专利名称:在可信赖网络中实现安全交易的方法和装置的制作方法
技术领域:
本发明涉及在可信赖网络(trusted network)第一和第二设备各自的用户之间实现安全交易的方法和系统。尤其,本发明提供一种两个个体发起安全交易的方便和安全的方法,例如添加新的个体到安全网络或组中。
社会网络是人的生活的基础部分。由于例如电话和因特网这样的现代技术,大范围的人和社会活动在目前很容易获得,再加上永远支持的即时通信,所以形成和维持个人的社会网络变得容易了。然而,由于管理个人的很多不同网络和当需要时要确保足够的私密和安全而增加的复杂性,也导致了一些困难。
现在将小群人员形成特别组(ad hoc group)已很普遍了,尤其在Web上使用电子邮附、聊天室、商业站点、对等(P2P)系统,和其他软件,和在移动电话上通过消息传送和因特网的业务。这样的组可以包括从单个短暂交易处理到更长的永久会话,和可变成员名单的终生组。所有的一切可以由很小的中央管理来管理,在电子邮件和P2P的例子中,没有中央管理。然而,提供安全和私密不是这样的系统的特长,因为对于未经培训的用户明白和使用当前的安全结构,(部分地)常常很困难。安全系统经常需要用户在各种安全结构上具有预先建立的电子的标识符。
同时,有越来越多的设备连接到因特网上但不具有上面形成组的系统需要的标准软件配置。例如电视机、数字置顶盒和个人多媒体播放器等设备可能不具有Web浏览器、电子邮件客户端以及访问安全和寻址结构的客户端。
计算机网络是计算机、设备和通过通信通路互相连接的计算节点的组合。计算机网络通常能够承载任何类型的数据和支持各种应用。一个应用是在计算机网络中的虚拟网络,它互连了节点子集并且使用实时网络的便利来在节点之间传输数据。虚拟网络通过例如使用只有网络成员知道的共享密钥加密网络上的任何数据的方式,来提供就真实“公共”网络而言的安全。这样的网络之外的个体不能够解密数据,因此不能访问虚拟网络。
网络安全解决了多个关心的问题,包括私密性/机密性、完整性和认证。私密性或机密性意味着信息不能在传输过程中被未经认可方看见。完整性意味着信息不能在传输过程中被未经认可方修改。认证是检验他们说他们是谁的个体的活动(尤其,检验电子标识符是被分配到该标识符的人所使用)。
广泛地讲,有两类用于网络的密码系统,对称性的和不对称的,它们都基于密钥(当然有很多复合系统)。在密码系统中的中心问题是如何发起或建立一个安全网络。例如,在安全网络本身被建立之前(上述的)密钥需要安全地交换。密钥交换或密钥分配问题有两个方面密钥本身需要被交换(有时是安全地)以及交换密钥的个体必须互相认证。
在对称加密中的密钥交换需要频带外的交易,例如语音通信(例如在电话上,或者物理会议),物理传递(例如软盘),邮件,电子邮件,或使用任何其他不同于最终加密信道的信道(通信路径)的发布方法,这不易被窃听。在很多情况,方法的简单和便利与它的认证的机密性和可靠性是相反的。很多安全和可靠的方法需要物理会议,这对于例如加入公司的VPN(虚拟私有网络)是可接受的,但对于加入在因特网上的安全聊天室是不方便和不可能的。电子邮件是方便的但不安全。强密钥也可以很长(至少128比特),并且必须数次交换(例如当组成员离开时交换新的密钥),因此电话呼叫也是不能接受的,虽然呼叫本身是方便的。对称密钥交换对于小的特别组是不适合的。
对比密钥交换也能够通过使用非对称系统首先建立安全信道来实现。在非对称系统,被一对密钥中的一个加密的信息仅仅可以由另一个密钥解密。因此,一个个体可以通过用第二个个体的“公用”密钥加密密钥的方式发送它给第二个个体,该密钥接着只能由第二个体的“私人”密钥加密。如果第二个个体保持了该密钥的私密,那么仅仅第二个个体能访问该机密。
上述的仅仅是非对称系统的一个例子;很多其他配置也是可能的。它们都有的主要困难在于密钥发布,这个归结为认证。在上面的例子中,第一个个体必须确定公用密钥属于第二个个体,而不属于冒充第二个个体的其他个体。很多复杂的系统发展为解决认证问题。简单地说,公用密钥结构(PKI)依赖信任的第三方,被称为中央认证,来签署公用密钥和发布公用密钥证书。安全套接字协议层(IETF因特网草案“SSL协议3.0版”)和传输层安全(IETF RFC 2246,“TLS协议1.0版”)使用PKI来加密因特网上的交易。在Pretty Good Privacy(PGP协会),信任是通过一个与其他个体相关的网络来建立的,其中个体签署各个其他的密钥(例如,如果A信任B,以及B信任C,然后A可以信任C)。这些系统的细节超过了这个公开的范围。
PKI本身对于小的特别组是不合适的,因为它需要信任的中央认证。每一个个体必须获得从第三方发布的公用密钥证书,该第三方保持有可信任的名誉,必须小心核对各个应用。即使小组拥有者要创建他自己的认证授权,他需要更高的认证授权来验证他的标识符和可信性。这个包括在用户之间的固定数量的通信来建立公用密钥证书。尽管PGP有明显吸引力,它对于小组也不适合,因为信任的发起关系(也就是,签署其他人的密钥)必须通过(信任的)面对面的会议或通过信任的电子邮件来建立,这需要附加结构。
当PKI和PGP本身不适合时,可以将它们与到小特别组的业务的带外通信相组合。特别组的P2P结构避免需要集中式结构。在现有技术中有多个P2P安全的方案,但是它们都依靠软件或结构,软件或结构可能不能被客户设备或用户所用,或不能简单和便利地使用。
Groove Workspace是P2P在线协作工具(Udell,Asthagiri,Tuvell.2001,Security.编辑 In Oram,“Peer-to-PeerHarnessing the Power of DisruptiveTechnologies”)。为了形成新的组,组的拥有者创建了组并且直接邀请组成员。如果被邀请者已经安装了该软件,组邀请可以通过Groove系统来发送,如果没有,可以通过电子邮件发送。在两个例子中,邀请包括拥有者的电子标识符和由拥有者的私用密钥签署的公用密钥。然后,被邀请者必须认证该拥有者。可以通过PKI方式或通过打电话给组拥有者和将拥有者公用密钥的被邀请者“指纹”与拥有者的指纹相比较来完成。指纹是公用密钥的短散列(十六进制数字串)。在这个方案中,被邀请者使用带外电话呼叫来通过他的语音认证组拥有者。为了完成邀请,被邀请者指示他的软件来回复该邀请;该回复是到邀请的对等,从该邀请拥有者可以使用相同的指纹/电话技术来认证被邀请者。很明显,电子邮件和语音电话呼叫的组合对于用户是复杂的并且需要电子邮件结构。
在US专利申请2003/0056093中,拥有者或组成员通过用组私用密钥(被称为被邀请者组证书)来加密被邀请者的公用密钥的方法来创建邀请。该邀请被通过电子邮件或其它电子发送系统来传送。被邀请者然后通过发送由她的私用密钥签署的连接消息来回应该邀请。然后拥有者能够确定该被邀请者是在该邀请中被邀请的一个。拥有者通过回应由他的私用密钥加密的组证书来接受该连接。最后,被邀请者能够从接受消息中确定拥有者的标识符。这种假定具有两个问题1)拥有者必须获得被邀请者的公用密钥,和2)拥有者和被邀请者的真实认证是不能获得的。为了解决前一个问题,公用密钥能够通过在先联系、目录服务或电子邮件(或其他消息系统)来获得。公用密钥能够由短对称口令词组来加密,该短对称口令词组能够通过电话呼叫进行带外通信。后一个问题能够通过使用任何认证方法来解决,包括例如上述口令词组和电话呼叫或PKI。总之,为了足够安全,除了电子邮件和电话呼叫外预先建立的安全结构也是需要的。
US专利申请2003/0070070涉及普通的P2P结构,其中信任(用于认证)来自1)不同范围的PKI(使用组认证授权,或真实的第三方认证授权),2)类似PGP的机制,或3)通过例如软盘来实现证书的物理交换。在所有情况中,结构依赖于用户加入预先建立的安全结构,或通过物理联系。
其他系统对于组的形成仍旧使用集中式结构,然后对于组的活动交换到P2P结构。US专利申请2004/0006708描述了形成P2P VPN的方法,其中组拥有者在中央服务器上登记了加入该组的成员列表。该服务为组创建了标识符。当成员请求加入该组时(使用组标识符,他已经从拥有者处通过某种方式获得了该标识符),他的认证为验证,并且虚拟主机在该服务器上为他而创建。在他和主机之间建立隧道(安全信道)。所有安全通信通过该隧道进行,它们在中央服务器中互相连接。US专利申请2004/0044891描述了类似方法,除了中央服务器分布共享的组密钥给组成员以外。组成员使用该密钥来加密组流量,该流量在组成员之间直接发送。这两个方法都依赖不方便的所有组成员的预先登记,并且不清楚认证如何发生。
因此,需要一个方法,它提供对公开网络中的小的安全特别组的简单便利的形成和配置,该公开网络不需要在客户设备中设置标准软件也不需要用户加入预先建立的安全/寻址结构。
根据本发明的第一方面,提供一种使得可信赖网络的第一和第二设备各自的用户在他们之间执行安全交易的方法,包括在用户之间建立通信信道;为安全交易在用户之间使用通信信道传输验证标识符;在第一设备存储该验证标识符作为交易的参考标识符;打开在可信赖网络的设备上的两个设备之间的安全连接,该安全连接不同于用户之间的通信信道;在安全连接上将验证标识符从第二设备发送到第一设备;比较在安全连接上接收到的验证标识符和在第一设备上的参考标识符;和根据该比较执行安全连接上的安全交易。
该方法可以包括只有在该比较指示该验证和参考标识符匹配时才执行安全交易。
该方法可以包括如果比较指示该验证和参考标识符不匹配,关闭安全连接。
该方法可以还包括将指示网络中的第一设备的第一设备标识符从第一个用户传输到第二个用户;和在第二设备使用第一设备标识符来打开安全连接。
第一设备标识符使用通信信道在用户之间被传输。
使用通信信道将验证标识符从第一用户传输到第二用户,并还包括为了在发送步骤使用而将验证标识符输入到第二设备。该方法可以还包括在第一设备生成验证标识符。第一设备标识符可以用作验证标识符。
该方法可以包括将单个交易代码从第一用户发送到包括第一设备标识符和验证标识符的第二用户。交易代码通过将第一设备标识符添加到验证标识符来形成。
验证标识符可以使用通信信道从第二用户传输到第一用户,并进一步包括为了在存储步骤使用而将验证标识符输入到第一设备。该方法可以还包括在第二设备生成验证标识符。指示网络中的第二设备的第二设备标识符被用作验证标识符。
该方法可以包括产生一个随机数用作验证标识符。
优选地,通信信道是第一和第二用户信任的通信信道。
通信信道是下面的一个或多个用户间的电话呼叫;用户间的物理联系;用户间的直接语音通信;用户间设备可读的存储设备的传递;电子邮件;和短消息。
该方法可以还包括在预定的时间后丢弃参考标识符。
第一和第二设备中的至少一个是多用户设备。
标识符符中的至少一个包括一个或多个下面的部分数字;字串;名字;IP地址;和域名。
该方法可以还包括给使用用户设备的用户之一指定在传输步骤中使用的验证标识符。该方法可以包括在用户设备的显示屏上显示验证标识符。
该方法可以还包括将在传输步骤由用户之一所接收的验证标识符输入到那个用户设备。该方法可以包括使用用户设备的键盘输入验证标识符。
优选地,验证标识符唯一指定交易。
网络可以是设备的对等网络。在对等网络中设备对于功能是完全平等的,区别于例如客户机/服务器类型的网络。
该方法可以还包括使用相同或不同的这样的通信信道在用户之间传输用于交易的下一个验证标识符;将该下一个验证标识符作为交易的下一个参考标识符存储在第二设备上;在安全连接上将该下一个验证标识符从第一设备发送到第二设备;将在安全连接上接收到的该下一个验证标识符与在第二设备上存储的下一个参考标识符相比较;和根据该比较在安全连接上执行安全交易。
根据本发明的第二个方面,提供一种使用本发明第一个方面的方法来管理包括多个成员的组的方法,其中执行安全交易的步骤涉及添加或移除第一和第二用户之一作为组的成员,第一和第二用户中的另一个作为指定的组的伙伴。
根据本发明的第三个方面,提供一种配置可信赖网络的方法,包括根据本发明第一个方面的方法。
根据本发明的第四个方面,提供一种可信赖网络的第一设备用来使得第一设备的用户执行与可信赖网络的第二设备的用户之间的安全交易的方法,包括使用在用户之间建立的通信信道将交易的验证标识符指定给与第二设备的用户通信的第一设备的用户,或输入使用在用户之间建立的通信信道从第二设备的用户传输到第一设备的用户的交易的验证标识符;存储该验证标识符作为交易的参考标识符;在可信赖网络上打开两个设备之间的安全连接,该安全连接不同于用户之间的通信信道;在安全连接上从第二设备接收该验证标识符;比较在安全连接上接收到的验证标识符和参考标识符;和根据该比较执行安全连接上的安全交易。
根据本发明的第五个方面,提供一种可信赖网络的第二设备用来使得第二设备的用户执行与可信赖网络的第一设备的用户之间的安全交易的方法,包括使用在用户之间建立的通信信道将交易的验证标识符指定给与第一设备的用户通信的第二设备的用户,或输入使用在用户之间建立的通信信道从第一设备的用户传输到第二设备的用户的交易的验证标识符,该验证标识符已保存在第一设备上作为交易的参考标识符;在可信赖网络上打开两个设备之间的安全连接,该安全连接不同于用户之间的通信信道;在安全连接上将验证标识符从第二设备发送到第一设备,被第一设备用于与参考标识符的比较;和根据该比较执行安全连接上的安全交易。
根据本发明的第六个方面,提供一种使得可信赖网络的第一和第二设备各自的用户在他们之间执行安全交易的系统,包括在用户之间建立通信信道的装置;为安全交易在用户之间使用通信信道传输验证标识符的装置;在第一设备存储该验证标识符作为交易的参考标识符的装置;打开在可信赖网络的设备上的两个设备之间的安全连接的装置,该安全连接不同于用户之间的通信信道;在安全连接上将验证标识符从第二设备发送到第一设备的装置;比较在安全连接上接收到的验证标识符和在第一设备上的参考标识符的装置;和根据该比较执行安全连接上的安全交易的装置。
根据本发明的第七个方面,提供一种可信赖网络的一设备用来使得一设备的用户执行与可信赖网络的另一设备的用户之间的安全交易的系统,包括使用在用户之间建立的通信信道将交易的验证标识符指定给与其它设备的用户通信的该设备的用户或输入使用在用户之间建立的通信信道从其它设备的用户传输到该设备的用户的交易的验证标识符的装置;存储该验证标识符作为交易的参考标识符的装置;在可信赖网络上打开两个设备之间的安全连接的装置,该安全连接不同于用户之间的通信信道;在安全连接上从其它设备接收该验证标识符的装置;比较在安全连接上接收到的验证标识符和参考标识符的装置;和根据该比较执行安全连接上的安全交易的装置。
根据本发明的第八个方面,提供一种可信赖网络的设备用来使得该设备的用户执行与可信赖网络的另一设备的用户之间的安全交易的系统,包括使用在用户之间建立的通信信道将交易的验证标识符指定给与其它设备的用户通信的该设备的用户,或使用在用户之间建立的通信信道输入从其它设备的用户传输到该设备的用户的交易的验证标识符的装置,该验证标识符已保存在其他设备上作为交易的参考标识符;在可信赖网络上打开两个设备之间的安全连接的装置,该安全连接不同于用户之间的通信信道;在安全连接上将验证标识符发送到其它设备的装置,该标识符被其他设备用于与参考标识符比较;和根据该比较执行安全连接上的安全交易的装置。
根据本发明的第九个方面,提供一种运行程序,当其被装载到设备时,使得设备成为根据本发明的第七或第八方面的设备。
根据本发明的第十个方面,提供一种运行程序,当其在设备上运行时,使得设备实现根据本发明的第四或第五方面的方法。
运行程序可以被承载在载体媒介上。该载体媒介可以是传输媒介。该载体媒介可以是存储媒介。
根据本发明的实施例,用户可以在网络设备之间发起安全交易,用户依次使得他们形成安全组,而不需第三方的参与,也不需第三方的重要资源。使得用户更容易和方便地发起交易,只要最佳的用户经验。用户不必参与预先建立的寻址(例如,电子邮件通信)也不需要安全结构。该过程是安全的,包括机密性,完整性,和认证,这个允许多用户网络设备安全地用在本发明的实施例中。用户能够使用任何类型的具有足够计算能力和用户接口的网络设备。
现在,通过例子的方式结合附图来描述,其中
图1描述了形成本发明实施例基础的可信赖设备网络;图2是一个消息交换图,它描述了本发明第一个实施例中的新用户,组拥有者,和它们各自的设备之间传输的消息的顺序;图3是一个流程图,提供了图2中所示的程序的可选视图,描述了由新用户设备和拥有者设备所实现的处理;图4是一个结构图,描述了在第一个实施例中的多方和设备之间的交互;图5是一个消息交换图,它描述了本发明第二个实施例中的新用户,组拥有者,和它们各自的设备之间传输的消息的顺序;图6是一个流程图,提供了图5中所示的程序的可选视图,描述了由新用户设备和拥有者设备所实现的处理;图7是一个结构图,描述了在第二个实施例中的多方和设备之间的交互;图8是一个消息交换图,它描述了本发明第三个实施例中的新用户,组拥有者,和它们各自的设备之间传输的消息的顺序;图9是一个流程图,提供了图8中所示的程序的可选视图,描述了由新用户设备和拥有者设备所实现的处理;以及图10是一个结构图,描述了在第三个实施例中的多方和设备之间的交互。
图1描述了可信赖设备网络1,它包括四个网络设备2、4、6和8以及一个标识符解析服务10。本发明的实施例是基于这样一个设备的预先建立的可信赖网络1。如果任何设备能够完全安全地(机密、完整和验证)发送消息给任何其他设备,在上下文中网络被认为是可信赖的,至少达到了预定安全等级。可信赖网络暗示设备和/或用户能够信任它所提供的安全等级。应该注意到形成本发明实施例基础的可信赖设备网络不同于上述的安全和寻址结构,它包括人与人之间的安全通信。
可信赖网络1中的设备2、4、6和8各个具有一个唯一的标识符(ID)。该标识符能够是数字、名字、因特网上的IP地址、域名或任何其他字符串,只要在可信赖网络中唯一。设备的可信赖网络能够由设备厂商来设立而不需用户的干涉。设备标识符解析服务10的目的是使唯一设备标识符解析为可信赖网络中的真实地址,象在下面进一步描述的那样;使标识符解析为真实地址的任何方法都是允许的。
建立网络的方式不是重要的,但设备的可信赖网络的一种建立方法可以如下所述。各个生产的设备被分配给由数字串组成的唯一标识符。例如,如果假设厂商有1,000,000个设备,那么六位数字的标识符就足够了。这个标识符被认为用于PKI目的的设备的电子标识符。为每个设备产生公用/私用密钥对。私有密钥存储在设备中。公用密钥和设备标识符由认证授权来签署(认证授权可以由厂商或第三方来实施)。产生的公用密钥证书也保存在设备中。认证授权的公用密钥证书(可能由更高的认证授权来签署,例如Verisign)保存在每个设备中。在这个例子中,该设备应该是抗改写的。例如,所有上述密钥和标识符,加上加密软件,可以存储在设备的智能芯片中,以便消除篡改设备或可信赖网络的可能。
各个设备获得连接到公共网络的能力。例如,如果因特网是目的网络,然后各个设备获得使用TCP/IP(传输控制协议/网际网络协议,管理因特网的协议组)的能力。为了激活可信赖网络,各个设备也获得使用SSL(安全套接字协议层,在TCP上面的一个协议层)的能力。现在设备可以使用双向认证的SSL完全打开互相之间的安全连接。SSL确保机密、完整和认证。
也需要一个机制来解析设备标识符为IP地址。设备的IP地址可以随时改变,但是设备标识符保持不变。标识符解析的实际方法不重要。例如,在所述的图1的网络1,集中式标识符解析服务10被用来将设备标识符转换为IP地址。可选地,在可信赖网络的其它设备提供分布式解析服务器的情况下能够采用P2P解析方案。
解析服务10可以由设备制造商或第三方提供,例如,该服务的操作如下所述。当一个新的设备连接到网络时,或当设备IP地址改变时,设备连接到解析服务(位于可信赖网络上;该服务运行在可信赖网络上)以及通告解析服务它的标识符和当前IP地址。该服务在表中存储这个信息。当第二个设备需要已给出第一个设备标识符的第一个设备的IP地址时,它连接到解析服务并请求第一个设备标识符的IP地址。服务查询它的表并且返回其中存储的IP地址。然后这个信息被存储(缓存)在第二个设备中,减少与解析服务持续连接的需要。
本发明的一个实施例提供一个使用这样的一个如上所述的安全网络发起一个安全交易的方法。上述参照图2到10的实施例被如下设置,其中安全交易允许成员或用户组的形成和管理(例如添加一个新的成员到组中),但是可以理解发起的安全交易类型不限于这个。
本发明的三个具体实施例将被描述。参考图2到4描述第一个实施例,参考图5到7描述第二个实施例,参考图8到10描述第三个实施例。
第一到第三个实施例中的每一个中,当前组G(见图4,7,10)包括五个成员M1到M5,其中成员M1使用设备4,成员M2和M3使用设备6和成员M4和M5使用设备8。一个人被指定为组拥有者B,其中组拥有者B使用设备2。在每个实施例中,描述了一种情况,其中使用设备12的新用户A加入组G,在这个例子中,在设备2和设备12之间执行一个安全交易来使得新用户A加入组G。在如下文所述的相关方和设备之间的信息交换之后,发起安全交易。
现在参考图2到4描述第一个实施例。在第一个实施例中,新用户A发起组的登记或加入程序。图2是信息交换图,描述了在新用户A、拥有者B和他们各自的设备12和2之间传递消息的顺序。图3是一个流程图,提供了图2中所示的程序的可选视图,描述了由新用户设备12和拥有者设备2所实现的处理。图4是一个结构图,描述了在第一个实施例中的多方和设备和它们之间如何交互。相同的参考数字参考相同的部件或方法步骤。
在步骤A1,新用户A在用户的设备12上发起加入请求。设备12请求用户A使用用户的用户名和密码来登陆,或使用存在设备12上的用户名表创建一个新的用户名和密码。根据预定组形成规则,用户名与指示组中的用户的用户标识符相关联。
在步骤A2,用户A的设备12产生验证标识符。在这个实施例中,验证标识符是四个数字的随机数,在图4所示的结构图中是数字“1234”。
在步骤A3,验证标识符“1234”被保存在用户A的设备12中作为参考标识符“1234”为以后使用。参考标识符“1234”与用户名相关并被保存在设备12的表中。时间戳也与参考标识符“1234”相关并被保存在表中。
在步骤A4,用户A的设备12创建一个交易代码,包括用户A的设备标识符“555555”和验证标识符“1234”。在这个实施例,将验证标识符“1234”添加到设备标识符“555555”来创建交易代码,产生十个数字的交易代码“5555551234”。
在步骤A5,用户A的设备12的指示部分20A用来将交易代码“5555551234”传输或指示给用户A,例如使用显示器,并且用一个合适的消息来指示用户A呼叫用户A希望加入的组G的拥有者B,并且采用这种方法将交易代码“5555551234”传输给拥有者B。
在步骤A6,用户A使用像通信信道22这样的语音电话呼叫来将交易代码“5555551234”传输给拥有者B,并且也指示他想加入的组作为多个组的拥有者管理员。
在步骤A7,已接收到交易代码“5555551234”的组拥有者B在他的设备2上发起登记会话。如果他拥有多个组,他预先与新用户A协商一致选择组。设备2向拥有者B请求他的用户名和密码来确定他是被认证的拥有者。
在步骤A8,拥有者B使用输入部件24A将交易代码输入到设备2。在这个实施例中,数字键盘被用作输入部件24A。
在步骤A9,拥有者B的设备2从交易代码“5555551234”抽取设备标识符“555555”和验证标识符“1234”。设备2查询前述的解析服务10来使得标识符“555555”解析为用户A的设备12的IP地址。
在步骤A10,拥有者B的设备使用部件26A来打开经由设备12的部件28A使用双向认证的SSL到用户A的设备12的安全连接。设备2和12使用他们的公用密钥证书和认证授权的公用密钥证书来互相认证。如果认证失败,该连接被关闭和登记会话被取消。
在步骤A11,,在预定的登记协议的第一步中,拥有者B的设备2使用部件30A来将验证标识符“1234”发通过安全连接送给用户的设备。在一个这样的登记协议中,消息可以具有这样的格式“邀请<验证标识符>”。用户A的设备12经由使用部件32A的安全连接来接收验证标识符“1234”。
在步骤A12,用户A的设备12查询参考标识符的存储的表,在这个例子中包括存储的参考标识符“1234”,并使用比较部分34A来比较接收到的验证标识符“1234”和每个存储的参考标识符。它验证接收的验证标识符“1234”要和存储的参考标识符中的一个“1234”相匹配。也验证从预先存储在表中的时间戳流逝的时间要少于到期门限,并超过参考标识符被取消的到期门限。
在步骤A13,这些请求是否满足的决定被做出,并且根据这个决定来决定下面的步骤A14和A15是否执行。如果验证失败,用户A的设备12根据步骤A16来关闭连接,中断登记会话。在任何的例子中,参考标识符“1234”被删除,因此不能被再次使用。
如果两个验证都是成功的,流程进行到步骤A14,其中用户A的设备12回答拥有者B的设备2来指示它接受该等级,作为预定登记协议的第二个步骤。在这样的登记协议中,消息能够具有形式“接受的”。
在步骤A15,两个设备12和2各自使用部件36A和38A利用一种协议来执行安全交易,该协议在为了将新用户加入组中的组形成规则中被定义。所使用的具体组-加入会话是不重要的,以及根据具体采用的规则。在这样的例子中,使用A的设备12发送用户标识符(和有可能是用户名和其他的用户详细信息,这些参考上面描述的步骤A1)给拥有者B的设备。可选地,为了确保用户标识符在组中是唯一的,可以在会话期间创建它。拥有者B的设备2发送组标识符给用户A的设备12。拥有者B的设备2也可以发送当前组成员名单(例如,用户标识符列表)给用户A的设备12。所有的信息被保存在设备2和12的表中。因此用户A加入到组G中。组-加入会话也可以推迟到以后。
最后,在步骤A16,连接被关闭。组成员现在可以通过由组规则定义的装置来通信或交换信息。
在步骤A1和A15中建议的不同的组规则也可以使用,它允许更大的设备独立性,更好的灵活性和更好的安全性。
在第一个实施例中,验证标识符在一个方向在带外(使用通信信道22)传送以及在相反方向在带内(使用安全连接)传送。在本文中“带外”意味着采用和在其上运行安全交易的安全连接(“带内”信道)不同的通信信道。因此,在本发明的实施例中,验证标识符在两个不同的信道上发送,其中一个是安全连接,和该验证标识符在允许安全交易在安全连接上发生前被验证。
带外信道在技术的意义上是不需要安全的,由于不需要任何加密或其他相关的安全技术。从人的意义上它也可以是安全的,该安全等级是被双方用户所信任的。安全可以很低;例如电话呼叫可以有偷听者,但这个安全等级对于该用户和组形成规则是足够的。最好允许用户互相认证,虽然不是技术意义上的,例如互相识别语音,虽然这个不是基本的。带外通信信道的其他例子包括用户之间的某种物理联系(交换物理消息);用户之间直接的语音通信;用户之间设备可读存储设备的传递;电子邮件;和短消息。用户也能够使用他们的设备之间的安全连接作为带外信道,如果他们已经在以前的安全交易中建立了这样的信道。
在第一个实施例中,设备标识符在相同方向在带外发送,并作为带外验证标识符。一般来说,对于其它实施例,任何一个设备发起安全连接都会获悉其它设备的设备标识符。应当理解设备标识符的传送不需要经由和参考标识符的传送信道相同的方式,也不需要和参考标识符的通信同时发生。安全性或小或大、但是类型相似的带外信道,可以用于传送设备标识符。
现在参考图5到7描述第二个实施例。第二个实施例类似于第一个实施例,原则上的不同是组拥有者B通过邀请新用户A加入他的组G来发起组登记或加入程序。图5是信息交换图,描述了在新用户A,拥有者B和他们各自的设备12和2之间传递消息的顺序。图6是一个流程图,提供了图5中所示的程序的可选视图,描述了由新用户设备12和拥有者设备2所实现的处理。图7是一个结构图,描述了在第一个实施例中的多个部分和设备和它们之间如何交互。相同的参考数字参考相同的部件或方法步骤。
因为第一和第二实施例非常相似,所以不需要详细描述第二个实施例的流程,而是提供在图5到7中所示的步骤的简述。第一和第二实施例之间的相似性对于技术人员是很明显的,相类似的参考数字(例如A1/B1和30A/30B)指示相近的方法步骤或部分。
B1.拥有者B在拥有者B的设备2上发起邀请请求。
B2.拥有者B的设备2创建验证标识符。
B3.拥有者B的设备2将验证标识符保存在设备2中作为参考标识符为以后使用。
B4.拥有者B的设备2创建一个交易代码,包括拥有者B的设备标识符和验证标识符。
B5.拥有者B的设备2将交易代码传输给拥有者B。
B6.拥有者B通过带外信道22将交易代码传输给新用户A。
B7.用户A在用户A的设备12上发起登记会话。
B8.用户A在用户A的设备12上输入接收到的交易代码。
B9.用户A的设备12使得交易代码中的设备标识符解析为拥有者B的设备2的地址。
B10.用户A的设备12打开到拥有者B的设备2的安全连接(通过安全设备网络的方式)。
B11.用户A的设备12将验证标识符发送给拥有者B的设备2。
B12.拥有者B的设备2比较验证标识符和存储的参考标识符。
B13.如果不匹配,拥有者B的设备2关闭连接。
B14.如果匹配,拥有者B的设备2从设备2删除参考标识符并且通过回答用户A的设备12来接受登记。
B15.用户A的设备和拥有者B的设备在安全连接上执行安全交易根据组形成规则将用户A加入到拥有者B的组。
B16.安全连接被关闭。
在第二个实施例中,像第一个实施例,验证标识符在一个方向在带外(使用通信信道22)传送以及在相反方向在带内(使用安全连接)传送。也像第一个实施例,设备标识符在与带外验证标识符相同的方向在带外发送。
现在参考图8到10描述第三个实施例。第三个实施例类似于第一个实施例,新用户A发起组登记或加入程序。图8是信息交换图,描述了在新用户A,拥有者B和他们各自的设备12和2之间传递消息的顺序。图9是一个流程图,提供了图8中所示的程序的可选视图,描述了由新用户设备12和拥有者设备2所实现的处理。图10是一个结构图,描述了在第一个实施例中的多方和设备和它们之间如何交互。相同的参考数字参考相同的部件或方法步骤。
第三个实施例和第二实施例非常相似,所以不需要详细描述第三个实施例的流程,而是提供在图8到10中所示的步骤的简述。第一和第三实施例之间的原则的不同点和关键的相似性将在下面描述。
C1.用户A在用户A的设备12上发起邀请请求。
C2.用户A的设备12创建验证标识符“1234”。
C3.用户A的设备12将验证标识符保存在设备12中作为参考标识符为以后使用。
C4.用户A的设备12创建一个交易代码“5555551234”,包括用户A的设备标识符和验证标识符。
C5.用户A的设备12使用部件20C(例如,显示器)将交易代码“5555551234”传输给用户A。
C6.用户A通过带外信道22将交易代码“5555551234”传输给拥有者B。
C7.拥有者B在拥有者B的设备2上发起登记会话。
C8.拥有者B在拥有者B的设备2上使用部件24C(例如,键盘)输入接收到的交易代码“5555551234”。
C9.拥有者B的设备2存储从交易代码抽取的验证ID“1234”作为参考标识符。
C10.拥有者B的设备2创建下一个验证标识符“6789”并存储它为以后使用。
C11.拥有者B的设备2使用部件21C(例如,显示器)将下一个验证代码“6789”传输或指示给拥有者B。
C12.拥有者B通过带外信道22将下一个验证标识符“6789”传输给用户A。
C13.用户A在用户A的设备12上使用部件25C(例如,键盘)输入下一个验证标识符“6789”。
C14.下一个验证标识符保存在用户A的设备12中作为参考标识符为以后使用。
C15.拥有者B的设备2使得用户A的设备12标识符解析为用户A的设备12的地址。
C16.拥有者B的设备2使用部件26C和28C打开到用户A的设备12的安全连接(通过安全设备网络的方式)。
C17.拥有者B的设备2将下一个验证标识符“6789”在安全连接上使用部件30C和32C发送给用户A的设备。
C18.用户A的设备12使用部件34C比较下一个验证标识符和预先存储的下一个参考标识符(在步骤C14)。
C19.如果不匹配,用户A的设备12关闭连接。
C20.如果匹配,用户A的设备12从设备12删除下一个参考际识符并且通过回答拥有者B的设备2来接受登记。
C21.用户A的设备12在安全连接上发送验证标识符“1234”给拥有者B的设备2。
C22.拥有者B的设备2使用部件35C来比较验证标识符和预先存储的参考标识符(在步骤C9)。
C23.如果不匹配,关闭连接。
C24.如果匹配,拥有者B的设备2从设备2删除参考标识符并且通过回答用户A的设备12来接受登记。
C25.用户A的设备12和拥有者B的设备2在安全连接上执行安全交易以便根据组形成规则将用户A加入到拥有者B的组。
C26.安全连接被关闭。
不像第一和第二个实施例,第三个实施例需要执行两个认证(在步骤C22和C18)。第一个认证依靠步骤C6(步骤C4中创建的交易代码的一部分)中的认证标识符的带外通信,该带外通信与步骤C21中的相同的验证标识符的同方向的带内通信相耦合。第二个或更多的验证依靠步骤C12(步骤C10中创建的)中的另外的认证标识符的带外通信,该带外通信与步骤C17中的相同的其他验证标识符的同方向的带内通信相耦合。
因此,在第三个实施例中,验证标识符和其他验证标识符通过相同方向的带外(使用通信信道22)和带内通信(使用安全连接)来发送,不像第一个和第二个实施例中的。设备标识符以第一个带外验证标识符相同的方向带外发送。
在第三个实施例中提供两个这样的验证标识符不是必需的,虽然这会带来额外的安全。一个或其他验证可以由它本身来提供。也可能将同向的验证(如第三个实施例所示的)与反向验证(如第一或第二个实施例所示的)或任何其他一个或多个验证的混合相结合。
如上所述,在本发明的实施例中,交易代码可以通过用户双方所信任的带外信道(也就是与实行安全交易的信道所不同的信道)来交换。最简单和方便的信道是语音电话呼叫,它提供容易的认证。
然而,其他信道也是允许的,包括,但不限于,物理联系、可移动存储设备(磁盘,存储卡,等等)、电子邮件、邮件、SMS(短消息)、其他安全组,或其他消息发布系统。
可以通过任何方法将唯一的设备标识符和验证标识符组成交易代码。一个方法是将一个连接到另一个。另一个方法是使用两个标识符的可逆函数(这样接收者可以对其解码)。其他方法对技术人员来说也是容易理解的。也可以理解,包括验证标识符和设备标识符的交易代码的使用不是必需的,该信息的这两个项目也可以独立传输并不需要同步。
验证标识符和交易代码可以是任何可以在带外信道上传输的字符或比特串,优选地是十进制数的短串。虽然验证标识符在上面被描述为随机产生的数字,这个不是必需的。例如,也可以由设备用户来选择。
优选地,验证标识符应该唯一标识符交易代码,或至少在某个空间或时间内是唯一的,因此如果多个交易代码被发起,而用于一个交易的验证标识符不会和另一个交易的验证标识符混淆。这样的验证标识符可用于(a)标识符和(b)加密交易。在随机生成验证标识符的情况下,如果从足够多的数字池中随机选择一个数字,这个数字足以提供足够的唯一性,否则可以安排任何时候一个数字的使用不超过一次。
然而,如果已知多个交易不会发生,或在另一个交易被发起前,验证标识符和相关存储的参考标识符将被丢弃,则不需要唯一的验证标识符。例如,在需要两个验证(每个方向一个)的第三个实施例中,基础的和进一步的验证标识符可以是两个设备各自的设备标识符,有效地形成包括两个设备标识符的整个验证标识符。这将唯一地标识符两个设备之间的交易,它也是充分的,虽然在相同的两个设备之间的多个当前交易中是不同的。同样它可以将设备中的一个设备的设备标识符用作参考标识符,如果包括该设备的多个交易没有被同时发起,这将是充分的。因此,在体现本发明的方法中验证标识符的使用至少提供了一种使交易安全的方法,如果不标识符它。
如上所述,验证标识符和/或相关的参考标识符可以在一系列的时间后被终止。在遇到数字的使用后,例如一个单个使用后,验证标识符和/或相关参考标识符也能够被抛弃或被标注以致不能再一次被使用。
体现本发明的方法对于用户是简单和方便的,因为用户所需的仅有的操作是到另一个用户的电话呼叫来交换短字串。除了信任设备网络不需要其他结构,以及用户也不需要预先建立的电子标识符。体现本发明的系统是安全的,因为(a)它依靠两个用户在上面协商所需的信任等级的带外通信,和(b)因为所有确保的交易在信任设备网络上实行。
有可能存在数个攻击。在一个攻击中,第三方能够在带外通信上侦听,获得交易代码,并且在他自己的设备上输入该代码。虽然不太可能,如果发生,那么第三方也可以使得用户A和他发起安全交易(第一个实施例),给他自己发起一个和拥有者B的安全交易(第二个实施例),或者什么也不做(第三个实施例)。在加入一个组的情况下,第二个实施例的问题是最严重的,因此第一和第三个实施例实际上是优选的。
在第二种攻击中,第三方假扮成拥有者并尝试与新用户通过在安全连接上将伪造的标识符发送给新用户的设备的方式发起安全交易(不必预先执行与新用户的带外通信)。这个攻击不太可能成功,尤其如果验证标识符是从足够大的池中随机选择的。如果相同的设备持续发送具有伪造标识符符的连接需求,它可以被放进接收设备的黑名单中。
在第三个攻击中,具有可信赖网络之外(也就是,公共网络中)的设备的第三方试图连接可信赖网络内的设备,或者其它的通信干扰。由于安全网络的假定,这种攻击不会成功。
如上所示,本发明的实施例不限于具体的组形成规则,提供的安全等级,组网络的拓扑,在组中传输信息的方法,或任何其他与组规则相关的关于组的活动。例如,组能够使用共享的密钥来加密所有的组消息和使用广播技术来传播消息给所有组成员。或者组成员能够以成对的方式加密和发送消息。或者组成员可以对于一些或所有消息不选择使用加密。其他措施对本领域技术人员也是容易理解的。
本发明的实施例可以被一组人通过使用合适的设备用来在他们之间为任何目的而建立安全而私有的网络。该建立是直接而便利的并且不需要人具有任何预先建立的电子标识符。
例如,一个家庭可以在他们不同的房间之间建立VPN(虚拟私有网)。在这种情况下,系统能够被集成到电视,置顶盒,DVD播放器/记录器,个人多媒体播放器,数字视频记录器(DVR或PVR),或任何其他家庭应有或消费电子设备。家庭能够建立VPN,然后通过文本,语音,或视频以足够的安全性互相通信。或者他们能够安全地共享多媒体例如照片、家庭视频、小说等。
在其他应用中,移动因特网(在移动设备上例如电话,PDA,和笔记本电脑)的用户能够容易地执行安全交易或建立用于通信和共享的安全组。
在商业应用中,商业用户能够容易地建立用于协作的安全组。系统能够被集成到与商业相关的设备中,包括PC、笔记本电脑、PDA、放映机、打印机或其他I/O设备。
如同上述的管理一个组,体现本发明的方法也能够用来以安全的方式配置可信赖网络,例如添加或修改用户的权利来使用或访问网络资源,例如数据库、内存、存储器、设备和处理器,或建立付费机制,或建立业务例如新闻馈送、下载业务或通信业务。
可以理解,用户设备12和拥有者设备2的任何或所有上述功能能够由硬件或软件、或它们的组合来实现。为了这个目的的操作程序能够保存在设备可读的媒介上,或者能够例如嵌入到单体例如因特网站点提供的可下载数据信号。所附的权利要求书应被解释为它本身所覆盖的运行程序,或载体上的记录,或信号,或任何其他形式。
权利要求
1.一种使得可信赖网络的第一和第二设备(12,2)各自的用户(A,B)在他们之间执行安全交易的方法,包括在用户(A,B)之间建立通信信道(22);在用户(A,B)之间使用通信信道(22)传输(A6;B6;C12;C6)所述交易的验证标识符;在第一设备存储(A3;B3;C14;C9)该验证标识符作为交易的参考标识符;打开(A10;B10;C16)在可信赖网络上的两个设备(12,2)之间的安全连接,所述安全连接不同于用户(A,B)之间的通信信道(22);在安全连接上将验证标识符从第二设备发送(A11;B11;C17;C21)到第一设备;比较(A12;B12;C18;C22)在安全连接上接收到的验证标识符和在第一设备上的参考标识符;以及根据该比较执行(A15;B15;C25)安全连接上的安全交易。
2.如权利要求1所述的方法,其特征在于,包括仅在比较表示验证和参考标识符匹配时才执行安全交易。
3.如权利要求1或2所述的方法,其特征在于,包括如果比较不表示在验证和参考标识符之间具有匹配,则关闭(A16;B16;C26)安全连接。
4.如权利要求1,2或3所述的方法,其特征在于,还包括将指示网络中的第一设备的第一设备标识符从第一个用户传输(A6;B6;C6)到第二个用户;和在第二设备使用(A9;B9;C15)第一设备标识符来打开安全连接。
5.如权利要求4所述的方法,其特征在于,第一设备标识符使用通信信道(22)在用户(A,B)之间被传输。
6.如前面任何一个权利要求所述的方法,其特征在于,使用通信信道(22)将验证标识符从第一用户传输(A6;B6)到第二用户,并还包括为了在发送步骤(A11;B11)使用而将验证标识符输入(A8;B8)到第二设备。
7.如权利要求6所述的方法,其特征在于,还包括在第一设备生成(A2;B2)验证标识符。
8.如权利要求6或7所述的方法,当根据权利要求4时,其特征在于,包括将单个交易代码从第一用户发送到包括第一设备标识符和验证标识符的第二用户。
9.如权利要求8所述的方法,其特征在于,交易代码通过将第一设备标识符添加到验证标识符来形成的。
10.如权利要求6所述的方法,当根据权利要求4时,其特征在于,第一设备标识符用作验证标识符。
11.如权利要求1到5所述的方法,其特征在于,使用通信信道(22)将验证标识符从第二用户传输(C12;C6)到第一用户,并包括为了在存储步骤(C14;C9)使用而将验证标识符输入(C13;C8)到第一设备。
12.如权利要求11所述的方法,其特征在于,还包括在第二设备生成(C10;C2)验证标识符。
13.如权利要求11所述的方法,其特征在于,识别网络中的第二设备的第二设备标识符被用作验证标识符。
14.如权利要求7到12所述的方法,其特征在于,包括产生一个随机数用作验证标识符。
15.如任何一个前面的权利要求所述的方法,其特征在于,通信信道是第一和第二用户所信任的通信信道。
16.如任何一个前面的权利要求所述的方法,其特征在于,通信信道是下面的一个多个用户间的电话呼叫;用户间的物理传递;用户间的直接语音通信;用户间设备可读的存储设备的传递;电子邮件;和短消息服务。
17.如任何一个前面的权利要求所述的方法,其特征在于,还包括在预定的时间后丢弃参考标识符。
18.如任何一个前面的权利要求所述的方法,其特征在于,还包括在第一次使用后丢弃参考标识符。
19.如任何一个前面的权利要求所述的方法,其特征在于,第一和第二设备中的至少一个是多用户设备。
20.如任何一个前面的权利要求所述的方法,其特征在于,标识符符中的至少一个包括一个或多个下面的部分数字;字符串;名字;IP地址;和域名。
21.如任何一个前面的权利要求所述的方法,其特征在于,还包括为使用用户设备的用户之一识别(C11;C5)在传输步骤(A6;B6;C12;C6)中使用的验证标识符。
22.如权利要求21所述的方法,其特征在于,包括在用户设备的显示屏上显示验证标识符。
23.如任何一个前面的权利要求所述的方法,其特征在于,还包括将传输步骤(A6;B6;C12;C6)中由用户之一所接收的验证标识符输入(A8;B8;C13;C8)到那个用户设备。
24.如权利要求23所述的方法,其特征在于,包括使用用户设备的键盘输入验证标识符。
25.如任何一个前面的权利要求所述的方法,其特征在于,验证标识符唯一地指定交易。
26.如任何一个前面的权利要求所述的方法,其特征在于,其中网络是设备的对等网络。
27.如任何一个前面的权利要求所述的方法,其特征在于,还包括使用相同或不同的这类通信信道在用户之间传输用于交易的下一个验证标识符;将该下一个验证标识符作为交易的下一个参考标识符存储在第二设备上;在安全连接上将所述下一个验证标识符从第一设备发送到第二设备;将在安全连接上接收到的该下一个验证标识符与在第二设备上存储的下一个参考标识符相比较;以及根据比较在安全连接上执行安全交易。
28.一种使用如任何一个前面的权利要求所述的方法来管理包括多个成员的组的方法,其中执行安全交易的步骤(A15;B15;C25)涉及添加或移除第一和第二用户(A,B)之一作为组的成员,第一和第二用户(A,B)中的另一个作为指定的组的伙伴。
29.一种包括权利要求1-27中所述任意一个方法的配置可信赖网络的方法。
30.一种被可信赖网络的第一设备用来使得第一设备的用户执行与可信赖网络的第二设备的用户之间的安全交易的方法,包括使用在用户(A,B)之间建立的通信信道(22)将交易的验证标识符指示(A5;B5)给与第二设备的用户通信(A6;B6)的第一设备的用户或输入(C13;C8)使用在用户(A,B)之间建立的通信信道(22)从第二设备的用户传输(C12;C6)到第一设备的用户的交易的验证标识符;存储(A3;B3;C14;C9)验证标识符作为交易的参考标识符;在可信赖网络上打开(A10;B10;C16)两个设备(12,2)之间的安全连接,所述安全连接不同于用户(A,B)之间的通信信道(22);在安全连接上从第二设备接收(A11;B11;C17;C21)验证标识符;比较(A12;B12;C18;C22)在安全连接上接收到的验证标识符和参考标识符;以及根据比较执行(A15;B15;C25)安全连接上的安全交易。
31.一种被可信赖网络的第二设备用来使得第二设备的用户执行与可信赖网络的第一设备的用户之间的安全交易的方法,包括使用在用户(A,B)之间建立的通信信道(22)将交易的验证标识符指示(C11;C5)给与第一设备的用户通信(C12;C6)的第二设备的用户,或输入(A8;B8)使用在用户(A,B)之间建立的通信信道(22)从第一设备的用户传输(A6;B6)到第二设备的用户的交易的验证标识符,所述验证际识符已保存(A3;B3;C14;C9)在第一设备上作为交易的参考标识符;在可信赖网络上打开(A10;B10;C16)两个设备(12,2)之间的安全连接,所述安全连接不同于用户(A,B)之间的通信信道(22);在安全连接上将验证标识符从第二设备发送(A11;B11;C17;C21)到第一设备,被第一设备用于与参考标识符的比较(A12;B12;C18;C22);以及根据比较执行(A15;B15;C25)安全连接上的安全交易。
32.一种使得可信赖网络的第一和第二设备(12,2)各自的用户(A,B)在他们之间执行安全交易的系统,包括在用户(A,B)之间建立通信信道(22)的装置;在用户(A,B)之间使用通信信道(22)传输(A6;B6;C12;C6)所述交易的验证标识符的装置;在第一设备存储(A3;B3;C14;C9)验证标识符作为交易的参考标识符的装置打开(A10;B10;C16)在可信赖网络的两个设备之间的安全连接的装置(26A;28A;26B;28B;26C;28C),所述安全连接不同于用户(A,B)之间的通信信道(22);在安全连接上将验证标识符从第二设备发送(A11;B11;C17;C22)到第一设备的装置(30A;30B;30C);比较(A12;B12;C18;C22)在安全连接上接收到的验证标识符和在第一设备上的参考标识符的装置(34A;34B;34C;35C);以及根据比较执行(A15;B15;C25)安全连接上的安全交易的装置(36A;38A;36B;38B;36C;38C)。
33.一种被可信赖网络的第一设备用来使得第一设备的用户执行与可信赖网络的第二设备的用户之间的安全交易的系统,包括使用在用户(A,B)之间建立的通信信道(22)将交易的验证标识符指示(A5;B5)给与第二设备的用户通信(A6;B6)的第一设备的用户,或输入(C13;C8)使用在用户(A,B)之间建立的通信信道(22)从第二设备的用户传输(C12;C6)到第一设备的用户的交易的验证标识符的装置(20A;20B;25C;24C);存储(A3;B3;C14;C9)验证标识符作为交易的参考标识符的装置;在可信赖网络上打开(A10;B10;C16)两个设备(12,2)之间的安全连接的装置(28A;28B;28C),所述安全连接不同于用户(A,B)之间的通信信道(22);在安全连接上从第二设备接收(A11;B11;C17;C21)该验证标识符的装置(32A;32B;32C);比较(A12;B12;C18;C22)在安全连接上接收到的验证标识符和参考标识符的装置(34A;34B;34C;35C);以及根据比较执行(A15;B15;C25)安全连接上的安全交易的装置(36A,38A;36B,38B;36C,38C)。
34.一种被可信赖网络的第二设备用来使得第二设备的用户执行与可信赖网络的第一设备的用户之间的安全交易的系统,包括使用在用户(A,B)之间建立的通信信道(22)将交易的验证标识符指示(C11;C5)给与第一设备的用户通信(C12;C6)的第二设备的用户或输入(A8;B8)使用在用户(A,B)之间建立的通信信道(22)从第一设备的用户传输(A6;B6)到第二设备的用户的交易的验证标识符的装置(21C;20C;24A;24B),所述验证标识符已保存(A3;B3;C14;C9)在其他设备上作为交易的参考标识符;在可信赖网络上打开(A10;B10;C16)两个设备(12,2)之间的安全连接的装置(26A;26B;26C),所述安全连接不同于用户(A,B)之间的通信信道(22);在安全连接上将验证标识符发送(A11;B11;C17;C21)到其它设备的装置(30A;30B;30C),被其他设备用于与参考标识符的比较(A12;B12;C18;C22);以及根据比较执行(A15;B15;C25)安全连接上的安全交易的装置(38A;38B;38C)。
35.一种操作程序,当被装载到设备时,使得设备成为如权利要求33或34所述的设备。
36.一种操作程序,当在设备上运行时,使得设备实现如权利要求30或31所述的方法。
37.如权利要求35或36所述的操作程序,其特征在于,所述操作程序承载在载体媒介上。
38.如权利要求37所述的操作程序,其特征在于,所述载体媒介是传输媒介。
39.如权利要求37所述的操作程序,其特征在于,所述载体媒介是存储媒介。
全文摘要
一种使得可信赖网络的第一和第二设备(12,2)各自的用户(A,B)在他们之间执行安全交易的方法。在用户(A,B)之间建立通信信道,例如电话会话。为安全交易在用户(A,B)之间使用通信信道传输验证标识符。在第一设备存储(A3)该验证标识符作为交易的参考标识符。打开在可信赖网络(A10)的设备(12,2)上的两个设备(12,2)之间的安全连接,该安全连接不同于用户(A,B)之间的通信信道。在安全连接上将验证标识符从第二设备(2)发送(A11)到第一设备(12)。比较(A12)在安全连接上接收到的验证标识符和在第一设备(12)上的参考标识符。根据该比较执行(A15)安全连接上的安全交易。
文档编号H04L9/32GK1783887SQ200510131519
公开日2006年6月7日 申请日期2005年9月30日 优先权日2004年10月6日
发明者P·G·埃德蒙兹, D·A·鲁滨逊, C·格林, M·怀斯 申请人:夏普株式会社