專利名稱:使用便攜式數(shù)據(jù)支持裝置來執(zhí)行安全電子交易的方法
技術(shù)領(lǐng)域:
本發(fā)明起始于根據(jù)主要權(quán)利要求種類的方法��。這種方法可以從例如“Handbuch der Chipkarten”(以下為“Chip card manual”)�����,W.Rankl�����,W.Effing�����,第三版��,1999����,692到703頁,標題“Digital signature”中得知���。為了執(zhí)行合法綁定的電子簽名�,相應(yīng)地使用包含保密簽名密鑰的數(shù)字簽名卡�����。簽名是在適當?shù)慕K端上執(zhí)行的����,該卡從該終端接收電子形式的將要簽名的文檔。為了能夠執(zhí)行簽名����,卡的用戶必須通過終端建立其身份的證明(proof)�����。該證明通常是通過輸入PIN(個人識別號碼)來提供的,所輸入的PIN與存儲在卡中的參考PIN進行比較�。將來,計劃通過檢查生物測量學(xué)特征��、例如指紋來執(zhí)行用戶驗證�����。當在用戶的成功驗證之后已經(jīng)借助于簽名卡對電子文檔進行了簽名時�����,接著該文檔就能夠以任何方式被傳遞�。電子簽名使得有可能利用電子途徑來具體執(zhí)行安全性關(guān)鍵(security-critical)交易,例如��,發(fā)出涉及成本的業(yè)務(wù)訂單�。
與迄今為止的通常PIN驗證相比,針對用戶驗證計劃引入的生物測量學(xué)特征使得電子簽名的可信性獲得進一步的改進�����,因為它確保簽名卡只有在被授權(quán)這樣做的明確的個人在場時才能夠使用�����。
然而,迄今為止��,由此實現(xiàn)的關(guān)于用戶驗證的質(zhì)量差異并沒有反映在所產(chǎn)生的具體電子簽名的使用中�。
本發(fā)明的問題是規(guī)定一種使用便攜式數(shù)據(jù)載體實施安全電子交易的方法,該方法考慮了所執(zhí)行的用戶驗證的質(zhì)量��。
這個問題是通過一種包含主要權(quán)利要求的特征的方法來解決的��。該問題進一步通過根據(jù)獨立權(quán)利要求20�、25和30的用于實施安全電子交易的便攜式數(shù)據(jù)載體、終端和系統(tǒng)來解決����。
根據(jù)本發(fā)明,當用戶驗證正在執(zhí)行時��,正在執(zhí)行的數(shù)據(jù)載體產(chǎn)生關(guān)于所使用的驗證方法的質(zhì)量信息����。該憑證(voucher)被附加到隨后由便攜式數(shù)據(jù)載體執(zhí)行的安全性建立操作的結(jié)果中。因此�,在實施安全性建立操作之前,如此形成的消息的接收者能夠清楚地識別用戶是如何驗證其自身的����。這就給予接收者這樣一種可能性,即�����,使得安全交易的實施隨用戶驗證的質(zhì)量而定���。例如����,在錢包(purse)應(yīng)用中能夠規(guī)定�����,在PIN驗證之后能夠從帳戶中取出數(shù)量低于限制值的錢�����,而數(shù)量高于限制值的錢僅僅在利用生物測量學(xué)特征進行驗證之后才能夠取出��。
本發(fā)明具有創(chuàng)造性的方法與電子簽名結(jié)合使用具有特別的優(yōu)點���。
在優(yōu)選實施例中����,如此設(shè)計各種可能的用戶驗證(authentication)方法的實施方式,使得不能夠以簡單的方式將低質(zhì)量方法的中間執(zhí)行結(jié)果轉(zhuǎn)換成高質(zhì)量方法的中間執(zhí)行結(jié)果����。這就獲得了如下結(jié)果即使在未經(jīng)驗證的用戶可以使用便攜式數(shù)據(jù)載體和相關(guān)的低級驗證信息兩者時,即當未經(jīng)驗證的用戶擁有例如便攜式數(shù)據(jù)載體以及相關(guān)的PIN時��,也不可能篡改驗證憑證(voucher)���。
如果在驗證期間使在執(zhí)行用戶驗證中沒有使用的特定驗證方法失效����,則更具優(yōu)點���。
以下將參照附圖詳細地描述本發(fā)明的實施例��。
圖1示出了用于執(zhí)行數(shù)字簽名的系統(tǒng)的結(jié)構(gòu)��。
圖2��、3以流程圖示出了執(zhí)行數(shù)字簽名的過程�。
圖1示出了用于實施安全電子交易的交易系統(tǒng)的基本結(jié)構(gòu)�����。該結(jié)構(gòu)關(guān)于本發(fā)明的基本元素是經(jīng)由數(shù)據(jù)網(wǎng)絡(luò)12連接到終端14的背景系統(tǒng)10、由用戶30攜帶并且被設(shè)置以在交易內(nèi)執(zhí)行安全性建立操作的便攜式數(shù)據(jù)載體20���、以及將在將要實施的交易內(nèi)被安全地處理的數(shù)據(jù)記錄40。
以下將假設(shè)安全電子交易是需要代表用戶30產(chǎn)生數(shù)字簽名的交易�。這種交易例如可以是,使用戶30的帳戶記入借方的金融交易的實施���。然而�,所述解決方案不限于需要數(shù)字簽名的交易���,而是基本能夠在便攜式數(shù)據(jù)載體20處理從終端14提供的數(shù)據(jù)記錄40并且將它們返回給終端14的任何應(yīng)用中使用�。
背景系統(tǒng)10代表一種實施實際的交易設(shè)備�����,例如��,在兩個帳戶之間轉(zhuǎn)移金錢或者根據(jù)訂單啟動商品的交付��。相應(yīng)地��,背景系統(tǒng)10能夠是包括多個單獨部件的復(fù)雜系統(tǒng)����,或者在極端情況下能夠被全部省略���。如果該交易是轉(zhuǎn)帳應(yīng)用,則背景系統(tǒng)10一般由中央銀行營業(yè)所形成���。
數(shù)據(jù)網(wǎng)絡(luò)12用于在終端14與背景系統(tǒng)10之間交換數(shù)據(jù)。它能夠具有任何物理形式�����,并且能夠通過例如因特網(wǎng)或移動電話網(wǎng)絡(luò)來實現(xiàn)�����。
終端14構(gòu)成該交易系統(tǒng)的用戶端接口����,并且因此而具有顯示裝置16和輸入裝置18,顯示裝置16一般是顯示屏形式�,輸入裝置18例如是鍵盤形式。終端14能夠是公共可接近的終端�,例如,在銀行中設(shè)立的設(shè)備����,或者位于用戶30的私人區(qū)域內(nèi)的設(shè)備�,例如PC或移動電話�����。數(shù)據(jù)網(wǎng)絡(luò)12以及背景系統(tǒng)10能夠連接到能夠具有不同設(shè)計的一個或多個終端14����。終端14具有接口19�,用于與便攜式數(shù)據(jù)載體20通信。接口19可以是任何物理設(shè)計�,具體地說是接觸型或非接觸型。
終端14還具有傳感器裝置15���,以下被稱為傳感器��,用于檢測用戶30的生物測量學(xué)特征��。傳感器15能夠檢測生理學(xué)特征�,例如面部特征���、眼睛或指紋特征或者基于行為的特征�,例如由話音或書寫操作所表示的語音或書寫序列。圖1示出了指紋傳感器作為傳感器15�。傳感器15能夠被形成為感測多個不同的生物測量學(xué)特征。傳感器15還包含用于預(yù)先評估所感測的生物測量學(xué)特征的裝置���。例如�����,在上述“Chip card manual”第8.1.2章中�,描述了生物測量學(xué)驗證方法的不同類型和實施方式�。
例如,便攜式數(shù)據(jù)載體20是如同樣在“Chip card manual”中描述的芯片卡��。圖1具體地指示便攜式數(shù)據(jù)載體20是接觸型芯片卡�����,具有接觸墊22�����,它構(gòu)成與終端一側(cè)接口19相對應(yīng)的接口���。經(jīng)由接口22����、19,實施芯片卡20與終端14之間的通信����。除了芯片卡的形狀,便攜式數(shù)據(jù)載體20還能夠具有任何形狀�����,例如�,以用戶30所穿的衣服或者用戶30所攜帶的日用品來實現(xiàn)���。
便攜式數(shù)據(jù)載體20具有集成電路24��,它具有通用計算機的所有部件�����,尤其是微處理器25和存儲裝置26�。設(shè)立微處理器25用于執(zhí)行安全性建立操作��。例如,設(shè)立微處理器25用于使所提供的數(shù)據(jù)記錄40�����,以下被稱為電子文檔40����,經(jīng)受加密算法處理,它由此使用存儲在存儲裝置26中的至少一個保密密鑰����。設(shè)立微處理器25還用于根據(jù)存儲在存儲裝置26中的程序?qū)崿F(xiàn)其它功能。
設(shè)立便攜式數(shù)據(jù)載體20�,還用于執(zhí)行至少一種用戶驗證方法,但是有利地執(zhí)行多個同步的用戶驗證方法���。優(yōu)選地����,它支持至少兩種關(guān)于驗證質(zhì)量具有不同等級的驗證方法�����。它有利地支持至少一種基于知識的驗證方法��,例如,PIN檢查���,以及至少一種生物學(xué)測量方法�,在該生物學(xué)測量方法中檢查出現(xiàn)在終端14處的用戶30的生物測量學(xué)特征��。由于該生物測量學(xué)方法預(yù)先假設(shè)用戶30個人存在����,所以它構(gòu)成較高質(zhì)量的方法;由于知識能夠由未經(jīng)授權(quán)的用戶獲取�����,所以基于知識的方法不能確保用戶30個人出現(xiàn)����。相應(yīng)地�����,存儲裝置26存儲至少一個將由用戶30提供的秘密(secret)�����,例如分配給用戶30的參考PIN,以及至少一個分配給用戶30的生物測量學(xué)參考數(shù)據(jù)記錄��。能夠有利地使得便攜式數(shù)據(jù)載體20支持多于兩種驗證方法�,尤其是更多的生物測量學(xué)方法。相應(yīng)地��,在這種情況下存儲裝置26存儲更多秘密和/或參考數(shù)據(jù)記錄��,并且集成電路24被設(shè)置成執(zhí)行其它驗證方法����。
以下,將參照圖2和圖3來描述使用圖1所示的結(jié)構(gòu)進行的安全電子交易的實施�。安全性建立操作將是電子文檔40的簽名。
在步驟100�����,通過在背景系統(tǒng)10或終端14中創(chuàng)建電子文檔40來初始化該使用�。通常,在所述創(chuàng)建之前先進行在用戶30與背景系統(tǒng)10之間經(jīng)由終端14的初始化對話���。最遲當電子文檔40出現(xiàn)在終端14中時�����,在步驟102�����,就引發(fā)簽名應(yīng)用程序的啟動�����。該啟動能夠由終端14或背景系統(tǒng)10自動引發(fā)�����,或者在終端14利用顯示裝置16上的適當顯示要求用戶30發(fā)起之后由用戶30發(fā)起����。
在已經(jīng)啟動簽名應(yīng)用程序之后,在步驟104���,用戶30將適當?shù)谋銛y式數(shù)據(jù)載體20提供給終端14。以下�����,便攜式數(shù)據(jù)載體20將采取接觸型芯片卡的形式���。而且�,以下將假設(shè)芯片卡20支持兩種驗證方法,即作為基于知識的PIN檢查(低質(zhì)量方法)�,以及作為生物測量學(xué)的指紋檢查(高質(zhì)量方法)。
在步驟106���,當終端14已經(jīng)識別出芯片卡20的存在時�,它首先執(zhí)行相互驗證�����,其中���,芯片卡20首先向終端14證明其真實性����,接著終端14向芯片卡20證明��。
如果驗證成功�,則在步驟108,終端14和芯片卡20協(xié)商動態(tài)會話密鑰�����,以便允許在所謂的安全消息傳送模式(secure messaging mode)下安全地執(zhí)行進一步通信。關(guān)于安全消息傳送和動態(tài)會話密鑰的詳細概念����,請再次參考“Chip card manual”。
接著����,實施用戶30關(guān)于芯片卡20的驗證。在步驟110���,首先終端14檢查將要如何實施驗證基于知識���,即通過輸入PIN,或者通過生物測量學(xué)���,即提供指紋�����。驗證方法的指定可以由終端14基于與電子文檔40一起傳送的信息來自動實施�,但是它也能夠作為決定請求經(jīng)由顯示裝置16提供給用戶30�。在后面的情況下����,用戶30利用輸入裝置18來做出決定�。
如果用戶30的驗證將要基于知識進行�,即通過輸入PIN來實施,則在步驟112�,芯片卡20使其它可能的驗證方法即指紋檢查失效,并且經(jīng)由顯示裝置16要求用戶30經(jīng)由輸入裝置18輸入他的PIN��。
于是�,在步驟114,用戶30經(jīng)由輸入裝置18輸入PIN�,并且終端14將它直接或者以修改的形式、經(jīng)由接口19���、22傳遞給芯片卡20�����。PIN或者由此獲得的信息的傳輸以及隨后與芯片卡的通信是使用協(xié)商的會話密鑰來進一步確保安全的�����。終端14與芯片卡20之間的全部通信都在安全消息傳送模式下有利地實施���。
在步驟116�����,該卡檢查所傳送的PIN���,并且在沒有錯誤的情況下向終端14確認正確性,或者如果檢查出PIN是錯誤的�����,則終止該過程�����。
如果給定沒有錯誤的情況��,則在步驟118����,終端14通過相應(yīng)的指令來引發(fā)芯片卡20執(zhí)行安全性建立操作,即數(shù)字簽名��,并且將等待簽名的電子文檔40傳送到芯片卡20����。
在步驟120�,芯片卡20利用存儲在存儲終止26中的保密密鑰對所提供的電子文檔40進行簽名��,并且在步驟122�,將電子文檔40傳送回終端14���,終端14使用它來繼續(xù)進行所啟動的電子交易��。
如果步驟110中的檢查顯示出用戶30的驗證將不基于知識而是通過生物測量學(xué)進行�����,則在步驟130����,終端14啟動對所提供的生物測量學(xué)特征的驗證��,并且向芯片卡20做出相應(yīng)的報告��。于是��,在步驟132��,芯片卡20使未使用的其它驗證方法、即基于知識的PIN檢查失效�。
隨后,在步驟134����,用戶30給終端14提供與所使用的驗證方法相對應(yīng)的生物測量學(xué)特征、即指紋����。提供指紋的請求最好通過終端14的顯示裝置16上的相應(yīng)顯示來實施。該指紋由安裝在終端14上的傳感器15來檢測�。
在步驟136,檢測出的生物測量學(xué)特征��、即用戶30的指紋��,由終端14進行預(yù)處理�����,在該預(yù)處理中���,它從在傳感器15上獲取的信號中提取特定的標識特征�。如果使用了指紋���,則確定“Henry classification method(亨利分類方法)”的主要特征��,例如在“Chip card manual”中所述的那樣�。
在步驟138,所提取的特征由終端14經(jīng)由接口19�、22傳送到便攜式數(shù)據(jù)載體20。
在步驟140����,當該數(shù)據(jù)載體接收到它們時��,它就執(zhí)行對所傳送的提取特征的核實(verification)��。在此���,集成電路24將所接收的提取特征與存儲在存儲裝置中的參考特征進行比較�����,并且檢查是否出現(xiàn)充分的匹配����。如果出現(xiàn)了充分的匹配�,則在步驟142�,便攜式數(shù)據(jù)載體20向終端14確認所傳送的生物測量學(xué)特征的成功核實����。而且,便攜式數(shù)據(jù)載體20轉(zhuǎn)變其自身��,以便準備好執(zhí)行安全性建立操作����,即執(zhí)行數(shù)字簽名。
在步驟144�����,在接收到驗證的成功核實的確認之后����,終端14通過相應(yīng)的指令來引發(fā)數(shù)據(jù)載體20執(zhí)行數(shù)字簽名。終端14將要簽名的電子文檔40或者至少它的一部分與該指令一起傳送到便攜式數(shù)據(jù)載體20��。
于是����,在步驟146,便攜式數(shù)據(jù)載體20的集成電路24執(zhí)行創(chuàng)建數(shù)簽名所需的操作���。一般地����,它在所接收的這部分電子文檔40上形成散列值,并且利用由保密密鑰和公共密鑰組成的非對稱密鑰對中的保密密鑰將其加密�,該保密密鑰被存儲在存儲裝置26中。
此外�,在步驟148,集成電路24形成質(zhì)量信息���,該質(zhì)量信息表明用戶30的驗證是使用生物測量學(xué)特征進行的���。進而�,將所述質(zhì)量信息與所創(chuàng)建的數(shù)字簽名牢固地結(jié)合起來,以便有利地在使用預(yù)先協(xié)商的會話密鑰的安全消息傳送機制之內(nèi)形成安全性消息�����。
在步驟150�,如此形成的由數(shù)字簽名和質(zhì)量信息組成的安全性消息由便攜式數(shù)據(jù)載體20傳送回終端14。從這里開始����,所傳送的安全性消息在所實施的安全電子交易之內(nèi)傳遞下去����,直到該交易涉及的接收者�,例如背景系統(tǒng)10。
除了由便攜式數(shù)據(jù)載體20執(zhí)行的安全性建立操作之外����,安全性消息的接收者通過其中包含的質(zhì)量信息,來同時接收關(guān)于所執(zhí)行的用戶30的驗證質(zhì)量的狀態(tài)�����。
在上述示例中�����,只有在使用生物測量學(xué)驗證方法時才創(chuàng)建質(zhì)量信息�,而在使用基于知識的方法時不創(chuàng)建質(zhì)量信息。于是���,質(zhì)量信息的缺少已經(jīng)表示出使用了低質(zhì)量方法�����。然而����,當然能夠規(guī)定總是形成質(zhì)量信息,即��,與是否選擇了基于知識的方法或者生物測量學(xué)方法用于驗證無關(guān)�。
在保持將關(guān)于預(yù)先執(zhí)行的用戶驗證的質(zhì)量信息附加到由便攜式數(shù)據(jù)載體執(zhí)行的安全性建立操作的結(jié)果上的基本思想的同時,上述概念允許其它實施方式和變化���。這也適用于在實施交易時所使用的系統(tǒng)的設(shè)計中����,能夠包括更多的部件以及不同類型的部件�。上述過程還能夠包括例如中間步驟等其它步驟。
權(quán)利要求
1.一種使用便攜式數(shù)據(jù)載體在終端上實施安全電子交易的方法��,用戶藉此對該便攜式數(shù)據(jù)載體驗證他自身���,該便攜式數(shù)據(jù)載體向該終端確認驗證的證明,接著該便攜式數(shù)據(jù)載體在該電子交易之內(nèi)執(zhí)行安全性建立操作�����,其特征在于該便攜式數(shù)據(jù)載體(20)創(chuàng)建關(guān)于如何進行用戶(30)的驗證的質(zhì)量信息���,并且所述質(zhì)量信息被附加到該安全性建立操作的結(jié)果中��。
2.如權(quán)利要求1所述的方法�����,其特征在于由便攜式數(shù)據(jù)載體(20)執(zhí)行的安全性建立操作在于創(chuàng)建數(shù)字簽名���。
3.如權(quán)利要求1所述的方法�����,其特征在于用戶(30)的驗證是通過提供生物測量學(xué)特征來執(zhí)行的����。
4.如權(quán)利要求3所述的方法�����,其特征在于用戶(30)的驗證是通過提供用戶(30)的生理學(xué)的或基于行為的特征特性來執(zhí)行的���。
5.如權(quán)利要求1所述的方法�,其特征在于用戶(30)的驗證是通過證明秘密的知曉來執(zhí)行的。
6.如權(quán)利要求1所述的方法����,其特征在于提供至少兩種不同質(zhì)量的不同驗證方法來驗證用戶(30)。
7.如權(quán)利要求6所述的方法��,其特征在于使未使用的特定驗證方法失效��。
8.如權(quán)利要求6所述的方法�����,其特征在于對于驗證方法不產(chǎn)生質(zhì)量信息���。
9.如權(quán)利要求1所述的方法�,其特征在于要求用戶(30)選擇驗證方法�。
10.一種用于在安全電子交易之內(nèi)執(zhí)行安全性建立操作的便攜式數(shù)據(jù)載體,用戶藉此對該便攜式數(shù)據(jù)載體驗證他自身����,并且該便攜式數(shù)據(jù)載體向該終端確認該驗證�,其特征在于該便攜式數(shù)據(jù)載體(20)被設(shè)置成創(chuàng)建表明如何執(zhí)行用戶(30)的驗證的質(zhì)量信息。
11.如權(quán)利要求10所述的數(shù)據(jù)載體�,其特征在于該便攜式數(shù)據(jù)載體(20)被設(shè)置成創(chuàng)建數(shù)字簽名。
12.如權(quán)利要求10所述的數(shù)據(jù)載體��,其特征在于該便攜式數(shù)據(jù)載體(20)支持至少兩種質(zhì)量不同的驗證方法。
13.一種與如權(quán)利要求9所述的便攜式數(shù)據(jù)載體結(jié)合使用的終端��,其特征在于該終端具有用于引發(fā)用戶(30)來選擇至少兩種可能的驗證方法之一的裝置(16���、18)����。
14.一種用于實施安全電子交易的系統(tǒng)��,在該安全電子交易之內(nèi)查明用戶對該系統(tǒng)的驗證的質(zhì)量�����,包括如權(quán)利要求10所述的便攜式數(shù)據(jù)載體和如權(quán)利要求13所述的終端���。
全文摘要
本發(fā)明公開了一種使用便攜式數(shù)據(jù)支持裝置來執(zhí)行安全電子交易的方法��。根據(jù)本發(fā)明��,用戶(30)首先對便攜式數(shù)據(jù)載體(20)驗證他自身�����。便攜式數(shù)據(jù)載體(20)同時產(chǎn)生關(guān)于驗證如何發(fā)生的信息�����,向終端(14)核實該信息��。接著����,便攜式數(shù)據(jù)載體(20)在交易的框架之內(nèi)執(zhí)行基于安全性操作,例如數(shù)字簽名的生成�����?�;诎踩圆僮鞯慕Y(jié)果被添加到質(zhì)量信息中���。
文檔編號G07F7/10GK1708773SQ200380101997
公開日2005年12月14日 申請日期2003年10月23日 優(yōu)先權(quán)日2002年10月24日
發(fā)明者吉塞拉·邁斯特, 尼戈爾·馬丁 申請人:德國捷德有限公司