用於執行電子事務的系統和方法

2023-10-08 13:32:24 1

專利名稱：用於執行電子事務的系統和方法
技術領域：
本發明涉及一種用於執行安全電子事務的方法。本發明進一步 涉及相應的系統、相應的伺服器計算機、相應的硬體設備、相應的 客戶端計算機以及相應的電腦程式。
背景技術：
當前的網際網路認證過程通常利用公鑰基礎設施(PKI)。尤其是， 在用戶個人計算機(PC)上的惡意軟體的出現，使得對於用戶是否 連接到他所希望與其進行交互的期望伺服器計算機(例如，期望的 銀行伺服器)出現不確定性。人們已經知曉的用以防止敵意攻擊的 方法要求用戶檢查伺服器證書，其中該伺服器證書是由可信實體向 伺服器運營商所頒發。由於這種方法很不方便，因而許多用戶抵制 執行此類的伺服器證書檢查。另一已知方法使用與智慧卡相結合的 PKI技術。然而，用戶不能完全控制智慧卡實際上做什麼，例如，不 能控制智慧卡籤署了什麼或者智慧卡連接到何處。這是由於以下事 實而導致網際網路連接可能受到人工參與其中的攻擊、在用戶PC上 運行的蠕蟲或者病毒的威脅。此外，鍵盤登錄軟體和顯示調整軟體 可用以欺騙用戶進入偽造的網站進行操作，例如，將一些貨幣轉帳. 到敵意的銀行帳戶。
上述方法在處理中的某些點上依賴於以下步驟，在該步驟中， 伺服器在PC上顯示某些機密/秘密信息，和/或用戶在PC上輸入某 些機密/秘密的信息。即使對於具有顯示器和鍵盤特徵的安全智慧卡 讀取器來說，也是如此。安全智慧卡讀取器顯示的信息仍然由PC上 運行的軟體來控制。
US 6895502 Bl公開了 一種用於安全顯示和安全確認的方法，用以顯示和確認對伺服器計算機上資源的訪問請求是真正由客戶端用 戶所請求的。伺服器計算機響應於請求而向安全環境發送已加密質 詢，而該已加密質詢允許客戶端用戶來4企查和確認他執行相應的請求。
US 5 596 718公開了一種安全用戶接口 ，該安全用戶接口通過在 工作站的輸入/輸出設備以及工作站自身之間插入可信的路徑子系統 來創建。所述可信的路徑子系統是通過用戶來手工調取，並且利用 工作站的顯示器來顯示可信窗口 。
本發明的一個目的在於，提供其他的解決方案用於以安全方式 來執行電子事務。
本發明的另一目的在於，提供解決方案用於以成本有效的方式 實現執行電子事務。
本發明的另一目的在於，提供解決方案用於以改進用戶便利的 方式執行電子事務。
本發明的另一目的在於，提供解決方案用於以安全方式執行電 子事務，其中可以利用現有的伺服器基礎設施而不必調整伺服器。
本發明的另一目的在於，提供解決方案用於以安全方式執行電 子事務，其中可以利用現有的流認證協議(諸如，SSL/TLS)。

發明內容
本發明涉及如獨立權利要求中所定義的方法、系統、伺服器計 算機、客戶端計算機、硬體設備以及電腦程式。在所附從屬權利
要求中還提供了本發明的其他實施例。
根據本發明的一個方面，提供了 一種用於在伺服器計算機以及 客戶端計算機之間執行電子事務的方法，所述方法包括以下步驟
-經由通信網絡在所述伺服器計算機以及硬體設備之間，通過已 加密數據傳輸以及相互認證，來運行第一通信協議，
-在所述硬體設備中對從所述伺服器計算機接收的已加密服務 器響應來執行解密，-將來自所述硬體設備的所述已解密伺服器響應轉發至所述客 戶端計算機，
-在所述客戶端計算機的客戶端計算機顯示器上顯示所述已解 密伺服器響應，
-由所述硬體設備接收將要從所述客戶端計算機向所述伺服器 計算機發送的客戶端請求，
-由所述硬體設備針對預定義事務信息解析所述客戶端請求，
-由所述硬體設備將其中不包含任何預定義事務信息的客戶端 請求加密並且轉發至所述伺服器計算機，
- 一旦在客戶端請求中檢測到預定義的事務信息，則在所述硬體 設備的硬體設備顯示器上顯示所述預定義事務信息，
-如果接收到用戶確認，則將其中包含預定義事務信息的所述客 戶端請求加密並且轉發至所述伺服器計算機，
-如果沒有接收到用戶確認則取消所述電子事務。
根據本發明的這一方面的方法為電子事務提供了增強的安全 性。電子事務例如可以是電子支付、電子貨幣轉帳、電子訂單或者 任何其他機密的、私有的或者安全性敏感信息(諸如，登錄信息) 的傳輸。
此外，根據本發明的這一方面的方法具有以下優點可以以靈 活、有效以及經濟的方式來實現此方法。此方法的特別優勢在於， 該方法是對現有系統的有效和經濟的補充。更尤其是，此方法可以 在無須對伺服器計算機側進行任何改變的情況下實現對現有伺服器 基礎i殳施的補充。
硬體設備作用為伺服器計算機以及客戶端計算機之間的接口 。 換言之，在電子事務期間，僅有硬體設備直接地以邏輯方式與服務 器計算機進行通信。這允許對客戶端計算機以及伺服器計算機之間 的通信進行觀察、評價、解析以及控制。將客戶端計算機希望發送 至伺服器計算機的消息或者數據表示為客戶端請求，而將伺服器計 算機發送至客戶端計算機的消息或者數據表示為伺服器響應。硬體設備可以解密伺服器響應並且可以將其轉發至客戶端計算機。客戶 端計算機包括客戶端計算機顯示器，該顯示器可以向用戶呈現已解 密的伺服器響應。繼而，用戶可以藉助於客戶端計算機輸入單元(例 如，藉助於鍵盤和/或滑鼠)來與客戶端計算機進行交互並且發起客 戶端請求。客戶端計算機向硬體設備發送客戶端請求，並且硬體設 備針對預定義的事務信息來解析該客戶端請求。換言之，硬體設備 分析客戶端請求並且檢查該請求是否包含任何預定義的事務信息。 此類預定義的事務信息尤其是安全性敏感的、私有的和/或機密的信
息，諸如信用卡號碼、事務號碼(TAN)、銀行帳號、支付數據、 支付數額等。預定義可以是應用特定的和/或客戶特定的。作為示例， 提供在線銀行服務的銀行可以預定義將由用戶向銀行傳輸的哪些 信息認作是預定義的事務信息。此外，銀行可以提供具有不同安全 性級別的在線銀行服務。預定義的事務信息可以針對每個安全性級 別進行調整。
應該以廣泛的方式來理解屬於客戶端計算才幾。客戶端計算^/M列 如可以是膝上型PC、桌面PC、行動電話、個人數字助理(PDA) 或者用戶可以藉助於執行電子事務的任何其他電子設備。同樣，應 該以廣泛的方式理解術語伺服器計算機。伺服器計算機可以是具有 客戶端計算機希望與其執行電子事務的任何電子設備。
如果客戶端請求不包含任何預定義的事務信息，則硬體設備可 以將客戶端請求加密並且藉助於第一通信協議將其轉發至伺服器計 算機。如果客戶端請求包含預定義的事務信息，則硬體設備在硬體 設備的顯示器上顯示預定義的事務信息。這使得用戶能夠檢查預定 義的事務信息是否正確。此外，用戶可以將在客戶端計算機顯示器 上顯示的事務信息與在硬體設備顯示器上顯示的事務信息進行比 較。這便於檢測由人工參與其中的攻擊而產生的差異。如果用戶在 客戶端顯示器上顯示的事務信息以及硬體設備顯示器上顯示的事務 信息之間檢測到差異，則這表示在客戶端計算機上正在運行惡意軟 件，並且已經改變了用戶經由客戶端計算機輸入單元輸入的事務信可以以各種方式實現硬體設備顯示器。可以在適用於向用戶呈 現事務信息的各種設備或工具中實現硬體設備顯示器。用於硬體設
備顯示器的示例是液晶顯示器(LCD)、發光二極體(LED)顯示 器、等離子顯示器或者例如LCD或者雷射投影機的投影機。
如果預定義的事務信息不正確，則用戶可以取消或者不確認該 事務。繼而，硬體設備取消該事務。如果用戶已經驗證在硬體設備 顯示器上呈現的預定義事務信息是正確的，則他可以確認該事務。 一旦確認，則硬體設備將預定義的事務信息進行加密並且藉助於第 一通信協議將其發送至伺服器計算機。
存在實現用戶確認或者用戶取消的各種方式。根據本發明一個 實施例，可以藉助於硬體設備的硬體設備輸入單元來接收確認或者 取消。換言之，用戶可以按下硬體設備的取消按鈕或者確認按鈕。 備選地，可以進行如下指定如果用戶在預定義時間段內(例如， 在1分鐘內)沒有取消該事務，則硬體設備將其解釋為確認。根據 本發明的另 一 實施例，可以通過將硬體設備拔出客戶端計算機的接 口來執行取消。
在硬體設備和伺服器計算機之間作為端對端通信來建立和運行 第一通信協議。第一通信協議使用相互認證，即，伺服器計算機向 硬體設備認證其自身，並且硬體設備向伺服器計算機認證其自身。 在硬體設備和伺服器計算機之間以加密方式執行數據傳輸以便提供 高度的機密性。
根據本發明第 一 方面的 一 個實施例，所述方法進 一 步包括以下 步驟
-在常規操作模式中，經由所述客戶端計算機的代理應用，在所 述客戶端計算機的瀏覽器應用以及所述伺服器計算機之間來運行第 二通信協i義，
-在安全操作模式中，在所述伺服器計算機以及所述硬體設備之 間運行所述第 一通信協議，-在所述安全操作模式中，經由所述代理應用將客戶端請求從所 述瀏覽器應用路由至所述硬體設備，以及經由所述代理應用將客戶 端請求從所述硬體設備路由至所述伺服器計算機，
-在所述安全操作模式中，經由所述代理應用將伺服器響應從所 述伺服器計算機路由至所述硬體設備，以及經由所述代理應用將服 務器響應從所述硬體設備路由至所述瀏覽器應用。
代理應用可以實現為在客戶端計算機上運行的電腦程式，並 且允許有效實現所述方法。其執行在硬體設備、瀏覽器應用以及服 務器計算機之間功能性設置的切換功能。在常規操作模式中，代理
應用經由通信網絡來分別將客戶端請求直接從瀏覽器應用轉發或者 路由至伺服器計算機。在其他方向中，經由通信網絡將伺服器響應 發送至代理應用，並且直接將其從代理應用轉發至瀏覽器應用。
在常規操作模式用，優選的是，用戶不與伺服器計算機交換安 全性敏感的信息。在常規操作模式中，硬體設備可以處於關閉或者 未插入狀態。
在用戶瀏覽會話期間，如果用戶希望執行可能涉及安全性敏感 信息交換的電子事務，則調取安全操作模式。根據本發明的這一實 施例，在安全模式中，在伺服器計算機以及硬體設備之間經由代理 應用和通信網絡來運行第一通信協議。此外，在瀏覽器應用與硬體 設備之間的通信是經由代理應用來執行。
根據本發明第 一 方面的 一 個實施例，所述方法進 一 步包括以下
步驟
-由所述代理應用針對預定義的客戶端請求集合而解析客戶端 請求，
- 一旦檢測到預定義的客戶端請求，則由所述代理應用來啟動所 述安全操作模式。
這是一種用以自動方式調取安全操作模式的有效方法。代理應 用可以自動啟動安全操作模式而無須任何用戶交互。作為示例，預 定義的客戶端請求集合可以包括標識伺服器計算機資源的統一資源標識符(URI)或者統一資源定位符(URL)的預定義集合。此類資 源例如可以是用戶具有帳戶的一個或者多個4艮行的URL、和/或用戶 希望與其執行電子商務的一個或者多個電子商務實體、或者用戶希 望與其執行電子事務的任何實體。在用戶的瀏覽器應用中，如果用 戶輸入了這些預定義的URL或者URI之一，則代理應用對其進行檢 測並且啟動安全操作模式。安全操作模式例如可以藉助於向硬體設 備發送"啟動安全模式"的信號來啟動。
根據本發明另一實施例，安全模式可以通過用戶人工調取，例 如通過將安全硬體設備與客戶端計算機相連接。
根據本發明第 一 方面的 一 個實施例，在從所述硬體設備向所述 客戶端計算機轉發所述已解密伺服器響應之前，所述方法進一步包
括以下步驟
-由所述硬體設備來針對預定義的事務信息解析所述伺服器響
應，
-由所述硬體設備向所述客戶端計算機轉發不包含任何預定義
的事務信息的伺服器響應，
- 一旦在伺服器響應中檢測到預定義的事務信息，則在所述硬體 設備的所述硬體設備顯示器上顯示所述預定義的事務信息，
-如果接收到用戶確認，則向所述客戶端計算機轉發包含所述預
定義事務信息的所述伺服器響應，
-如果沒有接收到用戶確認，則取消所述電子事務。 在解析客戶端請求以外，解析伺服器響應提供了增強的功能性
和應用。伺服器響應的預定義事務信息可以顯示在硬體設備顯示器 上以提請用戶注意。伺服器響應的預定義事務信息例如可以包括服 務器計算機的警告消息，該消息可以顯示在硬體設備顯示器上。此
外，伺服器響應的預定義事務信息可以是對用戶的伺服器質詢，或 者是從伺服器計算機到用戶的任何其他安全性敏感的信息。這具有 以下優勢，即使在客戶端計算機上運行有惡意軟體防止在客戶端計 算機顯示器上顯示預定義事務信息時、或者如果惡意軟體操縱客戶端計算機顯示器上的視圖時，用戶也可以檢查伺服器的此類預定義 事務信息。
根據本發明第 一方面的另 一 實施例，所述第 一通信協議包括網
絡層，所述網絡層包括根據安全套接層(SSL)標準、或者根據傳輸 層安全性(TLS)標準的協議、以及根據傳輸控制協議/網際網路協議 (TCP-IP)標準的協議。
這些協議得到廣泛應用並且廣泛流行。根據本發明的這一方面 的方法可以使用這些協議而無須》f改。這允許以成本有效的方式來 實現本發明的這一方面。SSL或者TLS層在TCP/IP層之上運行，並 且提供伺服器認證、客戶端認證以及已加密數據傳輸的功能性。
根據本發明第 一方面的另 一 實施例，第 一通信協議包括包含超 文本傳輸協議(HTTP)的應用層。
此協議廣泛應用並且廣泛流行。優選的是，與網絡層上的SSL 或者TLS協議結合，可以建立超文本傳輸協議安全(HTTPS)。
根據本發明這一方面的另一實施例，第二通信包括包含傳輸 控制協議/網際網路協議(TCP/IP)的網絡層、以及包含超文本傳輸協 議(HTTP)的應用層。
這些協議可以廣泛應用並且廣泛流行。在常規4喿作模式中，客 戶端計算機的用戶可以藉助於使用TCP/IP和HTTP的瀏覽器應用來 瀏覽網際網路。
根據本發明的這一方面的另一實施例，所述方法包括由服務 器計算機執行用戶認證的步驟。
這 一 附加認證增強了所述方法的安全性。此類用戶認證例如可 以藉助於用戶的個人標識號碼(PIN)或者密碼來執行。作為示例， 伺服器可以向客戶端計算機發送伺服器響應，該響應要求用戶輸入 其密碼或者PIN。密碼或者PIN存儲在伺服器計算機處，並且由此 可以由伺服器計算機來檢查。認為用戶認證是這樣一種認證，其不 能由硬體設備其自身來自動執行，而是需要系統用戶的附加輸入。 這防止了敵意方在不知道附加密碼或者PIN的情況下可以濫用偷來的硬體設備。相反，在第一通信協議期間執行的硬體設備以及服務: 器計算機之間的相互認證可以自動執行，而無須進一步的用戶交互。 優選的是，從安全硬體設備向伺服器計算機發送任何預定義事務信 息之前，執行所述用戶認證。
根據本發明這一 方面的另 一 實施例，所述方法包括由硬體設備 來導丸行用戶認證。
這一 附加認證增強了所述方法的安全性。此類用戶認證例如可 以藉助於密碼或者個人標識號碼(PIN)來執行。作為示例，硬體設 備可以顯示消息，該消息要求用戶藉助於硬體設備輸入單元來輸入
其密碼或者PIN。密碼或者PIN存儲在硬體設備處或者存儲在由硬
件設備可讀的智慧卡上，並且由此可以由硬體設備來檢查。這防止
了敵意方在不知道附加密碼或者PIN的情況下可以濫用偷來的硬體 設備。還可以使用如生物學認證的其他用戶認證方法，例如指紋讀 取。在此實施例中，優選的是，分別在開始或者建立第一通信協議 之前，執行所述用戶認證。
根據本發明的第二方面，提供了 一種用於執行電子事務的系統， 包括
-伺服器計算機，
-客戶端計算機，包括客戶端計算機顯示器以及客戶端計算機輸 入單元，
-硬體設備，包括硬體設備顯示器，
-在所述硬體設備和所述伺服器計算機之間的通信網絡，所述系 統適用於
-在所述伺服器計算機以及所述硬體設備之間通過已加密數 據傳輸和相互認證，來運行第一通信協議，
-在所述硬體設備中對從所述伺服器計算機接收的已加密服 務器響應來執行解密，
-將-端計算機，-在客戶端計算機顯示器上顯示所述已解密伺服器響應，
-由所述硬體設備接收將要從所述客戶端計算機向所述服務 器計算機發送的客戶端請求，
-由所述硬體設備針對預定義事務信息解析所述客戶端請求，
-將其中不包含任何預定義的事務信息客戶端請求加密並且 轉發至所述伺服器計算機，
- 一旦在客戶端請求中檢測到預定義的事務信息，則在硬體設 備顯示器上顯示所述預定義事務信息，
-如果接收到用戶確認，則將其中包含預定義事務信息的所述 客戶端請求加密並且轉發至所述伺服器計算機，
-如果沒有接收到用戶確認，則取消所述電子事務。 本發明的第二方面實現了關於系統方面的其中可以實現本發明 第一方面的方法的系統。
根據本發明第三方面，提供了 一種用於藉助於硬體設備在所述 硬體設備中控制伺服器計算機以及客戶端計算機之間的電子事務的
方法，所述方法包括以下步驟
-通過已加密數據傳輸和相互認證，與所述伺服器計算機運行第 一通信協i義，
-對從所述伺服器計算機接收的已加密伺服器響應來執行解密， -將所述已解密伺服器響應轉發至所述客戶端計算機， -接收將要從所述客戶端計算機發送至所述伺服器計算機的客 戶端請求，
-針對預定義事務信息來解析所述客戶端請求，
-將其中不包含任何預定義的事務信息的客戶端請求加密並且 轉發至所述伺服器計算機，
- 一旦在客戶端請求中檢測到預定義的事務信息，則在所述硬體 設備的硬體設備顯示器上顯示所述預定義事務信息，
-如果接收到用戶確認，則將其中包含所述預定義事務信息是所 述客戶端請求轉發並且加密至所述伺服器計算機，-如果沒有接收到用戶確認，則取消所述電子事務。
根據本發明的第三方面涉及在硬體設備中執行的方法步驟。
根據本發明的第四方面，提供了 一種用於控制電子事務的硬體
設備，包括
-硬體設備顯示器以及硬體設備接口單元，其中所述硬體設備接 口單元被提供用於將所述硬體設備耦合至客戶端計算機，其中所述
硬體設備適用於
-通過已加密數據傳輸和相互認證來與伺服器計算機運行第 一通信協議，
-對從所述伺服器計算機接收的已加密伺服器響應來執行解 密，
-將所述已解密伺服器響應轉發至所述客戶端計算機， -接收將要從所述客戶端計算機發送至所述伺服器計算機的 客戶響應，
-針對預定義事務信息來解析所述客戶端請求， -將其中不包含任何預定義的事務信息的客戶端請求加密並 且轉發至所述伺服器計算機，
- 一旦在客戶端請求中檢測到預定義的事務信息，則在所述硬 件設備顯示器上顯示所述預定義事務信息，
-如果接收到用戶確認，則將其中包含所述預定義事務信息的 所述客戶端請求加密並且轉發至所述伺服器計算機，
-如果沒有接收到用戶確認，則取消所述電子事務。 可以以靈活有效的方式實現和使用此類硬體設備，用於改進電 子事務的安全性。尤其是，如果第一通信協議(例如，SSL)對服務 器是已知的，則無須在伺服器計算機側實現任何變化。硬體設備可 以與普通客戶端計算機(諸如，桌面PC或者膝上型計算機) 一起工
接口單元連接至客戶端計算機的第 一接口來實現。硬體設備接口單 元可以是無線或者有線的接口單元。作為示例，硬體設備接口單元可以是通用串行總線(USB)接口。
根據本發明的第四方面的 一個實施例，硬體設備包括用於存儲 安全性敏感數據的安全性令牌(security token )。
此類安全性令牌是硬體單元，還表示為硬體令牌，該安全性令 牌可以存儲安全性敏感的數據，尤其是以防止篡改的方式存儲安全 性敏感的用戶數據。換言之，不能讀出或者操縱在安全性令牌中存 儲的安全性敏感的數據。防止篡改的程度或者級別可以適用於各應 用的安全性需要。安全性令牌例如可以是硬體組件，該硬體組件包 括存儲所述安全性敏感數據的智慧卡。
根據本發明的第四方面的實施例，硬體設備包括用於從智慧卡 讀取安全性敏感數據的智慧卡讀取器。
根據此實施例，智慧卡的智慧卡晶片存儲安全性敏感數據。可 以由用戶將智慧卡保存在硬體設備以外的不同位置。在運行硬體設 備之前，用戶需要將智慧卡插入硬體設備的智慧卡讀取器。
根據本發明第四方面的實施例，硬體設備具有一個或者多個預 定義的防止篡改級別。
的安全性需求越高，則可以選擇越高的防止篡改級別。優選的是， 防止篡改級別是防篡改的。
預定義的防止篡改級別可以解決不同的攻擊，例如，對抗惡意 軟體的防止篡改級別、或者對抗物理操縱硬體的防止篡改級別、或 者對抗硬體設備檢測的防止篡改級別，尤其是藉助於顯微鏡檢測存 儲設備或者存儲器。惡意軟體也稱為malware (黑心軟體)，可以認 為惡意軟體是旨在對硬體設備的正確功能產生危害、調整或者操縱 的任何軟體。此類惡意軟體例如可以是病毒、蠕蟲、木馬、間諜軟 件或者其他不期望的軟體。換言之，惡意軟體是設計以對計算機系 統產生入侵、損害或者危害的軟體。
根據本發明第四方面的實施例，硬體設備的預定義防止篡改級 別高於客戶端計算機的防止篡改級別。這意味著，敵意方操縱或者篡改硬體設備要比操縱客戶端計算 機更難。相對於改進整個客戶端計算機的防止篡改來說，關注於硬 件設備的防止篡改是更為成本有效的。尤其是，對於敵意方來說， 在硬體設備上放置惡意軟體比在客戶端計算機上放置惡意軟體更困 難。
根據本發明第四方面的實施例，以如下方式設計所述硬體設備， 其中不能將軟體應用裝載到所述硬體設備。
這可以防止病毒、蠕蟲或者其他惡意軟體操縱或者危害硬體設 備的功能。此實施例例如可以通過在設置保險的存儲器中存儲硬體 設備的一個或者多個程序來實現。換言之，在已經將一個或者多個 電腦程式裝載至硬體設備的程序存儲器中之後，對程序存儲器設
上運行。
根據本發明第四方面的實施例，安全性敏感的數據包括私鑰以 及信任根信息。
私鑰可以用於與伺服器計算機執行第一通信協議，尤其是互相
認證
信任根信息定義了硬體設備信任哪些授權。信任根信息可以包 括例如硬體設備所信任的證書授權的 一個或者多個證書授權根密
鑰。這允許使用公鑰基礎設施(PKI)技術用於執行第一通信協議的 相互認證。
根據本發明第四方面的實施例，硬體設備包括用於確認和/或取 消事務的硬體設備輸入單元。
硬體設備輸入單元例如可以通過一個或者多個按鈕(例如，通 過確認按鈕和/或取消按鈕)來建立。
根據本發明的第五方面提供了 一種客戶端計算機，所述客戶端 計算機可經由第 一接口連接至通信網絡，並且經由第二接口連接至 硬體設備，所述客戶端計算機包括
-瀏覽器應用，用於瀏覽所述通信網絡；以及代理應用，所述代理應用適用於
-在常規操作模式中，將從所述客戶端計算機的所述瀏覽器應 用接收的客戶端請求轉發至所述通信網絡的伺服器計算機，
-在常規操作模式中，將從所述伺服器計算機接收的伺服器響 應轉發至所述客戶端計算機的所述瀏覽器應用，
-在安全操作模式中，將客戶端請求從所述瀏覽器應用轉發至 所述硬體設備，以及將客戶端請求從所述硬體設備轉發至所述 伺服器計算機，
-在安全操作模式中，將從所述伺服器計算機所接收的伺服器 響應轉發至所述硬體設備，以及將伺服器響應從所述硬體設備
轉發至所述瀏覽器應用，其中所述客戶端計算機適用於在所 述安全操作模式中經由所述硬體設備並經由所述通信網絡，來 與所述伺服器計算機執行電子事務。
可以以有效方式實現此類客戶端計算機。代理應用允許更新普
通客戶端計算機，並且使其與所述硬體設備協作。
根據本發明第五方面的實施例，所述代理應用適用於
-針對預定義的客戶端請求集合來解析客戶端請求，
- 一旦檢測到預定義客戶端請求，則啟動所述安全操作模式。
這是以自動方式觸發安全模式的有效方式。用戶不需要主動開
始安全模式，但是需要確保無論何時發送一個預定義客戶端請求，
應當自動開始安全模式。
根據本發明第五方面的實施例，通過從代理應用向硬體設備發
送安全模式啟動信號來啟動安全模式。
安全模式啟動信號指示所述硬體設備將開始安全模式。
根據本發明的第六方面，提供了 一種包括指令的電腦程式，
當在客戶端計算機上執行所述電腦程式時，所述指令用於執行以
下步驟
-在常規操作模式中，將從所述客戶端計算機的瀏覽器應用接收 的客戶端請求轉發至通信網絡的伺服器計算機，-在常規操作模式中，將從所述伺服器計算機接收的伺服器響應 轉發至所述客戶端計算機的所述瀏覽器應用，
-在安全操作模式中，將客戶端請求從所述瀏覽器應用轉發至硬 件設備，以及將客戶端請求從所述硬體設備轉發至所述伺服器計算 機，
-在安全操作模式中，將從所述伺服器計算機所接收的伺服器響 應轉發至所述硬體設備，以及將伺服器響應從所述硬體設備轉發至 所述瀏覽器應用。
此類電腦程式實施了代理應用，並且在瀏覽器應用與硬體設 備之間建立有效且靈活的接口 。此類電腦程式使得瀏覽器應用與 硬體設備以有效方式協作。
根據本發明第六方面的實施例，所述電腦程式進一 步包括如 下指令，當在客戶端計算機上執行所述電腦程式時，所述指令用
於執行以下步驟
-針對預定義的客戶端請求集合而解析客戶端請求，
- 一旦檢測到預定義的客戶端請求，則啟動所述安全操作模式。 根據本發明的第七方面，提供了 一種藉助於硬體設備來在所述
硬體設備中控制在伺服器計算機以及客戶端計算機之間的電子事務 的方法，所述方法包括
-通過已加密數據傳輸和相互認證，來與所述伺服器計算機運行 第一通信協議，
-對從所述伺服器計算機接收的已加密伺服器響應來執行解密， -針對預定義事務信息解析所述伺服器響應， -將其中不包含任何預定義的事務信息的伺服器響應轉發至所 述客戶端計算機，
- 一旦在伺服器響應中檢測到預定義的事務信息，則在所述硬體 設備的硬體設備顯示器上顯示所述預定義事務信息，
-如果接收到用戶確認，則將其中包含預定義事務信息的所述服 務器響應轉發至所述客戶端計算機，-如果沒有接收到用戶確認，則取消所述電子事務。 本發明的這一方面涉及一種根據其來解析伺服器響應的方法， 而不是解析客戶端請求。伺服器響應的預定義事務信息例如可以包 括伺服器對用戶的質詢、或者從伺服器計算機到用戶的安全性敏 感信息。
作為示例，此類方法可以以增強的安全性來執行軟體下載。在 硬體設備將軟體轉發至客戶端計算機之前，硬體設備可以顯示這樣 的消息，該消息詢問用戶是否同意下載。此外，伺服器可以將關於 軟體完整性的某些用戶確認信息發送至硬體設備。繼而，硬體設備 將在硬體設備顯示器上顯示用戶確認信息，並且用戶可以在將其下 載之前確認軟體的完整性。這尤其適用於避免下載惡意軟體。
根據本發明第八方面，提供了 一種用於控制電子事務的硬體設
備，包括
-硬體設備顯示器以及硬體設備接口單元，其中所述硬體設備接 口單元被提供用於將所述硬體設備耦合至客戶端計算機，其中所述 硬體設備適用於
-通過已加密數據傳輸和相互認證，來與伺服器計算機運行第
一通信協議，
-對從所述伺服器計算機接收的已加密伺服器響應來執行解 密，
-針對預定義事務信息來解析所述伺服器響應，
-將其中不包含任何預定義的事務信息的伺服器響應轉發至 所述客戶端計算機，
- 一旦在伺服器響應中檢測到預定義的事務信息，則在所述硬 件設備顯示器上顯示所述預定義事務信息，
-如果接收到用戶確認，則將其中包含預定義事務信息的服務 器響應轉發至所述客戶端計算機，
-如果沒有接收到用戶確認，則取消所述電子事務。 本發明的第八方面提出了一種硬體設備，在所述硬體設備中可以執行根據本發明第七方面所述的方法。
可以以不同順序執行本發明不同方面的步驟。此外，還可以結 合所述步驟，即，例如一起執行兩個或者更多步驟。
任一設備特徵還可適用於本發明的方法方面，反之亦然。設備 特徵的優勢適用於相應的方法特徵，反之亦然。


在下文中，參考以下示意性附圖，並僅以示例方式來詳細描述 本發明的優選實施例。
所提供的附圖僅用於示意性目的，而不必表示本發明的實際示 例的尺度。在附圖中，使用相同的參考標記來表示相同或類似的部 分。
圖1是根據本發明一個實施例的系統的框圖2是根據本發明一個實施例的硬體設備的框圖3是根據本發明另一實施例的硬體設備的框圖4示出了根據本發明一個實施例的在瀏覽器應用、代理應用、
硬體設備以及伺服器計算機之間的通信流程；
圖5示出了在常規操作模式下的根據本發明一個實施例的方法
的消息流程的示意性圖示；以及
圖6至圖8示出了在安全操作模式下的根據本發明一個實施例
的方法的消息流程的示意性圖示。
具體實施例方式
圖1示出了根據本發明一個實施例的系統100。該系統100包括 伺服器計算機IIO、客戶端計算機120以及硬體設備130。客戶端計 算機120包括客戶端計算機顯示器121以及客戶端計算機輸入單 元122。客戶端計算機輸入單元122包括鍵盤123以及滑鼠124。 客戶端計算機120進一步包括處理單元140、存儲器151 (例如， 易失性存儲器設備)以及藉助於總線系統153耦合併設置於計算機殼體154中的存儲設備152。存儲設備152可以包括非易失性存儲 器設備(例如，EEPROM、 ROM、 PROM、 RAM、 DRAM、 SRAM、 快閃記憶體、固件、可編程邏輯等)、磁碟驅動、光碟驅動以及磁帶驅動 等。存儲設備152可以包括內部存儲設備、附接的存儲設備和/或 網絡可訪問的存儲設備。客戶端計算機120可以包括程序邏輯157， 該程序邏輯157包括可以裝載到存儲器151中並且由處理單元150 執行的程序代碼158。在特定實施例中，程序邏輯157包括的程序代 碼158可以存儲在存儲設備152之中。由此，儘管圖l示出的程序 邏輯157獨立於其他元件，然而程序邏輯157可以在存儲設備152 中實現。
客戶端計算機120經由第一接口 156耦合至通信網絡160。第一 接口 156可以是無線接口或者有線接口 ，尤其是通用串行總線(USB) 接口。通信網絡160可以是網際網路。客戶端計算機120經由第二接 口 155來耦合至硬體設備130。第二接口 155可以是無線接口或者有 線接口，尤其是USB接口。客戶端計算機120可以是個人計算機 (PC)。伺服器計算機110還耦合至通信網絡160。伺服器計算機 110例如可以是銀行、保險公司、或者經由通信網絡160 (尤其是因 特網)來提供電子事務的實體的伺服器計算機。
圖2更詳細地示出了圖1的硬體設備130的實施例。硬體設備 130包括處理單元200、硬體設備顯示器210、存儲器220 (例如， 易失性存儲器設備)以及存儲設備230。存儲設備230可以包括非 易失性存儲器設備(例如，EEPROM、 ROM、 PROM、 RAM、 DRAM、 SRAM、快閃記憶體、固件、可編程邏輯等)。硬體設備230可以包括程 序邏輯240,該程序邏輯240包括可以裝載到存儲器220中並且由處 理單元200執行的程序代碼241。在特定實施例中，包括程序代碼 241的程序邏輯240可以存儲在存儲設備230中。由此，儘管圖2 示出的程序邏輯240獨立於其他元件，然而程序邏輯240可以在存 儲設備230中實現。硬體設備130進一步包括智慧卡讀取器250、 硬體設備接口單元270 (還表示為1/0單元270)、以及硬體設備輸入單元280。硬體設備接口單元270可以是無線接口或者有線接口 ， 尤其是通用串行總線(USB)接口。硬體設備接口單元270可以用 以將硬體設備130連接或者耦合至客戶端計算機120。硬體設備輸入 單元280被提供用於用戶輸入，並且可以包括一個或者多個按鈕或 者完整的4定盤。作為示例，硬體設備輸入單元280可以僅包括兩個 按鈕 一個取消按鈕用於取消事務，以及一個確認按鈕用於確認事 務。硬體設備130由殼體290 (例如，塑料殼體)來覆蓋。
智慧卡讀取器250可從智慧卡260讀取安全性敏感數據，尤其 是安全性敏感的用戶數據，諸如私鑰以及信任根信息。
圖3更詳細地示出了圖1的硬體設備130的另一實施例。根據 圖3的實施例的硬體設備130包括處理單元200、硬體設備顯示器 210、存儲器220、存儲設備230、包括程序代碼241的程序邏輯240、 硬體設備接口單元270、硬體設備輸入單元280以及參考圖2所示的 殼體290。
此外，該硬體設備130包括內建的安全性令牌310用於存儲安 全性敏感的數據(諸如，私鑰以及信任根信息)。安全性令牌310 例如可以是智慧卡晶片。
優選的是，可以在可信以及安全環境中初始化硬體設備130,例 如，在銀行的安全位置處初始化。此類初始化包括例如將安全性敏 感信息裝載至安全性令牌310或者裝載至智慧卡260。硬體設備130 例如可以實現為USB盤。
圖4示出了在客戶端計算機120上運行的瀏覽器應用410、在客 戶端計算機120上運行的代理應用420、硬體設備130、通信網絡160 以及伺服器計算機IIO之間的通信流程。
根據本發明的一個實施例，如參考圖l所述，瀏覽器應用410 以及代理應用420實現為客戶端計算機120的程序邏輯157的程序 代碼158。尤其是，瀏覽器應用420可以是網頁瀏覽器，其支持用戶 顯示文本、圖像、視頻、音樂以及可以定位於網際網路的網頁或者網 站的其他信息並與其進行交互。尤其是，瀏覽器應用420支持用戶顯示文本、圖像、視頻、音樂以及經由通信網絡160從伺服器計算
機IIO可訪問的其他信息並與其進行交互。瀏覽器應用410可以經 由代理應用420以及經由通信網絡160 (例如，藉助於應用層中的 HTTP協議以及網絡層中的傳輸控制協議/網際網路協議(TCP/IP)) 來與伺服器計算機IIO進行通信。
在常規操作模式中，瀏覽器應用410經由代理應用420連接至 通信網絡160。在常規操作模式中，瀏覽器應用410運行第二通信協 議，並且經由代理應用420和通信網絡160將客戶端請求(例如， HTTP get請求)發送至伺服器計算機110。在另一方向，伺服器計 算機IIO在常規操作模式中經由通信網絡160和代理應用420，將服 務器響應(例如，HTTP響應)發送至瀏覽器應用410。在常規操作 模式中，代理應用420作為瀏覽器應用410以及通信網絡160之間 的轉發器，同時並行地分別觀察和解析針對預定義客戶端請求集合 的客戶端請求。預定義的客戶端請求集合例如可以是統一資源定位 符(URL)的集合。預定義的客戶端請求表示這樣的資源集合，客 戶端計算機12 0的用戶針對該資源集合已經預定義如下內容與該 資源進行的通信應當受到硬體設備130的控制。作為示例，客戶端 計算機120的用戶可以將其銀行的URL定義為代理應用420中的預 定義請求。繼而，代理應用420可以觀察用戶在瀏覽器應用410中 是否輸入了此銀行的相應URL。換言之，代理應用420觀察用戶是 否經由通信網絡160向伺服器計算機IIO發送訪問預定義的URL的 客戶端請求。 一旦檢測到預定義的客戶端請求之一，則代理應用420 進行切換並且啟動安全操作模式。在安全操作模式中，代理應用420 改變數據流程並且將從瀏覽器應用410所接收的客戶端請求路由至 硬體設備130。此外，代理應用420通過向硬體設備130發送適當信 號(例如，安全模式啟動信號)來啟動安全操作模式。繼而，硬體 設備130利用已加密數據傳輸以及相互認證來在伺服器計算機110 和硬體設備130之間運行第一通信協議。其後，硬體設備130作為 伺服器計算機110以及客戶端計算機120的瀏覽器應用410之間的智能接口。換言之，硬體設備130控制並且觀察在伺服器計算機110
和瀏覽器應用410之間的數據通信。在安全操作模式中，代理應用 420作為一種開關而操作。另一方面，代理應用420在安全操作模式 中將從硬體設備130所接收的客戶端請求轉發至通信網絡160，以及 將從通信網絡160所接收的伺服器響應轉發至硬體設備130。另一方 面，代理應用420在安全操作模式中將從瀏覽器應用410接收的客 戶端請求轉發至硬體設備130，並且將從硬體設備130接收的伺服器 響應轉發至瀏覽器應用410。
在已經建立了第一通信協議之後，硬體設備130分別針對預定 義事務信息來解析從客戶端計算機120接收的客戶端請求、或者從 瀏覽器應用410接收的客戶端請求。換言之，硬體設備130觀察其 從客戶端計算機120接收到的數據流量是否包含任何預定義事務信 息。此類預定義事務信息例如可以是諸如支付細節、支付數額等的 安全性敏感信息。預定義事務信息例如可以由各URL的所有者來預 定義，例如由用戶希望與其執行事務的銀行來預定義。預定義事務 信息例如可以藉助於HTTP post請求來發送。 一旦一全測到預定義事 務信息，則硬體設備130中斷相應的客戶端請求，並且在硬體設備 130的硬體設備顯示器210上顯示所檢測到的預定義事務信息。希望 執行事務的用戶繼而可以在硬體設備顯示器210上檢查各個事務信 息是否正確。作為示例，如果預定義事務信息涉及電子支付的轉帳 數額，則硬體設備130可以在硬體設備顯示器210上顯示各自的轉 帳數額。用戶可以在硬體設備顯示器210上檢查轉帳數額是否正確。 僅在如果用戶經由硬體設備輸入單元280確認了事務(例如，通過 按下確認按鈕)時，硬體設備130繼續進行事務。如果硬體設備130 接收到此類確認，則其繼續該事務並且經由代理應用420和通信網 絡160將事務信息轉發至伺服器計算機110。如果硬體設備130沒有 接收到確認信號或者取消信號，則其取消該事務並且不向代理應用 420轉發事務信息。
優選地， 一旦檢測到預定義事務信息，則硬體設備130發送中斷消息(也稱作確認請求消息)返回瀏覽器應用410。此類中斷消息
可以向瀏覽器應用410指示硬體設備130已經識別了預定義事務 信息，並且在繼續進行該事務之前正在等待用戶確認。優選的是， 瀏覽器應用410在客戶端計算機顯示器121上向用戶顯示相應的中 斷消息(也稱作確認請求消息)。此類中斷消息例如可以通知用戶 該用戶應當在硬體設備顯示器210上雙擊事務信息是否正確，並且 該用戶應當經由硬體設備輸入單元280來進行確認。
硬體設備130包括用於解析客戶端請求的解析程序。解析程序 包括預定義事務信息，並且可以是應用特定的。作為示例，銀行可 以發布其上裝載有銀行特定解析程序的銀行特定的硬體設備130。各 個銀行可以將解析程序調整以適應於其特定的在線銀行服務處理以 及其特定的安全性要求和需求。優選的是，在可信和安全環境下初 始化解析程序，例如在銀行的安全位置處。解析程序優選地裝載並 存儲於硬體設備130的安全性令牌310或者智慧卡260之中。然而， 根據本發明的另一實施例，解析程序可以存儲在硬體設備130的存 儲設備230中。
根據本發明的一個實施例，硬體設備130針對預定義事務信息 來解析從伺服器計算機IIO接收到的伺服器響應。換言之，除了解 析客戶端請求，硬體設備130還針對預定義事務信息來解析伺服器 響應。
在圖4中，藉助於虛線示出了由硬體設備130針對客戶端請求 和伺服器響應執行的解析過程。
圖5、圖6、圖7以及圖8示出了根據本發明一個實施例方法的 消息流程的示意性圖示。其中，以標記箭頭示出了在伺服器計算機 110、代理應用420、瀏覽器應用410以及硬體設備130之間的消息 流程，對各個箭頭分配了各自的參考數字。以圓圏中的參考數字來 指示其他的步驟或者子步驟。應該理解，如逐漸增大的參考數字所 指示，此流程是以從上到下的順序方式執行。
圖5示出了常規操作模式中的消息流程。在步驟510中，客戶端計算機120的用戶藉助於客戶端計算機 輸入單元122來輸入客戶端請求(例如，網站的URL)。在步驟520 中，瀏覽器應用410向代理應用420發送客戶端請求(例如，包含 網站URL的HTTP get請求)。在步驟530中，代理應用420針對 預定義請求集合(例如，針對預定義的URL集合)來解析客戶端請 求。在此示例中，假定步驟520中發送的客戶端請求不屬於或者不 對應於預定義的客戶端請求集合。由此，代理應用420在步驟540 中經由通信網絡160來向伺服器計算機IIO轉發客戶端請求。在步 驟550中，伺服器計算機IIO通過發送回伺服器響應(例如，包括 所請求URL的HTML文件的HTTP伺服器響應)來進行回答。繼而， 在步驟560中，在客戶端計算機顯示器121上顯示伺服器響應(例 如，包括所請求URL的HTML文件)。
步驟510、 520、 530、 540、 550以及560表示瀏覽器應用410 以及代理應用420的常規操作模式。可以在沒有硬體設備130的情 況下執行常規操作模式。在常規操作模式中，在瀏覽器應用410以 及伺服器計算機IIO之間運行第二通信協議。
在步驟570中，客戶端計算機120的用戶藉助於客戶端計算機 輸入單元122來輸入另一客戶端請求(例如，網站的URL)。在步 驟580中，瀏覽器應用410向代理應用420發送相應的客戶端請求。 在此示例中，假定在步驟580中發送的客戶端請求屬於或者對應於 預定義客戶端請求集合。作為示例，在步驟580中發送的客戶端請 求可以是針對屬於預定義URL集合的URL的HTTP get請求。例如， 可以是用戶銀行的網站的URL。在步驟590中，代理應用420針對 預定義請求集合來解析客戶端請求，並且檢查在步驟580中發送的 客戶端請求屬於或者對應於預定義客戶端請求集合。由此，代理應 用420切換至安全操作模式，並且在步驟595中通過向硬體設備130 發送安全模式啟動信號來在硬體設備130中啟動安全操作模式。安 全模式啟動信號例如可以實現為"啟動安全模式"命令，硬體設備 130可以理解該命令。安全模式啟動信號向硬體設備130指示針對在瀏覽器應用410以及伺服器計算機UO之間的後續通信，將要開 始安全操作模式。
參考圖6、圖7以及圖8，示出了安全操作模式中的消息流程。 在步驟595中已經接收到安全模式啟動信號之後，在步驟605 中，硬體設備130經由代理應用420來向瀏覽器應用410發送確認 請求消息(CRM)。繼而，在步驟610中，瀏覽器應用410在客戶 端計算機顯示器121上向用戶顯示確認請求消息。確認請求消息要 求用戶確認將要執行安全操作模式。該消息例如可以顯示如下"您 請求的網站要求啟動安全操作模式，請通過按下您硬體設備的確認 按鈕來確認同意，，。在步驟615中，在硬體設備130的硬體設備顯 示器210上顯示相應的消息，尤其是諸如"確認安全模式？" 一類 的縮略語。在步驟620中，可以經由硬體設備輸入單元280來接收 用戶的確"i人響應。
一旦在步驟620中接收到用戶確認，則硬體設備130在步驟625 中經由代理應用420以及通信網絡160向伺服器計算機110發送問 候消息。在步驟630中，伺服器計算機110經由通信網絡160以及 代理應用420向硬體設備130發回問候消息。在步驟635中，服務 器計算機IIO對硬體設備130認證其自身。這可以包括向硬體設備 130發送伺服器證書(公鑰證書)。另外，可以包括針對客戶端證書 的證書請求。在步驟640中，客戶端計算機120對伺服器計算機110 認證其自身。這可以包括向伺服器計算機IIO發送客戶端證書(公 鑰證書)。總之，伺服器計算機110以及硬體設備130在步驟635 和640中執行互相認證。
在步驟645和650中，伺服器計算機110和硬體設備130交換 對稱密碼密鑰SK,也稱作會話密鑰。
可以藉助於SSL/TLS握手協議來實現步驟625至650。 接著，藉助於會話密鑰SK來以加密方式在硬體設備130和服務 器計算機IIO之間執行數據傳輸。這例如可以藉助於SSL/TLS記錄 協議來實現。在步驟655中，伺服器計算機110向硬體設備130發送用戶認 證響應。此類用戶認證響應例如可以包括具有用戶欄位和密碼欄位 的HTML表單，用戶可以向該用戶欄位和密碼欄位輸入他的名稱和 密碼。
由硬體設備130在步驟657中解密用戶認證響應，並且繼而在 步驟660中經由代理應用420將其轉發至瀏覽器應用410。在步驟 662中，在客戶計算機顯示器121上顯示用戶認證響應。在步驟665 中，用戶經由客戶端計算機輸入單元122將其個人認證數據(例如， 他的用戶名稱和密碼)輸入至相應的HTML表單中。繼而，在步驟 670，瀏覽器應用410向硬體設備130發送包括用戶認證數據的HTTP post請求。在步驟675中，硬體設備針對預定義事務信息解析HTTP post請求。在此示例中，假定HTTPpost請求包括的用戶認證信息不 是預定義事務信息。由此，在步驟677中，藉助於對稱會話密鑰SK 來加密HTTP post請求，並且在步驟680中將其發送至伺服器計算 機IIO。伺服器計算機110藉助於對稱會話密鑰SK解析HTTP post 請求，並且如果用戶認證數據有效，則在步驟695中認證用戶。否 則，伺服器110可以取消該事務。
步驟655至695示出了伺服器計算機110的附加用戶認證，在， 硬體設備13 0被盜或者丟失情況下可以實現該附加用戶認證以增強 安全性。根據另一示例性實施例，參考步驟655至步驟695描述的
繼續參考圖7來示出在安全操作模式中在用戶認證之後的消息流程。
在步驟705中，伺服器計算機110經由代理應用420向硬體設 備130發送事務響應來作為伺服器響應。此類事務響應例如可以包 括HTML文件，該HTML文件具有用戶在先前步驟中已經認證的銀 行帳戶數據。在步驟710中，硬體設備130藉助於對稱會話密鑰SK 來解密伺服器響應。在步驟715中，硬體設備130可以針對預定義 事務信息來解析伺服器響應。在此示例中，假定在步驟705中接收的伺服器響應不包括預定義事務信息。則在步驟720中，經由代理 應用420來從硬體設備130向瀏覽器應用410發送伺服器響應。在 步驟725中，瀏覽器應用410在客戶端計算機120的客戶端計算機 顯示器121上顯示伺服器響應。
根據以虛線示出的另一示例，假定在步驟705中接收的伺服器 響應包括預定義事務信息。繼而，硬體設備130在解析步驟715中 檢測伺服器響應包括預定義事務信息。由此，在步驟717中，硬體 設備130在硬體設備顯示器210上顯示伺服器響應的預定義事務信 息。在步驟718中，如果用戶確認，則藉助於硬體設備輸入單元280 來在硬體設備顯示器210上顯示伺服器響應的事務信息，方法繼續 執行步驟720。如果用戶沒有確認伺服器響應的事務信息，則硬體設 備130取消該事務。
在步驟730中，用戶輸入不包括預定義事務信息的用戶請求。 該用戶請求例如可以是獲取用戶銀行帳戶的特定數據、用以顯示銀 行帳戶的更多細節、或者用以執行所計劃電子事務(例如貨幣轉帳) 的初始檢查的客戶端請求。在步驟735中，瀏覽器應用410經由代 理應用420來向硬體設備130發送客戶端請求。在步驟740中，硬 件設備130針對預定義事務信息來解析所接收的客戶端請求，並且 檢測該客戶端請求不包括預定義事務信息。繼而，在步驟745中， 硬體設備130藉助於對稱會話密鑰SK來加密客戶端請求，並且在 步驟750中將已加密的客戶端請求發送至代理應用420。代理應用 420在步驟750中經由通信網絡160將已加密客戶端請求轉發至服務 器計算機IIO。在步驟755中，伺服器計算機IIO藉助於對稱會話密 鑰SK來解密接收到的已加密客戶端請求，並且處理已解密的客戶端 請求。
在步驟760中，伺服器計算機110經由代理應用420將關於所 接收客戶端請求的伺服器響應發送回硬體設備130。在步驟765中， 硬體設備130藉助於對稱會話密鑰SK來解密伺服器響應。在步驟 770中，硬體設備130針對預定義事務信息來解析伺服器響應。在此示例中，假定在步驟760中接收的伺服器響應不包括預定義事務信 息。由此，在步驟775中，經由代理應用420將已解密的伺服器響 應從硬體設備130發送至瀏覽器應用410,並且在步驟780中，瀏覽 器應用410在客戶端計算機120的客戶端顯示器121上顯示伺服器 響應。
圖8示出了在安全操作模式中對於包括預定義事務信息的客戶 端請求的消息流程。
在步驟805中，用戶輸入包括預定義事務信息的客戶端請求。 預定義事務信息例如可以是用以執行電子事務的最終命令。此類最 終命令例如可以是貨幣轉帳命令，其具有諸如貨幣轉帳數額的支付 細節。預定義事務信息例如可以由用戶藉助於客戶端計算機輸入單 元112來在相應HTML表單中輸入。在步驟810中，瀏覽器應用410 經由代理應用420來向硬體設備130發送包括預定義事務信息的客 戶端請求。這例如可以是HTTP post請求。在步驟815中，硬體設 備130針對預定義事務信息來解析所接收的客戶端請求，並且檢測 客戶端請求包括預定義事務信息，例如上述貨幣轉帳的最終支付細 節。繼而，在步驟820中，硬體設備130經由代理應用420向瀏覽 器應用410發送確認請求消息(CRM)。在步驟825中，瀏覽器應 用410在客戶端計算機120的客戶端計算機顯示器121上顯示確認 請求消息。確認請求消息指示用戶硬體設備130已經檢測到預定 義事務信息，並且用戶應該檢查並確認在硬體設備130的硬體設備 顯示器210上的事務信息的正確性。確認請求消息例如可以讀出如 下"請檢測您的安全性標記的顯示器上的轉帳數額，如果轉帳數 額正確，則通過按下安全性標記的確認按確醜來確認該事務"。
在步驟830中，硬體設備130在硬體設備顯示器210上顯示預 定義事務信息(PTI)，例如將要轉帳的貨幣數額以及目的地帳戶。 另外，還可以在硬體設備顯示器210上顯示某些確認消息。由於硬 件設備顯示器210可能非常小，優選的是，以縮略形式顯示此類確 認消息，例如"請確認將數額X轉帳至帳戶Y"。繼而，用戶可以在硬體設備顯示器210上顯示事務信息是否正確。此外，用戶可以
將在硬體設備顯示器210上顯示的事務信息與在客戶端計算機顯示 器121上顯示的事務信息進行比較。如果用戶在確認步驟835中確 認在硬體設備顯示器210上顯示的事務信息是正確的，例如通過按 下硬體設備輸入單元280的確認按鈕來進行確認，則將繼續該事務。 繼而，在步驟840中，硬體設備130藉助於對稱會話密鑰SK來加密 包括事務信息的客戶端請求，並且在步驟845中將已加密的客戶端 請求發送至代理應用420。代理應用420經由通信網絡160將已加密 的客戶端請求轉發至伺服器計算機110。伺服器計算機110在步驟 850中通過對稱會話密鑰SK來解密所接收的已加密客戶端請求。繼 而，在步驟855中，伺服器計算機IIO執行該事務。在貨幣轉帳的 示例中，伺服器計算機IIO將在步驟855中將貨幣轉帳至目的地帳 戶。
如果用戶沒有確認在硬體設備顯示器210上顯示的事務信息是 正確的，則方法繼續步驟870,如虛線表示。可以由用戶主動調取不 確認事務，例如通過按下硬體設備輸入單元280的取消按鈕；或者 被動地進行，例如，如果硬體設備130在預定超時時段內沒有接收 到確認。繼而，在步驟875中，硬體設備130取消事務，並且不向 伺服器計算機IIO轉發事務信息。此外，在步驟880中，硬體設備 130可以經由代理應用420來向瀏覽器應用410發送取消消息(CM )。 瀏覽器應用410在步驟885中在客戶端計算機120的客戶端計算機 顯示器121上顯示取消消息。取消消息指示用戶硬體設備130已經 取消了該事務。取消消息例如可以閱讀如下"由於沒有確認，該 事務已經取消。如果您已經觀察到在您經由自己的PC的鍵盤輸入的 事務信息以及在您的安全性標記的顯示器上顯示的事務信息之間的 差異，則您的PC可能受到了惡意軟體的威脅"。另外，在步驟890 中，取消消息還可以顯示在硬體設備的顯示器210上。
所公開的任何實施例可以與所示和/或所述的一個或者多個其他 實施例相結合。這對於實施例的一個或者多個特徵也可以如此。附加實施例細節
在此所述的技術可以實現為方法、裝置或者產品，其中包括軟 件、固件、微代碼、硬體和/或其中任何的結合。在此使用的術語"產 品"是指在介質中實現的代碼或者邏輯，其中此類介質可以包括硬 件邏輯(例如，集成電路晶片、可編程門陣列(PGA)、專用集成
電路(ASIC )等)或者計算機可讀介質，諸如磁性存儲介質(例如， 硬體驅動、軟盤、磁帶等)、光存儲介質(CD-ROM、光碟等)、 易失性以及非易失性存儲器設備(例如，電可擦除可編程只讀存儲 器(EEPROM )、只讀存儲器(ROM )、可編程制度存儲器(PROM )、 隨機訪問存儲器(RAM)、動態隨機訪問存儲器(DRAM)、靜態 隨機訪問存儲器(SRAM)、快閃記憶體、固件、可編程邏輯等)。在計算 機可讀介質中的代碼由處理器來訪問和執行。其中編碼有代碼和邏
輯的介質還可以包括通過以下方式傳播的傳輸信號通過空間傳輸 或者通過諸如光纖、銅線等的傳輸介質進行傳輸。其中編碼有代碼 或者邏輯的傳輸信號可以進一步包括無線信號、衛星傳輸、無線電 波、紅外信號、藍牙等。其中編碼有代碼或者邏輯的傳輸信號能夠 由發射臺進行發送並且由接收臺進行接收，其中在傳輸信號中編碼
機可讀介質中。另外，"產品，，可以包括其中可以實現、處理和執 行代碼的硬體組件以及軟體組件的結合。當然，本領域技術人員應 該認識到，可以進行多種修改而並不脫離本實施例的範圍，並且產 品可以包括任何信息承載介質。例如，產品可以包括存儲介質，在 該存儲介質中存儲的指令在當由機器執行時導致執行各種操作。 特定實施例可以採取完全硬體實施例的方式、可以採取完全軟
實施例中，本發明以軟體實現，其包括但不限於固件、駐留軟體微 代碼等。
此外，特定實施例可以採取電腦程式產品的方式，該電腦程式產品可以從計算機可用或者計算機可讀介質來訪問，其中該介 質被提供用於與計算機或者任何指令執行系統使用或者與計算機或 者任何指令執行系統相結合的程序代碼。出於描述的目的，計算機 可用或者計算機可讀介質可以是任何裝置，其中可以包括存儲、通 信、傳播或者傳輸程序的裝置，其中該程序用於由指令執行系統、 裝置或者設備使用或者與指令執行系統、裝置或者設備相結合。該 介質可以是電子、磁性、光學、電磁、紅外或者半導體系統(或者 裝置或者設備)或者傳播介質。計算機可讀介質的示例包括半導體
或者固態存儲器、磁帶、可移動計算機盤、隨機訪問存儲器(RAM)、 只讀存儲器(ROM)、剛性磁碟以及光碟。當前，光碟的示例包括 壓縮盤-只讀存儲器(CD-ROM)、壓縮盤-讀/寫(CD-R/W)以及 DVD。
除非特別另行指出，術語"特定實施例"、"一個實施例"、 "實施例"以及"多個實施例"、"所述實施例"、"所述多個實 施例"、"一個或者多個實施例"、"某些實施例"以及"一種實 施例，，意味著一個或者多個(但並非全部)實施例。除非特別另行 指出，術語"包括"、"包含"、"具有"及其各種變型意味著"包 括但不限於"。除非特別另行指出，所述枚舉的項目列表並不意味 著這些項目的任意或者全部是互相排他的。除非特別另行指出，術 語"一個，，、"一種，，以及"所述，，意味著"一個或者多個，，。
除非特別另行指出，彼此進行通信的設備不必彼此進行連續通 信。另外，彼此通信的設備可以直接通信或者通過一個或者多個中 介來間接地進行通信。另外，具有彼此通信的多個組件的實施例的 描述並不表示需要所有這些組件。相反，描述了各種可選組件以示 出可能的實施例的寬廣的範圍。此外，儘管可以以順序方式描述處 理步驟、方法步驟、算法等，此類處理、方法和算法可以配置以按 照其他備選順序執行。換言之，可以描述的任意步驟的順序或者次 序並不指示需要以所述順序執行那些步驟。在實踐中，在此描述的
處理步驟可以以其他順序來執行。此外，可以並發地、並行地或者同時地執行某些步驟。
當在此描述單一設備或者物品時，應該理解，可以使用一個以 上的設備/物品(無論其是否協作)來代替單一設備/物品。同樣，在 此描述一個以上的設備或者物品時(無論其是否協作)，應該理解， 可以使用單 一設備/物品來代替一 個以上的設備或者物品。備選的是， 設備的功能性和/或特徵可以由沒有明確描述為具有此類功能性/特 徵的一個或者多個其他設備來實現。由此，其他示例不必包括設備自身。
在此上下文中的電腦程式裝置或者電腦程式意味著以任 何語言、代碼或者概念、或者一組指令形式的任何表述，其旨在使 得具有信息處理能力的系統直接地或者在以下兩個步驟的任何一個 或兩者之後執行特定功能，所述兩個步驟包括a)轉換至另一語言、 代碼或者概念；b)以不同材料形式再現。
權利要求
1. 一種用於在伺服器計算機(110)以及客戶端計算機(120)之間執行電子事務的方法，所述方法包括以下步驟-經由通信網絡(160)在所述伺服器計算機(110)以及硬體設備(130)之間，通過已加密數據傳輸以及相互認證，來運行第一通信協議，-在所述硬體設備(130)中對從所述伺服器計算機(110)接收的已加密伺服器響應來執行解密，-將來自所述硬體設備(130)的所述已解密伺服器響應轉發至所述客戶端計算機(120)，-在所述客戶端計算機(120)的客戶端計算機顯示器(121)上顯示所述已解密伺服器響應，-由所述硬體設備(130)接收將要從所述客戶端計算機(120)向所述伺服器計算機(110)發送的客戶端請求，-由所述硬體設備(130)針對預定義事務信息解析所述客戶端請求，-由所述硬體設備(130)將其中不包含任何預定義事務信息的客戶端請求加密並且轉發至所述伺服器計算機(110)，-一旦在客戶端請求中檢測到預定義的事務信息，則在所述硬體設備(130)的硬體設備顯示器(210)上顯示所述預定義事務信息，-如果接收到用戶確認，則將其中包含預定義事務信息的所述客戶端請求加密並且轉發至所述伺服器計算機(110)，-如果沒有接收到用戶確認，則取消所述電子事務。
2. 根據權利要求1所述的方法，進一步包括以下步驟-在常規操作模式中，經由所述客戶端計算機(120)的代理應 用(420),在所述客戶端計算機(120)的瀏覽器應用(410)以及 所述伺服器計算機(110)之間來運行第二通信協議，-在安全操作模式中，在所述伺服器計算機(110)以及所述硬體設備(130)之間運行所述第一通信協議，-在所述安全操作模式中，經由所述代理應用(420)將客戶端 請求從所述瀏覽器應用(410)路由至所述硬體設備(130),以及 經由所述代理應用(420)將客戶端請求從所述硬體設備(130)路 由至所述伺服器計算機(110),-在所述安全操作模式中，經由所述代理應用(420)將伺服器 響應從所述伺服器計算機(110)路由至所述硬體設備(130)，以 及經由所述代理應用(420)將伺服器響應從所述硬體設備(130) 路由至所述瀏覽器應用(410)。
3. 根據權利要求2所述的方法，進一步包括以下步驟-由所述代理應用(420)針對預定義的客戶端請求集合而解析 客戶端請求，畫 一旦檢測到預定義的客戶端請求，則由所述代理應用(420) 來啟動所述安全操作模式。
4. 根據前述權利要求的任一項所述的方法，在從所述硬體設備 (130)向所述客戶端計算機(120)轉發所述已解密伺服器響應之前，進一步包括以下步驟-由所述硬體設備(130)來針對預定義的事務信息解析所述服 務器響應，-由所述硬體設備(130)向所述客戶端計算機(120)轉發不包 含任何預定義的事務信息的伺服器響應，- 一旦在伺服器響應中檢測到預定義的事務信息，則在所述硬體 設備(130)的所述硬體設備顯示器(210)上顯示所述預定義的事 務信息，-如果接收到用戶確認，則向所述客戶端計算機(120)轉發包 含所述預定義事務信息的所述伺服器響應，-如果沒有接收到用戶確認，則取消所述電子事務。
5. 根據前述權利要求的任一項所述的方法，其中所述第一通信 協議包括網絡層，所述網絡層包括根據安全套接層SSL標準、或者根據傳輸層安全性TLS標準的協議，以及根據傳輸控制協議/網際網路協議TCP-IP標準的協議。
6. 根據前述權利要求的任一項所述的方法，其中所述第一通信 協議包括包含超文本傳輸協議HTTP的應用層。
7. 根據前述權利要求的任一項所述的方法，其中所述第二通信 包括包含傳輸控制協議/網際網路協議TCP/IP的網絡層、以及包含超 文本傳輸協議HTTP的應用層。
8. 根據前述權利要求的任一項所述的方法，進一步包括以下步驟-由所述伺服器計算機(110)執行用戶認證。
9. 根據前述權利要求的任一項所述的方法，進一步包括以下步驟-由所述硬體設備(130)執行用戶認證。
10. —種用於執行電子事務的系統(100),包括 -伺服器計算機(110),畫客戶端計算機(120)，包括客戶端計算機顯示器(121 )以及 客戶端計算機輸入單元(122)，-硬體設備(130)，包括硬體設備顯示器(210), -在所述硬體設備(130)和所述伺服器計算機(110)之間的通 信網絡(160)，所述系統(100)適用於-在所述伺服器計算機(110)以及所述硬體設備(130)之間， 通過已加密數據傳輸和相互認證來運行第一通信協議，-在所述硬體設備(130)中，對從所述伺服器計算機(110) 接收的已加密伺服器響應來執行解密，-將所述已解密伺服器響應從所述硬體設備(130)轉發至所 述客戶端計算機(120),-在所述客戶端計算機顯示器(121)上呈現所述已解密服務 器響應，-由所述硬體設備(130)接收將要從所述客戶端計算機(120) 向所述伺服器計算機(110)發送的客戶端請求，-由所述硬體設備(130)針對預定義事務信息解析所述客戶 端請求，-將其中不包含任何預定義的事務信息的客戶端請求加密並 且轉發至所述伺服器計算機(110),- 一旦在客戶端請求中檢測到預定義的事務信息，則在硬體設 備顯示器(210)上顯示所述預定義事務信息，-如果接收到用戶確認，則將其中包含預定義事務信息的所述 客戶端請求加密並且轉發至所述伺服器計算機(110)，-如果沒有接收到用戶確認，則取消所述電子事務。
11. 一種用於藉助於硬體設備(130)來控制在伺服器計算機 (110)以及客戶端計算機(120)之間的電子事務的方法，在所述 硬體設備(130)中，所述方法包括以下步驟-通過已加密數據傳輸和相互認證，與所述伺服器計算機(110) 運行第一通信協議，-對從所述伺服器計算機(110)接收的已加密伺服器響應來執 行解密，-將所述已解密伺服器響應轉發至所述客戶端計算機(120), -接收將要從所述客戶端計算機(120)發送至所述伺服器計算 機(110)的客戶端請求，-針對預定義事務信息來解析所述客戶端請求，_將其中不包含任何預定義的事務信息的客戶端請求加密並且轉發至所述伺服器計算機(110),- 一旦在客戶端請求中檢測到預定義的事務信息，則在所述硬體 設備(130)的硬體設備顯示器(210)上顯示所述預定義事務信息，-如果接收到用戶確認，則將其中包含所述預定義事務信息的所 述客戶端請求加密並且轉發至所述伺服器計算機(110),-如果沒有接收到用戶確認，則取消所述電子事務。
12. —種用於控制電子事務的硬體設備(130),包括硬體設備顯 示器(210)以及硬體設備接口單元(270),其中所述硬體設備 接口單元(270)被提供用於將所述硬體設備(130)耦合至客戶 端計算機(120)，其中所述硬體設備(130)適用於-通過已加密數據傳輸和相互認證，來與伺服器計算機(110) 運行第一通信協議，-對從所述伺服器計算機(110)接收的已加密伺服器響應來 執行解密，-將所述已解密伺服器響應轉發至所述客戶端計算機(120)，-接收將要從所述客戶端計算機(120)發送至所述伺服器計 算機(110)的客戶響應，-針對預定義事務信息來解析所述客戶端請求，-將其中不包含任何預定義的事務信息的客戶端請求加密並 且轉發至所述伺服器計算機(110)，- 一旦在客戶端請求中檢測到預定義的事務信息，則在所述硬 件設備顯示器(210)上顯示所述預定義事務信息，-如果接收到用戶確認，則將其中包含所述預定義事務信息的 所述客戶端請求加密並且轉發至所述伺服器計算機(110),-如果沒有接收到用戶確認，則取消所述電子事務。
13. 根據權利要求12所述的硬體設備(130)，其中所述硬體 設備(130)包括安全性令牌(310)用於存儲安全性敏感數據。
14. 根據權利要求12所述的硬體設備(130),其中所述硬體 設備(130)包括智慧卡讀取器(250)用於從智慧卡(260)讀取安 全性敏感數據。
15. 根據權利要求12至14的任一項所述的硬體設備(130)， 其中所述硬體設備(130)具有預定義的防止篡改級別。
16. 根據權利要求15所述的硬體設備(130),其中所述硬體 設備(130)的所述預定義的防止篡改級別高於所述客戶端計算機(120)的防止篡改級別。
17. 根據權利要求12至16的任一項所述的硬體設備(130), 其中所述硬體設備(130)以如下方式設計不能將軟體應用裝載至 所述硬體設備(130)。
18. 根據權利要求13至17的任一項所述的硬體設備(130)， 其中所述安全性敏感數據包括私鑰以及信任根數據。
19. 根據權利要求12至18的任一項所述的硬體設備(130)， 其中所述硬體設備(130)包括硬體設備輸入單元(280 )用於確認 和/或取消事務。
20. —種客戶端計算機(120),所述客戶端計算機(120)經 由第一接口 ( 156)連接至通信網絡(160),並且經由第二接口 ( 155) 連接至硬體設備(130),所述客戶端計算機(120)包括-瀏覽器應用(410),用於瀏覽所述通信網絡(160);以及代 理應用(420),所述代理應用(420)適用於-在常規操作模式中，將從所述客戶端計算機(120)的所述 瀏覽器應用(410)接收的客戶端請求轉發至所述通信網絡(160) 的伺服器計算機(110)，-在常規操作模式中，將從所述伺服器計算機(110)接收的 伺服器響應轉發至所述客戶端計算機(120)的所述瀏覽器應用(410),-在安全操作模式中，將客戶端請求從所述瀏覽器應用(410) 轉發至所述硬體設備(130),以及將客戶端請求從所述硬體設 備(130)轉發至所述伺服器計算機(110)，-在安全操作模式中，將從所迷伺服器計算機(110)所接收 的伺服器響應轉發至所述硬體設備(130),以及將伺服器響應 從所述硬體設備(130)轉發至所述瀏覽器應用(410),其中 所述客戶端計算機(120)適用於在所述安全操作模式中，經 由所述硬體設備(130)並經由所述通信網絡(160)，來與所 述伺服器計算機(110)執行電子事務。
21. 根據權利要求20所述的客戶端計算機(120),其中所述代理應用(420)適用於-針對預定義的客戶端請求集合來解析客戶端請求，- 一旦檢測到預定義客戶端請求，則啟動所述安全操作模式。
22. 根據權利要求21所述的客戶端計算機，其中通過從所述代 理應用(420)向所述硬體設備(130)發送安全模式啟動信號來啟 動所述安全一莫式。
23. —種電腦程式(420)，包括如下指令當所述計算機程 序(420)在客戶端計算機(120)上執行時，所述指令執行根據權 利要求1至9的任一項所述的步驟。
24. —種用於藉助於硬體設備(130)來控制在伺服器計算機(110)以及客戶端計算機(120)之間的電子事務的方法，在所述 硬體設備(130)中，所述方法包括以下步驟-通過已加密數據傳輸和相互認證，來與所述伺服器計算機 (110)運行第一通信協議，-對從所述伺服器計算機(110)接收的已加密伺服器響應來執 行解密，-針對預定義事務信息來解析所述客戶端請求， -將其中不包含任何預定義的事務信息的伺服器響應轉發至所 述客戶端計算機(120),- 一旦在伺服器響應中檢測到預定義的事務信息，則在所述硬體 設備(130)的硬體設備顯示器(210)上顯示所述預定義事務信息，-如果接收到用戶確認，則將其中包含預定義事務信息的所述服 務器響應轉發至所述客戶端計算機(120)，-如果沒有接收到用戶確認，則取消所述電子事務。
25. —種用於控制電子事務的硬體設備(130),包括硬體設 備顯示器(210)以及硬體設備接口單元(270),其中所述硬體設 備接口單元(270)被提供用於將所述硬體設備(130)耦合至客戶 端計算機(120),其中所述硬體設備(130)適用於-通過已加密數據傳輸和相互認證，來與伺服器計算機(110)運行第一通信協議，-對從所述伺服器計算機(110)接收的已加密伺服器響應來執 行解密，-針對預定義事務信息來解析所述伺服器響應，-將其中不包含任何預定義的事務信息的伺服器響應轉發至所述客戶端計算機(120),- 一旦在伺服器響應中檢測到預定義的事務信息，則在所述硬體 設備顯示器(210)上顯示所述預定義事務信息，-如果接收到用戶確認，則將其中包含預定義事務信息的伺服器 響應轉發至所述客戶端計算機(120),-如果沒有接收到用戶確認，則取消所述電子事務。
全文摘要
本發明涉及一種用於執行電子事務的系統和方法，所述方法包括運行第一通信協議，在硬體設備中對已加密伺服器響應來執行解密，將已解密伺服器響應轉發至客戶端計算機，在客戶端計算機上顯示已解密伺服器響應，由硬體設備接收將要從客戶端計算機向伺服器計算機發送的客戶端請求，由硬體設備解析客戶端請求，由硬體設備將其中不包含任何預定義事務信息的客戶端請求加密並且轉發至伺服器計算機，一旦在客戶端請求中檢測到預定義的事務信息，則在硬體設備的硬體設備顯示器上顯示預定義事務信息，如果接收到用戶確認，則將其中包含預定義事務信息的客戶端請求加密並且轉發至伺服器計算機，如果沒有接收到用戶確認，則取消電子事務。
文檔編號H04L29/06GK101442525SQ20081017427
公開日2009年5月27日 申請日期2008年11月17日 優先權日2007年11月19日
發明者R·J·赫爾曼, T·D·韋戈爾德 申請人:國際商業機器公司