专利名称:用于执行文件分发和购买的系统和方法
技术领域:
本发明的实施例一般涉及无线通信系统,并且更具体地说,涉及使用通信系统执 行金融交易和文件分发的系统和方法。
背景技术:
多年以来,蜂窝电话是设计来主要用于提供无线语音通信。然而,随着技术上新的 进展,蜂窝电话(有时称为个人无线装置)已增加了额外功能。举例而言,包括蜂窝电话、 个人数字助理、电子邮件客户端、媒体播放器以及数字照相机的功能的个人无线装置现在 十分普遍。由于增加了这些装置的能力,所以许多用户使用这些装置来存储或访问敏感信 息(例如,金融账户信息)或用来访问专用网(例如,企业通信网)。就金融交易而言,对市场扩展和用户接受新颖形式的无线交易来说,极为重要的 是安全性和防欺诈创新。举例而言,信用卡交易,无论亲自进行或经由互联网进行,都容易 受到日益老练的窃贼欺诈和盗窃。此类攻击范围从偷取信用卡收据或复制卡号到为获取大 量信用卡账号而攻击网页可访问数据库。源于这些类型攻击的欺诈每年导致数十亿美元的 损失,其中既有这些最初的资金盗窃所致,也有所引起的身份盗窃所致。除了进行防止欺诈的工作之外,信用卡公司还不断在寻求扩展其消费者群体的新 颖方法。许多的增长活动集中于吸收那些感觉需要建立信用的年轻人,诸如,那些第一次进 入商场的人、有助学金来花费的大学生以及企图补救不良信用的人。就媒体而言,对等文件共享系统已变成寻求收益的版权持有者的祸根,因为传统 的文件共享系统向消费者提供受版权保护的内容,而无需为这些作品向合法的版权持有者进行补偿。需要用以支持分发受控内容(诸如,受版权保护的作品)的系统和方法,其中安全 金融交易可作为分发的一部分来执行。还需要支持受控内容的个人对个人的文件共享或分 发,其中安全金融交易可作为该共享或分发的一部分来执行。
发明内容
本发明的实施例包括用于支持分发受控内容的系统和方法,其中安全金融交易可 作为该分发的一部分来执行。本发明的实施例还支持受控内容的个人对个人的文件共享或 分发,其中安全金融交易可作为共享或分发的一部分来执行。在本发明的一个实施例中,安全计算模块经配置用于可操作连接至主机装置。该 安全计算模块包括用于执行安全处理操作的处理器、用于可操作地将处理器连接至主机装 置的主机接口以及可操作地连接至处理器的存储器,其中该处理器逻辑上隔离主机装置对 存储器中的至少一些的访问。该安全计算模块经配置以产生用于包括金融交易详情的消息 的安全数字签名。该安全计算模块还经配置以指导该主机装置向与安全计算模块用户相关 的金融组织传达金融交易详情和该安全数字签名并且启用通过该主机装置接收的受控内 容。根据本发明的另一个实施例,执行文件分发的方法包括选择将从作为卖方的内容 供应商处接收的受控内容。向买方发送关于该受控内容的金融交易详情。该方法还包括通 过使用买方的安全计算模块用买方的安全数字签名来签署所述金融交易详情和通过使用 卖方的安全计算模块用卖方的安全数字签名来签署所述金融交易详情。金融交易详情、买 方的安全数字签名以及卖方的安全数字签名构成金融交易包。该方法还包括在买方与卖方 之间传达该金融交易包、向卖方的金融组织传达该金融交易包以及向买方的金融组织传达 该金融交易包。卖方的金融组织验证卖方的安全数字签名和金融交易详情,并且向买方的 金融组织发送卖方许可。买方的金融组织验证买方的安全数字签名和金融交易详情、向卖 方的金融组织发送买方许可以及执行从买方的金融组织向卖方的金融组织的资金转移。该 方法还包括将受控内容从内容供应商传达至买方的安全计算模块。根据本发明的另一个实施例,执行文件分发的方法包括选择将从转售方接收的受 控内容、确定包括交易量和该受控内容的内容所有者的金融交易详情以及向买方发送关于 该受控内容的金融交易详情。该方法还包括通过使用买方的安全计算模块用买方的安全数 字签名来签署所述金融交易详情和通过使用转售方的安全计算模块用转售方的安全数字 签名来签署所述金融交易详情。金融交易详情、买方的安全数字签名以及转售方的安全数 字签名构成金融交易包。该方法还包括在买方与转售方之间传达该金融交易包、向买方的 金融组织传达该金融交易包以及向内容所有者的金融组织传达该金融交易包。该内容所有 者的金融组织验证金融交易详情并且向买方的金融组织发送卖方许可。买方的金融组织验 证买方的安全数字签名和金融交易详情、向内容所有者的金融组织发送买方许可以及执行 从买方的金融组织向内容所有者的金融组织的资金转移。该方法还包括将受控内容从转售 方的安全计算模块传达至买方的安全计算模块。
图1表示包括主机装置和安全计算模块的通信系统;图2表示体现为适于插入蜂窝通信装置的卡片的安全计算模块的前视图;图2A用半透视图表示图2的安全计算模块的等距视图,以表示根据本发明实施例 的内部元件;图3表示从蜂窝通信装置上分离的安全计算模块;图3A表示实体上和电气上连接至蜂窝通信装置的安全计算模块;图4表示与蜂窝通信装置通信的安全计算模块的简化框图;图5表示用于在个体之间执行金融交易和受控内容分发的通信系统的简化系统图;图6是表示在从内容供应商分发和购买受控内容期间可执行的动作的简化程序 框图;以及图7A和图7B是表示在个体之间分发和购买受控内容期间可执行的动作的简化程 序框图。
具体实施例方式在以下详细说明中,结合形成本文一部分的附图进行描述,并且其中通过举例说 明示出了可以实施本发明的多个具体实施例。足够详细地描述了这些实施例,以使得所属 领域的技术人员能够实施本发明。然而,应当理解的是,当指示本发明实施例的实例时,该 详细说明和所述具体实例是仅以举例说明方式而非限制性方式来给出。根据本发明,可以 在本发明范围之内进行各种代替、修改、添加、重新布置、或对其进行组合,并且对所属领域 的技术人员将为显而易见。本发明的实施例包括用于支持分发受控内容的系统和方法,其中安全金融交易可 作为该分发的一部分来执行。本发明的实施例还支持受控内容的个人对个人的文件共享或 分发,其中安全金融交易可作为该共享或分发的一部分来执行。另外,本发明的实施例提供 为受控内容的法定持有者收集并保存市场接受的财务收入(例如,版税、报酬等)的系统和 方法。此外,本发明的实施例提供用于完善和批准个人对个人的营销、销售以及分发机制的 系统和方法,以便鼓励用户使用个人对个人的发现和分发方法来合法地共享和传播受控内 容。通过增加具有软件和用于执行该软件的安全计算模块(SCM)的个人电子装置 (PEDs),所述系统和方法包括受控内容分发和安全金融交易。该SCM可以是可嵌入或已嵌 入该PED的处理硬件。如本文所用,PED可以是用户使用的任何移动计算装置,并且能够使用蜂窝无线 通信通道进行通信。PED在本文中也可以称为主机装置、蜂窝通信装置、或无线通信装置。 PED的实例包括蜂窝电话、智能电话、Blackberry 智能电话、寻呼机、个人数字助理、音 乐播放器(例如,MP3播放器和IPod)、手持计算平台、腕戴式计算系统、或其他的移动计算 系统(例如,膝上计算机)。另外,主机装置可以是配备有安全计算模块的台式计算机、服 务器、或其他的装置,诸如卫星电视接收器、数字多功能光盘(DVD)播放器以及盒式录像机 (VCRs)。虽然本文大部分描述集中于将PED作为无线通信装置,但所属领域的技术人员将 认识到,任何适当的主机装置都可经配置来与安全计算模块一起操作以实施本发明的实施
8例。如本文所用,“受控内容”涉及任何受版权保护的材料或可认为具有版权的任何材 料。此类实例包括(但不限于)以下这些音乐、视频、电子书、软件、文档、地图、数据库、商 店折扣券、商人忠诚度材料、照片、或其他数字内容。此外,受控内容包括访问授权令牌。作 为非限制性实例,访问授权令牌可以包括用于准许进入电影、音乐会、体育赛事等场所的电 子票(即,e_票)。如本文所用,“内容所有者”是根据本国法、国际法或其组合对受控内容可拥有至 少一些权利的实体或个体,内容所有者可控制对受控内容的访问、自己创造受控内容,或合 法购买受控内容。 如本文所用,“内容供应商,,是内容所有者或该内容所有者的代理人,其经授权以 提供该内容所有者拥有的受控内容。如本文所用,“分发规则”是定义分发权利和方法的规则。此类规则可以限制对特 定群体的分发、时间周期、数量等。如本文所用,“原始买方”是直接从内容所有者或该内容所有者的代理人处购买受 控内容的买方。如本文所用,“转售方”是经授权以根据该内容所有者规定的分发规则来转售受控 内容的买方。图1表示包括主机装置110、服务器180、网络150、无线通信基站140以及安全计 算模块200的通信系统100。在一些实施例中,主机装置110可以是蜂窝通信装置110。蜂窝通信装置110可以 使用可为蜂窝无线通道的无线通道112来与基站140通信。蜂窝通信装置110可以是无线 通信装置,诸如经配置以与陆地蜂窝基站140通信的智能手机、Blackberry 智能手机、 膝上计算机、或其他适当装置。基站140可以与网络150通信。网络150可以是通信网络, 诸如互联网、公用交换电话网、或用于实施通信的任何其他适当布置。蜂窝通信装置110可以包括用于向用户传达信息的显示器和用于用户向蜂窝通 信装置110传达信息的键盘。安全计算模块200可以实体上连接至蜂窝通信装置110。作为非限制性实例,安全 计算模块200可以经配置为适于插入主机装置110中的卡片。虽然实体上连接至主机装置 110,但安全计算模块200可以独立地执行软件和/或与主机装置110隔离。图2表示体现为适于插入蜂窝通信装置100的卡片的安全计算模块200的前视 图。图2A用半透视图表示图2的安全计算模块200的等距视图,以表示根据本发明实施例 的内部元件。安全计算模块200可以具有类似于安全数字(SD)存储卡的物理特征。举例 而言,安全计算模块200可以包括尺寸大体上类似于SD存储卡的外壳204。此外,安全计算 模块200可以包括经配置以实体上和电气上连接至蜂窝通信装置110的主机接口 202。作 为非限制性实例,主机接口 202可以经配置为SD输入/输出(SDIO)接口、安全数字高容量 (SDHC)接口、或适于插入扩展物(其适于插入蜂窝通信装置110的SD槽)的其他接口。如 图2A所示,安全计算模块200可以包括外壳204、电路206以及主机接口 202。外壳204围绕电路206,并且可通过将电路206包围在其中以使得电路206实体上 并未暴露于用户,从而允许用户处理安全计算模块200而不会损坏电路206。
如图2和图2A所示,可以将一些实施例配置来使得包括安全计算模块200的外壳 204不同于主机装置110并且可从主机装置110上拆卸。在其他实施例中,安全计算模块 200可以不包括外壳,并且可以嵌入蜂窝通信装置110中。在任何实施例中,安全计算模块 200经配置以维持与蜂窝通信装置110至少逻辑上的隔离,如下文更全面阐述那样。电路206可以包含一或多个集成电路,并且可以包含一或多个电路板。电路206 可以经配置以执行安全计算模块200的功能。当然,可以用不同于SD形状因数的形状因数来配置安全计算模块200。举例而言, 安全计算模块200可以具有TransFlash、miniSD、microSD、存储棒、紧凑式闪存、多媒体卡 (MMC)、缩小尺寸MMC、微MMC、智能媒体、智能卡、迷你智能卡、xD存储卡的物理特征(例如, 尺寸)、或与蜂窝通信装置110兼容的其他适当形状因数。作为另一个非限制性实例,主机接口 202可以是串行总线,诸如适于兼容连接至 蜂窝通信装置110的通用串行总线(USB)接口或“火线”接口。还可能存在允许安全计算 模块200可操作地连接至主机装置110的其他实体配置和主机接口格式。虽然安全计算模块200和主机接口 202的物理特征(例如,尺寸)类似于上述存储 卡格式中的一种格式,但安全计算模块200可以执行比存储卡所执行的功能更多的功能, 如下文更全面论述那样。图3图示与蜂窝通信装置110断开连接的安全计算模块200。换句话说,安全计算 模块200的用户可以将安全计算模块200连接至蜂窝通信装置110,并且以后可将安全计算 模块200与蜂窝通信装置110断开连接。通常,通过可拆卸卡格式,用户可以用手而不用工 具将安全计算模块200与蜂窝通信装置110断开连接,并且不会损坏安全计算模块200。用户可以通过将安全计算模块200插入蜂窝通信装置110的插座中从而将安全计 算模块200实体上和电气上连接至蜂窝通信装置110,来将安全计算模块200连接至蜂窝通 信装置110。在一些实施例中,可以将安全计算模块200插入在蜂窝通信装置110的外壳内 形成的槽中。通过可拆卸卡格式,可以在不同时刻将安全计算模块200用于大于一种的蜂窝通 信装置110中。举例而言,安全计算模块200的用户可以在蜂窝通信装置110中使用安全 计算模块200,并且之后在不同的蜂窝通信装置110中使用该安全计算模块200。图3A图示实体上和电气上连接至蜂窝通信装置110的安全计算模块200。在一 些实施例中,安全计算模块200可以通过使用蜂窝通信装置110供给的电力来操作,并且可 以经由主机接口 202(图2A)从蜂窝通信装置110接收电力。因此,安全计算模块200可能 不会经配置以在与蜂窝通信装置110断开连接时操作,而是将数据存储于非易失性存储器 中。在其他实施例中,安全计算模块200可以包括其自身的内部电源。在一些实施例中,安全计算模块200可以直接与基站140、网络150、或服务器180 通信。在其他实施例中,安全计算模块200可以通过主机接口 202和蜂窝通信装置110来 与基站140、网络150以及服务器180通信。因此,蜂窝通信装置110可以从安全计算模块 200接收信息,并且将该信息转发至网络150。相反地,蜂窝通信装置110可以从网络150 接收信息,并且将该信息转发至安全计算模块200上。图4图示与蜂窝通信装置110通信的安全计算模块200的简化框图。蜂窝通信装 置110可以包括用于与主机接口 202通信的接口块508、一或多个处理器502、电源504、存
10储器506、蜂窝通信机510以及用户接口 512。安全计算模块200可以包括一或多个处理器220、存储器230、近场 (proximate-field)无线通信机240以及用于在主机接口 202上进行通信的接口块250。处理器220可以经实施为以下中的一或多个通用微处理器、专用微处理器、微控 制器、其他适当硬件,诸如专用集成电路(ASIC)或现场可编程门阵列(FPGA)、或其组合。处 理器220的这些实例是用于举例说明,并且可能存在其他的配置。接口块250经配置以在 主机接口 202上进行通信,如先前所描述那样。安全计算模块200经配置用于执行包含计算指令的软件程序。一或多个处理器 220可以经配置用于执行包括用于实施本发明的实施例的计算指令的各种各样的操作系统 和应用程序。存储器230可以用于保存用于执行包括执行本发明实施例在内的各种各样任务 的计算指令、数据以及其他信息。可以通过使用用于存储信息的电子技术、磁性技术、光学 技术、电磁技术、或其他技术来将存储器230体现为若干不同形式。作为举例而非限定,存 储器230可能包括同步随机存储器(SRAM)、动态RAM(DRAM)、只读存储器(ROM)、闪速存储器寸。近场无线通信机240经配置用于经由近场无线通信通道245与另一个适当装备的 近场无线通信机进行无线通信。在一些实施例中,其他适当装备的近场无线通信机可以经 配置为以下各项的一部分另一个安全计算模块200、配置在另一个蜂窝通信装置110中的 另一个安全计算模块200、或配置用于无线通信的出售点终端。安全计算模块200可以使用蜂窝通信装置110提供的功能。举例而言,蜂窝通信装 置110可以包括用户接口 512,该用户接口 512包含显示器114(图1)和键盘116(图1)。 由于安全计算模块200可能不具有用户接口,所以安全计算模块200可以提供用户交互数 据,并且指示蜂窝通信装置110在显示器114上显示信息。类似地,安全计算模块200可以 请求蜂窝通信装置110向安全计算模块200提供用户通过键盘116输入的用户交互数据。在一些实施例中,电源504可以向安全计算模块200提供电力。在其他实施例中, 安全计算模块200可以包括其自身的电源(未示出)。近场无线通信通道245可以是配置用于一定程度上局部的通信的任何无线频率 和协议。适当的协议和频率的一些非限制性实例是适当的无线电频率、802. la/b/g/n型 无线连接、红外线频率、蓝牙 、无线电频率识别(RFID)、WiFi、WiMax、或其他适当的通信定 义。作为非限制性实例,适当的近场范围考虑为用于RFID通信的小于一英寸至几英寸的距 离和用于蓝牙 通信的高达约100英尺的距离。图5图示用于在个体之间执行金融交易和受控内容分发的通信系统的简化系统 图。通信系统可以包括配备有安全计算模块的两个或两个以上蜂窝通信装置。该通信系统 可以包括有包括第一安全计算模块200A的第一主机装置IlOA和额外的主机装置,诸如,包 括第二安全计算模块200B的第二主机装置110B、包括第三安全计算模块IlOC的第三主机 装置IlOC以及包括第四安全计算模块200D的第四主机装置110D。为便于描述,取决于所执行的操作和操作的背景,可能以不同方式提及第一主机 装置IlOA和第一安全计算模块200A。举例而言,在原始买方从内容供应商购买受控内容的 背景下,第一主机装置IlOA和第一安全计算模块200A可以分别称为买方的主机装置IlOA和买方的安全计算模块200A。作为另一个实例,在转售方向另一个买方提供受控内容的 背景下,第一主机装置IlOA和第一安全计算模块200A可以分别地称为转售方的主机装置 IlOA和转售方的安全计算模块200A。安全计算模块(一般指定为200)可以使用近场无线通信通道(例如245B、245C 和245D)与另一个安全计算模块200通信。任何主机装置(一般指定为110)可以与网络 通信,这可以经由有线或无线通信来实现。对蜂窝通信装置来说,可以经由蜂窝通信通道 112A、112B、112C以及112D来进行通信。第一金融组织300A可以经由通信通道302A可操作地连接至网络。类似地,第二 金融组织300B可以经由通信通道302B可操作地连接至网络,并且内容供应商350可以经 由通信通道352可操作地连接至网络。作为非限制性实例,通信通道302A、302B和352可 以通过互联网、蜂窝通信、电话网络、或其他适当的连接来实现。取决于背景,第一金融组织300A可以称为买方的金融组织或转售方的金融组织, 如在下文描述中将显而易见那样。类似地,取决于背景,第二金融组织300B可以称为内容 供应商的金融组织、卖方的金融组织、或买方的金融组织,如在下文描述中将显而易见那 样。在一些实施例中,卖方的金融组织和买方的金融组织可以是相同的实体。此外,在 金融交易的执行中,可以将卖方金融组织和买方的金融组织考虑为大体上类似于图1的服 务器180。另外,本文中,金融组织一般可以用指示符300来提及。虽然图5未作图示,但所属领域的技术人员将理解的是,当主机装置(110A-110D) 是蜂窝装置时,蜂窝通信通道(112A-112D)通常经由基站140来与网络150通信,如图1图 示的那样。本文举例说明的软件过程旨在说明可在实施本发明的实施例中通过一或多个计 算系统来执行的代表性过程。除非另外指明,否则不应将描述这些过程的顺序理解为一种 限制。此外,可以采用任何适当的硬件、软件、固件、或其组合来实施这些过程。举例而言, 软件过程可以存储在存储器230中以用于执行,并且可以通过一或多个处理器220来执行。当作为固件或软件来执行时,用于执行这些过程的指令可以存储在计算机可读媒 体上或在其上转移。计算机可读媒体包括(但不限于)磁性和光学存储装置(诸如,磁盘驱 动器、磁带、CD (高密度磁盘)、DVD (数字多功能光盘或数字视频光盘)和半导体装置(诸 如,RAM、DRAM、ROM、EPROM以及闪速存储器)。另外,固件或软件可以经由网络来进行传达。作为非限制性实例,编程可以经由恰 当的媒体来提供,该媒体包括(例如)体现在制品之内的媒体、体现在经由恰当的传输媒体 来传达的数据信号(例如,已调制的载波、数据包、数字表示等)之内的媒体,该恰当的传输 媒体为(例如)经由通信接口提供的诸如通信网络(例如,互联网和/或专用网)、有线电 气连接、光学连接和/或电磁能之类,或者该编程可以通过其他恰当的通信结构或媒体来 提供。在一个实例中,包括处理器可用软件的示例性编程可以作为体现为载波的数据信号 来进行传达。另外,应注意的是,这些实例可以作为图示成流程图、程序框图、结构图、或框图的 过程来描述。虽然流程图可能将操作描述为顺序过程,但许多操作可并行或同时地执行。另 外,操作的顺序可以重新布置。当过程的操作完成时,该过程终止。过程可以对应于方法、功能、规程、子例程、子程序等。当过程对应于功能时,其终止对应于该功能返回至呼叫功能 或主要功能。在用于执行受控内容分发和金融交易的操作中且参见图4和图5,主机装置110 用于与用户接口连接以请求输入并且在安全计算模块200的指导下显示相关信息。在安全 计算模块200上执行的软件管理金融交易过程和受控内容转移。该软件可以为独立应用程 序、装置嵌入软件的形式,或可以在装置本身的网页浏览器之内操作,所述程序、软件和浏 览器都可连接至安全计算模块200。另外,软件可以包括用于产生和管理安全计算模块200 的软件的应用程序接口(API)、软件开发工具包(SDK)或其他适当的软件接口以及工具。安全计算模块200为金融交易过程所需的变量(诸如,用于签署和加密的公共和 私人密钥、秘密散列密钥、计数器变量等)提供安全信息存储。安全计算模块200还为存储 的程序(诸如,散列算法、加密算法、计数器递增以及其他适当的安全过程)提供安全存储 器230和安全处理环境。因此,安全计算模块200和安全存储器230提供逻辑上隔离的环境,以计算散列并 且加密来自诸如主机装置110和其他安全计算模块200的外部源的信息。在隔离中在安全计算模块200上执行该软件而不是在主机装置110上执行该软件 可以保护该软件产生的数据免受下列这些进行未授权访问例如,主机装置110上安装的 恶意软件、主机装置110的用户,或可通过网络150和基站140连接至主机装置110的装置。另外,安全计算模块200可以用于批准所有来自外部源的输入。作为非限制性实 例,安全计算模块200可以使用金融交易另一方的公共签名密钥来验证签署的交易。当使用加密或散列算法时,可以通过安全计算模块200而不是通过主机装置110 来获知具体的加密方案或加密密钥。因此,安全计算模块200可以忽略从主机装置110接 收到的未根据具体加密方案或未用具体的加密密钥来加密的信息。忽略未恰当加密的信息 可以阻止主机装置110与安全计算模块200互动,而不阻止在主机装置110的用户接口、网 络150、或服务器180之间中继用户接口信息。处理器220可以逻辑上隔离主机装置110中的处理器502对存储器230中的一些 或所有的访问。换句话说,除非经由处理器220许可和控制,否则主机接口 202可能不能 与存储器230通信,从而阻止主机接口 202 (或连接至主机接口 202的装置,诸如主机装置 110)与存储器230之间的直接通信。另外,存储器230可以在实体上隔离窥探访问。安全计算模块200可以预安装受保护信息,诸如来自出售者、制造商、或其组合的 金融交易软件和受保护数据(例如,密钥)。另外,可以在已部署的系统上更新该受保护信 肩、ο在部署受保护信息时,可以使用已加密信息转移过程将受保护信息传达至安全计 算模块200,其中信息可以包括数据、软件、或其组合。在有效解密和真实性验证(即,金 融组织处产生的软件和数据的真实性)之后,可以在安全计算模块200内更新数据和算法 (即,软件规程)。安全计算模块200可以请求主机装置110从服务器180(例如,万维网服务器、监 控和数据采集(SCADA)服务器、企业通信网服务器、金融组织300A或300B、或其他服务器) 处取得该软件。作为买方更新的非限制性实例,买方的主机装置IlOA可以经由蜂窝通信通 道112A从买方的金融组织300A处取得该软件,然后向买方的安全计算模块200A提供该软件。如有必要,安全计算模块200A可以加密该软件,然后安装并且执行该软件。如果已加 密,则主机装置110不能解密该已加密软件。因此,在取得已加密软件之后,主机装置110 仅向安全计算模块200转发该已加密软件,而不解密该软件。安全计算模块200可以另外或替代地请求主机装置110向服务器180 (图1)发送 软件或其他信息。举例而言,安全计算模块200可以加密金融信息(例如、账号、个人标识 号等),向主机装置110提供该已加密信息,并且指示主机装置110向服务器180发送该已 加密信息。在该实例中,由于该信息已加密,所以主机装置110可能不能解密该金融信息。可以在主机装置110上安装驱动软件以协助主机装置110与安全计算模块200通 信和执行部分金融交易。作为非限制性实例,根据建立的智能卡交互标准(例如,PC/SC), 驱动软件可以在主机接口 202上启用通信。作为另一个非限制性实例,驱动软件可以执行 显示器114 (图1)上的信息呈现和从键盘116 (图1)的信息获取,并且向安全计算模块200 或从安全计算模块200传达该用户交互信息。安全计算模块200包括用于产生和解码安全数字签名的密码算法。另外,安全计 算模块200可以包括用于加密和解密信息的密码算法。因此,存储器230的安全部分可以 包括诸如以下这些信息密码算法、加密密钥、解密密钥、签署密钥、计数器以及其他适当的 密码信息。本发明的实施例包括用于产生针对金融购买包的安全数字签名的过程。安全数字 签名可以通过结合秘密密钥以产生金融交易详情的密码安全散列来准备。任何结合秘密密 钥的密码安全散列函数可以用于实现该安全签署功能。此外,散列算法和秘密密钥可以由 与安全计算模块200的用户相关的金融组织周期性地更新。秘密密钥仅为用户的安全计算模块200和用户的金融组织300所知。然而,安全 计算模块200可以经配置以处理多个金融账户。因此,安全计算模块200可以具有用于各 账户的秘密密钥,并且该用于各账户的秘密密钥将为服务于该账户的金融组织所知。金融交易详情可以包括各种信息,诸如对正在出售项目的描述;所述项目的价格(S卩,交易量);交易时间;交易日期;交易地点(例如,经由GPS坐标,如果可用的话);买方的凭证和金融组织路由号码;以及卖方的凭证和金融组织路由号码。买方或卖方的凭证可以包括诸如以下的信息诸如账号和金融组织标识之类的账 户信息、公共密钥以及其他适当的信息。这些凭证用于向金融组织唯一地识别个人。该过 程中可以维持匿名,从而允许买方或卖方对另一方保留其身份。然而,各方必须以资金转移 顺序依次向金融组织唯一地识别。如果不期望匿名,则凭证也可包括该用户的名称。本发明的实施例包括金融购买包(FPP),当完成时,该FPP包括金融交易详情、买 方的安全数字签名以及卖方的安全数字签名。用于买方和卖方两者的安全数字签名可以通过使用秘密密钥用安全散列函数来 产生。安全散列函数具有许多形式,并且有时通过诸如国家标准技术研究所(NIST)之类的
14政府单位进行标准化。当使用秘密密钥的新密码安全散列函数经过标准化时,可将其并入 安全计算模块200中。 使用秘密密钥的安全散列的非限制性实例在联邦信息处理标准(FIPS)出版物 198中有所描述,该出版物以引用方式并入本文。一般地说,该散列函数可以由以下方程式 代表在该方程式中,h是密码散列函数,K是用额外的零填充至散列函数块大小的 秘密密钥,m是待认证的消息,示出的具有环绕在周围的圆圈的“ + ”符号表示异或(XOR) 操作,同时I I表示拼接,并且外部填充opad = 0x5c5c5c. ..5c5c,且内部填充ipad = 0x363636. . . 3636是两个“一个块长”的十六进制常数。因此,该秘密密钥是仅为安全计算模块200和用户的金融组织300所知的数字签 名秘密密钥。待认证消息是连同交易号码标识符(TNI) —起的金融交易详情。作为对安全散列的添加,可以视需要包括第二秘密加密密钥,并将其添加至上文 针对金融交易详情的项目列表中,并因此将其包括在该散列函数的计算中。该额外秘密值 也将用金融组织的安全计算模块200上的其他密钥材料来存储。虽然密钥散列被认为是安 全的,但密码破译者和黑客在破解散列和其他加密过程中不断取得进展。为了保持本发明 的实施例更加安全,可以在散列函数中包括第二秘密密钥,从而以对安全计算模块200而 言容易处理的方式来增加计算安全散列的熵。TNI是与当前交易和安全计算模块200相关的唯一数字。该唯一数字可以若干方 式来产生。作为非限制性实例,TOT可以仅为通过安全计算模块200执行的交易的运行递 增计数。作为另一个非限制性实例,只要安全计算模块200和用户的金融组织300可产生 用于当前交易的相同号码,则TNI可以通过诸如伪随机产生号码之类的复杂算法来产生。因此,TNI涉及用于具体交易给定方(例如,买方或卖方)的计数或计算的交易号 码,并且是在交易签署时产生。买方和卖方可以具有不同的交易号码,因为他们将会执行不 同数量的交易或使用不同的TNI产生算法。在其他实施例中,对于买方和卖方而言,TNI可 以相同。在此情况下,TMI将由发起交易(买方或卖方)的一方来计算,并且将用于另一方 的数字签名过程中。将TNI包括在金融购买包签署计算中作为金融交易详情的一部分。TNI还连同签 署的FPP —起发送至金融组织以协助索引购买交易。因此,当买方签署FPP时该买方使用 的TNI很可能不同于当卖方签署FPP时该卖方使用的TNI。应注意,连同买方的安全数字签名和卖方的安全数字签名一起的金融交易详情可 以经由近场无线通信通道245在买方的安全计算模块200A与卖方的安全计算模块200B之 间转移。近场通信无线通道245可以具有默认频率和协议。作为非限制性实例,该近场通 信通道245可以为RFID。然而,如果默认通道不可用,则可以使用另一个通道,或者用户选 择不同的通道来使用。作为非限制性实例,其他可能的通信通道是短消息服务(SMS)、多媒 体消息服务(MMS)、无线应用协议(WAP)、蓝牙、WiFi以及其他适当的协议。在一些情况下,近场无线通信通道245可能由于其他人的窥探而不是特别安全。 然而,本发明的实施例通过使用买方和卖方两者的安全数字签名来确保不泄密当前交易。另一方面,如果未加密,则金融交易详情可能是可被发现的,从而如果在金融交易详情中存 在足够的信息,则可能导致身份盗窃。因而,一些实施例可以包括金融购买包的加密和解 密。另外,在一些实施例中,受控内容可以是加密的。加密和解密可以使用任何适当的密码算法。作为非限制性实例,密码算法可以是 本领域众所周知的诸如高级加密标准(AES)的对称算法。对称密码术要求秘密密钥仅为加 密者和解密者所知。因此,该加密的进行可使得秘密密钥为用户和该用户的金融组织所知。 在此情况下,该秘密密钥可以是通过使用散列算法用于产生安全数字签名的相同密钥,或 其可以是用于加密/解密的不同秘密密钥。或者,如下文所阐述,该秘密密钥可以是买方与 卖方之间在发现过程期间确定的秘密密钥。作为另一个非限制性实例,该密码算法可以是本领域众所周知的诸如RSA的不对 称算法。RSA表示首先公开该加密算法的个人的首字母。在不对称密码术中,使用公共密钥 和私人密钥两个密钥。用户可以让任何人知道其公共密钥,而使私人密钥仅为其自己所知。 希望向该用户发送已加密消息的任何人通过使用该用户的公共密钥来对消息加密。一旦加 密,则该消息仅可通过仅为用户所知的私人密钥来解密。因此,可以存在通过安全计算模块200来存储和管理的若干密钥,诸如,秘密数字 签名密钥、秘密加密密钥、私人密钥以及公共密钥。通常,用户不直接更新其加密密钥和签 署密钥。换句话说,用户有权使用其密钥,但无权操纵其密钥。密钥的更新、添加、或改变可 以通过控制服务器的制作安全计算模块200的组织来完成。为安全地管理和更新密钥,可以将个人识别码(PIC)例程包括在安全计算模块 200中,以允许用户向安全计算模块200认证其本人。PIC可以包括仅为用户和安全计算模 块200所知的一系列字母数字值。在另一实施例中,PIC可以是诸如指纹或视网膜扫描的 一些生物测定特征的数字表示。在另一实施例中,用户可以发起PIC输入请求,其中安全计 算模块200输出一系列字母数字的字符,用户必须依次重新输入或重新键入这些字符并且 将其提交回安全计算模块200。当然,PIC例程可以包括组合输入生物测定信息和字母数 字值。此外,PIC例程可以包括用于用户进入的随机全自动区分计算机和人类的图灵测试 (CAPTCHA)算法。CAPTCHA是显示的倾斜且扭曲的模糊字符,这些字符人类可辨别,但计算 机可能不能辨别。在其他实施例中,安全计算模块200可以直接从连接或可连接的输入装置(未示 出)处接收Pic输入。该输入装置的一个实例为经由导线直接连接入安全计算模块200中 的外部的指纹或视网膜扫描读出器装置。此额外硬件提供更安全的输入,其不要求这些输 入经过主机装置Iio的存储器506或处理器502或经过包含安全计算模块200的其他计算
直ο用于加密/解密以及用于安全散列产生数字签名的秘密密钥可以在安全计算模 块200为了交易处理而连接至金融组织时,由该金融组织周期性地刷新。如果如此配置,则 金融组织300可以视需要为了重新键入而发起至包括安全计算模块200的主机装置110的 连接。作为所用密钥的非限制性实例,可以为各安全计算模块200产生两个公共和私人 密钥对。对于第一密钥对来说,公共密钥是存储在用户的安全计算模块200中,而私人密钥 则是用金融组织的安全计算模块200来存储。该第一密钥对允许用户的安全计算模块200
16对将发送至金融组织的信息进行加密。对于第二密钥对来说,私人密钥是存储在用户的安 全计算模块200中,而公共密钥则是用金融组织的安全计算模块200来存储。该第二密钥对 允许金融组织的安全计算模块200对将发送至用户的安全计算模块200的信息进行加密。 可以使用这两个密钥对系统,以便各用户的安全计算模块200都可以具有用来与金融组织 通信的其自身唯一的加密通信通道。为此,具有分离的密钥可保护免于这样一种情况出现 如果一个加密通道被破解,则所有加密通道将被破解。另外,由于公共密钥加密比对称密钥 加密缓慢许多,所以这两个密钥对可以用于交换可用于具体交易的临时对称密钥。受控内容的分发可以用某些分发规则和使用规则来进行。分发规则规定内容可以 如何分发。举例而言,可以将分发规定为无限制分发。在另一个实例中,可以将分发规定为 超过某个量后就不允许进一步分发。在另一个实例中,可以将分发限定于规定的时间周期、 具体时间、或选定的日期中。在另一个实例中,可以将分发限定于某些分发群体。换句话说,可将分发限定于具 有规定群体成员资格的个体。作为非限制性实例,这允许大学教授将课本或测试稿分发给 当前班级,并且仅分发给当前班级而不会分发给公众。这还允许公司将“专有的”材料仅分 发给其雇员,而不会分发给整个社会。可以将分发群体名称维持在安全计算模块200上,并 且也可在交易期间用分发群体的中央储存库来对其进行验证。在访问授权令牌的情况下,分发可以包括从内容所有者(诸如,场馆业主、入场券 分销商、或其他适当的活动入场券卖方)处分发。另外,当有授权时,分发可以在个体之间 进行。以此个体方式,可以将访问授权令牌的分发比作受控制的入场券转售市场。在本发明的实施例中,当分发了内容所有者的受控内容时,内容所有者可以在财 政上得到补偿。作为非限制性实例,版税费可预设为某个量或者可定期确定。定期版税可 以允许内容所有者根据市场或其他影响力的指导来提高或降低购买价格和版税费。举例而 言,当由内容所有者或内容供应商350降低了并未在售的受控内容的价格时,该受控内容 可能更畅销。相反地,内容所有者可能希望提高畅销的受控内容价格。动态定价还允许“特 价日”或期望折扣的其他时间。另外,本发明的实施例允许内容由先前的买方转售。在转售过程中,内容所有者可 以征收针对从转售方至买方的额外分发的版税。另外,如果分发规则允许,则转售方可以为 自己征收费用,同时也确保将规定版税费付给内容所有者。如果分发规则允许,则转售方与 买方之间可以协商该转售方费用。在一些实施例中,可以为预定时间段设置转移限制和分发规则。此外,可以将买方 对受控内容的访问限定于预定时间段。在该预定时间段之后,安全计算模块可以通过删除、 不解密、不允许访问、或其组合来阻止对受控内容的访问。在一些实施例中,安全计算模块200可以解密该受控内容并且将其转移至主机装 置110以供使用。在其他实施例中,安全计算模块200可以将受控内容保留在安全计算模 块200的存储器230中,并且根据需要将其提供给主机装置110。为了在两个个体之间用无线通信装置来执行金融交易或受控内容分发,安全计算 模块200执行发现过程,以使得两个安全计算模块200彼此觉察。当使用便携式电子装置 时,该发现过程经由近场无线通信通道(245B-245D)中的一个通道来进行。在无线发现过程中,从具有安全计算模块200的主机装置110中进行公开的用户选择以发起交易并且连接至另一个主机装置110。该过程通常不像对大多数RFID支付卡和 装置而言那样简单的“自动”进行,因为RFID过程可能固有地不安全并且易于盗窃、窃取和 滥用。然而,在一些实施例中,与传统RFID系统的反向兼容性可以经启用来授权自动响应。 作为非限制性实例,可以切换该用途以启用针对诸如地铁费用交易之类低价交易的项目的 自动响应。作为另一个非限制性实例,传统RFID系统可以用于将访问授权令牌从安全计算 模块200传达至准入控制器(未示出)。可以通过场馆来操作该准入控制器,以允许通过准 入控制器从一或多个安全计算模块接收的场馆访问授权令牌的准入。发现过程可以使用由探究过程用来寻找兼容装置的本行业众所周知的若干方法 中的任何方法。当发现此类装置时,双方可以输入或协商相同的秘密会话密钥值等。然后, 可以基于该共享的秘密密钥值来进行会话加密。该发现和密钥协商过程的非限制性实例是 本领域众所周知的蓝牙 配对和蓝牙 配对过程的增强。发现过程可以经由包含在安全计算模块200之内的近场无线通信机240来进行。 使安全处理器来控制信息发送和接收的内容、时间和方式可以增强系统安全性。视需要,可以使用传统的在线客户_服务器方法、或者诸如安全短消息服务(SMS) 协议之类的存储和转发格式来进行该发现过程。图6为图示在从内容供应商350处分发和购买受控内容期间可执行的过程600的 简化程序框图。可以参考图6,并且有时可以参考图4和图5来进行过程600。应注意,在 过程600期间在实体之间进行的任何通信可以如上文所阐述那样加密或不加密。以在操作块612处买方通过网络从内容供应商350处选择受控内容来开始过程 600。内容供应商350可以是各种在线分销商,诸如,iTunes、Amazon, com、Wal-Mart在线 等。另外,内容供应商350可以是实体商店,诸如Wal-Mart当地商店、Best Buy当地商店 等。内容供应商350还可以是当地商店或其他设施中的分发亭。在过程600中,内容供应 商350还可以称为卖方350。在操作块614中,将交易详情、卖方的凭证以及卖方的数字签名从卖方350传达至 买方的安全计算模块200A。连同该交易的金融信息一起,交易详情可以包括关于内容所有 者、内容所有者的金融组织以及针对该受控内容的分发规则的信息。在操作块616中,在主机装置IlOA上为买方呈现对话框,该对话框指示交易详情、 分发规则以及其他相关信息。提示买方接受或拒绝该交易。如果拒绝交易,则过程600停 止(未示出)。如果接受交易,则买方产生包括关于该内容的交易详情、分发规则以及其他 信息的金融购买包,并且产生买方的安全数字签名。然后,买方将该金融购买包发送回卖方 350。如果卖方或买方没有批准并且数字地签署FPP,则该过程停止(未示出)。如果要 继续交易,买方或卖方可以将金融购买包发送至金融组织。 判定块620确定卖方是否要传达FPP。如果卖方传达该金融购买包,则操作块622 指示卖方将FPP发送至卖方的金融组织300B。在操作块624中,卖方的金融组织300B通过 检查卖方的安全数字签名来认证卖方。 该认证过程使用卖方的秘密密钥在卖方的数字签名上执行反向散列过程,并且确 定交易详情是否准确,交易号码标识符是否正确,以及卖方的凭证是否使卖方的账户与该 金融组织匹配。
然后,卖方的金融组织300B可以批准或拒绝该交易。如果拒绝,则卖方的金融组 织300B将消息发送回卖方,并且交易终止(未示出)。如果批准,则卖方的金融组织300B 通过网络150将FPP和许可发送至买方的金融组织300A。在一些情况下,买方的金融组织 300A和卖方的金融组织300B可以是相同的实体,且可能不需要通过网络150 “发送” FPP。在操作块626中,以类似于上述卖方认证过程的方式,买方的金融组织300A通过 使用买方的秘密密钥检查买方的安全数字签名来认证买方。然后,买方的金融组织300A 可以批准或拒绝交易。如果拒绝,则买方的金融组织300A将消息发送至买方的主机装置 110A,并且交易终止(未示出)。如果批准,则买方的金融组织300A将资金转移至卖方的金 融组织300B。返回判定块620,如果买方传达金融购买包,则操作块632指示买方经由网络150 将FPP发送至买方的金融组织300A。在操作块634中,买方的金融组织300A如上文所阐述 那样通过使用买方的秘密密钥检查买方的安全数字签名来认证买方。然后,买方的金融组织300A可以批准或拒绝交易。如果拒绝,则买方的金融组织 300A将消息发送回买方的主机装置110A,并且交易终止(未示出)。如果批准,则买方的金 融组织300A通过网络150将FPP和许可发送至卖方的金融组织300B。在一些情况下,买方 的金融组织300A和卖方的金融组织300B可以是相同的实体,且可能可以不需要通过网络 150 “发送” FPP。在操作块636中,卖方的金融组织300B如上文所阐述那样通过使用卖方的秘密密 钥检查卖方的安全数字签名来认证卖方。然后,卖方的金融组织300B可以批准或拒绝该交 易。如果拒绝,则卖方的金融组织300B将消息发送至卖方350,并且交易终止(未示出)。 如果批准,则卖方的金融组织300B将许可发送回买方的金融组织300A。在操作块638中, 买方的金融组织300A将资金转移至卖方的金融组织300B。此时在该过程中,金融交易已完 成。判定块640确定是否应将交易结果通知卖方。如果是的话,则在操作块642中,卖 方的金融组织300B将交易结果发送至卖方350。判定块644确定是否应将交易结果通知买方。如果是的话,则在操作块646中,买 方的金融组织300A将交易结果发送至买方的安全计算模块200A。过程块648指示受控内容从卖方350传达至买方的安全计算模块200A。如先前所 示,安全计算模块可以在需要时解密受控内容,并且将受控内容存储在安全计算模块200A 上的存储器230中或将其转移至主机装置110A。在过程600中,买方的安全计算模块200A、卖方350、买方的金融组织300A以及卖 方的金融组织300B中的任何一者都可以保留一份关于该金融交易和其成功或其由于任何 一方未批准而失败或其由于资金不足而失败的日志。在过程600中,一些通信可以经由诸如互联网的中间通信网络来进行,一些通信 可以经由蜂窝通信通道来进行,并且一些通信可以经由近场无线通信通道来进行。金融组织300包括安全计算模块200,并且可以采用企业版的安全计算模块200软 件、硬件、或其组合。该企业版产生对于许多连续且同时的交易而言更稳健的安全机制。为 确保交易之间额外的安全性,该用于安全计算模块200的企业软件可以将个体交易间的动 态交易存储器归零。
19
图7A和图7B是图示在个体之间分发和购买受控内容期间可执行的过程700的简 化程序框图。可以参考图7A和图7B,并且有时可以参考图4和图5来进行过程700。应注 意,在过程700期间在实体之间进行的任何通信可以如上文所阐述那样加密或不加密。以在操作块702处转售方产生交易详情来开始过程700。连同交易的金融信息一 起,所述交易详情可以包括关于内容所有者、内容所有者的金融组织以及针对该受控内容 的分发规则的信息。将交易详情、卖方的凭证以及卖方的数字签名从转售方的安全计算模 块200B传达至买方的安全计算模块200A。在操作块704中,在主机装置IlOB上为买方呈现对话框,该对话框指示交易详情、 分发规则以及其他相关信息。提示买方接受或拒绝该交易。如果拒绝交易,则过程700停 止(未示出)。如果接受交易,则买方的安全计算模块200B产生包括关于该内容的交易详 情、分发规则以及其他信息的金融购买包,并且产生买方的安全数字签名。然后,买方将该 金融购买包发送回转售方的安全计算模块200A。如果转售方或买方没有批准并且数字地签署FPP,则该过程停止(未示出)。在操 作块708中,转售方的安全计算模块200A将金融购买包发送至内容所有者的金融组织300B 和买方的金融组织300A。在操作块710中,内容所有者的金融组织300B验证交易详情、转售方的分发授权 以及分发规则。在一些情况下,内容所有者的金融组织300B可能不知道转售方的分发授权 或分发规则的详情。在那些情况下,内容所有者的金融组织300B可以经由网络150与内容 所有者或内容供应商350通信以验证转售方的分发授权和分发规则。如果验证了交易详情 与任何内容规则和授权,则内容所有者的金融组织300B可以批准交易。否则,内容所有者 的金融组织300B可以拒绝交易。然后,内容所有者的金融组织将许可或拒绝发送至买方的 金融组织300A。在操作块712中,买方的金融组织300A如上文所阐述那样通过使用买方的秘密密 钥检查买方的安全数字签名来验证交易详情和认证买方。然后,买方的金融组织300A可以批准或拒绝交易。如果拒绝,则买方的金融组织 300A将消息发送至买方的主机装置110A,并且交易终止(未示出)。如果批准,则买方的金 融组织300A将资金转移至内容所有者的金融组织300B。参见图7B,在判定块714中,该过程确定转售方是否有资格接收针对转售受控内 容的费用。如果没有,则控制往下传至判定块724。如果转售方将接收费用,则在操作块718中,转售方将FPP发送至转售方的金融组 织(未示出,可考虑为图5中的第三金融组织300)。在操作块720中,转售方的金融组织300如上文所阐述那样通过使用转售方的秘 密密钥检查转售方的安全数字签名来认证转售方。然后,转售方的金融组织300可以批准 或拒绝交易。如果拒绝,则转售方的金融组织300将消息发送回转售方的主机装置110A,并 且交易终止(未示出)。如果批准,则转售方的金融组织300通过网络150将FPP和许可发 送至买方的金融组织300A。在一些情况下,买方的金融组织300A和转售方的金融组织300 可以是相同的实体,且可能不需要通过网络150 “发送”FPP。在操作块722中,买方的金融组织300A将针对转售方的费用的资金转移至转售方 的金融组织300。此时在该过程中,金融交易已完成。
判定块724确定是否应将交易结果通知转售方。如果是的话,则在操作块726中, 转售方的金融组织300将交易结果发送至转售方的安全计算模块200A。判定块728确定是否应将交易结果通知内容所有者、内容供应商350、或其组合。 如果是的话,则在操作块730中,内容所有者的金融组织300B将交易结果发送至内容供应 商 350。判定块732确定是否应将交易结果通知买方。如果是的话,则在操作块734中,买 方的金融组织300A将交易结果发送至买方的安全计算模块200A。过程块648指示受控内容从转售方的安全计算模块200A传达至买方的安全计算 模块200B。如先前所示,安全计算模块可以在需要时解密受控内容,并且将受控内容存储在 安全计算模块200B上的存储器230中或将其转移至主机装置110B。在过程700中,买方的安全计算模块200B、转售方的计算模块200A、买方的金融组 织300B、转售方的金融组织300以及内容供应商的金融组织300A中的任何一者都可以保留 一份关于该金融交易和其成功或其由于任何一方未批准而失败或其由于资金不足而失败 的日志。在过程700中,一些通信可以经由诸如互联网的中间通信网络来进行,一些通信 可以经由蜂窝通信通道来进行,并且一些通信可以经由近场无线通信通道来进行。 金融组织300包括安全计算模块200,并且可以采用企业版的安全计算模块200软 件,该企业版的安全计算模块200软件产生对于许多连续且同时的交易而言更稳健的安全 机制。为确保交易之间额外的安全性,该用于安全计算模块200的企业软件可以将个体交 易间的动态交易存储器归零。 虽然已参考具体实施例描述了本发明,但本发明不限于这些所述实施例。相反,本 发明仅受所附权利要求书的限制,该所附权利要求书在其范围内包括根据所描述的本发明 的原理来操作的所有等效的装置或方法。
权利要求
一种用于可操作连接至主机装置的安全计算模块,包含处理器,其用于执行安全处理操作;主机接口,其用于将所述处理器可操作地连接至所述主机装置;以及存储器,其可操作地连接至所述处理器,其中所述处理器逻辑上隔离所述主机装置对所述存储器中至少一些的访问;其中所述安全计算模块经配置以产生用于包括金融交易详情的消息的安全数字签名;指导所述主机装置向与所述安全计算模块用户相关的金融组织传达所述金融交易详情和所述安全数字签名;和启用通过所述主机装置接收的受控内容。
2.根据权利要求1所述的安全计算模块,其中所述安全数字签名包含使用在包含所述 金融交易详情和交易号码标识符的消息上的秘密密钥来产生的安全散列函数。
3.根据权利要求1所述的安全计算模块,其中所述安全计算模块进一步经配置以在与 所述主机装置隔离的情况下并且在指导所述主机装置传达所述金融交易详情和所述安全 数字签名之前,加密所述金融交易详情、所述安全数字签名、或其组合。
4.根据权利要求3所述的安全计算模块,其中使用所述安全计算模块和与所述用户相 关的所述金融组织所知的秘密密钥以对称加密过程来执行所述加密。
5.根据权利要求3所述的安全计算模块,其中使用与所述金融组织相关的公共密钥以 不对称加密过程来执行所述加密。
6.根据权利要求1所述的安全计算模块,其中所述主机装置是选自由下列各物组成的 群组蜂窝电话、智能电话、寻呼机、个人数字助理、手持计算平台、腕戴式计算系统、移动计 算系统以及台式计算系统。
7.根据权利要求1所述的安全计算模块,其中所述安全计算模块进一步经配置以解密 所述受控内容以供所述主机装置使用。
8.根据权利要求1所述的安全计算模块,其进一步包含近场(proximate-field)无线 通信机,所述近场无线通信机可操作地连接至所述处理器并且经配置用于当处于与另一主 机装置相关的另一安全计算模块的近场范围之内时与所述另一安全计算模块通信。
9.根据权利要求8所述的安全计算模块,其中所述近场无线通信机经配置以使用可用 的无线电频率、红外线频率、802. la/b/g/n型无线连接、蓝牙、RFID、WiFi、WiMax或其组合 来进行通信。
10.根据权利要求8所述的安全计算模块,其中所述安全计算模块使用所述近场无线 通信机来向所述另一安全计算模块传达所述金融交易详情和所述安全数字签名。
11.一种执行文件分发的方法,包含选择将从作为卖方的内容供应商处接收的受控内容; 向买方发送关于所述受控内容的金融交易详情;通过使用买方的安全计算模块用买方的安全数字签名来签署所述金融交易详情; 通过使用卖方的安全计算模块用卖方的安全数字签名来签署所述金融交易详情,其中 所述金融交易详情、所述买方的安全数字签名以及所述卖方的安全数字签名构成金融交易 包;在所述买方与所述卖方之间传达所述金融交易包; 向卖方的金融组织传达所述金融交易包; 向买方的金融组织传达所述金融交易包; 从所述卖方的金融组织处验证所述卖方的安全数字签名和所述金融交易详情;和 向所述买方的金融组织发送卖方许可;以及 从所述买方的金融组织处验证所述买方的安全数字签名和所述金融交易详情; 向所述卖方的金融组织发送买方许可;和执行从所述买方的金融组织向所述卖方的金融组织的资金转移;以及 将所述受控内容从所述内容供应商传达至所述买方的安全计算模块。
12.根据权利要求11所述的方法,进一步包含当所述买方的安全数字签名和所述金融 交易详情的所述验证未成功时或当所述卖方的安全数字签名和所述金融交易详情的所述 验证未成功时防止所述资金转移的所述执行。
13.根据权利要求11所述的方法,进一步包含在所述传达动作中的至少一个动作之前 加密所述金融交易详情、所述买方的安全数字签名、所述卖方的安全数字签名、或其组合。
14.根据权利要求11所述的方法,进一步包含在所述受控内容的所述传达之后解密所 述受控内容。
15.根据权利要求11所述的方法,其中验证所述金融交易详情包含验证交易量、买方 的凭证、卖方的凭证、或其组合。
16.根据权利要求11所述的方法,其中用所述买方的安全数字签名来签署所述金融交 易详情包含使用在包含所述金融交易详情和买方的交易号码标识符的消息上的买方的秘 密密钥来执行安全散列函数。
17.根据权利要求11所述的方法,其中用所述卖方的安全数字签名来签署所述金融交 易详情包含使用在包含所述金融交易详情和卖方的交易号码标识符的消息上的卖方的秘 密密钥来执行安全散列函数。
18.根据权利要求11所述的方法,其进一步包含向买方的主机装置或卖方的主机装置 中的至少一个主机装置传达交易结果。
19.根据权利要求11所述的方法,其中传达所述受控内容包含传达访问授权令牌。
20.根据权利要求19所述的方法,進一步包含将所述访问授权令牌从所述买方的安全 计算模块传达至准入控制器以允许所述买方进入。
21.一种执行文件分发的方法,包含 选择将从转售方接收的受控内容;确定包括交易量和所述受控内容的内容所有者的金融交易详情; 向买方发送关于所述受控内容的所述金融交易详情;通过使用买方的安全计算模块用买方的安全数字签名来签署所述金融交易详情; 通过使用转售方的安全计算模块用转售方的安全数字签名来签署所述金融交易详情, 其中所述金融交易详情、所述买方的安全数字签名以及所述转售方的安全数字签名构成金 融交易包;在所述买方与所述转售方之间传达所述金融交易包; 向买方的金融组织传达所述金融交易包; 向内容所有者的金融组织传达所述金融交易包; 从所述内容所有者的金融组织处验证所述金融交易详情且向所述买方的金融组织发送卖方许可; 从所述买方的金融组织处验证所述买方的安全数字签名和所述金融交易详情; 向所述内容所有者的金融组织发送买方许可;和执行从所述买方的金融组织向所述内容所有者的金融组织的资金转移;以及 将所述受控内容从所述转售方的安全计算模块传达至所述买方的安全计算模块。
22.根据权利要求21所述的方法,进一步包含 向转售方的金融组织传达所述金融交易包; 从所述转售方的金融组织处验证所述转售方的安全数字签名和所述金融交易详情;和向所述买方的金融组织发送转售方的许可;以及执行从所述买方的金融组织向所述转售方的金融组织的另一资金转移。
23.根据权利要求21所述的方法,进一步包含当所述买方的安全数字签名和所述金融 交易详情的所述验证未成功时防止所述资金转移的所述执行。
24.根据权利要求21所述的方法,进一步包含在所述传达动作中的至少一个动作之 前加密所述金融交易详情、所述买方的安全数字签名、所述转售方的安全数字签名、或其组I=I ο
25.根据权利要求21所述的方法,其中确定所述金融交易详情包含确定交易量、买方 的凭证以及转售方的凭证。
26.根据权利要求21所述的方法,其中用所述买方的安全数字签名签署所述金融交易 详情包含使用在包含所述金融交易详情和买方的交易号码标识符的消息上的买方的秘密 密钥来执行安全散列函数。
27.根据权利要求21所述的方法,其中用所述转售方的安全数字签名来签署所述金融 交易详情包含使用在包含所述金融交易详情和转售方的交易号码标识符的消息上的转售 方的秘密密钥来执行安全散列函数。
28.根据权利要求21所述的方法,其中在所述买方与所述转售方之间传达所述金融交 易包包含经由近场无线通信通道在所述买方的安全计算模块与所述转售方的安全计算模 块之间进行传达。
29.根据权利要求28所述的方法,其中经由所述近场无线通信通道进行传达包含使用 可用的无线电频率、红外线频率、802. la/b/g/n型无线连接、蓝牙、RFID、WiFi、WiMax、或其 组合来进行传达。
30.根据权利要求21所述的方法,其进一步包含向买方的主机装置、内容所有者的主 机装置、或转售方的主机装置中的至少一个主机装置传达交易结果。
31.根据权利要求21所述的方法,其中传达所述受控内容包含传达访问授权令牌。
32.根据权利要求31所述的方法,其进一步包含将所述访问授权令牌从所述买方的安全计算模块传达至准入控制器以允许所述买方进入。
33. 一种用于执行文件分发的系统,包含第一主机装置,其与受控内容的买方相关且包括可操作地连接至其上的第一安全计算 模块,所述第一安全计算模块经配置以产生用于包括金融交易详情的消息的买方的安全数字签名;指导所述第一主机装置向买方的金融组织和向第二安全计算模块传达所述金融交易 详情和所述安全数字签名;和向所述第二安全计算模块传达所述受控内容;以及第二主机装置,其与所述受控内容的卖方相关且包括可操作地连接至其上的所述第二 安全计算模块,所述第二安全计算模块经配置以 产生用于所述消息的卖方的安全数字签名;指导所述第二主机装置向卖方的金融组织和向所述第一安全计算模块传达所述金融 交易详情和所述安全数字签名;和从所述第二安全计算模块接收所述受控内容。
全文摘要
一种安全计算模块(SCM),其经配置用于与主机装置连接。所述SCM包括用于执行安全处理操作的处理器、用于将所述处理器连接至所述主机装置的主机接口以及连接至所述处理器的存储器,其中所述处理器逻辑上隔离所述主机装置对所述存储器中至少一些的访问。所述SCM产生用于金融交易的安全数字签名,并且启用通过所述主机装置接收的受控内容。从内容供应商向买方或从转售方向买方执行文件分发。所述文件分发包括使用安全数字签名和可能的消息加密的金融交易。所述数字签名和交易详情被传达至适当的金融组织以认证所述交易方并且完成所述交易。所述受控内容从所述内容供应商或所述转售方转移至所述买方。
文档编号H04L9/00GK101978646SQ200980110155
公开日2011年2月16日 申请日期2009年1月28日 优先权日2008年2月26日
发明者亚伦·R·特纳, 斯蒂文·H·麦考恩 申请人:巴特尔能源联合有限责任公司