專利名稱:用于管理數(shù)字式互動的系統(tǒng)和方法
技術(shù)領(lǐng)域:
本發(fā)明一般涉及方便社會交際�����,更具體地�,涉及提供關(guān)于人和實(shí)體之間關(guān)系的結(jié)構(gòu)的系統(tǒng)��。背景信息在啞終端時代���,每個用戶得到登錄ID和密碼���。其用于連接到主機(jī)并被映射到被集中管理的特定權(quán)限。這是一種非常好的安排�����,因?yàn)橐竽撤N權(quán)限的用戶取得被授予的權(quán)限����, 并最終能夠訪問某些主機(jī)資源。這實(shí)際上沒有副作用��。隨著客戶端/服務(wù)器架構(gòu)的發(fā)展����,相同的�、登錄ID和密碼的概念得以延續(xù)��,但現(xiàn)在有許多網(wǎng)絡(luò)�,每個網(wǎng)絡(luò)都有他們自己的配給登錄ID和密碼的策略。仍然要求每個用戶請求某種權(quán)限���,獲得被授予的權(quán)限�����,并且取得訪問權(quán)��。但是現(xiàn)在必須對許多系統(tǒng)重復(fù)該過程�����,并且記住每個系統(tǒng)的用戶ID和密碼變得麻煩�����,不過不用擔(dān)心記住用戶在每個系統(tǒng)上具有的具體權(quán)限���。在這方面�����,各種身份管理(IDM)產(chǎn)品開始出現(xiàn)�����,以使創(chuàng)建ID和密碼的過程更加簡單,并提供更為集中的權(quán)限管理���。所有這些看起來是一件好事�,且只要將IDM的范圍保持在單個企業(yè)內(nèi)�,這將對用戶提供顯著的優(yōu)勢,即幾乎沒有不需要的副作用�����。大部分企業(yè)提供了改變和復(fù)查權(quán)限的方法����,盡管該過程較為不方便,但其在封閉式企業(yè)環(huán)境的背景下是足夠的���。隨著因特網(wǎng)的出現(xiàn)�����,用戶的連接世界突飛猛進(jìn)地擴(kuò)大?���,F(xiàn)在每個用戶都擁有許多身份他們在工作中的角色,作為銀行顧客���、作為父母���、作為學(xué)生,等等���。但遺憾的是����,對標(biāo)識符和權(quán)限的管理并沒有以相同的方式發(fā)展����。配給登錄ID和密碼的過程簡單地轉(zhuǎn)移到互連網(wǎng)上的個別的域(AOL、Yahoo����、MSN�,等等)中����,身份的概念變?yōu)橐粋€單向的過程——用戶提交信息并取回完全由第三方定義的身份。這導(dǎo)致事務(wù)的當(dāng)前狀態(tài)為用戶實(shí)質(zhì)上已放棄了她的隱私權(quán)�����,第三方能夠不經(jīng)用戶同意隨意搜集該用戶的個人信息����。需要一種通過其用戶能夠自由協(xié)商權(quán)力和隱私的系統(tǒng)���,其以對所有的聯(lián)網(wǎng)互動都將一致奏效的方式進(jìn)行協(xié)商�����。發(fā)明概述本發(fā)明體現(xiàn)匹配新的互聯(lián)網(wǎng)世界的身份的概念��。本發(fā)明把用戶重新置于控制地位�,其使用的訪問資源的過程圍繞著對雙方同意的條款的協(xié)商�,該協(xié)商對于每個關(guān)系都是非公開的且唯一的。舊的標(biāo)識符成為一種關(guān)系雙方一致認(rèn)可的協(xié)商架構(gòu),但對于任何第三方則完全不透明�����。用戶現(xiàn)在位于她建立的每一關(guān)系的一端�,而且復(fù)查條款(或訪問和更新根據(jù)那些條款共享的信息)變得像打開她的電子地址薄一樣簡單。關(guān)系聯(lián)絡(luò)代理商(RNA)將該示范擴(kuò)展到在邏輯上補(bǔ)充的階段關(guān)系的存在是出于交換信息的目的��。信息交換很少基于條款和條件的靜態(tài)集合�。而是這些交換隨時間不斷變化,并且條款隨著交換改變����。這意味著所有信息實(shí)際上是動態(tài)過程的完整的一部分,其定義在復(fù)雜關(guān)系的背景下發(fā)生的不斷變化的對話的條款��。根據(jù)本發(fā)明的RNA架構(gòu)使這些復(fù)雜的互動明確��、可管理和安全���。
受管理的數(shù)字式互動的一個方面是相互性�����。每個關(guān)系的條款是雙方同意的并且能夠協(xié)商的�����。隱私作為這些條款的一部分被包括進(jìn)來���。受管理的數(shù)字式互動的另一個方面是互連性����。這通過提供相互地和全球工作的互動來實(shí)現(xiàn)�����。由于知識很大程度上是連接數(shù)據(jù)的結(jié)果��,所以這趨于增加知識�。受管理的數(shù)字式互動的另一個方面是允許對話隨時間不斷變化,而在對話中傳達(dá)的信息仍然由關(guān)系的條款定義��。受管理的數(shù)字式互動的另一個方面是主動認(rèn)證��。認(rèn)證是主動事件�,但不需要保持為過去認(rèn)證的“快照”不變�。互動的原則允許隨時間改變和基于背景改變���。根據(jù)本發(fā)明���,為了使結(jié)果有效�����,有三個需要遵循的檢驗(yàn)標(biāo)準(zhǔn)的概念����。首先�,建立協(xié)商安全通信渠道。其次�,建立動態(tài)的合作網(wǎng)絡(luò)。再次�,動態(tài)決定合作協(xié)議。從優(yōu)選的實(shí)施方式的詳細(xì)描述�����,本發(fā)明的這些和其他的特征和優(yōu)點(diǎn)對本領(lǐng)域技術(shù)人員來講將變得更加明顯����。以下將描述隨附詳細(xì)描述的附圖。附圖簡述
圖1是示出根據(jù)本發(fā)明的示例性實(shí)施方式的實(shí)體的框圖��。圖2是示出用戶的示例性關(guān)系的示意圖。圖3是示出兩個實(shí)體達(dá)成合約協(xié)議的示意圖�。圖4是示出將一個實(shí)施方式應(yīng)用到衛(wèi)生保健業(yè)的示意圖,其中用戶為醫(yī)院的病人����。圖5-11公開了在各種背景下協(xié)商實(shí)體的各種步驟。圖12和13公開了對背景敏感的關(guān)系的例子��。詳述在以下示例性實(shí)施方式的討論中����,術(shù)語“實(shí)體”用于指示控制數(shù)字式互動的、人和機(jī)器之間的關(guān)系��。在任何商業(yè)交易中�����,必須控制對資源����,諸如應(yīng)用和信息系統(tǒng)的訪問��。該控制通過確定由包括身份的一組屬性描述的主體是否被授權(quán)訪問所要求的資源�����,然后授予他們權(quán)限來執(zhí)行。也通過合約協(xié)議和背景(例如����,對某些文件的訪可能被限制在特定的安全區(qū)域)來控制權(quán)限。由于商業(yè)機(jī)構(gòu)開放他們的基礎(chǔ)設(shè)施����,并將他們的網(wǎng)絡(luò)和應(yīng)用擴(kuò)展到包括客戶、合作伙伴和供應(yīng)商���,這使其面臨一種基本的斷開(disconnect)原則當(dāng)前沒有一種標(biāo)準(zhǔn)化的方式來“信任”或以中間人的身份安排屬于合作伙伴和其他外部用戶的身份�。于是出現(xiàn)了聯(lián)合的身份解決方案����,但當(dāng)機(jī)構(gòu)希望將他們的網(wǎng)絡(luò)擴(kuò)展到大量的經(jīng)常來往的小型合作伙伴時,這些聯(lián)合的身份解決方案被證明實(shí)施起來較為困難且成本較高��。問題的核心在于信任問題期望機(jī)構(gòu)提前建立所有可能的信任關(guān)系簡直是不現(xiàn)實(shí)的�����。需要僅為所需量的時間僅建立適當(dāng)量的信任��,而不是過多量的信任的方式。建立和破壞這些關(guān)系必定和發(fā)送電子郵件消息一樣容易�����,但它也應(yīng)當(dāng)提供完備(bullet-proof)的安全性和責(zé)任性��。密鑰管理使用與在傳統(tǒng)的公共密鑰基礎(chǔ)設(shè)施中使用的相同技術(shù)(即����,本發(fā)明的實(shí)施方式不試圖改進(jìn)已被證明了的加密技術(shù))中的一些。然而����,使用本發(fā)明的實(shí)體管理密鑰的過程是非常不同的。
密鑰管理是密碼學(xué)最難的部分�����。通常有兩類密鑰�,即短期密鑰和長期密鑰。短期會話密鑰(有時稱為短暫密鑰)通常被自動地且不可視地生成���。它們用于一則消息或會話并被丟棄�����。長期密鑰由用戶明確地生成�。它們用于認(rèn)證(包括訪問控制�、誠實(shí)和不可拒絕) 和保密(加密)。長期密鑰也用于建立會話密鑰和保護(hù)存儲的數(shù)據(jù)�����。本發(fā)明的實(shí)施方式被設(shè)計為使用所需要的最少量的外圍基礎(chǔ)設(shè)施完全透明地處理短期密鑰和長期密鑰�����。通常僅在最初的提供過程要求進(jìn)行認(rèn)證和驗(yàn)證����,因此大大地減少了第三方參與交易的次數(shù)。對于大部分的提供和認(rèn)證功能����,一些實(shí)施方式依賴于對到簡單郵件傳輸協(xié)議 (SMTP)和可擴(kuò)展的通信和表示協(xié)議(XMPP)的簡單協(xié)議擴(kuò)展,允許參與者通信的服務(wù)器處理大部分的交易�����,而所述交易使用公共密鑰基礎(chǔ)設(shè)施通常導(dǎo)致可擴(kuò)展性問題���。本發(fā)明的實(shí)施方式提供了靈活的密鑰鑒定框架�����。有許多為了證實(shí)密鑰不需要第三方的情況(例如小型商業(yè)的情況�����,參與者是建立的關(guān)系的一部分的)���。在一個實(shí)施方式中�, 本發(fā)明有效去除了公共密鑰的觀念�����。取而代之的是��,實(shí)體嵌入了關(guān)于每個關(guān)系的唯一的密鑰對�����,這具有許多好處�。獲得其他人的公共密鑰像發(fā)送郵件以便提議關(guān)系一樣簡單。沒有涉及公共密鑰——自動提議關(guān)系創(chuàng)建專門關(guān)于該關(guān)系的新公共密鑰。本發(fā)明的實(shí)施方式提供了內(nèi)置的保密性和認(rèn)證����。對于保密(即,只與預(yù)期方共享信息)�����,實(shí)體嵌入只能被預(yù)期的接收者讀取的加密材料����。該機(jī)制可被擴(kuò)展��,以便應(yīng)對不斷變化的安全要求�����。關(guān)于認(rèn)證(即�����,與預(yù)期方共享信息)�����,實(shí)體能夠利用帶外認(rèn)證機(jī)密,它們也能夠使用身份驗(yàn)證權(quán)威��,如Equifax��。本發(fā)明的實(shí)施方式可被用于設(shè)計能夠像電子郵件地址一樣被管理的實(shí)體�����。它們能夠存儲在地址簿�����、活動目錄�、或其他適合的庫中。由于沒有公共密鑰��,也不需要復(fù)雜的廢棄機(jī)制�����。實(shí)體可被廢棄���,這通過將其刪除并可能地配給一個新的實(shí)體��。本發(fā)明的實(shí)施方式可被配置為應(yīng)對泄露(compromise)信息導(dǎo)致的影響�����。關(guān)于認(rèn)證���,除非加有時間戳��,否則將使已簽字的文件無效����。為了應(yīng)對這種情況��,可以重新認(rèn)證(產(chǎn)生新的實(shí)體)且文件可以通過雙方同意被重定密鑰�����。關(guān)于保密性��,使用被泄露的實(shí)體加密的所有數(shù)據(jù)都被泄露��。然而�,該作用被嚴(yán)格限制到受影響的關(guān)系�����,使得對受影響的材料重定密鑰相當(dāng)?shù)睾唵巍?shí)體是一個按照明確的相互協(xié)商/管理的協(xié)議定義對基于關(guān)系的身份進(jìn)行創(chuàng)建和管理的框架�����。身份最初以URI或電子郵件地址的形式來表示��,其中電子郵件地址包含帶有被提議條款的概要和數(shù)字簽名的唯一加密身份——其結(jié)果稱為實(shí)體��。一個實(shí)體能夠正好像規(guī)則的郵件地址一樣使用���。實(shí)際上��,建立基于實(shí)體的關(guān)系的默認(rèn)方法是簡單交換電子郵件�����。然而��,本發(fā)明的實(shí)施方式不限于這種交換方法����。建立實(shí)體的過程可以在任何適合的傳輸機(jī)制中發(fā)生��。實(shí)體僅用于建立最初的協(xié)議以進(jìn)入一個關(guān)系��。關(guān)系的實(shí)際條款通過基于工作流的代理商,被稱為NetRNA (網(wǎng)絡(luò)關(guān)系網(wǎng)絡(luò)代理商)來進(jìn)行協(xié)商��。NetRNA是條款的體現(xiàn)和實(shí)施��。 除非身份是在關(guān)系的背景下定義的���,否則其沒有實(shí)際意義��。例子圖1示出了示例性的實(shí)體���。用戶Alice和Bob均具有一個身份以及與他們各自的公司相關(guān)的角色。在他們的企業(yè)的背景中�����,這些用戶也具有彼此之間的協(xié)商關(guān)系�。參考圖2����,本發(fā)明的實(shí)施方式可用于在她與其雇主的關(guān)系的背景下創(chuàng)建和管理關(guān)于人力資源經(jīng)理的數(shù)字式互動。如果Alice是ABC公司的人力資源經(jīng)理����,那么在她與ABC公司的關(guān)系的背景下��,她的作用可包括雇用雇員��、管理福利計劃��、并與其他公司達(dá)成某些協(xié)議諸如雇用一個分包商(例如�����,Bob)�����。本發(fā)明的實(shí)施方式可用于定義可分配給Alice和被Alice接受的身份(例如��,Alice-ABC公司的HR經(jīng)理)���。然后在其作為人力資源經(jīng)理時,該身份可被用于管理和實(shí)施Alice與ABC公司的關(guān)系的條款��。其使用的訪問資源的過程圍繞著對雙方同意的條款的協(xié)商�,該協(xié)商對于每個關(guān)系都是非公開的且唯一的。本發(fā)明的實(shí)施方式允許Alice訪問的資源圍繞對雙方同意的條款的協(xié)商�,該協(xié)商對于每個關(guān)系都是非公開的且唯一的。舊的標(biāo)識符成為一種關(guān)系雙方一致認(rèn)可的協(xié)商架構(gòu)����,但對任何第三方則完全不透明����。Alice現(xiàn)在位于她建立的每一關(guān)系的一端�,而且復(fù)查條款(或訪問和更新根據(jù)那些條款共享的信息)變得像打開她的電子地址簿一樣簡單。關(guān)系的存在是出于交換信息的目的���。此外��,信息交換很少基于條款和條件的靜態(tài)集合-而是這些交換隨時間不斷變化��,并且這些條款隨著交換改變����。例如�,合作寫一本書具有許多階段,其涉及在該過程的各個點(diǎn)上的不同的人�����。這意味著所有信息實(shí)際上是動態(tài)過程的完整的一部分���,其定義在復(fù)雜關(guān)系的背景下發(fā)生的不斷變化的對話的條款����。根據(jù)本發(fā)明的關(guān)系聯(lián)絡(luò)代理商(RNA)架構(gòu)使這些復(fù)雜的互動明確�、可管理和安全。用于Office 2007文檔的開放式XML規(guī)范���,和Windows工作流基礎(chǔ)(WffF)和 Windows通信基礎(chǔ)(WCF)的近期發(fā)布為本發(fā)明的實(shí)施方式提供了進(jìn)一步的加強(qiáng)����。開放式XML 格式限定了由部分和關(guān)系構(gòu)成的文檔的內(nèi)部框架���。根據(jù)一個實(shí)施方式����,實(shí)體表示了關(guān)系的條款��。通過將開放式XML文檔中的關(guān)系的定義進(jìn)行擴(kuò)展���,以包括一個實(shí)體�,如這里所述���,可創(chuàng)建表示包含多個相關(guān)關(guān)系的復(fù)雜商業(yè)協(xié)議的文檔���。以這種方式創(chuàng)建的文檔能夠?qū)⒐芾韺ξ臋n中的每一部分的訪問的條款嵌入�,且各種部分可表示非常具體的原則和權(quán)限��。例如�,保留顧問的合約能夠嵌入具體的權(quán)限,該權(quán)限將建立到打印機(jī)�、共享資源、日歷視圖��,等等的訪問����。當(dāng)與WffF和WCF組合時,可基于能夠安全地跨機(jī)構(gòu)分布的豐富的工作流來創(chuàng)建表示動態(tài)關(guān)系的文檔�����。圖3是示出了根據(jù)一個實(shí)施方式的情況的示意圖��,其中ABC公司決定與XYZ公司達(dá)成關(guān)于開發(fā)新的軟件應(yīng)用程序的臨時職位的合約協(xié)議���。在圖3中,我們假設(shè)Alice和Bob 已經(jīng)建立了由實(shí)體所定義的最初關(guān)系�����。在處理協(xié)商要求(保密性、可查證性���,等等)的協(xié)商過程期間創(chuàng)建了新的實(shí)體�,一旦協(xié)議達(dá)成將創(chuàng)建實(shí)體來表示最終的條款����。一個典型的情況將涉及協(xié)商服務(wù)的協(xié)議,然后在ABC公司環(huán)境中提供一個新用戶以允許XYZ公司的訂約人訪問ABC公司內(nèi)的所需資源�。該職位將要求創(chuàng)建新的實(shí)體。與該締約機(jī)構(gòu)的任何關(guān)系從該過程斷開���,并且如果這在長時間周期內(nèi)對許多合作伙伴重復(fù)該過程����,則其結(jié)果是在今天的大多數(shù)機(jī)構(gòu)中發(fā)現(xiàn)的那種混亂無序����。聯(lián)合的身份解決方案必須在企業(yè)內(nèi)部和跨企業(yè)地管理完整的用戶生存周期。這意指用戶和賬戶創(chuàng)建���、賬戶連接����、認(rèn)證、訪問控制和賬戶終止���。一旦考慮到身份聯(lián)合���,則需要評估與聯(lián)合有關(guān)的事項(xiàng),即誰將參與��、它將怎樣管理��、以及聯(lián)合的參與者必定承擔(dān)什么類型的風(fēng)險�。本發(fā)明的實(shí)施方式通過擴(kuò)展定義了協(xié)議的自然商業(yè)過程來消除這個問題,使得滿足該過程所需要的資源和權(quán)限被分配并永久地與協(xié)商的最終產(chǎn)物相關(guān)聯(lián)�。實(shí)際上,與合約相關(guān)的資源和權(quán)限的整個生命周期都依賴于它�,并因此是自描述的而且在很大程度上是自管理的。圖4是示出了根據(jù)一個實(shí)施方式的來自衛(wèi)生保健行業(yè)的情況的示意圖��,其中Jane 是醫(yī)院的病人��。其涉及了關(guān)系和隱私原則的復(fù)雜集合�����。使用本發(fā)明的實(shí)施方式,可以簡單且有效地處理這種情況��,而同時完全保持所要求的隱私和保密性的級別����。例如���,Jane的醫(yī)生可以訪問Jane的診斷結(jié)果�����,但醫(yī)院的計費(fèi)部門只能看到產(chǎn)生賬單的所需細(xì)節(jié)——而不是實(shí)際的診斷結(jié)果����。實(shí)際上���,使用了根據(jù)本發(fā)明的實(shí)施方式的實(shí)體以及開放式XML文件格式的患者記錄能夠?qū)嵤?qiáng)有力的安全措施�,諸如在能夠訪問或共享某些信息之前要求Jane 的明確許可�。也能夠非常容易地實(shí)現(xiàn)自動跟蹤特性。本發(fā)明的某些實(shí)施方式的目的是使安全簡單化��。安全、隱私和訪問控制應(yīng)該像發(fā)送電子郵件���、復(fù)查文檔�,等等一樣簡單和自然����。實(shí)施方式開始的前提是,對于在定義了身份的關(guān)系中所涉及的各方而言����,該身份是非公開的。身份的建立是非公開的�、安全的協(xié)商的結(jié)果。一旦經(jīng)過了協(xié)商����,本發(fā)明的實(shí)體能夠在協(xié)商階段中同意的期間內(nèi)提供到NetRNA的訪問——沒有廢棄機(jī)制且只有關(guān)系所涉及的各方能夠改變條款和彼此認(rèn)證。本發(fā)明的實(shí)施方式還提供了一種機(jī)會�,即將空前的保密級別與關(guān)系所涉及的各方的責(zé)任進(jìn)行平衡。每一關(guān)系包含唯一的密鑰����;在關(guān)系之間不可能有交叉引用。通過將實(shí)體擴(kuò)展到開放式XML文檔�,有可能無縫地處理最復(fù)雜的關(guān)系����,該關(guān)系包括涉及具有復(fù)雜的相關(guān)原則的多個方的情況��。圖5-11公開了在各種背景下協(xié)商實(shí)體的各種步驟����。圖12和13公開了對背景敏感的關(guān)系的例子����。實(shí)體框架方便了集合性的知識的研究和表示。它包括模塊化的部件結(jié)構(gòu)和安全通信����。最后,所有富有意義的數(shù)字式互動涉及在個人(作為一角色)和一個或多個代理商之間的���、圍繞某一目的的給-和-收行為�。知識作為這些給-和-收行為的結(jié)果而出現(xiàn)�����。參考圖14���,示出了該過程的概念圖���。如上所示�,方便特定互動集合的協(xié)議的實(shí)現(xiàn)通過關(guān)系聯(lián)絡(luò)代理商(RNA)體現(xiàn)��。實(shí)體結(jié)構(gòu)基本上是分布式網(wǎng)絡(luò)���,其被設(shè)計以方便關(guān)系聯(lián)絡(luò)代理商(RNA)的例證和管理以通過目的驅(qū)動的追蹤(pursuit)的互連來組合豐富的��、全球的��、集合性知識網(wǎng)���。最終產(chǎn)生的集合性知識能夠以實(shí)體形式被形式化。通過將能夠?yàn)橐粋€代理商或一群代理商而存在的概念和關(guān)系形式化�,實(shí)體對知識進(jìn)行編纂。當(dāng)RNA基于談判的目的創(chuàng)建互連時形成動態(tài)網(wǎng)�,其中集合性的知識以目的驅(qū)動向量而非傳統(tǒng)的數(shù)據(jù)提取的形式來表達(dá)。這在圖15中示出���,其示出了通過關(guān)系聯(lián)絡(luò)代理商 (RNA)網(wǎng)絡(luò)的協(xié)商遍歷路徑(箭頭)���。實(shí)體是到知識的目的驅(qū)動路徑��,其中所有的參與者都積極地合作���。在實(shí)踐中,其意味著軟件代理商的全球網(wǎng)狀網(wǎng)絡(luò)能夠在知識的集合性發(fā)展中安全地進(jìn)行通信和參與�。由角色的一個或多個對象出于同意的目的訪問每個代理商。實(shí)體SDK提供了用于配置關(guān)系聯(lián)絡(luò)代理商的網(wǎng)狀網(wǎng)絡(luò)和必要的安全通信基礎(chǔ)設(shè)施的基本構(gòu)造�,以便允許通過全球RNA網(wǎng)來協(xié)商和管理實(shí)體。本文檔的其余部分重點(diǎn)關(guān)注由實(shí)體SDK(安全數(shù)字密鑰)提供的�����、使本文所描述的概念可行的特殊能力��。實(shí)體SDK具有在以下段落中描述的技術(shù)特征���。相關(guān)密鑰在實(shí)體結(jié)構(gòu)中的安全模型的基本構(gòu)建塊。在本質(zhì)上����,其集中在使用橢圓曲線密碼術(shù)(ECC),和經(jīng)過很好的證明的��、與所有人的技術(shù)組合的�、非對稱加密技術(shù)��,以便根據(jù)同意條款來遞送僅由預(yù)期一方(或多方)使用的密鑰�����。相關(guān)密鑰提供了無狀態(tài)的驗(yàn)證����, 并且對于大多數(shù)情況而言����,它們也消除了對密鑰拒絕的需要。相關(guān)密鑰也嵌入了一些受限的條款以方便密鑰管理����。動態(tài)數(shù)字協(xié)議一旦建立安全的通信渠道仍然存在著問題,即要如何應(yīng)對關(guān)于其與協(xié)議趨于隨時間不斷變化的現(xiàn)實(shí)�。動態(tài)數(shù)字協(xié)議是一個電子協(xié)商和實(shí)施的框架,其允許用戶和系統(tǒng)相互協(xié)商可接受的條款��,并隨后自動地實(shí)施它們����。該框架構(gòu)建在相關(guān)密鑰的基礎(chǔ)上,以便提供在能夠定義的協(xié)議類型上的、非常高級別的靈活性���,且如果需要協(xié)議能夠隨時間不斷變化����。通用角色結(jié)構(gòu)實(shí)體結(jié)構(gòu)認(rèn)可人們傾向于承擔(dān)各種角色這一事實(shí)���。為此����,該結(jié)構(gòu)圍繞基本的構(gòu)造角色來進(jìn)行組織����。角色被定義為由一個實(shí)體承擔(dān)并由另一個實(shí)體擁有的協(xié)議(以接受某些權(quán)力和責(zé)任)。當(dāng)角色的擁有者和承擔(dān)者相同時�����,我們具有角色被稱為自然身份的角色的特殊情況���。普通角色被實(shí)現(xiàn)為實(shí)體,但自然身份具有唯一的設(shè)計特征且被稱為MI As�����。該角色結(jié)構(gòu)意味著個人(通過MIRA表示)能夠承擔(dān)跨任何數(shù)目的機(jī)構(gòu)的多個角色。安全通信基本的實(shí)體結(jié)構(gòu)不提供傳輸層安全特征(例如�����,源和目的地址的混亂)����。主要焦點(diǎn)在于保護(hù)信息的內(nèi)容。實(shí)體SDK提供了用于各種類型的通信安全的擴(kuò)展性支持�����。密鑰安全通信特征包括基于關(guān)系的加密��、嵌入式的使用控制����、權(quán)利管理、訪問位置控制�,等等。在有非常高的安全要求的背景下�,和甚至作為安全路由基礎(chǔ)設(shè)施的一部分也具有對配置實(shí)體安全通信特征的選擇,但這些特征不包括在實(shí)體SDK中��。跨組織的工作流無縫地越過防火墻和合作機(jī)構(gòu)擴(kuò)展實(shí)現(xiàn)應(yīng)用的能力����,并且完全安全。實(shí)體SDK提供了創(chuàng)建和管理完全跨防火墻和網(wǎng)絡(luò)運(yùn)行的工作流的能力——最終的工作得到控制�。記錄和實(shí)例水平數(shù)據(jù)庫安全使應(yīng)用能夠包括存在于內(nèi)部和外部網(wǎng)絡(luò)中的數(shù)據(jù)源、系統(tǒng)和用戶數(shù)據(jù)�。提供高水平的安全和加密一直到屬性和應(yīng)用存儲器的目標(biāo)水平,并跨網(wǎng)絡(luò)執(zhí)行那些權(quán)限����。無國籍許可復(fù)雜的用戶的許可能力,其不需要復(fù)雜和昂貴的服務(wù)器基礎(chǔ)設(shè)施�����,同時允許幾乎無限的�����、定義適合任何商業(yè)配置情況的許可證條款的能力���。該基本概念具有非常廣的應(yīng)用范圍,其范圍從個人-到-個人的安全通信���,到越過防火墻的商業(yè)-到-商業(yè)過程�,等等。本文檔的接下來的幾部分探究幾種通常的綜合情況��。根據(jù)本發(fā)明�,為了使結(jié)果有效,有三個需要遵循的檢驗(yàn)標(biāo)準(zhǔn)的概念����。首先,建立協(xié)商安全通信渠道�。其次,建立動態(tài)的合作網(wǎng)絡(luò)�����。再次�,動態(tài)決定合作協(xié)議。建立安全通信渠道建立安全通信渠道的過程圍繞相互協(xié)商的過程�。在一個典型的例子中,Alice希望與Bob建立安全的通信渠道�。Alice連接到她的聯(lián)絡(luò)代理商。這是一個能夠依靠本地機(jī)或遠(yuǎn)程訪問的工作流代理商����。與聯(lián)絡(luò)代理商的通信一直被加密��,并且只有Alice能夠使用她自己的聯(lián)絡(luò)代理商創(chuàng)建新的連接���。聯(lián)絡(luò)代理商處理對通信渠道、政策和Alice的變化的偏愛的管理����。聯(lián)絡(luò)代理商的用戶界面能夠?yàn)榫W(wǎng)頁,但其也可以與普通生產(chǎn)率應(yīng)用�����,諸如電子郵件無縫地結(jié)合����。
Alice決定她愿意向Bob公開哪些憑證。被提供的憑證可包括由第三方提供的���、用于證明他們的有效性的安全標(biāo)志�。典型的憑證能夠是電子郵件地址���、專業(yè)的會員��、或Bob能夠驗(yàn)證且Alice愿意公開的任何其他證明����。在Bob滿足了 Alice在驗(yàn)證Bob身份的下一步驟將建立的要求后�,該憑證包將只有Bob可以訪問。Alice現(xiàn)在決定她將從Bob要求哪些憑證��。Alice提供了她自己對于將被使用的憑證的評價�。這是一套Bob在訪問由Alice提供的憑證前將必須能夠正確回答的問題和答案。Alice至少必須提供接收者的地址——這是將用于發(fā)送請求的地址。Alice提出通信渠道的屬性�。基本屬性包括截止日期�、加密要求、渠道是否能夠被更新�����,等等����。屬性可以擴(kuò)展�����,但在通信渠道中它們必須可表示為絕對值���,且一旦渠道相互同意�,它們將是不可取消和不可變的�����。聯(lián)絡(luò)代理商現(xiàn)在創(chuàng)建新的隨機(jī)密鑰對(Ksalice和Krbob)并準(zhǔn)備渠道請求包。對Alice愿意與之通信的每一方重復(fù)該過程���。由于使用的憑證是每個渠道中的身份的組成部分�,對Alice而言可能有和使用不同憑證的相同接收者的多個渠道�。聯(lián)絡(luò)代理商試圖發(fā)送請求。如果接收者已經(jīng)使用相同的技術(shù)��,則接收者地址是接收者的聯(lián)絡(luò)代理商的即時通信地址�。在接收者不具有該技術(shù)的情況下���,請求以含有指令的電子郵件或即時消息的形式發(fā)出,并且將自動為接收者將新的聯(lián)絡(luò)代理商實(shí)例化 (instantiated)��。此處要注意的是�,對于要從聯(lián)絡(luò)代理商發(fā)送出的信息而言有可能不要求接收者成為任何通信渠道的一部分,但這不是這里描述的情況��。Bob的聯(lián)絡(luò)代理商接收該請求���。該請求由Alice的域所標(biāo)記�����,并能夠通過證書權(quán)威進(jìn)行公開地驗(yàn)證���。Bob的個人策略(Policy)被激活并開始處理該請求����。在隨后的步驟中���,對Bob而言有可能手動處理該請求���,或他的個人策略能夠含有將允許該請求的整個處理自動進(jìn)行的原則���。Bob檢查由Alice提出的問題。這時Bob只知道有人請求通信渠道�。如果Bob愿意繼續(xù)向前進(jìn)行,則使用Diffie-Hellman協(xié)議進(jìn)行密鑰交換且在協(xié)商的持續(xù)期間交換加密密鑰����。如果Bob決定他不愿意回答Alice提出的問題,他能夠拒絕該請求�����,并可選地提供一個理由給Alice�����。如果Bob決定回答問題����,則回答的整個處理僅在Bob的聯(lián)絡(luò)代理商處發(fā)生。Bob回答來自Alice的問題�,并且他檢查由Alice提議的條款���。創(chuàng)建Bob的答案的散列(hash)并使用協(xié)商的密鑰進(jìn)行加密。Bob現(xiàn)在還決定所提議的條款是否是可接受的且可選地可提議其他條款�。散列(和任何所提議的對條款的改變)將發(fā)回Alice。Alice解密散列并將其與在創(chuàng)建請求時預(yù)先計算的散列進(jìn)行比較�。如果它們匹配��, 則Bob對Alice公開的要求感到滿意��。如果它們不匹配則協(xié)商失敗�。如果Bob提議了可供選擇的條款�,Alice能夠接受它們、拒絕它們和做出可供選擇的提議�。如果做出了可供選擇的提議,該提議將被發(fā)回Bob用于進(jìn)行接受�,并且條款協(xié)商繼續(xù)進(jìn)行直到雙方同意或任何一方終止協(xié)商�。如果協(xié)商成功,Alice發(fā)送Krbob給Bob��。
Bob接收Krbob�,并且他創(chuàng)建他自己的新密鑰對(Ksbob��、Kralice)����。然后他發(fā)送 Kralice 給 Alice。Alice和Bob現(xiàn)在交換了一起作為雙向安全通信渠道的基礎(chǔ)的兩對密鑰�。建立安全通信網(wǎng)絡(luò)一旦存在安全通信渠道的網(wǎng)絡(luò),接下來的邏輯步驟是能夠利用這些渠道創(chuàng)建動態(tài)合作網(wǎng)絡(luò)���。例如��,讓我們看一下下面的合作性網(wǎng)絡(luò)Angela想與慢性病專家Blanchard醫(yī)生預(yù)定一個約會�。Angela的保險范圍 (Health Plus)規(guī)定與專家的約會必須通過她的初級護(hù)理醫(yī)師(PCP) Jones轉(zhuǎn)診。Angela 的策略也規(guī)定PCP僅能轉(zhuǎn)診到由保險提供方認(rèn)可的專家�。在這個例子中,我們假設(shè)所有的各方都建立了聯(lián)絡(luò)代理商�����,且根據(jù)需要通信渠道已成功協(xié)商�����。在過程開始時以下連接已建立Angela-Jones 醫(yī)生-的病人Angela-Health Plus-的成員Jones醫(yī)生-Health Plus-的網(wǎng)絡(luò)的醫(yī)師Blanchard 醫(yī)生-Health Plus—的網(wǎng)絡(luò)的專家此處是在該背景下動態(tài)合作協(xié)議是如何展開的(在該情況中,聯(lián)絡(luò)代理商是其擁有者的在線化身�����,在提到個人的大多數(shù)情況中����,能夠假設(shè)這是聯(lián)絡(luò)代理商基于來自擁有者的直接行動或嵌入在聯(lián)絡(luò)代理商中的已編輯為腳本的權(quán)限來采取行動)1. Angela請求Jones醫(yī)生轉(zhuǎn)診。該過程像發(fā)送由Angela的聯(lián)絡(luò)代理商自動路由給Jones醫(yī)生的電子郵件一樣簡單地發(fā)生��。由于Angela是病人,存在已有策略����,在其中適當(dāng)?shù)奈恢妹枋隽水?dāng)與Jones醫(yī)生通信時Angela能夠做什么。在該例子中���,當(dāng)Angela發(fā)送她的電子郵件時�,該消息被自動認(rèn)證為來自于Angela�����,而Angela則在適當(dāng)?shù)牟呗灾斜蛔詣釉?. 一旦消息被Jones醫(yī)生的聯(lián)絡(luò)代理商接收到�����,Angela的通信權(quán)力已建立��,則消息中的實(shí)際請求被處理����。在這種情況下,可能的過程或許會涉及Jane��,即查看該消息的���、 Jones醫(yī)生的助手����。Jane已被授權(quán)訪問Jones醫(yī)生的聯(lián)絡(luò)代理商,且她可訪問Angela的醫(yī)療記錄中的有限的一部分��。這允許Jane看到Jones醫(yī)生已經(jīng)做出了關(guān)于將Angela轉(zhuǎn)診給專家的記錄�。3. Jane現(xiàn)在需要找到一位可與之聯(lián)系的專家并滿足Angela與HealthPlus的策略的條款。這時Jones醫(yī)生從Angela請求獲得權(quán)限以訪問她與Health Plus的策略����。4. 一旦被授予權(quán)限��,Jones醫(yī)生與Health Plus聯(lián)系���,以便基于Angela的醫(yī)療需要和她的策略請求可與之聯(lián)系的專家的列表��。5. Health Plus接收請求并創(chuàng)建可能的專家的列表��。在將列表返回Jones醫(yī)生前����, Health Plus請求來自每位專家的許可。只有回應(yīng)為可與之聯(lián)系的專家將被返回給Jones 醫(yī)生����。6.通過Jones醫(yī)生的聯(lián)絡(luò)代理商�����,Jane現(xiàn)在有了可與之聯(lián)系的并且愿意見Angela 的專家的列表����。在這次交換期間,也可以交換額外的信息�,諸如可能的約會次數(shù)�。7. Jane現(xiàn)在能夠選擇具體的專家或返回列表給Angela。
8. Angela接受轉(zhuǎn)診并選擇Blanchard醫(yī)生����。一條新的通信渠道在Angela和 Blanchard醫(yī)生之間協(xié)商,并將該選擇通知Jones醫(yī)生����。9. Angela現(xiàn)在能夠與Blanchard醫(yī)生通信并安排約會。在安排約會的過程中�, Angela的醫(yī)療記錄(包括聯(lián)系信息)被自動提供給Blanchard醫(yī)生。10.由于Angela的PCP是Jones醫(yī)生���,將協(xié)商一個新的多方策略并且推出該策略�, 這樣在Angela看Blanchard醫(yī)生后��,Jones醫(yī)生能夠?yàn)樗峁┖罄m(xù)的治療。該新的策略不是新的通信渠道��。恰恰相反��,它是連接到多通信渠道的分布式工作流過程���,但該策略具有其自己的���、擴(kuò)展其利用的渠道的潛規(guī)則�。注意通信渠道是配置和協(xié)商合作協(xié)議的能力基礎(chǔ)��。合作協(xié)議是豐富的工作流腳本�����,其在各方之間協(xié)商并在各參與者的聯(lián)絡(luò)代理商的背景中運(yùn)行�。不同于通信渠道,合作協(xié)議確實(shí)改變并且隨時間不斷變化��。隨著它們服務(wù)的目的不斷變化和有可能終止�,合作協(xié)議也旨在隨時間不管變化和改變��。動態(tài)決定合作協(xié)議通信渠道是用作在一段時間周期內(nèi)的多個合作的管路的安全管道�。通信渠道有目的地不可變的,并且它們的屬性不關(guān)于渠道的壽命發(fā)生改變�。另一方面�,在本質(zhì)上,合作性的協(xié)議固有地是動態(tài)的����。它們表示目的且必須能夠應(yīng)對隨時間發(fā)生的變化����。例如,Alice具有與Bob之間的���、基于職業(yè)關(guān)系的通信渠道�����。該渠道本身僅僅是合作的可能性-它是合作的潛在關(guān)系��。當(dāng)Alice想要從Bob請求一報價時����,她創(chuàng)建包含請求和所有相關(guān)的數(shù)據(jù)的合作協(xié)議�����。該通信渠道用于交換請求�����,但報價過程的實(shí)現(xiàn)包含在合作協(xié)議中��。但在Alice將關(guān)于報價的請求發(fā)送給Bob�����、Charlie和Dave后將發(fā)生什么事�����?可能結(jié)果Dave做出最好的報價���,且最初對Bob和Charlie的請求需要結(jié)束,它變?yōu)榕cDave的購買訂單�����。以下是涉及協(xié)議的動態(tài)的不斷變化中的基本步驟1. Alice發(fā)布報價請求(RFQ)給Bob、Charlie和Dave�。Alice具有最初的版本, 且所發(fā)布的每個副本具有與最初的協(xié)議周期性通信的能力�����。2. 30天后��,Alice收到了報價且她確定Dave給出了最好的報價����。3. Alice現(xiàn)在使用她的RFQ并激活作為協(xié)議的一部分的批準(zhǔn)過程,指定Dave為贏家�����。這觸發(fā)RFQ發(fā)送消息給所有其他的請求�。4. Bob和Charlie的RFQ收到消息�����,因此RFQ終止����,且該RFQ上的進(jìn)一步通信結(jié)束 (或可能有可選的生效的反饋過程)��。5. Dave的RFQ收到該成功通知并觸發(fā)Dave接受訂單并請求購買訂單。6. 一旦Alice收到來自Dave的接受����,將制訂一個含有購買訂單的協(xié)議并發(fā)送到 Dave07. Dave收到購買訂單,檢測條款��,在批準(zhǔn)該購買訂單生效����。最初的RFQ現(xiàn)在關(guān)閉, 但其數(shù)據(jù)是購買訂單的組成部分。當(dāng)然��,關(guān)于該特定主題的存在許多變化���。上述實(shí)例僅解釋了相對簡單單邊變化��。由于協(xié)議被實(shí)現(xiàn)為豐富的工作流�,實(shí)現(xiàn)涉及多方的復(fù)雜規(guī)則是完全有可能的���。根據(jù)相關(guān)的法律標(biāo)準(zhǔn)描述了前述的發(fā)明���,因此本描述是示例性的而不是在本質(zhì)上限定該發(fā)明的。本公開的實(shí)施方式的變化和修改對本領(lǐng)域技術(shù)人員來說是明顯的�����,且在本發(fā)明的范圍內(nèi)進(jìn)行��。因此�,本發(fā)明提供的合法保護(hù)的范圍僅通過研究以下權(quán)利要求才能確定。
權(quán)利要求
1.一種用于管理數(shù)字式互動的方法�,包括接收消息����,所述消息包括關(guān)于關(guān)系的多個被提議的條款,其中所述消息包括發(fā)送方的身份和接收方的身份����,其中所述發(fā)送方的身份被隱藏;以及如果所述多個被提議的條款被接受�����,則打開所述消息并且揭示所述發(fā)送方的身份�。
2.根據(jù)權(quán)利要求1所述的方法���,還包括如果所述多個被提議的條款在所述打開步驟中被接受���,則存儲所述多個被提議的條款。
3.根據(jù)權(quán)利要求1所述的方法����,還包括如果所述接收方拒絕所述多個被提議的條款, 則刪除所述消息�����。
4.根據(jù)權(quán)利要求1所述的方法�,其中所述消息包括認(rèn)證頭,所述方法還包括認(rèn)證所述認(rèn)證頭�����;以及緊接著將所述消息中轉(zhuǎn)給所述接收方�����。
5.根據(jù)權(quán)利要求1所述的方法���,其中所述發(fā)送方的身份包括與所述發(fā)送方相關(guān)聯(lián)的唯一的標(biāo)識符��。
6.根據(jù)權(quán)利要求5所述的方法��,其中所述唯一的標(biāo)識符包括數(shù)字簽名��。
7.根據(jù)權(quán)利要求1所述的方法�,還包括如果所述多個被提議的條款被接受,則允許所述發(fā)送方與所述接收方通信�。
8.根據(jù)權(quán)利要求1所述的方法,其中通過關(guān)系模塊評估所述多個被提議的條款來實(shí)現(xiàn)對接受所述多個被提議的條款的決定��。
全文摘要
一種用于管理數(shù)字式互動的系統(tǒng)�����,其包括用于創(chuàng)建身份的身份模塊���,其中身份包括與第一方相關(guān)聯(lián)的唯一的標(biāo)識符���,用于與第二方的關(guān)系的多個被提議的條款���;及關(guān)系模塊,其與身份模塊通信�,用于接收和評估所述多個被提議的條款�,包括接受或拒絕所述多個被提議的條款,如果接受����,則根據(jù)所述多個被提議的條款允許所述第一方與所述第二方通信。
文檔編號G06Q10/00GK102365648SQ200980139134
公開日2012年2月29日 申請日期2009年8月6日 優(yōu)先權(quán)日2008年8月8日
發(fā)明者菲利浦·理查德 申請人:Mica科技公司