[发明专利]用于保护从非安全终端执行的交易的方法

说明书

本发明涉及一种用于保护从非安全终端执行的交易的方法。一种从用户终端(UT)安全执行敏感操作的方法包括：从安全处理器(ASRV、SE)向用户终端传输防止篡改和逆向工程并执行敏感操作的软件组件(GC)、以及软件组件的输入数据(SGi、RNi、INi、INj)，软件组件包括被配置为接收第一输入数据(RNi)的第一输入端，第一输入数据具有两个随机选择的有效值(RNiV1、RNiV2)、以及无效值，所接收的输入数据包括第一输入数据的有效值；在接收的输入数据中随机选择第一输入数据的有效值之一；以及通过将接收的输入数据应用于软件组件的输入端并将所选择的有效值应用于软件组件的第一输入端来执行软件组件，软件组件的执行提供取决于所选择的有效值的输出数据(PXi)。

技术领域

本发明涉及一种用于从非安全终端安全地认证用户、以及用于基于此类用户认证执行涉及此类非安全终端和远程服务器的安全交易的方法和设备。

背景技术

期望执行从诸如智能电话、个人计算机、数字平板计算机之类的移动终端、或者任何其它已连接设备(包括属于物联网(IoT)的设备)(不确定这是相关的，因为所要求保护的方法需要人)启动的交易，例如电子商务交易或资金转账。但是，这产生安全问题，特别是因为终端的处理器(CPU)可能执行“恶意软件”。恶意软件可以能够访问可由处理器访问的所有或部分存储器，并且因此可以被恶意地配置为监视由终端执行的任何交易，并恢复在这些交易期间操纵的任何机密数据以便通过网络传输。

为了确保此类交易的安全性，已经提出将加密计算委托给专用安全元件，例如UICC(“通用集成电路卡”)卡的处理器，UICC卡例如包括手机通常配备的SIM(用户识别模块)卡。为了能够执行一个或多个支付应用，安全处理器必须能够存储与支付应用一样多的机密加密密钥。但是，将应用加载到安全处理器的存储器中是一种需要高度安全的复杂操作。具体地说，它涉及诸如可信服务管理器之类的外部各方。因为SIM卡由蜂窝电话运营商发行，所以后者可能拒绝将此类应用安装在卡中。此外，在发生被盗的情况下，或者在电话维修期间，SIM卡的处理器可能被寻求发现存储在SIM卡存储器中的密钥的黑客攻击。

此外，访问安装在SIM卡的处理器中的安全功能通常需要借助连接到终端的主处理器的小键盘或触敏表面来输入密码(PIN码)。在传统配置中，由用户输入的密码必然经过主处理器。由主处理器执行的恶意软件因此能够访问该密码。

由申请人提交的专利申请WO2012/107698公开一种使用终端的图形处理器作为执行交易的安全元件的方法。该方法包括以下步骤：在终端的图形处理器与认证服务器之间建立安全通信链路、以及显示具有以随机顺序布置的键的虚拟小键盘。通过连续显示其中键的标记不可识别的互补帧，使用视觉加密显示小键盘的图像，由于用户的视网膜残留(retinal remanence)，互补帧被用户的视觉系统组合成可识别的图像。以这种方式，即使在终端的主处理器上运行的恶意程序能够访问由用户在密码输入期间触摸的键的位置，该恶意程序也不能通过获得连续屏幕截图来确定哪些标记对应于被触摸键。

但是，该方法需要重要的计算资源，所有便携式设备(例如市场上的所有现有智能电话)中都未提供这些资源。

为了保护使用连接到网站的终端执行的交易，已提出使用一次性密码，每次需要验证交易时将一次性密码传输给用户。根据第一解决方案，经由不同的通信通道(例如经由电话链路或SMS(短消息服务))将一次性密码传输给用户，用户需要在终端上输入所接收的密码以便验证交易。另一种已知的解决方案向每个用户提供额外硬件设备，该设备借助诸如密码或生物数据之类的凭证，在用户认证之后生成一次性密码。对于并非始终在附近具有电话或移动或无线网络覆盖或该硬件设备(当需要它们以便验证交易时)的用户，这些解决方案令人烦恼。需要额外硬件设备的解决方案对于银行组织而言成本高昂。此外，使用由SMS传输的密码的解决方案不能提供足够高的安全级别，因为它已经被成功攻击。