借助便携式数据载体执行应用程序的方法.pdf

本发明涉及一种借助便携式数据载体(1)执行应用程序的方法。在按照本发明的方法中，经过便携式数据载体(1)的第一数据通道(5)构成与第一外部设备(2)的数据连接。在接入第一外部设备(2)的条件下执行应用程序的第一部分。经过便携式数据载体(1)的第二数据通道(6)构造与第一外部设备(2)或者与第二外部设备(3)的数据连接。从便携式数据载体(1)经过第二数据通道(6)将在执行该应用程序的第一部分时提供的特征数据传输到外部设备(3)。在通过用户允许之后执行该应用程序的第二部分。

1.  一种借助便携式数据载体(1)执行应用程序的方法，其中
通过该便携式数据载体(1)的第一数据通道(5)构成与第一外部设备(2)的数据连接；
在接入该第一外部设备(2)的条件下执行该应用程序的第一部分；
通过该便携式数据载体(1)的第二数据通道(6)构成与该第一外部设备(2)或者与第二外部设备(3)的第二数据连接；
从便携式数据载体(1)经过第二数据通道(6)传输在执行所述应用程序的第一部分时提供的特征数据，并且
在通过用户允许之后执行所述应用程序的第二部分。

2.  根据权利要求1所述的方法，其中，所述第一数据通道通过便携式数据载体的第一接口提供并且所述第二数据通道通过所述便携式数据载体的第二接口提供。

3.  根据权利要求1或2所述的方法，其中，将所述特征数据经过第二数据通道传输到所述第一外部设备的、不是执行的应用程序的部分的第二功能。

4.  根据权利要求1或2所述的方法，其中，形成与所述第二外部设备(3)的第二数据连接。

5.  根据权利要求1至4中任一项所述的方法，其特征在于，利用由所述应用程序的第一部分提供的特征数据来执行该应用程序的第二部分。

6.  根据上述权利要求中任一项所述的方法，其特征在于，将所述特征数据至少部分地显示在第一或者第二外部设备(3)的显示装置(9)上。

7.  根据上述权利要求中任一项所述的方法，其特征在于，通过操作第一外部设备(2)的输入装置(7)或者第二外部设备(3)的输入装置(10)来进行所述允许。

8.  根据上述权利要求中任一项所述的方法，其特征在于，在所述第一外部设备(2)或者第二外部设备(3)中输入允许数据。

9.  根据权利要求8所述的方法，其特征在于，作为允许数据输入在第二外部设备(3)的显示装置(9)上显示的数据。

10.  根据上述权利要求中任一项所述的方法，其特征在于，由第一外部设备(2)经过便携式数据载体(1)的第一接口(5)或者由第二外部设备(3)经过所述便携式数据载体(1)的第二接口(6)将允许信息传输到便携式数据载体(1)。

11.  根据权利要求10所述的方法，其特征在于，所述允许信息至少部分地包含所述允许数据。

12.  根据权利要求10或者11的方法，其特征在于，将所述允许信息与特征数据进行匹配，使得对应用程序的第二部分的允许只有在该应用程序的第二部分是基于特征数据执行时才有效。

13.  根据权利要求10至12中任一项所述的方法，其特征在于，所述允许信息通过密码关系与特征数据相关联。

14.  根据上述权利要求中任一项所述的方法，其特征在于，所述应用程序是用于执行非现金支付往来的交易的应用程序。

15.  根据上述权利要求中任一项所述的方法，其特征在于，所述特征数据表示表征交易的数据。

16.  根据权利要求15所述的方法，其特征在于，在所述应用程序的第一部分的范围内将所述表征交易的数据从第一外部设备(2)传输到便携式数据载体(1)。

17.  根据权利要求15或16所述的方法，其特征在于，在所述应用程序的第二部分的范围内，将所述表征交易的数据从便携式数据载体(1)经过网络(11)、特别是因特网传输到服务器(4)。

18.  根据上述权利要求中任一项所述的方法，其特征在于，通过触碰的接触构成经过便携式数据载体的第一接口(5)的数据连接。

19.  根据上述权利要求中任一项所述的方法，其特征在于，无接触地构成经过便携式数据载体的第二接口(6)的数据连接。

20.  根据上述权利要求中任一项所述的方法，其特征在于，作为第一外部设备(2)采用计算机、特别是个人计算机。

21.  根据上述权利要求中任一项所述的方法，其特征在于，作为第二外部设备(3)采用移动电话或者读卡器。

22.  根据上述权利要求中任一项所述的方法，其特征在于，作为便携式数据载体(1)采用芯片卡或标记卡。

23.  一种便携式数据载体，特别是以芯片卡、安全性模块、安全海量存储卡或者标记卡形式的便携式数据载体，用于执行按照上述权利要求中任一项所述的方法。

借助便携式数据载体执行应用程序的方法
技术领域
本发明涉及一种借助便携式数据载体执行应用程序的方法。
背景技术
当防操纵地(manipulationssicher)构造便携式数据载体时，借助便携式数据载体可以在执行应用程序时保证针对操纵(Manipulation)的高安全性。这例如对进行非现金交易的应用程序中具有重要意义。然而只有当在便携式数据载体中执行应用程序时，才保证操纵保护。
但是对于应用程序的执行来说在许多情况下除了便携式数据载体还需要外部设备。如果是操纵保护(manipulationsgeschützt)的设备，例如安全性级别高的读卡器，通常这不会导致安全性问题。但是常常采用无操纵保护或者仅仅不充足保护的设备，例如个人计算机。此外为了能够与远程设置的服务器进行交易需要在线连接，例如经过因特网。由此存在通过病毒或木马操纵的风险。例如通过这些操纵可以改动在个人计算机的屏幕上显示的数据。在家庭银行应用中会导致，显示的交易数据与实际的交易数据不同并且由此使用户实际上允许了另一个不是按照所显示的数据而打算的交易。
防御这样的进攻的可能性在于，在便携式数据载体中集成显示单元和确认装置。由WO2004/032414A1中公知一种用于通过用户数字地签名数据的方法。在此将要签名的数据传输到用作签名设备的芯片卡。由芯片卡将数据显示给用户。通过由用户操作确认装置借助处理器数字地签名数据。
由DE102004046847A1公知一种通过用户借助便携式数据载体产生用于待签名的数据的数字签名的方法。在该方法中在服务器中确定用于待签名的数据的识别数据并且与比较数据比较。在服务器中确定对待签名数据的选择并且显示给用户。当在显示步骤之后通过用户来允许产生签名时，在便携式数据载体中产生签名。该显示例如在便携式数据载体的或者操纵保护的终端设备的显示单元上进行。同样还可以为显示使用移动终端设备，由服务器将显示数据和/或识别数据传输到该终端设备。
然而具有显示装置的便携式数据载体、例如芯片卡的成本相对高。操纵保护的终端设备同样是相对费事和昂贵的并且对于要求低成本基础设施的应用程序来说不太适合。
WO2006/029758A1公开了一种用于允许在计算机网络中或者经过计算机网络的访问的方法，终端设备至少暂时连接到该计算机网络上。终端设备例如是个人计算机、电话或者个人数字助手。在该公知的方法中，建立在终端设备和用于提供访问数据的便携式设备、例如芯片卡或标记卡(Token)之间的数据连接。便携式设备被连接在终端设备和计算机网络之间的通信路径中。借助访问数据启动访问的允许。
发明内容
本发明要解决的技术问题是，在借助便携式数据载体执行应用程序时，外部设备参与该应用程序的执行，用合理的花费实现尽可能良好的针对操纵的保护。
上述技术问题通过一种具有权利要求1特征部分的方法解决。
本发明的基本思想是要提高安全性，其中便携式数据载体使用两个不同的数据通道，以便借助第一数据通道至少部分地执行应用程序并经过第二数据通道提供用于执行的应用程序的特征数据。特征数据是为了显示给用户而设置的。应用程序的另一部分在通过用户允许之后才执行。
本发明具有如下优点，在执行应用程序时可以实现针对操纵的良好保护，因为对于应用程序的第二部分的执行要求通过用户允许。用户根据特征数据可以确定，是否存在操纵并在必要时拒绝允许。
优选用应用程序的第一部分提供的特征数据来执行应用程序的第二部分。由此用户可以有效地进行控制。
便携式数据载体可以使用两个不同的接口作为两个数据通道。要对应用程序的执行成功进攻的话进攻者必须操纵两个接口。
便携式数据载体可以经过两个数据通道与外部设备的优选不是所执行的应用程序的部分的第二功能对话。要对应用程序的执行成功进攻的话进攻者必须并行地操纵该第二功能。第二功能优选是外部设备的标准功能、例如SIM工具包的预激活(proaktive)命令。特别具有优势的是，第二功能、如在预激活命令(DISPLAY TEXT和GET INKEY)的情况下，可以由便携式数据载体来控制。
第二接口可以将便携式数据载体特别是还与第二外部设备相连。要对应用程序的执行成功进攻的话进攻者必须操纵两个外部设备。
在借助便携式数据载体执行应用程序的方法的一种这样的变形中，经过便携式数据载体的第一接口形成与第一外部设备的数据连接。在接入第一外部设备的条件下执行应用程序的第一部分。经过便携式数据载体的第二接口形成与第二外部设备的数据连接。执行应用程序的第一部分时提供的特征数据由便携式数据载体经过第二接口传输到第二外部设备。应用程序的第二部分只有在通过用户允许之后才执行。
特别具有优势的是，将特征数据至少部分地显示在第二外部设备的显示装置上。以这种方式用户可以访问特征数据。
可以通过操作第一外部设备的输入装置或者第二外部设备的输入装置来启动允许。为了实现特别高的安全级别可以向第一外部设备或者第二外部设备输入允许数据。作为允许数据特别是可以输入显示在第二外部设备的显示装置上的数据。
在按照本发明的方法的范围内，可以由第一外部设备经过便携式数据载体的第一接口或者由第二外部设备经过便携式数据载体的第二接口将允许信息传输到便携式数据载体。在此特别具有优势的是，允许信息至少部分地包含允许数据。然后允许数据可以在便携式数据载体中被用于进一步处理。特别是可以将允许信息与特征数据进行匹配，使得对应用程序的第二部分的允许只有在应用程序的第二部分是基于特征数据执行的时候才有效。这具有如下优点，可以防止对于允许的操纵，因为允许信息仅允许应用程序的期望的执行而不允许其它的执行。允许信息例如可以通过密码关系与特征数据相关联。
应用程序例如可以是用于执行非现金支付往来的交易的应用程序。在此特征数据可以是表征交易的数据，例如待交易的金额、银行连接等。在应用程序的第一部分的范围内可以将表征交易的数据从第一外部设备传输到便携式数据载体。在应用程序的第二部分的范围内，可以将表征交易的数据从便携式数据载体经过网络、特别是因特网传输到服务器。
经过便携式数据载体的第一接口的数据连接例如可以通过触碰的接触构成。经过便携式数据载体的第二接口的数据连接优选可以无接触地构成。这具有如下优点，可以无需附加的基础设施来建立经过第二接口的数据连接并且通过该附加的数据连接不会使得处理变得困难。
作为第一外部设备可以采用计算机、特别是个人计算机。个人计算机被广泛使用，从而适合于大量应用于按照本发明的方法。作为第二外部设备可以采用移动电话或者读卡器。移动电话的采用具有如下优点，按照本发明的方法的潜在用户的大多数都拥有移动电话。另一个优点是，移动电话通常由其持有者小心地保管并且通过密码保护。这使得移动电话通常由其持有者视作为值得信任的设备。
作为便携式数据载体优选采用芯片卡或者标记卡。它们可低成本地获得、可以由使用者轻便携带并且满足高的安全性标准。
附图说明
以下结合在附图中示出的实施例解释本发明。
图1示出了实施按照本发明方法的装置的示意性框图。
具体实施方式
图1示出了可用来实施按照本发明的方法的装置的示意性框图。示出作为便携式数据载体的实施例的芯片卡1、个人计算机2、移动电话3和服务器4。其中没有分别详细示出该装置的结构，而是仅示出对于按照本发明的方法的描述而考虑的功能组件。
代替芯片卡1例如还可以类似地设置标记卡等。移动电话3例如可以通过读卡器代替。
作为芯片卡1的功能组件示出了第一接口5和第二接口6。接口5和6是未图形示出的集成的电路组成部分，该电路还具有其它未图形示出的功能组件。第一接口5例如被构造为有接触接口，其中通过碰触地接触芯片卡的未示出的接触区域可以进行与芯片卡1的通信。芯片卡1的第二接口6可以是无接触接口(例如是NFC接口)，该无接触接口可以与通信伙伴没有电连接地与芯片卡1进行通信。NFC在此表示近场通信并且表示借助磁交变场的短距离范围的数据传输。
对于个人计算机2仅示出键盘7和浏览器8。作为移动电话3的功能组件示出了显示器9和键盘块10。
通过双箭头在图中示出了在对于按照本发明的方法感兴趣的功能组件之间的数据连接。如由图中得知的，经过芯片卡1的第一接口5可以建立在芯片卡1和个人计算机2的浏览器8之间的数据连接。此外经过芯片卡1的第一接口5还可以建立在芯片卡1和服务器4之间的数据连接。该数据连接经过个人计算机2并经过个人计算机2连接于其上的网络11、例如因特网延伸。在芯片卡1和浏览器8之间的通信和在芯片卡1和服务器4之间的通信分别可以经过HTTPS协议进行。
经过芯片卡1的第二接口6可以形成芯片卡1和移动电话3之间的数据连接。
用在图中示出的装置例如可以进行家庭银行应用或者办理其它非现金支付往来的交易。以下以家庭银行应用为例详细解释按照本发明的方法的流程。
在传输步骤S1中从浏览器8经过芯片卡1的第一接口5将交易查询传输到芯片卡1以发送到服务器4。由此交易请求不是从浏览器8直接传输到服务器4，而是经过用作验证网关并且例如可以类似于代理服务器运行的芯片卡1。交易查询例如从用户借助个人计算机2的键盘7输入的数据中产生，并且该数据除了别的之外可以包含待传输的金额的说明、银行连接的说明等等。
芯片卡1不是将交易查询直接转发到服务器4，而是首先在传输步骤S2中经过其第二接口6请求移动电话3允许交易。为此芯片卡1例如将交易数据完全或扼要地传输到移动电话3。移动电话3在其显示器9上显示所传输的交易数据，从而用户可以读取这些数据并且如果显示的交易数据与用户期望的交易数据一致时，要求用户允许交易。例如可以通过在移动电话3的键盘块10上的输入来进行该允许。
相应地在传输步骤S3中将允许信息从移动电话3经过芯片卡1的第二接口6传输到芯片卡1。根据安全性要求可以设置，在获得正确的允许信息之后签字和/或验证该交易查询。随后在传输步骤S4中将交易查询从芯片卡1经过芯片卡1的接口5、个人计算机2和网络11传输到服务器4。服务器4执行该交易并且在传输步骤S5中将执行信息经过网络11、个人计算机2和芯片卡1的第一接口5传输到芯片卡1。在传输步骤S6中芯片卡1将服务器4的执行信息经过其第二接口6传输到移动电话3以在显示器9上显示。作为替换，在步骤S6’中芯片卡1可以将服务器4的执行信息经过其第一接口5传输到浏览器8。
上面描述的工作方式基于如下假设：移动电话3对于用户来说表示值得信任的设备并且由此用户可以从如下出发，即显示的交易数据与在芯片卡1中存在的交易查询的实际交易数据相同。
在按照本发明的方法的一种扩展中，在传输步骤S2之后在移动电话3的显示器9上显示用于交易查询的交易号。该交易号使得该交易生效并且为了防止操纵而通过由芯片卡1产生的数字签名与交易查询唯一地相关。为了允许该交易，用户在移动电话3的键盘块10上或者在个人计算机2的键盘7上输入交易号。在后一种情况下交易号例如从浏览器8经过芯片卡1的第一接口5传输到芯片卡1。
对于交易号的输入不需要值得信任的输入设备，因为用交易号只能使得在芯片卡1中刚刚存在的交易查询生效。对于与此相反例如由于操纵而修改过的交易查询来说，该交易号无效。
与所描述的工作方式不同，还可以弃用移动电话3而使用具有显示器的芯片卡1。在这种情况下在芯片卡1的显示器上显示交易数据。用户检验交易数据并在交易数据正确时允许交易。
作为另一种实施方式，该方法不采用第二终端设备，而是仅采用到第一外部终端设备的第二数据通道。以下作为用于这样的实施方式的例子描述一种系统中的方法，该系统具有交易服务器、移动电话及其安全性模块(SIM卡)。
用户在其移动设备上调用应用程序，该应用程序借助安全性模块和交易服务器可以经过因特网进行交易。为此安全性模块优选作为http代理提供安全的到交易服务器的因特网连接。在本例中安全性模块和移动设备之间的第一数据通道可以通过安全性模块的ISO触点(C2、C3和C7)来实现。但优选将安全性模块的USB触点(C4、C8)用作用于第一数据通道的接口。在第一数据通道上通过TCP/IP层利用应用程序交换按照HTML格式的数据。作为第三数据通道可以设置经过因特网的便携式数据载体与交易服务器的连接。
可选地，安全性模块从交易服务器经过第四数据通道、优选以SMS的形式经过移动无线网(按照规范ETSI TS 31.115/116的Push SMS)获得对交易数据的确认。经过第一数据通道确定的交易数据，借助在移动设备和安全性模块之间的第二数据通道显示给用户用于允许交易。借助预激活命令DISPLAYTEXT(按照规范GSM 11.14)将交易数据显示在移动设备的显示器上。第二数据通道可以经过另一个接口、另一个协议和/或其它功能引入到移动设备中。其例如使用其它触点(C2、C3和C7)作为第一数据通道(C4、C8)。此外第二数据通道可以采用不同的传输协议(T＝0或)。经过第二数据通道数据不再被传输到要保护的应用程序，而是被传输到优选是移动设备的标准功能的其它功能。
可选地，可以借助另一个预激活命令GET INKEY来请求允许经过第二数据通道的交易。但作为替换还可以将用于交易的允许信号从移动设备经过第一数据通道传输到安全性模块。
由交易服务器经过第四数据通道获得的交易数据例如可以包含作为允许信息的TAN(交易号)，该TAN被借助第二数据通道显示给用户。用户可以将显示的TAN输入到经过第一数据通道提供的HTML页面中，以允许交易。优选将允许信息、如TAN，但是不是作为文本，而是作为图像显示给用户(预激活命令：DISPLAY IMAGE)，使得难以自动提取允许信息。
交易的允许或者应用程序的继续执行的结果同样可以经过第三或者经过第四数据通道传输到交易服务器，也就是例如作为HTML数据或者作为SMS。