CN107979586A - 安全元件及其操作方法和包括安全元件的电子设备 - Google Patents
安全元件及其操作方法和包括安全元件的电子设备 Download PDFInfo
- Publication number
- CN107979586A CN107979586A CN201710982711.7A CN201710982711A CN107979586A CN 107979586 A CN107979586 A CN 107979586A CN 201710982711 A CN201710982711 A CN 201710982711A CN 107979586 A CN107979586 A CN 107979586A
- Authority
- CN
- China
- Prior art keywords
- user
- input
- authentication
- information
- user authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/34—User authentication involving the use of external additional devices, e.g. dongles or smart cards
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/30—Payment architectures, schemes or protocols characterised by the use of specific devices or networks
- G06Q20/306—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using TV related infrastructures
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/32—User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/40—User authentication by quorum, i.e. whereby two or more security principals are required
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/82—Protecting input, output or interconnection devices
- G06F21/83—Protecting input, output or interconnection devices input devices, e.g. keyboards, mice or controllers thereof
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/382—Payment protocols; Details thereof insuring higher security of transaction
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
- H04L9/3231—Biological data, e.g. fingerprint, voice or retina
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3234—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/36—User authentication by graphic or iconic representation
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/42—User authentication using separate channels for security data
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/71—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/40—Security arrangements using identity modules
- H04W12/45—Security arrangements using identity modules using multiple identity modules
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Business, Economics & Management (AREA)
- Signal Processing (AREA)
- Accounting & Taxation (AREA)
- General Business, Economics & Management (AREA)
- Strategic Management (AREA)
- Health & Medical Sciences (AREA)
- Life Sciences & Earth Sciences (AREA)
- Biodiversity & Conservation Biology (AREA)
- Biomedical Technology (AREA)
- General Health & Medical Sciences (AREA)
- Finance (AREA)
- Computing Systems (AREA)
- User Interface Of Digital Computer (AREA)
- Telephone Function (AREA)
Abstract
一种安全元件,包括存储设备,被配置为存储安全数据;第一接口,被配置为从外部输入设备接收用户输入;处理器,被配置为基于所述用户输入执行用户认证,并在用户认证成功时激活所述存储设备;以及第二接口,被配置为向外部处理器发送基于所述安全数据的安全信息。
Description
相关申请的交叉引用
本申请要求于2016年10月21日向韩国知识产权局提交的韩国专利申请No.10-2016-0137885和于2017年1月24日向韩国知识产权局提交的韩国专利申请No.10-2017-0011139的优先权,所述申请的公开通过全文引用合并于此。
技术领域
本发明构思的示例性实施例涉及一种安全元件(SE),更具体地,涉及一种经由用户认证而激活的SE、操作SE的方法和包括SE的电子设备。
背景技术
通常会将重要信息(例如,电子支付或服务器登录所需的标识符(ID)、密码和银行账号)预存储在安全存储空间中。可以通过用户认证激活存储空间,从而执行电子支付或服务器登录。为了安全地存储关于用户的重要信息,移动设备将重要信息存储在嵌入式安全元件(eSE)中,并在使用eSE中存储的信息时执行用户认证以激活eSE。
发明内容
根据本发明构思的示例性实施例,提供了一种安全元件(SE),包括:存储设备,被配置为存储安全数据;第一接口,被配置为从外部输入设备接收用户输入;处理器,被配置为基于所述用户输入执行用户认证,并在用户认证成功时激活所述存储设备;以及第二接口,被配置为向外部处理器发送基于所述安全数据的安全信息。
根据本发明构思的示例性实施例,提供了一种操作SE的方法,包括:从输入设备接收用户认证输入;基于所述用户认证输入,确定存储安全数据的存储设备的激活或去激活;以及当存储设备被激活时,向外部处理器发送基于所述安全数据的安全信息。
根据本发明构思的示例性实施例,提供了一种电子设备,包括:输入设备,被配置为感测用户输入;SE,被配置为从所述输入设备接收用户输入,并基于所述用户输入来确定是否执行安全操作;以及应用处理器(AP),被配置为当所述SE执行安全操作时,与所述SE交换安全信息。
根据本发明构思的示例性实施例,提供了一种安全设备,包括:第一接口,被配置为直接从输入设备接收用户输入;存储器,被配置为存储安全数据;第一处理器,被配置为认证所述用户输入;以及第二接口,被配置为当所述用户输入被认证时,向第二处理器输出安全信息,其中所述安全信息基于所述安全数据。
附图说明
通过参考附图详细描述本发明构思的示例性实施例,本发明构思的以上和其他特征将被更清楚地理解,其中:
图1是根据本发明构思的示例性实施例的电子设备的框图;
图2是根据本发明构思的示例性实施例的安全元件(SE)的框图;
图3是根据本发明构思的示例性实施例的操作SE的方法的流程图;
图4、图5、图6和图7是根据本发明构思的示例性实施例的操作电子设备的方法的流程图;
图8是根据本发明构思的示例性实施例的电子设备的框图;
图9是根据本发明构思的示例性实施例的由图8的电子设备执行的嵌入式安全元件(eSE)激活方法的流程图;
图10是根据本发明构思的示例性实施例的电子设备的框图;
图11是根据本发明构思的示例性实施例的由图10的电子设备执行的eSE激活方法的流程图;
图12和图13是根据本发明构思的示例性实施例的电子设备的框图;
图14是根据本发明构思的示例性实施例的移动终端的框图;
图15是根据本发明构思的示例性实施例的包括eSE的移动终端的操作的框图;以及
图16是根据本发明构思的示例性实施例的包括eSE的智能电视(TV)的操作的示意图。
具体实施方式
图1是根据本发明构思的示例性实施例的电子设备10的框图。
参考图1,电子设备10可以包括应用处理器(AP)200、安全元件(SE)100和输入/输出(I/O)设备300。I/O设备300可以包括输入设备310和输出设备320。电子设备10还可以包括其他组件,例如存储器和网络模块。
电子设备10可以包括:例如,智能电话、平板个人计算机(PC)、移动电话、电子书阅读器、台式PC、膝上型PC、个人数字助手(PDA)、便携式多媒体播放器(PMP)、MP3播放器、智能电视(TV)、医疗装置、相机或可穿戴设备。然而,本发明构思不限于此,电子设备10可以是各种类型的包括SE 100的设备中的任何一种。
AP 200可以控制电子设备10的总体操作,并可以控制除AP 200以外的至少一个组件。AP 200可以驱动操作系统(OS)和应用,并可以执行各种计算或数据处理。例如,AP 200可以是用于执行特定操作的专用处理器(诸如嵌入式处理器),或者是可执行存储在存储器设备中的至少一个软件程序以执行特定操作的通用处理器。例如,AP 200可以是中央处理单元(CPU)、微处理器或通信处理器(CP)。根据本发明构思的示例性实施例,AP 200可以包括用于执行一般计算的区域以及用于执行与安全相关数据的处理相关联的计算的区域。例如,AP 200可以包括安全区域和非安全区域。
AP 200可以直接或间接地向其他组件(例如,SE 100和I/O设备300)发送数据或从其他组件接收数据。
输入设备310可以接收一个用户输入或多个用户输入。输入设备310可以包括输入单元,例如触摸板、触摸屏、键区、输入按钮、传感器(例如,图像传感器、红外传感器、运动传感器或生物信息传感器)、麦克风和红外(IR)接收器。输入设备310可以向AP 200发送用户输入。根据本发明构思的示例性实施例,用户输入可以包括用户认证输入UAI。根据本发明构思的示例性实施例,用户认证输入UAI可以包括基于知识的认证信息或基于生物的认证信息。基于知识的认证信息可以包括运动模式、语音模式、触摸图案、密码、个人识别码(PIN)、图像数据或字符数据。基于生物的认证信息可以包括指纹信息、虹膜信息、视网膜信息、静脉信息、脸部信息或语音信息。
根据本发明构思的示例性实施例,如图1所示,输入设备310可以经由通道CHa直接向AP 200发送用户输入。通道CHa可以包括单条信号线或多条信号线。通道CHa可以根据输入设备310和AP 200之间设置的接口方法来传送数据。根据本发明构思的示例性实施例,输入设备310可以经由SE 100向AP 200发送用户输入。
输出设备320可以包括输出单元,例如显示器或扬声器。输出设备320可以经由通道CHd从AP 200接收用户界面(UI)或根据用户输入的处理结果,并可以输出UI或处理结果。根据本发明构思的示例性实施例,处理结果可以包括用户认证结果AR。上述各种接口适用于通道CHd。通道CHd可以与通道CHa相同或不同。AP 200可以经由输出设备320向用户提供输入所需的信息,并且还可以经由输出设备320提供对来自输入设备310的用户输入的响应。例如,AP 200可以控制输出设备320(或与输出设备320相关的驱动器或电路),使得输出设备320(例如,显示器)显示按下的按钮、签名或指纹信息扫描进度。
尽管输入设备310和输出设备320在图1的I/O设备300中是分离的设备,但是本发明构思不限于此。根据本发明构思的示例性实施例,输入设备310和输出设备320可以是单个模块(例如,触摸屏)。在这种情况下,通道CHa和通道CHd是相同的通道,并且上述各种接口适用于该相同的通道。
SE 100可以安全地存储安全数据并提供受保护的命令执行环境。SE 100可以保证对抗物理攻击或黑客攻击的强大的安全性。SE 100可以以可插入电子设备10的槽中的通用集成电路卡(UICC)的形式来安装,或者可以嵌入在电子设备10中。例如,SE 100可以是可拆卸的智能芯片,并且可以嵌入在安全数字(SD)卡、订户识别模块(SIM)卡和金融智能卡中。SE 100可以是电子设备10的固定芯片内的嵌入式安全元件(eSE)。
SE 100可以包括存储安全数据的存储设备120。例如,安全数据是要求安全性的重要数据,例如与加密或解密相关联的密钥和用户的个人信息(例如,密码、银行账户信息和认证证书)。当访问安全数据时,需要进行用户认证。
SE 100可以从输入设备310接收用户输入,例如用户认证输入UAI,并且可以基于用户认证输入UAI被激活。SE 100可以在用户认证成功时被激活。当SE 100被激活时,SE100可以基于存储在存储设备120中的安全数据执行AP 200请求的安全操作。因此,当SE100被激活时,存储设备120可以被激活。由于存储设备120被激活,可以访问存储设备120或存储设备120中存储的安全数据。例如,由于SE 100被激活,可以将安全数据写入存储设备120,或者可以从存储设备120读取安全数据。
SE 100还可以包括第一接口110和第二接口130。SE 100可以经由第一接口110从输入设备310接收用户输入,并且可以经由第二接口130向AP 200发送基于安全数据的安全信息SIF或从AP 200接收基于安全数据的安全信息SIF。第一接口110和第二接口130可以是根据SE 100和另一组件(例如,AP 200或输入设备310)之间的接口发送或接收数据的接口电路。例如,以下接口和/或接口方法适用于第一接口110和/或第二接口130:例如RGB接口、CPU接口、串行接口、移动显示数字接口(MDDI)、内部集成电路(I2C)接口、串行外设接口(SPI)、RS232接口、微控制器单元(MCU)接口、移动行业处理器接口(MIPI)、显示端口(DP)接口、嵌入式显示端口(eDP)接口、通用串行总线(USB)或高清多媒体接口(HDMI)。应用于第一接口110的接口方法和应用于第二接口130的接口方法可以彼此相同或不同。
第一接口110可以经由通道CHb从输入设备310接收用户输入。例如,第一接口110可以接收用户认证输入UAI。第一接口110可以通过监视输入设备310和AP 200之间的数据交换来接收用户输入。备选地,第一接口110可以通过操作为输入设备310的主设备(master)来接收用户输入。
AP 200对第一接口110的访问受到限制。第一接口110直接从输入设备310(而不是从AP 200)接收用户输入。例如,第一接口110不从AP 200接收信号。
第二接口130可以经由通道CHc与AP 200通信,并且可以在用户认证成功时向AP200发送基于安全数据的安全信息SIF。换句话说,SE 100可以在用户认证成功时经由第二接口130向AP 200发送基于安全数据的安全信息SIF。安全信息SIF可以包括安全数据、基于安全数据执行的计算或数据处理的结果或者通过安全数据的加密而产生的加密数据。根据本发明构思的示例性实施例,当用户认证成功时,SE 100可以经由第二接口130从AP 200接收安全信息SIF,并且可以将根据安全信息SIF的安全数据存储在存储设备120中。
根据本发明构思的示例性实施例,SE 100可以经由第二接口130从AP 200接收激活请求RACT,并且可以响应于激活请求RACT经由第一接口110接收用户输入。例如,激活请求RACT可以包括用户认证输入接收请求和/或安全操作请求。例如,安全操作包括加密操作、解密操作、数据处理、安全信息请求或安全信息存储。安全操作可以涉及通过使用安全数据的SE 100的操作。
SE 100可以响应于安全操作请求而接收用户输入,例如用户认证输入UAI,并且可以在基于用户输入的用户认证成功时,执行所请求的安全操作。备选地,SE 100可以响应于用户输入接收请求而从输入设备310接收用户输入,例如用户认证输入UAI,然后,当从AP200接收到安全操作请求时,执行所请求的安全操作。
根据本发明构思的示例性实施例,SE 100可以基于经由第一接口110接收的用户认证输入UAI和预存储在SE 100中的参考认证信息来独立地执行用户认证。在这种情况下,可以执行经由第二接口130从AP 200接收附加认证信息并将附加认证信息与用户认证输入UAI进行比较的认证操作。
根据本发明构思的示例性实施例,SE 100可以基于用户认证输入UAI与AP 200协作地执行用户认证。例如,AP 200可以通过将用户认证输入UAI与预存储的参考认证信息进行比较来执行第一认证。当第一认证成功时,AP 200可以将在第一认证期间使用的用户认证输入UAI作为认证信息发送给SE 100。SE 100可以通过将经由第一接口110接收的用户认证输入UAI与经由第二接口130接收的认证信息进行比较来执行第二认证。
根据本发明构思的示例性实施例,SE 100和AP 200均可以基于用户认证输入UAI执行用户认证。
当用户认证成功时,SE 100被激活以执行所请求的安全操作。当用户认证失败时,SE 100被去激活以拒绝所请求的安全操作。稍后将详细地描述SE 100执行的用户认证方法。
SE 100可以经由第二接口130向AP 200发送用户认证结果。根据本发明构思的示例性实施例,当用户认证失败时,AP 200可以控制输入设备310,使得输入设备310在特定时间段内不接收用于重新尝试用户认证的用户输入。换句话说,将防止输入设备310在预定时间量内接收用户输入。此外,当重新尝试用户认证的次数等于或大于特定次数时,AP 200可以控制输入设备310使得输入设备310不再接收用户输入。
如上所述,电子设备10的SE 100可以直接从输入设备310接收用户认证输入UAI,并且可以基于用户认证输入UAI执行用户认证以激活SE 100。SE 100的用户认证可以是由AP 200的OS的软件执行的用户认证。
当AP 200基于用户认证输入UAI执行用户认证以激活SE 100,或者向SE 100发送用户认证输入UAI并且在与AP 200执行的用户认证处理相关的软件中存在弱点时,恶意程序可能会在用户不知情的情况下激活SE 100。例如,恶意程序可能在用户不知情的情况下创建虚拟用户认证输入UAI或绕过用户认证处理来激活SE 100。
然而,在根据本实施例的电子设备10中,SE 100直接从输入设备310接收用户认证输入UAI,并且基于接收的用户认证输入UAI执行用户认证。这样,在用户不知情的情况下在AP 200中执行的恶意程序不能操纵在SE 100中执行的用户认证的结果,并且不能创建虚拟用户认证输入并将创建的虚拟用户认证输入发送到SE 100。因此,在本实施例的电子设备10中,可以加强用于激活SE 100的用户认证处理的安全性。
现在,将参考图2和图3来描述SE 100的结构和操作SE 100的方法。
图2是根据本发明构思的示例性实施例的SE 100a的框图。图2示出了图1的SE 100的示例。因此,参考图1提供的描述可以同样地应用于图2的实施例。
参考图2,SE 100a可以包括处理器140、随机存取存储器(RAM)150、存储设备120、第一接口110和第二接口130。SE 100a还可以包括加密/解密模块170(或密码模块)和传感器160。
处理器140可以控制SE 100a的总体操作,并且可以执行由图1的AP 200请求的计算或数据处理。当处理器140从AP 200接收到激活请求时,处理器140可以执行用于激活的用户认证。当用户认证成功时,处理器140可以允许对存储设备120的访问,例如对安全数据的访问。稍后将描述的根据本发明构思的示例性实施例的SE 100的用户认证操作可以由处理器140执行。处理器140可以是CPU、微处理器或逻辑电路。
RAM 150可以作为SE 100a的内部系统的工作存储器来操作。RAM 150可以包括易失性存储器和非易失性存储器中的至少一个。可以将用于控制SE 100的控制命令代码、控制数据或认证信息加载到RAM 150。处理器140可以基于加载到RAM 150的控制命令代码或控制数据来控制SE 100a。控制命令代码、控制数据或认证信息可以存储在存储设备120中或单独的非易失性存储器中。
存储设备120可以是非易失性存储器。存储设备120可以存储也可被称为“安全性数据”的安全数据。存储设备120可以在用户认证成功时被激活,并且因此,可以将接收的数据存储为安全数据或读出所存储的安全数据。
第一接口110可以从图1的输入设备310接收用户输入。第一接口110可以向处理器140提供所接收的用户输入中包括的用户认证输入,并且处理器140可以基于用户认证输入来执行用于激活的用户认证。
第二接口130可以与图1的AP 200通信。第二接口130可以从AP200接收激活请求或安全信息SIF,例如请求存储在存储设备120中的数据。例如,激活请求可以包括用户认证输入接收请求和/或安全操作请求。第二接口130可以向AP 200发送基于安全数据或用户认证结果的安全信息SIF。
密码模块170可以根据来自AP 200的请求来执行加密操作或解密操作。密码模块170可以实现为硬件、软件或者硬件和软件的组合。尽管密码模块170在图2中与处理器140分离,但是本发明构思不限于此。例如,密码模块170可以由处理器140执行加载到RAM 150的加密或解密命令代码来实现。
传感器160可以感测外部环境以保护SE 100a。传感器160可以包括例如温度传感器、湿度传感器、振动传感器和压力传感器。然而,本发明构思不限于此,任何各种其他类型的传感器可以安装在SE 100a上。当确定SE 100的外部环境异常时,传感器160可以向处理器140发送异常状态通知信号。当处理器140从传感器160接收到通知信号时,处理器140可以确定去激活SE 100a或者中断当前正进行的操作。另外,处理器140可以执行用于保护安全数据的操作,例如将被处理的安全数据写入存储设备120的操作。
SE 100a可以经由第一接口110直接从输入设备310接收用户输入。例如,SE 100a可以直接从输入设备310接收用户认证输入,并且可以基于用户认证输入执行用户认证。因此,可以防止用户认证输入被操纵,或者可以防止用于激活SE 100a的用户认证处理被绕过。
图3是根据本发明构思的示例性实施例的操作SE的方法的流程图。图3的方法可以在图2的SE 100a中执行。
参考图3,在操作S11中,SE 100a可以从图1的输入设备310接收用户认证输入。根据本发明构思的示例性实施例,第一接口110可以通过监视由输入设备310发送给AP 200的用户输入来接收用户认证输入。根据本发明构思的示例性实施例,第一接口110可以通过操作为输入设备310的主设备来从输入设备310接收用户认证输入。
在操作S12中,SE 100a可以基于用户认证输入来执行用户认证。根据本发明构思的示例性实施例,处理器140可以通过将用户认证输入与存储在SE 100a中的参考认证信息和/或从外部设备(例如,图1的AP 200)接收的认证信息进行比较来执行用户认证。根据本发明构思的示例性实施例,处理器140可以通过将用户认证输入与存储在SE 100a中的参考认证信息进行比较并检查从外部设备接收的认证结果来执行用户认证。
在操作S13中,当用户认证成功时,可以激活存储安全数据的存储设备120。换句话说,SE 100a可以被激活,并且处理器140可以访问存储设备120。
在操作S14中,SE 100a可以向AP 200发送基于安全数据的安全信息SIF。处理器140可以从存储设备120读取安全数据,并且可以基于安全数据执行安全操作,例如加密操作、解密操作或数据处理。第二接口130可以向AP 200发送根据处理器140的安全操作的安全信息SIF。安全信息SIF可以包括安全数据、基于安全数据执行的计算或数据处理的结果、或者通过对安全数据加密所产生的加密数据。另一方面,当用户认证失败时,SE 100a可以被去激活,并且可以拒绝执行AP 200所请求的安全操作。换句话说,将拒绝AP 200所请求的安全操作。
现在将参考图4、图5、图6和图7详细地描述操作包括SE 100的电子设备的方法。
图4是根据本发明构思的示例性实施例的操作电子设备的方法的流程图。例如,图4的方法是用于激活SE的用户认证方法,并且可以由图1的电子设备10执行。
参考图4,在操作S110中,AP 200可以向SE 100发送激活请求。例如,激活请求可以包括用户认证输入接收请求和/或安全操作请求。
在操作S120中,输入设备310可以感测用户输入。输入设备310可以通过感测用户输入来接收用于激活SE 100的用户认证输入UAI。
在操作S130中,输入设备310可以向AP 200和SE 100发送用户认证输入UAI。换句话说,AP 200和SE 100均可以从输入设备310接收用户认证输入UAI。AP 200和SE 100可以经由不同通道从输入设备310接收用户认证输入UAI。例如,SE 100可以通过监视AP 200和输入设备310之间的数据交换、经由图1的第一接口110接收用户认证输入UAI。
在操作S140中,SE 100可以将用户认证输入UAI与存储在其中的第一认证信息(例如,参考认证信息)进行比较。例如,SE 100可以确定用户认证输入UAI是否与第一认证信息相同。因此,SE 100可以基于用户认证输入UAI来执行用户认证。例如,第一认证信息可以存储在图1的存储设备120中或SE 100中包括的单独的非易失性存储器中。
在操作S150中,当用户认证输入UAI与第一认证信息相同时,SE100可以确定用户认证成功,并且可以被激活。SE 100可以被激活,以基于存储在图1的存储设备120中的安全数据执行AP 200请求的安全操作。
在操作S160中,当用户认证输入UAI与第一认证信息不同时,SE 100可以确定用户认证失败,并且可以被去激活。SE 100可以被去激活,使得其拒绝执行AP 200请求的安全操作。例如,SE 100可以发出拒绝。
根据操作电子设备的当前方法,当请求激活SE 100时,确保对抗物理攻击或黑客攻击的强大的安全性的SE 100可以直接从输入设备310接收用户认证输入UAI,并且基于接收的用户认证输入UAI执行用户认证。这样,可以加强用于激活SE 100的用户认证处理的安全性。
图5是根据本发明构思的示例性实施例的操作电子设备的方法的流程图。图5的方法可以在图1的电子设备10中执行。
参考图5,在操作S210中,AP 200可以向SE 100发送激活请求。在操作S220中,输入设备310可以感测用户输入。在操作S230中,输入设备310可以向AP 200和SE 100发送通过感测用户输入所获得的用户认证输入。图5的操作S210、S220和S230与图4的操作S110、S120和S130相同,因此,这里将省略其详细描述。
在操作S240中,AP 200可以向SE 100发送第二认证信息。从输入设备310接收的用户认证输入可以作为第二认证信息由AP 200发送给SE 100。
在操作S250中,SE 100可以将用户认证输入与存储在其中的第一认证信息(例如,参考认证信息)进行比较。例如,SE 100可以确定用户认证输入是否与第一认证信息相同。因此,SE 100可以执行第一用户认证。在操作S260中,当用户认证输入与第一认证信息相同时,SE 100可以将用户认证输入与第二认证信息进行比较。例如,SE 100可以确定用户认证输入是否与第二认证信息相同。因此,SE 100可以执行第二用户认证。换句话说,SE 100可以执行双重认证处理。
在操作S270中,当确定用户认证输入与第一认证信息和第二认证信息相同时,SE100可以确定用户认证成功,并且可以被激活。
在操作S280中,当用户认证输入与第一认证信息或第二认证信息不同时,SE 100可以确定用户认证失败,并且可以被去激活。
在图5中,在操作S250之前执行操作S240。然而,本发明构思不限于此。可以在执行操作S250之后执行操作S240。例如,AP 200可以从SE 100接收表示第一用户认证成功的结果,并且可以响应于该结果向SE 100发送第二认证信息。
如上所述,AP 200将用户认证输入作为第二认证信息发送给SE 100。然而,当用户认证输入与第二认证信息不同时,可以确定在接收用户认证输入时发生了错误或者在AP200中发生了错误。因此,即使当用户认证输入与第一认证信息相同时,SE 100也可在用户认证输入与第二认证信息不相同时被去激活。因为SE 100执行两个阶段的用户认证,所以可以加强电子设备10的用户认证的安全性。
图6是根据本发明构思的示例性实施例的操作电子设备的方法的流程图。图6的方法可以在图1的电子设备10中执行。
参考图6,在操作S310中,AP 200可以向SE 100发送激活请求。在操作S320中,输入设备310可以感测用户输入。在操作S330中,输入设备310可以向AP 200和SE 100发送通过感测用户输入所获得的用户认证输入。这些步骤可以类似于图4和图5中的相应步骤。
在操作S340中,AP 200可以将用户认证输入与存储在其中的第三认证信息(例如,参考认证信息)进行比较。例如,AP 200可以确定用户认证输入是否与第三认证信息相同。因此,AP 200可以基于用户认证输入来执行第一用户认证。例如,第三认证信息可以存储在AP 200中所包括的非易失性存储器中。
在操作S350中,当用户认证输入与第三认证信息不相同时,AP 200可以确定用户认证(例如,第一认证)失败。根据本发明构思的示例性实施例,AP 200可以向SE 100发送表示第一认证失败的认证结果。
在操作S360中,当用户认证输入与第三认证信息相同时,AP 200可以向SE 100发送第二认证信息。AP 200可以确定用户认证(例如,第一认证)成功,并且用于第一认证的用户认证输入可以作为第二认证信息由AP 200发送给SE 100。
在操作S370中,响应于第二认证信息,SE 100可以将从输入设备310接收的用户认证输入与第二认证信息进行比较。例如,SE 100可以确定用户认证输入是否与第二认证信息相同。因此,SE 100可以基于用户认证输入来执行第二用户认证。
在操作S380中,当用户认证输入与第二认证信息相同时,SE 100可以确定用户认证成功,并且可以被激活。
在操作S390中,当用户认证输入与第二认证信息不同时,SE 100可以确定用户认证失败,并且可以被去激活。例如,当用户认证输入与第二认证信息不相同或者没有用户认证输入被SE 100接收时,SE 100可以确定用户认证失败。
另外,当没有从AP 200接收到第二认证信息或者接收到表示第一认证失败的认证结果时,SE 100可以在操作S390中确定用户认证失败,并且可以被去激活。
在根据本实施例的操作电子设备的方法中,AP 200可以通过将从输入设备310接收的用户认证输入与存储在其中的第三认证信息(例如,参考认证信息)进行比较来执行第一认证。当第一认证成功时,SE 100可以通过将在第一认证中使用的用户认证输入(例如,第二认证信息)与直接从输入设备310接收的用户认证输入进行比较来执行第二认证。因此,即使当在AP 200中执行恶意程序,恶意程序操纵用户认证输入或创建虚拟用户认证输入,并且在第一认证中使用被操纵的用户认证输入或虚拟用户认证输入时,因为SE 100基于从输入设备310直接接收的实际用户认证输入执行附加认证,所以可以防止SE 100被恶意程序激活。
图7是根据本发明构思的示例性实施例的操作电子设备的方法的流程图。图7的方法可以在图1的电子设备10中执行。
参考图7,在操作S410中,AP 200可以向SE 100发送激活请求。在操作S420中,输入设备310可以感测用户输入。在操作S430中,输入设备310可以向AP 200和SE 100发送通过感测用户输入所获得的用户认证输入。这些步骤可以类似于图4至图6中的相应步骤。
下文中,AP 200和SE 100均可以通过将用户认证输入与存储在其中的参考认证信息进行比较来执行用户认证。
在操作S440中,AP 200可以将用户认证输入与存储在其中的第三认证信息(例如,参考认证信息)进行比较。例如,AP 200可以确定用户认证输入是否与第三认证信息相同。因此,AP 200可以执行第一认证。
在操作S445中,当用户认证输入与第三认证信息不相同时,AP 200可以确定第一认证失败。另一方面,在操作S447中,当用户认证输入与第三认证信息相同时,AP 200可以确定第一认证成功。在操作S460中,AP 200可以向SE 100发送第一认证结果。
在操作S450中,SE 100可以将用户认证输入与存储在其中的第一认证信息(例如,参考认证信息)进行比较。例如,SE 100可以确定用户认证输入是否与第一认证信息相同。因此,SE 100可以执行第二认证。
在操作S455中,当用户认证输入与第一认证信息不相同时,SE 100可以确定第二认证失败。另一方面,在操作S457中,当用户认证输入与第一认证信息相同时,SE 100可以确定第二认证成功。
在操作S465中,当第二认证成功时,SE 100可以检查从AP 200接收的第一认证结果。换句话说,SE 100可以确定第一认证结果是否表示成功。在操作S470中,当第一认证结果表示成功时,SE 100可以确定用户认证成功,并且SE 100可以被激活。在操作S480中,当第二认证结果或第一认证结果表示失败时,SE 100可以确定用户认证失败,并且SE 100可以被去激活或者根本不被激活。
在根据本实施例的操作电子设备的方法中,AP 200和SE 100均基于从输入设备310接收的用户输入来执行用户认证。另外,当AP 200的认证结果和SE 100的认证结果都表示成功时,SE 100可以被激活。因此,可以加强用于激活SE 100的用户认证的安全性。
图8是根据本发明构思的示例性实施例的电子设备10a的框图。图9是根据本发明构思的示例性实施例的由图8的电子设备10a执行的eSE激活方法的流程图。
参考图8和图9,电子设备10a可以包括eSE 100a、AP 200a和触摸屏300a。电子设备10a可以包括触摸屏300a作为I/O设备,并且可以包括eSE 100a作为SE。触摸屏300a可以包括触摸屏面板TSP、显示驱动电路DDI和触摸控制器TC。显示驱动电路DDI和触摸控制器TC可以与AP 200a通信,并且触摸控制器TC可以向eSE 100a发送用户输入。eSE 100a可以经由第一接口110从触摸屏300a(换句话说,从触摸控制器TC)接收用户输入,并且可以经由第二接口130与AP 200a通信。
当eSE 100a被请求激活时,例如,当eSE 100a的安全操作被请求时,在操作S211中,AP 200a可以向eSE 100a发送激活请求RACT。根据本发明构思的示例性实施例,第一接口110可以响应于激活请求RACT从低功率模式(例如,空闲状态、休眠状态或断电状态)切换到正常操作模式。
在操作S212中,AP 200a可以向触摸屏300a提供用于接收用户认证输入的用户界面UI。在操作S311中,触摸屏300a可以输出认证屏幕图像。显示驱动电路DDI可以在触摸屏面板TSP上显示从AP 200a接收的用户界面UI。
在操作S312中,当用户经由用户界面UI触摸触摸屏300a时,触摸屏300a可以感测用户输入。用户输入可以是用户密码UPW。触摸控制器TC可以通过感测触摸屏300a上的用户输入(例如,触摸坐标)来获得用户密码UPW。
在操作S313和S314中,触摸屏300a可以分别向AP 200a和eSE 100a发送用户密码UPW。用户密码UPW可以被同时发送给AP 200a和eSE 100a。
在操作S213中,当接收到用户密码UPW时,AP 200a可以向触摸屏300a提供对用户输入的响应。例如,当用户输入是“1534”时,AP 200a可以向显示驱动电路DDI发送对按下了在触摸屏300a上显示的数字按钮之中的按钮1、5、3和4的图像加以表示的图像数据。在操作S315中,触摸屏300a可以输出用户响应屏幕图像。
在操作S111中,eSE 100a可以将用户密码UPW与存储在其中的第一密码PW1进行比较。在eSE 100a内,例如,在存储设备或其他非易失性存储器中,存储了用于用户认证的参考密码,例如第一密码PW1。eSE 100a可以通过将从触摸屏300a接收的用户密码UPW与第一密码PW1进行比较来执行用户认证。
eSE 100a可以向AP 200a发送认证结果AR。当用户密码UPW与第一密码PW1不相同时,eSE 100a可以确定用户认证失败,并且在操作S112中,可以向AP 200a发送表示认证失败的认证结果。另一方面,当用户密码UPW与第一密码PW1相同时,eSE 100a可以确定用户认证成功,并且在操作S113中,可以向AP 200a发送表示认证成功的认证结果。例如,当用户密码UPW是“1534”并且第一密码PW1是“1534”时,eSE 100a可以确定用户认证成功。
在操作S214中,AP 200a可以向触摸屏300a提供所接收的认证结果AR。例如,AP200a可以向显示驱动电路DDI发送表示认证结果AR的图像数据。在操作S316中,触摸屏300a可以输出认证结果屏幕图像。例如,认证结果屏幕图像将向用户提供他们已被成功认证的确认。
在操作S114中,当用户认证成功时,eSE 100a可以被激活以根据来自AP 200a的请求执行安全操作。在操作S114中,eSE 100a可以基于存储在图1的存储设备120中的安全数据执行安全操作。在操作S115中,eSE 100a可以向AP 200a发送通过安全操作产生的安全信息SIF。
如此,在电子设备10a中,用户密码UPW可以被发送给AP 200a和eSE 100a中的每一个,并且eSE 100a可以基于用户密码UPW执行用于激活eSE 100a的用户认证。AP 200a可以向触摸屏300a提供对所接收的用户输入(例如,用户密码UPW)的响应。因此,用户可以检查他或她自己提供的输入。
以上参考图8和图9所述的eSE激活方法与应用了图4的用户认证方法的示例相对应。然而,本发明构思不限于此,以上参考图5至图7所述的用户认证方法适用于激活图8的电子设备10a的eSE 100a的方法。例如,eSE 100a可以基于从AP 200a接收的认证结果或密码执行至少一个附加认证。备选地,AP 200a可以通过将从触摸屏300a接收的用户密码UPW与存储在其中的参考密码进行比较来执行用户认证,并且eSE 100a可以将在AP 200a进行用户认证期间使用的密码与从触摸屏300a接收的用户密码UPW进行比较。
图8和图9示出了用户密码UPW用作用户认证输入的示例。然而,各种类型的基于知识的认证信息(例如,触摸图案、个人识别码(PIN)和字符数据)可以用作用户认证输入。
图10是根据本发明构思的示例性实施例的电子设备10b的框图。图11是根据本发明构思的示例性实施例的图10的电子设备10b的eSE激活方法的流程图。
参考图10和图11,电子设备10b可以包括eSE 100b、AP 200b和指纹传感器(FS)300b。电子设备10b可以包括FS 300b作为输入设备。电子设备10b还可以包括输出对用户输入的响应或输出用户认证结果的输出设备。eSE 100b可以经由第一接口110从FS 300b接收用户输入,并且可以经由第二接口130与AP 200b通信。
在操作S231中,当请求eSE 100b的安全操作时,AP 200b可以向eSE 100b发送激活请求RACT。当eSE 100b从AP 200b接收到激活请求RACT时,eSE 100b可以识别出将从FS300b接收用户输入。根据本发明构思的示例性实施例,第一接口110可以响应于激活请求RACT从低功率模式(例如,空闲状态、休眠状态或断电状态)切换到正常操作模式。
在操作S331中,当用户用其手指触摸FS 300b以执行用户认证时,FS 300b可以感测用户的指纹。FS 300b可以获得用户指纹信息UFP。
在操作S332中,FS 300b可以分别向AP 200b和eSE 100b发送所获得的用户指纹信息UFP。用户指纹信息UFP可以被同时发送给AP 200b和eSE 100b。
在操作S232中,AP 200b可以将用户指纹信息UFP与存储在其中的第一指纹信息FP1(例如,参考指纹信息)进行比较。因此,AP 200b可以执行第一认证。AP 200b中包括的非易失性存储器存储用于用户认证的参考指纹信息,例如第一指纹信息FP1。AP 200b的OS可以将预先存储在AP 200b中的第一指纹信息FP1与从FS 300b接收的用户指纹信息UFP进行比较,并且可以确定第一指纹信息FP1是否与用户指纹信息UFP匹配。例如,通过使用图像比较技术,OS可以确定第一指纹信息FP1是否与用户指纹信息UFP匹配。
在操作S233中,当用户指纹信息UFP不与第一指纹信息FP1匹配时,AP 200b可以确定用户认证失败。另一方面,在操作S234中,当用户指纹信息UFP与第一指纹信息FP1匹配时,AP 200b可以将用户指纹信息UFP作为第二指纹信息FP2发送给eSE 100b。
在操作S131中,eSE 100b可以从AP 200b接收第二指纹信息FP2,并且可以将第二指纹信息FP2与从FS 300b接收的用户指纹信息UFP进行比较。eSE 100b可以确定第二指纹信息FP2是否与用户指纹信息UFP匹配。因此,eSE 100b可以执行第二认证。
eSE 100b可以向AP 200b发送认证结果AR。在操作S132中,当用户指纹信息UFP与第二指纹信息FP2不匹配时,eSE 100b可以确定用户认证失败,并且可以向AP 200b发送表示认证失败的认证结果AR。根据本发明构思的示例性实施例,当从AP 200b接收到第二指纹信息FP2但是未从FS 300b接收到用户指纹信息UFP时,eSE 100b也可以确定用户认证失败。
另一方面,在操作S133中,当用户指纹信息UFP与第二指纹信息FP2匹配时,eSE100b可以确定用户认证成功,并且可以向AP 200b发送表示认证成功的认证结果AR。根据本发明构思的示例性实施例,AP 200b可以向输出设备提供用户认证结果。
在操作S134中,当用户认证成功时,eSE 100b可以被激活并且可以根据来自AP200b的请求执行安全操作。eSE 100b可以基于存储在图1的存储设备120中的安全数据执行安全操作,并且在操作S135中,可以向AP 200b发送通过安全操作所产生的安全信息SIF。
如此,在电子设备10b中,用户指纹信息UFP可以被发送给AP 200b和eSE 100b中的每一个。AP 200b可以通过将用户指纹信息UFP与存储在其中的参考指纹信息进行比较来执行第一认证,并且eSE 100b可以通过将在第一认证期间使用的指纹信息与用户指纹信息UFP进行比较来执行第二认证。
以上参考图10和图11所述的激活eSE 100b的方法与应用了图6的用户认证方法的示例相对应。然而,本发明构思不限于此,以上参考图4、图5和图7所述的用户认证方法适用于激活图10的电子设备10b的eSE 100b的方法。例如,eSE 100b可以将所接收的用户指纹信息UFP与存储在其中的参考指纹信息进行比较。当用户指纹信息UFP与存储在eSE 100b中的参考指纹信息匹配时,eSE 100b也可以从AP 200b接收指纹信息,并将用户指纹信息UFP与从AP 200b接收的指纹信息进行比较。备选地,AP 200b和eSE 100b均可以通过将用户指纹信息UFP与存储在其中的参考指纹信息进行比较来执行用户认证。因此,可以基于AP 200b执行的用户认证的结果和eSE 100b执行的用户认证的结果来确定是否激活eSE 100b。
图10和图11示出了使用用户指纹信息UFP作为用户认证输入的示例。然而,可以使用各种类型的基于生物的认证信息(例如,虹膜信息、视网膜信息、静脉信息、脸部信息和语音信息)作为用户认证输入。
图12是根据本发明构思的示例性实施例的电子设备20的框图。
参考图12,电子设备20可以包括AP 200’、SE 100’和I/O设备300’。I/O设备300’可以包括输入设备310和输出设备320。电子设备20还可以包括其他组件,例如存储器和网络模块。
根据本实施例,在I/O设备300′和AP 200′之间不存在直接的物理通道。而是,I/O设备300’和AP 200’可以经由SE 100’彼此通信。例如,SE 100’可以操作为中继器。
SE 100’可以包括第一接口110’、存储设备120和第二接口130’。SE 100’可以经由第一接口110’与I/O设备300’通信,并且可以经由第二接口130’与AP 200’通信。
第一接口110’可以经由通道CHb从输入设备310接收用户输入UIP。第二接口130’可以经由通道CHc向AP 200’发送用户输入UIP。第二接口130′还可以经由通道CHc从AP200′接收与用户输入UIP相对应的响应,并且第一接口110′可以向输出设备320发送该响应。
当SE 100′从AP 200′接收到激活请求时,SE 100′可以基于用户输入UIP中包括的用户认证输入UAI来执行用户认证,并且可以在用户认证成功时被激活。SE 100’还可以经由第二接口130’向AP 200’发送用户认证输入UAI。
以上参考图4和图7所述的用户认证方法适用于图12的电子设备20。SE 100′可以基于用户认证输入UAI执行用户认证,并且可以在用户认证成功时被激活。SE 100′被激活可以意味着SE 100′被授权基于存储在存储设备120中的安全数据来执行AP 200’所请求的安全操作。SE 100′被激活可以意味着存储设备120是可访问的。
图13是根据本发明构思的示例性实施例的电子设备30的框图。
参考图13,电子设备30可以包括AP 200”、SE 100”和I/O设备300”。I/O设备300”可以包括输入设备310和输出设备320。电子设备30还可以包括其他组件,例如存储器和网络模块。
根据本实施例,在I/O设备300”和AP 200”之间不存在直接的物理通道。而是,I/O设备300”和AP 200”可以经由SE 100”彼此通信。例如,SE 100”可以操作为中继器。
SE 100”可以包括第一接口110、存储设备120、第二接口130和第三接口180。SE100”可以经由第一接口110与I/O设备300”通信。当SE 100”接收到与正常操作相关的用户输入UIP(例如,不需要安全性的操作)时,SE 100”可以经由第三接口180向AP 200”发送用户输入UIP,并且可以从AP 200”接收对用户输入UIP的响应。当SE 100”接收到与需要安全性的操作相关的用户输入UIP(例如,用户认证输入UAI)时,SE 100”可以经由第二接口130向AP 200”发送用户认证输入UAI。在这种情况下,SE 100”可以经由第二接口130向AP 200”发送或从AP 200”接收与安全操作或处理结果相关的各种类型的信息。
第一接口110可以经由通道CHb连接到I/O设备300”,第三接口180可以经由通道CHe连接到AP 200”,并且第二接口130可以经由通道CHc连接到AP 200”。
根据本发明构思的示例性实施例,AP 200”可以包括富执行环境(REE)和可信执行环境(TEE)。AP 200”可以经由TEE处理需要相对较高安全级别的数据。REE和TEE可以在物理上彼此分离,通过软件彼此分离,或者在物理上彼此分离以及通过软件彼此分离。REE可以经由通道CHe连接到SE 100”的第三接口180,并且TEE可以经由通道CHc连接到SE 100”的第二接口130。
当SE 100”从AP 200”接收到激活请求时,SE 100”可以接收用户输入UIP中包括的用户认证输入UAI,并经由第二接口130向AP 200”的TEE发送用户认证输入UAI。
因此,SE 100”可以基于用户认证输入UAI被激活。以上参考图4和图7所述的用户认证方法适用于图13的电子设备30。SE 100”可以基于用户认证输入UAI执行用户认证,并且可以在用户认证成功时被激活。SE 100”被激活可以意味着SE 100”能够基于存储在存储设备120中的安全数据来执行AP 200”所请求的安全操作。在这种情况下,存储设备120的内容可以被访问或被利用。
SE 100”可以经由第二接口130向AP 200”的TEE发送认证结果AR。当SE 100”由于用户认证成功而被激活时,SE 100”可以经由第二接口130向AP 200”的TEE发送根据安全操作而产生的安全信息SIF。
如以上参考图12和图13所述,SE 100′和100”可以操作为有助于I/O没备300′和300”与AP 200′和200”之间的通信的中继器。因此,当SE 100′和100”分别从AP 200′和200”接收到激活请求时,SE 100′和100”可以基于从输入设备310接收的用户认证输入UAI来执行用于激活的用户认证。
在图12和图13中,输出设备320经由与输入设备310使用的通道相同的通道(换句话说,经由通道CHb)与SE 100’和100”通信。然而,本发明构思不限于此,输出设备320可以经由与输入设备310使用的通道不同的通道与SE 100′和100”通信,或者可以直接与AP200′和AP 200”通信。
图14是根据本发明构思的示例性实施例的移动终端50的框图。
参考图14,移动终端50可以包括AP 510、eSE 520、I/O设备530、网络模块550、传感器540和存储器560。
AP 510可以控制移动终端50的总体操作。AP 510可以与移动终端50的其他组件通信,并且可以控制其他组件的操作。根据本发明构思的示例性实施例,AP 510可以包括单核处理器或多核处理器。根据本发明构思的示例性实施例,AP 510还可以包括内部或外部高速缓存存储器。
eSE 520可以安全地存储安全数据,并且可以根据来自AP 510的请求被激活以执行安全操作。例如,eSE 520可以存储安全数据,例如电子支付和服务器登录所需的ID、密码和银行账号。例如,eSE 520可以向AP 510提供根据来自AP 510的请求所存储的安全数据或与安全数据相关联的安全信息。
eSE 520可以经由第一接口110直接从I/O设备530接收用户认证输入,并且可以基于用户认证输入来执行用户认证。当用户认证成功时,eSE 520可以被激活以根据来自AP510的请求执行安全操作。eSE 520可以经由第二接口130与AP 510通信。例如,eSE 520可以经由第二接口130从AP 510接收激活请求,并且可以向AP 510发送或从AP 510接收通过执行安全操作所产生的安全信息,换句话说,基于存储在所述eSE 520中的安全数据的安全信息。
I/O设备530可以包括诸如触摸板、键区或输入按钮之类的输入设备以及诸如显示器或扬声器之类的输出设备。I/O设备530可以包括感测生物特征信息的生物传感器。
传感器540可以感测移动终端50的内部或外部环境,并且可以是各种传感器中的任何一种,例如照度传感器、图像传感器、声学传感器、加速度传感器、温度传感器或红外传感器。根据本发明构思的示例性实施例,传感器540可以操作为输入设备。
网络模块550可以与外部设备通信。例如,网络模块550可以是可连接到有线局域网(LAN)、无线短距离通信接口(例如,蓝牙、无线保真(Wi-Fi)或Zigbee)、电力线通信(PLC)或移动蜂窝网络(第三代(3G)或长期演进(LTE))的调制解调器通信接口。
存储器560可以存储用于控制移动终端50的控制命令代码、控制数据或用户数据。存储器560可以包括易失性存储器和非易失性存储器中的至少一个。
移动终端50可以具有嵌入在其中的电池,或者还包括从外部源接收电力的供电器,例如用于提供内部电力。移动终端50还可以包括存储设备。存储设备可以是非易失性介质,例如硬盘驱动器(HDD)、固态盘驱动器(SSD)、嵌入式多媒体卡(eMMC)或通用闪存存储设备(UFS)。存储设备可以存储经由I/O设备530接收的关于用户的信息以及经由传感器540收集的感测信息。
在移动终端50中,eSE 520可以直接从I/O设备530接收用户认证输入,并且可以基于用户认证输入来执行用于激活eSE 520的用户认证(例如,本地级认证)。eSE 520可以在用户认证成功时被激活,并且可以向AP 510提供存储在其中的安全数据或基于安全数据的安全信息。AP 510可以经由网络模块550向外部设备(例如,外部服务器)发送安全信息(或基于安全信息的处理信息),并且因此,可以执行用于访问外部服务器或请求外部服务器执行预定操作的用户认证(例如,服务器级认证)。网络模块550可以经由天线555无线地向外部服务器发送请求。
图15是根据本发明构思的示例性实施例的包括eSE的移动终端的操作的框图。
参考图15,移动终端1000可以包括eSE 1100、AP 1200、I/O设备1300和网络模块1400。I/O设备1300可以包括触摸屏面板TSP、指纹读取器FRU、显示驱动电路DDI、触摸控制器TC和指纹传感器FS。根据本发明构思的示例性实施例,指纹读取器FRU可以是触摸屏面板TSP的一部分。eSE 1100、AP 1200、网络模块1400、显示驱动电路DDI、触摸控制器TC和指纹传感器FS可以包括在移动终端1000的内部系统SYS中。
图15示出了以下情况:eSE 1100的存储器1110存储作为安全数据的用于多个互联网站点(Site1-Site3)的相应用户密码(PW1-PW3),并且访问AP 1200请求eSE 1100提供用于该站点的用户密码的特定互联网站点。
AP 1200可以向eSE 1100发送激活请求。激活请求可以包括用于提供用于特定互联网站点的用户密码的请求。之后,可以执行用于激活eSE 1100的用户认证,例如本地级认证。
AP 1200可以向显示驱动电路DDI提供用户界面UI,并且显示驱动电路DDI可以在触摸屏面板TSP上显示用户界面UI。用户可以经由触摸屏面板TSP输入PIN。用户可以经由触摸屏面板TSP输入用户认证输入,例如密码或触摸图案。触摸控制器TC可以经由触摸屏面板TSP获得PIN,并且可以将PIN作为用户认证输入发送给AP 1200和eSE 1100。
用户还可以经由指纹读取器FRU输入用户指纹信息UFP。指纹传感器FS可以将用户指纹信息UFP作为用户认证输入发送给AP 1200和eSE 1100。另外,根据I/O设备1300的类型,可以将各种类型的基于知识的认证信息和基于生物的认证信息作为用户认证输入发送给AP 1200和eSE 1100。例如,I/O设备1300类型可以取决于I/O设备1300中包括的传感器或输入设备的类型。
eSE 1100可以基于用户认证输入(例如,PIN和/或用户指纹信息UFP)执行用户认证。例如,eSE 1100可以将接收的PIN与预先存储在其中的ID码进行比较。备选地,eSE 1100可以通过将接收的用户指纹信息UFP与存储在其中的指纹信息或从AP 1200接收的指纹信息进行比较来执行用户认证。可以同时执行或在不同时间执行基于PIN的用户认证和基于用户指纹信息UFP的用户认证。
当用户认证成功时,eSE 1100可以被激活并且使用存储在存储设备1110中的安全数据。eSE 1100可以向AP 1200提供用于AP 1200所请求的互联网站点的密码。
AP 1200可以经由网络模块1400向外部互联网站点提供从eSE 1100接收的密码,从而执行用户认证,例如服务器级认证,并访问互联网站点。
如此,移动终端1000可以在eSE 1100中存储关于外部互联网站点的用于用户认证(例如,服务器级认证)的密码,并且可以从输入设备接收关于eSE 1100的用于用户认证(例如,本地级认证)的用户认证输入。在移动终端1000中,eSE 1100可以直接从I/O设备1300接收用户认证输入,并且可以基于接收的用户认证输入来执行用于激活的用户认证。
图16是根据本发明构思的示例性实施例的包括eSE的智能电视(TV)的操作的示意图。
参考图16,智能TV 2000可以包括eSE 2100、AP 2200、IR接收器2300、屏幕2400和网络模块2500。eSE 2100、AP 2200、IR接收器2300和网络模块2500可以包括在智能TV 2000的内部系统SYS中。
AP 2200可以经由网络模块2500向外部支付服务器发送或从外部支付服务器接收支付相关信息。为了产生支付相关信息,AP 2200可以使用存储在eSE 2100中的安全数据。AP 2200可以向eSE 2100发送激活请求,并且可以向屏幕2400提供用于用户认证的用户界面UI,以实现用于激活eSE 2100的用户认证。
当用户向遥控器RCON输入了用户认证输入(例如,PIN)时,IR接收器2300可以从遥控器RCON接收PIN。
IR接收器2300可以将PIN发送给AP 2200和eSE 2100。根据本发明构思的示例性实施例,eSE 2100可以响应于来自AP 2200的激活请求,通过监视AP 2200和IR接收器2300之间的通信来接收PIN。
eSE 2100可以基于PIN执行用户认证。例如,eSE 2100可以通过将PIN与存储在其中的ID码进行比较来执行用户认证。
根据本发明构思的示例性实施例,eSE 2100的存储设备2110可以存储用户账户信息(包括例如昵称信息)和认证证书,并且当用户认证成功时,eSE 2100可以向AP 2200发送用户账户信息和认证证书。AP 2200可以对用户账户信息和认证证书进行加密,并且可以经由网络模块2500将加密的支付相关信息发送给外部支付服务器。
如此,智能TV 2000可以向外部支付服务器发送或从外部支付服务器接收用于金融交易(例如用于用户所购买的产品的支付或账户转帐)的支付相关信息。可以在eSE 2100中存储要求高安全性的数据,例如银行账户信息、卡信息和用于支付的认证证书,并且响应于来自AP 2200的请求,可以激活eSE 2100,从而可以使用所存储的数据。然而,为了激活eSE 2100,必须执行用户认证。在这种情况下,eSE 2100可以直接从IR接收器2300接收用户输入(换句话说,PIN)并且可以执行用户认证。因此,可以加强用户认证处理的安全性。因此,用户可以通过使用存储在eSE 2100中的银行账户信息、卡信息和认证证书来安全且快速地处理金融交易。
尽管已经参考本发明构思的示例性实施例具体示出和描述了本发明构思,但本领域普通技术人员将理解,在不脱离所附权利要求所限定的本发明构思的精神和范围的情况下,可以进行形式和细节上的多种改变。
Claims (25)
1.一种安全元件,包括
存储设备,被配置为存储安全数据;
第一接口,被配置为从外部输入设备接收用户输入;
处理器,被配置为基于所述用户输入执行用户认证,并在用户认证成功时激活所述存储设备;以及
第二接口,被配置为向外部处理器发送基于所述安全数据的安全信息。
2.根据权利要求1所述的安全元件,其中所述外部处理器对所述第一接口的访问受到限制。
3.根据权利要求1所述的安全元件,其中所述处理器将所述用户输入与存储在所述安全元件中的第一认证信息进行比较,并且当确定所述用户输入与所述第一认证信息相同时,所述处理器确定用户认证成功。
4.根据权利要求1所述的安全元件,其中所述处理器从所述外部处理器接收第二认证信息,并且基于所述第二认证信息执行用户认证。
5.根据权利要求4所述的安全元件,其中所述处理器将所述用户输入与所述第二认证信息进行比较,并且当确定所述用户输入与所述第二认证信息相同时,所述处理器确定用户认证成功。
6.根据权利要求4所述的安全元件,其中当接收到所述第二认证信息时,所述处理器确定是否接收到所述用户输入;
当确定接收到所述用户输入时,所述处理器确定用户认证成功;以及
当确定未接收到所述用户输入时,所述处理器确定用户认证失败。
7.根据权利要求1所述的安全元件,其中当所述用户输入与存储在所述安全元件中的第一认证信息相同并且从所述外部处理器接收到表示认证成功的认证结果时,所述处理器确定用户认证成功。
8.根据权利要求1所述的安全元件,其中所述安全信息包括所述安全数据、基于所述安全数据执行的计算的结果、或者通过对所述安全数据进行加密而产生的加密数据。
9.根据权利要求1所述的安全元件,其中所述第一接口响应于经由所述第二接口从所述外部处理器接收的用户输入接收请求,从所述外部处理器接收所述用户输入。
10.根据权利要求1所述的安全元件,其中所述第一接口通过监视所述外部输入设备和所述外部处理器之间的数据交换来接收所述用户输入。
11.根据权利要求1所述的安全元件,其中所述第二接口向所述外部处理器发送经由所述第一接口接收的所述用户输入。
12.根据权利要求1所述的安全元件,还包括:第三接口,被配置为向所述外部处理器发送所述用户输入。
13.根据权利要求1所述的安全元件,其中,
所述用户输入包括基于知识的认证信息或基于生物的认证信息,
所述基于知识的认证信息包括运动模式、语音模式、触摸图案、密码、图像数据或字符数据,以及
所述基于生物的认证信息包括指纹信息、虹膜信息、视网膜信息、静脉信息、脸部信息或语音信息。
14.一种操作安全元件的方法,所述方法包括:
从输入设备接收用户认证输入;
基于所述用户认证输入,确定存储安全数据的存储设备的激活或去激活;以及
当所述存储设备被激活时,向外部处理器发送基于所述安全数据的安全信息。
15.根据权利要求14所述的方法,其中所述安全元件经由第一接口从所述输入设备接收所述用户认证输入,并且经由第二接口向所述外部处理器发送所述安全信息。
16.根据权利要求14所述的方法,其中确定激活或去激活包括:将所述用户认证输入与存储在所述安全元件中的第一认证信息进行比较,并且在所述用户认证输入与所述第一认证信息匹配时确定激活所述存储设备。
17.根据权利要求14所述的方法,还包括:从所述外部处理器接收第二认证信息,
其中确定激活或去激活包括:将所述用户认证输入与所述第二认证信息进行比较,并且在所述用户认证输入与所述第二认证信息匹配时确定激活所述存储设备。
18.一种电子设备,包括:
输入设备,被配置为感测用户输入;
安全元件,被配置为从所述输入设备接收所述用户输入,并基于所述用户输入来确定是否执行安全操作;以及
应用处理器AP,被配置为当所述安全元件执行安全操作时,与所述安全元件交换安全信息。
19.根据权利要求18所述的电子设备,其中所述安全元件包括:
第一接口电路,被配置为从所述输入设备接收所述用户输入;
存储设备,被配置为存储安全数据;以及
第二接口电路,被配置为与所述AP交换所述安全信息,其中所述安全信息基于所述安全数据。
20.根据权利要求18所述的电子设备,其中所述安全元件将所述用户输入与存储在所述安全元件中的第一认证信息或从所述AP接收的第二认证信息进行比较,并且基于比较的结果来确定是否执行安全操作。
21.根据权利要求20所述的电子设备,其中所述AP从所述输入设备接收所述用户输入,通过将所接收的用户输入与存储在所述AP中的第三认证信息进行比较来执行用户认证,并且当用户认证成功时,将所述用户输入作为所述第二认证信息发送给所述安全元件。
22.根据权利要求18所述的电子设备,还包括:
第一通道,被配置为将所述输入设备电连接至所述AP;
第二通道,被配置为将所述输入设备电连接至所述安全元件;以及
第三通道,被配置为将所述AP电连接至所述安全元件。
23.根据权利要求18所述的电子设备,其中所述输入设备向所述安全元件和所述AP发送所述用户输入。
24.根据权利要求18所述的电子设备,其中所述安全元件向所述AP发送所述用户输入。
25.根据权利要求18所述的电子设备,其中所述输入设备包括触摸板、触摸屏、生物信息传感器或语音识别设备。
Applications Claiming Priority (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR20160137885 | 2016-10-21 | ||
| KR10-2016-0137885 | 2016-10-21 | ||
| KR1020170011139A KR20180044173A (ko) | 2016-10-21 | 2017-01-24 | 시큐어 엘리먼트, 시큐어 엘리먼트의 동작 방법 및 시큐어 엘리먼트를 포함하는 전자 장치 |
| KR10-2017-0011139 | 2017-01-24 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN107979586A true CN107979586A (zh) | 2018-05-01 |
Family
ID=60161944
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710982711.7A Withdrawn CN107979586A (zh) | 2016-10-21 | 2017-10-19 | 安全元件及其操作方法和包括安全元件的电子设备 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US20180114007A1 (zh) |
| EP (1) | EP3312759B1 (zh) |
| CN (1) | CN107979586A (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2020063796A1 (zh) * | 2018-09-28 | 2020-04-02 | 新明华区块链技术(深圳)有限公司 | 一种通过控制安全芯片进行远程签名的方法、装置及系统 |
| CN111459869A (zh) * | 2020-04-14 | 2020-07-28 | 中国长城科技集团股份有限公司 | 一种数据访问的方法、装置、设备及存储介质 |
| CN112100695A (zh) * | 2019-06-17 | 2020-12-18 | 紫光同芯微电子有限公司 | 一种带有安全存储功能的uicc装置及其指令响应方法 |
| CN116566621A (zh) * | 2023-05-29 | 2023-08-08 | 中国银行股份有限公司 | 安全认证方法、设备、部件及存储介质 |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101584405B1 (ko) * | 2013-10-31 | 2016-01-12 | 주식회사 엘지화학 | 고정 인터페이스를 구비한 응용 모듈 |
| KR102501304B1 (ko) * | 2018-05-17 | 2023-02-20 | 삼성전자주식회사 | 복수의 프로세서들과 연결된 보안 모듈의 제어 방법 및 이를 구현한 전자 장치 |
| CN112784616B (zh) * | 2021-01-21 | 2024-05-24 | 北京握奇智能科技有限公司 | 一种具有数据链路层协议的i2c接口读卡器 |
| CN113821835B (zh) * | 2021-11-24 | 2022-02-08 | 飞腾信息技术有限公司 | 密钥管理方法、密钥管理装置和计算设备 |
Family Cites Families (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7447911B2 (en) * | 2003-11-28 | 2008-11-04 | Lightuning Tech. Inc. | Electronic identification key with portable application programs and identified by biometrics authentication |
| JP4701615B2 (ja) * | 2004-01-23 | 2011-06-15 | ソニー株式会社 | 情報記憶装置 |
| JPWO2006041031A1 (ja) * | 2004-10-08 | 2008-05-15 | 松下電器産業株式会社 | 認証システム |
| JP4449933B2 (ja) * | 2006-03-31 | 2010-04-14 | ブラザー工業株式会社 | 電子証明書発行システム、電子証明書発行装置、通信装置、及び、プログラム |
| JP2008129744A (ja) * | 2006-11-20 | 2008-06-05 | Hitachi Ltd | 外部記憶装置 |
| JP4867760B2 (ja) * | 2007-03-30 | 2012-02-01 | ソニー株式会社 | 情報処理装置および方法、並びに情報処理システム |
| KR101873530B1 (ko) * | 2012-04-10 | 2018-07-02 | 삼성전자주식회사 | 모바일 기기, 모바일 기기의 입력 처리 방법, 및 모바일 기기를 이용한 전자 결제 방법 |
| KR101255204B1 (ko) * | 2012-07-23 | 2013-04-23 | 주식회사 베프스 | 보안 기능을 갖는 저장 장치 리더기 및 이를 이용한 보안 방법 |
| US10229258B2 (en) * | 2013-03-27 | 2019-03-12 | Samsung Electronics Co., Ltd. | Method and device for providing security content |
| EP2942733A1 (en) * | 2014-05-09 | 2015-11-11 | Nxp B.V. | Architecture for platform security using a dedicated security device for user interaction |
| US9639839B2 (en) * | 2014-08-12 | 2017-05-02 | Egis Technology Inc. | Fingerprint recognition control methods for payment and non-payment applications |
| US9904775B2 (en) * | 2014-10-31 | 2018-02-27 | The Toronto-Dominion Bank | Systems and methods for authenticating user identity based on user-defined image data |
-
2017
- 2017-09-27 US US15/716,683 patent/US20180114007A1/en not_active Abandoned
- 2017-10-16 EP EP17196516.3A patent/EP3312759B1/en active Active
- 2017-10-19 CN CN201710982711.7A patent/CN107979586A/zh not_active Withdrawn
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2020063796A1 (zh) * | 2018-09-28 | 2020-04-02 | 新明华区块链技术(深圳)有限公司 | 一种通过控制安全芯片进行远程签名的方法、装置及系统 |
| CN112100695A (zh) * | 2019-06-17 | 2020-12-18 | 紫光同芯微电子有限公司 | 一种带有安全存储功能的uicc装置及其指令响应方法 |
| CN111459869A (zh) * | 2020-04-14 | 2020-07-28 | 中国长城科技集团股份有限公司 | 一种数据访问的方法、装置、设备及存储介质 |
| CN116566621A (zh) * | 2023-05-29 | 2023-08-08 | 中国银行股份有限公司 | 安全认证方法、设备、部件及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20180114007A1 (en) | 2018-04-26 |
| EP3312759A1 (en) | 2018-04-25 |
| EP3312759B1 (en) | 2019-07-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US12197628B2 (en) | Method and apparatus for processing biometric information in electronic device | |
| EP3312759B1 (en) | Secure element (se), a method of operating the se, and an electronic device including the se | |
| EP3332372B1 (en) | Apparatus and method for trusted execution environment based secure payment transactions | |
| CN108734031B (zh) | 具有在数据安全桥中实现的安全功能的安全数据存储设备 | |
| CN104584023B (zh) | 用于硬件强制访问保护的方法和设备 | |
| EP2836957B1 (en) | Location-based access control for portable electronic device | |
| KR102616421B1 (ko) | 생체 인증을 이용한 결제 방법 및 그 전자 장치 | |
| JP5961300B2 (ja) | 入力パスワードを検証する方法およびパスワード検証装置、並びにパスワード検証装置を含むコンピュータ・システム | |
| CN108140082A (zh) | 使用非对称密钥的多因素用户认证框架 | |
| US10013540B2 (en) | Authentication based on body movement | |
| TWI706288B (zh) | 穿戴式設備、解鎖控制系統及解鎖控制方法 | |
| CN107395589A (zh) | 指纹信息获取方法及终端 | |
| CN104954132A (zh) | 信息处理装置、信息处理方法、和记录介质 | |
| EP3304391B1 (en) | Controlling access to resource functions at a control point of the resource via a user device | |
| JP2013174955A (ja) | セキュリティを解除するための情報の入力が要求される情報処理装置及びログイン方法 | |
| US20170126635A1 (en) | Controlling Access To Resource Functions At A Control Point Of The Resource Via A User Device | |
| US9594968B1 (en) | Biometric profile creation | |
| KR20180044173A (ko) | 시큐어 엘리먼트, 시큐어 엘리먼트의 동작 방법 및 시큐어 엘리먼트를 포함하는 전자 장치 | |
| KR20190052405A (ko) | 스마트폰 인증 기능을 이용한 컴퓨터 보안 시스템 및 방법 | |
| KR102038551B1 (ko) | 얼굴 인식을 이용한 컴퓨팅 장치에 대한 로그인 | |
| US9405891B1 (en) | User authentication | |
| WO2021120066A1 (zh) | 移动存储设备、存储系统和存储方法 | |
| EP2953048B1 (en) | Mobile device, method of authenticating a user and computer program | |
| CN121058203A (zh) | 用于医疗装置控制台的安全用户认证 | |
| WO2023101660A1 (en) | Encrypted side-band communications |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WW01 | Invention patent application withdrawn after publication |
Application publication date: 20180501 |
|
| WW01 | Invention patent application withdrawn after publication |