鑑定及利用計算機系統安全資源的方法和系統的製作方法

2023-06-27 01:15:01 1

專利名稱：鑑定及利用計算機系統安全資源的方法和系統的製作方法
技術領域：
本發明涉及使用計算機系統執行安全交易，具體來說，它涉及鑑定和利用計算機系統的安全資源以執行這些安全交易的一種方法和系統。
背景技術：
計算機和計算機網絡越來越多地用於處理電子商務和其他類型的交易。允許個人用戶參與這些交易的應用程式也不斷出現。為了使這些交易更為容易，必須保持這些交易的完整性和有效性以及用於執行這些交易的應用程式的安全性。但是，常規的計算機環境允許黑客危及這樣交易的完整性和有效性。由此，仍然有必要向參與電子商務和其他交易的用戶提供安全保護。
常規的計算機網絡，如區域網、廣域網和/或公共網(如英特網)，將個人計算機和工作站與一個或幾個伺服器連接以及將個人計算機和工作站互相連接。這種環境允許計算機用戶與伺服器互動或計算機用戶之間互動。計算機用戶之間或計算機用戶與伺服器之間的交易是通過運用常規作業系統平臺如0S/2、Windows和UNIX中運行的應用程式進行處理的。一般來說，這些交易包含機密或敏感數據如銀行、借貸帳戶的信息，並可能涉及大量錢款。這些常規作業系統平臺一般被認為是不安全的。
因此，常規計算機系統有很多安全漏洞。在這些常規計算機環境中提供安全保護是非常困難的。例如，最近的通過用於訪問網絡如英特網的瀏覽器應用程式的漏洞發生的計算機系統中的安全違約行為。使用自動傳送信息至計算機的攻擊(push)技術，如ActiveX或Javascript程序，無道德的人可獲取計算機系統和敏感的用戶數據的訪問路徑。其他違反安全的行為是使用解碼含有密鑰的文件的侵襲手法發生的。其結果是，侵襲者會危及所有將來的通信或偽裝成用戶或敏感信息的擁有者。
因此，經過或存儲在計算機中的敏感數據會被能獲取計算機或與計算機相連的計算機網絡的訪問路徑的黑客或入侵者所危及。而且，即使敏感數據已被加密，如在計算機系統下載和執行惡作劇程序的情況下，計算機中其他敏感數據很易受到侵襲。
目前出現了針對計算機系統潛在的侵襲的機制。其中之一是在常規計算機系統中創造的受信任的操作環境。這些環境具有被隱藏的執行功能和受保護的存儲空間。被隱藏的執行功能允許執行不為傳統計算機資源所察覺的操作。受保護的存儲空間提供敏感信息的安全保護，這些信息如密鑰、籤名密鑰或其他秘密信息。被隱藏的操作功能和受保護的存儲空間允許常規計算機系統執行交易協議部分而不允許軟體調試程序監視數據結構並作用於信任環境中的斷點或監視點。信任環境的這些方面還有助於防止病毒或其他入侵機制修改應用數據或可操作的物品代碼。因此，交易的敏感部分就可受到保護以防一些傳統軟體的侵襲。
雖然信任環境提供某些保護以防傳統的侵襲，但是這些信任環境存在一些缺陷。具體來說，沒有機制能證實信任環境安全的完整性。一位用戶可能希望提供含有來自各種來源的敏感數據的數據輸入，這些來源包括智慧卡、生物統計傳感器或其他外圍設備。較難允許一位用戶以安全的方式將數據輸入到信任環境中。也難以安全地提供有關發生在信任環境的處理過程的反饋信息。
因此需要這樣一種系統和方法，它能提供處理安全交易的環境，同時避免信任環境實施中的許多缺陷。本發明針對了這種需要。
發明概述本發明提供了用於執行安全交易的一種系統和方法。其計算機系統包括一個存儲器。一方面，該方法和系統包括提供一個計算機系統的基本輸入輸出系統(BOIS)，提供一個與計算機系統耦合的安全外圍設備以及提供一個與計算機系統耦合的主安全協處理器。BIOS包含用於指示與BIOS第一信任關係的第一裝置。安全外圍設備包含用於指示與安全外圍設備第二信任關係的第二裝置。主安全協處理器是用於執行計算機系統的敏感數據，它包含用於指示與主安全協處理器第三信任關係的第三裝置。該方法和系統還利用主安全協處理器或BIOS來證實第一、第二或第三信任關係之一，它是使用第一裝置指示第一信任關係，使用第二裝置指示第二信任關係或使用第三裝置指示第三信任關係。另一方面，該方法和系統利用計算機系統的敏感數據執行應用程式。計算機系統包括一個主安全協處理器和一個安全外圍設備。在這方面，該方法和系統建立了主安全協處理器與安全外圍設備之間通信的安全通道以執行部分應用程式，通過主安全協處理器利用安全通道執行這部分應用程式。
根據在此公開的方法和系統，本發明提供了在計算機系統中可被鑑定的信任環境。由此就實現了快速執行受安全保護的交易而不危及敏感數據。此外，系統中的安全資源可以被查詢以確定系統執行受安全保護的交易的能力。還可跟蹤安全資源的使用情況。
附圖簡述

圖1為執行電子交易的常規系統的框圖。
圖2A為常規認證結構的圖解。
圖2B為用於鑑定電子交易的常規認證鏈的圖解。
圖3為根據本發明的含有一個安全協處理器的系統的框圖。
圖4為能在計算機系統中鑑定和使用安全資源的系統的一個實施例的圖解。
圖5為能在計算機系統中鑑定和使用安全資源的系統的另一個實施例的圖解。
圖6A為描述根據本發明的鑑定安全資源方法的流程圖。
圖6B為根據本發明的驗證安全資源方法的流程圖。
圖7A為根據本發明的使用安全資源方法的流程圖。
圖7B為根據本發明的提供安全通道方法的流程圖。
圖8為根據本發明的執行一個具體經安全保護的交易的系統的一個實施例的圖解。
圖9A為根據本發明的提供安全交易以傳送視頻的方法的流程圖一部分。
圖9B為根據本發明的提供安全交易以傳送視頻的方法的流程圖一部分。
本發明詳述本發明涉及在計算機系統中執行安全交易的改進。下列描述表明使本領域的普通熟練人員能利用本發明，這些內容體現在專利申請的上下文及所需之處。對較佳實施例的各種修改對於本領域的熟練的人來說是顯而易見的，此處的一般原理可用於其他的實施例。因此，本發明不局限於所指示的實施例而適用於與此處所述的原理和特性一致的更廣泛的領域。
圖1為執行電子交易的一個常規系統10的框圖。系統10包括一個裝備有計算機磁碟和存儲器(磁碟)16的個人計算機或工作站(計算機)14。計算機14通過網絡12與其他計算機(未圖示)相連。網絡12可以是連接一幢大樓中的計算機的一個區域網、連接位於分開的幾幢大樓中的一個組織的各臺計算機的一個廣域網、一個公共網如英特網。
大多數用於處理電子交易的應用程式(電子交易應用程式)可在一個常規作業系統平臺諸如OS/2、Windows和UNIX上進行操作。常規作業系統平臺不為執行電子交易的應用程式提供一個安全環境。在這種環境中，很容易危及有關電子交易的機密信息(敏感數據)。常規計算機14違反安全的行為包括解碼含有密鑰的文件，對其他系統或其他機制有可能進行解鎖以侵襲計算機系統。
因此需要選擇其他系統和方法保護電子交易的完整性和有效性。這些系統和方法為處理電子交易提供一個更為安全的環境。
交易信息可在一個計算機系統中被鑑定。電子交易應用程式一般與熟知的公共密鑰加密算法相關，該算法利用公共密鑰和私有密鑰的一對密鑰組合進行鑑定。公共密鑰是在公共區域中可獲取的數據。私有密鑰是屬於擁有者個人的敏感數據。私有密鑰是由發給個人的智慧卡提供的，智慧卡由如銀行、信用卡公司、僱主等組織發出。
數字認證將這對密鑰組合與一個名稱結合從而提供一個數字身份。該數字認證用於證實公共密鑰是屬於使用它的特定的實體。圖2A為一個常規認證的結構圖。一個常規認證結構與如X509.v3標準的認證結構一致。一個常規數字認證500包括一個用戶名502、一個認證有效日期504和公共密鑰508。此認證由互相委託的授權機構(也就是，受公共密鑰使用者和他的交易方委託)「籤字」。互相委託的授權機構通常所知為認證授權機構或籤發授權機構506，它通過提供籤名510證實公共密鑰確實屬於該公共密鑰使用者的方式來鑑定公共密鑰使用者的身份。
藉助公共密鑰加密，一條經加密或未經加密的消息可由私有密鑰「籤字」並傳送至受信人。然後，該受信人或任何擁有公共密鑰的人能使用公共密鑰解密消息並知道誰是發信人。數字認證允許通過跟蹤消息來源和通常被稱作為「根」實體的信任共同點來鑑定消息。一般一條認證鏈用於此目的。
圖2B為鑑定電子交易的認證鏈的圖解。具有根認證授權機構522的認證鏈允許不同國家地區的個人之間進行電子交易。根認證授權機構522允許不同國家以及這些國家的不同地區的認證授權機構向個人籤發數字身份。認證鏈建立一種由每一交易方至根認證授權機構522的向上信任關係。
「信任關係」的含義是二個設備或實體之間存在著一種重要的關係。它基於幾條原理(1)鑑定(消息的接受人必須能確定其來源；入侵者不能偽裝成別人)；(2)完整性(消息的接受人必須能證實消息在傳送過程中未被修改；入侵者不能用假消息替代合法消息)；(3)不可否認性(發消息者事後不能否認他發出消息。一旦提供了一種信任關係，就可能建立一個「安全」通道，可選擇用此通道以保密方式提供數據。
由此，舉例來說，日本認證授權機構528、法國認證授權機構526和美國認證授權機構均各自分別籤發數字身份給日本、法國和美國居民。在日本，東京地區認證授權機構538可以籤發數字身份546給J.Yen。在法國，巴黎地區認證授權機構536可以籤發數字身份544給F.Frank。在美國，可以有東部認證授權機構534、中西部認證授權機構532和西部認證授權機構530。西部認證授權機構530可以籤發數字身份給加州認證授權機構540，隨後加州認證授權機構540可以籤發數字身份542給A.Doe。
當加州居民A.Doe想要處理與日本的J.Yen和/或法國的F.Frank交換數據進行的電子交易時，A.Doe需要確定是與J.Yen和/或F.Frank而不是冒充者進行電子交易。通過現有的認證技術，就可證實經過認證鏈的交易消息的發送人的數字身份。A.Doe在核查某人消息中的數字認證時可檢查此人的數字認證中是否有有效的數字身份。也就是說，A.Doe可檢查J.Yen的消息中是否有有效的認證授權機構即東京地區認證授權機構538、日本認證授權機構528、以及根認證授權機構522的籤字。
公共-私有-密鑰加密的特徵在於它是一個不對稱的加密，其中如果用用戶的公共密鑰完成變換(加密)，那麼只有用戶的私有密鑰才能進行反向變換(解密)。也就是說，每邊分別只需密鑰之一，一個用於變換，另一個用於反向變換。
相反地，對稱密鑰加密使用一個密鑰，兩邊都用此密鑰加密和解密它們的消息。一邊用該密鑰加密消息，另一邊用同樣的密鑰解密消息。該密鑰必須保密；如果未經授權的人得到了密鑰，他就能閱讀所有用此密鑰加密的通信內容。因此，特別需關注密鑰的分發-不能無償分發公共密鑰，所有的密鑰必須保密，必須設計高度安全的分發制度保護系統安全。私有-公共-密鑰系統允許事先未見面的各方安全通信。由於公共密鑰能廣泛分發，任何人都能為他們希望與之安全通信的人取得一份公共密鑰的副本，用他們的公共密鑰加密消息，同時通過他/她的數字認證鑑定使用者。
再參見圖1，為允許在計算機14執行安全交易，可在計算機14提供一個信任環境。計算機14的信任環境具有被隱藏的操作功能和受保護的存儲空間，被隱藏的操作功能允許實施不為傳統計算機資源所察覺的操作，受保護的存儲空間提供敏感信息的安全保護。被隱藏的操作功能和受保護的存儲空間有助於防止病毒或其他入侵機制修改應用數據或可操作的物品代碼。
雖然信任環境提供保護防止傳統侵襲，但是本領域的普通熟練人員了解信任環境具有一些缺陷。沒有任何機制能證實信任環境安全的完整性。用戶可以希望提供含有來自各種來源的敏感數據的數據輸入，這些來源包括智慧卡、生物統計傳感器或其他外圍設備。較難允許用戶以安全的方式將數據輸入到信任環境中。也難以安全地提供有關發生在信任環境的處理過程的反饋信息。
以上結合作為參考的於____提交的題為「計算機系統安全交易的方法和系統」的共同審理中的第____號美國專利申請描述了包含安全協處理器的一種方法和系統。上述共同審理中的專利申請的方法和系統包括一個安全協處理器和用於將安全協處理器與主機系統相連的一個接口。在此方法和系統中，安全交易的執行就地在安全協處理器內執行，非安全交易的處理在主機系統內執行。該方法和系統還包括提供與安全協處理器耦合的信任輸入的裝置。此外，該方法和系統包括與安全協處理器耦合的用於從智慧卡接受敏感數據的第二接口，以及與安全協處理器耦合的用於提供真實交易信息的信任顯示。
圖3為根據上述共同審理中的專利申請的包含安全協處理器122的一個系統100的框圖。安全協處理器122包含一個用於與主機(計算機)114相連的主機接口120，主機再與網絡110相連。主機接口120包含一個接口134，這在共同審理的專利申請中詳述。使用主機接口120，安全協處理器在主機114和安全協處理器122之間建立了一道防火牆。
安全協處理器122被描述為與信任顯示128及信任輸入130相連。安全協處理器122還被描述為包含智慧卡接口124。安全協處理器122與智慧卡126相連，智慧卡126為存放敏感數據的手持式安全裝置。安全協處理器122與符合智慧卡通信標準ISO7816的智慧卡126兼容則較佳。
如共同審理中的專利申請所述，安全計算機環境104通過接口134與傳統計算機環境102分離。這樣就能進行電子交易的分發處理。分發處理的特徵在於安全協處理器122負責就地檢索和處理敏感數據。在安全協處理器122提供的安全計算機環境104，敏感數據經加密和/或隱藏在經加密籤字的消息中。然後經加密的敏感數據和/或經加密籤字的消息傳送至計算機114的傳統計算機環境102從而完成電子交易的處理。計算機114通過網絡110將含有加密籤字消息的交易信息傳至與之相連的另一臺計算機。因此，根據上述共同審理中的專利申請的系統中，敏感數據從不由傳統計算機環境102的計算機114處理，因而不易被侵襲。
安全協處理器122雖然被描述為與智慧卡126耦合，但它能用於鍵盤(未圖示)或其他外圍設備。其結果是，在其他外圍設備中可提供安全計算機環境，如安全計算機環境104。在本專利申請的上下文中，通過使用安全協處理器122或其他機制提供安全計算機環境的外圍設備被稱為安全外圍設備。
雖然安全協處理器122按預定目的發揮其功能，但本領域的普通熟練人員能意識到安全協處理器122和其他安全外圍設備可獲取的帶寬大大少於一些應用程式所需要的。例如，某些應用程式需要來自用戶的存儲值帳戶的實時視頻流解密和演繹。安全協處理器122可能不能提供這些服務。由此，這樣的應用程式將得益於具有高帶寬和直接訪問系統資源的安全協處理器。在本專利申請的上下文中，這樣的安全協處理器被稱作主機安全協處理器。還可提供主機安全協處理器使用環境的安全性證實。此外，可提供主機安全協處理器在處理應用程式時使用安全外圍設備的環境。
本發明提供了用於執行安全交易的一種系統和方法。一方面，該方法和系統包括提供一個計算機系統的基本輸入輸出系統(BIOS)，提供一個與計算機系統耦合的安全外圍設備以及提供一個與計算機系統耦合的主安全協處理器。BIOS包含用於指示與BIOS第一信任關係的第一裝置。安全外圍設備包含用於指示與安全外圍設備第二信任關係的第二裝置。主安全協處理器是用於處理計算機系統的敏感數據，它包含用於指示與主安全協處理器第三信任關係的第三裝置。
該方法和系統還包括利用BIOS來證實第一、第二或第三信任關係之一，它是使用第一裝置指示第一信任關係，使用第二裝置指示第二信任關係或使用第三裝置指示第三信任關係。
另一方面，該方法和系統利用計算機系統的敏感數據執行應用程式。計算機系統包括一個主安全協處理器和一個安全外圍設備。在這方面，該方法和系統建立了主安全協處理器與安全外圍設備之間通信的安全通道以執行應用程式，執行主安全協處理器的應用程式，執行應用程式時使用主安全協處理器與安全外圍設備之間通信的安全通道。
以下就具有幾個安全外圍設備的一個特定系統來描述本發明。但是，本領域的普通熟練人員可看出該方法和系統使用其他安全外圍設備就能為其他系統有效工作。另外，還將在具有安全協處理器提供安全保護的安全外圍設備的上下文中描述本發明。然而，無任何因素能阻礙本發明與利用其他機制確保安全的安全外圍設備一起使用。最後，將在每個系統都提供有一個主安全協處理器的上下文中描述本發明。但是，本發明與每個系統中的多個主安全協處理器的使用相一致。
為了根據本發明更具體地說明該方法和系統，現參見圖4和圖5，圖4和圖5為此系統二個實施例的框圖。參見圖4，計算機系統200可以是網絡的一個部分。計算機系統200由系統管理器202管理，它包括一個第一安全外圍設備204，一個第二安全外圍設備212，一個存儲器206和一個主安全協處理器210。系統管理器202可包含一個計算機或工作站，管理器可從中監視系統200。
系統管理器202能管理一個系統，這是因為每個裝置有一個可被跟蹤的數字認證(身份)。系統管理器202想加入一個新的硬體部件(如一個安全鍵盤)時，他/她就運行安裝程序，該安裝程序產生一個由管理者籤名的用於安全鍵盤的數字認證，將此認證安裝在鍵盤裡並且記錄在BIOS 208中指示該新資源存入計算機系統。此外，安裝程序更新遠地資料庫指示系統XYZ現含有安全鍵盤ABC。現在，如果安全鍵盤ABC在以後在系統JKL上被測出，他就知道用戶已移開此鍵盤。同樣地，下次系統XYZ被引導時，可以確定鍵盤ABC不再存在，可向系統管理器202發出「資產管理」的消息。
系統200還可包含其他計算機(未圖示)。第一安全外圍設備204和第二安全外圍設備212可包含一個安全鍵盤、一個安全閱讀器、一個安全顯示器、一個智慧卡、生物統計數據安全存放器或其他安全外圍設備。根據本發明計算機系統200包含一個基本輸出輸入系統(BIOS)208。主安全協處理器210用於處理應用程式(未圖示)，這些應用程式如電子商務或其他應用程式執行受安全保護的交易。主安全協處理器較佳地具有至系統200資源的直接的高帶寬路徑。
同樣，圖5為一計算機系統250，它包括附加系統資源252、第一安全外圍設備254、第二安全外圍設備262、一個存儲器256和一個主安全協處理器260。系統管理器252可包含一個計算機或工作站，管理器可從中監視系統250。系統250還可包含其他計算機(未圖示)。第一安全外圍設備254和第二安全外圍設備262可包含一個安全鍵盤、一個安全閱讀器、一個安全顯示器、一個智慧卡、生物統計數據安全存放器或其他安全外圍設備。依據本發明計算機系統250包含一個基本輸出輸入系統(BIOS)258。主安全協處理器260用於處理應用程式(未圖示)，這些應用程式如電子商務或其他應用程式執行受安全保護的交易。主安全協處理器如有系統250資源的直接高-帶寬存取路徑則更佳。
在使用時，BIOS 208或258分別用於測試和準備系統200或250。BIOS 208或258分別包含證實系統200或250各部分安全完整性的機制。在一個優選實施例中，BIOS 208或258包含一個數字認證(未圖示)和一個私有密鑰(未圖示)，用於分別指示BIOS 208或258與系統管理器202或系統250的餘下部分的信任關係。
圖6A表示提供系統200或250的一種方法，用此方法可執行安全交易以及分別證實系統和安全外圍設備204和212或254和262的安全性。BIOS 208或258經過步驟302分別安裝在系統200或250中。如上所述，BIOS 208或258包含一個數字認證和一個私有密鑰或其他分別表示BIOS 208或258與系統管理器202或系統200或250的信任關係的指示。
經過步驟302至少安裝了一個主安全協處理器210或260。主安全協處理器210或260用於處理執行安全交易的應用程式。主安全協處理器210或260包含一個分別表示主安全協處理器210或260與系統管理器202或系統200或250的信任關係的指示。在一個優選實施例中，該指示為一個數字認證和一個私有密鑰。安全外圍設備204和212或254和262分別經過步驟330進行安裝。如前面所述，安全外圍設備204、212、254及262如包含一個安全協處理器122則更佳。每個安全外圍設備204、212、254及262還包含每個安全外圍設備204、212、254及262與系統管理器202或分別與系統200或250的信任關係的指示。在一個優選實施例中，每個安全外圍設備204、212、254及262包含一個數字認證和一個私有密鑰。這樣，BIOS 208或258經過步驟340證實這些信任關係。
圖6B表示了一個優選實施例證實信任關係的步驟340的更詳細的流程圖。在啟動時採用方法340較佳。可在特定時期或考慮加入其他安全外圍設備(未圖示)或已加入系統200或250的其它主安全協處理器(未圖示)以更新系統200或250的配置的時候執行方法340。經過步驟342，BIOS 208或258證實其自身的安全完整性。在一個優選實施例中，使用加密散列(cryptographic hash)和籤名的機制來執行步驟342。散列是一種類似壓縮算法的單向防衝突的加密算法。防衝突的意思是對於任何一個輸入都有一個相應的散列輸出。就是說，如果除了一個比特之外兩部分數據完全一樣，那麼就會產生二個完全不同的散列輸出。單向意味著散列值不可能導出任何輸入數據。安全散列使得很難偽造電子籤名，因為它要求實驗大量的輸入數據，而只有其中一個輸入數據才能產生特定的散列輸出。
BIOS 208或258經過步驟344使安全外圍設備204和212或254和262以及主安全協處理器210和260分別生效。在一個優選實施例中，步驟344包括使安全外圍設備204和212或254和262的數字認證以及主安全協處理器210和260的數字認證生效。在一個優選實施例中，步驟344還包括確定新的受安全保護的外圍設備(未圖示)或新的主安全協處理器(未圖示)是否已加入系統中並使任何新的受安全保護的外圍設備或新的主安全協處理器生效。BIOS經過步驟346提供安全資源的清單。安全資源是那些經步驟344生效的受安全保護的外圍設備204、212、254或262以及主安全協處理器210或260。在一個優選實施例中，步驟346提供所有已生效的安全外圍設備204和212或254和262以及主安全協處理器210或260的資料庫。
這樣，安全外圍設備204、212、254或262就能允許用戶以安全方式輸入敏感數據。使用方法300可證實安全外圍設備204、212、254及262中的每一個的完整性，以及主安全協處理器210和260的每一個的完整性。一旦採用方法340提供了系統200或250並證實了信任關係，就可使用安全資源204、210和212或254，260和262運行執行安全交易的應用程式。這樣就為運行應用程式提供了一個信任環境。
圖7A表示了利用安全資源執行安全交易的應用程式的方法400。至少部分應用程式是用主安全協處理器210或260執行的。在一個優選實施例中，經過步驟410確定是否有足夠的安全資源用於執行應用程式。但是，注意步驟410不是必須的。同樣在一個優選實施例中，步驟410包括查詢安全資源資料庫確定是否可獲取執行應用程式所需的安全外圍設備204和212或254和262。在一個優選實施例中，如果沒有足夠的資源，那麼就不能執行應用程式。但是，在另一個實施例中，可確定沒有足夠的資源情況下執行應用程式違反安全行為產生的風險，如果風險小於一個特定的容差仍可執行該應用程式。
如果有足夠的安全資源，那麼通過步驟420建立起主安全協處理器210或260與可被應用程式使用的安全資源如安全外圍設備204、212、254或262之間的安全通道。在一個優選實施例中，通過存在於主安全協處理器210或260的內容保護應用程式執行步驟420。使用安全資源的應用程式可取得內容保護應用程式。然後內容保護應用程式執行步驟420。執行應用程式時，通過步驟430用安全通道進行主安全協處理器210或260分別與安全外圍設備204和212或254和262之間的通信。
圖7B表示了一個優選實施例建立安全通道的步驟420的更詳細的流程圖。主安全協處理器210或260通過步驟422分別與安全外圍設備204和212或254和262中的每一個或其他所使用的安全資源交換數字認證。然後主安全協處理器210或260通過步驟424分別使安全外圍設備204和212或254和262中的每一個的數字認證生效。安全外圍設備204和212或254和262中的每一個或其他所使用的安全資源通過步驟426分別使主安全協處理器210或260的數字認證生效。然後主安全協處理器210或260通過步驟428提供會話密鑰。在一個優選實施例中，主安全協處理器210或260以及安全外圍設備204和212或254和262分別採用與應用程式一起使用安全外圍設備204和212或254和262中的每一個的密鑰交換算法磋商會話密鑰。每個密鑰磋商過程產生用於主安全協處理器與各自的安全外圍設備的安全通信的獨一無二的會話密鑰。會話密鑰是使用常規密鑰交換算法如Diffe-Hellman磋商的。
一旦通過步驟428商定會話密鑰後，通過圖7A描述的步驟430，使用會話密鑰在主安全協處理器210或260和用於執行應用程式的安全外圍設備204和212或254和262之間交換數據。利用會話密鑰加密數據，通過主安全協處理器210或260分別與安全外圍設備204和212或254和262之間的加密通道進行傳輸。隨後，由主安全協處理器210或260和接收加密數據的安全外圍設備204和212或254和262中的每一個進行數據解碼。這樣，主安全協處理器210或260和安全外圍設備204和212或254和262之間交換的數據就能免於洩露。這是因為只有安全通道末端才能解碼主安全協處理器210或260分別與安全外圍設備204和212或254和262之間傳送的信息。在一個優選實施例中，一旦應用程式執行完畢，銷毀採用步驟420提供的安全通道則更佳。在一個優選實施例中，這包括銷毀步驟430磋商的會話密鑰。
所以，本發明具有許多優點。每一系統200和250中的安全資源的完整性可分別使用BIOS 208或258明確證實。一旦主安全協處理器210或260分別與安全外圍設備204和212或254和262之間建立起安全通道，就可在主安全協處理器210或260分別與安全外圍設備204和212或254和262之間傳送用於執行允許用於受安全保護的交易的應用程式的敏感數據或其他數據，而不會使數據易受侵襲。此外，通過安全外圍設備204、212、254或262，如安全鍵盤輸入的敏感數據可轉移至其他安全資源用於執行應用程式。這樣，即使由系統200或250執行應用程式也不會危及輸入系統200或250的敏感數據的完整性。此外，使用可能具有高帶寬的主安全協處理器210或260實現應用程式的執行。因而，提高了具有外部安全處理器的實施例的處理速度。
每個安全外圍設備204、212、254和262和每個主安全協處理器210和260被賦予獨特的數字認證和私有密鑰，即所謂的認證文件。可使用相應的跟蹤這些安全資源的使用。例如，系統管理器202可通過監視安全外圍設備204或212的認證文件分別跟蹤安全外圍設備204或212的使用。此外，採用方法400可確定可獲取安全資源並根據執行過程涉及的風險決定運行時間。
圖8更清晰地表明根據本發明的方法和系統的優點。圖8顯示了根據本發明用於特定受安全保護交易的系統600的一個特定實施例。受安全保護的交易允許用戶接收來自伺服器(未圖示)的視頻內容。系統600包括一個常規微處理器602、一個隨機存取存儲器(RAM)610、一個與磁碟616耦合的直接存儲器訪問(DMA)控制器614和一個光碟只讀存儲器(CD-ROM)618。磁碟616或光碟只讀存儲器(CD-ROM)618存放用戶希望存取的數據。
隨機存取存儲器(RAM)610用作安全資源之間的消息傳遞郵箱。例如，可由安全單元設備驅動器執行安全鍵盤630和主安全協處理器612之間的通信。協作處理器612發至鍵盤630的一條消息可通過安全協處理器630寫入RAM610，這時安全協處理器有一個標題指示消息是發給安全鍵盤630的。然後，該消息經過安全鍵盤驅動器傳送至鍵盤630。作為回應，鍵盤630將一條消息標記為發給安全協處理器612，接收驅動器通過將消息放入安全協處理器612的郵箱(輸入列隊)來執行同樣的功能。當這些消息有效負荷經會話密鑰加密後，設備之間數據的機密性就被賦予了「安全通道」的概念。
系統600還包括一個監視器604、一個與監視器604耦合的SVGA(超級視頻圖形適配器)控制器606和一個外圍設備控制器。外圍設備控制器與安全顯示器622、安全生物統計傳感器624、安全鍵盤630和安全智慧卡閱讀器626耦合，安全智慧卡閱讀器626可與智慧卡628耦合。安全顯示器622、安全生物統計傳感器624、安全鍵盤630和安全智慧卡閱讀器626是具有安全協處理器如122和主接口如134的安全外圍設備。系統600還包括一個根據本發明的包含BIOS608的只讀存儲器(ROM)，以及一個根據本發明的主安全協處理器612。如圖6B所表示，BIOS 608採用方法340證實主安全協處理器612、安全顯示器622、安全生物統計傳感器624、安全智慧卡閱讀器626和安全鍵盤630的完整性。
圖9A和9B為一同表示用於提供安全交易以傳遞視頻至系統600的方法700。參見圖8、9A和9B描述方法700。用戶通過步驟702要求存放在伺服器(圖8未圖示)的一個加密可視文件。為了解密該可視文件用戶必須向視頻提供者提供價值(value)。這樣，需要轉移敏感信息的安全交易使得用戶能獲取並看到所需的視頻內容。存放在系統600的用於執行受安全保護交易的應用程式通過步驟704查詢安全資源的資料庫以確定是否有足夠的資源。BIOS 608使用方法340使系統組件生效時提供資料庫。因此，步驟704與圖7A所述的方法400中的步驟410相似。再參見圖8、9A和9B，如果有足夠的資源，應用程式通過步驟706啟動主安全協處理器612中的內容保護應用程式(未圖示)。然後，主安全協處理器612中的內容保護應用程式通過步驟708在主安全協處理器612和所需的安全資源如安全顯示器622、安全生物統計傳感器624、安全智慧卡閱讀器626和安全鍵盤630之間建立安全通道。步驟708與圖7A和7B中所述的步驟420相似。
再參見圖8、9A和9B，接著加密可視文件通過步驟710下載至系統600。該加密可視文件如包含具有摘要和用法方面的信息的明文標題則較佳。系統600通過步驟712讀取標題以確定轉移至視頻提供者的總額使得系統能解密可視文件。主安全協處理器612使用主安全協處理器612和安全顯示器622之間的安全通道，可通過步驟714將總額轉移至安全顯示器622。交易總額不須加密。但是，必須鑑定總額以確保從用戶轉移至視頻文件提供者的總額正確。
一旦鑑定了總額，通過步驟716，安全顯示器622向用戶顯示總額並指示用戶將智慧卡628放入智慧卡閱讀器626。通過步驟718，安全智慧卡閱讀器626和智慧卡628之間建立了信任關係。在一個優選實施例中，步驟718包括使智慧卡628的數字認證有效。隨後安全智慧卡閱讀器626通過步驟720讀取智慧卡628的敏感數據。在一個優選實施例中，步驟720包括讀取用戶用於視頻提供者的帳戶中的價值並確定個人識別號(PIN)必須用於開啟用戶的帳戶。通過步驟722，安全顯示器622用於指導用戶在安全鍵盤630上輸入PIN。
然後，主安全協處理器612和安全鍵盤630之間的安全通道用於通過步驟724將PIN從安全鍵盤630傳送至主安全協處理器612。因此，步驟724包括使用用於主安全協處理器612和安全鍵盤630之間的安全通道的會話密鑰解密PIN。然後，主安全協處理器612和安全智慧卡閱讀器626之間的安全通道用於通過步驟726將PIN轉送至安全智慧卡閱讀器626。因此，PIN還在步驟726的轉移中被解密。然後通過步驟728，安全智慧卡閱讀器626解密PIN並將其轉移至智慧卡628。智慧卡通過步驟730使用PIN開啟用戶的帳戶。
一旦用戶的帳戶被開啟，通過步驟732，主安全協處理器612就可使用安全智慧卡閱讀器626和主安全協處理器612之間的安全通道用交易總額借記用戶的帳戶並向智慧卡628提供交易收據。同樣通過步驟732，主安全協處理器612與伺服器交換總額並接收用於解密可視文件必要的工具如密鑰。隨後通過步驟734，可視文件被解密並播放。通過步驟736，所提供的用於執行應用軟體的安全通道在完成時被銷毀。
由於主安全協處理器612具有大帶寬和直接訪問系統600資源的路徑，因此可視文件可通過步驟734被解密並實時播放。這樣，系統600就能參與受安全保護的交易。此外，主安全協處理器可以充分地向用戶播放可視文件。由於安全協處理器的有限帶寬，不可能只使用存放在安全智慧卡閱讀器626的安全協處理器如安全處理器122或只使用智慧卡628實時播放可視文件。
用於使用和鑑定受安全保護的資源以執行受安全保護的交易的一種方法和系統已被公開。雖然根據所示的實施例描述了本發明，本領域的普通熟練人員能看到對實施例可做些變換，這些變換均屬於本發明的精神和範圍內。因此，在不脫離所附權利要求書的精神和範圍，本領域的熟練人員還可對此作出各種變換。
權利要求
1.一種在計算機系統上執行安全交易的方法，該方法包括以下步驟(a)在計算機系統上提供一個基本輸入輸出系統(BIOS)，BIOS包括用於指示與BIOS第一信任關係的第一裝置；(b)提供一個與計算機系統耦合的安全外圍設備，該安全外圍設備包括用於指示與安全外圍設備的一個第二信任關係的第二裝置；(c)提供一個與安全外圍設備和存儲器耦合的主安全協處理器，主安全協處理器用於處理計算機系統上的敏感數據，它包括用於指示與主安全協處理器第三信任關係的第三裝置；以及(d)利用BIOS或主安全協處理器證實第一、第二或第三信任關係的至少一個，它是使用第一裝置指示第一信任關係，使用第二裝置指示第二信任關係或使用第三裝置指示第三信任關係。
2.如權利要求1所述的方法，其特徵在於，包括利用步驟(d)的籤名機制的BIOS還包括步驟(d1)使用籤名機制證明第一信任關係。
3.如權利要求1所述的方法還包括步驟(e)用第二裝置指示第二信任關係證明第二信任關係，以及使用第三裝置指示第三信任關係證明第三信任關係。
4.如權利要求3所述的方法，其特徵在於，安全外圍設備包括一個第二數字認證和一個第二私有密鑰，主安全協處理器包括一個第三數字認證和一個第三私有密鑰；其中，利用步驟(e)的BIOS還包括步驟(e1)證明第二數字認證和第三數字認證。
5.如權利要求3所述的方法，其特徵在於還包括步驟(f)提供多個安全資源的清單，多個安全資源包括主安全協處理器和安全外圍設備。
6.如權利要求4所述的方法，其特徵在於，計算機系統還包括一個應用程式，由主安全協處理器執行一部分應用程式，此方法還包括步驟(g)建立主安全協處理器和安全外圍設備之間通信的安全通道。
7.如權利要求6所述的方法，其特徵在於，主安全協處理器包括一個第一數字認證，安全外圍設備包括一個第二數字認證，建立步驟(g)的安全通道還包括步驟(g1)向安全外圍設備提供第一數字認證；(g2)向主安全協處理器提供第二數字認證；(g3)使用安全外圍設備證實第一數字認證；(g4)使用主安全協處理器證實第二數字認證；以及(g5)提供用於主安全協處理器和安全外圍設備之間通信的一個會話密鑰以執行這部分應用程式。
8.如權利要求6所述的方法，其特徵在於還包括步驟(h)使用安全通道通過主安全協處理器執行這部分應用程式。
9.如權利要求8所述的方法，其特徵在於還包括步驟確定應用程式是否可被安全執行。
10.如權利要求9所述的方法，其特徵在於，該系統包括多個安全資源，確定步驟(i)還包括步驟(i1)確定多個安全資源是否足夠執行應用程式；以及(i2)只在多個安全資源足夠情況下才執行應用程式。
11.如權利要求10所述的方法，其特徵在於，資源確定步驟(i1)還包括步驟(i1a)確定安全外圍設備是否足夠執行應用程式。
12.如權利要求9所述的方法，其特徵在於還包括步驟(j)允許系統管理者跟蹤安全外圍設備的使用情況。
13.一種用於在計算機系統上利用敏感數據執行應用程式的方法，該計算機系統包括一個主安全協處理器和一個安全外圍設備，該方法包括如下步驟(a)建立主安全協處理器和安全外圍設備之間通信的安全通道以執行這部分應用程式；以及(b)使用安全通道通過主安全協處理器執行這部分應用程式。
14.如權利要求13所述的方法，其特徵在於，主安全協處理器包括一個第一數字認證和第一密鑰，安全外圍設備包括一個第二數字認證和第二密鑰，安全通道建立步驟(a)還包括步驟(a1)向安全外圍設備提供第一數字認證；(a2)向主安全協處理器提供第二數字認證；(a3)使用安全外圍設備證實第一數字認證；(a4)使用主安全協處理器證實第二數字認證；以及(a5)磋商基於二個安全裝置的信任關係的一個會話密鑰，該會話密鑰用於主安全協處理器和安全外圍設備之間通信以執行這部分應用程式。
15.如權利要求13所述的方法，其特徵在於還包括步驟(c)確定應用程式是否可被安全執行。
16.如權利要求15所述的方法，其特徵在於，該系統包括多個資源，確定步驟(c)還包括步驟(c1)確定多個資源是否足夠執行應用程式；以及(c2)只在多個資源足夠情況下才執行應用程式。
17.如權利要求16所述的方法，其特徵在於，資源確定步驟(c1)還包括步驟(c1i)確定安全外圍設備是否足夠執行應用程式。
18.如權利要求15所述的方法，其特徵在於還包括步驟(d)允許系統管理者跟蹤安全外圍設備的使用情況。
19.一種用於在計算機系統上執行安全交易的設備，包括含有一個基本輸入輸出系統(BIOS)的計算機系統，BIOS包含用於指示與BIOS的第一信任關係的第一裝置；一個與計算機系統耦合的安全外圍設備，該安全外圍設備包含用於指示與安全外圍設備的一個第二信任關係的第二裝置；以及一個與計算機系統耦合的主安全協處理器，主安全協處理器包含用於指示與主安全協處理器第三信任關係的第三裝置；其中，BIOS使用第一裝置指示第一信任關係，使用第二裝置指示第二信任關係或使用第三裝置指示第三信任關係來證實第一、第二或第三信任關係的至少一個。
20.如權利要求19所述的設備，其特徵在於，BIOS還包含一個籤名機制，其中，BIOS還使用籤名機制證明第一信任關係。
21.如權利要求19所述的設備，其特徵在於，BIOS還使用第二裝置指示第二信任關係證明第二信任關係以及使用第三裝置指示第三信任關係證明第三信任關係。
22.如權利要求21所述的設備，其特徵在於，安全外圍設備包括一個第二數字認證和一個第二私有密鑰，主安全協處理器包括一個第三數字認證和一個第三私有密鑰；BIOS還證明第二數字認證和第三數字認證。
23.如權利要求21所述的設備，其特徵在於，BIOS還提供多個安全資源的清單，多個安全資源包括主安全協處理器和安全外圍設備。
24.如權利要求22所述的設備，其特徵在於，計算機系統還包括一個應用程式，由主安全協處理器執行一部分應用程式，此設備還包括執行這部分應用程式時，建立主安全協處理器和安全外圍設備之間通信的安全通道的裝置。
25.如權利要求24所述的設備，其特徵在於，主安全協處理器還包括一個第一數字認證，安全外圍設備包括一個第二數字認證，安全通道建立裝置還包括向安全外圍設備提供第一數字認證的裝置；向主安全協處理器提供第二數字認證的裝置；使用安全外圍設備證實第一數字認證的裝置；使用主安全協處理器證實第二數字認證的裝置；以及磋商用於主安全協處理器和安全外圍設備之間通信的一個會話密鑰以執行這部分應用程式的裝置。
26.如權利要求25所述的設備，其特徵在於主安全協處理器使用安全通道執行這部分應用程式。
27.如權利要求24所述的設備，其特徵在於還包括確定應用程式是否可被安全執行的裝置。
28.如權利要求27所述的設備，其特徵在於，該系統包括多個資源，其中，確定應用程式是否可被安全執行的裝置還包括確定多個資源是否足夠執行應用程式的裝置；以及只在多個資源足夠情況下才執行應用程式的裝置。
29.如權利要求28所述的設備，其特徵在於，確定多個資源是否足夠的裝置還包括確定安全外圍設備是否足夠執行應用程式的裝置。
30.如權利要求27所述的設備，其特徵在於，系統由系統管理者管理，其中，允許系統管理者跟蹤安全外圍設備的使用情況。
31.一種用於在計算機系統上利用敏感數據執行應用程式的設備，該計算機系統包括一個主安全協處理器和一個安全外圍設備，該設備包括建立主安全協處理器和安全外圍設備之間通信的安全通道以執行這部分應用程式的裝置；以及使用安全通道通過主安全協處理器執行這部分應用程式的裝置。
32.如權利要求31所述的設備，其特徵在於，主安全協處理器還包括一個第一數字認證，其中，安全外圍設備包括一個第二數字認證，安全通道建立裝置還包括向安全外圍設備提供第一數字認證的裝置；向主安全協處理器提供第二數字認證的裝置；使用安全外圍設備證實第一數字認證的裝置；使用主安全協處理器證實第二數字認證的裝置；以及磋商用於主安全協處理器和安全外圍設備之間通信的以執行這部分應用程式的磋商一個會話密鑰的裝置。
33.如權利要求31所述的設備，其特徵在於還包括確定應用程式是否可被安全執行的裝置。
34.如權利要求33所述的設備，其特徵在於，該系統包括多個資源，其中，確定應用程式是否可被安全執行的裝置還包括確定多個資源是否足夠執行應用程式的裝置；以及只在多個資源足夠情況下才執行應用程式的裝置。
35.如權利要求34所述的設備，其特徵在於，資源確定裝置還包括確定安全外圍設備是否足夠執行應用程式的裝置。
36.如權利要求33所述的設備，其特徵在於還包括允許系統管理者跟蹤安全外圍設備的使用情況的裝置。
全文摘要
本發明公開了在計算機系統上執行安全交易的一種方法和系統。該計算機系統包括一個存儲器。一方面,該方法和系統包括在計算機系統上提供一個基本輸入輸出系統(BIOS)(208),提供一個與計算機系統耦合的安全外圍設備以及提供一個與計算機系統耦合的主安全協處理器(122)。BIOS包含用於指示與BIOS(208)第一信任關係的第一裝置。安全外圍設備包含用於指示與安全外圍設備第二信任關係的第二裝置。主安全協處理器(122)用於處理計算機系統上的敏感數據,它包含用於指示與主安全協處理器(122)第三信任關係的第三裝置。該方法和系統還包括利用BIOS(208)證實第一、第二或第三信任關係的至少一個,它是使用第一裝置指示第一信任關係,使用第二裝置指示第二信任關係或使用第三裝置指示第三信任關係。另一方面,該方法和系統利用計算機系統上的敏感數據執行應用程式。計算機系統包括一個主安全協處理器(122)和一個安全外圍設備。在這方面,該方法和系統包括建立主安全協處理器(122)與安全外圍設備之間通信的安全通道以執行一部分應用程式,通過主安全協處理器(122)利用安全通道執行這部分應用程式。
文檔編號G09C1/00GK1326629SQ99813236
公開日2001年12月12日 申請日期1999年11月12日 優先權日1998年11月13日
發明者L·S·威爾 申請人:波系統股份有限公司