专利名称:用于观察网络通信操作与服务器连接的信任级的方法和系统的制作方法
技术领域:
本发明涉及一种系统与方法,其允许终端用户观察网络通信与到服务器的连接的 信任级。
背景技术:
图1示出了用于蜂窝电信的现有技术移动终端1,其经由诸如蜂窝网的无线电信 网络通信。键盘2具有第一组的十二个诸如字母数字键的键7,借助所述第一组键所述用户 可输入电话号码、使用短消息业务(SMS)写文本消息、写姓名(与所述电话号码相关)等。 所述十二个字母数字键7的每一个都分别带有识别数字“0-9”是符号“#”或“*”。在字母 模式下,每个键都与用于文本编辑的若干字母和专用符号相关。所述键盘2还包括第二组键,其为两个软键8、两个呼叫处理键9以及导航键10。 所述两个软键8与液晶显示器3结合操作,以显示文本,所述文本依据操作模式改变,并向 用户提供选择操作的不同程序化摸式的能力,所述模式是由存在于存储器17内的程序提 供的。软键并不仅限于对单个专用终端功能的选择。所示软键8可具有对应于受托者的模 型2110 和8110 的功能。至少一个所述软键被定义为操作键8a,其具有用于处理接入菜 单结构的多个功能。操作键8a的功能取决于移动终端的当前状态。所述操作键8a被设置 为执行一组与状态相关的预定作用。所述操作键8a的缺省功能或当前功能可显示在显示 器3的预定区域21内。也可称为导航键的滚动键10是上/下键,其被置于移动终端前面的显示器3与字 母数字键组7之间的中心位置处。用户通过简单地使用他/他的拇指按上/下键即可控制 所述滚动键10,这允许用户在用户界面内提供的菜单的一组项目之间选择。由于许多有经 验的用户经常单手控制,放置一个输入键是很好的解决方案,这需要精密的发动机装置。因 此,用户可将移动终端放置在手中的指尖与手掌之间。拇指因而可自由输入信息。所述滚 动键10可以是滚子键(未显示),其被设置为在一个或若干方向上旋转。所述滚子键允许 用户滚动按键,以在菜单内的不同项目之间滚动。所述滚子键10可根据受托者的美国专利 申请08/923,696,本文引入其整体作为参考。此外,所述滚动键10允许用户在菜单内的一组项目之间选择性地滚动。这意味着 用户可选择电话菜单循环内某一项目的前一个或后一个项目,同时他/她可通过激活所述 操作键8a来接入所述菜单循环内所涉及的项目下的子菜单循环。在某些状态下,例如以所述字母数字键盘7输入电话号码,另一软键8b可被定义 为撤销键,其被用于通过按所述撤销键8b来删除最后输入的数字或字母。如果按所述撤销键8b持续较长时间,则所有数字或词都被删除。尽管移动终端10的功能可由操作键8a控制,但有时使用所述第二组键内的两个或更多键是有利的,所述第二组键可以与个人数字助理(PDA)的显示屏类似的方式并入触 控式显示器(未显示)。所述两个呼叫处理键9用于建立呼叫或会议呼叫、终止呼叫或是拒绝呼入。图2示意性示出了图1移动终端1的主要部分的方框图。这些部分是常规的,通 常例如用于其内可实践本发明的移动终端。话筒6录制用户的话音,在所述话音被在音频 部分14内编码之前,所形成的模拟信号被在A/D转换器(未显示)内A/D转换。编码后 话音信号被传送到控制器,其为执行控制图1移动终端的程序设计的程序化微处理器18。 所述处理器18可在众所周知的有效模式期间内,执行各种类型的软件,以提供多种终端功 能。所述处理器18还形成到外围设备的接口,所述外围设备包括驱动图1的IXD显示器3 以提供图形显示给用户的IXD驱动器13、RAM存储器17a和ROM闪存17b、SIM卡16、键盘 2(以及数据、电源等),所述键盘2例如采取按键键盘的形式,但并不仅限于此。所述处理 器18与发射机/接收机19通信,所述发射机/接收机发送/接收请求/响应到/从一个 或若干电信网络。所述音频部分14将所述信号话音译码,所述信号被经由D/A转换器(未 显示)从所述处理器18传送到扬声器5。互联网用户使用万维网(www)浏览器来接入www服务器上的信息业务。WWW浏览 器是在用户的计算机内运行的程序。所述用户的计算机可能是移动的,并经由无线链路连 接到互联网,或是固定的,并经由有线线路连接来连接到互联网。www服务器为www浏览器 提供页面。所述www服务器保存或生成所示信息在页面内,并使用互联网连接或会话将所 述信息传送到www浏览器。WWW服务器可具有由被称为认证代理(CA)的所信任第三方(TTP)颁发的认证以及 密钥,并将服务器的身份提供给固定或移动终端的用户。所述认证包括服务器或负责所述 服务器的机构的所证实名称。WWW页面可被划分为不同服务器生成的画面。来自不同服务器的画面被组合为集 成页面,所述集成页面在www浏览器的控制下显示给用户终端。阻止WWW服务器模仿真正的WWW服务器很重要。任何模仿都可使所述模仿服务器 得到秘密、机密或商业上敏感的信息。现有浏览器并不允许以实际且便利的方式将服务器 的身份指示给用户,所述服务器提供包括来自不同服务器的集成在一起的画面的页面。当前,所述服务器的身份并不通过用户接口(UI)显示给WWW浏览器内的用户。在 某些情况下,可通过浏览器的UI接口借助指令发现所述服务器的身份。浏览器的多数用户 不会检查浏览器连接到的服务器的身份,因为这种身份检查并不简单,而且许多用户甚至 不会意识到潜在的问题。在WWW页面包括若干画面时,在当前浏览器内仅可看见第一画面的状态。这可使 用浏览器来检查服务器的身份,所述服务器提供被并入页面的画面。图3A示出了 WWW浏览器的页面内的一般逻辑,所述页面显示单个画面100。画面 100的信息内容并不重要。所述画面底部的指示符102用于通知用户连接是否安全,所述 指示符是锁,或是诸如NetscapeNavigator 所使用的一类。如图所示,所述锁是关闭的,这 指示对于单个页面100而言,未识别的源服务器被指示为安全的。但为了发现提供单个画面100的服务器的真实身份,必需点击指示符102,以得到所述服务器的认证,所述服务器 提供在显示器104上显示的画面100。图3B示出了登陆页面105,其被分为两个由不同服务器提供的画面106和108。画 面的内容并不重要。画面106和108由不同的服务器提供。锁指示符102开启的结果是, 指示仅左边的画面106来自不安全的服务器。但是,所述指示符102并不传送任何与右边 画面108相关的信息。但是,如果所述画面108包括秘密、机密或商业敏感信息,则关键的 是,向浏览器的用户通知服务器108的身份具有所述用户已认可的身份并且是安全的,以 向所述用户提供关于所述用户可能向其提供秘密、机密或商业敏感信息的服务器的合理安 全度。但是,无法得到关于提供画面108的服务器的信息,从而使用户陷入两难境地,是否 继续通过互联网通信指向可靠性未知的服务器的秘密、机密或商业敏感信息。现有技术的安全指示符102即使是在指示安全时,仍无法提供邮件会话是安全 的,这会使用户对安全正确性产生误解,而且所述指示符102不会提供关于安全实际水平 或所述画面信源的可靠性的信息。现有技术的安全指示符102可能会指示正经历泄密的无 鉴权的弱安全性,或是带有鉴权的强安全性。所述指示符102的不同的可能解释使得该指 示符对相关用户而言几乎不具有任何价值。
发明内容
本发明是一种系统与方法,其(1)使得终端用户能够通过所述终端的显示器上的 显示,在至少一个,优选的是所有与终端会话相关的通信操作传输到网络之前,为所述(多 个)通信操作确定其与标准相关的信任级,以向所述用户通知被确定为与用户允许传送到 所述网络的所述(多个)通信操作相关的安全级,所述终端可能是移动或固定的,耦合到诸 如但并不仅限于互联网的网络,(2)当所述终端上的所述显示包括多个画面时,向所述用户 证实可能来自多个应用服务器的所有所述画面的信源是所述用户可依赖的安全信源,从而 不必关心其安全性即可将秘密、机密或商业信息传送到该信源。在所述终端设备上对信任级的显示向所述用户通知被确定为与终端会话的每个 通信操作相关的相对安全级,从而使得所述用户能够基于所显示的信任级选择是否继续所 述会话的通信操作,所述终端设备可能是移动或固定的,并经由有线线路或无线连通性连 接到所述网络。所述信任级的确定可能会被如下确定(1)通过在制造时即存储在所述移动 终端内或是此后下载到所述移动终端的信息,仅在所述移动终端处确定,(2)在所述通信操 作实际传输到其将会被传送到的网络之前,仅由所述网络内的至少一个服务器确定,或(3) 通过在至少一个网络服务器与所述终端的处理器之间分担所述信任级的确定。在确定所显示的所述信任级时可能会利用多个因素。所述信任级确定的第一属性 取决于在所述终端与所述网络之间的通信操作期间内使用的技术。所述技术成分本质上是 动态的,因为随时间流逝,起初高度安全并具有与其相关的高安全级的技术会变为与更低 安全技术状态相关,这归因于更新技术的出现。在这种情况下的结果信任级会降级,即使是 持续使用相同技术。例如,所述技术成分属于但并不仅限于(1)在所述终端与所述网络内 的各个实体之间的通信操作的传输期间内使用的加密,⑵所述会话如何被启动,⑶如何 实现所述终端内的存储,以及(4)所述终端用户如何实现所述用户的识别。此外,除了所述终端与网络的上述技术属性之外,非技术属性也可用于确定所述信任级,例如在所述会话期间内所述终端连接到的应用服务器的运营商的可靠性,以及所 述应用服务器的运营商或是所购买商品或业务的信源提供商业服务的商业服务期限等,但 并不仅限于此。所述终端对所述信任级的显示并不仅限于数字或图形。不论是何种显示,所述显 示都与参考标准相关,例如显示较大数值表示更高的信任级,或是更大的图形显示向所述 用户提供足够的信息,所述图形例如是从零到四的若干条,其中四个条为最大,但并不仅限 于此,这样所述用户能够明智地选择是否授权与所述网络的通信操作。当取决于所述信任 级显示的对于继续会话的最终选择是用户的选择时,所述会话包括多个通信操作,本发明 对信任的相对级的显示使得所述用户能够明智地选择是否在通信操作内将秘密、机密或商 业信息传送到所述网络。许多不同的加权因数可能与用于确定所述信任级的技术与非技术属性相关。本发 明并不限于对用于从技术与非技术角度确定所述信任级的属性的任何特定选择。此外,如 上所述,本发明便利了依据所述技术与非技术属性随时间的变化对所述信任级做出当前的 评估,以在任何当前会话期间内向所述终端用户提供关于所述信任级的最新信息。可使用基于数字的算法计算所述信任级,所述算法将所述属性的不同部分相加, 将所述部分加权,以在正被评估的通信操作传输到所述网络之前,确定代表所述通信操作 的总得分。基于数字的算法可能会被简单地更新为反映各种属性的组成的变化,所述属性 提供可能最佳得分的数字部分。此外,本发明提供了单个页面的显示,所述单个页面包括来自多个服务器的画面, 并带有所述画面是否被证实为从安全服务器发送的指示符。证明或其它指示由所述终端显 示,以向用户通知每个包括多个画面的页面是否来自所证实的服务器,其中每个所述画面 都来自安全信源。在包括终端和网络的系统中,所述终端包括显示器,所述终端在终端会话期间内 使用浏览器与网络通信,所述终端会话包括由用户启动并被传送到所述网络的通信操作, 根据本发明的方法包括通过建立到所述网络的传输借助浏览器启动终端会话;所述网络响 应于所述终端会话的启动,将信息从所述网络提供给与所述终端会话相关的所述浏览器; 以及如果所述用户允许将所述至少一个通信操作传送到所述网络,则在所述至少一个通信 操作传输到所述网络之前,在所述显示器上显示基于比较标准的所述至少一个网络操作的 信任级,以向所述用户通知被确定为与所述至少一个通信操作相关的安全级。所述终端可 能是移动终端;所述通信操作可能包括所述移动终端与所述网络内的实体之间的无线传 输。每个所述通信操作的信任级可被显示;且其中每个信任级至少部分基于所述网络内的 技术,所述技术涉及与所显示的信任级相关的所述通信操作。所述网络可包括确定所述通 信操作的信任级的服务器;所述的由服务器确定的信任级可被传送到所述终端并由终端的 显示器显示。所述移动终端可包括处理器;并响应于每个通信操作,所述处理器可确定由所 述显示器显示的信任级。所述网络可包括服务器,而所述终端可包括处理器;且所述服务器 可向所述处理器提供关于所述网络处理所述通信操作的信息,而所述处理器响应于所述信 息,可确定由所述显示器显示的信任级。所述服务器可至少部分基于与提供每个通信操作 的网络相关的网络技术,确定每个所述通信操作的信任级。所述信任级至少部分取决于所 述网络在处理所述通信操作时使用的至少一个附加属性。所述至少一个附加属性可能是以下两者的至少一个,在所述会话期间内通过浏览器(或使用诸如电子邮件或SMS的其它通 信方法)向所述用户提供业务的服务器的运营商的可靠性,或是在所述会话期间内通过浏 览器或其它所使用的网络连接向用户提供业务的商业服务期限。所述信任级的显示可能是 图形显示或数字值。根据本发明的系统包括终端,所述终端包括显示器;所述终端经由通信链路耦合 到的网络;其中所述终端在终端会话期间内使用浏览器或电子邮件或SMS与所述网络通 信,所述终端会话包括由所述用户启动并被传送到所述网络的通信操作,所述终端会话是 借助浏览器、电子邮件或SMS,通过建立到所述网络的传输而启动的,所述网络响应于所述 终端会话的启动,将信息从所述网络提供给与所述终端会话相关的所述浏览器、电子邮件 或SMS,如果所述用户允许将至少一个通信操作传送到所述网络,则在所述至少一个通信 操作传输到所述网络之前,所述显示器显示基于比较标准的所述至少一个网络操作的信任 级,以向所述用户通知被确定为与所述至少一个通信操作相关的安全级。每个所述通信操 作的信任级都可被显示;且其中每个信任级至少部分基于所述网络内的技术,所述技术涉 及与所显示的信任级相关的所述通信操作。所述网络可包括 确定所述通信操作的信任级的 服务器;所述的由服务器确定的信任级可被传送到所述终端并由所述终端的显示器显示。 所述移动终端可包括处理器;并响应于每个通信操作,所述处理器可确定由所述显示器显 示的信任级。所述网络可包括服务器,而所述终端可包括处理器;且所述服务器可向所述处 理器提供关于所述网络处理所述通信操作的信息,而所述处理器响应于所述信息,可确定 由所述显示器显示的信任级。所述服务器可至少部分基于与提供每个通信操作的网络相关 的网络技术,确定每个所述通信操作的信任级。所述信任级至少部分取决于所述网络在处 理所述通信操作时使用的至少一个附加属性。所述至少一个附加属性可能是以下两者中的 至少一个,在所述会话期间内通过浏览器、电子邮件或SMS向所述用户提供业务的服务器 的运营商的可靠性,或是在所述会话期间内通过浏览器向用户提供业务的商业服务期限。 所述信任级的显示可能是图形显示或数字值。根据本发明的系统包括终端,所述终端包括显示器;网络,所述网络包括所述终端 借助电信链路耦合到的服务器;其中所述服务器存储由诸如CA的信任第三方颁发的认证, 以及密钥,所述认证包括所述服务器或负责所述服务器的机构的所证实身份,所述密钥与 认证被传送到所述终端,并由所述终端处理,以确定向所述终端用户显示的所述服务器的 身份是否来自所信任的信源,所述显示包括至少一个页面,所述页面包括画面,以及可被显 示为指示所述画面是否被证实为来自所信任信源的显示。所述系统可能还包括至少一个附 加服务器,所述至少一个附加服务器将至少一个画面提供给所述服务器;且所述服务器可 能处理至少一个来自所述附加服务器的画面,以及任何由所述服务器提供的画面,以形成 包括所述画面的集成页面,所述集成页面被传送到所述终端并由所述显示器显示。可借助 所述服务器的认证来显示所述集成页面,所述认证指示所述集成页面来自所信任信源。一种系统内的根据本发明的方法,所述系统包括终端和网络,所述终端包括显示 器,所述网络包括所述终端借助电信链路耦合到的服务器,所述方法包括,借助所述服务器 存储由诸如CA的信任第三方颁发的认证,以及密钥,所述认证包括所述服务器或负责所述 服务器的机构的所证实身份;将所述认证与密钥传送到所述终端;并在所述终端内处理所 述认证与密钥,以确定向所述终端用户显示的所述服务器的身份是否为所信任的信源;以及借助所述显示器显示所述处理的结果。所述网络可能还包括至少一个附加服务器;所述 至少一个附加服务器将至少一个页面提供给所述服务器;且所述服务器可能处理至少一个 来自所述附加服务器的页面,以及任何由所述服务器提供的页面,以形成集成页面,所述集 成页面被传送到所述终端并由所述显示器显示。可借助所述服务器的认证来显示所述集成 页面,所述认证指示所述集成页面来自可信任信源。
图1示出了现有技术移动终端,其是与本发明实践一起使用的一种类型的终端。图2示出了图1的现有技术移动终端的电子学的方框图。图3A和图3B示出了现有技术浏览器登陆屏。图4A-4E示出了根据本发明的信任级指示符的显示。图5示出了根据本发明系统的系统方框图,所述系统生成信任级的显示,所述显 示用于向所述用户通知通信操作的安全级,且每个包括多个画面的所显示页面都来自安全 服务器。图6示出了图5系统内的信任评估服务器处理单个通信操作的流程图。图7示出了根据本发明显示的浏览器登陆屏。在附图中相同的附图标记标识相同部分。
具体实施例方式图4A和4B示出了根据本发明的在终端设备上显示的信任级。所述信任级与比较 的标准相关,从而能够在将(多个)通信操作传输到网络之前,显示与所述通信操作相关 的所述信任级,以将确定为相对于其它通信操作与所述通信操作相关的安全级通知给所述 用户。所述信任级的显示使得所述用户能够在考虑到以通信操作传送保密、机密或商业秘 密信息的潜在风险级之后,选择是否将所述通信操作传送到所述网络。通信操作被传送至 的所述网络是下述的图5系统的一部分。所述显示100和102可由图1的现有技术终端的 IXD 3生成,或是由诸如PC的终端设备的显示器生成。如图所示,所述显示物理上类似于由 图1的现有技术移动终端生成的显示,但本发明并不仅限于此。所述显示100和102分别代表终端会话的第一和第二通信操作。借助本发明,在 以通信操作与所述网络实际通信之前,在每个与不同通信操作相关的显示100和102上生 成显示104,所述显示104可能为所示图形、数字、文本或是上述选择的任何组合。当所述终 端会话继续所述第一操作时,以文本“卡类型”识别的图4A内画面110由包括在所示矩形 窗口内的字段突出。所突出的所述“卡类型”向用户告知,所述终端会话的第一通信有效, 且如果所显示的所述信任级是可接受的,则该用户应当输入其“卡类型”。当所述终端会话继续请求所述用户输入所述“卡类型”的所述第一通信操作110 时,通信被发送至所述网络,如下所述地被发送至其内的信任评估服务器,或是被发送到确 定所述信任级的所述终端,或是被发送到所使用的所述信任评估服务器与终端的组合。基 于存储在现有技术移动终端的RAM 17A内,或是诸如PC的RAM的其它存储器内的信息,在 所述用户允许将所述第一通信操作传送至所述网络之前,执行与所述第一通信操作相关的 信任级的确定。如图所述,图4A的显示104示出了两个光条112,其指示已被确定为与所述初始通信操作相关的中等安全级,所述确定是由图1和2移动终端的处理器18执行其内程 序设计来执行的,或是备选的由如下结合图5描述的所述信任评估服务器来执行的,或是 将所述信任级的确定在所述移动终端的处理器以及所述网络的信任评估服务器之间分配。 所述两个光条112的显示将与传送所述“卡类型”给所述网络相关的,例如与银行卡或旅行 与娱乐卡颁发人的识别相关的中等安全级告知所述用户。在图4B中,与所述第二通信操作卡号相关的字段114被加亮,指示所述会话的所 述第二通信操作是有效的。在进入所述终端会话的所述第二通信操作时,更为敏感的“卡 号”信息被传送给所述网络。以与所述第一通信操作相同的方式确定所述第二通信的信任 级。所确定的信任级被显示为三个光条112,指示与所述第二通信操作相关的较高安全级。
“名称”和“地址”通信操作以类似的方式处理。如果所述用户继续通过与图4A和 4B的“名称”与“地址”相关的第三和第四通信操作,则在传送到所述网络之前,所述会话的 每个通信操作都具有一个所显示的信任级。此外,应当理解的是,图4A和4B内显示的所述会话仅是本发明的实例。本发明同 样适用于涉及不同数量和类型的通信操作的会话。此外,尽管所显示会话本质上是商业性 的且与购买商品和服务相关,但根据本发明的会话具有多种不同的应用。将信任级显示给所述用户具有若干层益处。首先,具有至少一个光条的所指示信 任级的显示将与所述通信操作相关的某个安全级通知给所述用户,提供了对于安全性适当 的有限程度的保证。此外,基于所述用户的关于他或她将哪些内容视为机密的经验水平,所 述显示提供了数字或图形(图形定量并未显示)的所述安全级的定量,允许所述用户参考 图4C-4E所示出的共用画面来评估与所述会话中每个部分相关的信任级。在图4C中,显示 屏中间区域的最左边的部分区域120 (显示宽度的一半)是从两个可用的画面118和119 中选择的画面。所选择的画面118被以方形画面120指示为所选择画面。所确定的信任级 被显示为两个光条123。在图4D中,显示屏中间区域的最右边的部分区域130是从两个可 用画面128和129中选择的画面。所选择的画面129被以方形画面130指示为所选择的画 面。所确定的信任级被显示为三个光条132。在图4E内,所述用户显示屏在其中间部分内 包括两个画面区域138和139。在最左边的画面区域138内,存在着称为JAVA小应用程序 140的部分。所述小应用程序区域140此时被以选择框114选择。所述小应用程序144的 信任级被显示为一个光条142。如果相对于关于释放所请求信息到所述网络的所述用户较 为重视的事情而言,所述用户确定所显示信任级不可接受的低,则考虑会话的至少一个或 优选的所有通信操作允许停止所述会话。所显示的信任级与比较标准是相对的。会话期间内的通信操作会被相对于相同标 准评估。所述合成显示的信任级无论是图形的、数字文本的或是上述选择的一些组合或文 本的,都将特定通信操作与其它通信操作相比较的安全性告知所述用户。如下描述的所显 示的信任级指示符考虑到所述会话的技术和非技术属性,使得所述用户能够在将每个通信 操作传输到所述网络之前,能够看到信任级而将所述信任级赋予每个通信操作。存在着两种用于确定所显示信任级的优选方法。第一种方法是如果所述终端设备 是移动的,则将所述信任级的确定算法存储在与所述终端设备相关的处理器的存储器内, 即与图1和2的处理器18相关的RAM17A内,如果所述终端设备经由有线线路连接到所述 网络,则将所述确定算法存储在PC的存储器内。包括在所述终端设备存储器内的所存储信息用于至少分析当前会话的每个所述通信操作优选的技术属性,以确定将被显示的所述信 任级。如此处理的一个基础是比较与所述会话相关的所述终端设备与网络所使用的技术和 存储在存储器内的现有终端和网络技术,包括被周期性的下载以借助当前技术更新所述存 储器的技术。例如,如果所述用户准备在所述终端内存储事项细节,则可能会将存储在所述 终端存储器内或是图1的SIM模块内的选项呈现给所述用户。考虑到SIM代表现有技术安 全存储器的当前状态,而RAM不是,存储在SIM内的信任级将显示为更高。此外,如果用户 希望建立作为通信操作的一部分的到所述网络内远程服务器的加密连接,考虑到所述通信 操作已被所述终端识别为被加密的,这被理解成较高安全级,则所述终端设备将引起较高 安全级的显示。所述移动终端的上述技术属性实例仅是其它可被存储为代表现有技术的技术属性的示例。包括所述算法的所存储信息代表用于比较以生成所述信任级显示的框架结构。以所述终端确定所述信任级具有一些缺点。就存储在所述终端设备的存储器内的 资料并不从所述网络连续更新而言,技术改变和实际关系的影响可能会随着时间的变化改 变所显示信任级的重要性。随着技术进步,SIM可能会变得落后,并且不再代表本地安全存 储器的最佳解决方案。然而,除非存储在所述终端存储器内的关于SIM的信息被更新,否则 与未来实际出现的情况相比,即与当SIM与可能的较新技术相比变成较不安全的在所述终 端内安全存储信息的方法时出现的情况相比,提供给所述用户更高的信任级的显示。此外, 存在的关于与特定服务器的会话的实际信息可能与所显示安全级并不一致,例如在所述终 端确定已建立安全鉴权的连接,但实际上该连接在完全不安全的环境内时。当然,诸如上述 的因素尽管可能,但相对而言未必发生。根据本发明的信任级显示提供的信息与并不提供 这种信息的现有技术相比更有条理。在很大程度上,尽管有错误的可能性,但所述信任级仍 将非常可靠,即使是在所述终端存储器并不被更新为做出将这些环境加权到所述信任级确 定内的反射。所显示信任级指示符104是图形的、数字的或其它,例如带有文本消息,或是上述 选择的组合,其是与在终端的显示设备上生成其它通信相同的方式生成的。对于互联网浏 览器而言,所述指示符104可被置于状态光条。图5示出了一种其内可实施本发明的系统。该系统包括终端202以及网络204,所 述终端202可能是图1和2的根据现有技术的移动终端,或是可能为众所周知的PC的固定 终端。所述终端202具有显示器206,其显示上述图4A-4E的屏幕,并显示其它屏幕以将关 于所述终端会话的信息提供给所述用户,尤其是至少提供所述信任级指示符124或类似物 给所述用户。所述终端202由无线或有线线路的通信链路208连接到信任评估服务器210。 所述信任级同样可由诸如信任评估服务器210的网络204内服务器确定,或是通过所述终 端202内的处理器与信任评估服务器的处理器的组合操作来确定。所述网络204包括多个众所周知的应用服务器21,其代表所述终端在通信操作的 会话期间内连接至的任何信息源。所述移动终端202与每个所述应用服务器212之间的连 接可能通过任何一种类型的网络,包括诸如互联网的分组数据网214,但并不仅限于此。应 用服务器212通常由机构控制。所述机构的身份是在确定信任级期间内考虑的属性之一, 所述信任级仅由所述终端202的处理器确定,或仅由所述信任评估服务器210的处理器确 定,或由其组合确定,在组合的情况下,每个处理器分担确定所述信任级的一部分任务。此外,所述信任评估服务器210连接至附加服务器,所述附加服务器不仅限于技术监视服务 器218、认证颁发服务器220和市场分析服务器222,其中每个都提供不同属性的分析,所述 属性在所述信任评估服务器210确定所述信任级时加权和/或考虑。图5内描述的通信操作是“去购物”通信操作224。响应于“去购物”通信操作224, 如下的一系列处理发生。“去购物”通信操作224的初始输入引起通信226被从所述移动终 端202传送到所述信任评估服务器210,所述输入如以上结合图4A-4E描述的在显示器内突 出或识别。此时,所述信任评估服务器210启动分析,所述分析考虑到所述终端会话的技术 属性与非技术属性。所述信任评估服务器210启动通信228到技术监视服务器218,所述技 术监视服务器218请求评估包括在“去购物”操作224内的将使用的128比特编码230是 否代表现有技术状态。所述技术监视服务器218分析所述128比特编码230,并将技术状态 消息230在通信232内发送回所述信任评估服务器210,所述技术监视服务器218包括被更 新为反映最新使用的技术的数据库,所述技术包括所涉及的加密等。所述信任评估服务器 210然后发送通信234,以请求所述认证颁发服务器220确定包括在“去购物”通信操作224 内的认证“ABC”是否可靠。所述认证颁发服务器220确定所述认证将如消息237内指示的 在一个星期内到期,因而当前是可靠的。所述信任评估服务器210然后发送通信238,所述 通信238指示在消息239内指示的“去购物”消息将指向公司“XYZ”,并涉及200美元。所 述市场分析服务器222将通信240发送回所述信任评估服务器210,所述通信240包括指示 公司“XYZ”具有不良信誉的消息241。此时,所述信任评估服务器210已考虑技术监视服务 器218所提供的与技术状态相关的技术信息,以及非技术信息。非技术信息确定所述“去购 物”操作224所提供的认证是否通用,其由所述认证颁发服务器220指示,而与交易指向的 公司相关的商业分析信息由所述市场分析服务器222指示。技术与非技术信息的组合由信任评估服务器210内的处理器根据编程准则处理, 所述组合仅是所述信任评估服务器210用来确定信任级的信息的一个可能子集,所述编程 准则用于部分或完全生成将由所述终端202的显示器206显示的信任级。在执行所有可用 属性的处理之后,所述属性包括所述信任评估服务器210所收集的技术与非技术性质的属 性,通信242由所述信任评估服务器210传送回所述终端设备202。如224所示,所述通信 242包括消息244,所述消息244指示,所述“去购物”操作244将以可接受技术处理,但所显 示的信任级为70%,即所述交易指向的公司具有结果信任级为70%的疑问操作,这表示在 网络204内使用的交易的技术部分是可接受的,但所述终端设备202的用户应当小心,因为 所述交易将指向的公司根据推理具有不良信誉。当然,如果认证235无效,则通信242内的 指示可能为,“去购物”通信操作不应当被启动,因为公司XYZ的应用服务器212 (未示出) 与信任第三方所颁发的认证无关,对于向终端设备202的用户通知所述用户并不是在和与 公司XYZ相关的所鉴权服务器作交易而言,所述认证相当重要。图6示出了在分析通信操作以确定其信任级时的信任评估服务器210的一种可 能操作的流程图,所述信任级由终端202的显示器显示。所述信任评估服务器210的处理 在300处开始,其中将被评估的通信操作是信任评估服务器210从终端202接收的消息。 处理继续到302,其中所接收的消息提取将被出于显示信任级的目的而评估的操作,例如图 4A-4E的“卡类型”或“卡号”通信操作110和114。处理继续到304,其中确定终端202的 “身份”与“模型”是否列示在所述消息内。如果回答为“是”,则处理继续到306,其中提取关于所述终端所使用的技术的信息。处理从304或306继续到308,其中确定网络204用于通信操作的所需技术属性。处理继续到310,其中确定从所述终端接收的消息内的信息的所有 属性是否已被评估。如果在310处回答为“否”,则处理继续到312,以评估所述终端所提供 的消息的下一个属性,这一直重复直至所有属性得到评估。如果在310处回答为“是”,则处 理直接继续到314,其中为用作确定所述信任级的一部分准则的任何丢失属性指配缺省值。所述缺省值被选择为代表每个丢失属性的平均分配,从而不会将所计算的信任级 错误地降低到最小。一旦属性被确定为用于确定安全级的处理的一部分,所述缺省值机制 被用于允许在缺少为每个所述属性提供的数字值的情况下计算信任级。在缺少任何信息的 情况下,最好假定所述属性具有平均值,而非根本不具有值。如果所述信任评估服务器210是所显示的信任级的唯一信源,则在所有所述属性 具有与其相关的值之后,处理继续到316,以计算将由所述终端设备202显示的所述信任级 的最终评估,所述评估通常为数字的,但并不仅限于此。处理最终继续到318,其代表通信 242返回到所述终端202。应当理解的是,所述信任评估服务器210所执行的上述处理仅仅是示例性的。对 所述处理做出的修改包括处理的不同顺序,包括在先前的处理由所述信任评估服务器内的 (多个)处理器与所述终端设备202的(多个)处理器分担时,并不计算所述信任级。所述信任评估服务器210通常是与所述应用服务器212不同的实体,所述应用服 务器212向终端210的用户提供在所述会话期间内接入的应用。当所述信任评估服务器 210与应用服务器212可能是一个服务器时,可能将会使用信任评估服务器210与应用服务 器212的所示体系结构。所述信任评估服务器210可实施任何用于完全或部分计算所述信任级的信任评 估方法,只要所述方法与终端202的操作兼容。可能假定所述信任评估服务器210至少考 虑所述通信操作的技术属性,和其它上述正使用的信息,所述属性是特定于所述通信操作 的语境。可能会考虑终端202与信任评估服务器210都使用的许多技术属性。所述技术属 性包括加密、会话启动、本地存储与识别。全部信任评估可能仅由终端202,或仅由信任评估服务器210,或由其组合执行。 所述技术属性评估所述技术对全部预定操作的适合性。对于某些通信操作而言是安全的可 接受属性,可能对于其它通信操作而言并不足够安全到使用户允许网络执行该通信操作。加密技术从最安全到不安全的相对安全性如下列出在终端内操作,3数据加密 标准(3DES)、RC5 128比特、RC5 56比特(RC5 128比特和RC5 56比特为RAS加密的形式)、 不加密。会话启动技术从最安全到最不安全的相对列示如下在终端内操作、服务器鉴权 的数字认证(认证必须被评估,以确认其有效)、服务器鉴权的共享秘密、服务器鉴权的网 络地址、匿名的网络地址。本地存储技术从最安全到最不安全的相对列示如下防止窜改、基于硬件的软件 加密、不加密、无格式存储器。识别技术从最安全到最不安全的相对列示如下生物测量学、指纹、眼膜图像等、 个人识别号(PIN)、无。
应当理解的是,加密、会话启动、本地存储与识别并未包括终端202和网络204的 可能在确定所述信任级中评估的所有可能技术属性。此外,上述最安全技术到最不安全的 技术的相对列示依据可得到最新技术会经历变化与增加。此外,不同属性基于技术与非技术考虑的相对加权经历不同的实施方式,这将会 导致不同信任级,取决于在确定和/或计算所述信任级内如何加权不同属性,所述技术与 非技术考虑例如是来自技术监视服务器218的信息与来自市场分析服务器210的信息。不 同的用于计算信任级并加权其属性的方法都是可能的。
不论所述信任级是如何生成的,其显示都代表终端用户可用于与网络内一个或多 个目的地服务器的通信操作的会话的信息。所述用户评估所述会话内的通信操作是否表示 任何终止所述会话所需的不当风险。此外,所述信任级的显示为所述用户提供了信任级,该 信任级使得全部会话不会将在所述会话期间内输入的用户信息暴露在公开的可接受风险 下。此外,尽管所述终端202独自确定所述信任级更为简便,但与利用信任评估服务 器210相比,其灵活性不佳。这种差别的原因在于,与通过终端设备202的处理器相比,通 过信任估计服务器可得到更多的信息。在信任评估服务器确定信任级时加权或考虑的非技术属性包括,服务器的运营商 的可靠性,以及任何与所述会话相关的提供的商业债务,但并不仅限于此。所述非技术属性 是所述应用服务器的运营商的可靠性、所述应用服务器或是所购买商品或服务的信源的商 业提供。此外,确定所述信任级的步骤的顺序并不重要,只要所述信任级的最终确定与所 述顺序无关。如上所示,用于确定所述信任级的总算法可在所述信任评估服务器210的处理器 与所述终端202的处理器之间分摊。例如,所述终端202可能从所述信任评估服务器210 请求关于从所述技术监视服务器得到的所使用技术方面的粗略得分,且所述终端202可能 会计算其它属性,并自己计算最终的信任级。另一方面,如图6的流程图所示,所述信任评 估服务器210可能借助所述终端202执行所有所述信任级的确定,仅显示最终结果。在用于确定所述信任级的典型算法中,通常出现若干并不涉及所有属性的技术和 非技术属性。哪些属性出现取决于被评估的实际通信操作。如果所述终端202并不将特定 通信操作所需的所有属性发送至所述信任评估服务器,则所述信任评估服务器210仍旧继 续使用上述缺省值计算信任级。所述信任评估服务器210执行图6所示的过程的一种方式是将所述终端提供的数 据与所述加权表相比较。实例是评估安全等级或是咨询附加服务器,例如技术监视服务器 218、认证颁布服务器220和市场分析服务器222。图6的过程可以扩展,从而使得所述信任评估服务器210接收所述终端的身份 (以诸如IME号的绝对身份形式,或作为执行/模型信息),然后使用存储在所述服务器或 另一位置处的所述信息来提取由所述终端202使用的技术。在这种环境中,所述终端发送 所有关于在初始释放之后已被更新的技术的信息(例如新安全软件),或是所有关于与所 述终端一起使用的技术,例如智能卡的实际使用的信息。图7示出了可能实践在图5系统内的本发明另一实施例。所述信任评估服务器210将如图7所示的页面的显示400传送到终端202,与图3B的现有技术类似,所述页面具有多个画面。作为实例仅显示了画面402和404,但每个页面并不仅限于显示任何所设置数 量的画面。所述画面通常来自所述网络内的应用服务器212,但并不仅限于此。所述信任评 估服务器210传送一系列页面400,所述页面包括证明406,所述证明指示信任评估服务器 210已收集所述包括多个画面402和404的页面400内的信息,所述画面已由信任评估服务 器210确定为来自安全信源。“所证明”的消息406通知终端202的用户所有所述画面402 与404来自所信任的来源。所述信任评估服务器210将页面通过网络214传送到终端202的浏览器。所述 信任评估服务器具有TTP所颁发的认证,以及提供所述信任评估服务器21的身份的密钥。 可能会点击所述认证“开启”,以揭示所述信任评估服务器210或负责其的机构的所证实身 份。如图4C-4E所示,所述认证406还向用户通知画面402与404的所有信源都来自信任 的信源,所述的信源例如是应用服务器210。所述消息406克服了图3B的现有技术问题,在图3B中页面具有多个画面,但除指 示102之外,并未提供所述多个画面是否来自安全信源的指示。根据本发明,所述信任评估服务器210所执行的证明向用户确保浏览器链接到的 页面内画面信息的所有信源是安全的,从而使得所述用户能够有信心继续。尽管以上结合本发明优选实施例描述了本发明,但在并不背离本发明精神与范围 的情况下,可对本发明做出许多修改。所有这些修改属于所附权利要求范围内。
权利要求
一种方法,包括在终端会话期间发起第一通信操作;在完成所述第一通信操作之前确定第一信任级,其中所述第一信任级指示如果所述第一通信操作被用户允许将被完成则与所述第一通信操作相关联的第一安全级;在终端的用户显示器上显示用于指示所述第一信任级的指示符;其特征在于,接收用于基于所显示的指示符接受或拒绝所述第一通信操作的输入。
2.根据权利要求1的方法,其中所述确定所述第一信任级包括 接收信任级信息;以及从所接收的信任级信息确定所述第一信任级。
3.根据权利要求2的方法,其中从所接收的信任级信息确定所述第一信任级包括基 于与处理所述第一通信操作相关联的属性确定所述第一信任级。
4.根据权利要求3的方法,其中所述属性基于以下 为所述第一通信操作使用的网络技术类型;或在所述第一通信操作期间由终端使用的技术类型。
5.根据权利要求3的方法,其中所述属性基于以下提供使用所述第一通信操作的服务的应用服务器的运营商的可靠性;或 在所述终端会话期间服务提供的商业服务期限。
6.根据权利要求1的方法,进一步包括分开地确定对于所述终端会话期间的第二通信操作的第二信任级。
7.根据权利要求1的方法,进一步包括显示与被显示的网页的画面相关联的指示符,其中所述网页包括多个画面。
8.根据权利要求1的方法,其中所述确定第一信任级进一步包括 分析与所述第一通信操作相关联的至少一个技术属性。
9.根据权利要求8的方法,进一步包括 接收对所述第一通信操作的选项;以及 基于所述选项调整所述第一信任级。
10.根据权利要求8的方法,其中所述确定所述第一信任级进一步包括 通过网络接收关于处理所述第一通信操作的信息;以及基于所述信息计算所述第一信任级。
11.根据权利要求1的方法,其中所述显示指示符包括 在所述用户显示器上显示所述第一信任级的图形显示;或 在所述用户显示器上显示所述第一信任级的数字显示。
12.一种方法,包括在终端会话期间接收来自终端的对第一通信操作的第一请求; 由信任评估服务器确定第一信任级,其中所述第一信任级指示如果所述第一通信操作 被用户允许将被完成则与所述第一通信操作相关联的第一安全级;以及 向所述终端发送指示所述第一信任级的第一信任信息。
13.根据权利要求12的方法,其中所述确定所述第一信任级包括基于与处理所述第一通信操作相关联的属性确定所述第一信任级。
14.根据权利要求13的方法,其中所述属性基于为所述第一通信操作使用的网络技术 类型。
15.根据权利要求13的方法,其中所述属性基于提供使用所述第一通信操作的服务的 应用服务器的运营商的可靠性。
16.根据权利要求12的方法,进一步包括 接收来自所述终端的对第二通信操作的第二请求;分开地确定对于所述终端会话期间的所述第二通信操作的第二信任级;以及 发送指示所述第二信任级的第二信任信息。
17.根据权利要求12的方法,其中所述第一请求包括多个属性,所述方法进一步包括 确定信任因素,其中每个信任因素对应于所述多个属性中的一个;加权每个所述信任因素;以及 从加权的信任因素获得第一信任级。
18.根据权利要求17的方法,进一步包括 为缺失属性选择缺省值;以及使用所述缺省值作为确定所述第一信任级的一部分。
19.根据权利要求18的方法,其中所述选择缺省值进一步包括 用平均贡献代表所述缺省值。
20.一种计算机程序,包括程序代码装置,所述程序代码装置适用于当所述程序被运行 在计算机上时执行权利要求1-19中的任何步骤。
21.一种装置,包括 用户显示器;以及 处理器,其被配置为在终端会话期间发起通信操作;在完成所述通信操作之前确定信任级,其中所述信任级指示如果所述通信操作被用户允许将被完成则与所述通信操作相关联的安全级; 在所述用户显示器上显示用于指示所述信任级的指示符; 其特征在于,所述处理器被进一步配置为 接收用于基于所显示的指示符接受或拒绝所述通信操作的输入。
22.根据权利要求21的装置,其中所述处理器被进一步配置为 接收信任级信息;以及从所接收的信任级信息确定所述信任级。
23.根据权利要求21的装置,其中所述处理器被进一步配置为显示与被显示的网页的画面相关联的指示符,其中所述网页包括多个画面。
24.根据权利要求21的装置,其中所述处理器被进一步配置为 分析与所述通信操作相关联的至少一个技术属性。
25.根据权利要求24的装置,其中所述处理器被进一步配置为 接收对所述通信操作的选项;以及基于所述选项调整所述信任级。
26.根据权利要求22的装置,其中所述信任级依赖于与处理所述通信操作相关联的属性。
27.根据权利要求26的装置,其中所述属性基于以下 为所述通信操作使用的网络技术类型;或在所述通信操作期间由终端使用的技术类型。
28.根据权利要求26的装置,其中所述属性基于以下提供使用所述通信操作的服务的应用服务器的运营商的可靠性;或 在所述终端会话期间服务提供的商业服务期限。
29.根据权利要求21的装置,其中所述处理器被进一步配置为 通过网络接收关于处理所述通信操作的信息;以及基于所述信息计算所述信任级。
30.根据权利要求21的装置,其中所述用户显示器包括 所述信任级的图形显示;或所述信任级的数字显示。
31.一种装置,包括通信接口,其被配置为接收在终端会话期间接收来自终端的对第一通信操作的第一请 求,其中所述装置与所述终端的位置不同;以及处理器,其被配置为响应于所接收的请求确定第一信任级,其中所述第一信任级指示 如果所述第一通信操作被用户允许将被完成则与所述第一通信操作相关联的安全级,并且 所述处理器被配置为通过所述通信接口向所述终端发送指示所述第一信任级的第一信任 fn息ο
32.根据权利要求31的装置,其中 所述请求包括多个属性,并且 所述处理器被进一步配置为确定信任因素,其中每个信任因素对应于所述多个属性中的一个; 加权每个所述信任因素;以及 从加权的信任因素获得第一信任级。
33.根据权利要求31的装置,其中所述处理器被进一步配置为 基于与处理所述第一通信操作相关联的属性确定所述第一信任级。
34.根据权利要33的装置,其中所述属性基于 为所述第一通信操作使用的网络技术类型;或提供使用所述第一通信操作的服务的应用服务器的运营商的可靠性。
35.根据权利要求31的装置,其中所述处理器被进一步配置为 接收来自所述终端的对第二通信操作的第二请求;分开地确定对于所述终端会话期间的所述第二通信操作的第二信任级;以及 发送指示所述第二信任级的第二信任信息。
36.根据权利要求32的装置,其中所述处理器被进一步配置为 为缺失属性选择缺省值;以及使用所述缺省值作为确定所述第一信任级的一部分。
37.根据权利要求36的装置,其中所述处理器被进一步配置为用平均贡献代表所述缺省值。
38.一种移动终端,包括用户显示器;以及浏览器,所述浏览器基于涉及所述移动终端和其所耦合的网络的至少一个通信操作的 比较标准,在所述用户显示器上指示信任级,从而将被确定为与所述至少一个通信操作相 关联的安全级通知给用户。
39.根据权利要求38的移动终端,其中所述浏览器显示与被显示的网页的画面相关联 的用于指示所述第一信任级的指示符,其中所述网页包括多个画面。
40.根据权利要求38的移动终端,其中所述浏览器在所述用户显示器上指示所述信任 级的图形显示;或在所述用户显示器上指示所述信任级的数字显示。
41.一种方法,包括基于涉及移动终端和其所耦合的网络的至少一个通信操作的比较标准,在用户显示器 上显示信任级,从而将被确定为与所述至少一个通信操作相关联的安全级通知给用户。
42.根据权利要求41的方法,其中所述指示信任级包括显示与被显示的网页的画面相关联的用于指示所述第一信任级的指示符,其中所述网 页包括多个画面。
43.根据权利要求41的方法,其中所述指示信任级包括在所述用户显示器上指示所述信任级的图形显示;或在所述用户显示器上指示所述信任级的数字显示。
全文摘要
本发明是一种用于观察网络通信操作以及服务器连接的信任级的方法与系统。在一种系统中,所述系统包括带有显示器的终端以及网络,所述终端在终端会话期间内使用浏览器与网络通信,所述终端会话包括由用户启动并被传送到所述网络的通信操作,本发明的方法包括通过执行到所述网络的传输来启动与所述浏览器的终端会话;所述网络响应于所述终端会话的启动,将信息从所述网络提供给与所述终端会话相关的所述浏览器;以及在将至少一个通信操作传输给所述网络之前,如果所述用户允许将所述至少一个通信操作传送给所述网络,则在所述显示器上显示基于比较标准的所述至少一个通信操作的信任级,以将所确定的与所述至少一个通信操作相关的安全级通知给所述用户。
文档编号H04W76/02GK101827454SQ201010167810
公开日2010年9月8日 申请日期2002年8月1日 优先权日2001年8月7日
发明者劳瑞·帕特罗, 彼德·科弗塔 申请人:诺基亚公司