专利名称:用于释放对计算机系统或程序的访问的方法
技术领域:
本发明涉及一种用于释放对计算机系统或程序的访问的方法。本发明还涉及一种用于释放对计算机系统或程序的访问的便携式数据载体。
背景技术:
为使用户可以访问计算机或程序,有一系列不同的公知过程和辅助手段。在很多没有很高安全要求的情况下,在正确地输入用户标识和口令之后就释放访问。但例如当同一用户拥有可以访问多个计算机系统或程序的访问授权时就出现了困难。此时用户须知道多个用户标识和相关的口令。
取代手动输入口令用户还可以利用便携式安全数据载体来进行认证。但其前提是,在这里所使用的终端设备上安装了能够访问便携式安全数据载体的合适的软件。这样,当用户对计算机系统或程序的访问是借助第三方的终端设备建立的时,安装这样的软件尤其成问题。这种情况例如可以在外勤工作人员对客户进行访问时想访问自己公司的服务器时发生。在这样的情况下通常排除对常规安全数据载体的使用,因为在大多数情况下在客户的终端设备上没有安装使用安全数据载体所需的软件。为解决此问题已公知有一种装置,其根据按钮的按压而在显示器上显示出数字。然后外勤工作人员读取该数字,并借助客户的终端设备例如作为一次性口令而登记到被保护的互联网页面。由此该外勤工作人员可以通过客户的终端设备在一定的时间内访问自己公司的服务器。但该过程的缺点是,必须每次向终端设备敲入一次性口令。此外的缺点是,任何拥有能产生口令的设备的人都可以建立对该系统的访问。因此该设备的损失是非常关键的。
发明内容
本发明要解决的技术问题是,可以通过一终端设备以安全和对用户友好的方式释放对计算机系统或程序的访问,而不必在该终端设备上安装专门为该目的设置的软件。
本发明的技术问题通过具有权利要求1的特征的方法来解决。
在按照本发明的为用户通过终端设备释放对计算机系统或程序的访问而无需在该终端设备上安装专门为此目的而设的软件的方法中,在用户的便携式数据载体和终端设备之间建立数据连接。由该便携式数据载体对用户进行认证。在成功进行认证后,由该便携式数据载体建立用于释放对计算机系统或程序的访问的访问代码,并通过该数据连接进行传输。
本发明的优点在于,通过采用便携式数据载体可以非常友好的方式释放访问。在此进行的用户认证可以保证高的安全标准。尤其具有优点的是,采用便携式数据载体无需在终端设备上安装特殊的软件。由此可以借助不允许用户在其上安装软件的第三方的终端设备为用户释放访问。
尤其可以通过终端设备的USB接口建立数据连接。由于越来越多的终端设备提供USB接口,因此按照本发明的方法可以普遍使用。此外的优点在于,便携式数据载体的运行电压可以通过USB接口提供,因此便携式数据载体不需要自身的电压源。
可以基于用户输入的个人秘密信息来进行认证。其优点在于,可以简单的方式实现并且无需预留高的计算能力。同样还可以基于生物方法、尤其是对用户的指纹进行检验的方法来进行认证。由此可以保证非常高的安全标准。
在本发明方法的一种变形中,由便携式数据载体产生访问代码。为了使潜在的入侵困难,可以在产生访问代码时考虑一个由计算机系统提供的随机数。由此,每次都采用一个不同的访问代码,从而使得对于访问代码的侦察不会为入侵者提供任何有用的信息。在本发明方法的另一种变形中,在便携式数据载体中存储至少一个防止未授权访问的访问代码。由此消除了产生访问代码的计算开销。
可以在便携式数据载体的存储器的公开区域内提供通过数据连接传输的访问代码。由此可以通过应用终端设备的命令来通过数据连接传输访问代码。在本发明方法的一种扩展中,便携式数据载体对终端设备的输入装置进行模拟。由此可由便携式数据载体将访问代码作为被模拟的输入装置的输入通过数据连接传输。其优点在于,对于访问代码的传输不需要手动输入命令。在本发明方法的所有变形中,例如都可将访问代码传输到因特网网页上。
在本发明方法的一种优选实施方式中,在便携式数据载体的存储器中存储用于建立到计算机系统的连接的软件。由此可实现与使用的终端设备的最大程度的不相关性。为使从外部对便携式数据载体的存储器的访问尽可能简单地实现,可以将便携式数据载体的存储器作为驱动器来运行。
按照本发明的为用户通过终端设备释放对计算机系统或程序的访问而无需在该终端设备上安装专门为此目的而设的软件的便携式数据载体,具有用于提供用于释放对计算机系统或程序的访问的访问代码的安全芯片。按照本发明的便携式数据载体的特点在于,设置了用于建立与终端设备的数据连接的装置,并且利用安全芯片对用户进行认证。
按照本发明的便携式数据载体尤其这样构成,其可以连接在终端设备的USB接口上。在一种扩展中,便携式数据载体具有USB集线器,通过该USB集线器将与终端设备的数据连接在该便携式数据载体内分离为多个分离的信号路径。由此可以从便携式数据载体一侧向终端设备报告多个USB设备,如输入装置和替换的数据载体。此外,按照本发明的便携式数据载体还可以具有构成为闪存EEPROM的存储器。这样的存储器可以很小的开销从便携式数据载体的外部读取。在一种优选实施方式中,按照本发明的便携式数据载体具有用于采集生物数据的传感器、尤其是指纹传感器。
以下借助所示实施例对本发明进行描述。图中示出图1示意性示出按照本发明构成的便携式数据载体的实施例的体系结构,该便携式数据载体连接在个人计算机上用以释放对计算机系统或程序的访问;图2示出按照本发明的借助便携式数据载体释放访问的实施例;以及图3示意性示出按照本发明的便携式数据载体的另一实施例的体系结构。
具体实施例方式
图1示意性示出按照本发明构成的便携式数据载体1的实施例的体系结构,该便携式数据载体1连接在个人计算机2上用以释放对计算机系统或程序的访问。便携式数据载体1优选构成为也称为凭证(Token)并优选插入个人计算机2的接头中的小型设备。便携式数据载体1具有与非易失性存储器4、指纹传感器5和安全芯片6连接的集成电路3。在外部集成电路3与个人计算机2的USB接口7连接。在此USB表示通用串行总线的缩写。个人计算机2以未详细示出的方式与例如因特网的网络连接。作为集成电路3优选采用简称为ASIC的特定用途集成电路,其功能方式按照便携式数据载体1特殊地剪裁。非易失性存储器4尤其构成为闪存EEPROM。安全芯片6与集成电路3按照标准的T=1协议通信,并根据便携式数据载体1的构成还可以作为插在便携式数据载体1中的芯片卡的组成部分。便携式数据载体1和个人计算机2的USB接口7的连接用于以运行电压为便携式数据载体1提供电源以及便携式数据载体1和个人计算机2之间的数据传输。便携式数据载体1的作用原理将借助图2详细描述。
图2示出按照本发明的借助便携式数据载体1释放访问的实施例。在此用一个方块表示一个或多个动作。在此根据应通过其进行访问的受保护的因特网网页的各个动作是属于便携式数据载体1还是属于用户,将相应的方块显示在三列之一中。在此左列表示映射在因特网网页上的动作。中间列表示便携式数据载体1的动作。右列示出用户的对应动作。
为了启动按照本发明的方法,利用个人计算机2调用释放访问所需的因特网网页,并将便携式数据载体1插到个人计算机2的USB接口7的插头上并由此将其激活。如通过方块B1显示的,此后用户在被调用的因特网网页上输入用户标识。该输入例如可以通过由用户将用户标识从便携式数据载体1的非易失性存储器4的公开区域传输到该因特网网页来实现。这被示为方块B2。非易失性存储器4的公开区域可从便携式数据载体1的外部来访问。因此对于传输可采用个人计算机2上的通常可用的命令,如“复制”、“剪切”、“粘贴”。除了从便携式数据载体1的非易失性存储器4传输之外,还可以通过个人计算机2的键盘来将用户标识输入因特网网页。而在另一种变形中则完全不用输入用户标识。
下一个动作是在因特网网页上显示由所属的服务器产生的随机数。这通过方块B3来显示。按照方块B4,用户利用命令“剪切”和“粘贴”将该随机数从因特网网页传输到便携式数据载体1的非易失性存储器4的公开区域。原理上还可以取代“剪切”命令而使用“复制”命令。通过方块B5示出,随机数作为输入用于以方块B6表示的产生便携式数据载体1的响应。但如通过方块B7示出的,该响应仅在对用户成功认证的情况下才会产生。在按照本发明方法的当前实施方式下,借助对用户指纹的验证来进行认证。按照方块B8,用户例如通过将手指放在指纹传感器5上或通过执行便携式数据载体1的非易失性存储器4中的程序来触发该验证。指纹传感器5采集一幅图像、提取其特征并与存储的参考特征进行比较。可替换的,对用户的认证还可以通过输入个人秘密数字实现。在成功认证之后便携式数据载体1产生响应。在产生响应时考虑所述随机数。例如为了产生响应而计算哈西随机数的数字签名。
如通过方块B9示出的,在便携式数据载体1的非易失性存储器4的公开区域内提供该响应。根据方块B 10,用户通过使用命令“剪切”和“粘贴”来将该响应从便携式数据载体1的非易失性存储器4传输到因特网网页。方块B 11示出,所属的服务器对该响应的正确性进行验证并相应地为用户释放访问。
如果不需满足过高的安全性要求,还可以采用本发明方法的不采用随机数的简化变形。在该变形中仍要对用户的指纹进行验证。当结果为正面的时,便携式数据载体1产生一个一次性口令并将其存放在便携式数据载体1的非易失性存储器4的公开区域内。用户以已描述过的方式将该一次性口令传送到因特网网页。由此在预定的时间段内为该用户释放访问。就是在这种变形中也可以通过用个人秘密数字代替指纹来对用户进行认证而对本发明的方法进行进一步的简化。在这种情况下,在便携式数据载体1的非易失性存储器4的公开区域内存储一可执行程序,该程序要求用户输入其个人秘密数字。由用户输入的该秘密数字的值将与参考值进行比较,在一致时也产生一个一次性口令,其存放在便携式数据载体1的非易失性存储器4的公开区域内,并由用户从那里传输到因特网网页。
在执行本发明的方法时,还可以采用作为可执行程序在便携式数据载体1中实现的浏览器。在此可将用于由用户释放访问的因特网网页作为“收藏”来存储。在这种变形中,不要求动用个人计算机2的浏览器并采用其安全设置。
在所有这些方法变形中,与安全相关的操作均分别由安全芯片6来执行,并在安全芯片6中存储秘密保有的信息。尤其是可以在安全芯片6中存储生物参考数据组,该生物参考数据组可在集成电路3中与当前生物原始数据完全或部分地进行比较。
图3示意性示出按照本发明的便携式数据载体1的另一实施例的体系结构。该实施例的特点在于,便携式数据载体1通过集成的USB集线器8连接到个人计算机2的USB接口7上。USB集线器8使得可以将两个USB设备连接到个人计算机2的USB接口7上。在便携式数据载体1内形成USB集线器8和集成电路3之间的两个分离的信号路径。集成电路3对于第一信号路径模拟USB键盘并相应地在个人计算机2的操作系统中作为附加键盘登录。该USB键盘被个人计算机2看作是物理存在的键盘并对其输入进行相应的处理。对于第二信号路径将实现一个闪存驱动器。该闪存驱动器具有允许在不同因特网网页和服务之间进行选择的可执行程序。除此之外,按照图3的实施例与图1所示的实施例相同。
在采用按照图3实现的便携式数据载体1时,将其插在个人计算机2的USB接口7的插头内。借助该闪存驱动器上的可执行程序选择期望的因特网网页。然后用户将因特网网页上的输入标记置于为此而设的输入区内,并通过将手指放在便携式数据载体1的指纹传感器5上而触发生物用户认证。在成功认证用户之后便携式数据载体1产生一次性口令并通过第一信号路径将其传送到因特网网页的输入区。不需要手动地将该一次性口令传送到因特网网页,因为对于第一信号路径模拟了键盘,并由此自动进行传输。同样还可以将存储在便携式数据载体1中的用户标识和口令发送到因特网网页的相应输入区。用户可以上述方式访问多个不同的因特网网页,而无需注意分别对应的用户标识和口令,因为在成功认证用户之后这些用户标识和口令被自动输入到受访因特网网页的输入区。取代将用户标识和口令输入因特网网页还可以将其分别输入具有口令保护的本地应用或网络应用。尤其是还可以在操作系统的登录屏幕上进行输入。此外还可以考虑在非易失性存储器4中存储用于注册应用程序、因特网网页或服务的可执行程序。在此该程序可显示用户通过标准输入装置最后输入的命令。
如果该程序第一次新识别出通过口令保护的应用程序或因特网网页,其可以对用户给出自动登记注册信息的建议。根据该程序的配置设置可在下一次调用时当用户相对于凭证被认证时自动填写注册信息。该程序还可要求放置手指。
此外,借助图2描述的本发明的方法和其变形也可类似地用于图3示出的便携式数据载体1的实施例。但对于从便携式数据载体1到个人计算机2的数据传输不需要手动输入命令。
本发明方法的所有变形的一个重要方面在于,无需在个人计算机2上安装专门用于该方法的软件。该方法的实施可以基于个人计算机2的标准软件和/或在便携式数据载体1上实现的软件。
权利要求
1.一种为用户通过终端设备(2)释放对计算机系统或程序的访问而无需在该终端设备(2)上安装专门为此目的而设的软件的方法,其中-在用户的便携式数据载体(1)和终端设备(2)之间建立数据连接;-由该便携式数据载体(1)对用户进行认证;-在成功进行认证后,由该便携式数据载体(1)提供用于释放对计算机系统或程序的访问的访问代码,并通过该数据连接进行传输。
2.根据权利要求1所述的方法,其特征在于,所述数据连接通过所述终端设备(2)的USB接口(7)建立。
3.根据权利要求1或2所述的方法,其特征在于,基于用户输入的个人秘密信息来进行所述认证。
4.根据权利要求1或2所述的方法,其特征在于,基于生物方法、尤其是对用户的指纹进行检验的方法来进行所述认证。
5.根据权利要求1至4中任一项所述的方法,其特征在于,所述访问代码由所述便携式数据载体(1)产生。
6.根据权利要求5所述的方法,其特征在于,在产生所述访问代码时考虑一个由计算机系统提供的随机数。
7.根据权利要求1至4中任一项所述的方法,其特征在于,在所述便携式数据载体(1)中存储至少一个用于防止未授权访问的访问代码。
8.根据权利要求1至7中任一项所述的方法,其特征在于,在所述便携式数据载体(1)的存储器(4)的公开区域内提供所述通过数据连接传输的访问代码。
9.根据权利要求1至8中任一项所述的方法,其特征在于,通过应用所述终端设备(2)的命令来通过所述数据连接传输所述访问代码。
10.根据权利要求1至8中任一项所述的方法,其特征在于,由所述便携式数据载体(1)对终端设备(2)的输入装置进行模拟。
11.根据权利要求10所述的方法,其特征在于,由所述便携式数据载体(1)将所述访问代码作为被模拟的输入装置的输入通过数据连接传输。
12.根据权利要求1至11中任一项所述的方法,其特征在于,将所述访问代码传输到因特网网页上。
13.根据权利要求1至12中任一项所述的方法,其特征在于,在所述便携式数据载体(1)的存储器(4)中存储用于建立到计算机系统的连接的软件。
14.根据权利要求1至13中任一项所述的方法,其特征在于,将所述便携式数据载体(1)的存储器(4)作为驱动器运行。
15.一种为用户通过终端设备(2)释放对计算机系统或程序的访问而无需在该终端设备(2)上安装专门为此目的而设的软件的便携式数据载体,具有用于提供用于释放对计算机系统或程序的访问的访问代码的安全芯片(6),其特征在于,具有用于建立与终端设备(2)的数据连接的装置(3),并且该安全芯片(6)对用户进行认证。
16.根据权利要求15所述的便携式数据载体,其特征在于,该便携式数据载体可以连接在所述终端设备(2)的USB接口(7)上。
17.根据权利要求15或16所述的便携式数据载体,其特征在于,其具有USB集线器(8),通过该USB集线器(8)将在便携式数据载体(1)中的与终端设备(2)的数据连接划分为多个分离的信号路径。
18.根据权利要求15至17中任一项所述的便携式数据载体,其特征在于,其具有构成为闪存EEPROM的存储器(4)。
19.根据权利要求15至18中任一项所述的便携式数据载体,其特征在于,其具有用于采集生物数据的传感器(5)、尤其是指纹传感器。
全文摘要
本发明涉及一种为用户通过终端设备(2)释放对计算机系统或程序的访问而无需在该终端设备(2)上安装专门为此目的而设的软件的方法。其中,建立在用户的便携式数据载体(1)和终端设备(2)之间的数据连接。由该便携式数据载体(1)对用户进行认证。在成功进行认证后,由该便携式数据载体(1)建立用于释放对计算机系统或程序的访问的访问代码,并通过该数据连接进行传输。
文档编号G06F21/34GK1918527SQ200480041885
公开日2007年2月21日 申请日期2004年12月14日 优先权日2003年12月18日
发明者罗伯特·米勒 申请人:德国捷德有限公司