專利名稱:提供基于圖案的用戶密碼訪問的方法和裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明通常涉及信息安全的領(lǐng)域,以及特別地涉及基于圖案的用戶密碼。
背景技術(shù):
銀行客戶在使用自動拒員機(ATM)時通常輸入四位數(shù)字個人標(biāo)識號 (PIN,下文稱為密碼),以訪問他們的銀行賬戶、或進行銀行交易。當(dāng)賬戶 開通時,銀行會分配一個密碼給客戶??赡茏钥蛻魮碛匈~戶后一直沒有更改 過密碼。 一個短數(shù)字密碼易于客戶記憶,但是同樣容易被盜。行竊者可以通 過觀察用戶輸入密碼來竊取客戶的密碼。然后,行竊者可以使用竊取到的密 碼獲得對該客戶的銀行賬戶未被授權(quán)的訪問。
一個防止密碼失竊的解決方案是建立僅使用一次就過期的單次使用的 密碼。如果行竊者觀察到用戶使用的單次使用的密碼,那么,所盜竊的單次 使用的密碼對訪問客戶的銀行賬戶來說是沒有用的,這是因為,單次使用的 密碼在用戶使用過后就過期了。分配單次使用的密碼存在后勤和實踐上的挑 戰(zhàn)。銀行需要分發(fā)單次使用的密碼的有效方法??蛻粜枰涀未问褂玫拿?碼的方法。分發(fā)單次使用的密碼的方法和記住單次使用的密碼的方法需要保 密,以保護單次使用的密碼的保密性。
分配單次使用的密碼的一種已知方法是在緊湊的電子顯示裝置上使用 旋轉(zhuǎn)碼(rotating code )。旋轉(zhuǎn)碼對應(yīng)于銀行計算機系統(tǒng)上的旋轉(zhuǎn)碼,這樣, 電子顯示裝置上的旋轉(zhuǎn)碼與銀行計算機系統(tǒng)上的旋轉(zhuǎn)碼相匹配。這種方法的 問題在于如果緊湊的電子顯示裝置丟失,則用戶無法訪問賬戶。如果緊湊 的電子顯示裝置被盜,則用戶將無法訪問賬戶,而行竊者卻可以訪問該賬戶。 存在對于這樣的方法的需要,該方法用來向客戶、或任何計算機化的密碼的 用戶提供難以被盜、而且還便于客戶記憶的唯一的單次使用的密碼
發(fā)明內(nèi)容
盜、且還便于客戶記憶的唯一的單次使用的密碼?;趫D案的密碼工具向用 戶分配密碼,其中,該密碼指定矩陣上的多個元素中的至少一個元素的空間 位置?;趫D案的密碼工具利用隨機生成的字符來在矩陣上填充多個元素。
在讀取密碼輸入(entry)后,基于圖案的密碼工具校驗密碼輸入是來自矩陣 上的多個元素的字符的正確的組合,其中,所述字符對應(yīng)于由該密碼指定的 至少一個元素的空間位置。由于在每次用戶訪問賬戶時,由隨機生成的字符 重新填充矩陣,所以,在每次用戶訪問賬戶時,用戶輸入不同的密碼輸入。 行竊者將不能確定圖案、并通過偶然觀察到密碼輸入而竊取基于圖案的密碼。
本發(fā)明的新穎的特征在所附權(quán)利要求中提出。當(dāng)結(jié)合附圖閱讀詳細描述 時,通過參考以下示例性的實施方式能更好的理解本發(fā)明本身以及優(yōu)選實施 方式、更進一步的目標(biāo)和益處,其中
圖1為示例計算機網(wǎng)絡(luò);
圖2描述了計算機上的存儲器中的文件和程序;
圖3為配置部件的流程圖4為密碼生成部件的流程圖5為矩陣生成部件的流程圖6為密碼校驗部件的流程圖7為示例矩陣;以及
圖8示出了應(yīng)用于示例矩陣的基于圖案的密碼。
具體實施例方式
本發(fā)明的原理可適用于多種計算機硬件和軟件設(shè)置。在此使用的術(shù)語"計 算機硬件,,或"硬件"涉及任何可以接收、執(zhí)行邏輯操作、存儲或顯示數(shù)據(jù)、 以及包括但不限于處理器和存儲器的機器或裝置。術(shù)語"計算機軟件"或"軟 件"指任何可操作的使得計算機硬件執(zhí)行操作的指令。"計算機,,作為在此使 用的術(shù)語,包括但不限于任何有用的硬件和軟件的組合,以及"計算機程序" 或"程序"包括但不限于操作軟件來使得計算機硬件接受、執(zhí)行邏輯操作、 存儲或顯示數(shù)據(jù)。計算機程序可以、并經(jīng)常由多個較短的程序單元構(gòu)成,包 括但不限于子程序、模塊、函數(shù)、方法和步驟。因此,本發(fā)明的功能可以分布于多個計算機和計算機程序中。本發(fā)明最好被描迷為竿獨的計算機程序, 其設(shè)置和使得一個或更多個一般目的的計算機來執(zhí)行本發(fā)明新穎的方面?;?于示例的目的,本發(fā)明的計算機程序?qū)⒈环Q為"基于圖案的密碼工具"。
另外,如圖1中描述,下面,通過參照示例硬件裝置網(wǎng)絡(luò)來描述基于圖 案的密碼工具。"網(wǎng)絡(luò)"包括通過通訊介質(zhì)(例如,因特網(wǎng))彼此耦4妄和通信 的任意數(shù)目的硬件裝置。"通訊介質(zhì)"包括但不限于任何物理、光、電磁或其 它介質(zhì),通過這些介質(zhì),硬件或軟件可以傳輸數(shù)據(jù)。為了描述的目的,示例
網(wǎng)絡(luò)100僅具有有限數(shù)量的節(jié)點,包括ATM 105、工作站計算機110、服務(wù) 器計算機115、以及持久型存儲裝置120。網(wǎng)絡(luò)連接125包括所有的硬件、軟 件和使得在網(wǎng)絡(luò)節(jié)點105-120之間可以通信的必需的通訊介質(zhì)。除非上下文 中相反指出,否則,所有的網(wǎng)絡(luò)節(jié)點使用公開可用協(xié)議或消息服務(wù),來通過 網(wǎng)絡(luò)連接125彼此通訊。
典型地,基于圖案的密碼工具200存儲在存儲器中,圖2中示意性地表 示為存儲器220。在此使用的術(shù)語"存儲器"包括但不限于任何易失性或永 久性介質(zhì),例如電路、磁盤或光盤,其中,計算機可以在任何持續(xù)時間內(nèi)存 儲數(shù)據(jù)或軟件。單個存儲器可以涵蓋并分布于多個介質(zhì)之間。此外,基于圖 案的密碼工具200可以駐留于分布在不同計算機、服務(wù)器、邏輯分區(qū)或其 它硬件裝置之間的多于一個的存儲器。在存儲器220中繪出的元素可以任何 組合位于或分布在獨立的存儲器中,并且,基于圖案的密碼工具200可以適 于通過所分布的元素來識別、定位和訪問任何元素和同等行為(coordinate action)(如果有的話)。因此,圖2僅僅作為描述的手段而被包括,并且,不 一定反映存儲器220任何特定的物理實施例。如圖2所示,存儲器220可以 包括附加的數(shù)據(jù)和程序。對于基于圖案的密碼工具200來說特別重要的是 存儲器220可以包括現(xiàn)有的程序,即密碼界面應(yīng)用程序230,基于圖案的密 碼工具200與密碼界面應(yīng)用程序230交互。密碼界面應(yīng)用程序230包括用來 操作用戶密碼系統(tǒng)的現(xiàn)有的軟件基礎(chǔ)結(jié)構(gòu),例如為ATM網(wǎng)絡(luò)分配和校驗用戶 密碼?;趫D案的密碼工具200與多種數(shù)據(jù)文件交互,所述數(shù)據(jù)文件包括 密碼標(biāo)準(zhǔn)文件240、矩陣標(biāo)準(zhǔn)文件250、密碼凄t據(jù)庫文件260、以及矩陣臨時 文件270?;趫D案的密碼工具200被描述為具有四個部件,每個部件與密 碼界面應(yīng)用程序230無縫地對接或操作?;趫D案的密碼工具200的四個部 件為配置部件300、密碼生成部件400、矩陣生成部件500和密碼校-瞼部件600。
配置部件300的流程圖如圖3所示。當(dāng)由系統(tǒng)管理員或其它負責(zé)為基于 圖案的密碼工具200設(shè)置參數(shù)的人初始化后之后,配置部件300開始工作 (310)。配置部件300顯示可以由系統(tǒng)管理員改變的提示項目(312)。例如, 配置部件300可以具有允許系統(tǒng)管理員改變對項目的設(shè)置的單選按鈕、或下 拉菜單。配置部件300確定系統(tǒng)管理員是否想要改變矩陣設(shè)置(314)。矩陣 設(shè)置可以包括用于構(gòu)成矩陣的行數(shù)和列數(shù)、構(gòu)成矩陣的元素的范圍,例如數(shù) 值范圍。如果系統(tǒng)管理員想改變矩陣設(shè)置,則系統(tǒng)管理員調(diào)整矩陣設(shè)置(316 ), 并且,配置部件300保存將該設(shè)置保存到矩陣標(biāo)準(zhǔn)文件250 (318)。配置部 件300確定系統(tǒng)管理員是否想改變密碼設(shè)置(320)。密碼設(shè)置可以包括生 成對應(yīng)于矩陣的空間位置的基于圖案的密碼所需的密碼長度或其它標(biāo)準(zhǔn)。密 碼標(biāo)準(zhǔn)還依賴于矩陣設(shè)置,這是因為,矩陣所使用的可用的行和列的數(shù)目可 能會影響到圖案。如果系統(tǒng)管理員想改變密碼設(shè)置,則系統(tǒng)管理員調(diào)整密碼 設(shè)置(322),并且,配置部件300保存該設(shè)置至密碼標(biāo)準(zhǔn)文件240 (324)。 配置部件300確定系統(tǒng)管理員是否想要改變嘗試設(shè)置(326)。嘗試設(shè)置可以 包含在客戶被封鎖之前、客戶能夠得到錯誤的密碼的所允許的嘗試的次數(shù); 或者在嘗試之間的次數(shù)的限制。如果系統(tǒng)管理員想改變嘗試設(shè)置,則系統(tǒng)管 理員調(diào)整嘗試設(shè)置(328),并且,配置部件300將該設(shè)置保存到密碼標(biāo)準(zhǔn)文 件240 (330)。配置部件300確定系統(tǒng)管理員是否想要改變更多設(shè)置(332)。 如果系統(tǒng)管理員想要改變更多的設(shè)置,則配置部件300轉(zhuǎn)到步驟314,否貝'J, 配置部件300停止(334)。
密碼生成部件400的流程圖如圖4所示。每當(dāng)作為密碼界面程序230的 一部分、將密碼分配給客戶時,密碼生成部件400就開始工作(410)。密碼 生成部件400參考密碼標(biāo)準(zhǔn)文件240,來確定設(shè)置基于圖案密碼的標(biāo)準(zhǔn)(412 )。 密碼生成部件400讀取與基于圖案的密碼相關(guān)聯(lián)的客戶賬戶信息(414)。利 用保存在密碼標(biāo)準(zhǔn)文件240中的設(shè)置,密碼生成部件400生成隨機的、唯一 的基于圖案的密碼(416)。在可選實施例中,客戶可以選擇滿足保存在密碼 標(biāo)準(zhǔn)文件中的設(shè)置的基于圖案的密碼??梢詮挠擅艽a生成部件400生成的基 于圖案的密碼的列表中選擇客戶所選的密碼,或者,客戶可以創(chuàng)建圖案,并 且,由密碼生成部件400來校驗客戶創(chuàng)建的圖案。密碼生成部件400保存基 于圖案的密碼、以及所關(guān)聯(lián)的賬戶信息至密碼數(shù)據(jù)庫文件260 (418),并停止(420)。在基于圖案的密碼工具200的一個實施例中,密碼數(shù)據(jù)庫文件260被保 存在網(wǎng)絡(luò)存儲裝置上,例如永久性存儲裝置120。在基于圖案的密碼工具200 的另一個實施例中,密碼數(shù)據(jù)庫文件260被保存在機器可讀介質(zhì)上,例如磁 帶或ATM卡上的嵌入式微芯片。在基于圖案的密碼工具200的另 一個實施例 中,密碼數(shù)據(jù)庫文件260的一部分被保存在網(wǎng)絡(luò)存儲裝置上,另外一部分被 保存在機器可讀介質(zhì)上。在基于圖案的密碼工具200的另一個實施例中,客 戶可以使用配置部件300來定制基于他們的圖案的密碼的安全性。例如,客 戶可以選擇一個復(fù)雜的圖案、或大的矩陣,來創(chuàng)建為他們的基于圖案的密碼 設(shè)置的客戶標(biāo)準(zhǔn)。自定義標(biāo)準(zhǔn)設(shè)置可以被保存在密碼數(shù)據(jù)庫文件260中。矩陣生成部件500的流程圖如圖5所示。每當(dāng)用戶在使用密碼界面應(yīng)用 程序230的ATM 105上嘗試訪問賬戶時,矩陣生成部件500開始工作(510 )。 矩陣生成部件500參考矩陣標(biāo)準(zhǔn)文件250 (512),并且生成滿足矩陣標(biāo)準(zhǔn)文 件250中的設(shè)置的隨機的、唯一的矩陣(514)。矩陣生成部件500將所生成 的矩陣保存在矩陣臨時文件270中(516 ),并且在ATM 105的密碼界面應(yīng)用 程序上顯示生成的矩陣(158)。在顯示了生成的矩陣之后,矩陣生成部件500 停止(520 )。密碼校-驗部件600的流程圖如圖6所示。每當(dāng)用戶在使用密碼界面應(yīng)用 程序230的ATM105上嘗試訪問賬戶時、并且在顯示所生成的矩陣之后,密 碼校驗部件600開始工作(610 )。密碼校—險部件600參考密碼標(biāo)準(zhǔn)文件240、 密碼數(shù)據(jù)庫文件260和矩陣臨時文件270 ( 612 )。密碼4交驗部件600讀耳又客 戶的密碼輸入(614)。密碼校驗部件600將與密碼標(biāo)準(zhǔn)文件240、密碼數(shù)據(jù) 庫文件260、以及矩陣臨時文件270客戶的密碼輸入比較(616),并且確定 客戶的密碼輸入是否有效(618)。可以在校驗期間使用附加信息,例如由可 戶輸入、或被存儲在機器可讀介質(zhì)上的用戶名或賬戶號,該機器可讀介質(zhì)例 如為磁帶或ATM卡上的嵌入式微芯片。如果客戶的密碼輸入有效,則密碼校 ^r部件600允許訪問賬戶(620),并停止(626 )。如果客戶的密碼輸入無效, 則密碼校驗部件確定客戶是否可以進行更多次的嘗試(622)。如果客戶可以 進行更多次的嘗試,則密碼校驗部件600轉(zhuǎn)到步驟614。如果客戶不能進行 更多次的嘗試,則密碼校驗部件600拒絕訪問客戶賬戶(624 ),并停止(626 )。示例矩陣700如圖7所示。矩陣700具有多個行標(biāo)記701和多個列標(biāo)記702。在多行和多列中的每個的交點上的是多個元素703中的一個。多個元素 703中的每個為隨機生成的字符,在此情況下是在矩陣標(biāo)準(zhǔn)文件250中指定 的范圍內(nèi)的數(shù)??梢酝ㄟ^元素的行號和列號來表示多個元素703中的每個。 例如,元素752位于行5和列2的交點。行5和列2的交點可以由符號[5:2] 表示。矩陣700中的元素752具有值12。使用基于圖案的密碼工具的客戶建立示例的基于圖案的密碼"23+",其 與矩陣700中的元素的特殊位置相關(guān)?;趫D案的密碼"23+"具有三個部分。 該密碼的第一部分為數(shù)字"2",其表示矩陣700中的第一元素722[2:2]。該密 碼的第二部分為數(shù)字"3",其表示矩陣700中的第二元素733[3:3]。該密碼的 第三部分為運算符"+,,,其指示應(yīng)將加法運算應(yīng)用到第一部分和第二部分。 基于圖案"23+",應(yīng)將第一元素722[2:2]加到第一元素722[2:2]右側(cè)的第一臨 近元素723[2:3],應(yīng)該將第二元素734[3:3]加到第二元素733[3:3]右側(cè)的第二 臨近元素734[3:4]。因此,利用基于圖案的密碼"23+"的客戶將輸入基于矩 陣700的密碼輸入"3344"。圖8示出了如何將輸入"3344"與基于圖案的密碼"23+"以及矩陣700 相對應(yīng)。和851示出了元素722[2:2]和723[2:3]的相加。和851等于33,并與 基于圖案的密碼"23+,,的第一部分相對應(yīng)。和852示出了元素733[3:3]和 734[3:4]的相加。和852等于44,并與基于圖案的密碼"23+"的第二部分向 對應(yīng)??蛻糨斎牒?51的值、以及和852的值作為密碼輸入。因此,密碼輸 入"3344"為基于圖案的密碼"23+"和矩陣700的對應(yīng)的密碼輸入。本發(fā)明的一個優(yōu)選的形式已經(jīng)在前面的附圖和描述中表示出來,但該優(yōu) 選的形式的變化對于所屬領(lǐng)域技術(shù)人員是明顯的?;趫D案的密碼工具200 可以應(yīng)用于任何計算機化用戶密碼系統(tǒng),例如個人計算機或電子裝置、私有 計算機網(wǎng)絡(luò)或經(jīng)由萬維網(wǎng)訪問的網(wǎng)絡(luò)?;趫D案的密碼工具200對于在諸如 電子門鎖、大門鎖、銷售界面的電子點以及公開使用的計算機的使用密碼的 ^^共場合特別有用??梢詣?chuàng)建其它的圖案來將空間關(guān)系和諸如乘法或除法的 其它數(shù)學(xué)運算結(jié)合起來,或者,圖案可能需要矩陣內(nèi)的元素更復(fù)雜的組合。 相似地,圖案可以基于由諸如字母或圖片的字符構(gòu)成的矩陣。前述的描述僅 為舉例說明,本發(fā)明不應(yīng)由詳細形式的表示和解釋限制。本發(fā)明的范圍應(yīng)僅 由隨后的權(quán)利要求的語言所限制。
權(quán)利要求
1、一種用于提供基于圖案的密碼訪問的計算機實現(xiàn)的處理,該計算機實現(xiàn)的處理包括向用戶分配密碼,其中,該密碼指定矩陣上的多個元素中的至少一個元素的空間位置;用隨機生成的字符來填充該矩陣上的多個元素;讀取密碼輸入;以及校驗密碼輸入是否為來自矩陣上的所述多個元素的字符的正確組合,所述字符與由該密碼指定的至少一個元素的空間位置相對應(yīng)。
2、 如權(quán)利要求1所述的計算機實現(xiàn)的處理,其中,所述隨機生成的字 符為數(shù)字。
3、 如權(quán)利要求2所述的計算機實現(xiàn)的處理,其中,該密碼需要用戶至 少對一個元素執(zhí)行數(shù)學(xué)運算。
4、 如權(quán)利要求3所述的計算機實現(xiàn)的處理,其中,該密碼需要用戶將 第一元素和第二元素相加,并輸入第一元素和第二元素的和。
5、 如權(quán)利要求4所述的計算機實現(xiàn)的處理,其中,該密碼還需要用戶 將第三元素和第四元素相加,并輸入第三元素和第四元素的和。
6、 如權(quán)利要求1所述的計算機實現(xiàn)的處理,其中,所述隨機生成的字 符為字母。
7、 如權(quán)利要求1所述的計算機實現(xiàn)的處理,其中,所述隨機生成的字 符為圖片。
8、 一種用于提供基于圖案的密碼訪問裝置,該裝置包括 處理器;連"l秦到該處理器的存儲器; 在該存儲器中運行的密碼界面程序; 連接到該處理器的交互式用戶界面; 該存儲器中的基于圖案的密碼程序,其可被操作用來向用戶分配密碼,其中,該密碼指定矩陣上的多個元素中的至少一 個元素的空間位置;用隨機生成的字符來填充該矩陣上的多個元素;讀取密碼輸入;以及校驗密碼輸入是否為來自矩陣上的所述多個元素的字符的正確組 合,所述字符與由該密碼指定的至少一個元素的空間位置相對應(yīng)。
9、 如權(quán)利要求8所述的裝置,其中,所述隨機生成的字符為數(shù)字。
10、 如權(quán)利要求9所述的裝置,其中,該密碼需要用戶至少對一個元素 執(zhí)行數(shù)學(xué)運算。
11、 如權(quán)利要求10所述的裝置,其中,該密碼需要用戶將第一元素和 第二元素相加,并輸入第一元素和第二元素的和。
12、 如權(quán)利要求11所述的裝置,其中,該密碼還需要用戶將第三元素 和第四元素相加,并輸入第三元素和第四元素的和。
13、 如權(quán)利要求8所述的裝置,其中,所述隨機生成的字符為字母。
14、 如權(quán)利要求8所述的裝置,其中,所述隨機生成的字符為圖片。
全文摘要
基于圖案的密碼工具向用戶提供了難以被盜、且還便于客戶記憶的唯一的單次使用的密碼。提供了提供基于圖案的用戶密碼訪問的方法和裝置,其中,基于圖案的密碼工具向用戶分配密碼,其中,該密碼指定矩陣上的多個元素中的至少一個元素的空間位置。基于圖案的密碼工具利用隨機生成的字符來在矩陣上填充多個元素。在讀取密碼輸入后,基于圖案的密碼工具校驗密碼輸入是來自矩陣上的多個元素的字符的正確的組合,其中,所述字符對應(yīng)于由該密碼指定的至少一個元素的空間位置。
文檔編號G06F21/00GK101320407SQ200710307620
公開日2008年12月10日 申請日期2007年11月16日 優(yōu)先權(quán)日2006年12月6日
發(fā)明者杰漢·莫格齊, 羅伯特·J·托里斯, 詹姆斯·R·拉德, 道格拉斯·S·布朗 申請人:國際商業(yè)機器公司