光學安全性增強設備的制造方法
【專利說明】光學安全性増強設備
[0001]背景
[0002]傳統(tǒng)地����,敏感交易可能受到來自操縱硬件和/或軟件的敵對者�����、截取用戶的物理郵件的敵對者���、觀察用戶輸入的敵對者����、使用擊鍵登錄器的敵對者�����、截取鼠標�����、觸摸屏或姿勢輸入事件的敵對者和/或從圖形子系統(tǒng)中搜集存儲器的內容的敵對者的危害�����。這種敏感交易的示例包括用于在線商務的要求用戶輸入密碼����、賬號或其它隱私信息的驗證對話。
[0003]典型的現有解決方案涉及使用物理或數字的一次性密碼本����,并且是昂貴和不方便的。在一物理示例中�,金融機構郵寄給客戶一個隨機數列表�,每個隨機數僅可被用于一個交易��,但是可以從郵件中截取該列表�,并且當獲得用戶的賬戶信息時,攻擊者可以具有對該用戶的賬戶的無約束的訪問����。在一數字示例中,可信的���、輔助設備成為唯一會話的詢問/響應的對話的部分��。在數字示例中����,用戶被要求將密碼輸入到安全�����、自包含的設備中�����,該設備隨后將用戶必須輸入的唯一密鑰作為驗證對話的部分提供。
[0004]另一個現有解決方案涉及使用生物傳感器�,例如指紋讀取器�、視網膜掃描等。適合的掃描儀被合并入終端設備或附加設備�����,這些設備是易受硬件攻擊的���。已經被證明指紋讀取器可以被欺騙以制作與多個商業(yè)指紋讀取器一起工作的復制品�。無論生物傳感器的技術力量如何��,將它們合并到具有大型的異構的用戶組的廣泛服務是昂貴的���。它們也難以以不受危害的方式合并入通用平臺�����。
[0005]概述
[0006]在此所述的技術使用了一種光學安全設備來通過可能不可信和/或有危害的計算機查看以模糊格式提供的敏感信息�����。所述技術允許將不可信計算機用于訪問敏感信息�。該光學安全設備使用一種或多種形式的視覺密碼技術來由可能不可信的計算機展現以模糊形式提供的敏感信息。
[0007]提供該概述以便以簡化形式介紹概念的選集���,所述概念在以下詳細描述中被進一步描述��。本
【發(fā)明內容】
不旨在標識所要求保護的主題的關鍵或必要特征�,也不旨在用于幫助確定所要求保護的主題的范圍��。例如術語“技術”可指代上述上下文和通篇文檔中所準許的系統(tǒng)�、方法、計算機可讀指令�����、模塊�、算法、硬件邏輯(例如�,現場可編程門陣列(FPGA)、專用集成電路(ASIC)����、專用標準產品(ASSP)、片上系統(tǒng)(SOC)�、復雜可編程邏輯器件(CPLD))和/或技術。
[0008]附圖簡述
[0009]本發(fā)明或申請文件包括至少一幅彩色的附圖�����。本發(fā)明或發(fā)明申請公開的具有彩色附圖的副本將在請求并支付所需的費用之后由專利局提供。
[0010]參考附圖來描述【具體實施方式】�����。在附圖中���,附圖標記最左邊的數字標識該附圖標記首次出現的附圖。不同附圖中的相同參考標記指示相似或相同的項�。
[0011]圖1是描繪各安全性增強的實施例可在其中操作的示例環(huán)境的框圖。
[0012]圖2是根據各實施例的安全性增強技術的示例實現���。
[0013]圖3是根據各實施例的使用靜態(tài)類型光學安全設備的安全性增強技術的示例實現�����。
[0014]圖4是根據各實施例的使用被配置為實現可視密碼技術的空間形式的動態(tài)類型光學安全設備的安全性增強技術的示例實現�����。
[0015]圖5A和5B示出根據各實施例的使用被配置為實現可視密碼技術的時間形式的動態(tài)類型光學安全設備的安全性增強技術的示例實現�����。
[0016]圖6是根據各實施例的描述示例體系結構的框圖�����,該示例體系結構可執(zhí)行與安全性增強有關的操作�。
[0017]圖7是根據各實施例的描繪生成模糊用戶界面的示例過程的流程圖。
[0018]圖8是根據各實施例的描繪制造光學安全設備的示例過程的流程圖��。
[0019]圖9是根據各實施例的描繪使用光學安全設備的示例過程的流程圖�����。
[0020]詳細描述
[0021]概覽
[0022]各實施例提供了可應用于增強在不可信環(huán)境中的敏感交易的安全性的技術和設備����,所述環(huán)境包括在其中可從適當配置的終端設備,例如智能電話�、平板計算機、膝上或桌面計算機��、電子書閱讀器�����、自動售貨機和/或自動取款機(ATM)����,捕捉用戶輸入的場景��。換言之�����,各實施例增強了在終端設備的硬件和/或軟件受危害時的安全性��,并且至少一些實施例還增強了在終端設備是安全的且具有安全軟件棧時安全性�。一種針對各實施例增強安全性的攻擊的示例是來自攻擊者的對于圖形子系統(tǒng)中的存儲器的后續(xù)讀出�。各實施例包括允許用戶查看(解密)在終端設備的屏幕上呈現的圖像中的信息����,所述信息是以其它方式不可識別的(經加密的)。當結合觸摸屏實現時����,一些實施例允許設計抵制觸摸輸入登錄的驗證對話。幾種實施例可以用于智能電話�����、平板計算機���、膝上或桌面計算機����、電子書閱讀器、自動售貨機和/或ATM機器�����。在至少一個實施例中��,在此所述的安全性增強技術是在單個機器/單個處理器環(huán)境中實現的��,并且在至少一個實施例中�����,在此所述的安全性增強技術是在單個機器/多個處理器環(huán)境中實現的���。同時����,在至少一個實施例中����,在此所述的安全性增強技術是在網絡分布式環(huán)境中實現�。網絡分布式環(huán)境可包括一個或多個類型的計算資源����,計算資源的類型可包括計算、聯網和/或存儲設備��。網絡分布式環(huán)境還可被稱為云計算環(huán)境�����。
[0023]參考圖1-9進一步描述各個實施例��。
[0024]說明性環(huán)境
[0025]下面描述的環(huán)境僅構成一個示例�,而不旨在將各權利要求限于任一特定操作環(huán)境?����?梢允褂闷渌鼘嵤├槐畴x所要求保護的主題的精神和范圍��。圖1是在此所述的安全性增強的實施例可在其中操作的示例環(huán)境100���。在一些示例中,環(huán)境100的各種設備和/或組件包括一個或多個(諸)網絡102�,在其上可以將一個客戶端計算設備104(在此也稱為客戶端設備�����、終端設備或簡稱為設備104)連接到服務器106��。環(huán)境100可包括多個網絡102��,各種設備104和/或多個服務器106�,它們中的任意或每個可以由一個實體(如銀行��、醫(yī)療機構����、政府機構或公司)控制或服務該實體。
[0026]例如��,(諸)網絡102可包括諸如因特網之類的公共網絡�����、諸如機構和/或個人內聯網的專用網絡�����,或專用和公共網絡的某種組合。網絡102還可包括任何類型的有線和/或無線網絡�,包括但不限于局域網(LAN)、廣域網(WAN)���、衛(wèi)星網絡���、有線網絡、W1-Fi網絡���、WiMax網絡����、移動通信網絡(如3G����、4G等等)或它們的任意組合。(諸)網絡102可利用通信協議�����,包括基于分組的和/或基于數據報的協議�,如網際協議(IP)�����、傳輸控制協議(TCP)、用戶數據報協議(UDP)或其他類型的協議����。而且,(諸)網絡102還可包括便于網絡通信和/或形成網絡的硬件基礎的若干設備���,如交換機��、路由器�、網關��、接入點��、防火墻�、基站、中繼器�、主干設備等等。
[0027]在一些實施例中�,網絡102可進一步包括能夠實現到無線網絡的連接的設備,諸如無線接入點(WAP)��。各實施例支持通過WAP的連接性�,WAP經由各個電磁頻率(例如,無線電頻率)來發(fā)送和接收數據,包括支持電氣和電子工程師協會(IEEE)802.11標準(例如�����,802.Hg,802.1ln等)和其他標準的WAP0
[0028]在各個實施例中�,客戶端設備104包括諸如設備104A-104F的設備。各實施例支持以下場景:其中(諸)設備104可包括一個或多個可在群集中操作或在其他分組的配置中操作以共享資源或出于其他目的的計算設備�。盡管所示出的是不同的各種設備類型,(諸)設備104可以是其它設備類型并不受限于所示出的設備類型����。設備104可包括任何類型的具有操作上連接到輸入/輸出接口 110和存儲器112的一個或多個處理器108的計算設備。(諸)設備104可包括但不局限于所示出的設備104���。例如�,設備104可以包括個人計算機�,例如諸如桌面計算機104A、膝上計算機104B����、平板計算機104C、電信設備104D����、個人數字助理(PDA) 104E、電子書閱讀器�����、可穿戴計算機�、車載計算機和/或游戲設備。設備104還可以包括商業(yè)或面向零售的設備�����,例如諸如自動取款機(ATM)104F�����、服務器計算機106�����、瘦客戶機���、終端和/或工作站���。在一些示例中,設備104可以包括例如集成在計算設備���、電器或其它類別的設備中的組件��。
[0029]在一些實施例中�����,如有關設備104(A)所示�����、存儲器112可存儲可由處理器108執(zhí)行的指令���,指令包括操作系統(tǒng)114���、用于安全性增強的框架116、以及可由處理器108加載并執(zhí)行的其他模塊��、程序或應用�����。替換地或另選地��,此處描述的功能可以至少部分由一個或多個硬件邏輯組件來執(zhí)行��。例如、但非限制���,可使用的硬件邏輯組件的說明性類型包括現場可編程門陣列(FPGA)、程序專用的集成電路(ASIC)��、程序專用的標準產品(ASSP)�����、片上系統(tǒng)系統(tǒng)(SOC)�、復雜可編程邏輯器件(CPLD)、等等�。
[0030]存儲器112是計算機可讀存儲介質的示例,并且可包括易失性存儲器���、非易失性存儲器��,和/或其它持久和/或輔助計算機可讀存儲介質����。因此���,存儲器112包括有形和/或物理形式的介質�,該介質被包括在設備和/或作為設備的一部分或外置于設備的硬件組件中,該介質包括但不限于:隨機存取存儲器(RAM)��、靜態(tài)隨機存取存儲器(SRAM)�、動態(tài)隨機存取存儲器(DRAM)、只讀存儲器(R0M)��、可擦除可編程只讀存儲器(EPROM)��、電可擦除可編程只讀存儲器(EEPROM)�����、閃存���、光盤只讀存儲器(CD-ROM)����、數字多功能盤(DVD)����、光卡或其它光存儲介質、磁帶盒���、磁帶��、磁盤存儲����、磁卡或其他磁存儲設備或介質、固態(tài)存儲器設備���、存儲陣列、網絡附連存儲�、存儲區(qū)域網絡、主計算機存儲或任何其它存儲存儲器�、存儲設備,和/或可用于存儲并維護供計算設備訪問的信息的存儲介質�。然而,所涵蓋的存儲112和所描述的計算機可讀存儲介質由此不包括單獨由所傳播的信號本身組成的通信介質�����。
[0031](諸)設備104可以進一步包括一個或多個輸入/輸出(I/O)接口110以允許設備104與其它設備通信�。設備104的輸入/輸出(I/O)接口 110還可包括一個或多個網絡接口以允許經由(諸)網絡102在計算設備104與其他聯網設備(