看看这个刚评的特等奖专利,感觉没有新颖性啊
发布时间:2017.02.20 广东省查看:7160 评论:69
发明简介附后[发明]签名方法、设备及系统 - CN200910083284.4有权-授权----授权文本.pdf,这是个特等奖,“第四届北京市发明专利奖”的,2017.2.20出炉的,好新鲜。
http://mp.weixin.qq.com/s/d0ynhQsuKs1tpgbmeNdEQA
简单读了一下,这个发明的意思就是,传统的U盾,交易数据在被U盾签名之前,可能被电脑里面的黑客篡改;
本发明的特点是,U盾收到数据,在签名前,要把被签名的内容再让用户审核一下,(若用户发现被修改了)可以取消操作。
下面说读后感:
1、没有新颖性
U盾不是早就这样吗?有屏幕的U盾,不是都能从屏幕上看到交易关键信息,让用户确认一下吗;
而第二代U盾(参考百度百科)是2003年出来的,一代U盾没有这功能。
2、好像写的比较粗糙
比方说权1中第一次出现“所述智能密钥设备”算是对前面的援引吧,但前面并没有出现“智能密钥设备”。
3、独权中还有多余限定:
“如果所述智能密钥设备在预设时间内接收到用户输入的确认信息,则所述智能密钥设
备对所述待签名数据包进行签名,所述预设时间为所述等待用户输入信息的时间 ;”
就是说,如果用户在一个时限内按u盾的“ok”,U盾就签名。(但没有说超过了就取消签名!)
而且,没有预设时限也可以啊,,客户拖两个钟头、两天输入,又有什么问题。反正这种情况被人类行为模式淘汰了。
而且这个时间上限,完全可以在客户端主机,甚至服务器设定
4、估计是看这种方法涉及的支付业务额度巨大评上的
谁来无效一下它?@Gary
-----------------------------------------------------------------------------------------------------
[发明]签名方法、设备及系统 - CN200910083284.4有权-授权
申请人:北京飞天诚信科技有限公司; - 申请日:2009.04.30 - 主分类号:H04L9/32(2006.01)I
摘要:本发明实施例公开了一种签名方法、设备及系统。涉及信息安全领域,解 决了现有技术中用户的签名被他人冒用的技术问题。本发
明实施例中主机在接 收到用户输入的交易信息后,用交易信息生成交易报文并根据所述交易报文确 定关键信息,组成待签名数据包发送
到USB Key;USB Key则接收主机发送的待 签名数据包...
1. 一种签名方法,其特征在于,在客户端主机与服务器预先约定了复核信息标识符和
分隔符后,包括 :
所述客户端主机与智能密钥设备建立连接 ;
所述客户端主机通过输入装置接收用户输入的交易信息,所述输入装置包括所述客户
端主机的输入装置和 / 或所述智能密钥设备的输入装置 ;
所述客户端主机根据所述交易信息生成交易报文 ;
所述客户端主机根据所述交易报文确定关键信息 ;
所述客户端主机将包含所述关键信息和所述分隔符的待签名数据包发送到所述智能
密钥设备 ;
所述客户端主机等待接收所述智能密钥设备的反馈信息 ;
所述智能密钥设备接收所述客户端主机发送的待签名数据包 ;
所述智能密钥设备根据所述分隔符从所述待签名数据包中获取关键信息 ;
所述智能密钥设备输出对应所述关键信息的复核信息标识符和所述关键信息,并等待
用户输入信息 ;
如果所述智能密钥设备在预设时间内接收到用户输入的确认信息,则所述智能密钥设
备对所述待签名数据包进行签名,所述预设时间为所述等待用户输入信息的时间 ;
将得到的签名作为反馈信息发送到所述客户端主机 ;
所述服务器接收所述客户端主机发送的交易报文和签名 ;
所述服务器根据所述复核信息标识符从所述交易报文中获取关键信息 ;
所述服务器根据所述关键信息和所述分隔符生成待签名数据包 ;
所述服务器利用所述待签名数据包对所述客户端主机发送的签名进行验证 ;
如果所述智能密钥设备在预设时间内接收到用户输入的取消信息,则
将所述取消信息作为反馈信息发送到所述客户端主机。
附件:
- [发明]签名方法、设备及系统 - CN200910083284.4有权-授权----授权文本.pdf 下载
评论列表
快速回复
白龙马
[7]思博铁粉
主题:210 回帖:12385 积分:40300
热帖推荐
白龙马
我说了4处“多余限定”,
第一、第二处、第四处都给出了理由,
第三处没说理由,理由是“服务器端的特征没必要写在用户机端,
第四处包括在第三处里面。
你对哪处不满意?
2017/03/13 21:14 [来自广东省]
0 举报白龙马
这个原理我明白,但不知道你为什么质疑我说的多余限定论
2017/03/13 21:16 [来自广东省]
0 举报白龙马
这么冷的话题,能有人看我还是挺安慰的,毕竟我费了那么多劲打字。
我对马甲、新号比较关注,是因为:
1、他可能是论坛老成员,不方便大号示人,于是临时用小号发言
2、他可能是本专利相关人员,搜专利号搜到这个论坛的,或类似情况,所以只能注册个新号发言。
这两种情况,都有帖子之外的信息量,比方说其言论是否可信、公允,是不是有相关利益在里面……
好比你碰见一个人过来跟你说话,但他戴着头套,你也得格外留意一下吧
而恰好是“新号注册进来,就看到我这个帖子”的概率约等于零。
所以我有个习惯,会看一下这个地方,谈不上翻你资料,扫一眼就可以了。
也谈不上等级之分,只是来这个论坛长短之分,不来这个论坛的大牛多得是。我还不至于那么井底之蛙。
2017/03/13 21:29 [来自广东省]
1 举报nuonuo
1. 一种签名方法,其特征在于,在客户端主机与服务器预先约定了复核信息标识符和分隔符后,----设定pc跟u盘之间交互的通信格式:用xxx标志账户名、yyy标志金额,之间用zzz分隔,即“xxx张三zzzyyy100元”,其实这是多余限定,非必要特征,没有xxx、yyy、zzz这样的符号,也能从字符串里面提取“张三”、“100元”,只要这些字段编码有一定冗余就可以了
包括 :
所述客户端主机与智能密钥设备建立连接 ;---u盾插到pc上
所述客户端主机通过输入装置接收用户输入的交易信息,
所述输入装置包括所述客户端主机的输入装置和 / 或所述智能密钥设备的输入装置 ;---用户在键盘鼠标上操作,
所述客户端主机根据所述交易信息生成交易报文 ;---在网银页面形成支付订单
所述客户端主机根据所述交易报文确定关键信息 ;---pc软件或网页从订单确定交易金额、转入账户(多余限定,其实金额、账户在形成订单之前就已经有了)交易报文包含关键信息,客户端需要将关键信息从交易报文中提取出来。
所述客户端主机将包含所述关键信息和所述分隔符的待签名数据包发送到所述智能密钥设备 ;---上述信息打包发给u盾
所述客户端主机等待接收所述智能密钥设备的反馈信息 ;---pc等u盾反馈
所述智能密钥设备接收所述客户端主机发送的待签名数据包 ;---u盾等用户“ok”或“取消”
所述智能密钥设备根据所述分隔符从所述待签名数据包中获取关键信息 ;---u盾对订单信息解包,就是把一个字符串分成几个字段,比方说,订单是“给张三付款100元”,解读出其中的“张三”、“100元”。
所述智能密钥设备输出对应所述关键信息的复核信息标识符和所述关键信息,并等待用户输入信息 ;---u盾显示金额、账户,等用户按键
如果所述智能密钥设备在预设时间内接收到用户输入的确认信息,则所述智能密钥设备对所述待签名数据包进行签名,
所述预设时间为所述等待用户输入信息的时间 ;---如果用户及时按ok键,u盾就对“给张三付款100元”签名
将得到的签名作为反馈信息发送到所述客户端主机 ;---签名传给pc
-------(从这开始都是多余限定)------这块是服务器的验签过程
所述服务器接收所述客户端主机发送的交易报文和签名 ;---服务器接受pc发来的订单、签名
所述服务器根据所述复核信息标识符从所述交易报文中获取关键信息 ;---服务器把订单里面的数据提取出来,同前面的“张三”、“100元”
所述服务器根据所述关键信息和所述分隔符生成待签名数据包 ;---服务器把“张三”、“100元”再合成“给张三付款100元”(多余之上的多余限定,因为订单已经发过来了,还合成干嘛)这块说明你不明白签名验签原理,不合成待签名数据怎么验签;待签名数据包会被用于验签的过程。
所述服务器利用所述待签名数据包对所述客户端主机发送的签名进行验证 ;----服务器看看签名是不是对“给张三付款100元”这句话签的
---------(多余限定完了)-------------
如果所述智能密钥设备在预设时间内接收到用户输入的取消信息,
则将所述取消信息作为反馈信息发送到所述客户端主机。---如果给定时间内用户按了“取消”,u盾就把“取消”传给pc
2017/03/14 09:44 [来自北京市]
0 举报nuonuo
首先说一下 我不是新号,关注已多年,注册也半年有余,只是不发帖;并且也没有带着头套的跟你说话,目前就一个号;刚好关注这篇专利;刚好你发了那些高论,有些不同意见而已。
2017/03/14 09:48 [来自北京市]
0 举报IP
2017/03/14 10:09 [来自北京市]
0 举报