利用可视加密的安全数据输入对话的制作方法

专利名称：利用可视加密的安全数据输入对话的制作方法
技术领域：
本发明涉及安全接收用户消息的方法、安全传送所述消息的方法和客户设备。
可视加密(M.Naor，A.ShamirVisual Cryptology，Eurocrypt′94，Springer-Verlag LNCS Vol.950，Springer-Verlag，1995，pp1-12)可简介如下。将图像分成两个随机化部分加了随机信息的图像和随机信息本身。因为随机化，任一部分均不包含有关原始图像的信息。但是，当两个部分物理上重叠在一起时，可重建原始图像。示例可参见

图1原始图像100分成部分110和120，这两部分重叠时得到重建的图像130。
如果这两个部分彼此不匹配，则不会揭示有关原始图像的任何信息，并产生随机化图像。因此，如果双方想采用可视加密进行通信，则他们必须共享随机信息。一种基本实现可以是给接收方包含随机信息的透明画片。发送方随后利用该随机信息来将原始图像随机化。
可视加密的基本属性为，图像重建(或解密)是通过人眼(模式识别)而非可泄密设备来直接完成的。这就可利用可视加密来更安全地传送秘密信息。但是，使用透明画片不太实际。一方面，接收方所用的透明画片上的图案是固定的，因此每条消息必定需要一幅新的透明画片。如果重用相同的透明画片，就大大降低了系统的安全性。这种系统的安全性可与经典的一次填充(one-time pad)的安全性相比较。
本发明的目的是提供一种安全接收消息的方法。
此目的是根据本发明用一种方法来实现的，所述方法包括如下步骤生成表示多个输入部件的图像，每个输入部件表示可用于所述消息中的输入符号；通过如下方式将所述图像编码对于所述图像中的每个像素，如果所述像素属于第一种颜色且部分密钥序列表示第一值，或者如果所述像素属于第二种颜色且所述部分表示第二值，则选择第一图案，以及如果所述像素属于所述第二种颜色且所述部分表示所述第一值，或者如果所述像素属于所述第一种颜色且所述部分表示所述第二值，则选择第二图案；针对每个像素将所选择的相关图案发送到用户可操作的设备；从该设备接收一组坐标；将该坐标组转换成所述图像上显示的特定输入部件；以及将来自用户的消息构造为所述特定输入部件所表示的输入符号。
最好是，所述第一种颜色为黑色，所述第二种颜色为白色，所述第一值为‘0’，以及所述第二值为‘1’。图像是根据客户设备中有关密钥序列的知识用特定形式的可视加密来编码的。只有选定的图案被发送到客户设备。这样，只有具有该特定密钥序列的客户设备可以生成用于重建原始图像的图案。
在收到图案之后，客户设备重建图像，以便用户可以看见图像上放置的输入部件。他随后可以操作这些输入部件并选择一些特定的输入部件，例如通过控制光标或其他输入设备来选择第一显示屏上的特定点。随后传回这些坐标。于是可以通过将收到的坐标转换成原始图像上显示的特定输入部件并将那些输入部件所表示的输入字理解为消息而重建消息。
在一个实施例中，消息包含认证码。根据本发明的方法尤其适用于对用户进行认证。认证通常包括通过可能泄密的信道从用户向服务器发送密码以及使用需要确信不会记录密码的输入设备。利用根据本发明的方法，密码根本不通过任何信道传输，而且可泄密的输入设备无法得知密码。
在一个实施例中，以随机方式选择输入部件在图像上的放置位置。可能的是，攻击者在用户选择要在图像中显示的特定输入部件时对其进行观察。此外，如果输入部件总是位于图像的相同位置上，则每次坐标组将是相同的。通过每次生成图像时使放置位置随机化，攻击者观察到的资料就毫无用处，因为他随后无法重用这些观察资料来冒充用户。
本发明的另一目的是提供一种安全传送消息的方法。
此目的是通过根据本发明的一种方法来实现的，这种方法包括如下步骤从发送设备接收图案，将该图案的图形表示输出到第一显示屏上，如果部分密钥序列表示第一值就将第一图案的图形表示输出到第二显示屏上，以及如果所述部分表示第二值就将第二图案的图形表示输出到第二显示屏上，从用户接收表示一组坐标的输入，并将该坐标组发送到所述发送设备。
如上所述，采用特定形式的可视加密来将表示多个输入部件的图像编码并且向客户设备发送一组相应得到的图案。接收图案显示于第一显示屏上。注意，在进行任何显示之前，设备不必执行任何处理或解密步骤；接收图案按接收原样显示。在第二显示屏上显示另一图案，此图案完全是基于密钥序列生成的。通过以正确对齐的方式将第一和第二显示屏叠加来完成图像重建，以便用户可以看见重建图像。
这样，输入部件就会显现，用户就可以指出他想要选择的输入部件的坐标，例如通过控制光标或其他输入设备来选择第一显示屏上的特定点。这些坐标随后传回到发送设备，以便在发送设备中可通过将接收的坐标转换成原始图像上显示的特定输入部件并提取这些输入部件所表示的输入字而重建消息。完整的重建图像决不可以电子形式获得；仅仅是用户可以查看它。
在一个实施例中，输入是作为第一显示屏的特定点上的压力来接收的，所述坐标组对应于特定点。使用触摸屏是选择显示屏上输入部件的一种非常容易的方法。此外，不必在第一或第二显示屏上显示光标或其他指示，所述光标可能干扰图案的显示。
本发明的又一目的是提供一种允许安全传送消息的客户设备。
此目的是根据本发明的一种客户设备来实现的，这种客户设备包括用于从发送设备接收图案的接收装置；用于存储密钥序列的存储器；用于输出所述图案的图形表示的第一显示屏；适合重叠在第一显示屏上的第二显示屏，第二显示屏用于在部分所述密钥序列表示第一值时输出第一图案的图形表示以及在所述部分表示第二值时输出第二图案的图形表示；用于从用户接收表示一组坐标的输入的输入装置；以及用于将所述坐标组发送到所述发送设备的发送装置。
在一个实施例中，第二显示屏实现为物理上与第一显示屏分离且配备了用于存储密钥序列的存储器的单元。第一和第二显示屏之间或它们所嵌入的设备之间不应存在任何电通信路径、光通信路径或其他通信路径。由于图案和密钥序列是以数字(电子)形式提供的，任何这样的通信路径可能被攻击者滥用于获取图案和/或密钥序列。这样就取得了如下效果用户不必信任客户设备的安全性，而是只需信任该分离单元。
本发明还涉及用于使处理器执行根据本发明的方法的计算机程序产品。
本发明的这些和其他方面可参照附图所示的实施例予以揭示和阐明，附图中图1显示了一幅原始图像、以可视方式对原始图像加密而获得的两个部分以及通过将该两部分叠加而获得的重建图像；图2说明在以上引用的论文中由Naor和Shamir设计的可视加密过程；图3示意性地显示了包括服务器和几个客户设备的系统；图4给出了说明安全接收用户消息的方法实施例的流程图；以及屠5A-C示意性地展示了客户设备的操作。
在这些附图中，同样的标记指示类似或对应的特征。附图中表示的一些特征通常用软件来实现，因此表示软件实体，如软件模块或对象。
图1显示了原始图像100、两部分110、120和重建图像130。部分110、120是对原始图像100应用可视加密得到的。可参照图2更详细地解释可视加密。通过将部分110、120相叠加，就显现图像130。注意，重建并不完美；原始图像100的白色部分变成了重建图像130中随机化的黑色和白色图案。
图2说明在以上引用的论文中由Naor和Shamir设计的可视加密过程。这里对该过程的说明是就单一像素来进行的，但显然可以这种方式对源图像中的每个像素予以处理。
将原始图像100的每个像素映射为特定图案，在本实施例中是通过将每个像素分成四个子像素来实现的。为了生成该像素的第一部分S1，选择四个子像素中的两个子像素为黑色(不透明)而其余两个子像素为白色(透明)。为了生成该像素的另一部分S2，如果原始图像中的对应像素为白色，则拷贝所述四个子像素，而如果原始像素为黑色，则将其反色。对于每个像素，需要重新随机选择四个子像素中哪两个子像素为黑色(不透明)。可任意选择将像素分解成几个子像素。
这样，就可以形成两个子像素集。这两个集合构成了所述两个部分。这两个部分中任一部分都没有提供有关原始像素颜色的任何信息。在所有情况中，选定用以表示原始像素的所述两个部分中任一部分的四个子像素的两个子像素为黑色，而其余两个为白色。此外，黑与白的所有可能的组合出现的可能性相同，因为随机选择的概率为p＝0.5，且与每个像素无关。
为了重建原始图像，两个部分S1和S2要叠加，即彼此重叠。对此可参见图2的最后一列(R)。如果原始像素(P2)为黑色，则部分S1和S2的子像素的重叠将得到四个黑色子像素。如果原始像素为白色(P1)，则部分S1和S2的子像素的叠加将在重建图像130中产生黑白图案，重建图像130从远处看起来常常是灰色的。还应注意，重建图像130的分辨率比原始图像100的分辨率低四倍，这是因为每个像素已转换成2×2像素的图案。这使得重建图像130的大小是原始图像100的四倍。
如果两个部分不匹配，则不会显示任何原始图像信息，从而得到随机化图像。不知道这两个部分，一组子像素对应于原始图像100中的白色像素的概率等于该组子像素对应于原始图像100中的黑色像素的概率。
图3示意性地显示了包括服务器300和几个客户设备301、302、303的根据本发明的系统。虽然客户设备301-303在这里具体为膝上型计算机301、掌上型计算机302和移动电话303，但它们实际上可以实现为任何一种设备，只要该设备可与服务器300进行交互式通信并可以在显示屏上再现图形图像。通信可以有线方式进行，例如与膝上型计算机301的情形一样，或者以无线方式进行，例如与掌上型计算机302和移动电话303的情形一样。诸如因特网或电话网之类的网络可以将服务器300和客户设备301-303中的任何一个互连起来。
为了实现服务器300和客户设备301-303之间的安全通信，服务器300生成表示多个输入部件321的图像320，多个输入部件321这里显示为标记为“1”至“9”的数字键。除了按键，输入部件321还可以是复选框、选择列表、滑动条或用户界面中通常采用的用以方便用户输入的其他部件。在其客户设备301-303上接收图像之后，用户可选择一个或多个输入部件321。选择结果随后传回到服务器300。图像320将在发送之前利用可视加密予以编码，对此下面将予以阐明。
图3中还显示了个人解码设备310。此设备310是用户个人使用的，由于它用于对服务器300发往任一客户设备301-303的经可视编码的消息解密，所以应加以妥善保管。获得对解密设备310的物理控制的任何人可以读取以所述用户为目的端的所有经可视加密的消息。下面将阐明设备310的工作机制。
解密设备310包括显示屏311和存储区312。显示屏311最好实现为液晶显示屏(LCD)。存储区312包括至少一个用于对可视加密的图像解密的密钥序列。该密钥序列最好实现为比特序列，如‘011010111010’。存储区312中所保存的密钥序列的长度应该足够长，以便适应大量的解密操作。在对可视解密的图像解密时，一个比特必需对应于原始输入图像的每个像素。因此，如果要对100×100像素的图像解密，则每幅图像必定需要10000个比特。
而且，在每次解密操作之后，最好丢弃所用的密钥比特或将其标记为已用过。这样，每次解密操作就包括使用密钥序列的唯一子部分。当所有密钥比特都已用过时，必须更换存储区312中存储的密钥序列。这可以通过例如要求解密设备310的所有者用新的样机更换其解密设备310，或者访问类似银行的安全位置，在那里为解密设备310装入新的密钥序列。
或者，当一个密钥序列已用过时，可以对该密钥序列应用加密散列函数或对称加密方案。随后将散列函数或加密方案的输出用作新密钥。这样就可以生成任意长度的一系列密钥序列而不必将所有密钥序列存储在个人解密设备310中。当然，如果攻击者获悉该密钥系列中的甚至一个密钥序列，则该攻击者也可以重建所有将来的密钥序列。
解密设备310最好实现为与客户设备301-303物理上分离的或者至少是可拆卸的单元。解密设备310和客户设备之间不应存在任何电通信路径、光通信路径或其他通信路径。由于图案和密钥序列是以数字(电子)形式提供的，任何这样的通信路径可能为攻击者滥用于获取图案和/或密钥序列。没有这样的路径，可泄密客户设备就无法以任何方式从解密设备310获取信息。这样，就可取得这样的效果用户不必信任客户设备301的安全性。
图4显示了说明用以安全接收用户消息的方法实施例的流程图。利用此方法，可以安全地允许用户编辑消息并利用客户设备，例如膝上型计算机301将所述消息发往服务器300。
在步骤401中，生成表示多个输入部件、如小键盘上的按键的图像，如图像320。每个输入部件表示可用于将由用户编辑的消息中的输入字。用户必须通过选择按键或其他可作为图像再现于客户设备301的显示屏上的输入部件来编辑消息。所述按键可以直观地再现为表示不同字母数字字符的按键或者表示诸如“是”、“否”、“更多信息”等选择的按钮。用于直观表示输入部件的其他方法是本专业中众所周知的。
选择输入部件最好通过选择客户设备301的显示屏上的一组特定坐标来完成。最好是用户通过按压显示屏上的特定点来输入坐标组，该组坐标对应于特定点。当然，也可采用其他输入装置、如鼠标、图形输入板或甚至小键盘。
实际上人们知道，允许通过显示屏上直观再现的输入部件来编辑消息，参见例如美国专利US-B-6209102。但是，该美国专利不保护编辑的消息免受窃听者拦截。它还未能说明这种表示输入部件的图像如何能以安全方式传送到客户设备301。这意味着窃听者可以获悉图像上显示的输入部件的布局，并根据客户设备301发往服务器300的反馈获悉选择了哪些输入部件。
注意到不同的输入部件可以但不一定表示不同的输入字。提供表示同一输入字的多个输入部件的优点在于，用户的输入序列甚至在该序列包含重复信息时也看似随机的。在本说明书中，术语“字”可表示单一字母数字字符，但也可以表示诸如‘是’、‘否’等文本以及其他语言或符号元素。
然后在步骤402中处理图像中的每个像素。首先，在步骤421中检查像素，以确定其颜色。通常，步骤401中生成的图像将是黑色或白色的，但显然也可以采用其他颜色，甚至还可以采用两种以上的颜色。不过，在本实施例中，假定图像只包含两种颜色，即黑色和白色。如果发现像素的颜色为白色，则所述方法进行到步骤422。否则，所述方法进行到步骤425。
如前所述，解密设备310将密钥序列保存在存储区312中。服务器300保存该密钥序列的一份拷贝。通常，服务器300提前知道哪一个用户正在操作客户设备301，随后就可以简单地查找适当的密钥序列。服务器300还可能在事先不知道哪一个用户正在操作客户设备301的情况下想要使用特定的密钥序列。这样，就确保只有拥有含特定密钥序列的个人解密设备的个人可以读取要传送到客户设备301的消息中所包含的信息。
密钥序列中的每个比特将被使用一次。为此，通常维护指示密钥序列中当前位置的指针。该当前位置称为第i个位置。在使用密钥序列中的一个比特之后，指针加1。如果已使用了密钥序列中的所有比特，则必须更换该密钥序列，或者对其应用以上提及的散列函数或对称加密函数以获得新的密钥序列。注意，系统安全性主要取决于用于生成密钥序列的伪随机数发生器的质量。
在步骤421中，检查密钥序列的第i个比特以确定它是‘0’还是‘1’。如果它是‘0’，则在步骤423中选择图案P0。如果它是‘1’，则在步骤424中选择图案P1。
同样地，如果像素是黑色，则在步骤425中还检查密钥序列的第i个比特以确定它是‘0’还是‘1’。如果它是‘0’，则在步骤426中选择图案P1。如果它是‘1’，则在步骤427中选择图案P0。
这样就取得如下效果知道以上步骤中所采用的正确的密钥序列部分的用户在收到选择的图案时可重建图像。每个接收到的图案必需与任一图案P0(如果密钥序列的第i比特为“0”)或图案P1(如果所述比特为“1”)重叠。这会恢复原始的白色或黑色像素。
在所有像素经过处理时，将选择的相关图案传送到客户设备301。这种传输的实现简单，故这里不作详述。注意，没有必要在发送选定的图案集合之前通过例如将其加密来保护该传输过程。因为选择这些图案所用的过程，窃听者不可能通过只使用选定图案的集合来恢复图像。
有时因用户操作客户设备301上的输入部件，客户设备301会向服务器300发送一组或多组坐标。服务器300在步骤404中接收坐标组。随后，在步骤405中服务器300将每组坐标转换为步骤401中编辑的图像上显示的特定输入部件。因为该图像由服务器300编辑，所以在服务器300中将一组坐标转换为输入部件很简单。
最后，在步骤406中，将用户编辑的消息构造为步骤405中转换坐标组得到的特定输入部件所表示的输入字。参见例如上述美国专利US-B-6209102以获得更多信息。
虽然消息当然可包括任何一种信息，但消息最好包含认证码，如PIN(个人身份号)码或密码。服务器300现在可以检查PIN码或密码来验证用户的证书，以及批准访问，执行一个或多个特权操作或执行一些必需这些证书的其他动作。服务器300还可以在对这些证书成功进行认证之后向另一系统发信号。
图5A-C示意性地说明客户设备301的操作。假设客户设备301正好接收到来自服务器300的图案集。这些图案是根据以上参照图3说明的方法生成的，因此对应于表示多个输入部件的图像，其中每个输入部件表示一个输入字，可用于编辑消息。
客户设备301在本实施例中如本领域周知的那样，使用移动电话502与诸如因特网的网络相连。利用采用移动电话502建立的数据连接，客户设备301可以向服务器300发送数据或从其接收数据。
在图5A中，设备301从服务器300接收若干图案并将这些图案显示于显示屏501上。通常，这些图案将是四个像素的集合，所述四个像素中的两个像素为黑色，而其余两个像素为白色。注意，在进行任何显示操作之前，设备301中不必执行任何处理或解密步骤；图案以它们被收到时的形式显示。将这些图案显示于显示屏501的某个角落中可能是有利的，对此下面将予以阐明。
在认识到可视加密的图像已发送到客户设备301之后，图5B中的用户拿起其自己的个人解密设备310并激活它。这使解密设备310根据存储区312中存储的密钥序列输出图形表示。
解密设备310必须提前编程设定服务器300生成的图像的尺寸。当然，也可以配备允许用户分别输入每个图像的这些尺寸的输入装置，但这使解密设备310更复杂和更昂贵。
对于服务器300生成的图像的每行中的每个像素，解密设备310在密钥序列的对应比特表示‘0’时输出图案P0或者在密钥序列的对应比特表示‘1’时输出图案P1。
在图5C中，用户510将个人解密设备310叠加在显示屏501上显示的图案上。为了方便这种叠加，显示屏501的边缘可以在角上配备钩子或夹子(未显示)，利用该钩子或夹子，可以将个人解密设备310系紧到显示屏501顶部的某个特定位置上。这样，用户就可非常容易地将个人解密设备310正确地叠加到显示屏501上的图案上，条件是这些图案显示于显示屏501上的对应位置上。
因为解密设备310和客户设备301两者均以有效方式显示了可视加密图像的一部分，所以用户510现在可以观察到重建的图像。虽然此图像的分辨率比原始图像的分辨率低四倍，且原始图像中的白色像素已为重建图像中的黑白图案所替换，但用户仍然可以识别出原始图像的信息，如标记511处所示。
利用重建图像，用户现在可以操作其中显示的输入部件。选择输入部件是通过选择显示屏501上的特定坐标组来完成的。最好是用户通过按压显示屏501上的特定点来输入坐标组，所述坐标组对应于特定点。当然，也可以采用其他输入装置，如鼠标、图形输入板或者甚至小键盘。
因为在解密设备310叠加于客户设备301上时表示输入部件的图像只能被看见，所以通知用户对解密设备310的显示屏311加压。压力将传递到客户设备301的显示屏，该显示屏在配备了触摸屏时可记录加压的点并将其转换为一组坐标。
或者，用户可以将设备301的显示屏的光标移动到该显示屏上的特定位置，并点击鼠标按钮或按下键以确认选择图像上显示的输入部件。虽然图案上的光标显示可破坏图案的正确显示，但实际表明这种破坏是可接受的。但是，由于显示于个人解密设备310上的图案会使光标的外观失真，故光标应该大得足以在甚至失真时亦可被检测到。除了鼠标或小键盘，与设备301相连的图形输入板也可用于控制设备301的显示屏上的光标移动。
收到一组或多组坐标之后，客户设备301就这些坐标组传送给服务器300。注意，秘密安装在客户设备300上的窃听软件无法获悉以这种方式输入的任何密码或敏感信息。这种软件最多可以获悉在特定会话中输入的特定的坐标组。这些坐标组随后可用于在未来的会话中冒充用户。
为了防止所谓的“重放”攻击，服务器300应该使输入部件在步骤401中生成的图像上的放置位置随机化。如果窃听软件随后重传它得知的坐标组以在后续会话中冒充用户，则服务器300不会对该用户进行认证，因为这些坐标组与正确的密码或其他认证码不对应。实际上，这些坐标组甚至不必在后续会话中与所生成的图像上的输入部件的位置相对应。
应注意，上述实施例说明而非限制本发明，本专业的技术人员可以在不背离所附权利要求书的范围的情况下设计出许多替代实施例。例如，无论何时收到一组坐标，可以生成包括新排列的输入部件的新图像。这引入了额外的安全性。
本发明可用于任何一种需要确保对客户设备到服务器的消息的安全编辑和传送的设备中。客户设备可以实现为个人计算机、膝上型计算机、移动电话、掌上型计算机、自动柜员机、公共因特网接入终端、或者实际上可实现为任何用户不完全相信其中未包含任何恶意软件或硬件的客户设备。
在权利要求书中，括号中的任何标记不应理解成对该权利要求进行限制。术语“包括”不排除存在不同于权利要求中已列举的其他元素或步骤。元素之前的术语“一个”不排除存在多个这样的元素。
本发明可以通过包括几个不同单元的硬件或通过适当编程的计算机来实现。在枚举几个装置的设备权利要求中，这些装置中的几个装置可以用同一个硬件来实现。相互不同的从属权利要求中记载某些措施并不表示不能利用这些措施的组合。
权利要求
1.一种安全接收用户消息的方法，包括如下步骤生成(401)表示多个输入部件(321)的图像(320)，每个输入部件(321)表示可用于所述消息中的输入符号，通过如下方式将所述图像(320)编码(402)对于所述图像(320)中的每个像素，如果所述像素属于第一种颜色且部分密钥序列表示第一值，或者如果所述像素属于第二种颜色且所述部分表示第二值，则选择(423，427)第一图案(P0)，以及如果所述像素属于所述第二种颜色且所述部分表示所述第一值，或者如果所述像素属于所述第一种颜色且所述部分表示所述第二值，则选择(424，426)第二图案(P1)；针对每个像素将所述选择的相关图案发送(403)到所述用户可操作的设备，从所述设备接收(404)一组坐标，将所述坐标组转换(405)成所述图像(320)上表示的特定输入部件，并将来自所述用户的所述消息构造(406)为所述特定输入部件所表示的所述输入符号。
2.如权利要求1所述的方法，其特征在于，所述第一种颜色是黑色，所述第二种颜色是白色，所述第一值是‘0’，以及所述第二值是‘1’。
3.如权利要求1所述的方法，其特征在于，所述消息包括认证码。
4.如权利要求1所述的方法，其特征在于，所述输入部件在所述图像(320)上的位置是随机选择的。
5.一种安全传送消息的方法，包括如下步骤从发送设备(300)接收图案，将所述图案的图形表示输出到第一显示屏(501)上，如果部分密钥序列表示第一值就将第一图案(P0)的图形表示输出到第二显示屏(311)上，以及如果所述部分表示第二值就将第二图案(P1)的图形表示输出到所述第二显示屏(311)上，从用户接收表示一组坐标的输入，并将所述坐标组发送到所述发送设备(300)。
6.如权利要求5所述的方法，其特征在于，所述输入是作为所述第一显示屏(501)的特定点上的压力来接收的，所述坐标组对应于所述特定点。
7.一种允许安全传送消息的客户设备(301)，包括用于从发送设备接收图案的接收装置(502)；用于存储密钥序列的存储器(312)；用于输出所述图案的图形表示的第一显示屏(501)；适合重叠在所述第一显示屏(501)上的第二显示屏(311)，所述第二显示屏(311)用于在部分所述密钥序列表示第一值时输出第一图案(P0)的图形表示以及在所述部分表示第二值时输出第二图案(P1)的图形表示；用于从用户接收表示一组坐标的输入的输入装置；以及用于将所述坐标组发送到所述发送设备(300)的发送装置(502)。
8.如权利要求7所述的客户设备(301)，其特征在于，所述第二显示屏(311)实现为物理上与所述第一显示屏(501)分离且配备了用于存储所述密钥序列的存储器(312)的单元(310)。
9.一种用于使处理器执行如权利要求1所述的方法的计算机程序产品。
10.一种用于使处理器执行如权利要求5所述的方法的计算机程序产品。
全文摘要
一种安全传送和接收用户消息的方法。生成表示多个输入部件的图像(320)如小键盘图像并加以编码。采用将保存在解密装置(310)中的密钥序列用作随机信息的可视加密法对该图像编码。随机化了的图像被发往客户设备(301)，在那里显示于第一显示屏(501)上。随机信息显示于第二显示屏(311)上。使第一和第二显示屏叠加就得到所述图像。客户设备(301)允许用户选择第一显示屏(501)上对应于重建图像上特定输入部件的位置的特定点。这些点的坐标传回到服务器(300)，服务器(300)可将这些坐标转换成用户选择的特定输入部件。随后将消息构造为特定输入部件表示的输入符号。
文档编号G06F3/048GK1615464SQ02827148
公开日2005年5月11日 申请日期2002年12月13日 优先权日2002年1月17日
发明者A·A·M·斯塔林格, M·E·范迪克, P·T·图伊斯 申请人:皇家飞利浦电子股份有限公司