專利名稱:安全的數(shù)據(jù)通信的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種安全的數(shù)據(jù)通信的方法和一種采用該方法的系統(tǒng)。具 體地,本發(fā)明涉及一種在客戶終端與遠(yuǎn)程服務(wù)器之間進(jìn)行數(shù)據(jù)通信的方 法,其中,該遠(yuǎn)程服務(wù)器防止被交換數(shù)據(jù)的有效的未經(jīng)授權(quán)的截獲,因而 在數(shù)據(jù)已加密的情況下,使得加密數(shù)據(jù)被解碼的風(fēng)險(xiǎn)可以忽略。本發(fā)明尤
其適合于但不限于金融應(yīng)用,如ATM和在線4艮行業(yè)務(wù),其中,用于訪問(wèn) 安全金融數(shù)據(jù)的授權(quán)數(shù)據(jù)由客戶終端通過(guò)可能不安全的通信鏈路傳送到 遠(yuǎn)程服務(wù)器,于是在該服務(wù)器對(duì)授權(quán)數(shù)據(jù)進(jìn)行驗(yàn)證。
背景技術(shù):
自然地,僅準(zhǔn)許經(jīng)授權(quán)的人員訪問(wèn)安全數(shù)據(jù)是4艮重要的。但是,在許 多領(lǐng)域,必須對(duì)安全需要與數(shù)據(jù)的快速和遠(yuǎn)程訪問(wèn)的需要進(jìn)行權(quán)衡。例如, 醫(yī)院的事故搶救隊(duì)立即訪問(wèn)病人的個(gè)人醫(yī)療記錄的能力可以證明是能夠 拯救生命的。就銀行客戶而言,現(xiàn)在他們需要能夠快速而容易地訪問(wèn)他們 的資金,而不必一定要在正常工作時(shí)間去4艮行部門(mén)。為此,已開(kāi)發(fā)出安全 系統(tǒng),該系統(tǒng)將數(shù)據(jù)保持在安全的數(shù)據(jù)庫(kù)服務(wù)器上,并且允許通過(guò)遠(yuǎn)程客 戶終端訪問(wèn)數(shù)據(jù)。
在這種安全系統(tǒng)中,通常通過(guò)使用授權(quán)數(shù)據(jù)如用戶名、密碼或個(gè)人標(biāo) 識(shí)號(hào)(PIN)來(lái)對(duì)用戶身份進(jìn)行發(fā)汪,該授權(quán)數(shù)據(jù)在客戶終端與數(shù)據(jù)庫(kù)服 務(wù)器之間發(fā)送。盡管客戶終端的用戶可以采取各種措施來(lái)保證授權(quán)數(shù)據(jù)處 于保密狀態(tài),但是,在用戶輸入授權(quán)數(shù)據(jù)時(shí),授權(quán)數(shù)據(jù)可能會(huì)被他人看到, 或者可能在客戶終端與數(shù)據(jù)庫(kù)服務(wù)器之間的某點(diǎn)以電子方式被截獲。
對(duì)金融數(shù)據(jù)如個(gè)人銀行資料的未經(jīng)授權(quán)的訪問(wèn),顯然帶來(lái)了金錢(qián)報(bào) 酬,從而使其成為日益增加的犯罪行為的目標(biāo)。目前,許多信用卡或借記 卡采用帶有持卡者部分授權(quán)數(shù)據(jù)的磁條或電子芯片。該授權(quán)數(shù)據(jù)的剩余部 分對(duì)于持卡者是已知的,例如以PIN的形式知道。當(dāng)卡插入自動(dòng)拒員機(jī) (ATM)或者借記卡"PDQ"機(jī)時(shí),存儲(chǔ)在磁條或電子芯片上的信息以 及持卡者輸入的PIN被傳送到遠(yuǎn)程數(shù)據(jù)庫(kù)服務(wù)器或者單獨(dú)的授權(quán)服務(wù)器
以便進(jìn)行驗(yàn)證。如果授權(quán)數(shù)據(jù)正確,則持卡者被準(zhǔn)予訪問(wèn)其金融數(shù)據(jù)。
一種簡(jiǎn)單形式的卡詐騙是觀察持卡者在ATM輸入其PIN,然后偷取 該卡?;蛘撸煌悼?偷卡自然會(huì)使持卡者警覺(jué)),而是可以在金融交易 期間使用可公開(kāi)得到的磁卡讀取器來(lái)復(fù)制該卡上存儲(chǔ)的數(shù)據(jù)。于是,復(fù)制 的卡可以用于購(gòu)買和現(xiàn)金提取,而不會(huì)引起持卡者或4艮行的注意。
相比磁條卡,智能卡具有的明顯安全優(yōu)勢(shì)在于所有的授權(quán)數(shù)據(jù),包括 PIN,是以加密的形式存儲(chǔ)在卡上的。這使得實(shí)際上不能在金融交易期間 進(jìn)行卡復(fù)制。而且,如果卡4皮偷,犯罪分子訪問(wèn)存儲(chǔ)在該卡上的PIN也 是極其困難和耗時(shí)的。然而,通過(guò)觀察持卡者輸入其PIN并且l^偷取 該卡,仍然能夠進(jìn)行卡詐騙。這種形式的卡詐騙尤其與智能卡相關(guān),其中, 使用PIN而不是簽名來(lái)進(jìn)行日常的電子銷售點(diǎn)(EPOS)交易。結(jié)果,持 卡者PIN被觀看到的機(jī)會(huì)日益增加。
FR281卯67描述了一種用于智能卡并且包括觸摸屏小鍵盤(pán)的EPOS 終端。每次智能卡插入該EPOS終端,在觸摸屏小鍵盤(pán)上向持卡者顯示隨 機(jī)的小鍵盤(pán)排列,供輸入其PIN。結(jié)果,觀察者僅通it^見(jiàn)察持卡者的手指 移動(dòng)并不能確定持卡者的PIN。在US 5,949,348和US 4,479,112中描述了 類似的系統(tǒng)。
由于智能卡的PIN存儲(chǔ)在卡本身上,所以進(jìn)4亍EPOS交易不需要將 全部的授權(quán)數(shù)據(jù)發(fā)送到數(shù)據(jù)庫(kù)或授^艮務(wù)器。具體地,存儲(chǔ)在卡上的PIN 決不在EPOS終端之外傳送。因此,這些公開(kāi)文獻(xiàn)沒(méi)有解決在EPOS終 端與遠(yuǎn)程數(shù)據(jù)庫(kù)服務(wù)器之間的通信期間他人截獲授權(quán)數(shù)據(jù)的問(wèn)題。
雖然智能卡提供一種安全的授權(quán)形式,但是,在每個(gè)客戶終端必須提 供讀卡器,以便對(duì)卡進(jìn)行讀取和確認(rèn)授權(quán)。因此,智能卡對(duì)于許多應(yīng)用是 不實(shí)際的,尤其是在對(duì)安全數(shù)據(jù)的訪問(wèn)要通過(guò)因特網(wǎng)進(jìn)行批準(zhǔn)時(shí)。對(duì)于諸 如在線4艮行業(yè)務(wù)等應(yīng)用,在客戶終端(例如家用計(jì)算機(jī))與數(shù)據(jù)庫(kù)或授權(quán) 服務(wù)器之間連續(xù)發(fā)送授權(quán)數(shù)據(jù)以便驗(yàn)伍。雖然授權(quán)數(shù)據(jù)通常是加密的,例 如使用公開(kāi)密鑰加密來(lái)加密,但是,存在以下?lián)鷳n,即開(kāi)發(fā)出解密這種數(shù) 據(jù)的方法僅是時(shí)間問(wèn)題。
發(fā)明內(nèi)容
因此,需要一種改進(jìn)的在客戶終端與服務(wù)器之間進(jìn)行可靠遠(yuǎn)程授權(quán)的 方法,其使得不需要在客戶終端處提供另外的硬件(例如智能卡讀取器)。
因此,本發(fā)明的一個(gè)目的是提供一種授權(quán)方法,其中,客戶終端發(fā)送到服 務(wù)器的數(shù)據(jù)如果被截獲,則不能用于提取用戶的全部授權(quán)數(shù)據(jù)。
另外,犯罪分子采用來(lái)欺騙性獲得銀行客戶的銀行授權(quán)數(shù)據(jù)的一種較 新的伎倆稱為"網(wǎng)絡(luò)釣魚(yú)"。這涉及向銀行的因特網(wǎng)客戶發(fā)送電子郵件或 信件,將客戶引向具有該銀行網(wǎng)頁(yè)外觀的網(wǎng)站,并且該網(wǎng)站往往以諸如例 行安全檢查等借口 ,要求客戶完整地輸入其授權(quán)數(shù)據(jù)。當(dāng)然,該網(wǎng)站是假 的,而操作該網(wǎng)站的犯罪分子于是能夠捕獲和使用客戶的授權(quán)數(shù)據(jù)來(lái)安排 從該客戶的賬戶轉(zhuǎn)移資金。
因此,本發(fā)明的單獨(dú)的又一目的是提供一種授權(quán)方法,該授權(quán)方法降 低客戶由于欺騙性網(wǎng)絡(luò)釣魚(yú)襲擊而上當(dāng)?shù)目赡苄浴?br>
相應(yīng)地,在第一方面,本發(fā)明提供一種在服務(wù)器與遠(yuǎn)離該服務(wù)器的終 端之間進(jìn)行安全通信的方法,所述終端包括用戶操作的數(shù)據(jù)輸入設(shè)備,所
述安全通信方法包括步驟將編碼數(shù)據(jù)從服務(wù)器傳送到終端,該編碼數(shù)據(jù) 特定于通信事件;關(guān)于編碼數(shù)據(jù),根據(jù)用戶使用終端的數(shù)據(jù)輸入設(shè)備輸入 的數(shù)據(jù),產(chǎn)生位置數(shù)據(jù),該位置數(shù)據(jù)由針對(duì)數(shù)據(jù)輸入設(shè)備中用戶所選擇字 符的位置的標(biāo)識(shí)符構(gòu)成;將該位置數(shù)據(jù)從終端傳送到服務(wù)器;以及使用所 述編碼數(shù)據(jù)將服務(wù)器接收到的位置數(shù)據(jù)解碼,以產(chǎn)生用戶所輸入的數(shù)據(jù)。
在第二方面,本發(fā)明提供一種安全通信系統(tǒng),該系統(tǒng)包括服務(wù)器和遠(yuǎn) 離該服務(wù)器并且與服務(wù)器進(jìn)行雙向通信的至少一個(gè)終端,所述服務(wù)器包 括編碼器,用于產(chǎn)生特定于通信事件的編碼數(shù)據(jù);通信接口,用于將編 碼數(shù)據(jù)傳送到遠(yuǎn)程終端,并且用于從終端接收位置數(shù)據(jù),所述位置數(shù)據(jù)由 針對(duì)用戶所選擇字符的位置的標(biāo)識(shí)符構(gòu)成,并且是用戶輸入的數(shù)據(jù)的編 碼;以及解碼器,用于將接收自終端的位置數(shù)據(jù)解碼,所述解碼器4吏用編 碼器的編碼數(shù)據(jù)來(lái)對(duì)位置數(shù)據(jù)進(jìn)行解碼,并且每個(gè)終端包括手工操作的
輸入設(shè)備,用于輸入用戶數(shù)據(jù),該用戶數(shù)據(jù)被編碼為位置數(shù)據(jù);以及終端 通信接口,用于從服務(wù)器接收編碼數(shù)據(jù),以及用于將位置數(shù)據(jù)傳送到服務(wù) 器。
在第三方面,本發(fā)明提供一種安全通信服務(wù)器,該安全通信服務(wù)器包 括編碼器,用于產(chǎn)生特定于通信事件的編碼數(shù)據(jù);通信接口,用于將編 碼數(shù)據(jù)傳送到遠(yuǎn)程終端,以及用于從該遠(yuǎn)程終端接收位置數(shù)據(jù),所述位置 數(shù)據(jù)由針對(duì)用戶所選擇字符的位置的標(biāo)識(shí)符構(gòu)成,并且是用戶輸入的數(shù)據(jù) 的編碼;以及解碼器,用于將接收自終端的位置數(shù)據(jù)解碼,所述解碼器使 用編碼器的編碼lt據(jù)來(lái)對(duì)位置數(shù)據(jù)進(jìn)行解碼。
在第四方面,本發(fā)明提供一種在服務(wù)器與遠(yuǎn)離該服務(wù)器的終端之間進(jìn) 行安全通信的方法,所述終端包括用戶操作的數(shù)據(jù)輸入設(shè)備和顯示器,所
述安全通信方法包括步驟從遠(yuǎn)程終端向服務(wù)器提交通信請(qǐng)求并且向服務(wù) 器提供特定于該終端的用戶的初步用戶標(biāo)識(shí)數(shù)據(jù),識(shí)別特定于該用戶的設(shè) 計(jì)數(shù)據(jù)并且基于所識(shí)別的設(shè)計(jì)數(shù)據(jù)將顯示數(shù)據(jù)從服務(wù)器傳送到終端;以及
基于從月良務(wù)器接收的顯示數(shù)據(jù),在終端的顯示器上產(chǎn)生圖像,其中,僅當(dāng) 顯示器上的圖像對(duì)應(yīng)于用戶先前知道的圖像時(shí),用戶才輸入進(jìn)一步的敏感 數(shù)據(jù)。
在第五方面,本發(fā)明提供一種安全通信系統(tǒng),該系統(tǒng)包括月l務(wù)器和遠(yuǎn) 離該服務(wù)器并且與該服務(wù)器進(jìn)行雙向通信的至少 一個(gè)終端,所述服務(wù)器包
括用戶設(shè)計(jì)數(shù)據(jù)存儲(chǔ)器,其中存儲(chǔ)有特定于每個(gè)用戶的顯示數(shù)據(jù);以及
通信接口,用于將顯示數(shù)據(jù)傳送到遠(yuǎn)程終端,并且用于從終端接收用戶輸
入的數(shù)據(jù),并且每個(gè)終端包括用戶操作的數(shù)據(jù)輸入設(shè)備,用于輸入用戶 數(shù)據(jù);顯示器;和終端通信接口,用于從服務(wù)器接收顯示數(shù)據(jù),并且用于 將用戶輸入的數(shù)據(jù)傳送給服務(wù)器。
在第六方面,本發(fā)明提供一種安全通信服務(wù)器,該服務(wù)器包括用戶 設(shè)計(jì)數(shù)據(jù)存儲(chǔ)器,其中存儲(chǔ)有特定于每個(gè)用戶的顯示數(shù)據(jù);以及通信接口 , 用于將顯示數(shù)據(jù)傳送給遠(yuǎn)程終端,并且用于從該終端接收用戶輸入的數(shù) 據(jù)。
當(dāng)結(jié)合附圖閱讀時(shí),根據(jù)以下具體描述,本發(fā)明的以上和其他目的、 優(yōu)點(diǎn)和新穎的特征將變得更加容易理解,其中
圖1示出了根據(jù)本發(fā)明的授權(quán)系統(tǒng);
圖2是根據(jù)本發(fā)明數(shù)據(jù)通信方法的第一實(shí)施例執(zhí)行的數(shù)據(jù)交換的簡(jiǎn)
圖3示出了本發(fā)明授權(quán)系統(tǒng)的安全服務(wù)器產(chǎn)生的示例性圖像數(shù)據(jù); 圖4示出了根據(jù)本發(fā)明的可替選授權(quán)系統(tǒng);
圖5是根據(jù)本發(fā)明數(shù)據(jù)通信方法的第二實(shí)施例執(zhí)行的數(shù)據(jù)交換的簡(jiǎn)
閨;
圖6示出了采用由圖4的授權(quán)系統(tǒng)的安全服務(wù)器產(chǎn)生的字母數(shù)字字符
的示例性圖像數(shù)據(jù);以及
圖7示出了采用由圖4的授權(quán)系統(tǒng)的安全服務(wù)器產(chǎn)生的非字母數(shù)字字 符的示例性圖像數(shù)據(jù)。
具體實(shí)施例方式
圖1的授權(quán)系統(tǒng)包括客戶終端1、數(shù)據(jù)庫(kù)服務(wù)器2和安全服務(wù)器3, 所有這三者都相互進(jìn)行雙向通信。在常規(guī)授權(quán)系統(tǒng)的情況下,沒(méi)有安全服 務(wù)器3,而客戶終端1與數(shù)據(jù)庫(kù)服務(wù)器2僅與彼此進(jìn)行通信。
使客戶終端1適合以硬件或者軟件的方式訪問(wèn)遠(yuǎn)程存儲(chǔ)在數(shù)據(jù)庫(kù)服 務(wù)器2上的數(shù)據(jù),以及改變和/或添加遠(yuǎn)程存儲(chǔ)的數(shù)據(jù)??蛻艚K端1包括 顯示器4和輸入設(shè)備5。用于客戶終端的適合的設(shè)備包括但不限于個(gè)人計(jì) 算機(jī)、ATM、移動(dòng)通信設(shè)備和PDA。實(shí)際上,可使得能夠進(jìn)行外部通信 并且具有顯示器和輸入設(shè)備的任何設(shè)備都適合用作客戶終端1 。
客戶終端1的顯示器4可以是任何能夠改變其外觀,以便向用戶傳遞 變化信息的設(shè)備。雖然VDU是優(yōu)選的,但是,顯示器4可以可替選地由 小鍵盤(pán)或鍵盤(pán)上的可修改圖例構(gòu)成??商孢x地,顯示器4和輸入設(shè)備5 可以以觸摸屏顯示器的形式集成。
輸入設(shè)備5用于輸入授權(quán)數(shù)據(jù),如用戶名、密碼和/或PIN。授權(quán)數(shù) 據(jù)隨后由客戶終端1使用,以獲得對(duì)數(shù)據(jù)庫(kù)服務(wù)器2的訪問(wèn)。客戶終端1 可以另外包括用于接收和讀取卡的裝置,或者其它標(biāo)識(shí)裝置,從而攜帶部 分授權(quán)數(shù)據(jù)。例如,客戶終端1可以是ATM,在這種情況下,ATM的讀 卡器接收帶有持卡者的賬戶資料的卡,其中,所述資料例如為名字、銀行 類別碼和賬戶號(hào)。但是,卡上攜帶的數(shù)據(jù)只表示部分授權(quán)數(shù)據(jù),并且只有 在用戶在客戶終端1的輸入設(shè)備5上輸入另外的授權(quán)數(shù)據(jù)時(shí),才準(zhǔn)許訪問(wèn) 數(shù)據(jù)庫(kù)服務(wù)器2。
數(shù)據(jù)庫(kù)服務(wù)器2存儲(chǔ)旨在僅由經(jīng)過(guò)授權(quán)的人員訪問(wèn)的數(shù)據(jù)10,并且 包括用于對(duì)試圖訪問(wèn)該數(shù)據(jù)庫(kù)服務(wù)器2的用戶的授權(quán)進(jìn)行發(fā)^的裝置6。 驗(yàn)證裝置6的最簡(jiǎn)單的形式包括查找表,該查找表包含有效授權(quán)數(shù)據(jù)的列 表。如果^裝置6接收到的授權(quán)數(shù)據(jù)與存儲(chǔ)在查找表中的授權(quán)數(shù)據(jù)匹 配,則該用戶被準(zhǔn)許訪問(wèn)存儲(chǔ)在數(shù)據(jù)庫(kù)服務(wù)器2中的數(shù)據(jù)10。優(yōu)選地, 使驗(yàn)證裝置6適合于根據(jù)接收到的授權(quán)數(shù)據(jù)確定用戶的身份,使得可以根 據(jù)用戶的身份定制對(duì)存儲(chǔ)在數(shù)據(jù)庫(kù)服務(wù)器2中的數(shù)據(jù)的訪問(wèn),例如,使得
病人僅能夠訪問(wèn)其自己的醫(yī)療記錄,或者銀行客戶僅能夠訪問(wèn)其自己的銀
行資料。驗(yàn)證裝置6可以是數(shù)據(jù)庫(kù)服務(wù)器2的一部分,或者其可以采用單 獨(dú)的授;KI艮務(wù)器的形式,該授;M良務(wù)器拒絕對(duì)數(shù)據(jù)庫(kù)服務(wù)器2的訪問(wèn),直 到接收到有效的授權(quán)數(shù)據(jù)。
安全服務(wù)器3包括組合生成器7、圖像生成器8和解碼器9。當(dāng)從數(shù) 據(jù)庫(kù)服務(wù)器2接收到請(qǐng)求時(shí),組合生成器7被使得適合于產(chǎn)生隨機(jī)字符串 以及特定于該隨機(jī)字符串的標(biāo)識(shí)碼。所產(chǎn)生的隨機(jī)字符串將取決于將由用 戶在客戶終端1的輸入設(shè)備5上輸入的授權(quán)數(shù)據(jù)的內(nèi)容,在合法字符集上 的隨機(jī)產(chǎn)生。例如,如果授權(quán)數(shù)據(jù)為PIN的形式,即如果授權(quán)數(shù)據(jù)僅包 括數(shù)字,則隨機(jī)字符串理想地是10個(gè)字符長(zhǎng),例如"7260948135"??商?選地,如果授權(quán)數(shù)據(jù)包括數(shù)字和大寫(xiě)字母,則隨機(jī)字符串可以達(dá)到36個(gè) 字符長(zhǎng),對(duì)應(yīng)于10個(gè)數(shù)字(0-9)和26個(gè)字母(A-Z),例如 "JR6VSAPKB2G"。組合生成器7將隨機(jī)字符串和標(biāo)識(shí)碼兩者傳送到圖 像生成器8和解碼器9,并且僅將標(biāo)識(shí)碼回傳到數(shù)據(jù)庫(kù)服務(wù)器2。隨機(jī)字 符串可以例如通過(guò)使用隨機(jī)數(shù)發(fā)生器來(lái)從字符串的查找表中隨機(jī)選擇輸 入來(lái)產(chǎn)生,其中,每個(gè)字符串具有不同的配置。
圖像生成器8取得從組合生成器7接收到的隨機(jī)字符串,并且產(chǎn)生適 合于在客戶終端1上顯示的圖像數(shù)據(jù)。例如,在客戶終端1為個(gè)人計(jì)算機(jī) 時(shí),圖像數(shù)據(jù)可以由圖像文件(例如JPG、 GIF、 BMP等)或者HTML 文件構(gòu)成。所產(chǎn)生的圖像至少包括隨機(jī)字符串的每個(gè)字符,其中,圖像中 每個(gè)字符的位置通過(guò)該字符在隨機(jī)字符串中出現(xiàn)的順序來(lái)確定。因此,例 如,隨機(jī)字符串的第一個(gè)字符可能顯示在圖像的左上,而該字符串的最后 一個(gè)字符顯示在該圖4象的右下。產(chǎn)生的圖像優(yōu)選地保持相同的總體設(shè)計(jì), 而不管所接收到的隨機(jī)字符串如何,并且僅是所勤目同的總體設(shè)計(jì)中的字 符的配置隨著每個(gè)隨機(jī)字符串變化。例如,圖像生成器8可能總是產(chǎn)生數(shù) 字小鍵盤(pán)的圖像,其中,小鍵盤(pán)上的數(shù)字的排列根據(jù)所接收到的隨機(jī)字符 串而改變。圖3示出了在接收到字符串"35492*0#6781"時(shí)圖像生成器8 所產(chǎn)生的可能的圖像。
圖像生成器8產(chǎn)生的圖像數(shù)據(jù)應(yīng)該理解為客戶終端1能夠用于改變顯 示器4的外觀的任何數(shù)據(jù)。例如,在顯示器4在小鍵盤(pán)上包含可配置圖例 時(shí),圖像數(shù)據(jù)所可以包括的不超過(guò)從組合生成器7接收到的隨機(jī)字符串。 客戶終端1在接收到圖像數(shù)據(jù)時(shí)將接著修改小鍵盤(pán)的第一個(gè)鍵的圖例,以 顯示隨機(jī)字符串的第一個(gè)字符,修改第二個(gè)鍵的圖例以顯示字符串的第二
個(gè)字符,等等。
圖像生成器8針對(duì)特定隨機(jī)字符串所產(chǎn)生的圖像數(shù)據(jù)被指派與針對(duì) 該隨機(jī)字符串從組合生成器7接收到的標(biāo)識(shí)碼相同的標(biāo)識(shí)碼。因此,對(duì)于 從數(shù)據(jù)庫(kù)服務(wù)器2接收到的每個(gè)請(qǐng)求,安全服務(wù)器3產(chǎn)生圖像數(shù)據(jù),并且 為該圖卩象數(shù)據(jù)指派標(biāo)識(shí)碼。該標(biāo)識(shí)碼被從安全服務(wù)器3發(fā)送到lt據(jù)庫(kù)服務(wù) 器,而數(shù)據(jù)庫(kù)服務(wù)器又將該標(biāo)識(shí)碼傳送給客戶終端1 。
客戶終端1使用標(biāo)識(shí)碼從安全服務(wù)器3檢索到由圖像生成器8產(chǎn)生的 對(duì)應(yīng)的圖像數(shù)據(jù)??蛻艚K端1于是使用接收的圖像數(shù)據(jù)來(lái)修改顯示器4 的外觀,以便向用戶呈現(xiàn)多個(gè)字符(例如數(shù)字、字母和符號(hào)等),其位置 隨機(jī)排列。用戶于是通過(guò)使用輸入設(shè)備5選擇組成其授權(quán)數(shù)據(jù)的各個(gè)字符 來(lái)輸入其授權(quán)數(shù)據(jù),如PIN。用戶所輸入的授權(quán)數(shù)據(jù)由客戶終端l記錄為 位置數(shù)據(jù)。該位置數(shù)據(jù)接著可以由客戶終端1轉(zhuǎn)換成字符數(shù)據(jù)或者某種其 他形式的數(shù)據(jù),用于發(fā)送到安全服務(wù)器3。例如,如果圖3的圖像顯示在 客戶終端l,并且用戶選擇了數(shù)字"7, 9, 2, 0",則位置數(shù)據(jù)可能是"第 一行第一列;第三行第一列;第三行第二列;第二行第一列"。該位置數(shù) 據(jù)接著可以被轉(zhuǎn)換成"1, 7, 8, 4",其對(duì)應(yīng)于數(shù)字在常規(guī)數(shù)字小鍵盤(pán)上 的排列。從而,其可以被轉(zhuǎn)換成的位置數(shù)據(jù)或字符數(shù)據(jù)表示編碼形式的授 權(quán)數(shù)據(jù)。只有知道特定于該標(biāo)識(shí)碼的圖像數(shù)據(jù)或隨機(jī)字符串,以及用于產(chǎn) 生該圖像數(shù)據(jù)的方法,才能夠?qū)⑦@個(gè)編碼的授權(quán)數(shù)據(jù)(例如"1, 7, 8") 進(jìn)行解碼。在用戶輸入授權(quán)數(shù)據(jù)之后,特定于所顯示圖像數(shù)據(jù)的經(jīng)編碼的 授權(quán)數(shù)據(jù)和標(biāo)識(shí)碼由客戶終端1發(fā)送到安全服務(wù)器3,其在安全服務(wù)器3 由解碼器9進(jìn)行解碼。
解碼器9存儲(chǔ)每個(gè)隨機(jī)字符串和接收自組合生成器7的標(biāo)識(shí)碼。當(dāng)從 客戶終端1接收到編碼的授權(quán)數(shù)據(jù)和標(biāo)識(shí)碼時(shí),解碼器9使用對(duì)應(yīng)的隨機(jī) 字符串,即具有相同標(biāo)識(shí)碼的字符串,解碼或者提取真正的授權(quán)數(shù)據(jù)。編 碼的授權(quán)數(shù)據(jù)于是被從安全服務(wù)器3的解碼器9發(fā)送到數(shù)據(jù)庫(kù)服務(wù)器2。
在使用中,客戶終端1首先向數(shù)據(jù)庫(kù)服務(wù)器2發(fā)送訪問(wèn)請(qǐng)求(Sl )。 該請(qǐng)求可以通過(guò)建立客戶終端1與數(shù)據(jù)庫(kù)服務(wù)器2之間的連接來(lái)進(jìn)行???替選地,可首先要求用戶輸入部分授權(quán)數(shù)據(jù),例如用戶名。如果所述部分 授權(quán)數(shù)據(jù)是有效的,則其構(gòu)成訪問(wèn)請(qǐng)求。 一旦數(shù)據(jù)庫(kù)服務(wù)器2已經(jīng)接收到 有效的訪問(wèn)請(qǐng)求,數(shù)據(jù)庫(kù)服務(wù)器2向安全服務(wù)器3發(fā)出要求終端顯示標(biāo)識(shí) 碼的請(qǐng)求(S2 )。數(shù)據(jù)庫(kù)服務(wù)器2也可以通過(guò)將特定于客戶終端訪問(wèn)請(qǐng)求 的交易標(biāo)識(shí)碼傳送給客戶終端來(lái)確認(rèn)該訪問(wèn)請(qǐng)求。該交易標(biāo)識(shí)碼不同于向
安全服務(wù)器請(qǐng)求的標(biāo)識(shí)碼。接著,組合生成器7產(chǎn)生隨機(jī)字符串和終端顯 示標(biāo)識(shí)碼(S3),這兩者被傳送到圖像生成器8和解碼器9。接著,圖像 生成器8產(chǎn)生適合于在客戶終端1上顯示的圖像數(shù)據(jù)(S4 ),并且將相同 的終端顯示標(biāo)識(shí)碼指派給該圖形數(shù)據(jù)。
終端顯示標(biāo)識(shí)碼被從安全服務(wù)器3發(fā)送到數(shù)據(jù)庫(kù)服務(wù)器2,數(shù)據(jù)庫(kù)服 務(wù)器2又將該標(biāo)識(shí)碼發(fā)送到客戶終端1 (S5)。因此,客戶終端1從數(shù)據(jù) 庫(kù)服務(wù)器2接收特定于正在進(jìn)行的交易的唯一交易標(biāo)識(shí)碼,以及終端顯示 標(biāo)識(shí)碼。于是,客戶終端1使用終端顯示標(biāo)識(shí)碼向安全服務(wù)器3請(qǐng)求圖像 數(shù)據(jù)(S6)。接著,由圖像生成器8產(chǎn)生的特定于該特定標(biāo)識(shí)碼的圖像數(shù) 據(jù)由安全服務(wù)器3返回給對(duì)其進(jìn)行顯示的客戶終端1。
接著,用戶使用呈現(xiàn)在客戶終端1上的圖像數(shù)據(jù)輸入其授權(quán)數(shù)據(jù) (S7)。由于客戶終端l上所顯示字符的隨機(jī)排列,用戶輸入的授權(quán)數(shù)據(jù) 被編碼。接著,經(jīng)編碼的授權(quán)數(shù)據(jù)和終端顯示標(biāo)識(shí)碼被M戶終端l發(fā)送 到安全服務(wù)器3 ( S8 ),其在安全服務(wù)器3中被解碼器9所接收。解碼器9 使用終端顯示標(biāo)識(shí)碼對(duì)編碼的授權(quán)數(shù)據(jù)進(jìn)行解碼(S9 ),以識(shí)別對(duì)應(yīng)的已 經(jīng)用于編碼授權(quán)數(shù)據(jù)的隨機(jī)字符串。 一旦解碼,真正的授權(quán)數(shù)據(jù)被從安全 服務(wù)器3傳送到數(shù)據(jù)庫(kù)服務(wù)器2 ( S10 )。接著,驗(yàn)證裝置6對(duì)真正的授權(quán) 數(shù)據(jù)進(jìn)行檢查(Sll ),如果驗(yàn)證裝置6確定從安全服務(wù)器3接收到的授權(quán) 數(shù)據(jù)是有效的,則準(zhǔn)許用戶訪問(wèn)數(shù)據(jù)庫(kù)服務(wù)器2 (S12)。否則,數(shù)據(jù)庫(kù)服 務(wù)器2告知客戶終端1授權(quán)數(shù)據(jù)無(wú)效(S13 ),并且根據(jù)目前的銀行實(shí)踐, 邀請(qǐng)用戶重新輸入其PIN,直到最多三次嘗試。如果無(wú)效,則數(shù)據(jù)庫(kù)服務(wù) 器2可以向安全服務(wù)器3另外請(qǐng)求新的終端顯示標(biāo)識(shí)碼,這也會(huì)導(dǎo)致新的 圖像數(shù)據(jù)凈嫂送到客戶終端1 ,以便重新開(kāi)始該過(guò)程。
客戶終端1從安全服務(wù)器3檢索到的圖像數(shù)據(jù)用作用于對(duì)用戶輸入的 授權(quán)數(shù)據(jù)進(jìn)行編碼的碼。當(dāng)在終端1上顯示編碼數(shù)據(jù)和使用該顯示的數(shù)據(jù) 來(lái)輸入用戶授權(quán)數(shù)據(jù)時(shí),用戶輸入的數(shù)據(jù)被立即編碼,即用戶實(shí)際上輸入 編碼的授權(quán)數(shù)據(jù)。因此,客戶終端l不需要另外對(duì)用戶輸入的數(shù)據(jù)進(jìn)行編 碼。具體地,客戶終端1并不是接收用戶輸入的真正的授權(quán)數(shù)據(jù)并然后對(duì) 其進(jìn)行編碼。相反,用戶在不知道的情況下輸入編碼的授權(quán)數(shù)據(jù)。結(jié)果, 不需要客戶終端l包括處理裝置來(lái)對(duì)授權(quán)數(shù)據(jù)進(jìn)行編碼,除非為了與數(shù)據(jù)
庫(kù)服務(wù)器和/或安全服務(wù)器進(jìn)行通信而另外要求。實(shí)際上,編碼的授權(quán)數(shù) 據(jù)可以通過(guò)啞終端,即僅包括顯示裝置4和輸入裝置5的終端1來(lái)實(shí)現(xiàn)。
在客戶終端1的輸入裝置5具有多個(gè)可手工單獨(dú)操作的按鈕或鍵的情況下,其中,所述按鈕或鍵相對(duì)于彼此位于固定位置,并且每個(gè)按鈕或鍵
被分配給相應(yīng)的字符,則安全服務(wù)器3可以向客戶終端發(fā)送"虛擬映射", 在該"虛擬映射"中,鍵盤(pán)的特定鍵,例如字母數(shù)字序列的位置被指派以 其自己的標(biāo)識(shí)符。每個(gè)位置標(biāo)識(shí)符被選擇成與鍵盤(pán)上的那個(gè)鍵的實(shí)際字符 不同。從而在標(biāo)識(shí)符是字母數(shù)字符號(hào)時(shí),實(shí)際上,虛擬映射四處交換鍵盤(pán) 各個(gè)鍵的字符。通過(guò)采用虛擬映射來(lái)將用戶的鍵擊傳送給安全服務(wù)器,雖 然用戶的鍵盤(pán)保持不變,并且以通常的方式輸入授權(quán)數(shù)據(jù),但是,回送到 安全服務(wù)器3的由用戶輸入的授權(quán)數(shù)據(jù)被以關(guān)于虛擬映射的位置數(shù)據(jù)的 形式進(jìn)行編碼。該系統(tǒng)尤其適合于例如進(jìn)行在線銀行業(yè)務(wù)時(shí)使用家用PC 的環(huán)境。
使用標(biāo)識(shí)碼使得多個(gè)客戶終端1能夠同時(shí)訪問(wèn)數(shù)據(jù)庫(kù)服務(wù)器2和安全 服務(wù)器3。但是,如果授權(quán)系統(tǒng)被設(shè)置成使得在任一時(shí)刻只有一個(gè)用戶或 客戶終端1能夠訪問(wèn)數(shù)據(jù)庫(kù)服務(wù)器2,則可以不使用標(biāo)識(shí)碼。在這種情況 下,不需要標(biāo)識(shí)碼,因?yàn)樵谌我粫r(shí)刻,安全服務(wù)器3僅產(chǎn)生和使用一個(gè)隨 機(jī)字符串。
每個(gè)標(biāo)識(shí)碼可以包括網(wǎng)站的URL或由其構(gòu)成。于是,圖像生成器8 產(chǎn)生的圖傳*數(shù)據(jù)以web文檔,例如HTML或XML文件或者Java applet 等的形式存儲(chǔ)。從而響應(yīng)于來(lái)自客戶終端1的訪問(wèn)數(shù)據(jù)庫(kù)服務(wù)器2的請(qǐng)求, 將唯一和臨時(shí)的URL返回給客戶終端1??蛻艚K端1使用該URL來(lái)裝載 相關(guān)網(wǎng)站的內(nèi)容以顯示圖像數(shù)據(jù)。URL優(yōu)選地不包括會(huì)使得能夠進(jìn)行欺 騙的數(shù)據(jù)。
一旦解碼器9將接收自客戶終端1的經(jīng)編碼的授權(quán)數(shù)據(jù)解碼,對(duì)應(yīng)的 存儲(chǔ)在解碼器9中的隨機(jī)字符串優(yōu)選地被從安全服務(wù)器3刪除。在從安全 服務(wù)器3刪除隨機(jī)字符串時(shí),截獲經(jīng)編碼的授權(quán)數(shù)據(jù)的人不能將該編碼的 數(shù)據(jù)重新發(fā)送到安全服務(wù)器3以獲得對(duì)數(shù)據(jù)庫(kù)服務(wù)器2的訪問(wèn)。如果解碼 器9接收到具有不存在的標(biāo)識(shí)碼的編碼數(shù)據(jù),則安全服務(wù)器3可以被配置 成發(fā)出潛在安全破壞的警告。類似地,在安全服務(wù)器3接收到經(jīng)編碼的授 權(quán)數(shù)據(jù)之后,也優(yōu)選地刪除由圖像生成器8產(chǎn)生的圖像數(shù)據(jù)。于是,這防 止他人在截獲從客戶終端1發(fā)送的經(jīng)編碼的授權(quán)數(shù)據(jù)后提取終端顯示標(biāo) 識(shí)碼并且向安全服務(wù)器3請(qǐng)求對(duì)應(yīng)的圖像數(shù)據(jù)??商孢x地,或者實(shí)際上是 另外地,圖像數(shù)據(jù)和/或隨機(jī)字符串可以具有有限的壽命,例如5分鐘,5 分鐘對(duì)于大多數(shù)ATM交易U夠的。結(jié)果,如果用戶在輸入其授權(quán)數(shù)據(jù) 時(shí)耗時(shí)太久,則用戶將超時(shí)。
利用上述授權(quán)系統(tǒng),授權(quán)數(shù)據(jù)從不未經(jīng)編碼就M戶終端l發(fā)送。而 且,由于客戶終端1發(fā)送的經(jīng)編碼的授權(quán)數(shù)據(jù)是使用隨機(jī)字符串進(jìn)行編碼 的,所以,他人僅截獲該編碼數(shù)據(jù)而提^t權(quán)數(shù)據(jù)即使不是不可能,也是 極其困難的。另外,由于授權(quán)數(shù)據(jù)是通過(guò)選擇具有隨機(jī)配置的字符而輸入 的,對(duì)于觀察用戶的人而言,要從視覺(jué)上獲取用戶的授權(quán)數(shù)據(jù)顯然更加困 難。
希望數(shù)據(jù)庫(kù)服務(wù)器2與安全服務(wù)器3之間的通信M本身是安全的, 例如利用外部不能訪問(wèn)的內(nèi)部線路或?qū)>€。結(jié)果,不需要對(duì)安全服務(wù)器3 與數(shù)據(jù)庫(kù)服務(wù)器2之間發(fā)送的授權(quán)數(shù)據(jù)進(jìn)行編碼。但是,當(dāng)數(shù)據(jù)庫(kù)服務(wù)器 3與安全服務(wù)器3之間的通信不安全時(shí),安全服務(wù)器3的解碼器9優(yōu)選地 在將經(jīng)過(guò)散列的授權(quán)數(shù)據(jù)發(fā)送到數(shù)據(jù)庫(kù)服務(wù)器2之前使用單向散列算法 對(duì)編碼的授權(quán)數(shù)據(jù)重新進(jìn)行編碼。數(shù)據(jù)庫(kù)服務(wù)器6的驗(yàn)證裝置6僅存儲(chǔ)經(jīng) 散列的授權(quán)數(shù)據(jù),而不是存儲(chǔ)一列實(shí)際的授權(quán)數(shù)據(jù)。這個(gè)對(duì)授權(quán)數(shù)據(jù)進(jìn)行 散列的附加步驟增加了安全性,即授權(quán)數(shù)據(jù)從不以未經(jīng)編碼的形式存儲(chǔ)在 數(shù)據(jù)庫(kù)Ji良務(wù)器2或者安全服務(wù)器3上。結(jié)果,任何危All務(wù)器2或3的安 全的人不能提Wt權(quán)數(shù)據(jù)。
為了進(jìn)一步提高安全性,授權(quán)系統(tǒng)內(nèi)的所有通信,即服務(wù)器2、 3與 客戶終端1之間的通信,優(yōu)選地使用例如128位SSL協(xié)議進(jìn)行加密。
重要的是,通過(guò)將用戶的標(biāo)識(shí)信息和授權(quán)數(shù)據(jù)的各個(gè)部分分開(kāi),大大 增強(qiáng)了系統(tǒng)的固有安全性。為了危及用戶的賬戶,觀察者必須捕獲并解碼 以下通信(i)客戶終端1與數(shù)據(jù)庫(kù)服務(wù)器2之間的通信;(ii)客戶終端 1與安全服務(wù)器3之間的通信;(iii)安全服務(wù)器3與數(shù)據(jù)庫(kù)服務(wù)器2之間 的通信。通過(guò)將數(shù)據(jù)流分成三個(gè)不同的和分別的路徑,并且每個(gè)數(shù)據(jù)路徑 攜帶明顯減少的數(shù)據(jù),觀察者要破壞系統(tǒng)的安全,即使不是不可能,也是 極其困難的。因此,即4吏觀察者成功解碼了數(shù)據(jù)流中的一個(gè)數(shù)據(jù)流,但沒(méi) 有有關(guān)同一交易的其他兩個(gè)數(shù)據(jù)流中所包含的信息,則所解碼的信息也是 沒(méi)有用的。而且,由于標(biāo)識(shí)數(shù)據(jù)是與交易標(biāo)識(shí)碼相關(guān)聯(lián)地被傳送到數(shù)據(jù)庫(kù) 服務(wù)器2,而授權(quán)數(shù)據(jù)與終端顯示標(biāo)識(shí)碼相關(guān)聯(lián)地被傳送到安全服務(wù)器3, 所以,這兩個(gè)數(shù)據(jù)流沒(méi)有共同的數(shù)據(jù)來(lái)使得觀察者能夠確定數(shù)據(jù)流與同一 賬戶相關(guān)。
通過(guò)截獲客戶終端1與安全服務(wù)器3之間發(fā)送的圖像數(shù)據(jù)和經(jīng)編碼的 授權(quán)數(shù)據(jù)兩者而對(duì)授權(quán)數(shù)據(jù)的違法獲得,可以通過(guò)利用不同的加密密鑰對(duì) 圖像數(shù)據(jù)和經(jīng)編碼的授權(quán)數(shù)據(jù)進(jìn)行加密來(lái)進(jìn)一 步提高授權(quán)系統(tǒng)的安全性
而成為不明確的。通過(guò)使用不同的加密密鑰來(lái)對(duì)圖像數(shù)據(jù)和經(jīng)編碼的授權(quán) 數(shù)據(jù)進(jìn)行加密,解密數(shù)據(jù)以獲得授權(quán)數(shù)據(jù)的任務(wù)不止加倍。這是因?yàn)榻饷?任務(wù)隨著加密數(shù)據(jù)大小的減小而變得逸t困難。由于圖像數(shù)據(jù)可能包括的
與隨機(jī)字符串(例如數(shù)字0-9)無(wú)多少差別,而且經(jīng)編碼的授權(quán)數(shù)據(jù)可能 包括的與若干選擇的字符(例如PIN)無(wú)多少差別,因而要加密的數(shù)據(jù)的 大小通常僅為數(shù)十字節(jié)。結(jié)果,加密數(shù)據(jù)對(duì)暴力解密方法的抵抗力極強(qiáng)。
通過(guò)在客戶終端1與安全服務(wù)器3之間采用兩個(gè)通信路徑,其中每個(gè) 通信路徑釆用不同的加密密鑰,可以對(duì)圖像數(shù)據(jù)和經(jīng)編碼的授權(quán)數(shù)據(jù)采用 分別的加密密鑰。例如,安全服務(wù)器3可以包括兩個(gè)服務(wù)器,第一個(gè)服務(wù) 器存儲(chǔ)圖像生成器8產(chǎn)生的圖像數(shù)據(jù),而第二個(gè)服務(wù)器存儲(chǔ)接收自客戶終 端1的經(jīng)編碼的授權(quán)數(shù)據(jù)。于是,客戶終端1向第一個(gè)服務(wù)器請(qǐng)求通過(guò)使 用第一密鑰加密的圖^象數(shù)據(jù),并且使用第二加密密鑰將編碼的授權(quán)數(shù)據(jù)發(fā) 送到笫二>9良務(wù)器。
盡管授權(quán)系統(tǒng)優(yōu)選地包括分立的數(shù)據(jù)庫(kù)服務(wù)器2和安全服務(wù)器3,但 是,組合生成器7、圖像生成器8和解碼器9可以全部形成數(shù)據(jù)庫(kù)服務(wù)器 2的一部分。在這種情況下,省略安全服務(wù)器3,而客戶終端l僅與數(shù)據(jù) 庫(kù)服務(wù)器2進(jìn)行通信。數(shù)據(jù)庫(kù)服務(wù)器2在接收到來(lái)自客戶終端1的訪問(wèn)請(qǐng) 求時(shí),向客戶終端i返回標(biāo)識(shí)碼和圖像數(shù)據(jù)。客戶終端1接著將經(jīng)編碼的 授權(quán)數(shù)據(jù)和標(biāo)識(shí)碼發(fā)送給數(shù)據(jù)庫(kù)服務(wù)器2,在數(shù)據(jù)庫(kù)服務(wù)器2,將經(jīng)編碼 的授權(quán)數(shù)據(jù)解碼,并且驗(yàn)證其有效性。如上針對(duì)安全服務(wù)器3所述,數(shù)據(jù) 庫(kù)服務(wù)器2可以包括采用不同加密密鑰分別傳送圖像數(shù)據(jù)和經(jīng)編碼的授 權(quán)數(shù)據(jù)的兩個(gè)服務(wù)器。第一個(gè)服務(wù)器負(fù)責(zé)接收來(lái)自客戶終端1的訪問(wèn)請(qǐng) 求,并且返回標(biāo)識(shí)碼和圖像數(shù)據(jù),而第二個(gè)服務(wù)器負(fù)責(zé)從客戶終端l接收 經(jīng)編碼的授權(quán)數(shù)據(jù)和標(biāo)識(shí)碼。
雖然到目前為止參考了用于獲得對(duì)存儲(chǔ)在數(shù)據(jù)庫(kù)服務(wù)器2上的數(shù)據(jù) 的訪問(wèn)的授權(quán)系統(tǒng),但是該授權(quán)系統(tǒng)可以用于需要遠(yuǎn)程IH^權(quán)的任何場(chǎng) 合。例如,該授權(quán)系統(tǒng)可以用于獲得對(duì)安全建筑的訪問(wèn)。在這種情況下, 客戶終端1可以是與門(mén)鄰近的小鍵盤(pán),而數(shù)據(jù)庫(kù)服務(wù)器2在從安全服務(wù)器 3接收到有效的授權(quán)數(shù)據(jù)時(shí),向門(mén)發(fā)送信號(hào)使其打開(kāi)。
利用本發(fā)明的授權(quán)系統(tǒng)和方法,可以通過(guò)可能不安全的通信以比目前 能夠的方式更加安全的方式,遠(yuǎn)程發(fā)汪用戶的授權(quán)。具體地,可以對(duì)用戶 的授權(quán)進(jìn)行發(fā)汪,而不需要用戶發(fā)送如果被截獲則可以用于提取用戶的授 權(quán)數(shù)據(jù)的數(shù)據(jù)。
在圖4中示出了上述授權(quán)系統(tǒng)和方法的進(jìn)一步開(kāi)發(fā);該系統(tǒng)類似于圖 l所示的系統(tǒng),并且盡可能地使用相同的附圖標(biāo)記。所述進(jìn)一步開(kāi)發(fā)尤其 適合用于具有顯示器如LCD、等離子體或CRT顯示器的客戶終端1。數(shù) 據(jù)庫(kù)服務(wù)器2另外包括查找表11,在該表中存儲(chǔ)了用戶或客戶的列表, 其中,每個(gè)用戶被指派有設(shè)計(jì)碼,如字母數(shù)字串,該設(shè)計(jì)碼優(yōu)選地對(duì)各個(gè) 用戶唯一,但不必如此。在安全服務(wù)器3中,另外提供顯示數(shù)據(jù)解碼器 12。顯示數(shù)據(jù)解碼器12被編程成解碼每個(gè)用戶的設(shè)計(jì)碼,以及將設(shè)計(jì)數(shù) 據(jù)傳送給圖像生成器8。
設(shè)計(jì)數(shù)據(jù)限定在提示客戶終端的用戶輸入其授權(quán)數(shù)據(jù)如他們的PIN 號(hào)時(shí),將由該客戶終端顯示的圖像的特征。因此,呈現(xiàn)^個(gè)用戶的網(wǎng)頁(yè) 被進(jìn)行定制,并且優(yōu)選地對(duì)每個(gè)用戶唯一。而且,總是向同一用戶呈現(xiàn)相 同的網(wǎng)頁(yè),但是網(wǎng)頁(yè)的設(shè)計(jì)隨用戶的不同而不同。設(shè)計(jì)數(shù)據(jù)可以限定的特 征的示例包括網(wǎng)頁(yè)上字母/數(shù)字的字體大??;網(wǎng)頁(yè)的背景顏色;各個(gè)可 選擇鍵的顏色;鍵周圍的邊界的顏色;各個(gè)鍵的形狀;鍵周圍的任何邊界 的形狀;以及任何點(diǎn)綴性的細(xì)節(jié),如圖案和另外的圖像。圖5示出了對(duì)于 字母數(shù)字電子小⑩具有直線圖案化邊界的網(wǎng)頁(yè)。當(dāng)然能夠明白,網(wǎng)頁(yè)的 設(shè)計(jì)變型不限于以上給出的示例,而且具有極大量的特征,其設(shè)計(jì)可以在 不損害網(wǎng)頁(yè)功能的情況下進(jìn)行變化,其中,網(wǎng)頁(yè)的功能是使得用戶能夠輸 入其授權(quán)數(shù)據(jù)。
在圖4所示授權(quán)系統(tǒng)的情況下,授權(quán)的方法如下。遠(yuǎn)程終端1請(qǐng)求訪 問(wèn)數(shù)據(jù)庫(kù)服務(wù)器2 ( S20 )。數(shù)據(jù)庫(kù)服務(wù)器2作為響應(yīng)通知遠(yuǎn)程終端有關(guān)該 通信會(huì)話的MlD,并且提示遠(yuǎn)程終端輸入請(qǐng)求訪問(wèn)的用戶的初步標(biāo)識(shí)。 這可能例如是用戶的名字或者其賬戶號(hào)。 一旦用戶輸入其初步的標(biāo)識(shí),遠(yuǎn) 程終端1將標(biāo)識(shí)信息和M ID傳送給數(shù)據(jù)庫(kù)服務(wù)器1。數(shù)據(jù)庫(kù)服務(wù)器2 接著從查找表ll中識(shí)別出針對(duì)該用戶的設(shè)計(jì)碼(S21),并且將該:沒(méi)計(jì)碼 與新會(huì)話的請(qǐng)求一起傳送給安全服務(wù)器3 ( S22 )。安全服務(wù)器3根據(jù)設(shè)計(jì) 碼確定用于登錄特定于該用戶的頁(yè)面的設(shè)計(jì)特征(S23)。任選地,產(chǎn)生小 鍵盤(pán)的各個(gè)按鈕的隨機(jī)排列(S24),如上參考圖2所述。接著,圖像生成 器8釆用用戶的設(shè)計(jì)特征創(chuàng)建登錄頁(yè)面(S25 ),并且將針對(duì)該登錄頁(yè)面的 URL和特定于數(shù)據(jù)庫(kù)服務(wù)器與安全服務(wù)器之間涉及該用戶的通信會(huì)話的 單獨(dú)會(huì)話ID —起進(jìn)行傳送(S26 )。接著,數(shù)據(jù)庫(kù)服務(wù)器2將URL傳送 給遠(yuǎn)程終端1,該遠(yuǎn)程終端訪問(wèn)該URL (S27),并且為該用戶顯示特定 的登錄網(wǎng)頁(yè)。假設(shè)登錄網(wǎng)頁(yè)是用戶熟悉的,接著輸入用戶的授權(quán)數(shù)據(jù)(S28 ) 并且由遠(yuǎn)程終端1釆用由于小鍵盤(pán)重新排列而導(dǎo)致的編碼形式來(lái)傳送給
安全服務(wù)器3 (S29 )。安全服務(wù)器3隨后將位置加密密鑰數(shù)據(jù)解碼(S30 ), 以識(shí)別用戶的真正的授權(quán)數(shù)據(jù),接著使用對(duì)數(shù)據(jù)庫(kù)服務(wù)器與安全服務(wù)器之 間通信會(huì)話唯一的會(huì)話ID,將真正的授權(quán)數(shù)據(jù)傳送給數(shù)據(jù)庫(kù)服務(wù)器
(S31 )。接著,數(shù)據(jù)庫(kù)服務(wù)器2將接收自安全服務(wù)器3的授權(quán)數(shù)據(jù)與其已 經(jīng)針對(duì)該用戶記錄的授權(quán)數(shù)據(jù)進(jìn)行比較(S32 )。假設(shè)授權(quán)數(shù)據(jù)是正確的, 則數(shù)據(jù)庫(kù)服務(wù)器2接著準(zhǔn)許遠(yuǎn)程終端1的用戶所請(qǐng)求的對(duì)安全系統(tǒng)的訪問(wèn)
(S33),或者,在授權(quán)數(shù)據(jù)是不正確的情況下拒絕訪問(wèn)(S34)。
因此,從以上可以看出,與圖2的授權(quán)方法類似,必要的授權(quán)信息被 分成段,并且不同的段在遠(yuǎn)程終端、數(shù)據(jù)庫(kù)服務(wù)器和安全服務(wù)器的不同通 信組合之間交換。沒(méi)有單個(gè)通信交換包含所有的標(biāo)識(shí)和授權(quán)數(shù)據(jù)。而且, 各個(gè)數(shù)據(jù)包優(yōu)選是加密的,并且不大得足以使得他人能夠使用目前的密碼 破解技術(shù)來(lái)破解加密。標(biāo)識(shí)和授權(quán)數(shù)據(jù)被分成至少兩個(gè)段,其中,每個(gè)片 段采用不同的M ID和不同的通信鏈路。
可以設(shè)想,可以向用戶提供選擇其自己的設(shè)計(jì)變型的機(jī)會(huì),該設(shè)計(jì)變 型于是存儲(chǔ)在數(shù)據(jù)庫(kù)服務(wù)器2的查找表ll中。但是,這需要全部的設(shè)計(jì) 變型是 ^開(kāi)可用的。因此,優(yōu)選的是設(shè)計(jì)變型由銀行選擇,使得可用的置 換保持1呆密。
在該系統(tǒng)的情況下,鼓勵(lì)用戶熟悉每次提示他們輸入其授權(quán)數(shù)據(jù)時(shí)呈 現(xiàn)給他們的網(wǎng)頁(yè)設(shè)計(jì)。熟悉他們自己的、優(yōu)選是唯一的網(wǎng)頁(yè),意味著如果 設(shè)法通過(guò)網(wǎng)絡(luò)釣魚(yú)獲得用戶的授權(quán)數(shù)據(jù),將向該用戶呈現(xiàn)沒(méi)有包括用戶所 熟悉的設(shè)計(jì)細(xì)節(jié)的網(wǎng)頁(yè)。這使得用戶能夠區(qū)分銀行發(fā)布的有效網(wǎng)頁(yè)和網(wǎng)絡(luò) 釣魚(yú)網(wǎng)頁(yè)。
當(dāng)然能夠明白,所述向每個(gè)用戶呈現(xiàn)其自己的、個(gè)性化的登錄網(wǎng)頁(yè)的 系統(tǒng)不需要另外涉及重新組織各個(gè)鍵和^的排序。也就是說(shuō),組合生成 器7在圖4中是任選的。但是,即使沒(méi)有對(duì)鍵和^進(jìn)行重新排序,相比 已知系統(tǒng),所述系統(tǒng)仍然具有提高的安全性,因?yàn)橛脩糨斎氲氖跈?quán)數(shù)據(jù)是 按照遠(yuǎn)程終端與安全服務(wù)器之間的交易的唯一通信ID傳送給安全服務(wù)器 3的,并且是與指派給客戶終端1與數(shù)據(jù)庫(kù)服務(wù)器2之間的通信的通信ID 分開(kāi)的。因此,傳送給數(shù)據(jù)庫(kù)服務(wù)器2的用戶身份仍然與傳送給安全服務(wù) 器3的授權(quán)數(shù)據(jù)分離。因此,以上關(guān)于圖1的授權(quán)系統(tǒng)描述的三路通信也 設(shè)置有圖4的授權(quán)系統(tǒng)。
當(dāng)然,當(dāng)在授權(quán)系統(tǒng)中另外實(shí)現(xiàn)組合生成器7的情況下,可實(shí)現(xiàn)更高 的安全等級(jí),并且完全解決對(duì)網(wǎng)絡(luò)釣魚(yú)風(fēng)險(xiǎn)的擔(dān)心,以及對(duì)一旦PIN號(hào)
的輸入受到監(jiān)視則卡可能被盜的擔(dān)心。
圖1的授權(quán)系統(tǒng)是相對(duì)于對(duì)一系列待顯示的、單獨(dú)以數(shù)字形式標(biāo)記的 鍵或掩組的需求來(lái)描述的。但是,為了提供更高等級(jí)的安全性,本發(fā)明設(shè)
想以下任選項(xiàng)將鍵或者按鈕單獨(dú)標(biāo)記以數(shù)字和字母的混合,如圖6所示。 利用該附加的特征,登錄網(wǎng)頁(yè)將呈現(xiàn)多個(gè)鍵的排列,例如3x4陣列,其 不包含針對(duì)每個(gè)可能的數(shù)字或字母的鍵。但是,由于網(wǎng)頁(yè)是由查找表11 中存儲(chǔ)的設(shè)計(jì)碼確定的,所以,該網(wǎng)頁(yè)將包括用戶輸入其4t權(quán)碼所需的數(shù) 字和字母。因此,希望為了網(wǎng)絡(luò)釣魚(yú)而復(fù)制登錄頁(yè)面的某人不僅必須針對(duì) 每個(gè)用戶從大量的可能設(shè)計(jì)置換中猜出設(shè)計(jì)特征的正確集合而且現(xiàn)在必
據(jù)的字母和數(shù)字的正確子組。
同一構(gòu)思的進(jìn)一步開(kāi)發(fā)涉及針對(duì)每個(gè)鍵使用非字母數(shù)字圖形。如圖7 所示,授權(quán)系統(tǒng)可以采用具有任何可區(qū)分特征的卡通或者縮略圖。因此, 在圖7中,鍵包括卡車、云、花、杯子等卡通圖像。這些特征是對(duì)小鍵盤(pán) 的整體特色設(shè)計(jì)的補(bǔ)充,在該例子中,所述特色設(shè)計(jì)涉及相鄰圓圏的邊界。 于是,用戶從鍵陣列中選擇三個(gè)或四個(gè)鍵構(gòu)成其授權(quán)數(shù)據(jù)。在圖7中,授 權(quán)數(shù)據(jù)包括l)車;2)雨云;3)太陽(yáng);4)花盆。
例如,對(duì)于一組256個(gè)不同的字符或符號(hào)以及12個(gè)鍵的陣列,具有 6.1xl(p個(gè)可以顯示給用戶的可能組合。而且,利用同樣256個(gè)不同的字 符,具有42億個(gè)不同的4字符PIN。結(jié)果,在設(shè)法進(jìn)行網(wǎng)絡(luò)釣魚(yú)的情況 下,用戶能夠輸入其PIN的機(jī)率是340萬(wàn)分之一。
而且,相信所述授權(quán)系統(tǒng)的這種進(jìn)一步開(kāi)發(fā)可以向用戶提供另外的優(yōu) 點(diǎn)。這是因?yàn)樵S多用戶難于記住他們的授權(quán)數(shù)據(jù),如他們的PIN號(hào)。用 戶將發(fā)現(xiàn)這些圖像更易于單獨(dú)地、并且以其正確的順序回憶,因?yàn)檫@些圖 像更適合于借助于認(rèn)知的順序或故事來(lái)回憶。
圖4中安全系統(tǒng)的另外優(yōu)點(diǎn)在于向用戶顯示的小鍵盤(pán)可以被選擇來(lái) 適應(yīng)視力殘障。例如,針對(duì)視力受限的人,能夠以比正常對(duì)比度更高的對(duì) 比度來(lái)呈現(xiàn)所顯示的圖像,或者呈現(xiàn)得比正常的更大。還可以設(shè)想,針對(duì) 視力極其有限或者沒(méi)有視力的人,設(shè)計(jì)數(shù)據(jù)可以集成聲音特征。尤其是當(dāng) 遠(yuǎn)程終端為家用計(jì)算機(jī)的情況下,顯示器的各個(gè)鍵可以每個(gè)指派單獨(dú)的聲 音,優(yōu)選是該鍵的字符的簡(jiǎn)短描述。于是,將允許用戶在鍵未被選中的情 況下用tab鍵遍歷鍵以聽(tīng)取不同的聲音。當(dāng)聽(tīng)到特定于用戶授權(quán)碼的鍵 時(shí),用戶將能夠例如通過(guò)按下其鍵盤(pán)上的回車鍵來(lái)選擇該鍵??商孢x地,
系統(tǒng)可以配置為使得只有在同 一鍵被接連選擇兩次的情況下才被選中。使 得用戶第一次選中^t僅觸發(fā)該鍵的音頻描述,其后重復(fù)該選擇,于是會(huì)將 該鍵認(rèn)為《—針對(duì)用戶的授權(quán)碼而選擇的。當(dāng)然,應(yīng)該理解,本發(fā)明旨在包 含用于使得用戶能夠聽(tīng)見(jiàn)與鍵相關(guān)聯(lián)的不同聲音,而沒(méi)有為了輸入用戶的 授權(quán)數(shù)據(jù)而進(jìn)行的鍵選擇的可替選過(guò)程。這樣,本發(fā)明向具有視力殘障的 用戶另外提供了之前對(duì)他們不可用的電子訪問(wèn)安全數(shù)據(jù)如家庭銀行業(yè)務(wù) 的益處。
雖然上述安全通信系統(tǒng)涉及傳送授權(quán)數(shù)據(jù),但是,當(dāng)然應(yīng)該可以看出, 這些系統(tǒng)中實(shí)施的安全的通信方法也適合于任何敏感信息的傳送,并且, 特別地,檢查用戶輸入的授權(quán)數(shù)據(jù)的有效性的步驟不是本發(fā)明的實(shí)質(zhì)特 征。
因此,與已知的電子登錄系統(tǒng)相比,本發(fā)明的授權(quán)系統(tǒng)具有明顯提高 的安全性,因?yàn)樵撌跈?quán)系統(tǒng)將標(biāo)識(shí)和授權(quán)數(shù)據(jù)分成多個(gè)段,其中,至少一
個(gè)段以與另一段和/或不同通信鏈路不同的標(biāo)識(shí)^碼來(lái)傳送。圖4的授 權(quán)系統(tǒng)另外還具有明顯降低的客戶或用戶可能被誤導(dǎo)而將其授權(quán)數(shù)據(jù)輸 入網(wǎng)絡(luò)釣魚(yú)站點(diǎn)的風(fēng)險(xiǎn)。在2003年,由于網(wǎng)絡(luò)釣魚(yú)詐騙4吏得4艮行和信用 卡公司損失大約102億美元,所以,目前急切需要解決該安全風(fēng)險(xiǎn)。
盡管在上面僅對(duì)數(shù)個(gè)示例性實(shí)施例或者本發(fā)明進(jìn)行了具體描述,但 是,本領(lǐng)域技術(shù)人員應(yīng)該容易理解,可以對(duì)所述示例性實(shí)施例進(jìn)行許多修 改而實(shí)質(zhì)上不背離本發(fā)明的新穎性教導(dǎo)和優(yōu)點(diǎn)。因此,所有這種修改旨在 包括在如所附權(quán)利要求所限定的本發(fā)明范圍內(nèi)。
權(quán)利要求
1.一種在服務(wù)器與遠(yuǎn)離該服務(wù)器的終端之間進(jìn)行安全通信的方法,所述終端包括用戶操作的數(shù)據(jù)輸入設(shè)備,所述安全通信的方法包括步驟將編碼數(shù)據(jù)從服務(wù)器傳送到終端,該編碼數(shù)據(jù)特定于通信事件;關(guān)于編碼數(shù)據(jù),根據(jù)用戶使用終端的數(shù)據(jù)輸入設(shè)備輸入的數(shù)據(jù),產(chǎn)生位置數(shù)據(jù),該位置數(shù)據(jù)由針對(duì)數(shù)據(jù)輸入設(shè)備的用戶所選擇字符的位置的標(biāo)識(shí)符構(gòu)成;將該位置數(shù)據(jù)從終端傳送到服務(wù)器;以及使用所述編碼數(shù)據(jù)將服務(wù)器接收到的位置數(shù)據(jù)解碼,以產(chǎn)生用戶所輸入的數(shù)據(jù)。
2. 4艮據(jù)權(quán)利要求1所述的方法,其中,所述終端包括顯示器,并且 所述方法進(jìn)一步包括在所述顯示器上顯示多個(gè)字符的步驟,所述字符中的 每一個(gè)字符在所述顯示器上的位置是關(guān)于所述編碼數(shù)據(jù)確定的。
3. 根據(jù)權(quán)利要求1或2所述的方法,進(jìn)一步包括響應(yīng)于來(lái)自所述終 端的針對(duì)通信事件的請(qǐng)求而產(chǎn)生所述編碼數(shù)據(jù)的步驟。
4. 根據(jù)權(quán)利要求2或3所述的方法,其中,所述編碼數(shù)據(jù)標(biāo)識(shí)所顯 示字符的排列。
5. 才艮據(jù)權(quán)利要求4所述的方法,其中,所顯示的所述多個(gè)字符包括 數(shù)字系列0、 1、 2、 3、 4、 5、 6、 7、 8、 9。
6. 根據(jù)權(quán)利要求4所述的方法,其中,所顯示的所述多個(gè)字符包括 字母數(shù)字字符的完整集合的子集。
7. 才艮據(jù)權(quán)利要求4所述的方法,其中,所顯示的所述多個(gè)字符包括 非字母數(shù)字的用戶可區(qū)分字符。
8. 根據(jù)權(quán)利要求7所述的方法,其中,所述編碼數(shù)據(jù)包括從非字母 數(shù)字字符的較大集合中取出的非字母數(shù)字字符的子集。
9. 根據(jù)權(quán)利要求8所述的方法,其中,待顯示的字符子集選自字母 數(shù)字和非字母數(shù)字字符的集合。
10. 根據(jù)權(quán)利要求5所述的方法,其中,所述編碼數(shù)據(jù)包括具有隨機(jī) 順序的數(shù)字串。
11. 根據(jù)權(quán)利要求10所述的方法,其中,所述產(chǎn)生編碼數(shù)據(jù)的步驟 包括從字符串的表中隨機(jī)選擇字符串,所i!4中的每個(gè)字符串具有不同的 順序。
12. 根據(jù)權(quán)利要求2至9中任一項(xiàng)所述的方法,其中,所述編碼數(shù)據(jù) 包括能夠在所述終端的顯示器上顯示的圖〗象數(shù)據(jù)。
13. 根據(jù)權(quán)利要求12所述的方法,進(jìn)一步包括步驟將網(wǎng)站的URL 傳送到所述終端,其中,所述編碼數(shù)據(jù)4皮嵌入所述網(wǎng)頁(yè)中,并且在所述顯 示器上顯示多個(gè)字符的步驟包括在所述顯示器上顯示所述網(wǎng)站的內(nèi)容。
14. 根據(jù)權(quán)利要求l所述的方法,其中,所述輸入設(shè)備是鍵盤(pán),所述 編碼數(shù)據(jù)包括虛擬映射,該虛擬映射將唯一標(biāo)識(shí)符指派給所選擇的一組鍵 在所述鍵盤(pán)上的位置中的每個(gè)位置。
15. 根據(jù)前述權(quán)利要求中任一項(xiàng)所述的方法,其中,所述編碼數(shù)據(jù)和 所述位置數(shù)據(jù)通過(guò)不同通信路徑傳送。
16. 根據(jù)前述權(quán)利要求中任一項(xiàng)所述的方法,其中,所述服務(wù)器與終 端之間傳送的數(shù)據(jù)使用公開(kāi)密鑰加密進(jìn)行加密。
17. 根據(jù)權(quán)利要求16所述的方法,其中,所述編碼數(shù)據(jù)和所述位置 數(shù)據(jù)通過(guò)不同的通信路徑來(lái)傳送,并且每個(gè)通過(guò)4吏用不同的加密密鑰進(jìn)行 加密。
18. 4艮據(jù)權(quán)利要求15至17中任一項(xiàng)所述的方法,其中,所述編碼數(shù) 據(jù)由安全服務(wù)器產(chǎn)生,其被傳送到所述J艮務(wù)器,以及從所述服務(wù)器傳送到 所述遠(yuǎn)程終端,并且所述位置數(shù)據(jù)由所述終端傳送給所述安全服務(wù)器,在 所述安全服務(wù)器,所述位置數(shù)據(jù)被解碼,以便用戶輸入的數(shù)據(jù)從所述安全 服務(wù)器傳送給所述服務(wù)器。
19. 一種在服務(wù)器與遠(yuǎn)離該服務(wù)器的終端之間進(jìn)行安全通信的方法, 所述終端包括用戶操作的數(shù)據(jù)輸入設(shè)備和顯示器,所述安全通信方法包括 步驟從遠(yuǎn)程終端向服務(wù)器提交通信請(qǐng)求并且向服務(wù)器提供特定于該終端 的用戶的初步用戶標(biāo)識(shí)數(shù)據(jù),識(shí)別特定于該用戶的設(shè)計(jì)數(shù)據(jù)并且基于所識(shí)別的設(shè)計(jì)數(shù)據(jù)將顯示數(shù) 據(jù)從服務(wù)器傳送到終端;以及基于從服務(wù)器接收的顯示數(shù)據(jù),在終端的顯示器上產(chǎn)生圖像, 其中,僅當(dāng)顯示器上的圖^Jlt應(yīng)于用戶先前知道的圖像時(shí),用戶才輸 入進(jìn)一步的敏感數(shù)據(jù)。
20. 根據(jù)權(quán)利要求19所述的方法,進(jìn)一步包括步驟 將編碼數(shù)據(jù)從所述服務(wù)器傳送給所述終端,所述編碼數(shù)據(jù)特定于通信事件;關(guān)于所述編碼數(shù)據(jù),根據(jù)隨后由用戶使用所述終端的數(shù)據(jù)輸入設(shè)備輸 入的數(shù)據(jù),產(chǎn)生位置數(shù)據(jù),所述位置數(shù)據(jù)由針對(duì)所述輸入設(shè)備的用戶可選擇字符的位置的標(biāo)識(shí)符;將所述位置數(shù)據(jù)從所述終端傳送給所述服務(wù)器;以及使用所述編碼數(shù)據(jù)將所述服務(wù)器接收的所述位置數(shù)據(jù)解碼,以產(chǎn)生所 述用戶輸入的數(shù)據(jù)。
21. 根據(jù)權(quán)利要求19或20所述的方法,其中,所述顯示數(shù)據(jù)包括關(guān) 于下列中的一個(gè)或多個(gè)的數(shù)據(jù)預(yù)選擇的邊界圖案; 一個(gè)或多個(gè)預(yù)選擇的 顏色;以及預(yù)選擇的拾組形狀。
22. 根據(jù)權(quán)利要求21所述的方法,其中,針對(duì)視力受損的用戶,所 述顯示數(shù)據(jù)包括關(guān)于下列中的一個(gè)或多個(gè)的數(shù)據(jù)預(yù)選擇的高對(duì)比顏色; 以及比正常更大的可選擇字符。
23. 根據(jù)權(quán)利要求19至22中的任一項(xiàng)所述的方法,其中,與所述顯 示數(shù)據(jù)有關(guān)的音頻數(shù)據(jù)被從所述服務(wù)器傳送到所述終端。
24. 根據(jù)權(quán)利要求23所述的方法,其中,所述音頻數(shù)據(jù)包括針對(duì)所 述顯示數(shù)據(jù)的每個(gè)用戶可選擇字符的不同可識(shí)別聲音。
25. —種安全通信系統(tǒng),該系統(tǒng)包括服務(wù)器和遠(yuǎn)離該服務(wù)器并且與該 服務(wù)器進(jìn)行雙向通信的至少一個(gè)終端,所述Ji良務(wù)器包括編碼器,用于產(chǎn) 生特定于通信事件的編碼數(shù)據(jù);通信接口,用于將編碼數(shù)據(jù)傳送到遠(yuǎn)程終 端,并且用于從終端接收位置數(shù)據(jù),所述位置數(shù)據(jù)由針對(duì)用戶所選擇字符 的位置的標(biāo)識(shí)符構(gòu)成,并且是用戶輸入的數(shù)據(jù)的編碼;以及解碼器,用于 將接收自終端的位置數(shù)據(jù)解碼,所述解碼器使用編碼器的編碼數(shù)據(jù)來(lái)對(duì)位 置數(shù)據(jù)進(jìn)行解碼,并且每個(gè)終端包括手工操作的輸入設(shè)備,用于輸入用 戶數(shù)據(jù),該用戶數(shù)據(jù)被編碼為位置數(shù)據(jù);以及終端通信接口,用于從服務(wù) 器接收編碼數(shù)據(jù),以及用于將位置數(shù)據(jù)傳送到服務(wù)器。
26. 根據(jù)權(quán)利要求25所述的安全通信系統(tǒng),其中,所述終端進(jìn)一步包括顯示器,在該顯示器上顯示多個(gè)字符,所述字符中的每個(gè)字符在所述 顯示器上的位置是關(guān)于所述編碼數(shù)據(jù)確定的。
27. 根據(jù)權(quán)利要求25或26所述的安全通信系統(tǒng),其中,所述用戶輸 入的數(shù)據(jù)包括授權(quán)數(shù)據(jù),并且所述服務(wù)器進(jìn)一步包括存儲(chǔ)有有效授權(quán)數(shù)據(jù) 的數(shù)據(jù)存儲(chǔ)器,所述解碼器解碼的授權(quán)數(shù)據(jù)是對(duì)照所述有效授權(quán)數(shù)據(jù)來(lái)驗(yàn) 證的。
28. 根據(jù)權(quán)利要求25至27中任一項(xiàng)所述的安全通信系統(tǒng),其中,所 述編碼器包括編碼數(shù)據(jù)存儲(chǔ)器,在該存儲(chǔ)器中存儲(chǔ)有字符串表,每個(gè)字符 串中的字符具有不同的順序,從而,所述編碼器通過(guò)從所述字符串表中隨 機(jī)選擇字符串而產(chǎn)生所述編碼數(shù)據(jù)。
29. 根據(jù)權(quán)利要求26至27所述的安全通信系統(tǒng),其中,所述服務(wù)器 包括用戶顯示設(shè)計(jì)數(shù)據(jù)存儲(chǔ)器,在該存儲(chǔ)器中存儲(chǔ)特定于每個(gè)用戶的設(shè)計(jì) 數(shù)據(jù),所述設(shè)計(jì)數(shù)據(jù)規(guī)定要顯示在所述終端顯示器上的圖像的特征。
30. 根據(jù)權(quán)利要求25至29中的任一項(xiàng)所述的安全通信系統(tǒng),其中, 所述服務(wù)器和所述至少一個(gè)遠(yuǎn)程終端均進(jìn)一步包括^Hf密鑰加密裝置,用 于加密所述服務(wù)器與終端之間的通信。
31. 根據(jù)權(quán)利要求25至30中的任一項(xiàng)所述的安全通信系統(tǒng),其中, 所述服務(wù)器具有分立的通信裝置,用于將所述編碼數(shù)據(jù)傳送給所述終端, 以及用于從所述終端接收位置數(shù)據(jù),使得所述編碼數(shù)據(jù)和位置數(shù)據(jù)通過(guò)不 同的通信路徑在所述終端和服務(wù)器之間傳送。
32. —種安全通信服務(wù)器,該安全通信服務(wù)器包括編碼器,用于產(chǎn) 生特定于通信事件的編碼數(shù)據(jù);通信接口,用于將編碼數(shù)據(jù)傳送到遠(yuǎn)程終 端,以及用于從該遠(yuǎn)程終端接收位置數(shù)據(jù),所述位置數(shù)據(jù)由針對(duì)用戶所選 擇字符的位置的標(biāo)識(shí)符構(gòu)成,并且是用戶輸入的數(shù)據(jù)的編碼;以及解碼器, 用于將接收自終端的位置數(shù)據(jù)解碼,所述解碼器使用編碼器的編碼數(shù)據(jù)來(lái) 對(duì)位置數(shù)據(jù)進(jìn)行解碼。
33. —種安全通信系統(tǒng),該系統(tǒng)包括服務(wù)器和遠(yuǎn)離該服務(wù)器并且與該 服務(wù)器進(jìn)行雙向通信的至少一個(gè)終端,所述服務(wù)器包括用戶設(shè)計(jì)數(shù)據(jù)存 儲(chǔ)器,其中存儲(chǔ)有特定于每個(gè)用戶的顯示數(shù)據(jù);以及通信接口,用于將顯 示數(shù)據(jù)傳送到遠(yuǎn)程終端,并且用于從終端接收用戶輸入的數(shù)據(jù),并且每個(gè) 終端包括用戶操作的數(shù)據(jù)輸入設(shè)備,用于輸入用戶數(shù)據(jù);顯示器;和終 端通信接口,用于從服務(wù)器接收顯示數(shù)據(jù),并且用于將用戶輸入的數(shù)據(jù)傳送給服務(wù)器。
34. 根據(jù)權(quán)利要求33所述的安全通信系統(tǒng),其中,所述用戶輸入的 數(shù)據(jù)包括授權(quán)數(shù)據(jù),并且所述服務(wù)器進(jìn)一步包括數(shù)據(jù)存儲(chǔ)器,在該存儲(chǔ)器 中存儲(chǔ)有有效授權(quán)數(shù)據(jù),其中所述用戶輸入的授權(quán)數(shù)據(jù)是對(duì)照該有效授權(quán) 數(shù)據(jù)來(lái)比較的。
35. 根據(jù)權(quán)利要求33或34所述的安全通信系統(tǒng),其中,每個(gè)遠(yuǎn)程終 端包括一個(gè)或多個(gè)揚(yáng)聲器,并且從所述服務(wù)器傳送給所述終端的顯示數(shù)據(jù) 包括音頻數(shù)據(jù)。
36. 根據(jù)權(quán)利要求33至35中任一項(xiàng)所述的安全通信系統(tǒng),所述服務(wù) 器進(jìn)一步包括編碼器,用于產(chǎn)生特定于通信事件的編碼數(shù)據(jù);以及解碼 器,用于將接收自所述終端的位置數(shù)據(jù)解碼,所述位置數(shù)據(jù)由針對(duì)用戶所 選擇字符的位置的標(biāo)識(shí)符構(gòu)成,并且是用戶輸入的數(shù)據(jù)的編碼,所述解碼器使用所述編碼器的編碼數(shù)據(jù)來(lái)對(duì)所述位置數(shù)據(jù)進(jìn)行解碼,并且,其中所 述通信接口用于將所述編碼數(shù)據(jù)傳送給所述遠(yuǎn)程終端,以及用于從該終端 接收所述位置數(shù)據(jù)。
37. 根據(jù)權(quán)利要求36的安全通信系統(tǒng),其中,所述編碼器包括編碼 數(shù)據(jù)存儲(chǔ)器,該存儲(chǔ)器中存儲(chǔ)有字符串表,每個(gè)字符串中的字符具有不同 的順序,從而,所述編碼器通it^所述字符串表中隨機(jī)選擇字符串而產(chǎn)生 所述編碼數(shù)據(jù)。
38. 根據(jù)權(quán)利要求33至37中任一項(xiàng)所述的安全通信系統(tǒng),其中,所 述服務(wù)器和所述至少一個(gè)遠(yuǎn)程終端均進(jìn)一步包括公開(kāi)密鑰加密裝置,用于 將所述J5良務(wù)器與終端之間的通信加密。
39. 根據(jù)權(quán)利要求38所述的安全通信系統(tǒng),其中,所述服務(wù)器具有 分立的通信裝置,用于將所述顯示數(shù)據(jù)傳送給所述終端,以及用于從所述 終端接收用戶輸入的數(shù)據(jù),使得所述顯示數(shù)據(jù)和所述用戶輸入的數(shù)據(jù)通過(guò) 不同的通信路徑在所述終端與服務(wù)器之間傳送。
40. —種安全通信服務(wù)器,該服務(wù)器包括用戶設(shè)計(jì)數(shù)據(jù)存儲(chǔ)器,其 中存儲(chǔ)有特定于每個(gè)用戶的顯示數(shù)據(jù);以及通信接口,用于將顯示數(shù)據(jù)傳送給遠(yuǎn)程終端,并且用于從該終端接收用戶輸入的數(shù)據(jù)。
41. 一種基本上如這里之前參考附圖描述的在服務(wù)器與遠(yuǎn)離該服務(wù)器 的終端之間進(jìn)行安全通信的方法。
42. —種基本上如這里之前參考附圖描述的安全通信系統(tǒng)。
全文摘要
在客戶終端(1)與安全數(shù)據(jù)庫(kù)服務(wù)器(2)之間的數(shù)據(jù)交換中,使用由單獨(dú)的安全服務(wù)器(3)中的組合生成器(7)產(chǎn)生的位置信息將數(shù)據(jù)編碼。所述位置信息用于產(chǎn)生特定于通信事件的圖像,其由客戶終端(1)訪問(wèn),并且是在客戶終端(1)輸入敏感數(shù)據(jù)的基礎(chǔ)。在客戶終端、數(shù)據(jù)庫(kù)服務(wù)器和安全服務(wù)器之間的三路通信鏈路極大地增加了成功截獲客戶終端輸入的數(shù)據(jù)以及將其解碼的難度。所述安全數(shù)據(jù)通信的方法尤其適合于例如銀行業(yè)中的密碼數(shù)據(jù)的傳送。
文檔編號(hào)G06Q20/00GK101180662SQ200680015561
公開(kāi)日2008年5月14日 申請(qǐng)日期2006年1月6日 優(yōu)先權(quán)日2005年3月7日
發(fā)明者斯圖爾特·莫里斯, 桑賈伊·哈里亞, 諾爾曼·弗雷澤 申請(qǐng)人:特里斯里昂有限公司