CN102160059A - 服务器操作的授权 - Google Patents
服务器操作的授权 Download PDFInfo
- Publication number
- CN102160059A CN102160059A CN2009801363052A CN200980136305A CN102160059A CN 102160059 A CN102160059 A CN 102160059A CN 2009801363052 A CN2009801363052 A CN 2009801363052A CN 200980136305 A CN200980136305 A CN 200980136305A CN 102160059 A CN102160059 A CN 102160059A
- Authority
- CN
- China
- Prior art keywords
- server
- user
- mandate
- equipment
- connection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/34—User authentication involving the use of external additional devices, e.g. dongles or smart cards
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/33—User authentication using certificates
Abstract
提供了一种用于授权用户计算机(3)经由数据传输网络(4)请求的远程服务器(2)的操作的授权设备(5)。所述设备(5)具有将设备(5)连接到本地用户计算机(3)用于与远程服务器(2)通信的计算机接口(6)以及用于向用户呈现信息的用户接口(7)。设备(5)的控制逻辑(11)被适配为使用安全数据在所述设备(5)和服务器(2)之间经由本地用户计算机(3)建立用于所述设备和服务器之间的加密的端到端通信的相互授权的连接。所述控制逻辑(11)经由该连接从所述服务器(2)收集指示用户计算机经由其它与服务器(2)的连接请求的、需要所述设备(5)的用户的授权的任何操作的信息。这个信息被通过用户接口(7)呈现给用户以提示用户的授权。依据定义需要一个或多个认证用户授权的操作的规则数据控制服务器操作。所述服务器控制装置的控制逻辑(15)通过根据所述规则数据(18)确定所述操作是否需要至少一个认证用户的认证,响应来自用户计算机(3)的操作请求。如果是,则所述操作被推延。当建立了与认证设备(5)的相互授权的连接时,所述控制装置能够提供指示用户计算机(3)请求的、需要所述设备的用户授权的任意推延操作的信息。推延操作仅仅在接收到来自所述操作需要其授权的每一个授权用户的授权时被执行,提供了移动的计算环境中安全的多方授权。
Description
技术领域
本发明一般地涉及用户计算机在数据通信网络上所请求的服务器操作的授权。本发明提供了用于对远程服务器的操作授权以及用于基于这种授权控制服务器的操作的执行的装置、系统和计算机程序。
背景技术
存在着众多这样的情景:计算机用户经由数据通信网络与远程服务器通信以请求服务器执行某些操作。这样的服务器典型地由用于由远程用户在线访问的服务的提供方操作。这里的术语“服务器”是其最一般的意义,然而,也包括向连接用户提供某些服务或功能的任意计算机或系统。服务器在用户的请求下执行的操作可以简单地是授予用户对某些资源的访问,例如数据库或被限制的网站,或者可以是某些由用户指示的交易的实施,例如银行交易。在任何情况下,通信架构的本性是这样的:安全通常是关键问题,特别是保证服务器操作仅为真正的授权用户执行。例如,在因特网上进行的电子商务的情况中,在线欺诈是个不断增长的威胁。诸如臭名昭著的中间人(MITM)的高级攻击以及诸如病毒或木马的各种类型的恶意软件都在广泛地增加,同时,诸如反病毒软件和防火墙的对策好像总是比攻击者慢一步。因此,诸如个人计算机(PC)的用户计算机,以及因特网本身,必须被认为是本质上不可信赖的,对于电子交易呈现了显著的安全风险。通过示例,如果用户将他的PC连接到在线服务提供方的门户以初始化交易,则他不能确信所述交易不是默默地被某些恶意软件或MITM操纵。服务提供方遇到的相似的困难是他不能确信他正在与真正的授权用户通信。
已经提出了各种系统以应付上述情景中的安全问题的一部分。例如,美国专利号No.6 895 502公开了一种安全设备,其能够被连接到用户PC并包含智能卡读卡器。当用户经由他的PC向远程服务器请求资源时,所述服务器通过检索用户的公钥并发送回包括交易信息与质询(challenge)的加密的数据块。所述用户PC请求的资源被显示在安全设备上,且所述用户能够通过将被送回所述服务器的信息输入安全设备确认他是否请求了这个资源。这个设备允许给定PC的用户给出从该PC一次一个发出的资源请求的同时确认。然而,所述系统容易受“假的质询”的攻击。即,任意恶意方可以用用户的公钥产生加密的质询并将其发送到用户PC,例如使所述用户混淆而答复。而且,任何人都能够用所述用户的公钥解密所述用户对质询的答复消息。因此,这个系统的有用性有限且增加了自身的安全和隐私问题。
我们于2007年11月19日提交的共同待决的欧洲专利申请No.07022419.1,公开了另一种用于与用户计算机连接的设备。这个设备也在Thomas Weigold等,于P.Lipp,A.-R.Sadeghi和K.-M.Koch(Eds.):TRUST 2008,LNCS 4968,pp.75-91,Springer-Verlab Berlin Heidelberg 2008,“The Zurich Trusted Information Channel-An Efficient Defence against Man-in-the-Middle and Malicious Software Attacks”中有描述,。当被用户PC上的代理应用提示时,该设备创建安全的、与服务器相互授权的端到端连接,所述用户PC由浏览器接触以连接到指定的银行URL(通用资源定位符)。随后的浏览器会话经由安全的连接进行且由安全设备监视。如果所述设备检测到诸如银行交易细节的安全敏感信息,则它们被显示在该设备上,且所述用户能够按按钮以指示他的确认。仅当所述安全设备接收到这个信息时,它才会保持所述连接并将所述交易请求转发到服务器。该设备再次允许给定PC的用户给出从该PC一次一个发出的资源请求的同时确认,但在这种情况下,整个服务器会话经由安全的连接在安全设备的控制下进行,所述安全设备确定何时需要用户授权。
发明内容
本发明的一个方面提供了一种用于对用户计算机经由数据传输网络请求的远程服务器的操作授权的授权设备。所述设备包括
计算机接口,其将所述设备连接到本地用户计算机,用于经由数据通信网络与远程服务器通信,
用户接口,用于向用户呈现信息,以及
控制逻辑,其被适配为:
使用正在使用的所述控制逻辑可访问的安全数据,以经由所述本地用户计算机在所述设备和所述服务器之间建立相互授权的连接,用于所述设备和所述服务器之间的加密的端到端通信;
经由所述连接,从所述服务器收集指示经由不同连接而向所述服务器请求的、且需要所述设备的用户的授权的任何操作的信息;以及
将所述信息经由所述用户接口呈现给用户以提示对所述操作的授权。
因此,实施本发明的授权设备能够经由它的计算机接口连接到用户计算机并建立与所述服务器安全的、相互授权的端到端连接。另外,所述设备控制逻辑经由该连接从所述服务器收集指示经由与服务器的不同连接而请求的、需要所述设备的用户的授权的任何操作的信息。因此,获取有关需要用户授权的操作请求的信息被控制逻辑的动作启动,并且关于哪个信息被接收的操作请求是那些在一个或多个不同的连接上向服务器提交的请求。因此,所述设备能够收集在所述安全连接建立之前或之后的任意时间提交到服务器的且由任意用户从任意用户计算机提交的任意数量的操作请求的细节,而不论该计算机是否是当前连接到所述设备的计算机、以及/或者已经在某些时间建立了到所述服务器的连接的一个或多个任意其他用户计算机。用这种方式,实施本发明的授权设备提供了在移动计算环境中从不可信的用户计算机请求的服务器操作的安全授权以及这种环境中的请求的多方授权的基础。特别地,服务器操作能够依赖于多于一个授权用户的授权,当不同的用户经由授权设备连接到服务器并收集待决的操作请求的细节时,异步地获得必要的授权。而且,所述用户计算机和服务器之间的任意其他会话,例如当前浏览器会话,都能够保持不被安全连接上的授权过程影响,并能够完全正常地进行。因此,实施本发明的设备提供了用于移动计算环境中不安全的系统上的服务器操作的多方授权的、灵活有效且用户有好的系统。
为了收集来自所述服务器的操作请求信息,所述设备控制逻辑将向服务器发出某些形式的请求以提示所述信息的返回,但一般地这个请求可以是显式的或隐式的。例如,所述请求在建立所述安全连接的过程中可以是隐式的,所述服务器通过向与用于建立所述连接的安全数据相关联的授权用户发送合适的操作请求信息来响应所述连接的成功建立。或者,所述控制逻辑可以发送对关于需要所述设备用户的授权的操作请求的信息的显式请求。因此,所述控制逻辑可被适配为经由所述安全的连接发送对信息的请求,例如,响应于所述连接的建立,并且优选地,当所述安全的连接维持时,周期地向服务器请求所述信息。这里的关键点是,从服务器获取操作请求信息被授权设备启动,允许所述设备在移动环境中与服务器具有安全连接的任何时候和任何地点都能获取所述信息。
所述控制逻辑优选地响应于所述授权设备到本地用户计算机的连接而启动到所述服务器的安全连接的建立。在用户接口包括输入机制的情况下,该处理可以或者可以不需要某些用户输入,例如,键入用户PIN(个人标识码)。在任何情况下,所述安全连接的建立依赖于具有对能够被用于相互授权处理的某些形式的安全数据的访问的控制逻辑。所述安全数据典型地包括运行所述服务器的服务提供方提供的密钥,但一般地,可以包括诸如一次性的密码或其他相互知道的秘密用于质询响应协议的任意数据,该协议允许所述授权设备和服务器的相互授权以建立安全连接。所述安全数据可以被存储在授权设备的存储器中,例如,在嵌入到设备中的防篡改芯片中。或者,所述安全数据可以被存储在各自的安全设备中,所述安全设备可以与其接口以向控制逻辑提供对所述安全数据的访问。这里所述安全设备的一种优选形式是智能卡。
所述授权设备本身可以采用各种形式。例如,在所述设备被适配为与授权用户携带的诸如智能卡的安全设备连接的情况下,所述设备是方便小巧的、含读卡器或其他安全设备接口的可移动的桌面设备。这样的设备可以专用于授权的目的或可以与某些其他提供额外功能的设备集成,例如鼠标。在所述安全数据被存储在授权设备本身的情况下,所述设备是能够容易地被用户携带的理想的小巧便携设备,再次,专用于授权目的或具有组合的功能。如这里的示例,所述设备可以被实施在存储棒或诸如MP3播放器的个人音乐播放器中。在任何情况下,为了避免对包括阻止恶意软件的干扰的保护机制的需要,所述设备优选地不包括通用计算功能。即,所述设备被优选地配置为使得随意的代码不能被加载到设备处理器。
所述用户接口理想地包括用于向用户显示操作请求信息的显示器,干扰或者不干扰授权设备中的处理。然而,可以构思如下讨论的其他选择。在优选的实施例中,所述用户接口还包括用于向所述设备输入用户授权的输入机制,所述控制逻辑被适配为经由相互授权的连接将用户授权传送到服务器。然而,再次,可以构思如下说明的其他选择。在用户接口包括输入机制的情况下,理想地允许某些用户安全信息的输入,如,用户PIN,以允许被授权的用户“解锁”所述设备用以授权过程。
本发明的第二方面提供了一种用于对用户计算机经由数据通信网络请求的服务器的操作进行控制的装置。所述装置包括存储器和控制逻辑,所述存储器用于存储定义需要一个或多个授权用户的授权的操作的规则数据,且所述控制逻辑被适配为:
响应于来自用户计算机的请求,以执行所述操作,从而根据所述规则数据确定所述操作是否需要至少一个授权用户的授权,如果是,则推延所述操作;
与根据本发明的第一方面的授权设备通信,以建立所述相互授权的连接;
经由所述连接,向所述授权设备提供指示用户计算机所请求的、需要所述授权设备的用户授权的任何推延操作的信息,并接收来自所述用户的授权;以及
响应于对来自需要其对所述操作授权的每一个授权用户的授权的接收,启动推延操作的执行。
在本发明这个方面的实施例中,所述控制逻辑能够响应于来自授权设备的请求经由所述相互授权的连接发送所述授权请求信息。这种请求可以是显式的或隐式的,如前面所讨论,且可以被所述装置视为长期(standing)请求,由此在预定时间间隔内接收到的、且需要所述设备用户的授权的任意其它操作请求将经由所述安全的连接发送到授权设备。
本发明的第三方面提供了一种用于执行用户计算机经由数据通信网络所请求的操作的服务器。所述服务器包括:
用于经由所述数据通信网络与用户计算机通信的通信电路;用于响应于来自用户计算机的请求执行所述操作的服务器逻辑;以及根据本发明的第二方面的装置,用于控制所述服务器逻辑对所述操作的执行。
本发明的第四方面提供了一种数据通信系统,包括:根据本发明的第三方面的服务器;用于经由数据通信网络与服务器通信的至少一个用户计算机;以及至少一个根据本发明的第一方面的授权设备用于经由所述设备的计算机接口与所述用户计算机连接;其中所述用户计算机被适配为中继所述授权设备与服务器之间经由所述相互授权的连接的通信。
本发明的第五方面提供了一种计算机程序,包括用于引起授权设备的处理器进行以下步骤的程序代码单元,其中,所述授权设备被适配为与用户计算机连接用于经由数据通信网络与远程服务器通信,且具有向所述设备的用户呈现信息的用户接口,所述步骤为:
使用与所述授权设备相关联的安全数据经由本地用户计算机建立相互授权的连接,用于与所述服务器的加密的端到端通信;
从所述服务器经由所述连接,收集指示经由不同连接而向所述服务器请求的、且需要所述设备的用户的授权的任何操作的信息;以及
经由所述用户接口,向用户呈现所述信息以提示对所述操作的授权。
本发明的第六方面提供了一种计算机程序,包括用于引起服务器执行以下步骤的程序代码单元,其中所述服务器被配置为执行用户计算机经由数据通信网络所请求的操作、且具有用于存储定义需要一个或多个授权用户的授权的操作的规则数据的存储器,所述步骤为:
响应于来自用户计算机的、执行所述操作的请求,根据所述规则数据确定所述操作是否需要至少一个授权用户的授权,如果是,则推延所述操作;
与根据本发明的第一方面所述的授权设备通信,以建立所述相互授权的连接;
经由所述连接,向所述授权设备提供指示需要所述授权设备的用户授权的任何推延操作的信息,并接收来自所述用户的授权;以及
响应于对来自需要其对所述操作授权的每一个授权用户的授权的接收,执行推延操作。
实现本发明的计算机程序可以组成独立的程序或可以是一个较大程序的元素,且可以被如下提供,例如,实施在诸如磁盘的计算机可读介质或电子传送中用于加载到计算机中。所述计算机程序的程序代码单元可以包括一组指令的任意语言、代码或记号的任意表达,意在引起计算机执行所讨论的方法,直接地或者在(a)转换为另一个语言、代码或记号并且(b)在不同的材料形式中重现之后。
一般地,在这里参考本发明的一个方面的实施例说明特征的情况下,相应的特征可以被提供在本发明的另一个方面的实施例中。
附图说明
下面将说明本发明的优选实施例,通过示例的方式,参考以下附图:
图1是实施本发明的数据通信系统的示意图;
图2更详细地示出了图1系统的授权设备、用户PC和服务器;
图3指示了所述服务器在接收到来自用户PC的操作请求时执行的步骤;
图4指示了图2的授权设备的操作的关键步骤;以及
图5指示了在从图2的授权设备接收到对交易信息的请求时所述服务器的操作。
具体实施方式
图1显示了实施本发明的用于在移动计算情景中实现安全、多方交易授权系统的数据通信系统。所述系统1包括服务器2,其能够与多个用户计算机3经由一个或多个在图中被一般地由网络4表示的数据通信网络通信。这里我们假定服务器2由被配置用于执行所描述的功能的通用计算机实现,但一般地,服务器2的功能可以被分布在服务器系统的多个物理机器上。用户计算机3可以由诸如PC、PDA(个人数字助理)、移动电话等不同的计算设备实现,它们能够与服务器2经由网络4进行数据通信。对于此示例的目的,假定服务器1允许访问在线银行服务,操作计算机3的用户能够周期地连接到所述服务以执行银行交易。服务器2对交易的实现经受多方授权处理。特别地,至少某些可能从用户计算机3请求的交易必须在它们被服务器2实现之前由一个或多个授权用户授权。为了授权交易,授权用户使用能够连接到用户计算机3的专用移动交易授权设备(TAD)5,图1中指示了三个这样的设备。
图2是TAD 5、用户计算机3和服务器2的示意框图,显示了授权系统中包括的主要元件。这个示例的TAD 5是一个小巧的具有计算机接口和用户接口的桌面设备,这里,所述接口指用于将所述设备连接到用户计算机3的USB接口6,所述用户接口包括用于用户输入的显示器7和键盘8。TAD 5还具有用于与智能卡10接口的读卡器9形式的安全设备接口。控制逻辑11一般地控制设备的操作并实施下面所说明的授权过程的各个步骤。所述服务器2包括用于与数据通信网络4接口的正常通信电路13,以及用于执行在线银行服务的各种功能的服务器逻辑14。另外,服务器2包括授权装置,其包括授权控制逻辑15和包含由操作中的授权逻辑15使用的各种数据的存储器16。这包括推延交易日志17(下面将说明其目的),以及规则数据库18。规则数据库18定义需要一个或多个授权用户授权的交易。特别地,存储在数据库18中的规则数据指示所述交易以及每次交易时该交易需要其授权的授权用户的身份。取决于特定应用,数据库18中的规则数据可以包含从简单规则集到复杂数据结构的范围。一般地,TAD 5中的控制逻辑11和服务器2中的逻辑14、15可以以硬件、软件或它们的组合实现,虽然这里我们假定该逻辑由运行在服务器2或TAD 5的处理器(适用时)上的软件实现。根据这里的说明,合适的软件对于本领域中的技术人员是显而易见的。实现TAD 5的控制逻辑11的处理器被设计为使得额外的、随意的代码不能被加载至该处理器。
服务器2被显示为具有经由网络4到用户PC 3的第一连接,在图中由虚线标示。例如,用户PC典型地将经由PC3上运行的网络浏览器具有到服务器2的因特网连接。用户PC 3还被显示为运行了充当下面进一步讨论的TAD5的代理应用19。虽然一般地代理19可能被预先安装在PC 3上,但在该优选的实施例中,所述代理可以被从TAD加载,例如通过TAD将其本身注册为USB大容量存储设备的方法。
银行运行的服务器2向授权用户发行智能卡10。所述卡10包含用于在TAD 5和服务器2之间进行的授权处理中使用的安全数据。在这个示例中,所述安全数据是秘密密钥,但该智能卡也被方便地利用户账户信息和证书个性化,如,服务提供方URL、信任的TLS/SSL(安全传输层/安全套接字协议层)证书、用户姓名、PIN等,以及可能在与服务器2的通信中使用的额外密钥。
在系统1的操作中,银行客户能够从任意(不可信的)计算机3连接到服务器2以登陆进入在线银行入口并请求服务器执行诸如资金转账或其他银行交易的操作。响应这种交易请求的服务器2的操作被标示在图3的流程图中。该处理由交易请求的接收触发,如步骤20所示。所有被服务器2接收到的交易请求都被服务器逻辑14传递到授权逻辑15。在步骤21,所述授权逻辑访问所述规则数据库18以检查该交易是否需要授权。如果否,如判决步骤22以“否”(N)标示的,则所述交易请求被返回到在步骤23中简单地执行所指令的交易的服务器逻辑14,且该处理完成。然而,如果所述交易需要授权,如判决步骤22以“是”(Y)标示的,则在步骤24中授权逻辑15在推延交易日志17中创建条目。这个条目记录交易细节以及所述交易需要其授权的每一个授权用户的身份。因此,所述交易被推延等待接收到所需要的授权,且所述处理终止。
多个用户能够在不同时间从不同的、不可信的用户计算机3指示交易。所有交易请求都由服务器2如上所述地处理,由此在任意时间,所述推延交易日志可能包含多个等待授权的交易的细节。规则数据库18中识别的每一个授权用户携带智能卡10,如上所述。授权用户还能够携带TAD 5,并且/或者可以提供多个TAD 5用于在一些地方与多个计算机一起使用。在任何情况下,当带有TAD 5的授权用户访问连接到网络的计算机3时,他能够如下执行授权过程。所述用户将智能卡10插入TAD 5并将所述TAD经由USB接口6连接到用户PC 3。TAD 5的后续操作由控制逻辑11控制,且标示在图4的流程图中。响应于TAD 5到PC 3的连接,如步骤30所表示的,所述控制逻辑11初始化连接到服务器2的处理。首先,在步骤31中,所述控制逻辑通过显示器7上的消息提示用户通过键盘8输入他的PIN,且将输入的数字与存储在智能卡10中的数字进行核对。所述设备可以给所述用户若干输入正确PIN的机会,但是如果没有输入有效的PIN(步骤32的“否”)则处理将终止。然而,假定所述PIN是有效的(步骤32的“是”),则在步骤33中所述控制逻辑在PC 3上启动代理应用19。接下来,如在步骤34中标示的,所述控制逻辑在代理19的帮助下建立用于TAD 5和服务器2之间的加密的端到端通信的相互授权的连接。此连接在图2中由实线标示。为了建立此连接,所述控制逻辑经由读卡器9与智能卡10通信以访问存储在卡10上的安全数据。预先约定的密钥被用于加密/解密能使TAD和服务器相互授权的消息,且通过以已知的方式实现协议设置建立与服务器2的TLS/SSL连接。所述TLS/SSL连接是TAD 5与服务提供方的信任的服务器2之间的端到端连接,其中所述TAD被配置用于该服务提供方(经由智能卡10上的安全数据),然而所述代理在两者之间盲中继网络包。因此,代理19以及PC 3可能是不可信任的,因为所有经过它们的数据都被加密。
在建立了所述安全连接之后,在图4的步骤35中,所述控制逻辑11向服务器2发送对关于已被推延等待TAD的用户的授权的任意交易的信息的请求。该请求可以包括从卡10检索到的用户ID数据,如果其在建立所述安全连接时未被提供。如果所述服务器回复没有未决的相关交易(步骤36的N),则所述控制逻辑等待由延迟模块27表示的预定时间间隔。然后所述处理重返步骤35,由此,当所述安全连接持续时,对交易信息的请求将被周期地重复。返回判决步骤36,如果交易细节被服务器2返回,则在步骤38中所述控制逻辑将第一个要被授权的交易的细节显示在显示器7上。所述显示器也提示用户通过对键盘8的输入批准或拒绝所述交易。所述结果在判决步骤39中被检测,且所述用户对交易的拒绝(步骤40)或授权(步骤41)都经由安全连接而被传送回服务器2。在判决步骤42,所述控制逻辑11判定是否有另一交易要显示,且,如果是,则操作返回步骤38处理下一个交易。如果否,操作重返显示步骤37,等待下一个对交易信息的请求。
在所述TAD保持经由安全连接连接到服务器2的同时时,上述处理继续。以这种方式,TAD 5经由安全连接收集需要TAD的用户的授权的、且被任意用户经由计算机3和服务器2之间的任意其他连接请求的推延交易的细节,而不论是在TAD 5的连接之前还是之后请求。所述推延交易可以包括当前TAD用户经由与服务器2的浏览器会话所请求的交易,该浏览器会话被完全正常地进行,并保持不受所述TAD的出现的影响。因此,无论用户何时何地连接到服务器,他都可以授权交易,经由不可信任的计算机3和不可信任的网络4的中介安全地传送和安全地授权所述交易细节。
响应于来自TAD 5的对推延交易信息的请求的服务器2的操作被标示在图5中。所有这样的请求被传递到服务器2的授权逻辑15。步骤50表示授权逻辑15接收到请求,接着所述授权逻辑15在步骤51为需要请求的TAD用户的授权的任意交易检查推延交易日志。如果没有发现相关交易(步骤52的N),则在步骤53中将其报告给TAD,且所述过处理终止。如果在所述日志中发现任何相关交易(判决52的“是”),则所述交易细节被经由安全的连接发送到所述TAD,接着,所述逻辑15等待授权,如延迟55指示的。如果没有接收到授权响应(判决56的“否”),则所述逻辑15在步骤57确定对该响应的“超时”限制是否已经达到,如果是,则所述处理终止。如果否,则操作重返延迟55并等待更长时间间隔。当接收到授权回复(判决56的“是”)时,所述授权逻辑在步骤58识别所述交易已被被批准(“是”)还是被拒绝(“否”)。如果被拒绝,则在步骤59和60所述授权逻辑从推延交易日志17中删除所述交易并通知服务器逻辑14所述拒绝。接着,服务器逻辑14可以采取合适动作,诸如通知请求的用户交易授权已经被拒绝。然后操作前进到步骤61,在步骤61中,逻辑15确定是否有另外的交易等待授权。如果没有,则所述处理终止;但如果有,则操作重返步骤55等待另外的授权。返回步骤58,如果这里所述交易被授权,则在判决63,所述逻辑15根据交易日志确定所述交易是否还需要其他用户的授权。如果是,则在步骤61简单地更新所述日志以指示当前用户的授权,且操作前进到步骤61,如前所述。然而,如果否,则在步骤65所述授权逻辑会指示服务器逻辑14执行所述交易。然后在步骤64从推延交易日志中删除所述交易,且操作前进到步骤61以处理下一个需要授权的交易。一旦所有交易都已经被当前TAD用户授权(或拒绝)了,或对授权的超时限制达到了,则所述处理被视为完成了。
只要移动用户经由任意用户计算机连接在通信系统中,之前的处理就允许所述服务器接收来自移动用户的交易授权。仅当从所有被需求方接收到必要的授权时,如规则数据库18中所定义的,所述服务器才实现交易。数据库18中的规则能够实现任意复杂的多方授权需求,例如,为了反映公司内的组织责任,所述服务器决定哪个交易必须由哪个用户显式地授权。例如,假定用户1已经启动了价值1000 USD的交易,则所述数据库可能包含指定如果所述交易价值超过500 USD则需要来自用户1以及来自用户N的安全交易授权的规则。在这种情况下,当连接时,所述服务器将向这两个用户的TAD都指示未决的交易,且仅当两个用户都授权所述交易时,它才被服务器成功地处理。虽然MITM或恶意软件可能攻击用户的交易启动处理,但后续多方交易授权处理对于这样的攻击是安全的,即使所述TAD是在不可信任的计算机上操作。用户能够信任TAD上显示的信息,还能够安全地将他们的授权决定传送回服务提供方的被信任的服务器。因此,经由TAD的交易授权使电子交易免受MITM和恶意软件攻击的侵害,并支持复杂的多方授权规则,同时维持用户移动性。以这种方式,安全的多方交易授权能够有效地在移动计算环境中实现。
尽管上面已经说明了优选的实施例,但也可以构思不同的补充和替代。例如,当计算机3的用户第一次例如经由网页浏览器登陆进服务提供方的入口以启动交易时,TAD 5还可以在用户授权阶段参与。当用户请求访问所述入口时,所述服务器2可以经由安全连接返回某些授权代码,其可以被用户TAD像显示未决交易一样显示。然后,通过在计算机3的键盘上或经由TAD的键区输入所述代码,所述用户能够使用这个代码在所述入口授权。一般地,在使用TAD时,虽然所述用户的决定优选经由安全的TLS/SSL信道返回到服务器,但所述TAD可以将由服务器产生的某些交易/用户特定的授权代码与交易细节一起显示。接着,所述用户能够从显示器复制所述代码并将其经由某些其他的、可能不可信任的连接发送到服务器,例如,经由网络浏览器。这提供了与需要用户将一次性代码输入到网页中的现有网页入口的兼容性,所述一次性代码通常经由暂存列表(scratch list)或SMS文本带外地分布。
虽然已经以在线银行服务为背景描述了操作,但所述系统能够被应用到多种类型的服务操作的授权,包括对访问多种类型的资源的授予。例如,能够将TAD以与多方交易授权相同的方式用于多方访问控制授权。这里,如果用户尝试登录进服务提供方的入口,则所述服务器能够经由他们的TAD请求来自一个或多个人的批准,就像前面示例中的交易。
TAD可以采用多种形式,并可以单单专用于目的或可以与某些其他的提供有限额外功能的设备集成,诸如前面提到的鼠标或MP3播放器。所述用户接口可以以多种方式实现,且可以向用户提供声音提示和/或不同地呈现视觉信息,例如,利用鼠标激光机构在桌面上产生投影显示。所述TAD计算机和安全设备接口一般地可以以有线或无线连接的任意方便的形式实现。实际上,用于建立所述安全连接的安全数据能够被存储在物理地嵌入TAD中的存储器中,例如,在例如使用自毁灭数据容器或入侵检测传感器的物理防篡改的安全芯片中。
服务器2的功能可以被分布在服务器系统的不同机器上,且存储器16可以由分布在多于一个机器上的一个或多个不同的存储器组件实现。
将理解,在不脱离本发明的范围的情况下,对所描述的示例实施例可以作很多其他改变和修改。
Claims (15)
1.一种用于对用户计算机(3)经由数据传输网络(4)请求的远程服务器(2)的操作授权的授权设备(5),所述设备(5)包括:
计算机接口(6),其将所述设备(5)连接到本地用户计算机(3),用于经由数据通信网络(4)与远程服务器(2)通信;
用户接口(7),用于向用户呈现信息;以及
控制逻辑(11),其被适配为:
使用正在使用的所述控制逻辑(11)可访问的安全数据,以经由所述本地用户计算机(3)在所述设备(5)和所述服务器(2)之间建立相互授权的连接,用于所述设备和所述服务器之间的加密的端到端通信;
经由所述连接从所述服务器(2)收集指示经由不同连接而向所述服务器(2)请求的、且需要所述设备(5)的用户的授权的任何操作的信息;以及
将所述信息经由所述用户接口(7)呈现给用户以提示对所述操作的授权。
2.如权利要求1所述的设备(5),其中所述控制逻辑(11)被适配为经由所述相互授权的连接向服务器(2)请求所述信息。
3.如权利要求1或2所述的设备(5),其中所述控制逻辑(11)被适配为当所述相互授权的连接持续时,周期性地向所述服务器(2)请求所述信息。
4.如前面任一权利要求所述的设备(5),其中所述控制逻辑(11)被适配为响应于所述设备(5)与所述本地用户计算机(3)的连接而启动所述相互授权的连接的建立。
5.如前面任一权利要求所述的设备(5),包括存储所述安全数据的存储器。
6.如权利要求1至4中的任一项所述的设备(5),包括安全设备接口(9),用于将所述授权设备(5)连接到存储所述安全数据的安全设备(10),其中所述控制逻辑(11)被适配为经由正在使用的安全设备接口(9)访问所述安全数据。
7.如权利要求6所述的设备(5),其中所述安全设备接口包括读卡器(9),用于将所述授权设备(5)连接到存储所述安全数据的智能卡(10)。
8.如前面任一权利要求所述的设备(5),其中所述用户接口包括输入机制(8),用于用户授权的输入,且其中所述控制逻辑(11)被适配为经由所述相互授权的连接将所述用户授权传递到服务器(2)。
9.一种用于对用户计算机(3)经由数据通信网络(4)请求的服务器(2)的操作进行控制的装置,所述装置包括存储器(16)和控制逻辑(15),所述存储器(16)用于存储定义需要一个或多个授权用户的授权的操作的规则数据(18),且所述控制逻辑(15)被适配为:
响应于来自用户计算机(3)的请求,以执行所述操作,从而根据所述规则数据(18)确定所述操作是否需要至少一个授权用户的授权,如果是,则推延所述操作;
与如前面任一权利要求所述的授权设备(5)通信,以建立所述相互授权的连接;
经由所述连接,向所述授权设备(5)提供指示用户计算机(3)所请求的、需要所述授权设备(5)的用户授权的任何推延操作的信息,并接收来自所述用户的授权;以及
响应于对来自需要其对所述操作授权的每一个授权用户的授权的接收,启动推延操作的执行。
10.如权利要求9所述的装置,其中所述控制逻辑(15)被适配为响应于来自所述授权设备(5)的请求,经由所述相互授权的连接向所述授权设备(5)提供所述信息。
11.如权利要求9或10所述的装置,其中所述控制逻辑(15)被适配为经由所述相互授权的连接,接收来自所述授权设备(5)的用户的所述授权。
12.一种用于执行用户计算机(3)经由数据通信网络(4)所请求的操作的服务器(2),所述服务器(2)包括:
通信电路(13),用于经由所述数据通信网络(4)与用户计算机(3)通信;
服务器逻辑(14),用于响应于来自用户计算机(3)的请求,执行所述操作;以及
如权利要求9至11中任一项所述的装置,用于控制所述服务器逻辑(14)对所述操作的执行。
13.一种数据通信系统(1),包括:
如权利要求12所述的服务器(2);
至少一个用户计算机(3),用于经由数据通信网络(4)与所述服务器(2)通信;以及
至少一个如权利要求1至8中任一项所述的授权设备(5),用于经由所述设备(5)的计算机接口(6)与所述用户计算机(3)连接;
其中所述用户计算机(3)被适配为中继所述授权设备(5)与所述服务器(2)之间经由所述相互授权的连接的通信。
14.一种计算机程序,包括用于引起授权设备(5)的处理器进行以下步骤的程序代码单元,其中,所述授权设备(5)被适配为与用户计算机(3)连接,用于经由数据通信网络(4)与远程服务器(2)通信,且所述授权设备(5)具有向所述设备(5)的用户呈现信息的用户接口(6),所述步骤为:
使用与所述授权设备(5)相关联的安全数据,经由本地用户计算机(3)建立相互授权的连接,用于与所述服务器(2)的加密的端到端通信;
从所述服务器(2)经由所述连接,收集指示经由不同连接而向所述服务器(2)的请求的、且需要所述设备(5)的用户的授权的任何操作的信息;以及
经由所述用户接口(6),向用户呈现所述信息以提示对所述操作的授权。
15.一种计算机程序,包括用于引起服务器(2)执行以下步骤的程序代码单元,其中所述服务器(2)被配置为执行用户计算机(3)经由数据通信网络(4)所请求的操作、且具有用于存储定义需要一个或多个授权用户的授权的操作的规则数据(18)的存储器(16),所述步骤为:
响应于来自用户计算机(3)的、执行所述操作的请求,根据所述规则数据(18)确定所述操作是否需要至少一个授权用户的授权,如果是,则推延所述操作;
与如权利要求1至8中的任一项所述的授权设备(5)通信,以建立所述相互授权的连接;
经由所述连接向所述授权设备(5)提供指示所述用户计算机(3)所请求的、需要所述授权设备(5)的用户授权的任何推延操作的信息,并接收来自所述用户的授权;以及
响应于对来自需要其对所述操作授权的每一个授权用户的授权的接收,执行推延操作。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP08105363 | 2008-09-17 | ||
| EP08105363.9 | 2008-09-17 | ||
| PCT/IB2009/054074 WO2010032207A1 (en) | 2008-09-17 | 2009-09-17 | Authorization of server operations |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN102160059A true CN102160059A (zh) | 2011-08-17 |
Family
ID=41262122
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2009801363052A Pending CN102160059A (zh) | 2008-09-17 | 2009-09-17 | 服务器操作的授权 |
Country Status (11)
| Country | Link |
|---|---|
| US (3) | US8640255B2 (zh) |
| EP (1) | EP2332089B1 (zh) |
| JP (1) | JP5619007B2 (zh) |
| KR (1) | KR20110081966A (zh) |
| CN (1) | CN102160059A (zh) |
| AU (1) | AU2009294201B2 (zh) |
| BR (1) | BRPI0919158B1 (zh) |
| CA (2) | CA2926128C (zh) |
| IL (1) | IL211758A (zh) |
| MX (1) | MX2011002423A (zh) |
| WO (1) | WO2010032207A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107070640A (zh) * | 2011-09-15 | 2017-08-18 | 谷歌公司 | 使用钥托管服务使得用户在安全服务提供商之间选择 |
Families Citing this family (26)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5451159B2 (ja) * | 2009-04-14 | 2014-03-26 | Necシステムテクノロジー株式会社 | データ転送方法、データ転送システム及びデータ中継プログラム |
| CN103080946B (zh) * | 2010-09-16 | 2016-10-12 | 国际商业机器公司 | 用于安全地管理文件的方法、安全设备、系统和计算机程序产品 |
| CN102456193A (zh) * | 2010-10-28 | 2012-05-16 | 中国银联股份有限公司 | 移动存储设备、基于该设备的数据处理系统和方法 |
| US9373114B2 (en) * | 2011-02-25 | 2016-06-21 | Diebold Self-Service Systems Division Of Diebold, Incorporated | Automated teller machine with an encrypting card reader and an encrypting pin pad |
| JP5701792B2 (ja) * | 2012-02-27 | 2015-04-15 | 株式会社東芝 | 通信装置、通信方法及び通信プログラム |
| US8800004B2 (en) | 2012-03-21 | 2014-08-05 | Gary Martin SHANNON | Computerized authorization system and method |
| US10237341B1 (en) * | 2012-03-29 | 2019-03-19 | Emc Corporation | Method and system for load balancing using server dormant mode |
| EP2839689B1 (en) * | 2012-04-16 | 2019-06-05 | Intel Corporation | Scalable secure execution |
| US9426183B2 (en) * | 2013-07-28 | 2016-08-23 | Acceptto Corporation | Authentication policy orchestration for a user device |
| US11349879B1 (en) * | 2013-07-28 | 2022-05-31 | Secureauth Corporation | System and method for multi-transaction policy orchestration with first and second level derived policies for authentication and authorization |
| US10325259B1 (en) | 2014-03-29 | 2019-06-18 | Acceptto Corporation | Dynamic authorization with adaptive levels of assurance |
| US20160330201A1 (en) * | 2015-05-08 | 2016-11-10 | Thi Chau Nguyen-Huu | Systems and Methods for Controlling Access to a Computer Device |
| US10387980B1 (en) | 2015-06-05 | 2019-08-20 | Acceptto Corporation | Method and system for consumer based access control for identity information |
| US20170116380A1 (en) * | 2015-10-27 | 2017-04-27 | Dexcom, Inc. | Sharing continous glucose data and reports |
| EP3702950B1 (en) * | 2017-10-27 | 2021-12-01 | Digital Asset (Switzerland) GmbH | Computer system and method for distributed privacy-preserving shared execution of one or more processes |
| US20190156337A1 (en) * | 2017-11-17 | 2019-05-23 | Visa International Service Association | System and Method for Processing Deferred Authorization Transactions |
| US11367323B1 (en) | 2018-01-16 | 2022-06-21 | Secureauth Corporation | System and method for secure pair and unpair processing using a dynamic level of assurance (LOA) score |
| US11133929B1 (en) | 2018-01-16 | 2021-09-28 | Acceptto Corporation | System and method of biobehavioral derived credentials identification |
| US11005839B1 (en) | 2018-03-11 | 2021-05-11 | Acceptto Corporation | System and method to identify abnormalities to continuously measure transaction risk |
| US11455641B1 (en) | 2018-03-11 | 2022-09-27 | Secureauth Corporation | System and method to identify user and device behavior abnormalities to continuously measure transaction risk |
| US11096059B1 (en) | 2019-08-04 | 2021-08-17 | Acceptto Corporation | System and method for secure touchless authentication of user paired device, behavior and identity |
| US10922631B1 (en) | 2019-08-04 | 2021-02-16 | Acceptto Corporation | System and method for secure touchless authentication of user identity |
| US10824702B1 (en) | 2019-09-09 | 2020-11-03 | Acceptto Corporation | System and method for continuous passwordless authentication across trusted devices |
| US10951606B1 (en) | 2019-12-04 | 2021-03-16 | Acceptto Corporation | Continuous authentication through orchestration and risk calculation post-authorization system and method |
| US11329998B1 (en) | 2020-08-31 | 2022-05-10 | Secureauth Corporation | Identification (ID) proofing and risk engine integration system and method |
| CN112150733B (zh) * | 2020-09-27 | 2022-02-18 | 中国银行股份有限公司 | 银行卡误操作处理方法、装置及设备 |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6175922B1 (en) * | 1996-12-04 | 2001-01-16 | Esign, Inc. | Electronic transaction systems and methods therefor |
| JPH10320458A (ja) | 1997-05-22 | 1998-12-04 | Hitachi Ltd | 携帯型情報端末システム |
| US6895502B1 (en) * | 2000-06-08 | 2005-05-17 | Curriculum Corporation | Method and system for securely displaying and confirming request to perform operation on host computer |
| US9213992B2 (en) * | 2005-07-08 | 2015-12-15 | Microsoft Technology Licensing, Llc | Secure online transactions using a trusted digital identity |
| US20070033136A1 (en) * | 2005-08-05 | 2007-02-08 | Yih-Chun Hu | Secured financial transaction device |
| JP2007316959A (ja) | 2006-05-26 | 2007-12-06 | Hitachi Omron Terminal Solutions Corp | 振り込み方法 |
| TW200929974A (en) * | 2007-11-19 | 2009-07-01 | Ibm | System and method for performing electronic transactions |
-
2009
- 2009-09-17 BR BRPI0919158-5A patent/BRPI0919158B1/pt active IP Right Grant
- 2009-09-17 JP JP2011526626A patent/JP5619007B2/ja active Active
- 2009-09-17 CA CA2926128A patent/CA2926128C/en active Active
- 2009-09-17 AU AU2009294201A patent/AU2009294201B2/en active Active
- 2009-09-17 EP EP09787229.5A patent/EP2332089B1/en active Active
- 2009-09-17 US US13/063,969 patent/US8640255B2/en active Active
- 2009-09-17 MX MX2011002423A patent/MX2011002423A/es active IP Right Grant
- 2009-09-17 CA CA2736582A patent/CA2736582C/en active Active
- 2009-09-17 WO PCT/IB2009/054074 patent/WO2010032207A1/en active Application Filing
- 2009-09-17 KR KR1020117007817A patent/KR20110081966A/ko not_active Application Discontinuation
- 2009-09-17 CN CN2009801363052A patent/CN102160059A/zh active Pending
-
2011
- 2011-03-16 IL IL211758A patent/IL211758A/en not_active IP Right Cessation
-
2012
- 2012-07-25 US US13/557,468 patent/US8856919B2/en active Active
-
2013
- 2013-12-17 US US14/109,468 patent/US8938784B2/en active Active
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107070640A (zh) * | 2011-09-15 | 2017-08-18 | 谷歌公司 | 使用钥托管服务使得用户在安全服务提供商之间选择 |
| CN107070640B (zh) * | 2011-09-15 | 2018-11-30 | 谷歌有限责任公司 | 使用钥托管服务使得用户在安全服务提供商之间选择 |
Also Published As
| Publication number | Publication date |
|---|---|
| US8856919B2 (en) | 2014-10-07 |
| BRPI0919158A2 (pt) | 2016-08-09 |
| JP2012503229A (ja) | 2012-02-02 |
| EP2332089B1 (en) | 2019-07-10 |
| CA2926128A1 (en) | 2010-03-25 |
| US20140109212A1 (en) | 2014-04-17 |
| BRPI0919158B1 (pt) | 2020-06-02 |
| JP5619007B2 (ja) | 2014-11-05 |
| CA2736582C (en) | 2018-07-24 |
| US8938784B2 (en) | 2015-01-20 |
| EP2332089A1 (en) | 2011-06-15 |
| IL211758A0 (en) | 2011-06-30 |
| CA2926128C (en) | 2017-09-19 |
| US20120291105A1 (en) | 2012-11-15 |
| KR20110081966A (ko) | 2011-07-15 |
| US20110173448A1 (en) | 2011-07-14 |
| CA2736582A1 (en) | 2010-03-25 |
| AU2009294201A1 (en) | 2010-03-25 |
| US8640255B2 (en) | 2014-01-28 |
| WO2010032207A1 (en) | 2010-03-25 |
| IL211758A (en) | 2014-11-30 |
| AU2009294201B2 (en) | 2014-03-27 |
| MX2011002423A (es) | 2011-04-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102160059A (zh) | 服务器操作的授权 | |
| CN102301642B (zh) | 安全交易认证 | |
| US8572701B2 (en) | Authenticating via mobile device | |
| TWI502533B (zh) | Financial trading system | |
| US20100175136A1 (en) | System and method for security of sensitive information through a network connection | |
| US20050238174A1 (en) | Method and system for secure communications over a public network | |
| JP2015082140A (ja) | ワンタイムパスワード発行装置、プログラムおよびワンタイムパスワード発行方法 | |
| KR20070029537A (ko) | 무선단말기와 연동한 개인별고유코드를 활용한인증시스템과 그 방법 | |
| KR100324248B1 (ko) | 지문을 이용한 인터넷 인증 시스템 및 그 방법 | |
| JP5475226B2 (ja) | 渉外営業支援システム及びその方法 | |
| US20090012890A1 (en) | System and method for confirming electronic service | |
| US20160125410A1 (en) | System and Method for Detecting and Preventing Social Engineering-Type Attacks Against Users | |
| KR101534753B1 (ko) | 스마트폰을 이용한 현장 인증 방법 | |
| JP5919497B2 (ja) | ユーザ認証システム | |
| KR101547730B1 (ko) | 하나의 계좌에 대하여 둘 이상의 비밀번호를 운용하는 금융 계좌 관리 장치 및 방법 | |
| KR20010016070A (ko) | 은닉된 개인인증암호를 내포한 일회용식별코드 및운용시스템 | |
| JP5947358B2 (ja) | 認証処理装置、方法およびプログラム | |
| JP7118044B2 (ja) | インターネットシステム及びインターネットシステムが実行する方法 | |
| JP6786682B2 (ja) | インターネットバンキングシステム及び不正アクセス遮断用中継装置 | |
| JP2019153139A (ja) | 特殊詐欺防止システム及び方法 | |
| Kitbuncha | Legal measures on authentication of electronic fund transfer | |
| Saha | Increasing security measures in ATM Transactions using NFC | |
| KR101322816B1 (ko) | 휴대단말을 이용한 비-플러그인 방식의 전자서명 시스템 | |
| Al-Fairuz | An investigation into the usability and acceptability of multi-channel authentication to online banking users in Oman | |
| JP2008217487A (ja) | 金融処理システム、口座ロック方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20110817 |