專利名稱:用于生成經(jīng)確認(rèn)的交易數(shù)據(jù)的方法和對應(yīng)裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及當(dāng)在基本上可攻擊的網(wǎng)絡(luò)環(huán)境中使用 一般的數(shù)據(jù)處理設(shè)備進(jìn)
行安全關(guān)鍵(security-critical)交易時(shí),經(jīng)確認(rèn)交易數(shù)據(jù)的可靠且不可攻擊的生成���。尤其是�����,本發(fā)明特別針對于當(dāng)經(jīng)由因特網(wǎng)在個(gè)人計(jì)算機(jī)上進(jìn)行付款時(shí)�����,安全交易數(shù)據(jù)的生成����。
背景技術(shù):
當(dāng)進(jìn)行安全關(guān)鍵應(yīng)用時(shí)(在此期間�,用戶必須實(shí)現(xiàn)(effect)或確認(rèn)敏感數(shù)據(jù)輸入)�����,特殊問題在于確保屏幕上再現(xiàn)的信息與用戶實(shí)際預(yù)期的信息相對應(yīng)�����。傳統(tǒng)的計(jì)算機(jī)系統(tǒng)(首先�,個(gè)人計(jì)算機(jī))尤其可經(jīng)由屏幕上的顯示通過生成顯示而被攻擊���,該攻擊例如借助之前偷偷裝入(smuggle into )個(gè)人計(jì)算機(jī)的惡意軟件,該惡意軟件對用戶假裝由他選擇的應(yīng)用被正確地執(zhí)行了��,然而實(shí)際上���,利用與用戶所期望的交易數(shù)據(jù)不同的交易數(shù)據(jù)執(zhí)行了不同的應(yīng)用��。這樣的攻擊變?yōu)榭赡?���,因?yàn)楫?dāng)在個(gè)人計(jì)算機(jī)上執(zhí)行應(yīng)用時(shí)�����,通常同一CPU控制至后臺系統(tǒng)、至用戶輸入單元��、以及至屏幕的數(shù)據(jù)交換��。因此�����,經(jīng)由至后臺系統(tǒng)的連接�����,介入與用戶數(shù)單元和屏幕的數(shù)據(jù)交換是相對容易的����。
為了防止這樣的攻擊,已經(jīng)提出使用附加設(shè)備�,其至少臨時(shí)在用戶輸入單元與屏幕之間建立安全連接。這樣的解決方案從1999年TOWITOKO公司的出片反物 "Chip drive monitor kit macht digitale Signatur sicherer" 已知����。才艮才居該解決方案,在與附加設(shè)備相連接的個(gè)人計(jì)算機(jī)的CPU��、輸入單元和屏幕之間�,當(dāng)臨時(shí)斷開CPU時(shí)����,可以建立在用戶輸入單元與屏幕之間的直接連接����。
為此目的,該附加設(shè)備具有其自己的顯示準(zhǔn)備單元�����、以及監(jiān)視器開關(guān)����,通過使用該顯示準(zhǔn)備單元和監(jiān)視器開關(guān)���,經(jīng)由該附加設(shè)備����,為了輸入敏感交易輸入的目的而臨時(shí)建立在用戶輸入單元與屏幕之間的直接連接�。用戶隨后在監(jiān)視器上看見由他在輸入單元實(shí)際實(shí)現(xiàn)的輸入。該解決方案允許對經(jīng)確認(rèn)的交易數(shù)據(jù)的可信賴的生成���,但是����,因?yàn)樾枰郊釉O(shè)備,所以這是復(fù)雜的并且從而是昂貴的�����。此外��,在啟動監(jiān)視器開關(guān)時(shí)與切換處理關(guān)聯(lián)的顯示的建立和移除時(shí)間削弱了用戶友善度���。
從US 5,701,342已知用于在不安全的計(jì)算機(jī)環(huán)境中生成可信賴的文檔的 方法�����,這里�,借助于過濾器(filter),確保向用戶顯示了文檔的實(shí)際內(nèi)容�����。借 助于記號(seal),保護(hù)觀看的文檔����。該方法的安全性首先依賴于過濾器的質(zhì) 量。然而���,提供有效的過濾器是復(fù)雜的�。
發(fā)明內(nèi)容
本發(fā)明的目的是提供一種在具有與已知布置相同效率的同時(shí)、可以更便 宜地制造�、并且更容易地處理的布置。
此目的通過具有權(quán)利要求1的特征的方法��、以及具有獨(dú)立權(quán)利要求12 的特征的裝置來實(shí)現(xiàn)�。根據(jù)本發(fā)明的方法和根據(jù)本發(fā)明的裝置基于如下方法 在個(gè)人計(jì)算機(jī)中,提供安全硬件��,其確保正是該用戶確認(rèn)該監(jiān)視器上呈現(xiàn)的 顯示���,并且因此���,可以唯一地由用戶的實(shí)際輸入來觸發(fā)監(jiān)視器上呈現(xiàn)的交易。 此外�����,根據(jù)本發(fā)明的裝置確保僅實(shí)際確認(rèn)的顯示的內(nèi)容是交易的目標(biāo)���。通過 在顯示準(zhǔn)備單元上建立單獨(dú)接口 (其允許用戶的輸入被直接傳遞至安全硬件 而繞過CPU),確保顯示對應(yīng)于用戶已經(jīng)輸入的內(nèi)容。在可替換的實(shí)施例中�����, 通過使用由安全硬件生成的隨機(jī)數(shù)字而實(shí)現(xiàn)顯示對應(yīng)于用戶輸入的驗(yàn)證 (proof),其中,所述隨機(jī)數(shù)字被顯示在顯示器上���,并且必須由該用戶再現(xiàn)�����。 根據(jù)本發(fā)明的裝置具有無需任何附加設(shè)備而實(shí)現(xiàn)的優(yōu)點(diǎn)�����。作為替代���,僅需要 一般圖形卡的結(jié)構(gòu)的小改變。這可以特別非常節(jié)省成本地實(shí)現(xiàn)���。根據(jù)本發(fā)明 的顯示準(zhǔn)備單元可以標(biāo)準(zhǔn)地集成在個(gè)人計(jì)算機(jī)中�,或容易地在個(gè)人計(jì)算機(jī)中 改進(jìn)����。
對根據(jù)本發(fā)明的裝置的處理也被筒化。根據(jù)本發(fā)明的方法的特征特別地 在于當(dāng)執(zhí)行時(shí),其不需要用戶進(jìn)行任何特殊動作�。借助于用戶輸入單元至 顯示準(zhǔn)備單元的直接物理連接,用戶可以容易地在任何時(shí)間使自己確信經(jīng)由 該輸入單元而實(shí)現(xiàn)的輸入在沒有經(jīng)過個(gè)人計(jì)算機(jī)的CPU的繞彎的情況下達(dá)到 該顯示準(zhǔn)備單元����。因此,變得顯而易見的是在任何情況下����,由惡意軟件經(jīng) 由CPU的攻擊是不可能的。此外��,通過在不需要激活CPU的情況下���、在圖 形卡上實(shí)現(xiàn)的對要被確認(rèn)的交易數(shù)據(jù)的確認(rèn)�����,實(shí)際上非?��?煽康卮_保了交易 數(shù)據(jù)不被惡意軟件操縱。即使當(dāng)惡意軟件應(yīng)當(dāng)成功操縱該顯示準(zhǔn)備單元的圖
7的顯示時(shí)�,由用戶對所顯示的數(shù)據(jù)的確認(rèn)也將不會有任何影響�,因?yàn)榧用軉?br>
元在此情況下仍不會發(fā)現(xiàn)任何可簽名的數(shù)據(jù),并且因此將不生成簽名。
本發(fā)明的第二實(shí)施例具有可以使用以 一般方式附接的輸入單元的特殊優(yōu)
點(diǎn)��,其中�,根據(jù)該第二實(shí)施例,通過由顯示準(zhǔn)備單元生成的隨機(jī)信息來實(shí)現(xiàn)
對交易數(shù)據(jù)的確認(rèn)����,響應(yīng)于此,用戶必須通過輸入單元再次輸入所顯示的隨
機(jī)信息��、或輸入該隨機(jī)信息在監(jiān)視器上的位置�����?�?梢允÷燥@示準(zhǔn)備單元上的 附加^妄口��。
有利地���,在顯示器的局部區(qū)域中實(shí)現(xiàn)要確認(rèn)的交易數(shù)據(jù)在監(jiān)視器上的呈 現(xiàn)��,而該顯示器的剩余部分根據(jù)由CPU提供的圖形數(shù)據(jù)以正常方式顯示���。在 根據(jù)本發(fā)明的方法的框架內(nèi),有利地假設(shè)在圖形卡已經(jīng)變?yōu)榘踩J揭院螅?br>
首先顯示用戶確認(rèn)的預(yù)設(shè)的起始圖像,以便用信號通知(signalize )用戶根據(jù) 本發(fā)明的顯示準(zhǔn)備單元的介入��。
可以在從屬權(quán)利要求的特征中找到另外的有益發(fā)展和有利的實(shí)施例����。
參見下列圖示,更加詳細(xì)地描述本發(fā)明的實(shí)施例�����。
圖1以框圖示出了根據(jù)本發(fā)明的�、具有顯示準(zhǔn)備單元的、用于執(zhí)行安全 關(guān)鍵交易的系統(tǒng)結(jié)構(gòu)��;
圖2示出了在圖1中所示的系統(tǒng)上執(zhí)行安全關(guān)鍵應(yīng)用的操作順序的流程
圖3以硬件組件和操作步驟的混合表示示出了交易執(zhí)行的操作順序的圖 示�����;以及
圖4示出了響應(yīng)于隨機(jī)信息的顯示��,以顯示的數(shù)字序列的連續(xù)選擇的形 式的用戶輸入�����。
具體實(shí)施例方式
圖1中所示的系統(tǒng)基本上由后臺系統(tǒng)1�、數(shù)據(jù)網(wǎng)絡(luò)2和個(gè)人計(jì)算機(jī)5組 成�,其中�����,個(gè)人計(jì)算機(jī)5與監(jiān)視器6�����、輸入單元7和/或輸入單元14���、以及認(rèn) 證單元8連接。
后臺系統(tǒng)1提供以軟件實(shí)現(xiàn)的服務(wù)�����,其中��,借助于每種情況下的合適的 應(yīng)用軟件����,用戶可經(jīng)由數(shù)據(jù)網(wǎng)絡(luò)2而獲取所述軟件實(shí)現(xiàn)的服務(wù),從而執(zhí)行每種情況下特定服務(wù)的交易���。例如��,典型的服務(wù)是進(jìn)行銀行交易���、進(jìn)行信用卡 交易�、經(jīng)由因特網(wǎng)購買各種商品�����、或進(jìn)行股市交易��。在這些服務(wù)的獲取期間���, 進(jìn)行安全關(guān)鍵交易�,典型地�����,實(shí)現(xiàn)現(xiàn)金流動�、進(jìn)行識別、或轉(zhuǎn)移必須要支付 的數(shù)據(jù)����。
數(shù)據(jù)網(wǎng)絡(luò)2使得能夠在個(gè)人計(jì)算機(jī)5與后臺系統(tǒng)1之間交換數(shù)據(jù)。為了 實(shí)現(xiàn)這個(gè)任務(wù)����,其可以有中間單元��。特別地�,可以提供協(xié)議轉(zhuǎn)換單元3,其 將個(gè)人計(jì)算機(jī)5上使用的協(xié)議中出現(xiàn)的交易數(shù)據(jù)轉(zhuǎn)換到適合于后臺系統(tǒng)1的 協(xié)議中�。
個(gè)人計(jì)算機(jī)5基本上具有一般計(jì)算機(jī)的結(jié)構(gòu)�����,并且具有其典型的全部部 件�����;圖1示出了對于本發(fā)明重要的那些部件��。個(gè)人計(jì)算機(jī)5的核心部件是中 央處理器單元(CPU) 10,其與存儲器單元ll連接����、經(jīng)由數(shù)據(jù)網(wǎng)絡(luò)2而與后 臺系統(tǒng)1連接、以及經(jīng)由組合的總線/能源(energy )接口 15而與顯示準(zhǔn)備單 元20連接����。在本發(fā)明的第二實(shí)施例中,個(gè)人計(jì)算機(jī)還可以經(jīng)由接口 13而與 輸入單元14連接���。個(gè)人計(jì)算機(jī)5典型地具有桌上型���、膝上型或終端型的構(gòu)造 設(shè)計(jì)�����,并且被使用在私人的家庭區(qū)域中��、或公司或政府當(dāng)局中�����。
優(yōu)選地�,顯示準(zhǔn)備單元20形成為單獨(dú)的電路板組件(assembly),并且 裝納在個(gè)人計(jì)算機(jī)5的機(jī)箱中��,在其中�,顯示準(zhǔn)備單元20經(jīng)由總線/能源接 口 15而與CPU 10連接?�;蛘?����,顯示準(zhǔn)備單元20還可以被實(shí)現(xiàn)為在與CPU 10 相同的電路板上的單獨(dú)的芯片單元��。經(jīng)由個(gè)人計(jì)算機(jī)5實(shí)現(xiàn)顯示準(zhǔn)備單元20 的供能。經(jīng)由公共外部接口 21,顯示準(zhǔn)備單元20與監(jiān)視器6連接�。另外, 顯示準(zhǔn)備單元20任選地具有另外的外部接口 22,其經(jīng)由該外部接口 22而直 接與用戶輸入單元7連接�。任選地,顯示準(zhǔn)備單元20還可以具有另一外部接 口 23�����,用于附接認(rèn)證單元8����。特別地�,認(rèn)證單元8可以是用戶的便攜式個(gè)人 介質(zhì)(例如,芯片卡或USB令牌的形式)�����,還可以是固定單元(例如���,用于 記錄生物特征的傳感器)�。
以一般的方式形成個(gè)人計(jì)算機(jī)5的存儲器單元11,并且其特別地具有非 易失性區(qū)域���。其中���,存儲應(yīng)用軟件12,用于執(zhí)行允許執(zhí)行交易的應(yīng)用����,通過 所述應(yīng)用軟件12,使用經(jīng)由后臺系統(tǒng)提供的服務(wù)��。應(yīng)用軟件12可以是永久 地存儲在個(gè)人計(jì)算機(jī)5上的軟件(例如�,參與"家庭銀行業(yè)務(wù)"的軟件)、或 者僅在例如進(jìn)行交易的時(shí)間段臨時(shí)所需的軟件(如例如用于管理用于獲取在 線賣方處的商品的登錄數(shù)據(jù)的軟件)���。典型地��,應(yīng)用軟件12不完全存在于存儲器單元11中�,而是僅到用于生成交易數(shù)據(jù)所需要的這樣的程度��。因此通常���, 首先將應(yīng)用軟件限制為提供在監(jiān)視器7上可顯示的菜單���,用于交易數(shù)據(jù)的輸 入。下面�����,將應(yīng)用軟件12簡稱為應(yīng)用。
監(jiān)視器6是一般類型的���,并且用于像素圖形的圖像顯示���。 典型地,輸入單元7 (以及同樣地�����,輸入單元14)是^t盤和/或鼠標(biāo)140���, 但是,也可以是聲音輸入裝置或用于實(shí)現(xiàn)由用戶的數(shù)據(jù)輸入的所有其它裝置�����。 在首先描述的本發(fā)明的第一實(shí)施例中��,個(gè)人計(jì)算機(jī)5具有輸入單元7,其經(jīng) 由顯示準(zhǔn)備單元20而附接至個(gè)人計(jì)算機(jī)5����。在第二實(shí)施例中,個(gè)人計(jì)算機(jī)5 具有直接作用于CPU的輸入單元14。
認(rèn)證單元8可以是例如用于讀出芯片卡的設(shè)備��、用于檢查指紋的設(shè)備�����、 虹膜掃描儀等�����。
顯示準(zhǔn)備單元20基于一般圖形卡���,并且基本上具有其典型的全部組件�。 在圖1中����,僅顯示了相對于本發(fā)明重要的那些組件。這里��,以方框的形式表 示組件僅用于簡化說明�����。首先�,應(yīng)當(dāng)邏輯地理解組件以及它們的連接的表示 和描述���。因此,圖1中所示的結(jié)構(gòu)絕不需要在顯示準(zhǔn)備單元的實(shí)際電路設(shè)計(jì) 中實(shí)際出現(xiàn)���。所有的組件雖然具有相同的功能性���,但是可以以物理上不同的 編譯而形成,并且特別地是軟件程序的形式����。為了說明,在下文中�,從顯示 準(zhǔn)備單元20被形成為單獨(dú)的電路板組件這一事實(shí)開始。
顯示準(zhǔn)備單元20 (下面稱為圖形卡)經(jīng)由組合的總線/能源接口 15而與 CPU IO連接���?���?偩€/能源接口 15例如被形成為AGB/PIC(X)插件接口�����,使得 可以容易地將圖形卡20與CPU 10并與個(gè)人計(jì)算機(jī)5分離����。經(jīng)由總線/能源接 口 15,圖形卡20—方面與CPU10交換數(shù)據(jù)�,另一方面方便地經(jīng)由個(gè)人計(jì)算 機(jī)5的中央供能而被供能。
圖形卡20的主要組件是(通過定義)圖形處理器25�,其一方面經(jīng)由主 存儲器26、模式控制系統(tǒng)27和總線/能源接口 15而與CPU10連接����,另一方 面經(jīng)由監(jiān)視器接口 21 (其例如被形成為DVI接口 )而與監(jiān)視器7連接。圖形 處理器25從圖形數(shù)據(jù)生成作為圖像而顯示在監(jiān)視器7上的像素圖形��,其中��, 中央處理器單元10經(jīng)由總線/能源接口 15和模式控制系統(tǒng)27而將所述圖形 數(shù)據(jù)加載到主存儲器26中�,并在其中進(jìn)行管理。就此而言��,圖形卡20的結(jié) 構(gòu)是一般的�����。
然而���,不像一般的圖形卡���,根據(jù)本發(fā)明的第一實(shí)施例的圖形卡20具有其
10自己的接口 22����,用于附接輸入單元7����。接口 22經(jīng)由切換單元28而直接與至 CPU 10的總線/能源接口 15連接,使得在切換單元28的第一切換狀態(tài)下�����, 經(jīng)由輸入單元7實(shí)現(xiàn)的輸入被直接傳遞至CPU 10�。
圖形處理器25進(jìn)一步與轉(zhuǎn)換器模塊29連接。轉(zhuǎn)換器模塊29用于將以標(biāo) 記語言表示的數(shù)據(jù)(例如���,以ASCII格式表示的數(shù)據(jù)或XML數(shù)據(jù))轉(zhuǎn)換為 在監(jiān)視器7上顯示為像素圖形的像素值�����。優(yōu)選地���,在重疊在從主存儲器26中 的數(shù)據(jù)生成的當(dāng)前顯示上的單獨(dú)窗口中����,將由轉(zhuǎn)換器模塊29生成的像素值顯 示在監(jiān)視器7上��。
轉(zhuǎn)換器模塊29在其自己的部分與真實(shí)數(shù)據(jù)存儲器30連接�����。真實(shí)數(shù)據(jù)存 儲器30用于接受要解譯的交易數(shù)據(jù)�。為了接收交易數(shù)據(jù)����,真實(shí)數(shù)據(jù)存儲器 30與模式控制系統(tǒng)27連接。僅模式控制系統(tǒng)27�����、轉(zhuǎn)換器單元29和加密單元 31可以接近真實(shí)數(shù)據(jù)存儲器30��。特別地�,由CPU 10經(jīng)由總線/能源接口 15 的直接訪問是不可能的。
此外��,真實(shí)數(shù)據(jù)存儲器30與加密單元31連接���。其主要功能在于在用戶 已經(jīng)實(shí)現(xiàn)了對顯示的確認(rèn)之后�����,借助于經(jīng)確認(rèn)的交易數(shù)據(jù)而計(jì)算簽名���。對于 用戶對確i人的4妄受�����,加密單元31具有可由切換單元8切換的至輸入單元7的 連接����。
加密單元31進(jìn)一步與安全部件32連接���,該安全部件32被唯一分配給加 密單元31����,并且僅可由加密單元訪問����,但是在任何情況下,不可直接由CPU 經(jīng)由總線/能源接口 15來訪問����。有利地�����,安全部件32可以特別被保護(hù)以防物 理攻擊。在安全部件32中����, 一方面存儲用于監(jiān)視器7的預(yù)設(shè)起始圖像,該起 始圖像在監(jiān)視器7上的再現(xiàn)以信號通知用戶圖形卡20處于安全模式下�����。例如�����, 起始圖像可以是由用戶定義的保密消息���、個(gè)人圖像�、特殊圖標(biāo)�����。優(yōu)選地,僅 授權(quán)的用戶知道該起始圖像�,并且,由他確定或改變該起始圖像����。此外,在 安全部件32中���,放置用于操作加密單元31所必須的用戶特定個(gè)人數(shù)據(jù)���。這 可以是例如PIN、證書��、或用于簽名或用于重新加載應(yīng)用的密鑰(key)�。有 利地,預(yù)設(shè)起始圖像是可通過規(guī)定的命令而選擇性地調(diào)用的并且是可以在監(jiān) 視器7上顯示的���。有利地�����,安全部件32進(jìn)一步具有其自己的直接接口 33�����。 經(jīng)由此接口����, 一方面可以引入新的或另外的個(gè)人用戶數(shù)據(jù)。另一方面����,經(jīng)由 直接接口 33,可以實(shí)現(xiàn)對安全部件32的第一私人化��。安全部件32有利地形 成為可以與圖形卡20分離的單元(例如���,以芯片卡的形式)�����,使得當(dāng)調(diào)換圖形卡20時(shí)��,存儲在安全部件32中的數(shù)據(jù)可以容易地傳遞至另一圖形卡��。
模式控制系統(tǒng)27接受來自CPU 10的數(shù)據(jù)�,并且關(guān)于它們是正常圖形數(shù) 據(jù)還是由執(zhí)行應(yīng)用而產(chǎn)生的要解譯的交易數(shù)據(jù)���,來評價(jià)它們���。在第一種情況 下����,模式控制系統(tǒng)27將數(shù)據(jù)傳遞至主存儲器26��,在第二種情況下�����,傳遞至 真實(shí)數(shù)據(jù)存儲器30�。在數(shù)據(jù)評價(jià)的基礎(chǔ)上,模式控制系統(tǒng)27進(jìn)一步實(shí)現(xiàn)使 圖形卡20切換至安全模式��。為此目的�����,模式控制系統(tǒng)27與切換單元28連接��, 其在第一切換狀態(tài)下將輸入單元7連接至總線/能源接口 15,并且在第二切換 狀態(tài)下將其連接至加密單元31�����。模式控制系統(tǒng)27可以例如通過包含用于調(diào) 用特定接口的命令(API CALL)的�、要解譯的交易數(shù)據(jù)來實(shí)現(xiàn)�����。
圖形卡20可以在兩種模式下操作��,標(biāo)準(zhǔn)模式和安全模式�����。在標(biāo)準(zhǔn)模式下�����, 圖形卡20用作為正常圖形卡,并且將由CPU 10提供的圖形數(shù)據(jù)作為圖像顯 示在監(jiān)視器7上�����。在安全模式下����,轉(zhuǎn)換器模塊29是活動的,并且輸入單元7 經(jīng)由切換單元28而直接與加密單元31連接���。轉(zhuǎn)換器單元29隨后對于存儲在 真實(shí)數(shù)據(jù)存儲器30中的�、要解譯的數(shù)據(jù)記錄生成監(jiān)視器顯示,檢查由用戶作 出的確認(rèn)的接收(receipt),并且隨后對數(shù)據(jù)記錄簽名���。
有利地���,組件轉(zhuǎn)換器單元29、真實(shí)數(shù)據(jù)存儲器30����、加密單元31、安全 部件32和/或切換單元28在技術(shù)上形成為圖形卡上被特別保護(hù)以防操縱的連 接的組件����。在圖形卡上,還可以放置形成為硬件部件的單獨(dú)的安全模塊34����, 其通過比較重要的功能參數(shù)與存儲在安全模塊上的參考參數(shù),來確保圖形卡 的組件25至32的正確的功能性��。僅指定的實(shí)體可以訪問安全模塊��,該訪問 被穩(wěn)固地密碼保護(hù)�����。特別地,安全模塊可以具有"信賴平臺模塊(TPM)"的 形式���。
有利地�����,通過首先被提供為在標(biāo)準(zhǔn)模式中可操作的中性(neutral)圖形 單元來實(shí)現(xiàn)建立圖形卡20,而安全模式僅被準(zhǔn)備��。在稍后的時(shí)間���,由值得信 賴的實(shí)體隨后實(shí)現(xiàn)安全模式的激活,經(jīng)由該值得信賴的實(shí)體�����,所需的功能性 被引入到中性單元中���。這樣做,將用于操作轉(zhuǎn)換器單元29��、真實(shí)數(shù)據(jù)存儲器 30��、加密單元31和/或安全部件32的整個(gè)軟件�、或者至少其重要部分(例如�����, 安全關(guān)鍵和保密數(shù)據(jù))傳遞至中性圖形單元���。對于傳遞至值得信賴的實(shí)體, 建立通過合適的加密技術(shù)來保障的端對端連接���。這里�����,在準(zhǔn)備安全模式期間�����, 用于建立這樣的連接的密鑰可以已經(jīng)存儲在中性圖形單元上��。
下面參考圖2和3,通過示例說明在之前描述的系統(tǒng)基礎(chǔ)上的交易的執(zhí)行��。這里���,示例從銀行交易的執(zhí)行開始,在銀行交易的執(zhí)行期間�,提供了涉 及尤其是帳號和要轉(zhuǎn)移的數(shù)量的安全關(guān)鍵細(xì)節(jié)����。
通過用戶經(jīng)由操作單元啟動相關(guān)聯(lián)的應(yīng)用�,執(zhí)行開始(步驟200)。應(yīng)用
經(jīng)由在監(jiān)視器6上呈現(xiàn)的適當(dāng)?shù)牟藛我砸阎姆绞揭龑?dǎo)用戶完成該應(yīng)用�,并 且提示他輸入交易數(shù)據(jù)(步驟202)。例如���,如將從圖3可見的�����,交易數(shù)據(jù)可 以是帳號���、銀行標(biāo)識號、數(shù)量���、日期和時(shí)間�。這里�����,諸如日期和時(shí)間的某些 細(xì)節(jié)可以已由應(yīng)用自己生成�����。
因此�,由用戶經(jīng)由操作單元7輸入的交易數(shù)據(jù)被CPU預(yù)處理作為要解譯 的標(biāo)記數(shù)據(jù)(例如,如圖3中圖示的����,作為XML數(shù)據(jù))的數(shù)據(jù)記錄,并且 被發(fā)送至圖形卡(步驟204)��。
在圖形卡上進(jìn)入的數(shù)據(jù)記錄被模式控制系統(tǒng)27識別為交易數(shù)據(jù)�。因此, 模式控制系統(tǒng)27實(shí)現(xiàn)圖形卡20至安全模式的轉(zhuǎn)變(步驟206)����。為此目的, 其激活轉(zhuǎn)換器模塊29�、加密單元31和真實(shí)數(shù)據(jù)存儲器30,并且使得切換單 元28將輸入單元7與加密單元31連接??梢赃M(jìn)一步假設(shè)圖形卡20停止接 受交易數(shù)據(jù)的另外的記錄,直到確認(rèn)首先進(jìn)入的數(shù)據(jù)記錄為止���。
通過模式控制系統(tǒng)27將交易數(shù)據(jù)記錄傳遞至真實(shí)數(shù)據(jù)存儲器(步驟 210)����。
在安全模式激活時(shí),加密單元31訪問安全部件32,并且在監(jiān)視器6上 顯示存儲在安全部件32中的起始圖像(步驟210)��。優(yōu)選地��,在"重疊"窗 口中實(shí)現(xiàn)顯示����,即,在基于在主存儲器26中的數(shù)據(jù)生成的當(dāng)前顯示之上�����,在 監(jiān)視器表面的部分區(qū)域中打開單獨(dú)窗口�����。任選地�����,可以假設(shè)用戶必須在顯 示要確認(rèn)的交易數(shù)據(jù)之前��,經(jīng)由輸入單元確認(rèn)起始圖像(步驟212)����。
轉(zhuǎn)換器模塊29隨后將存儲在真實(shí)數(shù)據(jù)存儲器30中的要解譯的交易數(shù)據(jù) 轉(zhuǎn)換為像素值,并且在監(jiān)視器6上之前打開的窗口中顯示這些像素值(步驟 214)����。
與交易數(shù)據(jù)的顯示一起,即���,在監(jiān)視器上的相同窗口中��,提示用戶確認(rèn) 交易數(shù)據(jù)����。同時(shí)���,切換單元28實(shí)現(xiàn)輸入單元7與加密單元31的連接(步驟 216)�。
現(xiàn)在��,用戶經(jīng)由輸入單元7確認(rèn)交易數(shù)據(jù)�����,其中��,輸入單元7由于激活 而直接與加密單元31連接(步驟218)?�?梢酝ㄟ^激勵(lì)(actuate) —個(gè)或多個(gè) 標(biāo)準(zhǔn)密鑰來實(shí)現(xiàn)確認(rèn)����,但是有利地,由用戶實(shí)現(xiàn)輸入序列(其中�,用戶例如重復(fù)交易數(shù)據(jù)的一部分)來實(shí)現(xiàn)確認(rèn)?����?商鎿Q地或補(bǔ)充地�,還可以假設(shè)由 加密單元31生成和在監(jiān)視器6上顯示的隨機(jī)信息的輸入,如下面更加詳細(xì)說 明的���。
在任選的實(shí)施例中����,還可以假設(shè)在確認(rèn)期間�����,用戶經(jīng)由認(rèn)證單元8���, 例如通過呈現(xiàn)芯片卡����、認(rèn)證令牌或指紋來實(shí)現(xiàn)認(rèn)證����。在一個(gè)變型中,還可以 通過在加密單元31與個(gè)人計(jì)算機(jī)5的安全模塊之間的數(shù)據(jù)交換來實(shí)現(xiàn)認(rèn)證����, 其中,加密單元31從所述安全模塊接收例如密鑰�����。
由加密單元3通過比較例如由用戶經(jīng)由輸入單元7輸入的交易數(shù)據(jù)與存 儲在真實(shí)數(shù)據(jù)存儲器30中的相應(yīng)交易數(shù)據(jù)�����,來識別確認(rèn)����。其因此從安全部件 32獲取為此提供的密鑰和/或證書,并且于是例如通過在交易數(shù)據(jù)上形成哈希 值并隨后對其加密�����,在存儲在真實(shí)數(shù)據(jù)存儲器30中的交易數(shù)據(jù)上生成簽名 (步驟220)。由加密單元31將該簽名與存儲在真實(shí)數(shù)據(jù)存儲器中的交易數(shù) 據(jù)連接�����,以形成簽名的交易數(shù)據(jù)�。如果經(jīng)由認(rèn)證單元8輸入認(rèn)證信息,則可 以將其集成在簽名的形成中��。
隨后由加密單元31經(jīng)由總線/能源接口 15而將簽名的交易數(shù)據(jù)傳送回應(yīng) 用12 (步驟222)����。
從而,應(yīng)用12^f吏用已知機(jī)制建立至后臺系統(tǒng)1的安全的端到端連接(步 驟224)��。在一個(gè)變型中�,可以假設(shè)圖形卡20自己建立所述安全的端到端連接。
下面����,從以下事實(shí)開始以不能被直接發(fā)送至后臺系統(tǒng)用以實(shí)現(xiàn)在交易 數(shù)據(jù)中定義的銀行交易的形式來呈現(xiàn)簽名的交易數(shù)據(jù)。因此��,應(yīng)用首先將簽 名的交易數(shù)據(jù)傳送至協(xié)議轉(zhuǎn)換單元3 (步驟226 )�,協(xié)議轉(zhuǎn)換單元3將簽名的 交易數(shù)據(jù)轉(zhuǎn)換到在其中它們可以被發(fā)送至后臺系統(tǒng)1用以被處理的協(xié)議中�����。 有利地���,協(xié)議轉(zhuǎn)換單元3在這種情況下首先^^查由加密單元31添加的簽名, 并且(假設(shè)簽名已經(jīng)被檢查為是被認(rèn)可的)隨后實(shí)現(xiàn)必要的協(xié)議重定格式�����。 此后�,由轉(zhuǎn)換單元將隨后呈現(xiàn)在后臺系統(tǒng)的協(xié)議中的交易數(shù)據(jù)傳送至后臺系 統(tǒng)1 (步驟228 )����。
后臺系統(tǒng)1根據(jù)交易數(shù)據(jù)執(zhí)行交易。隨后可以假設(shè)后臺系統(tǒng)1將確認(rèn)發(fā) 送回應(yīng)用12(步驟230)���。有利地�����,使用與之前用于生成簽名的交易數(shù)據(jù)所采 用的相同的4幾制���,在相反方向上實(shí)現(xiàn)發(fā)送回這樣的確認(rèn)�����。因此��,該確認(rèn)被生 成為要解譯�����、并提供有簽名的數(shù)據(jù)記錄�����,其隨后在協(xié)議轉(zhuǎn)換單元3中被轉(zhuǎn)換為個(gè)人計(jì)算機(jī)5可以處理的格式�,在圖形卡20已經(jīng)切換到安全模式之后被傳 遞至加密單元31����,在那里關(guān)于簽名的正確性而被檢查,在監(jiān)視器6上的單獨(dú) 的窗口中顯示�����,并且由用戶經(jīng)由輸入單元7而確認(rèn)���。
在本發(fā)明的第二實(shí)施例中����,個(gè)人計(jì)算機(jī)5具有經(jīng)由接口 13而與CPU 10 直接連接的輸入單元14。這里��,圖形卡20具有與關(guān)于第一實(shí)施例而描述的 精確相同的結(jié)構(gòu)�,但是不具有接口 22,或者,沒有輸入單元7附接至接口 22����。 第二實(shí)施例的工作模式也對應(yīng)于第 一 實(shí)施例的工作模式,除了在交易數(shù)據(jù)在 步驟214顯示之后進(jìn)行交易數(shù)據(jù)的確認(rèn)���。
與第一實(shí)施例相反,現(xiàn)在通過加密單元31 (在安全模式下)生成字母數(shù) 據(jù)的或符號化的隨機(jī)信息格式的邏輯信息(特別地��, 一次性密碼的樣式的隨 機(jī)數(shù)或隨機(jī)字)�、并且經(jīng)由轉(zhuǎn)換器單元29而將其顯示在監(jiān)視器6上,來實(shí)現(xiàn) 步驟214中顯示在監(jiān)視器6上的交易數(shù)據(jù)的確認(rèn)��。在與交易數(shù)據(jù)相同的窗口 中實(shí)現(xiàn)顯示����。同時(shí),響應(yīng)于所顯示的字母數(shù)字的或符號化的隨機(jī)消息��,通過 伴隨顯示提示用戶經(jīng)由與CPU連接的輸入單元14輸入此隨機(jī)信息(步驟 216)。隨后����,用戶經(jīng)由輸入單元14輸入字母數(shù)字的或符號化的隨機(jī)信息,所 述隨機(jī)信息從輸入單元14到達(dá)CPU����, CPU經(jīng)由總線/能源接口 15將其傳遞至 加密單元31。在那里�,將所接收的隨機(jī)信息與所顯示的信息相比較。如果匹 配���,則加密單元31將生成簽名(步驟220)���。然而,如果加密單元31確定偏 差(deviation),則其將生成新的字母數(shù)字的或符號化的隨機(jī)信息�,并顯示其。 有利地���,失敗的嘗試的數(shù)量是有限的���。由用戶輸入的隨機(jī)信息可以成為簽名 的一部分。
在一個(gè)變型(其還可以被用作為用于生成和輸入字母數(shù)字的隨機(jī)信息的 補(bǔ)充)中,由用戶輸入字母數(shù)字的字符的唯一組合�����,來實(shí)現(xiàn)在監(jiān)視器6上顯 示的交易數(shù)據(jù)的確認(rèn)����。這里,字符的組合可以遵循TAN (交易數(shù)量)的示例 來設(shè)計(jì)�����,并且呈現(xiàn)給用戶(典型地�����,以硬拷貝列表的形式)�����。在安全模式下��, 正確輸入的數(shù)字組合被同樣地呈現(xiàn)在監(jiān)視器上��,并且從而確認(rèn)交易數(shù)據(jù)�����。
在圖4中圖示的另一變型中����,對于顯示的隨機(jī)信息的用戶輸入,可以假 設(shè)加密單元31在安全^^莫式下生成邏輯信息序列����,加密單元31將所述邏輯信 息序列顯示在監(jiān)視器6上,所述邏輯信息序列分布在監(jiān)視器6的整個(gè)或局部 區(qū)域上����。例如,如圖4中所示的���,可以以連續(xù)數(shù)字序列的形式實(shí)現(xiàn)所述顯示��, 或所述顯示可以實(shí)現(xiàn)為字母序列(例如����,詞)��。輸入單元14允許輸入顯示在監(jiān)視器6上的信息的位置�,作為輸入�。優(yōu)選地��,為此目的�,其配備鼠標(biāo)或另
一輸入輔助物(satellite ) 140,其允許經(jīng)由監(jiān)視器6上的光標(biāo)位置而控制輸入���。 用戶現(xiàn)在借助于輸入輔助物����,通過以給定順序選擇顯示的信息以便生成對應(yīng) 于光標(biāo)位置的輸入����,來實(shí)現(xiàn)輸入。例如�,可以假設(shè)用戶根據(jù)顯示的數(shù)字的順 序而選擇它們。加密單元31檢查是否以正確的順序選擇了所顯示的信息�����。數(shù) 字的分布以及從而要由用戶輸入的位置序列是隨機(jī)地控制的�����,并且因此對于 每個(gè)調(diào)用是新的����。代替數(shù)字或字母,還可以使用統(tǒng)一符號���,該統(tǒng)一符號必須 以預(yù)先統(tǒng)一確定的方式彼此連接�,或者必須彼此連接為如在監(jiān)視器6上輸出 的���,例如��,在右側(cè)的頂部開始環(huán)繞到(roundto)左側(cè)�����。這里��,連"l妾方式還可 以由其自己隨機(jī)控制�,并且以符號顯示��。此外���,獨(dú)立于在上述本發(fā)明中的使 用����,圖4中圖示的變型作為用于生成僅可由人類用戶實(shí)現(xiàn)的輸入的獨(dú)立的解 決方案也是合適的。
在完全保持設(shè)計(jì)圖形卡以使得可以直接在圖形卡上實(shí)現(xiàn)對要確認(rèn)的交易 數(shù)據(jù)的確認(rèn)����、而不涉及個(gè)人計(jì)算機(jī)的CPU的基本思想的同時(shí),上述布置和上 述方法允許大量的變型�。因此,首先���,可以以多種方式(以硬件和軟件)實(shí) 現(xiàn)對于圖形卡描述的所有組件��?�?梢栽诔怂愂龅慕M件之外的組件中執(zhí)行 單獨(dú)的功能或程序步驟����、或者在一個(gè)組件中合并單獨(dú)的功能或程序步驟��;這 例如適用于轉(zhuǎn)換器單元29和加密單元31或模式控制系統(tǒng)27和切換單元���。類 似地���,當(dāng)然,數(shù)據(jù)網(wǎng)絡(luò)或后臺系統(tǒng)可以具有復(fù)雜的結(jié)構(gòu)����,并且在交易的執(zhí)行 中可以牽涉多個(gè)個(gè)人計(jì)算機(jī)或后臺系統(tǒng)。當(dāng)然���,此外���,根據(jù)本發(fā)明的解決方 案還適于用在與明確提到的交易不同的交易。
1權(quán)利要求
1.一種用于借助于具有監(jiān)視器的個(gè)人計(jì)算機(jī)生成確認(rèn)的交易數(shù)據(jù)的方法�,所述監(jiān)視器由顯示準(zhǔn)備單元驅(qū)動,該顯示準(zhǔn)備單元從所述個(gè)人計(jì)算機(jī)的CPU接收圖形數(shù)據(jù)���,并從所述圖形數(shù)據(jù)生成像素圖形�,特征在于下列步驟在所述顯示準(zhǔn)備單元(20)上提供轉(zhuǎn)換器單元(29)���,其允許將要解譯的數(shù)據(jù)轉(zhuǎn)換為像素值��;在所述顯示準(zhǔn)備單元(20)上提供加密單元(31)���,用于為要解譯的數(shù)據(jù)的記錄生成簽名;提供用戶輸入單元(7�、14),以便將用戶輸入傳遞至所述加密單元(31)��;啟動在其中處理交易數(shù)據(jù)的應(yīng)用(200);在應(yīng)用軟件(12)的控制下����,在所述個(gè)人計(jì)算機(jī)(5)上將所述交易數(shù)據(jù)預(yù)處理為要解譯的數(shù)據(jù);將要解譯的交易數(shù)據(jù)提供至所述轉(zhuǎn)換單元(204)��;由所述轉(zhuǎn)換器單元將所述要解譯的交易數(shù)據(jù)轉(zhuǎn)換為像素值(214)��;在所述監(jiān)視器上顯示所述像素值(214)���;建立用戶輸入單元(7����、14)與加密單元(31)之間的連接��,這允許僅由用戶輸入確認(rèn)信號�����;由用戶經(jīng)由用戶輸入單元輸入確認(rèn)信號(218)����;在由用戶輸入確認(rèn)信號之后,生成簽名(220);將所述簽名與所述交易數(shù)據(jù)合并為確認(rèn)的交易數(shù)據(jù)����。
2. 如權(quán)利要求l所述的方法,特征在于下列進(jìn)一步的步驟在所述顯示準(zhǔn)備單元(20)上為用戶輸入單元(7)提供接口 (22)���,以便經(jīng)由此接口將用戶輸入直接傳遞至所述加密單元(31 );在用戶輸入單元(7)與加密單元(31 )之間建立直接連接,用于在所述像素值已經(jīng)被顯示在所述監(jiān)視器(6)上之后���,由用戶輸入所述確認(rèn)信號�����。
3. 如權(quán)利要求l所述的方法�,特征在于將確認(rèn)的交易數(shù)據(jù)返回至由所述應(yīng)用軟件(12)執(zhí)行的應(yīng)用(230)��。
4. 如權(quán)利要求l所述的方法���,特征在于將確認(rèn)的交易數(shù)據(jù)發(fā)送至協(xié)議轉(zhuǎn)換單元(3 ) (226),其檢查所述簽名���,并且將所述交易數(shù)據(jù)轉(zhuǎn)換到適于后臺系統(tǒng)(1 )的協(xié)議中。
5. 如權(quán)利要求l所述的方法��,特征在于在所述顯示準(zhǔn)備單元(20)中識別要解譯的交易數(shù)據(jù)的接收之后,在監(jiān)視器(6)上顯示預(yù)設(shè)的起始圖像(210)�����。
6. 如權(quán)利要求l所述的方法�,特征在于在重疊在現(xiàn)有顯示上的單獨(dú)的窗口中實(shí)現(xiàn)所述像素值的顯示����。
7. 如權(quán)利要求l所述的方法����,特征在于在所述顯示準(zhǔn)備單元(20)中識別要解譯的交易數(shù)據(jù)的接收之后,暫時(shí)不再接受另外的要解譯的交易數(shù)據(jù)��。
8. 如權(quán)利要求l所述的方法�����,特征在于通過下列步驟實(shí)現(xiàn)在用戶輸入單元(14)與加密單元(31 )之間建立連接在所述顯示準(zhǔn)備單元(20)上生成字母數(shù)字的和/或符號化的隨機(jī)信息�,并且顯示在所述監(jiān)視器(6)上;響應(yīng)于所顯示的字母數(shù)字的或符號化的隨機(jī)信息����,請求由用戶經(jīng)由個(gè)人計(jì)算機(jī)(5)的用戶輸入單元(14)的輸入;在所述顯示準(zhǔn)備單元(20)上比較所顯示的字母數(shù)字的隨機(jī)信息與由用戶輸入的字母數(shù)字隨機(jī)信息�����。
9. 如權(quán)利要求8所述的方法,特征在于響應(yīng)于所顯示的字母數(shù)字的或符號化的隨機(jī)信息�,請求經(jīng)由用戶輸入單元(14)輸入顯示在監(jiān)視器(6)上的所述字母數(shù)字的或符號化的隨機(jī)信息。
10. 如權(quán)利要求8所述的方法�����,特征在于響應(yīng)于所顯示的字母數(shù)字的或符號化的隨機(jī)信息���,請求經(jīng)由用戶輸入單元(14)輸入至少一條字母數(shù)字的或符號化的隨機(jī)信息在監(jiān)視器(6)上的位置。
11. 如權(quán)利要求IO所述的方法����,特征在于所述字母數(shù)字的或符號化的隨機(jī)信息由數(shù)字或字母序列組成,必須以預(yù)設(shè)順序輸入所述數(shù)字或字母在監(jiān)視器(6)上的位置��。
12. —種用于生成要在監(jiān)視器上輸出的像素圖形的顯示準(zhǔn)備單元���,其具有用于從個(gè)人計(jì)算機(jī)的CPU接受圖形數(shù)據(jù)的接口��、用于將像素圖形傳送至監(jiān)視器的接口�����、以及用于從個(gè)人計(jì)算機(jī)獲得供能的接口�,特征在于模式控制系統(tǒng)(27 ),用于從個(gè)人計(jì)算機(jī)(5 )的CPU ( 10 )接受要解譯的數(shù)據(jù);轉(zhuǎn)換器單元(29)����,其被布置為將要解譯的數(shù)據(jù)轉(zhuǎn)換為像素值;接口 ( 22 )�,用于附接輸入單元(7 );加密單元(31),用于為要解譯的數(shù)據(jù)的記錄生成簽名;以及 由所述才莫式控制系統(tǒng)(27)啟動的切換單元(28),用于將輸入單元(7)與加密單元(31)相連接�����,以便使得用戶能夠經(jīng)由輸入單元(7)而將由他輸入的信息直4妄送往加密單元(31 )����。
13. 如權(quán)利要求12所述的單元,特征在于向加密單元(31 )分配安全 部件��,用于接受準(zhǔn)備簽名所需的用戶特定信息�����,該安全部件具有直接接口(28)��,經(jīng)由該直接接口 (28),可以引入另外的用戶特定信息�。
14. 如權(quán)利要求13所述的單元���,特征在于所述安全部件(32)形成為 可A^所述顯示準(zhǔn)備單元(20)分離。
15. 如權(quán)利要求12所述的單元���,特征在于所述加密單元(31 )和所述 轉(zhuǎn)換器單元(29)容納在防操縱機(jī)箱中����。
16. 如權(quán)利要求12所述的單元��,特征在于其具有另一接口 (23),用 于直接附接認(rèn)證單元(8)����。
17. 如權(quán)利要求12所述的單元,特征在于為了暫時(shí)存儲要解譯的數(shù)據(jù)��, 其具有真實(shí)數(shù)據(jù)存儲器�,該真實(shí)數(shù)據(jù)存儲器僅可以由加密單元(31)�����、轉(zhuǎn)換器 單元(29)和模式控制系統(tǒng)(27)訪問�����,而經(jīng)由至CPU (10)的接口 (15) 的訪問是不可能的。
18. —種用于生成要在監(jiān)視器上輸出的像素圖形的顯示準(zhǔn)備單元�,其具 有用于從個(gè)人計(jì)算機(jī)的CPU接受圖形數(shù)據(jù)的接口、用于將像素圖形傳送至監(jiān) 視器的接口�、以及用于從個(gè)人計(jì)算機(jī)獲得供能的接口,特征在于模式控制系統(tǒng)(27 )��,用于從個(gè)人計(jì)算機(jī)(5 )的CPU ( 10 )接受要解譯 的數(shù)據(jù)�����;轉(zhuǎn)換器單元(29),其被布置為將要解譯的數(shù)據(jù)轉(zhuǎn)換為像素值����; 加密單元(31),其被布置為生成字母數(shù)字的隨機(jī)信息,并且將其與由CPU (10)提供的字母數(shù)字的隨機(jī)信息比較����,并且進(jìn)一步為要解譯的數(shù)據(jù)的記錄生成簽名;以及由所述模式控制系統(tǒng)(27)啟動的切換單元(28),用于將輸入單元(7)與加密單元(31 )相連接��,以便使得用戶能夠經(jīng)由輸入單元(7)而將由他輸入的信息直接送往加密單元(31)����。
19. 一種用于執(zhí)行交易的系統(tǒng),在其框架內(nèi)�����,處理必須由用戶確認(rèn)的交 易數(shù)據(jù),該系統(tǒng)包含數(shù)據(jù)網(wǎng)絡(luò)(2);后臺系統(tǒng)(l),其提供以軟件實(shí)現(xiàn)的服務(wù)�����,所述服務(wù)可經(jīng)由該數(shù)據(jù)網(wǎng)絡(luò) (2)��、借助于應(yīng)用軟件而獲?����?�;以及具有監(jiān)視器(6)和輸入單元(7)的個(gè)人計(jì)算機(jī)(5),其被布置為執(zhí)行 應(yīng)用軟件��;特征在于所述個(gè)人計(jì)算機(jī)(5)具有根據(jù)權(quán)利要求12所述的顯示準(zhǔn)備單元(20)��, 并且根據(jù)權(quán)利要求1所述的方法確認(rèn)所述交易數(shù)據(jù)��。
全文摘要
本發(fā)明涉及一種用于進(jìn)行交易的方法和顯示準(zhǔn)備單元�����,根據(jù)它們來處理必須由用戶確認(rèn)的交易數(shù)據(jù)�����。所述顯示準(zhǔn)備單元(20)包括轉(zhuǎn)換器單元(29)�,其將要解譯的交易數(shù)據(jù)轉(zhuǎn)換為像素值,并且將它們顯示在監(jiān)視器(6)上���;內(nèi)部接口���,用于直接連接至輸入設(shè)備(7),通過該部件����,用戶確認(rèn)所顯示的交易數(shù)據(jù);以及加密單元(31)����,用于為一組經(jīng)確認(rèn)的交易數(shù)據(jù)生成簽名。在一個(gè)實(shí)施例中����,可以通過由加密單元(31)生成并顯示必須由用戶通過傳統(tǒng)連接的輸入設(shè)備(14)輸入的隨機(jī)數(shù)來進(jìn)行確認(rèn)。
文檔編號G06F21/84GK101681411SQ200880016228
公開日2010年3月24日 申請日期2008年3月14日 優(yōu)先權(quán)日2007年3月16日
發(fā)明者漢斯-于爾根·羅思, 赫爾穆特·謝爾澤, 邁克爾·巴爾迪施韋勒 申請人:德國捷德有限公司