專利名稱:對程序或服務(wù)應(yīng)用鑒定數(shù)據(jù)的信息設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及這樣一類信息設(shè)備�����,其中程序的執(zhí)行或者對服務(wù)或程序的訪問由用戶的特定鑒定數(shù)據(jù)(donnée accréditive)來控制��。
用戶通常使用若干個應(yīng)用程序�����,所以不得不記住若干個登錄名和口令��。這一限制往往導(dǎo)致用戶寫下他們的鑒定數(shù)據(jù)���,如果寫下的信息被第三方非法發(fā)現(xiàn)�����,這便損割了所實(shí)現(xiàn)的安全機(jī)制����。再有,為了易于被用戶記住����,他們的口令通常是短的,而且只對黑客有有限的阻止���。
本申請涉及的其訪問需要認(rèn)證的程序或者是在本地終端(如個人計算機(jī))執(zhí)行的程序����,或者是部分地在終端中執(zhí)行又部分地在一個服務(wù)器中執(zhí)行�,該服務(wù)器可經(jīng)由通信網(wǎng)絡(luò)(例如因特網(wǎng))與該終端相連。所涉及的程序主要是用于實(shí)現(xiàn)前述類型操作的應(yīng)用程序(電子郵件����、家庭銀行、電子商務(wù)等)����。在某些情況中,應(yīng)用程序使能執(zhí)行金融交易。顯然��,對使其能夠訪問它們的鑒定數(shù)據(jù)保守秘密是至關(guān)重要的����。
在本技術(shù)領(lǐng)域已知使用口令服務(wù)器來改善面對應(yīng)用的認(rèn)證過程的安全性。希望從終端訪問一個應(yīng)用的用戶必須登陸錄到口令服務(wù)器并使他們得到對該服務(wù)器的認(rèn)證�����。含有該用戶鑒定數(shù)據(jù)的口令服務(wù)器代替該用戶向用戶希望訪問的應(yīng)用加載所需要的鑒定數(shù)據(jù)并啟動該應(yīng)用�。采用這一解決方案���,這些鑒定數(shù)據(jù)能保持對用戶而言是未知的�,除非是使該用戶能針對該服務(wù)器得到認(rèn)證的那些人����。然而,這一解決方案意味著存在一個專用服務(wù)器����,而且當(dāng)用戶希望訪問一個應(yīng)用時需要實(shí)時連接到該服務(wù)器。
再有�,除了與這類訪問程序有關(guān)的問題外,對許多服務(wù)的訪問,例如通過因特網(wǎng)進(jìn)行金融交易或購買產(chǎn)品��,需要秘密或非秘密地輸入數(shù)據(jù)��,例如信用卡號和截止日期���、銀行賬戶號等�����。由用戶通過數(shù)據(jù)處理系統(tǒng)的鍵盤等裝置輸入這類數(shù)據(jù)是錯誤和混亂的一個來源����,而且是對安全性的損害��,如果該數(shù)據(jù)是秘密的話����。
本發(fā)明的另一目的是提供一種數(shù)據(jù)處理系統(tǒng),它有助于對一個用戶針對一個或多個程序或服務(wù)的認(rèn)證過程����,對這些程序或服務(wù)的訪問是由該用戶和相關(guān)程序或服務(wù)的特定鑒定數(shù)據(jù)來控制的,從而避免用戶不得不記憶與那個(或那些)程序或服務(wù)相關(guān)聯(lián)的鑒定數(shù)據(jù)或者使用口令服務(wù)器����。
本發(fā)明的又一目的是提供一種數(shù)據(jù)處理系統(tǒng)����,它避免用戶不得不記憶他們的付款卡號碼和截止日期或他們的銀行賬戶號等��,從而有助于在遠(yuǎn)程購物操作過程中對付款數(shù)據(jù)的應(yīng)用����。
本發(fā)明的另一目的是提供一個數(shù)據(jù)處理系統(tǒng),它能顯著改善上述對程序或服務(wù)應(yīng)用鑒定數(shù)據(jù)的那類過程的安全性�����。
為此目的��,本發(fā)明提供一種數(shù)據(jù)處理系統(tǒng)��,包括—至少是實(shí)現(xiàn)下述功能之一的數(shù)據(jù)處理裝置訪問一個程序����、執(zhí)行一個程序和訪問一個服務(wù)��,—存儲數(shù)據(jù)和程序的第一裝置�����,—用戶接口裝置,包括至少一個顯示屏幕和圖形界面裝置����,以及—至少一個指向裝置,用于控制游標(biāo)在所述屏幕上的運(yùn)動�����。
—在該系統(tǒng)中��,實(shí)現(xiàn)所述功能需要應(yīng)用鑒定數(shù)據(jù)以響應(yīng)所述屏幕上顯示的請求�����,其特點(diǎn)在于它進(jìn)一步包括一個個人安全裝置��,該裝置包括發(fā)送所述鑒定數(shù)據(jù)的供給裝置和控制對所述程序進(jìn)行訪問的裝置����,包括—顯示裝置,用于在屏幕上同時顯示所述請求和至少一個代表該個個安全裝置的符號�,—獲取裝置,用于由所述指向裝置把所述游標(biāo)放到該符號上�����,從而命令獲取所述供給裝置中的鑒定數(shù)據(jù),以及—應(yīng)用裝置���,用于由所述指向裝置命令把鑒定數(shù)據(jù)應(yīng)用于所要求的游標(biāo)位置處的功能���。
根據(jù)本發(fā)明的數(shù)據(jù)處理系統(tǒng)不需要由用戶人工輸入他們的鑒定數(shù)據(jù),這些鑒定數(shù)據(jù)借助個人安全裝置的指示裝置自動地傳送到用戶要求訪問的軟件�。因為該用戶的個人安全裝置,不論是硬件型(智能卡等)或軟件型�����,都能存儲強(qiáng)的(長的和復(fù)雜的)口令�����,所以根據(jù)本發(fā)明的數(shù)據(jù)處理系統(tǒng)顯著改善對一個或多個程序進(jìn)行訪問的安全性�����。
可通過因特網(wǎng)訪問的應(yīng)用和服務(wù)的增加�����,間接地造成了病毒的擴(kuò)散���,這些病毒的一個目的是讀出由用戶存儲在他們個人計算機(jī)中的口令或信用卡號碼����,這些是用戶為避免每次使用它們時要輸入它們而存儲的����。所以�����,根據(jù)本發(fā)明的系統(tǒng)對安全性的改善在于所述鑒定數(shù)據(jù)受用戶的個人安全裝置保護(hù)�����。因而不是清楚地存儲在PC中。
不必要實(shí)時連接到含有一組用戶的鑒定數(shù)據(jù)的口令服務(wù)器�,因為每個用戶的特定鑒定數(shù)據(jù)被存儲在他們的個人安全裝置中��,該裝置與用戶請示訪問一應(yīng)用時所用終端相關(guān)聯(lián)�����。然而��,如果存在上述類型的口令服務(wù)器����,能使用根據(jù)本發(fā)明的數(shù)據(jù)處理系統(tǒng)來改善針對那個服務(wù)器的授權(quán)過程的安全性于是,能以上述方式管理那些控制訪問該服務(wù)器的鑒定數(shù)據(jù)。
提到的鑒定數(shù)據(jù)可以是靜態(tài)口令或動態(tài)口令。在靜態(tài)口令的情況中,提供該鑒定數(shù)據(jù)的裝置事實(shí)上是存儲裝置,在動態(tài)鑒定數(shù)據(jù)的情況中�����,提供該鑒定數(shù)據(jù)的裝置是執(zhí)行一種算法的計算裝置。動態(tài)鑒定數(shù)據(jù)是借助“事件計數(shù)器”型時間變量���、密鑰(它本身是靜態(tài)的或動態(tài)的)以及在智能卡或者硬件或軟件令牌中執(zhí)行的算法計算出來的。
根據(jù)本發(fā)明的一個特征,當(dāng)所述程序是窗口型的而且包括該鑒定數(shù)據(jù)的所述應(yīng)用的目標(biāo)窗口時��,所述訪問控制裝置進(jìn)一步包括—第一裝置����,當(dāng)游標(biāo)在所述屏幕上移動時用于識別在所述游標(biāo)下該窗口的特征數(shù)據(jù)���,—第一比較器裝置��,用于把游標(biāo)下的所述窗口的特征數(shù)據(jù)與存儲在所述供給裝置中的與所述鑒定數(shù)據(jù)有關(guān)的目標(biāo)窗口的特征數(shù)據(jù)進(jìn)行比較����,以及—響應(yīng)所述識別出的特征數(shù)據(jù)與存儲在所述供給裝置中的特征數(shù)據(jù)之間的匹配結(jié)果,對所述鑒定數(shù)據(jù)的所述應(yīng)用予以授權(quán)的裝置����。
在本發(fā)明的一個實(shí)施例中,如果該系統(tǒng)包括多個程序和多個控制對各程序訪問的單獨(dú)鑒定數(shù)據(jù)���,每個鑒定數(shù)據(jù)與所述供給裝置中標(biāo)識相應(yīng)程序的數(shù)據(jù)相關(guān)聯(lián)�����,則所述顯示裝置適于在所述屏幕上顯示分別代表所述鑒定數(shù)據(jù)的多個符號,而且所述訪問控制裝置進(jìn)一步包括第二裝置用于識別其目標(biāo)窗口被顯示在所述屏幕上的一個程序����,以及第二比較器裝置用于把所述識別出的程序的標(biāo)識與和所述指向裝置選出的鑒定數(shù)據(jù)關(guān)聯(lián)的標(biāo)識數(shù)據(jù)進(jìn)行比較,只有當(dāng)識別出的程序與所述標(biāo)識數(shù)據(jù)完全相同時�����,所述比較器裝置才授權(quán)把選出的鑒定數(shù)據(jù)應(yīng)用于所述識別出的程序���。
在本發(fā)明的一個變體中��,如果該系統(tǒng)包括多個程序和多個控制對各程序訪問的單獨(dú)鑒定數(shù)據(jù)����,每個鑒定數(shù)據(jù)與所述供給裝置中標(biāo)識相應(yīng)程序的數(shù)據(jù)相關(guān)聯(lián),而且所述訪問控制裝置進(jìn)一步包括第二裝置用于識別其目標(biāo)窗口被顯示在所述屏幕上的一個程序��,以及第二比較器裝置用于把檢測到的所述程序的標(biāo)識與所述供給裝置中存儲的標(biāo)識數(shù)據(jù)進(jìn)行比較�����,則所述應(yīng)用裝置適用于命令把所述供給裝置內(nèi)存在的鑒定數(shù)據(jù)應(yīng)用于所述目標(biāo)窗口中����,而且其相關(guān)聯(lián)的標(biāo)識數(shù)據(jù)對應(yīng)于所述檢測到的程序的標(biāo)識。在這一實(shí)施例中�,如果在個人安全裝置中能得到所需鑒定數(shù)據(jù)的話,則用戶不必選擇賦予需要訪問的程序的鑒定數(shù)據(jù)�����,在這個意義上�,授權(quán)過程是自動完成的。
該系統(tǒng)最好包括裝置用于授權(quán)由用戶通過所述接口裝置輸入所述被檢測到的程序所使用的鑒定數(shù)據(jù)�,并把輸入的鑒定數(shù)據(jù)與所述被檢測到的程序的標(biāo)識數(shù)據(jù)一起存入所述供給裝置,如果在所述標(biāo)識數(shù)據(jù)和所述被檢測到的程序之間沒有匹配的話�。
根據(jù)本發(fā)明的數(shù)據(jù)處理系統(tǒng)最好進(jìn)一步包括下列一個或多個單獨(dú)的或組合的特性—它包括一個個人計算機(jī),所述個人安全裝置與其相連��;—所述程序是在該個人計算機(jī)和一個服務(wù)器之間分割的應(yīng)用程序,所述系統(tǒng)包括將所述個人計算機(jī)與所述服務(wù)器連接的裝置���;—所述個人安全裝置是一個智能卡��;—所述個人安全裝置包括把存儲的秘密代碼與用戶通過所述接口裝置輸入的秘密代碼進(jìn)行比較的裝置����,所述訪問控制裝置變?yōu)轫憫?yīng)所述秘密代碼之間的匹配進(jìn)行操作�����;以及—所述訪問控制裝置包括裝置防止在把鑒定數(shù)據(jù)應(yīng)用于所述程序時在所述顯示屏幕上顯示所述鑒定數(shù)據(jù)���。
特別是由于這最后一個特性,使得在無需用戶知道他們的鑒定數(shù)據(jù)的情況下實(shí)現(xiàn)認(rèn)證過程����,這顯著地改善了安全性,因為用戶不能無意地泄露這些鑒定數(shù)據(jù)�。
如果這些鑒定數(shù)據(jù)是靜態(tài)的,則提供鑒定數(shù)據(jù)的裝置是存儲器裝置��。如果這些鑒定數(shù)據(jù)是動態(tài)的��,則提供鑒定數(shù)據(jù)的裝置包括執(zhí)行一算法以計算所述鑒定數(shù)據(jù)的裝置。
圖4是更詳細(xì)的流程圖����,顯示其流程圖示于圖3的軟件的第一子程序;圖5是更詳細(xì)的流程圖����,顯示其流程圖示于圖3的軟件的第二子例程;圖6是一個應(yīng)用程序主頁的示意表示�,它顯示給用戶從而使得用戶能輸入其口令。
個人計算機(jī)1伴有一個個人安全裝置PSD�����,例如一個智能卡5���,它能由連到個人計算機(jī)1的閱讀器4讀出��。該閱讀器能代之以集成到個人計算機(jī)1中�。
一個指向裝置�����,如帶有左手按鈕和右手按鈕6a����、6b的鼠標(biāo)器6��,按傳統(tǒng)方式連接到個人計算機(jī)1��,用于在屏幕2上移動游標(biāo)�����。
個人計算機(jī)1適于由一個主頁執(zhí)行若干程序L����,特別是
圖1中所示應(yīng)用程序����,該主頁載有應(yīng)用的名稱,即應(yīng)用1�����、應(yīng)用2�����、應(yīng)用3和應(yīng)用4��,以及訪問控制程序LPA��,它管理對應(yīng)用程序的訪問(見下文)��。應(yīng)用程序(下文中也稱作應(yīng)用)能在個人計算機(jī)1中當(dāng)?shù)貓?zhí)行�����,或者部分地在個人計算機(jī)中和部分地在服務(wù)器S中執(zhí)行���,個人計算機(jī)1能通過通信網(wǎng)絡(luò)R(如因特網(wǎng))以客戶機(jī)一服務(wù)器體系結(jié)構(gòu)與服務(wù)器S相連�。
個人計算機(jī)1的用戶對應(yīng)用1����、2、3和4中任何一個的訪問以輸入鑒定數(shù)據(jù)為條件�,這些鑒定數(shù)據(jù)是賦予該用戶的,使該用戶得到授權(quán)使用所涉及的程序��。鑒定數(shù)據(jù)通常包括登錄名和口令����,它們是該應(yīng)用及所涉及的用戶所特有的,在下文中,為簡化描述�,只考慮含有口令PWD的鑒定數(shù)據(jù)。這樣��,必須把口令PWD1��、PWD2�、PWD3以及PWD4輸入個人計算機(jī)1以訪問各應(yīng)用1、2��、3和4��。
在傳統(tǒng)的系統(tǒng)中��,由對話框提示用戶以鍵盤輸入他們的口令���,并在一特定窗口中清楚地或以某種不特定形式(例如一系列星號)來顯示打入的字符�。
在根據(jù)本發(fā)明的系統(tǒng)中�,個人安全裝置5向個人計算機(jī)1提供各種鑒定數(shù)據(jù),特別是用于應(yīng)用1���、2、3和4的口令PWD1���、PWD2�、PWD3以及PWD4。如前文指出的那樣����,鑒定數(shù)據(jù),如口令����,可以是靜態(tài)的或動態(tài)的。
在本發(fā)明的意義上���,個人安全裝置PSD是一個僅僅由被授權(quán)用戶持有和只能由被授權(quán)用戶訪問(例如利用個人標(biāo)識代碼PIN或其他方式)的裝置��,并且使其中的數(shù)據(jù)源存儲器具有有保證的安全性���,免被未經(jīng)授權(quán)的人們讀和/或?qū)憯?shù)據(jù)。再有��,上述類型的個人安全裝置PSD能包括計算裝置���,用于執(zhí)行一個或多個算法����,特別是用于產(chǎn)生動態(tài)鑒定數(shù)據(jù)的算法。
如所描述的實(shí)施例中的情況��,個人安全裝置PSD能是一個智能卡5�����,它能經(jīng)由閱讀器4連接到個人計算機(jī)5并且有硬件和軟件安全裝置使能在其中存儲秘密數(shù)據(jù)(代碼����、消息、密鑰����、程序等)。它的使用通常以提供個人識別代碼PIN為條件�����。智能卡通常沒有電源�����,只有通過把它插入一個能向它供電的閱讀器��,才能啟動它的電路�����。
在本技術(shù)領(lǐng)域已知的基于某些不同安全機(jī)制的其他個人安全裝置確實(shí)具有集成的電源并能用于針對個人計算機(jī)���、數(shù)據(jù)處理系統(tǒng)等的認(rèn)證�����。這些個人安全裝置�,它們通常是便攜式的���,也稱作“令牌(token)”���。
個人安全裝置PSD能代之以采取軟件的形式安裝在個人計算機(jī)1上并使其中的存儲器安全地存儲數(shù)據(jù),可選擇對這些數(shù)據(jù)加密�����。
必須理解�����,在這一申請中描述的發(fā)明不限于使用智能卡5做為個人安全裝置�����。而且個人安全裝置能同樣好地是一個能通過雙向通信裝置與人個計算機(jī)1通信的“令牌”。一個整個為軟件形式安裝在個人計算機(jī)1上的個人安全裝置��,或者用戶特有的任何其他裝置(對它的訪問通常由該用戶知道的個人標(biāo)識代碼PIN控制)用于以安全的方式存儲秘密數(shù)據(jù)并可能在動態(tài)鑒定數(shù)據(jù)的情況中執(zhí)行計算機(jī)算法�����。
這些鑒定數(shù)據(jù)���,或在動態(tài)口令的情況中用于計算鑒定數(shù)據(jù)的秘密數(shù)據(jù)�,被存儲在個人安全裝置的存儲器M的若干段中����,這些鑒定數(shù)據(jù)的個數(shù)只受該裝置的存儲器的限制,其他限制可能與裝置PSD執(zhí)行計算機(jī)算法的容量有關(guān)�����。
下文中�,為簡化描述,所考慮的個人安全裝置是一個智能卡5����,由它提供的口令PWD1��、PWD2���、PWD3及PWD4是靜態(tài)(存儲的)口令或動態(tài)(計算出的)口令。
由智能卡5提供的口令PWD1�、PWD2�����、PWD3及PWD4與在其中輸入口令的窗口的特性相關(guān)聯(lián)����,在這種情況中是該窗口的類別和屬性。
下面將再參考圖2A和圖2B進(jìn)一步解釋圖1中虛線箭頭F所示過程�,該過程用于把智能卡5提供的口令送入應(yīng)用1至4之一所需要的窗口。
該過程是基于使用圖形用戶界面“拖放”型功能�����。拖放技術(shù)是用于在兩個應(yīng)用之間傳送數(shù)據(jù)的一種圖形用戶界面(GUI)技術(shù)��。個人計算機(jī)的鼠標(biāo)器用于從一個應(yīng)用中提取數(shù)據(jù)和把它插入到另一個應(yīng)用中���。例如�,有可能在一個文字處理程序中選擇一個文本塊。用鼠標(biāo)器把游標(biāo)移到選下的文本塊上并在移動鼠標(biāo)器時保持按下鼠標(biāo)器按鈕��,以把游標(biāo)移到另一應(yīng)用中的所需位置����,只要放開鼠標(biāo)器按鈕便把該文本插入另一應(yīng)用中。所以拖放技術(shù)預(yù)先假定一個源����,即從中提取數(shù)據(jù)的應(yīng)用,和一個目標(biāo)��,該數(shù)據(jù)被插入其中���。
在根據(jù)本發(fā)明的系統(tǒng)中���,源是適于在所有時候顯示圖標(biāo)7的訪問控制程序LPA,圖標(biāo)7采取代表智能卡的形式�,例如圖2B中所示的圖標(biāo)。圖標(biāo)7在所有時候都顯示在顯示屏幕2上并可被訪問���,例如在屏幕的右下角��,因為訪問控制程序LPA是一個駐留程序�,即在后臺連續(xù)地執(zhí)行而且每當(dāng)用戶引導(dǎo)起個人計算機(jī)1時便自動啟動的一個應(yīng)用。
目標(biāo)是窗口8�,用于插入需要訪問的應(yīng)用的主頁口令,大多數(shù)具有窗口型圖形用戶界面的個人計算機(jī)用現(xiàn)代應(yīng)用程序都有一個對話框���,以其區(qū)域或窗口使得用戶能輸入他們的鑒定數(shù)據(jù)��。然而�,根據(jù)本發(fā)明的系統(tǒng)不限于這類應(yīng)用���,而且能用于較老的應(yīng)用程序,它們沒有窗口���,而且在文本方式下運(yùn)行�����,只是簡單地提供用戶輸入他們的鑒定數(shù)據(jù)����。
當(dāng)用戶希望連接到應(yīng)用1至4之一時����,例如圖2A中所示應(yīng)用1�����。他們使用鼠標(biāo)器6把游標(biāo)9移到圖標(biāo)7上��。
在本發(fā)明的第一實(shí)施例中�����,用戶從一菜單上選擇與所顯示的應(yīng)用對應(yīng)的口令PWD1��、PWD2����、PWD3或PWD4�����。必須理解�,在菜單中沒有清楚地顯示口令PWD1、PWD2�、PWD3、PWD4��,而只是代碼、消息或信號P1��、P2�、P3、P4出現(xiàn)在菜單中����,使它們能被識別和指出它們每一個對哪個應(yīng)用提供訪問。
例如�,當(dāng)游標(biāo)9處在圖標(biāo)7上時短暫地按下右方鼠標(biāo)器按鈕6b,便調(diào)出口令標(biāo)識代碼P1��、P2�、P3、P4列表�����。把游標(biāo)9放到該列表中的相應(yīng)代碼P1上并點(diǎn)擊右方鼠標(biāo)器按鈕6b��,便選定所需要的口令���,例如PWD1,在此之后再次顯示圖標(biāo)7�。其后口令PWD1被選下為缺省值,并自動地用于其后的“拖放”認(rèn)證過程,直至用戶從該菜單中選擇不同口令為止�。
當(dāng)已選擇了一個口令時,以游標(biāo)9放在圖標(biāo)7上�,用戶按下左方鼠標(biāo)器按鈕6a,在保持那個按鈕按下的同時����,由鼠標(biāo)器6把游標(biāo)9移到目標(biāo)窗口8。在這一運(yùn)動過程中�,直至游標(biāo)9達(dá)到目標(biāo)窗口之前,訪問控制軟件LPA修改游標(biāo)的圖形表示如圖2A中所示���,當(dāng)它向窗口8移動時�,游標(biāo)9取圓圈形式�����,并帶有一個徑向條���。當(dāng)游標(biāo)9達(dá)到目標(biāo)窗口8時����,它返回到它原來的箭頭形狀�����,這告訴用戶,他們可以釋放鼠標(biāo)器6的左方按鈕�����。
如下文中參考圖3和圖4描述的那樣�,對游標(biāo)9的圖形表示的這一修改由訪問控制程序LPA管理,當(dāng)游標(biāo)9移動時���,訪問控制程序LPA連續(xù)地把游標(biāo)下的窗口類型與目標(biāo)窗口的類型進(jìn)行比較�����,該目標(biāo)窗口的特性與智能卡5中選定的口令PWD相關(guān)聯(lián)����。當(dāng)游標(biāo)9達(dá)到窗口8時��,釋放鼠標(biāo)器6的左方按鈕6a����,這命令把智能卡5提供的口令PWD插入目標(biāo)窗口8�����。
當(dāng)然���,上述只是一個舉例���,從人類工程學(xué)的觀點(diǎn)出發(fā)��,存在許多其他方式用指向裝置把用戶從一組代表不同口令的標(biāo)識代碼中選出的一個口令插入一個目標(biāo)窗口��。
必須理解����,應(yīng)用1���,2�����,3和4沒有受到任何方式的修改���,而是標(biāo)準(zhǔn)的應(yīng)用�。于是�����,駐留的訪問控制程序LPA代替了由用戶通過鍵盤輸入口令���,對于技術(shù)人員而言�����,可得到為此采取的各種解決方案。一種解決方案是模仿按下鍵盤鍵并把與鍵盤產(chǎn)生的消息等效的一個消息發(fā)送到目標(biāo)窗口��。采取這種解決方案時��,口令是逐個字符地傳送到目標(biāo)窗口����。另一種解決方案是使用現(xiàn)代操作系統(tǒng)(OS)提供的剪切/粘貼功能由LPA把口令復(fù)制到剪切板上,然后LPA把一個等效于粘貼指令的消息發(fā)送給目標(biāo)應(yīng)用�,從而模仿往目標(biāo)應(yīng)用中的粘貼�����。最后���,程序LPA抹去剪切板中的內(nèi)容,以免讓口令暴露�����。
由上文的描述可知�����,利用訪問控制程序LPA從智能卡5傳送的口令PWD在目標(biāo)窗口8中出現(xiàn)�,其形式如同用戶在鍵盤上鍵入它一樣���。這意味著如果該應(yīng)用被設(shè)計成清楚地顯示口令��,則該口令仍將清楚地顯示在目標(biāo)窗口8中����。然而����,即使在這種情況下,安全性也得到改善���,因為口令PWD的顯示是瞬間的��,而且在靜態(tài)口令的情況中用戶不需要記憶它或冒險把寫寫下來��。
然而���,在很多情況中,應(yīng)用程序被設(shè)計成顯示啞字符���,例如星號�,以代替由用戶打入的口令字符�,在這種情況中,口令將永遠(yuǎn)不會清楚地出現(xiàn)���,甚至可能用戶完全不知道它����,例如�,如果在安全管理員控制下由人性化工具把口令直接加載到用戶的智能卡中的話。
如果所用的口令是靜態(tài)口令��,它能是強(qiáng)有力的��,即長而且復(fù)雜的(例如一系列隨機(jī)字符)���,在實(shí)踐中以傳統(tǒng)的解決方案是不可能要求用戶記住它的����。
為了進(jìn)一步增強(qiáng)針對由口令控制其訪問的應(yīng)用所進(jìn)行的認(rèn)證過程的安全性,該口令可以是動態(tài)的而不是靜態(tài)的�。動態(tài)口令可以是異步的或同步的。這在技術(shù)上是公知的���。
異步口令預(yù)先假定應(yīng)用和該個人安全裝置共享一個密鑰��。該應(yīng)用產(chǎn)生一個挑戰(zhàn)信號����,它被傳送到個人安全裝置PSD����。該裝置使用其存儲器中存儲的密鑰以及一個加密算法對該挑戰(zhàn)信號加密,以這種方式計算出的口令被傳送到應(yīng)用���。該應(yīng)用并行地對該挑戰(zhàn)信號進(jìn)行類似的計算�����,并把得到的結(jié)果與從個人安全裝置收到的口令進(jìn)行比較�。如果在該應(yīng)用中和在PSD中計算出的口令匹配,例如如果它們完全相同����,則對該應(yīng)用的訪問被授權(quán)。
假如訪問控制軟件LPA處在讀取由應(yīng)用產(chǎn)生的挑戰(zhàn)信號的位置��,根據(jù)本發(fā)明的系統(tǒng)讓訪問控制軟件在讀出該挑戰(zhàn)信號之后把它傳送到個人安全裝置PSD�����,然后如前所述把計算出的口令插入目標(biāo)窗口中����,從而使得能夠使用采取上述類型異步口令的認(rèn)證機(jī)制�。
同步口令隨時間而改變,最好是每次使用它們時改變����,例如根據(jù)時間基準(zhǔn)和/或事件計數(shù)器?����?诹睿蛴嬎憧诹顣r使用的密鑰和變量�,在個人安全裝置PSD中和在應(yīng)用中同步地改變。這些機(jī)制對技術(shù)人員是公知的�����,這里不做更詳細(xì)的描述��。然而��,國際專利申請WO99/18546(1998年10月1日申請)描述了一種由基于時間的動態(tài)口令實(shí)現(xiàn)認(rèn)證并使用智能卡的機(jī)制���,盡管這種卡中沒有電源因而也沒有時鐘����。
在圖2A和2B中顯示的實(shí)施例中���,假定用戶使用游標(biāo)9從一個菜單中選擇代碼���,該代碼對應(yīng)于用戶希望訪問的應(yīng)用所使用的口令PWD。
下文中參考圖3至圖6所做的描述涉及第二實(shí)施例�,其中用戶不需要選擇適當(dāng)?shù)目诹睿驗樗稍L問控制程序LPA自動地選擇�。
圖3顯示鼠標(biāo)器6控制訪問控制程序LPA的總過程�。該過程以步驟100開始�,其中當(dāng)游標(biāo)9在圖標(biāo)7的頂上時按下左方鼠標(biāo)按鈕6a。步驟101對應(yīng)于捕獲鼠標(biāo)器的狀態(tài)����,而步驟102對應(yīng)于等待能由鼠標(biāo)器產(chǎn)生的事件,例如移動鼠標(biāo)器或釋放左方鼠標(biāo)器按鈕��。
如果檢測到的事件是鼠標(biāo)器的移動����,則下一步驟是步驟103���,對應(yīng)于一個子程序�,其流程圖示于圖4中��。
如果由訪問控制軟件檢測到的事件涉及左方鼠標(biāo)器按鈕�����,則下一步驟是步驟104����,對應(yīng)于一個子程序���,其流程圖示于圖5中。步驟105是主程序的最后步驟���。
圖4的子程序在步驟106中開始���,在該步驟中檢測鼠標(biāo)器的運(yùn)動。在步驟107中獲取了鼠標(biāo)器的位置���。在步驟108�����,找出游標(biāo)9下的窗口���。步驟109對應(yīng)于獲取游標(biāo)下窗口的特征數(shù)據(jù),特別是它的類型����。
步驟110確定游標(biāo)下的窗口類型是否對應(yīng)于智能卡5中存儲的窗口類型。如果不是�,則在步驟111中修改游標(biāo)9的圖形表示,以告知用戶在這一階段輸入口令PWD的功能被禁止�,即釋放左方鼠標(biāo)器按鈕6a將沒有作用���。于是,該子程序的下一步是結(jié)束步驟112��。然而�����,由圖3的流程圖可清楚看出�����,只要鼠標(biāo)器6在運(yùn)動��,圖4的子程序便重復(fù)下去�。
如果步驟110中的測試結(jié)果是肯定的�,即如果游標(biāo)下的窗口是智能卡5的存儲器中包含的類型,則步驟113修改游標(biāo)的圖形表現(xiàn)(當(dāng)它達(dá)到圖2中的窗口8時��,它返回到它原有的箭頭形狀)�����,于是告知用戶插入口令PWD已被授權(quán)��。
如果在圖3的步驟102中檢測到的事件是釋放左方鼠標(biāo)器按鈕,則執(zhí)行由圖5流程圖顯示的子程序104���。
圖5中的步驟114對應(yīng)于檢測左方鼠標(biāo)器按鈕的釋放�。在步驟115獲取鼠標(biāo)器的位置�����,并在步驟116尋找游標(biāo)下的窗口�。在步驟117獲取那個窗口的特征數(shù)據(jù),特別是它的類型�。
步驟118進(jìn)行測試以確定游標(biāo)9下的窗口是否屬于智能卡5中存儲的類型。如果不是�����,則子程序在步驟119終止��。
如果它是����,則在步驟120確定該窗口屬于哪個應(yīng)用。步驟121進(jìn)行測試以確定識別出的應(yīng)用是否對應(yīng)于其標(biāo)識數(shù)據(jù)包含在智能卡5中的一個應(yīng)用�。如果是,則把智能卡5中與識別出的應(yīng)用相關(guān)聯(lián)的口令插入當(dāng)時游標(biāo)所在的窗口中�����,在此之后,子程序在步驟123終止�。
如果在步驟121中的測試結(jié)果是否定的,則在步驟124中提示用戶通過個人計算機(jī)的鍵盤人工輸入所需用的口令(靜態(tài)口令)��。在步驟125�����,該口令��,應(yīng)用標(biāo)識數(shù)據(jù)以及在步驟117和120中獲取的檢測到的窗口的特征都被傳送到智能卡5���,它把它們存儲起來���。然后,該子程序的下一步是步驟122���,它把由用戶在鍵盤上輸入并存儲在智能卡5中的口令插入目標(biāo)窗口中。
圖6是一個應(yīng)用的主頁的示意圖���,用于解釋執(zhí)行圖4和圖5的子程序的過程中收集的信息�����。
在類似于這里所示主頁的主頁中�����,通常在目標(biāo)窗口8中有一個數(shù)據(jù)輸入?yún)^(qū)域����,口令PWD必須插入其中。該窗口由它的類型和它的特定屬性來表征�,例如一個口令窗口的一個屬性特征。
目標(biāo)窗口是在對話框10中���。對話框特別是以窗口標(biāo)題來表征����,該標(biāo)題顯示在對話框的標(biāo)題條中�,例如以“輸入口令”的形式出現(xiàn)。
最后��,該應(yīng)用的主窗口���,即目標(biāo)應(yīng)用的窗口��,特別是以窗口類型和窗口標(biāo)題11來表征����。標(biāo)題通常由應(yīng)用名和在該應(yīng)用中打開的文件名(例如文本文件的文件名或萬維網(wǎng)頁的地址)的縮寫構(gòu)成。
如前面描述的那樣���,在圖4和圖5的子程序的步驟109�、117或120中�,上述信息用于確定插入一個口令是否被授權(quán)。
如果對一個應(yīng)用的訪問以提供若干鑒定數(shù)據(jù)為條件���,例如用戶名(登錄名)和口令�,則訪問控制軟件LPA被修改為—確定用戶在其中釋放鼠標(biāo)器按鈕6的目標(biāo)窗口是用于接收登錄名的窗口還是用于接收口令的窗口���;以及—尋找這同一對話框的另一個毗鄰窗口�,取決于前一步驟的結(jié)果����,該毗鄰窗口將接收登錄名或口令。
登錄名窗口和口令窗口之間的鑒別是通過檢驗所涉及的窗口是否有“口令”屬性來實(shí)現(xiàn)的��,即檢驗該窗口是否適應(yīng)于借助星號來隱藏輸入的內(nèi)容�。
第二窗口的查找是通過查找第一窗口的父窗口,然后列出該父窗口的全部子窗口����,直至找到具有所需特征的一個窗口。然而�����,在某些情況中這一解決方案可能不行(對話框有多于兩個輸入窗口�����,“口令”屬性未被使用等)�����。
另一解決方案包含讓用戶進(jìn)行初始化����;在首次置放到一個應(yīng)用的未知對話框中時,程序LPA引導(dǎo)用戶下一步要做什么�,即它向用戶顯示一個帶有其輸入窗口的目標(biāo)對話框摹寫樣本。在卡中已存在的口令(以其代碼P1��、P2等的形式)和登錄名列表以及增加新條目的可能性。
用戶通過指出哪些鑒定數(shù)據(jù)(登錄名和口令)必須插入該窗口���,例如使用鼠標(biāo)器來指出����,從而在口令和登錄名之間建立鏈接�。所有這些信息都存儲在智能卡中,供其后請求針對所涉及的應(yīng)用進(jìn)行認(rèn)證時再使用��。
無需說所描述的實(shí)施例只是本發(fā)明的舉例而且它們能被修改�,特別是通過替換技術(shù)上的等效物,而不離開本發(fā)明的范圍���。
例如��,在靜態(tài)口令的情況中�����,該口令能以加密形式存儲在個人安全裝置PSD的存儲器M中����,和/或以秘密數(shù)據(jù)的形式存儲供計算這樣的口令�����。在這種情況中,個人安全裝置PSD包括執(zhí)行一個或多個算法的裝置����,以計算將提供給個人計算機(jī)的靜態(tài)口令����。
另一方面,上面描述的系統(tǒng)還能應(yīng)用于輸入�,為訪問一個服務(wù)或程序或執(zhí)行一個程序所需要的數(shù)據(jù),如信用卡號和截止日期�����,銀行卡號等���,不論對它們的訪問是否由輸入訪問鑒定數(shù)據(jù)(口令�����、登錄名等)來控制����。
權(quán)利要求
1.一種信息設(shè)備,包括—至少是實(shí)現(xiàn)下述功能之一的數(shù)據(jù)處理裝置訪問一個程序�����,執(zhí)行一個程序和訪問一個服務(wù)��,—存儲數(shù)據(jù)和程序的第一裝置�����,—用戶接口裝置���,包括至少一個顯示屏幕和圖形界面裝置��,以及—至少一個指向裝置���,用于控制游標(biāo)在所述屏幕上的運(yùn)動,—在該系統(tǒng)中��,實(shí)現(xiàn)所述功能需要應(yīng)用鑒定數(shù)據(jù)以響應(yīng)所述屏幕上顯示的請求���,其特點(diǎn)在于它進(jìn)一步包括一個個人安全裝置(5)�,該裝置包括發(fā)送所述鑒定數(shù)據(jù)的供給裝置(M)和控制對所述程序進(jìn)行訪問的裝置(LPA)����,包括—顯示裝置�����,用于在屏幕上同時顯示所述請求(10)和至少一個代表該個人安全裝置(5)的符號(7)��,—獲取裝置(100)����,用于由所述指向裝置(6)把所述游標(biāo)(9)放到所述符號上���,從而命令獲取所述供給裝置(M)中的鑒定數(shù)據(jù),以及—應(yīng)用裝置(122)����,用于由所述指向裝置命令把鑒定數(shù)據(jù)應(yīng)用于所要求的游標(biāo)位置處的功能。
2.根據(jù)權(quán)利要求1的設(shè)備�����,這里所述程序是窗口型的而且包括一個目標(biāo)窗口(8)用于該鑒定數(shù)據(jù)的所述應(yīng)用��,其特點(diǎn)在于所述訪問控制裝置進(jìn)一步包括—第一裝置(109���、117)���,當(dāng)游標(biāo)(9)在所述屏幕上移動時用于識別在所述游標(biāo)(9)下該窗口的特征數(shù)據(jù)�,—第一比較器裝置(110�����、118)�����,用于把游標(biāo)下的所述窗口的特征數(shù)據(jù)與存儲在所述供給裝置(M)中的與所述鑒定數(shù)據(jù)有關(guān)的目標(biāo)窗口的特征數(shù)據(jù)進(jìn)行比較���,以及—響應(yīng)所述識別出的特征數(shù)據(jù)與存儲在所述供給裝置(M)中的特征數(shù)據(jù)之間的匹配結(jié)果��,對所述鑒定數(shù)據(jù)的所述應(yīng)用予以授權(quán)的裝置(113)����。
3.根據(jù)權(quán)利要求2的設(shè)備���,其特點(diǎn)在于它包括多個程序和多個控制對各程序訪問的單獨(dú)鑒定數(shù)據(jù)(PWD1�、PWD2等)���,每個鑒定數(shù)據(jù)與所述供給裝置中標(biāo)識相應(yīng)程序(應(yīng)用1等)的數(shù)據(jù)相關(guān)聯(lián)�,所述顯示裝置適應(yīng)于在所述屏幕上顯示分別代表所述鑒定數(shù)據(jù)的多個符號(P1、P2等)�,所述訪問控制裝置進(jìn)一步包括—第二裝置(120)用于識別一個程序,它的目標(biāo)窗口(8)顯示在所述屏幕上�����,以及—第二比較器裝置(121)�����,用于把所述識別出的程序的標(biāo)識與和所述指向裝置選出的鑒定數(shù)據(jù)關(guān)聯(lián)的標(biāo)識數(shù)據(jù)進(jìn)行比較�,只有當(dāng)識別出的程序與所述標(biāo)識數(shù)據(jù)完全相同時����,所述比較器裝置才授權(quán)把選出的鑒定數(shù)據(jù)應(yīng)用于所述識別出的程序。
4.根據(jù)權(quán)利要求2的設(shè)備��,其特點(diǎn)在于它包括多個程序和多個控制對各程序訪問的單獨(dú)鑒定數(shù)據(jù)��,(PWD1�、PWD2等),每個鑒定數(shù)據(jù)與所述供給裝置中標(biāo)識相應(yīng)程序(應(yīng)用1等)的數(shù)據(jù)相關(guān)聯(lián)���,而且所述訪問控制裝置進(jìn)一步包括—第二裝置(120)用于識別一個程序����,它的目標(biāo)窗口(7)被顯示在所述屏幕上,以及—第二比較裝置(121)用于把檢測到的所述程序的標(biāo)識與所述供給裝置(M)中存儲的標(biāo)識數(shù)據(jù)進(jìn)行比較����,—所述應(yīng)用裝置(121)適用于命令把所述供給裝置(M)內(nèi)存在的鑒定數(shù)據(jù)應(yīng)用于所述目標(biāo)窗口中,而且其相關(guān)聯(lián)的標(biāo)識數(shù)據(jù)對應(yīng)于所述檢測到的程序的標(biāo)識���。
5.根據(jù)權(quán)利要求4的設(shè)備����,其特點(diǎn)在于它包括裝置(124�、125)用于授權(quán)由用戶通過所述接口裝置輸入所述被檢測到的程序所使用的鑒定數(shù)據(jù),并把輸入的鑒定數(shù)據(jù)與所述被檢測到的程序的標(biāo)識數(shù)據(jù)一起存入所述供給裝置�����,如果在所述標(biāo)識數(shù)據(jù)和所述被檢測到的程序之間沒有匹配的話�。
6.根據(jù)權(quán)利要求1至5中任何一個的設(shè)備,其特點(diǎn)在于它包括一個個人計算機(jī)(1)�,所述個人安全裝置(5)與其相連。
7.根據(jù)權(quán)利要求6的設(shè)備,其特點(diǎn)在于所述程序(應(yīng)用1等)是在該個人計算機(jī)和一個服務(wù)器之間分割的應(yīng)用程序�����,所述設(shè)備包括將所述個人計算機(jī)與所述服務(wù)器連接的裝置���。
8.根據(jù)權(quán)利要求1至7中任何一個的設(shè)備����,其特點(diǎn)在于所述個人安全裝置是一個智能卡(5)�����。
9.根據(jù)權(quán)利要求1至8中任何一個設(shè)備��,其特點(diǎn)在于所述個人安全裝置(5)包括把存儲的秘密代碼(PIN)與用戶通過所述接口裝置輸入的秘密代碼進(jìn)行比較的裝置���,所述訪問控制裝置變?yōu)轫憫?yīng)所述秘密代碼之間的匹配進(jìn)行操作。
10.根據(jù)權(quán)利要求1至9中任何一個的設(shè)備�,其特點(diǎn)在于所述訪問控制裝置包括裝置防止在把鑒定數(shù)據(jù)應(yīng)用于所述程序時在所述顯示屏幕上顯示所述鑒定數(shù)據(jù)。
11.根據(jù)權(quán)利要求1至10中任何一個的設(shè)備���,這里所述鑒定數(shù)據(jù)是靜態(tài)的�����,其特點(diǎn)在于所述供給裝置(M)是存儲器裝置���。
12.根據(jù)權(quán)利要求1至11中任何一個的設(shè)備���,這里所述鑒定數(shù)據(jù)是動態(tài)的,其特點(diǎn)在于所述供給裝置(M)包括執(zhí)行一算法以計算所述鑒定數(shù)據(jù)的裝置����。
全文摘要
本發(fā)明涉及一種設(shè)備,包含數(shù)據(jù)處理裝置�、第一存儲器裝置、包括至少一個顯示屏幕(2)的接口裝置����、至少一個指向部件用于控制游標(biāo)在所述屏幕上的移動、以及至少一個軟件�,該軟件的執(zhí)行需要應(yīng)用至少一個認(rèn)可數(shù)據(jù)以響應(yīng)所述屏幕上顯示的請求。它進(jìn)一步包含一個個人安全裝置(5)����,該個人安全裝置(5)包含供給裝置(M)用于發(fā)送所述認(rèn)可數(shù)據(jù),以及控制訪問所述軟件的裝置���,該裝置包括顯示裝置用于在所述屏幕上同時顯示所述請求(10)和至少一個代表所述個人安全裝置(5)的符號(7)����,獲取裝置(100)用于利用所述指向部件把所述游標(biāo)(9)放在所述符號上從而控制獲取所述供給裝置中的所述認(rèn)可數(shù)據(jù),以及應(yīng)用裝置(122)用于通過所述指向部件控制把所述數(shù)據(jù)應(yīng)用于所述游標(biāo)所需位置處的所述軟件�。
文檔編號G06F21/34GK1409835SQ0081714
公開日2003年4月9日 申請日期2000年12月15日 優(yōu)先權(quán)日1999年12月17日
發(fā)明者耶弗斯·奧德伯特 申請人:阿克蒂夫卡德公司