專利名稱:控制對門的集體訪問的制作方法
相關(guān)申請交叉索引本申請要求2003年7月18日申請的美國臨時(shí)專利申請60/488,645的優(yōu)先權(quán)�����,其通過引用組合于此�,且還要求2003年9月24日申請的美國臨時(shí)專利申請60/505,640的優(yōu)先權(quán)��,其通過引用組合于此����,且是2004年6月24日申請的美國專利申請10/876,275(未決)的延續(xù),其要求2003年6月24日申請的美國臨時(shí)專利申請60/482,179的優(yōu)先權(quán)��,且其本身是2001年7月25日申請的美國專利申請09/915,180的部分的延續(xù)��,其是2000年1月14日申請的美國專利申請09/483,125的延續(xù)(現(xiàn)在為美國專利6,292,893)�����,其是1999年7月19日申請的美國專利申請09/356,745的延續(xù)(已放棄),其是1997年3月24日申請的美國專利申請08/823,354的延續(xù)(現(xiàn)在為美國專利5,960,083)�,其是1995年11月16日申請的美國專利申請08/559,533的延續(xù)(現(xiàn)在為美國專利5,666,416),其要求1995年10月24日申請的美國臨時(shí)申請60/006,038的優(yōu)先權(quán)���,且是2003年4月8日申請的美國專利申請10/409,638的延續(xù)(未決)����,其要求下述申請的優(yōu)先權(quán)2002年4月8日申請的美國臨時(shí)申請60/370,867�;2002年4月16日申請的美國臨時(shí)申請60/372,951;2002年4月17日申請的美國臨時(shí)申請60/373,218���;2002年4月23日申請的美國臨時(shí)申請60/374,861�;2002年10月23日申請的美國臨時(shí)申請60/420,795���;2002年10月25日申請的美國臨時(shí)申請60/421,197�;2002年10月28日申請的美國臨時(shí)申請60/421,756����;2002年10月30日申請的美國臨時(shí)申請60/422,416;2002年11月19日申請的美國臨時(shí)申請60/427,504;2003年1月29日申請的美國臨時(shí)申請60/443,407�����;及2003年2月10日申請的美國臨時(shí)申請60/446,149���;所有這些申請的示教均通過引用組合于此����。且其是2002年3月20日申請的美國專利申請10/103,541(未決)的部分的延續(xù)��,其示教通過引用組合于此���,其本身是2001年7月25日申請的美國專利申請09/915,180(未決)的部分的延續(xù)����,且其是2000年1月14日申請的美國專利申請09/483,125的延續(xù)(現(xiàn)在為美國專利6,292,893)���,其是1999年7月19日申請的美國專利申請09/356,745的延續(xù)(已放棄),其是1997年3月24日申請的美國專利申請08/823,354的延續(xù)(現(xiàn)在為美國專利5,960,083)���,其是1995年11月16日申請的美國專利申請08/559,533的延續(xù)(現(xiàn)在為美國專利5,666,416)�,其基于1995年10月24日申請的美國臨時(shí)申請60/006,038。美國專利申請10/103,541還是1997年12月18日申請的美國專利申請08/992,897(現(xiàn)在為美國專利6,487,658)的延續(xù)�,其基于1996年12月18日申請的美國臨時(shí)申請60/033,415,且其是1996年9月19日申請的美國專利申請08/715,712(已放棄)的部分的延續(xù)�����,其基于1995年10月2日申請的美國臨時(shí)申請60/004,796的延續(xù)�。美國專利申請08/992,897的部分還是1996年10月11日申請的美國專利申請08/729,619(現(xiàn)在為美國專利6,097,811)的延續(xù),其基于1995年11月2日申請的美國臨時(shí)申請60/006,143��。美國專利申請08/992,897的部分還是1997年2月24日申請的美國專利申請08/804,868(已放棄)的延續(xù)�����,其是1996年11月1日申請的美國專利申請08/741,601(已放棄)的延續(xù)����,其基于1995年11月2日申請的美國臨時(shí)申請60/006,143。美國專利申請08/992,897的部分還是1997年6月11日申請的美國專利申請08/872,900(已放棄)的延續(xù)�,其是1996年11月5日申請的美國專利申請08/746,007(現(xiàn)在為美國專利5,793,868)的延續(xù),其基于1996年8月29日申請的美國臨時(shí)申請60/025,128�����。美國專利申請08/992,897還基于1997年2月3日申請的美國臨時(shí)申請60/035,119�,其還是1997年8月5日申請的美國專利申請08/906,464(已放棄)的延續(xù),其部分是1996年12月9日申請的美國專利申請08/763,536(現(xiàn)在為美國專利5,717,758)的延續(xù),其基于1996年9月10日申請的美國臨時(shí)申請60/024,786�����,并基于1996年4月23日申請的美國專利申請08/636,854(現(xiàn)在為美國專利5,604,804)����,并還基于1996年8月29日申請的美國臨時(shí)申請60/025,128。美國專利申請08/992,897的部分還是1996年11月26日申請的美國專利申請08/756,720(已放棄)的延續(xù)���,其基于1996年8月29日申請的美國臨時(shí)申請60/025,128��,并還基于1996年9月19日申請的美國專利申請08/715,712(已放棄)��,并還基于1995年11月16日申請的美國專利申請08/559,533(現(xiàn)在為美國專利5,666,416)��。美國專利申請08/992,897的部分還是1996年11月19日申請的美國專利申請08/752,223(現(xiàn)在為美國專利5,717,757)的延續(xù)�,其基于1996年8月29日申請的美國臨時(shí)申請60/025,128�,且部分還是1997年2月24日申請的美國專利申請08/804,869(已放棄)的延續(xù),其是1996年11月1日申請的美國專利申請08/741,601(已放棄)的延續(xù)�����,其基于1995年11月2日申請的美國臨時(shí)申請60/006,143�����。美國專利申請08/992,897的部分還是1997年3月24日申請的美國專利申請08/823,354(現(xiàn)在為美國專利5,960,083)的延續(xù)��,其是1995年11月16日申請的美國專利申請08/559,533(現(xiàn)在為美國專利5,666,416)的延續(xù)�����,其基于1995年10月24日申請的美國臨時(shí)申請60/006,038����。美國專利申請10/103,541還基于2001年3月20日申請的美國臨時(shí)申請60/277,244、及2001年6月25日申請的美國臨時(shí)申請60/300,621���、及2001年12月27日申請的美國臨時(shí)申請60/344,245����。上述所有申請均通過引用組合于此�����。美國專利申請10/409,638還是2001年6月25日申請的美國專利申請09/915,180(未決)的延續(xù)����,其示教組合于此以供參考�,其本身是2000年1月14日申請的美國專利申請09/483,125(現(xiàn)在為美國專利6,292,893)的延續(xù)��,其是1999年7月19日申請的美國專利申請09/356,745(已放棄)的延續(xù)����,其是1997年3月24日申請的美國專利申請08/823,354(現(xiàn)在為美國專利5,960,083)的延續(xù),其是1995年11月16日申請的美國專利申請08/559,533(現(xiàn)在為美國專利5,666,416)的延續(xù)�,其基于1995年10月24日申請的美國臨時(shí)申請60/006,038。上述所有申請的示教均通過引用組合于此��。美國專利申請10/409,638還是2003年3月21日申請的美國專利申請10/395,017(未決的)的延續(xù)�,其示教組合于此以供參考,其本身是2002年9月16日申請的美國專利申請10/244,695(已放棄)的延續(xù)�����,其是1997年12月18日申請的美國專利申請08/992,897(現(xiàn)在為美國專利6,487,658)的延續(xù)����,其基于1996年12月18日申請的美國臨時(shí)專利申請60/033,415,且其部分是1996年9月19日申請的美國專利申請08/715,712(已放棄)的延續(xù)���,其基于1995年10月2日申請的美國專利申請60/004,796����,且其部分還是1996年10月10日申請的美國專利申請08/729,619(現(xiàn)在為美國專利6,097,811)的延續(xù)����,其基于1995年11月2日申請的美國專利申請60/006,143,且其部分還是1997年2月24日申請的美國專利申請08/804,868(已放棄)的延續(xù)���,其是1996年11月1日申請的美國專利申請08/741,601(已放棄)的延續(xù)��,其基于1995年11月2日申請的美國專利申請60/006,143�,且其部分還是1997年6月11日申請的美國專利申請08/872,900(已放棄)的延續(xù)���,其是1996年11月5日申請的美國專利申請08/746,007(現(xiàn)在為美國專利5,793,868)的延續(xù)���,其基于1996年8月29日申請的美國專利申請60/025,128,且其還基于1997年2月3日申請的美國專利申請60/035,119�����,且其部分還是1997年8月5日申請的美國專利申請08/906,464(已放棄)的延續(xù)���,其是1996年12月9日申請的美國專利申請08/763,536(現(xiàn)在為美國專利5,717,758)的延續(xù)��,其基于1996年9月10日申請的美國專利申請60/024,786�,且還基于1997年4月23日申請的美國專利申請08/636,854(現(xiàn)在為美國專利5,604,804)及1996年8月29日申請的美國專利申請60/025,128,且其部分還是1996年11月26日申請的美國專利申請08/756,720(已放棄)的延續(xù)��,其基于1996年8月29日申請的美國專利申請60/025,128��,并還基于1996年9月19日申請的美國專利申請08/715,712(已放棄)����,并還基于1995年11月16日申請的美國專利申請08/559,533(現(xiàn)在為美國專利5,666,416),且其部分還是1996年11月19日申請的美國專利申請08/752,223(現(xiàn)在為美國專利5,717,757)的延續(xù)����,其基于1996年8月29日申請的美國專利申請60/025,128,且部分還是1997年2月24日申請的美國專利申請08/804,869(已放棄)的延續(xù)����,其是1996年11月1日申請的美國專利申請08/741,601(已放棄)的延續(xù),其基于1995年11月2日申請的美國專利申請60/006,143����,且其部分還是1997年3月24日申請的美國專利申請08/823,354(現(xiàn)在為美國專利5,960,083)的延續(xù),其是1995年11月16日申請的美國專利申請08/559,533(現(xiàn)在為美國專利5,666,416)的延續(xù)����,其基于1995年10月24日申請的美國專利申請60/006,038。上述所有申請的示教均通過引用組合于此����。
背景技術(shù):
1.技術(shù)領(lǐng)域本申請涉及物理訪問控制領(lǐng)域���,特別是使用處理器操縱的鎖及相關(guān)數(shù)據(jù)的物理訪問控制領(lǐng)域�。
2.背景技術(shù)在許多情況下,如在訪問機(jī)場����、軍事設(shè)施、辦公樓等時(shí)����,確保只有經(jīng)授權(quán)的個(gè)人才可訪問受保護(hù)的區(qū)域和設(shè)備是非常重要的。傳統(tǒng)的門和墻可用于保護(hù)敏感區(qū)域����,但具有傳統(tǒng)的鎖和鑰匙的門在管理許多用戶的設(shè)置時(shí)非常麻煩。例如���,一旦雇員被解雇����,很難收回當(dāng)初雇用時(shí)發(fā)給該前雇員的物理鑰匙����。此外����,還有這樣的鑰匙被復(fù)制多把且永未交出的風(fēng)險(xiǎn)�����。
智能門提供訪問控制��。在某些情況下���,智能門可被裝備以鍵盤���,用戶通過鍵盤可輸入其PIN或密碼。鍵盤可具有附加的存儲器和/或基本處理器����,有效的PIN/密碼的列表可被保存在其中。因此���,門可檢查當(dāng)前輸入的PIN是否屬于當(dāng)前的有效列表����。如果屬于,則門打開��。否則��,門可保持被鎖�。當(dāng)然,不是(唯一)依賴于傳統(tǒng)的鑰匙或簡單的鍵盤��,更現(xiàn)代的智能門可與卡(如智能卡和磁條卡)或無接觸設(shè)備(如PDA�����、移動電話等)一起工作�����。這樣的卡或設(shè)備可在除傳統(tǒng)鑰匙或電子鍵盤之外輔助使用或用以代替前述鑰匙或電子鍵盤�����。設(shè)計(jì)來由用戶攜帶的這些磁條卡�、智能卡或無接觸設(shè)備可具有保存信息的能力����,信息可被傳輸給門��。更先進(jìn)的卡還可具有計(jì)算和通信能力���。門上的相應(yīng)設(shè)備能夠從卡讀信息,并可能參加與卡的交互式協(xié)議�����,與計(jì)算機(jī)通信等���。
門的一方面是其連通性等級�����。全連接的門是一直與一些數(shù)據(jù)庫(或其它計(jì)算機(jī)系統(tǒng))連接的門�。例如�,數(shù)據(jù)庫可包含關(guān)于當(dāng)前有效的卡、用戶�、PIN等的信息。在某些情況下����,為防止敵人改變流入門的信息�����,這樣的連接被保護(hù)(例如�����,通過將從門到數(shù)據(jù)庫的導(dǎo)線置放在鋼管內(nèi))�����。另一方面����,全不連通的門不與其緊靠的附近區(qū)域的外面進(jìn)行通信�。在這兩個(gè)極端情況之間�����,還有具有斷續(xù)連通性的門(例如�,無線連接的“移動”門,其僅在地面站范圍之內(nèi)時(shí)才可與外面通信���,如飛機(jī)或卡車的門)����。
傳統(tǒng)的訪問控制機(jī)制有許多缺點(diǎn)。全連接的門非常昂貴��。將安全管連接到遠(yuǎn)處的智能門的花費(fèi)可能遠(yuǎn)超出智能門本身的成本����。以密碼方式保護(hù)導(dǎo)線,同時(shí)可能較廉價(jià)����,但也有其自己的成本(例如,保護(hù)和管理密鑰的成本)���。此外����,沒有鋼管和安全守衛(wèi)的密碼系統(tǒng)不能防止導(dǎo)線被割斷����,在這種情況下,不長久連接的門可能被迫在兩個(gè)極端選擇之間進(jìn)行選擇即����,總是保持關(guān)閉或總是打開��,但二者均不是合意�����。在一些情況下�����,全連接門通常不是可行的選擇��。(例如���,在大西洋中部海平面以下的貨物集裝箱的門實(shí)際上被完全不連通。)不連通的智能門可能較連通的門便宜�����。然而����,傳統(tǒng)接近智能門具有其自身的問題�����。例如,假設(shè)不連通的智能門能夠識別PIN�����。被終止的雇員不再被授權(quán)通過該門����,然而,如果他還記得他自己的PIN�����,他將沒有任何困難打開如基本的智能門�����。因此���,必須“抵消”已終止雇員的PIN的影響���,這對于不連通的門來說很難。事實(shí)上�����,這樣的過程可能非常麻煩且昂貴機(jī)場設(shè)施具有好幾百道門,無論雇員在何時(shí)離開或被終止雇用關(guān)系��,均調(diào)度特殊的工人隊(duì)伍出去并去除所有這些門的舊有程序太不切實(shí)際��。
因此���,希望提供與全連通的門相關(guān)聯(lián)的安全等級��,而不導(dǎo)致額外的成本����。如所證明的����,不連通的智能門和卡本身并不保證訪問控制系統(tǒng)的安全、方便和低成本�����。
發(fā)明內(nèi)容
根據(jù)本發(fā)明��,控制訪問包括提供訪問障礙����,其包括有選擇允許訪問的控制器,至少一管理實(shí)體產(chǎn)生憑證/證明���,其中如果僅給出憑證和過期證明的值�����,則不可確定為有效證明�,控制器接收憑證/證明���,控制器確定訪問在當(dāng)前是否被授權(quán)���,如果訪問被當(dāng)前授權(quán),則控制器允許訪問���。憑證/證明可以為一體���,也可是分開的部分?���?梢允堑谝还芾韺?shí)體產(chǎn)生憑證,其它管理實(shí)體產(chǎn)生證明。第一管理實(shí)體還可產(chǎn)生證明或第一管理實(shí)體不可產(chǎn)生證明�。憑證可對應(yīng)于包括終值的數(shù)字證書,終值是將單向函數(shù)應(yīng)用到第一證明的結(jié)果�����。每一證明可以是將單向函數(shù)應(yīng)用到未來證明之一的結(jié)果�。數(shù)字證書可包括電子設(shè)備的標(biāo)識符。憑證可包括終值�,終值為將單向函數(shù)應(yīng)用到第一證明的結(jié)果。每一證明可以是將單向函數(shù)應(yīng)用到未來證明之一的結(jié)果���。憑證可包括用戶請求訪問的標(biāo)識符���。憑證/證明可包括數(shù)字簽名。訪問障礙可包括墻和門����。控制訪問還可包括提供連接到控制器的門鎖���,其中控制器允許訪問包括控制器開動門鎖以允許門打開����。控制訪問還可包括提供連接到控制器的讀卡機(jī)�����,其中控制器從讀卡機(jī)接收憑證/證明���。憑證/證明可被提供在用戶呈現(xiàn)的智能卡上?����?刂圃L問還可包括提供外部連接到控制器�����。外部連接可以是間歇性連接����。控制器可使用外部連接接收至少一部分憑證/證明�����,或控制器可使用外部連接接收所有憑證/證明����?��?刂圃L問還可包括提供讀卡機(jī)連接到控制器,控制器從讀卡機(jī)接收憑證/證明的剩余部分����。憑證/證明可被提供在用戶呈現(xiàn)的智能卡上。憑證/證明可包括用戶輸入的密碼�。憑證/證明可包括用戶生物測定信息。憑證/證明可包括手寫簽名���。憑證/證明可包括在用戶所持的卡上提供的秘密值�����。憑證/證明可在預(yù)定時(shí)間后過期��。
根據(jù)本發(fā)明����,實(shí)體控制多個(gè)用戶對至少一不連通的門的訪問包括將多個(gè)用戶映射到組�����,對于一系列日期的每一時(shí)間間隔d,使管理機(jī)構(gòu)產(chǎn)生數(shù)字簽名SIGUDd�,其表明該組的成員在時(shí)間間隔d期間可訪問門,使該組的至少一成員在時(shí)間間隔d期間接收SIGUDd以呈現(xiàn)給門從而通過門�,使該組的至少一成員將SIGUDd呈現(xiàn)給門D,并在驗(yàn)證下述內(nèi)容之后使門打開(i)SIGUDd是表明該組成員可在時(shí)間間隔d訪問門的管理機(jī)構(gòu)數(shù)字簽名���,及(ii)當(dāng)前時(shí)間在時(shí)間間隔d之內(nèi)。該組的至少一成員可具有用戶卡且門可具有連接到機(jī)電鎖的讀卡機(jī)�,該組的至少一成員可通過將SIGUDd保存在用戶卡內(nèi)而接收SIGUDd,并通過使用戶卡被讀卡機(jī)讀而將SIGUDd呈現(xiàn)給門�����。管理機(jī)構(gòu)可通過將SIGUDd記入可由該組的至少一成員訪問的數(shù)據(jù)庫中而使SIGUDd將被該組的至少一成員在時(shí)間間隔d期間接收�。SIGUDd可以是公鑰簽名,且門可保存管理機(jī)構(gòu)的公鑰�����。門還可驗(yàn)證該組的至少一成員的身份信息����。關(guān)于該組的至少一成員的身份信息可包括至少下述之一PIN及對門的復(fù)雜問題的回答。
根據(jù)本發(fā)明����,控制物理訪問還包括分配實(shí)時(shí)憑證給一組用戶�����,檢查實(shí)時(shí)憑證�,其中實(shí)時(shí)憑證包括固定的第一部分及定期被修改的第二部分�����,其中第二部分提供實(shí)時(shí)憑證為當(dāng)前憑證的證明�����,通過在第一部分上執(zhí)行操作并將結(jié)果與第二部分進(jìn)行比較來驗(yàn)證實(shí)時(shí)憑證的有效性�;且只在實(shí)時(shí)憑證被驗(yàn)證為有效時(shí)才允許該組成員的物理訪問。第一部分可由管理機(jī)構(gòu)數(shù)字簽署���。管理機(jī)構(gòu)可提供第二部分�。第二部分可由不同于管理機(jī)構(gòu)的實(shí)體提供�。實(shí)時(shí)憑證可被提供在智能卡上。該組的成員可在第一位置獲得實(shí)時(shí)憑證的第二部分���。該組的成員可被允許訪問不同于且與第一位置分開的第二位置����。實(shí)時(shí)憑證的第一部分的至少一部分可代表多次應(yīng)用到實(shí)時(shí)憑證的第二部分的一部分的單向散列。多次可對應(yīng)于自實(shí)時(shí)憑證的第一部分被發(fā)出之后逝去的時(shí)間量�。控制物理訪問還可包括控制通過門的訪問�。
根據(jù)本發(fā)明,確定訪問包括確定特定的憑證/證明是否表明訪問被允許�,確定是否有另外的數(shù)據(jù)與憑證/證明相關(guān)聯(lián),其中另外的數(shù)據(jù)獨(dú)立于憑證/證明�,及如果特定憑證/證明表明訪問已被允許且有另外的數(shù)據(jù)與特定憑證/證明相關(guān)聯(lián),則根據(jù)另外的數(shù)據(jù)提供的信息決定是否拒絕訪問�。憑證/證明可以為一體���,也可是分開的部分��?���?梢允堑谝还芾韺?shí)體產(chǎn)生憑證����,其它管理實(shí)體產(chǎn)生證明。第一管理實(shí)體還可產(chǎn)生證明或第一管理實(shí)體不可產(chǎn)生證明�����。憑證可對應(yīng)于包括終值的數(shù)字證書,終值是將單向函數(shù)應(yīng)用到第一證明的結(jié)果���。每一證明可以是將單向函數(shù)應(yīng)用到未來證明之一的結(jié)果����。數(shù)字證書可包括電子設(shè)備的標(biāo)識符���。憑證可包括終值�����,終值為將單向函數(shù)應(yīng)用到第一證明的結(jié)果����。每一證明可以是將單向函數(shù)應(yīng)用到未來證明之一的結(jié)果����。憑證可包括用戶請求訪問的標(biāo)識符。憑證/證明可包括數(shù)字簽名�。訪問可以是對由墻和門封閉的區(qū)域的訪問。確定訪問可包括提供門鎖���,其中門鎖根據(jù)訪問是否被拒絕進(jìn)行開啟��。確定訪問還可包括提供接收憑證/證明的讀卡機(jī)��。憑證/證明可被提供在用戶呈現(xiàn)的智能卡上����。憑證/證明可包括用戶輸入的密碼。憑證/證明可包括用戶生物測定信息��。憑證/證明可包括手寫簽名����。憑證/證明可包括在用戶所持的卡上提供的秘密值。憑證/證明可在預(yù)定時(shí)間后過期�����。另外的數(shù)據(jù)可被數(shù)字簽署���。另外的數(shù)據(jù)可以是與憑證/證明綁定的消息。消息可識別特定的憑證/證明并包括特定憑證/證明是否已被取消的指示����。指示可以是空串����。另外的數(shù)據(jù)可包括日期�。另外的數(shù)據(jù)可以是包含關(guān)于特定憑證/證明的信息及包含關(guān)于一個(gè)或多個(gè)其它憑證/證明的信息的消息。確定訪問還可包括保存另外的數(shù)據(jù)����。另外的數(shù)據(jù)可包括到期時(shí)間,其表明另外的數(shù)據(jù)將被保存多久����。到期時(shí)間可對應(yīng)于特定憑證/證明的到期。確定訪問還可包括將另外的數(shù)據(jù)保存預(yù)定長的時(shí)間�����。憑證/證明可在預(yù)定時(shí)間之后均到期�����。另外的數(shù)據(jù)可使用智能卡進(jìn)行提供�。智能卡可由試圖訪問區(qū)域的用戶呈現(xiàn)。對區(qū)域的訪問可使用墻和至少一門進(jìn)行限制�。另外的數(shù)據(jù)可用于不同于試圖訪問的用戶的用戶。確定訪問還可包括提供通信鏈路并使用通信鏈路傳輸另外的數(shù)據(jù)。通信鏈路可由智能卡提供以另外的數(shù)據(jù)����。智能卡可要求與通信鏈路定期通信以保持有效。智能卡可被另一智能卡提供以另外的數(shù)據(jù)����。另外的數(shù)據(jù)可被有選擇地提供給一小組智能卡。確定訪問還可包括提供優(yōu)先級給另外的數(shù)據(jù)����。另外的數(shù)據(jù)可根據(jù)提供給另外的數(shù)據(jù)的優(yōu)先級而被有選擇地提供給一小組智能卡。另外的數(shù)據(jù)可被隨機(jī)提供給一小組智能卡����。
根據(jù)本發(fā)明,發(fā)出和傳播關(guān)于憑證的數(shù)據(jù)包括使實(shí)體發(fā)出表明憑證已被取消的經(jīng)鑒定的數(shù)據(jù)�����,使得經(jīng)鑒定的數(shù)據(jù)保存在第一用戶的第一卡中�,使用第一卡將經(jīng)鑒定的數(shù)據(jù)傳輸給第一門���,使第一門保存關(guān)于經(jīng)鑒定的數(shù)據(jù)的信息��,并使第一門依靠關(guān)于經(jīng)鑒定的數(shù)據(jù)的信息來拒絕訪問憑證�。經(jīng)鑒定的數(shù)據(jù)可由數(shù)字簽名進(jìn)行鑒定,且第一門可驗(yàn)證數(shù)字簽名�����。數(shù)字簽名可以是公鑰數(shù)字簽名����。數(shù)字簽名的公鑰可與憑證關(guān)聯(lián)。數(shù)字簽名可以是私鑰數(shù)字簽名���。憑證和第一卡均屬于第一用戶���。憑證可被保存在不同于第一卡的第二卡中,第一門可通過從存儲器檢索關(guān)于經(jīng)鑒定的數(shù)據(jù)的信息而依靠這樣的信息����。憑證可屬于不同于第一用戶的第二用戶。經(jīng)鑒定的數(shù)據(jù)可被首先保存在不同于第一卡的至少一其它卡中���,且經(jīng)鑒定的數(shù)據(jù)可從至少一其它卡傳輸給第一卡�����。經(jīng)鑒定的數(shù)據(jù)可通過首先傳輸給不同于第一門的至少一其它門而從至少一其它卡傳輸給第一卡��。實(shí)體可通過首先使經(jīng)鑒定的數(shù)據(jù)保存在應(yīng)答器上然后使第一卡從應(yīng)答器獲得經(jīng)鑒定的數(shù)據(jù)而使得經(jīng)鑒定的數(shù)據(jù)被保存在第一卡中����。應(yīng)答器可無保護(hù)。第一門可通過使經(jīng)鑒定的數(shù)據(jù)首先傳輸給不同于第一卡的至少一其它卡而從第一卡接收關(guān)于經(jīng)鑒定的數(shù)據(jù)的信息��。至少一其它卡可通過使經(jīng)鑒定的數(shù)據(jù)首先傳輸給不同于第一門的至少一其它門而從第一卡接收關(guān)于經(jīng)鑒定的數(shù)據(jù)的信息���。第一門可以是全不連通或間歇連通���。
根據(jù)本發(fā)明,第一門接收關(guān)于第一用戶的憑證的經(jīng)鑒定的數(shù)據(jù)�,過程包括從屬于不同于第一用戶的第二用戶的第一卡接收經(jīng)鑒定的數(shù)據(jù),保存關(guān)于經(jīng)鑒定的數(shù)據(jù)的信息���,接收憑證�,及依靠所保存的關(guān)于經(jīng)鑒定的數(shù)據(jù)的信息拒絕訪問憑證���。經(jīng)鑒定的數(shù)據(jù)可由數(shù)字簽名進(jìn)行鑒定����,且第一門驗(yàn)證數(shù)字簽名���。數(shù)字簽名可以是公鑰數(shù)字簽名����。數(shù)字簽名的公鑰可與憑證關(guān)聯(lián)����。數(shù)字簽名可以是私鑰數(shù)字簽名。經(jīng)鑒定的數(shù)據(jù)可通過首先保存在至少一其它卡中然后從至少一其它卡傳輸給第一卡而被保存在第一卡中���。經(jīng)鑒定的數(shù)據(jù)可通過首先傳輸給不同于第一門的至少一其它門而從至少一其它卡傳輸給第一卡��。經(jīng)鑒定的數(shù)據(jù)可通過首先保存在應(yīng)答器上然后使第一卡從應(yīng)答器獲得而被保存在第一卡中����。應(yīng)答器可無保護(hù)���。第一門可通過使經(jīng)鑒定的數(shù)據(jù)首先傳輸給不同于第一卡的至少一其它卡而從第一卡接收關(guān)于經(jīng)鑒定的數(shù)據(jù)的信息�����。至少一其它卡可通過使經(jīng)鑒定的數(shù)據(jù)首先傳輸給不同于第一門的至少一其它門而從第一卡接收關(guān)于經(jīng)鑒定的數(shù)據(jù)的信息����。第一門可以是全不連通或間歇連通。
根據(jù)本發(fā)明�,幫助立即取消訪問包括接收關(guān)于憑證的經(jīng)鑒定的數(shù)據(jù),將關(guān)于經(jīng)鑒定的數(shù)據(jù)的信息保存在第一卡上���,及使第一門接收關(guān)于經(jīng)鑒定的數(shù)據(jù)的信息�。經(jīng)鑒定的數(shù)據(jù)可由數(shù)字簽名進(jìn)行鑒定�����。數(shù)字簽名可以是公鑰數(shù)字簽名���。數(shù)字簽名的公鑰可與憑證關(guān)聯(lián)�。數(shù)字簽名可以是私鑰數(shù)字簽名����。憑證和卡均屬于第一用戶。如果第一卡在預(yù)先指定的時(shí)間中未能接收預(yù)先指定類型的信號��,則第一卡將變?yōu)椴豢捎糜谠L問���。憑證可屬于不同于第一用戶的另一用戶�。經(jīng)鑒定的數(shù)據(jù)可通過首先保存在不同于第一卡的至少一其它卡中然后從至少一其它卡傳輸給第一卡而被第一卡接收。經(jīng)鑒定的數(shù)據(jù)可通過首先傳輸給不同于第一門的至少一其它門而從至少一其它卡傳輸給第一卡���。第一卡可從應(yīng)答器獲得經(jīng)鑒定的數(shù)據(jù)。應(yīng)答器可無保護(hù)���。第一卡可通過首先將經(jīng)鑒定的數(shù)據(jù)傳輸給不同于第一卡的至少一其它卡而使第一門接收關(guān)于經(jīng)鑒定的數(shù)據(jù)的信息��。第一卡可通過首先將經(jīng)鑒定的數(shù)據(jù)傳輸給不同于第一門的至少一其它門而使至少一其它卡接收關(guān)于經(jīng)鑒定的數(shù)據(jù)的信息����。第一門可以全不連通或間歇連通�����。最后第一卡可從存儲器刪除所保存的關(guān)于經(jīng)鑒定的數(shù)據(jù)的信息����。憑證可具有到期日期,第一卡可在憑證過期之后從存儲器刪除所保存的關(guān)于經(jīng)鑒定的數(shù)據(jù)的信息��。憑證的到期日期可從憑證內(nèi)指定的信息推斷��。
根據(jù)本發(fā)明�����,記錄與訪問區(qū)域相關(guān)的事件包括記錄與訪問區(qū)域有關(guān)的事件以提供事件記錄并鑒定至少一事件記錄從而提供經(jīng)鑒定的記錄。記錄事件可包括記錄記錄事件的時(shí)間�。記錄事件可包括記錄事件的類型。事件可以是試圖訪問區(qū)域�。記錄事件可包括記錄連同訪問區(qū)域嘗試使用的憑證/證明。記錄事件可包括記錄嘗試的結(jié)果����。記錄事件可包括記錄不同于表明訪問應(yīng)被拒絕的憑證/證明的數(shù)據(jù)的存在。記錄事件可包括記錄與區(qū)域有關(guān)的另外的數(shù)據(jù)����。鑒定記錄可包括數(shù)字簽署記錄。鑒定至少一事件記錄可包括鑒定事件記錄及鑒定其它事件記錄以提供單一經(jīng)鑒定的記錄��。單一經(jīng)鑒定的記錄可被保存在卡上���。經(jīng)鑒定的記錄可被保存在卡上��?��?删哂辛硪唤?jīng)鑒定的記錄保存于其上。另一經(jīng)鑒定的記錄可由卡連同用于訪問區(qū)域的卡提供��。如果另一經(jīng)鑒定的記錄未被驗(yàn)證,則訪問可被拒絕�����?�?刂破骺蛇B同訪問區(qū)域一起提供��,其中控制器進(jìn)一步鑒定另一經(jīng)鑒定的記錄����。另一經(jīng)鑒定的記錄可使用數(shù)字證書進(jìn)行鑒定���。記錄事件還可包括用戶呈現(xiàn)卡以試圖訪問區(qū)域�����。記錄事件還可包括在用戶試圖訪問區(qū)域時(shí)卡進(jìn)一步鑒定經(jīng)鑒定的記錄�。與訪問區(qū)域有關(guān)����,控制器可被提供,其中控制器和卡共同進(jìn)一步鑒定經(jīng)鑒定的記錄�����。記錄事件可包括提供相關(guān)產(chǎn)生數(shù)據(jù),其指明經(jīng)鑒定的記錄的內(nèi)容����。相關(guān)產(chǎn)生數(shù)據(jù)可與經(jīng)鑒定的記錄綁定。相關(guān)產(chǎn)生數(shù)據(jù)可與經(jīng)鑒定的記錄綁定且所得的綁定可被鑒定����。所得到的綁定可被數(shù)字簽署。相關(guān)產(chǎn)生數(shù)據(jù)可以是一系列數(shù)字��,且數(shù)字中的特定之一可被賦予事件��。記錄事件還可包括鑒定特定數(shù)字和事件的綁定����。鑒定綁定可包括數(shù)字簽署綁定。鑒定綁定可包括單向散列綁定然后數(shù)字簽署其結(jié)果���。事件的相關(guān)產(chǎn)生數(shù)據(jù)可包括識別另一事件的信息�。另一事件可以是在前的事件�����。另一事件可以是未來的事件。記錄事件還可包括關(guān)聯(lián)事件的第一和第二隨機(jī)值����,將第一和第二隨機(jī)值中的至少一個(gè)與另一事件相關(guān)聯(lián),及將第一和第二值中的至少一個(gè)與另一事件綁定�����。提供相關(guān)產(chǎn)生數(shù)據(jù)可包括使用多項(xiàng)式產(chǎn)生相關(guān)信息����。提供相關(guān)產(chǎn)生數(shù)據(jù)可包括使用散列鏈產(chǎn)生相關(guān)信息����。相關(guān)產(chǎn)生數(shù)據(jù)可包括關(guān)于多個(gè)其它事件的信息。相關(guān)產(chǎn)生數(shù)據(jù)可包括糾錯(cuò)代碼��。記錄事件還可包括傳播經(jīng)鑒定的記錄��。傳播經(jīng)鑒定的記錄可包括將經(jīng)鑒定的記錄提供在由試圖訪問區(qū)域的用戶呈現(xiàn)的卡上���。區(qū)域可由墻和門確定�。
根據(jù)本發(fā)明,至少一管理實(shí)體控制電子設(shè)備的訪問���,其通過至少一管理實(shí)體為電子設(shè)備產(chǎn)生憑證和多個(gè)相應(yīng)的證明�����,其中如果僅給出憑證和過期證明的值��,不可確定有效的證明���,電子設(shè)備接收憑證,如果訪問在特定時(shí)間被授權(quán)����,電子設(shè)備接收對應(yīng)于特定時(shí)間的證明,及電子設(shè)備使用憑證確認(rèn)證明����。至少一管理實(shí)體可在產(chǎn)生憑證之后產(chǎn)生證明。單一管理實(shí)體可產(chǎn)生憑證并產(chǎn)生證明���。也可以是第一管理實(shí)體產(chǎn)生憑證�����,其它管理實(shí)體產(chǎn)生證明���。第一管理實(shí)體也可產(chǎn)生證明或不可產(chǎn)生證明����。憑證可以是包括終值的數(shù)字證書����,終值為將單向函數(shù)應(yīng)用到第一證明的結(jié)果。每一證明可以是將單向函數(shù)應(yīng)用到未來證明之一的結(jié)果�����。數(shù)字證書可包括電子設(shè)備的標(biāo)識符��。憑證可包括終值��,其為將單向函數(shù)應(yīng)用到第一證明的結(jié)果��。每一證明可以是將單向函數(shù)應(yīng)用到未來證明之一的結(jié)果�。憑證可包括電子設(shè)備的標(biāo)識符�。電子設(shè)備可以是計(jì)算機(jī),其僅在訪問被授權(quán)時(shí)啟動����。電子設(shè)備可以是磁盤驅(qū)動器����。至少一管理實(shí)體控制電子設(shè)備的訪問可包括使用獨(dú)立于至少一管理實(shí)體的至少一證明分配實(shí)體提供證明���?�?梢詢H有一個(gè)證明分配實(shí)體或有多個(gè)證明分配實(shí)體�����。至少一管理實(shí)體控制電子設(shè)備的訪問可包括使用到電子設(shè)備的連接提供證明�。連接可以是因特網(wǎng)����。至少部分證明可被本機(jī)保存在電子設(shè)備上。至少一管理實(shí)體控制電子設(shè)備的訪問可包括���,如果對應(yīng)于時(shí)間的證明不可在本機(jī)獲得���,電子設(shè)備經(jīng)外部連接請求證明。每一證明可與特定的時(shí)間間隔相關(guān)聯(lián)�����。在與特定證明相關(guān)聯(lián)的特定時(shí)間間隔已消逝之后,電子設(shè)備可接收新證明�����。時(shí)間間隔可以是一天���。
根據(jù)本發(fā)明���,電子設(shè)備控制對其的訪問,其通過接收用于電子設(shè)備的憑證和多個(gè)相應(yīng)證明中的至少一個(gè)�����,其中如果僅給出憑證和過期證明的值則不可確定有效的證明��,且使用憑證測試多個(gè)證明中的至少一個(gè)����。憑證可以是包括終值的數(shù)字證書��,終值為將單向函數(shù)應(yīng)用到第一證明的結(jié)果����。每一證明可以是將單向函數(shù)應(yīng)用到未來證明之一的結(jié)果��。數(shù)字證書可包括電子設(shè)備的標(biāo)識符�。憑證可包括終值���,其為將單向函數(shù)應(yīng)用到第一證明的結(jié)果�����。每一證明可以是將單向函數(shù)應(yīng)用到未來證明之一的結(jié)果����。憑證可包括電子設(shè)備的標(biāo)識符����。電子設(shè)備可以是計(jì)算機(jī)。電子設(shè)備控制對其的訪問還可包括僅在訪問被授權(quán)時(shí)計(jì)算機(jī)啟動�����。電子設(shè)備可以是磁盤驅(qū)動器����。電子設(shè)備控制對其的訪問可包括使用到電子設(shè)備的連接獲得證明���。連接可以是因特網(wǎng)。至少部分證明可被本機(jī)保存在電子設(shè)備上�����。電子設(shè)備控制對其的訪問可包括�,如果對應(yīng)于時(shí)間的證明不可在本機(jī)獲得,電子設(shè)備經(jīng)外部連接請求證明�����。每一證明可與特定的時(shí)間間隔相關(guān)聯(lián)����。在與特定證明相關(guān)聯(lián)的特定時(shí)間間隔已消逝之后,電子設(shè)備可接收新證明�。時(shí)間間隔可以是一天。
根據(jù)本發(fā)明�����,控制對電子設(shè)備的訪問包括提供憑證給電子設(shè)備����,如果訪問在特定時(shí)間被允許��,提供對應(yīng)于特定時(shí)間的證明給電子設(shè)備,其中如果僅給出憑證和過期證明的值則不可確定證明����。憑證可以是包括終值的數(shù)字證書,終值為將單向函數(shù)應(yīng)用到第一證明的結(jié)果�。每一證明可以是將單向函數(shù)應(yīng)用到未來證明之一的結(jié)果。數(shù)字證書可包括電子設(shè)備的標(biāo)識符����。憑證可包括終值,其為將單向函數(shù)應(yīng)用到第一證明的結(jié)果�。每一證明可以是將單向函數(shù)應(yīng)用到未來證明之一的結(jié)果。憑證可包括電子設(shè)備的標(biāo)識符�����。電子設(shè)備可以是計(jì)算機(jī)���??刂茖﹄娮釉O(shè)備的訪問可包括僅在訪問被授權(quán)時(shí)計(jì)算機(jī)啟動���。電子設(shè)備可以是磁盤驅(qū)動器����。控制對電子設(shè)備的訪問可包括使用獨(dú)立于至少一管理實(shí)體的至少一證明分配實(shí)體提供證明����。可以僅有一個(gè)證明分配實(shí)體��?����?梢杂卸鄠€(gè)證明分配實(shí)體�����?���?刂茖﹄娮釉O(shè)備的訪問可包括使用到電子設(shè)備的連接提供證明。連接可以是因特網(wǎng)��。至少部分證明可被本機(jī)保存在電子設(shè)備上�����。控制對電子設(shè)備的訪問可包括�����,如果對應(yīng)于時(shí)間的證明不可在本機(jī)獲得�����,電子設(shè)備經(jīng)外部連接請求證明�����。每一證明可與特定的時(shí)間間隔相關(guān)聯(lián)����。在與特定證明相關(guān)聯(lián)的特定時(shí)間間隔已消逝之后���,電子設(shè)備可接收新證明�。時(shí)間間隔可以是一天�����。
圖1A為根據(jù)在此描述的系統(tǒng)的實(shí)施例的示意圖,其包括連接�����、多個(gè)電子設(shè)備�����、管理實(shí)體��、證明分配實(shí)體����。
圖1B為根據(jù)在此描述的系統(tǒng)的另一實(shí)施例的示意圖,其包括連接�����、多個(gè)電子設(shè)備���、管理實(shí)體���、證明分配實(shí)體。
圖1C為根據(jù)在此描述的系統(tǒng)的另一實(shí)施例的示意圖�����,其包括連接、多個(gè)電子設(shè)備��、管理實(shí)體�����、證明分配實(shí)體��。
圖1D為根據(jù)在此描述的系統(tǒng)的另一實(shí)施例的示意圖��,其包括連接����、多個(gè)電子設(shè)備���、管理實(shí)體�����、證明分配實(shí)體�。
圖2為根據(jù)在此描述的系統(tǒng)的電子設(shè)備的詳細(xì)示圖�����。
圖3為根據(jù)在此描述的系統(tǒng),連同電子設(shè)備確定是否執(zhí)行確認(rèn)執(zhí)行的步驟的流程圖�����。
圖4為根據(jù)在此描述的系統(tǒng)���,所執(zhí)行的與執(zhí)行確認(rèn)有關(guān)的步驟的流程圖�。
圖5為根據(jù)在此描述的系統(tǒng)�,所執(zhí)行的與產(chǎn)生憑證有關(guān)的步驟的流程圖。
圖6為根據(jù)在此描述的系統(tǒng)��,所執(zhí)行的與根據(jù)憑證核對證明有關(guān)的步驟的流程圖�����。
圖7為根據(jù)在此描述的系統(tǒng)的示意圖���,包括對其物理訪問將被限制的區(qū)域����。
具體實(shí)施例方式
參考圖1A��,圖20示出了一般連接22,具有多個(gè)電子設(shè)備24-26連接到該連接�。盡管圖20示出了三個(gè)電子設(shè)備24-26,在此描述的系統(tǒng)可與任何數(shù)量的電子設(shè)備一起工作�����。連接22可被實(shí)施為直接電子數(shù)據(jù)連接���、通過電話線的連接���、LAN、WAN��、因特網(wǎng)���、虛擬專用網(wǎng)、或任何其它用于提供數(shù)據(jù)通信的機(jī)構(gòu)����。電子設(shè)備24-26可代表一個(gè)或多個(gè)膝上型計(jì)算機(jī)、臺式計(jì)算機(jī)(在辦公室中或在雇員家中或其它位置)����、PDA���、移動電話、磁盤驅(qū)動器���、海量存儲設(shè)備�����、或任何其它可用于限制對其的訪問的電子設(shè)備����。在在此的實(shí)施例中����,電子設(shè)備24-26代表可由機(jī)構(gòu)的雇員使用的臺式或膝上型計(jì)算機(jī),在用戶/雇員離開機(jī)構(gòu)和/或計(jì)算機(jī)之一被丟失或偷竊時(shí)機(jī)構(gòu)希望限制對電子設(shè)備的訪問����。當(dāng)然,可以有其它限制對一個(gè)或多個(gè)電子設(shè)備24-26的訪問的原因��,在此描述的系統(tǒng)可與任何適當(dāng)?shù)膶?shí)施方式一起使用����。
管理實(shí)體28設(shè)定允許用戶訪問電子設(shè)備24-26的策略����。例如��,管理實(shí)體28可確定特定用戶U1不再有權(quán)訪問任何電子設(shè)備24-26�,而另一用戶U2可訪問電子設(shè)備24但不可訪問其它電子設(shè)備25、26��。管理實(shí)體28可使用任何策略用于設(shè)定用戶訪問�。
管理實(shí)體28提供多個(gè)證明,其經(jīng)連接22傳輸給電子設(shè)備24-26�。證明可通過其它手段提供給電子設(shè)備24-26,這些手段將在下面詳細(xì)描述�。電子設(shè)備24-26接收所分配的證明,使用內(nèi)部保存的憑證(在本說明書別處詳細(xì)描述)����,確定對其的訪問是否應(yīng)被允許?����?蛇x地����,證明分配實(shí)體32也可被連接到連接22及管理實(shí)體28。證明分配實(shí)體32提供證明給電子設(shè)備24-26�����。在在此的實(shí)施例中����,證明僅對一個(gè)用戶和電子設(shè)備24-26之一有效,可選地���,僅在某一日期或日期范圍有效���。
證明可使用美國專利5,666,416中公開的類似機(jī)制提供,該專利通過引用組合于此����,其中,每一電子設(shè)備24-26將管理實(shí)體28(或其它經(jīng)授權(quán)的實(shí)體)簽署的數(shù)字證書作為憑證進(jìn)行接收����,數(shù)字證書包含特殊值,其代表單向函數(shù)應(yīng)用到初始值N次后的值���。在每一新的時(shí)間間隔�,電子設(shè)備可被呈現(xiàn)以證明,其由通過應(yīng)用單向函數(shù)獲得的N個(gè)值中之一組成���。在該例子中����,電子設(shè)備24-26可通過多次應(yīng)用單向函數(shù)以獲得數(shù)字證書中提供的特殊值而確認(rèn)證明是合法的�。該機(jī)制及其它可能的機(jī)制均在本說明書別處詳細(xì)描述。
也可使用麻薩諸塞州Cambridge的CoreStreet��,Ltd.提供的一個(gè)或多個(gè)產(chǎn)品提供在此提出的適當(dāng)憑證和證明�����,或使用任何其它用于產(chǎn)生獨(dú)特證明的機(jī)制����,其1)僅可已由管理機(jī)構(gòu)(不存在管理安全違背)產(chǎn)生;及2)不能用于產(chǎn)生任何其它證明�����。因此�,證明使得��,給定合法證明P1,未經(jīng)授權(quán)的用戶不可產(chǎn)生另一表面上合法的證明P2用于不同的目的(例如�����,用于不同的時(shí)間間隔���、不同的設(shè)備等)���。因而,發(fā)出的證明可以非保密方式保存和分發(fā)����,這實(shí)質(zhì)上降低了系統(tǒng)成本。當(dāng)然�����,對產(chǎn)生憑證和/或證明的實(shí)體保持適當(dāng)?shù)陌踩约皩θ魏挝窗l(fā)出(如未來的)的證明保持適當(dāng)?shù)陌踩允怯欣摹?br>
此外���,擁有合法證明P1-PN的未經(jīng)授權(quán)的用戶不可產(chǎn)生新證明PN+1�。這在許多情況下是有利的���。例如�����,被終止雇用關(guān)系的雇員在終止之后即使其還擁有他被公司雇用時(shí)用于膝上型計(jì)算機(jī)的所有先前的合法證明���,其自己也不可產(chǎn)生新證明以提供對其公司膝上型計(jì)算機(jī)的未經(jīng)授權(quán)訪問�����。
在在此的實(shí)施例中�,電子設(shè)備24-26為具有執(zhí)行在此描述的處理的固件和/或操作系統(tǒng)軟件的計(jì)算機(jī)����,證明用于阻止對其的未經(jīng)授權(quán)登錄和/或訪問。在啟動基礎(chǔ)上和/或在足夠時(shí)間已消逝之后����,計(jì)算機(jī)應(yīng)要求適當(dāng)?shù)淖C明以進(jìn)行運(yùn)行。在該實(shí)施例中�����,在此描述的功能可與標(biāo)準(zhǔn)Windows登錄系統(tǒng)(及BIOS或PXE環(huán)境)結(jié)合�。管理實(shí)體28可與公司Microsoft網(wǎng)絡(luò)的普通用戶管理工具結(jié)合并允許管理員為每一用戶設(shè)定登錄策略���。在許多情況下,管理實(shí)體28能夠從現(xiàn)存的管理信息導(dǎo)出所有所需要的信息��,其使該新功能對管理員幾乎透明并降低了培訓(xùn)和采用成本���。管理實(shí)體28可在企業(yè)網(wǎng)絡(luò)內(nèi)運(yùn)行或由膝上型計(jì)算機(jī)制造商、BIOS制造商或其它受托伙伴存放為ASP模型���。證明分配實(shí)體32可部分在企業(yè)網(wǎng)絡(luò)內(nèi)運(yùn)行��、部分在全球站點(diǎn)運(yùn)行�。由于證明不是敏感信息��,證明分配系統(tǒng)的可全球訪問的儲存庫可作為網(wǎng)絡(luò)服務(wù)運(yùn)行����,從而使證明可用于企業(yè)網(wǎng)絡(luò)之外的用戶。
在在此的實(shí)施例中�,每一計(jì)算機(jī)每天應(yīng)要求新證明。然而����,本領(lǐng)域一般技術(shù)人員應(yīng)意識到的是���,時(shí)間增量可被改變,使得計(jì)算機(jī)可每周要求新證明或每小時(shí)要求新證明�����。
此外�,還可能利用IDE硬盤驅(qū)動器的很少使用的特征,其允許在驅(qū)動器上設(shè)置密碼����,在驅(qū)動器將旋轉(zhuǎn)并允許訪問內(nèi)容之前密碼必須被呈現(xiàn)給驅(qū)動器。如果驅(qū)動器的固件被修改以使用在此描述的系統(tǒng)�,則對硬盤驅(qū)動器的訪問可能被限制,使得即使將硬盤驅(qū)動器放置在不同的計(jì)算機(jī)中也不能訪問計(jì)算機(jī)硬盤驅(qū)動器����。該特征可與其它類型的硬盤驅(qū)動器一起實(shí)施。
在其它實(shí)施方式中�����,系統(tǒng)可用于訪問數(shù)據(jù)文件����、實(shí)際盤卷�、邏輯卷等��。在一些情況下���,如限制訪問文件的情況下��,其可用于對相應(yīng)的操作系統(tǒng)進(jìn)行適當(dāng)?shù)男薷摹?br>
參考圖1B,圖20’示出了具有多個(gè)管理實(shí)體28a-28c的另一實(shí)施例����。盡管圖20’示出了三個(gè)管理實(shí)體28a-28c,在此描述的系統(tǒng)可與任何數(shù)量的管理實(shí)體一起工作�。在圖20’所示的實(shí)施例中,可能管理實(shí)體28a-28c之一(如管理實(shí)體28a)產(chǎn)生憑證�����,而管理實(shí)體28a-28c中的其它實(shí)體(如管理實(shí)體28b���、28c)產(chǎn)生證明��,或所有管理實(shí)體28a-28c均產(chǎn)生證明�?��?蛇x地���,可使用證明分配實(shí)體32����。
參考圖1C���,圖20″示出了具有多個(gè)證明分配實(shí)體32a-32c的另一實(shí)施例�。盡管圖20″只示出了三個(gè)證明分配實(shí)體32a-32c�,在此描述的系統(tǒng)可與任何數(shù)量的證明分配實(shí)體一起工作。圖20″所示的實(shí)施例可使用麻薩諸塞州Cambridge的Akamai Technologies Incorporated提供的技術(shù)實(shí)施��。
參考圖1D�,圖20示出了具有多個(gè)管理實(shí)體28a’-28c’和多個(gè)證明分配實(shí)體32a’-32c’的另一實(shí)施例。盡管20只示出了三個(gè)管理實(shí)體28a’-28c’和三個(gè)證明分配實(shí)體32a’-32c’�����,在此描述的系統(tǒng)可與任何數(shù)量的管理實(shí)體和證明分配實(shí)體一起工作�。圖20所示的實(shí)施例結(jié)合了圖1B所示實(shí)施例的特征和圖1C所示實(shí)施例的特征。
參考圖2���,其詳細(xì)示出了電子設(shè)備24���,其包括確認(rèn)單元42�、憑證數(shù)據(jù)44和證明數(shù)據(jù)46��。確認(rèn)單元42可使用硬件��、軟件�����、固件或其結(jié)合實(shí)施���。基于某些條件����,如啟動,確認(rèn)單元42接收啟動信號���,其使得確認(rèn)單元42檢查憑證數(shù)據(jù)44和證明數(shù)據(jù)46���,基于檢查結(jié)果,產(chǎn)生表明合法證明已被呈現(xiàn)的通過信號或產(chǎn)生失敗信號�����。確認(rèn)單元42的輸出由繼續(xù)處理/設(shè)備如計(jì)算機(jī)啟動固件使用以確定操作是否可繼續(xù)。
在在此的實(shí)施例中���,電子設(shè)備24包括外部接口48���,其由確認(rèn)單元42控制。如確認(rèn)單元42一樣�����,外部接口48可使用硬件��、軟件�����、固件或其結(jié)合實(shí)施���。外部接口48被連接到連接22����,并用于取回可被保存在證明數(shù)據(jù)46中的新證明。因而�����,如果確認(rèn)單元42確定保存在證明數(shù)據(jù)46中的證明不充分(例如已過期)�����,確認(rèn)單元42提供信號給外部接口48以使外部接口48經(jīng)連接22請求新證明��。當(dāng)然��,如果電子設(shè)備24已被丟失和/或偷竊或如果用戶為已終止的雇員或如果有任何其它不允許訪問電子設(shè)備24的原因���,則外部接口48將不能獲得有效證明����。在一些實(shí)施例中��,外部接口48提示用戶進(jìn)行適當(dāng)?shù)碾娮舆B接(例如�����,將膝上型計(jì)算機(jī)連接到網(wǎng)絡(luò))�。
在在此的實(shí)施例中,時(shí)間數(shù)據(jù)52提供信息給確認(rèn)單元42以指明有效證明被呈現(xiàn)給確認(rèn)單元42的最近一次時(shí)間��。該信息可用于阻止太頻繁地請求證明����,同時(shí)防止在請求新證明之前等待得太久。確認(rèn)單元42��、外部接口48�、憑證數(shù)據(jù)44、證明數(shù)據(jù)46��、及時(shí)間數(shù)據(jù)52的相互作用和使用在本說明書別處詳細(xì)描述��。
參考圖3�,流程圖70示出了確定是否發(fā)送啟動信號給確認(rèn)單元42所執(zhí)行的步驟,以確定確認(rèn)單元42是否應(yīng)檢查憑證數(shù)據(jù)44和證明數(shù)據(jù)46以產(chǎn)生通過或失敗信號���。處理開始于第一步驟72�,其確定啟動操作是否正被執(zhí)行�����。在在此的實(shí)施例中�,證明總是連同啟動操作一起進(jìn)行檢查。因此,如果在測試步驟72確定啟動正被執(zhí)行���,則控制從步驟72轉(zhuǎn)到步驟74����,啟動信號被發(fā)送給確認(rèn)單元42�。在步驟74之后是步驟76,在再次循環(huán)之前進(jìn)程等待預(yù)定長的時(shí)間���。在在此的實(shí)施例中預(yù)定的時(shí)長可以是一天�,盡管其它時(shí)長也可被使用����。在步驟76之后,控制轉(zhuǎn)回到如上述的測試步驟72���。
如果在測試步驟72確定啟動操作未被執(zhí)行���,則控制從測試步驟72轉(zhuǎn)到測試步驟78�,其確定自上次運(yùn)行確認(rèn)單元42之后預(yù)定的時(shí)間量是否已消逝。這可通過使用時(shí)間數(shù)據(jù)元件52或許及當(dāng)前系統(tǒng)時(shí)間進(jìn)行確定��。在在此的實(shí)施例中,在測試步驟78使用的預(yù)定時(shí)間量為一天�����。如果在測試步驟78確定自上次運(yùn)行確認(rèn)單元42以來的時(shí)間量大于預(yù)定時(shí)間量�,則控制從測試步驟78轉(zhuǎn)到步驟74,啟動信號被發(fā)送給確認(rèn)單元42�����。在步驟74之后或在測試步驟78之后(如果時(shí)間量不大于預(yù)定時(shí)間量)是如上所述的步驟76�。
參考圖4,流程圖90示出了確認(rèn)單元42確定是否已接收足夠的證明所執(zhí)行的步驟��。如本說明書別處所述�����,確認(rèn)單元42發(fā)送或通過或失敗信號給后繼處理/設(shè)備(如計(jì)算機(jī)啟動固件或磁盤驅(qū)動器固件)�。處理開始于第一步驟92,確認(rèn)單元42確定必須的證明����。必須證明為確認(rèn)單元42確定的足以能夠發(fā)送通過信號的證明。確認(rèn)單元42通過檢查憑證數(shù)據(jù)44��、證明數(shù)據(jù)46��、時(shí)間數(shù)據(jù)52��、甚至內(nèi)部/系統(tǒng)時(shí)鐘來確定必須證明����。在步驟92之后是測試步驟94,其確定適當(dāng)?shù)淖C明是否可本地獲得(即在證明數(shù)據(jù)46中)及本地提供的證明是否滿足必要的要求(本說明書別處描述)�����。如果是���,則控制從步驟94轉(zhuǎn)到步驟96���,確認(rèn)單元42發(fā)出通過信號。在步驟96之后���,處理結(jié)束��。
在一些實(shí)施例中�,可能并希望獲得并保存未來的證明于證明數(shù)據(jù)46中��。例如����,預(yù)計(jì)不能連接到管理實(shí)體28和/或證明分配實(shí)體32的用戶可獲得和保存未來的證明。在這些實(shí)施例中�,當(dāng)電子設(shè)備連接到管理實(shí)體28和/或證明分配實(shí)體32時(shí),其可自動輪詢未來的證明���,其可根據(jù)重新定義的策略提供�����,或者(或此外)����,用戶和/或電子設(shè)備明確請求未來的證明也是可能的��,其可以也可不根據(jù)控制策略提供��。
如果在測試步驟94確定適當(dāng)?shù)淖C明不可本地獲得(即在證明數(shù)據(jù)46中)�����,則控制從測試步驟94轉(zhuǎn)到測試步驟98�����,確認(rèn)單元42確定適當(dāng)?shù)淖C明是否可從外部獲得,例如如上所述�,通過提供信號以使外部接口48試圖取回證明。如果在測試步驟98確定外部提供的證明滿足必要的要求(本說明書別處描述)����,則控制從測試步驟98轉(zhuǎn)到步驟96,如上所述�����,確認(rèn)單元42發(fā)出通過信號����。在在此的實(shí)施例中,外部提供的證明被保存在證明數(shù)據(jù)46中�。
如果在測試步驟98確定適當(dāng)?shù)臄?shù)據(jù)不可從外部獲得,或因?yàn)闆]有適當(dāng)?shù)倪B接或因?yàn)槠渌?��,則控制從測試步驟98轉(zhuǎn)到步驟102��,用戶被提示輸入適當(dāng)?shù)淖C明����。在在此的實(shí)施例中,如果用戶在沒有適當(dāng)電連接的位置�����,用戶可呼叫特定的電話號碼并接收數(shù)字形式的適當(dāng)證明�����,其可連同步驟102提供的提示手動輸入到電子設(shè)備中�。當(dāng)然��,用戶可通過其它手段接收證明�����,如被手寫��、打字���、甚或出版在報(bào)紙中的證明(例如���,在分類區(qū)域)。
在步驟102之后是測試步驟104�,其確定用戶是否已輸入滿足必要要求的證明(如本說明書別處所述)���。如果是,則控制從測試步驟104轉(zhuǎn)到步驟96�,如上所述,確認(rèn)單元42發(fā)出通過信號��。否則��,控制從測試步驟104轉(zhuǎn)到步驟106��,確認(rèn)單元42發(fā)出失敗信號��。在步驟106之后���,處理結(jié)束���。
參考圖5,流程圖120示出了產(chǎn)生確認(rèn)單元42所使用的憑證所執(zhí)行的步驟�����。流程圖120的步驟可由產(chǎn)生憑證(及一系列證明)的管理實(shí)體28執(zhí)行并提供憑證給電子設(shè)備24���。其它適當(dāng)?shù)膶?shí)體(如經(jīng)管理實(shí)體28授權(quán)的實(shí)體)可產(chǎn)生憑證�����。在在此的實(shí)施例中����,隨機(jī)值可連同產(chǎn)生憑證和證明一起使用,通常是不可預(yù)測的�。在步驟122之后是步驟124�,下標(biāo)變量I被設(shè)定為1。在在此的實(shí)施例中����,所提供的憑證被用于全年且每天需要新證明,從而365個(gè)獨(dú)立的證明可連同產(chǎn)生憑證一起產(chǎn)生����。下標(biāo)變量I用于跟蹤被產(chǎn)生的證明的數(shù)量。在步驟124之后是步驟126����,初始證明值Y(0)被設(shè)定為等于在步驟122確定的隨機(jī)值RV。
在步驟126之后是測試步驟128�,其確定下標(biāo)變量I是否大于端值IEND。如上所述,在在此的實(shí)施例中����,365個(gè)證明連同產(chǎn)生憑證一起產(chǎn)生,從而���,在該實(shí)施例中��,IEND為365����。然而�,對于其它實(shí)施例,可將IEND設(shè)定為任何數(shù)�。
如果在測試步驟128確定I值不大于IEND,則控制從步驟128轉(zhuǎn)到步驟132���,Y(I)被設(shè)定為等于單向函數(shù)應(yīng)用到Y(jié)(I-1)���。在步驟132使用的單向函數(shù)是這樣的函數(shù),給定應(yīng)用單向函數(shù)的結(jié)果�,其幾乎不可能確定被輸入單向函數(shù)的值。因而����,對于在步驟132使用的單向函數(shù)�����,給定Y(I)�����,非常難并非不可能確定輸入值(在該例子中Y(I-1))�。如在此使用的��,術(shù)語單向函數(shù)包括任何適當(dāng)提供該特性的函數(shù)或運(yùn)算�,包括但不限于傳統(tǒng)的單向散列函數(shù)和數(shù)字簽名��。在步驟132使用的單向函數(shù)的該特性可用于能夠以不保密方式保存和分發(fā)發(fā)出的證明���,如本說明書別處所述��。憑證和證明可在不同的時(shí)間產(chǎn)生或證明可由產(chǎn)生憑證的實(shí)體或另一實(shí)體在稍后的日期產(chǎn)生����。注意����,對于其它實(shí)施例��,在這方面���,可能使Y(I)不是Y(I-1)或任何其它Y的函數(shù)。
處理開始于第一步驟122����,隨機(jī)值RV被產(chǎn)生。在步驟132之后是步驟134��,下標(biāo)變量I加1����。在步驟134之后,控制轉(zhuǎn)回到測試步驟128�,如上所述。如果在測試步驟128確定I大于IEND���,則控制從測試步驟128轉(zhuǎn)到步驟136����,終值FV被設(shè)定為等于Y(I-1)�����。應(yīng)注意,I被減1�,因?yàn)镮被遞增超出IEND。在步驟136之后是步驟138����,管理實(shí)體28(或產(chǎn)生證明和憑證的其它實(shí)體)數(shù)字簽署終值、當(dāng)前日期�����、及其它連同證明一起使用的信息��。在在此的實(shí)施例中�,其它信息可用于識別特定的電子設(shè)備(如膝上型計(jì)算機(jī))、特定用戶��、或?qū){證和證明綁定到特定電子設(shè)備和/或用戶和/或一些其它財(cái)產(chǎn)的其它信息��?�?蛇x地�����,日期和/或FV可與其它信息結(jié)合��。例如���,可使用類似OCSP簽署的消息���,其簡單地說“device#123456 is valid on1/1/2004”或使miniCRL中對應(yīng)于特殊設(shè)備的位為on或off。在這些情況下�,設(shè)備上的憑證可鑒定設(shè)備(即確定設(shè)備真地是設(shè)備#123456等)。OCSP和miniCRL均為現(xiàn)有技術(shù)中公知的��。在步驟138之后���,處理結(jié)束�。
參考圖6����,流程圖150示出了確認(rèn)單元42確定證明的有效性時(shí)所執(zhí)行的步驟。處理開始于第一步驟152���,確認(rèn)單元42接收證明(例如����,通過從證明數(shù)據(jù)44讀取證明)。在步驟152之后是步驟154����,確認(rèn)單元42接收憑證(例如,通過讀憑證數(shù)據(jù)46)���。
在步驟154之后是測試步驟156����,其確定連同憑證提供的其它信息是否匹配�。如本說明書別處所述,其它信息包括電子設(shè)備的標(biāo)識����、用戶的標(biāo)識、或其它財(cái)產(chǎn)識別信息����。如果在測試步驟156確定與憑證相關(guān)聯(lián)的其它信息與其它信息描述的特定財(cái)產(chǎn)不匹配(例如,憑證用于不同的電子設(shè)備或不同的用戶)���,則控制從測試步驟156轉(zhuǎn)到步驟158,失敗信號被提供����。在步驟158之后��,處理結(jié)束���。
如果在測試步驟156確定與憑證相關(guān)聯(lián)的其它信息匹配,則控制從測試步驟156轉(zhuǎn)到步驟162��,變量N被設(shè)定為等于當(dāng)前日期減去與憑證相關(guān)的日期(即自憑證被發(fā)出之后的天數(shù))�。在步驟162之后是步驟164,在步驟152提供的證明值具有單向函數(shù)應(yīng)用到其N次��。在步驟164使用的單向函數(shù)對應(yīng)于在步驟132使用的單向函數(shù)��,如上所述���。
在步驟164之后是測試步驟166�����,其確定在步驟164獲得的結(jié)果是否等于終值FV�����,F(xiàn)V是在步驟154接收的憑證的一部分�。如果是,則控制從測試步驟166轉(zhuǎn)到步驟168��,確認(rèn)單元42提供通過信號�����。否則�����,如果在測試步驟166確定在步驟164獲得的結(jié)果不等于隨步驟154的憑證提供的終值FV�����,則控制從測試步驟166轉(zhuǎn)到步驟172�,確認(rèn)單元42提供失敗信號。在步驟172之后���,處理結(jié)束���。
數(shù)字簽名可提供有效形式的因特網(wǎng)鑒別。與傳統(tǒng)的密碼和PIN不一樣��,數(shù)字簽名可提供到處可驗(yàn)證且不可否認(rèn)權(quán)威的鑒別。數(shù)字簽名可經(jīng)簽署密鑰SK產(chǎn)生并經(jīng)匹配的驗(yàn)證密鑰PK驗(yàn)證��。用戶U對其自己的SK保密(使得只有U可代表U簽署)��。幸運(yùn)的是�����,密鑰PK不會“背叛”相匹配的密鑰SK���,即,知道PK在計(jì)算SK時(shí)并不會給予敵人任何實(shí)際的好處�。因此,用戶U可使其自己的PK盡可能地公開(從而每個(gè)人均可驗(yàn)證U的簽名)�����。為此��,PK最好被稱為公鑰�。注意,術(shù)語“用戶”可表示用戶����、實(shí)體、設(shè)備或用戶、設(shè)備和/或?qū)嶓w的集合���。
公鑰還可用于非對稱加密���。公用的加密鑰PK可與相匹配的解密鑰SK一起產(chǎn)生。再次地��,知道PK不會背叛SK���。任何消息可容易地使用PK加密���,但經(jīng)那樣計(jì)算的密文僅可經(jīng)知道密鑰SK才可容易地解密。因此����,用戶U可使其自己的PK盡可能地公開(使得每個(gè)人均可為U加密消息),但保持SK專用(使得只有U可讀為U加密的消息)����。
公知的RSA系統(tǒng)提供數(shù)字簽名和非對稱加密的例子。
文字?jǐn)?shù)字字符串調(diào)用的證書規(guī)定給定密鑰PK是給定用戶U的公鑰�����。實(shí)體,通常稱為發(fā)證機(jī)構(gòu)(CA)����,產(chǎn)生并發(fā)出證書給用戶。證書在指定時(shí)間后過期�,在公共CA的情況下�,通常為一年。實(shí)際上�����,數(shù)字證書(C)由CA的數(shù)字簽名將幾個(gè)數(shù)值安全綁定在一起組成SN-對證書唯一的序列號����、PK-用戶的公鑰、U-用戶的名稱�、D1-發(fā)行日期、D2-有效期��、及AI-另外的信息(包括沒有信息)�。表示成符號,C=SIGCA(SN��,PK�,U��,D1�,D2����,AI)。
公用的加密鑰還可提供鑒別/識別手段��。例如����,一方知道特定公用加密鑰PK屬于特定用戶U(如因?yàn)樵摲揭羊?yàn)證U的相應(yīng)數(shù)字證書及PK)并渴望識別U,其可使用PK加密隨機(jī)挑戰(zhàn)C�,并要求U以正確的解密應(yīng)答。由于只有SK的處理器(因而U)可做這項(xiàng)工作����,如果對挑戰(zhàn)的應(yīng)答是正確的,U被完全識別����。
可提供系統(tǒng)控制對使用智能門(和/或智能虛擬門,參見本說明書別處的描述)的區(qū)域的物理訪問����。智能門可驗(yàn)證正進(jìn)入的人在當(dāng)前已被授權(quán)進(jìn)入��。向門不僅提供以特定用戶的憑證而且提供以單獨(dú)的證明是有利的��,憑證/用戶在某種程度上依然有效�����,其甚至可由不連通的門安全使用����。在實(shí)施例中����,這樣的證明按下述產(chǎn)生���。假定憑證向門指明用戶可進(jìn)入�����。接著�����,對于每一憑證和每一時(shí)間間隔(如每天)��,適當(dāng)?shù)膶?shí)體E(如決定誰被授權(quán)在任意時(shí)間訪問該門的實(shí)體或?yàn)樵搶?shí)體工作的第二實(shí)體)計(jì)算經(jīng)鑒定的指示(PROOF)��,其為特定憑證在特定時(shí)間間隔是有效的指示�����。(如果憑證沒有確定門用戶被授權(quán)進(jìn)入�,PROOF還可向門指明憑證在特定時(shí)間間隔有效)。
E的PROOF可由E的數(shù)字簽名組成���,其以經(jīng)鑒定的方式指明特定憑證在特定時(shí)間間隔是有效的��,例如SIGE(ID��,Day�����,Valid����,AI)�,其中ID為識別憑證的信息(如憑證的序號),Day為特定時(shí)間間隔的指示(普通的特定天)��,Valid為憑證被視為有效的指示(如果E從未簽署類似的數(shù)據(jù)串該指示可被省略,除非憑證被視為有效)�����,AI指示任何視為有用的額外信息(包括沒有信息)��。在一些情況下��,E的簽名可以是公鑰簽名(但其也可是私鑰簽名����,即,可經(jīng)單一秘密密鑰產(chǎn)生和驗(yàn)證的簽名���,只有簽署者和驗(yàn)證者知道)。如果憑證包括數(shù)字證書�����,一次等實(shí)施例可包括短期證書����,即,對所需時(shí)間間隔重新發(fā)出憑證的數(shù)字簽名(例如�����,數(shù)字證書指明同一公鑰、同一用戶U和一些其它基本信息�,但還指明開始日期和期滿日期以確定想要的、普通的日子)���。例如����,在次等實(shí)施例中�����,普通地讓短期證書持續(xù)一天��,PROOF可采取SIGE(PK����,U,D1���,D2���,AI)的形式��,其中開始日期D1指明特定日子D的開始�����,結(jié)束日期D2指明日子D的相應(yīng)結(jié)束�����,或D1=D2=D�;或者����,更簡單地,使用單日期信息字段確定正被討論的日子����,SIGE(PK,U����,Day�����,AI)。如果E與原始發(fā)證機(jī)構(gòu)相符�,短期證書PROOF可采取下述形式SIGCA(PK,U���,D1�����,D2�����,AI)或SIGCA(PK�����,U����,Day�,AI)。
作為被鑒定的用戶不可產(chǎn)生當(dāng)時(shí)其自身的PROOF(即其自身憑證當(dāng)時(shí)的PROOF)��,也不能將其昨天的PROOF改為今天其自身的PROOF,也不能將另一用戶今天的PROOF改為其自己今天的PROOF��。因?yàn)镻ROOF實(shí)質(zhì)上是非延性且不能變更的��,這些PROOF不必須被保護(hù)�。因而,實(shí)體E可以可忽略的成本使PROOF可用�。例如,E可將特定日子的所有PROOF發(fā)布在因特網(wǎng)上(如使PROOF可經(jīng)Akamai服務(wù)器或類似物獲得)�����,或?qū)ROOF發(fā)送給用戶容易接近的應(yīng)答器/服務(wù)器��。例如����,發(fā)送給位于機(jī)場(或辦公樓)入口的服務(wù)器,許多應(yīng)被恰當(dāng)訪問的門位于那里�����。這樣�����,來工作的雇員可容易地獲得其自己的PROOF(如通過將其自己的卡插入與服務(wù)器連接的讀卡機(jī))并表示將PROOF保存在其自己的卡上����,連同其自己的憑證。這樣�,當(dāng)用戶將其卡呈現(xiàn)給其憑證授權(quán)訪問的門時(shí),門不僅可驗(yàn)證憑證而且可接收和驗(yàn)證當(dāng)前授權(quán)的PROOF���,根本不需連接��。門驗(yàn)證PROOF(如經(jīng)自安裝后可保存的E的公鑰驗(yàn)證E的數(shù)字簽名)及PROOF指明的時(shí)間間隔是否正確(如經(jīng)其自身的本地時(shí)鐘)�����。如果一切正常����,則門準(zhǔn)許訪問���,否則門拒絕訪問�����。實(shí)質(zhì)上����,門可以是不連通的門,其PROOF驗(yàn)證相對容易(因?yàn)殚T可接收大多數(shù)可用方的PROOF真實(shí)用戶要求訪問)和相對安全(盡管門從可論證地大多數(shù)可疑方接收PROOF真實(shí)用戶要求訪問)���。實(shí)際上�����,用戶要求訪問通?��?梢允窃谖锢砩辖咏T,因而可非常容易地提供PROOF�,而不用使用任何連接到遠(yuǎn)處站點(diǎn)的連接,因而可獨(dú)立于門的連通性運(yùn)行���。同時(shí)�����,在至關(guān)緊要的時(shí)刻����,用戶要求訪問可能是最不可信賴的信息源���。但是��,因?yàn)橛脩舨豢梢匀魏畏绞疆a(chǎn)生或改變其自己當(dāng)前有效性的PROOF��,門可注意適當(dāng)驗(yàn)證的PROOF必須由E產(chǎn)生����,且如果E知道用戶在特定時(shí)間間隔將不被授權(quán)則E不應(yīng)產(chǎn)生PROOF����。當(dāng)用戶被停止授權(quán)時(shí),E將停止發(fā)出該用戶授權(quán)的PROOF�,因而用戶不再能進(jìn)入相應(yīng)的門(甚至不連通的門),因?yàn)橛脩魧⑷鄙匍T需要驗(yàn)證以準(zhǔn)許訪問的PROOF����。因此,通過使用用戶要求訪問來證明適當(dāng)及當(dāng)前的授權(quán)�,在此描述的相同免除了與其它系統(tǒng)相關(guān)的不方便,即不需要分派全體人員去對不連通的門重編程序��。
該方法還使人們能夠按“角色”(或按“特權(quán)”)管理不連通的門的訪問���。即����,不使用憑證指定用戶被授權(quán)進(jìn)入的門并接著如每天發(fā)出憑證當(dāng)前有效性的PROOF(也不是發(fā)出指明特定憑證授權(quán)其用戶在特定時(shí)間間隔進(jìn)入某些門的PROOF),不連通的門可被編程(如在安裝時(shí))以僅準(zhǔn)予具有特定角色的用戶進(jìn)入����。例如,飛機(jī)的駕駛員座艙門可被編程以僅準(zhǔn)予飛行員(PILOT)和檢查員進(jìn)入�����。憑證可被發(fā)給雇員以主要保證他們的身份(這不會變)����,同時(shí)E如每天對特定憑證發(fā)出的每一PROOF還可指定(如在AI字段中)其相應(yīng)用戶在那天的角色。例如���,PROOF=SIGE(ID��,Day����,PILOT����,AI)證明在那天對應(yīng)于ID所確定的憑證的用戶為飛行員����。這樣�,雇員可從一個(gè)角色“轉(zhuǎn)換”為下一角色,而不用為他們重新發(fā)出憑證����,且不需要在用戶憑證或其相應(yīng)的每日PROOF內(nèi)指明用戶可在那天進(jìn)入哪些門�。應(yīng)注意,這樣的門的數(shù)量可以非常大����。因而,在用戶憑證內(nèi)指明用戶被準(zhǔn)予進(jìn)入的所有門是非常麻煩的�����。此外�����,如果增加新的門(例如因?yàn)橘徺I了新飛機(jī))����,則飛行員的憑證不得不重新發(fā)出以指定額外的門�,這也非常麻煩���。
適于特定憑證的時(shí)間間隔可在憑證本身內(nèi)指定�����,或可由憑證和PROOF一起指定��。例如���,憑證可指定特定的開始日期且其需要被每天證明有效,而PROOF可指定時(shí)間間隔244,其意味著PROOF指憑證中指定的開始日期之后的日子244。
在此描述的系統(tǒng)相對于更昂貴的連通門系統(tǒng)也是有利的�。例如,假設(shè)所有門均被安全地連接到中央數(shù)據(jù)庫,及假設(shè)發(fā)生突然斷電(如由于陰謀破壞)。則連通門可能被迫使在兩個(gè)極端選擇之間選擇一直打開(有利于安全但不利于保密,特別是在恐怖分子導(dǎo)致斷電的情況下)及一直關(guān)閉(不利于安全但有利于保密)��。通過對比�����,在突然斷電的情況下�����,在此描述的系統(tǒng)提供更靈活的反應(yīng)���,一些(不再)連通的門可保持一直關(guān)閉�����,而其它門一直打開�,且其它門還可繼續(xù)按在此描述的不連通門訪問控制進(jìn)行運(yùn)行����。即��,只要正確的憑證和正確的PROOF被呈現(xiàn)�,則依賴于電池的門可打開。實(shí)際上���,在斷電發(fā)生之前��,所有雇員可能已正常接收他們的預(yù)期PROOF��。
當(dāng)然����,實(shí)體E可產(chǎn)生對不同憑證指定不同時(shí)間間隔的PROOF。例如�,在機(jī)場設(shè)施中,警員和應(yīng)急人員可每天具有指定下兩周作為相應(yīng)時(shí)間間隔的PROOF�����,而所有正常的雇員可具有僅指定所述日子的每日PROOF�。在長期及意外斷電的情況下,這樣的系統(tǒng)可提供更好的控制���。如果發(fā)生那樣的斷電����,PROOF的每日慣常分配可能被中斷����,一般雇員可能未接收他們的每日PROOF,但警察和緊急事件處理人員依然可在他們的卡中輸入他們在頭天接收的兩周證明���,因而可繼續(xù)在他們被準(zhǔn)予進(jìn)入的所有門(如所有門)處起作用�。
應(yīng)意識到的是�����,在此描述的方法包含使用由簡化形式的證書構(gòu)成的憑證,其可被稱為最小證書�����。最小證書實(shí)質(zhì)上可省略用戶名和/或證書的標(biāo)識符ID(或用證書的公鑰代替用戶名和/或標(biāo)識符ID�,每一證書的公鑰是唯一的)。例如�����,最小證書憑證可采取C=SIGCA(PK�����,D1�����,D2�,AI)的形式�����,應(yīng)理解該憑證的正確呈現(xiàn)包括證明對應(yīng)于PK的秘密密鑰SK的知識(如通過挑戰(zhàn)-應(yīng)答方法)。門預(yù)先知道關(guān)于PK的憑證的正確呈現(xiàn)(首選地�,如果當(dāng)前被確認(rèn))是否應(yīng)導(dǎo)致準(zhǔn)予進(jìn)入?�;蛘?���,最小憑證C可指定(如在AI中)知道相應(yīng)SK的用戶是否有權(quán)進(jìn)入特定的門。如果理解任何類似的簽名通過暗示表明有效性����,關(guān)于其公鑰為PK的最小證書的PROOF可以是下述形式SIGE(ID,Day�,Valid,AI)或SIGE(PK�����,Day�����,Valid��,AI)或SIGE(ID���,Day��,AI)����。或者�����,最小證書的當(dāng)前PROOF可采取重新發(fā)出最小短期證書的形式如���,SIGE(PK���,D1,D2�,AI),其中開始日期D1指特定日子D的開始��,D2相應(yīng)為日子D的結(jié)束����,或D1=D2=D���;或者����,SIGE(PK,Day��,AI)�;或者,讓E與最初發(fā)證機(jī)構(gòu)一致���,SIGCA(PK���,D1,D2�����,AI)or SIGCA(PK����,Day,AI)�����。總之��,在此描述的任何致力于證書的方法均應(yīng)被理解為也可應(yīng)用最小證書�����。
智能門可驗(yàn)證用戶的憑證的有效性和流通�,憑證可伴隨相應(yīng)的證明。用戶使用憑證/證明以獲得對區(qū)域的訪問類似于在控制電子設(shè)備的訪問時(shí)使用憑證/證明���,如本說明書別處所述���。下述為憑證/證明的例子,其中部分可與其它結(jié)合1����、PIN或密碼,在與門相關(guān)聯(lián)的鍵座輸入或通過用戶卡通信給門�;2、生物測定信息��,由用戶經(jīng)與門相關(guān)聯(lián)的特殊輸入機(jī)提供�;3、傳統(tǒng)(手寫)簽名,由用戶經(jīng)與門相關(guān)聯(lián)的特殊簽名簙提供�����;4���、用于公鑰PK的數(shù)字證書(如,這樣的憑證可被保存在用戶卡中�����,正確的用戶/卡可使用相應(yīng)的秘密密鑰SK鑒定/識別其對于門的身份—如經(jīng)挑戰(zhàn)應(yīng)答協(xié)議)�。例如,如果PK是簽名公鑰��,門可要求已簽署特定的消息�,且正確的用戶—唯一知道相應(yīng)秘密簽署密鑰SK的人—可提供正確的被請求的簽名;如果PK是公開的加密密鑰�,門可請求使特定挑戰(zhàn)加密密文被解密,這可由知道相應(yīng)秘密解密密鑰SK的正確用戶完成�����。
5�����、包括每日“確認(rèn)值”(其確保證書在該特定日期有效)的增強(qiáng)數(shù)字證書,保存在用戶卡中并通信給門����;6、確認(rèn)用戶的證書在當(dāng)前時(shí)間有效的中央機(jī)構(gòu)的數(shù)字簽名���,其提供服務(wù)器或應(yīng)答器通信給門��;7�、保存在用戶卡中并通信給門的數(shù)字證書及通過服務(wù)器或應(yīng)答器通信給門的每日“確認(rèn)值”�����;8���、保存在用戶卡中的秘密�����,其知識由門具有的交互(可能零知識)協(xié)議向門證明���;9、機(jī)構(gòu)的秘密密鑰簽名,保存在用戶卡中�����,其指示用戶被授權(quán)在特定日子進(jìn)入�。
因而�����,在一些情況下��,憑證/證明被作為一體提供�,而在其它情況下,憑證/證明以分開部分的形式提供憑證及分開的證明�����。例如�,在憑證/證明由包括指示證書在該特定日期有效的每日確認(rèn)值的增強(qiáng)數(shù)字證書構(gòu)成且與用戶相關(guān)聯(lián)并被通信給門時(shí),憑證(增強(qiáng)的數(shù)字證書)可獨(dú)立于證明(每日確認(rèn)值)提供(通過不同的手段和/或在不同的時(shí)間)�。類似地,憑證和證明可均由同一機(jī)構(gòu)產(chǎn)生或由不同的機(jī)構(gòu)產(chǎn)生�����。
參考圖7,其示出了包括區(qū)域202的系統(tǒng)200�����,其中對區(qū)域202的物理訪問將被限制��。區(qū)域202由多個(gè)墻204-207封閉��。墻207具有門212����,以提供區(qū)域202的出口。在其它實(shí)施例中���,可使用一扇以上的門����。墻204-207及門212提供區(qū)域202的訪問障礙�����。門212可使用電子鎖214鎖上�����,其防止門212打開,直到電子鎖214接收適當(dāng)?shù)男盘枮橹?���。電子鎖214可使用提供在此描述的功能的任何適當(dāng)元件實(shí)施,包括但不限于使用不用定制的電子鎖�����。
電子鎖214可被連接到控制器216���,其提供適當(dāng)信號給電子鎖214以允許門212被打開。在一些實(shí)施例中��,電子鎖214及控制器216可被提供在單一裝置中�。控制器216可被連接到輸入裝置218��,其可接收用戶的憑證���,可選地����,還接收指明用戶在當(dāng)前被準(zhǔn)予進(jìn)入?yún)^(qū)域202的相應(yīng)證明���。輸入裝置218還可接收緊急合法性取消警報(bào)(HRA)���,其表明用戶不再被允許進(jìn)入?yún)^(qū)域202��。HRA將在下文中詳細(xì)描述�����。輸入裝置218可以是任何適當(dāng)?shù)妮斎朐O(shè)備如鍵座���、讀卡機(jī)、生物測定裝置等�。
可選地,控制器216可具有外部連接222�,其可用于將數(shù)據(jù)傳輸?shù)娇刂破?16或從控制器216傳輸數(shù)據(jù)。外部連接222可以是保密的�,盡管在一些實(shí)施例中外部連接222不需要保密。此外�,外部連接222可能不需要,因?yàn)樵诖嗣枋龅墓δ芸赡苁褂貌痪哂型獠窟B接的獨(dú)立裝置提供���。在提供外部連接222的例子中��,外部連接222可用于傳輸憑證��、證明�����、HRA和/或用于聯(lián)機(jī)對區(qū)域202的訪問���。聯(lián)機(jī)訪問將在本說明別處詳細(xì)描述��。應(yīng)注意���,外部連接222可以是斷續(xù)連接,使得���,例如,在某些時(shí)間外部連接222提供對控制器216的連通性���,而在其它時(shí)間控制器216沒有外部連接�����。在一些情況下��,外部連接222可用于傳輸一部分憑證/證明(如PKI數(shù)字證書)���,而用戶向輸入裝置218呈現(xiàn)憑證/證明的剩余部分(如連同數(shù)字證書使用的每日確認(rèn)值)�。
在一些實(shí)施例中�����,用戶可將卡224呈現(xiàn)給輸入裝置����。如本說明書別處所述,卡224可以是提供數(shù)據(jù)(如憑證/證明)給輸入裝置218的智能卡����、PDA等?��??24可從應(yīng)答器226獲得部分或所有數(shù)據(jù)�。在其它例子中�,卡224可從其它卡(未示出)、輸入裝置218(或與訪問區(qū)域202相關(guān)聯(lián)的一些其它機(jī)構(gòu))�����、或一些其它適當(dāng)源獲得數(shù)據(jù)�。
在第一例子中����,憑證和證明可使用具有物理保護(hù)的pin/口令進(jìn)行維護(hù)���。在該例子中���,每天早上服務(wù)器為每一經(jīng)授權(quán)的用戶U產(chǎn)生新的秘密口令SU并將新的SU通信給U被允許訪問的具體的門。通信可使用非保密線路加密發(fā)送或可經(jīng)一些其它保密手段傳輸給門����。當(dāng)U在早上來上班時(shí),中央服務(wù)器使U的卡接收當(dāng)前秘密口令SU���。秘密口令SU被保存在卡的安全存儲器中��,其僅可在卡被適當(dāng)授權(quán)時(shí)才被讀(如通過用戶輸入與卡有關(guān)的秘密PIN或通過與服務(wù)器或門上的受托硬件連接)。無論用戶試圖在何時(shí)進(jìn)入門����,卡均安全地將SU通信給門。門接著檢查從卡接收的值SU是否與早上從服務(wù)器接收的值匹配����,如果是�,則允許進(jìn)入�����。
因而��,SU為當(dāng)天的用戶憑證�。該系統(tǒng)優(yōu)點(diǎn)在于每一憑證僅具有有限的持續(xù)時(shí)間如果雇員被終止雇用關(guān)系或其卡被偷竊,其憑證在第二天將沒有用�����。然而��,系統(tǒng)要求某些連通至少需要短期連通(最好每天早上)以更新門�����。該傳輸應(yīng)被保密(如物理上或使用密碼)���。
在另一例子中�����,用戶憑證包括秘密密鑰簽名����。該例子使用簽名,或公鑰簽名(如RSA簽名)或秘密密鑰簽名(如報(bào)文鑒定代碼或MAC)����。例如,訪問控制服務(wù)器使用秘密密鑰SK產(chǎn)生簽名�,門具有驗(yàn)證這樣的簽名的手段(如經(jīng)相應(yīng)的公鑰或通過共享同一SK的知識)。當(dāng)用戶U在日子D的早上來上班工作時(shí)����,服務(wù)器使用戶卡接收簽名Sig,其鑒定U的辨識信息(如唯一卡號���、或U的秘密口令�、或生物測定信息如U的指紋)及日期D��。當(dāng)U試圖進(jìn)入門時(shí)��,卡將簽名Sig通信給門�����,其驗(yàn)證Sig的有效性甚至U提供的辨識信息���、及門鎖提供的日期����。如果所有均正確��,則門允許進(jìn)入�����。
在該技術(shù)中�,簽名Sig可被當(dāng)作用戶的憑證連同證明。該方法具有其自身的優(yōu)點(diǎn)卡不需要保存秘密�����,門不需要保持到中央服務(wù)器的安全連接����,也沒有很長的有效憑證列表。
在另一例子中����,用戶的憑證包括具有類似于圖5的流程圖120產(chǎn)生的那些散列鏈有效性證明的數(shù)字證書。該例子使用公鑰簽名及單向散列函數(shù)H(實(shí)現(xiàn)特殊類型的數(shù)字簽名)。中央機(jī)構(gòu)具有密鑰對公鑰PK(為門所知道)和通常不被知道的秘密密鑰SK�����。對于用戶U�,機(jī)構(gòu)產(chǎn)生隨機(jī)秘密值X0并計(jì)算值X1=H(X0)、X2=H(X1)�����、...����、X365=H(X364)。因?yàn)镠是單向散列函數(shù)�,X的每一值不能從X的下一值計(jì)算。機(jī)構(gòu)向U發(fā)出數(shù)字證書Cert���,使用SK簽署并包含值X365�����,對一年有效����。接下來,當(dāng)U在日子i來上班工作時(shí)���,機(jī)構(gòu)使用戶卡接收該天的確認(rèn)值Xj,其中j=365-i��。當(dāng)U試圖進(jìn)入門時(shí)��,卡將確認(rèn)值Xj和包含X365的證書Cert通信給門�����。門用機(jī)構(gòu)的公鑰PK驗(yàn)證Cert的有效性并還檢查向Xj應(yīng)用i次H是否產(chǎn)生X365�����。應(yīng)注意����,“一年”和365可用任何其它時(shí)間周期代替。
因而��,用戶的證書Cert及確認(rèn)值Xj組成用戶的憑證/證明��。該系統(tǒng)具有許多優(yōu)點(diǎn)門及卡均不需要保存任何秘密��;門不需要具有任何安全連接;證書可一年發(fā)出一次���,且其后中央機(jī)構(gòu)上的每日計(jì)算負(fù)載最小(因?yàn)闄C(jī)構(gòu)只需要檢索Xj)�;每日確認(rèn)值可由非保密(便宜)布置的應(yīng)答器提供����,因?yàn)樗鼈儾恍枰[秘。
用戶U的憑證/證明的持續(xù)時(shí)間通常被限制��,這在許多情況下是有用的�。例如,如果U是機(jī)場的雇員并被終止雇用關(guān)系�����,其憑證/證明可在該天結(jié)束時(shí)過期��,其不再能夠進(jìn)入機(jī)場的門��。為更精確的訪問控制��,可能希望具有更短持續(xù)時(shí)間的憑證����。例如����,如果U的憑證/證明包括小時(shí)和分鐘及日期���,則U可在被終止雇用關(guān)系后一分鐘內(nèi)被鎖在機(jī)場的外面。然而�,較短持續(xù)時(shí)間的憑證/證明要求更頻繁的更新,這增加了系統(tǒng)的花費(fèi)��。因而�,在希望具有短期憑證和具有低成本系統(tǒng)之間存在固有平衡,這可導(dǎo)致憑證的持續(xù)時(shí)間有時(shí)較所希望的長����。例如,U可能需要立刻在機(jī)場的外面�����,但其憑證直到午夜才過期���。因此���,希望能夠立即撤消尚未過期的憑證��。
應(yīng)注意����,如果憑證/證明一直被保存在安全數(shù)據(jù)庫中���,每次請求訪問時(shí)門均查詢數(shù)據(jù)庫���,則可通過從數(shù)據(jù)庫中移除被取消的憑證/證明而相當(dāng)直接地取消憑證/證明。然而��,使門每次查詢安全數(shù)據(jù)庫花費(fèi)昂貴���。首先��,因?yàn)檫@增加了事務(wù)處理的很大延遲����,由于用戶想立刻進(jìn)入門���,但他必須等待查詢被適當(dāng)?shù)赝瓿?���。第二,因?yàn)樵撏ㄐ攀走x是在安全通道上進(jìn)行����,這可輕松地就每門花掉$4,000(或更多)或在某些情況下根本達(dá)不到(如飛機(jī)或貨物集裝箱的門)。第三�,因?yàn)閱我话踩珨?shù)據(jù)庫僅可處理有限的查詢負(fù)載,且復(fù)制安全數(shù)據(jù)庫本身非常昂貴和耗時(shí)(例如�,因?yàn)楸3謹(jǐn)?shù)據(jù)庫安全的花費(fèi)必定翻倍且保持這些拷貝同步的努力也必定增加)。因此�,與全流通的方法不一樣�,不連通或斷續(xù)連通方法(如上述例子)要求更少的通信且通常將憑證/證明保存在非保密的應(yīng)答器或卡上。在這種情況下���,簡單地從數(shù)據(jù)庫移除憑證/證明并不足夠����。再次參考上述例子���,口令SU或機(jī)構(gòu)簽名或確認(rèn)值Xj由于某種原因不得不被從用戶卡或門刪除�����。此外���,即使這樣的刪除也不總是保證憑證的取消�,因?yàn)楸4嬖跓o保證的應(yīng)答器中的憑證可為任何人獲得���,包括惡意攻擊者����,其將憑證保存并在憑證從用戶卡刪除之后試圖使用該憑證�。因而,即使具有有限持續(xù)時(shí)間憑證的效能成本合算解決方案存在����,這些解決方案本身沒有必要提供未過期憑證/證明的充分取消。
取消憑證/證明可使用緊急合法性取消警報(bào)(HRA)執(zhí)行��,其是傳輸給門的數(shù)據(jù)段(最好是經(jīng)鑒定的)��,其將阻止門授權(quán)具有取消的(盡管可能未過期)憑證/證明的用戶訪問���。例如�����,HRA可由數(shù)字簽署的消息組成�,其指明特定憑證/指明已被取消。然而�,應(yīng)注意,在安全連通的門的情況下�,只沿受保護(hù)的連接發(fā)送HRA可能并不足夠。然而���,如上所述�,在一些情況下安全連通的門非常昂貴���,而在其它情況下則不可能(或幾乎接近于不可能)使用那樣的門����。
如果HRA被鑒定是有用的�,從而HRA被呈現(xiàn)給其的實(shí)體可相對確定HRA是真實(shí)的���。讓ID作為被取消的憑證/證明C的標(biāo)識符(具體地���,ID可與C本身一致),則SIG(ID���,″REVOKED″�����,AI)可以是HRA���,其中“REVOKED”代表任何方式的C已被取消的信令(″REVOKED″可能是空串��,如果憑證/證明被取消的事實(shí)可通過其它手段推斷—如全系統(tǒng)約定除了取消的情況�����,這樣的簽署的消息未被發(fā)送)�,及AI代表任何額外的信息(可能是日期信息—如當(dāng)憑證/證明已被取消時(shí)的時(shí)間和/或HRA被產(chǎn)生時(shí)的時(shí)間或沒有信息)����。具體地,數(shù)字簽名SIG可以是公鑰簽名���、秘密密鑰數(shù)字簽名�����、或報(bào)文鑒定代碼���。通過適當(dāng)?shù)丶用苄畔⒍l(fā)出經(jīng)鑒定的HRA也是可能的���。例如,經(jīng)鑒定的HRA可采取ENC(ID����,″REVOKED″,AI)的形式��。
經(jīng)鑒定的HRA的另一值得注意的例子在美國專利5,666,416中描述����,其通過引用組合于此。發(fā)出機(jī)構(gòu)將憑證/證明C組合到對C唯一的(數(shù)字簽名方案的)公鑰PK中��,從而關(guān)于PK的數(shù)字簽名指明C被取消��。在這樣的方案的特殊實(shí)施例中�,PK可由值Y1組成�,其計(jì)算為Y1=H(Y0),其中H為(最好散列)單向函數(shù)�,Y0為秘密值。當(dāng)憑證/證明C被取消時(shí)�����,僅由Y0組成的HRA被發(fā)出。這樣的HRA可通過散列Y0并檢查結(jié)果是否與屬于憑證/證明C的值Y1匹配而進(jìn)行驗(yàn)證�����。
應(yīng)注意�,簽名可能不被要求用于HRA。例如���,在安全連通門的情況下����,僅沿受保護(hù)的連接發(fā)送(ID����,″REVOKED″,AI)足以作為HRA�����。然而�����,經(jīng)鑒定的HRA的優(yōu)點(diǎn)在于HRA本身不必是秘密的。經(jīng)鑒定的HRA��,一旦被適當(dāng)?shù)臋C(jī)構(gòu)鑒定��,可被保存在一個(gè)以上(可能在地理上分散)的應(yīng)答器上�。此外,這些應(yīng)答器可以無保護(hù)(與發(fā)出機(jī)構(gòu)不一樣)����,因?yàn)樗鼈儧]有保存秘密信息。通過復(fù)制多個(gè)無保護(hù)應(yīng)答器可以較低的成本提供更高的可靠性����。美國專利5,666,416的經(jīng)鑒定的HRA例子的一些其它優(yōu)點(diǎn)為(1)HRA相當(dāng)短(能夠?yàn)?0字節(jié)那樣短);(2)相當(dāng)容易計(jì)算(簡單地��,先前保存的Y0的查表)���;及(3)相當(dāng)容易驗(yàn)證(只應(yīng)用一次單向散列函數(shù))��。
經(jīng)鑒定的HRA特別有利于有效的廣泛傳播�,如下面進(jìn)一步描述的那樣����。當(dāng)HRA通過接近門的多個(gè)點(diǎn)傳輸時(shí),可能有多種可能將不正確的HRA插入系統(tǒng)中�。實(shí)際上,由門接收的HRA不直接通過或來自經(jīng)安全連接的發(fā)行人只不過是特定憑證取消的純粹未經(jīng)證實(shí)的信息����。然而,如果HRA被鑒定�����,該未經(jīng)證實(shí)的信息可容易地由門確認(rèn)����,這可驗(yàn)證其可靠性。
總之�����,HRA對單一憑證/證明可以是明確的或可提供關(guān)于多個(gè)憑證/證明的取消信息�����。例如����,如果ID1��,…�����,IDk為被取消的憑證的標(biāo)識符�����,HRA可由單一數(shù)字簽名SIG(ID1���,...,IDk�����;″REVOKED″�����;AI)組成�。考慮門保存信息的情況�����,所述信息確定憑證/證明有權(quán)進(jìn)入門。如果這樣的門接收指明一個(gè)或多個(gè)憑證/證明被取消的HRA�����,門不需要保存HRA�����。門從其存儲器刪除所確定的憑證/證明就足夠了(或以某種方式將它們標(biāo)記為″REVOKED″)���。接著,如果具有取消的憑證/證明的用戶試圖訪問��,門將不允許訪問���,因?yàn)樗尸F(xiàn)的憑證/證明當(dāng)前未被保存在門中�,或如果保存在其中���,但已被標(biāo)記為″REVOKED″���。
現(xiàn)在考慮門不保存確定所有允許的憑證/證明的信息,而是當(dāng)呈現(xiàn)時(shí)驗(yàn)證憑證/證明是否被允許���。當(dāng)用戶向這樣的門呈現(xiàn)憑證/證明時(shí)����,門可首先驗(yàn)證憑證/證明是否有效,不管HRA���。(例如���,如果憑證/證明包括數(shù)字簽名,則門驗(yàn)證簽名����。此外,如果憑證/證明包括期滿時(shí)間��,門還可驗(yàn)證憑證/證明未到期�����,如使用內(nèi)部時(shí)鐘���。)但即使通過所有檢查����,如果憑證/證明被指示為已由HRA取消,門依然可拒絕訪問���。因此�,如果這樣的門具有關(guān)于相應(yīng)HRA的信息則是有幫助的�����。實(shí)現(xiàn)此的一種辦法是門保存所有呈現(xiàn)給其的HRA�。另一方面���,在一些情況下�,這可能不切實(shí)際����。考慮許多憑證/證明可用于通過門的系統(tǒng)�。例如,運(yùn)輸部門正設(shè)想規(guī)模為10,000,000憑證的系統(tǒng)以用于曾經(jīng)被允許訪問特定門的各種個(gè)體(包括飛行員����、機(jī)場維護(hù)人員、航線雇員、機(jī)師����、搬運(yùn)工、經(jīng)理人��、卡車司機(jī)����、警察等)。謹(jǐn)慎估計(jì)每年10%的取消率���,則到年末門可保存有1,000,000HRA���,這是花費(fèi)非常昂貴的任務(wù)(如果可行的話)。此外��,如果HRA的數(shù)量不能夠被預(yù)先準(zhǔn)確確定���,系統(tǒng)的設(shè)計(jì)者不得不過高估計(jì)用于HRA的存儲器容量以求保險(xiǎn)�,并在門內(nèi)建立更多的存儲容量(以更高的成本)�。
該問題可借助于可刪除HRA而得以解決。這意味著使HRA指明時(shí)間分量����,其指定HRA在何時(shí)可被安全地從存儲器上刪除�����。例如����,在憑證/指明持續(xù)時(shí)間有限的系統(tǒng)中�����,這可通過下述步驟實(shí)現(xiàn)(1)使憑證/證明包括期滿時(shí)間�����,在期滿時(shí)間之后���,憑證/證明應(yīng)不被門接受為有效的訪問憑證/證明;(2)使取消憑證/證明的HRA包括期滿時(shí)間���;及(3)在期滿時(shí)間之后���,使門從其存儲器刪除取消憑證/證明的HRA。例如,憑證/證明的期滿時(shí)間可以是憑證/證明過期的時(shí)間(及期滿時(shí)間可明確地包括在憑證/證明內(nèi)并被鑒定或其可由全系統(tǒng)約定暗示)���。在期滿時(shí)間之后刪除該HRA不會損害安全性����。實(shí)際上����,如果門沒有保存取消特定憑證/證明的HRA,可能因?yàn)殚T已在期滿后將HRA從存儲器中刪除�����,則過期憑證/證明將被門拒絕訪問��。
應(yīng)注意���,在期滿時(shí)間可能在HRA中暗示或間接指明的情況下�����,上面的步驟(2)是可選步驟���。例如���,HRA具有SIG(C,″REVOKED″���,AI)的形式�,憑證/證明可包括其自己的期滿日期��。此外��,由于可刪除HRA還可使用根本不指明被取消憑證的期滿時(shí)間的HRA進(jìn)行實(shí)施����,上面的步驟(1)是可選步驟。例如����,如果特定系統(tǒng)中的所有憑證均至多在一天有效����,則所有HRA可在被保存一天后擦除(更一般地,如果憑證/證明的最大壽命可以某種方式推斷����,則相應(yīng)的HRA可在被保存前述時(shí)間量之后被擦除)�����。至于另一例子���,當(dāng)被呈現(xiàn)具有特定期滿時(shí)間的憑證/證明時(shí),門可尋找取消憑證的HRA��。如果存在且期滿時(shí)間已過����,則門可安全地刪除HRA。否則���,門可保存與所保存的HRA有關(guān)的期滿時(shí)間����,并在該時(shí)間之后刪除HRA���。
門可在HRA過期之后以多種方式將它們刪除�。在一些情況下���,HRA刪除可通過基于期滿時(shí)間維護(hù)HRA的數(shù)據(jù)結(jié)構(gòu)(如優(yōu)先隊(duì)列)而有效地實(shí)現(xiàn)�����?�;蛘?�,門可定期查看存儲器中的所有HRA并清除不再需要的HRA����。作為另一選擇,當(dāng)遭遇HRA時(shí)���,如果門意識到HRA不再有關(guān)���,則門可刪除HRA。例如�,HRA可被保存在列表中,憑證每次被呈現(xiàn)以進(jìn)行驗(yàn)證時(shí)均要檢查該列表�。無論在何時(shí)在該列表中遇到過期HRA,過期HRA可被刪除����。作為另一選擇�,當(dāng)存儲器需要被釋放時(shí)(或許用于其它HRA)����,門僅按需刪除HRA��。
可刪除HRA可大大降低門所需要的存儲容量��。使用上述10,000,000用戶及10%每年取消率的例子����,如果HRA過期并被刪除,則平均每天只有2,740(而不是1,000,000)個(gè)HRA需要被保存��。該降低的存儲容量要求是可刪除HRA的最大潛在優(yōu)勢�。
HRA可為門盡可能快地獲得是有用的,以將不再可接受的憑證/證明通知給門����。這是不連通門存在的問題,但也可是全連通的門存在的問題�。當(dāng)然,當(dāng)HRA被發(fā)出時(shí)��,全連通的門可在門的連接上發(fā)送HRA����。然而�����,該傳輸可能被堅(jiān)決的敵人阻止或干擾(例如��,如果到門的連接通過加密手段保密���,則敵人僅可切斷導(dǎo)線或改變/過濾行進(jìn)的信號。如果到連接的門通過使導(dǎo)線在鋼管中而進(jìn)行保護(hù)���,則這樣的干擾和阻止可能更難����,但也不是不可能)�。這樣的惡意HRA干擾和阻止對斷續(xù)(如無線)連通的門可更容易地實(shí)施。
為使敵人更難阻止門接收HRA�����,HRA可由被取消的卡本身攜帶���。例如�����,當(dāng)卡與數(shù)據(jù)庫或連通的門(或知道相應(yīng)HRA的任何門)通信時(shí)����,門可將HRA發(fā)送給卡����,卡可保存HRA。具體地�����,這可在不向用戶進(jìn)行任何指示的情形下完成��,以保護(hù)HRA免遭希望纂改卡并刪除HRA的用戶的損害�����。如果卡攜帶防止纂改硬件部件或不容易被用戶讀/刪除的數(shù)據(jù)(如加密數(shù)據(jù))�����,則該方法更有效�。當(dāng)卡在隨后被使用以試圖進(jìn)入任何(甚至全不連通的)門時(shí),卡可將其HRA通信給門,基于適當(dāng)?shù)尿?yàn)證����,卡可拒絕訪問(及在某些情況下,保存HRA)����。
HRA可在無線通道上(如經(jīng)尋呼機(jī)或移動網(wǎng)絡(luò)或經(jīng)人造衛(wèi)星)發(fā)送給卡。即使卡僅具有有限的通信能力��,這也可被完成�,例如通過將無線發(fā)射機(jī)放置在每一用戶可能經(jīng)過的地方。例如�����,在建筑物中�����,這樣的發(fā)射機(jī)可被放置在每一建筑物入口����,以在卡的用戶無論于何時(shí)進(jìn)入建筑物時(shí)為每一卡提供接收傳輸?shù)臋C(jī)會?����;蛘撸l(fā)射機(jī)可被放置在停車場的入口等�����。
為防止懷惡意的用戶阻止傳輸(例如�����,通過將卡包裹在傳輸信號難以滲透的材料中)�����,實(shí)際上���,卡可要求其接收定期傳輸以能完全起作用。例如���,卡可每5分鐘期待一信號以使其時(shí)鐘與系統(tǒng)時(shí)鐘同步�,或可期望接收另一定期(最好數(shù)字簽署的)信號����,如GPS信號��,或近期望適當(dāng)頻率的適當(dāng)噪聲�。如果這樣的信號未在合理的時(shí)間間隔內(nèi)接收到�,卡可“封鎖”并簡單地拒絕與任何門通信,這使其本身不適于訪問�����。應(yīng)注意���,較簡單地將所有HRA傳播給所有卡�,這樣的系統(tǒng)可能更經(jīng)濟(jì)和更方便�����,因?yàn)镠RA為不斷改變的消息���。因而����,將HRA傳播給所有卡可能要求建造特殊目的的人造衛(wèi)星或定制已經(jīng)存在的人造衛(wèi)星����。上述方法代替利用已經(jīng)可用的廣泛傳輸?shù)男盘柌惭b本地發(fā)射機(jī)用于常規(guī)消息��。
或者���,如果安全策略要求用戶可見地穿戴卡如安全徽章或在適當(dāng)?shù)胤?在傳輸范圍內(nèi))將卡呈現(xiàn)給防護(hù)裝置,則可防止用戶進(jìn)行阻止向卡傳輸?shù)男袨?�。用于傳播特定?憑證/證明的HRA的其它技術(shù)包括使用其它卡將HRA傳送給門����。在該技術(shù)中�����,卡1可(例如當(dāng)獲得其自己的每日憑證/證明時(shí)���,或無線方式或當(dāng)與連通的門通信時(shí)或在進(jìn)行任何類型的連接時(shí))接收HRA�����、HRA2��、取消與不同的卡即卡2相關(guān)聯(lián)的憑證/證明�����?����??接著可保存HRA2并將HRA2通信給門�,門接著還保存HRA2。實(shí)際上����,卡1可向多個(gè)門提供,例如提供給所有門或卡2在特定時(shí)間段(如全天)訪問或通信的所有不連通的門�。這里,可由卡1到達(dá)的任何門(即使不連通)能夠拒絕包含取消的憑證/證明的卡2的持有人進(jìn)入�����。優(yōu)選地��,HRA2是數(shù)字簽署或自鑒定的�,且可由卡1到達(dá)的任何門檢查HRA2的可靠性以防止假HRA的惡意傳播。
這可通過使卡1到達(dá)的門將學(xué)得的HRA2通信給另一卡即卡3而得以增強(qiáng)�,卡3隨后訪問門或與門通信。這是有用的����,因?yàn)榭?可到達(dá)卡1將不到達(dá)或?qū)⒃诳?之后到達(dá)的門���。通過使這些另外到達(dá)的門與其它卡通信,該過程可繼續(xù)�。此外,某些門即使不全連接到中央數(shù)據(jù)庫�,也可具有相互之間的連接。因而��,這樣的門可類似地交換可用HRA��。如果卡具有相互通信能力—例如當(dāng)接近時(shí)—它們也可交換關(guān)于它們保存的HRA的信息�。
應(yīng)注意,經(jīng)鑒定的HRA對在此描述的HRA傳播技術(shù)特別有利��。事實(shí)上����,通過多個(gè)媒介(卡及門)發(fā)送HRA可能提供多個(gè)故障點(diǎn)�,其中HRA可能被對手修改或假HRA可被對手注入。在某種意義上�����,未經(jīng)鑒定的HRA在它們到達(dá)門時(shí)可能已變成純粹的未經(jīng)證實(shí)的信息�����。另一方面,經(jīng)鑒定的HRA��,無論它們怎樣到達(dá)門��,均可被保證是正確的����。
在不大大考慮資源的情況下,所有HRA可以這種方式進(jìn)行保存和傳播����。采用一些優(yōu)化也是可能的。例如�����,卡可像門那樣管理HRA存儲��,并將過期的HRA刪除以釋放內(nèi)在的卡存儲空間并防止與其它門進(jìn)行不必要的通信�����。在這樣的系統(tǒng)內(nèi)使存儲通信和最小是有用的,因?yàn)?���,即使未過期但取消的憑證的數(shù)量不多,但可能某些部件(如一些卡或門)沒有足夠的存儲器或帶寬來處理所有未過期的HRA��。
使存儲和通信最小的另一可能包括選擇哪些HRA將經(jīng)哪些卡進(jìn)行傳播����。例如,HRA可與優(yōu)先級信息一起提供��,其表明盡可能快地分散關(guān)于特定憑證/證明的知識的相對重要性���。例如�,一些HRA可被標(biāo)記為“緊急”�����,而其它可被標(biāo)記為“常規(guī)”(優(yōu)先等級可以盡可能地精確或近似)����。具有有限帶寬或存儲器的設(shè)備可記錄并交換關(guān)于較高優(yōu)先級HRA的信息�����,且只要資源允許,可專心于較低優(yōu)先級HRA�。作為另一例子,阻止卡訪問特定門的HRA可經(jīng)更可能快到達(dá)該門的卡(如其憑證使能在該門附近訪問該門的卡)進(jìn)行傳播��。事實(shí)上���,卡及門可從事于建立哪一HRA接受存儲和/或另外傳播的目標(biāo)�����?;蛘?,HRA或保存它們的卡可在某種程度上進(jìn)行選擇,其包括隨機(jī)性��,或者門可提供HRA給一定數(shù)量的卡(如門“遇到”的前k個(gè)卡)��。
這樣的傳播技術(shù)的使用可降低具有取消的憑證/證明的用戶將能進(jìn)入的可能性�����,因?yàn)榧词共贿B通的門��,用戶也不得不在任何其它用戶以更新的卡提供適當(dāng)?shù)腍RA給門之前到達(dá)門。在卡和門之間的信息交換可幫助確保許多卡可被快速地通知關(guān)于取消的信息���。該方法還可用作防“蓄意干擾”攻擊的對策��,所述攻擊試圖斷開連通的門并阻止門接收HRA���。即使干擾攻擊取得成功且門永遠(yuǎn)未獲得中央服務(wù)器或應(yīng)答器的HRA通知,個(gè)體用戶的卡也可能向門通知HRA���。應(yīng)注意����,在卡和門之間交換HRA的實(shí)際方法可變化���。在少許短HRA的情況下�����,交換并比較所有已知HRA最有效�����。如果許多HRA被弄在一個(gè)列表中,列表可包含指明列表在何時(shí)由服務(wù)器發(fā)出的時(shí)間。接著�����,卡和門可首先比較它們的HRA列表的發(fā)出時(shí)間�,且可用較新的列表替換較舊的列表。在其它情況下���,可使用更復(fù)雜的用于發(fā)現(xiàn)和協(xié)調(diào)區(qū)別的算法���。
有效的HRA傳播可通過下述步驟實(shí)現(xiàn)(1)發(fā)出經(jīng)鑒定的HRA;(2)將經(jīng)鑒定的HRA發(fā)送給一個(gè)或多個(gè)卡�;(3)使卡將經(jīng)鑒定的HRA發(fā)送給其它卡和/或門;(4)使門保存所接收的HRA和/或傳輸所接收的HRA給其它卡�����。
詳細(xì)介紹一些樣本HRA使用是有用的順序1(直接從“管理機(jī)構(gòu)”到門)1���、實(shí)體E取消用戶U的憑證/證明并發(fā)出HRA A����,其包含憑證/證明已被取消的信息���;2����、A經(jīng)有線或無線通信傳輸給門D;3�����、D驗(yàn)證A的可靠性��,如果驗(yàn)證成功��,保存關(guān)于A的信息����;4、當(dāng)U試圖通過呈現(xiàn)憑證/證明訪問D時(shí)���,門D注意到所保存的關(guān)于A的信息指明憑證/證明已被取消并拒絕訪問�。
順序2(從“管理機(jī)構(gòu)”到用戶卡到門)1��、實(shí)體E取消用戶U的憑證/證明并發(fā)出HRA A���,其包含憑證/證明已被取消的信息�;2、另一用戶U’來上班并將其卡呈現(xiàn)給E以獲取其當(dāng)前憑證/證明��;3��、連同U’的當(dāng)前憑證/證明���,HRA A被傳輸給U’的卡;卡保存A(卡可以也可不驗(yàn)證A的可靠性��,取決于卡的能力)����;4、當(dāng)U’試圖訪問門D時(shí)���,其卡將其憑證/證明連同A傳輸給D���;5、D驗(yàn)證A的可靠性���,如果驗(yàn)證成功��,保存A���;6�����、當(dāng)U試圖通過呈現(xiàn)其憑證/證明訪問D時(shí)�,門D注意到A取消U的憑證/證明并拒絕訪問���。
順序3(從“管理機(jī)構(gòu)”到另一門到用戶卡到門)1��、實(shí)體E取消用戶U的憑證/證明并發(fā)出HRA A�����,其包含U的憑證/證明已被取消的信息���;
2、A經(jīng)有線或無線通信傳輸給門D’���;3����、D’驗(yàn)證A的可靠性���,如果驗(yàn)證成功�����,保存A�����;4��、另一具有其自己的憑證/證明的用戶U’將其卡呈現(xiàn)給D’以進(jìn)入D’�����。D’除了驗(yàn)證U’的憑證/證明并在合適時(shí)準(zhǔn)予進(jìn)入�����,還將A傳輸給U’的卡����?���?ū4鍭(卡可以也可不驗(yàn)證A的可靠性����,取決于卡的能力)�����;5����、當(dāng)U’試圖訪問門D時(shí),其卡將其憑證/證明連同A傳輸給D���;6�、D’驗(yàn)證A的可靠性�����,如果驗(yàn)證成功�����,保存A�;7、當(dāng)U試圖通過呈現(xiàn)其憑證/證明訪問D時(shí),門D注意到A取消U的憑證/證明并拒絕訪問����。
順序4(從“管理機(jī)構(gòu)”到用戶卡到門)1、實(shí)體E取消用戶U的憑證C并發(fā)出HRA A�����,其包含C已被取消的信息�;2、用戶U攜帶其卡通過位于建筑物入口附近的傳輸點(diǎn)��,這使得其卡接收A��;卡保存A(卡可以也可不驗(yàn)證A的可靠性�,取決于卡的能力)�����;3���、當(dāng)U試圖訪問門D時(shí)�����,其卡將A連同C傳輸給D����;4、D驗(yàn)證A的可靠性�����,如果驗(yàn)證成功�����,保存A并拒絕U的訪問�;5、如果U再次試圖通過呈現(xiàn)C而訪問D���,則門D注意到先前保存的A已取消C并拒絕訪問����。
有時(shí)���,在犯罪之后�����,建立誰試圖訪問特定的門����、在什么時(shí)間、呈現(xiàn)了什么憑證/證明��、及訪問是否被拒絕或同意是有用的�����。知道門的機(jī)構(gòu)是否被堵塞����、開關(guān)或敏感元件是否發(fā)生故障等也是有用的。到最后�����,可能希望維護(hù)發(fā)生的事件的事件日志��。如果這樣的日志可在某些中央位置容易地獲得�����,其特別有用�,從而其可被檢查并遵照其行事。例如��,在硬件故障的情況下����,修理隊(duì)可能需要被迅速調(diào)度。然而�,這樣的日志有兩個(gè)主要問題。
首先�����,如果門被連通����,則較容易通過經(jīng)連接發(fā)送日志而收集日志。然而�����,對于不連通的門��,收集事件日志則更難����。當(dāng)然�����,收集日志的一種辦法是派人到每一不連通的門以通過物理方式將日志傳回中央位置�,但該方法成本太高���。
其次�����,對于將被信任的事件日志��,包括日志的產(chǎn)生���、收集及存儲的整個(gè)系統(tǒng)的完整性應(yīng)被保證。否則�����,例如����,敵手可創(chuàng)建假日志記錄或刪除有效日志�。傳統(tǒng)的方法如在物理上保護(hù)通信通道及數(shù)據(jù)存儲設(shè)施�,其成本非常高(且通過它們自身也不足以保護(hù))����。
通過這樣的日志記錄的存在,假定日志記錄是有效的���,則傳統(tǒng)的日志可斷定“某一用戶去某一門”�����。然而����,這不適于高安全性應(yīng)用��。假定用戶U被控告損害被鎖的門D后面的某些財(cái)產(chǎn)����。傳統(tǒng)的日志記錄僅可提供U進(jìn)入D的無力證據(jù)人們不得不相信沒有人惡意偽造日志記錄。因而���,希望使日志提供更強(qiáng)有力的證據(jù)�,因?yàn)槿罩静豢捎蓴橙恕叭嗽臁?��。具體地�����,無爭議的日志可證明門D(可能與U的卡合作)在日志中創(chuàng)建記錄���。
在此描述的系統(tǒng)以下述方式解決了該問題無論門在何時(shí)接收作為訪問請求的部分的憑證/證明����,門可創(chuàng)建日志記錄(如數(shù)據(jù)串)���,其包含關(guān)于事件的信息����,例如請求時(shí)間�����;請求類型(如果一個(gè)以上請求可能的話—例如��,如果請求用于退出或進(jìn)入�����,或打開或關(guān)閉引擎等)��;憑證/證明及所呈現(xiàn)的身份(如果有)�����;憑證/證明是否被成功驗(yàn)證�;憑證/證明是否具有相應(yīng)的HRA;訪問是否被授權(quán)或解決����。
日志記錄還可包含任何不尋常事件的運(yùn)行數(shù)據(jù)或信息,如電流或電壓起伏��、敏感元件故障�、開關(guān)位置等。產(chǎn)生無爭議日志的一種辦法包括使門借助于秘密密鑰(SK)數(shù)字簽署事件信息���。所得的無爭議日志可由SIG(event�,AI)表示�,其中AI代表任何額外的信息。門D使用的簽名方法可以是公鑰或私鑰�。
強(qiáng)調(diào)簽名相對于其是有效的公鑰PK、或用于產(chǎn)生簽名的秘密密鑰SK或產(chǎn)生簽名的門是有用的�,因而可將無爭議日志象征性地表示為����。SIGPK(event�����,AI)��、SIGSK(event����,AI)或SIGD(event,AI)����。這樣的日志是無爭議的,因?yàn)閿橙嗽诓恢老鄳?yīng)的秘密密鑰的情況下不可能偽造門的簽名���。另一方面�,日志的可靠性可由任何被適當(dāng)通知的驗(yàn)證者(如知道門的PK或門的SK的驗(yàn)證者)檢查�����,而不必盼望保存日志的數(shù)據(jù)庫的完整性或傳輸日志的系統(tǒng)的完整性?����?傊?����,日志不僅可通過數(shù)字簽署每一記錄而被使得無可爭議����,而且還可通過使用用于多個(gè)記錄的數(shù)字鑒定步驟使得無可爭議�����。例如����,門可借助于數(shù)字簽名SIG(E1,...���,E2����,AI)鑒定多個(gè)事件E1、E2��、…���。照常��,在本應(yīng)用的這里及其它地方�,數(shù)字簽名可能意味著數(shù)字簽署將被鑒定的數(shù)據(jù)的單向散列的過程���。具體地��,流鑒定可被看作數(shù)字簽名的特殊情況�����。例如�����,每一經(jīng)鑒定的記錄可用于鑒定下一(或先前的)記錄����。實(shí)現(xiàn)此的一種辦法包括使經(jīng)鑒定的記錄包含用于鑒定下一或其它記錄的公鑰(具體地��,以前數(shù)字簽名的公鑰)。
日志及無爭議日志還可由卡產(chǎn)生(具體地���,卡可通過以數(shù)字簽署關(guān)于事件E的信息而產(chǎn)生無爭議日志表示成符號SIG(E��,AI))����。在此描述的所有日志技術(shù)也可被視為與卡產(chǎn)生的日志有關(guān)�����。
此外���,其它日志和無爭議日志可通過門及卡獲得。例如����,在門訪問請求期間,卡可將卡自己的(可能無爭議的)日志記錄提供給門�����。門可檢查日志記錄并僅在門發(fā)現(xiàn)日志記錄“可接受”時(shí)授權(quán)訪問��。例如,門可驗(yàn)證卡的數(shù)字簽名從而鑒定日志記錄���;或門可根據(jù)門可接近的時(shí)鐘驗(yàn)證包括在卡的日志記錄中的時(shí)間信息是否正確�。
其它類型的無爭議日志還可通過使門及卡均致力于日志記錄的產(chǎn)生和/或鑒定而獲得�。例如,卡可鑒定日志記錄���,且門也可鑒定日志記錄信息的至少一部分�,反之亦然�����。在具體的實(shí)施例中�,卡C可將其日志記錄的簽名x=SIGC(E,AI)給予門���,門將副簽該簽名���,表示為符號SIGD(x,AI’)����,反之亦然�����?���;蛘?����,門和卡可計(jì)算事件信息的聯(lián)合數(shù)字簽名(如借助于門和卡之間的秘密簽署的密鑰拆分計(jì)算��,或?qū)㈤T的簽名與卡的簽名結(jié)合為單個(gè)“多重”簽名進(jìn)行計(jì)算)���。可使用幾個(gè)多重簽名方案����,具體地,Micali�����、Ohta和Reyzin的方案�。
可能將額外的信息包括在日志中�����。如果由卡和門報(bào)告的信息一致�,額外的信息可被檢查�。例如,卡和門可使用它們可用的時(shí)鐘將時(shí)間信息包括在日志記錄中��。此外�����,卡(可能還有門)可將位置信息(如從GPS獲得的位置信息)包括在日志記錄中���?��;蛘撸绻y以獲得當(dāng)前位置(如因?yàn)镚PS接收能力無法使用)���,則最近知道的位置信息(及其在多久以前建立)可被包括�����。這樣����,具體地,在移動門(如飛機(jī)的門)的情形下��,可能確定當(dāng)事件發(fā)生時(shí)門及卡位于何處��。
當(dāng)然�,即使如上述的無爭議日志記錄也可被惡意地從數(shù)據(jù)庫刪除或被阻止到達(dá)數(shù)據(jù)庫。為防止這樣的刪除�,提供刪除可檢測日志系統(tǒng)是有用的。這樣的系統(tǒng)可通過使用下述方案建立(1)鑒定方案(如數(shù)字簽名方案)�;(2)關(guān)聯(lián)生成方案;及(3)關(guān)聯(lián)檢測方案�。給定一日志事件E(一系列過去和/或未來事件的部分),關(guān)聯(lián)生成方案可用于產(chǎn)生關(guān)聯(lián)信息CI��,其繼而借助于鑒定方案而安全綁定到E以產(chǎn)生刪除可檢測日志記錄���。關(guān)聯(lián)生成方案可確保,即使事件本身無關(guān)聯(lián)且一事件的存在不可從其它事件的存在進(jìn)行推斷��,CI仍以這樣的方式產(chǎn)生以保證缺少的沒有適當(dāng)關(guān)聯(lián)信息的日志記錄存在���,某些可使用關(guān)聯(lián)檢測方案檢測�����。在一些情況下��,系統(tǒng)還可保證即使一些日志記錄不見了�,其它日志記錄也可被保證可信和/或個(gè)別無爭議。
在第一例子中�����,日志記錄的關(guān)聯(lián)信息CI可包括順序編號日志記錄����。相應(yīng)的關(guān)聯(lián)檢測方案可包括通知數(shù)序中間隔的存在。但為了獲得刪除可檢測日志系統(tǒng)�,CI和日志記錄之間的適當(dāng)綁定被發(fā)現(xiàn),這可能不容易實(shí)現(xiàn)��,即使安全數(shù)字簽名用于系統(tǒng)的鑒定部分�����。例如���,使第i個(gè)日志記錄由(i�,SIG(event,AI))組成是不安全的���,因?yàn)閿橙丝稍趧h除日志記錄后修改隨后的記錄的編號以隱藏間隔�。具體地���,在刪除日志記錄號100之后����,敵手可將日志記錄101�、102等的號碼減1。從而敵人可隱藏其刪除��,因?yàn)?�,即使事件信息的完整性由?shù)字簽名保護(hù)���,但編號本身不能被保護(hù)�。此外��,即使也數(shù)字簽署編號可能也不能奏效���。例如���,假定第i個(gè)日志記錄由(SIG(i),SIG(event���,AI))組成�����。接下來����,敵人可(1)觀察并記住SIG(100)�;(2)刪除記錄號100;(3)用原始記錄101的SIG(101)代替SIG(100)���,同時(shí)記住SIG(101)����,依此類推�����,以完全隱藏刪除。
上述兩種方法均不能產(chǎn)生想要的CI和日志記錄的安全綁定�。事實(shí)上,通過安全綁定(1)編號信息與(2)被編號的事件�����,我們意為當(dāng)j不同于i時(shí)�,即使提供(a)數(shù)i和Ei的安全綁定及(b)數(shù)j和Ej的安全綁定,敵人也不可制造數(shù)j和關(guān)于第i個(gè)事件Ei的事件信息的綁定�����。例如����,第i個(gè)日志記錄可由SIG(i,Ei��,AI)組成�。這樣,第i個(gè)日志記錄的刪除將被特定的稍后的日志記錄檢測到���。這是因?yàn)樯院蟮娜罩居涗洈y帶比i大的數(shù)����,其不能被敵手刪除�����、修改或用另一日志記錄編號信息替換���,因?yàn)槠渑c日志記錄安全綁定�。例如�,假定敵人刪除日志記錄號100SIG(100,E100�����,AI)��。只要敵手不能刪除所有隨后的日志記錄(這將要求持續(xù)訪問數(shù)據(jù)庫)�,為隱藏其刪除,敵手將需要創(chuàng)建具有相同號碼100的另一日志記錄�。然而,這是很難的���,因?yàn)?a)敵手不能產(chǎn)生全新的第100個(gè)日志記錄SIG(100�,E’�����,AI’),因?yàn)樗麤]有門的秘密簽署的密鑰���;(b)敵手在未使數(shù)字簽名無效的情況下不能修改現(xiàn)有的日志記錄(如不能將SIG(101���,E101,AI101)改變?yōu)镾IG(100��,E101�����,AI101)�����,即使他記住所刪除的記錄SIG(100�,E100,AI100))�����;(c)敵手不能提取指示編號100的日志記錄的部分的簽名并將其與數(shù)字簽名綁定以產(chǎn)生另一日志記錄��。
這樣的安全綁定還可通過不同于共同數(shù)字簽署記錄編號和被編號的事件的手段實(shí)現(xiàn)。例如���,其可通過單向散列記錄編號和被編號的事件然后簽署散列而實(shí)現(xiàn)��,以符號表示為SIG(H(i,Ei���,AI))�。至于另一例子�����,其可通過將編號的散列包括在事件的數(shù)字簽名中而得以實(shí)現(xiàn)��,反之亦然例如�����,以符號表示為SIG(i����,H(Ei),AI))��。其還可通過簽署編號信息及事件信息的數(shù)字簽名實(shí)現(xiàn)例如,以符號表示為SIG(i��,SIG(Ei)����,AI))。作為另一例子��,人們可單獨(dú)地簽署(1)編號信息和唯一的字符串x��;及(2)事件信息及字符串x���,以符號表示為(SIG(i�����,x)���,SIG(x,Ei��,AI))(這樣的字符串x可以是當(dāng)前時(shí)間)��。
刪除可檢測日志還可通過與不同于順序編號信息的日志記錄關(guān)聯(lián)信息安全綁定而實(shí)現(xiàn)���。例如����,可在日志記錄i中包括一些來自先前日志記錄如記錄i-1的識別信息。這樣的信息可以是記錄i-1(或日志記錄i-1的部分)的防碰撞散列以符號表示����,日志記錄i可被表示為SIG(H(日志記錄i-1),Ei�����,AI)��。接著�,如果敵手試圖刪除日志記錄i-1�����,這樣的刪除在接收日志記錄i時(shí)將被檢測到�����,因?yàn)橄惹敖邮盏娜罩居涗浀纳⒘蠬(日志記錄i-2)與H(日志記錄i-1)不匹配(由于H的防碰撞)��,反之,H(日志記錄i-1)��,由于其與日志記錄i安全地綁定���,在不破壞數(shù)字簽名的有效性的情況下其不可被敵手修改���。在此,日志記錄i還可意為其信息的子集如Ei��。
應(yīng)注意��,不必須是日志記錄i-1的信息與記錄i綁定�����,其可以是先前或未來的另一記錄�,或者實(shí)際上,多個(gè)其它記錄����。此外,哪一日志記錄與哪一記錄綁定可隨機(jī)選擇�。
其它關(guān)聯(lián)信息也可被使用。例如,每一日志記錄i可具有與兩個(gè)值(如隨機(jī)值或當(dāng)前時(shí)間)xi和xi+1的安全綁定以符號表示����,如SIG(xi,xi+1�,Ei,AI)���。接著���,兩個(gè)相繼的日志記錄可總是共享一x值例如,記錄i和i+1將共享xi+1�。然而,如果日志記錄被刪除�����,這將不再有效(因?yàn)閿呈植荒茉跊]有檢測的情況下修改簽署的日志記錄�����,除非其知道簽名的秘密密鑰)��。例如��,如果記錄號100被刪除����,數(shù)據(jù)庫將包含SIG(x99,x100����,E99,AI)和SIG(x101��,x102����,E101,AI)��,且可注意到它們未共享共同的x值����。這樣的關(guān)聯(lián)信息可采取其它形式實(shí)際上,日志記錄可與多個(gè)其它日志記錄關(guān)聯(lián)�����。具體地���,這可利用多項(xiàng)式產(chǎn)生關(guān)聯(lián)信息而實(shí)現(xiàn)(如兩個(gè)或多個(gè)日志記錄中的每一個(gè)可包含以不同輸入求值同一多項(xiàng)式的結(jié)果)��。這樣的關(guān)聯(lián)信息還可利用散列鏈例如����,以值y1開始,讓y2=H(y1)�、y3=H(y2)、...等���,并接下來使yi與Ei安全綁定例如����,第i個(gè)日志記錄可以符號表示為SIG(yi��,Ei��,AI)�����。接著�����,相繼日志記錄i和i+1可具有關(guān)聯(lián)值yi和yi+1�,適當(dāng)yi+1=H(yi)。然而�,如果敵手刪除日志記錄,這可能不再有效因而刪除可被檢測�����。例如�����,如果記錄100被刪除�����,數(shù)據(jù)庫將包含SIG(y99����,E99,AI)和SIG(y101�����,E1101�����,AI)(如前所述,其不能在不破壞數(shù)字簽名的情況下被敵手修改)�����。接著���,刪除可被檢測����,因?yàn)镠(y101)將不與y99匹配����。使用多個(gè)散列鏈,或許使用非相繼記錄及雙向�,也可提供這樣的關(guān)聯(lián)信息。
在另一實(shí)施例中���,每一日志記錄可包含部分或所有先前甚或隨后的事件的指示�,因而使日志不僅刪除可檢測����,而且在刪除時(shí)可重建?����?芍亟ㄈ罩鞠到y(tǒng)可通過使用下述方案建立(1)鑒定方案(如數(shù)字簽名方案)�;(2)重建信息產(chǎn)生方案;及(3)重建方案��。給定一日志事件E(一系列過去和/或未來事件的部分)����,重建信息產(chǎn)生方案被用于產(chǎn)生重建信息RI,其接著可借助于鑒定方案與其它日志記錄安全綁定���。重建信息產(chǎn)生方案確保�,即使對應(yīng)于事件i的日志記錄丟失�����,其它日志記錄包含足夠的關(guān)于E的信息�,以允許從其它日志記錄中存在的RI重建E。例如��,第i+1個(gè)記錄可包含關(guān)于所有或部分先前i個(gè)事件的信息�,其由重建信息產(chǎn)生方案生成���。因此,如果敵人以某種方式成功從數(shù)據(jù)庫擦除第j個(gè)日志記錄���,關(guān)于第j個(gè)事件的信息Ej將在一個(gè)或多個(gè)隨后的記錄中揭示����,使得即使在缺少第j個(gè)日志記錄的情況下也可使用重建方案重建信息Ej���。因而�����,對敵人而言��,對數(shù)據(jù)庫臨時(shí)訪問是不足夠的他不得不“始終”監(jiān)視數(shù)據(jù)庫并刪除多個(gè)日志記錄以阻止關(guān)于第j個(gè)事件的信息被展現(xiàn)���。選擇哪一事件包括在日志記錄中可由重建信息產(chǎn)生方案以隨機(jī)方式完成,以使敵人很難預(yù)測關(guān)于特定事件的信息將在何時(shí)在后繼的日志中揭示�。優(yōu)選地,可重建日志系統(tǒng)還可以是刪除可檢測和無可爭議的�����。
還應(yīng)注意,關(guān)于包括在另一日志記錄中的事件j的重建信息不必是直接信息����。其可由部分記錄j�����、或其散列值hj(具體地��,由重建信息產(chǎn)生方案經(jīng)單向/防碰撞散列函數(shù)計(jì)算)�����、或其數(shù)字簽名���、或任何其它指示組成�����。具體地�����,如果使用單向防碰撞散列函數(shù)H�,則可能無爭議地從包含hj的日志記錄i恢復(fù)關(guān)于第j個(gè)事件的信息以符號表示,如果第i個(gè)記錄被簽署�,相應(yīng)的無爭議日志可采取形式SIG(hj,Ei�����,AI)�����。例如���,如果懷疑特定用戶在特定時(shí)間進(jìn)入特定的門���,可測試值hj是否與已響應(yīng)于該事件創(chuàng)建的日志記錄Ej的散列H(Ej)匹配����。這是無可爭議的�����,因?yàn)镠的防碰撞特性實(shí)質(zhì)上不可能提出不同于Ej的記錄E’j使得H(E’j)=H(Ej)���。
日志記錄Ej可被創(chuàng)建�����,在某種程度上應(yīng)使其容易猜測(因而驗(yàn)證)對于特定事件應(yīng)是什么日志記錄(例如���,通過使用日志記錄的標(biāo)準(zhǔn)化格式�,使用近似時(shí)間間隔等)。單向散列因?yàn)槠浯笮『苄《貏e有用可以散列許多甚或所有先前的日志記錄以包括在隨后的記錄中�。例如,記錄i+1可包括h1=H(E1)����、h2=H(E2)、...���、hi=H(Ei)�?����;蛘?��,可以嵌套(部分)散列�,從而減少所要求的空間量。例如���,如果嵌套所有散列��,則第二日志記錄應(yīng)包括h1=H(E1)��,第三日志記錄應(yīng)包括h2=H(E2�,h1)...��。因而���,如果通過i-1和日志記錄i+1創(chuàng)建或觀察日志記錄i��,則可無爭議地創(chuàng)建日志記錄i�。該系統(tǒng)可通過(如使用僅數(shù)據(jù)庫知道的密鑰)加密日志記錄中的(部分)信息進(jìn)行改進(jìn)��,從而敵人不能看到他必須損害哪一信息以危害特定事件的可重建性�����。實(shí)際上�,一旦日志被加密保護(hù)����,這樣的加密日志(最好是無爭議的加密日志)可被發(fā)到另一(第二)數(shù)據(jù)庫�,而不會損失任何秘密。這使得敵人更難刪除現(xiàn)在他不得不進(jìn)入兩個(gè)或更多數(shù)據(jù)庫以偽造日志���。
可重建日志還可通過使用錯(cuò)誤糾正代碼實(shí)現(xiàn)���。具體地,這可通過產(chǎn)生每一日志記錄的多個(gè)分量(“部分”)并將它們以這樣的方式單獨(dú)(或許與其它日志記錄一起)發(fā)送��,當(dāng)足夠多的部分已被接收時(shí)���,日志記錄可由重建方案重建,這可能調(diào)用錯(cuò)誤糾正代碼的解碼算法�。這些部分可被隨機(jī)或偽隨機(jī)傳播,因而當(dāng)足夠的部分實(shí)際上到達(dá)時(shí)��,使敵手很難刪除足夠多的部分以阻止日志記錄的重建��。
事件日志(無論由卡創(chuàng)建還是由門或卡和門結(jié)合創(chuàng)建)可由卡攜帶以有利于其收集����。當(dāng)卡到達(dá)連通的門或與中央服務(wù)器通信或相反能夠與中央數(shù)據(jù)庫通信時(shí),其可發(fā)送保存于其中的日志。這可類似于HRA的傳播那樣實(shí)現(xiàn)�����,除了HRA可從中央點(diǎn)發(fā)送給卡以外��,而日志可從卡發(fā)送給中央點(diǎn)��。因此�,傳播HRA的所有方法應(yīng)用于事件日志的收集。具體地����,傳播HRA的方法可被變換為收集事件日志的方法,其通過(1)用接收器取代發(fā)送器�����,反之亦然����;(2)用日志記錄代替HRA。
具體地�����,卡C1可收集與C1無關(guān)的事件的事件日志,如另一卡C2的訪問或門D的故障���。此外�,一門D1的事件日志可被保存(或許臨時(shí))在另一門D2上(或許由卡C1攜帶到那里)���。接著���,當(dāng)另一卡C2與D2通信時(shí),其可接收這些日志記錄的部分并隨后將它們通信給另一門或通信給中央位置�。該廣泛傳播可確保事件日志更快地到達(dá)中央點(diǎn)。(此外�,一些門盡管不全連接到中央數(shù)據(jù)庫,可具有相互之間的連接�。因而�����,這樣的門可類似地交換可用事件日志���。如果卡具有相互通信能力--例如當(dāng)接近時(shí)—它們也可交換關(guān)于它們保存的事件日志的信息�����。在這樣的收集過程中��,無爭議的日志是有利的�����,因?yàn)樗鼈儾槐仨氃诎踩ǖ郎蟼魉?���,因?yàn)樗鼈儾荒鼙粋卧臁R虼?��,它們不依賴于卡或卡和門之間的連接的安全性���。刪除可檢測日志提供額外的優(yōu)點(diǎn),如果某些日志記錄未被收集(或許因?yàn)槟承┛◤奈吹竭_(dá)連通的門)�����,其確保該事實(shí)可被檢測到�。可重建日志在某些日志記錄沒有到達(dá)中央數(shù)據(jù)庫的情況下可允許日志記錄的重建(再次地��,或許因?yàn)槟承┛◤奈吹竭_(dá)連通的門)����。
在一些情況下�����,所有事件日志可以這種方式進(jìn)行保存和傳播�。否則�,采用一些優(yōu)化是有用的。一種優(yōu)化方法是使事件日志與優(yōu)先級信息一起提供����,其表明通知中央機(jī)構(gòu)關(guān)于特定事件的相對重要性。一些日志記錄可能比其它日志記錄更緊急例如�,如果門被維持在打開或關(guān)閉位置,如果試圖進(jìn)行未經(jīng)授權(quán)的訪問����,或如果檢測到不尋常的訪問模式。為了加速將這樣的重要信息傳送到其可被遵照行事的位置�����,訪問日志中的信息可用指明其重要性的標(biāo)志標(biāo)記(或其重要性可從其自身的信息推斷)�����。例如�����,一些日志記錄可被標(biāo)記為“緊急”��,而其它可被標(biāo)記為“常規(guī)”�。或它們可由指明它們的重要程度的數(shù)字或代碼字標(biāo)記(優(yōu)先等級盡可能適當(dāng)?shù)鼐_或接近)�����。例如�,較高優(yōu)先級的信息可被給予更多的卡和/或門以增加其將更快或更安全到達(dá)其目的地的可能性。同樣����,卡或門,當(dāng)接收高優(yōu)先級的信息時(shí)�,可通過從其存儲器刪除低優(yōu)先級信息而為高優(yōu)先級信息騰出空位。同樣��,門可決定將高優(yōu)先級信息給予經(jīng)過其的每一卡���,而低優(yōu)先級信息僅被給予少數(shù)幾個(gè)卡或可等待直到門被連通為止�����。
或者或除了上述技術(shù)以外�,卡可被選擇以在某種程度上保存特定的日志記錄,包括隨機(jī)保存����,或門可將日志記錄提供給一定數(shù)量的卡(例如,門“遭遇”的前k個(gè)卡)�����。這樣的傳播技術(shù)的使用可大大降低事件日志中的重要記錄將不能到達(dá)其被遵照行事的中央位置的可能性�����。具體地�,其可用作防“蓄意干擾”攻擊的有效對策,所述攻擊試圖阻止損壞的門通信其遇險(xiǎn)信息����。在卡和門之間交換日志的實(shí)際方法可變化。在少許記錄的情況下�����,交換并比較所有已知記錄最有效�����。在其它情況下���,可使用更復(fù)雜的用于發(fā)現(xiàn)和協(xié)調(diào)區(qū)別的算法�。
詳細(xì)介紹一些事件日志可被收集的樣本方法是有用的�����。下面���,“管理機(jī)構(gòu)”A包括一些中央點(diǎn)或數(shù)據(jù)庫�,事件日志被收集于其中����。
順序1(直接從門到管理機(jī)構(gòu))1、連通的門D響應(yīng)于事件創(chuàng)建無可爭議的日志記錄E�����。
2、E經(jīng)有線或無線通信傳輸給管理機(jī)構(gòu)A����。
3、A驗(yàn)證E的可靠性����,如果驗(yàn)證成功,則保存E�����。
順序2(從門到用戶卡到管理機(jī)構(gòu))1�����、門D響應(yīng)于事件創(chuàng)建無爭議日志記錄E����。
2、被呈現(xiàn)用于訪問D的用戶U的卡C接收并保存E(除了與訪問有關(guān)的通信以外)��?����?梢砸部刹或?yàn)證E的可靠性。
3���、當(dāng)U下班并在工作日結(jié)束時(shí)將其卡呈現(xiàn)給A時(shí),E由卡傳輸給A���。
4�����、A驗(yàn)證E的可靠性���,如果驗(yàn)證成功,則保存E��。
順序3(從門到用戶卡到另一(連通的)門到管理機(jī)構(gòu))1��、門D響應(yīng)于事件創(chuàng)建無爭議日志記錄E�。
2、被呈現(xiàn)用于訪問D的用戶U的卡C接收并保存E(除了與訪問有關(guān)的通信以外)�����?���?梢砸部刹或?yàn)證E的可靠性�����。
3���、隨后,U呈現(xiàn)其卡C以用于訪問另一(連通的)門D’����。D’,除了驗(yàn)證憑證并在合適時(shí)授權(quán)訪問以外�,從C接收E。D’可以也可不驗(yàn)證E的可靠性���。
4���、E經(jīng)有線或無線通信由D’傳輸給管理機(jī)構(gòu)A。
5���、A驗(yàn)證E的可靠性�����,如果驗(yàn)證成功���,則保存E�。
受保護(hù)區(qū)域可由墻和物理門確定����,如通過其人可進(jìn)入的門���、或集裝箱的門�����、安全門�����、交通工具的門等����。受保護(hù)的區(qū)域也可由虛擬的門和墻確定���。例如�����,區(qū)域可由檢測器保護(hù)��,其可感覺侵入并可在未被提供授權(quán)時(shí)發(fā)出報(bào)警或發(fā)送另一信號����。這樣的報(bào)警系統(tǒng)是虛擬門的一個(gè)例子在機(jī)場中,經(jīng)常通過出口巷道進(jìn)入門區(qū)將觸發(fā)這樣的報(bào)警��,盡管沒有物理的門或墻已被違犯���。虛擬門的另一例子是收費(fèi)所盡管許多收費(fèi)所不包含物理的柵欄或門�����,特定的汽車可能被授權(quán)也可能未被授權(quán)通過收費(fèi)所���。例如,這樣的授權(quán)可依賴于汽車的電子收費(fèi)付款標(biāo)記的有效性����。另一例子是交通管制區(qū)。例如��,要進(jìn)入特定城市的市中心或通向核設(shè)施的路、軍隊(duì)軍營����、或另一敏感區(qū)域,交通工具必須具有合適的授權(quán)�����,用于記賬����、安全或擁塞控制等目的����。
此外,保護(hù)不僅僅為區(qū)域所需要����,還為設(shè)備需要,如飛機(jī)引擎或軍事裝備�����。例如����,必須確保只有經(jīng)授權(quán)的個(gè)人才可啟動飛機(jī)的引擎或運(yùn)載危險(xiǎn)材料的卡車的引擎�����。
有許多方式使用憑證/證明來進(jìn)行訪問控制�。應(yīng)注意����,對于在此公開的方式,術(shù)語“日子”應(yīng)被理解為一系列時(shí)間段中的一般時(shí)間段��,及“早上”意為時(shí)間段的開始���。
在該申請中�����,“門”應(yīng)被視為包括所有類型的入口(如物理的和/或虛擬的)�����、訪問控制系統(tǒng)/設(shè)備���、及監(jiān)視系統(tǒng)/設(shè)備����。具體地�����,它們包括用于啟動引擎和控制裝置的關(guān)鍵機(jī)構(gòu)(具體地����,從而本發(fā)明可用于確保只有當(dāng)前的授權(quán)用戶可啟動飛機(jī)、操作推土機(jī)或訪問和控制各種重要和/或危險(xiǎn)的物品�����、設(shè)備和機(jī)件)��。與該約定一致�,我們將“進(jìn)入”稱為被授權(quán)想得到的訪問(或物理的或虛擬的)����。
類似地,具體地但不損失一般性�����,卡可被理解為用戶的任何訪問設(shè)備。應(yīng)該意識到的是�,卡的概念足夠概括地包括移動電話、PDA����、或其它無線和/或先進(jìn)設(shè)備,且卡可包括或連同其它安全措施一起工作���,如PIN�、口令及生物測定信息���,盡管這些措施的部分可能“位于”卡持有人的大腦或身體中而不是卡本身之中�����。
此外��,措辭“用戶”(經(jīng)常稱為“他”或“她”)可被廣泛地理解為不僅包括用戶和人�,還包括設(shè)備�、實(shí)體(及用戶、設(shè)備和實(shí)體的集合)���,包括但不限于用戶卡���。
在此描述的系統(tǒng)可使用硬件和軟件的任何適當(dāng)結(jié)合實(shí)施���,包括但不限于保存在計(jì)算機(jī)可讀的介質(zhì)中的軟件,其可由一個(gè)或多個(gè)處理器訪問�����。此外�����,用于加密�、鑒定等的技術(shù)可被適當(dāng)?shù)亟Y(jié)合和可交換地使用。在那一點(diǎn)上���,下述美國專利和申請中的每一個(gè)均通過引用組合于此1995年10月2日申請的美國臨時(shí)專利申請60/004,796�;1995年10月24日申請的美國臨時(shí)專利申請60/006,038�����;1995年11月2日申請的美國臨時(shí)專利申請60/006,143�����;1996年9月10日申請的美國臨時(shí)專利申請60/024,786�����;1996年8月29日申請的美國臨時(shí)專利申請60/025,128����;1996年12月18日申請的美國臨時(shí)專利申請60/033,415;1997年2月3日申請的美國臨時(shí)專利申請60/035,119����;2001年3月20日申請的美國臨時(shí)專利申請60/277,244;2001年6月25日申請的美國臨時(shí)專利申請60/300,621�����;2001年12月27日申請的美國臨時(shí)專利申請60/344,245��;2002年4月8日申請的美國臨時(shí)專利申請60/370,867�����;2002年4月16日申請的美國臨時(shí)專利申請60/372,951���;2002年4月17日申請的美國臨時(shí)專利申請60/373,218��;2002年4月23日申請的美國臨時(shí)專利申請60/374,861��;2002年10月23日申請的美國臨時(shí)專利申請60/420,795��;2002年10月25日申請的美國臨時(shí)專利申請60/421,197��;2002年10月28日申請的美國臨時(shí)專利申請60/421,756��;2002年10月30日申請的美國臨時(shí)專利申請60/422,416���;2002年11月19日申請的美國臨時(shí)專利申請60/427,504�����;
2003年1月29日申請的美國臨時(shí)專利申請60/443,407���;2003年2月10日申請的美國臨時(shí)專利申請60/446,149;2003年6月24日申請的美國臨時(shí)專利申請60/482,179����;2003年7月18日申請的美國臨時(shí)專利申請60/488,645;2003年9月24日申請的美國臨時(shí)專利申請60/505,640�;1996年9月19日申請的美國專利申請08/715,712�;1996年11月1日申請的美國專利申請08/741,601�;1996年11月26日申請的美國專利申請08/756,720���;1997年2月24日申請的美國專利申請08/804,868���;1997年2月24日申請的美國專利申請08/804,869;1997年6月11日申請的美國專利申請08/872,900���;1997年8月5日申請的美國專利申請08/906,464�;2001年7月25日申請的美國專利申請09/915,180�;2002年3月20日申請的美國專利申請10/103,541;2002年9月16日申請的美國專利申請10/244,695��;2003年4月8日申請的美國專利申請10/409,638����;2004年6月24日申請的美國專利申請10/876,275;美國專利5,604,804���;美國專利5,666,416�;美國專利5,717,757�����;美國專利5,717,758;美國專利5,793,868�����;美國專利5,960,083�;美國專利6,097,811;及美國專利6,487,658�����。
在本發(fā)明已結(jié)合多個(gè)實(shí)施例公開的同時(shí)�,其修改對本領(lǐng)域技術(shù)人員將是非常明顯的。因此�����,本發(fā)明的實(shí)質(zhì)和范圍由下面的權(quán)利要求提出�。
權(quán)利要求
1.實(shí)體控制多個(gè)用戶訪問至少一不連通的門的方法,包括將多個(gè)用戶映射到組����;對于一系列日期的每一時(shí)間間隔d,使管理機(jī)構(gòu)產(chǎn)生數(shù)字簽名SIGUDd��,其指示該組的成員可在時(shí)間間隔d期間訪問門;使該組的至少一成員在時(shí)間間隔d期間接收SIGUDd以用于呈現(xiàn)給門從而通過門��;使該組的至少一成員將SIGUDd呈現(xiàn)給門D����;及在驗(yàn)證下述內(nèi)容之后使門打開(i)SIGUDd為管理機(jī)構(gòu)的數(shù)字簽名�����,其指明該組的成員可在時(shí)間間隔d訪問門�,及(ii)當(dāng)前時(shí)間在時(shí)間間隔d之內(nèi)。
2.根據(jù)權(quán)利要求1的方法�,其中該組的至少一成員具有用戶卡且門具有連接到電控機(jī)械鎖的讀卡機(jī),且其中該組的至少一成員通過將SIGUDd保存在用戶卡中而接收SIGUDd�,并通過使用戶卡被讀卡機(jī)讀而將SIGUDd呈現(xiàn)給門。
3.根據(jù)權(quán)利要求1的方法����,其中通過將SIGUDd記入該組的至少一成員可訪問的數(shù)據(jù)庫中而使得SIGUDd可在時(shí)間間隔d期間被該組的至少一成員接收。
4.根據(jù)權(quán)利要求1的方法��,其中SIGUDd為公鑰簽名���,且其中門保存管理機(jī)構(gòu)的公鑰����。
5.根據(jù)權(quán)利要求1的方法,其中門還驗(yàn)證關(guān)于該組的至少一成員的身份信息�����。
6.根據(jù)權(quán)利要求1的方法����,其中關(guān)于該組的至少一成員的身份信息包括至少下述之一PIN及對門的挑戰(zhàn)的應(yīng)答。
7.控制物理訪問的方法���,包括分配實(shí)時(shí)憑證給一組用戶��;檢查實(shí)時(shí)憑證�����,其中實(shí)時(shí)憑證包括固定的第一部分和定期修改的第二部分�,其中第二部分提供實(shí)時(shí)憑證為當(dāng)前憑證的證明��;通過在第一部分上執(zhí)行操作并將結(jié)果與第二部分比較而驗(yàn)證實(shí)時(shí)憑證的有效性����;及僅在實(shí)時(shí)憑證被驗(yàn)證為有效時(shí)才允許該組成員的物理訪問�����。
8.根據(jù)權(quán)利要求7的方法�����,其中第一部分由管理機(jī)構(gòu)數(shù)字簽署���。
9.根據(jù)權(quán)利要求8的方法�,其中管理機(jī)構(gòu)提供第二部分。
10.根據(jù)權(quán)利要求9的方法����,其中第二部分由不同于管理機(jī)構(gòu)的實(shí)體提供。
11.根據(jù)權(quán)利要求7的方法���,其中實(shí)時(shí)憑證被提供在智能卡上�����。
12.根據(jù)權(quán)利要求7的方法����,其中該組成員在第一位置獲得實(shí)時(shí)憑證的第二部分。
13.根據(jù)權(quán)利要求12的方法���,其中該組成員被允許訪問不同于且獨(dú)立于第一位置的第二位置�。
14.根據(jù)權(quán)利要求7的方法�,其中實(shí)時(shí)憑證的第一部分的至少一部分代表單向散列被多次應(yīng)用到實(shí)時(shí)憑證的第二部分的一部分。
15.根據(jù)權(quán)利要求14的方法�����,其中多次對應(yīng)于自實(shí)時(shí)憑證的第一部分被發(fā)出以來消逝的時(shí)間量�����。
16.根據(jù)權(quán)利要求7的方法����,其中控制物理訪問包括控制通過門的訪問。
全文摘要
實(shí)體控制多個(gè)用戶訪問至少一不連通的門包括將多個(gè)用戶映射到組����,對于一系列日期的每一時(shí)間間隔d,使管理機(jī)構(gòu)產(chǎn)生數(shù)字簽名����,其指示該組的成員可在時(shí)間間隔d期間訪問門�����,使該組的至少一成員在時(shí)間間隔d期間接收數(shù)字簽名以用于呈現(xiàn)給門從而通過門��,使該組的至少一成員將數(shù)字簽名呈現(xiàn)給門D���,及在驗(yàn)證下述內(nèi)容之后使門打開(i)數(shù)字簽名為管理機(jī)構(gòu)的數(shù)字簽名,其指明該組的成員可在時(shí)間間隔d訪問門��,及(ii)當(dāng)前時(shí)間在時(shí)間間隔d之內(nèi)����。該組的至少一成員具有用戶卡且門具有連接到電控機(jī)械鎖的讀卡機(jī)��,且該組的至少一成員可通過將數(shù)字簽名保存在用戶卡中而接收數(shù)字簽名�,并通過使用戶卡被讀卡機(jī)讀而將數(shù)字簽名呈現(xiàn)給門。
文檔編號H04L9/16GK101088247SQ200480020792
公開日2007年12月12日 申請日期2004年7月16日 優(yōu)先權(quán)日2003年7月18日
發(fā)明者菲爾·利賓, 西爾維奧·米卡利, 戴維·恩貝里 申請人:科爾街有限公司