專利名稱:使用另外的數(shù)據(jù)控制訪問的制作方法
使用另外的數(shù)據(jù)控制訪問 相關(guān)申請交叉索引本申請要求2003年7月18日申請的美國臨時專利申請 60/488, 645的優(yōu)先權(quán),其通過引用組合于此,且還要求2003年9月 24日申請的美國臨時專利申請60/505, 640的優(yōu)先權(quán),其通過引用組 合于此,且是2004年6月24日申請的美國專利申請10/876,275 (未 決)的延續(xù),其要求2003年6月24日申請的美國臨時專利申請 60/482, 179的優(yōu)先權(quán),且其本身是2001年7月25日申請的美國專 利申請09/915, 180的部分的延續(xù),其是2000年1月14日申請的美 國專利申請09/483, 125的延續(xù)(現(xiàn)在為美國專利6, 292, 893),其是 1999年7月19日申請的美國專利申請09/356, 745的延續(xù)(已放棄), 其是1997年3月24日申請的美國專利申請08/823, 354的延續(xù)(現(xiàn) 在為美國專利5, 960, 083),其是1995年11月16日申請的美國專利 申請08/559, 533的延續(xù)(現(xiàn)在為美國專利5, 666, 416),其要求1995 年10月24日申請的美國臨時申請60/006, 038的優(yōu)先權(quán),且是2003 年4月8日申請的美國專利申請10/409, 638的延續(xù)(未決),其要求 下述申請的優(yōu)先權(quán)2002年4月8日申請的美國臨時申請 60/370, 867; 2002年4月16日申請的美國臨時申請60/372, 951; 2002 年4月17日申請的美國臨時申請60/373, 218; 2002年4月23日申 請的美國臨時申請60/374, 861; 2002年10月23日申請的美國臨時 申請60/420, 795 ; 2002年10月25日申請的美國臨時申請 60/421, 197; 2002年10月28日申請的美國臨時申請60/421, 756; 2002年10月30日申請的美國臨時申請60/422, 416; 2002年11月 19日申請的美國臨時申請60/427, 504; 2003年1月29日申請的美 國臨時申請60/443, 407;及2003年2月10日申請的美國臨時申請 60/446, 149;所有這些申請的示教均通過引用組合于此。且其是2002 年3月20日申請的美國專利申請10/103, 541 (未決)的部分的延續(xù),其示教通過引用組合于此,其本身是2001年7月25日申請的美國專 利申請09/915, 180 (未決)的部分的延續(xù),且其是2000年1月14 日申請的美國專利申請09/483,125的延續(xù)(現(xiàn)在為美國專利 6, 292,893),其是1999年7月19日申請的美國專利申請09/356, 745 的延續(xù)(已放棄),其是1997年3月24日申請的美國專利申請 08/823, 354的延續(xù)(現(xiàn)在為美國專利5,960,083),其是1995年11 月16日申請的美國專利申請08/559,533的延續(xù)(現(xiàn)在為美國專利 5, 666, 416),其基于1995年10月24日申請的美國臨時申請 60/006, 038。美國專利申i青10/103, 541還是1997年12月18日申i青 的美國專利申請08/992, 897 (現(xiàn)在為美國專利6, 487, 658)的延續(xù), 其基于1996年12月18日申請的美國臨時申請60/033, 415,且其是 1996年9月19日申請的美國專利申請08/715, 712 (已放棄)的部分 的延續(xù),其基于1995年10月2日申請的美國臨時申請60/004, 796 的延續(xù)。美國專利申請08/992, 897的部分還是1996年10月11日申 請的美國專利申請08/729, 619 (現(xiàn)在為美國專利6,097, 811)的延 續(xù),其基于1995年11月2日申請的美國臨時申請60/006, 143。美 國專利申請08/992, 897的部分還是1997年2月24日申請的美國專 利申請08/804, 868 (已放棄)的延續(xù),其是1996年11月1日申請 的美國專利申請08/741,601 (已放棄)的延續(xù),其基于1995年11 月2日申請的美國臨時申請60/006, 143。美國專利申請08/992, 897 的部分還是1997年6月11日申請的美國專利申請08/872, 900 (已 放棄)的延續(xù),其是1996年11月5日申請的美國專利申請08/746, 007 (現(xiàn)在為美國專利5, 793, 868)的延續(xù),其基于1996年8月29日 申請的美國臨時申請60/025, 128。美國專利申請08/992, 897還基于 1997年2月3日申請的美國臨時申請60/035, 119,其還是1997年8 月5日申請的美國專利申請08/906,464 (已放棄)的延續(xù),其部分 是1996年12月9日申請的美國專利申請08/763, 536 (現(xiàn)在為美國 專利5, 717, 758)的延續(xù),其基于1996年9月10日申請的美國臨時 申請60/024,786,并基于1996年4月23日申請的美國專利申請08/636, 854 (現(xiàn)在為美國專利5, 604, 804),并還基于1996年8月29 日申請的美國臨時申請60/025, 128。美國專利申請08/992, 897的部 分還是1996年11月26日申請的美國專利申請08/756, 720(已放棄) 的延續(xù),其基于1996年8月29日申請的美國臨時申請60/025, 128, 并還基于1996年9月19日申請的美國專利申請08/715, 712 (已放 棄),并還基于1995年11月16日申請的美國專利申請08/559, 533 (現(xiàn)在為美國專利5, 666, 416)。美國專利申請08/992, 897的部分還 是1996年11月19日申請的美國專利申請08/752, 223 (現(xiàn)在為美國 專利5, 717, 757)的延續(xù),其基于1996年8月29日申請的美國臨時 申請60/025, 128,且部分還是1997年2月24日申請的美國專利申 請08/804, 869 (已放棄)的延續(xù),其是1996年11月1日申請的美 國專利申請08/741,601 (已放棄)的延續(xù),其基于1995年11月2 日申請的美國臨時申請60/006, 143。美國專利申請08/992, 897的部 分還是1997年3月24日申請的美國專利申請08/823, 354 (現(xiàn)在為 美國專利5, 960, 083)的延續(xù),其是1995年11月16日申請的美國 專利申請08/559, 533 (現(xiàn)在為美國專利5, 666, 416)的延續(xù),其基于 1995年10月24日申請的美國臨時申請60/006, 038。美國專利申請 10/103,541還基于2001年3月20日申請的美國臨時申請 60/277, 244、及2001年6月25日申請的美國臨時申請60/300, 621、 及2001年12月27日申請的美國臨時申請60/344, 245。上述所有申 請均通過引用組合于此。美國專利申請10/409, 638還是2001年6月 25日申請的美國專利申請09/915, 180 (未決)的延續(xù),其示教組合 于此以供參考,其本身是2000年1月14日申請的美國專利申請 09/483, 125 (現(xiàn)在為美國專利6,292,893)的延續(xù),其是1999年7 月19日申請的美國專利申請09/356, 745(已放棄)的延續(xù),其是1997 年3月24日申請的美國專利申請08/823,354 (現(xiàn)在為美國專利 5, 960, 083)的延續(xù),其是1995年11月16日申請的美國專利申請 08/559,533 (現(xiàn)在為美國專利5, 666, 416)的延續(xù),其基于1995年 10月24日申請的美國臨時申請60/006, 038。上述所有申請的示教均通過引用組合于此。美國專利申請10/409, 638還是2003年3月21 日申請的美國專利申請10/395, 017 (未決的)的延續(xù),其示教組合 于此以供參考,其本身是2002年9月16日申請的美國專利申請 10/244, 695 (已放棄)的延續(xù),其是1997年12月18日申請的美國 專利申請08/992, 897 (現(xiàn)在為美國專利6, 487, 658)的延續(xù),其基于 19%年12月18日申請的美國臨時專利申請60/033, 415,且其部分 是1996年9月19日申請的美國專利申請08/715, 712 (已放棄)的 延續(xù),其基于1995年10月2日申請的美國專利申請60/004, 796, 且其部分還是1996年10月10日申請的美國專利申請08/729, 619(現(xiàn) 在為美國專利6,097,811)的延續(xù),其基于1995年11月2日申請的 美國專利申請60/006, 143,且其部分還是1997年2月24日申請的 美國專利申請08/804,868 (已放棄)的延續(xù),其是1996年11月1 日申請的美國專利申請08/741, 601 (已放棄)的延續(xù),其基于1995 年11月2日申請的美國專利申請60/006, 143,且其部分還是1997 年6月11日申請的美國專利申請08/872, 900 (已放棄)的延續(xù),其 是1996年11月5日申請的美國專利申請08/746, 007 (現(xiàn)在為美國 專利5, 793, 868)的延續(xù),其基于1996年8月29日申請的美國專利 申請60/025, 128,且其還基于1997年2月3日申請的美國專利申請 60/035,119,且其部分還是1997年8月5日申請的美國專利申請 08/906, 464 (已放棄)的延續(xù),其是1996年12月9日申請的美國專 利申請08/763,536 (現(xiàn)在為美國專利5,717,758)的延續(xù),其基于 1996年9月10日申請的美國專利申請60/024, 786,且還基于1997 年4月23日申請的美國專利申請08/636,854 (現(xiàn)在為美國專利 5, 604, 804)及1996年8月29日申請的美國專利申請60/025, 128, 且其部分還是1996年11月26日申請的美國專利申請08/756, 720(已 放棄)的延續(xù),其基于1996年8月29日申請的美國專利申請 60/025,128,并還基于1996年9月19日申請的美國專利申請 08/715, 712 (已放棄),并還基于1995年11月16日申請的美國專利 申請08/559, 533 (現(xiàn)在為美國專利5, 666, 416),且其部分還是1996年11月19日申請的美國專利申請08/752,223 (現(xiàn)在為美國專利 5, 717, 757)的延續(xù),其基于1996年8月29日申請的美國專利申請 60/025,128,且部分還是1997年2月24日申請的美國專利申請 08/804, 869 (己放棄)的延續(xù),其是1996年11月1日申請的美國專 利申請08/741,601 (已放棄)的延續(xù),其基于1995年11月2日申 請的美國專利申請60/006, 143,且其部分還是1997年3月24曰申 請的美國專利申請08/823, 354(現(xiàn)在為美國專利5, 960, 083)的延續(xù), 其是1995年11月16日申請的美國專利申請08/559, 533 (現(xiàn)在為美 國專利5, 666, 416)的延續(xù),其基于1995年10月24日申請的美國 專利申請60/006, 038。上述所有申請的示教均通過引用組合于此。發(fā)明背景1. 技術(shù)領(lǐng)域本申請涉及物理訪問控制領(lǐng)域,特別是使用處理器操縱的鎖及相 關(guān)數(shù)據(jù)的物理訪問控制領(lǐng)域。2. 背景技術(shù)在許多情況下,如在訪問機(jī)場、軍事設(shè)施、辦公樓等時,確保只 有經(jīng)授權(quán)的個人才可訪問受保護(hù)的區(qū)域和設(shè)備是非常重要的。傳統(tǒng)的 門和墻可用于保護(hù)敏感區(qū)域,但具有傳統(tǒng)的鎖和鑰匙的門在管理許多 用戶的設(shè)置時非常麻煩。例如, 一旦雇員被解雇,很難收回當(dāng)初雇用 時發(fā)給該前雇員的物理鑰匙。此外,還有這樣的鑰匙被復(fù)制多把且永 未交出的風(fēng)險。智能門提供訪問控制。在某些情況下,智能門可被裝備以鍵盤, 用戶通過鍵盤可輸入其PIN或密碼。鍵盤可具有附加的存儲器和/或 基本處理器,有效的PIN/密碼的列表可被保存在其中。因此,門可 檢查當(dāng)前輸入的PIN是否屬于當(dāng)前的有效列表。如果屬于,則門打開。 否則,門可保持被鎖。當(dāng)然,不是(唯一)依賴于傳統(tǒng)的鑰匙或簡單 的鍵盤,更現(xiàn)代的智能門可與卡(如智能卡和磁條卡)或無接觸設(shè)備 (如PDA、移動電話等) 一起工作。這樣的卡或設(shè)備可在除傳統(tǒng)鑰匙或電子鍵盤之外輔助使用或用以代替前述鑰匙或電子鍵盤。設(shè)計來由 用戶攜帶的這些磁條卡、智能卡或無接觸設(shè)備可具有保存信息的能 力,信息可被傳輸給門。更先進(jìn)的卡還可具有計算和通信能力。門上 的相應(yīng)設(shè)備能夠從卡讀信息,并可能參加與卡的交互式協(xié)議,與計算 機(jī)通信等。門的一方面是其連通性等級。全連接的門是一直與一些數(shù)據(jù)庫 (或其它計算機(jī)系統(tǒng))連接的門。例如,數(shù)據(jù)庫可包含關(guān)于當(dāng)前有效 的卡、用戶、PIN等的信息。在某些情況下,為防止敵人改變流入門 的信息,這樣的連接被保護(hù)(例如,通過將從門到數(shù)據(jù)庫的導(dǎo)線置放 在鋼管內(nèi))。另一方面,全不連通的門不與其緊靠的附近區(qū)域的外面 進(jìn)行通信。在這兩個極端情況之間,還有具有斷續(xù)連通性的門(例如, 無線連接的"移動"門,其僅在地面站范圍之內(nèi)時才可與外面通信, 如飛機(jī)或卡車的門)。傳統(tǒng)的訪問控制機(jī)制有許多缺點(diǎn)。全連接的門非常昂貴。將安全 管連接到遠(yuǎn)處的智能門的花費(fèi)可能遠(yuǎn)超出智能門本身的成本。以密碼 方式保護(hù)導(dǎo)線,同時可能較廉價,但也有其自己的成本(例如,保護(hù) 和管理密鑰的成本)。此外,沒有鋼管和安全守衛(wèi)的密碼系統(tǒng)不能防 止導(dǎo)線被割斷,在這種情況下,不長久連接的門可能被迫在兩個極端 選擇之間進(jìn)行選擇g卩,總是保持關(guān)閉或總是打開,但二者均不是合 意。在一些情況下,全連接門通常不是可行的選擇。(例如,在大西 洋中部海平面以下的貨物集裝箱的門實際上被完全不連通。)不連通的智能門可能較連通的門便宜。然而,傳統(tǒng)接近智能門具 有其自身的問題。例如,假設(shè)不連通的智能門能夠識別PIN。被終止 的雇員不再被授權(quán)通過該門,然而,如果他還記得他自己的PIN,他 將沒有任何困難打開如基本的智能門。因此,必須"抵消"已終止雇 員的PIN的影響,這對于不連通的門來說很難。事實上,這樣的過程 可能非常麻煩且昂貴機(jī)場設(shè)施具有好幾百道門,無論雇員在何時離 開或被終止雇用關(guān)系,均調(diào)度特殊的工人隊伍出去并去除所有這些門 的舊有程序太不切實際。因此,希望提供與全連通的門相關(guān)聯(lián)的安全等級,而不導(dǎo)致額外 的成本。如所證明的,不連通的智能門和卡本身并不保證訪問控制系 統(tǒng)的安全、方便和低成本。發(fā)明內(nèi)容根據(jù)本發(fā)明,控制訪問包括提供訪問障礙,其包括有選擇允許訪 問的控制器,至少一管理實體產(chǎn)生憑證/證明,其中如果僅給出憑證 和過期證明的值,則不可確定為有效證明,控制器接收憑證/證明, 控制器確定訪問在當(dāng)前是否被授權(quán),如果訪問被當(dāng)前授權(quán),則控制器 允許訪問。憑證/證明可以為一體,也可是分開的部分。可以是第一 管理實體產(chǎn)生憑證,其它管理實體產(chǎn)生證明。第一管理實體還可產(chǎn)生 證明或第一管理實體不可產(chǎn)生證明。憑證可對應(yīng)于包括終值的數(shù)字證 書,終值是將單向函數(shù)應(yīng)用到第一證明的結(jié)果。每一證明可以是將單 向函數(shù)應(yīng)用到未來證明之一的結(jié)果。數(shù)字證書可包括電子設(shè)備的標(biāo)識 符。憑證可包括終值,終值為將單向函數(shù)應(yīng)用到第一證明的結(jié)果。每 一證明可以是將單向函數(shù)應(yīng)用到未來證明之一的結(jié)果。憑證可包括用 戶請求訪問的標(biāo)識符。憑證/證明可包括數(shù)字簽名。訪問障礙可包括 墻和門??刂圃L問還可包括提供連接到控制器的門鎖,其中控制器允 許訪問包括控制器開動門鎖以允許門打開??刂圃L問還可包括提供連 接到控制器的讀卡機(jī),其中控制器從讀卡機(jī)接收憑證/證明。憑證/ 證明可被提供在用戶呈現(xiàn)的智能卡上??刂圃L問還可包括提供外部連 接到控制器。外部連接可以是間歇性連接??刂破骺墒褂猛獠窟B接接 收至少一部分憑證/證明,或控制器可使用外部連接接收所有憑證/ 證明??刂圃L問還可包括提供讀卡機(jī)連接到控制器,控制器從讀卡機(jī) 接收憑證/證明的剩余部分。憑證/證明可被提供在用戶呈現(xiàn)的智能卡 上。憑證/證明可包括用戶輸入的密碼。憑證/證明可包括用戶生物測 定信息。憑證/證明可包括手寫簽名。憑證/證明可包括在用戶所持的 卡上提供的秘密值。憑證/證明可在預(yù)定時間后過期。根據(jù)本發(fā)明,實體控制多個用戶對至少一不連通的門的訪問包括將多個用戶映射到組,對于一系列日期的每一時間間隔d,使管理機(jī)構(gòu)產(chǎn)生數(shù)字簽名SIGUDd,其表明該組的成員在時間間隔d期間可訪 問門,使該組的至少一成員在時間間隔d期間接收SIGUDd以呈現(xiàn)給 門從而通過門,使該組的至少一成員將SIGUDd呈現(xiàn)給門D,并在驗 證下述內(nèi)容之后使門打開(i) SIGUDd是表明該組成員可在時間間 隔d訪問門的管理機(jī)構(gòu)數(shù)字簽名,及(ii)當(dāng)前時間在時間間隔d之 內(nèi)。該組的至少一成員可具有用戶卡且門可具有連接到機(jī)電鎖的讀卡 機(jī),該組的至少一成員可通過將SIGUDd保存在用戶卡內(nèi)而接收 SIGUDd,并通過使用戶卡被讀卡機(jī)讀而將SIGUDd呈現(xiàn)給門。管理機(jī) 構(gòu)可通過將SIGUDd記入可由該組的至少一成員訪問的數(shù)據(jù)庫中而使 SIGUDd將被該組的至少一成員在時間間隔d期間接收。SIGUDd可以 是公鑰簽名,且門可保存管理機(jī)構(gòu)的公鑰。門還可驗證該組的至少一 成員的身份信息。關(guān)于該組的至少一成員的身份信息可包括至少下述 之一PIN及對門的復(fù)雜問題的回答。根據(jù)本發(fā)明,控制物理訪問還包括分配實時憑證給一組用戶,檢 査實時憑證,其中實時憑證包括固定的第一部分及定期被修改的第二 部分,其中第二部分提供實時憑證為當(dāng)前憑證的證明,通過在第一部 分上執(zhí)行操作并將結(jié)果與第二部分進(jìn)行比較來驗證實時憑證的有效 性;且只在實時憑證被驗證為有效時才允許該組成員的物理訪問。第 一部分可由管理機(jī)構(gòu)數(shù)字簽署。管理機(jī)構(gòu)可提供第二部分。第二部分 可由不同于管理機(jī)構(gòu)的實體提供。實時憑證可被提供在智能卡上。該 組的成員可在第一位置獲得實時憑證的第二部分。該組的成員可被允 許訪問不同于且與第一位置分開的第二位置。實時憑證的第一部分的 至少一部分可代表多次應(yīng)用到實時憑證的第二部分的一部分的單向 散列。多次可對應(yīng)于自實時憑證的第一部分被發(fā)出之后逝去的時間 量??刂莆锢碓L問還可包括控制通過門的訪問。根據(jù)本發(fā)明,確定訪問包括確定特定的憑證/證明是否表明訪問 被允許,確定是否有另外的數(shù)據(jù)與憑證/證明相關(guān)聯(lián),其中另外的數(shù) 據(jù)獨(dú)立于憑證/證明,及如果特定憑證/證明表明訪問已被允許且有另外的數(shù)據(jù)與特定憑證/證明相關(guān)聯(lián),則根據(jù)另外的數(shù)據(jù)提供的信息決 定是否拒絕訪問。憑證/證明可以為一體,也可是分開的部分??梢?是第一管理實體產(chǎn)生憑證,其它管理實體產(chǎn)生證明。第一管理實體還 可產(chǎn)生證明或第一管理實體不可產(chǎn)生證明。憑證可對應(yīng)于包括終值的 數(shù)字證書,終值是將單向函數(shù)應(yīng)用到第一證明的結(jié)果。每一證明可以 是將單向函數(shù)應(yīng)用到未來證明之一的結(jié)果。數(shù)字證書可包括電子設(shè)備 的標(biāo)識符。憑證可包括終值,終值為將單向函數(shù)應(yīng)用到第一證明的結(jié) 果。每一證明可以是將單向函數(shù)應(yīng)用到未來證明之一的結(jié)果。憑證可 包括用戶請求訪問的標(biāo)識符。憑證/證明可包括數(shù)字簽名。訪問可以 是對由墻和門封閉的區(qū)域的訪問。確定訪問可包括提供門鎖,其中門 鎖根據(jù)訪問是否被拒絕進(jìn)行開啟。確定訪問還可包括提供接收憑證/ 證明的讀卡機(jī)。憑證/證明可被提供在用戶呈現(xiàn)的智能卡上。憑證/ 證明可包括用戶輸入的密碼。憑證/證明可包括用戶生物測定信息。 憑證/證明可包括手寫簽名。憑證/證明可包括在用戶所持的卡上提供 的秘密值。憑證/證明可在預(yù)定時間后過期。另外的數(shù)據(jù)可被數(shù)字簽 署。另外的數(shù)據(jù)可以是與憑證/證明綁定的消息。消息可識別特定的 憑證/證明并包括特定憑證/證明是否已被取消的指示。指示可以是空 串。另外的數(shù)據(jù)可包括日期。另外的數(shù)據(jù)可以是包含關(guān)于特定憑證/ 證明的信息及包含關(guān)于一個或多個其它憑證/證明的信息的消息。確 定訪問還可包括保存另外的數(shù)據(jù)。另外的數(shù)據(jù)可包括到期時間,其表 明另外的數(shù)據(jù)將被保存多久。到期時間可對應(yīng)于特定憑證/證明的到 期。確定訪問還可包括將另外的數(shù)據(jù)保存預(yù)定長的時間。憑證/證明 可在預(yù)定時間之后均到期。另外的數(shù)據(jù)可使用智能卡進(jìn)行提供。智能 卡可由試圖訪問區(qū)域的用戶呈現(xiàn)。對區(qū)域的訪問可使用墻和至少一門 進(jìn)行限制。另外的數(shù)據(jù)可用于不同于試圖訪問的用戶的用戶。確定訪 問還可包括提供通信鏈路并使用通信鏈路傳輸另外的數(shù)據(jù)。通信鏈路 可由智能卡提供以另外的數(shù)據(jù)。智能卡可要求與通信鏈路定期通信以 保持有效。智能卡可被另一智能卡提供以另外的數(shù)據(jù)。另外的數(shù)據(jù)可 被有選擇地提供給一小組智能卡。確定訪問還可包括提供優(yōu)先級給另外的數(shù)據(jù)。另外的數(shù)據(jù)可根據(jù)提供給另外的數(shù)據(jù)的優(yōu)先級而被有選擇 地提供給一小組智能卡。另外的數(shù)據(jù)可被隨機(jī)提供給一小組智能卡。根據(jù)本發(fā)明,發(fā)出和傳播關(guān)于憑證的數(shù)據(jù)包括使實體發(fā)出表明憑 證已被取消的經(jīng)鑒定的數(shù)據(jù),使得經(jīng)鑒定的數(shù)據(jù)保存在第一用戶的第 一卡中,使用第一卡將經(jīng)鑒定的數(shù)據(jù)傳輸給第一門,使第一門保存關(guān) 于經(jīng)鑒定的數(shù)據(jù)的信息,并使第一門依靠關(guān)于經(jīng)鑒定的數(shù)據(jù)的信息來 拒絕訪問憑證。經(jīng)鑒定的數(shù)據(jù)可由數(shù)字簽名進(jìn)行鑒定,且第一門可驗 證數(shù)字簽名。數(shù)字簽名可以是公鑰數(shù)字簽名。數(shù)字簽名的公鑰可與憑 證關(guān)聯(lián)。數(shù)字簽名可以是私鑰數(shù)字簽名。憑證和第一卡均屬于第一用 戶。憑證可被保存在不同于第一卡的第二卡中,第一門可通過從存儲 器檢索關(guān)于經(jīng)鑒定的數(shù)據(jù)的信息而依靠這樣的信息。憑證可屬于不同 于第一用戶的第二用戶。經(jīng)鑒定的數(shù)據(jù)可被首先保存在不同于第一卡 的至少一其它卡中,且經(jīng)鑒定的數(shù)據(jù)可從至少一其它卡傳輸給第一 卡。經(jīng)鑒定的數(shù)據(jù)可通過首先傳輸給不同于第一門的至少一其它門而 從至少一其它卡傳輸給第一卡。實體可通過首先使經(jīng)鑒定的數(shù)據(jù)保存 在應(yīng)答器上然后使第一卡從應(yīng)答器獲得經(jīng)鑒定的數(shù)據(jù)而使得經(jīng)鑒定 的數(shù)據(jù)被保存在第一卡中。應(yīng)答器可無保護(hù)。第一門可通過使經(jīng)鑒定 的數(shù)據(jù)首先傳輸給不同于第一卡的至少一其它卡而從第一卡接收關(guān) 于經(jīng)鑒定的數(shù)據(jù)的信息。至少一其它卡可通過使經(jīng)鑒定的數(shù)據(jù)首先傳 輸給不同于第一門的至少一其它門而從第一卡接收關(guān)于經(jīng)鑒定的數(shù) 據(jù)的信息。第一門可以是全不連通或間歇連通。根據(jù)本發(fā)明,第一門接收關(guān)于第一用戶的憑證的經(jīng)鑒定的數(shù)據(jù), 過程包括從屬于不同于第一用戶的第二用戶的第一卡接收經(jīng)鑒定的 數(shù)據(jù),保存關(guān)于經(jīng)鑒定的數(shù)據(jù)的信息,接收憑證,及依靠所保存的關(guān) 于經(jīng)鑒定的數(shù)據(jù)的信息拒絕訪問憑證。經(jīng)鑒定的數(shù)據(jù)可由數(shù)字簽名進(jìn) 行鑒定,且第一門驗證數(shù)字簽名。數(shù)字簽名可以是公鑰數(shù)字簽名。數(shù) 字簽名的公鑰可與憑證關(guān)聯(lián)。數(shù)字簽名可以是私鑰數(shù)字簽名。經(jīng)鑒定 的數(shù)據(jù)可通過首先保存在至少一其它卡中然后從至少一其它卡傳輸 給第一卡而被保存在第一卡中。經(jīng)鑒定的數(shù)據(jù)可通過首先傳輸給不同于第一門的至少一其它門而從至少一其它卡傳輸給第一卡。經(jīng)鑒定的 數(shù)據(jù)可通過首先保存在應(yīng)答器上然后使第一卡從應(yīng)答器獲得而被保 存在第一卡中。應(yīng)答器可無保護(hù)。第一門可通過使經(jīng)鑒定的數(shù)據(jù)首先 傳輸給不同于第一卡的至少一其它卡而從第一卡接收關(guān)于經(jīng)鑒定的 數(shù)據(jù)的信息。至少一其它卡可通過使經(jīng)鑒定的數(shù)據(jù)首先傳輸給不同'于 第一門的至少一其它門而從第一卡接收關(guān)于經(jīng)鑒定的數(shù)據(jù)的信息。第 一門可以是全不連通或間歇連通。根據(jù)本發(fā)明,幫助立即取消訪問包括接收關(guān)于憑證的經(jīng)鑒定的數(shù) 據(jù),將關(guān)于經(jīng)鑒定的數(shù)據(jù)的信息保存在第一卡上,及使第一門接收關(guān) 于經(jīng)鑒定的數(shù)據(jù)的信息。經(jīng)鑒定的數(shù)據(jù)可由數(shù)字簽名進(jìn)行鑒定。數(shù)字 簽名可以是公鑰數(shù)字簽名。數(shù)字簽名的公鑰可與憑證關(guān)聯(lián)。數(shù)字簽名 可以是私鑰數(shù)字簽名。憑證和卡均屬于第一用戶。如果第一卡在預(yù)先 指定的時間中未能接收預(yù)先指定類型的信號,則第一卡將變?yōu)椴豢捎?于訪問。憑證可屬于不同于第一用戶的另一用戶。經(jīng)鑒定的數(shù)據(jù)可通 過首先保存在不同于第一卡的至少一其它卡中然后從至少一其它卡 傳輸給第一卡而被第一卡接收。經(jīng)鑒定的數(shù)據(jù)可通過首先傳輸給不同 于第一門的至少一其它門而從至少一其它卡傳輸給第一卡。第一卡可 從應(yīng)答器獲得經(jīng)鑒定的數(shù)據(jù)。應(yīng)答器可無保護(hù)。第一卡可通過首先將 經(jīng)鑒定的數(shù)據(jù)傳輸給不同于第一卡的至少一其它卡而使第一門接收 關(guān)于經(jīng)鑒定的數(shù)據(jù)的信息。第一卡可通過首先將經(jīng)鑒定的數(shù)據(jù)傳輸給 不同于第一門的至少一其它門而使至少一其它卡接收關(guān)于經(jīng)鑒定的 數(shù)據(jù)的信息。第一門可以全不連通或間歇連通。最后第一卡可從存儲 器刪除所保存的關(guān)于經(jīng)鑒定的數(shù)據(jù)的信息。憑證可具有到期日期,第 一卡可在憑證過期之后從存儲器刪除所保存的關(guān)于經(jīng)鑒定的數(shù)據(jù)的 信息。憑證的到期日期可從憑證內(nèi)指定的信息推斷。根據(jù)本發(fā)明,記錄與訪問區(qū)域相關(guān)的事件包括記錄與訪問區(qū)域有 關(guān)的事件以提供事件記錄并鑒定至少一事件記錄從而提供經(jīng)鑒定的 記錄。記錄事件可包括記錄事件的時間。記錄事件可包括記錄事件的 類型。事件可以是試圖訪問區(qū)域。記錄事件可包括記錄連同訪問區(qū)域嘗試使用的憑證/證明。記錄事件可包括記錄嘗試的結(jié)果。記錄事件 可包括記錄不同于表明訪問應(yīng)被拒絕的憑證/證明的數(shù)據(jù)的存在。記 錄事件可包括記錄與區(qū)域有關(guān)的另外的數(shù)據(jù)。鑒定記錄可包括數(shù)字簽 署記錄。鑒定至少一事件記錄可包括鑒定事件記錄及鑒定其它事件記 錄以提供單一經(jīng)鑒定的記錄。單一經(jīng)鑒定的記錄可被保存在卡上。經(jīng) 鑒定的記錄可被保存在卡上??删哂辛硪唤?jīng)鑒定的記錄保存于其 上。另一經(jīng)鑒定的記錄可由卡連同用于訪問區(qū)域的卡提供。如果另一 經(jīng)鑒定的記錄未被驗證,則訪問可被拒絕??刂破骺蛇B同訪問區(qū)域一 起提供,其中控制器進(jìn)一步鑒定另一經(jīng)鑒定的記錄。另一經(jīng)鑒定的記 錄可使用數(shù)字證書進(jìn)行鑒定。記錄事件還可包括用戶呈現(xiàn)卡以試圖訪 問區(qū)域。記錄事件還可包括在用戶試圖訪問區(qū)域時卡進(jìn)一步鑒定經(jīng)鑒 定的記錄。與訪問區(qū)域有關(guān),控制器可被提供,其中控制器和卡共同 進(jìn)一步鑒定經(jīng)鑒定的記錄。記錄事件可包括提供相關(guān)產(chǎn)生數(shù)據(jù),其指 明經(jīng)鑒定的記錄的內(nèi)容。相關(guān)產(chǎn)生數(shù)據(jù)可與經(jīng)鑒定的記錄綁定。相關(guān) 產(chǎn)生數(shù)據(jù)可與經(jīng)鑒定的記錄綁定且所得的綁定可被鑒定。所得到的綁 定可被數(shù)字簽署。相關(guān)產(chǎn)生數(shù)據(jù)可以是一系列數(shù)字,且數(shù)字中的特定 之一可被賦予事件。記錄事件還可包括鑒定特定數(shù)字和事件的綁定。 鑒定綁定可包括數(shù)字簽署綁定。鑒定綁定可包括單向散列綁定然后數(shù) 字簽署其結(jié)果。事件的相關(guān)產(chǎn)生數(shù)據(jù)可包括識別另一事件的信息。另 一事件可以是在前的事件。另一事件可以是未來的事件。記錄事件還 可包括關(guān)聯(lián)事件的第一和第二隨機(jī)值,將第一和第二隨機(jī)值中的至少 一個與另一事件相關(guān)聯(lián),及將第一和第二值中的至少一個與另一事件 綁定。提供相關(guān)產(chǎn)生數(shù)據(jù)可包括使用多項式產(chǎn)生相關(guān)信息。提供相關(guān) 產(chǎn)生數(shù)據(jù)可包括使用散列鏈產(chǎn)生相關(guān)信息。相關(guān)產(chǎn)生數(shù)據(jù)可包括關(guān)于 多個其它事件的信息。相關(guān)產(chǎn)生數(shù)據(jù)可包括糾錯代碼。記錄事件還可 包括傳播經(jīng)鑒定的記錄。傳播經(jīng)鑒定的記錄可包括將經(jīng)鑒定的記錄提 供在由試圖訪問區(qū)域的用戶呈現(xiàn)的卡上。區(qū)域可由墻和門確定。
根據(jù)本發(fā)明,至少一管理實體控制電子設(shè)備的訪問,其通過至少 一管理實體為電子設(shè)備產(chǎn)生憑證和多個相應(yīng)的證明,其中如果僅給出憑證和過期證明的值,不可確定有效的證明,電子設(shè)備接收憑證,如 果訪問在特定時間被授權(quán),電子設(shè)備接收對應(yīng)于特定時間的證明,及 電子設(shè)備使用憑證確認(rèn)證明。至少一管理實體可在產(chǎn)生憑證之后產(chǎn)生 證明。單一管理實體可產(chǎn)生憑證并產(chǎn)生證明。也可以是第一管理實體 產(chǎn)生憑證,其它管理實體產(chǎn)生證明。第一管理實體也可產(chǎn)生證明或不 可產(chǎn)生證明。憑證可以是包括終值的數(shù)字證書,終值為將單向函數(shù)應(yīng) 用到第一證明的結(jié)果。每一證明可以是將單向函數(shù)應(yīng)用到未來證明之
一的結(jié)果。數(shù)字證書可包括電子設(shè)備的標(biāo)識符。憑證可包括終值,其 為將單向函數(shù)應(yīng)用到第一證明的結(jié)果。每一證明可以是將單向函數(shù)應(yīng)
用到未來證明之一的結(jié)果。憑證可包括電子設(shè)備的標(biāo)識符。電子設(shè)備 可以是計算機(jī),其僅在訪問被授權(quán)時啟動。電子設(shè)備可以是磁盤驅(qū)動 器。至少一管理實體控制電子設(shè)備的訪問可包括使用獨(dú)立于至少一管 理實體的至少一證明分配實體提供證明。可以僅有一個證明分配實體 或有多個證明分配實體。至少一管理實體控制電子設(shè)備的訪問可包括 使用到電子設(shè)備的連接提供證明。連接可以是因特網(wǎng)。至少部分證明 可被本機(jī)保存在電子設(shè)備上。至少一管理實體控制電子設(shè)備的訪問可 包括,如果對應(yīng)于時間的證明不可在本機(jī)獲得,電子設(shè)備經(jīng)外部連接 請求證明。每一證明可與特定的時間間隔相關(guān)聯(lián)。在與特定證明相關(guān) 聯(lián)的特定時間間隔已消逝之后,電子設(shè)備可接收新證明。時間間隔可 以是一天。
根據(jù)本發(fā)明,電子設(shè)備控制對其的訪問,其通過接收用于電子設(shè) 備的憑證和多個相應(yīng)證明中的至少一個,其中如果僅給出憑證和過期 證明的值則不可確定有效的證明,且使用憑證測試多個證明中的至少 一個。憑證可以是包括終值的數(shù)字證書,終值為將單向函數(shù)應(yīng)用到第 一證明的結(jié)果。每一證明可以是將單向函數(shù)應(yīng)用到未來證明之一的結(jié) 果。數(shù)字證書可包括電子設(shè)備的標(biāo)識符。憑證可包括終值,其為將單 向函數(shù)應(yīng)用到第一證明的結(jié)果。每一證明可以是將單向函數(shù)應(yīng)用到未 來證明之一的結(jié)果。憑證可包括電子設(shè)備的標(biāo)識符。電子設(shè)備可以是 計算機(jī)。電子設(shè)備控制對其的訪問還可包括僅在訪問被授權(quán)時計算機(jī)啟動。電子設(shè)備可以是磁盤驅(qū)動器。電子設(shè)備控制對其的訪問可包括 使用到電子設(shè)備的連接獲得證明。連接可以是因特網(wǎng)。至少部分證明 可被本機(jī)保存在電子設(shè)備上。電子設(shè)備控制對其的訪問可包括,如果對應(yīng)于時間的證明不可在本機(jī)獲得,電子設(shè)備經(jīng)外部連接請求證明。 每一證明可與特定的時間間隔相關(guān)聯(lián)。在與特定證明相關(guān)聯(lián)的特定時 間間隔已消逝之后,電子設(shè)備可接收新證明。時間間隔可以是一天。 根據(jù)本發(fā)明,控制對電子設(shè)備的訪問包括提供憑證給電子設(shè)備, 如果訪問在特定時間被允許,提供對應(yīng)于特定時間的證明給電子設(shè) 備,其中如果僅給出憑證和過期證明的值則不可確定證明。憑證可以 是包括終值的數(shù)字證書,終值為將單向函數(shù)應(yīng)用到第一證明的結(jié)果。 每一證明可以是將單向函數(shù)應(yīng)用到未來證明之一的結(jié)果。數(shù)字證書可 包括電子設(shè)備的標(biāo)識符。憑證可包括終值,其為將單向函數(shù)應(yīng)用到第 一證明的結(jié)果。每一證明可以是將單向函數(shù)應(yīng)用到未來證明之一的結(jié) 果。憑證可包括電子設(shè)備的標(biāo)識符。電子設(shè)備可以是計算機(jī)??刂茖?電子設(shè)備的訪問可包括僅在訪問被授權(quán)時計算機(jī)啟動。電子設(shè)備可以 是磁盤驅(qū)動器。控制對電子設(shè)備的訪問可包括使用獨(dú)立于至少一管理 實體的至少一證明分配實體提供證明??梢詢H有一個證明分配實體。 可以有多個證明分配實體。控制對電子設(shè)備的訪問可包括使用到電子 設(shè)備的連接提供證明。連接可以是因特網(wǎng)。至少部分證明可被本機(jī)保 存在電子設(shè)備上??刂茖﹄娮釉O(shè)備的訪問可包括,如果對應(yīng)于時間的 證明不可在本機(jī)獲得,電子設(shè)備經(jīng)外部連接請求證明。每一證明可與 特定的時間間隔相關(guān)聯(lián)。在與特定證明相關(guān)聯(lián)的特定時間間隔已消逝 之后,電子設(shè)備可接收新證明。時間間隔可以是一天。
圖1A為根據(jù)在此描述的系統(tǒng)的實施例的示意圖,其包括連接、 多個電子設(shè)備、管理實體、證明分配實體。圖1B為根據(jù)在此描述的系統(tǒng)的另一實施例的示意圖,其包括連 接、多個電子設(shè)備、管理實體、證明分配實體。圖1C為根據(jù)在此描述的系統(tǒng)的另一實施例的示意圖,其包括連 接、多個電子設(shè)備、管理實體、證明分配實體。圖1D為根據(jù)在此描述的系統(tǒng)的另一實施例的示意圖,其包括連接、多個電子設(shè)備、管理實體、證明分配實體。圖2為根據(jù)在此描述的系統(tǒng)的電子設(shè)備的詳細(xì)示圖。圖3為根據(jù)在此描述的系統(tǒng),連同電子設(shè)備確定是否執(zhí)行確認(rèn)執(zhí)行的步驟的流程圖。圖4為根據(jù)在此描述的系統(tǒng),所執(zhí)行的與執(zhí)行確認(rèn)有關(guān)的步驟的流程圖。圖5為根據(jù)在此描述的系統(tǒng),所執(zhí)行的與產(chǎn)生憑證有關(guān)的步驟的 流程圖。圖6為根據(jù)在此描述的系統(tǒng),所執(zhí)行的與根據(jù)憑證核對證明有關(guān) 的步驟的流程圖。圖7為根據(jù)在此描述的系統(tǒng)的示意圖,包括對其物理訪問將被限 制的區(qū)域。
具體實施方式
參考圖1A,圖20示出了一般連接22,具有多個電子設(shè)備24-26 連接到該連接。盡管圖20示出了三個電子設(shè)備24-26,在此描述的 系統(tǒng)可與任何數(shù)量的電子設(shè)備一起工作。連接22可被實施為直接電 子數(shù)據(jù)連接、通過電話線的連接、LAN、 WAN、因特網(wǎng)、虛擬專用網(wǎng)、 或任何其它用于提供數(shù)據(jù)通信的機(jī)構(gòu)。電子設(shè)備24-26可代表一個或 多個膝上型計算機(jī)、臺式計算機(jī)(在辦公室中或在雇員家中或其它位 置)、PDA、移動電話、磁盤驅(qū)動器、海量存儲設(shè)備、或任何其它可用 于限制對其的訪問的電子設(shè)備。在在此的實施例中,電子設(shè)備24-26代表可由機(jī)構(gòu)的雇員使用的臺式或膝上型計算機(jī),在用戶/雇員離開 機(jī)構(gòu)和/或計算機(jī)之一被丟失或偷竊時機(jī)構(gòu)希望限制對電子設(shè)備的訪 問。當(dāng)然,可以有其它限制對一個或多個電子設(shè)備24-26的訪問的原 因,在此描述的系統(tǒng)可與任何適當(dāng)?shù)膶嵤┓绞揭黄鹗褂?。管理實體28設(shè)定允許用戶訪問電子設(shè)備24-26的策略。例如, 管理實體28可確定特定用戶Ul不再有權(quán)訪問任何電子設(shè)備24-26, 而另一用戶U2可訪問電子設(shè)備24但不可訪問其它電子設(shè)備25、 26。 管理實體28可使用任何策略用于設(shè)定用戶訪問。管理實體28提供多個證明,其經(jīng)連接22傳輸給電子設(shè)備24-26。 證明可通過其它手段提供給電子設(shè)備24-26,這些手段將在下面詳細(xì) 描述。電子設(shè)備24-26接收所分配的證明,使用內(nèi)部保存的憑證(在 本說明書別處詳細(xì)描述),確定對其的訪問是否應(yīng)被允許??蛇x地, 證明分配實體32也可被連接到連接22及管理實體28。證明分配實 體32提供證明給電子設(shè)備24-26。在在此的實施例中,證明僅對一 個用戶和電子設(shè)備24-26之一有效,可選地,僅在某一日期或日期范 圍有效。證明可使用美國專利5, 666, 416中公開的類似機(jī)制提供,該專利 通過引用組合于此,其中,每一電子設(shè)備24-26將管理實體28 (或 其它經(jīng)授權(quán)的實體)簽署的數(shù)字證書作為憑證進(jìn)行接收,數(shù)字證書包 含特殊值,其代表單向函數(shù)應(yīng)用到初始值N次后的值。在每一新的時 間間隔,電子設(shè)備可被呈現(xiàn)以證明,其由通過應(yīng)用單向函數(shù)獲得的N 個值中之一組成。在該例子中,電子設(shè)備24-26可通過多次應(yīng)用單向 函數(shù)以獲得數(shù)字證書中提供的特殊值而確認(rèn)證明是合法的。該機(jī)制及 其它可能的機(jī)制均在本說明書別處詳細(xì)描述。也可使用麻薩諸塞州Cambridge的CoreStreet, Ltd.提供的一 個或多個產(chǎn)品提供在此提出的適當(dāng)憑證和證明,或使用任何其它用于 產(chǎn)生獨(dú)特證明的機(jī)制,其l)僅可已由管理機(jī)構(gòu)(不存在管理安全違 背)產(chǎn)生;及2)不能用于產(chǎn)生任何其它證明。因此,證明使得,給 定合法證明Pl,未經(jīng)授權(quán)的用戶不可產(chǎn)生另一表面上合法的證明P2 用于不同的目的(例如,用于不同的時間間隔、不同的設(shè)備等)。因 而,發(fā)出的證明可以非保密方式保存和分發(fā),這實質(zhì)上降低了系統(tǒng)成 本。當(dāng)然,對產(chǎn)生憑證和/或證明的實體保持適當(dāng)?shù)陌踩约皩θ魏?未發(fā)出(如未來的)的證明保持適當(dāng)?shù)陌踩允怯欣?。此外,擁有合法證明P1-PN的未經(jīng)授權(quán)的用戶不可產(chǎn)生新證明 PN+1。這在許多情況下是有利的。例如,被終止雇用關(guān)系的雇員在終止之后即使其還擁有他被公司雇用時用于膝上型計算機(jī)的所有先前 的合法證明,其自己也不可產(chǎn)生新證明以提供對其公司膝上型計算機(jī) 的未經(jīng)授權(quán)訪問。在在此的實施例中,電子設(shè)備24-26為具有執(zhí)行在此描述的處理 的固件和/或操作系統(tǒng)軟件的計算機(jī),證明用于阻止對其的未經(jīng)授權(quán) 登錄和/或訪問。在啟動基礎(chǔ)上和/或在足夠時間已消逝之后,計算機(jī) 應(yīng)要求適當(dāng)?shù)淖C明以進(jìn)行運(yùn)行。在該實施例中,在此描述的功能可與 標(biāo)準(zhǔn)Windows登錄系統(tǒng)(及BIOS或PXE環(huán)境)結(jié)合。管理實體28可 與公司Microsoft網(wǎng)絡(luò)的普通用戶管理工具結(jié)合并允許管理員為每 一用戶設(shè)定登錄策略。在許多情況下,管理實體28能夠從現(xiàn)存的管 理信息導(dǎo)出所有所需要的信息,其使該新功能對管理員幾乎透明并降 低了培訓(xùn)和采用成本。管理實體28可在企業(yè)網(wǎng)絡(luò)內(nèi)運(yùn)行或由膝上型 計算機(jī)制造商、BIOS制造商或其它受托伙伴存放為ASP模型。證明 分配實體32可部分在企業(yè)網(wǎng)絡(luò)內(nèi)運(yùn)行、部分在全球站點(diǎn)運(yùn)行。由于 證明不是敏感信息,證明分配系統(tǒng)的可全球訪問的儲存庫可作為網(wǎng)絡(luò) 服務(wù)運(yùn)行,從而使證明可用于企業(yè)網(wǎng)絡(luò)之外的用戶。在在此的實施例中,每一計算機(jī)每天應(yīng)要求新證明。然而,本領(lǐng) 域一般技術(shù)人員應(yīng)意識到的是,時間增量可被改變,使得計算機(jī)可每 周要求新證明或每小時要求新證明。此外,還可能利用IDE硬盤驅(qū)動器的很少使用的特征,其允許在 驅(qū)動器上設(shè)置密碼,在驅(qū)動器將旋轉(zhuǎn)并允許訪問內(nèi)容之前密碼必須被 呈現(xiàn)給驅(qū)動器。如果驅(qū)動器的固件被修改以使用在此描述的系統(tǒng),則 對硬盤驅(qū)動器的訪問可能被限制,使得即使將硬盤驅(qū)動器放置在不同 的計算機(jī)中也不能訪問計算機(jī)硬盤驅(qū)動器。該特征可與其它類型的硬 盤驅(qū)動器一起實施。在其它實施方式中,系統(tǒng)可用于訪問數(shù)據(jù)文件、實際盤巻、邏輯 巻等。在一些情況下,如限制訪問文件的情況下,其可用于對相應(yīng)的操作系統(tǒng)進(jìn)行適當(dāng)?shù)男薷?。參考圖1B,圖20'示出了具有多個管理實體28a-28c的另一實施 例。盡管圖20'示出了三個管理實體28a-28c,在此描述的系統(tǒng)可與 任何數(shù)量的管理實體一起工作。在圖20'所示的實施例中,可能管理 實體28a-28c之一 (如管理實體28a)產(chǎn)生憑證,而管理實體28a-28c 中的其它實體(如管理實體28b、 28c)產(chǎn)生證明,或所有管理實體 28a-28c均產(chǎn)生證明。可選地,可使用證明分配實體32。參考圖1C,圖20〃示出了具有多個證明分配實體32a-32c的另一 實施例。盡管圖20〃只示出了三個證明分配實體32a-32c,在此描述 的系統(tǒng)可與任何數(shù)量的證明分配實體一起工作。圖20"所示的實施例 可使用麻薩諸塞州Cambridge的Akamai Technolog ies Incorporated提供的技術(shù)實施。參考圖1D,圖20'''示出了具有多個管理實體283'-28c'和多個 證明分配實體32a, -32c'的另一實施例。盡管20'',只示出了三個管 理實體28a' -28c'和三個證明分配實體32a' -32c',在此描述的系統(tǒng) 可與任何數(shù)量的管理實體和證明分配實體一起工作。圖20'''所示的 實施例結(jié)合了圖1B所示實施例的特征和圖1C所示實施例的特征。參考圖2,其詳細(xì)示出了電子設(shè)備24,其包括確認(rèn)單元42、憑 證數(shù)據(jù)44和證明數(shù)據(jù)46。確認(rèn)單元42可使用硬件、軟件、固件或 其結(jié)合實施。基于某些條件,如啟動,確認(rèn)單元42接收啟動信號, 其使得確認(rèn)單元42檢查憑證數(shù)據(jù)44和證明數(shù)據(jù)46,基于檢查結(jié)果, 產(chǎn)生表明合法證明已被呈現(xiàn)的通過信號或產(chǎn)生失敗信號。確認(rèn)單元 42的輸出由繼續(xù)處理/設(shè)備如計算機(jī)啟動固件使用以確定操作是否可 繼續(xù)。在在此的實施例中,電子設(shè)備24包括外部接口48,其由確認(rèn)單 元42控制。如確認(rèn)單元42—樣,外部接口48可使用硬件、軟件、 固件或其結(jié)合實施。外部接口48被連接到連接22,并用于取回可被 保存在證明數(shù)據(jù)46中的新證明。因而,如果確認(rèn)單元42確定保存在 證明數(shù)據(jù)46中的證明不充分(例如已過期),確認(rèn)單元42提供信號給外部接口 48以使外部接口 48經(jīng)連接22請求新證明。當(dāng)然,如果 電子設(shè)備24已被丟失和/或偷竊或如果用戶為已終止的雇員或如果 有任何其它不允許訪問電子設(shè)備24的原因,則外部接口 48將不能獲 得有效證明。在一些實施例中,外部接口 48提示用戶進(jìn)行適當(dāng)?shù)碾?子連接(例如,將膝上型計算機(jī)連接到網(wǎng)絡(luò))。在在此的實施例中,時間數(shù)據(jù)52提供信息給確認(rèn)單元42以指明 有效證明被呈現(xiàn)給確認(rèn)單元42的最近一次時間。該信息可用于阻止 太頻繁地請求證明,同時防止在請求新證明之前等待得太久。確認(rèn)單 元42、外部接口48、憑證數(shù)據(jù)44、證明數(shù)據(jù)46、及時間數(shù)據(jù)52的 相互作用和使用在本說明書別處詳細(xì)描述。參考圖3,流程圖70示出了確定是否發(fā)送啟動信號給確認(rèn)單元 42所執(zhí)行的步驟,以確定確認(rèn)單元42是否應(yīng)檢查憑證數(shù)據(jù)44和證 明數(shù)據(jù)46以產(chǎn)生通過或失敗信號。處理開始于第一步驟72,其確定 啟動操作是否正被執(zhí)行。在在此的實施例中,證明總是連同啟動操作 一起進(jìn)行檢查。因此,如果在測試步驟72確定啟動正被執(zhí)行,則控 制從步驟72轉(zhuǎn)到步驟74,啟動信號被發(fā)送給確認(rèn)單元42。在步驟 74之后是步驟76,在再次循環(huán)之前進(jìn)程等待預(yù)定長的時間。在在此 的實施例中預(yù)定的時長可以是一天,盡管其它時長也可被使用。在步 驟76之后,控制轉(zhuǎn)回到如上述的測試步驟72。如果在測試步驟72確定啟動操作未被執(zhí)行,則控制從測試步驟 72轉(zhuǎn)到測試步驟78,其確定自上次運(yùn)行確認(rèn)單元42之后預(yù)定的時間 量是否已消逝。這可通過使用時間數(shù)據(jù)元件52或許及當(dāng)前系統(tǒng)時間 進(jìn)行確定。在在此的實施例中,在測試步驟78使用的預(yù)定時間量為 一天。如果在測試步驟78確定自上次運(yùn)行確認(rèn)單元42以來的時間量 大于預(yù)定時間量,則控制從測試步驟78轉(zhuǎn)到步驟74,啟動信號被發(fā) 送給確認(rèn)單元42。在步驟74之后或在測試步驟78之后(如果時間 量不大于預(yù)定時間量)是如上所述的步驟76。參考圖4,流程圖90示出了確認(rèn)單元42確定是否已接收足夠的 證明所執(zhí)行的步驟。如本說明書別處所述,確認(rèn)單元42發(fā)送或通過或失敗信號給后繼處理/設(shè)備(如計算機(jī)啟動固件或磁盤驅(qū)動器固件)。處理開始于第一步驟92,確認(rèn)單元42確定必須的證明。必須 證明為確認(rèn)單元42確定的足以能夠發(fā)送通過信號的證明。確認(rèn)單元 42通過檢查憑證數(shù)據(jù)44、證明數(shù)據(jù)46、時間數(shù)據(jù)52、甚至內(nèi)部/系 統(tǒng)時鐘來確定必須證明。在步驟92之后是測試步驟94,其確定適當(dāng) 的證明是否可本地獲得(即在證明數(shù)據(jù)46中)及本地提供的證明是 否滿足必要的要求(本說明書別處描述)。如果是,則控制從步驟94 轉(zhuǎn)到步驟96,確認(rèn)單元42發(fā)出通過信號。在步驟96之后,處理結(jié) 束。在一些實施例中,可能并希望獲得并保存未來的證明于證明數(shù)據(jù) 46中。例如,預(yù)計不能連接到管理實體28和/或證明分配實體32的 用戶可獲得和保存未來的證明。在這些實施例中,當(dāng)電子設(shè)備連接到 管理實體28和/或證明分配實體32時,其可自動輪詢未來的證明, 其可根據(jù)重新定義的策略提供,或者(或此外),用戶和/或電子設(shè)備 明確請求未來的證明也是可能的,其可以也可不根據(jù)控制策略提供。如果在測試步驟94確定適當(dāng)?shù)淖C明不可本地獲得(即在證明數(shù) 據(jù)46中),則控制從測試步驟94轉(zhuǎn)到測試步驟98,確認(rèn)單元42確 定適當(dāng)?shù)淖C明是否可從外部獲得,例如如上所述,通過提供信號以使 外部接口 48試圖取回證明。如果在測試步驟98確定外部提供的證明 滿足必要的要求(本說明書別處描述),則控制從測試步驟98轉(zhuǎn)到步 驟96,如上所述,確認(rèn)單元42發(fā)出通過信號。在在此的實施例中, 外部提供的證明被保存在證明數(shù)據(jù)46中。如果在測試步驟98確定適當(dāng)?shù)臄?shù)據(jù)不可從外部獲得,或因為沒 有適當(dāng)?shù)倪B接或因為其它原因,則控制從測試步驟98轉(zhuǎn)到步驟102, 用戶被提示輸入適當(dāng)?shù)淖C明。在在此的實施例中,如果用戶在沒有適 當(dāng)電連接的位置,用戶可呼叫特定的電話號碼并接收數(shù)字形式的適當(dāng) 證明,其可連同步驟102提供的提示手動輸入到電子設(shè)備中。當(dāng)然, 用戶可通過其它手段接收證明,如被手寫、打字、甚或出版在報紙中 的證明(例如,在分類區(qū)域)。在步驟102之后是測試步驟104,其確定用戶是否已輸入滿足必 要要求的證明(如本說明書別處所述)。如果是,則控制從測試步驟 104轉(zhuǎn)到步驟96,如上所述,確認(rèn)單元42發(fā)出通過信號。否則,控 制從測試步驟104轉(zhuǎn)到步驟106,確認(rèn)單元42發(fā)出失敗信號。在步 驟106之后,處理結(jié)束。參考圖5,流程圖120示出了產(chǎn)生確認(rèn)單元42所使用的憑證所 執(zhí)行的步驟。流程圖120的步驟可由產(chǎn)生憑證(及一系列證明)的管 理實體28執(zhí)行并提供憑證給電子設(shè)備24。其它適當(dāng)?shù)膶嶓w(如經(jīng)管 理實體28授權(quán)的實體)可產(chǎn)生憑證。在在此的實施例中,隨機(jī)值可 連同產(chǎn)生憑證和證明一起使用,通常是不可預(yù)測的。在步驟122之后 是步驟124,下標(biāo)變量I被設(shè)定為1。在在此的實施例中,所提供的 憑證被用于全年且每天需要新證明,從而365個獨(dú)立的證明可連同產(chǎn) 生憑證一起產(chǎn)生。下標(biāo)變量I用于跟蹤被產(chǎn)生的證明的數(shù)量。在步驟 124之后是步驟126,初始證明值Y(O)被設(shè)定為等于在步驟122確定 的隨機(jī)值RV。在步驟126之后是測試步驟128,其確定下標(biāo)變量I是否大于端 值IEND。如上所述,在在此的實施例中,365個證明連同產(chǎn)生憑證一 起產(chǎn)生,從而,在該實施例中,IEND為365。然而,對于其它實施例, 可將IEND設(shè)定為任何數(shù)。如果在測試步驟128確定I值不大于IEND,則控制從步驟128 轉(zhuǎn)到步驟132, Y(I)被設(shè)定為等于單向函數(shù)應(yīng)用到Y(jié)(I-1)。在步驟 132使用的單向函數(shù)是這樣的函數(shù),給定應(yīng)用單向函數(shù)的結(jié)果,其幾 乎不可能確定被輸入單向函數(shù)的值。因而,對于在步驟132使用的單 向函數(shù),給定Y(I),非常難并非不可能確定輸入值(在該例子中 Y(I-1))。如在此使用的,術(shù)語單向函數(shù)包括任何適當(dāng)提供該特性的 函數(shù)或運(yùn)算,包括但不限于傳統(tǒng)的單向散列函數(shù)和數(shù)字簽名。在步驟 132使用的單向函數(shù)的該特性可用于能夠以不保密方式保存和分發(fā)發(fā) 出的證明,如本說明書別處所述。憑證和證明可在不同的時間產(chǎn)生或 證明可由產(chǎn)生憑證的實體或另一實體在稍后的日期產(chǎn)生。注意,對于其它實施例,在這方面,可能使Y(I)不是Y(I-1)或任何其它Y的函 數(shù)。處理開始于第一步驟122,隨機(jī)值RV被產(chǎn)生。在步驟132之后 是步驟134,下標(biāo)變量I加1。在步驟134之后,控制轉(zhuǎn)回到測試步 驟128,如上所述。如果在測試步驟128確定I大于IEND,則控制從 測試步驟128轉(zhuǎn)到步驟136,終值FV被設(shè)定為等于Y(I-1)。應(yīng)注意, I被減l,因為I被遞增超出IEND。在步驟136之后是步驟138,管 理實體28 (或產(chǎn)生證明和憑證的其它實體)數(shù)字簽署終值、當(dāng)前曰 期、及其它連同證明一起使用的信息。在在此的實施例中,其它信息 可用于識別特定的電子設(shè)備(如膝上型計算機(jī))、特定用戶、或?qū){ 證和證明綁定到特定電子設(shè)備和/或用戶和/或一些其它財產(chǎn)的其它 信息。可選地,日期和/或FV可與其它信息結(jié)合。例如,可使用類似 0CSP簽署的消息,其簡單地說"device #123456 is valid on 1/1/2004"或使miniCRL中對應(yīng)于特殊設(shè)備的位為on或off 。在這 些情況下,設(shè)備上的憑證可鑒定設(shè)備(即確定設(shè)備真地是設(shè)備#123456 等)。OCSP和miniCRL均為現(xiàn)有技術(shù)中公知的。在步驟138之后,處 理結(jié)束。參考圖6,流程圖150示出了確認(rèn)單元42確定證明的有效性時 所執(zhí)行的步驟。處理開始于第一步驟152,確認(rèn)單元42接收證明(例 如,通過從證明數(shù)據(jù)44讀取證明)。在步驟152之后是步驟154,確 認(rèn)單元42接收憑證(例如,通過讀憑證數(shù)據(jù)46)。在步驟154之后是測試步驟156,其確定連同憑證提供的其它信 息是否匹配。如本說明書別處所述,其它信息包括電子設(shè)備的標(biāo)識、 用戶的標(biāo)識、或其它財產(chǎn)識別信息。如果在測試步驟156確定與憑證 相關(guān)聯(lián)的其它信息與其它信息描述的特定財產(chǎn)不匹配(例如,憑證用 于不同的電子設(shè)備或不同的用戶),則控制從測試步驟156轉(zhuǎn)到步驟 158,失敗信號被提供。在步驟158之后,處理結(jié)束。如果在測試步驟156確定與憑證相關(guān)聯(lián)的其它信息匹配,則控制 從測試步驟156轉(zhuǎn)到步驟162,變量N被設(shè)定為等于當(dāng)前日期減去與憑證相關(guān)的日期(即自憑證被發(fā)出之后的天數(shù))。在步驟162之后是步驟164,在步驟152提供的證明值具有單向函數(shù)應(yīng)用到其N次。在 步驟164使用的單向函數(shù)對應(yīng)于在步驟132使用的單向函數(shù),如上所 述。在步驟164之后是測試步驟166,其確定在步驟164獲得的結(jié)果 是否等于終值FV, FV是在步驟154接收的憑證的一部分。如果是, 則控制從測試步驟166轉(zhuǎn)到步驟168,確認(rèn)單元42提供通過信號。 否則,如果在測試步驟166確定在步驟164獲得的結(jié)果不等于隨步驟 154的憑證提供的終值FV,則控制從測試步驟166轉(zhuǎn)到步驟172,確 認(rèn)單元42提供失敗信號。在步驟172之后,處理結(jié)束。數(shù)字簽名可提供有效形式的因特網(wǎng)鑒別。與傳統(tǒng)的密碼和PIN不 一樣,數(shù)字簽名可提供到處可驗證且不可否認(rèn)權(quán)威的鑒別。數(shù)字簽名 可經(jīng)簽署密鑰SK產(chǎn)生并經(jīng)匹配的驗證密鑰PK驗證。用戶U對其自己 的SK保密(使得只有U可代表U簽署)。幸運(yùn)的是,密鑰PK不會"背 叛"相匹配的密鑰SK,即,知道PK在計算SK時并不會給予敵人任 何實際的好處。因此,用戶U可使其自己的PK盡可能地公開(從而 每個人均可驗證U的簽名)。為此,PK最好被稱為公鑰。注意,術(shù)語 "用戶"可表示用戶、實體、設(shè)備或用戶、設(shè)備和/或?qū)嶓w的集合。公鑰還可用于非對稱加密。公用的加密鑰PK可與相匹配的解密 鑰SK—起產(chǎn)生。再次地,知道PK不會背叛SK。任何消息可容易地 使用PK加密,但經(jīng)那樣計算的密文僅可經(jīng)知道密鑰SK才可容易地解 密。因此,用戶U可使其自己的PK盡可能地公開(使得每個人均可 為U加密消息),但保持SK專用(使得只有U可讀為U加密的消息)。公知的RSA系統(tǒng)提供數(shù)字簽名和非對稱加密的例子。文字?jǐn)?shù)字字符串調(diào)用的證書規(guī)定給定密鑰PK是給定用戶U的公 鑰。實體,通常稱為發(fā)證機(jī)構(gòu)(CA),產(chǎn)生并發(fā)出證書給用戶。證書 在指定時間后過期,在公共CA的情況下,通常為一年。實際上,數(shù) 字證書(C)由CA的數(shù)字簽名將幾個數(shù)值安全綁定在一起組成SN-對證書唯一的序列號、PK-用戶的公鑰、U-用戶的名稱、D廠發(fā)行日期、D廠有效期、及AI-另外的信息(包括沒有信息)。表示成符號,C=SIGCA (SN, PK, U, Di, D2, AI)。公用的加密鑰還可提供鑒別/識別手段。例如, 一方知道特定公 用加密鑰PK屬于特定用戶U (如因為該方已驗證U的相應(yīng)數(shù)字證書 及PK)并渴望識別U,其可使用PK加密隨機(jī)挑戰(zhàn)C,并要求U以正 確的解密應(yīng)答。由于只有SK的處理器(因而U)可做這項工作,如 果對挑戰(zhàn)的應(yīng)答是正確的,U被完全識別??商峁┫到y(tǒng)控制對使用智能門(和/或智能虛擬門,參見本說明 書別處的描述)的區(qū)域的物理訪問。智能門可驗證正進(jìn)入的人在當(dāng)前 已被授權(quán)進(jìn)入。向門不僅提供以特定用戶的憑證而且提供以單獨(dú)的證 明是有利的,憑證/用戶在某種程度上依然有效,其甚至可由不連通 的門安全使用。在實施例中,這樣的證明按下述產(chǎn)生。假定憑證向門 指明用戶可進(jìn)入。接著,對于每一憑證和每一時間間隔(如每天), 適當(dāng)?shù)膶嶓wE (如決定誰被授權(quán)在任意時間訪問該門的實體或為該實 體工作的第二實體)計算經(jīng)鑒定的指示(PR00F),其為特定憑證在特 定時間間隔是有效的指示。(如果憑證沒有確定門用戶被授權(quán)進(jìn)入, PROOF還可向門指明憑證在特定時間間隔有效)。E的PROOF可由E的數(shù)字簽名組成,其以經(jīng)鑒定的方式指明特定 憑證在特定時間間隔是有效的,例如SIGe(ID, Day, Valid, AI), 其中ID為識別憑證的信息(如憑證的序號),Day為特定時間間隔的 指示(普通的特定天),Valid為憑證被視為有效的指示(如果E從 未簽署類似的數(shù)據(jù)串該指示可被省略,除非憑證被視為有效),AI指 示任何視為有用的額外信息(包括沒有信息)。在一些情況下,E的 簽名可以是公鑰簽名(但其也可是私鑰簽名,即,可經(jīng)單一秘密密鑰 產(chǎn)生和驗證的簽名,只有簽署者和驗證者知道)。如果憑證包括數(shù)字 證書, 一次等實施例可包括短期證書,g卩,對所需時間間隔重新發(fā)出 憑證的數(shù)字簽名(例如,數(shù)字證書指明同一公鑰、同一用戶U和一些 其它基本信息,但還指明開始日期和期滿日期以確定想要的、普通的 日子)。例如,在次等實施例中,普通地讓短期證書持續(xù)一天,PROOF可采取SIGe(PK, U, D,, D2, AI)的形式,其中開始日期D,指明特定日 子D的開始,結(jié)束日期D2指明日子D的相應(yīng)結(jié)束,或D產(chǎn)D產(chǎn)D;或者, 更簡單地,使用單日期信息字段確定正被討論的日子,SIGe(PK, U, Day, AI)。如果E與原始發(fā)證機(jī)構(gòu)相符,短期證書PROOF可采取下述 形式SIGca(PK, U, D!, D2, AI)或SIGca(PK, U, Day, AI)。作為被鑒定的用戶不可產(chǎn)生當(dāng)時其自身的PROOF (即其自身憑證 當(dāng)時的PROOF),也不能將其昨天的PROOF改為今天其自身的PROOF, 也不能將另一用戶今天的PROOF改為其自己今天的PR00F。因為PROOF 實質(zhì)上是非延性且不能變更的,這些PROOF不必須被保護(hù)。因而,實 體E可以可忽略的成本使PROOF可用。例如,E可將特定日子的所有 PROOF發(fā)布在因特網(wǎng)上(如使PROOF可經(jīng)Akamai服務(wù)器或類似物獲 得),或?qū)ROOF發(fā)送給用戶容易接近的應(yīng)答器/服務(wù)器。例如,發(fā)送 給位于機(jī)場(或辦公樓)入口的服務(wù)器,許多應(yīng)被恰當(dāng)訪問的門位于 那里。這樣,來工作的雇員可容易地獲得其自己的PROOF (如通過將 其自己的卡插入與服務(wù)器連接的讀卡機(jī))并表示將PROOF保存在其自 己的卡上,連同其自己的憑證。這樣,當(dāng)用戶將其卡呈現(xiàn)給其憑證授 權(quán)訪問的門時,門不僅可驗證憑證而且可接收和驗證當(dāng)前授權(quán)的 PROOF,根本不需連接。門驗證PROOF (如經(jīng)自安裝后可保存的E的 公鑰驗證E的數(shù)字簽名)及PROOF指明的時間間隔是否正確(如經(jīng)其 自身的本地時鐘)。如果一切正常,則門準(zhǔn)許訪問,否則門拒絕訪問。 實質(zhì)上,門可以是不連通的門,其PROOF驗證相對容易(因為門可接 收大多數(shù)可用方的PROOF:真實用戶要求訪問)和相對安全(盡管門 從可論證地大多數(shù)可疑方接收PROOF:真實用戶要求訪問)。實際上, 用戶要求訪問通??梢允窃谖锢砩辖咏T,因而可非常容易地提供 PROOF,而不用使用任何連接到遠(yuǎn)處站點(diǎn)的連接,因而可獨(dú)立于門的 連通性運(yùn)行。同時,在至關(guān)緊要的時刻,用戶要求訪問可能是最不可 信賴的信息源。但是,因為用戶不可以任何方式產(chǎn)生或改變其自己當(dāng) 前有效性的PROOF,門可注意適當(dāng)驗證的PROOF必須由E產(chǎn)生,且如 果E知道用戶在特定時間間隔將不被授權(quán)則E不應(yīng)產(chǎn)生PROOF。當(dāng)用戶被停止授權(quán)時,E將停止發(fā)出該用戶授權(quán)的PROOF,因而用戶不再 能進(jìn)入相應(yīng)的門(甚至不連通的門),因為用戶將缺少門需要驗證以 準(zhǔn)許訪問的PR00F。因此,通過使用用戶要求訪問來證明適當(dāng)及當(dāng)前 的授權(quán),在此描述的相同免除了與其它系統(tǒng)相關(guān)的不方便,即不需要 分派全體人員去對不連通的門重編程序。該方法還使人們能夠按"角色"(或按"特權(quán)")管理不連通的門 的訪問。即,不使用憑證指定用戶被授權(quán)進(jìn)入的門并接著如每天發(fā)出 憑證當(dāng)前有效性的PROOF (也不是發(fā)出指明特定憑證授權(quán)其用戶在特 定時間間隔進(jìn)入某些門的PROOF),不連通的門可被編程(如在安裝 時)以僅準(zhǔn)予具有特定角色的用戶進(jìn)入。例如,飛機(jī)的駕駛員座艙門 可被編程以僅準(zhǔn)予飛行員(PILOT)和檢查員進(jìn)入。憑證可被發(fā)給雇 員以主要保證他們的身份(這不會變),同時E如每天對特定憑證發(fā) 出的每一 PROOF還可指定(如在AI字段中)其相應(yīng)用戶在那天的角 色。例如,PR00F=SIGE(ID, Day, PIL0T, AI)證明在那天對應(yīng)于ID 所確定的憑證的用戶為飛行員。這樣,雇員可從一個角色"轉(zhuǎn)換"為 下一角色,而不用為他們重新發(fā)出憑證,且不需要在用戶憑證或其相 應(yīng)的每日PROOF內(nèi)指明用戶可在那天進(jìn)入哪些門。應(yīng)注意,這樣的門 的數(shù)量可以非常大。因而,在用戶憑證內(nèi)指明用戶被準(zhǔn)予進(jìn)入的所有 門是非常麻煩的。此外,如果增加新的門(例如因為購買了新飛機(jī)), 則飛行員的憑證不得不重新發(fā)出以指定額外的門,這也非常麻煩。適于特定憑證的時間間隔可在憑證本身內(nèi)指定,或可由憑證和 PROOF—起指定。例如,憑證可指定特定的幵始日期且其需要被每天 證明有效,而PROOF可指定時間間隔244,其意味著PROOF指憑證中 指定的開始日期之后的日子244 。在此描述的系統(tǒng)相對于更昂貴的連通門系統(tǒng)也是有利的。例如, 假設(shè)所有門均被安全地連接到中央數(shù)據(jù)庫,及假設(shè)發(fā)生突然斷電(如 由于陰謀破壞)。則連通門可能被迫使在兩個極端選擇之間選擇一 直打開(有利于安全但不利于保密,特別是在恐怖分子導(dǎo)致斷電的情 況下)及一直關(guān)閉(不利于安全但有利于保密)。通過對比,在突然斷電的情況下,在此描述的系統(tǒng)提供更靈活的反應(yīng), 一些(不再)連 通的門可保持一直關(guān)閉,而其它門一直打開,且其它門還可繼續(xù)按在 此描述的不連通門訪問控制進(jìn)行運(yùn)行。S卩,只要正確的憑證和正確的PROOF被呈現(xiàn),則依賴于電池的門可打開。實際上,在斷電發(fā)生之前, 所有雇員可能已正常接收他們的預(yù)期PR00F。當(dāng)然,實體E可產(chǎn)生對不同憑證指定不同時間間隔的PROOF。例 如,在機(jī)場設(shè)施中,警員和應(yīng)急人員可每天具有指定下兩周作為相應(yīng) 時間間隔的PR00F,而所有正常的雇員可具有僅指定所述日子的每日 PR00F。在長期及意外斷電的情況下,這樣的系統(tǒng)可提供更好的控制。 如果發(fā)生那樣的斷電,PROOF的每日慣常分配可能被中斷, 一般雇員 可能未接收他們的每日PROOF,但警察和緊急事件處理人員依然可在 他們的卡中輸入他們在頭天接收的兩周證明,因而可繼續(xù)在他們被準(zhǔn) 予進(jìn)入的所有門(如所有門)處起作用。應(yīng)意識到的是,在此描述的方法包含使用由簡化形式的證書構(gòu)成 的憑證,其可被稱為最小證書。最小證書實質(zhì)上可省略用戶名和/或 證書的標(biāo)識符ID (或用證書的公鑰代替用戶名和/或標(biāo)識符ID,每一 證書的公鑰是唯一的)。例如,最小證書憑證可采取OSIGcA(PK, D!, D2, AI)的形式,應(yīng)理解該憑證的正確呈現(xiàn)包括證明對應(yīng)于PK的秘密密鑰 SK的知識(如通過挑戰(zhàn)-應(yīng)答方法)。門預(yù)先知道關(guān)于PK的憑證的正 確呈現(xiàn)(首選地,如果當(dāng)前被確認(rèn))是否應(yīng)導(dǎo)致準(zhǔn)予進(jìn)入?;蛘?,最 小憑證C可指定(如在AI中)知道相應(yīng)SK的用戶是否有權(quán)進(jìn)入特定 的門。如果理解任何類似的簽名通過暗示表明有效性,關(guān)于其公鑰為 PK的最小證書的PROOF可以是下述形式:SIGe(ID, Day, Valid, AI) 或SIGe(PK, Day, Valid, AI)或SIG"ID, Day, AI)?;蛘?,最小i正 書的當(dāng)前PROOF可采取重新發(fā)出最小短期證書的形式如,SIGe(PK, Db D2, AI),其中開始日期D,指特定日子D的開始,D2相應(yīng)為日子D 的結(jié)束,或D1^D2^D;或者,SIGe(PK, Day, AI);或者,讓E與最初 發(fā)證機(jī)構(gòu)一致,SIGca(PK, D!, D2, AI) orSIGc"PK, Day, AI)。總之, 在此描述的任何致力于證書的方法均應(yīng)被理解為也可應(yīng)用最小證書。智能門可驗證用戶的憑證的有效性和流通,憑證可伴隨相應(yīng)的證 明。用戶使用憑證/證明以獲得對區(qū)域的訪問類似于在控制電子設(shè)備 的訪問時使用憑證/證明,如本說明書別處所述。下述為憑證/證明的 例子,其中部分可與其它結(jié)合1、 PIN或密碼,在與門相關(guān)聯(lián)的鍵座輸入或通過用戶卡通信給門;2、 生物測定信息,由用戶經(jīng)與門相關(guān)聯(lián)的特殊輸入機(jī)提供;3、 傳統(tǒng)(手寫)簽名,由用戶經(jīng)與門相關(guān)聯(lián)的特殊簽名簿提供;4、 用于公鑰PK的數(shù)字證書(如,這樣的憑證可被保存在用戶卡 中,正確的用戶/卡可使用相應(yīng)的秘密密鑰SK鑒定/識別其對于門的 身份一如經(jīng)挑戰(zhàn)應(yīng)答協(xié)議)。例如,如果PK是簽名公鑰,門可要求已 簽署特定的消息,且正確的用戶一唯一知道相應(yīng)秘密簽署密鑰SK的 人一可提供正確的被請求的簽名;如果PK是公開的加密密鑰,門可 請求使特定挑戰(zhàn)加密密文被解密,這可由知道相應(yīng)秘密解密密鑰SK 的正確用戶完成。5、 包括每日"確認(rèn)值"(其確保證書在該特定日期有效)的增強(qiáng) 數(shù)字證書,保存在用戶卡中并通信給門;6、 確認(rèn)用戶的證書在當(dāng)前時間有效的中央機(jī)構(gòu)的數(shù)字簽名,其 提供服務(wù)器或應(yīng)答器通信給門;7、 保存在用戶卡中并通信給門的數(shù)字證書及通過服務(wù)器或應(yīng)答 器通信給門的每日"確認(rèn)值";8、 保存在用戶卡中的秘密,其知識由門具有的交互(可能零知 識)協(xié)議向門證明;9、 機(jī)構(gòu)的秘密密鑰簽名,保存在用戶卡中,其指示用戶被授權(quán) 在特定日子進(jìn)入。因而,在一些情況下,憑證/證明被作為一體提供,而在其它情 況下,憑證/證明以分開部分的形式提供憑證及分開的證明。例如, 在憑證/證明由包括指示證書在該特定日期有效的每日確認(rèn)值的增強(qiáng) 數(shù)字證書構(gòu)成且與用戶相關(guān)聯(lián)并被通信給門時,憑證(增強(qiáng)的數(shù)字證書)可獨(dú)立于證明(每日確認(rèn)值)提供(通過不同的手段和/或在不 同的時間)。類似地,憑證和證明可均由同一機(jī)構(gòu)產(chǎn)生或由不同的機(jī) 構(gòu)產(chǎn)生。參考圖7,其示出了包括區(qū)域202的系統(tǒng)200,其中對區(qū)域202 的物理訪問將被限制。區(qū)域202由多個墻204-207封閉。墻207具有 門212,以提供區(qū)域202的出口。在其它實施例中,可使用一扇以上 的門。墻204-207及門212提供區(qū)域202的訪問障礙。門212可使用 電子鎖214鎖上,其防止門212打開,直到電子鎖214接收適當(dāng)?shù)男?號為止。電子鎖214可使用提供在此描述的功能的任何適當(dāng)元件實 施,包括但不限于使用不用定制的電子鎖。電子鎖214可被連接到控制器216,其提供適當(dāng)信號給電子鎖214 以允許門212被打開。在一些實施例中,電子鎖214及控制器216可 被提供在單一裝置中??刂破?16可被連接到輸入裝置218,其可接 收用戶的憑證,可選地,還接收指明用戶在當(dāng)前被準(zhǔn)予進(jìn)入?yún)^(qū)域202 的相應(yīng)證明。輸入裝置218還可接收緊急合法性取消警報(HRA),其 表明用戶不再被允許進(jìn)入?yún)^(qū)域202。服A將在下文中詳細(xì)描述。輸入 裝置218可以是任何適當(dāng)?shù)妮斎朐O(shè)備如鍵座、讀卡機(jī)、生物測定裝置 等??蛇x地,控制器216可具有外部連接222,其可用于將數(shù)據(jù)傳輸 到控制器216或從控制器216傳輸數(shù)據(jù)。外部連接222可以是保密的, 盡管在一些實施例中外部連接222不需要保密。此外,外部連接222 可能不需要,因為在此描述的功能可能使用不具有外部連接的獨(dú)立裝 置提供。在提供外部連接222的例子中,外部連接222可用于傳輸憑 證、證明、HRA和/或用于聯(lián)機(jī)對區(qū)域202的訪問。聯(lián)機(jī)訪問將在本 說明別處詳細(xì)描述。應(yīng)注意,外部連接222可以是斷續(xù)連接,使得, 例如,在某些時間外部連接222提供對控制器216的連通性,而在其 它時間控制器216沒有外部連接。在一些情況下,外部連接222可用 于傳輸一部分憑證/證明(如PKI數(shù)字證書),而用戶向輸入裝置218 呈現(xiàn)憑證/證明的剩余部分(如連同數(shù)字證書使用的每日確認(rèn)值)。在一些實施例中,用戶可將卡224呈現(xiàn)給輸入裝置。如本說明書 別處所述,卡224可以是提供數(shù)據(jù)(如憑證/證明)給輸入裝置218 的智能卡、PDA等???24可從應(yīng)答器226獲得部分或所有數(shù)據(jù)。在 其它例子中,卡224可從其它卡(未示出)、輸入裝置218 (或與訪 問區(qū)域202相關(guān)聯(lián)的一些其它機(jī)構(gòu))、或一些其它適當(dāng)源獲得數(shù)據(jù)。在第一例子中,憑證和證明可使用具有物理保護(hù)的pin/口令進(jìn) 行維護(hù)。在該例子中,每天早上服務(wù)器為每一經(jīng)授權(quán)的用戶U產(chǎn)生新 的秘密口令SU并將新的SU通信給U被允許訪問的具體的門。通信可 使用非保密線路加密發(fā)送或可經(jīng)一些其它保密手段傳輸給門。當(dāng)U在 早上來上班時,中央服務(wù)器使U的卡接收當(dāng)前秘密口令SU。秘密口 令SU被保存在卡的安全存儲器中,其僅可在卡被適當(dāng)授權(quán)時才被讀 (如通過用戶輸入與卡有關(guān)的秘密PIN或通過與服務(wù)器或門上的受 托硬件連接)。無論用戶試圖在何時進(jìn)入門,卡均安全地將SU通信給 門。門接著檢查從卡接收的值SU是否與早上從服務(wù)器接收的值匹配, 如果是,則允許進(jìn)入。因而,SU為當(dāng)天的用戶憑證。該系統(tǒng)優(yōu)點(diǎn)在于每一憑證僅具有 有限的持續(xù)時間如果雇員被終止雇用關(guān)系或其卡被偷竊,其憑證在 第二天將沒有用。然而,系統(tǒng)要求某些連通至少需要短期連通(最 好每天早上)以更新門。該傳輸應(yīng)被保密(如物理上或使用密碼)。在另一例子中,用戶憑證包括秘密密鑰簽名。該例子使用簽名, 或公鑰簽名(如RSA簽名)或秘密密鑰簽名(如報文鑒定代碼或MAC)。 例如,訪問控制服務(wù)器使用秘密密鑰SK產(chǎn)生簽名,門具有驗證這樣 的簽名的手段(如經(jīng)相應(yīng)的公鑰或通過共享同一SK的知識)。當(dāng)用戶 U在日子D的早上來上班工作時,服務(wù)器使用戶卡接收簽名Sig,其 鑒定U的辨識信息(如唯一卡號、或U的秘密口令、或生物測定信息 如U的指紋)及日期D。當(dāng)U試圖進(jìn)入門時,卡將簽名Sig通信給門, 其驗證Sig的有效性甚至U提供的辨識信息、及門鎖提供的日期。如 果所有均正確,則門允許進(jìn)入。在該技術(shù)中,簽名Sig可被當(dāng)作用戶的憑證連同證明。該方法具有其自身的優(yōu)點(diǎn)卡不需要保存秘密,門不需要保持到中央服務(wù)器的 安全連接,也沒有很長的有效憑證列表。在另一例子中,用戶的憑證包括具有類似于圖5的流程圖120產(chǎn) 生的那些散列鏈有效性證明的數(shù)字證書。該例子使用公鑰簽名及單向 散列函數(shù)H (實現(xiàn)特殊類型的數(shù)字簽名)。中央機(jī)構(gòu)具有密鑰對公鑰PK (為門所知道)和通常不被知道的秘密密鑰SK。對于用戶U,機(jī)構(gòu)產(chǎn)生隨機(jī)秘密值X0并計算值X1二H(X0)、 X2=H(X1).....X365=H(X364)。因為H是單向散列函數(shù),X的每一值不能從X的下一 值計算。機(jī)構(gòu)向U發(fā)出數(shù)字證書Cert,使用SK簽署并包含值X365, 對一年有效。接下來,當(dāng)U在日子i來上班工作時,機(jī)構(gòu)使用戶卡接 收該天的確認(rèn)值Xj,其中j=365-i。當(dāng)U試圖進(jìn)入門時,卡將確認(rèn)值 Xj和包含X365的證書Cert通信給門。門用機(jī)構(gòu)的公鑰PK驗證Cert 的有效性并還檢查向Xj應(yīng)用i次H是否產(chǎn)生X365。應(yīng)注意,"一年" 和365可用任何其它時間周期代替。因而,用戶的證書Cert及確認(rèn)值Xj組成用戶的憑證/證明。該 系統(tǒng)具有許多優(yōu)點(diǎn)門及卡均不需要保存任何秘密;門不需要具有任 何安全連接;證書可一年發(fā)出一次,且其后中央機(jī)構(gòu)上的每日計算負(fù) 載最小(因為機(jī)構(gòu)只需要檢索Xj);每日確認(rèn)值可由非保密(便宜) 布置的應(yīng)答器提供,因為它們不需要隱秘。用戶U的憑證/證明的持續(xù)時間通常被限制,這在許多情況下是 有用的。例如,如果U是機(jī)場的雇員并被終止雇用關(guān)系,其憑證/證 明可在該天結(jié)束時過期,其不再能夠進(jìn)入機(jī)場的門。為更精確的訪問 控制,可能希望具有更短持續(xù)時間的憑證。例如,如果U的憑證/證 明包括小時和分鐘及日期,則U可在被終止雇用關(guān)系后一分鐘內(nèi)被鎖 在機(jī)場的外面。然而,較短持續(xù)時間的憑證/證明要求更頻繁的更新, 這增加了系統(tǒng)的花費(fèi)。因而,在希望具有短期憑證和具有低成本系統(tǒng) 之間存在固有平衡,這可導(dǎo)致憑證的持續(xù)時間有時較所希望的長。例 如,U可能需要立刻在機(jī)場的外面,但其憑證直到午夜才過期。因此, 希望能夠立即撤消尚未過期的憑證。應(yīng)注意,如果憑證/證明一直被保存在安全數(shù)據(jù)庫中,每次請求 訪問時門均査詢數(shù)據(jù)庫,則可通過從數(shù)據(jù)庫中移除被取消的憑證/證 明而相當(dāng)直接地取消憑證/證明。然而,使門每次查詢安全數(shù)據(jù)庫花 費(fèi)昂貴。首先,因為這增加了事務(wù)處理的很大延遲,由于用戶想立刻 進(jìn)入門,但他必須等待查詢被適當(dāng)?shù)赝瓿?。第二,因為該通信首選是在安全通道上進(jìn)行,這可輕松地就每門花掉$4,000 (或更多)或在某些情況下根本達(dá)不到(如飛機(jī)或貨物集裝箱的門)。第三,因為單一 安全數(shù)據(jù)庫僅可處理有限的查詢負(fù)載,且復(fù)制安全數(shù)據(jù)庫本身非常昂 貴和耗時(例如,因為保持?jǐn)?shù)據(jù)庫安全的花費(fèi)必定翻倍且保持這些拷 貝同步的努力也必定增加)。因此,與全流通的方法不一樣,不連通 或斷續(xù)連通方法(如上述例子)要求更少的通信且通常將憑證/證明 保存在非保密的應(yīng)答器或卡上。在這種情況下,簡單地從數(shù)據(jù)庫移除憑證/證明并不足夠。再次參考上述例子,口令su或機(jī)構(gòu)簽名或確認(rèn)值Xj由于某種原因不得不被從用戶卡或門刪除。此外,即使這樣的 刪除也不總是保證憑證的取消,因為保存在無保證的應(yīng)答器中的憑證 可為任何人獲得,包括惡意攻擊者,其將憑證保存并在憑證從用戶卡 刪除之后試圖使用該憑證。因而,即使具有有限持續(xù)時間憑證的效能 成本合算解決方案存在,這些解決方案本身沒有必要提供未過期憑證/證明的充分取消。取消憑證/證明可使用緊急合法性取消警報(HRA)執(zhí)行,其是傳 輸給門的數(shù)據(jù)段(最好是經(jīng)鑒定的),其將阻止門授權(quán)具有取消的(盡 管可能未過期)憑證/證明的用戶訪問。例如,HRA可由數(shù)字簽署的 消息組成,其指明特定憑證/指明已被取消。然而,應(yīng)注意,在安全 連通的門的情況下,只沿受保護(hù)的連接發(fā)送HRA可能并不足夠。然而, 如上所述,在一些情況下安全連通的門非常昂貴,而在其它情況下則 不可能(或幾乎接近于不可能)使用那樣的門。如果HRA被鑒定是有用的,從而HRA被呈現(xiàn)給其的實體可相對確 定HRA是真實的。讓ID作為被取消的憑證/證明C的標(biāo)識符(具體地, ID可與C本身一致),則SIG(ID, 〃REV0KED〃, AI)可以是HRA,其中"REVOKED"代表任何方式的C已被取消的信令(〃REV0KED〃可能是空 串,如果憑證/證明被取消的事實可通過其它手段推斷一如全系統(tǒng)約 定除了取消的情況,這樣的簽署的消息未被發(fā)送),及AI代表任何額 外的信息(可能是日期信息一如當(dāng)憑證/證明已被取消時的時間和/ 或HRA被產(chǎn)生時的時間或沒有信息)。具體地,數(shù)字簽名SIG可以是 公鑰簽名、秘密密鑰數(shù)字簽名、或報文鑒定代碼。通過適當(dāng)?shù)丶用苄?息而發(fā)出經(jīng)鑒定的HRA也是可能的。例如,經(jīng)鑒定的HRA可采取ENC (ID, 〃REV0KED〃, AI)的形式。經(jīng)鑒定的HRA的另一值得注意的例子在美國專利5, 666, 416中描 述,其通過引用組合于此。發(fā)出機(jī)構(gòu)將憑證/證明C組合到對C唯一 的(數(shù)字簽名方案的)公鑰PK中,從而關(guān)于PK的數(shù)字簽名指明C被 取消。在這樣的方案的特殊實施例中,PK可由值Y1組成,其計算為 Y1=H(Y0),其中H為(最好散列)單向函數(shù),Y0為秘密值。當(dāng)憑證/ 證明C被取消時,僅由YO組成的HRA被發(fā)出。這樣的HRA可通過散 列Y0并檢查結(jié)果是否與屬于憑證/證明C的值Yl匹配而進(jìn)行驗證。應(yīng)注意,簽名可能不被要求用于HRA。例如,在安全連通門的情 況下,僅沿受保護(hù)的連接發(fā)送(ID,〃REVOKED〃, AI)足以作為HRA。然 而,經(jīng)鑒定的HRA的優(yōu)點(diǎn)在于HRA本身不必是秘密的。經(jīng)鑒定的HRA, 一旦被適當(dāng)?shù)臋C(jī)構(gòu)鑒定,可被保存在一個以上(可能在地理上分散) 的應(yīng)答器上。此外,這些應(yīng)答器可以無保護(hù)(與發(fā)出機(jī)構(gòu)不一樣), 因為它們沒有保存秘密信息。通過復(fù)制多個無保護(hù)應(yīng)答器可以較低的 成本提供更高的可靠性。美國專利5, 666, 416的經(jīng)鑒定的HRA例子的 一些其它優(yōu)點(diǎn)為(1) HRA相當(dāng)短(能夠為20字節(jié)那樣短);(2)相 當(dāng)容易計算(簡單地,先前保存的Y0的查表);及(3)相當(dāng)容易驗 證(只應(yīng)用一次單向散列函數(shù))。經(jīng)鑒定的HRA特別有利于有效的廣泛傳播,如下面進(jìn)一步描述的 那樣。當(dāng)服A通過接近門的多個點(diǎn)傳輸時,可能有多種可能將不正確 的HRA插入系統(tǒng)中。實際上,由門接收的HRA不直接通過或來自經(jīng)安 全連接的發(fā)行人只不過是特定憑證取消的純粹未經(jīng)證實的信息。然而,如果HRA被鑒定,該未經(jīng)證實的信息可容易地由門確認(rèn),這可驗 證其可靠性??傊琀RA對單一憑證/證明可以是明確的或可提供關(guān)于多個憑 證/證明的取消信息。例如,如果ID1,, IDk為被取消的憑證的標(biāo) 識符,HRA可由單一數(shù)字簽名SIG(ID1, ..., IDk ; 〃REV0KED〃; AI) 組成??紤]門保存信息的情況,所述信息確定憑證/證明有權(quán)進(jìn)入門。 如果這樣的門接收指明一個或多個憑證/證明被取消的HRA,門不需 要保存HRA。門從其存儲器刪除所確定的憑證/證明就足夠了 (或以 某種方式將它們標(biāo)記為"REVOKED")。接著,如果具有取消的憑證/證 明的用戶試圖訪問,門將不允許訪問,因為所呈現(xiàn)的憑證/證明當(dāng)前 未被保存在門中,或如果保存在其中,但已被標(biāo)記為〃REVOKED〃?,F(xiàn)在考慮門不保存確定所有允許的憑證/證明的信息,而是當(dāng)呈 現(xiàn)時驗證憑證/證明是否被允許。當(dāng)用戶向這樣的門呈現(xiàn)憑證/證明 時,門可首先驗證憑證/證明是否有效,不管HRA。(例如,如果憑證 /證明包括數(shù)字簽名,則門驗證簽名。此外,如果憑證/證明包括期滿 時間,門還可驗證憑證/證明未到期,如使用內(nèi)部時鐘。)但即使通過 所有檢查,如果憑證/證明被指示為已由HRA取消,門依然可拒絕訪 問。因此,如果這樣的門具有關(guān)于相應(yīng)HRA的信息則是有幫助的。實 現(xiàn)此的一種辦法是門保存所有呈現(xiàn)給其的HRA。另一方面,在一些情 況下,這可能不切實際??紤]許多憑證/證明可用于通過門的系統(tǒng)。 例如,運(yùn)輸部門正設(shè)想規(guī)模為10,000,000憑證的系統(tǒng)以用于曾經(jīng)被 允許訪問特定門的各種個體(包括飛行員、機(jī)場維護(hù)人員、航線雇員、 機(jī)師、搬運(yùn)工、經(jīng)理人、卡車司機(jī)、警察等)。謹(jǐn)慎估計每年10%的 取消率,則到年末門可保存有1, 000, OOOHRA,這是花費(fèi)非常昂貴的 任務(wù)(如果可行的話)。此外,如果HRA的數(shù)量不能夠被預(yù)先準(zhǔn)確確 定,系統(tǒng)的設(shè)計者不得不過高估計用于HRA的存儲器容量以求保險, 并在門內(nèi)建立更多的存儲容量(以更高的成本)。該問題可借助于可刪除HRA而得以解決。這意味著使HRA指明時 間分量,其指定HRA在何時可被安全地從存儲器上刪除。例如,在憑證/指明持續(xù)時間有限的系統(tǒng)中,這可通過下述步驟實現(xiàn)(1)使憑 證/證明包括期滿時間,在期滿時間之后,憑證/證明應(yīng)不被門接受為有效的訪問憑證/證明;(2)使取消憑證/證明的HRA包括期滿時間; 及(3)在期滿時間之后,使門從其存儲器刪除取消憑證/證明的HRA。 例如,憑證/證明的期滿時間可以是憑證/證明過期的時間(及期滿時 間可明確地包括在憑證/證明內(nèi)并被鑒定或其可由全系統(tǒng)約定暗示)。 在期滿時間之后刪除該HRA不會損害安全性。實際上,如果門沒有保 存取消特定憑證/證明的HRA,可能因為門已在期滿后將HRA從存儲 器中刪除,則過期憑證/證明將被門拒絕訪問。應(yīng)注意,在期滿時間可能在服A中暗示或間接指明的情況下,上 面的步驟(2)是可選步驟。例如,HRA具有SIG(C, 〃REV0KED〃, AI) 的形式,憑證/證明可包括其自己的期滿日期。此外,由于可刪除HRA 還可使用根本不指明被取消憑證的期滿時間的HRA進(jìn)行實施,上面的 步驟(1)是可選步驟。例如,如果特定系統(tǒng)中的所有憑證均至多在 一天有效,則所有HRA可在被保存一天后擦除(更一般地,如果憑證 /證明的最大壽命可以某種方式推斷,則相應(yīng)的HRA可在被保存前述 時間量之后被擦除)。至于另一例子,當(dāng)被呈現(xiàn)具有特定期滿時間的 憑證/證明時,門可尋找取消憑證的HRA。如果存在且期滿時間已過, 則門可安全地刪除服A。否則,門可保存與所保存的HRA有關(guān)的期滿 時間,并在該時間之后刪除HRA。門可在服A過期之后以多種方式將它們刪除。在一些情況下,服A 刪除可通過基于期滿時間維護(hù)HRA的數(shù)據(jù)結(jié)構(gòu)(如優(yōu)先隊列)而有效 地實現(xiàn)。或者,門可定期查看存儲器中的所有HRA并清除不再需要的 HRA。作為另一選擇,當(dāng)遭遇HRA時,如果門意識到HRA不再有關(guān), 則門可刪除HRA。例如,HRA可被保存在列表中,憑證每次被呈現(xiàn)以 進(jìn)行驗證時均要檢查該列表。無論在何時在該列表中遇到過期HRA, 過期服A可被刪除。作為另一選擇,當(dāng)存儲器需要被釋放時(或許用 于其它HRA),門僅按需刪除HRA。可刪除HRA可大大降低門所需要的存儲容量。使用上述10, 000, 000用戶及10%每年取消率的例子,如果HRA過期并被刪除, 則平均每天只有2,740 (而不是1,000,000)個HRA需要被保存。該 降低的存儲容量要求是可刪除HRA的最大潛在優(yōu)勢。HRA可為門盡可能快地獲得是有用的,以將不再可接受的憑證/ 證明通知給門。這是不連通門存在的問題,但也可是全連通的門存在 的問題。當(dāng)然,當(dāng)HRA被發(fā)出時,全連通的門可在門的連接上發(fā)送 HRA。然而,該傳輸可能被堅決的敵人阻止或干擾(例如,如果到門 的連接通過加密手段保密,則敵人僅可切斷導(dǎo)線或改變/過濾行進(jìn)的 信號。如果到連接的門通過使導(dǎo)線在鋼管中而進(jìn)行保護(hù),則這樣的干 擾和阻止可能更難,但也不是不可能)。這樣的惡意HRA干擾和阻止 對斷續(xù)(如無線)連通的門可更容易地實施。為使敵人更難阻止門接收HRA, HRA可由被取消的卡本身攜帶。 例如,當(dāng)卡與數(shù)據(jù)庫或連通的門(或知道相應(yīng)HRA的任何門)通信時, 門可將服A發(fā)送給卡,卡可保存HRA。具體地,這可在不向用戶進(jìn)行 任何指示的情形下完成,以保護(hù)HRA免遭希望纂改卡并刪除HRA的用 戶的損害。如果卡攜帶防止纂改硬件部件或不容易被用戶讀/刪除的 數(shù)據(jù)(如加密數(shù)據(jù)),則該方法更有效。當(dāng)卡在隨后被使用以試圖進(jìn) 入任何(甚至全不連通的)門時,卡可將其HRA通信給門,基于適當(dāng) 的驗證,卡可拒絕訪問(及在某些情況下,保存服A)。HRA可在無線通道上(如經(jīng)尋呼機(jī)或移動網(wǎng)絡(luò)或經(jīng)人造衛(wèi)星)發(fā) 送給卡。即使卡僅具有有限的通信能力,這也可被完成,例如通過將 無線發(fā)射機(jī)放置在每一用戶可能經(jīng)過的地方。例如,在建筑物中,這 樣的發(fā)射機(jī)可被放置在每一建筑物入口,以在卡的用戶無論于何時進(jìn) 入建筑物時為每一卡提供接收傳輸?shù)臋C(jī)會。或者,發(fā)射機(jī)可被放置在 停車場的入口等。為防止懷惡意的用戶阻止傳輸(例如,通過將卡包裹在傳輸信號 難以滲透的材料中),實際上,卡可要求其接收定期傳輸以能完全起 作用。例如,卡可每5分鐘期待一信號以使其時鐘與系統(tǒng)時鐘同步, 或可期望接收另一定期(最好數(shù)字簽署的)信號,如GPS信號,或近期望適當(dāng)頻率的適當(dāng)噪聲。如果這樣的信號未在合理的時間間隔內(nèi)接 收到,卡可"封鎖"并簡單地拒絕與任何門通信,這使其本身不適于訪問。應(yīng)注意,較簡單地將所有HRA傳播給所有卡,這樣的系統(tǒng)可能 更經(jīng)濟(jì)和更方便,因為HRA為不斷改變的消息。因而,將HRA傳播給 所有卡可能要求建造特殊目的的人造衛(wèi)星或定制已經(jīng)存在的人造衛(wèi) 星。上述方法代替利用已經(jīng)可用的廣泛傳輸?shù)男盘柌惭b本地發(fā)射機(jī) 用于常規(guī)消息。或者,如果安全策略要求用戶可見地穿戴卡如安全徽章或在適當(dāng) 地方(在傳輸范圍內(nèi))將卡呈現(xiàn)給防護(hù)裝置,則可防止用戶進(jìn)行阻止 向卡傳輸?shù)男袨椤S糜趥鞑ヌ囟?憑證/證明的HRA的其它技術(shù)包括 使用其它卡將HRA傳送給門。在該技術(shù)中,卡l可(例如當(dāng)獲得其自 己的每日憑證/證明時,或無線方式或當(dāng)與連通的門通信時或在進(jìn)行 任何類型的連接時)接收HRA、服A2、取消與不同的卡即卡2相關(guān)聯(lián) 的憑證/證明???接著可保存HRA2并將HRA2通信給門,門接著還 保存服A2。實際上,卡l可向多個門提供,例如提供給所有門或卡2 在特定時間段(如全天)訪問或通信的所有不連通的門。這里,可由 卡1到達(dá)的任何門(即使不連通)能夠拒絕包含取消的憑證/證明的 卡2的持有人進(jìn)入。優(yōu)選地,HRA2是數(shù)字簽署或自鑒定的,且可由 卡1到達(dá)的任何門檢查服A2的可靠性以防止假服A的惡意傳播。這可通過使卡1到達(dá)的門將學(xué)得的HRA2通信給另一卡即卡3而 得以增強(qiáng),卡3隨后訪問門或與門通信。這是有用的,因為卡3可到 達(dá)卡1將不到達(dá)或?qū)⒃诳?之后到達(dá)的門。通過使這些另外到達(dá)的門 與其它卡通信,該過程可繼續(xù)。此外,某些門即使不全連接到中央數(shù) 據(jù)庫,也可具有相互之間的連接。因而,這樣的門可類似地交換可用 HRA。如果卡具有相互通信能力一例如當(dāng)接近時一它們也可交換關(guān)于 它們保存的HRA的信息。應(yīng)注意,經(jīng)鑒定的服A對在此描述的HRA傳播技術(shù)特別有利。事 實上,通過多個媒介(卡及門)發(fā)送HRA可能提供多個故障點(diǎn),其中 HRA可能被對手修改或假HRA可被對手注入。在某種意義上,未經(jīng)鑒定的HRA在它們到達(dá)門時可能已變成純粹的未經(jīng)證實的信息。另一方 面,經(jīng)鑒定的HRA,無論它們怎樣到達(dá)門,均可被保證是正確的。在不大大考慮資源的情況下,所有HRA可以這種方式進(jìn)行保存和 傳播。采用一些優(yōu)化也是可能的。例如,卡可像門那樣管理HRA存儲, 并將過期的服A刪除以釋放內(nèi)在的卡存儲空間并防止與其它門進(jìn)行 不必要的通信。在這樣的系統(tǒng)內(nèi)使存儲通信和最小是有用的,因為, 即使未過期但取消的憑證的數(shù)量不多,但可能某些部件(如一些卡或 門)沒有足夠的存儲器或帶寬來處理所有未過期的HRA。使存儲和通信最小的另一可能包括選擇哪些HRA將經(jīng)哪些卡進(jìn) 行傳播。例如,服A可與優(yōu)先級信息一起提供,其表明盡可能快地分 散關(guān)于特定憑證/證明的知識的相對重要性。例如, 一些HRA可被標(biāo) 記為"緊急",而其它可被標(biāo)記為"常規(guī)"(優(yōu)先等級可以盡可能地精 確或近似)。具有有限帶寬或存儲器的設(shè)備可記錄并交換關(guān)于較高優(yōu) 先級服A的信息,且只要資源允許,可專心于較低優(yōu)先級HRA。作為 另一例子,阻止卡訪問特定門的服A可經(jīng)更可能快到達(dá)該門的卡(如 其憑證使能在該門附近訪問該門的卡)進(jìn)行傳播。事實上,卡及門可 從事于建立哪一HRA接受存儲和/或另外傳播的目標(biāo)?;蛘?,HRA或 保存它們的卡可在某種程度上進(jìn)行選擇,其包括隨機(jī)性,或者門可提 供HRA給一定數(shù)量的卡(如門"遇到"的前k個卡)。這樣的傳播技術(shù)的使用可降低具有取消的憑證/證明的用戶將能 進(jìn)入的可能性,因為即使不連通的門,用戶也不得不在任何其它用戶 以更新的卡提供適當(dāng)?shù)腍RA給門之前到達(dá)門。在卡和門之間的信息交 換可幫助確保許多卡可被快速地通知關(guān)于取消的信息。該方法還可用 作防"蓄意干擾"攻擊的對策,所述攻擊試圖斷開連通的門并阻止門 接收HRA。即使干擾攻擊取得成功且門永遠(yuǎn)未獲得中央服務(wù)器或應(yīng)答 器的HRA通知,個體用戶的卡也可能向門通知服A。應(yīng)注意,在卡和 門之間交換HRA的實際方法可變化。在少許短HRA的情況下,交換并 比較所有已知HRA最有效。如果許多HRA被弄在一個列表中,列表可 包含指明列表在何時由服務(wù)器發(fā)出的時間。接著,卡和門可首先比較它們的服A列表的發(fā)出時間,且可用較新的列表替換較舊的列表。在 其它情況下,可使用更復(fù)雜的用于發(fā)現(xiàn)和協(xié)調(diào)區(qū)別的算法。有效的HRA傳播可通過下述步驟實現(xiàn)(1)發(fā)出經(jīng)鑒定的HRA; (2)將經(jīng)鑒定的HRA發(fā)送給一個或多個卡;(3)使卡將經(jīng)鑒定的HRA 發(fā)送給其它卡和/或門;(4)使門保存所接收的服A和/或傳輸所接收 的HRA給其它卡。詳細(xì)介紹一些樣本HRA使用是有用的順序l (直接從"管理機(jī)構(gòu)"到門)1、 實體E取消用戶U的憑證/證明并發(fā)出HRA A,其包含憑證/ 證明已被取消的信息;2、 A經(jīng)有線或無線通信傳輸給門D;3、 D驗證A的可靠性,如果驗證成功,保存關(guān)于A的信息;4、 當(dāng)U試圖通過呈現(xiàn)憑證/證明訪問D時,門D注意到所保存的 關(guān)于A的信息指明憑證/證明已被取消并拒絕訪問。順序2 (從"管理機(jī)構(gòu)"到用戶卡到門)1、 實體E取消用戶U的憑證/證明并發(fā)出HRA A,其包含憑證/ 證明已被取消的信息;2、 另一用戶U'來上班并將其卡呈現(xiàn)給E以獲取其當(dāng)前憑證/證明;3、 連同U'的當(dāng)前憑證/證明,HRAA被傳輸給U'的卡;卡保存A (卡可以也可不驗證A的可靠性,取決于卡的能力);4、 當(dāng)U'試圖訪問門D時,其卡將其憑證/證明連同A傳輸給D;5、 D驗證A的可靠性,如果驗證成功,保存A;6、 當(dāng)U試圖通過呈現(xiàn)其憑證/證明訪問D時,門D注意到A取消 U的憑證/證明并拒絕訪問。順序3 (從"管理機(jī)構(gòu)"到另一門到用戶卡到門)1、 實體E取消用戶U的憑證/證明并發(fā)出HRA A,其包含U的憑 證/證明已被取消的信息;2、 A經(jīng)有線或無線通信傳輸給門D';3、 D'驗證A的可靠性,如果驗證成功,保存A;4、 另一具有其自己的憑證/證明的用戶U'將其卡呈現(xiàn)給D'以進(jìn) 入D' 。 D'除了驗證U'的憑證/證明并在合適時準(zhǔn)予迸入,還將A傳輸 給U'的卡??ū4鍭 (卡可以也可不驗證A的可靠性,取決于卡的能 力);5、 當(dāng)U'試圖訪問門D時,其卡將其憑證/證明連同A傳輸給D;6、 D'驗證A的可靠性,如果驗證成功,保存A;7、 當(dāng)U試圖通過呈現(xiàn)其憑證/證明訪問D時,門D注意到A取消 U的憑證/證明并拒絕訪問。順序4 (從"管理機(jī)構(gòu)"到用戶卡到門)1、 實體E取消用戶U的憑證C并發(fā)出HRA A,其包含C已被取 消的信息;2、 用戶U攜帶其卡通過位于建筑物入口附近的傳輸點(diǎn),這使得 其卡接收A;卡保存A (卡可以也可不驗證A的可靠性,取決于卡的 能力);3、 當(dāng)U試圖訪問門D時,其卡將A連同C傳輸給D;4、 D驗證A的可靠性,如果驗證成功,保存A并拒絕U的訪問;5、 如果U再次試圖通過呈現(xiàn)C而訪問D,則門D注意到先前保 存的A已取消C并拒絕訪問。有時,在犯罪之后,建立誰試圖訪問特定的門、在什么時間、呈 現(xiàn)了什么憑證/證明、及訪問是否被拒絕或同意是有用的。知道門的 機(jī)構(gòu)是否被堵塞、開關(guān)或敏感元件是否發(fā)生故障等也是有用的。到最 后,可能希望維護(hù)發(fā)生的事件的事件日志。如果這樣的日志可在某些 中央位置容易地獲得,其特別有用,從而其可被檢查并遵照其行事。 例如,在硬件故障的情況下,修理隊可能需要被迅速調(diào)度。然而,這 樣的日志有兩個主要問題。首先,如果門被連通,則較容易通過經(jīng)連接發(fā)送日志而收集日志。 然而,對于不連通的門,收集事件日志則更難。當(dāng)然,收集日志的一 種辦法是派人到每一不連通的門以通過物理方式將日志傳回中央位置,但該方法成本太高。其次,對于將被信任的事件日志,包括日志的產(chǎn)生、收集及存儲 的整個系統(tǒng)的完整性應(yīng)被保證。否則,例如,敵手可創(chuàng)建假日志記錄 或刪除有效日志。傳統(tǒng)的方法如在物理上保護(hù)通信通道及數(shù)據(jù)存儲設(shè) 施,其成本非常高(且通過它們自身也不足以保護(hù))。通過這樣的日志記錄的存在,假定日志記錄是有效的,則傳統(tǒng)的 日志可斷定"某一用戶去某一門"。然而,這不適于高安全性應(yīng)用。假定用戶U被控告損害被鎖的門D后面的某些財產(chǎn)。傳統(tǒng)的日志記錄僅可提供U進(jìn)入D的無力證據(jù)人們不得不相信沒有人惡意偽造曰志 記錄。因而,希望使日志提供更強(qiáng)有力的證據(jù),因為日志不可由敵人 "人造"。具體地,無爭議的日志可證明門D (可能與U的卡合作)在日志中創(chuàng)建記錄。在此描述的系統(tǒng)以下述方式解決了該問題無論門在何時接收作 為訪問請求的部分的憑證/證明,門可創(chuàng)建日志記錄(如數(shù)據(jù)串),其 包含關(guān)于事件的信息,例如請求時間;請求類型(如果一個以上請求可能的話一例如,如果請求用于退 出或進(jìn)入,或打開或關(guān)閉引擎等);憑證/證明及所呈現(xiàn)的身份(如果有); 憑證/證明是否被成功驗證; 憑證/證明是否具有相應(yīng)的HRA; 訪問是否被授權(quán)或解決。日志記錄還可包含任何不尋常事件的運(yùn)行數(shù)據(jù)或信息,如電流或 電壓起伏、敏感元件故障、開關(guān)位置等。產(chǎn)生無爭議日志的一種辦法 包括使門借助于秘密密鑰(SK)數(shù)字簽署事件信息。所得的無爭議曰 志可由SIG(event, AI)表示,其中AI代表任何額外的信息。門D使 用的簽名方法可以是公鑰或私鑰。強(qiáng)調(diào)簽名相對于其是有效的公鑰PK、或用于產(chǎn)生簽名的秘密密 鑰SK或產(chǎn)生簽名的門是有用的,因而可將無爭議日志象征性地表示為。SIGpk (event, AI) 、 SIGSK (event, AI)或SIGD (event, AI)。這樣 的曰志是無爭議的,因為敵人在不知道相應(yīng)的秘密密鑰的情況下不可 能偽造門的簽名。另一方面,日志的可靠性可由任何被適當(dāng)通知的驗 證者(如知道門的PK或門的SK的驗證者)檢查,而不必盼望保存日 志的數(shù)據(jù)庫的完整性或傳輸日志的系統(tǒng)的完整性??傊?,日志不僅可 通過數(shù)字簽署每一記錄而被使得無可爭議,而且還可通過使用用于多 個記錄的數(shù)字鑒定步驟使得無可爭議。例如,門可借助于數(shù)字簽名 SIG(E1, ..., E2, AI)鑒定多個事件El、 E2、。照常,在本應(yīng)用 的這里及其它地方,數(shù)字簽名可能意味著數(shù)字簽署將被鑒定的數(shù)據(jù)的 單向散列的過程。具體地,流鑒定可被看作數(shù)字簽名的特殊情況。例 如,每一經(jīng)鑒定的記錄可用于鑒定下一 (或先前的)記錄。實現(xiàn)此的 一種辦法包括使經(jīng)鑒定的記錄包含用于鑒定下一或其它記錄的公鑰 (具體地,以前數(shù)字簽名的公鑰)。日志及無爭議日志還可由卡產(chǎn)生(具體地,卡可通過以數(shù)字簽署 關(guān)于事件E的信息而產(chǎn)生無爭議日志表示成符號SIG(E, AI))。在 此描述的所有日志技術(shù)也可被視為與卡產(chǎn)生的日志有關(guān)。此外,其它日志和無爭議日志可通過門及卡獲得。例如,在門訪 問請求期間,卡可將卡自己的(可能無爭議的)日志記錄提供給門。 門可檢查日志記錄并僅在門發(fā)現(xiàn)日志記錄"可接受"時授權(quán)訪問。例 如,門可驗證卡的數(shù)字簽名從而鑒定日志記錄;或門可根據(jù)門可接近 的時鐘驗證包括在卡的日志記錄中的時間信息是否正確。其它類型的無爭議日志還可通過使門及卡均致力于日志記錄的 產(chǎn)生和/或鑒定而獲得。例如,卡可鑒定日志記錄,且門也可鑒定日 志記錄信息的至少一部分,反之亦然。在具體的實施例中,卡C可將 其日志記錄的簽名x=SIGc(E, AI)給予門,門將副簽該簽名,表示為 符號SIGd(x, AI'),反之亦然。或者,門和卡可計算事件信息的聯(lián)合 數(shù)字簽名(如借助于門和卡之間的秘密簽署的密鑰拆分計算,或?qū)㈤T 的簽名與卡的簽名結(jié)合為單個"多重"簽名進(jìn)行計算)。可使用幾個 多重簽名方案,具體地,Micali、 Ohta和Reyzin的方案??赡軐㈩~外的信息包括在日志中。如果由卡和門報告的信息一 致,額外的信息可被檢查。例如,卡和門可使用它們可用的時鐘將時 間信息包括在日志記錄中。此外,卡(可能還有門)可將位置信息(如 從GPS獲得的位置信息)包括在日志記錄中?;蛘?,如果難以獲得當(dāng)前位置(如因為GPS接收能力無法使用),則最近知道的位置信息(及 其在多久以前建立)可被包括。這樣,具體地,在移動門(如飛機(jī)的 門)的情形下,可能確定當(dāng)事件發(fā)生時門及卡位于何處。當(dāng)然,即使如上述的無爭議日志記錄也可被惡意地從數(shù)據(jù)庫刪除 或被阻止到達(dá)數(shù)據(jù)庫。為防止這樣的刪除,提供刪除可檢測日志系統(tǒng)是有用的。這樣的系統(tǒng)可通過使用下述方案建立(1)鑒定方案(如 數(shù)字簽名方案);(2)關(guān)聯(lián)生成方案;及(3)關(guān)聯(lián)檢測方案。給定一 曰志事件E (—系列過去和/或未來事件的部分),關(guān)聯(lián)生成方案可用 于產(chǎn)生關(guān)聯(lián)信息CI,其繼而借助于鑒定方案而安全綁定到E以產(chǎn)生 刪除可檢測日志記錄。關(guān)聯(lián)生成方案可確保,即使事件本身無關(guān)聯(lián)且 一事件的存在不可從其它事件的存在進(jìn)行推斷,CI仍以這樣的方式 產(chǎn)生以保證缺少的沒有適當(dāng)關(guān)聯(lián)信息的日志記錄存在,某些可使用關(guān) 聯(lián)檢測方案檢測。在一些情況下,系統(tǒng)還可保證即使一些日志記錄不 見了,其它日志記錄也可被保證可信和/或個別無爭議。在第一例子中,日志記錄的關(guān)聯(lián)信息CI可包括順序編號日志記 錄。相應(yīng)的關(guān)聯(lián)檢測方案可包括通知數(shù)序中間隔的存在。但為了獲得 刪除可檢測日志系統(tǒng),CI和日志記錄之間的適當(dāng)綁定被發(fā)現(xiàn),這可 能不容易實現(xiàn),即使安全數(shù)字簽名用于系統(tǒng)的鑒定部分。例如,使第 i個日志記錄由(i, SIG(event, AI))組成是不安全的,因為敵人可 在刪除日志記錄后修改隨后的記錄的編號以隱藏間隔。具體地,在刪 除日志記錄號100之后,敵手可將日志記錄101、 102等的號碼減1。 從而敵人可隱藏其刪除,因為,即使事件信息的完整性由數(shù)字簽名保 護(hù),但編號本身不能被保護(hù)。此外,即使也數(shù)字簽署編號可能也不能 奏效。例如,假定第i個日志記錄由(SIG(i), SIG(event, AI))組 成。接下來,敵人可(1)觀察并記住SIG(100); (2)刪除記錄號100; (3)用原始記錄101的SIG(101)代替SIG(100),同時記住 SIG(101),依此類推,以完全隱藏刪除。上述兩種方法均不能產(chǎn)生想要的CI和日志記錄的安全綁定。事 實上,通過安全綁定(1)編號信息與(2)被編號的事件,我們意為 當(dāng)j不同于i時,即使提供(a)數(shù)i和Ei的安全綁定及(b)數(shù)j 和Ej的安全綁定,敵人也不可制造數(shù)j和關(guān)于第i個事件Ei的事件 信息的綁定。例如,第i個日志記錄可由SIG(i, Ei, AI)組成。這 樣,第i個日志記錄的刪除將被特定的稍后的日志記錄檢測到。這是 因為稍后的日志記錄攜帶比i大的數(shù),其不能被敵手刪除、修改或用 另一日志記錄編號信息替換,因為其與日志記錄安全綁定。例如,假 定敵人刪除日志記錄號100: SIG(100, E100, AI)。只要敵手不能刪 除所有隨后的日志記錄(這將要求持續(xù)訪問數(shù)據(jù)庫),為隱藏其刪除, 敵手將需要創(chuàng)建具有相同號碼100的另一日志記錄。然而,這是很難 的,因為(a)敵手不能產(chǎn)生全新的第100個日志記錄SIG(100, E', AI'),因為他沒有門的秘密簽署的密鑰;(b)敵手在未使數(shù)字簽名無 效的情況下不能修改現(xiàn)有的日志記錄(如不能將SIG(101, E101, AI101)改變?yōu)镾IG(100, E101, AI101),即使他記住所刪除的記錄 SIG(100, E100, AI100)); (c)敵手不能提取指示編號100的日志記 錄的部分的簽名并將其與數(shù)字簽名綁定以產(chǎn)生另一日志記錄。這樣的安全綁定還可通過不同于共同數(shù)字簽署記錄編號和被編 號的事件的手段實現(xiàn)。例如,其可通過單向散列記錄編號和被編號的 事件然后簽署散列而實現(xiàn),以符號表示為SIG(H(i, Ei, AI))。至于 另一例子,其可通過將編號的散列包括在事件的數(shù)字簽名中而得以實 現(xiàn),反之亦然例如,以符號表示為SIG(i, H(Ei), AI))。其還可 通過簽署編號信息及事件信息的數(shù)字簽名實現(xiàn)例如,以符號表示為 SIG(i, SIG(Ei), AI))。作為另一例子,人們可單獨(dú)地簽署(1)編 號信息和唯一的字符串x;及(2)事件信息及字符串x,以符號表示 為(SIG(i, x), SIG(x, Ei, AI))(這樣的字符串x可以是當(dāng)前時間)。刪除可檢測日志還可通過與不同于順序編號信息的日志記錄關(guān)聯(lián)信息安全綁定而實現(xiàn)。例如,可在日志記錄i中包括一些來自先前 曰志記錄如記錄i-l的識別信息。這樣的信息可以是記錄i-1 (或日 志記錄i-1的部分)的防碰撞散列以符號表示,日志記錄i可被表示為SIG(H(日志記錄i-1), Ei, AI)。接著,如果敵手試圖刪除日志記錄i-1,這樣的刪除在接收日志記錄i時將被檢測到,因為先前接收的日志記錄的散列H (日志記錄i-2)與H (日志記錄i-l)不匹配(由 于H的防碰撞),反之,H(日志記錄i-1),由于其與日志記錄i安全 地綁定,在不破壞數(shù)字簽名的有效性的情況下其不可被敵手修改。在 此,日志記錄i還可意為其信息的子集如Ei。應(yīng)注意,不必須是日志記錄i-1的信息與記錄i綁定,其可以是 先前或未來的另一記錄,或者實際上,多個其它記錄。此外,哪一日 志記錄與哪一記錄綁定可隨機(jī)選擇。其它關(guān)聯(lián)信息也可被使用。例如,每一日志記錄i可具有與兩個值(如隨機(jī)值或當(dāng)前時間)Xi和Xw的安全綁定以符號表示,如SIG(Xi,xi+1, Ei, AI)。接著,兩個相繼的日志記錄可總是共享一x值例如, 記錄i和i+l將共享xi+1。然而,如果日志記錄被刪除,這將不再有 效(因為敵手不能在沒有檢測的情況下修改簽署的日志記錄,除非其 知道簽名的秘密密鑰)。例如,如果記錄號100被刪除,數(shù)據(jù)庫將包 含SIG(X99, x咖,E99, AI)和SIG(x, x鵬,E101, AI),且可注意到 它們未共享共同的x值。這樣的關(guān)聯(lián)信息可采取其它形式實際上, 日志記錄可與多個其它日志記錄關(guān)聯(lián)。具體地,這可利用多項式產(chǎn)生 關(guān)聯(lián)信息而實現(xiàn)(如兩個或多個日志記錄中的每一個可包含以不同輸 入求值同一多項式的結(jié)果)。這樣的關(guān)聯(lián)信息還可利用散列鏈例如,以值y:開始,讓y^H(y》、y3=H(y2)、...等,并接下來使yi與Ei安 全綁定例如,第i個日志記錄可以符號表示為SIG(yi, Ei, AI)。 接著,相繼日志記錄i和i+l可具有關(guān)聯(lián)值yi和yw,適當(dāng)yi+1= H(y》。 然而,如果敵手刪除日志記錄,這可能不再有效因而刪除可被檢測。 例如,如果記錄100被刪除,數(shù)據(jù)庫將包含SIG(y99, E99, AI)和 SIG(y皿,EllOl, AI)(如前所述,其不能在不破壞數(shù)字簽名的情況下被敵手修改)。接著,刪除可被檢測,因為H(ynn)將不與y99匹配。 使用多個散列鏈,或許使用非相繼記錄及雙向,也可提供這樣的關(guān)聯(lián) 信息。在另一實施例中,每一日志記錄可包含部分或所有先前甚或隨后 的事件的指示,因而使日志不僅刪除可檢測,而且在刪除時可重建。 可重建日志系統(tǒng)可通過使用下述方案建立(1)鑒定方案(如數(shù)字簽名方案);(2)重建信息產(chǎn)生方案;及(3)重建方案。給定一日志事 件E (—系列過去和/或未來事件的部分),重建信息產(chǎn)生方案被用于 產(chǎn)生重建信息RI,其接著可借助于鑒定方案與其它日志記錄安全綁定。重建信息產(chǎn)生方案確保,即使對應(yīng)于事件i的日志記錄丟失,其它日志記錄包含足夠的關(guān)于E的信息,以允許從其它日志記錄中存在 的RI重建E。例如,第i+l個記錄可包含關(guān)于所有或部分先前i個 事件的信息,其由重建信息產(chǎn)生方案生成。因此,如果敵人以某種方 式成功從數(shù)據(jù)庫擦除第j個日志記錄,關(guān)于第j個事件的信息Ej將 在一個或多個隨后的記錄中揭示,使得即使在缺少第j個日志記錄的 情況下也可使用重建方案重建信息Ej。因而,對敵人而言,對數(shù)據(jù)庫臨時訪問是不足夠的他不得不"始終"監(jiān)視數(shù)據(jù)庫并刪除多個日志記錄以阻止關(guān)于第j個事件的信息被展現(xiàn)。選擇哪一事件包括在日 志記錄中可由重建信息產(chǎn)生方案以隨機(jī)方式完成,以使敵人很難預(yù)測 關(guān)于特定事件的信息將在何時在后繼的日志中揭示。優(yōu)選地,可重建 曰志系統(tǒng)還可以是刪除可檢測和無可爭議的。還應(yīng)注意,關(guān)于包括在另一日志記錄中的事件j的重建信息不必 是直接信息。其可由部分記錄j、或其散列值hj (具體地,由重建信 息產(chǎn)生方案經(jīng)單向/防碰撞散列函數(shù)計算)、或其數(shù)字簽名、或任何其它指示組成。具體地,如果使用單向防碰撞散列函數(shù)H,則可能無爭議地從包含hj的日志記錄i恢復(fù)關(guān)于第j個事件的信息以符號表示,如果第i個記錄被簽署,相應(yīng)的無爭議日志可采取形式SIG(hj, Ei, AI)。例如,如果懷疑特定用戶在特定時間進(jìn)入特定的門,可測試值 hj是否與已響應(yīng)于該事件創(chuàng)建的日志記錄Ej的散列H(Ej)匹配。這是無可爭議的,因為H的防碰撞特性實質(zhì)上不可能提出不同于Ej的記錄E'j使得H(E'j) =H(Ej)。日志記錄Ej可被創(chuàng)建,在某種程度上應(yīng)使其容易猜測(因而驗 證)對于特定事件應(yīng)是什么日志記錄(例如,通過使用日志記錄的標(biāo) 準(zhǔn)化格式,使用近似時間間隔等)。單向散列因為其大小很小而特別 有用可以散列許多甚或所有先前的日志記錄以包括在隨后的記錄 中。例如,記錄i+l可包括h產(chǎn)H(E》、h2=H(E2)、…、h產(chǎn)H(E》。或 者,可以嵌套(部分)散列,從而減少所要求的空間量。例如,如果 嵌套所有散列,則第二日志記錄應(yīng)包括h產(chǎn)H(E》,第三日志記錄應(yīng)包 括h^H(E2, h丄..。因而,如果通過i-l和日志記錄i+l創(chuàng)建或觀察 日志記錄i,則可無爭議地創(chuàng)建日志記錄i。該系統(tǒng)可通過(如使用 僅數(shù)據(jù)庫知道的密鑰)加密日志記錄中的(部分)信息進(jìn)行改進(jìn),從 而敵人不能看到他必須損害哪一信息以危害特定事件的可重建性。實 際上, 一旦日志被加密保護(hù),這樣的加密日志(最好是無爭議的加密 日志)可被發(fā)到另一 (第二)數(shù)據(jù)庫,而不會損失任何秘密。這使得 敵人更難刪除現(xiàn)在他不得不進(jìn)入兩個或更多數(shù)據(jù)庫以偽造日志??芍亟ㄈ罩具€可通過使用錯誤糾正代碼實現(xiàn)。具體地,這可通過 產(chǎn)生每一日志記錄的多個分量("部分")并將它們以這樣的方式單獨(dú) (或許與其它日志記錄一起)發(fā)送,當(dāng)足夠多的部分已被接收時,日 志記錄可由重建方案重建,這可能調(diào)用錯誤糾正代碼的解碼算法。這 些部分可被隨機(jī)或偽隨機(jī)傳播,因而當(dāng)足夠的部分實際上到達(dá)時,使 敵手很難刪除足夠多的部分以阻止日志記錄的重建。事件日志(無論由卡創(chuàng)建還是由門或卡和門結(jié)合創(chuàng)建)可由卡攜 帶以有利于其收集。當(dāng)卡到達(dá)連通的門或與中央服務(wù)器通信或相反能 夠與中央數(shù)據(jù)庫通信時,其可發(fā)送保存于其中的日志。這可類似于 HRA的傳播那樣實現(xiàn),除了HRA可從中央點(diǎn)發(fā)送給卡以外,而日志可 從卡發(fā)送給中央點(diǎn)。因此,傳播HRA的所有方法應(yīng)用于事件日志的收 集。具體地,傳播HRA的方法可被變換為收集事件日志的方法,其通 過(l)用接收器取代發(fā)送器,反之亦然;(2)用日志記錄代替HRA。具體地,卡Cl可收集與Cl無關(guān)的事件的事件日志,如另一卡C2的訪問或門D的故障。此外, 一門D1的事件日志可被保存(或許 臨時)在另一門D2上(或許由卡C1攜帶到那里)。接著,當(dāng)另一卡 C2與D2通信時,其可接收這些日志記錄的部分并隨后將它們通信給 另一門或通信給中央位置。該廣泛傳播可確保事件日志更快地到達(dá)中 央點(diǎn)。(此外, 一些門盡管不全連接到中央數(shù)據(jù)庫,可具有相互之間 的連接。因而,這樣的門可類似地交換可用事件日志。如果卡具有相 互通信能力--例如當(dāng)接近時一它們也可交換關(guān)于它們保存的事件日 志的信息。在這樣的收集過程中,無爭議的日志是有利的,因為它們 不必須在安全通道上傳送,因為它們不能被偽造。因此,它們不依賴 于卡或卡和門之間的連接的安全性。刪除可檢測日志提供額外的優(yōu) 點(diǎn),如果某些日志記錄未被收集(或許因為某些卡從未到達(dá)連通的 門),其確保該事實可被檢測到??芍亟ㄈ罩驹谀承┤罩居涗洓]有到 達(dá)中央數(shù)據(jù)庫的情況下可允許日志記錄的重建(再次地,或許因為某 些卡從未到達(dá)連通的門)。在一些情況下,所有事件日志可以這種方式進(jìn)行保存和傳播。否 則,采用一些優(yōu)化是有用的。 一種優(yōu)化方法是使事件日志與優(yōu)先級信 息一起提供,其表明通知中央機(jī)構(gòu)關(guān)于特定事件的相對重要性。 一些 日志記錄可能比其它日志記錄更緊急例如,如果門被維持在打開或 關(guān)閉位置,如果試圖進(jìn)行未經(jīng)授權(quán)的訪問,或如果檢測到不尋常的訪 問模式。為了加速將這樣的重要信息傳送到其可被遵照行事的位置, 訪問日志中的信息可用指明其重要性的標(biāo)志標(biāo)記(或其重要性可從其 自身的信息推斷)。例如, 一些日志記錄可被標(biāo)記為"緊急",而其它 可被標(biāo)記為"常規(guī)"?;蛩鼈兛捎芍该魉鼈兊闹匾潭鹊臄?shù)字或代碼 字標(biāo)記(優(yōu)先等級盡可能適當(dāng)?shù)鼐_或接近)。例如,較高優(yōu)先級的 信息可被給予更多的卡和/或門以增加其將更快或更安全到達(dá)其目的 地的可能性。同樣,卡或門,當(dāng)接收高優(yōu)先級的信息時,可通過從其 存儲器刪除低優(yōu)先級信息而為高優(yōu)先級信息騰出空位。同樣,門可決 定將高優(yōu)先級信息給予經(jīng)過其的每一卡,而低優(yōu)先級信息僅被給予少數(shù)幾個卡或可等待直到門被連通為止?;蛘呋虺松鲜黾夹g(shù)以外,卡可被選擇以在某種程度上保存特定 的日志記錄,包括隨機(jī)保存,或門可將日志記錄提供給一定數(shù)量的卡 (例如,門"遭遇"的前k個卡)。這樣的傳播技術(shù)的使用可大大降 低事件日志中的重要記錄將不能到達(dá)其被遵照行事的中央位置的可 能性。具體地,其可用作防"蓄意干擾"攻擊的有效對策,所述攻擊 試圖阻止損壞的門通信其遇險信息。在卡和門之間交換日志的實際方 法可變化。在少許記錄的情況下,交換并比較所有已知記錄最有效。 在其它情況下,可使用更復(fù)雜的用于發(fā)現(xiàn)和協(xié)調(diào)區(qū)別的算法。詳細(xì)介紹一些事件日志可被收集的樣本方法是有用的。下面, "管理機(jī)構(gòu)"A包括一些中央點(diǎn)或數(shù)據(jù)庫,事件日志被收集于其中。順序1 (直接從門到管理機(jī)構(gòu))1、 連通的門D響應(yīng)于事件創(chuàng)建無可爭議的日志記錄E。2、 E經(jīng)有線或無線通信傳輸給管理機(jī)構(gòu)A。3、 A驗證E的可靠性,如果驗證成功,則保存E。 順序2 (從門到用戶卡到管理機(jī)構(gòu))1、 門D響應(yīng)于事件創(chuàng)建無爭議日志記錄E。2、 被呈現(xiàn)用于訪問D的用戶U的卡C接收并保存E (除了與訪 問有關(guān)的通信以外)??梢砸部刹或炞CE的可靠性。3、 當(dāng)U下班并在工作日結(jié)束時將其卡呈現(xiàn)給A時,E由卡傳輸 給A。4、 A驗證E的可靠性,如果驗證成功,則保存E。 順序3 (從門到用戶卡到另一 (連通的)門到管理機(jī)構(gòu))1、 門D響應(yīng)于事件創(chuàng)建無爭議日志記錄E。2、 被呈現(xiàn)用于訪問D的用戶U的卡C接收并保存E (除了與訪 問有關(guān)的通信以外)??梢砸部刹或炞CE的可靠性。3、 隨后,U呈現(xiàn)其卡C以用于訪問另一 (連通的)門D' 。 D', 除了驗證憑證并在合適時授權(quán)訪問以外,從C接收E。 D'可以也可不 驗證E的可靠性。4、 E經(jīng)有線或無線通信由D'傳輸給管理機(jī)構(gòu)A。5、 A驗證E的可靠性,如果驗證成功,則保存E。 受保護(hù)區(qū)域可由墻和物理門確定,如通過其人可進(jìn)入的門、或集裝箱的門、安全門、交通工具的門等。受保護(hù)的區(qū)域也可由虛擬的門 和墻確定。例如,區(qū)域可由檢測器保護(hù),其可感覺侵入并可在未被提 供授權(quán)時發(fā)出報警或發(fā)送另 一信號。這樣的報警系統(tǒng)是虛擬門的一個 例子在機(jī)場中,經(jīng)常通過出口巷道進(jìn)入門區(qū)將觸發(fā)這樣的報警,盡管沒有物理的門或墻已被違犯。虛擬門的另一例子是收費(fèi)所盡管許多收費(fèi)所不包含物理的柵欄或門,特定的汽車可能被授權(quán)也可能未被 授權(quán)通過收費(fèi)所。例如,這樣的授權(quán)可依賴于汽車的電子收費(fèi)付款標(biāo) 記的有效性。另一例子是交通管制區(qū)。例如,要進(jìn)入特定城市的市中 心或通向核設(shè)施的路、軍隊軍營、或另一敏感區(qū)域,交通工具必須具 有合適的授權(quán),用于記賬、安全或擁塞控制等目的。此外,保護(hù)不僅僅為區(qū)域所需要,還為設(shè)備需要,如飛機(jī)引擎或 軍事裝備。例如,必須確保只有經(jīng)授權(quán)的個人才可啟動飛機(jī)的引擎或 運(yùn)載危險材料的卡車的引擎。有許多方式使用憑證/證明來進(jìn)行訪問控制。應(yīng)注意,對于在此 公開的方式,術(shù)語"日子"應(yīng)被理解為一系列時間段中的一般時間段, 及"早上"意為時間段的開始。在該申請中,"門"應(yīng)被視為包括所有類型的入口(如物理的和/ 或虛擬的)、訪問控制系統(tǒng)/設(shè)備、及監(jiān)視系統(tǒng)/設(shè)備。具體地,它們 包括用于啟動引擎和控制裝置的關(guān)鍵機(jī)構(gòu)(具體地,從而本發(fā)明可用 于確保只有當(dāng)前的授權(quán)用戶可啟動飛機(jī)、操作推土機(jī)或訪問和控制各 種重要和/或危險的物品、設(shè)備和機(jī)件)。與該約定一致,我們將"進(jìn) 入"稱為被授權(quán)想得到的訪問(或物理的或虛擬的)。類似地,具體地但不損失一般性,卡可被理解為用戶的任何訪問設(shè)備。應(yīng)該意識到的是,卡的概念足夠概括地包括移動電話、PDA、或其它無線和/或先進(jìn)設(shè)備,且卡可包括或連同其它安全措施一起工作,如PIN、 口令及生物測定信息,盡管這些措施的部分可能"位于"卡持有人的大腦或身體中而不是卡本身之中。此外,措辭"用戶"(經(jīng)常稱為"他"或"她")可被廣泛地理解 為不僅包括用戶和人,還包括設(shè)備、實體(及用戶、設(shè)備和實體的集 合),包括但不限于用戶卡。在此描述的系統(tǒng)可使用硬件和軟件的任何適當(dāng)結(jié)合實施,包括但 不限于保存在計算機(jī)可讀的介質(zhì)中的軟件,其可由一個或多個處理器 訪問。此外,用于加密、鑒定等的技術(shù)可被適當(dāng)?shù)亟Y(jié)合和可交換地使 用。在那一點(diǎn)上,下述美國專利和申請中的每一個均通過引用組合于 此1995年10月2日申請的美國臨時專利申請60/004, 796; 1995年10月24日申請的美國臨時專利申請60/006, 038; 1995年11月2日申請的美國臨時專利申請60/006, 143; 1996年9月10日申請的美國臨時專利申請60/024, 786; 19%年8月29日申請的美國臨時專利申請60/025, 128; 1996年12月18日申請的美國臨時專利申請60/033, 415; 1997年2月3日申請的美國臨時專利申請60/035, 119; 2001年3月20日申請的美國臨時專利申請60/277, 244; 2001年6月25日申請的美國臨時專利申請60/300, 621; 2001年12月27日申請的美國臨時專利申請60/344, 245; 2002年4月8日申請的美國臨時專利申請60/370, 867; 2002年4月16日申請的美國臨時專利申請60/372, 951; 2002年4月17日申請的美國臨時專利申請60/373, 218; 2002年4月23日申請的美國臨時專利申請60/374, 861; 2002年10月23日申請的美國臨時專利申請60/420, 795; 2002年10月25日申請的美國臨時專利申請60/421, 197; 2002年10月28日申請的美國臨時專利申請60/421, 756; 2002年10月30日申請的美國臨時專利申請60/422, 416; 2002年11月19日申請的美國臨時專利申請60/427, 504; 2003年1月29日申請的美國臨時專利申請60/443, 407;2003年2月10日申請的美國臨時專利申請60/446, 149; 2003年6月24日申請的美國臨時專利申請60/482, 179; 2003年7月18日申請的美國臨時專利申請60/488, 645; 2003年9月24日申請的美國臨時專利申請60/505, 640; 1996年9月19日申請的美國專利申請08/715, 712; 1996年11月1日申請的美國專利申請08/741, 601; 1996年11月26日申請的美國專利申請08/756, 720; 1997年2月24日申請的美國專利申請08/804, 868; 1997年2月24日申請的美國專利申請08/804, 869; 1997年6月11日申請的美國專利申請08/872, 900; 1997年8月5日申請的美國專利申請08/906, 464; 2001年7月25日申請的美國專利申請09/915, 180; 2002年3月20日申請的美國專利申請10/103, 541; 2002年9月16日申請的美國專利申請10/244, 695; 2003年4月8日申請的美國專利申請10/409, 638; 2004年6月24日申請的美國專利申請10/876, 275; 美國專利5, 604, 804; 美國專利5, 666, 416; 美國專利5, 717, 757; 美國專利5, 717, 758; 美國專利5, 793, 868; 美國專利5, 960, 083; 美國專利6,097,811;及 美國專利6, 487, 658。在本發(fā)明已結(jié)合多個實施例公開的同時,其修改對本領(lǐng)域技術(shù)人 員將是非常明顯的。因此,本發(fā)明的實質(zhì)和范圍由下面的權(quán)利要求提 出。
權(quán)利要求
1. 確定訪問的方法,包括確定特定的憑證/證明是否表明訪問被允許;確定是否有另外的數(shù)據(jù)與憑證/證明相關(guān)聯(lián),其中另外的數(shù)據(jù)獨(dú)立于憑證/證明;及如果特定憑證/證明表明訪問已被允許且有另外的數(shù)據(jù)與特定憑證/證明相關(guān)聯(lián),則根據(jù)另外的數(shù)據(jù)提供的信息決定是否拒絕訪問。
2、 根據(jù)權(quán)利要求1的方法,其中憑證/證明為一體。
3、 根據(jù)權(quán)利要求1的方法,其中憑證/證明是分開的部分。
4、 根據(jù)權(quán)利要求3的方法,其中由第一管理實體產(chǎn)生憑證及其 它管理實體產(chǎn)生證明。
5、 根據(jù)權(quán)利要求4的方法,其中第一管理實體還產(chǎn)生證明。
6、 根據(jù)權(quán)利要求4的方法,其中第一管理實體不產(chǎn)生證明。
7、 根據(jù)權(quán)利要求1的方法,其中憑證對應(yīng)于包括終值的數(shù)字證 書,終值是將單向函數(shù)應(yīng)用到第一證明的結(jié)果。
8、 根據(jù)權(quán)利要求7的方法,其中每一證明是將單向函數(shù)應(yīng)用到 未來證明之一的結(jié)果。
9、 根據(jù)權(quán)利要求7的方法,其中數(shù)字證書包括電子設(shè)備的標(biāo)識符。
10、 根據(jù)權(quán)利要求l的方法,其中憑證包括終值,終值為將單向 函數(shù)應(yīng)用到第一證明的結(jié)果。
11、 根據(jù)權(quán)利要求10的方法,其中每一證明是將單向函數(shù)應(yīng)用 到未來證明之一的結(jié)果。
12、 根據(jù)權(quán)利要求1的方法,其中憑證包括用戶請求訪問的標(biāo)識符。
13、 根據(jù)權(quán)利要求l的方法,其中憑證/證明包括數(shù)字簽名。
14、 根據(jù)權(quán)利要求1的方法,其中訪問是對由墻和門封閉的區(qū)域 的訪問。
15、 根據(jù)權(quán)利要求14的方法,還包括提供門鎖,其中門鎖根據(jù)訪問是否被拒絕進(jìn)行開啟。
16、 根據(jù)權(quán)利要求1的方法,還包括 提供接收憑證/證明的讀卡機(jī)。
17、 根據(jù)權(quán)利要求16的方法,其中憑證/證明被提供在用戶呈現(xiàn) 的智能卡上。
18、 根據(jù)權(quán)利要求1的方法,其中憑證/證明包括用戶輸入的密碼。
19、 根據(jù)權(quán)利要求1的方法,其中憑證/證明包括用戶生物測定"(曰息。
20、 根據(jù)權(quán)利要求l的方法,其中憑證/證明包括手寫簽名。
21、 根據(jù)權(quán)利要求1的方法,其中憑證/證明包括在用戶所持的 卡上提供的秘密值。
22、 根據(jù)權(quán)利要求1的方法,其中憑證/證明在預(yù)定時間后過期。
23、 根據(jù)權(quán)利要求1的方法,其中另外的數(shù)據(jù)被數(shù)字簽署。
24、 根據(jù)權(quán)利要求1的方法,其中另外的數(shù)據(jù)是與憑證/證明綁 定的消息。
25、 根據(jù)權(quán)利要求24的方法,其中消息識別特定的憑證/證明并 包括特定憑證/證明是否已被取消的指示。
26、 根據(jù)權(quán)利要求25的方法,其中指示是空串。
27、 根據(jù)權(quán)利要求l的方法,其中另外的數(shù)據(jù)包括日期。
28、 根據(jù)權(quán)利要求1的方法,其中另外的數(shù)據(jù)是包含關(guān)于特定憑 證/證明的信息及包含關(guān)于一個或多個其它憑證/證明的信息的消息。
29、 根據(jù)權(quán)利要求1的方法,還包括 保存另外的數(shù)據(jù)。
30、 根據(jù)權(quán)利要求29的方法,其中另外的數(shù)據(jù)包括到期時間, 其表明另外的數(shù)據(jù)將被保存多久。
31、 根據(jù)權(quán)利要求30的方法,其中到期時間對應(yīng)于特定憑證/ 證明的到期。
32、 根據(jù)權(quán)利要求1的方法,還包括將另外的數(shù)據(jù)保存預(yù)定長的時間。
33、 根據(jù)權(quán)利要求32的方法,其中憑證/證明在預(yù)定時間之后均 到期。
34、 根據(jù)權(quán)利要求1的方法,其中另外的數(shù)據(jù)使用智能卡提供。
35、 根據(jù)權(quán)利要求34的方法,其中智能卡由試圖訪問區(qū)域的用 戶呈現(xiàn)。
36、 根據(jù)權(quán)利要求35的方法,其中對區(qū)域的訪問使用墻和至少 一門進(jìn)行限制。
37、 根據(jù)權(quán)利要求35的方法,其中另外的數(shù)據(jù)用于不同于試圖 訪問的用戶的用戶。
38、 根據(jù)權(quán)利要求1的方法,還包括 提供通信鏈路;及 使用通信鏈路傳輸另外的數(shù)據(jù)。
39、 根據(jù)權(quán)利要求38的方法,其中通信鏈路由智能卡提供以另 外的數(shù)據(jù)。
40、 根據(jù)權(quán)利要求39的方法,其中智能卡要求與通信鏈路定期 通信以保持有效。
41、 根據(jù)權(quán)利要求39的方法,其中智能卡由另一智能卡提供以 另外的數(shù)據(jù)。
42、 根據(jù)權(quán)利要求39的方法,其中另外的數(shù)據(jù)被有選擇地提供 給一小組智能卡。
43、 根據(jù)權(quán)利要求39的方法,還包括 提供優(yōu)先級給另外的數(shù)據(jù)。
44、 根據(jù)權(quán)利要求43的方法,其中另外的數(shù)據(jù)根據(jù)提供給另外 的數(shù)據(jù)的優(yōu)先級而被有選擇地提供給一小組智能卡。
45、 根據(jù)權(quán)利要求39的方法,其中另外的數(shù)據(jù)被隨機(jī)提供給一 小組智能卡。
全文摘要
確定訪問包括確定特定的憑證/證明是否表明訪問被允許;確定是否有另外的數(shù)據(jù)與憑證/證明相關(guān)聯(lián),其中另外的數(shù)據(jù)獨(dú)立于憑證/證明;及如果特定憑證/證明表明訪問已被允許且有另外的數(shù)據(jù)與特定憑證/證明相關(guān)聯(lián),則根據(jù)另外的數(shù)據(jù)提供的信息決定是否拒絕訪問。憑證/證明可以為一體也可以是分開的部分??梢允堑谝还芾韺嶓w產(chǎn)生憑證,其它管理實體產(chǎn)生證明。第一管理實體還可產(chǎn)生證明或不產(chǎn)生證明。憑證可對應(yīng)于包括終值的數(shù)字證書,終值是將單向函數(shù)應(yīng)用到第一證明的結(jié)果。
文檔編號H04L9/00GK101268649SQ200480022004
公開日2008年9月17日 申請日期2004年7月16日 優(yōu)先權(quán)日2003年7月18日
發(fā)明者亞歷克斯·西涅利尼科夫, 戴維·恩貝里, 菲爾·利賓, 西爾維奧·米卡利 申請人:科爾街有限公司