[发明专利]用于提供对安全数据或区域的存取权的装置和方法

说明书

本发明涉及一种用于提供对安全数据或区域的存取权的装置和方法，具体涉及这样一种提供对安全数据或区域的存取权的装置和方法，其中通过安全数据模块或卡协同安全方案来控制存取安全数据或安全区域。

最近保护真实和虚拟特性的方法己变得很复杂了。以各种形式和组合使用微处理器、生物统计学数据以及先进的加密技术，以便采取预防措施确保存取安全数据和区域仅限定到具有合法进入和存取权的那些人。不幸的是，某些人常常使这些预防措施无效或不起作用。

将生物统计学数据用作一个可靠的检验工具带来很多问题。很多生物统计学系统仍依靠提交口令或PIN代码作为个人身份的证据。在这样的系统使用口令和PIN代码存在弱点，因为口令和PIN代码容易被误用和忘记。人们容易忘记口令，就使得通过选择常用或容易解密的口令或个人识别号(PIN)，或将口令或PIN泄露给其他人而使其显而易见。

当以未被严格规定或以比较疏忽方式保存或使用安全系统的一个必要组件，例如口令时，复杂的安全机构一般容易被环境中人为错误损坏。为处理这一问题，仅需考虑人们选择或忘记其口令和PIN的方式。

口令所带来的进一步问题是它们是一个简单的数据项。作为提供有条件存取具有安全分级的安全设备的方法，口令具有显而易见的缺点。一般来说，安全设备要求包含权限数据并控制存取数据库的主计算机系统的存储器内的数据库的存储量。

在需要存取保存在“智能”卡或其他数据存储设备的数据的情况下，数据库必须驻留在卡读取器或连接到计算机系统的其他存储器设备读取器。这些系统的安全弱点对计算机和信息系统领域的技术人员来说显而易见。

尽管口令使用存在缺陷和不足，接受口令仍便于将安全数据提供给大量和各种个体和其他实体。就这点而言，用于提供存取数据和安全性的口令方案应进一步与人的因素隔离，以便可以一致性地并以安全方式存储口令和其他相关数据。还希望口令方案能适应于容纳大量分级用户和根本不需要使用多个口令或任何口令情况下的数据存取要求的安全方案。

本发明的优选实施例通过提供更为可靠和防止窜改的安全系统来解决已有技术的问题，该系统提供对安全数据和区域的授权存取并防止未授权的对安全数据和区域的存取。

另外，本发明的优选实施例提供一种改进的数据安全和存取控制系统，该系统不需要使用用于各种操作的多个口令并且还防止与口令协同使用所产生的常规存取卡有关的问题。

本发明的优选实施例通过提供一种装置和方法来解决已有技术的问题，该装置和方法使用至少两个包含安全数据和其他信息并且属于一种特定安全方案的安全数据模块，以及一个用于读取安全数据模块包含的数据和权限指令的双模块读取器来提供对安全数据和区域的存取权。两个安全数据模块包括一个启动模块和一个询问模块。启动模块最好包括在诸如一个数据卡(接触型或非接触型)、一个硅芯片或其他适当的数据存储设备之类的多个介质之一并且最好包含在用于读取询问模块的模块读取器内。类似地，可以以数据卡的形式或者也可以以硅芯片或其他适当的数据存储设备的形式体现询问模块。

询问模块和启动模块经一个双模块读取器相互通信。只要两个模块为同一安全方案的成员就允许二者之间的通信。通过用于启动属于一个共同方案的两个模块之间的通信和数据传送并且禁止属于不同方案的两个模块之间的通信和数据传送的适当专用加密密钥来定义一种方案。

启动模块最好包含可被加密并定义权限的数据。由存储在启动模块中的数据定义的权限确定该模块或者卡读取器可否执行诸如创建数据、删除数据、读取数据、写入数据以及对询问模块所包含的数据进行其他各种数据操作之类的多个数据操作中的一个或多个，模块或卡读取器包含在或者可操作地连接在试图与询问模块通信的启动模块。

询问模块最好包括一个多应用数据卡，该多应用数据卡具有多个不同类型数据中的任何一个，不同类型数据包括诸如指纹数据，三维面部图象数据，视网膜扫描数据之类的个人识别数据；诸如姓名，地址，婚姻状态等之类的个人信息；金融和银行信息；个人医疗信息；诸如Visa和旅行信息之类的护照相关信息；保险信息以及与询问模块的用户或持有者有关的任何其他适当的信息。最好使用适当的属于所要求安全方案的数据加密密钥加密该数据。

在一个双模块读取器装置中启动模块和询问模块之间通信如下进行。双模块读取器装置最好包括一个询问模块读取器和一个启动模块读取器。询问模块物理插入到双模块读取器或者与双模块读取器进行非接触通信。启动模块读取器包含启动模块或者例如经一个网络连接可操作地连接到启动模块。