使用一次性交易代码验证个人身份或权限的方法和装置

摘要

一种常用的验证个人身份的方法，包括登记步骤，所述登记步骤是为个人存储与个人识别数据相关的网格上的多个位置的个人模式，以及随后在验证处理中使用所述模式。根据该方法，所述随后验证处理包括以下步骤：(a)向个人呈现由伪随机符号集占据位置的询问网格，和询问个人，以识别用以占据与所存储个人模式对应的询问网格中的位置的响应符号集；(b)在验证设备中接收所述响应集，并且根据所述询问网格和所存储模式生成用以占据与所存储个人模式对应的询问网格中的位置的验证符号集；(c)将所述响应符号集与所述验证符号集相比较；和(d)如果所述响应集与所述验证集相同，则个人的身份通过验证。

说明书

技术领域

本发明涉及验证个人身份或个人权限，例如用以访问前端设备(premise)或获得某些服务的方法和装置。

背景技术

信用卡诈骗对于零售商和信用卡公司等来说是一个主要问题。许多信用卡公司通过引入“芯片密码(Chip and Pin)”技术来解决这个问题，但是这个技术却不能解决“卡不在场”欺诈的问题，由于越来越多的人进行在线信用卡购买或通过电话购买物品，“卡不在场”的问题逐渐增加。

此外，随着计算机病毒的流行，特别是捕获键点击(包括信用卡和个人识别号码(“PIN”))的“特洛伊”，向不可靠的第二方发送信用卡信息和PIN本身是不安全的。

本发明提供一种方法，通过使用“一次性”交易(transaction)代码可减少欺诈，以及提供了确认个人身份或权限的通用手段。

潜在的用途包括信用卡购买、前端设备和车辆的进入系统(包括车辆点火开关)、银行客户验证、护照验证、护照替换、或需要服务的个人权限的任何其它情况。

在US-B-6 246 769中，公开了一种通过专用交易代码代替PIN的系统，其中用户可参照矩阵位置的个人随机选定模式(pattern)和序列从符号矩阵识别出所述代码，其中用户将所述模式和序列与个人识别数据/帐户数据一起通过中心数据库登记。当进行例如交易时，从数据库检索用户的模式，并创建专用交易代码，然后将其放置在模式位置中的矩阵中。在向具有请求的用户显示矩阵以输入用于占据用户个人模式位置的符号之前，将剩余的空间用专用交易代码中没有使用的符号填充，以隐藏代码。然后，在查找交易的授权之前，终端认可用户输入正确的隐藏码。

在许多情况下，这个处理是不期望的，有两个主要原因。第一，需要用户存储的个人模式从中心数据库传输到用户终端(例如，ATM)，这样潜在地是不安全的，第二，该交易需要对中心数据进行两个单独的数据调用，或者在交易期间需要一个连续连接。在任一个情况下，由于这样大大增加操作系统的成本，所以对于商店或银行交易都是不可接受的——这种交易优选地仅涉及用以获得交易授权的一个简单通信——同时如果授权处理在交易期间需要连续连接，则可能增加破坏交易安全的风险。

此外，由于在US-B-6 246 679中公开的处理需要访问用户存储的个人模式，所以它不能够用于离线支付系统。

发明内容

本发明提供一种验证个人身份的方法，包括登记步骤，所述登记步骤是为个人存储与个人识别数据相关的网格上的多个位置的个人模式，以及随后在验证处理中使用所述模式，其中所述随后验证处理包括以下步骤：

(a)向个人呈现由伪随机符号集占据位置的询问网格，和询问个人，以识别用以占据与所存储个人模式对应的询问网格中的位置的响应符号集；

(b)在验证设备中接收所述响应集，并且根据所述询问网格和所存储模式生成用以占据与所存储个人模式对应的询问网格中的位置的验证符号集；

(c)将所述响应符号集与所述验证符号集相比较；和

(d)如果所述响应集与所述验证集相同，则个人的身份通过验证。

优选地，所述登记步骤可包括：首先向个人提供网格，并要求个人选择位置的个人模式。所述邀请可以选择预定数目的位置，以形成个人模式，或者从几个预定数字(例如，4，5或6)之一选择模式长度，或者甚至选择个人感觉能够可靠记得的最小数目的多个位置。

在本发明的一方面中，本发明包括：向位于个人远端位置的交易授权计算机传递所述响应集，在所述授权计算机中进行步骤(b)至(d)。

根据本发明的一个实施例，步骤(a)包括：在用户终端中生成所述询问网格，并且向所述授权计算机发送所述响应符号集和所述询问网格或使得所述授权计算机能够识别或重新建立所述询问网格的数据。优选地，本实施例包括：在所述用户终端中使用算法，以根据日期和/或时间和用于所述终端和/或个人的身份数据生成伪随机符号串，从而构成所述询问网格，以及向所述授权计算机发送至少所述响应集和身份数据，所述授权计算机使用相同的算法和所述身份数据和所述日期和/或时间以生成相同的伪随机符号串，从而重新创建所述询问网格。

在本方法中通过使用第二算法可实现进一步的安全性，以根据所述响应集和附加标识符生成令牌，所述令牌包括用以隐藏所述响应集的符号串，以及其中所述步骤(b)包括：使用所重新创建的询问网格以生成所述验证集，通过使用所述因数或多个因数来应用第二算法以根据所述验证集生成令牌，和步骤(c)包括：将所接收令牌与所生成令牌相比较，其中所述附加标识符是选择例如以下的至少一个因数，包括：

(i)所述交易时间和/或日期；

(ii)个人标识符或帐户标识符；

(iii)终端标识符；

(iv)公共/私用数据密钥；

(v)在付款交易的情况下，所述付款量；和

(vi)所有或部分收款人帐号。

根据本发明的另一个实施例，步骤(a)包括：在用户终端中用算法选择多个询问网格中的一个，所述多个询问网格是由交易授权主体或所述交易授权计算机向所述用户终端先前提供并存储在所述终端中的，以及向所述交易授权计算机发送所述响应集和用以对所述授权计算机识别用算法所选网格的数据。

在本发明的另一个实施例中，步骤(a)包括：在用户终端中用算法选择大符号矩阵的开始基准点，所述大符号矩阵是由交易授权主体或所述交易授权计算机向所述用户终端先前提供并存储在所述终端中的，通过使用所述开始基准点呈现从所述大矩阵导出的询问网格，然后向所述授权计算机发送所述响应集和所述开始基准点。

在本发明的另一个实施例中，步骤(a)包括：在用户终端中用算法从大符号矩阵选择预定数目符号，所述大符号矩阵是由交易授权主体或所述交易授权计算机向所述用户终端先前提供并存储在所述终端中的，呈现所选择符号的询问网格，然后向所述授权计算机发送所述响应集，其中在步骤(d)中，所述授权计算机采用相同的算法从先前提供的大矩阵选择相同的符号，以重新构成所述询问网格。

在本发明的另一个可选实施例中，步骤(a)包括：在用户终端中接收由所述授权计算机向其发送的开始基准点，所述开始基准点表示在大符号矩阵中的位置，所述大符号矩阵是由交易授权主体或所述交易授权计算机向所述用户终端先前提供并存储在所述终端中的，通过使用所述开始基准点呈现从所述大矩阵导出的询问网格，然后向所述授权计算机发送所述响应集。

在本发明的另一个实施例中，步骤(a)包括：从独立于所述授权计算机的网格数据库检索在所述数据库中存储的多个网格中用算法所选的一个网格，所述网格具有唯一标识符，以及向所述授权计算机发送所述响应集和所述网格标识符，和步骤(b)包括：所述授权计算机向所述独立数据库发送所述标识符，以检索所述询问网格。

根据本发明的方法，可以控制对计算机或其它设备的访问。

通过在各个网格位置的多个符号预打印网格。

在一个实施例中，本发明包括一种用于身份验证或“服务权限”的方法，其可(但不是必要条件)结合用于安全记录任意代码或PIN等的设备使用。具体地，本发明可结合作为同时待审专利申请No GB0517333.1的主题的“克雷墨网格”使用。

克雷墨网格是用于信息安全存储的设备，并且包括：具有第一表面的第一部件；具有第二表面的第二部件；第一和第二部件相对于彼此可移动到所选位置；第一表面在其中具有至少一个窗口，从而第二表面的一部分通过至少一个窗口可见；以及第一和第二表面配置有用户可在其中写入标记的网格记号，从而当第一和第二部件处于所选位置时，在第二表面上的预定标记仅通过所述至少一个窗口可见。所述设备可以是包含可滑动部件的平筒(flat sleeve)，所述可滑动部件标记有用户在上面输入一个或多个PIN代码或其它安全数字、字母或两者的空网格模式。当这样做时，用户可以用随机数字、字母等填充剩余网格位置。当(例如)用户期望使用特定PIN代码时，他/她在筒中移动该部件，直到期望的代码出现窗口中。仅用户知道位置所在。用户可以用安全的方式标记网格，以提醒自己“开始”位置在哪里，以使得用户能够读取正确的代码。

应该理解，这里使用的术语“网格”不仅涵盖了参照附图所述的规则网格，还涵盖了位置的不规则排列。例如，在“网格”上的位置可以通过不同的图片元素表示，并且一个位置相对于任意其它位置的间隔在距离或方向上不需要均匀。

可选择地，本发明可将在信用卡或借记卡(或其它个人识别卡)芯片上保持的虚拟网格(即该虚拟网格由可向用户表达的数据表示)用作卡读取设备的网格。这些卡芯片可以在EPOS读取，或通过专用卡读取器或电话(例如移动电话)读取，其可适合于卡读取器或任意其它适合电子设备。网格可选择地(作为虚拟网格)保持在电话上。EPOS可生成自己的网格。例如，用户的选择模式可安全地保存在卡芯片上。

可选择地，本发明可通过验证使用由认证者自动生成的网格，所述验证是通过将认证者在上面安全编码的预登记模式的用户响应与用户的信用卡/借记卡芯片或其它身份或权限设备相比较而进行的。

本发明的方法需要期望进行验证(例如，信用卡/借记卡公司)的一方(认证者)基于认证者生成的网格或通过认证者指定的“网格基准”向用户(例如购买者)发布对于数字集(认证代码)的询问。

然后，用户使用认证者也知道的数字网格(例如，克雷墨网格或由认证者生成的呈现在屏幕上的在线网格)，并根据仅由他自己和认证者知道的模式或“形状”挑选数字集，然后将这些数字传递回认证者。

由于认证者也知道网格数字和用户已知的序列和模式，所以认证者也可以查找相同的序列和数字模式，并且如果它们匹配，则它们具有肯定验证。

由于认证者可基于随机的本地点或网格基准要求数字的序列和模式，所以随后的交易可能需要用户从不同的网格基准位置开始。这意味着，在随后的交易上，需要不同的认证代码。(这种情况典型地发生在用户使用离线网格而不是在线网格的情况。)

应该理解，所提及的“数字集”等除了阿拉伯数字之外还包括符号。

验证设备可以是用户携带的电子设备，例如集成在业务卡或识别卡中的电子芯片。

根据本发明的一方面，验证设备可以是用于控制对建筑或其它场所、或一件机械或车辆的访问的访问控制计算机。

本发明还提供一种用于验证个人身份的装置，包括：装置，用于接收和存储用于个人的识别数据和在网格上位置的关联模式；在个人位置的电子装置，用于向个人呈现询问网格和对个人的邀请，以响应于此识别用以占据与所存储个人模式对应的询问网格中的位置的响应符号集；和验证装置，用于从个人接收所述响应集，所述验证装置被配置为：根据所述询问网格和所存储模式生成用以占据与所存储个人模式对应的询问网格中的位置的验证符号集；将所述响应符号集与所述验证符号集相比较；以及如果所述响应集与所述验证集相同，则个人的身份通过验证。

所述验证装置包括交易授权计算机。

所述电子装置可以是位于所述交易授权计算机远端的用户终端。

在本发明一个实施例中，将所述用户终端编程为，生成所述询问网格，以及将所述用户终端配置为，向位于所述用户终端远端位置的交易授权计算机发送所述响应集和所述询问网格或使得所述交易授权计算机能够识别或重新创建所述交易网格的数据。

在另一个实施例中，将所述用户终端编程为，使用算法，以根据日期和/或时间和用于终端和/或个人的身份数据生成伪随机符号串，从而构成所述询问网格，以及将所述用户终端配置为，向所述交易授权计算机发送至少所述身份数据，其中对所述交易授权计算机编程为，以使用所述身份数据和日期/时间，以使用相同算法生成符号的相同伪随机串，从而重新创建所述询问网格。

将所述用户终端编程为，使用第二算法，以根据所述响应集和附加标识符生成令牌，所述令牌包括用以隐藏所述响应集的符号串，以及将所述交易授权计算机编程为，使用所重新创建的询问网格以生成所述验证符号集，通过使用所述因数或多个因数来应用所述第二算法以根据所述验证集生成令牌，然后将所接收令牌与所生成令牌相比较，以认可或拒绝验证，所述附加标识符是选择以下的至少一个因数，包括：

(i)所述交易时间和/或日期；

(ii)个人标识符或帐号标识符；

(iii)终端标识符；

(iv)公共/私用数据密钥；

(v)在付款交易的情况下，所述付款量；和

(vi)所有或部分收款人帐号。

在另一个实施例中，将所述用户终端编程为，用算法选择多个询问网格的一个，所述多个询问网格是向所述用户终端先前提供并存储于其中的，以及将所述用户终端配置为，向所述授权计算机发送所述响应集和用以识别所选网格的数据。

在另一个实施例中，将所述用户终端编程为，用算法选择大符号矩阵的开始基准点，所述大符号矩阵是向所述用户终端先前提供并存储于其中的，通过使用所述开始基准点呈现从所述大矩阵导出的询问网格，然后向所述授权计算机发送所述响应集和所述开始基准点。

在另一个实施例中，将所述用户终端编程为，用算法从大符号矩阵选择预定数目符号，所述大符号矩阵是由交易授权主体或所述交易授权计算机向所述用户终端先前提供并存储在所述终端中的，呈现所选择符号的询问网格，然后向所述授权计算机发送所述响应集，其中将所述授权计算机编程为，采用相同的算法从先前提供的大矩阵选择相同的符号，以重新构成所述询问网格。

在另一个实施例中，将所述用户终端编程为，接收由所述验证计算机向其发送的开始基准点，所述开始基准点表示在大符号矩阵中的位置，所述大符号矩阵是向所述用户终端先前提供并存储于其中的，通过使用所述开始基准点呈现从所述大矩阵导出的询问网格，然后向所述授权计算机发送所识别符号。

在另一个实施例中，将所述用户终端编程为，从独立于所述交易授权计算机和个人的网格数据库检索在所述数据库中存储的多个网格中用算法所选的一个网格，所述网格具有唯一标识符，以及向位于所述用户终端远程位置的所述交易授权计算机发送所述响应集和所述网格标识符，以及将所述交易授权计算机编程为，向所述独立数据库发送所述标识符，以检索所述询问网格。

所述用户终端是自动柜员机(ATM)。可选择地，所述用户终端是可经由网络连接与所述授权计算机连接的计算机，或通过无线连接与所述授权计算机连接的便携式电子设备。

在用算法计算询问网格的情况下，用户的设备可以与验证计算机完全分离。在这种情况下，验证符号可以例如口头地，或经由语音识别软件与完成验证步骤的第三方电话销售操作者通信。

本发明包括以下优点：

人们发现很难记住PIN。然而，人类的头脑很容易记得形状和模式。本发明消除记住PIN的需求。这提供了比当前存在的更高安全度，同时向用户提供记得他们的认证手段的更简单方式。

由于网格询问的随机性，正确的认证代码将关于随后的交易改变。因此，在信用卡购买的情况下，如果某人看到用户输入交易代码，并随后盗取了信用卡/借记卡，则PIN/信用卡对于他是没有用的，除非他知道用户所选择的“序列”和“模式”。

人们常常通过写下他们的PIN而危及他们的信用卡/借记卡的安全性。本发明的方法中提出的模式的主要特征使得写下或“描述”模式更加困难。

由于交易代码基于每一个交易而改变，所以能够使得在互联网或电话上的在线交易变得相对安全。也可以使用便携式电子设备，特别是通信设备(例如“智能”电话)，即配备有卡读取器的移动电话，或欠缺功能的移动电话进行交易验证，如本说明书随后所述。

大部分认证系统要求4位PIN。然而，由于人们发现模式比数字更容易记住，所以能够引入5、6或更多位认证代码，而不存在对于用户过多要求的问题。

该方法可潜在地用于在线web或ATM购买，而不需要在销售点终端设置任何附加硬件设施。这种终端可以由智能电话提供，如随后所述。可以看出，可以在最小限度的软件重新编程的情况下使用现有的“芯片密码”硬件。

对于信用卡/借记卡购买，可登记多个信用卡/借记卡，以通过数字网格使用。

该处理可容易地学会，并且不需要为了用户而高度熟练。

可以容易地为弱视人群制造盲文(braille)系统。

对于在线或其它电子购买，用户不需要附加硬件。对于需要基于纸制网格的其它情况，所需的用户硬件的制造成本很低，并且如果被盗，具有很少或没有价值。

仅在第三方知道“序列”和“模式”的情况下，则危及安全性。偶然或甚至恶意的观察者都不容易确定。

重要地，系统在任意阶段都不发送实际的个人模式，在构成询问网格过程中也不使用该模式，从而避免第三方截取和误用的风险。此外，系统例如在ATM或POS机中能够通过对授权计算机的一个短连接安全获得对交易授权，保证通信成本最低，并增加了通信的安全性。对于在作为当前标准方法的通过授权计算机经由调制解调器和拨号连接进行通信的情况特别重要。每一个得到的电话呼叫可涉及成本，以及需要时间建立连接，并且也通常根据呼叫的持续时间对电话呼叫付费，所以实质上对于交易持续时间的剩余连接能够增加成本，特别地当某些用户在完成交易比其它用户慢时。

尽管本发明主要用于对例如银行的组织进行个人认证，但是它也提供了银行或其它组织对用户证明其真实性的可能。重要的是，克服了已知为“网络钓鱼(phishing)”的诈骗技术，该技术诱使人们通过虚假银行网站公开秘密帐户信息，该信息随后被用于从个人银行帐户盗取钱财。为了向用户示出银行网站是真实的，根据本发明的方法，可使用银行和用户共享的两条秘密信息，即标准PIN和用户的秘密模式。在银行网站上公开任何秘密数据(例如登录密码)之前，用户需要确保该站点是真实的。这可通过以下方式实现，即通过银行站点响应于例如所输入的用户名称，在用户的秘密模式位置显示充满随机(或至少伪随机)数字的网格，而不仅显示用户的PIN。用户可在进行正常安全输入以获得对站点的访问之前检查这些是否正确。

对于网格的其它可能用途是使用以打印形式提供的隐藏PIN，例如用于对邮寄广告信件进行认证，或用在电子通信(例如电子邮件消息)上，以使得接收者能够确认发送者是真实的。

附图说明

参照附图描述了本发明，其中：

图1至图3示出根据本发明的网格和使用网格的不同方法；

图4示出网格的变形；

图5示出可用于网格的各种棋盘格；

图6是示出根据本发明一个实施例的在线验证方法的流程图；

图7是示出使用标准询问网格的外部数据库的在线验证方法的流程图；

图8是示出采用一个大网格用于验证的方法的流程图，将用户指引到网格上的特定位置作为开始基准点；

图9是示出使用由时间依赖算法本地生成的网格的验证方法的流程图；

图10示出根据本发明另一个实施例的交易验证的装置；

图11示出图10的装置的变形，其使用如图7所示的方法中的标准询问网格的外部数据库；

图12示出图10的装置的变形，其使用便携式电话作为验证用户终端；

图13是示出根据本发明另一个实施例的验证方法的流程图；

图14是使用用户信用卡或其它数据库对用户身份本地验证的装置和方法的示意性示图；和

图15示出用于向用户提供交易组织的真实性验证的装置。

具体实施方式

为了有助于理解以下说明，我们使用以下术语：

“网格(grid)”——符号(例如，数字或字母或两者组合)的列表集。这里的网格可以(但是不必须地)用形成我们上面引用的相关专利申请的主题的“克雷墨网格(Craymer Grid)”表示。

“模式”——构成仅网格用户和认证者已知的“模式”的网格位置的选择(见下文)。模式不必是自然可识别的形状，例如直线、正方形或三角形。当然，优选地，不是规则形状。

“序列”——所选择的在“模式”中的网格位置的顺序。

“认证者”——希望检查个人身份或权限的个人或组织。

“用户”——使用该系统并且需要确认他/它自己的身份或证书的个人或组织。

方法的操作

根据本发明的方法包括以下组成阶段，这些阶段取决于用户是以电子方式(例如，通过电话或在线)还是手动方式(例如，使用对用户可用的纸网格)使用该方法。

1.登记(包括以下三个行为)：

A.发布手持网格(对于在线认证不是必须的)

B.登记手持网格(对于在线认证不是必须的)

C.登记序列和模式(对于手持网格和在线认证都是需要的)

2.通过手持网格使用该系统

或者

3.通过电子网格使用该系统(例如，用于在线购买或在ATM上)

现在将更详细描述各个阶段。

1.登记

a.发布网格

当使用该方法的手持版本时，必须预先打印要向用户发布的网格。为了大规模使用(例如，由信用卡/借记卡公司使用)，它们可选择打印上百万个不同网格，以减少两个人具有相同网格的机会。不必每个人具有唯一网格，然而，有越多的网格变化，就越提高安全性。网格需要显示行标识符和列标识符，例如用于列的字母和用于行的数字。标识符可选择地或附加地可以是符号、颜色或这些的组合。

网格具有彼此相同的大小和格式，但是符号(数字、字母等)的排列在一个网格与另一个网格之间不同。然而，由于每一个用户将为他自己的身份或权限选择不同的模式和序列，所以如果在每一个网格上打印相同的符号，则该方法可以成功并安全地执行。

每一个网格将承载唯一识别网格的识别代码。这种ID可以与用户细节和网格数字的电子副本一起存储在安全计算机数据库中。识别号码不应该以任意方式提供关于网格上的数字的任何线索。

b.登记手持网格

用户需要对他们已经接收到网格发出肯定应答，以及需要登记属于他们的网格。每一个卡发行者(例如，银行)具有发布网格和根据他们期望的安全级别识别最终用户的自己的优选方法。这种方法的实例包括面对面登记、在线登记或自动电话登记。

卡发行代理可以是许多组织可签订的信任认证代理。例如，信任代理可代表几个信用卡公司。

登记模式/序列

一旦用户的身份对于认证者是已知的，则用户将需要登记他自己的个人“序列和模式”。这将是仅用户和认证者将获知的钥匙或“共享秘密”。

图1示出用于在线登记模式的特定方法。向用户呈现正方形网格。图1示出7×7网格，其对于例如信用卡购买的事情提供了较好的安全度。然而，该网格可以作得更大以具有更大的安全性，或作得更小以具有更小的安全性，但是使用的更加方便。

在图1中，网格(A)的中心已知为“本地点(home)”或“网格基准点”，用户需要围绕它们选择他们的模式。可以用颜色对网格作标记，使得对于用户更容易围绕网格导航，但是颜色或阴影等不是必须的。

通常，由认证者要求用户创建4个位置的模式，即，与标准PIN等同的安全级别。假设，该处理以电子方式进行，用户将点击序列中正确的正方形。当他进行这样的操作时，所选择的正方形将例如通过在每一个位置中照明、显现符号本身、或也可能通过一个符号(例如^＊)来显示。(根据所需的安全度，可以向用户要求更多或更少的网格位置)。

这里所示的实例示出所选择的模式序列是(1)，其在网格基准点的对角线左上方。第二位置(2)在基准点的左侧，第三位置(3)在第二位置的左侧，而第四位置(4)在第二位置的下方。当然，对于大部分应用的认证来说重要的是，以合适的序列描述正确的模式。当然，这对于要输入到合适序列中的PIN字符的要求没有不同，否则即使字符相同，也会拒绝不正确序列。然而，应该指出，在不考虑序列的情况下，低安全度应用应该基于正确模式的识别。

当选择模式时，应该鼓励用户尽可能“迂回的”，并且应该劝阻(潜在地阻止)用户挑选直线或其它明显的形状。类似地，他们不必相信他们必须在他们的选择中使用网格基准点。模式可以在网格上的任何位置，并且模式的各个元素不需要彼此邻近，或者甚至在网格的相同的区域中。实质上，模式越晦涩，他们的模式将会越安全。不存在不可以选择正方形超过一次的理由。然而，从安全的角度，不可能的是，认证者将期望用户选择相同的号码例如四次。

清楚地，在7×7网格上，有大量用户可选择的可能模式。应注意，对于4位置代码存在大约570万个模式，对于5位置代码上升到大约2亿8250万。由用户选择的网格位置不需要沿着侧边或在角部接触。

如果用户正在登记标准的“克雷墨网格”时，他们将附加地需要输入他们选择的“开始位置”和优选地卡侧边(灰色或黑色)。这变成在用户和认证者之间的密钥或“共享秘密”的一部分。

如果结合例如信用卡/借记卡使用该系统，则认证者在这个阶段期望将卡与个人登记关联。在用户期望进行“卡不在场”购买的情况下这是必须的。这可以通过刷卡的方式，或通过标准芯片密码认证以将卡号与用户关联的方式进行。

对于登记模式的“在线”方法，同样地，这也可以通过电话的方式或通过口头给(对于7×7网格的)每一个网格位置(例如从1至49)的号码的方式登记。所使用的确切方法将取决于所期望的安全级别。例如，银行需要个人使用他们的电子银行功能登记序列和模式，或亲自去支行输入序列和模式。

登记模式的可选择方式可以为认证者用随机配置的非重复字符填充登记网格。例如，对于5×5网格，可不重复地使用字母A至Y。然后，用户可通过在所选正方形内输入字母的方式向认证者表示他选择的模式。由于这些字母不重复，所以认证者可容易地识别模式/序列。

2.通过手持网格(例如，克雷墨网格)使用该系统

为了使用网格，如上所述，必须的是，对用户登记网格以及用户通过登记代理(认证者、信用卡/借记卡公司等)登记模式和(通常地)序列。

为了示出该处理，将场外交易的信用卡购买用作实例，其中发生以下步骤：

a)消费者选择某些物品，并去柜台结账，以正常地通过信用卡/借记卡为这些物品付款。

b)他正常地递交他的卡，并且将其放置在“芯片密码”装置中。

c)不再要求PIN，而是要求他输入与他先前登记网格上的随机选择网格基准(例如G4)对应的4个数字。通过信用卡代理随机地或用算法选择本地点或网格基准位置。

d)在图4中示出典型地网格，包括字母A至Q表示的列和数字1至12表示的行。当然，其它组合同样可接受。行和/或列的数字可以根据期望的安全级别而改变。因此，可通过唯一的数字/字母组合来定位网格位置。然而，“克雷墨网格”可提供更高的安全级别。

e)使用以上实例以及在登记处理(图2)期间所示的实例性模式，用户可以找到网格位置G4(在这种情况下是0)，并且使用其作为他的网格基准点。

f)在已经找到位置G4并记起他的序列和模式之后，用户将输入他看到的与他预先登记的模式相关的4个数字。(见图2)。所以，在该实例中，这些数字是“9846”。

g)然后，他在“芯片密码”键盘上输入这4个数字。

h)然后，信用卡公司的计算机系统依据与他的信用卡相关的以及与预先选择的序列和模式相关的网格检查这4个数字。

i)如果这些数字匹配，则用户通过验证并且完成交易。

下次用户进行购买时，信用卡公司将随机地或用算法挑选新的“网格基准”位置，因此验证交易所需的4个数字码不同。例如，在下一个交易上，可向用户要求与“K9”对应的数字，则有效码是“9047”。

用户不必为交易使用他自己的网格。他可以使用任意登记的网格(例如，向店主或朋友登记的网格)。在这种情况下，在用户输入他的交易代码之前，在销售时需要输入可选网格ID。这种过程的改变表示用户可以在不需要携带他自己的卡的情况下仍旧使用该系统。如果例如一个人丢失了他自己的信用卡和网格卡，则这样就具有特别的优点。在这种情形下，用户可以向认证代理打电话，并通过例如姓名和地址识别他自己，然后代理通过使用第三方网格要求认证。

然而这样不能提供相同的高安全级别，在缺少任何其它形式的认证时，情况是最坏的。因此，其可充分地用于存在较低风险的“低价值”交易中。

现在，以下描述如何使用本发明通过电话购买物品或服务(例如剧票)的其它实例。

用户对随后询问信用卡号的售票代理说话。然后，代理确认信用卡，然后信用卡公司将要求操作者向消费者要求基于信用卡公司指定的网格基准提供交易代码。

然后，代理将通过电话向用户要求交易代码，然后用户使用他的网格找到交易代码的数字，并向代理读出这些数字。

然后，代理输入数字，并且信用卡/借记卡公司或者接受或者拒绝该交易。

由于这个处理不需要对销售代理取得信任，所以这个处理比目前现有的处理更加安全。即使代理记得交易代码和信用卡号，由于下一次请求不同的交易代码，所以如果他错误地尝试另一交易，则没有任何益处。

本发明还可用于具有护工的伤残人士，例如，对于用电话讲话或使用芯片密码键盘有困难，但是可以使用网格的中风患者。这样，伤残用户可告诉护工交易代码，并且这样可以安全地与通过电话联系或录入的公司通信。只要伤残用户保证他的网格和模式的安全，他的交易是安全的。

3.通过电子网格使用该系统(例如，用于网页上的在线购买、在ATM上或在销售终端的点上)

对于在线认证(例如，在线购买)，存在3个关于如何使用本发明的变形。本发明的选择很大程度上取决于观察到的安全风险以及期望的方便程度。

所述三个方法是：

通过使用如上述实例所示的登记纸网格。

通过使用如上所示(图4)的相同表格的电子“一次性”网格，或通过使用电子“克雷墨网格”。

通过如图3所示的形式的简化“一次性”电子网格。

在这种情况下，向用户显示图3中所示的表格。然而，通过认证系统用算法产生所显示的数字。认证系统将秘密地“记起”网格数字，直到交易完成。

然后，用户通过点击适当的正方形、接触触摸屏、或优选地通过在键盘上输入相关的数字来选择他的数字模式，可是从他的肩膀上看的人能够看到所输入的模式，类似地，也可能远程非法地监控在正方形上的点击。因为相同的数字将代表许多不同的模式，所以数字的输入不会泄露模式。仅在个人登记模式时允许他们在与模式相关的正方形上点击，并且期望用户可以安全地操作。

使用图2的实例，在该实例中的认证码是“5178”。一旦输入，则认证者将依据其已知的模式和序列检查输入的数字，并且如果它们匹配，则用户通过认证。

使用电子网格存在以下形式的各种优点：

a.任何窃取计算机上按键的人将看到输入的数字，但是由于交易代码是“一次性”的，所以这对于他进行任何其它交易是没有用的。

b.即使窃取者可检测在屏幕上的数字(如果作为图形显示这些数字，则这样做很难)，即使窃取者检测到按键，但是他不能确定用户的序列和模式。由于在该实例中，数字“5178”在实例性网格中出现多次，窃取者潜在地需要观察多个交易，以通过他可确定模式获得足够的“线索”。

c.清楚地，用户选择模式越迂回，对于任何窃取者确定模式越困难。

通过移动电话使用该系统

根据移动电话是否配置有读卡功能(即，“智能电话”)，可以以多种方式通过移动电话使用本发明。

在电话结合有卡读取器的情况下，实质上，它在本质上变成个人EPOS系统。首先，用户将他/她的卡插入电话(例如，在商店中的EPOS终端)。然后，认证计算机将发送7×7(例如，或5×5)网格到电话的屏幕。用户将使用对于本发明重要的模式和序列系统识别认证计算机所需的数字，以回答它的询问(challenge)，然后将它们输入到移动电话键盘中，完成交易认证。

对于欠缺功能的移动电话，向可存储多个虚拟数字网格的电话(与铃音相同的方式)写入并安全下载软件应用。以与纸网格相同的方式，认证系统将使用网格基准询问用户，代替例如“G4”等，它将通过网格数字(例如“234”)进行询问。用户将234录入他的电话中，并且然后电话将显示参照图3在LCD显示器上描述的类型的标准网格。然后，用户将精确地使用与在线系统相同的方式。信用卡/借记卡发行公司可周期性(例如每周或每个月)经由GPRS或SMS向用户自动提供一组新网格。

或者，移动电话可用算法产生询问网格，因此其独立于认证计算机。

这里应该强调，假设个人识别模式(PIP)对于各个用户唯一，则本发明的当前优选形式的系统取决于模式和序列的唯一组合。

此外，还应该强调，如上所述，使用仅包含正方形或矩形的网格不是唯一选择。实际上，可以使用任意棋盘格形状。因此，正多边形具有全等的3个或4个或5个或更多个边和角。正棋盘格是由全等的正多边形构成的棋盘格。为了所有实践性目的，仅用3个正多边形在欧几里得平面中构成棋盘格，即，三角形、正方形和六角形。图5示出构成棋盘格的三角形、正方形和六角形的实例。从这些实例可以容易地看出，正方形彼此排成直线，而三角形和六角形不是。此外，如果6个三角形形成1个六角形，三角形的排列和六角形的排列类似，但是它们不能够通过在彼此下方直接排成直线形状来形成-涉及滑动(或滑移)。作为规则形状，它们很容易用作基准点，用于用户选择他或她的唯一模式和序列。

存在用以识别棋盘格的命名方案。因此，正方形的棋盘格命名为“4.4.4.4”。通过选择顶点然后观察与顶点接触的一个多边形并确定它具有多少个边来导出该命名。由于它是正方形，所以具有4个边，得到第一个“4”。通过以任一方向围绕顶点重复该操作，并直到你返回你开始的多边形而找到多边形的边的数目，从而得到所计算的多边形数目的计数。在正方形的情况下，存在4个多边形，并且每一个具有4个边。因此，最终“名称”是4.4.4.4，如图5所示。

对于正全等六角形的棋盘格的识别是6.6.6，并且由于每一个三角形具有围绕顶点的6个多边形，并且每一个具有3个边，所以对于三角形的棋盘格是3.3.3.3.3.3。然而，本发明还使用半规则棋盘格，其包括在每一个顶点具有规则多边形的相同排列的正多边形格式。图5中示出半规则棋盘格的实例，使用正方形和三角形的混合(3.3.3.4.4或3.3.4.3.4)，正方形、三角形和六角形的混合(3.4.6.4)，三角形和六角形的混合(3.6.3.6)，正方形和八角形的混合(4.8.8)以及正方形、六角形和十二角形的非常规组合(4.6.12)。

使用这种棋盘格的其它优点在于，在询问用户自己的模式和序列之前，可以使用对于棋盘格唯一的命名方案识别每一个网格模式。如果可以，这增加了系统的安全级别。

安全性考虑

1.形成本发明的系统包括几个组成：

b.数字的网格对于用户和认证者都已知。

c.如果随后使用“克雷墨网格”，则除了数字之外，卡方向和“开始位置”必须对于用户和认证者都已知。

d.“序列”和“模式”必须仅对用户和认证者都已知。

2.如果网格被盗，则由于需要模式和序列两者进行成功的认证，所以不会威胁到安全。

3.在购买的情况下，如果信用卡/借记卡和网格都被盗，则由于需要序列和模式两者进行成功的认证，所以不会威胁到安全。

4.在纸网格(例如克雷墨网格)的情况下，如果模式对第三方已知，则(根据所需的安全程度)还需要盗取或复制网格。在认证者确定他是否允许要使用的第三方网格之前，他需要考虑到这种风险。

5.根据所需的安全级别，可阻止用户登记容易识别的模式，例如直线。认证者可实施软件规范，以允许仅可以选择“晦涩的”模式。

6.可以认为，优选地使用字母(A-Z)代替数字或使用字母和数字，以增加交易代码的“唯一性”。然而，必须认为，数字越唯一，潜在窃取者可具有越多的线索来确定模式。为了更高的安全性，认证者可认为5或6位数字的数字码比例如4个字符的文字数字码更安全。

7.在任意交易(例如商店)中，用户不应该告诉店主交易代码和“开始网格基准”以及向他显示网格，如果他告诉了，则对于店主可能(尽管不绝对可能)确定模式。用户可保持私有的信息越多越好。

8.应该写入用于电子交易的软件，从而不在一个数据集中发送网格开始基准和用户的个人信息，由于这样将提供关于用户模式的有价线索。相反，应该发送最小量的数据。例如，可以作为图形而非ASCII字符集来显示网格正方形。

9.所有电子传输应该被理想地加密。

10.不应该发送认证数据(例如，交易代码)，用于通过识别销售的晦涩标识符进行认证。

现在将参照图6至12描述本发明的方法和装置的各个特定实施例。

首先参照图6，根据本发明的在线验证方法涉及在用户终端中询问网格的生成，所述用户终端可以是ATM或用户计算机(如以下参照图10所述)，或者用户便携式电子装置(例如以下参照图12所述的基于移动电话的系统)。

可通过算法或伪随机数生成处理来产生网格。这种系统是已知的，因此不需要详细描述。数字生成可以不是纯随机的，由于在理论上这样可能增加由长串相同数字填充网格的可能性，从而验证串可以是全部相同的数字。如果在网格中出现的任意数字大于平均次数，则它很可能多于作为用户模式一部分的其它数字，并因此有助于偷窃者猜出数字的正确序列。尽管正确猜出的可能很小，但是可通过保证在5×5网格中所有数字出现至少两次但是不多于三次的方式来最小化正确猜出的风险。期望使用所有数字以相同频率出现的网格。例如，5×6的网格具有30个单元，因此每一个数字可精确地出现3次，从而最小化有人猜出正确数字串的可能性。这可以称作均衡网格。

因此，可以理解，这里提及的“伪随机”、“算法”和“用算法”表示在结果中创建随机现象的处理，但是结果不是纯随机的，所述处理可结合例如基于附加数据的编码规则。在算法中采用的一个因数可以是例如公共/私用数据密钥。

在向用户显示询问以输入用于占据在与用户所选模式(和序列)对应的网格中的位置的数字时，将生成的询问网格保存在终端上的存储器中。然后，将用户的响应与存储的网格一起发送至认证者，用于与认证数据库中存储的用户模式相比较。如果验证数字集对应于通过参照用户的存储模式所识别的发送询问网格中的数字，则验证被接受，否则被拒绝。

可以看出，用户的秘密个人模式不发送到认证计算机的外部。然而，在对于从用户终端向认证者发送的数据加密时，如果电脑黑客截取并解译所述数据，则他可通过将串引用到网格来访问用户个人模式的线索。图7中所示的方法提供了避免这种可能缺点的一种方式。在交易的开始，用户终端接触单独的网格数据库，其向终端提供从数据库中存储的大量网格中用算法选择的询问网格。询问网格携带了唯一的识别代码。事实上，交易通过与图6中所示的方法相同的方式进行，不同的是不向认证者发送询问网格，相反，发送网格认证码，并且由认证者使用其从单独的网格数据库提取网格，用于比较步骤。

在图8所示的方法中，认证者最初向用户提供大数字网格，该网格基本上大于用于交易的询问网格(典型地是5×5网格或7×7网格)。可以在正常时间间隔，可能自动地执行向终端供给新的大网格，并且通过认证者在网格数据库中存储所使用的网格，用于参照。在交易的开始，认证者向用户指定伪随机生成的网格基准，其用作终端的开始点，以从更大网格提取询问网格。例如，可使用左上角作为网格基准来提取5×5网格。然后，用户仅需要响应于询问而向认证者发送用户输入的数字，用于将由认证者执行的验证比较。

应该理解，尽管仅涉及用户输入的数字的传输来描述这些方法中的每一个，如果必要也可以通过其它网格标识符，这将必须伴随有要验证的某些帐户或其它个人标识符。

在采用图8中所示的情况下，用户终端在交易的开始选择自身伪随机的网格基准开始点，并且与用户的询问数字一起发送到认证者，认证者随后可以从所存储的网格找到用于用户终端的询问网格。

在本方法的另一情况下，用户终端采用简单算法，以从大网格(例如1000个数字)生成并非是更大网格的离散相邻子集的询问网格(例如25个数字)。该方法具有以下优点，不需要完全保护算法。例如，可通过认证者每月一次地向用户发送数字的虚拟更大网格。由于认证者已知算法和虚拟网格，所以可以算出什么数字是期望的。然而，如果算法已知，则电脑黑客可以访问对于每一个人不同并且可以规则改变的虚拟网格。因此，尽管最坏的情况是电脑黑客已知在可用于生成询问网格的虚拟网格中的网格位置，但是他不知道占据特定虚拟网格的数字，因此不能生成询问网格。

在另一情况下，代替一个大网格，以对于大网格相同的方式通过认证者向用户终端提供多个询问网格，每一个网格携带标识符。然后，认证者可通过发送相关标识符在交易的开始向用户终端指示要使用的网格，或者用户终端可以用算法选择其中一个网格并与作为询问的结果输入的数字一起发送其标识符。

图9示出另一方式。配置本地终端以在交易的开始运行算法，使用日期和时间以及终端和/或个人标识符产生伪随机数字串。这种算法公知地用于保护个人计算机或个人数字助理(PDA)，用户具有手持电子密钥设备，其显示定期改变的密钥数字。要保护的设备使用相同的开始数据运行相同的算法，以与密钥设备内部同步地产生相同的数字。用户输入密钥数字，以解锁计算机或PDA。在本实施例中，算法的类型可扩展，以产生例如25位密钥数字代替传统使用的5或6位数字，以用这些数字填充询问网格。该算法可使用密钥数据，例如终端标识符、个人标识符、和帐户、移动电话号码，其中所述终端是移动电话或这些的组合。认证者使用相同的算法以基于相同的密钥数据和交易时间戳产生相同的25位串。这样，在不需要发送任何网格信息的情况下执行验证。作为使用时间戳的选择，该算法可基于先前时间以及当前时间计算网格，并使用两者(或，当然根据系统允许的时间范围，使用多个)以确定它们中的任一个是否生成用于验证身份的模式匹配。

可以理解，也可以使用在该方法和所述其它方法之间的混合方法。例如，可以使用数字生成算法来生成用以识别从单独数据库，或从终端中预先存储的多个网格选择的网格的代码，然后认证者通过相同的“种子”运行该算法以生成代码，从而识别用于比较的正确网格。

图10示出用于在线交易中的典型装置。可以是例如ATM或甚至个人计算机的用户终端具有中央处理单元100，其连接至显示屏101、数字键盘102和卡读取器103。例如经由105表示的互联网的网络连接104通向远程交易认证处理器106，其链接至用以存储用户细节和相关个人识别模式(PIP)的数据库107。为了开始交易，用户将个人卡108(例如，信用卡或借记卡)插入读取器103。从卡读取用户的帐户，然后终端产生例如包含从0到9的伪随机生成数字的25个正方形的询问网格109，并将其显示在显示屏101上，邀请用户在键盘102上输入用以占据网格中的用户PIP的数字。然后，终端启动对交易认证处理器106的连接，以加密的形式发送用户的帐户、交易的量、用户输入的数字和询问网格。在接收到这些数据时，认证处理器106使用帐户，以从数据库107检索用户的PIP和信用/帐户数据。然后，参照图6所述执行验证，并且如果身份被确认并且交易可接受，则认证处理器106向终端发送回授权代码，从而终端可完成该交易。

图11示出用于执行如参照图7所述该过程变形的装置。这增加了具有询问网格的数据库111的单独询问网格处理器110，其分别具有与其相关的唯一标识符。网格处理器110可以位于用户终端和认证处理器106的远端，并且在它们之间的连接可以经由网络链接112，例如经由互联网105。

图12示出另一个实施例，其中用户的移动电话或便携式电话120用作用户终端。在这种情况下，电话120还存储用户的个人细节和帐户细节，而并不是存储在单独的业务卡中。该处理可参照图6至9中任一个所述，从认证处理器和向认证处理器的传输被无线承载，例如使用任一个无线数据网络或方法，如GPRS。

图13是另一个方法的流程图，其是图9中所示方法的改进。在通过算法生成网格并且用户输入响应串之后，使用另一个算法根据响应串和参照图9所述的方法中提及的一个或多个标识符生成用以掩饰响应的例如10位数字(或可能一串字母和数字)形式的“令牌”，但是其方式对于具有相同可用标识符的认证机构是可识别的。然后，将令牌与至少一个标识符一起发送到认证机构。

认证机构临时存储令牌，同时使用相同的算法和标识符计算相同的25位串，以重新创建询问网格。从模式数据库检索用户的秘密模式，并使用其从询问网格提取期望的正确响应。在最后步骤中，将这种期望的响应(例如，4个数字的串)输入到使用必要标识符的令牌算法中，从用户与令牌一起发送其中至少一个必要标识符，以计算令牌。然后，将其与发送的令牌比较。如果它们相同，则身份通过验证，否则交易被拒绝。

可使用这种处理的变形来保证电子邮件消息的传输。发送者在他的电子邮件终端上运行验证处理，所述处理例如可以基于在他的终端(例如，个人计算机或便携式通向设备)中存储的标识符。这个处理可以使用参照图9和13所述的数字生成算法生成询问网格。然后，将响应转换成令牌，如参照图13所述，该令牌还对传输日期和时间编码。将令牌插入电子邮件消息中，并发送到接收方。然后，接收方根据预存储的信息运行对应的验证处理，该处理使用附带密钥确认发送者的身份。由验证处理使用在电子邮件消息上指示的传输日期和时间来重新生成令牌，该处理参照图13所述的方式执行，如果令牌不匹配，则这表示电子邮件已经被被假定的发送者篡改，或没有被假定的发送者发送。

图14示出使用终端设备和付款卡的用于离线或本地验证的方法和装置。这类似于在商店和饭店当前使用的关于“芯片密码”的方式，在所述“芯片密码”的方式中使用信用卡或借记卡通过卡读取器本地检查PIN，在这种情况下，不需要与远程授权计算机立即连接。在本发明这个方面的方法和装置中，用户将付款卡插入终端设备，在典型地接触卡的情况下，可以通过在卡中包含的电子芯片建立电连接。然而，可以理解，可以通过以电感或无线方式建立其连接的不接触卡进行类似的方法。然后，终端机器验证卡的真实性，检查某些基本的卡特征。当这个阶段成功完成时，机器通过向用户呈现数字的询问网格并邀请用户输入响应码来发出其询问，在网格中包括占据用户的个人模式和序列中的位置的数字。终端向卡芯片发送响应与询问数字，用于验证。

卡使用询问网格、响应数字和用户的存储模式(仅存储在卡芯片中，不在芯片外部通信)，以确定响应是否对应于询问网格中的正确模式，然后向终端返回有效或无效消息。如果在终端中接收的消息表示有效响应，则接受付款。可以理解，在在线终端(例如ATM)的情况下，有效消息的接收随后触发向帐户细节的授权计算机的传输和具有授权请求的交易的量。

图15示出实质上与图10相同的装置，但是没有配置用于在线交易的卡读取器，其示出本发明的另一方面，其中用户可获得交易组织(例如在线银行)的授权的验证，从而避免遭受“网络钓鱼”的风险。为了保证在线组织是用户初始登记个人细节的真实组织，登记处理的一部分将包括用户选择个人模式和网格中的位置序列，并通过组织登记这种个人模式。还为用户登记个人识别号码(PIN)。在交易期间，用户首先使用键盘例如简单地按照姓名识别他或她自己。认证处理器106将在数据库107中查询用户的个人模式和PIN，并带来要生成的伪随机数字的网格，其中将用户的PIN嵌入到用户的个人模式位置中。然后，在显示屏101上显示网格151。在图15中，在用户的个人模式中设置的用户PIN 5946通过相反类型被高亮显示，但是当然，实际上不必将其与周围的伪随机数区别开。然后，用户在继续进行交易之前可以确定PIN的确出现在正确的网格位置。