[发明专利]确保验证和授权操作期间所用信息的保密性的系统和方法

说明书

相关申请的交叉引用

根据美国法典第35篇119条(a)-(d)项，本公开要求于2013年7月23日提交的2013134220号俄罗斯申请的优先权的权益，其通过援引的方式合并入本文。

技术领域

本公开总地涉及信息安全领域，并且更具体地，涉及用于确保在验证和授权操作期间所使用的信息的保密性的系统和方法。

背景技术

随着计算机技术的日益流行，它正在变得广泛可用、移动式和功能性，并且用户正在变得更加精通于利用计算机技术工作。例如由于对在操作的授权或者各种电子服务的用户的身份的验证期间所使用的保密信息(CI)的低水平保护，这类计算机技术的高水平开发也可能带来若干安全威胁。

确保对CI的保护是一个迫切的问题。能够拦截正从银行设备的键盘或者密码键盘(pin pad)(用于输入CI的设备)输入的CI的恶意软件的传播，以及CI的拦截、非法采集和获得的技术的传播可能是对银行账户的违法访问、操作的非法授权以及数据丢失的原因。

每年，越来越多的方法针对CI的使用而出现，诸如发卡行识别码(bank card number)、密码、登录、生物特征(biometric)数据等。例如，通过使用银行账户数据，用户可以在互联网上进行采购、付账并且控制其银行账户。

同时，存在越来越多的对CI的拦截和违法使用的方式。即使CI使用虚拟键盘输入，安装在未受保护的个人计算机(PC)上的间谍软件、键盘记录器和其它恶意软件也能够拦截正由用户输入的信息，并且将其发送给黑客以实行违法操作。为了防止CI的违法使用，一些服务利用通过SMS(短消息服务)发送的一次性密码，然而，黑客已经开发了拦截SMS并且获得用于违法操作的授权的一次性密码的方案。另一个未解决的问题是拦截和读取伪造银行卡所需要的数据或者使用所读取的数据来执行银行业务操作。黑客在银行设备上安装拦截装置，诸如假键盘、磁卡阅读器或者照相机以采集输入某卡的PIN码的时刻。在另一熟悉实例中，黑客将特殊化的恶意软件安装在控制支付系统的密码键盘的计算机上，从而获得由不知情用户所输入的CI，并且其采用该信息来实行违法操作。

使用CI的脆弱方式的增长趋势是银行、公司、极其重要的基础设施和信息系统的普通用户已经面临的问题，并且其需要迫切解决。

发明内容

公开了用于确保服务的用户的信息的保密性的系统、方法和计算机程序产品。存在方面的一个技术结果是增加对于出于验证和授权的目的而正在传送的信息的保密性的保护。通过使用受信任计算机设备用于所述CI的输入和传送来达到该技术结果。

在一个方面中，一种确保信息的保密性的方法包括：接收实行用于服务的操作控制过程的请求，标识服务的用户，选择与服务的经标识的用户相关联的受信任设备，将对于用户的保密信息的请求发送到所选择的受信任设备，其中，保密信息用于实行操作控制过程，从所选择的受信任设备接收保密信息，以及使用所接收的保密信息实行操作控制过程。

在一个方面中，标识服务的用户基于由服务的用户在设备上所输入的数据，该设备用于发送实行操作控制过程的请求。

在另一方面中，保密信息由服务的用户在受信任设备上通过受信任设备的受保护模块或者通过应用输入。

在另一方面中，操作控制过程包括服务的用户的验证的操作或者用于服务的授权过程中的一个或多个。

在另一方面中，服务包括以下中的一个或多个：网上银行业务服务、互联网商务服务、支付服务、远程工作服务、在极其重要的基础设施处所使用的程序命令、或者在正被控制的设备上安装软件的操作。

在另一方面中，保密信息包括账户记录的密码、生物特征数据或者PIN码。

在另一方面中，受信任设备包括笔记本、上网本、智能电话、移动电话、通信器或者瘦客户端。

在另一方面中，受信任设备使用加密形式的受保护信道以接收对于保密信息的请求并且发送保密信息。

在另一方面中，一种用于确保信息的保密性的系统包括处理器，其配置为：接收实行用于服务的操作控制过程的请求，标识服务的用户，选择与服务的经标识的用户相关联的受信任设备，将对于用户的保密信息的请求发送到所选择的受信任设备，其中，保密信息用于实行操作控制过程，从所选择的受信任设备接收保密信息，以及使用所接收的保密信息实行操作控制过程。