专利名称:借助便携式数据载体执行应用程序的方法
技术领域:
本发明涉及一种借助便携式数据载体执行应用程序的方法。
背景技术:
当防操纵地(manipulationssicher)构造便携式数据载体时,借助便携式数 据载体可以在执行应用程序时保证针对操纵(Manipulation )的高安全性。这例 如对进行非现金交易的应用程序中具有重要意义。然而只有当在便携式数据载 体中执行应用程序时,才保证操纵保护。
但是对于应用程序的执行来说在许多情况下除了便携式数据载体还需要 外部设备。如果是操纵保护(manipulationsgeschiitzt)的设备,例如安全性级别 高的读卡器,通常这不会导致安全性问题。但是常常采用无操纵保护或者仅仅 不充足保护的设备,例如个人计算机。此外为了能够与远程设置的服务器进行 交易需要在线连接,例如经过因特网。由此存在通过病毒或木马操纵的风险。 例如通过这些操纵可以改动在个人计算机的屏幕上显示的数据。在家庭银行应 用中会导致,显示的交易数据与实际的交易数据不同并且由此使用户实际上允 许了另 一 个不是按照所显示的数据而打算的交易。
防御这样的进攻的可能性在于,在便携式数据载体中集成显示单元和确认 装置。由WO2004/032414A1中公知一种用于通过用户数字地签名数据的方法。 在此将要签名的数据传输到用作签名设备的芯片卡。由芯片卡将数据显示给用 户。通过由用户操作确认装置借助处理器数字地签名数据。
由DE102004046847A1公知一种通过用户借助便携式数据载体产生用于待 签名的数据的数字签名的方法。在该方法中在服务器中确定用于待签名的数据 的识别数据并且与比较数据比较。在服务器中确定对待签名数据的选择并且显 示给用户。当在显示步骤之后通过用户来允许产生签名时,在便携式数据载体 中产生签名。该显示例如在便携式数据载体的或者操纵保护的终端设备的显示 单元上进行。同样还可以为显示使用移动终端设备,由服务器将显示数据和/或识别数据传输到该终端设备。
然而具有显示装置的便携式数据载体、例如芯片卡的成本相对高。操纵保 护的终端设备同样是相对费事和昂贵的并且对于要求低成本基础设施的应用程 序来说不太适合。
WO2006/029758A1公开了 一种用于允许在计算机网络中或者经过计算机 网络的访问的方法,终端设备至少暂时连接到该计算机网络上。终端设备例如 是个人计算机、电话或者个人数字助手。在该公知的方法中,建立在终端设备 和用于提供访问数据的便携式设备、例如芯片卡或标记卡(Token)之间的数据 连接。便携式设备被连接在终端设备和计算机网络之间的通信路径中。借助访 问数据启动访问的允许。
发明内容
本发明要解决的技术问题是,在借助便携式数据载体执行应用程序时,外 部设备参与该应用程序的执行,用合理的花费实现尽可能良好的针对操纵的保 护。
上述技术问题通过一种具有权利要求1特征部分的方法解决。
本发明的基本思想是要提高安全性,其中便携式数据载体使用两个不同的 数据通道,以便借助第 一数据通道至少部分地执行应用程序并经过第二数据通 道提供用于执行的应用程序的特征数据。特征数据是为了显示给用户而设置的。 应用程序的另 一部分在通过用户允许之后才执行。
本发明具有如下优点,在执行应用程序时可以实现针对操纵的良好保护, 因为对于应用程序的第二部分的执行要求通过用户允许。用户根据特征数据可 以确定,是否存在操纵并在必要时拒绝允许。
优选用应用程序的第 一部分提供的特征数据来执行应用程序的第二部分。 由此用户可以有效地进行控制。
便携式数据载体可以使用两个不同的接口作为两个数据通道。要对应用程 序的执行成功进攻的话进攻者必须:燥纵两个接口 。
应用程序的部分的第二功能对话。要对应用程序的执行成功进攻的话进攻者必 须并行地操纵该第二功能。第二功能优选是外部设备的标准功能、例如SIM工 具包的预激活(proaktive)命令。特别具有优势的是,第二功能、如在预激活
6命令(DISPLAYTEXT和GETINKEY)的情况下,可以由便携式数据载体来控 制。
第二接口可以将便携式数据载体特别是还与第二外部设备相连。要对应用 程序的执行成功进攻的话进攻者必须操纵两个外部设备。
在借助便携式数据载体执行应用程序的方法的一种这样的变形中,经过便 携式数据载体的第一接口形成与第一外部设备的数据连接。在接入第一外部设 备的条件下执行应用程序的第 一部分。经过便携式数据载体的第二接口形成与 第二外部设备的数据连接。执行应用程序的第一部分时提供的特征数据由便携 式数据载体经过第二接口传输到第二外部设备。应用程序的第二部分只有在通 过用户允许之后才执行。
特别具有优势的是,将特征数据至少部分地显示在第二外部设备的显示装 置上。以这种方式用户可以访问特征数据。
可以通过操作第一外部设备的输入装置或者第二外部设备的输入装置来 启动允许。为了实现特别高的安全级别可以向第一外部设备或者第二外部设备 输入允许数据。作为允许数据特别是可以输入显示在第二外部设备的显示装置 上的数据。
在按照本发明的方法的范围内,可以由第 一外部设备经过便携式数据载体 的第 一接口或者由第二外部设备经过便携式数据载体的第二接口将允许信息传 输到便携式数据载体。在此特别具有优势的是,允许信息至少部分地包含允许 数据。然后允许数据可以在便携式数据载体中被用于进一步处理。特别是可以 将允许信息与特征数据进行匹配,使得对应用程序的第二部分的允许只有在应 用程序的第二部分是基于特征数据执行的时候才有效。这具有如下优点,可以 防止对于允许的操纵,因为允许信息仅允许应用程序的期望的执行而不允许其 它的执行。允许信息例如可以通过密码关系与特征数据相关联。
应用程序例如可以是用于执行非现金支付往来的交易的应用程序。在此特 征数据可以是表征交易的数据,例如待交易的金额、银行连接等。在应用程序 的第一部分的范围内可以将表征交易的数据从第一外部设备传输到便携式数据 载体。在应用程序的第二部分的范围内,可以将表征交易的数据从便携式数据 载体经过网络、特别是因特网传输到服务器。
经过便携式数据载体的第 一接口的数据连接例如可以通过触碰的接触构 成。经过便携式数据载体的第二接口的数据连接优选可以无接触地构成。这具有如下优点,可以无需附加的基础设施来建立经过第二接口的数据连接并且通 过该附加的数据连接不会使得处理变得困难。
作为第一外部设备可以采用计算机、特别是个人计算机。个人计算机被广 泛使用,从而适合于大量应用于按照本发明的方法。作为第二外部设备可以采 用移动电话或者读卡器。移动电话的采用具有如下优点,按照本发明的方法的 潜在用户的大多数都拥有移动电话。另一个优点是,移动电话通常由其持有者 小心地保管并且通过密码保护。这使得移动电话通常由其持有者视作为值得信 任的设备。
作为便携式数据载体优选采用芯片卡或者标记卡。它们可低成本地获得、 可以由使用者轻便携带并且满足高的安全性标准。
以下结合在附图中示出的实施例解释本发明。
图1示出了实施按照本发明方法的装置的示意性框图。
具体实施例方式
图1示出了可用来实施按照本发明的方法的装置的示意性框图。示出作为
便携式数据载体的实施例的芯片卡1、'个人计算机2、移动电话3和服务器4。
其中没有分别详细示出该装置的结构,而是仅示出对于按照本发明的方法的描 述而考虑的功能组件。
代替芯片卡1例如还可以类似地设置标记卡等。移动电话3例如可以通过
读卡器代替。
作为芯片卡1的功能组件示出了第一接口 5和第二接口 6。接口 5和6是 未图形示出的集成的电路组成部分,该电路还具有其它未图形示出的功能组件。 第一接口 5例如被构造为有接触接口,其中通过碰触地接触芯片卡的未示出的 接触区域可以进行与芯片卡1的通信。芯片卡1的第二接口 6可以是无接触接 口 (例如是NFC接口),该无接触接口可以与通信伙伴没有电连接地与芯片卡 1进行通信。NFC在此表示近场通信并且表示借助磁交变场的短距离范围的数 据传输。
对于个人计算机2仅示出键盘7和浏览器8。作为移动电话3的功能组件 示出了显示器9和键盘块10。通过双箭头在图中示出了在对于按照本发明的方法感兴趣的功能组件之间的数据连接。如由图中得知的,经过芯片卡1的第一接口 5可以建立在芯片 卡1和个人计算机2的浏览器8之间的数据连接。此外经过芯片卡1的第一接 口 5还可以建立在芯片卡1和服务器4之间的数据连接。该数据连接经过个人 计算机2并经过个人计算机2连接于其上的网络11、例如因特网延伸。在芯片 卡1和浏览器8之间的通信和在芯片卡1和服务器4之间的通信分别可以经过 HTTPS协i义进行。经过芯片卡1的第二接口 6可以形成芯片卡1和移动电话3之间的数据连接。用在图中示出的装置例如可以进行家庭银行应用或者办理其它非现金支 付往来的交易。以下以家庭银行应用为例详细解释按照本发明的方法的流程。在传输步骤Sl中从浏览器8经过芯片卡1的第一接口 5将交易查询传输 到芯片卡1以发送到服务器4。由此交易请求不是从浏览器8直接传输到服务 器4,而是经过用作验证网关并且例如可以类似于代理服务器运行的芯片卡1。 交易查询例如从用户借助个人计算机2的键盘7输入的数据中产生,并且该数 据除了别的之外可以包含待传输的金额的说明、银行连接的说明等等。芯片卡1不是将交易查询直接转发到服务器4,而是首先在传输步骤S2中 经过其第二接口 6请求移动电话3允许交易。为此芯片卡1例如将交易数据完 全或扼要地传输到移动电话3。移动电话3在其显示器9上显示所传输的交易 数据,从而用户可以读取这些数据并且如果显示的交易数据与用户期望的交易 数据一致时,要求用户允许交易。例如可以通过在移动电话3的键盘块10上的 输入来进行该允许。相应地在传输步骤S3中将允许信息从移动电话3经过芯片卡1的第二接 口 6传输到芯片卡1。根据安全性要求可以设置,在获得正确的允许信息之后 签字和/或验证该交易查询。随后在传输步骤S4中将交易查询从芯片卡1经过 芯片卡1的接口5、个人计算机2和网络11传输到服务器4。服务器4执行该 交易并且在传输步骤S5中将执行信息经过网络11、个人计算机2和芯片卡1 的第 一接口 5传输到芯片卡1 。在传输步骤S6中芯片卡1将服务器4的执行信 息经过其第二接口 6传输到移动电话3以在显示器9上显示。作为替换,在步 骤S6,中芯片卡1可以将服务器4的执行信息经过其第 一接口 5传输到浏览器8。上面描述的工作方式基于如下假设移动电话3对于用户来说表示值得信任的设备并且由此用户可以从如下出发,即显示的交易数据与在芯片卡1中存 在的交易查询的实际交易数据相同。在按照本发明的方法的一种扩展中,在传输步骤S2之后在移动电话3的 显示器9上显示用于交易查询的交易号。该交易号使得该交易生效并且为了防 止操纵而通过由芯片卡1产生的数字签名与交易查询唯一地相关。为了允许该 交易,用户在移动电话3的键盘块10上或者在个人计算机2的键盘7上输入交 易号。在后一种情况下交易号例如从浏览器8经过芯片卡1的第一接口 5传输 到芯片卡1。对于交易号的输入不需要值得信任的输入设备,因为用交易号只能使得在 芯片卡l中刚刚存在的交易查询生效。对于与此相反例如由于操纵而修改过的 交易查询来说,该交易号无效。与所描述的工作方式不同,还可以弃用移动电话3而使用具有显示器的芯 片卡1。在这种情况下在芯片卡1的显示器上显示交易数据。用户检验交易数 据并在交易数据正确时允许交易。作为另一种实施方式,该方法不采用第二终端设备,而是仅采用到第一外 部终端设备的第二数据通道。以下作为用于这样的实施方式的例子描述一种系 统中的方法,该系统具有交易服务器、移动电话及其安全性模块(SIM卡)。用户在其移动设备上调用应用程序,该应用程序借助安全性模块和交易服 务器可以经过因特网进行交易。为此安全性模块优选作为http代理提供安全的 到交易服务器的因特网连接。在本例中安全性模块和移动设备之间的第一数据 通道可以通过安全性模块的ISO触点(C2、 C3和C7)来实现。但优选将安全 性模块的USB触点(C4、 C8)用作用于第一数据通道的接口。在第一数据通 道上通过TCP/IP层利用应用程序交换按照HTML格式的数据。作为第三数据 通道可以设置经过因特网的便携式数据载体与交易服务器的连接。可选地,安全性模块从交易服务器经过第四数据通道、优选以SMS的形 式经过移动无线网(按照规范ETSITS 31.115/116的Push SMS)获得对交易数 据的确认。经过第一数据通道确定的交易数据,借助在移动设备和安全性模块 之间的第二数据通道显示给用户用于允许交易。借助预激活命令DISPLAY TEXT (按照规范GSM 11.14)将交易数据显示在移动设备的显示器上。第二数 据通道可以经过另一个接口、另一个协议和/或其它功能引入到移动设备中。其 例如使用其它触点(C2、 C3和C7)作为第一数据通道(C4、 C8)。此外第二数据通道可以采用不同的传输协议(T=0或T=l USB )。经过第二数据通道数 据不再被传输到要保护的应用程序,而是被传输到优选是移动设备的标准功能 的其它功能。可选地,可以借助另一个预激活命令GET INKEY来请求允许经过第二数 据通道的交易。但作为替换还可以将用于交易的允许信号从移动设备经过第一 数据通道传输到安全性模块。由交易服务器经过第四数据通道获得的交易数据例如可以包含作为允许 信息的TAN(交易号),该TAN被借助第二数据通道显示给用户。用户可以将 显示的TAN输入到经过第一数据通道提供的HTML页面中,以允许交易。优 选将允许信息、如TAN,但是不是作为文本,而是作为图像显示给用户(预激 活命令DISPLAY IMAGE ),使得难以自动提取允许信息。交易的允许或者应用程序的继续执行的结果同样可以经过第三或者经过 第四数据通道传输到交易服务器,也就是例如作为HTML数据或者作为SMS。
权利要求
1.一种借助便携式数据载体(1)执行应用程序的方法,其中通过该便携式数据载体(1)的第一数据通道(5)构成与第一外部设备(2)的数据连接;在接入该第一外部设备(2)的条件下执行该应用程序的第一部分;通过该便携式数据载体(1)的第二数据通道(6)构成与该第一外部设备(2)或者与第二外部设备(3)的第二数据连接;从便携式数据载体(1)经过第二数据通道(6)传输在执行所述应用程序的第一部分时提供的特征数据,并且在通过用户允许之后执行所述应用程序的第二部分。
2. 根据权利要求1所述的方法,其中,所述第一数据通道通过便携式数据 载体的第 一接口提供并且所述第二数据通道通过所述便携式数据载体的第二接 口提供。
3. 根据权利要求1或2所述的方法,其中,将所述特征数据经过第二数据 通道传输到所述第一外部设备的、不是执行的应用程序的部分的第二功能。
4. 根据权利要求1或2所述的方法,其中,形成与所述第二外部设备(3 ) 的第二数据连接。
5. 根据权利要求1至4中任一项所述的方法,其特征在于,利用由所述应 用程序的第 一部分提供的特征数据来执行该应用程序的第二部分。
6. 根据上述权利要求中任一项所述的方法,其特征在于,将所述特征数据 至少部分地显示在第一或者第二外部设备(3)的显示装置(9)上。
7. 根据上述权利要求中任一项所述的方法,其特征在于,通过操作第一外 部设备(2 )的输入装置(7 )或者第二外部设备(3 )的输入装置(10 )来进行 所述允许。
8. 根据上述权利要求中任一项所述的方法,其特征在于,在所述第一外部 设备(2)或者第二外部设备(3)中输入允许数据。
9. 根据权利要求8所述的方法,其特征在于,作为允许数据输入在第二外 部设备(3)的显示装置(9)上显示的数据。
10. 根据上述权利要求中任一项所述的方法,其特征在于,由第一外部设备(2)经过便携式数据载体(1)的第一接口 (5)或者由第二外部设备(3) 经过所述便携式数据载体(1)的第二接口 (6)将允许信息传输到便携式数据 载体(1 )。
11. 根据权利要求IO所述的方法,其特征在于,所述允许信息至少部分地 包含所述允许数据。
12. 根据权利要求10或者11的方法,其特征在于,将所述允许信息与特 征数据进行匹配,使得对应用程序的第二部分的允许只有在该应用程序的第二部分是基于特征数据执行时才有效。
13. 根据权利要求10至12中任一项所述的方法,其特征在于,所述允许 信息通过密码关系与特征数据相关联。
14. 根据上述权利要求中任一项所述的方法,其特征在于,所述应用程序 是用于执行非现金支付往来的交易的应用程序。
15. 根据上述权利要求中任一项所述的方法,其特征在于,所述特征数据 表示表征交易的数据。
16. 根据权利要求15所述的方法,其特征在于,在所述应用程序的第一部 分的范围内将所述表征交易的数据从第 一外部设备(2 )传输到便携式数据载体(I) 。
17. 根据权利要求15或16所述的方法,其特征在于,在所述应用程序的 第二部分的范围内,将所述表征交易的数据从便携式数据载体(1)经过网络(II) 、特别是因特网传输到服务器(4)。
18. 根据上述权利要求中任一项所述的方法,其特征在于,通过触碰的接 触构成经过便携式数据载体的第一接口 (5)的数据连接。
19. 根据上述权利要求中任一项所述的方法,其特征在于,无接触地构成 经过便携式数据载体的第二接口 (6)的数据连接。
20. 根据上述权利要求中任一项所述的方法,其特征在于,作为第一外部 设备(2)采用计算机、特别是个人计算机。
21. 根据上述权利要求中任一项所述的方法,其特征在于,作为第二外部 设备(3)采用移动电话或者读卡器。
22. 根据上述权利要求中任一项所述的方法,其特征在于,作为便携式数 据载体(1 )采用芯片卡或标记卡。
23. —种便携式数据载体,特别是以芯片卡、安全性模块、安全海量存储卡或者标记卡形式的便携式数据载体,用于执行按照上述权利要求中任一项所 述的方法。
全文摘要
本发明涉及一种借助便携式数据载体(1)执行应用程序的方法。在按照本发明的方法中,经过便携式数据载体(1)的第一数据通道(5)构成与第一外部设备(2)的数据连接。在接入第一外部设备(2)的条件下执行应用程序的第一部分。经过便携式数据载体(1)的第二数据通道(6)构造与第一外部设备(2)或者与第二外部设备(3)的数据连接。从便携式数据载体(1)经过第二数据通道(6)将在执行该应用程序的第一部分时提供的特征数据传输到外部设备(3)。在通过用户允许之后执行该应用程序的第二部分。
文档编号G06Q20/00GK101558413SQ200780046505
公开日2009年10月14日 申请日期2007年10月15日 优先权日2006年10月16日
发明者斯蒂芬·斯皮茨, 沃尔特·欣兹 申请人:德国捷德有限公司