鉴定及利用计算机系统安全资源的方法和系统的制作方法

专利名称：鉴定及利用计算机系统安全资源的方法和系统的制作方法
技术领域：
本发明涉及使用计算机系统执行安全交易，具体来说，它涉及鉴定和利用计算机系统的安全资源以执行这些安全交易的一种方法和系统。
背景技术：
计算机和计算机网络越来越多地用于处理电子商务和其他类型的交易。允许个人用户参与这些交易的应用程序也不断出现。为了使这些交易更为容易，必须保持这些交易的完整性和有效性以及用于执行这些交易的应用程序的安全性。但是，常规的计算机环境允许黑客危及这样交易的完整性和有效性。由此，仍然有必要向参与电子商务和其他交易的用户提供安全保护。
常规的计算机网络，如局域网、广域网和/或公共网(如英特网)，将个人计算机和工作站与一个或几个服务器连接以及将个人计算机和工作站互相连接。这种环境允许计算机用户与服务器互动或计算机用户之间互动。计算机用户之间或计算机用户与服务器之间的交易是通过运用常规操作系统平台如0S/2、Windows和UNIX中运行的应用程序进行处理的。一般来说，这些交易包含机密或敏感数据如银行、借贷帐户的信息，并可能涉及大量钱款。这些常规操作系统平台一般被认为是不安全的。
因此，常规计算机系统有很多安全漏洞。在这些常规计算机环境中提供安全保护是非常困难的。例如，最近的通过用于访问网络如英特网的浏览器应用程序的漏洞发生的计算机系统中的安全违约行为。使用自动传送信息至计算机的攻击(push)技术，如ActiveX或Javascript程序，无道德的人可获取计算机系统和敏感的用户数据的访问路径。其他违反安全的行为是使用解码含有密钥的文件的侵袭手法发生的。其结果是，侵袭者会危及所有将来的通信或伪装成用户或敏感信息的拥有者。
因此，经过或存储在计算机中的敏感数据会被能获取计算机或与计算机相连的计算机网络的访问路径的黑客或入侵者所危及。而且，即使敏感数据已被加密，如在计算机系统下载和执行恶作剧程序的情况下，计算机中其他敏感数据很易受到侵袭。
目前出现了针对计算机系统潜在的侵袭的机制。其中之一是在常规计算机系统中创造的受信任的操作环境。这些环境具有被隐藏的执行功能和受保护的存储空间。被隐藏的执行功能允许执行不为传统计算机资源所察觉的操作。受保护的存储空间提供敏感信息的安全保护，这些信息如密钥、签名密钥或其他秘密信息。被隐藏的操作功能和受保护的存储空间允许常规计算机系统执行交易协议部分而不允许软件调试程序监视数据结构并作用于信任环境中的断点或监视点。信任环境的这些方面还有助于防止病毒或其他入侵机制修改应用数据或可操作的物品代码。因此，交易的敏感部分就可受到保护以防一些传统软件的侵袭。
虽然信任环境提供某些保护以防传统的侵袭，但是这些信任环境存在一些缺陷。具体来说，没有机制能证实信任环境安全的完整性。一位用户可能希望提供含有来自各种来源的敏感数据的数据输入，这些来源包括智能卡、生物统计传感器或其他外围设备。较难允许一位用户以安全的方式将数据输入到信任环境中。也难以安全地提供有关发生在信任环境的处理过程的反馈信息。
因此需要这样一种系统和方法，它能提供处理安全交易的环境，同时避免信任环境实施中的许多缺陷。本发明针对了这种需要。
发明概述本发明提供了用于执行安全交易的一种系统和方法。其计算机系统包括一个存储器。一方面，该方法和系统包括提供一个计算机系统的基本输入输出系统(BOIS)，提供一个与计算机系统耦合的安全外围设备以及提供一个与计算机系统耦合的主安全协处理器。BIOS包含用于指示与BIOS第一信任关系的第一装置。安全外围设备包含用于指示与安全外围设备第二信任关系的第二装置。主安全协处理器是用于执行计算机系统的敏感数据，它包含用于指示与主安全协处理器第三信任关系的第三装置。该方法和系统还利用主安全协处理器或BIOS来证实第一、第二或第三信任关系之一，它是使用第一装置指示第一信任关系，使用第二装置指示第二信任关系或使用第三装置指示第三信任关系。另一方面，该方法和系统利用计算机系统的敏感数据执行应用程序。计算机系统包括一个主安全协处理器和一个安全外围设备。在这方面，该方法和系统建立了主安全协处理器与安全外围设备之间通信的安全通道以执行部分应用程序，通过主安全协处理器利用安全通道执行这部分应用程序。
根据在此公开的方法和系统，本发明提供了在计算机系统中可被鉴定的信任环境。由此就实现了快速执行受安全保护的交易而不危及敏感数据。此外，系统中的安全资源可以被查询以确定系统执行受安全保护的交易的能力。还可跟踪安全资源的使用情况。
附图简述

图1为执行电子交易的常规系统的框图。
图2A为常规认证结构的图解。
图2B为用于鉴定电子交易的常规认证链的图解。
图3为根据本发明的含有一个安全协处理器的系统的框图。
图4为能在计算机系统中鉴定和使用安全资源的系统的一个实施例的图解。
图5为能在计算机系统中鉴定和使用安全资源的系统的另一个实施例的图解。
图6A为描述根据本发明的鉴定安全资源方法的流程图。
图6B为根据本发明的验证安全资源方法的流程图。
图7A为根据本发明的使用安全资源方法的流程图。
图7B为根据本发明的提供安全通道方法的流程图。
图8为根据本发明的执行一个具体经安全保护的交易的系统的一个实施例的图解。
图9A为根据本发明的提供安全交易以传送视频的方法的流程图一部分。
图9B为根据本发明的提供安全交易以传送视频的方法的流程图一部分。
本发明详述本发明涉及在计算机系统中执行安全交易的改进。下列描述表明使本领域的普通熟练人员能利用本发明，这些内容体现在专利申请的上下文及所需之处。对较佳实施例的各种修改对于本领域的熟练的人来说是显而易见的，此处的一般原理可用于其他的实施例。因此，本发明不局限于所指示的实施例而适用于与此处所述的原理和特性一致的更广泛的领域。
图1为执行电子交易的一个常规系统10的框图。系统10包括一个装备有计算机磁盘和存储器(磁盘)16的个人计算机或工作站(计算机)14。计算机14通过网络12与其他计算机(未图示)相连。网络12可以是连接一幢大楼中的计算机的一个局域网、连接位于分开的几幢大楼中的一个组织的各台计算机的一个广域网、一个公共网如英特网。
大多数用于处理电子交易的应用程序(电子交易应用程序)可在一个常规操作系统平台诸如OS/2、Windows和UNIX上进行操作。常规操作系统平台不为执行电子交易的应用程序提供一个安全环境。在这种环境中，很容易危及有关电子交易的机密信息(敏感数据)。常规计算机14违反安全的行为包括解码含有密钥的文件，对其他系统或其他机制有可能进行解锁以侵袭计算机系统。
因此需要选择其他系统和方法保护电子交易的完整性和有效性。这些系统和方法为处理电子交易提供一个更为安全的环境。
交易信息可在一个计算机系统中被鉴定。电子交易应用程序一般与熟知的公共密钥加密算法相关，该算法利用公共密钥和私有密钥的一对密钥组合进行鉴定。公共密钥是在公共区域中可获取的数据。私有密钥是属于拥有者个人的敏感数据。私有密钥是由发给个人的智能卡提供的，智能卡由如银行、信用卡公司、雇主等组织发出。
数字认证将这对密钥组合与一个名称结合从而提供一个数字身份。该数字认证用于证实公共密钥是属于使用它的特定的实体。图2A为一个常规认证的结构图。一个常规认证结构与如X509.v3标准的认证结构一致。一个常规数字认证500包括一个用户名502、一个认证有效日期504和公共密钥508。此认证由互相委托的授权机构(也就是，受公共密钥使用者和他的交易方委托)“签字”。互相委托的授权机构通常所知为认证授权机构或签发授权机构506，它通过提供签名510证实公共密钥确实属于该公共密钥使用者的方式来鉴定公共密钥使用者的身份。
借助公共密钥加密，一条经加密或未经加密的消息可由私有密钥“签字”并传送至受信人。然后，该受信人或任何拥有公共密钥的人能使用公共密钥解密消息并知道谁是发信人。数字认证允许通过跟踪消息来源和通常被称作为“根”实体的信任共同点来鉴定消息。一般一条认证链用于此目的。
图2B为鉴定电子交易的认证链的图解。具有根认证授权机构522的认证链允许不同国家地区的个人之间进行电子交易。根认证授权机构522允许不同国家以及这些国家的不同地区的认证授权机构向个人签发数字身份。认证链建立一种由每一交易方至根认证授权机构522的向上信任关系。
“信任关系”的含义是二个设备或实体之间存在着一种重要的关系。它基于几条原理(1)鉴定(消息的接受人必须能确定其来源；入侵者不能伪装成别人)；(2)完整性(消息的接受人必须能证实消息在传送过程中未被修改；入侵者不能用假消息替代合法消息)；(3)不可否认性(发消息者事后不能否认他发出消息。一旦提供了一种信任关系，就可能建立一个“安全”通道，可选择用此通道以保密方式提供数据。
由此，举例来说，日本认证授权机构528、法国认证授权机构526和美国认证授权机构均各自分别签发数字身份给日本、法国和美国居民。在日本，东京地区认证授权机构538可以签发数字身份546给J.Yen。在法国，巴黎地区认证授权机构536可以签发数字身份544给F.Frank。在美国，可以有东部认证授权机构534、中西部认证授权机构532和西部认证授权机构530。西部认证授权机构530可以签发数字身份给加州认证授权机构540，随后加州认证授权机构540可以签发数字身份542给A.Doe。
当加州居民A.Doe想要处理与日本的J.Yen和/或法国的F.Frank交换数据进行的电子交易时，A.Doe需要确定是与J.Yen和/或F.Frank而不是冒充者进行电子交易。通过现有的认证技术，就可证实经过认证链的交易消息的发送人的数字身份。A.Doe在核查某人消息中的数字认证时可检查此人的数字认证中是否有有效的数字身份。也就是说，A.Doe可检查J.Yen的消息中是否有有效的认证授权机构即东京地区认证授权机构538、日本认证授权机构528、以及根认证授权机构522的签字。
公共-私有-密钥加密的特征在于它是一个不对称的加密，其中如果用用户的公共密钥完成变换(加密)，那么只有用户的私有密钥才能进行反向变换(解密)。也就是说，每边分别只需密钥之一，一个用于变换，另一个用于反向变换。
相反地，对称密钥加密使用一个密钥，两边都用此密钥加密和解密它们的消息。一边用该密钥加密消息，另一边用同样的密钥解密消息。该密钥必须保密；如果未经授权的人得到了密钥，他就能阅读所有用此密钥加密的通信内容。因此，特别需关注密钥的分发-不能无偿分发公共密钥，所有的密钥必须保密，必须设计高度安全的分发制度保护系统安全。私有-公共-密钥系统允许事先未见面的各方安全通信。由于公共密钥能广泛分发，任何人都能为他们希望与之安全通信的人取得一份公共密钥的副本，用他们的公共密钥加密消息，同时通过他/她的数字认证鉴定使用者。
再参见图1，为允许在计算机14执行安全交易，可在计算机14提供一个信任环境。计算机14的信任环境具有被隐藏的操作功能和受保护的存储空间，被隐藏的操作功能允许实施不为传统计算机资源所察觉的操作，受保护的存储空间提供敏感信息的安全保护。被隐藏的操作功能和受保护的存储空间有助于防止病毒或其他入侵机制修改应用数据或可操作的物品代码。
虽然信任环境提供保护防止传统侵袭，但是本领域的普通熟练人员了解信任环境具有一些缺陷。没有任何机制能证实信任环境安全的完整性。用户可以希望提供含有来自各种来源的敏感数据的数据输入，这些来源包括智能卡、生物统计传感器或其他外围设备。较难允许用户以安全的方式将数据输入到信任环境中。也难以安全地提供有关发生在信任环境的处理过程的反馈信息。
以上结合作为参考的于____提交的题为“计算机系统安全交易的方法和系统”的共同审理中的第____号美国专利申请描述了包含安全协处理器的一种方法和系统。上述共同审理中的专利申请的方法和系统包括一个安全协处理器和用于将安全协处理器与主机系统相连的一个接口。在此方法和系统中，安全交易的执行就地在安全协处理器内执行，非安全交易的处理在主机系统内执行。该方法和系统还包括提供与安全协处理器耦合的信任输入的装置。此外，该方法和系统包括与安全协处理器耦合的用于从智能卡接受敏感数据的第二接口，以及与安全协处理器耦合的用于提供真实交易信息的信任显示。
图3为根据上述共同审理中的专利申请的包含安全协处理器122的一个系统100的框图。安全协处理器122包含一个用于与主机(计算机)114相连的主机接口120，主机再与网络110相连。主机接口120包含一个接口134，这在共同审理的专利申请中详述。使用主机接口120，安全协处理器在主机114和安全协处理器122之间建立了一道防火墙。
安全协处理器122被描述为与信任显示128及信任输入130相连。安全协处理器122还被描述为包含智能卡接口124。安全协处理器122与智能卡126相连，智能卡126为存放敏感数据的手持式安全装置。安全协处理器122与符合智能卡通信标准ISO7816的智能卡126兼容则较佳。
如共同审理中的专利申请所述，安全计算机环境104通过接口134与传统计算机环境102分离。这样就能进行电子交易的分发处理。分发处理的特征在于安全协处理器122负责就地检索和处理敏感数据。在安全协处理器122提供的安全计算机环境104，敏感数据经加密和/或隐藏在经加密签字的消息中。然后经加密的敏感数据和/或经加密签字的消息传送至计算机114的传统计算机环境102从而完成电子交易的处理。计算机114通过网络110将含有加密签字消息的交易信息传至与之相连的另一台计算机。因此，根据上述共同审理中的专利申请的系统中，敏感数据从不由传统计算机环境102的计算机114处理，因而不易被侵袭。
安全协处理器122虽然被描述为与智能卡126耦合，但它能用于键盘(未图示)或其他外围设备。其结果是，在其他外围设备中可提供安全计算机环境，如安全计算机环境104。在本专利申请的上下文中，通过使用安全协处理器122或其他机制提供安全计算机环境的外围设备被称为安全外围设备。
虽然安全协处理器122按预定目的发挥其功能，但本领域的普通熟练人员能意识到安全协处理器122和其他安全外围设备可获取的带宽大大少于一些应用程序所需要的。例如，某些应用程序需要来自用户的存储值帐户的实时视频流解密和演绎。安全协处理器122可能不能提供这些服务。由此，这样的应用程序将得益于具有高带宽和直接访问系统资源的安全协处理器。在本专利申请的上下文中，这样的安全协处理器被称作主机安全协处理器。还可提供主机安全协处理器使用环境的安全性证实。此外，可提供主机安全协处理器在处理应用程序时使用安全外围设备的环境。
本发明提供了用于执行安全交易的一种系统和方法。一方面，该方法和系统包括提供一个计算机系统的基本输入输出系统(BIOS)，提供一个与计算机系统耦合的安全外围设备以及提供一个与计算机系统耦合的主安全协处理器。BIOS包含用于指示与BIOS第一信任关系的第一装置。安全外围设备包含用于指示与安全外围设备第二信任关系的第二装置。主安全协处理器是用于处理计算机系统的敏感数据，它包含用于指示与主安全协处理器第三信任关系的第三装置。
该方法和系统还包括利用BIOS来证实第一、第二或第三信任关系之一，它是使用第一装置指示第一信任关系，使用第二装置指示第二信任关系或使用第三装置指示第三信任关系。
另一方面，该方法和系统利用计算机系统的敏感数据执行应用程序。计算机系统包括一个主安全协处理器和一个安全外围设备。在这方面，该方法和系统建立了主安全协处理器与安全外围设备之间通信的安全通道以执行应用程序，执行主安全协处理器的应用程序，执行应用程序时使用主安全协处理器与安全外围设备之间通信的安全通道。
以下就具有几个安全外围设备的一个特定系统来描述本发明。但是，本领域的普通熟练人员可看出该方法和系统使用其他安全外围设备就能为其他系统有效工作。另外，还将在具有安全协处理器提供安全保护的安全外围设备的上下文中描述本发明。然而，无任何因素能阻碍本发明与利用其他机制确保安全的安全外围设备一起使用。最后，将在每个系统都提供有一个主安全协处理器的上下文中描述本发明。但是，本发明与每个系统中的多个主安全协处理器的使用相一致。
为了根据本发明更具体地说明该方法和系统，现参见图4和图5，图4和图5为此系统二个实施例的框图。参见图4，计算机系统200可以是网络的一个部分。计算机系统200由系统管理器202管理，它包括一个第一安全外围设备204，一个第二安全外围设备212，一个存储器206和一个主安全协处理器210。系统管理器202可包含一个计算机或工作站，管理器可从中监视系统200。
系统管理器202能管理一个系统，这是因为每个装置有一个可被跟踪的数字认证(身份)。系统管理器202想加入一个新的硬件部件(如一个安全键盘)时，他/她就运行安装程序，该安装程序产生一个由管理者签名的用于安全键盘的数字认证，将此认证安装在键盘里并且记录在BIOS 208中指示该新资源存入计算机系统。此外，安装程序更新远地数据库指示系统XYZ现含有安全键盘ABC。现在，如果安全键盘ABC在以后在系统JKL上被测出，他就知道用户已移开此键盘。同样地，下次系统XYZ被引导时，可以确定键盘ABC不再存在，可向系统管理器202发出“资产管理”的消息。
系统200还可包含其他计算机(未图示)。第一安全外围设备204和第二安全外围设备212可包含一个安全键盘、一个安全阅读器、一个安全显示器、一个智能卡、生物统计数据安全存放器或其他安全外围设备。根据本发明计算机系统200包含一个基本输出输入系统(BIOS)208。主安全协处理器210用于处理应用程序(未图示)，这些应用程序如电子商务或其他应用程序执行受安全保护的交易。主安全协处理器较佳地具有至系统200资源的直接的高带宽路径。
同样，图5为一计算机系统250，它包括附加系统资源252、第一安全外围设备254、第二安全外围设备262、一个存储器256和一个主安全协处理器260。系统管理器252可包含一个计算机或工作站，管理器可从中监视系统250。系统250还可包含其他计算机(未图示)。第一安全外围设备254和第二安全外围设备262可包含一个安全键盘、一个安全阅读器、一个安全显示器、一个智能卡、生物统计数据安全存放器或其他安全外围设备。依据本发明计算机系统250包含一个基本输出输入系统(BIOS)258。主安全协处理器260用于处理应用程序(未图示)，这些应用程序如电子商务或其他应用程序执行受安全保护的交易。主安全协处理器如有系统250资源的直接高-带宽存取路径则更佳。
在使用时，BIOS 208或258分别用于测试和准备系统200或250。BIOS 208或258分别包含证实系统200或250各部分安全完整性的机制。在一个优选实施例中，BIOS 208或258包含一个数字认证(未图示)和一个私有密钥(未图示)，用于分别指示BIOS 208或258与系统管理器202或系统250的余下部分的信任关系。
图6A表示提供系统200或250的一种方法，用此方法可执行安全交易以及分别证实系统和安全外围设备204和212或254和262的安全性。BIOS 208或258经过步骤302分别安装在系统200或250中。如上所述，BIOS 208或258包含一个数字认证和一个私有密钥或其他分别表示BIOS 208或258与系统管理器202或系统200或250的信任关系的指示。
经过步骤302至少安装了一个主安全协处理器210或260。主安全协处理器210或260用于处理执行安全交易的应用程序。主安全协处理器210或260包含一个分别表示主安全协处理器210或260与系统管理器202或系统200或250的信任关系的指示。在一个优选实施例中，该指示为一个数字认证和一个私有密钥。安全外围设备204和212或254和262分别经过步骤330进行安装。如前面所述，安全外围设备204、212、254及262如包含一个安全协处理器122则更佳。每个安全外围设备204、212、254及262还包含每个安全外围设备204、212、254及262与系统管理器202或分别与系统200或250的信任关系的指示。在一个优选实施例中，每个安全外围设备204、212、254及262包含一个数字认证和一个私有密钥。这样，BIOS 208或258经过步骤340证实这些信任关系。
图6B表示了一个优选实施例证实信任关系的步骤340的更详细的流程图。在启动时采用方法340较佳。可在特定时期或考虑加入其他安全外围设备(未图示)或已加入系统200或250的其它主安全协处理器(未图示)以更新系统200或250的配置的时候执行方法340。经过步骤342，BIOS 208或258证实其自身的安全完整性。在一个优选实施例中，使用加密散列(cryptographic hash)和签名的机制来执行步骤342。散列是一种类似压缩算法的单向防冲突的加密算法。防冲突的意思是对于任何一个输入都有一个相应的散列输出。就是说，如果除了一个比特之外两部分数据完全一样，那么就会产生二个完全不同的散列输出。单向意味着散列值不可能导出任何输入数据。安全散列使得很难伪造电子签名，因为它要求实验大量的输入数据，而只有其中一个输入数据才能产生特定的散列输出。
BIOS 208或258经过步骤344使安全外围设备204和212或254和262以及主安全协处理器210和260分别生效。在一个优选实施例中，步骤344包括使安全外围设备204和212或254和262的数字认证以及主安全协处理器210和260的数字认证生效。在一个优选实施例中，步骤344还包括确定新的受安全保护的外围设备(未图示)或新的主安全协处理器(未图示)是否已加入系统中并使任何新的受安全保护的外围设备或新的主安全协处理器生效。BIOS经过步骤346提供安全资源的清单。安全资源是那些经步骤344生效的受安全保护的外围设备204、212、254或262以及主安全协处理器210或260。在一个优选实施例中，步骤346提供所有已生效的安全外围设备204和212或254和262以及主安全协处理器210或260的数据库。
这样，安全外围设备204、212、254或262就能允许用户以安全方式输入敏感数据。使用方法300可证实安全外围设备204、212、254及262中的每一个的完整性，以及主安全协处理器210和260的每一个的完整性。一旦采用方法340提供了系统200或250并证实了信任关系，就可使用安全资源204、210和212或254，260和262运行执行安全交易的应用程序。这样就为运行应用程序提供了一个信任环境。
图7A表示了利用安全资源执行安全交易的应用程序的方法400。至少部分应用程序是用主安全协处理器210或260执行的。在一个优选实施例中，经过步骤410确定是否有足够的安全资源用于执行应用程序。但是，注意步骤410不是必须的。同样在一个优选实施例中，步骤410包括查询安全资源数据库确定是否可获取执行应用程序所需的安全外围设备204和212或254和262。在一个优选实施例中，如果没有足够的资源，那么就不能执行应用程序。但是，在另一个实施例中，可确定没有足够的资源情况下执行应用程序违反安全行为产生的风险，如果风险小于一个特定的容差仍可执行该应用程序。
如果有足够的安全资源，那么通过步骤420建立起主安全协处理器210或260与可被应用程序使用的安全资源如安全外围设备204、212、254或262之间的安全通道。在一个优选实施例中，通过存在于主安全协处理器210或260的内容保护应用程序执行步骤420。使用安全资源的应用程序可取得内容保护应用程序。然后内容保护应用程序执行步骤420。执行应用程序时，通过步骤430用安全通道进行主安全协处理器210或260分别与安全外围设备204和212或254和262之间的通信。
图7B表示了一个优选实施例建立安全通道的步骤420的更详细的流程图。主安全协处理器210或260通过步骤422分别与安全外围设备204和212或254和262中的每一个或其他所使用的安全资源交换数字认证。然后主安全协处理器210或260通过步骤424分别使安全外围设备204和212或254和262中的每一个的数字认证生效。安全外围设备204和212或254和262中的每一个或其他所使用的安全资源通过步骤426分别使主安全协处理器210或260的数字认证生效。然后主安全协处理器210或260通过步骤428提供会话密钥。在一个优选实施例中，主安全协处理器210或260以及安全外围设备204和212或254和262分别采用与应用程序一起使用安全外围设备204和212或254和262中的每一个的密钥交换算法磋商会话密钥。每个密钥磋商过程产生用于主安全协处理器与各自的安全外围设备的安全通信的独一无二的会话密钥。会话密钥是使用常规密钥交换算法如Diffe-Hellman磋商的。
一旦通过步骤428商定会话密钥后，通过图7A描述的步骤430，使用会话密钥在主安全协处理器210或260和用于执行应用程序的安全外围设备204和212或254和262之间交换数据。利用会话密钥加密数据，通过主安全协处理器210或260分别与安全外围设备204和212或254和262之间的加密通道进行传输。随后，由主安全协处理器210或260和接收加密数据的安全外围设备204和212或254和262中的每一个进行数据解码。这样，主安全协处理器210或260和安全外围设备204和212或254和262之间交换的数据就能免于泄露。这是因为只有安全通道末端才能解码主安全协处理器210或260分别与安全外围设备204和212或254和262之间传送的信息。在一个优选实施例中，一旦应用程序执行完毕，销毁采用步骤420提供的安全通道则更佳。在一个优选实施例中，这包括销毁步骤430磋商的会话密钥。
所以，本发明具有许多优点。每一系统200和250中的安全资源的完整性可分别使用BIOS 208或258明确证实。一旦主安全协处理器210或260分别与安全外围设备204和212或254和262之间建立起安全通道，就可在主安全协处理器210或260分别与安全外围设备204和212或254和262之间传送用于执行允许用于受安全保护的交易的应用程序的敏感数据或其他数据，而不会使数据易受侵袭。此外，通过安全外围设备204、212、254或262，如安全键盘输入的敏感数据可转移至其他安全资源用于执行应用程序。这样，即使由系统200或250执行应用程序也不会危及输入系统200或250的敏感数据的完整性。此外，使用可能具有高带宽的主安全协处理器210或260实现应用程序的执行。因而，提高了具有外部安全处理器的实施例的处理速度。
每个安全外围设备204、212、254和262和每个主安全协处理器210和260被赋予独特的数字认证和私有密钥，即所谓的认证文件。可使用相应的跟踪这些安全资源的使用。例如，系统管理器202可通过监视安全外围设备204或212的认证文件分别跟踪安全外围设备204或212的使用。此外，采用方法400可确定可获取安全资源并根据执行过程涉及的风险决定运行时间。
图8更清晰地表明根据本发明的方法和系统的优点。图8显示了根据本发明用于特定受安全保护交易的系统600的一个特定实施例。受安全保护的交易允许用户接收来自服务器(未图示)的视频内容。系统600包括一个常规微处理器602、一个随机存取存储器(RAM)610、一个与磁盘616耦合的直接存储器访问(DMA)控制器614和一个光盘只读存储器(CD-ROM)618。磁盘616或光盘只读存储器(CD-ROM)618存放用户希望存取的数据。
随机存取存储器(RAM)610用作安全资源之间的消息传递邮箱。例如，可由安全单元设备驱动器执行安全键盘630和主安全协处理器612之间的通信。协作处理器612发至键盘630的一条消息可通过安全协处理器630写入RAM610，这时安全协处理器有一个标题指示消息是发给安全键盘630的。然后，该消息经过安全键盘驱动器传送至键盘630。作为回应，键盘630将一条消息标记为发给安全协处理器612，接收驱动器通过将消息放入安全协处理器612的邮箱(输入列队)来执行同样的功能。当这些消息有效负荷经会话密钥加密后，设备之间数据的机密性就被赋予了“安全通道”的概念。
系统600还包括一个监视器604、一个与监视器604耦合的SVGA(超级视频图形适配器)控制器606和一个外围设备控制器。外围设备控制器与安全显示器622、安全生物统计传感器624、安全键盘630和安全智能卡阅读器626耦合，安全智能卡阅读器626可与智能卡628耦合。安全显示器622、安全生物统计传感器624、安全键盘630和安全智能卡阅读器626是具有安全协处理器如122和主接口如134的安全外围设备。系统600还包括一个根据本发明的包含BIOS608的只读存储器(ROM)，以及一个根据本发明的主安全协处理器612。如图6B所表示，BIOS 608采用方法340证实主安全协处理器612、安全显示器622、安全生物统计传感器624、安全智能卡阅读器626和安全键盘630的完整性。
图9A和9B为一同表示用于提供安全交易以传递视频至系统600的方法700。参见图8、9A和9B描述方法700。用户通过步骤702要求存放在服务器(图8未图示)的一个加密可视文件。为了解密该可视文件用户必须向视频提供者提供价值(value)。这样，需要转移敏感信息的安全交易使得用户能获取并看到所需的视频内容。存放在系统600的用于执行受安全保护交易的应用程序通过步骤704查询安全资源的数据库以确定是否有足够的资源。BIOS 608使用方法340使系统组件生效时提供数据库。因此，步骤704与图7A所述的方法400中的步骤410相似。再参见图8、9A和9B，如果有足够的资源，应用程序通过步骤706启动主安全协处理器612中的内容保护应用程序(未图示)。然后，主安全协处理器612中的内容保护应用程序通过步骤708在主安全协处理器612和所需的安全资源如安全显示器622、安全生物统计传感器624、安全智能卡阅读器626和安全键盘630之间建立安全通道。步骤708与图7A和7B中所述的步骤420相似。
再参见图8、9A和9B，接着加密可视文件通过步骤710下载至系统600。该加密可视文件如包含具有摘要和用法方面的信息的明文标题则较佳。系统600通过步骤712读取标题以确定转移至视频提供者的总额使得系统能解密可视文件。主安全协处理器612使用主安全协处理器612和安全显示器622之间的安全通道，可通过步骤714将总额转移至安全显示器622。交易总额不须加密。但是，必须鉴定总额以确保从用户转移至视频文件提供者的总额正确。
一旦鉴定了总额，通过步骤716，安全显示器622向用户显示总额并指示用户将智能卡628放入智能卡阅读器626。通过步骤718，安全智能卡阅读器626和智能卡628之间建立了信任关系。在一个优选实施例中，步骤718包括使智能卡628的数字认证有效。随后安全智能卡阅读器626通过步骤720读取智能卡628的敏感数据。在一个优选实施例中，步骤720包括读取用户用于视频提供者的帐户中的价值并确定个人识别号(PIN)必须用于开启用户的帐户。通过步骤722，安全显示器622用于指导用户在安全键盘630上输入PIN。
然后，主安全协处理器612和安全键盘630之间的安全通道用于通过步骤724将PIN从安全键盘630传送至主安全协处理器612。因此，步骤724包括使用用于主安全协处理器612和安全键盘630之间的安全通道的会话密钥解密PIN。然后，主安全协处理器612和安全智能卡阅读器626之间的安全通道用于通过步骤726将PIN转送至安全智能卡阅读器626。因此，PIN还在步骤726的转移中被解密。然后通过步骤728，安全智能卡阅读器626解密PIN并将其转移至智能卡628。智能卡通过步骤730使用PIN开启用户的帐户。
一旦用户的帐户被开启，通过步骤732，主安全协处理器612就可使用安全智能卡阅读器626和主安全协处理器612之间的安全通道用交易总额借记用户的帐户并向智能卡628提供交易收据。同样通过步骤732，主安全协处理器612与服务器交换总额并接收用于解密可视文件必要的工具如密钥。随后通过步骤734，可视文件被解密并播放。通过步骤736，所提供的用于执行应用软件的安全通道在完成时被销毁。
由于主安全协处理器612具有大带宽和直接访问系统600资源的路径，因此可视文件可通过步骤734被解密并实时播放。这样，系统600就能参与受安全保护的交易。此外，主安全协处理器可以充分地向用户播放可视文件。由于安全协处理器的有限带宽，不可能只使用存放在安全智能卡阅读器626的安全协处理器如安全处理器122或只使用智能卡628实时播放可视文件。
用于使用和鉴定受安全保护的资源以执行受安全保护的交易的一种方法和系统已被公开。虽然根据所示的实施例描述了本发明，本领域的普通熟练人员能看到对实施例可做些变换，这些变换均属于本发明的精神和范围内。因此，在不脱离所附权利要求书的精神和范围，本领域的熟练人员还可对此作出各种变换。
权利要求
1.一种在计算机系统上执行安全交易的方法，该方法包括以下步骤(a)在计算机系统上提供一个基本输入输出系统(BIOS)，BIOS包括用于指示与BIOS第一信任关系的第一装置；(b)提供一个与计算机系统耦合的安全外围设备，该安全外围设备包括用于指示与安全外围设备的一个第二信任关系的第二装置；(c)提供一个与安全外围设备和存储器耦合的主安全协处理器，主安全协处理器用于处理计算机系统上的敏感数据，它包括用于指示与主安全协处理器第三信任关系的第三装置；以及(d)利用BIOS或主安全协处理器证实第一、第二或第三信任关系的至少一个，它是使用第一装置指示第一信任关系，使用第二装置指示第二信任关系或使用第三装置指示第三信任关系。
2.如权利要求1所述的方法，其特征在于，包括利用步骤(d)的签名机制的BIOS还包括步骤(d1)使用签名机制证明第一信任关系。
3.如权利要求1所述的方法还包括步骤(e)用第二装置指示第二信任关系证明第二信任关系，以及使用第三装置指示第三信任关系证明第三信任关系。
4.如权利要求3所述的方法，其特征在于，安全外围设备包括一个第二数字认证和一个第二私有密钥，主安全协处理器包括一个第三数字认证和一个第三私有密钥；其中，利用步骤(e)的BIOS还包括步骤(e1)证明第二数字认证和第三数字认证。
5.如权利要求3所述的方法，其特征在于还包括步骤(f)提供多个安全资源的清单，多个安全资源包括主安全协处理器和安全外围设备。
6.如权利要求4所述的方法，其特征在于，计算机系统还包括一个应用程序，由主安全协处理器执行一部分应用程序，此方法还包括步骤(g)建立主安全协处理器和安全外围设备之间通信的安全通道。
7.如权利要求6所述的方法，其特征在于，主安全协处理器包括一个第一数字认证，安全外围设备包括一个第二数字认证，建立步骤(g)的安全通道还包括步骤(g1)向安全外围设备提供第一数字认证；(g2)向主安全协处理器提供第二数字认证；(g3)使用安全外围设备证实第一数字认证；(g4)使用主安全协处理器证实第二数字认证；以及(g5)提供用于主安全协处理器和安全外围设备之间通信的一个会话密钥以执行这部分应用程序。
8.如权利要求6所述的方法，其特征在于还包括步骤(h)使用安全通道通过主安全协处理器执行这部分应用程序。
9.如权利要求8所述的方法，其特征在于还包括步骤确定应用程序是否可被安全执行。
10.如权利要求9所述的方法，其特征在于，该系统包括多个安全资源，确定步骤(i)还包括步骤(i1)确定多个安全资源是否足够执行应用程序；以及(i2)只在多个安全资源足够情况下才执行应用程序。
11.如权利要求10所述的方法，其特征在于，资源确定步骤(i1)还包括步骤(i1a)确定安全外围设备是否足够执行应用程序。
12.如权利要求9所述的方法，其特征在于还包括步骤(j)允许系统管理者跟踪安全外围设备的使用情况。
13.一种用于在计算机系统上利用敏感数据执行应用程序的方法，该计算机系统包括一个主安全协处理器和一个安全外围设备，该方法包括如下步骤(a)建立主安全协处理器和安全外围设备之间通信的安全通道以执行这部分应用程序；以及(b)使用安全通道通过主安全协处理器执行这部分应用程序。
14.如权利要求13所述的方法，其特征在于，主安全协处理器包括一个第一数字认证和第一密钥，安全外围设备包括一个第二数字认证和第二密钥，安全通道建立步骤(a)还包括步骤(a1)向安全外围设备提供第一数字认证；(a2)向主安全协处理器提供第二数字认证；(a3)使用安全外围设备证实第一数字认证；(a4)使用主安全协处理器证实第二数字认证；以及(a5)磋商基于二个安全装置的信任关系的一个会话密钥，该会话密钥用于主安全协处理器和安全外围设备之间通信以执行这部分应用程序。
15.如权利要求13所述的方法，其特征在于还包括步骤(c)确定应用程序是否可被安全执行。
16.如权利要求15所述的方法，其特征在于，该系统包括多个资源，确定步骤(c)还包括步骤(c1)确定多个资源是否足够执行应用程序；以及(c2)只在多个资源足够情况下才执行应用程序。
17.如权利要求16所述的方法，其特征在于，资源确定步骤(c1)还包括步骤(c1i)确定安全外围设备是否足够执行应用程序。
18.如权利要求15所述的方法，其特征在于还包括步骤(d)允许系统管理者跟踪安全外围设备的使用情况。
19.一种用于在计算机系统上执行安全交易的设备，包括含有一个基本输入输出系统(BIOS)的计算机系统，BIOS包含用于指示与BIOS的第一信任关系的第一装置；一个与计算机系统耦合的安全外围设备，该安全外围设备包含用于指示与安全外围设备的一个第二信任关系的第二装置；以及一个与计算机系统耦合的主安全协处理器，主安全协处理器包含用于指示与主安全协处理器第三信任关系的第三装置；其中，BIOS使用第一装置指示第一信任关系，使用第二装置指示第二信任关系或使用第三装置指示第三信任关系来证实第一、第二或第三信任关系的至少一个。
20.如权利要求19所述的设备，其特征在于，BIOS还包含一个签名机制，其中，BIOS还使用签名机制证明第一信任关系。
21.如权利要求19所述的设备，其特征在于，BIOS还使用第二装置指示第二信任关系证明第二信任关系以及使用第三装置指示第三信任关系证明第三信任关系。
22.如权利要求21所述的设备，其特征在于，安全外围设备包括一个第二数字认证和一个第二私有密钥，主安全协处理器包括一个第三数字认证和一个第三私有密钥；BIOS还证明第二数字认证和第三数字认证。
23.如权利要求21所述的设备，其特征在于，BIOS还提供多个安全资源的清单，多个安全资源包括主安全协处理器和安全外围设备。
24.如权利要求22所述的设备，其特征在于，计算机系统还包括一个应用程序，由主安全协处理器执行一部分应用程序，此设备还包括执行这部分应用程序时，建立主安全协处理器和安全外围设备之间通信的安全通道的装置。
25.如权利要求24所述的设备，其特征在于，主安全协处理器还包括一个第一数字认证，安全外围设备包括一个第二数字认证，安全通道建立装置还包括向安全外围设备提供第一数字认证的装置；向主安全协处理器提供第二数字认证的装置；使用安全外围设备证实第一数字认证的装置；使用主安全协处理器证实第二数字认证的装置；以及磋商用于主安全协处理器和安全外围设备之间通信的一个会话密钥以执行这部分应用程序的装置。
26.如权利要求25所述的设备，其特征在于主安全协处理器使用安全通道执行这部分应用程序。
27.如权利要求24所述的设备，其特征在于还包括确定应用程序是否可被安全执行的装置。
28.如权利要求27所述的设备，其特征在于，该系统包括多个资源，其中，确定应用程序是否可被安全执行的装置还包括确定多个资源是否足够执行应用程序的装置；以及只在多个资源足够情况下才执行应用程序的装置。
29.如权利要求28所述的设备，其特征在于，确定多个资源是否足够的装置还包括确定安全外围设备是否足够执行应用程序的装置。
30.如权利要求27所述的设备，其特征在于，系统由系统管理者管理，其中，允许系统管理者跟踪安全外围设备的使用情况。
31.一种用于在计算机系统上利用敏感数据执行应用程序的设备，该计算机系统包括一个主安全协处理器和一个安全外围设备，该设备包括建立主安全协处理器和安全外围设备之间通信的安全通道以执行这部分应用程序的装置；以及使用安全通道通过主安全协处理器执行这部分应用程序的装置。
32.如权利要求31所述的设备，其特征在于，主安全协处理器还包括一个第一数字认证，其中，安全外围设备包括一个第二数字认证，安全通道建立装置还包括向安全外围设备提供第一数字认证的装置；向主安全协处理器提供第二数字认证的装置；使用安全外围设备证实第一数字认证的装置；使用主安全协处理器证实第二数字认证的装置；以及磋商用于主安全协处理器和安全外围设备之间通信的以执行这部分应用程序的磋商一个会话密钥的装置。
33.如权利要求31所述的设备，其特征在于还包括确定应用程序是否可被安全执行的装置。
34.如权利要求33所述的设备，其特征在于，该系统包括多个资源，其中，确定应用程序是否可被安全执行的装置还包括确定多个资源是否足够执行应用程序的装置；以及只在多个资源足够情况下才执行应用程序的装置。
35.如权利要求34所述的设备，其特征在于，资源确定装置还包括确定安全外围设备是否足够执行应用程序的装置。
36.如权利要求33所述的设备，其特征在于还包括允许系统管理者跟踪安全外围设备的使用情况的装置。
全文摘要
本发明公开了在计算机系统上执行安全交易的一种方法和系统。该计算机系统包括一个存储器。一方面,该方法和系统包括在计算机系统上提供一个基本输入输出系统(BIOS)(208),提供一个与计算机系统耦合的安全外围设备以及提供一个与计算机系统耦合的主安全协处理器(122)。BIOS包含用于指示与BIOS(208)第一信任关系的第一装置。安全外围设备包含用于指示与安全外围设备第二信任关系的第二装置。主安全协处理器(122)用于处理计算机系统上的敏感数据,它包含用于指示与主安全协处理器(122)第三信任关系的第三装置。该方法和系统还包括利用BIOS(208)证实第一、第二或第三信任关系的至少一个,它是使用第一装置指示第一信任关系,使用第二装置指示第二信任关系或使用第三装置指示第三信任关系。另一方面,该方法和系统利用计算机系统上的敏感数据执行应用程序。计算机系统包括一个主安全协处理器(122)和一个安全外围设备。在这方面,该方法和系统包括建立主安全协处理器(122)与安全外围设备之间通信的安全通道以执行一部分应用程序,通过主安全协处理器(122)利用安全通道执行这部分应用程序。
文档编号G09C1/00GK1326629SQ99813236
公开日2001年12月12日 申请日期1999年11月12日 优先权日1998年11月13日
发明者L·S·威尔 申请人:波系统股份有限公司