CN101681411B - 用于生成经确认的交易数据的方法和对应装置 - Google Patents
用于生成经确认的交易数据的方法和对应装置 Download PDFInfo
- Publication number
- CN101681411B CN101681411B CN200880016228.2A CN200880016228A CN101681411B CN 101681411 B CN101681411 B CN 101681411B CN 200880016228 A CN200880016228 A CN 200880016228A CN 101681411 B CN101681411 B CN 101681411B
- Authority
- CN
- China
- Prior art keywords
- unit
- data
- transaction data
- user
- decipher
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/606—Protecting data by securing the transmission between two devices or processes
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/82—Protecting input, output or interconnection devices
- G06F21/84—Protecting input, output or interconnection devices output devices, e.g. displays or monitors
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
- Storage Device Security (AREA)
- Digital Computer Display Output (AREA)
Abstract
本发明涉及一种用于进行交易的方法和显示准备单元,根据它们来处理必须由用户确认的交易数据。所述显示准备单元(20)包括:转换器单元(29),其将要解译的交易数据转换为像素值,并且将它们显示在监视器(6)上;内部接口,用于直接连接至输入设备(7),通过该部件,用户确认所显示的交易数据;以及加密单元(31),用于为一组经确认的交易数据生成签名。在一个实施例中,可以通过由加密单元(31)生成并显示必须由用户通过传统连接的输入设备(14)输入的随机数来进行确认。
Description
技术领域
本发明涉及当在基本上可攻击的网络环境中使用一般的数据处理设备进行安全关键(security-critical)交易时,经确认交易数据的可靠且不可攻击的生成。尤其是,本发明特别针对于当经由因特网在个人计算机上进行付款时,安全交易数据的生成。
背景技术
当进行安全关键应用时(在此期间,用户必须实现(effect)或确认敏感数据输入),特殊问题在于确保屏幕上再现的信息与用户实际预期的信息相对应。传统的计算机系统(首先,个人计算机)尤其可经由屏幕上的显示通过生成显示而被攻击,该攻击例如借助之前偷偷装入(smuggle into)个人计算机的恶意软件,该恶意软件对用户假装由他选择的应用被正确地执行了,然而实际上,利用与用户所期望的交易数据不同的交易数据执行了不同的应用。这样的攻击变为可能,因为当在个人计算机上执行应用时,通常同一CPU控制至后台系统、至用户输入单元、以及至屏幕的数据交换。因此,经由至后台系统的连接,介入与用户数单元和屏幕的数据交换是相对容易的。
为了防止这样的攻击,已经提出使用附加设备,其至少临时在用户输入单元与屏幕之间建立安全连接。这样的解决方案从1999年TOWITOKO公司的出版物“Chip drive monitor kit macht digitale Signatur sicherer”已知。根据该解决方案,在与附加设备相连接的个人计算机的CPU、输入单元和屏幕之间,当临时断开CPU时,可以建立在用户输入单元与屏幕之间的直接连接。为此目的,该附加设备具有其自己的显示准备单元、以及监视器开关,通过使用该显示准备单元和监视器开关,经由该附加设备,为了输入敏感交易输入的目的而临时建立在用户输入单元与屏幕之间的直接连接。用户随后在监视器上看见由他在输入单元实际实现的输入。该解决方案允许对经确认的交易数据的可信赖的生成,但是,因为需要附加设备,所以这是复杂的并且从而是昂贵的。此外,在启动监视器开关时与切换处理关联的显示的建立和移除时间削弱了用户友善度。
从US 5,701,342已知用于在不安全的计算机环境中生成可信赖的文档的方法,这里,借助于过滤器(filter),确保向用户显示了文档的实际内容。借助于记号(seal),保护观看的文档。该方法的安全性首先依赖于过滤器的质量。然而,提供有效的过滤器是复杂的。
发明内容
本发明的目的是提供一种在具有与已知布置相同效率的同时、可以更便宜地制造、并且更容易地处理的布置。
此目的通过具有权利要求1的特征的方法、以及具有独立权利要求12的特征的装置来实现。根据本发明的方法和根据本发明的装置基于如下方法:在个人计算机中,提供安全硬件,其确保正是该用户确认该监视器上呈现的显示,并且因此,可以唯一地由用户的实际输入来触发监视器上呈现的交易。此外,根据本发明的装置确保仅实际确认的显示的内容是交易的目标。通过在显示准备单元上建立单独接口(其允许用户的输入被直接传递至安全硬件而绕过CPU),确保显示对应于用户已经输入的内容。在可替换的实施例中,通过使用由安全硬件生成的随机数字而实现显示对应于用户输入的验证(proof),其中,所述随机数字被显示在显示器上,并且必须由该用户再现。根据本发明的装置具有无需任何附加设备而实现的优点。作为替代,仅需要一般图形卡的结构的小改变。这可以特别非常节省成本地实现。根据本发明的显示准备单元可以标准地集成在个人计算机中,或容易地在个人计算机中改进。
对根据本发明的装置的处理也被简化。根据本发明的方法的特征特别地在于:当执行时,其不需要用户进行任何特殊动作。借助于用户输入单元至显示准备单元的直接物理连接,用户可以容易地在任何时间使自己确信经由该输入单元而实现的输入在没有经过个人计算机的CPU的绕弯的情况下达到该显示准备单元。因此,变得显而易见的是:在任何情况下,由恶意软件经由CPU的攻击是不可能的。此外,通过在不需要激活CPU的情况下、在图形卡上实现的对要被确认的交易数据的确认,实际上非常可靠地确保了交易数据不被恶意软件操纵。即使当恶意软件应当成功操纵该显示准备单元的图形处理器以使得在监视器上出现以光学方式与由转换器单元生成的显示对应的显示时,由用户对所显示的数据的确认也将不会有任何影响,因为加密单元在此情况下仍不会发现任何可签名的数据,并且因此将不生成签名。
本发明的第二实施例具有可以使用以一般方式附接的输入单元的特殊优点,其中,根据该第二实施例,通过由显示准备单元生成的随机信息来实现对交易数据的确认,响应于此,用户必须通过输入单元再次输入所显示的随机信息、或输入该随机信息在监视器上的位置。可以省略显示准备单元上的附加接口。
有利地,在显示器的局部区域中实现要确认的交易数据在监视器上的呈现,而该显示器的剩余部分根据由CPU提供的图形数据以正常方式显示。在根据本发明的方法的框架内,有利地假设在图形卡已经变为安全模式以后,首先显示用户确认的预设的起始图像,以便用信号通知(signalize)用户根据本发明的显示准备单元的介入。
可以在从属权利要求的特征中找到另外的有益发展和有利的实施例。
附图说明
参见下列图示,更加详细地描述本发明的实施例。
图1以框图示出了根据本发明的、具有显示准备单元的、用于执行安全关键交易的系统结构;
图2示出了在图1中所示的系统上执行安全关键应用的操作顺序的流程图;
图3以硬件组件和操作步骤的混合表示示出了交易执行的操作顺序的图示;以及
图4示出了响应于随机信息的显示,以显示的数字序列的连续选择的形式的用户输入。
具体实施方式
图1中所示的系统基本上由后台系统1、数据网络2和个人计算机5组成,其中,个人计算机5与监视器6、输入单元7和/或输入单元14、以及认证单元8连接。
后台系统1提供以软件实现的服务,其中,借助于每种情况下的合适的应用软件,用户可经由数据网络2而获取所述软件实现的服务,从而执行每种情况下特定服务的交易。例如,典型的服务是进行银行交易、进行信用卡交易、经由因特网购买各种商品、或进行股市交易。在这些服务的获取期间,进行安全关键交易,典型地,实现现金流动、进行识别、或转移必须要支付的数据。
数据网络2使得能够在个人计算机5与后台系统1之间交换数据。为了实现这个任务,其可以有中间单元。特别地,可以提供协议转换单元3,其将个人计算机5上使用的协议中出现的交易数据转换到适合于后台系统1的协议中。
个人计算机5基本上具有一般计算机的结构,并且具有其典型的全部部件;图1示出了对于本发明重要的那些部件。个人计算机5的核心部件是中央处理器单元(CPU)10,其与存储器单元11连接、经由数据网络2而与后台系统1连接、以及经由组合的总线/能源(energy)接口15而与显示准备单元20连接。在本发明的第二实施例中,个人计算机还可以经由接口13而与输入单元14连接。个人计算机5典型地具有桌上型、膝上型或终端型的构造设计,并且被使用在私人的家庭区域中、或公司或政府当局中。
优选地,显示准备单元20形成为单独的电路板组件(assembly),并且装纳在个人计算机5的机箱中,在其中,显示准备单元20经由总线/能源接口15而与CPU 10连接。或者,显示准备单元20还可以被实现为在与CPU 10相同的电路板上的单独的芯片单元。经由个人计算机5实现显示准备单元20的供能。经由公共外部接口21,显示准备单元20与监视器6连接。另外,显示准备单元20任选地具有另外的外部接口22,其经由该外部接口22而直接与用户输入单元7连接。任选地,显示准备单元20还可以具有另一外部接口23,用于附接认证单元8。特别地,认证单元8可以是用户的便携式个人介质(例如,芯片卡或USB令牌的形式),还可以是固定单元(例如,用于记录生物特征的传感器)。
以一般的方式形成个人计算机5的存储器单元11,并且其特别地具有非易失性区域。其中,存储应用软件12,用于执行允许执行交易的应用,通过所述应用软件12,使用经由后台系统提供的服务。应用软件12可以是永久地存储在个人计算机5上的软件(例如,参与“家庭银行业务”的软件)、或者仅在例如进行交易的时间段临时所需的软件(如例如用于管理用于获取在线卖方处的商品的登录数据的软件)。典型地,应用软件12不完全存在于存储器单元11中,而是仅到用于生成交易数据所需要的这样的程度。因此通常,首先将应用软件限制为提供在监视器7上可显示的菜单,用于交易数据的输入。下面,将应用软件12简称为应用。
监视器6是一般类型的,并且用于像素图形的图像显示。
典型地,输入单元7(以及同样地,输入单元14)是键盘和/或鼠标140,但是,也可以是声音输入装置或用于实现由用户的数据输入的所有其它装置。在首先描述的本发明的第一实施例中,个人计算机5具有输入单元7,其经由显示准备单元20而附接至个人计算机5。在第二实施例中,个人计算机5具有直接作用于CPU的输入单元14。
认证单元8可以是例如用于读出芯片卡的设备、用于检查指纹的设备、虹膜扫描仪等。
显示准备单元20基于一般图形卡,并且基本上具有其典型的全部组件。在图1中,仅显示了相对于本发明重要的那些组件。这里,以方框的形式表示组件仅用于简化说明。首先,应当逻辑地理解组件以及它们的连接的表示和描述。因此,图1中所示的结构绝不需要在显示准备单元的实际电路设计中实际出现。所有的组件虽然具有相同的功能性,但是可以以物理上不同的编译而形成,并且特别地是软件程序的形式。为了说明,在下文中,从显示准备单元20被形成为单独的电路板组件这一事实开始。
显示准备单元20(下面称为图形卡)经由组合的总线/能源接口15而与CPU 10连接。总线/能源接口15例如被形成为AGB/PIC(X)插件接口,使得可以容易地将图形卡20与CPU 10并与个人计算机5分离。经由总线/能源接口15,图形卡20一方面与CPU 10交换数据,另一方面方便地经由个人计算机5的中央供能而被供能。
图形卡20的主要组件是(通过定义)图形处理器25,其一方面经由主存储器26、模式控制系统27和总线/能源接口15而与CPU 10连接,另一方面经由监视器接口21(其例如被形成为DVI接口)而与监视器7连接。图形处理器25从图形数据生成作为图像而显示在监视器7上的像素图形,其中,中央处理器单元10经由总线/能源接口15和模式控制系统27而将所述图形数据加载到主存储器26中,并在其中进行管理。就此而言,图形卡20的结构是一般的。
然而,不像一般的图形卡,根据本发明的第一实施例的图形卡20具有其自己的接口22,用于附接输入单元7。接口22经由切换单元28而直接与至CPU 10的总线/能源接口15连接,使得在切换单元28的第一切换状态下,经由输入单元7实现的输入被直接传递至CPU 10。
图形处理器25进一步与转换器模块29连接。转换器模块29用于将以标记语言表示的数据(例如,以ASCII格式表示的数据或XML数据)转换为在监视器7上显示为像素图形的像素值。优选地,在重叠在从主存储器26中的数据生成的当前显示上的单独窗口中,将由转换器模块29生成的像素值显示在监视器7上。
转换器模块29在其自己的部分与真实数据存储器30连接。真实数据存储器30用于接受要解译的交易数据。为了接收交易数据,真实数据存储器30与模式控制系统27连接。仅模式控制系统27、转换器单元29和加密单元31可以接近真实数据存储器30。特别地,由CPU 10经由总线/能源接口15的直接访问是不可能的。
此外,真实数据存储器30与加密单元31连接。其主要功能在于在用户已经实现了对显示的确认之后,借助于经确认的交易数据而计算签名。对于用户对确认的接受,加密单元31具有可由切换单元8切换的至输入单元7的连接。
加密单元31进一步与安全部件32连接,该安全部件32被唯一分配给加密单元31,并且仅可由加密单元访问,但是在任何情况下,不可直接由CPU经由总线/能源接口15来访问。有利地,安全部件32可以特别被保护以防物理攻击。在安全部件32中,一方面存储用于监视器7的预设起始图像,该起始图像在监视器7上的再现以信号通知用户图形卡20处于安全模式下。例如,起始图像可以是由用户定义的保密消息、个人图像、特殊图标。优选地,仅授权的用户知道该起始图像,并且,由他确定或改变该起始图像。此外,在安全部件32中,放置用于操作加密单元31所必须的用户特定个人数据。这可以是例如PIN、证书、或用于签名或用于重新加载应用的密钥(key)。有利地,预设起始图像是可通过规定的命令而选择性地调用的并且是可以在监视器7上显示的。有利地,安全部件32进一步具有其自己的直接接口33。经由此接口,一方面可以引入新的或另外的个人用户数据。另一方面,经由直接接口33,可以实现对安全部件32的第一私人化。安全部件32有利地形成为可以与图形卡20分离的单元(例如,以芯片卡的形式),使得当调换图形卡20时,存储在安全部件32中的数据可以容易地传递至另一图形卡。
模式控制系统27接受来自CPU 10的数据,并且关于它们是正常图形数据还是由执行应用而产生的要解译的交易数据,来评价它们。在第一种情况下,模式控制系统27将数据传递至主存储器26,在第二种情况下,传递至真实数据存储器30。在数据评价的基础上,模式控制系统27进一步实现使图形卡20切换至安全模式。为此目的,模式控制系统27与切换单元28连接,其在第一切换状态下将输入单元7连接至总线/能源接口15,并且在第二切换状态下将其连接至加密单元31。模式控制系统27可以例如通过包含用于调用特定接口的命令(API CALL)的、要解译的交易数据来实现。
图形卡20可以在两种模式下操作,标准模式和安全模式。在标准模式下,图形卡20用作为正常图形卡,并且将由CPU 10提供的图形数据作为图像显示在监视器7上。在安全模式下,转换器模块29是活动的,并且输入单元7经由切换单元28而直接与加密单元31连接。转换器单元29随后对于存储在真实数据存储器30中的、要解译的数据记录生成监视器显示,检查由用户作出的确认的接收(receipt),并且随后对数据记录签名。
有利地,组件转换器单元29、真实数据存储器30、加密单元31、安全部件32和/或切换单元28在技术上形成为图形卡上被特别保护以防操纵的连接的组件。在图形卡上,还可以放置形成为硬件部件的单独的安全模块34,其通过比较重要的功能参数与存储在安全模块上的参考参数,来确保图形卡的组件25至32的正确的功能性。仅指定的实体可以访问安全模块,该访问被稳固地密码保护。特别地,安全模块可以具有“信赖平台模块(TPM)”的形式。
有利地,通过首先被提供为在标准模式中可操作的中性(neutral)图形单元来实现建立图形卡20,而安全模式仅被准备。在稍后的时间,由值得信赖的实体随后实现安全模式的激活,经由该值得信赖的实体,所需的功能性被引入到中性单元中。这样做,将用于操作转换器单元29、真实数据存储器30、加密单元31和/或安全部件32的整个软件、或者至少其重要部分(例如,安全关键和保密数据)传递至中性图形单元。对于传递至值得信赖的实体,建立通过合适的加密技术来保障的端对端连接。这里,在准备安全模式期间,用于建立这样的连接的密钥可以已经存储在中性图形单元上。
下面参考图2和3,通过示例说明在之前描述的系统基础上的交易的执行。这里,示例从银行交易的执行开始,在银行交易的执行期间,提供了涉及尤其是帐号和要转移的数量的安全关键细节。
通过用户经由操作单元启动相关联的应用,执行开始(步骤200)。应用经由在监视器6上呈现的适当的菜单以已知的方式引导用户完成该应用,并且提示他输入交易数据(步骤202)。例如,如将从图3可见的,交易数据可以是帐号、银行标识号、数量、日期和时间。这里,诸如日期和时间的某些细节可以已由应用自己生成。
因此,由用户经由操作单元7输入的交易数据被CPU预处理作为要解译的标记数据(例如,如图3中图示的,作为XML数据)的数据记录,并且被发送至图形卡(步骤204)。
在图形卡上进入的数据记录被模式控制系统27识别为交易数据。因此,模式控制系统27实现图形卡20至安全模式的转变(步骤206)。为此目的,其激活转换器模块29、加密单元31和真实数据存储器30,并且使得切换单元28将输入单元7与加密单元31连接。可以进一步假设:图形卡20停止接受交易数据的另外的记录,直到确认首先进入的数据记录为止。
通过模式控制系统27将交易数据记录传递至真实数据存储器(步骤210)。
在安全模式激活时,加密单元31访问安全部件32,并且在监视器6上显示存储在安全部件32中的起始图像(步骤210)。优选地,在“重叠”窗口中实现显示,即,在基于在主存储器26中的数据生成的当前显示之上,在监视器表面的部分区域中打开单独窗口。任选地,可以假设:用户必须在显示要确认的交易数据之前,经由输入单元确认起始图像(步骤212)。
转换器模块29随后将存储在真实数据存储器30中的要解译的交易数据转换为像素值,并且在监视器6上之前打开的窗口中显示这些像素值(步骤214)。
与交易数据的显示一起,即,在监视器上的相同窗口中,提示用户确认交易数据。同时,切换单元28实现输入单元7与加密单元31的连接(步骤216)。
现在,用户经由输入单元7确认交易数据,其中,输入单元7由于激活而直接与加密单元31连接(步骤218)。可以通过激励(actuate)一个或多个标准密钥来实现确认,但是有利地,由用户实现输入序列(其中,用户例如重复交易数据的一部分)来实现确认。可替换地或补充地,还可以假设:由加密单元31生成和在监视器6上显示的随机信息的输入,如下面更加详细说明的。
在任选的实施例中,还可以假设:在确认期间,用户经由认证单元8,例如通过呈现芯片卡、认证令牌或指纹来实现认证。在一个变型中,还可以通过在加密单元31与个人计算机5的安全模块之间的数据交换来实现认证,其中,加密单元31从所述安全模块接收例如密钥。
由加密单元3通过比较例如由用户经由输入单元7输入的交易数据与存储在真实数据存储器30中的相应交易数据,来识别确认。其因此从安全部件32获取为此提供的密钥和/或证书,并且于是例如通过在交易数据上形成哈希值并随后对其加密,在存储在真实数据存储器30中的交易数据上生成签名(步骤220)。由加密单元31将该签名与存储在真实数据存储器中的交易数据连接,以形成签名的交易数据。如果经由认证单元8输入认证信息,则可以将其集成在签名的形成中。
随后由加密单元31经由总线/能源接口15而将签名的交易数据传送回应用12(步骤222)。
从而,应用12使用已知机制建立至后台系统1的安全的端到端连接(步骤224)。在一个变型中,可以假设图形卡20自己建立所述安全的端到端连接。
下面,从以下事实开始:以不能被直接发送至后台系统用以实现在交易数据中定义的银行交易的形式来呈现签名的交易数据。因此,应用首先将签名的交易数据传送至协议转换单元3(步骤226),协议转换单元3将签名的交易数据转换到在其中它们可以被发送至后台系统1用以被处理的协议中。有利地,协议转换单元3在这种情况下首先检查由加密单元31添加的签名,并且(假设签名已经被检查为是被认可的)随后实现必要的协议重定格式。此后,由转换单元将随后呈现在后台系统的协议中的交易数据传送至后台系统1(步骤228)。
后台系统1根据交易数据执行交易。随后可以假设后台系统1将确认发送回应用12(步骤230)。有利地,使用与之前用于生成签名的交易数据所采用的相同的机制,在相反方向上实现发送回这样的确认。因此,该确认被生成为要解译、并提供有签名的数据记录,其随后在协议转换单元3中被转换为个人计算机5可以处理的格式,在图形卡20已经切换到安全模式之后被传递至加密单元31,在那里关于签名的正确性而被检查,在监视器6上的单独的窗口中显示,并且由用户经由输入单元7而确认。
在本发明的第二实施例中,个人计算机5具有经由接口13而与CPU 10直接连接的输入单元14。这里,图形卡20具有与关于第一实施例而描述的精确相同的结构,但是不具有接口22,或者,没有输入单元7附接至接口22。第二实施例的工作模式也对应于第一实施例的工作模式,除了在交易数据在步骤214显示之后进行交易数据的确认。
与第一实施例相反,现在通过加密单元31(在安全模式下)生成字母数据的或符号化的随机信息格式的逻辑信息(特别地,一次性密码的样式的随机数或随机字)、并且经由转换器单元29而将其显示在监视器6上,来实现步骤214中显示在监视器6上的交易数据的确认。在与交易数据相同的窗口中实现显示。同时,响应于所显示的字母数字的或符号化的随机消息,通过伴随显示提示用户经由与CPU连接的输入单元14输入此随机信息(步骤216)。随后,用户经由输入单元14输入字母数字的或符号化的随机信息,所述随机信息从输入单元14到达CPU,CPU经由总线/能源接口15将其传递至加密单元31。在那里,将所接收的随机信息与所显示的信息相比较。如果匹配,则加密单元31将生成签名(步骤220)。然而,如果加密单元31确定偏差(deviation),则其将生成新的字母数字的或符号化的随机信息,并显示其。有利地,失败的尝试的数量是有限的。由用户输入的随机信息可以成为签名的一部分。
在一个变型(其还可以被用作为用于生成和输入字母数字的随机信息的补充)中,由用户输入字母数字的字符的唯一组合,来实现在监视器6上显示的交易数据的确认。这里,字符的组合可以遵循TAN(交易数量)的示例来设计,并且呈现给用户(典型地,以硬拷贝列表的形式)。在安全模式下,正确输入的数字组合被同样地呈现在监视器上,并且从而确认交易数据。
在图4中图示的另一变型中,对于显示的随机信息的用户输入,可以假设加密单元31在安全模式下生成逻辑信息序列,加密单元31将所述逻辑信息序列显示在监视器6上,所述逻辑信息序列分布在监视器6的整个或局部区域上。例如,如图4中所示的,可以以连续数字序列的形式实现所述显示,或所述显示可以实现为字母序列(例如,词)。输入单元14允许输入显示在监视器6上的信息的位置,作为输入。优选地,为此目的,其配备鼠标或另一输入辅助物(satellite)140,其允许经由监视器6上的光标位置而控制输入。用户现在借助于输入辅助物,通过以给定顺序选择显示的信息以便生成对应于光标位置的输入,来实现输入。例如,可以假设用户根据显示的数字的顺序而选择它们。加密单元31检查是否以正确的顺序选择了所显示的信息。数字的分布以及从而要由用户输入的位置序列是随机地控制的,并且因此对于每个调用是新的。代替数字或字母,还可以使用统一符号,该统一符号必须以预先统一确定的方式彼此连接,或者必须彼此连接为如在监视器6上输出的,例如,在右侧的顶部开始环绕到(round to)左侧。这里,连接方式还可以由其自己随机控制,并且以符号显示。此外,独立于在上述本发明中的使用,图4中图示的变型作为用于生成仅可由人类用户实现的输入的独立的解决方案也是合适的。
在完全保持设计图形卡以使得可以直接在图形卡上实现对要确认的交易数据的确认、而不涉及个人计算机的CPU的基本思想的同时,上述布置和上述方法允许大量的变型。因此,首先,可以以多种方式(以硬件和软件)实现对于图形卡描述的所有组件。可以在除了所陈述的组件之外的组件中执行单独的功能或程序步骤、或者在一个组件中合并单独的功能或程序步骤;这例如适用于转换器单元29和加密单元31或模式控制系统27和切换单元。类似地,当然,数据网络或后台系统可以具有复杂的结构,并且在交易的执行中可以牵涉多个个人计算机或后台系统。当然,此外,根据本发明的解决方案还适于用在与明确提到的交易不同的交易。
Claims (19)
1.一种用于借助于具有监视器的个人计算机生成用于经由计算机网络执行支付交易的确认的交易数据的方法,所述交易数据被配置为由后台系统自动处理,所述监视器由显示准备单元驱动,该显示准备单元从所述个人计算机的CPU接收图形数据,并从所述图形数据生成像素图形,特征在于下列步骤:
在所述显示准备单元(20)上提供转换器单元(29),其允许将要解译的数据转换为像素值;
在所述显示准备单元(20)上提供真实数据存储器,用于接受将要解译的交易数据;
在所述显示准备单元(20)上提供加密单元(31),用于为要解译的数据的记录生成签名;
提供用户输入单元(7、14),以便将用户输入传递至所述加密单元(31);
启动在其中处理交易数据的应用(200);
在应用软件(12)的控制下,在所述个人计算机(5)上将所述交易数据预处理为要解译的数据;
将要解译的交易数据提供至所述转换单元(204);
在真实数据存储器(30)中存储将要解译的交易数据;
由所述转换器单元将所述要解译的交易数据转换为像素值(214);
在所述监视器上显示所述像素值(214);
建立用户输入单元(7、14)与加密单元(31)之间的连接,这允许仅由用户输入确认信号;
由用户经由用户输入单元输入确认信号(218);
在由用户输入确认信号之后,在存储在真实数据存储器(30)中的交易数据上生成签名(220);
将所述签名与所述交易数据合并为确认的交易数据。
2.如权利要求1所述的方法,特征在于下列进一步的步骤:
在所述显示准备单元(20)上为用户输入单元(7)提供接口(22),以便经由此接口将用户输入直接传递至所述加密单元(31);
在用户输入单元(7)与加密单元(31)之间建立直接连接,用于在所述像素值已经被显示在所述监视器(6)上之后,由用户输入所述确认信号。
3.如权利要求1所述的方法,特征在于:将确认的交易数据返回至由所述应用软件(12)执行的应用(230)。
4.如权利要求1所述的方法,特征在于:将确认的交易数据发送至协议转换单元(3)(226),其检查所述签名,并且将所述交易数据转换到适于后台系统(1)的协议中。
5.如权利要求1所述的方法,特征在于:在所述显示准备单元(20)中识别要解译的交易数据的接收之后,在监视器(6)上显示预设的起始图像(210)。
6.如权利要求1所述的方法,特征在于:在重叠在现有显示上的单独的窗口中实现所述像素值的显示。
7.如权利要求1所述的方法,特征在于:在所述显示准备单元(20)中识别要解译的交易数据的接收之后,暂时不再接受另外的要解译的交易数据。
8.如权利要求1所述的方法,特征在于:通过下列步骤实现在用户输入单元(14)与加密单元(31)之间建立连接:
在所述显示准备单元(20)上生成字母数字的和/或符号化的随机信息,并且显示在所述监视器(6)上;
响应于所显示的字母数字的或符号化的随机信息,请求由用户经由个人计算机(5)的用户输入单元(14)的输入;
在所述显示准备单元(20)上比较所显示的字母数字的随机信息与由用户输入的字母数字随机信息。
9.如权利要求8所述的方法,特征在于:响应于所显示的字母数字的或符号化的随机信息,请求经由用户输入单元(14)输入显示在监视器(6)上的所述字母数字的或符号化的随机信息。
10.如权利要求8所述的方法,特征在于:响应于所显示的字母数字的或符号化的随机信息,请求经由用户输入单元(14)输入至少一条字母数字的或符号化的随机信息在监视器(6)上的位置。
11.如权利要求10所述的方法,特征在于:所述字母数字的或符号化的随机信息由数字或字母序列组成,必须以预设顺序输入所述数字或字母在监视器(6)上的位置。
12.一种用于生成要在监视器上输出的像素图形的显示准备单元,其具有用于从个人计算机的CPU接受图形数据的接口、用于将像素图形传送至监视器的接口、用于附接输入单元(7)的接口(22)以及用于从个人计算机获得供能的接口,特征在于:
模式控制系统(27),用于从个人计算机(5)的CPU(10)接受数据,用于关于它们是正常图形数据还是要解译的交易数据来评价它们,用于经由计算机网络执行支付交易,以及用于将显示准备单元切换到安全模式,所述交易数据被配置为由后台系统自动处理;
真实数据存储器,用于接受将要解译的交易数据;转换器单元(29),其被布置为将要解译的交易数据转换为像素值;
加密单元(31),用于为存储在真实数据存储器(30)中并且要解译的交易数据的记录生成签名;以及
由所述模式控制系统(27)启动的切换单元(28),用于在安全模式下将输入单元(7)与加密单元(31)相连接,以便使得用户能够经由输入单元(7)而将由他输入的信息直接送往加密单元(31)。
13.如权利要求12所述的单元,特征在于:向加密单元(31)分配安全部件,用于接受准备签名所需的用户特定信息,该安全部件具有直接接口(28),经由该直接接口(28),可以引入另外的用户特定信息。
14.如权利要求13所述的单元,特征在于:所述安全部件(32)形成为可从所述显示准备单元(20)分离。
15.如权利要求12所述的单元,特征在于:所述加密单元(31)和所述转换器单元(29)容纳在防操纵机箱中。
16.如权利要求12所述的单元,特征在于:其具有另一接口(23),用于直接附接认证单元(8)。
17.如权利要求12所述的单元,特征在于:为了暂时存储要解译的数据,其具有真实数据存储器,该真实数据存储器仅可以由加密单元(31)、转换器单元(29)和模式控制系统(27)访问,而经由至CPU(10)的接口(15)的访问是不可能的。
18.一种用于生成要在监视器上输出的像素图形的显示准备单元,其具有用于从个人计算机的CPU接受图形数据的接口、用于将像素图形传送至监视器的接口、以及用于从个人计算机获得供能的接口,特征在于:
模式控制系统(27),用于从个人计算机(5)的CPU(10)接受数据,用于关于它们是正常图形数据还是要解译的交易数据来评价它们,用于经由计算机网络执行支付交易,以及用于将显示准备单元切换到安全模式,所述交易数据被配置为由后台系统自动处理;
真实数据存储器,用于接受将要解译的交易数据;
加密单元(31),其被布置为在安全模式下生成字母数字的随机信息,并且将其与由CPU(10)提供的字母数字的随机信息比较,并且进一步为存储在真实数据存储器(30)中并且要解译的交易数据的记录生成签名;以及
转换器单元(29),其被布置为将要解译的数据转换为像素值,并且其还被布置为在监视器(6)上显示由加密单元(31)生成的字母数字随机数。
19.一种用于执行交易的系统,在其框架内,处理必须由用户确认的、用于经由计算机网络执行支付交易的交易数据,该系统包含:
数据网络(2);
后台系统(1),其提供以软件实现的服务,所述服务可经由该数据网络(2)、借助于应用软件而获取;以及
具有监视器(6)和输入单元(7)的个人计算机(5),其被布置为执行应用软件;
特征在于:
所述个人计算机(5)具有根据权利要求12所述的显示准备单元(20),并且根据权利要求1所述的方法确认所述交易数据。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102007013287.7 | 2007-03-16 | ||
DE102007013287A DE102007013287B4 (de) | 2007-03-16 | 2007-03-16 | Verfahren zur Erzeugung bestätigter Transaktionsdaten und Vorrichtung dazu |
PCT/EP2008/002061 WO2008113521A2 (de) | 2007-03-16 | 2008-03-14 | Verfahren zur erzeugung bestätigter transaktionsdaten und vorrichtung dazu |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101681411A CN101681411A (zh) | 2010-03-24 |
CN101681411B true CN101681411B (zh) | 2015-09-30 |
Family
ID=39688310
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN200880016228.2A Expired - Fee Related CN101681411B (zh) | 2007-03-16 | 2008-03-14 | 用于生成经确认的交易数据的方法和对应装置 |
Country Status (6)
Country | Link |
---|---|
US (2) | US8239683B2 (zh) |
EP (1) | EP2137664B1 (zh) |
JP (1) | JP5357783B2 (zh) |
CN (1) | CN101681411B (zh) |
DE (1) | DE102007013287B4 (zh) |
WO (1) | WO2008113521A2 (zh) |
Families Citing this family (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102007013287B4 (de) * | 2007-03-16 | 2008-11-13 | Giesecke & Devrient Gmbh | Verfahren zur Erzeugung bestätigter Transaktionsdaten und Vorrichtung dazu |
DE102008062872A1 (de) * | 2008-12-17 | 2010-06-24 | Universität Tübingen | Verfahren und System zur bidirektionalen, abhör- und manipulationssicheren Übertragung von Informationen über ein Netzwerk sowie Dekodiereinheit |
US8433914B1 (en) * | 2010-02-25 | 2013-04-30 | Emc Corporation | Multi-channel transaction signing |
US8701183B2 (en) * | 2010-09-30 | 2014-04-15 | Intel Corporation | Hardware-based human presence detection |
US8955076B1 (en) | 2012-12-28 | 2015-02-10 | Emc Corporation | Controlling access to a protected resource using multiple user devices |
CN103996117B (zh) * | 2014-05-28 | 2017-09-19 | 天地融科技股份有限公司 | 安全手机 |
CN104376455A (zh) * | 2014-12-04 | 2015-02-25 | 苏州海博智能系统有限公司 | 一种银行卡转账支付的方法 |
US11068884B2 (en) | 2014-12-04 | 2021-07-20 | Hierstar (Suzhou)., Ltd. | E-wallet transfer payment method and system based on PKI smart card |
EP3380977B1 (en) * | 2015-09-21 | 2021-04-28 | OneSpan International GmbH | A multi-user strong authentication token |
US9891982B2 (en) | 2015-12-04 | 2018-02-13 | Microsoft Technology Licensing, Llc | Error handling during onboarding of a service |
US9798583B2 (en) | 2015-12-04 | 2017-10-24 | Microsoft Technology Licensing, Llc | Onboarding of a service based on automated supervision of task completion |
CN109428860B (zh) * | 2017-08-28 | 2020-08-21 | 天地融科技股份有限公司 | 一种安全显示数据的方法和装置 |
US11233640B2 (en) | 2020-05-13 | 2022-01-25 | Ridgeline, Inc. | Mutation processing for events |
US11818259B2 (en) * | 2020-05-13 | 2023-11-14 | Ridgeline, Inc. | Query and projection processing for events |
US11949784B2 (en) | 2020-05-13 | 2024-04-02 | Ridgeline, Inc. | Auditing for events |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1790357A (zh) * | 2005-11-30 | 2006-06-21 | 杨红光 | 一种芯片卡及使用芯片卡进行交易的方法及其系统 |
CN1838143A (zh) * | 2006-04-29 | 2006-09-27 | 北京飞天诚信科技有限公司 | 一种银行卡在计算机上作pki应用的实现方法 |
Family Cites Families (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE69331064T2 (de) * | 1992-12-14 | 2002-07-18 | Commw Of Australia Canberra | Sicherheit einer elektronischen nachricht |
JP3090021B2 (ja) * | 1996-02-14 | 2000-09-18 | 富士ゼロックス株式会社 | 電子文書管理装置 |
JP3540511B2 (ja) * | 1996-06-18 | 2004-07-07 | 株式会社東芝 | 電子署名検証装置 |
EP1055989A1 (en) * | 1999-05-28 | 2000-11-29 | Hewlett-Packard Company | System for digitally signing a document |
US20040174998A1 (en) * | 2003-03-05 | 2004-09-09 | Xsides Corporation | System and method for data encryption |
US7917761B2 (en) * | 2005-03-21 | 2011-03-29 | Microsoft Corporation | Digitally signing an electronic document with a user-entered signature image |
US7200576B2 (en) * | 2005-06-20 | 2007-04-03 | Microsoft Corporation | Secure online transactions using a captcha image as a watermark |
DE102007013287B4 (de) * | 2007-03-16 | 2008-11-13 | Giesecke & Devrient Gmbh | Verfahren zur Erzeugung bestätigter Transaktionsdaten und Vorrichtung dazu |
-
2007
- 2007-03-16 DE DE102007013287A patent/DE102007013287B4/de not_active Expired - Fee Related
-
2008
- 2008-03-14 EP EP08716553.6A patent/EP2137664B1/de not_active Not-in-force
- 2008-03-14 JP JP2009553954A patent/JP5357783B2/ja not_active Expired - Fee Related
- 2008-03-14 WO PCT/EP2008/002061 patent/WO2008113521A2/de active Application Filing
- 2008-03-14 US US12/531,111 patent/US8239683B2/en active Active
- 2008-03-14 CN CN200880016228.2A patent/CN101681411B/zh not_active Expired - Fee Related
-
2012
- 2012-08-06 US US13/567,336 patent/US8826027B2/en active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1790357A (zh) * | 2005-11-30 | 2006-06-21 | 杨红光 | 一种芯片卡及使用芯片卡进行交易的方法及其系统 |
CN1838143A (zh) * | 2006-04-29 | 2006-09-27 | 北京飞天诚信科技有限公司 | 一种银行卡在计算机上作pki应用的实现方法 |
Also Published As
Publication number | Publication date |
---|---|
US20100077222A1 (en) | 2010-03-25 |
JP5357783B2 (ja) | 2013-12-04 |
DE102007013287B4 (de) | 2008-11-13 |
US8826027B2 (en) | 2014-09-02 |
WO2008113521A3 (de) | 2009-04-30 |
US8239683B2 (en) | 2012-08-07 |
DE102007013287A1 (de) | 2008-09-18 |
EP2137664A2 (de) | 2009-12-30 |
CN101681411A (zh) | 2010-03-24 |
JP2010521754A (ja) | 2010-06-24 |
WO2008113521A2 (de) | 2008-09-25 |
US20130042109A1 (en) | 2013-02-14 |
EP2137664B1 (de) | 2013-09-04 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101681411B (zh) | 用于生成经确认的交易数据的方法和对应装置 | |
ES2599985T3 (es) | Validación en cualquier momento para los tokens de verificación | |
CN102567662B (zh) | 用于处理数据的装置和方法 | |
US7526652B2 (en) | Secure PIN management | |
EP1687725B1 (en) | Secure payment system | |
US20060136332A1 (en) | System and method for electronic check verification over a network | |
US20060123465A1 (en) | Method and system of authentication on an open network | |
WO2007019368A2 (en) | Secure online financial transactions | |
WO2009031061A1 (en) | System and method for verifying an electronic document | |
US20120095919A1 (en) | Systems and methods for authenticating aspects of an online transaction using a secure peripheral device having a message display and/or user input | |
US8271391B2 (en) | Method for securing an on-line transaction | |
CN104680376B (zh) | 一种交易信息验证方法及装置 | |
CN104021322A (zh) | 一种电子签名方法、电子签名设备及电子签名客户端 | |
CN104769621A (zh) | 使用可变个人识别码的金融交易 | |
JP2004515098A (ja) | 認証方法と認証装置 | |
CN115422558A (zh) | 一种防止双离线交易金额被篡改的方法、收款设备和装置 | |
AU2015200701A1 (en) | Anytime validation for verification tokens | |
CN114612245A (zh) | 一种自助投资处理方法、装置、设备及可读存储介质 | |
AU2011203165A1 (en) | Secure payment system |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
TR01 | Transfer of patent right | ||
TR01 | Transfer of patent right |
Effective date of registration: 20180223 Address after: Munich, Germany Patentee after: Jiejia de mobile safety Co., Ltd. Address before: Munich, Germany Patentee before: Giesecke & Devrient GmbH |
|
CF01 | Termination of patent right due to non-payment of annual fee | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20150930 Termination date: 20200314 |