗第一級加密身份識別號的有效性。
28.如權利要求27的軟體保護器，其中，一旦檢驗第一級加密身份識別號，硬體隨機數發生器控制器就產生用於把應用專用數據加密到第一數據加密級的數據解密密鑰。
29.如權利要求25的軟體保護器，其中，對於應用專用數據的每一次交換，硬體隨機數發生器控制器產生用於把身份識別號加密到第一級的新的身份識別解密密鑰。
30.如權利要求28的軟體保護器，其中，把加密到第一數據加密級的應用專用數據和加密到第一級的身份識別號以及數據解密密鑰相互附加在一起，以形成附加的數據分組。
31.如權利要求30的軟體保護器，其中，用公開密鑰加密附加數據分組。
32.如權利要求21的軟體保護器，其中，接口是穿過接口。
33.如權利要求21的軟體保護器，其中，接口是無線的。
34.如權利要求21的軟體保護器，其中，至少一種預定的格式包括至少一種機會對策格式。
35.如權利要求21的軟體保護器，其中，硬體隨機數發生器控制器能夠進行物理和電侵入檢測，並且響應物理或電侵入而自毀內部存儲器。
36.如權利要求21的軟體保護器，還包括與遠端設備操作性地連接的生物統計識別系統。
37.如權利要求36的軟體保護器，其中，生物統計識別系統是從語音識別系統、面部識別系統或語音指紋識別系統的任何一種或它們的組合中選擇出來的。
38.如權利要求21的軟體保護器，其中，軟體保護器關於主機設備是秘密的。
39.一種用主機設備註冊特定的遠端設備的方法，該方法包括步驟
a.產生非確定性身份識別號，並將其存儲在遠端設備中；
b.用非確定性身份識別解密密鑰把身份識別號加密到第一級；
c.用公開密鑰把第一級加密的身份識別號加密到第二級；
d.把第二級加密的身份識別號傳遞給主機設備；以及
e.用公開密鑰把主機設備中的第二級加密的身份識別號解密到第一級，並把第一級加密的身份識別號存儲到主機設備中。
40.一種用主機設備檢驗特定的遠端設備的註冊的方法，該方法包括步驟
a.通過遠端設備從主機設備請求第一級加密的非確定性身份識別號；
b.接收第一級加密的非確定性身份識別號，並且用先前產生並存儲的非確定性身份識別解密密鑰來解密第一級加密的非確定性身份識別號；以及
c.檢驗步驟b)的解密的非確定性身份識別號與遠端設備中先前產生並存儲的非確定性身份識別號之間的等效性。
41.一種在先前註冊的遠端設備與主機設備之間傳送數據的方法，該方法包括步驟
a.用非確定性數據解密密鑰來加密數據分組；
b.用非確定性身份識別解密密鑰來加密身份識別號；
c.用步驟b)的身份識別解密密鑰，把步驟a)的加密的數據分組附加到步驟b)的加密的身份識別號上，以形成加密的數據分組；
d.用公開密鑰來加密步驟c)的加密的數據分組，以形成第二級加密的數據分組；
e.把第二級加密的數據分組傳遞給主機設備；以及
f.用公開密鑰和數據解密密鑰來解密步驟e)的第二級加密的數據分組，以檢索數據分組。
42.如權利要求41的方法，其中，用步驟b)的加密的身份識別號更新先前存儲在主機設備中的加密的身份識別號。
43.一種用服務提供商(service provider)註冊用戶而使得可以從非安全場所訪問服務提供商的系統，該系統包括步驟
在用於註冊用戶的安全或非安全場所，
a)把字符個人身份識別號(PIN)提供給用戶；
b)把語音個人身份識別號提供給用戶；
c)讓用戶說出語音個人身份識別號到語音指紋處理器中，以產生語音個人身份識別號的安全場所語音指紋文件；以及
d)把字符個人身份識別號和語音指紋文件存儲在授權的用戶的資料庫中。
44.如權利要求43的系統，還包括步驟
在具有計算機、和與授權的用戶的資料庫操作性地連接的第二語音指紋處理器的安全場所，
a)提示用戶輸入字符個人身份識別號；
b)提示用戶把語音個人身份識別號輸入到第二語音指紋處理器中，以產生非安全場所語音指紋文件；
c)把字符個人身份識別號和非安全場所語音指紋文件提交給授權的用戶的資料庫；以及
在授權的用戶的資料庫中，
d)在授權的用戶的資料庫中的字符個人身份識別號中搜索相似的字符個人身份識別號；以及
e)根據所記錄的語音指紋文件，在非安全場所語音指紋文件中搜索相似的字符個人身份識別號，以確定非安全場所語音指紋文件是否與所記錄的語音指紋文件相對應。
45.如權利要求44的系統，還包括通知用戶他們是授權的用戶還是未授權的用戶的步驟。
46.如權利要求45的系統，還包括步驟如果用戶是授權的用戶，並且已經得到對服務提供商的服務的訪問，那麼，就周期性地請求重新輸入字符個人身份識別號和語音個人身份識別號，以便被重新授權。
47.如權利要求43的系統，其中，用戶在註冊時，在步驟a)之前，聲明他們是否滿足用於訪問服務提供商的特定的註冊標準。
48.一種用於註冊和保護每一個都具有如權利要求21的軟體保護器和中央註冊資料庫的主機設備之間的交易的方法，該方法包括步驟
a)用中央註冊資料庫把加密的身份識別號(ID#)註冊在軟體保護器中；以及
b)在允許主機設備之間的公開密鑰加密的交易之前，檢驗每一個主機設備是否已經完成了步驟a)的註冊。
全文摘要
本發明提供了用於在設備之間進行高級交易(transaction)的安全系統和方法。該系統包括在遠端設備與主機設備(host device)之間提供多級加密的非確定性硬體隨機數發生器。
文檔編號G06F1/00GK1439123SQ0181179
公開日2003年8月27日 申請日期2001年5月9日 優先權日2000年5月10日
發明者維克託·Y·曹, 約翰·西多斯 申請人:泰克林克國際娛樂有限公司