专利名称:验证在权标中的指令的结果的方法
技术领域:
本发明涉及一种验证在连接到终端的权标中的命令的执行结果的方法,所述终端包括一种向用户通告信息的装置并将所述命令发送回所述权标,所述权标在所述执行后向终端发送结果。
本发明的一个特别有优点的应用在于诸如银行、电话和健康保健的领域,这要求验证命令执行的结果,例如在通过因特网在一服务的购买者和所述服务的供应者之间进行交易期间。该供应者例如是一个汽车交易商,呼叫用户的供应者具有一连接到与通信网络链接的终端的权标。购买者有一个按照ISO发布的标准X509定义的证书。此证书对于一个购买者来说是唯一的和独特的。它是面向公众的。它包括诸如公开密钥、购买者的姓名和电子地址、证书失效日期等的数据。当购买者要购买一辆汽车的时候,它通过通信网络发出一个交易请求。为了检查在购买者和供应者之间的交易请求,当前的技术中的一个公知方法包括一些步骤,按照这些步骤-向供应者发送购买者的证书,-利用与购买者相关的私钥计算在交易请求中的敏感数据上的签名,-通过通信网络向供应者的终端发送交易请求和所述的签名,在与所述供应者的终端连接的权标中,利用在购买者的证书中的购买者的公开密钥执行检查交易请求的签名的命令,-在所述终端的屏幕上显示指示检查结果的消息,和-如果所显示的结果是肯定的,则交易被授权。
虽然,利用这种方法,供应者可以检查交易请求的签名,但是这种方法不向供应者充分保证到达它的终端的交易请求的数据没有被在网络上窃听的骗子事先修改。例如,如果该交易请求包括一个汽车的交货地址,骗子能够修改该地址并使得汽车以购买者的花费而交付。当然,签名检查将是错误的,但骗子也可以通过网络在供应者的终端上提供一个病毒来截取来自权标的签名检查结果,以便在所述终端的屏幕上取代错误结果而显示肯定结果。
因此,本发明要解决的技术问题是提出一种验证在与终端连接的权标中的命令的执行结果的方法,所述终端包括一个向用户发送信息的通信装置并将所述命令发送到所述权标,所述权标在所述执行后向该终端发送结果,这在权标的用户未意识到的情况下阻止了骗子截取和修改命令执行的结果,并且这另外必须容易实现。
按照本发明,所提出的技术问题的解决方案在于所述方法包括一些步骤,按照这些步骤-执行一个检查来查找是否所述命令具有敏感的特性,如果所述命令具有敏感的特性,则执行下列步骤,按照这些步骤-对于任何敏感的可能命令结果,至少一项可数字化信息被通过包括与所述权标连接的输入装置的接口输入,并且所述至少一项可数字化信息被发送到所述权标,-在所述权标中执行所述命令,-从所述权标向所述终端发送指示命令执行结果的应答,对于一个敏感的结果,所述应答包括与所述结果相关的所述至少一项可数字化信息,-如果该结果是敏感的,则利用所述终端的通信装置执行一个检查来保证所述的应答包括对应于所述结果而输入的所述至少一项可数字化信息。
因此,下面将说明,可以在如果有敏感结果的时候通过发送指示命令执行结果和包括由权标用户输入的至少一项可数字化信息的应答来使用本发明的方法,以向所述用户保证有终端的通信装置发送的应答确实与由所述权标产生的结果对应。
下面参照附图给出的说明作为非限定性的示例,使得更容易理解本发明所包含的是什么以及如何实现它。
图1是一个终端和一个权标的图。
图2是表示在图1的终端和权标之间的一第一数据交换的图。
图3是表示在图1的终端和权标之间的一第二数据交换的图。
图4是表示在图1的终端和权标之间的一第三数据交换的图。
本发明说明书涉及通过因特网的交易的示例。然而,很清楚,本发明一般地应用到要求当终端未保证安全的时候检查命令的执行的任何其他应用上。
图1表示一个权标TOKEN和一个终端T。该终端与网络NET连接并包括一个向用户发送信息的通信装置S和提供一个或多个服务的应用程序P或软件程序。该权标与包括一个信息输入装置K的接口I连接。为了执行服务,由在权标中的应用程序P发送一个命令CD来执行,如检查涉及交易的签名。命令CD包括输入参数PAR。例如,签名检查命令包括的参数如-要检查的签名,-被签名的交易数据。
为了在利用应用程序P在权标TOKEN中由终端T发送命令CD之前,在第一步骤中验证在所述权标TOKEN中的命令CD的执行结果,进行检查来看是否该命令有敏感的特性。在这种交易情况下,如果一个命令的结果对于权标的正确的运行和安全以及所提供的服务是重要的,则该命令有敏感特性。当然,对于每个服务,在应用程序P中,正确运行的指标被首先确定,并且每个命令通过分配给它一个敏感特性或否而分类。例如,我们假设签名检查有一个敏感特性,而更新交易请求的历史数据没有敏感特性。
其后,在权标TOKEN中命令CD通过终端T来发送。
如果命令CD没有敏感特性,则该命令在权标中执行,并且如果必要的话,通过终端T的通信装置S向权标的用户通告命令的结果。
否则,对于诸如签名检查命令的任何有敏感特性的命令,要在所述权标中考虑的所述至少一项可数字化的信息NB的安全信息SINF和格式化信息FINF被从终端T向所述权标TOKEN发送。例如,格式必须是二进制或ASCII的。利用该安全信息SINF,所述的权标被通告已经发送了一个敏感命令。按照该实现的一种特殊的、非限定性的模式,所述安全SINF和格式化FINF信息是所发送的命令CD的输入参数。
例如,签字检查命令包括的参数如-要检查的签名,-签字的交易数据,-安全信息,-格式化信息。
在第二步骤中,对于该命令的任何敏感的可能结果,通过包括输入装置K的接口I输入至少一项可数字化的信息NB。按照该实现的第一非限制性方式,输入装置K是一个键盘。按照该实现的第二种方式,所述装置是一个触摸屏。它也可以是麦克风。
按照该实现的一种特殊、非限制性方式,数字化信息NB的所述项是被发送去执行的命令CD的输入参数。如图2所示,签名检查命令包括的参数如-要检查的签名-签名的交易数据-安全信息SINF-格式化信息FINF-对应于第一敏感可能结果的一项可数字化信息NB1-对应于第二敏感可能结果的第二项可数字化信息NB2,等等一个敏感可能结果表示如果骗子要改变所述的结果则可能有害于由应用程序P提供的服务的安全的一个结果。
注意,命令的结果可能在一个特殊的环境下是敏感的,而在另一个环境下则不敏感。该结果的敏感特性也在应用程序P的设计期间被估计。
命令CD的执行可能提供肯定或否定的结果。另外,可能存在各种类型的肯定或否定结果。例如,对于在权标中更新保密数据的命令,可能获得指示一个写入错误的第一否定结果、指示不能获得该权标和可以进行稍后的测试的第二否定结果或指示命令的正确执行的一个肯定结果。一般,结果的类型通过由所述权标返回的相关的唯一的状态值SW而提供。例如我们可以认为仅仅否定结果是敏感的,并随后仅仅对这两个可能的否定结果输入一项或多项可数字化信息NB。
在图3所示的示例中,对于一个签名检查命令,我们假定我们在一个肯定结果和一个否定结果之间选择并且两者都是敏感的。签名是正确的或错误的。利用输入装置K——在此为键盘,输入可数字化信息,在本示例中,数字一、二和五针对正确的签名,数字三、六和七针对错误的签名。
我们避免使用相同的可数字化信息或可数字化信息的逻辑系列来防止骗子分析所述的信息和找到下一项信息。有利的是,所述的至少一项可数字化信息NB是任意的。因此,骗子不能模拟、预测或猜想所述的至少一项可数字化信息NB。
按照实现的第一非限制性模式,所述的权标TOKEN是一个集成电路卡,接口I是一个阅读器。
按照实现的第二非限制性模式,所述的权标是一个电子安全密钥,如公知为具有串行接口的硬件锁(dongle)的密钥、或包括USB型接口的电子密钥。
按照实现的另一种模式,所述的权标是一个PCMCIA型卡。
有利的是,所述权标的用户被通告,接口I正在等待所述的至少一项可数字化信息NB的输入。例如该信息由被终端T的通信装置S发向用户的消息提供——该消息请求用户输入对应于敏感结果的可数字化信息的项,或由语音消息提供,并且伴随着在接口I上的发光指示器的闪动。
在第三步骤中,所述的至少一项可数字化信息NB的输入被发送到所述权标TOKEN并按照预先发送的格式化信息FINF格式化。该格式化直接在权标或在接口I中执行。当然,在后一种情形下,该格式化在向所述权标TOKEN发送所述信息NB之前执行。
在第四步骤中,所述的命令CD在所述权标中执行。所述的执行提供了一个结果RES。权标TOKEN包括将结果RES与对应的所述的至少一项可数字化信息NB相关联的器件。因此,在检测到安全信息SINF的存在后,所述权标触发所述的相关联器件。按照实现的另一种非限定性模式,有可能检查是否所述的安全信息SINF已经被启动,这里的所述信息总是作为命令CD的参数。
在第五步骤中,如图4所示,指示命令执行的结果RES的一个应答A被从所述的权标TOKEN向终端T发送,对于一个敏感结果,所述应答A包括与所述结果相关的所述的至少一项可数字化信息NB。
按照第一实现变化形式,应答A包括与所述结果相关的所述的至少一项可数字化信息NB和唯一状态值SW。优选的是,按照第二实现变化形式,从所述权标向终端发送的应答A包括仅仅所述的至少一项可数字化信息NB。
注意,由于权标与接口I相连,所述的所有信息交换通过所述接口I以一种安全的方式发生,因为骗子很难在权标和所述接口I之间窃听通信。
最后,在最后的步骤中,如果结果是敏感的,则利用所述终端T的通信装置S执行检查来保证所述的应答确实包括所述的至少一项可数字化信息NB。
按照实现的一种非限定性方式,通信装置S是一个语音装置。按照前面看到的图3所示的示例,该通信装置S是一个屏幕。在签字检查期间,如果结果是肯定的,数字一、二和五被发送到终端T并随后在屏幕上显示。如果结果是否定的,则显示数字三、六和七。供应者因此在他的终端上的屏幕上检查一切正确发生。试图改变命令结果的骗子不知道由权标的用户输入的数字。在签字检查示例中,如果检查的结果是否定的并且如果骗子将其改变为肯定的结果,则显示在屏幕上的应答A将不包含对应于否定结果所输入的数字。因此,尽管有显示命令被正确执行的消息,供应者将推断仍然发生了一个错误并将拒绝该交易请求。对否定结果是同样的。然而,终端T可能包含以一个命令替换另一个命令的一个病毒。其后,在没有意识到的情况下,权标的用户检查非法发送和执行的一个命令的执行结果,而不是另一个。于是,有利的是,在执行一个敏感命令CD之前,指示信息IINF被通过接口I输入,所述信息IINF指示要执行的敏感命令。它被发送到所述的权标TOKEN。优选的是,当输入可数字化信息的时候输入该指示信息IINF。然后,在权标TOKEN中,利用指示信息IINF来执行检查以保证由终端T发送的命令CD与用户期望的命令相对应。如果该检查是肯定的,正确发生的一切和前述的步骤从第三步骤执行。否则,用户被通告发生了一个错误。注意,如果已经定义了几个敏感的命令则输入指示信息IINF是有用的。如果仅仅将一个命令CD定义为敏感的,则根据此单一命令在权标TOKEN中自动执行检查,用户不输入指示信息。
权利要求
1.验证在与终端(T)连接的权标(TOKEN)中执行命令的结果的方法,所述终端(T)包括一个向用户发送信息的通信装置(S)并将所述命令发送到所述权标,所述权标在所述执行后向该终端发送结果,其特征在于该方法包括步骤-执行一个检查来查找是否所述命令具有敏感的特性,如果所述命令具有敏感的特性,则执行下列步骤-对于任何敏感的可能命令结果,至少一项可数字化信息(NB)被通过包括与所述权标连接的输入装置(K)的接口(I)输入,并且所述至少一项可数字化信息被发送到所述权标,-在所述权标中执行所述命令(CD),-从所述权标(TOKEN)向所述终端(T)发送指示命令执行结果的应答,对于一个敏感的结果,所述应答包括与所述结果相关的所述至少一项可数字化信息(NB),-如果该结果是敏感的,则利用所述终端(T)的通信装置(S)执行一个检查来保证所述的应答(A)包括对应于所述结果的被输入的所述至少一项可数字化信息(NB)。
2.如权利要求1的方法,其特征在于所述权标(TOKEN)是一个集成电路卡。
3.如权利要求1或2的方法,其特征在于所述接口(I)是一个阅读器。
4.按照上述权利要求中的任一个的方法,其特征在于它包括一个另外的步骤,按照此步骤,所述权标的用户被通知,接口(I)正在等待输入所述的至少一项可数字化信息。
5.按照上述权利要求中的任一个的方法,其特征在于所述的至少一项可数字化信息(NB)是随机的。
6.按照上述权利要求中的任一个的方法,其特征在于它包括另一个步骤,按照此步骤,所述的至少一项可数字化信息(NB)的安全信息(SINF)和格式化信息(FINF)被从终端(T)发送到所述权标(TOKEN)。
7.按照上述权利要求中的任一个的方法,其特征在于它包括另一个步骤,按照此步骤,在执行一个敏感命令(CD)之前,通过接口(I)输入指示信息,所述信息指示要执行的敏感命令。
8.按照权利要求7的方法,其特征在于它包括另一个步骤,按照此步骤,在权标(TOKEN)中利用指示信息(IINF)执行检查来保证由终端(T)发送的命令(CD)与由用户期望的命令相对应。
9.按照上述权利要求中的任一个的方法,其特征在于它包括另一个步骤,按照此步骤,在检查是否一个命令有敏感特性之前,一个命令通过被分配敏感特性与否而分类。
全文摘要
本发明涉及一种用于验证在与终端连接的权标中的命令的执行结果的方法,所述终端包括向用户发送信息的通信装置,所述权标在已经执行时向该终端发送结果。本发明特征在于该方法包括下列步骤检查是否所述命令具有敏感的特性,如果所述命令具有敏感的特性,则执行下列步骤;对于每个敏感的可能命令结果,使用包括与所述权标连接的输入装置的接口输入可数字化信息,并且所述可数字化信息被发送到所述权标;执行所述命令;从所述权标向所述终端发送响应,对于一个敏感的结果,所述响应包括相关的可数字化信息,此可数字化信息与所述结果相关;如果该结果是敏感的,则利用所述终端的通信装置检查响应确实包括输入信息。
文档编号G07F7/10GK1408104SQ00816710
公开日2003年4月2日 申请日期2000年10月17日 优先权日1999年10月29日
发明者卢卡茨·洛达齐克 申请人:施蓝姆伯格系统公司