CN105229709B - 安全性系统 - Google Patents

Abstract

本发明涉及一种使用在零售银行业务系统中的终端，其包括用于接收多种类型的个人认证元素的接口。将针对用户的认证请求与所述多种类型的元素当中的一种或多种相关联。所述终端还包括用于提供对于所述系统的多个不同的访问空间的访问的安全性模块，每一个空间包括所述系统的不同的对应功能或者功能组合。对于每一个访问空间，所述安全性模块提供该访问空间与所述多种类型的个人认证元素当中的对应的一种或多种之间的映射。基于这一映射，所述安全性模块从而被配置成在被映射到与针对用户的认证请求相关联的一种或多种类型的个人认证元素的条件下，并且在验证了这些元素的条件下，准许用户访问其中一个访问空间。

Description

安全性系统

技术领域

本发明涉及银行业务系统中的安全性，例如包括用于通过机械方式应对现金或金融单据的一台或多台机器的零售系统。

背景技术

在银行的传统支行中，每一位柜员具有连接到用于发放、接受或者循环通常采取纸币和/或硬币形式的货币价值的物理代币(“现金”)的机器的工作站。这样的机器可以被称作柜员现金发放机(TCD)、柜员现金接受机(TCA)或柜员现金循环机(TCR)，后者能够发放和接受现金并且能够向其他顾客重新发放所接受的现金。每一台机器是连接到仅仅一个或者可能两个柜员工作站的外设，每一条连接是采取例如串行线缆之类的线缆形式的专用的一对一物理连接。

每一个柜员的工作站还可以通过支行的网络单独连接到核心银行系统。核心系统是保存顾客的银行账户的数据的地方。为了处理例如发放现金之类的交易，柜员可以使用双重键控(dual keyed)模型，其中他或她首先使用工作站从工作站向核心系统键入交易，如果核心系统许可交易则向柜员的工作站返回许可。柜员随后使用工作站把相同的交易从工作站单独键入到外围现金应对机器中，以使得工作站控制所述机器完成交易。这样就把现金应对机器与更广的网络保持隔离。针对双重键控模型的替换方案包括屏幕抓取(screen scraping)、图形集成(graphical integration)或完全集成(fullintegration)。

TCD、TCA、TCR或其他种类的机器还可以能够应对其他物理(通常是纸质)金融单据，比如支票、账单、收据、借记表、转账表和/或银行存折。其他实例包括存款单、支付单据、储蓄提取单、支票存款单、储蓄存款单以及/或者在金融机构处被用作存款凭证的其他单据。与这样的机器相关联的工作站还可以提供其他功能，比如访问账户余额或其他记录。

在传统上，在具有高度安全性意识的银行业务环境中，银行职员当中的给定成员具有单一固定的准许集合。举例来说，柜员可能仅被允许访问例如接受和发放现金之类的基本功能，而主管则可以访问更高层级，其中包括所述基本功能加上例如访问敏感记录之类的附加功能。为了获得对于系统的不同访问层级，利用不同的用户ID和口令来实施登录。

发明内容

根据本发明的一个方面，提供一种使用在银行业务系统中的终端。所述终端包括用于接收多种类型的个人认证元素的接口，并且针对用户的认证请求与所述多种类型的个人认证元素当中的一种或多种相关联。所述终端还包括适于提供对于所述系统的多个不同的访问空间的访问的安全性模块。每一个访问空间包括所述系统的不同的对应功能或者功能组合。所述安全性模块被配置成对于每一个所述访问空间提供该访问空间与所述多种类型的个人认证元素当中的对应的一种或多种之间的映射。基于这一映射，所述安全性模块从而被配置成在被映射到与针对用户的认证请求相关联的一种或多种类型的个人认证元素的条件下，并且在验证了对应于用户的所述一种或多种类型的个人认证元素的条件下，准许用户访问其中一个访问空间。举例来说，所述不同类型的认证作为一种类型可以包括口令，并且作为另外的一种或多种类型可以包括例如指纹或面部辨识之类的生物测定信息。其他实例可以包括例如笔迹或签名辨识之类的行为信息，或者例如来自用户的电话或平板设备的当前GPS定位之类的地理信息。

随着安全性模块把不同的访问空间映射到不同类型的所述认证信息和/或多种类型的不同组合(其例如在登录时被提供)，可以说在使用了正确的锁钥集合时，一道门户提供对于不同房间或隔室的访问。这可以被用来允许一种更加灵活的方法，以便为具有不同角色和/或处于不同场合的用户提供不同的功能，以及/或者允许用户访问不同种类的功能的一种更加无缝的方式，并且同时保持适合于每一个访问空间的适当程度的安全性。

举例来说，在某些实施例中，系统不需要被约束到严格地分级或嵌套的各层，其中更高层包含较低层的所有功能。相反，不一定需要有一个空间在分级结构中优于另一个空间的概念，因此也就是说第一访问空间不一定需要包含第二空间的所有功能，同时第二空间不一定需要包含第一空间的所有功能。一个实例将是对应于柜员和技术人员的分开的空间：柜员可以访问交易但是不需要访问诊断或其他维护功能，可以为技术人员提供这些功能但是不提供实施实际交易的能力。另一个实例将是对应于柜员和总部中的经理的分开的空间：柜员可以访问现金发放功能但是只能访问有限的记录，而经理则可以访问更多记录但是不一定需要为其给出发放现金的能力。此外，由于针对这些角色的认证类型可能是不同的，因此对于该角色可以保持适当程度的安全性，并且/或者可以使得挑战安全性的方式适合于所述角色。

替换地或附加地，在某些实施例中，用户可以被直接带到相关的访问空间而无需经历相继的不同层次的认证，并且/或者无需具有其用户ID不同的不同账户。举例来说，如果用户仅以有限的认证信息登录，比如仅有口令，则他或她可以被准许访问系统内的基本访问空间。但是如果用户在初始访问点处预先添加了额外的认证信息项目，比如指纹或面部辨识，则他或她可以被准许直接访问更加安全的第二访问空间，而无需利用不同的用户ID登录或者被提示第二登录阶段。举例来说，如果用户仅利用口令之类的基本类型的认证登录，则可以仅为他或她给出例如发放有限数额的现金之类的基本柜员功能，而如果相同的用户利用相同的用户名和口令实施相同的登录但是与此同时添加了例如指纹或面部辨识之类的附加元素，则可以将他或她直接带到更加安全的访问空间，从而允许更高价值的交易或者更加高级的交易种类。

根据本发明的另外的方面，提供了相应的系统、方法以便提供对于银行业务系统的多个层级的访问，以及包括具体实现在计算机可读存储介质上的相应的计算机程序产品。

附图说明

为了更好地理解本发明的实施例并且表明如何能够将其付诸实施，现在将参照附图，其中：

图1是银行业务系统的示意图；

图2是柜员装备的示意图；

图3是另一种柜员装备的示意图；

图4是登录方法的示意性流程图；以及

图5是另一种登录方法的示意性流程图。

具体实施方式

图1提供了零售银行业务环境的示意性图示。这包括银行的核心系统100、支行银行业务网络102以及ATM网络104。

核心系统100包括其中存储对应于银行的所有顾客的记录的数据库106，其中包括对应于每一位顾客的账户数据，其定义账户的货币价值以及潜在地还有信用或透支额度之类的其他因素。任何交易都必须由核心系统100批准并且被记录在核心系统100的数据库106中，比如涉及向顾客发放现金、接受来自顾客的现金存款、在账户之间转移资金或者向顾客的账户借贷资金之类的那些交易。

支行银行业务网络102通过银行的广域网(WAN)连接到核心系统100。支行银行业务网络102是与支行职员和顾客之间的接口有关的银行业务环境的一部分。在对应于整个银行企业的支行银行业务网络102内，每一个单独的支行包括对应的局域网(LAN)108。每一个支行的LAN 108包括支行服务器114以及对应于一个或多个柜员的柜员装备118。

图2和3给出了示出柜员装备118的实例的示意性方框图。柜员装备118包括一台或多台现金应对机器202，其例如具有柜员现金发放机(TCD)、柜员现金接受机(TCA)和/或柜员现金循环机(TCR)的形式。每一台现金应对机器202包括安全的现金箱以及用于发放和/或接受现金的机制。

现金应对涉及对于货币价值的有形物理代币的接受、发放、循环或其他处理，所述代币通常是由政府发行的代币，比如硬币和纸币。但是还有可能提供配备有接受、发放、循环或处理其他物理单据的附加能力的现金应对机器，比如：支票、账单、收据、借记表、转账表和/或银行存折；以及/或者存款单、支付单据、储蓄提取单、支票存款单、储蓄存款单和/或在金融机构处被用作存款凭证的其他单据。举例来说，现金应对机器可以包括用于按照至少部分地自动化的方式来处理支票或者结清(settle)账单或收据的机制、传感器和图像辨识软件。此外还有可能提供专用的单据应对机器以用于接受、发放、循环或处理此类物理单据，而不一定是硬币或纸币。所谓的物理或有形在这里排除了纯粹的电子单据，从而排除了纯粹以计算机上的数据的形式存在的单据(尽管其在处理中的某一阶段可能是以电子形式来表示的)。通常来说，这些物理单据是纸质单据，但是例如也可以包括塑料单据。后面将通过现金应对机器来讨论，但是应当理解的是，现金应对机器可以具有其他单据应对功能，并且/或者本发明的教导可以被应用于应对金融单据的其他种类的机器。

应当认识到，这些种类的现金或单据应对机器适合于使用在零售银行业务环境中，其中金融机构提供职员与消费者之间的交互。这一交互通常是通过“主要街道(highstreet)”风格的存在等等来提供的，并且还可以所述机构自身的其中一个支行或者合作伙伴或代表的商业分销点来提供。应当提到的是，虽然可以说所述机构作为一个整体提供与消费者的交互，但是其还可以包括并不直接与消费者交互的职员或其他方面，例如主管或技术人员不一定与顾客进行交互，或者顾客可以使用升降梭箱(drop-box)，其可以由顾客使用来存入现金或支票等等。

图2示出了对应于柜员装备118的更加传统的设置118a，其中现金应对机器202包括传统的TCD、TCA或TCR而没有其自身的用户接口。在这种情况下，通过柜员工作站204的形式由单独的终端提供用户接口。在这种传统的设置中，每一台现金应对机器202连接到仅仅一个或者最多两个柜员工作站204，并且严格地是其一个或两个对应的工作站204的外设，其中每一条连接是采取例如串行线缆之类的线缆形式的直接、专用的一对一物理连接206。现金应对机器并不通过任何其他连接而连接到网络102、100的任何其他部分，并且与更广的网络102、100严格隔离。

图3示出了对应于柜员装备118的替换设置118b和/或118c，其偏离图2的工作站中心模型并且朝向更加支行范围或者设置企业范围的模型。在这种情况下，每台现金应对机器202包括直接连接到支行LAN 108而不需要直接连接到柜员工作站204的网络端口(尽管工作站204可能仍然在物理上是邻近的)。现金应对机器202现在是网络可寻址的设备而不是工作站204的外设，其中机器202具有其自身的网络地址并且被配置成根据适当的网络协议(比如TCP-IP)进行通信。

在这样的设置的一个实例118b中，现金应对机器202仍然不具有其自身的用户接口，并且工作站204被设置成通过支行LAN 108与现金应对机器202进行通信，以便实施例如发放和/或接受现金之类的交易。在某些实施例中，用于操作现金应对机器202的其中一些或所有软件可以被托管在支行服务器114上，或者甚至被托管在更广的支行银行业务网络102的企业服务器110上。该软件可以利用工作站204上的互补应用来访问。

支行LAN 108还可以包括除了柜员工作站204之外的一个或多个另外的支行终端116，其并不直接位于现金应对机器202的旁边。举例来说，这可以是主管的终端，经理办公室的终端，或者单独的会客室中的终端。在所述网络模型中，例如该终端之类的另一个支行终端116也可以被允许访问现金应对机器202的功能。类似地，通过连接到更广的支行银行业务网络102但是不一定与任何单一支行相关联，支行银行业务网络102还可以包括一个或多个终端112，比如地区经理的办公室或总部的终端。同样地，这样的终端112可以被允许通过支行银行业务网络102访问各个支行当中的一个或多个支行中的现金应对机器202的功能。

举例来说，所述网络模型可以提供对于库存的更广的可见性(哪些现金应对机器202中有多少现金)。具有支行范围或地区责任的主管或经理可以能够利用其中一个另外的终端116或112或者工作站204通过网络114或102查看一个或多个支行中的多台不同的现金应对机器202的库存。这样就允许更加智能的库存管理，这是因为用户可以看到哪些机器202的现金较少并且哪些机器的现金相对充裕的更广的画面，并且在通过网络给出这一信息的可见性的情况下按照更加高效的方式计划其间的现金移动。也就是说，其可以被用来减少现金运送步骤(交付、收回和/或收集)。

另一种可能的用途是提供与诊断或维护有关的信息，例如技术人员可以从地区终端112远程访问现金应对机器的状态。这样可以允许技术人员在对于所需的维护更有准备的情况下(例如携带正确的工具)到达支行，提供远程软件更新，以及/或者甚至对于某些故障实施远程恢复。

在另一种示例性设置118c中，现金应对机器202具有集成到相同的终端中(处于相同的外罩中)的其自身的用户接口208，从而允许其被直接操作。这方面的一个实例是柜员辅助机器，其是部分地(而非完全地)自助服务。顾客可以由他或她自己发起或实施交易的一部分，但是在支行现场仍然有柜员来帮助交易。在这种情况下，其中一个用户可以是顾客，而不是前面的其他实例中的银行职员的成员。

同样地，其中一些或所有软件可以被托管在服务器110或114上，但是这一次是通过运行在柜员辅助机器118c本身而不是单独的工作站204上的互补应用来访问。此外，对应于该机器118c的库存和/或诊断或维护信息可以同样对于其他终端112、116或204是可见的。

在另一个实例中，移动用户终端132(比如智能电话、平板设备或膝上型计算机)可以能够通过与LAN 108或更广的网络102的适当的无线连接来访问所述系统的某种功能，比如访问库存或诊断信息。

ATM网络104是与支行银行业务网络102分开的独特的系统。ATM网络104包括所述银行的多台ATM(自动柜员机)128，以及一家或多家其他银行的多台ATM 130。

即使在其中柜员装备118采取柜员辅助机器118c的形式的情况下，这也不是ATM。首先，柜员装备118是涉及银行职员的成员(人类柜员)与顾客之间的交互的装备，并且从来不是完全的自助服务。其次，通过支行银行业务网络实施的任何交易涉及该家特定银行(也就是该家特定企业)的账户。与此相对，用户不需要具有给定银行的账户来使用该家银行的ATM。为此，ATM网络104包括耦合在所述银行的核心系统100与一家或多家其他银行的(多个)核心系统之间的ATM交易获取器120，并且被设置成实施相关的交互以便从一家企业的ATM发放现金，并且从另一家企业的账户扣除。另一方面，ATM无法到达正在操作该ATM的顾客的账户之外的其他账户(通常仅有与为该ATM给出的卡相关联的账户)，柜员辅助机器将允许某些操作员(比如柜员或主管)访问其他用户的许多不同的账户(多位顾客的账户)。此外，支行银行业务网络102和ATM网络104在不同的协议上操作。

现在将关于图3和5来讨论根据本发明的实施例的安全性系统，并且作为对照将参照图4。正如前面所提到的那样，本发明提供对于多个不同的访问空间的访问，每一个访问空间包括不同的对应功能或功能组合。举例来说，一个或多个层级的功能可以包括以下各项当中的一项或多项。

所述功能可以包括被允许实施交易，比如从现金应对机器202发放现金，在现金应对机器202中存入现金，或者在账户之间通过电子方式移动金钱。如果用户是顾客，则所述功能可以包括被允许从他或她自身的账户发放现金，向他或她自身的账户中存入现金，或者从他或她自身的账户向另一个账户转移金钱。如果用户是银行职员的成员(比如柜员)，则所述功能可以包括被允许从顾客的账户发放现金，向顾客的账户中存入现金，或者在顾客的账户之间转移金钱。举例来说，所述账户可以是活期账户(current account)或储蓄账户(savings account)。所述功能还可以包括预订现金以供后来发放。

所述功能可以包括被允许(至少部分地)实施其他种类的单据应对交易，比如处理支票或者结清账单或收据。所述功能可以包括实施与例如支票、账单和收据之类的单据有关的其他操作的能力。举例来说，所述功能可以包括在处理支票的一个或多个阶段进行人工干预的能力，以便例如解决错误或者通常检查单据应对机器的图像辨识的结果，从而例如检查自动辨识的签名、接收方或金额是否正确。

所述功能可以涉及其他种类的交易或者例如贷款或抵押之类的所提议的交易，例如请求针对贷款或抵押的许可。所述功能可以包括顾客信用调查。另一个实例将是与例如股票或股份之类的投资有关的功能，例如买入或卖出股份。另一个实例将是与贵重物品有关的功能，比如通过银行保管的贵金属、宝石或珠宝。

所述功能可以包括访问关于用户的信息，比如地址、电话号码或者照片记录。所述功能可以包括访问用户的银行记录，例如查看活期账户、储蓄账户、贷款、抵押、投资账户或者在银行存入的贵重物品的对账单。如果用户是顾客，则所述功能可以仅包括访问用户自身的信息或银行记录。如果用户是银行职员的成员，则所述功能可以包括访问一个或多个顾客的信息或银行记录。

如果所述功能包括实施例如前面所讨论的任何种类的交易的能力，则可以对于交易的金额设定阈值，并且不同的功能空间可以包括应对不同的交易价值或者交易的不同变型的能力。举例来说，一个访问空间可以允许某一功能或功能组合，其仅允许最高达到阈值金额的交易，而另一个访问空间则可以允许访问某一功能或功能组合，其允许高于所述阈值额交易。举例来说，所述阈值可以与以下各项有关：能够提取、存入或者在账户之间转移的现金的金额；可能许可的贷款或抵押的金额；可以应对的股票或股份的数量；或者所能应对的物品的价值。

前面是与前方办公室(front-office)操作有关的功能的实例，也就是涉及在外部将资金移入或移出银行或者涉及顾客的那些操作。替换地或附加地，所述功能可以包括与银行内的内部操作有关的后方办公室操作。

举例来说，所述功能可以包括访问库存信息，比如关于当前在现金应对机器202中保有多少现金的信息。所述功能可以包括库存管理，比如在银行业务系统内在内部移动现金的能力(现金运送操作)，这例如是通过将现金从一台或多台现金应对机器202的安全现金箱移动到一台或多台其他现金应对机器202的现金箱。可以对于所能移动的金额设定阈值，并且不同的功能空间可以包括移动不同金额的现金的能力。

此外，所述功能可以包括访问诊断或维护信息，比如关于现金应对机器202的故障的信息或者远程诊断此类故障的能力；实施远程恢复操作的能力；或者更新例如现金应对机器202、工作站204或者服务器110或114的终端或系统的软件的能力。所述功能可以包括改变例如现金应对机器202、工作站204或者服务器110或114的系统的终端的操作模式的能力。

所述功能的某些方面可能与前方办公室和后方办公室操作都相关，例如检测伪钞。

为所述系统的一个或多个终端提供安全性模块210。安全性模块210优选地被实施成存储在所述终端的存储介质上的代码的一部分，或者被设置成在该终端的处理器上执行。在某些实施例中，安全性模块210被实施在其中一个或多个柜员工作站204上、被实施在其中一个或多个另外的终端112或116上以及/或者被实施在其中一台或多台柜员辅助机器118c上。安全性模块210被配置成准许访问包括不同功能组合的所述系统的不同访问空间。

举例来说，所述不同的访问空间可以包括适合于顾客的访问空间，适合于基本柜员的访问空间，适合于支行主管的访问空间，适合于支行经理的访问空间，适合于地区经理的访问空间，适合于总部的访问空间，以及/或者适合于实施诊断或维护的技术人员的访问空间。应当提到的是，这里的访问空间不是地理或几何区域或区段，而是潜在地可用于系统内的用户的不同操作的划分。每一个空间可以提供潜在功能的任何前述示例性方面的某种组合。举例来说，顾客只能访问他或她自身的(多个)账户，柜员可以访问顾客的账户但是仅用于实施特定种类或者特定阈值数值内的交易，并且主管可以访问更高价值的交易和/或更高级的交易种类。另一方面，例如技术人员之类的另一个用户可以访问顾客、柜员和主管所无法访问的某些其他种类的功能，比如诊断或其他维护功能，但是不能访问其他功能，比如实施实际顾客交易的能力。替换地或附加地，对于给定种类的用户可以有不同层级或种类的功能，例如第一柜员层级或第一顾客层级只能提供对于信息的访问，而第二柜员层级或顾客层级则可以提供对于交易的访问。

此外，每一个终端204、118c、112或116包括具有一种或多种类型的变换器的接口，比如键盘、触摸屏、触摸板、带有触笔的触摸板、鼠标、指纹板、具有图像辨识的网络摄像头、具有语音辨识的麦克风、无线收发器和/或读卡器。因此，所述接口能够接收不同类型的输入，其中可以包括不同类型的个人认证元素。

举例来说，不同可能类型的个人认证元素可以包括用户的邮政地址、用户的口令、用户的姓名(例如名字或假名)、来自银行卡的信息以及/或者PIN号码。不同类型的个人认证元素可以包括生物测定信息，比如指纹、虹膜扫描和/或面部辨识。

不同类型的个人认证元素可以包括位置信息，比如用户的当前地址位置(例如他或她的移动终端的GPS定位)，或者(例如RF卡中的)用户的RF标签与终端的邻近性，以及/或者检测到用户的移动用户终端当前所连接到的本地网络。在后面的实例中，这可以是检测用户当前是否处在他或她正尝试在其中进行交易的银行的私有本地网络108上并且因此处在附近；或者相反地是监测他或她是否正处在不在附近的不同的网络上。所讨论的移动终端可以是用户当前正在使用来访问(或者尝试访问)所讨论的访问空间的移动终端132，或者用户恰好带在他或她身边的另一个登记设备。

在另外的实例中，不同类型的个人认证元素可以包括检测用户的习性或行为，比如语音辨识(例如辨识用户的语音中的特性质量)，笔迹辨识，手写签名的辨识，当用户用触笔书写或绘画时检测特性压力式样，当用户在键盘上输入时检测特性输入速度或式样，以及/或者检测特性鼠标、触摸板、触笔或轨迹球移动或压力式样。

安全性模块210被配置成提供访问空间与个人认证元素的相应组合之间的映射，其中每个组合解锁不同的对应的其中一个空间。因此，其根据向系统给出了多种不同类型的个人认证元素当中的哪些类型而准许访问给定的访问空间，并且所述访问可以取决于所给出的元素的数目(以及对于这些元素的验证)。因此，取决于所使用的锁钥集合，通过相同的门户解锁不同的隔室。

本发明的实施例尝试避免例如在图4中示出的情况，其中用户必须经过几个相继的、嵌套的认证层次或阶段，并且/或者各层的性质是严格分级的。

在图4中，在步骤S10处，用户必须利用第一用户ID(例如用户名)和认证信息(口令)进行登录。在步骤S20处，用户随后被准许访问系统的第一层级的功能(假设第一认证信息被成功地验证)。为了获得不同层级的访问，如在步骤S30处所示，用户必须在不同的场合利用不同的用户ID(例如不同的用户名)和相关联的口令进行登录。如在步骤S40处所示，用户随后被准许访问第二层级。此外，第一层级可以完全附属于第二层级，这是在于第二层级包含第一层级的所有功能。

即使这被带到一个用户ID下，避免用户必须经过多个“门户”或进入点以到达第二层级或另外的层级仍将是优选的。也就是说为了避免以下情况：用户必须实施仅基于第一认证信息的第一登录阶段，随后被准许访问第一层级，并且只有如此才可以到达第二登录阶段，而为了到达第二层级，用户必须基于第二认证信息单独经历所述第二登录阶段。替换地或附加地，希望避免被严格约束到分级层次的概念的情况，即较低层级被完全嵌套在更高或更优的第二层内。

图5示出了根据这里所公开的实施例可以由安全性模块210实施的一种改进的方法。

在步骤T10处，针对用户生成认证请求。举例来说，可以在单一进入点处为用户给出单一登录阶段，例如单一终端204、118c、112或116处的单一登录屏幕或提示。在该单一登录阶段处，用户输入对于所有潜在的访问层级标识该用户的单一用户ID(例如单一用户名)。用户只需要提供该用户ID一次，而不管他或她正在访问的层级如何。此外，在该单一登录阶段(例如单一登录屏幕或提示)处，用户通过终端接口的相关部分输入一项或多项个人认证元素，比如口令、地址、指纹、虹膜扫描或者手写签名。替换地或附加地，可以在登录阶段处自动从用户取回其中一项或多项个人认证元素，例如面部辨识、对于用户行为的检测或者对于用户的移动终端的位置或邻近性的检测。终端204、118c、112或116制定包括用户ID以及关于相关联的一项或多项个人认证元素的信息的登录请求。

或者，可以按照自动化(或者至少部分地自动化)的方式生成认证请求。举例来说，如果用户将他或她自己置于特定位置处，比如柜员的办公桌或者柜员辅助机器前方，则相关的终端可以自动收集一项或多项认证元素，比如用于图像辨识的用户的图像，以及/或者用于语音辨识的用户的语音样本。可以使用发起授权请求的其他方式，不管是隐含地还是明确地，不管是由用户他或她自身还是代表用户发起。可能在登录方面描述了某些实施例，但是应当认识到，这不一定受限于传统的登录，比如其中通过登录屏幕来提示用户(尽管这是一种选项)。

在步骤T20处，安全性模块210分析登录请求，以便确定哪些潜在类型的个人认证元素一同存在于对应于给定用户的相同登录请求中。在某些实施例中，用户可以明确地请求访问特定访问空间。在这种情况下，由安全性模块210作出的确定可以是提示用户关于针对该空间所需的认证元素，以及/或者检查存在所需类型的元素。或者，所讨论的访问空间可以被隐含在所存在的一种或多种类型的认证中。举例来说，如果用户仅输入口令，则安全性模块210推断出用户仅仅在请求访问第一空间，但是如果用户还给出了另一种形式的认证(比如指纹)，则安全性模块210推断出用户希望访问第二空间。或者如果终端只能自动获得面部辨识，则其可以只提供对于第一空间的访问，但是如果其可以自动收集面部辨识以及对于用户语音的辨识，则其可以自动打开第二空间，或者可以把不同的非嵌套空间与两种不同类型的辨识相关联。

在步骤T30处，安全性模块210验证对应于所请求的访问空间的个人认证元素是否通过用于认证所讨论的用户的测试，例如登录请求的口令和/或指纹是否匹配对于该用户所预期的口令和/或指纹。在步骤T40处，安全性模块210准许用户访问在步骤T20处确定的访问空间的功能，前提是对应于该层级的个人认证元素由步骤T30成功地验证。

在某些实施例中，安全性模块210可以被配置成映射访问层级(步骤T20)以及/或者在终端204、118c、112或116本身处实施验证(步骤T30)。或者，安全性模块210可以被配置成实施所述映射(步骤T20)和/或验证(T30)的其中之一或全部二者，这是通过涉及另一个网络单元(比如其中一台服务器110、114或核心系统100)并且作为响应接收回决定而实现的。不管怎样，所述映射的实现方式可以采取多种形式，例如在图1中示意性地示出的其中一个或多个网络单元100、110、112、114、116、118、132、202和/或204的一个或多个存储设备中实施的查找表、算法或者任何其他软或硬连线的关系。

安全性模块210可以适于在不同的场合为相同的用户提供对于系统的不同功能空间的访问。也就是说，如果用户利用不同类型的个人认证元素当中的第一或多种登录，则仅为用户提供对于其中第一个所述空间的访问并且直接去到第一空间；但是如果相同的用户利用潜在的各种类型的个人认证元素当中的第二或多种登录，则仅为用户提供对于其中第二个所述空间的访问并且直接去到该空间(而无需经历登录到第一层级的阶段，并且随后从第一层级单独登录到第二层级，或者反之亦然)。因此，在一种场合下，用户可以在单一登录步骤中直接去到第一访问空间，并且在另一种场合下，用户可以在单一登录步骤中去到不同的第二访问空间。在某些实施例中，用户可以基于对应的一项或多项第三或另外的认证元素直接去到第三或另外的访问空间。

不同的空间由系统的不同功能组合构成。在某些实施例中，所述组合不完全彼此互斥，也就是说一个空间可以包括另一个空间的某些功能。此外，在某些实施例中，所述空间也不是完全嵌套的，也就是说其中一个空间可以包括未被包括在另一个空间中的功能，同时反之亦然，另一个空间可以包括不处在第一空间中的功能。举例来说，第二空间可以包括第一空间的大多数功能加上一些附加的并且常常是更加安全的功能，比如更高价值或者更高级种类的交易，但是仍然可能不包括第一空间的其中一项或一些功能。因此，在某些实施例中，所述空间可以提供两种方法之间的折中，其可以被称作“混合”分级结构或部分嵌套而不是严格分级的，但是同时也不完全互斥或者完全没有分级结构的性质。

此外，在某些实施例中，针对其中一个或多个空间的访问可以是基于除了对应于该组合中的所有元素的“与”类型条件之外的其他组合，比如“非”类型条件(在针对一项或多项认证元素的测试为假的条件下通过)或者“或”类型条件(在针对多项认证元素的至少其中一项或一些测试为真的条件下通过)。举例来说，在以下条件下可以准许用户访问特定空间：针对认证元素A和B的测试为真，但是针对认证元素C的测试不为真。在另一个实例中，在以下条件下可以准许用户访问特定空间：认证元素B或C当中的任一项存在并且得到验证，而A对于获得访问将是不相关的；或者可以在以下条件下准许访问特定空间：元素A、B和C当中的任意两项存在并且得到验证。在这样的情况下，访问空间与一项或多项对应的认证元素之间的映射是通过除了简单的与类型映射关系(其中所述空间映射到“所有元素都存在”)之外的某种其他逻辑映射函数。

应当认识到，本发明的实施例不排除还允许用户访问未受保护的空间的终端和/或银行业务系统，其中该未受保护的空间不需要用户提供认证元素来实施所请求的交易。这样的交易的一个实例是存入支票和相关联的缴款单(paying-in slip)，其中所述缴款单提供对于识别应当把支票的金额存入其中的账户所必要的所有细节。还应当认识到，本发明的终端和/或银行业务系统可以附加地允许用户访问未经验证的访问空间，以便允许用户请求不需要验证所述一项或多项个人认证元素的某种类型的交易。

在本发明的一种示例性应用中，各个访问空间对应于不同的用户角色。举例来说，柜员可以被给出对于交易的访问，但是不一定需要访问诊断或其他维护功能，而技术人员则可以被提供这些功能，但是不具有实施实际顾客交易的能力。作为另一个实例，柜员可以被给出对于现金发放功能的访问但是只能访问有限的记录，而处在远程办公室(例如总部)处的管理员或经理则可以访问更多记录但是不一定需要为其给出发放现金的能力。在另一个实例中，可以对于柜员和现金运送操作员应用不同的阈值数值，从而例如把柜员可以发放给顾客的金额设定到与现金运送操作员可以移除以便交付到不同的机器的金额不同的数值。可能适当的作法是为具有不同责任的职员当中的不同成员给出对于系统被认证的不同方式。

在另一个实例中，顾客层级只能提供对于顾客自身账户的访问，但是可以仅基于用户名加上口令和/或PIN而被访问。柜员层级可以提供对于顾客账户的访问，但是仅用于实施有限种类或价值的交易。为了验证用户访问这一责任层级的权利，柜员可以要求用户名、口令以及例如指纹之类的某种形式的生物测定信息。此外，主管支行经理层级可以提供对于更高价值和/或更高级种类的交易的访问，以及/或者对应于支行的库存信息或者库存管理功能的访问。为了允许这一更高责任层级，于是可以要求两种形式的生物测定信息(例如指纹和面部辨识)。此外，地区经理层级可以提供对应于多个支行的库存信息或库存管理功能的访问，并且/或者技术人员层级可以提供对于诊断或者其他维护相关的信息功能的访问。这样的层级可以要求严格的或者不同的认证元素组合。

替换地或附加地，可以对于给定的用户角色提供不同的访问空间。举例来说，仅在付钱到另一个用户的账户中的顾客可能只需要基本信息来认证他或她自己，比如姓名和/或地址；并且/或者取决于是用现金还是支票来付款可能需要不同的认证信息；但是相同的顾客可能必须给出卡并且输入PIN以提取现金。在另一个实例中，顾客或柜员可以被提供第一层级，其仅基于提供用户名加上地址或账号而给出对于基本信息的访问，并且可以被提供第二层级，其在提供姓加上某种更加安全的形式的认证(比如口令和/或指纹)的条件下给出对于交易的访问。

应当认识到，前面的实施例仅仅是通过举例的方式来描述的。根据这里给出的本公开内容，本领域技术人员可以实施其他的变型。本发明的范围不受所描述的实施例的限制，而是仅由所附权利要求书限制。

Claims (20)

1.一种使用在银行业务系统中的终端，所述终端包括：

用于接收多种类型的个人认证元素的接口，其中所述多种类型的个人认证元素当中的一种或多种与针对用户的认证请求相关联；以及

适于提供对于所述系统的多个不同的访问空间的访问的安全性模块，每一个访问空间包括所述系统的不同的对应功能或者功能组合；

其中，所述安全性模块被配置成对于每一个所述访问空间提供该访问空间与所述多种类型的个人认证元素当中的对应的一种或多种之间的映射，以用于访问该访问空间；以及

基于所述映射，在被映射到与针对用户的认证请求相关联的一种或多种类型的个人认证元素的条件下，并且在验证了对应于用户的所述一种或多种类型的个人认证元素的条件下，准许用户访问其中一个访问空间；

其中，所述接口被配置成基于确定与认证请求相关联地接收到所述一种或多种类型的个人认证元素当中的哪一种，在没有明确用户选择的情况下推断出所述其中一个访问空间；并且

其中，所述安全性模块被配置成基于由用户在单一登录阶段中提交认证请求而提供对于其中任一个所述访问空间的访问。

2.根据权利要求1所述的终端，其中，所述认证请求包括对应于用户的单一用户标识符，并且所述安全性模块被配置成基于用户给出一次所述单一用户标识符提供对于其中任一个所述访问空间的访问。

3.根据权利要求1或2所述的终端，其中，所述安全性模块被配置成基于由用户通过单一访问点发起认证请求而提供对于其中任一个所述访问空间的访问。

4.根据权利要求1或2所述的终端，其中，所述安全性模块适于为相同的用户提供所述系统的不同访问空间；从而在用户使得认证请求与所述多种类型的个人认证元素当中的第一一种或多种相关联时，仅准许用户访问所述访问空间当中的第一个，并且在相同的用户使得认证请求与所述多种类型的个人认证元素当中的第二一种或多种相关联时，仅为用户提供对于所述访问空间当中的第二个的访问，并且直接访问第二访问空间而无需首先准许对于第一访问空间的访问。

5.根据权利要求1或2所述的终端，其中，所述访问空间当中的第一个包括未被包括在所述访问空间当中的第二个中的至少其中一项所述功能，并且第二访问空间包括未被包括在第一访问空间中的至少其中一项所述功能。

6.根据权利要求1或2所述的终端，其中，至少一个访问空间被映射到所述多种类型的个人认证元素当中的多种类型的对应组合；并且所述安全性模块被配置成在认证请求与个人认证元素的对应类型组合相关联的条件下准许访问。

7.根据权利要求1或2所述的终端，其中，至少一些或者每一个访问空间被映射到所述多种类型的个人认证元素当中的多种类型的对应组合；并且所述安全性模块被配置成在认证请求与个人认证元素的对应类型组合相关联的条件下准许访问。

8.根据权利要求1或2所述的终端，其中，所述系统包括用于应对现金和/或物理金融单据的一台或多台机器，并且至少其中一个所述访问空间的功能包括访问所述一台或多台机器当中的至少一台的现金和/或物理金融单据应对功能。

9.根据权利要求8所述的终端，其中，所述终端包括用于连接到其中一台所述机器的柜员工作站，或者包括其中一台所述机器的柜员辅助机器。

10.根据权利要求8所述的终端，其中，所述系统包括网络，所述网络包括多台网络可寻址的所述机器，并且所述终端被设置成通过网络连接到其中一台或多台机器。

11.根据权利要求9所述的终端，其中，所述系统包括网络，所述网络包括多台网络可寻址的所述机器，并且所述终端被设置成通过网络连接到其中一台或多台机器。

12.根据权利要求10所述的终端，其中，所述网络是支行业务网络。

13.根据权利要求8所述的终端，其中，所述机器是柜员现金发放机、柜员现金接受机或者柜员现金循环机。

14.根据权利要求9-11中任一所述的终端，其中，所述机器是柜员现金发放机、柜员现金接受机或者柜员现金循环机。

15.根据权利要求1或2所述的终端，其中，所述终端是移动用户终端。

16.根据权利要求1或2所述的终端，其中，至少其中一个所述访问空间的一项或多项功能包括以下各项当中的一项或多项：

实施交易的能力；

实施高于阈值金额的交易的能力；

发放现金；

存入现金；

预订现金；

在银行业务系统内进行内部现金移动；

库存信息；

库存管理；

访问关于用户的信息；

访问用户的银行记录；

访问关于顾客的信息；

访问顾客的银行记录；

访问诊断信息；

维护功能；

更新终端或系统的软件的能力；

改变系统的终端的操作模式的能力；

处理支票；

与处理支票有关的功能；

处理账单或收据；

与处理账单或收据有关的功能；

与贷款有关的功能；

与抵押有关的功能；

实施顾客信用调查的能力；

与投资有关的功能；

与贵重物品有关的功能；

检测伪钞。

17.根据权利要求1或2所述的终端，其中，所述访问空间包括以下各项当中的一项或多项：

顾客访问空间；

柜员访问空间；

支行访问空间；

支行经理访问空间；

地区经理访问空间；

总部访问空间；以及/或者

维护访问空间。

18.根据权利要求1或2所述的终端，其中，所述个人认证元素包括以下各项当中的一项或多项：

用户的地址；

口令；

用户的姓名；

来自银行卡的信息；

PIN号码；

生物测定信息；

指纹；

虹膜扫描；

面部辨识；

用户的当前地理位置；

检测到用户的移动用户装备当前所连接到的本地网络；

用户的RF标签的邻近性；

检测到用户的习性或行为；

语音辨识；

笔迹辨识；

手写签名的辨识；

检测到触笔的特性压力式样；

检测到特性键入速度或式样；以及/或者

检测到特性鼠标、触摸板、触笔或轨迹球移动或轨迹球压力式样。

19.一种包括代码的计算机可读介质，所述代码被配置成在被执行时实施以下操作：

接收认证请求，每一条认证请求与多种类型的个人认证元素当中的至少一种相关联，并且至少其中一些认证请求与所述多种类型的个人认证元素当中的多种类型相关联；

提供对于零售银行业务系统的多个不同访问空间的访问，每一个访问空间包括所述系统的不同的对应功能或者功能组合；

对于每一个所述访问空间，提供该访问空间与所述多种类型的个人认证元素当中的对应的一种或多种之间的映射，以用于访问该访问空间；

基于所述映射，在被映射到与针对用户的其中一条认证请求相关联的其中一种或多种类型的个人认证元素的条件下，并且在验证了对应于用户的所述一种或多种类型的个人认证元素的条件下，准许用户访问其中一个访问空间；

其中，基于确定与认证请求相关联地接收到所述一种或多种类型的个人认证元素当中的哪一种，在没有明确用户选择的情况下推断出所述其中一个访问空间；并且

其中，基于由用户在单一登录阶段中提交认证请求而提供对于其中任一个所述访问空间的访问。

20.一种银行业务系统，包括：

用于应对现金和/或物理金融单据的多台机器；

用于接收多种类型的个人认证元素的接口，其中所述多种类型的个人认证元素当中的一种或多种与针对用户的认证请求相关联；以及

适于提供对于所述系统的多个不同的访问空间的访问的安全性模块，每一个访问空间包括所述系统的不同的对应功能或者功能组合；

其中，至少其中一个所述访问空间包括对于所述多台机器当中的至少一台的现金和/或物理金融单据应对功能的访问；

其中，所述安全性模块被配置成对于每一个所述访问空间提供该访问空间与所述多种类型的个人认证元素当中的对应的一种或多种之间的映射，以用于访问该访问空间；

其中，基于所述映射，所述安全性模块被配置成在被映射到与针对用户的认证请求相关联的一种或多种类型的个人认证元素的条件下，并且在验证了对应于用户的所述一种或多种类型的个人认证元素的条件下，准许用户访问其中一个访问空间；并且

其中，基于确定与认证请求相关联地接收到所述一种或多种类型的个人认证元素当中的哪一种，在没有明确用户选择的情况下推断出所述其中一个访问空间；并且

其中，所述安全性模块被配置成基于由用户在单一登录阶段中提交认证请求而提供对于其中任一个所述访问空间的访问。