技術領域

本發明涉及一種用于與在終端設備中集成的安全模塊的安全交互的方法，具體地，涉及認證數據通過該終端設備的輸入設備到該安全模塊的安全輸入。

背景技術

能夠使得例如用于為商品或服務進行付款的許多不同的應用在例如（U）SIM移動無線卡、安全存儲卡等形式的安全模塊上對用戶可用。保護這種應用本身和由該應用處理的數據免遭對安全模塊的未經授權的訪問。在該應用被釋放之前，例如為了實現付款交易，用戶例如通過PIN對安全模塊認證自身是必要的。這使得有可能阻止第三方在用戶不知情或不同意的情況下為了其目的在終端設備上例如通過惡意代碼濫用應用。

這種認證數據（例如PIN）的輸入通常是通過該終端設備的輸入設備（例如鍵盤）實現，由此該安全模塊被集成在終端設備中，優選地以可移除的方式被集成在終端設備中。在輸入PIN和向安全模塊傳遞PIN時，必須確保PIN不能被未經授權的第三方偵查出。這可以通過安全輸入設備在受限制的框架內實現。但是，這不能排除惡意代碼應用為其目的可能濫用安全輸入設備。

此外，無論如何，希望被偵查出的任何認證數據不能夠被未經授權的第三方進一步地使用。

發明內容

因此，本發明的目的在于使得能夠通過終端設備的輸入設備與終端設備中的安全模塊進行安全交互。

這個目的通過具有獨立權利要求的特征的方法、終端設備和系統實現。有利實施例和發展在從屬權利要求中敘述。

根據本發明的用于通過終端設備的輸入設備與被集成到終端設備的安全模塊進行安全交互的方法，包括以下步驟。終端設備的輸入設備被可在終端設備的可信賴區域中執行的安全應用預約。隨后，通過預約的輸入設備輸入第一認證數據。然后，安全應用利用在可信賴區域中存儲的秘密數據從第一認證數據推導出第二認證數據。第二認證數據隨后被安全應用加密和以加密狀態傳遞到安全模塊和/或到服務器。在安全模塊和/或服務器中，最終解密所接收的加密的第二認證數據。

根據本發明的適用于集成安全模塊的終端設備包括輸入設備和具有在其中可執行的安全應用的可信賴區域。后者適用于預約輸入設備和通過預約的輸入設備接收第一認證數據。安全應用還適用于利用在可信賴區域中存儲的秘密數據從第一認證數據推導出第二認證數據、將第二認證數據加密和將它們以加密形式傳遞到集成于終端設備的安全模塊中和/或傳遞到服務器。

因此，能夠確保通過終端設備的可信賴區域中的安全應用專用地接收和處理通過輸入設備輸入的認證數據。輸入設備的預約阻止了在終端設備上的所有其他應用，使得它們在輸入設備被安全應用預約的同時不能夠利用這個輸入設備。同樣使得不可能通過安全應用實施下述：在輸入設備被預約的同時，尚未通過輸入設備輸入的偽裝為假定輸入數據的數據例如通過惡意代碼而混入（smuggle）可信賴區域。因此，有效地防止了利用混入終端設備的不可信賴區域中的惡意代碼，在從輸入設備到終端設備的可信賴區域的途中偵查出認證數據的可能性。

然而，如果攻擊者通過其他方式（例如通過觀察用戶輸入第一認證數據或者通過在硬件級別上篡改輸入設備）成功偵查出第一認證數據，那么以這種方式獲得的第一認證數據對攻擊者來說是毫無價值的。沒有在終端設備的可信賴區域中安全地存儲的秘密數據的知識，攻擊者不能夠推導出第二認證數據。然而，這些（而不是第一認證數據）對于到安全模塊和/或服務器的成功認證是必須的。只有第二認證數據有權對安全模塊和/或服務器進行認證的這種構思有效地防止了所謂的釣魚攻擊。即使用戶錯誤地把第一認證數據傳遞到不可信賴的應用，由于所述原因，它們也不能夠被攻擊者所使用。

由于第二認證數據在它們通過安全應用從終端設備的可信賴區域傳遞到安全模塊和/或服務器之前被加密，并且因此一定正常地通過終端設備的不可信賴區域，因此不再有任何可能通過在不可信賴區域中安裝的惡意代碼而偵查出此時的第二認證數據。向安全模塊和/或服務器的認證所需要的第二認證數據以加密的形式被安全模塊和/或服務器接收并且隨后在安全模塊和/或服務器中解密。