用于安全输入识别数据来对借助自助终端所实施的交易进行认证的方法和系统

摘要

在诸如自动取款机的自助终端中，通常在自动取款机的键盘上输入PIN的形式的识别数据。所述键盘具有加密机制，作为EPP（加密PIN板）来制造，并且相当昂贵。PIN输入本身受困于窥探。为了解决所述问题，提出用于在自助终端、尤其是在自动取款机（ATM）上认证并实施交易的方法和系统，其中该系统包含以下的系统部件：第一计算机辅助单元（PNSRV），其对应于第一数据集来形成第二数据集，该第一数据集具有用于形成识别数据（PIN）的第一元素（0,1,2,3,…9），该第二数据集具有第二元素（A,B,C,…J），所述第二元素分别一对一地分配给所述第一元素之一；屏幕（DISP），该屏幕在结构上与该自助终端（ATM）相连，并显示第二元素（A,B,C,…J）到第一元素（0,1,2,3,…9）的一对一的分配；用户终端设备（MD），该用户终端设备在结构上与该自助终端（ATM）相分离，并且被分配给用户（CSM），并且显示第二元素（A,B,C,…J）而不显示第一元素（0,1,2,3,…9），以便允许用户在该用户终端设备（MD）上输入所述输入数据（#PIN）；其中在该用户终端设备上所实施的应用程序（MBA）将输入数据（#PIN）传输到对交易实施认证的第二计算机辅助单元（SRV），并且其中该第一计算机辅助单元（PINSRV）对第二元素（A,B,C,…J）到第一元素（0,1,2,3,…9）的一对一的分配进行管理。

说明书

技术领域

本发明涉及根据方法权利要求1的前序部分的一种用于安全输入识别数据来对交易进行认证的方法，以及根据并列装置权利要求的前序部分的一种适于实施该方法的系统。

背景技术

在自动装置支持的支付往来领域中，充分已知的是开头所述种类的方法和自助终端（也简称为SB终端）。作为这样的自助终端的典型例子，应提及自动取款机，其安装于银行、购物中心等处，并允许用户在任何时间通过使用其银行卡从其账户中提取现金以及可以现金支付。还已知的是SB终端，其允许其他的交易，比如汇款和/或存款。为了保护交易以免过失，通常借助识别数据、尤其是借助所谓的PIN（Personal Identification Number，个人识别号码）来实施认证，所述识别数据被分配给银行卡，并且必须由用户在自动取款机上正确地输入。对此，通常的自动取款机和其他的SB终端具有按键区，所谓的EPP（Encrypting PIN Pad，加密PIN板），其将输入的PIN加密传输到一个或多个单元，尤其是传输到实施认证的中央服务器。

在过去，在自动取款机的设计中，通常看重的是高质量的部件和丰富的配置，但这带来较高的制造成本。目前呈现出的趋势是成本更合理的解决方案，尤其是针对在发展中国家和成长市场、如所谓的“BRIC，金砖”国家中的应用。在此主要需求的是低成本系统，即SB终端，其尽可能便宜地制造，但还应提供关于安全性等的所需要求。对于制造商来说，生产（采用成本更合理的部件，从更便宜的供应商订购，优化制造过程等）总是仅赢得非常少的利润。另外还存在以下风险，即产品质量、用户友好性和安全性受到损害。因此期望替代的解决方案，其虽然能够实现低的生产成本，但不必承受在质量、用户友好性和安全性方面的损失。在此属于安全性的是，还能够另外实施一种方法，以用于安全地输入识别数据来对交易进行认证。

在US 2012/0160912 A1中描述了一种自动取款机、简称为ATM，该自动取款机也可以借助移动用户终端设备来操作。在此移动用户终端设备是用户或银行客户的智能手机，该智能手机配备有照相机，以便扫描ATM屏幕的图形码。另外，在该智能手机上安装有小的应用程序（所谓的App），其允许用户通过与交易管理系统的移动通信连接在ATM上实施交易，而不必把银行卡插入到自动取款机的读卡器中。用户通过其智能手机通过以下方式来进行认证并促使比如现金支付，即用户借助智能手机来扫描在该ATM屏幕上所显示的涉及交易的条形码，并且该智能手机将其发送到交易管理系统。由此该交易管理系统不仅可以对该用户的认证进行检验，而且还可以确定该用户位于参与交易（比如现金输出）的ATM处。因此在那里所述的自动取款机中原则上可以省去读卡器。如在那里在文字段落[0049]中所述的那样，为了允许交易，还可能需要，该用户必须在ATM的键盘上或者在其智能手机上输入所谓的PIN（Personal Identification Number，个人识别号码）形式的识别数据。在那里不涉及第三方对这种敏感数据进行窥探的问题。

US 6 549 194 B1描述了用于在固定或移动终端设备上安全输入识别数据的方法。在那里（见图2a-d和图3a-d）描述了一种触摸灵敏的屏幕、所谓的触摸板，其具有可动态变化的布局，其中软按键的空间分布可以在该触摸板上变化。因此号码按键的布置变化，并因此使窥探PIN的输入变难。

US 6 434 702 B1（见图1和2）也描述了用于具有号码块的按键区的一种变化的键盘布局，但其中布局外框保持固定不变，并且仅所显示的号码的顺序变化。在那里示出的按键区（板）比如可以是自动取款机的触摸板（见文字第1段29-31行）。

作为其他现有技术应提及：

US 2012/047564 A1、WO 2004/057516 A1；DE 10 2007 043843 A1；GB 2 457 733 A；WO 2007/091869 A2；US 2008/222048 A1。

发明内容

本发明的任务是提出一种方法和按照该方法工作的系统，该方法和该系统适用于安全地输入识别数据来对借助自助终端实施的交易进行认证，并且使窥探识别数据变得不可能或者至少使之明显变难。

该任务通过具有权利要求1的特征的方法以及通过具有并列权利要求的特征的、按照该方法工作的系统来解决。

因此提出用于安全输入识别数据来对借助自助终端实施的交易进行认证的方法，其具有以下的步骤：

对应于第一数据集形成第二数据集，其中该第一数据集具有用于形成识别数据、尤其是PIN的第一元素、尤其是号码，该第二数据集具有第二元素、尤其是字母和/或符号，第二元素分别一对一地分配给第一元素之一，由此可以由第二元素生成输入数据，其对应于识别数据的双射；

在屏幕上显示第二元素到第一元素的一对一的分配，该屏幕在结构上与自助终端相连；

在用户终端设备上显示第二元素而不显示第一元素，其中该用户终端设备在结构上与自助终端相分离并被分配给该自助终端的用户；

在用户终端设备上由用户来输入所述输入数据；以及

所述输入数据被传输到与该自助终端相连的一个或多个计算机辅助单元，所述计算机辅助单元对第二元素到第一元素的一对一的分配进行管理并实施交易认证。

所提出的系统用于认证并实施这样的交易，并为此包含与自助终端相连的一个或多个计算机辅助单元和应用程序，该系统包含以下的系统部件：

第一计算机辅助单元、尤其是服务器，其对应于第一数据集来形成第二数据集，该第一数据集具有用于形成识别数据的第一元素，该第二数据集具有第二元素，第二元素分别一对一地分配给第一元素之一，由此可以由第二元素来生成输入数据，其对应于识别数据的双射；

屏幕，该屏幕在结构上与自助终端相连，并且显示第二元素到第一元素的一对一的分配；

用户终端设备，该用户终端设备在结构上与自助终端相分离，被分配给自助终端的用户，并且显示第二元素而不显示第一元素，以便允许用户在用户终端设备上输入所述输入数据；

其中在用户终端设备上所实施的应用程序将输入数据传输到对交易实施认证的第二计算机辅助单元，并且其中该第一计算机辅助单元对第二元素到第一元素的一对一的分配进行管理。

因此在用户侧、即在用户终端设备、比如智能手机上和/或在SB终端上不输入敏感的识别数据、比如PIN，而是仅输入与识别数据（PIN）的双射相对应的输入数据，其中映射或一对一的分配仅在网络侧安全存储在计算机辅助单元中。因为针对用户，对应于第一数据集来形成第二数据集，该第一数据集具有用于形成识别数据（PIN）的第一元素、比如号码从“0”至“9”，该第二数据集具有第二元素，比如字母表的头十个字母“A,B,C,…至J”，其中存在一对一的分配。比如号码“0”分配给字母“I”，并且号码“1”分配给字母“B”。在SB终端的屏幕上显示所述一对一的分配。但在用户终端设备（智能手机）的显示器或触摸板上不显示该分配，也不显示第一元素（号码“0”至“9”）。在智能手机上仅显示第二元素，诸如字母“A,B,C,…J”，其中布置和顺序可以任意地改变。如果用户应该为该交易输入识别数据或其PIN，那么该用户仅输入所分配的第二元素，诸如字母，即在一定程度上是窥探者利用其不能开始任何事情的伪PIN（#PIN）。因为该分配仅在网络侧存储在计算机辅助单元、安全的服务器中，所以实际上不能推断出识别数据、在此比如为真正的PIN。本发明可以不需要额外的硬件投入而够用，因为使用了通常的系统部件，如服务器、SB终端，其中在用户终端设备上仅必须运行与服务器进行通信的小的软件应用（所谓的App）。

本发明的有利的设计方案由从属权利要求得出：

因此有利的是，第一元素包括数字键盘的按键值，并且第二元素包括可预先给定的图形的部件，尤其是符号和/或字母表的字母、灰阶的灰度、色阶的颜色和/或位置图形的位置。因此伪PIN（#PIN）绝对不包含号码或数字元素。这具有特别的优点，更进一步使窥探者难以获知数据输入，因为窥探者所期待的正是号码的输入，并因此可能完全不知道用户目前在进行可能与PIN有关的输入。另外，对于窥探者更加难以记住符号或甚至灰度值。窥探者反正不认识该分配，使得伪PIN的成功窥探本身不能达到成功。

另外有利的是，借助第二元素到第一元素的伪随机分配来形成第二数据集到第一数据集的分配，尤其是在每次实施新的交易之前重新地形成。由此该分配更频繁地被改变，并尽可能没有固定的规则，其中该分配必要时仅对一次交易有效。

优选地，用户终端设备是移动用户终端设备，尤其是具有触摸屏或触摸板的智能手机，其中第二元素尤其是作为可预先给定的图形的符号而在触摸屏上被显示，并且其中输入数据由用户在触摸屏上来输入。用户因此可以直接在其智能手机的触摸板上在所显示的图形之内来输入伪PIN。

还有利的是，用户终端设备具有照相机，并且为了验证用户终端设备是否位于SB终端附近而在屏幕上显示图形码、尤其是条形码，其中该图形码由用户终端设备的照相机来检测、尤其是扫描；并且其中由用户终端设备将所检测的图形码的特性数据传输到一个或多个计算机辅助单元上，所述计算机辅助单元对图形码的特性数据进行管理并对交易实施认证。由此能够可靠地检验用户位于应该在其上进行交易（比如现金支付）的SB终端处。

优选地,该自助终端或SB终端是自动取款机，尤其是不具有用于输入识别数据的键盘的自动取款机。

附图说明

现在，本发明以及由本发明得出的优点在下文中详细地并借助附图来描述，其中：

图1以框图的形式示出了根据本发明的系统的原理构造；

图2以流程图的形式示出了根据本发明的方法的步骤；

图3示出了在SB终端的屏幕上对分配的显示，该SB终端是根据图1的系统的系统部件；以及

图4a-c以三个变化方案示出了在移动用户终端设备的触摸板上的输入图形的显示，该用户终端设备是根据图1的系统的系统部件。

具体实施方式

图1示出了根据本发明的系统的原理构造，该系统用于在该系统的自助终端、也简称为SB终端上认证并实施交易。作为SB终端示例地示出了能够实施用于支付现金的交易的自动取款机ATM。另外还示出了该自动取款机的以下部件：现金输出箱DPNS、在此芯片卡读卡器形式的识别装置ID-DEV、和屏幕DISP以及计算机或电脑PC，该计算机控制自动取款机中的流程并与网络侧的单元相连接。计算机PC和屏幕DISP构成了自动取款机ATM的中央单元。识别装置ID-DEV在此用于读取客户卡，并因此是除PIN输入之外所设置的附加的安全通道（Security Channel）的部分。

属于系统的网络侧单元的是：负责较大数量的自动取款机的中央服务器SRV、对识别数据的输入进行检验的PIN服务器PINSRV。服务器SRV与服务器网络NET相连，该服务器网络负责其他的自动取款机并可以形成所谓的云。

自动取款机ATM的用户CSM具有移动用户终端设备MD，比如智能手机，在该智能手机上安装有应用MBA，以便能够通过该用户的智能手机来实施如下文所述的交易。该应用在下文中也被称作移动银行应用MBA，并在客户的智能手机上运行，以便显示用于交易的用户接口（User Interface）。自动取款机ATM可以距服务器SRV非常远。服务器和自动取款机以及移动用户终端设备全部通过安全（网络）通道相连接，其比如通过3G、4G、WIFI和WAN连接，所述连接分别比如利用SSL或TLS来保护。但在自动取款机ATM与移动终端设备MD之间不存在直接的网络连接。

借助图2来描述根据本发明的方法100，其中还参照图1。该方法的步骤成列地布置，并分配给相应的系统部件MBA、ATM和SRV/NET或参与的用户CSM。

在第一步骤101中，用户CSM促使开始新的交易、在此为现金支付。为此该客户在其智能手机上启动App MBA，并比如通过其MBA密码来进行登录，由此建立与服务器的连接。

在步骤102中，自动取款机ATM询问识别数据，该识别数据也可以包含客户银行卡的所谓PAN（primary account number，主账号）。用户将其银行卡插入到读卡器ID-DEV中。替代于此，用户将其NFC卡停留到读卡器上。通过第二安全通道的ID检验的该步骤是可选的，并用于附加的安全性。

现在在步骤104中ATM检验，用户是否实际上位于自动取款机前。为此由服务器生成随机多位的数字码，并将其传输到自动取款机ATM，该自动取款机生成匹配的可图形化的码（条形码、QR码）并将其显示在屏幕DISP上。客户将其智能手机MD或该智能手机的照相机停留到屏幕上，使得App MBA借助该照相机来读取或扫描条形码，并将其变换为匹配的数字码。在步骤105中，在用户的智能手机上所安装的App MBA借助该智能手机照相机来扫描屏幕的码，并将结果通过移动通信连接发送到服务器或网络SRV/NET，在那里检验，结果数据是否与所显示的码相匹配。如果这是该情况，那么就确定用户实际上位于自动取款机处。于是继续执行该交易。该步骤也是可选的，并且根据银行或国际或国家典型机构的安全规定来行事。必要时存在于智能手机中的NFC（近场通信）芯片可能也足够了。另外，条形码的生成和扫描仅仅是许多可能性之一。也可以使用随机生成的图像。或者可以放弃图形标识的显示和扫描。代替于此，也可以将客户的数据连同地址（比如GPS/GSMIWIFI）一起通过智能手机发送到服务器，以便检验客户是否位于所涉及的自动取款机ATM的地点处。

如果涉及服务器的身份，那么这由App MBA比如借助SSL证书来确定。替代地，可以如前所述地使用光学条形码方法。于是该App将必须扫描两个条形码。在这种情况下，这两个扫描过程应该紧接着依次地实施。于是其几乎不能被客户感知，更不用说作为干扰而被接收。但证书所具有的优点是，相对于通过假ATM连同假服务器的攻击是安全的。

在紧接的步骤107-111中，对关于PIN的识别数据进行询问和安全输入。在此还参见图3和图4a-c：

在步骤107中，在自动取款机ATM的屏幕上显示第一元素、即号码0,1,2,…9到第二元素、即字母A,B,C,D,…J的分配，更确切地说以优选伪随机的顺序。为此服务器生成号码从0至9的排列，并将其发送到自动取款机ATM，该自动取款机ATM然后如图3中所示地来显示字母和数字。该分配仅对PIN服务器PINSRV已知，并且不通过移动通信网络或其他不安全的网络来传输。在该分配中，每个字母在此代表了一个位置指示（见图3）。参考在EPP上的号码布置，这意味着每个号码都一对一地分配给一个位置或一个字母，比如5分配给位置D，并且4分配给位置H。该分配仅仅在自动取款机ATM的屏幕上显示可预先给定的时长，使得用户能够记住该分配，或者能够借助该分配将其PIN加密为字母。比如四位数PIN的内容如下“3456”。借助在图3中所示的分配，用户知道字母顺序必须是如下的：A-H-D-J。

现在在步骤108中，通过App MBA在智能手机的触摸板上显示输入图形，如这在图4a-c中以三个例子来示出。因此不显示该分配并且也不显示PIN键盘，而是显示第二元素（在此为字母）的布置，其中该布置也可以伪随机地生成。为了更好地理解本发明，图4a仅显示非伪随机的布置，而是根据其字母表顺序来显示字母的布置，即：A-B-C-D-….J。

为了询问PIN，在步骤109中，用户被请求在其智能手机的触摸板上输入相应的字母。在该例子中，在此用户将输入字母序列：A-H-D-J。然后在步骤110中App MBA把每个字母单独地或者把整个序列（全部四个加密数据）发送到服务器SRV或PIN服务器。该服务器然后可以把加密数据进行解密，并确定真正的PIN的内容是什么。在步骤112中，即在真正的认证中，于是就可以允许该交易。在步骤113中，自动取款机支付所期望的现金，并在步骤114中用户从现金输出托盘将其取出。

代替严格排序的输入图形，如其在图4a中所示，也可以显示字母的不排序的输入图形或布置，如图4b和4c示例所示。该布置优选地通过伪随机过程来生成，并在智能手机的触摸板上作为屏幕键盘来显示。可以针对每次新的交易来实施屏幕键盘的生成，其中可以完全用尽所布置的按键的大的组合可能性。

本发明尤其是可以在SB终端中来实现，其中放弃了自身的PIN输入键盘以及为之所需的EPP专用电子装置。本发明能够实现，能够借助客户的智能手机来实施安全的PIN输入。在此也可以可靠地确定，客户的智能手机实际上位于自动取款机ATM的紧邻的附近。与通过EPP的经典的PIN输入的情况相比，所述的方法更不易受操纵和篡改（Skimming）的影响。

总之，上文的描述为了安全输入PIN或其他识别数据而提出一种灵活的输入图形形式的按键位置与按键值的动态可预先给定的分配。为此在自动取款机屏幕上显示数字域0-9中的按键值或号码到符号、字母A,B,C…或诸如此类的形式的按键位置的预先给定的、优选伪随机生成的分配。然而，在用户智能手机上仅以输入图形的形式来显示按键位置、即符号、字母或诸如此类的。用户并不输入其PIN（比如“3456”），而是仅输入根据输入图形所分配的按键位置（“AHDJ”）。这具有以下优点，不再通过用户来进行可能被窥探的PIN输入。仅输入所属按键位置（“AHDJ”）的数据（字母）。智能手机不识别PIN，自动取款机ATM也不识别PIN，而仅仅识别图形。唯独服务器识别图形和PIN，并可以允许交易。该方法因此是非常安全的。

换句话说：每个字母都一对一地代表了一个位置指示。在智能手机上仅示出位置指示（字母A-J），但不示出所分配的号码。每个由用户所键入的位置指示由App MBA传输到服务器。因为服务器不仅识别PIN，而且识别被传输到自动取款机ATM上的号码0-9的排列，所以该服务器现在可以比较，客户是否已经输入了正确的PIN。自动取款机ATM绝对不具有关于客户的PIN的信息，仅向自动取款机发送了随机的排列。App MBA仅仅从客户获得位置指示，但由于不知道该排列而绝对没有可能推断出所属的PIN。PIN仅仅对客户和服务器已知！借助字母来显示位置仅仅是一种可能的途径。同样比如可以示出具有不同图像、几何图或灰度值的位置。

因为本发明将相应用户的智能手机用于交易，所以尤其是可以在自动取款机ATM处节省PIN板/EPP。

该方法的安全性可以在需要时通过以下方式进一步提高，即为每个号码生成并显示新的排列。在此所述排列也又被存储在服务器中，以便然后能够将客户所输入的PIN与在该服务器中所存储的PIN进行比较。因为所述信息通过客户的智能手机来输入，所以明显更加难以进行篡改，因为在自动取款机ATM上由于缺少EPP而不具有固定安装的键盘。不仅ATM的显示器、而且智能手机、连同客户的手指也必须被“监控”。

可选地，为了验证智能手机是否位于自动取款机ATM的紧邻的操作区域中，可以生成光学可扫描的码（条形码/QR码或通常还有图像），并在该自动取款机的屏幕上来显示。然后利用智能手机来扫描该码，并将数据发送到服务器，该服务器最后将所述数据与该服务器中所存储的码相比较。因此能够简单地确定该智能手机是否位于自动取款机的紧邻的操作区域中，并因此无疑属于该用户。