用于执行电子事务的系统和方法

文档序号：7921199阅读：174来源：国知局

专利名称：用于执行电子事务的系统和方法
技术领域：
本发明涉及一种用于执行安全电子事务的方法。本发明进一步涉及相应的系统、相应的服务器计算机、相应的硬件设备、相应的客户端计算机以及相应的计算机程序。
背景技术：
当前的因特网认证过程通常利用公钥基础设施(PKI)。尤其是，在用户个人计算机(PC)上的恶意软件的出现，使得对于用户是否连接到他所希望与其进行交互的期望服务器计算机(例如，期望的银行服务器)出现不确定性。人们已经知晓的用以防止敌意攻击的方法要求用户检查服务器证书，其中该服务器证书是由可信实体向服务器运营商所颁发。由于这种方法很不方便，因而许多用户抵制执行此类的服务器证书检查。另一已知方法使用与智能卡相结合的 PKI技术。然而，用户不能完全控制智能卡实际上做什么，例如，不能控制智能卡签署了什么或者智能卡连接到何处。这是由于以下事实而导致因特网连接可能受到人工参与其中的攻击、在用户PC上运行的蠕虫或者病毒的威胁。此外，键盘登录软件和显示调整软件可用以欺骗用户进入伪造的网站进行操作，例如，将一些货币转账. 到敌意的银行账户。
上述方法在处理中的某些点上依赖于以下步骤，在该步骤中，服务器在PC上显示某些机密/秘密信息，和/或用户在PC上输入某些机密/秘密的信息。即使对于具有显示器和键盘特征的安全智能卡读取器来说，也是如此。安全智能卡读取器显示的信息仍然由PC上运行的软件来控制。
US 6895502 Bl公开了一种用于安全显示和安全确认的方法，用以显示和确认对服务器计算机上资源的访问请求是真正由客户端用户所请求的。服务器计算机响应于请求而向安全环境发送已加密质询，而该已加密质询允许客户端用户来4企查和确认他执行相应的请求。
US 5 596 718公开了一种安全用户接口，该安全用户接口通过在工作站的输入/输出设备以及工作站自身之间插入可信的路径子系统来创建。所述可信的路径子系统是通过用户来手工调取，并且利用工作站的显示器来显示可信窗口。
本发明的一个目的在于，提供其他的解决方案用于以安全方式来执行电子事务。
本发明的另一目的在于，提供解决方案用于以成本有效的方式实现执行电子事务。
本发明的另一目的在于，提供解决方案用于以改进用户便利的方式执行电子事务。
本发明的另一目的在于，提供解决方案用于以安全方式执行电子事务，其中可以利用现有的服务器基础设施而不必调整服务器。
本发明的另一目的在于，提供解决方案用于以安全方式执行电子事务，其中可以利用现有的流认证协议(诸如，SSL/TLS)。

发明内容
本发明涉及如独立权利要求中所定义的方法、系统、服务器计算机、客户端计算机、硬件设备以及计算机程序。在所附从属权利
要求中还提供了本发明的其他实施例。
根据本发明的一个方面，提供了一种用于在服务器计算机以及客户端计算机之间执行电子事务的方法，所述方法包括以下步骤
-经由通信网络在所述服务器计算机以及硬件设备之间，通过已加密数据传输以及相互认证，来运行第一通信协议，
-在所述硬件设备中对从所述服务器计算机接收的已加密服务器响应来执行解密，-将来自所述硬件设备的所述已解密服务器响应转发至所述客户端计算机，
-在所述客户端计算机的客户端计算机显示器上显示所述已解密服务器响应，
-由所述硬件设备接收将要从所述客户端计算机向所述服务器计算机发送的客户端请求，
-由所述硬件设备针对预定义事务信息解析所述客户端请求，
-由所述硬件设备将其中不包含任何预定义事务信息的客户端请求加密并且转发至所述服务器计算机，
- 一旦在客户端请求中检测到预定义的事务信息，则在所述硬件设备的硬件设备显示器上显示所述预定义事务信息，
-如果接收到用户确认，则将其中包含预定义事务信息的所述客户端请求加密并且转发至所述服务器计算机，
-如果没有接收到用户确认则取消所述电子事务。
根据本发明的这一方面的方法为电子事务提供了增强的安全性。电子事务例如可以是电子支付、电子货币转账、电子订单或者任何其他机密的、私有的或者安全性敏感信息(诸如，登录信息) 的传输。
此外，根据本发明的这一方面的方法具有以下优点可以以灵活、有效以及经济的方式来实现此方法。此方法的特别优势在于，该方法是对现有系统的有效和经济的补充。更尤其是，此方法可以在无须对服务器计算机侧进行任何改变的情况下实现对现有服务器基础i殳施的补充。
硬件设备作用为服务器计算机以及客户端计算机之间的接口。换言之，在电子事务期间，仅有硬件设备直接地以逻辑方式与服务器计算机进行通信。这允许对客户端计算机以及服务器计算机之间的通信进行观察、评价、解析以及控制。将客户端计算机希望发送至服务器计算机的消息或者数据表示为客户端请求，而将服务器计算机发送至客户端计算机的消息或者数据表示为服务器响应。硬件设备可以解密服务器响应并且可以将其转发至客户端计算机。客户端计算机包括客户端计算机显示器，该显示器可以向用户呈现已解密的服务器响应。继而，用户可以借助于客户端计算机输入单元(例如，借助于键盘和/或鼠标)来与客户端计算机进行交互并且发起客户端请求。客户端计算机向硬件设备发送客户端请求，并且硬件设备针对预定义的事务信息来解析该客户端请求。换言之，硬件设备分析客户端请求并且检查该请求是否包含任何预定义的事务信息。此类预定义的事务信息尤其是安全性敏感的、私有的和/或机密的信
息，诸如信用卡号码、事务号码(TAN)、银行账号、支付数据、支付数额等。预定义可以是应用特定的和/或客户特定的。作为示例，提供在线银行服务的银行可以预定义将由用户向银行传输的哪些信息认作是预定义的事务信息。此外，银行可以提供具有不同安全性级别的在线银行服务。预定义的事务信息可以针对每个安全性级别进行调整。
应该以广泛的方式来理解属于客户端计算才几。客户端计算^/M列如可以是膝上型PC、桌面PC、移动电话、个人数字助理(PDA) 或者用户可以借助于执行电子事务的任何其他电子设备。同样，应该以广泛的方式理解术语服务器计算机。服务器计算机可以是具有客户端计算机希望与其执行电子事务的任何电子设备。
如果客户端请求不包含任何预定义的事务信息，则硬件设备可以将客户端请求加密并且借助于第一通信协议将其转发至服务器计算机。如果客户端请求包含预定义的事务信息，则硬件设备在硬件设备的显示器上显示预定义的事务信息。这使得用户能够检查预定义的事务信息是否正确。此外，用户可以将在客户端计算机显示器上显示的事务信息与在硬件设备显示器上显示的事务信息进行比较。这便于检测由人工参与其中的攻击而产生的差异。如果用户在客户端显示器上显示的事务信息以及硬件设备显示器上显示的事务信息之间检测到差异，则这表示在客户端计算机上正在运行恶意软件，并且已经改变了用户经由客户端计算机输入单元输入的事务信可以以各种方式实现硬件设备显示器。可以在适用于向用户呈现事务信息的各种设备或工具中实现硬件设备显示器。用于硬件设
备显示器的示例是液晶显示器(LCD)、发光二极管(LED)显示器、等离子显示器或者例如LCD或者激光投影机的投影机。
如果预定义的事务信息不正确，则用户可以取消或者不确认该事务。继而，硬件设备取消该事务。如果用户已经验证在硬件设备显示器上呈现的预定义事务信息是正确的，则他可以确认该事务。一旦确认，则硬件设备将预定义的事务信息进行加密并且借助于第一通信协议将其发送至服务器计算机。
存在实现用户确认或者用户取消的各种方式。根据本发明一个实施例，可以借助于硬件设备的硬件设备输入单元来接收确认或者取消。换言之，用户可以按下硬件设备的取消按钮或者确认按钮。备选地，可以进行如下指定如果用户在预定义时间段内(例如，在1分钟内)没有取消该事务，则硬件设备将其解释为确认。根据本发明的另一实施例，可以通过将硬件设备拔出客户端计算机的接口来执行取消。
在硬件设备和服务器计算机之间作为端对端通信来建立和运行第一通信协议。第一通信协议使用相互认证，即，服务器计算机向硬件设备认证其自身，并且硬件设备向服务器计算机认证其自身。在硬件设备和服务器计算机之间以加密方式执行数据传输以便提供高度的机密性。
根据本发明第一方面的一个实施例，所述方法进一步包括以下步骤
-在常规操作模式中，经由所述客户端计算机的代理应用，在所述客户端计算机的浏览器应用以及所述服务器计算机之间来运行第二通信协i义，
-在安全操作模式中，在所述服务器计算机以及所述硬件设备之间运行所述第一通信协议，-在所述安全操作模式中，经由所述代理应用将客户端请求从所述浏览器应用路由至所述硬件设备，以及经由所述代理应用将客户端请求从所述硬件设备路由至所述服务器计算机，
-在所述安全操作模式中，经由所述代理应用将服务器响应从所述服务器计算机路由至所述硬件设备，以及经由所述代理应用将服务器响应从所述硬件设备路由至所述浏览器应用。
代理应用可以实现为在客户端计算机上运行的计算机程序，并且允许有效实现所述方法。其执行在硬件设备、浏览器应用以及服务器计算机之间功能性设置的切换功能。在常规操作模式中，代理
应用经由通信网络来分别将客户端请求直接从浏览器应用转发或者路由至服务器计算机。在其他方向中，经由通信网络将服务器响应发送至代理应用，并且直接将其从代理应用转发至浏览器应用。
在常规操作模式用，优选的是，用户不与服务器计算机交换安全性敏感的信息。在常规操作模式中，硬件设备可以处于关闭或者未插入状态。
在用户浏览会话期间，如果用户希望执行可能涉及安全性敏感信息交换的电子事务，则调取安全操作模式。根据本发明的这一实施例，在安全模式中，在服务器计算机以及硬件设备之间经由代理应用和通信网络来运行第一通信协议。此外，在浏览器应用与硬件设备之间的通信是经由代理应用来执行。
根据本发明第一方面的一个实施例，所述方法进一步包括以下
步骤
-由所述代理应用针对预定义的客户端请求集合而解析客户端请求，
- 一旦检测到预定义的客户端请求，则由所述代理应用来启动所述安全操作模式。
这是一种用以自动方式调取安全操作模式的有效方法。代理应用可以自动启动安全操作模式而无须任何用户交互。作为示例，预定义的客户端请求集合可以包括标识服务器计算机资源的统一资源标识符(URI)或者统一资源定位符(URL)的预定义集合。此类资源例如可以是用户具有账户的一个或者多个4艮行的URL、和/或用户希望与其执行电子商务的一个或者多个电子商务实体、或者用户希望与其执行电子事务的任何实体。在用户的浏览器应用中，如果用户输入了这些预定义的URL或者URI之一，则代理应用对其进行检测并且启动安全操作模式。安全操作模式例如可以借助于向硬件设备发送"启动安全模式"的信号来启动。
根据本发明另一实施例，安全模式可以通过用户人工调取，例如通过将安全硬件设备与客户端计算机相连接。
根据本发明第一方面的一个实施例，在从所述硬件设备向所述客户端计算机转发所述已解密服务器响应之前，所述方法进一步包
括以下步骤
-由所述硬件设备来针对预定义的事务信息解析所述服务器响
应，
-由所述硬件设备向所述客户端计算机转发不包含任何预定义
的事务信息的服务器响应，
- 一旦在服务器响应中检测到预定义的事务信息，则在所述硬件设备的所述硬件设备显示器上显示所述预定义的事务信息，
-如果接收到用户确认，则向所述客户端计算机转发包含所述预
定义事务信息的所述服务器响应，
-如果没有接收到用户确认，则取消所述电子事务。在解析客户端请求以外，解析服务器响应提供了增强的功能性
和应用。服务器响应的预定义事务信息可以显示在硬件设备显示器上以提请用户注意。服务器响应的预定义事务信息例如可以包括服务器计算机的警告消息，该消息可以显示在硬件设备显示器上。此
外，服务器响应的预定义事务信息可以是对用户的服务器质询，或者是从服务器计算机到用户的任何其他安全性敏感的信息。这具有以下优势，即使在客户端计算机上运行有恶意软件防止在客户端计算机显示器上显示预定义事务信息时、或者如果恶意软件操纵客户端计算机显示器上的视图时，用户也可以检查服务器的此类预定义事务信息。
根据本发明第一方面的另一实施例，所述第一通信协议包括网
络层，所述网络层包括根据安全套接层(SSL)标准、或者根据传输层安全性(TLS)标准的协议、以及根据传输控制协议/因特网协议 (TCP-IP)标准的协议。
这些协议得到广泛应用并且广泛流行。根据本发明的这一方面的方法可以使用这些协议而无须》f改。这允许以成本有效的方式来实现本发明的这一方面。SSL或者TLS层在TCP/IP层之上运行，并且提供服务器认证、客户端认证以及已加密数据传输的功能性。
根据本发明第一方面的另一实施例，第一通信协议包括包含超文本传输协议(HTTP)的应用层。
此协议广泛应用并且广泛流行。优选的是，与网络层上的SSL 或者TLS协议结合，可以建立超文本传输协议安全(HTTPS)。
根据本发明这一方面的另一实施例，第二通信包括包含传输控制协议/因特网协议(TCP/IP)的网络层、以及包含超文本传输协议(HTTP)的应用层。
这些协议可以广泛应用并且广泛流行。在常规4喿作模式中，客户端计算机的用户可以借助于使用TCP/IP和HTTP的浏览器应用来浏览因特网。
根据本发明的这一方面的另一实施例，所述方法包括由服务器计算机执行用户认证的步骤。
这一附加认证增强了所述方法的安全性。此类用户认证例如可以借助于用户的个人标识号码(PIN)或者密码来执行。作为示例，服务器可以向客户端计算机发送服务器响应，该响应要求用户输入其密码或者PIN。密码或者PIN存储在服务器计算机处，并且由此可以由服务器计算机来检查。认为用户认证是这样一种认证，其不能由硬件设备其自身来自动执行，而是需要系统用户的附加输入。这防止了敌意方在不知道附加密码或者PIN的情况下可以滥用偷来的硬件设备。相反，在第一通信协议期间执行的硬件设备以及服务: 器计算机之间的相互认证可以自动执行，而无须进一步的用户交互。优选的是，从安全硬件设备向服务器计算机发送任何预定义事务信息之前，执行所述用户认证。
根据本发明这一方面的另一实施例，所述方法包括由硬件设备来导丸行用户认证。
这一附加认证增强了所述方法的安全性。此类用户认证例如可以借助于密码或者个人标识号码(PIN)来执行。作为示例，硬件设备可以显示消息，该消息要求用户借助于硬件设备输入单元来输入
其密码或者PIN。密码或者PIN存储在硬件设备处或者存储在由硬
件设备可读的智能卡上，并且由此可以由硬件设备来检查。这防止
了敌意方在不知道附加密码或者PIN的情况下可以滥用偷来的硬件设备。还可以使用如生物学认证的其他用户认证方法，例如指紋读取。在此实施例中，优选的是，分别在开始或者建立第一通信协议之前，执行所述用户认证。
根据本发明的第二方面，提供了一种用于执行电子事务的系统，包括
-服务器计算机，
-客户端计算机，包括客户端计算机显示器以及客户端计算机输入单元，
-硬件设备，包括硬件设备显示器，
-在所述硬件设备和所述服务器计算机之间的通信网络，所述系统适用于
-在所述服务器计算机以及所述硬件设备之间通过已加密数据传输和相互认证，来运行第一通信协议，
-在所述硬件设备中对从所述服务器计算机接收的已加密服务器响应来执行解密，
-将-端计算机，-在客户端计算机显示器上显示所述已解密服务器响应，
-由所述硬件设备接收将要从所述客户端计算机向所述服务器计算机发送的客户端请求，
-由所述硬件设备针对预定义事务信息解析所述客户端请求，
-将其中不包含任何预定义的事务信息客户端请求加密并且转发至所述服务器计算机，
- 一旦在客户端请求中检测到预定义的事务信息，则在硬件设备显示器上显示所述预定义事务信息，
-如果接收到用户确认，则将其中包含预定义事务信息的所述客户端请求加密并且转发至所述服务器计算机，
-如果没有接收到用户确认，则取消所述电子事务。本发明的第二方面实现了关于系统方面的其中可以实现本发明第一方面的方法的系统。
根据本发明第三方面，提供了一种用于借助于硬件设备在所述硬件设备中控制服务器计算机以及客户端计算机之间的电子事务的
方法，所述方法包括以下步骤
-通过已加密数据传输和相互认证，与所述服务器计算机运行第一通信协i义，
-对从所述服务器计算机接收的已加密服务器响应来执行解密， -将所述已解密服务器响应转发至所述客户端计算机， -接收将要从所述客户端计算机发送至所述服务器计算机的客户端请求，
-针对预定义事务信息来解析所述客户端请求，
-将其中不包含任何预定义的事务信息的客户端请求加密并且转发至所述服务器计算机，
- 一旦在客户端请求中检测到预定义的事务信息，则在所述硬件设备的硬件设备显示器上显示所述预定义事务信息，
-如果接收到用户确认，则将其中包含所述预定义事务信息是所述客户端请求转发并且加密至所述服务器计算机，-如果没有接收到用户确认，则取消所述电子事务。
根据本发明的第三方面涉及在硬件设备中执行的方法步骤。
根据本发明的第四方面，提供了一种用于控制电子事务的硬件
设备，包括
-硬件设备显示器以及硬件设备接口单元，其中所述硬件设备接口单元被提供用于将所述硬件设备耦合至客户端计算机，其中所述
硬件设备适用于
-通过已加密数据传输和相互认证来与服务器计算机运行第一通信协议，
-对从所述服务器计算机接收的已加密服务器响应来执行解密，
-将所述已解密服务器响应转发至所述客户端计算机， -接收将要从所述客户端计算机发送至所述服务器计算机的客户响应，
-针对预定义事务信息来解析所述客户端请求， -将其中不包含任何预定义的事务信息的客户端请求加密并且转发至所述服务器计算机，
- 一旦在客户端请求中检测到预定义的事务信息，则在所述硬件设备显示器上显示所述预定义事务信息，
-如果接收到用户确认，则将其中包含所述预定义事务信息的所述客户端请求加密并且转发至所述服务器计算机，
-如果没有接收到用户确认，则取消所述电子事务。可以以灵活有效的方式实现和使用此类硬件设备，用于改进电子事务的安全性。尤其是，如果第一通信协议(例如，SSL)对服务器是已知的，则无须在服务器计算机侧实现任何变化。硬件设备可以与普通客户端计算机(诸如，桌面PC或者膝上型计算机) 一起工
接口单元连接至客户端计算机的第一接口来实现。硬件设备接口单元可以是无线或者有线的接口单元。作为示例，硬件设备接口单元可以是通用串行总线(USB)接口。
根据本发明的第四方面的一个实施例，硬件设备包括用于存储安全性敏感数据的安全性令牌(security token )。
此类安全性令牌是硬件单元，还表示为硬件令牌，该安全性令牌可以存储安全性敏感的数据，尤其是以防止篡改的方式存储安全性敏感的用户数据。换言之，不能读出或者操纵在安全性令牌中存储的安全性敏感的数据。防止篡改的程度或者级别可以适用于各应用的安全性需要。安全性令牌例如可以是硬件组件，该硬件组件包括存储所述安全性敏感数据的智能卡。
根据本发明的第四方面的实施例，硬件设备包括用于从智能卡读取安全性敏感数据的智能卡读取器。
根据此实施例，智能卡的智能卡芯片存储安全性敏感数据。可以由用户将智能卡保存在硬件设备以外的不同位置。在运行硬件设备之前，用户需要将智能卡插入硬件设备的智能卡读取器。
根据本发明第四方面的实施例，硬件设备具有一个或者多个预定义的防止篡改级别。
的安全性需求越高，则可以选择越高的防止篡改级别。优选的是，防止篡改级别是防篡改的。
预定义的防止篡改级别可以解决不同的攻击，例如，对抗恶意软件的防止篡改级别、或者对抗物理操纵硬件的防止篡改级别、或者对抗硬件设备检测的防止篡改级别，尤其是借助于显微镜检测存储设备或者存储器。恶意软件也称为malware (黑心软件)，可以认为恶意软件是旨在对硬件设备的正确功能产生危害、调整或者操纵的任何软件。此类恶意软件例如可以是病毒、蠕虫、木马、间谍软件或者其他不期望的软件。换言之，恶意软件是设计以对计算机系统产生入侵、损害或者危害的软件。
根据本发明第四方面的实施例，硬件设备的预定义防止篡改级别高于客户端计算机的防止篡改级别。这意味着，敌意方操纵或者篡改硬件设备要比操纵客户端计算机更难。相对于改进整个客户端计算机的防止篡改来说，关注于硬件设备的防止篡改是更为成本有效的。尤其是，对于敌意方来说，在硬件设备上放置恶意软件比在客户端计算机上放置恶意软件更困难。
根据本发明第四方面的实施例，以如下方式设计所述硬件设备，其中不能将软件应用装载到所述硬件设备。
这可以防止病毒、蠕虫或者其他恶意软件操纵或者危害硬件设备的功能。此实施例例如可以通过在设置保险的存储器中存储硬件设备的一个或者多个程序来实现。换言之，在已经将一个或者多个计算机程序装载至硬件设备的程序存储器中之后，对程序存储器设
上运行。
根据本发明第四方面的实施例，安全性敏感的数据包括私钥以及信任根信息。
私钥可以用于与服务器计算机执行第一通信协议，尤其是互相
认证
信任根信息定义了硬件设备信任哪些授权。信任根信息可以包括例如硬件设备所信任的证书授权的一个或者多个证书授权根密
钥。这允许使用公钥基础设施(PKI)技术用于执行第一通信协议的相互认证。
根据本发明第四方面的实施例，硬件设备包括用于确认和/或取消事务的硬件设备输入单元。
硬件设备输入单元例如可以通过一个或者多个按钮(例如，通过确认按钮和/或取消按钮)来建立。
根据本发明的第五方面提供了一种客户端计算机，所述客户端计算机可经由第一接口连接至通信网络，并且经由第二接口连接至硬件设备，所述客户端计算机包括
-浏览器应用，用于浏览所述通信网络；以及代理应用，所述代理应用适用于
-在常规操作模式中，将从所述客户端计算机的所述浏览器应用接收的客户端请求转发至所述通信网络的服务器计算机，
-在常规操作模式中，将从所述服务器计算机接收的服务器响应转发至所述客户端计算机的所述浏览器应用，
-在安全操作模式中，将客户端请求从所述浏览器应用转发至所述硬件设备，以及将客户端请求从所述硬件设备转发至所述服务器计算机，
-在安全操作模式中，将从所述服务器计算机所接收的服务器响应转发至所述硬件设备，以及将服务器响应从所述硬件设备
转发至所述浏览器应用，其中所述客户端计算机适用于在所述安全操作模式中经由所述硬件设备并经由所述通信网络，来与所述服务器计算机执行电子事务。
可以以有效方式实现此类客户端计算机。代理应用允许更新普
通客户端计算机，并且使其与所述硬件设备协作。
根据本发明第五方面的实施例，所述代理应用适用于
-针对预定义的客户端请求集合来解析客户端请求，
- 一旦检测到预定义客户端请求，则启动所述安全操作模式。
这是以自动方式触发安全模式的有效方式。用户不需要主动开
始安全模式，但是需要确保无论何时发送一个预定义客户端请求，
应当自动开始安全模式。
根据本发明第五方面的实施例，通过从代理应用向硬件设备发
送安全模式启动信号来启动安全模式。
安全模式启动信号指示所述硬件设备将开始安全模式。
根据本发明的第六方面，提供了一种包括指令的计算机程序，
当在客户端计算机上执行所述计算机程序时，所述指令用于执行以
下步骤
-在常规操作模式中，将从所述客户端计算机的浏览器应用接收的客户端请求转发至通信网络的服务器计算机，-在常规操作模式中，将从所述服务器计算机接收的服务器响应转发至所述客户端计算机的所述浏览器应用，
-在安全操作模式中，将客户端请求从所述浏览器应用转发至硬件设备，以及将客户端请求从所述硬件设备转发至所述服务器计算机，
-在安全操作模式中，将从所述服务器计算机所接收的服务器响应转发至所述硬件设备，以及将服务器响应从所述硬件设备转发至所述浏览器应用。
此类计算机程序实施了代理应用，并且在浏览器应用与硬件设备之间建立有效且灵活的接口。此类计算机程序使得浏览器应用与硬件设备以有效方式协作。
根据本发明第六方面的实施例，所述计算机程序进一步包括如下指令，当在客户端计算机上执行所述计算机程序时，所述指令用
于执行以下步骤
-针对预定义的客户端请求集合而解析客户端请求，
- 一旦检测到预定义的客户端请求，则启动所述安全操作模式。根据本发明的第七方面，提供了一种借助于硬件设备来在所述
硬件设备中控制在服务器计算机以及客户端计算机之间的电子事务的方法，所述方法包括
-通过已加密数据传输和相互认证，来与所述服务器计算机运行第一通信协议，
-对从所述服务器计算机接收的已加密服务器响应来执行解密， -针对预定义事务信息解析所述服务器响应， -将其中不包含任何预定义的事务信息的服务器响应转发至所述客户端计算机，
- 一旦在服务器响应中检测到预定义的事务信息，则在所述硬件设备的硬件设备显示器上显示所述预定义事务信息，
-如果接收到用户确认，则将其中包含预定义事务信息的所述服务器响应转发至所述客户端计算机，-如果没有接收到用户确认，则取消所述电子事务。本发明的这一方面涉及一种根据其来解析服务器响应的方法，而不是解析客户端请求。服务器响应的预定义事务信息例如可以包括服务器对用户的质询、或者从服务器计算机到用户的安全性敏感信息。
作为示例，此类方法可以以增强的安全性来执行软件下载。在硬件设备将软件转发至客户端计算机之前，硬件设备可以显示这样的消息，该消息询问用户是否同意下载。此外，服务器可以将关于软件完整性的某些用户确认信息发送至硬件设备。继而，硬件设备将在硬件设备显示器上显示用户确认信息，并且用户可以在将其下载之前确认软件的完整性。这尤其适用于避免下载恶意软件。
根据本发明第八方面，提供了一种用于控制电子事务的硬件设
备，包括
-硬件设备显示器以及硬件设备接口单元，其中所述硬件设备接口单元被提供用于将所述硬件设备耦合至客户端计算机，其中所述硬件设备适用于
-通过已加密数据传输和相互认证，来与服务器计算机运行第
一通信协议，
-对从所述服务器计算机接收的已加密服务器响应来执行解密，
-针对预定义事务信息来解析所述服务器响应，
-将其中不包含任何预定义的事务信息的服务器响应转发至所述客户端计算机，
- 一旦在服务器响应中检测到预定义的事务信息，则在所述硬件设备显示器上显示所述预定义事务信息，
-如果接收到用户确认，则将其中包含预定义事务信息的服务器响应转发至所述客户端计算机，
-如果没有接收到用户确认，则取消所述电子事务。本发明的第八方面提出了一种硬件设备，在所述硬件设备中可以执行根据本发明第七方面所述的方法。
可以以不同顺序执行本发明不同方面的步骤。此外，还可以结合所述步骤，即，例如一起执行两个或者更多步骤。
任一设备特征还可适用于本发明的方法方面，反之亦然。设备特征的优势适用于相应的方法特征，反之亦然。

在下文中，参考以下示意性附图，并仅以示例方式来详细描述本发明的优选实施例。
所提供的附图仅用于示意性目的，而不必表示本发明的实际示例的尺度。在附图中，使用相同的参考标记来表示相同或类似的部分。
图1是根据本发明一个实施例的系统的框图2是根据本发明一个实施例的硬件设备的框图3是根据本发明另一实施例的硬件设备的框图4示出了根据本发明一个实施例的在浏览器应用、代理应用、
硬件设备以及服务器计算机之间的通信流程；
图5示出了在常规操作模式下的根据本发明一个实施例的方法
的消息流程的示意性图示；以及
图6至图8示出了在安全操作模式下的根据本发明一个实施例
的方法的消息流程的示意性图示。
具体实施例方式
图1示出了根据本发明一个实施例的系统100。该系统100包括服务器计算机IIO、客户端计算机120以及硬件设备130。客户端计算机120包括客户端计算机显示器121以及客户端计算机输入单元122。客户端计算机输入单元122包括键盘123以及鼠标124。客户端计算机120进一步包括处理单元140、存储器151 (例如，易失性存储器设备)以及借助于总线系统153耦合并设置于计算机壳体154中的存储设备152。存储设备152可以包括非易失性存储器设备(例如，EEPROM、 ROM、 PROM、 RAM、 DRAM、 SRAM、闪存、固件、可编程逻辑等)、磁盘驱动、光盘驱动以及磁带驱动等。存储设备152可以包括内部存储设备、附接的存储设备和/或网络可访问的存储设备。客户端计算机120可以包括程序逻辑157，该程序逻辑157包括可以装载到存储器151中并且由处理单元150 执行的程序代码158。在特定实施例中，程序逻辑157包括的程序代码158可以存储在存储设备152之中。由此，尽管图l示出的程序逻辑157独立于其他元件，然而程序逻辑157可以在存储设备152 中实现。
客户端计算机120经由第一接口 156耦合至通信网络160。第一接口 156可以是无线接口或者有线接口，尤其是通用串行总线(USB) 接口。通信网络160可以是因特网。客户端计算机120经由第二接口 155来耦合至硬件设备130。第二接口 155可以是无线接口或者有线接口，尤其是USB接口。客户端计算机120可以是个人计算机 (PC)。服务器计算机110还耦合至通信网络160。服务器计算机 110例如可以是银行、保险公司、或者经由通信网络160 (尤其是因特网)来提供电子事务的实体的服务器计算机。
图2更详细地示出了图1的硬件设备130的实施例。硬件设备 130包括处理单元200、硬件设备显示器210、存储器220 (例如，易失性存储器设备)以及存储设备230。存储设备230可以包括非易失性存储器设备(例如，EEPROM、 ROM、 PROM、 RAM、 DRAM、 SRAM、闪存、固件、可编程逻辑等)。硬件设备230可以包括程序逻辑240,该程序逻辑240包括可以装载到存储器220中并且由处理单元200执行的程序代码241。在特定实施例中，包括程序代码 241的程序逻辑240可以存储在存储设备230中。由此，尽管图2 示出的程序逻辑240独立于其他元件，然而程序逻辑240可以在存储设备230中实现。硬件设备130进一步包括智能卡读取器250、硬件设备接口单元270 (还表示为1/0单元270)、以及硬件设备输入单元280。硬件设备接口单元270可以是无线接口或者有线接口，尤其是通用串行总线(USB)接口。硬件设备接口单元270可以用以将硬件设备130连接或者耦合至客户端计算机120。硬件设备输入单元280被提供用于用户输入，并且可以包括一个或者多个按钮或者完整的4定盘。作为示例，硬件设备输入单元280可以仅包括两个按钮一个取消按钮用于取消事务，以及一个确认按钮用于确认事务。硬件设备130由壳体290 (例如，塑料壳体)来覆盖。
智能卡读取器250可从智能卡260读取安全性敏感数据，尤其是安全性敏感的用户数据，诸如私钥以及信任根信息。
图3更详细地示出了图1的硬件设备130的另一实施例。根据图3的实施例的硬件设备130包括处理单元200、硬件设备显示器 210、存储器220、存储设备230、包括程序代码241的程序逻辑240、硬件设备接口单元270、硬件设备输入单元280以及参考图2所示的壳体290。
此外，该硬件设备130包括内建的安全性令牌310用于存储安全性敏感的数据(诸如，私钥以及信任根信息)。安全性令牌310 例如可以是智能卡芯片。
优选的是，可以在可信以及安全环境中初始化硬件设备130,例如，在银行的安全位置处初始化。此类初始化包括例如将安全性敏感信息装载至安全性令牌310或者装载至智能卡260。硬件设备130 例如可以实现为USB盘。
图4示出了在客户端计算机120上运行的浏览器应用410、在客户端计算机120上运行的代理应用420、硬件设备130、通信网络160 以及服务器计算机IIO之间的通信流程。
根据本发明的一个实施例，如参考图l所述，浏览器应用410 以及代理应用420实现为客户端计算机120的程序逻辑157的程序代码158。尤其是，浏览器应用420可以是网页浏览器，其支持用户显示文本、图像、视频、音乐以及可以定位于因特网的网页或者网站的其他信息并与其进行交互。尤其是，浏览器应用420支持用户显示文本、图像、视频、音乐以及经由通信网络160从服务器计算
机IIO可访问的其他信息并与其进行交互。浏览器应用410可以经由代理应用420以及经由通信网络160 (例如，借助于应用层中的 HTTP协议以及网络层中的传输控制协议/因特网协议(TCP/IP)) 来与服务器计算机IIO进行通信。
在常规操作模式中，浏览器应用410经由代理应用420连接至通信网络160。在常规操作模式中，浏览器应用410运行第二通信协议，并且经由代理应用420和通信网络160将客户端请求(例如， HTTP get请求)发送至服务器计算机110。在另一方向，服务器计算机IIO在常规操作模式中经由通信网络160和代理应用420，将服务器响应(例如，HTTP响应)发送至浏览器应用410。在常规操作模式中，代理应用420作为浏览器应用410以及通信网络160之间的转发器，同时并行地分别观察和解析针对预定义客户端请求集合的客户端请求。预定义的客户端请求集合例如可以是统一资源定位符(URL)的集合。预定义的客户端请求表示这样的资源集合，客户端计算机12 0的用户针对该资源集合已经预定义如下内容与该资源进行的通信应当受到硬件设备130的控制。作为示例，客户端计算机120的用户可以将其银行的URL定义为代理应用420中的预定义请求。继而，代理应用420可以观察用户在浏览器应用410中是否输入了此银行的相应URL。换言之，代理应用420观察用户是否经由通信网络160向服务器计算机IIO发送访问预定义的URL的客户端请求。一旦检测到预定义的客户端请求之一，则代理应用420 进行切换并且启动安全操作模式。在安全操作模式中，代理应用420 改变数据流程并且将从浏览器应用410所接收的客户端请求路由至硬件设备130。此外，代理应用420通过向硬件设备130发送适当信号(例如，安全模式启动信号)来启动安全操作模式。继而，硬件设备130利用已加密数据传输以及相互认证来在服务器计算机110 和硬件设备130之间运行第一通信协议。其后，硬件设备130作为服务器计算机110以及客户端计算机120的浏览器应用410之间的智能接口。换言之，硬件设备130控制并且观察在服务器计算机110
和浏览器应用410之间的数据通信。在安全操作模式中，代理应用 420作为一种开关而操作。另一方面，代理应用420在安全操作模式中将从硬件设备130所接收的客户端请求转发至通信网络160，以及将从通信网络160所接收的服务器响应转发至硬件设备130。另一方面，代理应用420在安全操作模式中将从浏览器应用410接收的客户端请求转发至硬件设备130，并且将从硬件设备130接收的服务器响应转发至浏览器应用410。
在已经建立了第一通信协议之后，硬件设备130分别针对预定义事务信息来解析从客户端计算机120接收的客户端请求、或者从浏览器应用410接收的客户端请求。换言之，硬件设备130观察其从客户端计算机120接收到的数据流量是否包含任何预定义事务信息。此类预定义事务信息例如可以是诸如支付细节、支付数额等的安全性敏感信息。预定义事务信息例如可以由各URL的所有者来预定义，例如由用户希望与其执行事务的银行来预定义。预定义事务信息例如可以借助于HTTP post请求来发送。一旦一全测到预定义事务信息，则硬件设备130中断相应的客户端请求，并且在硬件设备 130的硬件设备显示器210上显示所检测到的预定义事务信息。希望执行事务的用户继而可以在硬件设备显示器210上检查各个事务信息是否正确。作为示例，如果预定义事务信息涉及电子支付的转账数额，则硬件设备130可以在硬件设备显示器210上显示各自的转账数额。用户可以在硬件设备显示器210上检查转账数额是否正确。仅在如果用户经由硬件设备输入单元280确认了事务(例如，通过按下确认按钮)时，硬件设备130继续进行事务。如果硬件设备130 接收到此类确认，则其继续该事务并且经由代理应用420和通信网络160将事务信息转发至服务器计算机110。如果硬件设备130没有接收到确认信号或者取消信号，则其取消该事务并且不向代理应用 420转发事务信息。
优选地，一旦检测到预定义事务信息，则硬件设备130发送中断消息(也称作确认请求消息)返回浏览器应用410。此类中断消息
可以向浏览器应用410指示硬件设备130已经识别了预定义事务信息，并且在继续进行该事务之前正在等待用户确认。优选的是，浏览器应用410在客户端计算机显示器121上向用户显示相应的中断消息(也称作确认请求消息)。此类中断消息例如可以通知用户该用户应当在硬件设备显示器210上双击事务信息是否正确，并且该用户应当经由硬件设备输入单元280来进行确认。
硬件设备130包括用于解析客户端请求的解析程序。解析程序包括预定义事务信息，并且可以是应用特定的。作为示例，银行可以发布其上装载有银行特定解析程序的银行特定的硬件设备130。各个银行可以将解析程序调整以适应于其特定的在线银行服务处理以及其特定的安全性要求和需求。优选的是，在可信和安全环境下初始化解析程序，例如在银行的安全位置处。解析程序优选地装载并存储于硬件设备130的安全性令牌310或者智能卡260之中。然而，根据本发明的另一实施例，解析程序可以存储在硬件设备130的存储设备230中。
根据本发明的一个实施例，硬件设备130针对预定义事务信息来解析从服务器计算机IIO接收到的服务器响应。换言之，除了解析客户端请求，硬件设备130还针对预定义事务信息来解析服务器响应。
在图4中，借助于虚线示出了由硬件设备130针对客户端请求和服务器响应执行的解析过程。
图5、图6、图7以及图8示出了根据本发明一个实施例方法的消息流程的示意性图示。其中，以标记箭头示出了在服务器计算机 110、代理应用420、浏览器应用410以及硬件设备130之间的消息流程，对各个箭头分配了各自的参考数字。以圆圏中的参考数字来指示其他的步骤或者子步骤。应该理解，如逐渐增大的参考数字所指示，此流程是以从上到下的顺序方式执行。
图5示出了常规操作模式中的消息流程。在步骤510中，客户端计算机120的用户借助于客户端计算机输入单元122来输入客户端请求(例如，网站的URL)。在步骤520 中，浏览器应用410向代理应用420发送客户端请求(例如，包含网站URL的HTTP get请求)。在步骤530中，代理应用420针对预定义请求集合(例如，针对预定义的URL集合)来解析客户端请求。在此示例中，假定步骤520中发送的客户端请求不属于或者不对应于预定义的客户端请求集合。由此，代理应用420在步骤540 中经由通信网络160来向服务器计算机IIO转发客户端请求。在步骤550中，服务器计算机IIO通过发送回服务器响应(例如，包括所请求URL的HTML文件的HTTP服务器响应)来进行回答。继而，在步骤560中，在客户端计算机显示器121上显示服务器响应(例如，包括所请求URL的HTML文件)。
步骤510、 520、 530、 540、 550以及560表示浏览器应用410 以及代理应用420的常规操作模式。可以在没有硬件设备130的情况下执行常规操作模式。在常规操作模式中，在浏览器应用410以及服务器计算机IIO之间运行第二通信协议。
在步骤570中，客户端计算机120的用户借助于客户端计算机输入单元122来输入另一客户端请求(例如，网站的URL)。在步骤580中，浏览器应用410向代理应用420发送相应的客户端请求。在此示例中，假定在步骤580中发送的客户端请求属于或者对应于预定义客户端请求集合。作为示例，在步骤580中发送的客户端请求可以是针对属于预定义URL集合的URL的HTTP get请求。例如，可以是用户银行的网站的URL。在步骤590中，代理应用420针对预定义请求集合来解析客户端请求，并且检查在步骤580中发送的客户端请求属于或者对应于预定义客户端请求集合。由此，代理应用420切换至安全操作模式，并且在步骤595中通过向硬件设备130 发送安全模式启动信号来在硬件设备130中启动安全操作模式。安全模式启动信号例如可以实现为"启动安全模式"命令，硬件设备 130可以理解该命令。安全模式启动信号向硬件设备130指示针对在浏览器应用410以及服务器计算机UO之间的后续通信，将要开始安全操作模式。
参考图6、图7以及图8，示出了安全操作模式中的消息流程。在步骤595中已经接收到安全模式启动信号之后，在步骤605 中，硬件设备130经由代理应用420来向浏览器应用410发送确认请求消息(CRM)。继而，在步骤610中，浏览器应用410在客户端计算机显示器121上向用户显示确认请求消息。确认请求消息要求用户确认将要执行安全操作模式。该消息例如可以显示如下"您请求的网站要求启动安全操作模式，请通过按下您硬件设备的确认按钮来确认同意，，。在步骤615中，在硬件设备130的硬件设备显示器210上显示相应的消息，尤其是诸如"确认安全模式？" 一类的縮略语。在步骤620中，可以经由硬件设备输入单元280来接收用户的确"i人响应。
一旦在步骤620中接收到用户确认，则硬件设备130在步骤625 中经由代理应用420以及通信网络160向服务器计算机110发送问候消息。在步骤630中，服务器计算机110经由通信网络160以及代理应用420向硬件设备130发回问候消息。在步骤635中，服务器计算机IIO对硬件设备130认证其自身。这可以包括向硬件设备 130发送服务器证书(公钥证书)。另外，可以包括针对客户端证书的证书请求。在步骤640中，客户端计算机120对服务器计算机110 认证其自身。这可以包括向服务器计算机IIO发送客户端证书(公钥证书)。总之，服务器计算机110以及硬件设备130在步骤635 和640中执行互相认证。
在步骤645和650中，服务器计算机110和硬件设备130交换对称密码密钥SK,也称作会话密钥。
可以借助于SSL/TLS握手协议来实现步骤625至650。接着，借助于会话密钥SK来以加密方式在硬件设备130和服务器计算机IIO之间执行数据传输。这例如可以借助于SSL/TLS记录协议来实现。在步骤655中，服务器计算机110向硬件设备130发送用户认证响应。此类用户认证响应例如可以包括具有用户字段和密码字段的HTML表单，用户可以向该用户字段和密码字段输入他的名称和密码。
由硬件设备130在步骤657中解密用户认证响应，并且继而在步骤660中经由代理应用420将其转发至浏览器应用410。在步骤 662中，在客户计算机显示器121上显示用户认证响应。在步骤665 中，用户经由客户端计算机输入单元122将其个人认证数据(例如，他的用户名称和密码)输入至相应的HTML表单中。继而，在步骤 670，浏览器应用410向硬件设备130发送包括用户认证数据的HTTP post请求。在步骤675中，硬件设备针对预定义事务信息解析HTTP post请求。在此示例中，假定HTTPpost请求包括的用户认证信息不是预定义事务信息。由此，在步骤677中，借助于对称会话密钥SK 来加密HTTP post请求，并且在步骤680中将其发送至服务器计算机IIO。服务器计算机110借助于对称会话密钥SK解析HTTP post 请求，并且如果用户认证数据有效，则在步骤695中认证用户。否则，服务器110可以取消该事务。
步骤655至695示出了服务器计算机110的附加用户认证，在，硬件设备13 0被盗或者丢失情况下可以实现该附加用户认证以增强安全性。根据另一示例性实施例，参考步骤655至步骤695描述的
继续参考图7来示出在安全操作模式中在用户认证之后的消息流程。
在步骤705中，服务器计算机110经由代理应用420向硬件设备130发送事务响应来作为服务器响应。此类事务响应例如可以包括HTML文件，该HTML文件具有用户在先前步骤中已经认证的银行账户数据。在步骤710中，硬件设备130借助于对称会话密钥SK 来解密服务器响应。在步骤715中，硬件设备130可以针对预定义事务信息来解析服务器响应。在此示例中，假定在步骤705中接收的服务器响应不包括预定义事务信息。则在步骤720中，经由代理应用420来从硬件设备130向浏览器应用410发送服务器响应。在步骤725中，浏览器应用410在客户端计算机120的客户端计算机显示器121上显示服务器响应。
根据以虚线示出的另一示例，假定在步骤705中接收的服务器响应包括预定义事务信息。继而，硬件设备130在解析步骤715中检测服务器响应包括预定义事务信息。由此，在步骤717中，硬件设备130在硬件设备显示器210上显示服务器响应的预定义事务信息。在步骤718中，如果用户确认，则借助于硬件设备输入单元280 来在硬件设备显示器210上显示服务器响应的事务信息，方法继续执行步骤720。如果用户没有确认服务器响应的事务信息，则硬件设备130取消该事务。
在步骤730中，用户输入不包括预定义事务信息的用户请求。该用户请求例如可以是获取用户银行账户的特定数据、用以显示银行账户的更多细节、或者用以执行所计划电子事务(例如货币转账) 的初始检查的客户端请求。在步骤735中，浏览器应用410经由代理应用420来向硬件设备130发送客户端请求。在步骤740中，硬件设备130针对预定义事务信息来解析所接收的客户端请求，并且检测该客户端请求不包括预定义事务信息。继而，在步骤745中，硬件设备130借助于对称会话密钥SK来加密客户端请求，并且在步骤750中将已加密的客户端请求发送至代理应用420。代理应用 420在步骤750中经由通信网络160将已加密客户端请求转发至服务器计算机IIO。在步骤755中，服务器计算机IIO借助于对称会话密钥SK来解密接收到的已加密客户端请求，并且处理已解密的客户端请求。
在步骤760中，服务器计算机110经由代理应用420将关于所接收客户端请求的服务器响应发送回硬件设备130。在步骤765中，硬件设备130借助于对称会话密钥SK来解密服务器响应。在步骤 770中，硬件设备130针对预定义事务信息来解析服务器响应。在此示例中，假定在步骤760中接收的服务器响应不包括预定义事务信息。由此，在步骤775中，经由代理应用420将已解密的服务器响应从硬件设备130发送至浏览器应用410,并且在步骤780中，浏览器应用410在客户端计算机120的客户端显示器121上显示服务器响应。
图8示出了在安全操作模式中对于包括预定义事务信息的客户端请求的消息流程。
在步骤805中，用户输入包括预定义事务信息的客户端请求。预定义事务信息例如可以是用以执行电子事务的最终命令。此类最终命令例如可以是货币转账命令，其具有诸如货币转账数额的支付细节。预定义事务信息例如可以由用户借助于客户端计算机输入单元112来在相应HTML表单中输入。在步骤810中，浏览器应用410 经由代理应用420来向硬件设备130发送包括预定义事务信息的客户端请求。这例如可以是HTTP post请求。在步骤815中，硬件设备130针对预定义事务信息来解析所接收的客户端请求，并且检测客户端请求包括预定义事务信息，例如上述货币转账的最终支付细节。继而，在步骤820中，硬件设备130经由代理应用420向浏览器应用410发送确认请求消息(CRM)。在步骤825中，浏览器应用410在客户端计算机120的客户端计算机显示器121上显示确认请求消息。确认请求消息指示用户硬件设备130已经检测到预定义事务信息，并且用户应该检查并确认在硬件设备130的硬件设备显示器210上的事务信息的正确性。确认请求消息例如可以读出如下"请检测您的安全性标记的显示器上的转账数额，如果转账数额正确，则通过按下安全性标记的确认按確丑来确认该事务"。
在步骤830中，硬件设备130在硬件设备显示器210上显示预定义事务信息(PTI)，例如将要转账的货币数额以及目的地账户。另外，还可以在硬件设备显示器210上显示某些确认消息。由于硬件设备显示器210可能非常小，优选的是，以缩略形式显示此类确认消息，例如"请确认将数额X转账至账户Y"。继而，用户可以在硬件设备显示器210上显示事务信息是否正确。此外，用户可以
将在硬件设备显示器210上显示的事务信息与在客户端计算机显示器121上显示的事务信息进行比较。如果用户在确认步骤835中确认在硬件设备显示器210上显示的事务信息是正确的，例如通过按下硬件设备输入单元280的确认按钮来进行确认，则将继续该事务。继而，在步骤840中，硬件设备130借助于对称会话密钥SK来加密包括事务信息的客户端请求，并且在步骤845中将已加密的客户端请求发送至代理应用420。代理应用420经由通信网络160将已加密的客户端请求转发至服务器计算机110。服务器计算机110在步骤 850中通过对称会话密钥SK来解密所接收的已加密客户端请求。继而，在步骤855中，服务器计算机IIO执行该事务。在货币转账的示例中，服务器计算机IIO将在步骤855中将货币转账至目的地账户。
如果用户没有确认在硬件设备显示器210上显示的事务信息是正确的，则方法继续步骤870,如虚线表示。可以由用户主动调取不确认事务，例如通过按下硬件设备输入单元280的取消按钮；或者被动地进行，例如，如果硬件设备130在预定超时时段内没有接收到确认。继而，在步骤875中，硬件设备130取消事务，并且不向服务器计算机IIO转发事务信息。此外，在步骤880中，硬件设备 130可以经由代理应用420来向浏览器应用410发送取消消息(CM )。浏览器应用410在步骤885中在客户端计算机120的客户端计算机显示器121上显示取消消息。取消消息指示用户硬件设备130已经取消了该事务。取消消息例如可以阅读如下"由于没有确认，该事务已经取消。如果您已经观察到在您经由自己的PC的键盘输入的事务信息以及在您的安全性标记的显示器上显示的事务信息之间的差异，则您的PC可能受到了恶意软件的威胁"。另外，在步骤890 中，取消消息还可以显示在硬件设备的显示器210上。
所公开的任何实施例可以与所示和/或所述的一个或者多个其他实施例相结合。这对于实施例的一个或者多个特征也可以如此。附加实施例细节
在此所述的技术可以实现为方法、装置或者产品，其中包括软件、固件、微代码、硬件和/或其中任何的结合。在此使用的术语"产品"是指在介质中实现的代码或者逻辑，其中此类介质可以包括硬件逻辑(例如，集成电路芯片、可编程门阵列(PGA)、专用集成
电路(ASIC )等)或者计算机可读介质，诸如磁性存储介质(例如，硬件驱动、软盘、磁带等)、光存储介质(CD-ROM、光盘等)、易失性以及非易失性存储器设备(例如，电可擦除可编程只读存储器(EEPROM )、只读存储器(ROM )、可编程制度存储器(PROM )、随机访问存储器(RAM)、动态随机访问存储器(DRAM)、静态随机访问存储器(SRAM)、闪存、固件、可编程逻辑等)。在计算机可读介质中的代码由处理器来访问和执行。其中编码有代码和逻
辑的介质还可以包括通过以下方式传播的传输信号通过空间传输或者通过诸如光纤、铜线等的传输介质进行传输。其中编码有代码或者逻辑的传输信号可以进一步包括无线信号、卫星传输、无线电波、红外信号、蓝牙等。其中编码有代码或者逻辑的传输信号能够由发射台进行发送并且由接收台进行接收，其中在传输信号中编码
机可读介质中。另外，"产品，，可以包括其中可以实现、处理和执行代码的硬件组件以及软件组件的结合。当然，本领域技术人员应该认识到，可以进行多种修改而并不脱离本实施例的范围，并且产品可以包括任何信息承载介质。例如，产品可以包括存储介质，在该存储介质中存储的指令在当由机器执行时导致执行各种操作。特定实施例可以采取完全硬件实施例的方式、可以采取完全软
实施例中，本发明以软件实现，其包括但不限于固件、驻留软件微代码等。
此外，特定实施例可以采取计算机程序产品的方式，该计算机程序产品可以从计算机可用或者计算机可读介质来访问，其中该介质被提供用于与计算机或者任何指令执行系统使用或者与计算机或者任何指令执行系统相结合的程序代码。出于描述的目的，计算机可用或者计算机可读介质可以是任何装置，其中可以包括存储、通信、传播或者传输程序的装置，其中该程序用于由指令执行系统、装置或者设备使用或者与指令执行系统、装置或者设备相结合。该介质可以是电子、磁性、光学、电磁、红外或者半导体系统(或者装置或者设备)或者传播介质。计算机可读介质的示例包括半导体
或者固态存储器、磁带、可移动计算机盘、随机访问存储器(RAM)、只读存储器(ROM)、刚性磁盘以及光盘。当前，光盘的示例包括压缩盘-只读存储器(CD-ROM)、压缩盘-读/写(CD-R/W)以及 DVD。
除非特别另行指出，术语"特定实施例"、"一个实施例"、 "实施例"以及"多个实施例"、"所述实施例"、"所述多个实施例"、"一个或者多个实施例"、"某些实施例"以及"一种实施例，，意味着一个或者多个(但并非全部)实施例。除非特别另行指出，术语"包括"、"包含"、"具有"及其各种变型意味着"包括但不限于"。除非特别另行指出，所述枚举的项目列表并不意味着这些项目的任意或者全部是互相排他的。除非特别另行指出，术语"一个，，、"一种，，以及"所述，，意味着"一个或者多个，，。
除非特别另行指出，彼此进行通信的设备不必彼此进行连续通信。另外，彼此通信的设备可以直接通信或者通过一个或者多个中介来间接地进行通信。另外，具有彼此通信的多个组件的实施例的描述并不表示需要所有这些组件。相反，描述了各种可选组件以示出可能的实施例的宽广的范围。此外，尽管可以以顺序方式描述处理步骤、方法步骤、算法等，此类处理、方法和算法可以配置以按照其他备选顺序执行。换言之，可以描述的任意步骤的顺序或者次序并不指示需要以所述顺序执行那些步骤。在实践中，在此描述的
处理步骤可以以其他顺序来执行。此外，可以并发地、并行地或者同时地执行某些步骤。
当在此描述单一设备或者物品时，应该理解，可以使用一个以上的设备/物品(无论其是否协作)来代替单一设备/物品。同样，在此描述一个以上的设备或者物品时(无论其是否协作)，应该理解，可以使用单一设备/物品来代替一个以上的设备或者物品。备选的是，设备的功能性和/或特征可以由没有明确描述为具有此类功能性/特征的一个或者多个其他设备来实现。由此，其他示例不必包括设备自身。
在此上下文中的计算机程序装置或者计算机程序意味着以任何语言、代码或者概念、或者一组指令形式的任何表述，其旨在使得具有信息处理能力的系统直接地或者在以下两个步骤的任何一个或两者之后执行特定功能，所述两个步骤包括a)转换至另一语言、代码或者概念；b)以不同材料形式再现。
权利要求
1. 一种用于在服务器计算机(110)以及客户端计算机(120)之间执行电子事务的方法，所述方法包括以下步骤-经由通信网络(160)在所述服务器计算机(110)以及硬件设备(130)之间，通过已加密数据传输以及相互认证，来运行第一通信协议，-在所述硬件设备(130)中对从所述服务器计算机(110)接收的已加密服务器响应来执行解密，-将来自所述硬件设备(130)的所述已解密服务器响应转发至所述客户端计算机(120)，-在所述客户端计算机(120)的客户端计算机显示器(121)上显示所述已解密服务器响应，-由所述硬件设备(130)接收将要从所述客户端计算机(120)向所述服务器计算机(110)发送的客户端请求，-由所述硬件设备(130)针对预定义事务信息解析所述客户端请求，-由所述硬件设备(130)将其中不包含任何预定义事务信息的客户端请求加密并且转发至所述服务器计算机(110)，-一旦在客户端请求中检测到预定义的事务信息，则在所述硬件设备(130)的硬件设备显示器(210)上显示所述预定义事务信息，-如果接收到用户确认，则将其中包含预定义事务信息的所述客户端请求加密并且转发至所述服务器计算机(110)，-如果没有接收到用户确认，则取消所述电子事务。
2. 根据权利要求1所述的方法，进一步包括以下步骤-在常规操作模式中，经由所述客户端计算机(120)的代理应用(420),在所述客户端计算机(120)的浏览器应用(410)以及所述服务器计算机(110)之间来运行第二通信协议，-在安全操作模式中，在所述服务器计算机(110)以及所述硬件设备(130)之间运行所述第一通信协议，-在所述安全操作模式中，经由所述代理应用(420)将客户端请求从所述浏览器应用(410)路由至所述硬件设备(130),以及经由所述代理应用(420)将客户端请求从所述硬件设备(130)路由至所述服务器计算机(110),-在所述安全操作模式中，经由所述代理应用(420)将服务器响应从所述服务器计算机(110)路由至所述硬件设备(130)，以及经由所述代理应用(420)将服务器响应从所述硬件设备(130) 路由至所述浏览器应用(410)。
3. 根据权利要求2所述的方法，进一步包括以下步骤-由所述代理应用(420)针对预定义的客户端请求集合而解析客户端请求，画一旦检测到预定义的客户端请求，则由所述代理应用(420) 来启动所述安全操作模式。
4. 根据前述权利要求的任一项所述的方法，在从所述硬件设备 (130)向所述客户端计算机(120)转发所述已解密服务器响应之前，进一步包括以下步骤-由所述硬件设备(130)来针对预定义的事务信息解析所述服务器响应，-由所述硬件设备(130)向所述客户端计算机(120)转发不包含任何预定义的事务信息的服务器响应，- 一旦在服务器响应中检测到预定义的事务信息，则在所述硬件设备(130)的所述硬件设备显示器(210)上显示所述预定义的事务信息，-如果接收到用户确认，则向所述客户端计算机(120)转发包含所述预定义事务信息的所述服务器响应，-如果没有接收到用户确认，则取消所述电子事务。
5. 根据前述权利要求的任一项所述的方法，其中所述第一通信协议包括网络层，所述网络层包括根据安全套接层SSL标准、或者根据传输层安全性TLS标准的协议，以及根据传输控制协议/因特网协议TCP-IP标准的协议。
6. 根据前述权利要求的任一项所述的方法，其中所述第一通信协议包括包含超文本传输协议HTTP的应用层。
7. 根据前述权利要求的任一项所述的方法，其中所述第二通信包括包含传输控制协议/因特网协议TCP/IP的网络层、以及包含超文本传输协议HTTP的应用层。
8. 根据前述权利要求的任一项所述的方法，进一步包括以下步骤-由所述服务器计算机(110)执行用户认证。
9. 根据前述权利要求的任一项所述的方法，进一步包括以下步骤-由所述硬件设备(130)执行用户认证。
10. —种用于执行电子事务的系统(100),包括 -服务器计算机(110),画客户端计算机(120)，包括客户端计算机显示器(121 )以及客户端计算机输入单元(122)，-硬件设备(130)，包括硬件设备显示器(210), -在所述硬件设备(130)和所述服务器计算机(110)之间的通信网络(160)，所述系统(100)适用于-在所述服务器计算机(110)以及所述硬件设备(130)之间，通过已加密数据传输和相互认证来运行第一通信协议，-在所述硬件设备(130)中，对从所述服务器计算机(110) 接收的已加密服务器响应来执行解密，-将所述已解密服务器响应从所述硬件设备(130)转发至所述客户端计算机(120),-在所述客户端计算机显示器(121)上呈现所述已解密服务器响应，-由所述硬件设备(130)接收将要从所述客户端计算机(120) 向所述服务器计算机(110)发送的客户端请求，-由所述硬件设备(130)针对预定义事务信息解析所述客户端请求，-将其中不包含任何预定义的事务信息的客户端请求加密并且转发至所述服务器计算机(110),- 一旦在客户端请求中检测到预定义的事务信息，则在硬件设备显示器(210)上显示所述预定义事务信息，-如果接收到用户确认，则将其中包含预定义事务信息的所述客户端请求加密并且转发至所述服务器计算机(110)，-如果没有接收到用户确认，则取消所述电子事务。
11. 一种用于借助于硬件设备(130)来控制在服务器计算机 (110)以及客户端计算机(120)之间的电子事务的方法，在所述硬件设备(130)中，所述方法包括以下步骤-通过已加密数据传输和相互认证，与所述服务器计算机(110) 运行第一通信协议，-对从所述服务器计算机(110)接收的已加密服务器响应来执行解密，-将所述已解密服务器响应转发至所述客户端计算机(120), -接收将要从所述客户端计算机(120)发送至所述服务器计算机(110)的客户端请求，-针对预定义事务信息来解析所述客户端请求，_将其中不包含任何预定义的事务信息的客户端请求加密并且转发至所述服务器计算机(110),- 一旦在客户端请求中检测到预定义的事务信息，则在所述硬件设备(130)的硬件设备显示器(210)上显示所述预定义事务信息，-如果接收到用户确认，则将其中包含所述预定义事务信息的所述客户端请求加密并且转发至所述服务器计算机(110),-如果没有接收到用户确认，则取消所述电子事务。
12. —种用于控制电子事务的硬件设备(130),包括硬件设备显示器(210)以及硬件设备接口单元(270),其中所述硬件设备接口单元(270)被提供用于将所述硬件设备(130)耦合至客户端计算机(120)，其中所述硬件设备(130)适用于-通过已加密数据传输和相互认证，来与服务器计算机(110) 运行第一通信协议，-对从所述服务器计算机(110)接收的已加密服务器响应来执行解密，-将所述已解密服务器响应转发至所述客户端计算机(120)，-接收将要从所述客户端计算机(120)发送至所述服务器计算机(110)的客户响应，-针对预定义事务信息来解析所述客户端请求，-将其中不包含任何预定义的事务信息的客户端请求加密并且转发至所述服务器计算机(110)，- 一旦在客户端请求中检测到预定义的事务信息，则在所述硬件设备显示器(210)上显示所述预定义事务信息，-如果接收到用户确认，则将其中包含所述预定义事务信息的所述客户端请求加密并且转发至所述服务器计算机(110),-如果没有接收到用户确认，则取消所述电子事务。
13. 根据权利要求12所述的硬件设备(130)，其中所述硬件设备(130)包括安全性令牌(310)用于存储安全性敏感数据。
14. 根据权利要求12所述的硬件设备(130),其中所述硬件设备(130)包括智能卡读取器(250)用于从智能卡(260)读取安全性敏感数据。
15. 根据权利要求12至14的任一项所述的硬件设备(130)，其中所述硬件设备(130)具有预定义的防止篡改级别。
16. 根据权利要求15所述的硬件设备(130),其中所述硬件设备(130)的所述预定义的防止篡改级别高于所述客户端计算机(120)的防止篡改级别。
17. 根据权利要求12至16的任一项所述的硬件设备(130), 其中所述硬件设备(130)以如下方式设计不能将软件应用装载至所述硬件设备(130)。
18. 根据权利要求13至17的任一项所述的硬件设备(130)，其中所述安全性敏感数据包括私钥以及信任根数据。
19. 根据权利要求12至18的任一项所述的硬件设备(130)，其中所述硬件设备(130)包括硬件设备输入单元(280 )用于确认和/或取消事务。
20. —种客户端计算机(120),所述客户端计算机(120)经由第一接口 ( 156)连接至通信网络(160),并且经由第二接口 ( 155) 连接至硬件设备(130),所述客户端计算机(120)包括-浏览器应用(410),用于浏览所述通信网络(160);以及代理应用(420),所述代理应用(420)适用于-在常规操作模式中，将从所述客户端计算机(120)的所述浏览器应用(410)接收的客户端请求转发至所述通信网络(160) 的服务器计算机(110)，-在常规操作模式中，将从所述服务器计算机(110)接收的服务器响应转发至所述客户端计算机(120)的所述浏览器应用(410),-在安全操作模式中，将客户端请求从所述浏览器应用(410) 转发至所述硬件设备(130),以及将客户端请求从所述硬件设备(130)转发至所述服务器计算机(110)，-在安全操作模式中，将从所迷服务器计算机(110)所接收的服务器响应转发至所述硬件设备(130),以及将服务器响应从所述硬件设备(130)转发至所述浏览器应用(410),其中所述客户端计算机(120)适用于在所述安全操作模式中，经由所述硬件设备(130)并经由所述通信网络(160)，来与所述服务器计算机(110)执行电子事务。
21. 根据权利要求20所述的客户端计算机(120),其中所述代理应用(420)适用于-针对预定义的客户端请求集合来解析客户端请求，- 一旦检测到预定义客户端请求，则启动所述安全操作模式。
22. 根据权利要求21所述的客户端计算机，其中通过从所述代理应用(420)向所述硬件设备(130)发送安全模式启动信号来启动所述安全一莫式。
23. —种计算机程序(420)，包括如下指令当所述计算机程序(420)在客户端计算机(120)上执行时，所述指令执行根据权利要求1至9的任一项所述的步骤。
24. —种用于借助于硬件设备(130)来控制在服务器计算机(110)以及客户端计算机(120)之间的电子事务的方法，在所述硬件设备(130)中，所述方法包括以下步骤-通过已加密数据传输和相互认证，来与所述服务器计算机 (110)运行第一通信协议，-对从所述服务器计算机(110)接收的已加密服务器响应来执行解密，-针对预定义事务信息来解析所述客户端请求， -将其中不包含任何预定义的事务信息的服务器响应转发至所述客户端计算机(120),- 一旦在服务器响应中检测到预定义的事务信息，则在所述硬件设备(130)的硬件设备显示器(210)上显示所述预定义事务信息，-如果接收到用户确认，则将其中包含预定义事务信息的所述服务器响应转发至所述客户端计算机(120)，-如果没有接收到用户确认，则取消所述电子事务。
25. —种用于控制电子事务的硬件设备(130),包括硬件设备显示器(210)以及硬件设备接口单元(270),其中所述硬件设备接口单元(270)被提供用于将所述硬件设备(130)耦合至客户端计算机(120),其中所述硬件设备(130)适用于-通过已加密数据传输和相互认证，来与服务器计算机(110)运行第一通信协议，-对从所述服务器计算机(110)接收的已加密服务器响应来执行解密，-针对预定义事务信息来解析所述服务器响应，-将其中不包含任何预定义的事务信息的服务器响应转发至所述客户端计算机(120),- 一旦在服务器响应中检测到预定义的事务信息，则在所述硬件设备显示器(210)上显示所述预定义事务信息，-如果接收到用户确认，则将其中包含预定义事务信息的服务器响应转发至所述客户端计算机(120),-如果没有接收到用户确认，则取消所述电子事务。
全文摘要
本发明涉及一种用于执行电子事务的系统和方法，所述方法包括运行第一通信协议，在硬件设备中对已加密服务器响应来执行解密，将已解密服务器响应转发至客户端计算机，在客户端计算机上显示已解密服务器响应，由硬件设备接收将要从客户端计算机向服务器计算机发送的客户端请求，由硬件设备解析客户端请求，由硬件设备将其中不包含任何预定义事务信息的客户端请求加密并且转发至服务器计算机，一旦在客户端请求中检测到预定义的事务信息，则在硬件设备的硬件设备显示器上显示预定义事务信息，如果接收到用户确认，则将其中包含预定义事务信息的客户端请求加密并且转发至服务器计算机，如果没有接收到用户确认，则取消电子事务。
文档编号H04L29/06GK101442525SQ20081017427
公开日2009年5月27日申请日期2008年11月17日优先权日2007年11月19日
发明者R·J·赫尔曼, T·D·韦戈尔德申请人:国际商业机器公司

完整全部详细技术资料下载

该技术已申请专利。仅供学习研究，如用于商业用途，请联系技术所有人。
技术研发人员：T.D.韦戈尔德;R.J.赫尔曼
技术所有人：国际商业机器公司
我是此专利的发明人

上一篇：一种媒体终端及媒体终端的数据同步方法和系统的制作方法
上一篇：一种远程改变通信设备的操作特性的方法

该领域下的技术专家
如您需求助技术专家，请点此查看客服电话进行咨询。
1、王老师：1.数字信号处理 2.传感器技术及应用 3.机电一体化产品开发 4.机械工程测试技术 5.逆向工程技术研究
2、王老师：1.机器人 2.嵌入式控制系统开发
3、孙老师：1.振动信号时频分析理论与测试系统设计 2.汽车检测系统设计 3.汽车电子控制系统设计
4、毕老师：机构动力学与控制
5、袁老师：1.计算机视觉 2.无线网络及物联网
如您是高校老师，可以点此联系我们加入专家库。