專利名稱:光帶外的密鑰分發(fā)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及加密,尤其是涉及用于加密的密鑰分發(fā)。
背景技術(shù):
諸如用于當(dāng)前計(jì)算機(jī)系統(tǒng)的加密可分為非對稱加密(或者“公鑰”)和對稱加密���。對稱和非對稱加密都利用密鑰���。密鑰可特征化為長數(shù)字串。加密密鑰用于由消息的發(fā)送者用加密算法加密消息�����。接收方用解密密鑰和解密算法來解密消息���。在對稱加密中�����,加密密鑰和解密密鑰能夠相對容易地彼此導(dǎo)出����。在非對稱加密中�����,加密和解密密鑰不能彼此導(dǎo)出��。在任意類加密系統(tǒng)(對稱或非對稱)中,加密或解密算法可以是相同的或不同的算法���。
對于加密技術(shù)的一個(gè)挑戰(zhàn)是安全傳送能用于生成發(fā)送器和接收器間所需的加密密鑰的必需信息�����。使用非對稱加密算法的一個(gè)系統(tǒng)實(shí)施例利用了公鑰/私鑰對�����。利用公鑰/私鑰對的加密算法的一個(gè)示例是RSA(Rivest����,Shamir和Adleman)算法��。公鑰系統(tǒng)可使用存有證書或其它密鑰信息的認(rèn)證授權(quán)�����,從中能夠?qū)С龊?或鑒別公鑰對的一個(gè)密鑰�。這種非對稱算法需要相當(dāng)高的處理能力來完成���。許多計(jì)算機(jī)外圍設(shè)備不具有足夠的處理能力在合理長的時(shí)間里有效地完成這種非對稱算法�����。公鑰密碼系統(tǒng)對選擇明文攻擊是脆弱的�����。
計(jì)算機(jī)環(huán)境使用各種硬件部件����,包括計(jì)算機(jī)以及諸如顯示器、鼠標(biāo)���、打印機(jī)�、個(gè)人顯示助手(PDA)或鍵盤的外圍設(shè)備�����。盡管計(jì)算機(jī)系統(tǒng)中的某些通信通路可以信賴����,但這決不意味著該計(jì)算機(jī)系統(tǒng)的所有通信通路都被信賴。同樣地��,某些通信通路可能需要加密���。
雙方必須在建立加密通信通路的加密算法和相應(yīng)密鑰上達(dá)成一致��。但是���,在不安全通道上發(fā)送密鑰或?qū)С雒荑€的信息可能導(dǎo)致黑客捕捉密鑰信息并因此取得對此后加密通信的訪問�����。對于在通信通路上發(fā)送密鑰信息的另一個(gè)選擇是將密鑰制作進(jìn)設(shè)備�。但是��,黑客在從硬件上取得這種信息也是擅長的���。
對于如某些無線鍵盤的這類外圍設(shè)備的一個(gè)解決方案是���,例如����,要求用戶鍵入出現(xiàn)在計(jì)算機(jī)顯示器上的密鑰字符串。密鑰字符串用于生成外圍設(shè)備內(nèi)的密鑰�。密鑰字符串可以是,例如���,16或更多字符的長度���。這些密鑰字符串的字符一般是隨機(jī)的���。鍵入這種密鑰字符串常常是浪費(fèi)時(shí)間、易混淆���、易出錯(cuò)的�。另外���,密鑰字符串能被非計(jì)劃的或不希望的第三方直觀地或用攝像機(jī)��、聽鍵盤聲等觀察到�。
為了上述所有這些原因�����,存在對于使密鑰信息更不易于被非計(jì)劃的第三方或黑客侵?jǐn)_的加密系統(tǒng)或技術(shù)的需求���。
發(fā)明內(nèi)容
本發(fā)明涉及帶外通信系統(tǒng)及相關(guān)過程�。帶外通信系統(tǒng)包括一配置成傳播加密數(shù)據(jù)的加密數(shù)據(jù)通路����。帶外通信系統(tǒng)包括物理上明顯不同于加密數(shù)據(jù)通路的光帶外通道���。光帶外通道延伸在光發(fā)送器和光接收器之間。光帶外通道被配置為從光發(fā)送器到光接收器傳輸密鑰信息��。
在所有附圖中�,相同的數(shù)字表示相同的特征與部件。
圖1示出一個(gè)計(jì)算機(jī)環(huán)境�,它包括帶外通信系統(tǒng)的一個(gè)實(shí)施例;圖2示出帶外通信系統(tǒng)的一個(gè)實(shí)施例�;圖3示出帶外通信系統(tǒng)的一個(gè)實(shí)施例,它包括光發(fā)送器和光接收器�,以及它們之間形成的光鏈路;圖4a示出帶外通信系統(tǒng)外圍設(shè)備部分的一個(gè)實(shí)施例的頂視圖���,外圍設(shè)備被配置為無線鍵盤��;圖4b示出圖4a中所示外圍設(shè)備的側(cè)視圖���,它示出了沿著斷面線4b-4b觀看到的光接收器�����;圖5示出了帶外通信系統(tǒng)的另一個(gè)實(shí)施例,其中光帶外通道延伸在計(jì)算機(jī)和諸如光鼠標(biāo)的外圍設(shè)備之間�����;以及圖6示出一個(gè)計(jì)算機(jī)環(huán)境���,它包括帶外通信系統(tǒng)�����。
具體實(shí)施例方式
本發(fā)明的一個(gè)方面涉及在光帶外通道上以使后繼的安全通信能夠在加密數(shù)據(jù)通路上進(jìn)行的方式進(jìn)行從光發(fā)送器到光接收器的密鑰信息分發(fā)����。選作生成密鑰信息的設(shè)備常常包括操作系統(tǒng)��,因?yàn)槿魏尉哂袕?fù)雜操作系統(tǒng)的設(shè)備一般都能快而可靠地計(jì)算偽隨機(jī)對稱密鑰�����。系統(tǒng)的光發(fā)送器隨后將密鑰信息發(fā)送至光接收器�����。在許多實(shí)施例中,光接收器配置為位于諸如鍵盤��、打印機(jī)����、顯示器、個(gè)人顯示助理(PDA)或鼠標(biāo)等的外圍設(shè)備內(nèi)��。在光接收器在光帶外通道上接收密鑰信息后�����,密鑰信息用于生成密鑰(或密鑰對的一個(gè)密鑰)���。合適的密鑰隨后由雙方存儲��,并用于加密和/或解密它們之間傳送的數(shù)據(jù)���。在本發(fā)明中,術(shù)語“密鑰信息”或“密鑰數(shù)據(jù)”描述任何能用于導(dǎo)出密鑰的信息(包括密鑰本身)��。在本發(fā)明范圍內(nèi)�����,光帶外通道的任一端都能初始地生成或接收密鑰信息,并隨后傳送密鑰信息到光帶外通道的相對端來生成密鑰�。
一些計(jì)算機(jī)硬件和軟件系統(tǒng)能在軟件和外圍設(shè)備間建立安全合作關(guān)系���。這里所揭示的技術(shù)提供了一個(gè)非計(jì)劃的第三方難以截取的便宜�、簡單而可靠的選擇����。本發(fā)明的一個(gè)方面是在圖6所示的計(jì)算機(jī)環(huán)境500內(nèi)的操作系統(tǒng)(OS)和外圍設(shè)備之間建立加密通信的帶外通信系統(tǒng)。在圖6中��,典型的帶外通信通路示出為104a����、104b、104c�、104d、104e�����、104f���、104g和104h�。帶外通信系統(tǒng)提供了對計(jì)算機(jī)環(huán)境內(nèi)能用于加密數(shù)據(jù)的不同的外圍設(shè)備和計(jì)算機(jī)分發(fā)密鑰信息的技術(shù)。
本發(fā)明的一個(gè)實(shí)施例提供能夠傳播密鑰信息的光帶外通道104�。光帶外通道104不同于通常用于傳送加密數(shù)據(jù)的加密數(shù)據(jù)通路。例如�,圖1給出計(jì)算機(jī)環(huán)境500的一個(gè)實(shí)施例的方框圖,它包括計(jì)算機(jī)502���、外圍設(shè)備102和帶外通信系統(tǒng)103�。帶外通信系統(tǒng)103包括光帶外通道104和加密數(shù)據(jù)通路106����。
在本發(fā)明中,計(jì)算機(jī)502的一個(gè)實(shí)施例針對于計(jì)算機(jī)環(huán)境500部分�,它包括中央處理單元(CPU)、主操作系統(tǒng)和存儲器�。諸如鼠標(biāo)、鍵盤����、計(jì)算機(jī)顯示器、PDA等的外圍設(shè)備102電藕合或由基于有線或無線連接至計(jì)算機(jī)502來提供與計(jì)算機(jī)的用戶接口和數(shù)據(jù)傳遞��。加密數(shù)據(jù)通路106能傳送加密數(shù)據(jù)或非加密數(shù)據(jù)���。加密數(shù)據(jù)通路106的不同實(shí)施例可包括基于有線的連接����、無線連接、紅外連接或任意其它諸如通常存在于計(jì)算機(jī)及其各自的外圍設(shè)備間的連接來在它們之間傳遞數(shù)據(jù)�����。
術(shù)語“帶外”表示光帶外通道104物理地區(qū)別于加密數(shù)據(jù)通路106����。帶外�����,就其最廣詞義而言�����,表示使用了不同于在其上有成批數(shù)據(jù)傳輸?shù)耐ㄐ磐返莫?dú)特通信通路�����。實(shí)際術(shù)語帶外源自于有線電話技術(shù)����。帶外信號傳輸能發(fā)送和接收諸如加密密鑰信息的信息���。本發(fā)明的一個(gè)實(shí)施例是特別針對對稱加密的,因?yàn)閷ΨQ加密需要計(jì)算機(jī)間同一密鑰的傳遞����。對稱加密常常很快,因?yàn)閷ΨQ密鑰常常只包括128位���,這相對較小����。帶外通道預(yù)想為光學(xué)的���,盡管在某些實(shí)施例中�,其它介質(zhì)也能用于傳輸密鑰信息�����。
現(xiàn)代密碼學(xué)涉及密鑰����,且雙方一般必須在密鑰格式和密鑰信息上達(dá)成一致。帶外通信系統(tǒng)103概念可以利用使用一個(gè)密鑰的任意密碼算法�。通常�����,密鑰有規(guī)定的時(shí)間限制(根據(jù)應(yīng)用為秒���、天甚至月),這限制了某些密鑰和密鑰信息重用時(shí)的攻擊�����?��?晒┻x擇,密鑰也可沒有時(shí)間限制��。為建立和維護(hù)安全通信����,雙方必須每次持有一個(gè)密鑰而對其它人保密,這是加密所要求的����。
為加密通信,雙方需要適當(dāng)?shù)拿荑€���。存在安全密鑰交換算法�,其中有密鑰的雙方通信,而偷聽的第三方不能得到密鑰�����。這些安全密鑰算法常常很復(fù)雜并需要可觀的帶寬和/或與可信賴的第三方的安全通信�。使用易于遭受野蠻的強(qiáng)力攻擊的短密鑰,應(yīng)該在密鑰上有短的時(shí)間限制�。通常有用于獲得較長密鑰的短(臨時(shí))密鑰,較長密鑰可用較長一段時(shí)間�。
提供安全光帶外通道104是重要的,它根據(jù)具體應(yīng)用情況提供安全水平�����。在某些實(shí)施例中�,光帶外通道104簡單和/或便宜也是重要的。本發(fā)明建議最能夠生成用于導(dǎo)出密鑰信息的偽隨機(jī)數(shù)字的一方就是也能夠生成傳送至另一方的密鑰信息的一方���。一般地�,包括操作系統(tǒng)的計(jì)算機(jī)502是最能夠生成偽隨機(jī)數(shù)字的一方�����。在許多實(shí)施例中,外圍設(shè)備102包括與光帶外通道104的一端通信的光接收器��。從密鑰信息導(dǎo)出的密鑰隨著它的傳遞能夠用于在幾方間建立安全通信�。
減少關(guān)聯(lián)于諸如鍵盤、打印機(jī)��、PDA���、顯示器和計(jì)算機(jī)鼠標(biāo)等某些外圍設(shè)備102的密碼算法的復(fù)雜性是所期望的�����。某些外圍設(shè)備102,例如�,包括相對便宜的控制器,它們是為平常的外圍設(shè)備操作而設(shè)計(jì)的�。由于外圍設(shè)備競爭的價(jià)格和特性,使外圍設(shè)備控制器更復(fù)雜和昂貴以能處理多種類型的加密并非所期望的�,這歸因于更復(fù)雜控制器的相關(guān)附加費(fèi)用。另外����,某些安全密碼算法對于諸如可能包括在某些外圍設(shè)備102中的簡單計(jì)算機(jī)設(shè)備在計(jì)算上過于復(fù)雜。
用非對稱加密����,每一方持有一對密鑰中的一個(gè)密鑰�。密鑰對包括公鑰和私鑰�����。不用私鑰來解密用公鑰加密的消息是相當(dāng)困難而耗費(fèi)時(shí)間的�,反之亦然。非對稱加密(也稱為公鑰加密)是為用于加密和解密的不同密鑰而命名的�。那些希望用非對稱加密來通信的各方彼此交換能隨后用于加密消息的公鑰。每個(gè)接收方然后用他們秘密的私鑰解密發(fā)送給他們的消息��。公鑰加密的一個(gè)實(shí)施例信賴于RSA(Rivest��、Shamir和Adleman)算法�。
用對稱加密,雙方擁有共同的信息來為消息的加密和解密生成密鑰�����。通常���,一方生成密鑰并以安全方式投送它給另一方����。第三方(或設(shè)備)也能以安全方式分發(fā)密鑰。某些對稱算法實(shí)施例包括DES(數(shù)據(jù)加密標(biāo)準(zhǔn))���、三重DES���、AES(高級加密標(biāo)準(zhǔn))、RC4等����。對稱加密將同樣用于帶外通信系統(tǒng)103的所揭示實(shí)施例,因?yàn)樗昧吮确菍ΨQ加密小得多的密鑰�。對稱密鑰一般使用比非對稱加密所用密鑰小得多的128位密鑰。
存在關(guān)聯(lián)于在帶外通信系統(tǒng)103的某些實(shí)施例中使用非對稱加密的挑戰(zhàn)��。非對稱加密的代價(jià)是很高的����。非對稱加密是高計(jì)算程度的�,因?yàn)樗鼈冇昧舜竺荑€。同樣地��,非對稱加密需要相當(dāng)可觀的程序空間(ROM)����、工作內(nèi)存(RAM)和時(shí)間���。對于非對稱加密,沒有所接收公鑰實(shí)際來自于想要的一方的保證��。在“中間人”(man-in-the-middle)攻擊中�,敵手可做出作為每個(gè)原始各方的另一方的架勢并捕捉或插入錯(cuò)誤的數(shù)據(jù)。
為抗擊關(guān)于非對稱加密的這些問題�����,可信賴的第三方用于“證明”一特定公鑰屬于一特定方�����。例如���,外圍設(shè)備102的制造商可有可信賴的第三方證明它的密鑰�。然后制造商把這個(gè)密鑰及其證書放進(jìn)外圍設(shè)備102的存儲器投送到計(jì)算機(jī)的操作系統(tǒng)(0S)中���。在敵手發(fā)現(xiàn)存儲器中密鑰并因此獲得做出“中間人”架勢的事件中��,證書能由證書發(fā)行方標(biāo)記為“已無效”���。但是�����,接收證書的各方必須能夠聯(lián)系證書發(fā)行方來確定證書是否已無效�����。遺憾的是�,用戶不能設(shè)想他們連接至證書發(fā)行方���。
非對稱加密的另一個(gè)弱點(diǎn)發(fā)生在加密的消息是可預(yù)知的或從一個(gè)小的可能消息的集合中取出時(shí)���。由于攻擊者有對用于加密消息的公鑰的訪問,攻擊者能夠用密鑰加密所有可能的消息并隨后簡單地把截取的消息與這個(gè)消息集合匹配來確定未加密消息�。
分發(fā)密鑰信息的其它方法用于通過未加密密鑰交換算法導(dǎo)出對稱密鑰。但是�����,那些算法通常也掉進(jìn)“中間人”攻擊���、需要隨機(jī)數(shù)字生成(這在一些硬件中是很困難的)和/或計(jì)算難度��。由于這些理由����,非對稱加密和其它密鑰交換算法可能對相對于便宜的外圍設(shè)備中的密鑰分發(fā)是不值得的���。
因此�����,在計(jì)算機(jī)502和外圍設(shè)備102之間建立的帶外通信系統(tǒng)103提供了分發(fā)密鑰信息的安全方法����。帶外通信系統(tǒng)103使用附加的����、光帶外通道104來分發(fā)密鑰信息?��!皫狻狈职l(fā)表示密鑰信息是在不做加密數(shù)據(jù)通路106所做的承載加密通信任務(wù)的光帶外通道104(或“頻帶”)上分發(fā)的��。取而代之的是�����,光帶外通道104傳送密鑰信息�����,諸如密鑰本身��。
用一些當(dāng)前的方法���,用戶在鍵盤上鍵入密鑰數(shù)據(jù)��,根據(jù)�����,例如��,顯示在安全的計(jì)算機(jī)顯示器上的字符���。在這種方式中,加密數(shù)據(jù)通路106至少不用于傳輸一部分密鑰信息�。但是,不是所有的外圍設(shè)備具有鍵盤或其它可行的用戶輸入設(shè)備���,而且不是所有的PC具有無慮于偷聽者的合適的顯示器��。還有���,這種方法易遭受用戶錯(cuò)誤,且能在某種程度上混淆用戶�。
基于有線的外圍設(shè)備102包括鍵盤、打印機(jī)���、顯示器�����、PDA�、鼠標(biāo)�����、其它光標(biāo)控制設(shè)備等等��。這些類型的外圍設(shè)備還能用無線連接配置��。無線協(xié)議的例子包括IEEE802.11無線網(wǎng)絡(luò)協(xié)議和藍(lán)牙�����。通常將到外圍設(shè)備的有線連接或無線連接建立成安全連接是很困難和/或昂貴的。例如�,當(dāng)用戶使用無線鍵盤、無線鼠標(biāo)�、無線打印機(jī)、無線PDA或其它無線外圍設(shè)備102時(shí)�����,它正在通過無線連接發(fā)送密鑰信息��。用戶不想讓有無線接收器的任何人能夠截取并讀取成批數(shù)據(jù)��。為限制這種成批數(shù)據(jù)的讀取��,成批數(shù)據(jù)必須用密鑰加密��。問題是加密需要密鑰進(jìn)行加密���,而且通信的雙方必須有相關(guān)的密鑰(或密鑰對的密鑰)���。同樣地,帶外通信系統(tǒng)的不同實(shí)施例能用無線外圍設(shè)備以及基于有線的外圍設(shè)備����。
當(dāng)存在一個(gè)具有已經(jīng)不安全的加密數(shù)據(jù)通路106的帶外通信系統(tǒng)103時(shí)��,密鑰信息或數(shù)據(jù)不能用比�����,例如�����,密鑰交換算法代價(jià)更低的算法在加密數(shù)據(jù)通道上傳送。在這種密鑰交換算法中���,雙方通常必須到可信賴的第三方(例如�����,認(rèn)證授權(quán)或另一臺設(shè)備)來以安全方式獲得密鑰信息或數(shù)據(jù)����。
帶外通信系統(tǒng)103提供了讓密鑰信息進(jìn)入光接收器設(shè)備同時(shí)減少第三方偷聽密鑰交換可能性的技術(shù)��。這樣帶外通信系統(tǒng)103代表了一密碼技術(shù)中密鑰信息的密鑰交換的經(jīng)典問題的解決方案�����。
配置當(dāng)前的安全通信系統(tǒng)來為來分發(fā)或接收密鑰信息提高密鑰信息交換的安全性。在這種系統(tǒng)中����,用戶生成以安全方式手動切斷(hand off)給另一實(shí)體的密鑰信息(諸如密鑰本身)。這是對分發(fā)密鑰最有效而安全的技術(shù)�。對于相當(dāng)敏感的信息,人類信使用這種技術(shù)分發(fā)這類密鑰信息為一字不改的(diplomatic)代碼��。密鑰信息分發(fā)給安全的信使����,然后由信使通過安全通路護(hù)衛(wèi)密鑰信息至第三方。第三方然后用密鑰信息加密��。通路對有效的密鑰分發(fā)系統(tǒng)是安全的這一點(diǎn)是很重要的����。遺憾的是,信使的使用是昂貴的����,且用戶必須信任這個(gè)特定的信使。
本發(fā)明的一個(gè)方面是用外圍設(shè)備102傳送和/或接收密鑰信息來模擬這一密鑰分發(fā)過程����?�;厩疤崾菍τ谝粺o線設(shè)備�����,計(jì)算機(jī)設(shè)備和外圍設(shè)備102之間的通路是不安全的�����。這解釋了為什么在通路上傳送的數(shù)據(jù)在第一位置加密�。同樣地��,得到安全�、便宜的���、在計(jì)算機(jī)和外圍設(shè)備102之間傳送諸如密鑰的密鑰信息和其它類似的保密數(shù)據(jù)的方式是重要的����。
一旦外圍設(shè)備102獲得密鑰信息��,導(dǎo)出密鑰并由外圍設(shè)備使用來加密傳送給計(jì)算機(jī)的消息�,這個(gè)消息向計(jì)算機(jī)表示安全光帶外通道104已在計(jì)算機(jī)502和外圍設(shè)備102之間建立。
圖2示出建立在計(jì)算機(jī)502和外圍設(shè)備102之間的光帶外通道104(包括在帶外通信系統(tǒng)103中)的一個(gè)實(shí)施例。計(jì)算機(jī)502包括一發(fā)送器部分���,它形成為根據(jù)從計(jì)算機(jī)502其它部分生成的密鑰信息顯示圖像的計(jì)算機(jī)顯示器或監(jiān)視器542的一部分�����。計(jì)算機(jī)顯示器或監(jiān)視器542能在計(jì)算機(jī)顯示器或監(jiān)視器542上相對較小的指定區(qū)209上顯示密鑰信息�����。
光帶外通道104包括計(jì)算機(jī)顯示器或監(jiān)視器542的指定區(qū)209���、緊密藕合設(shè)備210,以及兩臺設(shè)備間允許其間數(shù)據(jù)傳送的連接��。緊密藕合設(shè)備210包括光檢測器212��。在某些實(shí)施例中��,不包括緊密藕合設(shè)備而且����,例如,光檢測器可以是手持的并相對于另一個(gè)光發(fā)送器定位以接收密鑰信息��。這尤其可能是相對便宜的光帶外通道104的情況和/或那些光帶外通道104的安全性不是非常重要的示例。例如��,某些個(gè)人計(jì)算機(jī)(PC)可為一般用戶提供光帶外通道104��。這類用戶可能發(fā)現(xiàn)根據(jù)具體應(yīng)用使用帶或不帶緊密藕合設(shè)備210的光帶外通道104是重要的�。
緊密藕合設(shè)備210示于圖2,物理上獨(dú)立于計(jì)算機(jī)顯示器上的指定區(qū)209����,它代表了一個(gè)實(shí)施例。這種緊密藕合設(shè)備210和指定區(qū)209之間的分離示出了帶外通信系統(tǒng)103的重要部件�����。在另一個(gè)實(shí)施例中�,緊密藕合設(shè)備210設(shè)計(jì)為以遮蔽任何從第三方在光帶外通道104上發(fā)送的數(shù)據(jù)的方式緊密地套在指定區(qū)209上��。緊密藕合設(shè)備210能越好地遮蔽或阻礙穿過光帶外通道104的光��,光帶外系統(tǒng)的這個(gè)實(shí)施例就越安全��?��?梢韵胂?����,可應(yīng)用諸如鎖�����、位置傳感器�、光密封、沖突光源這樣的機(jī)制���,以確保緊密藕合設(shè)備足夠接近指定區(qū)209以減少(在某些情況下達(dá)到可以忽略的水平)穿越過光帶外通道的光漏進(jìn)鄰近環(huán)境中��。漏進(jìn)鄰近環(huán)境中的光能夠潛在地被第三方偵測到�����。維護(hù)密鑰信息安全越重要�����,防止不希望的第三方偷聽的保護(hù)越精細(xì)而昂貴��。
光檢測器212一般包括光學(xué)模式識別(OCR)軟件����,并能識別關(guān)于在計(jì)算機(jī)顯示器或監(jiān)視器542的一部分中(也就是在指定區(qū)209內(nèi))傳送密鑰信息的光學(xué)模式。在操作過程中�,提示用戶定位緊密藕合設(shè)備210在一個(gè)位置上,這樣光檢測器212可直接檢測顯示在計(jì)算機(jī)顯示器542的指定區(qū)209上的密鑰信息���。一旦光檢測器212位于計(jì)算機(jī)顯示器542的指定區(qū)上方�,那么密鑰信息能夠在被支架部分遮住的計(jì)算機(jī)顯示器542的指定區(qū)上光學(xué)地顯示��。在一個(gè)實(shí)施例中����,載波模式將從計(jì)算機(jī)顯示器傳送至緊密藕合設(shè)備210。當(dāng)緊密藕合設(shè)備檢測到載波信號��,它能在表示準(zhǔn)備好接收密鑰信息的成批數(shù)據(jù)通路上發(fā)送一條消息�����。在其它實(shí)施例中����,緊密藕合設(shè)備位于顯示器的指定區(qū)209的上方的指示可由用戶(例如�,用戶在緊密藕合設(shè)備位于指定區(qū)上方時(shí)按一個(gè)按鈕)或者確定什么時(shí)候緊密藕合設(shè)備足夠接近指定區(qū)而充分遮蔽了指定區(qū)內(nèi)傳輸?shù)墓獾慕虃鞲衅魈峁?br>
光連接傳送密鑰信息式的光帶外通道104的實(shí)施例如這里所述有幾種好處,諸如相對便宜���。另外���,光連接不穿墻且能由緊密藕合設(shè)備遮住或隱藏�。由于在緊密藕合設(shè)備外傳送的光的減少�,沒有用戶的知識很難攻擊或解密。緊密藕合設(shè)備210的構(gòu)造��、形狀或材料也能減少這種攻擊或解密密鑰信息的可能性�。減少截取可能性的另一種途徑是在很難用于一般攝影機(jī)記錄的頻率上傳送光數(shù)據(jù)。
緊密藕合設(shè)備的支架部分減少關(guān)聯(lián)于由緊密藕合設(shè)備210生成的密鑰信息的光��。這種減少通過限制從計(jì)算機(jī)顯示器542和緊密藕合設(shè)備的支架部分之間漏出的光來達(dá)到����。換句話說,支架部分能設(shè)計(jì)為減少從光帶外通道104的光泄漏����,并從而控制誰可對所傳送的密鑰信息的訪問。任意這樣的從指定區(qū)209和支架部分之間漏出的光應(yīng)該限制在不可用于偷聽者偵測密鑰信息的某個(gè)水平上����。光檢測器212隨后檢測由計(jì)算機(jī)顯示器542生成的密鑰信息。
緊密藕合設(shè)備210減少了偵測在光帶外通道104上傳輸?shù)臄?shù)據(jù)的可能性����。同樣地���,任何能夠減少關(guān)聯(lián)于從其途經(jīng)光帶外通道而漏出密鑰信息的光的緊密藕合設(shè)備構(gòu)造都是所想要的。例如�,緊密藕合設(shè)備210的支架能包括橡膠或其它可變形的的材料來提供光發(fā)送器和光接收器之間的增強(qiáng)密封。使用光數(shù)據(jù)流在帶外通信系統(tǒng)103上傳輸密鑰信息的概念是有效的�、便宜的,并且對保護(hù)提供不同水平的安全性相對簡單����。
相對于圖2所述的帶外通信系統(tǒng)103的實(shí)施例是這樣配置的,計(jì)算機(jī)顯示器(例如��,監(jiān)視器)的一部分(指定區(qū))擔(dān)當(dāng)發(fā)送密鑰信息至位于緊密藕合設(shè)備210中的光接收器的光發(fā)送器���。通過將監(jiān)視器用作光發(fā)送器����,根據(jù)監(jiān)視器的刷新率(一般在60Hz和100Hz之間)限制了每個(gè)像素的數(shù)據(jù)傳輸率��。僅當(dāng)單一像素和一單色用于密鑰信息交換時(shí)����,這是密鑰信息的最大傳送率發(fā)生。存在提高能夠在計(jì)算機(jī)顯示器上顯示的密鑰信息傳送率的各種不同的技術(shù)����。
如果使用更多的像素,這將提高為刷新率的倍數(shù)���。例如����,64乘64像素的塊能夠用于交換密鑰信息����,其中4096個(gè)密鑰信息值能在每次計(jì)算機(jī)顯示器刷新期間傳送?��?晒┻x擇��,多行能夠顯示在屏幕上來交換密鑰信息。此外���,像素可以是多種顏色之一,每種顏色代表一個(gè)能交換密鑰信息的不同值�����。同樣地,大量各種技術(shù)能用于在計(jì)算機(jī)顯示器或監(jiān)視器上傳送相當(dāng)多的密鑰信息至光接收器�����?����?紤]帶外通信系統(tǒng)103不是用于成批數(shù)據(jù)傳送�,而只是用于傳送小量關(guān)聯(lián)于密鑰信息的數(shù)據(jù)至光接收器。
光帶外通道104的一個(gè)實(shí)施例的方框圖示于圖3�,包括通用化的光發(fā)送器302/光接收器304配置。象這樣��,發(fā)送器302包括使用不同于加密數(shù)據(jù)通路106的光帶外通道104安全傳送密鑰信息至光接收器304的光源303�。因此本發(fā)明描述安排在光發(fā)送器302和光接收器304之間傳送密鑰信息的光帶外通道104的多個(gè)實(shí)施例。
一旦密鑰信息送往一外圍設(shè)備�����,密鑰可存于非易失存儲器中以避免在關(guān)機(jī)后不得不重復(fù)密鑰交換過程���。在非易失RAM中存儲的持續(xù)時(shí)間可以是永遠(yuǎn)的或可以為了增強(qiáng)的安全性而具有終止/更新期�。在本發(fā)明中,術(shù)語“密鑰信息”和“密鑰”包括私鑰加密模式中的密鑰對��。密鑰信息用于生成�����、或包括密鑰對�。密鑰對存儲在計(jì)算機(jī)500中并能用于加密計(jì)算機(jī)和外圍設(shè)備間的數(shù)據(jù)�。
光發(fā)送器可包括位于光發(fā)送器302內(nèi)光源303的不同實(shí)施例,它們包括���,但不限于���,主PC顯示器、鍵盤LED和IrDA口或其它可見的或不可見的光源���。通常�����,如圖6所示的這類計(jì)算機(jī)500(諸如PC或膝上機(jī))普遍包括這種造在系統(tǒng)內(nèi)的集成或外圍的設(shè)備��,系統(tǒng)包括能夠用作光發(fā)送器的光源��。來自這些光源的光能以可用于以招致零(或至少很小)附加硬件開銷的方式傳送密鑰信息的方式調(diào)制�����。能工作為光發(fā)送器的一般計(jì)算機(jī)上的光源示例包括鍵盤發(fā)光二極管(LED)顯示器或用作計(jì)算機(jī)顯示器的陰極射線管顯示器���、電池指示器�����、電源指示器���、磁盤使用指示器及各種其它這類指示器。
光接收器304可為任意能夠轉(zhuǎn)換光為電子可讀信號的光傳感器或變換器��,諸如光敏晶體管�、電荷耦合裝置(CCD)或類似的設(shè)備。這樣的光變換器能集成在計(jì)算機(jī)的身體里或可選擇地加在一些外圍設(shè)備102上����。一些外圍設(shè)備已經(jīng)具有擔(dān)當(dāng)光接收器的能力,諸如計(jì)算機(jī)攝像機(jī)及包括數(shù)字?jǐn)z像的光鼠標(biāo)(諸如Microsoft IntelliMouse Optical)���?��?晒┻x擇��,全新的光變換器可加在擔(dān)當(dāng)如本發(fā)明中所述的光接收器的計(jì)算機(jī)或外圍設(shè)備上��。添加簡單的光敏晶體管和一些偏置電阻器將對計(jì)算機(jī)或外圍設(shè)備的實(shí)施例招致僅有幾分錢的開銷�����。
在光發(fā)送器302和光接收器304之間提供光帶外通道104有幾個(gè)優(yōu)點(diǎn)。使用光帶外通道104的帶外通信系統(tǒng)103不象手工輸入系統(tǒng)那樣易于錯(cuò)輸或冗長���。用戶不需要物理數(shù)據(jù)輸入��,且能在光帶外通道104上傳輸?shù)臄?shù)據(jù)率遠(yuǎn)高于手工輸入���。沒有光帶外通道104所需的數(shù)據(jù)輸入硬件。數(shù)據(jù)協(xié)議不是專用于帶外通信系統(tǒng)103中光帶外通道104的不同實(shí)施例���。能用作光帶外通道104的光發(fā)送器302部分內(nèi)的光源303的設(shè)備通常已供應(yīng)為計(jì)算機(jī)500的一部分�����,因此很少或沒有附加給計(jì)算機(jī)購買者的開銷�����。為運(yùn)行為光帶外通道104的一部分以接收帶外通信系統(tǒng)103內(nèi)的密鑰信息的光接收器304的重配置相對便宜��,對于現(xiàn)存的外圍設(shè)備102通常只加幾分錢的開銷�。
密鑰信息能通過任何雙方達(dá)成一致或相反地是已知的協(xié)議來傳送。在帶外通信系統(tǒng)103的另一個(gè)實(shí)施例中�����,例如����,顯示器/攝像機(jī)組合(combo)能迅速地閃出將被數(shù)字化以形成密鑰信息的簡單圖像??晒┻x擇,兩個(gè)設(shè)備都能用攝像機(jī)數(shù)字化由用戶產(chǎn)生的圖像來包含類似的密鑰信息�。光帶外通道104的許多實(shí)施例為特定應(yīng)用而設(shè)計(jì)是可能的。
密鑰信息由許多光帶外通道104的實(shí)施例以直線傳輸����,這樣的直線傳輸使由第三方發(fā)現(xiàn)密鑰信息更為困難。例如�,如果PC的主顯示器不安全于偷聽,另一個(gè)諸如IrDA口的不可見光的光源可用作光發(fā)送器來發(fā)送密鑰�����。另一方面,帶外通信系統(tǒng)103的許多實(shí)施例是可能的���。
任何具有光發(fā)送器和光接收器兩者的設(shè)備都能用于傳送密鑰信息至另一設(shè)備�����。例如�,如圖5所示的光學(xué)鼠標(biāo)有攝像機(jī)和LED��。用戶可從監(jiān)視器傳送密鑰信息至鼠標(biāo)并隨后用鼠標(biāo)傳送該密鑰信息至另一設(shè)備����,諸如打印機(jī)�����。這將允許傳送密鑰信息到通過光傳輸有一些距離或難以通過光傳輸?shù)脑O(shè)備��。
圖4a和4b示出帶外通信系統(tǒng)103的另一實(shí)施例���,其中能相對于諸如無線鍵盤534(鍵盤534的一部分示于圖中)的外圍設(shè)備102而提供一組光帶外通道(104a和104b)�����。光帶外通道104a從光發(fā)送器302延伸至藕合在另一臺計(jì)算機(jī)或外圍設(shè)備上的光接收器���。另一光帶外通道104b從另一光發(fā)送器延伸并能傳送密鑰信息至光接收器304�。位于光帶外設(shè)備103(即在鍵盤534)中的光發(fā)送器302和/或光接收器304定位在不干擾用戶在鍵盤正常操作期間按下一些不同的輸入鍵580的位置上��。
在相對于圖4a和4b描述的帶外通信系統(tǒng)103的實(shí)施例中��,除光發(fā)送器302的操作外���,描述了光接收器304的操作���。帶外通信系統(tǒng)103的各種部件在計(jì)算機(jī)鍵盤上實(shí)現(xiàn)。如圖4a和4b所示的外圍設(shè)備包括集成的光發(fā)送器302和光接收器304����,它們被設(shè)置形成帶有各自位于另一計(jì)算機(jī)或外圍設(shè)備的其它光接收器和光發(fā)送器(未示出)的分別的光帶外通道104。
光接收器304可以是光敏晶體管或安裝的其它圖像傳感器���,例如��,在構(gòu)成鍵盤的材料內(nèi)��。支架部分440b示出為以這樣一種方式在鍵盤中提供在密鑰交換期間�,鍵盤的一部分的支架部分440b定位于(并阻擋光)包含要從光發(fā)送器302傳送至不是光接收器的其它位置的密鑰信息的光的上方。這允許密鑰信息從不同的光發(fā)送器傳送到集成在鍵盤上的光接收器304�����。支架部分440b設(shè)置成減少關(guān)聯(lián)于由光發(fā)送器302發(fā)出的密鑰信息的光��,否則光可能被偷聽者偵測到�。在想要提供更安全光帶外通道104的較復(fù)雜系統(tǒng)中,將支架440b設(shè)置成更為阻擋從光發(fā)送器至局部環(huán)境的光傳輸��。
光發(fā)送器302的光源303包括�����,例如�����,位于關(guān)聯(lián)于計(jì)算機(jī)運(yùn)行的鍵盤上的光源之一�����。這些光源303可包括電源指示燈或能編程以在光帶外通道104上傳送包含密鑰信息的光流的計(jì)算機(jī)顯示器的一部分���。光包含部分440a集成進(jìn)有關(guān)光發(fā)送器302的鍵盤以減少光穿過光帶外通道進(jìn)入局部地區(qū)內(nèi)���,并因此減少密鑰信息偵測的可能性。對于帶外通信系統(tǒng)103的其它實(shí)施例��,光包含部分的具體構(gòu)造��、大小或材料實(shí)際示出��,且并不希望在范圍上有所限制����。任何能夠遮住、減小����、偏轉(zhuǎn)或減少光量的光包含部分的任意構(gòu)造都在帶外通信系統(tǒng)103光包含部分部分的希望范圍內(nèi)。
光接收器304配置為在另一光帶外通道104b上從其它光發(fā)送器(未示出)接收密鑰信息�。光包含部分440b構(gòu)成在關(guān)于光接收器304的鍵盤上,以限制穿過光帶外通道進(jìn)入局部地區(qū)的光�����,并因此減少偵測密鑰信息的可能性。
另一光包含部分440a在位于外圍設(shè)備內(nèi)的光發(fā)送器302左右的位置上以在密鑰交換期間減少逸進(jìn)局部環(huán)境中的關(guān)聯(lián)于密鑰信息的光�����。在本發(fā)明內(nèi)光包含部分的使用是可選的�。帶或不帶其各自光包含部分的或者光發(fā)送器302或者光接收器都能使用,同時(shí)落在本發(fā)明的所希望范圍內(nèi)���。
同樣地����,選擇光發(fā)送器302光藕合于計(jì)算機(jī)502����,同時(shí),或許在稍后的時(shí)間��,光接收器304通過帶外通道104b光藕合在外圍設(shè)備102��?����?晒┻x擇��,為允許創(chuàng)建另一光帶外通道104a�����,光發(fā)送器304構(gòu)成在鍵盤上��。只要光發(fā)送器302足可信賴�,根據(jù)具體應(yīng)用,光發(fā)送器302和光接收器304之間的安全光帶外通道104將提供從計(jì)算機(jī)502傳送密鑰信息至外圍設(shè)備102的安全連接�。
本發(fā)明內(nèi)所述的光發(fā)送器302的不同實(shí)施例是真實(shí)說明的,且不在范圍上限制�。存在大量不同的可見、紅外���、紫外及其它能被配置來擔(dān)當(dāng)光發(fā)送器發(fā)送本發(fā)明的所希望范圍內(nèi)的密鑰信息的光源�。
位于外圍設(shè)備102中的許多帶外通信系統(tǒng)103����,諸如圖4a、4b和5所示�����,包括可沿著不同的帶外通道傳送和接收密鑰信息的光發(fā)送器302和光接收器304兩者��。外圍設(shè)備內(nèi)的光發(fā)送器302和光接收器304可關(guān)聯(lián)于它們各自的光帶外通道104。這樣的外圍設(shè)備102可用光接收器304組成一第一光帶外通道104來從另一外圍設(shè)備或計(jì)算機(jī)接收密鑰信息����。另外,這樣的外圍設(shè)備102可用光發(fā)送器304在一第二光帶外通道上發(fā)送密鑰信息至另一外圍設(shè)備或計(jì)算機(jī)��。
任何包括光發(fā)送器和光接收器的外圍設(shè)備102都能在不同的安全光帶外通道104上傳送和接收密鑰信息到和從不同的計(jì)算機(jī)502或其它外圍設(shè)備102�。諸如光學(xué)鼠標(biāo)和無線鍵盤這樣的外圍設(shè)備都是天然便攜,并能定位來與大多數(shù)期望的外圍設(shè)備或計(jì)算機(jī)創(chuàng)建光帶外通道(諸如在單一外圍設(shè)備包括光發(fā)送器和光接收器時(shí)所必需的)�����。外圍設(shè)備只包括光發(fā)送器302或光接收器304也在本發(fā)明的范圍內(nèi)���。
一旦特定外圍設(shè)備102用光帶外通道是安全的����,那么該外圍設(shè)備能用于保護(hù)使用另一光帶外通道104的另一外圍設(shè)備����。例如,圖5示出帶外通信系統(tǒng)103的另一實(shí)施例��,它包括一條或多條在計(jì)算機(jī)或外圍設(shè)備(未示出)和光學(xué)鼠標(biāo)602(示出在底視圖中)之間提供的光帶外通道104a和104b��。光學(xué)鼠標(biāo)602包括光發(fā)送器302和光接收器304以構(gòu)成各自的光帶外通道104a、104b��。
光學(xué)鼠標(biāo)中光發(fā)送器302和光接收器304的使用可表示對當(dāng)前光學(xué)鼠標(biāo)設(shè)計(jì)的微小修改�����。在外圍設(shè)備的這個(gè)實(shí)施例中�����,光發(fā)送器302包括由位于另一外圍設(shè)備或計(jì)算機(jī)上的光接收器可檢測的想要的光帶寬的光源303以構(gòu)成第一光帶外通道104�。光接收器304能夠從另一外圍設(shè)備或計(jì)算機(jī)檢測光以構(gòu)成第二帶外通道���。
光接收器304可包括圖像傳感器�����,諸如光敏晶體管�,它能運(yùn)行為�,且看作,能檢測圖像和/或運(yùn)動的攝像機(jī)�。事實(shí)上,許多現(xiàn)在的光學(xué)鼠標(biāo)��,諸如MicrosoftIntelliMouse Optical,包括這樣一個(gè)在其作用于檢測運(yùn)動期間使用的攝像機(jī)�����。
由于光學(xué)鼠標(biāo)包括光發(fā)送器和光接收器兩者�,光學(xué)鼠標(biāo)(以及其它包括光發(fā)送器和光接收器的外圍設(shè)備)能在安全的光帶外通道104上從另一計(jì)算機(jī)502或另一外圍設(shè)備102(用光接收器)接收密鑰信息??晒┻x擇,任意包括光發(fā)送器和光接收器兩者的外圍設(shè)備能在光帶外通道上傳送密鑰信息至另一外圍設(shè)備�����。同樣地���,具有光發(fā)送器302和光接收器304兩者的外圍設(shè)備102能分別用于接收和傳送密鑰信息從/至另一計(jì)算機(jī)或外圍設(shè)備���。這樣的外圍設(shè)備102因此能擔(dān)當(dāng)密鑰管道在外圍設(shè)備和/或計(jì)算機(jī)對之間傳送密鑰信息。
同樣地�,諸如光學(xué)鼠標(biāo)的高度易攜帶的外圍設(shè)備高可用于將從一個(gè)計(jì)算機(jī)或另一外圍設(shè)備獲得的密鑰(用光帶外通道)傳播至另一個(gè)期望的外圍設(shè)備或計(jì)算機(jī)(用另一光帶外通道)。這個(gè)過程能在不同的外圍設(shè)備或計(jì)算機(jī)的部分間重復(fù)����,直到如圖6所示的計(jì)算機(jī)環(huán)境內(nèi)的幾乎所有外圍設(shè)備都訪問了密鑰信息。使用這種技術(shù)��,這種傳播外圍設(shè)備能用各種計(jì)算機(jī)和外圍設(shè)備間的光帶外通道將密鑰信息傳送至計(jì)算機(jī)環(huán)境內(nèi)每個(gè)期望的計(jì)算機(jī)部件或外圍設(shè)備。外圍設(shè)備能夠配置���,使結(jié)果光帶外通道104提供期望的安全水平����。
根據(jù)具體應(yīng)用���,在光帶外通道上向使用所傳送密鑰的不同的外圍設(shè)備或計(jì)算機(jī)分發(fā)密鑰的過程可在每次啟動或登錄期間完成?�?晒┻x擇����,每個(gè)設(shè)備(外圍設(shè)備或計(jì)算機(jī))可存儲密鑰信息或密鑰,通過動力循環(huán)(power cycle)把它綁定到一特定的計(jì)算機(jī)��。特別地�����,許多無線設(shè)備包括能在動力循環(huán)中不丟失的非易失存儲器���。當(dāng)計(jì)算機(jī)或外圍設(shè)備醒來或登錄時(shí)���,各計(jì)算機(jī)或外圍設(shè)備仍保有密鑰信息或密鑰���。
作為系統(tǒng)103使用的另一個(gè)例子,假設(shè)帶外通信系統(tǒng)103包括一個(gè)具有造于其中的可信賴攝像頭的攝像機(jī)及一個(gè)諸如不可信賴的鼠標(biāo)的外圍設(shè)備�。用戶可向計(jì)算機(jī)中的攝像機(jī)展示圖畫,而外圍設(shè)備可用外圍設(shè)備中的攝像機(jī)攝取圖畫�。圖畫的數(shù)字化形式變成計(jì)算機(jī)和外圍設(shè)備中的密鑰。用戶隨機(jī)地生成密鑰信息����,且兩個(gè)攝像機(jī)(計(jì)算機(jī)和鼠標(biāo)中的)不同地觀看這幅圖,并分別從圖畫中推算出密鑰���。數(shù)字信號處理器(DSP)能排列計(jì)算機(jī)攝像機(jī)和外圍設(shè)備攝取像機(jī)中的數(shù)字化圖畫�。
雖然本發(fā)明描述了用于主要是把密鑰信息傳送到����,及之間,外圍設(shè)備的帶外通道����,帶外通道能用于在包括操作系統(tǒng)的不同計(jì)算機(jī)中的那些部分間傳送密鑰應(yīng)該是顯然的。同樣地,每個(gè)光帶外通道104�����,如這里所述��,能夠看作為任意設(shè)備組合間的連接�,包括一或多個(gè)計(jì)算機(jī)部分,計(jì)算機(jī)包括操作系統(tǒng)以及一或多個(gè)外圍設(shè)備����。
圖6示出合適的計(jì)算機(jī)環(huán)境100或網(wǎng)絡(luò)100的例子����,它能設(shè)置成包括一組允許形成如這里所述的能傳送密鑰信息的各種光帶外通道104c、104d��、104e���、104f�、104g�、104h和104i的計(jì)算機(jī)和密鑰設(shè)備。這些光帶外通道是實(shí)際說明的����,但不在范圍上限制�,因?yàn)楣鈳馔ǖ滥茉谑聦?shí)上是外圍設(shè)備和/或計(jì)算機(jī)對的任意組合之間提供�。圖6示出的計(jì)算機(jī)環(huán)境100是通用計(jì)算機(jī)環(huán)境,它能用來實(shí)現(xiàn)這里所述的技術(shù)����。計(jì)算機(jī)環(huán)境100只是計(jì)算機(jī)環(huán)境的一個(gè)例子,并非意在建議對計(jì)算機(jī)和網(wǎng)絡(luò)結(jié)構(gòu)的使用或功能的范圍的任何限制���。計(jì)算機(jī)環(huán)境100也不應(yīng)解釋為對典型計(jì)算機(jī)環(huán)境100中所示的任何一個(gè)或部件組合具有任何依賴性���。
計(jì)算機(jī)環(huán)境100以計(jì)算機(jī)502的形式包括通用計(jì)算設(shè)備。計(jì)算機(jī)502可包括���,例如��,一個(gè)或多個(gè)獨(dú)立的計(jì)算機(jī)��、網(wǎng)絡(luò)計(jì)算機(jī)���、大型計(jì)算機(jī)、PDA��、電話、微機(jī)或微處理器�、游戲控制臺或任何其它結(jié)合存儲器使用處理器的計(jì)算機(jī)。這些計(jì)算機(jī)的每一個(gè)能構(gòu)成光帶外通道104c�、104d、104e�����、104f��、104g�����、104h和104i之一的一方����。計(jì)算機(jī)502的部件可包括�����,但不限于���,一個(gè)或多個(gè)處理器或處理單元504(可選地包括加密處理器或協(xié)處理器)����、系統(tǒng)存儲器506和連接包括處理器504的各種系統(tǒng)部件和系統(tǒng)存儲器506的系統(tǒng)總線508。
系統(tǒng)總線508表示任意幾種類型總線結(jié)構(gòu)中的一種或多種�����,包括存儲器總線或存儲器控制器����、至少外圍設(shè)備總線、至少外圍設(shè)備�����、加速圖形端口和處理器或使用任意各種總線結(jié)構(gòu)的局部總線�。作為例子,這樣的結(jié)構(gòu)包括工業(yè)標(biāo)準(zhǔn)結(jié)構(gòu)(ISA)總線����、微通道結(jié)構(gòu)(MCA)總線、擴(kuò)展工業(yè)標(biāo)準(zhǔn)結(jié)構(gòu)(EISA)總線�、視頻電子標(biāo)準(zhǔn)協(xié)會(VESA)局部總線和也稱為夾層總線(Mezzanine bus)的周邊元件擴(kuò)展接口(PCI)總線。
計(jì)算機(jī)502一般包括各種計(jì)算機(jī)可讀介質(zhì)�����。這種介質(zhì)可以是任意計(jì)算面502可訪問的可用介質(zhì)并包括易失性和非易失性介質(zhì)及移動可不可移動介質(zhì)。
系統(tǒng)存儲器506包括以非易失存儲器形式的計(jì)算機(jī)可讀介質(zhì)�,諸如只讀存儲器(ROM)512,和/或易失性存儲器����,諸如隨機(jī)訪問存儲器(RAM)510?���;据斎?輸出系統(tǒng)(BIOS)514,包含幫助計(jì)算機(jī)502內(nèi)元素間傳送信息的基本例程����,諸如在起動期間的,存儲于ROM512�。RAM510一般包含由處理單元504立即可訪問的和/或現(xiàn)在運(yùn)行的數(shù)據(jù)和/或程序模塊。
計(jì)算機(jī)502還可包括其它可移動/不可移動��、易失/非易失的計(jì)算機(jī)存儲介質(zhì)����。作為例子�����,圖6示出了讀取或?qū)懭氩豢梢苿印⒎且资Т沤橘|(zhì)(未示出)的硬盤驅(qū)動器515��、讀取和寫入可移動��、非易失磁盤520(例如����,“軟盤”)的磁盤驅(qū)動器518和/或讀取和寫入諸如CD-ROM、DVD-ROM或其它光介質(zhì)的可移動��、非易失的光盤524的光盤驅(qū)動器522����。硬盤驅(qū)動器515、磁盤驅(qū)動器518和光盤驅(qū)動器522每個(gè)都由一個(gè)或多個(gè)數(shù)據(jù)介質(zhì)接口527連接在系統(tǒng)總線508上��?�?晒┻x擇��,硬盤驅(qū)動器515���、磁盤驅(qū)動器518和光盤驅(qū)動器522還能由一個(gè)或多個(gè)接口(未示出)連接在系統(tǒng)總線508上�����。
磁盤驅(qū)動器及其相關(guān)的計(jì)算機(jī)可讀介質(zhì)提供了計(jì)算機(jī)可讀指令�����、數(shù)據(jù)結(jié)構(gòu)��、程序模塊和計(jì)算機(jī)502的其它數(shù)據(jù)的非易失存儲����。盡管示例示出了硬盤驅(qū)動器515內(nèi)的硬盤、可移動磁盤520和非易失光盤524�����,但可以理解其它類型的�、能夠存儲由計(jì)算機(jī)訪問的數(shù)據(jù)的計(jì)算機(jī)可讀介質(zhì),諸如盒式磁帶或其它磁存設(shè)備�����、閃存卡���、CD-ROM���、數(shù)字化多功能光盤(DVD)或其它光存儲器、隨機(jī)訪問存儲器(RAM)����、只讀存儲器(ROM)、電可擦除可編程只讀存儲器(EEPROM)等等�,也能用于實(shí)現(xiàn)典型計(jì)算機(jī)系統(tǒng)和環(huán)境。
任何數(shù)據(jù)的程序模塊都能存儲在包含在硬盤驅(qū)動器515中的硬盤����、磁盤520、非易失光盤524����、ROM512和/或RAM510中,包括作為例子的OS526����、一個(gè)或多個(gè)應(yīng)用程序528、其它程序模塊530和程序數(shù)據(jù)532��。每個(gè)OS526一個(gè)或多個(gè)應(yīng)用程序528�����、其它程序模塊530和程序數(shù)據(jù)532(或它們的一些組合)可實(shí)現(xiàn)所有或部分支持分布文件系統(tǒng)的常駐組件���。
用戶可通過諸如如相對于圖4所述的鍵盤534和諸如相對于圖5所述的指針設(shè)備608(例如���,“鼠標(biāo)”)的外圍設(shè)備和/或輸入設(shè)備將命令和信息輸入進(jìn)計(jì)算機(jī)502�。其它輸入設(shè)備538(未特別示出)可包括話筒���、操縱桿�、游戲墊�����、衛(wèi)星天線��、串口�����、掃描儀和/或其它等等��。這些或其它輸入設(shè)備通過連接在系統(tǒng)總線508上的輸入/輸出接口540連接至處理單元504����,但也可由其它接口和總線結(jié)構(gòu)連接,諸如并口、游戲端口或通用串行總線(USB)�。任何這些外圍設(shè)備都能構(gòu)成光帶外通道104c、104d��、104e���、104f、104g�����、104h和104i之一的一方�����。
包括監(jiān)視器542或其它類型的顯示設(shè)備的其它外圍設(shè)備還能通過諸如視頻適配器544的接口連接至系統(tǒng)總線508�����。除監(jiān)視器542外��,其它輸出外圍設(shè)備可包括諸如揚(yáng)聲器(未示出)��、PDA���、鍵盤�、鼠標(biāo)和打印機(jī)546的部件,它們可通過輸入/輸出接口540連接至計(jì)算機(jī)502�。
計(jì)算機(jī)502可運(yùn)行于使用邏輯連接至一臺或多臺諸如遠(yuǎn)程計(jì)算設(shè)備548的遠(yuǎn)程計(jì)算機(jī)的網(wǎng)絡(luò)環(huán)境中。作為示例�,遠(yuǎn)程計(jì)算設(shè)備548可以是個(gè)人計(jì)算機(jī)、便攜式計(jì)算機(jī)��、服務(wù)器�����、路由器����、網(wǎng)絡(luò)計(jì)算機(jī)、對等設(shè)備或其它普通的網(wǎng)絡(luò)節(jié)點(diǎn)���、游戲控制臺等等���。遠(yuǎn)程計(jì)算設(shè)備548示出為便攜計(jì)算機(jī),它能包括許多或所有這里相關(guān)于計(jì)算機(jī)502所述的部件或特性��。
計(jì)算機(jī)502和遠(yuǎn)程計(jì)算設(shè)備548之間的邏輯連接描述為局域網(wǎng)(LAN)550和通用廣域網(wǎng)(WAN)552�����。這樣的網(wǎng)絡(luò)環(huán)境在辦公室、企業(yè)范圍的計(jì)算機(jī)網(wǎng)絡(luò)���、內(nèi)聯(lián)網(wǎng)和因特網(wǎng)中是普遍的��。這種LAN和WAN連接可并行運(yùn)行到每個(gè)光帶外通道104c、104d���、104e���、104f、104g���、104h和104i上����。
當(dāng)在LAN網(wǎng)絡(luò)環(huán)境中實(shí)現(xiàn)時(shí)��,計(jì)算機(jī)502通過網(wǎng)絡(luò)接口或適配器554連接到局域網(wǎng)550上����。當(dāng)在WAN網(wǎng)絡(luò)環(huán)境中實(shí)現(xiàn)時(shí),計(jì)算機(jī)502一般包括在廣域網(wǎng)552上建立通信的調(diào)制解調(diào)器556或其它工具。調(diào)制解調(diào)器556�,可以是內(nèi)置或外置于計(jì)算機(jī)502的,可通過輸入/輸出接口540或其它合適的機(jī)制連接至系統(tǒng)總線508����。可以理解所示的網(wǎng)絡(luò)連接是典型的且可采用在計(jì)算機(jī)502和平力量48間建立通信鏈路的其它方法��。
在網(wǎng)絡(luò)環(huán)境中�,諸如關(guān)于計(jì)算機(jī)環(huán)境100所示,相對于計(jì)算機(jī)502所述的程序模塊��,或其部分�,可存于遠(yuǎn)程存儲器存儲設(shè)備中。作為示例���,遠(yuǎn)程應(yīng)用程序558駐在遠(yuǎn)程計(jì)算機(jī)548的存儲設(shè)備上����。為了說明���,諸如操作系統(tǒng)的應(yīng)用程序或其它可執(zhí)行程序組件這里示出為離散塊����,盡管公認(rèn)的是這類程序和組件在不同的時(shí)間駐在計(jì)算設(shè)備502不同的存儲部件里,并由計(jì)算機(jī)的數(shù)據(jù)處理器執(zhí)行���。應(yīng)該理解所示和所述的網(wǎng)絡(luò)連接是典型的且其它在計(jì)算機(jī)間建立通信鏈路的方法都可使用����。
各種模塊和技術(shù)可在這里在計(jì)算機(jī)可執(zhí)行指令的通用上下文中描述���,諸如程序模塊�����,由一或多臺計(jì)算機(jī)或其它設(shè)備執(zhí)行。通常�,程序模塊包括完成具體任務(wù)或?qū)崿F(xiàn)具體抽象數(shù)據(jù)類型的例程、程序�����、對象�����、組件�����、數(shù)據(jù)結(jié)構(gòu)等。一般地����,程序模塊的功能可如常同實(shí)施例所要求的那樣結(jié)合或分布。
這些模塊和技術(shù)的實(shí)現(xiàn)可在或通過計(jì)算機(jī)可讀介質(zhì)的一些形式存儲或傳輸����。計(jì)算機(jī)可讀介質(zhì)可以是任意能由計(jì)算機(jī)訪問的可用介質(zhì)。作為示例�,而不是限制,計(jì)算機(jī)可讀介質(zhì)可包括“計(jì)算機(jī)存儲介質(zhì)”和“通信介質(zhì)”��。
“計(jì)算機(jī)存儲介質(zhì)”包括任意存儲諸如計(jì)算機(jī)可讀指令�����、數(shù)據(jù)結(jié)構(gòu)���、程序模塊或其它數(shù)據(jù)的信息的方法和技術(shù)實(shí)現(xiàn)的易失和非易失�����、可移動和不可移動介質(zhì)���。計(jì)算機(jī)存儲介質(zhì)包括���,但不限于,RAM���、ROM����、EEPROM����、閃存或其它存儲技術(shù)、CD-ROM�����、數(shù)字化多功能光盤(DVD)或其它光存儲器��、盒式磁帶��、磁帶�、磁盤存儲器或其它磁存儲設(shè)備���、或任何其它能用于存儲想要的信息并能由計(jì)算機(jī)訪問的介質(zhì)����。
“通信介質(zhì)”一般具體化為計(jì)算機(jī)可讀指令、數(shù)據(jù)結(jié)構(gòu)���、程序模塊或調(diào)制信號中的其它數(shù)據(jù)��,諸如載波或其它傳輸機(jī)制�。通信介質(zhì)還包括任何信息傳輸介質(zhì)��。術(shù)語“調(diào)制數(shù)據(jù)信號”意思是具有以編碼信息于信號中這樣一種方式設(shè)置或改變一個(gè)或多個(gè)其特征的信號�����。作為示例�����,而不是限制���,通信介質(zhì)包括諸如有線網(wǎng)絡(luò)或直線連接的有線介質(zhì)和諸如聲波�����、RF����、紅外和其它無線介質(zhì)的無線介質(zhì)。以上任何的組合也包括在計(jì)算機(jī)可讀介質(zhì)范圍內(nèi)����。
盡管已用結(jié)構(gòu)化和功能化特點(diǎn)和/或方法特定的語言描述了系統(tǒng)、介質(zhì)���、方法��、途徑�、過程等等���,但可以理解定義在所附權(quán)利要求書中的本發(fā)明不必限于所述的特殊的特點(diǎn)或方法����。更合適地說���,特殊的特點(diǎn)和方法是作為實(shí)現(xiàn)所要求的發(fā)明的典型形式。
權(quán)利要求
1.一種帶外通信系統(tǒng)�����,其特征在于,包括加密數(shù)據(jù)通路�����,被配置為傳播加密數(shù)據(jù)���;以及光帶外通道����,它物理上不同于加密數(shù)據(jù)通路�,所述光帶外通道在光發(fā)送器和光接收器之間延伸,所述光帶外通道被配置為從光發(fā)送器傳送密鑰信息至光接收器�����。
2.如權(quán)利要求1所述的帶外通信系統(tǒng)�����,其特征在于���,所述加密數(shù)據(jù)通路在光通路上傳播加密數(shù)據(jù)���。
3.如權(quán)利要求1所述的帶外通信系統(tǒng)�����,其特征在于��,所述加密數(shù)據(jù)通路在非光通路上傳播加密數(shù)據(jù)�。
4.如權(quán)利要求1所述的帶外通信系統(tǒng)����,其特征在于,所述光發(fā)送器包含在外圍設(shè)備中���。
5.如權(quán)利要求1所述的帶外通信系統(tǒng)�����,其特征在于�,所述光接收器包含在外圍設(shè)備中���。
6.如權(quán)利要求1所述的帶外通信系統(tǒng)���,其特征在于,所述光發(fā)送器包含在計(jì)算機(jī)中���。
7.如權(quán)利要求1所述的帶外通信系統(tǒng)����,其特征在于�����,所述光接收器包含在計(jì)算機(jī)中��。
8.如權(quán)利要求1所述的帶外通信系統(tǒng)����,還包括外圍設(shè)備,其特征在于��,所述外圍設(shè)備包括光發(fā)送器和光接收器�����。
9.如權(quán)利要求8所述的帶外通信系統(tǒng)���,其特征在于��,所述外圍設(shè)備用于從外圍設(shè)備或計(jì)算機(jī)傳播密鑰信息至另一外圍設(shè)備或計(jì)算機(jī)����。
10.如權(quán)利要求1所述的帶外通信系統(tǒng),還包括含有光接收器的外圍設(shè)備�,其特征在于,所述的外圍設(shè)備被配置以維護(hù)密鑰信息����。
11.如權(quán)利要求1所述的帶外通信系統(tǒng),其特征在于�����,所述光帶外通道包括主設(shè)備和外圍設(shè)備��。
12.如權(quán)利要求11所述的帶外通信系統(tǒng)�,其特征在于,所述外圍設(shè)備用于從主設(shè)備傳播密鑰信息至另一設(shè)備�。
13.如權(quán)利要求11所述的帶外通信系統(tǒng),還包括第二光帶外通道�,它從所述外圍設(shè)備延伸至另一設(shè)備。
14.如權(quán)利要求1所述的帶外通信系統(tǒng)�,其特征在于���,在所述加密數(shù)據(jù)通路上的加密數(shù)據(jù)是根據(jù)從在所述光帶外通道上傳送的密鑰信息導(dǎo)出的密鑰加密的。
15.如權(quán)利要求1所述的帶外通信系統(tǒng)�,其特征在于��,所述光發(fā)送器包括發(fā)光二極管(LED)���。
16.如權(quán)利要求1所述的帶外通信系統(tǒng)�,其特征在于�,所述光發(fā)送器包括紅外發(fā)送器。
17.在光帶外通道上使用帶外發(fā)信號來發(fā)送和接收關(guān)聯(lián)于加密密鑰的方法����,其特征在于,所述密鑰信息至少部分以光形式傳送���。
18.如權(quán)利要求17所述的方法����,其特征在于����,用戶不必從監(jiān)視器輸入所述加密密鑰�����。
19.如權(quán)利要求17所述的方法��,其特征在于�����,所述密鑰信息在外圍設(shè)備上接收�����。
20.如權(quán)利要求19所述的方法�,其特征在于��,還包括綁定所述外圍設(shè)備于主機(jī)���。
21.如權(quán)利要求17所述的方法�����,其特征在于��,所述光帶外通道包括光發(fā)送器和光接收器�,且其中,所述密鑰信息從光發(fā)送器傳送至光接收器����。
22.如權(quán)利要求21所述的方法,其特征在于�����,所述光發(fā)送器包括計(jì)算機(jī)顯示器����,其中�����,所述密鑰信息生成為計(jì)算機(jī)顯示器上的圖像�。
23.如權(quán)利要求22所述的方法,其特征在于�,所述光接收器位于外圍設(shè)備中。
24.能由通用計(jì)算機(jī)訪問的計(jì)算機(jī)可讀介質(zhì)��,為使得通用計(jì)算機(jī)完成方法而具有計(jì)算機(jī)可執(zhí)行指令的所述計(jì)算機(jī)可讀介質(zhì)包括使用帶外發(fā)信號以在所述光帶外通道上發(fā)送和接收關(guān)聯(lián)于加密密鑰的密鑰信息�����。
25.由如權(quán)利要求24所述的通用計(jì)算機(jī)完成的方法,還包括使用外圍設(shè)備接收所述密鑰信息���。
26.由如權(quán)利要求24所述的通用計(jì)算機(jī)完成的方法�����,還包括使用外圍設(shè)備發(fā)送所述密鑰信息�。
27.由如權(quán)利要求24所述的通用計(jì)算機(jī)完成的方法����,還包括由外圍設(shè)備在第一光帶外通道上接收所述密鑰信息,而由所述外圍設(shè)備在第二光帶外通道上發(fā)送所述密鑰信息����。
28.一種方法,其特征在于��,包括使用帶外發(fā)信號來在光帶外通道上發(fā)送和接收關(guān)聯(lián)于加密密鑰的密鑰信息��;在第一光帶外通道上在外圍設(shè)備接收所述密鑰信息�;以及在第二光帶外通道上由所述外圍設(shè)備發(fā)送所述密鑰信息。
29.一種帶外通信系統(tǒng)�����,其特征在于,包括加密數(shù)據(jù)通路����,被配置為傳播加密數(shù)據(jù);第一光帶外通道���,它在物理上不同于加密數(shù)據(jù)通路���,所述第一光帶外通道在第一光發(fā)送器和第一光接收器之間延伸,所述第一光帶外通道被配置為從所述第一光發(fā)送器傳送密鑰信息至所述第一光接收器��;第二光帶外通道�,它在物理上不同于加密數(shù)據(jù)通路�����,所述第二光帶外通道在第二光發(fā)送器和第二光接收器之間延伸���,所述第二光帶外通道被配置為從所述第二光發(fā)送器傳送密鑰信息至所述第二光接收器�����;以及外圍設(shè)備��,它包括所述第一光接收器和所述第二光發(fā)送器��。
30.如權(quán)利要求27所述的帶外通信系統(tǒng)���,其特征在于����,所述第一光發(fā)送器包括計(jì)算機(jī)顯示器���。
31.如權(quán)利要求27所述的帶外通信系統(tǒng)���,其特征在于,所述外圍設(shè)備用于從所述第一光發(fā)送器傳播所述密鑰信息至所述第二光接收器��。
32.一種裝置�����,其特征在于����,包括光檢測器,被設(shè)置為以光的形式接收密鑰信息;以及緊密藕合設(shè)備�,它減少希望由光檢測器接收的光被傳播到可能被不希望的人或不希望的檢測介質(zhì)檢測到的地方。
33.如權(quán)利要求30所述的裝置����,其特征在于,所述的緊密藕合設(shè)備包含在外圍設(shè)備中����。
34.如權(quán)利要求31所述的裝置,其特征在于�,所述外圍設(shè)備是光學(xué)鼠標(biāo)。
35.如權(quán)利要求31所述的裝置��,其特征在于�,所述外圍設(shè)備是光學(xué)鍵盤。
36.如權(quán)利要求30所述的裝置�,其特征在于,所述緊密藕合設(shè)備包含在計(jì)算機(jī)中��。
全文摘要
本發(fā)明的一個(gè)方面涉及帶外通信系統(tǒng)和相關(guān)過程�。帶外通信系統(tǒng)包括配置成傳播加密數(shù)據(jù)的加密數(shù)據(jù)通路�。帶外通信系統(tǒng)包括物理上明顯不同于加密數(shù)據(jù)通路的光帶外通道。光帶外通道延伸在光發(fā)送器和光接收器之間���。光帶外通道被配置為從光發(fā)送器到光接收器傳輸密鑰信息����。
文檔編號H04B10/00GK1523807SQ20041000689
公開日2004年8月25日 申請日期2004年2月19日 優(yōu)先權(quán)日2003年2月19日
發(fā)明者N·C·舍曼, N C 舍曼 申請人:微軟公司