安全通信架构的制作方法
安全通信架构的制作方法
【专利说明】安全通信架构
[0001]对于相关申请的交叉引用
[0002]本申请要求在2012年10月16日提交的N0.61/714,629 ;在2013年7月I日提交的N0.61/841,671和在2013年8月19日提交的N0.61/867,293的共同待决的临时专利申请的权益和优先权;并且,本申请是在2013年10月16日提交的美国非临时专利申请N0.14/055,706的继续。上面的专利申请由此通过引用被并入于此。
技术领域
[0003]本发明在通信安全的领域中。
【背景技术】
[0004]自从因特网的产生,计算机安全性已经变得更困难。威胁包括金融诈骗、信息窃取和间谍活动。一旦在计算系统上,则恶意软件可以隐身运行,监控和窃取密码和安全信息。不仅在传统的计算机系统而且在诸如蜂窝电话和平板计算机的移动装置上发现了这样的恶意软件。
【发明内容】
[0005]通过下述方式来增强计算装置的安全性:逻辑地隔离该装置的一部分,使得它不能被恶意软件破坏,并且使用该隔离部分来加密和/或认证用户输入。在一些实施例中,该隔离部分作为在用户输入装置和计算装置的剩余部分之间的电桥。所述电桥可以从用户输入装置直接地接收输入,或者可以监控在该计算装置内的数据的流以检测输入。
[0006]在一些实施例中,所述电桥被配置以使用被保护的密钥来加密用户输入。所述加密的输入被发送到外部信任数据中继器,其中,它被加密和中继到第三方目的地。所述密钥可以是被所述计算装置的物理架构保护的公共密钥或密钥。例如,所述计算装置被选用地配置使得所述电桥的内容(逻辑和密钥等)可以仅被访问或修改一次。在一些实施例中,由计算装置的制造商或分发商安装的加密密钥不能在所述电桥之外被改变或读取。如此一来,在所述计算装置上的恶意软件不能破坏所述电桥的功能,或在所述电桥之外使用正确的密钥来加密数据。
[0007]在一些实施例中,所述电桥被配置为使用证书来认证用户输入。所述证书用于将用户输入数字签名,使得容易检测所述用户输入的任何修改。所述认证的输入被发射到信任的数据中继器,其中,它被鉴别(例如,验证)和中继到第三方目的地。所述证书选用地被所述计算装置的物理架构保护。例如,所述计算装置可以被配置使得可以仅访问或修改一次所述电桥的内容(逻辑、证书和密钥等)。选用地,由计算装置的制造商或分发商安装的证书不能在所述电桥之外被改变或读取。如此一来,在所述计算装置上的恶意软件不能破坏所述电桥的功能。
[0008]所述信任的数据中继器被配置为解密和/或鉴别接收的输入数据。该处理用于保证输入数据来自所述计算装置并且还没有在所述计算装置上被破坏。所述解密和/或鉴别的数据然后被转发到第三方目的地,诸如在线商店或金融机构。所述信任的数据中继器被配置为存储用于多个计算装置和帐户的解密密钥、验证密钥、计算装置标识符和用户帐户信息等。对于每一个计算装置,可以有被批准被那个装置访问的几个帐户。
[0009]本发明的各个实施例包括计算系统,所述计算系统包括:输入设备,其被配置为从用户接收输入;显示器,其被配置为显示所述输入;总线,其被配置为向所述显示器传送所述输入;处理单元,其被配置为处理经由所述总线接收的数据和命令;输入捕获模块,其与所述计算系统的较不安全的部分隔离,所述隔离被配置为防止从所述输入捕获模块外部接收的计算指令对于所述输入捕获模块的破坏,所述输入捕获模块包括:存储设备,其被配置为存储加密密钥或证书,使得不能从所述输入捕获模块外部读取所述加密密钥或证书,数据输入,其被配置为接收源自所述输入设备的数据,所述输入模块选用地被布置在所述输入设备和所述计算系统的所述较不安全的部分之间,使得在所述输入设备处的输入在被所述较不安全部分接收之前通过所述捕获模块,以及,逻辑,其被配置为加密或认证源自所述输入设备的所述数据,所述加密或认证使用所述加密密钥或证书,并且发生在所述输入捕获模块内;以及,通信逻辑,其被配置为向通信网络传送所述逻辑的输出。
[0010]本发明的各个实施例包括一种计算系统,其包括:输入设备,其被配置为从用户接收输入;显示器,其被配置为显示所述输入;处理单元,其被配置为处理从所述用户接收的命令;输入捕获模块,其与所述计算系统的较不安全的部分隔离,所述隔离被配置为防止来自所述输入捕获模块外部的计算指令对于所述输入捕获模块的破坏,所述输入捕获模块包括:存储设备,其被配置为存储多个加密密钥和/或证书,用于从所述计算系统的所述较不安全的部分捕获数据的部件,标记输入,其被配置为从所述多个加密密钥和/或证书选择,以及,逻辑,其被配置为加密或认证所述捕获的数据,所述加密或认证使用所述选择的加密密钥或证书,并且发生在所述输入捕获模块内;以及,通信逻辑,其被配置为向通信网络传送所述加密或认证的数据。
[0011]本发明的各个实施例包括端点系统,其包括:输入设备,其被配置为从用户接收输入,并且包括输入缓冲器,所述输入缓冲器被配置为存储所述接收的输入;处理器,其被配置为经由所述输入设备来接收输入,并且在所述端点系统上执行软件应用;总线,其被配置为向所述处理器可访问的存储设备传送来自所述输入缓冲器的所述输入;以及,嗅探器,其被配置为当所述输入在所述总线上从所述输入缓冲器被传送时检测所述输入,由所述嗅探器检测到的所述输入在所述检测之前不能被所述处理器改变。
[0012]本发明的各个实施例包括端点系统,其包括:输入设备,其被配置为从用户接收输入,并且包括输入缓冲器,所述输入缓冲器被配置为存储所述接收的输入;处理器,其被配置为经由所述输入设备来接收用户输入;总线,其被配置为向所述处理器可访问的存储设备传送来自所述输入缓冲器的所述输入;以及,捕获模块,其被配置为检测所述输入,使得保证所述检测的输入是从所述用户接收的所述输入的真实拷贝。
[0013]本发明的各个实施例包括计算系统,其包括:输入设备,其被配置为从用户接收输入;显示器,其被配置为显示来自所述用户的所述输入;总线,其被配置为向所述显示器传送所述输入;处理单元,其被配置为处理经由所述总线接收的数据和命令;输入捕获模块,其与所述计算系统的较不安全的部分隔离,所述隔离被配置为防止从所述输入捕获模块外部接收的计算指令对于所述输入捕获模块的破坏,所述输入捕获模块包括:存储设备,其被配置为存储加密密钥或证书,嗅探器,其被配置为为了源自来自所述用户的所述输入的输入数据嗅探所述总线,以及,逻辑,其被配置为加密或认证所述输入数据,所述加密或认证发生在所述输入捕获模块内;以及,通信逻辑,其被配置为向通信网络传送所述输入捕获模块的输出。
[0014]本发明的各个实施例包括计算系统,其包括:输入设备,其被配置为从用户接收输入;显示器,其被配置为显示来自所述用户的所述输入;总线,其被配置为向所述显示器传送所述输入;处理单元,其被配置为处理所述输入;输入捕获模块,其与所述计算系统的较不安全的部分隔离,所述隔离被配置为防止从所述输入捕获模块外部接收的计算指令对于所述输入捕获模块的破坏,所述输入捕获模块包括:存储设备,其被配置为存储加密密钥或证书,嗅探器,其被配置为为了视频数据嗅探所述总线,字符识别逻辑,其被配置为标识在所述视频数据内的输入数据,所述输入数据源自来自所述用户的所述输入,以及,逻辑,其被配置为加密或认证所由所述字符识别逻辑标识的所述输入数据;以及,通信逻辑,其被配置为向通信网络传送所述逻辑的输出。
[0015]本发明的各个实施例包括端点系统,其包括:输入设备,其被配置为从用户接收输入,并且包括输入缓冲器,所述输入缓冲器被配置为存储所述接收的输入;处理器,其被配置为经由所述输入设备来接收输入;总线,其被配置为向所述处理器可访问的存储设备传送来自所述输入缓冲器的所述输入;以及,嗅探器,其被配置为当所述输入在所述总线上从所述输入缓冲器被传送向所述存储设备时检测所述输入,所述检测在由所述处理器修改所述输入之前发生。
[0016]本发明的各个实施例包括安全通信系统,包括:输入端,其被配置为从端点系统接收至少部分地加密的数据,所述至少部分地加密的数据包括所述端点系统的标识符;密钥存储设备,其包括与装置标识符相关联地存储的解密密钥;解密/鉴别逻辑,其被配置为使用从所述密钥存储设备检索到的解密密钥来将所述至少部分地加密的数据解密为解密的输出,所述检索使用所述端点系统的所述标识符;远程服务连接器,其被配置为向远程计算系统转发所述解密的输入,并且从所述远程计算系统接收通信,所述接收的通信响应于所述转发的解密的输出;以及,端点连接器,其被配置为向所述端点系统的较不安全的部分转发从所述远程计算系统接收的通信。
[0017]本发明的各个实施例包括安全通信系统,包括:第一 1/0,其被配置为从计算系统的安全部分接收至少部分地加密或至少部分地认证的数据,所述至少部分地加密或认证的数据包括所述计算装置的标识符,并且包括对于所述计算系统的用户输入;存储设备,其包括与装置标识符相关联地存储的解密密钥或证书数据;加密/鉴别逻辑,其被配置为使用从所述存储设备检索的解密密钥或证书数据来解密或鉴别所述至少部分地加密或认证的数据,所述检索使用所述计算系统的所述标识符;以及,第二 1/0,其被配置为向远程计算系统转发所述解密的输入。
[0018]本发明的各个实施例包括传送安全数据的方法,所述方法包括:在显示装置上显示视频图像;检测在所述视频图像内的表单,所述表单包括一个或多个数据键入字段;标识具有当前焦点的所述一个或多个数据键入字段的成员;收集用于表征所述一个或多个数据键入字段的所述标识的成员的元数据;嗅探总线以捕获在所述一个或多个数据键入字段的所述标识的成员中键入的数据;加密所述捕获的数据或将所述捕获的数据数字签名;在数据分组中插入所述加密或签名的数据;并且,经由通信网络向远程装置发送所述加密或签名的数据。
[0019]本发明的各个实施例包括转发安全数据的方法,所述方法包括:从端点系统接收数据分组;标识所述数据分组的来源;基于所述来源的身份来检索解密密钥或证书数据;解密或鉴别所述数据分组的内容;基于所述来源的身份来标识帐户;标识所述内容的目的地;并且,基于所述帐户的状态来向所述目的地转发所述内容。
[0020]本发明的各个实施例包括计算系统,包括:安全输入设备,其包括输入设备,所述输入设备被配置为数字化来自用户的输入,所述安全输入设备进一步包括:安全密钥存储设备,其被配置为存储加密密钥;以及,加密逻辑,其被配置为使用所述加密密钥来加密所述数字化的输入;所述计算系统的较不安全的部分,所述较不安全的部分被配置为接收所述加密的输入,并且向TDR服务器传送所述加密的输入,所述较不安全的部分被配置为作为对于从所述TDR服务器接收的通信的端点;以及,通信电路,其被配置为向所述较不安全的部分传送来自所述安全输入的所述加密的输入。
[0021]本发明的各个实施例包括计算系统,其包括:安全输入设备,其包括输入设备,所述输入设备被配置为数字化来自用户的输入;安全密钥存储设备,其被配置为存储加密密钥;加密逻辑,其被配置为使用所述加密密钥来加密所述数字化的输入;以及,所述计算系统的较不安全的部分,所述较不安全的部分被配置为接收所述加密的输入,并且向TDR服务器传送所述加密的输入,并且所述较不安全的部分被配置为作为对于从所述TDR服务器接收的通信的端点,所述加密逻辑被布置于在所述安全输入设备和所述较不安全的部分之间的通信电路中。
【附图说明】
[0022]图1图示了根据本发明的各个实施例的安全通信系统。
[0023]图2图示了根据本发明的各个实施例的端点装置。
[0024]图3图示了根据本发明的各个实施例的示例性数据输入表单。
[0025]图4图示了根据本发明的各个实施例的信任的数据中继器。
[0026]图5图示了根据本发明的各个实施例的捕获模块的另外的细节。
[0027]图6图示了根据本发明的各个实施例的传送安全数据的方法。
[0028]图7图示了根据本发明的各个实施例的接收和转发安全数据的方法。
【具体实施方式】
[0029]可以使用本发明的系统和方法,例如来保护在计算装置和基于因特网的服务之间的交互。该交互可以包括金融交易,诸如访问银行帐户、进行购买或出价。所述交互也可以包括访问保密信息,诸如医疗数据、基于网络的电子邮件、社交网络帐户等。不仅保护交互,而且在一些实施例中,用户的计算装置的鉴别用于补充和/或替代登录步骤。
[0030]图1图示根据本发明的各个实施例的安全通信系统100。安全通信系统100包括端点装置105、网络110、信任的数据中继器(TDR) 120和服务器130。端点装置105是计算装置或系统,其被配置为作为在网络通信中的数据分组的最终目的地和初始来源运行。端点装置105可以是移动装置、智能电话、平板计算机、膝上型计算机和/或台式计算机等。网络110是计算机网络,诸如因特网,通过其使用诸如MAC或IP地址之类的目的地地址传送数据分组。在此所述的系统可以包括在单个外壳内的装置,或者替代地,可以包括在构成系统的不同壳体中的多个连接部分。例如,端点装置105的组件可以全部被包括在具有单个外壳(例如,机箱)的蜂窝电话或平板计算机中。
[0031]端点装置105至少包括输入设备140、捕获模块160和在此称为装置的剩余部分(RoD) 150的那个设备。输入设备140包括物理设备,其被配置为向端点装置100提供输入。例如,输入设备140可以包 括键盘、指向装置(鼠标、触摸板等)、摄像机、生物计量装置(指纹或眼扫描仪等)、全球定位系统、本地定位系统、触摸屏、语音至文本逻辑、测量装置和/或类似物。在一些实施例中,输入设备140包括音频输入和语音至文本逻辑。RoD 150、输入设备140和/或捕获模块160被选用地布置在同一外壳内。
[0032]捕获模块160被配置为检测使用输入设备140产生的输入。在一些实施例中,在输入设备140和RoD 150之间布置捕获模块160。例如,捕获模块160可以是在键盘和计算机之间布置的电子狗。在这个示例中,在键盘出键入的所有键击在被RoD 150接收到之前通过捕获模块160。捕获模块160可以通过阻止从RoD 150向键盘的通信来防止恶意软件到达在键盘内的逻辑。捕获模块160可以被称为电桥。
[0033]在一些实施例中,不在输入设备140和RoD 150之间布置捕获模块160。而是,捕获模块160被配置为监控在端点装置105内的通信。如在此处和其他地方进一步所述,这些通信可以在输入设备140和RoD 150之间和/或在RoD 150的各个部分之间。例如,在一些实施例中,捕获模块160被配置为嗅探在端点装置105内的(数据)总线。如在此使用,术语嗅探总线表示包括为了在该总线内传送的数据而监控数据总线,该数据去往不是嗅探器的元件。通常,嗅探是单向通信。所嗅探的总线可以是主要系统总线和/或视频总线等。
[0034]RoD (装置的其余部分)150表示包括除了捕获模块160和输入设备140之外的端点装置105的那些部分。如在此处和其他地方所述,RoD 150可以包括多种组件,诸如微处理器、总线和显示器。RoD 150是计算装置相对于捕获模块160的较不安全的部分。
[0035]TDR 120包括一个或多个服务器,其被配置为从端点装置105接收数据分组。如在此处和其他地方进一步所述,TDR 120被配置为解密和/或认证在数据分组内的用户输入,并且将该用户输入转发到最终目的地,诸如服务器130。TDR 120也选用地被配置为从服务器130接收响应,并且向端点装置105传送这些响应。在一些实施例中,从端点装置105接收到的数据分组被从端点装置105直接地经由网络110传送到TDR 120。在一些实施例中,该数据分组被从RoD 150传送到服务器130,其中,它们被TDR 120识别为要求通过解密和/或验证。在这些实施例中,服务器130向TDR 120转发数据分组,其中,它们被解密和/或验证并且然后被返回到服务器130。该方法不要求从端点装置105直接地向TDR 120的传送。
[0036]服务器130是被配置为提供服务的一个或多个计算装置。例如,服务器130可以是私有企业网络、金融机构、拍卖网站的服务器、医疗数据服务器、电子邮件服务器、视频或音频流化器、社交网络网站等。服务器130选用地被与TDR 120不同的实体管理。服务器130选用地包括网守,其被配置为控制对于被保护网络的接入。在一些实施例中,服务器130被配置为经由TDR 120与端点装置105进行通信,以用于安全策略的鉴别和管理的目的。在安全策略服务器130的满意后,服务器130可以然后允许从端点装置105向由服务器130保护的网络的直接接入。可以通过设置接入控制列表、分配VLAN等来允许接入。其中可以采用该方法的实施例包括例如:登录到被配置来流化文件、音乐或视频的服务器130内;或者,登录到被配置为设置语音或视频呼叫的服务器130内。
[0037]在一些实施例中,服务器130被配置为以它处理从TDR 120接收到的用户输入相同的方式来处理从其他外部客户端接收到的用户输入。然而,在其他实施例中,服务器130被配置为如果经由TDR 120接入服务器130相对于如果从某个其他客户端接入服务器130,则允许更大的接入特权。例如,可能要求经由TDR 120的接入来传送资金。
[0038]TDR 120和服务器130可以通过网络110和/或经由专用通信信道(如所示)来进行通信。通常,TDR 120被配置为与大量的端点装置105和/或服务器130进行通信。TDR120可以包括多个分布式计算装置。
[0039]图2图示根据本发明的各个实施例的端点装置105的示例。如图2中所示,RoD150包括总线210和处理器240。在典型实施例中,总线210是并行或串行数据总线,并且处理器240是电子微处理器。使用用于执行特定功能的计算指令构造或编程处理器240。处理器240被配置为处理经由总线210接收的数据和命令。总线210可以是通用系统总线和/或一般用于传送视频数据的总线等。如在此使用,术语视频数据意味着包括静态图像数据以及视频。
[0040]RoD 150进一步包括I/O 220,其包括通信逻辑,该通信逻辑被配置为例如经由网络110与外部装置进行通信。I/O 220可以包括无线发射器、以太网连接、调制解调器、路由器等。I/O 220可以进一步包括逻辑,该逻辑被配置为将数据置于数据分组中,向数据分组添加因特网协议地址并且/或者使用标准因特网协议来加密数据分组。I/O 220典型包括数据缓冲器,其被配置为促进通过网络110的数据的发送和接收。
[0041]RoD 150进一步包括应用存储设备215,其具有被配置为存储一个或多个计算机应用的非暂时存储器。例如,应用存储设备215可以包括:浏览器应用,其被配置为浏览因特网;社交网络应用,其被配置为接入社交网络网站;媒体应用,其被配置为接收视频或音频流;电子邮件应用,其被配置为访问电子邮件;被配置为访问诸如拍卖行或金融机构的网站之类的特定网站的应用;等等。应用存储设备215可以包括解密和/或加密逻辑。在一些实施例中,应用存储设备2包括被配置为作为端点装置150的操作系统、被配置为在数据键入字段中自动填写文本和/或被配置为校正拼写的应用。典型地,处理器240被配置为执行一个或者多个应用。
[0042]RoD 150包括显示器235,其被配置为向端点装置105的用户呈现图像。显示器235例如可以是平板计算机或智能电话的触摸屏显示器。显示器235可以耦接到被配置为产生用于在屏幕上呈现的视频数据的微处理器和存储器(未示出)。在一些实施例中,显示器235与例如在触摸屏中的输入设备140紧密相关联。显示器235被配置为呈现由在应用存储设备215中存储的应用产生的图像。这些图像可以包括字符和数据键入字段,在该数据键入字段中,用户可以键入用于向相关联的服务器130传送的信息。例如,与特定银行相关联的应用可以向用户呈现被配置用于用户键入帐户登录信息的表单,或者与在线商店相关联的应用可以呈现被配置用于用户键入运输和信用卡信息的表单。这样的表单包括数据键入字段。
[0043]RoD 150选用地进一步包括标记控件225,其被配置为提供二进制数据值(标记),用于控制捕获模块160。标记控件225包括被配置为执行特定功能的电子数据输入。这些功能例如包括复位、改变密钥、改变证书、破坏证书、破坏密钥、禁用捕获和/或提供新的焦点、新屏幕或表单提交的通知。复位标记重新启动捕获模块160以将其返回到初始状态。复位标记可以用于从错误恢复或作为复位端点装置105的全部的一部分。一个或多个改变密钥标记可以用于在不同的加密密钥之间交替或永久地从一个密钥向另一个切换。例如,端点装置105的一个实例可以用于用户的个人安全性(社交网络和金融等)并且也用于访问安全公司或政府服务。这两种不同的安全性水平可以使用不同的加密密钥(和选用的不同TDR 120) ο类似地,可以使用一个或多个改变证书标记来在不同的认证证书之间交替或从一个证书向另一个永久地切换。破坏密钥或证书标记分别用于永久地擦除加密密钥和/或证书。在一些实施例中,可以仅通过下述方式将新的密钥写入到捕获模块160:将端点装置105返回到批准的供应商或工厂(例如,通过拆卸端点装置105)。在一些实施例中,通过擦除加密密钥来永久地禁用捕获模块160。禁用标记用于暂时禁用捕获模块160的一个或多个功能。通常,如此进行将降低ROD 150的功能性。例如,可以以硬件配置I/O 220以要求禁用标记关闭,以便I/O 220向外部装置发送数据和/或从外部装置接收数据。选用地,从该限制免除呼叫数据。新的焦点、新的屏幕或提交标记用于指示所聚焦的改变已经在显示器235上出现、在显示器235上的屏幕已经被刷新、已经提交了表单、或者已经在显示器235上粘贴了新的表单。
[0044]RoD 150选用地进一步包括解密密钥存储设备230,其被配置为存储被配置用于解密从TDR 120接收的数据的解密密钥。例如,在一些实施例中,TDR 120被配置用于加密和转发来自服务器130的响应。在一些实施例中,RoD 150被配置来使用标准加密协议,诸如SSL或TLS (传输层安全性)。RoD 150可以被配置为从TDR 120下载公共密钥以用在与TDR 120的安全会话中。该公共密钥被下载到RoD 150,并且因此不提供在捕获模块160中安全地存储的专用密钥的所有益处。
[0045]RoD 150通常进一步包括存储设备280,其包括被配置为存储与在应用存储设备215中存储的应用相关联的数据。该数据可以包括视频数据、表单数据(例如,作为数据键入表单的一部分的元数据)、帐户信息、安全性证书、因特网协议地址等。例如,存储设备280可以包括与TDR 120和/或各个服务器130相关联的固定IP地址或域名。存储设备280被选用地配置来存储端点装置105的序号或其他唯一标识符。存储设备280被选用地配置为存储经由输入设备140接收的用户输入的未加密的拷贝。
[0046]RoD 150选用地进一步包括替代逻辑285,其被配置为将未加密的输入数据替换为由捕获模块160产生的输入数据的加密和/或认证的拷贝。该替代在从端点装置105发送输入数据之前发生。替代逻辑也可以被配置为将加密和/或认证的元数据替代为未加密的元数据,并且将服务器130的IP地址替代为TDR 120的IP地址或域名。替代逻辑285被配置为标识去往服务器130的数据,并且在那个数据中进行替代。在一些实施例中,当将数据正置于用于通过I/O 220进行通信的分组中时,替代发生。
[0047]捕获模块160包括安全密钥存储设备245,其被配置为存储一个或多个被保护的加密密钥和/或证书。在一些实施例中,保护加密密钥和/或证书,因为捕获模块160与RoD 150隔离,使得不能从捕获模块160外部——例如,从RoD 150一一读取安全密钥存储设备245的内容。可以通过避免在捕获模块160的电路中从安全密钥存储设备245到RoD150的读取数据路径来实现这一点。在一些实施例中,安全密钥存储设备245被进一步配置使得安全密钥存储设备245的内容一旦被写入就不能被改变。在一些实施例中,安全密钥存储设备245包括时钟和作为时间的函数改变的密钥。在一些实施例中,安全密钥存储设备245包括被配置为产生滚动加密密钥的值。在一些实施例中,捕获模块160包括时钟或随机数产生器,其被配置为基于在安全密钥存储设备245中存储的种子值来创建加密密钥。
[0048]捕获模块160经由嗅探器250和/或数据输入端255来接收输入数据。数据输入端255被配置为从输入设备140直接地接收输入数据,而例如该数据不在被捕获模块160接收之前通过RoD 150。数据输入端255典型用在这样的实施例中:在该实施例中,捕获模块160被物理地布置在输入设备140和RoD 150之间,使得来自输入设备140的所有的输入数据在被传送到RoD 150上之前通过捕获模块160。该架构将输入设备140与RoD 150隔开。
[0049]嗅探器250被配置为嗅探来自总线210的输入数据。被嗅探的输入数据例如可以包括从输入设备140向总线210和/或从I/O 220向总线210传送的数据。然而,被嗅探的输入数据也可以包括目的用于显示器235上的呈现的视频数据。这允许捕获模块160捕获由诸如拼写校正或字段自动完成逻辑的其他来源产生的输入数据。例如,在其中应用存储设备215包括通过校正拼写或完成数据字段而改变用户的输入的应用的实施例中,当在显示器235上显示数据时可以改变使用输入设备140键入的数据。具体地说,如果用户正在键入之前已经键入的名称或地址,则自动完成逻辑可以在已经通过输入设备140提供了所有的击键之前完成键入。嗅探器250被选用地配置为捕获其中显示全名或地址的视频数据。嗅探器250也允许捕获由视频至文本转换逻辑产生的输入数据。
[0050]选用的字符识别逻辑260被配置为检查由嗅探器250捕获的视频数据,并且标识由用户键入和/或通过拼写检查或自动完成逻辑插入的字符。该标识过程可以包括具有当前焦点的字段的检测,以观察在那个字段中键入的数据,并且检测当前焦点何时改变。一旦当前的焦点改变,就可以完成对于那个字段的字符识别。因此,捕获模块160捕获通过拼写检查、自动完成或类似逻辑提供的文本。字符识别逻辑260也可以识别从I/O 220接收的数据,诸如表单标题、证书、元数据等。在完成字段的子集后或在整个表单准备好提交后,每次将焦点从一个字段改变为另一个时,可以应用字符识别逻辑260。如在此处和其他地方所述,标记被选用地用于向捕获模块160指示在焦点或表单提交上的改变。在替代实施例中,在TDR 120上布置字符识别逻辑260,并且将所捕获的视频数据传送到TDR 120以用于字符的标识。
[0051]在一些实施例中,字符识别逻辑260被配置为标识在特定屏幕坐标的位置处的物体。这些位置可以是鼠标点击或在触摸屏上的 触摸的位置。例如,如果用户正在触摸在智能电话或平板计算机上的虚拟键盘,则字符识别逻辑260被配置为标识在这个位置处的键盘字符。另外,字符识别逻辑260可以被配置为识别其他物体,诸如用于指示下一个屏幕的右箭头、拇指向上或拇指向下符号、用于保存的软盘符号和/或可以被用作图形用户界面的一部分的任何其他计算机图标。
[0052]在这些实施例中,嗅探器250可以从总线210嗅探输入设备140的输出和向显示器235提供的视频数据。所嗅探的数据被提供到字符识别逻辑260,其中,进行在从输入设备140接收的屏幕位置和在显示器235上示出的图形之间的相互关系。通过字符识别逻辑260来标识可以是字符或某个其他符号的、与位置相关的图形对象。该图形对象可以本身被看作用户输入,或者该图形输入可以被转换为输入对象,并且该输入对象被看作用户输入。例如,该图形对象可以被转换为字符代码、命令和/或字符组合/序列等。在一个示例性实施例中,将保存图标转换为Cntl-S字符组合,将新的图标转换为Cntl-N字符组合,将粘贴图标转换为Cntl-V字符组合等。如此一来,可以将任何图形表示转换为有意义的用户输入。
[0053]在一些实施例中,嗅探器250被配置为嗅探在I/O 220处接收的数据。例如,嗅探器250可以嗅探从外部网络服务器接收的表单信息。字符识别逻辑260可以然后被配置为识别在该表单内的证书、字段和/或元数据,并且鉴别经由I/O 220接收到所识别的字段和/或元数据。
[0054]由捕获模块160捕获的字符和其他输入被暂时存储在字符存储设备265中。字符存储设备265也被选用地配置为存储与表单和表单字段相关联的数据,并且与所捕获的输入数据相关联地存储该数据。例如,包括用于地址的数据字段的表单可以具有用于标注键入的地址的元数据。这样的标签被服务器130用于标识在哪个字段中键入了哪个输入数据,并且选用地是否经由1/0220接收到该字段。使用嗅探器250来捕获元数据。在替代实施例中,该元数据被存储在存储设备280中,并且被在应用存储设备215中包括的逻辑捕获。
[0055]捕获模块160选用地进一步包括装置ID存储设备270。ID存储设备270被配置为存储捕获模块160的唯一标识符。像安全密钥存储设备245那样,ID存储设备被选用地配置为不能从捕获模块160外部访问。ID存储设备可以被配置为不能从捕获模块160外部改变。
[0056]捕获模块160选用地进一步包括加密逻辑275,其被配置为使用在安全密钥存储设备245中存储的一个或多个加密密钥来加密由捕获模块160捕获的数据。加密逻辑275的输出选用地包括捕获模块160的唯一标识符的加密拷贝。加密逻辑的输出选用地包括在字符存储设备265中存储并且与捕获的字符相关联的元数据的加密拷贝。加密逻辑275被配置为使用本领域中已知的多种加密算法的任何一种来加密数据。
[0057]捕获模块160选用地进一步包括认证逻辑295,其被配置为认证由捕获模块160捕获的数据,例如以将捕获的数据数字化地签名。使用在捕获模块160内存储的证书来认证该数据。例如,该证书可以被存储在安全密钥存储设备245中。该认证的数据选用地包括捕获模块160的唯一标识符的认证拷贝。认证逻辑295的输出选用地包括在字符存储设备265中存储并且与捕获的字符相关联的元数据的认证拷贝。
[0058]捕获模块160包括加密逻辑275和认证逻辑295中的至少一个,并且选用地包括这两个。在一些实施例中,认证某个数据,并且加密某个数据。例如,可以在加密元数据的同时认证用户输入数据,或者反之亦然。可以加密和/或认证在ID存储设备270中存储的唯一标识符。
[0059]捕获模块160选用地进一步包括标记输入端290。标记输入端290被配置为检测标记控件225的状态,并且相应地适配捕获模块160的功能。例如,如果设置破坏密钥标记,则可以永久地破坏(例如,重写)当前的密钥。如果设置一个或多个改变密钥标记,则选择来自安全密钥存储设备245的几个替代密钥之一用于由加密逻辑275使用。破坏证书标记可以被配置为以与破坏密钥标记类似的方式来永久破坏证书。选择证书标记被选用地用于在来自安全密钥存储设备245的若干替代证书之一之间选择,用于由证书逻辑295使用。可替代地,捕获模块160可以被配置为基于检测在总线210上的图像或基于经由输入设备140接收到诸如密码或生物计量密钥的特定输入而从多个不同的密钥或证书中选择。
[0060]图3图示根据本发明的各个实施例的示例性数据输入表单300。这样的表单可以被在应用存储设备215中存储的应用产生,并且在显示器235上被显示。数据输入表单300包括多个字段310,每一个字段选用地被标签320表征。字段310也典型与未向用户显示的元数据相关联。该元数据用于标注在字段310的每一个中键入的字符,使得该数据当被服务器130接收到时可以被标识。例如,被配置用于键入街道地址的字段310的成员具有用于标识作为地址键入的字符的相关联的元数据。数据输入表单300也具有应用于整个表单的元数据。例如,数据输入表单300可以具有包括校验和或数字签名的元数据。该元数据可以被捕获模块160以类似于在此对于与字段310相关联的元数据描述的那些的方式来处理。
[0061 ] 在一些实施例中,与每一个字段相关联的元数据选用地与在各个字段中键入的字符一起被嗅探器250检测到,并且被加密逻辑275加密。在一些实施例中,从捕获模块160接收的键入字符的认证和/或解码的拷贝与其中键入字符的字段的元数据相关联地被存储在存储设备280中。字段310由自动完成逻辑选用地填充,并且/或者由拼写检查逻辑修改,如在此处和其他地方所述。例如,在一些实施例中,与帐单信息相关的地址数据字段由自动完成逻辑响应于用户指示帐单地址与运输地址相同(或反之亦然)而自动填充。
[0062]在一些实施例中,在字段中键入的字符被掩蔽,以便不被显示。例如参见在图3中的“信用卡号码:”字段。在这些实施例中,捕获模块160被选用地配置为当从输入设备140传送来自总线210的键入的字符时嗅探该键入的字符,或者直接地从输入设备140接收键入的字符。捕获模块160的操作选用地取决于在数据输入表单300中的哪个字段310具有当前的焦点。例如,如果该字段经受自动完成,则可以从视频数据捕获字符。如果该字段经由掩蔽,则可以当从输入设备140传送字符时捕获字符。
[0063]在一些实施例中,端点装置105包括被配置为向数据输入表单300内插入另外的元数据的应用。该元数据可以具有服务器安全功能(诸如建立表单的校验和),可以当焦点在字段310之间改变时帮助通知捕获模块160,可以通过标注特定数据来帮助嗅探器,并且/或者可以帮助捕获标签320。
[0064]当完成和提交数据输入表单300时,和/或当焦点从字段310之一向另一个移动时,可以从端点装置105向服务器130发送输入数据。例如,在字段310之一中的值可能影响另外的字段310的出现或不出现,并且/或者,数据输入表单300可以被配置为在整体完成和/或提交数据输入表单300 (例如,使用“下一个”按钮330)之前发送部分数据。与如何从端点装置105发送输入数据无关地,替代逻辑285被配置为将从捕获模块160接收的输入数据的加密和/或认证拷贝替代为输入数据的未加密/未认证的拷贝。如在此处和其他地方处所述,加密和/或认证的拷贝可以或可以不包括相关联的元数据。捕获模块160的元数据、输入数据和/或标识符可以以任何组合被加密和/或认证。例如,在一些实施例中,在认证输入数据的同时加密元数据和标识符。在一些实施例中,在认证元数据的同时加密输入数据和标识符。在一些实施例中,在认证元数据的同时加密用户输入和标识符。在一些实施例中,在认证用户输入的同时加密元数据,并且标识符是选用的。在一些实施例中,在认证元数据的同时加密唯一标识符和用户输入。可以加密和/或认证这些数据元素(用户输入、元数据和唯一标识符)的全部。
[0065]替代逻辑285选用地被进一步配置为将TDR 120的IP地址替换为服务器130的IP地址或域名,使得包括加密的输入数据的数据分组被发射到TDR 120而不是服务器130。选用地,在数据分组中的其他位置处保留选用的IP地址,使得TDR 120可以容易地标识数据分组的意欲的最终目的地。该功能是选用的,其中,TDR 120的IP地址默认地在数据分组中。
[0066]选用地,使用例如HTTS通信的SSL(安全套接字层)或SSH(安全外壳)协议来从端点装置105发送捕获模块160的输入数据、元数据和/或标识符。这些协议可以被I/O220实现,并且在输入数据元数据和标识符上构成第二加密层。例如,在一些实施例中,使加密逻辑275和SSL两者来加密标识符和/或元数据,而仅使用SSL来加密相关联的输入数据(选用地被鉴别)。在一些实施例中,将元数据和/或标识符加密两次,并且而使用SSL来加密输入数据。在一些实施例中,使用加密逻辑275和SSL (或SSH)两者来加密输入数据、唯一标识符和/或元数据的至少一部分。单次和双次加密的其他组合基于在此的教导是显然的。
[0067]图4图示根据本发明的各个实施例的TDR 120。TDR 120被配置为从端点装置105接收加密和/或认证的数据。典型地,I/O 410经由网络110来接收加密和/或认证的数据。I/O 410包括被配置来经由通信网络进行通信的一个或多个装置。这些装置被配置为与多个不同的端点装置105和典型的多个不同的服务器130进行通信。例如,在一些实施例中,I/O 410包括被配置为与端点装置105进行通信的第一路由器和被配置为与服务器130进行通信的第二路由器。
[0068]TDR 120进一步包括解密/鉴别逻辑415和密钥存储设备420。解密/鉴别逻辑415被配置为使用在密钥存储设备420中存储的解密密钥和/或证书验证信息来解密和/或鉴别从端点装置105接收的数据。证书验证信息可以例如包括与所使用的证书相关联的公共密钥和/或对称密钥等。选用地,使用证书来在端点装置105和TDR 120之间的通信会话中建立一对对称密钥。作为那个通信会话的一部分的另外的通信可以利用这些对称密钥。在此使用的术语“证书验证信息”用于一般地指代可以用于验证数字签名的信息。该数字签名可以或可以不使用专用或第三方证书被产生。证书验证信息的一个示例是用于验证数字签名的公共或专用密钥。
[0069]在一些实施例中,通过下述方式来在密钥存储设备420内标识适当的解密密钥:标识加密的数据的来源,例如,标识端点装置105。可以以多种不同方式来实现该标识。在一些实施例中,MAC (媒体访问控制)地址、唯一标识符和/或序号用于在密钥存储设备420中查找适当的密钥。在一些实施例中,使用捕获模块160的唯一标识符或数字签名来标识解密密钥。例如,如果由加密逻辑275加密元数据,并且使用认证逻辑295 (以及选用的也加密的SSL)来认证输入数据和标识符,则与该认证相关联的标识符或数字签名可以用于查找用于解密元数据所需的解密密钥。
[0070]装置数据存储设备430被选用地配置为存储捕获模块160的唯一标识符、证书验证信息、MAC地址、IP地址和/或其他标识符。在装置数据存储设备430中存储的信息选用地包括被配置用于所接收的输入数据的鉴别的关联性。例如,装置数据存储设备430可以包括被配置为存储捕获模块160的证书验证信息、序号、唯一标识符和/或I/O 220的MAC地址的相关联的数据记录。可以通过确认数字签名、序号、唯一标识符和/或MAC地址匹配来鉴别所接收的输入数据和/或元数据。在一些实施例中,鉴别是固有,因为仅可以使用正确的解密密钥来成功地解密使用加密逻辑275加密的数据。
[0071]除了查找解密密钥之外,还可以使用上面的信息的任何一个来查找与端点装置105相关联的帐户信息。该帐户信息被存储在帐户数据存储设备425中。帐户数据存储设备425被配置为例如通过适当的数据结构来存储帐户信息。安全通信系统100可以通过保护和鉴别端点装置105来提供安全性,而不使用用户的个人信息。这可以是优点。然而,在替代实施例中,该帐户信息可以包括端点装置105的用户的注册姓名、银行帐户信息、信用卡信息、帐户状态、经由TDR 120授权对于其的访问的服务器130的身份、对于帐户的管理权限、用于访问在服务器130上的用户帐户的密码和登录信息等。包括在帐户数据存储设备425内的用户表示信息是选用的。在一些实施例中,存储的帐户信息包括由服务器130的管理者(例如,金融机构)提供的密码和登录信息。与密码和登录信息相关联的帐户拥有者的身份仅需要被该金融机构了解。通过鉴别端点装置105并且不必然要求用户提供密码和登录信息(以鉴别用户),可以大大地增强隐私保护。
[0072]在帐户数据存储设备425中存储的帐户状态选用地用于控制端点装置105的功能性。例如,如果端点装置105被盗,则该情况可以被报告和存储在帐户数据存储设备425中,并且作为结果,可以阻止经由TDR 120对于授权的服务器130的访问。该方法可以用于控制涉及网络通信的端点装置105的任何功能,该网络通信包括但是不限于文本传送、建立语音通信、电子邮件访问、对于特定网站的访问、金融交易等。该功能性的控制通过仅改变在帐户数据存储设备425中存储的帐户状态而可逆。
[0073]对于每个端点装置105,可以授权对于一个或多个服务器130的访问。例如,端点装置105可以与eBay, com帐户、银行帐户、电子邮件帐户、流音乐帐户和Facebook帐 户相关联。这些帐户中的每一个可以被服务器130的不同的独立实例服务。对于访问帐户的授权可以包括:向TDR 120提供服务器130的登录信息和IP地址,并且将这个数据与端点装置105和/或捕获模块160的标识符相关联地存储在帐户数据存储设备425中。该信息选用地被服务器130的管理者提供。例如,用户可以将包括捕获模块160的蜂窝电话带入银行内,并且要求银行授权经由蜂窝电话对于银行帐户的访问。该银行可以从该电话获得标识符(捕获模块160的标识符、证书等),并且然后向TDR 120提供用于该电话的标识符和授权信息,该授权信息包括登录标识符并且选用地包括密码。在TDR 120处,与电话的标识符相关联地存储所提供的信息。服务器130然后被选用地设置来仅当请求包括授权信息时允许从TDR 120访问用户的帐户。TDR 120不需要存储用户的个人信息,因为授权信息可以对于除了银行的任何人是匿名的。在一些实施例中,根据是否从授权的端点装置105请求访问来授权对于用户帐户的不同水平的访问。即使在一些实施例中TDR 120存储帐户密码,用户也可以或可以不被要求在端点装置105上输入另外的选用的不同密码以访问帐户。对于一些服务器130的访问可能要求用户提供正确的密码并且从使用在此所述的系统和方法鉴别的端点装置105提供密码。
[0074]TDR 120进一步包括转发逻辑435,其被配置为转发从端点装置105接收的输入和元数据的、已经被认证的解密的拷贝和/或拷贝。该转发数据被转发到服务器130的正确的实例,如在帐户数据存储设备425中所标识。在一些实施例中,转发逻辑435被配置为在转发之前查看服务器130的帐户状态和/或授权。在一些实施例中,自动转发数据(输入和元数据),但是所转发的数据无意义,除非解密/鉴别逻辑415使用适当的解密密钥或认证。I/O 410典型用于将转发的数据置于适当的数据分组中。
[0075]TDR 120典型进一步包括加密逻辑440,其被配置为加密从TDR 120向服务器130发送的数据分组。在一些实施例中,加密逻辑440被配置为根据SSL或SSH协议来执行加密。服务器130可以被配置为对于某些用户帐户和/或表单仅接受由TDR 120转发的输入数据。
[0076]TDR进一步包括处理器445,其被配置为执行解密/鉴别逻辑415和/或转发逻辑435。在一些实施例中,处理器445是被配置用于由解密/鉴别逻辑415和/或转发逻辑435的特定目的的电子微处理器。
[0077]TDR 120选用地进一步包括审计日志存储设备450,其被配置为存储数据交易的审计。该审计可以包括交易的记录、从其接收到数据的端点装置105和/或向其发送数据的服务器130等。
[0078]在一些实施例中,TDR 120被配置为接收对于向服务器130转发的数据的响应。该响应在转发到端点装置105之前可以使用解密/鉴别逻辑415被解密和/或使用加密逻辑440被加密。该响应可以包括被配置为接收用户输入的另外的表单。
[0079]图5图示捕获模块160的另外的细节。用户输入设备140和显示器235分别包括输入缓冲器510和显示缓冲器520。输入缓冲器510是被配置为从端点装置105的用户接收和存储输入的存储设备,该输入被输入设备140转换。例如,在其中输入设备140包括键盘的实施例中,输入缓冲器510选用地位于该键盘,并且被配置为存储数字键代码。输入缓冲器510是存储输入数据的第一位置,在其处,在输入数据在输入设备140内被转换后,通过总线210可访问输入数据。在包括触摸屏的实施例中,输入缓冲器510可以被配置为存储一个或多个触摸位置。I/O 220被选用地配置为包括具有类似特性的缓冲器。
[0080]总线210被配置为向例如存储设备280的处理器240可访问的存储设备传送来自输入缓冲器510的输入。如此一来,处理器240可以经由输入设备140接收用户输入。
[0081]嗅探器250被选用地配置为以下述方式来检测用户输入:保证所检测的输入不由在输入设备外部运行的逻辑(例如由恶意软件)破坏。例如,嗅探器250可以当用户输入正被从不能被在处理器240上执行的操作系统或其他逻辑改变的输入设备的一部分传送时访问该用户输入。或者,嗅探器250可以在该用户输入可以由在处理器240上执行的操作系统或其他逻辑改变之前访问用户输入。在一些实施例中,输入设备的该部分是输入缓冲器510。如此一来,检测在用户输入能够访问处理器240和/或在用户输入设备140外部的其他元件访问或能够被其修改之前发生。由嗅探器250检测的输入在检测之前不能被处理器240改变。在检测后,该输入在捕获模块160的被保护部分中。因此,保证输入通过其被加密或认证的时间的完整性。被嗅探器250检测的输入的加密或数字签名的拷贝被保证是从用户接收的输入的真实拷贝。因为嗅探器250的输出在捕获模块160的被保护区域中,所以在RoD 150上的任何恶意软件不能在加密或认证之前破坏输入。
[0082]显示缓冲器520是被配置为接收视频数据并且向显示屏幕提供该视频数据的存储设备,在该显示屏幕处,该视频数据可以被用户观察到。显示缓冲器520是其在显示屏幕上被呈现之前可以经由总线210访问的最后存储设备。典型地,在显示缓冲器520和显示屏幕之间,视频数据仅被准备(例如,置于正确的构造中,并且给出正确的定时)用于显示。嗅探器250被选用地配置来以下述方式来检测视频数据:保证该检测的视频数据是实际上向用户呈现的。例如,嗅探器250可以被配置为检测经由总线210向显示缓冲器520的所有通信,使得捕获模块160可以检测被保证与在显示屏幕上向用户呈现者相同的视频数据的拷贝。可以在下述点处检测视频数据(在视频数据向视频显示器的传送中),在该点之后,该视频数据不再能够被处理器240修改。可以在下述点处检测视频数据(在视频数据向视频显示器的传送中),在该点处,可由嗅探器250检测到由在处理器240上执行的操作系统或其他逻辑对于视频数据的任何改变。
[0083]在一些实施例中,端点装置105不包括显示缓冲器520。例如,在较不复杂的移动装置中,在由处理器240执行的操作系统和其他逻辑以及显示器235的屏幕之间没有中间缓冲器。在这些装置中,操作系统可以负责以固定的刷新率(例如,60Hz)向屏幕连续地传送视频数据。在这些情况下,嗅探器250被选用地配置为嗅探总线210,其中,视频数据例如在处理器240和屏幕之间被传送到屏幕。
[0084]图6图示根据本发明的各个实施例的传送安全数据的方法。这些方法在端点装置105上被选用地执行,并且导致加密和/或认证的数据被发送到TDR 120。
[0085]在显示表单步骤610中,在端点装置105的显示器235上显示被配置用于用户输入的表单。数据输入表单300是这样的表单的示例。该显示的表单可以来自在端点装置105上运行的应用,或者可以是在浏览器中显示的网页的一部分。
[0086]在检测表单步骤615中,由捕获模块160检测到在显示器235上的表单的存在。这是通过应用向总线210提供通知(例如,通过设置在此处和其他地方处描述的标记)或通过捕获模块160嗅探在总线210上的数据来完成的。例如,捕获模块160可以被配置为检测向显示器235的新的显示页面。
[0087]在标识字段步骤620中,在显示的表单中标识一个或多个数据键入字段。该数据键入字段典型被配置用于键入诸如在图3中所示者的字符。然而,在替代实施例中,数据键入字段可以包括复选框、图标和/或虚拟键盘等。数据键入字段可以通过在显示器235上显示的它们的图像和/或通过与字段相关联的元数据标识。
[0088]在选用的收集元数据步骤625中,收集与被标识的数据字段相关联的元数据。使用嗅探器250来选用地收集该元数据。该元数据被存储在字符存储设备265中。
[0089]在嗅探总线步骤630中,使用嗅探器250为了输入数据嗅探总线210。可以为了来自输入设备140的用户输入数据和/或为了在显示器235上显示的输入数据嗅探总线210。在一些实施例中,在嗅探总线步骤630中,从输入设备140经由数据输入端255直接地接收用户输入。嗅探器250的使用是选用的。
[0090]在检测提交步骤635中,检测表单或其子集的提交。可以使用嗅探器250来完成该检测。表单的提交意味着将在表单中键入的数据提交以用于进一步的处理,诸如发送到服务器130。检测提交步骤635可以响应于改变焦点标记、新的屏幕标记和/或在此在其他地方所述的提交标记而发生。
[0091]在选用的提取数据步骤640中,从相关联的元数据提取在表单中键入的输入数据。例如,当不同地处理输入数据和元数据时,使用该步骤。提取数据步骤640也可以包括使用字符识别逻辑260来标识在显示器235上显示的图像内的输入数据。该提取的输入数据被存储在字符存储设备265中。
[0092]在选用签名数据步骤650中,使用认证逻辑295来认证——例如数字签名——在ID存储设备270中存储的捕获模块160的标识符、输入数据和/或相关联的元数据。可以使用在安全密钥存储设备245中存储的数字证书来完成该认证。
[0093]在选用加密步骤655中,使用加密逻辑275来加密在ID存储设备270中存储的捕获模块160的标识符、输入数据和/或相关联的元数据。输入数据和相关联的元数据是在上面的进行步骤中获得和选用地提取的那些。由图6所示的方法包括签名数据步骤650和加密步骤655的至少一个。如在此处和其他地方所述,选用地不同地处理输入数据和相关联的元数据。
[0094]在插入数据步骤660中,在签名数据步骤650中认证和/或在加密步骤655中加密的数据被插入到被编址到TDR 120的数据分组内。该插入选用地包括替换数据的未认证和/或未加密拷贝。该插入选用地进一步包括向数据分组添加TDR 120的例如IP地址的地址。可以从捕获模块160、RoD 150或端点装置105外部的位置内获得该地址。
[0095]在发送数据步骤665中,向TDR 120发送包括认证和/或加密的数据的数据分组。发送数据步骤665选用地包括使用诸如安全套接字层(SSL)加密的标准协议来将数据分组加密。该数据分组可以被发送到在网络上的固定IP地址、域名或固定位置。该目的地的地址被选用地存储在存储设备280中。
[0096]图7图示根据本发明的各个实施例的接收和转发安全数据的方法。使用TDR 120来选用地执行由图7图示的方法。这些方法可以跟随在图6所示的方法。
[0097]在接收分组步骤710中,从多个端点装置105之一接收数据分组。该数据分组典型经由网络110被接收,并且可以是所接收的几个相关的数据分组之一。
[0098]在选用解密分组步骤715中,使用诸如安全套接字层解密的标准协议来解密所接收的数据分组。在标识来源步骤720中,标识从其接收该数据分组的端点装置105。可以使用端点装置105的MAC地址和/或其他唯一标识符、使用捕获模块160的唯一标识符和/或使用在此所述的其他标识符的任何一个来完成这一点。
[0099]在选用的字节分组步骤725中,所接收的数据分组被发送到服务器,该服务器被配置为处理从在标识来源步骤720中标识的端点装置105接收的数据分组。例如,TDR 120可以包括多个分布式服务器,其每一个被配置为处理来自不同的组的端点装置105的数据。
[0100]在检索密钥步骤730中,使用端点装置105的标识符来从密钥存储设备420检索解密密钥。典型地,在检索密钥步骤730中使用的标识符是在标识来源步骤720中使用的相同的标识符。检索密钥步骤730除了检索解密密钥或替代检索解密密钥,选用地包括从密钥存储设备420检索证书验证信息。
[0101]在解密/鉴别数据步骤735中,使用在检索密钥步骤730中从密钥存储设备420检索的信息来解密和/或鉴别在接收分组步骤710中接收的数据分组。这以以各种组合来出现。例如,可以在鉴别输入数据的同时解密元数据,或者反之亦然。在一些实施例中,捕获模块160的标识符在解密/鉴别数据步骤735中被解密,并且然后在检索密钥步骤730的重复中被使用,以从密钥存储设备420检索证书验证信息。该证书确认数据然后用于鉴别在该数据分组(或相关联的数据分组)中接收到的其他信息。
[0102]在选用的重新加密数据步骤740中,使用加密逻辑440来重新加密在解密/鉴别数据步骤735中解密和/或鉴别的数据。可以使用SSL协议、专用和/或公共密钥来完成该加密。
[0103]在转发步骤750中,在解密/鉴别数据步骤735中解密和/或鉴别并且使用加密逻辑440重新加密的数据被转发到服务器130的实例。转发步骤750选用地包括从帐户数据存储设备425检索服务器130的实例的地址。转发步骤750选用地进一步包括查看在帐户数据存储设备425中存储的帐户状态和/或查看授权从其接收数据的端点装置105访问帐户或服务器130。在一些实施例中,转发步骤750包括从帐户数据存储设备425检索登录标识符和/或密码,并且将这个信息添加到转发的数据。在一些实施例中,不执行转发步骤750,除非经由在此教导的方法之一来成功地鉴别和/或解密所接收的数据。
[0104]在选用的接收响应步骤755中,从服务器130的实例接收对于转发的数据的响应。该数据在加密步骤760中被选用地加密。可以使用SSL协议、专用和/或公共密钥来完成该加密。结果产生的加密数据在选用的转发步骤766中被发送到端点装置105。
[0105]在此具体图示和/或描述几个实施例。然而,将明白,在不偏离所附权利要求的精神和意欲范围的情况下,可以通过上面的教导和在所附的权利要求的范围内覆盖修改和改变。例如,在作为示例讨论包括字符的输入的同时,本发明的实施例适用于非字符输入数据,诸如点击位置、复选框的点击、GPS数据、语音或视频数据、生物计量数据等。例如,在一些实施例中,在此公开的系统和方法用于保护在建立语音或视频呼叫中涉及的初始握手例程。在一些实施例中,在从端点装置105向TDR 120发送的分组中包括cookie数据,并且其被转发到服务器130。该cookie数据可以或可以不被捕获模块160加密。虽然在此讨论一些加密和数字签名技术,但是本领域内的普通技术人员可以明白,基于在此的教导,可以使用其他加密和数字签名技术。这些可以涉及公共和专用密钥、公共和专用证书、会话密钥、对称密钥等的任何组合。
[0106]在此讨论的实施例是用于说明本发明的。当参考图示描述本发明的这些实施例时,所述的方法和/或特定结构的各种修改或适配可以变得对于本领域的技术人员显然。依赖于本发明的教导并且通过其这些教导已经使技术进步的所有这样的修改、适配或变化被认为在本发明的精神和范围内。因此,不应当在限制的意义上考虑这些说明和附图,因为可以明白,本发明绝不仅限于所例示的实施例。
[0107]在此引用的计算系统可以包括集成电路、微处理器、个人计算机、服务器、分布式计算系统、通信装置、网络装置等及其各种组合。计算系统也可以包括非暂时易失性和/或非易失性存储器,诸如随机存取存储器(RAM)、动态随机存取存储器(DRAM)、静态随机存取存储器(SRAM)、磁介质、光介质、纳米介质、硬盘驱动器、致密盘、数字多功能盘(DVD)以及/或者被配置用于诸如在数据库中存储模拟或数字信息的其他装置。如上所述的逻辑的各个实例可以包括硬件、固件或存储在计算机可读介质上的软件或它们的组合。在此使用的计算机可读介质明确地包括纸张。在此所述的方法的计算机实现的步骤可以包括在计算机可读介质上存储的一组指令,其当被执行时使得计算系统执行步骤。被编程来根据来自程序软件的指令而执行特定功能的计算系统变为用于执行那些特定功能的专用计算系统。由专用计算系统在执行那些特定功能的同时操纵的数据至少被电保存在计算系统的缓冲器中,以利用对存储的数据的每个改变将专用计算系统从一个状态物理改变到下一个。
【主权项】
1.一种计算系统,包括: 输入设备,其被配置为从用户接收输入; 显示器,其被配置为显示所述输入; 总线,其被配置为向所述显示器传送所述输入; 处理单元,其被配置为处理经由所述总线接收到的数据和命令; 输入捕获模块,其与所述计算系统的较不安全的部分隔离,所述隔离被配置为防止从所述输入捕获模块外部接收到的计算指令对于所述输入捕获模块的破坏,所述输入捕获模块包括: 存储设备,其被配置为存储加密密钥或证书,使得不能从所述输入捕获模块外部读取所述加密密钥或证书, 数据输入端,其被配置为接收源自所述输入设备的数据,所述输入模块被布置在所述计算系统的所述输入设备和所述较不安全的部分之间,使得在所述输入设备处的输入在由所述较不安全部分接收之前通过所述捕获模块,以及 逻辑,其被配置为加密或认证源自所述输入设备的所述数据,所述加密或认证使用所述加密密钥或证书,并且发生在所述输入捕获模块内;以及通信逻辑,其被配置为向通信网络传送所述逻辑的输出。2.一种计算系统,包括: 输入设备,其被配置为从用户接收输入; 显示器,其被配置为显示所述输入; 处理单元,其被配置为处理从所述用户接收到的命令; 输入捕获模块,其与所述计算系统的较不安全的部分隔离,所述隔离被配置为防止来自所述输入捕获模块外部的计算指令对于所述输入捕获模块的破坏,所述输入捕获模块包括: 存储设备,其被配置为存储多个加密密钥和/或证书, 用于从所述计算系统的所述较不安全的部分捕获数据的部件, 标记输入端,其被配置为从所述多个加密密钥和/或证书选择,以及逻辑,其被配置为加密或认证所述捕获的数据,所述加密或认证使用所述选择的加密密钥或证书,并且发生在所述输入捕获模块内;以及 通信逻辑,其被配置为向通信网络传送所述加密或认证的数据。3.一种端点系统,包括: 输入设备,其被配置为从用户接收输入,并且包括输入缓冲器,所述输入缓冲器被配置为存储所述接收到的输入; 处理器,其被配置为经由所述输入设备来接收输入,并且在所述端点系统上执行软件应用; 总线,其被配置为向所述处理器可访问的存储设备传送来自所述输入缓冲器的所述输入;以及 嗅探器,其被配置为当所述输入在所述总线上从所述输入缓冲器被传送时检测所述输入,由所述嗅探器检测到的所述输入在所述检测之前不能由所述处理器改变。4.一种端点系统,包括: 输入设备,其被配置为从用户接收输入,并且包括输入缓冲器,所述输入缓冲器被配置为存储所述接收到的输入; 处理器,其被配置为经由所述输入设备来接收用户输入; 总线,其被配置为向所述处理器可访问的存储设备传送来自所述输入缓冲器的所述输入;以及 捕获模块,其被配置为检测所述输入,使得保证所述检测的输入是从所述用户接收到的所述输入的真实拷贝。5.一种计算系统,包括: 输入设备,其被配置为从用户接收输入; 显示器,其被配置为显示来自所述用户的所述输入; 总线,其被配置为向所述显示器传送所述输入; 处理单元,其被配置为处理经由所述总线接收到的数据和命令; 输入捕获模块,其与所述计算系统的较不安全的部分隔离,所述隔离被配置为防止从所述输入捕获模块外部接收到的计算指令对于所述输入捕获模块的破坏,所述输入捕获模块包括: 存储设备,其被配置为存储加密密钥或证书, 嗅探器,其被配置为为了源自来自所述用户的所述输入的输入数据嗅探所述总线,以及 逻辑,其被配置为加密或认证所述输入数据,所述加密或认证发生在所述输入捕获模块内;以及 通信逻辑,其被配置为向通信网络传送所述输入捕获模块的输出。6.一种计算系统,包括: 输入设备,其被配置为从用户接收输入; 显示器,其被配置为显示来自所述用户的所述输入; 总线,其被配置为向所述显示器传送所述输入; 处理单元,其被配置为处理所述输入; 输入捕获模块,其与所述计算系统的较不安全的部分隔离,所述隔离被配置为防止从所述输入捕获模块外部接收到的计算指令对于所述输入捕获模块的破坏,所述输入捕获模块包括: 存储设备,其被配置为存储加密密钥或证书, 嗅探器,其被配置为为了视频数据嗅探所述总线, 字符识别逻辑,其被配置为标识在所述视频数据内的输入数据,所述输入数据源自来自所述用户的所述输入,以及 逻辑,其被配置为加密或认证所由所述字符识别逻辑标识的所述输入数据;以及 通信逻辑,其被配置为向通信网络传送所述逻辑的输出。7.一种端点系统,包括: 输入设备,其被配置为从用户接收输入,并且包括输入缓冲器,所述输入缓冲器被配置为存储所述接收到的输入; 处理器,其被配置为经由所述输入设备来接收输入; 总线,其被配置为向所述处理器可访问的存储设备传送来自所述输入缓冲器的所述输入;以及 嗅探器,其被配置为当所述输入在所述总线上从所述输入缓冲器被传送向所述存储设备时检测所述输入,所述检测在可由所述处理器修改所述输入之前发生。8.一种安全通信系统,包括: 输入端,其被配置为从端点系统接收至少部分地加密的数据,所述至少部分地加密的数据包括所述端点系统的标识符; 密钥存储设备,其包括与装置标识符相关联地存储的解密密钥; 解密/鉴别逻辑,其被配置为使用从所述密钥存储设备检索到的解密密钥来将所述至少部分地加密的数据解密为解密的输出,所述检索使用所述端点系统的所述标识符; 远程服务连接器,其被配置为向远程计算系统转发所述解密的输入,并且从所述远程计算系统接收通信,所述接收的通信响应于所述转发的解密输出;以及 端点连接器,其被配置为向所述端点系统的较不安全的部分转发从所述远程计算系统接收的通信。9.一种安全通信系统,包括: 第一 1/0,其被配置为从计算系统的安全部分接收至少部分地加密或至少部分地认证的数据,所述至少部分地加密或认证的数据包括所述计算装置的标识符,并且包括对于所述计算系统的用户输入; 存储设备,其包括与装置标识符相关联地存储的解密密钥或证书数据; 加密/鉴别逻辑,其被配置为使用从所述存储设备检索的解密密钥或证书数据来解密或鉴别所述至少部分地加密或认证的数据,所述检索使用所述计算系统的所述标识符;以及 第二 1/0,其被配置为向远程计算系统转发所述解密的输入。10.一种计算系统,包括: 安全输入设备,其包括输入设备,所述输入设备被配置为数字化来自用户的输入,所述安全输入设备进一步包括:安全密钥存储设备,其被配置为存储加密密钥;以及加密逻辑,其被配置为使用所述加密密钥来加密所述数字化的输入; 所述计算系统的较不安全的部分,所述较不安全的部分被配置为接收所述加密的输入,并且向TDR服务器传送所述加密的输入,所述较不安全的部分被配置为作为对于从所述TDR服务器接收的通信的端点;以及 通信电路,其被配置为向所述较不安全的部分传送来自所述安全输入的所述加密的输入。11.一种计算系统,包括: 安全输入设备,其包括输入设备,所述输入设备被配置为数字化来自用户的输入; 安全密钥存储设备,其被配置为存储加密密钥;以及, 加密逻辑,其被配置为使用所述加密密钥来加密所述数字化的输入;以及所述计算系统的较不安全的部分,所述较不安全的部分被配置为接收所述加密的输入,并且向TDR服务器传送所述加密的输入,并且所述较不安全的部分被配置为作为对于从所述TDR服务器接收的通信的端点,所述加密逻辑被布置于在所述安全输入设备和所述较不安全的部分之间的通信电路中。12.根据权利要求1-10或11所述的系统,其中,所述输入设备包括键盘。13.根据权利要求1-11或12所述的系统,其中,所述输入捕获模块通过限制所述输入捕获模块的外部控制限制到一个或多个标记的设置,与所述计算系统的所述较不安全的部分隔呙。14.根据权利要求1-12或13所述的系统,其中,所述一个或多个标记的至少一个是加密密钥选择标记。15.根据权利要求1-13或14所述的系统,其中,所述一个或多个标记的至少一个是证书选择标记。16.根据权利要求1-14或15所述的系统,其中,所述一个或多个标记的至少一个是被配置为引起输入捕获模块的复位的复位标记。17.根据权利要求1-15或16所述的系统,其中,所述一个或多个标记的至少一个是改变焦点标记、新屏幕标记或提交标记。18.根据权利要求1-16或17所述的系统,其中,所述一个或多个标记的至少一个是禁用标记,其被配置为暂时禁用所述输入捕获模块的功能。19.根据权利要求1-17或18所述的系统,其中,所述输入捕获模块被配置为为了对所述显示器的通信嗅探所述总线,以便捕获源自所述输入设备的所述数据的至少一部分。20.根据权利要求1-18或19所述的系统,其中,所述数据输入被配置为嗅探的所述通信包括视频数据。21.根据权利要求1-19或20所述的系统,其中,所述输入捕获模块进一步包括字符识别逻辑,其被配置为标识在向所述显示器的所述通信中的字符。22.根据权利要求1-20或21所述的系统,其中,所述输入捕获模块被配置为识别由鼠标点击或屏幕触摸产生的字符。23.根据权利要求1-21或22所述的系统,其中,所述输入捕获模块被配置为识别由自动完成逻辑产生的字符。24.根据权利要求1-22或23所述的系统,其中,所述输入捕获模块被配置为识别由语音至文本逻辑产生的字符。25.根据权利要求1-23或24所述的系统,其中,所述输入捕获模块被配置为识别由拼写逻辑产生的字符。26.根据权利要求1-24或25所述的系统,其中,所述输入捕获模块的输出包括被配置为确认通过所述逻辑执行所述加密或认证的唯一标识符。27.根据权利要求1-25或26所述的系统,其中,所述存储设备包括被配置为被写入不超过一次的存储器。28.根据权利要求1-26或27所述的系统,其中,所述存储设备被配置为存储多个加密密钥,所述多个加密密钥可从所述输入捕获模块外部独立地选择。29.根据权利要求1-27或28所述的系统,其中,所述存储设备被配置为存储多个证书,所述多个证书可从所述输入捕获模块外部独立地选择。30.根据权利要求1-28或29所述的系统,其中,所述通信逻辑被配置为向在网络上的固定位置传送所述逻辑的所述输出。31.根据权利要求1-29或30所述的系统,进一步包括替换逻辑,其被配置为将在所述计算系统的所述较不安全的部分内产生的数据分组的内容替换为所述逻辑的所述输出。32.根据权利要求1-30或31所述的系统,其中,所述通信逻辑被配置为在向所述输出应用增加的加密层后传送所述逻辑的所述输出。33.根据权利要求1-31或32所述的系统,其中,所述证书是专用证书。34.根据权利要求1-32或33所述的系统,其中,所述输入设备、显示器、处理单元、输入捕获模块和通信逻辑被布置在单个外壳内。35.根据权利要求1-33或34所述的系统,其中,所述逻辑被配置为加密和认证所述捕获的数据。36.根据权利要求1-34或35所述的系统,其中,所述输入设备包括触摸屏。37.根据权利要求1-35或36所述的系统,其中,所述安全存储设备包括被配置为被写入不超过一次的存储器。38.根据权利要求1-36或37所述的系统,其中,所述安全存储设备被配置为存储所述加密密钥或证书,使得不能从所述输入捕获模块外部读取所述加密密钥或证书。39.根据权利要求1-37或38所述的系统,其中,所述安全存储设备被配置为存储所述加密密钥或证书,使得不能从所述输入捕获模块外部改变所述加密密钥或证书。40.根 据权利要求1-38或39所述的系统,其中,所述安全存储设备被配置为存储所述加密密钥。41.根据权利要求1-39或40所述的系统,其中,所述安全存储设备被配置为存储所述证书。42.根据权利要求1-40或41所述的系统,其中,所述输入捕获模块通过将所述安全输入模块的外部控制限于一个或多个标记的设置,与所述计算系统的所述较不安全的部分隔离。43.根据权利要求1-41或42所述的系统,其中,所述一个或多个标记的至少一个是加密密钥或证书选择标记。44.根据权利要求1-42或43所述的系统,其中,所述一个或多个标记之一是被配置为引起所述输入捕获模块的复位的复位标记。45.根据权利要求1-43或44所述的系统,其中,所述一个或多个标记之一是改变焦点标记、新屏幕标记或提交标记。46.根据权利要求1-44或45所述的系统,其中,所述一个或多个标记的至少一个是禁用标记,其被配置为暂时禁用所述输入捕获模块的功能。47.根据权利要求1-45或46所述的系统,其中,所述输入捕获模块的所述输出包括被配置为确认在所述输入捕获模块内产生所述输出的唯一标识符。48.根据权利要求1-46或47所述的系统,其中,所述标识符被加密为被包括在所述输入捕获模块的所述传送的输出中。49.根据权利要求1-47或48所述的系统,其中,所述嗅探器被配置为所述输入数据可以由所述处理单元改变之前,嗅探从所述输入设备接收的输入数据。50.根据权利要求1-48或49所述的系统,其中,所述存储设备被配置为存储多个加密密钥,所述多个加密密钥可从所述输入捕获模块外部独立地被选择。51.根据权利要求1-49或50所述的系统,其中,所述存储设备被配置为存储多个证书,所述多个证书可从所述输入捕获模块外部独立地被选择。52.根据权利要求1-50或51所述的系统,其中,所述嗅探器被配置为嗅探所述视频数据,使得保证所述嗅探的视频数据是与在所述显示器上呈现的视频数据相同的视频数据。53.根据权利要求1-51或52所述的系统,其中,所述加密密钥或证书被存储使得不能从所述输入捕获模块外部读取所述加密密钥或证书。54.根据权利要求1-52或53所述的系统,其中,所述输入捕获模块被配置为在所述输出中包括所述输入捕获模块的唯一标识符。55.根据权利要求1-53或54所述的系统,其中,所述输入捕获模块被配置为识别使用鼠标点击或触摸板指示的字符。56.根据权利要求1-54或55所述的系统,其中,所述输入捕获模块被配置为识别由自动完成逻辑产生的字符。57.根据权利要求1-55或56所述的系统,其中,所述输入捕获模块被配置为识别由语音至文本逻辑产生的字符。58.根据权利要求1-56或57所述的系统,其中,所述输入捕获模块被配置为识别由拼写逻辑产生的字符。59.根据权利要求1-57或58所述的系统,其中,所述密钥存储设备被配置为存储多个加密密钥,所述多个加密密钥可从所述输入捕获模块外部独立地被选择。60.根据权利要求1-58或59所述的系统,其中,所述密钥存储设备被配置为存储多个加密密钥,所述多个加密密钥可通过检测所述总线上的图像被自动地选择。61.根据权利要求1-59或60所述的系统,进一步包括替换逻辑,其被配置为将在所述计算系统的所述较不安全的部分内产生的数据分组的内容替换为所述逻辑的所述输出。62.根据权利要求1-60或61所述的系统,进一步包括加密逻辑,所述加密逻辑被配置为加密由所述端点连接器转发的所述接收的通信。63.根据权利要求1-61或62所述的系统,其中,所述至少部分地加密的数据包括加密的元数据或认证的输入数据。64.根据权利要求1-62或63所述的系统,其中,所述至少部分地加密的数据包括加密的元数据,并且包括源自用户输入的加密的数据。65.根据权利要求1-63或64所述的系统,其中,所述解密/鉴别逻辑被配置为鉴别所述至少部分地加密的数据的未加密部分。66.根据权利要求1-64或65所述的系统,其中,所述加密/鉴别逻辑被配置为鉴别在所述端点系统的安全部分中加密所述至少部分地加密的数据。67.根据权利要求1-65或66所述的系统,其中,所述至少部分地加密的数据包括加密的输入数据。68.根据权利要求1-66或67所述的系统,其中,如果所述至少部分地加密的数据未被鉴别为已经在所述端点系统的安全部分中被加密,则所述解密/鉴别逻辑被配置为阻止所述解密的输入的转发。69.根据权利要求1-67或68所述的系统,其中,如果所述至少部分地加密的数据未被鉴别为已经在所述端点系统的安全部分中被认证,则所述解密/鉴别逻辑被配置为阻止所述解密的输入的转发。70.根据权利要求1-68或69所述的系统,其中,如果所述至少部分地加密的输入的未加密部分不包括所述端点系统的安全部分的数字签名,则所述解密/鉴别逻辑被配置为阻止所述未加密部分的转发。71.根据权利要求1-69或70所述的系统,其中,所述解密/鉴别逻辑被配置为检索与所述端点系统相关联的帐户状态,并且基于所述帐户状态来控制所述接收的通信的转发。72.根据权利要求1-70或71所述的系统,进一步包括帐户存储设备,所述帐户存储设备被配置为与所述端点系统的标识符相关联地存储所述远程计算系统的标识符。73.根据权利要求1-71或72所述的系统,进一步包括帐户存储设备,所述帐户存储设备被配置为存储不同端点系统的多个标识符,所述标识符与所述远程计算系统的标识符相关联地被存储。74.根据权利要求1-72或73所述的系统,进一步包括帐户存储设备,其被配置为存储被配置为用于访问所述远程计算系统的登录信息,所述登录信息与所述端点系统的标识符相关联地被存储。75.根据权利要求1-73或74所述的系统,进一步包括帐户存储设备,其被配置为存储不同端点系统的多个标识符,所述标识符与所述远程计算系统的标识符相关联地被存储。76.根据权利要求1-74或75所述的系统,进一步包括装置数据存储设备,其被配置为存储数据,所述数据被配置为验证在所述端点系统的安全部分中包括的证书的数字签名。77.根据权利要求1-75或76所述的系统,其中,所述第二I/O被进一步配置为: 接收来自所述远程计算系统的通信,所接收的通信响应于所述转发的解密的输入;以及 逻辑,配置为使用所述第一 I/o向所述计算系统的较不安全的部分转发从所述远程计算系统接收的通信。78.根据权利要求1-76或77所述的系统,其中,所述至少部分地加密或至少部分的认证的数据包括元数据,所述元数据被配置为标识表单域,并且所述元数据与向所述表单域的输入相关联。79.根据权利要求1-77或78所述的系统,其中,所述元数据被加密。80.根据权利要求1-78或79所述的系统,其中,向所述表单域的输入被加密。81.根据权利要求1-79或80所述的系统,进一步包括被配置为登录到所述远程计算系统内的信息,与所述计算系统的所述标识符相关联地存储被配置为登录到所述远程计算系统内的信息。82.根据权利要求1-80或81所述的系统,其中,所述密钥存储设备被配置为存储多个加密密钥,所述多个加密密钥能够通过检测来自所述输入设备的输入而被独立地选择。83.根据权利要求1-81或82所述的系统,其中,使用滚动码在所述安全输入内产生所述加密密钥。84.根据权利要求1-82或83所述的系统,其中,使用时钟或随机数产生器来在所述安全输入内产生所述加密密钥。85.根据权利要求1-83或84所述的系统,其中,在所述输入捕获模块中包括所述输入设备。86.根据权利要求1-84或85所述的系统,其中,所述输入设备在所述计算系统的所述较不安全的部分中。87.根据权利要求1-85或86所述的系统,其中,所述处理单元被配置为执行在所述输入捕获模块外部的软件应用。88.根据权利要求1-86或87所述的系统,其中,所述安全密钥存储设备包括只读存储器。89.根据权利要求1-87或88所述的系统,其中,所述输入设备进一步包括标识符存储设备,其被配置为存储所述安全输入设备的唯一标识符,并且,所述通信逻辑被进一步配置为连同输入数据一起传送所述标识符的加密拷贝。90.根据权利要求1-88或89所述的系统,其中,所述计算系统的所述较不安全的部分包括标识符存储设备,所述标识符存储设备被配置为存储所述计算系统的唯一标识符,并且,所述通信逻辑被进一步配置为连同所述输入数据一起向信任的数据中继器传送所述标识符。91.根据权利要求1-89或90所述的系统,进一步包括总线嗅探器,其被配置为从所述计算系统的总线嗅探视频数据,并且通过自动完成软件来检测在所述视频数据内布置的字符。92.根据权利要求1-90或91所述的系统,其中,所述输入设备包括键盘。93.根据权利要求1-91或92所述的系统,其中,所述输入设备包括触摸屏。94.根据权利要求1-92或93所述的系统,其中,所述输入设备包括指示装置的驱动器。95.根据权利要求1-93或94所述的系统,其中,所述密钥存储设备被配置为存储多个加密密钥,所述多个加密密钥可通过检测在所述总线上的图像自动选择。96.根据权利要求1-94或95所述的系统,其中,所述通信逻辑被配置为在向所述加密逻辑的所述输出应用另外的加密层后传送所述加密逻辑的输出。97.一种用于传送安全数据的方法,所述方法包括: 在显示装置上显示视频图像; 检测在所述视频图像内的表单,所述表单包括一个或多个数据键入字段; 标识具有当前焦点的所述一个或多个数据键入字段的成员; 收集用于表征所述一个或多个数据键入字段的所标识的成员的元数据; 嗅探总线以捕获在所述一个或多个数据键入字段的所标识的成员中键入的数据; 加密所述捕获的数据或将所述捕获的数据数字签名; 在数据分组中插入所述加密或签名的数据;并且 经由通信网络向远程装置发送所述加密或签名的数据。98.一种转发安全数据的方法,所述方法包括: 从端点系统接收数据分组; 标识所述数据分组的来源; 基于所述来源的身份检索解密密钥或证书数据; 解密或鉴别所述数据分组的内容; 基于所述来源的身份来识别帐户; 识别所述内容的目的地;并且 基于所述帐户的状态来向所述目的地转发所述内容。99.根据权利要求97或98所述的方法,其中,将所述捕获的数据数字签名。100.根据权利要求97、98或99所述的方法,其中,将所述捕获的数据加密。101.根据权利要求97-99或100所述的方法,进一步包括将所述收集的元数据加密或将所述收集的元数据数字签名,并且向所述远程装置发射所述加密或签名的元数据。102.根据权利要求97-100或101所述的方法,其中,将所述收集的元数据加密,并且将所述捕获的数据数字签名。103.根据权利要求97-101或102所述的方法,其中,将所述数字签名的收集的元数据和所述捕获的数据加密。104.根据权利要求97-102或103所述的方法,其中,嗅探所述总线包括捕获视频数据。105.根据权利要求97-103或104所述的方法,其中,捕获所述键入的数据包括使用字符识别逻辑来处理所述捕获的视频数据。106.根据权利要求97-104或105所述的方法,其中,嗅探所述总线包括当从输入设备的缓冲器传送输入数据时捕获所述输入数据。107.根据权利要求97-105或106所述的方法,其中,发送所述加密或签名的数据包括发送包括所述显示器的端点系统的标识符。108.根据权利要求97-106或107所述的方法,其中,将所述标识符加密。109.根据权利要求97-107或108所述的方法,其中,将所述捕获的数据加密或将所述捕获的数据数字签名包括从位于被保护的捕获模块中的存储设备检索证书或加密密钥。110.根据权利要求97-108或109所述的方法,其中,检索所述证书或加密密钥包括响应于对于所述被保护的捕获模块的标记输入从多个证书或加密密钥选择。111.根据权利要求97-109或110所述的方法,其中,所述被保护的捕获模块被隔离,使得不能从所述被保护的捕获模块外部改变所述证书或加密密钥。112.根据权利要求97-110或111所述的方法,其中,所述被保护的捕获模块被隔离,使得不能从所述被保护的捕获模块外部读取所述证书或加密密钥。113.根据权利要求97-111或112所述的方法,其中,使用安全套接字层协议来接收所述数据分组。114.根据权利要求97-112或113所述的方法,其中,解密所述内容的部分,并且鉴别所述内容的部分。115.根据权利要求97-113或114所述的方法,其中,所述内容包括输入数据和被配置为标识所述输入数据的元数据。116.根据权利要求97-114或115所述的方法,进一步包括:基于所述数据分组的所述内容的所述解密或鉴别来验证所述内容的来源。
【专利摘要】通过下述方式来实现用户输入的安全通信:隔离端点装置的部分,使得防止恶意软件来破坏证书和加密密钥。而且,所述通信通过信任的数据中继器,所述中继器被配置为解密和/或认证由所述端点装置的所述隔离部分加密的用户输入。所述信任的数据中继器可以确定通过保护的证书和加密密钥来加密或认证用户输入,因此鉴别在所述端点装置内的它们的起点。所述信任的数据中继器然后向意欲的目的地转发输入。在一些实施例中,所述端点装置的隔离的部分被配置为检测由自动完成逻辑和/或拼写检查逻辑建立的检测。
【IPC分类】H04L29/06
【公开号】CN104904179
【申请号】CN201380065517
【发明人】M.艾农, P.辛克莱, J.洛伊德
【申请人】真实数据系统股份有限公司
【公开日】2015年9月9日
【申请日】2013年10月16日
【公告号】EP2909769A2, US20140108790, US20140108820, US20140108821, WO2014062853A2, WO2014062853A3
【专利说明】安全通信架构
[0001]对于相关申请的交叉引用
[0002]本申请要求在2012年10月16日提交的N0.61/714,629 ;在2013年7月I日提交的N0.61/841,671和在2013年8月19日提交的N0.61/867,293的共同待决的临时专利申请的权益和优先权;并且,本申请是在2013年10月16日提交的美国非临时专利申请N0.14/055,706的继续。上面的专利申请由此通过引用被并入于此。
技术领域
[0003]本发明在通信安全的领域中。
【背景技术】
[0004]自从因特网的产生,计算机安全性已经变得更困难。威胁包括金融诈骗、信息窃取和间谍活动。一旦在计算系统上,则恶意软件可以隐身运行,监控和窃取密码和安全信息。不仅在传统的计算机系统而且在诸如蜂窝电话和平板计算机的移动装置上发现了这样的恶意软件。
【发明内容】
[0005]通过下述方式来增强计算装置的安全性:逻辑地隔离该装置的一部分,使得它不能被恶意软件破坏,并且使用该隔离部分来加密和/或认证用户输入。在一些实施例中,该隔离部分作为在用户输入装置和计算装置的剩余部分之间的电桥。所述电桥可以从用户输入装置直接地接收输入,或者可以监控在该计算装置内的数据的流以检测输入。
[0006]在一些实施例中,所述电桥被配置以使用被保护的密钥来加密用户输入。所述加密的输入被发送到外部信任数据中继器,其中,它被加密和中继到第三方目的地。所述密钥可以是被所述计算装置的物理架构保护的公共密钥或密钥。例如,所述计算装置被选用地配置使得所述电桥的内容(逻辑和密钥等)可以仅被访问或修改一次。在一些实施例中,由计算装置的制造商或分发商安装的加密密钥不能在所述电桥之外被改变或读取。如此一来,在所述计算装置上的恶意软件不能破坏所述电桥的功能,或在所述电桥之外使用正确的密钥来加密数据。
[0007]在一些实施例中,所述电桥被配置为使用证书来认证用户输入。所述证书用于将用户输入数字签名,使得容易检测所述用户输入的任何修改。所述认证的输入被发射到信任的数据中继器,其中,它被鉴别(例如,验证)和中继到第三方目的地。所述证书选用地被所述计算装置的物理架构保护。例如,所述计算装置可以被配置使得可以仅访问或修改一次所述电桥的内容(逻辑、证书和密钥等)。选用地,由计算装置的制造商或分发商安装的证书不能在所述电桥之外被改变或读取。如此一来,在所述计算装置上的恶意软件不能破坏所述电桥的功能。
[0008]所述信任的数据中继器被配置为解密和/或鉴别接收的输入数据。该处理用于保证输入数据来自所述计算装置并且还没有在所述计算装置上被破坏。所述解密和/或鉴别的数据然后被转发到第三方目的地,诸如在线商店或金融机构。所述信任的数据中继器被配置为存储用于多个计算装置和帐户的解密密钥、验证密钥、计算装置标识符和用户帐户信息等。对于每一个计算装置,可以有被批准被那个装置访问的几个帐户。
[0009]本发明的各个实施例包括计算系统,所述计算系统包括:输入设备,其被配置为从用户接收输入;显示器,其被配置为显示所述输入;总线,其被配置为向所述显示器传送所述输入;处理单元,其被配置为处理经由所述总线接收的数据和命令;输入捕获模块,其与所述计算系统的较不安全的部分隔离,所述隔离被配置为防止从所述输入捕获模块外部接收的计算指令对于所述输入捕获模块的破坏,所述输入捕获模块包括:存储设备,其被配置为存储加密密钥或证书,使得不能从所述输入捕获模块外部读取所述加密密钥或证书,数据输入,其被配置为接收源自所述输入设备的数据,所述输入模块选用地被布置在所述输入设备和所述计算系统的所述较不安全的部分之间,使得在所述输入设备处的输入在被所述较不安全部分接收之前通过所述捕获模块,以及,逻辑,其被配置为加密或认证源自所述输入设备的所述数据,所述加密或认证使用所述加密密钥或证书,并且发生在所述输入捕获模块内;以及,通信逻辑,其被配置为向通信网络传送所述逻辑的输出。
[0010]本发明的各个实施例包括一种计算系统,其包括:输入设备,其被配置为从用户接收输入;显示器,其被配置为显示所述输入;处理单元,其被配置为处理从所述用户接收的命令;输入捕获模块,其与所述计算系统的较不安全的部分隔离,所述隔离被配置为防止来自所述输入捕获模块外部的计算指令对于所述输入捕获模块的破坏,所述输入捕获模块包括:存储设备,其被配置为存储多个加密密钥和/或证书,用于从所述计算系统的所述较不安全的部分捕获数据的部件,标记输入,其被配置为从所述多个加密密钥和/或证书选择,以及,逻辑,其被配置为加密或认证所述捕获的数据,所述加密或认证使用所述选择的加密密钥或证书,并且发生在所述输入捕获模块内;以及,通信逻辑,其被配置为向通信网络传送所述加密或认证的数据。
[0011]本发明的各个实施例包括端点系统,其包括:输入设备,其被配置为从用户接收输入,并且包括输入缓冲器,所述输入缓冲器被配置为存储所述接收的输入;处理器,其被配置为经由所述输入设备来接收输入,并且在所述端点系统上执行软件应用;总线,其被配置为向所述处理器可访问的存储设备传送来自所述输入缓冲器的所述输入;以及,嗅探器,其被配置为当所述输入在所述总线上从所述输入缓冲器被传送时检测所述输入,由所述嗅探器检测到的所述输入在所述检测之前不能被所述处理器改变。
[0012]本发明的各个实施例包括端点系统,其包括:输入设备,其被配置为从用户接收输入,并且包括输入缓冲器,所述输入缓冲器被配置为存储所述接收的输入;处理器,其被配置为经由所述输入设备来接收用户输入;总线,其被配置为向所述处理器可访问的存储设备传送来自所述输入缓冲器的所述输入;以及,捕获模块,其被配置为检测所述输入,使得保证所述检测的输入是从所述用户接收的所述输入的真实拷贝。
[0013]本发明的各个实施例包括计算系统,其包括:输入设备,其被配置为从用户接收输入;显示器,其被配置为显示来自所述用户的所述输入;总线,其被配置为向所述显示器传送所述输入;处理单元,其被配置为处理经由所述总线接收的数据和命令;输入捕获模块,其与所述计算系统的较不安全的部分隔离,所述隔离被配置为防止从所述输入捕获模块外部接收的计算指令对于所述输入捕获模块的破坏,所述输入捕获模块包括:存储设备,其被配置为存储加密密钥或证书,嗅探器,其被配置为为了源自来自所述用户的所述输入的输入数据嗅探所述总线,以及,逻辑,其被配置为加密或认证所述输入数据,所述加密或认证发生在所述输入捕获模块内;以及,通信逻辑,其被配置为向通信网络传送所述输入捕获模块的输出。
[0014]本发明的各个实施例包括计算系统,其包括:输入设备,其被配置为从用户接收输入;显示器,其被配置为显示来自所述用户的所述输入;总线,其被配置为向所述显示器传送所述输入;处理单元,其被配置为处理所述输入;输入捕获模块,其与所述计算系统的较不安全的部分隔离,所述隔离被配置为防止从所述输入捕获模块外部接收的计算指令对于所述输入捕获模块的破坏,所述输入捕获模块包括:存储设备,其被配置为存储加密密钥或证书,嗅探器,其被配置为为了视频数据嗅探所述总线,字符识别逻辑,其被配置为标识在所述视频数据内的输入数据,所述输入数据源自来自所述用户的所述输入,以及,逻辑,其被配置为加密或认证所由所述字符识别逻辑标识的所述输入数据;以及,通信逻辑,其被配置为向通信网络传送所述逻辑的输出。
[0015]本发明的各个实施例包括端点系统,其包括:输入设备,其被配置为从用户接收输入,并且包括输入缓冲器,所述输入缓冲器被配置为存储所述接收的输入;处理器,其被配置为经由所述输入设备来接收输入;总线,其被配置为向所述处理器可访问的存储设备传送来自所述输入缓冲器的所述输入;以及,嗅探器,其被配置为当所述输入在所述总线上从所述输入缓冲器被传送向所述存储设备时检测所述输入,所述检测在由所述处理器修改所述输入之前发生。
[0016]本发明的各个实施例包括安全通信系统,包括:输入端,其被配置为从端点系统接收至少部分地加密的数据,所述至少部分地加密的数据包括所述端点系统的标识符;密钥存储设备,其包括与装置标识符相关联地存储的解密密钥;解密/鉴别逻辑,其被配置为使用从所述密钥存储设备检索到的解密密钥来将所述至少部分地加密的数据解密为解密的输出,所述检索使用所述端点系统的所述标识符;远程服务连接器,其被配置为向远程计算系统转发所述解密的输入,并且从所述远程计算系统接收通信,所述接收的通信响应于所述转发的解密的输出;以及,端点连接器,其被配置为向所述端点系统的较不安全的部分转发从所述远程计算系统接收的通信。
[0017]本发明的各个实施例包括安全通信系统,包括:第一 1/0,其被配置为从计算系统的安全部分接收至少部分地加密或至少部分地认证的数据,所述至少部分地加密或认证的数据包括所述计算装置的标识符,并且包括对于所述计算系统的用户输入;存储设备,其包括与装置标识符相关联地存储的解密密钥或证书数据;加密/鉴别逻辑,其被配置为使用从所述存储设备检索的解密密钥或证书数据来解密或鉴别所述至少部分地加密或认证的数据,所述检索使用所述计算系统的所述标识符;以及,第二 1/0,其被配置为向远程计算系统转发所述解密的输入。
[0018]本发明的各个实施例包括传送安全数据的方法,所述方法包括:在显示装置上显示视频图像;检测在所述视频图像内的表单,所述表单包括一个或多个数据键入字段;标识具有当前焦点的所述一个或多个数据键入字段的成员;收集用于表征所述一个或多个数据键入字段的所述标识的成员的元数据;嗅探总线以捕获在所述一个或多个数据键入字段的所述标识的成员中键入的数据;加密所述捕获的数据或将所述捕获的数据数字签名;在数据分组中插入所述加密或签名的数据;并且,经由通信网络向远程装置发送所述加密或签名的数据。
[0019]本发明的各个实施例包括转发安全数据的方法,所述方法包括:从端点系统接收数据分组;标识所述数据分组的来源;基于所述来源的身份来检索解密密钥或证书数据;解密或鉴别所述数据分组的内容;基于所述来源的身份来标识帐户;标识所述内容的目的地;并且,基于所述帐户的状态来向所述目的地转发所述内容。
[0020]本发明的各个实施例包括计算系统,包括:安全输入设备,其包括输入设备,所述输入设备被配置为数字化来自用户的输入,所述安全输入设备进一步包括:安全密钥存储设备,其被配置为存储加密密钥;以及,加密逻辑,其被配置为使用所述加密密钥来加密所述数字化的输入;所述计算系统的较不安全的部分,所述较不安全的部分被配置为接收所述加密的输入,并且向TDR服务器传送所述加密的输入,所述较不安全的部分被配置为作为对于从所述TDR服务器接收的通信的端点;以及,通信电路,其被配置为向所述较不安全的部分传送来自所述安全输入的所述加密的输入。
[0021]本发明的各个实施例包括计算系统,其包括:安全输入设备,其包括输入设备,所述输入设备被配置为数字化来自用户的输入;安全密钥存储设备,其被配置为存储加密密钥;加密逻辑,其被配置为使用所述加密密钥来加密所述数字化的输入;以及,所述计算系统的较不安全的部分,所述较不安全的部分被配置为接收所述加密的输入,并且向TDR服务器传送所述加密的输入,并且所述较不安全的部分被配置为作为对于从所述TDR服务器接收的通信的端点,所述加密逻辑被布置于在所述安全输入设备和所述较不安全的部分之间的通信电路中。
【附图说明】
[0022]图1图示了根据本发明的各个实施例的安全通信系统。
[0023]图2图示了根据本发明的各个实施例的端点装置。
[0024]图3图示了根据本发明的各个实施例的示例性数据输入表单。
[0025]图4图示了根据本发明的各个实施例的信任的数据中继器。
[0026]图5图示了根据本发明的各个实施例的捕获模块的另外的细节。
[0027]图6图示了根据本发明的各个实施例的传送安全数据的方法。
[0028]图7图示了根据本发明的各个实施例的接收和转发安全数据的方法。
【具体实施方式】
[0029]可以使用本发明的系统和方法,例如来保护在计算装置和基于因特网的服务之间的交互。该交互可以包括金融交易,诸如访问银行帐户、进行购买或出价。所述交互也可以包括访问保密信息,诸如医疗数据、基于网络的电子邮件、社交网络帐户等。不仅保护交互,而且在一些实施例中,用户的计算装置的鉴别用于补充和/或替代登录步骤。
[0030]图1图示根据本发明的各个实施例的安全通信系统100。安全通信系统100包括端点装置105、网络110、信任的数据中继器(TDR) 120和服务器130。端点装置105是计算装置或系统,其被配置为作为在网络通信中的数据分组的最终目的地和初始来源运行。端点装置105可以是移动装置、智能电话、平板计算机、膝上型计算机和/或台式计算机等。网络110是计算机网络,诸如因特网,通过其使用诸如MAC或IP地址之类的目的地地址传送数据分组。在此所述的系统可以包括在单个外壳内的装置,或者替代地,可以包括在构成系统的不同壳体中的多个连接部分。例如,端点装置105的组件可以全部被包括在具有单个外壳(例如,机箱)的蜂窝电话或平板计算机中。
[0031]端点装置105至少包括输入设备140、捕获模块160和在此称为装置的剩余部分(RoD) 150的那个设备。输入设备140包括物理设备,其被配置为向端点装置100提供输入。例如,输入设备140可以包 括键盘、指向装置(鼠标、触摸板等)、摄像机、生物计量装置(指纹或眼扫描仪等)、全球定位系统、本地定位系统、触摸屏、语音至文本逻辑、测量装置和/或类似物。在一些实施例中,输入设备140包括音频输入和语音至文本逻辑。RoD 150、输入设备140和/或捕获模块160被选用地布置在同一外壳内。
[0032]捕获模块160被配置为检测使用输入设备140产生的输入。在一些实施例中,在输入设备140和RoD 150之间布置捕获模块160。例如,捕获模块160可以是在键盘和计算机之间布置的电子狗。在这个示例中,在键盘出键入的所有键击在被RoD 150接收到之前通过捕获模块160。捕获模块160可以通过阻止从RoD 150向键盘的通信来防止恶意软件到达在键盘内的逻辑。捕获模块160可以被称为电桥。
[0033]在一些实施例中,不在输入设备140和RoD 150之间布置捕获模块160。而是,捕获模块160被配置为监控在端点装置105内的通信。如在此处和其他地方进一步所述,这些通信可以在输入设备140和RoD 150之间和/或在RoD 150的各个部分之间。例如,在一些实施例中,捕获模块160被配置为嗅探在端点装置105内的(数据)总线。如在此使用,术语嗅探总线表示包括为了在该总线内传送的数据而监控数据总线,该数据去往不是嗅探器的元件。通常,嗅探是单向通信。所嗅探的总线可以是主要系统总线和/或视频总线等。
[0034]RoD (装置的其余部分)150表示包括除了捕获模块160和输入设备140之外的端点装置105的那些部分。如在此处和其他地方所述,RoD 150可以包括多种组件,诸如微处理器、总线和显示器。RoD 150是计算装置相对于捕获模块160的较不安全的部分。
[0035]TDR 120包括一个或多个服务器,其被配置为从端点装置105接收数据分组。如在此处和其他地方进一步所述,TDR 120被配置为解密和/或认证在数据分组内的用户输入,并且将该用户输入转发到最终目的地,诸如服务器130。TDR 120也选用地被配置为从服务器130接收响应,并且向端点装置105传送这些响应。在一些实施例中,从端点装置105接收到的数据分组被从端点装置105直接地经由网络110传送到TDR 120。在一些实施例中,该数据分组被从RoD 150传送到服务器130,其中,它们被TDR 120识别为要求通过解密和/或验证。在这些实施例中,服务器130向TDR 120转发数据分组,其中,它们被解密和/或验证并且然后被返回到服务器130。该方法不要求从端点装置105直接地向TDR 120的传送。
[0036]服务器130是被配置为提供服务的一个或多个计算装置。例如,服务器130可以是私有企业网络、金融机构、拍卖网站的服务器、医疗数据服务器、电子邮件服务器、视频或音频流化器、社交网络网站等。服务器130选用地被与TDR 120不同的实体管理。服务器130选用地包括网守,其被配置为控制对于被保护网络的接入。在一些实施例中,服务器130被配置为经由TDR 120与端点装置105进行通信,以用于安全策略的鉴别和管理的目的。在安全策略服务器130的满意后,服务器130可以然后允许从端点装置105向由服务器130保护的网络的直接接入。可以通过设置接入控制列表、分配VLAN等来允许接入。其中可以采用该方法的实施例包括例如:登录到被配置来流化文件、音乐或视频的服务器130内;或者,登录到被配置为设置语音或视频呼叫的服务器130内。
[0037]在一些实施例中,服务器130被配置为以它处理从TDR 120接收到的用户输入相同的方式来处理从其他外部客户端接收到的用户输入。然而,在其他实施例中,服务器130被配置为如果经由TDR 120接入服务器130相对于如果从某个其他客户端接入服务器130,则允许更大的接入特权。例如,可能要求经由TDR 120的接入来传送资金。
[0038]TDR 120和服务器130可以通过网络110和/或经由专用通信信道(如所示)来进行通信。通常,TDR 120被配置为与大量的端点装置105和/或服务器130进行通信。TDR120可以包括多个分布式计算装置。
[0039]图2图示根据本发明的各个实施例的端点装置105的示例。如图2中所示,RoD150包括总线210和处理器240。在典型实施例中,总线210是并行或串行数据总线,并且处理器240是电子微处理器。使用用于执行特定功能的计算指令构造或编程处理器240。处理器240被配置为处理经由总线210接收的数据和命令。总线210可以是通用系统总线和/或一般用于传送视频数据的总线等。如在此使用,术语视频数据意味着包括静态图像数据以及视频。
[0040]RoD 150进一步包括I/O 220,其包括通信逻辑,该通信逻辑被配置为例如经由网络110与外部装置进行通信。I/O 220可以包括无线发射器、以太网连接、调制解调器、路由器等。I/O 220可以进一步包括逻辑,该逻辑被配置为将数据置于数据分组中,向数据分组添加因特网协议地址并且/或者使用标准因特网协议来加密数据分组。I/O 220典型包括数据缓冲器,其被配置为促进通过网络110的数据的发送和接收。
[0041]RoD 150进一步包括应用存储设备215,其具有被配置为存储一个或多个计算机应用的非暂时存储器。例如,应用存储设备215可以包括:浏览器应用,其被配置为浏览因特网;社交网络应用,其被配置为接入社交网络网站;媒体应用,其被配置为接收视频或音频流;电子邮件应用,其被配置为访问电子邮件;被配置为访问诸如拍卖行或金融机构的网站之类的特定网站的应用;等等。应用存储设备215可以包括解密和/或加密逻辑。在一些实施例中,应用存储设备2包括被配置为作为端点装置150的操作系统、被配置为在数据键入字段中自动填写文本和/或被配置为校正拼写的应用。典型地,处理器240被配置为执行一个或者多个应用。
[0042]RoD 150包括显示器235,其被配置为向端点装置105的用户呈现图像。显示器235例如可以是平板计算机或智能电话的触摸屏显示器。显示器235可以耦接到被配置为产生用于在屏幕上呈现的视频数据的微处理器和存储器(未示出)。在一些实施例中,显示器235与例如在触摸屏中的输入设备140紧密相关联。显示器235被配置为呈现由在应用存储设备215中存储的应用产生的图像。这些图像可以包括字符和数据键入字段,在该数据键入字段中,用户可以键入用于向相关联的服务器130传送的信息。例如,与特定银行相关联的应用可以向用户呈现被配置用于用户键入帐户登录信息的表单,或者与在线商店相关联的应用可以呈现被配置用于用户键入运输和信用卡信息的表单。这样的表单包括数据键入字段。
[0043]RoD 150选用地进一步包括标记控件225,其被配置为提供二进制数据值(标记),用于控制捕获模块160。标记控件225包括被配置为执行特定功能的电子数据输入。这些功能例如包括复位、改变密钥、改变证书、破坏证书、破坏密钥、禁用捕获和/或提供新的焦点、新屏幕或表单提交的通知。复位标记重新启动捕获模块160以将其返回到初始状态。复位标记可以用于从错误恢复或作为复位端点装置105的全部的一部分。一个或多个改变密钥标记可以用于在不同的加密密钥之间交替或永久地从一个密钥向另一个切换。例如,端点装置105的一个实例可以用于用户的个人安全性(社交网络和金融等)并且也用于访问安全公司或政府服务。这两种不同的安全性水平可以使用不同的加密密钥(和选用的不同TDR 120) ο类似地,可以使用一个或多个改变证书标记来在不同的认证证书之间交替或从一个证书向另一个永久地切换。破坏密钥或证书标记分别用于永久地擦除加密密钥和/或证书。在一些实施例中,可以仅通过下述方式将新的密钥写入到捕获模块160:将端点装置105返回到批准的供应商或工厂(例如,通过拆卸端点装置105)。在一些实施例中,通过擦除加密密钥来永久地禁用捕获模块160。禁用标记用于暂时禁用捕获模块160的一个或多个功能。通常,如此进行将降低ROD 150的功能性。例如,可以以硬件配置I/O 220以要求禁用标记关闭,以便I/O 220向外部装置发送数据和/或从外部装置接收数据。选用地,从该限制免除呼叫数据。新的焦点、新的屏幕或提交标记用于指示所聚焦的改变已经在显示器235上出现、在显示器235上的屏幕已经被刷新、已经提交了表单、或者已经在显示器235上粘贴了新的表单。
[0044]RoD 150选用地进一步包括解密密钥存储设备230,其被配置为存储被配置用于解密从TDR 120接收的数据的解密密钥。例如,在一些实施例中,TDR 120被配置用于加密和转发来自服务器130的响应。在一些实施例中,RoD 150被配置来使用标准加密协议,诸如SSL或TLS (传输层安全性)。RoD 150可以被配置为从TDR 120下载公共密钥以用在与TDR 120的安全会话中。该公共密钥被下载到RoD 150,并且因此不提供在捕获模块160中安全地存储的专用密钥的所有益处。
[0045]RoD 150通常进一步包括存储设备280,其包括被配置为存储与在应用存储设备215中存储的应用相关联的数据。该数据可以包括视频数据、表单数据(例如,作为数据键入表单的一部分的元数据)、帐户信息、安全性证书、因特网协议地址等。例如,存储设备280可以包括与TDR 120和/或各个服务器130相关联的固定IP地址或域名。存储设备280被选用地配置来存储端点装置105的序号或其他唯一标识符。存储设备280被选用地配置为存储经由输入设备140接收的用户输入的未加密的拷贝。
[0046]RoD 150选用地进一步包括替代逻辑285,其被配置为将未加密的输入数据替换为由捕获模块160产生的输入数据的加密和/或认证的拷贝。该替代在从端点装置105发送输入数据之前发生。替代逻辑也可以被配置为将加密和/或认证的元数据替代为未加密的元数据,并且将服务器130的IP地址替代为TDR 120的IP地址或域名。替代逻辑285被配置为标识去往服务器130的数据,并且在那个数据中进行替代。在一些实施例中,当将数据正置于用于通过I/O 220进行通信的分组中时,替代发生。
[0047]捕获模块160包括安全密钥存储设备245,其被配置为存储一个或多个被保护的加密密钥和/或证书。在一些实施例中,保护加密密钥和/或证书,因为捕获模块160与RoD 150隔离,使得不能从捕获模块160外部——例如,从RoD 150一一读取安全密钥存储设备245的内容。可以通过避免在捕获模块160的电路中从安全密钥存储设备245到RoD150的读取数据路径来实现这一点。在一些实施例中,安全密钥存储设备245被进一步配置使得安全密钥存储设备245的内容一旦被写入就不能被改变。在一些实施例中,安全密钥存储设备245包括时钟和作为时间的函数改变的密钥。在一些实施例中,安全密钥存储设备245包括被配置为产生滚动加密密钥的值。在一些实施例中,捕获模块160包括时钟或随机数产生器,其被配置为基于在安全密钥存储设备245中存储的种子值来创建加密密钥。
[0048]捕获模块160经由嗅探器250和/或数据输入端255来接收输入数据。数据输入端255被配置为从输入设备140直接地接收输入数据,而例如该数据不在被捕获模块160接收之前通过RoD 150。数据输入端255典型用在这样的实施例中:在该实施例中,捕获模块160被物理地布置在输入设备140和RoD 150之间,使得来自输入设备140的所有的输入数据在被传送到RoD 150上之前通过捕获模块160。该架构将输入设备140与RoD 150隔开。
[0049]嗅探器250被配置为嗅探来自总线210的输入数据。被嗅探的输入数据例如可以包括从输入设备140向总线210和/或从I/O 220向总线210传送的数据。然而,被嗅探的输入数据也可以包括目的用于显示器235上的呈现的视频数据。这允许捕获模块160捕获由诸如拼写校正或字段自动完成逻辑的其他来源产生的输入数据。例如,在其中应用存储设备215包括通过校正拼写或完成数据字段而改变用户的输入的应用的实施例中,当在显示器235上显示数据时可以改变使用输入设备140键入的数据。具体地说,如果用户正在键入之前已经键入的名称或地址,则自动完成逻辑可以在已经通过输入设备140提供了所有的击键之前完成键入。嗅探器250被选用地配置为捕获其中显示全名或地址的视频数据。嗅探器250也允许捕获由视频至文本转换逻辑产生的输入数据。
[0050]选用的字符识别逻辑260被配置为检查由嗅探器250捕获的视频数据,并且标识由用户键入和/或通过拼写检查或自动完成逻辑插入的字符。该标识过程可以包括具有当前焦点的字段的检测,以观察在那个字段中键入的数据,并且检测当前焦点何时改变。一旦当前的焦点改变,就可以完成对于那个字段的字符识别。因此,捕获模块160捕获通过拼写检查、自动完成或类似逻辑提供的文本。字符识别逻辑260也可以识别从I/O 220接收的数据,诸如表单标题、证书、元数据等。在完成字段的子集后或在整个表单准备好提交后,每次将焦点从一个字段改变为另一个时,可以应用字符识别逻辑260。如在此处和其他地方所述,标记被选用地用于向捕获模块160指示在焦点或表单提交上的改变。在替代实施例中,在TDR 120上布置字符识别逻辑260,并且将所捕获的视频数据传送到TDR 120以用于字符的标识。
[0051]在一些实施例中,字符识别逻辑260被配置为标识在特定屏幕坐标的位置处的物体。这些位置可以是鼠标点击或在触摸屏上的 触摸的位置。例如,如果用户正在触摸在智能电话或平板计算机上的虚拟键盘,则字符识别逻辑260被配置为标识在这个位置处的键盘字符。另外,字符识别逻辑260可以被配置为识别其他物体,诸如用于指示下一个屏幕的右箭头、拇指向上或拇指向下符号、用于保存的软盘符号和/或可以被用作图形用户界面的一部分的任何其他计算机图标。
[0052]在这些实施例中,嗅探器250可以从总线210嗅探输入设备140的输出和向显示器235提供的视频数据。所嗅探的数据被提供到字符识别逻辑260,其中,进行在从输入设备140接收的屏幕位置和在显示器235上示出的图形之间的相互关系。通过字符识别逻辑260来标识可以是字符或某个其他符号的、与位置相关的图形对象。该图形对象可以本身被看作用户输入,或者该图形输入可以被转换为输入对象,并且该输入对象被看作用户输入。例如,该图形对象可以被转换为字符代码、命令和/或字符组合/序列等。在一个示例性实施例中,将保存图标转换为Cntl-S字符组合,将新的图标转换为Cntl-N字符组合,将粘贴图标转换为Cntl-V字符组合等。如此一来,可以将任何图形表示转换为有意义的用户输入。
[0053]在一些实施例中,嗅探器250被配置为嗅探在I/O 220处接收的数据。例如,嗅探器250可以嗅探从外部网络服务器接收的表单信息。字符识别逻辑260可以然后被配置为识别在该表单内的证书、字段和/或元数据,并且鉴别经由I/O 220接收到所识别的字段和/或元数据。
[0054]由捕获模块160捕获的字符和其他输入被暂时存储在字符存储设备265中。字符存储设备265也被选用地配置为存储与表单和表单字段相关联的数据,并且与所捕获的输入数据相关联地存储该数据。例如,包括用于地址的数据字段的表单可以具有用于标注键入的地址的元数据。这样的标签被服务器130用于标识在哪个字段中键入了哪个输入数据,并且选用地是否经由1/0220接收到该字段。使用嗅探器250来捕获元数据。在替代实施例中,该元数据被存储在存储设备280中,并且被在应用存储设备215中包括的逻辑捕获。
[0055]捕获模块160选用地进一步包括装置ID存储设备270。ID存储设备270被配置为存储捕获模块160的唯一标识符。像安全密钥存储设备245那样,ID存储设备被选用地配置为不能从捕获模块160外部访问。ID存储设备可以被配置为不能从捕获模块160外部改变。
[0056]捕获模块160选用地进一步包括加密逻辑275,其被配置为使用在安全密钥存储设备245中存储的一个或多个加密密钥来加密由捕获模块160捕获的数据。加密逻辑275的输出选用地包括捕获模块160的唯一标识符的加密拷贝。加密逻辑的输出选用地包括在字符存储设备265中存储并且与捕获的字符相关联的元数据的加密拷贝。加密逻辑275被配置为使用本领域中已知的多种加密算法的任何一种来加密数据。
[0057]捕获模块160选用地进一步包括认证逻辑295,其被配置为认证由捕获模块160捕获的数据,例如以将捕获的数据数字化地签名。使用在捕获模块160内存储的证书来认证该数据。例如,该证书可以被存储在安全密钥存储设备245中。该认证的数据选用地包括捕获模块160的唯一标识符的认证拷贝。认证逻辑295的输出选用地包括在字符存储设备265中存储并且与捕获的字符相关联的元数据的认证拷贝。
[0058]捕获模块160包括加密逻辑275和认证逻辑295中的至少一个,并且选用地包括这两个。在一些实施例中,认证某个数据,并且加密某个数据。例如,可以在加密元数据的同时认证用户输入数据,或者反之亦然。可以加密和/或认证在ID存储设备270中存储的唯一标识符。
[0059]捕获模块160选用地进一步包括标记输入端290。标记输入端290被配置为检测标记控件225的状态,并且相应地适配捕获模块160的功能。例如,如果设置破坏密钥标记,则可以永久地破坏(例如,重写)当前的密钥。如果设置一个或多个改变密钥标记,则选择来自安全密钥存储设备245的几个替代密钥之一用于由加密逻辑275使用。破坏证书标记可以被配置为以与破坏密钥标记类似的方式来永久破坏证书。选择证书标记被选用地用于在来自安全密钥存储设备245的若干替代证书之一之间选择,用于由证书逻辑295使用。可替代地,捕获模块160可以被配置为基于检测在总线210上的图像或基于经由输入设备140接收到诸如密码或生物计量密钥的特定输入而从多个不同的密钥或证书中选择。
[0060]图3图示根据本发明的各个实施例的示例性数据输入表单300。这样的表单可以被在应用存储设备215中存储的应用产生,并且在显示器235上被显示。数据输入表单300包括多个字段310,每一个字段选用地被标签320表征。字段310也典型与未向用户显示的元数据相关联。该元数据用于标注在字段310的每一个中键入的字符,使得该数据当被服务器130接收到时可以被标识。例如,被配置用于键入街道地址的字段310的成员具有用于标识作为地址键入的字符的相关联的元数据。数据输入表单300也具有应用于整个表单的元数据。例如,数据输入表单300可以具有包括校验和或数字签名的元数据。该元数据可以被捕获模块160以类似于在此对于与字段310相关联的元数据描述的那些的方式来处理。
[0061 ] 在一些实施例中,与每一个字段相关联的元数据选用地与在各个字段中键入的字符一起被嗅探器250检测到,并且被加密逻辑275加密。在一些实施例中,从捕获模块160接收的键入字符的认证和/或解码的拷贝与其中键入字符的字段的元数据相关联地被存储在存储设备280中。字段310由自动完成逻辑选用地填充,并且/或者由拼写检查逻辑修改,如在此处和其他地方所述。例如,在一些实施例中,与帐单信息相关的地址数据字段由自动完成逻辑响应于用户指示帐单地址与运输地址相同(或反之亦然)而自动填充。
[0062]在一些实施例中,在字段中键入的字符被掩蔽,以便不被显示。例如参见在图3中的“信用卡号码:”字段。在这些实施例中,捕获模块160被选用地配置为当从输入设备140传送来自总线210的键入的字符时嗅探该键入的字符,或者直接地从输入设备140接收键入的字符。捕获模块160的操作选用地取决于在数据输入表单300中的哪个字段310具有当前的焦点。例如,如果该字段经受自动完成,则可以从视频数据捕获字符。如果该字段经由掩蔽,则可以当从输入设备140传送字符时捕获字符。
[0063]在一些实施例中,端点装置105包括被配置为向数据输入表单300内插入另外的元数据的应用。该元数据可以具有服务器安全功能(诸如建立表单的校验和),可以当焦点在字段310之间改变时帮助通知捕获模块160,可以通过标注特定数据来帮助嗅探器,并且/或者可以帮助捕获标签320。
[0064]当完成和提交数据输入表单300时,和/或当焦点从字段310之一向另一个移动时,可以从端点装置105向服务器130发送输入数据。例如,在字段310之一中的值可能影响另外的字段310的出现或不出现,并且/或者,数据输入表单300可以被配置为在整体完成和/或提交数据输入表单300 (例如,使用“下一个”按钮330)之前发送部分数据。与如何从端点装置105发送输入数据无关地,替代逻辑285被配置为将从捕获模块160接收的输入数据的加密和/或认证拷贝替代为输入数据的未加密/未认证的拷贝。如在此处和其他地方处所述,加密和/或认证的拷贝可以或可以不包括相关联的元数据。捕获模块160的元数据、输入数据和/或标识符可以以任何组合被加密和/或认证。例如,在一些实施例中,在认证输入数据的同时加密元数据和标识符。在一些实施例中,在认证元数据的同时加密输入数据和标识符。在一些实施例中,在认证元数据的同时加密用户输入和标识符。在一些实施例中,在认证用户输入的同时加密元数据,并且标识符是选用的。在一些实施例中,在认证元数据的同时加密唯一标识符和用户输入。可以加密和/或认证这些数据元素(用户输入、元数据和唯一标识符)的全部。
[0065]替代逻辑285选用地被进一步配置为将TDR 120的IP地址替换为服务器130的IP地址或域名,使得包括加密的输入数据的数据分组被发射到TDR 120而不是服务器130。选用地,在数据分组中的其他位置处保留选用的IP地址,使得TDR 120可以容易地标识数据分组的意欲的最终目的地。该功能是选用的,其中,TDR 120的IP地址默认地在数据分组中。
[0066]选用地,使用例如HTTS通信的SSL(安全套接字层)或SSH(安全外壳)协议来从端点装置105发送捕获模块160的输入数据、元数据和/或标识符。这些协议可以被I/O220实现,并且在输入数据元数据和标识符上构成第二加密层。例如,在一些实施例中,使加密逻辑275和SSL两者来加密标识符和/或元数据,而仅使用SSL来加密相关联的输入数据(选用地被鉴别)。在一些实施例中,将元数据和/或标识符加密两次,并且而使用SSL来加密输入数据。在一些实施例中,使用加密逻辑275和SSL (或SSH)两者来加密输入数据、唯一标识符和/或元数据的至少一部分。单次和双次加密的其他组合基于在此的教导是显然的。
[0067]图4图示根据本发明的各个实施例的TDR 120。TDR 120被配置为从端点装置105接收加密和/或认证的数据。典型地,I/O 410经由网络110来接收加密和/或认证的数据。I/O 410包括被配置来经由通信网络进行通信的一个或多个装置。这些装置被配置为与多个不同的端点装置105和典型的多个不同的服务器130进行通信。例如,在一些实施例中,I/O 410包括被配置为与端点装置105进行通信的第一路由器和被配置为与服务器130进行通信的第二路由器。
[0068]TDR 120进一步包括解密/鉴别逻辑415和密钥存储设备420。解密/鉴别逻辑415被配置为使用在密钥存储设备420中存储的解密密钥和/或证书验证信息来解密和/或鉴别从端点装置105接收的数据。证书验证信息可以例如包括与所使用的证书相关联的公共密钥和/或对称密钥等。选用地,使用证书来在端点装置105和TDR 120之间的通信会话中建立一对对称密钥。作为那个通信会话的一部分的另外的通信可以利用这些对称密钥。在此使用的术语“证书验证信息”用于一般地指代可以用于验证数字签名的信息。该数字签名可以或可以不使用专用或第三方证书被产生。证书验证信息的一个示例是用于验证数字签名的公共或专用密钥。
[0069]在一些实施例中,通过下述方式来在密钥存储设备420内标识适当的解密密钥:标识加密的数据的来源,例如,标识端点装置105。可以以多种不同方式来实现该标识。在一些实施例中,MAC (媒体访问控制)地址、唯一标识符和/或序号用于在密钥存储设备420中查找适当的密钥。在一些实施例中,使用捕获模块160的唯一标识符或数字签名来标识解密密钥。例如,如果由加密逻辑275加密元数据,并且使用认证逻辑295 (以及选用的也加密的SSL)来认证输入数据和标识符,则与该认证相关联的标识符或数字签名可以用于查找用于解密元数据所需的解密密钥。
[0070]装置数据存储设备430被选用地配置为存储捕获模块160的唯一标识符、证书验证信息、MAC地址、IP地址和/或其他标识符。在装置数据存储设备430中存储的信息选用地包括被配置用于所接收的输入数据的鉴别的关联性。例如,装置数据存储设备430可以包括被配置为存储捕获模块160的证书验证信息、序号、唯一标识符和/或I/O 220的MAC地址的相关联的数据记录。可以通过确认数字签名、序号、唯一标识符和/或MAC地址匹配来鉴别所接收的输入数据和/或元数据。在一些实施例中,鉴别是固有,因为仅可以使用正确的解密密钥来成功地解密使用加密逻辑275加密的数据。
[0071]除了查找解密密钥之外,还可以使用上面的信息的任何一个来查找与端点装置105相关联的帐户信息。该帐户信息被存储在帐户数据存储设备425中。帐户数据存储设备425被配置为例如通过适当的数据结构来存储帐户信息。安全通信系统100可以通过保护和鉴别端点装置105来提供安全性,而不使用用户的个人信息。这可以是优点。然而,在替代实施例中,该帐户信息可以包括端点装置105的用户的注册姓名、银行帐户信息、信用卡信息、帐户状态、经由TDR 120授权对于其的访问的服务器130的身份、对于帐户的管理权限、用于访问在服务器130上的用户帐户的密码和登录信息等。包括在帐户数据存储设备425内的用户表示信息是选用的。在一些实施例中,存储的帐户信息包括由服务器130的管理者(例如,金融机构)提供的密码和登录信息。与密码和登录信息相关联的帐户拥有者的身份仅需要被该金融机构了解。通过鉴别端点装置105并且不必然要求用户提供密码和登录信息(以鉴别用户),可以大大地增强隐私保护。
[0072]在帐户数据存储设备425中存储的帐户状态选用地用于控制端点装置105的功能性。例如,如果端点装置105被盗,则该情况可以被报告和存储在帐户数据存储设备425中,并且作为结果,可以阻止经由TDR 120对于授权的服务器130的访问。该方法可以用于控制涉及网络通信的端点装置105的任何功能,该网络通信包括但是不限于文本传送、建立语音通信、电子邮件访问、对于特定网站的访问、金融交易等。该功能性的控制通过仅改变在帐户数据存储设备425中存储的帐户状态而可逆。
[0073]对于每个端点装置105,可以授权对于一个或多个服务器130的访问。例如,端点装置105可以与eBay, com帐户、银行帐户、电子邮件帐户、流音乐帐户和Facebook帐 户相关联。这些帐户中的每一个可以被服务器130的不同的独立实例服务。对于访问帐户的授权可以包括:向TDR 120提供服务器130的登录信息和IP地址,并且将这个数据与端点装置105和/或捕获模块160的标识符相关联地存储在帐户数据存储设备425中。该信息选用地被服务器130的管理者提供。例如,用户可以将包括捕获模块160的蜂窝电话带入银行内,并且要求银行授权经由蜂窝电话对于银行帐户的访问。该银行可以从该电话获得标识符(捕获模块160的标识符、证书等),并且然后向TDR 120提供用于该电话的标识符和授权信息,该授权信息包括登录标识符并且选用地包括密码。在TDR 120处,与电话的标识符相关联地存储所提供的信息。服务器130然后被选用地设置来仅当请求包括授权信息时允许从TDR 120访问用户的帐户。TDR 120不需要存储用户的个人信息,因为授权信息可以对于除了银行的任何人是匿名的。在一些实施例中,根据是否从授权的端点装置105请求访问来授权对于用户帐户的不同水平的访问。即使在一些实施例中TDR 120存储帐户密码,用户也可以或可以不被要求在端点装置105上输入另外的选用的不同密码以访问帐户。对于一些服务器130的访问可能要求用户提供正确的密码并且从使用在此所述的系统和方法鉴别的端点装置105提供密码。
[0074]TDR 120进一步包括转发逻辑435,其被配置为转发从端点装置105接收的输入和元数据的、已经被认证的解密的拷贝和/或拷贝。该转发数据被转发到服务器130的正确的实例,如在帐户数据存储设备425中所标识。在一些实施例中,转发逻辑435被配置为在转发之前查看服务器130的帐户状态和/或授权。在一些实施例中,自动转发数据(输入和元数据),但是所转发的数据无意义,除非解密/鉴别逻辑415使用适当的解密密钥或认证。I/O 410典型用于将转发的数据置于适当的数据分组中。
[0075]TDR 120典型进一步包括加密逻辑440,其被配置为加密从TDR 120向服务器130发送的数据分组。在一些实施例中,加密逻辑440被配置为根据SSL或SSH协议来执行加密。服务器130可以被配置为对于某些用户帐户和/或表单仅接受由TDR 120转发的输入数据。
[0076]TDR进一步包括处理器445,其被配置为执行解密/鉴别逻辑415和/或转发逻辑435。在一些实施例中,处理器445是被配置用于由解密/鉴别逻辑415和/或转发逻辑435的特定目的的电子微处理器。
[0077]TDR 120选用地进一步包括审计日志存储设备450,其被配置为存储数据交易的审计。该审计可以包括交易的记录、从其接收到数据的端点装置105和/或向其发送数据的服务器130等。
[0078]在一些实施例中,TDR 120被配置为接收对于向服务器130转发的数据的响应。该响应在转发到端点装置105之前可以使用解密/鉴别逻辑415被解密和/或使用加密逻辑440被加密。该响应可以包括被配置为接收用户输入的另外的表单。
[0079]图5图示捕获模块160的另外的细节。用户输入设备140和显示器235分别包括输入缓冲器510和显示缓冲器520。输入缓冲器510是被配置为从端点装置105的用户接收和存储输入的存储设备,该输入被输入设备140转换。例如,在其中输入设备140包括键盘的实施例中,输入缓冲器510选用地位于该键盘,并且被配置为存储数字键代码。输入缓冲器510是存储输入数据的第一位置,在其处,在输入数据在输入设备140内被转换后,通过总线210可访问输入数据。在包括触摸屏的实施例中,输入缓冲器510可以被配置为存储一个或多个触摸位置。I/O 220被选用地配置为包括具有类似特性的缓冲器。
[0080]总线210被配置为向例如存储设备280的处理器240可访问的存储设备传送来自输入缓冲器510的输入。如此一来,处理器240可以经由输入设备140接收用户输入。
[0081]嗅探器250被选用地配置为以下述方式来检测用户输入:保证所检测的输入不由在输入设备外部运行的逻辑(例如由恶意软件)破坏。例如,嗅探器250可以当用户输入正被从不能被在处理器240上执行的操作系统或其他逻辑改变的输入设备的一部分传送时访问该用户输入。或者,嗅探器250可以在该用户输入可以由在处理器240上执行的操作系统或其他逻辑改变之前访问用户输入。在一些实施例中,输入设备的该部分是输入缓冲器510。如此一来,检测在用户输入能够访问处理器240和/或在用户输入设备140外部的其他元件访问或能够被其修改之前发生。由嗅探器250检测的输入在检测之前不能被处理器240改变。在检测后,该输入在捕获模块160的被保护部分中。因此,保证输入通过其被加密或认证的时间的完整性。被嗅探器250检测的输入的加密或数字签名的拷贝被保证是从用户接收的输入的真实拷贝。因为嗅探器250的输出在捕获模块160的被保护区域中,所以在RoD 150上的任何恶意软件不能在加密或认证之前破坏输入。
[0082]显示缓冲器520是被配置为接收视频数据并且向显示屏幕提供该视频数据的存储设备,在该显示屏幕处,该视频数据可以被用户观察到。显示缓冲器520是其在显示屏幕上被呈现之前可以经由总线210访问的最后存储设备。典型地,在显示缓冲器520和显示屏幕之间,视频数据仅被准备(例如,置于正确的构造中,并且给出正确的定时)用于显示。嗅探器250被选用地配置来以下述方式来检测视频数据:保证该检测的视频数据是实际上向用户呈现的。例如,嗅探器250可以被配置为检测经由总线210向显示缓冲器520的所有通信,使得捕获模块160可以检测被保证与在显示屏幕上向用户呈现者相同的视频数据的拷贝。可以在下述点处检测视频数据(在视频数据向视频显示器的传送中),在该点之后,该视频数据不再能够被处理器240修改。可以在下述点处检测视频数据(在视频数据向视频显示器的传送中),在该点处,可由嗅探器250检测到由在处理器240上执行的操作系统或其他逻辑对于视频数据的任何改变。
[0083]在一些实施例中,端点装置105不包括显示缓冲器520。例如,在较不复杂的移动装置中,在由处理器240执行的操作系统和其他逻辑以及显示器235的屏幕之间没有中间缓冲器。在这些装置中,操作系统可以负责以固定的刷新率(例如,60Hz)向屏幕连续地传送视频数据。在这些情况下,嗅探器250被选用地配置为嗅探总线210,其中,视频数据例如在处理器240和屏幕之间被传送到屏幕。
[0084]图6图示根据本发明的各个实施例的传送安全数据的方法。这些方法在端点装置105上被选用地执行,并且导致加密和/或认证的数据被发送到TDR 120。
[0085]在显示表单步骤610中,在端点装置105的显示器235上显示被配置用于用户输入的表单。数据输入表单300是这样的表单的示例。该显示的表单可以来自在端点装置105上运行的应用,或者可以是在浏览器中显示的网页的一部分。
[0086]在检测表单步骤615中,由捕获模块160检测到在显示器235上的表单的存在。这是通过应用向总线210提供通知(例如,通过设置在此处和其他地方处描述的标记)或通过捕获模块160嗅探在总线210上的数据来完成的。例如,捕获模块160可以被配置为检测向显示器235的新的显示页面。
[0087]在标识字段步骤620中,在显示的表单中标识一个或多个数据键入字段。该数据键入字段典型被配置用于键入诸如在图3中所示者的字符。然而,在替代实施例中,数据键入字段可以包括复选框、图标和/或虚拟键盘等。数据键入字段可以通过在显示器235上显示的它们的图像和/或通过与字段相关联的元数据标识。
[0088]在选用的收集元数据步骤625中,收集与被标识的数据字段相关联的元数据。使用嗅探器250来选用地收集该元数据。该元数据被存储在字符存储设备265中。
[0089]在嗅探总线步骤630中,使用嗅探器250为了输入数据嗅探总线210。可以为了来自输入设备140的用户输入数据和/或为了在显示器235上显示的输入数据嗅探总线210。在一些实施例中,在嗅探总线步骤630中,从输入设备140经由数据输入端255直接地接收用户输入。嗅探器250的使用是选用的。
[0090]在检测提交步骤635中,检测表单或其子集的提交。可以使用嗅探器250来完成该检测。表单的提交意味着将在表单中键入的数据提交以用于进一步的处理,诸如发送到服务器130。检测提交步骤635可以响应于改变焦点标记、新的屏幕标记和/或在此在其他地方所述的提交标记而发生。
[0091]在选用的提取数据步骤640中,从相关联的元数据提取在表单中键入的输入数据。例如,当不同地处理输入数据和元数据时,使用该步骤。提取数据步骤640也可以包括使用字符识别逻辑260来标识在显示器235上显示的图像内的输入数据。该提取的输入数据被存储在字符存储设备265中。
[0092]在选用签名数据步骤650中,使用认证逻辑295来认证——例如数字签名——在ID存储设备270中存储的捕获模块160的标识符、输入数据和/或相关联的元数据。可以使用在安全密钥存储设备245中存储的数字证书来完成该认证。
[0093]在选用加密步骤655中,使用加密逻辑275来加密在ID存储设备270中存储的捕获模块160的标识符、输入数据和/或相关联的元数据。输入数据和相关联的元数据是在上面的进行步骤中获得和选用地提取的那些。由图6所示的方法包括签名数据步骤650和加密步骤655的至少一个。如在此处和其他地方所述,选用地不同地处理输入数据和相关联的元数据。
[0094]在插入数据步骤660中,在签名数据步骤650中认证和/或在加密步骤655中加密的数据被插入到被编址到TDR 120的数据分组内。该插入选用地包括替换数据的未认证和/或未加密拷贝。该插入选用地进一步包括向数据分组添加TDR 120的例如IP地址的地址。可以从捕获模块160、RoD 150或端点装置105外部的位置内获得该地址。
[0095]在发送数据步骤665中,向TDR 120发送包括认证和/或加密的数据的数据分组。发送数据步骤665选用地包括使用诸如安全套接字层(SSL)加密的标准协议来将数据分组加密。该数据分组可以被发送到在网络上的固定IP地址、域名或固定位置。该目的地的地址被选用地存储在存储设备280中。
[0096]图7图示根据本发明的各个实施例的接收和转发安全数据的方法。使用TDR 120来选用地执行由图7图示的方法。这些方法可以跟随在图6所示的方法。
[0097]在接收分组步骤710中,从多个端点装置105之一接收数据分组。该数据分组典型经由网络110被接收,并且可以是所接收的几个相关的数据分组之一。
[0098]在选用解密分组步骤715中,使用诸如安全套接字层解密的标准协议来解密所接收的数据分组。在标识来源步骤720中,标识从其接收该数据分组的端点装置105。可以使用端点装置105的MAC地址和/或其他唯一标识符、使用捕获模块160的唯一标识符和/或使用在此所述的其他标识符的任何一个来完成这一点。
[0099]在选用的字节分组步骤725中,所接收的数据分组被发送到服务器,该服务器被配置为处理从在标识来源步骤720中标识的端点装置105接收的数据分组。例如,TDR 120可以包括多个分布式服务器,其每一个被配置为处理来自不同的组的端点装置105的数据。
[0100]在检索密钥步骤730中,使用端点装置105的标识符来从密钥存储设备420检索解密密钥。典型地,在检索密钥步骤730中使用的标识符是在标识来源步骤720中使用的相同的标识符。检索密钥步骤730除了检索解密密钥或替代检索解密密钥,选用地包括从密钥存储设备420检索证书验证信息。
[0101]在解密/鉴别数据步骤735中,使用在检索密钥步骤730中从密钥存储设备420检索的信息来解密和/或鉴别在接收分组步骤710中接收的数据分组。这以以各种组合来出现。例如,可以在鉴别输入数据的同时解密元数据,或者反之亦然。在一些实施例中,捕获模块160的标识符在解密/鉴别数据步骤735中被解密,并且然后在检索密钥步骤730的重复中被使用,以从密钥存储设备420检索证书验证信息。该证书确认数据然后用于鉴别在该数据分组(或相关联的数据分组)中接收到的其他信息。
[0102]在选用的重新加密数据步骤740中,使用加密逻辑440来重新加密在解密/鉴别数据步骤735中解密和/或鉴别的数据。可以使用SSL协议、专用和/或公共密钥来完成该加密。
[0103]在转发步骤750中,在解密/鉴别数据步骤735中解密和/或鉴别并且使用加密逻辑440重新加密的数据被转发到服务器130的实例。转发步骤750选用地包括从帐户数据存储设备425检索服务器130的实例的地址。转发步骤750选用地进一步包括查看在帐户数据存储设备425中存储的帐户状态和/或查看授权从其接收数据的端点装置105访问帐户或服务器130。在一些实施例中,转发步骤750包括从帐户数据存储设备425检索登录标识符和/或密码,并且将这个信息添加到转发的数据。在一些实施例中,不执行转发步骤750,除非经由在此教导的方法之一来成功地鉴别和/或解密所接收的数据。
[0104]在选用的接收响应步骤755中,从服务器130的实例接收对于转发的数据的响应。该数据在加密步骤760中被选用地加密。可以使用SSL协议、专用和/或公共密钥来完成该加密。结果产生的加密数据在选用的转发步骤766中被发送到端点装置105。
[0105]在此具体图示和/或描述几个实施例。然而,将明白,在不偏离所附权利要求的精神和意欲范围的情况下,可以通过上面的教导和在所附的权利要求的范围内覆盖修改和改变。例如,在作为示例讨论包括字符的输入的同时,本发明的实施例适用于非字符输入数据,诸如点击位置、复选框的点击、GPS数据、语音或视频数据、生物计量数据等。例如,在一些实施例中,在此公开的系统和方法用于保护在建立语音或视频呼叫中涉及的初始握手例程。在一些实施例中,在从端点装置105向TDR 120发送的分组中包括cookie数据,并且其被转发到服务器130。该cookie数据可以或可以不被捕获模块160加密。虽然在此讨论一些加密和数字签名技术,但是本领域内的普通技术人员可以明白,基于在此的教导,可以使用其他加密和数字签名技术。这些可以涉及公共和专用密钥、公共和专用证书、会话密钥、对称密钥等的任何组合。
[0106]在此讨论的实施例是用于说明本发明的。当参考图示描述本发明的这些实施例时,所述的方法和/或特定结构的各种修改或适配可以变得对于本领域的技术人员显然。依赖于本发明的教导并且通过其这些教导已经使技术进步的所有这样的修改、适配或变化被认为在本发明的精神和范围内。因此,不应当在限制的意义上考虑这些说明和附图,因为可以明白,本发明绝不仅限于所例示的实施例。
[0107]在此引用的计算系统可以包括集成电路、微处理器、个人计算机、服务器、分布式计算系统、通信装置、网络装置等及其各种组合。计算系统也可以包括非暂时易失性和/或非易失性存储器,诸如随机存取存储器(RAM)、动态随机存取存储器(DRAM)、静态随机存取存储器(SRAM)、磁介质、光介质、纳米介质、硬盘驱动器、致密盘、数字多功能盘(DVD)以及/或者被配置用于诸如在数据库中存储模拟或数字信息的其他装置。如上所述的逻辑的各个实例可以包括硬件、固件或存储在计算机可读介质上的软件或它们的组合。在此使用的计算机可读介质明确地包括纸张。在此所述的方法的计算机实现的步骤可以包括在计算机可读介质上存储的一组指令,其当被执行时使得计算系统执行步骤。被编程来根据来自程序软件的指令而执行特定功能的计算系统变为用于执行那些特定功能的专用计算系统。由专用计算系统在执行那些特定功能的同时操纵的数据至少被电保存在计算系统的缓冲器中,以利用对存储的数据的每个改变将专用计算系统从一个状态物理改变到下一个。
【主权项】
1.一种计算系统,包括: 输入设备,其被配置为从用户接收输入; 显示器,其被配置为显示所述输入; 总线,其被配置为向所述显示器传送所述输入; 处理单元,其被配置为处理经由所述总线接收到的数据和命令; 输入捕获模块,其与所述计算系统的较不安全的部分隔离,所述隔离被配置为防止从所述输入捕获模块外部接收到的计算指令对于所述输入捕获模块的破坏,所述输入捕获模块包括: 存储设备,其被配置为存储加密密钥或证书,使得不能从所述输入捕获模块外部读取所述加密密钥或证书, 数据输入端,其被配置为接收源自所述输入设备的数据,所述输入模块被布置在所述计算系统的所述输入设备和所述较不安全的部分之间,使得在所述输入设备处的输入在由所述较不安全部分接收之前通过所述捕获模块,以及 逻辑,其被配置为加密或认证源自所述输入设备的所述数据,所述加密或认证使用所述加密密钥或证书,并且发生在所述输入捕获模块内;以及通信逻辑,其被配置为向通信网络传送所述逻辑的输出。2.一种计算系统,包括: 输入设备,其被配置为从用户接收输入; 显示器,其被配置为显示所述输入; 处理单元,其被配置为处理从所述用户接收到的命令; 输入捕获模块,其与所述计算系统的较不安全的部分隔离,所述隔离被配置为防止来自所述输入捕获模块外部的计算指令对于所述输入捕获模块的破坏,所述输入捕获模块包括: 存储设备,其被配置为存储多个加密密钥和/或证书, 用于从所述计算系统的所述较不安全的部分捕获数据的部件, 标记输入端,其被配置为从所述多个加密密钥和/或证书选择,以及逻辑,其被配置为加密或认证所述捕获的数据,所述加密或认证使用所述选择的加密密钥或证书,并且发生在所述输入捕获模块内;以及 通信逻辑,其被配置为向通信网络传送所述加密或认证的数据。3.一种端点系统,包括: 输入设备,其被配置为从用户接收输入,并且包括输入缓冲器,所述输入缓冲器被配置为存储所述接收到的输入; 处理器,其被配置为经由所述输入设备来接收输入,并且在所述端点系统上执行软件应用; 总线,其被配置为向所述处理器可访问的存储设备传送来自所述输入缓冲器的所述输入;以及 嗅探器,其被配置为当所述输入在所述总线上从所述输入缓冲器被传送时检测所述输入,由所述嗅探器检测到的所述输入在所述检测之前不能由所述处理器改变。4.一种端点系统,包括: 输入设备,其被配置为从用户接收输入,并且包括输入缓冲器,所述输入缓冲器被配置为存储所述接收到的输入; 处理器,其被配置为经由所述输入设备来接收用户输入; 总线,其被配置为向所述处理器可访问的存储设备传送来自所述输入缓冲器的所述输入;以及 捕获模块,其被配置为检测所述输入,使得保证所述检测的输入是从所述用户接收到的所述输入的真实拷贝。5.一种计算系统,包括: 输入设备,其被配置为从用户接收输入; 显示器,其被配置为显示来自所述用户的所述输入; 总线,其被配置为向所述显示器传送所述输入; 处理单元,其被配置为处理经由所述总线接收到的数据和命令; 输入捕获模块,其与所述计算系统的较不安全的部分隔离,所述隔离被配置为防止从所述输入捕获模块外部接收到的计算指令对于所述输入捕获模块的破坏,所述输入捕获模块包括: 存储设备,其被配置为存储加密密钥或证书, 嗅探器,其被配置为为了源自来自所述用户的所述输入的输入数据嗅探所述总线,以及 逻辑,其被配置为加密或认证所述输入数据,所述加密或认证发生在所述输入捕获模块内;以及 通信逻辑,其被配置为向通信网络传送所述输入捕获模块的输出。6.一种计算系统,包括: 输入设备,其被配置为从用户接收输入; 显示器,其被配置为显示来自所述用户的所述输入; 总线,其被配置为向所述显示器传送所述输入; 处理单元,其被配置为处理所述输入; 输入捕获模块,其与所述计算系统的较不安全的部分隔离,所述隔离被配置为防止从所述输入捕获模块外部接收到的计算指令对于所述输入捕获模块的破坏,所述输入捕获模块包括: 存储设备,其被配置为存储加密密钥或证书, 嗅探器,其被配置为为了视频数据嗅探所述总线, 字符识别逻辑,其被配置为标识在所述视频数据内的输入数据,所述输入数据源自来自所述用户的所述输入,以及 逻辑,其被配置为加密或认证所由所述字符识别逻辑标识的所述输入数据;以及 通信逻辑,其被配置为向通信网络传送所述逻辑的输出。7.一种端点系统,包括: 输入设备,其被配置为从用户接收输入,并且包括输入缓冲器,所述输入缓冲器被配置为存储所述接收到的输入; 处理器,其被配置为经由所述输入设备来接收输入; 总线,其被配置为向所述处理器可访问的存储设备传送来自所述输入缓冲器的所述输入;以及 嗅探器,其被配置为当所述输入在所述总线上从所述输入缓冲器被传送向所述存储设备时检测所述输入,所述检测在可由所述处理器修改所述输入之前发生。8.一种安全通信系统,包括: 输入端,其被配置为从端点系统接收至少部分地加密的数据,所述至少部分地加密的数据包括所述端点系统的标识符; 密钥存储设备,其包括与装置标识符相关联地存储的解密密钥; 解密/鉴别逻辑,其被配置为使用从所述密钥存储设备检索到的解密密钥来将所述至少部分地加密的数据解密为解密的输出,所述检索使用所述端点系统的所述标识符; 远程服务连接器,其被配置为向远程计算系统转发所述解密的输入,并且从所述远程计算系统接收通信,所述接收的通信响应于所述转发的解密输出;以及 端点连接器,其被配置为向所述端点系统的较不安全的部分转发从所述远程计算系统接收的通信。9.一种安全通信系统,包括: 第一 1/0,其被配置为从计算系统的安全部分接收至少部分地加密或至少部分地认证的数据,所述至少部分地加密或认证的数据包括所述计算装置的标识符,并且包括对于所述计算系统的用户输入; 存储设备,其包括与装置标识符相关联地存储的解密密钥或证书数据; 加密/鉴别逻辑,其被配置为使用从所述存储设备检索的解密密钥或证书数据来解密或鉴别所述至少部分地加密或认证的数据,所述检索使用所述计算系统的所述标识符;以及 第二 1/0,其被配置为向远程计算系统转发所述解密的输入。10.一种计算系统,包括: 安全输入设备,其包括输入设备,所述输入设备被配置为数字化来自用户的输入,所述安全输入设备进一步包括:安全密钥存储设备,其被配置为存储加密密钥;以及加密逻辑,其被配置为使用所述加密密钥来加密所述数字化的输入; 所述计算系统的较不安全的部分,所述较不安全的部分被配置为接收所述加密的输入,并且向TDR服务器传送所述加密的输入,所述较不安全的部分被配置为作为对于从所述TDR服务器接收的通信的端点;以及 通信电路,其被配置为向所述较不安全的部分传送来自所述安全输入的所述加密的输入。11.一种计算系统,包括: 安全输入设备,其包括输入设备,所述输入设备被配置为数字化来自用户的输入; 安全密钥存储设备,其被配置为存储加密密钥;以及, 加密逻辑,其被配置为使用所述加密密钥来加密所述数字化的输入;以及所述计算系统的较不安全的部分,所述较不安全的部分被配置为接收所述加密的输入,并且向TDR服务器传送所述加密的输入,并且所述较不安全的部分被配置为作为对于从所述TDR服务器接收的通信的端点,所述加密逻辑被布置于在所述安全输入设备和所述较不安全的部分之间的通信电路中。12.根据权利要求1-10或11所述的系统,其中,所述输入设备包括键盘。13.根据权利要求1-11或12所述的系统,其中,所述输入捕获模块通过限制所述输入捕获模块的外部控制限制到一个或多个标记的设置,与所述计算系统的所述较不安全的部分隔呙。14.根据权利要求1-12或13所述的系统,其中,所述一个或多个标记的至少一个是加密密钥选择标记。15.根据权利要求1-13或14所述的系统,其中,所述一个或多个标记的至少一个是证书选择标记。16.根据权利要求1-14或15所述的系统,其中,所述一个或多个标记的至少一个是被配置为引起输入捕获模块的复位的复位标记。17.根据权利要求1-15或16所述的系统,其中,所述一个或多个标记的至少一个是改变焦点标记、新屏幕标记或提交标记。18.根据权利要求1-16或17所述的系统,其中,所述一个或多个标记的至少一个是禁用标记,其被配置为暂时禁用所述输入捕获模块的功能。19.根据权利要求1-17或18所述的系统,其中,所述输入捕获模块被配置为为了对所述显示器的通信嗅探所述总线,以便捕获源自所述输入设备的所述数据的至少一部分。20.根据权利要求1-18或19所述的系统,其中,所述数据输入被配置为嗅探的所述通信包括视频数据。21.根据权利要求1-19或20所述的系统,其中,所述输入捕获模块进一步包括字符识别逻辑,其被配置为标识在向所述显示器的所述通信中的字符。22.根据权利要求1-20或21所述的系统,其中,所述输入捕获模块被配置为识别由鼠标点击或屏幕触摸产生的字符。23.根据权利要求1-21或22所述的系统,其中,所述输入捕获模块被配置为识别由自动完成逻辑产生的字符。24.根据权利要求1-22或23所述的系统,其中,所述输入捕获模块被配置为识别由语音至文本逻辑产生的字符。25.根据权利要求1-23或24所述的系统,其中,所述输入捕获模块被配置为识别由拼写逻辑产生的字符。26.根据权利要求1-24或25所述的系统,其中,所述输入捕获模块的输出包括被配置为确认通过所述逻辑执行所述加密或认证的唯一标识符。27.根据权利要求1-25或26所述的系统,其中,所述存储设备包括被配置为被写入不超过一次的存储器。28.根据权利要求1-26或27所述的系统,其中,所述存储设备被配置为存储多个加密密钥,所述多个加密密钥可从所述输入捕获模块外部独立地选择。29.根据权利要求1-27或28所述的系统,其中,所述存储设备被配置为存储多个证书,所述多个证书可从所述输入捕获模块外部独立地选择。30.根据权利要求1-28或29所述的系统,其中,所述通信逻辑被配置为向在网络上的固定位置传送所述逻辑的所述输出。31.根据权利要求1-29或30所述的系统,进一步包括替换逻辑,其被配置为将在所述计算系统的所述较不安全的部分内产生的数据分组的内容替换为所述逻辑的所述输出。32.根据权利要求1-30或31所述的系统,其中,所述通信逻辑被配置为在向所述输出应用增加的加密层后传送所述逻辑的所述输出。33.根据权利要求1-31或32所述的系统,其中,所述证书是专用证书。34.根据权利要求1-32或33所述的系统,其中,所述输入设备、显示器、处理单元、输入捕获模块和通信逻辑被布置在单个外壳内。35.根据权利要求1-33或34所述的系统,其中,所述逻辑被配置为加密和认证所述捕获的数据。36.根据权利要求1-34或35所述的系统,其中,所述输入设备包括触摸屏。37.根据权利要求1-35或36所述的系统,其中,所述安全存储设备包括被配置为被写入不超过一次的存储器。38.根据权利要求1-36或37所述的系统,其中,所述安全存储设备被配置为存储所述加密密钥或证书,使得不能从所述输入捕获模块外部读取所述加密密钥或证书。39.根据权利要求1-37或38所述的系统,其中,所述安全存储设备被配置为存储所述加密密钥或证书,使得不能从所述输入捕获模块外部改变所述加密密钥或证书。40.根 据权利要求1-38或39所述的系统,其中,所述安全存储设备被配置为存储所述加密密钥。41.根据权利要求1-39或40所述的系统,其中,所述安全存储设备被配置为存储所述证书。42.根据权利要求1-40或41所述的系统,其中,所述输入捕获模块通过将所述安全输入模块的外部控制限于一个或多个标记的设置,与所述计算系统的所述较不安全的部分隔离。43.根据权利要求1-41或42所述的系统,其中,所述一个或多个标记的至少一个是加密密钥或证书选择标记。44.根据权利要求1-42或43所述的系统,其中,所述一个或多个标记之一是被配置为引起所述输入捕获模块的复位的复位标记。45.根据权利要求1-43或44所述的系统,其中,所述一个或多个标记之一是改变焦点标记、新屏幕标记或提交标记。46.根据权利要求1-44或45所述的系统,其中,所述一个或多个标记的至少一个是禁用标记,其被配置为暂时禁用所述输入捕获模块的功能。47.根据权利要求1-45或46所述的系统,其中,所述输入捕获模块的所述输出包括被配置为确认在所述输入捕获模块内产生所述输出的唯一标识符。48.根据权利要求1-46或47所述的系统,其中,所述标识符被加密为被包括在所述输入捕获模块的所述传送的输出中。49.根据权利要求1-47或48所述的系统,其中,所述嗅探器被配置为所述输入数据可以由所述处理单元改变之前,嗅探从所述输入设备接收的输入数据。50.根据权利要求1-48或49所述的系统,其中,所述存储设备被配置为存储多个加密密钥,所述多个加密密钥可从所述输入捕获模块外部独立地被选择。51.根据权利要求1-49或50所述的系统,其中,所述存储设备被配置为存储多个证书,所述多个证书可从所述输入捕获模块外部独立地被选择。52.根据权利要求1-50或51所述的系统,其中,所述嗅探器被配置为嗅探所述视频数据,使得保证所述嗅探的视频数据是与在所述显示器上呈现的视频数据相同的视频数据。53.根据权利要求1-51或52所述的系统,其中,所述加密密钥或证书被存储使得不能从所述输入捕获模块外部读取所述加密密钥或证书。54.根据权利要求1-52或53所述的系统,其中,所述输入捕获模块被配置为在所述输出中包括所述输入捕获模块的唯一标识符。55.根据权利要求1-53或54所述的系统,其中,所述输入捕获模块被配置为识别使用鼠标点击或触摸板指示的字符。56.根据权利要求1-54或55所述的系统,其中,所述输入捕获模块被配置为识别由自动完成逻辑产生的字符。57.根据权利要求1-55或56所述的系统,其中,所述输入捕获模块被配置为识别由语音至文本逻辑产生的字符。58.根据权利要求1-56或57所述的系统,其中,所述输入捕获模块被配置为识别由拼写逻辑产生的字符。59.根据权利要求1-57或58所述的系统,其中,所述密钥存储设备被配置为存储多个加密密钥,所述多个加密密钥可从所述输入捕获模块外部独立地被选择。60.根据权利要求1-58或59所述的系统,其中,所述密钥存储设备被配置为存储多个加密密钥,所述多个加密密钥可通过检测所述总线上的图像被自动地选择。61.根据权利要求1-59或60所述的系统,进一步包括替换逻辑,其被配置为将在所述计算系统的所述较不安全的部分内产生的数据分组的内容替换为所述逻辑的所述输出。62.根据权利要求1-60或61所述的系统,进一步包括加密逻辑,所述加密逻辑被配置为加密由所述端点连接器转发的所述接收的通信。63.根据权利要求1-61或62所述的系统,其中,所述至少部分地加密的数据包括加密的元数据或认证的输入数据。64.根据权利要求1-62或63所述的系统,其中,所述至少部分地加密的数据包括加密的元数据,并且包括源自用户输入的加密的数据。65.根据权利要求1-63或64所述的系统,其中,所述解密/鉴别逻辑被配置为鉴别所述至少部分地加密的数据的未加密部分。66.根据权利要求1-64或65所述的系统,其中,所述加密/鉴别逻辑被配置为鉴别在所述端点系统的安全部分中加密所述至少部分地加密的数据。67.根据权利要求1-65或66所述的系统,其中,所述至少部分地加密的数据包括加密的输入数据。68.根据权利要求1-66或67所述的系统,其中,如果所述至少部分地加密的数据未被鉴别为已经在所述端点系统的安全部分中被加密,则所述解密/鉴别逻辑被配置为阻止所述解密的输入的转发。69.根据权利要求1-67或68所述的系统,其中,如果所述至少部分地加密的数据未被鉴别为已经在所述端点系统的安全部分中被认证,则所述解密/鉴别逻辑被配置为阻止所述解密的输入的转发。70.根据权利要求1-68或69所述的系统,其中,如果所述至少部分地加密的输入的未加密部分不包括所述端点系统的安全部分的数字签名,则所述解密/鉴别逻辑被配置为阻止所述未加密部分的转发。71.根据权利要求1-69或70所述的系统,其中,所述解密/鉴别逻辑被配置为检索与所述端点系统相关联的帐户状态,并且基于所述帐户状态来控制所述接收的通信的转发。72.根据权利要求1-70或71所述的系统,进一步包括帐户存储设备,所述帐户存储设备被配置为与所述端点系统的标识符相关联地存储所述远程计算系统的标识符。73.根据权利要求1-71或72所述的系统,进一步包括帐户存储设备,所述帐户存储设备被配置为存储不同端点系统的多个标识符,所述标识符与所述远程计算系统的标识符相关联地被存储。74.根据权利要求1-72或73所述的系统,进一步包括帐户存储设备,其被配置为存储被配置为用于访问所述远程计算系统的登录信息,所述登录信息与所述端点系统的标识符相关联地被存储。75.根据权利要求1-73或74所述的系统,进一步包括帐户存储设备,其被配置为存储不同端点系统的多个标识符,所述标识符与所述远程计算系统的标识符相关联地被存储。76.根据权利要求1-74或75所述的系统,进一步包括装置数据存储设备,其被配置为存储数据,所述数据被配置为验证在所述端点系统的安全部分中包括的证书的数字签名。77.根据权利要求1-75或76所述的系统,其中,所述第二I/O被进一步配置为: 接收来自所述远程计算系统的通信,所接收的通信响应于所述转发的解密的输入;以及 逻辑,配置为使用所述第一 I/o向所述计算系统的较不安全的部分转发从所述远程计算系统接收的通信。78.根据权利要求1-76或77所述的系统,其中,所述至少部分地加密或至少部分的认证的数据包括元数据,所述元数据被配置为标识表单域,并且所述元数据与向所述表单域的输入相关联。79.根据权利要求1-77或78所述的系统,其中,所述元数据被加密。80.根据权利要求1-78或79所述的系统,其中,向所述表单域的输入被加密。81.根据权利要求1-79或80所述的系统,进一步包括被配置为登录到所述远程计算系统内的信息,与所述计算系统的所述标识符相关联地存储被配置为登录到所述远程计算系统内的信息。82.根据权利要求1-80或81所述的系统,其中,所述密钥存储设备被配置为存储多个加密密钥,所述多个加密密钥能够通过检测来自所述输入设备的输入而被独立地选择。83.根据权利要求1-81或82所述的系统,其中,使用滚动码在所述安全输入内产生所述加密密钥。84.根据权利要求1-82或83所述的系统,其中,使用时钟或随机数产生器来在所述安全输入内产生所述加密密钥。85.根据权利要求1-83或84所述的系统,其中,在所述输入捕获模块中包括所述输入设备。86.根据权利要求1-84或85所述的系统,其中,所述输入设备在所述计算系统的所述较不安全的部分中。87.根据权利要求1-85或86所述的系统,其中,所述处理单元被配置为执行在所述输入捕获模块外部的软件应用。88.根据权利要求1-86或87所述的系统,其中,所述安全密钥存储设备包括只读存储器。89.根据权利要求1-87或88所述的系统,其中,所述输入设备进一步包括标识符存储设备,其被配置为存储所述安全输入设备的唯一标识符,并且,所述通信逻辑被进一步配置为连同输入数据一起传送所述标识符的加密拷贝。90.根据权利要求1-88或89所述的系统,其中,所述计算系统的所述较不安全的部分包括标识符存储设备,所述标识符存储设备被配置为存储所述计算系统的唯一标识符,并且,所述通信逻辑被进一步配置为连同所述输入数据一起向信任的数据中继器传送所述标识符。91.根据权利要求1-89或90所述的系统,进一步包括总线嗅探器,其被配置为从所述计算系统的总线嗅探视频数据,并且通过自动完成软件来检测在所述视频数据内布置的字符。92.根据权利要求1-90或91所述的系统,其中,所述输入设备包括键盘。93.根据权利要求1-91或92所述的系统,其中,所述输入设备包括触摸屏。94.根据权利要求1-92或93所述的系统,其中,所述输入设备包括指示装置的驱动器。95.根据权利要求1-93或94所述的系统,其中,所述密钥存储设备被配置为存储多个加密密钥,所述多个加密密钥可通过检测在所述总线上的图像自动选择。96.根据权利要求1-94或95所述的系统,其中,所述通信逻辑被配置为在向所述加密逻辑的所述输出应用另外的加密层后传送所述加密逻辑的输出。97.一种用于传送安全数据的方法,所述方法包括: 在显示装置上显示视频图像; 检测在所述视频图像内的表单,所述表单包括一个或多个数据键入字段; 标识具有当前焦点的所述一个或多个数据键入字段的成员; 收集用于表征所述一个或多个数据键入字段的所标识的成员的元数据; 嗅探总线以捕获在所述一个或多个数据键入字段的所标识的成员中键入的数据; 加密所述捕获的数据或将所述捕获的数据数字签名; 在数据分组中插入所述加密或签名的数据;并且 经由通信网络向远程装置发送所述加密或签名的数据。98.一种转发安全数据的方法,所述方法包括: 从端点系统接收数据分组; 标识所述数据分组的来源; 基于所述来源的身份检索解密密钥或证书数据; 解密或鉴别所述数据分组的内容; 基于所述来源的身份来识别帐户; 识别所述内容的目的地;并且 基于所述帐户的状态来向所述目的地转发所述内容。99.根据权利要求97或98所述的方法,其中,将所述捕获的数据数字签名。100.根据权利要求97、98或99所述的方法,其中,将所述捕获的数据加密。101.根据权利要求97-99或100所述的方法,进一步包括将所述收集的元数据加密或将所述收集的元数据数字签名,并且向所述远程装置发射所述加密或签名的元数据。102.根据权利要求97-100或101所述的方法,其中,将所述收集的元数据加密,并且将所述捕获的数据数字签名。103.根据权利要求97-101或102所述的方法,其中,将所述数字签名的收集的元数据和所述捕获的数据加密。104.根据权利要求97-102或103所述的方法,其中,嗅探所述总线包括捕获视频数据。105.根据权利要求97-103或104所述的方法,其中,捕获所述键入的数据包括使用字符识别逻辑来处理所述捕获的视频数据。106.根据权利要求97-104或105所述的方法,其中,嗅探所述总线包括当从输入设备的缓冲器传送输入数据时捕获所述输入数据。107.根据权利要求97-105或106所述的方法,其中,发送所述加密或签名的数据包括发送包括所述显示器的端点系统的标识符。108.根据权利要求97-106或107所述的方法,其中,将所述标识符加密。109.根据权利要求97-107或108所述的方法,其中,将所述捕获的数据加密或将所述捕获的数据数字签名包括从位于被保护的捕获模块中的存储设备检索证书或加密密钥。110.根据权利要求97-108或109所述的方法,其中,检索所述证书或加密密钥包括响应于对于所述被保护的捕获模块的标记输入从多个证书或加密密钥选择。111.根据权利要求97-109或110所述的方法,其中,所述被保护的捕获模块被隔离,使得不能从所述被保护的捕获模块外部改变所述证书或加密密钥。112.根据权利要求97-110或111所述的方法,其中,所述被保护的捕获模块被隔离,使得不能从所述被保护的捕获模块外部读取所述证书或加密密钥。113.根据权利要求97-111或112所述的方法,其中,使用安全套接字层协议来接收所述数据分组。114.根据权利要求97-112或113所述的方法,其中,解密所述内容的部分,并且鉴别所述内容的部分。115.根据权利要求97-113或114所述的方法,其中,所述内容包括输入数据和被配置为标识所述输入数据的元数据。116.根据权利要求97-114或115所述的方法,进一步包括:基于所述数据分组的所述内容的所述解密或鉴别来验证所述内容的来源。
【专利摘要】通过下述方式来实现用户输入的安全通信:隔离端点装置的部分,使得防止恶意软件来破坏证书和加密密钥。而且,所述通信通过信任的数据中继器,所述中继器被配置为解密和/或认证由所述端点装置的所述隔离部分加密的用户输入。所述信任的数据中继器可以确定通过保护的证书和加密密钥来加密或认证用户输入,因此鉴别在所述端点装置内的它们的起点。所述信任的数据中继器然后向意欲的目的地转发输入。在一些实施例中,所述端点装置的隔离的部分被配置为检测由自动完成逻辑和/或拼写检查逻辑建立的检测。
【IPC分类】H04L29/06
【公开号】CN104904179
【申请号】CN201380065517
【发明人】M.艾农, P.辛克莱, J.洛伊德
【申请人】真实数据系统股份有限公司
【公开日】2015年9月9日
【申请日】2013年10月16日
【公告号】EP2909769A2, US20140108790, US20140108820, US20140108821, WO2014062853A2, WO2014062853A3
最新回复(0)