光学安全性增强设备的制造方法
【专利说明】光学安全性増强设备
[0001]背景
[0002]传统地,敏感交易可能受到来自操纵硬件和/或软件的敌对者、截取用户的物理邮件的敌对者、观察用户输入的敌对者、使用击键登录器的敌对者、截取鼠标、触摸屏或姿势输入事件的敌对者和/或从图形子系统中搜集存储器的内容的敌对者的危害。这种敏感交易的示例包括用于在线商务的要求用户输入密码、账号或其它隐私信息的验证对话。
[0003]典型的现有解决方案涉及使用物理或数字的一次性密码本,并且是昂贵和不方便的。在一物理示例中,金融机构邮寄给客户一个随机数列表,每个随机数仅可被用于一个交易,但是可以从邮件中截取该列表,并且当获得用户的账户信息时,攻击者可以具有对该用户的账户的无约束的访问。在一数字示例中,可信的、辅助设备成为唯一会话的询问/响应的对话的部分。在数字示例中,用户被要求将密码输入到安全、自包含的设备中,该设备随后将用户必须输入的唯一密钥作为验证对话的部分提供。
[0004]另一个现有解决方案涉及使用生物传感器,例如指纹读取器、视网膜扫描等。适合的扫描仪被合并入终端设备或附加设备,这些设备是易受硬件攻击的。已经被证明指纹读取器可以被欺骗以制作与多个商业指纹读取器一起工作的复制品。无论生物传感器的技术力量如何,将它们合并到具有大型的异构的用户组的广泛服务是昂贵的。它们也难以以不受危害的方式合并入通用平台。
[0005]概述
[0006]在此所述的技术使用了一种光学安全设备来通过可能不可信和/或有危害的计算机查看以模糊格式提供的敏感信息。所述技术允许将不可信计算机用于访问敏感信息。该光学安全设备使用一种或多种形式的视觉密码技术来由可能不可信的计算机展现以模糊形式提供的敏感信息。
[0007]提供该概述以便以简化形式介绍概念的选集,所述概念在以下详细描述中被进一步描述。本
【发明内容】
不旨在标识所要求保护的主题的关键或必要特征,也不旨在用于帮助确定所要求保护的主题的范围。例如术语“技术”可指代上述上下文和通篇文档中所准许的系统、方法、计算机可读指令、模块、算法、硬件逻辑(例如,现场可编程门阵列(FPGA)、专用集成电路(ASIC)、专用标准产品(ASSP)、片上系统(SOC)、复杂可编程逻辑器件(CPLD))和/或技术。
[0008]附图简述
[0009]本发明或申请文件包括至少一幅彩色的附图。本发明或发明申请公开的具有彩色附图的副本将在请求并支付所需的费用之后由专利局提供。
[0010]参考附图来描述【具体实施方式】。在附图中,附图标记最左边的数字标识该附图标记首次出现的附图。不同附图中的相同参考标记指示相似或相同的项。
[0011]图1是描绘各安全性增强的实施例可在其中操作的示例环境的框图。
[0012]图2是根据各实施例的安全性增强技术的示例实现。
[0013]图3是根据各实施例的使用静态类型光学安全设备的安全性增强技术的示例实现。
[0014]图4是根据各实施例的使用被配置为实现可视密码技术的空间形式的动态类型光学安全设备的安全性增强技术的示例实现。
[0015]图5A和5B示出根据各实施例的使用被配置为实现可视密码技术的时间形式的动态类型光学安全设备的安全性增强技术的示例实现。
[0016]图6是根据各实施例的描述示例体系结构的框图,该示例体系结构可执行与安全性增强有关的操作。
[0017]图7是根据各实施例的描绘生成模糊用户界面的示例过程的流程图。
[0018]图8是根据各实施例的描绘制造光学安全设备的示例过程的流程图。
[0019]图9是根据各实施例的描绘使用光学安全设备的示例过程的流程图。
[0020]详细描述
[0021]概览
[0022]各实施例提供了可应用于增强在不可信环境中的敏感交易的安全性的技术和设备,所述环境包括在其中可从适当配置的终端设备,例如智能电话、平板计算机、膝上或桌面计算机、电子书阅读器、自动售货机和/或自动取款机(ATM),捕捉用户输入的场景。换言之,各实施例增强了在终端设备的硬件和/或软件受危害时的安全性,并且至少一些实施例还增强了在终端设备是安全的且具有安全软件栈时安全性。一种针对各实施例增强安全性的攻击的示例是来自攻击者的对于图形子系统中的存储器的后续读出。各实施例包括允许用户查看(解密)在终端设备的屏幕上呈现的图像中的信息,所述信息是以其它方式不可识别的(经加密的)。当结合触摸屏实现时,一些实施例允许设计抵制触摸输入登录的验证对话。几种实施例可以用于智能电话、平板计算机、膝上或桌面计算机、电子书阅读器、自动售货机和/或ATM机器。在至少一个实施例中,在此所述的安全性增强技术是在单个机器/单个处理器环境中实现的,并且在至少一个实施例中,在此所述的安全性增强技术是在单个机器/多个处理器环境中实现的。同时,在至少一个实施例中,在此所述的安全性增强技术是在网络分布式环境中实现。网络分布式环境可包括一个或多个类型的计算资源,计算资源的类型可包括计算、联网和/或存储设备。网络分布式环境还可被称为云计算环境。
[0023]参考图1-9进一步描述各个实施例。
[0024]说明性环境
[0025]下面描述的环境仅构成一个示例,而不旨在将各权利要求限于任一特定操作环境。可以使用其它实施例而不背离所要求保护的主题的精神和范围。图1是在此所述的安全性增强的实施例可在其中操作的示例环境100。在一些示例中,环境100的各种设备和/或组件包括一个或多个(诸)网络102,在其上可以将一个客户端计算设备104(在此也称为客户端设备、终端设备或简称为设备104)连接到服务器106。环境100可包括多个网络102,各种设备104和/或多个服务器106,它们中的任意或每个可以由一个实体(如银行、医疗机构、政府机构或公司)控制或服务该实体。
[0026]例如,(诸)网络102可包括诸如因特网之类的公共网络、诸如机构和/或个人内联网的专用网络,或专用和公共网络的某种组合。网络102还可包括任何类型的有线和/或无线网络,包括但不限于局域网(LAN)、广域网(WAN)、卫星网络、有线网络、W1-Fi网络、WiMax网络、移动通信网络(如3G、4G等等)或它们的任意组合。(诸)网络102可利用通信协议,包括基于分组的和/或基于数据报的协议,如网际协议(IP)、传输控制协议(TCP)、用户数据报协议(UDP)或其他类型的协议。而且,(诸)网络102还可包括便于网络通信和/或形成网络的硬件基础的若干设备,如交换机、路由器、网关、接入点、防火墙、基站、中继器、主干设备等等。
[0027]在一些实施例中,网络102可进一步包括能够实现到无线网络的连接的设备,诸如无线接入点(WAP)。各实施例支持通过WAP的连接性,WAP经由各个电磁频率(例如,无线电频率)来发送和接收数据,包括支持电气和电子工程师协会(IEEE)802.11标准(例如,802.Hg,802.1ln等)和其他标准的WAP0
[0028]在各个实施例中,客户端设备104包括诸如设备104A-104F的设备。各实施例支持以下场景:其中(诸)设备104可包括一个或多个可在群集中操作或在其他分组的配置中操作以共享资源或出于其他目的的计算设备。尽管所示出的是不同的各种设备类型,(诸)设备104可以是其它设备类型并不受限于所示出的设备类型。设备104可包括任何类型的具有操作上连接到输入/输出接口 110和存储器112的一个或多个处理器108的计算设备。(诸)设备104可包括但不局限于所示出的设备104。例如,设备104可以包括个人计算机,例如诸如桌面计算机104A、膝上计算机104B、平板计算机104C、电信设备104D、个人数字助理(PDA) 104E、电子书阅读器、可穿戴计算机、车载计算机和/或游戏设备。设备104还可以包括商业或面向零售的设备,例如诸如自动取款机(ATM)104F、服务器计算机106、瘦客户机、终端和/或工作站。在一些示例中,设备104可以包括例如集成在计算设备、电器或其它类别的设备中的组件。
[0029]在一些实施例中,如有关设备104(A)所示、存储器112可存储可由处理器108执行的指令,指令包括操作系统114、用于安全性增强的框架116、以及可由处理器108加载并执行的其他模块、程序或应用。替换地或另选地,此处描述的功能可以至少部分由一个或多个硬件逻辑组件来执行。例如、但非限制,可使用的硬件逻辑组件的说明性类型包括现场可编程门阵列(FPGA)、程序专用的集成电路(ASIC)、程序专用的标准产品(ASSP)、片上系统系统(SOC)、复杂可编程逻辑器件(CPLD)、等等。
[0030]存储器112是计算机可读存储介质的示例,并且可包括易失性存储器、非易失性存储器,和/或其它持久和/或辅助计算机可读存储介质。因此,存储器112包括有形和/或物理形式的介质,该介质被包括在设备和/或作为设备的一部分或外置于设备的硬件组件中,该介质包括但不限于:随机存取存储器(RAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、只读存储器(R0M)、可擦除可编程只读存储器(EPROM)、电可擦除可编程只读存储器(EEPROM)、闪存、光盘只读存储器(CD-ROM)、数字多功能盘(DVD)、光卡或其它光存储介质、磁带盒、磁带、磁盘存储、磁卡或其他磁存储设备或介质、固态存储器设备、存储阵列、网络附连存储、存储区域网络、主计算机存储或任何其它存储存储器、存储设备,和/或可用于存储并维护供计算设备访问的信息的存储介质。然而,所涵盖的存储112和所描述的计算机可读存储介质由此不包括单独由所传播的信号本身组成的通信介质。
[0031](诸)设备104可以进一步包括一个或多个输入/输出(I/O)接口110以允许设备104与其它设备通信。设备104的输入/输出(I/O)接口 110还可包括一个或多个网络接口以允许经由(诸)网络102在计算设备104与其他联网设备(