CN107851148A - 编码方法和系统 - Google Patents

Abstract

本发明提供了用于将用户输入安全地输入到电子设备中的解决方案。本发明包括用于安全输入用户标识符例如密码或其他代码的方法和装置。键盘的图像叠加在与电子设备相关联的屏幕的显示区域内的乱序的可操作的键盘上。键盘图像描绘了非乱序的键盘，图像中描绘的按键处于期望的或标准化的格式或顺序，例如QWERTY键盘布置。图像中描绘的按键和位于可操作的键盘中的按键的位置的差异提供了映射，其使能生成标识符的编码形式，使得未编码的版本从不存储在设备的存储器中。优选地，图像描绘了对于正在其上显示的设备是标准的键盘。该设备可以是移动电话、平板电脑、笔记本电脑、个人电脑、支付终端或任何其他具有屏幕的电子计算设备。通过过程调用可以在运行时生成下面的键盘，该下面的键盘至少部分地从用户视觉被图像遮挡。优选地，该过程对于设备是本机的，即库的一部分作为标准被提供给设备。

Description

编码方法和系统

本发明一般涉及数据编码和身份验证领域。本发明适用于但不限于在需要用户输入用于在完成操作之前验证其身份的标识符或代码(例如，密码、用户名等)的情况下使用。操作可能是任何类型的操作。本发明还适用于但不限于在诸如智能电话或平板电脑之类的移动设备上用户的验证。本发明还可以用于编码可以使用虚拟键盘输入到电子设备中的任何输入。因此，本发明可用于但不限于在身份验证应用中使用。

电子设备的安全性是重要的问题。例如，个人或商业敏感数据通常以某种方式编码，以阻止未经授权的人阅读。用户输入需要编码的一种常见情况是在身份验证过程中。

当个人的标识符需要在被允许执行某种行为或获得对某些受控或受管理的资源如设备、建筑物、计算机系统、金融账户、服务等的访问权限之前被验证时，身份验证技术被使用。一种常见的身份验证的方法是记录一些包含代码或符号组合的预先选择的标识符，然后将其以保密状态维护在安全的位置，并且仅可用于授权方。本文描述的本发明不旨在限制用户标识符的类型、长度或格式。

在标识符被选择并被分配给授权的个人(或个人的组)之后，每当用户请求许可来执行受控行为或获得对资源或服务的访问权限时，他都被要求提供正确的标识符。将用户输入的标识符与预先存储的版本进行比较。如果输入与存储的标识符相匹配，则认为用户的身份已经被验证并且被授予访问权限。可选地，如果输入与预先存储的版本不匹配，则访问被拒绝。

PIN的使用已经司空见惯，特别是在银行和金融应用方面。客户已经习惯并相信使用基于PIN的验证。金融机构也喜欢基于PIN的身份验证，因为它提供了比例如签名更安全的验证形式。此外，当交易需要经由PIN进行身份验证时，由该交易引起的任何欺诈的责任被认为在提供PIN的用户的责任之内。这与“卡不存在”交易相反，例如在在线交易中，责任在于发行金融机构。

另一种身份验证方法涉及使用设备来采集与个体的独特身体或行为属性(例如虹膜图案、手掌几何形状或指纹)有关的生物特征数据。生物特征身份验证的一个优点是用户不需要记住密码或代码，并且所需的信息总是由个人随身携带，因此不需要携带额外的硬件，例如令牌。因此，生物特征身份验证提供了一种方便和简单、对最终用户有吸引力的身份验证解决方案。

但是，尽管生物特征身份验证具有一定的吸引力，但在诸如银行业等行业尚未得到广泛的应用。其中一个原因是，银行业的基础设施是通过使用4位数的PIN进行验证的。这包括支付终端、自动取款机、交换机以及收单行和发行行的装置，这些装置都需要以显著的成本进行替换或调整，以便从基于PIN的身份验证转移到生物特征身份验证。其他问题涉及可能从非安全来源获取的生物特征数据的安全性。例如，指纹可以从公共场所“提取(lifted)”，声音可以被记录下来。另外，虽然很容易更改存储的PIN或标识符，但个人更改如指纹、虹膜图案等生物特征数据是不可能的。

这些担心可以通过使用两重或三重身份验证来减少，其中在身份验证期间至少使用以下两个：

·你知道什么(例如PIN、密码或其他标识符)

·你是谁(如指纹、视网膜图案、脸部或声音模式)

·你有什么(如智能卡、安全令牌、移动设备)

因此，要求用户使用由用户拥有或操作的设备上的标识符和生物特征数据进行身份验证的系统将提供增强的安全性。

在移动技术方面，越来越多的人使用诸如智能手机和平板电脑等手持计算设备进行身份敏感操作，如银行业务。然而，这样的设备是非常不安全的，并且密码、PIN和其他有价值的身份验证数据可能被第三方破坏。因此，在提供即使在移动设备上使用时也是安全的身份验证解决方案存在重大挑战。

在WO 2014/013252中公开了一种这样的解决方案，其教导了从服务器向用户的设备(PC、移动电话、平板电脑等)发送乱序的键盘的图像的概念。在设备上生成可操作的功能小键盘，并且图像在与键盘相同的位置显示在屏幕上。图像叠加在小键盘上，使得小键盘从视图中隐藏，但在后台中仍然有效。下面的小键盘按键的位置不对应于图像中描绘的相同“按键”的位置。对用户而言，只有乱序的小键盘的图像是可见的，并且因此当用户触摸或点击图像的一部分以选择输入时，可操作的小键盘不同地解释该输入，并且将用户的输入的编码版本接收到在设备上的存储器中。因此，由于用户的真实标识符(例如，PIN)从未被输入到键盘缓冲器或设备上的其他地方，所以不能从其中欺骗性地获得。然后将编码的标识符传送到远程服务器，远程服务器知道小键盘图像中描绘的按键的顺序，并且因此可以解码用户的输入。实际上，在小键盘配置之间创建映射，并且该映射用于对标识符进行编码和解码。该解决方案提供了相对于其他身份验证技术的显著的优点，因为它不要求用户记住不同的标识符，不需要使用特殊的或附加的硬件，并且避免将用户的真实标识符输入到不安全的设备中。

然而，小键盘通常被设计并用于诸如建筑物或电子设备的访问控制之类的应用。因此，小键盘不具备由键盘提供的全部按键和功能。例如，虽然键盘可以包含空格键、标点符号键、返回键、退格键/删除键、修改键(例如shift)、货币键等等时，但是小键盘可以不包括这些键。结果，虽然小键盘适合用于输入诸如PIN之类的短代码或仅数字的代码，但它不适用于包括诸如用户名、密码、图形标识符等非数字符号的标识符。由于许多身份验证系统涉及使用至少部分非数字标识符，所以其使用受到限制。

此外，小键盘不能用于将通用输入输入到电子设备中，诸如字母、叙述、电子邮件和其他通信等的键入，因为它不包括必要的按键范围。因此，需要一种解决方案来实现对任何类型的输入进行编码/解码，而不仅仅是用于验证的密码、PIN等。

现在设计改进的解决方案。本发明由所附的权利要求限定。

本发明可以提供一种身份验证方法。该方法可以使得能够将用户的输入编码到电子设备中。该方法可包括以下步骤：

生成可操作的键盘并且在与所述电子设备相关联的屏幕的显示区域内提供所述键盘；

在所述显示区域的至少一部分内呈现键盘的图像，使得用户能够经由所述图像操作所述键盘的至少一个按键；

其中：

所述可操作的键盘的按键和/或所述图像中描绘的按键被乱序以使得能够生成用户输入的编码版本。

因此，键盘图像、可操作的键盘或两者中的按键的配置(布局)可以是乱序的。这些配置可以相对于彼此或者相对于一些参考配置是乱序的。重要的是，这些配置相对于彼此是不同的，使得键盘中的至少一个或更多个按键的位置和图像不彼此对应。这在布局之间生成映射。这个映射使得能够进行用户输入的编码。

通过以这种方式使用键盘和图像而不是小键盘，本发明提供了一种解决方案，其可以用于安全地输入和存储用户的数据，而不仅仅是诸如PIN和密码之类的验证码。任何类型的输入可以使用本发明进行编码/解码。例如，可以使用本发明输入包括字母数字字符和其他符号的电子邮件、字母、叙述等。与使用小键盘的现有技术相比，这提供了更通用的技术解决方案。

优选地，通过调用子例程在运行时生成可操作的键盘。子例程可以在与设备相关的标准库内提供。它可以作为操作系统或系统库的一部分提供。

优选地，键盘是虚拟键盘。虚拟键盘可以是允许用户输入字符和符号作为电子设备的输入的软件组件。虚拟键盘可以用不同的输入设备来操作，这些输入设备可以包括触摸屏或者物理计算机键盘和鼠标。由可操作的键盘的任何按键的按下产生的字符代码可以由键盘驱动器软件来确定。按键的按下可以生成扫描码，这可以解释为字母数字字符或控制功能。

优选地，键盘包括返回键、空格键、至少一个标点符号键、删除和/或退格键、被设置为修改另一个按键的常规动作的至少一个修改键、至少一个光标或导航键。或者，键盘可以包括这些按键的组合。可操作的键盘和/或键盘图像可以以QWERTY或QWERTZ、AZERTY格式提供。

该图像可以描绘作为与设备相关联的默认键盘的键盘。图像可以在设备上生成。可选地，它可以由设备从诸如服务器的远程计算资源接收。

可操作的键盘可以使用利用随机或伪随机数或与用户有关的生物特征数据导出的键盘配置(布局)来生成。可操作的键盘中的可操作的按键的顺序和/或图像中描绘的按键的顺序可至少部分地使用从用户导出或与用户关联的生物特征数据来确定。生物特征数据可以包括或者可以被处理以提供可以用于指定按键的顺序的值的一个或更多个串、数组或序列。

可以生成多个可操作的键盘。多个可操作的键盘中的至少一个键盘可以是乱序的键盘。另外或替代地，可以生成多个键盘图像。多个图像中的至少一个图像可以是非乱序键盘的图像。

该方法可以包括将用户的输入的编码版本传输到远程计算资源的步骤。它可以包括解码用户输入的步骤。它可以使用图像和键盘之间的映射来解码用户输入的编码版本。

电子设备可以是包括处理器、输入工具和计算能力的任何设备。例如，它可以是移动电话、平板电脑、支付终端、便携式计算设备或个人计算机。

本发明还提供了一种用于将用户的输入编码到电子设备中的对应系统，包括：

电子设备；和

与所述电子设备相关联的屏幕；

其中，所述电子设备被布置成：

生成可操作的键盘并且在所述屏幕的显示区域内提供所述键盘；以及

在所述显示区域的至少一部分内呈现键盘的图像，使得用户能够经由所述图像操作所述键盘的至少一个按键；

其中：

所述可操作的键盘的按键和/或所述图像中描绘的按键被乱序，以使用户的输入的编码版本能够被生成。

该系统可以被布置为实现本文描述的方法的任何实施方式。关于该方法描述的任何特征也可以应用于本发明的系统，反之亦然。

WO2014/013252公开了一种布置，其中从远程服务器向电子设备发送多个乱序的小键盘配置，以用于生成多个乱序的、可操作的小键盘。此外，WO2014/013252公开了叠加在可操作的小键盘上的乱序的图像的使用。

相反，根据本发明，使用键盘代替小键盘。如上所述，这提供了更通用的布置，其能够为可以经由键盘输入的任何类型的输入提供编码解决方案。而且，根据本发明，键盘图像可以描绘非乱序或乱序的键盘。而且，可以生成一个或更多个图像并将其叠加在一个或更多个乱序或非乱序的键盘上。尽管多个图像中的一个或更多个图像可以描绘乱序的键盘，但是多个图像中的至少一个图像描绘了非乱序的键盘。叠加或显示在可操作的键盘上的非乱序图像的使用提供了这样的优点，即可以向用户呈现熟悉和期望的键盘布局。与使用乱序的键盘的图像相比，这导致用户输入错误更少。

可以生成一个或更多个键盘图像和/或一个或更多个可操作的键盘。然而，图像或键盘中的至少一个将描绘乱序的键盘配置，以便提供图像的“按键”与下面的可操作的键盘的功能键之间的映射。

在此上下文中的术语“非乱序”可以被解释为意味着图像中描绘的按键符合标准布局或配置。图像中描绘的“按键”的顺序可以如用户所期望的那样。相反，术语“乱序”可以被解释为意味着按键的布置是随机的，或者以某种方式偏离默认的、标准的或预期的布局。标准配置可以相对于设备是标准的，或者相对于社区或地区内接受的布局是标准的，例如QWERTY布局。术语“乱序”可以用来表示键盘配置中的按键相对于参考配置而被改变。参考配置可以由设备原生的或者作为标准提供的键盘配置来指定。

图像可以在用户的电子设备上生成，或者可以从诸如服务器之类的单独资源发送到设备并由设备接收。

一个或更多个键盘配置可以从远程计算资源例如服务器发送到设备。一个或更多个键盘配置可以用于生成可操作的键盘。键盘配置可以作为文件名发送到设备。

另外地或替代地，一个或更多个乱序的键盘配置可以在电子设备本身上或在电子设备处生成。然后可以使用至少一个乱序的键盘配置来生成至少一个可操作的键盘或图像。键盘图像和/或可操作的键盘也可以在电子设备上或在电子设备处生成。有利的是，工作负载从远程资源转移到本地设备。它还避免了将配置传送到设备的需要。

可操作的键盘可以通过在电子设备上执行诸如功能、方法或程序的子例程来生成。该子例程可以是库的部分。该库可以作为标准提供给电子设备。子例程的执行可能促使在电子设备上的易失性存储器中生成键盘对象。可操作的键盘可以在运行时生成。

短语“在…上或在…处”可以被解释为意味着乱序的键盘配置可由电子设备本身生成，或者通过与电子设备相关联(如通过与电子设备的物理或无线连接)的一个或更多个设备来生成。因此，乱序的键盘配置可在电子设备(客户端)本地生成，而不是从远程资源(服务器)接收。

短语“键盘配置”在本文可以用于指键盘中按键的顺序、布置或位置。它也可以用来指键盘图像中所描绘的“按键”的顺序/布局，尽管应当指出，实际上，图像实际上并不包括可操作的“按键”。

乱序的键盘配置可通过可被称为键盘生成组件(KGC)的软件组件在电子设备上或在电子设备处生成，并且可以布置成生成图像和/或可操作的键盘。附加地或可替代地，其可以被布置为生成用于指定乱序的可操作的键盘中的按键的布置的一个或更多个配置。它可以在从远程资源(即相对于电子设备的远程)下载之后安装在电子设备上。远程资源可能是服务器。它可能是基于云的资源。

软件组件可以被配置为接收输入。它可以被配置为使用该输入来提供用于生成键盘图像和/或可操作的键盘的一个或更多个配置。输入可以是伪随机数或真随机数，或者可以是与用户有关的生物特征数据。用户可以或可以不与电子设备相关联。

键盘图像可以是键盘的表示。它可能是静态图像或运动图像。它可能包含水印。与可操作的小键盘不同并且可区分的是，该图像类似于键盘，但不包括任何键盘功能。因此，虽然图像的各部分可以表示或描绘“按键”，并且可以如此地呈现给用户，但是图像本身或其部分不具有任何可操作的性质。因此，点击、触摸或以其他方式选择键盘图像的一部分本身可能不会导致输入被电子设备接收。在一个或更多个实施方式中，可以对图像中描绘的一个或更多个键进行颜色编码、加水印或以其他方式进行标记，以向用户提供视觉保证：图像已经由合法来源提供。

相比之下，可操作的键盘包括本领域技术人员将与功能键盘相关联的功能和特性。因此，可操作的键盘可以包括多于一个按键或按钮。键盘被配置为使得每个按键或按钮具有与其相关联的值(例如数字、字母或其他符号)。通常在创建键盘时(当在运行时调用子例程时)可执行对按键的值的这种分配，但是如果键盘是被重新配置的，则可以在创建之后改变关联。在任一事件中，在输入用户输入之前执行与按键的值的关联，使得当用户选择给定按键时，其预定义值被放入电子设备中的存储器的一部分中。存储器的该部分可能是键盘缓冲区。

本发明可以使得用户能够通过经由或通过图像操作可操作的键盘的一个或更多个按键来向电子设备提供输入。键盘图像可以叠加在可操作的小键盘上，其意思是可操作的键盘被提供在屏幕的显示区域内，但是图像至少部分地呈现在相同的显示区域内，使得遮掩或遮蔽从用户的角度看到的可操作的键盘。可操作的键盘可能在后台监听输入，即使用户看不到它或它的全部。优选地，键盘图像完全遮蔽或闭合可操作的键盘，使得用户看起来可以看到可操作的小键盘，但实际上只能看到键盘的图像。优选地，下面的键盘的可操作的按键上的符号不对应于键盘图像中所示的“按键”的位置。换句话说，可操作的键盘的配置可能与图像中描绘的键盘的配置不匹配或不相同。因此，当用户选择在键盘图像中看起来是按键时，活动的并且监听在显示区域内的输入的可操作的键盘可以使得不同的符号被输入到设备的存储器中。以这种方式，用户的真实(即，意图的)输入可能永远不会被接收到设备的存储器的任何部分中。它可能永远不会被键盘缓冲区接收。标识符的编码版本由于用于生成键盘和图像的不同配置之间的映射而被创建。

这个特征提供了显著的优点，即用户的真实输入不能被获得未经授权访问电子设备的任何一方获得。它还将本发明与其中将诸如位置数据的数据从用户接收到存储器中然后转换成用户输入的编码版本的已知的解决方案区分开来。

在编码会话期间可以在电子设备上生成一个或多个可操作的键盘。另外或替代地，在会话期间可以生成一个或多个键盘图像。一个或更多个键盘可以从一个(乱序的)键盘配置生成。

多个可操作的键盘和/或键盘图像可以以串行、堆栈或队列或其他数据结构的形式布置或排序。

多个可操作的键盘中的一个可操作的键盘可被指定或选择为用于接收来自用户的输入的活动的键盘。活动可操作的键盘可以是设置在呈现给用户的图像“正下方”的键盘，使得当用户在屏幕上选择图像的一部分时，使活动可操作的键盘起作用。

优选地，在任何给定的时间点只有一个活动的键盘。多个键盘中的其余的可操作的键盘可以是休眠的或不活动的，直到被指定为活动键盘。因此，可以生成多个可操作的键盘并将其放置到数据结构中。数据结构可以迭代，使得被指定为活动的键盘的可操作的键盘随时间变化。可以在某段时间之后或者在诸如从用户接收到输入的事件之后改变开始生效。因此，在来自用户的输入之后，活动的可操作的键盘可被替换或交换为多个可操作的键盘中的另一可操作的键盘。一旦变为非活动状态，以前激活的键盘可能会从存储器中删除，或者被标记以便删除。因此，一旦使用特定的可操作的键盘接收到输入(击键)，就可以从电子设备中删除该键盘。

可选地，不是循环通过多个预先产生的可操作的键盘，而是在需要时为每个输入生成新的可操作的键盘。每个新生成的可操作的键盘可以包括与其他键盘不同的按键配置。当预期或需要来自用户的输入时，可以生成新的可操作的键盘。例如，如果标识符是十位数字的长度，则可以使用第一键盘来接收第一输入，然后第二键盘被生成以用于接收第二输入等等，以此类推，用于所有十个输入。

此外，除了多个可操作的键盘之外或者替代多个可操作的键盘，可以提供可变(可改变)的键盘。可变的可操作的键盘的配置可以在诸如接收来自用户的输入的事件之后或之时或在某时间段之后被改变。因此，相同的可操作的键盘可以保持为活动键盘，但是按键的布置可以改变。乱序的键盘配置可以用于确定键盘的不同配置。

可以使用真随机数发生器或伪随机数发生器来生成乱序的键盘配置。可以将真或伪随机数(以下简称为“随机数”)作为输入馈送到被称为键盘生成组件(KGC)的软件组件中。因此，当使用随机数作为配置组件的输入时，每次本发明被同一用户使用时可以产生不同的键盘配置。

优选地，该随机数是在电子设备本地生成的。它可以在电子设备的处理器上生成或使用与设备进行本地通信(有线或无线)的设备来生成。因此，可以通过插入式设备或经由诸如蓝牙、NFC等无线协议连接到电子设备的设备来生成。

可以使用与用户有关的生物特征数据来生成乱序的键盘配置。生物特征数据可以以各种方式生成或采集。就上面的随机数生成而言，其优选由电子设备生成或在电子设备本地生成。生物特征数据可以包括与用户的身体或行为属性有关的任何形式的数据。它可以包括与指纹、虹膜图案等有关的数据。本发明不限于所使用的生物特征数据的类型或其被收集或处理的方式。各种生物特征数据采集和分析系统在本领域中是已知的并且被认为适用于本发明。

在该文件中，短语“生物特征数据”可以用于表示从用户直接采集的数据(即，诸如可以由传感器采集的“原始”生物特征数据)。它也可能意味着从生物特征采集过程中获得的生物特征数据。例如，可以是在生物特征身份验证过程之后获得或导出的处理数据。这可以是在生物特征身份验证过程或者涉及采集用户的生物特征数据的注册过程期间已经生成的加密密钥。

生物特征数据可被处理以提供对用户来说唯一的序列或标识符，如加密密钥。序列可以是值的串或字符串。该串可以被馈送到软件组件(KGC)中，以便指定由电子设备生成的或在电子设备处生成的一个或更多个可操作的键盘和/或图像中的按键的顺序。因此，当使用生物特征数据作为软件组件的输入时，每次本发明被同一用户使用时，可以产生相同的键盘配置。

因此，可以使用与用户有关的“原始”生物特征数据来生成键盘配置，即由采集设备从用户采集的生物特征。另外地或可选地，可以使用一些其他形式的数据作为键盘配置算法的输入。这个数据可以从用户的生物特征数据中导出或以某种方式与用户的生物特征数据相关。例如，它可能是加密密钥。加密密钥可以被用来生成在配置生成中使用的种子。密钥可以是与用户和/或与用户相关联的数字钱包相关联的私人加密密钥或公共加密密钥。钱包可以存储在电子设备上。加密密钥可能在生物特征身份验证过程期间或涉及采集用户的生物特征数据的注册过程期间已经被生成。

电子设备可以是移动和/或手持设备，例如智能手机、平板电脑、支付终端、支付卡阅读器或智能卡阅读器。另外或可选地，它可以是与用户关联和/或注册的个人计算设备。这将本发明区别于那些设计用于诸如ATM机的非个人计算设备的现有技术配置。术语“个人计算设备”在本文中用于指代可以与个人相关联、注册和/或由个人拥有的电子计算设备，诸如PC、笔记本电脑、移动电话、平板电脑。

优选地，在来自用户的一个或更多个输入之后或者在指定的时间段之后，可操作的键盘和/或键盘图像被从设备擦除。屏幕上的显示区域的位置和/或其尺寸可以由诸如过程或方法调用的子例程指定。显示区域可以包括多个子区域，每个子区域对应于键盘按键。该子区域可以被称为“热点”。因此，在屏幕上选择特定的热点可能导致活动的可操作的键盘的按键被激活，使得(编码的)输入被放置到存储器中。

根据本发明的方法可以包括以下步骤：将用户标识符的编码版本存储在与电子设备相关联的存储器中，所述标识符由可操作的键盘经由键盘图像接收，使得用户的标识符从未以未编码的形式被存储在设备上。它可以包括以下步骤：存储由可操作的键盘经由键盘图像输入到电子设备中的标识符的编码版本；以及将标识符的编码版本发送到远程计算资源。

乱序的键盘配置可以被传输到远程计算资源。多个乱序的键盘配置可以被发送到远程计算资源。远程计算资源(例如服务器)可以解码用户标识符的编码版本。它可以使用一个或更多个乱序的键盘配置来解码用户标识符的编码版本。

本发明可以被布置为针对用户标识符中的每个值生成一个键盘配置。另外，它可以生成用于生成键盘图像的键盘配置。

本发明还提供一种电子计算装置，其被布置和配置为实现上述方法。该装置可以包括屏幕和至少一个被布置和配置成执行上述方法的任何版本的软件组件。屏幕可以是触摸屏。

该装置可以包括或关联于以下项或与以下项通信：

真随机数发生器和/或伪随机数发生器；

用于采集或生成与用户有关的生物特征数据的工具；和/或

用于从智能卡读取数据的工具。智能卡可以是支付卡。它可以是独立于设备操作的任何类型的IC卡，即它可以不是SIM卡。

本发明还可以提供一种编码或验证方法，包括以下步骤：

使用与用户有关的生物特征数据来生成键盘配置；

将键盘的图像叠加在可操作的键盘上，以便生成所述键盘和所述图像之间的映射，其中，使用所述键盘配置来生成所述键盘或所述图像。

可以生成多个键盘图像，其中至少一个是非乱序键盘的图像。优选地，键盘配置是乱序的键盘配置。因此，由配置指定的键盘按键的顺序可以相对于默认或参考配置而改变。该方法可以包括以下步骤：

在电子设备上或在电子设备处采集、生成或接收生物特征数据；在电子设备上或在电子设备处生成可操作的键盘和/或键盘图像。

本发明的一个或更多个实施方式可提供双重身份验证解决方案，其中：

1)使用生物特征数据验证用户的身份；和

2)通过输入正确的、预先选择的标识符来验证用户执行交易的授权。

重要的是要注意，为了简洁和清楚起见，上面关于本发明的一个方面描述的一些特征可能没有相对于本发明的其他方面重复。然而，上面关于本发明的一个方面提到的任何特征可以同样适用于本发明的任何其它方面。关于该系统描述的特征也可以关于该方法来使用，反之亦然。

本发明的这些和其它方面从本文描述的实现中将明显并参考本文描述的实现进行说明。现在将仅作为例子并参考附图来描述本发明的实施方式，其中：

图1示出了说明根据本发明的方法的一个可能实施方式的流程图。这示出了本发明与用户的身份验证相关地使用，尽管本发明不限于此用途并且可以用于用户输入的通用编码。

本发明提供了用于用户输入的安全输入和存储的解决方案。在以下描述中，本发明关于用于用户身份的身份验证的验证方法进行描述。然而，重要的是要注意，本发明不限于这样的应用，并且可以用来编码任何类型的输入，而不仅仅是密码、PIN和其他身份验证相关的标识符。而且，本发明可以用作本文没有描述的更广泛的身份验证过程或系统的一部分。

在一个实施方式中，本发明在用户的电子设备(例如移动电话)上呈现键盘的图像，使得其从用户的视野遮掩或遮挡可操作的键盘。因此，用户看到似乎是可操作的键盘，但实际上仅仅是没有功能的图像。然而，根据本发明，图像和/或可操作的键盘中的按键的布局被乱序或随机化，使得图像中示出的按键不对应于可操作的键盘中的按键的位置。

图像下面的可操作的键盘包括具有分配给它们的符号的按键或按钮，如本领域已知的那样。可操作的键盘可以被称为虚拟键盘。用户通过选择与标识符中的符号相对应的屏幕部分(其描绘“按键”)来输入他/她的标识符，例如PIN、密码或个人标识码(PIC)。已经在图像后面生成的可操作的键盘检测用户的击键，并将分配给键盘所选按键的符号输入到缓冲器中。这允许构建实际标识符的编码版本并将其发送到远程服务器以进行验证。重要的是要注意，本发明不对用户的输入执行翻译或编码操作，如在一些现有技术配置中已知的。在这样的已知系统中，“真实”标识符在被编码之前被输入到键盘缓冲器中。这使得未授权方可以通过缓冲区访问用户的标识符。然而，本发明通过从不存储标识符的真实版本(即使暂时存储在缓冲器中)来避免这个问题。由于可操作的键盘中按键的顺序与图像中所示按键的顺序不同，所以用户的“真实”输入从未实际输入到设备的存储器中。这提供了显著的好处，即真实标识符因此不能由未授权方从设备中导出。此外，除非有人知道可操作的键盘和键盘图像中的按键的配置，否则它们不能解码编码的标识符。

在一个实施方式中，在用户的设备上生成用于可操作的键盘的键盘图像和/或按键的配置。这提供了处理工作被转移到客户(用户)设备而不是服务器的优点。可选地，图像和/或配置从远程服务器发送到设备。在又一其他实施方式中，可以使用设备上生成和服务器提供的图像/配置的混合。

在一个实施方式中，安装在用户设备上的软件组件接收输入。它使用该输入来确定一个或更多个可操作的键盘的按键的配置。另外或可选地，它使用输入来确定要在一个或更多个键盘图像中描绘的“按键”的配置。然后可以使用由软件组件指定的配置来生成可操作的键盘和/或键盘图像。但是，使用至少一个非乱序的键盘图像。

在一个实施方式中，生成组件(KGC)的输入是随机数。在另一个实施方式中，输入是与用户有关的生物特征数据。生物特征数据可以是例如指纹。技术人员将容易理解，可以使用任何类型的生物特征数据。本发明不限于生物特征数据的格式、类型或方法。

如果使用随机数作为输入，则每次使用本发明时，所得到的配置将是不同的。但是，如果使用生物特征数据作为输入，则每次使用本发明时所得到的配置将是相同的。这是因为用户的生物特征数据，例如指纹、视网膜图案等保持不变，并将始终提供相同的输入。

在任一实施方式中，输入是在用户的设备上生成、由用户的设备生成或在用户的设备处生成的。换句话说，它是在用户设备本地生成的，而不是由远程资源生成的。输入可以由包括用户设备的一部分的一个或更多个组件生成，或者由靠近用户设备并通过物理或无线接口与其连接的一个或更多个组件生成。

在使用中，用户向根据本发明的系统注册。然后将必要的软件下载到用户设备，包括键盘生成组件。在下文中，用户的设备将被称为移动电话，但是可以使用具有计算能力的任何电子设备。

当需要验证用户的身份时，所需的输入是由随机数发生器或由生物特征采集设备产生的。例如，用户可以将手指按压在电话的屏幕上，或者可以看着照相机，或者对着麦克风说话。生物特征采集设备生成表示所采集的生物特征的串。

生物特征数据或随机数(串)然后被馈送到键盘生成组件。KGC然后使用该输入来生成多个键盘配置。优选地，每个配置中的符号或值的顺序是唯一的，使得没有配置被重复。可以使用从随机或生物特征串中选择的值或子串从该随机或生物特征串中生成键盘配置。例如，串的前三十个值可以用于第一个30位数字键盘配置，接下来的30个值可以用于第二个配置等等。因此，KGC必须确保输入串的长度足以为键盘配置提供所需的值。

在使用包括10个符号的键盘的说明性实施方式中，在由本发明生成的每个配置中将会有10个值(即，字符、数字或符号)。生成的配置的数将是用户标识符中的值的数加一。这将使得一个乱序的可操作的键盘能够在用户输入标识符所需的每次击键时生成，加上一用于键盘图像。例如，在其中用户的标识符由10个值组成的实施方式中，配置生成组件将产生11种配置：一个用于标识符中的每个数字，并且一个用于生成用户将看到的图像。

在任何给定时间只有一个可操作的键盘处于“活动”状态。因此，当用户选择(似乎是)图像上的按键时，只有活动键盘能够检测用户输入。在身份验证会话开始时由设备预先生成多个可操作的键盘的实施方式中，只有一个被指定、布置或执行，以便成为用于接收用户的下一次击键的活动的可操作的键盘。在接收到输入之后，可以以某种方式改变活动键盘(例如，可以重新配置按键)，或者可以取消选择活动键盘作为活动键盘(例如，通过从存储器删除或从堆栈移除)。

但是，应该注意的是，用户的标识符可以是任何类型或长度的标识符，包括任何类型的值。它可以包含任何类型的字符或符号。

至少有一个图像是默认(非乱序)键盘的图像。因此，该图像中描绘的“按键”按照用户所期望的顺序显示，例如与设备的标准键盘一致。在其他实施方式中，只有一个下面的可操作的键盘可以被生成并被用于接收来自用户的所有击键。

在又一其他实施方式中，可以在一个或更多个可操作的键盘的顶部上使用多于一个的键盘图像。这多个图像可以包括乱序键盘的至少一个图像。图像可能在用户每次输入(击键)之后改变，或者可能在预定的事件(例如三次不正确的尝试)之后改变。例如，可以使用乱序的图像来获得用户的标识符，但是如果不成功或者验证失败，则使用另一个乱序的键盘图像，并且重复身份验证过程。在使用乱序图像的三次不成功尝试之后，可以向用户呈现非乱序键盘的图像。

应该注意，可以将乱序的图像与乱序或非乱序的可操作的键盘结合使用。然而，当使用非乱序的图像时，其被布置为屏蔽乱序的可操作的键盘以便为编码目的提供必要的映射。

转向图1，示出了本发明的实施方式涉及身份验证会话所使用的一般概念。在这样的应用中，键盘配置优选地在设备上生成。身份验证方法可以被表达如下。

1.使用生物特征数据采集或随机数生成在用户的设备上或在用户的设备处生成输入串-参见图1的步骤101。

2.将输入串馈送到键盘生成组件(KGC)-步骤102

3.生成组件使用输入串生成多个键盘配置-步骤103

4.使用键盘配置之一来生成和显示乱序的键盘的图像，并使用其余的配置来生成4个乱序的可操作的键盘以置于图像之下；将图像叠加在活动可操作的键盘上方，使得当用户通过图像提供输入(击键)时，活动键盘将输入读入缓冲器中-步骤104

5.从可操作的键盘检测到的多个输入中构建用户标识符的编码版本-步骤105

6.将用户标识符的编码版本和多个键盘配置发送到远程位置进行解码-步骤6

7.如果用户输入的标识符不正确(即验证失败)，则重复身份验证过程；在随后的身份验证过程中(例如，在三次失败尝试之后)，使用非乱序的键盘的图像连同乱序的可操作的键盘的来重复该过程

在一个实现中，从(随机或生物特征的)输入串导出的键盘配置可以用作对执行并放置到堆栈上的过程调用的输入。在这样的实施方式中，当每个期望的击键需要时，生成新的键盘。然而，在替代实现中，可以在会话开始时预先生成具有不同配置的多个键盘并将其置于数据结构中。然后可以通过迭代数据结构来生成编码结果。

在又一个实现中，可以仅生成一个可变的可操作的键盘对象。然后可以使用多个配置来在每次击键被检测到之后改变相同可操作的键盘中的按键的顺序。

一旦构建了用户的编码标识符，就可以将其发送到远程服务器，以便与存储的标识符版本进行比较。为了解码标识符，服务器需要知道键盘和图像中的按键的映射。因此，由用户设备生成的键盘配置也被发送到服务器。

本发明可以在支付终端上实现。支付终端可以包含读卡组件，从而可以从IC卡的芯片和/或磁条中读取数据，或者经由NFC/非接触式通信技术读取数据。支付终端可以是用于处理支付和进行这种交易的用户的身份验证的专用设备。因此，这种支付终端不是诸如智能电话或PC等的通用计算设备。在其他实施方式中，本发明可以在诸如智能电话、平板电脑、个人电脑、笔记本电脑等非专用设备上实现。

因此，即使当在移动设备上实施时，本发明也提供安全的身份验证解决方案。用户设备上的键盘配置的生成提供了在本地而不是远程执行处理的好处。生物特征与标识符(例如PIN)的组合提供了多重身份验证，其要求在设备上标识用户(“用户是谁”)，然后通过标识符(“用户知道什么”)进行身份验证。这减轻了单独使用生物特征身份验证的安全性问题。

应注意，上面提到的实施方式说明而不是限制本发明，以及本领域中的技术人员将能够设计很多可选的实施方式而不偏离如所附权利要求限定的本发明的范围。在权利要求中，放置在括号中的任何参考符号不应被解释为限制权利要求。词“comprising(包括)”和“comprises(包括)”等并不排除除了作为整体在任何权利要求或说明书中列出的元件或步骤以外的元件或步骤的存在。在本说明书中，“包括(comprises)”意指“包含或由...组成”，以及“包括(comprising)”意指“包含或由...组成”。元件的单数提及并不排除这样的元件的复数提及，反之亦然。可借助于包括几个不同的元件的硬件和借助于适当编程的计算机来实现本发明。在列举几个装置的设备权利要求中，这些装置中的几个装置可由硬件的一个且同一项目体现。某些措施在相互不同的从属权利要求中引用的不争事实并不指示这些措施的组合不能有利地被使用。

Claims (15)

1.一种将用户输入编码到电子设备中的方法，所述方法包括：

生成可操作的键盘并且在与所述电子设备相关联的屏幕的显示区域内提供所述键盘；

在所述显示区域的至少一部分内呈现键盘的图像，使得用户能够经由所述图像操作所述键盘的至少一个按键；

其中：

所述可操作的键盘的按键和/或所述图像中描绘的按键被乱序以使得能够生成用户输入的编码版本。

2.根据权利要求1所述的方法，其中，所述可操作的键盘在运行时通过调用子例程来生成；可选地，其中，所述可操作，所述子例程被提供在与所述设备相关联的标准库内。

3.根据权利要求1或2所述的方法，其中所述键盘：

i)是虚拟键盘；和/或

ii)包括返回键、空格键、至少一个标点键、删除和/或退格键、至少一个修改键、至少一个光标键或其组合。

4.根据前述权利要求中任一项所述的方法，其中，所述图像描绘的是与所述设备相关联的默认键盘的键盘。

5.根据前述权利要求中任一项所述的方法，其中：

所述图像在所述设备上生成；或者

所述图像由所述设备从远程计算资源接收。

6.根据前述权利要求中任一项所述的方法，其中，使用利用随机或伪随机数或与用户有关的生物特征数据导出的键盘配置来生成所述可操作的键盘。

7.根据前述权利要求中任一项所述的方法，其中，使用从用户导出或与用户相关联的生物特征数据至少部分地确定所述可操作的键盘中的可操作的按键的顺序和/或所述图像中描绘的按键的顺序。

8.根据权利要求7所述的方法，其中，所述生物特征数据包括或被处理以提供用于指定所述按键的顺序的值的一个或更多个串、数组或序列。

9.根据前述权利要求中任一项所述的方法，其中，生成多个可操作的键盘，并且其中，所述多个中的至少一个键盘是乱序的键盘。

10.根据前述权利要求中任一项所述的方法，其中，生成多个键盘图像，并且其中，所述多个中的至少一个图像是非乱序的乱序键盘的图像。

11.根据前述权利要求中任一项所述的方法，包括将所述用户的输入的编码版本传输到远程计算资源的步骤。

12.根据前述权利要求中任一项所述的方法，其中，所述电子设备是移动电话、平板电脑、支付终端、便携式计算设备或个人计算机。

13.一种用于将用户的输入编码到电子设备中的系统，包括：

电子设备；

与所述电子设备相关联的屏幕；

其中，所述电子设备被布置成：

生成可操作的键盘并且在所述屏幕的显示区域内提供所述键盘；以及

在所述显示区域的至少一部分内呈现键盘的图像，使得用户能够经由所述图像操作所述键盘的至少一个按键；

其中：

所述可操作的键盘的按键和/或所述图像中描绘的按键被乱序，以使用户的输入的编码版本能够被生成。

14.根据权利要求13所述的系统，其中，所述系统被布置和配置为实现权利要求1至12所述的方法。

15.一种将用户的输入编码到电子设备中的方法，包括以下步骤：

使用与用户有关的生物特征数据来生成键盘配置；

将键盘的图像叠加在可操作的键盘上，以便生成所述键盘和所述图像之间的映射，其中，使用所述键盘配置来生成所述键盘或所述图像。