专利名称:有在主文件和辅助文件之间产生链接的方法的保密模块的制作方法
技术领域:
本发明涉及一个与数据处理设备协同操作的保密模块,该模块具有数据处理的装置和存储数据的装置,存储数据的装置存储一些文件。
术语“保密模块”或按照经典的意义是指一个装置,使它的任务是,在一个通信或信息网络中,由一个网络管理机构控制,以保护的方式存储网络的保密和基本参数,例如密钥。或更简单地指面对网络的各样的用户的设备,每个用户都可以访问它,该设备也可以保存保密参数。保密模块可以采取芯片卡类型的便携物体的形式。
本发明特别涉及一个微电路卡,更一般来说涉及配备集成电路的便持物体,该集成电路至少含一个微处理器,一个含有卡开发系统的只读存储器(ROM)和一个或几个可以用微处理器编程的非易失性存储器。这些非易失性存储器可以存放数据和代码。微处理器控制信息的传送和,在必要情况下存放从外部接收到的数据或向外部传送数据。所述物体备有一个或几个通信装置。这些存储器可以是EPROM,EEPROM,FcRAM,SRAM或FLASH技术。
由于技术的发展,含有程序的存储器ROM的规模愈加显得重要;同时也可以设计具有更多功能的程序。某些功能直接与可编程存储器的结构有关。这个存储器的规模也增加,它以独立文件分级构成,这种构成特别地写在ISO7816-4标准中。
现在,这些卡可以提供许多用途,为此它们具备两层或三层分级,称为例如“卡”层,“应用”层和“服务”层。每层对于相同的用途的信息被重新组合成文件,这些文件包含两个存储层,也就是“目录”,和在每个目录中的存储同样性质的信息的“数据文件”。
当卡为个人所有时,也就是说在使用时,这样的有确定的许多层的结构才被制造。可能在使用时补充其他的目录或数据文件,但是这里要看在非易失性可编程存储器中余下的可用地方而定。这些存储器的容量是有限的,必须不要浪费空间并且在单独地归个人所有时确定必需的空间和确定足够运行目录和数据文件的空间。
不丢失空间的一个很好的办法是不要有重复信息。即,应当避免多个目录所用的同一个信息在存储器的许多地方同样地被写入。可惜的是,因目录的分级结构不能使同一个数据文件分散于许多目录中。如果两个目录不得不拥有同样的信息,现在只能在内部生成两个由这样相同信息构成的数据文件。本发明避免重复公共信息,保持在数据文件和目录中的分级链接。
另一个问题是存储器中各处的文件更新需要在各处进行必要的改变。这样的操作不仅冗长,而且可能因干扰卡的功能的偶然中断而受到干扰,可能导致这些文件在更新时不完全一致,也就是说,更新了某些文件,而另外一些文件没有更新。所有这些文件之间的协调就不能保证。
另一方面,许多层的结构在访问底层的数据文件或目录时会损失时间。因为,要访问在底层中目录的数据,必须在众多的目录中选择所有上层的主目录。例如,为了转换到同一层次的另一个目录,必须沿着树状的结构向上升,直到最初的公共目录,然后下降,选择中间的目录。这样的连续选择机制是繁重而费时的。
本发明的目标是解决各种问题寻求避免在存储器中重复同样的数据的方法;保证分散在许多目录中的信息的一致;最后,在存储器的文件树中,最佳地寻找在分散的目录中的信息。
它涉及这样的一个在文章开头提到的那一类型的保密模块,包含-产生链接的装置,被安排用于至少在一个主文件和一个辅助文件之间产生一个链接,主文件有一个确定的内容,根据定位数据,处理装置可以在存储装置中访问主文件的内容,生成链接方法与一个含上述定位数据的辅助文件配合;-分支装置,用来当数据处理装置执行一个对访问辅助文件访问的请求时,利用上述的定位数据(RFC)向数据处理装置提供上述主文件的内容。
在下面用一个推荐的,但不是限于这样的实施例,并参照后面的附图以说明本发明其他的细节和优点
图1表示在一个卡中许多分级的层次的树;图2表示一个卡中目录和数据文件的典型的组织结构;图3表示本发明采用的两种基本的文件的详细结构;图4是根据本发明生成文件的过程各步骤的详细结构;图5是本发明提供的和一个信息处理装置协作的保密模块的设计图。
图5表示的信息处理设备51通常包括一个微处理器52,微处理器52上连接有一个存储器ROM53和一个存储器RAM54,装置55,与保密模块58可有也可没有物理接触并与保密模块58相配合,和一个允许信息处理装置直接地或通过一个通信网络与其他类似的设备通信的发送接口57。
设备51可以外接例如软盘或可替换或不可拆卸的磁盘的存储装置,外接采集装置(例如键盘或/和一个鼠标类型的指引设备)和显示装置,这些各样装置没有在图5中画出。
信息处理设备可以由装配在一个私人或公共场所的全部信息装置组成,适宜于提供信息管理或发送各种用途或服务,这些装置是固定地或可携带地安装的。特别是还可能涉及通信装置。
另一方面,保密模块58包括信息处理装置59,非易失性存储器60,工作RAM的易失性存储器64,和为了与信息处理设备协作的装置63。这个模块安排为在存储器60中规定一个保密区61,信息一旦记录在这个区就不能从模块外部访问而只能被处理装置59来访问,这个区62在存储器60中还规定一个开放区62,这个区可以在读和/或写信息时从模块外部访问。非易失性存储器60可以包含部分不能更改的ROM和部分可更改的EPROM,EEPROM,或者由“快闪(flash)”型存储器RAM组成,所谓“快闪”型存储器RAM就是它具有EEPROM的特性而又具备和一个典型的RAM一样的存取时间。
作为保密模块58,可以使用带非易失性的自动编程存储器的微处理器,如Demanderesse在美国专利no4.382.279中写的。正如在该专利的第一栏13-25行中指出,该存储器的自动编程特性可以用存在这个存储器的一个程序fi,把存在这个存储器的另一个程序fj改变成一个程序gj。尽管为了实现自动编程使用的装置根据用于包含信息处理装置59的技术可以有变化,要提醒的是,在这样的处理装置中都包括一个微处理器和一个非易失性存储器,并且根据上述的专利,这些装置可以包括-与该存储器配合的数据和地址的缓冲存储器;-一个装在该存储器中的写入程序,专门包含可以保持存储器程序的编程电压和写入数据和它们的地址的指令,当时间足够时,这个写入程序还可以被一个自动写入逻辑电路代替。
在另一个例子中,保密模块58的微处理器由一个装在一片半导体芯片中的逻辑电路代替一或至少被其补充。因为这样的电路借助于电缆适宜于计算,尤其是认证和标识以及非微程序。这些电路尤其可以是ASIC类型(英语“Application Specific Integrated Circuit”(专用集成电路))。作为一个例子可以参考SEIMENS公司列在参考书目SLE4436中的、和SGS-THOMSON公司列在参考书目ST1335中的元件。
保密模块58最好设计成在芯片上做成的单片。
作为一种带非易失性自动编程存储器的微处理器的变型在下面说明,由于保密模块的保密特性能,以致局限在一个不可侵入的范围。
卡的非易失性存储器是按照文件组织的,如前面所说,这些文件可以是两类目录或数据的基本文件。每个基本文件包含一个文件头和一个含信息的数据部分。在文件头标明各分级的层次,有文件的恰当的编号,状态或卡的生存期,存取的条件和规模。按一般的规定,文件头包含信息的全体,它可以管理储存在数据部分中的信息。实际上应用到两或三层。参考图1,通常上面一层称为“卡”层,里面的层称为“应用”层或“服务”层。当然可以考虑多于三层的卡,在给出的例中,是说明有三层的。
作为例子,同样一个卡可应用到不同的地方,比如银行,市政府,医药档案,蜂窝式无线电话,这些事项表示在层目录应用中。在市政府的应用中可以找到这些部分如公共交通,进入游泳池和图书馆,支付停车费,这些事项表示在服务中。
图2说明一个在卡的可编程存储器中的文件间分级链接的例子。目录卡包含两个目录应用1和2以及基本文件C1。目录应用1包含两个目录服务A1-S1和A1-S2以及基本文件A1-1。目录服务A1-S2下只有一个数据基本文件A1S1-1。目录应用2有两个目录服务A2-S1和A2-S2。目录服务A2-S1有两个数据基本文件A2S1-1和A2S1-2。目录服务A2-S2有一个数据基本文件A2S2-1。所有这些文件都在卡的有限的存储器中占一个不可忽视的空间,重要的是优化存储器的占用和在许多不同的位置避免重复同样的信息。
在某些情况下,同样的信息要被两个不同的目录使用。例如持卡人的银行位置,持卡人的姓名和地址,该银行的名称和位置,帐号,支付信息等等可以存在一个基本文件中,该基本文件包括在相应于银行应用的目录中,比方说,图2中说明的目录应用1下的基本文件A1-1。
这个卡也可以用作城市卡;这种应用是由目录应用2管理。尤其是它可以支付公共交通费,访问市政图书馆和某些有效的文化消费(戏院,影院等)。这些服务由两个目录服务A2-S1和A2-S2管理,分级从属于目录应用2。当这个卡作为支付手段,比方用作在公共交通支付路费,款项直接由银行帐户付出,该银行的位置是基本文件A1-1明确规定的。因此应当从目录应用2的目录的服务A2-S1把可以访问目录应用1下的基本文件A1-1的信息。在图2中这种访问用箭头符号表示。数据再生的办法是不令人满意的。
另一个例子涉及密钥和密码,当访问没有分级从属的不同的目录时,它们的数值可以是一样的。如果使用用1024比特以上来存储的这些RSA型密钥(发明人是Rievst,Shamir和Adleman),问题就严重了。最后一个例子涉及认可基本文件这些基本文件用作存储密钥或代码的是好是坏的表示。许多认可的基本文件重新组合与不同的密钥相符合,就有可能找到地方和增加安全。
实施本发明的一个方式在于生成和管理称为“链接”的文件,该文件的数据部分和另一个文件的数据部分混合。本发明在于能够把文件的相同的数据部分部分分散到许多文件中。这样就可以实现在文件的文件头或它的数据部分中指出数据有效时的地址。
在图3中表示两个文件,即一个目标文件30和一个链接文件31。下面有关的叙述同样适用于当这些文件是数据文件和它们表示目录的情况。这些目录或者包含供数据文件访问用的子目录的树形结构,或者包含直接连接的数据文件,或者两样都有。“数据”项同时集中了不可执行数据和可执行数据或程序。
在这个例子中,目标文件30由两部分组成,包括一个文件头32和一个数据部分33。文件头32包含自身已知参数的最初部分,就是-一个类型,指出这个文件是一个目录或者是一个数据文件;-一个标记,指示文件在一个它包含的目录里面,涉及例如一个名称或一个编号;和-访问条件,为所有用户给出一系列对该指定文件的访问权例如它指明是否可以对这个文件做读或写访问;以已知的方式,可依据于密钥或口令的表示而确定交付这些权利。
文件头32包含本发明特有的第二组参数,就是-一个参数<链接>,它可采取两个值,或是取值1,它指出这个文件是一个链接文件,或是取值0,它指出这个文件不是一个链接文件,这里,这个参数具有值0。
-一个参数>链接<,它可能采取两个值,或是取值1,它指出这个文件是一个目标文件,或是取值0,它指出这个文件不是一个目标文件,这里,这个参数具有值1。
-一个参数A-链接,它可能采取两个值,或是取值1,它指出这个文件可以和一个链接文件联系,或是取值0,它阻止这个文件和一个链接文件连接;和-一个参数CA-链接,它规定当在这个文件和一个链接文件之间生成一个链接时用户应当遵守的条件例如,它能够规定用户提出的密钥或口令。
文件头32最后包含一个编号RC给卡的微处理器指出存储器RC的地址的一个二进制值,从这里开始存储上面提到的数据部分32。
在一个变型中,数据部分32存放在紧接在文件头之后的存储器中,因此就不需要提出编号RC了。
另外,如果目标文件30是《目录》型,数据部分33或者包含一个子目录的树形结构提供对数据文件的访问,或者包含一个可以直接连接的数据文件,或者兼而有之。
反之,如果目标文件30是《数据文件》型,数据部分33包含在读出或更新时直接存取的,或卡的微处理器可以执行的全部数据。
在变型中,目标文件30的组织可以不同于图3表示的那样两部分(文件头和数据部分)。例如,也可以把文件头32的参数放在数据部分中的特定位置。
至于链接文件31,它只有一个单独的部分,就是一个文件头,该文件头和目标文件30的这部分32有同样的结构,只是它的内容根据以下情况改变-涉及一个链接文件,而不是一个目标文件,一般不用参数A-链接和CA-链接,除非在其它情形所描述的特殊情况。
-另外,《编号》不再与一个可能和链接文件连接的数据部分有关,而是与一个指出也和这个链接文件连接的目标文件的存储器位置的编号RFC有关。在这个例子中,就是目标文件30。编号RFC或者是优先的《物理的》而由某存储器地址的二进制值组成,从这个存储器地址开始存放上面提到的目标文件32,或者是作为变量的《逻辑的》而由一个访问路径组成,该访问路径指明一个或多个目录的标记,从这里可以访问目标文件32。
在一个动态管理卡的存储器的很特殊情况,为了优化存储器的占用,由微处理器重新组织。文件的位置因此是浮动的,从而它们建立的地址也是浮动的。在这种情况下,只有目标文件的逻辑编号便于使用,因为物理地址要冒经常更改的风险。引用如以上提及的情况为例子,逻辑编号是[卡→应用1→数据文件A1-1]。
显然,一个链接文件是没有数据部分的,但是和一个确定的目标文件联系,该目标文件的数据部分由链接文件处理。
注意,在一个特殊情况,不同于链接文件31的第二个链接文件能不直接接地和一个目标文件连接,而是和例如链接文件31连接。下面就是这种情况-保存在第二个链接文件的编号是链接文件31的编号;-第一个链接文件的文件头中最好用参数CA-链接以控制第二个链接文件的生成条件。
在操作时,当用户选择一个文件时,微处理器的一个程序读出它的文件头并检查它的参数<链接>。如果它等于0,适合用现有技术操作数据部分直接和这个文件头连接。
如果<链接>等于1,文件是一个链接文件。程序依次读出这个链接文件的RFC编号,这个编号指明一个目标文件的地址或访问路径,这个目标文件所含的数据部分是要非直接和链接文件的文件头连接的。在由用户或微处理器对目标文件的数据部分的内容进行处理之前,程序通过查看链接文件和目标文件各自的文件头进行如下的验证-在生成链接文件时,检验被证明目标文件的类型是否和链接文件的类型一致;不一致时,中断访问链接文件的过程;-在每次访问目标文件时,根据一个进一步明确的过程检验各自的访问条件的遵守情况。
进行这样的检验时,程序追踪对链接文件内容的访问过程。如果目标文件的数据部分是《零字节》,就是说没有内容,程序就中断同时卡返回一个出错消息。如若不然,程序就从地址RC开始在这个数据部分中寻找包含的信息。再以图2为例,如果在应用目录1的文件A1-1是按照目标文件的形式生成的,服务目录A2-S1和A2-S2的文件A2S1-1,A2S1-2,A2S2-1是按照链接文件的方式生成的。结果,选择一个像A2S1-1那样的链接文件就得以访问目标文件A1-1的内容。
访问目标文件数据部分的条件在该文件的文件头规定,在实行目标文件和链接文件之间的连接时,必须在所有的情况下都遵守。许多策略都是可能的。最简单的是服从在目标文件文件头中规定的访问条件这样一来,只有目标文件的访问条件得到遵守才允许通过链接文件访问目标文件中的信息。
另一个策略是在生成链接文件时,考虑目标文件的访问条件。那样就要检证登记在链接文件文件头的访问条件包含这个链接文件连接的目标文件的所有访问条件。
第三个策略是当访问条件以一个二进制数值形式表示时可用它把两个条件合并。这个操作实际上是把两个值进行逻辑与(ET)。只有访问目标文件的条件和链接条件同时得到遵守才通过链接文件访问目标文件中的信息。
通过这些不同的策略,读者理解到在访问控制层次的目的在于通过将文件与具有更优先的访问条件的文件连接来禁止所有可能绕过该文件的访问条件。也可以用内行人熟悉的其他策略保证访问的安全。
关于保密的一个重要改进是用目标文件的A-链接参数阻止它和其它文件连接。如果这个参数是“1”,当生成一个与该目标文件连接的链接文件时,这次操作可以进行,目标文件数据部分的内容完全可以被链接文件访问。反之,如果这个域的值是“0”,这个目标文件不能和任何其它文件连接。当试图为一个A-链接域等于“0”的文件生成一个连接文件时,操作就被拒绝同时卡返回一个出错消息。
当擦除时,也就是说删除链接/目标文件时有一个问题。如果一个目标文件被擦除,就再也不可能由这个链接文件访问它所包含的信息。因此,一次这样的擦除的后果不是唯一的限于包含该文件的目录,而可能影响到其他的目录。解决的办法在于或者禁止擦除和一个或几个链接文件连接的目标文件,或者通知卡的使用者某些文件在擦除后不能再操作。第一个方法因此要测试>链接<的值。如果这个值是1,正在被擦除的文件是一个目标文件。这次操作或者被禁止,或者执行但带上一个警告在后一种情况,卡的命令终端将要擦除所有和被擦除目标文件连接的链接文件。
为了擦除一个目标文件而又不影响存储器的其余部分,就需要擦除所有和被擦的目标文件连接的链接文件。当最后的一个链接文件被擦除时,指示>链接<取值为“0”因而不再涉及一个目标文件。一个简单的二进制指示因此不能充分记载链接文件的数目,除非每次不得不擦除卡的全部的非易失性存储器。解决的方法是在参数>链接<的地方提供一个计数器Cp-链接。这个计数器最好是8比特的,它允许存在最多到255个文件看来这个数对目前应用是足够大的。这个计数器混合在目标文件的文件头中。
在生成一个目标文件时,计数器Cp-链接被置“00”。每当新生成一个和目标文件连接的链接文件时,计数器的值就递增。每次擦除一个和目标文件连接的链接文件,计数器的值就递减。当选择这一个目标文件。计数器的值最好和文件头的其他信息一起发布,用户能识别与所选目标文件连接的链接文件的数目。
为了以更灵活的方式解决擦除目标文件的问题,卡的程序配备一个可以从卡外部激发的命令,它允许分别改变两个文件的《链接》和《目标》状态。因此,一个变成一个链接文件的目标文件就可以被擦除而对其他链接文件没有影响。新的目标文件的内容就由旧的目标文件的内容组成。当文件的数据部分与它的文件头在物理上分离时,这样的操作特别方便。为了安全的缘故,执行这样的命令依赖于检验在旧的目标文件的文件头中规定的访问条件,还可能要检验在文件间生成链接的条件,这个条件是在新的目标文件的目录中的参数CA-链接规定的。执行这个改变的命令时,旧的目标文件的计数器CP-链接的值存入新的目标文件的计数器CP-链接中。
图4说明生成一个文件的过程,它涉及或不涉及一个链接文件。它不仅包含本发明特有的以及和链接文件有关的步骤,还包含本身已知的和生成所有不管什么性质的文件有关的某些步骤。在步骤1,收到卡来的生成文件的命令和相伴的生成的数据这些数据特别地指出要生成的文件的类型和标记,如果涉及一个链接文件,还有要与目标文件连接的链接文件RFC编号(图3)。
随后,卡的开发系统检验能否在也被称为“当前的”目录的实际的目录中生成一个新的文件(步骤2)。结果,或许按照密钥的预定表示而生成新的文件,这个密钥是在当前目录文件头的访问条件中规定的。然后,验证在当前目录中存储器有足够的空闲用来容纳新文件(步骤3)。如果检查结果是否定的,中断执行生成文件的命令(步骤13),这时卡返回一个相应于停止的根源的消息。
随后,开发系统检测是涉及要生成一个标准文件或生成一个链接文件(步骤4)。一个标准文件和一个链接文件之间的重要差别和对该差别进行检测在于生成的数据,和主要地在于精确指示目标文件的位置(物理的或逻辑的地址)。如果不是一个链接文件,程序直接转到以后说的步骤12。在相反情况,对应于指定的目标文件的信息,要按步骤5进行搜索和分析;然后开发系统进行若干次检测,以确定能否在指定的目标文件和链接文件之间生成链接。
首先,借助生成数据验证目标文件确实存在(步骤6)。如果不是,这些数据不对应于任何一个文件,生成操作就中断并且卡返回一个出错消息(步骤13)。在步骤7,测试位置确定的目标文件的参数A-链接。如果它的值是“1”,操作可以进行。如果不是,目标文件不能和其它任一个文件连接。于是生成操作被中断并且卡返回一个出错消息。在步骤8,开发系统测试在链接文件的生成条件中即目标文件的CA-链接参数确定的可能的密钥是不是预先确定已存在。如果不是这样情况,生成操作就被中断。
在步骤9,卡的开发系统验证文件的类型和对信息访问条件兼容。为此,目标文件的参数“类型”和生成数据传送的参数“类型”比较。如果它们的值不一样或者至少是不兼容的,就像例如在一个生成命令企图在一个数据文件和一个目录之间,或者在一个“公共”型数据文件和一个“秘密”型数据文件之间进行连接的情况,这时,生成操作被中断并且卡返回一个出错消息。这个测试是非强制的,因为另一个办法就是为了生成链接文件而把收到的数据强迫成为与指定目标文件的数据相同的值在这种情况下,兼容就确定了。
最后,最后一个有效测试对访问包含在目标文件的信息的条件进行(步骤10)。这里关系到避免绕过一个链接文件向目标文件访问的条件,这个链接文件具有更加优先的访问条件。上面提到的策略中的一个在于禁止生成一个具有比目标文件的访问条件限制更小的条件的链接文件生成操作就中断并且卡返回一个出错消息(步骤13)。另一个策略在于整顿,并且修改链接文件过于优先的访问条件,使它至少与目标文件具有同样的限制。在这种情况,步骤10的测试就变成计算操作,如果需要,同时修改命令中传送的访问条件。
一旦通过了测试的步骤,就可以实现生成链接文件。在步骤11,目标文件的文件头被更新。这里主要关系到参数>链接<或Cp-链接。如果和参数>链接<有关,程序验证它具有值“1”,或者如果不是,就把它置换成这个值。如果相反,和计数器Cp-链接有关,就把它的值加一。
最后在步骤12,确实生成一个新的文件,并且这个文件的文件头参数的值在工作存储器中由生成数据被确定。这些数值记在非易失性可编程存储器中。如果要生成的是一个目标文件,写下一个和目标文件的位置(物理的或逻辑的地址)相联系的编号。一旦所有这些步骤都通过,卡发回一个状态正确的消息并且新生成的文件可以操作。
一个目标文件的生成不再详述,因为在它的生成时,这个文件类似一个典型的文件。它只是与成为一个有效的目标文件的链接文件相连接时的情况。
本发明一个特别有益的应用并且和链接目录有关的是这个目录或一个电子钱包目录应用在支付手段的卡上。这个目录含有带密钥的基本文件,借-贷区域,口令有效区域等。一个这样的目录有许多应用(交通,餐厅,购物中心)这里的每个应用都有一个链接目录和电子钱包目录连接,而电子钱包目录成为目标目录。
权利要求
1.与信息处理设备协同操作的保密模块,该模块具有信息处理装置和存储数据装置,存储数据装置存储一些文件,其特征在于该模块包含-生成链接的装置,用来至少在一个主文件(30)和一个辅助文件(31)之间产生一个链接,主文件有一个确定的内容(33),根据定位数据(RFC),处理装置可以在存储装置中访问主文件的内容(33),生成链接的装置与一个上述定位数据的辅助文件(31)相关联;-分支装置,用来当连接装置用来当数据处理装置执行一个对访问辅助文件(31)访问的请求时,利用上述的定位数据(RFC)由处理装置处理上述主文件(30)的内容(33)。
2.根据权利要求1的保密模块,其中辅助文件(31)包含一个参数(<链接>)指出它包含主文件(30)的定位数据。
3.根据权利要求1的保密模块,其中主文件(30)包含一个参数(>链接<),该参数指出主文件的定位数据(RFC)至少和一个辅助文件(31)配合。
4.根据权利要求3的保密模块,其中上述参数(>链接<)是一个计数器(Cp-链接)的值,用来计算和该主文件(30)连接的辅助文件(31)的数目。
5.根据权利要求1的保密模块,其中主文件(30)包含一个参数(A-链接),当要求对一个辅助文件(31)访问时,参数(A-链接)指出是否允处理主文件(30)的内容。
6.根据权利要求1的保密模块,其中主文件(30)包含一个参数(CA-链接),当生成一个与指定辅助文件(31)的连接时,参数(CA-链接)指定处理装置要遵守的生成条件。
全文摘要
本发明涉及一个和数据处理器协同操作的保密模块,该模块具有数据处理装置和存储数据装置,存储数据装置存储一些文件。根据本发明,保密模块包含生成链接的方法和连接方法,生成链接的方法用来至少在一个主文件和一个辅助文件之间生成一个链接,主文件有一个确定的内容,根据定位数据,数据处理装置可以在存储装置中访问主文件的内容,生成链接方法与一个含上述定位数据的辅助文件配合。
文档编号G06Q10/00GK1231042SQ9880089
公开日1999年10月6日 申请日期1998年6月25日 优先权日1997年6月26日
发明者杰罗姆·阿杰登鲍姆, 帕特里克·汉米尔, 安妮-弗朗斯·普雷萨 申请人:布尔Cp8公司