专利名称:带有安全的数据处理的便携式数据载体的制作方法
技术领域:
本发明涉及用于在便携式数据载体内、特别是在芯片卡内安全地处理 数据的方法以及这样的数据载体。
背景技术:
为了由配备有处理器的便携式数据载体处理由外部装置提供给它的数 据,该数据载体具有写功能,该写功能将数据写到数据载体的非易失性存储器的确定的存储区上,例如写到芯片卡的EEPROM存储器内。这点例如 适合于用在销售点终端或信用机构上的交易的芯片卡和智能卡。通常,这 样的数据根据存储器地址按位被写到数据载体的目标文件中。这样的用于 芯片卡的根据ISO-IIC 7816-4标准化的写命令例如是UPDATE-BINARY和 WRITE-BINARY 。大多数情况中供数据载体使用的数据的长度不超过256字节。如果将 数据传递到数据载体的过程被中断,例如由于供电中断而中断,则为避免 数据不连贯性和保证数据载体的完整性必须删除256字节长的存储区。特 别地对于芯片卡更是如此,因为通过为电容器加电荷而存储数据,且在 EEPROM存储器内的数据位的写入在确定的写命令中可能取决于被覆盖的 位或者电容器当前的能量水平。因为主要的非易失性(EEPROM)存储器 以64字节的页组织,对于数据删除典型地时间需求是3 ms x 256/64=12 ms。 该时间需求在无接触式运行的芯片卡中仍是可接受的。然而在较大的数据 组的存储中,用于删除相应的存储区的时间可能不可接受地长。因此,在 8K字节的数据组中,已需要8192/64 x 3 ms=384 ms的删除时间。EP 0 811 204 Bl中描述了一种用于在芯片卡内存储数据的方法,其中 在通过芯片卡处理数据之前检查访问授权,并且在检查访问授权之前将数 据临时存储在为其提供的临时存储区内。EP 0 914 640 Bl公开了安全性重 要的信息在数据载体内的存储和使用,其中,数据在使用前通过以临时密 钥加密来保护以防止不允许的访问。然而,以上所述的文献没有提供用于解决在写过程中断时删除时间过长的问题的解决方案。 发明内容本发明要解决的技术问题在于,提供一种安全地处理数据的方法和一 种相应的数据载体,其中加速地进行对存储区的删除。根据本发明,该技术问题通过带有独立权利要求的特征的方法和数据 载体解决。在其从属的权利要求中给出了本发明的有利的构造和扩展。根据本发明的数据载体包括至少一个处理器和一个非易失性存储器(通常为可重写的EEPROM存储器)以及由处理器可执行的、专门形成的处理控制。该处理控制要求待由数据载体处理的数据并且将数据提供给处理。但是,处理控制并不将由外部装置提供的数据直接提供给例如密码或 PIN检查、签名或在目标存储区内进行存储的处理,而是在第一步中首先将 数据存放到形成在非易失性存储器内的临时存储区内,以便在第二步中才 影响其处理。在此,数据在第一步中被加密,并且仅以加密的形式临时存 储在临时存储器内,其中加密通过数据载体的密码功能进行。为了处理数 据,将现在的通过密码功能加密的数据借助于密钥首先解密并且随后按照 解密的形式处理。在处理完全结束后,虽然数据仍位于临时存储区内,但它被加密,使 得无解密密钥则数据不可读。因此不需要对其删除。作为替代,数据可以 在任意时刻删除,例如当为数据载体提供新的数据时删除。优选地,解密 密钥在密钥存储区内在数据处理结束后立刻被删除。这样,不可能访问临 时存储区内的加密数据。通过临时存储加密数据,(例如由于数据存储器处理中断所)要求的对 临时存储的数据的删除变得不需要,或者至少降低为删除所属的解密密钥。 因为解密密钥通常具有恒定的且通常比数据明显更短的位长,所以对临时 存储数据的删除或者说使之不可用可以通过删除解密密钥而快速和有效地 进行。用于直接的进一步处理的临时存储和解密的步骤优选地直接相继地执 行,使得两个步骤形成一个功能单元并且使得临时存储对于数据载体的使 用者不透明。由此实现了数据只有在中断中为保证数据完整性而必须才在临时存储器内保持可读,因为在处理后可以通过对解密密钥的删除使得加 密数据不可读,因为数据此时不再需要。临时存储区就此而言优选地形成 为选择的、临时的存储区,并且不用于按照可访问或可寻址的形式存放数 据。优选地,可以除由处理控制外不可由任何应用程序和使用者访问该临 时存储区。原理上,该方法可以在任何配备有计算能力的数据载体上进行,然而 根据本发明在带有处理器的便携式数据载体上进行,例如芯片卡、智能卡、PCMCIA卡、安全多媒体卡、USB令牌(Token)和同类的多个特别是与这 样的数据载体和外部设备之间的数据传递相关的卡,外部设备例如芯片卡 终端、销售点、其他读取设备等。在此,将控制数据载体的运行方式的操 作系统存放在永久的ROM存储器内,该ROM存储器优选地还包括了处理 控制以及密码功能。称方法中,用于在临时数据存储器中数据加密的密钥是与用于在拷贝中的 数据解密的密钥相同的密钥。在非对称方法中这些密钥不同,其中在数据 处理后仅须将解密密钥删除,以便防止对在临时存储器内的数据的进一步 的访问。在两级处理过程期间,不希望的中断可能一方面在最初的临时存储期 间并且另 一方面在最后的处理中出现。在所要求的数据的临时存储期间的 中断中、即在加密数据尚未完全地存在于临时存储区的时刻的中断中,将 解密密钥删除以使得不能访问临时存储区的不完全的且不连贯的数据。在此,密钥可以 一方面存放到形成在数据载体的非易失性存储器内的 密钥存储区内,例如在芯片卡的EEPROM存储器内,或者另一方面存放到 易失性存储区内,例如芯片卡的RAM存储器内。在第一种情况中,在临时 存储期间的中断中,解密密钥优选地借助于主动的、由处理控制发起的删 除过程删除。该主动删除过程可以 一方面准同时地随同中断的出现而进行, 或者另 一方面直接在中断消除后作为基本上数据载体的中断后的第 一个操 作进行。反之,在后一种情况中、即在其存在于易失性的RAM存储器内的 情况中,解密密钥不必由处理控制主动地删除,而是作为断电的直接结果 在没有由处理控制发起的主动删除过程的条件下被删除。在数据处理的中断中,在中断消除后原理上将导致处理结束,并且只有数据已完全被处理时才删除解密密钥。在此可以不出现数据不连贯性, 因为数据完全存在于临时存储区内且在供电恢复时中断的处理可以继续或 重新开始。通常在数据载体上设置了文件系统,以便组织存储的数据并且使得可 对其进行逻辑寻址。因此,数据载体的非易失性存储器可以原理上划分成 为文件系统提供的存储区和剩余的不作为文件系统组织的存储区。临时存 储区可以设置在或在文件系统存储区内,或在此存储区外。在一种特別优选的实施方式中,数据的处理包括将数据存储在由使用 者或应用程序可访问的数据载体的目标文件中。在此,将首先加密地存在 于临时存储器内的数据在随后的处理步骤中拷贝到非易失性存储器的为目 标文件保留的目标存储区内。在将加密数据拷贝到目标存储区内时,将加 密数据通过密码功能借助于解密密钥解密,使得数据随后按照解密形式写 在目标存储区内。在数据完全地且以解密形式存在于目标存储区内的为其 提供的目标文件内后,将密钥存储区内的解密密钥删除。如果在该实施方式中临时存储区被设置在文件系统的存储区内,则有 利的是将临时存储区构造为局部的、为各目标存储区以及各文件指定的存 储区。即,在该解决方案中数据载体的至少每个目标文件具有自己的局部 临时存储区。然而,如果临时存储区设置在文件系统外,则合适的是将临 时存储区设置为全局存储区,它对于所有文件以及目标存储区和每个任意 的其他的处理同样地作为临时存储区供使用。临时存储区的管理和设置 一般地受到通常集成在数据载体的操作系统 内的存储器管理控制,存储器管理例如根据分段和管理策略组织临时存储 区。也可以在使用局部临时存储区时将其直接作为为文件保留的临时存储区的部分设置在非易失性的EEPROM存储器内,或作为与此分离的存储区, 该存储区与相应的目标存储区通过逻辑运算而结合。密码解密密钥特别有利地在写过程开始时分别为写过程单独地通过数 据载体的密码功能产生,并且存放在非易失性存储器或易失性存储器内, 使得解密密钥^叉在此处理过程期间存在,而在此前和此后不存在访问临时 存储区的可能性。同样也可以事先生成多个密钥并且存放在非易失性存储器内,其中这 些密钥的每个严格地在一个处理过程中使用并且然后删除。在非对称加密中例如也可以使用一个(主)加密密钥,对此密钥可以产生多个单独的解 密密钥。除在例如芯片卡的RAM存储区的易失性存储器内安排密钥存储区之 外,与在临时存储区中相似也在非易失性存储器内具有安排的全局和局部的变体。在全局的变体中可以在EEPROM存储器的文件系统存储区外设置 中心密钥存储区,在每个写过程中可访问该中心密钥存储区。如果存在全 局的临时存储区,则另外地可能的是将全局密钥存储区形成为全局临时存 储区的部分。如果数据的处理包括在目标存储区内的拷贝,则可以设置局 部密钥存储区,该局部密钥存储区特别地有利地作为可能的局部临时存储 区的部分区域与目标存储区或者文件结合。密码功能可以作为软件部件或作为硬件部件提供。在此,软件解决方 案可以有利地被构造为操作系统程序,而在硬件解决方案中提供了密码协 处理器,操作系统以及写功能在数据加密和解密中需要密码协处理器的功
本发明的其他特征和优点从如下对才艮据本发明的不同的实施例和实施 变化的描述中结合附图给出,附图中图1示出根据本发明的带有全局临时存储器和软件密码功能的芯片卡;图2示出根据本发明的方法的优选实施方式的流程图;和图3示出根据本发明的带有局部临时存储器和硬件密码功能的芯片卡。
具体实施方式
如图l所示,常规的芯片卡作为基本部件包括处理器2,存储器装置3、 4、 5以及接口 7,接口 7用于使芯片卡1与读取或处理设备20通过相应的 接口 23接触,且用于实现数据传递21。芯片卡1内的通信连接通过总线系 统8建立。存储器装置3、 4、 5通常包括三种不同的存储器, 一个永久性 R0M存储器3, 一个非易失性和可重写的存储器4 (它通常为EEPROM但 也可以是其他存储器类型、例如闪存),以及一个只要芯片卡1的供电中断 则其内的数据就丟失的易失性RAM工作存储器5。芯片卡l的操作系统9存放到永久的ROM存储器3内,在此它在芯片卡1的整个寿命期间不被改变。操作系统包括多个实现了基本芯片卡功能 的专用命令,例如输入和输出、认证、存储器管理等。特别地,操作系统9 包括处理控制10,在本发明的该实施方式中处理控制IO形成为存储器功能并且用于将数据22写入到EEPROM存储器4内的文件13内,该数据由于 芯片卡1与终端20的数据通信23而被存储在芯片卡1上。根据标准ISO/正C 7816-4,例如命令WRITE-BINARY和UPDATE-BINARY代表了此类写或存 储功能。图1的处理控制IO根据本发明形成为存储器功能,其运行方式在 图2中绘出。此外,操作系统9包括用于数据加密和解密的密码功能11。 基本上,本发明除了涉及存储供数据载体且特别地供芯片卡1使用的数据外,还涉及任何可能的数据管理方式,例如对数据进行安全性重要的 检查(例如PIN、 口令和签名)或者其他管理(例如通过数据的签名、解密、 算术或逻辑处理,等等),其中有可能不必将数据存放到EEPROM存储器4 内的文件13内,而是可以使其保留在RAM存储器5内。所有这些处理模 式将在本发明的意义中作为两级过程实现,两级过程包括对数据的加密临 时存储和随后的对解密数据的实际处理。如下将解释本发明的特别优选的 实施方式,其中处理步骤包括将临时存储器18内现有的加密数据19拷贝 到芯片卡1的EEPROM存储器4内的文件13内。然而,这决不应该被理 解为对本发明的数据存储的限制。类似于常规的计算机,芯片卡1中的数据通常被组织在文件系统12内, 文件系统12包括目录(专用文件,即DF文件)和携带数据的文件(基本 文件,即EF文件),其中DF文件可以引用其他文件,使得形成了树形结构。 即,待存储在芯片卡1上的数据22将分类在目录树12中的确定的EF文件 13内,并且就此而言写到此EF文件13的存储区14内。待存储的数据22 将占用的EEPROM存储器4的确切的存储区14由实际的写命令给出,该 写命令的传递值(tjbergabewert)由4喿作系统9解释并且转化为EEPROM 存储器4内的物理存储器地址。EEPROM存储器4因此包括用于文件系统 12和其内存放的数据15的确定的存储区6以及位于该存储区6之外的其内 可以存放其他数据的存储区。图2在步骤Sl至S9中示出了根据本发明的存储过程的连续流程。在 图2中给出的命令不代表确定的芯片卡或确定的操作系统内的任何真实的 命令,而是应理解为仅用于图示的伪代码。在步骤S1中调用存储命令STORE,它影响根据本发明的处理控制10 的实施并且其传递值(待存储的数据和目标文件)由操作系统9解释。处 理控制因此承担对待存储的数据的控制并且要求待存储的数据。STORE命 令S1也可以理解为从外部终端20向芯片卡1传来的数据传递21。在此, 处理控制10也承担了对数据22的控制并且因此要求数据22。作为由存储 器组织层面上的抽象的文件名的替代,也可以实现由STORE命令直接给出 存储器地址,该地址对芯片卡1的EEPROM存储器4的其中应保存所涉及 的数据的存储区14进行寻址。此外,也可以的是除此偏移存储器地址之外 也给出待写入的字节的数量、即待存储的数据的大小。在步骤S2中通过对称工作的密码功能11产生密码密钥17 (key),密 钥17在步骤S3中被存放在EEPROM存储器4内的为其保留的密钥存储区 16内。在非对称的加密和解密中,加密密钥可以在加密后在步骤S3中立即 被丢弃,而所属的解密密钥17被存储在密钥存储区16内。为了存储密钥, 给出相应的为此的密码密钥17的SAVE命令以及存储器地址(key一adr ), 该地址对在EEPROM存储器4内为密码密钥17保留的存储区16寻址,如 图1中所示,该存储区16优选地在用于文件系统12的存储区6之外形成 为全局存储区。这样,在数据存储器内产生的全部密码密钥17存储在同一 个密钥存储区16内。这是可能的,因为对于存储过程密钥17单独地产生 并且在存储过程结束后被删除。严格地说,在这样的全局密钥存储区16内不需要在步骤S3中给出存 储器地址key一adr,因为操作系统9总是已知密钥存储区16的恒定的存储器 地址。按位待存储的数据22 (data)随后在步骤S4中被借助于密钥17 (key) 加密,从而形成加密数据19 (data*)。加密数据19在步骤S5中被临时存 储在临时存储器18内,其中临时存储器程序WRITE—INJTMP给出加密数 据19和存储区18的存储器地址tmp一adr。存储器RAM工作存储器5内,并且在步骤S4中由加密程序ll在那里读取。 然后,加密数据然后可以或者再次被存放到RAM存储器4内以便供 WRITE—IN—TMP使用,或者直接随其产生(可能地作为数据流)在不完全 地存放RAM存储器内的条件下(而是可能仅存放在密码协处理器的特定的寄存器或专用存储器内)而写入在临时存储区18内。在后者的情况下,步骤S4和步骤S5以及命令ENC和WRITE—IN一TMP按照有利的方式协同地 执行。如果如在图1中的实施例中存储区18是全局存储区,则不需要给出存 储器地址tmp一adr,因为操作系统已知全局临时存储区18。图1中的实施方 式进一步示出可以将密钥存储区16直接集成在临时存储区18内,或者可 以与其相连接地形成。这点就此而言是有意义的,因为密钥17和加密数据 19总是形成功能对。在步骤S5结束后,待存储的数据22以加密形式19位于芯片卡1上, 并且仅由根据本发明构成的命令在使用密码密钥17的条件下可以访问它。 随后,在步骤S6中通过密码密钥17对数据解密以便用于准备在目标存储 区14内的拷贝。在步骤S7中,将现在以明码文本存在的数据15写入到最 终目标存储区14内,最终目标存储区14可供在EEPROM存储器4的存储 区6内的文件13使用。类似于以上所解释的临时存储步骤S4和S5的协同 操作,通过不将数据存放在RAM存储器4中而是直接随着解密写入到目标 存储区14内,步骤S6和步骤S7或者说命令DEC和COPY—TOJTARG可 以按照有利的方式协同地执行。为了执行拷贝步骤S7,有可能必须借助于操作系统9根据文件名"file" 确定目标存储区14的存储器地址targ—adr。即,随着步骤S7的结束,待存 储的数据在EEPROM存储器4内双重地存在按照加密形式19存在于临 时存储区18内以及按照解密形式15存在于临时存储区14内。然而由于对 数据19的加密,不需要主动地删除加密数据19,在步骤S8中将密钥17删 除就已经足够了。由此使得不可能对临时存储区18内的数据进行访问并且 保证了保持数据连贯性。存储过程在步骤S9中正常终止。随着完全的临时存储,即随着步骤S5的结束,待存储的数据22第一 次物理地完全存在于芯片卡1的EEPROM存储器4内。就此而言,该时刻 标记了在对供电中断或其他故障的中断的错误处理中的决定界限,因为在 临时存储步骤S5结束前的故障中,通过图2中的步骤Fl所图示,待存储 的数据22仅不完全地且加密地存在于芯片卡1的临时存储区19内,使得 存储过程可能不正常地结束。在这种情况下,只有通过删除已经临时存储的不完全的数据,才能保证以及再次建立数据的连贯性。为此目标,在步骤F2中删除密码密钥17,使得在中断F1前加密的已存放的部分数据不能再被使用。在步骤F4中数据存储虽然不成功地但不损害数据连贯性地结束,并且如果需要可以由使 用者重复数据存储。删除密钥17的步骤F2可以根据密钥17的存储位置不同地进行。如果 密钥17如图1中示出存在于在非易失性存储器4内,则在临时存储中断F1 中由处理控制IO通过明确的主动删除过程将其删除。这可以直接在中断F1 之前或者直接在中断取消以及使芯片卡1与终端20再次接触之后进行。第 一情况中可以例如通过如下方式来实现,即通过在由芯片卡1识别中断后 使用电容器内任何现有的剩余电压使密码密钥在准应急运行中也可被删 除。第二变体、即在芯片卡1再次启动后直接删除密钥17可以通过如下方 式实现,即在临时存储部分S5开始时放置逻辑标志,该标志仅在步骤S5 成功完成后才移除。在中断F1后再次启动时所放置的标志指示了中断Fl, 并且芯片卡1的操作系统9可以直接进行删除密钥17的步骤F2。然而,也可以将密钥17存放易失性RAM存储器5内,因为密钥17 仅临时地使用。在临时存储的中断F1的条件下,密钥17则在中断F1随后 直接被删除,因为易失性RAM存储器4在断电的条件下丢失数据而不需要 主动的删除。在步骤S5结束后的中断F5中,即例如在将数据19从临时存储区18 拷贝S7到目标存储区14内期间的中断F5中,被中断的拷贝步骤S7可以 在步骤F6中继续。拷贝过程则严格地在其中拷贝过程S7中断的存储器地 址fail—adr上再次进行。该存储器地址可以由操作系统9或者通过在步骤S7 期间对存储器地址的临时存储或者通过在芯片卡再次启动后对目标存储区 14的分析来确定。当然,作为步骤F6的替代可以不考虑错误地址而再次重 复原来的拷贝步骤S7。在步骤F6的正常结束后,在步骤F7中将密钥17 删除并且在步骤F8中结束写过程。^按照相同的方式,也可以处理所有其他步骤Sl至S4以及S6、 S8和 S9的中断,这取决于中断在步骤S5结束前还是结束后出现。作为加密方法,在本发明中特别地提供了对称密码方法,例如DES、 AES或其变体,因为对于本发明它们具有的优点是使用相同的加密和解密 密钥17。原理上也可以使用非对称加密,其中使用对应的不同的用于加密和解密的密钥。在此情况中,例如可以使用不变的主密钥用于加密,并且 可以将由主密钥导出的单独的解密密钥存放密钥存储区16用于解密。同样, 可以事先生成多个解密密钥,它们被相继使用并且在使用后被删除。密码 功能可以一方面如在图1中示出的通过操作系统程序ll提供,或者另一方面如图3中示出的作为硬件解决方案通过例如高速三次DES ( Triple-DES ) 协处理器的专用密码芯片ll提供。密钥存^t区16和临时存^f诸区18的布置与目标存^t区14相关地也可以 偏离图1中所示的解决方案实现。为此,在图3示出的实施方式中密钥存 储区16和临时存储区18局部地与用于文件系统12的存储区6内的EF文 件13的目标存储区14相结合。在此也为每个目标存储区14指定了单独的 临时存储区18和密钥存储区16。这点可以一方面以物理地或逻辑地关联的 存储区或地址空间实现,或者局部存储区14、 16和18可以通过逻辑运行 相互结合。可以同样有意义的是这样的安排,其中虽然将临时存储区局部地设置 在文件13的存储区14内,但将密钥存储区17全局地设置在存储区6外。 同样好的是可以将密钥存储区局部地设置在文件13的存储区14内,而将 临时存储区16作为全局区域形成在EEPROM存储器4的存储区6之外。
权利要求
1.一种用于在便携式数据载体(1)内安全地处理数据(22)的方法,其特征在于a)要求待处理的数据(22);b)将待处理的数据(22)加密(S4);c)将加密数据(19)临时存储(S5)在所述数据载体(1)的临时存储区(18)内;d)借助于解密密钥(17)将临时存储的加密数据(19)解密(S6);和e)处理解密数据(15)。
2. 根据权利要求1所述的方法,其特征在于紧接在加密数据(19) 的临时存储(S5)之后进行对加密数据(19)的解密(S6)。
3. 根据权利要求1或2所述的方法,其特征在于在处理的正常结束 之后删除(S8)所述解密密钥(17)。
4. 根据权利要求1至3中任一项所述的方法,其特征在于在临时存 储(S5)中断(Fl)时删除(F2)所述解密密钥(17)。
5. 根据权利要求4所述的方法,其特征在于在临时存储(S5)中断 (Fl)时通过主动删除过程删除(F2)所述解密密钥(17)。
6. 根据权利要求5所述的方法,其特征在于所述删除(F2)在出现 临时存储(S5)的中断(Fl)时进行,或者紧靠在消除临时存储(S5)的 中断(Fl )之后进行。'
7.根据权利要求4所述的方法,其特征在于所述解密密钥(17)存 在于易失性存储器(5)内并且在临时存储(S5)的中断(Fl)时作为供电 的中断(Fl)的直接结果而被删除。
8. 根据权利要求1至7中任一项所述的方法,其特征在于在处理的 中断(F5)时在消除处理的中断(F5)后处理继续(F6),并且所述解密密 钥(17)只有在对数据(15)的处理结束之后才被删除。
9. 根据权利要求1至8中任一项所述的方法,其特征在于所述处理 包括将解密数据(15)拷贝到目标存储区(14)内。
10. 根据权利要求9所述的方法,其特征在于所述目标存储区(14)位于数据载体(1)的非易失性存储器(4)内的文件系统(12)的存储区(6)之内。
11. 根据权利要求IO所述的方法,其特征在于所述临时存储区(18) 在文件系统(12)的存储区(6)之内局部地形成为为所述目标存储区(14) 指定的存储区。
12. 根据权利要求IO所述的方法,其特征在于所述临时存储区(18) 在文件系统(12)的存储区(6)外全局地形成为保留的存储区。
13. 根据权利要求1至12中任一项所述的方法,其特征在于所述临 时存储区(18)形成为仅处理控制(10)可以访问其数据的临时的存储区。
14. 根据权利要求1至13中任一项所述的方法,其特征在于在临时 存储(S5)中利用存储在数据载体(1)上的密码密钥(17)对数据(22) 进行加密(S4),并且在处理中利用该密码密钥或与该密码密钥不同的解密 密钥对加密数据(19)进行解密(S6)。
15. 根据权利要求1至14中任一项所述的方法,其特征在于在对数 据(22)的临时存储(S5)之前单独地产生(S2)密钥(17)。
16. 根据权利要求1至15中任一项所述的方法,其特征在于将所述 解密密钥(17)存储(S3)在所述临时存储区(18)的密钥存储区(16) 内。
17. 根据权利要求1至15中任一项所迷的方法,其特征在于将所述 解密密钥(17)存储(S3)在所述临时存储区(18)之外的密钥存储区(16) 内。
18. 根据权利要求1至17中任一项所述的方法,其特征在于所述便 携式数据载体(1)是带有处理器(2)的芯片卡。
19. 根据权利要求1至18中任一项所述的方法,其特征在于借助于 由所述数据载体(1 )的处理器(2 )可执行的软件模块或者该数据载体(1 ) 的硬件模块执行所述加密(S4)和解密(S6)。
20. —种数据载体(1),包括处理器(2)、非易失性存储器(4)以及 可由处理器(2)执行的处理控制(10)和密码功能(11),其特征在于-所述处理控制(10)被设置用于要求待处理的数据(22),将待处 理的数据(22)按照加密形式(19)临时存储(S5)在该数据载体(1)的 临时存储区(18)内,并且对临时存储的加密数据(19)按照解密形式的数据(15)进行处理;和-所述密码功能(11 )被设置用于将在所述临时存储区(18)内临时 存储的数据(22)加密(S4)和将待处理的加密数据(19)利用解密密钥 (17)解密(S6)。
21. 根据权利要求20所述的数据载体(1 ),其特征在于所述处理控 制(10)被设置用于使得紧接在加密数据(19)的临时存储(S5)之后进 行对加密数据(19)的解密(S6)。
22. 根据权利要求20或21所述的数据载体(1 ),其特征在于所述处 理控制(10)被设置用于使得在临时存储(5)中断(Fl)时借助于主动删 除过程删除(F2)所述解密密钥(17)。
23. 根据权利要求22所述的数据载体(1 ),其特征在于所述处理控 制(10)被设置用于使得所述解密密钥(17)的删除(F3)在出现临时存 储(S5)的中断(Fl)时进行,或者紧接在消除该临时存储(S5)的中断(Fl )之后进行。
24. 根据权利要求20或21所述的数据载体(1 ),其特征在于所述解 密密钥(17)存在于数据载体(1)的易失性存储器(5)内并且在临时存 储的中断(Fl)时作为供电的中断(Fl)的直接结果而被删除。
25. 根据权利要求20至24中任一项所述的数据载体(1 ),其特征在于 所述处理控制(10 )被设置用于使得在对解密数据(15 )的处理的中断(F5 ) 时在消除处理的中断(F5)后处理继续(F6),并且所述解密密钥(17)只 有在处理完全结束之后才被删除(F7)。
26. 根据权利要求20至25中任一项所述的数据载体(1 ),其特征在于 所述处理控制(10 )被设置用于使得作为处理将解密数据(15 )拷贝(S7 ) 到目标存储区(14)内。
27. 根据权利要求26所述的数据载体(1),其特征在于在非易失性 存储器(4)内形成文件系统(12)的存储区(6),并且所述目标存储区(14) 形成在该存储区(6)内。
28. 根据权利要求27所述的数据载体(1 ),其特征在于所述临时存 储区(18)在文件系统(12)的存储区(6)之内形成,并且作为局部存储 区指定给所述目标存储区(14)。
29. 根据权利要求27所述的数据载体(1 ),其特征在于所述临时存储区(18)在文件系统(12)的存储区(6)之外作为全局存储区形成在非 易失性存储器(4)内。
30. 根据权利要求20至29中任一项所述的数据载体(1 ),其特征在于 所述临时存储区(18)形成为仅所述处理控制(10)可以访问其数据的临 时的存储区。
31. 根据权利要求20至30中任一项所述的数据载体(1 ),其特征在于 所述数据载体(1)此外包括密钥存储区(16)以便用于存储(S3)至少一 个密码密钥(17),并且所述密码功能(11 )被设置用于使得在临时存储(S5) 中利用存储在该数据载体(1 )上的密码密钥(17)对数据(22)进行加密(S4),以及利用该密码密钥(17)或与该密码密钥不同的解密密钥将加密 数据(19)进行解密(S6)以便用于处理。
32. 根据权利要求30至31中任一项所述的数据载体(1 ),其特征在于 所述密码功能(11)被设置用于使得紧靠在数据的临时存储(S5)之前将 所述解密密钥(17)单独地产生(S2)和存放到密钥存储区(16)内。
33. 根据权利要求32所述的数据载体(1 ),其特征在于所述密钥存 储区(16)被形成在所述临时存储器(18)内。
34. 根据权利要求32所述的数据载体(1 ),其特征在于所述密钥存 储区(16)在所述临时存储器(18)之外被形成在非易失性存储器(4)内。
35. 根据权利要求20至34中任一项所述的数据载体(1 ),其特征在于 所述数据载体(1)是带有处理器(2)的芯片卡。
36. 根据权利要求35所述的数据载体(1 ),其特征在于所述密码功 能(11 )被形成为操作系统模块或者所述芯片卡(1 )的硬件模块。
全文摘要
一种用于在便携式数据载体内安全地处理数据的方法,其特征在于下列步骤a)要求待处理的数据;b)将待处理的数据加密;c)将加密数据临时存储在数据载体的临时存储区内;d)借助于解密密钥将临时存储的加密数据解密;和e)处理解密数据。
文档编号G07F7/10GK101218609SQ200680024478
公开日2008年7月9日 申请日期2006年5月11日 优先权日2005年5月12日
发明者迈克尔·博尔迪希韦勒 申请人:德国捷德有限公司