專利名稱:使用不可鏈接標(biāo)識符的增強保密身份方案的制作方法
技術(shù)領(lǐng)域:
—般來說�����,本發(fā)明涉及增強保密身份方案����。更具體來說��, 本發(fā)明涉及使用公鑰和私鑰密碼術(shù)有選擇地將令牌持有者的屬性分發(fā) 給農(nóng)賴方的增強保密身份方案��。
背景技術(shù):
許多國家正討論使用公民身份證方案的可能性��。例如���, 英國最近宣布計劃引入英國公民身份證方案�����。英國公民身份證方案將 與公民身份數(shù)據(jù)庫鏈接����。公民身份數(shù)據(jù)庫設(shè)計成在提供政府服務(wù)中起
關(guān)鍵:作用。在未來的十年�����,英國預(yù)計總共大約80%的就業(yè)人口將具有
某種形式的英國公民身份證�。英國計劃將信息強制輸入公民身份數(shù)據(jù) 庫作為政府服務(wù)的交換。例如����,當(dāng)獲取護(hù)照或駕駛執(zhí)照時,個人的個 人標(biāo)識信息會自動加入公民身份數(shù)據(jù)庫���。 英國公民身份證方案的一個方面可以是稱作英國公民身 份登記庫(registry)的集中計算機數(shù)據(jù)庫����。為了根據(jù)該方案識別某個 人�,可能需要檢查英國公民身份證,例如通過進(jìn)行生物測定掃描將它 與英國公民身份登記庫進(jìn)行匹配����。 英國公民身份登記庫設(shè)計成記錄和存儲各種信息,包括 例如個人信息��、標(biāo)識信息、居留權(quán)��、個人參考編號����、記錄歷史、登記和身份證歷史��、有效性信息和安全信息����。因此�,由于英國身份數(shù)據(jù)庫中存儲的信息的量和類型, 英國公民身份證方案引起對于保密和安全問題的許多爭論�。在例如美國用于年齡確認(rèn)的一些傳統(tǒng)的身份方案中,授 權(quán)通??煞謨蓚€階段進(jìn)行。首先��,對象的身份通過使用照片來鑒別�。 其次,評估附于身份的例如年齡和姓名等屬性��。 在食品和飲料工業(yè)中��,駕駛執(zhí)照通常提供繚農(nóng)賴方以檢 查顧客是21歲。但是�,除了檢查年齡之外,許多機構(gòu)還捕捉駕駛執(zhí)照 的磁條上編碼的信息�����。例如��,為了市場營銷����,往往記錄駕照持有者的 地址和社會保險號,或者往往存儲信息以跟蹤顧客的行為模式����。 因此,為了使某個人證明其超過21歲���,他們必須暴露駕 照的磁條上提供的其它每一條信息���。許多人認(rèn)為使用這種信息是未經(jīng) 授權(quán)的以及侵犯了隱私。 出現(xiàn)與公民身份證方案有關(guān)的類似保密問題�。例如,公 民身份證方案不僅可以記錄個人的生物測定特性����,而且還極可能會記 錄個人歷史�。因此�����,當(dāng)公務(wù)員訪問數(shù)據(jù)庫并搜索關(guān)于個人稅務(wù)或健康 的文件時���,公務(wù)員也可有權(quán)訪問個人的犯罪歷史記錄��。因此�����,提供對 身份數(shù)據(jù)庫的有限訪問權(quán)可以是有利的,以便緩解保密問題����。 還有其它方面涉及到安全性、特別是身份盜竊��。 一些安 全專家主張����,委托單一身份證或數(shù)據(jù)庫可能便于身份盜竊�。 現(xiàn)有的增強保密方案設(shè)計成提供針對各方的較強的保密 保證����。這類方案不適合可能希望控制鏈接以便身份證僅用于授權(quán)方面 的公民身份證方案。 為了解決這些問題��,根據(jù)本發(fā)明的實施例����,7>開一種例 如與公民身份證配合使用的使用不可鏈接標(biāo)識符的增強保密身份方 案,它可允許持有者提供^皮授權(quán)并且是例如警察�、政府機構(gòu)和授權(quán)第 三方等依賴方所需的比較準(zhǔn)確程度的信息,以便減少保密和安全問題���。
參照形成本^^開的一部分的附圖�����,附圖包括
圖1示出可根據(jù)本發(fā)明的實施例使用的令牌和讀卡器���;
圖2a示出生成詢問的圖1的讀卡器以及生成響應(yīng)的圖1 的令牌; 圖2b示出可根據(jù)本發(fā)明的實施例使用的令牌���、令牌持有 者���、依賴方����、依賴方讀卡器�����、身份登記庫以及多個屬性登記庫的框圖����; 圖3a示出使用公鑰和私鑰密碼術(shù)有選擇地將令牌持有 者的屬性分發(fā)給農(nóng)賴方的方法;以及圖3b示出可根據(jù)本發(fā)明的實施例使用的方法步驟���。
具體實施例方式—般來說�����,本發(fā)明涉及使用令牌的增強保密身份方案, 例如公民身份證�����。依賴方(例如商家)可具有令牌讀卡器����,并且可與令 牌和身份登記庫進(jìn)行交互�。商家可與令牌和登記庫進(jìn)行交互����,以便僅 獲得登記庫所存儲的關(guān)于令牌持有者的信息的子集。例如��,餐廳(依賴 方)可與令牌和登記庫進(jìn)行交互�����,以便檢查令牌持有者超過18歲并可
供應(yīng)酒�。沒有向餐廳公開與令牌持有者有關(guān)的其它信息,由此保護(hù)登 記庫存儲的持有者的其它信息的隱私�����。 根據(jù)本發(fā)明的實施例的一種方法可使用公鑰和私鑰密碼 術(shù)有選擇地將令牌持有者的屬性分發(fā)給農(nóng)賴方�。該方法可包括通過計 算C={RID, Rnonce)在具有讀卡器標(biāo)識符(RID)的讀卡器上創(chuàng)建詢問 (challenge),其中Rnonce是讀卡器現(xiàn)時(nonce)�����。詢問可發(fā)送給令 牌。令牌可生成響應(yīng)����,例如{簽名(H(T腿ce, R匪ce, RID)), T謹(jǐn)ce����, XID} ({signature (H(T隨ce, R謹(jǐn)ce���, RID))���, T謹(jǐn)ce, XID))�����,其中 Tnonce是令牌現(xiàn)時�,以及H是哈希函數(shù)。XID是令牌的不可鏈接標(biāo)識 符�,例如XID—E(k, P)����, E(TID), k}}����,其中TID是令牌標(biāo)識符,k是 會話密鑰�����,P是登記庫的公鑰�����,E(TID����, k)是使用會話密鑰k的TID加
8密函數(shù),以及E(k, p)是使用爿^鑰P加密的會話密鑰k����。 根據(jù)本發(fā)明的實施例,例如與公民身份證配合使用的使 用不可鏈接標(biāo)識符的增強保密身份方案可允許持有者提供^皮授權(quán)并且 是例如警察��、政府機構(gòu)和授權(quán)第三方等依賴方所需的更準(zhǔn)確程度的信 息���,同時緩解保密和安全問題�����。本發(fā)明的實施例可允許控制第三方使用該方案的能力�����。 例如���,政府可以向依賴方準(zhǔn)許例如在酒吧的年齡檢查等用途�,而沒有 提供不相關(guān)信息�。還可以能夠使用戶、如政府允許或禁止特定方的使 用����,并且可以能夠撤消使用許可。例如���,方案的早期實現(xiàn)可允許依賴 方在存在未成年人飲酒問題的某些酒吧將該方案用于年齡檢查�����。此外���,
如果證件#:才艮告^^盜����,則該方案還可允許用戶阻止使用該特定證件��。
此外��,在例如飲酒年齡從21歲改變?yōu)?8歲的情況下��,該方案可在國 家級進(jìn)行調(diào)整��。 根據(jù)本發(fā)明的實施例的方法還可用于例如臨時定量供應(yīng) 措施或救突援助���。在燃料短缺的情況下,政府可能希望創(chuàng)立短期定量 供應(yīng)方案來限制每天的燃料購買�。在這種情況下,令牌持有者可以是 災(zāi)區(qū)的居民��,并且令牌可以是與公民身份登記庫鏈接的公民身份證����。 依賴方可以是燃料供應(yīng)站。在這種情況下����,政府可以至少臨時建立與 公民身份登記庫鏈接的燃油分配屬性登記庫���,以保持駕駛員記錄以及 每個駕駛員購買的燃料量??稍试S令牌持有者或依賴方與令牌持有者 預(yù)定數(shù)量的購買或者各供應(yīng)站銷售的燃料量成比例地使用燃料供應(yīng)。 與常規(guī)定量供應(yīng)方案相比��,可響應(yīng)短期災(zāi)難而更迅速地使用這種方法�。先參照圖1,示出令牌10和令牌持有者12�。在本例中,令牌10具有嵌入微處理器14和令牌通信部件16���。圖1還示出附連了 電子裝置20的讀卡器18��。 令牌通信裝置16可包括適合傳送來自令牌^:處理器14 的消息和/或向令牌微處理器14傳送消息的任何適當(dāng)?shù)臉?biāo)準(zhǔn)卡針陣 列���、USB連接器、RFID無線裝置����、BLUETOOTH , WiFi或者它們的組合。 令牌10可包括可通過讀卡器18充電的電源21 (例如電 池����、RFID情況下的天線等)����。令牌10可經(jīng)由接觸來與讀卡器18通信�����, 或者可以是無接觸的����。令牌10可以是記住可能希望與其進(jìn)行交互的源 (例如公民身份證方案中的身份登記數(shù)據(jù)庫)的密鑰的任何硬件裝置��。 令牌10可以是任何智能卡����、密鑰卡、例如蜂窩電話等便攜無線裝置的 嵌入功能�、植入令牌持有者的任何嵌入功能或者RFID標(biāo)簽。 例如�����,令牌可以是識別特性的部件���。因此��,具有識別能 力的小RFID令牌可安裝在汽車VIN標(biāo)簽或者汽車的任何其它適當(dāng)位 置����,例如安裝在隱蔽位置。因此�����,執(zhí)法官員可以能夠用掃描儀裝置檢 查標(biāo)簽���,以便調(diào)查該車輛例如是否^L盜和/或該車輛的稅務(wù)情況��。 另夕卜�,相對于RFID類型標(biāo)簽�,常規(guī)標(biāo)簽使用可鏈接標(biāo)識 符。因此���,RFID類型標(biāo)簽往往使用僅可以從短距離讀取的很弱的無線 電信號�����。這限制了保密問題���,但是極大地增加了使用系統(tǒng)的實際困難�。 如下面所述�����,使用不可鏈接標(biāo)識符�����,可解決對于依靠近距離來避免違 反保密性的需要�����,并且可擴展RFID類型標(biāo)簽的范圍���。令牌10還可具有鑒別令牌持有者12的任何集成部件。 例如�,可釆用各種技術(shù)來使用生物測定鑒別。例如��,可使用指紋���、虹 膜/視網(wǎng)膜掃描��、語音��、筆跡����、牙印、DM信息�����、筆跡以及它們的組合��。 令牌10可以是空白的����,或者其中已經(jīng)印制了信息。另夕卜�����, 令牌10可包括機器可讀或不可讀形式的令牌持有者12的其它識別特 性����。 令牌10可具有不同的物理形狀因素。令牌可以是符合國 際協(xié)議信用形狀因素和/或RFID標(biāo)簽標(biāo)準(zhǔn)的卡��。例如,國際標(biāo)準(zhǔn)組織在ISO 7810��、 ID-1�����、 ID-2和ID-3中定義了用于身份證或標(biāo)識卡的三 種格式�。 例如,ID-1格式規(guī)定85. 60 x 53. 98毫米���、即等于3. 370 x2. 125英寸的大小�����。它通常用于銀行卡���,例如ATM卡����、信用卡、借 記卡等��。它目前在例如美國和歐盟成員國等許多國家還用于駕照�����。這 個標(biāo)準(zhǔn)還可用于忠誠優(yōu)惠卡,并且是商務(wù)卡的一種比較常用格式�����。 另外���,ISO 7813定義了 ID-1塑膠銀行卡的特性���,例如 厚度為0. 76 mm以及半徑為3.18 mm的圓抹角。 ISO 7811定義用于在ID-1標(biāo)識卡上記錄數(shù)據(jù)的傳統(tǒng)技 術(shù)��,即凸印字符和若干不同的磁記錄格式����。ISO 7816定義具有嵌入芯 片的ID-1標(biāo)識卡,例如智能卡以及用于功率���、時鐘���、復(fù)位和串行數(shù)據(jù) 信號的接觸面。 ID-2格式規(guī)定105 x 74毫米�、即等于4. 134 x 2. 913英 寸的大小�。ID-2格式可提供足夠的空間用于臉部照片��,但是仍然可以 小到足以放入皮夾中����。 ID-3規(guī)定125 x 88毫米、即等于4. 921 x 3. 465英寸的 大小�。這種格式在全球可用于護(hù)照和簽證。 此外��,ISO 14443定義具有嵌入芯片(近程卡)以及可工 作在大約13. 56 MHz的^f茲環(huán)形天線的標(biāo)識卡�����,例如RFID�。 如本文中以上所述,令牌可采取符合任何國際協(xié)議信用 形狀因素和/或RFID標(biāo)簽標(biāo)準(zhǔn)的形式�,并且還可包括其組合以及適當(dāng) 的備選方案。令牌還可以是任何適當(dāng)?shù)某叽绾?或形狀����。每個令牌持有者12可使用多個令牌10�。換言之,對于 令牌持有者12可具有�、發(fā)出或得到的物理令牌10的數(shù)量沒有限制。 這可允許令牌持有者12獲得復(fù)制令牌10,供出故障和/或丟失令牌10 的情況下使用。 令牌10還可以是可植入的����,例如才直入人類、動物��、商品 等中���。
ii
讀卡器18可以是從希望與其進(jìn)行交互的源中讀取數(shù)據(jù) 的任何硬件裝置�����。換言之��,讀卡器18可以是可讀取令牌12�、例如身 份登記庫中存儲的數(shù)據(jù)的任何裝置�。讀卡器18可插入和/或可以直接 連接到計算機、鍵盤�����、蜂窩電話�����、PDA、無線裝置和其它適當(dāng)?shù)碾娮友b 置����。此外,某些金融和政府實體�、如FBI還可需要特殊類型的安全讀 卡器。 如圖2a和圖2b —般所示���,在根據(jù)本發(fā)明的一個實施例 可使用的增強保密身份方案中�,令牌持有者212可向依賴方220的讀 卡器218提供令牌210�����。讀卡器218可通過一個或多個詢問和響應(yīng)��, 與令牌210進(jìn)行交互���。讀卡器218則可向與身〗分登記庫222關(guān)聯(lián)的屬 性登記庫224請求一個或多個屬性���。然后,身份登記庫222可檢查是 否可授權(quán)依賴方220獲得所請求的屬性信息����。如果依賴方20被授權(quán), 則可從身份登記庫�����、屬性登記庫224的一個或多個或者它們的組合中 檢索屬性信息��。然后���,可將可包含或者可不包含所請求屬性的消息返 回^賴方220的讀卡器218�����。 例如�,可以考慮例如與顧客忠誠優(yōu)惠卡配合使用身份方 案���,其中依賴方是商家和/或供應(yīng)商�����,而登記庫是忠誠優(yōu)惠方案的管理 者和/或公司辦公室���。在這種身份方案中,商家可向特定倶樂部的顧客 提供折扣���。因此��,經(jīng)由登記庫�����,商家可使用身份方案來檢查該顧客是 俱樂部的成員以及該顧客是否有資格得到折扣�。 還可以考慮例如在訪問控制系統(tǒng)中使用身^f分方案,其中 依賴方是訪問控制點(例如至建筑物或者計算機服務(wù)器上的資源)����,而 登記庫是訪問控制機構(gòu)。例如����,在這個方案中,雇員可具有在訪問控 制點處理過的徽章��。登記庫可用于根據(jù)從徽章和訪問控制點所接收的 信息����,來判定雇員是否可訪問特定區(qū)域。 還可以考慮身份方案可用于RFID標(biāo)簽系統(tǒng)�,其中依賴方 是與RFID讀卡器通話的組件(例如收銀機、供應(yīng)鏈控制點),而登記庫 是例如信用卡公司或供應(yīng)鏈管理者�����。在這種情況下����,根據(jù)本發(fā)明的實施例���,RFID標(biāo)簽可在協(xié)議中提供TID���。在又一個示例中,依賴方可以 是生物測定鑒別系統(tǒng)中的節(jié)點����。當(dāng)顧客提交生物測定和其它識別信息 時,那個信息可發(fā)送給登記庫供檢查����。例如,在上述協(xié)議中�,可使用 來自顧客的生物測定數(shù)據(jù)、如指紋��、牙齒掃描����、視網(wǎng)膜掃描等���。 圖3a和圖3b示出根據(jù)本發(fā)明的實施例可使用的、使用 公鑰和私鑰密碼術(shù)有選擇地將令牌持有者的屬性分發(fā)給依賴方的方 法��。本文描述和公開的方法是示范性的�����,并且還可按照各種順序來執(zhí)
仍然保持在本發(fā)明的實施例的精神和范圍之內(nèi)�����。 在以下步驟中�����,不對稱密鑰操作可替代所述的私鑰操作�, 反過來也是一樣。此外��,可通過將日期戳的單向摘要函數(shù)或哈希而不 是整個日期戳從令牌發(fā)送給讀卡器���,來壓縮令牌與讀卡器之間的通信�。 在310看到,令牌持有者可向依賴方的讀卡器提供令牌�����。 讀卡器可具有讀卡器標(biāo)識符(RID)�。讀卡器標(biāo)識符可以是讀卡器的唯一 標(biāo)識符。 讀卡器則可生成隨機現(xiàn)時值Rnonce 320�����。 Rnonce可以是 由讀卡器生成的隨機值����。計數(shù)器方法可用于生成現(xiàn)時值�,但是可使用 隨機或偽隨機數(shù)據(jù)的任何適當(dāng)源。例如�����,讀卡器可具有嵌入的真正隨 機數(shù)生成器�。在330,詢問則可由讀卡器按照以下方式來生成
詢問={Rnonce, (RID)} 還可添加日期戳。日期戳可以是不透明比特序列���,它表 示由身份登記庫可驗證的時間值�。例如,可包含從可信源得到的簽署 時間值��,以便證明詢問是在規(guī)定時間窗中提供給令牌��。在應(yīng)答攻擊不 是威脅的情況下��,使用不可信日期值是可接受的��。 詢問還可結(jié)合可向登記庫請求的屬性信息的描述�����。 詢問則可由讀卡器發(fā)送給令牌����。在340,信令接收詢問, 并生成它自己的現(xiàn)時Tnonce�。Tnonce也可使用計數(shù)器方法來生成,或者可使用隨機或
13偽隨機數(shù)據(jù)的任何適當(dāng)源����。例如,令牌可具有嵌入的真正隨機數(shù)生成器����。 在350�����,兩個現(xiàn)時值Tnonce和Rnonce力口上讀卡器標(biāo)識符(RID)則可輸入到哈希函數(shù)(H)�。哈希函數(shù)(H)可產(chǎn)生值Hv�����,它可使用哈希算法從基本輸入數(shù)來計算��。換言之����,哈希值可以是輸入數(shù)的總結(jié)(summary)����。然后,可使用只是令牌已知的私鑰來簽署(s ign)值(Hv)�。 Tnonce值以及使用哈希函數(shù)可^是供防止稱作明文攻擊的一類密碼分析攻擊的保護(hù)。讀卡器標(biāo)識符(RID)值加入哈希值(Hv)可確保身份登記庫可確定令牌用于向規(guī)定讀卡器請求屬性����。附加信息可包含在詢問中���,以便防止類似形式的攻擊。 這時����,如果公鑰值可用于讀卡器,則讀卡器可以能夠使用重構(gòu)哈希值的常規(guī)密碼技術(shù)來鑒別令牌����。但是,公鑰一般應(yīng)當(dāng)不是讀卡器可用的��,而是讀卡器具有不可鏈接標(biāo)識符(XID)值��,它僅可由身份登記庫來解釋��,下面更詳細(xì)地進(jìn)行論述�。 然而,只要所選的簽名算法是安全的�,則Rnonce值可以是唯一的,并且私鑰值只可以是令牌已知的�,簽名值只可由令牌來創(chuàng)建。 在360�,可計算不可鏈接標(biāo)識符(XID)。例如����,可通過使用會話密鑰對令牌的私有序列號或其它標(biāo)識符(TID)進(jìn)行加密���,來計算不可鏈接標(biāo)識符,會話密鑰本身可使用身份登記庫的公開加密密鑰來加密�,使得每當(dāng)可提供令牌時都可創(chuàng)建不同的不可鏈接標(biāo)識符(XID)值。令牌可包含用于不同用途的多個不可鏈接標(biāo)識符��。 在370,可生成令牌響應(yīng)�����。令牌響應(yīng)可包括簽名值(Hv)��、值Tnonce��、對讀卡器的不可鏈4矣標(biāo)識符(XID)���。因此,響應(yīng)可以是不透明的不可鏈4妄響應(yīng)��。例如�,響應(yīng)可如下所述
響應(yīng)={簽名(H(T腿ce, R隱ce, RID)), T謹(jǐn)ce, XID}
其中<formula>formula see original document page 15</formula>
P-登記庫的公開加密密鑰
TID-令牌的私有標(biāo)識符
k-隨機選擇的會話密鑰
E-消息根據(jù)密鑰k的加密
E (k�, P)=使用公鑰P加密的會話密鑰k
E(TID����,�。=使用會話密鑰加密的TID隨后,在步驟380中看到��,令牌響應(yīng)則可提供給身份登記庫�����。讀卡器可將來自令牌的響應(yīng)以及值Rnonce連同屬性列表一起傳遞給身份登記庫�����。對身份登記庫的屬性請求可使用專用于讀卡器的私鑰來簽署���。在步驟380,可作為讀卡器響應(yīng)來提供令牌響應(yīng)�����。例如�,讀卡器響應(yīng)可以是R—令牌響應(yīng)Rnonce,屬性列表�����,鑒別數(shù)據(jù)},還可包括屬性列表和鑒別數(shù)據(jù)以便允許登記庫確定是否應(yīng)當(dāng)允許該請求��。屬性列表可包括與讀卡器需要的標(biāo)識符綁定的屬性(例如年齡����、性別、身高�、過敏反應(yīng)等)。鑒別數(shù)據(jù)可以是可幫助身份登記庫確定是否可允許該請求的任何信息��。 可使用任何適當(dāng)?shù)倪f交協(xié)議�。例如,可使用基于萬維網(wǎng)服務(wù)的協(xié)議�����,例如萬維網(wǎng)安全性或SAML�����?���;緟f(xié)議可在需要時提供讀卡器的保密性���。 來看圖3b����,在390,身卩分登記庫可通過驗證信息(例如簽名值(簽名(H(Tnonce����, Rnonce, RID)))�����、日期戳值和/或例如OTP和/或生物測定數(shù)據(jù)等鑒別數(shù)據(jù))以確保與適當(dāng)授權(quán)的請求方的預(yù)計值的一致性���,來確定讀卡器是否被授權(quán)接收請求中列示的屬性���。 在395中看到,身t分登記庫使用它的私鑰對不可鏈^:標(biāo)識符(XID)進(jìn)行解密����,以獲得唯一令牌標(biāo)識符(TID)。然后���,令牌標(biāo)識符(TID)可用于從數(shù)據(jù)庫中檢索令牌筒檔��。數(shù)據(jù)庫可包含與令牌對應(yīng)的公鑰以及可能的其它信息����,例如令牌持有者名稱、社會安全號��、稅務(wù)標(biāo)識符或者其它相干信息����,以便驗證該請求。備選地����,可在令牌標(biāo)識
符(TID)本身對相同令牌進(jìn)行編碼。這種布置可消除對于本地數(shù)據(jù)庫的需要����。 在步驟400中看到, 一旦身份登記庫識別了令牌���,可使用任何適當(dāng)協(xié)議從一個或多個屬性登記庫中檢索與令牌持有者相關(guān)的屬性斷言����,以便保護(hù)身份登記庫的保密性,例如SAML����。 根據(jù)本發(fā)明的實施例����,授權(quán)數(shù)據(jù)庫可用來確保只可向讀卡器發(fā)送授權(quán)給它的屬性,以便保護(hù)令牌持有者的保密性�。例如,如果讀卡器被分配給酒吧的商家���,則讀卡器只可被授權(quán)接收令牌持有者的"年齡"屬性����。如果讀卡器是醫(yī)院�,則可授權(quán)讀卡器接收令牌持有者的醫(yī)療信息(例如年齡、病歷��、當(dāng)前藥物治療等)����。在任何情況下,讀卡器提交的對令牌持有者信息的請求例如可由登記庫與那個讀卡器的屬性授權(quán)(或者讀卡器的類型或分類)進(jìn)行比較���。僅當(dāng)已經(jīng)確定讀卡器經(jīng)授權(quán)進(jìn)行接收時�,才可將所請求屬性信息返回給讀卡器。 在410看到����,身份登記庫則可向讀卡器返回可以包含或者可以不包含所請求屬性的消息。 例如����,在420a、 420b���、 420c和420d中看到�����,可由身份登記庫響應(yīng)屬性請求而生成各種消息����。應(yīng)當(dāng)理解�����,420a-d的示例只是示范�����,并且根據(jù)本發(fā)明的實施例可生成許多適當(dāng)?shù)南ⅰT?20a����,可將所請求的屬性從身份登記庫返回給讀卡器�����。在420b看到�����,可將錯誤消息從身份登記庫返回給讀卡器�。在420c看到,可生成指明所請求屬性不可用的消息����。在420d,可將拒絕訪問的消息從身份登記庫返回給讀卡器。 所生成的消息可包含許多可能性�,例如已經(jīng)報告令牌被盜或遺失的情況、可能阻止依賴方接收任何信息的情況����、硬件出故障以及鑒別成功但屬性信息不可用的情況�����。7>民身份數(shù)據(jù)庫可具有一個或多個獨立屬性登記庫�����,或者可以沒有獨立的屬性登記庫�����。^S民身份數(shù)據(jù)庫和屬性登記庫可以記
錄以下信息但并不局限于此個人信息��;識別信息���;居留權(quán);個人參考編號�;記錄歷史;登記和ID卡歷史��;有效性信息��;安全信息�����;以及信息提供的記錄����。 個人信息可包括全名、已知的其它姓名���、出生日期����、出生地���、性別�、居住地��、以往居住地���。識別信息可包括大頭照�、簽名、指紋和其它生物測定信息。居留權(quán)可包括國籍�、在該國的停留權(quán)以及進(jìn)入或停留該國的條款和條件��。個人參考編號可包括公民身份登記號�、發(fā)布的任何ID卡的編號、任何國家保險號�����、任何移民文件或護(hù)照的編號��、駕駛執(zhí)照號��、工作許可或者上述文件的組合。記錄歷史可包括先前所述任何信息的變更����。 登記和ID卡歷史可包括申請����、修改�、確認(rèn)�、遺失、有效性����、通知(例如丟失、被盜�、損壞)、退還以及卡的登記和ID的連署的曰期��。 登記庫的動作可經(jīng)過審計�。登記庫的操作可通過置信硬件來審計���。本發(fā)明可包括幫助審計身份登記庫與屬性登記庫之間的交互的過程的措施。 本發(fā)明的實施例可包含其它實施例����,其中令牌標(biāo)識符可加密成對于依賴方是不透明的并且僅通過登記庫與令牌持有者鏈接。登記庫或授權(quán)方可咨詢確立依賴方有權(quán)接收的有關(guān)令牌持有者的數(shù)據(jù)的簡檔信息�����,并且僅傳遞依賴方有權(quán)接收的有關(guān)令牌持有者的信息(或者它的子集)��。保護(hù)與令牌持有者有關(guān)的其余信息的保密性以免不適當(dāng)?shù)叵蛞蕾嚪焦_�?���?墒共煌该鳂?biāo)識符相互之間不可鏈接或者與令牌持有者不可鏈接。本發(fā)明包含用于執(zhí)行這些功能的任何適當(dāng)技術(shù)。 通過使用令牌,各種依賴方可接收信息的不同集合����,這可由登記庫對每一個進(jìn)行控制���。登記庫可通過將依賴方的RID(讀卡器標(biāo)識符)與授權(quán)數(shù)據(jù)庫或其它機構(gòu)的 一個或多個條目相關(guān)�,來執(zhí)行這個功能�。
17施例中�,可使用軟令牌。讀卡器可以是運行于例如個人計算機、無線手機��、游戲控制臺等計算裝置("計算裝置")上的應(yīng)用程序����。在這種實施例中��,讀卡器應(yīng)用程序可向用戶�、用戶應(yīng)用程序�、操作系統(tǒng)的組件等("軟令牌")發(fā)出詢問����。讀卡器應(yīng)用程序可接收來自軟令牌的響應(yīng)���,以及讀卡器應(yīng)用程序可向登記庫發(fā)送信息的請求�,其中請求可基于從軟令牌所接收的響應(yīng)�����。 雖然已經(jīng)選擇各個實施例來說明本發(fā)明�����,但是�,本領(lǐng)域的技術(shù)人員會理解���,其中可進(jìn)行各種變更和修改���,而沒有背離所附權(quán)利要求書定義的本發(fā)明的范圍���。
權(quán)利要求
1.一種用于從令牌發(fā)送不可鏈接標(biāo)識符的方法�����,包括向令牌發(fā)送詢問消息����,其中詢問={Rnonce�,RID}����,其中Rnonce是讀卡器現(xiàn)時,以及RID是讀卡器標(biāo)識符�;以及響應(yīng)所述詢問消息而接收響應(yīng)消息����,其中響應(yīng)={簽名(H(Tnonce�,Rnonce��,RID)),Tnonce����,XID}�����,其中簽名是使用所述令牌的私鑰的數(shù)字簽名��,H是哈希函數(shù),Tnonce是令牌現(xiàn)時��,以及XID是所述令牌的不可鏈接標(biāo)識符�。
2. 如權(quán)利要求l所述的方法�����,其中,XID={E(k���, P), E(TID�����, k)h 其中TID是令牌標(biāo)識符���,k是會話密鑰��,P是登記庫的公鑰��,E(TID�, k) 是使用會話密鑰k加密的TID,以及E(k��, p)是使用公鑰P加密的會話 密鑰k��。
3. 如權(quán)利要求2所述的方法����,還包括向登記庫發(fā)送所述響應(yīng)消自
4. 如權(quán)利要求3所述的方法����,還包括在所述登記庫使用登記庫 私鑰Q來對所述會話密鑰k進(jìn)行解密���,以及使用經(jīng)解密的會話密鑰k 對所述TID進(jìn)行解密�。
5. 如權(quán)利要求4所述的方法,還包括在數(shù)據(jù)庫查詢中使用基于 經(jīng)解密的TID的密鑰來獲得登記到所述TID的信息��。
6. 如權(quán)利要求3所述的方法���,其中���,發(fā)送給所述登記庫的所述消 息還包括(Rnonce, RID}。
7. 如權(quán)利要求6所述的方法���,還包括通過檢查簽名(H(Tnonce, Rnonce, RID))來'驗證RID�����。
8. 如權(quán)利要求7所述的方法���,其中,如果成功地驗證了 RID,則 在數(shù)據(jù)庫查詢中使用基于所述RID的密鑰來確定授權(quán)依賴方接收的���、 與所述TID對應(yīng)的信息�����。
9. 如權(quán)利要求1所述的方法,其中�����,所述響應(yīng)包括一次性密碼(OTP)。
10. 如權(quán)利要求1所述的方法���,其中���,所述響應(yīng)包括生物測定數(shù)據(jù)�。
11. 一種用于從令牌發(fā)送不可鏈接標(biāo)識符的方法,包括 向令牌發(fā)送詢問消息���,其中詢問={Rnonce, RID}��,其中Rnonce是讀卡器現(xiàn)時����,以及RID是讀卡器標(biāo)識符;以及響應(yīng)所述詢問消息而發(fā)送至少包^^加密的私有令牌標(biāo)識符TID和 會話密鑰k的響應(yīng)消息����。
12. 如權(quán)利要求ll所述的方法���,還包括向登記庫發(fā)送所述響應(yīng) 消息����。
13. 如權(quán)利要求12所述的方法,還包括在所述登記庫使用登記 庫私鑰Q來對所述會話密鑰k進(jìn)行解密��,以及使用經(jīng)解密的會話密鑰 k對所述TID進(jìn)行解密。
14. 如權(quán)利要求13所述的方法�����,還包括在數(shù)據(jù)庫查詢中使用基 于經(jīng)解密的TID的密鑰來獲得登記到所述TID的信息�����。
15. 如權(quán)利要求12所述的方法���,其中��,發(fā)送給所述登記庫的所述 消息還包4舌{Rnonce, RID}。
16. 如權(quán)利要求15所述的方法�,還包括驗證所述RID���。
17. 如權(quán)利要求16所述的方法,其中�,如果成功地驗證了 RID�����, 則在數(shù)據(jù)庫查詢中使用基于所述RID的密鑰來確定授權(quán)依賴方接收 的�����、與所述TID對應(yīng)的信息�����。
18. 如權(quán)利要求11所述的方法,其中�����,所述響應(yīng)包括一次性密碼 (OTP)��。
19. 如權(quán)利要求ll所述的方法���,其中����,所述響應(yīng)包括生物測定數(shù)據(jù)��。
20. —種用于從令牌發(fā)送不可鏈接標(biāo)識符以便有選擇地將令牌持 有者的屬性分發(fā)g賴方的系統(tǒng)����,包括令牌�;具有讀卡器的依賴方��,所述讀卡器配置成向所述令牌發(fā)送詢問消 息,以及所述令牌配置成向所述讀卡器發(fā)送包含不可鏈接令牌標(biāo)識符的響應(yīng)消息�����;以及身份登記庫��,配置成存儲令牌持有者的屬性�����,其中���,當(dāng)所述讀卡器向所述身份登記庫請求屬性時,所述身4分登 記庫驗證所述依賴方是否獲得所請求的屬性的授權(quán)��,以及如果被授權(quán)��, 則向所述讀卡器發(fā)送所述屬性。
21. 如權(quán)利要求20所述的系統(tǒng)��,其中,詢問-(Rnonce, RID},其 中Rnonce是讀卡器現(xiàn)時以及RID是讀卡器標(biāo)識符以及令牌���。
22. 如權(quán)利要求20所述的系統(tǒng)�����,其中,所述響應(yīng)至少包含加密的 私有令牌標(biāo)識符TID和會話密鑰k。
23. 如權(quán)利要求22所述的系統(tǒng)���,其中,所述身份登記庫配置成在 所述登記庫使用登記庫私鑰Q來對所述會話密鑰k進(jìn)行解密���,以及使 用經(jīng)解密的會話密鑰k對所述TID進(jìn)行解密�。
24. 如權(quán)利要求20所述的系統(tǒng)��,其中�,所述身份登記庫與至少一個屬性登記庫進(jìn)行通信����。
25. 如權(quán)利要求20所述的系統(tǒng),其中��,所述令牌是智能卡�、密鑰 卡��、便攜無線標(biāo)簽和RFID標(biāo)簽中的任一個。
26. 如權(quán)利要求20所述的系統(tǒng)�,其中����,所述讀卡器是配置成讀取 所述令牌上存儲的數(shù)據(jù)的硬件裝置����。
27. 如權(quán)利要求20所述的系統(tǒng)��,其中���,所述依賴方是商家�����、供應(yīng) 鏈控制點���、網(wǎng)絡(luò)服務(wù)器����、RFID標(biāo)簽系統(tǒng)和訪問控制點中的任一個�����。
28. 如權(quán)利要求20所述的系統(tǒng)�,其中�����,所述身份登記庫^_數(shù)據(jù)庫��。
29. 如權(quán)利要求20所述的系統(tǒng),其中�����,所述響應(yīng)包括一次性密碼 (OTP)��。
30. 如權(quán)利要求20所述的系統(tǒng)���,其中�,所述響應(yīng)包括生物測定數(shù)據(jù)。
31. 如權(quán)利要求20所述的系統(tǒng)�,其中����,所述令牌是軟令牌���。
32.如權(quán)利要求20所述的系統(tǒng)���,其中,所述讀卡器是運行于計算 裝置上的應(yīng)用程序。
全文摘要
增強保密身份方案可使用公鑰和私鑰密碼術(shù)有選擇地將令牌持有者的屬性分發(fā)給依賴方�����。詢問消息{Rnonce���,RID}�����,其中���,Rnonce是讀卡器現(xiàn)時����,以及RID是讀卡器標(biāo)識符(330)。方法還可包括響應(yīng)詢問消息而發(fā)送至少包含加密的私有令牌標(biāo)識符TID和會話密鑰k的響應(yīng)消息(360)。對于來自讀卡器的詢問進(jìn)行響應(yīng)。令牌發(fā)送包含對于從同一個令牌發(fā)送的其它標(biāo)識符是不可鏈接的令牌標(biāo)識符的消息(370)���。
文檔編號G06F21/34GK101569130SQ200780023716
公開日2009年10月28日 申請日期2007年4月16日 優(yōu)先權(quán)日2006年4月25日
發(fā)明者P·M·哈拉姆-貝克 申請人:弗里塞恩公司