由可灵活连接计算机系统群体 使用的用户-计算机交互方法 本发明涉及可灵活连接的计算机装置和灵活连接主机的方法。
在通过Internet上的www.usbb.org获得的具体说明中描述了USB接口。
防火线(Firewire)技术,也称为“IEEE 1394技术”,是USB的另一种,它也具有灵活的连接性,用IEEE 1394标准描述。
USBHasp是1997年10月宣布的Aladdin软件保护产品,它包括USB键。USBHasp并不控制用户进入计算机网络,而是只有当对应于备份的USB键被插入到计算机系统时,通过激活此软件的备份来防碍软件和计算机系统的交互。
传统上,通过USB进行交互的设备一直是计算机,键盘,监视器,打印机,鼠标,智能卡阅读机和生物阅读机。
对易变的或固定群体的用户提供计算机服务的传统设备典型地包括智能卡阅读机。易变群体会员具有用于通过智能卡阅读机同计算机化的服务设备进行交互地智能卡。
智能卡特有的缺点是它们需要相对较贵的智能卡阅读机设备。装备智能卡阅读机的计算机主机是整个计算机主机的一个小的部分,因为附加智能卡阅读机使计算机更昂贵。
德国专利文件DE19631050描述了用于通用串行总线的接口转换器,该转换器具有一个带有将格式和协议变为不同总线系统格式和协议的处理器的模板。
在1998年11月17日的新闻发布稿中,Rainbow技术公司,宣布了也能作为鉴别或进入控制设备使用的UBS软件保护键。假如给每个USB键分配一个特有的ID数,能够使这个键代替或补充个人密码。作为一个具有防盗作用的笔记本计算机安全设备,USB特有的ID是有用的。UBS键的其他应用包括Web的进入控制,用于进入Virtual Private Network(虚拟专用网接入)的客户令牌,密码发生器令牌的替代以及证明书、资格证书和执照的存储。
在1999年1月19日的新闻发布稿中,Rainbow技术公司宣布了VPN(Virtual private networks:虚拟专用网)的UBS令牌的新路径,该路径将终端用户客户授权给VPN并且能够使操作员进入到安全化的网络设备。这些令牌的特征包括“小到能安装在键环上的互连网安全”以及“终端用户的个性化”。这些令牌允许用户将他的或她的个人信息保存在文件夹上而不是在硬盘驱动器上。
由1999年3月15日的Rainbow技术公司宣布了UBS基础令牌的一种新的“每个个体特有的”模板。
文中参考引用了说明书中所提及的所有发行物以及引用的发行物的公开内容。
本发明寻找提供可灵活连接的改进的装置,以及使用该装置的改进方法。
因此,根据本发明的优选实施例,提供一种由可灵活连接计算机系统群体和易变用户群体使用的用户计算机交互方法,该方法包括在由易变用户拥有的FCCS插头上存储表示每个易变用户特征的信息和接受来自易变用户的FCCS插头,用于连接到可灵活连接计算机系统之一,并使用表示易变用户特征的信息以执行至少一个计算机的操作。
进一步,根据本发明的优选实施例,至少一个计算机的操作包括鉴别。
根据本发明的另一个优选实施例,也提供一种由易变用户拥有的FCCS插头装置,FCCS插头装置包括便携装置,该装置与可灵活连接的计算机系统相匹配,并包括存储器和表示易变用户特征并存储在可存取可灵活连接的计算机系统的存储器中的信息。
根据本发明的另一个优选实施例,也提供由相应易变用户群体拥有的FCCS插头装置的群体,FCCS插头群体包括多个便携装置,每个便携装置与可灵活连接的计算机系统相匹配,并包括存储器和以易变用户的群体表示每个易变用户特征、及在由易变用户拥有的FCCS插头装置存储器中存储的可存取可灵活连接的计算机系统的信息。
此外,根据本发明的优选实施例,提供一种FCCS插头装置,该装置包括有效地与可灵活连接的计算机系统相匹配的匹配件,和与邻近的匹配件连接的存储器,以形成便携袖珍型插头,其中存储器通过连接件可存取可灵活连接的计算机系统。
根据本发明的优选实施例,也提供一种FCCS插头装置,该装置包括有效地与可灵活连接的计算机系统相匹配的匹配件,和与邻近的匹配件连接的CPU,因此,形成便携袖珍型的插头,其中CPU通过连接件将数据连接到可灵活连接的计算机系统。
进一步根据本发明优选实施例,FCCS插头装置也包括与邻近的匹配件相连的CPU,因此,形成便携袖珍型插头,其中CPU通过匹配件将数据连接到可灵活连接的计算机系统。
进一步根据本发明的优选实施例,至少一个计算机操作包括数字鉴定证明和/或对计算机访问的控制。
进一步根据本发明优选实施例,表示每个易变用户特征的信息包括不存储在计算机系统中的敏感信息,因此增强了机密性。
根据本发明的优选实施例,也提供一种由可灵活连接计算机系统群体和易变用户的群体使用的用户计算机交互方法,该方法包括
在易变用户群体内,在由各个用户拥有的FCCS插头上存储不由可灵活连接的计算机系统存储的机密信息,和
接受来自易变用户的FCCS插头,以连接到可灵活连接的计算机系统,并使用机密信息以至少执行一个计算机的操作,因此,增强了机密性。
最好,该装置也包括有效接受来自USB接口的USB通讯的微处理器,以执行计算并将计算结果提供给数据存储单元,用于存储和/或加密和/或鉴别和/或访问控制。
术语“USB端口”指的是用于将外围连接到计算机的端口,根据在Internet的ww.usb.org整个网址中可利用的USB说明书中描述的USB标准建立该端口。
术语“USB插头”或“USB键”或“USB令牌”指的是硬件装置,其电路与USB端口连接,以执行各种不同的功能。
术语“智能卡”指的是典型的塑料卡,该塑料卡中镶入一个芯片,该芯片与阅读机交互,因此,允许智能卡的易变拥有者与一台安装智能卡阅读机的机器进行交互,典型地与该类机器网络的任何一台进行交互。
根据本发明的优选实施例,也提供一种电子令牌,该令牌最好与一个灵活连接器匹配,该灵活连接器具有诸如PC,膝上型电脑,掌上型电脑或外围设备这样任何计算机系统USB端口之类的端口。电子令牌最好不需要任何附加的阅读设备。令牌可以鉴别信息和/或在一个可以是家用房屋钥匙大小的令牌中存储密码或电子证明。
最好,当令牌插入灵活连接提供端口时,发生非常安全的“两个因素鉴别”过程(例如,“你有什么”加“你知道什么”),在该过程中,(a)由主机PCC或网络“阅读”电子令牌,(b)用户敲他的或她的个人特许密码。
电子令牌合适的应用包括VPN、extranet和e-commerce的鉴别。
本发明也寻找提供改进的USB装置和使用该装置的改进方法。
因此,根据本发明另外的优选实施例,提供通过USB端口与USB主机交互的USB键装置,USB键装置包括构成适合USB端口的便携装置,该便携装置包括将USB通讯由USB主机来回传送的USB接口,有效根据USB协议将USB通讯转换成诸如ISO7816协议之类的智能卡协议并由智能卡协议转换成USB协议的协议转换器,和有效地执行诸如鉴别、加密、存取控制和安全存储器之类的至少一个智能卡功能的智能卡芯片。
根据本发明的另一个优选实施例,也提供具有数据存储能力的USB键装置,USB键装置包括构造成适合USB端口的诸如PCS之类的便携装置,便携装置包括在USB主机之间来回传送USB通讯的USB接口,和存储由USB通讯中获得信息的数据存储单元。
参考附图,由下面的详细描述中将理解和明了本发明,附图中:
图1是包括CPU和非-ISO7816存储器的USB插头装置的简化方框图,USB装置是根据本发明的优选实施例构成并操作的;
图2是包括CPU和非-ISO7816存储器的USB插头装置的简化方框图,USB装置是根据本发明的优选实施例构成并操作的;
图3是根据本发明优选实施例构成和操作的并实现图1 USB插头装置的一个FCCS插头的分解主视图;
图4是根据本发明优选实施例构成和操作的并实现图2 USB插头装置的一个FCCS插头的分解主视图;
图5A-5B用插图说明根据本发明的优选实施例提供的由可灵活连接的计算机系统群体和易变用户群体使用的用户-计算机交互方法。
现在参考图1,该图是包括CPU和非ISO7816存储器可灵活连接USB插头装置的简化方框图,USB装置是根据本发明的优选实施例构成和操作的。
图1 USB插头装置的特定特征是它具有数据存储能力,因此,类似于存储智能卡。
USB插头装置10包括PCB25,它包括诸如Motorla6805、Cypress芯片或Intel 8051之类的微处理器或CPU30;USB接口装置40;服务微处理器30固件的固件存储器50;空间足够在微处理器30上进行需要计算的RAM存储器60;和存储用户数据的用户数据存储器70。USB接口装置40、固件存储器50和RAM存储器60中的一些和全部可以在CPU30中。
USB接口装置40和/或固件存储器50可以集成在微处理器30内部。
固件存储器可以是如ROM,EPROM,EEPROM或FLASH这样存储器当中的任何合适的一种,但并不限于这些存储器。
用户数据存储器70典型地不包括ISO7816-3存储器,例如,可以包括下面存储器类型当中的任何一种:I2C,XI2C,2/3线路总线,FLASH。
如图所示,构成USB插头装置10,以与诸如个人计算机或具有USB端口的Machintosh之类的任何USB主机交互,但是并不限于这些类型的计算机。由诸如在Internet上的www.usb.org.整个网址中得到的USB说明书中描述的USB协议之类的USB协议控制键-主机交互。USB数据包在USB主机20和USB接口芯片40之间通过。每个数据包典型地包括下列内容:
a.USB标题;
b.要存储在用户数据存储器70中的数据,加上存储器芯片70协议需要的附加信息,如存储/读取数据的地址,存储/读取数据的长度,和CRC校验和信息,但是并不限于这些。
c.USB脚注。
数据流程典型地包括下列流程:
USB接口芯片40接受来自USB主机20的USB数据包,分析数据,将分析的数据输送到微处理器30。微处理器30使用每个存储器的协议将数据写入到固件存储器50、RAM60或用户数据存储器70,或由这些存储器中读取数据。
在读取操作中,微处理器30将数据传送到USB接口芯片40,该芯片以USB数据包的格式打包数据,并将数据传送到主机20。
图2是根据本发明的优选实施例构成和操作的USB插头装置的简化方框图,该装置是整体的智能卡阅读机和最好具有安全存储及加密双重能力的智能卡芯片。图2的USB插头装置包括CPU和智能卡芯片(ICC)存储器170,典型地是使用ISO7816-3协议与CPU130通讯的ISO7816(T=0/1)基于协议的芯片。除了不具有单独的用户数据存储器70外,图2的装置与图1的装置类似。RAM160的空间典型地至少是262字节,以便支持ISO 7816-3 T=0或T=1协议。
每个数据包典型地包括下列内容:
a.USB标题;
b.ISO7816-3 T=0/1协议数据包;
c.USB脚注。
图2装置中的数据流程典型地包括下列流程:
USB接口芯片140由USB主机120获得USB数据包。USB接口芯片140分析数据,将数据传送到微处理器130。典型地包括ISO7816-3 T=0/1格式化的数据,由微处理器按ISO7816-3协议传送到智能卡芯片170。微处理器130由智能卡170获得响应,并将数据传送到USB接口芯片140。USB接口芯片140以USB数据包的格式打包数据,并将数据传送到主机120。
图2实施例的特别优点是:具有智能卡功能性,而不需要专用的阅读机,因为插头110直接连接到主机120中的USB的插座上。
文中说明和描述的本发明对服务机构计算机化的系统特别有用,这些服务机构拥有诸如银行、保险公司、会计师和其他商业机构,和如医疗或法定机构这样的专门机构之类的敏感信息。
传统的计算机系统包括一台计算机(包括主板)和至少一个外围设备。计算机具有多个不同的端口,这些端口分别与不同外围设备的端口连接。每个端口典型地只能够与某个外围设备匹配,不能与其他的外围设备相连。例如,键盘不能通过打印机端口连接到计算机。
在技巧计算机系统,文中也称为“可灵活连接的计算机系统”的情况中,计算机和外围设备每一个至少包括具有在任何其他计算机和任何其他外围设备上相匹配端口的一个相同的端口,以便能够选择任何外围设备与任何计算机或任何其他外围设备相连。另外,如传统的系统一样,外围设备可以不直接与计算机相连,而是通过另一个外围设备。在现有的计算机系统中,在一个和多个所连接的外围设备上一般总是具有可利用的端口,以便另一个外围设备一般总是能够连接到计算机系统。
可灵活连接的计算机系统的一个例子是USB(通用标准总线)系统,在该系统中,计算机和每个外围设备都包括USB端口。可灵活连接的计算机系统的另一个例子是近来期待的Firewire系统。
“USB”插头是便携装置,该装置与USB系统匹配,与包括机械单元的外围设备相反,典型地只包括存储器和/或CPU,因此是典型的袖珍型。更一般地来说,USB插头是能够插入到可灵活连接的计算机系统(FCCS)中插头的一个例子。
文中术语“FCCS插头”用来指与可灵活连接的计算机系统相匹配的便携装置,与包括机械单元的外围设备相反,典型地只包括存储器和/或CPU,因此是典型的袖珍型。显然因为连接到可灵活连接计算机系统的每个外围设备典型地至少具有一个端口,任何结构的可灵活连接的计算机系统典型地至少具有一个可利用的空端口,以与FCCS插头交互。USB令牌和Rainbow令牌是FCCS插头的两个例子。
典型地,形成计算机系统的多个计算机系统单元的每一个至少具有两个相同的凹插座,这些插座以凸-凸电缆方式相互连接。在这样的实施例中,FCCS插头可以包括凸插座。然而,显然可以使用任何适当的匹配模式来连接计算机系统单元和本发明的FCCS插头。
FCCS插头的已知使用是连同具有插头识别能力的软件一同使用。Aladdin和Rainbow是市场上出售的软件,这些软件只有当驻留特定软件拷贝的主机计算机系统插入了由软件拷贝识别的FCCS插头时,才可操作。Aladdin和Rainbow不用于鉴别。
计算机系统通常用于接受表示易变用户特征的信息,这些易变用户是易变用户群体之一,并处理这个信息。这样的信息可以包括用户身份鉴别信息,储蓄信息,访问权利信息等。传统上,该信息存储在智能卡上,该智能卡由用户持有,并由他提交给计算机系统。然而,这需要计算机系统装备智能卡阅读机,一个特殊的专用阅读智能卡的设备。
根据本发明的优选实施例,表示易变用户特征的信息存储在FCCS插头上。本发明这样实施例的特定优点是:在袖珍型基片上用户容易拥有信息,任何结构的任何可灵活连接的计算机系统典型地能够通过FCCS插头与用户交互,计算机不需要专用的设备来执行交互。
现在参考图3,该图是根据本发明优选实施例构成和操作的并实现图1 USB插头装置的一个FCCS插头的分解主视图。如图所示,图3的FCCS插头包括典型地由两个相嵌在一起的平面外壳部件200和210构成的腔体,在它们之间容纳USB连接器220和图1的PCB25。USB连接器220,例如,可以包括由Aska技术公司,No.15,Alley 22,Lane 266,Fu Teh,lst Rd.,Hsl Chih,Talpei Shien,Taiwan出售的USB PLUG SMT<CNA-0213>装置。PCB25具有图1的单元30、40、50、60和70。固件管理存储器240可以驻留在USB接口控制器230上。
另外,参考图4,该图是根据本发明优选实施例构成和操作并实现图1 USB插头装置的一个FCCS插头的分解主视图。如图所示,图4的FCCS插头包括典型地由两个相嵌在一起的平面外盖元件200和210构成的腔体,在它们之间驻留USB连接器220和PCB125。PCB125具有图2的单元130、140、150、160和170。固件管理智能卡芯片250可以驻留在USB接口控制器230上。
本发明的FCCS插头最好具有智能卡的功能性包括:
1、控制访问计算机网络:智能卡或插头具有ID信息,网络鉴别和根据该基础允许访问。鉴别可以根据“你有什么”,“你是什么”等生物信息和“你知道什么”(例如,密码)。
2、用于验证和鉴别文件的证件发送者身份的数字签字或证明。
3、存储密码信息,例如,医疗信息。智能卡或插头可以存储密码信息,不与不存储密码信息的网络交互。
图5A-5B用插图说明根据本发明的优选实施例提供的由可灵活连接的计算机系统300群体和易变用户群体使用的用户-计算机交互方法。表示每个易变用户特征的信息,例如名字和ID,典型地通过诸如图3单元230之类的USB接口控制器,装载到由该易变用户拥有的FCCS插头310的存储器中。
然后插头连接到可灵活连接的计算机系统和表示使用的易变用户特征信息之一,以至少执行一台计算机的操作,这些操作典型地包括诸如鉴别之类的传统的智能卡功能。
现在描述本发明优选实施例的特征:
a.需要增强用户的鉴别
●鉴别是任何信息安全系统的基础。鉴别本地和远程用户的能力是任何LAN/Intranet、多用户环境的关键问题
b.需要加密和机密性
●对公司和每个用户来说内容加密和机密性成为重要的问题
c.需要密码和签字安全
●对网络公司用户来说密码安全和用户密码管理是关键问题。密码表示涉及任何计算机环境唯一最重要的安全性
现在需要基于硬件的PC安全令牌。
*签字键(SOK)是基于硬件的令牌,令牌与操作系统和应用软件无缝地连在一起,以提供:
- 用户鉴别键
- 加密系统的基础
- 更好的签字安全和加强的用户密码管理
- 软件安全
鉴别-3个基本元素
*你知道的某事 -->密码
*你具有的某物 -->签字键
*你是某人-->例如,生物标准
*假定上述三项中的两项给出了“足够好”安全。
加密
*对加密数据、文件、磁盘和信息流程的需要是明显的。
*具有密码能力的基于硬件的令牌能够增强安全性和容易使用。
签字-在哪使用密码?
*登录到你的O/S
*登录到你的网络(本地,远程)
*登录到Internet/ISP
*登录到受保护的Web页
*登录到Group Ware/通讯应用
*登录到其他敏感被保护密码的应用
*MS Office &其他被保护的文件
*PC Boot保护(Bios密码)
签字-主要安全风险
签字过程
签字键是安全硬件令牌,由用户连接到需要的应用。一旦所安装的签字键成为登录过程的一部分,签字键就给用户提供许多安全和其他的功能性益处。
签字键能够为用户带来什么?
*签字安全
-增强安全和鉴别。对用户密码额外需要签字键
*签字简单性
-简化登录过程消除对密码的需要。签字键代替密码
*密码自动重新证明
-周期性地核对签字键
*唯一的签字键
-一个签字键代替多个应用的几个密码
*灵活性和远程计算机
-签字键识别远程用户
-签字键能够用做数据安全容器
-移动PC盗窃行为的制止
*一般目的安全令牌
-文件和数据加密
-鉴别
-证明键保持器
签字键不同的选择
*几个硬件装置可以作为签字键操作:
-签字键USB-连接到新标准USB端口的小键。USB端口成为PC和Macintosh的新连接标准
-签字键SC-基于签字键的智能卡。能够与任何标准的智能卡驱动器一起使用
签字键USPs和优点
*简单,直观,容易使用,有吸引力的令牌
*键IS令牌IS连接器
*低价格
*高度安全
*高度的功能性
-存储器内置令牌
-处理功率
-自动密码重新证明
-多令牌连接性
*代理的解决办法
签字键的结构
全部送风系统
签字代理
*签字代理是签字键和应用之间软件的接口
*签字引导程序是PC引导程序密码的特殊接口。
*可以为下列提供代理:
-OS/Net Ware-例如,Windows NT,95/98,3x,Novell,Unix
-Group Ware/Mail-例如,Lotus Notes,Outlook,Eudora,
-Enterprise Applications-例如,SAP,Baan,MK,Oracle,Magic
-Web Browers-例如,Explorer,Navigator
大部分通常的代理-Windows NT
*大部分通常的代理将代替Windows Login对话
*通过这样做用户可以获得
-Windows Login Extra安全
-Windows Login的简化(签字键代替密码)
签字键浏览器的代理/系统
*签字键能够用做简单令牌,以监视访问到安全网页
网内容供应者需要鉴别,管理并为它们的客户提供访问
签字键API(SDK)
*签字键API是签字键和第3方应用之间的接口级。
*这个API可以由证明供给者、安全公司和SSO公司公布和打开使用。
*签字键API也将提供加密和被保护的存储器存储服务
*签字键API可以是基于PKCS#11/兼容
签字过程(没有CA)
*安装
-用户为需要的应用安装代理
-用户为每个应用定义签字
-用户用签字键存储签字信息
*签字
-应用开始
-应用到达它的签字对话
-应用与签字键进行通信联系
-基于签字键授予签字许可
作为安全容器的签字键
*除了唯一的键ID外,签字键将包括个人受保护的存储区域
*该存储区域能够用于存储敏感信息和证明
*在该存储器中能够存储如Lotus Notes ID文件这样的应用ID键或PGP键
*这样做-签字能够用于增加移动计算机的安全。文件的ID存储在签字键中,代替磁盘中
签字键加密Engine和签字键Crypt
*签字键能够用做加密装置
*例如可以为加密API提供100%智能卡兼容签字键设备
*签字键Crypt是基于签字键的数据/文件/硬磁盘加密工具
签字键证明工具包
*SOK可以使用PKCS#11和X509,并存储证明和或数字ID。
签字键包括:
*签字键USB令牌
*HASP
*硬锁定
*初始签字的功能性(唯一的ID,个人受保护的存储器)
*签字键USB扩展电缆
*签字键智能卡令牌
*签字键API(适合的PKCS#11)
*委托兼容性/连接
*Windows NT代理
*Navigator和/或Explorer代理(S/Mime)
*键加Crypt(Beta版本)
*安全屏幕保护器
*初始出售的数据包
*USB增殖和Windows 98/NT可利用性是关键问题
*在美国、德国和以色列所装运的新PC都装备USB
*在早期开发阶段的部分
*安全动态、Activ Card和Vasco用基于时间的第一代产品,一次密码或基于挑战的令牌控制市场。
*安全性销售商将用第二代集成智能卡出售物寻找扩大他们的市场份额,该第二代集成智能卡出售物将支持密码系统,数字签字存储和处理行为
USB:更好的连接
*几乎无限的端口扩展
*不增加新外围卡
-不设定IRQs,DMAs等
*一种连接类型(插头和端口)
-外围的多样化
-不再推测
-简单设定,只在插头内和外
USB:更好的连接
*速度、多煤体地址的需要
-12Mb/s,Asynch(大量)和Isoch(实时)数据
-立体声品质数字声频
-高帧频视频(带压缩)
-高等待时间应用(强制—反馈)
*具有许多新外围的无功程序块
-USB提供多到500mA的电流
*极大地改善PC用户技巧
-很少返回和增加销售的趋势
显然USB只是可灵活连接标准的一个例子,本发明并不限于USB。
显然,如果需要,本发明的软件成分可以用ROM(只读存储器)格式实现。如果需要,软件成分通常可以使用传统的技术用硬件实现。
显然,在分别实施例的上下文中明确描述的本发明不同的特征也可以结合在单个实施例中。相反,在单个实施例上下文中简洁描述的本发明的不同特征也可以分别提供或可以有任何适当的改变。
本领域的技术人员将意识到本发明并不限于上文中特别描述和说明的这些内容。而只由下面的权利要求定义本发明的范围。