專利名稱:用于進行具有動態(tài)安全性的交互的系統(tǒng)���、方法和設備的制作方法
技術領域:
本發(fā)明涉及用于在用戶與交易服務提供商之間進行具有動態(tài)安全性的交互的代碼生成設備����。本發(fā)明還涉及交易服務器系統(tǒng)以及包括所述代碼生成設備和所述交易服務器系 統(tǒng)的安全交易系統(tǒng)�����。本發(fā)明還涉及用于在交易服務提供商與具有代碼生成設備的用戶之間進行具有 動態(tài)安全性的交互的方法。
背景技術:
諸如網(wǎng)上銀行的用于安全在線交易的目前最通常采用的系統(tǒng)以相同的方式處理 每個交易��,不考慮與交易相關的風險�。當使用這種傳統(tǒng)方法時,交易服務提供商需要在容易 使用和風險之間做出權衡��。通過這種權衡���,交易服務提供商冒著這樣的風險��,即如果實施了 過于苛刻的安全措施則會失去客戶��,或者如果安全不嚴格則會丟失大量的錢和客戶信任���。US 2005/0097320公開了一種利用基于風險的認證來作為對傳統(tǒng)的靜態(tài)交易系統(tǒng) 的替換的動態(tài)交易方法和系統(tǒng)。根據(jù)US 2005/0097320中公開的方法���,用于特定交易的認證級別根據(jù)交易的風險 評估和/或對交易方而被設置����。根據(jù)US 2005/0097320,認證級別可以通過要求用戶輸入個 人信息和賬戶信息等��,和/或通過經(jīng)由諸如SMS的可選通信路徑將一次性代碼發(fā)送給用戶 來被提升�。然而���,由于在該系統(tǒng)中的動態(tài)安全性基于之前從用戶收集的一組數(shù)據(jù)��,所以系統(tǒng) 的靈活性被之前所收集的數(shù)據(jù)量限制�。此外�����,之前所收集的數(shù)據(jù)需要在真正安全的環(huán)境中 被收集�,這一般需要昂貴的和復雜的管理��。此外�����,根據(jù)US 2005/0097320的動態(tài)安全性通過在網(wǎng)絡上傳送問答類型的認證信 息來被實施�,這通常存在攔截通信或通過假扮交易服務提供商(所謂的“網(wǎng)址嫁接”)來獲 取認證信息的欺詐風險�����。
發(fā)明內(nèi)容
考慮到現(xiàn)有技術的上述和其它缺點��,本發(fā)明的總目標是提供具有動態(tài)安全性的改 進的交易系統(tǒng)��。根據(jù)本發(fā)明的第一方面���,這些以及其它目標通過代碼生成設備和處理電路來被實 現(xiàn)��。所述代碼生成設備用于在用戶與交易服務提供商之間進行具有動態(tài)安全性的交易��,所 述代碼生成設備具有信息獲取裝置�����。所述處理電路被配置為經(jīng)由信息獲取裝置接收由交易 服務提供商生成的交易特定代碼�����;評估交易特定代碼�;基于交易特定代碼的評估來執(zhí)行預 定功能的交易特定序列,每個預定功能包括提示用戶指示各自的功能相關值�,從而產(chǎn)生由 用戶指示的功能相關值的序列���;以及基于功能相關值的序列來確定交易特定響應代碼����,從 而進行交易的安全認證��。
在本申請的上下文中��,“交易服務提供商”應當被理解為使得注冊用戶執(zhí)行任何種 類的交易的任何實體�����。交易服務提供商的示例包括例如銀行�����、權威(authority)�����、證券經(jīng)紀 人等。交易服務提供商一般被實現(xiàn)為被配置成在網(wǎng)絡上與其用戶進行交互的交易服務器系 統(tǒng)��。典型的交易包括例如登陸、資金轉賬���、支付等�。
因此����,交易特定代碼應當被理解為由交易服務提供商結合用于特定交易的請求而 發(fā)布的代碼��?�!靶畔@取裝置”是用于獲取信息到代碼生成設備的裝置,可以包括鍵盤�����、照相機、 條形碼掃描儀���、用于有線或無線通信的接口等中的一者或多者。本發(fā)明基于在線交易系統(tǒng)中的總體的高安全級別和容易使用可以通過基于估計 的交易風險以動態(tài)控制安全級別來實現(xiàn)���。發(fā)明人還認識到安全級別的所述動態(tài)控制可以通 過在交易服務提供商處確定用戶與他的個人代碼生成設備之間的交互的交易特定級別來 有利地實現(xiàn)。根據(jù)本發(fā)明,用戶與他的代碼生成設備之間的交互的“遠程控制”是通過在由 交易服務提供商提供的交易特定代碼中對要由代碼生成設備執(zhí)行的預定功能的序列進行 編碼來被實現(xiàn)���。這些預定功能中的每一個包括請求用戶指示功能相關值����。所述預定功能的一個示 例可以是請求用戶通過經(jīng)由信息獲取裝置提供值來指示例如可以是與交易相關或與用戶 身份相關的值�。預定功能的另一個示例可以是請求用戶承認顯示給用戶的消息�����,從而由用 戶指示表示該消息的值。因此����,功能相關值例如可以包括指示交易特定信息的值,例如數(shù)量�、目的地賬號 等;指示用戶特定信息的值���,例如用戶的社會安全號、電話號碼等以及用戶的PIN;指示顯 示給用戶的消息的值���,該值可以與所請求的交易類型相關����,例如跨國轉賬���、個人信息的改變寸���。在指示最終功能相關值之后�,響應代碼基于由用戶指示的功能相關值的序列來被 確定�����。這樣,響應代碼可以根據(jù)由交易服務提供商請求的安全級別來指示用戶在線狀 態(tài)�����、用戶對交易的信息的知曉、交易時間����、用戶身份等��。在認為交易風險比較低時,用戶可以被要求僅將交易特定代碼和他的PIN輸入到 代碼生成設備�,隨后代碼生成設備生成用于簽名交易的響應代碼。在該情況下,交易特定序 列由請求輸入用戶的PIN的單獨預定功能形成���,交易特定響應代碼基于交易特定代碼和由 用戶指示的PIN來被確定���。在中等級別的風險的情況下����,預定消息可以被顯示給用戶��,用戶可以被提示通過 按下在代碼生成設備上提供的鍵盤上的“0K”來確認消息的內(nèi)容,該消息可以包括他要執(zhí)行 例如資金的跨國轉賬的意圖����,然后將他的PIN輸入到代碼生成設備�����,隨后代碼生成設備基 于指示預定消息的值和用戶的PIN來生成響應代碼。最后����,在高風險的交易的情況下�,用戶可以被要求在代碼生成裝置計算指示由用 戶指示的功能相關值的序列的響應代碼之前主動將諸如目的地賬戶、貨幣、數(shù)量以及其PIN 的信息輸入到代碼生成設備中�。根據(jù)本發(fā)明,哪個功能序列應當由代碼生成設備執(zhí)行由交易服務提供商給出的交易特定代碼來確定���。這里應當注意的是,用戶不要求知道和實際上不察覺交易特定代碼表示哪個預定功能的序列�。然后用戶可以在其自己的代碼生成設備的安全環(huán)境中“不在線地”執(zhí)行簽名步驟。 這降低了用戶由于失誤而執(zhí)行他不想執(zhí)行的交易的風險����。此外,在實際上防止了所有類型 的所謂的中間人攻擊����。此外�����,指示這些簽名步驟的值被包括在產(chǎn)生的響應代碼中,從而代表用戶的非常 強的和安全的意志可以被傳達給交易服務提供商���。這給交易服務提供商提供了對交易增強 的認可(nonrepudiation)��。總的來說����,代碼生成設備對包括在交易特定代碼中的“安全級別代碼”的認知和反 應的能力使得諸如銀行的交易服務提供商能夠實施被擔保的最嚴格的安全措施��,并能夠把 被認為包括較低的風險級別的交易的用戶便利性區(qū)分優(yōu)先順序�����。有利地,交易特定代碼可以包括指示預定功能的交易特定序列的第一子代碼以及 為第一子代碼的函數(shù)的第二子代碼,處理電路還可以被配置為評估第二子代碼來驗證第一 子代碼的正確性�。因此,通過啟動預定功能的序列可以防止代碼生成設備響應于交易特定代碼的錯 誤輸入���,該錯誤輸入不對應于所請求的交易。這增加了用戶對代碼生成設備的信任���。此外�����,交易特定代碼還可以包括指示交易時的點的口令值�����。例如����,口令值可以指示 包括交易的會話�����。此外��,根據(jù)本發(fā)明的代碼生成設備可以有利地被配置為與密碼模塊進行交互���,并 利用該密碼模塊來確定上述交易特定響應代碼?����!懊艽a模塊”是適用于加密、解密或確定數(shù)據(jù)上的消息認證代碼的軟件或硬件模 塊����。密碼模塊可以實施任意的密碼算法、對稱���、非對稱或密碼哈希函數(shù)���。對稱密碼算法的示 例例如包括三重DES MAC,非對稱密碼算法的示例例如包括經(jīng)常稱為“公共密鑰基礎設施” 的秘密/公共密鑰對方法��。密碼哈希函數(shù)的示例是SHA-I�����。代碼生成設備還可以包括用于將處理電路連接到包括密碼模塊的可拆卸地排列 的電子電路的連接器���。在該實施方式中�����,與用戶相關的密碼模塊可以優(yōu)選地以可拆卸的電子電路的形式 被提供�,諸如在所謂的智能卡上的安全芯片��,代碼生成設備具有被配置為使得在包括在代 碼生成設備中的處理電路與可拆卸的電子電路之間進行通信的連接器��?�?商鎿Q地��,代碼生成設備可以包括用于與外部密碼模塊進行無線通信的無線接□����。根據(jù)另一個替換方式�,密碼模塊可以被包括在處理電路中�����。在任何情況下�����,密碼模塊包含可以被利用來對從交易服務提供商接收的加密消息 進行解密的用戶特定秘密密碼密鑰的表示�。為了進行所述加密信息的傳送,用戶和交易服務提供商應當在交易時具有已建立 的聯(lián)系���。具體地�,兩方應當優(yōu)選地具有對有關對方的密碼密鑰的接入,諸如在對稱密碼系統(tǒng) 中的共享秘密密鑰或在非對稱公共密鑰基礎設施情況中的對方的公共密鑰����。此外,代碼生成設備可以被配置為對包括在交易特定代碼中的加密交易信息進行 解密,并將解密后的交易信息通過包括在代碼生成設備中的顯示單元的裝置來顯示給用戶���。因此���,可以對用戶證實的是����,在與用戶私人密碼模塊進行交互的其自己的代碼生 成設備的安全和信任的環(huán)境中��,交易服務提供商是真實的和/或要被執(zhí)行的交易實際上是 所請求的交易�。 根據(jù)一個實施方式�,包括在代碼生成設備中的信息獲取裝置可以包括圖像獲取單 元����,包括在代碼生成設備中的處理電路還可以被配置為通過圖像獲取單元來獲取由交易服 務提供商提供的圖像�����。此外,該圖像可以對上述交易特定代碼進行編碼����。 “圖像獲取單元”可以是能夠獲取圖像信息的任何單元����,例如����,照相機模塊(包括成 像芯片和可能包括諸如透鏡的光學元件)�,或簡單的掃描儀���,諸如條形碼讀取器����。對交易特定代碼進行編碼的圖像可以被顯示在顯示設備上,或被印刷在交易文件 上��,諸如匯款命令���。使用根據(jù)本實施方式的代碼生成設備,用戶可以容易地和輕松地將可以或不可以 被加密的信息從交易服務提供商轉賬到代碼生成設備���。這使得用戶能夠在其自己的代碼生 成設備的安全環(huán)境中驗證和檢查信息�。通過獲取作為圖像的交易特定代碼���,諸如與交易相關的口令代碼����,對用戶來說對 交易進行簽名將不感到費力或繁重的����。此外�,不正確的輸入的風險實際上被消除��。因此�����,本發(fā)明使得交易服務提供商以用戶友好的方式維持高的安全級別(例如通 過交易特定代碼的擴展長度)�。另外�,所謂的肩窺(shoulder surfing)(除了用戶以外的人通過“在用戶的肩膀上 方看”來獲取交易信息)實際上被消除����,由于只有用戶能夠具有根據(jù)應用的解碼后和解密后 的圖像。根據(jù)本發(fā)明的第二方面�����,上面提到的和其它目標通過交易服務器系統(tǒng)被實現(xiàn)�,所 述交易服務器系統(tǒng)包括用于存儲用戶數(shù)據(jù)的數(shù)據(jù)庫;用于使得在網(wǎng)絡上與多個用戶通信 裝置進行通信的網(wǎng)絡接口 ��;以及用于執(zhí)行交易操作的處理電路,其中����,處理電路適用于執(zhí) 行對于所請求的交易的風險評估����;基于風險評估來確定交易特定代碼��,交易特定代碼包括 指示將要由與請求交易的用戶相關的代碼生成裝置執(zhí)行的預定功能的序列的代碼;將交 易特定代碼傳送到發(fā)出所請求的交易的用戶通信設備�,從而將代碼顯示給請求了交易的用 戶;接收由代碼生成設備生成的響應代碼;評估響應代碼��;以及如果響應代碼是有效的,則 執(zhí)行所請求的交易���。用戶數(shù)據(jù)例如可以包括用戶ID、用于創(chuàng)建用戶特定密碼密鑰和用戶賬戶信息的種 子(通常被稱為“卡多樣化種子(card diversification seed)”)��。本發(fā)明的第二方面的效果和特征與上面結合第一實施方式所描述的非常相似。根據(jù)本發(fā)明的代碼生成設備和交易服務器系統(tǒng)還包括在安全交易系統(tǒng)中����,所述代 碼生成設備和交易服務器系統(tǒng)還包括與交易服務器系統(tǒng)有關的用戶通信設備。用戶通信設備可以被配置為將圖像顯示給用戶并從用戶接收交易相關輸入。根據(jù)一個實施方式,用戶通信設備可以是個人計算機�����。這對于在線銀行系統(tǒng)是典型的情況�����,即用戶處理其賬戶并執(zhí)行交易�,例如在網(wǎng)絡 上支付賬單。
根據(jù)另一個實施方式�����,用戶通信設備可以是移動電話或個人數(shù)字助理�����。根據(jù)另一個實施方式,用戶通信設備可以是自動取款機(ATM)���。根據(jù)本發(fā)明的第三方面���,上述和其它目標可以通過用于進行在交易服務提供商與具有代碼生成設備的用戶之間的安全交互的方法來被實現(xiàn)�,代碼生成設備包括信息獲取 裝置以及處理電路���,該方法包括以下步驟經(jīng)由信息獲取裝置接收由交易服務提供商生成 的交易特定代碼;評估交易特定代碼��;基于交易特定代碼的評估來執(zhí)行預定功能的交易特 定序列�,每個預定功能包括提示用戶指示各自的功能相關值����,產(chǎn)生了由用戶指示的功能相 關值的序列�����;以及基于功能相關值的序列來確定交易特定響應代碼�����,從而進行交易的安全 認證����。本發(fā)明的第三方面的效果和特征與結合第三實施方式所描述的非常相似。此外�,上述和其它目標通過被配置成當在根據(jù)本發(fā)明的包括在代碼生成設備中的 處理電路上運行時執(zhí)行根據(jù)本發(fā)明的方法的步驟的計算機程序模塊來被實現(xiàn)。
本發(fā)明的這些以及其它方面現(xiàn)在將參考示出了本發(fā)明的當前優(yōu)選實施方式的附 圖來詳細描述���,其中圖1示意性地示出了根據(jù)本發(fā)明的安全交易系統(tǒng)�;圖2是當執(zhí)行交易時在用戶與交易服務提供商之間以及在用戶與根據(jù)本發(fā)明的 代碼生成設備之間的信息交換的示意性示圖;圖3是示意性地示出了由圖1中的交易服務器系統(tǒng)執(zhí)行的交易認證方法的流程 圖;圖4是示意性地示出了根據(jù)本發(fā)明的方法的一個實施方式及其與圖3中的交易認 證方法的關系的流程圖��;圖5是從前面和側面來看的根據(jù)本發(fā)明的一個實施方式的代碼生成設備的示意 性平面圖�����;圖6是圖5中的代碼生成設備的示意性框圖�����;圖7是用圖像獲取單元顯示給具有代碼生成設備的用戶的示例性顯示圖像的示 意性示圖��;圖8是示意性地示出了響應于圖7中的顯示圖像而執(zhí)行的根據(jù)本發(fā)明的方法的一 個實施方式的流程圖���;以及圖9是示意性地示出了響應于圖7中的顯示圖像而執(zhí)行的根據(jù)本發(fā)明的方法的另 一個實施方式的流程圖�����。
具體實施例方式在下面的描述中�,參考安全交易系統(tǒng)來描述本發(fā)明�,在該安全交易系統(tǒng)中��,每個用 戶通過網(wǎng)絡連接的個人計算機與交易服務器系統(tǒng)安全連接。此外,代碼生成設備安裝有顯 示器和鍵盤�����。應當注意����,這決不限制本發(fā)明的范圍�,本發(fā)明同樣可應用于安全交易系統(tǒng)�,在安全 交易系統(tǒng)中,用戶通過諸如移動電話或自動取款機(ATM)的其它類型的用戶通信設備而被連接到交易服務提供商�,或者在安全交易系統(tǒng)中不同的用戶使用不同種類的用戶通信設 備�����。 另外�,代碼生成設備可以具有除了鍵盤之外的任意其它種類的用戶輸入裝置�����,例 如觸摸顯示器�、所謂的點擊式轉輪等。圖1示意性地示出了安全交易系統(tǒng)1��,其中多個用戶2a_c中的每一個與交易服務 提供商進行通信,這里通過在諸如互聯(lián)網(wǎng)的網(wǎng)絡5上安全地連接到交易服務器系統(tǒng)3的用 戶各自的個人計算機4a_c而由交易服務器系統(tǒng)3來實現(xiàn)��。每個用戶2a_c具有其個人的代 碼生成設備6a_c���。交易服務器系統(tǒng)3包括用于存儲用戶數(shù)據(jù)的數(shù)據(jù)庫7����,用戶數(shù)據(jù)例如是對于每個 用戶的用戶ID�、用于創(chuàng)建用戶特定密碼密鑰和賬戶信息的種子���。數(shù)據(jù)庫7在這里被示出 為交易服務器中的計算機存儲器,可以被內(nèi)在地安裝到交易服務器或者可以位于(可能是 遠程地位于)可以被配置為與一個或多個交易服務器對存儲在數(shù)據(jù)庫中的數(shù)據(jù)進行通信 的單獨的設備中����。交易服務器系統(tǒng)3還包括處理電路8以及網(wǎng)絡接口 9�,處理電路8被配 置為與數(shù)據(jù)庫7進行通信�����,交易服務器系統(tǒng)3通過網(wǎng)絡接口 9在網(wǎng)絡5上與用戶通信設備 4a-c進行通信�����。處理電路8還包括密碼模塊��,在下文中該密碼模塊通常被稱為主機安全模 塊(HSM)?��,F(xiàn)在將參考圖2來描述在交易期間發(fā)生的在用戶(比如圖1中的用戶2b)與交易 服務提供商3之間以及在用戶2b與其代碼生成設備6b之間的信息交換。在圖2中����,涉及在各方2b����、3����、6b之間的信息流動的事件由箭頭示出,其中事件在圖 2中從頂部到底部順序地發(fā)生����。在示例性交易中的第一個事件是交易請求從用戶2b (經(jīng)由其用戶通信設備4b)傳 送到交易服務提供商3����。該事件由在圖2中的從左邊延伸到右邊的頂部箭頭20表示�����。響應于交易請求20��,交易服務提供商將交易特定代碼傳送到用戶2b����,如從右邊延 伸到左邊的箭頭21所示。該交易特定代碼被提供到與用戶2b相關的代碼生成設備6b,如 箭頭22所示��。代碼生成設備隨后執(zhí)行由交易特定代碼確定的預定功能的序列��。每個功能 包括提示用戶2b來指示進入代碼生成設備6b的功能相關值���。在用戶2b與其代碼生成設 備6b之間的這兩種方式交換由圖2中的箭頭23表示�。在最后輸入功能相關值的序列之后���,代碼生成設備6b將響應代碼提供給用戶2b����。 這由圖2中的下一個箭頭24所示。該響應代碼之后由用戶2b經(jīng)由其用戶通信設備4b傳送到交易服務提供商3����,如圖 2中的最后的箭頭25所示���。如圖2中所示���,“未連接的”或“不在線的”簽名程序被執(zhí)行����,其中用戶2b與其代碼 生成設備6b進行交互�。該未連接的簽名程序由交易服務提供商3通過從交易服務提供商 3傳送到用戶2b (箭頭21)的交易特定代碼來確定。示意性地在圖2中示出的交易程序以及尤其是未連接的簽名程序現(xiàn)在將進一步 參考圖3和4中的流程圖被闡述。圖3中的流程圖示意性地示出了根據(jù)本發(fā)明的實施方式的由交易服務器系統(tǒng)執(zhí) 行的程序���,而圖4中的流程圖示意性地示出了在“高風險”交易的情況下根據(jù)本發(fā)明的實施 方式的由代碼生成設備執(zhí)行的程序�。
首先參考圖3,交易請求在第一個步驟301中從用戶通信設備(例如圖1中的4b) 而被接收��。在隨后的步驟302中,交易服務器系統(tǒng)基于交易請求執(zhí)行風險評估���。風險評估 可以基于諸如所請求的交易的種類���、請求交易的用戶的狀態(tài)���、交易的起始地址(例如IP號 碼)���、交易的目的地(如果交易涉及資金轉賬)、類似交易的歷史記錄等的因素或所述因素 的結合��?���;谠诓襟E302中執(zhí)行的風險評估的結果,交易服務器系統(tǒng)3在下面的步驟303 中生成交易特定代碼并將交易特定代碼傳送到用戶通信設備4b�����。交易特定代碼包括指示要 由與用戶2b相關的代碼生成設備6b執(zhí)行的預定功能的序列的代碼�,交易請求從用戶2b發(fā) 起���。所屬代碼和相關預定功能的示例在下面表1中被提供����。應當注意���,這些代碼和功 能僅為了示例目的而被提供���,決不應被理解為限制本發(fā)明的范圍���。表 1 現(xiàn)在假設在步驟302中執(zhí)行的風險評估指示所請求的交易是高風險交易��,使得交 付服務提供商3要求用戶主動確認目的地賬戶以及將要轉賬給該賬戶的貨幣和數(shù)量���。參考表1中提供的示例性功能以及其相關代碼��,用戶2b之后將由交易服務提供商 3指示來在其代碼生成設備6b中輸入交易特定代碼‘043’����。這里,在代碼中的第一個數(shù)字 ‘0’表示代碼生成設備6b的動態(tài)安全性功能應當被調用。第二個和第三個數(shù)字‘43’指示 預定功能‘4’ (目的地賬戶)和‘3’(貨幣和數(shù)量)應當由代碼生成設備6b順序地執(zhí)行�。目前暫時離開圖3����,現(xiàn)在將參考圖4詳細描述由代碼生成設備6b響應于交易特定 代碼‘043’而執(zhí)行的程序��。如圖4中所示�,代碼生成設備6b在第一個步驟401中接收交易特定代碼‘043’�����。 代碼生成設備6b之后逐位地順序地評估代碼�,并首先進入由第一個數(shù)字‘0’編碼的“動態(tài)” 模式���。代碼生成設備6b之后繼續(xù)對交易特定代碼的剩余部分進行解碼�����,并在步驟402中執(zhí) 行請求用戶輸入目的地賬號的第一個功能(‘4’)���。在用戶2b輸入目的地賬號之后,該值 被存儲在簽名緩沖器49中的預定位置��。隨后����,在步驟403��,執(zhí)行請求用戶2b輸入將要轉賬 的貨幣和數(shù)量的第二個功能(‘3’)。指示由用戶2b輸入到代碼生成設備6b的貨幣和數(shù) 量的值被存儲在簽名緩沖器49中相應的預定位置��。在下一個步驟404中,代碼生成設備6b請求用戶輸入其PIN來證明用戶存在并驗 證 PIN�。當由交易服務提供商3請求的全部功能序列被執(zhí)行,以及相應的用戶輸入的值的 相應序列被存儲在簽名緩沖器49中時��,在下面的步驟405中,簽名緩沖器49的內(nèi)容由代碼 生成設備6b簽名。該簽名一般利用密碼模塊來進行���,該密碼模塊例如可以被安裝在代碼生 成設備6b本身中�����,或者安裝在智能卡上,代碼生成設備6b被配置為與所述智能卡交互�。最后,在步驟406中����,響應代碼被顯示給用戶2b,用戶2b之后可以經(jīng)由其用戶通信 設備4b來將響應代碼傳送給交易服務器系統(tǒng)?����,F(xiàn)在已經(jīng)結束了對應于圖2中的箭頭22���、23和24的在代碼生成設備中執(zhí)行的程 序,現(xiàn)在將繼續(xù)參考圖3來描述由交易服務器系統(tǒng)3執(zhí)行的剩余步驟�����。如圖3中所示��,在步驟304中,交易服務器系統(tǒng)3接收代碼生成設備6b生成的響 應代碼�����。在隨后的步驟305中�����,評估響應代碼。如果在步驟305中執(zhí)行的評估指示響應代碼是對交易特定代碼的有效響應�����,則交 易在步驟306中被執(zhí)行,以及���,如果響應代碼是無效的����,則交易在步驟307中被拒絕����。包括圖像獲取單元的代碼生成設備6a-C的實施方式現(xiàn)在將參考圖5和6更加詳 細地被描述���。圖5示出了從前面和側面的根據(jù)本發(fā)明的代碼生成設備的一個實施方式的平面 圖,其中��,代碼生成設備6a_c裝備有顯示器50、鍵盤51�、照相機52��、以及用于容納智能卡54 形式的可拆卸的密碼模塊的插槽53���。圖6是示意性地示出了圖5中的代碼生成設備6a_c的功能配置的框圖���,其中�,微 處理器60連接到鍵盤51、顯示器50以及照相機模塊52���,該照相機模塊52包括透鏡61以 及諸如CMOS傳感器或CCD傳感器的固態(tài)圖像傳感器62����。照相機模塊52和微處理器60被 連接到2D條形碼解碼器63以對在通過照相機模塊52獲取的2D條形碼64中編碼的數(shù)據(jù)進行快速解碼���。當智能卡54被插入到插槽53中時(見圖5)�����,微處理器也連接到密碼模塊65�����,該 密碼模塊65被包括在智能卡54上的安全芯片中����。下面�����,根據(jù)本發(fā)明的方法的各種實施方式將參考圖7-9被描述�。圖7示意性地示出了在圖1的安全交易系統(tǒng)1中在用戶請求賬戶之間的金錢轉賬 之后呈現(xiàn)給用戶2b的顯示圖像70的示例。如圖7中所示����,用戶2b在適當?shù)目?1-73中輸入了來源賬號8143697206、目的地 賬號5264992738以及要轉賬的100006的數(shù)量���。屏幕圖像70還包括交易服務器系統(tǒng)3基 于在輸入框71-73中所輸入的交易信息而生成的2D條形碼74,以及用于輸入響應代碼的文 本框75�,從而用戶2b為所請求的資金轉賬而進行簽名。響應于圖7中的顯示圖像而執(zhí)行的根據(jù)本發(fā)明的方法的實施方式將參考圖8被描 述。如圖8中所示����,在第一個步驟801中圖像被獲取并被解碼��。該圖像(在這種情況 下是2D條形碼74)使用代碼生成設備6b的照相機模塊52被獲取�。圖像獲取由微控制器 60來控制�,并一般由來自用戶2b的動作來啟動���,諸如鍵盤51上的一個鍵的觸發(fā),或者通過 專用于操作照相機模塊52的用戶輸入設備(未示出)來啟動。2D條形碼74的解碼可以通過微處理器60�����、通過照相機模塊52或者通過專用解碼 器63來被執(zhí)行�����。2D條形碼73對交易特定代碼進行編碼,交易特定代碼在本示例中包括加密的交 易信息��。在獲取和解碼(步驟801)圖像之后���,在步驟802中����,加密的交易特定代碼使用用 戶2b的密碼模塊65被解密���,解密后的交易信息通過代碼生成設備6b的顯示器50而被顯 示給用戶2b��。因此�,用戶2b可以在其代碼生成設備6b的安全環(huán)境中與由智能卡54帶有的 其個人密碼模塊進行合作���,來驗證交易信息(來源賬戶����、目的地賬戶以及將要轉賬的數(shù)量) 是正確的��。當顯示交易信息時�����,代碼生成設備6b還請求用戶2b輸入PIN來承認他接受所 顯示的信息�。在接收和驗證由用戶2b提供的PIN之后,響應代碼在步驟803中被生成���。響應代碼優(yōu)選地包括指示交易信息��、用戶ID����、用戶2b已經(jīng)查看和承認代碼生成設 備6b中的交易信息的信息���。在步驟804中����,所生成的響應代碼通過顯示器50被顯示給用戶2b���,從而用戶2b可 以在適當?shù)奈谋究?5中輸入響應代碼。響應于圖7中的顯示圖像而執(zhí)行的根據(jù)本發(fā)明的方法的另一個實施方式現(xiàn)在將 參考圖9被描述����。參考圖9描述的方法不同于根據(jù)圖8的方法之處在于由所顯示的2D條形碼74編 碼的交易特定代碼包括指示在響應代碼被生成之前由代碼生成設備6b執(zhí)行的功能的序列 的代碼��。在之前描述的圖像的獲取和編碼(步驟801)之后��,由2D條形碼74編碼的代碼由 代碼生成設備6b來評估以確定對于該特定交易交易服務提供商需要哪個功能序列���。圖9中的流程圖示出了當交易風險被認為很高的情況���,交易服務提供商從而將圖 像74傳送到對交易特定代碼進行編碼的用戶通信設備4b,該交易特定代碼包括指示為交易提供高的安全級別和認可的預定功能序列的代碼��。在本示例中��,在步驟901中,用戶2b被請求輸入對于金錢轉賬的目的地賬戶�。之 后����,在步驟902中��,用戶2b被請求輸入要轉賬的數(shù)量����,以及在步驟903中�,他被請求通過輸 入指示所顯示的貨幣列表中的一個的數(shù)字來選擇貨幣列表中的一種��。通過輸入目的地賬戶���、用于所請求的轉賬的數(shù)量和貨幣�,用戶2b積極地表達了執(zhí) 行轉賬的意愿的行為。為了確保正確的用戶2b擁有代碼生成設備6b以及回答提出的問題, 在步驟904中��,諸如用戶電話號碼�、生日、設備安全號碼等的另外的個人信息被請求。在步驟901-904中輸入交易特定和用戶特定信息之后���,在步驟905中��,用戶被請求 通過輸入其PIN來最后認證之前在代碼生成設備6b中輸入的信息�����。之后���,在上面所述的認證序列期間����,基于由用戶2b輸入的用戶輸入值的序列來生 成結合圖8所述的生成的響應代碼��。最后,在步驟804中響應代碼被顯示給用戶�,使得用戶2b可以在適當?shù)奈谋究?5 中輸入響應代碼從而認證交易。響應代碼中包括�����,交易服務提供商將能夠以高的安全級別驗證被簽名的內(nèi)容�����、誰 進行的簽名以及代表用戶的行為意愿的非常強的指示���。本領域技術人員理解到��,本發(fā)明決不局限于上面所述的優(yōu)選實施方式���。例如�,在代 碼生成設備中生成的響應代碼不需要被顯示給用戶,而是可以從代碼生成設備直接提供給 用戶通信設備或交易服務系統(tǒng)。此外����,每個功能的編碼以及由用戶請求的功能相關值的指 示將取決于特定實施和誰將使用該技術、銀行��、證券經(jīng)紀人等�。此外,應當理解�����,諸如PIN的 用戶輸入值或它的表示或指示可以被用于確定交易特定響應代碼�。
權利要求
一種用于在用戶(2a-c)與交易服務提供商(3)之間進行具有動態(tài)安全性的交易的代碼生成設備(6a-c)�����,該代碼生成設備(6a-c)包括信息獲取裝置(51、52)����;以及處理電路(60)����,該處理電路(60)被配置為經(jīng)由所述信息獲取裝置(51����、52)來接收由所述交易服務提供商(3)生成的交易特定代碼�����;評估所述交易特定代碼�����;基于對所述交易特定代碼的評估來執(zhí)行預定功能的交易特定序列����,每個所述預定功能包括提示所述用戶(2a-c)指示各自的功能相關值�,產(chǎn)生由所述用戶指示的功能相關值的序列����;以及基于所述功能相關值的序列來確定交易特定響應代碼����,從而進行對所述交易的安全認證。
2.根據(jù)權利要求1所述的代碼生成設備(6a_c)��,其中所述交易特定代碼包括第一子代碼和第二子代碼,所述第一子代碼指示所述預定功能 的交易特定序列���,所述第二子代碼為所述第一子代碼的函數(shù)�;以及所述處理電路(60)還被配置為評估所述第二子代碼從而來驗證所述第一子代碼的正 確性。
3.根據(jù)權利要求1或2所述的代碼生成設備(6a-c)��,其中所述處理電路(60)進一步 被配置為與密碼模塊(65)進行交互,以及利用所述密碼模塊(65)來確定所述交易特定響 應代碼��。
4.根據(jù)前述權利要求中的任一權利要求所述的代碼生成設備(6a-c)����,其中所述功能 相關值的序列包括所述用戶的PIN。
5.根據(jù)前述權利要求中的任一權利要求所述的代碼生成設備(6a_c)����,其中所述功能 相關值的序列包括指示預定消息的用戶核準的值����。
6.根據(jù)前述權利要求中的任一權利要求所述的代碼生成設備(6a_c),其中所述功能 相關值的序列還包括由所述用戶(2a_c)輸入到所述代碼生成設備(6a_c)中的至少一個交 易相關值。
7.根據(jù)權利要求1或2所述的代碼生成設備(6a_c)�����,該代碼生成設備(6a_c)包括 用戶輸入裝置(51����、52);以及處理電路(60)��,該處理電路被配置為與密碼模塊(65)進行交互��, 其中所述處理電路(60)還適用于經(jīng)由所述用戶輸入裝置(51�、52)來接收由所述交易服務提供商(3)生成的交易特定代碼;評估所述交易特定代碼�����;基于對所述交易特定代碼的評估來執(zhí)行預定功能的交易特定序列,所述預定功能包括請求所述用戶經(jīng)由所述用戶輸入裝置(51����、52)指示至少一個功能相關值�����;以及 請求所述用戶輸PIN;以及利用所述密碼模塊(65)來基于所述功能相關值和所述PIN確定交易特定響應代碼。
8.根據(jù)前述權利要求中的任一權利要求所述的代碼生成設備(6a_c)����,其中 所述信息獲取裝置包括圖像獲取單元(52)���;以及所述處理電路(60)還被配置為通過所述圖像獲取單元(52)來獲取由所述交易服務提 供商(3)提供的圖像(74),該圖像(74)對所述交易特定代碼進行編碼�����。
9.根據(jù)權利要求8所述的代碼生成設備(6a-c),其中所述圖像包括條形碼(74)�����。
10.根據(jù)前述權利要求中的任一權利要求所述的代碼生成設備(6a-c),該代碼生成設 備(6a_c)還被配置為對包括在所述交易特定代碼中的加密后的交易信息進行解密�;以及 通過包括在所述代碼生成設備(6a_c)中的顯示單元(50)來將解密后的交易信息顯示 給所述用戶���。
11.根據(jù)前述權利要求中的任一權利要求所述的代碼生成設備(6a_c)�����,該代碼生成 設備(6a_c)還包括連接器����,該連接器用于將所述處理電路(60)連接到包括所述密碼模塊 (65)的可拆卸地排列的電子電路��。
12.根據(jù)權利要求1-10中的任一權利要求所述的代碼生成設備(6a-c)��,其中所述密碼 模塊(65)被包括在所述處理電路(60)中。
13.一種交易服務器系統(tǒng)(3)��,該交易服務器系統(tǒng)(3)包括 用于存儲用戶數(shù)據(jù)的數(shù)據(jù)庫(7)�����;用于在網(wǎng)絡(5)上與多個用戶通信設備(4a-c)進行通信的網(wǎng)絡接口(9);以及 處理電路(8)���,用于執(zhí)行交易操作,其中所述處理電路(8)適用于 執(zhí)行對于所請求的交易的風險評估����;基于所述風險評估來確定交易特定代碼�,該交易特定代碼包括指示將要由與請求了所 述交易的用戶相關的代碼生成設備執(zhí)行的預定功能的序列的代碼����;將所述交易特定代碼傳送到發(fā)起所述交易請求的所述用戶通信設備(4a_c)中的一 者,從而將所述代碼顯示給已請求所述交易的用戶(2a_c)���; 接收由所述代碼生成設備(6a_c)生成的響應代碼�; 評估所述響應代碼���;以及如果所述響應代碼是有效的�,則執(zhí)行所請求的交易���。
14.根據(jù)權利要求13所述的交易服務器系統(tǒng)(3)��,其中所述處理電路(8)被配置為將 所述交易特定代碼編碼為用于由所述用戶通信設備(4a_c)顯示的圖像�����。
15.根據(jù)權利要求14所述的交易服務器系統(tǒng)(3),其中所述圖像數(shù)據(jù)對應于條形碼�����。
16.一種安全交易系統(tǒng)(1),該安全交易系統(tǒng)(1)包括根據(jù)權利要求1-12中的任一權利要求所述的代碼生成設備(6a-c); 根據(jù)權利要求13-15中的任一權利要求所述的交易服務器系統(tǒng)(3)�����;以及 與所述交易服務器系統(tǒng)(3)連接的用戶通信設備(4a_c)�����,該用戶通信設備(4a_c)被配 置為將數(shù)據(jù)顯示給用戶(2a_c)并從所述用戶接收交易相關輸入。
17.根據(jù)權利要求16所述的安全交易系統(tǒng)(1)��,其中所述用戶通信設備(4a-c)是個人 計算機���。
18.根據(jù)權利要求16所述的安全交易系統(tǒng)(1),其中所述用戶通信設備(4a-c)是移動 電話。
19.根據(jù)權利要求16所述的安全交易系統(tǒng)(1)��,其中所述用戶通信設備(4a-c)是自動 取款機�。
20.一種用于在交易服務提供商(3)與具有代碼生成設備(6a_c)的用戶(2a_c)之間 進行安全交互的方法����,所述代碼生成設備包括信息獲取裝置(51、52);以及處理電路(60)����,所述方法包括以下步驟經(jīng)由所述信息獲取裝置(51����、52)來接收(401)由所述交易服務提供商(3)生成的交易 特定代碼����;評估所述交易特定代碼��;基于所述交易特定代碼的評估來執(zhí)行(402-404)預定功能的交易特定序列,每個所述 預定功能包括提示所述用戶(2a_c)指示各自的功能相關值���,產(chǎn)生由所述用戶指示的功能 相關值的序列����;以及基于所述功能相關值的序列來確定響應代碼��,從而進行對所述交易的安全認證���。
21.一種被配置為在處理電路(60)上運行時執(zhí)行根據(jù)權利要求20的方法的步驟的計 算機程序模塊�,所述處理電路(60)包括在根據(jù)權利要求1-12中的任一權利要求所述的代 碼生成設備(6a-c)中���。
全文摘要
提出了一種用于在用戶(2a-c)與交易服務提供商(3)之間進行具有動態(tài)安全性的交易的代碼生成設備(6a-c)�����。該代碼生成設備(6a-c)包括信息獲取裝置(51�����、52)���;以及處理電路(60)。該處理電路(60)被配置為經(jīng)由信息獲取裝置(51����、52)接收由所述交易服務提供商(3)生成的交易特定代碼�����;評估所述交易特定代碼���;基于交易特定代碼的評估來執(zhí)行預定功能的交易特定序列���,每個預定功能包括提示用戶(2a-c)指示各自的功能相關值��,產(chǎn)生了由用戶指示的功能相關值的序列;以及基于功能相關值的序列來確定交易特定響應代碼���,從而進行所述交易的安全認證。
文檔編號G06Q20/00GK101842795SQ200880107463
公開日2010年9月22日 申請日期2008年9月19日 優(yōu)先權日2007年9月20日
發(fā)明者P·格爾伯格 申請人:陶多斯數(shù)據(jù)系統(tǒng)股份公司