專利名稱:事務(wù)的安全日志的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及兩個(gè)或更多的數(shù)據(jù)處理裝置之間的事務(wù)日志,并特別地涉及建立關(guān)于裝置之間每項(xiàng)事務(wù)的安全日志。
所熟知的是,通過(guò)使用公用密鑰密碼的數(shù)字簽名能夠校驗(yàn)第一和第二方之間發(fā)送的數(shù)據(jù)的完整性和真實(shí)性。
一般所采用的方法是讓第一方對(duì)要傳送到第二方的數(shù)據(jù)施加一個(gè)單向散列函數(shù)。得到的散列碼然后可以使用第一方的私人密鑰來(lái)加密,并且作為“簽名”連同原始數(shù)據(jù)一起被發(fā)送到第二方。第二方可以向原始數(shù)據(jù)施加相同的散列函數(shù),并且因?yàn)橐阎谝环降墓妹荑€,第二方也可以使用第一方的公用密鑰來(lái)解密被加密的散列碼(“簽名”)。如果散列碼的兩個(gè)版本匹配,則第二方可以確信(i)數(shù)據(jù)的確來(lái)自第一方(即校驗(yàn)其真實(shí)性)和(ii)數(shù)據(jù)沒(méi)有在途中被干涉或損壞(即校驗(yàn)數(shù)據(jù)的完整性)。
存在大量的應(yīng)用和系統(tǒng),其中,連接到計(jì)算機(jī)網(wǎng)絡(luò)的訪問(wèn)控制裝置通過(guò)第三方裝置給某些功能提供訪問(wèn)的安全控制。這種控制通常由提供標(biāo)識(shí)和其它數(shù)據(jù)(往往被加密)給控制設(shè)備的第三方裝置來(lái)實(shí)施,控制裝置然后根據(jù)數(shù)據(jù)確定該功能的使用是否已被批準(zhǔn)。
這類系統(tǒng)的一個(gè)典型實(shí)例是用于使用″智能卡″或″鑰匙卡″的大型建筑物的物理訪問(wèn)控制。在這個(gè)系統(tǒng)中,需要訪問(wèn)建筑的人員每個(gè)都攜帶一個(gè)鑰匙卡,該卡向安裝在建筑每個(gè)訪問(wèn)控制點(diǎn)(例如外部和內(nèi)部訪問(wèn)門)的入口訪問(wèn)控制裝置(例如電子鎖)提供識(shí)別口令(密鑰)。訪問(wèn)控制裝置然后基于接收到的口令密鑰確定是否允許訪問(wèn)(例如給門開鎖)。
記錄兩個(gè)裝置比如鑰匙卡和訪問(wèn)控制裝置之間的所有事務(wù)往往是必需的或者是非常希望的,使得所得到的事務(wù)日志可以被用來(lái)確定誰(shuí)獲準(zhǔn)訪問(wèn)建筑物、在哪個(gè)訪問(wèn)點(diǎn)、和在什么時(shí)間獲準(zhǔn)訪問(wèn)。通常,訪問(wèn)控制裝置將被連接到存儲(chǔ)事務(wù)日志的中央控制計(jì)算機(jī)。
另外,往往不僅僅希望事務(wù)日志記錄被校驗(yàn)的雙方的身份,而且還希望記錄被同意或被校驗(yàn)的一個(gè)時(shí)間印記。
本發(fā)明的目的是提供一個(gè)安全事務(wù)日志系統(tǒng),其中,可以由作為事務(wù)方的兩個(gè)裝置都來(lái)校驗(yàn)事務(wù)日志的真實(shí)性和數(shù)據(jù)完整性。這樣,事務(wù)日志可以包含已經(jīng)被作為事務(wù)方的兩個(gè)裝置校驗(yàn)的事務(wù)數(shù)據(jù)。
本發(fā)明的另一個(gè)目的是提供一個(gè)安全事務(wù)日志系統(tǒng),其中,事務(wù)日志能由第三方來(lái)校驗(yàn)其真實(shí)性和數(shù)據(jù)完整性,該第三方已經(jīng)知道作為事務(wù)方的各裝置的公用密鑰。
本發(fā)明的還有一個(gè)目的是提供一個(gè)安全事務(wù)日志系統(tǒng),其中,與事務(wù)相關(guān)的數(shù)據(jù),例如時(shí)間印記數(shù)據(jù),在被雙方校驗(yàn)后可以被分開和安全地記錄。
這樣,對(duì)任何一個(gè)裝置或?qū)?shù)據(jù)的干擾在被發(fā)送到中央控制計(jì)算機(jī)時(shí)可以被檢測(cè)到。另外,在未批準(zhǔn)裝置上使用的密碼數(shù)據(jù)的失竊或事務(wù)數(shù)據(jù)的損壞也可以被檢測(cè)到。
根據(jù)本發(fā)明的一方面提供一個(gè)產(chǎn)生安全事務(wù)日志的方法,該日志記錄了在第一和第二數(shù)據(jù)處理裝置之間建立的事務(wù)數(shù)據(jù),該方法包括下列步驟第一裝置向第二裝置發(fā)出部分事務(wù)日志,部分事務(wù)日志包括標(biāo)識(shí)數(shù)據(jù)和與事務(wù)相關(guān)的事件數(shù)據(jù);第二裝置響應(yīng)于部分事務(wù)日志而向第一裝置發(fā)出已簽名的完整日志,已簽名的完整日志包括由第二裝置專用的第一數(shù)字簽名來(lái)保障的所述的標(biāo)識(shí)數(shù)據(jù)和事件數(shù)據(jù);和第一裝置響應(yīng)于已簽名的完整日志而發(fā)出一個(gè)經(jīng)再簽名的完整日志,再簽名的完整日志包括由第一裝置專用的第二數(shù)字簽名來(lái)保障的所述的標(biāo)識(shí)數(shù)據(jù)、所述的事件數(shù)據(jù)和所述的第一數(shù)字簽名。
根據(jù)本發(fā)明的另一方面,提供一個(gè)對(duì)訪問(wèn)控制裝置進(jìn)行操作以產(chǎn)生安全事務(wù)日志的方法,該日志記錄在第一裝置和訪問(wèn)控制裝置之間建立的事務(wù)數(shù)據(jù),該方法包括下列步驟從第一裝置接收部分事務(wù)日志,部分事務(wù)日志包括標(biāo)識(shí)數(shù)據(jù)和與事務(wù)相關(guān)的事件數(shù)據(jù);響應(yīng)于部分事務(wù)日志而向第一裝置發(fā)出已簽名的完整日志,已簽名的完整日志包括由訪問(wèn)控制裝置專用的第一數(shù)字簽名來(lái)保障的所述的標(biāo)識(shí)數(shù)據(jù)和事件數(shù)據(jù);和響應(yīng)于已簽名的完整日志而從第一裝置接收再簽名的完整日志,再簽名的完整日志包括由第一裝置專用的第二數(shù)字簽名來(lái)保障的所述的標(biāo)識(shí)數(shù)據(jù)、所述的事件數(shù)據(jù)和所述的第一數(shù)字簽名。
根據(jù)本發(fā)明的另一方面,提供一個(gè)對(duì)第一數(shù)據(jù)處理裝置進(jìn)行操作以產(chǎn)生安全事務(wù)日志的方法,安全事務(wù)日志記錄在第一裝置和第二數(shù)據(jù)處理裝置之間建立的事務(wù)數(shù)據(jù),該方法包括下列步驟向第二裝置發(fā)出部分事務(wù)日志,該部分事務(wù)日志包括標(biāo)識(shí)數(shù)據(jù)和與事務(wù)相關(guān)的事件數(shù)據(jù);響應(yīng)于部分事務(wù)日志而從第二裝置接收已簽名的完整日志,已簽名的完整日志包括由第二裝置專用的第一數(shù)字簽名來(lái)保障的所述的標(biāo)識(shí)數(shù)據(jù)和事件數(shù)據(jù);和響應(yīng)于已簽名的完整日志而發(fā)出一個(gè)再簽名的完整日志,再簽名的完整日志包括由第一裝置專用的第二數(shù)字簽名來(lái)保障的所述的標(biāo)識(shí)數(shù)據(jù)、所述的事件數(shù)據(jù)和所述的第一數(shù)字簽名。
根據(jù)另一方面,本發(fā)明提供用于產(chǎn)生安全事務(wù)日志的一個(gè)設(shè)備,安全事務(wù)日志記錄了在第一和第二數(shù)據(jù)處理裝置之間建立的事務(wù)數(shù)據(jù),該設(shè)備包括在第一裝置中用于向第二裝置發(fā)出部分事務(wù)日志的裝置,部分事務(wù)日志包括標(biāo)識(shí)數(shù)據(jù)和與事務(wù)相關(guān)的事件數(shù)據(jù);在第二裝置中用于響應(yīng)于部分事務(wù)日志而向第一裝置發(fā)出已簽名的完整日志的裝置,該已簽名的完整日志包括由第二裝置專用的第一數(shù)字簽名來(lái)保障的所述的標(biāo)識(shí)數(shù)據(jù)和事件數(shù)據(jù);和在第一裝置中用于響應(yīng)于已簽名的完整日志而發(fā)出一個(gè)再簽名的完整日志的裝置,再簽名的完整日志包括由第一裝置專用的第二數(shù)字簽名來(lái)保障的所述的標(biāo)識(shí)數(shù)據(jù)、所述的事件數(shù)據(jù)和所述的第一數(shù)字簽名。
根據(jù)本發(fā)明的另一方面,提供一個(gè)訪問(wèn)控制裝置,該裝置適合于產(chǎn)生一個(gè)安全事務(wù)日志,它記錄了在第一裝置和訪問(wèn)控制裝置之間建立的事務(wù)數(shù)據(jù),該訪問(wèn)控制裝置包括用于從第一裝置接收部分事務(wù)日志的裝置,部分事務(wù)日志包括標(biāo)識(shí)數(shù)據(jù)和與事務(wù)相關(guān)的事件數(shù)據(jù);用于響應(yīng)于部分事務(wù)日志而向第一裝置發(fā)出已簽名的完整日志的裝置,已簽名的完整日志包括由訪問(wèn)控制裝置專用的第一數(shù)字簽名來(lái)保障的所述的標(biāo)識(shí)數(shù)據(jù)和事件數(shù)據(jù);和用于響應(yīng)于簽名完整日志而從第一裝置接收再簽名的完整日志的裝置,再簽名的完整日志包括由第一裝置專用的第二數(shù)字簽名來(lái)保障的所述的標(biāo)識(shí)數(shù)據(jù)、所述的事件數(shù)據(jù)和所述的第一數(shù)字簽名。
根據(jù)本發(fā)明的另一方面,提供一個(gè)適合于產(chǎn)生安全事務(wù)日志的數(shù)據(jù)處理裝置,安全事務(wù)日志記錄在該數(shù)據(jù)處理裝置和第二數(shù)據(jù)處理裝置之間建立的事務(wù)數(shù)據(jù),該數(shù)據(jù)處理裝置包括用于向第二裝置發(fā)出部分事務(wù)日志的裝置,部分事務(wù)日志包括標(biāo)識(shí)數(shù)據(jù)和與事務(wù)相關(guān)的事件數(shù)據(jù);用于響應(yīng)于部分事務(wù)日志而從第二裝置接收已簽名的完整日志的裝置,已簽名的完整日志包括由第二裝置專用的第一數(shù)字簽名來(lái)保障的所述的標(biāo)識(shí)數(shù)據(jù)和事件數(shù)據(jù);和用于響應(yīng)于已簽名的完整日志而發(fā)出再簽名的完整日志的裝置,再簽名的完整日志包括由專門用于數(shù)據(jù)處理裝置的第二數(shù)字簽名來(lái)保障的所述的標(biāo)識(shí)數(shù)據(jù)、所述的事件數(shù)據(jù)和所述的第一數(shù)字簽名。
現(xiàn)在,本發(fā)明的實(shí)施例將參考附圖并用舉例的方法來(lái)描述,其中
圖1示出一個(gè)設(shè)備示意框圖,該設(shè)備適用于執(zhí)行在此所描述的事務(wù)日志程序;圖2示出在兩個(gè)裝置之間的安全事務(wù)日志程序的示意流程圖;圖3示出在三個(gè)裝置之間的安全事務(wù)日志程序的示意流程圖;和圖4示出一個(gè)設(shè)備示意圖,該設(shè)備用于圖2的安全事務(wù)日志進(jìn)程的一個(gè)應(yīng)用。
參考圖1,適用于在至少兩個(gè)裝置10、20之間執(zhí)行安全事務(wù)日志進(jìn)程的設(shè)備現(xiàn)在將被描述。
第一裝置10包括處理器11和存儲(chǔ)器12。處理器11特別地被配置來(lái)處理第一和第二裝置之間的數(shù)據(jù)處理事務(wù),包括給被發(fā)送到第二裝置20的數(shù)據(jù)施加上專門用于第一裝置10的數(shù)字簽名。因此,處理器11可能包括專門的密碼機(jī)或可由通用處理機(jī)來(lái)執(zhí)行的加密功能。
存儲(chǔ)器12可以是任何適當(dāng)類型,它包括用于處理與第二裝置20或其它裝置(未示出)的事務(wù)所必需的存儲(chǔ)容量。特別地,存儲(chǔ)器12優(yōu)選地包括標(biāo)識(shí)數(shù)據(jù)寄存器13,它存儲(chǔ)著裝置10可以被它識(shí)別的標(biāo)識(shí)數(shù)據(jù),標(biāo)識(shí)數(shù)據(jù)可能是未加密或加密的形式。存儲(chǔ)器12還優(yōu)選地包括密鑰寄存器14,它包含裝置10可能需要與之通信的所有其它裝置的公用密鑰,用于從中解密數(shù)字簽名和/或被加密的通信。密鑰寄存器14可能還包含專門用于裝置10的私人密鑰,用于對(duì)從裝置輸出的消息進(jìn)行簽名。
存儲(chǔ)器12還優(yōu)選地包含事務(wù)日志寄存器15,它保存與其它裝置20的所有相關(guān)事務(wù)的日志。
第一裝置還可能包含實(shí)時(shí)的或其它時(shí)鐘16。通常,措辭″時(shí)鐘″指的是包含任何事務(wù)計(jì)數(shù)器或裝置,它用于標(biāo)記第一裝置的時(shí)域中在時(shí)間上相隔開的事件。
第二裝置20還包含處理器21和存儲(chǔ)器22。處理器21也是特別地被配置來(lái)處理第一和第二裝置之間的數(shù)據(jù)處理事務(wù)的,包括把第二裝置20專用的數(shù)字簽名加到被發(fā)送到第一裝置10的數(shù)據(jù)。因此,處理器21可能包含專門的密碼機(jī),或可以由通用處理機(jī)執(zhí)行加密功能。
存儲(chǔ)器22可以是任何適當(dāng)類型,它包含用于處理與第一裝置20或其它裝置(未示出)的數(shù)據(jù)處理事務(wù)所需的存儲(chǔ)容量。特別地,存儲(chǔ)器22優(yōu)選地包含標(biāo)識(shí)數(shù)據(jù)寄存器23,它存儲(chǔ)著裝置20可以借助于其而被識(shí)別的標(biāo)識(shí)數(shù)據(jù),并且標(biāo)識(shí)數(shù)據(jù)可能是未加密或已加密的形式。存儲(chǔ)器22還優(yōu)選地包含密鑰寄存器24,它包含裝置20可能需要與之通信的所有其它裝置的公用密鑰,用于從中解密數(shù)字簽名。密鑰寄存器24可能還包含專門用于裝置20的私人密鑰,用于對(duì)從裝置輸出的消息進(jìn)行簽名。
存儲(chǔ)器22優(yōu)選地還包括事務(wù)日志寄存器25,它保存與其它裝置10的所有相關(guān)事務(wù)的日志。
第二裝置還可能包括實(shí)時(shí)的或其它時(shí)鐘26。通常,措辭″時(shí)鐘″指的是包括任何事務(wù)計(jì)數(shù)器或裝置,它用于標(biāo)記第二裝置在時(shí)域中的在時(shí)間上相隔開的事件。
應(yīng)當(dāng)理解,盡管只說(shuō)明了兩個(gè)裝置10、20,但是事務(wù)日志進(jìn)程的原理可以適用于裝置群中任何兩個(gè)或更多的裝置。
裝置10、20適合于在任何適當(dāng)?shù)男诺?0上彼此通信。
例如,信道30可能是裝置之間的永久或瞬態(tài)的直接電連接,或者可能是光、紅外線、射頻、電磁或電感的鏈接,例如在一個(gè)裝置10是鑰匙卡而另一個(gè)裝置20是電子門鎖的情況下。另一方面,在各裝置是可聯(lián)網(wǎng)的計(jì)算機(jī)系統(tǒng)的情況下,信道30可能是永久或者瞬態(tài)的網(wǎng)絡(luò)連接。
在另一個(gè)實(shí)施例中,第二裝置20可能經(jīng)由第二信道31被連接到服務(wù)器40,服務(wù)器40可以被用來(lái)在第一和第二裝置10、20之間的事務(wù)日志內(nèi)插入第三方數(shù)據(jù)。信道31可以是用于傳送數(shù)據(jù)的任何合適的方法,優(yōu)選地是一個(gè)網(wǎng)絡(luò),更優(yōu)選地是互聯(lián)網(wǎng)。
如在先前關(guān)于第一和第二裝置10、20所描述的,服務(wù)器40優(yōu)選地包括處理器41和存儲(chǔ)器42。處理器41特別地被配置來(lái)處理與第二(或其它)裝置20之間的數(shù)據(jù)處理事務(wù),包括把服務(wù)器專用的數(shù)字簽名施加到被發(fā)送到第二裝置的安全數(shù)據(jù)。因此,處理器41可能包含專門的密碼機(jī),或可以由通用處理機(jī)來(lái)執(zhí)行加密功能。
存儲(chǔ)器42可以是任何適當(dāng)類型,它包含用于處理與第二裝置20或其它裝置(未示出)的數(shù)據(jù)處理事務(wù)所需的存儲(chǔ)容量。特別地,存儲(chǔ)器42優(yōu)選地包括標(biāo)識(shí)數(shù)據(jù)寄存器43,它存儲(chǔ)著服務(wù)器40可以被它識(shí)別的標(biāo)識(shí)數(shù)據(jù),并且標(biāo)識(shí)數(shù)據(jù)可能是未加密或加密的形式。存儲(chǔ)器42還優(yōu)選地包括密鑰寄存器44,它包含服務(wù)器40可能需要與之通信的所有其它裝置的公用密鑰,用于從中解密數(shù)字簽名。密鑰寄存器44可能還包括專門用于服務(wù)器40的私人密鑰,用于對(duì)從服務(wù)器輸出的消息進(jìn)行簽名。
存儲(chǔ)器42還優(yōu)選地包括事務(wù)日志寄存器45,它保存與其它裝置10、20的所有相關(guān)事務(wù)的日志。
服務(wù)器40可能還包括實(shí)時(shí)或其它時(shí)鐘46。通常,措辭″時(shí)鐘″指的是包括任何事務(wù)計(jì)數(shù)器或裝置,用于標(biāo)記服務(wù)器的時(shí)域中在時(shí)間上相隔開的事件,這個(gè)時(shí)域可以獨(dú)立于第一和第二裝置的兩個(gè)時(shí)域或其中的任一時(shí)域。
在優(yōu)選實(shí)施例中,第一裝置10可以是便攜式鑰匙卡類型的裝置,用于允許用戶訪問(wèn)設(shè)備、房屋或資源,比如建筑物、禁區(qū)、計(jì)算機(jī)資源等等。在這種情況下,第二裝置20可能是訪問(wèn)控制裝置,比如電子門鎖、門鎖、設(shè)備控制系統(tǒng)或計(jì)算機(jī)系統(tǒng)。
總的來(lái)說(shuō),訪問(wèn)控制裝置可以是有效地向第一裝置提供事務(wù)服務(wù)的任何裝置,該服務(wù)可以包括對(duì)物理實(shí)體或諸如數(shù)據(jù)、程序代碼、計(jì)算資源或金融服務(wù)之類的虛擬實(shí)體的訪問(wèn)。服務(wù)器40可能是實(shí)施對(duì)整個(gè)建筑、工具設(shè)備或資源的訪問(wèn)控制的中央控制計(jì)算機(jī)。在優(yōu)選方案中,服務(wù)器40是一個(gè)獨(dú)立的核算器、見證器、記時(shí)器或記錄器。它也可能成為第二裝置同一系統(tǒng)的一部分。它還可能由受信任的第三方組織操作和/或擁有,該第三方組織完全獨(dú)立于所有者或第一和第二裝置的運(yùn)營(yíng)商。
在另一個(gè)實(shí)施例中,第一裝置10可以是便攜式用戶標(biāo)識(shí)裝置,比如智能卡、信用卡、借記卡,等等,并且第二裝置20可以是自動(dòng)售貨機(jī)、銷售點(diǎn)終端或其它事務(wù)記錄裝置。服務(wù)器40可能是借記授權(quán)計(jì)算機(jī)系統(tǒng)。
在另一個(gè)實(shí)施例中,第一裝置10可以是尋求從第二裝置中檢索數(shù)據(jù)的計(jì)算機(jī)或數(shù)據(jù)處理裝置,第二裝置可以是數(shù)據(jù)庫(kù)或服務(wù)器。
現(xiàn)在轉(zhuǎn)到圖2,第一事務(wù)程序50現(xiàn)在將被描述。
在第一步驟中,第一裝置10向第二裝置20發(fā)出請(qǐng)求51以啟動(dòng)兩個(gè)裝置之間的事務(wù)。該請(qǐng)求可能包括事務(wù)類型說(shuō)明符(指出所請(qǐng)求的事務(wù)類型)和識(shí)別發(fā)起裝置10的標(biāo)識(shí)數(shù)據(jù)。
在第二步驟中,第二和第一裝置可能在總體上通信到一個(gè)必需的程度以確定所要求的事務(wù)特性和任何對(duì)其是重要的數(shù)據(jù),從而建立所需的必要授權(quán)和所需要的任何其它通信。為方便起見,這個(gè)步驟通常被稱為驗(yàn)證/協(xié)商階段52,但是這并不意味著在所實(shí)現(xiàn)的信息流上做出任何限制。
事務(wù)的這個(gè)階段可能包括由任何一個(gè)裝置來(lái)處理的任何必要的數(shù)據(jù),而且在裝置之間發(fā)送的數(shù)據(jù)可能被加密、未加密或者兩者皆有。如果希望,數(shù)據(jù)可能附有發(fā)送裝置的數(shù)字簽名。應(yīng)當(dāng)理解,對(duì)本發(fā)明目的而言,事務(wù)的確切細(xì)節(jié)不是本質(zhì)的。
在第三步驟中,第一裝置10產(chǎn)生要發(fā)送到第二裝置20的部分日志消息53。部分日志消息53實(shí)際上包含需要在事務(wù)日志中充分地記錄事務(wù)細(xì)節(jié)的任何數(shù)據(jù),而特別地包括識(shí)別第一裝置的數(shù)據(jù)和與事務(wù)有關(guān)的事件數(shù)據(jù)。部分日志53可以以加密和/或簽名形式被發(fā)送到第二裝置20,但是并非不需如此。
在第四步驟中,第二裝置20從第一裝置10接收部分日志消息53并且校驗(yàn)它滿足于作為事務(wù)細(xì)節(jié)而正確表示的內(nèi)容。
如有必要,如果這些不存在于部分日志53中,則第二裝置可以添加另一標(biāo)識(shí)數(shù)據(jù)(例如其自己的身份)和/或另一與事務(wù)有關(guān)的事件數(shù)據(jù)。
如有必要,如果它不滿意于第一裝置提供的部分日志消息53的內(nèi)容,則第二裝置可以改變由第一裝置提供的信息。
第二裝置由此產(chǎn)生用于發(fā)送到第一裝置的完整日志消息54。在發(fā)送完整日志消息之前,第二裝置把數(shù)字簽名附加到完整日志消息上從而確保完整日志消息的安全性并表明它對(duì)內(nèi)容的批準(zhǔn)。
應(yīng)當(dāng)理解,簽名的施加可以包括對(duì)整個(gè)消息的加密。然而,在一般情況中,已簽名的完整日志包括事務(wù)的標(biāo)識(shí)數(shù)據(jù)和事件數(shù)據(jù),它們由第二裝置20專用的第一數(shù)字簽名來(lái)保障。這樣就確保了第一裝置接收的已簽名的完整日志54的真實(shí)性和數(shù)據(jù)完整性可以被校驗(yàn)。
當(dāng)接收到已簽名的完整日志54的時(shí)候,第一裝置10使用數(shù)字簽名來(lái)校驗(yàn)已簽名的完整日志的完整性,然后對(duì)完整日志54再簽名以產(chǎn)生將被發(fā)送到第二裝置的再簽名的完整日志55。
應(yīng)當(dāng)理解,在對(duì)簽名的完整日志54的檢驗(yàn)中,在對(duì)完整日志再簽名以產(chǎn)生再簽名的完整日志55之前,第一裝置應(yīng)該檢查它是否同意第二裝置對(duì)部分日志53做出的任何添加/刪除/改變。
應(yīng)當(dāng)理解,由第一裝置施加第二數(shù)字簽名可以包括對(duì)整個(gè)消息加密。然而,在一般情況中,再簽名為完整日志55包括由專門用于第二裝置20的第一數(shù)字簽名來(lái)保障的原始標(biāo)識(shí)數(shù)據(jù)和事件數(shù)據(jù),然后由專門用于第一裝置10的第二數(shù)字簽名來(lái)保障。這樣就確保了第二裝置接收的再簽名的完整日志55可以被第二裝置校驗(yàn)為可信的和具有數(shù)據(jù)完整性。
再簽名的完整日志55由第二裝置存儲(chǔ)在存儲(chǔ)器25中。再簽名的完整日志55或已簽名的完整日志54由第一裝置存儲(chǔ)在存儲(chǔ)器15中。
應(yīng)當(dāng)認(rèn)識(shí)到,到此為止,第一和第二裝置10、20都具有事務(wù)日志55、56的拷貝,該事務(wù)日志55、56由雙方校驗(yàn)為該事務(wù)的正確的說(shuō)明。在對(duì)事務(wù)日志進(jìn)行過(guò)簽名或再簽名的任何一個(gè)設(shè)備不是明顯損壞的情況下,任何一方或獨(dú)立的第三方損傷或干擾該數(shù)據(jù)是不可能的。
在典型的實(shí)施例中,正在進(jìn)行(例如由第一裝置獲得對(duì)資源的訪問(wèn))的事務(wù)可以被禁止完成,直到第二裝置接收到再簽名的完整日志55那個(gè)時(shí)候?yàn)橹?。?dāng)接收到再簽名的完整日志的時(shí)候,第二裝置可以授權(quán)必要的行動(dòng)來(lái)完成事務(wù)56。
當(dāng)事務(wù)涉及訪問(wèn)控制的時(shí)候,再簽名的事務(wù)日志55可能包括識(shí)別訪問(wèn)方和控制方的標(biāo)識(shí)數(shù)據(jù),以及指明對(duì)受限的資源的訪問(wèn)地點(diǎn)、訪問(wèn)的時(shí)間和日期、用于訪問(wèn)的授權(quán)級(jí)別、和任何其它重要的事務(wù)信息的事件數(shù)據(jù)。
當(dāng)事務(wù)涉及從自動(dòng)售貨機(jī)或銷貨點(diǎn)終端機(jī)處購(gòu)買商品的時(shí)候,再簽名事務(wù)日志可能包括識(shí)別事務(wù)雙方的標(biāo)識(shí)數(shù)據(jù)和表明銷售地點(diǎn)、銷售數(shù)量和/或購(gòu)買的商品的事件數(shù)據(jù)。
優(yōu)選地,已簽名的日志和/或再簽名的日志將包括能供查詢的唯一的標(biāo)識(shí)碼。
在圖2程序的一種變化形式中,第一裝置10可能不同意已簽名的完整日志54的內(nèi)容。這可能是由于第二裝置20對(duì)部分日志53做了添加、修正或刪除的結(jié)果,或是由于第一裝置不能校驗(yàn)由第二裝置加到已簽名的完整日志的數(shù)字簽名的真實(shí)性的緣故。
在這種情況下,第一裝置可以發(fā)出另一個(gè)部分日志,它可能與第一個(gè)部分日志相同,或優(yōu)選地發(fā)出一個(gè)修訂過(guò)的部分日志,它把由于從第二裝置在已簽名的完整日志54中接收的數(shù)據(jù)所造成的改變結(jié)合在其中。無(wú)論怎樣,這個(gè)程序?qū)?dòng)另一個(gè)步驟,由第二裝置產(chǎn)生第二已簽名的完整日志54。對(duì)這種產(chǎn)生部分日志53的步驟沒(méi)有實(shí)際的次數(shù)限制,并且已簽名的完整日志54可以在協(xié)商進(jìn)程期間被重復(fù),其中第一和第二裝置在協(xié)商進(jìn)程期間設(shè)法對(duì)日志達(dá)成一致。
如果在第一和第二裝置之間出現(xiàn)沖突,則可以執(zhí)行協(xié)議來(lái)確定怎樣達(dá)成一致。類似地,可以執(zhí)行協(xié)議來(lái)確定何時(shí)放棄求得一致的嘗試以及放棄該事務(wù)。
參考圖3,更復(fù)雜的第二事務(wù)程序60現(xiàn)在將被描述。
如同第一事務(wù)程序50,在第一步驟中,第一裝置10向第二裝置20發(fā)出請(qǐng)求61來(lái)啟動(dòng)兩個(gè)裝置之間的事務(wù)。
同樣,如同第一事務(wù)程序50,在第二步驟中,第二和第一裝置可能在總體上通信到一個(gè)必需的程度以確定所需要的事務(wù)特性和任何對(duì)其說(shuō)來(lái)是重要的數(shù)據(jù),從而建立所需的必要授權(quán)和所需要的任何其它通信。為方便起見,這個(gè)步驟又被稱為驗(yàn)證/協(xié)商階段62,但是這并不意味著對(duì)所實(shí)施的信息流做出任何限制。
事務(wù)的這個(gè)階段可能包括對(duì)任何一個(gè)裝置所需要的任何數(shù)據(jù)進(jìn)行處理,并且在裝置之間發(fā)送的數(shù)據(jù)可能被加密、未加密或者兩者皆有。如果希望,則數(shù)據(jù)可能附有發(fā)送裝置的數(shù)字簽名。應(yīng)當(dāng)理解,對(duì)本發(fā)明目的而言,事務(wù)的確切細(xì)節(jié)不是本質(zhì)的。
在第三步驟中,第一裝置10產(chǎn)生要發(fā)送到第二裝置20的部分日志消息63。部分日志消息63實(shí)際上包含需要在事務(wù)日志中充分地記錄的事務(wù)細(xì)節(jié)的任何數(shù)據(jù),而特別地包括識(shí)別第一裝置的數(shù)據(jù)和與事務(wù)有關(guān)的事件數(shù)據(jù)。部分日志63可以以加密和/或簽名形式被發(fā)送到第二裝置20,但是并非必需如此。
裝置20檢查部分日志,并可能按照需要將數(shù)據(jù)添加到日志中、從其中除去或編輯其中數(shù)據(jù)。例如,裝置20可能添加它自己的裝置標(biāo)識(shí)、定時(shí)信息等等。
在這一點(diǎn)上,程序脫離圖2的程序。在第四步驟中,第二裝置20產(chǎn)生對(duì)第三方服務(wù)器40的填充日志請(qǐng)求64。填充日志請(qǐng)求通常包括部分日志63的內(nèi)容(可能由裝置20編輯)和對(duì)第三方數(shù)據(jù)的請(qǐng)求以包含在事務(wù)日志中。
填充日志請(qǐng)求64可能包括對(duì)來(lái)自受信任的第三方的獨(dú)立的校驗(yàn)過(guò)的時(shí)間印記的請(qǐng)求,其中時(shí)間印記對(duì)校驗(yàn)事務(wù)來(lái)說(shuō)很重要。所希望的是確保在事務(wù)執(zhí)行期間任何篡改第一或第二裝置10、20之一或其兩者的內(nèi)部時(shí)鐘的證明。
填充日志請(qǐng)求64可能包括向服務(wù)器40請(qǐng)求一個(gè)授權(quán)碼。例如,當(dāng)事務(wù)涉及用信用卡購(gòu)買商品的時(shí)候,授權(quán)碼可以是信用卡提供商的事務(wù)授權(quán),它用于在事務(wù)期間所建立的信貸額度。應(yīng)當(dāng)理解,在一般情況中,填充日志請(qǐng)求可能被認(rèn)為相當(dāng)于從第二裝置到服務(wù)器或第三裝置的部分日志請(qǐng)求。
在第五步驟中,服務(wù)器40向第二裝置20返回已簽名的日志65,已簽名的日志中包括服務(wù)器所請(qǐng)求信息。信息(例如受信任第三方的時(shí)間印記或事務(wù)授權(quán)碼)通過(guò)在返回到第二裝置20的日志中附加上服務(wù)器的數(shù)字簽名而被保障。已簽名的日志可能包括識(shí)別服務(wù)器40的標(biāo)識(shí)數(shù)據(jù)。已簽名的日志65可能被加密或未被加密。在產(chǎn)生簽名日志65之前,服務(wù)器通??赡茉谔畛淙罩菊?qǐng)求64中添加、減掉或變更數(shù)據(jù)在第六步驟中,第二裝置20從服務(wù)器40接收已簽名的日志消息65并對(duì)其進(jìn)行校驗(yàn)以確定它滿足作為事務(wù)細(xì)節(jié)正確表示的內(nèi)容以及因使用了來(lái)自服務(wù)器的數(shù)字簽名所以消息是可信的。如有必要,第二裝置可能添加另外的標(biāo)識(shí)數(shù)據(jù)(例如它的自己的身份)和/或與事務(wù)有關(guān)的另外事件數(shù)據(jù),只要它不干涉由服務(wù)器已簽名的日志的任何部分,因?yàn)槿绻@樣它將使得服務(wù)器已簽名的日志的任何這一部分無(wú)效。由此,第二裝置20產(chǎn)生一個(gè)完整的日志消息66以發(fā)送到第一裝置10。在發(fā)送完整日志消息之前,第二裝置把數(shù)字簽名附加到完整的日志消息上,從而確保完整的日志消息66的安全性并表明它對(duì)內(nèi)容的批準(zhǔn)。
然而,如果第二裝置同意,則它將不干涉服務(wù)器40提供的數(shù)據(jù)。有必要使服務(wù)器提供的數(shù)據(jù)的完整性和真實(shí)性可以由第一裝置來(lái)校驗(yàn)。如果第二裝置不同意已簽名的日志65中服務(wù)器40提供的數(shù)據(jù),則第二裝置可以根據(jù)任何適當(dāng)已規(guī)定的協(xié)議來(lái)重復(fù)填充日志請(qǐng)求64、放棄事務(wù)或啟動(dòng)事務(wù)的重新開始。
應(yīng)當(dāng)理解,簽名的施加可以包括對(duì)整個(gè)消息的加密。然而,在一般情況中,已簽名的完整日志消息66包括事務(wù)的標(biāo)識(shí)數(shù)據(jù)和事件數(shù)據(jù),它們由服務(wù)器40專用的數(shù)字簽名和第二裝置20專用的數(shù)字簽名來(lái)保障。這樣就確保由第一裝置接收的已簽名的完整日志可以根據(jù)發(fā)自服務(wù)器和來(lái)自第二裝置的兩個(gè)數(shù)據(jù)單元而被校驗(yàn)為可信的和具有數(shù)據(jù)完整性。
當(dāng)接收到已簽名的完整日志66的時(shí)候,第一裝置10使用數(shù)字簽名來(lái)校驗(yàn)已簽名的完整日志的完整性,并檢查它同意該日志的內(nèi)容。然后,它對(duì)完整日志再簽名以產(chǎn)生要發(fā)送到第二裝置20的再簽名的完整日志67。
應(yīng)當(dāng)理解,由第一裝置10施加第二數(shù)字簽名可能包括對(duì)整個(gè)消息的加密。然而,在一般情況中,再簽名的完整日志67包括事務(wù)的原始標(biāo)識(shí)數(shù)據(jù)和事件數(shù)據(jù),它們由服務(wù)器40專用的數(shù)字簽名,第二裝置20專用的數(shù)字簽名,以及第一裝置10專用的數(shù)字簽名來(lái)保障。
再簽名的完整日志67由第二裝置存儲(chǔ)在存儲(chǔ)器25中。優(yōu)選地,再簽名的完整日志67或也許是已簽名的完整日志66由第一裝置存儲(chǔ)在存儲(chǔ)器15中。然而,如果只有已簽名的完整日志66由第一裝置存儲(chǔ),在第一裝置的領(lǐng)域中這并不會(huì)提供這樣的后續(xù)證明該最終日志是得到同意的,除非它被存儲(chǔ)在第一裝置中。
在此應(yīng)當(dāng)認(rèn)識(shí)到,第一和第二裝置10、20都具有事務(wù)日志66、67的拷貝,事務(wù)日志66、67包括被信任第三方的信息或一般地說(shuō)是服務(wù)器信息,這個(gè)信息由雙方校驗(yàn)為該事務(wù)的正確的說(shuō)明。在對(duì)事務(wù)日志進(jìn)行過(guò)簽名或再簽名的任何一個(gè)設(shè)備不是明顯損壞的情況下,任何一方或獨(dú)立的第三方損傷或干擾該數(shù)據(jù)是不可能的。
如果有必要或者希望這樣做,則再簽名完整日志67還可以被轉(zhuǎn)發(fā)到服務(wù)器40以保存該事務(wù)的獨(dú)立安全日志。
在其他方面,第二事務(wù)程序60類似于第一事務(wù)程序。
在典型的實(shí)施例中,正在進(jìn)行(例如獲得第一裝置資源的訪問(wèn))的事務(wù)可以被禁止完成,直到第二裝置接收到再簽名的完整日志67為止。當(dāng)接收到再簽名的完整日志的時(shí)候,第二裝置可以授權(quán)必要的行動(dòng)來(lái)完成事務(wù)68。
應(yīng)當(dāng)理解,當(dāng)產(chǎn)生簽名的完整日志時(shí),如果第一裝置不同意第二裝置做出的添加、修正或刪除,可以用類似于結(jié)合圖2所做出的描述的方式來(lái)實(shí)施圖3中的程序的變動(dòng)。第一裝置可以再次發(fā)出被修訂的部分日志63和重復(fù)第三、第四、第五以及第六步驟。當(dāng)然,如果服務(wù)器40提供的已簽名的完整日志的內(nèi)容不具有爭(zhēng)議,則可以不必要重復(fù)第四和第五步驟(填充日志請(qǐng)求消息64和已簽名的日志消息65),僅僅重復(fù)第三和第六步驟即可。
應(yīng)當(dāng)理解,在某些很簡(jiǎn)單的事務(wù)中,初始請(qǐng)求51、61可能被合并到部分日志消息53、63中。在這種情況下,驗(yàn)證/協(xié)商階段52也可以有效地合并到部分日志消息53、63和簽名的完整日志消息54、66中。
在優(yōu)選實(shí)施例中,部分日志消息53、63可能包括下列內(nèi)容中的一個(gè)或多個(gè)第一裝置10的唯一裝置標(biāo)識(shí)符;裝置10的授權(quán)級(jí)別的標(biāo)記;第一事務(wù)標(biāo)識(shí)符;事務(wù)類型說(shuō)明書;按照第一裝置時(shí)域中時(shí)鐘的事務(wù)時(shí)間;該事務(wù)的任何其它專用的數(shù)據(jù)。
在優(yōu)選實(shí)施例中,已簽名的完整日志消息54、66可能包括下列內(nèi)容中的一個(gè)或多個(gè)部分日志消息的信息;第二裝置20的唯一裝置標(biāo)識(shí)符;第二事務(wù)標(biāo)識(shí)符;按照第二裝置時(shí)域中時(shí)鐘的事務(wù)時(shí)間;該事務(wù)的任何其它專用的數(shù)據(jù)。
在優(yōu)選實(shí)施例中,簽名完整日志消息66可能還包括來(lái)自服務(wù)器40的安全數(shù)據(jù),這些數(shù)據(jù)包括下列內(nèi)容中的一個(gè)或多個(gè)按照服務(wù)器時(shí)域的獨(dú)立時(shí)間和/或日期信息;事務(wù)標(biāo)識(shí)符;授權(quán)碼;該事務(wù)的任何其它專用的數(shù)據(jù)。
在一些情況下,可能希望要提供允許訪問(wèn)的精確的時(shí)間的通知,即事務(wù)完成的時(shí)間。這可以經(jīng)由單獨(dú)的消息的方式來(lái)實(shí)現(xiàn),單獨(dú)的消息由第二裝置使用保密或不保密的數(shù)據(jù)發(fā)出。
參考圖4,在用于家庭安全性的一個(gè)優(yōu)選實(shí)施例中,第一裝置10可能是用于進(jìn)入建筑的鑰匙卡,第二裝置20可能是電子門鎖,以及服務(wù)器40可能是連接到第二裝置并優(yōu)選地也連接到互聯(lián)網(wǎng)的計(jì)算機(jī)。鑰匙10和鎖20之間的通信信道30可能是直接的電通信。電子門鎖20和計(jì)算機(jī)40之間的通信信道31可能是無(wú)線(例如藍(lán)牙)鏈路。
鑰匙卡10可能由被授權(quán)的人使用,比如園丁或家庭助理。電子門鎖20將確定是否接受那個(gè)人訪問(wèn)房屋。在第一方案中,訪問(wèn)可能由電子門鎖自主地授權(quán),并且將事務(wù)日志(該人員進(jìn)入建筑物)記錄在電子鎖和鑰匙卡中。電子門鎖20可以同時(shí)將該事務(wù)通知計(jì)算機(jī)40,計(jì)算機(jī)40是可由房主45或樓宇監(jiān)管人經(jīng)由互聯(lián)網(wǎng)而可訪問(wèn)的。
在第二方案中,電子門鎖20不能自主地授權(quán)訪問(wèn),而是可能需要從服務(wù)器40獲得事務(wù)授權(quán)。這個(gè)授權(quán)可能由計(jì)算機(jī)授權(quán)(計(jì)算機(jī)可以經(jīng)由互聯(lián)網(wǎng)遠(yuǎn)程配置)或可能需要來(lái)自于房主45或由樓宇監(jiān)管人實(shí)時(shí)批準(zhǔn)這種授權(quán)。在這種情況下,計(jì)算機(jī)40可以經(jīng)由互聯(lián)網(wǎng)電子郵件、移動(dòng)電話或文本通信與房主45通信。
應(yīng)當(dāng)理解,本發(fā)明的原理可以被擴(kuò)展到更多的裝置,例如當(dāng)事務(wù)方是三個(gè)或多個(gè)裝置的時(shí)候。在這種情況下,每個(gè)裝置都有機(jī)會(huì)來(lái)校驗(yàn)來(lái)自其他事務(wù)方中每一方的事務(wù)日志的數(shù)字簽名的拷貝。
例如再次參見圖3,使用多方的執(zhí)行過(guò)程現(xiàn)在被描述。在接收到填充日志請(qǐng)求64并添加所需的任何信息到部分日志之后,服務(wù)器40可以把這個(gè)部分日志傳遞到第二服務(wù)器上(即做出另一個(gè)填充日志請(qǐng)求64)。這個(gè)第二服務(wù)器將把它的信息添加到日志上,對(duì)它簽名并將它作為已簽名的日志66返回給第一服務(wù)器40。第一服務(wù)器40然后可以驗(yàn)證來(lái)自第二服務(wù)器的已簽名的日志,自己給它簽名,并把日志返回給第二裝置20。這從第一和第二裝置10和20的觀點(diǎn)看不會(huì)影響全過(guò)程。這個(gè)進(jìn)程還可以被重復(fù)用于任意數(shù)量的被嵌套的第三方。
多方方案也可以相對(duì)于第一、第二和第三(或多個(gè))裝置而被執(zhí)行,這將擴(kuò)展圖2的實(shí)施例。例如,一個(gè)這樣的裝置(例如第二裝置20)可以轉(zhuǎn)發(fā)多個(gè)平行的部分日志到其它各方以供檢驗(yàn)和簽名并把所有從各個(gè)另外一方接收到的已簽名的日志加以編排以形成一個(gè)已簽名的完整的日志66消息來(lái)返回給第一裝置。這個(gè)平行的方式將確保各方中的兩方對(duì)整個(gè)日志的一致性而不是其它各方的一致性。
在N個(gè)裝置的事務(wù)日志中所有各方對(duì)日志的完全一致可以經(jīng)由對(duì)消息組的串行方式來(lái)實(shí)現(xiàn)。第一裝置向第二裝置發(fā)出一個(gè)部分日志,然后部分日志在前進(jìn)方向1...N被接連地傳遞到另外的每個(gè)裝置以便修改或添加。在這個(gè)鏈的結(jié)尾,第N個(gè)裝置對(duì)日志簽名并把完整日志接連地以反方向返回給N-1個(gè)裝置中的每一個(gè)。一旦第一裝置收到了由所有各方簽名的完整日志,它就可以把再簽名的日志67在鏈中以前進(jìn)向傳遞回去。
其它實(shí)施例在意圖上也是處在隨附的權(quán)利要求的范圍內(nèi)。
權(quán)利要求
1.一種產(chǎn)生安全事務(wù)日志的方法,該安全事務(wù)日志記錄在第一(10)和第二(20)數(shù)據(jù)處理裝置之間建立的事務(wù)數(shù)據(jù),該方法包括下列步驟第一裝置向第二裝置發(fā)出部分事務(wù)日志(63),部分事務(wù)日志包括標(biāo)識(shí)數(shù)據(jù)和與事務(wù)相關(guān)的事件數(shù)據(jù);第二裝置響應(yīng)于部分事務(wù)日志而向第一裝置發(fā)出已簽名的完整日志(66),已簽名的完整日志包括由第二裝置(20)專用的第一數(shù)字簽名來(lái)保障的所述的標(biāo)識(shí)數(shù)據(jù)和事件數(shù)據(jù);和第一裝置響應(yīng)于已簽名的完整日志(66)而發(fā)出再簽名的完整日志(67),再簽名的完整日志包括由第一裝置專用的第二數(shù)字簽名來(lái)保障的所述的標(biāo)識(shí)數(shù)據(jù)、所述的事件數(shù)據(jù)和所述的第一數(shù)字簽名。
2.權(quán)利要求1的方法,在發(fā)出部分事務(wù)日志(63)的步驟之前還包括如下步驟在第一和第二裝置之間建立通信(61、62)以實(shí)現(xiàn)一次事務(wù)并產(chǎn)生與該事務(wù)相關(guān)的數(shù)據(jù),至少一部分被如此產(chǎn)生的數(shù)據(jù)在所述的部分事務(wù)日志中被用作所述的事件數(shù)據(jù)。
3.權(quán)利要求2的方法,其中,該事務(wù)包括至少對(duì)其中一個(gè)裝置的身份驗(yàn)證(62)。
4.權(quán)利要求1的方法,其中,事件數(shù)據(jù)包括從第一裝置(10)和第二裝置(20)的至少其中一個(gè)所導(dǎo)出的時(shí)間印記信息。
5.權(quán)利要求1的方法,其中,該事件數(shù)據(jù)和/或另一個(gè)事件數(shù)據(jù)包括從第一裝置(10)和第二裝置(20)兩者中導(dǎo)出的時(shí)間印記信息。
6.權(quán)利要求1的方法,其中,標(biāo)識(shí)數(shù)據(jù)包括唯一地識(shí)別第一裝置(10)和/或第二裝置(20)的數(shù)據(jù)。
7.權(quán)利要求1的方法,其中,已簽名的完整日志包括由第二裝置(20)添加的另一個(gè)事件數(shù)據(jù)。
8.權(quán)利要求1的方法,其中,部分日志、已簽名的事務(wù)日志和再簽名的事務(wù)日志中的至少一個(gè)或多個(gè)在第一(10)和第二(20)裝置之間的傳送期間是被加密的。
9.權(quán)利要求1的方法,其中,第一數(shù)字簽名使用第二裝置的私人密鑰來(lái)施加,相對(duì)應(yīng)的公用密鑰是可由第一裝置訪問(wèn)的。
10.權(quán)利要求1或權(quán)利要求9的方法,其中,第二數(shù)字簽名使用第二裝置的私人密鑰來(lái)施加,相對(duì)應(yīng)的公用密鑰是可由第二裝置訪問(wèn)的。
11.權(quán)利要求1的方法,還包括下列步驟在從第一裝置接收部分事務(wù)日志(63)之后,由第二裝置(20)向第三裝置(40)發(fā)出數(shù)據(jù)請(qǐng)求(64);響應(yīng)于數(shù)據(jù)請(qǐng)求,由第二裝置從第三裝置(40)接收(65)第三方事件數(shù)據(jù);把第三方事件數(shù)據(jù)包括到發(fā)向第一裝置的簽了名的完整日志(66)中。
12.權(quán)利要求11的方法,其中,第三方事件數(shù)據(jù)由第三裝置(40)專用的第三數(shù)字簽名來(lái)保障。
13.權(quán)利要求11的方法,其中,第三方事件數(shù)據(jù)包括獨(dú)立于第一和第二裝置的時(shí)間印記信息。
14.權(quán)利要求11的方法,其中,第三方事件數(shù)據(jù)包括事務(wù)授權(quán)數(shù)據(jù)。
15.權(quán)利要求12的方法,其中,第三數(shù)字簽名使用第三裝置(40)的私人密鑰來(lái)施加,相對(duì)應(yīng)的公用密鑰是可由第一(10)和第二(20)裝置訪問(wèn)的。
16.權(quán)利要求1的方法,其中,第一裝置(10)是便攜式識(shí)別裝置并且第二裝置(20)是用于控制對(duì)建筑物、設(shè)施或資源進(jìn)行訪問(wèn)的訪問(wèn)控制裝置。
17.權(quán)利要求1或權(quán)利要求11的方法,其中,已簽名的完整日志包括由第二裝置修改過(guò)的部分事務(wù)日志的內(nèi)容。
18.權(quán)利要求1或權(quán)利要求11的方法,還包括下列步驟在接收到已簽名的完整日志(66)之后,第一裝置(10)向第二裝置發(fā)出修訂過(guò)的事務(wù)日志,修訂過(guò)的部分日志包括由第一裝置修改過(guò)的已簽名的完整日志的內(nèi)容;和響應(yīng)于修訂過(guò)的部分日志,第二裝置(20)向第一裝置發(fā)出由第二裝置專用的數(shù)字簽名所保障的修訂過(guò)的已簽名的完整日志。
19.權(quán)利要求18的方法,還包括重復(fù)如下步驟發(fā)出修訂過(guò)的部分事務(wù)日志和修訂過(guò)的已簽名的完整日志,直到第一和第二裝置都同意事務(wù)日志的內(nèi)容為止。
20.一種對(duì)訪問(wèn)控制裝置(20)進(jìn)行操作以產(chǎn)生一個(gè)安全事務(wù)日志的方法,該日志記錄在第一裝置(10)和訪問(wèn)控制裝置(20)之間所建立的事務(wù)數(shù)據(jù),該方法包括下列步驟從第一裝置接收部分事務(wù)日志,該部分事務(wù)日志包括標(biāo)識(shí)數(shù)據(jù)和與事務(wù)相關(guān)的事件數(shù)據(jù);響應(yīng)于部分事務(wù)日志而向第一裝置發(fā)出已簽名的完整日志(66),該已簽名的完整日志包括由訪問(wèn)控制裝置專用的第一數(shù)字簽名來(lái)保障的所述的標(biāo)識(shí)數(shù)據(jù)和事件數(shù)據(jù);和響應(yīng)于已簽名的完整日志而從第一裝置接收再簽名的完整日志(67),再簽名的完整日志包括由第一裝置專用的第二數(shù)字簽名來(lái)保障的所述的標(biāo)識(shí)數(shù)據(jù)、所述的事件數(shù)據(jù)和所述的第一數(shù)字簽名。
21.權(quán)利要求20的方法,還包括下列步驟在從第一裝置接收部分事務(wù)日志(63)之后,向第三裝置發(fā)出數(shù)據(jù)請(qǐng)求(64);響應(yīng)于數(shù)據(jù)請(qǐng)求,從第三裝置接收第三方事件數(shù)據(jù)(65);把第三方事件數(shù)據(jù)包括到發(fā)向第一裝置的已簽名的完整日志(66)中。
22.權(quán)利要求20或權(quán)利要求21的方法,其中,已簽名的完整日志包括由第二裝置(20)修改過(guò)的部分事務(wù)日志的內(nèi)容。
23.權(quán)利要求20或權(quán)利要求21的方法,還包括下列步驟在接收已簽名的完整日志(66)之后,第一裝置(10)向第二裝置發(fā)出修訂過(guò)的部分事務(wù)日志,修訂過(guò)的部分日志包括由第一裝置修改過(guò)的已簽名的完整日志的內(nèi)容;和響應(yīng)于修訂過(guò)的部分日志,第二裝置(20)向第一裝置發(fā)出由第二裝置專用的數(shù)字簽名來(lái)保障的修訂過(guò)的已簽名的完整日志。
24.權(quán)利要求23的方法,還包括重復(fù)如下步驟發(fā)出修訂過(guò)的部分事務(wù)日志和修訂過(guò)的已簽名的完整日志,直到第一(10)和第二(20)裝置都同意事務(wù)日志的內(nèi)容為止。
25.權(quán)利要求20的方法,還包括如下步驟使用第一裝置的公用密鑰來(lái)校驗(yàn)再簽名的完整日志的真實(shí)性和完整性。
26.權(quán)利要求20或權(quán)利要求21的方法,其中,訪問(wèn)控制裝置(20)是電子門鎖、電子大門鎖、設(shè)備控制系統(tǒng)、計(jì)算機(jī)系統(tǒng)、數(shù)據(jù)處理或檢索系統(tǒng)、銷售點(diǎn)終端機(jī)或自動(dòng)售貨機(jī)中的任何一個(gè),和其中第一裝置(10)是電子鑰匙、信用卡或借記卡中的任何一種。
27.權(quán)利要求20的方法,還包括如下步驟只有在由訪問(wèn)控制裝置接收到再簽名的日志之后,才允許第一裝置(10)訪問(wèn)由訪問(wèn)控制裝置(20)所預(yù)先確定的資源。
28.一種對(duì)第一數(shù)據(jù)處理裝置進(jìn)行操作以產(chǎn)生安全事務(wù)日志的方法,該日志記錄在第一裝置(10)和第二數(shù)據(jù)處理裝置(20)之間建立的事務(wù)數(shù)據(jù),該方法包括下列步驟向第二裝置發(fā)出部分事務(wù)日志(63),該部分事務(wù)日志包括標(biāo)識(shí)數(shù)據(jù)和與事務(wù)相關(guān)的事件數(shù)據(jù);響應(yīng)于部分事務(wù)日志而從第二裝置接收已簽名的完整日志(66),已簽名的完整日志包括由第二裝置專用的第一數(shù)字簽名來(lái)保障的所述的標(biāo)識(shí)數(shù)據(jù)和事件數(shù)據(jù);和響應(yīng)于已簽名的完整日志而從第一裝置發(fā)出再簽名的完整日志(67),該再簽名的完整日志包括由第一裝置專用的第二數(shù)字簽名來(lái)保障的所述的標(biāo)識(shí)數(shù)據(jù)、所述的事件數(shù)據(jù)和所述的第一數(shù)字簽名。
29.權(quán)利要求28的方法,還包括如下步驟使用第二裝置的公用密鑰來(lái)校驗(yàn)簽名完整日志的真實(shí)性和完整性。
30.一個(gè)計(jì)算機(jī)程序產(chǎn)品,包括在其中具有計(jì)算機(jī)程序代碼裝置的計(jì)算機(jī)可讀媒介,當(dāng)所述的程序被載入到計(jì)算機(jī)上時(shí),該裝置適用于使計(jì)算機(jī)執(zhí)行權(quán)利要求20到29中任何一個(gè)的程序。
31.用于產(chǎn)生安全事務(wù)日志的設(shè)備,該安全事務(wù)日志記錄在第一(10)和第二(20)數(shù)據(jù)處理裝置之間建立的事務(wù)數(shù)據(jù),該設(shè)備包括在第一裝置中用于向第二裝置發(fā)出部分事務(wù)日志的裝置(11),該部分事務(wù)日志包括標(biāo)識(shí)數(shù)據(jù)和與事務(wù)相關(guān)的事件數(shù)據(jù);在第二裝置中用于響應(yīng)于部分事務(wù)日志向第一裝置發(fā)出已簽名的完整日志的裝置(21),已簽名的完整日志包括由第二裝置專用的第一數(shù)字簽名來(lái)保障的所述的標(biāo)識(shí)數(shù)據(jù)和事件數(shù)據(jù);和第一裝置中的裝置(11),用于響應(yīng)于已簽名的完整日志而發(fā)出再簽名的完整日志,再簽名的完整日志包括由第一裝置專用的第二數(shù)字簽名來(lái)保障的所述的標(biāo)識(shí)數(shù)據(jù)、所述的事件數(shù)據(jù)和所述的第一數(shù)字簽名。
32.一個(gè)訪問(wèn)控制裝置(20),適合于產(chǎn)生安全事務(wù)日志,該日志記錄在第一裝置(10)和訪問(wèn)控制裝置之間建立的事務(wù)數(shù)據(jù),該裝置包括用于從第一裝置接收部分事務(wù)日志的裝置(21、25),部分事務(wù)日志包括標(biāo)識(shí)數(shù)據(jù)和與事務(wù)相關(guān)的事件數(shù)據(jù);用于響應(yīng)于部分事務(wù)日志而向第一裝置發(fā)出已簽名的完整日志的裝置(21),已簽名的完整日志包括由訪問(wèn)控制裝置專用的第一數(shù)字簽名來(lái)保障的所述的標(biāo)識(shí)數(shù)據(jù)和事件數(shù)據(jù);和用于響應(yīng)于已簽名的完整日志而從第一裝置接收再簽名的完整日志的裝置(21),該再簽名的完整日志包括由第一裝置專用的第二數(shù)字簽名來(lái)保障的所述的標(biāo)識(shí)數(shù)據(jù)、所述的事件數(shù)據(jù)和所述的第一數(shù)字簽名。
33.一個(gè)適合于產(chǎn)生安全事務(wù)日志的數(shù)據(jù)處理裝置(10),該日志記錄在數(shù)據(jù)處理裝置和第二數(shù)據(jù)處理裝置(20)之間建立的事務(wù)數(shù)據(jù),包括用于向第二裝置發(fā)出部分事務(wù)日志的裝置(11、15),部分事務(wù)日志包括標(biāo)識(shí)數(shù)據(jù)和與事務(wù)相關(guān)的事件數(shù)據(jù);用于響應(yīng)于部分事務(wù)日志而從第二裝置接收已簽名的完整日志(66)的裝置(11),已簽名的完整日志包括由第二裝置專用的第一數(shù)字簽名來(lái)保障的所述的標(biāo)識(shí)數(shù)據(jù)和事件數(shù)據(jù);和用于響應(yīng)于已簽名的完整日志而發(fā)出再簽名的完整日志的裝置(11),再簽名的完整日志包括由數(shù)據(jù)處理裝置專用的第二數(shù)字簽名來(lái)保障的所述的標(biāo)識(shí)數(shù)據(jù)、所述的事件數(shù)據(jù)和所述的第一數(shù)字簽名。
全文摘要
一個(gè)產(chǎn)生安全事務(wù)日志方法,安全事務(wù)日志記錄了在第一10和第二20數(shù)據(jù)處理裝置之間建立的事務(wù)數(shù)據(jù)。事務(wù)日志包括從第一裝置導(dǎo)出的事務(wù)數(shù)據(jù),事務(wù)數(shù)據(jù)由第二裝置數(shù)字簽名然后再由第一裝置數(shù)字再簽名,并在兩個(gè)裝置中都有本地存儲(chǔ)的拷貝。來(lái)自其中一個(gè)裝置或在兩個(gè)裝置之間傳送過(guò)程中的數(shù)據(jù)干擾對(duì)于兩個(gè)裝置來(lái)說(shuō)都是明顯的。事務(wù)數(shù)據(jù)可以包括由作為可信的第三方的獨(dú)立第三方所接收和簽名的數(shù)據(jù)。
文檔編號(hào)H04L9/32GK1736078SQ03820268
公開日2006年2月15日 申請(qǐng)日期2003年8月6日 優(yōu)先權(quán)日2002年8月28日
發(fā)明者P·R·西蒙斯, D·C·于勒 申請(qǐng)人:皇家飛利浦電子股份有限公司