专利名称:移动信息存储和通信装置及通信方法
技术领域:
本发明涉及用以存储关于装置持有者的信息并且将这种信息传送给请求者的电子移动数据通信装置,其中该请求者比如为数据网络中的主计算机。
背景技术:
因特网的惊人增长在关于处理私人和保密信息方面有了上升。一般理解必须在可用性和安全性之间取得平衡,其中大多数增加安全性的努力通常在可用性方面给予折衷。
允许下载和调用远程计算机上的原本及应用程序的技术发展增加了服务的可用性。但是,这一发展也造成了安全问题,使得远程地点能够在用户实际未注意某些欺骗在进行的情况下从客户的硬盘中检索私人信息。一种相关威胁是病毒的传播,除了直接损坏,病毒码可以,从用户的角度,静默地潜伏于背景中从用户对话截取保密的用户名、口令和信用卡号码。这一信息能够随之被处理且传送到外来地点。由于因特网服务一般是位置独立的,远程播放来自外来地点的记录信息获得进入作为合法用户的相同资源。
因为因特网的使用进一步增长,并且越来越多的无经验用户开始使用越来越多的先进服务,安全性和隐私权需要被严重关注。
一方面是身份验证,其中一般问题是在服务端肯定识别远程位置的个体。一般方法是登录程序,其中服务提供者提示用户用户身份和口令。一种更复杂的方法是使用质询-响应模式,其中服务提供者质询用户码,其随时间而不同,且用户必须随后给予回应,其对每一质询是唯一的。这一方法也包括单一用户码的使用,其中用户最初被提供一套保密的随机码,只有服务提供者和用户知道。
第二方面是数字签名,其中信息接受者需要替换手写签名并肯定识别信息完整性,其中信息的欺骗性修改能够被检测。
第三方面是关于可见性的隐私权,其中某些应用程序需要通过发送者和接受者之间信息的加密。密钥必须只被发送者和接受者知道。为了增加加密强度,密钥能够越过时间被改变,最终用于每一新时段。
第四方面是关于可访问性的隐私权,其中访问私有的个人数据需要被控制。根据用户个人安全性的偏爱,不同类型的信息可具有不同的用于读和写访问的安全属性。即使大多数操作系统包括某些访问安全性,存储在本地硬盘上的信息当用户登录时一般对读和写二者都是可访问的。
第五方面是移动性,其中用户在不同的计算机之间移动,包括移动终端。个人信息,包括密钥和口令一般位于计算机的固定存储器,即硬盘上。通常在不同位置之间移动这一信息是不可行的,同样的问题是在不同的位置中保持数据同步。相关的是安全问题,其发生在保密信息被存储于非活动介质中的时候。
第六方面是对话终止,其中登录程序一般区别于在线或离线之间。普通关心的是当用户已经登录一个服务并进行了某些期望的操作且随后来执行退出动作就离开计算机的情况。一个直观的比喻是汽车,其中开始程序开启发动机并使汽车可用。当钥匙被撤走时,发动机停止且汽车不可用。若汽车被保留为钥匙在上面且发动机开启状态,任何人能够偷它并开走。
期望在不严重影响可用性和可访问性的前提下解决这些问题,其二者被因特网接受并用于个人计算机。
因特网和浏览不同地点的广泛公众接受的增长也已经为地点所有者创造了许多不同途径以获取关于留意他们服务的特定用户的信息。为了访问信息,卖主和服务提供者经常提示用户以一连串的形式进入个人信息。通常用户于是得到用户名和口令并随之被授权再次访问相同地点,此时可能到达私人化的环境,象一个“个人主页”。在某些地点,这样的环境包括定购产品或服务的权利,或者付帐或者从信用卡帐户中撤回付款。
这成为用户和服务提供者双方的重大障碍。用户一般发现这一过程耗时且复杂,从而造成执行脉冲动作的障碍,这是由于“点击并执行”程序的丢失。此外,用户结束于不同用户名和口令的大型集合,其时大多数地点不能接受用户的个人偏爱。从服务提供者的角度,一般不存在肯定地确定是否进入的信息被授权的途径,且用户数据库迅速充满副本和“Mr.Donald Duck”记录。另一方面是一般不存在保持用户持久性的途径,即识别,保持设定和重新使用户再访问一个地点。通常使用的方法是存储“cookies”,即客户计算机上的小文件成为一个障碍,由于cookie文件丢失且移动用户趋向从不同位置访问相同地点。
大的应用系统向末端用户提出了关于可用性的挑战,其中不同软件模块和应用之间的通行趋向掌握和操纵复杂化。基于应用的旧主机类型一般组成为树形结构,其中不同的菜单形式被用来将用户指引到应用模块执行期望的动作。
近来关于因特网可用性和使用的激增提出了另一挑战。尽管有经验的用户发现进入象http//www.microsoft.com/insider/access2000/default.htm这样的统一资源定位器(URL)地址是适当的,这通常被认为是艰苦的,特别对于无经验的用户。不正确地键入特定URL或轻易发现任务太复杂的可能性可被认为是吸引访问者到特殊地点或服务的一个障碍。
另一方面是因特网上提供他们的产品支持的制造商数量增长,其中每一产品具有包含产品信息、支持、软件更新、驱动程序等的URL。在产品包装、CD-ROMs、注册形式等上面,URL一般被赋予获得产品支持。这对于末端用户开启因特网浏览器,正确进入URL并最终注册产品以获得访问支持地点是一个明显障碍。
一个产品的物理状态可被用来指引末端用户到不同的应用程序或URLs。存储中未支付、未开启、被运送者篡改、消极影响等的产品,可对制造商提供有价值的反馈,同时它的状态属性可允许支持环境因此改变其性能。
一个包装自身上简单的用户友好表格可被用以手动输入某些变量,以使用传统纸件表格相同的途径。并入包装的一个简单键盘可被用以指引用户到适当的支持地点、消费者反馈表格、升级地点、广告等。
进一步有建立消费者到制造商关系的一般需要,以处理支持和售后行为。由于当今的因特网用户和电子商务消费者不建立到单个商店或卖主的联系,期望能够生成一种链路,其中消费者获得容易的途径联系卖主并留意个人站点,关于产品使用的手动或自动反馈能够被交换。来自卖主的进一步推销能够随之向消费者实施。
发明内容
本发明的一个目的是提供一种小型、便携的应用及工作站独立的低成本装置,其能够以定义明确的方式存储关于装置持有者/所有者的信息,并能够直接对数据网络中的请求者传达这一信息的选择。请求者典型地是网络中的服务提供者,例如因特网,但也可以是检索存储在装置到个人计算机中的个人信息的所有者自己。
本发明的另一个目的是提供一种移动数据通信装置,其能够运载并直接通信许多单个使用密码以安全认可或授权来自服务提供者的服务。密码能够被用来在存储或外接于装置的信息上产生数字签名并且在持有者和服务提供者之间通信。密码还能够用来加密被通信的信息。
本发明的再一个目的是提供一种移动且低成本的数据通信装置,其能够存储数据网络中的位置,诸如因特网上的URLs,并能够以自动方式直接访问这些位置。
按照本发明的一个方面,提供了一种电子移动数据通信装置,用于存储关于装置持有者的信息和向诸如数据网络中一个主计算机这样的请求者传达这一信息。该装置具有操作相连的电动加密提供装置、数据输入装置、数据处理装置,数据存储非易失性存储装置和数据收发装置。数据存储装置具有许多可编程存储位置,用于存储所述信息为数据的构成集合,以及数据收发装置,当被持有者初始化时,适于自动发送所述数据的选择片段给所述请求者。
从另一角度,该装置能够被看作一个具有不同非易失性存储位置和输入装置的移动数据运载器或“令牌”装置(token device,TD),以控制访问这些存储位置。该装置进一步包含一个无线收发机接口以允许同运行于本地计算机或多级环境中的主应用程序的双向通信,其中客户应用程序由运行在服务提供者(SP)的服务应用程序控制。终端装置装配有连接到I/O端口的收发机接口,允许软件应用程序与TD双向通信。
包括在TD中的存储位置能够表现为具有不同目的和属性的特征1.固定的静态存储,不能在TD的私人化之后被更改。这些位置可包括固定信息,诸如全球唯一的TD标识符、用户名、国籍、性别、体重、身高、头发颜色,即护照信息,由TD发布者编程。此外,其他固定信息可包括,诸如许可证,包括飞行执照、驾驶执照、运输业/搬运者执照等。
2.用户定义的静态数据,只可由TD持有者更改。这些数据可包括诸如当前地址、电子邮件地址、电话号码、昵称等的信息。
3.服务提供者定义的静态数据,只可由服务提供者更改。检测但非更改这一信息的装置可被包括。
4.多用途的读/写位置,可由SP和TD更改。
5.标签所有者数据库,其中每一存储在存储器阵列中的输入被一个标签标识符和到这一数据库的链路标记。
每一存储的标签能够从运行于所连接的计算机的应用程序被质询。根据每一标签和所有者的特殊组合的隐私权和安全性,用户能够且对标签所有者数据库中的每一输入分配每一标签上不同的安全属性。
标签的含义是被中央标签权限所定义,从而使它们能被公众使用。也可以有一些所有者特定标签IDs,其中只有标签所有者知道含义。
每一标签也可当期满时保持时间信息。虽然时间信息能够被指定为完全未期满,当存储空间将耗尽时保持标签跟踪的管理任务被留给TD所有者。TD所有者能够在任何时间检测特定标签,或者所有被特定标签所有者所拥有的标签。对于固定标签,规则可不同地应用。
当主应用程序质询TD一个特殊的标签时,TD检查标签的安全属性。若该标签被编程为“非自由”,TD更改请求应用程序以提示用户证实请求检索特殊标签。用户于是通过使用TD上的输入装置实施证实,从而获得不能被本地应用程序篡改的安全性。
尽管信息存储被软件装置保护,能够认为某些用户会发现情绪上的额外解脱,从接口的TD迁移进一步物理抑制了信息检索和修改。
从另一个角度看,按照本发明的装置能够执行安全的交易,其中SP需要验证是否期望的动作是真的。
按照本发明的装置能够保持单独使用的密钥存储以实施加密。终端中的应用程序从TD中检索密钥,其中每一新的加密使用一组唯一的密钥,只被TD和SP知道。
按照本发明的装置也能够对每一进行中的交易产生“数字签名”。不可逆的散列算法,使用被传送信息的二进制代表和从TD检索的密钥能够形成这样一个数字签名,其能够由SP使用以验证被传送的信息是完整的且由授权用户签名。
按照本发明的装置还能够管理服务的定时使用,其中每一“登录”程序标记一个使用的密钥值。当TD中的所有密钥已被使用时,鉴别失效且服务使用期满。一个比喻是车票或“电话卡”,其中车票的使用和物理标记由每一密钥指数输入的失效来代表。可以有每一密钥输入代表一个用于下载的可获得特定选项的应用程序。在一个选项被使用一次之后,它不能再被使用。数值附加单据,经常包括在软件包装或音乐唱片中,允许选项的检索或未来升级给真正的用户。
有关基于方法的当前纸件的伪造和干扰能够容易地被自动化和确保安全。
按照本发明的装置与上述方面紧密联系,执行一种保护软件的普通方法,其中小型装置,“道尔芯片(dongles)”,被连接到计算机的I/O端口,应用程序软件搜索道尔芯片的存在以启动或执行某些期望的动作。这对用户是一个巨大的障碍,因为这些道尔芯片一般妨碍I/O端口的平常使用。并且,当成倍增加道尔芯片时通常引发功能问题,特别是从不同的卖主。另一障碍是I/O端口的物理位置,其使在不同计算机之间移动道尔芯片不切实际。
按照本发明的令牌装置也能够采用其他形式。例如,它能够被构成为结合到包装里,诸如卡片盒、快件包裹、车票、单据等。
按照本发明的导航装置,一种访问令牌装置,在其最基本的形式中,具有一个编程的URL。当该令牌被置于连接到普通个人计算机的收发机接口上时,安装的驱动器运行浏览器应用程序并操纵这个预定的URL。
在增强形式中,访问令牌具有输入装置,其可包括键盘或接触传感图形图像或电子电路,登记包装状态。
根据输入装置的状态,导航过程能够被控制以在不同的预编程URL之间切换。
访问令牌包含全球唯一的标识符,诸如一个64比特数。另外,存在一个读/写存储区域,其能够从主应用程序被更改。
导航过程能够以三种不同途径被执行1. 服务者应用程序接收身份及令牌和/或输入装置的状态以确定URL或应用程序来运行。
2. 客户应用程序或浏览器接收令牌和/或输入装置的状态以确定URL或应用程序来运行。
3. TD保留URLs列表。根据令牌和/或输入装置的状态TD发送不同的URLs给浏览器。
总之,本发明提供一种便捷的装置和方法用于个人数据的管理,满足灵活性和私密性,能使信息在多个位置之间被运载且当需要时物理保持信息于一个安全的地点。
图1是按照本发明一张交易卡脱离部分的正视图;图2是表示按照图1在与一个网络中服务提供者通信的交易卡的概略示图;图3表示按照本发明的一张交易卡底板上的第一层印刷且包括电容导体片;图4表示底板第一层上的第二层印刷且包括一个绝缘片;图5表示底板第二层上的第三层印刷且包括电路;图6是按照本发明的交易终端的功能框图;图7是按照本发明的交易装置的功能框图;图8是按照本发明包括交易终端和交易装置的系统的方框和电路图;图9概略描述按照本发明的装置的组件;图10图解表示按照本发明在与个人计算机通信中的装置;图11表示装置的非易失性存储器一部分的数据库目录表达;图12表示说明图4所示数据区域的目录;图13表示装置及服务提供者存储器另一部分的目录表达;和图14表示按照本发明结合到包装里的装置,具有输入装置且适用于同服务提供者通信。
具体实施例方式
按照本发明一个移动的低成本电子令牌装置的优选实施例表示在图1至5中。
尽管该装置能够实现为实际上具有任何形状的物体,诸如标记卡、卡片盒或CD封套,一种传统的标准格式为具有集成电路的ISO7811信用卡形状。卡片10可随意地具有电磁条(未示出)和浮雕文本区域以作为传统的信用卡被批准使用。
如图1显见,卡片10优选地由三层薄片12、18、24构成,更适宜地为聚酯塑料材料且具有0.8mm的组合厚度,即传统信用卡的厚度。
在优选实施例中卡片具有包括键盘14的输入装置、包括集成电路(IC)50的数据存储和处理装置,以及包括电容性收发机或双向发射机38的收发机/能量提供装置,这些部分示于图6至9中。当输入装置被表示且描述为键盘时,它可以是生物统计学传感器,诸如指纹阅读器(未示出)。尽管已建立了所谓“智能卡”标准,其中到主计算机接口的连接使用电流连接,在优选实施例中使用电容性接口。通过使用电容性接口,该卡片能够被用户以无传感部分进行密封,其中对传统的智能卡而言,接触垫的机械降级、尘土、油脂和侵蚀是主要障碍。
键盘14,其适宜位于卡片前面的上部,具有用于手动输入的12个键,数字0-9和“键入”及“清除”命令。键盘14更适宜为嵌入卡片10的薄膜型键盘。更好地,顶层12的薄弹性聚酯塑料材料,在其前面具有印刷键符号,构成键盘键薄膜。在顶层12的内底面印刷有电导开关垫16。中间层18构成为具有开关垫16的寄存器中的圆形凹进20且还具有包容IC 50的矩形凹进22的间隔层。底层24具有最上部的印刷电路层26(亦见图4)包括开关垫16的寄存器中的开关区域28和圆形凹进20。排列成当卡片持有者按压键盘14上的键时,对应的电导开关垫16桥接由对应凹进22形成的0.5mm的间隔并接触寄存开关区域28。对应的电路32,其通常被开关区域28中彼此凸进的导体30的密集图案所切断,因此闭合。每一电路32通过连接接口54的印刷连接器片被连接到IC 50。
如上所述,印刷电路层26形成底层24中的顶层。如图5和6所示,底层24具有两个在下面的另外的印刷层,即印刷电绝缘介质层34和印刷电容性底层36。底层36,其形成后面将要描述的一部分电容性收发机38(图9),包含三个通过印刷连接器片46、47、48电连接到IC 50的电容片40、42、44。当顶部电路层26被印刷在绝缘介质层34上时这些被依次连接到连接接口54的连接器片56、57、58(图4)。
以本领域公知且后面要描述的方式,IC 50具有数据存储、处理和输入/输出装置,用于特殊目的并用作交易设备卡。
图2表示备用的交易卡10,置于包含以读卡机60形式的电容性接近收发机的卡接口(CI)上。
读卡机60具有卡接收表面62,在其上卡10被置为与请求者或服务提供者(SP)72通信,其依次能够通过以电缆66连接到读卡机60的网络70和交易终端(TT)68与读卡机通信。所示读卡机60还具有显示器64,用于在通信过程中提示必需的动作。SP 72的数据库74存储能被用在按照本发明大量装置10的通信中的信息。
TT 68和SP间的连接可以是连续的或间歇的。TT 68能被特别设计用于标准个人计算机包括便携计算机、PDA(个人数字辅助器)或蜂窝电话,装配有阅读器或阅读接口60。
读卡机60的收发机能够与卡双向通信。读卡机60被表示为独立装置但也可以是TT 68的构成部分(未示出)。
卡能够使用读卡机60执行数据交换。如上所述,在优选实施例中数据交换由无线装置使用接近电容性数据传输和后面要描述的卡供电来执行。
图6和7分别表示读卡机60和卡/装置10的概略功能配置,而图8表示组合系统的特定部件。
如图8所示,当卡10位于接收表面62上(图2)时,卡10的电容片40、42、44将对准朝向片40、42、44附近的相应的电容片40b、42b、44b。卡10和读卡机60于是形成电容性电路,能够提供电源给卡10的电路且在卡10和读卡机60之间交换数字数据如下在下面的描述中读卡机被看作外部主机单元60,共享被看作客机单元的卡10附近的电容性接口并包括通过接口126连接的集成电路50。三对传导区域40-40b、42-42b和44-44b形成公用电容性接口。
当交易终端68是个人计算机时,它典型地装配有标准V.24/V.28接口。交易终端68还装配有所有权软件驱动器(未示出)以控制主机单元60的数据流。根据期望的功能,这个驱动器可以是安装的驱动器模块或应用程序的一部分。
CCITT V.24/V.28电规范规定了在一定负载的最小电压输出摆幅。即使规范自身未规定附加装置可以从接口供电,只要规定的最大负载未超出,外部电源的独立是有益的。不希望将额外的负载增加到串行端口或者串行端口自身没有完全遵守规定于规范中的驱动器需求,外部电源可被用于AC/DC适配器或包括在主机单元中的电池。若需要,一个接口控制信号可用来控制主机单元60的电源,其中一个状态为低电源、标准条件且另一个为活动的、满电源状态。
主机单元60的主要电路可实现如下主机单元60被设计成连接到标准V.24/V.28串行端口,其中输出RTS和DTR的电压电平由接口软件编程为高电平,从而提供正电压给电路元件。接收数据输入(RXD)在负电平具有标记电平,从而提供负电压给电平移位器98。另外的储能电路和平滑电容器82、96被提供且可以电压稳定元件被补充,诸如平行齐纳二极管(未示出)。
电平移位器84提供输入电压的移位给主机单元,并当输入为标记电平,即非活动时提供逻辑高输出。一个振荡器施密特触发器NAND电路86于是通过位于施密特触发器88输出上的包含电阻90、电感92和电容94的LC谐振电路主要在一个频率组振荡。这一谐振电路提供传导区域42b上的载波输出。通过抵抗反馈这一设计提供了谐振电路的自动调谐以操作于它的峰值输出振幅,相对独立于42b的复杂阻抗负载。通过选择CMOS/HCMOS施密特触发器88,抵抗反馈的值能够保持高以减少谐振电路的负载。使用HCMOS装置的其他好处包括低操作电源、低输出阻抗、干线到干线(rail-to-rail)输出摆动和输入保护二极管,从而以最小设计复杂度提供谐振电路的高输出摆幅。
当间隔电平位于电平移位器84的输入上时,逻辑低输出禁止振荡器功能,因此谐振电路的输出衰落并且DC电平位于终端42b上。当串行数据流在电平移位器84的输入上被接收时,谐振电路的输出会提供脉冲调制载波,其随后被电容性耦合到便携装置。
客机单元10具有高输入阻抗且在下文交易设备接口的详细描述中被进一步说明。
相应地,当电容接口板40和42/44被置于接近对应的板40b、42b和44b时,由板40-40b、42-42b和44-44b形成电容器。实际的电容器值主要由板的大小、板间距离和它们之间的介质材料给定。
其中板42和44连接在一起的设计意味着耦合于板42b和44b间的减少的杂散电容。另一好处是便携装置是均衡的,即它能够在不损失功能的情况下以180°的幅度被旋转。
第一闭合电容环路跟随主机单元60中谐振电路的输出而形成,通过板42b-42到客机单元10,通过具有四个二极管122的整流桥路120,通过包括电容器116和电阻118的平行阻抗电路,且通过板40-40b返回到主机单元60的接地端。
第二闭合电容环路跟随主机单元60中谐振电路的输出而形成,通过板42b-42、44-44b并通过输入二极管106和电阻102向下至主机单元60的接地端。
当主机单元60中的振荡器电路16有效时,第一电容环路感应客机单元10中终端RX上的一个电压。通过可选择的峰值保持二极管和储能电容器(未示出),一个低电流电路于是能被在客机单元10中供电,在不严重影响主机单元60和客机单元10之间的信号传送的情况下。
当振荡器88被来自交易终端68的数据流调制时,一个对应的解调输出形成于客机单元10的终端RX。通过可选择的电压限幅器和RX上的施密特触发器(未示出),一个干净的解调信号能够被客机单元10中的集成电路50直接处理。
客机单元10进一步包含一个平行连接到阻抗电路114的晶体管112。通过控制来自客机单元10中TX终端的晶体管112,数字数据信息能够从客机单元10被传送回主机单元60。当晶体管112导电时,板42上的输入通过板40-40b被有效地短路接地,从而衰减耦合到板44b的板44上的电压。连接到主机单元60电平移位器98的输入网络中滤波载波的静止耦合于是被衰减。输入到电平移位器98的适当选择的门限值与滞后现象一起进行从容机单元10到交易终端68传送的信息解调。
在从主机单元60到客机单元10的供电传输示例中,不希望NRZ(Non-Return to Zero,不归零)调制数据禁止客机单元RX终端上的电压。通过施行本领域熟知的不同的调制方案,诸如PPI、FM或Manchester(曼彻斯特),空闲时间能够被减少,从而使客机单元10中有更多连续电压。
这一优选实施例具有便宜、容易实施、电抗元件非严格需要的自调谐设计。具有理想值大约±10%的较差容忍度的元件可用在系统中并在低成本可广泛获得。由客机单元10形成的电容性负载以及不同的杂散电容只是轻微地移动了振荡器中心频率,未严重影响输出振幅。
当主机单元60操作于低电源时,它能够直接从接口信号被供电,从而消除了外部电源的需要,诸如由AC适配器或一组电池供电。
客机单元操作于实际上零静止电流,不损害任何时间接收数据的能力。
返回图2,按照本发明的令牌装置(TD)10被表示为通过诸如因特网的数据网络70与服务提供者72通信。
从功能上讲,装置10也能被看作包含构成为图9所示操作地互连块的概略图中的主要元件。在这一实施例中装置10具有合并数据处理装置130和非易失性存储装置132的集成电路50。
如前所述,集成电路50能够由接口耦合装置36通过信号调节装置136发送到且从服务提供者72接收信息。装置10元件的电能通过电压稳定装置138提供。电能源可以是层压在卡中的薄单元电池。但是,电能更适宜地通过接口耦合装置36从读卡机30传送到装置10。
在优选实施例中接口耦合装置24包括合并了前述接近电容性收发机的无线收发机装置。与装置10通信的读卡机30具有能够发送到且从装置10接收数字信息的对应接口60(图8)。
对于这一类型的双向收发机接口的接近描述,参照申请人的未决美国专利,题为“System for bi-directional transfer of electric signals(用于电信号双向传送的系统)”(申请号09/507,089)。
在图10所示实施例中,阅读器接口60通过诸如串行电缆66的电缆连接到个人计算机68,并可以方便地位于靠近鼠标垫140的顶部表面。当按照本发明的形状为信用卡的装置10被置于阅读器接口60上时,其立即准备与交易终端/个人计算机68中的应用程序通信。
当用户接收装置10时,该装置准备私人化并且存储器132被以唯一的识别码预编程。
驱动器程序包可获得为驻存程序或到因特网浏览器的插件模块,允许请求特殊的存储标记以被检索返回主应用服务器。
存储在非易失性存储器16中的信息在一个记录结构中被组织,其中每一记录被划分为数据区域。每一记录由唯一的记录标识符,ID所识别,其被指定用于每一记录的访问。
每一记录的中心部分是数据,其含义依赖于ID。为建立不同应用程序和TDs之间的协同工作,一个权限定义了一定范围IDs的含义。在开放环境中,其中某些IDs的含义被清楚地定义且可获得,应用程序可以从一个TD检索信息并得到期望的数据,不必进一步得知TD的目的及发布者。
为了清楚识别每个唯一发布的TD,一个权限必须定义保持唯一标识符的ID。那个记录必须在TD制造时被存储且在TD寿命中不得改变。
存储器132具有存储位置,用于按照图11和13所示列表存储记录作为数据的结构集合。如图12所示,每一记录代表一块信息或数据并包括管理访问这些数据的属性。更明确地,访问归于管理限制是否其中存储的信息可由重写法读取或更改。在图11的列表中,代表装置的全球唯一识别码的位置的标签0能被不加限制地读取。另一方面,标签1-4能够仅被确认读取,或者通过按压OK键(标签1、2)或者通过在键盘上输入四个数字的PIN码(标签3、4)。关于重写法,由标签0-2标记的存储位置一旦被输入则不能更改,而由标签3、4标记的存储位置可以只被持有者更改。
TD中的信息在记录结构中被组织,其中每一记录定义为身份区域唯一地识别存储阵列中的记录。
数据与记录相关联的数据。数据区域的确切含义由ID定义。
读属性控制记录的读访问。
写属性控制记录的写访问。
分别管理访问许可读和写访问的属性,其中属性被类型和访问计数器定义,定义如下类型,其为下列之一禁止访问被禁止。
自由记录能被不加限制地访问。
确认访问必须使用输入装置,典型地为OK按钮来确认。
识别若TD持有者使用输入装置,典型地为PIN码输入,其中不同类型可用于码长度或不同码,用个人签名识别自身,则访问被允许。
访问计数器预置计数器,其在每一有效访问之后被消耗一个。当计数器达到零时,进一步的记录访问被禁止。
外部的主机应用程序能够通过指定IDs目录请求访问TD中的记录。根据安全属性,另外的用户鉴别可以使用输入装置被需求。若请求被肯定地确认,在读访问的情况中,信息于是被传送回主机应用程序。在写访问的情况中,信息于是被从主机应用程序请求。
通过引入概念“端点鉴别”,所有TD中读或写信息的请求在相同的物理装置中有效。这意味着没有不期望的“无效”数据访问能够在用户未确认它的情况下被执行。而且,由于TD被从主计算机物理地分隔,没有欺骗性地截取访问码是可能的。
以下表示在图11中的示例,一个示例性话路可执行如下1.质询客户和TD关于标签ID0。由于读属性被设定为“OK”,数据“2810034712113021”在没有用户干预的情况下被传回到服务器应用程序。
2.服务器应用程序发现被请求的ID不在数据库中,所以另一关于标签1和2的请求被传回到TD。由于属性被设定为ReqACK,客户浏览器显示对话,指示“服务器应用程序意图检索你的名和姓。若你接受这一请求则确认。”若用户通过按压TD上的“OK”按钮确认请求,则数据“John”和“Smith”都被传回到服务器应用程序。
3.现在,假定用户已进行与服务提供者的对话并愿意得到关于未来产品的信息。服务器应用程序于是从TD请求标签4。由于属性被设定为“请求PIN”,浏览器显示对话,指示“服务器应用程序意图检索你的电子邮件地址。键入你的PIN以接受这一请求。”若用户确认该请求,则数据“joe@hotmail.com”被传回到服务器应用程序。
下次用户在因特网上留意相同的URL(统一资源定位器),数据库中的查找发现唯一的标识符且能够自动地重新定向用户至一个合适的位置,诸如个人主页。
当多个标签被请求时另一选项为用户可以确认或拒绝将被返回到服务器应用程序的每一单独的标签。“对所有都OK”或者“对剩下的OK”选项可以提供额外的便利给用户。
为进一步保护用户的隐私权,TD的存储能力能够用来存储TD上的个人设定,取代保留它在中心数据库中。用户一直负责控制任何相应地通过设定访问属性尝试以从TD检索或更改数据。用户能够在任何时间删除关联于特殊地点或服务的TD中的所有记录。
很多国家的法律要求不预订服务的选项,而所有链接到特殊用户的记录被移除。过程容易实施,其中使用全球唯一的标识符。
一个另外的独立软件应用程序可以被提供来安装在主计算机上以支持容易的观察存储信息并且,当适用时,执行关于标签数据和属性的基本操作。一个备份和复原实用程序也可被提供以在磁盘存储器和TD之间移动信息。
在图13表示的示例中,非易失性存储器中有存储的六个预定义键。这些键的两个已被使用。TD保留与那些存储在SP数据库中相同键值的图像。
下面这一示例,交易能够被执行如下1.SP请求ID,即对应于图12中标签ID 0的数据,从而识别数据库中的SP图像以用于交易过程。
2.SP请求下一键未使用值,指定指数258。
3.TD从主计算机显示器68或读卡机60提示用户由装置10的键盘输入PIN。
4.TD传送值6210CBD4回到SP且标记指数258来使用。
5.SP接收键值并将它与存储在本地图像中的值比较。指数值于是被标记使用。
另一表示在图13中的交易能够执行如下1.SP请求期望动作的鉴别。
2.TD搜索第一未使用值,其为258。
3.TD提示用户由键盘输入PIN。
4.TD传送ID,指数258和值6210CBD4回到SP。
5.SP使用ID和指数258一起确定是否键值是可信的。
预存储键的有限数量能够被用来使时间或使用限制方案能够操作,诸如在使用机会的预定数量之后指定的服务期满。
装置10优选地由“信任的伙伴”发布,比较于提供网络接口板的当前信任的伙伴,其中每一个也具有全球唯一的识别码。当TD被发布时,用户被提示改变PIN,从而标记只被TD持有者知道的可用访问码。一般通用的方法是若多于三个连续的无效PINs被输入则可以执行永久地阻塞TD。
除制造工厂编程的身份ID外,TDs可被装载空白并在以后卡的寿命循环中被编程。TD权限可定义某些IDs的写属性为“写一次”,于是意味着数据只能够被写一次。
本发明的键特征为不存在使用外部接口检索或修改PIN的途径。这表示即使存在关于TD的PIN的欺骗性知识,也决不可能在没有物理TD的情况下从TD远程检索信息。从TD检索信息的欺骗途径中有效TD持有者的可能性当然能够被防止。
由于系统的安全性和完整性不必依赖于技术和算法的某些部分被严格保密,能够期望发展三方驱动器,包括欺骗者,并且从应用程序的角度,动作象是被连接的物理TD,必须有限制检索或写入真实信息的安全途径。
一个选项是使用每一从中检索或写入到卡的记录的数字签名,其中预定记录的数据被用作数字签名算法的操作者。
另一选项是预定义挑战-响应ID,当被挑战时,产生一个离开TD的信息的数字签名。
TD权限定义了IDs的有限范围,其中当被象TD存在、TD移除和启动输入装置这样的事件触发时,数据自动传送到主机应用程序。根据驱动程序,这能够被用来自动地引发主机应用程序的运行,诸如字处理程序或因特网浏览器。而且,从TD经过的数据可包括额外的应用参数,诸如文件说明符或目标URL,将被用于导航,从而产生一个交互式导航装置。
在图14所示实施例中,装置10″被集成到诸如纸板盒的包装11中。纸板盒结构具有用户输入装置15,其具有压力传感区域17用于由用户通过信号线13向装置10″发送按压信号。压力传感区域17具有在过程中导引用户的印刷符号或字符(未示出)。交易终端阅读器接口60在此例中被嵌入接近桌面140′的表面,例如在包装分配终端。
在图10所示的可替换实施例中,装置10′被集成到软件CD包装11′中,其能够被置于电容性阅读器接口60上。电容性接口60被连接到个人计算机68的串行端口。电容性接口可替换地为小型装置,诸如图2所示接口60具有匹配于装置10物理形状的一个空腔。
一个安装的软件驱动器或浏览器插件提供逻辑以从卡存储器检索数据并将其传送给应用程序,若需要则提供另外的步骤。
在此实施例中,TD中的存储器能够由TD发布者固定、预编程或者可由TD所有者使用独立的支持应用程序自由编程。
在它的最基本形式中,将装置10置于电容性接口上的动作自动地引发导航至存储在存储器中的预定URL。若因特网浏览器是非活动的,则软件驱动器首先运行合适的浏览器应用程序。
在一个加强形式中,卡装配有如前所述的薄膜键,其中每一键或每一键序列被链接到存储于存储器中的特殊URL。这提供给移动用户一个解决办法以快速地访问经常存储在桌面上且可从因特网浏览器访问的“个人喜好”。
若ISO7811物理限制没有施行,TD能够被自由地集成到简易的塑料片、纸张或纸板中,从而打开集成技术到产品包装的区域,或者整体,作为撕下的部分或者作为内藏的印刷“活动单据”。
卖主于是能够展开同顾客的对话,由此将产品包装置于接口上,顾客被自动地导向合适的产品页,其中产品登记、支持信息和额外的提示可被获得。应用程序可包括音乐CD封套、软件包装、计算机硬件等。
一个另外的特征是在特定位置从服务器应用程序编程地更改URL,从而在发生某些事件之后允许不同的导航程序,诸如在成功下载之后或在识别程序完成之后。
通过提供装置中的电子传感器(未示出),诸如当包装打开时中断的电路元件,不同的导航方案能够被建立,从而根据产品的物理状态自动地导引用户至不同位置。
权利要求
1.一种电子移动信息存储和通信装置包括操作相连的电能提供装置、数据输入装置、数据处理装置、数据存储非易失性存储装置和无线数据收发机装置;所述存储装置具有一定数量的可编程存储位置,用于存储关于装置持有者数据的记录;和所述收发机装置适用于当该装置被置于操作地接近主计算机收发机接口时,基于由所述持有者通过使用所述输入装置输入一个有效输入的确认,对主计算机自动建立至所述存储于所述存储装置的记录的预定选择的双向访问。
2.如权利要求1的装置,其中所述输入装置是一个键盘且所述有效输入包含按压所述键盘的至少一个键。
3.如权利要求1的装置,其中所述有效输入是一个识别输入,所述访问只在所述识别输入等于存储在所述存储装置中的参考识别时被建立,并且所述参考识别由一个外部请求而成为不可访问。
4.如权利要求3的装置,其中所述参考识别在装置制造时被初始编程且此后可更改,每一更改由至少一个有效参考输入进行。
5.如权利要求1的装置,其中每一所述存储位置保持控制从存储在所述存储位置的记录的所述选择中检索信息的属性。
6.如权利要求5的装置,其中所述存储位置中某些记录的数据被用作输入参数至一个算法操作,所述操作操作于包括在所述记录选择中的数据,操作结果除包括在所述选择中的数据外被传送回所述主计算机,并且所述结果被主计算机用来确定是否检索的信息是可信的。
7.如权利要求1的装置,其中每一所述存储位置保持控制存储在所述存储位置的记录的所述选择中信息的修改的属性。
8.如权利要求7的装置,其中所述存储位置中某些记录用于结合参考值,作为至可信操作的输入参数,所述操作操作于包括在所述记录的选择中的数据,所述参考值与所述可信操作的结果相比较以确定是否请求修改信息被装置接受为可信的。
9.如权利要求1的装置,其中所述存储位置保持一个预置计数器,所述计数器由每一从所述存储位置的数据的有效检索逐一缩减,所述计数器,根据达到零被用于永久地禁止进一步尝试从所述存储位置检索数据。
10.如权利要求1的装置,其中所述存储位置保持一个预置计数器,所述计数器由每一从所述存储位置的数据的有效修改逐一缩减,所述计数器,根据达到零被用于永久地禁止进一步尝试修改所述存储位置的内容。
11.如权利要求1的装置,其中所述记录之一包括一个全球唯一的识别码,在装置被提供给持有者之前由信任的装置制造者编程,并且此后不可被持有者和所述请求再编程。
12.如权利要求1的装置,其中所述记录包括一定数量的密码,每一密码批准对从所述主计算机请求所述码的持有者的一个服务,所述主计算机保持所述码的一个等同图像,并且每个码只可用于有限数量次。
13.如权利要求12的装置,其中所述服务包括通过所述主计算机可传送外部信息给该装置。
14.如权利要求12的装置,其中所述密码用来产生适于所述外部信息的数字签名。
15.如权利要求12的装置,其中所述密码用来加密所述外部信息。
16.如权利要求1的装置,其中所述记录包括传送到连接计算机的信息,用于当该装置被从所述操作地接近收发机接口移除时改变其操作环境。
17.如权利要求1的装置,其中所述记录包括传送到所述主计算机的信息,用于当该装置被从所述操作地接近收发机接口移除时改变其操作环境。
18.一种使用电子移动信息存储和通信装置的通信方法,该装置包括操作相连的电能提供装置、数据输入装置、数据处理装置、数据存储非易失性存储装置和无线数据收发机装置,所述数据存储装置具有一定数量的存储关于装置持有者数据的记录的可编程存储位置,该装置被置于操作地接近主计算机的无线数据收发机接口,包含由所述主计算机请求访问所述记录的一个选择;和由所述持有者使用所述输入装置仅基于一个确认通信访问所述选择。
全文摘要
一种电子移动数据通信装置用于存储关于装置持有者的信息并通过主计算机与数据网络中的请求者通信这一信息。该装置包含操作相连的电能提供装置、数据输入装置、数据处理装置、数据存储非易失性存储装置和数据收发机装置。数据存储装置具有一定数量的可编程存储位置用于存储通信信息作为数据的一个结构集合。基于持有者的确认,收发机装置适于自动传送选择的数据块给请求者。
文档编号G06Q20/00GK1440525SQ01812220
公开日2003年9月3日 申请日期2001年5月17日 优先权日2000年5月19日
发明者雅各布·埃伦斯韦尔德 申请人:西帕克公司