金融交易的安全方法和设备的制作方法

专利名称：金融交易的安全方法和设备的制作方法
技术领域：
本发明涉及金融交易中的金融管理以及服务，尤其涉及一种金融交易的安全方法和系统，用于移动银行、多账户管理、跨行金融交易、网上交易、付款人和一个或多个业务提供者之间的金融交易等，其中任何不必要方都不能访问任何的个人信息及机密交易信息。
背景技术：
在当今的商业世界，对每个人来说，金融交易成为一个至关重要的问题。我们每天都要通过信用卡进行支付，有时也需要进行诸如银行账户间资金划转、给他人汇款、访问 ATM机以进行存、取款、账户交易、网上付款、网上多账户管理和网上交易等的金融交易。然而，由于持卡人或账户所有人的个人信息和交易信息必须通过诸如信用卡POS机、ATM机等银行设备和通过互联网操作计算机进行发送，这些机密信息难免曝露于众，从而可能引起严重的商业欺诈行为。随着通信和计算机技术的发展，对客户或公司来说，利用诸如ATM机、POS机和计算机等电子设备进行金融交易或通过互联网管理银行账户非常便捷。然而，事实上，进行的电子交易越便捷，用户的个人信息越不安全。一般来说，一个普通的交易活动涉及三个方面，即付款人、收款人和金融机构。例如，在一次购买交易中，买方需要使用由信用卡公司管理的信用卡向卖方支付款项。在此情况下，买方即为付款人，卖方为收款人，而该信用卡公司即为上述金融机构。在支付活动中，买方将自己的信用卡交给卖方，卖方使用己方的POS机来读取或记录信用卡上存储的信息，并通过该POS机经由网络与信用卡公司通信，核实信息的正确性，并向信用卡公司请求实施交易。信用卡公司在接收到信用卡信息以及交易请求后，执行买方和卖方的账户间转账交易。在该支付过程中存在的最大问题是，付款人必须将其信用卡信息提供给收款人。 一旦信息被提供后，付款人将再也无法对其提交的信息进行任何掌控。而卖方在得到信息后，可能故意将其用作非法目的，或不慎将其泄露给具有犯罪意图的其他人。还有另一个问题是，收款人和金融机构之间的通信期间，数据是通过诸如电话线等开放式网络进行传输的，有可能被截获并被用作非法目的。另外，一旦某人将其信用卡交给诸如商店或饭店等服务提供商的雇员用以支付时，其卡号、持卡人姓名、信用卡失效日期，甚至信用卡安全码都是开放访问的。也许商店值得信赖，但是你不一定相信它的雇员。所以，在使用信用卡支付时，始终存在着这样的风险 信用卡信息以及个人信息(因为有时商店雇员可能需要通过信用卡来核实个人身份)被服务人员暗自记住，并卖给实施信用卡诈骗的组织或个人以在其他城市或国家进行非法消费。从POS机或ATM机上篡改数据和/或盗取银行卡信息以及个人信息已经不再是一种神秘的技术了，每次在扫描信用卡、借记卡或银行卡后，账户里面的钱可能随后被人盗窃。网上银行的风险性更大。使用互联网时，黑客可以轻易地非法侵入电脑系统，窃取个人信息及账户信息。虽然有使用防火墙，但是银行和政府的计算机系统被非法侵入也不是新闻了。目前，随着越来越多的人开始在网上购物，问题更趋严重，因为互联网并不是一个安全的网络。在网上进行交易时，付款人仍需提供敏感信息给收款人，而对于此收款人，付款人根本不熟悉，或许甚至一无所知。此外，通过互联网传输敏感信息的过程也引进了更多机会将该信息暴露给有犯罪意图的人。传统电子交易的方法使用中存在两个基本的弱点。首先，付款人必须在没有进一步控制的情况下将敏感信息展示给收款人。其次，敏感信息在付款人，收款人及金融机构之间的传递是不安全的。因此，开发一种不需将付款人敏感信息公开给不受控方，并且具有安全的传输方法以在用户和金融机构间传输敏感信息的用于执行电子交易的设备及方法具有巨大的市场需求。传统的信息收集及传输的过程有许多安全方面的缺陷。首先，存储在许多电子设备中的所有数据没有很好的安全保护。例如，存储所有信用卡信息的便携式POS机通常只由一个四位的数字密码进行保护，很容易通过软件或硬件对其进行破解。其次，许多电子设备都支持第三方开发的软件。这虽然非常方便用户扩展设备功能，但同时也将许多系统资源开放给了第三方开发的软件，使该软件能够以非法目的访问敏感信息。在这一点上最好的例子就是为个人电脑所开发的病毒。因此，必须为金融方面的应用，开发一种充分考虑数据安全的新方法以及新设备。另一方面，为了交易目的输入POS机或ATM机上的信息，也可能通过借助外力或电子设备侵入POS机或ATM机的电路板以获得存储在电路板的存储单元内的信息而被非法盗取。虽然这些电子设备给我们提供了一个更加简单方便的生活方式，然而如何保护我们重要的个人信息，防止其被非法手段获取后用于非法目的是主要关心的内容。

发明内容
本发明的一个优点是提供一种金融交易的安全方法和设备，无需向任何不受控或非指定的个人或团体公开诸如个人信息和账户信息等的任何敏感信息。本发明的另一个优点是提供一种安全传输方法和设备，用于在该设备的用户和金融实体间传输敏感信息。本发明的另一个优点是提供一种金融交易的安全方法和设备，其使用了高度防止 PIN码被篡改和被窃取的高级加密技术。本发明的另一个优点是提供一种金融交易的安全方法和设备，用于移动银行、多账户管理、跨行金融交易、网上交易、付款人和一个或多个业务提供者之间的金融交易等， 其中任何不必要方都不能访问任何的个人信息及机密交易信息。本发明的另一个优点是通过加密传输技术提供一种金融交易的安全方法和设备， 用于一对一银行账户连接。本发明的另一个优点是提供一种金融交易的安全方法和设备，内嵌一种自毁机制以防止数据被篡改。本发明的另一个优点是提供一种金融交易的安全方法和设备，包括一个安全密钥输入系统，该系统使用一种随机PIN码键盘生成技术。本发明的另一个优点是提供一种金融交易的安全方法和设备，使用用于安全电子交易的安全固件。本发明的另一个优点是提供一种金融交易的安全方法和设备，具有一个密钥加密系统以确保被加密信息的安全密钥存储。本发明的另一个优点是提供一种金融交易的安全方法和设备，支持无卡交易和无卡查询。本发明的另一个优点是提供一种金融交易的安全方法和设备，支持不同银行间的电子交易。本发明的另一个优点是提供一种金融交易的安全方法和设备，能够在不使用PIN 键盘的情况下登入，并能防止篡改和攻击。本发明的另一个优点是提供一种金融交易的安全方法和设备，用于帐户信息的多方式认证，用于防止错误交易。本发明的另一个优点是提供一种金融交易的安全方法和设备，具有嵌入式安全 API，用于支持第三方的二次开发，广泛应用于高度安全的网上银行，B2B服务，以及互联网上的大额交易。本发明的另一个优点是提供一种金融交易的安全方法和设备，适用于多信用卡管理，多银行帐户管理，交易数据导出，两设备间的数据交换，以及应用ATM接口软件的交易。本发明的另一个优点是提供一种金融交易的安全方法和设备，适用于网上购物， 网上银行，网上交易，网上财务管理，以及场外支付和无线支付。本发明的另一个优点是提供一种金融交易的安全方法和设备，可以提高银行客户的操作隐私安全及操作的便利性，增加银行投资组合，减少银行柜台的工作量，降低银行人力成本，为全球客户和银行创建一个方便、有效、安全、可靠的交易工具和交易平台。本发明的另一个优点是提供一种金融交易的安全方法和设备，适用于“卡到卡”， “账户到账户”，“卡到账户”，以及“账户到卡”的支付方式，以替代柜台处理以及网上银行的传统支付方式。本发明的另一个优点是提供一种金融交易的安全方法和设备，具有三轨磁卡读取器，IC卡读取器，以及ATM用户操作界面；支持磁性信用卡标准以及国际IC信用卡标准；具有全封闭的外壳设计以及数码动态键盘模型；该设备可以通过LCD直接进行读和写操作。本发明的另一个优点是提供一种金融交易的安全方法和设备，该设备为一种手持设备，具有快捷金融交易、USB连接、蓝牙传输和内嵌软件，并与个人计算机、笔记本电脑、上网本、掌上电脑、和移动电话相兼容。根据本发明的另一方面，本发明包括一种金融交易的安全方法，包括以下步骤(a)在安全金融交易设备中接收用户的交易信息和个人信息；(b)在该设备中加密用户的交易信息、个人信息以及安全PIN码，并通过互联网将经加密后的交易信息、个人信息以及安全PIN码传送给指定的金融实体；(c)与该金融实体核对划入指定金融账户的支付金额；以及(d)由金融实体通过互联网将支付金额从金融实体转给指定金融帐户后，在该设备中接收关于交易支付金额划入指定金融账户的确认。当上述支付金额要被支付到服务提供者的收款账户时，该收款账户的所在银行以及/或者该金融实体将向该服务提供者确认该支付者。换句话说，用户无需向该服务提供者公开任何个人信息以及交易信息。在本发明的一个实施例中，该设备采用了一种高级加密技术，用以高度防止PIN 码被篡改和窃取，还采用了一种用于安全电子交易的安全固件。该设备还包含自我毁灭机制以防止任何数据篡改，一旦设备检测到任何篡改，其中的所有的敏感信息，诸如个人信息、交易信息和输入的PIN码，都将被从设备中永久删除。在本发明的一个实施例中，该设备还包含一个安全密钥输入系统，该系统采用随机PIN码键盘生成技术以保证机密和安全的PIN码交易。该设备还包含密钥加密系统以确保加密信息的安全密钥储存。通过下面对本发明的详细说明，本发明其他优点和特点将明显，而且可以通过用附加的权利要求书中特别指出的手段和组合来实现。


图1是说明根据本发明的优选实施例应用程序向固件请求系统调用的过程的流程图。图2是说明根据本发明的上述优选实施例，设备开机过程的流程图。图3是说明根据本发明的上述优选实施例，系统启动过程的流程图。图4是说明根据本发明的上述优选实施例，固件处理过程的流程图。图5是说明根据本发明的上述优选实施例，固件升级过程的流程图。图6是说明根据本发明的上述优选实施例，应用软件升级过程的流程图。图7是说明根据本发明的上述优选实施例，安全密钥载入过程的流程图。图8是根据本发明的上述优选实施例的安全密钥系统的示意图，说明种子卡和传输卡的密钥对生成系统。图9是根据本发明的上述优选实施例的安全密钥系统的示意图，说明使用传输卡合成密钥。图10是根据本发明的上述优选实施例的安全密钥系统的种子卡的示意图。图11是根据本发明的上述优选实施例的安全密钥系统的传输卡的示意图。图12是根据本发明的上述优选实施例的安全密钥系统中，作为安全密钥系统的其中一个传输卡的目标卡的示意图。图13是说明根据本发明的上述优选实施例，密钥从种子卡导出到传输卡的流程图。图14是说明根据本发明的上述优选实施例，密钥合成过程的流程图。图15是说明根据本发明的上述优选实施例，密钥签名的流程图。图16是说明了包含有根据本发明优选实施例的安全密钥输入系统的触摸屏设备的结构框图。图17说明了根据本发明上述优选实施例的触摸屏面板的初始显示。图18说明了根据本发明上述优选实施例的触摸屏面板上的输入字符的重新定位。图19A和19B说明了根据本发明上述优选实施例的触摸屏面板的激活键的替代模式。
图20A是根据本发明上述优选实施例的电子设备的安全数据保护装置的断面图。图20B是根据本发明上述优选实施例的电子设备的安全数据保护装置的显示模块的断面图，说明了位于该显示模块上表面的保护层。图20C是根据本发明上述优选实施例的电子设备的安全数据保护装置的显示模块的断面图，说明了位于该显示模块底面的保护层。图21是根据本发明上述优选实施例的电子设备的安全数据保护装置的分解图。图22是根据本发明上述优选实施例的电子设备的安全数据保护装置的保护层的局部放大图。图23A是包含有根据本发明上述优选实施例的电子设备的安全数据保护装置的外壳的透视图。图2 是包含有根据本发明上述优选实施例的电子设备的安全数据保护装置的外壳的透视分解图。图M是根据本发明上述优选实施例的电子设备的安全数据保护设装置的方法的框图。图25是根据本发明上述优选实施例的第一替代例的电子设备的安全数据保护装置的保护层的局部放大图。图沈是根据本发明上述优选实施例的第二替代例的电子设备的安全数据保护装置的保护层的局部放大图。
具体实施例方式现在参考附图详细说明根据本发明优选实例的金融交易的安全方法和设备。本发明的安全金融交易方法包括以下步骤(a)在一个安全金融交易设备中接收用户的交易信息和个人信息；(b)在该设备中加密用户的交易信息、个人信息以及一安全PIN码，并通过互联网将经加密的交易信息、个人信息以及安全PIN码传送给指定的金融实体；(c)与该金融实体核对划入指定金融账户的支付金额；以及(d)由该金融实体通过互联网将支付金额从金融实体转给指定金融帐户后，在该设备中接收关于支付金额划入指定金融账户的交易的确认。当支付金额从用户的一个金融账户转到作为收款转户的该用户的另一个金融账户时，所有将要传输的信息都被加密以防止在通过互联网交易期间被侵入。当上述支付金额要被支付到服务提供者的收款账户时，该收款账户的所在银行以及/或者该金融实体将向该服务提供者确认该支付者。换句话说，用户无需向该服务提供者公开任何个人信息以及交易信息。该设备采用了一种高级加密技术，用以高度防止PIN码被篡改和窃取，还采用了一种用于安全电子交易的安全固件。该设备还包含自我毁灭机制以防止任何数据篡改， 一旦设备检测到任何篡改，其中的所有的敏感信息，诸如个人信息、交易信息和输入的PIN 码，都将被从设备中永久删除。该设备还包含一个安全密钥输入系统，该系统采用随机PIN码键盘生成技术以保证机密和安全的PIN码交易。该设备还包含一个密钥加密系统以保证被加密信息的安全密钥存储。为了提供安全的电子交易，本发明提供一种用于为交易提供保护的安全固件，以及用于应用程序的统一标准接口。本发明的设备具有很高的安全要求以执行包括安全密钥管理、数据的编码和解码、敏感数据输入以及敏感设备操作的多个与安全相关的处理，而这些处理都由该固件进行控制。具体而言，安全密钥/密码管理管控着工作密钥和交易密钥。工作密钥包括应用程序的验证密钥和用于固件设置的密码。交易密钥包括安全密钥的编码密钥(KEK)，数据的编码密钥(MACK)，PIN码的编码密钥(PINK)，以及磁条卡密钥(MAGK)。数据的编码和解码包括DES编码/解码以及RSA编码/解码。敏感数据输入包括用户的PIN码输入。敏感设备操作包括触摸屏操作、LCD显示、敏感数据的访问以及磁读取器的访问。为应用程序提供一个统一标准接口也是出于安全的目的。应用程序只能通过系统调用访问由固件提供的服务，这样可以避免直接访问系统资源，从而提高了系统的安全性。 固件提供了两个主要的接口，用于访问物理设备以及访问敏感服务接口。物理设备接口包括USB相关接口，串行口，IXD相关接口，IC卡相关接口，磁卡相关接口，DATAFLASH相关接口，BEEP相关接口，RTC相关接口，以及键盘相关接口。敏感服务接口包括编码/解码服务， 密钥更新服务，PIN码输入，以及设备注册等。本发明的安全金融交易方法是通过软件和硬件来实现的。在本发明的优选实施例中，该设备包括中央处理器(CPU)，CPU还包括集成在其内部的静态随机存取存储器 (SRAM)，安全SRAM，和存储器管理单元(MMU)。该设备还包括与CPU连接作为扩展存储器的同步动态随机存取存储器(SDRAM)和NorFlash存储器。安全SRAM用于储存安全密钥、密码、以及其他敏感数据。安全SRAM不会在断电时丢失数据，并且当硬件被攻击时将会删除存储的数据。SRAM为固件的运作提供存储空间。由于SRAM集成在CPU芯片内部，所以可以避免被其他应用程序恶意读取。扩展SDRAM为应用程序提供存储空间。NorFlash存储器用于储存固件和应用程序的代码，以及其他数据文件，如字体和图库等。CPU以两种模式工作，即管理员模式和用户模式。管理员模式可以访问CPU内的所有资源，而用户模式不能访问被操作系统保护的资源。MMU用于隔离用户空间和固件空间。通过MMU的配置，在用户空间中的应用程序不能访问保护由固件保护的敏感数据和资源。因此，敏感数据和敏感资源得以保护，交易安全得以保证。MMU实现了存储器保护功能，而且可以将虚拟地址映射到物理地址。本发明的一个重要步骤就是利用固件中MMU的映射功能和访问权限功能。固件在管理员模式下运作。 MMU被配置为在管理员模式下，整个存储空间以及所有资源都可以访问；但在用户模式下，CPU中的SRAM以及CPU的高地址空间，即CPU的寄存器空间，是不能访问的。CPU的高地址空间包含用于存储安全密钥、密码，以及用户敏感数据的安全SRAM空间。SRAM是用于运行固件的空间。以这种方式，即使用户的应用程序被恶意修改，例如被黑客侵入，应用程序也不能对安全密钥、密码、用户的敏感数据，以及固件的代码和数据进行读和写操作，因此数据和设备是安全的。在固件激活MMU的功能后，用户的应用程序在用户模式下运行，而固件接管底层的所有服务功能，并为应用程序提供接口功能。例如，如果用户的应用程序要通过串口发送数据，不能直接操作CPU寄存器，因为对寄存器的访问是被阻止的。该应用程序只能通过固件代码提供的系统调用来发送数据。在用户模式下，用户的应用程序无法切换CPU的工作模式，所以应用程序不能直接调用底层的服务功能。图1说明了应用程序通过系统调用，或者说通过软件中断(SWI)， 来访问固件功能的过程。参照图1，用户的应用程序可以提供给用户不同的功能，但是这些功能的实现取决于固件。如果应用程序请求的操作不安全，例如，在屏幕上显示安全密钥，但固件不具有该功能，那么该功能的应用程序将不被执行。很显然，固件可以安全地管控用户的应用程序。该安全设备的程序由四部分组成只读启动程序(BootRom)、固件加载器、安全固件，以及应用程序。参照图2，当该安全设备开启后，系统上电，编程在CPU的内部ROM中的只读启动程序开始运行。然后，只读启动程序找到固件加载器在NorFlash存储器中的位置，并将其加载到CPU内的SRAM中。经过验证后，如果通过验证，固件加载器将运行，否则， 固件加载器将不被运行并产生系统错误。通过验证后，固件加载器初始化CPU寄存器，配置 MMU,找到固件在NorFlash存储器中的位置，并加载固件。固件加载后将被验证，如果通过验证，将运行固件，否则，将产生系统错误。一旦固件运行，将调用底层服务功能以初始化系统，然后找出应用程序代码在NorFlash存储器中的位置，将其加载到外部SDRAM，然后验证该应用程序代码。如果通过了验证，应用程序代码将被处理，否则，系统错误。参照图3和图4，在每次系统上电时以及软件中断异常时这两种情况下会进入固件空间。每次系统上电时，设备都要进行验证，如果是第一次开启设备，那么设备要对系统密码进行初始化，使用随机数字生成器产生的随机数来生成安全密钥，与此同时，保存一些系统信息和系统状态。如果不是第一次上电，系统将验证是否需要设置固件。如果不需要，那么固件代码会验证必要的字体和图库，然后再对前述应用程序进行验证。参照图5，如果需要重置固件，那么将会进入系统登录界面并需要输入系统密码。 固件向其更高层的服务器发送设备信息和状态，并等待回应，以确定是否需要进入硬件升级，软件升级，或安全密钥加载界面，如果不需要，那么将会进入密码和时钟设置界面。如果是因为系统被软件中断调用而进入固件空间，那么固件从与应用程序共享的存储器中读取相关数据，并分析及验证这些数据。如果该数据通过验证，那么固件调用固件代码中的系统功能。然后，系统功能调用所需的底层服务来执行该功能。在此之后，系统切换回用户模式并返回。参照图5，在固件升级过程中，当系统上电时，用户可以决定进入固件设置窗口。如果选择进入并通过密码验证，则进入固件设置窗口。设置窗口提供以下功能升级固件和应用程序，载入安全密钥，以及修改固件参数。对于固件和应用程序升级，固件首先优选地经由USB端口发送相关信息到服务器；如果该服务器是设置服务器并允许固件升级，它将发送相关命令给运行固件的设备以进行升级；然后固件下载升级数据到外部SDRAM ；下载完成后，固件验证数字签名；如果数字签名通过验证，则执行升级。如果是固件的升级，那么升级后，原来的交易安全密钥将被清除。设置窗口提供设备界面以设置固件密码和时钟。根据本发明的优选实施例，固件为应用程序开发提供了统一标准接口。应用程序只能使用系统调用来实现用户的应用，这样防止了对系统资源的直接访问并提高了安全性。此外，该接口专用于特殊应用，为个人电脑开发的软件无法在此固件上运行，因此个人电脑病毒不会对固件产生影响。为安全目的，固件对应用程序设置了限制，比如，在用户编码/解码数据的时候， 应用程序只能使用固件提供的编码/解码接口来实现功能，而不能直接访问安全密钥数据。此外，固件不会将安全密钥数据返回给应用程序，它只返回编码/解码后的数据，例如， 应用程序必须调用固件的接口才能要求用户输入PIN数字，然后固件收集PIN数字，并利用安全密钥PINK来对PIN数字进行编码，之后固件返回编码后的数字到应用程序，这样，应用程序将无从获知PIN数字。参照图7，固件需要从服务器载入安全密钥。固件直接从服务器加载公钥，但是由于工作密钥高度敏感，固件使用分布式加载的方法对其进行载入。固件对应用程序在IXD上的输入也设置了限制。固件禁止应用程序在IXD上显示 PIN码、密码等敏感数据，所有信息的显示都需要通过固件的检验。固件还对应用程序调用敏感服务的时间和频率进行限制，例如，应用程序调用编码/解码服务的频率被限制为每分钟10次。固件提供了真正的随机输入键盘以防止所输入的信息被侦测到。该固件还提供了一个调试接口以有利于应用软件的开发。该固件为应用程序提供文件访问接口以访问诸如闪存等的存储器，从而提高软件的开发效率。该固件还为消息和用户的缓冲区提供注册接口，以为应用程序和固件提供通讯渠道。另一方面，密钥管理是信息加密领域的关键问题之一。相应地，密钥管理一般由公钥和私钥组成。如果私钥被破解，那么通过密钥管理加密的信息将会泄漏。换句话说，通过密钥管理保护加密信息的第一个问题是如何安全地生成私钥。而第二个问题是如何将私钥安全地存放在密钥设备中。第三问题是如何保护密钥设备中的私钥不被非法侵入。为了保证加密信息的密钥存储安全以及确保传输卡中的加密信息不被非法侵入， 本发明的优选实施例提供了一种安全密钥系统，该系统采用智能卡作为安全模块。私钥被分散存放在多个传输卡中。相应地，加密算法，异或O(OR)加密，以及随机数被用于私钥的导出和合成过程。此外，在私钥的使用期间，要访问私钥，必须输入密码，包括PINm码和PINu码。传输卡分别由多个经授权人持有。因此，上述保管方式提高了本发明的密钥系统防止私钥被破解的高安全级别。根据本发明的优选实施例的安全密钥系统，采用2048位的RSA算法，由一个公钥和一个私钥组成。用于完成一确认程序的该安全密钥系统包括用于拆分由密钥生成系统产生的私钥的密钥提供者，以及持有已加密的并由密钥提供者分散后的私钥的多个密钥持有者。因此，为了完成该确认程序，所有密钥持有者需联合起来以将私钥分量合成回私钥，以确保所有密钥持有者都认证了该确认程序。该安全密钥系统使用一种智能卡，该智能卡包括一个种子卡以及至少两个传输卡，种子卡作为密钥提供者，而传输卡作为密钥持有者。优选使用2-5个传输卡。如图8所示，根据优选的实施例，使用3个传输卡。私钥保存在种子卡中，而且通过种子卡，私钥被分为三个密钥分量就如同私钥的拼图一样，并分别保存到三个传输卡中，其中这三个传输卡分别由不同的经授权人作为持卡者所持有。换句话说，种子卡的作用是过渡性地保存私钥并初始化将被密钥持有者所保存的密钥分量。需要注意的是，密钥提供者和密钥分量将密钥分量合成回私钥。优选地，密钥持有者是传输卡，经授权人可以安全方式物理地持有该传输卡。在通过每个持卡者的核实之后，传输卡中的密钥分量可以经过合成生成私钥。换言之，如图9所示，为了执行作为确认程序的一个示例的签名程序，只有在所有持卡者都出示传输卡时，才能取出私钥。需要注意的是，在合成私钥的过程中，私钥被取出后不可以导出到任何的外部设备，私钥只能保存在所述智能卡的一个安全区域内。根据优选实施例，种子卡和传输卡的智能卡是Java卡。安全密钥系统，具有一特定处理器用来进行RSA计算，以及一特定的安全机制用来存储密钥。因此，私钥可以安全的方式保存在智能卡内。相应地，包括种子卡和传输卡的每个智能卡都有一用于区域识别的序列号。此外， 每个智能卡还拥有一组个人识别号码(PIN)，其中PIN由个人识别管理码(PINm)码和个人识别用户码(PINu)组成。对于导出私钥和签名处理，必须输入PINm和PINu。每个智能卡还有自己的密钥对，即传输公钥(TKp)和传输私钥(TKs)，以及相应的数据传输的安全保护。特别是，在通过密钥生成系统生成私钥以后，私钥保存在种子卡中。如图10所示， 种子卡也有密钥对，即应用公钥(AKp)和应用私钥(AKs)，其中AKp和AKs都通过RSA处理进行加密。此外，私钥的AKs用于数字签名处理，而公钥提交用于签名认证。如图11所示，每个传输卡都包含经加密的作为私钥一部分的私钥分量。安全密钥系统，也作为密钥加密签名系统，将指定其中的一个传输卡作为合成私钥的目标卡。在签名程序后，在目标卡中的所合成的私钥将被销毁。为了通过密钥生成系统生成密钥，私钥具有用于私钥的AKs和用于公钥的ΑΚρ。公钥的AKp保存在数据或信息中，而私钥的AKs保存在智能卡的安全区域，其中AKs被分成多个密钥分量，作为AKs分量。较佳地，本实施例中AKs采用了五个密钥分量，S卩，p、q、dp、 dq、以及pq。需要注意的是，私钥的密钥分量只有在认证之后才能被访问，它们不能被读取或导出。私钥生成后，种子卡可以被立即销毁，也可以由经授权人以安全的方式保管。具体来说，私钥通过密钥生成软件生成，例如，密钥生成软件是可由软件供应商下载或购买的公共软件。然而，智能卡的密钥生成系统、智能卡的数据传输，以及智能卡的使用是由智能卡软件来控制和运行，该智能卡软件须是专用的且安全的。由此可知，私钥通过智能卡软件生成并保存在种子卡中，私钥响应于密钥对的AKp 和AKs而产生。然后，种子卡将AKs传送并拆分成不同的密钥分量，即，例如，P、q、dp、dq、 和pq。需要注意的是，AKp可以向公众公开，但是AKs不能向公众公开，其中AKs保存在2_5 个不同的传输卡中。优选地，使用五个不同的传输卡用于分别保存AKs的五个密钥分量。应理解，也可使用两个或更多的传输卡保存AKs的密钥分量。但是，将AKS的所有密钥分量全部保存在同一个传输卡中将毫无意义。需要注意的是，用于生成密钥的密钥生成方法并不是本发明的主题，因为有很多现存的适合生成密钥的方法。而如何安全地保存以及保护密钥，以防止其被生成后泄漏是本发明的主题。
私钥的密钥分量根据传输卡的数量，响应于密钥生成系统导出到传输卡中。传输卡的TKp用于以安全的方式进行数据传输，以验证导入传输卡的数据的合法性。因此，私钥的导出必须需要一个随机数，以便私钥不被复制或再生。每当AKs被导出到传输卡后，该随机数都要被更新。通过异或算法(θ )来进行私钥的密钥分量的导出，其中，在种子卡中生成私钥的五个密钥分量以及随机数。私钥的转换用于使其中的一个密钥分量与其他的密钥分量相联系。为安全考虑， 转换过程中使用随机数，以确保每次转换都形成不同的转换值。相应地，转换过程说明如下H = p q dp dq十pq十RND
CP (经转换的分量P)=P十H
CQ (经转换的分量q)=:q十H
CDP (经转换的分量dp)=dp十H
CDQ (经转换的分量dq)=dq十H
CPQ (经转换的分量pq)=pq十H
CRND (经转换的分量RND)= RND 十需要注意的是，导入到每个传输卡的数据必须被加密为CP，CQ，OTP，raQ，CPQ，以及 CRND。此外，私钥的密钥分量在转换后被存入不同传输卡的安全区域，而且不能直接读取。所有的传输卡都必须被使用以便从密钥分量合成私钥。在使用传输卡之前，每个持卡者都要输入相应传输卡的PINm。出于安全的考虑，合成后的私钥最好保存在其中的一个传输卡中，即目标卡中。换句话说，如前所述，必须指定一个传输卡为目标卡。较佳地，所有传输卡拥有相同的优先级别。目标卡内的TKp确保数据传输的安全性和确定性。此外，目标卡内的经加密的TKp 不是私钥的部分，而是经转换的私钥的密钥分量。私钥的密钥分量在种子卡中被转换后被导入到传输卡中，因此，如图12所示，将在目标卡中形成经合成的私钥。签名程序完成后，目标卡中私钥的AKs将被立即删除或销毁，然后所有传输卡将被重置到初始设置，因而，所有的传输卡将为下一次签名程序做好准备。为了将私钥的密钥分量还原回真值，异或算法(e)通过如下方式被使用如果H=CP CQ CDP 十 CDQ 十 CPQ 十p=CP H；q=CQ H；dp=CDP H；dq=CDQ H；pq=CPQ H；私钥的密钥分量在目标卡内通过该还原程序被完成。私钥的合成过程说明如下通过运算，传输卡中的CP，CQ,⑶P，⑶Q，CPQ被分别转换为P，q，dp, dq, pq,并将ρ, q, dp, dq, pq存入目标卡。
私钥的AKs，包括p，q，dp, dq及pq，被存入目标卡以在目标卡内合成私钥。一旦私钥被访问，即一旦签名程序完成，该私钥将被软件销毁。私钥被使用完毕后，所有传输卡将被重置到初始设置。换句话说，每个传输卡内将包含相同的密钥分量设置。合成过程是可重复执行的。换句话说，所有的传输卡必须被重复使用以合成私钥以便完成下一个签名程序。通过合成过程利用RSA算法，异或算法，以及随机数来形成私钥可以提高私钥的安全级别。私钥在种子卡内被生成之后，私钥的密钥分量也分别被导入到传输卡内。然后，销毁种子卡。如果种子卡和所有的传输卡都被破坏了，那么相应的，私钥就会丢失。相应地，用于完成确认程序的密钥加密方法包括以下步骤(1)将私钥分成多个密钥分量。(2)转换密钥分量。(3)密钥分量被转换后，将这些密钥分量分别导出给密钥持有者，以提高私钥的安全级别。(4)通过将各个密钥持有者中的密钥分量合并来合成私钥，以完成确认程序，从而保证所有的密钥持有者都对该确认程序进行了验证。相应地，步骤(1)和⑵是将密钥从种子卡导出到传输卡。图13是说明密钥导出到传输卡的流程图，如图13所示，种子卡被设置用以初始化一传输卡，即如图中所示的传输卡A(TCA)，其中，种子卡将产生用于初始化AKs导出的随机数，与此同时，种子卡将获得传输公钥(TKp)和传输私钥(TKs)、及序列号(SN)。相应地，种子卡可获得传输卡A (TCA) 的TKp，换言之，通过输入传输卡A(TCA)的TKp和SN，种子卡可以自动识别传输卡A (TCA) 以向其导出密钥分量。在步骤(1)中，本发明提供的方法还包括选取私钥被划分成密钥分量的个数的步骤。相应地，所述密钥分量的个数与所述密钥持有者的数量对应一致。当如在该实施例中选择五个传输卡时，对应生成五个私钥分量。一旦密钥分量的数量被选定后，如步骤(2)所示，种子卡用随机数，序列号，以及其他相应分量对各密钥分量进行转换。在步骤O)中的转换完成后，所述方法还包括在密钥分量被转换后以及被导出给密钥持有者之前，分别对各密钥分量进行加密的步骤。也就是说，种子卡用传输卡A (TCA)的TKp对转换后的分量进行加密。一旦完成加密，加密后的分量就准备导出到传输卡A(TCA)。如图14所示，传输卡C(TCC)被指定为目标卡。需要指出的是，目标卡可以由操作者指定，也可以由种子卡随机挑选。相应地，当传输卡C(TCC)被用来合成私钥时，需要验证传输卡A(TCA)以及传输卡B(TCB)的PINm，以导出数据到传输卡A(TCA)和传输卡 B(TCB)中。与此同时，也需要验证传输卡C(TCC)的PINm，以从种子卡中导入数据。一旦传输卡C(TCC)的导入初始化步骤和传输卡C(TCC)的随机数RND_C生成步骤，以及获得传输卡C(TCC)的TKp的步骤完成，传输卡A(TCA)和传输卡B(TCB)中的转换后的所有分量将全部存入传输卡C (TCC)中。之后，传输卡A (TCA)，传输卡B (TCB)，以及传输卡C (TCC)的TKs 被解密，且随机数RND_C被认证，所有密钥分量被转换以获得私钥的真值。然后，在传输卡 C (TCC)内建立 AKs。
相应地，所有传输卡(TCA)、(TCB)和(TCC)具有相同的优先级别。可选地，每个传输卡也可以设定不同的优先级别，传输卡(TCA)、(TCB)和(TCC)需要按预先设定的方法进行合并。例如，必须首先使用传输卡A(TCA)以获得其对应的私钥分量，然后再使用传输卡 B(TCB)以获得其对应的私钥分量，最后使用传输卡C (TCC)作为目标卡获取传输卡A (TCA)， 传输卡B(TCB)以及其自身的所有私钥分量。此外，可选择性地通过种子卡对传输卡预设一时间设定，比如说，所有的传输卡必须在同一时间或某个预先设定的时间范围内合并，以便合并来自所有传输卡的密钥分量来完成签名程序；否则，签名程序中将密钥分量合成私钥的合成处理将失败。如图15所示，通过传输卡A(TCA)，传输卡B (TCB)，以及传输卡C(TCC)的合并/导入过程，私钥在传输卡C (TCC)即目标卡内合成。需要利用传输卡C(TCC)的PINu来进行验证，以完成签名程序。之后，用户可以输入哈希明文进行签名，并且该签名将被输出。相应地，RSA算法是使用最广泛的公钥算法，由Rivest，Shamir和Adleman于1977 年发明。RSA算法是基于一个非常简单的数论将两个质数相乘形成乘积，然而，将其乘积分解回质数却极其困难。因此，质数的乘积可以公开，并可以被用作密钥加密，但是将乘积还原成原来的质数却非常困难，该乘积必须被解码以形成原来的质数。换言之，RSA算法用简单的形式实现了一个非常可靠的加密系统。以下是2048位的RSA算法的示例。η被设定为密钥模数，是对外公开的。e被称为公钥的密钥分量，是对外公开的。d被设定为私钥的密钥分量，是保密的。(p，q，dp，dq，pq)等于d，是保密的。其中d用于替代(p，q，dp，dq，pq)以提高运
算速度。本发明的密钥分量即为从私钥中分离出来的d。{/* Key number-001 */ {I* length in bits */ 2048
}，
{/* Modulus - η */
0xC3, 0x09, 0x58, 0x86, OxAB1 0x6F, 0x65, Ox5A, OxB7, 0x67, 0x71, 0x13, OxOD, OxAD, 0x79, OxlC1 0x4B, 0x07, 0x4A, 0xD6, 0x40, 0xB5, 0x58, 0x07, OxBD, OxFA, Ox8D, 0x15, Ox8D, 0x97，0x27, 0xC5, OxOE, 0x6D, 0x88，Ox4D, OxDE, OxOC1 OxBB, 0x00, OxC7, 0xD3, 0x95，0xE8, 0x7F, 0x2F, 0x97, 0x65, Ox4B, 0x39, OxAC, 0x76, OxDC, Ox2A, 0x27, Ox3D, 0xB5, 0x89, 0x96, OxF7, 0x80, 0x38, 0x45, 0x15, 0xB3, 0x4A, OxOA, 0x25, 0xC4, 0x42, 0x64, OxAA, 0x4D, 0x19, 0x32, OxA3, 0x30，0x17，0x02, 0x00, Ox5C, OxBO, 0x78，OxED, 0xD4, OxEB, 0x95, 0x72，OxA 1, OxOF, 0xA7, 0xB7, OxAC, 0xFl,0xB6, 0x9C, OxE2, 0x12, 0x21, Oxl A, OxOD, 0x83, 0xC2, 0xE6, OxA5, Ox3D, OxEB, 0x6C, 0x28, 0x71, 0x06, OxB5, OxD3, 0x2F, 0xC9, 0x84，OxID, 0xC9, 0x97, 0xD2, OxDD, 0x48, 0xF4,0x66，OxE4, OxDl，OxD3, 0x67, 0x9E; OxEB, OxDB1 0xB4, OxBD, OxD3, 0x2C, OxID, 0x62, 0x4D, Ox5D, 0x12, 0x93, OxFB, 0xA7, OxlB, 0xE2, 0x64, OxAO5 0x67，0x74, 0x25, 0x8F, 0xD2, 0x57, 0x38, OxOC1 OxlA1 0x44, 0xB2, OxEl, 0x52, 0x2F, 0xF4, Ox5E, OxCE, 0x44, OxD8, 0x71,0x70, 0x07,0x2B, 0x7A, OxEO, OxD6, 0x7B, 0x24, 0xA6, 0x3A, 0x8A，Ox3F( 0x8D, 0x9E, OxOB, 0xB6, 0x44, 0x10，OxCC, OxBA, OxDB, 0x24，Ox8E, OxFC, OxlC5 0x3C, 0x30，0x30, OxDO, 0x16, 0x33, OxAC1 0x2D, 0x7C, OxBB, 0x19, 0x77，0x26，0xD6, 0xE6, 0x29, 0x24, 0xC6, OxEC, OxFB, 0x74, 0x18, Ox2B, 0x6B, 0x30，OxD7, Ox3D, 0x02, Ox9B, 0x58, OxEA1 0x47, 0x5A, 0x68, Ox3F, 0xDl,0x7E, 0x18, 0x55, 0x19, OxF5, OxFA1 0x99, 0x4C, 0x82，OxD8, OxAE, OxA3,
OxEC, 0x6C, 0xF9, Ox3€, 0x77, 0x45，0xE7, OxDE5 0x5C, Ox7D, 0xCl,0x5B, 0x73, Ox5C, 0x62, 0x87 },{ /* Public Exponent - e */
0x00, 0x00，0x00, 0x00, 0x00’ 0x00，0x00, 0x00, 0x00, 0x00，0x00，0x00, 0x00，0x00，0x00，0x00’ 0x00, 0x00，0x00, 0x00, 0x00，0x00, 0x00，0x00,0x00’ 0x00, 0x00，0x00’ 0x00, 0x00，0x00，0x00， 0x00, OxOO1 0x00’ 0x00, 0x00, 0x00, 0x00, 0x00’ 0x00，0x00，0x00’ 0x00, OxOO5 0x00，0x00, 0x00, 0x00, 0x00, 0x00，0x00，0x00’ 0x00, 0x00, 0x00，0x00, 0x00，0x00, 0x00, 0x00’ 0x00, 0x00，0x00’ 0x00, 0x00，0x00, 0x00’ 0x00，0x00, 0x00，0x00, 0x00, 0x00, 0x00，0x00’ 0x00’ 0x00, 0x00’ OxOO5 0x00, 0x00，0x00, 0x00, 0x00, 0x00, 0x00，0x00，0x00’ 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00’ 0x00, 0x00, 0x00, 0x00, 0x00，0x00, 0x00，0x00, 0x00，0x00，0x00, 0x00，0x00，0x00, 0x00’ 0x00, 0x00, 0x00，0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00’ 0x00, 0x00, 0x00’ 0x00, 0x00’ 0x00, 0x00, 0x00, 0x00，0x00’ 0x00，0x00’ 0x00, 0x00, 0x00’ 0x00，0x00，0x00，0x00, 0x00’ 0x00’ 0x00, 0x00, 0x00, 0x00, 0x00’ 0x00, 0x00, 0x00，0x00’ 0x00’ 0x00, 0x00, 0x00’ 0x00，0x00, 0x00, 0x00，0x00, 0x00，0x00, 0x00, 0x00，0x00, 0x00，0x00, 0x00, 0x00，0x00, 0x00, 0x00，0x00, 0x00’ 0x00, 0x00, 0x00，0x00, 0x00, 0x00, 0x00, 0x00, 0x00，0x00，0x00, 0x00, 0x00，0x00, 0x00, 0x00’ 0x00, 0x00，0x00’ 0x00’ 0x00，0x00, OxOO1 0x00, 0x00，0x00, 0x00’ 0x00, 0x00, 0x00，0x00, 0x00, 0x00, 0x00，0x00, 0x00, 0x00, 0x00, 0x00’ 0x00, 0x00, 0x00, 0x00’ 0x00, 0x00, 0x00’ 0x00, 0x00, 0x00，0x00, 0x00, 0x00’ 0x00，0x00，0x00, 0x00, 0x00，0x00，0x00，0x00, 0x00’ 0x00, 0x00, 0x00, 0x00’ 0x00, 0x00, 0x00, 0x00, OxOO3 0x00’ 0x00, 0x00，0x00，0x00’ 0x00，0x00, 0x01，0x00，OxOl
{/* Private Exponent - d */
0x04, OxDO5 OxAC, 0x40, 0xD6, OxE6, OxAF, 0x27，OxE8, 0x33，0x43，0x95, 0x66，OxD7, OxOB1 0x90, 0x69，0x41, OxCA, OxD5, 0x33, Ox4F, OxC6, OxD6, Ox9A, 0x18, OxIF, 0x77，0x92, OxC 1,0x52, 0x98, 0x08，OxDD, 0x27，0x6A, 0x54’ OxBB, 0x17, OxBA, OxD3, 0x34’ 0x24，Oxt 5, 0x53, Ox5E, 0x87, Ox6C, 0x56’ 0xC9, Oxl B, OxBA, OxEB, 0x80, 0x96，OxEB, 0x6D: 0x19, 0xF2, 0x82’ 0x35，0xC6, 0x2D, OxDE, 0x75，0x48，OxB4, OxAB, 0x6E, 0x06, OxFD, 0x99，0x3E, 0xC2, OxOA, 0x80, 0x00, OxE5, OxFO5 0x84, 0xB5, OxC5, OxID, 0x97，0x31, 0x94，0x87’ 0x62，0x07; OxIB, OxED, 0xD6, 0x19，OxOC, OxF6, 0xA7, 0x34, OxE5, OxAl’ OxAF, 0x94, 0xF9, OxD5, OxCB, OxFF, OxF4, 0x61, 0x65, 0x90，0x32, OxOA, Ox2A, 0x5F, 0x06’ 0x65’ 0x01, 0x40，0x03’ 0x04, OxIE5 Ox8E, Ox9C, 0x08, 0x7C, 0xA9, 0xD5, 0x8C, 0x54’ Ox8D, Ox8C, OxlB, 0x64, 0x9D, OxDI5OxOF, OxEC, OxD7, 0x08，0x49, 0xD8, 0x08, 0x78, 0x50，0x58， OxCl，OxE7, 0x70, OxE4, 0xA4, 0x39’ 0x82, 0x73, 0x30，0x43，0x53, 0xA6, 0x12，0x35’ 0x69, 0xB9, 0xB8, 0x6B, OxDF, 0x97，Ox2D, OxEOs Ox5F, 0x20, OxBF, Ox3A, 0xF4, OxBE, Ox5F, OxBB1 OxC8, OxDD， Ox5D, OxC9, OxB5, Ox2F, 0x05，OxDB, 0xB4, OxFF, OxFO, OxBEj Ox2E, 0xE2, Ox6E, 0x4D, 0xD7, Ox9A, 0x00, 0x79’ OxBB, 0xF9, OxD8, OxB7, 0x84, 0x94, 0x80，Oxl A, OxC 1, 0x46, OxCE, 0x52，0x76，OxFF, OxBF, OxC2, 0x88’ 0xB2, 0x06, 0x95, 0xB4, 0x55’ Ox3D, 0xD2, 0x2A, 0xB2, 0x15’ 0x46，0x3B, 0x36, 0xD8, 0x06，OxAO, 0x54, 0x9D，0x89, 0x70’ OxFl, 0x07’ 0x61, 0x48, 0x27，0xE6, 0x01，OxEE, 0x31， OxCA, 0xE4, OxBB, OxFB, 0x41, OxCO, 0x56, OxOC, 0x05, OxBA, OxB2, 0x9A, 0x22’ OxAD5 0x33，OxBl
{ /* Prime Factor - ρ */
0xE6, 0x2B, 0x97’ 0x49, 0xD9, OxED, OxAE, 0x85, 0x4B, OxCl, OxEO’ 0x14，Ox4D，0x41’ Ox8B, OxE 1, OxA3, 0x50, 0x4E, OxC6, OxAB, 0x46，OxAl, 0x5C, 0x72，0xD3, 0x25，0x6D, 0x77, 0xA4, 0x12’ 0x94’ 0x48’ 0x8D, 0x35，0x95, OxAA, 0x64, 0x8B, 0x40, 0x5E, 0x45’ 0x49, 0x98, 0x4A, 0x6C, OxC8, OxBF, 0x90, 0x4C, OxBA1 OxED, 0x85, 0xA2, 0xF2，0x42, OxD5, 0xB5, OxDE, 0x06，OxCB, 0x80, 0x98，0x61， 0x50, OxID, OxOE，0x7B, 0xB9, 0xA7, 0x25, 0xD6, 0x03, 0x16, 0x9B, 0x88, 0x13，OxIB, OxAl，0x01， 0xB6,0xD4, Ox5C, 0x39, OxCF, OxDA, 0x4E, OxA2, 0x8B, OxlC1 0xE8，0x47，0x98，0x45，0x4A, 0x7D, OxA8, 0xE9, 0x65, Oxl 1, OxBF, 0x47，0x57, 0x9D, OxAA, 0x7F, OxCD, 0xE2, Oxl C, Ox7F, 0x95，0xE7,
0x9F, 0x20，OxOF，0x43, Ox8A, 0x86, Ox!O, 0x50’ OxCE, 0x77，0xD8, Ox7C，0x43，OxA2, OxEE, 0x23 }，
{ /* Prime Factor - q */
OxD8, OxEC, 0x6B, 0x8A, OxA8, 0xC5, OxE3, 0x2F, OxD3, OxE9, 0xF7, 0x16，0x97, OxAE5 0x44, 0xD3, OxFF5 0x20，0x88，OxAC, 0xF2, OxEE, 0xF6, 0x93, 0xD7, 0x56, OxAC5 OxDC，0 c9Bs 0x24, 0x55, OxFF, OxB3，0x46, Ox3F, OxDB5 0xA7, 0x7F，0x72’ OxD3, 0x33, OxDD3 0x05’ 0x16, 0x79’ Ox5C, 0x6C, OxCE, 0x83, 0x25, OxF2, OxAl ’ 0x83’ 0x40, 0x20, 0x25, 0x07, Ox7D, 0x72’ OxB9, 0x94, 0x2F, 0xF2, 0x78, 0x24, 0x20, 0x5A, 0x67，OxDF5 0x05, OxD5’ Ox21,OxE3, 0x73, Ox8A, 0xA9, 0x35’ 0x12’ 0xB7, 0x09, OxElj 0x67, 0x42，0x81, OxD5, 0xA6, 0x24，0x77, 0x4C, 0x44, 0xD9，0x98, 0x86, 0x59, 0x7A, OxE9, 0x24, 0x21,0x72, 0xC2, Ox9D, 0x43，OxCSs Ox3F, OxCD3 OxCD, 0xC6, 0x7B, 0x76，0x32, 0x75, Ox7F, OxOE, 0x8F, OxDC, 0x5D, 0xE9, 0x55, Ox3B, OxCE, OxC6, OxDEj Ox4D, Ox5E, 0x31，0x69，0x56, 0x4D{
{ /* CRT Exponent -dp)*/
0χΑ7, 0χ4Β, 0x33, OxBl, 0x17，0xD6, OxEB, OxAC, 0x32，OxBD, OxFD, 0χΒ2, 0x83, OxDC, 0χ8Α, 0x61, 0x3C, 0x24, 0x98, OxBD, 0x49, OxAC1 0x12’ 0x88, 0x71, 0x65，OxOA, ΟχΑ5, OxlF, OxFA, 0x7F, OxOE, Ox8C, 0x15, 0x26，0xC7, 0χ5Β, 0χ8Β, OxAC, 0χΒ2, ΟχΕ2, 0x52, 0x16, 0x05, OxBC, OxC2, 0x88, OxBE1 OxC3, 0x91，0x21, ΟχΑ4, 0x96, 0x27, 0x33, 0x52，0x64, 0χΑ6, 0xC5, 0x73, OxC6, 0xEl,0xF6, OxDF, 0x74，0x2D, 0x4A, 0x63, 0x9F, 0x32, OxEO, OxOB, 0x47, Ox3F, 0x5D, 0x58, 0x70, Ox I A, OxFA, OxD 1， 0x96，0x23，Ox8F, OxCC, OxED, 0x48，0x4D, 0x33, 0x53, 0x4D, 0x75, 0x7E, 0xE4, Ox2C, 0x28，0xD2, 0x60’ OxBD, 0x13, OxlA, OxED, OxIE, 0x5B, Ox8E, Ox5B, 0x68，0x7D, 0x2A，0x45, 0x70，0x6E, 0x72,
0x65, 0x74, 0x15, 0xE4, OxOF, 0x81, 0x15, 0xC6, OxC5, OxEA, OxD 1，OxCC, OxBO, 0x14’ 0x72, 0x65 },
{ /* CRT Exponent - dq*/
0x51，0x06, 0x25，OxB9, Oxl A, 0x07，0x28，0x2F, 0xB2,0x28, OxBE, 0xD9, Ox 1 A, 0x78, 0xC6, 0x4E, OxA5, 0x09，0xE2, 0xE3, 0x2E, OxAE, 0x61, Ox3D, OxAl, Ox7E, 0x47, 0x7C, OxF3, 0x19, 0xE4, 0x61, 0x68, 0xF6, 0x01，0x5E, 0x2B, 0x37, 0x28’ Ox8D, 0x88，OxDE5 0xB2, 0x4A, OxCD, OxB3, OxDF, 0x14, 0x57，OxDA1 0x31, OxCl, 0x70, 0x43, OxEO, 0x7D, 0xD4, 0x49，0x60, 0x33，OxBF, OxOD, 0x15, OxB5, 0x18，0x51，0x59’ 0x53, 0x58，OxF3, 0x55, OxC3, 0x9D, OxBO, 0x87，0x87，0x62，0x42, 0x86, 0x49, OxD3, 0x7E, 0x7D, 0x51, OxFF, 0x9A, Ox5A, OxlE1 0x91, 0x47, Ox5A, Ox3B, 0x65, Ox5B, 0x40，0xD4, Ox9A, 0x61, Ox3F, OxFB, Ox3F, 0x40, 0x95, 0x28, 0x77, OxD7, 0xB7, 0x9E, 0x5F, OxEC, 0xC3, 0x04, Ox5D, 0x4D, 0x10, OxD3, 0xA7, 0x16, 0xE6, OxOA, OxFB, 0x2F, 0x07, 0x98, OxFA, 0x3D, OxCD, 0x35
}
}’
{ /* CRT Coefficient - pq*/
0x18, 0xC2’ 0x63，0x25, Ox6E, Oxl C, OxFO, 0xA2, 0xA2, 0x37, 0xB9, 0x2E, OxE3, 0x96, 0x81, OxBO, 0x90’ 0x85, Oxll, 0x49, 0xD9, 0xB6, OxEA, 0xB4, 0x49, OxEB, 0x56，0x53, 0x34, OxOB, 0x52, OxF 1, 0x27, 0x95, 0x31, Ox A A, 0x36, 0x47，Ox7B, 0x84，0x77, 0x52, 0x20, OxOE, 0x57，0x73, 0x05，0x87, 0x81，OxA3, OxA3, OxA 1, OxCB, OxAO, 0x20, OxDA, OxF5, OxEC, 0xD2, 0x73，0x2A, 0x88, Ox9C, 0x00, 0x95, 0x38, OxFA1 0x9E, 0x77, OxAF1 0x7B, OxEO, OxF 1,0x06, 0x44, Ox8D, 0x3A, 0x88, 0x4C, 0x34, OxOD, 0x3D, OxBD1 Ox6A, 0x60，OxBC, 0x03，0x16，0x31, OxFC, OxDF, 0x15, 0x7A, OxOC, 0x83, 0x64, 0x4E, OxA5, OxD9, 0xC4, 0x2A, 0x88, 0x36, OxFl，0x01, 0x7B, 0x78，0x83, OxDD, OxBA, OxE8, 0x89， OxD5, 0x59, OxC8, OxF3, 0x5D, 0x29，0x7C, OxF8, Ox7F, OxD3, Ox8E, OxB6, 0x4C, OxDF, 0x14, Ox2C
}
}为了提高本发明的安全性，本发明引入并整合了一个安全密钥输入系统。众所周知，传统键盘拥有许多用于数据输入的功能键，该类键盘的最大缺点就是所有功能键都被固定在它们各自的位置上。因此，当用户通过功能键输入数据时，位于该用户附近的人可以通过记住固定的位置而读取数据。另外，其他先进的检测设备可以读取所使用的功能键的位置，诸如指纹检测技术。因此，对于用户来说，使用传统键盘进行数据输入是不安全的，例如，在ATM机上输入PIN码。根据本发明的优选实施例，安全密钥输入系统特别适合于触摸屏设备。该系统被设置为分别在几个不同的触摸感应按键上随机重新排列输入字符，从而使得输入字符可以在触摸感应按键上交替显示，以防止通过记住固定位置读取输入字符。该系统还可以和触摸屏设备或传统键盘组合使用。另外，设定一激活键用于在被激活时将输入字符分别随机重新定位在触摸感应按键上。参照图16，本发明的装置包括一触摸屏设备，该触摸屏设备包括触摸屏面板100 以及控制模块200。如图17所示，触摸屏面板100具有按键输入区域110，并在按键输入区域110内定义了多个触摸感应按键111。控制模块200以可工作方式连接至触摸屏面板100，用来以如下方式在触摸感应按键上111分别显示多个输入字符210 当其中一个触摸感应按键111被触压后，控制模块 200将对应的输入字符识别为输入数据。
因此，为了输入相应的输入字符210，用户可以通过用指尖或触摸感应笔触压相应的触摸感应键111。例如，当需要输入PIN码“ 1M5”时，用户可以依次触压按键输入区域 110内“1”，“2”，“4”，“5”这几个输入字符210所对应的触摸感应按键111。如图17所示，输入字符210以传统方式分别显示在触摸感应键111上，使得当用户输入PIN码时，用户周围的人就可能通过记忆固定位置来读取该PIN码。本发明还提供一种安全密钥输入系统300，与所述控制模块200组合使用来提高触摸屏设备的安全级别。相应地，该安全密钥输入系统300以可工作方式连接在触摸面板 100和控制模块200之间，其中该安全密钥输入系统300将输入字符210分别随机地重新排列在不同的触摸感应按键111上。由此，输入字符210交替显示在触摸感应按键111上，以防止通过记忆固定位置而读取输入字符210。如图18所示，输入字符210被重新定位在触摸感应按键111上，使得当用户输入相同的PIN码时，必须在不同的触摸感应按键111上触压相应的输入字符210。需要说明的是，安全密钥输入系统300通过如下方式重新排列输入字符210 某个输入字符210可以被重新定位在触摸感应键111上与前次相同的位置，但其余的输入字符210将会被重新定位在触摸感应键111上不同的位置。也就是说，在操作中，用户每次都将在触摸感应键111的不同位置处输入相同的PIN码。通过组合使用该安全密钥输入系统300，本发明还提供了一种用于触摸屏设备的安全密钥输入方法，包括下列步骤(1)首先在触摸面板100的按键输入区域110内的触摸感应按键111上分别显示输入字符210，从而每个输入字符210被显示在各个触摸感应按键11 1的初始位置上。(2)将输入字符210分别周期性地随机重排在不同的触摸感应按键111上。(3)将输入字符210分别重新定位在不同的触摸感应按键111上，从而使得输入字符210交替显示在触摸感应按键111上，以防止通过记忆固定位置而读取输入字符210。根据本发明的优选实施例，该触摸屏设备在触摸面板100上提供了一个密码界面，以便用户输入PIN码。输入字符210包括从0到9的数字键211，功能键212，以及一个或多个空白键213。相应地，所有数字键211，功能键212，以及空白键213都被设置为可以在不同的触摸感应按键111上重新定位，如图17和18所示。或者较佳地也可将安全密钥输入系统300设置为只重新排列数字键211，或只重新排列数字键211和空白键213，而不对功能键212进行重新定位。另外，空白键213为非操作键，当空白键213被触压时，控制模块200不读取任何输入数据，但是，空白键213为重新定位数字键211和功能键212提供了更多的排列组合方式。该安全密钥输入系统300包括一激活键310，该激活键以可工作方式连接至显示在某个触摸感应按键111上的某个输入字符210，并按如下方式工作当通过触压相应的触摸感应按键111来激活该激活键310时，输入字符210被分别随机地重新定位在触摸感应按键111上。相应地，随机重排输入字符210的周期是根据激活键310的触压。以上述密码界面为例，输入字符210中的“输入”键被设定为该激活键310，这样， 当该“输入”键被触压后，所有输入字符210被分别随机地重新定位在触摸感应按键111上。PIN码输入有两种可能的结果。第一种结果是PIN码输入正确，触摸面板100上会显示后续的访问界面，因此，一旦作为激活键310的“输入”键被触压用以确认PIN码时，在触摸面板100上的后续访问界面上，输入字符210将会被重新排列并重新定位在不同的触摸感应按键111上。第二种结果是PIN码输入错误，密码界面重新加载，以便用户再次输入 PIN码，因此，一旦作为激活键310的“输入”键被触压，在触摸面板100上的密码界面上，输入字符210，尤其是数字键211，将会被重新排列并重新定位在不同的触摸感应按键111上， 如图18所示。如图17和18所示，触摸面板100上与按键输入区域110相邻的位置还具有一个按键显示区域120。触摸面板10的按键显示区域120用来显示被触压的触摸感应按键111 对应的输入字符210。为了提高安全级别，输入字符210被转化为隐藏符号，如“*”，显示在按键显示区域120。例如，当用户触压按键输入区域110，依次在对应的触摸感应按键111 上输入四个输入字符210 “ 1 ”，“ 2，，，“ 4，，和“ 5，，，按键显示区域120将显示“ ****，，用来指示被输入的输入字符210的个数。图19A及19B给出了作为本发明另一个例子的另一种模式的安全密钥输入系统 300。相应地，该触摸屏设备在触摸面板100上提供一个选项界面列表，以便用户在按键输入区域110中选择其中的一个选项，输入字符210作为选择键。如图19A所示，在第一选项界面中，输入字符210显示不同银行账户作为选择键供用户选择；而在第二选项界面中，输入字符210显示不同交易选项作为选择键供用户选择。相应地，空白键213也被同时提供用以和选择键形成排列组合。比较图19A及19B可知，选择键被重新定位在了不同的触摸感应按键111上。相应地，显示在触摸感应按键111上的每一个输入字符210都被设定为激活键 310，从而当某个输入字符210被触压时，所有的输入字符210都分别被随机地重新定位在触摸感应按键111上。以上述选择界面为例，激活键310可以设定在任意一个选择键上。换言之，当用户触压银行账户A，B，C中的一个选择键时，在后续的第二选择界面中，所有的输入字符210都分别被随机地重新定位在触摸感应按键111上。需要说明的是，安全密钥输入系统300适合与具有多个按键的传统键盘结合使用，其中输入字符210可以被重新定位在不同的按键上。为了对存储在诸如本发明的安全金融交易设备等的电子设备内的敏感信息进行进一步保护，本发明加入了一个自毁机制，以防止数据篡改。当破坏该设备以试图从设备的数据单元内获得任何信息时，检测电路将被自动激活，以删除保存在数据单元的信息。当电阻、电容、电流或电压信号改变时，其中的用于删除或销毁保存在电子设备数据单元内信息的检测电路就被自动激活，以保护数据单元不被外力或其他意想不到的力量盗取，例如打开外壳或穿透显示模块以获取设备存储的信息。该显示模块上完整地贴有保护层，该保护层与检测电路电连接，以便当显示模块被穿透，保护层将自动激活检测电路，以删除保存在数据单元的信息。相应地，提供多个导电线以形成保护层，其中导电线由诸如ITO的具有导电性的透明材料制成。显示模块包括液晶显示屏(LCD)以及位于LCD上表面的触摸屏，这样，显示模块就可以和电子设备通信并控制电子设备，以输入和输出数据信息。保护层的面积等于或大于显示模块，以便其可以完全覆盖显示模块，以防止从保护层未覆盖的显示模块的死角区域的任何入侵。
提供核心元件包封用来包覆电子设备的核心电路模块，其中，核心元件包封与检测电路电连接，以便当核心元件包封被破坏或从核心电路模块上摘除时，检测电路将自动激活以删除保存在数据单元的信息。换言之，本发明为该设备提供了一种安全数据保护方法，该方法包括步骤(a)将电子设备的核心电路模块包覆在保护元件中以在核心电路模块周围形成保护电路；(b)将一个检测电路以可工作方式连接在保护元件和核心电路模块之间；以及(c)在电子设备被入侵的情况下，激活检测电路，从而当电子设备被破坏，以透过保护元件接近核心电路模块时，检测电路被激活以阻止保存在核心电路模块内的数据信息被获取。根据本发明的优选实施例，参照图20-26，说明了根据本发明的优选实施例的设备，其中该设备包括核心电路模块20，用以保存数据信息；以可工作方式与核心电路模块 20连接的显示模块10，体现为上述触摸屏面板100。相应地，核心电路模块20包括CPU 21 以及数据单元23，CPU通过可控操作数据单元23以访问数据信息。该设备还包括保护装置，该装置包括保护元件30，用来包覆核心电路模块20，以在核心电路模块20周围形成保护电路；以及检测电路22，以可工作方式连接在保护元件30 和核心电路模块20之间。其中，当电子设备被破坏，以透过保护元件30接近核心电路模块 20从而物理干扰保护电路时，检测电路22自动激活，以阻止保存在核心电路模块20内的数据信息被获取。保护元件30具有位于核心电路模块20上并与显示模块10相结合的保护层31， 其中，显示模块10的保护层31与该设备的核心电路模块20电连接，从而使得当显示模块 10被穿透，以侵入该设备的核心电路模块20，从而物理干扰保护电路时，保护元件30的保护层31将激活检测电路22以通过CPU 21破坏数据单元23，从而避免保存在数据单元23 内的数据信息不被窃取。相应地，检测电路22与核心电路模块20电耦合作为一个整体部件，并是数据擦除电路，使得当检测电路22被激活，保存在核心电路模块20的数据信息将被自动擦除。数据信息可在核心电路模块20被永久删除，或者也可在获得访问核心电路模块20的许可之前暂时删除。可选地，当检测电路22被激活，保存在核心电路模块20的数据信息将被自动冻结，以防止对核心电路模块20的任何访问。显示模块10包括，与核心电路模块20电连接的屏幕面板11，以及用于覆盖并保护屏幕面板11的透明屏幕12，其中，显示模块10具有可视区域，供用户浏览来自显示模块 10的信息。优选地，显示模块10的透明屏幕12还具有触摸屏功能，用来输入与电子设备的核心电路模块20通信以及控制该电子设备的核心电路模块20的信息，这样，信息可通过显示模块10被方便地输入或/和输出，并存入数据单元23。也就是说，当用户触压显示模块10时，电阻或电容发生改变以发出电信号，以这样的方式信息可从该电子设备的核心电路模块20被输入或/和输出。应理解，具有用于该设备数据输入的触摸屏功能的透明屏幕12，最好避免与该电子设备的电路板相连接的传统键盘的电路布局，以使得在没有传统键盘的电路布局下，用于输入以及和设备通信的显示模块10的透明屏幕12的触摸屏功能可以提高非法探测输入信号的难度。需要注意的是，显示模块10是液晶显示屏(IXD)，因此显示模块10相对更薄、更小、消耗的电力更少，以使该电子设备更便于携带。保护元件30的保护层31包括多个由诸如ITO的透明材料制成的导电线311，这些导电线相互交织形成网状层，以形成保护电路，其中，保护层31的导电线311用来整体地结合至显示模块10。这些导电线3 11被整体地贴合在屏幕面板11的下侧或透明屏幕12的上侧，其中每两根导电线311都互相交叉以形成网状区，以便整体地贴合在显示模块10的屏幕面板11的下侧或上侧。形成保护层31的网状区的导电线311进一步与检测电路22 电连接，从而使得当显示模块10被穿透，以侵入该电子设备的核心电路模块20时，保护部件30的保护层31的导电线311将自动激活核心电路模块20的检测电路22，以破坏保存在数据单元23内的信息。保护层31的导电线311也可设置于屏幕面板11和透明屏幕12之间，或者整体置于屏幕面板11或透明屏幕12之内。应理解，导电线311也可以先整体贴合在透明膜上，其中具有导电线311的透明膜进一步粘贴或附着在显示模块10的上表面和下表面之间。也就是说，保护层31是夹在显示模块10的屏幕面板11和透明屏幕12之间的。因此，当显示模块10被穿透，导电线311 也可以被激活以与检测电路22连接。保护层31也可以被整体设置于屏幕面板11内、透明屏幕12内、屏幕面板11和透明屏幕12之间，显示模块10的下表面，或显示模块10的上表面。应理解，如图20B所示，保护层31可以被贴合于显示模块10的透明屏幕12的上表面。同样，如图20C所示，保护层31可以被贴合于显示模块10的屏幕面板11的下表面。需要注意的是，保护层31的导电线311的网状区的总面积要等于或大于显示模块 10的可视区域，以这种方式保护层31可以完全覆盖显示模块10，以避免通过穿透显示模块 10来获取核心电路模块20的数据单元23内的信息。应理解，保护层31也可以被使用或贴合在任何防护玻璃上，如车窗玻璃、房间窗户玻璃，或诸如LED电视、LCD电视、电脑屏幕、手机触摸屏等任何不同种类的显示屏。保护部件30还包括一个核心元件包封32，用来包覆核心电路模块20以形成核心电路模块20的保护罩。其中，所述保护电路形成于核心元件包封32的包壁上，用来防止通过破坏核心元件包封32侵入核心电路模块20。相应地，核心元件包封32被装配或连接以附着在核心电路模块20之上。保护电路设置于核心元件包封32的包壁上，其中核心元件包封32的电路层34与核心电路模块20 的检测电路22电连接，其中，当核心元件包封32被穿透或从核心电路模块20上拆卸以物理干扰保护电路时，检测电路22被激活，以删除该设备的核心电路模块20的数据单元23 内的数据信息。具体而言，核心元件包封32包括电路层34，该电路层重叠于包壁上以形成保护电路，并与检测电路22以可工作方式连接。相应地，核心元件包封32形成覆盖层以覆盖核心电路模块20的使用区，其中CPU 21、数据单元23及检测电路22都位于核心电路模块20的使用区内。安全数据保护装置还包括一个辅助包封33，其中辅助包封33具有与显示模块10 的外围接合的顶窗，以及与核心电路模块20接合的底部开口，这样，该辅助包封33使被核心元件包封32覆盖的显示模块10和核心电路模块20结合成为一个整体。辅助包封33具有设置在其表面上的保护电路以形成重叠在辅助包封33的表面上的电路层34，其中电路层34以可工作方式连接在辅助包封33和核心电路模块20的检测电路22之间，从而使得 当辅助包封33被穿透或破坏以物理干扰保护电路时，检测电路22被自动激活，以擦除或锁定核心电路模块20的数据单元23内的数据信息，以这种方式辅助包封33为数据信息提供了进一步的保护。相应地，以便为核心元件包封32和辅助包封33各自形成保护电路，核心元件包封 32和辅助包封33各自具有多个相互交织的电路线341以形成电路层34。也就是说，电路线341被设置于核心元件包封32的包壁上以形成其上的电路层34，电路线341被设置于辅助包封33的表面上形成其上的电路层34。应理解，电路层34可与保护层31相同配置，即电路线341与导电线311相同。然而，由于电路线341不要求具有透明功能，所以电路线341可用不透明导电材料制备。此外， 电路线341可通过胶粘剂贴合于核心元件包封32的包壁上以及辅助包封33的表面上。同样的，电路线341可被嵌入到核心元件包封32的包壁中或者辅助包封33的表面中，以使核心元件包封32和辅助包封33各自形成保护电路。需要注意的是，三种不同的保护设施对核心电路模块20进行保护，即保护层31， 核心元件包封32，以及辅助包封33，用以防止核心电路模块20被物理性侵入。还提供外壳40以进一步以隐藏的方式包覆核心电路模块20，显示模块10，核心元件包封32以及辅助包封33，其中外壳40不但为安全数据保护装置提供装饰，而且为核心电路模块20的数据单元23内的数据信息提供了另一种保护。参照图25，说明了根据本发明上述优选实施例的安全数据保护装置的显示模块 10的保护层31A的第一替代方式，其中保护层31A具有多个导电线311A。每根导电线31IA 都被设置成类似“Z^f，而且任意两根导电线311A都相互平行。也就是说，每根导电线311A 都呈锯齿状以形成用以覆盖显示模块10的保护层31A的网。参照图26，说明了根据本发明上述优选实施例的安全数据保护装置的显示模块 10的保护层31B的第二替代方式，其中保护层31B具有导电线311B，通过连续折叠以形成一连续的“S”形，以覆盖显示模块10。鉴于设备的以上描述，参考图24，此种设备的安全数据保护装置的方法包括步骤提供数据单元23、检测电路22、以及CPU 21给设备的核心电路模块20，其中，数据单元23，检测电路22，以及CPU 21互相电连接；以及将保护元件30与设备的核心电路模块20电连接，以使得当该电子设备被侵入以获取核心电路模块20中的数据信息时，保护电路被物理干扰以激活核心电路模块20的检测电路22，从而通过CPU 21擦除保存于数据单元23内的数据信息，以保护保存于核心电路模块20的数据单元23内的数据信息。该安全数据保护装置的方法还包括将保护元件30的辅助包封33接合到显示模块 10和核心电路模块20的步骤。本领域的技术人员应该理解，以上通过附图及描述详细说明的本发明的实施例仅是示例性的，不旨在对本发明进行限制。
由上可知，本发明的目地已经得到充分和有效的达成。以上对本发明实施例进行的展现及描述的目的是为了说明本发明的功能性和结构性原理，在不脱离此原理的情况下，其有可能发生改变。因此，凡在下列权利要求的精神和原则之内所作的任何修改，均包含在本发明的保护范围之内。
权利要求
1.一种金融交易安全方法，包括步骤(a)在一安全金融交易设备中接收用户的交易信息和个人信息；(b)在所述设备中加密用户的交易信息、个人信息以及一PIN码，并通过互联网将加密后的交易信息、个人信息以及PIN码传送给一指定的金融实体；(c)与所述金融实体核对划入一指定金融账户的支付金额；以及(d)在所述金融实体通过互联网将所述支付金额从所述金融实体转给所述指定金融帐户后，在所述设备中接收支付金额划入指定金融账户的交易的确认信息。
2.如权利要求1所述的方法，还包括一个安全操作敏感信息的步骤，所述敏感信息包括交易信息、个人信息以及PIN码。
3.如权利要求2所述的方法，其特征在于，所述安全操作步骤还包括步骤(i)将隐秘数据保存在应用程序无法访问的安全存储器内，其中在所述隐秘数据被导出前都要进行加密；( )提供一管理员模式，在该模式下，一固件被运行，所有的系统资源都能访问；(iii)提供一用户模式，在该模式下，用户的应用程序被运行，所述应用程序不能访问系统资源；以及(iv)提供用于应用程序开发的一统一接口。
4.如权利要求1所述的方法，还包括一个密钥加密方法，用以完成一确认程序。
5.如权利要求4所述的方法，其特征在于，所述密钥加密方法包括步骤将一私钥拆分为多个密钥分量；转换所述密钥分量；密钥分量被转换后，将密钥分量分别导出给多个密钥持有者，以提高私钥的安全级别；以及通过合并各密钥持有者的各密钥分量，合成回私钥，以完成确认程序，从而保证所有密钥持有者都对所述确认程序进行了认证。
6.如权利要求1所述的方法，还包括一个随机生成用于输入PIN码的PIN码键盘的安全步骤。
7.如权利要求6所述的方法，其特征在于，所述安全步骤还包括步骤在一触摸面板的按键输入区域内的数个触摸感应按键上，分别初始显示数个输入字符，其中当某个所述触摸感应按键被触压时，一控制模块将相应的所选择的输入字符识别为一输入数据；通过以可工作方式连接至所述控制模块的一安全密钥输入系统，将所述输入字符分别周期性地随机重新排列在不同的触摸感应按键上；以及将所述输入字符分别重新定位在不同的触摸感应按键上，其中所述输入字符被交替显示在所述触摸感应按键上，以防止所述输入字符被通过记忆固定位置而读取。
8.如权利要求1所述的方法，还包括一个阻止保存在设备中的数据被篡改的步骤。
9.如权利要求8所述的方法，其特征在于，所述阻止步骤还包括步骤将所述电子设备的一核心电路模块包覆在一保护元件中，以在核心电路模块的周围形成一保护电路；以可工作方式将一检测电路连接在所述保护元件和所述核心电路模块之间；在所述电子设备被侵入的情况下，激活所述检测电路，使得当所述电子设备被破坏，以穿过保护元件来接近核心电路模块，从而物理干扰所述保护电路时，检测电路被激活，以阻止保存在核心电路模块内的数据信息被获取。
全文摘要
为金融交易提供一种安全方法及安全设备，任何不必要方都不能访问任何的个人信息及机密交易信息。该安全方法包括如下步骤将用户的交易信息和个人信息接收到安全金融交易设备中；在该设备中加密用户的交易信息、个人信息以及安全PIN码，并通过互联网将加密后的交易信息、个人信息以及安全PIN码传送给指定的金融实体；与该金融实体核对划入指定金融账户的支付金额信息；在该金融实体通过互联网将支付金额从金融实体转给指定金融帐户后，在该设备中接收支付金额划入指定金融账户的交易的确认信息。
文档编号G06F21/00GK102246181SQ201080004008
公开日2011年11月16日 申请日期2010年1月4日 优先权日2009年1月7日
发明者田维成, 董颐 申请人:上海昂贝电子科技有限公司