[发明专利]用于生成经确认的交易数据的方法和对应装置

说明书

技术领域

本发明涉及当在基本上可攻击的网络环境中使用一般的数据处理设备进 行安全关键(security-critical)交易时，经确认交易数据的可靠且不可攻击的 生成。尤其是，本发明特别针对于当经由因特网在个人计算机上进行付款时， 安全交易数据的生成。

背景技术

当进行安全关键应用时(在此期间，用户必须实现(effect)或确认敏感 数据输入)，特殊问题在于确保屏幕上再现的信息与用户实际预期的信息相对 应。传统的计算机系统(首先，个人计算机)尤其可经由屏幕上的显示通过 生成显示而被攻击，该攻击例如借助之前偷偷装入(smuggle into)个人计算 机的恶意软件，该恶意软件对用户假装由他选择的应用被正确地执行了，然 而实际上，利用与用户所期望的交易数据不同的交易数据执行了不同的应用。 这样的攻击变为可能，因为当在个人计算机上执行应用时，通常同一CPU控 制至后台系统、至用户输入单元、以及至屏幕的数据交换。因此，经由至后 台系统的连接，介入与用户数单元和屏幕的数据交换是相对容易的。

为了防止这样的攻击，已经提出使用附加设备，其至少临时在用户输入 单元与屏幕之间建立安全连接。这样的解决方案从1999年TOWITOKO公司 的出版物“Chip drive monitor kit macht digitale Signatur sicherer”已知。根据 该解决方案，在与附加设备相连接的个人计算机的CPU、输入单元和屏幕之 间，当临时断开CPU时，可以建立在用户输入单元与屏幕之间的直接连接。 为此目的，该附加设备具有其自己的显示准备单元、以及监视器开关，通过 使用该显示准备单元和监视器开关，经由该附加设备，为了输入敏感交易输 入的目的而临时建立在用户输入单元与屏幕之间的直接连接。用户随后在监 视器上看见由他在输入单元实际实现的输入。该解决方案允许对经确认的交 易数据的可信赖的生成，但是，因为需要附加设备，所以这是复杂的并且从 而是昂贵的。此外，在启动监视器开关时与切换处理关联的显示的建立和移 除时间削弱了用户友善度。

从US 5,701,342已知用于在不安全的计算机环境中生成可信赖的文档的 方法，这里，借助于过滤器(filter)，确保向用户显示了文档的实际内容。借 助于记号(seal)，保护观看的文档。该方法的安全性首先依赖于过滤器的质 量。然而，提供有效的过滤器是复杂的。

发明内容

本发明的目的是提供一种在具有与已知布置相同效率的同时、可以更便 宜地制造、并且更容易地处理的布置。

此目的通过具有权利要求1的特征的方法、以及具有独立权利要求12 的特征的装置来实现。根据本发明的方法和根据本发明的装置基于如下方法： 在个人计算机中，提供安全硬件，其确保正是该用户确认该监视器上呈现的 显示，并且因此，可以唯一地由用户的实际输入来触发监视器上呈现的交易。 此外，根据本发明的装置确保仅实际确认的显示的内容是交易的目标。通过 在显示准备单元上建立单独接口(其允许用户的输入被直接传递至安全硬件 而绕过CPU)，确保显示对应于用户已经输入的内容。在可替换的实施例中， 通过使用由安全硬件生成的随机数字而实现显示对应于用户输入的验证 (proof)，其中，所述随机数字被显示在显示器上，并且必须由该用户再现。 根据本发明的装置具有无需任何附加设备而实现的优点。作为替代，仅需要 一般图形卡的结构的小改变。这可以特别非常节省成本地实现。根据本发明 的显示准备单元可以标准地集成在个人计算机中，或容易地在个人计算机中 改进。