專利名稱:安全令牌和用于利用該安全令牌來(lái)認(rèn)證用戶的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種用于認(rèn)證用戶以賦予對(duì)被保護(hù)的系統(tǒng)的訪問(wèn)權(quán)和便 于個(gè)人數(shù)字身份的管理的方法和裝置。
背景技術(shù):
存在若干裝置和方法用于針對(duì)系統(tǒng)來(lái)認(rèn)證用戶�,該系統(tǒng)可以是建筑系 統(tǒng),或者針對(duì)計(jì)算機(jī)網(wǎng)絡(luò)來(lái)認(rèn)證用戶����,或者針對(duì)遠(yuǎn)程信息系統(tǒng)來(lái)認(rèn)證用戶�����。 認(rèn)證的目的可以是對(duì)建筑物的物理訪問(wèn)如開(kāi)門(mén)或者對(duì)網(wǎng)絡(luò)服務(wù)的邏輯訪 問(wèn)如對(duì)網(wǎng)頁(yè)的訪問(wèn)或者用于例如從遠(yuǎn)程計(jì)算機(jī)系統(tǒng)進(jìn)行信息檢索�����。因此�����,用戶一般將他的姓名與口令或者PIN代碼組^^吏用���,所述姓名也被稱為用戶ro。在成功認(rèn)證之后�,用戶具有對(duì)計(jì)算機(jī)網(wǎng)絡(luò)或者對(duì)所 述系統(tǒng)的訪問(wèn)權(quán)。安全系統(tǒng)中的最弱環(huán)節(jié)一fcl用戶��。這歸因于用戶通常 疏忽于選擇強(qiáng)口令的事實(shí)�。此外,口令常常未被作為高度有價(jià)值的秘密來(lái) 對(duì)待��。另外����,用戶也可能是社會(huì)工程攻擊如網(wǎng)絡(luò)釣魚(yú)的目標(biāo)��,其中用戶名 和對(duì)應(yīng)口令遭到第三方竊取或者掠奪�����。計(jì)算機(jī)系統(tǒng)和因特網(wǎng)服務(wù)的典型用戶將不得不記憶和管理多于50個(gè) 用戶ID��、 口令和PIN代碼,所有這樣的信息必須作為實(shí)際秘密來(lái)對(duì)待����, 因?yàn)樗鼮楫?dāng)今多數(shù)認(rèn)證系統(tǒng)所要求。用戶不將這樣的身份憑證作為有價(jià)值 的秘密來(lái)處理是公知的事實(shí)�。用戶選擇簡(jiǎn)單的口令或者選擇簡(jiǎn)單的規(guī)則來(lái) 記憶口令。字典攻擊可以在數(shù)秒內(nèi)打破這樣的所謂口令秘密�����。為了增強(qiáng)認(rèn) 證安全����,運(yùn)營(yíng)商分發(fā)被動(dòng)的或者主動(dòng)的令牌(卡、OTP列表����、與時(shí)間有 關(guān)的通行代碼生成器�����、數(shù)字證書(shū)等)�����。所有這些物理和虛擬身份憑證的處 理并未使他們的所有者感覺(jué)生活更從容����。許多因特網(wǎng)服務(wù)之所以不再被使 用���,是因?yàn)橛脩敉浟巳绾卧L問(wèn)該站點(diǎn)����。用戶將他們的業(yè)務(wù)關(guān)系限制于更 加為數(shù)不多的運(yùn)營(yíng)商�����,這自然而然地減少了電子商務(wù)的商機(jī)���。盡管許多系 統(tǒng)為運(yùn)營(yíng)商提供身份管理功能��,但是用戶側(cè)身份管理的問(wèn)題仍未解決�。在物理大門(mén)或者虛擬門(mén)戶處的認(rèn)證的目的是相同的。對(duì)受P艮站點(diǎn)的訪 問(wèn)應(yīng)當(dāng)限于被授權(quán)人士�。只有安全策略應(yīng)當(dāng)限定什么身份憑證對(duì)于特定的訪問(wèn)控制是可接受的。然而在現(xiàn)實(shí)社會(huì)中�����,許多組織對(duì)于物理訪問(wèn)(對(duì)建 筑物和站點(diǎn)等的訪問(wèn))和邏輯訪問(wèn)(對(duì)計(jì)算機(jī)系統(tǒng)和信息等的訪問(wèn))使用獨(dú)立的身份憑證��,運(yùn)行不同的并且或多或少分開(kāi)的訪問(wèn)控制系統(tǒng)�。這種不一致性產(chǎn)生了管理開(kāi)銷(xiāo)���、用戶的復(fù)雜化以及最后但并非最不重要的安4^t 陷��。多年以來(lái)�,已建議了聯(lián)合身份管理(FIM)和單點(diǎn)登錄(SSO)系統(tǒng) 或者企業(yè)簡(jiǎn)化單點(diǎn)登錄系統(tǒng)�,以減少這一對(duì)用戶多次認(rèn)證的負(fù)擔(dān)。這是正 確的����,然而這樣的FIM系統(tǒng)的主要問(wèn)題在于需要不同公司或者服務(wù)提供 商必須協(xié)調(diào)它們的工作并Jbf目互接受共同用戶。這不是切實(shí)可行的����。這些 努力最后對(duì)于解決這一 問(wèn)題并不奏效.WO 02/15626涉及一種可用作認(rèn)證裝置的移動(dòng)電話����,其中用戶以包括 生物統(tǒng)計(jì)特征的一種或者多種方式利用該移動(dòng)電話來(lái)自我i^證�����,然后該移 動(dòng)電話利用所請(qǐng)求的服務(wù)來(lái)自我認(rèn)證�����。WO 02/15626力求iE^令牌從用戶 到裝置的傳輸�,其中只要所有認(rèn)證服務(wù)提供商使用同一協(xié)議就可以使用一 次認(rèn)證。發(fā)明內(nèi)容本發(fā)明的 一個(gè)目的在于提供一種允許比使用現(xiàn)有技術(shù)方法更安全的 用戶i人證的方法和裝置�。本發(fā)明的又一目的在于在效率和安全方面優(yōu)化用戶-運(yùn)營(yíng)商關(guān)系。本發(fā)明的另一目的在于提供一種批準(zhǔn)訪問(wèn)安全系統(tǒng)的更簡(jiǎn)單和更符 合人類(lèi)工程學(xué)的方法和裝置�����。本發(fā)明的又一目的在于向用戶提供一種以最少的用戶交互來(lái)管理他 的數(shù)字身份和身份憑證的個(gè)人身份管理系統(tǒng)(PIMS)�。本發(fā)明的另一目的在于向用戶提供一種模塊化PIMS,其可以利用附 加令牌來(lái)隨時(shí)定制�����,所述附加令牌包含了用于新的認(rèn)證或者服務(wù)遞送過(guò)程 的信息。根據(jù)本發(fā)明���,提供了一種安全令牌�,該安全令牌包括個(gè)人數(shù)據(jù)存儲(chǔ) 器�,用以存儲(chǔ)用戶的個(gè)人和個(gè)性化數(shù)據(jù)作為數(shù)字身份憑證;輸入裝置�,用 以允許檢查所述個(gè)人或者個(gè)性化數(shù)據(jù);密鑰記錄數(shù)據(jù)存儲(chǔ)器���,用以存儲(chǔ)認(rèn) 證月艮務(wù)器或者應(yīng)用程序運(yùn)營(yíng)商的身份憑證��;發(fā)送器和接收器單元��,用于創(chuàng)建直接地或者間接地通向所述認(rèn)證服務(wù)器或者應(yīng)用程序運(yùn)營(yíng)商的安全通道�,以處理與所述認(rèn)證服務(wù)器或者應(yīng)用程序運(yùn)營(yíng)商有關(guān)的所述密鑰記錄���; 控制單元,用以考慮到所述處理來(lái)控制發(fā)送器和接收器單元以及密鑰記錄 數(shù)據(jù)存儲(chǔ)器�����,所述處理包括從由解釋����、解密��、創(chuàng)建�����、檢查�����、續(xù)展��、撤銷(xiāo)和進(jìn)一步的密鑰記錄處理行為所組成的組中選擇的行為�����。它可以可選地裝備 有固著機(jī)制����,該固著機(jī)制允許利用定制信息連接到附加令牌(見(jiàn)下文)�。 它還優(yōu)選地包括用于固件更新的電源單元和保護(hù)通道。安全令牌可以具有智能卡的形式���,而且還可以是蜂窩電話或者PDA�。重要的是可以輸入和存儲(chǔ)個(gè)人數(shù)據(jù)。這樣的個(gè)人數(shù)據(jù)可以是秘密或者生物統(tǒng)計(jì)數(shù)據(jù)��。為了允許認(rèn)證����,密鑰記錄數(shù)據(jù)存儲(chǔ)器用iM^儲(chǔ)一個(gè)或者多個(gè)i人 證服務(wù)器的身份憑證。在創(chuàng)建直接地或者間接地通向所述認(rèn)證服務(wù)器的安 全通道之后"處理"這些密鑰記錄���,其中處理包括多個(gè)行為�����。有時(shí)候�,安全令牌與附加令牌組^^吏用��,以在創(chuàng)建新密鑰記錄時(shí)執(zhí)行 身份檢查�����。這樣的附加令牌可以是一次性口令���,以執(zhí)行對(duì)所述口令的性質(zhì) 的認(rèn)伍險(xiǎn)查,或者可以包括電子電路單元�,該電子電路單元具有附加發(fā)送 器和接收器裝置���,用以創(chuàng)建通向安全令牌的附加安全通道。這使整個(gè)裝置 能夠從認(rèn)證服務(wù)器接收消息有效載荷�,其被處理并轉(zhuǎn)發(fā)到所述控制單元, 以處理相關(guān)密鑰記錄��。這一選項(xiàng)使得裝置模塊化并且對(duì)于新認(rèn)證服務(wù)的遞 送而言可定制���,所述新認(rèn)證服務(wù)在向用戶遞送之時(shí)仍然未知��。在優(yōu)選實(shí)施例中���,提供多個(gè)密鑰記錄,每個(gè)記錄歸屬于一個(gè)認(rèn)it^或者認(rèn)證服務(wù)提供商或者運(yùn)營(yíng)商����。幾個(gè)密鑰記錄可以歸屬于認(rèn)"^IL構(gòu)并且以后由不同認(rèn)證服務(wù)提供商激活。這使每個(gè)認(rèn)證機(jī)構(gòu)能夠獨(dú)立i人證令牌內(nèi)用戶的身份�����,而用戶^L有這一個(gè)令牌并且還具有對(duì)他的個(gè)人數(shù)據(jù)(生物統(tǒng)計(jì)數(shù)據(jù)僅存儲(chǔ)在令牌內(nèi))的控制��。由不同組織來(lái)決定如何由不同的認(rèn)證服 務(wù)器或者應(yīng)用程序運(yùn)營(yíng)商處理不同的密鑰記錄���。用戶具有非常方4更的方式 以僅用 一個(gè)安全令牌和所述令牌中安全存儲(chǔ)的不同提供商的憑證來(lái)認(rèn)證 他自己���。如果認(rèn)證服務(wù)器或者應(yīng)用程序運(yùn)營(yíng)商之一想要續(xù)展和改變授權(quán)���, 則這能夠與其它組織的密鑰記錄完全獨(dú)立地進(jìn)行。優(yōu)選實(shí)施例預(yù)見(jiàn)了安全的USB��,特別是小型USB或者其它物理連接 器���,其可以用于重新加栽內(nèi)部電源設(shè)備并且用于自舉(bootstrap)或者續(xù)展 固件��。它也可以用來(lái)遞送不能經(jīng)由其它可用通道來(lái)遞送的B信息(例如 X509證書(shū))��。如果一些CA在市場(chǎng)上領(lǐng)軍��,則可以創(chuàng)建包括不同密鑰記錄的兩個(gè)或者更多密鑰段����,所述不同密鑰記錄可以由不同認(rèn)證機(jī)構(gòu)啟用并分發(fā)到不同認(rèn)證服務(wù)器或者應(yīng)用程序運(yùn)營(yíng)商��。這樣的CA或者由CA授權(quán)的認(rèn)證服務(wù) 提供商可以操作這樣的門(mén)戶�����,該門(mén)戶賦予對(duì)多個(gè)站點(diǎn)和服務(wù)的訪問(wèn)權(quán)�,所 述站點(diǎn)和服務(wù)需要認(rèn)證它們的用戶但是不想運(yùn)行自己的認(rèn)證系統(tǒng)。令牌和方法當(dāng)然目的在于提供安全令牌的肯定認(rèn)證��,以允許用戶相當(dāng) 大量的行為���,比如訪問(wèn)軟件應(yīng)用程序��、實(shí)現(xiàn)支付�����、創(chuàng)建票券或者允許物理 訪問(wèn)�����、特別是開(kāi)門(mén)�����。這樣的用戶側(cè)個(gè)人身份管理系統(tǒng)必須總是在用戶的控 制之下����,并且必須保護(hù)它免受任何外界惡意操控。因此��,個(gè)人身份管理系 統(tǒng)不應(yīng)實(shí)施于可能落入攻擊者控制之下的數(shù)據(jù)終端設(shè)備(PC�、移動(dòng)電話 等)上。本發(fā)明基于發(fā)明人的以下理解現(xiàn)有技術(shù)中使用的提i^源于用戶-運(yùn)營(yíng)商關(guān)系中的a—側(cè)�����。只有用戶側(cè)身份管理才可以處理用戶的多個(gè)身 份憑證�����。本發(fā)明使用戶能夠在高度安全的環(huán)境中使用聯(lián)合身份����,借助于裝置并 且在所使用的方法之內(nèi)使用生物統(tǒng)計(jì)數(shù)據(jù)來(lái)認(rèn)證他自己,而不會(huì)將這樣的 生物統(tǒng)計(jì)數(shù)據(jù)泄露給第三方�。
將參照附圖,借助于示例實(shí)施例的描述來(lái)更詳細(xì)地說(shuō)明本發(fā)明�,其中圖1示出了在安全的環(huán)境中嵌入的根據(jù)本發(fā)明的方法和裝置;圖2示出了用于圖1的裝置的并且同時(shí)使用根據(jù)本發(fā)明的方法的相關(guān) 部分和通信信道����;圖3示意地示出了用于與圖1的方法和裝置一起4吏用的卡;圖4示出了祁^據(jù)本發(fā)明的卡內(nèi)的憑證管理的數(shù)據(jù)架構(gòu)���;圖5示出了根據(jù)本發(fā)明的可能設(shè)置方法�;圖6示意地示出了與用戶在一起的才艮據(jù)本發(fā)明的方法和裝置;圖7組合地示出了才艮據(jù)本發(fā)明的卡與智能卡的交互��;圖8示意地示出了根據(jù)本發(fā)明的卡��;圖9示意地示出了根據(jù)本發(fā)明的袋(pouch);圖IO示出了獨(dú)立工作模式��;圖ll示出了認(rèn)證服務(wù)操作�;圖12示出了認(rèn)ii^操作�;以及圖13示出了聯(lián)合操作。
具體實(shí)施方式
圖1和圖2示意地示出了祁^據(jù)本發(fā)明一個(gè)實(shí)施例的方法的可能布置�。 因此,圖l示出了三功能子系統(tǒng)7����。三功能子系統(tǒng)7包括令牌8、 9�����、 i人證 平臺(tái)6和認(rèn)iJL^塊12���。令牌8�����、 9是安全令牌���,并且在多因子認(rèn)證的環(huán)境 下用作"用戶所具有的東西"���。令牌8、 9可以是智能卡�、SIM卡或者包括 用于這樣的卡的讀取器終端。在后一情況下�,安全令牌8、 9就是智能卡 和讀取器的組合����。PDA或者移動(dòng)電話因此可以被認(rèn)為是這樣的令牌8、 9��。 在以下描述中假設(shè)安全令牌是卡8����、 9。三功能子系統(tǒng)7負(fù)責(zé)控制�、限制和認(rèn)證對(duì)后續(xù)安全應(yīng)用程序13的訪 問(wèn)。本領(lǐng)域技術(shù)人員將理解這樣的應(yīng)用程序13不限于在圖1中示出和提 到的應(yīng)用程序���。將注意到正如下文將要示出的那樣���,運(yùn)行應(yīng)用程序13的 組織所提供的憑證可以是分開(kāi)的(并因此將物理地加栽到子系統(tǒng)7中), 也可以包括在認(rèn)i^塊12中�,通過(guò)軟件傳送到安全存儲(chǔ)器中��。在整個(gè)說(shuō)明書(shū)中�,將使用在說(shuō)明書(shū)末尾的所附標(biāo)號(hào)列表中定義的一些 縮寫(xiě)詞。借助于圖2圖示了這樣的認(rèn)證平臺(tái)6的例子��。認(rèn)證平臺(tái)6包^i午可服 務(wù)器65�����、認(rèn)iit^U構(gòu)服務(wù)器CA64�、認(rèn)證服務(wù)提供商服務(wù)器AuSP63、光學(xué) 功件(feature)61和/或信息發(fā)送裝置62如射頻識(shí)別功件(RFID)��。認(rèn)證平 臺(tái)6可以被構(gòu)建為用以使認(rèn)證服務(wù)提供商能夠批準(zhǔn)訪問(wèn)計(jì)算機(jī)系統(tǒng)的數(shù) 字門(mén)戶�����,或者它可以被構(gòu)建為例如控制訪問(wèn)建筑物的物理門(mén)戶。光學(xué)功件61可以是插件小程序或者是生成閃爍代碼的任何其它圖形 生成程序�,該閃爍代碼在用戶計(jì)算機(jī)的屏幕上例如在客戶機(jī)瀏覽器窗口中 (例如,如在EP1255178中所述)顯示��,并且將通過(guò)卡8����、 9的光學(xué)通道 來(lái)讀取。輸入時(shí)�����,該小程序或者程序使用卡�、段和密鑰記錄地址以及加密 消息獲得認(rèn)證月艮務(wù)器消息。(這一消息經(jīng)由適當(dāng)?shù)狞c(diǎn)到點(diǎn)協(xié)議如SSL協(xié)議 所保護(hù)的http-����、 https-或者其它安全通itA認(rèn)證服務(wù)器被發(fā)送到本地終端 設(shè)備)。在會(huì)話期間���,運(yùn)營(yíng)商可以一次或者數(shù)次認(rèn)證或者檢驗(yàn)被授權(quán)用戶 的存在�����,并且將這一認(rèn)證與只有通過(guò)令牌8��、 9才可訪問(wèn)的事務(wù)專用信息相鏈接���。從服務(wù)器到本地?cái)?shù)據(jù)終端的通道另外受到通常的網(wǎng)絡(luò)安全機(jī)制(VPN���、 https或者其它SSL保護(hù)協(xié)議)保護(hù)。RFID功件62可以是用于RFID服務(wù)器的應(yīng)用程序�����,該RFID服務(wù)器 將來(lái)自認(rèn)證服務(wù)器的地址和消息轉(zhuǎn)換成用于讀取器終端或者卡8�、 9的 RFID通信對(duì)話����。將使用與上i^目同的協(xié)議來(lái)發(fā)送所述消息。除了這兩種通信方式之外���,還可以以聲學(xué)方式或者以簡(jiǎn)單的光學(xué)方式 (IR傳輸)來(lái)傳輸信息����,它們具有這樣的較慢傳輸模式的通常缺陷����。AuSP服務(wù)器63執(zhí)行基本認(rèn)證協(xié)議��,并且它應(yīng)運(yùn)營(yíng)商服務(wù)器63的請(qǐng) 求而生成適當(dāng)?shù)奶魬?zhàn)-響應(yīng)消息�����,對(duì)它加密�����,將它簽名�,而且將它轉(zhuǎn)換成 SOAP消息(簡(jiǎn)單對(duì)象訪問(wèn)協(xié)議)��。如有必要(首次和續(xù)展注冊(cè)��、在線登 記)����,則它與認(rèn)一構(gòu)服務(wù)器(CA服務(wù)器)64通信以獲得必要的密鑰、 激活和續(xù)展代碼��。CA服務(wù)器64允許i人證機(jī)構(gòu)(CA)利用它們的私有密鑰初始化卡8����、 9以及執(zhí)行登記過(guò)程��。許可服務(wù)器65是卡管理系統(tǒng)�,該管理系統(tǒng)管理所有的流通卡8��、 9�, 遞送用于CA服務(wù)器64的訪問(wèn)代碼(SAC-段激活代碼53、 KAC-密鑰激 活代碼54)以及許可續(xù)雇 信息(具有新KED-密鑰到期日期的KRC-密鑰 續(xù)展代碼�����,參照?qǐng)D4中的標(biāo)號(hào)77)�����。許可控制代碼允許實(shí)施新的�、靈活的 和模塊化的商業(yè)模型,對(duì)一個(gè)或者多個(gè)認(rèn)證行為收費(fèi)��,或者針對(duì)有限的或 者無(wú)限的時(shí)段收費(fèi)(^牌8����、 9的每次銷(xiāo)售進(jìn)行許可)����?�?梢葬槍?duì)經(jīng)由因特網(wǎng)提供的應(yīng)用程序來(lái)實(shí)現(xiàn)根據(jù)本發(fā)明的方法的基 本實(shí)施例��。然而整個(gè)認(rèn)證方法也可以用于^Mt系統(tǒng)(Windows���、 Solaris、 Linux等)之內(nèi)的認(rèn)證或者用于需要用戶認(rèn)證的應(yīng)用程序(SAP�����、 Secure Adobe, CRM�、 CSM等)中的認(rèn)證。如果根據(jù)本發(fā)明的方法用于^^作系 統(tǒng)或者應(yīng)用程序��,則所述應(yīng)用程序的標(biāo)準(zhǔn)登錄和用戶認(rèn)i^塊必須用根據(jù) 本發(fā)明的對(duì)應(yīng)認(rèn)i^塊來(lái)替換��。將借助于圖3�、圖4、圖8和圖9來(lái)說(shuō)明根據(jù)本發(fā)明的裝置���。個(gè)人或者用戶l根據(jù)如下所述的方法建立到卡8���、 9的鏈接。卡8�、 9 相對(duì)于某個(gè)認(rèn)證服務(wù)提供商為個(gè)人身份保持個(gè)人(生物統(tǒng)計(jì))數(shù)據(jù)31 (在 多因子認(rèn)證中,這一憑證是"關(guān)于用戶是誰(shuí)的東西")����、個(gè)人化的數(shù)字?jǐn)?shù)據(jù) 33和被驗(yàn)證的數(shù)字憑證34、 34�����,�����,并且建立通向AuSP服務(wù)器2�、 2,的持 久的�����、強(qiáng)的和可證明的鏈接35��、 35����,。個(gè)人化的數(shù)字?jǐn)?shù)據(jù)和被mi"的憑證33�����、 34 —起形成密鑰記錄75的基本信息�����。這可以一次性并且永久地進(jìn)行�����。 數(shù)字憑證33��、 34可以被初始化并被提供給獨(dú)立的信息管理系統(tǒng)(IMS) 和它們的認(rèn)證服務(wù)器2���、 2�����,�。然而��,憑證33���、 34�、 33,�、 34,也可以被提供 給本領(lǐng)域技術(shù)人員已知的任何其它系統(tǒng)�����。圖3還示出了以下可能性多個(gè) 不同數(shù)字憑證1至n可以保存在卡8上����,并且另外卡8被配備用以通過(guò)憑 證34、 34���,等抬r驗(yàn)IMS服務(wù)器2���、 2,的身份��。根據(jù)圖3的裝置的一個(gè)優(yōu)點(diǎn) 是�,個(gè)人數(shù)據(jù)亦即生物統(tǒng)計(jì)數(shù)據(jù)或者秘密的輸入是通過(guò)連接10處理的, 并且被存儲(chǔ)為因子31��。當(dāng)創(chuàng)建私有密鑰1至n時(shí)��,這些條目被使用,但 是優(yōu)選地并不必然包括這樣的數(shù)據(jù)作為密鑰的部分�����。這具有以下優(yōu)點(diǎn)用 戶通過(guò)他的生物統(tǒng)計(jì)數(shù)據(jù)而保持作為卡8的所有者也是物理所有者���,并且 預(yù)期這些生物統(tǒng)計(jì)數(shù)據(jù)不會(huì)在卡8以外散布。因此沒(méi)有可能例如通過(guò)第三 方的黑客行為來(lái)濫用存儲(chǔ)這樣的生物統(tǒng)計(jì)數(shù)據(jù)的主服務(wù)器中的此類(lèi)數(shù)據(jù)�����。 這是重要的�����,因?yàn)檫@樣的生物統(tǒng)計(jì)數(shù)據(jù)不能如PIN可能被取代的那樣被 取代����。一方面,卡8��、 9通過(guò)二或三因子認(rèn)證7iM^^L授權(quán)用戶的身份��, 另一方面��,它處理可以具有各種不同形式的身份憑證和數(shù)字認(rèn)證請(qǐng)求?��??所提供的這樣的認(rèn)證服務(wù)的此類(lèi)例子可以是如來(lái)自相同發(fā)明人的EP 1��, 480,107中說(shuō)明的對(duì)挑戰(zhàn)-響應(yīng)協(xié)議的響應(yīng)�����、數(shù)字簽名的生成����、消息認(rèn)證代 碼的遞送或者用于軟件證書(shū)的激活代碼����。這樣的數(shù)字認(rèn)證請(qǐng)求可以包括涉 及"用戶知道的東西,����,的挑戰(zhàn)。取決于安全等級(jí)�����,可以省略所述檢查之一����。如可以從圖4中所示這樣的卡的例子和如圖5中所示的制造過(guò)程4��、 5的例子中看到的那樣����,根據(jù)本發(fā)明的卡8優(yōu)選地預(yù)先加載有一組地址51 ��、 52和73�、密鑰33���、 34���、 72、 79以及代碼53�、 54、 76���、 77���。卡8是個(gè)人 數(shù)字身份管理助理����。這意味著關(guān)于用戶身份的信息以及涉及其它服務(wù)的其 它信息存儲(chǔ)在卡8上����。如圖3中的標(biāo)號(hào)31所示�,涉及用戶身份的信息通 常與登記記錄74等一起包含在總數(shù)據(jù)55中?�??包括幾個(gè)密鑰存儲(chǔ)段 71�����,其中各段可以包括多個(gè)密鑰記錄75�。這等效于內(nèi)部身份憑證管理系 統(tǒng),其包含作為數(shù)字身份憑證的密鑰存儲(chǔ)部分71內(nèi)的密鑰存儲(chǔ)記錄75 中的私有密鑰(34的部分)��、使用專用私有密鑰的AuSP的對(duì)應(yīng)公共密鑰 (34的部分)�����、加栽私有密鑰的CA 79的爿>共密鑰��、可選登記78和許可 訪問(wèn)信息�����。密鑰續(xù)展部分77以及段激活代碼53也包含在每個(gè)段中。然而����, 卡上存儲(chǔ)的所有數(shù)據(jù)可經(jīng)由適當(dāng)接口和適當(dāng)權(quán)限(許可或者CA權(quán)限)在 外部遞送,和/或可以通過(guò)分開(kāi)上傳而稍后加以更新����。因此,圖4中所示 的結(jié)構(gòu)示出了使用中的卡����?�?梢允沟谝?CA具有僅含一個(gè)記錄75的段71而第二 CA具有例如含五個(gè)記錄75的另一段71�。稍后總是可以將卡8的 記錄分配擴(kuò)展到附加的CA (新的第三CA可以接收新創(chuàng)建的段),或者 可以為所述第一或第二 CA分配附加的或者刪除現(xiàn)有的記錄75��。這樣的 信息在卡的存儲(chǔ)器內(nèi)的物理位置按照身份號(hào)來(lái)控制�,比如IDT 51用于令 牌、IDS52用于段而IDX73用于密鑰記錄����。圖8示出了根據(jù)本發(fā)明的這樣的卡8的第一實(shí)施例???具有與通常 信用卡相似的尺寸���,但是一般比信用卡厚,通常有兩倍至三倍厚(在圖8 和圖9內(nèi)的表示有所夸大)�。個(gè)人信息83通過(guò)存儲(chǔ)裝置存儲(chǔ)在卡上。存儲(chǔ) 裝置可以是簡(jiǎn)單圖片���、條形碼�、射頻芯片或者任何其它適當(dāng)?shù)难b置����。另夕卜, 卡8包括接納袋用以接納附加芯片卡84���,該附加芯片卡84可以被插入和 移開(kāi)��,如箭頭82所示����。附加芯片卡84可以是與可以在卡8中插入的SIM 卡類(lèi)似的芯片卡�。芯片卡84也可以被稱為附加令牌。幾個(gè)不同的芯片卡 可以由不同的CA��、 AuSP和運(yùn)營(yíng)商編輯。除了物理地添加附加安全令牌之外���,還可以將所述信息上傳到存儲(chǔ)器 中�,如在涉及圖7的描述中將會(huì)看到的那樣�����。AuSP或者運(yùn)營(yíng)商可以接受 如足以訪問(wèn)他的服務(wù)這樣的上傳���,或者要求在卡8或9之內(nèi)存在物理令牌 84或94�。圖9示出了才艮據(jù)本發(fā)明的袋9的笫二實(shí)施例���。袋9也具有與第一實(shí)施 例中的卡8相似的尺寸,個(gè)人信息83通過(guò)存儲(chǔ)裝置存儲(chǔ)在袋上�����。存儲(chǔ)裝 置可以是筒單圖片���、M碼�、射頻芯片或者任何其它適當(dāng)?shù)难b置�。另夕卜, 袋9包括槽91以便接納附加數(shù)據(jù)卡94,該附加數(shù)據(jù)卡94可以插入和移 開(kāi)�����,如箭頭92所示���。附加數(shù)據(jù)卡94可以是具有電連接器或者RFID接口 的智能卡��。然而�,附加數(shù)據(jù)卡94可以通過(guò)某種;Wfe連接器扣合到袋9���。 附加數(shù)據(jù)卡94也可以被稱為附加令牌��。第三實(shí)施例可以僅包括數(shù)據(jù)卡8而沒(méi)有通向芯片卡或者智能卡的附 加接口���。為了簡(jiǎn)化起見(jiàn),卡8和袋9現(xiàn)在將^L稱為卡8����、 9,并且芯片卡和附 加數(shù)據(jù)卡現(xiàn)在將被稱為附加令牌84��、 94����。另外����,卡8�、 9可以包括幾個(gè)接口 85、 95�。接口 85、 95可以是光學(xué) 接口����、射頻接口或者電接口。然而��,也可以使用本領(lǐng)域技術(shù)人員已知的任 何其它接口 ���。例如光學(xué)接口能夠讀取由客戶機(jī)瀏覽器61提供的閃爍代碼����。 另外也有可能卡8��、 9包括顯示裝置以便向用戶顯示狀態(tài)和其它信息�����。顯示裝置可以是用于狀態(tài)信息的LED或者用于發(fā)送更復(fù)雜信息的液晶顯示 器�����。
為了將來(lái)自附加令牌84��、 94的數(shù)據(jù)發(fā)送到卡8����,將建立以下安全連 接,該安全連^^吏用了在二者之間的安全通信信道或者加密通信信道40����。 這一連接將在附加卡84、 94首次與令牌8取得聯(lián)系時(shí)建立��。在這一首次 插入之后��,取決于附加卡的編輯者的策略��,對(duì)附加卡84��、 94的使用可以 限于令牌8��、 9��。
如圖4中所示的卡8包含內(nèi)部身份憑證管理系統(tǒng),其包>^為身#^ 證的私有密鑰����、使用專用私有密鑰的AuSP 63的對(duì)應(yīng)公共密鑰、加載私 有密鑰的CA64的公共密鑰�、登記、許可訪問(wèn)和軟件更新信息��。
為了在運(yùn)營(yíng)商(服務(wù)提供商等)與用戶(卡持有者)之間實(shí)現(xiàn)多個(gè)獨(dú) 立關(guān)系�,密鑰管理和初始化系統(tǒng)是必要的。
數(shù)字身份服務(wù)或者單獨(dú)使用內(nèi)部身份憑證來(lái)工作��,如段71和密鑰記 錄75內(nèi)提供的那樣�,或者使用內(nèi)部身M證和通過(guò)可用接口之一優(yōu)選地 為光學(xué)、射頻或者電接觸而進(jìn)入卡8的某種特定接收信息來(lái)工作�����,或者使 用內(nèi)部身份憑證����、通過(guò)可用接口之一而1令牌的某種特定接收信息以及 來(lái)自扣合到令牌的可更換和可定制的附加令牌84、 94的某種附加信息來(lái)工作�����。
附加令牌84�����、 94可以包含這樣的信息�����,所述信息指定了認(rèn)證服務(wù)的 性質(zhì)�����,以便為商業(yè)關(guān)系提供附加令牌84����、 94的編輯者或者拔:供商。它還 可以包含只有卡8的專用所有者才可以使用的附加身份憑證��。通常附加令 牌84��、 94可以由第三方發(fā)行�。附加令牌84、 94可以例如由商業(yè)機(jī)構(gòu)如4艮 行����、在線商店����、保險(xiǎn)公司發(fā)行�����?���;蛘吒郊恿钆瓶梢杂晒景l(fā)行給它的雇員 以便獲得對(duì)內(nèi)部計(jì)算機(jī)系統(tǒng)的訪問(wèn)。附加令牌還可以是在卡8�、 9之前已 經(jīng)發(fā)行給用戶的令牌。
圖7的用戶1使用卡8或9����。使用新服務(wù)需要認(rèn)證。這樣的服務(wù)可以 是第一次服務(wù)���,或者可以是多個(gè)已有服務(wù)之一����。根據(jù)生物統(tǒng)計(jì)標(biāo)識(shí)�����,卡8 直接鏈接到用戶1。新服務(wù)的提供商現(xiàn)在發(fā)送令牌84給用戶1����?���?梢詮?AuSU�����、 AXS-CA或者AXS-PI發(fā)行這一令牌84��。唯一重要的^IJ艮務(wù)提供 商信任令牌84的發(fā)送方�。令牌94的遞送因此用標(biāo)號(hào)47表示。如圖7中 的圖形形式所示����,令牌可以是智能卡、SIM卡的芯片或者等效物或者用 以訪問(wèn)安全網(wǎng)頁(yè)的一次性口令或者鏈接。唯一重要的是在首次使用令牌84時(shí)����,卡8起動(dòng)卡與AuSU之間的安全通道41,以及對(duì)待激活的新段71 或者記錄75的安全訪問(wèn)��。當(dāng)然有可能的是���,令牌是自行在卡8與智能卡 84之間創(chuàng)建安全通道40的智能卡84�����,但是也有可能在無(wú)外部硬件的卡8 內(nèi)部4吏用一次性令牌����。
在開(kāi)啟這一通道41時(shí)�,涉及新身份的消息有效載荷通過(guò)通道發(fā)送到 卡8�,然后通過(guò)令牌84來(lái)處理和確i人,或者直接通過(guò)如上所述的一次性 令牌來(lái)確認(rèn)���。最后,初始化新段71和/或現(xiàn)有段71內(nèi)的新記錄75���。
在上述平臺(tái)中,身份憑證可以是成對(duì)的簽名不對(duì)稱密鑰�。所述對(duì)中的
私有密鑰總是"使用它來(lái)自rnui的實(shí)體的安全存儲(chǔ)器中����。對(duì)應(yīng)公共密
鑰由CA簽名并分發(fā)到想要標(biāo)識(shí)密鑰私有部分所有者的所有實(shí)例。網(wǎng)絡(luò)架 構(gòu)之上的所有加密消息首先用接收方的公共密鑰來(lái)加密�����,并且用發(fā)送方的 私有密鑰來(lái)簽名�����。該系統(tǒng)可以用不同的不對(duì)稱加密方案來(lái)運(yùn)行本領(lǐng)域技 術(shù)人員已知的具有適當(dāng)密鑰長(zhǎng)度的RSA、 ECC���、 ElGamal加密���。
平臺(tái)的數(shù)據(jù)架構(gòu)預(yù)見(jiàn)了用于卡持有者所具有的與要求i^證的應(yīng)用程 序運(yùn)營(yíng)商(AuSU66)的每個(gè)商業(yè)關(guān)系的密鑰記錄。認(rèn)證服務(wù)由認(rèn)證服務(wù) 提供商(AuSP 63 )提供����,或者集成在AuSU 66的IMS中����,或者是專用 外部服務(wù)。AuSP 63注冊(cè)最終用戶�����,并且在擁有卡上的密鑰存儲(chǔ)段71的 CA 64的允許之下激活卡8�、 9上的對(duì)應(yīng)密鑰記錄��。AuSP 63同時(shí)將他的 身份憑證遞送到卡8中供相互認(rèn)證用�。在卡8在AuSP 63注冊(cè)之后,密 鑰記錄75具有作為身份憑證的被激活的私有密鑰(在76內(nèi))和(可選的) 將會(huì)用于通過(guò)卡8認(rèn)證AuSP 63服務(wù)器的AuSP 63的公共密鑰�����。在袋9 的情況下, 一些密鑰記錄包含用于密鑰信息的附加域���,所述密鑰信息用于 與連接的智能卡通信。
如圖13中所示�����,卡8由卡的生產(chǎn)商(AXS-PI67)發(fā)行�。每個(gè)卡8�����、 9可以由幾個(gè)獨(dú)立的CA 64使用����,每個(gè)CA 64使用卡8的一個(gè)段71����,所 述卡8已經(jīng)接收到用于這樣的用途的許可�。每個(gè)CA可以應(yīng)最終用戶的請(qǐng) 求在卡8上存儲(chǔ)一組身份憑證(初始化的密鑰記錄)75。 一個(gè)CA 64的 身份憑證與一定數(shù)目的密鑰記錄75 —起全都存儲(chǔ)在自有分配的段71中�����, 所述密鑰記錄75可以由CA 64或者附屬于CA 64的AuSP 63在給定的時(shí) 間激活�?��?òl(fā)行CA 64使用初始化的第一個(gè)段71來(lái)遞送卡8�。它還關(guān)心 用戶用卡8首次躬己�����。初始化進(jìn)一步的密鑰存儲(chǔ)段71的CA 64此后可以 請(qǐng)求運(yùn)^f^i己協(xié)議���,或者可以接受卡發(fā)行CA64的登記���。對(duì)應(yīng)信息(用 于段71的被稱為手指代碼的個(gè)人登記代碼和對(duì)應(yīng)指紋映射)與CA的證書(shū)(公共密鑰) 一起存儲(chǔ)在段71內(nèi)部�。進(jìn)一步的CA的初始化也可以在 發(fā)行卡給用戶之后發(fā)生。只要在固件加載102 (AXS-PI)到卡中之后就預(yù) 先限定必要訪問(wèn)代碼即可�。
每個(gè)密鑰記錄包含限定所用密鑰長(zhǎng)度����、密碼算法和消息數(shù)據(jù)處理的附 加處理信息���。對(duì)段71和對(duì)內(nèi)部每個(gè)密鑰75的訪問(wèn)是在對(duì)應(yīng)CA 64的單 獨(dú)控制之下進(jìn)行的����。但是為了初始化段和密鑰記錄�,CA64必須獲得由卡 生產(chǎn)商AXS-PI67遞送的段訪問(wèn)(SAC)和密鑰記錄訪問(wèn)(KAC)代碼���。 對(duì)于每個(gè)被激活的密鑰記錄都限定了到期數(shù)據(jù)(KED)����。在激活密鑰記錄 (卡8在AuSP 63注冊(cè))之時(shí)設(shè)置KED。密鑰記錄是有效的����,直到事件 和時(shí)間日志記錄中的最近日期比KED新為止�����。此后分別在下一次^f吏用密 鑰記錄憑證時(shí)����,KED必須刷新到新日期。這一刷新請(qǐng)求是同樣由卡生產(chǎn) 商遞送的密鑰續(xù)展代碼(KRC)����。這些解鎖和續(xù)展機(jī)制針對(duì)使用中的所有 身份憑證允許定期許可激活��。類(lèi)似的機(jī)制允許撤銷(xiāo)一個(gè)卡內(nèi)的單個(gè)憑證而 不影響卡和卡上其它憑證的可用性�。
控制和元數(shù)據(jù)M允許以同一個(gè)卡8實(shí)現(xiàn)完全不同的使用情況和商
業(yè)模型而不更^ti^固件。
用于^1置如上所述的卡8和附加令牌84的方法在圖4和圖5中圖示���, 并且描述如下�。
卡8��、 9的生產(chǎn)包括以下步驟
-硬件生產(chǎn)IOO���,其中將制造卡8或者袋9�����。
-加栽固件IOI�����。將在卡上加栽固件����。
-將測(cè)試硬件和固件���。
如果所有測(cè)試成功,則卡8���、 9被稱為"匿名卡"��,然后準(zhǔn)備加載不同 的標(biāo)識(shí)符����、憑證和代碼。
以下步驟^f吏匿名卡個(gè)性化 畫(huà)加栽卡初始化激活和續(xù)>^代碼102��。
初始化實(shí)例將標(biāo)識(shí)符映射輸入到身份憑證數(shù)據(jù)庫(kù)中�����,并且用標(biāo)識(shí)符 (IDT�、 IDS、 IDX)和許可控制^R碼(SAC�����、 KAC����、 KRC )來(lái)初始化卡 8��、 9�����,而且在每個(gè)記錄上設(shè)置密鑰到期數(shù)據(jù)(KED)。在這一步驟之后�����, 硬件和固件只有通過(guò)標(biāo)準(zhǔn)通信信道(例如RFID�����、光學(xué)接口等)才可以訪 問(wèn)。在生產(chǎn)和初始化步驟之后�,個(gè)性化的卡8、 9被送達(dá)CA64。 CA 64 在每個(gè)卡8��、 9上運(yùn)行以下密鑰加載協(xié)議
誦將用于專用批次PubCA的CA公共密鑰(PubCA)加載到由SAC 代碼103���、 104開(kāi)啟的段中�����。
-用私有密鑰IDX���、密鑰激活代碼(KAC)和限定消息操作的命令控 制來(lái)初始化該段的密鑰記錄。
此后將應(yīng)用以下步驟
-通過(guò)在卡105中注冊(cè)生物統(tǒng)計(jì)參考模板來(lái)登記用戶。
CA64用數(shù)字密碼身份憑證來(lái)初始化該卡并且產(chǎn)生對(duì)應(yīng)證書(shū)���。它將它 們(卡以及可選證書(shū))遞送到附屬登記中心(EC)。每個(gè)證書(shū)包含關(guān)于安 全等級(jí)的信息���,所述安全等級(jí)已通過(guò)發(fā)行CA64各自其EC而應(yīng)用于登記 過(guò)程��。存在具有不同的安全等級(jí)并且具有反比例的部署容易度的三個(gè)登記 環(huán)境
作為第1等級(jí)登記安全而應(yīng)用分布模型���。在卡和特殊躬己使能代碼已 經(jīng)通過(guò)安全通道^L送到用戶之后�����,登記可以在任何地方進(jìn)行(標(biāo)準(zhǔn)安全 等級(jí)����,例如適用于信用卡發(fā)行)�����?�?ㄍㄟ^(guò)無(wú)保護(hù)但是可靠的分發(fā)通道(郵 遞�����、組織內(nèi)的HR部門(mén)等)送達(dá)最終用戶�。并行地,登記代碼通過(guò)安全通 道(例如經(jīng)驗(yàn)汪的郵件)送達(dá)最終用戶��。使用登記代碼���,最終用戶可以在 連接到因特網(wǎng)的任啊計(jì)算^:行登記協(xié)議���。登記協(xié)議由CA的認(rèn)證服務(wù)器 提供�。
作為笫2等級(jí)登記安全而應(yīng)用信任樹(shù)模型���。在受信任并且已經(jīng)躬己的 人面前進(jìn)行登記,所i!A員有權(quán)登記新的用戶(增強(qiáng)的安全等級(jí))�����。新的 最終用戶;^代理商那里獲得他的卡8���、 9���,所述代理商個(gè)人J人識(shí)他并且已 經(jīng)擁有登記卡��。新的最終用戶在與分布模型中相比相同的安全通道上獲取 對(duì)應(yīng)的壁4己代碼。為了針對(duì)新卡8���、 9運(yùn)行^i己i5H義����,代理商必須利用他 的卡8、 9在任何有因特網(wǎng)連接的計(jì)算機(jī)上啟動(dòng)它。然后新用戶從同一計(jì) 算機(jī)終端運(yùn)行標(biāo)準(zhǔn)登記過(guò)程�����。代理商認(rèn)識(shí)新用戶并且因此保證只有恰當(dāng)?shù)?人才獲得登記���。他充當(dāng)臨時(shí)移動(dòng)EC���。
作為第3等級(jí)登記安全而應(yīng)用經(jīng)驗(yàn)證的認(rèn)iiE^型。在出示正式身份護(hù) 照的情況下�,在人工監(jiān)控之下的受信任站點(diǎn)(EC)內(nèi)部進(jìn)行登記(高安 全等級(jí))。CA委托并驗(yàn)證受保護(hù)的環(huán)境下的特定站點(diǎn)成為登記中心(EC )���。 新最終用戶在他的身份通過(guò)EC官員檢驗(yàn)(例如出示i^發(fā)行的護(hù)照)之后接收EC中的卡8���、 9���。新最終用戶然后在EC中的專用終端上運(yùn)行登記 協(xié)議����。登記代碼由EC官員提供���。
后來(lái)想要對(duì)他的卡8���、 9的安全等級(jí)進(jìn)行升級(jí)的用戶1必須履行新的 登記過(guò)程或者檢驗(yàn)他的與目標(biāo)安全等級(jí)兼容的登記。如果多于一個(gè)的CA 發(fā)行卡和證書(shū),則可以祁4^iH人J^iiE標(biāo)準(zhǔn)(CC���、 IPSEC、 FIPS)來(lái)J^i CA和EC的初始化和登記過(guò)程以保"M目互信任����。登記過(guò)程對(duì)于所有三個(gè) 安全等級(jí)是相同的����。它在作為個(gè)人的用戶與卡8、 9之間建立了強(qiáng)的2或 者3因子鏈接�。在恰當(dāng)?shù)怯浿?,每個(gè)證書(shū)表示了針對(duì)用戶身份的獨(dú)立的 被驗(yàn)證的數(shù)字身份憑證。
在所有認(rèn)證系統(tǒng)中��,登記是關(guān)鍵步驟�����,其包括先驗(yàn)知識(shí)和與個(gè)人1 的身份有關(guān)的保證���。在多數(shù)情況下,初始身份信息來(lái)自政府的IMS����。對(duì) 其市民的身份的注冊(cè)和管理是任一個(gè)州最重要的任務(wù)之一�����。所有IMS必 須在某種官方政府發(fā)行的憑證方面自舉�����。
在完成登記協(xié)議之后�����,登記安全等級(jí)被寫(xiě)入到卡8、 9中��,并且在進(jìn) 一步的注冊(cè)或者i人證過(guò)程中加以查詢���。
在躬己之后����,卡隨時(shí)可被使用。為此�����,用戶(登記卡持有者)進(jìn)行以 下兩個(gè)^Mt:
-當(dāng)首次訪問(wèn)新站點(diǎn)或者服務(wù)時(shí)在AuSP 106注冊(cè)
-每當(dāng)用戶需要證明他的身份以訪問(wèn)受限站點(diǎn)或者服務(wù)時(shí)就進(jìn)行認(rèn)證
107���。
在上述步驟之后,卡8�����、 9是供AuSP66使用的工作卡8、 9��。然而�����, 如果憑證到期,則它們可以用密鑰續(xù)展代碼來(lái)解鎖108�。如果代碼有效, 則卡會(huì)被解鎖�����。如果代碼無(wú)效����,則會(huì)卡上的專用密鑰會(huì)^L封鎖。
此外����,如果袋9與附加令牌94組^t用,則袋9和附加令牌94的初 始化110是必要的�。
袋9選項(xiàng)允許附加令牌94的在后定制功能。在附加令牌94中處理對(duì) 消息有效載荷的特定響應(yīng)��,所述附加令牌94可以是智能卡或者是可以扣 到卡上的另一可移動(dòng)令牌���。袋9 (具有用以保持智能卡的M槽91的卡) 充當(dāng)認(rèn)證裝置,其經(jīng)由袋與SMC之間的安全通道40將解密消息發(fā)送到 SMC�����。第一次通過(guò)對(duì)稱機(jī)制將附加令牌94引入到袋9中時(shí)��,建立這一安 全通道40��。在這一初始化之后�,附加令牌94只能與初始袋9通信。通向 其它裝置(讀卡器)的所有其它通信信道并未通過(guò)這一初始化操作而更改。如果借助于附加一次性軟件令牌來(lái)處理消息有效載荷以初始化給定的段71或者記錄75 �,則這一點(diǎn)同樣成立?����?梢栽贏uSP/AuSU注冊(cè)卡8����、 9。當(dāng)用戶與運(yùn)營(yíng)商(AuSP/AuSU) 簽訂商業(yè)關(guān)系時(shí)����,用戶的卡8��、 9的下一可用證書(shū)必須遞送到運(yùn)營(yíng)商的認(rèn) 證服務(wù)器���。這一證書(shū)然后被分配專用于在這一特定運(yùn)營(yíng)商網(wǎng)絡(luò)中認(rèn)證用 戶���。認(rèn)證服務(wù)器可以是運(yùn)營(yíng)商自身的IMS的部分�����,或者可以由外部認(rèn)證 服務(wù)提供商(AuSP)運(yùn)營(yíng)�����。在網(wǎng)絡(luò)注冊(cè)中�����,在認(rèn)證服務(wù)提供商(AuSP)的IMS中注冊(cè)卡8��、 9。 卡8���、 9注冊(cè)激活了初始存儲(chǔ)密鑰(IDX)列表中的下一未用密鑰���。該消 息還包含AuSP的CA簽名公共密鑰����。這然后允許服務(wù)器與卡8����、 9之間 的相互i/^證。每個(gè)密鑰記錄中的密鑰續(xù)展部分是許可控制域����。它包含密鑰續(xù)展代碼 (KRC),其阻止不合法消息訪問(wèn)此域�����。在該域中還有密鑰到期代碼����,其 定義了實(shí)際記錄的有效日期。在超過(guò)有效日期之后�����,(由被授權(quán)實(shí)例發(fā)送 的)新的密鑰續(xù)>|1代碼必須存儲(chǔ)在記錄中,并且KED必須;殳置為新的到期日期���。提供商為所有編輯的卡8�、 9維護(hù)憑證管理系統(tǒng)。這一系統(tǒng)遞送用以 在卡中存儲(chǔ)、初始化和操作身份憑證的必要代碼����。它還將允許與涉及到的 CA協(xié)作�,復(fù)制丟失或者被竊的卡,而無(wú)需過(guò)多的用戶交互(只須用戶再 登記)���。參照?qǐng)D7�,沒(méi)有被信任的運(yùn)營(yíng)商網(wǎng)絡(luò)有必要實(shí)現(xiàn)身份聯(lián)盟��。許多不同 的相互信任或者非信任的組織可以使用相同的卡8�����、 9來(lái)認(rèn)證它的所有者�。 唯一的限制在于,所述組織必須保證或者相信卡實(shí)際上在聲稱的用戶手 中����。這可以通過(guò)^^己檢查來(lái)完成。每個(gè)運(yùn)營(yíng)商可以通過(guò)因特網(wǎng)在任何時(shí)間 進(jìn)行這樣的檢查(參見(jiàn)登記協(xié)議)����。通常只要運(yùn)營(yíng)商從編輯CA獲得對(duì)卡 8、 9內(nèi)特定憑證的訪問(wèn)即可���。CA然后以指定的安全等級(jí)保證所標(biāo)識(shí)的卡 8����、 9為合法所有者單獨(dú)擁有�����。于是4艮容易開(kāi)始新的商業(yè)關(guān)系�����。用戶只需 在運(yùn)營(yíng)商的IMS中重新注冊(cè)他的個(gè)人卡8、 9���。運(yùn)營(yíng)商為卡8�、 9中存儲(chǔ) 的預(yù)先初始化的身份憑證之一獲取訪問(wèn)代碼�����,并M于特定分配的身份憑 證�����,建立與這一用戶可信的一對(duì)一關(guān)系���。這一方案實(shí)現(xiàn)了遍及接受認(rèn)證的 所有運(yùn)營(yíng)商的無(wú)限制身份^Ji����。因此�,卡8、 9將相同的身份憑證用于邏輯和物理訪問(wèn)����。邏輯與物理訪問(wèn)系統(tǒng)之間的分離部分地來(lái)自于使用兩個(gè)不同通信概念的事實(shí)。對(duì)于物 理訪問(wèn),我們常常使用集成電路卡(智能卡)����,其保持了我們必須向入口 大門(mén)處的讀取器出示(接觸或者無(wú)接觸)的身份憑證。對(duì)于邏輯訪問(wèn)���,我 們常常必須在認(rèn)證過(guò)程中通過(guò)鍵盤(pán)提交密碼。利用根據(jù)本發(fā)明的裝置和方法�����,這兩種形式的認(rèn)證集成于同一方案 中�����。相同的身份憑證用來(lái)經(jīng)由適當(dāng)?shù)耐ㄐ判诺肋f送所請(qǐng)求的身^明�����?���??、 9生成證明(OTP)���,并且經(jīng)由用于邏輯訪問(wèn)架構(gòu)的內(nèi)部LCD屏幕來(lái) 遞送��。對(duì)于物理訪問(wèn)�����,同 一身份憑證經(jīng)由內(nèi)置RFID通信信道(ISO 14443 標(biāo)準(zhǔn))將身份證明遞送到大門(mén)處的讀取器��。這意味著對(duì)現(xiàn)有架構(gòu)進(jìn)行最少 改變即可完成邏輯和物理訪問(wèn)的統(tǒng)一��,ISO使用術(shù)語(yǔ)"集成電路卡"(ICC)來(lái)涵蓋所有這樣的裝置�����,其中集 成電路包含在信用卡( 一般稱為智能卡)的標(biāo)準(zhǔn)尺寸的ISO 1標(biāo)識(shí)卡塑料 片之內(nèi)�����。集成電路卡有接觸和無(wú)接觸這兩種形式��。智能卡技術(shù)在必須保護(hù) 個(gè)人信息或者遞送快速安全的事務(wù)的應(yīng)用中使用日益增加��。根據(jù)本發(fā)明的卡8��、 9能夠使智能卡在,地方進(jìn)行訪問(wèn)��。因此將產(chǎn) 生用于商業(yè)目的的新應(yīng)用。智能卡的使用取決于本地讀取器的可用性�,本 地讀取器限制了卡的移動(dòng)性和應(yīng)用領(lǐng)域?�??��、 9^Li殳計(jì)用以建立通向智能卡的安全連接����,并且在某種程度上充當(dāng)個(gè)人移動(dòng)讀取器。利用卡8���、 9 解決方案,即使在轉(zhuǎn)出之后���,新的服務(wù)也可與認(rèn)證系統(tǒng)掛鉤����。運(yùn)營(yíng)商只向 用戶發(fā)送為他的新服務(wù)而定制的智能卡���,該用戶能夠通過(guò)將智能卡或者附 加令牌94插入到卡8、 9中來(lái)訪問(wèn)新服務(wù)���。替代具有標(biāo)準(zhǔn)尺寸的智能卡,只有智能卡連接域(芯片和連接器(如 SIM卡))才可以用作插件插入到卡8中。這將允許如上所述的用于袋概 念的簡(jiǎn)化解決方案����。根據(jù)本發(fā)明的認(rèn)證裝置和方法根據(jù)運(yùn)營(yíng)商或者運(yùn)營(yíng)商群體的認(rèn)證需 要來(lái)靈活服務(wù)于不同工作模型�����。這一點(diǎn)將通過(guò)圖10至圖13來(lái)說(shuō)明��,圖IO示出了獨(dú)立工作中的本發(fā)明�。在這一工作中, 一個(gè)組織結(jié)合了 CA���、 EC��、 AuSP和AuSU的角色�����。該組織運(yùn)行自己的IMS�,使用認(rèn)證來(lái) 控制祐^授權(quán)的用戶對(duì)該組織資產(chǎn)的物理和邏輯訪問(wèn)。它從生產(chǎn)商67那里 獲得卡8和許可代碼���,并且將其分發(fā)給它的用戶�����。圖11示出了認(rèn)證服務(wù)工作中的本發(fā)明.在認(rèn)證服務(wù)工作模型中�����,組 織68向幾個(gè)組織66遞送身份管理和身份憑iiM^驗(yàn)的服務(wù)。這樣的服務(wù)的主要應(yīng)用是為商業(yè)平臺(tái)運(yùn)營(yíng)商認(rèn)證在線用戶���。認(rèn)證服務(wù)提供商68結(jié)合了 CA��、 EC和AuSP的角色���。它發(fā)行卡���,并且為不同的運(yùn)營(yíng)商管理身份憑證, 所iiil營(yíng)商與卡的最終用戶具有商業(yè)關(guān)系�。AuSP可以運(yùn)行特定的基于網(wǎng) 絡(luò)的門(mén)戶,以管束所有提供的訪問(wèn)�。圖12示出了iUit當(dāng)局工作中的本發(fā)明。在這一工作模型中����,已經(jīng)建 立并且>^《人的>^共或者私有組織扮演CA64的角色。它運(yùn)行EC并且向其 它組織69 (AuSP+AuSU)提供卡的經(jīng)臉汪的公共密鑰�����,以《更這些組織能 夠mt最終用戶的身份�����,無(wú)論何時(shí)他們與AuSU取得商業(yè)關(guān)系�����。圖13示出了聯(lián)合工作中的本發(fā)明�。在這一模型中,幾個(gè)CA64可以 用他們的經(jīng)驗(yàn)證的密鑰作為身份憑證來(lái)初始化卡8���。每個(gè)卡8可以包含幾 個(gè)獨(dú)立的身份憑詛度71�,其每一個(gè)被分配給不同的CA 64。每個(gè)CA64 然后為他的客戶機(jī)組織69而工作�,就像獨(dú)立的CA64為已經(jīng)由特定的CA 4驗(yàn)證的卡8上的憑iiL歐而工作。每個(gè)CA64必須購(gòu)買(mǎi)段激活代碼�����,其允 許它在特定卡段71上存儲(chǔ)他的憑證�。通過(guò)CA64向卡8的這種密鑰的隨 后加載,并不妨礙其它CA 64的先前加栽的憑證��。每個(gè)CA 64可以M 她的安全策略向最終用戶請(qǐng)求射&檢驗(yàn)�。在特殊的私密增強(qiáng)技術(shù)實(shí)施例中,CA向最終用戶遞送用于加栽憑證 的簽名證書(shū)�。最終用戶然后在注冊(cè)過(guò)程中將對(duì)應(yīng)證書(shū)遞送到AuSP。 AuSP 可以檢發(fā)汪書(shū)而無(wú)需詢問(wèn)CA�����,不能跟蹤用戶的商業(yè)關(guān)系�����,并且也不能檢 驗(yàn)除與該證書(shū)一起遞送的個(gè)人信息之外的更多個(gè)人信息����。這一方案允許建 立受信任的和經(jīng)驗(yàn)證的假名的概念,其可以因每個(gè)AuSP而不同��。這保護(hù) 了用戶免受側(cè)面攻擊�,并且允許他在在線事務(wù)中保持最大程度的匿名性。認(rèn)證系統(tǒng)可以運(yùn)行所有上述工作模型而不用對(duì)卡8或者認(rèn)證平臺(tái)進(jìn) 行任何修改�。為此,已經(jīng)如上面列出的那樣開(kāi)發(fā)出了用于虛擬存儲(chǔ)和管理 身份憑證的專有數(shù)據(jù)結(jié)構(gòu)�。標(biāo)號(hào)1 物理的人,最終用戶2 訪問(wèn)單元��,AuSP的IMS的憑證服務(wù)器3 令牌���,作為卡或者袋而實(shí)現(xiàn)4 卡制造方法����,生命期5 袋制造方法���,生命期6 認(rèn)證平臺(tái)�����,包括CA服務(wù)器���、AuSP服務(wù)器7 具有三功能子系統(tǒng)的完整^人證系統(tǒng)個(gè)人令牌�����;具有特定架構(gòu) 的認(rèn)證平臺(tái)��;通向現(xiàn)有IMS和應(yīng)用用戶管理的接口模塊8 卡9 袋10 用于生物統(tǒng)計(jì)和秘密知識(shí)數(shù)據(jù)的輸入裝置11 板上身^i人證系統(tǒng)2個(gè)或者3個(gè)因子12 認(rèn)M塊�����,通向現(xiàn)有系統(tǒng)和應(yīng)用程序的接口13 安全的應(yīng)用程序31 用于i人證因子控��,驗(yàn)的個(gè)人lt據(jù)32 個(gè)性化數(shù)據(jù)(秘密私有密鑰)在密鑰記錄中的內(nèi)部"33�����、 33���,私有密鑰、個(gè)性化數(shù)字?jǐn)?shù)據(jù)34�、 34,數(shù)字身份憑證記錄(密鑰記錄)35��、 35���,向AuSP系統(tǒng)的發(fā)送40 安全/加密的通信信道41 安全/加密的通信信道42 具有秘密消息和指令的有效載荷 47 令牌的遞送51 令牌標(biāo)識(shí)(IDT)52 段標(biāo)識(shí)(IDS )53 段激活代碼(SAC )54 密鑰激活代碼(KAC)55 完整登記記錄61 具有用于光學(xué)閃爍代碼的屏幕顯示器的在最終用戶站點(diǎn)處的數(shù) 據(jù)終端設(shè)備62 RFID讀取器設(shè)備63 認(rèn)證服務(wù)提供商(AuSP)64 認(rèn)il4M^ (CA)65 許可服務(wù)器66 i人證服務(wù)用戶(AuSU�、運(yùn)營(yíng)商)67 令牌生產(chǎn)商(AXS-PI)68 聯(lián)合CA和AuSP運(yùn)營(yíng)組織69 聯(lián)合AuSP-AuSU運(yùn)營(yíng)組織71 密鑰存儲(chǔ)段72 用于密碼和有效栽荷處理的控制代碼73 密鑰記錄地址74 登記記錄���、參考模板和秘密75 密鑰記錄76 密鑰存儲(chǔ)部分77 密鑰續(xù)展部分78 段登記記錄79 CA的公共密鑰81 接納袋82 插入方向83 具有存儲(chǔ)介質(zhì)的個(gè)人信息84 芯片數(shù)據(jù)卡85 接口91 槽92 插入方向93 個(gè)人信息94 附加數(shù)據(jù)卡95 接口96 存儲(chǔ)裝置
權(quán)利要求
1.一種安全令牌(8�,9)��,包括-個(gè)人數(shù)據(jù)存儲(chǔ)器�,用以基于用戶的個(gè)人數(shù)據(jù)(31)和/或個(gè)性化數(shù)據(jù)來(lái)存儲(chǔ)數(shù)字身份憑證(33,34�;33’,34’)����;-輸入裝置(10),用以優(yōu)選地利用使用2或3個(gè)認(rèn)證因子的板上身份檢驗(yàn)以允許檢查所述個(gè)人數(shù)據(jù)�����;-密鑰記錄數(shù)據(jù)存儲(chǔ)器(71���,75)���,用以存儲(chǔ)認(rèn)證服務(wù)器(63����,AuSP)或者應(yīng)用程序運(yùn)營(yíng)商(66����,AuSU)的至少一個(gè)身份憑證,優(yōu)選地用以存儲(chǔ)認(rèn)證機(jī)構(gòu)(CA)初始化的多個(gè)身份憑證�����;-發(fā)送器和接收器單元�,用于創(chuàng)建直接地或者間接地通向所述認(rèn)證服務(wù)器(63,AuSP)或者應(yīng)用程序運(yùn)營(yíng)商(66��,AuSU)或者認(rèn)證機(jī)構(gòu)(CA)的安全通道(41)�����,以分別處理與所述認(rèn)證服務(wù)器(63�����,AuSP)或者應(yīng)用程序運(yùn)營(yíng)商(66��,AuSU)或者認(rèn)證機(jī)構(gòu)(CA)有關(guān)的所述密鑰記錄(71,75)�;以及-控制單元,用以考慮到所述處理來(lái)控制所述發(fā)送器和接收器單元以及所述密鑰記錄數(shù)據(jù)存儲(chǔ)器(71���,75),所述處理包括從由解釋�、解密、創(chuàng)建�����、檢查���、續(xù)展���、撤銷(xiāo)和進(jìn)一步的密鑰記錄處理行為組成的組中選擇的行為。
2. 根據(jù)權(quán)利要求1所述的安全令牌(8�����, 9)�,其中附加令牌(84, 94) 的內(nèi)^L輸入到所述控制單元���,以在創(chuàng)建或者激活新的密鑰記錄(71�, 75) 時(shí)或者在使用具有新的有效載荷指令的激活密鑰記錄時(shí)執(zhí)行身份檢查。
3. 根據(jù)權(quán)利要求2所述的安全令牌(8�, 9),包括作為所述附加令牌 (84��, 94)的電子電路單元��,該電子電路單元包括附加發(fā)送器和接收器裝置�,用以創(chuàng)建通向所述安全令牌的附加安全通道(40),以從所述認(rèn)證 服務(wù)器(63�, AuSP)或者應(yīng)用程序運(yùn)營(yíng)商(66, AuSU)接收消息有效栽 荷(42);以及處理裝置�����,用以將處理的消息轉(zhuǎn)發(fā)到所述控制單元��。
4. 根據(jù)權(quán)利要求2所述的安全令牌(8, 9),其中秘密是作為輸入以 控制所述控制單元的所述附加令牌(84���, 94)�。
5. 根據(jù)權(quán)利要求1至4之一所述的安全令牌(8����, 9)�����,其中提供多個(gè) 密鑰記錄(75)���,其中所述控制單元包括記錄激活元件,其使一個(gè)認(rèn)證機(jī) 構(gòu)(64��, CA)或者i人證服務(wù)器(63�����, AnSP)能夠處理所有密鑰記錄���,以分別向不同的認(rèn)證服務(wù)器(63, AuSP)或者應(yīng)用程序運(yùn)營(yíng)商(AuSU)分 發(fā)授權(quán)以處理不同的密鑰記錄(75)���。
6. 根據(jù)權(quán)利要求5所述的安全令牌(8�, 9)��,其中提供包括所述多 個(gè)密鑰記錄(75)中至少一個(gè)密鑰記錄的兩個(gè)或者更多密鑰段(71),其 中所述控制單元包括段激活元件�,其使一個(gè)認(rèn)證機(jī)構(gòu)(64, CA)能夠處 理一個(gè)密鑰段(71)的所有密鑰記錄���,并且能夠向不同的認(rèn)證服務(wù)器(63����, AuSP)或者應(yīng)用程序運(yùn)營(yíng)商(AuSU)分發(fā)授權(quán)以處理不同的密鑰記錄(75)。
7. 根據(jù)權(quán)利要求1至6之一所述的安全令牌(8,9)��,其中提供所述 個(gè)人數(shù)據(jù)存儲(chǔ)器和所述輸入裝置用以存儲(chǔ)和檢查作為個(gè)人數(shù)據(jù)的生物統(tǒng) 計(jì)lt據(jù)和/或作為所述用戶的個(gè)人lt據(jù)的秘密����。
8. —種利用根據(jù)權(quán)利要求1至7之一所述的安全令牌來(lái)認(rèn)證用戶的 方法,包括以下步猓-檢查所存儲(chǔ)的所述用戶的個(gè)人數(shù)據(jù)以檢驗(yàn)所述用戶使用所述安全令 牌的授權(quán)����;以及-創(chuàng)建所述安全令牌之間的安全通道,以處理與認(rèn)證服務(wù)器(63, AuSP)或者應(yīng)用程序運(yùn)營(yíng)商(66�����, AuSU)有關(guān)的密鑰記錄���,所述處理包 括從由解釋�����、解密���、創(chuàng)建�����、檢查�、續(xù)展����、撤銷(xiāo)和進(jìn)一步的密鑰記錄處理行 為組成的組中選擇的行為。
9. 根據(jù)權(quán)利要求8所述的方法����,其中通過(guò)以下步驟提供無(wú)限制身份 聯(lián)盟所述安全令牌(8,9)經(jīng)由所述安全通道(41)從認(rèn)證服務(wù)器(63���, AuSP)或者應(yīng)用程序運(yùn)營(yíng)商(66����, AiiSU)接收消息有效載荷����,并且經(jīng)由 附加安全通道(40)將所述消息提交到附加令牌(84, 94)�,該附加令牌 處理所述消息并且將所述處理的消息發(fā)送回所述安全令牌(8�, 9)���,以經(jīng) 由該安全令牌來(lái)i人證所述用戶����。
10. 根據(jù)權(quán)利要求9所述的方法��,其中在所述附加令牌(84��, 94 )首 次被引入到所述卡(8��, 9)中以創(chuàng)建�����、激活或者^(guò)^到所述安全令牌的存 儲(chǔ)器之內(nèi)的密鑰記錄(71, 75)時(shí)����,建立所述附加安全通道(40)。
11. 根據(jù)前述權(quán)利要求8至10中任何一項(xiàng)所述的方法��,其中所述安 全令牌用來(lái)掃描所述應(yīng)用程序運(yùn)營(yíng)商(66, AiiSU)的顯示器上的閃爍代 碼��,以^i人證接口的有效'tio
12. 根據(jù)前述權(quán)利要求8至11中任何一項(xiàng)所述的方法���,其中所述安全令牌的肯定認(rèn)證用來(lái)允許訪問(wèn)軟件應(yīng)用程序����、實(shí)現(xiàn)支付、創(chuàng)建票券��、接 收秘密消息或者允許物理訪問(wèn)�、特別是開(kāi)門(mén)。
13. —種利用根據(jù)權(quán)利要求1至7之一所述的安全令牌來(lái)認(rèn)證用戶的 方法���,其中用戶控制所述身份憑證的管理�����,所述身份憑證由所述CA簽名����, 可用于利用所述令牌(8, 9)之內(nèi)的所述密鑰記錄(71��, 75)之一來(lái)生成 安全和受信任的^接���。
全文摘要
一種安全令牌包括個(gè)人數(shù)據(jù)存儲(chǔ)器,用以存儲(chǔ)用戶的個(gè)性化數(shù)據(jù)作為數(shù)字身份憑證(33����,34)���。輸入裝置用于允許使用2或3個(gè)認(rèn)證因子優(yōu)選地借助于板上身份檢驗(yàn)來(lái)檢查所述個(gè)人數(shù)據(jù)。該令牌包括密鑰記錄數(shù)據(jù)存儲(chǔ)器(71�,75),用以存儲(chǔ)由認(rèn)證機(jī)構(gòu)初始化的并且可能歸屬于不同服務(wù)提供商的多個(gè)身份憑證����。它還包括發(fā)送器和接收器單元,用于創(chuàng)建直接地或者間接地通向認(rèn)證服務(wù)器或者應(yīng)用程序運(yùn)營(yíng)商或者認(rèn)證機(jī)構(gòu)的安全通道����,以處理與所述認(rèn)證服務(wù)器有關(guān)的所述密鑰記錄(71,75)����。提供控制單元用以考慮到所述處理來(lái)控制發(fā)送器和接收器單元以及密鑰記錄數(shù)據(jù)存儲(chǔ)器(71,75)�,所述處理包括從由解釋、解密�����、創(chuàng)建、檢查����、續(xù)展、撤銷(xiāo)和進(jìn)一步的密鑰記錄處理行為組成的組中選擇的行為�。這使用戶能夠在高度安全的環(huán)境中使用聯(lián)合身份,借助于裝置使用生物統(tǒng)計(jì)數(shù)據(jù)來(lái)認(rèn)證他自己����,而不會(huì)將這樣的生物統(tǒng)計(jì)數(shù)據(jù)泄露給第三方。
文檔編號(hào)G06F21/34GK101336436SQ200680052000
公開(kāi)日2008年12月31日 申請(qǐng)日期2006年12月20日 優(yōu)先權(quán)日2005年12月29日
發(fā)明者洛倫茨·米勒, 羅格·卡廷-利布爾, 阿蘭·羅利耶, 馬塞爾·雅科梅 申請(qǐng)人:阿克西奧尼奇有限公司