專利名稱:Usb鍵裝置與通過usb端口與usb主機(jī)交互的方法
本申請(qǐng)是1999年11月10日遞交的�,題目為“由可靈活連接計(jì)算機(jī)系統(tǒng)群體使用的用戶-計(jì)算機(jī)交互方法”的中國專利申請(qǐng)No.99122484.1的分案申請(qǐng)。
本發(fā)明涉及可靈活連接的計(jì)算機(jī)裝置和靈活連接主機(jī)的方法����。
在通過Internet上的www.usbb.org獲得的具體說明中描述了USB接口。
防火線(Firewire)技術(shù)�����,也稱為“IEEE 1394技術(shù)”���,是USB的另一種��,它也具有靈活的連接性���,用IEEE 1394標(biāo)準(zhǔn)描述���。
USBHasp是1997年10月宣布的Aladdin軟件保護(hù)產(chǎn)品,它包括USB鍵���。USBHasp并不控制用戶進(jìn)入計(jì)算機(jī)網(wǎng)絡(luò)���,而是只有當(dāng)對(duì)應(yīng)于備份的USB鍵被插入到計(jì)算機(jī)系統(tǒng)時(shí),通過激活此軟件的備份來防礙軟件和計(jì)算機(jī)系統(tǒng)的交互����。
傳統(tǒng)上,通過USB進(jìn)行交互的設(shè)備一直是計(jì)算機(jī)��,鍵盤����,監(jiān)視器,打印機(jī),鼠標(biāo)�����,智能卡閱讀機(jī)和生物閱讀機(jī)���。
對(duì)移動(dòng)的或固定群體的用戶提供計(jì)算機(jī)服務(wù)的傳統(tǒng)設(shè)備典型地包括智能卡閱讀機(jī)。移動(dòng)群體會(huì)員具有用于通過智能卡閱讀機(jī)同計(jì)算機(jī)化的服務(wù)設(shè)備進(jìn)行交互的智能卡��。
智能卡特有的缺點(diǎn)是它們需要相對(duì)較貴的智能卡閱讀機(jī)設(shè)備���。裝備智能卡閱讀機(jī)的計(jì)算機(jī)主機(jī)是整個(gè)計(jì)算機(jī)主機(jī)的一個(gè)小的部分�,因?yàn)楦郊又悄芸ㄩ喿x機(jī)使計(jì)算機(jī)更昂貴���。
德國專利文件DE19631050描述了用于通用串行總線的接口轉(zhuǎn)換器����,該轉(zhuǎn)換器具有一個(gè)帶有將格式和協(xié)議變?yōu)椴煌偩€系統(tǒng)格式和協(xié)議的處理器的模板�����。
在1998年11月17日的新聞發(fā)布稿中��,Rainbow技術(shù)公司,宣布了也能作為鑒別或進(jìn)入控制設(shè)備使用的UBS軟件保護(hù)鍵�����。假如給每個(gè)USB鍵分配一個(gè)特有的ID數(shù)���,能夠使這個(gè)鍵代替或補(bǔ)充個(gè)人密碼��。作為一個(gè)具有防盜作用的筆記本計(jì)算機(jī)安全設(shè)備���,USB特有的ID是有用的。UBS鍵的其他應(yīng)用包括Web的進(jìn)入控制����,用于進(jìn)入Virtual Private Network(虛擬專用網(wǎng)接入)的客戶令牌,密碼發(fā)生器令牌的替代以及證明書���、資格證書和執(zhí)照的存儲(chǔ)�����。
在1999年1月19日的新聞發(fā)布稿中��,Rainbow技術(shù)公司宣布了VPN(Virtual private networks虛擬專用網(wǎng))的UBS令牌的新路徑��,該路徑將終端用戶客戶授權(quán)給VPN并且能夠使操作員進(jìn)入到安全化的網(wǎng)絡(luò)設(shè)備�。這些令牌的特征包括“小到能安裝在鍵環(huán)上的互連網(wǎng)安全”以及“終端用戶的個(gè)性化”。這些令牌允許用戶將他的或她的個(gè)人信息保存在文件夾上而不是在硬盤驅(qū)動(dòng)器上����。
由1999年3月15日的Rainbow技術(shù)公司宣布了USB基礎(chǔ)令牌的一種新的“每個(gè)個(gè)體特有的”模板。
文中參考引用了說明書中所提及的所有發(fā)行物以及引用的發(fā)行物的公開內(nèi)容�。
本發(fā)明尋找提供可靈活連接的改進(jìn)的裝置,以及使用該裝置的改進(jìn)方法���。
因此,根據(jù)本發(fā)明的一個(gè)方面�,提供一種通過USB端口與USB主機(jī)交互的USB鍵裝置,該USB鍵裝置包括構(gòu)成適合USB端口的便攜裝置���,該便攜裝置包括由USB主機(jī)接受通訊和傳送通訊到USB主機(jī)的USB接口�����;根據(jù)USB協(xié)議將USB通訊轉(zhuǎn)換成智能卡協(xié)議并將智能卡協(xié)議轉(zhuǎn)換成USB協(xié)議的可操作的協(xié)議轉(zhuǎn)換器����;和執(zhí)行至少一個(gè)智能卡功能的可操作智能卡芯片�。
根據(jù)本發(fā)明的另一方面,提供一種具有數(shù)據(jù)存儲(chǔ)能力的USB鍵裝置,USB鍵裝置包括構(gòu)成適合USB端口的便攜裝置���,該便攜裝置包括由USB主機(jī)接受通訊和傳送通訊到USB主機(jī)的USB接口��;和存儲(chǔ)由USB通訊獲得信息的數(shù)據(jù)存儲(chǔ)單元���。
根據(jù)本發(fā)明的另一方面,提供一種通過USB端口與USB主機(jī)交互的方法�����,該方法包括構(gòu)成便攜裝置以適合USB端口�;將USB通訊傳送到USB主機(jī)并由USB主機(jī)接受USB通訊;根據(jù)USB協(xié)議將USB通訊轉(zhuǎn)換成智能卡協(xié)議���,并將智能卡協(xié)議轉(zhuǎn)換成USB協(xié)議���;和提供可操作智能卡芯片,以執(zhí)行至少一個(gè)智能卡芯片功能��。
根據(jù)本發(fā)明的另一方面�����,提供一種數(shù)據(jù)存儲(chǔ)方法,包括構(gòu)成便攜裝置以適合USB端口�;將USB通訊傳送到USB主機(jī)并由USB主機(jī)接受USB通訊;和存儲(chǔ)由USB通訊獲得的信息���。
根據(jù)本發(fā)明的另一方面���,提供一種智能卡-主機(jī)系統(tǒng),其中便攜裝置直接與主機(jī)的一個(gè)USB接口通信�,所述的智能卡-主機(jī)系統(tǒng)包括一個(gè)主機(jī),其上具有一個(gè)USB接口�;一個(gè)便攜裝置,用于提供智能卡功能��,所述便攜裝置上具有一個(gè)智能卡芯片和一個(gè)USB接口�����,該智能卡芯片用于執(zhí)行所述智能卡的功能�����,該USB接口用于通過USB協(xié)議連接所述便攜裝置與所述主機(jī)��;以及一個(gè)微處理器�,用于使能選自一組功能中的至少一個(gè)功能,該組功能包括控制所述的USB接口和所述的智能卡芯片之間的數(shù)據(jù)傳輸���、將數(shù)據(jù)從USB格式轉(zhuǎn)換為所述的智能卡芯片的格式以及將數(shù)據(jù)從所述的智能卡芯片的格式轉(zhuǎn)換為USB格式����。
根據(jù)本發(fā)明的另一方面�����,提供一種通過直接與主機(jī)系統(tǒng)的USB接口通信向主機(jī)系統(tǒng)提供智能卡功能的便攜智能卡裝置�,所述智能卡裝置包括一個(gè)智能卡芯片,用于執(zhí)行所述的智能卡功能���;一個(gè)USB接口���,用于通過USB協(xié)議連接該便攜智能卡裝置與該主機(jī)系統(tǒng);以及一個(gè)微處理器����,用于使能選自一組功能中的至少一個(gè)功能,該組功能包括控制所述的USB接口和所述的智能卡芯片之間的數(shù)據(jù)傳輸���、將數(shù)據(jù)從USB格式轉(zhuǎn)換為所述的智能卡芯片的格式以及將數(shù)據(jù)從所述的智能卡芯片的格式轉(zhuǎn)換為USB格式�。
根據(jù)本發(fā)明的另一方面,提供一種經(jīng)主機(jī)的USB接口用于在智能卡芯片和主機(jī)之間直接交互的方法����,該方法包括以下步驟連接該主機(jī)與一個(gè)USB接口,用于通過USB協(xié)議與外部裝置進(jìn)行交互���;提供一個(gè)便攜外部裝置�,其被用做所述智能卡芯片的平臺(tái)���,所述便攜裝置上具有USB接口���,用于通過USB協(xié)議與該主機(jī)進(jìn)行交互;提供一個(gè)微處理器����,用于執(zhí)行選自一組功能中的至少一個(gè)功能,該組功能包括控制所述的USB接口和所述的智能卡芯片之間的數(shù)據(jù)傳輸����、將數(shù)據(jù)從USB格式轉(zhuǎn)換為所述的智能卡芯片的格式以及將數(shù)據(jù)從所述的智能卡芯片的格式轉(zhuǎn)換為USB格式�;當(dāng)在所述便攜裝置的USB接口中接收數(shù)據(jù)時(shí),通過所述的微處理器將所述的數(shù)據(jù)從USB格式轉(zhuǎn)換為所述的智能卡格式�,并且將該轉(zhuǎn)換后的數(shù)據(jù)傳送到所述的智能卡芯片���;以及當(dāng)從所述的智能卡芯片發(fā)送數(shù)據(jù)到該主機(jī)時(shí),通過所述的微處理器將所述的數(shù)據(jù)從所述的智能卡芯片格式轉(zhuǎn)換為所述的USB格式�,并且將該轉(zhuǎn)換后的數(shù)據(jù)傳送到所述便攜裝置的所述USB接口,經(jīng)該主機(jī)的USB接口與該主機(jī)連接�。
術(shù)語“USB端口”指的是用于將外圍連接到計(jì)算機(jī)的端口,根據(jù)在Internet的ww.usb.org整個(gè)網(wǎng)址中可利用的USB說明書中描述的USB標(biāo)準(zhǔn)建立該端口�。
術(shù)語“USB插頭”或“USB鍵”或“USB令牌”指的是硬件裝置,其電路與USB端口連接���,以執(zhí)行各種不同的功能�。
術(shù)語“智能卡”指的是典型的塑料卡���,該塑料卡中鑲?cè)胍粋€(gè)芯片�,該芯片與閱讀機(jī)交互���,因此�����,允許智能卡的移動(dòng)擁有者與一臺(tái)安裝智能卡閱讀機(jī)的機(jī)器進(jìn)行交互����,典型地與該類機(jī)器網(wǎng)絡(luò)的任何一臺(tái)進(jìn)行交互。
根據(jù)本發(fā)明的優(yōu)選實(shí)施例�,也提供一種電子令牌,該令牌最好與一個(gè)靈活連接器匹配�,該靈活連接器具有諸如PC,膝上型電腦�,掌上型電腦或外圍設(shè)備這樣任何計(jì)算機(jī)系統(tǒng)USB端口之類的端口。電子令牌最好不需要任何附加的閱讀設(shè)備���。令牌可以鑒別信息和/或在一個(gè)可以是家用房屋鑰匙大小的令牌中存儲(chǔ)密碼或電子證明���。
最好,當(dāng)令牌插入靈活連接提供端口時(shí)����,發(fā)生非常安全的“兩個(gè)因素鑒別”過程(例如,“你有什么”加“你知道什么”)���,在該過程中��,(a)由主機(jī)PCC或網(wǎng)絡(luò)“閱讀”電子令牌����,(b)用戶敲他的或她的個(gè)人特許密碼�����。
電子令牌合適的應(yīng)用包括VPN����、extranet和e-commerce的鑒別。
參考附圖���,由下面的詳細(xì)描述中將理解和明了本發(fā)明���,附圖中
圖1是包括CPU和非-ISO7816存儲(chǔ)器的USB插頭裝置的簡化方框圖,USB裝置是根據(jù)本發(fā)明的優(yōu)選實(shí)施例構(gòu)成并操作的�;圖2是包括CPU和非-ISO7816存儲(chǔ)器的USB插頭裝置的簡化方框圖,USB裝置是根據(jù)本發(fā)明的優(yōu)選實(shí)施例構(gòu)成并操作的���;圖3是根據(jù)本發(fā)明優(yōu)選實(shí)施例構(gòu)成和操作的并實(shí)現(xiàn)圖1 USB插頭裝置的一個(gè)FCCS插頭的分解主視圖����;圖4是根據(jù)本發(fā)明優(yōu)選實(shí)施例構(gòu)成和操作的并實(shí)現(xiàn)圖2 USB插頭裝置的一個(gè)FCCS插頭的分解主視圖�����;圖5A-5B用插圖說明根據(jù)本發(fā)明的優(yōu)選實(shí)施例提供的由可靈活連接的計(jì)算機(jī)系統(tǒng)群體和移動(dòng)用戶群體使用的用戶-計(jì)算機(jī)交互方法。
現(xiàn)在參考圖1����,該圖是包括CPU和非ISO7816存儲(chǔ)器可靈活連接USB插頭裝置的簡化方框圖,USB裝置是根據(jù)本發(fā)明的優(yōu)選實(shí)施例構(gòu)成和操作的����。
圖1 USB插頭裝置的特定特征是它具有數(shù)據(jù)存儲(chǔ)能力,因此����,類似于存儲(chǔ)智能卡。
USB插頭裝置10包括PCB25���,它包括諸如Motorla6805���、Cypress芯片或Intel 8051之類的微處理器或CPU30;USB接口裝置40�����;服務(wù)微處理器30固件的固件存儲(chǔ)器50�����;空間足夠在微處理器30上進(jìn)行需要計(jì)算的RAM存儲(chǔ)器60;和存儲(chǔ)用戶數(shù)據(jù)的用戶數(shù)據(jù)存儲(chǔ)器70���。USB接口裝置40、固件存儲(chǔ)器50和RAM存儲(chǔ)器60中的一些和全部可以在CPU30中�����。
USB接口裝置40和/或固件存儲(chǔ)器50可以集成在微處理器30內(nèi)部����。
固件存儲(chǔ)器可以是如ROM,EPROM�,EEPROM或FLASH這樣存儲(chǔ)器當(dāng)中的任何合適的一種,但并不限于這些存儲(chǔ)器�。
用戶數(shù)據(jù)存儲(chǔ)器70典型地不包括ISO7816-3存儲(chǔ)器,例如���,可以包括下面存儲(chǔ)器類型當(dāng)中的任何一種I2C����,XI2C�����,2/3線路總線,F(xiàn)LASH�����。
如圖所示���,構(gòu)成USB插頭裝置10�����,以與諸如個(gè)人計(jì)算機(jī)或具有USB端口的Machintosh之類的任何USB主機(jī)交互����,但是并不限于這些類型的計(jì)算機(jī)����。由諸如在Internet上的www.usb.org.整個(gè)網(wǎng)址中得到的USB說明書中描述的USB協(xié)議之類的USB協(xié)議控制鍵-主機(jī)交互。USB數(shù)據(jù)包在USB主機(jī)20和USB接口芯片40之間通過���。每個(gè)數(shù)據(jù)包典型地包括下列內(nèi)容a.USB標(biāo)題�����;b.要存儲(chǔ)在用戶數(shù)據(jù)存儲(chǔ)器70中的數(shù)據(jù)����,加上存儲(chǔ)器芯片70協(xié)議需要的附加信息,如存儲(chǔ)/讀取數(shù)據(jù)的地址����,存儲(chǔ)/讀取數(shù)據(jù)的長度,和CRC校驗(yàn)和信息���,但是并不限于這些。
c.USB腳注���。
數(shù)據(jù)流程典型地包括下列流程USB接口芯片40接受來自USB主機(jī)20的USB數(shù)據(jù)包�,分析數(shù)據(jù)���,將分析的數(shù)據(jù)輸送到微處理器30�。微處理器30使用每個(gè)存儲(chǔ)器的協(xié)議將數(shù)據(jù)寫入到固件存儲(chǔ)器50���、RAM60或用戶數(shù)據(jù)存儲(chǔ)器70���,或由這些存儲(chǔ)器中讀取數(shù)據(jù)。
在讀取操作中���,微處理器30將數(shù)據(jù)傳送到USB接口芯片40���,該芯片以USB數(shù)據(jù)包的格式打包數(shù)據(jù)�����,并將數(shù)據(jù)傳送到主機(jī)20�����。
圖2是根據(jù)本發(fā)明的優(yōu)選實(shí)施例構(gòu)成和操作的USB插頭裝置的簡化方框圖��,該裝置是整體的智能卡閱讀機(jī)和最好具有安全存儲(chǔ)及加密雙重能力的智能卡芯片�。圖2的USB插頭裝置包括CPU和智能卡芯片(ICC)存儲(chǔ)器170�,典型地是使用ISO7816-3協(xié)議與CPU130通訊的ISO7816(T=0/1)基于協(xié)議的芯片。除了不具有單獨(dú)的用戶數(shù)據(jù)存儲(chǔ)器70外���,圖2的裝置與圖1的裝置類似���。RAM160的空間典型地至少是262字節(jié),以便支持ISO7816-3 T=0或T=1協(xié)議��。
每個(gè)數(shù)據(jù)包典型地包括下列內(nèi)容a.USB標(biāo)題��;b.ISO7816-3 T=0/1協(xié)議數(shù)據(jù)包;c.USB腳注��。
圖2裝置中的數(shù)據(jù)流程典型地包括下列流程USB接口芯片140由USB主機(jī)120獲得USB數(shù)據(jù)包����。USB接口芯片140分析數(shù)據(jù),將數(shù)據(jù)傳送到微處理器130����。典型地包括ISO7816-3 T=0/1格式化的數(shù)據(jù),由微處理器按ISO7816-3協(xié)議傳送到智能卡芯片170���。微處理器130由智能卡170獲得響應(yīng),并將數(shù)據(jù)傳送到USB接口芯片140�。USB接口芯片140以USB數(shù)據(jù)包的格式打包數(shù)據(jù),并將數(shù)據(jù)傳送到主機(jī)120����。
圖2實(shí)施例的特別優(yōu)點(diǎn)是具有智能卡功能性,而不需要專用的閱讀機(jī)���,因?yàn)椴孱^110直接連接到主機(jī)120中的USB的插座上����。
文中說明和描述的本發(fā)明對(duì)服務(wù)機(jī)構(gòu)計(jì)算機(jī)化的系統(tǒng)特別有用,這些服務(wù)機(jī)構(gòu)擁有諸如銀行�����、保險(xiǎn)公司���、會(huì)計(jì)師和其他商業(yè)機(jī)構(gòu)�,和如醫(yī)療或法定機(jī)構(gòu)這樣的專門機(jī)構(gòu)之類的敏感信息���。
傳統(tǒng)的計(jì)算機(jī)系統(tǒng)包括一臺(tái)計(jì)算機(jī)(包括主板)和至少一個(gè)外圍設(shè)備�。計(jì)算機(jī)具有多個(gè)不同的端口�,這些端口分別與不同外圍設(shè)備的端口連接。每個(gè)端口典型地只能夠與某個(gè)外圍設(shè)備匹配���,不能與其他的外圍設(shè)備相連���。例如,鍵盤不能通過打印機(jī)端口連接到計(jì)算機(jī)����。
在技巧計(jì)算機(jī)系統(tǒng),文中也稱為“可靈活連接的計(jì)算機(jī)系統(tǒng)”的情況中�����,計(jì)算機(jī)和外圍設(shè)備每一個(gè)至少包括具有在任何其他計(jì)算機(jī)和任何其他外圍設(shè)備上相匹配端口的一個(gè)相同的端口,以便能夠選擇任何外圍設(shè)備與任何計(jì)算機(jī)或任何其他外圍設(shè)備相連���。另外�,如傳統(tǒng)的系統(tǒng)一樣���,外圍設(shè)備可以不直接與計(jì)算機(jī)相連���,而是通過另一個(gè)外圍設(shè)備。在現(xiàn)有的計(jì)算機(jī)系統(tǒng)中��,在一個(gè)和多個(gè)所連接的外圍設(shè)備上一般總是具有可利用的端口����,以便另一個(gè)外圍設(shè)備一般總是能夠連接到計(jì)算機(jī)系統(tǒng)����。
可靈活連接的計(jì)算機(jī)系統(tǒng)的一個(gè)例子是USB(通用標(biāo)準(zhǔn)總線)系統(tǒng),在該系統(tǒng)中�,計(jì)算機(jī)和每個(gè)外圍設(shè)備都包括USB端口?���?伸`活連接的計(jì)算機(jī)系統(tǒng)的另一個(gè)例子是近來期待的Firewire系統(tǒng)����。
“USB”插頭是便攜裝置�,該裝置與USB系統(tǒng)匹配,與包括機(jī)械單元的外圍設(shè)備相反���,典型地只包括存儲(chǔ)器和/或CPU�,因此是典型的袖珍型����。更一股地來說,USB插頭是能夠插入到可靈活連接的計(jì)算機(jī)系統(tǒng)(FCCS)中插頭的一個(gè)例子�。
文中術(shù)語“FCCS插頭”用來指與可靈活連接的計(jì)算機(jī)系統(tǒng)相匹配的便攜裝置,與包括機(jī)械單元的外圍設(shè)備相反�����,典型地只包括存儲(chǔ)器和/或CPU�,因此是典型的袖珍型。顯然因?yàn)檫B接到可靈活連接計(jì)算機(jī)系統(tǒng)的每個(gè)外圍設(shè)備典型地至少具有一個(gè)端口����,任何結(jié)構(gòu)的可靈活連接的計(jì)算機(jī)系統(tǒng)典型地至少具有一個(gè)可利用的空端口��,以與FCCS插頭交互����。USB令牌和Rainbow令牌是FCCS插頭的兩個(gè)例子�����。
典型地���,形成計(jì)算機(jī)系統(tǒng)的多個(gè)計(jì)算機(jī)系統(tǒng)單元的每一個(gè)至少具有兩個(gè)相同的凹插座�,這些插座以凸-凸電纜方式相互連接��。在這樣的實(shí)施例中�,F(xiàn)CCS插頭可以包括凸插座。然而����,顯然可以使用任何適當(dāng)?shù)钠ヅ淠J絹磉B接計(jì)算機(jī)系統(tǒng)單元和本發(fā)明的FCCS插頭�。
FCCS插頭的已知使用是連同具有插頭識(shí)別能力的軟件一同使用。Aladdin和Rainbow是市場上出售的軟件���,這些軟件只有當(dāng)駐留特定軟件拷貝的主機(jī)計(jì)算機(jī)系統(tǒng)插入了由軟件拷貝識(shí)別的FCCS插頭時(shí)�,才可操作。Aladdin和Rainbow不用于鑒別�。
計(jì)算機(jī)系統(tǒng)通常用于接受表示移動(dòng)用戶特征的信息,這些移動(dòng)用戶是移動(dòng)用戶群體之一����,并處理這個(gè)信息。這樣的信息可以包括用戶身份鑒別信息��,儲(chǔ)蓄信息����,訪問權(quán)利信息等。傳統(tǒng)上����,該信息存儲(chǔ)在智能卡上,該智能卡由用戶持有�����,并由他提交給計(jì)算機(jī)系統(tǒng)���。然而���,這需要計(jì)算機(jī)系統(tǒng)裝備智能卡閱讀機(jī)�,一個(gè)特殊的專用閱讀智能卡的設(shè)備�����。
根據(jù)本發(fā)明的優(yōu)選實(shí)施例�����,表示移動(dòng)用戶特征的信息存儲(chǔ)在FCCS插頭上�。本發(fā)明這樣實(shí)施例的特定優(yōu)點(diǎn)是在袖珍型基片上用戶容易擁有信息,任何結(jié)構(gòu)的任何可靈活連接的計(jì)算機(jī)系統(tǒng)典型地能夠通過FCCS插頭與用戶交互���,計(jì)算機(jī)不需要專用的設(shè)備來執(zhí)行交互���。
現(xiàn)在參考圖3����,該圖是根據(jù)本發(fā)明優(yōu)選實(shí)施例構(gòu)成和操作的并實(shí)現(xiàn)圖1 USB插頭裝置的一個(gè)FCCS插頭的分解主視圖����。如圖所示�,圖3的FCCS插頭包括典型地由兩個(gè)相嵌在一起的平面外殼部件200和210構(gòu)成的腔體,在它們之間容納USB連接器220和圖1的PCB25����。USB連接器220,例如�,可以包括由Aska技術(shù)公司,No.15�,Alley 22,Lane 266�,F(xiàn)uTeh,lst Rd.����,Hsl Chih,Talpei Shien�,Taiwan出售的USBPLUG SMT<CNA-0213>裝置。PCB25具有圖1的單元30�、40、50�����、60和70���。固件管理存儲(chǔ)器240可以駐留在USB接口控制器230上����。
另外,參考圖4�,該圖是根據(jù)本發(fā)明優(yōu)選實(shí)施例構(gòu)成和操作并實(shí)現(xiàn)圖1 USB插頭裝置的一個(gè)FCCS插頭的分解主視圖。如圖所示����,圖4的FCCS插頭包括典型地由兩個(gè)相嵌在一起的平面外蓋元件200和210構(gòu)成的腔體,在它們之間駐留USB連接器220和PCB125���。PCB125具有圖2的單元130�、140����、150、160和170����。固件管理智能卡芯片250可以駐留在USB接口控制器230上。
本發(fā)明的FCCS插頭最好具有智能卡的功能性包括1����、控制訪問計(jì)算機(jī)網(wǎng)絡(luò)智能卡或插頭具有ID信息,網(wǎng)絡(luò)鑒別和根據(jù)該基礎(chǔ)允許訪問����。鑒別可以根據(jù)“你有什么”�,“你是什么”等生物信息和“你知道什么”(例如���,密碼)。
2����、用于驗(yàn)證和鑒別文件的證件發(fā)送者身份的數(shù)字簽字或證明。
3���、存儲(chǔ)密碼信息��,例如��,醫(yī)療信息�。智能卡或插頭可以存儲(chǔ)密碼信息����,不與不存儲(chǔ)密碼信息的網(wǎng)絡(luò)交互。
圖5A-5B用插圖說明根據(jù)本發(fā)明的優(yōu)選實(shí)施例提供的由可靈活連接的計(jì)算機(jī)系統(tǒng)300群體和移動(dòng)用戶群體使用的用戶-計(jì)算機(jī)交互方法�����。表示每個(gè)移動(dòng)用戶特征的信息,例如名字和ID����,典型地通過諸如圖3單元230之類的USB接口控制器,裝載到由該移動(dòng)用戶擁有的FCCS插頭310的存儲(chǔ)器中��。
然后插頭連接到可靈活連接的計(jì)算機(jī)系統(tǒng)和表示使用的移動(dòng)用戶特征信息之一���,以至少執(zhí)行一臺(tái)計(jì)算機(jī)的操作�����,這些操作典型地包括諸如鑒別之類的傳統(tǒng)的智能卡功能���。
現(xiàn)在描述本發(fā)明優(yōu)選實(shí)施例的特征a.需要增強(qiáng)用戶的鑒別●鑒別是任何信息安全系統(tǒng)的基礎(chǔ)。鑒別本地和遠(yuǎn)程用戶的能力是任何LAN/Intranet��、多用戶環(huán)境的關(guān)鍵問題b.需要加密和機(jī)密性●對(duì)公司和每個(gè)用戶來說內(nèi)容加密和機(jī)密性成為重要的問題c.需要密碼和簽字安全●對(duì)網(wǎng)絡(luò)公司用戶來說密碼安全和用戶密碼管理是關(guān)鍵問題��。密碼表示涉及任何計(jì)算機(jī)環(huán)境唯一最重要的安全性現(xiàn)在需要基于硬件的PC安全令牌�����。
*簽字鍵(SOK)是基于硬件的令牌,令牌與操作系統(tǒng)和應(yīng)用軟件無縫地連在一起�,以提供-用戶鑒別鍵-加密系統(tǒng)的基礎(chǔ)-更好的簽字安全和加強(qiáng)的用戶密碼管理-軟件安全鑒別-3個(gè)基本元素*你知道的某事-->密碼*你具有的某物-->簽字鍵*你是某人-->例如,生物標(biāo)準(zhǔn)*假定上述三項(xiàng)中的兩項(xiàng)給出了“足夠好”安全��。
加密*對(duì)加密數(shù)據(jù)�、文件、磁盤和信息流程的需要是明顯的�。
*具有密碼能力的基于硬件的令牌能夠增強(qiáng)安全性和容易使用。
簽字-在哪使用密碼���?*登錄到你的O/S*登錄到你的網(wǎng)絡(luò)(本地,遠(yuǎn)程)*登錄到Internet/ISP*登錄到受保護(hù)的Web頁*登錄到Group Ware/通訊應(yīng)用*登錄到其他敏感被保護(hù)密碼的應(yīng)用*MS Office &其他被保護(hù)的文件*PC Boot保護(hù)(Bios密碼)
簽字-主要安全風(fēng)險(xiǎn)簽字過程簽字鍵是安全硬件令牌���,由用戶連接到需要的應(yīng)用����。一旦所安裝的簽字鍵成為登錄過程的一部分��,簽字鍵就給用戶提供許多安全和其他的功能性益處���。
簽字鍵能夠?yàn)橛脩魩硎裁矗?簽字安全-增強(qiáng)安全和鑒別�。對(duì)用戶密碼額外需要簽字鍵*簽字簡單性-簡化登錄過程消除對(duì)密碼的需要���。簽字鍵代替密碼*密碼自動(dòng)重新證明-周期性地核對(duì)簽字鍵*唯一的簽字鍵-一個(gè)簽字鍵代替多個(gè)應(yīng)用的幾個(gè)密碼*靈活性和遠(yuǎn)程計(jì)算機(jī)-簽字鍵識(shí)別遠(yuǎn)程用戶-簽字鍵能夠用做數(shù)據(jù)安全容器-移動(dòng)PC盜竊行為的制止*一般目的安全令牌-文件和數(shù)據(jù)加密-鑒別-證明鍵保持器簽字鍵不同的選擇*幾個(gè)硬件裝置可以作為簽字鍵操作-簽字鍵USB-連接到新標(biāo)準(zhǔn)USB端口的小鍵�。USB端口成為PC和Macintosh的新連接標(biāo)準(zhǔn)-簽字鍵SC-基于簽字鍵的智能卡。能夠與任何標(biāo)準(zhǔn)的智能卡驅(qū)動(dòng)器一起使用簽字鍵USPs和優(yōu)點(diǎn)*簡單���,直觀���,容易使用,有吸引力的令牌*鍵IS令牌IS連接器*低價(jià)格*高度安全*高度的功能性-存儲(chǔ)器內(nèi)置令牌-處理功率-自動(dòng)密碼重新證明-多令牌連接性*代理的解決辦法簽字鍵的結(jié)構(gòu)全部送風(fēng)系統(tǒng)簽字代理*簽字代理是簽字鍵和應(yīng)用之間軟件的接口*簽字引導(dǎo)程序是PC引導(dǎo)程序密碼的特殊接口���。
*可以為下列提供代理-OS/Net Ware-例如���,Windows NT,95/98��,3x���,Novell�,Unix-Group Ware/Mail-例如����,Lotus Notes,Outlook����,Eudora����,-Enterprise Applications-例如�����,SAP���,Baan����,MK�,Oracle�����,Magic-Web Browers-例如�,Explorer,Navigator大部分通常的代理-Windows NT
*大部分通常的代理將代替Windows Login對(duì)話*通過這樣做用戶可以獲得-Windows Login Extra安全-Windows Login的簡化(簽字鍵代替密碼)簽字鍵瀏覽器的代理/系統(tǒng)*簽字鍵能夠用做簡單令牌���,以監(jiān)視訪問到安全網(wǎng)頁網(wǎng)內(nèi)容供應(yīng)者需要鑒別�����,管理并為它們的客戶提供訪問簽字鍵API(SDK)*簽字鍵API是簽字鍵和第3方應(yīng)用之間的接口級(jí)���。
*這個(gè)API可以由證明供給者��、安全公司和SSO公司公布和打開使用���。
*簽字鍵API也將提供加密和被保護(hù)的存儲(chǔ)器存儲(chǔ)服務(wù)*簽字鍵API可以是基于PKCS#11/兼容簽字過程(沒有CA)*安裝-用戶為需要的應(yīng)用安裝代理-用戶為每個(gè)應(yīng)用定義簽字-用戶用簽字鍵存儲(chǔ)簽字信息*簽字-應(yīng)用開始-應(yīng)用到達(dá)它的簽字對(duì)話-應(yīng)用與簽字鍵進(jìn)行通信聯(lián)系-基于簽字鍵授予簽字許可作為安全容器的簽字鍵*除了唯一的鍵ID外,簽字鍵將包括個(gè)人受保護(hù)的存儲(chǔ)區(qū)域*該存儲(chǔ)區(qū)域能夠用于存儲(chǔ)敏感信息和證明
*在該存儲(chǔ)器中能夠存儲(chǔ)如Lotus Notes ID文件這樣的應(yīng)用ID鍵或PGP鍵*這樣做-簽字能夠用于增加移動(dòng)計(jì)算機(jī)的安全���。文件的ID存儲(chǔ)在簽字鍵中����,代替磁盤中簽字鍵加密Engine和簽字鍵Crypt*簽字鍵能夠用做加密裝置*例如可以為加密API提供100%智能卡兼容簽字鍵設(shè)備*簽字鍵Crypt是基于簽字鍵的數(shù)據(jù)/文件/硬磁盤加密工具簽字鍵證明工具包*SOK可以使用PKCS#11和X509�,并存儲(chǔ)證明和或數(shù)字ID。
簽字鍵包括*簽字鍵USB令牌*HASP*硬鎖定*初始簽字的功能性(唯一的ID�,個(gè)人受保護(hù)的存儲(chǔ)器)*簽字鍵USB擴(kuò)展電纜*簽字鍵智能卡令牌*簽字鍵API(適合的PKCS#11)*委托兼容性/連接*Windows NT代理*Navigator和/或Explorer代理(S/Mime)*鍵加Crypt(Beta版本)*安全屏幕保護(hù)器*初始出售的數(shù)據(jù)包*USB增殖和Windows 98/NT可利用性是關(guān)鍵問題
*在美國、德國和以色列所裝運(yùn)的新PC都裝備USB*在早期開發(fā)階段的部分*安全動(dòng)態(tài)����、Activ Card和Vasco用基于時(shí)間的第一代產(chǎn)品,一次密碼或基于挑戰(zhàn)的令牌控制市場��。
*安全性銷售商將用第二代集成智能卡出售物尋找擴(kuò)大他們的市場份額,該第二代集成智能卡出售物將支持密碼系統(tǒng)�,數(shù)字簽字存儲(chǔ)和處理行為USB更好的連接*幾乎無限的端口擴(kuò)展*不增加新外圍卡-不設(shè)定IRQs,DMAs等*一種連接類型(插頭和端口)-外圍的多樣化-不再推測-簡單設(shè)定����,只在插頭內(nèi)和外USB更好的連接*速度、多煤體地址的需要-12Mb/s�,Asynch(大量)和Isoch(實(shí)時(shí))數(shù)據(jù)-立體聲品質(zhì)數(shù)字聲頻-高幀頻視頻(帶壓縮)-高等待時(shí)間應(yīng)用(強(qiáng)制—反饋)*具有許多新外圍的無功程序塊-USB提供多到500mA的電流*極大地改善PC用戶技巧-很少返回和增加銷售的趨勢顯然USB只是可靈活連接標(biāo)準(zhǔn)的一個(gè)例子,本發(fā)明并不限于USB��。
顯然���,如果需要�����,本發(fā)明的軟件成分可以用ROM(只讀存儲(chǔ)器)格式實(shí)現(xiàn)�。如果需要�,軟件成分通??梢允褂脗鹘y(tǒng)的技術(shù)用硬件實(shí)現(xiàn)。
顯然���,在分別實(shí)施例的上下文中明確描述的本發(fā)明不同的特征也可以結(jié)合在單個(gè)實(shí)施例中�����。相反����,在單個(gè)實(shí)施例上下文中簡潔描述的本發(fā)明的不同特征也可以分別提供或可以有任何適當(dāng)?shù)母淖儭?br>
本領(lǐng)域的技術(shù)人員將意識(shí)到本發(fā)明并不限于上文中特別描述和說明的這些內(nèi)容。而只由下面的權(quán)利要求定義本發(fā)明的范圍����。
權(quán)利要求
1.通過USB端口與USB主機(jī)交互的USB鍵裝置,該USB鍵裝置包括構(gòu)成適合USB端口的便攜裝置�����,該便攜裝置包括由USB主機(jī)接受通訊和傳送通訊到USB主機(jī)的USB接口����;根據(jù)USB協(xié)議將USB通訊轉(zhuǎn)換成智能卡協(xié)議并將智能卡協(xié)議轉(zhuǎn)換成USB協(xié)議的可操作的協(xié)議轉(zhuǎn)換器;和執(zhí)行至少一個(gè)智能卡功能的可操作智能卡芯片��。
2.據(jù)權(quán)利要求1所述的USB鍵裝置�,其中智能卡協(xié)議包括ISO7816協(xié)議。
3.根據(jù)權(quán)利要求1所述的裝置�,其中智能卡功能包括至少從由安全存儲(chǔ)器、鑒別�����、加密和存取控制構(gòu)成的組中選擇的一個(gè)功能。
4.具有數(shù)據(jù)存儲(chǔ)能力的USB鍵裝置�,USB鍵裝置包括構(gòu)成適合USB端口的便攜裝置,該便攜裝置包括由USB主機(jī)接受通訊和傳送通訊到USB主機(jī)的USB接口���;和存儲(chǔ)由USB通訊獲得信息的數(shù)據(jù)存儲(chǔ)單元����。
5.根據(jù)權(quán)利要求4所述的裝置�,也包括由USB接口接受所述USB通訊的可操作微處理器,以執(zhí)行計(jì)算��,并將計(jì)算結(jié)果提供給數(shù)據(jù)存儲(chǔ)單元用于存儲(chǔ)����。
6.一種通過USB端口與USB主機(jī)交互的方法,該方法包括構(gòu)成便攜裝置以適合USB端口�;將USB通訊傳送到USB主機(jī)并由USB主機(jī)接受USB通訊;根據(jù)USB協(xié)議將USB通訊轉(zhuǎn)換成智能卡協(xié)議����,并將智能卡協(xié)議轉(zhuǎn)換成USB協(xié)議�;和提供可操作智能卡芯片���,以執(zhí)行至少一個(gè)智能卡芯片功能。
7.根據(jù)權(quán)利要求6所述的方法���,其中智能卡協(xié)議包括ISO7816協(xié)議��。
8.根據(jù)權(quán)利要求6所述的方法�����,其中智能卡功能包括至少從由安全存儲(chǔ)器���、鑒別、加密和存取控制構(gòu)成的組中選擇的一個(gè)功能����。
9.一種數(shù)據(jù)存儲(chǔ)方法,包括構(gòu)成便攜裝置以適合USB端口���;將USB通訊傳送到USB主機(jī)并由USB主機(jī)接受USB通訊���;和存儲(chǔ)由USB通訊獲得的信息。
10.根據(jù)權(quán)利要求9所述的方法���,也包括使用微處理器由USB接口接受所述USB通訊��,以執(zhí)行計(jì)算���,并將計(jì)算結(jié)果提供給數(shù)據(jù)存儲(chǔ)單元以進(jìn)行存儲(chǔ)���。
11.一種智能卡-主機(jī)系統(tǒng),其中便攜裝置直接與主機(jī)的一個(gè)USB接口通信���,所述的智能卡-主機(jī)系統(tǒng)包括一個(gè)主機(jī)����,其上具有一個(gè)USB接口����;一個(gè)便攜裝置,用于提供智能卡功能����,所述便攜裝置上具有一個(gè)智能卡芯片和一個(gè)USB接口,該智能卡芯片用于執(zhí)行所述智能卡的功能����,該USB接口用于通過USB協(xié)議連接所述便攜裝置與所述主機(jī)���;以及一個(gè)微處理器���,用于使能選自一組功能中的至少一個(gè)功能�����,該組功能包括控制所述的USB接口和所述的智能卡芯片之間的數(shù)據(jù)傳輸��、將數(shù)據(jù)從USB格式轉(zhuǎn)換為所述的智能卡芯片的格式以及將數(shù)據(jù)從所述的智能卡芯片的格式轉(zhuǎn)換為USB格式�。
12.根據(jù)權(quán)利要求11所述的系統(tǒng)���,其中所述便攜裝置包括其上具有所述智能卡芯片的至少一個(gè)基板���、所述的USB接口和所述的微處理器。
13.根據(jù)權(quán)利要求11所述的系統(tǒng)��,其中所述便攜裝置是一個(gè)作為一個(gè)元件使用的一個(gè)USB鍵��,其上具有所述智能卡芯片����、所述USB接口和所述微處理器����。
14.根據(jù)權(quán)利要求11所述的系統(tǒng)�,其中所述便攜裝置還包括數(shù)據(jù)存儲(chǔ)裝置,該數(shù)據(jù)存儲(chǔ)裝置用于執(zhí)行選自一組功能中的至少一個(gè)功能����,該組功能包括存儲(chǔ)用于操作所述微處理器所需的數(shù)據(jù)以及存儲(chǔ)用于操作所述智能卡芯片所需的數(shù)據(jù)���。
15.根據(jù)權(quán)利要求11所述的系統(tǒng)����,其中所述便攜裝置還包括安全存儲(chǔ)器��。
16.根據(jù)權(quán)利要求11所述的系統(tǒng),其中所述系統(tǒng)可操作以執(zhí)行選自一組功能中的至少一個(gè)功能�,該組功能包括密碼術(shù)、鑒定�、加密、公共密鑰結(jié)構(gòu)���、數(shù)字簽名��、RSA和訪問控制。
17.根據(jù)權(quán)利要求11所述的系統(tǒng)����,其中所述系統(tǒng)支持ISO7816標(biāo)準(zhǔn)����。
18.根據(jù)權(quán)利要求11所述的系統(tǒng)�,其中所述的智能卡芯片被直接連接到所述的微處理器�����。
19.根據(jù)權(quán)利要求18所述的系統(tǒng)�����,其中所述的智能卡芯片在一個(gè)通用基板上被直接連接到所述的微處理器。
20.一種通過直接與主機(jī)系統(tǒng)的USB接口通信向主機(jī)系統(tǒng)提供智能卡功能的便攜智能卡裝置�,所述智能卡裝置包括一個(gè)智能卡芯片,用于執(zhí)行所述的智能卡功能�;一個(gè)USB接口,用于通過USB協(xié)議連接該便攜智能卡裝置與該主機(jī)系統(tǒng)����;以及一個(gè)微處理器,用于使能選自一組功能中的至少一個(gè)功能����,該組功能包括控制所述的USB接口和所述的智能卡芯片之間的數(shù)據(jù)傳輸、將數(shù)據(jù)從USB格式轉(zhuǎn)換為所述的智能卡芯片的格式以及將數(shù)據(jù)從所述的智能卡芯片的格式轉(zhuǎn)換為USB格式�。
21.根據(jù)權(quán)利要求20所述的裝置,其中所述便攜裝置包括其上具有所述智能卡芯片的至少一個(gè)基板�、所述的USB接口和所述的微處理器����。
22.根據(jù)權(quán)利要求20所述的裝置�����,其中所述便攜裝置是一個(gè)作為一個(gè)元件使用的一個(gè)USB鍵����,其上具有所述智能卡芯片、所述USB接口和所述微處理器�����。
23.根據(jù)權(quán)利要求20所述的裝置�,其中所述便攜裝置還包括數(shù)據(jù)存儲(chǔ)裝置����,該數(shù)據(jù)存儲(chǔ)裝置用于執(zhí)行選自一組功能中的至少一個(gè)功能,該組功能包括存儲(chǔ)用于操作所述微處理器所需的數(shù)據(jù)以及存儲(chǔ)用于操作所述智能卡芯片所需的數(shù)據(jù)����。
24.根據(jù)權(quán)利要求20所述的裝置,其中所述便攜裝置還包括安全存儲(chǔ)器��。
25.根據(jù)權(quán)利要求20所述的裝置��,其中所述系統(tǒng)可操作以執(zhí)行選自一組功能中的至少一個(gè)功能��,該組功能包括密碼術(shù)����、鑒定�、加密�����、公共密鑰結(jié)構(gòu)、數(shù)字簽名���、RSA和訪問控制。
26.根據(jù)權(quán)利要求20所述的裝置�����,其中所述系統(tǒng)支持ISO7816標(biāo)準(zhǔn)���。
27.根據(jù)權(quán)利要求20所述的裝置�,其中所述的智能卡芯片被直接連接到所述的微處理器�。
28.根據(jù)權(quán)利要求27所述的裝置�,其中所述的智能卡芯片在一個(gè)通用基板上被直接連接到所述的微處理器��。
29.一種經(jīng)主機(jī)的USB接口用于在智能卡芯片和主機(jī)之間直接交互的方法�,該方法包括以下步驟連接該主機(jī)與一個(gè)USB接口�,用于通過USB協(xié)議與外部裝置進(jìn)行交互����;提供一個(gè)便攜外部裝置���,其被用做所述智能卡芯片的平臺(tái)����,所述便攜裝置上具有USB接口�,用于通過USB協(xié)議與該主機(jī)進(jìn)行交互��;提供一個(gè)微處理器,用于執(zhí)行選自一組功能中的至少一個(gè)功能���,該組功能包括控制所述的USB接口和所述的智能卡芯片之間的數(shù)據(jù)傳輸���、將數(shù)據(jù)從USB格式轉(zhuǎn)換為所述的智能卡芯片的格式以及將數(shù)據(jù)從所述的智能卡芯片的格式轉(zhuǎn)換為USB格式���;當(dāng)在所述便攜裝置的USB接口中接收數(shù)據(jù)時(shí)���,通過所述的微處理器將所述的數(shù)據(jù)從USB格式轉(zhuǎn)換為所述的智能卡格式��,并且將該轉(zhuǎn)換后的數(shù)據(jù)傳送到所述的智能卡芯片;以及當(dāng)從所述的智能卡芯片發(fā)送數(shù)據(jù)到該主機(jī)時(shí)����,通過所述的微處理器將所述的數(shù)據(jù)從所述的智能卡芯片格式轉(zhuǎn)換為所述的USB格式����,并且將該轉(zhuǎn)換后的數(shù)據(jù)傳送到所述便攜裝置的所述USB接口���,經(jīng)該主機(jī)的USB接口與該主機(jī)連接�。
30.根據(jù)權(quán)利要求29所述的方法��,其中所述便攜裝置包括其上具有所述智能卡芯片的至少一個(gè)基板���、所述的USB接口和所述的微處理器�。
31.根據(jù)權(quán)利要求29所述的方法�,其中所述便攜裝置是一個(gè)作為一個(gè)元件使用的一個(gè)USB鍵����,其上具有所述智能卡芯片�����、所述USB接口和所述微處理器���。
32.根據(jù)權(quán)利要求29所述的方法�,其中所述便攜裝置還包括數(shù)據(jù)存儲(chǔ)裝置,該數(shù)據(jù)存儲(chǔ)裝置用于存儲(chǔ)操作選自一組元件中的至少一個(gè)元件所需的數(shù)據(jù)�,該組元件包括微處理器和智能卡芯片。
33.根據(jù)權(quán)利要求29所述的方法,其中所述便攜裝置還包括安全存儲(chǔ)器�。
34.根據(jù)權(quán)利要求29所述的方法�����,其中所述系統(tǒng)可操作以執(zhí)行選自一組功能中的至少一個(gè)功能,該組功能包括密碼術(shù)����、鑒定���、加密�、公共密鑰結(jié)構(gòu)����、數(shù)字簽名��、RSA和訪問控制。
35.根據(jù)權(quán)利要求29所述的方法�,其中所述系統(tǒng)支持ISO7816標(biāo)準(zhǔn)�。
36.根據(jù)權(quán)利要求29所述的方法�,其中所述的智能卡芯片被直接連接到所述的微處理器���。
37.根據(jù)權(quán)利要求36所述的方法���,其中所述的智能卡芯片在一個(gè)通用基板上被直接連接到所述的微處理器�。
全文摘要
一種通過USB端口與USB主機(jī)交互的USB鍵裝置,該USB鍵裝置包括構(gòu)成適合USB端口的便攜裝置,該便攜裝置包括由USB主機(jī)接受通訊和傳送通訊到USB主機(jī)的USB接口����;根據(jù)USB協(xié)議將USB通訊轉(zhuǎn)換成智能卡協(xié)議并將智能卡協(xié)議轉(zhuǎn)換成USB協(xié)議的可操作的協(xié)議轉(zhuǎn)換器��;和執(zhí)行至少一個(gè)智能卡功能的可操作智能卡芯片�。
文檔編號(hào)G06F21/79GK1532659SQ200410002100
公開日2004年9月29日 申請(qǐng)日期1999年11月10日 優(yōu)先權(quán)日1998年11月10日
發(fā)明者亞納基·毛爾高利特, 亞納基 毛爾高利特, 毛爾高利特, 達(dá)尼·毛爾高利特, 卡斯特施蒂恩, 拉米·卡斯特施蒂恩 申請(qǐng)人:阿拉丁知識(shí)系統(tǒng)有限公司