伺服器操作的授權的製作方法

2023-07-26 16:14:46

專利名稱：伺服器操作的授權的製作方法
技術領域：
本發明一般地涉及用戶計算機在數據通信網絡上所請求的伺服器操作的授權。本發明提供了用於對遠程伺服器的操作授權以及用於基於這種授權控制伺服器的操作的執行的裝置、系統和電腦程式。
背景技術：
存在著眾多這樣的情景計算機用戶經由數據通信網絡與遠程伺服器通信以請求伺服器執行某些操作。這樣的伺服器典型地由用於由遠程用戶在線訪問的服務的提供方操作。這裡的術語「伺服器」是其最一般的意義，然而，也包括向連接用戶提供某些服務或功能的任意計算機或系統。伺服器在用戶的請求下執行的操作可以簡單地是授予用戶對某些資源的訪問，例如資料庫或被限制的網站，或者可以是某些由用戶指示的交易的實施，例如銀行交易。在任何情況下，通信架構的本性是這樣的安全通常是關鍵問題，特別是保證伺服器操作僅為真正的授權用戶執行。例如，在網際網路上進行的電子商務的情況中，在線欺詐是個不斷增長的威脅。諸如臭名昭著的中間人(MITM)的高級攻擊以及諸如病毒或木馬的各種類型的惡意軟體都在廣泛地增加，同時，諸如反病毒軟體和防火牆的對策好像總是比攻擊者慢一步。因此，諸如個人計算機(PC)的用戶計算機，以及網際網路本身，必須被認為是本質上不可信賴的，對於電子交易呈現了顯著的安全風險。通過示例，如果用戶將他的PC 連接到在線服務提供方的門戶以初始化交易，則他不能確信所述交易不是默默地被某些惡意軟體或MITM操縱。服務提供方遇到的相似的困難是他不能確信他正在與真正的授權用戶通{曰ο已經提出了各種系統以應付上述情景中的安全問題的一部分。例如，美國專利號 No. 6 895 502公開了一種安全設備，其能夠被連接到用戶PC並包含智慧卡讀卡器。當用戶經由他的PC向遠程伺服器請求資源時，所述伺服器通過檢索用戶的公鑰並發送回包括交易信息與質詢(challenge)的加密的數據塊。所述用戶PC請求的資源被顯示在安全設備上，且所述用戶能夠通過將被送回所述伺服器的信息輸入安全設備確認他是否請求了這個資源。這個設備允許給定PC的用戶給出從該PC—次一個發出的資源請求的同時確認。然而，所述系統容易受「假的質詢」的攻擊。即，任意惡意方可以用用戶的公鑰產生加密的質詢並將其發送到用戶PC，例如使所述用戶混淆而答覆。而且，任何人都能夠用所述用戶的公鑰解密所述用戶對質詢的答覆消息。因此，這個系統的有用性有限且增加了自身的安全和隱私問題。我們於2007年11月19日提交的共同待決的歐洲專利申請No. 07022419. 1，公開了另一種用於與用戶計算機連接的設備。這個設備也在Thomas Weigold等，於P. Lipp， A. -R. Sadeghi 和 K. -Μ. Koch (Eds.) :TRUST 2008，LNCS 4968，pp. 75-91，Springer-Verlab Berlin Heidelberg 2008,"The Zurich Trusted Information Channel-An Efficient Defence against Man-in-the-Middle and Malicious Software Attacks，，中有描述，。當被用戶PC上的代理應用提示時，該設備創建安全的、與伺服器相互授權的端到端連接，所述用戶PC由瀏覽器接觸以連接到指定的銀行URL(通用資源定位符)。隨後的瀏覽器會話經由安全的連接進行且由安全設備監視。如果所述設備檢測到諸如銀行交易細節的安全敏感信息，則它們被顯示在該設備上，且所述用戶能夠按按鈕以指示他的確認。僅當所述安全設備接收到這個信息時，它才會保持所述連接並將所述交易請求轉發到伺服器。該設備再次允許給定PC的用戶給出從該PC —次一個發出的資源請求的同時確認，但在這種情況下， 整個伺服器會話經由安全的連接在安全設備的控制下進行，所述安全設備確定何時需要用戶授權。

發明內容
本發明的一個方面提供了一種用於對用戶計算機經由數據傳輸網絡請求的遠程伺服器的操作授權的授權設備。所述設備包括計算機接口，其將所述設備連接到本地用戶計算機，用於經由數據通信網絡與遠程伺服器通信，用戶接口，用於向用戶呈現信息，以及控制邏輯，其被適配為使用正在使用的所述控制邏輯可訪問的安全數據，以經由所述本地用戶計算機在所述設備和所述伺服器之間建立相互授權的連接，用於所述設備和所述伺服器之間的加密的端到端通信；經由所述連接，從所述伺服器收集指示經由不同連接而向所述伺服器請求的、且需要所述設備的用戶的授權的任何操作的信息；以及將所述信息經由所述用戶接口呈現給用戶以提示對所述操作的授權。因此，實施本發明的授權設備能夠經由它的計算機接口連接到用戶計算機並建立與所述伺服器安全的、相互授權的端到端連接。另外，所述設備控制邏輯經由該連接從所述伺服器收集指示經由與伺服器的不同連接而請求的、需要所述設備的用戶的授權的任何操作的信息。因此，獲取有關需要用戶授權的操作請求的信息被控制邏輯的動作啟動，並且關於哪個信息被接收的操作請求是那些在一個或多個不同的連接上向伺服器提交的請求。因此，所述設備能夠收集在所述安全連接建立之前或之後的任意時間提交到伺服器的且由任意用戶從任意用戶計算機提交的任意數量的操作請求的細節，而不論該計算機是否是當前連接到所述設備的計算機、以及/或者已經在某些時間建立了到所述伺服器的連接的一個或多個任意其他用戶計算機。用這種方式，實施本發明的授權設備提供了在移動計算環境中從不可信的用戶計算機請求的伺服器操作的安全授權以及這種環境中的請求的多方授權的基礎。特別地，伺服器操作能夠依賴於多於一個授權用戶的授權，當不同的用戶經由授權設備連接到伺服器並收集待決的操作請求的細節時，異步地獲得必要的授權。而且，所述用戶計算機和伺服器之間的任意其他會話，例如當前瀏覽器會話，都能夠保持不被安全連接上的授權過程影響，並能夠完全正常地進行。因此，實施本發明的設備提供了用於移動計算環境中不安全的系統上的伺服器操作的多方授權的、靈活有效且用戶有好的系統。為了收集來自所述伺服器的操作請求信息，所述設備控制邏輯將向伺服器發出某些形式的請求以提示所述信息的返回，但一般地這個請求可以是顯式的或隱式的。例如， 所述請求在建立所述安全連接的過程中可以是隱式的，所述伺服器通過向與用於建立所述連接的安全數據相關聯的授權用戶發送合適的操作請求信息來響應所述連接的成功建立。 或者，所述控制邏輯可以發送對關於需要所述設備用戶的授權的操作請求的信息的顯式請求。因此，所述控制邏輯可被適配為經由所述安全的連接發送對信息的請求，例如，響應於所述連接的建立，並且優選地，當所述安全的連接維持時，周期地向伺服器請求所述信息。 這裡的關鍵點是，從伺服器獲取操作請求信息被授權設備啟動，允許所述設備在移動環境中與伺服器具有安全連接的任何時候和任何地點都能獲取所述信息。所述控制邏輯優選地響應於所述授權設備到本地用戶計算機的連接而啟動到所述伺服器的安全連接的建立。在用戶接口包括輸入機制的情況下，該處理可以或者可以不需要某些用戶輸入，例如，鍵入用戶PIN(個人標識碼)。在任何情況下，所述安全連接的建立依賴於具有對能夠被用於相互授權處理的某些形式的安全數據的訪問的控制邏輯。所述安全數據典型地包括運行所述伺服器的服務提供方提供的密鑰，但一般地，可以包括諸如一次性的密碼或其他相互知道的秘密用於質詢響應協議的任意數據，該協議允許所述授權設備和伺服器的相互授權以建立安全連接。所述安全數據可以被存儲在授權設備的存儲器中，例如，在嵌入到設備中的防篡改晶片中。或者，所述安全數據可以被存儲在各自的安全設備中，所述安全設備可以與其接口以向控制邏輯提供對所述安全數據的訪問。這裡所述安全設備的一種優選形式是智慧卡。所述授權設備本身可以採用各種形式。例如，在所述設備被適配為與授權用戶攜帶的諸如智慧卡的安全設備連接的情況下，所述設備是方便小巧的、含讀卡器或其他安全設備接口的可移動的桌面設備。這樣的設備可以專用於授權的目的或可以與某些其他提供額外功能的設備集成，例如滑鼠。在所述安全數據被存儲在授權設備本身的情況下，所述設備是能夠容易地被用戶攜帶的理想的小巧便攜設備，再次，專用於授權目的或具有組合的功能。如這裡的示例，所述設備可以被實施在存儲棒或諸如MP3播放器的個人音樂播放器中。在任何情況下，為了避免對包括阻止惡意軟體的幹擾的保護機制的需要，所述設備優選地不包括通用計算功能。即，所述設備被優選地配置為使得隨意的代碼不能被加載到設備處理器。所述用戶接口理想地包括用於向用戶顯示操作請求信息的顯示器，幹擾或者不幹擾授權設備中的處理。然而，可以構思如下討論的其他選擇。在優選的實施例中，所述用戶接口還包括用於向所述設備輸入用戶授權的輸入機制，所述控制邏輯被適配為經由相互授權的連接將用戶授權傳送到伺服器。然而，再次，可以構思如下說明的其他選擇。在用戶接口包括輸入機制的情況下，理想地允許某些用戶安全信息的輸入，如，用戶PIN，以允許被授權的用戶「解鎖」所述設備用以授權過程。本發明的第二方面提供了一種用於對用戶計算機經由數據通信網絡請求的伺服器的操作進行控制的裝置。所述裝置包括存儲器和控制邏輯，所述存儲器用於存儲定義需要一個或多個授權用戶的授權的操作的規則數據，且所述控制邏輯被適配為響應於來自用戶計算機的請求，以執行所述操作，從而根據所述規則數據確定所述操作是否需要至少一個授權用戶的授權，如果是，則推延所述操作；與根據本發明的第一方面的授權設備通信，以建立所述相互授權的連接；經由所述連接，向所述授權設備提供指示用戶計算機所請求的、需要所述授權設備的用戶授權的任何推延操作的信息，並接收來自所述用戶的授權；以及
響應於對來自需要其對所述操作授權的每一個授權用戶的授權的接收，啟動推延操作的執行。 在本發明這個方面的實施例中，所述控制邏輯能夠響應於來自授權設備的請求經由所述相互授權的連接發送所述授權請求信息。這種請求可以是顯式的或隱式的，如前面所討論，且可以被所述裝置視為長期(standing)請求，由此在預定時間間隔內接收到的、 且需要所述設備用戶的授權的任意其它操作請求將經由所述安全的連接發送到授權設備。本發明的第三方面提供了一種用於執行用戶計算機經由數據通信網絡所請求的操作的伺服器。所述伺服器包括用於經由所述數據通信網絡與用戶計算機通信的通信電路；用於響應於來自用戶計算機的請求執行所述操作的伺服器邏輯；以及根據本發明的第二方面的裝置，用於控制所述伺服器邏輯對所述操作的執行。本發明的第四方面提供了一種數據通信系統，包括根據本發明的第三方面的伺服器；用於經由數據通信網絡與伺服器通信的至少一個用戶計算機；以及至少一個根據本發明的第一方面的授權設備用於經由所述設備的計算機接口與所述用戶計算機連接；其中所述用戶計算機被適配為中繼所述授權設備與伺服器之間經由所述相互授權的連接的通
fn °本發明的第五方面提供了一種電腦程式，包括用於引起授權設備的處理器進行以下步驟的程序代碼單元，其中，所述授權設備被適配為與用戶計算機連接用於經由數據通信網絡與遠程伺服器通信，且具有向所述設備的用戶呈現信息的用戶接口，所述步驟為使用與所述授權設備相關聯的安全數據經由本地用戶計算機建立相互授權的連接，用於與所述伺服器的加密的端到端通信；從所述伺服器經由所述連接，收集指示經由不同連接而向所述伺服器請求的、且需要所述設備的用戶的授權的任何操作的信息；以及經由所述用戶接口，向用戶呈現所述信息以提示對所述操作的授權。本發明的第六方面提供了一種電腦程式，包括用於引起伺服器執行以下步驟的程序代碼單元，其中所述伺服器被配置為執行用戶計算機經由數據通信網絡所請求的操作、且具有用於存儲定義需要一個或多個授權用戶的授權的操作的規則數據的存儲器，所述步驟為響應於來自用戶計算機的、執行所述操作的請求，根據所述規則數據確定所述操作是否需要至少一個授權用戶的授權，如果是，則推延所述操作；與根據本發明的第一方面所述的授權設備通信，以建立所述相互授權的連接；經由所述連接，向所述授權設備提供指示需要所述授權設備的用戶授權的任何推延操作的信息，並接收來自所述用戶的授權；以及響應於對來自需要其對所述操作授權的每一個授權用戶的授權的接收，執行推延操作。實現本發明的電腦程式可以組成獨立的程序或可以是一個較大程序的元素，且可以被如下提供，例如，實施在諸如磁碟的計算機可讀介質或電子傳送中用於加載到計算機中。所述電腦程式的程序代碼單元可以包括一組指令的任意語言、代碼或記號的任意表達，意在引起計算機執行所討論的方法，直接地或者在(a)轉換為另一個語言、代碼或記號並且(b)在不同的材料形式中重現之後。 一般地，在這裡參考本發明的一個方面的實施例說明特徵的情況下，相應的特徵可以被提供在本發明的另一個方面的實施例中。


下面將說明本發明的優選實施例，通過示例的方式，參考以下附圖圖1是實施本發明的數據通信系統的示意圖；圖2更詳細地示出了圖1系統的授權設備、用戶PC和伺服器；圖3指示了所述伺服器在接收到來自用戶PC的操作請求時執行的步驟；圖4指示了圖2的授權設備的操作的關鍵步驟；以及圖5指示了在從圖2的授權設備接收到對交易信息的請求時所述伺服器的操作。
具體實施例方式圖1顯示了實施本發明的用於在移動計算情景中實現安全、多方交易授權系統的數據通信系統。所述系統1包括伺服器2，其能夠與多個用戶計算機3經由一個或多個在圖中被一般地由網絡4表示的數據通信網絡通信。這裡我們假定伺服器2由被配置用於執行所描述的功能的通用計算機實現，但一般地，伺服器2的功能可以被分布在伺服器系統的多個物理機器上。用戶計算機3可以由諸如PC、PDA (個人數字助理)、行動電話等不同的計算設備實現，它們能夠與伺服器2經由網絡4進行數據通信。對於此示例的目的，假定伺服器1允許訪問在線銀行服務，操作計算機3的用戶能夠周期地連接到所述服務以執行銀行交易。伺服器2對交易的實現經受多方授權處理。特別地，至少某些可能從用戶計算機3 請求的交易必須在它們被伺服器2實現之前由一個或多個授權用戶授權。為了授權交易， 授權用戶使用能夠連接到用戶計算機3的專用移動交易授權設備(TAD) 5，圖1中指示了三個這樣的設備。圖2是TAD 5、用戶計算機3和伺服器2的示意框圖，顯示了授權系統中包括的主要元件。這個示例的TAD 5是一個小巧的具有計算機接口和用戶接口的桌面設備，這裡，所述接口指用於將所述設備連接到用戶計算機3的USB接口 6，所述用戶接口包括用於用戶輸入的顯示器7和鍵盤8。TAD 5還具有用於與智慧卡10接口的讀卡器9形式的安全設備接口。控制邏輯11 一般地控制設備的操作並實施下面所說明的授權過程的各個步驟。所述伺服器2包括用於與數據通信網絡4接口的正常通信電路13，以及用於執行在線銀行服務的各種功能的伺服器邏輯14。另外，伺服器2包括授權裝置，其包括授權控制邏輯15和包含由操作中的授權邏輯15使用的各種數據的存儲器16。這包括推延交易日誌17(下面將說明其目的)，以及規則資料庫18。規則資料庫18定義需要一個或多個授權用戶授權的交易。特別地，存儲在資料庫18中的規則數據指示所述交易以及每次交易時該交易需要其授權的授權用戶的身份。取決於特定應用，資料庫18中的規則數據可以包含從簡單規則集到複雜數據結構的範圍。一般地，TAD 5中的控制邏輯11和伺服器2中的邏輯14、15可以以硬體、軟體或它們的組合實現，雖然這裡我們假定該邏輯由運行在伺服器2或TAD 5的處理器(適用時)上的軟體實現。根據這裡的說明，合適的軟體對於本領域中的技術人員是顯而易見的。實現TAD 5的控制邏輯11的處理器被設計為使得額外的、隨意的代碼不能被加載至該處理器。伺服器2被顯示為具有經由網絡4到用戶PC 3的第一連接，在圖中由虛線標示。 例如，用戶PC典型地將經由PC3上運行的網絡瀏覽器具有到伺服器2的網際網路連接。用戶 PC 3還被顯示為運行了充當下面進一步討論的TAD5的代理應用19。雖然一般地代理19 可能被預先安裝在PC 3上，但在該優選的實施例中，所述代理可以被從TAD加載，例如通過 TAD將其本身註冊為USB大容量存儲設備的方法。銀行運行的伺服器2向授權用戶發行智慧卡10。所述卡10包含用於在TAD 5和伺服器2之間進行的授權處理中使用的安全數據。在這個示例中，所述安全數據是秘密密鑰， 但該智慧卡也被方便地利用戶帳戶信息和證書個性化，如，服務提供方URL、信任的TLS/ SSL(安全傳輸層/安全套接字協議層)證書、用戶姓名、PIN等，以及可能在與伺服器2的通信中使用的額外密鑰。在系統1的操作中，銀行客戶能夠從任意(不可信的)計算機3連接到伺服器2以登陸進入在線銀行入口並請求伺服器執行諸如資金轉帳或其他銀行交易的操作。響應這種交易請求的伺服器2的操作被標示在圖3的流程圖中。該處理由交易請求的接收觸發，如步驟20所示。所有被伺服器2接收到的交易請求都被伺服器邏輯14傳遞到授權邏輯15。 在步驟21，所述授權邏輯訪問所述規則資料庫18以檢查該交易是否需要授權。如果否，如判決步驟22以「否」(N)標示的，則所述交易請求被返回到在步驟23中簡單地執行所指令的交易的伺服器邏輯14，且該處理完成。然而，如果所述交易需要授權，如判決步驟22以 「是」 (Y)標示的，則在步驟M中授權邏輯15在推延交易日誌17中創建條目。這個條目記錄交易細節以及所述交易需要其授權的每一個授權用戶的身份。因此，所述交易被推延等待接收到所需要的授權，且所述處理終止。多個用戶能夠在不同時間從不同的、不可信的用戶計算機3指示交易。所有交易請求都由伺服器2如上所述地處理，由此在任意時間，所述推延交易日誌可能包含多個等待授權的交易的細節。規則資料庫18中識別的每一個授權用戶攜帶智慧卡10，如上所述。 授權用戶還能夠攜帶TAD 5，並且/或者可以提供多個TAD 5用於在一些地方與多個計算機一起使用。在任何情況下，當帶有TAD 5的授權用戶訪問連接到網絡的計算機3時，他能夠如下執行授權過程。所述用戶將智慧卡10插入TAD 5並將所述TAD經由USB接口 6連接到用戶PC 3。TAD 5的後續操作由控制邏輯11控制，且標示在圖4的流程圖中。響應於TAD 5到PC 3的連接，如步驟30所表示的，所述控制邏輯11初始化連接到伺服器2的處理。首先，在步驟31中，所述控制邏輯通過顯示器7上的消息提示用戶通過鍵盤8輸入他的PIN， 且將輸入的數字與存儲在智慧卡10中的數字進行核對。所述設備可以給所述用戶若干輸入正確PIN的機會，但是如果沒有輸入有效的PIN(步驟32的「否」)則處理將終止。然而， 假定所述PIN是有效的(步驟32的「是」)，則在步驟33中所述控制邏輯在PC 3上啟動代理應用19。接下來，如在步驟34中標示的，所述控制邏輯在代理19的幫助下建立用於TAD 5和伺服器2之間的加密的端到端通信的相互授權的連接。此連接在圖2中由實線標示。 為了建立此連接，所述控制邏輯經由讀卡器9與智慧卡10通信以訪問存儲在卡10上的安全數據。預先約定的密鑰被用於加密/解密能使TAD和伺服器相互授權的消息，且通過以已知的方式實現協議設置建立與伺服器2的TLS/SSL連接。所述TLS/SSL連接是TAD 5與服務提供方的信任的伺服器2之間的端到端連接，其中所述TAD被配置用於該服務提供方 (經由智慧卡10上的安全數據)，然而所述代理在兩者之間盲中繼網絡包。因此，代理19 以及PC 3可能是不可信任的，因為所有經過它們的數據都被加密。 在建立了所述安全連接之後，在圖4的步驟35中，所述控制邏輯11向伺服器2發送對關於已被推延等待TAD的用戶的授權的任意交易的信息的請求。該請求可以包括從卡 10檢索到的用戶ID數據，如果其在建立所述安全連接時未被提供。如果所述伺服器回復沒有未決的相關交易(步驟36的N)，則所述控制邏輯等待由延遲模塊27表示的預定時間間隔。然後所述處理重返步驟35，由此，當所述安全連接持續時，對交易信息的請求將被周期地重複。返回判決步驟36，如果交易細節被伺服器2返回，則在步驟38中所述控制邏輯將第一個要被授權的交易的細節顯示在顯示器7上。所述顯示器也提示用戶通過對鍵盤8 的輸入批准或拒絕所述交易。所述結果在判決步驟39中被檢測，且所述用戶對交易的拒絕 (步驟40)或授權(步驟41)都經由安全連接而被傳送回伺服器2。在判決步驟42，所述控制邏輯11判定是否有另一交易要顯示，且，如果是，則操作返回步驟38處理下一個交易。 如果否，操作重返顯示步驟37，等待下一個對交易信息的請求。在所述TAD保持經由安全連接連接到伺服器2的同時時，上述處理繼續。以這種方式，TAD 5經由安全連接收集需要TAD的用戶的授權的、且被任意用戶經由計算機3和伺服器2之間的任意其他連接請求的推延交易的細節，而不論是在TAD 5的連接之前還是之後請求。所述推延交易可以包括當前TAD用戶經由與伺服器2的瀏覽器會話所請求的交易， 該瀏覽器會話被完全正常地進行，並保持不受所述TAD的出現的影響。因此，無論用戶何時何地連接到伺服器，他都可以授權交易，經由不可信任的計算機3和不可信任的網絡4的中介安全地傳送和安全地授權所述交易細節。響應於來自TAD 5的對推延交易信息的請求的伺服器2的操作被標示在圖5中。 所有這樣的請求被傳遞到伺服器2的授權邏輯15。步驟50表示授權邏輯15接收到請求， 接著所述授權邏輯15在步驟51為需要請求的TAD用戶的授權的任意交易檢查推延交易日誌。如果沒有發現相關交易(步驟52的N)，則在步驟53中將其報告給TAD，且所述過處理終止。如果在所述日誌中發現任何相關交易(判決52的「是」)，則所述交易細節被經由安全的連接發送到所述TAD，接著，所述邏輯15等待授權，如延遲55指示的。如果沒有接收到授權響應(判決56的「否」)，則所述邏輯15在步驟57確定對該響應的「超時」限制是否已經達到，如果是，則所述處理終止。如果否，則操作重返延遲55並等待更長時間間隔。 當接收到授權回復(判決56的「是」)時，所述授權邏輯在步驟58識別所述交易已被被批准(「是」)還是被拒絕(「否」)。如果被拒絕，則在步驟59和60所述授權邏輯從推延交易日誌17中刪除所述交易並通知伺服器邏輯14所述拒絕。接著，伺服器邏輯14可以採取合適動作，諸如通知請求的用戶交易授權已經被拒絕。然後操作前進到步驟61，在步驟61 中，邏輯15確定是否有另外的交易等待授權。如果沒有，則所述處理終止；但如果有，則操作重返步驟55等待另外的授權。返回步驟58，如果這裡所述交易被授權，則在判決63，所述邏輯15根據交易日誌確定所述交易是否還需要其他用戶的授權。如果是，則在步驟61 簡單地更新所述日誌以指示當前用戶的授權，且操作前進到步驟61，如前所述。然而，如果否，則在步驟65所述授權邏輯會指示伺服器邏輯14執行所述交易。然後在步驟64從推延交易日誌中刪除所述交易，且操作前進到步驟61以處理下一個需要授權的交易。一旦所有交易都已經被當前TAD用戶授權(或拒絕)了，或對授權的超時限制達到了，則所述處理被視為完成了。只要移動用戶經由任意用戶計算機連接在通信系統中，之前的處理就允許所述伺服器接收來自移動用戶的交易授權。僅當從所有被需求方接收到必要的授權時，如規則資料庫18中所定義的，所述伺服器才實現交易。資料庫18中的規則能夠實現任意複雜的多方授權需求，例如，為了反映公司內的組織責任，所述伺服器決定哪個交易必須由哪個用戶顯式地授權。例如，假定用戶1已經啟動了價值1000 USD的交易，則所述資料庫可能包含指定如果所述交易價值超過500 USD則需要來自用戶1以及來自用戶N的安全交易授權的規則。在這種情況下，當連接時，所述伺服器將向這兩個用戶的TAD都指示未決的交易，且僅當兩個用戶都授權所述交易時，它才被伺服器成功地處理。雖然MITM或惡意軟體可能攻擊用戶的交易啟動處理，但後續多方交易授權處理對於這樣的攻擊是安全的，即使所述TAD 是在不可信任的計算機上操作。用戶能夠信任TAD上顯示的信息，還能夠安全地將他們的授權決定傳送回服務提供方的被信任的伺服器。因此，經由TAD的交易授權使電子交易免受MITM和惡意軟體攻擊的侵害，並支持複雜的多方授權規則，同時維持用戶移動性。以這種方式，安全的多方交易授權能夠有 效地在移動計算環境中實現。儘管上面已經說明了優選的實施例，但也可以構思不同的補充和替代。例如，當計算機3的用戶第一次例如經由網頁瀏覽器登陸進服務提供方的入口以啟動交易時，TAD 5 還可以在用戶授權階段參與。當用戶請求訪問所述入口時，所述伺服器2可以經由安全連接返回某些授權代碼，其可以被用戶TAD像顯示未決交易一樣顯示。然後，通過在計算機3 的鍵盤上或經由TAD的鍵區輸入所述代碼，所述用戶能夠使用這個代碼在所述入口授權。 一般地，在使用TAD時，雖然所述用戶的決定優選經由安全的TLS/SSL信道返回到伺服器， 但所述TAD可以將由伺服器產生的某些交易/用戶特定的授權代碼與交易細節一起顯示。 接著，所述用戶能夠從顯示器複製所述代碼並將其經由某些其他的、可能不可信任的連接發送到伺服器，例如，經由網絡瀏覽器。這提供了與需要用戶將一次性代碼輸入到網頁中的現有網頁入口的兼容性，所述一次性代碼通常經由暫存列表(scratch list)或SMS文本帶外地分布。雖然已經以在線銀行服務為背景描述了操作，但所述系統能夠被應用到多種類型的服務操作的授權，包括對訪問多種類型的資源的授予。例如，能夠將TAD以與多方交易授權相同的方式用於多方訪問控制授權。這裡，如果用戶嘗試登錄進服務提供方的入口，則所述伺服器能夠經由他們的TAD請求來自一個或多個人的批准，就像前面示例中的交易。TAD可以採用多種形式，並可以單單專用於目的或可以與某些其他的提供有限額外功能的設備集成，諸如前面提到的滑鼠或MP3播放器。所述用戶接口可以以多種方式實現，且可以向用戶提供聲音提示和/或不同地呈現視覺信息，例如，利用滑鼠雷射機構在桌面上產生投影顯示。所述TAD計算機和安全設備接口一般地可以以有線或無線連接的任意方便的形式實現。實際上，用於建立所述安全連接的安全數據能夠被存儲在物理地嵌入 TAD中的存儲器中，例如，在例如使用自毀滅數據容器或入侵檢測傳感器的物理防篡改的安全晶片中。伺服器2的功能可以被分布在伺服器系統的不同機器上，且存儲器16可以由分布在多於一個機器上的一個或多個不同的存儲器組件實現。
將理解，在不脫離本發明的範圍的情況下，對所描述的示例實施例可以作很多其他改變和修改。
權利要求
1.一種用於對用戶計算機⑶經由數據傳輸網絡⑷請求的遠程伺服器⑵的操作授權的授權設備(5)，所述設備( 包括計算機接口(6)，其將所述設備( 連接到本地用戶計算機(3)，用於經由數據通信網絡(4)與遠程伺服器( 通信；用戶接口(7)，用於向用戶呈現信息；以及控制邏輯(11)，其被適配為使用正在使用的所述控制邏輯(11)可訪問的安全數據，以經由所述本地用戶計算機 (3)在所述設備( 和所述伺服器( 之間建立相互授權的連接，用於所述設備和所述伺服器之間的加密的端到端通信；經由所述連接從所述伺服器( 收集指示經由不同連接而向所述伺服器( 請求的、 且需要所述設備(5)的用戶的授權的任何操作的信息；以及將所述信息經由所述用戶接口(7)呈現給用戶以提示對所述操作的授權。
2.如權利要求1所述的設備(5)，其中所述控制邏輯(11)被適配為經由所述相互授權的連接向伺服器( 請求所述信息。
3.如權利要求1或2所述的設備(5)，其中所述控制邏輯(11)被適配為當所述相互授權的連接持續時，周期性地向所述伺服器( 請求所述信息。
4.如前面任一權利要求所述的設備(5)，其中所述控制邏輯(11)被適配為響應於所述設備(5)與所述本地用戶計算機(3)的連接而啟動所述相互授權的連接的建立。
5.如前面任一權利要求所述的設備(5)，包括存儲所述安全數據的存儲器。
6.如權利要求1至4中的任一項所述的設備(5)，包括安全設備接口(9)，用於將所述授權設備( 連接到存儲所述安全數據的安全設備(10)，其中所述控制邏輯(11)被適配為經由正在使用的安全設備接口(9)訪問所述安全數據。
7.如權利要求6所述的設備(5)，其中所述安全設備接口包括讀卡器(9)，用於將所述授權設備(5)連接到存儲所述安全數據的智慧卡(10)。
8.如前面任一權利要求所述的設備(5)，其中所述用戶接口包括輸入機制(8)，用於用戶授權的輸入，且其中所述控制邏輯(11)被適配為經由所述相互授權的連接將所述用戶授權傳遞到伺服器(2)。
9.一種用於對用戶計算機⑶經由數據通信網絡⑷請求的伺服器⑵的操作進行控制的裝置，所述裝置包括存儲器(16)和控制邏輯(15)，所述存儲器(16)用於存儲定義需要一個或多個授權用戶的授權的操作的規則數據(18)，且所述控制邏輯(1 被適配為響應於來自用戶計算機(3)的請求，以執行所述操作，從而根據所述規則數據(18)確定所述操作是否需要至少一個授權用戶的授權，如果是，則推延所述操作；與如前面任一權利要求所述的授權設備( 通信，以建立所述相互授權的連接； 經由所述連接，向所述授權設備( 提供指示用戶計算機C3)所請求的、需要所述授權設備(5)的用戶授權的任何推延操作的信息，並接收來自所述用戶的授權；以及響應於對來自需要其對所述操作授權的每一個授權用戶的授權的接收，啟動推延操作的執行。
10.如權利要求9所述的裝置，其中所述控制邏輯(15)被適配為響應於來自所述授權設備(5)的請求，經由所述相互授權的連接向所述授權設備( 提供所述信息。
11.如權利要求9或10所述的裝置，其中所述控制邏輯(1 被適配為經由所述相互授權的連接，接收來自所述授權設備(5)的用戶的所述授權。
12.一種用於執行用戶計算機C3)經由數據通信網絡(4)所請求的操作的伺服器0)， 所述伺服器( 包括通信電路(13)，用於經由所述數據通信網絡與用戶計算機(3)通信； 伺服器邏輯(14)，用於響應於來自用戶計算機(3)的請求，執行所述操作；以及如權利要求9至11中任一項所述的裝置，用於控制所述伺服器邏輯(14)對所述操作的執行。
13.一種數據通信系統(1)，包括: 如權利要求12所述的伺服器O)；至少一個用戶計算機(3)，用於經由數據通信網絡(4)與所述伺服器( 通信；以及至少一個如權利要求1至8中任一項所述的授權設備(5)，用於經由所述設備(5)的計算機接口(6)與所述用戶計算機C3)連接；其中所述用戶計算機C3)被適配為中繼所述授權設備( 與所述伺服器( 之間經由所述相互授權的連接的通信。
14.一種電腦程式，包括用於引起授權設備(5)的處理器進行以下步驟的程序代碼單元，其中，所述授權設備( 被適配為與用戶計算機C3)連接，用於經由數據通信網絡(4) 與遠程伺服器( 通信，且所述授權設備( 具有向所述設備(5)的用戶呈現信息的用戶接口(6)，所述步驟為使用與所述授權設備( 相關聯的安全數據，經由本地用戶計算機C3)建立相互授權的連接，用於與所述伺服器⑵的加密的端到端通信；從所述伺服器( 經由所述連接，收集指示經由不同連接而向所述伺服器O)的請求的、且需要所述設備(5)的用戶的授權的任何操作的信息；以及經由所述用戶接口(6)，向用戶呈現所述信息以提示對所述操作的授權。
15.一種電腦程式，包括用於引起伺服器( 執行以下步驟的程序代碼單元，其中所述伺服器( 被配置為執行用戶計算機C3)經由數據通信網絡(4)所請求的操作、且具有用於存儲定義需要一個或多個授權用戶的授權的操作的規則數據(18)的存儲器(16)，所述步驟為響應於來自用戶計算機(3)的、執行所述操作的請求，根據所述規則數據(18)確定所述操作是否需要至少一個授權用戶的授權，如果是，則推延所述操作；與如權利要求1至8中的任一項所述的授權設備( 通信，以建立所述相互授權的連接；經由所述連接向所述授權設備( 提供指示所述用戶計算機C3)所請求的、需要所述授權設備(5)的用戶授權的任何推延操作的信息，並接收來自所述用戶的授權；以及響應於對來自需要其對所述操作授權的每一個授權用戶的授權的接收，執行推延操作。
全文摘要
提供了一種用於授權用戶計算機(3)經由數據傳輸網絡(4)請求的遠程伺服器(2)的操作的授權設備(5)。所述設備(5)具有將設備(5)連接到本地用戶計算機(3)用於與遠程伺服器(2)通信的計算機接口(6)以及用於向用戶呈現信息的用戶接口(7)。設備(5)的控制邏輯(11)被適配為使用安全數據在所述設備(5)和伺服器(2)之間經由本地用戶計算機(3)建立用於所述設備和伺服器之間的加密的端到端通信的相互授權的連接。所述控制邏輯(11)經由該連接從所述伺服器(2)收集指示用戶計算機經由其它與伺服器(2)的連接請求的、需要所述設備(5)的用戶的授權的任何操作的信息。這個信息被通過用戶接口(7)呈現給用戶以提示用戶的授權。依據定義需要一個或多個認證用戶授權的操作的規則數據控制伺服器操作。所述伺服器控制裝置的控制邏輯(15)通過根據所述規則數據(18)確定所述操作是否需要至少一個認證用戶的認證，響應來自用戶計算機(3)的操作請求。如果是，則所述操作被推延。當建立了與認證設備(5)的相互授權的連接時，所述控制裝置能夠提供指示用戶計算機(3)請求的、需要所述設備的用戶授權的任意推延操作的信息。推延操作僅僅在接收到來自所述操作需要其授權的每一個授權用戶的授權時被執行，提供了移動的計算環境中安全的多方授權。
文檔編號G06Q40/00GK102160059SQ200980136305
公開日2011年8月17日 申請日期2009年9月17日 優先權日2008年9月17日
發明者弗蘭克.霍林, 彼得.比勒, 託馬斯.D.韋戈德, 託馬斯.艾裡奇, 索斯滕.克蘭普, 麥可.P.凱珀, 麥可.貝恩奇, 雷託.赫爾曼 申請人:國際商業機器公司