专利名称:用于事务验证的方法和系统的制作方法
用于事务验伍的方法和系统
背景技术:
安全性是许多人类/计算机交互的关键所在,无论这些交互是为数据中 心内的不同类别用户授予不同权限、允许或阻止个人金融交易(例如,互 联网上的信用卡购买),还是通过仅允许由经过核查的个人触发计算机启 动的防御措施来确保国家安全等。
图1示出了一种现有技术中公知的方法。图1示出了一种通过^"级
认证应用安全性的方法。会话启动(步骤502 )之后,将"认证,,个人(即 他/她通过在步骤504提交并在步骤506检查的用户ID/口令组合、密码、 数字证书等,证明他们是所声称的个人)。如果认证成功,则个人可在步 骤514自由执行操作,即允许他们在由显式会话结束协议(即注销)或超 时周期中断的"会话"或"对话"期间执行操作,随之会话在步骤524关 闭。
发明内容
针对图1所述的方法可以很好地运行,但是具有缺点,例如,如果个 人打开会活然后不去看管工作站,由此使未经授权的个人乘机在其授权下 执行操作,或者经过认证之后,他们可能成为希望执行未被授权执行的操 作的个人的攻击目标。
前者的一个实例是外出喝咖啡并使得他/她的工作站为随后可能恶意 破坏系统的用户使用的系统管理员。后者的一个实例是通过卡所有者输入 正确的PIN而启动的ATM会活(此所有者随后被某个人推出,然后此人 从受害者的账户提取现金)。
另一个实例可以是共享工作站的情况,其中用户ID和口令对于某个用户池是唯一的。不可能认证属于此池的实际用户中的哪一个用户正在请 求事务。
根据本发明,提供了一种根据所附独立权利要求1的认证事务的方法、
根据所附独立权利要求15的计算机程序、根据所附独立权利要求16的计 算机可读介质、根据所附独立权利要求17的系统,以及根据所附独立权利 要求18的机械致动的计算机输入设备。从属权利要求中定义了各优选实施例。
通过查看附图和详细说明,本发明的其他优点对于本领域技术人员来 说将变得清晰。任何其他优点都旨在被纳入本说明中。
现在将通过实例的方式参考
本发明的各实施例,其中相同的 标号表示相同的元件,这些附图是
图1示出了一种现有技术中>^的方法; 图2示出了第一实施例;
图3示出了根据其可实现针对图2所述的系统的步骤序列的流程图; 图4示出了第二实施例;
图5示出了根据其可实现针对图4所述的系统的步骤序列的流程图; 图6示出了根据参考图4所述的第二实施例的事务iUE失败; 图7示出了第三实施例;
图8示出了根据其可实现针对图7所述的系统各方面的步骤序列的流 程图9示出了包含本发明的小键盘; 图10示出了包含本发明的鼠标; 图ll示出了第六实施例;以及 图12更详细地示出了第六实施例。
具体实施方式
通过提供一种确保每个事务或操作均由启动该会话并因此被授权执行 事务的个人触发的方法,建立了M级认证的坚实和广泛的基础。
图2示出了第一实施例。根据此实施例,提供了与用户l和事务处理 器3通信的接口 2。在某些实施例中,接口 2可以被视为构成客户机,而 事务处理器构成服务器。优选地,事务处理器3可以被视为客户机,并且 未示出服务器。根据此实施例,用户1^多个事务41、 42和43,每个 事务包括指令211、 221和231。指令通常对应于易于引起明确且单独效果 的单个用户操作。这些指令由接口 2以编码的形式分别作为消息211、 221 和231传递到指令处理器3。每个所述指令112、 122和132都附带有认证 数据lll、 121和131,这些数据由所述接口 2传递到事务处理器3。具体 地说,每个指令优选地与其关联的认证数据基本同时到达服务器。理想情 况是应以需要最低限度的用户有意干预的方式从所述用户处提取认证数 据。所选择的提取方法将取决于事务本身的特性。根据优选实施例,认证 信息111、 121和131是生物测量数据。生物测量数据可以例如包括以下项 中的任意一项或多项指紋线、手指毛孔结构、特定脸部或手部特征的相 对距离、手指尺寸、手部的静脉结构、耳朵尺寸、虹膜图案、视网膜静脉 结构的图案、音调或音质、DNA、用户气味的化学成分、作为键盘敲击的 压力和速度或节奏的函数的书写风格。诸如生物测量数据之类的认证数据 的提取优选地与事务的启动关联,并且优选地由启动事务的同一用户操作 触发。
对于每个事务,事务处理器3分别实施事务认证过程31、 32、 33,在 所述过程中例如通过与包含用户认证信息的用户数据库(未示出)进行比 较,来分析接收的认证数据211、 221和231。如果确定认证数据代表有效 的用户,则传递相应的事务消息212、 222、 232以便实施事务。
图3示出了根据其可实现针对图2所述的系统的步骤序列的流程图。 具体地说,图2示出了认证第一实体(例如上面讨论的接口)和第二实体 (例如上面讨论的事务处理器)之间的通信的方法。所述方法开始于启动 会话的步骤512。第一事务开始于步骤513,将根据例如上面讨论的任何适当方法,对应于例如上面针对图2所述的认证111来导出认证数据。然后 在步骤514,将此信息连同与事务相关的指令或其他信息一起提交。在步 骤516,根据认证数据执^i人证过程,并且如果认证过程成功(步骤518), 则在步骤520恰当地处理指令。否则,会话在步骤524终止。如果i人证成 功并且处理了指令,则判定是否要执行其他事务。如果存在其他事务,例 如如果收到的最后一个指令不是用于终止会话的指令,则过程将返回步骤 513并且重复事务步骤。否则,会话在步骤524关闭并且过程终止。
因此,上面讨论的每个事务都可以被视为包括以下导出认证数据的各 步骤
从第 一实体提交指令和所述认证数据;第二实体通过第 一认证过程使 用认证数据来认证第 一实体;并且如果第 一认证过程的所述认证步骤成功, 则处理指令。
图4示出了笫二实施例。此实施例类似于图2的实施例,但在事务41、 42和43及其相应的指令和认证信息提交之前,会话启动认证数据101由 用户l提交到接口 2,并由接口 2作为启动认证消息201提交到事务处理 器3。此会话启动数据由事务处理器311在认证过程39进行认证,并且如 果^人证成功,则启动其中可发生事务41、 42和43的会话。具体地,如果 会话启动数据的认证失败,将不允许用户提交指令(无论是否附带有认证 数据)。
根据优选实施例,会话启动数据101的形式不同于认证数据111、 121 或131的形式。具体地说,由于对于给定的会活,会话启动数据仅,皮提交 一次,因此导出数据很少有机会对用户是透明的。会话启动数据可以包括 用户名和口令,以及账号和PIN代码或任何其他易于唯一地标识用户的数据集。
图5示出了才艮据其可实现针对图4所述的系统的步骤序列的流程图。 具体地说,图5示出了与针对图3所述的步骤相同的步骤,并且介于启动 会话的步骤502和导出事务认证信息的步骤513 (如上面讨论的那样)之 间,还包括步骤504、 506、 508和510。才艮据此实施例,在步骤504导出会话认证数据IOI,所述数据在步骤506被提交到事务处理器,以便在步 骤508进行i人证。仅当^"认证信息101的认证成功时,所述方法才继续 到如上面讨论的步骤513。否则,会话在步骤524终止,如上面讨论的那样。
图6示出了根据参考图4所述的第二实施例的事务认证失败。图6示 出了针对图4所述的M启动认证数据101和事务认证数据111的提交。 但是,在完成第一事务41之后,新事务42'开始且提交无效的事务认证数 据121'。接口 2以通常的方式作为无效事务认证消息221'传递此提交的值。 此无效事务认证消息221'由认证过程32'处理,所述认证过程无法认证用 户,并且相应地终止会话和事务。因此,附带无效事务i人证消息221'的任 何指令(例如222 )将被忽略,任何其他事务消息231/232也将被忽略。 用户只能通过建立新的会话来继续事务。
根据特定实施例,可以针对失败的认证引入容忍度。可以构想各种对 失败事务认证的响应
*当任何认证失败时立即终止会话。此方法(上面针对图6所述的方 法)是最严格的并且因此是最安全的。由于某些实施例使用生物测量 信息实现,而这些信息在某种程度上通常是可变的并且难以控制,因 此这种严格的方法可能会限制可用性。随后的变型可以提供更加用户 友好的方法。
參事务被中止,但是会话未受影响,因此可以照常提交其他事务。
记录认证失败,以便在登记了特定数量的认证失败之后终止会话。 可以终止出现问题的事务,也可以不终止该事务。可以作为事务总 数的一部分忽略多个事务认证失败,或仅对于特定事务才需要有效 认证。在此最后一种情况中,需要认证的事务可以随机选择,或根 据事务的特性选择,或根据某些其他基础来选择。 对认证失败的反应可以取决于失败的程度或附带指令的特性。可以定 义协议,由此系统根据情况来组合以上任何或全部响应。具体地说,可以 通过下面参考图11所述的事务签名目录36提供此功能。如上所述,事务认证数据优选地是生物测量的。M认证也可以是生 物测量的。用户在提交事务时必须与之交互的接口元件可以在不引起注意 的情况下从用户处提取生物测量信息。例如,如果用户通过语音命令向接 口发出事务,则可以从同一输入导出语音生物测量信息。如果使用鍵盘发 出指令,则可以并行地分析用户特有的^模式。可以适当地将指紋扫描 器或其他检测器结合到用户在每个事务都至少与之接触一次的鍵盘或接口
的其他部分中。例如,许多类型的键盘或小键盘输入需要按下"submit" 或"enter"键以便将输入的值登记为完整事务。
图7示出了第三实施例。根据此实施例,在包括事务处理器3的客户 机与服务器5之间分配认证任务。具体地说,启动认证消息201由客户机 3中继到服务器5。服务器5具备服务器端的较高级别的认证过程51,此 过程认证启动消息并由此启动会话4。此后,客户机3根据较低级别的认 证,可以在过程31、 32和33中认证随后的指令,并且根据需要将指令转 发到服务器5。
如图5所示,由客户机3认证的事务212、 222、 232被中继到接收和 处理启动认证消息所用的服务器5。备选地,可以提供单独的认证服务器 以接收和处理启动认证消息,并在此后提供事务服务器以处理事务。
优选地,客户机具备库35以存储由接口 2提交的认证消息。如果启动 认证方法与事务认证消息具有相同的格式,例如,如果所有消息均源自相 同的生物测量信息,则还优选地将启动认证消息存储在此库35中。因此, 此信息可用于随后事务的认证。具体地说,如图7所示,客户机端认证处 理器311能够分别在过程31、 32和33中认证事务212、 222、 232时访问 库35。如果事务被认证,则将它们中继到服务器5,如上面讨论的那样。 因此,换言之,将执行会话启动认证,然后使用在每个后续事务中捕获的 生物测量数据来确保用户与启动该会活的用户是同一用户。
存储在库35中的认证数据可以存储在客户机或服务器处,以便分别允 许客户机或服务器端认证。
优选地通过将事务认证消息与启动认证数据相比较来执行每个事务认证。此方法是有利的,因为已由服务器确定了启动认证数据的可靠性,所 述数据因而更加可信。此方法可以被称为委托认证。
此验证比完整认证更简单,避免了连续请求认证系统(通常在外部), 并且具有还可以在客户机系统本地执行的优点。
例如,如果如针对图4讨论的在客户机处执行所有认证,则当然可以 使用库组件来将认证尝试和先前提交的认证数据相比较。
图8示出了根据其可实现针对图7所述的系统各方面的步骤序列的流 程图。此图的步骤对应于图5的那些步骤,但提供了存储启动认证数据的 其他步骤509。同时,步骤516被替换为步骤516',由此参考在步骤509 存储的认证信息来执行随后认证消息的认证。
特定实施例采用了外围i更备,所述外围设备能够例如通过上面讨论的 生物测量度量识别输入操作的发起方。
图9示出了包含本发明的小鍵盘。此类小键盘可以例如用于ATM机、 入口控制(应门对讲电话)接口、"芯片和PIN"支付接口等,并且包括 具有编号为0到9 (710-719)的键以及标记为"取消"721、"更正"722 和"输入"730的键的简单数字键盘。按照惯例,用户使用数字键710-719 输入值或指令,并使用"取消"和"更正"键进行更正和调整。满意之后, 用户通过按"输入,,键730提交指令。根据此实施例,输入键730集成了 传感器731,此传感器能够从用户处导出生物测量信息。当用户通过按"输 入"键提交诸如指令(例如上面讨论的212、 222、 232)之类的事务时, 将同时从用于掩睫以提交具有指令数据的事务认证数据211、 221、 231的 手指处读取生物测量数据。
图10示出了包含本发明的鼠标810。鼠标实际上是常规鼠标,包括鼠 标体、滚动球或光学移动传感器以及多个按钮812、 820。根据此实施例, 鼠标810集成了传感器821,此传感器能够从用户处导出生物测量信息。 传感器821优选地集成在一个鼠标按钮中。传感器也可以位于鼠标框架中, 例如在由手指握住以进行移动的侧面部分中。从而它不只是与应用4吏用的 特定鼠标按一目关,以便在鼠标被握住时手指始终可以被扫描。更优选地,根据鼠标借以提供接口功能的操作环境,传感器821被集成在通常用于"提 交,,或"输入"类型操作的任何一个鼠标按钮中。客户机端系统将识别启 动每个个人操作的生物测量数据。这允许仅由启动会话的同一个人执行识 别会话启动协议的系统和其他操作。也就是说,建立^"之后,仅当同一 标识(如特有的生物测量所定义)控制设备时,才会将来自外围设备的控 制传递到应用。此方法保持了内置到许多主流应用中的^t^"级认证, 但在顶部添加了事务旨证以提供额外安全性。
服务器系统可以托管识别事务级验证的应用,或者它可以托管完M 赖于^级认证的当前级别的应用。在每一种情况下,它都具有基于M 级认证的安全结构。它依赖于安全客户机系统以确保会话启动之后,此会 话中的每个连续操作都由经过认证的一方启动。
图11示出了第六实施例。根据此实施例,操作由诸如上面针对图8 所述的鼠标之类的外围设备20启动。用于此设备20的设备驱动器30不仅 报告设备操作(例如112、 122、 132),而且还以传感器821导出的信息 的形式传递操作发起方或用户l的标识lll、 121、 131。设备驱动器30查 询库组件35以查看操作的标识是否与先前操作的标识相同或不同。使用此 信息,设备驱动器30与只是应用的客户机部分的事务执行客户机34联系。 应用客户机可以足够智能化以了解连续事务是否需要同 一标识,或者可以 具有定义哪些事务需要事务旨证的事务签名目录36。应用客户机923确 信事务发起方的标识211、 221、 231有效之后,便会将诸如操作(例如212、 222、 232 )之类的事M播到服务器系统5以便执行。
如上面讨论的那样,诸如生物测量数据之类的认证数据的提取优选地
与事务的启动关联,并且优选地由启动该事务的同一用户操作触发。因此, 冲艮据图11的实施例,在其中集成了传感器821的左鼠标按钮820通常用于 启动事务的基础上,传感器821对生物测量数据的捕获优选地由该按钮的 激活来触发。
例如,通过只要在网站应用中登记用户ID时,或者当使用物理签名 申请4艮行账户时,或者当首次使用用户ID和口令对时添加表项,便可以生成事务签名目录36。
图12更详细地示出了此第六实施例。图12类似于图7,但额外提供 了与事务执行客户机34通信的事务签名目录36。如图12所示,会话由服 务器端认证启动,如上面讨论的那样。此后,只要客户机处收到事务消息 212、 222、 232,事务执行客户机34就查询事务签名目录36以确定请求的 事务是否需要服务器级认证,或者上面讨论的客户机端认证是否已足够。 如图12所示,事务212和222由事务执行客户机34接收并确定为属于仅 需要委托认证的类别,从而认证和事务处理将如针对图7所述的那样继续。 但是对于事务232,参考事务签名目录36之后,事务执行客户机34确定 需要完整的服务器级认证。相应地,将事务消息232连同附带认证消息231 一起中继到服务器,以便可以在事务处理之前,在认证过程52中在服务器 5处执行认证。
如果需要服务器端认证,则可以使用更新的认证数据刷新或补充库组 件。如果实施服务器端认证,则事务签名目录36将优选地存在于服务器中。 对于具有高保护级别的系统(例如远程银行),或者如果客户机和服务器 由互相不信任的不同实体所拥有(例如可以是网上购物的情况,其中客户 机是购买者的家用个人电脑,而服务器是销售者的主机),则所有事务都 可能需要服务器端认证。这些情况与由同一银行拥有的拒员机的情况形成 对照,后者通常是受信客户机,以便可以在本地执行客户机级的用户认证。 有关使用何种方法的决策将取决于请求的安全级别、事务类型、客户机的 位置和拓朴。
认证是相对重量级的过程,旨在以非常高的标准确定个人是他/她所声 称的用户。例如,用于认证目的的指玟检查将揭 洪可靠但繁瑣的认证。而 在经过认证的会活范围内,其中希望检查事务是否由同一用户启动,可以 在某种程度上减小比较的彻底性。例如,指紋采样可以包含少量的参考点, 与完整信息的子集的轻量级比较便可能足够。基本不可能的是,特定计算 机上的会话^^与原始用户具有足够类似指紋(甚至经得起轻量级比较)的 某个人接管。上述实施例提供了多个不同的功能组合。应该理解的是,这些功能可 以以许多其他方式组合。
在上面的实例中已经进行了将指令提交到服务器的引用。将理解的是, 系统的不同部分之间的通信通常是双向的,并在特定事务期间,可以在不 同的系统元件之间以不同的方向进行大量信息交换。但是,这些交换通常 由来自用户的单个命令或相关命令集引起,并且请记住术语"指令"将与 此情况一起使用。
同样,在上述实施例中,事务和认证数据被作为单独的实体进行了讨 论。本领域技术人员将理解,它们也可以是同一传输的数据帧的一部分。 它们可以在任何阶段进行组合或分离。
本领域技术人员将理解,需要采取步骤以确保系统各部分的安全性。
例如,可能需要例如通过加密来保护事务签名目录36。
任何元件都可以通过石更件、固件、软件或它们的任何或全部的组合实 现。如果提供了软件组件,可以将它们暂时或永久放置在载体中,例如诸 如CD或DVD之类的光盘、诸如硬盘或软盘之类的磁盘、诸如闪存卡、 EPROM、易失性存储器单元之类的存储设备,或者用于分发目的的光、 电、无线电或其他传输通道。
权利要求
1. 一种认证事务的方法,所述方法包括以下步骤 启动会话(502);所述会话包括多个连续事务,以及 关闭所述会活(524),其中所述事务中的每个事务包括以下步骤 导出事务认证数据(513);提交(514)附带所述事务认证数据(211、 221、 231)的指令(212、 222、 232);由认证过程使用所述事务认证数据(211、 221、 231)认证(516)所 述指令(212、 222、 232);以及如果事务认证过程的所述认证(516 )步骤成功,则处理所述指4K 520 )。
2. 如权利要求l中所述的方法,其中所述事务认证数据的导出与指令 的启动基本同时。
3. 如权利要求1或2中所述的方法,其中如果所述认证过程认证(516) 所述指令的步骤失败,则终止所述会话而不允许实施其他事务。
4. 如权利要求1到3中的任一权利要求所述的方法,其中定义了较高 级别的认证和较低级别的认证,所述方法进一步包括以下步骤根据所述 较高级别或所述较低级别来判定是否应针对特定指令(212、 222、 232)实 施认证。
5. 如权利要求4中所述的方法,其中参考定义了哪些指令(212、 222、 232 )需要较高级别认证的目录(36)来执行判定特定事务是否需要较高级 别认证的步骤。
6. 如权利要求3或4中所述的方法,其中所述启动M的步骤包括根 据所述较高级别的认证进行^"认证(508)的步骤。
7. 如权利要求5中所述的方法,其中所述M认证(508) ;U艮务器 端认证。
8. 如权利要求4到7中的任一权利要求所述的方法,其中所述较低级别的认证在客户机3处发生,其中如果根据所述较低级别的认证执行所述 指令的认证(516)并且所述认证(516)成功,则将所迷指令中继到服务 器5以便处理。
9. 如任一上述权利要求中所述的方法,还包括存储所述事务认证数据 (211、 221、 231)以供随后认证使用的步骤。
10. 如权利要求4到8中的任一权利要求所述的方法,还包括存储 (509)所述启动认证数据(201)以供随后认证使用的步骤。
11. 如权利要求9或10中所述的方法,其中所述较低级别的认证包括 将作为所述事务认证过程的迭代的一部分提交的认证数据(211、 221、 231) 与所述存储的认证数据相比较。
12. 如权利要求ll中所述的方法,还包括以下步骤确定作为所述笫 二认证过程的迭代的一部分提交的所述事务认证数据(211、 221、 231 )与 所述存储的认证数据应匹配的程度。
13. 如权利要求11或12中所述的方法,其中作为所述事务认证过程 的迭代的一部分提交的所述事务认证数据(211、 221、 231)应与所述存储 的认证数据等同提交。
14. 如任一上述权利要求中所述的方法,其中所述认证数据是生物测 量数据。
15. —种计算机程序,包括当所述计算机程序在计算机上执行时,用 于执行如权利要求1到13中的任一权利要求所述的方法的各步骤的指令。
16. —种其上编码有根据权利要求15的计算机程序的计算机可读介质。
17. —种系统,包括适于执行如权利要求1到14中的任一权利要求所 述的方法的各步骤的装置。
18. —种机械致动的计算机输入设备(810; 700),包括这样布置的 生物测量数据读取器当用户机械地致动所述设备时,所述生物测量数据 读取器(821; 731)将就位以4更从所述用户处导出生物测量数据。
全文摘要
一种在例如通过输入用户名和口令数据建立的安全会话内认证从客户机向服务器进行的提交的方法和系统,其中所述会话包括多个事务,每个事务本身例如通过提交生物测量数据进行额外认证。因此,每个事务都单独地被认证和在会话级别被认证。在一个实施例中,会话级认证可以包括在ATM处提交PIN代码,而来自用户的每个后续请求或指令都可以附带例如来自与ATM小键盘集成的扫描器的指纹数据。会话包括多个事务,每个事务都被单独认证。优选地在会话的开始执行会话级认证,从中导出用于随后事务认证的权限。这可以通过将事务认证信息与授权的会话启动认证数据相比较来实现。可以借助用户的生物测量度量向每个事务提供认证数据。
文档编号G06F21/31GK101313314SQ200680043193
公开日2008年11月26日 申请日期2006年10月26日 优先权日2005年12月13日
发明者F·里贝奇尼, R·隆戈巴尔迪, S·麦克莱伦 申请人:国际商业机器公司