专利名称:用于处理安全保密事项的方法和保安系统的制作方法
背景技术:
发明领域本发明涉及用于数据处理安全保密事项的方法、保安系统和保安装置。
现有技术描述计算机和通信技术的进展增加了在计算机网络之间和其中的信息流动。这种在计算机和网络之间的通信的能力也使得可能发展很多种类的从你自己的个人计算机执行的业务。这样的业务例如可以是邮件,家中购物,家中银行业务等。许多这样的业务包括必须在计算机处在在线时被执行的安全保密事项,例如,通过因特网转移金钱。
执行这样的安全保密事项当然是一种安全风险,因为潜在的入侵者通过入侵计算机也可听到和/或危害这些安全保密事项。原因之一是个人计算机的操作系统没有注意安全方面进行设计,因为它们是个人的,不连接到任何网络的。这样,很容易使用恶意的代码,或特洛伊木马等来危及个人计算机的操作系统,并由此危及在其上执行的安全保密事项。还有更多的安全操作系统,例如Unix,可能由相对较小的努力被危及。今天,没有保护用户不受特洛伊木马侵害的商业操作系统。
为了增加操作系统的安全性,已提议在本地网络与可提供的对任何入侵者是公开的公共网之间提供防火墙。这样的防火墙滤波在本地网与外部世界之间的通信,只允许某种选择的业务传递通过。如果其它业务被请求传递通过防火墙,则只在给出正确的密码字后才能够进行。然后,该通信最后达到个人计算机或本地网络内的服务器计算机。这个保安措施当然增加了安全性,但仍旧不保证安全保密事项以用户初始打算做的方式执行。执行所允许的非-滤过的业务时的脆弱性可能允许入侵者入侵到个人计算机。
另一个可能的保安措施是把保安机制插入到操作系统中,例如,进入到某些业务需要密码字。
以上保安机制不完全安全的主要原因是,它们是基于软件的。因为软件总是包含有缺陷,它是易破坏的,因此通过被挖掘的安全漏洞、恶意的代码、固有的特洛伊木马软件等,它们可能被危害。基于软件的保安解决办法也是太脆弱的,即如果操作系统安全性被危害,则所有的数据和在其上执行的所有应用项也将被危害。
另一个共同的保安措施是使用所谓的“活用卡”或“智能卡”。这些卡包括具有处理器、存储器、和通信部件的小型计算装置。这样的装置可以包括安全密钥,它被用来在网络中代表用户识别号。该卡是与主系统一起使用的,并且主系统可要求该卡在带有安全密钥的事项中执行安全保密步骤。主系统不能得出安全密钥,它是在智能卡中被设有机关的。智能卡上的处理器不能与用户直接通信,它必须依赖于主系统,来接力进行与用户的通信,而没有任何恶意的介入。所以,智能卡对于保护本身不受主系统中恶意的软件危害几乎无能为力。
在使用智能卡的个人计算机中,被危害的应用项可使得智能卡执行任何通常它可做的工作,而不必牵涉到用户,智能卡可由应用项被预订来签署任何数字文件,并且不需要用户审查它,也不需要对于要被加到文件上的签名表示任何明显的意愿。
为增加操作系统安全性的一个不同的但类似的方法是构建所谓的多级保安(MLS)操作系统。这样的系统按照安全性分类给目标和主题加标号,并规定了有关信息如何被允许通过系统的法则。为保持不同安全级别的分类和记录保持那些进入到不同安全级别和目标的用户,是非常费时的。而且,通常的计算机应用项是和操作系统不兼容的,并且所有应用项对于MLS系统必须是被定做的。这当然是非常昂贵的。
WO94/01821揭示了用于工作站(例如个人计算机)的信托路径子系统。该系统包括网络计算机,它是MLS计算机和工作站。本发明的目的是提供在MLS计算机的信托子系统和工作站之间的安全通信。为了解决这个问题,工作站被连接到信托子系统,它从MLS计算机的信托系统接收加密数据,并对它进行解密而不牵涉到工作站。这样,在MLS-子系统上运行的应用项将确信,所接收的数据将是和从MLS计算机的信托子系统发送的数据一样的,反之亦然。然而,这个系统基本上通过专线输送加密的键击被限制于在MLS计算机的信托子系统和网络计算机之间的数据的安全交换,以及把象素从MLS系统中的应用项写到工作站中的信托子系统。
而且,全部应用项在高度安全的环境,MLS系统中执行。为确保全部应用项的安全,已作出了许多努力。然而,如果应用项,例如由应用项本身中的安全漏洞被危害,或如果系统管理者破坏应用项,则信托子系统将不能担保,应用项在“保安”屏幕上给出与后面签署的相同的信息,因为它缺少用于用户介入的装置。这样,应用项不需要为了签署数字文件而得到来自用户的意愿。
英国专利申请GB 2 267 986揭示了用于计算机的保安装置。这种保安装置的目的是,当安全保密事项要被执行时把计算机与输入/输出装置(例如键盘和鼠标)隔离开。保安装置包括存储用于以透明模式或特定的处理模式运行保安装置的多个程序的处理器。在透明模式下,从输入/输出装置输入的数据通过保安装置直接被发送到计算机,即保安装置是处在被动模式。在特定的处理模式下,保安装置本身将通过执行一个存储的程序来进行数据的处理,而没有计算机的任何介入。
当保安装置的处理器接收与在其中存储的多个程序的任一个有关的一个命令时,它将开始特定的处理模式,并执行多个程序中的一个程序。被存储在保安装置的处理器中的不同程序都规定了不同的安全保密事项。该程序在某些情况下在执行安全保密事项以前,也可以需要一个密码字等。要被存储在保安装置中的新的程序可从计算机被装载,而在装载过程中没有任何的用户介入。所以,用户不能确信在装载一个新的程序后哪些步骤在保安装置内被执行。这样,应用项本身可能被危害,因为签署一个数据块并不需要用户的任何审查或意愿,有可能执行用户一开始不打算做的事项。
即使这个系统提供了高度的安全性,但它仍旧具有主要的缺点,即它缺少用户的介入。
发明概述用户介入是执行安全保密事项时的重要部分,如果,例如这些事项的任务是要建立合法的有约束力的文件的话。在传统上,即在纸上,签字一个文件的情况下,要求在纸上签名的个人首先可通过他的签名而被识别,其次,他通读和验证纸上的内容,然后第三,他在纸上签名作为他的意愿。这样数字签名系统必须被设计成使得用户在签署一个数字文件时执行同样的步骤,如果这是合法的有约束力的话。
本发明者惊奇地发现,如上所述的今天用于执行安全保密事项的方法,与此相反,是面向系统的,即预期系统执行安全保密事项,而仅仅偶尔咨询用户不太重要的任务。
所谓系统导引是指系统或应用项能够做用户可做的一切工作。因此,这样的一个系统能够模拟用户。在使用用户导引的系统中,为了执行某些步骤,用户必须被介入,即这样的步骤不能由系统或应用项进行模拟。
这样,要由本发明解决的目标问题是提供用于处理安全保密事项的一种方法、一个系统、和一个装置,它是面向用户的,以及在执行安全保密事项时肯定地牵涉到用户。
这个问题是通过分别在权利要求1、10、15中规定的方法、系统、和装置来解决的。
在附属权利要求2-9、11-14、和16中规定了本发明的优选实施例。
通过使用按照本发明的方法,用户每次执行安全保密事项时将肯定被牵涉,即该方法,与现有的技术相反,是基于用户的。按照本发明的这种导引将总是确保,用户对于在安全系统执行的安全保密事项有控制能力,因为为了执行这样的事项要求有用户的意愿。而且,按照本发明的方法提供了在其中处理安全保密事项的安全空间。
这样,通过按照本发明的方法,有可能通过利用用户介入步骤以可靠的和安全的方式执行诸如签署合法的有约束力的文件、发送保密邮件、装载现金卡、进行保密电话呼叫等的任务。
通过按照本发明给保安系统配备切换与密码装置,有可能对来自和送到输入/输出装置的数据加密,由此,使用计算机的现有的线路来专线输送数据到保安装置。这样,保安系统可以通过普通计算机作最小的改变而被设计成。唯一所需要的附加设备是保安装置、它的连接线、和切换与密码装置。因此,按照本发明的保安系统不需要附加屏幕来建立在其中可执行安全保密事项的安全空间。
附图简述当结合附图阅读时,通过参考仅仅由实例给出的以下的对本发明的具体实施例的详细说明将可最好地理解本发明的上述的和其它的方面,其中
图1显示了按照本发明的保安系统的方框图。
图2显示了按照本发明的第二实施例的保安系统的方框图。
图3显示了按照本发明的通用方法的流程图。
图4显示了证明用户存在的安全步骤的流程图。
图5显示了隐蔽数据的安全步骤的流程图。
图6显示了展示数据的安全步骤的流程图。
图7显示了标记事项的起源点的安全步骤的流程图。
图8显示了验证来自预期的发起者的起源点标记的安全步骤的流程图。
图9显示了执行不能撤销的步骤的安全步骤的流程图。
优选实施例说明图1显示了按照本发明的一个实施例的保安系统。这样的系统当被连接到公共网时,被用来执行安全保密事项,以及它包括任意的个人计算机2,输入/输出装置,例如键盘4、鼠标6、显示器8、以及智能卡读取器/写入器(r/w)12。将会明白,由按照本发明的的保安系统所使用的输入/输出装置的数目和类型可随要被执行的安全保密事项的那种类型而变化。并不是总是必须使用鼠标或智能卡r/w,以及在某些情况下,可能希望使用其它的输入/输出装置,例如扬声器、话筒等。而且,个人计算机2可以由终端等代替,而不背离本发明的范围。这样,在参照计算机2的处理器时,这也包括终端所连接到的处理器,即计算机/终端和运行应用项的处理器不一定必须具有相同的物理位置。
个人计算机2配备有处理器14、只读存储器(ROM)16、和随机存取存储器(RAM)18。每个物理的输入/输出装置4、6、8、12通过适当的通信接口20、22、24、26被连接到计算机2,这些接口对于本领域技术人员是熟知的。诸如可从图1看到的,显示器8通过屏幕装置控制器10被连接到计算机2。每个输入/输出装置4、6、8、12也配备有切换与密码装置28、30、32、34,它们的功能将要在下面说明。将会明白,输入/输出装置4、6、12也具有装置控制器,在所显示的实施例中,它们被引入到交换和加密装置18、30、32。
屏幕装置控制器10包括屏幕控制电路36和屏幕存储器38。在本发明的本实施例中,屏幕控制器10被连接到保安装置40,包括处理器42、PROM 44、和RAM 46。保安装置40的处理器42被连接到屏幕电路和屏幕存储器38,也被连接到PROM 44和RAM 46。处理器42也被连接到在屏幕电路36中提供的切换与密码装置34,并控制该装置34。在本实施例中,切换与密码装置34用作为阻塞装置,即防止计算机2的处理器14接入到屏幕装置控制器10中。
然而,将会明白,保安装置40也可在计算机2中或在分开的地方被提供,只要保安装置40能够控制切换与密码装置28、30、32、34,而不用处理器14介入,即处理器14在任何时间不能进行控制切换与密码装置28、30、32、34,这将在下面描述。图2显示了保安系统的替换实施例,其中保安系统被引入到计算机2内。在本发明的这个实施例中,屏幕装置控制器10被复制,以及切换与密码装置34起到由保安装置40控制的普通开关的作用,以便在两个屏幕控制装置10之间切换。
如上所述,当保安系统,即计算机2,与网络连接并且在线时,保安系统被用来执行安全保密事项。如果计算机是独立的计算机,则不需要保安装置40,因为没有入侵者能够侦听或危害所处理的数据。这样,本发明针对与网络在线连接的计算机。安全保密事项是用户希望秘密地执行的事项,即没有入侵者侦听或危害安全保密事项的危险。这样的安全保密事项的例子是转移金钱、签署文件、准备保密邮件等。
具有如上所述结构的保安系统是能工作在两个不同的模式的。在第一模式,被规定为正常模式,保安系统如普通计算机那样运行,也就是保安系统40处在被动模式。被连接到公共网的计算机如何地运行,对于本领域技术人员是熟知的,所以不作进一步描述。在第二模式,被规定为安全管理模式,保安装置40进行控制数据处理,以便于以可靠方式执行不同的安全保密事项。
参照图3,现在将详细描述保安系统在安全管理模式下(SMM)的运行。响应于在步骤200的呼叫,当保安系统工作在正常模式时,从处理器14,或任何的输入/输出装置,即键盘4、鼠标6、显示器8或智能卡r/w 12,保安装置40将在步骤202被分配。然后,在步骤204,保安装置40把与在安全管理模式期间要被使用的输入/输出装置4、6、8、12有关的那些切换与密码装置28、30、32、34切换到保护模式。为了执行切换功能,保安装置40配备有用于产生给切换与密码装置28、30、32、34的信号的装置。这些装置优选地是处理器42,和被存储在PROM 42中的程序步骤。当所请求的一个切换与密码装置28、30、32、34被切换到保护模式时,保安装置40处在所请求的输入/输出装置4、6、8、12的控制下,并且计算机2的处理器14不再能够从那里接收任何未保护的数据或发送任何数据到那里。
在保护模式,切换与密码装置28、30、32、34将加密从输入/输出装置4、6、8、12发送的所有数据。保安装置40在所有时间是能控制进入和离开保护模式的唯一装置。除非是对于非保密的事项的请求,将不执行对于切换与密码装置28、30、32、34的非加密请求。取决于哪个输入/输出装置4、6、8、12,切换与密码装置28、30、32、34与它们可被配备有的特定功能有关。这些功能将只是从保安装置40提供的,而不是从处理器14,即使切换与密码装置28、30、32、34是处在正常模式。与智能卡r/w 12有关的切换与密码装置32具有这样的功能,并允许仅仅某些非保密安全请求可通过智能卡r/w12。如果这个预防措施不被提供,则在正常模式期间将有机会运作智能卡r/w 12,以便于阻止保安装置40进入安全管理模式。
如上所述,图1所示的保安装置40的处理器42直接接入到屏幕装置控制器10,所以切换与密码装置34只需要执行阻塞功能而不用加密。在图2所示的实施例中,切换与密码装置34具有普通开关的功能。
通过加密来自和送到输入/输出装置4、6、8、12的数据,有可能使用计算机2的现有的线路,以便专线输送数据到保安系统40。这样,保安系统可通过对普通计算机作最小的改变而被设计成。所需要的唯一附加设备是保安系统40、它的连接线路、以及切换与密码装置28、30、32、34。如上所述,保安装置40可以以如图2所示的多种方式,或例如通过提供在保安装置40与输入/输出装置4,6,8,12之间的分开的物理线路被连接到或处在计算机系统内。然而,如图1所示的实施例是宁愿要的,因为在本实施例中的保安装置40直接控制屏幕存储器38和屏幕控制单元36,否则它们必须被复制。
当切换与密码装置28,30,32,34不是处在保护模式时,它们用作为输入/输出装置到计算机的普通连接。
在进行控制输入/输出装置4,6,8,12以后,在步骤206,保安装置40也控制在安全管理模式下要被执行的所有数据处理。通过这样地操作保安系统,即把运行在处理器14上的应用项的数据处理的控制和输入/输出装置4,6,8,12的控制转移到保安装置40,其中可执行安全保密事项的安全空间被建立。然后,在步骤208,保安装置40将开始处理安全保密事项。
在处理安全保密事项期间,保安装置40将牵涉到用户,即完成被存储在保安装置40的PROM 44中的安全保密事项的执行步骤不是自动执行的。所以,在步骤210,保安装置40将检验,用户是否已介入。如果在步骤210的回答是否定的话,则在步骤212,保安装置40将检验用户尚未介入的时间间隔。如果在执行处理步骤以后的某个时间极限内用户还没有介入,则在步骤214,保安装置40被定为时间到,并进入正常模式。如果时间极限还没有过去,则在步骤210用户的介入将再次被检验。
如果在步骤210的回答是肯定的话,则在步骤216,将进行检验安全保密事项是否完成。如果在步骤216的回答是否定的话,则处理步骤208和用户介入步骤210将在有必要时经常重复进行。这样,按照本发明的保安装置40被配备有用于用户介入的装置。用于用户介入的装置是本发明的本质。这种达到安全的方法比起在现有的技术(例如GB 2 267 986)中使用的面向系统的方法是完全不同的。用户介入步骤将在下面更详细地描述。
当安全保密事项的处理在步骤208和210由保安装置40和用户完成时,处理将在步骤218结束,并在步骤220将其结果转移给计算机2的处理器14,给输出装置12,或保留在保安装置40中,供以后使用。
结果转移是在保安系统的安全管理模式中的最后步骤。保安装置40此后在步骤222将通过切换切换与密码装置28,30,32,34把输入/输出装置4,6,8,12与切换与密码装置控制器28、30、32、34的控制,以及从保安装置40到计算机2的数据处理的控制,转移到正常模式。这个从保护模式到正常模式的切换,如上所述,只可能从保安装置40执行,而不是从处理器14执行。
为了进一步增加用户介入,切换与密码装置28,30,32,34可以被人工切换,而不是由保安装置40切换。在这种情况下,保安装置40必须能够可靠地和安全地确定切换与密码装置28,30,32,34的状态,以便于能够决定安全保密事项是否可以开始,或是否必须中断。
保安装置40还配备有指示器,图上未示出,它指示保安装置40何时处在控制下,以及系统工作在安全管理模式。这样的指示器将使得用户知道他何时能够执行安全保密事项。
这样,用于处理安全保密事项的保安系统和通用方法已加以描述。如上所述,本发明的实质是用户介入,以及为了充分了解本发明,现在将描述用于实现用户介入的步骤的例子。这些步骤是安全保密事项的全部,并且与用户的交互作用将在保护模式下总是用切换与密码装置28,30,32,34实施。取决于要由安全保密事项执行的任务,步骤的不同组合可被用来和由保安装置40执行的步骤混合在一起。将会明白,如果不同的用户介入步骤被组合,从几个步骤进行的与用户的对话可被结合成一个交互作用。这样,即使下面描述的例子都是安全保密事项的一部分,也将会明白,它们不必是在每个或同一个安全保密事项中的一部分。
在经常重复出现的安全保密事项中的一个步骤是证明用户的存在。图4中概略地显示了这个步骤,它可通过使得用户提交识别符,例如通过智能卡r/w 12,或通过使得用户输入一个密码字而被执行。另外,生物统计学,例如话音识别或指印,可被用来识别用户的存在。如果用户不存在,则在安全管理模式下的数据处理将被中断,且将进入正常模式,否则安全保密事项的处理将继续。将会明白,保安装置40可以包含所存储的有关不同用户的信息。这将允许不同用户利用同一个保安系统。
可由安全保密事项执行的另一个步骤是隐蔽数据。图5概略地显示了这个步骤。在这个步骤中,用户首先请求,安全保密事项将借助于使用键盘4或鼠标6通过隐蔽结果来被执行。这个请求然后在屏幕8上或以扬声器提交给用户。然后用户必须通过键盘4或鼠标6选择隐蔽结果的接收者。然后,剩余的安全保密事项被执行,并且结果由所选择的接收者隐蔽。
可以是安全保密事项的一部分的再一个步骤,如图6概略地所示,是展示数据给用户。当隐蔽的数据由计算机2接收时,如果隐蔽数据包含用来呼叫和分配保安装置40的命令,或者通过用户的请求或者自动地进入安全管理模式。在所接收的隐蔽数据被装载到保安装置40以前,用户必须证明他的存在,以便确保只有一个允许的数据被装载到保安装置40中。此后,如果用户的识别符和密码是正确的,则他必须优选地通过使用智能卡r/w 12输入识别符和密码。如果它们是正确的,保安装置40将开始处理和解密被隐蔽的数据,并提交所接收的数据在适当的输出装置,例如屏幕8或扬声器。如果识别符和密码不是正确的,将进入正常模式。将会明白,进行证明存在和输入识别符与密码的次序可被颠倒,而不改变这个步骤的结果。
安全保密事项的又一个步骤关系到起源点标记的产生和证实,如图7和8概略地所示。起源点标记的产生,通过例如键盘4或鼠标6,从对于带有起源点标记的事项的用户请求开始。然后,该请求在屏幕8上或另一个输出装置上提交给用户,并且如果该请求是正确的,则用户承认该事项。如果请求不被承认,则将进入正常模式,但如果承认,则事项将被执行,它的选择的结果被数字地签名用于起源点标记。根据所执行的事项,用户可在这个处理期间交互作用。
为了证实起源点标记,用户首先必须通过使用输入装置,例如键盘4或鼠标6,确定和锁定至少一个打算的发起者。然后该至少一个打算的发起者在显示器8上或类似的装置上被提交给用户,并且当签名的结果被接收时,每个签名被检验,以证实该至少一个打算的发起者。如果签名是正确的,则将继续在安全管理模式下的处理,否则将进入正常模式。
在安全保密事项中的重要步骤是允许产生不可撤销的步骤,例如签署文件。在这种情况下,如图9概略地所示,首先必须作出一个请求,以执行这样的步骤。这个请求连同这个步骤的主题一起在屏幕8或其它装置上被提交给用户,然后,用户具有可任选权,改变或进入新的主题。此后,用户必须接受或拒绝该请求。这样,在执行不可撤销步骤以前,总要确保肯定的用户介入。当用户作出他的接受时,处理继续进行。如果用户在预设置的时间极限内未作出接受,则将进入正常模式。
这样,已描述了关于用户介入的多个步骤。然而,将会明白,有多种属于本发明的范围内的其它步骤和它们的组合。例如,许多以上的步骤说明,用户必须输入数据,以便于确保用户是肯定地介入,但将会明白,这个数据可代之以作为一个任选项被提交给用户,以及用户然后必须用意愿来确认这个数据是正确的。本发明的实质在于,提供了用于用户介入的装置,即在上述的实施例中具有处理器42和其中存储了以上提到的用户介入步骤的PROM 44的保安装置40。
在更高的级别上,上述的用户介入步骤关系到多种任务,例如签署合法的有约束力的文件,发送保密邮件,进行付款,装载现金卡,进行保密电话呼叫等。据信,有多种其它高级别任务可通过使用以上的用户介入步骤以保密方式被执行,具体地,也有这样的随着技术进展而合并的任务。
当签署合法的有约束力的文件或进行付款时,需要上述的用户介入步骤的以下内容证明用户的存在和允许产生。为了进一步增加安全性,起源点标记和隐蔽的步骤也可被引用。
发送保密邮件将涉及到隐蔽步骤和也可任选地起源点标记步骤。
装载现金卡将涉及到允许产生步骤和起源点标记步骤,它们相应于作出装载现金卡的请求。当该请求被承认时,装载现金卡将涉及到展示结果步骤和证实起源点标记步骤。
进行保密电话呼叫将需要在保密电话呼叫期间不断地要被涉及到的隐蔽、展示、起源点标记、和证实起源点标记的步骤。
虽然已借助于本发明的优选实施例描述了本发明,但将会看到,其它形式可由本领域技术人员很容易地调整。因此,本发明的范围可被看作为只由以下的权利要求来加以限制。
权利要求
1.用于在安全管理模式下处理安全保密事项的方法,安全保密事项是运行在包括处理器(14)、输入/输出装置(4,6,8,12)和保安装置(40)的系统上的应用项的一部分,所述处理方法包括以下步骤当处在正常模式时,响应于来自处理器(14)或输入/输出装置(4,6,8,12)的呼叫,分配保安装置(40),把数据处理应用项的控制和请求的输入/输出装置(4,6,8,12)的控制从处理器(14)转移到保安装置(40),由此进入安全管理模式,通过用户介入处理在保安装置(40)中的安全保密事项,把结果转移到处理器(14),输入/输出装置(4,6,8,12),或保安装置(40)内,以及把输入/输出装置(4,6,8,12)的控制和数据处理的控制从保安装置(40)转移到处理器(14),由此进入正常模式。
2.按照权利要求1的方法,其特征在于,其中转移请求的输入/输出装置(4,6,8,12)的控制的步骤还包括把每个请求的输入/输出装置切换到保护模式的步骤。
3.按照权利要求1的方法,其特征在于,其中通过用户介入处理安全保密事项的步骤还包括以下步骤检验其中用户尚未介入的时间间隔,以及用户在预定的时间极限内用户是否介入,暂停保安装置(40),并进入正常模式,否则继续处理安全保密事项。
4.按照前面的权利要求中的任一项的方法,其特征在于,其中通过用户介入处理安全保密事项的步骤,包括以下步骤让用户提交识别符,以便证明用户存在,以及如果用户不存在,继续处理安全保密事项,否则进入正常模式。
5.按照权利要求1到3中任一项的方法,其特征在于,其中通过用户介入处理安全保密事项的步骤,包括以下步骤请求安全保密事项用隐蔽的结果被处理,提交请求给输出装置上的用户,让用户通过输入装置选择或接受隐蔽结果的接收者,进入正常模式,否则执行安全保密事项,以及隐蔽执行结果,以便传送到所选择的接收者。
6.按照权利要求1到3中任一项的方法,其特征在于,其中通过用户介入处理安全保密事项的步骤,包括以下步骤证明用户的存在,以及如果用户存在,把接收的隐蔽数据装载到保安装置(40),提供识别符和密码的正确性,以及如果正确,解密隐蔽的数据,并在适当的输出装置上提交接收的数据给用户,否则进入正常模式。
7.按照权利要求1到3中任一项的方法,其特征在于,其中通过用户介入处理安全保密事项的步骤,包括以下步骤请求带有起源点标记的事项,在适当的输出装置上提交请求给用户,让用户承认请求,以及如果承认,执行该事项,然后起源地标记其所选择的结果,否则进入正常模式。
8.按照权利要求1到3中任一项的方法,其特征在于,其中通过用户介入处理安全保密事项的步骤,包括以下步骤让用户验证和锁定至少一个打算的发起者,提交至少一个打算的发起者给用户,检验所接收的签名的结果的签名,以便确认至少一个打算的发起者,以及如果确认,继续处理,否则,进入正常模式。
9.按照权利要求1到3中任一项的方法,其特征在于,其中通过用户介入处理安全保密事项的步骤,包括以下步骤请求产生不可撤销的步骤,提交该请求连同这个步骤的主题,给予用户任选权,改变主题或进入新的主题,让用户接受或拒绝请求产生,以及如果接受,继续进行包括不可撤销的步骤的处理,以及如果拒绝,进入正常模式。
10.用于处理安全保密事项的保安系统,安全保密事项是运行在包括处理器(14)、输入/输出装置(4,6,8,12)和保安装置(40)的保安系统上的应用项的一部分,所述保安系统包括处理器(14),输入/输出装置(4,6,8,12),保安装置(40),用于把数据处理应用项的控制和请求的输入/输出装置(4,6,8,12)的控制从处理器(14)转移到保安装置(40)的装置(28,30,32,34),用于在保安装置(40)上处理安全保密事项的装置(42),用于用户介入的装置(42,44),用于把数据处理安全保密事项的结果转移到处理器(14),输入/输出装置(4,6,8,12),或保安装置40内的装置(42),用于把输入/输出装置(4,6,8,12)的控制和数据处理的控制从保安装置转移到处理器(14)的装置(28,30,32,34)。
11.按照权利要求10的保安系统,其特征在于,其中用于用户介入的装置包括在保安装置40中提供的处理器(42)和在保安装置中提供的、并包括编程的用户介入步骤的PROM(44)。
12.按照权利要求10或11的保安系统,其特征在于,其中保安装置(40)被连接到屏幕装置控制器(10)。
13.按照权利要求10到12中任一项的保安系统,其特征在于,包括两个屏幕装置控制器(10),以及其中处理器(14)和保安装置(40),每个被连接到分开的一个屏幕装置控制器。
14.按照权利要求10到13中任一项的的保安系统,其特征在于,其中用于把输入/输出装置(4,6,8,12)的控制从处理器(14)转移到保安装置(40)(以及相反地转移)的装置是切换与密码装置(28,30,32,34)。
15.保安装置包括用于用户介入的装置(40,42)。
16.按照权利要求15的保安装置,其特征在于,其中用于用户介入的装置包括处理器(42)和被配备以编程的用户介入步骤的PROM(44)。
17.按照权利要求15或16的保安装置,其特征在于,还包括用于产生要被加到切换与密码装置(28,30,32,34)的切换信号的装置。
18.按照权利要求17的保安装置,其特征在于,其中用于产生切换信号的装置包括处理器(42)和被配备以编程的用户介入步骤的PROM(44)。
全文摘要
本发明涉及用于在安全管理模式下处理安全保密事项的方法、保安系统、和保安装置,所述处理方法包括以下步骤:当正常模式时,响应于来自处理器(14)或输入/输出装置(4,6,8,12)的呼叫,分配保安装置(40),把数据处理的控制转移到保安装置(40),由此进入安全管理模式,通过用户介入,处理在保安装置(40)中的安全保密事项,把安全保密事项的数据处理结果转移到处理器(14),输入/输出装置(4,6,8,12),或保安装置(40)内,以及把输入/输出装置(4,6,8,12)的控制和数据处理的控制从保安装置(40)转移到处理器(14),由此再次进入正常模式。
文档编号G06F21/84GK1242847SQ97181149
公开日2000年1月26日 申请日期1997年10月30日 优先权日1996年10月30日
发明者C·维特格伦 申请人:迈斯贝斯公司