专利名称:数字式签署文件的方法、安全装置、系统及计算机程序产品的制作方法
技术领域:
本发明涉及ー种使用数字式签署文件的安全装置的方法。
背景技术:
个人计算机(PC)的安全问题使得它们不适用于许多功能,因为用户所输入的数据可能被攻击者操纵或复制。交易可能被改变成寄钱给不希望的接受者或订购不想要的商品,或者用户身份码可能被复制让攻击者得以访问系统,诸如用于网络银行的那些系统。为了解决部分的这些问题,用户信任的装置(亦即“安全装置”)可以与PC—起使用。一个此类解决方案IBM Zone TrustedInformation Channel (区块可信任信息通道)(参见 Thomas WeigolcUThorsten Kramp、Reto Hermann^ Frank hOΠIlg> Peter Buhler、 Michael Baentsch 等人在 P. Lipp、A. -R. Sadeghi 及 Κ. -Μ. Koch 所编辑 2008 年 LNCS 4968的TRUST 2008第75-91页所收录论文《苏黎世可信的信息通道——有效防御中间人攻击及恶意软件攻击〉〉CiTheZurich Trusted Information Channel-An Efficient DefenseagainstMan-in-the-Middle and Malicious Software Attacks”)”)在交易由服务提供者(例如银行)执行之前,允许用户验证有关交易(例如在网络银行情况下的金额及接受者)的信息。交易在安全井能够以安全的方式发送所验证信息至后端系统的装置上验证。此外,若可以有效并安全地实现安全数字文件签署,则该安全数字文件签署为未来最有意义的因特网应用之一,有潜力改进企业及个人用户的程序(速度、安全、效率)。基于PC或诸如智能型手机的类似装置的架构并不安全,因为用户在装置显示器上所见与最終所签署的文件可能不同。举例来说,在用户装置上的恶意有毒软件可以操纵显示什么,使得其看起来对于用户为可接受。因此,由PC或分离的签名装置任一者所签署的文件可能为不同,使得用于数字签署的任何此类架构价值有限。可以理解即使用户从装置打印文件,仍存在相同问题有毒软件可能改变发送至打印机的文件,使得其不同于在装置上将被签署的版本。因此,现有解决方案的问题在于,用户无法信任在不安全的装置的显示器上所显示内容。据此,有需要改进数字式签署文件的现有方法。
发明内容
根据其第一方面,本发明提供数字式签署文件的方法,包含如下步骤提供安全装置,该安全装置被保护防止恶意软件或有毒软件,并被适配为经由连接至电信网络的例如个人计算机或PC的主机而建立安全连接至接受者;该安全装置连接至終端机之后,存取在该安全装置从该终端机所接收的文件的内容;在该安全装置指示将所存取的内容通信至不同于该终端机的输出装置,使得所述内容能够由用户验证;在该安全装置核实所接收的用来数字式签署该文件的指令,并在该安全装置执行所核实的指令;以及-指示通过经由连接至电信网络的主机所建立的连接,发送数字式签署的文件给接受者。在具体实施例中,该方法可包含ー个或多个以下特征
-该方法可进ー步包含(该终端机为该主机)连接至该主机之后并在存取所接收的文件的内容之前,在该安全装置指示经由该主机在安全装置和服务器之间建立连接的步骤,并且通过所建立的连接接收文件;-经由主机所建立的连接为安全连接;-在核实的步骤中,所接收的指令为由用户在安全装置所输入的指令;并且在执行所核实的指令的步骤中,所执行的指令为由该安全装置所发出且对应于由用户所输入的指令的指令;-在核实的步骤中,该接收的指令为从或经由终端机所接收的指令,其中安全装置连接至该终端机;-接受者为服务器,并且在指示发送该数字式签署文件的步骤中,指示使用已与服务器建立的相同连接发送该数字式签署文件至该服务器;
-指示发送该数字式签署文件的步骤中,指示发送该数字式签署文件至接受者,该接受者不同于在该安全装置最初所接收的文件的来源;-输出装置为安全装置的显示器,并且指示将内容进行通信的步骤包含指示在安全装置的该显示器上显示该内容;-该输出装置为外部装置,该方法进ー步包括在安全装置和外部装置之间建立通信的步骤,并且其中指示将该内容进行通信的步骤包含将该内容通信至该外部装置;-该外部装置为投影仪(beamer);-该外部装置为打印机;-指示将该内容进行通信的步骤,包含指示使用安全蓝牙配对来将该内容进行通ィ目;-指示将该内容进行通信的步骤,包含指示使用通用串行总线(USB)协议来将该内容进行通信;以及-所建立的ー个或多个安全连接为互相认证的诸如TLS/SSL连接的连接。根据另一方面,本发明具体实施为具有处理手段、存储器及接ロ的安全装置,该安全装置被配置成与下列耦合或互动用户;终端机,诸如个人计算机或PC,以及接受者,当该安全装置连接至主机且主机被设置为通过电信网络与该接受者通信吋,该安全装置配置成建立安全连接,诸如经由主机与接受者的TLS/SSL连接,并且进ー步包含计算机化方法,该计算机化方法存储于存储器上并可由用于执行根据本发明的方法的所有步骤的处理手段执行。优选地,该接ロ进ー步包含ー显示器,该显示器适于至少部分显示所述内容。根据进一歩方面,本发明具体实施为一系统,其包含根据本发明的安全装置、个人计算机或PC;以及服务器。根据另一方面,本发明具体实施为包含执行过程的计算机程序产品,执行过程可由用于执行根据本发明具体实施例的方法的所有步骤的处理手段执行。现在将借由非限制示例并參照
具体实施本发明的方法、装置及系统。
图I为描绘出根据本发明的方法的高级具体实施例的步骤的流程图2为根据本发明具体实施例的与終端机及服务器耦合的安全装置的示意图,该安全装置用于启动值得信任的连接至服务器,且随后接收将被数字式签署的文件;以及图3为与外部装置耦合的图2安全装置的示意图,该安全装置用于对所接收文件的内容进行通信并允许用户验证前述内容。
具体实施例方式作为对于以下描述之前言,在本发明的总体方面首先指出关于数字式签署文件的方法。本方法提供基于安全装置(亦即信任的装置)的安全文件管理及签署操作。该安全装置被保护防止恶意软件并配置成通过终端机(例如PC)建立连接(例如互相认证的连接,诸如TLS/SSL连接)至任何适当的接受者/服务器。此安全装置能够用于安全存储及管理从该服务器或任何其它来源所接收的文件。该用户随后将通过其显示器或外部输出装置使该文件可见(visualize),以确保其为正确。该用户因此能够具有由该安全装置(或通过终端 机)所直接发布的数字签名。据此,可以确保所签署及发送的该文件完全如该用户所预期。更详细地,图I描绘出阐明该方法的具体实施例的流程图。图2为与终端机及服务器耦合的安全装置的示意图,该安全装置用于启动值得信任的连接至服务器,且随后接收将要数字式签署的文件,而图3示出与外部输出装置耦合的图2的安全装置,其用于对所接收该文件的内容进行通信。一井參照图1-3 :首先,该方法首要地使用安全装置10 (步骤S100),该安全装置10被保护防止恶意软件或有毒软件。在实务上,该安全装置没有用于软件安装或将其暴露于此类有毒软件的其它功能的客户端接ロ。此装置进ー步被配置成通过终端机30建立连接(且优选为安全连接,诸如互相认证的连接)至服务器及/或任何适当的来源,或者至接受者40。后者举例来说为连接至电信网络(诸如因特网)的PC。在此情况下,至服务器的适当类型的安全连接为TLS/SSL连接。该终端机或者可以为任何其它适当的来源,诸如个人数字助理或PDA (personal digitalassistant)。该安全装置在所有情况下可以适当连接至该终端机,诸如以接收接下来将要处理的文件。再者,该安全装置为装设有存储于其内存上的计算机化方法,其用于执行以下所说明的该方法的步骤。此装置的具体方面示于图2中。一般而言,该安全装置10具有与存储器耦合的处理手段(或运算手段)15,其包含永久及非永久存储器15’及15"。永久存储器存储例如以上所提出的计算机化方法,其将由前述处理手段执行。此外,该装置进ー步装设有至少ー个接ロ 20,例如USB接ロ,其用于与该终端机(即PC 30)或任何其它来源进行通信。在具体实施例中,相同的接ロ 20 (或另ー类型的接ロ)将进一歩允许该安全装置用干与外部装置诸如投影仪(beamer)、打印机或任何其它输出装置50进行通信。若有必要,该安全装置具有读卡器17以读取存储于存储卡16 (例如智能卡)上的用户身份码。根据此类数据,例如存储于该卡上的用户身份码,可以安全地作出适当的使用。尤其是,通过该终端机并使用此类数据,可以在用户(或严格来说为该装置)和第三方,例如服务器之间,建立值得信任的连接。在变形例中,该用户身份码可直接存储于安全装置上。其它接ロ(像是控制按钮18及显示器12)允许与用户I互动。该装置10将首先连接(步骤S200)至适当来源,诸如以便随后能够接收文件。如前述,此来源可以为任何类型的終端机,诸如PDA。又优选为,该终端机为主机,例如经由电信网络(例如因特网)可连接至服务器40的PC。该装置10随后可以调用存储于其上的计算机化方法,以触发至该服务器40的值得信任的连接(步骤S300)。举例来说,它可通过该終端机30经由不安全的连接92与该服务器建立安全通信91 (例如在解锁该卡吋)。使用如存储于该卡上的用户身份码,当经由该不安全的连接92 (例如通过启动SSL/TLS认证至该服务器)启动该通信91时,可以做到认证该装置至服务器。在此方面,设定与该服务器通信的该装置,可有利地包含从该装置起动常驻于该终端机的代理服务器客户端,以使该装置通过该终端机连接至该服务器(注意到该代理服务器亦可能常驻于该装置)。该代理服务器将从该装置所接收的比特中继至因特网,且反之亦然。通过从该装置启 动该SSL/TLS认证至该服务器可以达成认证该装置至该服务器,例如双向。在此方面,该存储器15〃可进ー步于其上已存储安全软件堆栈(stack),其包括加密技术算法,诸如用于该SSL/TLS认证的TLS引擎14。其进ー步可存储USB管理软件(实行USB大量存储装置或MSD配置文件(MSD profile) 20),以及可能如以上所提出预加载网络连接代理服务器。如前述,用户身份码可以存储于该存储卡(例如智能卡16)上,诸如实现TLS-客户端认证的客户端-服务器证书(例如X. 509)。该智能卡可持有敏感的个人信息并具有加密手段。在变形例中,该卡无法加密但用于签署敏感的操作。在其它变形例中,该卡用于加密及签署操作两者。该装置优选为配备着标准的智能卡读卡器17。最后,该装置具有控制按钮18 (例如OK (确定)、Cancel (取消)等选择钮)及显示器12,其用于显示敏感的信息。因此,在具体实施例中,SSL/TLS通道设置在服务器和装置之间(步骤S300)。另外,可以考虑其它类型的值得信任的连接。现在可以在该安全装置10接收(B卩,将要数字式签署的)文件,例如通过如以上所提出而建立的互相认证的连接91。在变形例中,该文件为随意从已知的任何其它适当来源获得。在接受时,该装置可以存取(步骤S400)所接收该文件的内容。在如于文中所说明此类装置中存取文件的内容本身为已知。接着,该安全装置可指示将该所接收文件的内容通信至不同于终端机(即PC或任何其它不安全来源)的输出装置12、50,使得该等内容随后可以由该用户验证(步骤S500)。在简单的具体实施例中,该内容显示于安全装置10的显示器12上。只要该文件的大小并未妨碍,则此为可行。又优选为,该装置被设置成与外部输出装置50通信。随后,所接收该文件的内容为了随后验证可以通信至此外部装置。如何通信此类内容至外部装置本身通常为已知。举例来说,该安全装置可以被配置成使用例如安全蓝牙配对(SSP)而可连接至投影仪(例如没有“运算”能力的显示器装置,亦即其无法暴露于有毒软件),以允许直接从该安全装置验证该文件。如另ー示例,该安全装置或者可以配置成使用USB电缆或安全蓝牙配对(SSP)而可连接至打印机。这允许直接从该安全装置打印该文件(在该情况下将不会通过该用户的PC或其它装置打印该文件)。在所有情况下,该用户可以验证该文件的内容而不暴露该文件至不安全的装置。因此该用户知道所读取的该文本与安全存储于其安全装置上的该文件为相同。接着,该用户可以发出指令以签署该文件。这可以例如直接使用该安全装置的接ロ(例如滚轮及按钮)或经由在所连接终端机(例如PC)上所发布的指令实行。在所有情况下,在执行该指令之前(步骤S700)在该安全装置上核实该指令(步骤S600)。若该指令为直接通过该安全装置的接ロ输入,则该指令为默认被核实,且不需要额外步骤。相反地,若该指令为通过所连接终端机输入,则该指令可例如通过请求经由该安全装置的接ロ的用户确认而核实。接着,该实际的签名可以在该安全装置直接计算。在具体实施例中,这可以经由请求(soliciting)智能卡而实行。另外,有毒软件无法更改在该安全装置所签署的该文件的 内容。用于签署数据的签署操作的示例在此领域中为已知。最后该所签署文件可以经由通过主机所建立的适当连接91 (例如通过当该服务器及该客户端为相同时连接至该服务器的所建立的连接TLS)发送至客户端。在接受者不同于该服务器的情况下,亦即若该文件为指向不同于该服务器的位置,则可以建立第二认证的TLS连接(或进ー步概括而言为第二安全连接,其不同于至首先发送至该安全装置的文件的来源的连接)。实际上,该文件不一定要源自安全的来源。例如,该用户可能想要在他/她的PC上创建该文件,且随后签署并将其提交。在此类情况下该文件为被创建或取回(例如从因特网),且随后被传递及存储于该安全装置上。再者,如稍早所提出,可以从任何其它来源简单发送该文件。在发出该数字签名之前,该用户可使用以上所说明的技术之ー(投影仪、打印机或任何输出装置)以验证该文件为如该用户所期望的。此文件在安全存储于该安全装置上之前明显可能已被有毒软件修改。另外,一旦该用户已验证该文件内容,则该文件内容可以如以上所说明那样被处理。本发明可实行于不同的架构中。I)在第一方案中,该安全装置最初从不同于主机(所签署文件经由主机最后发送至接受者)的终端机接收该文件。此处的该终端机可以例如为PC或PDA。该文件可例如经由因特网查询在该终端机处被初步(preIiminary)下载。2)在第二方案中,该安全装置最初从服务器并通过主机接收文件。最后的接受者可能与该服务器相同或不同。在此,可以请求两个不同的连接第一个用于最初接收该文件,并且第二个用于发送所签署版本。若该最后的接受者为该服务器,则这两个连接甚至可以相同。3)在第三方案中,安全装置最初从主机(即PC)接收该文件,但此点与在前述情况下所提出的服务器无关。该主机随后用于发送所签署文件至任何适当的接受者。再者,有趣的是注意本发明的各方面可以有利地由用户用来实现非常简单、安全的文件验证的方法。尤其是,此类方法将包含连接该安全装置至主机并在该安全装置指示通过该主机在该安全装置和服务器之间建立连接(例如于上文中所说明的安全连接、互相认证的连接,诸如TLS/SSL连接等);经由该所建立的连接接收该文件;(在该安全装置)存取所接收文件的内容;以及在该安全装置指示将所存取内容通信至外部输出装置(如以上所说明),使得所述内容能够由用户验证。实行以上发明的至少部分所需的计算机程序代码可以以高级(例如面向过程或面向对象的)程序设计语言或者若需要可以以汇编或机器语言实行;并且在任何情况下,该语言可能为编译或解释语言。适当的处理器包括通用及专用微处理器。请注意装置、終端机、服务器或接受者所实行的指令操作可存储于实体具体实施为用于由可编程处理器所执行的机器可读的存储装置中的计算机程序产品上;并且本发明的方法步骤可由执行指令以实行本发明的功能的ー个或多个可编程处理器实行。在所有情况下,本发明不仅可涵盖该安全装置,也可涵盖包括此装置的系统,该系统被添加了以下之一或多个終端机、至少ー个服务器或任何适当的来源(若有请求则加上该数字式签署文件的特定的接受者)、以及额外装置(诸如打印机或投影仪),其用于将将要签署的该文件的内容进行通信以便由该用户随后验证。
进ー步概括而言,以上发明可实行于数字电子电路系统或者计算机硬件、固件、软件或其组合中。一般而言,处理器将从只读存储器及/或随机存取存储器接收指令及数据。适用于实体具体实施计算机程序指令及数据的存储装置包括各种形式的非易失性存储器,其包括例如半导体存储器装置,诸如EPROM (可擦除可编程只读存储器)、EEPROM (电可擦除可编程只读存储器)、闪存装置或其它。虽然本发明已參照特定具体实施例加以说明,但本领域技术人员将了解在不脱离本发明的范围的情况下,可进行各种改变,并可替代等同物。此外,可以进行多种变更,以使特定状况或材料适应于本发明的教导而不脱离本发明的范围。因此,本发明意将在不被限制于所公开的特定具体实施例,而本发明将包括落在所附权利要求书的范围内的所有具体实施例。例如,该装置可被配置为诸如防止同时连接至该PC及外部装置。其进ー步可装设有电池或由外部装置供应电源。
权利要求
1.一种用于数字式签署文件的方法,包含如下步骤 -提供(SlOO)安全装置(10),该安全装置被保护防止恶意软件或有毒软件,并被适配为经由连接至电信网络的例如个人计算机或PC (30)的主机而建立安全连接至接受者(40); -该安全装置连接(S200)至终端机(30)之后,存取(S400)在该安全装置从该终端机所接收的文件的内容; -在该安全装置指示(S500)将所存取的内容通信至不同于该终端机的输出装置(12,50),使得所述内容能够由用户(I)验证; -在该安全装置核实(S600)所接收的用来数字式签署该文件的指令,并在该安全装置执行(S700)所核实的指令;以及 -指示通过经由连接至电信网络的主机所建立的连接(91),发送(S800)数字式签署的文件给接受者(40)。
2.如权利要求I所述的方法,其中終端机为主机,并且其中该方法进ー步包括连接至该主机之后并在存取所接收的文件的内容之前,在该安全装置指示(S300)经由该主机在安全装置和服务器(40)之间建立连接(91)的步骤,并且通过所建立的连接(91)接收文件。
3.如权利要求I或2所述的方法,其中经由主机所建立的连接(91)为安全连接。
4.如权利要求1、2或3所述的方法,其中 -在核实(S600)的步骤中,所接收的指令为由用户在安全装置所输入的指令;并且 -在执行(S700)所核实的指令的步骤中,所执行的指令为由该安全装置所发出且对应于由用户所输入的指令的指令。
5.如权利要求1、2或3所述的方法,其中在核实(S600)的步骤中,该接收的指令为从或经由终端机所接收的指令,其中安全装置连接至该终端机。
6.如权利要求2所述的方法,其中接受者为服务器(40),并且在指示发送(S800)该数字式签署文件的步骤中,指示使用已与服务器建立的相同连接(91)发送该数字式签署文件至该服务器(40)。
7.如权利要求I所述的方法,其中在指示发送(S800)该数字式签署文件的步骤中,指示发送该数字式签署文件至接受者,该接受者不同于在该安全装置最初所接收的文件的来源。
8.如上述权利要求任一项所述的方法,其中输出装置为安全装置的显示器(12),并且指示将内容进行通信的步骤包含 -指示在安全装置的该显示器(12)上显示该内容。
9.如上述权利要求任一项所述的方法,其中该输出装置(50)为外部装置,该方法进ー步包括在安全装置和外部装置(50)之间建立通信的步骤,并且其中指示将该内容进行通信的步骤包含将该内容通信至该外部装置。
10.如权利要求9所述的方法,其中该外部装置(50)为投影仪、打印机或任何适当的输出装置。
11.如权利要求9或10所述的方法,其中指示(S500)将该内容进行通信的步骤,包含指示使用安全蓝牙配对(SSP)或使用通用串行总线(USB)协议来将该内容进行通信。
12.如上述权利要求中任一项所述的方法,其中所建立的ー个或多个安全连接为互相认证的诸如TLS/SSL连接的连接。
13.ー种具有处理手段(15)、存储器(15’、15")及接ロ (17、18、20)的安全装置(10),该安全装置被配置成与下列耦合或互动 -用户(I); -終端机,诸如个人计算机或PC (30),以及 -接受者(40),当该安全装置连接至主机且主机被设置为通过电信网络与该接受者通信吋,该安全装置配置成建立安全连接,诸如经由主机(30)与接受者(40)的TLS/SSL连接,并且进一歩包含计算机化方法,该计算机化方法存储于存储器上并可由用于执行如权利要求I至12的方法的所有步骤的处理手段执行。
14.一种系统,包含 -权利要求12所述的安全装置(10); -个人计算机或PC (30);以及 -服务器(40)。
15.一种计算机程序产品,其包含可由用于执行权利要求I至12的方法的所有步骤的处理手段执行的指令。
全文摘要
本发明特别地关于数字式签署文件的方法、安全装置及计算机程序产品,包含如下步骤提供(S100)安全装置(10),该安全装置被保护防止恶意软件或有毒软件,并被适配为经由连接至电信网络的例如个人计算机或PC(30)的主机而建立安全连接至接受者(40);该安全装置连接(S200)至终端机(30)之后,存取(S400)在该安全装置从该终端机所接收的文件的内容;在该安全装置指示(S500)将所存取的内容通信至不同于该终端机的输出装置(12,50),使得所述内容能够由用户(1)验证;在该安全装置核实(S600)所接收的用来数字式签署该文件的指令,并在该安全装置执行(S700)所核实的指令;以及指示通过经由连接至电信网络的主机所建立的连接(91),发送(S800)数字式签署的文件给接受者(40)。
文档编号G06F21/00GK102844763SQ201180016518
公开日2012年12月26日 申请日期2011年3月29日 优先权日2010年3月31日
发明者M·巴恩特什, P·布勒, H·D·迪克曼 申请人:国际商业机器公司