专利名称:保护电子交易的制作方法
技术领域:
本发明涉及在数字通讯系统中保护交易的方法,特别是验证、授权和帐号。
背景技术:
在数字通讯系统中电子交易的概念通常是指在用户和一个或几个服务供应商处的联网计算机之间或者仅仅在联网计算机之间的合作中执行的普通功能以及功能的结果。典型的例子包括银行服务、预定服务、电子商务中心、所谓社区以及登录到与服务连接的计算,比如电子邮政(e-post)、文件共享等等。
即使用户的概念通常具有“人”的联系,应该强调的是,所述概念里面还包括有“非人”的单位,也就是计算机形式的机器。因此,以下将使用用户身份的概念,并且应该认为用户身份的概念与用户的概念是互换的。
这些服务的主要特征是,它们包括处理用户可获取的那些信息。这类信息的例子包括银行帐号上的资产或其它敏感信息。此外,通常格外重要的是,这类信息采用一定的方式管理,使得没有得到授权的人要访问所述信息是不可能的或者说至少是非常困难的。
现有技术中产生了许多不同的安全系统和方法,来顺应上述需要,使得没有得到授权的人要访问所述信息尽可能的困难。比如验证、授权和帐号这些概念是众所周知的,并且记载在了现有技术中。
简而言之,验证意味着交易系统的用户的身份对于系统的其它用户或者对于系统本身来说是受到保护的。授权意味着在系统中进行交易或者利用系统与系统的其它用户进行交易的优先获得授权的用户的权限是受到保护的。帐号意味着记录并存储关于系统中用户的策略(measures)和交易,使得授权用户可以在任何时间点读取和解释所述信息。
如今可获得的验证的解决方案是使用所谓的“带内(in-band)”验证,其是指验证数据是通过一路线传递的,该路线与交易过程中随后传递和接收数据的路线是同一路线。这个程序意味着用户的验证是通过比如用户名和密码、单用户密码或类似物来完成的。不管数据的加密和用户的确认是否是通过证书来完成的,系统不可能知道坐在使用着的终端后面的人是否是正确的人,即使该用户看上去是被识别了的。此外,在大多数情况下,真实的用户并不会发现是否有除了他自己以外的其他人通过他们的识别信息、所谓的帐号来进行登录。更进一步的,这意味着,对于用户来说,要知道他的登录信息是否已经散播出去或者单用户密码是否已经被除了用户自己以外的其他人使用(比如是否有人拷贝了单用户密码的用户列表)实际上是不可能的。此外,有一个关于密码的基本问题,它们很容易通过所谓的“强力(brute-force)”/“代码字典(dictionary)”攻击方式来猜测和破解。
因为错误登录的记录是由系统本身而不是由服务帐号持有者来完成的,所以如今的识别和核准系统基本上都是不安全的。即使已知的系统比如使用单用户密码,授权用户也不可能防止未授权用户误用其已经取得的密码。
在比如(i.a.)US6,285,991和微软公司的“.NET Passport”产品以及大多数使用用户名和密码的网络服务中可以找到利用“带内(in-band)”进行验证处理的例子。
发明内容
因此,本发明的目的是为了解决现有技术中与电子交易相关的涉及验证、授权和帐号的问题。
根据本发明的第一个方面,上述目的是通过一种用于保护电子交易的许可服务方法来达到的。该过程包括多个步骤,首先是接收要求,许可与至少一个用户身份和一个商务服务进行商务交易;接着控制用户身份的授权,该授权用于使用商务交易。然后由加密并签名的校验文件与用户身份进行交流,该校验文件至少包括有关于商务交易的信息。然后依据校验文件的内容许可该商务交易。
在优选实施例中,用户授权的控制包括接收关于用户身份的识别信息,校验文件的交流包括取得与用户身份有关联的公共证书。通过用户身份的公共证书创建和加密校验文件,通过许可服务的私有密钥对校验文件进行签名。然后该校验文件被传递给用户身份。
当校验文件传递给用户身份之后,在用户身份处对校验文件进行处理,这将在以下与本发明第二个方面有关的部分进行说明。
然后,从用户身份处接收校验文件,并取得用户身份的公共证书。对用户的签名进行校验,之后通过许可服务的私有密钥解密校验文件。然后对校验文件中的内容进行解释,根据该内容来许可商务交易。
在识别信息列表中优先获取关于用户的识别信息,并且优先的对用户身份的授权进行控制,使得该控制包括许可服务和第一目录服务之间的通讯,该第一目录服务包括有识别信息列表。证书的取得优选的包括许可服务和第二目录服务之间的通讯,该第二目录服务包括有证书列表。
在实施例中,所述许可服务是商业服务的一部分。
从第二个方面,通过在用户身份单元中用于保护电子交易的方法来达到本发明的目的。该方法包括与加密并签名的校验文件中的许可服务进行交流,该校验文件至少包括有关于商务交易的信息。依靠校验文件的内容给出授权数据,其意义是使得许可服务能够许可商务交易。
换句话说,通过使用用户身份的“带外(out-of-band)”验证,可以获得高度安全的优点,其中仅仅只有识别符号(比如用户名)通过商务系统媒介而通过。这种安全意味着用户身份通过并行的或附加的通道,也就是许可服务,进行验证和授权,来许可交易。其结果就是可以对许可交易以及许可进入限定的商务服务提供更高的安全性。通过使用非对称加密,利用公共证书和私有密钥,其中可获取信息的加密和签名,就能获得不能从外部读取的、安全的以及并行的或附加的通道。从而,因为交易许可问题被传递给授权用户,所以商务服务的持有者就比如可以确定该服务的用户就是拥有帐号/授权权力的用户。
授权用户身份也编排在许可用户身份登录的系统中,使得该系统知道谁被授权使用该系统。然而,应该考虑该用户身份本身许可是否进入该系统。
本发明可有利的用在多个不同的应用领域中,包括电子付款、登录系统、语音识别、微支付系统、提取现金和其它支付许可,比如商店中的信用卡支付许可。本发明也适用于需要在不同用户之间进行协作来许可交易的不同种类的系统,例如登录以及甚至更强劲(sturdy)的处理,比如硬件恢复(retrieval of hardware)、门禁通道(passage throughdoors)等等。
图1为实现本发明的数字通讯系统的示意图;图2a和图2b为根据本发明的许可服务中的方法的流程图;图3为根据本发明的客户端中的方法的流程图。
具体实施例方式
首先,给出非对称加密的简要解释,接着说明优选的实现本发明的系统。然后详细说明根据本发明的方法。应当注意到,用户的概念与用户身份的概念应当是互换的,也就是,用户仅仅只是一个人形(human shape)中身份的例子,该身份随着本发明而变化。
非对称加密是基于公共证书和私有密钥,该公共证书和私有密钥是相互成对的。比如通过公共目录服务,公共证书对每个人来说都是可以获取的,并且对于公众来说也是可获取的。关于公共证书,重要的是,证书中信息的来源是安全的。私有密钥中的信息应当在所有时刻都是保密的,并且只能由一个人使用,这个人是对应当传递和接收的信息进行加密和签名的那个人。
通过公共证书加密的数据仅仅只能由拥有与公共证书相关的私有密钥的那个人进行解密。
通过私有密钥签名的数据可以通过与私有密钥相关的公共证书进行检查。签名意味着,初始签名的信息必须一直到依靠公共证书检查签名的时候都是同样的信息,并且当签名和公共证书相互印证的时候,对信息进行签名的人是已知的。
即使当实施本发明的时候是优选的通过数字证书使用非对称加密,本领域技术人员也能理解,本发明也可以通过其它的密码解决方案来实施。
图1示出了系统100,其包括多个连接到通讯网络112的通讯方。第一用户单元102,比如个人计算机,设置成向用户103提供进入商务服务104的通道,该服务可以是银行、商店或者类似的服务。第二用户105通过更直接的个人连接,比如就出现在拥有能够控制商务服务104的人员的地方比如出现在银行办公室或者商店,而具有进入商务服务104的通道。第三用户119通过移动设备118比如移动电话而具有进入商务服务104的通道,该移动设备118布置成借助移动网络116,通过网络桥(network bridge)114,与通讯网络112进行通讯,商务服务104连接到该通讯网络112。
使用移动终端的另一种可选方式可以是用户,比如第一用户103使用移动电话来许可登录到商务服务。换句话说,用户利用个人计算机形式的用户终端来请求进入商务服务,并与商务服务进行通讯,之后,用户利用移动电话来许可交易。
商务服务104优选的以计算机中的软件成分形式来实施,其具有接收用户进行商务交易请求的任务,并且其具有执行商务交易或至少控制商务交易的执行的功能。商务服务104进一步具有与许可服务106进行交流的功能,这将参考图2中的流程图来更严密的说明。
许可服务106连接到通讯网络112。许可服务106也优选的通过计算机中的软件来实施的,其具有处理处理信息和传递比如用户和商务服务之间的信息的任务,这将参考图2中的流程图来更严密的说明。
许可服务的可选实施例意味着,其完成一部分商务服务。
第一目录服务108和第二目录服务110,以一个或多个计算机中的软件成分形式来实施,也连接到通讯网络112。这些目录服务108、110具有向用户和许可服务106提供数据的主要功能。在其最简单的实施例中,第一目录服务108包括有关于被授权使用商务服务的用户识别信息的列表或数据库。第二目录服务110在其最简单的实施例中包括有属于用户和服务提供者的公共证书列表形式的信息。这些目录服务的使用将参考图2中的流程图来更严密的说明。
现在将参考图1、2a和2b中的流程图来说明根据本发明的方法。其情形是用户,不管是第一用户103、第二用户105或者是第三用户119,试图进行与商务服务104合作的商务交易。在用户为第一用户102的情形下,通过界面比如与商务服务104有关的环球网上的主页,借助优选的为个人计算机或类似物的用户单元102,来发生与商务服务104之间的通讯。在用户为第二用户105的情形下,通过商务服务为比如银行办公室或商店的前提下的直接联系,来发生与商务服务104之间的通讯。在用户为第三用户119的情形下,通过电话118、移动系统116和网络桥114,来发生与商务服务104之间的通讯。
为了避免由于不必要的细节而使得本发明描述不清楚,有关通讯系统112中不同单元之间如何进行通讯的细节在此不做严密的说明。本领域技术人员将会选择合适的处理方法来实施本发明,该处理方法为选择通信服务、通讯协议等形式。
在初始步骤202中,商务服务104要求用户识别其自身,该用户与商务服务104联系并希望进行商务交易。由于用户向商务服务104提供识别信息形式的数据,然后从商务服务104传递到许可服务106,所以用户符合该要求。适当的,识别信息至少包括用户身份比如名字、数字组合以及符号序列。适当的,识别信息还包括说明所述的商务交易的字符串。
在检查步骤204中,通过将识别组与用于授权用户的识别信息目录相匹配,该目录优选的在第一目录服务108中获取,许可服务106检查传递的关于用户的识别信息,该用户被授权使用商务服务104。
如果识别信息不被许可,或者不存在于目录中,那么在决定步骤206中中断该交易,并且许可服务106做出反应,传递的识别信息不能使用该服务。关于发生事件的消息可在记录步骤208中传递给用户帐号的拥有者或者比如商务服务或许可服务的拥有者。
在取得步骤210中,许可服务106从第二目录服务110中取得公共证书。
如果识别信息的公共证书不存在、已经过期或者,如果其被取消(撤销)或以其它方式不能获得,那么在决定步骤212中中断该交易。这里同样可以进行记录,如上述步骤206和208。
在文件创建步骤214中将创建校验文件,该文件包括时间标记、独特的字符串以及识别信息。当然,关于交易的信息识别细节也可包括在校验文件中。该校验文件通过用户的公共证书进行加密,使得仅仅只有用户可以解密,然后其被标记上许可服务106的私有密钥。
然后,校验文件在传递步骤216中传递给用户。通过适当选择的消息服务,比如电子邮件(e-mail)、即时消息服务或一些能传递消息的其它消息服务,来完成所述传递。
在取得步骤218中,用户从第二目录服务110中取得许可服务106的公共证书。
如果识别服务106的公共证书不存在、已经过期或者,如果其被取消(撤销)或以其它方式不能获得,那么在决定步骤220中中断该交易。
在解密步骤222中,当用户通过签字和许可服务106的公共证书控制服务已知并受到用户信任的时候,用户通过其私有密钥解密校验文件。
在决定步骤224中,用户选择许可或拒绝进入许可服务106,或者选择不发送回复,这将在后面通过与用户拒绝进入服务一样的方式被中断。这里,用户自身可以选择中断交易。
在处理步骤226中,用户将关于许可或拒绝的信息附加到校验文件中,采用许可服务106的公共证书对其进行加密,并利用其私有密钥对文件进行签名。
然后,在传递步骤228中,将校验后的文件回传给许可服务106,依据决定步骤224,作为验证和授权或作为拒绝。
在取得步骤230中,许可服务106从第二目录服务110中取得识别信息的公共证书。
如果公共证书不存在、已经过期或者,如果其被取消(撤销)或以其它方式不能获得,那么在决定步骤232中中断该交易。
在处理步骤234中,考虑与识别信息相关的数字证书来校验签名,然后通过许可服务106的私有密钥解密内容,并且从用户校验的文件中读取授权数据。
如果回传给许可服务106的校验文件中包括了拒绝,那么在决定步骤236中中断该交易。
如果回传给许可服务106的校验文件中包括了许可,并包括了随之而来的用户被验证以及交易被许可的信息,那么,在允许步骤238中,将准许进入服务,这在一个简单的实施例中包括了向商务服务104传递信号或消息。
用户可以加密他的应当保密的个人密钥,该个人密钥比如借助密码保存在用户的移动电话、计算机或者类似的结构中,使得该私有密钥需要验证才能使用,这意味着该密钥也得到了保护。
当使用消息服务的时候,当在用户和许可服务106之间传递信息的时候,优选的通过证书来完成验证,但是这超出了本发明的范围。
参考图1和图3,以下将说明比如在用户的计算机或移动通讯单元中,当他根据图2a和图2b说明的方法与许可服务进行通讯的时候所采用的方法。因此,将要说明的方法可被描述为客户端方法,该方法与系统的其它部分一起协作,且具有向用户显示授权和验证问题并将这些问题的答案回传的任务。
“用户”意味着具有依据受到的信息做出决定的能力的自然人、法人、另外的系统或服务或者另外的单位。
在接收步骤302中,通过通讯界面接收消息,客户端通过电子的或其它方式连接到该通讯界面。
在解释步骤304中,消息中的信息被解释成用于用户通讯单元或计算机的本地格式。
在控制步骤306中,消息签名受到控制,并且由希望传递消息的那个人给出的签名也受到控制。通过对照公共证书检查签名或通过识别签名来完成上述控制。
在解密步骤308中,利用用户的私有数字密钥来解密消息的内容。消息的内容是以下中的一个或几个,并且也是可选的额外信息关于交易/记录/投票/授权问题的消息、允许的/可能的问题答案、交易ID等等。
在显示步骤310中,用于用户授权的方法显示为比如去适应消息,该方法包括了要求用户回答显示的授权方法。
在回答步骤312中,用户通过在可能与交易ID和/或其它信息合在一起的新的消息中添加答案,来提供一个可选的答案。
在加密步骤314中,通过接收者(或初始接收者)的身份关联证书或通过其它密码来加密消息。
在签名步骤316中,通过用户的私有密钥或通过其它密码来对加密的消息进行签名。
在传递步骤318中,签名的加密消息作为授权和验证问题的答案传递给初始传递者,该授权和验证问题是通过用户连接的任选通讯界面产生的。
应当注意到,用户可以加密他的应当保密的个人密钥,该个人密钥比如借助密码保存在用户的移动电话、计算机或者类似的结构中,使得该私有密钥需要验证才能使用,这意味着即使是密钥也得到了保护。比如可以通过证书来完成用于使用消息服务的验证,然而这超出了本发明的范围。
权利要求
1.一种在许可服务中用于保护电子交易的方法,包括-接收许可与至少一个用户单位和一个商务服务进行商务交易的请求,-检查用户身份使用商务服务的权限,-与用户身份交流加密并签名的校验文件,该校验文件至少包括了关于商务交易的信息,-根据校验文件的内容,许可商务交易。
2.根据权利要求1所述的方法,其中-检查用户身份的权限包括接收关于用户身份的识别信息,-交流校验文件包括取得与用户身份相关的公共证书、创建校验文件、通过用户身份的公共证书对校验文件进行加密、通过许可服务的私有密钥对校验文件进行签名、将校验文件传递给用户身份以及从用户身份接收校验文件,以及其中-在从用户身份接收校验文件、取得用户身份的公共证书、校验用户身份的签名、通过用户服务的私有密钥对校验文件进行解密之后,接着解释校验文件的内容。
3.根据权利要求1或2所述的方法,其中,所述关于用户的校验信息是从识别信息的列表中获取的。
4.根据权利要求1至3中任一个所述的方法,其中,所述证书是从列表中获取的。
5.根据权利要求3或4所述的方法,其中-用户身份的权限的控制包括许可服务和第一目录服务之间的通讯,该第一目录服务包括有识别信息的列表,以及其中-证书的取得包括许可服务和第二目录服务之间的通讯,该第二目录服务包括有证书列表。
6.根据权利要求1至5中任一个所述的方法,其中,所述许可服务是商务服务的一部分。
7.一种计算机程序,包括有指令,该指令使得计算机能够执行根据权利要求1至6中任一个所述的方法。
8.一种在许可服务中用于保护电子交易的方法,包括-与许可服务交流加密并签名的校验文件,该校验文件至少包括了关于商务交易的信息,-根据校验文件的内容,提供授权数据,其意义是试图使得许可服务能够许可商务交易。
9.一种计算机程序,包括有指令,该指令使得计算机能够执行根据权利要求8所述的方法。
全文摘要
一种在许可服务(106)中用于保护电子交易的方法,以及相应的在用户身份单元(102、118)中用于保护电子交易的方法。该方法包括多个步骤,首先是接收要求,许可与至少一个用户身份(102、103、118、119)和一个商务服务进行商务交易;接着检查用户身份使用商务服务的权限。然后与用户身份交流加密并签名的校验文件,该校验文件至少包括有关于商务交易的信息。然后依据校验文件的内容许可该商务交易。
文档编号G06Q30/00GK1997954SQ200580017998
公开日2007年7月11日 申请日期2005年6月2日 优先权日2004年6月2日
发明者菲力普·赫伊乔 申请人:尤比克安全有限公司